[发明专利]一种基于生物识别信息来应用数字证书的方法

说明书

本发明提供一种基于生物识别信息来应用数字证书的方法，包括：在所述数字证书中形成标准区域和扩展区域；在所述标准区域中存储证书信息；以及在所述扩展区域中绑定生物识别信息。发明的至少一个有益效果在于，通过将生物识别信息绑定在数字证书中，防止了通过绕过生物识别技术来非法获取或攻击数字证书的安全问题。

技术领域

本发明涉及计算机领域，更具体地，涉及基于生物识别信息的数字证书应用领域。

背景技术

目前现有数字证书的安全使用方式一般为PIN码，PIN码需要用户记忆。用户如果长时间不输入PIN码之后，可能会忘记PIN码，从而导致用户体验不佳。

此外，与生物识别认证模式的结合仅仅是逻辑上的结合方式，例如某应用APP调用生物识别认证接口，根据返回的正确与否，调用数字证书实现签名操作。图1示出了现有技术中生物识别认证与数字证书在逻辑上结合的示意图。如图1所示，通常情况下，应用APP发出认证请求(1)；生物识别认证模块在进行认证之后，返回认证结果(2)；在通过认证之后，APP调用数字证书(3)。但是，现有技术中这种逻辑上的结合方式具有安全隐患，如果生物识别认证接口被攻破，攻击者完全可以绕过生物识别认证，直接进行证书调用(3)，因此无法保证数字证书使用的安全性。

因此，现有技术中生物识别与证书结合的方式存在安全性差的缺陷。

发明内容

本发明的至少一个目的在于克服现有技术中生物识别信息容易被绕过，数字证书被非法获取或篡改的缺陷。本发明的其他目的将在具体实施例部分进行更详细的描述。

本发明提供一种基于生物识别信息来应用数字证书的方法，包括：在所述数字证书中形成标准区域和扩展区域；在所述标准区域中存储证书信息；以及在所述扩展区域中绑定生物识别信息。

根据本发明的一个实施方式，所述生物识别信息包括指纹信息、虹膜信息、语音信息对应的公钥信息。

根据本发明的一个实施方式，所述生物识别信息支持快速在线身份认证FIDO协议和/或互联网金融身份认证联盟IFAA协议。

根据本发明的一个实施方式，进一步包括申请数字证书，包括：用户端的应用APP向服务器发送注册请求；所述服务器请求生物识别后台开启生物识别；所述生物识别后台生成认证策略，并通过所述服务器对用户端做出响应；所述用户端中的生物识别协议进行生物识别认证，并生成第一密钥对，所述第一密钥对包括第一私钥SK1和第一公钥PK1；将所述第一公钥PK1发送到所述生物识别后台；所述生物识别后台计算所述第一公钥的第一哈希值H1，并保存所述第一公钥PK1和第一哈希值H1；将所述第一哈希值H1发送到所述用户端的数字证书模块；所述数字证书模块生成第二密钥对，所述第二密钥对包括第二私钥SK2和第二公钥PK2，并且产生数字证书申请报文，并将所述第一哈希值H1存储在所述扩展区域中；将所述证书申请报文发送到CA系统，其中所述证书申请报文包括用户基本信息、第二公钥PK2和所述第一哈希值H1；所述CA系统响应于所述证书申请报文来生成数字证书，将所述数字证书推送到所述生物识别后台以在所述生物识别后台存储所述数字证书，并将所述数字证书推送到所述数字证书模块；以及，所述数字证书模块向所述APP通知证书申请成功。