本发明专利技术公开了一种身份和权限认证方法及系统以及一种生物处理单元,用于提高认证过程的灵活性。本发明专利技术方法包括:对权限认证与身份认证进行关联;获取权限安全级别;按照权限安全级别与身份安全级别的对应关系,查询所述权限安全级别对应的身份安全级别;根据所述身份安全级别确定认证参数;利用所述认证参数对用户生物模版进行校验并生成校验结果。本发明专利技术还相应地提供一个系统以及一种生物处理单元。本发明专利技术可以有效的提高认证过程的灵活性。
【技术实现步骤摘要】
本专利技术涉及数据安全
,尤其涉及一种身份和权限认证方法及系统 及一种生物处理单元。
技术介绍
随着网络快速发展,电子商务得到了大量的应用,网上银行,交易等也愈 发普遍。以传统密码方式保护个人账户信息显然已经不足以保证数据的安全 性,近年来网络欺诈,账户盗用的现象日益增多。因此,发展更高安全层次的 个人信息保障,认证机制势在必行。公钥基础设施(PKI, Pubic Key Infrastructure )公钥认证体系目前已经得 到的一定程度的应用。权威机构发放公钥证书给终端的用户,证书可以公开, 在证书中存放了用户的公钥,以及其他信息。与公钥相对应的私钥由用户自己 保管,公钥与私钥为唯一确定关系,从公钥不能够推断出私钥,公钥加密的信 息可以通过私钥唯一解密。PKI的这种特性,能够保证验证者根据用户是否能 够提供私钥确认用户是否为公钥证书上声明的实体,进而保证了用户信息不会 被非法窃取。PKI的机制中,保护用户私钥是关键,私钥一般是以电子信息的方式存放 在某些硬件上面。如果私钥丟失,也就意味着用户的个人信息失去了保障。近年来生物特征识别技术逐渐成熟,以及网络身份认证的特殊环境,把生 物特征识别技术应用在身份认证上,利用生物特征的唯一性、稳定性等特点, 为信息安全提供了保障。利用个人生物信息进行身份认证是一种保护资源的有效方法。考虑生物信 息本身的特殊性,以及网络身份认证的特殊环境,所以可以将生物信息与PKI 相结合形成一种更为安全的认证架构。PKI系统是一种认证个人身份的方法,而生物特征是证明个人身份的根本 方法,将二者结合起来进行身份认证可以发挥各自的优点,弥补对方的缺点。 以在客户端进行比对匹配认证为例,具体流程如图1所示。身份认证方通过将 采集到的用户生物特征数据样本和用户提供的生物证书中的生物特征数据模 板进行匹配比对以确定其身份的合法性。针对不同用户的不同要求,服务提供方可以给不同的用户授予不同的权利,即通过授权管理基础设施(PMI, Privilege Managementlnfrastructure)实现。PMI是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限 和证书的产生、管理、存储、分发和撤销等功能。属性证书(AC, Attribute Certificate)定义了 一个实体拥有的权限,实体 与权限的绑定是由一个被数字签名了的数据结构来提供的,这种数据结构称为 属性证书,由属性权威签发并管理,它包括一个展开机制和一系列特别的证书 扩展机制,具体格式如图2所示。身份认证与权限认证对数据安全都有很重要的作用,现有技术中一种身份 和权限认证方法为身份认证和权限认证分离处理,即当进行权限认证时,用户提交授权申请;服务器根据预置的认证规则对用 户进行认证,若通过则授予其相应的权限。当进行身份认证时,与权限认证过程类似,服务器都是通过预置的认证规 则进行认证,两种认证独立执行。证过程的精确性。现有技术中另 一种身份和权限认证方法为先对用户进行身份认证,当用 户身份认证通过后再对用户进行权限认证。该技术方案提高了整个认证流程的严格程度,进而提高了精确性。但是, 该方案只能根据预置的规则进行认证,而不能在认证过程中根据实际情况调整 认证规则,不能实现动态认证,所以降低了身份和权限认证的灵活性。
技术实现思路
