CN101160783A - 一种安全认证系统及方法 - Google Patents

一种安全认证系统及方法 Download PDF

Info

Publication number
CN101160783A
CN101160783A CNA2006800122623A CN200680012262A CN101160783A CN 101160783 A CN101160783 A CN 101160783A CN A2006800122623 A CNA2006800122623 A CN A2006800122623A CN 200680012262 A CN200680012262 A CN 200680012262A CN 101160783 A CN101160783 A CN 101160783A
Authority
CN
China
Prior art keywords
biological
information
certificate
user
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2006800122623A
Other languages
English (en)
Inventor
位继伟
郑志彬
李超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN101160783A publication Critical patent/CN101160783A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data

Abstract

本发明适用于网络安全领域,公开一种安全认证系统及方法。本发明中,安全认证系统的生物认证子系统接收用户端发送的用户持有的生物证书和用户的生物信息,所述生物证书包含用户的生物模板或生物模板的存储地址;随后,生物认证子系统验证所述生物证书;对所述生物信息和生物模板进行匹配比较,生成身份认证结果。本发明还可以将生物认证与PMI权限认证进行结合,以提高PMI中身份认证的安全性,同时扩大生物认证的适用范围。

Description

一种安全认证系统及方法
技术领域 本发明属于网络安全技术领域, 尤其涉及一种通过生物认证技术进行 安全认证的系统及方法。
背景技术
生物认证技术利用人的生物特征, 如指紋、 虹膜、 语音等进行身份认 证。 随着计算机技术的发展以及各种算法的不断改进, 生物认证技术作为 一种准确、 快速和高效的身份认证手段越来越广泛地应用于各种安全领 域。
一种现有技术中, 为采用生物认证技术进行身份认证, 预先收集用户 的生物特征数据, 创建生物特征模板。 在实施身份认证时, 重新收集待认 证的用户的生物特征数据, 将其与所述预先创建的生物特征模板进行匹 配, 根据匹配结果是否在有效范围内来产生判断结果。
该现有技术的缺陷在于: 生物特征模板的创建、 分配和管理过程中, 没有可信赖的第三方权威机构参与, 并不能严格保证生物特征模板的可信 赖度等性能, 进而影响到身份认证过程的可信度和安全性。
发明内容
本发明在于提供一种安全认证系统及方法, 可以提高采用生物信息进 行身份认证的安全性。
根据本发明的一个方面, 一种安全认证系统, 包括:
用户端, 用于采集用户的生物信息, 发送所述生物信息及用户持有的 生物证书; 所述生物证书包含用户的生物模板或生物模板存储地址; 生物认证子系统, 用于验证所述生物证书; 对所述生物信息和生物模 板进行匹配比较, 生成身份认证结果。
可选地, 该系统还包括: 生物算法证书目录, 用于为所述生物认证子 系统提供匹配比较所需的生物识别参数信息。
可选地, 所述的生物证书中还包含证书的有效期, 用于协助生物认证 子系统确认所述生物证书的有效性。 可选地, 所述的生物证书还包含主体信息, 用于协助生物认证子系统 确认用户的身份。
可选地, 所述的生物证书还包含公钥证书标识符, 用于在所述身份认 证结果为通过时, 允许用户使用所述公钥证书的私钥进行操作。
根据本发明的另一方面, 一种安全认证系统, 包括:
用户端, 用于采集用户的生物信息, 发送所述生物信息及用户持有的 生物证书和权限属性信息, 声明用户的权限; 所述生物证书包含用户的生 物模板或生物模板存储地址;
生物认证子系统, 用于验证所述生物证书; 采用生物识别算法对所述 生物信息和生物模板进行匹配比较, 生成身份认证结果;
