用于证书签署请求处理的生物特征认证的系统和方法与流程
对相关申请的交叉引用
本申请要求于2017年4月11日提交的美国专利申请no.15/484,297的权益和优先权。上述申请的全部公开内容通过引用并入本文。
本公开涉及改进认证功能,因为它与数字证书签署请求和批准有关,并且更具体地涉及用于对请求并批准数字证书的个人进行生物特征认证的方法和系统。
背景技术:
数字证书是由证书颁发机构(ca)颁发并且用于在电子交互期间证明人的身份的电子文档。例如,将更新后的代码存放(deposit)在中央代码储存库中的程序员常常将需要数字证书来“签署”该存放,从而证明程序员(而不是其他用户)负责该存放。数字证书可以限于具体的使用次数或可以使用它们的具体时间范围。因而,数字证书的普通用户经常需要新的数字证书,他们使用证书签署请求(csr)来请求这些新的数字证书。csr是发送给ca的一种特殊格式的请求,其导致ca颁发所需的数字证书。
虽然数字证书本身被认为是安全性和真实性的措施,但请求数字证书的处理却易于受到某些限制。一些已知的csr系统在肯定地识别请求者是授权用户的能力方面受到限制。例如,在ca完全自动化的情况下,任何能够访问并熟悉ca的csr处理的人都可以通过呈现伪造的凭证来“戏弄”系统,以便获取有效的数字证书。甚至其处理包括在其颁发数字证书之前进行人工干预的ca也容易受到可以造成安全风险的社会工程攻击。在一些情况下,以其它方式授权的用户也可以利用这些漏洞,诸如,授权用户获取另一个授权用户的凭证并使用那些凭证使ca颁发数字证书。类似地,未经授权的用户可以执行诸如“网络钓鱼”或“中间人”攻击之类的计划以获取诸如用于请求数字证书的用户名和密码之类的数据,随后在伪装成授权用户的同时请求证书。诸如“分组嗅探”或其它网络入侵之类的攻击可以被用于拦截并记录跨计算设备的网络流量并导致未经授权的用户获取数字证书。
技术实现要素:
一方面,提供了生物特征鉴定(certification)请求认证(bcra)计算设备,用于认证经受证书签署请求处理的请求者。bcra计算设备通信地耦合到存储器设备。bcra计算设备被配置为从请求者计算设备接收服务选择请求消息,该服务选择请求消息识别请求者需要针对其的证书的证书服务类型,识别与生成该证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备,向请求者计算设备发送提示请求者提供第一生物特征样本的第一生物特征样本请求消息,通过确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本,以及基于认证发起向请求者计算设备提供证书文件。
在另一方面,提供了一种对经受证书签署请求处理的请求者进行认证的方法。该方法是使用耦合到存储器设备的生物特征鉴定请求认证(bcra)计算设备来实现的。该方法包括从请求者计算设备接收服务选择请求消息,该服务选择请求消息识别请求者需要针对其的证书的证书服务类型,识别与生成该证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备,向请求者计算设备发送提示请求者提供第一生物特征样本的第一生物特征样本请求消息,通过确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本,以及基于认证发起向请求者计算设备提供证书文件。
在还有另一方面,提供了一种非暂态计算机可读介质,该非暂态计算机可读介质包括用于对经受证书签署请求处理的请求者进行认证的计算机可执行指令。当由耦合到存储器设备的生物特征鉴定请求认证(bcra)计算设备执行时,计算机可执行指令使bcra计算设备从请求者计算设备接收服务选择请求消息,该服务选择请求消息识别请求者需要针对其的证书的证书服务类型,识别与生成该证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备,向请求者计算设备发送提示请求者提供第一生物特征样本的第一生物特征样本请求消息,通过确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本,以及基于认证发起向请求者计算设备提供证书文件。
附图说明
图1-5示出了本文描述的方法和系统的示例实施例。
图1图示了生物特征证书请求认证(bcra)计算设备的示例配置,其被配置为使得请求者能够在证书签署请求处理期间进行生物特征认证。
