专利名称:一种集成生物认证和属性证书的认证方法及系统的制作方法
技术领域:
本发明涉及信息安全技术领域,具体涉及身份识别和权限认证方法及系统。
背景技术:
ITU(International Telecomunications Union)和IETF(Internet EngineeringTask Force)使用属性证书实现了权限管理基础设施或称授权管理基础设施(PMI,Privilege Management Infrastructure)。
PMI是属性证书、属性权威、属性证书库等部件的集合体,其用来实现权限证书的产生、管理、存储、分发和撤销等功能。PMI实际提出了一个新的信息保护基础设施,能够与公钥基础设施(PKI)和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。
建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性属性证书(AC,Attribute Certificate),定义了一个实体拥有的权限,实体与权限的绑定由一个被数字签名了的数据结构提供,这种数据结构被称为属性证书,由属性权威(AA,Attribute Authority)签发并管理,它包括一个展开机制和一系列特别的证书扩展机制。所谓属性权威是用来生成并签发属性证书的机构,它负责管理属性证书的整个生命周期。
图1为属性证书的模板格式示意图。在属性证书中通常包括版本、序列号、有效期、发行者、签名算法及其标识、持有者、发行者唯一标识、属性信息、扩展信息,以及发行者签名等信息。其中,有关权限的定义包含在属性信息中。
X.509定义的属性证书框架提供了一个构建权限管理基础设施(PMI)的基础,这些结构支持访问控制等应用。属性证书的使用(由AA签发的)提供一个灵活的权限管理基础设施(PMI)。
对于一个实体的权限约束由属性证书权威(已被数字签名的数据结构)或者由公钥证书权威(包含已明确定义权限约束扩展的)提供。
随着近年来逐渐开始成熟的生物特征识别技术的发展,把生物特征识别技术应用在信息安全上,利用生物特征的唯一性、稳定性等特点和加密算法融合,为信息安全提供了保障。
生物识别技术是指利用人类自身生理或行为特征进行身份认定的一种技术,如指纹识别和虹膜识别技术等。
生物识别认证系统必须先创建生物特征模板,进行身份认证时将新收集的生物特征数据与预先注册存储的模板进行匹配,看匹配结果在是否在有效范围内来判断其身份的合法性。
生物认证基础设施(TAI,Telebiometric Authentication Infrastructure),使用生物证书提供身份验证功能的系统,其基本组件和机制是结合了X.509的规定和生物认证而定义的,生物证书的发行和吊销机制也都类似于X.509定义的公钥证书的发行和吊销机制,而具体的身份验证部分有所不同,具体的不同是生物认证系统主要增加了生物数据采集子系统和生物特征比对子系统。
图2为生物证书的模板格式示意图。其包括版本生物证书中心(BCA,Biometric CA)所发行的生物证书的版本。
序列号BCA所发行的生物证书的唯一标识。
有效期包括有效期起始日期和有效期终止日期,指示了生物证书可用的日期。
主体该证书所标识的个人或者实体,可以用主体唯一标识来区分和核实。
发行者标识生成并对该证书签名的可信任源BCA,可以用其唯一标识来区分和核实。
模板格式标识生物特征模板的格式标识信息。
生物特征模板该模板存放了主体的生物特征信息。
扩展信息在不改变证书格式的前提下,允许证书中编码加入额外的信息。证书在某些应用场合需要附加信息或者声明证书使用方法等其他信息。
发行者签名用BCA的私钥对序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板、扩展信息等的摘要的数字签名。
现有虽然已经提供了多种认证方式,比如,独立的权限认证如PMI认证,独立的身份认证如PKI认证、生物认证等,身份认证和权限认证的结合如在PKI的基础上进行PMI认证,等等,但是如何将生物认证和权限认证相结合,仍然是个有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种集成生物认证和属性证书的认证方法,将生物识别认证和权限认证相结合,从而更为准确可靠地实现权限管理。