权限认证子系统, 用于根据所述权限属性信息输出用户属性参数信 息; 在身份认证通过时根据所述权限属性信息验证用户声明的权限; 生物算法证书目录, 用于提供与所述用户属性参数信息及所述生物识 别算法对应的生物识别参数信息, 并提供给所述生物认证子系统以进行匹 配比较。
可选地, 所述的权限认证子系统将用户属性参数信息输出至生物算法 证书目录对应的生物算法证书处理单元。
可选地, 所述的权限认证子系统通过生物认证子系统将用户属性参数 信息输出至生物算法证书目录对应的生物算法证书处理单元。
可选地, 所述的权限属性信息携带在用户的权限属性证书中或者携带 在所述生物证书的扩展信息中。
可选地, 所述的生物算法证书目录中保存生物特征类型标识、 生物识 别算法标识以及用户属性参数信息和生物识别相关参数对应列表。
可选地, 所述用户属性参数信息包括与所述权限属性信息对应的安全 级别信息。
可选地, 所述的生物识别相关参数包括与所述安全级别信息对应的识 别门限。
才艮据本发明的又一方面, 一种安全认证方法, 包括:
接收用户端发送的用户持有的生物证书和用户的生物信息; 所述生物 证书包含用户的生物模板或生物模板存储地址;
验证所述生物证书; 对所述生物信息和生物模板进行匹配比较, 生成 身份认证结果。
可选地, 在进行匹配比较前, 还包括: 获得进行匹配比较所需要的生 物识别参数信息。
可选地, 所述的验证所述生物证书, 包括: 读取所述生物证书中的有 效期, 确定所述生物证书的有效性。
可选地, 该方法还包括: 读取所述生物证书的主体信息, 确定所述生 物证书的持有的身份。
可选地, 所述生物证书中还包括公钥证书标识信息; 该方法还包括: 在所述身份认证结果为通过时, 允许用户使用所述公钥证书的私钥进行操 作。
可选地, 所述生物证书中还包括权限属性信息; 该方法还包括: 在所 述身份认证结果为通过时, 根据所述权限属性信息进行权限认证。
根据本发明的再一方面, 一种安全认证方法, 包括:
权限认证子系统输出用户属性参数信息; 所述用户属性信息对应于用 户端发出的权限属性信息;
生物认证子系统 居与用户端协商的生物认证方式请求生物识別参 数信息;
生物算法证书目录根据所述用户属性参数信息和生物认证方式输出 生物识别参数信息;
所述生物认证子系统根据所述生物识别参数信息, 对来自用户端的生 物信息和生物证书对应的生物模板进行匹配比较, 生成身份认证结果; 在身份认证通过后, 所述权限认证子系统根据所述权限属性信息对用 户声明的权限进行认证。
可选地, 权限认证子系统输出用户属性参数信息为: 所述的权限认证 子系统将用户属性参数信息输出至生物算法证书目录对应的生物算法证 书处理单元。
可选地, 权限认证子系统输出用户属性参数信息为: 所述的权限认证 子系统将用户属性参数信息输出至生物认证子系统; 所述生物认证子系统 将用户属性参数信息输出至生物算法证书目录对应的生物算法证书处理 单元。
可选地, 所述生物认证子系统将用户属性参数信息输出至生物算法证 书处理单元是和所述请求生物识别参数信息同时进行的。
可选地, 所述的权限属性信息携带在用户的权限属性证书中或者携带 在所述生物证书的扩展信息中。
可选地, 所述的生物算法证书目录中保存生物特征类型标识、 生物识 别算法标识以及用户属性参数信息和生物识别相关参数对应列表。
可选地, 所述用户属性参数信息包括与所述权限属性信息对应的安全 级别信息。
可选地, 所述的生物识别相关参数包括与所述安全级别信息对应的识 别门限。
本发明中, 用户端发送生物证书和用户的生物信息, 生物认证子系统 根据所述生物证书和生物信息对用户的身份进行认证, 由于采用生物证 书, 使得可信度得到有效的保证, 从而提高采用生物信息进行身份认证的 安全性。
此外, 本发明的生物认证技术还可以和 PKI技术相结合, 在生物证书 中包含公钥证书标识信息, 有效地保证公钥证书中的私钥的安全性, 使得 只有通过生物认证过程的用户材可以使用相应的私钥进行操作。
基于采用生物证书进行身份认证的方案, 可以将其和权限认证相结 合, 对用户进行身份认证和权限认证, 由于生物信息的唯一性、 稳定性等 特点, 所以保证最终的权限认证的可靠性; 并且可以根据权限属性信息来 调节生物识别参数信息, 使得验证结果的可信度与受保护资源的权限要求 的安全度相对应, 从而可以适合各种实际情况和需求。
附图说明 图 1是本发明的安全认证系统所基于的 BAI的架构示意图; 图 2是本发明的安全认证系统的一个实施例的框图;
图 3是本发明的实施例中所采用的生物证书的示意图; 图 4是本发明的安全认证方法的一个实施例的流程图; 图 5是本发明的安全认证系统所基于的 BAI和 PKI相结合的架构示 意图;
