專利名稱：：生物認(rèn)證方法、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及生物認(rèn)證技術(shù)，尤其是一種分布式生物認(rèn)證方法、設(shè)備及系統(tǒng)
背景技術(shù)：
：隨著網(wǎng)絡(luò):汰術(shù)的快速發(fā)展，網(wǎng)絡(luò)在各方面得到了廣泛的運用，例如電子政務(wù)、電子辦公、電子商務(wù)等領(lǐng)域，網(wǎng)上銀行，網(wǎng)上交易等也愈發(fā)普遍，因此對使用者的身份認(rèn)證非常重要。傳統(tǒng)的密碼認(rèn)證方式，存在容易忘記、容易被別人竊取等很難彌補的缺陷，安全性無法令人滿意。近年來由于生物特征識別技術(shù)逐漸成熟，已經(jīng)出現(xiàn)了將生物特征識別技術(shù)應(yīng)用在身份認(rèn)證上的技術(shù)，利用生物特征的唯一性、穩(wěn)定性等特點，為信息安全提供了保障。所謂生物識別技術(shù)是指利用人類自身生理或行為特征進行身份確認(rèn)的一種技術(shù)，如指紋識別、虹膜識別、臉型識別、脈絡(luò)識別等?；驹硎窃谏矸菡J(rèn)證時將新收集的生物特征數(shù)據(jù)與預(yù)先注冊存儲的生物特征模版進行匹配，看匹配結(jié)果在是否有效范圍內(nèi)來判斷結(jié)果。雖然生物認(rèn)證技術(shù)有著良好的認(rèn)證效果，但個人生物特征數(shù)據(jù)屬于個人隱私和個人專有，如果不進行保護，就非常容易泄露出去，從而給生物數(shù)據(jù)的所有者帶來巨大損失，這就限制了生物識別技術(shù)的廣泛應(yīng)用。為了解決這種問題，出現(xiàn)了將公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,簡稱PKI)系統(tǒng)和生物識別相結(jié)合的生物證書技術(shù)。PKI是一種認(rèn)證個人身份的方法，將二者結(jié)合起來進行身份認(rèn)證，以替代公鑰證書。下面以在客戶端進行比對匹配認(rèn)證為例(如圖1所示)，介紹使用生物證書8進行個人身份認(rèn)證的過程。身份驗證方通過將采集到的用戶生物特征數(shù)據(jù)樣本和用戶提供的生物證書中的生物特征數(shù)據(jù)模板進行匹配比對以確定其身份的合法'l"生?，F(xiàn)有技術(shù)提供了一種集中式的實現(xiàn)方案，即將所有的認(rèn)證功能模塊集中在一個地點，并由身份驗證者(IdentityVerifier,簡稱IDV)根據(jù)生物算法證書(BiometricAlgorithmCertificate,簡稱BAC)中指定的認(rèn)證算法和參數(shù)來實現(xiàn)認(rèn)證。這些認(rèn)證功能模塊通常包括數(shù)據(jù)采集(datacapture)、中間信號處理(intermediate-signal-processing)、最終信號處理(final—signal-processing)、存儲(storage)、比較(comparison)、決策(decision)以及可能的多模態(tài)融合決策等模塊等。這種認(rèn)證方式并不適用于分布式的情況，因為如果各個認(rèn)證功能模塊部署在網(wǎng)絡(luò)的不同位置，就存在著難以驗證遠(yuǎn)端生物設(shè)備的處理結(jié)果的可靠性和安全性的問題；而且在認(rèn)證過程中，IDV對驗證處理模塊起的作用類似于現(xiàn)場指導(dǎo)，如果所有模塊來自于同一家生產(chǎn)商，可能沒有問題；當(dāng)分布在不同地點的模塊是不同廠商產(chǎn)品時，參數(shù)難以控制，從而帶來認(rèn)證上的偏差。
發(fā)明內(nèi)容本發(fā)明實施例的目的是提出一種生物認(rèn)證方法及系統(tǒng)，能夠使最終身份驗證者設(shè)備在分布式環(huán)境下能夠?qū)Σ辉谕晃锢淼攸c的完成具體生物數(shù)據(jù)處理的獨立生物i殳備的處理結(jié)果的可靠性和安全性進行檢驗，從而完成對是否認(rèn)同遠(yuǎn)端獨立生物設(shè)備的處理結(jié)果的判斷。為實現(xiàn)上述目的，本發(fā)明的實施例提供了一種生物認(rèn)證方法，包括接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性；如果所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書都滿足合法性，根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限；如果所述用戶具有訪問服務(wù)的權(quán)限，核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)的安全級別，并做相應(yīng)記錄；如果所述獨立生物設(shè)備符合所述安全級別，向所述獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合所述記錄，如果符合，則確認(rèn)獨立生物設(shè)備的處理結(jié)果。為實現(xiàn)上述目的，本發(fā)明實施例提供了一種身份認(rèn)證者設(shè)備，包括安全級別核查模塊，用于接收到客戶端發(fā)送的所述用戶的生物證書和公鑰證書后，如果所述用戶具有訪問服務(wù)的權(quán)限，則核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)的安全級別，并做相應(yīng)記錄；處理通知模塊，用于在所述獨立生物設(shè)備符合所述安全級別時，向所述獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；執(zhí)行:R告核查模塊，用于接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合所述記錄，如果符合，則確認(rèn)獨立生物設(shè)備的處理結(jié)果。為實現(xiàn)以上目的，本發(fā)明實施例提供了一種生物認(rèn)證系統(tǒng)，包括獨立生物設(shè)備，用于對生物數(shù)據(jù)進行處理，以及生成生物設(shè)備執(zhí)行報告；合法性核查模塊，設(shè)于服務(wù)提供商設(shè)備或身份認(rèn)證者設(shè)備內(nèi)，用于接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查所述用戶的生物證書和屬鑰i正書的合法性；權(quán)限驗證模塊，設(shè)于權(quán)限驗證者設(shè)備內(nèi)，用于在所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書都滿足合法性時，根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限；安全級別核查模塊，設(shè)于身份認(rèn)證者設(shè)備內(nèi)，用于在所述用戶具有訪問服務(wù)的權(quán)限時，核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)于所述權(quán)限的安全級別；執(zhí)行報告核查模塊，設(shè)與身份認(rèn)證者設(shè)備內(nèi)，用于在所述獨立生物設(shè)備符合所述安全級別時，接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合要求預(yù)定條件，如果符合，則認(rèn)同獨立生物設(shè)備的處理結(jié)果?