用于生物识别协议标准的系统和方法

用于生物识别协议标准的系统和方法
【专利摘要】提供一次性证书，所述一次性证书实现了用户计算装置与可信服务器之间的初始双向安全通信会话。在接收到所述一次性证书之后，通过所述可信服务器建立与所述用户计算装置的初始安全通信会话。所述可信服务器接收与所述用户计算装置的用户相关联的识别信息，其中所述识别信息包含所述用户的身份的表示并且还包含所述用户计算装置的表示，所述用户身份已经根据生物识别而确认。此外，所述可信服务器生成对所述用户与所述用户计算装置的组合来说是唯一的替代证书，并且将所述替代证书传输至所述用户计算装置。此后，每当所述可信服务器接收到所述替代证书时，通过所述可信服务器建立与所述用户计算装置的双向安全通信会话。
【专利说明】
用于生物识别协议标准的系统和方法
技术领域
[0001] 本发明一般来说设及用于采集和表征生物识别特征的系统和方法，并且尤其设及 用于使用移动装置来采集和表征脸部生物识别特征W便识别或鉴认用户的系统和方法。
【背景技术】
[0002] 所有种类的信息继续被远程地存储和访问，诸如在可在数据通信网络上访问的存 储装置上。例如，许多人和公司在因特网或其它通信网络上存储和访问财经信息、健康和医 学信息、商品和服务信息、购物信息、娱乐信息、多媒体信息。除了访问信息之外，用户还可 W进行金钱转移(例如，购物、转账、销售等）。在典型情形中，用户为了访问信息而注册，并 且此后提交用户名和密码来"登录"并访问所述信息。对(和来自）存储在数据/通信网络上 的此类信息和数据的安全访问仍然是最重要的问题。

【发明内容】

[0003] 因此，公开了一种用于在用户计算装置与可信服务器之间提供安全通信的系统和 方法。在一个或多个实施方案中，经由分布式客户端软件应用程序提供一次性证书，所述一 次性证书实现了所述用户计算装置与所述可信服务器之间的初始双向安全通信会话。在接 收到所述一次性证书之后，通过所述可信服务器建立与所述用户计算装置的初始安全通信 会话。在所述初始安全通信期间，所述可信服务器接收与所述用户计算装置的用户相关联 的识别信息，其中所述识别信息包含所述用户的身份的表示并且还包含所述用户计算装置 的表示，所述用户身份已经根据生物识别而确认。此外，所述可信服务器生成对所述用户与 所述用户计算装置的组合来说是唯一的替代证书，并且将所述替代证书传输至所述用户计 算装置。此后，每当所述可信服务器接收到所述替代证书时，通过所述可信服务器建立与所 述用户计算装置的双向安全通信会话。
[0004] 从本发明的W下描述中，本发明的其它特征和优点将变得显而易见，所述描述是 参看附图来进行。
【附图说明】
[0005] 当结合附图考虑时，在审阅了下文描述的、对本公开各个实施例的详细描述后，将 更容易地了解到本公开的其它方面，在附图中：
[0006] 图1是示出了根据本申请的某些实施例的多个装置和组件的框图；
[0007] 图2是示出了根据本申请的某些实施例的多个装置和组件的框图；
[000引图3示出了根据本申请的角色层次结构的例子；
[0009]图4是不例移动装置显不屏；
[0010]图5是示例接口；
[0011] 图6示出示例显示屏；
[0012] 图7是示例显示屏；
[0013] 图8示出示例实施方案；W及
[0014] 图9示出示例实施方案。
【具体实施方式】
[0015] 根据一个或多个实施方案，提供了在本文中通常被称作生物识别开放协议标准 ("BOPS")的一组新标准，该组标准共同地或至少部分地包含用于鉴认用户的框架。根据 B0PS，在用户与特定服务之间进行鉴认，所述服务是通过本文中通常被称作"BOPS服务器" 的计算装置来分配。运种方法比在用户与因特网网站之间进行鉴认更安全和实际。在一个 或多个实施方案中，BOPS服务器分配安全细节，并且在初始(本文中通常被称作"起源"）操 作中验证用户的存在，在下文中对所述操作进行更详细描述。生成并使用会话密钥，并且可 W在所述会话期间进行相应的应用程序，一直到会话密钥的使用寿命完结(所述会话密钥 在期满之前可W被撤销）。
[0016] 在一个或多个实施方案中，生物识别开放协议标准提供身份声明、角色收集、多级 访问控制、保证和审计。在操作中，BOPS包含在客户端装置上运行(例如，运行ANDROID操作 系统、iOS或其它操作系统）、在可信BOPS服务器上运行W及在入侵检测系统（"IDS")上运行 的软件。BCPS允许可插入组件通过接受集成到当前操作环境中一段短的时间而取代现有组 件的功能性。