图 6是本发明的安全认证系统的另一个实施例的框图;
图 7是本发明的安全认证方法的另一个实施例的流程图;
图 8是本发明的安全认证方法的又一个实施例的流程图; ; 图 9是本发明的实施例中采用的包括公钥证书标识信息的生物证书的 示意图; 图。
具体实施方式 为使本发明的目的、 技术方案及优点更加清楚明白, 以下结合附图及 实施例, 对本发明做进一步详细说明。 应当理解, 此处所描述的具体实施 例仅仅用以解释本发明, 并不用于限定本发明。
安全认证系统的实现基于生物认证基础设施 ( BAI , Biometric Authentication Infrastructure ) , 请参阅图 1, 是本发明的安全认证系统的 实施例所基于的生物认证基础设施的框架结构示意图。
ΒΑΙ包括: BCA ( Biometric Certificate Authority, 生物证书权威) 110、 TBA ( Telebiometric Authority, 通信生物认证权威) 120、 BCD ( Biometric Certificate Directory, 生物证书目录) 130、 BACD ( Biometric Algorithm Certificate Directory, 生物算法证书目录) 140。
其中, BCA 110是 BAI中为用户端 180颁发经过数字签名、 包含生物 模板或生物模板存储地址的生物证书的第三方权威机构。 也就是说, 所谓 的生物证书中绑定用户身份和生物信息并经 BCA 110进行数字签名。
BCD 130中保存用户生物证书。
TBA 120是为各种生物识别算法进行权威认证的可信任第三方机构, 将经过其认证的生物识别算法颁发给 BACD 140。
BAC D 140中保存各种生物识别算法、 识别门限、 安全认证级别等生 物识别参数, 可以保存为目录形式。 请参阅图 2, 是本发明的安全认证系统的实施例的框图。
安全认证系统包括用户端 180 和 BAS ( Biometric Authentication System, 生物认证子系统) 150和 BACD 140。
进行认证时, 用户端 180提供生物证书和采集到的生物信息给 BAS 150, BAS 150将采集到的用户生物信息和用户提供的生物证书中的生物 模板进行匹配比对, 以确定用户身份的合法性。 进行身份认证时所需要的 生物识別参数根据系统环境和认证策略由安全认证系统的 BACD 140提供 或者由其他可信任的第三方提供。
用户端 180设置有生物数据采集子系统(图未示), 用于采集用户的 生物信息。
请参阅图 3 , 是本发明的实施例中采用的生物证书的示意图。 所述生 物证书中包含如下内容:
版本: BCA所发行的生物证书的版本。
序列号: BCA所发行的生物证书的唯一标识。
有效期: 包括有效期起始日期和有效期终止日期, 指示生物证书可用的曰期。 主体: 该证书所标识的个人或者实体, 可以用主体唯一标识来区分和核实。
发行者: 标识生成并对该证书签名的可信任源 BCA, 可以用其唯一标识来区分和 核实。
模板格式标识: 生物模板的格式标识信息。
生物模板: 该模板存放主体的生物信息和生物识别相关参数等。
扩展信息: 在不改变证书格式的前提下, 允许证书中编码加入额外的信息。 证书 在某些应用场合需要附加信息或者声明证书使用方法等其他信息。
发行者签名: 用 BCA的私钥对序列号、 有效期、 主体及其唯一标识、 发行者及其 唯一标识、 模板格式标识、 生物特征模板、 扩展信息等的摘要的数字签名。 请参阅图 4, 是本发明安全认证方法的一个实施例的流程图。
步 8410, 认证过程启动后, 用户端与 BAS协商认证方式, 向 BAS 发送 BCA为其颁发的生物证书。
步驟 S420, BAS采用 BCA的公钥验证所述生物证书的数字签名。 步骤 S430, 在数字签名通过后, BAS验证生物证书的合法性和有效 性, 例如验证所述生物证书是否巳经超过有效期, 或者是否已经被吊销。
步骤 S440, 险证通过后, BAS对来自用户端的生物信息与所述生物 证书中的生物模板进行匹配, 生成认证结果。
其中, 在步骤 S440中, 所述 BAS需要根据生物证书中的模板格式标 识读取所述生物模板。
在步驟 S440, 所述 BAS还可以从 BACD获得认证过程所需的生物识 别参数(如识别门限等), 这是因为, 生物认证的结果通过判断生物信息 匹配结果是否在有效范围内来得到, 因此使用的是近似匹配, 而不像密码 系统那样进行精确匹配。 决定生物识别的有效性因系统不同而不同, 取决 于生物信息的类型和系统使用的生物识别算法。
