專利名稱:一種身份和權(quán)限認(rèn)證方法及系統(tǒng)以及一種生物處理單元的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)安全技術(shù)領(lǐng)域,尤其涉及一種身份和權(quán)限認(rèn)證方法及系統(tǒng) 及一種生物處理單元。
背景技術(shù):
隨著網(wǎng)絡(luò)快速發(fā)展,電子商務(wù)得到了大量的應(yīng)用,網(wǎng)上銀行,交易等也愈 發(fā)普遍。以傳統(tǒng)密碼方式保護(hù)個(gè)人賬戶信息顯然已經(jīng)不足以保證數(shù)據(jù)的安全 性,近年來網(wǎng)絡(luò)欺詐,賬戶盜用的現(xiàn)象日益增多。因此,發(fā)展更高安全層次的 個(gè)人信息保障,認(rèn)證機(jī)制勢在必行。
公鑰基礎(chǔ)設(shè)施(PKI, Pubic Key Infrastructure )公鑰認(rèn)證體系目前已經(jīng)得 到的一定程度的應(yīng)用。權(quán)威機(jī)構(gòu)發(fā)放公鑰證書給終端的用戶,證書可以公開, 在證書中存放了用戶的公鑰,以及其他信息。與公鑰相對應(yīng)的私鑰由用戶自己 保管,公鑰與私鑰為唯一確定關(guān)系,從公鑰不能夠推斷出私鑰,公鑰加密的信 息可以通過私鑰唯一解密。PKI的這種特性,能夠保證驗(yàn)證者根據(jù)用戶是否能 夠提供私鑰確認(rèn)用戶是否為公鑰證書上聲明的實(shí)體,進(jìn)而保證了用戶信息不會 被非法竊取。
PKI的機(jī)制中,保護(hù)用戶私鑰是關(guān)鍵,私鑰一般是以電子信息的方式存放 在某些硬件上面。如果私鑰丟失,也就意味著用戶的個(gè)人信息失去了保障。
近年來生物特征識別技術(shù)逐漸成熟,以及網(wǎng)絡(luò)身份認(rèn)證的特殊環(huán)境,把生 物特征識別技術(shù)應(yīng)用在身份認(rèn)證上,利用生物特征的唯一性、穩(wěn)定性等特點(diǎn), 為信息安全提供了保障。
利用個(gè)人生物信息進(jìn)行身份認(rèn)證是一種保護(hù)資源的有效方法。考慮生物信 息本身的特殊性,以及網(wǎng)絡(luò)身份認(rèn)證的特殊環(huán)境,所以可以將生物信息與PKI 相結(jié)合形成一種更為安全的認(rèn)證架構(gòu)。
PKI系統(tǒng)是一種認(rèn)證個(gè)人身份的方法,而生物特征是證明個(gè)人身份的根本 方法,將二者結(jié)合起來進(jìn)行身份認(rèn)證可以發(fā)揮各自的優(yōu)點(diǎn),彌補(bǔ)對方的缺點(diǎn)。 以在客戶端進(jìn)行比對匹配認(rèn)證為例,具體流程如圖1所示。身份認(rèn)證方通過將 采集到的用戶生物特征數(shù)據(jù)樣本和用戶提供的生物證書中的生物特征數(shù)據(jù)模 板進(jìn)行匹配比對以確定其身份的合法性。針對不同用戶的不同要求,服務(wù)提供方可以給不同的用戶授予不同的權(quán)利,即通過授權(quán)管理基礎(chǔ)設(shè)施(PMI, Privilege Managementlnfrastructure)實(shí)現(xiàn)。PMI是屬性證書、屬性權(quán)威、屬性證書庫等部件的集合體,用來實(shí)現(xiàn)權(quán)限 和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。屬性證書(AC, Attribute Certificate)定義了 一個(gè)實(shí)體擁有的權(quán)限,實(shí)體 與權(quán)限的綁定是由一個(gè)被數(shù)字簽名了的數(shù)據(jù)結(jié)構(gòu)來提供的,這種數(shù)據(jù)結(jié)構(gòu)稱為 屬性證書,由屬性權(quán)威簽發(fā)并管理,它包括一個(gè)展開機(jī)制和一系列特別的證書 擴(kuò)展機(jī)制,具體格式如圖2所示。