图2是示例生物特征证书请求认证环境的框图,该环境用于使请求者能够对证书签署请求处理进行生物特征认证。
图3示出了示例消息流,bcra计算设备通过该消息流使请求者能够在证书签署请求处理期间进行生物特征认证。
图4示出了示例方法流,该方法流图示了bcra计算设备如何在证书签署请求处理期间使请求者能够进行生物特征认证。
图5示出了计算机设备内的数据库以及其它相关的计算机组件的示例配置,该配置可以用于使请求者能够在证书签署请求处理期间进行生物特征认证。
图中类似的数字表示相同或功能相似的组件。
具体实施方式
本文描述的系统和方法一般而言涉及使用生物特征证书请求认证(bcra)计算设备来保护电子数据。更具体而言,本文描述的系统和方法使得数字证书的请求者能够由受信任的一方使用生物特征方法来认证。
示例实施例的概述如下。在与另一方进行电子交互期间,请求者要求证书(在本文也称为数字证书)来核实请求者的身份。电子交互的性质在本文中也称为请求者需要针对其的证书的“服务”。证书将由证书颁发机构(ca)响应于证书签署请求而生成。ca是受信任的第三方,请求者和寻求验证请求者身份的另一方都依赖它。一个ca可以被配置为颁发一种或多种类型的证书。由于证书本身是认证措施,因此还必须确保证书签署请求处理的安全性,以防止未经授权的用户批准证书签署请求。因而,bcra计算设备与由请求者操作的请求者计算设备进行通信。请求者经由bcra计算设备从ca请求证书。请求者向bcra计算设备发送服务选择请求消息,该消息包括请求者需要针对其的证书的服务类型的标识符。bcra计算设备使用生物特征认证来对请求者进行认证,然后生成证书签署请求,然后bcra计算设备将该请求发送到ca。当ca生成证书时,bcra计算设备将这个证书提供给请求者。
现在提供示例实施例的详细描述。在一个示例实施例中,请求者将在注册处理中向bcra计算设备进行注册。作为注册处理的一部分,请求者向bcra计算设备提供一个或多个请求者标识符。这些请求者标识符可以由bcra计算设备独立可核实,或者被与bcra计算设备相关联的一方接受为有效标识符。例如,请求者可以在员工入职处理期间向bcra计算设备进行注册,在此处理期间,请求者提供个人可识别信息,诸如政府颁发的标识符。此外,请求者可以提供参考生物特征样本以供bcra计算设备存储。bcra计算设备将这个参考生物特征样本与其它请求者标识符相关联地存储。bcra计算设备随后将候选生物特征样本与这个参考生物特征样本进行比较,以便认证请求者。在相关实施例中,bcra计算设备将参考生物特征样本发送到第三方生物特征认证服务,该第三方生物特征认证服务执行比较并将认证确认提交给bcra计算设备。作为注册处理的一部分,请求者还将向bcra计算设备提供请求者可能需要针对其的数字证书的一个或多个服务的列表。例如,对于储存库中的代码存放、或者对于对电子消息进行数字签署等,请求者可以需要证书。此为,请求者可以能够以后编辑服务列表以添加或删除要求针对其的证书的服务。
作为注册处理的一部分,bcra计算设备还为请求者提供访问传送与请求者的证书签署请求处理有关的数据的电子手段的权限。例如,bcra计算设备可以邀请请求者下载并激活请求者的计算设备上的计算机应用。作为另一个示例,bcra计算设备将向请求者提供提供上面提到的功能的网站或网页。给予请求者访问仪表板、门户或类似电子界面的权限,请求者可以在其中输入服务选择请求、提供生物特征样本、接收证书文件、发送和接收信息性消息(例如,来自bcra计算设备的、陈述认证是成功还是失败的消息)等等。
bcra计算设备被配置为执行与请求者的证书签署请求处理有关的各种功能。在一个实施例中,bcra计算设备也是证书颁发机构,使得一旦请求者的生物特征认证完成,bcra计算设备就颁发其自己的数字证书。在另一个实施例中,bcra计算设备还自己执行生物特征认证。例如,bcra计算设备被配置为执行若干生物特征认证处理,包括面部识别、指纹识别、语音识别、视网膜扫描识别、虹膜扫描识别、眼睛移动识别、手写签名识别、手指静脉图案识别等。
在示例实施例中,请求者发送服务选择请求消息,该消息识别请求者要求针对其的证书的证书服务类型。证书服务类型可以是例如请求者在将代码存放到代码储存库中之前需要证书对代码存放进行数字签署的“代码签署服务证书”。优选地,请求者将能够经由请求者所使用的计算机应用或网站从注册期间提供的服务的列表中和/或从bcra计算设备提供的预定义列表中选择所需的服务。