请参阅图 5, 是本发明的安全认证系统的另一实施例所基于的基础设 施的框架结构示意图。
该安全认证系统结合基于生物证书的 B AI 和 PMI ( Privilege Management Infrastructure, 权限管理基础设施), 实现对用户的身份认证 和权限认证。 BAI包括: BCA 110、 TBA 120、 BCD 130、 BACD 1400; PMI 包括: SOA ( Source of Authentication, 信任源点) 210、 AA ( Attribution Authority, 属性权威机构) 220。
其中, SOA 210为 PMI中的中心业务节点, 也是整个 PMI中的最终 信任源和最高管理机构, 负责授权管理策略的管理、 应用授权受理、 AA 的设立审核及管理和授权管理体系业务的规范化等。
AA 220是 PMI的核心服务节点, 是对应于具体应用系统的授权管理 分系统, 与 SOA 210通过业务协议达成相互的信任关系, 负责应用授权受 理、 权限属性证书的发放和管理, 以及 AA代理点的设立审核和管理等。 AA 220需要为其所发放的所有权限属性证书维持一个历史记录和更新记 录。
所述安全认证系统中, BAI和 PMI在逻辑上是相对独立的, BAI中身 份的创建和维护是独立于 PMI的, BAI的建立往往早于 PMI。但是在使用 权限证书进行授权服务时, 二者又相互关联。 请参阅图 6, 本发明的安全认证系统的另一实施例的框图。
安全认证系统包括 BAS 150、 PAS ( Privilege Authentication System, 授权认证子系统) 230和 BACD 140。
其中, PAS 230提供生物认证所需要的用户属性参数, BACD 140根 据 PAS 230提供的用户属性参数向 BAS 150提供与用户属性参数对应的生 物识别参数, BAS 150根据 BACD 140提供的生物识别参数, 利用生物证 书对用户的生物信息进行验证,从而实现对用户身份的识别认证。 PAS 230 对通过身份认证的用户进行权限认证。
也就是说, PAS 230与 BAS 150之间通过 BACD 140实现结合。 PAS、 BAS的实现可以采用现有技术, 形式可以有多种, 此不赘述。
基于生物证书的 BAI对用户进行身份认证时,能够获得可信任的生物 识别参数,如识别门限等是必须的。 因此在 BAI建立的同时必须建立可提 供生物识别参数的生物算法证书目录 BACD 140。
需要说明的是, BACD 140负责提供生物识别参数, 具体的动作一 ^殳 来说是由对应的生物算法证书处理单元(图未示) 来执行的。
这是因为: 生物识别认证的结果通过判断生物信息匹配结果是否在有 效范围内来得到, 因此使用的是近似匹配, 而不像密码系统那样进行精确 匹配。 决定生物识别的有效性因系统不同而不同, 取决于生物信息的类型 和系统使用的生物识别算法。 在生物识别算法中, 识别门限一个重要的参 数值, 生物识别算法通过识别门限可以实施生物识别。 识别门限影响识别 结果的精确度, 即不同的门限设置, 可能会导致生物识别算法的识别结果 发生变化。
此外, 所有的生物认证都有一个可配置参数: 误接收率(FAR )和误 拒绝率(FRR )。 FAR是衡量用户本应该遭受拒绝却被系统接受的参数, FRR是衡量用户本应该被系统接受却遭到拒绝的参数。 FAR和 FRR相互 制约, 而 FAR和 FRR的大小又直接由识别门限决定。 如果用严格的策略 使非法用户进入系统的可能性 FAR减少以提高系统安全级別, 就需要提 高识别门限, 那么合法用户被拒绝的概率 FRR就增加。 如果减少系统拒 绝合法用户的可能性 FRR, 就需要降低识别门限, 那么非法用户得到授权 的概率 FAR就增加, 认证系统的安全级别也相应的降低。
如前所述, BAS 150进行生物识别认证所需的生物识别参数是 BACD 140提供的, 而 BACD 140是在获悉 PAS 230输出的用户属性参数后确定生 物识别参数的。也就是说, 需要 PAS 230提供生物认证准确度参数,对 BAS 150的生物识别认证进行指导, 以满足对具有不同安全级别权限的用户进 行身份认证的要求。 该生物认证准确度参数是 PAS 230根据被访问资源的 安全性要求做出的。