[0017] 在操作中，客户端/装置应用程序载入一次性双向S化密钥W便实现向服务器的初 始通信。此一次性双向S化密钥在功能上被主体的双向S化密钥取代，所述主体的双向S化密 钥是在身份/起源阶段期间提供。
[0018] 仅举例来说并且为了进行概述和介绍，在下文描述本申请的实施例，所述实施例 包含用于(例如)使用诸如智能电话等移动装置记录用户的生物识别特征并且生成代表所 述用户的生物识别特征的标识符的系统和方法。可W生成生物识别标识符W便根据所述生 物识别标识符来识别/鉴认(例如验证)用户。
[0019] 在一个或多个实施方案中，提供一种系统，所述系统可W包含基于云的系统服务 器平台，所述平台与诸如膝上型计算机、平板计算机和移动装置(例如智能电话)等用户计 算装置通信。在用户访问（例如）需要安全登录的网站时，向所述系统服务器作出对用户进 行鉴认的安全请求。所述系统服务器接着可W询问用户的移动装置W捕捉呈至少W下各者 的图像形式的生物识别信息：用户的眼睛、眼周区域和脸部或前述各者的任何组合(被统称 为维特鲁威区域），并且将所捕捉到的维特鲁威生物识别信息编码为维特鲁威生物识别标 识符。接着，可W根据维特鲁威生物识别标识符对用户进行验证。可W (例如）由移动装置、 系统服务器或前述各者的组合通过将维特鲁威生物识别标识符与在用户最初向系统登记 期间生成的维特鲁威标识符进行比较来进行验证。
[0020] 将了解，本申请根据基于生物识别的访问管理而为用户和一个或多个信息提供者 提供了极大的方便。发明人认识到，消费者一般会赞成通过生物识别来访问和管理远程提 供的信息，诸如在通信网络上在线地提供。生物识别技术可W向消费者提供期待已久的方 便W在前端安全地进入"网络空间"。
[0021] 本文所提供的生物识别开放协议标准在"后端"保护用户的数字资产和数字身份 并且可W是生物识别不可知标准，并且包含应用程序编程接口（"APr)W便开发人员与之 交互。例如，本申请支持先前可能已经在工作的不同的程序性和基于安全的措施。因此，采 用生物识别的现有安全鉴认过程可W被集成，由此防止破坏现有的商业惯例。
[0022] 此外，在一个或多个实施方案中，提供BOPS通信架构，所述BOPS通信架构实现了经 由加密机构至BOPS服务器的双向安全套接字层(S化)连接，所述连接可W采用入侵检测系 统（IDS)。
[0023] W下是根据本申请的一个或多个实施例的术语和对应定义的按字母表顺序列出 的列表。本文中阐述了额外术语表。
[0024] 管理控制台:方便向BOPS进行注册和登记的在线口户。
[0025] 应用程序:使用BOPS应用程序编程接口（API)密钥创建的唯一软件/系统。
[0026] BOPS管理员：B0PS管理员，他在注册期间基于登记信息来设置环境并创建原始网 站管理员。
[0027] BOPS集群:使用BOPS进行通信的一组松散或紧密地连接的计算机、装置。
[00%] BOPS服务器:支持BOPS架构的服务器的例子，诸如在客户端/服务器范例中。
[00巧]BOPS IDS:私用集群上的、支持BOPS架构的入侵检测系统的例子。
[0030] 客户端装置IDS:在用户装置上本地运行的入侵检测系统的例子。
[0031] Jena规则:关于推理的机器学习规则的语法和系统。
[0032] IDS集群:支持BOPS的一组松散或紧密地连接的入侵检测系统。
[0033] 原始网站管理员：由BOPS管理员创建的管理员，具有创建同一组织内的其他管理 员的权限。原始网站管理员可W根据客户端要求(见下文，参考关于起源API/客户端要求注 释的章节)来声明他/她的唯一身份。
[0034] 网站管理员：由原始网站管理员创建的应用程序管理员。
[0035] 可信的裁决数据:存储在BOPS中的、在BOPS服务器中经过多级安全裁决的数据。
[0036] 用户:唯一用户，其身份是通过BOPS声明，所述用户可W具有几个装置。
[0037] 用户装置:具有受生物识别驱动的客户端软件的单个装置。
[0038] 现在参看图式，其中相同的元件符号指代相同的元件，图1是示出与示例实施方案 相关联的、与BOPS服务器102通信的多个客户端装置104W及组件的简单框图。在一个或多 个实施方案中，生物识别开放协议标准包含掌控多种客户端装置104与一个或多个可信服 务器之间的安全通信的规则。如本领域的技术人员将容易显而易见的，本申请提供BOPS的 激励价值W及提供对BOPS实施的全面指导。BOPS遵照W下各项：常被称作澄皮书的可信计 算机系统评估准则，81章节；中央情报负责人指令6/^3保护等级3、4和5(化3、化4、化5);^及 多重独立安全等级标准(MILS)。