bcra计算设备被配置为接收服务选择请求消息并提取证书服务类型。bcra计算设备使用证书服务类型来识别证书颁发机构(ca)计算设备。ca计算设备与生成证书服务类型的证书的证书颁发机构相关联。bcra计算设备还被配置为向请求者计算设备发送第一生物特征样本请求消息。第一生物特征样本请求消息提示请求者提供第一生物特征样本。
在示例实施例中,请求者将第一生物特征样本提供给bcra计算设备。例如,请求者使用安装在请求者计算设备上的计算机应用来提供第一生物特征样本。接收到第一生物特征样本请求消息使得激活计算机应用。计算机应用进而使得激活请求者计算设备上的控件,以促进第一生物特征样本的提供。例如,请求者可以在注册期间已经提供了指纹作为参考生物特征样本。因而,在期望候选指纹作为第一生物特征样本的情况下,第一生物特征样本请求消息可以在显示界面上显示指向标有“在此处提供拇指印记”的方框的指针。作为另一个示例,第一生物特征样本请求消息可以使请求者计算设备上的相机设备激活并显示陈述例如“提供视网膜扫描”或“拍摄你的脸部照片以提供你的生物特征样本”的附加消息。作为又一个示例,第一生物特征样本请求消息可以激活请求者计算设备上的麦克风或录音特征并在显示界面上显示陈述“说出您的姓名(或其它一些预定义的词)以便提供你的生物特征”的消息。请求者提供生物特征样本,该生物特征样本由计算机应用转换成电子数据,以传输到bcra计算设备。
计算机应用使请求者计算设备将第一生物特征样本(作为电子数据消息)发送到bcra计算设备。bcra计算设备被配置为通过确定第一生物特征样本与为请求者存储的参考生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本。例如,bcra计算设备将候选指纹与参考指纹进行比较。更具体而言,bcra计算设备可以应用图像处理技术来比较两个指纹。作为另一个示例,bcra计算设备使用算法来计算从每个指纹生成的数学值并且比较这两个数学值。如果找到匹配,那么bcra计算设备被配置为进行证书签署请求生成并且,可选地,将确认发送到请求者计算设备。
如所提到的,bcra计算设备还可以将第一生物特征样本和参考生物特征样本发送到第三方生物特征认证服务。这个第三方生物特征认证服务可以在与bcra计算设备相同的组织中可用,或者它可以是外部服务。在这两种情况中的任何一种或两种情况下,bcra计算设备均可以向第三方生物特征认证服务进行web服务呼叫或其它电子通信。
基于对请求者的生物特征样本的成功认证,bcra计算设备被配置为生成证书签署请求(csr)。csr是被配置为使ca生成数字证书的电子请求消息。因而,csr优选地具有特定ca理解的格式。如上所述,bcra计算设备识别出可以生成请求者期望的服务所需的证书的ca。bcra计算设备还识别相关ca理解的csr格式。因而,bcra计算设备生成具有与证书颁发机构对应的格式的csr。bcra计算设备将csr发送到ca计算设备。ca计算设备接收csr并生成包括与证书服务类型对应的数字证书的证书文件。bcra计算设备从ca计算设备接收这个证书文件。
bcra计算设备被配置为准备接收到的证书文件以供传输到请求者计算设备。在一个示例中,bcra计算设备生成通用资源定位符(url),该url指向bcra计算设备存储证书文件的网页或其它web端点。作为另一个示例,bcra计算设备向请求者发送消息(例如,电子邮件),以向请求者通知已准备好在url或其它电子位置访问所请求的证书。作为又一个示例,bcra计算设备可以将证书文件发送到安装在请求者计算设备上的计算机应用。然后,请求者可以使用计算机应用来访问证书文件。请求者下载或以其它方式访问所请求的证书文件,并将其用于最初提供的证书服务类型。
在另一个示例实施例中,bcra计算设备不生成csr。相反,bcra计算设备完成生物特征认证,然后将讯息发送到请求者计算设备上的计算机应用。在这个示例中,计算机应用被配置为生成其自己的csr,然后将其发送到相关的证书颁发机构。