身份認(rèn)證與權(quán)限認(rèn)證對數(shù)據(jù)安全都有很重要的作用,現(xiàn)有技術(shù)中一種身份 和權(quán)限認(rèn)證方法為身份認(rèn)證和權(quán)限認(rèn)證分離處理,即當(dāng)進(jìn)行權(quán)限認(rèn)證時(shí),用戶提交授權(quán)申請;服務(wù)器根據(jù)預(yù)置的認(rèn)證規(guī)則對用 戶進(jìn)行認(rèn)證,若通過則授予其相應(yīng)的權(quán)限。當(dāng)進(jìn)行身份認(rèn)證時(shí),與權(quán)限認(rèn)證過程類似,服務(wù)器都是通過預(yù)置的認(rèn)證規(guī) 則進(jìn)行認(rèn)證,兩種認(rèn)證獨(dú)立執(zhí)行。證過程的精確性。現(xiàn)有技術(shù)中另 一種身份和權(quán)限認(rèn)證方法為先對用戶進(jìn)行身份認(rèn)證,當(dāng)用 戶身份認(rèn)證通過后再對用戶進(jìn)行權(quán)限認(rèn)證。該技術(shù)方案提高了整個(gè)認(rèn)證流程的嚴(yán)格程度,進(jìn)而提高了精確性。但是, 該方案只能根據(jù)預(yù)置的規(guī)則進(jìn)行認(rèn)證,而不能在認(rèn)證過程中根據(jù)實(shí)際情況調(diào)整 認(rèn)證規(guī)則,不能實(shí)現(xiàn)動(dòng)態(tài)認(rèn)證,所以降低了身份和權(quán)限認(rèn)證的靈活性。
發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是提供一種身份和權(quán)限認(rèn)證方法及系統(tǒng)以及一 種生物處理單元,用于根據(jù)實(shí)際情況調(diào)整認(rèn)證規(guī)則,提高認(rèn)證過程的靈活性。本發(fā)明提供的身份和權(quán)限認(rèn)證方法,包括對權(quán)限認(rèn)證與身份認(rèn)證進(jìn)行關(guān) 聯(lián);獲取權(quán)限安全級別;按照權(quán)限安全級別與身份安全級別的對應(yīng)關(guān)系,查詢 所述權(quán)限安全級別對應(yīng)的身份安全級別;根據(jù)所述身份安全級別確定認(rèn)證參 數(shù);利用所述認(rèn)證參數(shù)對用戶生物模版進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果??蛇x地,對權(quán)限認(rèn)證與身份認(rèn)證進(jìn)行關(guān)聯(lián)的步驟包括建立權(quán)限安全級別 與身份安全級別的對應(yīng)關(guān)系??蛇x地,所述權(quán)限安全級別存儲于屬性證書中;所述對應(yīng)關(guān)系存儲于生物 算法證書中。可選地,在對權(quán)限認(rèn)證與身份認(rèn)證進(jìn)行關(guān)聯(lián)之前進(jìn)一步包括用戶向應(yīng)用 系統(tǒng)發(fā)送訪問請求;應(yīng)用程序接收所述請求之后,激活身份認(rèn)證轉(zhuǎn)接單元;身 份認(rèn)證轉(zhuǎn)接單元向用戶請求用戶的生物證書和屬性證書;用戶向身份認(rèn)證轉(zhuǎn)接 單元返回生物證書和屬性證書??蛇x地,所述認(rèn)證參數(shù)包括對比生物模版生成算法參數(shù),匹配算法參數(shù) 以及門限值??蛇x地,所述利用認(rèn)證參數(shù)對用戶生物信息進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果的步 驟包括根據(jù)對比生物模版生成算法參數(shù)生成對比生物模版;根據(jù)匹配算法參 數(shù)將所述對比生物模版與用戶生物模版進(jìn)行匹配并得到匹配評分;判斷所述匹 配評分是否大于等于門限值,若大于等于,則判斷用戶通過認(rèn)證,若小于,則 判斷用戶未通過認(rèn)證??蛇x地,利用認(rèn)證參數(shù)對用戶生物信息進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果之后進(jìn)一 步包括將校驗(yàn)結(jié)果反饋給用戶。