專利名稱:一種安全認證系統(tǒng)及方法
技術(shù)領域:
本發(fā)明屬于網(wǎng)絡安全領域�,尤其涉及一種通過生物識別進行安全認證的系統(tǒng)及方法。
背景技術(shù):
PMI(Privilege Management Infrastructure��,授權(quán)管理基礎設施)是PKI(PublicKey Infrastructure��,公鑰基礎設施)的擴展����,是一種通過為用戶發(fā)放權(quán)限屬性證書為其提供享有訪問某些受保護資源的特權(quán)的機制。一個用戶可以有多個權(quán)限屬性證書����,分別表明其擁有的各種權(quán)限�。一般地�,一個申請訪問某個資源的用戶持有特定的權(quán)限屬性證書,PMI系統(tǒng)在驗證其權(quán)限屬性證書的合法性之前�,先要確定其身份的真實性,即先需要其進行身份認證��,身份認證通過后才進行權(quán)限屬性驗證��,驗證通過���,就給予用戶訪問相關資源的權(quán)利�,否則拒絕服務����。
生物認證是利用人的生物特征,如指紋�����、虹膜�、語音及簽名等來進行身份認證的一種手段���。隨著計算機技術(shù)的發(fā)展以及各種算法的不斷改進�����,生物認證技術(shù)作為一種準確�、快速和高效的身份認證方法越來越廣泛地應用于各種安全領域。
現(xiàn)有的PMI中���,以用戶口令或者密鑰配合PKI公鑰進行身份認證��,由于用戶口令或密鑰容易被黑客通過各種方法來破譯�����,從而對網(wǎng)絡安全造成威脅��。與此相比���,生物認證具有安全、不易攻破等特點���,因此將生物認證和PMI相結(jié)合����,利用生物識別對用戶身份進行認證���,可以增強PMI認證的安全性��。
發(fā)明內(nèi)容
本發(fā)明目的在于解決現(xiàn)有技術(shù)中PMI認證中通過用戶口令或者密鑰配合PKI公鑰對用戶身份進行認證時安全性比較低的問題���。
為實現(xiàn)上述發(fā)明目的����,本發(fā)明提供了一種安全認證系統(tǒng)�,所述安全認證系統(tǒng)包括權(quán)限認證子系統(tǒng),用于輸出對用戶身份進行生物識別認證所需要的用戶屬性參數(shù)信息�����;生物算法證書�,用于保存與所述用戶屬性參數(shù)信息對應的生物識別參數(shù)信息;以及生物認證子系統(tǒng)����,用于獲取所述生物識別參數(shù)信息,并根據(jù)所述生物識別參數(shù)信息對用戶身份進行生物識別認證�����。
所述生物識別參數(shù)信息包括生物特征類型標識�����、生物識別算法標識以及安全級別和生物識別相關參數(shù)對應列表���;所述安全級別和生物識別相關參數(shù)對應列表包括安全級別信息以及與所述安全級別信息對應的識別門限����。
所述用戶屬性參數(shù)信息包括權(quán)限屬性信息�����,以及與所述權(quán)限屬性信息對應的安全級別信息�。
所述生物識別參數(shù)信息進一步包括用戶權(quán)限信息。
為了更好地實現(xiàn)發(fā)明目的�����,本發(fā)明進一步提供了一種安全認證方法���,所述方法包括下述步驟A.輸出對用戶身份進行生物識別認證所需要的用戶屬性參數(shù)信息��;B.獲取與所述用戶屬性參數(shù)信息對應的生物識別參數(shù)信息���;C.利用所述生物識別參數(shù)信息對用戶身份進行生物識別認證��。
所述生物識別參數(shù)信息包括生物特征類型標識�、生物識別算法標識以及安全級別和生物識別相關參數(shù)對應列表�����;所述安全級別和生物識別相關參數(shù)對應列表包括安全級別信息以及與所述安全級別信息對應的識別門限�。
所述用戶屬性參數(shù)信息包括權(quán)限屬性信息,以及與所述權(quán)限屬性信息對應的安全級別信息��。
所述生物識別參數(shù)信息進一步包括用戶權(quán)限信息��。
本發(fā)明將生物認證與PMI權(quán)限認證進行結(jié)合����,提高了PMI中身份認證的安全性,同時擴大了生物認證的適用范圍����。