[0039] 安全考虑包含在工作的安全策略W及明确界定的安全等级。BCPS主要功能之一是 提供鉴认来替代授权，使得服务器不保留客户端信息而是改为将一个客户端相对于彼此进 行辨识与另一客户端区分开来。如本文所指出，BOPS的安全考虑的关键组成部分是包含身 份声明、角色收集、访问控制、审计和保证。本申请饱含经由BOPS的实施)提供对资源的连 续保护W及保证裁决和其它关键特征的工作和可行性。问责制是证实服务级安全保证的机 制。
[0040] BOPS身份声明提供实名用户是他们所宣称那样的保证。身份声明隐含对人类生物 识别的依赖，然而，BOPS是可互操作的标准并且可W并入有任何身份声明程序或许多提供 运个保证的声明程序。入侵检测系统（IDS)的应用提供了主动监视来防止伪造证书集和防 止将进行恶意尝试的主体或装置列入黑名单。
[0041] 在一个或多个实施方案中，角色收集集中于基于已知系统实行的规则的数据机密 性和特许访问。为了确定是否允许特定访问模式，可W将角色的权限与群组的分类进行比 较W确定主体是否被授权来进行机密访问。可W通过访问控制来界定客体结构。角色收集 是发生在系统级或通过客户端/服务器调用来进行。BOPS服务器存储角色收集信息W将唯 一用户与唯一装置相关联。
[0042] 关于访问控制，BOPS支持实名用户与实名客体(例如文件和程序)之间的访问控 审IJ。基于角色的裁决机制包含并允许用户和管理员指定和控制实名个人、经界定的个人群 组或前述两者对客体的共享。此外，提供自由裁量访问控制机制来确保客体受到保护而不 会遭受未经授权访问。另外，自由裁量访问控制对单个或一群客体提供群组或个体级的保 护。粒度是从个体到群组。
[0043] 在一个或多个实施方案中，BOPS可W对处于其控制下的所有主体和存储客体(例 如进程、文件、区段、装置)实行强制访问控制策略。运些主体和客体可W被指派敏感标签， 所述标签可W是层次分类等级和非层次类别的组合，并且所述标签可W在裁决中用作依据 来作出强制访问控制决策。
[0044] 在一个或多个实施方案中，对于由BOPS控制的主体与客体之间的所有访问，W下 要求保持成立：只有在主体的安全等级中的层次分类高于或等于客体的安全等级中的层次 分类并且主体的安全等级中的非层次类别包含客体的安全等级中的所有非层次类别时，所 述主体才可W读取所述客体。只有在主体的安全等级中的层次分类低于或等于客体的安全 等级中的层次分类并且主体的安全等级中的所有非层次类别包含在客体的安全等级中的 非层次类别中时，所述主体才可W对所述客体进行写入。
[0045] 识别和鉴认数据将由BOPS使用来鉴认用户的身份，并且确保在BOPS外部的、可W 被创建来代表个人用户起作用的主体的安全等级和授权是受所述用户的许可和授权支配。
[0046] 本申请使得可W进行审计和审阅，本文中通常被称作保证。BOPS可W支持主体/客 体级或群组级的审计请求。BOPS可W使用面向方面的编程(A0P)来确保所有调用被稳妥地 写入至审计踪迹。此外，REST化1网站服务和JS0N接口可W提供用于读取审计踪迹的机制。 审计可W依照每行动主体、每行动客体或每行动群组来进行。例如，被称作"会计"的一群用 户可W审计至总账的所有写入;或财务总监可W对损益表的条目进行审计。此外，在一个或 多个实施方案中，对BOPS的所有边界条件提供JUnit测试。所述测试套组包含对系统的所有 边界组件和条件进行测试。
[0047] 如本文所指出，BOPS允许系统通过使用API来满足安全需要。BCPS不需要知道下层 系统是关系数据库管理系统(RDBMS)、捜索引擎还是其它系统。BCPS功能性提供"点和切"机 制来给生产系统W及开发中的系统添加适当安全性。所述架构是语言中性的，允许REST、 JS0N和安全套接字层提供通信接口。另外，在一个或多个实施方案中，所述架构是建置在 servlet规范、开放安全套接字层、Java、JS0N、REST和Apache Solr上。可W支持另一持久性 引擎，诸如化ssamlra。所述工具可W遵循开放标准，从而允许显著的互操作性。
[004引在一个或多个实施方案中，BOPS可通过访问控制而使用，或添加至已存在框架的 身份声明。BOI^通过在生产环境中进行最少的行为来实现可信处理，并且在大多数情况中 不需要改变任何应用软件。
[0049] 此外，在一个或多个实施方案中，提供双向安全套接字层(S化），所述双向安全套 接字层建置在单向S化顶部、提供在客户端处开始的通信。初始或"起源"通信建立客户端身 份的起点并且传递符合BOPS的双向证书，客户端使用所述证书与面向会话的身份声明结合 来进行后续的通信。在一个或多个实施方案中，客户端应用程序具有预载的双向S化密钥， 所述密钥允许后续的身份起源。