本發(fā)明提供的身份和權(quán)限認(rèn)證系統(tǒng),包括解析單元,生物處理單元以及校 驗(yàn)單元;所述解析單元用于獲取權(quán)限安全級別,并將所述權(quán)限安全級別發(fā)送給 生物處理單元;全級別的對應(yīng)關(guān)系中查詢對應(yīng)的身份安全級別,根據(jù)所述身份安全級別確定認(rèn)證參數(shù),并將所述認(rèn)證參數(shù)發(fā)送給校驗(yàn)單元;校驗(yàn)單元利用接收到的認(rèn)證參數(shù) 對用戶生物模版進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果??蛇x地,所述系統(tǒng)還包括身份認(rèn)證轉(zhuǎn)接單元,生物信息采集單元以及應(yīng) 用系統(tǒng);用戶向所述應(yīng)用系統(tǒng)發(fā)送訪問請求,應(yīng)用系統(tǒng)在接收到所述請求后激 活身份認(rèn)證轉(zhuǎn)接單元;所述身份認(rèn)證轉(zhuǎn)接單元被激活后向用戶請求屬性證書以 及生物證書;所述生物采集單元用于采集用戶生物數(shù)據(jù)并發(fā)送給生物處理單元。本發(fā)明提供的生物處理單元,包括關(guān)聯(lián)單元,參數(shù)生成單元,對比模版 生成單元以及生物證書解析單元;所述關(guān)聯(lián)單元用于獲取權(quán)限安全級別和身份 安全級別的對應(yīng)關(guān)系,根據(jù)權(quán)限安全級別查詢對應(yīng)的身份安全級別并將所述身 份安全級別發(fā)送給參數(shù)生成單元;所述參數(shù)生成單元根據(jù)接收到的身份安全級 別生成對應(yīng)認(rèn)證參數(shù),并將所述參數(shù)發(fā)送給對比模版生成單元;所述對比模版 生成單元根據(jù)所述參數(shù)生成對比生物模版;所述生物證書解析單元從獲取的用 戶生物證書中提取用戶生物模版。以上技術(shù)方案可以看出,本發(fā)明具有以下優(yōu)點(diǎn)首先,本發(fā)明中,身份認(rèn)證與權(quán)限認(rèn)證相結(jié)合,根據(jù)用戶要求的權(quán)限安全 級別查詢對應(yīng)的身份安全級別對用戶的身份進(jìn)行相應(yīng)的認(rèn)證,所以可以在認(rèn)證 過程中根據(jù)實(shí)際情況調(diào)整身份認(rèn)證的規(guī)則,提高了認(rèn)證流程的靈活性;其次,本發(fā)明中,生成對比模版后和用戶的生物模版按照對應(yīng)的匹配算法 進(jìn)行匹配得到匹配評分,再與對應(yīng)的門限值進(jìn)行比較判斷是否通過認(rèn)證,匹配 算法與門限值都根據(jù)實(shí)際情況得到,所以提高了認(rèn)證過程的精確性。
圖1為利用生物;漠版進(jìn)行身份認(rèn)證的流程示意圖; 圖2為屬性證書示意圖3為屬性證書中生物擴(kuò)展信息示意圖; 閨4為本發(fā)明方法總體流程圖; 圖5為本發(fā)明方法詳細(xì)流程圖; 圖6為本發(fā)明系統(tǒng)示意圖; 圖7為本發(fā)明系統(tǒng)功能模型圖; 圖8為本發(fā)明生物處理單元示意圖; 圖9為本發(fā)明生物處理單元功能模型圖。
具體實(shí)施方式
本發(fā)明提供了一種身份和權(quán)限認(rèn)證方法及系統(tǒng)以及一種生物處理單元,用 于根據(jù)實(shí)際情況調(diào)整認(rèn)證規(guī)則,提高認(rèn)證過程的靈活性。為了結(jié)合生物認(rèn)證,需要對PMI系統(tǒng)進(jìn)行一定的補(bǔ)充。為了使系統(tǒng)影響 最小,我們將增加屬性證書中的擴(kuò)展項(xiàng)。屬性證書的擴(kuò)展信息主要是聲明和證書應(yīng)用相關(guān)的一些策略信息。屬性證 書擴(kuò)展信息包括基本擴(kuò)展信息、權(quán)限撤銷擴(kuò)展信息、根屬性權(quán)威擴(kuò)展信息、角 色擴(kuò)展信息和授權(quán)擴(kuò)展信息等5部分。