CN101051896B - 一种认证方法和系统 - Google Patents

一种认证方法和系统 Download PDF

Info

Publication number
CN101051896B
CN101051896B CN200610074283XA CN200610074283A CN101051896B CN 101051896 B CN101051896 B CN 101051896B CN 200610074283X A CN200610074283X A CN 200610074283XA CN 200610074283 A CN200610074283 A CN 200610074283A CN 101051896 B CN101051896 B CN 101051896B
Authority
CN
China
Prior art keywords
certificate
creature
creature certificate
authentication
biological
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200610074283XA
Other languages
English (en)
Other versions
CN101051896A (zh
Inventor
李超
刘淑玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CN200610074283XA priority Critical patent/CN101051896B/zh
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to JP2008509292A priority patent/JP2008526173A/ja
Priority to CN2007800002908A priority patent/CN101317362B/zh
Priority to EP10162669.5A priority patent/EP2214342B1/en
Priority to EP07711053A priority patent/EP2009839A4/en
Priority to KR1020077014433A priority patent/KR100911983B1/ko
Priority to PCT/CN2007/000721 priority patent/WO2007115468A1/zh
Priority to US11/697,601 priority patent/US20080065895A1/en
Publication of CN101051896A publication Critical patent/CN101051896A/zh
Application granted granted Critical
Publication of CN101051896B publication Critical patent/CN101051896B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种认证方法和系统,其关键是,在使用属性证书进行权限认证时,首先要找到与该属性证书相关联的生物证书,之后应用该生物证书对先进行身份认证,认证通过后再应用属性证书进行权限认证。应用本发明,实现了生物认证和权限认证的无缝结合,确保了权限认证和个人身份认证的准确对应关系,从而更为准确可靠地实现了权限管理。本发明应用简单,对现有技术改动很小,因而与现有技术有很好地兼容性。

