CN111917799B - 基于验证信息、基于隐私数据的验证方法、装置及设备 - Google Patents

基于验证信息、基于隐私数据的验证方法、装置及设备 Download PDF

Info

Publication number
CN111917799B
CN111917799B CN202010816510.1A CN202010816510A CN111917799B CN 111917799 B CN111917799 B CN 111917799B CN 202010816510 A CN202010816510 A CN 202010816510A CN 111917799 B CN111917799 B CN 111917799B
Authority
CN
China
Prior art keywords
verification
information
verification result
target user
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010816510.1A
Other languages
English (en)
Other versions
CN111917799A (zh
Inventor
周雷
孟飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202010816510.1A priority Critical patent/CN111917799B/zh
Publication of CN111917799A publication Critical patent/CN111917799A/zh
Application granted granted Critical
Publication of CN111917799B publication Critical patent/CN111917799B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/008Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本说明书实施例公开了一种基于验证信息、基于隐私数据的验证方法、装置及设备,该基于隐私数据的验证方法包括:接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的隐私数据;基于所述隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述隐私数据的第一核验结果;将所述隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密以进行隐私保护,进而生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端;接收所述服务端发送的针对所述验证请求的验证结果。

Description

基于验证信息、基于隐私数据的验证方法、装置及设备
技术领域
本说明书涉及计算机技术领域,尤其涉及一种基于验证信息、基于隐私数据的验证方法、装置及设备。
背景技术
随着计算机技术的不断发展,终端设备为用户提供的身份识别方法也越来越多,例如,可以通过对用户的指纹数据、面部图像数据等隐私数据进行生物特征识别等方法,为用户提供身份识别服务,而如何提高基于如生物验证信息等隐私数据进行用户验证的准确性,成为用户和运营商关注的焦点。
目前,可以通过在本地(即在终端设备内)进行用户的隐私数据比对的方式,对用户进行验证。例如,终端设备在接收到用户的验证请求时,可以获取用户的人脸图像,然后将获取的人脸图像与本地存储的用户人脸图像进行比对,并根据比对结果,对用户的验证请求进行响应。
但是,如果通过图像注入的方式,对上述验证方法进行攻击,上述验证方法不仅无法进行隐私保护而且无法保证验证的准确性。例如,攻击者可以将注入的图像数据作为用户的人脸图像输入到终端设备中,以使终端设备根据注入的图像数据进行验证,并通过攻击者的验证请求,导致验证的准确性差。因此,需要提供一种提高基于如生物验证信息等隐私数据进行用户验证的准确性的方案。
发明内容
本说明书实施例的目的是提供一种基于验证信息、基于隐私数据的验证方法、装置及设备,以提供一种提高基于如生物验证信息等隐私数据进行用户验证的准确性的方案。
为了实现上述技术方案,本说明书实施例是这样实现的:
第一方面,本说明书实施例提供的一种基于验证信息的验证方法,所述方法应用于设置有可信执行环境TEE的终端设备,所述方法包括:接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;将所述生物验证信息读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第二方面,本说明书实施例提供的一种基于验证信息的验证方法,所述方法包括:接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
第三方面,本说明书实施例提供了一种基于验证信息的验证装置,所述装置设置有可信执行环境TEE,所述装置包括:接收模块,用于接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;结果确定模块,用于基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;信息生成模块,用于将所述生物验证信息读入所述装置的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;发送模块,用于将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果接收模块,用于接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第四方面,本说明书实施例提供了一种基于验证信息的验证装置,所述装置包括:信息接收模块,用于接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;结果确定模块,用于基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果发送模块,用于将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
第五方面,本说明书实施例提供了一种基于验证信息的验证设备,所述基于验证信息的验证设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;将所述生物验证信息读入所述基于验证信息的验证设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第六方面,本说明书实施例提供了一种基于验证信息的验证设备,所述基于验证信息的验证设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
第七方面,本说明书实施例提供一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;将所述生物验证信息读入终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第八方面,本说明书实施例提供一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
第九方面,本说明书实施例提供的一种基于隐私数据的验证方法,所述方法应用于设置有可信执行环境TEE的终端设备,所述方法包括:接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;将所述第一隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第十方面,本说明书实施例提供的一种基于隐私数据的验证方法,所述方法包括:接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