在使用屬性證書進(jìn)行權(quán)限認(rèn)證時(shí),首先需要對用戶身份進(jìn)行認(rèn)證,考慮將 屬性證書和生物證書關(guān)聯(lián)起來,以確保權(quán)限認(rèn)證和個(gè)人身份的準(zhǔn)確對應(yīng)關(guān)系。 因此,我們在屬性證書的生物擴(kuò)展里面加入了有關(guān)生物證書的索引信息,如圖 3所示。請參閱圖3,其中,生物證書發(fā)行者和生物序列號標(biāo)識了與該屬性證書 持有者的生物證書,即對屬性證書持有者進(jìn)行身份認(rèn)證所需的生物證書。在對 持有者進(jìn)行身份認(rèn)證時(shí),將采集的持有者的生物特征數(shù)據(jù)與該生物證書中的模 板信息比對,以對其進(jìn)行身份認(rèn)證。生物證書發(fā)行者和生物序列號是可選擇項(xiàng)。實(shí)體名稱標(biāo)識了一個(gè)或者多個(gè)屬性證書持有者的名稱,如果在屬性證書 的生物證書標(biāo)識擴(kuò)展中只有該項(xiàng),則任何主體名稱包含在實(shí)體名稱的生物證書
都可以用來驗(yàn)證該屬性證書持有者的身份。即只要生物證書的主體名稱包含在 實(shí)體名稱內(nèi),都可以用來驗(yàn)證持有者的身份。持有者只要使用以上任何一個(gè)生 物證書通過身份認(rèn)證,就認(rèn)為合法。不過,如果生物證書發(fā)行者和生物序列號 項(xiàng)和該項(xiàng)并存時(shí),以生物證書發(fā)行者和生物序列號對應(yīng)的生物證書為準(zhǔn)。
對象摘要信息即屬性證書持有者的生物證書的序列號、有效期、主體及 其唯一標(biāo)識、發(fā)行者及其唯一標(biāo)識、模板格式標(biāo)識、生物特征模板、擴(kuò)展信息 等的摘要。用于直接驗(yàn)證屬性證書持有者身份。對持有者進(jìn)行身份認(rèn)證時(shí),首 先將持有者的生物證書內(nèi)容做摘要,與屬性證書生物擴(kuò)展中的對象摘要信息進(jìn)行比對,如果相同則說明該屬性證書對應(yīng)的生物證書就是持有者提供的生物證 書,然后進(jìn)一步進(jìn)行身份認(rèn)證。
生物擴(kuò)展里面至少包含生物證書發(fā)行者和生物序列號、實(shí)體名稱、對象摘 要信息中的一項(xiàng),以保證屬性證書可以找到其對應(yīng)的生物證書。另 一方面,如果屬性證書持有者提供的PKI公鑰證書中包含了生物模板進(jìn) 行身份認(rèn)證,則屬性證書與生物模板的對應(yīng)關(guān)系可以直接通過屬性證書索引該 PKI證書實(shí)現(xiàn),這個(gè)索引不是通過擴(kuò)展索引來實(shí)現(xiàn)的,而是屬性證書中持有者 的定義直接索引了該P(yáng)KI證書實(shí)現(xiàn)的。請參閱圖4,本發(fā)明方法總體流程為401 、對權(quán)限認(rèn)證與身份認(rèn)證進(jìn)行關(guān)聯(lián);402、 獲取權(quán)限安全級別;403、 查詢對應(yīng)的身份安全級別;其中,按照權(quán)限安全級別與身份安全級別的對應(yīng)關(guān)系,查詢所述權(quán)限安全 級別對應(yīng)的身份安全級別。404、 確定認(rèn)證參數(shù);其中,根據(jù)查詢到的身份安全級別確定認(rèn)證參數(shù)。405、 校驗(yàn);其中,利用確定的認(rèn)證參數(shù)對用戶生物模版進(jìn)行校驗(yàn)。406、生成校驗(yàn)結(jié)果。請參閱閨5,本發(fā)明方法詳細(xì)流程為501、 建立對應(yīng)關(guān)系;其中,建立權(quán)限安全級別與身份安全級別之間的對應(yīng)關(guān)系,并將對應(yīng)關(guān)系 存儲于生物算法證書中,可以理解的是,該對應(yīng)關(guān)系同樣可以存儲在其他位置。