Description

一种认证方法和系统 
技术领域
本发明涉及信息安全技术领域,特别是指一种认证方法和系统。 
背景技术
ITU(International Telecomunications Union)和IETF(Internet EngineeringTask Force)使用属性证书实现了权限管理基础设施或称授权管理基础设施(PMI,Privilege Management Infrastructure)。 
PMI是属性证书、属性权威、属性证书库等部件的集合体,其用来实现权限和证书的产生、管理、存储、分发和撤销等功能。PMI实际提出了一个新的信息保护基础设施,能够与公钥基础设施(PKI)和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。 
建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理成本和复杂性。 
属性证书(AC,Attribute Certificate),定义了一个实体拥有的权限,实体与权限的绑定由一个被数字签名了的数据结构提供,这种数据结构被称为属性证书,由属性权威(AA,Attribute Authority)签发并管理,它包括一个展开机制和一系列特别的证书扩展机制。所谓属性权威是用来生成并签发属性证书的机构,它负责管理属性证书的整个生命周期。 
图1为属性证书的模板格式示意图。在属性证书中通常包括版本、序列号、有效期、发行者、签名算法及其标识、持有者、发行者唯一标识、属性信息、扩展信息,以及发行者签名等信息。其中,有关权限的定义包含在属性信息中。 
ITU-T X.509定义的属性证书框架提供了一个构建PMI的基础,这些结构支持访问控制等应用。属性证书的使用(由AA签发的)提供一个灵活的权限管理基础设施(PMI)。 
对于一个实体的权限约束由属性证书权威(已被数字签名的数据结构)或者由公钥证书权威(包含已明确定义权限约束扩展的)提供。 
随着近年来逐渐开始成熟的生物特征识别技术的发展,把生物特征识别技术应用在信息安全上,利用生物特征的唯一性、稳定性等特点和加密算法融合,为信息安全提供了保障。 
生物识别技术是指利用人类自身生理或行为特征进行身份认定的一种技术,如指纹识别和虹膜识别技术等。 
生物识别认证系统必须先创建生物特征模板,进行身份认证时将新收集的生物特征数据与预先注册存储的模板进行匹配,看匹配结果在是否在有效范围内来判断其身份的合法性。 
生物认证基础设施(TAI,Telebiometric Authentication Infrastructure),使用生物证书提供身份验证功能的系统,其基本组件和机制是结合了X.509的规定和生物认证而定义的,生物证书的发行和吊销机制也都类似于X.509定义的公钥证书的发行和吊销机制,而具体的身份验证部分有所不同,具体的不同是:生物认证系统主要增加了生物数据采集子系统和生物特征比对子系统。 
图2为生物证书的模板格式示意图。其包括: 
版本:生物证书中心(Biometric CA,以下简称BCA)所发行的生物证书的版本。 
序列号:BCA所发行的生物证书的唯一标识。 
有效期:包括有效期起始日期和有效期终止日期,指示了生物证书可用的日期。 
主体:该证书所标识的个人或者实体,可以用主体唯一标识来区分和核实。 
发行者:标识生成并对该证书签名的可信任源BCA,可以用其唯一标识来区分和核实。 
模板格式标识:生物特征模板的格式标识信息。 
生物特征模板:该模板存放了主体的生物特征信息和生物识别相关参数等。 
扩展信息:在不改变证书格式的前提下,允许证书中编码加入额外的信息。证书在某些应用场合需要附加信息或者声明证书使用方法等其他信息。 
发行者签名:用BCA的私钥对序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板、扩展信息等的摘要的数字签名。 
现有的PKI和生物认证都是用来进行身份认证的,而且,随着技术的发展,还出现了带有生物模板的PKI证书。具体可参见RFC3739的定义。 
现有技术虽然已经提供了多种认证方式,比如,独立的权限认证如PMI认证,独立的身份认证如PKI认证、生物认证等,身份认证和权限认证的结合如在PKI的基础上进行PMI认证,等等,但是如何将生物认证和权限认证相结合,仍然是个有待解决的问题。 
发明内容