[0050] 在操作中，符合BOPS的服务器接收具有双向S化身份的单向S化通信。通信是按照 单向S化和双向S化来进行。服务器使用数据存储装置来取得可信身份并且收集用于代表所 述身份进行处理的角色。审计确保用于对可信访问进行持续验证和核实的适当人为现象。 保证是通过多级访问控制机制的简化和归档来进行。BOPS需要在注册过程(关于注册，参见 下文)之后可用的管理控制台，所述管理控制台允许对用户、群组和角色进行动态修改。
[0051] 在一个或多个实施方案中，使用主动入侵检测系统来实施B0PS，所述系统防止了 任何形式的暴力或拒绝服务式(分布式或单个DOS)攻击。所述标准含有定制规则，所述规则 识别并追踪伪造双向S化证书模仿、会话重放、伪造数据包的尝试W及多种其它攻克BOPS服 务器的尝试。
[0052] 图2是示出了用于提供本文中示出和描述的系统和方法并且通常被称作系统200 的示例组件的框图。如图2中所示，用户装置104定位于防火墙202外，并且经由BOPS应用客 户端软件与BOPS服务器102通信。图2中还包含BOPS集群204和BOPS IDS 206。虽然图2中所 示的实施方案示出与BOPS服务器102和BOPS IDS 206分离的BOPS集群204,但是本领域的技 术人员将认识到，取决于特定实施方案，集群204可W包括BOPS服务器102和/或BOPS IDS206。如本文所指出，可W提供双向安全套接字层(S化），所述双向安全套接字层建置在 单向S化顶部上并且提供在客户端处开始的通信。
[0053] W下是对本专利申请的示例实施方案的描述。注册过程开始了在组织内的BOPS采 用。在BOPS管理员设置环境之前，所述组织注册W(例如)从因特网网站接收API密钥。个人 开发人员也可W申请API密钥。在登记完成时，BOPS管理员原始网站管理员可W创建另外的 网站管理员。将来，将会将登记信息与所述组织的API密钥相关联。所述API注册可W设及两 个域:所登记的原始网站管理员和所发布的API密钥，所述API密钥是基于登记信息、所述组 织和用例。当同意开始应用程序时，所述注册过程完成。此后，BOPS管理员创建组织的原始 网站管理员，所述原始网站管理员可W创建网站管理员（见图3)。在下文描述注册之后的步 骤。图3示出了根据本申请的角色层次结构的例子。
[0054] 在示例实施方案中，在利用BOPS服务的开发过程之前，开发人员在"BOPS管理控制 台"中注册。通过提供应用程序名称和使用（例如)Axiom来识别所述开发人员，BOPS建立新 的账户并且创建API密钥，所述API密钥可W使用所述应用程序名称来识别并且与所述应用 程序相关联。所建立的API密钥可W包含在对BOPS服务器的所有API调用中。BOPS服务器对 所述API密钥进行核实。如果所述密钥期满或无效，那么BOPS服务器立即拒绝服务请求。
[0055] 如本文所指出，在一个或多个实施方案中，所述应用程序与BOPS服务器之间的通 信是建立在双向S化顶部上。起源机制使得可W建立连接。起源指明用户如何向BOPS服务器 识别自身，使得服务器可W产生私用密钥来设置用户装置104的应用程序与BOPS服务器102 之间的双向S化通信。Axiom是BOPS可W用来识别用户的机制之一。此外，所述应用程序可W 负责提供识别终端用户的装置的唯一 ID。所述应用程序可W使用所述装置的关联API来通 知BOPS服务器关于用户与用户的装置之间的链路的情况。
[0056] W下实例演示了客户端与服务器之间的通信。对BOPS服务器的调用可W具有API 调用，所述API调用具有创建应用程序运个显著的例外，所述API调用实际上创建了API密 钥。所述请求可W从客户端装置发给安全服务器。初始调用接收双向S化证书并创建用户。 在集群持久性环境中创建用户。防止回放的和被假设为使用細A1进行单向加密。使用任何 合适算法来切换SHA1不会改变所述算法。在本档案的持续时间中，采取SHA1。
[0057] 初始调用的示例格式将是：
[005引 ht1:ps ://:xyz .domain, com:8443/{BOPS_Instance_Se;rve;rV?vall = <nl〉&val2 = <n2>&siteId = <client>&username = <username>&password = <password>&newPassword = <newpassword>