在具体实施时,可以对 PMI的权限属性证书进行修改,将生物认证所 需要的用户属性参数加入权限属性证书中, 具体可以设置在权限属性证书 的扩展信息中。
本发明的一个实施例中, 在权限属性证书的扩展信息中加入属性安全 级别列表, 即权限属性证书中所声称的各权限属性对应的安全级别列表, 该安全级别直接反映生物认证结果的置信度。
此外, 在支持角色的权限属性证书中, 角色所对应的权限属性也有一 个属性安全级别列表, 以便权限验证者获知该权限要求的安全级别。
相应的, BACD 140包含一个安全级别和生物识别参数的对应列表, 记录不同生物类型的不同识别算法所对应的不同的生物识别参数
请参阅图 7, 是本发明的一个实施例中, BAS和 PAS相结合实现身份 认证和权限认证的流程图。
用户请求访问某特定资源时, BAS 向用户发送身份认证请求 (步骤 S511 ), PAS向用户发送权限认证请求(步谶 S512 )。
步骤 S520, 用户响应 B AS的身份认证请求, 协商认证方式, 并发送 生物证书。
步骤 S530,在执行步骤 S520的同时,用户响应 PAS的权限认证请求, 声明对资源的访问权限, 并发送权限属性证书。
步骤 S540, BAS根据协商的认证方式和生物识別算法向 BACD发送 生物识别参数(如识别门限) 的请求。
步驟 S550, 在执行步骤 S540的同时, PAS根据用户声明的权限将权 限属性证书中的用户属性参数信息, 例如该用户的权限属性所对应的安全 级别发送给 BACD。
步骤 S560, BACD根据步骤 S550中的参数清求和步驟 S560发送的 安全级别, 检索到相应的生物识别参数并发送给 BAS。
步骤 S570, BAS根据 BAC提供的生物识别参数对用户身份进行认证。 步骤 S580, 如果身份认证通过则进行由 PAS对用户权限进行验证, 否则直接拒绝。
步骤 S590, 如果 PAS进行的权限认证也通过, 则用户可以按照其声 称的权限访问资源。
上述实施例中, BAS和 PAS间交互较少, BAS和 PAS系统相对独立 运行, BAS没有参考访问权限的安全级别就直接与用户协商认证方式。
请参阅图 8 , 是本发明的另一实施例中, BAS和 PAS相结合实现身份 认证和权限认证的流程图。
用户请求访问某特定资源, BAS和 PAS 系统分别向用户发送身份认 证请求(步骤 S611 ) 和权限认证请求(步骤 S612 )。
步驟 S620, 用户响应 BAS的身份认证请求, 协商认证方式, 并发送 生物证书。
步骤 S630,在执行步驟 S620的同时,用户响应 PAS的权限认证请求, 声明对资源的访问权限, 并发送权限属性证书。
步驟 S640, PAS将权限属性证书中的用户属性参数信息,例如该用户 的权限属性所对应的安全级别发送给 B AS。
步骤 S650, BAS才艮据安全级别和用户协商生物认证方式。
步骤 S660, BAS才艮据协商好的认证方式, 确定生物识别算法, 并向 BACD发送生物识别参数, 如识别门限的请求, 发送请求时携带生物识别 类型、 识别算法和属性安全级别等相关参数。
步骤 S670, BACD根据步骤 S660中请求携带的参数, 检索到与请求 匹配的生物识别参数, 并发送给 BAS。
步骤 S680, BAS根据 BAC提供的生物识别参数对用户身份进行认证。 步骤 S690, 如果身份认证通过则由 PAS对用户权限进行验证, 否则 直接拒绝。 步骤 S691 ,如果身份认证和权限认证全部通过,则用户可以按照其声 称的权限访问资源。
上述实施例中, BAS和 PAS间交互较多, BAS进行身份认证时参考 访问权限安全级别后再与用户协商认证方式。
在本发明中,还可以通过在生物算法证书的扩展信息中加入 PMI认证 所需要的权限信息来实现 BAI和 PMI的结合, 具体过程不再赘述。 础设施)相结合。 此种情况下, 生物证书需要结合 PKI中的公钥证书一起 使用, 在生物证书的扩展信息中可以加入公钥证书标识信息, 如公钥证书 的发行者、 序列号等, 如图 9所示。 这种实施例中, 主要是采用生物证书 保护公钥证书中的私钥, 用户只有通过生物认证才被允许采用私钥进行操 作。
请参阅图 10,还可以在生物证书的扩展信息中加入公钥标识符, 用于 指定生物证书权威所拥有的多个公钥中的哪一个用于验证生物证书的签 名, 使得生物证书权威使用多个密钥对成为可能。
以上所述仅为本发明的较佳实施例而已, 并不用以限制本发明, 凡在 本发明的精神和原则之内所作的任何修改、 等同替换和改进等, 均应包含 在本发明的保护范围之内。

