CN101317362A - 一种信息安全认证方法和系统 - Google Patents
一种信息安全认证方法和系统 Download PDFInfo
- Publication number
- CN101317362A CN101317362A CNA2007800002908A CN200780000290A CN101317362A CN 101317362 A CN101317362 A CN 101317362A CN A2007800002908 A CNA2007800002908 A CN A2007800002908A CN 200780000290 A CN200780000290 A CN 200780000290A CN 101317362 A CN101317362 A CN 101317362A
- Authority
- CN
- China
- Prior art keywords
- certificate
- attribute
- creature
- biological
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了信息安全认证方法和系统。该方法的过程包括:用户发起访问请求,该请求包括设置有扩展标识的属性证书,所述扩展标识指示与所述属性证书关联的生物证书;获取生物证书,根据扩展标识判断所获取的生物证书是否与访问请求中的属性证书关联,若所述生物证书与所述属性证书关联,获取用户的生物特征数据,根据生物特征数据和该生物证书进行身份认证;利用属性证书进行权限认证;根据身份认证结果和权限认证结果控制用户访问所请求的信息。本发明的这种方法和系统通过建立权限认证和生物认证的对应关系,准确可靠地实现权限管理。
Description
一种信息安全认证方法和系统
技术领域
本发明涉及信息安全领域, 尤指一种信息安全认证方法和系统。 发明背景
国际电信联盟 ( International Telecommunications Union , ITU ) 和 Internet工程任务组 ( Internet Engineering Task Force, IETF )提出了权 限管理 出设施 ( PMI, Privilege Management Infrastructure ) 的概念。 PMI能够和公钥基础设施 ( PKI, Pubic Key Infrastructure )集成在一起, 系统地对用户进行权限管理并提供授权服务, 从而为信息安全提供保 障。
所述 PMI由属性证书、 属性权威、 属性证书库等部件组成, 用于实 现权限和证书的产生、 管理、 存储、 分发和撤销等功能。 所述属性证书 (AC, Attribute Certificate)是一个带有数字签名的数据结构, 该数据结构 将实体和权限绑定, 即属性证书定义了一个实体能够拥有的权限。 图 1 为属性证书的格式, 包括版本、 序列号、 有效期、 发行者、 签名算法及 其标识、 持有者、 发行者唯一标识、 属性信息、 扩展信息, 以及发行者 签名等参数。 其中, 关于某个实体的权限的定义包含在属性信息中。
对用户进行的信息安全认证包括权限认证和身份认证。 实际应用中, 可以只进行权限认证比如 PMI认证等, 也可以只进行身份认证比如 PKI 认证等,或是将 PMI认证和 PKI认证结合, 不同方式的信息安全认证具 有不同的准确度和可靠性。 一般情况下, 信息安全认证要求具有较高的 准确度和可靠性, 以保障资源的安全。
发明内容
本发明提供了信息安全认证方法和系统, 主要的技术方案如下: 一种信息安全认证方法, 该方法包括:
接收用户的访问请求, 该请求携带设置有扩展标识的属性证书, 所述扩展标识指示与所述属性证书关联的生物证书;
获取生物证书, 根据扩展标识判断所获取的生物证书是否与访问 请求中的属性证书关联, 若所述生物证书与所述属性证书关联, 则获 取用户的生物特征数据,根据生物特征数据和该生物证书进行身份认 证;
利用属性证书进行权限认证;
根据身份认证结果和权限认证结果对用户的访问进行控制。
一种信息安全认证方法, 该方法包括:
接收用户发出的携带有属性证书的访问请求, 该属性证书为具有 不同权限特性的属性设置有对应的安全级别;
获取生物算法证书, 所述生物算法证书记录有安全级别和生物识 别参数的对应关系;
根据属性证书中的属性对应的权限特性,确定该属性的安全级别, 从而获取对应的生物识别参数;
获取生物证书和该用户的生物特征数据进行身份认证, 判断生物 特征数据和生物证书的匹配程度是否达到生物识别参数的要求;
