6.2　鑒別流程

6.2.1　概述

圖6描述鑒別流程（圖中流程實線表示消息流由圖例中的左側實體到右側實體，虛線部分表示消息流由圖例中的右側實體到左側實體或者是重定向消息流）。

圖1　鑒別詳細流程

a) 用戶訪問依賴方，發起鑒別流程。

b) 依賴方將用戶導向到身份鑒別服務器。

c) 身份鑒別服務器生成鑒別請求消息。

d) 身份鑒別服務器將鑒別請求消息發送至生物特征識別密鑰管理器。

e) 生物特征識別密鑰管理器發起本地用戶校驗，提示用戶使用生物特征識別信息進行身份驗證。

f) 用戶提交生物識別信息，例如指紋、虹膜等信息。

g) 生物特征識別密鑰管理器驗證用戶提交的生物識別信息，驗證通過后，生成鑒別響應消息。

h) 生物特征識別密鑰管理器將鑒別響應消息返回給身份鑒別服務器。

i) 身份鑒別服務器驗證鑒別響應消息。

j) 身份鑒別服務器將結果返回給依賴方。

6.2.2　鑒別流程處理規則

6.2.2.1　身份鑒別服務器生成鑒別請求規則

身份鑒別服務器應遵循以下步驟：

a) 創建鑒別請求消息，并初始化鑒別請求消息的各個參數，至少應包括服務器挑戰等參數（參見附錄A）。

b) 將鑒別請求消息發送給生物特征識別密鑰管理器。

6.2.2.2　生物特征識別密鑰管理器處理鑒別請求規則

生物特征識別密鑰管理器應遵循以下步驟：

a) 驗證身份鑒別服務器的真實性，驗證成功則執行以下步驟，否則拒絕該消息。

b) 解析鑒別請求消息，判斷鑒別請求消息是否包含必要的參數以及每個參數是否符合要求，若符合要求則執行以下步驟，否則拒絕該消息。

c) 提示用戶選擇生物特征識別器，用戶選擇后，使用用戶選擇的生物特征識別器驗證用戶，驗證通過后執行以下操作，否則返回錯誤。

d) 創建鑒別響應消息，并根據鑒別請求消息的參數初始化鑒別響應消息的各個參數。

e) 將鑒別響應消息發送給身份鑒別服務器。

6.2.2.3　身份鑒別服務器處理鑒別響應規則

身份鑒別服務器應遵循以下步驟：

a) 解析鑒別響應消息，判斷鑒別響應消息是否包含必要的參數以及每個參數是否符合要求，若符合要求則執行以下步驟，否則拒絕該消息。

b) 使用鑒別公鑰驗證鑒別響應消息的正確性。

c) 如果驗證通過，則鑒別成功，否則失敗。