圖1是本發(fā)明提供的通過生物識別進行安全認證的系統(tǒng)架構(gòu)示意圖;圖2是本發(fā)明提供的通過生物識別進行安全認證的系統(tǒng)結(jié)構(gòu)���;圖3是在本發(fā)明的提供的一個實施例中對用戶進行安全認證的實現(xiàn)流程圖����;圖4是在本發(fā)明的提供的另一個實施例中對用戶進行安全認證的實現(xiàn)流程圖�����。
具體實施例方式
為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例�����,對本發(fā)明進行進一步詳細說明��。應當理解�,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明��。
圖1示出了本發(fā)明提供的基于生物認證的安全認證系統(tǒng)的框架結(jié)構(gòu)����。該系統(tǒng)將基于生物證書的BAI(Biometric Authentication Infrastructure,生物認證基礎設施)和PMI相結(jié)合����,實現(xiàn)對用戶的身份認證和權(quán)限認證���,尤其適用于安全級別要求不高的領域。
CA(Certificate Authority���,認證中心)��、BCA(Biometric Certificate Authority�,生物證書權(quán)威)�、SOA(Source of Authentication,信任源點)��、TBA(TelebiometricAuthority��,通信生物認證權(quán)威)都是可信任的權(quán)威機構(gòu)�。
CA為PKI中負責產(chǎn)生、分配并管理數(shù)字證書(公鑰證書)的可信賴的第三方權(quán)威機構(gòu)�,是PKI安全體系的核心環(huán)節(jié),通常采用多層次的分級結(jié)構(gòu)��。上級認證中心負責簽發(fā)和管理下級認證中心的證書�����,最下一級的認證中心直接面向最終用戶。
SOA為PMI中的中心業(yè)務節(jié)點�,也是整個PMI中的最終信任源和最高管理機構(gòu),負責授權(quán)管理策略的管理��、應用授權(quán)受理�����、AA(Attribution Authority�����,屬性權(quán)威機構(gòu))中心的設立審核及管理和授權(quán)管理體系業(yè)務的規(guī)范化等�����。
AA是PMI的核心服務節(jié)點���,是對應于具體應用系統(tǒng)的授權(quán)管理分系統(tǒng),與SOA中心通過業(yè)務協(xié)議達成相互的信任關系�����,負責應用授權(quán)受理����、權(quán)限屬性證書的發(fā)放和管理����,以及AA代理點的設立審核和管理等���。AA需要為其所發(fā)放的所有權(quán)限屬性證書維持一個歷史記錄和更新記錄���。
BAI是使用生物證書對用戶身份進行認證的基礎設施,其基礎要素是生物證書和數(shù)字簽名����。用戶提供生物證書和生物特征數(shù)據(jù)給認證系統(tǒng),認證系統(tǒng)根據(jù)BAC(Biometric Algorithm Certificate��,生物算法證書)提供的生物識別參數(shù)進行生物識別認證�����。
BAC負責保存各種生物識別算法��、識別門限��、安全認證級別等生物識別參數(shù)�,可以保存為目錄形式����,或者由驗證服務器保管����。
TBA是為各種生物識別算法進行權(quán)威認證的可信任第三方機構(gòu)。TBA為經(jīng)過其認證的生物識別算法頒發(fā)BAC���。
BCA為BAI中頒發(fā)包含數(shù)字簽名和生物特征模板的生物證書的第三方權(quán)威機構(gòu)。
生物識別認證的結(jié)果通過判斷生物特征匹配結(jié)果在是否有效范圍內(nèi)來得到�����,因此使用的是近似匹配�����,而不像密碼系統(tǒng)那樣進行精確匹配�。決定生物識別的有效性因系統(tǒng)不同而不同,取決于生物特征的類型和系統(tǒng)使用的生物識別算法�。在生物識別算法中,識別門限一個重要的參數(shù)值��,生物識別算法通過識別門限可以實施生物識別��。識別門限影響識別結(jié)果的精確度,即不同的門限設置��,可能會導致生物識別算法的識別結(jié)果發(fā)生變化����。