在另一个示例实施例中,ca不仅仅要求请求者被认证。在颁发证书之前,ca可以要求具体的批准链、序列或集合。在这个示例中,ca在ca提供给bcra计算设备的批准策略中指定其所需的批准。bcra计算设备被配置为存储来自每个连接的ca的批准策略,并在生成csr之前检查相关的批准策略。例如,ca可以对于请求者和请求者的监督者都要求生物特征认证。如上所述,从ca的批准策略中确定要求两次批准,bcra计算设备首先将第一生物特征样本请求消息发送到请求者。在接收到生物特征样本并对其进行验证后,bcra计算设备继续向请求者的监督者发送第二生物特征样本请求消息。在这个示例中,请求者在上面提到的注册处理期间为请求者的(一个或多个)监督者提供标识符。监督者响应于第二生物特征样本请求消息而发送第二生物特征样本。bcra计算设备被配置为认证第二生物特征样本。bcra计算设备还被配置为在存储器设备中生成认证链数据字段并且在其中存储针对请求者和监督者两者的认证验证数据。此外,bcra计算设备被配置为发送这个认证链数据字段,作为这个示例中讨论的发送到ca的任何csr的一部分。ca在接收到csr后检查认证链数据字段,确定已针对请求者和监督者执行了认证,并颁发所请求的证书。
由这个系统解决的技术问题包括以下至少一项:(i)无法认证请求者的证书服务请求的系统的限制,(ii)没有能力使用现有的生物特征样本数据来认证证书服务请求,以及(iii)每次请求者需要数字证书时都可能要求附加实体(例如,人力资源)来认证请求者身份的系统的限制。
可以使用包括计算机软件、固件、硬件或其任意组合或子集的计算机编程或工程技术来实现本文描述的方法和系统,其中可以通过以下操作来实现技术效果:a)从请求者计算设备接收服务选择请求消息,该请求消息识别请求者要求针对其的证书的证书服务类型;b)识别与生成该证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备;c)向请求者计算设备发送提示请求者提供第一生物特征样本的第一生物特征样本请求消息,d)通过确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本,以及e)基于认证,发起向请求者计算设备提供证书文件。
由这个系统实现的结果技术益处包括以下至少一项:(i)改进的系统体验,因为不要求请求者仅仅为了请求证书而在脱机处理中联系附加实体(诸如人力资源),(ii)改进的数据安全性,因为请求者的生物特征数据不会不必要地跨不同的通信信道传播;(iii)改进的数据安全性,因为仅向通过生物特征认证的请求者颁发数字证书;(iv)来自于链式认证处理的改进的数据安全性,由此请求者和一个或多个其他人(例如,监督者)在颁发数字证书之前被认证,(v)减少对(多个请求者和多个证书颁发机构之间)专用通信通道的需求,当单个请求者需要多于一种类型的证书时,则需要专用通信信道,以及(vi)请求者可以用来请求任何类型的证书的集中式门户或仪表板(例如,上述计算机应用)。
如本文所使用的,处理器可以包括任何可编程系统,包括使用微控制器、精简指令集电路(risc)、专用集成电路(asic)、逻辑电路以及能够执行本文所述功能的任何其它电路或处理器的系统。以上示例仅仅是示例,并且因此不旨在以任何方式限制术语“处理器”的定义和/或含义。
如本文所使用的,术语“软件”和“固件”是可互换的,并且包括存储在存储器中以供处理器执行的任何计算机程序,包括ram存储器、rom存储器、eprom存储器、eeprom存储器和非易失性ram(nvram)存储器。上述存储器类型仅仅是示例,并且因此不限制可用于存储计算机程序的存储器类型。
在一个实施例中,提供了一种计算机程序,并且该程序实施在计算机可读存储介质上。在示例实施例中,系统在单个计算机系统上执行,而不需要连接到服务器计算机。在另一个实施例中,系统在
以下详细描述通过示例而非限制的方式说明了本公开的实施例。预期本公开内容在工业、商业和学术应用中具有一般应用。
如本文所使用的,以单数形式和前面带有单词“一”或“一个”叙述的元件或步骤应该被理解为不排除多个元件或步骤,除非明确叙述了这种排除。此外,对本公开的“示例实施例”或“一个实施例”的引用不旨在被解释为排除也包含所记载的特征的附加实施例的存在。
图1图示了bcra计算设备101的示例配置,其被配置为使得请求者能够在证书签署请求处理期间进行生物特征认证。bcra计算设备101包括用于执行指令的处理器105。指令可以例如存储在存储器区域110中。处理器105可以包括一个或多个用于执行指令的处理单元(例如,在多核配置中)。指令可以在bcra计算设备101上的各种不同操作系统(诸如unix、linux、microsoft
