[发明专利]用于证书签署请求处理的生物特征认证的系统和方法

说明书

本公开提供了用于对经受证书签署请求处理的请求者进行认证的生物特征鉴定请求认证(BCRA)计算设备。BCRA计算设备通信地耦合到存储器设备。BCRA计算设备被配置为从请求者计算设备接收服务选择请求消息，该服务选择请求消息识别请求者要求针对其的证书的证书服务类型，识别与生成该证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备，向请求者计算设备发送提示请求者提供第一生物特征样本的第一生物特征样本请求消息，通过确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本，以及基于认证发起向请求者计算设备提供证书文件。

对相关申请的交叉引用

本申请要求于2017年4月11日提交的美国专利申请No.15/484,297的权益和优先权。上述申请的全部公开内容通过引用并入本文。

技术领域

本公开涉及改进认证功能，因为它与数字证书签署请求和批准有关，并且更具体地涉及用于对请求并批准数字证书的个人进行生物特征认证的方法和系统。

背景技术

数字证书是由证书颁发机构(CA)颁发并且用于在电子交互期间证明人的身份的电子文档。例如，将更新后的代码存放(deposit)在中央代码储存库中的程序员常常将需要数字证书来“签署”该存放，从而证明程序员(而不是其他用户)负责该存放。数字证书可以限于具体的使用次数或可以使用它们的具体时间范围。因而，数字证书的普通用户经常需要新的数字证书，他们使用证书签署请求(CSR)来请求这些新的数字证书。CSR是发送给CA的一种特殊格式的请求，其导致CA颁发所需的数字证书。

虽然数字证书本身被认为是安全性和真实性的措施，但请求数字证书的处理却易于受到某些限制。一些已知的CSR系统在肯定地识别请求者是授权用户的能力方面受到限制。例如，在CA完全自动化的情况下，任何能够访问并熟悉CA的CSR处理的人都可以通过呈现伪造的凭证来“戏弄”系统，以便获取有效的数字证书。甚至其处理包括在其颁发数字证书之前进行人工干预的CA也容易受到可以造成安全风险的社会工程攻击。在一些情况下，以其它方式授权的用户也可以利用这些漏洞，诸如，授权用户获取另一个授权用户的凭证并使用那些凭证使CA颁发数字证书。类似地，未经授权的用户可以执行诸如“网络钓鱼”或“中间人”攻击之类的计划以获取诸如用于请求数字证书的用户名和密码之类的数据，随后在伪装成授权用户的同时请求证书。诸如“分组嗅探”或其它网络入侵之类的攻击可以被用于拦截并记录跨计算设备的网络流量并导致未经授权的用户获取数字证书。

发明内容

一方面，提供了生物特征鉴定(certification)请求认证(BCRA)计算设备，用于认证经受证书签署请求处理的请求者。BCRA计算设备通信地耦合到存储器设备。BCRA计算设备被配置为从请求者计算设备接收服务选择请求消息，该服务选择请求消息识别请求者需要针对其的证书的证书服务类型，识别与生成该证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备，向请求者计算设备发送提示请求者提供第一生物特征样本的第一生物特征样本请求消息，通过确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本，以及基于认证发起向请求者计算设备提供证书文件。

在另一方面，提供了一种对经受证书签署请求处理的请求者进行认证的方法。该方法是使用耦合到存储器设备的生物特征鉴定请求认证(BCRA)计算设备来实现的。该方法包括从请求者计算设备接收服务选择请求消息，该服务选择请求消息识别请求者需要针对其的证书的证书服务类型，识别与生成该证书服务类型的证书的证书颁发机构对应的证书颁发机构计算设备，向请求者计算设备发送提示请求者提供第一生物特征样本的第一生物特征样本请求消息，通过确定第一生物特征样本与为请求者存储的生物特征样本之间的匹配来认证从请求者计算设备接收的第一生物特征样本，以及基于认证发起向请求者计算设备提供证书文件。