[0化9] 对于乂日11 = <111〉，111是呈150-8601格式的当前时间加上或减去-59与59之间的整 数后的細A1和。对于val2 = <n2〉，n2是-59与59之间的整数的細A1和并且大于nl的明文值。 用户名和密码的值是依赖于客户端的并且用于到达当前身份声明器。对于SAMULDAP、 ActiveDirectory，存在与用于声明身份和角色收集的多种机制结合的类似机制。
[0060] W下内容表示起源请求的结果：
[0061 ]_
[0062] 用户scott具有电子邮箱scott@sample. com。明文形式的第一位重放值是5,且第 二位是40。在会话Id/网站Id配对时，存在会话超时。对于企业顾客网站的管理员来说，会话 超时存续一个小时。
[0063] 更详细地，示例工作如下，其中当前时间是2013-12-22Τ17:46:03.647Ζ。进行计算 W向后退五分钟的时间间隔并且获得2013-12-22Τ17 :45:00.007Ζ，其中SHA1和是 fa8el4cf7f80f885084ee0e3cb256182化6a4e40。
[0064] 实例；
[0065] https：//xyz. domain . com：8443/{B0PS_Instance_Server}/genesisval1 = fa8el4cf7fS0f885084ee0e3cb256182化6a4e40&val2=fa8el4cf7f80f885084ee0e3cb2561 82t)b6a4e40&newPassword = gaso 1
[0066] 与 vail 为fa8el4cf7f80f885084ee0e3cb256182化6a4e40相关联的值是偏差值5， 并且对于正好相同的 Val2 = fa8el4cf7fS0f885084ee0e3cb256182化6a4e40，是40。新密码 是双向S化密钥的密码，所述密码优选地不存储在BOPS服务器上。
[0067] 为了执行此操作，BOPS服务器必须具有-59与59之间的所有整数的細A1和W对所 述和进行解密。
[0068] W下内容表示后续的API调用。例如，在祖鲁时间的下午2点18分，用户scott使用 客户端装置(Amlroid电话)来创建会话。所述调用含有会话的装置IdW及W下参数：
[0069] vall = <当前时间后退到最近5分钟的时间间隔后的甜A1和〉&val2 = <当前时间前 进到最近20分钟的时间间隔后的甜A1和〉&命令= < 低级操作系统诸如fopen的甜A1和〉&版 本= <命令版本〉&va 13 = <命令文件的SHA1和〉
[0070] 为了防止重放先前会话或密钥内核对象文件的替代物，BOPS服务器含有逐版本的 命令名称和所述文件的SHA1和。将BOPS协议与BOPS入侵检测系统结合使用防止了重放攻 击。IDS在进一步的攻击辨识水平上更新了被列入黑名单的对象(作为威胁和攻击)的列表。
[0071] W下论述设及根据本申请的一个或多个实施方案的API的概述。在一个或多个实 施方案中，API名称是呈REST化1化vaScript对象表示法(JS0N)格式。
[0072] 关于身份声明API,个人开发人员可W为他们的、将使用BOPS的应用程序申请API_ 密钥。一旦个人开发人员具有他们自己的API_密钥，通过他们的应用程序进行的API调用便 可W将此API_密钥当作一个参数来插入。LDAP可W在所述API级验证所述API_密钥。此外， 应用程序识别创建了供开发小组使用的应用程序。
[0073] 现在提供对根据示例实施方案的示例应用程序创建过程的论述。在同意开始应用 程序之后，BOI^总管理员创建了具有原始网站管理员运个特殊角色的用户。一旦原始网站 管理员存在，具有原始网站管理员角色的人的第一个行为就是将他/她的生物识别与身份 相关联。此后，行为具有起源和API。另外，原始网站管理员角色可W创建具有网站管理员角 色的用户。网站管理员角色是用于额外的管理工作。
[0076] 关于示例起源API,起源服务是针对用户的初始设置。它可W用于先前存储的初始 身份，或可W为所述初始身份使用外部axiom服务。
[0074]
[0075]
[0077]