有鉴于此,本发明的一个目的在于提供一种认证方法,本发明的另一目的在于提供一种认证系统,以实现生物认证和权限认证相结合,从而更为准确可靠地实现权限管理。 
为达到上述目的,本发明的技术方案是这样实现的: 
一种认证方法,在属性证书的扩展信息中设置生物扩展标识,该方法还包括以下步骤: 
a、客户端向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;所述生物证书用于进行身份验证; 
b、服务提供者根据接收到的请求,判断属性证书中生物扩展标识所指示的生物证书与客户端发送的生物证书是否匹配,若匹配,则执行步骤c,否则,给客户端返回拒绝信息; 
c、服务提供者根据接收到的生物证书请求身份验证者身份认证,认证通 过后,根据接收到的声称权限和属性证书请求权限验证者进行权限认证,并将认证结果返回给客户端。 
较佳地,所述生物证书是包含生物模板的证书;所述包含生物模板的证书为第一类生物证书,或第二类生物证书;所述第一类生物证书为单独存在的仅用于生物认证的生物证书;所述第二类生物证书为包含生物模板的除单独存在的仅用于生物认证的生物证书以外的其他类型证书。 
较佳地,当所述生物证书是第一类生物证书时,所述生物扩展标识为生物证书发行者和生物证书序列号,或者,是实体名称列表,或者是对象摘要信息,或者是以上三者的任意组合。 
较佳地,如果所述生物扩展标识为生物证书发行者和生物证书序列号,则步骤b所述判断是否匹配的过程为: 
根据接收到的生物证书中的生物证书发行者和生物证书序列号数据,判断该接收到的数据与属性证书中的生物证书发行者和生物证书序列号是否相同,若相同则匹配,若不同则不匹配。 
较佳地,如果所述生物扩展标识为实体名称列表,所述实体名称列表中包含一个或一个以上的主体及其唯一标识; 
步骤b所述判断是否匹配的过程为: 
根据接收到的生物证书中的主体及其唯一标识的数据,判断该接收到的数据是否包含在属性证书中的主体名称列表内,若是则匹配,否则不匹配。 
较佳地,所述对象摘要信息为生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息共同计算出的摘要信息。 
较佳地,如果所述生物扩展标识为对象摘要信息,步骤b所述判断是否匹配的过程为: 
根据接收到的生物证书中的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息计算摘要,之后,判断该当前计算出的摘要与属性证书中的对象摘要信息是否一致,若一致则匹配,否则不匹配。 
较佳地,如果所述生物扩展标识为至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则所述步骤b根据生物证书发行者和生物证书序列号来判断是否匹配。 
较佳地,如果所述生物扩展标识为至少包括实体名称列表和对象摘要信息的组合,则所述步骤b根据对象摘要信息判断是否匹配。 
较佳地,当所述生物证书是第二类生物证书时,所述生物扩展标识为包含该第二类生物证书的序列号;步骤b所述判断是否匹配的过程为: 
所述服务提供者根据所述第二类生物证书的序列号确定证书,之后判断该当前获得的第二类生物证书与客户端发送的生物证书是否相同,若相同则匹配,若不同则不匹配。 
较佳地,所述第二类生物证书包括但不限于包含生物模板的公钥基础设施PKI公钥证书。 
较佳地,所述服务提供者、身份验证者和权限验证者在相同或不同的物理实体上。 
较佳地,所述生物扩展标识设置在属性证书的基本扩展信息内。 
一种认证系统,包括客户端、服务提供者、身份认证者和权限验证者,其中, 
所述客户端用于向服务提供者发起认证请求和接收来自服务提供者的认证结果,其中,该认证请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;所述生物证书用于进行身份验证; 
所述服务提供者根据接收到的来自客户端的认证请求,获取与接收到的认证请求中的属性证书相匹配的生物证书,并应用该生物证书请求身份验证者进行身份验证;所述服务提供者应用接收到的请求中的声称权限和属性证书请求权限验证者进行权限认证。 
较佳地,所述生物证书是第一类生物证书,或是第二类生物证书;所述第一类生物证书为单独存在的仅用于生物认证的生物证书;所述第二类生物证书为包含生物模板的除单独存在的仅用于生物认证的生物证书以外的其他类型证书。 
较佳地,所述服务提供者、身份验证者和权限验证者均为逻辑实体,其在相同或不同的物理实体上。 
