專利名稱:生物測定憑證驗證框架的制作方法
生物測定憑證驗證框架
背景
用于交互式用戶或網(wǎng)絡(luò)認(rèn)證的生物測定樣本與現(xiàn)有認(rèn)證方案中所使用的 傳統(tǒng)口令或密鑰的不同之處在于它們在每次采樣時都不相同�。生物測定樣本出 于若干原因?qū)τ诿荑€資料而言并不是理想的。它們具有有限的強(qiáng)度并且密碼種 子的熵可被重新生成或改變����。生物測定樣本不是絕對值;它們是樣本并且可隨 著每次采樣而不同�。密鑰是從原始種子定義的絕對值,而生物測定讀數(shù)是變化 的。由于這些限制����,生物測定樣本并不是密鑰資料的最佳選擇。
生物測定樣本通常與先前掃描和/或計算的存儲的樣本(在行業(yè)中經(jīng)常被 稱為"模板")進(jìn)行匹配����,并且如果確認(rèn)了與存儲的樣本的活匹配(live match), 則將存儲的密鑰資料發(fā)行給系統(tǒng)以允許用戶登錄會話使用該密鑰資料來繼續(xù)�。 然而,如果該匹配過程和/或密鑰存儲是在諸如物理上安全的服務(wù)器等安全環(huán)境 之外完成的�,則該密鑰資料和/或參考模板容易受到攻擊和泄漏。
由華盛頓州雷蒙德市的微軟⑧公司提供的現(xiàn)有的WindowsTM體系結(jié)構(gòu)支 持口令或Kerberos/PKINIT認(rèn)證���,但不支持服務(wù)器上的生物測定模板的匹配來 作為認(rèn)證的一個普通部分����。當(dāng)今由生物測定解決方案廠商提供的解決方案通常 將諸如口令或基于x.509的證書等傳統(tǒng)登錄憑證存儲在客戶機(jī)器上���,并且然后 在與也存儲在該客戶PC上的參考生物測定樣本的有效模板匹配之后提交這些 登錄憑證���。在現(xiàn)有系統(tǒng)中,口令�����、基于^509的證書和參考模板都容易受到攻 擊和泄漏,因為它們駐留在物理上受保護(hù)的服務(wù)器之外���。
因此期望提供在安全環(huán)境中使用生物測定標(biāo)識的系統(tǒng)或方法�。本發(fā)明解決 了這些和其他問題���。
概述
提供本概述以便以簡化的形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一 些概念�����。本概述并不旨在標(biāo)識出所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不旨在用于限制所要求保護(hù)的主題的范圍�。
使用生物測定標(biāo)識來訪問諸如Windows或基于現(xiàn)用目錄的域基礎(chǔ)結(jié)構(gòu)等 認(rèn)證系統(tǒng)方面的進(jìn)步包括從用戶采集生物測定數(shù)據(jù)并將用戶ID和PIN輸入到
客戶計算機(jī)。該客戶計算機(jī)安全地與可將用戶生物測定數(shù)據(jù)與該用戶的一組生 物測定數(shù)據(jù)模板相匹配的生物測定匹配服務(wù)器進(jìn)行通信����。該生物測定服務(wù)器可 驗證該用戶被授權(quán)并標(biāo)識。 一旦通過驗證�����,匹配服務(wù)器將臨時證書連同密鑰一
起發(fā)送至該客戶計算機(jī)�����。使用該臨時證書和密鑰來獲取對Kerberos認(rèn)證系統(tǒng)的 即時訪問?��?蛻魴C(jī)對該臨時證書的后續(xù)使用將導(dǎo)致對Kerberos認(rèn)證系統(tǒng)的拒絕 訪問�,因為該證書已經(jīng)過期���。 一旦客戶計算機(jī)獲取對Kerberos系統(tǒng)的訪問�,于 是就可獲得對一組安全的計算資源的后續(xù)訪問����。 附圖
在附圖中
圖1是示出現(xiàn)有技術(shù)認(rèn)證系統(tǒng)的框圖; 圖2是描繪本發(fā)明的各功能方面的示例框圖����; 圖3是示出本發(fā)明的一實施例的示例流程圖;以及 圖4是示出示例主機(jī)計算環(huán)境的框圖�。
詳細(xì)描述 示例性實施例
本發(fā)明對于安全認(rèn)證計算系統(tǒng)環(huán)境運行良好。 一種這樣的現(xiàn)有認(rèn)證系統(tǒng)環(huán) 境對于本領(lǐng)域的技術(shù)人員被公知為Kerberos��。圖1是典型的Kerberos系統(tǒng)的框 圖����。Kerberos是允許個人通過不安全的網(wǎng)絡(luò)來進(jìn)行通信以便以安全的方式來向 另一個人證明其身份的計算機(jī)網(wǎng)絡(luò)認(rèn)證協(xié)議��。Kerberos防止竊聽或重放攻擊����, 并確保數(shù)據(jù)的完整性�����。Kerberos提供其中用戶和服務(wù)兩者驗證彼此的身份的互 認(rèn)證��。Kerberos在對稱密鑰密碼術(shù)上構(gòu)建并需要可信的第三方����。
Kerberos包括兩個功能部分認(rèn)證服務(wù)器(AS) 104和權(quán)證授予服務(wù)器 (TGS) 106。 Kerberos在用來證明用戶的身份的"權(quán)證(ticket)"的基礎(chǔ)上工 作�。通過使用Kerberos,客戶機(jī)102能夠證明其身份以便使用服務(wù)服務(wù)器(SS) 108的資源���。Kerberos維護(hù)一密鑰數(shù)據(jù)庫���;網(wǎng)絡(luò)上的每一個實體,無論客戶機(jī)還是服務(wù)器�����,都共享只對其本身和Kerberos已知的密鑰。對該密鑰的知曉用于 證明實體的身份��。對于兩個實體之間的通信�,Kerberos生成它們可用來保護(hù)其 交互的會話密鑰。
通過使用Kerberos系統(tǒng)�,客戶機(jī)向AS 104進(jìn)行自我認(rèn)證,然后向TGS 106 展示它被授權(quán)接收服務(wù)的權(quán)證(并且接收該權(quán)證)���,然后向SS展示它已被批 準(zhǔn)接收該服務(wù)����。該過程在用戶在客戶機(jī)102上輸入用戶名和口令時開始����。客戶 機(jī)對所輸入的口令執(zhí)行單向散列�,而這變成了該客戶機(jī)的密鑰。該客戶機(jī)經(jīng)由 鏈路110將一明文消息發(fā)送至AS 104����,從而代表用戶請求服務(wù)。此時密鑰和口 令都未被發(fā)送至AS����。
