[发明专利]一种信息安全认证方法和系统

说明书

技术领域

本发明涉及信息安全领域，尤指一种信息安全认证方法和系统。 

发明背景 

国际电信联盟(International Telecommunications Union，ITU)和Internet工程任务组(Internet Engineering Task Force，IETF)提出了权限管理基础设施(PMI，Privilege Management Infrastructure)的概念。PMI能够和公钥基础设施(PKI，Pubic Key Infrastructure)集成在一起，系统地对用户进行权限管理并提供授权服务，从而为信息安全提供保障。 

所述PMI由属性证书、属性权威、属性证书库等部件组成，用于实现权限和证书的产生、管理、存储、分发和撤销等功能。所述属性证书(AC，Attribute Certificate)是一个带有数字签名的数据结构，该数据结构将实体和权限绑定，即属性证书定义了一个实体能够拥有的权限。图1为属性证书的格式，包括版本、序列号、有效期、发行者、签名算法及其标识、持有者、发行者唯一标识、属性信息、扩展信息，以及发行者签名等参数。其中，关于某个实体的权限的定义包含在属性信息中。 

对用户进行的信息安全认证包括权限认证和身份认证。实际应用中，可以只进行权限认证比如PMI认证等，也可以只进行身份认证比如PKI认证等，或是将PMI认证和PKI认证结合，不同方式的信息安全认证具有不同的准确度和可靠性。一般情况下，信息安全认证要求具有较高的准确度和可靠性，以保障资源的安全。 

发明内容

本发明提供了信息安全认证方法和系统，主要的技术方案如下： 

一种信息安全认证方法，该方法包括： 

接收用户的访问请求，该请求携带设置有扩展标识的属性证书，所述扩展标识指示与所述属性证书关联的用于身份认证的生物证书； 

获取生物证书，根据扩展标识判断所获取的生物证书是否与访问请求中的属性证书关联，若所述生物证书与所述属性证书关联，则获取用户的生物特征数据，根据生物特征数据和该生物证书进行身份认证； 

利用属性证书进行权限认证； 

根据身份认证结果和权限认证结果对用户的访问进行控制。 

一种信息安全认证方法，该方法包括： 

接收用户发出的携带有属性证书的访问请求，该属性证书为具有不同权限特性的属性设置有对应的安全级别； 

获取生物算法证书，所述生物算法证书记录有安全级别和生物识别参数的对应关系； 

根据属性证书中的属性对应的权限特性，确定该属性的安全级别，从而获取对应的生物识别参数； 

获取生物证书和该用户的生物特征数据进行身份认证，判断生物特征数据和生物证书的匹配程度是否达到生物识别参数的要求； 

利用属性证书进行权限认证； 

根据身份认证结果和权限认证结果控制用户访问所请求的信息。 

一种信息安全认证系统，包括： 

客户端，用于向服务提供单元发起访问请求，该请求携带设置有扩展标识的属性证书；接收来自服务提供单元的认证结果；所述扩展标识指示与所述属性证书关联的用于身份认证的生物证书； 

服务提供单元，用于获取生物证书，判断所获取的生物证书是否与访问请求中的属性证书关联；请求身份认证单元根据生物证书进行身份认证，或者请求权限认证单元根据属性证书进行权限认证； 

身份认证单元，用于根据生物证书进行身份认证； 

权限认证单元，用于根据属性证书进行权限认证。 

一种信息安全认证系统，包括： 

客户端，用于向服务提供单元发出携带有属性证书的访问请求，该属性证书为具有不同权限特性的属性设置有对应的安全级别；接收来自服务提供单元的认证结果； 

服务提供单元，用于获取生物算法证书和客户端输入的生物特征数据，所述生物算法证书记录有安全级别和生物识别参数的对应关系；请求身份认证单元根据生物证书进行身份认证，或者请求权限认证单元根据属性证书进行权限认证；根据属性证书中的属性对应的权限特性，确定该属性的安全级别，获取对应的生物识别参数； 

身份认证单元，用于利用生物证书对输入生物特征数据的客户端进行身份认证，判断生物特征数据和生物证书的匹配程度是否达到生物识别参数的要求。