Claims (1)

  1. 权 利 要 求
    1、 一种安全认证系统, 其特征在于, 包括:
    用户端, 用于采集用户的生物信息, 发送所述生物信息及用户持有的 生物证书; 所述生物证书包含用户的生物模板或生物模板存储地址; 生物认证子系统, 用于验证所述生物证书; 对所述生物信息和生物模 板进行匹配比较, 生成身份认证结果。
    2、 根据权利要求 1 所述的安全认证系统, 其特征在于, 还包括: 生 物算法证书目录, 用于为所述生物认证子系统提供匹配比较所需的生物识 别参数信息。
    3、 根据权利要求 1 所述的安全认证系统, 其特征在于, 所述的生物 证书中还包含证书的有效期 , 用于协助生物认证子系统确认所述生物证书 的有效性。
    4、 根据权利要求 1 所述的安全认证系统, 其特征在于, 所述的生物 证书还包含主体信息, 用于协助生物认证子系统确认用户的身份。
    5、 根据权利要求 1 所述的安全认证系统, 其特征在于, 所述的生物 证书还包含公钥证书标识符, 用于在所述身份认证结果为通过时, 允许用 户使用所述公钥证书的私钥进行操作。
    6、 一种安全认证系统, 其特征在于, 包括:
    用户端, 用于采集用户的生物信息, 发送所述生物信息及用户持有的 生物证书和权限属性信息, 声明用户的权限; 所述生物证书包含用户的生 物模板或生物模板存储地址;
    生物认证子系统, 用于-捡证所述生物证书; 采用生物识别算法对所述 生物信息和生物模板进行匹配比较, 生成身份认证结果;
    权限认证子系统, 用于根据所述权限属性信息输出用户属性参数信 息; 在身份认证通过时根据所述权限属性信息验证用户声明的权限; 生物算法证书目录, 用于提供与所述用户属性参数信息及所述生物识 别算法对应的生物识别参数信息, 并提供给所述生物认证子系统以进行匹 配比较。
    7、 根据权利要求 6所述的安全认证系统, 其特征在于, 所述的权限 认证子系统将用户属性参数信息输出至生物算法证书目录对应的生物算 法证书处理单元。
    8、 根据权利要求 6所述的安全认证系统, 其特征在于, 所述的权限 认证子系统通过生物认证子系统将用户属性参数信息输出至生物算法证 书目录对应的生物算法证书处理单元。
    9、 根据权利要求 6所述的安全认证系统, 其特征在于, 所述的权限 属性信息携带在用户的权限属性证书中或者携带在所述生物证书的扩展 信息中。
    10、 根据权利要求 6所述的安全认证系统, 其特征在于, 所述的生物 算法证书目录中保存生物特征类型标识、生物识别算法标识以及用户属性 参数信息和生物识别相关参数对应列表。
    11、 根据权利要求 10所述的安全认证系统, 其特征在于, 所述用户 属性参数信息包括与所述权限属性信息对应的安全级别信息。
    12、 根据权利要求 11 所述的安全认证系统, 其特征在于, 所述的生 物识别相关参数包括与所述安全级别信息对应的识别门限。
    13、 一种安全认证方法, 其特征在于, 包括:
    接收用户端发送的用户持有的生物证书和用户的生物信息; 所述生物 证书包含用户的生物模板或生物模板存储地址;
    证所述生物证书; 对所述生物信息和生物模板进行匹配比较, 生成 身份认证结果。
    14、 根据权利要求 13所述的安全认证方法, 其特征在于, 在进行匹 配比较前, 还包括: 获得进行匹配比较所需要的生物识别参数信息。
    15、 根据权利要求 13所述的安全认证方法, 其特征在于, 所述的验 证所述生物证书, 包括: 读取所述生物证书中的有效期, 确定所述生物证 书的有效性。
    16、 根据权利要求 13所述的安全认证方法, 其特征在于, 还包括: 读取所述生物证书的主体信息, 确定所述生物证书的持有的身份。
    17、 根据权利要求 13所述的安全认证方法, 其特征在于, 所述生物 证书中还包括公钥证书标识信息; 该方法还包括: 在所述身份认证结果为 通过时, 允许用户使用所述公钥证书的私钥进行操作。
    18、 根据权利要求 13所述的安全认证方法, 其特征在于, 所述生物 证书中还包括权限属性信息; 该方法还包括: 在所述身份认证结果为通过 时, 根据所述权限属性信息进行权限认证。
    19、 一种安全认证方法, 其特征在于, 包括:
    权限认证子系统输出用户属性参数信息; 所述用户属性信息对应于用 户端发出的权限属性信息;
    生物认证子系统才艮据与用户端协商的生物认证方式请求生物识别参 数信息;
    生物算法证书目录根据所述用户属性参数信息和生物认证方式输出 生物识别参数信息;
    所述生物认证子系统^^据所述生物识别参数信息,对来自用户端的生 物信息和生物证书对应的生物模板进行匹配比较, 生成身份认证结果; 在身份认证通过后, 所述权限认证子系统根据所述权限属性信息对用 户声明的权限进行认证。
    20、 根据权利要求 19所述的安全认证方法, 其特征在于, 权限认证 子系统输出用户属性参数信息为: 所述的权限认证子系统将用户属性参数 信息输出至生物算法证书目录对应的生物算法证书处理单元。
    21、 根据权利要求 19所述的安全认证方法, 其特征在于, 权限认证 子系统输出用户属性参数信息为: 所述的权限认证子系统将用户属性参数 信息输出至生物认证子系统; 所述生物认证子系统将用户属性参数信息输 出至生物算法证书目录对应的生物算法证书处理单元。
    22、 根据权利要求 21 所述的安全认证方法, 其特征在于, 所述生物 认证子系统将用户属性参数信息输出至生物算法证书处理单元是和所述 请求生物识别参数信息同时进行的。
    23、 根据权利要求 19所述的安全认证方法, 其特征在于, 所述的权 限属性信息携带在用户的权限属性证书中或者携带在所述生物证书的扩 展信息中。
    24、 根据权利要求 19所述的安全认证方法, 其特征在于, 所述的生 物算法证书目录中保存生物特征类型标识、生物识别算法标识以及用户属 性参数信息和生物识别相关参数对应列表。
    25、 根据权利要求 19所述的安全认证方法, 其特征在于, 所述用户 属性参数信息包括与所述权限属性信息对应的安全级别信息。
    26、 ^^据权利要求 25所述的安全认证方法, 其特征在于, 所述的生 物识别相关参数包括与所述安全级别信息对应的识别门限。
CNA2006800122623A 2005-10-22 2006-10-17 一种安全认证系统及方法 Pending CN101160783A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2005101006608A CN1859096B (zh) 2005-10-22 2005-10-22 一种安全认证系统及方法
CN200510100660.8 2005-10-22
PCT/CN2006/002732 WO2007045165A1 (fr) 2005-10-22 2006-10-17 Procede et systeme d'authentification de securite