其中,本實(shí)施例通過建立權(quán)限安全級別與身份安全級別之間的對應(yīng)關(guān)系來 實(shí)現(xiàn)對權(quán)限認(rèn)證與身份認(rèn)證的關(guān)聯(lián),可以理解的是,同樣可以通過其他的方式 實(shí)現(xiàn)權(quán)限認(rèn)證與身份認(rèn)證的關(guān)聯(lián)。502、 用戶向應(yīng)用系統(tǒng)發(fā)送訪問請求; 其中,用戶申請?jiān)L問應(yīng)用系統(tǒng)的資源。 503 、激活身份認(rèn)證轉(zhuǎn)接單元;其中,應(yīng)用系統(tǒng)接收到用戶發(fā)送的訪問請求之后,激活身份認(rèn)證轉(zhuǎn)接單元, 要求身份認(rèn)證轉(zhuǎn)接單元向用戶請求生物證書和屬性證書。504、 獲取生物i正書和屬性i正書;其中,身份認(rèn)證轉(zhuǎn)接單元被激活后向用戶發(fā)起生物證書和屬性證書的請 求,用戶將生物證書和屬性證書發(fā)送給身份認(rèn)證轉(zhuǎn)4妄單元。505、 獲取權(quán)限安全級別;其中,解析單元對身份認(rèn)證轉(zhuǎn)接單元發(fā)送的屬性證書進(jìn)行解析,獲得其中 的權(quán)限安全級別。506、 查詢對應(yīng)的身份安全級別;其中,生物處理單元根據(jù)權(quán)限安全級別在已經(jīng)建立的權(quán)限安全級別與身份 安全級別的對應(yīng)關(guān)系中查詢對應(yīng)的身份安全級別。507、 確定認(rèn)證參數(shù);其中,生物處理單元根據(jù)查詢到的身份安全級別確定認(rèn)證參數(shù),包括對比 生物模版生成算法參數(shù),匹配算法參數(shù)以及門限值。 508、 生成對比生物模版;其中,生物處理羊元才艮據(jù)對比生物模版生成算法參數(shù)生成對應(yīng)的對比生物模版。509、 獲取用戶生物模版;其中,生物處理單元從用戶的生物證書中提取用戶生物模版,可以理解的 是,該步驟并沒有固定的執(zhí)行順序,同樣可以在獲得到生物證書的同時(shí)執(zhí)行, 只需要在進(jìn)行匹配之間執(zhí)行即可。510、 匹配對比生物才莫版與用戶生物模版;其中,校驗(yàn)單元將對比生物模版與用戶生物模版進(jìn)行匹配,并得出匹配評 分,本發(fā)明不限定匹配的方式。511、 判斷匹配評分是否大于等于門限值,若是,則轉(zhuǎn)向步驟512,若否, 則轉(zhuǎn)向步驟513;其中,門限值為認(rèn)證參數(shù)中的一個(gè),由身份安全級別對應(yīng)得到。512、 判斷用戶通過認(rèn)證;513、 判斷用戶未通過認(rèn)證;514、 反饋給用戶。其中,將最終認(rèn)證結(jié)果通知用戶。本實(shí)施例中,當(dāng)應(yīng)用系統(tǒng)收到用戶的訪問請求時(shí),首先激活身份認(rèn)證轉(zhuǎn)接 單元,身份認(rèn)證轉(zhuǎn)接單元向用戶請求生物證書和屬性證書;收到后解析單元驗(yàn) 證并解析屬性證書,獲得權(quán)限安全級別和訪問權(quán)限;身份認(rèn)證轉(zhuǎn)接單元激活生 物處理單元,解析位于驗(yàn)證端的生物算法證書,獲得身份安全級別,根據(jù)身份 安全級別確定生物處理參數(shù)和門限值,并生成對比生物模版;生物處理單元解 析用戶生物證書,獲得用戶生物模版,把對比生物模版與用戶生物模版比對, 獲得匹配評分值;校驗(yàn)單元根據(jù)門限值做出最后判定;身份認(rèn)證通過后,身份 認(rèn)證轉(zhuǎn)接單元把權(quán)限返回給應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)把請求的資源處理結(jié)果反給用 戶。
