午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

一種認(rèn)證方法和系統(tǒng)的制作方法

文檔序號(hào):7959818閱讀:311來(lái)源:國(guó)知局
專利名稱:一種認(rèn)證方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及信息安全技術(shù)領(lǐng)域,特別是指一種認(rèn)證方法和系統(tǒng)。
背景技術(shù)
ITU(International Telecomunications Union)和IETF(Internet EngineeringTask Force)使用屬性證書實(shí)現(xiàn)了權(quán)限管理基礎(chǔ)設(shè)施或稱授權(quán)管理基礎(chǔ)設(shè)施(PMI,Privilege Management Infrastructure)。
PMI是屬性證書、屬性權(quán)威、屬性證書庫(kù)等部件的集合體,其用來(lái)實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。PMI實(shí)際提出了一個(gè)新的信息保護(hù)基礎(chǔ)設(shè)施,能夠與公鑰基礎(chǔ)設(shè)施(PKI)和目錄服務(wù)緊密地集成,并系統(tǒng)地建立起對(duì)認(rèn)可用戶的特定授權(quán),對(duì)權(quán)限管理進(jìn)行了系統(tǒng)的定義和描述,完整地提供了授權(quán)服務(wù)所需過(guò)程。
建立在PKI基礎(chǔ)上的PMI,以向用戶和應(yīng)用程序提供權(quán)限管理和授權(quán)服務(wù)為目標(biāo),主要負(fù)責(zé)向業(yè)務(wù)應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理,提供用戶身份到應(yīng)用授權(quán)的映射功能,實(shí)現(xiàn)與實(shí)際應(yīng)用處理模式相對(duì)應(yīng)的、與具體應(yīng)用系統(tǒng)開(kāi)發(fā)和管理無(wú)關(guān)的訪問(wèn)控制機(jī)制,極大地簡(jiǎn)化應(yīng)用中訪問(wèn)控制和權(quán)限管理系統(tǒng)的開(kāi)發(fā)與維護(hù),并減少管理成本和復(fù)雜性。
屬性證書(AC,Attribute Certificate),定義了一個(gè)實(shí)體擁有的權(quán)限,實(shí)體與權(quán)限的綁定由一個(gè)被數(shù)字簽名了的數(shù)據(jù)結(jié)構(gòu)提供,這種數(shù)據(jù)結(jié)構(gòu)被稱為屬性證書,由屬性權(quán)威(AA,Attribute Authority)簽發(fā)并管理,它包括一個(gè)展開(kāi)機(jī)制和一系列特別的證書擴(kuò)展機(jī)制。所謂屬性權(quán)威是用來(lái)生成并簽發(fā)屬性證書的機(jī)構(gòu),它負(fù)責(zé)管理屬性證書的整個(gè)生命周期。
圖1為屬性證書的模板格式示意圖。在屬性證書中通常包括版本、序列號(hào)、有效期、發(fā)行者、簽名算法及其標(biāo)識(shí)、持有者、發(fā)行者唯一標(biāo)識(shí)、屬性信息、擴(kuò)展信息,以及發(fā)行者簽名等信息。其中,有關(guān)權(quán)限的定義包含在屬性信息中。
ITU-T X.509定義的屬性證書框架提供了一個(gè)構(gòu)建PMI的基礎(chǔ),這些結(jié)構(gòu)支持訪問(wèn)控制等應(yīng)用。屬性證書的使用(由AA簽發(fā)的)提供一個(gè)靈活的權(quán)限管理基礎(chǔ)設(shè)施(PMI)。
對(duì)于一個(gè)實(shí)體的權(quán)限約束由屬性證書權(quán)威(已被數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu))或者由公鑰證書權(quán)威(包含已明確定義權(quán)限約束擴(kuò)展的)提供。
隨著近年來(lái)逐漸開(kāi)始成熟的生物特征識(shí)別技術(shù)的發(fā)展,把生物特征識(shí)別技術(shù)應(yīng)用在信息安全上,利用生物特征的唯一性、穩(wěn)定性等特點(diǎn)和加密算法融合,為信息安全提供了保障。
生物識(shí)別技術(shù)是指利用人類自身生理或行為特征進(jìn)行身份認(rèn)定的一種技術(shù),如指紋識(shí)別和虹膜識(shí)別技術(shù)等。