Publications (1)

Publication Number Publication Date
CN101160783A true CN101160783A (zh) 2008-04-09

Family

ID=37297963

Family Applications (2)

Application Number Title Priority Date Filing Date
CN2005101006608A Active CN1859096B (zh) 2005-10-22 2005-10-22 一种安全认证系统及方法
CNA2006800122623A Pending CN101160783A (zh) 2005-10-22 2006-10-17 一种安全认证系统及方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN2005101006608A Active CN1859096B (zh) 2005-10-22 2005-10-22 一种安全认证系统及方法

Country Status (6)

Country Link
US (1) US8539249B2 (zh)
EP (1) EP1777640B1 (zh)
CN (2) CN1859096B (zh)
AT (1) ATE454672T1 (zh)
DE (1) DE602006011554D1 (zh)
WO (1) WO2007045165A1 (zh)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2007094165A1 (ja) * 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
US7890478B2 (en) * 2006-04-24 2011-02-15 Sap Ag Projected business objects
CN1945554B (zh) * 2006-10-12 2011-04-27 北京飞天诚信科技有限公司 一种提高智能密钥安全性的方法及装置
US20080162943A1 (en) * 2006-12-28 2008-07-03 Ali Valiuddin Y Biometric security system and method
GB2478670B (en) * 2008-10-22 2012-08-08 Hewlett Packard Development Co Method and system for providing recording device privileges through biometric assessment
US9378348B2 (en) * 2009-01-08 2016-06-28 Red Hat, Inc. Adding biometric identification to the server security infrastructure for an enterprise service bus system
US8844024B1 (en) * 2009-03-23 2014-09-23 Symantec Corporation Systems and methods for using tiered signing certificates to manage the behavior of executables
JP2010238102A (ja) * 2009-03-31 2010-10-21 Fujitsu Ltd 情報処理装置、認証システム、認証方法、認証装置及びプログラム
CN101944226A (zh) * 2010-09-15 2011-01-12 北京天诚盛业科技有限公司 一种保证金融主管权限的安全交接系统和方法
JP5541039B2 (ja) * 2010-09-27 2014-07-09 富士通株式会社 生体認証システム、生体認証サーバ、生体認証方法及びそのプログラム。
CN102420690B (zh) * 2010-09-28 2014-05-21 上海可鲁系统软件有限公司 一种工业控制系统中身份与权限的融合认证方法及系统
RU2451346C1 (ru) * 2011-04-27 2012-05-20 Сергей Владимирович Дворянкин Способ контактно-разностной акустической идентификации личности
CN102210481A (zh) * 2011-05-19 2011-10-12 黎泽荣 一种用于连续生产充气食品的加工方法及装置
CN102202306B (zh) * 2011-06-13 2014-02-05 中国电信股份有限公司 移动安全认证终端及方法
US9621350B2 (en) * 2011-06-30 2017-04-11 Cable Television Laboratories, Inc. Personal authentication
CN105474573B (zh) 2013-09-19 2019-02-15 英特尔公司 用于同步并恢复参考模板的技术
CN103679436B (zh) * 2013-12-17 2018-08-14 重庆邮电大学 一种基于生物信息识别的电子合同保全系统和方法
FR3027753B1 (fr) * 2014-10-28 2021-07-09 Morpho Procede d'authentification d'un utilisateur detenant un certificat biometrique
CN106919823A (zh) * 2015-12-28 2017-07-04 航天信息股份有限公司 一种粮食管理方法、操作终端、服务器及粮食管理系统
CN108885656A (zh) * 2016-04-15 2018-11-23 爱迪德技术有限公司 账户访问
US10719593B2 (en) 2016-06-23 2020-07-21 Hitachi, Ltd. Biometric signature system and biometric certificate registration method
US10893038B2 (en) * 2016-09-14 2021-01-12 Cognitive Strategies, LLC Attributed network enabled by search and retrieval of privity data from a registry and packaging of the privity data into a digital registration certificate for attributing the data of the attributed network
US10911452B2 (en) * 2016-11-22 2021-02-02 Synergex Group (corp.) Systems, methods, and media for determining access privileges
US9762728B1 (en) * 2016-12-02 2017-09-12 TrustID, Inc. Using calling party number for caller authentication
TWI739778B (zh) * 2016-12-08 2021-09-21 美商動信安全股份有限公司 作業系統之登入機制
CN110710178B (zh) * 2017-06-01 2021-07-06 诺基亚通信公司 无线接入网络中的用户认证
KR101936941B1 (ko) * 2018-02-22 2019-01-11 스티븐 상근 오 생체인증을 이용한 전자결재 시스템, 방법 및 프로그램