AS 104檢查以査看客戶機(jī)102是否在其數(shù)據(jù)庫中���。如果在,則AS經(jīng)由鏈 路110將以下兩條消息發(fā)送回到該客戶機(jī)
*消息A:使用該用戶的密鑰來加密的客戶機(jī)/TGS會話密鑰以及
*消息B:使用該TGS的密鑰來加密的權(quán)證授予權(quán)證(包括客戶機(jī)ID�、客戶
機(jī)網(wǎng)絡(luò)地址、權(quán)證有效時段和客戶機(jī)/TGS會話密鑰)�����。
一旦客戶機(jī)接收到消息A和B�,它就解密消息A以獲得客戶機(jī)/TGS會話密鑰。 該會話密鑰用于與TGS的進(jìn)一步通信���。(注意該客戶機(jī)無法解密消息B�, 因為該消息是用TGS的密鑰來加密的)�����。此時��,客戶機(jī)102具有足夠的信息 來向TGS進(jìn)行自我認(rèn)證�。
在請求服務(wù)時����,客戶機(jī)102經(jīng)由鏈路112將以下兩條消息發(fā)送至TGS 106: *消息C:由來自消息B的權(quán)證授予權(quán)證和所請求服務(wù)的ID組成�����,以及 *消息D:使用客戶機(jī)/TGS會話密鑰來加密的認(rèn)證碼(由客戶機(jī)ID和時間戳 組成)�����。
在接收到消息C和D后���,TGS 106就使用客戶機(jī)/TGS會話密鑰來解密消息D (認(rèn)證碼)并經(jīng)由鏈路112將以下兩條消息發(fā)送至客戶機(jī)102: *消息E:使用服務(wù)的密鑰來加密的客戶機(jī)-服務(wù)器權(quán)證(包括客戶機(jī)ID�����、客 戶機(jī)網(wǎng)絡(luò)地址���、有效時段),以及
*消息F:用客戶機(jī)/TGS會話密鑰加密的客戶機(jī)/服務(wù)器回話密鑰����。
在從TGS 106接收到消息E和F后,客戶機(jī)102就具有足夠的信息來向 SS 108進(jìn)行自我認(rèn)證���?��?蛻魴C(jī)102經(jīng)由鏈路114連接到SS 108并發(fā)送以下兩
8條消息-
*消息G:使用服務(wù)的密鑰來加密的客戶機(jī)-服務(wù)器權(quán)證��,以及
*消息H:使用客戶機(jī)/服務(wù)器會話密鑰來加密的且包括客戶機(jī)ID�、時間戳的
新認(rèn)證碼��。
SS 108使用其自己的密鑰來解密該權(quán)證并經(jīng)由鏈路114將以下消息發(fā)送 至客戶機(jī)102以確認(rèn)其真實身份以及為該客戶機(jī)服務(wù)的意愿��。 *消息I:使用客戶機(jī)/服務(wù)器會話密鑰來加密的在客戶機(jī)的最近的認(rèn)證碼中找
到的時間戳加1���。
客戶機(jī)102使用其與SS 108共享的密鑰來解密該確認(rèn)��,并且檢査該時間戳是 否被正確地更新����。如果是�,則客戶機(jī)102可信任SS 108并可開始向該SS 108 發(fā)出服務(wù)請求。SS 108然后可向該客戶機(jī)102提供所請求的服務(wù)��。
本發(fā)明可有利地將Kerberos系統(tǒng)的各方面用于生物測定采樣器設(shè)備����。在 一種環(huán)境中,可以實現(xiàn)一新框架���,其中諸如用戶名�、域名�����、UPN等所聲明的用 戶身份��、PIN/口令和經(jīng)讀取器簽名的密碼生物測定樣本被安全地發(fā)送至保存在 生物測定系統(tǒng)中登記的每一個用戶的參考模板的新定義的生物測定匹配服務(wù) 器��。如果該樣本上的所聲明的身份����、PIN/口令、簽名和匹配都被確認(rèn)了��,則生 成諸如X.509證書或?qū)ΨQ密鑰或一次性口令等臨時憑證并將其返回給用戶�。在 一個實施例中,如本領(lǐng)域的技術(shù)人員已知的�,可以使用替換臨時證書。用戶然 后可使用該證書以便以自動化的或手動方式登錄認(rèn)證系統(tǒng)��。
該新框架提供比諸如上述的現(xiàn)有生物測定實現(xiàn)更好的對用于交互式或網(wǎng) 絡(luò)用戶登錄的密鑰資料的保護(hù)��。該新框架的優(yōu)點包括生物測定采樣設(shè)備中的密 鑰可用于保護(hù)樣本免遭篡改�。該密鑰可以在生物測定采樣器中的集成電路中提 供。生物測定匹配服務(wù)器上的密鑰可用于生成臨時登錄證書。該密鑰駐留在物 理上安全的服務(wù)器上并且受到網(wǎng)絡(luò)的信任以創(chuàng)建憑證���。給予用戶用于登錄的證 書只可使用非常短的時間���。并且,該新框架與現(xiàn)有Kerberos/PKINIT認(rèn)證結(jié)構(gòu) 兼容����。
圖2是示出本發(fā)明的各功能方面的框圖。用戶輸入202被提供給客戶計算 機(jī)206和生物測定采樣器204兩者����。在生物測定識別系統(tǒng)中需要該用戶輸入來 登錄到客戶機(jī)以獲取對服務(wù)服務(wù)器212中的資源的訪問。為了訪問服務(wù)器212�,用戶需要使用生物測定匹配服務(wù)器208經(jīng)由生物測定采樣器設(shè)備204和客戶計 算機(jī)206來進(jìn)行標(biāo)識。結(jié)合認(rèn)證系統(tǒng)210�,該用戶然后能夠在被認(rèn)證的情況下 使用服務(wù)服務(wù)器212。
在涉及本發(fā)明的各方面的典型情形中��,用戶可通過輸入用戶ID和PIN或 口令來開始對客戶機(jī)的訪問����。這形成了用戶輸入202的一部分??蛻粲嬎銠C(jī)206 可提示用戶呈現(xiàn)生物測定樣本���。在某些系統(tǒng)中,生物測定樣本可簡單地被動收 集而不是主動收集���。生物測定采樣器204收集用戶的生物測定樣本。生物測定 采樣器204然后密碼地簽署該生物測定樣本并將其轉(zhuǎn)發(fā)至客戶計算機(jī)系統(tǒng) 206���。該密碼簽名用于保護(hù)該生物測定樣本以免在該客戶計算機(jī)中被篡改���。該 數(shù)字密碼簽名建立向已取得該樣本的生物測定設(shè)備的原始認(rèn)證。該動作證明來 自已知源的一新鮮樣本被提供給客戶機(jī)���。