本发明提供的一种集成生物认证和属性证书的认证方法,对属性证书进行生物认证扩展,为具有权限特性的属性设定相应的生物认证安全级别,该方法包括用户发出服务请求,并携带生物证书、属性证书;采集用户生物特征信息并根据安全级别确定的相关参数进行身份认证,如果身份验证失败,则拒绝用户请求;根据用户的属性证书的属性进行权限认证,并将认证结果通知用户。
该方法还包括判断用户所提供的属性证书和生物证书是否关联对应,当判断所述属性证书和生物证书关联对应,则响应用户的请求;否则拒绝用户请求;在属性证书中对于每一个带有权限特性的属性,都定义一个生物验证安全级别与之相对应;其中所述属性证书和生物证书是否关联对应是通过检查属性证书中定义的生物证书索引和生物证书中的主体是否一致进行判断的。
所述安全级别与相关参数的对应关系保存在生物算法证书中。
所述根据安全级别选择的相关参数为生物识别过程中所需要的参数,包括生物类型、识别算法、误匹配率、重试次数和生物数据质量中的一个或多个。
所述生物算法证书和属性证书中包含用户权限对应的安全级别信息。
所述生物证书中设有生物特征模板,该模板中存放相关生物特征信息。
其中所述身份认证,包括将采集的用户生物特征信息与生物证书中存放的生物模板进行比对,并根据安全级别对应的生物认证相关参数进行认证。
根据本发明还提供一种集成生物认证和属性证书的认证系统,包括服务提供单元,用于为通过认证的用户提供相应的服务,使其能够访问被保护的资源,或者享受某种服务。
采集单元,用于采集用户的生物特征信息。
身份认证单元,用于认证用户的身份,根据所采集的用户生物数据以及确定的安全级别选择相关参数进行身份认证;权限认证单元,根据属性证书中的权限信息,确认用户是否有权限使用服务提供单元提供的服务。
综上所述,本发明通过对PMI系统中的属性证书进行扩展,将属性证书中对于不同的属性的认证与不同的生物验证严格程度相结合。并且利用生物算法证书为生物认证系统提供可靠生物认证相关参数,使得PMI权限认证系统能够将生物证书和权限认证进行无缝结合,可同时使用生物证书和属性证书对用户进行身份和权限认证,从而提高安全认证的准确性和可靠性。
图1为属性证书的模板格式示意图;图2为生物证书的模板格式示意图;图3为根据本发明的生物算法证书的模板格式示意图;图4为根据本发明的认证系统示意图;图5为根据本发明实施例的认证方法流程示意图。
具体实施例方式
本发明将生物识别认证技术与PMI权限认证结合实现对用户的身份和权限认证。在生物识别和PMI权限认证结合的系统中,为了配合生物认证进行身份认证,需要对属性证书进行生物认证扩展。本发明中对PMI中的属性证书进行了扩展,并结合属性证书、生物证书以及生物算法证书以更为合理准确地对PMI中的被验证者进行验证。
如图1所示,属性证书中定义了拥有者的权限,根据X.509对于属性证书的定义,属性证书中可有多个属性定义拥有者的不同权限。当使用生物证书对拥有者进一步进行身份确认时,对于不同的属性定义的权限,需要有不同的生物认证原则。
因此,在属性证书中对于每一个带有权限特性的属性,都定义一个生物验证安全级别与之相对,一般来说,当权限越高时,安全级别的要求就越苛刻,以更为合理的保证资源的安全性。
这种属性与安全级别的对应关系可以直接通过属性本身的定义改造来实现。在X.501|ISO/IEC9594-2中对于属性证书中的属性的表格方法定义如下Attribute::=SEQUENCE{Type ATTRIBUTE.&id({SupportedAttributes}),ValuesSET SIZE(0..MAX)OF ATTRIBUTE.&TYPE({SupportedAttributes}{@type}),valuesWithContext SET SIZE(1..MAX)OF SEQUENCE{value ATTRIBUTE.&Type({SupportedAttributes}{@type}),contextList SET SIZE(1..MAX)OF Context}OPTIONAL}其中,Type表示了一个属性所表示的类别信息,value则是type所对应的数值,context则提供了对于属性数值所表示的其他与应用能力相关的信息。
在此,利用Context来表示一个属性所对应的生物匹配的安全级别,以方便验证者使用。
