1.一種基于標(biāo)識(shí)密碼技術(shù)的電子護(hù)照擴(kuò)展訪問控制系統(tǒng)，它包括密鑰服務(wù)中心(1)、護(hù)照發(fā)放中心(2.1、...、2.N)和護(hù)照驗(yàn)證中心(3.1、...、3.M)，其特征在于：

密鑰服務(wù)中心(1)通過(guò)基于標(biāo)識(shí)的密碼技術(shù)的密鑰服務(wù)器，產(chǎn)生系統(tǒng)主密鑰和公開參數(shù)，為護(hù)照發(fā)放中心(2.1、...、2.N)和護(hù)照驗(yàn)證中心(3.1、...、3.M)提供基于標(biāo)識(shí)公鑰密碼的密鑰服務(wù)；密鑰服務(wù)中心(1)確認(rèn)提出申請(qǐng)的驗(yàn)證終端的合法身份和唯一標(biāo)識(shí)；

護(hù)照驗(yàn)證中心(3.1、...、3.M)向密鑰服務(wù)中心(1)提出閱讀敏感生物特征信息權(quán)限的申請(qǐng)，密鑰服務(wù)中心(1)通過(guò)頒發(fā)存儲(chǔ)有ID證書的授權(quán)智能卡進(jìn)行授權(quán)，護(hù)照驗(yàn)證中心(3.1、...、3.M)分別將獲得的授權(quán)智能卡分發(fā)給所管轄的驗(yàn)證終端，各驗(yàn)證終端獲得體現(xiàn)其身份特征的帶有其ID證書的授權(quán)智能卡；

護(hù)照發(fā)放中心(2.1、...、2.N)向密鑰服務(wù)中心(1)申請(qǐng)鑒權(quán)的認(rèn)證密鑰及公開參數(shù)，并將獲得的認(rèn)證密鑰及公開參數(shù)寫入到申請(qǐng)者的電子護(hù)照的護(hù)照智能卡中；

在驗(yàn)證護(hù)照時(shí)，驗(yàn)證終端擁有的授權(quán)智能卡和電子護(hù)照中的護(hù)照智能卡之間進(jìn)行基于標(biāo)識(shí)密碼算法的鑒權(quán)協(xié)議，根據(jù)協(xié)議執(zhí)行的結(jié)果來(lái)判斷該驗(yàn)證終端是否有權(quán)閱讀敏感生物特征數(shù)據(jù)，當(dāng)有權(quán)閱讀時(shí)，對(duì)電子護(hù)照中護(hù)照智能卡內(nèi)的敏感生物特征信息進(jìn)行進(jìn)一步的身份核實(shí)。

2.根據(jù)權(quán)利要求1所述的電子護(hù)照擴(kuò)展訪問控制系統(tǒng)，其特征在于：密鑰服務(wù)中心(1)產(chǎn)生主密鑰和公開參數(shù)的過(guò)程為：輸入一個(gè)大于2的整數(shù)作為安全參數(shù)k，運(yùn)行雙線性Diffie-Hellman困難問題參數(shù)生成器，得到一個(gè)長(zhǎng)度為k比特的素?cái)?shù)q，確定下述條件的最小的素?cái)?shù)p：p≡2mod?3，q能整除p+1，q²不能整除p+1；得到有限域GF(p)上方程y²＝x³+1確定的點(diǎn)構(gòu)?成的橢圓曲線E，群G₁是橢圓曲線E上的階為q的加法子群，群G₂是有限域GF(p²)上的階為q的乘法子群，雙線性映射函數(shù)?G₁×G₁→G₂；在加法群G₁上任意選擇一點(diǎn)P，在整數(shù)域Z_q^*上任意選擇一個(gè)數(shù)s，計(jì)算P_pub＝s×P；將s作為系統(tǒng)主密鑰，并秘密保存；將參數(shù)PARA＝＜G₁，G₂，?P，q，P_pub，H＞作為的公開參數(shù)，H為哈希函數(shù)。

3.根據(jù)權(quán)利要求1或2所述的電子護(hù)照擴(kuò)展訪問控制系統(tǒng)，其特征在于：

密鑰服務(wù)中心(1)在確認(rèn)提出申請(qǐng)的驗(yàn)證終端的合法身份和唯一標(biāo)識(shí)后，根據(jù)該驗(yàn)證終端的身份標(biāo)識(shí)ID₁為其提取私鑰信息S₁：S₁＝s×H(ID₁)，H為哈希函數(shù)，然后密鑰服務(wù)中心(1)為申請(qǐng)者制作帶有私鑰信息S₁的ID證書的授權(quán)智能卡。

4.根據(jù)權(quán)利要求3所述的電子護(hù)照擴(kuò)展訪問控制系統(tǒng)，其特征在于：

密鑰服務(wù)中心(1)在確認(rèn)提出申請(qǐng)的護(hù)照發(fā)放中心的合法身份和唯一標(biāo)識(shí)后，根據(jù)該護(hù)照發(fā)放中心的身份標(biāo)識(shí)ID₂為其提取認(rèn)證密鑰，記為S₂，S₂＝s×H(ID₂)，H為哈希函數(shù)，并通過(guò)安全方式將認(rèn)證密鑰返回給所述的護(hù)照發(fā)放中心，該護(hù)照發(fā)放中心將認(rèn)證密鑰和公開參數(shù)寫入到護(hù)照申請(qǐng)人的電子護(hù)照的護(hù)照智能卡中不同存儲(chǔ)區(qū)域。

5.一種基于標(biāo)識(shí)密碼技術(shù)的電子護(hù)照擴(kuò)展訪問控制系統(tǒng)的鑒權(quán)方法，其步驟包括：

1)驗(yàn)證終端向電子護(hù)照提出閱讀敏感生物特征的請(qǐng)求，護(hù)照智能卡生成一個(gè)隨機(jī)數(shù)r，并把隨機(jī)數(shù)r和護(hù)照發(fā)放中心的身份標(biāo)識(shí)ID₂發(fā)送給驗(yàn)證終端；

2)驗(yàn)證終端將隨機(jī)數(shù)r和身份標(biāo)識(shí)ID₂轉(zhuǎn)發(fā)給授權(quán)智能卡，授權(quán)智能卡計(jì)算待簽名的值K：

為雙線性映射函數(shù)，H為哈希函數(shù)，S₁為授權(quán)智能卡中的私鑰信息，P_pub為密鑰服務(wù)中心(1)的一個(gè)公開參數(shù)；

3)授權(quán)智能卡利用其ID證書中的私鑰信息S₁對(duì)值K進(jìn)行簽名運(yùn)算，得到簽名值δ；

4)授權(quán)智能卡將簽名值δ以及其ID證書中驗(yàn)證終端的身份標(biāo)識(shí)ID₁返回給護(hù)照智能卡；

5)護(hù)照智能卡利用其認(rèn)證密鑰S₂計(jì)算待驗(yàn)證的信息K’，

6)護(hù)照智能卡執(zhí)行與授權(quán)智能卡的簽名運(yùn)算對(duì)應(yīng)的驗(yàn)證算法，如果驗(yàn)證成功，驗(yàn)證終端擁有閱讀敏感生物特征數(shù)據(jù)的權(quán)力，護(hù)照智能卡改變其當(dāng)前安全狀態(tài)，使得驗(yàn)證終端能讀取出敏感生物特征數(shù)據(jù)；反之，該驗(yàn)證終端不能閱讀護(hù)照智能卡中的敏感生物特征數(shù)據(jù)。?