[发明专利]生物测定凭证验证框架

说明书

背景

用于交互式用户或网络认证的生物测定样本与现有认证方案中所使用的 传统口令或密钥的不同之处在于它们在每次采样时都不相同。生物测定样本出 于若干原因对于密钥资料而言并不是理想的。它们具有有限的强度并且密码种 子的熵可被重新生成或改变。生物测定样本不是绝对值；它们是样本并且可随 着每次采样而不同。密钥是从原始种子定义的绝对值，而生物测定读数是变化 的。由于这些限制，生物测定样本并不是密钥资料的最佳选择。

生物测定样本通常与先前扫描和/或计算的存储的样本(在行业中经常被 称为“模板”)进行匹配，并且如果确认了与存储的样本的活匹配(live match)， 则将存储的密钥资料发行给系统以允许用户登录会话使用该密钥资料来继续。 然而，如果该匹配过程和/或密钥存储是在诸如物理上安全的服务器等安全环境 之外完成的，则该密钥资料和/或参考模板容易受到攻击和泄漏。

由华盛顿州雷蒙德市的微软公司提供的现有的Windows^TM体系结构支 持口令或Kerberos/PKINIT认证，但不支持服务器上的生物测定模板的匹配来 作为认证的一个普通部分。当今由生物测定解决方案厂商提供的解决方案通常 将诸如口令或基于x.509的证书等传统登录凭证存储在客户机器上，并且然后 在与也存储在该客户PC上的参考生物测定样本的有效模板匹配之后提交这些 登录凭证。在现有系统中，口令、基于x.509的证书和参考模板都容易受到攻 击和泄漏，因为它们驻留在物理上受保护的服务器之外。

因此期望提供在安全环境中使用生物测定标识的系统或方法。本发明解决 了这些和其他问题。

概述

提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一 些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征，也 不旨在用于限制所要求保护的主题的范围。

使用生物测定标识来访问诸如Windows或基于现用目录的域基础结构等 认证系统方面的进步包括从用户采集生物测定数据并将用户ID和PIN输入到 客户计算机。该客户计算机安全地与可将用户生物测定数据与该用户的一组生 物测定数据模板相匹配的生物测定匹配服务器进行通信。该生物测定服务器可 验证该用户被授权并标识。一旦通过验证，匹配服务器将临时证书连同密钥一 起发送至该客户计算机。使用该临时证书和密钥来获取对Kerberos认证系统的 即时访问。客户机对该临时证书的后续使用将导致对Kerberos认证系统的拒绝 访问，因为该证书已经过期。一旦客户计算机获取对Kerberos系统的访问，于 是就可获得对一组安全的计算资源的后续访问。

附图

在附图中：

图1是示出现有技术认证系统的框图；

图2是描绘本发明的各功能方面的示例框图；

图3是示出本发明的一实施例的示例流程图；以及

图4是示出示例主机计算环境的框图。

详细描述

示例性实施例

本发明对于安全认证计算系统环境运行良好。一种这样的现有认证系统环 境对于本领域的技术人员被公知为Kerberos。图1是典型的Kerberos系统的框 图。Kerberos是允许个人通过不安全的网络来进行通信以便以安全的方式来向 另一个人证明其身份的计算机网络认证协议。Kerberos防止窃听或重放攻击， 并确保数据的完整性。Kerberos提供其中用户和服务两者验证彼此的身份的互 认证。Kerberos在对称密钥密码术上构建并需要可信的第三方。

Kerberos包括两个功能部分：认证服务器(AS)104和权证授予服务器 (TGS)106。Kerberos在用来证明用户的身份的“权证(ticket)”的基础上工 作。通过使用Kerberos，客户机102能够证明其身份以便使用服务服务器(SS) 108的资源。Kerberos维护一密钥数据库；网络上的每一个实体，无论客户机 还是服务器，都共享只对其本身和Kerberos已知的密钥。对该密钥的知晓用于 证明实体的身份。对于两个实体之间的通信，Kerberos生成它们可用来保护其 交互的会话密钥。