利用属性证书进行权限认证;
根据身份认证结果和权限认证结果控制用户访问所请求的信息。 一种信息安全认证系统, 包括:
客户端, 用于向服务提供单元发起访问请求, 该请求携带设置有 扩展标识的属性证书; 接收来自服务提供单元的认证结果;
服务提供单元, 用于获取生物证书, 判断所获取的生物证书是否 与访问请求中的属性证书关联;请求身份认证单元根据生物证书进行 身份认证, 或者请求权限认证单元根据属性证书进行权限认证; 身份认证单元, 用于根据生物证书进行身份认证;
权限认证单元, 用于根据属性证书进行权限认证。
一种信息安全认证系统, 包括:
客户端, 用于向服务提供单元发出携带有属性证书的访问请求, 该属性证书为具有不同权限特性的属性设置有对应的安全级别;接收 来自服务提供单元的认证结果;
服务提供单元, 用于获取生物算法证书和客户端输入的生物特征 数据, 所述生物算法证书记录有安全级别和生物识别参数的对应关 系; 请求身份认证单元根据生物证书进行身份认证, 或者请求权限认 证单元根据属性证书进行权限认证;根据属性证书中的属性对应的权 限特性, 确定该属性的安全级别, 获取对应的生物识别参数;
身份认证单元, 用于利用生物证书对输入生物特征数据的客户端 进行身份认证,判断生物特征数据和生物证书的匹配程度是否达到生 物识别参数的要求。
由上述技术方案可见 , 本发明的这种信息安全认证方法和系统, 在使用属性证书进行权限认证之前 ,先确定与该属性证书关联的生物 证书, 应用该生物证书进行身份认证, 并在身份认证通过后应用该属性 证书进行权限认证, 使得权限认证和使用生物证书的身份认证实现无缝 结合。 也就是说, 本发明通过建立权限认证和生物认证的对应关系 , 准 确可靠地实现权限管理, 并且本发明与现有技术有很好的兼容性, 应用 本发明进行信息安全认证简单、 易行。
附图简要说明 图 1是现有属性证书的格式;
图 2是本发明一个实施例中生物证书的格式;
图 3是本发明一个实施例中扩展标识的格式;
图 4是本发明一个实施例中实现信息安全认证的流程图; 图 5是本发明一个实施例中生物算法证书的格式;
图 6是本发明另一个实施例中实现信息安全认证的流程图; 图 7是本发明一个实施例中信息安全认证系统的结构示意图; 图 8是本发明另一个实施例中信息安全认证系统的结构示意图。 实施本发明的方式
. 以下参照附图并举实施例, 对本发明的内容详加说明。
本发明将生物特征识别技术应用在信息安全认证上, 利用生物证书 的唯一性、 稳定性等特点, 提供准确、 可靠的信息安全认证。 具体为: 在使用属性证书进行用户的权限认证之前, 先用与该属性证书关联的生 物证书对该用户进行身份认证, 在身份认证通过后再应用属性证书进行 权限认证, 以确保权限认证和身份认证的对应关系, 使得权限管理更为 准确可靠。
所述生物特征识别技术是指利用人类自身生理或行为特征进行身份 认定的一种技术, 比如指纹识别和虹膜识别等技术。
所述生物证书指的是包含生物特征模板的所有类型的证书, 包括单 独存在仅用于生物认证的证书, 和除前述生物证书之外的其他类型的证 书, 比如 RFC3739中定义的公铜证书等。该生物特征模板可以记录主体 的生物特征数据等。 为了更好地区分这两类(category )生物证书, 将单 独存在的仅用于生物认证的证书称为第一类生物证书, 将除前述的第一
类生物证书之外的其他类型的证书, 比如 RFC3739 中定义的公钥证书 等, 称为第二类生物证书。 所述第一类生物证书和第二类生物证书都包 含生物特征模板。
图 2为本发明一个实施例中生物证书的格式, 包括: 版本、 序列号、 有效期、 主体及其唯一标识、 发行者及其唯一标识、 生物特征模板、 模 板格式标识、 扩展信息和发行者签名。
其中, 版本: 生物证书中心( Biometric Certification Authority, BCA ) 发行的生物证书的版本。 序列号: BCA所发行的生物证书的唯一标识。 有效期: 生物证书的可用日期, 包括有效期起始日和有效期终止日。 主 体: 该生物证书标识的实体, 可以用主体唯一标识进行区分。 发行者: 生成该生物证书并为其提供签名的 BCA, 可以用该 BCA的唯一标识进 行区分。 生物特征模板: 包含主体的生物特征数据等。 模板格式标识: 生物特征模板的格式标识。 扩展信息: 在不改变证书格式的前提下, 允 许加入到该生物证书的额外信息, 比如生物证书的使用方法等。 发行者 签名: 用以下至少一个参数生成的数字签名, 所述参数包括 BCA的私 钥对序列号、 有效期、 主体及其唯一标识、 发行者及其唯一标识、 生物 特征模板、 模板格式标识、 扩展信息等。
