專利名稱:一種生物證書(shū)生成系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及生物證書(shū)技術(shù)領(lǐng)域�,更具體地說(shuō)�����,本發(fā)明涉及一種生物證書(shū) 生成系統(tǒng)及方法����。
背景技術(shù):
隨著網(wǎng)絡(luò)快速發(fā)展,網(wǎng)絡(luò)越來(lái)越和人們的工作與生活融合在一起�����。電子 政務(wù)�����、電子辦公、電子商務(wù)得到了大量的應(yīng)用���,網(wǎng)上銀行�、網(wǎng)上交易等也愈 發(fā)普遍��,因此對(duì)個(gè)人的身份認(rèn)證也就顯得非常重要��,這甚至是其它工作開(kāi)始 的第一步���。傳統(tǒng)方式中一般以密碼方式進(jìn)行認(rèn)證����,存在容易忘記�����、容易被別 人竊取等很難彌補(bǔ)的缺陷�����,安全性無(wú)法令人滿意���,以至于近年來(lái)網(wǎng)絡(luò)欺詐��、 賬戶盜用的現(xiàn)象日益增多��。因此�,發(fā)展更高安全層次的個(gè)人信息保障和認(rèn)證 機(jī)制勢(shì)在必行。.公鑰基礎(chǔ)設(shè)施(PKI��, Public Key Infrastructure )是一種利用公鑰加密技 術(shù)為電子商務(wù)提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范�。它能夠?yàn)楦鞣N網(wǎng)絡(luò)應(yīng)用 提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。簡(jiǎn)單來(lái) 說(shuō)��,PKI就是利用公鑰理論建立的提供安全服務(wù)的基礎(chǔ)設(shè)施����?��;ヂ?lián)網(wǎng)用戶可 利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的電子交易��、通信和互聯(lián)網(wǎng)上的各種活 動(dòng)���。PKI基礎(chǔ)設(shè)施采用證書(shū)管理公鑰,通過(guò)第三方的可信任機(jī)構(gòu)(CA認(rèn)證 中心)將用戶的公鑰和用戶的其它標(biāo)識(shí)信息捆綁在一起��,在互聯(lián)網(wǎng)上驗(yàn)證用 戶的身份。參加電子商務(wù)的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí)�����,這就是數(shù)字證書(shū)�����。 數(shù)字證書(shū)是各實(shí)體(持卡人/個(gè)人����、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交 流及商務(wù)交易活動(dòng)中的身份證明���,數(shù)字證書(shū)具有惟一性����。它將實(shí)體的公開(kāi)密
鑰同實(shí)體本身聯(lián)系在一起�。為實(shí)現(xiàn)這一目的,必須使數(shù)字證書(shū)符合X509國(guó) 際標(biāo)準(zhǔn)��,同時(shí)數(shù)字證書(shū)的來(lái)源必須是可靠的�。這就意味著應(yīng)有一個(gè)網(wǎng)上各方 都信任的機(jī)構(gòu),專門負(fù)責(zé)數(shù)字證書(shū)的發(fā)放和管理����,確保網(wǎng)上信息的安全���,這 個(gè)機(jī)構(gòu)就是CA認(rèn)證機(jī)構(gòu)。各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的 信任鏈����。如果CA機(jī)構(gòu)不安全或發(fā)放的數(shù)字證書(shū)不具有權(quán)威性、公正性和可 信賴性���,電子商務(wù)就根本無(wú)從談起�。CA是整個(gè)網(wǎng)上電子交易安全的關(guān)鍵環(huán) 節(jié)����,它主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證 數(shù)字證書(shū)��。每一份數(shù)字證書(shū)都與上一級(jí)的數(shù)字簽名證書(shū)相關(guān)聯(lián)����,最終通過(guò)安 全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全��、權(quán)威����、足以信賴的機(jī)構(gòu)�,也就 是根CA����。生物識(shí)別技術(shù)是指利用人類自身生理或行為特征進(jìn)行身份確認(rèn)的一種 技術(shù),如指紋識(shí)別����、虹膜識(shí)別、臉型識(shí)別�����、脈絡(luò)識(shí)別等����。近年來(lái)生物特征識(shí) 別技術(shù)逐漸成熟,以及網(wǎng)絡(luò)身份認(rèn)證的特殊環(huán)境�����,可以將生物特征識(shí)別技術(shù) 應(yīng)用在身份認(rèn)證上����,利用生物特征的唯一性����、穩(wěn)定性等特點(diǎn)���,為信息安全提 供了保障�����。生物識(shí)別認(rèn)證系統(tǒng)必須先創(chuàng)建生物特征模版�����,進(jìn)行身份認(rèn)證時(shí)將新收集 的生物特征數(shù)據(jù)與預(yù)先注冊(cè)存儲(chǔ)的生物特征模版進(jìn)行匹配����,看匹配結(jié)果是否 在有效范圍內(nèi)來(lái)判斷結(jié)果?