US10440020B1 (en) 2018-07-31 2019-10-08 Capital One Services, Llc Biometric one touch system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6940976B1 (en) * 1999-06-02 2005-09-06 International Business Machines Corporation Generating user-dependent RSA keys
US7391865B2 (en) * 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
GB9923802D0 (en) 1999-10-08 1999-12-08 Hewlett Packard Co User authentication
US6505193B1 (en) 1999-12-01 2003-01-07 Iridian Technologies, Inc. System and method of fast biometric database searching using digital certificates
JP4552294B2 (ja) * 2000-08-31 2010-09-29 ソニー株式会社 コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
JP2002073571A (ja) * 2000-08-31 2002-03-12 Sony Corp 個人認証システムおよび個人認証方法、並びにプログラム提供媒体
US20030140233A1 (en) * 2002-01-22 2003-07-24 Vipin Samar Method and apparatus for facilitating low-cost and scalable digital identification authentication
US8086867B2 (en) * 2002-03-26 2011-12-27 Northrop Grumman Systems Corporation Secure identity and privilege system
US8406478B2 (en) * 2002-08-08 2013-03-26 Agency for Science, Technology and Research Nanyang Technological University Distributed processing in authentication
US7636853B2 (en) * 2003-01-30 2009-12-22 Microsoft Corporation Authentication surety and decay system and method
JP2005004253A (ja) 2003-06-09 2005-01-06 Mitsubishi Electric Corp 個人識別システム
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
EP1697907A1 (en) * 2003-12-24 2006-09-06 Telecom Italia S.p.A. User authentication method based on the utilization of biometric identification techniques and related architecture
JP5060222B2 (ja) * 2007-09-11 2012-10-31 株式会社東芝 アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム

Also Published As

Publication number Publication date
DE602006011554D1 (de) 2010-02-25
EP1777640B1 (en) 2010-01-06
CN1859096B (zh) 2011-04-13
US20070094509A1 (en) 2007-04-26
ATE454672T1 (de) 2010-01-15
WO2007045165A1 (fr) 2007-04-26
EP1777640A1 (en) 2007-04-25
CN1859096A (zh) 2006-11-08
US8539249B2 (en) 2013-09-17

Similar Documents

Publication Publication Date Title
CN101160783A (zh) 一种安全认证系统及方法
EP2224368B1 (en) An electronic data vault providing biometrically protected electronic signatures
US8438385B2 (en) Method and apparatus for identity verification
EP2214342B1 (en) Method and system for implementing authentication on information security
US6636975B1 (en) Accessing a secure resource using certificates bound with authentication information
US20040010697A1 (en) Biometric authentication system and method
WO2008022585A1 (fr) Procédé, système et dispositif de certification
US10771451B2 (en) Mobile authentication and registration for digital certificates
JP2003534589A (ja) 認証システム及び方法
MX2008015958A (es) Estructura de verificacion de credencial biometrica.
JP2002024177A (ja) 電子公証システムおよび電子公証方法
JP2003143136A (ja) 本人確認システム及び装置
US20070234054A1 (en) System and method of network equipment remote access authentication in a communications network
KR20030032422A (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법
JP2007058455A (ja) アクセス管理システム、および、アクセス管理方法
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及系统
JP2001216270A (ja) 認証局、認証システム及び認証方法
US20090327704A1 (en) Strong authentication to a network
EP1959607B1 (en) A method and system for authenticating the identity
KR20110115256A (ko) 전자 서명자 본인 확인을 이용한 전자 서명 문서 관리 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Open date: 20080409