为了建立属性证书和生物证书的关联关系, 并使得这种关联关系的 建立对现有系统的影响最小, 本发明在属性证书的扩展信息中增加一个 扩展项, 用于记录与该属性证书关联的生物证书的标识。
所述属性证书的扩展信息主要用于声明和该属性证书的应用相关的 一些策略。 扩展信息又包括基本扩展信息、 权限撤销扩展信息、 根属性 权威扩展信息、 角色扩展信息和授权扩展信息等。 一般情况下, 本发明 中增加的扩展项位于基本扩展信息中, 该扩展项被称为扩展标识。
对于与属性证书关联的生物证书是第一类生物证书的情况, 本发明
一个实施例中扩展标识的结构如图 3所示。 该实施例中, 扩展标识包括 生物证书发行者和生物证书序列号、 实体名称列表以及对象摘要信息 等。
其中, 生物证书发行者和生物证书序列号用于标识该属性证书的持 有者具有的生物证书, 即可用于对该属性证书的持有者进行身份认证的 生物证书。 实体名称列表用于标识一个或者多个属性证书的持有者的名 称。 对象摘要信息是根据以下参数计算出的摘要信息, 所述参数包括: 生物证书序列号、 有效期、 主体及其唯一标识、 发行者及其唯一标识、 生物特征模板、 模板格式标识、 扩展信息。
图 3所示的扩展标识同时包括生物证书发行者和生物证书序列号、 实体名称列表以及对象摘要信息这三项内容。 在实际应用中, 扩展标识 可以仅为上述三项的任意一项, 或为上述三项的任意组合。
如果扩展标识中只有实体名称列表这一项, 则任何一个记录在实体 名称列表中的生物证书都可以用来认证该属性证书的持有者的身份, 即 实体名称列表中记录的任何一个生物证书都与该属性证书关联。
如果扩展标识中包括生物证书发行者和生物证书序列号、 实体名称 列表, 则根据生物证书发行者和生物证书序列号判断属性证书和生物证 书是否关联。
如果扩展标识中包括实体名称列表和对象摘要信息, 则根据对象摘 要信息判断属性证书和生物证书是否关联。
第二类生物证书的扩展标识可以根据需要或参考图 3进行设置, 比 如该扩展标识中包含生物证书序列号等, 此处不再详加描述。
图 4是本发明一个实施例中实现信息安全认证的流程图。
步骤 401 :客户端向服务提供单元发起访问请求,该请求中记录有生 物证书和包含扩展标识的属性证书。
一般情况下,客户端通过访问请求要求获取某个资源数据库的信息。 所述生物证书可以是第一类生物证书, 也可以是第二类生物证书; 所述扩展标识指示可用于身份认证的生物证书。
步骤 402: 服务提供单元根据接收到的访问请求,判断生物证书与属 性证书中的扩展标识是否匹配; 若二者不匹配, 服务提供单元给客户端 返回拒绝的响应信息, 该流程结束; 若二者匹配, 则执行步骤 403。
在具体实现时, 所述生物证书也可以不通过访问请求传递, 而是从 其他途径获取到, 比如从数据库获取。
步骤 403: 服务提供单元给客户端返回成功的响应信息。
步骤 404:客户端接收到成功的响应信息后,将用户输入的生物特征 数据发送给服务提供单元。
步骤 405: 服务提供单元向身份认证单元发送身份认证请求,该请求 携带生物特征数据和生物证书。
步骤 406: 身份认证单元从生物证书中提取生物特征模板, 与用户输 入的生物特征数据进行比较, 对客户端进行身份认证。
进一步地, 该步骤中还可以根据生物识别参数的要求, 对属性证书 中具有不同权限特性的属性, 进行不同严格程度的生物认证。
所述生物识别参数可以是生物类型、识别算法、误匹配率( false match rate, FMR )、 重试次数、 生物数据质量等, 该参数可以由身份认证单元 设定, 也可以由服务提供单元设定, 或在生物证书中携带。 当生物识别 参数为误匹配率时, 假设该误匹配率为 80 % , 身份认证单元将生物特征 模板和用户输入的生物特征数据进行比较, 通过判断比较结果是否在误 匹配率允许的范围内来确定用户身份的合法性 , 比如如果生物特征模板 和用户输入的生物特征数据的相似度达到 90 % , 大于误匹配率, 身份认 证单元判定该用户的身份是合法的。
步骤 407: 身份认证单元将身份认证结果发送给服务提供单元。如果 身份认证失败, 服务提供单元通知客户端身份认证失败, 流程结束; 如 果身份认证成功, 执行步骤 408。
步骤 408: 服务提供单元向权限认证单元发出权限认证请求,该请求 携带属性证书。
步骤 409: 权限认证单元根据属性证书中定义的权限特性,对该客户 端进行权限认证, 即判断该客户端是否具有访问权限。 该步骤与现有的 权限认证过程相同, 此处不再赘述。