生物識(shí)別認(rèn)證系統(tǒng)必須先創(chuàng)建生物特征模板,進(jìn)行身份認(rèn)證時(shí)將新收集的生物特征數(shù)據(jù)與預(yù)先注冊(cè)存儲(chǔ)的模板進(jìn)行匹配,看匹配結(jié)果在是否在有效范圍內(nèi)來(lái)判斷其身份的合法性。
生物認(rèn)證基礎(chǔ)設(shè)施(TAI,Telebiometric Authentication Infrastructure),使用生物證書提供身份驗(yàn)證功能的系統(tǒng),其基本組件和機(jī)制是結(jié)合了X.509的規(guī)定和生物認(rèn)證而定義的,生物證書的發(fā)行和吊銷機(jī)制也都類似于X.509定義的公鑰證書的發(fā)行和吊銷機(jī)制,而具體的身份驗(yàn)證部分有所不同,具體的不同是生物認(rèn)證系統(tǒng)主要增加了生物數(shù)據(jù)采集子系統(tǒng)和生物特征比對(duì)子系統(tǒng)。
圖2為生物證書的模板格式示意圖。其包括版本生物證書中心(Biometric CA,以下簡(jiǎn)稱BCA)所發(fā)行的生物證書的版本。
序列號(hào)BCA所發(fā)行的生物證書的唯一標(biāo)識(shí)。
有效期包括有效期起始日期和有效期終止日期,指示了生物證書可用的日期。
主體該證書所標(biāo)識(shí)的個(gè)人或者實(shí)體,可以用主體唯一標(biāo)識(shí)來(lái)區(qū)分和核實(shí)。
發(fā)行者標(biāo)識(shí)生成并對(duì)該證書簽名的可信任源BCA,可以用其唯一標(biāo)識(shí)來(lái)區(qū)分和核實(shí)。
模板格式標(biāo)識(shí)生物特征模板的格式標(biāo)識(shí)信息。
生物特征模板該模板存放了主體的生物特征信息和生物識(shí)別相關(guān)參數(shù)等。
擴(kuò)展信息在不改變證書格式的前提下,允許證書中編碼加入額外的信息。證書在某些應(yīng)用場(chǎng)合需要附加信息或者聲明證書使用方法等其他信息。
發(fā)行者簽名用BCA的私鑰對(duì)序列號(hào)、有效期、主體及其唯一標(biāo)識(shí)、發(fā)行者及其唯一標(biāo)識(shí)、模板格式標(biāo)識(shí)、生物特征模板、擴(kuò)展信息等的摘要的數(shù)字簽名。
現(xiàn)有的PKI和生物認(rèn)證都是用來(lái)進(jìn)行身份認(rèn)證的,而且,隨著技術(shù)的發(fā)展,還出現(xiàn)了帶有生物模板的PKI證書。具體可參見(jiàn)RFC3739的定義。
現(xiàn)有技術(shù)雖然已經(jīng)提供了多種認(rèn)證方式,比如,獨(dú)立的權(quán)限認(rèn)證如PMI認(rèn)證,獨(dú)立的身份認(rèn)證如PKI認(rèn)證、生物認(rèn)證等,身份認(rèn)證和權(quán)限認(rèn)證的結(jié)合如在PKI的基礎(chǔ)上進(jìn)行PMI認(rèn)證,等等,但是如何將生物認(rèn)證和權(quán)限認(rèn)證相結(jié)合,仍然是個(gè)有待解決的問(wèn)題。

發(fā)明內(nèi)容
有鑒于此,本發(fā)明的一個(gè)目的在于提供一種認(rèn)證方法,本發(fā)明的另一目的在于提供一種認(rèn)證系統(tǒng),以實(shí)現(xiàn)生物認(rèn)證和權(quán)限認(rèn)證相結(jié)合,從而更為準(zhǔn)確可靠地實(shí)現(xiàn)權(quán)限管理。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種認(rèn)證方法,在屬性證書的擴(kuò)展信息中設(shè)置生物擴(kuò)展標(biāo)識(shí),該方法還包括以下步驟a、客戶端向服務(wù)提供者發(fā)起認(rèn)證請(qǐng)求,該請(qǐng)求中包含聲稱權(quán)限、生物證書和包含生物擴(kuò)展標(biāo)識(shí)的屬性證書;b、服務(wù)提供者根據(jù)接收到的請(qǐng)求,判斷屬性證書中生物擴(kuò)展標(biāo)識(shí)所指示的生物證書與客戶端發(fā)送的生物證書是否匹配,若匹配,則執(zhí)行步驟c,否則,給客戶端返回拒絕信息;
c、服務(wù)提供者根據(jù)接收到的生物證書請(qǐng)求身份驗(yàn)證者身份認(rèn)證,認(rèn)證通過(guò)后,根據(jù)接收到的聲稱權(quán)限和屬性證書請(qǐng)求權(quán)限驗(yàn)證者進(jìn)行權(quán)限認(rèn)證,并將認(rèn)證結(jié)果返回給客戶端。
較佳地,所述生物證書是包含生物模板的證書;所述包含生物模板的證書為第一類生物證書,或第二類生物證書。