；谏鲜瞿康模景l(fā)明實施例給獨立生物設(shè)備引入了BDC,BDPKC，BDER等，通過BDPKC這個公鑰證書來證明獨立生物設(shè)備身份的合法性；通過BDC來說明獨立生物設(shè)備的功能、性能以及設(shè)備安全級別；通過BDER來報告獨立生物設(shè)備處理過程的簡要情況。IDV就是通過各獨立生物設(shè)備上報的這些信息來考察獨立生物設(shè)備處理數(shù)據(jù)的可靠性和安全性，當(dāng)一個完整身份認(rèn)證系統(tǒng)中，分布在不同位置的所有獨立生物設(shè)備都滿足BAC中規(guī)定的安全策略時，就可以確信整個認(rèn)證過程沒有問題，從而得出認(rèn)證結(jié)果是可靠的和安全的這樣的結(jié)論，從而可以使IDV接受認(rèn)證結(jié)果。圖1為現(xiàn)有技術(shù)中^f吏用生物證書進行個人身份認(rèn)證的流程示意圖。圖2為本發(fā)明生物認(rèn)證方法的第一實施例的流程示意圖。圖3為本發(fā)明生物認(rèn)證方法的第二實施例的信令示意圖。圖4為本發(fā)明生物認(rèn)證方法的第三實施例的信令示意圖。圖5為本發(fā)明生物認(rèn)證方法的第四實施例的信令示意圖。圖6為本發(fā)明生物i人i正方法的第五實施例的信令示意圖。圖7為本發(fā)明身份i/a正者設(shè)備的第一實施例的結(jié)構(gòu)示意圖。圖8為本發(fā)明身份認(rèn)證者設(shè)備的第二實施例的結(jié)構(gòu)示意圖。圖9為本發(fā)明生物認(rèn)證系統(tǒng)的第一實施例的結(jié)構(gòu)示意圖。圖10為本發(fā)明生物認(rèn)證系統(tǒng)的第二實施例的結(jié)構(gòu)示意圖。具體實施例方式下面通過附圖和實施例，對本發(fā)明的技術(shù)方案做進一步的詳細(xì)描述。在本發(fā)明的實施例中，基礎(chǔ)是獨立生物設(shè)備，所謂獨立生物設(shè)備是指分布式生物身份認(rèn)證中，物理位置獨立的完成一部分生物認(rèn)證功能的處理設(shè)備，一個獨立生物認(rèn)證i殳備可以包括一個或幾個處理模塊。為了4吏網(wǎng)絡(luò)中最終的身份驗證者IDV能夠從分布在網(wǎng)絡(luò)不同位置的獨立生物設(shè)備處理的結(jié)果中可靠地獲得身份認(rèn)證結(jié)果，要求獨立生物設(shè)備具有生物i殳備i正書(BiometricDeviceCertificate,簡稱BDC)和生物i殳備7^鑰證書(BiometricDevicePublicKeyCertificate,簡稱BDPKC)。這些證書與國際電信聯(lián)盟(ITU)之電信生物認(rèn)證基礎(chǔ)提案(TelebiometricAuthenticationInfrastructure,簡稱TAI)中頒發(fā)給用戶個人的生物證書(BiometricCertificate,筒稱BC)，屬性證書(AttributeCertificate,簡稱AC)以及頒發(fā)給IDV的生物算法證書BAC協(xié)同工作；獨立生物設(shè)備處理完本環(huán)節(jié)的數(shù)據(jù)后，需要給IDV發(fā)送一個生物設(shè)備執(zhí)行報告(BiometricDeviceExecutionReport,簡稱BDER),IDV匯總各獨立生物設(shè)備的報告，可以對整個認(rèn)證過程的各個環(huán)節(jié)進行評價，以做出可靠的決策。這樣可以實現(xiàn)網(wǎng)絡(luò)環(huán)境中，根據(jù)用戶要訪問的資源所需要的權(quán)限來決定采用的生物認(rèn)證算法，從而保證被訪問資源的安全性。在高安全級別中，如果整個認(rèn)證環(huán)節(jié)中有一個獨立生物設(shè)備的BDC，BDPK，BDER不滿足BAC中規(guī)定的策略，就可能導(dǎo)致IDV不接受認(rèn)證結(jié)果，而這一切取決于制定安全策略的管理員的要求。BDC中性能級別是性能測試權(quán)威機構(gòu)評估的結(jié)果，具有統(tǒng)一性，這樣即使一個完整生物身份認(rèn)證系統(tǒng)具有不同廠家生產(chǎn)的獨立設(shè)備，也可以對處理結(jié)果有一致的可預(yù)見性。而BAC中涉及到的功能級別策略的制定也是根據(jù)權(quán)威機構(gòu)的評價標(biāo)準(zhǔn)。本發(fā)明實施例的應(yīng)用可能包括的基本參與方有IDV、服務(wù)提供商(ServiceProvider,簡稱SP)設(shè)備、客戶端(Client)、用戶(User)和獨立生物設(shè)備，此外還可能有涉及各種證書頒發(fā)或驗證的擴展參與方。如圖2所示，為本發(fā)明生物認(rèn)證方法的第一實施例的流程示意圖，包括以下步驟步驟101、接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查用戶的BC和AC，以及客戶端中的獨立生物設(shè)備的BDC和BDPKC的合法性；步驟102、如果BC、AC、BDC和BDPKC都滿足合法性，則根據(jù)AC判斷用戶是否具有訪問服務(wù)的權(quán)限；步驟103、如果用戶具有訪問服務(wù)的權(quán)限，則核查獨立生物設(shè)備是否符合BAC中對應(yīng)的安全級別，并做相應(yīng)記錄；步驟104、如果獨立生物設(shè)備符合安全級別，則向獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；步驟105、接收獨立生物設(shè)備發(fā)送的BDER，并核查BDER是否符合記錄，如果符合，則確認(rèn)獨立生物設(shè)備的處理結(jié)果。本發(fā)明實施例使得IDV對分布式生物身份認(rèn)證的各個參與方可以進行有效性驗證，使得認(rèn)證結(jié)果具有很高的可靠性。此外，本發(fā)明中引入TAI,又可以使生物認(rèn)證按照用戶訪問權(quán)限指定的認(rèn)證方式或算法進行。本發(fā)明中涉及到的BC、生物算法證書BAC在TAI中做了規(guī)定。涉及到的公鑰證書和屬性證書在X.509做了規(guī)定。