按照X.501|ISO/IEC9594-2的定义,Context的格式如下Context::=SEQUENCE{contextType CONTEXT.&id({SupportedContexts}),contextValuesSET SIZE(1..MAX)OF CONTEXT.&Type({Supported Contexts}{@contextType}),fallback BOOLEAN DEFAULT FALSE}其中,contextType为对象描述符(OBJECT IDENTIFIER),contextValues是与contextType相对于的各个特性的值,fallback表示一个属性相对于contextType而言的一些特殊对应关系。
当context用以表示生物验证的安全级别时,contextType表示为生物验证安全级别,而contextValues为安全级别的具体值。
安全级别最终需要对应到生物认证所涉及的相关参数上面去,这些参数包括生物识别门限,误接受率范围、重试次数等.为了配合PMI的权限认证,本发明提出了生物算法证书,通过生物算法证书和属性证书联合使用,为生物认证子系统提供可靠的认证相关参数,如生物识别门限、误接受率范围、重试次数等。
生物算法证书BAC(Biometric Algorithm Certificate)是生物认证权威机构颁发的经过其认证的各种生物识别的算法、生物识别门限,误接受率范围、重试次数等生物识别相关参数的证书。生物算法证书可以由生物认证机构直接持有。
生物算法证书格式如图3所示。
生物算法证书中的内容说明如下版本生物认证权威机构所颁发的生物算法证书的版本。
序列号生物认证权威机构所颁发的生物算法证书的唯一标识。
有效期包括有效期起始日期和有效期终止日期,指示了生物算法证书可用的日期。
发行者标识生成并对该证书签名的可信任源生物认证权威机构,可以用其唯一标识来区分和核实。
安全级别列表存放了安全级别所对应的生物识别相关参数。
扩展信息在不改变证书格式的前提下,允许证书中编码加入额外的信息。证书在某些应用场合需要附加信息或者声明证书使用方法等其他信息。
发行者签名用TBA的私钥对序列号、有效期、发行者及其唯一标识、生物类型及其唯一标识、识别算法及其唯一标识、安全级别列表、扩展信息等的摘要的数字签名。
安全级别列表中定义了各安全级别和生物识别相关参数对应列表,即不同生物类型的不同识别算法的对应着不同的生物识别参数。其结构参考如下Security Level BioRef LIST::=SEQUENCE{SecurityLevelNumINTEGER,(级别个数)ListofSecurityLevelBioRef SecurityLevelBioRef(级别信息列表)}SecurityLevelBioRef::=SEQUENCE{SecurityLevel INTEGER,(级别数值)BiometricRefeParaNumINTEGER,(生物认证参数表的个数)ListofBiometricRefPara BiometricRefPara(生物认证参数表的列表)}Biometric ReferPara::=SEQUENCE{{BiometricType BiometricType(CBEFF defined type),Biometric Algorithm STRING,Request FMR BioAPI_FAR,Trial NumberINTEGER,Quality INTEGER,..}Biometric Type生物类型,即生物识别采用何种生物特征类型,例如指纹、虹膜、语音等。可以用唯一标识来区分。
Biometric Algorithm经过生物认证权威认证的某种生物类型的采集算法,可以用唯一标识来区分。
Request FMR误匹配率,即进行每次生物识别错误的概率。
Trial Number认证失败后允许用户进行重试的次数。
Quality输入生物数据的质量。
Other BioRef其他生物识别参数。
在同一安全级别下,不同的生物类型、算法和认证系统模型要求的误匹配率、重试次数、生物数据质量等参数不同。
如图4所示,根据本发明的生物识别和属性证书的认证系统,包括服务提供单元,采集单元,身份验证单元,权限认证单元。
服务提供单元,用于与对验证通过的用户提供相应的服务,使其能够访问被保护的资源,或者享受某种服务。
采集单元,用于采集用户的生物特征数据。
身份认证单元,用于验证用户的身份,即用户本人是否为所声明的那个人;权限认证单元,根据属性证书中的权限信息,确认用户是否有权限使用服务提供单元提供的服务。
下面结合具体实施例对本发明进一步说明。
本实施例为用户访问信息资源数据库,获取有用信息。