步驟 410〜411: 权限认证单元将权限认证结果发送给服务提供单元, 由服务提供单元通知客户端本次访问请求的认证是否通过。
其中, 对于不同类型的生物证书, 比如第一类生物证书和第二类生 物证书, 步骤 402提及的判断属性证书中的扩展标识与生物证书是否匹 配的过程又有所不同。
所述生物证书为第一类生物证书时, 根据扩展标识的组成又可分为 以下几种情况:
如果所述扩展标识包括生物证书发行者和生物证书序列号, 判断是 否匹配的过程为: 服务提供单元判断生物证书中记录的生物证书发行者 和生物证书序列号, 和扩展标识中的生物证书发行者和生物证书序列号 是否相同, 若二者相同则匹配, 若二者不同则不匹配。
如果所述扩展标识包括实体名称列表, 且该实体名称列表包含至少 一个主体及其唯一标识, 判断是否匹配的过程为: 判断生物证书中记录 的主体及其唯一标识是否包含在扩展标识中的实体名称列表内, 若包含 则匹配, 若不包含则不匹配。
如果所述扩展标识包括对象摘要信息, 判断是否匹配的过程为: 根 据生物证书中的生物证书序列号、 有效期、 主体及其唯一标识、 发行者
及其唯一标识、 模板格式标识、 生物特征模板以及扩展信息计算出一个 摘要信息, 并判断计算出的摘要信息与扩展标识中的对象摘要信息是否 相同, 若二者相同则匹配, 若二者不同则不匹配。 体名称列表, 则根据生物证书发行者和生物证书序列号判断是否匹配。
如果所述扩展标识包括实体名称列表和对象摘要信息, 则根据对象 摘要信息判断是否匹配。
所述生物证书为第二类生物证书时, 假设扩展标识中包括生物证书 序列号, 判断是否匹配的过程为:
服务提供单元判断访问请求中携带的生物证书是否为扩展标识中的 生物证书序列号指示的第二类生物证书,若是则匹配,若不是则不匹配。
或者, 服务提供单元获取扩展标识中的生物证书序列号指示的第二 类生物证书, 并判断所获取的第二类生物证书和访问请求中携带的生物 证书是否相同, 若相同则匹配, 若不同则不匹配。
经过上述处理, 生物认证和权限认证实现了无缝结合, 从而提供了 准确可靠的权限管理。
从图 4看出, 本发明可以对属性证书的使用做进一步扩展, 利用生 物算法证书灵活地提供生物识别参数, 使得属性证书中具有不同权限特 性的属性, 能够得到不同严格程度的生物认证。 所述生物识别参数包括 生物类型、 识别算法、 误匹配率、 重试次数、 生物数据质量等。 在实际 应用时, 可以设置与生物识别参数对应的安全级别, 通过安全级别控制 生物认证的严格程度。
所述生物算法证书 (Biometric Algorithm Certificate, BAC )指的是 记录有生物认证权威机构颁发的各种生物识别参数的证书。 在本发明一 个具体实例中, 生物算法证书的格式如图 5所示, 包括: 版本、序列号、
有效期、 发行者、 安全级别列表、 扩展信息、 发行者签名。 其中, 版本、 序列号、 有效期、 发行者的定义与生物证书中的对应参数类似, 此处不 再赘述。
所述发行者签名指的是由以下至少一个参数生成的数字签名, 所述 参数包括基于话单鉴权(TB A , Ticket Based Authentication )的私钥对序 列号、 有效期、 发行者及其唯一标识、 生物类型及其唯一标识、 识别算 法及其唯一标识、 安全级别列表、 扩展信息。 结构 口下:
BioSecLevelList ATTRIBUTE:: = {
WITH SYNTAX SecurityLevelBioRefLIST
ID id-at-bioSecLevelList}
SecurityLevelBioRefLIST:: = SEQUENCE{
securityLevelNum INTEGER,
securityLevelBioRef SecurityLevelBioRef}
SecurityLevelBioRef :: = SEQUENCE{
biometricSecurityLevelBiometricSecurityLevel,
policy Policy,
biometricPara BiometricPara}
BiometricSecurityLevel:: = SEQUENCE{
uniqueldentifierOfflioParalnfo CSTRING,
securityDegree INTEGER}
BiometricPara:: = SEQUENCE {
biometricNUM INTEGER OPTION,
biometricType BiometricType—CBEFF defined type—.