第十一方面,本说明书实施例提供了一种基于隐私数据的验证装置,所述装置设置有可信执行环境TEE,所述装置包括:接收模块,用于接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;结果确定模块,用于基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;信息生成模块,用于将所述第一隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;发送模块,用于将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果接收模块,用于接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第十二方面,本说明书实施例提供了一种基于隐私数据的验证装置,所述装置包括:信息接收模块,用于接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;结果确定模块,用于基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果发送模块,用于将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
第十三方面,本说明书实施例提供了一种基于隐私数据的验证设备,所述设备设置有可信执行环境TEE,所述基于隐私数据的验证设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;将所述第一隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第十四方面,本说明书实施例提供了一种基于隐私数据的验证设备,所述基于隐私数据的验证设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
第十五方面,本说明书实施例提供一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;将所述第一隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
第十六方面,本说明书实施例提供一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图;
图1为本说明书一种基于验证信息的验证方法实施例的流程图;
图2为本说明书又一种基于验证信息的验证方法实施例的流程图;
图3为本说明书又一种基于验证信息的验证方法实施例的流程图;
图4为本说明书又一种基于验证信息的验证方法实施例的流程图;
图5为本说明书又一种基于验证信息的验证方法实施例的流程图;
图6为本说明书一种基于验证信息的验证方法的示意图;
图7为本说明书一种基于验证信息的验证装置实施例的结构示意图;
图8为本说明书又一种基于验证信息的验证装置实施例的结构示意图;
图9为本说明书一种基于验证信息的验证设备的结构示意图;
图10为本说明书一种基于隐私数据的验证方法实施例的流程图;
图11为本说明书又一种基于隐私数据的验证方法实施例的流程图;
图12为本说明书又一种基于隐私数据的验证方法实施例的流程图;
图13为本说明书又一种基于隐私数据的验证方法实施例的流程图;
图14为本说明书一种基于隐私数据的验证装置实施例的结构示意图;
图15为本说明书又一种基于隐私数据的验证装置实施例的结构示意图;
图16为本说明书一种基于隐私数据的验证设备的结构示意图。
具体实施方式
本说明书实施例提供一种基于验证信息、基于隐私数据的验证方法、装置及设备。
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
实施例一
如图1所示,本说明书实施例提供一种基于验证信息的验证方法,该方法的执行主体可以为设置有可信执行环境(Trusted Execution Environment,TEE)的终端设备,该终端设备可以如设置有可信执行环境TEE的个人计算机等设备,也可以如手机、平板电脑等设置有可信执行环境TEE的移动终端设备。该方法具体可以包括以下步骤:
在S102中,接收目标用户针对目标业务的验证请求,并获取目标用户输入的生物验证信息。
其中,目标用户可以是任意通过终端设备使用目标业务的用户,目标业务可以是任意需要对用户进行验证,并只有在验证通过后才可以为用户提供的业务,例如,目标业务可以是资源转移业务(具体如支付业务等)、隐私信息更改业务、账号登录业务等,目标用户输入的生物验证信息可以是任意能够被终端设备识别到的一个或多个生物验证信息,例如,生物验证信息可以是目标用户的指纹数据、掌纹数据、人脸图像、虹膜数据等生物验证信息中的一个或多个。
在实施中,随着计算机技术的不断发展,终端设备为用户提供的身份识别方法也越来越多,例如,可以通过对用户的指纹数据、面部图像数据等隐私数据进行生物特征识别等方法,为用户提供身份识别服务,而如何提高基于如生物验证信息等隐私数据进行用户验证的准确性,成为用户和运营商关注的焦点。
目前,可以通过在本地(即在终端设备内)进行用户的隐私数据比对的方式,对用户进行验证。例如,终端设备在接收到用户的验证请求时,可以获取用户的人脸图像,然后将获取的人脸图像与本地存储的用户人脸图像进行比对,并根据比对结果,对用户的验证请求进行响应。但是,如果通过图像注入的方式,对上述验证方法进行攻击,上述验证方法就无法保证验证的准确性。例如,攻击者可以将注入的图像数据作为用户的人脸图像输入到终端设备中,以使终端设备根据注入的图像数据进行验证,并通过攻击者的验证请求,导致验证的准确性差。
此外,终端设备还可以将获取的用户的生物验证信息发送给服务端进行验证,但是,在生物验证信息的传输过程中,也可能存在由于图像输入式攻击,导致验证准确性差。因此,需要提供一种提高基于如生物验证信息等隐私数据进行用户验证的准确性的方案。为此,本说明书实施例提供一种技术方案,具体可以参见下述内容。
以目标业务为资源转移业务为例,目标用户可以在终端设备安装的资源转移应用中,触发资源转移业务(即目标业务),资源转移应用可以触发对目标用户的验证请求,即终端设备可以接收目标用户针对资源转移业务的验证请求。
在接收到验证请求后,终端设备可以获取目标用户输入的生物验证信息,例如,终端设备可以通过配置的摄像组件获取目标用户的人脸图像,或者,终端设备还可以通过配置的指纹识别组件获取目标用户的指纹数据。
此外,获取的目标用户输入的生物验证信息可以包含多个不同的生物验证信息,而由于不同的目标业务对验证安全性的需要不同,所以,针对不同的目标业务,获取的目标用户输入的生物验证信息的数量和类型可以不同。例如,资源转移业务对验证安全性的需求可能高于账号登录业务的验证安全性的需求,所以,当目标业务为资源转移业务时,获取的目标用户输入的生物验证信息可以是目标用户的人脸图像以及目标用户的指纹数据,而当目标业务为账号登录业务时,获取的目标用户输入的生物验证信息可以是目标用户的指纹数据。
在S104中,基于生物验证信息与预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第一核验结果。
其中,基准生物验证信息可以是终端设备预先存储的目标用户输入的生物验证信息,例如,假设目标业务为资源转移业务,则基准生物验证信息可以是目标用户在资源转移应用中进行账号注册时,终端设备存储的目标用户输入的生物验证信息。
在实施中,当获取的目标用户输入的生物验证信息包含多个生物验证信息时,终端设备可以根据每个生物验证信息的类型获取对应的基准生物验证信息,并分别对每个生物验证信息和对应的基准生物验证信息进行比对,并根据每个比对结果,确定第一核验结果。
例如,假设目标用户输入的生物验证信息包含人脸图像和指纹数据,则对应的基准生物验证信息可以是预先存储的目标用户的人脸图像和指纹数据,可以对输入的人脸图像和存储的人脸图像进行比对,获取第一匹配度,并对输入的指纹数据和存储的指纹数据进行比对,获取第二匹配度,并将第一匹配度和第二匹配度的均值,作为第一核验结果。或者,还可以将第一匹配度和第二匹配度的均值与预设匹配度阈值的比对结果,作为第一核验结果。
上述第一核验结果的确定方法是一种可选地、可实现的确定方法,在实际应用场景中,还可以有多种不同的确定方法,可以根据实际应用场景的不同而有所不同,本说明书实施例对此不做具体限定。
在S106中,将生物验证信息读入终端设备的TEE中,并在TEE的可信执行环境中,基于生物验证信息和服务端下发的验证密钥,生成可验证信息。
其中,服务端下发的验证密钥可以是服务端根据目标用户的信息(如目标用户通过终端设备预先上传到服务端的生物验证信息)生成的密钥。
在实施中,终端设备中可以安装有可信应用程序(Trust Application,TA),终端设备可以将目标用户的生物验证信息输入TA中,并在TA中(即在TEE的可信执行环境中),基于生物验证信息和服务端下发的验证密钥,生成可验证信息。或者,终端设备还可以通过TA获取目标用户的生物验证信息,即将目标用户的生物验证信息通过TA读入TEE中。