首先,将有权访问该信息资源数据库的所有用户的生物特征信息构造为生物模版存放到生物证书中,在属性证书的属性信息中为属性设置与生物识别认证相关的安全级别信息。参照图5,进行身份和权限认证的过程如下1.用户向信息提供服务系统发出访问信息资源数据库的请求,携带生物证书、属性证书;2.信息提供服务系统检查属性证书和生物证书是否对应,即检查属性证书的生物证书索引扩展信息是否和生物证书关联对应;如果属性证书中定义的持有者和生物证书主体一致,则提取属性证书中属性信息(包括安全级别),并进行下一步操作,否则就直接拒绝;3.信息提供服务系统响应服务请求;
4.如果2中检查通过,则采集单元采集用户生物数据并发送给信息提供服务系统;5.信息提供服务系统向身份认证单元发送身份认证请求,携带生物证书、用户生物数据和安全级别信息;6.身份认证单元根据属性证书中属性对应的安全级别查找生物算法证书中的生物认证所需要的参数,随后根据这些参数对生物证书中的模版与采集到的生物证书进行匹配,确认是否达到了匹配要求,从而实现对于用户的生物身份认证;7.身份认证单元将身份认证结果发送给信息提供服务系统;8.如果该用户通过身份认证,信息提供服务系统则发权限认证请求给权限认证单元,并携带用户的访问权限参数和属性证书;如身份认证失败,则通知用户身份认证失败;9.权限认证单元根据用户访问的权限和属性证书进行权限认证;10.并将认证结果发送给信息提供服务系统;11.信息提供服务系统通知用户认证是否成功。如果该用户通过权限认证,则可进行访问信息资源数据库操作。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
权利要求
1.一种集成生物认证和属性证书的认证方法,其特征在于,对属性证书进行生物认证扩展,为具有权限特性的属性设定相应的生物认证安全级别,该方法包括用户发出服务请求,并携带生物证书、属性证书;采集用户生物特征信息并根据安全级别确定的相关参数进行身份认证,如果身份验证失败,则拒绝用户请求;根据用户的属性证书的属性进行权限认证,并将认证结果通知用户。
2.如权利要求1所述的认证方法,其特征在于, 还包括判断用户所提供的属性证书和生物证书是否关联对应,当判断所述属性证书和生物证书关联对应,则响应用户的请求;否则拒绝用户请求。
3.如权利要求2所述的认证方法,其特征在于,其中所述属性证书和生物证书是否关联对应是通过检查属性证书中定义的生物证书索引和生物证书中的主体是否一致进行判断的。
4.如权利要求1所述的认证方法,其特征在于,所述安全级别与相关参数的对应关系保存在生物算法证书中。
5.如权利要求1或4所述的认证方法,其特征在于,所述根据安全级别选择的相关参数为生物识别过程中所需要的参数,包括生物类型、识别算法、误匹配率、重试次数和生物数据质量中的一个或多个。
6.如权利要求4所述的认证方法,其特征在于,所述生物算法证书和属性证书中包含用户权限对应的安全级别信息。
7.如权利要求1所述的认证方法,其特征在于,在所述属性证书中对于每一个带有权限特性的属性,定义一个生物验证安全级别与之相对应。
8.如权利要求1或7所述的认证方法,其特征在于,其中所述身份认证,包括将采集的用户生物特征信息与生物证书中存放的生物模板进行比对,并根据安全级别对应的生物认证相关参数进行认证。
9.一种集成生物认证和属性证书的认证系统,其特征在于,包括服务提供单元,用于为通过认证的用户提供相应的服务;采集单元,用于采集用户的生物特征信息。身份认证单元,用于认证用户的身份,根据所采集的用户生物特征信息以及确定的安全级别选择相关参数进行身份认证;权限认证单元,根据属性证书中的权限信息,确认用户是否有权限使用服务提供单元提供的服务。
全文摘要
本发明提供的一种集成生物认证和属性证书的认证方法及系统,对属性证书进行生物认证扩展,设定相应权限对应的生物认证安全级别,该方法包括用户发出服务请求,携带生物证书、属性证书;判断所述属性证书和生物证书关联对应,则响应用户的请求;否则拒绝用户请求;采集用户生物数据并根据相关参数进行身份认证;根据用户属性信息进行权限认证,并将认证结果通知用户。该系统包括服务提供单元、采集单元、身份认证单元、权限认证单元。利用本发明能使用生物证书进行身份认证并与权限认证无缝结合,同时使用生物证书和属性证书进行身份和权限认证,从而提高安全认证的准确性和可靠性。
文档编号H04L9/32GK101051895SQ20061007428
公开日2007年10月10日 申请日期2006年4月7日 优先权日2006年4月7日
发明者刘淑玲, 李超, 位继伟 申请人:华为技术有限公司