較佳地,當(dāng)所述生物證書是第一類生物證書時(shí),所述生物擴(kuò)展標(biāo)識(shí)為生物證書發(fā)行者和生物證書序列號(hào),或者,是實(shí)體名稱列表,或者是對(duì)象摘要信息,或者是以上三者的任意組合。
較佳地,如果所述生物擴(kuò)展標(biāo)識(shí)為生物證書發(fā)行者和生物證書序列號(hào),則步驟b所述判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的生物證書發(fā)行者和生物證書序列號(hào)數(shù)據(jù),判斷該接收到的數(shù)據(jù)與屬性證書中的生物證書發(fā)行者和生物證書序列號(hào)是否相同,若相同則匹配,若不同則不匹配。
較佳地,如果所述生物擴(kuò)展標(biāo)識(shí)為實(shí)體名稱列表,所述實(shí)體名稱列表中包含一個(gè)或一個(gè)以上的主體及其唯一標(biāo)識(shí);步驟b所述判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的主體及其唯一標(biāo)識(shí)的數(shù)據(jù),判斷該接收到的數(shù)據(jù)是否包含在屬性證書中的主體名稱列表內(nèi),若是則匹配,否則不匹配。
較佳地,所述對(duì)象摘要信息為生物證書的序列號(hào)、有效期、主體及其唯一標(biāo)識(shí)、發(fā)行者及其唯一標(biāo)識(shí)、模板格式標(biāo)識(shí)、生物特征模板以及擴(kuò)展信息共同計(jì)算出的摘要信息。
較佳地,如果所述生物擴(kuò)展標(biāo)識(shí)為對(duì)象摘要信息,步驟b所述判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的生物證書的序列號(hào)、有效期、主體及其唯一標(biāo)識(shí)、發(fā)行者及其唯一標(biāo)識(shí)、模板格式標(biāo)識(shí)、生物特征模板以及擴(kuò)展信息計(jì)算摘要,之后,判斷該當(dāng)前計(jì)算出的摘要與屬性證書中的對(duì)象摘要信息是否一致,若一致則匹配,否則不匹配。
較佳地,如果所述生物擴(kuò)展標(biāo)識(shí)為至少包括生物證書發(fā)行者和生物證書序列號(hào),以及實(shí)體名稱列表的組合,則所述步驟b根據(jù)生物證書發(fā)行者和生物證書序列號(hào)來(lái)判斷是否匹配。
較佳地,如果所述生物擴(kuò)展標(biāo)識(shí)為至少包括實(shí)體名稱列表和對(duì)象摘要信息的組合,則所述步驟b根據(jù)對(duì)象摘要信息判斷是否匹配。
較佳地,當(dāng)所述生物證書是第二類生物證書時(shí),所述生物擴(kuò)展標(biāo)識(shí)為包含該第二類生物證書的序列號(hào);步驟b所述判斷是否匹配的過(guò)程為所述服務(wù)提供者根據(jù)所述第二類生物證書的序列號(hào)確定證書,之后判斷該當(dāng)前獲得的第二類生物證書與客戶端發(fā)送的生物證書是否相同,若相同則匹配,若不同則不匹配。
較佳地,所述第二類生物證書包括但不限于包含生物模板的公鑰基礎(chǔ)設(shè)施PKI公鑰證書。
較佳地,所述服務(wù)提供者、身份驗(yàn)證者和權(quán)限驗(yàn)證者在相同或不同的物理實(shí)體上。
較佳地,所述生物擴(kuò)展標(biāo)識(shí)設(shè)置在屬性證書的基本擴(kuò)展信息內(nèi)。
一種認(rèn)證系統(tǒng),包括客戶端、服務(wù)提供者、身份認(rèn)證者和權(quán)限驗(yàn)證者,其中,所述客戶端用于向服務(wù)提供者發(fā)起認(rèn)證請(qǐng)求和接收來(lái)自服務(wù)提供者的認(rèn)證結(jié)果,其中,該認(rèn)證請(qǐng)求中包含聲稱權(quán)限、生物證書和包含生物擴(kuò)展標(biāo)識(shí)的屬性證書;所述服務(wù)提供者根據(jù)接收到的來(lái)自客戶端的認(rèn)證請(qǐng)求,獲取與接收到的認(rèn)證請(qǐng)求中的屬性證書相匹配的生物證書,并應(yīng)用該生物證書請(qǐng)求身份驗(yàn)證者進(jìn)行身份驗(yàn)證;所述服務(wù)提供者應(yīng)用接收到的請(qǐng)求中的聲稱權(quán)限和屬性證書請(qǐng)求權(quán)限驗(yàn)證者進(jìn)行權(quán)限認(rèn)證。
較佳地,所述生物證書是第一類生物證書,或是第二類生物證書。
較佳地,所述服務(wù)提供者、身份驗(yàn)證者和權(quán)限驗(yàn)證者均為邏輯實(shí)體,其在相同或不同的物理實(shí)體上。