其中,终端设备的应用执行环境可以包括可信执行环境TEE和富执行环境(RichExecution Environment,REE),REE和TEE运行于同一终端设备上,并在终端设备中可以分别运行一套操作系统,REE可以运行安全性要求低的应用程序(Client Application,CA)。而TEE是通过对现有的处理器添加硬件扩展能力,基于软硬结合的方式在终端设备中获得的一个同REE相隔离的执行环境,即TEE是终端设备中一块独立的区域。
TEE可以由TA以及TEE系统(Trusted OS)组成,向该区域安装应用受终端设备的管理服务器平台控制,该区域可以接管关键设备、提供硬件级别的安全隔离、以及保护资源和执行可信代码,可以保证放入TEE的代码和数据的安全性、机密性和完整性。
运行在TEE中应用程序称为可信应用程序,由于TEE与REE逻辑隔离,CA和TA之间需要通过预设的通信机制进行通信,即基于硬件隔离技术可以保护TA在运行过程中,可以不受安装在REE中的其他应用程序的影响。另外,由于TEE可以为授权的TA提供安全的执行环境,所以,可以保证在TEE中运行的TA在运行过程中不被REE干扰,也可以不被TEE中其他TA的影响,即可以达到保证TA运行中的代码和数据的机密性和完整性的效果。
在S108中,将第一核验结果和可验证信息发送给服务端,以使服务端基于第一核验结果和可验证信息,确定针对验证请求的验证结果。
在S110中,接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。
在实施中,如果接收到的验证结果为验证通过,则可以对验证请求进行响应,即为目标用户提供目标业务,如果接收到的验证结果为验证不通过,则可以输出预设告警信息,如可以在终端设备中显示预设告警信息,或向预设告警联系方式发送预设告警信息。
本说明书实施例提供一种基于验证信息的验证方法,该方法应用于设置有可信执行环境TEE的终端设备,通过接收目标用户针对目标业务的验证请求,并获取目标用户输入的生物验证信息,基于生物验证信息与预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第一核验结果,将生物验证信息读入终端设备的TEE中,并在TEE的可信执行环境中,基于生物验证信息和服务端下发的验证密钥,生成可验证信息,将第一核验结果和可验证信息发送给服务端,以使服务端基于第一核验结果和可验证信息,确定针对验证请求的验证结果,接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。这样,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例二
如图2所示,本说明书实施例提供一种基于验证信息的验证方法,该方法的执行主体可以为设置有可信执行环境TEE的终端设备,该终端设备可以如设置有可信执行环境TEE的个人计算机等设备,也可以如手机、平板电脑等设置有可信执行环境TEE的移动终端设备。该方法具体可以包括以下步骤:
在S202中,接收目标用户针对目标业务的验证请求,并获取目标用户输入的生物验证信息。
在实施中,本实施例以目标业务为资源转移业务,目标用户输入的生物验证信息为人脸图像为例,在接收到目标用户针对资源转移业务的验证请求后,可以获取目标用户的人脸图像。
在S204中,基于生物验证信息与预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第一核验结果。
在实施中,在确定第一核验结果前,可以对目标用户的人脸图像(即生物验证信息)进行图像质量检测,在目标用户的人脸图像通过图像质量检测后,在基于目标用户输入的人脸图像与预先存储的目标用户的基准人脸图像,确定针对目标用户输入的人脸图像的第一核验结果。
其中,图像质量检测可以包括活体识别检测、图像质量分检测等,第一核验结果可以是目标用户输入的人脸图像与预先存储的目标用户的基准人脸图像之间的图像相似度,或者,第一核验结果还可以是目标用户输入的人脸图像与预先存储的目标用户的基准人脸图像之间的图像相似度与预设图像相似度之间的比对结果,例如,假设相似度小于预设图像相似度,则第一核验结果可以为核验不通过,假设相似度不小于预设图像相似度,则第一核验结果可以为核验通过。
在S206中,将生物验证信息读入终端设备的TEE中,并在TEE的可信执行环境中,基于生物验证信息和服务端下发的验证密钥,生成可验证信息。
在实施中,在实际应用中,可验证信息的生成方法可以有多种,例如,可验证信息可以为基于验证密钥对生物验证信息进行加密处理后生成的信息。
或者,以下再提供一种可选的实现方式,用于生成可验证信息,具体可以参见下述步骤A2~步骤A4处理。
步骤A2, 在TEE的可信执行环境中,对生物验证信息进行特征提取,得到与生物验证信息对应的目标生物特征数据。
在实施中,可以基于预设生物验证信息质量分确定算法,确定目标用户的生物验证信息的质量分,在目标用户的生物验证信息的质量分大于预设质量分阈值的情况下,对生物验证信息进行特征提取,得到与生物验证信息对应的目标生物特征数据。
上述质量分的确定方法,以及生物验证信息的特征提取方法可以有多种多样,本说明书实施例对此不作具体限定。
步骤A4,基于验证密钥,对目标生物特征数据进行加密处理,并将加密处理的结果确定为可验证信息。
另外,除上述处理方式外,以下再提供一种可选的实现方式,用于生成可验证信息,具体可以参见下述步骤B2~步骤B6处理。
步骤B2,在TEE的可信执行环境中,对生物验证信息进行特征提取,得到与生物验证信息对应的目标生物特征数据。
步骤B4,基于目标生物特征数据与预先存储的基准生物特征数据,确定针对目标生物特征数据的第二核验结果。
步骤B6,基于验证密钥,对第二核验结果进行加密处理,并将加密处理后的第二核验结果确定为可验证信息。
此外,终端设备获取的目标用户输入的人脸图像,可以是多帧人脸图像,可以选取这多帧人脸图像中的任意两帧人脸图像(如人脸图像1和人脸图像2),并基于人脸图像1和预先存储的目标用户的基准生物验证信息,生成第一核验结果,并将人脸图像2输入TEE中,并基于人脸图像2和验证密钥,生成可验证信息。
在S208中,将第一核验结果和可验证信息发送给服务端,以使服务端基于第一核验结果和可验证信息,确定针对验证请求的验证结果。
在S210中,接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。
上述S208~S210的具体处理过程可以参见上述实施例一中S108~S110的相关内容,在此不再赘述。
本说明书实施例提供一种基于验证信息的验证方法,该方法应用于设置有可信执行环境TEE的终端设备,通过接收目标用户针对目标业务的验证请求,并获取目标用户输入的生物验证信息,基于生物验证信息与预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第一核验结果,将生物验证信息读入终端设备的TEE中,并在TEE的可信执行环境中,基于生物验证信息和服务端下发的验证密钥,生成可验证信息,将第一核验结果和可验证信息发送给服务端,以使服务端基于第一核验结果和可验证信息,确定针对验证请求的验证结果,接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。这样,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例三
如图3所示,本说明书实施例提供一种基于验证信息的验证方法,该方法的执行主体可以为服务端,其中,该服务端可以是为用户提供验证服务的服务器,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群。该方法具体可以包括以下步骤:
在S302中,接收终端设备发送的第一核验结果和可验证信息。
其中,第一核验结果可以为终端设备基于目标用户输入的生物验证信息与预先存储的目标用户的基准生物验证信息,确定的针对生物验证信息的核验结果,可验证信息可以为终端设备在TEE的可信执行环境中,基于目标用户的生物验证信息和本地下发的验证密钥生成的信息,终端设备可以为设置有可信执行环境TEE的终端设备。
在实施中,接收到的第一核验结果可以是终端设备对生物验证信息与预先存储的目标用户的基准生物验证信息进行比对得到的相似度,也可以是根据生物验证信息与预先存储的目标用户的基准生物验证信息之间的相似度与预设第一相似度阈值之间的关系确定的核验结果,如,第一核验结果可以为核验通过或核验不通过。