本发明的关键是,在使用属性证书进行权限认证时,首先要找到与该属性证书相关联的生物证书,之后应用该生物证书对先进行身份认证,认证通过后再应用属性证书进行权限认证。应用本发明,实现了生物认证和权限认证的无缝结合,确保了权限认证和个人身份认证的准确对应关系,从而更为准确可靠 
附图说明
图1是属性证书的模板格式示意图; 
图2是生物证书的模板格式示意图; 
图3是应用本发明一实施例的生物扩展标识的结构示意图; 
图4是应用本发明的实现认证的流程示意图; 
图5是应用本发明的实现生物认证和权限认证相结合认证框架参考模型示意图。 
具体实施方式
下面结合附图对本发明做进一步地详细说明。 
本发明的思路是:在使用属性证书进行权限认证时,首先使用与该属性证书关联的生物证书对用户进行身份认证,认证通过后再应用属性证书进行权限认证,从而确保权限认证和个人身份认证的准确对应关系,以更为准确可靠地实现权限管理。 
为了结合生物认证,同时为了使系统影响最小,本发明在属性证书中的扩展信息中增加扩展项。 
属性证书的扩展信息主要是声明和证书应用相关的一些策略信息。属性证书的扩展信息包括基本扩展信息、权限撤销扩展信息、根属性权威扩展信息、角色扩展信息和授权扩展信息等5部分。本发明所增加的扩展项位于基本扩展信息中,且将该扩展项称为生物扩展标识。 
本发明中所说的生物证书是指包含生物模板的所有证书。该包含生物模板的证书包括但不限于单独存在的仅用于生物认证的生物证书,或者,是包含生物模板的除前述生物证书以外的其他类型证书,如RFC3739提供的公钥证书。为了以下叙述方便,在此,将单独存在的仅用于生物认证的生物证书称为第一类生物证书,将包含生物模板的除前述生物证书以外的其他类型证书,如RFC3739提供的公钥证书,统称为第二类生物证书。 
针对第一类生物证书这种情况,生物扩展标识的结构如图3所示。参见图3,其为应用本发明一实施例的生物扩展标识的结构示意图。本实施例中,生物扩展标识包括生物证书发行者和生物证书序列号、实体名称列表,以及对象摘要信息。其中,所谓生物证书发行者和生物证书序列号,用于标识该属性证书持有者的生物证书,即对属性证书持有者进行身份认证所需的生物证书。实体名称列表用于标识一个或者一个以上属性证书持有者的名称。对象摘要信息,是指仅用于生物认证的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息共同计算出的摘要信息。 
在图3所示实例中,生物扩展标识是同时包括了生物证书发行者和生物证书序列号,实体名称列表,以及对象摘要信息这三项内容,在实际应用中,生物扩展标识也可以是上述三项的任意一项,或上述三项的任意组合。 
如果生物扩展标识中只有实体名称列表这一项,则任何包含在实体名称列表中的主体名称所对应的生物证书都可以用来验证该属性证书持有者的身份,即都是与该属性证书相关联的生物证书。 
如果生物扩展标识至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则将生物证书发行者和生物证书序列号作为判断是否关联的准则。 
如果所述生物扩展标识至少包括实体名称列表和对象摘要信息的组合,则将对象摘要信息作为判断是否关联的准则。 
当所述生物证书是第二类生物证书时,所述生物扩展标识为第二类生物证书的序列号,该第二类生物证书包含但不限于包含生物模板的PKI公钥证书。 
参见图4,其是应用本发明的实现认证的流程示意图。 
步骤1,客户端向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书。所谓声称权限是指用户声称的访问权限。本步骤中的生物证书既可以是第一类生物证书,也可以是第二类生物证书。 
步骤2,服务提供者根据接收到的请求,判断属性证书中生物扩展标识与请求中的生物证书是否匹配,若匹配,则在步骤3中给客户端返回成功的响应信息,之后执行步骤4,否则,在步骤3中给客户端返回拒绝的响应信息,结 束。本步骤中的判断过程具体如下: 
当生物证书为第一类生物证书时:生物扩展标识是生物证书发行者和生物证书序列号,或实体名称列表,或对象摘要信息之一或任意组合,此时, 
如果所述生物扩展标识为生物证书发行者和生物证书序列号,则判断是否匹配的过程为: 
服务提供者根据接收到的生物证书中的生物证书发行者和生物证书序列号数据,判断该接收到的数据与属性证书中的生物证书发行者和生物证书序列号是否相同,若相同则匹配,若不同则不匹配。 