客戶計算機(jī)206然后建立與生物測定匹配服務(wù)器208的安全連接226并傳 送該生物測定樣本信息�����。在一個實施例中���,在客戶機(jī)206和生物測定匹配服務(wù) 器208之間建立安全套接字層(SSL)和/或傳輸層安全(TLS)連接或其他安 全鏈接方法以保護(hù)該樣本免予在傳送時被篡改。
從客戶機(jī)206發(fā)送至生物測定服務(wù)器208的信息包括數(shù)字簽名�����、生物測定 樣本、用戶輸入PIN和/或口令��、以及時間戳和/或現(xiàn)時值����。如果該數(shù)據(jù)匹配生 物測定匹配服務(wù)器208的數(shù)據(jù)庫中與該用戶相關(guān)聯(lián)的參考數(shù)據(jù),則該生物測定 匹配服務(wù)器為用戶登錄會話生成密碼公鑰/私鑰對和諸如x.509證書等數(shù)字證 書���。數(shù)字證書用短有效時段來構(gòu)造以使其將在短時間內(nèi)過期��。將該數(shù)字證書和 密鑰對經(jīng)由安全鏈路從生物測定匹配計算機(jī)208發(fā)送至客戶計算機(jī)206��。在本 發(fā)明的一個方面中����,發(fā)放臨時數(shù)字證書以提高在獲得對服務(wù)服務(wù)器212資源的 訪問時的安全等級��。許多生物測定設(shè)備讀取器或生物測定系統(tǒng)將一永久證書存 儲在其生物測定讀取器或客戶計算機(jī)中��。這因呈現(xiàn)先前訪問中所使用的證書而 增加了非法訪問的風(fēng)險���。通過生成由認(rèn)證系統(tǒng)識別的臨時或短時證書��,增強(qiáng)了 生物測定讀數(shù)的新鮮度和證書的強(qiáng)度�。臨時有效的短時證書更安全,因為它在 一固定時間段內(nèi)無法被重復(fù)使用來獲取多于一組的認(rèn)證系統(tǒng)憑證���。在一個實施 例中����,該固定時間段可被固定在從十分鐘到幾小時的時間間隔����。因此���,證書對 于特定認(rèn)證會話是唯一的��。在為認(rèn)證系統(tǒng)所分配的時間內(nèi)使用該臨時證書的失
10敗將導(dǎo)致認(rèn)證系統(tǒng)訪問由于證書過期而被拒絕�。
一旦已發(fā)出密鑰和證書�,客戶機(jī)206就可進(jìn)而向安全系統(tǒng)210進(jìn)行自我認(rèn)
證,該安全系統(tǒng)210在一示例性實現(xiàn)中將會是Kerberos KDC (密鑰分發(fā)中心)���。 一示例認(rèn)證系統(tǒng)是Kerberos系統(tǒng)�。在一個Kerberos認(rèn)證實施例中�����,客戶機(jī)使 用當(dāng)前PKINIT協(xié)議來將用戶ID、證書和簽名作為認(rèn)證請求呈現(xiàn)給Kerberos 認(rèn)證服務(wù)器(見圖l)�����。如果該PKINIT認(rèn)證協(xié)議成功�����,則向客戶機(jī)206發(fā)出 包含Kerberos權(quán)證授予權(quán)證(TGT)的用戶令牌以供在該基于Kerberos的網(wǎng)絡(luò) 中的后續(xù)使用�����?���?蛻魴C(jī)106可在此時丟棄臨時PKI證書和密鑰或密鑰對??蛻?機(jī)206然后通過其他Kerberos訪問協(xié)議來自由獲取對服務(wù)服務(wù)器212的訪問。
圖3是描繪結(jié)合認(rèn)證系統(tǒng)使用生物測定設(shè)備的方法300的流程圖���。該過程 通過用戶開始使用生物測定標(biāo)識系統(tǒng)的客戶計算機(jī)的登錄會話而開始(步驟 302)�����。在一個實施例中�,遇到其中客戶計算機(jī)提示用戶提供生物測定樣本的 交互式過程。在另一實施例中���,生物測定采樣設(shè)備被動地收集樣本�����。在任一種 情況下�����,客戶機(jī)收集用戶ID���、個人識別號(PIN)和/或口令(步驟304)��。某 些生物測定系統(tǒng)可能需要PIN和口令兩者�,而其他生物測定系統(tǒng)可能一個都不 需要。但是���,包括PIN和/或口令將進(jìn)一步的權(quán)威和信任添加到在生物測定采 樣系統(tǒng)中收集用戶憑證的過程�����,因為它需要用戶的協(xié)作并可指示活數(shù)據(jù)(live data)����。在某些系統(tǒng)中,PIN或口令可能是本地生物測定釆樣設(shè)備和遠(yuǎn)程生物 測定匹配服務(wù)器兩者都需要的�。
作為進(jìn)一步的安全措施,從用戶收集的生物測定數(shù)據(jù)是經(jīng)數(shù)字簽名的�����。該 生物測定數(shù)據(jù)的數(shù)字簽名指示使用過特定生物測定采樣設(shè)備來收集該數(shù)據(jù)�。例 如,如果呈現(xiàn)了未經(jīng)客戶計算機(jī)識別的生物測定設(shè)備數(shù)據(jù)�����,則該客戶計算機(jī)可 基于該客戶機(jī)識別該使用過的采樣設(shè)備的失敗來拒絕該生物測定數(shù)據(jù)��。此外��, 可以將時間戳添加到該生物測定樣本以證明該生物測定樣本數(shù)據(jù)的新鮮度�。例 如,如果在時間上失效的(time-stale)數(shù)據(jù)被呈現(xiàn)給客戶計算機(jī)����,則該客戶計 算機(jī)可由于舊且可能欺詐性地提交而拒絕該生物測定數(shù)據(jù)。作為另一種替換, 可以將現(xiàn)時值代替時間戳或連同時間戳一起添加����。在添加了時間戳和/或現(xiàn)時值 的情況下,可以將數(shù)字簽名應(yīng)用于所有收集的數(shù)據(jù)�。
在收集了用戶憑證和生物測定數(shù)據(jù)之后,形成了與生物測定匹配服務(wù)器的安全鏈路�,并且客戶計算機(jī)安全地發(fā)送所收集的數(shù)據(jù)(步驟306)。該安全鏈 路可以使用私鑰從客戶機(jī)到生物測定匹配服務(wù)器來建立����。所使用的私鑰可以在 該密鑰在一安全事務(wù)中被給予客戶機(jī)的情況下來到生物測定服務(wù)器?���;蛘撸?私鑰可由外部授權(quán)機(jī)構(gòu)來安全地供應(yīng)并被給予客戶機(jī)�。該客戶機(jī)然后使用該私
鑰來加密包括經(jīng)簽名的生物測定數(shù)據(jù)、用戶ID和PIN或口令���、以及時間戳或
現(xiàn)時值的數(shù)據(jù)頁面。