可验证信息可以是终端设备在TEE的可信执行环境中,基于验证密钥,对目标生物特征数据进行加密处理得到的验证信息,其中,目标生物特征数据可以是终端设备在TEE的可信执行环境中,对目标用户的生物验证信息进行特征提取,得到的与生物验证信息对应的生物特征数据。
此外,可验证信息也可以是终端设备在TEE的可信执行环境中,基于目标生物特征数据与预先存储的基准生物特征数据,确定的针对目标生物特征数据的第二核验结果,然后基于验证密钥,对第二核验结果进行加密处理得到的验证信息,其中,第二核验结果可以是目标生物特征数据与预先存储的基准生物特征数据之间的相似度,也可以是基于目标生物特征数据与预先存储的基准生物特征数据以及预设第二相似度阈值之间的关系确定的核验结果。
在S304中,基于第一核验结果和可验证信息,确定针对验证请求的验证结果。
在实施中,可以基于验证密钥和可验证信息,得到针对目标用户的生物验证信息的第一验证结果。例如,可验证信息可以是基于验证密钥对目标用户的目标生物特征数据进行加密处理得到的信息,则服务端可以基于验证密钥对可验证信息进行解密处理的,得到目标用户的目标生物特征数据。服务端在基于预先存储的目标用户的生物特征数据和目标生物特征数据,确定第一验证结果。如可以根据目标用户的生物特征数据和目标生物特征数据质检的相似度与预设第二相似度阈值之间的关系,确定第一验证结果。
如果第一核验结果为生物验证信息与预先存储的目标用户的基准生物验证信息之间的相似度,则可以根据预设第一相似度阈值,确定针对第一核验结果的第二验证结果。
可以根据第一验证结果和第二验证结果,确定针对验证请求的验证结果。
上述针对验证请求的验证结果的确定方法是一种可选地、可实现的确定方法,在实际应用场景中,还可以有多种不同的确定方法,可以根据实际应用场景的不同而有所不同,本说明书实施例对此不作具体限定。
在S306中,将验证结果发送给终端设备,以使终端设备基于针对验证请求验证结果,对验证请求进行响应。
本说明书实施例提供一种基于验证信息的验证方法,通过接收终端设备发送的第一核验结果和可验证信息,第一核验结果为终端设备基于目标用户输入的生物验证信息与预先存储的目标用户的基准生物验证信息,确定的针对生物验证信息的核验结果,可验证信息为终端设备在TEE的可信执行环境中,基于目标用户的生物验证信息和本地下发的验证密钥生成的信息,终端设备为设置有可信执行环境TEE的终端设备,基于第一核验结果和可验证信息,确定针对验证请求的验证结果,将验证结果发送给终端设备,以使终端设备基于针对验证请求的验证结果,对验证请求进行响应。这样,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在终端设备的TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例四
如图4所示,本说明书实施例提供一种基于验证信息的验证方法,该方法的执行主体可以为服务端,其中,该服务端可以是为用户提供验证服务的服务器,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群。该方法具体可以包括以下步骤:
在S402中,获取并存储终端设备发送的目标用户的基准生物验证信息。
其中,基准生物验证信息可以是目标用户的人脸图像、指纹数据、掌纹数据以及虹膜数据等生物验证信息中的一种或多种。
在S404中,基于基准生物验证信息,生成并存储针对目标用户的验证密钥。
在实施中,可以基于预设随机数生成算法,生成与目标用户的基准生物验证信息对应的预设位数的字符串,并将该字符串作为针对目标用户的验证密钥,在服务端将该验证密钥存储在与目标用户的基准生物验证信息相对应的位置。
此外,验证密钥的生成方法还可以有多种,除上述预设随机数生成算法生成预设位数的字符串作为验证密钥外,还可以基于预设哈希算法,生成与基准生物验证信息对应的哈希值,并将该哈希值作为针对目标用户的验证密钥等,可以根据实际应用场景的不同,选用不同的验证密钥的生成方法,本说明书实施例对此不作具体限定。
在S406中,将验证密钥发送给终端设备,以使终端设备在TEE的可信执行环境中,基于目标用户的生物验证信息和验证密钥,生成可验证信息。
在S408中,接收终端设备发送的第一核验结果和可验证信息。
在S410中,获取验证密钥的预设有效时段,以及第一核验结果和可验证信息的接收时间。
其中,有效时段可以是任意时长的时段,例如有效时段可以是30秒、2分钟或5分钟等,可以根据目标业务的不同,为验证密钥生成不同的预设有效时段,例如,如果目标业务为资源转移业务,则验证密钥的预设有效时段可以为2分钟,如果目标业务为账号登录业务,则验证密钥的预设有效时段可以为3分钟。
在实施中,服务端将验证密钥发送给终端设备后,如果在有效时段内,服务端接收到终端设备发送的第一核验结果和可验证信息,则接收到的第一核验结果和可验证信息即为有效,如果服务端在超过有效时段后接收到终端设备发送的第一核验结果和可验证信息,则接收到的第一核验结果和可验证信息可能存在异常,即接收到的第一核验结果和可验证信息无效。
在S412中,在接收时间未超出预设有效时段的情况下,基于第一核验结果和可验证信息,确定验证结果。
在实施中,如果可验证信息为基于验证密钥对目标用户的生物验证信息进行加密处理后的信息,则可以根据下述C2~步骤C6的处理方式,确定验证结果。
步骤C2,基于本地存储的验证密钥,对可验证信息进行解密处理,得到目标用户的生物验证信息。
步骤C4,基于目标用户的生物验证信息和预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第二核验结果。
步骤C6,在第一核验结果满足第一预设验证条件且第二核验结果满足第二预设验证条件的情况下,确定验证请求的验证结果为验证通过。
此外,如果接收时间超出预设有效时段,则服务器可以向终端设备发送第一核验结果和可验证信息异常的预设告警信息。
在S414中,将验证结果发送给终端设备,以使终端设备基于针对验证请求的验证结果,对验证请求进行响应。
本说明书实施例提供一种基于验证信息的验证方法,通过接收终端设备发送的第一核验结果和可验证信息,第一核验结果为终端设备基于目标用户输入的生物验证信息与预先存储的目标用户的基准生物验证信息,确定的针对生物验证信息的核验结果,可验证信息为终端设备在TEE的可信执行环境中,基于目标用户的生物验证信息和本地下发的验证密钥生成的信息,终端设备为设置有可信执行环境TEE的终端设备,基于第一核验结果和可验证信息,确定针对验证请求的验证结果,将验证结果发送给终端设备,以使终端设备基于针对验证请求的验证结果,对验证请求进行响应。这样,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在终端设备的TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例五
如图5所示,本说明书实施例提供一种信息验证方法,该方法的执行主体可以为终端设备和服务端,其中,该终端设备可以是设置有可信执行环境TEE的终端设备,该终端设备可以如设置有可信执行环境TEE的个人计算机等设备,也可以如手机、平板电脑等设置有可信执行环境TEE的移动终端设备,该服务端可以是为用户提供验证服务的服务器,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群,其中,该方法具体可以包括以下步骤:
在S502中,服务器获取并存储终端设备发送的目标用户的基准生物验证信息。
在S504中,服务器基于基准生物验证信息,生成并存储针对目标用户的验证密钥。
在S506中,服务器将验证密钥发送给终端设备。
在S508中,终端设备接收目标用户针对目标业务的验证请求,并获取目标用户输入的生物验证信息。
在S510中,终端设备基于生物验证信息与预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第一核验结果。
在S512中,终端设备将生物验证信息读入终端设备的TEE中。
在S514中,终端设备在TEE的可信执行环境中,基于预设生物验证信息质量分确定算法,确定目标用户的生物验证信息的质量分。
在S516中,终端设备在目标用户的生物验证信息的质量分大于预设质量分阈值的情况下,对生物验证信息进行特征提取,得到与生物验证信息对应的目标生物特征数据。
在S518中,终端设备基于目标生物特征数据与预先存储的基准生物特征数据,确定针对目标生物特征数据的第二核验结果。
在S520中,终端设备基于验证密钥,对第二核验结果进行加密处理,并将加密处理后的第二核验结果确定为可验证信息。
