[发明专利]一种身份和权限认证方法及系统以及一种生物处理单元

说明书

技术领域

本发明涉及数据安全技术领域，尤其涉及一种身份和权限认证方法及系统及一种生物处理单元。

背景技术

随着网络快速发展，电子商务得到了大量的应用，网上银行，交易等也愈发普遍。以传统密码方式保护个人账户信息显然已经不足以保证数据的安全性，近年来网络欺诈，账户盗用的现象日益增多。因此，发展更高安全层次的个人信息保障，认证机制势在必行。

公钥基础设施(PKI，Pubic Key Infrastructure)公钥认证体系目前已经得到的一定程度的应用。权威机构发放公钥证书给终端的用户，证书可以公开，在证书中存放了用户的公钥，以及其他信息。与公钥相对应的私钥由用户自己保管，公钥与私钥为唯一确定关系，从公钥不能够推断出私钥，公钥加密的信息可以通过私钥唯一解密。PKI的这种特性，能够保证验证者根据用户是否能够提供私钥确认用户是否为公钥证书上声明的实体，进而保证了用户信息不会被非法窃取。

PKI的机制中，保护用户私钥是关键，私钥一般是以电子信息的方式存放在某些硬件上面。如果私钥丢失，也就意味着用户的个人信息失去了保障。

近年来生物特征识别技术逐渐成熟，以及网络身份认证的特殊环境，把生物特征识别技术应用在身份认证上，利用生物特征的唯一性、稳定性等特点，为信息安全提供了保障。

利用个人生物信息进行身份认证是一种保护资源的有效方法。考虑生物信息本身的特殊性，以及网络身份认证的特殊环境，所以可以将生物信息与PKI相结合形成一种更为安全的认证架构。

PKI系统是一种认证个人身份的方法，而生物特征是证明个人身份的根本方法，将二者结合起来进行身份认证可以发挥各自的优点，弥补对方的缺点。以在客户端进行比对匹配认证为例，具体流程如图1所示。身份认证方通过将采集到的用户生物特征数据样本和用户提供的生物证书中的生物特征数据模板进行匹配比对以确定其身份的合法性。

针对不同用户的不同要求，服务提供方可以给不同的用户授予不同的权利，即通过授权管理基础设施(PMI，Privilege Management Infrastructure)实现。

PMI是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。

属性证书(AC，Attribute Certificate)定义了一个实体拥有的权限，实体与权限的绑定是由一个被数字签名了的数据结构来提供的，这种数据结构称为属性证书，由属性权威签发并管理，它包括一个展开机制和一系列特别的证书扩展机制，具体格式如图2所示。

身份认证与权限认证对数据安全都有很重要的作用，现有技术中一种身份和权限认证方法为：身份认证和权限认证分离处理，即：

当进行权限认证时，用户提交授权申请；服务器根据预置的认证规则对用户进行认证，若通过则授予其相应的权限。

当进行身份认证时，与权限认证过程类似，服务器都是通过预置的认证规则进行认证，两种认证独立执行。

但是由于仅对用户进行身份认证或仅进行权限认证可能无法提高整个认证过程的精确性。

现有技术中另一种身份和权限认证方法为：先对用户进行身份认证，当用户身份认证通过后再对用户进行权限认证。

该技术方案提高了整个认证流程的严格程度，进而提高了精确性。但是，该方案只能根据预置的规则进行认证，而不能在认证过程中根据实际情况调整认证规则，不能实现动态认证，所以降低了身份和权限认证的灵活性。

发明内容

本发明要解决的技术问题是提供一种身份和权限认证方法及系统以及一种生物处理单元，用于根据实际情况调整认证规则，提高认证过程的灵活性。

本发明提供的身份和权限认证方法，包括：对权限认证与身份认证进行关联；获取权限安全级别；按照权限安全级别与身份安全级别的对应关系，查询所述权限安全级别对应的身份安全级别；根据所述身份安全级别确定认证参数；利用所述认证参数对用户生物模版进行校验并生成校验结果。

可选地，对权限认证与身份认证进行关联的步骤包括：建立权限安全级别与身份安全级别的对应关系。

可选地，所述权限安全级别存储于属性证书中；所述对应关系存储于生物算法证书中。

可选地，在对权限认证与身份认证进行关联之前进一步包括：用户向应用系统发送访问请求；应用程序接收所述请求之后，激活身份认证转接单元；身份认证转接单元向用户请求用户的生物证书和属性证书；用户向身份认证转接单元返回生物证书和属性证书。