���,F(xiàn)在利用生物識(shí)別技術(shù)的系統(tǒng)有指紋門襟系統(tǒng)、 指紋考勤系統(tǒng)�����、指紋鎖系統(tǒng)�����、生物電子證件系統(tǒng)以及利用生物識(shí)別進(jìn)行認(rèn)證 的各種應(yīng)用系統(tǒng)等�,可見(jiàn)生物識(shí)別技術(shù)的應(yīng)用已初具規(guī)模。但是個(gè)人生物特 征數(shù)據(jù)屬于個(gè)人隱私和個(gè)人專有��,如果不進(jìn)行保護(hù)����,就非常容易泄露出去, 從而給生物數(shù)據(jù)的所有者帶來(lái)巨大損失���,這也是生物識(shí)別技術(shù)不能廣泛應(yīng)用 的主要原因�����。以上列出了 一些現(xiàn)有的生物識(shí)別認(rèn)證系統(tǒng)��,然而這些生物識(shí)別認(rèn)證系統(tǒng) 并不能廣泛應(yīng)用于網(wǎng)絡(luò)應(yīng)用中��。顯然�,帶有生物學(xué)特征����、用于個(gè)人身份認(rèn)證 的生物證書(shū)能夠?yàn)榫W(wǎng)絡(luò)應(yīng)用帶來(lái)更高安全性�,然而在現(xiàn)有技術(shù)中并無(wú)證明個(gè) 體身份的生物證書(shū)的生成方式
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明的主要目的是提出一種生物證書(shū)生成系統(tǒng)�����,以提高個(gè) 人身份認(rèn)證的安全性��。本發(fā)明的另一目的是提出一種生物證書(shū)生成方法�,以提高個(gè)人身份認(rèn)證 的安全性。為達(dá)到上述目的�����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的 一種生物i正書(shū)生成系統(tǒng)��,該系統(tǒng)包才舌注冊(cè)生物權(quán)威����,用于接受申請(qǐng)者的注冊(cè),并確認(rèn)申請(qǐng)者的身份�,獲取申請(qǐng) 者注冊(cè)信息�,并將所述申請(qǐng)者注冊(cè)信息發(fā)送到生物證書(shū)權(quán)威�����;生物證書(shū)權(quán)威����,用于根據(jù)申請(qǐng)者生物模版或生物模版的路徑信息及所述申 請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)���。該系統(tǒng)進(jìn)一 步包括證書(shū)權(quán)威�,用于向生物證書(shū)權(quán)威頒發(fā)公鑰證書(shū)�����;生物證書(shū)權(quán)威�����,用于根據(jù)該公鑰證書(shū)所對(duì)應(yīng)的私鑰���,對(duì)生成的生物證書(shū)進(jìn) 行簽名�����。所述公鑰證書(shū)為X.509公鑰證書(shū)��。所述注冊(cè)生物權(quán)威進(jìn)一步用于獲取申請(qǐng)者生物模版或生物模版的路徑信 息����,并將所述申請(qǐng)者生物模版或生物模版的路徑信息發(fā)送到生物證書(shū)權(quán)威;所述生物證書(shū)權(quán)威���,用于根據(jù)由注冊(cè)生物權(quán)威所發(fā)送來(lái)的申請(qǐng)者生物模版 或生物模版的路徑信息及申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)����。該系統(tǒng)進(jìn)一步包括保存有申請(qǐng)者生物模版的可信第三方��,所述生物證書(shū)權(quán)威��,用于從所述可信第三方獲取申請(qǐng)者生物模版����,并根據(jù) 所獲取的申請(qǐng)者生物模版和申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)。所述可信第三方為生物權(quán)威����。所述生物證書(shū)權(quán)威進(jìn)一步用于將簽名后的生物證書(shū)發(fā)送到注冊(cè)生物權(quán)威;所述注冊(cè)生物權(quán)威���,進(jìn)一步用于將所述生物證書(shū)存儲(chǔ)入存儲(chǔ)介質(zhì)中�����。 所述的存儲(chǔ)介質(zhì)為智能卡��、移動(dòng)硬盤��、固定硬盤或閃存�。 所述注冊(cè)生物4又威包^舌至少一個(gè)本地注冊(cè)生物^又威�;所述本地注冊(cè)生物權(quán)威,用于對(duì)本地的申請(qǐng)者進(jìn)行注冊(cè)��,獲取本地申請(qǐng)者 注冊(cè)信息�����,并將所述本地申請(qǐng)者注冊(cè)信息發(fā)送到生物證書(shū)權(quán)威���。所述生物證書(shū)權(quán)威包括至少一個(gè)子生物證書(shū)權(quán)威��,用于根據(jù)所述本地申諱-者的生物模版或生物模版的路徑信息及該本地申請(qǐng)者注冊(cè)信息來(lái)生成生物證 書(shū)����。所述生物模版的路徑信息為生物模版的統(tǒng)一資源定位符(URL )。 一種生物證書(shū)生成方法����,該方法包括接受申請(qǐng)者的注冊(cè),并確認(rèn)申請(qǐng)者的身份����,獲取申請(qǐng)者注冊(cè)信息,并根據(jù) 申請(qǐng)者生物模版或生物模版的路徑信息及申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)��。 該方法進(jìn)一步包括根據(jù)與證書(shū)權(quán)威頒發(fā)的公鑰證書(shū)相對(duì)應(yīng)的私鑰���,對(duì)生成的生物證書(shū)進(jìn)行簽名����。所述公鑰證書(shū)為X.509公鑰證書(shū)��。所述申請(qǐng)者生物模版或生物模版的路徑信息由申請(qǐng)者保存�����,或者所述申請(qǐng) 者生物模版或生物模版的路徑信息由可信第三方保存���。該方法進(jìn)一步包括進(jìn)一步將所述生物證書(shū)存儲(chǔ)入存儲(chǔ)介質(zhì)中�。所述生物模版包括脫氧核糖核酸(DNA)信息、指紋信息���、虹膜信息����、臉 型信息�����、脈絡(luò)信息中的任一個(gè)或者其中至少 一個(gè)的組合����。所述生物模版的路徑信息為生物;漠版的URL���。從上述技術(shù)方案可以看出�,在本發(fā)明提出的生物證書(shū)生成系統(tǒng)中包括 注冊(cè)生物權(quán)威����,用于接受申請(qǐng)者的注冊(cè),并確認(rèn)申請(qǐng)者的身份���,獲取申請(qǐng)者 注冊(cè)信息�����,并將所述申請(qǐng)者注冊(cè)信息發(fā)送到生物證書(shū)權(quán)威�����;生物證書(shū)權(quán)威�, 用于根據(jù)申請(qǐng)者生物模版或生物模版的路徑信息及所述申請(qǐng)者注冊(cè)信息來(lái) 生成生物證書(shū)。由此可見(jiàn)��,在本發(fā)明中�,能夠利用申請(qǐng)者注冊(cè)信息和申請(qǐng)者 生物模版來(lái)生成生物證書(shū)。顯然�,由生物證書(shū)權(quán)威所頒發(fā)的帶有生物學(xué)特征 的生物證書(shū)能夠顯著提高個(gè)人身份認(rèn)證的安全性。
另外��,本發(fā)明在各種生物證書(shū)權(quán)威拓樸模型下都能夠?qū)崿F(xiàn)生物證書(shū)的生 成�。而且,在申請(qǐng)者擁有生物模版或生物模版的路徑信息�,以及生物模版或 生物模版的路徑信息被存放在可信第三方這兩種情況下,本發(fā)明都能夠順利 生成生物證書(shū)�����。
圖1為根據(jù)本發(fā)明的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意圖。圖2為根據(jù)本發(fā)明第一實(shí)施例的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意圖����。圖3為根據(jù)本發(fā)明第二實(shí)施例的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意圖。圖4為根據(jù)本發(fā)明第三實(shí)施例的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意圖���。圖5為根據(jù)本發(fā)明第二實(shí)施例的生物證書(shū)生成方法的示范性流程示意圖����。圖6為根據(jù)本發(fā)明第三實(shí)施例的生物證書(shū)生成方法的示范性流程示意圖����。
具體實(shí)施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)表達(dá)得更加清楚明白�,下面結(jié)合附 圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說(shuō)明��。圖1為根據(jù)本發(fā)明的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意圖���。如圖1所 示�����,該系統(tǒng)包括注冊(cè)生物權(quán)威101 (RBA�, Register Biometric Authority),用于接受申請(qǐng)者 的注冊(cè),并確認(rèn)申請(qǐng)者的身份��,獲取申請(qǐng)者注冊(cè)信息�,并將所述申請(qǐng)者注冊(cè)信息發(fā)送到生物證書(shū)權(quán)威;生物i正書(shū)4又威102 (BCA�����, Biometric Certificate Authority )��,用于4艮據(jù)
申請(qǐng)者生物模版或生物模版的路徑信息及所述申請(qǐng)者注冊(cè)信息來(lái)生成生物 證書(shū)�。其中,該系統(tǒng)優(yōu)選進(jìn)一步包括生物證書(shū)權(quán)威103 (CA����, Certificate Authority),用于向生物證書(shū)權(quán)威102頒發(fā)公鑰證書(shū),生物證書(shū)權(quán)威102再 用于根據(jù)該公鑰證書(shū)所對(duì)應(yīng)的私鑰�,對(duì)生成的生物證書(shū)進(jìn)行簽名。 一般地���, 公鑰證書(shū)優(yōu)選為X.509公鑰證書(shū)��,以用于生物證書(shū)權(quán)威102對(duì)頒發(fā)的生物i正 書(shū)進(jìn)行簽名�����,同時(shí)也為不同的生物證書(shū)權(quán)威102所頒發(fā)的生物證書(shū)進(jìn)行交叉 認(rèn)證做準(zhǔn)備�����。