在S522中,终端设备将第一核验结果和可验证信息发送给服务端。
在S524中,服务端获取验证密钥的预设有效时段,以及第一核验结果和可验证信息的接收时间。
在S526中,服务端在接收时间未超出预设有效时段的情况下,基于第一核验结果和可验证信息,确定验证结果。
在S528中,终端设备接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。
在实施中,如图6所示,终端设备在生成第一核验结果时,也可以通过服务端下发的验证密钥,对第一核验结果进行加密处理,并将加密处理后的第一核验结果和可验证信息发送给服务端,服务端可以基于预先存储的验证密钥,对加密处理后的第一核验结果进行解密处理,并根据解密处理后的第一核验结果和可验证信息,得到针对验证请求的验证结果,然后将验证结果返回给终端设备。
本说明书实施例提供一种基于验证信息的验证方法,服务器获取并存储终端设备发送的目标用户的基准生物验证信息,服务器基于基准生物验证信息,生成并存储针对目标用户的验证密钥,服务器将验证密钥发送给终端设备,终端设备接收目标用户针对目标业务的验证请求,并获取目标用户输入的生物验证信息,终端设备基于生物验证信息与预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第一核验结果,终端设备将生物验证信息读入终端设备的TEE中,终端设备在TEE的可信执行环境中,基于预设生物验证信息质量分确定算法,确定目标用户的生物验证信息的质量分,终端设备在目标用户的生物验证信息的质量分大于预设质量分阈值的情况下,对生物验证信息进行特征提取,得到与生物验证信息对应的目标生物特征数据,终端设备基于目标生物特征数据与预先存储的基准生物特征数据,确定针对目标生物特征数据的第二核验结果,终端设备基于验证密钥,对第二核验结果进行加密处理,并将加密处理后的第二核验结果确定为可验证信息,终端设备将第一核验结果和可验证信息发送给服务端,服务端获取验证密钥的预设有效时段,以及第一核验结果和可验证信息的接收时间,服务端在接收时间未超出预设有效时段的情况下,基于第一核验结果和可验证信息,确定验证结果,终端设备接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。这样,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在终端设备的TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例六
本说明书实施例还提供一种基于验证信息的验证装置,所述装置设置有可信执行环境TEE,如图7所示。
该验证装置包括:接收模块701、结果确定模块702、信息生成模块703、发送模块704和结果接收模块705,其中:
接收模块701,用于接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;结果确定模块702,用于基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;信息生成模块703,用于将所述生物验证信息读入所述装置的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;发送模块704,用于将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果接收模块705,用于接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
本说明书实施例中,所述可验证信息为基于所述验证密钥对所述生物验证信息进行加密处理后生成的信息。
本说明书实施例中,所述信息生成模块703,用于:在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;基于所述验证密钥,对所述目标生物特征数据进行加密处理,并将加密处理的结果确定为所述可验证信息。
本说明书实施例中,所述信息生成模块703,用于:在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;基于所述验证密钥,对所述第二核验结果进行加密处理,并将加密处理后的所述第二核验结果确定为所述可验证信息。
本说明书实施例中,所述信息生成模块703,用于:基于预设生物验证信息质量分确定算法,确定所述目标用户的生物验证信息的质量分;在所述目标用户的生物验证信息的质量分大于预设质量分阈值的情况下,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的所述目标生物特征数据。
本说明书实施例提供一种基于验证信息的验证装置,通过接收目标用户针对目标业务的验证请求,并获取目标用户输入的生物验证信息,基于生物验证信息与预先存储的目标用户的基准生物验证信息,确定针对生物验证信息的第一核验结果,将生物验证信息读入验证装置的TEE中,并在TEE的可信执行环境中,基于生物验证信息和服务端下发的验证密钥,生成可验证信息,将第一核验结果和可验证信息发送给服务端,以使服务端基于第一核验结果和可验证信息,确定针对验证请求的验证结果,接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。这样,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例七
本说明书实施例还提供一种基于验证信息的验证装置,如图8所示。
该验证装置包括:信息接收模块801、结果确定模块802和结果发送模块803,其中:
信息接收模块801,用于接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;结果确定模块802,用于基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果发送模块803,用于将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
本说明书实施例中,所述装置,还包括:信息获取模块,用于获取并存储所述终端设备发送的所述目标用户的基准生物验证信息;密钥生成模块,用于基于所述基准生物验证信息,生成并存储针对所述目标用户的验证密钥;密钥发送模块,用于将所述验证密钥发送给所述终端设备,以使所述终端设备在所述TEE的可信执行环境中,基于所述目标用户的生物验证信息和所述验证密钥,生成所述可验证信息。
本说明书实施例中,所述结果确定模块802,用于:获取所述验证密钥的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
本说明书实施例中,所述可验证信息为基于所述验证密钥对所述目标用户的生物验证信息进行加密处理后的信息,所述结果确定模块802,用于:基于本地存储的所述验证密钥,对所述可验证信息进行解密处理,得到所述目标用户的生物验证信息;基于所述目标用户的生物验证信息和预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第二核验结果;在所述第一核验结果满足第一预设验证条件且所述第二核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
本说明书实施例提供一种基于验证信息的验证装置,通过接收终端设备发送的第一核验结果和可验证信息,第一核验结果为终端设备基于目标用户输入的生物验证信息与预先存储的目标用户的基准生物验证信息,确定的针对生物验证信息的核验结果,可验证信息为终端设备在TEE的可信执行环境中,基于目标用户的生物验证信息和本地下发的验证密钥生成的信息,终端设备为设置有可信执行环境TEE的终端设备,基于第一核验结果和可验证信息,确定针对验证请求的验证结果,将验证结果发送给终端设备,以使终端设备基于针对验证请求的验证结果,对验证请求进行响应。这样,由于验证装置是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在终端设备的TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例八
基于同样的思路,本说明书实施例还提供一种基于验证信息的验证设备,如图9所示。
所述基于验证信息的验证设备可以为上述实施例提供的设置有可信执行环境TEE的终端设备。