本發(fā)明的關(guān)鍵是,在使用屬性證書進(jìn)行權(quán)限認(rèn)證時(shí),首先要找到與該屬性證書相關(guān)聯(lián)的生物證書,之后應(yīng)用該生物證書對(duì)先進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)后再應(yīng)用屬性證書進(jìn)行權(quán)限認(rèn)證。應(yīng)用本發(fā)明,實(shí)現(xiàn)了生物認(rèn)證和權(quán)限認(rèn)證的無(wú)縫結(jié)合,確保了權(quán)限認(rèn)證和個(gè)人身份認(rèn)證的準(zhǔn)確對(duì)應(yīng)關(guān)系,從而更為準(zhǔn)確可靠地實(shí)現(xiàn)了權(quán)限管理。本發(fā)明應(yīng)用簡(jiǎn)單,對(duì)現(xiàn)有技術(shù)改動(dòng)很小,因而與現(xiàn)有技術(shù)有很好地兼容性。


圖1是屬性證書的模板格式示意圖;圖2是生物證書的模板格式示意圖;圖3是應(yīng)用本發(fā)明一實(shí)施例的生物擴(kuò)展標(biāo)識(shí)的結(jié)構(gòu)示意圖;圖4是應(yīng)用本發(fā)明的實(shí)現(xiàn)認(rèn)證的流程示意圖;圖5是應(yīng)用本發(fā)明的實(shí)現(xiàn)生物認(rèn)證和權(quán)限認(rèn)證相結(jié)合認(rèn)證框架參考模型示意圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步地詳細(xì)說(shuō)明。
本發(fā)明的思路是在使用屬性證書進(jìn)行權(quán)限認(rèn)證時(shí),首先使用與該屬性證書關(guān)聯(lián)的生物證書對(duì)用戶進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)后再應(yīng)用屬性證書進(jìn)行權(quán)限認(rèn)證,從而確保權(quán)限認(rèn)證和個(gè)人身份認(rèn)證的準(zhǔn)確對(duì)應(yīng)關(guān)系,以更為準(zhǔn)確可靠地實(shí)現(xiàn)權(quán)限管理。
為了結(jié)合生物認(rèn)證,同時(shí)為了使系統(tǒng)影響最小,本發(fā)明在屬性證書中的擴(kuò)展信息中增加擴(kuò)展項(xiàng)。
屬性證書的擴(kuò)展信息主要是聲明和證書應(yīng)用相關(guān)的一些策略信息。屬性證書的擴(kuò)展信息包括基本擴(kuò)展信息、權(quán)限撤銷擴(kuò)展信息、根屬性權(quán)威擴(kuò)展信息、角色擴(kuò)展信息和授權(quán)擴(kuò)展信息等5部分。本發(fā)明所增加的擴(kuò)展項(xiàng)位于基本擴(kuò)展信息中,且將該擴(kuò)展項(xiàng)稱為生物擴(kuò)展標(biāo)識(shí)。
本發(fā)明中所說(shuō)的生物證書是指包含生物模板的所有證書。該包含生物模板的證書包括但不限于單獨(dú)存在的僅用于生物認(rèn)證的生物證書,或者,是包含生物模板的除前述生物證書以外的其他類型證書,如RFC3739提供的公鑰證書。為了以下敘述方便,在此,將單獨(dú)存在的僅用于生物認(rèn)證的生物證書稱為第一類生物證書,將包含生物模板的除前述生物證書以外的其他類型證書,如RFC3739提供的公鑰證書,統(tǒng)稱為第二類生物證書。
針對(duì)第一類生物證書這種情況,生物擴(kuò)展標(biāo)識(shí)的結(jié)構(gòu)如圖3所示。參見(jiàn)圖3,其為應(yīng)用本發(fā)明一實(shí)施例的生物擴(kuò)展標(biāo)識(shí)的結(jié)構(gòu)示意圖。本實(shí)施例中,生物擴(kuò)展標(biāo)識(shí)包括生物證書發(fā)行者和生物證書序列號(hào)、實(shí)體名稱列表,以及對(duì)象摘要信息。其中,所謂生物證書發(fā)行者和生物證書序列號(hào),用于標(biāo)識(shí)該屬性證書持有者的生物證書,即對(duì)屬性證書持有者進(jìn)行身份認(rèn)證所需的生物證書。實(shí)體名稱列表用于標(biāo)識(shí)一個(gè)或者一個(gè)以上屬性證書持有者的名稱。對(duì)象摘要信息,是指僅用于生物認(rèn)證的生物證書的序列號(hào)、有效期、主體及其唯一標(biāo)識(shí)、發(fā)行者及其唯一標(biāo)識(shí)、模板格式標(biāo)識(shí)、生物特征模板以及擴(kuò)展信息共同計(jì)算出的摘要信息。