本专利技术要解决的技术问题是提供一种身份和权限认证方法及系统以及一 种生物处理单元,用于根据实际情况调整认证规则,提高认证过程的灵活性。本专利技术提供的身份和权限认证方法,包括对权限认证与身份认证进行关 联;获取权限安全级别;按照权限安全级别与身份安全级别的对应关系,查询 所述权限安全级别对应的身份安全级别;根据所述身份安全级别确定认证参 数;利用所述认证参数对用户生物模版进行校验并生成校验结果。可选地,对权限认证与身份认证进行关联的步骤包括建立权限安全级别 与身份安全级别的对应关系。可选地,所述权限安全级别存储于属性证书中;所述对应关系存储于生物 算法证书中。可选地,在对权限认证与身份认证进行关联之前进一步包括用户向应用 系统发送访问请求;应用程序接收所述请求之后,激活身份认证转接单元;身 份认证转接单元向用户请求用户的生物证书和属性证书;用户向身份认证转接 单元返回生物证书和属性证书。可选地,所述认证参数包括对比生物模版生成算法参数,匹配算法参数 以及门限值。可选地,所述利用认证参数对用户生物信息进行校验并生成校验结果的步 骤包括根据对比生物模版生成算法参数生成对比生物模版;根据匹配算法参 数将所述对比生物模版与用户生物模版进行匹配并得到匹配评分;判断所述匹 配评分是否大于等于门限值,若大于等于,则判断用户通过认证,若小于,则 判断用户未通过认证。可选地,利用认证参数对用户生物信息进行校验并生成校验结果之后进一 步包括将校验结果反馈给用户。本专利技术提供的身份和权限认证系统,包括解析单元,生物处理单元以及校 验单元;所述解析单元用于获取权限安全级别,并将所述权限安全级别发送给 生物处理单元;全级别的对应关系中查询对应的身份安全级别,根据所述身份安全级别确定认证参数,并将所述认证参数发送给校验单元;校验单元利用接收到的认证参数 对用户生物模版进行校验并生成校验结果。可选地,所述系统还包括身份认证转接单元,生物信息采集单元以及应 用系统;用户向所述应用系统发送访问请求,应用系统在接收到所述请求后激 活身份认证转接单元;所述身份认证转接单元被激活后向用户请求属性证书以 及生物证书;所述生物采集单元用于采集用户生物数据并发送给生物处理单元。本专利技术提供的生物处理单元,包括关联单元,参数生成单元,对比模版 生成单元以及生物证书解析单元;所述关联单元用于获取权限安全级别和身份 安全级别的对应关系,根据权限安全级别查询对应的身份安全级别并将所述身 份安全级别发送给参数生成单元;所述参数生成单元根据接收到的身份安全级 别生成对应认证参数,并将所述参数发送给对比模版生成单元;所述对比模版 生成单元根据所述参数生成对比生物模版;所述生物证书解析单元从获取的用 户生物证书中提取用户生物模版。以上技术方案可以看出,本专利技术具有以下优点首先,本专利技术中,身份认证与权限认证相结合,根据用户要求的权限安全 级别查询对应的身份安全级别对用户的身份进行相应的认证,所以可以在认证 过程中根据实际情况调整身份认证的规则,提高了认证流程的灵活性;其次,本专利技术中,生成对比模版后和用户的生物模版按照对应的匹配算法 进行匹配得到匹配评分,再与对应的门限值进行比较判断是否通过认证,匹配 算法与门限值都根据实际情况得到,所以提高了认证过程的精确性。附图说明图1为利用生物;漠版进行身份认证的流程示意图; 图2为属性证书示意图3为属性证书中生物扩展信息示意图; 闺4为本专利技术方法总体流程图; 图5为本专利技术方法详细流程图; 图6为本专利技术系统示意图; 图7为本专利技术系统功能模型图; 图8为本专利技术生物处理单元示意图; 图9为本专利技术生物处理单元功能模型图。具体实施方式本专利技术提供了一种身份和权限认证方法及系统以及一种生物处理单元,用 于根据实际情况调整认证规则,提高认证过程的灵活性。为了结合生物认证,需要对PMI系统进行一定的补充。为了使系统影响 本文档来自技高网...
【技术保护点】
一种身份和权限认证方法,其特征在于,包括:对权限认证与身份认证进行关联;获取权限安全级别;按照权限安全级别与身份安全级别的对应关系,查询所述权限安全级别对应的身份安全级别;根据所述身份安全级别确定认证参数;利用认证参数对用户生物模版进行校验并生成校验结果。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘宏伟,刘淑玲,位继伟,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。