如果所述生物扩展标识为实体名称列表,且所述实体名称列表中包含一个或一个以上的主体及其唯一标识;则所述判断是否匹配的过程为: 
根据接收到的生物证书中的主体及其唯一标识的数据,判断该接收到的数据是否包含在属性证书中的主体名称列表内,若是则匹配,否则不匹配。 
如果所述生物扩展标识为对象摘要信息,则判断是否匹配的过程为: 
根据接收到的生物证书中的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息计算摘要,之后,判断该当前计算出的摘要与属性证书中的对象摘要信息是否一致,若一致则匹配,否则不匹配。 
如果所述生物扩展标识为至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则以生物证书发行者和生物证书序列号为准判断是否匹配。 
如果所述生物扩展标识为至少包括实体名称列表和对象摘要信息的组合,则以对象摘要信息为准判断是否匹配。 
当生物证书为第二类生物证书时:生物扩展标识是第二类生物证书的序列号,此时,判断是否匹配的过程为: 
服务提供者根据第二类生物证书的序列号确定该第二类生物证书,之后判断该当前获得的第二类生物证书与接收到的请求中的生物证书即第二类生物证书是否相同,若相同则匹配,若不同则不匹配。此处的第二类生物证书包括但不限于包含生物模板的PKI公钥证书。 
需要说明的是,如果生物扩展标识是生物证书发行者和生物证书序列号, 或实体名称列表,或对象摘要信息之一或任意组合,那么客户端所发请求中的生物证书一定是第一类生物证书;如果生物扩展标识是第二类生物证书的序列号,那么客户端所发请求中的生物证书一定是第二类生物证书,此两者之间必然是一一对应的,不然也不可能找到相关联的证书。 
步骤3,服务提供者给客户端返回响应信息。 
步骤4,当客户端接收到来自服务提供者的成功的响应信息后,采集来自客户端的生物数据,并发送给服务提供者。 
步骤5,服务提供者向身份验证者发送身份认证请求,该请求中携带生物数据和步骤1中所述的生物证书。 
步骤6,身份验证者根据接收到的生物数据、生物证书中的生物模板信息等生物识别参数对客户端进行身份认证;本步骤的生物识别参数可以由系统即身份验证者设定,也可以由服务提供者认证,其具体的认证过程与现有的认证过程相同,不再赘述。 
步骤7,身份验证者将身份认证结果发送给服务提供者。当然,该认证结果有可能是认证成功,也有可能是认证失败。如果身份认证成功,则执行步骤8,如果身份认证失败,则服务提供者通知用户身份认证失败;结束。 
步骤8,服务提供者发权限认证请求给权限验证者,该请求中携带有声称权限参数和属性证书。 
步骤9,权限验证者根据用户访问的权限即声称权限和属性证书进行权限验证。本步骤的认证过程与现有的认证过程相同,不再赘述。 
步骤10,权限验证者将认证结果发送给服务提供者。 
步骤11,服务提供者通知客户端认证是否成功。 
以上所述服务提供者、身份验证者和权限验证者均为逻辑实体,其可以在相同或不同的物理实体上。 
经过上述处理,使得生物认证和权限认证实现了无缝合,从而更为准确可靠地实现了权限管理。 
图5是应用本发明的实现生物认证和权限认证相结合认证框架参考模型示意图。预先在属性证书的扩展信息中的基本扩展信息内设置生物扩展标识。该认证框架包括客户端、服务提供者、身份验证者和权限验证者。 
客户端用于向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;用于接收来自服务提供者的认证结果。所述生物证书既可以是第一类生物证书,也可以是第二类生物证书。 
服务提供者用于根据接收到的来自客户端的请求,获取与接收到的请求中的属性证书相关联的生物证书,并应用该生物证书请求身份验证者进行身份验证,并接收来自身份验证者的认证结果;应用接收到的请求中的声称权限和属性证书请求权限验证者进行权限认证,并接收来自权限验证者的认证结果;将来自身份认证者和权限认证者的认证结果返回给客户端。 
身份认证者用于根据接收到的生物证书进行身份认证。 
权限验证者用于根据接收到的声称权限和属性证书进行权限认证。 
上所述服务提供者、身份验证者和权限验证者均为逻辑实体,其可以在相同或不同的物理实体上。 
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。 