在圖3所示實(shí)例中,生物擴(kuò)展標(biāo)識(shí)是同時(shí)包括了生物證書發(fā)行者和生物證書序列號(hào),實(shí)體名稱列表,以及對(duì)象摘要信息這三項(xiàng)內(nèi)容,在實(shí)際應(yīng)用中,生物擴(kuò)展標(biāo)識(shí)也可以是上述三項(xiàng)的任意一項(xiàng),或上述三項(xiàng)的任意組合。
如果生物擴(kuò)展標(biāo)識(shí)中只有實(shí)體名稱列表這一項(xiàng),則任何包含在實(shí)體名稱列表中的主體名稱所對(duì)應(yīng)的生物證書都可以用來(lái)驗(yàn)證該屬性證書持有者的身份,即都是與該屬性證書相關(guān)聯(lián)的生物證書。
如果生物擴(kuò)展標(biāo)識(shí)至少包括生物證書發(fā)行者和生物證書序列號(hào),以及實(shí)體名稱列表的組合,則將生物證書發(fā)行者和生物證書序列號(hào)作為判斷是否關(guān)聯(lián)的準(zhǔn)則。
如果所述生物擴(kuò)展標(biāo)識(shí)至少包括實(shí)體名稱列表和對(duì)象摘要信息的組合,則將對(duì)象摘要信息作為判斷是否關(guān)聯(lián)的準(zhǔn)則。
當(dāng)所述生物證書是第二類生物證書時(shí),所述生物擴(kuò)展標(biāo)識(shí)為第二類生物證書的序列號(hào),該第二類生物證書包含但不限于包含生物模板的PKI公鑰證書。
參見(jiàn)圖4,其是應(yīng)用本發(fā)明的實(shí)現(xiàn)認(rèn)證的流程示意圖。
步驟1,客戶端向服務(wù)提供者發(fā)起認(rèn)證請(qǐng)求,該請(qǐng)求中包含聲稱權(quán)限、生物證書和包含生物擴(kuò)展標(biāo)識(shí)的屬性證書。所謂聲稱權(quán)限是指用戶聲稱的訪問(wèn)權(quán)限。本步驟中的生物證書既可以是第一類生物證書,也可以是第二類生物證書。
步驟2,服務(wù)提供者根據(jù)接收到的請(qǐng)求,判斷屬性證書中生物擴(kuò)展標(biāo)識(shí)與請(qǐng)求中的生物證書是否匹配,若匹配,則在步驟3中給客戶端返回成功的響應(yīng)信息,之后執(zhí)行步驟4,否則,在步驟3中給客戶端返回拒絕的響應(yīng)信息,結(jié)束。本步驟中的判斷過(guò)程具體如下當(dāng)生物證書為第一類生物證書時(shí)生物擴(kuò)展標(biāo)識(shí)是生物證書發(fā)行者和生物證書序列號(hào),或?qū)嶓w名稱列表,或?qū)ο笳畔⒅换蛉我饨M合,此時(shí),如果所述生物擴(kuò)展標(biāo)識(shí)為生物證書發(fā)行者和生物證書序列號(hào),則判斷是否匹配的過(guò)程為服務(wù)提供者根據(jù)接收到的生物證書中的生物證書發(fā)行者和生物證書序列號(hào)數(shù)據(jù),判斷該接收到的數(shù)據(jù)與屬性證書中的生物證書發(fā)行者和生物證書序列號(hào)是否相同,若相同則匹配,若不同則不匹配。
如果所述生物擴(kuò)展標(biāo)識(shí)為實(shí)體名稱列表,且所述實(shí)體名稱列表中包含一個(gè)或一個(gè)以上的主體及其唯一標(biāo)識(shí);則所述判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的主體及其唯一標(biāo)識(shí)的數(shù)據(jù),判斷該接收到的數(shù)據(jù)是否包含在屬性證書中的主體名稱列表內(nèi),若是則匹配,否則不匹配。
如果所述生物擴(kuò)展標(biāo)識(shí)為對(duì)象摘要信息,則判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的生物證書的序列號(hào)、有效期、主體及其唯一標(biāo)識(shí)、發(fā)行者及其唯一標(biāo)識(shí)、模板格式標(biāo)識(shí)、生物特征模板以及擴(kuò)展信息計(jì)算摘要,之后,判斷該當(dāng)前計(jì)算出的摘要與屬性證書中的對(duì)象摘要信息是否一致,若一致則匹配,否則不匹配。
如果所述生物擴(kuò)展標(biāo)識(shí)為至少包括生物證書發(fā)行者和生物證書序列號(hào),以及實(shí)體名稱列表的組合,則以生物證書發(fā)行者和生物證書序列號(hào)為準(zhǔn)判斷是否匹配。
如果所述生物擴(kuò)展標(biāo)識(shí)為至少包括實(shí)體名稱列表和對(duì)象摘要信息的組合,則以對(duì)象摘要信息為準(zhǔn)判斷是否匹配。
