CN107733636B - 认证方法以及认证系统 - Google Patents

认证方法以及认证系统 Download PDF

Info

Publication number
CN107733636B
CN107733636B CN201610656474.0A CN201610656474A CN107733636B CN 107733636 B CN107733636 B CN 107733636B CN 201610656474 A CN201610656474 A CN 201610656474A CN 107733636 B CN107733636 B CN 107733636B
Authority
CN
China
Prior art keywords
authentication
user
terminal
application server
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610656474.0A
Other languages
English (en)
Other versions
CN107733636A (zh
Inventor
刘国荣
樊宁
汪来富
沈军
金华敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201610656474.0A priority Critical patent/CN107733636B/zh
Publication of CN107733636A publication Critical patent/CN107733636A/zh
Application granted granted Critical
Publication of CN107733636B publication Critical patent/CN107733636B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明公开了一种认证方法以及认证系统,涉及通信技术领域。本发明的方法包括:应用服务器使用公钥对生物特征认证请求进行加密,并发送至终端的安全区;终端的安全区使用私钥对加密的生物特征认证请求进行解密,对用户的生物特征进行认证,将认证信息使用私钥进行签名,然后返回给应用服务器;应用服务器使用公钥进行验签,得到认证信息,在用户认证通过后,为用户提供服务。本发明中,生物特征认证请求由应用服务器使用公钥进行加密并发送到终端的安全区,生物特征的认证结果由终端的安全区使用私钥进行签名并返回应用服务器,使得第三方应用能够安全发起生物特征认证请求、并安全获取认证结果,防止会话劫持和篡改,保障整个服务的安全。

Description

认证方法以及认证系统
技术领域
本发明涉及通信技术领域,特别涉及一种认证方法以及认证系统。
背景技术
指纹识别等生物特征识别技术以其独一无二、使用方便等特性,成为身份鉴别的重要技术。近年来,生物特征识别技术在智能终端领域日益普及,并逐渐与移动支付等多种需要安全认证的应用相结合。然而,生物特征的独特性也使其安全性面临很大威胁,特征信息一旦被窃取,非法用户可以利用窃取的生物特征信息通过认证,因此,生物特征识别技术的安全防护至关重要。
目前,业界主要通过在终端中设置Trustzone(安全区)对生物特征的识别过程进行防护,生物特征的采集、处理环节都在安全区内完成,与普通软件运行的区域硬件隔离,可较好防范恶意软件的攻击。在生物特征的认证请求发起和结果反馈环节,需要软、硬件交互,通常采用API(Application Programming Interface,应用程序编程接口)访问控制的方式来实现安全控制,但是,这种方式存在以下问题:
由于依赖于系统的访问控制机制,一旦系统存在漏洞,或遭受中间人攻击,生物特征的认证请求可被恶意程序发起,生物特征的认证请求和结果可被恶意程序劫持或篡改,造成安全问题。
发明内容
本发明所要解决的一个技术问题是:如何提高生物特征认证过程的安全性。
根据本发明的一个方面,提供的一种认证方法,包括:应用服务器使用公钥对生物特征认证请求进行加密,并将加密的生物特征认证请求发送至终端的安全区;终端的安全区使用私钥对加密的生物特征认证请求进行解密,对用户的生物特征进行认证,将认证信息使用私钥进行签名,然后返回给应用服务器;应用服务器使用公钥进行验签,得到认证信息,在用户认证通过后,为用户提供服务。
在一个实施例中,生物特征认证请求中包括随机会话密钥;终端的安全区将认证信息使用私钥进行签名包括:终端的安全区将认证信息使用随机会话密钥进行加密,并使用私钥进行签名;应用服务器使用公钥进行验签,得到认证信息包括:应用服务器使用公钥进行验签,并使用随机会话密钥进行解密得到认证信息。
在一个实施例中,生物特征认证请求中包括应用标识、随机会话标识;认证信息包括认证结果以及应用标识和随机会话标识;应用服务器在用户认证通过后,为用户提供服务包括:应用服务器在用户认证通过后,为用户在随机会话标识指示的会话中提供应用标识指示应用的服务。
在一个实施例中,该方法还包括:终端的安全区生成公钥和私钥,并将公钥发送至终端管理平台;终端管理平台对各个应用服务器进行授权,并将公钥发送至授权的应用服务器。
在一个实施例中,终端的安全区对用户的生物特征进行认证包括:终端的安全区采集用户的生物特征,并将采集的用户的生物特征与存储的用户的生物特征进行匹配,如果匹配,则认证通过,如果不匹配,则认证不通过。
根据本发明的第二个方面,提供的一种认证系统,包括:应用服务器,用于使用公钥对生物特征认证请求进行加密,将加密的生物特征认证请求发送至终端的安全区,并接收终端的安全区返回的使用私钥进行签名的认证信息,然后使用公钥进行验签,得到认证信息,在用户认证通过后,为用户提供服务;终端的安全区,用于使用私钥对加密的生物特征认证请求进行解密,对用户的生物特征进行认证,将认证信息使用私钥进行签名,然后返回给应用服务器。
在一个实施例中,生物特征认证请求中包括随机会话密钥;终端的安全区,用于将认证信息使用随机会话密钥进行加密,并使用私钥进行签名;应用服务器,用于使用公钥进行验签,并使用随机会话密钥进行解密得到认证信息。
在一个实施例中,生物特征认证请求中包括应用标识、随机会话标识;认证信息包括认证结果以及应用标识和随机会话标识;应用服务器,用于在用户认证通过后,为用户在随机会话标识指示的会话中提供应用标识指示应用的服务。
在一个实施例中,该系统还包括:终端管理平台;终端的安全区,用于生成公钥和私钥,并将公钥发送至终端管理平台;终端管理平台,用于对各个应用服务器进行授权,并将公钥发送至授权的应用服务器。
在一个实施例中,终端的安全区,用于采集用户的生物特征,并将采集的用户的生物特征与存储的用户的生物特征进行匹配,如果匹配,则认证通过,如果不匹配,则认证不通过。
本发明中,生物特征认证请求由应用服务器使用公钥进行加密并发送到终端的安全区,生物特征的认证结果由终端的安全区使用私钥进行签名并返回应用服务器,使得第三方应用能够安全发起生物特征认证请求、并安全获取认证结果,防止会话劫持和篡改,保障整个服务的安全。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明的一个实施例的认证方法的流程示意图。
图2示出本发明的另一个实施例的认证方法的流程示意图。
图3示出本发明的一个应用例的认证方法的流程示意图。
图4示出本发明的一个实施例的认证系统的结构示意图。
图5示出本发明的另一个实施例的认证系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中采用API访问控制的方式来实现生物特征的认证请求和结果的安全控制,生物特征的认证请求和结果可被恶意程序劫持或篡改,造成安全问题,提出本方案。
以下参考图1至图3描述本发明的认证方法。
图1为本发明认证方法一个实施例的流程图。如图1所示,该实施例的方法包括:
步骤S102,应用服务器使用公钥对生物特征认证请求进行加密,并将加密的生物特征认证请求发送至终端的安全区。
其中,生物特征认证例如为指纹识别、人脸识别、虹膜识别,但不限于所举示例。终端的安全区包括但不限于Trustzone、可信执行环境(TEE)。
生物特征认证请求中包括应用标识、随机会话标识,应用标识用于标识该生物特征认证请求所属的应用,随机会话标识用于标识该生物特征认证请求所属的会话。应用服务器为会话分配随机会话标识,能够进一步提高安全性,即使生物特征认证请求被劫持,由于采用随机会话标识也难以判断该请求属于哪一次会话。
加密后的生物特征认证请求首先发送至终端的第三方应用,再通过第三方应用调用生物特征识别服务接口将生物特征认证请求发送至终端的安全区。其中,第三方应用例如安装在终端的APP(Application,应用)。
步骤S104,终端的安全区使用私钥对加密的生物特征认证请求进行解密,对用户的生物特征进行认证,将认证信息使用私钥进行签名,然后返回给应用服务器。
其中,认证信息包括认证结果以及应用标识和随机会话标识,用于标识该认证结果所属的应用和会话。例如在终端的安全设置可信组件,由可信组件完成生物特征认证请求的解密以及认证信息的私钥签名。签名后的认证信息通过生物特征识别服务接口以及第三方应用,返回至应用服务器。
其中,终端的安全区采集用户的生物特征,并将采集的用户的生物特征与存储的用户的生物特征进行匹配,生成认证结果。例如,对用户指纹进行验证时,通过感应器采集用户的指纹,并加密传输到终端的安全区,在安全区内完成特征的提取,并与之前用户存储的指纹特征进行匹配,生成认证结果。生物特征的认证在终端的安全区内完成,保证了认证的安全性。
步骤S106,应用服务器使用公钥进行验签,得到认证信息,在用户认证通过后,为用户提供服务。
其中,应用服务器使用公钥对认证信息进行验签,得到认证结果以及应用标识和随机会话标识,如果认证结果为认证通过,应用服务器在用户认证通过后,为用户在随机会话标识指示的会话中提供应用标识指示应用的服务。
应用服务器使用公钥对生物特征认证请求进行加密,终端的安全区使用私钥进行解密,保证了生物特征认证请求只能够被终端的安全区进行解密,即使被恶意程序劫持也无法破解。终端的安全区使用私钥对认证结果进行签名,应用服务器使用公钥进行验签,保证了认证结果由终端的安全区发出,其他程序无法获取私钥,即使将认证结果截获也无法在应用服务器完成验签。因此,上述实施例的方法提高了生物特征认证过程的安全性。
上述实施例的方法,生物特征认证请求由应用服务器使用公钥进行加密并发送到终端的安全区,生物特征的认证结果由终端的安全区使用私钥进行签名并返回应用服务器,使得第三方应用能够安全发起生物特征认证请求、并安全获取认证结果,防止会话劫持和篡改,保障整个服务的安全。
为了进一步确保生物特征认证结果反馈的安全,终端的安全区可以对认证信息进行加密。下面结合图2进行描述。
图2为本发明认证方法另一个实施例的流程图。如图2所示,该实施例的方法包括:
步骤S202,应用服务器使用公钥对生物特征认证请求进行加密,并将加密的生物特征认证请求发送至终端的安全区。
其中,生物特征认证请求中包括应用标识、随机会话标识和随机会话密钥。
步骤S204,终端的安全区使用私钥对加密的生物特征认证请求进行解密,得到应用标识、随机会话标识和随机会话密钥。
其中,随机会话密钥例如采用对称加密算法获得。
步骤S206,终端的安全区对用户的生物特征进行认证,将认证信息使用随机会话密钥进行加密。
其中,认证信息包括认证结果以及应用标识和随机会话标识
步骤S208,终端的安全区使用私钥对加密的认证信息进行签名,然后返回给应用服务器。
步骤S210,应用服务器使用公钥进行验签,得到加密的认证信息。
步骤S212,应用服务器使用随机会话密钥进行解密,得到认证信息,在用户认证通过后,为用户提供服务。
上述实施例的方法,应用服务器在生物特征认证请求中携带随机会话密钥,终端的安全区对生物特征认证进行解密后获得随机会话密钥,将认证信息使用随机会话密钥进行加密,并使用私钥进行签名,应用服务器进行验签后,再使用随机会话密钥进行解密获取认证信息。进一步确保了传输的安全性,避免认证结果被恶意程序截获或篡改。
本发明的方案可以与现有技术中的系统的访问控制机制相结合,也可以单独使用,单独使用时,可以不再只能通过厂商对第三方应用进行授权。具体的,设置终端管理平台,用于提供应用管理、公钥证书签发、安全策略管理、密钥管理等功能。终端对应的公钥和私钥对可以由终端的安全区生成,进一步的,可以通过终端安全区内的可信组件生成,私钥保存在终端的安全区内,公钥发送至终端管理平台,进一步,由终端管理平台对各个应用服务器进行授权即公钥证书签发,并将公钥发送至授权的应用服务器。其中,终端管理平台可以由终端厂商、运营商或其他第三方进行管理。上述实施例的方法,可以降低终端的应用访问控制和开发要求,不再依赖于系统的访问控制机制保证生物特征认证请求和结果反馈的安全,第三方应用可以不必由终端厂商进行授权才可以使用生物特征认证,降低应用引入门槛,有助于推动生物特征识别技术在移动第三方应用中推广。
下面结合图3描述本发明的认证方法的一个应用例。
图3为本发明认证方法一个应用例的流程图。如图3所示,该应用例的方法包括:
步骤S302,终端安全区的可信组件为终端生成公钥和私钥对,并将公钥发送至终端管理平台。
步骤S304,终端管理平台对应用服务器进行授权,并将公钥发给授权的应用服务器。
其中,应用服务器首先向终端管理平台申请公钥,终端管理平台对符合条件的应用服务器进行授权。
步骤S306,用户通过第三方应用向应用服务器请求移动支付服务。
步骤S308,应用服务器发起指纹认证请求,并使用公钥对指纹认证请求进行加密,通过第三方应用,以及生物特征识别服务所提供的接口将加密的指纹认证请求发送至终端的安全区。
其中,指纹认证请求中包括第三方应用的标识、随机会话标识以及随机会话密钥。
步骤S310,终端的安全区的可信组件对加密的指纹认证请求进行解密,获取第三方应用的标识、随机会话标识以及随机会话密钥。
步骤S312,终端的安全区对用户的指纹进行认证,并将认证结果发送至可信组件。
步骤S314,终端的安全区的可信组件采用随机会话密钥对认证信息进行加密,并将加密后的认证信息用私钥进行签名,通过生物特征识别服务所提供的接口,以及第三方应用返回至应用服务器。
其中,认证信息包括第三方应用的标识、随机会话标识以及认证结果。
步骤S316,应用服务器使用公钥进行验签,并使用随机会话密钥对认证信息进行解密,获取第三方应用的标识、随机会话标识以及认证结果,在用户认证通过后,为用户提供移动支付服务。
本发明还提供一种认证系统,下面结合图4进行描述。
图4为本发明认证系统一个实施例的结构图。如图4所示,该系统包括:应用服务器410和终端420,其中,终端420包括终端的安全区422。
应用服务器410,用于使用公钥对生物特征认证请求进行加密,将加密的生物特征认证请求发送至终端的安全区,并接收终端的安全区返回的使用私钥进行签名的认证信息,然后使用公钥进行验签,得到认证信息,在用户认证通过后,为用户提供服务。
终端的安全区422,用于使用私钥对加密的生物特征认证请求进行解密,对用户的生物特征进行认证,将认证信息使用私钥进行签名,然后返回给应用服务器。
其中,生物特征认证请求中包括应用标识、随机会话标识;认证信息包括认证结果以及应用标识和随机会话标识;应用服务器410,用于在用户认证通过后,为用户在随机会话标识指示的会话中提供应用标识指示应用的服务。
终端的安全区422,用于采集用户的生物特征,并将采集的用户的生物特征与存储的用户的生物特征进行匹配,如果匹配,则认证通过,如果不匹配,则认证不通过。
为进一步提高生物特征认证请求和结果反馈的安全性,生物特征认证请求中包括随机会话密钥;终端的安全区422,用于将认证信息使用随机会话密钥进行加密,并使用私钥进行签名;应用服务器410,用于使用公钥进行验签,并使用随机会话密钥进行解密得到认证信息。
下面结合图5描述本发明认证系统的另一个实施例。
图5为本发明认证系统另一个实施例的结构图。如图5所示,该系统还包括:终端管理平台530。
终端的安全区522,用于生成公钥和私钥,并将公钥发送至终端管理平台530;终端管理平台530,用于对各个应用服务器510进行授权,并将公钥发送至授权的应用服务器510。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种认证方法,其特征在于,包括:
应用服务器使用公钥对生物特征认证请求进行加密,并将加密的生物特征认证请求发送至终端的安全区;
所述终端的安全区使用私钥对加密的生物特征认证请求进行解密,对用户的生物特征进行认证,将认证信息使用私钥进行签名,然后返回给应用服务器;
所述应用服务器使用公钥进行验签,得到认证信息,在用户认证通过后,为用户提供服务;
其中,所述生物特征认证请求中包括应用标识、随机会话标识;所述认证信息包括认证结果以及应用标识和随机会话标识;所述应用服务器在用户认证通过后,为用户提供服务包括:
所述应用服务器在用户认证通过后,为用户在随机会话标识指示的会话中提供应用标识指示应用的服务;
其中,所述生物特征认证请求中包括随机会话密钥,所述终端的安全区将认证信息使用私钥进行签名包括:
所述终端的安全区将认证信息使用随机会话密钥进行加密,并使用私钥进行签名;所述应用服务器使用公钥进行验签,得到认证信息包括:所述应用服务器使用公钥进行验签,并使用随机会话密钥进行解密得到认证信息。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述终端的安全区生成所述公钥和所述私钥,并将所述公钥发送至终端管理平台;
所述终端管理平台对各个应用服务器进行授权,并将所述公钥发送至授权的应用服务器。
3.根据权利要求1所述的方法,其特征在于,
所述终端的安全区对用户的生物特征进行认证包括:
所述终端的安全区采集用户的生物特征,并将采集的用户的生物特征与存储的用户的生物特征进行匹配,如果匹配,则认证通过,如果不匹配,则认证不通过。
4.一种认证系统,其特征在于,包括:
应用服务器,用于使用公钥对生物特征认证请求进行加密,将加密的生物特征认证请求发送至终端的安全区,并接收所述终端的安全区返回的使用私钥进行签名的认证信息,然后使用公钥进行验签,得到认证信息,在用户认证通过后,为用户提供服务;
所述终端的安全区,用于使用私钥对加密的生物特征认证请求进行解密,对用户的生物特征进行认证,将认证信息使用私钥进行签名,然后返回给应用服务器;
其中,所述生物特征认证请求中包括应用标识、随机会话标识;所述认证信息包括认证结果以及应用标识和随机会话标识;所述应用服务器,用于在用户认证通过后,为用户在随机会话标识指示的会话中提供应用标识指示应用的服务;
其中,所述生物特征认证请求中包括随机会话密钥;
所述终端的安全区,用于将认证信息使用随机会话密钥进行加密,并使用私钥进行签名;
所述应用服务器,用于使用公钥进行验签,并使用随机会话密钥进行解密得到认证信息。
5.根据权利要求4所述的系统,其特征在于,还包括:终端管理平台;
所述终端的安全区,用于生成所述公钥和所述私钥,并将所述公钥发送至终端管理平台;
所述终端管理平台,用于对各个应用服务器进行授权,并将所述公钥发送至授权的应用服务器。
6.根据权利要求4所述的系统,其特征在于,
所述终端的安全区,用于采集用户的生物特征,并将采集的用户的生物特征与存储的用户的生物特征进行匹配,如果匹配,则认证通过,如果不匹配,则认证不通过。
CN201610656474.0A 2016-08-11 2016-08-11 认证方法以及认证系统 Active CN107733636B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610656474.0A CN107733636B (zh) 2016-08-11 2016-08-11 认证方法以及认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610656474.0A CN107733636B (zh) 2016-08-11 2016-08-11 认证方法以及认证系统

Publications (2)

Publication Number Publication Date
CN107733636A CN107733636A (zh) 2018-02-23
CN107733636B true CN107733636B (zh) 2021-03-02

Family

ID=61200404

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610656474.0A Active CN107733636B (zh) 2016-08-11 2016-08-11 认证方法以及认证系统

Country Status (1)

Country Link
CN (1) CN107733636B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11223485B2 (en) * 2018-07-17 2022-01-11 Huawei Technologies Co., Ltd. Verifiable encryption based on trusted execution environment
CN109040088B (zh) * 2018-08-16 2022-02-25 腾讯科技(深圳)有限公司 认证信息传输方法、密钥管理客户端及计算机设备
CN113726526A (zh) * 2019-07-05 2021-11-30 创新先进技术有限公司 人脸数据采集、验证的方法、设备及系统
CN110460580B (zh) * 2019-07-11 2022-02-22 中国银联股份有限公司 图像采集装置、服务器及加、解密方法
CN110677418B (zh) * 2019-09-29 2021-11-19 四川虹微技术有限公司 可信声纹认证方法、装置、电子设备及存储介质
CN111861491B (zh) * 2020-07-24 2023-09-22 中国工商银行股份有限公司 一种信息验证方法、装置及设备
CN111917799B (zh) * 2020-08-14 2022-07-22 支付宝(杭州)信息技术有限公司 基于验证信息、基于隐私数据的验证方法、装置及设备
CN112804065A (zh) * 2021-03-16 2021-05-14 讯翱(上海)科技有限公司 一种基于手形识别数字证书认证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685138A (zh) * 2012-08-30 2014-03-26 卓望数码技术(深圳)有限公司 移动互联网上的Android平台应用软件的认证方法和系统
CN104598793A (zh) * 2015-01-08 2015-05-06 百度在线网络技术(北京)有限公司 一种指纹认证方法和装置
CN105187450A (zh) * 2015-10-08 2015-12-23 飞天诚信科技股份有限公司 一种基于认证设备进行认证的方法和设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105553926A (zh) * 2015-06-30 2016-05-04 宇龙计算机通信科技(深圳)有限公司 一种认证方法、服务器以及终端
CN105139205A (zh) * 2015-08-18 2015-12-09 宇龙计算机通信科技(深圳)有限公司 支付验证方法、终端和服务器
CN105391713A (zh) * 2015-11-09 2016-03-09 浙江工业大学 一种基于生物证书的身份认证方法
CN105488679B (zh) * 2015-11-23 2019-12-03 北京小米支付技术有限公司 基于生物识别技术的移动支付设备、方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685138A (zh) * 2012-08-30 2014-03-26 卓望数码技术(深圳)有限公司 移动互联网上的Android平台应用软件的认证方法和系统
CN104598793A (zh) * 2015-01-08 2015-05-06 百度在线网络技术(北京)有限公司 一种指纹认证方法和装置
CN105187450A (zh) * 2015-10-08 2015-12-23 飞天诚信科技股份有限公司 一种基于认证设备进行认证的方法和设备

Also Published As

Publication number Publication date
CN107733636A (zh) 2018-02-23

Similar Documents

Publication Publication Date Title
CN107733636B (zh) 认证方法以及认证系统
CN108768664B (zh) 密钥管理方法、装置、系统、存储介质和计算机设备
CN106612180B (zh) 实现会话标识同步的方法及装置
CN106452764B (zh) 一种标识私钥自动更新的方法及密码系统
CN107743067B (zh) 数字证书的颁发方法、系统、终端以及存储介质
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN111404696B (zh) 协同签名方法、安全服务中间件、相关平台及系统
CN105553666B (zh) 一种智能电力终端安全认证系统及方法
CN111159684B (zh) 一种基于浏览器的安全防护系统和方法
CN112396735B (zh) 网联汽车数字钥匙安全认证方法及装置
CN105743638A (zh) 基于b/s架构系统客户端授权认证的方法
CN111512608A (zh) 基于可信执行环境的认证协议
US10686771B2 (en) User sign-in and authentication without passwords
KR101531662B1 (ko) 사용자 단말과 서버간 상호 인증 방법 및 시스템
CN111540093A (zh) 一种门禁控制系统及其控制方法
CN111031061A (zh) 一种验证方法及网关设备
CN110838919B (zh) 通信方法、存储方法、运算方法及装置
CN113612852A (zh) 一种基于车载终端的通信方法、装置、设备及存储介质
CN108667800B (zh) 一种访问权限的认证方法及装置
CN104486322A (zh) 终端接入认证授权方法及终端接入认证授权系统
CN105873043B (zh) 一种用于移动终端的网络私匙的生成及应用方法及其系统
CN112769789A (zh) 一种加密通信方法及系统
KR20150005788A (ko) 사용자 키 값을 이용한 사용자 인증 방법
CN112733200B (zh) 业务密钥的信息处理方法、加密机及信息处理系统
CN115865360A (zh) 基于安全组件的可信身份令牌的连续电子签名方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant