专利名称:一种生物证书生成系统及方法
技术领域:
本发明涉及生物证书技术领域,更具体地说,本发明涉及一种生物证书 生成系统及方法。
背景技术:
随着网络快速发展,网络越来越和人们的工作与生活融合在一起。电子 政务、电子办公、电子商务得到了大量的应用,网上银行、网上交易等也愈 发普遍,因此对个人的身份认证也就显得非常重要,这甚至是其它工作开始 的第一步。传统方式中一般以密码方式进行认证,存在容易忘记、容易被别 人窃取等很难弥补的缺陷,安全性无法令人满意,以至于近年来网络欺诈、 账户盗用的现象日益增多。因此,发展更高安全层次的个人信息保障和认证 机制势在必行。.公钥基础设施(PKI, Public Key Infrastructure )是一种利用公钥加密技 术为电子商务提供一套安全基础平台的技术和规范。它能够为各种网络应用 提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单来 说,PKI就是利用公钥理论建立的提供安全服务的基础设施。互联网用户可 利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活 动。PKI基础设施采用证书管理公钥,通过第三方的可信任机构(CA认证 中心)将用户的公钥和用户的其它标识信息捆绑在一起,在互联网上验证用 户的身份。参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。 数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交 流及商务交易活动中的身份证明,数字证书具有惟一性。它将实体的公开密
钥同实体本身联系在一起。为实现这一目的,必须使数字证书符合X509国 际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方 都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这 个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的 信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可 信赖性,电子商务就根本无从谈起。CA是整个网上电子交易安全的关键环 节,它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证 数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安 全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构,也就 是根CA。生物识别技术是指利用人类自身生理或行为特征进行身份确认的一种 技术,如指紋识别、虹膜识别、脸型识别、脉络识别等。近年来生物特征识 别技术逐渐成熟,以及网络身份认证的特殊环境,可以将生物特征识别技术 应用在身份认证上,利用生物特征的唯一性、稳定性等特点,为信息安全提 供了保障。生物识别认证系统必须先创建生物特征模版,进行身份认证时将新收集 的生物特征数据与预先注册存储的生物特征模版进行匹配,看匹配结果是否 在有效范围内来判断结果。现在利用生物识别技术的系统有指纹门襟系统、 指紋考勤系统、指紋锁系统、生物电子证件系统以及利用生物识别进行认证 的各种应用系统等,可见生物识别技术的应用已初具规模。但是个人生物特 征数据属于个人隐私和个人专有,如果不进行保护,就非常容易泄露出去, 从而给生物数据的所有者带来巨大损失,这也是生物识别技术不能广泛应用 的主要原因。以上列出了 一些现有的生物识别认证系统,然而这些生物识别认证系统 并不能广泛应用于网络应用中。显然,带有生物学特征、用于个人身份认证 的生物证书能够为网络应用带来更高安全性,然而在现有技术中并无证明个 体身份的生物证书的生成方式
发明内容
有鉴于此,本发明的主要目的是提出一种生物证书生成系统,以提高个 人身份认证的安全性。本发明的另一目的是提出一种生物证书生成方法,以提高个人身份认证 的安全性。为达到上述目的,本发明的技术方案是这样实现的 一种生物i正书生成系统,该系统包才舌注册生物权威,用于接受申请者的注册,并确认申请者的身份,获取申请 者注册信息,并将所述申请者注册信息发送到生物证书权威;生物证书权威,用于根据申请者生物模版或生物模版的路径信息及所述申 请者注册信息来生成生物证书。该系统进一 步包括证书权威,用于向生物证书权威颁发公钥证书;生物证书权威,用于根据该公钥证书所对应的私钥,对生成的生物证书进 行签名。所述公钥证书为X.509公钥证书。所述注册生物权威进一步用于获取申请者生物模版或生物模版的路径信 息,并将所述申请者生物模版或生物模版的路径信息发送到生物证书权威;所述生物证书权威,用于根据由注册生物权威所发送来的申请者生物模版 或生物模版的路径信息及申请者注册信息来生成生物证书。该系统进一步包括保存有申请者生物模版的可信第三方,所述生物证书权威,用于从所述可信第三方获取申请者生物模版,并根据 所获取的申请者生物模版和申请者注册信息来生成生物证书。所述可信第三方为生物权威。所述生物证书权威进一步用于将签名后的生物证书发送到注册生物权威;所述注册生物权威,进一步用于将所述生物证书存储入存储介质中。 所述的存储介质为智能卡、移动硬盘、固定硬盘或闪存。 所述注册生物4又威包^舌至少一个本地注册生物^又威;所述本地注册生物权威,用于对本地的申请者进行注册,获取本地申请者 注册信息,并将所述本地申请者注册信息发送到生物证书权威。所述生物证书权威包括至少一个子生物证书权威,用于根据所述本地申讳-者的生物模版或生物模版的路径信息及该本地申请者注册信息来生成生物证 书。所述生物模版的路径信息为生物模版的统一资源定位符(URL )。 一种生物证书生成方法,该方法包括接受申请者的注册,并确认申请者的身份,获取申请者注册信息,并根据 申请者生物模版或生物模版的路径信息及申请者注册信息来生成生物证书。 该方法进一步包括根据与证书权威颁发的公钥证书相对应的私钥,对生成的生物证书进行签名。所述公钥证书为X.509公钥证书。所述申请者生物模版或生物模版的路径信息由申请者保存,或者所述申请 者生物模版或生物模版的路径信息由可信第三方保存。该方法进一步包括进一步将所述生物证书存储入存储介质中。所述生物模版包括脱氧核糖核酸(DNA)信息、指紋信息、虹膜信息、脸 型信息、脉络信息中的任一个或者其中至少 一个的组合。所述生物模版的路径信息为生物;漠版的URL。从上述技术方案可以看出,在本发明提出的生物证书生成系统中包括 注册生物权威,用于接受申请者的注册,并确认申请者的身份,获取申请者 注册信息,并将所述申请者注册信息发送到生物证书权威;生物证书权威, 用于根据申请者生物模版或生物模版的路径信息及所述申请者注册信息来 生成生物证书。由此可见,在本发明中,能够利用申请者注册信息和申请者 生物模版来生成生物证书。显然,由生物证书权威所颁发的带有生物学特征 的生物证书能够显著提高个人身份认证的安全性。
另外,本发明在各种生物证书权威拓朴模型下都能够实现生物证书的生 成。而且,在申请者拥有生物模版或生物模版的路径信息,以及生物模版或 生物模版的路径信息被存放在可信第三方这两种情况下,本发明都能够顺利 生成生物证书。
图1为根据本发明的生物证书生成系统的示范性结构示意图。图2为根据本发明第一实施例的生物证书生成系统的示范性结构示意图。图3为根据本发明第二实施例的生物证书生成系统的示范性结构示意图。图4为根据本发明第三实施例的生物证书生成系统的示范性结构示意图。图5为根据本发明第二实施例的生物证书生成方法的示范性流程示意图。图6为根据本发明第三实施例的生物证书生成方法的示范性流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,下面结合附 图及具体实施例对本发明再作进一步详细的说明。图1为根据本发明的生物证书生成系统的示范性结构示意图。如图1所 示,该系统包括注册生物权威101 (RBA, Register Biometric Authority),用于接受申请者 的注册,并确认申请者的身份,获取申请者注册信息,并将所述申请者注册信息发送到生物证书权威;生物i正书4又威102 (BCA, Biometric Certificate Authority ),用于4艮据
申请者生物模版或生物模版的路径信息及所述申请者注册信息来生成生物 证书。其中,该系统优选进一步包括生物证书权威103 (CA, Certificate Authority),用于向生物证书权威102颁发公钥证书,生物证书权威102再 用于根据该公钥证书所对应的私钥,对生成的生物证书进行签名。 一般地, 公钥证书优选为X.509公钥证书,以用于生物证书权威102对颁发的生物i正 书进行签名,同时也为不同的生物证书权威102所颁发的生物证书进行交叉 认证做准备。也就是说,生物证书权威102的主要功能是接受注册生物权威 101传来的申请者信息和获取生物模版或生物模版的路径信息,签发生成申 请者的生物证书。优选地,生物证书权威102进一步用于将经过签名的生物证书发送到注 册生物权威101;注册生物权威101接收到申请者的生物证书后,可以将生 物证书存储到临时数据库中,并写入申请者的智能卡等存储介质中,或者注 册生物权威101将生物证书放到服务器中,然后申请者再通过安全通道下载 到自己的存储设备中。由于生物证书被用于证明个体的身份,生物证书需要向他人证明自己的 有效性,因此生成生物证书的生物证书权威102必须是一个公认的权威机 构。比如,为了保证生物证书的可靠性,生成生物证书的生物证书权威102 优选满足下列条件1. 生成生物证书时,生物证书权威102应该能证明主体的身份;2. 对同一个主体,生物证书权威102不能颁发两个或两个以上的生物 证书;3. 生物证书权威102能够保证主体生物数据的安全,保证不会在生成 生物模版和生物证书时泄漏主体的生物数据;4. 生物证书权威102必须持有公钥证书和与该公钥证书对应的签名私钥。
另外,在本发明中,生物模版或生物模版的路径信息既可以由申请者提 供,也可以由可信第三方提供。优选地,生物模版包括标识申请人身份的生物信息,这些生物信息优选包括DNA信息、指紋信息、虹膜信息、脸型 信息、脉络信息中的任一个或者其中至少一个的组合。显然,上述对生物信 息的说明仅为示范性的,生物信息还可能有其它形式,本发明对此并无限定。在本发明中,生物模版的路径信息可以有多种形式,比如为保存生物模 版的文件夹名称、生物模版的URL等,优选为生物模版的URL。当生物模版或生物模版的路径信息由申请人提供时, 一般优选由申请人 在向注册生物权威101注册时提供生物模版或生物模版的路径信息。此时, 注册生物权威101获取申请者生物模版或生物模版的路径信息后,将所述申 请者生物模版或生物模版的路径信息发送到生物证书权威102,然后生物证 书权威102再根据由注册生物权威101所发送来的申请者生物模版或生物模 版的路径信息及申请者注册信息来生成生物证书。当申请者的生物模版或生物模版的路径信息保存在可信第三方时,生物 证书权威102可以通过安全通道从可信第三方获取申请者生物模版或生物 模版的路径信息,然后再根据所述申请者生物模版或生物模版的路径信息及 申请者注册信息来生成生物证书。当申请人的数目较多,或者申请人所处的地域比较广泛时,可以将注册 生物权威101在逻辑上分成至少一个本地注册生物权威(LRBA, Local Register Biometric Authority ),每一个本i也注册生物4又威,用于7于本i也的申 请者进行注册,获取本地申请者注册信息,并将所述本地申请者注册信息发 送到生物证书权威。对应地,当申请人的数目较多,或者申请人所处的地域 比较广泛时,生物证书权威102也可以在逻辑上包括至少一个子生物证书权 威(SBCA, Subset Biometric Certificate Authority ),用于根据所述本地申 请者的生物模版或生物模版的路径信息及该本地申请者注册信息来生成生 物证书。显然,注册生物权威101和生物证书权威102可以是具有多层的分层结构,本发明对层数也并无限定,层数的多少可以取决于实际应用中的需要。图2为根据本发明第一实施例的生物证书生成系统的示范性结构示意 图。在该实施例中,生物证书权威(BCA) —般拥有证书权威(CA)颁发 的X.509公钥证书,以用于BCA对颁发的生物证书进行签名,同时也为不 同的BCA颁发的生物证书进行交叉认证做准备。BCA下分为若干个子生物证书权威(SBCA),各个SBCA也拥有X.509 证书,每个SBCA拥有的X.509证书中都有BCA的数字签名。SBCA的主 要功能是接受注册生物权威(RBA )传来的生物模版或生物模版的路径信息 和申请者信息,签发生成申请者生物证书,并将申请者生物证书传给RBA。 每个SBCA下设有若干个注册生物权威(RBA)。 RBA功能主要包括 审核申请者身份;注册用户基本信息;收集申请者的生物模版或生物模版的 路径信息;把申请者生物模版或生物模版的路径信息传给SBCA或BCA; 接收从SBCA或BCA传来的申请者生物证书;把申请者生物证书写入智能卡(其它存储介质)。每个RCA下设有若干个本地注册生物权威(LRBA) , LRBA功能主要包括审核申请者身份;注册用户基本信息;收集申请者的生物模版或生物 模版的路径信息;将申请者生物模版或生物模版的路径信息传给RCA;接 收从RBA传来的申请者生物证书;把申请者生物证书写入智能卡(其它存 储介质)。在这里,BCA与SBCA之间、BCA与RBA之间、SBCA与RBA之间、 RBA与LRBA之间的网络通信优选均为安全状态下进行。图3为根据本发明第二实施例的生物证书生成系统的示范性结构示意 图。在该实施例中,由可信第三方保存生物模版或生物模版的路径信息。在 生物证书签发前,申请者先注册申请信息。当申请者的生物模版或生物模版 的路径信息由可信第三方,如生物权威(BA)保存时,当申请者申请生物 证书时,BCA从BA处调取申请者的生物模版或生物模版的路径信息,然后 BCA生成并签发生物证书。
图4为根据本发明第三实施例的生物证书生成系统的示范性结构示意 图。在该实施例中,在生物证书签发前,申请者要先注册申请信息;生成生 物模版或生物模版的路径信息,由申请者自己保存生物模版或生物模版的路 径信息;当申请者申请生物证书时,申请者提交生物模版或生物模版的路径 信息给BCA,然后BCA生成并签发生物证书。同时,本发明还提出了一种生物证书生成方法,该方法包括接受申请者的注册,并确认申请者的身份,获取申请者注册信息,并根 据申请者生物模版和申请者注册信息来生成生物证书。以上过程中,该方法进一步包括根据与证书权威所颁发的公钥证书相对应的私钥,对生成的生物证书进 行签名。其中,申请者生物模版或生物模版的路径信息可以由申请者保存, 或者由可信第三方保存。下面结合图3和图4所示系统结构,分别对本发明的流程进行示范性详 细说明。图5为根据本发明第二实施例的生物证书生成方法的示范性流程图,如 图5所示,该方法包括步骤501:申请者到LRBA登记身份基本信息,同时LRBA对申请者进 行审核,审核通过后LRBA注册申请者,并录入必要的申请者注册信息,根 据管理策略,保存到自身的临时数据库中或直接发给RBA;步骤502: LRBA根据管理策略,把注册的申请者注册信息从临时数据 库中调出,发送给RBA;步骤503: RBA接收注册的申请者注册信息,并存放到其自身的临时数 据库中,进行决定性审核,根据管理策略,将注册的申请者注册信息从临时 数据库中调出,发送给SBCA或BCA;步骤504: SBCA或BCA接收注册的申请者注册信息,并存放到自身的 临时数据库中,根据管理策略,将注册的申请者注册信息从临时数据库中调 出,根据申请者信息通过安全通道向BA请求申请者的生物模版或生物模版 的路径信息;步骤505: BA查询申请者的生物模版或生物模版的路径信息,并传給SBCA或BCA, SBCA或BCA接收申请者的生物模版或生物模版的路径信 台 步骤506: SBCA或BCA根据申请者的生物模版或生物模版的路径信息 和申请者注册信息生成生物证书,并用自己的私钥签名生物证书,根据管理 策略,将生成的生物证书暂时存储在自身的数据库中;步骤507:根据管理策略,SBCA或BCA申请者的生物证书从临时数据 库中调出,传给RBA;步骤508: RBA接收申请者的生物证书,存储到临时数据库中;步骤509: RBA把申请者的生物证书从数据库中调出,并写入申请者的 智能卡(或移动硬盘、固定硬盘、闪存等其它存储介质)中;或者RBA将 生物证书放到服务器中,申请者通过安全通道下栽生物证书到自己的存储设备中。图6为根据本发明第三实施例的生物证书生成方法的示范性流程图,如 图6所示,该方法包括步骤601:申请者到LRBA登记身份基本信息,同时LRBA对申请者进 行审核,审核通过后LRBA注册申请者,录入必要的申请者注册信息,同时 要求读取申请者的生物模版或生物模版的路径信息;步骤602:根据管理策略,LRBA将申请者注册信息及生物模版或生物 模版的路径信息一同保存到自身的临时数据库中或直接发给RBA;步骤603: RBA接收申请者注册信息和生物模版或生物模版的路径信 息,并存放到RBA自身的临时数据库中,进行决定性审核,根据管理策略, 把申请者注册信息和生物模版或生物模版的路径信息从临时数据库中调出, 发送给SBCA或BCA;步骤604: SBCA或BCA接收申请者注册信息和生物模版或生物模版的 路径信息,并存放到临时数据库中;
步骤605:根据管理策略,将申请者注册信息和生物模版或生物模版的 路径信息从临时数据库中调出,SBCA或BCA根据申请者注册信息和生物 模版或生物模版的路径信息生成生物证书,并用自己的私钥签名生物证书, 根据管理策略,再将生成的生物证书暂时存储在自身数据库中;步骤606:根据管理策略,SBCA或BCA将申请者的生物证书从临时数 据库中调出,传主合RBA;步骤607: RBA接收申请者的生物证书,并存储到临时数据库中;步骤608: RBA把申请者的生物证书从数据库中调出,并写入申请者的 智能卡(或移动硬盘、固定硬盘、闪存等其它存储介质)中;或者RBA4巴 生物证书放到服务器中,申请者通过安全通道下载到自己的存储设备中。同样的,在本发明中,生物模版的路径信息可以有多种形式,比如为4呆 存生物模版的文件夹名称、生物模版的UR路灯,优选为生物模版的URL。在本发明中,生物证书优选可以包括版本号(version )、持有者(holder )、 签发者(issuer)、签名(signature)、序列号(serialNumber)、有效期 (bioCertValidityPeriod )、生物模版(biometricTemplate )或生物模版的路 径信息、签发者ID号(issuerUniqueID)、扩展项(extensions)等字段。比如,下列结构为本发明的生物证书的示范性结构图BiometricCertificate ::= SIGNED {BiometricCertificatelnfo}BiometricCertificatelnfo ::= SEQUENCE{version BioCertVersion, —version is vl.holder Holder,issuer BioCertIssuer,signature Algorithmldentifier,serialNumber CertificateSerialNumber, bioCertValidityPeriod BioCertValidityPeriod, biometricTemplate BiometricTemplate, —ThebiometricTemplate attribute is added to attribute certificate issuerUniqueID Uniqueldentifier OPTIONAL,extensions Extensions OPTIONAL生物证书的以上结构仅是示范性的,并不用于限制本发明的保护范围。 本领域技术人员可以意识到,在本发明的原则之内,生物证书的结构可能会 有各种变化,但是这种变化并不脱离本发明的保护范围。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护 范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1、一种生物证书生成系统,其特征在于,该系统包括注册生物权威,用于接受申请者的注册,并确认申请者的身份,获取申请者注册信息,并将所述申请者注册信息发送到生物证书权威;生物证书权威,用于根据申请者生物模版或获取生物模版的路径信息及所述申请者注册信息来生成生物证书。
2、 根据权利要求1所述的生物证书生成系统,其特征在于,该系统进一步 包括证书权威,用于向生物证书权威颁发公钥证书;生物证书权威,用于根据该公钥证书所对应的私钥,对生成的生物证书进 行签名。
3、 根据权利要求2所述的生物证书生成系统,其特征在于,所述公钥证书 为X.509公钥证书。
4、 根据权利要求1所述的生物证书生成系统,其特征在于,所述注册生物 权威进一步用于获取申请者生物模版或生物模版的路径信息,并将所述申请者 生物模版或生物模版的路径信息发送到生物证书权威;所述生物证书权威,用于根据由注册生物权威所发送来的申请者生物模版 或生物模版的路径信息及申请者注册信息来生成生物证书。
5、 根据权利要求1所述的生物证书生成系统,其特征在于,该系统进一步 包括保存有申请者生物模版或生物模版的路径信息的可信第三方,所述生物证书权威,用于从所述可信第三方获取申请者生物模版或生物模 版的路径信息,并根据所获取的申请者生物模版或生物模版的路径信息及申请 者注册信息来生成生物证书。
6、 根据权利要求5所述的生物证书生成系统,其特征在于,所述可信第三 方为生物4又威。
7、 根据权利要求2所述的生物证书生成系统,其特征在于,所述生物证书 权威进一步用于将签名后的生物证书发送到注册生物权威; 所述注册生物权威,进一步用于将所述生物证书存储入存储介质中。
8、 根据权利要求7所述的生物证书生成系统,其特征在于,所述的存储介 质为智能卡、移动硬盘、固定硬盘或闪存。
9、 根据权利要求1所述的生物证书生成系统,其特征在于,所述注册生物 权威包括至少 一个本地注册生物权威;所述本地注册生物权威,用于对本地的申请者进行注册,获取本地申请者 注册信息,并将所述本地申请者注册信息发送到生物证书权威。
10、 根据权利要求9所述的生物证书生成系统,其特征在于,所述生物证 书权威包括至少一个子生物证书权威,用于根据所述本地申请者的生物模版或 生物模版的路径信息及该本地申请者注册信息来生成生物证书。
11、 根据权利要求1-10中任一项所述的生物证书生成系统,其特征在于, 所述生物模版的路径信息为生物模版的统一资源定位符URL。
12、 一种生物证书生成方法,其特征在于,该方法包括 接受申请者的注册,并确认申请者的身份,获取申请者注册信息,并根据申请者生物模版或生物模版的路径信息及申请者注册信息来生成生物证书。
13、 根据权利要求12所述的生物证书生成方法,其特征在于,该方法进一 步包括根据与证书权威所颁发的公钥证书相对应的私钥,对生成的生物证书进行 签名。
14、 根据权利要求D所述的生物证书生成方法,其特征在于,所述公钥证 书为X.509公钥证书。
15、 根据权利要求13所述的生物证书生成方法,其特征在于,所述申请者 生物模版或生物模版的路径信息由申请者所保存,或所述申请者生物模版或生物模版的路径信息由可信第三方保存。
16、 根据权利要求12-15中任一项所述的生物证书生成方法,其特征在于, 该方法进一步包括进一步将所述生物证书存储入存储介质中。
17、 根据权利要求12-15中任一项所述的生物证书生成方法,其特征在于, 所述生物模版包括脱氧核糖核酸DNA信息、指紋信息、虹膜信息、脸型信息、 脉络信息中的任一个或者其中至少一个的组合。
18、 根据权利要求12-15中任一项所述的生物证书生成方法,其特征在于, 所述生物模版的路径信息为生物模版的URL。
全文摘要
本发明公开了一种生物证书生成系统,该系统包括注册生物权威,用于接受申请者的注册,并确认申请者的身份,获取申请者注册信息,并将所述申请者注册信息发送到生物证书权威;生物证书权威,用于根据申请者生物模版或生物模版的路径信息及申请者注册信息来生成生物证书。相应地,本发明还提出了一种生物证书生成方法。应用本发明以后,有效地解决了生物证书的生成问题,提高了个人身份认证的安全性。本发明在各种生物证书权威拓扑模型下都能够实现生物证书的生成。另外,对于申请者拥有生物模版或生物模版的路径信息,以及生物模版或生物模版的路径信息被存放在可信第三方这两种情况下,本发明同样能够生成生物证书。
文档编号H04L9/32GK101127063SQ20061010959
公开日2008年2月20日 申请日期2006年8月14日 优先权日2006年8月14日
发明者位继伟, 刘宏伟, 刘淑玲 申请人:华为技术有限公司