當(dāng)生物證書為第二類生物證書時(shí)生物擴(kuò)展標(biāo)識(shí)是第二類生物證書的序列號(hào),此時(shí),判斷是否匹配的過(guò)程為服務(wù)提供者根據(jù)第二類生物證書的序列號(hào)確定該第二類生物證書,之后判斷該當(dāng)前獲得的第二類生物證書與接收到的請(qǐng)求中的生物證書即第二類生物證書是否相同,若相同則匹配,若不同則不匹配。此處的第二類生物證書包括但不限于包含生物模板的PKI公鑰證書。
需要說(shuō)明的是,如果生物擴(kuò)展標(biāo)識(shí)是生物證書發(fā)行者和生物證書序列號(hào),或?qū)嶓w名稱列表,或?qū)ο笳畔⒅换蛉我饨M合,那么客戶端所發(fā)請(qǐng)求中的生物證書一定是第一類生物證書;如果生物擴(kuò)展標(biāo)識(shí)是第二類生物證書的序列號(hào),那么客戶端所發(fā)請(qǐng)求中的生物證書一定是第二類生物證書,此兩者之間必然是一一對(duì)應(yīng)的,不然也不可能找到相關(guān)聯(lián)的證書。
步驟3,服務(wù)提供者給客戶端返回響應(yīng)信息。
步驟4,當(dāng)客戶端接收到來(lái)自服務(wù)提供者的成功的響應(yīng)信息后,采集來(lái)自客戶端的生物數(shù)據(jù),并發(fā)送給服務(wù)提供者。
步驟5,服務(wù)提供者向身份驗(yàn)證者發(fā)送身份認(rèn)證請(qǐng)求,該請(qǐng)求中攜帶生物數(shù)據(jù)和步驟1中所述的生物證書。
步驟6,身份驗(yàn)證者根據(jù)接收到的生物數(shù)據(jù)、生物證書中的生物模板信息等生物識(shí)別參數(shù)對(duì)客戶端進(jìn)行身份認(rèn)證;本步驟的生物識(shí)別參數(shù)可以由系統(tǒng)即身份驗(yàn)證者設(shè)定,也可以由服務(wù)提供者認(rèn)證,其具體的認(rèn)證過(guò)程與現(xiàn)有的認(rèn)證過(guò)程相同,不再贅述。
步驟7,身份驗(yàn)證者將身份認(rèn)證結(jié)果發(fā)送給服務(wù)提供者。當(dāng)然,該認(rèn)證結(jié)果有可能是認(rèn)證成功,也有可能是認(rèn)證失敗。如果身份認(rèn)證成功,則執(zhí)行步驟8,如果身份認(rèn)證失敗,則服務(wù)提供者通知用戶身份認(rèn)證失??;結(jié)束。
步驟8,服務(wù)提供者發(fā)權(quán)限認(rèn)證請(qǐng)求給權(quán)限驗(yàn)證者,該請(qǐng)求中攜帶有聲稱權(quán)限參數(shù)和屬性證書。
步驟9,權(quán)限驗(yàn)證者根據(jù)用戶訪問(wèn)的權(quán)限即聲稱權(quán)限和屬性證書進(jìn)行權(quán)限驗(yàn)證。本步驟的認(rèn)證過(guò)程與現(xiàn)有的認(rèn)證過(guò)程相同,不再贅述。
步驟10,權(quán)限驗(yàn)證者將認(rèn)證結(jié)果發(fā)送給服務(wù)提供者。
步驟11,服務(wù)提供者通知客戶端認(rèn)證是否成功。
以上所述服務(wù)提供者、身份驗(yàn)證者和權(quán)限驗(yàn)證者均為邏輯實(shí)體,其可以在相同或不同的物理實(shí)體上。
經(jīng)過(guò)上述處理,使得生物認(rèn)證和權(quán)限認(rèn)證實(shí)現(xiàn)了無(wú)縫合,從而更為準(zhǔn)確可靠地實(shí)現(xiàn)了權(quán)限管理。
圖5是應(yīng)用本發(fā)明的實(shí)現(xiàn)生物認(rèn)證和權(quán)限認(rèn)證相結(jié)合認(rèn)證框架參考模型示意圖。預(yù)先在屬性證書的擴(kuò)展信息中的基本擴(kuò)展信息內(nèi)設(shè)置生物擴(kuò)展標(biāo)識(shí)。該認(rèn)證框架包括客戶端、服務(wù)提供者、身份驗(yàn)證者和權(quán)限驗(yàn)證者。
客戶端用于向服務(wù)提供者發(fā)起認(rèn)證請(qǐng)求,該請(qǐng)求中包含聲稱權(quán)限、生物證書和包含生物擴(kuò)展標(biāo)識(shí)的屬性證書;用于接收來(lái)自服務(wù)提供者的認(rèn)證結(jié)果。所述生物證書既可以是第一類生物證書,也可以是第二類生物證書。
服務(wù)提供者用于根據(jù)接收到的來(lái)自客戶端的請(qǐng)求,獲取與接收到的請(qǐng)求中的屬性證書相關(guān)聯(lián)的生物證書,并應(yīng)用該生物證書請(qǐng)求身份驗(yàn)證者進(jìn)行身份驗(yàn)證,并接收來(lái)自身份驗(yàn)證者的認(rèn)證結(jié)果;應(yīng)用接收到的請(qǐng)求中的聲稱權(quán)限和屬性證書請(qǐng)求權(quán)限驗(yàn)證者進(jìn)行權(quán)限認(rèn)證,并接收來(lái)自權(quán)限驗(yàn)證者的認(rèn)證結(jié)果;將來(lái)自身份認(rèn)證者和權(quán)限認(rèn)證者的認(rèn)證結(jié)果返回給客戶端。