处理器105还可以可操作地耦合到存储设备134。存储设备134是适于存储和/或检索数据的任何计算机操作的硬件。在一些实施例中,存储设备134被集成在bcra计算设备101中。在其它实施例中,存储设备134在bcra计算设备101的外部。例如,bcra计算设备101可以包括一个或多个硬盘驱动器作为存储设备134。在其它实施例中,存储设备134在bcra计算设备101的外部。例如,存储设备134可以在廉价磁盘冗余阵列(raid)配置中包括多个存储单元,诸如硬盘或固态盘。存储设备134可以包括存储区域网络(san)和/或网络附加存储(nas)系统。
在一些实施例中,处理器105经由存储接口120可操作地耦合到存储设备134。存储接口120是能够向处理器105提供对存储设备134的访问的任何组件。存储接口120可以包括例如高级技术附件(ata)适配器、串行ata(sata)适配器、小型计算机系统接口(scsi)适配器、raid控制器、san适配器、网络适配器和/或向处理器105提供对存储设备134的访问的任何组件。
存储器区域110可以包括但不限于诸如动态ram(dram)或静态ram(sram)之类的随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)和非易失性ram(nvram)。上述存储器类型仅仅是示例性的,并且因此对于可用于存储计算机程序的存储器的类型没有限制。
图2是示例生物特征证书请求认证环境的框图,该环境用于使请求者能够对证书签署请求处理进行生物特征认证,其中各种计算设备经由多个网络连接彼此通信地耦合。这些网络连接可以是互联网、lan/wan或其它能够跨计算设备发送数据的连接。环境200示出了通信地耦合到数据库服务器226的bcra计算设备250。在一个实施例中,bcra计算设备250和数据库服务器226是服务器系统222的组件。服务器系统222可以是服务器、多个计算机设备的网络、虚拟计算设备等。bcra计算设备250经由一个或多个网络连接225连接到由请求者操作的至少一个请求者计算设备270、由请求者的监督者操作的监督请求者计算设备272、被配置为认证生物特征样本的第三方生物特征认证计算设备280,以及生成证书文件的证书颁发机构计算设备224。
在一个实施例中,bcra计算设备250被配置为通过网络连接225从请求者计算设备270接收请求消息。在一个实施例中,这些请求消息是服务选择请求消息,其包括用于请求者需要使用证书来执行的服务类型的标识符。bcra计算设备250处理这些服务选择请求消息并且将证书文件发送回请求者,如上面并且相对于图3更详细地描述的。
在一个实施例中,bcra计算设备250被配置为认证从请求者计算设备270接收的生物特征样本。在另一个实施例中,bcra计算设备250将生物特征样本转发到第三方生物特征认证计算设备280。第三方生物特征认证计算设备280对生物样本进行认证,并将认证确认消息发送回bcra计算设备250。一旦已经完成认证,bcra计算设备250就将证书签署请求(csr)发送给证书颁发机构计算设备224,该证书颁发机构计算设备224将bcra计算设备250然后可以提供的证书文件返回给请求者计算设备270。在相关实施例中,bcra计算设备250可以在认证请求者之后向监督请求者计算设备272发送附加提示,该附加提示请求来自请求者的一个或多个监督者的生物特征样本。仅当已经认证足够数量的生物特征样本时,bcra计算设备250才生成csr并发送到证书颁发机构计算设备224。
数据库服务器226连接到数据库220,数据库220包含关于各种事项的信息,如下面更详细描述的。在一个实施例中,数据库220存储在服务器系统222上,并且可以由服务器系统222的潜在用户访问。在可替代实施例中,数据库220远离服务器系统222存储并且可以是非集中式的。数据库220可以包括具有分离的区段或分区的单个数据库,或者可以包括多个数据库,每个数据库彼此分离。数据库220可以存储与bcra计算设备250通信的每个请求者的生物特征认证数据。
在示例实施例中,bcra计算设备150不由通用计算机硬件组成,也不仅仅要求通用计算机指令来执行上述功能。更确切地说,bcra计算设备150是专门设计和定制的计算机设备,其被构建为在证书签署请求处理期间执行对请求者进行生物特征认证、处理来自请求者的输入以及生成承载从其它计算设备(例如,证书颁发机构计算设备)接收的数据的输出(例如,到证书文件的链接)的具体功能。