屬性證書中存》丈有用戶權(quán)限和權(quán)限安全級別;用戶生物i正書中存放有用戶生物模版;生物算法證書中存放有權(quán)限安全級別與身份安全級別之間的對應(yīng)關(guān) 系,在對應(yīng)關(guān)系中的對應(yīng)位置有不同的對比生物模版生成算法參數(shù)、匹配算法 參數(shù)和門限值。請參閱圖6,本發(fā)明系統(tǒng)包括應(yīng)用系統(tǒng)601,身份認(rèn)證轉(zhuǎn)接單元602, 解析單元603,生物信息采集單元604,生物處理單元605以及校驗(yàn)單元606。 其中用戶向應(yīng)用系統(tǒng)601發(fā)送訪問請求,應(yīng)用系統(tǒng)601在接收到所述請求后激 活身份認(rèn)證轉(zhuǎn)接單元602;身份認(rèn)證轉(zhuǎn)接單元602被激活后向用戶請求屬性證 書以及生物證書之后發(fā)送給解析單元603以及生物處理單元605;解析單元603 用于從屬性證書中獲取權(quán)限安全級別,并將權(quán)限安全級別發(fā)送給生物處理單元 605;生物處理單元605根據(jù)權(quán)限安全級別在權(quán)限安全級別與身份安全級別的 對應(yīng)關(guān)系中查詢對應(yīng)的身份安全級別,根據(jù)身份安全級別確定認(rèn)證參數(shù),并根 據(jù)生物信息采集單元604發(fā)送的用戶生物信息生成對比生物模版,并將對比生 物模版,用戶生物證書中的用戶生物模版以及認(rèn)證參數(shù)中的匹配算法參數(shù)以及 門限值發(fā)送給校驗(yàn)單元606;校驗(yàn)單元606根據(jù)接收到的數(shù)據(jù)利用對比生物模 版對用戶生物模版進(jìn)行匹配,并將校驗(yàn)結(jié)果發(fā)送給身份認(rèn)證轉(zhuǎn)接單元602。請參閱圖7,本發(fā)明系統(tǒng)功能流程為701 、用戶向應(yīng)用系統(tǒng)請求訪問;702、 應(yīng)用系統(tǒng)激活身份認(rèn)證轉(zhuǎn)接單元;703、 身份認(rèn)證轉(zhuǎn)接單元向用戶請求用戶的生物證書和屬性證書;704、 用戶返回自己的生物_〖正書和屬性-汪書;705、 身份認(rèn)證轉(zhuǎn)接單元激活解析單元;706、 身份認(rèn)證轉(zhuǎn)接單元激活生物處理單元;707、 解析單元驗(yàn)證證書有效性,并解析出權(quán)限和權(quán)限安全級別,同時(shí)把 權(quán)限安全級別傳給生物處理單元;708、 生物處理單元生物處理,然后向用戶請求輸入相應(yīng)的用戶生物信息,
生物信息采集單元捕獲用戶生物信息后,相應(yīng)的軟件模塊將其發(fā)送給生物處理單元;709、 生物處理單元對生物信息進(jìn)行處理生成對比生物模版,并將生物證 書中的生物模版與對比生物模版發(fā)送給校驗(yàn)單元進(jìn)行匹配評分;710、 校驗(yàn)單元根據(jù)門限值進(jìn)行判定,做出接受(Y) /拒絕(N),并把結(jié) 果發(fā)送給身份認(rèn)證轉(zhuǎn)接單元;711、 身份認(rèn)證轉(zhuǎn)接單元獲取從屬性證書中解析出的(訪問)權(quán)限,并將 其傳給應(yīng)用系統(tǒng);712、 應(yīng)用系統(tǒng)根據(jù)(訪問)權(quán)限處理用戶的請求,并把處理結(jié)果發(fā)送給用戶。請參閱圖8,本發(fā)明生物處理單元605包括關(guān)聯(lián)單元801,參數(shù)生成單 元802,對比模版生成單元803以及生物證書解析單元804;關(guān)聯(lián)單元801用 于獲取權(quán)限安全級別和身份安全級別的對應(yīng)關(guān)系,根據(jù)權(quán)限安全級別查詢對應(yīng) 的身份安全級別并將身份安全級別發(fā)送給參數(shù)生成單元802;參數(shù)生成單元 802根據(jù)接收到的身份安全級別生成對應(yīng)認(rèn)證參數(shù),并將認(rèn)證參數(shù)發(fā)送給對比 模版生成單元803;對比模版生成單元803根據(jù)認(rèn)證參數(shù)生成對比生物模版; 生物證書解析單元804從獲取的用戶生物證書中提取用戶生物模版。請參閱圖9,本發(fā)明生物處理單元功能流程為901、獲取權(quán)限安全級別;權(quán)限安全級別對應(yīng)的身份安全級別,并將身份安全級別發(fā)送給參數(shù)生成單元;903、生物證書解析單元解析用戶生物證書,獲得用戶生物模版;卯4、參數(shù)生成單元根據(jù)接收到的身份安全級別,生成對應(yīng)的認(rèn)證參數(shù), 包括對比生物模版生成算法參數(shù)、門限值以及匹配算法參數(shù);905、分別把對比生物模版生成算法參數(shù)發(fā)送給對比模版生成單元,把門 限值以及匹配算法參數(shù)發(fā)送給校驗(yàn)單元;