基于验证信息的验证设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器901和存储器902,存储器902中可以存储有一个或一个以上存储应用程序或数据。其中,存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对基于验证信息的验证设备中的一系列计算机可执行指令。更进一步地,处理器901可以设置为与存储器902通信,在基于验证信息的验证设备上执行存储器902中的一系列计算机可执行指令。基于验证信息的验证设备还可以包括一个或一个以上电源903,一个或一个以上有线或无线网络接口904,一个或一个以上输入输出接口905,一个或一个以上键盘906。
具体在本实施例中,基于验证信息的验证设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对基于验证信息的验证设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;将所述生物验证信息读入所述基于验证信息的验证设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
可选地,所述可验证信息为基于所述验证密钥对所述生物验证信息进行加密处理后生成的信息。
可选地,所述在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;基于所述验证密钥,对所述目标生物特征数据进行加密处理,并将加密处理的结果确定为所述可验证信息。
可选地,所述在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;基于所述验证密钥,对所述第二核验结果进行加密处理,并将加密处理后的所述第二核验结果确定为所述可验证信息。
可选地,所述对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据,包括:基于预设生物验证信息质量分确定算法,确定所述目标用户的生物验证信息的质量分;在所述目标用户的生物验证信息的质量分大于预设质量分阈值的情况下,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的所述目标生物特征数据。
或者,该基于验证信息的验证设备还可以用于进行以下计算机可执行指令:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
可选地,在所述接收终端设备发送的第一核验结果和可验证信息之前,还包括:获取并存储所述终端设备发送的所述目标用户的基准生物验证信息;基于所述基准生物验证信息,生成并存储针对所述目标用户的验证密钥;将所述验证密钥发送给所述终端设备,以使所述终端设备在所述TEE的可信执行环境中,基于所述目标用户的生物验证信息和所述验证密钥,生成所述可验证信息。
可选地,所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:获取所述验证密钥的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
可选地,所述可验证信息为基于所述验证密钥对所述目标用户的生物验证信息进行加密处理后的信息,所述基于所述第一核验结果和所述可验证信息,确定所述验证结果,包括:基于本地存储的所述验证密钥,对所述可验证信息进行解密处理,得到所述目标用户的生物验证信息;基于所述目标用户的生物验证信息和预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第二核验结果;在所述第一核验结果满足第一预设验证条件且所述第二核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
本说明书实施例提供一种基于验证信息的验证设备,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性,同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的生物验证信息的真实性,提高验证的准确性。
实施例九
如图10所示,本说明书实施例提供一种基于隐私数据的验证方法,该方法的执行主体可以为设置有可信执行环境(Trusted Execution Environment,TEE)的终端设备,该终端设备可以如设置有可信执行环境TEE的个人计算机等设备,也可以如手机、平板电脑等设置有可信执行环境TEE的移动终端设备。该方法具体可以包括以下步骤:
在S1002中,接收目标用户针对目标业务的验证请求,并获取目标用户输入的用于进行生物特征验证的第一隐私数据。
其中,第一隐私数据可以是用于进行生物特征验证的用户隐私数据,例如用户的面部图像数据、指纹数据、掌纹数据或虹膜数据等。
在S1004中,基于第一隐私数据与预先存储的目标用户的基准隐私数据,确定针对第一隐私数据的第一核验结果。
其中,基准隐私数据可以是终端设备预先存储的目标用户输入的隐私数据,例如,假设目标业务为资源转移业务,则基准隐私数据可以是目标用户在资源转移应用中进行账号注册时,终端设备存储的目标用户输入的隐私数据。
在S1006中,将第一隐私数据读入终端设备的TEE中,并在TEE的可信执行环境中,基于第一隐私数据,并通过服务端下发的针对验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息。
其中,服务端下发的第二隐私数据可以是服务端根据目标用户的信息(如目标用户通过终端设备预先上传到服务端的隐私数据),针对目标用户的验证请求生成的验证数据,例如,第二隐私数据可以是服务端下发的针对目标用户的验证请求的验证密钥。
在实施中,以下提供一种可选的实现方式,用于生成可验证信息,具体可以参见下述步骤D2~步骤D4处理。
步骤D2, 在TEE的可信执行环境中,对第一隐私数据进行特征提取,得到与第一隐私数据对应的目标生物特征数据。
步骤D4,基于第二隐私数据,对目标生物特征数据进行全态加密或部分同态加密,并将加密处理的结果确定为可验证信息。
另外,除上述处理方式外,以下再提供一种可选的实现方式,用于生成可验证信息,具体可以参见下述步骤E2~步骤E6处理。
步骤E2,在TEE的可信执行环境中,对第一隐私数据进行特征提取,得到与第一隐私数据对应的目标生物特征数据。
步骤E4,基于目标生物特征数据与预先存储的基准生物特征数据,确定针对目标生物特征数据的第二核验结果。
步骤E6,基于第二隐私数据,对第二核验结果进行全态加密或部分同态加密,并将加密处理后的第二核验结果确定为可验证信息。
在S1008中,将第一核验结果和可验证信息发送给服务端,使服务端基于第一核验结果和可验证信息,确定针对验证请求的验证结果。
在S1010中,接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。
本说明书实施例提供一种基于隐私数据的验证方法,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
实施例十
如图11所示,本说明书实施例提供一种基于隐私数据的验证方法,该方法的执行主体可以为服务端,其中,该服务端可以是为用户提供验证服务的服务器,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群。该方法具体可以包括以下步骤:
在S1102中,接收终端设备发送的第一核验结果和可验证信息。
其中,第一核验结果可以为终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对第一隐私数据的核验结果,可验证信息可以为终端设备在TEE的可信执行环境中,基于目标用户的第一隐私数据,并通过本地下发的针对验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,终端设可以备为设置有可信执行环境TEE的终端设备。
在S1104中,基于第一核验结果和可验证信息,确定针对验证请求的验证结果。
在S1106中,将验证结果发送给终端设备,以使终端设备基于针对验证请求验证结果,对验证请求进行响应。
本说明书实施例提供一种基于隐私数据的验证方法,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
实施例十一
如图12所示,本说明书实施例提供一种基于隐私数据的验证方法,该方法的执行主体可以为服务端,其中,该服务端可以是为用户提供验证服务的服务器,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群。该方法具体可以包括以下步骤:
在S1202中,获取并存储终端设备发送的目标用户的基准隐私数据。
其中,基准隐私数据可以是目标用户的人脸图像、指纹数据、掌纹数据以及虹膜数据等隐私数据中的一种或多种。
在S1204中,基于基准隐私数据,生成并存储针对目标用户的验证请求的第二隐私数据。
在S1206中,将第二隐私数据发送给终端设备,以使终端设备在TEE的可信执行环境中,基于目标用户的第一隐私数据,并通过本地下发的针对验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信。
在S1208中,接收终端设备发送的第一核验结果和可验证信息。
在S1210中,获取第二隐私数据的预设有效时段,以及第一核验结果和可验证信息的接收时间。
在S1212中,在接收时间未超出预设有效时段的情况下,基于第一核验结果和可验证信息,确定验证结果。
在实施中,如果可验证信息为基于第二隐私数据对目标用户的第一隐私数据进行全态加密或部分同态加密处理后的信息,则可以根据下述F2~步骤F6的处理方式,确定验证结果。
步骤F2,基于本地存储的第二隐私数据,对可验证信息进行解密处理,得到目标用户的第一隐私数据。
步骤F4,基于目标用户的第一隐私数据和预先存储的目标用户的基准隐私数据,确定针对第一隐私数据的第二核验结果。
步骤F6,在第一核验结果满足第一预设验证条件且第二核验结果满足第二预设验证条件的情况下,确定验证请求的验证结果为验证通过。
此外,如果接收时间超出预设有效时段,则服务器可以向终端设备发送第一核验结果和可验证信息异常的预设告警信息。
在S1212中,将验证结果发送给终端设备,以使终端设备基于针对验证请求的验证结果,对验证请求进行响应。
本说明书实施例提供一种基于隐私数据的验证方法,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
实施例十二
如图13所示,本说明书实施例提供一种信息验证方法,该方法的执行主体可以为终端设备和服务端,其中,该终端设备可以是设置有可信执行环境TEE的终端设备,该终端设备可以如设置有可信执行环境TEE的个人计算机等设备,也可以如手机、平板电脑等设置有可信执行环境TEE的移动终端设备,该服务端可以是为用户提供验证服务的服务器,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群,其中,该方法具体可以包括以下步骤:
在S1302中,服务器获取并存储终端设备发送的目标用户的基准隐私数据。
在S1304中,服务器基于基准隐私数据,生成并存储针对目标用户的验证请求的第二隐私数据。
在S1306中,服务器将第二隐私数据发送给终端设备。
在S1308中,终端设备接收目标用户针对目标业务的验证请求,并获取目标用户输入的第一隐私数据。
在S1310中,终端设备基于第一隐私数据与预先存储的目标用户的基准隐私数据,确定针对第一隐私数据的第一核验结果。
在S1312中,终端设备将第一隐私数据读入终端设备的TEE中。
在S1313中,终端设备在TEE的可信执行环境中,基于预设隐私数据质量分确定算法,确定目标用户的第一隐私数据的质量分。
在S1316中,终端设备在目标用户的第一隐私数据的质量分大于预设质量分阈值的情况下,对第一隐私数据进行特征提取,得到与第一隐私数据对应的目标生物特征数据。
在S1318中,终端设备基于目标生物特征数据与预先存储的基准生物特征数据,确定针对目标生物特征数据的第二核验结果。
在S1320中,终端设备基于第二隐私数据,对第二核验结果进行全态加密或部分同态加密处理,并将加密处理后的第二核验结果确定为可验证信息。
在S1322中,终端设备将第一核验结果和可验证信息发送给服务端。
在S1324中,服务端获取第二隐私数据的预设有效时段,以及第一核验结果和可验证信息的接收时间。
在S1326中,服务端在接收时间未超出预设有效时段的情况下,基于第一核验结果和可验证信息,确定验证结果。
在S1328中,终端设备接收服务端发送的针对验证请求的验证结果,以基于针对验证请求的验证结果,对验证请求进行响应。
本说明书实施例提供一种基于隐私数据的验证方法,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
实施例十三
本说明书实施例还提供一种基于隐私数据的验证装置,所述装置设置有可信执行环境TEE,如图14所示。
该验证装置包括:接收模块1401、结果确定模块1402、信息生成模块1403、发送模块1404和结果接收模块1405,其中:
接收模块1401,用于接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的第一隐私数据;结果确定模块1402,用于基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;信息生成模块1403,用于将所述第一隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;发送模块1404,用于将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果接收模块1405,用于接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
本说明书实施例中,所述可验证信息为基于所述第二隐私数据对所述第一隐私数据进行全态加密或部分同态加密处理后生成的信息。
本说明书实施例中,所述信息生成模块1403,用于:在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;基于所述第二隐私数据,对所述目标生物特征数据进行全态加密或部分同态加密处理,并将加密处理的结果确定为所述可验证信息。
本说明书实施例中,所述信息生成模块1403,用于:在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;基于所述第二隐私数据,对所述第二核验结果进行全态加密或部分同态加密,并将加密处理后的所述第二核验结果确定为所述可验证信息。
本说明书实施例中,所述信息生成模块1403,用于:基于预设隐私数据质量分确定算法,确定所述目标用户的第一隐私数据的质量分;在所述目标用户的第一隐私数据的质量分大于预设质量分阈值的情况下,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的所述目标生物特征数据。
本说明书实施例提供一种基于隐私数据的验证装置,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
实施例十四
本说明书实施例还提供一种基于隐私数据的验证装置,如图15所示。
该验证装置包括:信息接收模块1501、结果确定模块1502和结果发送模块1503,其中:
信息接收模块1501,用于接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;结果确定模块1502,用于基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;结果发送模块1503,用于将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
本说明书实施例中,所述装置,还包括:信息获取模块,用于获取并存储所述终端设备发送的所述目标用户的基准隐私数据;密钥生成模块,用于基于所述基准隐私数据,生成并存储针对所述目标用户的验证请求的第二隐私数据;密钥发送模块,用于将所述第二隐私数据发送给所述终端设备,以使所述终端设备在所述TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成所述可验证信息。
本说明书实施例中,所述结果确定模块1502,用于:获取所述第二隐私数据的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
本说明书实施例中,所述可验证信息为基于所述第二隐私数据对所述目标用户的第一隐私数据进行全态加密或部分同态加密处理后的信息,所述结果确定模块1502,用于:基于本地存储的所述第二隐私数据,对所述可验证信息进行解密处理,得到所述目标用户的第一隐私数据;基于所述目标用户的第一隐私数据和预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第二核验结果;在所述第一核验结果满足第一预设验证条件且所述第二核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