在生物測定服務(wù)器處�,執(zhí)行對所收集的數(shù)據(jù)的許多檢査。步驟308-316的 檢查可以按任何邏輯次序來執(zhí)行�����。在一個實施例中,連同時間戳和現(xiàn)時值數(shù)據(jù) 一起檢査生物測定數(shù)據(jù)和用戶憑證的包的有效性����。檢査用戶ID并將其與生物 測定匹配服務(wù)器中列出的授權(quán)用戶列表進(jìn)行匹配(步驟308)。在該步驟處���, 生物測定匹配服務(wù)器驗證存在匹配身份信息的用戶���。如果該用戶不存在,則過 程300失敗并且用戶登錄終止��。
如果口令或PIN信息是連同生物測定數(shù)據(jù)收集一起呈現(xiàn)的�,則該信息被驗 證為屬于該授權(quán)用戶(步驟310)。如上所述��,如果確認(rèn)該用戶PIN或口令信 息無效��,則過程300失敗并且用戶登錄終止����。接下來,匹配生物測定數(shù)據(jù)本身 (步驟312)����。所提交的生物測定數(shù)據(jù)的比較較佳地針對可經(jīng)由生物測定匹配 服務(wù)器獲得的生物測定數(shù)據(jù)的安全模板來執(zhí)行����。模板信息可通過對本領(lǐng)域的技 術(shù)人員已知的任何安全手段來供應(yīng)�。如果該生物測定匹配沒有產(chǎn)生統(tǒng)計上的顯 著相關(guān)或匹配,則過程300失敗并且用戶登錄終止��。
可以在時間戳或現(xiàn)時值在生物測定數(shù)據(jù)收集時提交或添加的情況下執(zhí)行 對生物測定數(shù)據(jù)的另一項驗證(步驟314)����。該時間戳或現(xiàn)時值幫助確保所獲 得的生物測定數(shù)據(jù)是新鮮的且并非僅僅是復(fù)制或重新提交的。在一個實施例 中�����,現(xiàn)時值或時間戳可由生物測定采樣設(shè)備本身或客戶計算機(jī)來生成�����。在任一 種情況下���,時間戳或現(xiàn)時值數(shù)據(jù)可作為硬件添加的戳來添加在生物測定樣本數(shù) 據(jù)上,作為最近收集的樣本的指示��。該硬件可以在添加時間戳、現(xiàn)時值和/或數(shù) 字簽名的生物測定采樣設(shè)備中的集成電路中�。
對該生物測定數(shù)據(jù)的另一項驗證是確認(rèn)由生物測定采樣設(shè)備添加的數(shù)字 簽名認(rèn)證了該生物測定設(shè)備(步驟316)。如果該生物測定匹配服務(wù)器沒有識 別出經(jīng)由該數(shù)字簽名指示的生物測定采樣設(shè)備是與該客戶計算機(jī)相關(guān)聯(lián)的設(shè)備�,則過程300失敗并且用戶登錄終止。數(shù)字簽名還可用于驗證該生物測定數(shù)據(jù)和時間戳和/或現(xiàn)時值在由采樣設(shè)備生成之后還未被操縱過����。
在驗證被給予生物測定匹配服務(wù)器的信息包符合所有接受準(zhǔn)則之后,然后
生成密鑰和至少一個臨時憑證或證書(步驟318)����。生物測定匹配服務(wù)器生成公鑰/私鑰對以供客戶機(jī)使用。該公鑰/私鑰對并不受諸如RSA���、 ECC�����、 DH等任何特定加密算法����,或本領(lǐng)域的技術(shù)人員己知的任何其他類型的加密算法的限制��。與客戶機(jī)和認(rèn)證系統(tǒng)兼容的所有類型的加密手段在本發(fā)明中都是可用的�。類似地�,證書格式并不限于X.509���。格式可以是XrML���、 ISO REL、 SAML或本領(lǐng)域的技術(shù)人員已知的任何其他格式���。所有類型的數(shù)字證書都可以在它們與客戶機(jī)和認(rèn)證系統(tǒng)兼容的情況下使用�����。此外�����,在諸如客戶機(jī)�����、生物測定匹配服務(wù)器�����、認(rèn)證系統(tǒng)和服務(wù)服務(wù)器等功能之間的任何連接中使用的各密鑰和方法都可以或者是對稱的或者是非對稱的����。
在生物測定讀取器���、掃描或采樣設(shè)備中使用的密鑰可以在制造期間供應(yīng)�����,或者這些密鑰可由使用密鑰分層結(jié)構(gòu)�����、公鑰基礎(chǔ)結(jié)構(gòu)的組織或其他外部授權(quán)機(jī)構(gòu)來供應(yīng)��。生物測定匹配服務(wù)器上生成的密鑰可以用軟件來生成�����,它們可以使用諸如HSM或加速器等硬件設(shè)備來生成�,它們可以使用從可追蹤到密鑰授權(quán)機(jī)構(gòu)的外部源加載的預(yù)計算的密鑰列表來生成����。
回到圖3和過程300,在生成密鑰和證書之后��,將該密鑰和證書給予客戶機(jī)(步驟320)。 一般而言���,上傳到生物測定匹配服務(wù)器的所有信息是連同密鑰和證書一起返回的���。這準(zhǔn)許客戶機(jī)可訪問用戶憑證(用戶ID、 PIN和口令)而不將該數(shù)據(jù)存儲在客戶計算機(jī)上��。在客戶機(jī)從生物測定匹配服務(wù)器接收到密鑰和證書和返回的憑證之后����,于是該客戶機(jī)然后可將所接收到的信息應(yīng)用于認(rèn)證系統(tǒng)以訪問所需計算機(jī)資源(步驟322)。在此�����,本發(fā)明的各實施例可取決于認(rèn)證系統(tǒng)的特性而變化��。在一個實施例中�,使用Kerberos認(rèn)證協(xié)議。
在一個實施例中�����,客戶機(jī)可啟動如以上參考圖1描述的Kerberos協(xié)議���。作為該協(xié)議中的一個元素���,客戶機(jī)最終將呈現(xiàn)臨時證書����、用戶ID����、 PIN和/或口令�、以及密鑰,并將該信息發(fā)送至Kerberos權(quán)證授予服務(wù)器以請求服務(wù)權(quán)證以使得被授予經(jīng)由所保護(hù)的服務(wù)服務(wù)器的對計算機(jī)資源的訪問����。其他實施例可以使用所使用的特定認(rèn)證服務(wù)器的需求所要求的不同的協(xié)議。在圖3的方法的一種替換方案中�,用戶ID、 PIN和/或口令以及生物測定樣本可以在將該數(shù)據(jù)發(fā)送至生物測定匹配服務(wù)器之前首先在本地由硬件設(shè)備來確認(rèn)��。在另一個替換方案中�����,所有數(shù)據(jù)都可由客戶機(jī)來收集并被傳遞到服務(wù)器并且在安全過程中只由該服務(wù)器來確認(rèn)�����。
