技術領域

本發明涉及開放式網絡下生物身份認證領域，尤其是針對電子商務平臺下基于生物證書的身份認證方法。

背景技術

近年來，電子商務已經進入了一個高速發展期，交易額與交易量同比大幅攀升，同時也隨之出現了許多亟待解決的網絡安全問題，主要包括商家和客戶在交易過程中如何確定對方身份以及如何保證敏感信息的安全傳輸，這些問題已成為制約電子商務健康發展的瓶頸。

目前，大部分電商平臺采用基于口令方式進行最簡單的身份認證，該方案缺點明顯，口令容易被用戶所遺忘和泄漏。基于PKI數字證書認證是目前最為安全的電子商務解決方案，它使用CA頒發的數字證書以標識交易雙方在開放式網絡上的身份，該方案雖解決了電子商務中身份認證的問題，但證書很容易被復制、傳播，并未根本解決證書和用戶身份唯一性問題。同時，越來越多的系統需要可靠的生物識別方法來確定或判定該個體是否有權限訪問所請求的系統服務。因而，在開放式網絡下亟需一種基于生物識別的身份認證技術，滿足信息認證傳輸安全以及日常系統服務需求。

發明內容

本發明主要解決的技術問題是在開放式網絡下，針對基于PKI的數字證書身份認證存在證書與用戶身份不能構成唯一性等缺點，結合PKI認證和生物認證的優勢，提出一種基于生物證書的身份認證方法。生物證書是一種由認證中心(CA)頒發的綁定了用戶基本信息及其生物特征模板信息(如指紋)，并經過CA數字簽名符合X.509格式的數字證書，可將其用于標識開放式網絡下用戶的身份信息。

為解決以上技術問題，本發明采用的技術方案是：一種基于生物證書的身份認證方法，對CA(認證中心，CertificateAuthority)系統的注冊功能模塊進行擴展，在其頒發的X.509證書中添加生物特征模板信息，包括特征輔助模塊(BiometricHelperModule，BHM)、特征加密模塊(BiometricEncryptionModule，BEM)以及特征安全模塊(BiometricSecurityModule，BSM)，以形成生物證書，所述的方法包括：

步驟1，客戶端向CA申請生物證書，CA采集客戶的活體生物特征模板，利用偽隨機序列發生器生成生物密鑰，再由生物密鑰加密生物特征模板生成加密生物模板，客戶端下載該證書并安裝到瀏覽器或存儲到USBkey中；服務器端用戶向CA申請服務器證書，申請成功后下載證書并進行安裝配置；

步驟2，客戶端訪問服務器端，若為首次訪問，則會提醒其是否安裝客戶端ActiveX控件；

步驟3，客戶端與服務器端均向對方發送其證書，雙方驗證對方證書是否有效(CRL，OCSP)；客戶端證書驗證通過后，客戶端啟動生物特征采集儀采集活體生物信息，并對生物信息進行預處理提取出生物特征模板，生物特征模板數據經過簽名數字信封發送至服務器端。

步驟4，服務器端解密并驗證客戶端發送過來的生物特征模板數據(記為Q)，接著利用Q查詢生物證書中的BSM模塊(即FuzzyVault)提取出生物密鑰，然后利用該密鑰從BEM模塊中解密出被加密的生物特征模板與Q進行比對匹配，若匹配成功表明客戶的身份驗證通過，系統分配相應的訪問權限；

步驟5，客戶進入信息交互狀態，客戶端控件對客戶提交的信息進行加密、簽名，服務端對客戶信息進行解密、驗證。反之，服務器給客戶端發送信息亦然。

本發明的有益效果是：相較于現有技術的情況，本發明通過結合PKI認證和生物認證的方式，生成生物證書。在確認證書有效后，進行生物信息匹配，確認身份后，分配相應權限。本發明能夠在單個個體和大量數據之間建立一種牢不可破的一對一關系，可確定對方身份的唯一性以及保證敏感信息的安全傳輸。

附圖說明

圖1是本發明生物證書基本結構圖；

圖2是本發明EJBCA生成生物證書過程示意圖；

圖3是本發明基于生物證書的身份認證過程示意圖；

圖4是本發明基于生物證書的電子商務平臺身份系統示意圖。

圖5是本發明的方法流程圖

具體實施方式

為了使本技術領域的人員可以更好地理解本發明方案，下面結合附圖對本發明做進一步描述，顯然，所描述的實施方式僅僅是本發明一部分的實施方式，而不是全部的實施方式。基于本發明中的實施方式，本領域普通技術人員在沒有做出創新性勞動前提下所獲得的所有其他實施方式，都應當屬于本發明保護的范圍。