Claims (16)

1.一种认证方法,其特征在于,在属性证书的扩展信息中设置生物扩展标识,该方法还包括以下步骤:
a、客户端向服务提供者发起认证请求,该请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;所述生物证书用于进行身份验证;
b、服务提供者根据接收到的请求,判断属性证书中生物扩展标识所指示的生物证书与客户端发送的生物证书是否匹配,若匹配,则执行步骤c,否则,给客户端返回拒绝信息;
c、服务提供者根据接收到的生物证书请求身份验证者身份认证,认证通过后,根据接收到的声称权限和属性证书请求权限验证者进行权限认证,并将认证结果返回给客户端。
2.根据权利要求1所述的方法,其特征在于,所述生物证书是包含生物模板的证书;所述包含生物模板的证书为第一类生物证书,或第二类生物证书;所述第一类生物证书为单独存在的仅用于生物认证的生物证书;所述第二类生物证书为包含生物模板的除单独存在的仅用于生物认证的生物证书以外的其他类型证书。
3.根据权利要求2所述的方法,其特征在于,当所述生物证书是第一类生物证书时,所述生物扩展标识为生物证书发行者和生物证书序列号,或者,是实体名称列表,或者是对象摘要信息,或者是以上三者的任意组合。
4.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为生物证书发行者和生物证书序列号,则步骤b所述判断是否匹配的过程为:
根据接收到的生物证书中的生物证书发行者和生物证书序列号数据,判断该接收到的数据与属性证书中的生物证书发行者和生物证书序列号是否相同,若相同则匹配,若不同则不匹配。
5.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为实体名称列表,所述实体名称列表中包含一个或一个以上的主体及其唯一标识;
步骤b所述判断是否匹配的过程为:
根据接收到的生物证书中的主体及其唯一标识的数据,判断该接收到的数据是否包含在属性证书中的主体名称列表内,若是则匹配,否则不匹配。
6.根据权利要求3所述的方法,其特征在于,所述对象摘要信息为生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息共同计算出的摘要信息。
7.根据权利要求6所述的方法,其特征在于,如果所述生物扩展标识为对象摘要信息,步骤b所述判断是否匹配的过程为:
根据接收到的生物证书中的生物证书的序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板以及扩展信息计算摘要,之后,判断该当前计算出的摘要与属性证书中的对象摘要信息是否一致,若一致则匹配,否则不匹配。
8.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为至少包括生物证书发行者和生物证书序列号,以及实体名称列表的组合,则所述步骤b根据生物证书发行者和生物证书序列号来判断是否匹配。
9.根据权利要求3所述的方法,其特征在于,如果所述生物扩展标识为至少包括实体名称列表和对象摘要信息的组合,则所述步骤b根据对象摘要信息判断是否匹配。
10.根据权利要求2所述的方法,其特征在于,当所述生物证书是第二类生物证书时,所述生物扩展标识为包含该第二类生物证书的序列号;步骤b所述判断是否匹配的过程为:
所述服务提供者根据所述第二类生物证书的序列号确定证书,之后判断该当前获得的第二类生物证书与客户端发送的生物证书是否相同,若相同则匹配,若不同则不匹配。
11.根据权利要求2或10所述的方法,其特征在于,所述第二类生物证书包括但不限于包含生物模板的公钥基础设施PKI公钥证书。
12.根据权利要求1所述的方法,其特征在于,所述服务提供者、身份验证者和权限验证者在相同或不同的物理实体上。
13.根据权利要求1所述的方法,其特征在于,所述生物扩展标识设置在属性证书的基本扩展信息内。
14.一种认证系统,其特征在于,包括客户端、服务提供者、身份认证者和权限验证者,其中,
所述客户端用于向服务提供者发起认证请求和接收来自服务提供者的认证结果,其中,该认证请求中包含声称权限、生物证书和包含生物扩展标识的属性证书;所述生物证书用于进行身份验证;
所述服务提供者根据接收到的来自客户端的认证请求,获取与接收到的认证请求中的属性证书相匹配的生物证书,并应用该生物证书请求身份验证者进行身份验证;所述服务提供者应用接收到的请求中的声称权限和属性证书请求权限验证者进行权限认证。
15.根据权利要求14所述的认证系统,其特征在于,所述生物证书是第一类生物证书,或是第二类生物证书;所述第一类生物证书为单独存在的仅用于生物认证的生物证书;所述第二类生物证书为包含生物模板的除单独存在的仅用于生物认证的生物证书以外的其他类型证书。
16.根据权利要求14所述的认证系统,其特征在于,所述服务提供者、身份验证者和权限验证者均为逻辑实体,其在相同或不同的物理实体上。
CN200610074283XA 2006-04-07 2006-04-07 一种认证方法和系统 Expired - Fee Related CN101051896B (zh)

Priority Applications (8)

Application Number Priority Date Filing Date Title
CN200610074283XA CN101051896B (zh) 2006-04-07 2006-04-07 一种认证方法和系统
CN2007800002908A CN101317362B (zh) 2006-04-07 2007-03-06 一种信息安全认证方法和系统
EP10162669.5A EP2214342B1 (en) 2006-04-07 2007-03-06 Method and system for implementing authentication on information security
EP07711053A EP2009839A4 (en) 2006-04-07 2007-03-06 PROCESS AND SYSTEM FOR INFORMATION SAFETY AUTHENTICATION
JP2008509292A JP2008526173A (ja) 2006-04-07 2007-03-06 情報セキュリティの認証方法及びシステム
KR1020077014433A KR100911983B1 (ko) 2006-04-07 2007-03-06 정보 보안에 관한 인증을 구현하는 방법 및 시스템
PCT/CN2007/000721 WO2007115468A1 (fr) 2006-04-07 2007-03-06 Procédé et système d'authentification de la sécurité des informations
US11/697,601 US20080065895A1 (en) 2006-04-07 2007-04-06 Method and System for Implementing Authentication on Information Security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200610074283XA CN101051896B (zh) 2006-04-07 2006-04-07 一种认证方法和系统

Publications (2)

Publication Number Publication Date
CN101051896A CN101051896A (zh) 2007-10-10
CN101051896B true CN101051896B (zh) 2011-01-05

Family

ID=38783112

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200610074283XA Expired - Fee Related CN101051896B (zh) 2006-04-07 2006-04-07 一种认证方法和系统

Country Status (1)

Country Link
CN (1) CN101051896B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739664B (zh) * 2008-04-26 2016-03-30 华为技术有限公司 提高网络身份认证安全性的方法和装置
CN101599831B (zh) * 2008-06-06 2011-09-21 中兴通讯股份有限公司 一种通信网络安全管理方法及系统
CN106028284B (zh) * 2016-06-29 2019-06-07 北京奇虎科技有限公司 识别智能设备之间相对位置的方法及智能设备
CN106656986A (zh) * 2016-11-01 2017-05-10 上海摩软通讯技术有限公司 一种生物特征鉴权的方法及装置
CN108234125B (zh) * 2016-12-21 2020-12-18 金联汇通信息技术有限公司 用于身份认证的系统和方法
CN110535649B (zh) * 2019-04-15 2020-11-03 清华大学 数据流通方法、系统及服务平台、第一终端设备
CN114363073A (zh) * 2022-01-07 2022-04-15 中国联合网络通信集团有限公司 Tls加密流量分析方法、装置、终端设备及存储介质
CN115361234A (zh) * 2022-10-20 2022-11-18 北京云成金融信息服务有限公司 一种供应链平台用的安全认证方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1499365A (zh) * 2002-11-06 2004-05-26 ��ʿͨ��ʽ���� 安全性判断方法、系统和设备,第一认证设备,以及计算机程序产品

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1499365A (zh) * 2002-11-06 2004-05-26 ��ʿͨ��ʽ���� 安全性判断方法、系统和设备,第一认证设备,以及计算机程序产品

Also Published As

Publication number Publication date
CN101051896A (zh) 2007-10-10

Similar Documents

Publication Publication Date Title
CN101051896B (zh) 一种认证方法和系统
US11005653B2 (en) Integrated method and device for storing and sharing data
US8539249B2 (en) System and method for security authentication using biometric authentication technique
EP2053777B1 (en) A certification method, system, and device
CN101051895B (zh) 一种集成生物认证和属性证书的认证方法及系统
US8988187B2 (en) Proximity based biometric identification systems and methods
US8438385B2 (en) Method and apparatus for identity verification
EP2214342B1 (en) Method and system for implementing authentication on information security
CN102420690B (zh) 一种工业控制系统中身份与权限的融合认证方法及系统
CN101127599B (zh) 一种身份和权限认证方法及系统以及一种生物处理单元
IES20020190A2 (en) a biometric authentication system and method
EP3966997B1 (en) Methods and devices for public key management using a blockchain
CN112311538A (zh) 一种身份验证的方法、装置、存储介质及设备
US11514419B2 (en) Method of configuring or changing a configuration of a POS terminal and/or assignment of the POS terminal to an operator
US20230033986A1 (en) Security Device and Methods for End-to-End Verifiable Elections
Rana et al. Implementation of security and privacy in ePassports and the extended access control infrastructure
CN116112242B (zh) 面向电力调控系统的统一安全认证方法及系统
CN113221084A (zh) 充电认证方法、装置、系统、充电设备和存储介质
CN113987465B (zh) 一种海量异构物联网设备的通用精准访问控制系统及方法
CN114900354B (zh) 一种面向能源数据的分布式身份认证和管理方法及系统
CN110855679B (zh) 一种uPKI联合公钥认证方法及系统
CN116226917A (zh) 一种基于区块链的能源用户身份可编辑认证方法
CN115776381A (zh) 基于区块链系统的密钥处理方法、装置、介质及电子设备
CN113806784A (zh) 一种基于智能合约的能源区块链存证证书生成系统
CN115955345A (zh) 一种结合生物特征的安全管理认证方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110105

Termination date: 20160407

CF01 Termination of patent right due to non-payment of annual fee