biometricAlgorithm Algorithmldentifier,
requestFMR BioAPIFMR,
trialNumber INTEGER OPTIONAL,
requestQuality INTEGER OPTIONAL
...}
其中, biometricType: 生物类型, 即生物认证采用何种类型的生物特 征数据, 比如指紋、 虹膜、 语音等; biometricAlgorithm: 某种类型的生 物特征数据的识别算法; requestFMR: 误匹配率, 即每次生物认证允许 的错误概率; trialNumber: 某次生物认证失败后, 允许用户进行重试的 次数; requestQuality: 用户输入的生物特征数据的质量。
在安全级别相同的情况下, 不同的生物类型和识别算法要求的参数 都是不同的。
再有, 对于属性证书中每个设置有权限特性的属性, 都定义一个与 之对应的生物认证的安全级别。 一般而言, 权限越高的属性, 其安全级 别也越高, 即对于生物认证的要求越严格, 以便更好地保障资源的安全 性。
这种属性权限和安全级别的对应关系可以直接通过改造属性的定义 来实现。 比如, 在 X.501| ISO/ IEC9594-2中对属性定义如下:
Attribute:: = SEQUENCER
Type ATTRIBUTE.&id({SupportedAttributes}),
Values SET SIZE(0..MAX) OF ATTRIBUTE.&TYPE
( { Supported Attributes } {@type}),
values WithContext SET SIZE(L.MAX) OF SEQUENCE{
value ATTRIBUTE.&Type({SupportedAttributes} {@type}), contextList SET SIZE(L.MAX) OF Context} OPTIONAL}
其中, Type是属性的类别信息, Value是 Type对应的数值, Context 是其他与应用能力相关的信息。 在 X.501| ISO/ IEC9594-2中, Context 的格式如下:
Context :: = SEQUENCE{
contextType CONTEXT.&id({SupportedContexts}),
contextValues SET SIZE(L.MAX) OF CONTEXT.&Type({Supported
Contexts} {@contextType}),
fallback BOOLEAN DEFAULT FALSE}
其中 , contextType 是对象描述符(OBJECT IDENTIFIER) , contextValues是 contextType只于应的数值, fallback表示属性和 contextType 的对应关系。 比如, 可以利用 Context表示一个属性对应的生物认证的 安全级别, 其中的 contextType表示生物认证的安全级别, contextValues 为该安全级别的数值。
在本发明的另一个实施例中, 用户可以访问资源数据库来获取所需 信息, 该资源数据库是受到权限管理的。 因此, 预先将有权访问该资源 数据库的所有用户的生物特征数据构造一个生物特征模板存放到生物 证书中, 并在属性证书中为每个具有权限特性的属性设置对应的安全级 别。 该实施例的信息安全认证过程如图 6所示, 包括以下步骤:
步骤 601: 客户端向服务提供单元发出访问请求,要求访问一个资源 数据库, 该请求携带生物证书和设置有扩展标识的属性证书。
步骤 602:服务提供单元检查该属性证书和生物证书是否关联, 即检 查生物证书和属性证书中的扩展标识是否匹配; 若二者不匹配, 服务提 供单元给客户端返回拒绝的响应信息, 该流程结束; 若二者匹配, 执行 步骤 603。
步骤 603: 服务提供单元给客户端返回成功的响应信息。
步骤 604:采集单元采集用户的生物特征数据,发送给服务提供单元。 步驟 605: 服务提供单元向身份认证单元发送身份认证请求,携带生 物特征数据和记录有安全信息列表的生物算法证书。
步骤 606:身份认证单元根据属性证书中每个属性对应的安全级别查 找生物算法证书的安全信息列表, 获得执行本次生物认证所需的生物识 别参数。之后,身份认证单元根据生物识别参数对该用户进行身份认证, 即判断生物证书中的生物特征模板和采集到的生物特征数据能否符合 该生物识别参数的匹配要求。
步骤 607: 身份认证单元将身份认证结果发送给服务提供单元; 如果 身份认证失败, 服务提供单元通知用户身份认证失败, 该流程结束; 如 果身份认证成功, 执行步骤 608。
步骤 608: 服务提供单元发出权限认证请求给权限认证单元,携带属 性证书。
步骤 609〜610: 权限认证单元根据属性证书对客户端进行权限认证, 并将权限认证结果发给服务提供单元。
步骤 611 : 服务提供单元通知用户本次访问请求的认证结果。如果用 户通过认证, 就可以对资源数据库进行访问, 获取所需信息。
在本发明的其他实施例中, 可以根据实际需要执行图 4或图 6所示 流程中的一个或多个步驟, 即上述流程中的步骤可以根据实际需要选择 执行, 并不都是必不可少的。
比如, 设置生物算法证书, 用于记录安全级别和生物识别参数的 对应关系。 在用户发出的访问请求中携带属性证书, 该属性证书中为 具有不同权限特性的属性设置有对应的安全级别。 即, 将属性证书和 生物算法证书关联。
之后, 利用生物证书和生物特征数据对该用户进行身份认证时, 根据属性证书中的属性对应的权限特性, 确定该属性的安全级别, 从 而获取对应的生物识别参数,并判断生物特征数据和生物证书的匹配 程度是否达到生物识别参数的要求。
图 7是本发明一个实施例中信息安全认证系统的结构示意图, 该系 统包括客户端、 服务提供单元、 身份认证单元和权限认证单元。
所述客户端用于向服务提供单元发起访问请求, 和 /或接收来自服务 提供单元的身份 /权限认证结果。所述访问请求包含生物证书和设置有扩 展标识的属性证书, 其中的扩展标识设置在属性证书的基本扩展信息
内。 所述生物证书可以是第一类生物证书, 也可以是第二类生物证书, 本发明并不加以限制。