在上述技術(shù)方案中，SP設(shè)備或IDV設(shè)備通過BDPKC來驗證獨立生物設(shè)備的合法性，獨立生物設(shè)備有自己的私鑰，其公鑰證書(BDPKC)是生產(chǎn)商或權(quán)威機構(gòu)頒發(fā)，設(shè)備用私鑰對自己處理的數(shù)據(jù)進行簽名或加密，而接受方可使用其PKC驗證簽名或解密。獨立生物設(shè)備包含一個或多個生物認(rèn)證處理模塊，這些模塊的功能及其性能在BDC中做了描述，性能經(jīng)性能評估權(quán)威機構(gòu)或生產(chǎn)商測試后，給出數(shù)值以反映其性能高低。SP設(shè)備或IDV設(shè)備可以根據(jù)獨立生物設(shè)備上傳的BDC,對設(shè)備的功能和性能進行評價，結(jié)合一定的生物認(rèn)證策略，以決定其是否滿足特定的生物認(rèn)證方式或算法的要求。用戶生物模板存放在BC中，BC由權(quán)威機構(gòu)發(fā)放，IDV設(shè)備、SP設(shè)備或模板的使用方均可以驗證其合法性。用戶要求SP提供某些服務(wù)時，必須具有訪問權(quán)限，這些權(quán)限記錄在屬性權(quán)威機構(gòu)(AttributeAuthority,簡稱AA)給用戶頒發(fā)的AC中。在TAI中，給出AC的擴展(Extension)中，訪問權(quán)限與生物認(rèn)i正方式掛鉤。對于各獨立生物設(shè)備來說，設(shè)備之間傳遞數(shù)據(jù)的有效性可以由發(fā)送方用私鑰進行簽名或加密來保證。在核查獨立生物設(shè)備是否符合BAC中對應(yīng)于權(quán)限的安全級別時，包括兩方面核查內(nèi)容設(shè)備安全級別和生物安全級別。其中獨立生物設(shè)備的安全性在BDC中做了描述，安全級別經(jīng)安全評估權(quán)威機構(gòu)或生產(chǎn)商測試后給出。IDV可以根據(jù)設(shè)備上傳的BDC中相關(guān)部分，結(jié)合一定的安全策略，決定該設(shè)備是否滿足特定身份認(rèn)證的安全性要求。生物安全級別主要用于獨立生物設(shè)備的功能是否符合BAC的規(guī)定，要考慮的內(nèi)容主要包括選擇的生物特征類型，是否/如何采用多斗莫態(tài)生物認(rèn)證，數(shù)據(jù)采集的安全性、認(rèn)證算法的性能等。生物安全級別通常有生物安全級別、策略和生物參數(shù)信息構(gòu)成，具體格式如下表<table>tableseeoriginaldocumentpage14</column></row><table>生物安全級別由參數(shù)信息唯一標(biāo)識值(如參數(shù)信息和安全級別的Hash值)和安全級別構(gòu)成。參^:信息唯一標(biāo)識值唯一區(qū)分出生物安全級別所對應(yīng)的各種參數(shù)，如參數(shù)信息和安全級別的Hash值等，在實際使用時，將此項連同安全級別一起提供給具體的客戶端用戶或指定的數(shù)據(jù)庫。安全級別標(biāo)識出某種策略狀態(tài)和參數(shù)信息下代表的生物安全性。確定安全級別高低的依據(jù)是先根據(jù)策略狀態(tài)，策略狀態(tài)條件越多安全級別越高；再才艮據(jù)某一策略狀態(tài)下同一算法所對應(yīng)的FMR值，F(xiàn)MR值越小(在保證可用的情況下)安全越高。最后綜合這兩方面的情況確定出安全級別的值。對于不同生物類型所反映的生物安全情況超出本發(fā)明方案的范圍。策略策略反映使用者具體選用的策略方法，包括單模生物認(rèn)證、單模生物iU正+活體檢測、多模生物認(rèn)證、多模生物認(rèn)證+活體檢測等，也可以根據(jù)需要加入其它策略。單模生物認(rèn)證就是采用單個生物類型進行認(rèn)證，如單獨使用指紋、虹膜、脈絡(luò)等進行身份認(rèn)證；活體檢測就是要求生物讀取器具有識別活體生物的功能；多模生物認(rèn)證就是同時使用不同類型的生物或同一生物不同實體進行身份認(rèn)證。參凄t信息由生物類型、生物算法、算法FMR值和其它可能的參數(shù)構(gòu)成。生物類型標(biāo)識出生物認(rèn)證使用的生物名稱。如指紋、虹膜、面部等，還包括各種生物的組合(如指紋+虹膜)。生物算法生物認(rèn)證中進行生物識別時所使用的生物處理算法，包括活體生物模版處理算法和生物模版匹配算法。生物算法FMR:某種生物算法所對應(yīng)的一系列值，它反映算法的錯誤匹配率，這個值越小，其認(rèn)證的結(jié)果越可靠，所以可以使用FMR來反映生物安全級別的高低。其它參數(shù)留作以后使用，可以根據(jù)需要加入。生物安全級別的格式不是固定的，也可能是其它變形形式，如下表<table>tableseeoriginaldocumentpage16</column></row><table>在上表中，參數(shù)信息唯一標(biāo)識值采用Hash或加密值i、Hash或加密值j、Hash或加密值k、Hash或加密值l，這些Hash或加密值各不相同。確定安全級別高低的依據(jù)是先根據(jù)策略狀態(tài)，策略狀態(tài)條件越多安全級別越高；再根據(jù)某一策略狀態(tài)下同一算法所對應(yīng)的FMR值，F(xiàn)MR值越小(在保證可用的情況下)安全越高。最后綜合這兩方面的情況確定出安全級別的值。安全級別的值放映生物安全級別的值。在策略下，一般認(rèn)為安全級別遞增次序是單模<單模+活體檢測<多模<多模+活體檢測，可以根據(jù)需要添加策略，即策略條件越多安全級別越高。即AKBj<Ck<Dl。對于策略狀態(tài)為單模情況下，同一個生物類型可能會有對應(yīng)多個生物處理算法，如處理指紋的算法有多種。對于策略狀態(tài)為多模情況下，相同組合的生物類型，可能對應(yīng)多種算法的組合，如指紋+虹膜組合可以對應(yīng)處理算法指紋算法1+虹膜算法1,也可以為指紋算法2+虹膜算法2。每一個算法或算法組合可以對應(yīng)多個FMR值，可以在滿足系統(tǒng)可用的條件下給出一系列的值，它們決定安全級別的高低。為了使系統(tǒng)可以根據(jù)用戶權(quán)限來選擇特定的生物身份認(rèn)證方式或算法，TAI中的電信生物^又威(TelebiometricAuthority,TBA)可以先和AA協(xié)商，以決定特定的斥又限對應(yīng)生物安全級別。這種對應(yīng)關(guān)系確定后，AA在給用戶頒發(fā)屬性證書時，會在i正書的Extension中填入相關(guān)安全級別的唯一標(biāo)示符。獨立生物設(shè)備生成的BDER是獨立生物設(shè)備在執(zhí)行完本環(huán)節(jié)的操作后撰寫的一份執(zhí)行報告，通常是發(fā)給IDV做決策參考，主要內(nèi)容涉及設(shè)備內(nèi)各模塊的工作狀態(tài)，輸入/輸出數(shù)據(jù)信息以及在Challenge-Response工作方式下，返回給IDV的響應(yīng)Response,該扭^M艮告的結(jié)構(gòu)如下表所示<table>tableseeoriginaldocumentpage17</column></row><table>下面通過本發(fā)明的幾個具體實施例對不同情況進行說明。