nValue:表示運(yùn)個(gè)擴(kuò)展元素的值，字符串類型。
[00巧]證書中擴(kuò)展的主題目錄屬性（subject directcxry attribute)字段主要包含證書 擁有者的一些屬性，如生日、家庭住址等信息，本文在此進(jìn)行擴(kuò)展添加了 BA信息，為BA定義 的 OID 為 1. 3. 6. 1. 5. 5. 7. 9. 6。
[0026] 本實(shí)施方式W客戶端C與電子商務(wù)平臺S之間的交互為例，參照圖5,主要由5個(gè) 步驟組成：
[0027] 步驟1，客戶端C向認(rèn)證中屯、EJBCA申請生物證書，圖2展示了生物證書的生成過 程：EJBCA采集客戶端C的活體指紋模板，利用偽隨機(jī)指紋發(fā)生器生成指紋密鑰，再由指紋 密鑰加密指紋特征模板生成加密指紋模板；為保護(hù)并隱藏指紋密鑰，利用指紋模糊金庫算 法綁定指紋模板和指紋密鑰；客戶端下載該證書并安裝到瀏覽器或存儲到US趾ey中。同 時(shí)，電子商務(wù)平臺服務(wù)器也需要向EJBCA申請服務(wù)器證書，申請成功后下載并進(jìn)行安裝配 置。
[0028] 步驟2,客戶端C訪問電子商務(wù)平臺，若為首次訪問，則會提醒其是否安裝客戶端 ActiveX 控件。
[0029] 其中，客戶端ActiveX控件采用VC++6. 0實(shí)現(xiàn)，主要包括指紋采集及預(yù)處理、數(shù)據(jù) 的加/解密、數(shù)據(jù)簽名/驗(yàn)證等功能。為提高執(zhí)行效率，加/解密、數(shù)字簽名、數(shù)字信封等 PKI功能主要由化enssl和化ypto API函數(shù)庫實(shí)現(xiàn)，其中化ypto API實(shí)現(xiàn)瀏覽器中證書的 讀取，化enssl主要用于加/解密、打包/解析數(shù)字信封等功能。
[0030] 步驟3,客戶端C與電子商務(wù)平臺雙方都向?qū)Ψ桨l(fā)送從EJBCA申請過來的證書，雙 方都對對方的證書進(jìn)行驗(yàn)證W確定其是否有效（邸L，OCS巧；如果客戶端證書驗(yàn)證通過，客 戶端C啟動(dòng)指紋采集儀采集活體指紋并對指紋進(jìn)行預(yù)處理提取出指紋模板，指紋模板數(shù)據(jù) 經(jīng)過簽名數(shù)字信封發(fā)送至服務(wù)器端。
[0031] 步驟4,如圖3展示了基于生物證書的身份認(rèn)證過程。電子商務(wù)平臺解密并驗(yàn)證 客戶端C發(fā)送過來的指紋特征模板數(shù)據(jù)（記為曲，接著利用Q查詢生物證書中的BSM模塊 (即化zzyVault)提取出指紋密鑰，然后利用該密鑰從BEM模塊中解密出被加密的指紋特 征模板與Q進(jìn)行比對匹配，若匹配成功表明客戶的身份驗(yàn)證通過，系統(tǒng)分配相應(yīng)的訪問權(quán) 限。
[0032] 其中，電子商務(wù)服務(wù)器端組件功能主要采用高效的C++編寫，W動(dòng)態(tài)鏈接庫dll形 式存在，方便服務(wù)器端功能進(jìn)一步擴(kuò)展與實(shí)現(xiàn)。若Wdll來看，主要包含了 =大功能模塊， 加/解密子模塊、指紋模板匹配子模塊、模糊指紋保險(xiǎn)箱子模塊。電子商務(wù)服務(wù)器端使用 化ative庫開發(fā)化va訪問C++實(shí)現(xiàn)的ServerCom的二次接口。
[0033] 加/解密子模塊：服務(wù)器端待發(fā)送的數(shù)據(jù)進(jìn)行加/解密、簽名、驗(yàn)證等，主要采用調(diào) 用化enssl的API實(shí)現(xiàn)相關(guān)功能。
[0034] 模糊指紋保險(xiǎn)箱子模塊：從生物證書中的BSM模塊解析出指紋密鑰，然后再使用 該密鑰解密出BEM中的指紋模板。
[0035] 指紋模板匹配子模塊：將客戶端發(fā)送過來的經(jīng)過解析簽名數(shù)字信封的指紋模板和 生物證書當(dāng)中的經(jīng)過解密的生物特征模板進(jìn)行匹配。服務(wù)器端調(diào)用dll組件對客戶端的發(fā) 送過來的生物證書進(jìn)行解析提取出生物特征模板，然后調(diào)用指紋匹配模塊進(jìn)行比對。根據(jù) 設(shè)定一個(gè)匹配分?jǐn)?shù)的闊值，若大于該闊值表示匹配成功，否則，則表示失敗。
[0036] 步驟5,客戶進(jìn)入交易狀態(tài)，客戶端控件對客戶提交的表單信息或其它交易信息進(jìn) 行加密、簽名，服務(wù)端對客戶信息進(jìn)行解密、驗(yàn)證。反之，服務(wù)器給客戶端發(fā)送信息亦然。