所述服务提供单元用于接收访问请求, 判断该请求中携带的属性证 书和生物证书是否关联, 请求身份认证单元进行身份认证 , 接收来自身 份认证单元的身份认证结果, 再将身份认证结果返回给客户端, 和 /或请 求权限认证单元进行权限认证, 接收来自权限认证单元的权限认证结 果, 再将权限认证结果返回给客户端。
所述身份认证单元用于根据生物证书进行身份认证。 所述权限认证 单元用于根据属性证书对客户端进行权限认证。
以上所述的服务提供单元、 身份认证单元和权限认证单元均为逻辑 实体, 这三个单元可以位于同一个物理实体上, 也可以分别位于不同的 物理实体上。
图 8显示的是本发明另一个实施例中的信息安全认证系统, 该系统 包括: 生物数据采集单元、 身份认证单元、 权限认证单元、 服务提供单 元。
所述生物数据采集单元用于采集用户的生物特征数据。
所述身份认证单元用于根据采集到的生物特征数据、 生物证书和生 物识别参数认证某个用户的身份, 即判断采集到的生物特征数据和生物 证书中的生物特征模板是否匹配。
所述权限认证单元用于根据属性证书对某个用户进行权限认证, 即 判断该用户是否有权限使用某个服务。
所述服务提供单元用于为通过认证的用户提供服务, 比如允许该用 户访问受权限管理的资源数据库等。
在本发明的又一个具体实例中, 客户端可以发出携带有属性证书 的访问请求,该属性证书为具有不同权限特性的属性设置有对应的安
全级别;
服务提供单元, 用于获取生物算法证书和客户端输入的生物特征 数据, 所述生物算法证书记录有安全级别和生物识别参数的对应关 系;根据属性证书中的属性对应的权限特性,确定该属性的安全级别, 从而获取对应的生物识别参数;请求身份认证单元根据生物证书进行 身份认证, 或者请求权限认证单元根据属性证书进行权限认证。
身份认证单元利用生物证书对输入生物特征数据的客户端进行身 份认证时,判断生物特征数据和生物证书的匹配程度是否达到生物识 别参数的要求。
以上所述, 仅为本发明的实施例, 并非用于限定本发明的保护范围。
Claims (1)
- 权利要求书1、 一种信息安全认证方法, 其特征在于, 该方法包括:接收用户的访问请求, 该请求携带设置有扩展标识的属性证书, 所述扩展标识指示与所述属性证书关联的生物证书;获取生物证书, 根据扩展标识判断所获取的生物证书是否与访问 请求中的属性证书关联, 若所述生物证书与所述属性证书关联, 则获 取用户的生物特征数据,根据生物特征数据和该生物证书进行身份认 证;利用属性证书进行权限认证;根据身份认证结果和权限认证结果对用户的访问进行控制。2、根据权利要求 1所述的方法,其特征在于,所述扩展标识包括: 生物证书发行者和生物证书序列号;所述判断所获取的生物证书是否与属性证书关联包括: 判断生物 证书中记录的生物证书发行者和生物证书序列号,和扩展标识中的生 物证书发行者和生物证书序列号是否相同,若相同则该生物证书与所 述属性证书关联。3、根据权利要求 1所述的方法,其特征在于,所述扩展标识包括: 包含至少一个主体及其唯一标识的实体名称列表;所述判断所获取的生物证书是否与属性证书关联包括: 判断生物 证书中记录的主体及其唯一标识是否包含在扩展标识的实体名称列 表内, 若包含则该生物证书与所述属性证书关联。4、根据权利要求 1所述的方法,其特征在于,所述扩展标识包括: 对象摘要信息;所述判断所获取的生物证书是否与属性证书关联包括: 根据生物 证书中记录的生物证书序列号、 有效期、 主体及其唯一标识、 发行者 及其唯一标识、模板格式标识、 生物特征模板以及扩展信息计算摘要 信息, 判断计算出的摘要信息与扩展标识中的对象摘要信息是否一 致, 若一致则该生物证书与所述属性证书关联。5、 根据权利要求 1所述的方法, 其特征在于, 所述扩展标识包括 以下至少一项信息: 生物证书发行者和生物证书序列号、 实体名称列 表、 对象摘要信息。6、 根据权利要求 5所述的方法, 其特征在于, 所述对象摘要信息 根据生物证书序列号、 有效期、 主体及其唯一标识、 发行者及其唯一 标识、 模板格式标识、 生物特征模板以及扩展信息中的至少一个参数 计算获得。7、 根据权利要求 1至 6任一项所述的方法, 其特征在于, 所述扩 展标识设置在属性证书的基本扩展信息内。8、 根据权利要求 1所述的方法, 其特征在于, 进一步包括: 为属性证书中具有不同权限特性的属性设置对应的安全级別; 获取生物算法证书, 所述生物算法证书记录有安全级别和生物识 别参数的对应关系;所述根据生物特征数据和生物证书进行身份认证 , 包括: 根据属性证书中的属性对应的权限特性,确定该属性的安全级别, 从而获取对应的生物识别参数;判断生物特征数据和生物证书的匹配程度是否达到生物识别参数 的要求, 如果达到则身份认证成功, 如果没达到则身份认证失败。9、 根据权利要求 8所述的方法, 其特征在于, 所述生物识别参数 为生物类型、 识别算法、 误匹配率、 重试次数或生物数据质量。10、 一种信息安全认证方法, 其特征在于, 该方法包括: 接收用户发出的携带有属性证书的访问请求, 该属性证书为具有 不同权限特性的属性设置有对应的安全级别;获取生物算法证书, 所述生物算法证书记录有安全级別和生物识 别参数的对应关系;根据属性证书中的属性对应的权限特性,确定该属性的安全级别, 从而获取对应的生物识别参数;获取生物证书和该用户的生物特征数据进行身份认证, 判断生物 特征数据和生物证书的匹配程度是否达到生物识别参数的要求;利用属性证书进行权限认证;根据身份认证结果和权限认证结果控制用户访问所请求的信息。11、 根据权利要求 10所述的方法, 其特征在于, 所述生物识别参 数包括生物类型、 识别算法、 误匹配率、 重试次数或生物数据质量。12、 一种信息安全认证系统, 其特征在于, 包括:客户端, 用于向服务提供单元发起访问请求, 该请求携带设置有 扩展标识的属性证书; 接收来自服务提供单元的认证结果;服务提供单元, 用于获取生物证书, 判断所获取的生物证书是否 与访问请求中的属性证书关联;请求身份认证单元根据生物证书进行 身份认证 , 或者请求权限认证单元根据属性证书进行权限认证;身份认证单元, 用于根据生物证书进行身份认证;权限认证单元, 用于根据属性证书进行权限认证。