所有的生物認證都有一個可配置參數(shù)誤接收率(FAR)和誤拒絕率(FRR)。FAR是衡量用戶本應該遭受拒絕卻被系統(tǒng)接受的參數(shù)�,F(xiàn)RR是衡量用戶本應該被系統(tǒng)接受卻遭到拒絕的參數(shù)。FAR和FRR相互制約����,而FAR和FRR的大小又直接由識別門限決定。如果用嚴格的策略使非法用戶進入系統(tǒng)的可能性FAR減少以提高系統(tǒng)安全級別�����,就需要提高識別門限����,那么合法用戶被拒絕的概率FRR就增加。如果減少系統(tǒng)拒絕合法用戶的可能性FRR��,就需要降低識別門限����,那么非法用戶得到授權(quán)的概率FAR就增加���,認證系統(tǒng)的安全級別也相應的降低。
在基于BAI認證的PMI系統(tǒng)中��,在邏輯上BAI和PMI是相對獨立的����,但是在結(jié)合生物認證的PMI應用系統(tǒng)中使用權(quán)限證書進行授權(quán)服務時,二者又相互關聯(lián)���。BAI中身份的創(chuàng)建和維護是獨立于PMI的���,BAI的建立往往早于PMI����。基于生物證書的BAI對用戶進行身份認證時����,必須能夠獲得可信任生物識別參數(shù)如生物識別門限。因此在BAI建立的同時必須建立可提供生物識別參數(shù)的生物證書目錄BAC���。
圖2示出了實現(xiàn)本發(fā)明的認證系統(tǒng)的結(jié)構(gòu)�。生物認證子系統(tǒng)(BiometricAuthentication System,簡稱BAS)和授權(quán)認證子系統(tǒng)(Privilege AuthenticationSystem���,簡稱)分別是應用BAI和PMI對用戶身份和用戶權(quán)限進行安全認證的系統(tǒng)�����,PAS與BAS之間通過BAC實現(xiàn)結(jié)合�����。PAS����、BAS實現(xiàn)屬于現(xiàn)有技術(shù)�,形式可以有多種,本發(fā)明不作具體描述����。
在本發(fā)明中,PAS提供生物認證所需要的用戶屬性參數(shù)�����,BAC根據(jù)PAS提供的用戶屬性參數(shù)向BAS提供與用戶屬性參數(shù)對應的生物識別參數(shù),BAS根據(jù)BAC提供的生物識別參數(shù)選擇相應的生物識別算法���,利用生物證書對用戶的生物特征數(shù)據(jù)進行驗證���,從而實現(xiàn)對用戶身份的識別認證。PAS對通過身份認證的用戶進行權(quán)限認證�。
生物證書是綁定了用戶身份和生物特征數(shù)據(jù)并經(jīng)過數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu),BCA是頒發(fā)生物證書的權(quán)威機構(gòu)�����。
作為本發(fā)明的一個實施例���,PAS提供生物認證準確度參數(shù)�����,對BAS的生物識別認證進行指導���,以滿足對具有不同安全級別權(quán)限的用戶進行身份認證的要求����。該生物認證準確度參數(shù)是PAS根據(jù)被訪問資源的安全性要求而作出的。
為了結(jié)合生物認證,本發(fā)明對PMI的權(quán)限屬性證書進行修改�����,將生物認證所需要的用戶屬性參數(shù)加入權(quán)限屬性證書中��,具體可以放在權(quán)限屬性證書的擴展信息中���。屬性證書的擴展信息主要是聲明和證書應用相關的一些策略信息���。
作為本發(fā)明的一個實施例,在權(quán)限屬性證書的擴展信息中加入屬性安全級別列表�,即證書中所聲稱的各權(quán)限屬性對應的安全級別列表,該安全級別直接反映了生物認證結(jié)果的置信度�。
屬性安全級別列表參考結(jié)構(gòu)如下Attribute Security Level List(屬性安全級別列表){Privilege attribute(權(quán)限屬性);Security Level(安全級別)����;}在支持角色的屬性證書中,角色所對應的權(quán)限屬性也有一個屬性安全級別列表�����,以便權(quán)限驗證者獲知該權(quán)限要求的安全級別���。
相應的��,BAC包含一個安全級別和生物識別相關參數(shù)對應列表��,記錄不同生物類型的不同識別算法所對應的不同的生物識別參數(shù)��。BAC的目錄結(jié)構(gòu)參考如下Biometric Type Identifier(生物特征類型標識)->Biometric AlgorithmIdentifier(生物識別算法標識)->Security Level BioRef List(安全級別和生物識別相關參數(shù)對應列表)���。
Security Level BioRef List Structure(安全級別和生物識別相關參數(shù)對應列表結(jié)構(gòu)){Security Level(安全級別)�;Threshold Value(識別門限)�;
Other BioRef(其他參數(shù));…}其中�����,生物特征類型標識指示生物識別采用何種生物特征類型�,例如指紋、虹膜���、語音等����。
生物識別算法標識指示出針對一種生物特征類型���,采用何種識別算法�����。
安全級別和生物識別相關參數(shù)對應列表指示在某安全級別下對應的在特定識別算法下的生物識別參數(shù)�。具體關于生物識別參數(shù)的描述可以參考NISTIR6529Common Biometric Exchange File Format(CBEFF)中的描述和定義�。在本發(fā)明的一個實施例中,生物識別參數(shù)為識別門限����。
以下通過兩個實施例具體描述BAS和PAS結(jié)合實現(xiàn)身份和權(quán)限認證過程結(jié)合圖3對實施例一進行詳細說明如下用戶請求訪問某特定資源,BAS和PAS系統(tǒng)分別向用戶發(fā)送身份認證和權(quán)限認證請求1.用戶響應BAS的身份認證請求�,協(xié)商認證方式,并發(fā)送生物證書��;2.在執(zhí)行1的同時�,用戶響應PAS的權(quán)限認證請求,聲明對資源的訪問權(quán)限���,并發(fā)送權(quán)限屬性證書�;3.BAS根據(jù)協(xié)商的認證方式和生物識別算法向BAC發(fā)送生物識別參數(shù)如識別門限的請求��;4.在執(zhí)行3的同時��,PAS根據(jù)用戶聲明的權(quán)限將權(quán)限屬性證書中的用戶屬性參數(shù)信息,例如該用戶的權(quán)限屬性所對應的安全級別發(fā)送給BAC�����;5.BAC根據(jù)3中的參數(shù)請求和4發(fā)送的安全級別��,檢索到3中請求的參數(shù)發(fā)送給BAS�;6.BAS根據(jù)BAC提供的生物識別參數(shù)對用戶身份進行識別認證,如果身份認證通過則進行由PAS對用戶權(quán)限進行驗證���,否則直接拒絕��;7.如果身份認證和權(quán)限認證全部通過��,則用戶可以按照其聲稱的權(quán)限訪問資源���。
結(jié)合圖4對實施例二進行詳細說明如下用戶請求訪問某特定資源,BAS和PAS系統(tǒng)分別向用戶發(fā)送身份認證和權(quán)限認證請求1.用戶響應BAS的身份認證請求���,協(xié)商認證方式���,并發(fā)送生物證書;����;2.在執(zhí)行1的同時��,用戶響應PAS的權(quán)限認證請求,聲明對資源的訪問權(quán)限����,并發(fā)送權(quán)限屬性證書;3.PAS將權(quán)限屬性證書中的用戶屬性參數(shù)信息���,例如該用戶的權(quán)限屬性所對應的安全級別發(fā)送給BAS�����;4.BAS根據(jù)安全級別和用戶協(xié)商生物認證方式����;5.BAS根據(jù)協(xié)商好的認證方式��,確定生物識別算法�,并向BAC發(fā)送生物識別參數(shù)如識別門限的請求,發(fā)送請求時攜帶生物識別類型���、識別算法和屬性安全級別等相關參數(shù)���;6.BAC根據(jù)5中請求攜帶的參數(shù)����,檢索到與請求匹配的生物識別參數(shù)發(fā)送給BAS��;7.BAS根據(jù)BAC提供的生物識別參數(shù)對用戶身份進行識別認證�����,如果身份認證通過則進行由PAS對用戶權(quán)限進行驗證�����,否則直接拒絕����;8.如果身份認證和權(quán)限認證全部通過,則用戶可以按照其聲稱的權(quán)限訪問資源�。
在實施例一中,BAS和PAS間交互較少���,BAS和PAS系統(tǒng)相對獨立運行�,BAS沒有參考訪問權(quán)限的安全級別就直接與用戶協(xié)商認證方式。在實施例二中����,BAS和PAS間交互較多,BAS進行身份認證時參考了訪問權(quán)限安全級別后再與用戶協(xié)商認證方式����。兩個實施例可以根據(jù)實際情況來選擇適用����,也可以根據(jù)具體情況設計其他認證方式。
在本發(fā)明中��,也可以通過生物算法證書的擴展信息中加入PMI認證所需要的權(quán)限信息來實現(xiàn)BAI和PMI的結(jié)合����,具體過程不再贅述。
以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換和改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種安全認證系統(tǒng)��,特征在于���,所述安全認證系統(tǒng)包括權(quán)限認證子系統(tǒng)����,用于輸出對用戶身份進行生物識別認證所需要的用戶屬性參數(shù)信息��;生物算法證書�����,用于保存與所述用戶屬性參數(shù)信息對應的生物識別參數(shù)信息�;以及生物認證子系統(tǒng),用于獲取所述生物識別參數(shù)信息��,并根據(jù)所述生物識別參數(shù)信息對用戶身份進行生物識別認證��。
2.如權(quán)利要求1所述的安全認證系統(tǒng)�,其特征在于,所述生物識別參數(shù)信息包括生物特征類型標識��、生物識別算法標識以及安全級別和生物識別相關參數(shù)對應列表�;所述安全級別和生物識別相關參數(shù)對應列表包括安全級別信息以及與所述安全級別信息對應的識別門限。
3.如權(quán)利要求1所述的安全認證系統(tǒng),其特征在于���,所述用戶屬性參數(shù)信息包括權(quán)限屬性信息���,以及與所述權(quán)限屬性信息對應的安全級別信息。
4.如權(quán)利要求1所述的安全認證系統(tǒng)�����,其特征在于�����,所述生物識別參數(shù)信息進一步包括用戶權(quán)限信息����。
5.一種安全認證方法��,其特征在于��,所述方法包括下述步驟A.輸出對用戶身份進行生物識別認證所需要的用戶屬性參數(shù)信息�����;B.獲取與所述用戶屬性參數(shù)信息對應的生物識別參數(shù)信息;C.利用所述生物識別參數(shù)信息對用戶身份進行生物識別認證���。
6.如權(quán)利要求5所述的安全認證方法�����,其特征在于���,所述生物識別參數(shù)信息包括生物特征類型標識、生物識別算法標識以及安全級別和生物識別相關參數(shù)對應列表�;所述安全級別和生物識別相關參數(shù)對應列表包括安全級別信息以及與所述安全級別信息對應的識別門限。
7.如權(quán)利要求5所述的安全認證方法���,其特征在于�,所述用戶屬性參數(shù)信息包括權(quán)限屬性信息�����,以及與所述權(quán)限屬性信息對應的安全級別信息��。
8.如權(quán)利要求5所述的安全認證方法��,其特征在于�����,所述生物識別參數(shù)信息進一步包括用戶權(quán)限信息。
全文摘要
本發(fā)明適用于網(wǎng)絡安全領域�����,提供了一種安全認證系統(tǒng)及方法�,所述安全認證系統(tǒng)包括權(quán)限認證子系統(tǒng),用于輸出對用戶身份進行生物識別認證所需要的用戶屬性參數(shù)信息��;生物算法證書����,用于保存與所述用戶屬性參數(shù)信息對應的生物識別參數(shù)信息;以及生物認證子系統(tǒng)���,用于獲取所述生物識別參數(shù)信息,并根據(jù)所述生物識別參數(shù)信息對用戶身份進行生物識別認證�。本發(fā)明將生物認證與PMI權(quán)限認證進行結(jié)合,提高了PMI中身份認證的安全性����,同時擴大了生物認證的適用范圍。
文檔編號G06F21/42GK1859096SQ200510100660
公開日2006年11月8日 申請日期2005年10月22日 優(yōu)先權(quán)日2005年10月22日
發(fā)明者位繼偉, 鄭志彬, 李超 申請人:華為技術(shù)有限公司