如圖3所示，為本發(fā)明生物認(rèn)證方法的第二實施例的信令示意圖。在這個實施例中，實現(xiàn)認(rèn)證功能的功能模塊全處于客戶端，即獨立生物設(shè)備設(shè)置于客戶端內(nèi)，這時該獨立生物設(shè)備是一個可以進行完整生物認(rèn)證的設(shè)備，可以包括數(shù)據(jù)采集、中間信號處理、最終信號處理、存儲、比較、決策以及多模態(tài)融合決策等一個或多個功能模塊，并且該獨立生物設(shè)備也具有信息傳送能力。認(rèn)證流程包括以下步驟步驟201、用戶需要SP設(shè)備的某種服務(wù)時，客戶端向SP設(shè)備提出服務(wù)請求，并發(fā)送標(biāo)示為客戶端認(rèn)證的請求消息。接到SP設(shè)備同意請求后，客戶端將認(rèn)證設(shè)備的BDC,BDPKC以及用戶的BC，AC發(fā)到SP設(shè)備。步驟202、SP設(shè)備接受這些證書后和客戶端認(rèn)證的請求消息后，對BC，BDC,BDPKC的合法性進行檢查，并且檢查AC是否是捆綁于BC。如果以上檢查通過，則執(zhí)行步驟203，否則給客戶端發(fā)送拒絕服務(wù)信息。步驟203、SP設(shè)備要求權(quán)限驗證者(PrivilegeVerifier,簡稱PV)設(shè)備對用戶訪問本服務(wù)的權(quán)限進行確認(rèn)。它可以將AC發(fā)往PV設(shè)備；步驟204、PV設(shè)備接受到用戶AC后，進行權(quán)限鑒別。步驟205、PV設(shè)備將用戶訪問權(quán)限的鑒別結(jié)果發(fā)回SP設(shè)備。步驟206、SP設(shè)備接受到鑒別結(jié)果后，如果是肯定的結(jié)果，就將用戶BC,AC，生物認(rèn)證設(shè)備的BDC、BDPKC,以及標(biāo)示為客戶端認(rèn)證的請求消息，發(fā)往IDV設(shè)備(IdentityVerifier)。否則給客戶端發(fā)拒絕服務(wù)信息。步驟207、IDV設(shè)備收到上述證書和信息后，解析出AC中的安全級別，根據(jù)BAC中對應(yīng)的生物認(rèn)證的安全級別中的規(guī)定，檢查BC中是否存有該安全級別要求《吏用的生物特征，如果沒有，4企驗結(jié)果為不通過，并通知SP設(shè)備。如果有，則繼續(xù)檢查BDC中有關(guān)內(nèi)容是否滿足BAC中要求的安全級別，包括兩方面內(nèi)容，一個是生物安全級別，一個是"&備安全級別。生物安全級別檢查是核實BDC中記錄的該設(shè)備的功能滿足BAC的規(guī)定，包括諸如采集數(shù)據(jù)的質(zhì)量，i人證算法級別(通常一個權(quán)威的生物認(rèn)證設(shè)備性能評估機構(gòu)對認(rèn)證設(shè)備的認(rèn)證算法進行測試后，給出一個性能評估級別)，單或多模態(tài)檢測等等。如果滿足要求，IDV在檢驗記錄表中記錄BDPKC的ID、BDC的ID、BC的ID和用戶的安全級別，檢驗時間以及請求消息內(nèi)容。如杲不滿足，檢驗結(jié)果為不通過。步驟208、IDV設(shè)備給SP設(shè)備發(fā)送檢驗結(jié)果的消息。如果IDV設(shè)備肯定客戶端的認(rèn)證設(shè)備滿足BAC規(guī)定的所有條件，則給SP設(shè)備發(fā)送同意客戶端認(rèn)證的消息的同時，發(fā)送一控制信息(例如Challenge),同時將該控制信息和上述枱、驗記錄表中的記錄進行關(guān)聯(lián)記錄。步驟209、SP設(shè)備接收到IDV設(shè)備允許客戶端的獨立生物設(shè)備處理生物數(shù)據(jù)的消息并保存，同時保存控制信息，并將允許處理生物數(shù)據(jù)的消息轉(zhuǎn)給客戶端，同時還包括控制信息。步驟210、客戶端接受上述信息后，對用戶進行通常的生物認(rèn)證，然后生成BDER。步驟211、客戶端發(fā)送請求接受認(rèn)證結(jié)果的信息給SP設(shè)備，SP設(shè)備同意后，客戶端將本地認(rèn)證設(shè)備生成的BDER，同時還有請求接受認(rèn)證結(jié)果的消息。步驟212、SP設(shè)備接受到這些的數(shù)據(jù)后，將它們發(fā)送到IDV設(shè)備。步驟213、IDV設(shè)備檢查接受到BDER中BCD的ID,BCPKC的ID、BC的ID是否與檢驗記錄表的記錄一致，如果一致，則檢查本次接收到BDER中的生物設(shè)備響應(yīng)(Response)是否與IDV設(shè)備自身存儲的控制信息(Challenge)一致；如果一致，還通過比較接收到執(zhí)行報告的時間以及所述檢驗記錄表中進行記錄的時間判斷是否在合理的時間內(nèi)完成了認(rèn)證。如果滿足這些條件，則IDV設(shè)備繼續(xù)核查本次報告中各子模塊狀態(tài)是否正常，輸入輸出是否符合要求，如果沒有問題，則IDV設(shè)備確認(rèn)本次的認(rèn)證結(jié)果。應(yīng)注意的是，認(rèn)證結(jié)果可能會包括認(rèn)證成功或失敗，但IDV設(shè)備要確認(rèn)的是認(rèn)證過程的完整性和安全性。步驟214、IDV設(shè)備將本次的認(rèn)證結(jié)果發(fā)送回SP設(shè)備。SP設(shè)備根據(jù)此結(jié)果最終"^妻受或拒絕用戶的服務(wù)請求。如圖4所示，為本發(fā)明生物"i人證方法的第三實施例的信令示意圖。與上一實施例相比，本實施例在步驟207之前通過IDV設(shè)備驗證BC、AC、BDC和BDPKC的合法性，而非通過SP設(shè)備，步驟201a到206a如下步驟201a、用戶需要SP設(shè)備的某種服務(wù)時，客戶端向SP設(shè)備提出服務(wù)請求，并發(fā)送標(biāo)示為客戶端認(rèn)證的請求消息。接到SP設(shè)備同意請求后，客戶端將認(rèn)證設(shè)備的BDC、BDPKC以及用戶的BC、AC發(fā)到SP設(shè)備。步驟202a、SP設(shè)備將這些證書后和客戶端認(rèn)證的請求消息轉(zhuǎn)發(fā)給IDV設(shè)備；步驟203a、IDV設(shè)備接收到這些證書后和客戶端認(rèn)證的請求消息后，對BC,BDC，BDPKC的合法性進行檢查，并且檢查AC是否是捆綁于BC。如果以上檢查通過，則執(zhí)行步驟204a,否則給客戶端發(fā)送拒絕服務(wù)信息。步驟204a、IDV設(shè)備要求PV設(shè)備對用戶訪問本服務(wù)的權(quán)限進行確認(rèn)，將AC發(fā)往PV設(shè)備；步驟205a、PV設(shè)備接受到用戶的AC后，進行權(quán)限鑒別。步驟206a、PV設(shè)備將用戶訪問權(quán)限的鑒別結(jié)果返回給IDV設(shè)備，如果鑒別結(jié)果為不滿足權(quán)限，則由IDV設(shè)備給客戶端發(fā)拒絕服務(wù)信息。