也就是說(shuō)����,生物證書(shū)權(quán)威102的主要功能是接受注冊(cè)生物權(quán)威 101傳來(lái)的申請(qǐng)者信息和獲取生物模版或生物模版的路徑信息,簽發(fā)生成申 請(qǐng)者的生物證書(shū)��。優(yōu)選地�,生物證書(shū)權(quán)威102進(jìn)一步用于將經(jīng)過(guò)簽名的生物證書(shū)發(fā)送到注 冊(cè)生物權(quán)威101;注冊(cè)生物權(quán)威101接收到申請(qǐng)者的生物證書(shū)后,可以將生 物證書(shū)存儲(chǔ)到臨時(shí)數(shù)據(jù)庫(kù)中���,并寫(xiě)入申請(qǐng)者的智能卡等存儲(chǔ)介質(zhì)中�,或者注 冊(cè)生物權(quán)威101將生物證書(shū)放到服務(wù)器中�����,然后申請(qǐng)者再通過(guò)安全通道下載 到自己的存儲(chǔ)設(shè)備中��。由于生物證書(shū)被用于證明個(gè)體的身份��,生物證書(shū)需要向他人證明自己的 有效性�����,因此生成生物證書(shū)的生物證書(shū)權(quán)威102必須是一個(gè)公認(rèn)的權(quán)威機(jī) 構(gòu)��。比如�����,為了保證生物證書(shū)的可靠性����,生成生物證書(shū)的生物證書(shū)權(quán)威102 優(yōu)選滿足下列條件1. 生成生物證書(shū)時(shí),生物證書(shū)權(quán)威102應(yīng)該能證明主體的身份����;2. 對(duì)同一個(gè)主體,生物證書(shū)權(quán)威102不能頒發(fā)兩個(gè)或兩個(gè)以上的生物 證書(shū)���;3. 生物證書(shū)權(quán)威102能夠保證主體生物數(shù)據(jù)的安全����,保證不會(huì)在生成 生物模版和生物證書(shū)時(shí)泄漏主體的生物數(shù)據(jù)�����;4. 生物證書(shū)權(quán)威102必須持有公鑰證書(shū)和與該公鑰證書(shū)對(duì)應(yīng)的簽名私鑰。
另外��,在本發(fā)明中����,生物模版或生物模版的路徑信息既可以由申請(qǐng)者提 供,也可以由可信第三方提供��。優(yōu)選地�����,生物模版包括標(biāo)識(shí)申請(qǐng)人身份的生物信息���,這些生物信息優(yōu)選包括DNA信息�����、指紋信息���、虹膜信息、臉型 信息�����、脈絡(luò)信息中的任一個(gè)或者其中至少一個(gè)的組合�����。顯然��,上述對(duì)生物信 息的說(shuō)明僅為示范性的���,生物信息還可能有其它形式����,本發(fā)明對(duì)此并無(wú)限定����。在本發(fā)明中,生物模版的路徑信息可以有多種形式��,比如為保存生物模 版的文件夾名稱�、生物模版的URL等,優(yōu)選為生物模版的URL��。當(dāng)生物模版或生物模版的路徑信息由申請(qǐng)人提供時(shí)�, 一般優(yōu)選由申請(qǐng)人 在向注冊(cè)生物權(quán)威101注冊(cè)時(shí)提供生物模版或生物模版的路徑信息。此時(shí)�����, 注冊(cè)生物權(quán)威101獲取申請(qǐng)者生物模版或生物模版的路徑信息后,將所述申 請(qǐng)者生物模版或生物模版的路徑信息發(fā)送到生物證書(shū)權(quán)威102�,然后生物證 書(shū)權(quán)威102再根據(jù)由注冊(cè)生物權(quán)威101所發(fā)送來(lái)的申請(qǐng)者生物模版或生物模 版的路徑信息及申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)。當(dāng)申請(qǐng)者的生物模版或生物模版的路徑信息保存在可信第三方時(shí)�,生物 證書(shū)權(quán)威102可以通過(guò)安全通道從可信第三方獲取申請(qǐng)者生物模版或生物 模版的路徑信息,然后再根據(jù)所述申請(qǐng)者生物模版或生物模版的路徑信息及 申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)�。當(dāng)申請(qǐng)人的數(shù)目較多,或者申請(qǐng)人所處的地域比較廣泛時(shí)���,可以將注冊(cè) 生物權(quán)威101在邏輯上分成至少一個(gè)本地注冊(cè)生物權(quán)威(LRBA���, Local Register Biometric Authority ),每一個(gè)本i也注冊(cè)生物4又威���,用于7于本i也的申 請(qǐng)者進(jìn)行注冊(cè)����,獲取本地申請(qǐng)者注冊(cè)信息���,并將所述本地申請(qǐng)者注冊(cè)信息發(fā) 送到生物證書(shū)權(quán)威����。對(duì)應(yīng)地,當(dāng)申請(qǐng)人的數(shù)目較多���,或者申請(qǐng)人所處的地域 比較廣泛時(shí),生物證書(shū)權(quán)威102也可以在邏輯上包括至少一個(gè)子生物證書(shū)權(quán) 威(SBCA��, Subset Biometric Certificate Authority )����,用于根據(jù)所述本地申 請(qǐng)者的生物模版或生物模版的路徑信息及該本地申請(qǐng)者注冊(cè)信息來(lái)生成生 物證書(shū)。