13、 根据权利要求 12所述的系统, 其特征在于, 进一步包括: 生 物数据采集单元, 用于采集用户的生物特征数据, 将所述生物特征数 据发送给所述服务提供单元。14、 一种信息安全认证系统, 其特征在于, 包括:客户端, 用于向服务提供单元发出携带有属性证书的访问请求, 该属性证书为具有不同权限特性的属性设置有对应的安全级别;接收 来自服务提供单元的认证结果;服务提供单元, 用于获取生物算法证书和客户端输入的生物特征 数据, 所述生物算法证书记录有安全级别和生物识别参数的对应关 系; 请求身份认证单元根据生物证书进行身份认证, 或者请求权限认 证单元根据属性证书进行权限认证; 居属性证书中的属性对应的权 限特性, 确定该属性的安全级别, 获取对应的生物识别参数;身份认证单元, 用于利用生物证书对输入生物特征数据的客户端 进行身份认证,判断生物特征数据和生物证书的匹配程度是否达到生 物识别参数的要求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007800002908A CN101317362B (zh) | 2006-04-07 | 2007-03-06 | 一种信息安全认证方法和系统 |
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100742825A CN101051895B (zh) | 2006-04-07 | 2006-04-07 | 一种集成生物认证和属性证书的认证方法及系统 |
| CN200610074282.5 | 2006-04-07 | ||
| CN200610074283.X | 2006-04-07 | ||
| CN200610074283XA CN101051896B (zh) | 2006-04-07 | 2006-04-07 | 一种认证方法和系统 |
| CN2007800002908A CN101317362B (zh) | 2006-04-07 | 2007-03-06 | 一种信息安全认证方法和系统 |
| PCT/CN2007/000721 WO2007115468A1 (fr) | 2006-04-07 | 2007-03-06 | Procédé et système d'authentification de la sécurité des informations |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101317362A true CN101317362A (zh) | 2008-12-03 |
| CN101317362B CN101317362B (zh) | 2012-01-04 |
Family
ID=38783111
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100742825A Active CN101051895B (zh) | 2006-04-07 | 2006-04-07 | 一种集成生物认证和属性证书的认证方法及系统 |
| CN2007800002908A Active CN101317362B (zh) | 2006-04-07 | 2007-03-06 | 一种信息安全认证方法和系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100742825A Active CN101051895B (zh) | 2006-04-07 | 2006-04-07 | 一种集成生物认证和属性证书的认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN101051895B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035649A (zh) * | 2009-09-29 | 2011-04-27 | 国际商业机器公司 | 认证方法和装置 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
| US10412585B2 (en) | 2015-09-28 | 2019-09-10 | Guangdong Oppo Mobile Telecommunicaions Corp., Ltd. | User identity authentication method and device |
| CN112580019A (zh) * | 2015-06-03 | 2021-03-30 | 贝宝公司 | 基于设备功能和用户请求通过多个途径的认证 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2922672B1 (fr) * | 2007-10-19 | 2011-01-21 | Auchan France | Systeme d'authentification biometrique sans contact et procede d'authentification |
| CN103152366B (zh) * | 2013-04-10 | 2015-12-23 | 魅族科技(中国)有限公司 | 获得终端权限的方法、终端及服务器 |
| US8965066B1 (en) * | 2013-09-16 | 2015-02-24 | Eye Verify LLC | Biometric template security and key generation |
| CN104901805B (zh) | 2014-11-17 | 2016-08-24 | 深圳市腾讯计算机系统有限公司 | 一种身份鉴权方法、装置和系统 |
| CN111641718B (zh) * | 2020-06-01 | 2023-06-20 | 北京弘远博学科技有限公司 | 一种手机端app身份认证的方法 |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络系统的安全控制方法、系统、装置和存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030140233A1 (en) * | 2002-01-22 | 2003-07-24 | Vipin Samar | Method and apparatus for facilitating low-cost and scalable digital identification authentication |