906、向用戶請求輸入相應(yīng)的用戶生物信息,生物信息采集單元捕獲用戶 生物信息后,相應(yīng)的軟件模塊將其發(fā)送給對比模版生成單元;卯7、對比模版生成單元將經(jīng)過生物特征化處理,并最終生成對比生物模 版,并將其發(fā)送給校驗(yàn)單元;908、校驗(yàn)單元對生物模版進(jìn)行匹配,并根據(jù)門限值進(jìn)行判定,做出接受 (Y)/拒絕(N),并把結(jié)果發(fā)送給身份認(rèn)證轉(zhuǎn)接單元。以上對本發(fā)明所^是供的一種身份和權(quán)限認(rèn)證方法及系統(tǒng)以及一種生物處 理單元進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對本發(fā)明的原理及實(shí)施方式進(jìn) 行了闡述,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想; 同時(shí),對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實(shí)施方式
及應(yīng) 用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限 制。
權(quán)利要求
1、一種身份和權(quán)限認(rèn)證方法,其特征在于,包括對權(quán)限認(rèn)證與身份認(rèn)證進(jìn)行關(guān)聯(lián);獲取權(quán)限安全級別;按照權(quán)限安全級別與身份安全級別的對應(yīng)關(guān)系,查詢所述權(quán)限安全級別對應(yīng)的身份安全級別;根據(jù)所述身份安全級別確定認(rèn)證參數(shù);利用認(rèn)證參數(shù)對用戶生物模版進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果。
2、 根據(jù)權(quán)利要求1所述的身份和權(quán)限認(rèn)證方法,其特征在于,對權(quán)限認(rèn) 證與身份認(rèn)證進(jìn)行關(guān)聯(lián)的步驟包括建立權(quán)限安全級別與身份安全級別的對應(yīng)關(guān)系。
3、 根據(jù)權(quán)利要求2所述的身份和權(quán)限認(rèn)證方法,其特征在于,所述權(quán)限 安全級別存儲于屬性證書中;所述對應(yīng)關(guān)系存儲于生物算法證書中。
4、 根據(jù)權(quán)利要求1所述的身份和權(quán)限認(rèn)證方法,其特征在于,在對權(quán)限 認(rèn)證與身份認(rèn)證進(jìn)行關(guān)聯(lián)之前進(jìn)一步包括用戶向應(yīng)用系統(tǒng)發(fā)送訪問i貪求;應(yīng)用程序接收所述請求之后,激活身份認(rèn)證轉(zhuǎn)接單元; 身份認(rèn)證轉(zhuǎn)接單元向用戶請求用戶的生物證書和屬性證書; 用戶向身份認(rèn)證轉(zhuǎn)接單元返回生物證書和屬性證書。
5、 根據(jù)權(quán)利要求1所述的身份和權(quán)限認(rèn)證方法,其特征在于,所述認(rèn)證 參數(shù)包括對比生物模版生成算法參數(shù),匹配算法參數(shù)以及門限值。
