[发明专利]一种集成生物认证和属性证书的认证方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及身份识别和权限认证方法及系统。

背景技术

ITU(International Telecomunications Union)和IETF(Internet EngineeringTask Force)使用属性证书实现了权限管理基础设施或称授权管理基础设施(PMI，Privilege Management Infrastructure)。

PMI是属性证书、属性权威、属性证书库等部件的集合体，其用来实现权限证书的产生、管理、存储、分发和撤销等功能。PMI实际提出了一个新的信息保护基础设施，能够与公钥基础设施(PKI)和目录服务紧密地集成，并系统地建立起对认可用户的特定授权，对权限管理进行了系统的定义和描述，完整地提供了授权服务所需过程。

建立在PKI基础上的PMI，以向用户和应用程序提供权限管理和授权服务为目标，主要负责向业务应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能，实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制，极大地简化应用中访问控制和权限管理系统的开发与维护，并减少管理成本和复杂性

属性证书(AC，Attribute Certificate)，定义了一个实体拥有的权限，实体与权限的绑定由一个被数字签名了的数据结构提供，这种数据结构被称为属性证书，由属性权威(AA，Attribute Authority)签发并管理，它包括一个展开机制和一系列特别的证书扩展机制。所谓属性权威是用来生成并签发属性证书的机构，它负责管理属性证书的整个生命周期。

图1为属性证书的模板格式示意图。在属性证书中通常包括版本、序列号、有效期、发行者、签名算法及其标识、持有者、发行者唯一标识、属性信息、扩展信息，以及发行者签名等信息。其中，有关权限的定义包含在属性信息中。

X.509定义的属性证书框架提供了一个构建权限管理基础设施(PMI)的基础，这些结构支持访问控制等应用。属性证书的使用(由AA签发的)提供一个灵活的权限管理基础设施(PMI)。

对于一个实体的权限约束由属性证书权威(已被数字签名的数据结构)或者由公钥证书权威(包含已明确定义权限约束扩展的)提供。

随着近年来逐渐开始成熟的生物特征识别技术的发展，把生物特征识别技术应用在信息安全上，利用生物特征的唯一性、稳定性等特点和加密算法融合，为信息安全提供了保障。

生物识别技术是指利用人类自身生理或行为特征进行身份认定的一种技术，如指纹识别和虹膜识别技术等。

生物识别认证系统必须先创建生物特征模板，进行身份认证时将新收集的生物特征数据与预先注册存储的模板进行匹配，看匹配结果在是否在有效范围内来判断其身份的合法性。

生物认证基础设施(TAI，Telebiometric Authentication Infrastructure)，使用生物证书提供身份验证功能的系统，其基本组件和机制是结合了X.509的规定和生物认证而定义的，生物证书的发行和吊销机制也都类似于X.509定义的公钥证书的发行和吊销机制，而具体的身份验证部分有所不同，具体的不同是：生物认证系统主要增加了生物数据采集子系统和生物特征比对子系统。

图2为生物证书的模板格式示意图。其包括：

版本：生物证书中心(BCA，Biometric CA)所发行的生物证书的版本。

序列号：BCA所发行的生物证书的唯一标识。

有效期：包括有效期起始日期和有效期终止日期，指示了生物证书可用的日期。

主体：该证书所标识的个人或者实体，可以用主体唯一标识来区分和核实。

发行者：标识生成并对该证书签名的可信任源BCA，可以用其唯一标识来区分和核实。

模板格式标识：生物特征模板的格式标识信息。

生物特征模板：该模板存放了主体的生物特征信息。

扩展信息：在不改变证书格式的前提下，允许证书中编码加入额外的信息。证书在某些应用场合需要附加信息或者声明证书使用方法等其他信息。

发行者签名：用BCA的私钥对序列号、有效期、主体及其唯一标识、发行者及其唯一标识、模板格式标识、生物特征模板、扩展信息等的摘要的数字签名。