如圖5所示，為本發(fā)明生物認(rèn)證方法的第四實施例的信令示意圖。在本實施例中，客戶端中的獨立生物設(shè)備包括有數(shù)據(jù)采集和信號處理模塊，而實現(xiàn)比較、決策模塊的獨立生物設(shè)備設(shè)置在IDV設(shè)備側(cè)。認(rèn)證流程包括以下步驟步驟301、用戶需要SP設(shè)備的某種服務(wù)時，客戶端向SP設(shè)備提出服務(wù)請求，并發(fā)送標(biāo)示為客戶端認(rèn)證的請求消息。接到SP設(shè)備同意請求后，客戶端將認(rèn)證設(shè)備的BDC、BDPKC以及用戶的BC、AC發(fā)到SP設(shè)備，同時發(fā)送客戶端數(shù)據(jù)采集和信號處理請求消息。步,《302、SP設(shè)備接受這些證書后，對BC、BDC、BDPKC的合法性進行檢查，并且檢查AC是否是捆綁于BC。如果以上檢查通過，則執(zhí)行步驟303，否則給客戶端發(fā)送拒絕服務(wù)信息。步驟303、SP設(shè)備要求PV設(shè)備對用戶訪問本服務(wù)的權(quán)限進行確認(rèn)。它可以將AC發(fā)往PV設(shè)備；步驟304、PV設(shè)備接受到用戶AC后，進行權(quán)限鑒別。步驟305、PV設(shè)備將用戶訪問權(quán)限的鑒別結(jié)果發(fā)回SP設(shè)備。步驟306、SP設(shè)備接受到鑒別結(jié)果后，如果是肯定的結(jié)果，就將用戶BC，AC，生物認(rèn)證設(shè)備的BDC、BDPKC，以及標(biāo)示為客戶端認(rèn)證的請求消息，發(fā)往IDV設(shè)備，否則給客戶端發(fā)拒絕服務(wù)信息。步驟307、IDV設(shè)備收到上述證書和信息后，解析出AC中的安全級別，根據(jù)BAC中對應(yīng)的生物認(rèn)證的安全級別中的規(guī)定，檢查BC中是否存有該安全級別要求使用的生物特征，如果沒有，檢驗結(jié)果為不通過，并通知SP設(shè)備。如果有，則繼續(xù)檢查BDC中有關(guān)內(nèi)容是否滿足BAC中要求的安全級別，包括兩方面內(nèi)容，一個是生物安全級別，一個是設(shè)備安全級別。生物安全級別檢查是核實BDC中記錄的該設(shè)備的功能是否滿足BAC的規(guī)定，包括諸如采集數(shù)據(jù)的質(zhì)量，認(rèn)證算法級別(通常一個權(quán)威的生物認(rèn)證設(shè)備性能評估機構(gòu)對認(rèn)證設(shè)備的認(rèn)證算法進行測試后，給出一個性能評估級別)，單或多模態(tài)檢測等等。如果滿足要求，IDV在檢驗記錄表中記錄BDPKC的ID、BDC的ID、BC的ID和AC的安全級別，4企驗時間以及請求消息內(nèi)容，此外還需要單獨存放BC,如果不滿足，檢驗結(jié)果為不通過。步驟308、IDV設(shè)備給SP設(shè)備發(fā)送檢驗結(jié)果的消息。如果IDV設(shè)備肯定客戶端的認(rèn)證設(shè)備滿足BAC規(guī)定的所有條件，在給SP發(fā)送同意客戶端進行數(shù)據(jù)采集和信號處理的消息的同時，發(fā)送一個控制信息(例如Challenge)，并將該控制信息和上述檢驗記錄表中的記錄進行關(guān)聯(lián)記錄。步驟309、SP設(shè)備接收到IDV設(shè)備允許客戶端的獨立生物設(shè)備進行數(shù)據(jù)采集和信號處理的消息并保存，同時保存控制信息，并將允許數(shù)據(jù)采集和信號處理的消息轉(zhuǎn)給客戶端，同時還包括控制信息。步驟310、客戶端接受上述信息后，進行數(shù)據(jù)采集和信號處理，提取出生物特4正^:據(jù)，并生成BDER。步驟311、客戶端發(fā)送接收生物特征數(shù)據(jù)的信息給SP設(shè)備，SP設(shè)備同意后，客戶端將本地認(rèn)證設(shè)備生成的BDER,生物特征數(shù)據(jù)，以及內(nèi)容為完成數(shù)據(jù)采集和信號處理的消息發(fā)送SP設(shè)備。步驟312、SP設(shè)備接受到這些數(shù)據(jù)后，將它們發(fā)送到IDV設(shè)備端。步驟313、IDV設(shè)備檢查接受到BDER中BCD的ID,BCPKC的ID、BC的ID是否與檢驗記錄表的記錄一致，如果一致，則檢查本次接收到BDER中的生物設(shè)備響應(yīng)(Response)是否與IDV設(shè)備自身存儲的控制信息(Cha1lenge)一致；如果一致，還通過比較接收到執(zhí)行報告的時間以及所述檢驗記錄表中進行記錄的時間判斷是否在合理的時間內(nèi)完成了認(rèn)證。如果滿足這些條件，則IDV設(shè)備繼續(xù)核查本次報告中各子模塊狀態(tài)是否正常，輸入輸出是否符合要求，如果沒有問題，IDV檢查檢驗記錄表中本用戶的安全級別，從BAC中找到對應(yīng)生物安全級別，由于已經(jīng)完成數(shù)據(jù)采集和信號處理，現(xiàn)在只從BAC中對應(yīng)安全級別的條目中找出比較、決策等的安全要求，然后根據(jù)這些要求，選擇一個本地的含有比較、決策模塊的獨立生物設(shè)備，并送特征數(shù)據(jù)以及在步驟307中存儲的BC給這個設(shè)備，從而完成一個完整的生物認(rèn)證過程。決策設(shè)備將認(rèn)證結(jié)果返回給IDV,IDV確認(rèn)此結(jié)果為本次的認(rèn)證結(jié)果。步驟314、IDV設(shè)備將本次的認(rèn)證結(jié)果發(fā)送回SP設(shè)備。SP設(shè)備根據(jù)此結(jié)果最終接受或拒絕用戶的服務(wù)請求。如圖6所示，為本發(fā)明生物認(rèn)證方法的第五實施例的信令示意圖。與上一實施例相比，本實施例在步驟307之前通過IDV設(shè)備—瞼證BC、AC、BDC和BDPKC的合法性，而非通過SP設(shè)備，步驟3Gla到306a如下步驟301a、用戶需要SP設(shè)備的某種服務(wù)時，客戶端向SP設(shè)備提出服務(wù)請求，并發(fā)送標(biāo)示為客戶端認(rèn)證的請求消息。接到SP設(shè)備同意請求后，客戶端將認(rèn)證設(shè)備的BDC，BDPKC以及用戶的BC,AC發(fā)到SP設(shè)備。步驟302a、SP設(shè)備將這些證書后和客戶端認(rèn)證的請求消息轉(zhuǎn)發(fā)給IDV設(shè)備；步驟303a、IDV設(shè)備接收到這些證書后和客戶端認(rèn)證的請求消息后，對BC,BDC，BDPKC的合法性進行檢查，并且檢查AC是否是捆綁于BC。如果以上檢查通過，則執(zhí)行步驟304a，否則給客戶端發(fā)送拒絕服務(wù)信息。步驟304a、IDV設(shè)備要求PV設(shè)備對用戶訪問本服務(wù)的權(quán)限進行確認(rèn)，將AC發(fā)往PV設(shè)備；步驟305a、PV設(shè)備接受到用戶的AC后，進行權(quán)限鑒別。