身份認(rèn)證者用于根據(jù)接收到的生物證書進(jìn)行身份認(rèn)證。
權(quán)限驗(yàn)證者用于根據(jù)接收到的聲稱權(quán)限和屬性證書進(jìn)行權(quán)限認(rèn)證。
上所述服務(wù)提供者、身份驗(yàn)證者和權(quán)限驗(yàn)證者均為邏輯實(shí)體,其可以在相同或不同的物理實(shí)體上。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種認(rèn)證方法,其特征在于,在屬性證書的擴(kuò)展信息中設(shè)置生物擴(kuò)展標(biāo)識(shí),該方法還包括以下步驟a、客戶端向服務(wù)提供者發(fā)起認(rèn)證請(qǐng)求,該請(qǐng)求中包含聲稱權(quán)限、生物證書和包含生物擴(kuò)展標(biāo)識(shí)的屬性證書;b、服務(wù)提供者根據(jù)接收到的請(qǐng)求,判斷屬性證書中生物擴(kuò)展標(biāo)識(shí)所指示的生物證書與客戶端發(fā)送的生物證書是否匹配,若匹配,則執(zhí)行步驟c,否則,給客戶端返回拒絕信息;c、服務(wù)提供者根據(jù)接收到的生物證書請(qǐng)求身份驗(yàn)證者身份認(rèn)證,認(rèn)證通過(guò)后,根據(jù)接收到的聲稱權(quán)限和屬性證書請(qǐng)求權(quán)限驗(yàn)證者進(jìn)行權(quán)限認(rèn)證,并將認(rèn)證結(jié)果返回給客戶端。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述生物證書是包含生物模板的證書;所述包含生物模板的證書為第一類生物證書,或第二類生物證書。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,當(dāng)所述生物證書是第一類生物證書時(shí),所述生物擴(kuò)展標(biāo)識(shí)為生物證書發(fā)行者和生物證書序列號(hào),或者,是實(shí)體名稱列表,或者是對(duì)象摘要信息,或者是以上三者的任意組合。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,如果所述生物擴(kuò)展標(biāo)識(shí)為生物證書發(fā)行者和生物證書序列號(hào),則步驟b所述判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的生物證書發(fā)行者和生物證書序列號(hào)數(shù)據(jù),判斷該接收到的數(shù)據(jù)與屬性證書中的生物證書發(fā)行者和生物證書序列號(hào)是否相同,若相同則匹配,若不同則不匹配。
5.根據(jù)權(quán)利要求3所述的方法,其特征在于,如果所述生物擴(kuò)展標(biāo)識(shí)為實(shí)體名稱列表,所述實(shí)體名稱列表中包含一個(gè)或一個(gè)以上的主體及其唯一標(biāo)識(shí);步驟b所述判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的主體及其唯一標(biāo)識(shí)的數(shù)據(jù),判斷該接收到的數(shù)據(jù)是否包含在屬性證書中的主體名稱列表內(nèi),若是則匹配,否則不匹配。
6.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述對(duì)象摘要信息為生物證書的序列號(hào)、有效期、主體及其唯一標(biāo)識(shí)、發(fā)行者及其唯一標(biāo)識(shí)、模板格式標(biāo)識(shí)、生物特征模板以及擴(kuò)展信息共同計(jì)算出的摘要信息。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,如果所述生物擴(kuò)展標(biāo)識(shí)為對(duì)象摘要信息,步驟b所述判斷是否匹配的過(guò)程為根據(jù)接收到的生物證書中的生物證書的序列號(hào)、有效期、主體及其唯一標(biāo)識(shí)、發(fā)行者及其唯一標(biāo)識(shí)、模板格式標(biāo)識(shí)、生物特征模板以及擴(kuò)展信息計(jì)算摘要,之后,判斷該當(dāng)前計(jì)算出的摘要與屬性證書中的對(duì)象摘要信息是否一致,若一致則匹配,否則不匹配。