在圖3的方法的一個實施例中,數(shù)據(jù)包到生物測定服務(wù)器的發(fā)送(步驟
306)還包括作為由客戶計算機(jī)206生成的私鑰/公鑰對的一部分的公鑰��。在該
數(shù)據(jù)包中被發(fā)送至生物測定服務(wù)器的公鑰在連同諸如數(shù)字證書等憑證一起被發(fā)送回到客戶計算機(jī)206 (步驟320)之前由該生物測定服務(wù)器來證實���。
在本發(fā)明的一個實施例中���,圖2的各功能可以按各種形式組合。例如����,可以組合客戶機(jī)206和生物測定匹配服務(wù)器,或者可以組合認(rèn)證服務(wù)器210和客戶計算機(jī)����,或者可以組合生物測定采樣器204和客戶計算機(jī)206,或者可以組合認(rèn)證服務(wù)器210和生物測定匹配服務(wù)器208���。雖然圖2的各功能塊可以按各種方式組合�,但所得的系統(tǒng)200的整體功能保持原樣�����。
示例性計算設(shè)備
圖4和以下討論旨在提供適于與媒體存儲設(shè)備進(jìn)行交互的主計算機(jī)的簡要概括描述。雖然以下描述了通用計算機(jī)�,但這僅是單個處理器示例,并且具有多個處理器的主計算機(jī)的各實施例可以用諸如具有網(wǎng)絡(luò)/總線互操作性和交互的客戶機(jī)等的其他計算設(shè)備來實現(xiàn)�。
盡管并非所需,但本發(fā)明的各實施例可經(jīng)由操作系統(tǒng)來實現(xiàn)��,以供設(shè)備或?qū)ο蟮姆?wù)開發(fā)者使用���,和/或被包括應(yīng)用軟件中。軟件可以在由諸如客戶機(jī)工作站�����、服務(wù)器或其它設(shè)備等一個或多個計算機(jī)執(zhí)行的諸如程序模塊等計算機(jī)可執(zhí)行指令的通用上下文中描述�。 一般而言,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程�����、程序�、對象、組件�、數(shù)據(jù)結(jié)構(gòu)等。通常,程序模塊的功能可以在各個實施例中按需進(jìn)行組合或分布��。此外�����,本領(lǐng)域的技術(shù)人員可以理解�,本發(fā)明可以用其它計算機(jī)配置來實施。適用的其它眾所周知的計算系統(tǒng)��、環(huán)境和/或配置包括但不限于���,個人計算機(jī)(PC)�����、自動提款機(jī)��、服務(wù)器計算機(jī)���、手持式或膝上型設(shè)備、多處理器系統(tǒng)���、基于微處理器的系統(tǒng)��、可編程消費電子設(shè)備���、網(wǎng)絡(luò)PC�����、電器�、燈���、環(huán)境控制元件�、小型機(jī)���、大型計算機(jī)等等。本發(fā)明的各實施例也可以在其中任務(wù)由通過通信網(wǎng)絡(luò)或其它數(shù)據(jù)傳輸介質(zhì)鏈接的遠(yuǎn)程處理設(shè)備來執(zhí)行的分布式計算環(huán)境中實踐��。在分布式計算環(huán)境中��,程序模塊可以位于包括存儲器存儲設(shè)備的本地和遠(yuǎn)程計算機(jī)存儲介質(zhì)中��,并且客戶機(jī)節(jié)點進(jìn)而可如服務(wù)器節(jié)點那樣工作����。
參考圖4,用于實現(xiàn)示例主計算機(jī)的一個示例性系統(tǒng)包括計算機(jī)系統(tǒng)410
形式的通用計算設(shè)備。計算機(jī)系統(tǒng)410的組件可以包括��,但不限于�����,處理單元420����、系統(tǒng)存儲器430和將包括系統(tǒng)存儲器在內(nèi)的各種系統(tǒng)組件耦合至處理單元420的系統(tǒng)總線421。系統(tǒng)總線421可以是幾種類型的總線結(jié)構(gòu)中的任何一種�,包括存儲器總線或存儲控制器、外圍總線���、以及使用各種總線體系結(jié)構(gòu)中的任一種的局部總線�����。
計算機(jī)系統(tǒng)410通常包括各種計算機(jī)可讀介質(zhì)�����。計算機(jī)可讀介質(zhì)可以是能由計算機(jī)系統(tǒng)410訪問的任何可用介質(zhì)��,而且包含易失性/非易失性介質(zhì)以及可移動/不可移動介質(zhì)����。作為示例而非局限,計算機(jī)可讀介質(zhì)可以包括計算機(jī)存儲介質(zhì)��。計算機(jī)存儲介質(zhì)包括以用于存儲諸如計算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)等信息的任何方法或技術(shù)來實現(xiàn)的易失性和非易失性�����、可移動和不可移動介質(zhì)�。計算機(jī)存儲介質(zhì)包括但不限于,隨機(jī)存取存儲器(RAM)���、只讀存儲器(ROM)����、電可擦可編程只讀存儲器(EEPROM)����、閃存或其它存儲器技術(shù)��、壓縮盤只讀存儲器(CDROM)、可重寫壓縮盤(CDRW)��、數(shù)字多功能盤(DVD)或其它光盤存儲���、盒式磁帶��、磁帶���、磁盤存儲或其它磁性存儲設(shè)備、或可用于存儲所需信息并可由計算機(jī)系統(tǒng)410訪問的任何其它介質(zhì)��。
系統(tǒng)存儲器430包括易失性和/或非易失性存儲器形式的計算機(jī)存儲介質(zhì)��,如只讀存儲器(ROM) 431和隨機(jī)存取存儲器(RAM) 432����。基本輸入/輸出系統(tǒng)433 (BIOS)包含有助于諸如啟動時在計算機(jī)系統(tǒng)410中的元件之間傳遞信息的基本例程�����,它通常存儲在ROM431中����。RAM 432通常包含處理單元420可以立即訪問和/或目前正在其上操作的數(shù)據(jù)和/或程序模塊��。作為示例��,而非限制��,圖4示出了操作系統(tǒng)433���、應(yīng)用程序435、其它程序模塊436和程序數(shù)據(jù)437�����。
計算機(jī)系統(tǒng)410也可以包括其它可移動/不可移動�����、易失性/非易失性計算機(jī)存儲介質(zhì)���。僅作為示例�����,圖4示出了從不可移動、非易失性磁介質(zhì)中讀取或
15向其寫入的硬盤驅(qū)動器431���,從可移動�����、非易失性磁盤452中讀取或向其寫入的磁盤驅(qū)動器451����,以及從諸如CDROM、 CDRW�����、 DVD或其它光學(xué)介質(zhì)等可移動���、非易失性光盤455中讀取或向其寫入的光盤驅(qū)動器456��?��?梢栽谑纠圆僮鳝h(huán)境中使用的其它可移動/不可移動、易失性/非易失性計算機(jī)存儲介質(zhì)包括但不限于���,磁帶盒�、閃存卡�、數(shù)字多功能盤�、數(shù)字錄像帶���、固態(tài)RAM���、固態(tài)ROM等等。硬盤驅(qū)動器441通常經(jīng)由諸如接口 440等不可移動存儲器接口連接至系統(tǒng)總線421�����,磁盤驅(qū)動器451和光盤驅(qū)動器455通常經(jīng)由諸如接口450等可移動存儲器接口連接至系統(tǒng)總線421���。
上文討論并在圖4中示出的驅(qū)動器及其關(guān)聯(lián)的計算機(jī)存儲介質(zhì)為計算機(jī)系統(tǒng)410提供了計算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊和其它數(shù)據(jù)的存儲����。例如,在圖4中�,硬盤驅(qū)動器441被示為存儲操作系統(tǒng)444、應(yīng)用程序445��、其它程序模塊446和程序數(shù)據(jù)447���。注意,這些組件可以與操作系統(tǒng)444�����、應(yīng)用程序445�����、其它程序模塊446和程序數(shù)據(jù)447相同�����,也可以與它們不同�����。操作系統(tǒng)444����、應(yīng)用程序445��、其它程序模塊446和程序數(shù)據(jù)447在這里被標(biāo)注了不同的標(biāo)號是為了說明至少它們是不同的副本����。
用戶可以通過輸入設(shè)備�����,如鍵盤462和定點設(shè)備461 (通常指鼠標(biāo)�����、跟蹤球或觸摸墊)向計算機(jī)系統(tǒng)410輸入命令和信息�。其它輸入設(shè)備(未示出)可以包括話筒、操縱桿����、游戲手柄、圓盤式衛(wèi)星天線���、掃描儀等����。這些和其它輸入設(shè)備通常由耦合至系統(tǒng)總線421的用戶輸入接口 460連接到處理單元420,但是也可由諸如并行端口��、游戲端口或通用串行總線(USB)之類的其它接口和總線結(jié)構(gòu)連接����。監(jiān)視器491或其它類型的顯示設(shè)備也經(jīng)由可以進(jìn)而與視頻存儲器(未示出)進(jìn)行通信的接口,諸如視頻接口 490連接至系統(tǒng)總線421����。除監(jiān)視器491以外��,計算機(jī)系統(tǒng)也可以包括其它外圍輸出設(shè)備��,諸如揚聲器497和打印機(jī)496��,它們可以通過輸出外圍接口 495連接�。
計算機(jī)系統(tǒng)410可使用至一個或多個遠(yuǎn)程計算機(jī),諸如遠(yuǎn)程計算機(jī)480的邏輯連接在聯(lián)網(wǎng)或分布式環(huán)境中操作���。遠(yuǎn)程計算機(jī)480可以是個人計算機(jī)�����、服務(wù)器��、路由器��、網(wǎng)絡(luò)PC���、對等設(shè)備或其它常見的網(wǎng)絡(luò)節(jié)點��,且通常包括上文相對于計算機(jī)系統(tǒng)410描述的許多或所有元件����,盡管在圖4中只示出存儲器存儲設(shè)備481 �����。圖4中所示的邏輯連接包括局域網(wǎng)(LAN)471和廣域網(wǎng)(WAN)473�����,但也可以包括其它網(wǎng)絡(luò)/總線�����。這樣的聯(lián)網(wǎng)環(huán)境在家庭����、辦公室���、企業(yè)范圍計算機(jī)網(wǎng)絡(luò)、內(nèi)聯(lián)網(wǎng)和因特網(wǎng)中是常見的�。
當(dāng)在LAN網(wǎng)絡(luò)環(huán)境中使用時,計算機(jī)系統(tǒng)410通過網(wǎng)絡(luò)接口或適配器470連接至LAN471���。當(dāng)在WAN網(wǎng)絡(luò)環(huán)境中使用時����,計算機(jī)系統(tǒng)410通常包括調(diào)制解調(diào)器472��,或用于通過WAN473���,如因特網(wǎng)建立通信的其它裝置。調(diào)制解調(diào)器472可以是內(nèi)置或外置的���,它可以通過用戶輸入接口 460或其它適當(dāng)?shù)臋C(jī)制連接至系統(tǒng)總線421����。在聯(lián)網(wǎng)環(huán)境中�,相對于計算機(jī)系統(tǒng)410所描述的程序模塊或其部分可被儲存在遠(yuǎn)程存儲器存儲設(shè)備中。作為示例�,而非限制�,圖4示出了遠(yuǎn)程應(yīng)用程序485駐留在存儲器設(shè)備481上���??梢岳斫?�,所示的網(wǎng)絡(luò)連接是示例性的�,且可以使用在計算機(jī)之間建立通信鏈路的其它手段。
鑒于個人計算和因特網(wǎng)的交匯���,已經(jīng)開發(fā)且正在開發(fā)各種分布式計算框架����。個人和商業(yè)用戶同樣地?fù)碛杏糜趹?yīng)用程序和計算設(shè)備的無縫的互操作和啟用web的接口 ��,使得計算活動越來越面向web瀏覽器和網(wǎng)絡(luò)���。
例如���,可從微軟公司獲得的微軟⑧的.NETTM平臺包括服務(wù)器、諸如基于
web的數(shù)據(jù)存儲等構(gòu)件塊服務(wù)���、以及可下載設(shè)備軟件�。盡管此處的某些示例性實施例是結(jié)合駐留在計算設(shè)備上的軟件描述的,但本發(fā)明的一實施例的一個或多個部分也可以通過操作系統(tǒng)���、應(yīng)用程序編程接口 (API)��、或協(xié)處理器���、顯示設(shè)備和做出請求的對象中的任一個之間的"中間人"對象來實現(xiàn),使操作可由所有.NETTM的語言和服務(wù)來執(zhí)行��,以及在其它分布式計算框架中����,在其中得到
支持或經(jīng)由它們來訪問���。
如上所述,盡管結(jié)合各種計算設(shè)備和網(wǎng)絡(luò)體系結(jié)構(gòu)描述了本發(fā)明的示例性實施例����,但基本概念可被應(yīng)用于其中期望實現(xiàn)生物測定憑證驗證方案的任何計算設(shè)備或系統(tǒng)。由此����,結(jié)合本發(fā)明的各實施例描述的各方法和系統(tǒng)可被應(yīng)用于各種應(yīng)用程序和設(shè)備��。盡管此處選擇了示例性編程語言���、名稱和示例來表示各種選擇,但這些語言��、名稱和示例不旨在為限制性的����。本領(lǐng)域的普通技術(shù)人員將認(rèn)識到,有多種方法來提供實現(xiàn)本發(fā)明的各實施例所實現(xiàn)的相同���、相似或等效的系統(tǒng)和方法的目標(biāo)代碼�����。
此處所述的各種技術(shù)可結(jié)合硬件或軟件���,或在適當(dāng)時以其組合來實現(xiàn)。因此�����,本發(fā)明的方法和裝置或其某些方面或部分,可以采用包含在有形介質(zhì)中的
17程序代碼(即�����,指令)的形式�,有形介質(zhì)諸如軟盤、CD-ROM��、硬盤驅(qū)動器或 任何其它機(jī)器可讀存儲介質(zhì)��,其中�,當(dāng)程序代碼被加載至諸如計算機(jī)等機(jī)器并 由其運行時,該機(jī)器成為用于實現(xiàn)本發(fā)明的裝置����。
盡管已結(jié)合各個附圖的優(yōu)選實施例對本發(fā)明的各方面進(jìn)行了描述,但是可 以理解��,可以使用其它類似的實施例�,并且可以對所述實施例進(jìn)行修改或添加, 來實現(xiàn)本發(fā)明的相同功能而不背離本發(fā)明�����。此外���,應(yīng)當(dāng)強(qiáng)調(diào)�����,構(gòu)想了包括手持 式設(shè)備操作系統(tǒng)和其它應(yīng)用專用操作系統(tǒng)的各種計算機(jī)平臺��,尤其是在無線聯(lián) 網(wǎng)設(shè)備的數(shù)量持續(xù)增長時�����。因此�,所要求保護(hù)的發(fā)明不應(yīng)限于任何單個實施例�����, 而是應(yīng)該根據(jù)所附權(quán)利要求書的寬度和范圍來解釋���。
18
權(quán)利要求
1. 一種結(jié)合認(rèn)證系統(tǒng)使用生物測定采樣設(shè)備的方法���,所述方法包括由客戶計算機(jī)(206)接收生物測定樣本數(shù)據(jù),所述樣本數(shù)據(jù)具有驗證所述樣本數(shù)據(jù)的起源的數(shù)字簽名�;接收用戶標(biāo)識(ID)以及與所述用戶相關(guān)聯(lián)的個人標(biāo)識號(PIN)和口令中的至少一個;將數(shù)據(jù)包發(fā)送至生物測定匹配服務(wù)器(208)(306)�,所述數(shù)據(jù)包包括所述生物測定樣本數(shù)據(jù)、所述PIN和所述口令中的至少一個、以及所述用戶ID���;在所述匹配服務(wù)器(208)處驗證所述用戶ID與授權(quán)用戶相關(guān)聯(lián)(308)����、驗證所述用戶PIN或口令是有效的����、驗證所述樣本數(shù)據(jù)匹配所述授權(quán)用戶的數(shù)據(jù)模板(312)、以及驗證所述數(shù)字簽名是有效的(316)�����;在所述匹配服務(wù)器(208)處生成臨時憑證和至少一個密鑰(318)�;將所述臨時憑證和所述至少一個密鑰連同所述數(shù)據(jù)包一起發(fā)送至所述客戶計算機(jī)(206)(320);以及使用所述臨時憑證和所述至少一個密鑰來訪問安全認(rèn)證系統(tǒng)(210)以獲得對在所述客戶計算機(jī)(206)外部的資源(212)的后續(xù)訪問���。
2. 如權(quán)利要求1所述的方法���,其特征在于,由客戶計算機(jī)接收生物測定樣 本數(shù)據(jù)包括從生物測定采樣設(shè)備接收所述樣本數(shù)據(jù)���、時間戳和數(shù)字簽名���。
3. 如權(quán)利要求1所述的方法,其特征在于�,將數(shù)據(jù)包發(fā)送至生物測定匹配 服務(wù)器包括通過安全鏈路來發(fā)送所述數(shù)據(jù)包,所述數(shù)據(jù)包包括所述生物測定樣 本數(shù)據(jù)���、所述用戶ID和所述PIN或口令���。
4. 如權(quán)利要求3所述的方法,其特征在于�����,所述數(shù)據(jù)包還包括客戶機(jī)生成 的公鑰����,并且其中所述匹配服務(wù)器在將所述臨時憑證發(fā)送至所述客戶計算機(jī)之 前證實所述客戶機(jī)生成的公鑰。
5. 如權(quán)利要求1所述的方法���,其特征在于����,在所述匹配服務(wù)器處生成臨時 憑證和至少一個密鑰包括生成與所述認(rèn)證系統(tǒng)兼容的臨時證書和公鑰/私鑰對���。
6. 如權(quán)利要求5所述的方法���,其特征在于�,所述公鑰/私鑰對被安全地供 應(yīng)給所述生物測定匹配服務(wù)器���。
7. 如權(quán)利要求5所述的方法���,其特征在于,所述認(rèn)證系統(tǒng)是Kerberos認(rèn)證系統(tǒng)�。
8. 如權(quán)利要求1所述的方法,其特征在于�,訪問安全認(rèn)證系統(tǒng)包括使用臨時證書和公鑰/私鑰對來訪問Kerberos系統(tǒng)以獲得對服務(wù)服務(wù)器的資源的后續(xù) 訪問,其中所述臨時證書格式包括X.509�����、 XrML����、 ISO REL或SAML中的一種。