6、 根據(jù)權(quán)利要求5所述的身份和權(quán)限認(rèn)證方法,其特征在于,所述利用 認(rèn)證參數(shù)對用戶生物信息進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果的步驟包括根據(jù)對比生物模版生成算法參數(shù)生成對比生物模版;根據(jù)匹配算法參數(shù)將所述對比生物模版與用戶生物模版進(jìn)行匹配并得到 匹配評分;判斷所述匹配評分是否大于等于門限值,若大于等于,則判斷用戶通過認(rèn) 證,若小于,則判斷用戶未通過認(rèn)證。
7、 根據(jù)權(quán)利要求1所述的身份和權(quán)限認(rèn)證方法,其特征在于,利用認(rèn)證 參數(shù)對用戶生物信息進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果之后進(jìn)一步包括將校驗(yàn)結(jié)果反饋給用戶。
8、 一種身份和權(quán)限認(rèn)證系統(tǒng),其特征在于,包括解析單元,生物處理單 元以及校驗(yàn)單元;所述解析單元用于獲取權(quán)限安全級別,并將所述權(quán)限安全級 別發(fā)送給生物處理單元;生物處理單元根據(jù)所述權(quán)限安全級別在權(quán)限安全級別 與身份安全級別的對應(yīng)關(guān)系中查詢對應(yīng)的身份安全級別,根據(jù)所述身份安全級 別確定認(rèn)證參數(shù),并將所述認(rèn)證參數(shù)發(fā)送給校驗(yàn)單元;校驗(yàn)單元利用接收到的 認(rèn)證參數(shù)對用戶生物模版進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果。
9、 根據(jù)權(quán)利要求8所述的身份和權(quán)限認(rèn)證系統(tǒng),其特征在于,所述系統(tǒng) 還包括身份認(rèn)證轉(zhuǎn)接單元,生物信息采集單元以及應(yīng)用系統(tǒng);用戶向所述應(yīng) 用系統(tǒng)發(fā)送訪問請求,應(yīng)用系統(tǒng)在接收到所述請求后激活身份認(rèn)證轉(zhuǎn)接單元; 所述身份認(rèn)證轉(zhuǎn)接單元被激活后向用戶請求屬性證書以及生物證書;所述生物 采集單元用于采集用戶生物數(shù)據(jù)并發(fā)送給生物處理單元。
10、 一種生物處理單元,其特征在于,包括關(guān)聯(lián)單元,參數(shù)生成單元, 對比模版生成單元以及生物證書解析單元;所述關(guān)聯(lián)單元用于獲取權(quán)限安全級 別和身份安全級別的對應(yīng)關(guān)系,根據(jù)權(quán)限安全級別查詢對應(yīng)的身份安全級別并 將所述身份安全級別發(fā)送給參數(shù)生成單元;所述參數(shù)生成單元根據(jù)接收到的身 份安全級別生成對應(yīng)認(rèn)證參數(shù),并將所述參數(shù)發(fā)送給對比模版生成單元;所述 對比模版生成單元根據(jù)所述參數(shù)生成對比生物模版;所述生物證書解析單元從 獲取的用戶生物證書中提取用戶生物模版。
全文摘要
本發(fā)明公開了一種身份和權(quán)限認(rèn)證方法及系統(tǒng)以及一種生物處理單元,用于提高認(rèn)證過程的靈活性。本發(fā)明方法包括對權(quán)限認(rèn)證與身份認(rèn)證進(jìn)行關(guān)聯(lián);獲取權(quán)限安全級別;按照權(quán)限安全級別與身份安全級別的對應(yīng)關(guān)系,查詢所述權(quán)限安全級別對應(yīng)的身份安全級別;根據(jù)所述身份安全級別確定認(rèn)證參數(shù);利用所述認(rèn)證參數(shù)對用戶生物模版進(jìn)行校驗(yàn)并生成校驗(yàn)結(jié)果。本發(fā)明還相應(yīng)地提供一個(gè)系統(tǒng)以及一種生物處理單元。本發(fā)明可以有效的提高認(rèn)證過程的靈活性。
文檔編號G06K9/00GK101127599SQ200610109879
公開日2008年2月20日 申請日期2006年8月18日 優(yōu)先權(quán)日2006年8月18日
發(fā)明者位繼偉, 劉宏偉, 劉淑玲 申請人:華為技術(shù)有限公司