8.根據(jù)權(quán)利要求3所述的方法,其特征在于,如果所述生物擴(kuò)展標(biāo)識(shí)為至少包括生物證書發(fā)行者和生物證書序列號(hào),以及實(shí)體名稱列表的組合,則所述步驟b根據(jù)生物證書發(fā)行者和生物證書序列號(hào)來(lái)判斷是否匹配。
9.根據(jù)權(quán)利要求3所述的方法,其特征在于,如果所述生物擴(kuò)展標(biāo)識(shí)為至少包括實(shí)體名稱列表和對(duì)象摘要信息的組合,則所述步驟b根據(jù)對(duì)象摘要信息判斷是否匹配。
10.根據(jù)權(quán)利要求2所述的方法,其特征在于,當(dāng)所述生物證書是第二類生物證書時(shí),所述生物擴(kuò)展標(biāo)識(shí)為包含該第二類生物證書的序列號(hào);步驟b所述判斷是否匹配的過(guò)程為所述服務(wù)提供者根據(jù)所述第二類生物證書的序列號(hào)確定證書,之后判斷該當(dāng)前獲得的第二類生物證書與客戶端發(fā)送的生物證書是否相同,若相同則匹配,若不同則不匹配。
11.根據(jù)權(quán)利要求2或10所述的方法,其特征在于,所述第二類生物證書包括但不限于包含生物模板的公鑰基礎(chǔ)設(shè)施PKI公鑰證書。
12.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述服務(wù)提供者、身份驗(yàn)證者和權(quán)限驗(yàn)證者在相同或不同的物理實(shí)體上。
13.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述生物擴(kuò)展標(biāo)識(shí)設(shè)置在屬性證書的基本擴(kuò)展信息內(nèi)。
14.一種認(rèn)證系統(tǒng),其特征在于,包括客戶端、服務(wù)提供者、身份認(rèn)證者和權(quán)限驗(yàn)證者,其中,所述客戶端用于向服務(wù)提供者發(fā)起認(rèn)證請(qǐng)求和接收來(lái)自服務(wù)提供者的認(rèn)證結(jié)果,其中,該認(rèn)證請(qǐng)求中包含聲稱權(quán)限、生物證書和包含生物擴(kuò)展標(biāo)識(shí)的屬性證書;所述服務(wù)提供者根據(jù)接收到的來(lái)自客戶端的認(rèn)證請(qǐng)求,獲取與接收到的認(rèn)證請(qǐng)求中的屬性證書相匹配的生物證書,并應(yīng)用該生物證書請(qǐng)求身份驗(yàn)證者進(jìn)行身份驗(yàn)證;所述服務(wù)提供者應(yīng)用接收到的請(qǐng)求中的聲稱權(quán)限和屬性證書請(qǐng)求權(quán)限驗(yàn)證者進(jìn)行權(quán)限認(rèn)證。
15.根據(jù)權(quán)利要求14所述的認(rèn)證系統(tǒng),其特征在于,所述生物證書是第一類生物證書,或是第二類生物證書。
16.根據(jù)權(quán)利要求14所述的認(rèn)證系統(tǒng),其特征在于,所述服務(wù)提供者、身份驗(yàn)證者和權(quán)限驗(yàn)證者均為邏輯實(shí)體,其在相同或不同的物理實(shí)體上。
全文摘要
本發(fā)明公開(kāi)了一種認(rèn)證方法和系統(tǒng),其關(guān)鍵是,在使用屬性證書進(jìn)行權(quán)限認(rèn)證時(shí),首先要找到與該屬性證書相關(guān)聯(lián)的生物證書,之后應(yīng)用該生物證書對(duì)先進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)后再應(yīng)用屬性證書進(jìn)行權(quán)限認(rèn)證。應(yīng)用本發(fā)明,實(shí)現(xiàn)了生物認(rèn)證和權(quán)限認(rèn)證的無(wú)縫結(jié)合,確保了權(quán)限認(rèn)證和個(gè)人身份認(rèn)證的準(zhǔn)確對(duì)應(yīng)關(guān)系,從而更為準(zhǔn)確可靠地實(shí)現(xiàn)了權(quán)限管理。本發(fā)明應(yīng)用簡(jiǎn)單,對(duì)現(xiàn)有技術(shù)改動(dòng)很小,因而與現(xiàn)有技術(shù)有很好地兼容性。
文檔編號(hào)H04L9/32GK101051896SQ20061007428
公開(kāi)日2007年10月10日 申請(qǐng)日期2006年4月7日 優(yōu)先權(quán)日2006年4月7日
發(fā)明者李超, 劉淑玲 申請(qǐng)人:華為技術(shù)有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1