顯然��,注冊(cè)生物權(quán)威101和生物證書(shū)權(quán)威102可以是具有多層的分層結(jié)構(gòu)���,本發(fā)明對(duì)層數(shù)也并無(wú)限定����,層數(shù)的多少可以取決于實(shí)際應(yīng)用中的需要�����。圖2為根據(jù)本發(fā)明第一實(shí)施例的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意 圖����。在該實(shí)施例中�����,生物證書(shū)權(quán)威(BCA) —般擁有證書(shū)權(quán)威(CA)頒發(fā) 的X.509公鑰證書(shū)�,以用于BCA對(duì)頒發(fā)的生物證書(shū)進(jìn)行簽名�,同時(shí)也為不 同的BCA頒發(fā)的生物證書(shū)進(jìn)行交叉認(rèn)證做準(zhǔn)備。BCA下分為若干個(gè)子生物證書(shū)權(quán)威(SBCA)�,各個(gè)SBCA也擁有X.509 證書(shū),每個(gè)SBCA擁有的X.509證書(shū)中都有BCA的數(shù)字簽名����。SBCA的主 要功能是接受注冊(cè)生物權(quán)威(RBA )傳來(lái)的生物模版或生物模版的路徑信息 和申請(qǐng)者信息,簽發(fā)生成申請(qǐng)者生物證書(shū)�����,并將申請(qǐng)者生物證書(shū)傳給RBA�。 每個(gè)SBCA下設(shè)有若干個(gè)注冊(cè)生物權(quán)威(RBA)。 RBA功能主要包括 審核申請(qǐng)者身份���;注冊(cè)用戶基本信息��;收集申請(qǐng)者的生物模版或生物模版的 路徑信息��;把申請(qǐng)者生物模版或生物模版的路徑信息傳給SBCA或BCA; 接收從SBCA或BCA傳來(lái)的申請(qǐng)者生物證書(shū)����;把申請(qǐng)者生物證書(shū)寫(xiě)入智能卡(其它存儲(chǔ)介質(zhì))。每個(gè)RCA下設(shè)有若干個(gè)本地注冊(cè)生物權(quán)威(LRBA) �����, LRBA功能主要包括審核申請(qǐng)者身份��;注冊(cè)用戶基本信息���;收集申請(qǐng)者的生物模版或生物 模版的路徑信息;將申請(qǐng)者生物模版或生物模版的路徑信息傳給RCA;接 收從RBA傳來(lái)的申請(qǐng)者生物證書(shū)���;把申請(qǐng)者生物證書(shū)寫(xiě)入智能卡(其它存 儲(chǔ)介質(zhì))��。在這里����,BCA與SBCA之間����、BCA與RBA之間、SBCA與RBA之間、 RBA與LRBA之間的網(wǎng)絡(luò)通信優(yōu)選均為安全狀態(tài)下進(jìn)行����。圖3為根據(jù)本發(fā)明第二實(shí)施例的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意 圖。在該實(shí)施例中��,由可信第三方保存生物模版或生物模版的路徑信息�。在 生物證書(shū)簽發(fā)前,申請(qǐng)者先注冊(cè)申請(qǐng)信息�。當(dāng)申請(qǐng)者的生物模版或生物模版 的路徑信息由可信第三方,如生物權(quán)威(BA)保存時(shí)��,當(dāng)申請(qǐng)者申請(qǐng)生物 證書(shū)時(shí)����,BCA從BA處調(diào)取申請(qǐng)者的生物模版或生物模版的路徑信息,然后 BCA生成并簽發(fā)生物證書(shū)��。
圖4為根據(jù)本發(fā)明第三實(shí)施例的生物證書(shū)生成系統(tǒng)的示范性結(jié)構(gòu)示意 圖�����。在該實(shí)施例中���,在生物證書(shū)簽發(fā)前��,申請(qǐng)者要先注冊(cè)申請(qǐng)信息��;生成生 物模版或生物模版的路徑信息�����,由申請(qǐng)者自己保存生物模版或生物模版的路 徑信息����;當(dāng)申請(qǐng)者申請(qǐng)生物證書(shū)時(shí),申請(qǐng)者提交生物模版或生物模版的路徑 信息給BCA���,然后BCA生成并簽發(fā)生物證書(shū)。同時(shí)�����,本發(fā)明還提出了一種生物證書(shū)生成方法����,該方法包括接受申請(qǐng)者的注冊(cè),并確認(rèn)申請(qǐng)者的身份���,獲取申請(qǐng)者注冊(cè)信息����,并根 據(jù)申請(qǐng)者生物模版和申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)。以上過(guò)程中�����,該方法進(jìn)一步包括根據(jù)與證書(shū)權(quán)威所頒發(fā)的公鑰證書(shū)相對(duì)應(yīng)的私鑰����,對(duì)生成的生物證書(shū)進(jìn) 行簽名。其中�,申請(qǐng)者生物模版或生物模版的路徑信息可以由申請(qǐng)者保存, 或者由可信第三方保存��。下面結(jié)合圖3和圖4所示系統(tǒng)結(jié)構(gòu)��,分別對(duì)本發(fā)明的流程進(jìn)行示范性詳 細(xì)說(shuō)明�。