专利名称:一种认证方法和系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别是指一种认证方法和系统。
背景技术:
ITU(International Telecomunications Union)和IETF(Internet EngineeringTask Force)使用属性证书实现了权限管理基础设施或称授权管理基础设施(PMI,Privilege Management Infrastructure)。
PMI是属性证书、属性权威、属性证书库等部件的集合体,其用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI实际提出了一个新的信息保护基础设施,能够与公钥基础设施(PKI)和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。
建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。
属性证书(AC,Attribute Certificate),定义了一个实体拥有的权限,实体与权限的绑定由一个被数字签名了的数据结构提供,这种数据结构被称为属性证书,由属性权威(AA,Attribute Authority)签发并管理,它包括一个展开机制和一系列特别的证书扩展机制。所谓属性权威是用来生成并签发属性证书的机构,它负责管理属性证书的整个生命周期。
图1为属性证书的模板格式示意图。在属性证书中通常包括版本、序列号、有效期、发行者、签名算法及其标识、持有者、发行者唯一标识、属性信息、扩展信息,以及发行者签名等信息。其中,有关权限的定义包含在属性信息中。
ITU-T X.509定义的属性证书框架提供了一个构建PMI的基础,这些结构支持访问控制等应用。属性证书的使用(由AA签发的)提供一个灵活的权限管理基础设施(PMI)。
对于一个实体的权限约束由属性证书权威(已被数字签名的数据结构)或者由公钥证书权威(包含已明确定义权限约束扩展的)提供。
随着近年来逐渐开始成熟的生物特征识别技术的发展,把生物特征识别技术应用在信息安全上,利用生物特征的唯一性、稳定性等特点和加密算法融合,为信息安全提供了保障。
生物识别技术是指利用人类自身生理或行为特征进行身份认定的一种技术,如指纹识别和虹膜识别技术等。
生物识别认证系统必须先创建生物特征模板,进行身份认证时将新收集的生物特征数据与预先注册存储的模板进行匹配,看匹配结果在是否在有效范围内来判断其身份的合法性。
生物认证基础设施(TAI,Telebiometric Authentication Infrastructure),使用生物证书提供身份验证功能的系统,其基本组件和机制是结合了X.509的规定和生物认证而定义的,生物证书的发行和吊销机制也都类似于X.509定义的公钥证书的发行和吊销机制,而具体的身份验证部分有所不同,具体的不同是生物认证系统主要增加了生物数据采集子系统和生物特征比对子系统。
图2为生物证书的模板格式示意图。其包括版本生物证书中心(Biometric CA,以下简称BCA)所发行的生物证书的版本。
序列号BCA所发行的生物证书的唯一标识。
有效期包括有效期起始日期和有效期终止日期,指示了生物证书可用的日期。
主体该证书所标识的个人或者实体,可以用主体唯一标识来区分和核实。
发行者标识生成并对该证书签名的可信任源BCA,可以用其唯一标识来区分和核实。
模板格式标识生物特征模板的格式标识信息。
生物特征模板该模板存放了主体的生物特征信息和生物识别相关参数等。
扩展信息在不改变证书格式的前提下,允许证书中编码加入额外的信息。证书在某些应用场合需要附加信息或者声明证书使用方法等其他信息。
发行者签名用BCA的私钥对序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板、扩展信息等的摘要的数字签名。
现有的PKI和生物认证都是用来进行身份认证的,而且,随着技术的发展,还出现了带有生物模板的PKI证书。具体可参见RFC3739的定义。
现有技术虽然已经提供了多种认证方式,比如,独立的权限认证如PMI认证,独立的身份认证如PKI认证、生物认证等,身份认证和权限认证的结合如在PKI的基础上进行PMI认证,等等,但是如何将生物认证和权限认证相结合,仍然是个有待解决的问题。
发明内容
有鉴于此,本发明的一个目的在于提供一种认证方法,本发明的另一目的在于提供一种认证系统,以实现生物认证和权限认证相结合,从而更为准确可靠地实现权限管理。
为达到上述目的,本发明的技术方案是这样实现的一种认证方法,在属性证书的扩展信息中设置生物扩展标识,该方法还包括以下步骤a、客户端向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;b、服务提供者根据接收到的请求,判断属性证书中生物扩展标识所指示的生物证书与客户端发送的生物证书是否匹配,若匹配,则执行步骤c,否则,给客户端返回拒绝信息;
c、服务提供者根据接收到的生物证书请求身份验证者身份认证,认证通过后,根据接收到的声称权限和属性证书请求权限验证者进行权限认证,并将认证结果返回给客户端。
较佳地,所述生物证书是包含生物模板的证书;所述包含生物模板的证书为第一类生物证书,或第二类生物证书。
较佳地,当所述生物证书是第一类生物证书时,所述生物扩展标识为生物证书发行者和生物证书序列号,或者,是实体名称列表,或者是对象摘要信息,或者是以上三者的任意组合。
较佳地,如果所述生物扩展标识为生物证书发行者和生物证书序列号,则步骤b所述判断是否匹配的过程为根据接收到的生物证书中的生物证书发行者和生物证书序列号数据,判断该接收到的数据与属性证书中的生物证书发行者和生物证书序列号是否相同,若相同则匹配,若不同则不匹配。
较佳地,如果所述生物扩展标识为实体名称列表,所述实体名称列表中包含一个或一个以上的主体及其唯一标识;步骤b所述判断是否匹配的过程为根据接收到的生物证书中的主体及其唯一标识的数据,判断该接收到的数据是否包含在属性证书中的主体名称列表内,若是则匹配,否则不匹配。
较佳地,所述对象摘要信息为生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息共同计算出的摘要信息。
较佳地,如果所述生物扩展标识为对象摘要信息,步骤b所述判断是否匹配的过程为根据接收到的生物证书中的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息计算摘要,之后,判断该当前计算出的摘要与属性证书中的对象摘要信息是否一致,若一致则匹配,否则不匹配。
较佳地,如果所述生物扩展标识为至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则所述步骤b根据生物证书发行者和生物证书序列号来判断是否匹配。
较佳地,如果所述生物扩展标识为至少包括实体名称列表和对象摘要信息的组合,则所述步骤b根据对象摘要信息判断是否匹配。
较佳地,当所述生物证书是第二类生物证书时,所述生物扩展标识为包含该第二类生物证书的序列号;步骤b所述判断是否匹配的过程为所述服务提供者根据所述第二类生物证书的序列号确定证书,之后判断该当前获得的第二类生物证书与客户端发送的生物证书是否相同,若相同则匹配,若不同则不匹配。
较佳地,所述第二类生物证书包括但不限于包含生物模板的公钥基础设施PKI公钥证书。
较佳地,所述服务提供者、身份验证者和权限验证者在相同或不同的物理实体上。
较佳地,所述生物扩展标识设置在属性证书的基本扩展信息内。
一种认证系统,包括客户端、服务提供者、身份认证者和权限验证者,其中,所述客户端用于向服务提供者发起认证请求和接收来自服务提供者的认证结果,其中,该认证请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;所述服务提供者根据接收到的来自客户端的认证请求,获取与接收到的认证请求中的属性证书相匹配的生物证书,并应用该生物证书请求身份验证者进行身份验证;所述服务提供者应用接收到的请求中的声称权限和属性证书请求权限验证者进行权限认证。
较佳地,所述生物证书是第一类生物证书,或是第二类生物证书。
较佳地,所述服务提供者、身份验证者和权限验证者均为逻辑实体,其在相同或不同的物理实体上。
本发明的关键是,在使用属性证书进行权限认证时,首先要找到与该属性证书相关联的生物证书,之后应用该生物证书对先进行身份认证,认证通过后再应用属性证书进行权限认证。应用本发明,实现了生物认证和权限认证的无缝结合,确保了权限认证和个人身份认证的准确对应关系,从而更为准确可靠地实现了权限管理。本发明应用简单,对现有技术改动很小,因而与现有技术有很好地兼容性。
图1是属性证书的模板格式示意图;图2是生物证书的模板格式示意图;图3是应用本发明一实施例的生物扩展标识的结构示意图;图4是应用本发明的实现认证的流程示意图;图5是应用本发明的实现生物认证和权限认证相结合认证框架参考模型示意图。
具体实施例方式
下面结合附图对本发明做进一步地详细说明。
本发明的思路是在使用属性证书进行权限认证时,首先使用与该属性证书关联的生物证书对用户进行身份认证,认证通过后再应用属性证书进行权限认证,从而确保权限认证和个人身份认证的准确对应关系,以更为准确可靠地实现权限管理。
为了结合生物认证,同时为了使系统影响最小,本发明在属性证书中的扩展信息中增加扩展项。
属性证书的扩展信息主要是声明和证书应用相关的一些策略信息。属性证书的扩展信息包括基本扩展信息、权限撤销扩展信息、根属性权威扩展信息、角色扩展信息和授权扩展信息等5部分。本发明所增加的扩展项位于基本扩展信息中,且将该扩展项称为生物扩展标识。
本发明中所说的生物证书是指包含生物模板的所有证书。该包含生物模板的证书包括但不限于单独存在的仅用于生物认证的生物证书,或者,是包含生物模板的除前述生物证书以外的其他类型证书,如RFC3739提供的公钥证书。为了以下叙述方便,在此,将单独存在的仅用于生物认证的生物证书称为第一类生物证书,将包含生物模板的除前述生物证书以外的其他类型证书,如RFC3739提供的公钥证书,统称为第二类生物证书。
针对第一类生物证书这种情况,生物扩展标识的结构如图3所示。参见图3,其为应用本发明一实施例的生物扩展标识的结构示意图。本实施例中,生物扩展标识包括生物证书发行者和生物证书序列号、实体名称列表,以及对象摘要信息。其中,所谓生物证书发行者和生物证书序列号,用于标识该属性证书持有者的生物证书,即对属性证书持有者进行身份认证所需的生物证书。实体名称列表用于标识一个或者一个以上属性证书持有者的名称。对象摘要信息,是指仅用于生物认证的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息共同计算出的摘要信息。
在图3所示实例中,生物扩展标识是同时包括了生物证书发行者和生物证书序列号,实体名称列表,以及对象摘要信息这三项内容,在实际应用中,生物扩展标识也可以是上述三项的任意一项,或上述三项的任意组合。
如果生物扩展标识中只有实体名称列表这一项,则任何包含在实体名称列表中的主体名称所对应的生物证书都可以用来验证该属性证书持有者的身份,即都是与该属性证书相关联的生物证书。
如果生物扩展标识至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则将生物证书发行者和生物证书序列号作为判断是否关联的准则。
如果所述生物扩展标识至少包括实体名称列表和对象摘要信息的组合,则将对象摘要信息作为判断是否关联的准则。
当所述生物证书是第二类生物证书时,所述生物扩展标识为第二类生物证书的序列号,该第二类生物证书包含但不限于包含生物模板的PKI公钥证书。
参见图4,其是应用本发明的实现认证的流程示意图。
步骤1,客户端向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书。所谓声称权限是指用户声称的访问权限。本步骤中的生物证书既可以是第一类生物证书,也可以是第二类生物证书。
步骤2,服务提供者根据接收到的请求,判断属性证书中生物扩展标识与请求中的生物证书是否匹配,若匹配,则在步骤3中给客户端返回成功的响应信息,之后执行步骤4,否则,在步骤3中给客户端返回拒绝的响应信息,结束。本步骤中的判断过程具体如下当生物证书为第一类生物证书时生物扩展标识是生物证书发行者和生物证书序列号,或实体名称列表,或对象摘要信息之一或任意组合,此时,如果所述生物扩展标识为生物证书发行者和生物证书序列号,则判断是否匹配的过程为服务提供者根据接收到的生物证书中的生物证书发行者和生物证书序列号数据,判断该接收到的数据与属性证书中的生物证书发行者和生物证书序列号是否相同,若相同则匹配,若不同则不匹配。
如果所述生物扩展标识为实体名称列表,且所述实体名称列表中包含一个或一个以上的主体及其唯一标识;则所述判断是否匹配的过程为根据接收到的生物证书中的主体及其唯一标识的数据,判断该接收到的数据是否包含在属性证书中的主体名称列表内,若是则匹配,否则不匹配。
如果所述生物扩展标识为对象摘要信息,则判断是否匹配的过程为根据接收到的生物证书中的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息计算摘要,之后,判断该当前计算出的摘要与属性证书中的对象摘要信息是否一致,若一致则匹配,否则不匹配。
如果所述生物扩展标识为至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则以生物证书发行者和生物证书序列号为准判断是否匹配。
如果所述生物扩展标识为至少包括实体名称列表和对象摘要信息的组合,则以对象摘要信息为准判断是否匹配。
当生物证书为第二类生物证书时生物扩展标识是第二类生物证书的序列号,此时,判断是否匹配的过程为服务提供者根据第二类生物证书的序列号确定该第二类生物证书,之后判断该当前获得的第二类生物证书与接收到的请求中的生物证书即第二类生物证书是否相同,若相同则匹配,若不同则不匹配。此处的第二类生物证书包括但不限于包含生物模板的PKI公钥证书。
需要说明的是,如果生物扩展标识是生物证书发行者和生物证书序列号,或实体名称列表,或对象摘要信息之一或任意组合,那么客户端所发请求中的生物证书一定是第一类生物证书;如果生物扩展标识是第二类生物证书的序列号,那么客户端所发请求中的生物证书一定是第二类生物证书,此两者之间必然是一一对应的,不然也不可能找到相关联的证书。
步骤3,服务提供者给客户端返回响应信息。
步骤4,当客户端接收到来自服务提供者的成功的响应信息后,采集来自客户端的生物数据,并发送给服务提供者。
步骤5,服务提供者向身份验证者发送身份认证请求,该请求中携带生物数据和步骤1中所述的生物证书。
步骤6,身份验证者根据接收到的生物数据、生物证书中的生物模板信息等生物识别参数对客户端进行身份认证;本步骤的生物识别参数可以由系统即身份验证者设定,也可以由服务提供者认证,其具体的认证过程与现有的认证过程相同,不再赘述。
步骤7,身份验证者将身份认证结果发送给服务提供者。当然,该认证结果有可能是认证成功,也有可能是认证失败。如果身份认证成功,则执行步骤8,如果身份认证失败,则服务提供者通知用户身份认证失败;结束。
步骤8,服务提供者发权限认证请求给权限验证者,该请求中携带有声称权限参数和属性证书。
步骤9,权限验证者根据用户访问的权限即声称权限和属性证书进行权限验证。本步骤的认证过程与现有的认证过程相同,不再赘述。
步骤10,权限验证者将认证结果发送给服务提供者。
步骤11,服务提供者通知客户端认证是否成功。
以上所述服务提供者、身份验证者和权限验证者均为逻辑实体,其可以在相同或不同的物理实体上。
经过上述处理,使得生物认证和权限认证实现了无缝合,从而更为准确可靠地实现了权限管理。
图5是应用本发明的实现生物认证和权限认证相结合认证框架参考模型示意图。预先在属性证书的扩展信息中的基本扩展信息内设置生物扩展标识。该认证框架包括客户端、服务提供者、身份验证者和权限验证者。
客户端用于向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;用于接收来自服务提供者的认证结果。所述生物证书既可以是第一类生物证书,也可以是第二类生物证书。
服务提供者用于根据接收到的来自客户端的请求,获取与接收到的请求中的属性证书相关联的生物证书,并应用该生物证书请求身份验证者进行身份验证,并接收来自身份验证者的认证结果;应用接收到的请求中的声称权限和属性证书请求权限验证者进行权限认证,并接收来自权限验证者的认证结果;将来自身份认证者和权限认证者的认证结果返回给客户端。
身份认证者用于根据接收到的生物证书进行身份认证。
权限验证者用于根据接收到的声称权限和属性证书进行权限认证。
上所述服务提供者、身份验证者和权限验证者均为逻辑实体,其可以在相同或不同的物理实体上。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
权利要求
1.一种认证方法,其特征在于,在属性证书的扩展信息中设置生物扩展标识,该方法还包括以下步骤a、客户端向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;b、服务提供者根据接收到的请求,判断属性证书中生物扩展标识所指示的生物证书与客户端发送的生物证书是否匹配,若匹配,则执行步骤c,否则,给客户端返回拒绝信息;c、服务提供者根据接收到的生物证书请求身份验证者身份认证,认证通过后,根据接收到的声称权限和属性证书请求权限验证者进行权限认证,并将认证结果返回给客户端。
2.根据权利要求1所述的方法,其特征在于,所述生物证书是包含生物模板的证书;所述包含生物模板的证书为第一类生物证书,或第二类生物证书。
3.根据权利要求2所述的方法,其特征在于,当所述生物证书是第一类生物证书时,所述生物扩展标识为生物证书发行者和生物证书序列号,或者,是实体名称列表,或者是对象摘要信息,或者是以上三者的任意组合。
4.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为生物证书发行者和生物证书序列号,则步骤b所述判断是否匹配的过程为根据接收到的生物证书中的生物证书发行者和生物证书序列号数据,判断该接收到的数据与属性证书中的生物证书发行者和生物证书序列号是否相同,若相同则匹配,若不同则不匹配。
5.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为实体名称列表,所述实体名称列表中包含一个或一个以上的主体及其唯一标识;步骤b所述判断是否匹配的过程为根据接收到的生物证书中的主体及其唯一标识的数据,判断该接收到的数据是否包含在属性证书中的主体名称列表内,若是则匹配,否则不匹配。
6.根据权利要求3所述的方法,其特征在于,所述对象摘要信息为生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息共同计算出的摘要信息。
7.根据权利要求6所述的方法,其特征在于,如果所述生物扩展标识为对象摘要信息,步骤b所述判断是否匹配的过程为根据接收到的生物证书中的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息计算摘要,之后,判断该当前计算出的摘要与属性证书中的对象摘要信息是否一致,若一致则匹配,否则不匹配。
8.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则所述步骤b根据生物证书发行者和生物证书序列号来判断是否匹配。
9.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为至少包括实体名称列表和对象摘要信息的组合,则所述步骤b根据对象摘要信息判断是否匹配。
10.根据权利要求2所述的方法,其特征在于,当所述生物证书是第二类生物证书时,所述生物扩展标识为包含该第二类生物证书的序列号;步骤b所述判断是否匹配的过程为所述服务提供者根据所述第二类生物证书的序列号确定证书,之后判断该当前获得的第二类生物证书与客户端发送的生物证书是否相同,若相同则匹配,若不同则不匹配。
11.根据权利要求2或10所述的方法,其特征在于,所述第二类生物证书包括但不限于包含生物模板的公钥基础设施PKI公钥证书。
12.根据权利要求1所述的方法,其特征在于,所述服务提供者、身份验证者和权限验证者在相同或不同的物理实体上。
13.根据权利要求1所述的方法,其特征在于,所述生物扩展标识设置在属性证书的基本扩展信息内。
14.一种认证系统,其特征在于,包括客户端、服务提供者、身份认证者和权限验证者,其中,所述客户端用于向服务提供者发起认证请求和接收来自服务提供者的认证结果,其中,该认证请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;所述服务提供者根据接收到的来自客户端的认证请求,获取与接收到的认证请求中的属性证书相匹配的生物证书,并应用该生物证书请求身份验证者进行身份验证;所述服务提供者应用接收到的请求中的声称权限和属性证书请求权限验证者进行权限认证。
15.根据权利要求14所述的认证系统,其特征在于,所述生物证书是第一类生物证书,或是第二类生物证书。
16.根据权利要求14所述的认证系统,其特征在于,所述服务提供者、身份验证者和权限验证者均为逻辑实体,其在相同或不同的物理实体上。
全文摘要
本发明公开了一种认证方法和系统,其关键是,在使用属性证书进行权限认证时,首先要找到与该属性证书相关联的生物证书,之后应用该生物证书对先进行身份认证,认证通过后再应用属性证书进行权限认证。应用本发明,实现了生物认证和权限认证的无缝结合,确保了权限认证和个人身份认证的准确对应关系,从而更为准确可靠地实现了权限管理。本发明应用简单,对现有技术改动很小,因而与现有技术有很好地兼容性。
文档编号H04L9/32GK101051896SQ20061007428
公开日2007年10月10日 申请日期2006年4月7日 优先权日2006年4月7日
发明者李超, 刘淑玲 申请人:华为技术有限公司