| CN1655505A (zh) * | 2005-04-01 | 2005-08-17 | 中国工商银行 | 一种银行柜员安全系统及方法 |
-
2006
- 2006-04-07 CN CN2006100742825A patent/CN101051895B/zh active Active
-
2007
- 2007-03-06 CN CN2007800002908A patent/CN101317362B/zh active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102035649A (zh) * | 2009-09-29 | 2011-04-27 | 国际商业机器公司 | 认证方法和装置 |
| CN102035649B (zh) * | 2009-09-29 | 2013-08-21 | 国际商业机器公司 | 认证方法和装置 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
| CN112580019A (zh) * | 2015-06-03 | 2021-03-30 | 贝宝公司 | 基于设备功能和用户请求通过多个途径的认证 |
| US10412585B2 (en) | 2015-09-28 | 2019-09-10 | Guangdong Oppo Mobile Telecommunicaions Corp., Ltd. | User identity authentication method and device |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101051895B (zh) | 2010-06-09 |
| CN101051895A (zh) | 2007-10-10 |
| CN101317362B (zh) | 2012-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101317362A (zh) | 一种信息安全认证方法和系统 | |
| EP2009839A1 (en) | A method and system for information security authentication | |
| US9866394B2 (en) | Device for archiving handwritten information | |
| EP2053777B1 (en) | A certification method, system, and device | |
| US7690032B1 (en) | Method and system for confirming the identity of a user | |
| EP1777640B1 (en) | System and method for biometric authentication | |
| US9461990B2 (en) | Method for reading attributes from an ID token | |
| US20220122170A1 (en) | User credit scoring method in decentralized identity system and computer readable storage medium | |
| CN101127599B (zh) | 一种身份和权限认证方法及系统以及一种生物处理单元 | |
| CN103109298A (zh) | 认证协作系统以及id提供商装置 | |
| CN105357176A (zh) | 一种基于电子法定身份证件网络映射证件的网络法定身份管理系统 | |
| CN101051896B (zh) | 一种认证方法和系统 | |
| EP2254093B1 (en) | Method and system for confirming the identity of a user | |
| WO2000026823A9 (en) | A system for protection of unauthorized entry into accessing records in a record database | |
| CN109145063A (zh) | 诚信认证方法、身份信息的认证方法和装置 | |
| CN101123499A (zh) | 一种使用生物证书进行身份认证的方法 | |
| AU2009227510B2 (en) | Method and system for confirming the identity of a user | |
| US20120240241A1 (en) | Method for identity self-validation, suitable for use in computer environments or in real life | |
| WO2024085980A1 (en) | Portable access point for secure user information using non‑fungible tokens | |
| CN115955345A (zh) | 一种结合生物特征的安全管理认证方法及装置 | |
| KR20110120855A (ko) | 인증서 발급 방법 | |
| Ojaide | INFORMATION FLOW IN A RESTRUCTURED NIGERIA NATIONAL IDENTIFICATION SYSTEM: Election and Census Fraud Solution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |