CN107241317B - 生物特征识别身份的方法和用户终端设备以及身份认证服务器 - Google Patents
生物特征识别身份的方法和用户终端设备以及身份认证服务器 Download PDFInfo
- Publication number
- CN107241317B CN107241317B CN201710373124.8A CN201710373124A CN107241317B CN 107241317 B CN107241317 B CN 107241317B CN 201710373124 A CN201710373124 A CN 201710373124A CN 107241317 B CN107241317 B CN 107241317B
- Authority
- CN
- China
- Prior art keywords
- identity
- account number
- index address
- authentication
- biometric
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种生物特征识别身份的方法,用户终端设备侧为通过生物特征识别方式登录应用程序的账号提供一对公私钥,通过内置的设备私钥对账号、账号的公钥和登录账号的生物特征索引地址签名并以此生成注册请求;身份认证服务器中预存的设备公钥对注册请求进行验签并在验签通过后保存所述账号、账号的公钥和登录账号的生物特征索引地址以对终端设备的认证请求验签;本发明对登录账号的生物特征经过双重公私钥验证以及一次生物特征对比核验认证,保证登录账号生物特征的精确匹配,使得具有登录终端设备权限的生物特征需进一步认证才可使用应用程序的服务(如涉及金钱的交易服务),避免“友好欺骗”,提高隐私和财产的安全性。
Description
技术领域
本发明涉及应用于智能设备上的身份验证技术领域,具体为一种生物特征识别身份的方法和系统。
背景技术
随着电子科技和互联网技术的高速发展和普及,各种智能设备例如智能手机、平板以及各种穿戴设备突飞猛进,其在实现基本讯通功能的同时,还有一个重要功能就是绑定银行卡或信用卡等进行线上支付,也就是说,在一个智能设备中可能除了包含通讯内容隐私外,还绑定个人财产以及存储重要文件信息;故而人们在享受更加智能与便捷生活的同时,也正在面临着日益严重的隐私和财产安全的风险。
随着生物特征识别技术逐渐成熟,智能设备上也使用生物特征识别技术进行身份认证以提高身份鉴定的准确度,保证信息安全,智能设备上常用的生物特征有指纹、脸形、虹膜等,该认证方式主要基于Android和iOS平台开发,而Android系统提供的指纹API和iOS系统提供的TouchID API均未提供针对手指指纹的精确匹配(一一对应),这样就会带来一定的安全风险,导致所谓的“友好欺骗”。举例来说,手机系统中可以注册多个指纹(可以是不同人的,例如父亲、母亲和孩子),所有注册了指纹的人都可以解锁该手机。当用户(如父亲)对于某个应用(如某银行的手机银行app)开通指纹登录功能时,使用自己的某个指纹进行了账号绑定,成功后,母亲和孩子也可以用自己的指纹登录该应用,而这对父亲而言可能是不愿意看到的。
有鉴于此,特提出本发明。
发明内容
本发明要解决的技术问题在于克服现有技术的不足,提供一种生物特征识别身份的方法,能够实现对登录应用程序账号的生物特征的精确匹配,避免同一用户终端设备上多个具有登录权限的生物特征对应用程序账号的“友好欺骗”,提高安全性;同时本发明提供了实现该生物特征识别身份的方法的用户终端设备和身份认证服务器。
为解决上述技术问题,本发明采用技术方案的基本构思是:
一种生物特征识别身份的方法,在用户终端设备侧,包括
为通过生物特征识别方式登录应用程序的账号提供一对公私钥,其中私钥存储在用户终端设备的安全区域中;通过用户终端设备内置的设备私钥对账号、账号的公钥和登录账号的生物特征索引地址签名并以此生成注册请求;
将注册请求发送至身份认证服务,以使身份认证服务器中预存的、且与设备私钥对应的设备公钥对注册请求进行验签操作并在验签通过后保存所述账号、账号的公钥和登录账号的生物特征索引地址;
通过为账号生成的私钥对账号和再次登录账号的生物特征索引地址签名,并以此生成认证请求发送至身份认证服务器,以使身份认证服务器中的所述公钥对认证请求验签,并对注册请求和认证请求中的生物特征索引地址进行对比核验。其中一个所述生物特征索引地址只对应一个生物特征,具有唯一性。
进一步的,上述生物特征识别身份的方法中,认证请求验签不通过和/或生物特征索引地址核验结果不一致时,用户终端设备发起重新认证请求,并要求提供能够继续执行所述应用程序服务的执行验证码以确认身份。
优选的,上述生物特征识别身份的方法中,所述执行验证码包括交易密码和/或短信验证码。
进一步的,上述生物特征识别身份的方法中,用户终端设备接收注册结果和认证结果并显示。
同时本发明一种生物特征识别身份的方法,在身份认证服务器侧,包括
接收被用户终端设备内置的设备私钥签名的注册请求,通过身份认证服务器内存储的、且与所述设备私钥对应的设备公钥进行注册请求的验签,验签通过后保存注册请求内包含的应用程序账号、为账号产生的公钥以及登录账户的生物特征的索引地址;
接收用户终端设备发送的认证请求,该认证请求包含账号和再次登录账号的生物特征的索引地址,其中账号和再次登录账号的生物特征的索引地址被与所述公钥对应的私钥签名;通过身份认证服务器保存的所述公钥对认证请求验签;
验签通过后,核验所述认证请求中生物特征索引地址与已保存的所述注册请求中的生物特征索引地址是否一致。
进一步的,上述生物特征识别身份的方法中,还包括认证请求验签不通过和/或生物特征索引地址核验结果不一致时,接收重新认证请求,获取能够继续执行所述应用程序服务的执行验证码以确认身份。
进一步的,上述生物特征识别身份的方法中,确认身份后将认证请求中的生物特征索引地址保存在注册记录中,即如同保存注册请求中的生物特征索引地址一样,将认证请求中的生物特征索引地址保存下来作为一个认证核验的样本。
优选的,上述生物特征识别身份的方法中,所述执行验证码包括交易密码和/或短信验证码。
进一步的,上述生物特征识别身份的方法中,在身份认证服务器侧还包括发送注册结果和认证结果。
第二方面,本发明提供了一种生物特征识别身份的用户终端设备,包括存储介质和存储在存储介质中的程序,所述程序运行时执行以下步骤:
为通过生物特征识别方式登录应用程序的账号提供一对公私钥,私钥存储在用户终端设备的安全区域中;通过用户终端设备内置的设备私钥对账号、账号的公钥和登录账号的生物特征索引地址签名并以此生成注册请求;
将注册请求发送至身份认证服务,以使身份认证服务器中预存的、且与设备私钥对应的设备公钥对注册请求进行验签操作并在验签通过后保存所述账号、账号的公钥和登录账号的生物特征索引地址;
通过为账号生成的该私钥对账号和再次登录账号的生物特征索引地址签名,并以此生成认证请求发送至身份认证服务器,以使身份认证服务器中的所述公钥对认证请求验签并对注册请求和认证请求中生物特征索引地址进行对比核验。
进一步的,上述一种生物特征识别身份的用户终端设备中,所述程序运行时还执行步骤:
认证请求验签不通过和/或生物特征索引地址核验结果不一致时,用户终端设备发起重新认证请求,并要求提供能够继续执行所述应用程序服务的执行验证码以确认身份。
优选的,上述一种生物特征识别身份的用户终端设备中,所述执行验证码包括交易密码和/或短信验证码。
进一步的,上述一种生物特征识别身份的用户终端设备中,所述程序运行时还执行步骤:接收注册结果和认证结果并显示。
同时第三方面本发明提供了一种生物特征识别身份的身份验证服务器,包括存储介质和存储在存储介质中的程序,所述程序运行时执行以下步骤:
在存储介质中的程序,其特征在于:所述程序运行时执行以下步骤:
接收被用户终端设备内置的设备私钥签名的注册请求,通过身份认证服务器内存储的、且与所述设备私钥对应的设备公钥进行注册请求的验签,验签通过后保存注册请求内包含的应用程序账户、为账户产生的公钥以及登录账户的生物特征索引地址;
接收用户终端设备发送的认证请求,该认证请求包含账号和再次登录账号的生物特征的索引地址,其中账号和再次登录账号的生物特征的索引地址被与所述公钥对应的私钥签名;通过身份认证服务器保存的所述公钥对认证请求验签;
验签通过后,核验所述认证请求中生物特征索引地址与已保存的所述注册请求中的生物特征索引地址是否一致。
进一步的,上述一种生物特征识别身份的身份验证服务器中,所述程序运行时还执行以下步骤:认证请求验签不通过和/或生物特征索引地址核验结果不一致时,接收用户终端设备的重新认证请求,获取能够继续执行所述应用程序服务的执行验证码以确认身份;确认身份后将认证请求中的生物特征索引地址保存在注册记录中。
进一步的,上述一种生物特征识别身份的身份验证服务器中,程序运行时还执行步骤:发送注册结果和认证结果。
采用上述技术方案后,本发明与现有技术相比具有以下有益效果:
本发明方法中,用户终端设备与身份认证服务器的交互,用户终端设备能够基于出厂时预置的具有唯一性的设备密钥对,被身份认证服务器保存的设备密钥对中的设备公钥验签,通过设备公私钥完成与账号对应的公钥以及生物特征索引地址的验签和保存,进行注册,并进一步的,本发明还通过公钥再次对被私钥签名的账号和登录账号的指纹索引地址进行验签,以及再次比对注册时存储的指纹索引地址的一致性,以此作为认证用户身份的依据;本发明对登录账号的生物特征经过双重公私钥验证以及一次生物特征对比核验认证,保证登录账号生物特征的精确匹配,使得具有登录终端设备权限的生物特征需进一步认证才可使用应用程序的服务(如涉及金钱的交易服务),避免“友好欺骗”,提高隐私和财产的安全性。
附图说明
图1是本发明一种生物特征识别身份的方法在用户终端设备侧的流程图;
图2是本发明一种生物特征识别身份的方法在身份认证服务器端的流程图;
图3是本发明实施例提供的生物特征识别身份的方法中DAK产生的流程图;
图4a是本发明实施例提供的生物特征识别身份的方法中注册流程的示意图;
图4b是本发明实施例提供的生物特征识别身份的方法中认证流程的示意图;
图5是本发明实施例提供的用户终端设备与身份认证服务器交互的示意图;
图6是本发明实施例提供的生物特征识别身份的用户终端设备的结构图;
图7是本发明实施例提供的生物特征识别身份的身份认证服务器的结构图;
具体实施方式
下面结合附图和具体实施例,对本发明作进一步说明,以助于理解本发明的内容。
本发明提供的一种生物特征识别身份的方法,基于智能用户终端设备具有且开通生物特征(包括手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓、声音、按键力度等等其中的一种或几种)验证功能,即,终端设备拥有可采集、存储及匹配生物特征的功能,尤其适用于已经可以使用多个同种生物特征(如可以使用多个指纹)登录智能终端设备的情况;其中智能终端设备的采集、存储和匹配生物特征进行识别(常见的如指纹识别)已经是本领域成熟技术,此处不多做赘述。
实施例1
如图1所示的,结合图3、4a、4b以及图5,现在以用户终端设备侧为例,本发明生物特征识别身份的方法包括:
S101.开启应用程序的生物特征识别方式登录功能;
S102.提供生物特征识别验证界面以使用户能够使用某个存储在终端设备中的生物特征进行生物特征输入操作;
S103.对输入的生物特征进行验证,验证通过后为登录该应用程序的账号产生一对公私钥,私钥安全存储在用户终端设备;使用用户终端设备内置的设备私钥对账号的公钥和所述账号以及登录账号的生物特征的索引地址进行签名;
在步骤S103中,设备密钥是在用户设备出厂时预置在设备的安全存储区域内的;设备密钥(Device Attestation Key,简写为DAK)是一对非对称密钥对,包括设备公钥和设备私钥。该密钥在用户终端设备出厂时产生并预置到设备的安全存储区域中;每台设备的公私钥对具有唯一性;
在对登录账号的生物特征进行签名时,是对该生物特征的索引地址(如索引号,或编码号)进行签名,生物特征在用户终端设备存储时产生索引地址,索引地址生成规则可以根据现有技术中任意适合的生物特征数据库检索规则生成,如某个手指指纹产生的指纹索引号可以是根据该指纹的的纹形、纹距、宏观曲率等等产生具有识别该指纹意义的索引号;生物特征的索引地址(即图4a、4b、5中的生物特征ID)只对应一个生物特征,索引地址对应生物特征具有唯一性。
S104.将包含被设备私钥签名的所述公钥、所述账号以及所述生物特征索引地址信息作为注册请求发送给身份认证服务器,以使身份认证服务器接收到所述注册请求后对所述公钥进行验签,并保存所述公钥、所述账号以及所述生物特征索引地址。
在步骤S104中,身份认证服务器中预先存储有认证数据库,认证数据库中包括与用户终端设备内置的设备私钥对应的设备公钥的数据库;由于设备密钥是在用户终端设备出厂时预置在设备的安全存储区域内的,则身份认证服务器内的设备公钥可以由用户设备终端预先发送至身份认证服务器存储或者身份认证服务器中直接存储一份,一对设备公钥和设备私钥之间通过设备唯一标识符进行识别;身份认证服务器接收到注册请求后,由于注册请求中的包含的信息被用户设备终端的设备私钥签名,因而身份认证服务器通过该签名信息检索到与该设备私钥对应的设备公钥,完成验签;验签通过后将注册请求中的所述公钥和账号以及生物特征索引地址进行存储,注册成功;身份认证服务器反馈注册结果至用户终端设备。由于DAK密钥的唯一性以及其与为账号产生的公私钥对的关联性,使得经过DAK密钥验签的公钥的安全性得到保证,为后续用户认证的验签过程提供安全的验证基础。
S105.用户终端设备接收所述注册结果并进行显示。
S106.注册完成后,用注册过的上述账号再次登录应用程序时,输入生物特征进行验证操作;通过储存在用户终端设备内的账号私钥对账号和该生物特征的索引地址进行签名;
S107.签名后产生认证请求,将包含账号和生物特征索引地址的认证请求发送给身份认证服务器,以使身份认证服务器接收认证请求后进行验签,并检查认证请求中的生物特征索引地址是否与注册时账号对应的生物特征索引地址保持一致以得到认证结果。
在步骤S107.中,身份认证服务器在注册过程中已经存储了与账号对应的公钥以及生物特征索引地址,由于认证请求中包含的账号和再次登录账号的生物特征索引地址被用户终端设备存储的账号的私钥签名,身份认证服务器保存的公钥能够依据该签名信息对认证请求验签,验签通过后,再检查认证请求中再次登录账号的生物特征的索引地址是否与注册时存储的生物特征索引地址一致,如一致,则认证通过。如不一致,则认证不通过。
S108.如果认证不通过,用户终端设备发起重新认证请求,要求用户再次输入交易密码或者短信验证码等方式完成用户的身份确认,完成身份确认后,身份认证服务器可将步骤S107.中没有通过认证的生物特征索引地址添加到注册记录中,认证为该与注册时不一致的生物特征索引地址具备使用应用程序服务的权限。尤其具有网上交易服务的应用程序,如果注册时登录该账号的为指纹1,认证时再次登录该账号的为指纹2,但由于指纹2的使用者知道交易密码或者能够得到短信验证码,则默认为该指纹2的使用者具有交易权限可以完成交易,故作为进一步的改进,本发明中认证过程中与注册请求中的生物特征索引地址不一致的生物特征索引地址,如果在发起的重新认证请求中提供了可以执行应用程序服务的执行验证码(如交易密码或短信验证码等),则可以将认证请求中的生物特征索引地址保存在注册记录中,完成身份认证。完成身份确认后视为通过认证。
S109.用户终端设备接收认证结果并显示用户终端设备接收认证结果。
本发明方法在用户终端设备侧的一个具体实施例:在智能终端设备上采用指纹进行识别,进行用户注册和认证,具体步骤如下:
用户终端设备上开通指纹验证功能,即用户终端设备拥有可以采集、存储以及匹配指纹的功能,且用户已经可以使用多个指纹登录该终端设备。
用户终端设备通过账号和口令或密码等登录应用程序(如某手机网银app),为该应用程序开启指纹登录功能;即用户终端设备需向应用程序的服务提供方提交账号和其他必要账户数据登录该应用程序,并开启通过指纹验证登录方式,如一般在智能手机APP上的“安全设置”中选择“指纹登录”功能开启。
用户终端设备以界面弹出的方式提供指纹验证界面,供用户进行指纹输入操作,使得用户能够根据界面提示来使用某个已经在终端设备中储存验证过的手指进行刷指纹操作;
用户终端设备将输入的指纹与已经存储的指纹进行匹配对比、验证,指纹验证通过后,用户终端设备为该应用程序的登录账号产生一对公私钥;将私钥安全存储在本地(此处的安全存储可以采用多种技术手段实现,比如安全芯片、TEE可信执行环境、或者白盒软件等本领域技术人员已经掌握的安全手段),用户终端设备使用内置的设备私钥对公钥和该账号以及对应的指纹索引号的哈希值进行签名,并连同该公钥和账号以及指纹索引号一起作为注册请求发送给身份认证服务器,以使身份认证服务器接收到注册请求后,能够使用预先存在身份认证服务器中的且与设备私钥对应的设备公钥进行验签,确认签名的合法性,至验证通过后,再保存账户和所述公钥、指纹索引号并返回结果,其验证通过即注册完成;
用户终端设备接收身份认证服务器返回的注册结果并在用户终端设备上进行显示。
已经完成上述注册操作的用户终端设备,执行认证功能的步骤如下:
用户终端设备以完成上述注册操作的账号登录所述应用程序时,用户终端设备提供指纹验证界面供用户进行刷指纹操作,以验证该指纹是否是用户终端设备存储的指纹;通过验证后,用户终端设备存储的私钥对该账号和登录时刷的指纹的指纹索引号的哈希值进行签名,并连通该账号和指纹索引号一起作为认证请求发送给身份认证服务器,以使身份认证服务器接收到认证请求后使用身份认证服务器在注册过程中存储的公钥进行验签,若认证请求中的指纹索引号与注册时的指纹索引号一致,则通过验证并向用户终端设备发送认证结果;如果认证请求中的指纹索引号与注册时的指纹索引号不一致,则用户终端发起重新认证的请求,并提供验证界面要求用户再次输入交易密码或者短信验证码等方式进行用户的身份确认。
本发明方法使用的系统架构中,身份认证服务器保存有来自用户终端设备的设备公钥,该设备公钥是出厂时预置在用户设备中的,具有唯一性,通过设备公私钥对完成与账号对应的公钥以及生物特征索引地址的验签和保存,进行注册;并进一步的,本发明还通过完成注册的公钥再次对被私钥签名的账号和登录账号的指纹索引地址进行验签,以及再次比对注册时存储的指纹索引地址的一致性,以此作为认证用户身份的依据;本发明对登录账号的生物特征经过双重公私钥验证以及一次对比核验,保证登录账号生物特征的精确匹配,使得具有登录终端设备权限的生物特征需进一步认证才可登录应用程序,避免“友好欺骗”,提高隐私和财产的安全性。
实施例2
如图2所示的,结合图3、4a、4b以及图5,同时本发明生物特征识别身份的方法在身份认证服务器侧,包括
S201.接收被用户终端设备内置的设备私钥签名的注册请求,注册请求中包含登录应用程序的账户、用户终端设备为账户产生的公钥以及登录账户的生物特征的索引地址;身份认证服务器中预先存储与用户终端设备的设备私钥对应的设备公钥,以通过设备公钥对被设备私钥签名的注册请求进行验签,验签通过后保存注册请求内包含的应用程序账户、为账户产生的公钥以及登录账户的生物特征。
S202.向用户终端设备发送注册结果。
S203.接收用户终端设备发送的认证请求,该认证请求包含账号和再次登录账号的生物特征的索引地址,其中账号和再次登录账号的生物特征的索引地址被与所述公钥对应的私钥签名;通过身份认证服务器保存的所述公钥对认证请求验签;
其中私钥是存储在用户终端设备的安全区域中的,私钥与公钥是为账号产生的一对公私钥对,基于公私钥对的唯一性,使身份认证服务器存储的公钥对被私钥签名的认证请求进行验签。由于身份认证服务器的公钥是在设备公钥对注册请求验签后存储的,极大避免了安全风险的出现。
S204.验签通过后,核验所述认证请求中的生物特征索引地址与已保存的所述注册请求中的生物特征索引地址是否一致。
在步骤S204.中,一个生物特征索引地址只对应一个生物特征,故认证请求和注册请求中使用生物特征索引地址映射生物特征,在验签通过后,比对认证请求中的生物特征索引地址与注册请求中的索引地址是否一致,能够判断出再次登录账号的生物特征与完成注册的生物特征是否一致;由于传统技术中,一个用户终端设备上可能存储有多个生物特征,且均具备登录用户终端设备的权限,那么认证过程中登录应用程序的生物特征,可能与注册时登录账号的生物特征不一致,即生物特征的索引地址不一致,为保证使用应用程序服务的生物特征的精确匹配,索引地址不一致,则不通过认证。
S205.认证请求验签不通过和/或生物特征索引地址核验结果不一致时,视为认证不通过;身份认证服务器接收用户终端设备发送的重新认证请求,重新认证请求中要求用户提供能够继续执行所述应用程序服务的执行验证码(如交易密码或短信验证码)以确认身份。
S206.如果身份认证通过,则将认证请求中的生物特征索引地址添加到注册请求中。并向用户终端设备发送认证结果。
实施例3
第二方面,本发明提供了一种生物特征识别身份的用户终端设备,该用户终端设备具有生物特征采集装置(如指纹采集、虹膜采集、声纹采集等),采集的生物特征能被存储和匹配以验证该生物特征具有登录用户终端设备的权限,此为本领域公知技术,本发明用户终端设备应理解为已经具备以上功能。
作为改进,如图6所示的,本发明用户终端设备包括存储介质301和处理器302,在存储介质中存储有计算机程序,所述程序被处理器302运行时执行以下步骤:
在通过生物特征识别方式登录应用程序时,为登录应用程序的账号产生一对公私钥,其中私钥存储在用户终端设备的安全区域中,如存储在经过加密处理的数据库中或者可信执行环境和安全芯片中,这样可以避免密钥的泄漏,提高验证过程的安全性;通过用户终端设备内置的设备私钥对账号、账号的公钥和登录账号的生物特征索引地址签名并以此生成注册请求;
将注册请求发送至身份认证服务,以使身份认证服务器中预存的、且与设备私钥对应的设备公钥对注册请求进行验签操作并在验签通过后保存所述账号、账号的公钥和登录账号的生物特征索引地址;
接收身份认证服务器反馈的注册结果并显示。
通过为账号生成的该私钥对账号和再次登录账号的生物特征的索引地址签名,并以此生成认证请求发送至身份认证服务器,以使身份认证服务器中的所述公钥对认证请求验签并进行注册请求和认证请求中生物特征索引地址的对比核验。
认证请求验签不通过和/或生物特征索引地址核验结果不一致时,用户终端设备发起重新认证请求,并要求提供能够继续执行所述应用程序服务的交易密码或短信验证码以确认身份。
结合身份认证服务器反馈的认证结果并显示。
上述程序运行的步骤对应实施例1中在用户终端设备侧执行的生物特征识别身份的方法,具体实施方式可以参考上文的描述,在此不再赘述。
实施例4
同时第三方面本发明提供了一种生物特征识别身份的身份验证服务器,如图7所示,包括存储介质401和处理器402,在存储介质401中存储有计算机程序,所述程序被处理器402运行时执行以下步骤:
接收被用户终端设备内置的设备私钥签名的注册请求,身份认证服务器存储设备公钥,设备公钥与所述设备私钥唯一对应,设备公钥可以是由用户终端设备发送的;用户终端设备在出厂时内置有设备密钥对,设备公钥被发送至身份认证服务器存储;通过身份认证服务器内存储的设备公钥进行注册请求的验签,验签通过后保存注册请求内包含的应用程序账户、为账户产生的公钥以及登录账户的生物特征的索引地址;并发送注册结果给用户终端设备。
接收用户终端设备发送的认证请求,该认证请求包含账号和再次登录账号的生物特征索引地址信息,其中账号和再次登录账号的生物特征索引地址被为账户产生的私钥签名;身份认证服务器通过保存的所述公钥对认证请求验签;
验签通过后,核验所述认证请求中生物特征索引地址与已保存的所述注册请求中的生物特征索引地址是否一致。
进一步的,上述一种生物特征识别身份的身份验证服务器中,所述程序运行时还执行以下步骤:认证请求验签不通过和/或生物特征索引地址核验结果不一致时,接收用户终端设备发送的重新认证请求,获取能够继续执行所述应用程序服务的执行验证码以确认身份。其中用户终端设备发起的重新认证请求中要求用户提供交易密码或短信验证码等以作为确认身份的认证条件。如果执行验证码通过,则可视为认证通过,将认证请求中的生物特征索引地址保存在注册记录中。
认证结果反馈给用户终端设备以使其显示。
上述程序运行的步骤对应实施例2中在身份认证服务器侧执行的生物特征识别身份的方法,具体实施方式可以参考上文的描述,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例中的述及的程序,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本发明所提供的生物特征识别身份的方法、用户终端设备和身份认证服务器进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (13)
1.一种基于生物特征识别身份的方法,其特征在于:在用户终端设备侧,包括
为通过生物特征识别方式登录应用程序的账号提供一对公私钥,通过用户终端设备内置的设备私钥对账号、账号的公钥和登录账号的生物特征索引地址签名并以此生成注册请求;
将注册请求发送至身份认证服务器,以使身份认证服务器中预存的、且与设备私钥对应的设备公钥对注册请求进行验签操作并在验签通过后保存所述账号、账号的公钥和登录账号的生物特征索引地址;
通过为账号生成的私钥对账号和再次登录账号的生物特征索引地址签名,并以此生成认证请求发送至身份认证服务器,以使身份认证服务器中的所述账号的公钥对认证请求验签,并对注册请求和认证请求中的生物特征索引地址进行对比核验;
认证请求验签不通过和/或生物特征索引地址对比核验结果不一致时,用户终端设备发起重新认证请求,并要求提供能够继续执行所述应用程序的执行验证码以确认身份;完成身份确认后,身份认证服务器可将没有通过认证的生物特征索引地址添加到注册记录中,认证为与注册时不一致的生物特征索引地址具备使用应用程序的权限。
2.根据权利要求1所述的基于生物特征识别身份的方法,其特征在于:所述执行验证码包括交易密码和/或短信验证码。
3.根据权利要求1或2所述的基于生物特征识别身份的方法,其特征在于:用户终端设备接收注册结果和认证结果并显示。
4.根据权利要求1所述的基于生物特征识别身份的方法,其特征在于:为账号生成的一对公私钥中,私钥存储在用户终端设备的安全区域中。
5.一种基于生物特征识别身份的方法,其特征在于:在身份认证服务器侧,包括
接收被用户终端设备内置的设备私钥签名的注册请求,通过身份认证服务器内存储的、且与所述设备私钥对应的设备公钥进行注册请求的验签,验签通过后保存注册请求内包含的应用程序账号、为账号产生的公钥以及登录账号的生物特征的索引地址;
接收用户终端设备发送的认证请求,该认证请求包含账号和再次登录账号的生物特征的索引地址,其中账号和再次登录账号的生物特征的索引地址被与所述为账号产生的公钥对应的私钥签名;通过身份认证服务器保存的所述为账号产生的公钥对认证请求验签;
验签通过后,核验所述认证请求中生物特征索引地址与已保存的所述注册请求中的生物特征索引地址是否一致;
认证请求验签不通过和/或生物特征索引地址核验结果不一致时,接收重新认证请求,获取能够继续执行所述应用程序的执行验证码以确认身份;完成身份确认后,身份认证服务器可将没有通过认证的生物特征索引地址添加到注册记录中,认证为与注册时不一致的生物特征索引地址具备使用应用程序的权限。
6.根据权利要求5所述的基于生物特征识别身份的方法,其特征在于:所述执行验证码包括交易密码和/或短信验证码。
7.根据权利要求5所述的基于生物特征识别身份的方法,其特征在于:确认身份后将认证请求中的生物特征保存在注册记录中。
8.根据权利要求5-7任一项所述的基于生物特征识别身份的方法,其特征在于:在身份认证服务器侧还包括发送注册结果和认证结果。
9.一种基于生物特征识别身份的用户终端设备,包括存储介质和存储在存储介质中的程序,其特征在于:所述程序运行时执行以下步骤:
为通过生物特征识别方式登录应用程序的账号提供一对公私钥,通过用户终端设备内置的设备私钥对账号、账号的公钥和登录账号的生物特征索引地址签名并以此生成注册请求;
将注册请求发送至身份认证服务器,以使身份认证服务器中预存的、且与设备私钥对应的设备公钥对注册请求进行验签操作并在验签通过后保存所述账号、账号的公钥和登录账号的生物特征索引地址;
通过为账号生成的私钥对账号和再次登录账号的生物特征索引地址签名,并以此生成认证请求发送至身份认证服务器,以使身份认证服务器中的所述账号的公钥对认证请求验签并对注册请求和认证请求中生物特征索引地址进行对比核验;
认证请求验签不通过和/或生物特征索引地址核验结果不一致时,用户终端设备发起重新认证请求,并要求提供能够继续执行所述应用程序的执行验证码以确认身份;完成身份确认后,身份认证服务器可将没有通过认证的生物特征索引地址添加到注册记录中,认证为与注册时不一致的生物特征索引地址具备使用应用程序的权限。
10.根据权利要求9所述的基于生物特征识别身份的用户终端设备,其特征在于:所述执行验证码包括交易密码和/或短信验证码。
11.根据权利要求9所述的基于生物特征识别身份的用户终端设备,其特征在于:为账号生成的一对公私钥中,私钥存储在用户终端设备的安全区域中。
12.一种基于生物特征识别身份的身份认证服务器,包括存储介质和存储在存储介质中的程序,其特征在于:所述程序运行时执行以下步骤:
接收被用户终端设备内置的设备私钥签名的注册请求,通过身份认证服务器内存储的、且与所述设备私钥对应的设备公钥进行注册请求的验签,验签通过后保存注册请求内包含的应用程序账号、为账号产生的公钥以及登录账号的生物特征索引地址;
接收用户终端设备发送的认证请求,该认证请求包含账号和再次登录账号的生物特征的索引地址,其中账号和再次登录账号的生物特征的索引地址被与所述为账号产生的公钥对应的私钥签名;通过身份认证服务器保存的所述为账号产生的公钥对认证请求验签;
验签通过后,核验所述认证请求中生物特征索引地址与已保存的所述注册请求中的生物特征索引地址是否一致;
认证请求验签不通过和/或生物特征索引地址核验结果不一致时,接收用户终端设备的重新认证请求,获取能够继续执行所述应用程序的执行验证码以确认身份;确认身份后将认证请求中的生物特征索引地址保存在注册记录中;完成身份确认后,身份认证服务器可将没有通过认证的生物特征索引地址添加到注册记录中,认证为与注册时不一致的生物特征索引地址具备使用应用程序的权限。
13.根据权利要求12所述的基于生物特征识别身份的身份认证服务器,其特征在于:所述程序运行时还执行以下步骤:发送注册结果和认证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710373124.8A CN107241317B (zh) | 2017-05-24 | 2017-05-24 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710373124.8A CN107241317B (zh) | 2017-05-24 | 2017-05-24 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107241317A CN107241317A (zh) | 2017-10-10 |
| CN107241317B true CN107241317B (zh) | 2021-01-15 |
Family
ID=59985915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710373124.8A Active CN107241317B (zh) | 2017-05-24 | 2017-05-24 | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107241317B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109756458B (zh) * | 2017-11-06 | 2021-02-26 | 北京京东尚科信息技术有限公司 | 身份认证方法和系统 |
| CN108900296B (zh) * | 2018-07-04 | 2021-11-09 | 昆明我行科技有限公司 | 一种基于生物特征识别的秘钥存储方法 |
| CN110309259B (zh) * | 2018-10-10 | 2021-09-03 | 腾讯科技(深圳)有限公司 | 审计结果数据存储、查询方法、审计项存储方法及装置 |
| CN109905393B (zh) * | 2019-03-04 | 2020-05-15 | 北京中关村银行股份有限公司 | 一种基于云安全的电子商务登陆方法 |
| CA3058012C (en) | 2019-03-29 | 2021-05-11 | Alibaba Group Holding Limited | Cryptography chip with identity verification |
| WO2019120322A2 (en) | 2019-03-29 | 2019-06-27 | Alibaba Group Holding Limited | Managing cryptographic keys based on identity information |
| AU2019204723C1 (en) | 2019-03-29 | 2021-10-28 | Advanced New Technologies Co., Ltd. | Cryptographic key management based on identity information |
| JP6871411B2 (ja) | 2019-03-29 | 2021-05-12 | アドバンスド ニュー テクノロジーズ カンパニー リミテッド | 暗号動作のセキュアな実行 |
| CN110190964B (zh) * | 2019-05-16 | 2022-03-15 | 苏州科达科技股份有限公司 | 身份认证方法及电子设备 |
| CN110351302B (zh) * | 2019-07-29 | 2021-08-31 | 杭州复杂美科技有限公司 | 银行账户登录方法、设备和存储介质 |
| CN112199663B (zh) * | 2020-12-03 | 2021-04-06 | 飞天诚信科技股份有限公司 | 一种无用户名的认证方法及系统 |
| CN112989309B (zh) * | 2021-05-21 | 2021-08-20 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
| CN113591057B (zh) * | 2021-08-05 | 2024-05-14 | 国民认证科技(北京)有限公司 | 生物特征离线身份识别方法及系统 |
| CN113411190B (zh) * | 2021-08-20 | 2021-11-09 | 北京数业专攻科技有限公司 | 密钥部署、数据通信、密钥交换、安全加固方法及系统 |
| CN113992411A (zh) * | 2021-11-01 | 2022-01-28 | 令牌云(上海)科技有限公司 | 一种基于可信设备的用户身份认证方法和装置 |
| CN116866093B (zh) * | 2023-09-05 | 2024-01-05 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283885A (zh) * | 2014-10-14 | 2015-01-14 | 中国科学院信息工程研究所 | 一种基于智能终端本地认证的多sp安全绑定的实现方法 |
| CN104660417A (zh) * | 2015-03-17 | 2015-05-27 | 联想(北京)有限公司 | 验证方法、验证装置和电子设备 |
| CN105491067A (zh) * | 2016-01-08 | 2016-04-13 | 腾讯科技(深圳)有限公司 | 基于密钥的业务安全性验证方法及装置 |
| CN105704123A (zh) * | 2016-01-08 | 2016-06-22 | 腾讯科技(深圳)有限公司 | 一种进行业务处理的方法、装置和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020176583A1 (en) * | 2001-05-23 | 2002-11-28 | Daniel Buttiker | Method and token for registering users of a public-key infrastructure and registration system |
| US9887989B2 (en) * | 2012-06-23 | 2018-02-06 | Pomian & Corella, Llc | Protecting passwords and biometrics against back-end security breaches |
-
2017
- 2017-05-24 CN CN201710373124.8A patent/CN107241317B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283885A (zh) * | 2014-10-14 | 2015-01-14 | 中国科学院信息工程研究所 | 一种基于智能终端本地认证的多sp安全绑定的实现方法 |
| CN104660417A (zh) * | 2015-03-17 | 2015-05-27 | 联想(北京)有限公司 | 验证方法、验证装置和电子设备 |
| CN105491067A (zh) * | 2016-01-08 | 2016-04-13 | 腾讯科技(深圳)有限公司 | 基于密钥的业务安全性验证方法及装置 |
| CN105704123A (zh) * | 2016-01-08 | 2016-06-22 | 腾讯科技(深圳)有限公司 | 一种进行业务处理的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107241317A (zh) | 2017-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107241317B (zh) | 生物特征识别身份的方法和用户终端设备以及身份认证服务器 | |
| US20200304491A1 (en) | Systems and methods for using imaging to authenticate online users | |
| AU2018333068B2 (en) | Systems and methods for managing digital identities associated with mobile devices | |
| CN107196922B (zh) | 身份认证方法、用户设备和服务器 | |
| CN113302894B (zh) | 安全账户访问 | |
| US20160155123A1 (en) | System and method for user authentication by using a physical financial card and mobile communication terminal | |
| US20150317638A1 (en) | Methods, Devices and Systems for Transaction Initiation | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| US20080305769A1 (en) | Device Method & System For Facilitating Mobile Transactions | |
| EP3681126B1 (en) | Systems and methods for securely verifying a subset of personally identifiable information | |
| EP3724796A1 (en) | Authentication and authorisation | |
| CN111131202A (zh) | 基于多重信息认证的身份认证方法及系统 | |
| CN104820814A (zh) | 第二代身份证防伪验证系统 | |
| CN102456102A (zh) | 用Usb key技术对信息系统特殊操作进行身份再认证的方法 | |
| CN104104671B (zh) | 建立企业法人账户的统一动态授权码系统 | |
| CN110807624A (zh) | 一种数字货币硬件冷钱包系统及其交易方法 | |
| US11044250B2 (en) | Biometric one touch system | |
| CN103544598A (zh) | 一种金融交易安全认证系统 | |
| US20160342996A1 (en) | Two-factor authentication method | |
| KR102633314B1 (ko) | 인증 정보 처리 방법 및 장치와 인증 정보 처리 방법 장치를 포함한 사용자 단말 | |
| KR20200022194A (ko) | 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법 | |
| CN102457484A (zh) | 用户名密码认证加校验码两者集合来验证用户信息的方法 | |
| KR20110005612A (ko) | 생체 인식을 이용한 오티피 운영 방법 및 시스템과 이를 위한 오티피 장치 및 기록매체 | |
| CN114186209B (zh) | 身份验证方法及系统 | |
| CN111353144A (zh) | 一种身份认证的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Part 4-5, No. 789 Jingwei Avenue, Shiyou Road Street, Yuzhong District, Chongqing 400042 Patentee after: National Certification Technology (Chongqing) Co.,Ltd. Address before: 100085 room A606, 6th floor, building 1, 6 Shangdi West Road, Haidian District, Beijing Patentee before: GUOMIN AUTHENTICATION TECHNOLOGY (BEIJING) CO.,LTD. |