一种基于生物特征的数字证书生成方法及系统与流程

本发明涉及信息安全技术领域，尤其涉及一种基于生物特征的数字证书生成方法及系统。

背景技术：

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

数字证书基于国际上广泛应用的pki公钥密码基础设施技术，是由具有权威性、可行性、公正性的第三方证书认证机构(ca)进行数字签名的一个可信的数字化文件。数字证书通常包含证书序列号、证书拥有者信息、证书拥有者公钥、密钥用法、证书签发者信息、证书签发者签名、证书签名算法等。通俗而言，数字证书就是个人或单位在网络上的身份证，可用于安全电子邮件、安全站点认证、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

近些年，随着人工智能深度学习以及计算机视觉技术的不断发展成熟，在生物特征识别中基于计算机视觉技术的几种身份认证技术，如人脸识别、指纹识别、虹膜识别、掌静脉识别、声纹识别等技术也得到了快速发展。生物特征与pki数字证书的结合，也得到了广泛应用，如指纹usbkey、手机盾等产品，但是这些应用主要是利用生物特征技术进行身份鉴别，数字证书对应的公私钥对并不是由生物特征产生，没有实现数字证书与生物特征的真正关联。

技术实现要素：

有鉴于此，本发明提出了一种基于生物特征的数字证书生成方法及系统，数字证书的公私钥对由证书持有者的生物特征生成；ca证书认证中心负责签发数字证书，在数字证书扩展项中存储生物特征属性、算法及参数；数字证书公私钥对可基于证书持有者的生物特征进行生成与恢复，从而实现用户现实物理身份与网络数字身份的真正统一。

在一些实施方式中，采用如下技术方案：

一种基于生物特征的数字证书生成方法，包括：

获取生物特征信息，生成生物特征数据；

采用预设的密钥生成方法，基于所述生物特征数据生成生物特征密钥对；

基于所述的生物特征密钥对，产生证书请求；所述证书请求中包括生物特征扩展项；

基于所述证书请求，校验生物特征扩展项，校验成功签发数字证书。

在另一些实施方式中，采用如下技术方案：

一种基于生物特征的数字证书生成系统，包括：

用于获取生物特征信息，生成生物特征数据的装置；

用于采用预设的密钥生成方法，基于所述生物特征数据生成生物特征密钥对的装置；

用于基于所述的生物特征密钥对，产生证书请求的装置；所述证书请求中包括生物特征扩展项；

用于基于所述证书请求，校验生物特征扩展项的装置；

用于在校验成功后签发数字证书的装置。

在另一些实施方式中，采用如下技术方案：

一种终端设备，其包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行上述的基于生物特征的数字证书生成方法。

与现有技术相比，本发明的有益效果是：

(1)本发明数字证书的公私钥对由证书持有者的生物特征生成，密钥与人的关联性增强，实现了用户现实物理身份与网络数字身份的真正统一。

(2)本发明数字证书公私钥对可基于证书持有者的生物特征进行生成与恢复，不需要存储用户私钥信息，大大增强了密钥管理的安全性，可广泛应用于移动端的电子商务、网上银行、电子政务等领域。

本方面的附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本方面的实践了解到。

附图说明

图1为本发明实施例中生物特征密钥生成过程示意图；

图2为本发明实施例中数字证书示意图；

图3为本发明实施例中生物特征数字证书签名和验签过程示意图；

图4为本发明实施例中生物特征数字证书加密和解密过程示意图。

具体实施方式

应该指出，以下详细说明都是例示性的，旨在对本申请提供进一步的说明。除非另有指明，本发明使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

实施例一

在一个或多个实施方式中，公开了一种基于生物特征的数字证书生成方法，包括如下过程：

(1)生物特征证书模板生成

通过ca证书认证中心制订生物特征证书模板，定义生物特征类型、生物特征参数采集/预处理算法、生物特征密钥生成算法。

(2)生物特征密钥对包括公钥和私钥，基于生物特征的密钥对生成，具体过程参照图1，包括如下步骤：

(2-1)生物特征信息采集，生物特征可以包括：面容、指纹、虹膜、掌静脉或者声纹等生物特征的任一种；

(2-2)生物特征密钥对生成指的是：利用生物特征和密码学中的一些预设的算法产生一个稳定序列的技术。如指纹密钥可使用指纹细节点和模糊保险箱算法产生指纹密钥；虹膜密钥可利用虹膜码和二重纠错编码算法产生虹膜密钥等。需要说明的是，这些预设的算法均是现有的算法，可以通过生物特征密钥生成器的方式实现。

(2-3)校验生物特征密钥，校验的方法为：基于相同的生物特征采集装置，再次采集生物特征，采用相同的生物特征类型、生物特征采集算法及生物特征密钥生成算法，再次产生生物特征密钥对；如果该密钥对与前一次产生的相同，则校验成功；若不相同，则校验失败。

如果密钥符合要求，则将生成的生物特征密钥确定为最终的生物特征密钥；如果密钥不符合，则返回重新生成新的密钥，并且再次校验。

(3)基于生物特征的数字证书请求；

(3-1)基于生物特征密钥对biokey(包含公钥biopubkey和私钥bioprikey)，产生证书pkcs10申请请求，提交到ca证书认证中心。

pkcs10证书请求包含生物特征类型、生物特征采集算法及生物特征密钥生成算法，ca签发生物特征数字证书时，需要从证书请求中取出相应数据，在数字证书中增加相应特征扩展项。

因此，在pkcs10证书请求时，增加生物特征扩展项；生物特征扩展项包括：生物特征对象标识符oid、关键扩展/非关键扩展以及扩展项值。

生物特征扩展项内容为der编码形式的octetstring，对象类为biocertificatetemplate。

其中，der是distinguishedencoderule的简写，是asn.1编码标准的一种编码方式，该编码方式的输出是二进制格式。

octetstring为der编码的基本类型，类似integer代表证书，octetstring是octet(8bit值)流。

biocertificatetemplate是定义生物特征类对象。

(4)基于生物特征数字证书签发，具体包括如下过程：

(4-1)ca证书认证中心获取证书申请请求certificationrequestinfo，解析certificationrequestinfo获得生物特征扩展项，校验扩展项格式及算法是否符合证书模板要求，验证扩展项中数字签名是否正确verify(signature，biopubkey)。

从pkcs10请求中，可以获得certificationrequestinfo项。pkcs10请求中signature数字签名为生物特征密钥对中的私钥对certificationrequestinfo的数字签名。签发数字证书时，数字证书的用户信息(包含用户公钥、生物特征扩展项等)要与pkcs10请求一致，可以通过根证书验证数字证书的有效性(使用根证书验证数字证书包含的数字签名)。

根证书是ca系统的根证书，由ca公开发布。

(4-2)参照图2，ca证书认证中心签发数字证书，证书格式符合x.509v3标准，并在证书中增加生物特征扩展项。

在数字证书包含生物特征扩展项，可以与个人生物特征结合，私钥不需要专用设备存储。同时可以根据生物特征类型，支持不同的生物特征数字证书，适用范围较广。

(5)基于生物特征数字证书的使用

生物特征数字证书主要使用为数字签名和数字加密，和通用数字证书不同，生物特征公钥biopubkey可以从数字证书中获取，私钥bioprikey通过生物特征实时生成。

(5-1)生物特征数字证书签名和验签，具体过程如图3所示，包括：

签名用户输入生物特征，实时产生生物特征密钥biokey，使用bioprikey对明文数据先数据摘要后进行私钥签名，并将签名数据发送到接收方；接收方从生物特征数字证书中获取到biopubkey，与签名数据运算得到数据摘要值，与明文数据摘要值进行比较，验证签名是否有效。

(5-2)生物特征数字证书加密和解密，具体过程如图4所示，包括：

加密用户从生物特征数字证书中获取到biopubkey，对明文数据进行加密后发送到生物特征用户；生物特征用户输入生物特征，实时产生生物特征密钥biokey，使用bioprikey对密文数据解密得到明文信息。

实施例二

在一个或多个实施方式中，公开了一种基于生物特征的数字证书生成系统，包括：

用于获取生物特征信息，生成生物特征数据的装置；

用于采用预设的密钥生成方法，基于所述生物特征数据生成生物特征密钥对的装置；

用于基于所述的生物特征密钥对，产生证书请求的装置；所述证书请求中包括生物特征扩展项；

用于基于所述证书请求，校验生物特征扩展项的装置；

用于在校验成功后签发数字证书的装置。

上述装置的具体实现方式采用与实施例一中相同的方法实现，具体过程不再赘述。

实施例三

在一个或多个实施方式中，公开了一种终端设备，包括服务器，所述服务器包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现实施例一中的基于生物特征的数字证书生成方法。为了简洁，在此不再赘述。

应理解，本实施例中，处理器可以是中央处理单元cpu，处理器还可以是其他通用处理器、数字信号处理器dsp、专用集成电路asic，现成可编程门阵列fpga或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如，存储器还可以存储设备类型的信息。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。

实施例一中的基于生物特征的数字证书生成方法可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

本领域普通技术人员可以意识到，结合本实施例描述的各示例的单元即算法步骤，能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。