步驟306a、PV設(shè)備將用戶訪問權(quán)限的鑒別結(jié)果返回給IDV設(shè)備，如果鑒別結(jié)果為不滿足權(quán)限，則由IDV設(shè)備給客戶端發(fā)拒絕服務(wù)信息。以上的本發(fā)明實施例給獨立生物設(shè)備引入了BDC，BDPKC,BDER等，通過BDPKC這個公鑰證書來證明獨立生物設(shè)備身份的合法性；通過BDC來說明獨立生物設(shè)備的功能、性能以及設(shè)備安全級別；通過BDER來報告其處理過程的簡要情況。IDV通過各獨立生物設(shè)備上報的這些材料來考察獨立生物設(shè)備處理數(shù)據(jù)的可靠性和安全性，當(dāng)所有獨立生物設(shè)備都滿足BAC中規(guī)定的安全策略時，就可以確信整個認(rèn)證過程沒有問題，從而得出認(rèn)證結(jié)果是可靠的和安全的這樣的結(jié)論，從而可以使IDV接受獨立生物設(shè)備的認(rèn)證結(jié)果。如圖7所示，為本發(fā)明身傷4人證者設(shè)備的第一實施例的結(jié)構(gòu)示意圖，本實施例包括安全級別核查模塊1,用于接收到客戶端發(fā)送的所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書后，如果所述用戶具有訪問服務(wù)的權(quán)限，則核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)的安全級別，并做相應(yīng)記錄；處理通知模塊2，用于在所述獨立生物設(shè)備符合所述安全級別時，向所述獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；執(zhí)行報告核查模塊3，用于接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合所述記錄，如果符合，則確認(rèn)獨立生物設(shè)備的處理結(jié)果。如圖8所示，為本發(fā)明身份認(rèn)證者設(shè)備的第二實施例的結(jié)構(gòu)示意圖，與上一實施例相比，本實施例還包括合法性核查模塊5,用于接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性；權(quán)限判斷模塊4，用于在所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書都滿足合法性時，根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限。如圖9所示，為本發(fā)明生物認(rèn)證系統(tǒng)的第一實施例的結(jié)構(gòu)示意圖，本實施例包括獨立生物設(shè)備6、合法性核查模塊5、權(quán)限驗證模塊4、安全級別核查模塊1、處理通知模塊2和執(zhí)行報告核查模塊3。其中，獨立生物設(shè)備6設(shè)于客戶端內(nèi)，用于對生物數(shù)據(jù)進行處理，以及生成生物設(shè)備執(zhí)行報告；合法性核查模塊5設(shè)于身份認(rèn)證者設(shè)備內(nèi)，用于接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性；權(quán)限驗證模塊4，設(shè)于權(quán)限驗證者設(shè)備內(nèi)，用于在所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書都滿足合法性時，根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限；安全級別核查模塊1，設(shè)于身份認(rèn)證者設(shè)備內(nèi)，用于在所述用戶具有訪問服務(wù)的權(quán)限時，核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)于所述權(quán)限的安全級別；處理通知模塊2，用于在所述獨立生物設(shè)備符合所述安全級別時，向所述獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；執(zhí)行報告核查模塊3，設(shè)與身份認(rèn)證者設(shè)備內(nèi)，用于在所述獨立生物設(shè)備符合所述安全級別時，接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合要求預(yù)定條件，如果符合，則認(rèn)同獨立生物設(shè)備的處理結(jié)果。在本實施例中，客戶端和身份認(rèn)證者設(shè)備通過服務(wù)運營商設(shè)備7轉(zhuǎn)發(fā)消息。如圖10所示，為本發(fā)明生物認(rèn)證系統(tǒng)的第二實施例的結(jié)構(gòu)示意圖，與上一實施例相比，本實施例的合法性核查模塊5設(shè)于服務(wù)運營商設(shè)備7內(nèi)，執(zhí)行所迷用戶的生物證書和屬性證書，以及所迷客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性的核查。在本實施例中客戶端和身份認(rèn)證者設(shè)備也是通過服務(wù)運營商設(shè)備7進行消息轉(zhuǎn)發(fā)的。本發(fā)明實施例給獨立生物設(shè)備引入了BDC，BDPKC，BDER等，通過BDPKC這個公鑰證書來證明獨立生物設(shè)備身份的合法性；通過BDC來說明獨立生物設(shè)備的功能、性能以及設(shè)備安全級別；通過BDER來報告其處理過程的簡要情況。IDV就是通過各獨立生物設(shè)備上報的這些材料來考察獨立生物設(shè)備處理數(shù)據(jù)的可靠性和安全性，當(dāng)滿足條件時，認(rèn)可獨立生物設(shè)備的安全性，并認(rèn)可這些設(shè)備處理結(jié)果。最后應(yīng)當(dāng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制；盡管參照較佳實施例對本發(fā)明進行了詳細(xì)的說明，所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對本發(fā)明的具體實施方式進行修改或者對部分技術(shù)特征進行等同替換；而不脫離本發(fā)明技術(shù)方案的精神，其均應(yīng)涵蓋在本發(fā)明請求保護的技術(shù)方案范圍當(dāng)中。