图3示出了示例消息流300,bcra计算设备230(类似于图1中描述的bcra计算设备101)通过该示例消息流300使请求者能够在证书签署请求处理期间进行生物特征认证。消息流300涉及请求者计算设备310(类似于图2所示的请求者计算设备270),bcra计算设备320(类似于图2所示的bcra计算设备250)和证书颁发机构(ca)计算设备330(与图2所示的证书颁发机构计算设备224类似)。当请求者向bcra计算设备250发送服务选择请求消息时,消息流300开始于332。如上所述,服务选择请求消息包括服务标识符,该服务标识符表示请求者针对其需要数字证书的服务。例如,请求者可能需要对代码到代码储存库中的输入进行数字“签署”,从而确认请求者是代码的合法存放者,而不是未经授权的用户。在这个示例中,服务标识符可以被称为“代码签署证书”。在另一个示例中,请求者可以需要数字证书才能对通过公共网络与另一个计算机用户的通信(例如,对于通过公共互联网发送的电子邮件)进行数字签署。在这个示例中,服务标识符可以被称为“电子邮件传输证书”。
bcra计算设备250接收334服务选择请求消息并提取服务标识符。使用该服务标识符,bcra计算设备250在存储器设备(例如,关于图2描述的数据库220)中执行查找。该查找针对隔离在存储器设备中与服务标识符相关联的一个或多个证书颁发机构。例如,证书颁发机构k将被识别为有资格颁发被配置为对代码存放进行数字签署的数字证书。因而,bcra计算设备250识别证书颁发机构k并且还将ca计算设备330识别为与证书颁发机构k相关联。
而且在334处,bcra计算设备250将第一生物特征样本请求消息发送到请求者计算设备310。第一生物特征样本请求消息被配置为提示请求者计算设备310在显示界面上显示该请求,以便促进请求者提供生物特征样本的能力。例如,在期望指纹作为生物特征样本的情况下,第一生物特征样本请求消息可以在显示界面上显示指向标有“在此处提供拇指印记”的方框的指针。作为另一个示例,第一生物特征样本请求消息可以使请求者计算设备310上的相机设备激活并显示陈述例如“提供视网膜扫描”或“拍摄你的脸部照片以提供你的生物特征样本”的附加消息。作为又一个示例,第一生物特征样本请求消息可以激活请求者计算设备310上的麦克风或录音特征并在显示界面上显示陈述“说出您的姓名(或其它一些预定义的词)以便提供你的生物特征”的消息。
在336处,请求者计算设备310接收第一生物特征样本请求消息。请求者将提供第一生物特征样本。请求者计算设备310将第一生物特征样本发送到bcra计算设备250。在338处,bcra计算设备250接收第一生物特征样本并对其进行认证。在一个实施例中,bcra计算设备250可以访问在注册处理期间提供的为请求者存储的一个或多个生物特征样本,如前所述。认证处理涉及将接收到的第一生物特征样本与一个或多个存储的生物特征样本进行比较。更具体而言,bcra计算设备250检索在注册处理期间先前提供的存储的生物特征样本。在注册处理期间,还提供请求者标识符或请求者设备标识符。因而,bcra计算设备250将提供的请求者标识符或请求者设备标识符与第一生物特征样本相关联。在认证处理期间,bcra计算设备250使用这个关联来检索与请求者相关联的存储的生物特征样本。在相关的实施例中,bcra计算设备250将接收到的第一生物特征样本与所有存储的生物特征样本进行比较。如果在第一生物特征样本与存储的(一个或多个)生物特征样本之间存在匹配,那么请求者被认为是真实的请求者。如果不存在匹配,那么认证失败并且向请求者提供承载认证已失败并且可以重试的信息的消息。可替代地,可以提示请求者返回到注册处理,以提供用于存储和比较的生物特征样本。
在相关实施例中,bcra计算设备250被配置为在可以生成证书签署请求之前提示一个或多个附加个人提供生物统计认证。更具体而言,bcra计算设备250在证书颁发机构k将颁发数字证书之前确定证书颁发机构k(如上所述)要求具体数量的认证验证。甚至更具体而言,证书颁发机构k可以在提供给bcra计算设备250的批准策略文件中对认证验证的这个数量和/或其它规章进行编码。因而,一旦bcra计算设备250将证书颁发机构k识别为要使用的相关ca,bcra计算设备250就被配置为在继续处理之前检查批准策略。在一个实施例中,bcra计算设备250确定批准策略要求对1)请求者和2)请求者的直接监督者进行认证验证。因而,bcra计算设备250在存储器设备(例如,数据库220)中搜索请求者的监督者的标识符(或监督者标识符)。使用监督者标识符(例如,电子邮件地址),bcra计算设备250向请求者的监督者(例如向监督者的计算设备)发送请求生物特征认证的第二生物特征样本请求消息。在这个实施例中,监督者提供第二生物特征样本,然后bcra计算设备250以与上面关于请求者所描述的方式相似的方式来进行认证。在可替代实施例中,bcra计算设备250可以确定批准策略仅要求监督者审核或批准请求者的请求并且不要求监督者的生物特征认证。因而,bcra计算设备250请求来自监督者的审核批准,而不请求生物特征样本。