[0037] 通過上述實(shí)施方式，本發(fā)明提出的基于生物證書的身份認(rèn)證方法，結(jié)合了PKI數(shù) 字證書認(rèn)證和生物認(rèn)證的雙重優(yōu)點(diǎn)，只需在目前已有的PKI體系上增加生物特征認(rèn)證信息 W及在web服務(wù)器上增加生物認(rèn)證功能，即可確定數(shù)字證書和用戶身份的唯一性，擴(kuò)展簡 捷、實(shí)用。實(shí)例主要針對電子商務(wù)平臺，但對于其它在開放式網(wǎng)絡(luò)下安全性需求較高的web 應(yīng)用系統(tǒng)也可有效解決其身份認(rèn)證和敏感信息的安全傳輸問題，可為web應(yīng)用系統(tǒng)提供一 種安全的身份認(rèn)證解決方法，具備廣泛的應(yīng)用前景。
[003引 W上實(shí)例僅為本發(fā)明的實(shí)施方式，并非因此限制本發(fā)明的專利范圍，凡是利用本 發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的 技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1. 一種基于生物證書的身份認(rèn)證方法。其特征在于，對認(rèn)證中心CA系統(tǒng)的注冊功能模 塊進(jìn)行擴(kuò)展，在其頒發(fā)的X. 509證書中添加生物特征模板信息，包括特征輔助模塊BHM、特 征加密模塊BEM以及特征安全模塊BSM，以形成生物證書，具體步驟包括： 步驟1，客戶端向CA申請生物證書，CA采集客戶的活體生物特征模板，利用偽隨機(jī)序列 發(fā)生器生成生物密鑰，再由生物密鑰加密生物特征模板生成加密生物模板，客戶端下載該 證書并安裝到瀏覽器或存儲到USBkey中；服務(wù)器端用戶向CA申請服務(wù)器證書，申請成功后 下載證書并進(jìn)行安裝配置； 步驟2,客戶端訪問服務(wù)器端，若為首次訪問，則會提醒其是否安裝客戶端ActiveX控 件； 步驟3,客戶端與服務(wù)器端均向?qū)Ψ桨l(fā)送其證書，雙方驗(yàn)證對方證書是否有效；客戶端 證書驗(yàn)證通過后，客戶端啟動(dòng)生物特征采集儀采集活體生物信息，并對生物信息進(jìn)行預(yù)處 理提取出生物特征模板，生物特征模板數(shù)據(jù)經(jīng)過簽名數(shù)字信封發(fā)送至服務(wù)器端； 步驟4,服務(wù)器端解密并驗(yàn)證客戶端發(fā)送過來的生物特征模板數(shù)據(jù)，將生物特征模板數(shù) 據(jù)記為Q，接著利用Q查詢生物證書中的BSM模塊提取出生物密鑰，然后利用該密鑰從BEM 模塊中解密出被加密的生物特征模板與Q進(jìn)行比對匹配，若匹配成功表明客戶的身份驗(yàn)證 通過，系統(tǒng)分配相應(yīng)的訪問權(quán)限； 步驟5,客戶進(jìn)入信息交互狀態(tài)，客戶端控件對客戶提交的信息進(jìn)行加密、簽名，服務(wù)端 對客戶信息進(jìn)行解密、驗(yàn)證。反之，服務(wù)器給客戶端發(fā)送信息亦然。
【專利摘要】一種基于生物證書的身份認(rèn)證方法，對CA系統(tǒng)頒發(fā)的X.509證書中添加指紋特征模板信息以形成生物證書。方法包括：客戶端與服務(wù)器端向CA申請生物證書并安裝配置，客戶端訪問服務(wù)器端(若為首次訪問，提醒其是否安裝ActiveX控件)，雙方驗(yàn)證對方證書的有效性，若客戶端證書驗(yàn)證通過，則采集生物信息并處理為生物信息模板，經(jīng)簽名數(shù)字信封發(fā)送至服務(wù)器端，服務(wù)器端解密并驗(yàn)證客戶端發(fā)送的生物特征模板數(shù)據(jù)Q，利用Q查詢生物證書中的BSM模塊，提取出生物密鑰，利用該密鑰從BEM模塊中解密得到的生物特征模板與Q進(jìn)行比對匹配，若匹配成功表明客戶的身份驗(yàn)證通過，系統(tǒng)分配相應(yīng)的訪問權(quán)限，客戶端與服務(wù)器端即可進(jìn)行信息交互。
【IPC分類】H04L29/06
【公開號】CN105391713
【申請?zhí)枴緾N201510755732
【發(fā)明人】王衛(wèi)紅, 魯友炳, 楊潔
【申請人】浙江工業(yè)大學(xué)
【公開日】2016年3月9日
【申請日】2015年11月9日...