9. 一種訪問認(rèn)證系統(tǒng)的計算機(jī)系統(tǒng)����,所述計算機(jī)系統(tǒng)包括 對客戶計算機(jī)(206)的用戶接口 (202)�,其中接收用戶標(biāo)識符(ID)的輸入����;生物測定采樣設(shè)備(204)��,所述生物測定采樣設(shè)備(204)對所述用戶的 生物測定數(shù)據(jù)進(jìn)行采樣并將所采樣的生物測定數(shù)據(jù)連同數(shù)字簽名一起提供給 所述客戶計算機(jī)(206);在所述客戶計算機(jī)(206)中運行的程序的第一部分��,所述程序的第一部 分生成包括所述生物測定數(shù)據(jù)����、所述數(shù)字簽名和所述用戶ID的數(shù)據(jù)包;所述客戶計算機(jī)(206)和所述生物測定匹配服務(wù)器(208)之間的安全連 接(226)��,所述安全連接(226)用于將所述數(shù)據(jù)包從所述客戶計算機(jī)(206) 傳送至所述生物測定匹配服務(wù)器(208);所述生物測定匹配服務(wù)器(208)中的程序�����,所述程序確認(rèn)所述數(shù)據(jù)包中 的信息并經(jīng)由所述安全連接(226)將所述數(shù)據(jù)包連同用于訪問認(rèn)證系統(tǒng)(210) 的臨時憑證和至少一個密鑰一起返回�����;以及在所述客戶計算機(jī)(206)中運行的所述程序的第二部分�����,所述程序的第 二部分使用所述臨時憑證和至少一個密鑰來訪問所述認(rèn)證系統(tǒng)(210)。
10. 如權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述生物測定采樣設(shè)備還 提供時間標(biāo)簽以便連同數(shù)字簽名一起附給所采樣的生物測定數(shù)據(jù)����。
11. 如權(quán)利要求9所述的系統(tǒng),其特征在于���,所述數(shù)據(jù)包還包括個人識 別號(PIN)和口令中的至少一個���。
12. 如權(quán)利要求9所述的系統(tǒng),其特征在于����,所述安全連接包括SSL/TLS 接口。
13. 如權(quán)利要求9所述的系統(tǒng)�����,其特征在于�����,所述生物測定匹配服務(wù)器 中的程序確認(rèn)所述用戶ID表示有效用戶,所述生物測定數(shù)據(jù)與所述用戶的生物測定模板匹配�����,以及驗證所述數(shù)字簽名是有效的���。
14. 如權(quán)利要求9所述的系統(tǒng)���,其特征在于�����,所述臨時憑證對于與所述 認(rèn)證系統(tǒng)的一個認(rèn)證會話有效���。
15. 如權(quán)利要求10所述的系統(tǒng)���,其特征在于,所述認(rèn)證系統(tǒng)是Kerberos 認(rèn)證系統(tǒng)�����。
16. 如權(quán)利要求9所述的系統(tǒng)��,其特征在于,所述用于訪問所述認(rèn)證系 統(tǒng)的至少一個密鑰包括公鑰/私鑰對�����。
17. 如權(quán)利要求16所述系統(tǒng)�,其特征在于,所述公鑰/私鑰對由外部密 鑰授權(quán)機(jī)構(gòu)來供應(yīng)給所述生物測定匹配服務(wù)器��。
18. —種具有用于執(zhí)行一種結(jié)合Kerberos類型的認(rèn)證系統(tǒng)使用生物測 定采樣設(shè)備的方法的計算機(jī)可執(zhí)行指令的計算機(jī)可讀介質(zhì)����,所述方法包括-由客戶計算機(jī)(206)接收生物測定樣本數(shù)據(jù),所述樣本數(shù)據(jù)具有驗證所 述樣本數(shù)據(jù)的起源的數(shù)字簽名�;接收用戶標(biāo)識(ID)以及與所述用戶相關(guān)聯(lián)的個人識別號(PIN)和口令 中的至少一個;將數(shù)據(jù)包發(fā)送至生物測定匹配服務(wù)器(208) (306)�����,所述數(shù)據(jù)包包括所 述生物測定樣本數(shù)據(jù)�、以及所述PIN和所述口令中的至少一個;在所述匹配服務(wù)器(208)處驗證所述用戶ID和PIN與授權(quán)用戶相關(guān)聯(lián) (308)����、驗證所述樣本數(shù)據(jù)匹配所述授權(quán)用戶的數(shù)據(jù)模板(312)、以及驗證 所述數(shù)字簽名是有效的(316);在所述匹配服務(wù)器(208)處生成臨時憑證和公鑰/私鑰對;將所述臨時憑證和所述密鑰對連同所述數(shù)據(jù)包一起發(fā)送至所述客戶計算 機(jī)(206);以及使用所述臨時憑證和所述密鑰對來訪問所述Kerberos類型的認(rèn)證系統(tǒng) (210)以獲得對在所述客戶計算機(jī)(206)外部的資源(212)的后續(xù)訪問�。
19. 如權(quán)利要求18所述的計算機(jī)可讀介質(zhì),其特征在于�,所述由客戶 計算機(jī)接收生物測定樣本數(shù)據(jù)的步驟包括從生物測定采樣設(shè)備接收所述樣本 數(shù)據(jù)、時間戳和現(xiàn)時值中的至少一個�����、以及數(shù)字簽名�����。
20. 如權(quán)利要求18所述的計算機(jī)可讀介質(zhì)����,其特征在于����,所述訪問所述Kerberos類型的認(rèn)證系統(tǒng)的步驟包括使用臨時證書和公鑰/私鑰對來訪問 Kerberos系統(tǒng)以獲得對服務(wù)服務(wù)器的資源的后續(xù)訪問,其中所述臨時證書格式 包括X.509��、 XrML�、 ISO REL或SAML中的一種。
全文摘要
使用客戶計算機(jī)系統(tǒng)中的生物測定標(biāo)識設(shè)備來隨后訪問認(rèn)證系統(tǒng)包括接收經(jīng)數(shù)字簽名的生物測定樣本數(shù)據(jù)并將該數(shù)據(jù)與用戶ID和PIN組合����。然后將該數(shù)據(jù)包安全地發(fā)送至生物測定匹配服務(wù)器以確認(rèn)該用戶和該生物測定樣本�����。一旦確認(rèn)���,生物匹配服務(wù)器就將該數(shù)據(jù)包加上一臨時證書和公鑰/私鑰對一起返回至客戶計算機(jī)。該客戶計算機(jī)然后可使用該信息來訪問認(rèn)證系統(tǒng)以便隨后獲取對安全資源的訪問����。
文檔編號H04L9/32GK101479987SQ200780024672
公開日2009年7月8日 申請日期2007年6月25日 優(yōu)先權(quán)日2006年6月27日
發(fā)明者D·B·克羅斯, K·U·舒茨, N·C·舍曼, P·J·里奇, R·D·楊 申請人:微軟公司