在紧接在上面描述的相关实施例中,bcra计算设备250被配置为在请求者被认证时生成的认证验证数据与在监督者被认证时生成的认证验证数据之间生成电子链接。例如,bcra计算设备250可以在存储器设备(例如,数据库220)中生成认证链数据字段。可以根据促进被链接的数据的存储的数据结构(例如,数组、链表、图形等)来生成认证链数据字段。认证链数据字段被附加到生成的证书签署请求,如下所述。
假定第一生物特征样本通过认证,那么在340处,bcra计算设备250生成证书签署请求(csr)。在一个实施例中,csr被配置为使证书颁发机构生成证书文件。csr具有证书颁发机构可使用的具体格式。因而,bcra计算设备250审查在334处识别出的证书颁发机构k并且确定与证书颁发机构k兼容的具体格式。在示例实施例中,该特定格式由公开密钥密码术标准(pkcs)#10来实施。因而,bcra计算设备250生成pkcs#10格式的csr,并将其发送到ca计算设备330。
在342处,ca计算设备330接收csr并生成证书文件。作为生成处理的一部分,ca计算设备330可以检查附加到csr或与csr相关联的认证链数据字段。如果发现认证链数据字段包括足够数量的认证验证(即,与证书颁发机构k的批准策略相符的数量),那么ca计算设备330生成承载数字证书的证书文件。数字证书被配置为可用于发行方最初在332处请求的服务。ca计算设备330将证书文件发送到bcra计算设备250。
bcra计算设备250接收证书文件并将其存储344在请求者可访问的电子位置。例如,该位置可以是web端点。因而,bcra计算设备250生成提供对存储在web端点处的证书文件的访问的通用资源定位符(url)。bcra计算设备250将该url发送到请求者计算设备310。请求者使用请求者计算设备310从url下载346证书文件,并继续将证书用于请求者最初指定的服务。
图4示出了示例方法流400,其图示了bcra计算设备如何使请求者能够在证书签署请求处理期间进行生物特征认证。bcra计算设备连接到存储器设备。bcra计算设备被配置为从请求者计算设备接收402服务选择请求消息。如上面参考图3所描述的,服务选择请求消息识别请求者要求针对其的证书的证书服务类型。
bcra计算设备被配置为识别404与生成证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备。例如,证书颁发机构计算设备将是与bcra计算设备在同一计算机网络内的计算设备。在另一个示例中,证书颁发机构计算设备是远程计算设备。更具体而言,这将意味着证书颁发机构计算设备与bcra计算设备不属于同一计算机网络,和/或与不隶属于操作bcra计算设备的组织的证书颁发机构相关联。在又一个示例中,bcra计算设备也是证书颁发机构计算设备。在这个特定示例中,bcra计算设备不向外部计算机发送证书签署请求,而是代替地向自己颁发这些证书签署请求,然后颁发数字证书以供请求者使用。在相关示例中,一旦完成生物特征认证,bcra计算设备就不生成证书签署请求,而仅仅颁发数字证书。
bcra计算设备被配置为向请求者计算设备发送406。第一生物特征样本请求消息提示请求者提供第一生物特征样本。更具体而言,第一生物特征样本请求消息提示请求者计算设备上的计算机应用激活并显示第一生物特征样本请求消息。在另一个示例中,经由电子消息(例如,电子邮件)提示请求者经由网站或其它电子手段来提供第一生物特征样本。因而,请求者通过规定的手段向bcra计算设备提供第一生物统计样本。
bcra计算设备被配置为认证408从请求者计算设备接收的第一生物特征样本。bcra计算设备通过例如确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来执行认证。如前所述,请求者将在注册处理期间提供参考生物特征样本,以供bcra计算设备存储。如果找到匹配,那么bcra计算设备将请求者视为通过认证,然后继续生成证书签署请求。