[0078] 在一个或多个示例实施方案中，可W存在让客户端装置用来确保身份的若干经界 定的规则。运些规则可W包含：1)客户端鉴认装置不需要额外装置;2)漏报率必须低于预定 义百分数(例如，<1%);误报率必须低于预定义百分数(例如，<0.5%)。其它规则可w包 含4)如果用户连续失败超过预定义次数(X)，那么客户端软件将自己列入黑名单。另外，客 户端可W具有能够查看试错模式并且将自己列入黑名单的客户端入侵检测系统。被设计成 与BOPS-起使用的应用程序可W包含某形式的入侵检测，借此所述软件可W检测出伪造尝 试并且限制对后端系统的访问（被界定为(例如）尝试数量X)，运接着会使客户端应用程序 停止工作一段时间X或无限期地停止工作，直到所述装置可W被恰当地保证是安全和有效 的。另外，规则可W包含5)存活性，其中打算遵守BOPS的应用程序包含某形式的存活性检测 或能够确保被登记或鉴认的用户是实际存在的人而不是所述用户的图像或其它表示。对于 脸部辨识系统，运可W是像巧眼检测那样简单的东西，重点在于存在某形式的防伪造来防 止对系统的假访问。在一个或多个实施方案中，企业组织确定哪个用例最适合于特定实施 方案。
[0079] 在一个或多个实施方案中，角色收集是从权威性的角色源（例如Active Directo巧、LDAP或关系数据库大数据服务器）中检索，或通过对BOPS服务器的额外API调用 来进行W发现角色列表。可W在BOPS服务器中收集和存储角色。
[0080] 角色 API
[0081]
[0082] W下内容描述了根据本申请的一个或多个实施方案的动态图像代码会话建构。例 如，动态图像的网页传回会话Id。子API调用传回MIME编码图像，所述图像具有动态图像中 的会话Id。其它子API调用传回图像的ML和呈JS0N文本格式的会话Id。在会话建构结束时， 可W将所有角色(标签)与用户相关联。
[0083]
[0084]
[0085] 继续一个或多个示例实施方案中的动态图像代码会话建构，输入装置扫描动态图 像并且通过BOPS来核实所扫描的会话Id,运触发了用户、装置和会话的Ξ重关联。BOPS客户 端软件核实了生物识别。将生物识别状态发送至BOPS服务器。在一个或多个实施方案中，为 了满足隐私问题，并未将生物识别数据自身发送至BOPS服务器。此后，装置扫描生物识别， 并且创建会话ID。在一个或多个实施方案中，会话状态会话Id传回会话未就绪、核实进行 中、用户被鉴认、用户被拒绝、会话终止、会话期满、会话注销和用户注销。会话终止带出了 注销通知。一旦被接收到，便可W关闭所述会话，W便进行如会话ID中通过会话注销界定的 将来的行为。会话ID创建失败可W通过IDS来掌控，所述IDS可W接着采取适当的行动来终 止会话ID创建，运可W是阻止IP地址、将域列入黑名单、将用户列入黑名单或其它手段。黑 名单具有基于复杂的机器学习规则限制对系统的访问的层次结构。
[0086] 现在转向示例访问控制API,给定会话Id,允许数据标签和访问。在一个或多个实 施方案中，呈JS0N格式的数据集(JS0N对象的JS0N阵列）是安全标签字段。通过所述会话将 所述安全标签字段与和用户相关联的角色进行匹配。如果所述数据(JS0N对象)是所述角色 的子集，那么传回所述数据。否则，不传回JS0N对象的部分数据。在API对调用重定向时，所 传回的数据变成受限的。在所述重定向API调用时，getJSON调用被拦截。
[0087] W下内容描述了示例实施方案，其中访问控制算法在会话建构时间适用于每个用 户，使层次结构扁平。因此，经理用户隐含着经理标签既是经理又是用户，那么：
[0088] 如果Bob是经理，那么Bob的标签是经理/用户
[0089] 如果有一条数据是经理，那么层次结构不会是扁平的。
[0090] 对于裁决，如果所述数据是用户角色(群组）的子集，那么所述裁决允许用户看到 它：
[0091] 严禁上读下写"BeU-La化dula"模型。
[0092] 在给定的时间点，用户在非层次的安全级别下工作。不管扁平标签的数目是多少， 在将要写入时，用户是按一个标签来工作。例如，如果Bob是作为经理，那么他只能W经理的 身份来写入数据。如果他是作为用户，那么他只能W用户的身份来写入数据。运防止了安全 策略因为"下写"而被违背。
[0093]
[0094] 现在转向一个或多个实施方案并且关于审计，与身份声明、会话创建和裁决相关 联的步骤具有审计能力。遍及对任一组数据的任何行为(读取/写入），可W为任一用户、用 户群组或角色设置所述能力。可WRESTful式地存储并收集审计并且接着将审计存储在 BOPS服务器中。
[00巧]用于审计请求的API
[0096]
[0097] 用于读取审计日志的API
[009引
[0099] 现在转向根据示例实施方案的管理，用户至群组和群组至角色W及属性至群组的 映射是通过API调用提供。所有的调用都需要双向S化通信层并且将由管理员角色来进行。
[0100] 实例：
[0101 ] UPDATE_URI = https：//xyz. domain . com ： 8443/ {BOPS_Instance_Name } / JSONUpdate
[0102]添加或更新用户 Γηιπ3?