權(quán)利要求1、一種生物認(rèn)證方法，其特征在于，包括接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性；如果所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書都滿足合法性，根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限；如果所述用戶具有訪問服務(wù)的權(quán)限，核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)的安全級別，并做相應(yīng)記錄；如果所述獨立生物設(shè)備符合所述安全級別，向所述獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合所述記錄，如果符合，則確認(rèn)獨立生物設(shè)備的處理結(jié)果。2、根據(jù)權(quán)利要求1所述的生物認(rèn)證方法，其特征在于，所述核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性的操作具體包括服務(wù)提供商設(shè)備檢查接收的服務(wù)請求中包括客戶端進行生物數(shù)據(jù)處理的標(biāo)識時，向所述客戶端返回響應(yīng)；所述客戶端將所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性發(fā)送到所述服務(wù)提供商設(shè)備；所述服務(wù)提供商設(shè)備對所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備z〉鑰i正書的合法性進行核查。3、4艮據(jù)權(quán)利要求1所述的生物認(rèn)證方法，其特征在于，所述核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性的操作具體包括服務(wù)提供商設(shè)備檢查接收的服務(wù)請求中包括客戶端進行生物數(shù)椐處理的標(biāo)識時，向所述客戶端返回響應(yīng)；所述客戶端將所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性發(fā)送到所述服務(wù)提供商設(shè)備；所述服務(wù)提供商設(shè)備將所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書發(fā)送到身份認(rèn)證者設(shè)備；所述身份認(rèn)證者設(shè)備對所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書的合法性進行核查。4、根據(jù)權(quán)利要求2或3所述的生物認(rèn)證方法，其特征在于，如果所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書未通過合法性核查，則向所述客戶端發(fā)送拒絕服務(wù)消息。5、根據(jù)權(quán)利要求2所述的生物認(rèn)證方法，其特征在于，所述根據(jù)屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限的操作具體包括性證書，并根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限；所述權(quán)限驗證者設(shè)備將所述判斷結(jié)果返回所述服務(wù)提供商設(shè)備；如果所述判斷結(jié)果為所述用戶具有訪問服務(wù)的權(quán)限，則所述服務(wù)提供商設(shè)備將所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書發(fā)送給所述身份認(rèn)證者設(shè)備。6、根據(jù)權(quán)利要求3所述的生物認(rèn)證方法，其特征在于，所述根據(jù)屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限的操作具體包括性證書，并根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限，然后將所述判斷結(jié)果返回所述身份認(rèn)證者設(shè)備。7、根據(jù)權(quán)利要求5或6所述的生物認(rèn)證方法，其特征在于，如果所述判斷結(jié)果為所述用戶不具有訪問服務(wù)的權(quán)限，則向所述客戶端發(fā)送拒絕服務(wù)消息。8、根據(jù)權(quán)利要求1所迷的生物認(rèn)證方法，其特征在于，所述核查獨立生物設(shè)備是否符合生物算法證書中對應(yīng)于所述權(quán)限的安全級別的操作具體包括所述身份認(rèn)證者設(shè)備解析所述屬性證書中的權(quán)限，并根據(jù)生物算法證書中與所述權(quán)限對應(yīng)的安全級別，判斷所述用戶的生物證書中是否存在該權(quán)限要求^吏用的生物特征；如果存在該權(quán)限要求使用的生物特征，則檢查所述生物設(shè)備證書是否滿足該權(quán)限要求的生物安全級別和設(shè)備安全級別，并且在檢驗記錄表中記錄所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書的標(biāo)識信息、檢測時間和請求消息的內(nèi)容。9、根據(jù)權(quán)利要求8所述的生物認(rèn)證方法，其特征在于，所述接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行^f良告之前，還包括以下搡作在所述身份認(rèn)證者設(shè)備通過服務(wù)提供商設(shè)備向所述客戶端發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息時，同時發(fā)送身份認(rèn)證者設(shè)備對客戶端的獨立生物設(shè)備的控制信息，并將該控制信息記錄在所述檢驗記錄表的相應(yīng)記錄中；所述客戶端的獨立生物設(shè)備根據(jù)所述消息執(zhí)行生物認(rèn)證操作，執(zhí)行完畢后，生成生物設(shè)備執(zhí)行報告，并向所述服務(wù)提供商設(shè)備發(fā)出數(shù)據(jù)處理完成的消息；所述客戶端接收到服務(wù)提供商設(shè)備同意接收處理結(jié)果的響應(yīng)后，將所述生物設(shè)備執(zhí)行報告發(fā)送給所述服務(wù)提供商；所述服務(wù)提供商將所述生物設(shè)備執(zhí)行報告發(fā)送到所述身份認(rèn)證者設(shè)備。10、根據(jù)權(quán)利要求8所述的生物認(rèn)證方法，其特征在于，所述接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告之前，還包括以下操作在所述身份認(rèn)證者設(shè)備通過服務(wù)提供商設(shè)備向所述客戶端發(fā)送允許獨立生物設(shè)備進行數(shù)據(jù)采集和信號處理的消息時，同時發(fā)送身份認(rèn)證者設(shè)備對客戶端的獨立生物設(shè)備的控制信息，并將該控制信息記錄在所述檢驗記錄表的相應(yīng)記錄中；所述客戶端的獨立生物設(shè)備根據(jù)所述消息執(zhí)行數(shù)據(jù)采集和信號處理，獲得生物特征數(shù)據(jù)，執(zhí)行完畢后，生成生物設(shè)備執(zhí)行報告，并向所述服務(wù)提供商設(shè)備發(fā)出數(shù)據(jù)采集和信號處理的操作完成的消息；所述客戶端接收到服務(wù)提供商設(shè)備同意接收處理結(jié)果的響應(yīng)后，將所述生物設(shè)備執(zhí)行報告發(fā)送給所述服務(wù)提供商；所述服務(wù)提供商將所述生物設(shè)備執(zhí)行報告發(fā)送到所述身份認(rèn)證者設(shè)備。11、根據(jù)權(quán)利要求9或10所述的生物認(rèn)證方法，其特征在于，所述核查所述生物設(shè)備執(zhí)行報告是否符合要求所述記錄的操作具體包括所述身份認(rèn)證者設(shè)備核查所述生物設(shè)備執(zhí)行報告中的生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書的標(biāo)識信息是否與所述檢驗記錄表一致；如果所述標(biāo)識信息與檢驗記錄表一致，則檢查所述生物設(shè)備執(zhí)行報告中的生物設(shè)備響應(yīng)是否與所述身份認(rèn)證者設(shè)備自身存儲的控制信息一致；如果所述生物設(shè)備響應(yīng)與所述控制信息一致，則通過比較接收到執(zhí)行^t艮告的時間以及所述檢驗記錄表中進行記錄的時間，判斷獨立生物設(shè)備是否在預(yù)定時間內(nèi)完成工作；如果所述獨立生物設(shè)備在預(yù)定時間內(nèi)完成工作，則核查所述獨立生物設(shè)備執(zhí)行報告中的獨立生物設(shè)備的各個子模塊狀態(tài)和輸入輸出狀態(tài)是否都符合要求。12、根據(jù)權(quán)利要求10所述的生物認(rèn)證方法，其特征在于，如果所述生物設(shè)備執(zhí)行報告符合所述記錄，則所述身份認(rèn)證者設(shè)備根據(jù)所述生物設(shè)備執(zhí)行報告中的生物特征數(shù)據(jù)，并根據(jù)所述生物算法證書中對應(yīng)的安全級別選擇本地的或可信任的第三方的實現(xiàn)比較和認(rèn)證功能的獨立生物設(shè)備對所述生物特征數(shù)據(jù)進行認(rèn)證，所述實現(xiàn)比較和認(rèn)證功能的獨立生物設(shè)備將認(rèn)證結(jié)果返回給所述身份認(rèn)證者設(shè)備。13、一種身份認(rèn)證者設(shè)備，其特征在于，包括安全級別核查模塊，用于接收到客戶端發(fā)送的所述用戶的生物證書和公鑰證書后，如果所迷用戶具有訪問服務(wù)的權(quán)限，則核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)的安全級別，并做相應(yīng)記錄；處理通知模塊，用于在所述獨立生物設(shè)備符合所述安全級別時，向所述獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；執(zhí)行報告核查模塊，用于接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合所述記錄，如果符合，則確認(rèn)獨立生物設(shè)備的處理結(jié)杲。14、根據(jù)權(quán)利要求13所述的身份認(rèn)證者設(shè)備，其特征在于，還包括合法性核查模塊，用于接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性；權(quán)限判斷模塊，用于在所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書都滿足合法性時，根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限。15、一種生物認(rèn)證系統(tǒng)，其特征在于，包括獨立生物設(shè)備，設(shè)于客戶端內(nèi)，用于對生物數(shù)據(jù)進行處理，以及生成生物設(shè)備執(zhí)行報告；合法性核查模塊，設(shè)于服務(wù)提供商設(shè)備或身份認(rèn)證者設(shè)備內(nèi)，用于接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查所述用戶的生物證書和屬性證書，以及所述客戶端中的獨立生物設(shè)備的生物設(shè)備證書和生物設(shè)備公鑰證書的合法性；權(quán)限驗證模塊，設(shè)于權(quán)限驗證者設(shè)備內(nèi)，用于在所述生物證書、屬性證書、生物設(shè)備證書和生物設(shè)備公鑰證書都滿足合法性時，根據(jù)所述屬性證書判斷所述用戶是否具有訪問服務(wù)的權(quán)限；安全級別核查模塊，設(shè)于身份認(rèn)證者設(shè)備內(nèi)，用于在所述用戶具有訪問服務(wù)的權(quán)限時，核查所述獨立生物設(shè)備是否符合生物算法證書中對應(yīng)于所述權(quán)限的安全級別；處理通知模塊，用于在所述獨立生物設(shè)備符合所述安全級別時，向所述獨立生物設(shè)備發(fā)送允許獨立生物設(shè)備處理生物數(shù)據(jù)的消息；執(zhí)行報告核查模塊，設(shè)與身份認(rèn)證者設(shè)備內(nèi)，用于在所述獨立生物設(shè)備符合所述安全級別時，接收所述獨立生物設(shè)備發(fā)送的生物設(shè)備執(zhí)行報告，并核查所述生物設(shè)備執(zhí)行報告是否符合要求預(yù)定條件，如果符合，則認(rèn)同獨立生物設(shè)備的處理結(jié)果。全文摘要本發(fā)明涉及一種生物認(rèn)證方法，包括接收到客戶端發(fā)出的用戶請求服務(wù)的消息后，核查BC和AC，以及BDC和BDPKC的合法性；如果都滿足合法性，根據(jù)AC判斷用戶是否具有訪問服務(wù)的權(quán)限；如果用戶具有訪問服務(wù)的權(quán)限，核查是否符合BAC中對應(yīng)于權(quán)限的安全級別；符合安全級別時，接收獨立生物設(shè)備發(fā)送的BDER，并核查是否符合記錄，符合則確認(rèn)獨立生物設(shè)備的處理結(jié)果。本發(fā)明還涉及一種身份認(rèn)證者設(shè)備生物認(rèn)證系統(tǒng)，包括安全級別核查模塊、處理通知模塊和執(zhí)行報告核查模塊。本發(fā)明還涉及一種生物認(rèn)證系統(tǒng)。本發(fā)明能夠保證最終的身份驗證者設(shè)備能夠確保在分布式網(wǎng)絡(luò)環(huán)境下不在同一物理地點的完成具體身份認(rèn)證的獨立生物設(shè)備的認(rèn)證結(jié)果的可靠性和安全性。文檔編號G06K9/00GK101350811SQ20071013729公開日2009年1月21日申請日期2007年7月18日優(yōu)先權(quán)日2007年7月18日發(fā)明者位繼偉,全馮,劉宏偉,菲蘇申請人:華為技術(shù)有限公司