圖5為根據(jù)本發(fā)明第二實(shí)施例的生物證書(shū)生成方法的示范性流程圖,如 圖5所示�����,該方法包括步驟501:申請(qǐng)者到LRBA登記身份基本信息���,同時(shí)LRBA對(duì)申請(qǐng)者進(jìn) 行審核�����,審核通過(guò)后LRBA注冊(cè)申請(qǐng)者����,并錄入必要的申請(qǐng)者注冊(cè)信息,根 據(jù)管理策略�����,保存到自身的臨時(shí)數(shù)據(jù)庫(kù)中或直接發(fā)給RBA;步驟502: LRBA根據(jù)管理策略���,把注冊(cè)的申請(qǐng)者注冊(cè)信息從臨時(shí)數(shù)據(jù) 庫(kù)中調(diào)出��,發(fā)送給RBA;步驟503: RBA接收注冊(cè)的申請(qǐng)者注冊(cè)信息,并存放到其自身的臨時(shí)數(shù) 據(jù)庫(kù)中����,進(jìn)行決定性審核,根據(jù)管理策略����,將注冊(cè)的申請(qǐng)者注冊(cè)信息從臨時(shí) 數(shù)據(jù)庫(kù)中調(diào)出,發(fā)送給SBCA或BCA;步驟504: SBCA或BCA接收注冊(cè)的申請(qǐng)者注冊(cè)信息���,并存放到自身的 臨時(shí)數(shù)據(jù)庫(kù)中�,根據(jù)管理策略,將注冊(cè)的申請(qǐng)者注冊(cè)信息從臨時(shí)數(shù)據(jù)庫(kù)中調(diào) 出����,根據(jù)申請(qǐng)者信息通過(guò)安全通道向BA請(qǐng)求申請(qǐng)者的生物模版或生物模版 的路徑信息;步驟505: BA查詢申請(qǐng)者的生物模版或生物模版的路徑信息�����,并傳給SBCA或BCA�, SBCA或BCA接收申請(qǐng)者的生物模版或生物模版的路徑信 臺(tái) 步驟506: SBCA或BCA根據(jù)申請(qǐng)者的生物模版或生物模版的路徑信息 和申請(qǐng)者注冊(cè)信息生成生物證書(shū),并用自己的私鑰簽名生物證書(shū)����,根據(jù)管理 策略,將生成的生物證書(shū)暫時(shí)存儲(chǔ)在自身的數(shù)據(jù)庫(kù)中�;步驟507:根據(jù)管理策略,SBCA或BCA申請(qǐng)者的生物證書(shū)從臨時(shí)數(shù)據(jù) 庫(kù)中調(diào)出��,傳給RBA;步驟508: RBA接收申請(qǐng)者的生物證書(shū)�����,存儲(chǔ)到臨時(shí)數(shù)據(jù)庫(kù)中�;步驟509: RBA把申請(qǐng)者的生物證書(shū)從數(shù)據(jù)庫(kù)中調(diào)出����,并寫(xiě)入申請(qǐng)者的 智能卡(或移動(dòng)硬盤���、固定硬盤�����、閃存等其它存儲(chǔ)介質(zhì))中�;或者RBA將 生物證書(shū)放到服務(wù)器中��,申請(qǐng)者通過(guò)安全通道下栽生物證書(shū)到自己的存儲(chǔ)設(shè)備中���。圖6為根據(jù)本發(fā)明第三實(shí)施例的生物證書(shū)生成方法的示范性流程圖����,如 圖6所示��,該方法包括步驟601:申請(qǐng)者到LRBA登記身份基本信息����,同時(shí)LRBA對(duì)申請(qǐng)者進(jìn) 行審核����,審核通過(guò)后LRBA注冊(cè)申請(qǐng)者�,錄入必要的申請(qǐng)者注冊(cè)信息�,同時(shí) 要求讀取申請(qǐng)者的生物模版或生物模版的路徑信息;步驟602:根據(jù)管理策略��,LRBA將申請(qǐng)者注冊(cè)信息及生物模版或生物 模版的路徑信息一同保存到自身的臨時(shí)數(shù)據(jù)庫(kù)中或直接發(fā)給RBA;步驟603: RBA接收申請(qǐng)者注冊(cè)信息和生物模版或生物模版的路徑信 息�����,并存放到RBA自身的臨時(shí)數(shù)據(jù)庫(kù)中�����,進(jìn)行決定性審核����,根據(jù)管理策略, 把申請(qǐng)者注冊(cè)信息和生物模版或生物模版的路徑信息從臨時(shí)數(shù)據(jù)庫(kù)中調(diào)出���, 發(fā)送給SBCA或BCA;步驟604: SBCA或BCA接收申請(qǐng)者注冊(cè)信息和生物模版或生物模版的 路徑信息�,并存放到臨時(shí)數(shù)據(jù)庫(kù)中�;
步驟605:根據(jù)管理策略,將申請(qǐng)者注冊(cè)信息和生物模版或生物模版的 路徑信息從臨時(shí)數(shù)據(jù)庫(kù)中調(diào)出,SBCA或BCA根據(jù)申請(qǐng)者注冊(cè)信息和生物 模版或生物模版的路徑信息生成生物證書(shū)�,并用自己的私鑰簽名生物證書(shū), 根據(jù)管理策略�����,再將生成的生物證書(shū)暫時(shí)存儲(chǔ)在自身數(shù)據(jù)庫(kù)中�;步驟606:根據(jù)管理策略,SBCA或BCA將申請(qǐng)者的生物證書(shū)從臨時(shí)數(shù) 據(jù)庫(kù)中調(diào)出�,傳主合RBA;步驟607: RBA接收申請(qǐng)者的生物證書(shū),并存儲(chǔ)到臨時(shí)數(shù)據(jù)庫(kù)中����;步驟608: RBA把申請(qǐng)者的生物證書(shū)從數(shù)據(jù)庫(kù)中調(diào)出,并寫(xiě)入申請(qǐng)者的 智能卡(或移動(dòng)硬盤����、固定硬盤、閃存等其它存儲(chǔ)介質(zhì))中���;或者RBA4巴 生物證書(shū)放到服務(wù)器中���,申請(qǐng)者通過(guò)安全通道下載到自己的存儲(chǔ)設(shè)備中。同樣的���,在本發(fā)明中�,生物模版的路徑信息可以有多種形式����,比如為4呆 存生物模版的文件夾名稱、生物模版的UR路燈�,優(yōu)選為生物模版的URL��。