[0106]添加角色
[0107]
[0109] 此外，支持报告并且管理级报告在审计API中是可用的。
[0110] W下内容是根据本申请的一个或多个实施方案的示例术语表。
[0111] 术语表 「01121
[0113]
[0115] W下内容是对示例实施方案的描述。为了开始应用程序，用户在移动应用程序上 鉴认他/她的脸并且立即进行验证。图4示出了提示用户进行鉴认的示例移动装置显示屏。 用户可能还需要指定移动应用程序将通知发往的电子邮箱地址。运样，身份的所有者将接 收用来下载中间件应用程序的链接，所述中间件应用程序使移动装置与一个或多个台式机 同步，其中用户想要进行安全鉴认。运种中间件允许经由桌上型计算机上的应用程序来管 理用户的登录偏好，其中所述中间件可W经由标准Windows或0SX安装程序来安装在每个机 器上。
[0116] 图5示出了用于验证用户的示例接口。图6示出了示例显示屏，所述显示屏包含来 自第Ξ方开发人员的配置扩展W定制并增强用户的上网体验。
[0117] -旦开始客户端应用程序，用户便可W通过验证他/她的身份来在计算机上访问 银行账户（或其它网站）。运可W用几个简单的步骤来完成。参看图7,提示用户用电话扫描 出现在屏幕上的QR码。用户扫描所述QR码(例如，如图8中所示)并且此后一旦被验证和鉴认 则访问内容（图9)。如果无法验证用户的身份，那么将拒绝对网站的访问。一旦确认了身份， 将在浏览器中打开用户的账户。
[0118] 因此，根据本文所示出和描述的系统和方法，本申请使得可W结合在通信网络上 提供的数字资产来进行新的且可验证的鉴认、访问控制、角色收集、保证和审计。在起源过 程之后并且将用户的生物识别绑定到用户的装置之后，可W使用已经过认证机构签名的双 向s化密钥来进行安全访问和后续的活动。
[0119] 本申请实现了灵活的实施，包含与生物识别鉴认相关联的实施，W及提供安全措 施，所述安全措施可能是在起源过程之前就工作的。运使得安全性增加，但又不会干扰组织 的、关于对数字资产的访问的现有商业方法论。在一个或多个实施方案中，本申请增加了身 份声明但又不会破坏现有的商业模型。
[0120] 此外，本申请通过防止伪造使得安全性增加，诸如在双向S化唯一标识符被黑客 "重放"的情况下。尽管黑客经验老道并且"扎根于"智能电话中（例如便用新的命令来取 代"fopen"命令，并且黑客盗取了成功的握手并试图传回所述成功的握手来愚弄所述系统， 但是仍将无法访问可信服务器102。
[0121] 因此，本申请通过提供一些标准使已知的安全措施得到很大的改进，所述标准共 同地包含用于鉴认用户并且由此实现对一个或多个数字资产的访问的框架。
[0122] 上文描述的标的物仅W例示方式提供并且不应被解释为限制性的。可W对本文所 描述的标的物进行各种修改和改变，而不用遵照所示出和所描述的示例实施例和应用，并 且不会脱离如所附权利要求中的每一项和任一项中所阐述的本发明的真实精神和范围。
【主权项】
1. 一种用于在用户计算装置与可信服务器之间提供安全通信的方法，所述方法包括： 经由分布式客户端软件应用程序来提供一次性证书，所述一次性证书实现了所述用户 计算装置与所述可信服务器之间的初始双向安全通信会话； 在接收到所述一次性证书之后，通过所述可信服务器建立与所述用户计算装置的初始 安全通信会话； 通过所述可信服务器在所述初始安全通信期间接收与所述用户计算装置的用户相关 联的识别信息，其中所述识别信息包含所述用户的身份的表示并且还包含所述用户计算装 置的表示，所述用户身份已经根据生物识别而确认； 通过所述可信服务器生成对于所述用户与所述用户计算装置的组合来说是唯一的替 代证书， 通过所述可信服务器将所述替代证书传输至所述用户计算装置；以及 每当所述可信服务器接收到所述替代证书时，通过所述可信服务器建立与所述用户计 算装置的双向安全通信会话。2. 如权利要求1所述的方法，还包括通过所述可信服务器采用入侵检测系统，所述入侵 检测系统提供主动监视并防止伪造所述替代证书。3. 如权利要求2所述的方法，其中被防止的所述伪造包含重放所述替代证书。4. 如权利要求1所述的方法，其中每当所述可信服务器接收到所述替代证书时，与所述 用户计算装置的所述初始双向安全通信会话和所述双向安全通信会话进一步被建立为单 向安全连接。5. 如权利要求1所述的方法，其中所述初始双向安全通信会话和所述双向安全通信会 话是经由双向安全套接字层连接并且经由单向安全套接字层连接来确保安全。6. 如权利要求1所述的方法，还包括： 通过所述可信服务器从所述用户计算装置以外的计算装置接收代表所述用户的用户 标识符；以及 将所述用户标识符包含在所述替代证书中。7. 如权利要求1所述的方法，还包括： 通过所述可信服务器提供角色收集，所述角色收集是通过关于对数字资产的访问的一 个或多个规则来界定；以及 通过所述可信服务器根据所述角色收集来提供或拒绝所述用户计算装置对所述数字 资产的访问。8. 如权利要求1所述的方法，还包括通过所述可信服务器提供对所述用户计算装置对 一个或多个数字资产的访问的审计。9. 如权利要求1所述的方法，其中所述用户计算装置的所述表示包含装置标识符。10. 如权利要求1所述的方法，还包括通过所述可信服务器询问所述用户计算装置以捕 捉所述用户的生物识别信息并且对表示所述用户的身份的信息进行编码，所述用户身份已 经使用所述替代证书来验证。11. 一种用于在用户计算装置与可信服务器之间提供安全通信的系统，所述系统包括： 至少一个处理器，所述处理器可操作地耦接至一个或多个非暂时性处理器可读媒体； 其中所述一个或多个处理器可读媒体包含用于使所述至少一个处理器能够进行以下 操作的指令： 经由分布式客户端软件应用程序提供一次性证书，所述一次性证书实现了所述用户计 算装置与所述可信服务器之间的初始双向安全通信会话； 在接收到所述一次性证书之后，建立与所述用户计算装置的初始安全通信会话； 在所述初始安全通信期间接收与所述用户计算装置的用户相关联的识别信息，其中所 述识别信息包含所述用户的身份的表示并且还包含所述用户计算装置的表示，所述用户身 份已经根据生物识别而确认； 生成对于所述用户与所述用户计算装置的组合来说是唯一的替代证书， 将所述替代证书传输至所述用户计算装置；以及 每当所述可信服务器接收到所述替代证书时，建立与所述用户计算装置的双向安全通 信会话。12. 如权利要求11所述的系统，其中所述一个或多个非暂时性处理器可读媒体还包含 用于使所述至少一个处理器能够采用入侵检测系统的指令，所述入侵检测系统提供主动监 视并防止伪造所述替代证书。13. 如权利要求12所述的系统，其中被防止的所述伪造包含重放所述替代证书。14. 如权利要求11所述的系统，其中所述一个或多个非暂时性处理器可读媒体还包含 用于使所述至少一个处理器能够每当接收到所述替代证书时建立单向安全连接的指令。15. 如权利要求11所述的系统，其中所述初始双向安全通信会话和所述双向安全通信 会话是经由双向安全套接字层连接并且经由单向安全套接字层连接来确保安全。16. 如权利要求11所述的系统，其中所述一个或多个处理器可读媒体还包含用于使所 述至少一个处理器能够进行以下操作的指令： 从所述用户计算装置以外的计算装置接收代表所述用户的用户标识符；以及 将所述用户标识符包含在所述替代证书中。17. 如权利要求11所述的系统，其中所述一个或多个非暂时性处理器可读媒体还包含 用于使所述至少一个处理器能够进行以下操作的指令： 提供角色收集，所述角色收集是通过关于对数字资产的访问的一个或多个规则来界 定；以及 根据所述角色收集来提供或拒绝所述用户计算装置对所述数字资产的访问。18. 如权利要求11所述的系统，其中所述一个或多个非暂时性处理器可读媒体还包含 用于使所述至少一个处理器能够还提供对所述用户计算装置对一个或多个数字资产的访 问的审计的指令。19. 如权利要求11所述的系统，其中所述用户计算装置的所述表示包含装置标识符。20. 如权利要求11所述的系统，其中所述一个或多个非暂时性处理器可读媒体还包含 用于使所述至少一个处理器能够询问所述用户计算装置以捕捉所述用户的生物识别信息 并且对表示所述用户的身份的信息进行编码的指令，所述用户身份已经使用所述替代证书 来验证。
【文档编号】H04L29/06GK106063219SQ201480074859
【公开日】2016年10月26日
【申请日】2014年12月31日
【发明人】H·霍约斯, S·斯特赖特, J·布拉韦曼
【申请人】奥约斯实验室Ip有限公司