一種基于生物證書(shū)的身份認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及開(kāi)放式網(wǎng)絡(luò)下生物身份認(rèn)證領(lǐng)域����,尤其是針對(duì)電子商務(wù)平臺(tái)下基于生 物證書(shū)的身份認(rèn)證方法。
【背景技術(shù)】 陽(yáng)〇〇引近年來(lái)���,電子商務(wù)已經(jīng)進(jìn)入了一個(gè)高速發(fā)展期�,交易額與交易量同比大幅攀化同 時(shí)也隨之出現(xiàn)了許多亟待解決的網(wǎng)絡(luò)安全問(wèn)題,主要包括商家和客戶(hù)在交易過(guò)程中如何確 定對(duì)方身份W及如何保證敏感信息的安全傳輸�,運(yùn)些問(wèn)題已成為制約電子商務(wù)健康發(fā)展的 瓶頸����。
[0003] 目前,大部分電商平臺(tái)采用基于口令方式進(jìn)行最簡(jiǎn)單的身份認(rèn)證�,該方案缺點(diǎn)明 顯,口令容易被用戶(hù)所遺忘和泄漏?���;赑KI數(shù)字證書(shū)認(rèn)證是目前最為安全的電子商務(wù)解 決方案,它使用CA頒發(fā)的數(shù)字證書(shū)W標(biāo)識(shí)交易雙方在開(kāi)放式網(wǎng)絡(luò)上的身份,該方案雖解決 了電子商務(wù)中身份認(rèn)證的問(wèn)題���,但證書(shū)很容易被復(fù)制����、傳播����,并未根本解決證書(shū)和用戶(hù)身份 唯一性問(wèn)題����。同時(shí)���,越來(lái)越多的系統(tǒng)需要可靠的生物識(shí)別方法來(lái)確定或判定該個(gè)體是否有 權(quán)限訪問(wèn)所請(qǐng)求的系統(tǒng)服務(wù)。因而��,在開(kāi)放式網(wǎng)絡(luò)下亟需一種基于生物識(shí)別的身份認(rèn)證技 術(shù)�,滿(mǎn)足信息認(rèn)證傳輸安全W及日常系統(tǒng)服務(wù)需求。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明主要解決的技術(shù)問(wèn)題是在開(kāi)放式網(wǎng)絡(luò)下��,針對(duì)基于PKI的數(shù)字證書(shū)身份認(rèn) 證存在證書(shū)與用戶(hù)身份不能構(gòu)成唯一性等缺點(diǎn)��,結(jié)合PKI認(rèn)證和生物認(rèn)證的優(yōu)勢(shì)���,提出一 種基于生物證書(shū)的身份認(rèn)證方法。生物證書(shū)是一種由認(rèn)證中屯���、(CA)頒發(fā)的綁定了用戶(hù)基 本信息及其生物特征模板信息(如指紋),并經(jīng)過(guò)CA數(shù)字簽名符合X. 509格式的數(shù)字證書(shū)��, 可將其用于標(biāo)識(shí)開(kāi)放式網(wǎng)絡(luò)下用戶(hù)的身份信息�。 陽(yáng)0化]為解決W上技術(shù)問(wèn)題,本發(fā)明采用的技術(shù)方案是:一種基于生物證書(shū)的身份認(rèn)證 方法,對(duì)CA(認(rèn)證中屯sCertificate Authority)系統(tǒng)的注冊(cè)功能模塊進(jìn)行擴(kuò)展�����,在其頒發(fā) 的X. 509證書(shū)中添加生物特征模板信息��,包括特征輔助模塊度iometric化Iper Mo化Ie, BHM)���、特征加密模塊度iometric !Encryption Module���,BEM) W及特征安全模塊度iometric Security Mo化Ie, BSM),W形成生物證書(shū),所述的方法包括:
[0006] 步驟1�����,客戶(hù)端向CA申請(qǐng)生物證書(shū)��,CA采集客戶(hù)的活體生物特征模板,利用偽隨機(jī) 序列發(fā)生器生成生物密鑰�����,再由生物密鑰加密生物特征模板生成加密生物模板,客戶(hù)端下 載該證書(shū)并安裝到瀏覽器或存儲(chǔ)到US趾ey中�;服務(wù)器端用戶(hù)向CA申請(qǐng)服務(wù)器證書(shū),申請(qǐng)成 功后下載證書(shū)并進(jìn)行安裝配置; W07] 步驟2,客戶(hù)端訪問(wèn)服務(wù)器端�,若為首次訪問(wèn),則會(huì)提醒其是否安裝客戶(hù)端 ActiveX 控件�;
[0008] 步驟3,客戶(hù)端與服務(wù)器端均向?qū)Ψ桨l(fā)送其證書(shū),雙方驗(yàn)證對(duì)方證書(shū)是否有效 (邸L���,OCS巧���;客戶(hù)端證書(shū)驗(yàn)證通過(guò)后�����,客戶(hù)端啟動(dòng)生物特征采集儀采集活體生物信息���,并對(duì) 生物信息進(jìn)行預(yù)處理提取出生物特征模板���,生物特征模板數(shù)據(jù)經(jīng)過(guò)簽名數(shù)字信封發(fā)送至服 務(wù)器端。
[0009] 步驟4,服務(wù)器端解密并驗(yàn)證客戶(hù)端發(fā)送過(guò)來(lái)的生物特征模板數(shù)據(jù)(記為曲���,接著 利用Q查詢(xún)生物證書(shū)中的BSM模塊(即化zzy Vault)提取出生物密鑰�,然后利用該密鑰從 BEM模塊中解密出被加密的生物特征模板與Q進(jìn)行比對(duì)匹配,若匹配成功表明客戶(hù)的身份 驗(yàn)證通過(guò)�,系統(tǒng)分配相應(yīng)的訪問(wèn)權(quán)限�����;
[0010] 步驟5,客戶(hù)進(jìn)入信息交互狀態(tài),客戶(hù)端控件對(duì)客戶(hù)提交的信息進(jìn)行加密�、簽名�,月良 務(wù)端對(duì)客戶(hù)信息進(jìn)行解密��、驗(yàn)證��。反之�,服務(wù)器給客戶(hù)端發(fā)送信息亦然���。
[0011] 本發(fā)明的有益效果是:相較于現(xiàn)有技術(shù)的情況���,本發(fā)明通過(guò)結(jié)合PKI認(rèn)證和生物 認(rèn)證的方式�,生成生物證書(shū)�。在確認(rèn)證書(shū)有效后,進(jìn)行生物信息匹配����,確認(rèn)身份后��,分配相應(yīng) 權(quán)限���。本發(fā)明能夠在單個(gè)個(gè)體和大量數(shù)據(jù)之間建立一種牢不可破的一對(duì)一關(guān)系���,可確定對(duì) 方身份的唯一性W及保證敏感信息的安全傳輸���。
【附圖說(shuō)明】
[0012] 圖1是本發(fā)明生物證書(shū)基本結(jié)構(gòu)圖�����;
[0013] 圖2是本發(fā)明EJBCA生成生物證書(shū)過(guò)程示意圖�;
[0014] 圖3是本發(fā)明基于生物證書(shū)的身份認(rèn)證過(guò)程示意圖���;
[0015] 圖4是本發(fā)明基于生物證書(shū)的電子商務(wù)平臺(tái)身份系統(tǒng)示意圖����。
[0016] 圖5是本發(fā)明的方法流程圖
【具體實(shí)施方式】
[0017] 為了使本技術(shù)領(lǐng)域的人員可W更好地理解本發(fā)明方案,下面結(jié)合附圖對(duì)本發(fā)明做 進(jìn)一步描述,顯然�����,所描述的實(shí)施方式僅僅是本發(fā)明一部分的實(shí)施方式��,而不是全部的實(shí)施 方式�?;诒景l(fā)明中的實(shí)施方式����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)新性勞動(dòng)前提下所獲 得的所有其他實(shí)施方式�,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍���。
[0018] 圖4為本發(fā)明所述的方法實(shí)現(xiàn)的一個(gè)基于生物證書(shū)的電子商務(wù)身份認(rèn)證方法實(shí) 例。該實(shí)例設(shè)計(jì)的基于生物證書(shū)身份認(rèn)證系統(tǒng)主要針對(duì)電子商務(wù)平臺(tái)�����,采用B/S架構(gòu)����,由客 戶(hù)端與服務(wù)器端兩大部分組成�,系統(tǒng)主要參與者有:權(quán)威認(rèn)證中屯、EJBCA�����,客戶(hù)或客戶(hù)端應(yīng) 用程序(ActiveX控件)�,電子商務(wù)服務(wù)器等����。指紋采集儀采用中控U. are U4000微型指紋 掃描儀�����,它能夠自動(dòng)讀取指紋圖像并通過(guò)USB接口把經(jīng)過(guò)數(shù)字化的指紋圖像傳送到電腦�����。 需注意的是���,若有實(shí)質(zhì)上相同的結(jié)果���,本發(fā)明不W圖4為限���。
[0019] 圖1是本發(fā)明提供的生物證書(shū)基本結(jié)構(gòu),本實(shí)施方式基于開(kāi)源CA系統(tǒng)EJBCA實(shí)現(xiàn) 生物證書(shū)���,在PKI頒發(fā)的X. 509證書(shū)中添加指紋特征模板信息W形成生物證書(shū)�。其中�,生物 證書(shū)中的生物特征信息(BA,Biometric Authority)拓展由S個(gè)模塊組成�����,分別是特征輔助 模塊度iometric Helper Module, BHM)、特征加密模塊度iometric !Encryption Module���, BEM) W及特征安全模塊度iometric Se州rity Mo化le�����,BSMKBHM主要包括生物特征模板結(jié) 構(gòu)的版本����、安全選項(xiàng)、生物特征類(lèi)型�、創(chuàng)建日期�、有效時(shí)間等BA基本信息��,運(yùn)些信息由EJBCA 根據(jù)具體情況產(chǎn)生����。BEM是指由生物特征模板信息產(chǎn)生的生物密鑰對(duì)生物特征模板進(jìn)行加 密后的信息���,本實(shí)施方式主要針對(duì)指紋特征模板進(jìn)行設(shè)計(jì)與實(shí)現(xiàn),其中指紋密鑰由偽隨機(jī) 指紋發(fā)生器生成�。BSM用于隱藏和保護(hù)指紋密鑰,使用指紋金庫(kù)算法綁定指紋密鑰和指紋特 征模板形成模糊金庫(kù)(化zzyVault)。
[0020] 其中,X. 509數(shù)字證書(shū)是用ASN(AbstractSyntaxNotation)語(yǔ)法來(lái)描述與編碼 的��,版本2或3的X. 509數(shù)字證書(shū)中的擴(kuò)展字段部分具有如下結(jié)構(gòu):
[0021] Ex妃船i御::=化QUENCE { extnlDOBJECTIDBMTIFIER, critical BOOLEAN DEFAULT FALSE, exinValue OCTET STRING )
[0022] extnID :表示一個(gè)擴(kuò)展元素的OID
[0023] critical:表示運(yùn)個(gè)擴(kuò)展元素是否極重要
[0024] ext