在本發(fā)明中���,生物證書(shū)優(yōu)選可以包括版本號(hào)(version )�����、持有者(holder )���、 簽發(fā)者(issuer)����、簽名(signature)���、序列號(hào)(serialNumber)���、有效期 (bioCertValidityPeriod )�����、生物模版(biometricTemplate )或生物模版的路 徑信息���、簽發(fā)者ID號(hào)(issuerUniqueID)、擴(kuò)展項(xiàng)(extensions)等字段���。比如���,下列結(jié)構(gòu)為本發(fā)明的生物證書(shū)的示范性結(jié)構(gòu)圖BiometricCertificate ::= SIGNED {BiometricCertificatelnfo}BiometricCertificatelnfo ::= SEQUENCE{version BioCertVersion, —version is vl.holder Holder,issuer BioCertIssuer,signature Algorithmldentifier�����,serialNumber CertificateSerialNumber�����, bioCertValidityPeriod BioCertValidityPeriod, biometricTemplate BiometricTemplate, —ThebiometricTemplate attribute is added to attribute certificate issuerUniqueID Uniqueldentifier OPTIONAL,extensions Extensions OPTIONAL生物證書(shū)的以上結(jié)構(gòu)僅是示范性的�����,并不用于限制本發(fā)明的保護(hù)范圍。 本領(lǐng)域技術(shù)人員可以意識(shí)到�����,在本發(fā)明的原則之內(nèi)���,生物證書(shū)的結(jié)構(gòu)可能會(huì) 有各種變化,但是這種變化并不脫離本發(fā)明的保護(hù)范圍����。以上所述,僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù) 范圍����。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�����、等同替換、改進(jìn)等�, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1����、一種生物證書(shū)生成系統(tǒng),其特征在于�����,該系統(tǒng)包括注冊(cè)生物權(quán)威�����,用于接受申請(qǐng)者的注冊(cè)���,并確認(rèn)申請(qǐng)者的身份����,獲取申請(qǐng)者注冊(cè)信息�����,并將所述申請(qǐng)者注冊(cè)信息發(fā)送到生物證書(shū)權(quán)威��;生物證書(shū)權(quán)威,用于根據(jù)申請(qǐng)者生物模版或獲取生物模版的路徑信息及所述申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)����。
2、 根據(jù)權(quán)利要求1所述的生物證書(shū)生成系統(tǒng)�,其特征在于,該系統(tǒng)進(jìn)一步 包括證書(shū)權(quán)威�����,用于向生物證書(shū)權(quán)威頒發(fā)公鑰證書(shū)��;生物證書(shū)權(quán)威����,用于根據(jù)該公鑰證書(shū)所對(duì)應(yīng)的私鑰�����,對(duì)生成的生物證書(shū)進(jìn) 行簽名���。
3��、 根據(jù)權(quán)利要求2所述的生物證書(shū)生成系統(tǒng)�����,其特征在于�����,所述公鑰證書(shū) 為X.509公鑰證書(shū)��。
4�����、 根據(jù)權(quán)利要求1所述的生物證書(shū)生成系統(tǒng)�,其特征在于,所述注冊(cè)生物 權(quán)威進(jìn)一步用于獲取申請(qǐng)者生物模版或生物模版的路徑信息�����,并將所述申請(qǐng)者 生物模版或生物模版的路徑信息發(fā)送到生物證書(shū)權(quán)威��;所述生物證書(shū)權(quán)威�����,用于根據(jù)由注冊(cè)生物權(quán)威所發(fā)送來(lái)的申請(qǐng)者生物模版 或生物模版的路徑信息及申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)���。
5��、 根據(jù)權(quán)利要求1所述的生物證書(shū)生成系統(tǒng)��,其特征在于����,該系統(tǒng)進(jìn)一步 包括保存有申請(qǐng)者生物模版或生物模版的路徑信息的可信第三方,所述生物證書(shū)權(quán)威����,用于從所述可信第三方獲取申請(qǐng)者生物模版或生物模 版的路徑信息��,并根據(jù)所獲取的申請(qǐng)者生物模版或生物模版的路徑信息及申請(qǐng) 者注冊(cè)信息來(lái)生成生物證書(shū)���。
6�、 根據(jù)權(quán)利要求5所述的生物證書(shū)生成系統(tǒng)�,其特征在于,所述可信第三 方為生物4又威�����。
7�、 根據(jù)權(quán)利要求2所述的生物證書(shū)生成系統(tǒng)���,其特征在于,所述生物證書(shū) 權(quán)威進(jìn)一步用于將簽名后的生物證書(shū)發(fā)送到注冊(cè)生物權(quán)威����; 所述注冊(cè)生物權(quán)威,進(jìn)一步用于將所述生物證書(shū)存儲(chǔ)入存儲(chǔ)介質(zhì)中����。
8、 根據(jù)權(quán)利要求7所述的生物證書(shū)生成系統(tǒng)�,其特征在于,所述的存儲(chǔ)介 質(zhì)為智能卡����、移動(dòng)硬盤、固定硬盤或閃存����。
9、 根據(jù)權(quán)利要求1所述的生物證書(shū)生成系統(tǒng)�����,其特征在于,所述注冊(cè)生物 權(quán)威包括至少 一個(gè)本地注冊(cè)生物權(quán)威�����;所述本地注冊(cè)生物權(quán)威��,用于對(duì)本地的申請(qǐng)者進(jìn)行注冊(cè)����,獲取本地申請(qǐng)者 注冊(cè)信息,并將所述本地申請(qǐng)者注冊(cè)信息發(fā)送到生物證書(shū)權(quán)威����。
10、 根據(jù)權(quán)利要求9所述的生物證書(shū)生成系統(tǒng)�����,其特征在于���,所述生物證 書(shū)權(quán)威包括至少一個(gè)子生物證書(shū)權(quán)威,用于根據(jù)所述本地申請(qǐng)者的生物模版或 生物模版的路徑信息及該本地申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)�����。
11、 根據(jù)權(quán)利要求1-10中任一項(xiàng)所述的生物證書(shū)生成系統(tǒng)�,其特征在于, 所述生物模版的路徑信息為生物模版的統(tǒng)一資源定位符URL�����。
12�����、 一種生物證書(shū)生成方法�����,其特征在于����,該方法包括 接受申請(qǐng)者的注冊(cè),并確認(rèn)申請(qǐng)者的身份�,獲取申請(qǐng)者注冊(cè)信息,并根據(jù)申請(qǐng)者生物模版或生物模版的路徑信息及申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)����。
13、 根據(jù)權(quán)利要求12所述的生物證書(shū)生成方法�����,其特征在于,該方法進(jìn)一 步包括根據(jù)與證書(shū)權(quán)威所頒發(fā)的公鑰證書(shū)相對(duì)應(yīng)的私鑰�,對(duì)生成的生物證書(shū)進(jìn)行 簽名。
14����、 根據(jù)權(quán)利要求D所述的生物證書(shū)生成方法,其特征在于���,所述公鑰證 書(shū)為X.509公鑰證書(shū)���。
15、 根據(jù)權(quán)利要求13所述的生物證書(shū)生成方法�,其特征在于,所述申請(qǐng)者 生物模版或生物模版的路徑信息由申請(qǐng)者所保存����,或所述申請(qǐng)者生物模版或生物模版的路徑信息由可信第三方保存。
16���、 根據(jù)權(quán)利要求12-15中任一項(xiàng)所述的生物證書(shū)生成方法,其特征在于���, 該方法進(jìn)一步包括進(jìn)一步將所述生物證書(shū)存儲(chǔ)入存儲(chǔ)介質(zhì)中��。
17���、 根據(jù)權(quán)利要求12-15中任一項(xiàng)所述的生物證書(shū)生成方法����,其特征在于���, 所述生物模版包括脫氧核糖核酸DNA信息���、指紋信息、虹膜信息��、臉型信息���、 脈絡(luò)信息中的任一個(gè)或者其中至少一個(gè)的組合����。
18�、 根據(jù)權(quán)利要求12-15中任一項(xiàng)所述的生物證書(shū)生成方法,其特征在于����, 所述生物模版的路徑信息為生物模版的URL����。
全文摘要
本發(fā)明公開(kāi)了一種生物證書(shū)生成系統(tǒng)���,該系統(tǒng)包括注冊(cè)生物權(quán)威��,用于接受申請(qǐng)者的注冊(cè)���,并確認(rèn)申請(qǐng)者的身份,獲取申請(qǐng)者注冊(cè)信息��,并將所述申請(qǐng)者注冊(cè)信息發(fā)送到生物證書(shū)權(quán)威�;生物證書(shū)權(quán)威,用于根據(jù)申請(qǐng)者生物模版或生物模版的路徑信息及申請(qǐng)者注冊(cè)信息來(lái)生成生物證書(shū)�。相應(yīng)地,本發(fā)明還提出了一種生物證書(shū)生成方法���。應(yīng)用本發(fā)明以后����,有效地解決了生物證書(shū)的生成問(wèn)題�,提高了個(gè)人身份認(rèn)證的安全性�����。本發(fā)明在各種生物證書(shū)權(quán)威拓?fù)淠P拖露寄軌驅(qū)崿F(xiàn)生物證書(shū)的生成。另外��,對(duì)于申請(qǐng)者擁有生物模版或生物模版的路徑信息�,以及生物模版或生物模版的路徑信息被存放在可信第三方這兩種情況下,本發(fā)明同樣能夠生成生物證書(shū)���。
文檔編號(hào)H04L9/32GK101127063SQ20061010959
公開(kāi)日2008年2月20日 申請(qǐng)日期2006年8月14日 優(yōu)先權(quán)日2006年8月14日
發(fā)明者位繼偉, 劉宏偉, 劉淑玲 申請(qǐng)人:華為技術(shù)有限公司