5.2　注冊

在用戶向身份鑒別服務器進行注冊的流程中，用戶使用的生物特征識別密鑰管理器創建一對新的鑒別公私鑰并且將鑒別私鑰保存在生物特征識別密鑰管理器中，將鑒別公鑰注冊在身份鑒別服務器中。注冊流程見圖2，協議消息參見附錄A。

a) 用戶使用用戶設備中的用戶代理訪問依賴方，當用戶需要進行生物特征識別身份鑒別注冊時，依賴方將用戶定向到身份鑒別服務器（可以使用HTTP重定向方式將用戶設備重定向到身份鑒別服務器，或者使用消息轉發方式）。

b) 身份鑒別服務器向用戶設備中的生物特征識別密鑰管理器發送注冊請求消息；用戶設備的生物特征識別密鑰管理器在收到身份鑒別服務器的注冊請求消息時，驗證身份鑒別服務器的真實性，驗證通過則提示用戶選擇可用的生物特征識別器，否則拒絕該消息。

c) 用戶選擇合適的生物特征識別器，使用生物特征識別信息解鎖生物特征識別密鑰管理器（如果用戶之前未將生物特征識別信息登記到該生物特征識別器，則進行登記；如果用戶已進行登記，則使用已登記的生物特征識別信息完成解鎖過程），完成用戶生物特征識別驗證。用戶生物特征識別驗證成功后，生物特征識別密鑰管理器創建一對與生物特征識別密鑰管理器、身份鑒別服務器相關聯的唯一的鑒別公私鑰，鑒別私鑰保存在本地的生物特征識別密鑰管理器，并且不允許從生物特征識別密鑰管理器導出。如果生物特征識別密鑰管理器沒有能力保存鑒別私鑰，則該生物特征識別密鑰管理器將鑒別私鑰進行加密，然后將加密后的鑒別私鑰保存在用戶設備中，用于加密用戶私鑰的密鑰則保存在生物特征識別密鑰管理器中并且不允許從生物特征識別密鑰管理器導出。

d) 生物特征識別密鑰管理器生成密鑰注冊數據（密鑰注冊數據中包含上一步生成的鑒別公鑰），然后生成注冊響應消息（注冊響應消息中包含密鑰注冊數據，以及使用廠商私鑰對密鑰注冊數據進行簽名的簽名值），將注冊響應消息發送到身份鑒別服務器。

e) 身份鑒別服務器使用廠商公鑰驗證注冊響應消息中的簽名，簽名正確則提取出鑒別公鑰并保存該鑒別公鑰（同時應保存該鑒別公鑰與用戶之間的對應關系）。