6.1　注冊流程

6.1.1　概述

圖5描述用戶注冊流程（圖中實線表示消息流由圖例中的左側實體到右側實體，虛線部分表示消息流由圖例中的右側實體到左側實體或者是重定向消息流，雙向箭頭表示兩個實體進行交互以完成某操作），其中步驟a）至步驟d）是用戶使用已注冊的賬戶（使用用戶名口令或者數字證書進行身份鑒別的賬戶）登陸身份鑒別服務器的過程。

a) 用戶訪問依賴方，發起注冊流程。

b) 依賴方將用戶導向到身份鑒別服務器。

c) 身份鑒別服務器驗證用戶身份（如：可使用用戶名口令、數字證書等方式，或用戶重新注冊一個新的賬戶）。

d) 身份鑒別服務器驗證用戶通過后，生成注冊請求消息。

e) 身份鑒別服務器將注冊請求消息發送至生物特征識別密鑰管理器。

f) 生物特征識別密鑰管理器發起本地用戶校驗，提示用戶使用生物特征識別信息進行身份驗證。

g) 用戶提交生物識別信息，例如指紋、虹膜等信息。

h) 生物特征識別密鑰管理器驗證用戶提交的生物識別信息，驗證通過后，生成一對新的鑒別公私鑰，然后生成注冊響應消息，注冊響應消息中包含使用廠商私鑰對鑒別私鑰等信息的簽名。

i) 生物特征識別密鑰管理器將注冊響應消息返回給身份鑒別服務器。

j) 身份鑒別服務器使用廠商公鑰驗證注冊響應消息，驗證成功后存儲相關信息，否則返回錯誤信息。

k) 身份鑒別服務器將結果返回給依賴方。

6.1.2　注冊流程處理規則

6.1.2.1　身份鑒別服務器生成注冊請求規則

身份鑒別服務器應遵循以下步驟：

a) 創建注冊請求消息，并初始化注冊請求消息的各個參數，至少應包括服務器挑戰等參數（參見附錄A）。

b) 將注冊請求消息發送給生物特征識別密鑰管理器。

6.1.2.2　生物特征識別密鑰管理器處理注冊請求規則

生物特征識別密鑰管理器應遵循以下步驟：

a) 驗證身份鑒別服務器的真實性，驗證成功則執行以下步驟，否則拒絕該消息。

b) 解析注冊請求消息，判斷注冊請求消息是否包含必要的參數以及每個參數是否符合要求，若符合要求則執行以下步驟，否則拒絕該消息。

c) 提示用戶選擇生物特征識別器，用戶選擇后，使用用戶選擇的生物特征識別器驗證用戶，驗證通過后執行以下操作，否則返回錯誤。

d) 創建注冊響應消息，并根據注冊請求消息的參數初始化注冊響應消息的參數。

e) 將注冊響應消息發送給身份鑒別服務器。

6.1.2.3　身份鑒別服務器處理注冊響應規則

身份鑒別服務器應遵循以下步驟：

a) 解析注冊響應消息，判斷注冊響應消息是否包含必要的參數以及每個參數是否符合要求，若符合要求則執行以下步驟，否則拒絕該消息。

b) 使用廠商公鑰驗證注冊響應消息中簽名的正確性。

c) 如果注冊響應消息通過驗證，將相關信息保存在身份鑒別服務器。