bcra计算设备被配置为基于认证来发起410将证书文件提供给请求者计算设备。更具体而言,bcra计算设备生成证书签署请求以提交给证书颁发机构计算设备。证书签署请求被配置为请求由请求者先前在服务选择请求消息中指定的证书服务类型的证书。此外,证书签署请求将采用与证书颁发机构对应的格式。bcra计算设备通过例如在存储器设备中执行对与和较早识别出的证书颁发机构计算设备对应的一种或多种格式的查找来确定格式。
bcra计算设备将证书签署请求发送到证书颁发机构计算设备,并且被配置为从证书颁发机构计算设备接收证书文件。证书文件包括与请求者指定的证书服务类型对应的证书。bcra计算设备被配置为将证书文件发送到请求者计算设备。更具体而言,bcra计算设备确定用于请求者的最佳传输方法,该方法包括例如将证书存储在电子端点(例如,网页)处并生成指向那个电子端点的通用资源定位符(url)。在这个示例中,bcra计算设备将url发送到请求者计算设备,并且向请求者通知证书可用。请求者下载证书并将其用于请求者先前指定的服务。
图5示出了计算机设备内的数据库500以及其它相关计算机组件的示例配置,该数据库500可以用于使请求者能够在证书签署请求处理中进行生物特征认证。在一些实施例中,计算机设备510类似于bcra计算设备101(在图1中示出)。操作者502(诸如操作bcra计算设备101的用户)可以访问计算机设备510,以便为一个或多个其他用户(诸如请求数字证书的请求者)管理生物特征认证。在一些实施例中,数据库520类似于存储设备134(在图1中示出)。在示例实施例中,数据库520包括证书数据522、证书签署请求数据524和请求者数据526。证书数据522包括与由请求者请求并由证书颁发机构颁发的数字证书有关的数据。证书数据522可以被用于存储先前颁发的数字证书以及相关联的元数据(诸如到期日期和相关联的请求者)。证书签署请求数据524包括关于证书签署请求的内容和格式的数据。这些包括证书标识符、请求者标识符、服务选择标识符、证书签署请求元数据(日期/时间)等。请求者数据526包括与已经注册为使用bcra计算设备的请求者有关的数据。这些包括请求者的存储的生物特征样本、请求者应用标识符、请求者标识符、请求者计算设备数据以及连接这些数据的数据链接。
计算机设备510还包括数据存储设备530。计算机设备510还包括分析组件540,其帮助确定例如存储的生物特征样本与请求者提供的候选生物特征样本之间的匹配。计算机设备510还包括可以由用户502用来查看bcra计算设备101的状况的显示组件550。计算机设备510还包括用于与远程计算机设备(例如,请求者计算设备)进行通信的通信组件560。在一个实施例中,通信组件560类似于通信接口驱动器115(在图1中示出)。
如基于前述说明书将认识到的,本公开的上述实施例可以使用计算机编程或工程技术来实现,该计算机编程或工程技术包括计算机软件、固件、硬件或其任何组合或子集,其中技术效果是建立并操作基于文件系统的应用网络。具有计算机可读代码装置的任何这样得到的程序都可以在一个或多个计算机可读介质中实施或提供,从而根据本公开所讨论的实施例制作计算机程序产品(即,制品)。计算机可读介质可以是例如但不限于固定(硬)驱动器、软盘、光盘、磁带、诸如只读存储器(rom)之类的半导体存储器,和/或任何传输/接收媒体(诸如互联网或其它通信网络或链接)。包含计算机代码的制品可以通过直接从一个介质执行代码、通过将代码从一个介质复制到另一个介质或者通过经网络发送代码来制造和/或使用。
这些计算机程序(也称为程序、软件、软件应用、“应用”或代码)包括用于可编程处理器的机器指令,并且可以用高级过程和/或面向对象的编程语言和/或者用汇编/机器语言来实现。如本文所使用的,术语“机器可读介质”、“计算机可读介质”是指用于向可编程处理器提供机器指令和/或数据的任何计算机程序产品、装置和/或设备(例如,磁盘、光盘、存储器、可编程逻辑设备(pld)),包括将机器指令作为机器可读信号接收的机器可读介质。但是,“机器可读介质”和“计算机可读介质”不包括瞬态信号。术语“机器可读信号”是指用于向可编程处理器提供机器指令和/或数据的任何信号。
书面描述使用示例来公开包括最佳模式的本公开,并且还使得本领域的任何技术人员能够实践本公开,包括制造和使用任何设备或系统以及执行任何包含的方法。本公开的专利范围由权利要求限定,并且可以包括本领域技术人员想到的其它示例。如果这些其它示例具有不与权利要求的字面语言不同的结构元件,或者如果它们包括与权利要求的字面语言无实质区别的等同结构元件,则这些其它示例意图在权利要求的范围内。
- 还没有人留言评论。精彩留言会获得点赞!