本说明书实施例提供一种基于隐私数据的验证装置,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将图像数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
实施例十五
基于同样的思路,本说明书实施例还提供一种基于隐私数据的验证设备,如图16所示。
所述基于隐私数据的验证设备可以为上述实施例提供的设置有可信执行环境TEE的终端设备。
基于隐私数据的验证设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器1601和存储器1602,存储器1602中可以存储有一个或一个以上存储应用程序或数据。其中,存储器1602可以是短暂存储或持久存储。存储在存储器1602的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对基于隐私数据的验证设备中的一系列计算机可执行指令。更进一步地,处理器1601可以设置为与存储器1602通信,在基于隐私数据的验证设备上执行存储器1602中的一系列计算机可执行指令。基于隐私数据的验证设备还可以包括一个或一个以上电源1603,一个或一个以上有线或无线网络接口1604,一个或一个以上输入输出接口1605,一个或一个以上键盘1606。
具体在本实施例中,基于隐私数据的验证设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对基于隐私数据的验证设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;将所述第一隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
可选地,所述可验证信息为基于所述第二隐私数据对所述第一隐私数据进行全态加密或部分同态加密处理后生成的信息。
可选地,所述在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;基于所述第二隐私数据,对所述目标生物特征数据进行全态加密或部分同态加密处理,并将加密处理的结果确定为所述可验证信息。
可选地,所述在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;基于所述第二隐私数据,对所述第二核验结果进行全态加密或部分同态加密处理,并将加密处理后的所述第二核验结果确定为所述可验证信息。
可选地,所述对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据,包括:基于预设隐私数据质量分确定算法,确定所述目标用户的第一隐私数据的质量分;在所述目标用户的第一隐私数据的质量分大于预设质量分阈值的情况下,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的所述目标生物特征数据。
或者,该基于隐私数据的验证设备还可以用于进行以下计算机可执行指令:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
可选地,在所述接收终端设备发送的第一核验结果和可验证信息之前,还包括:获取并存储所述终端设备发送的所述目标用户的基准隐私数据;基于所述基准隐私数据,生成并存储针对所述目标用户的验证请求的第二隐私数据;将所述第二隐私数据发送给所述终端设备,以使所述终端设备在所述TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成所述可验证信息。
可选地,所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:获取所述第二隐私数据的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
可选地,所述可验证信息为基于所述第二隐私数据对所述目标用户的第一隐私数据进行全态加密或部分同态加密处理后的信息,所述基于所述第一核验结果和所述可验证信息,确定所述验证结果,包括:基于本地存储的所述第二隐私数据,对所述可验证信息进行解密处理,得到所述目标用户的第一隐私数据;基于所述目标用户的第一隐私数据和预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第二核验结果;在所述第一核验结果满足第一预设验证条件且所述第二核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
本说明书实施例提供一种基于隐私数据的验证设备,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
实施例十六
本说明书实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述验证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;将所述生物验证信息读入终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
可选地,所述可验证信息为基于所述验证密钥对所述生物验证信息进行加密处理后生成的信息。
可选地,所述在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;基于所述验证密钥,对所述目标生物特征数据进行加密处理,并将加密处理的结果确定为所述可验证信息。
可选地,所述在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;基于所述验证密钥,对所述第二核验结果进行加密处理,并将加密处理后的所述第二核验结果确定为所述可验证信息。
可选地,所述对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据,包括:基于预设生物验证信息质量分确定算法,确定所述目标用户的生物验证信息的质量分;在所述目标用户的生物验证信息的质量分大于预设质量分阈值的情况下,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的所述目标生物特征数据。
所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时还可以实现以下流程:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
可选地,在所述接收终端设备发送的第一核验结果和可验证信息之前,还包括:获取并存储所述终端设备发送的所述目标用户的基准生物验证信息;基于所述基准生物验证信息,生成并存储针对所述目标用户的验证密钥;将所述验证密钥发送给所述终端设备,以使所述终端设备在所述TEE的可信执行环境中,基于所述目标用户的生物验证信息和所述验证密钥,生成所述可验证信息。
可选地,所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:获取所述验证密钥的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
可选地,所述可验证信息为基于所述验证密钥对所述目标用户的生物验证信息进行加密处理后的信息,所述基于所述第一核验结果和所述可验证信息,确定所述验证结果,包括:基于本地存储的所述验证密钥,对所述可验证信息进行解密处理,得到所述目标用户的生物验证信息;基于所述目标用户的生物验证信息和预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第二核验结果;在所述第一核验结果满足第一预设验证条件且所述第二核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时还可以实现以下流程:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;将所述第一隐私数据读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
可选地,所述可验证信息为基于所述第二隐私数据对所述第一隐私数据进行全态加密或部分同态加密处理后生成的信息。
可选地,所述在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;基于所述第二隐私数据,对所述目标生物特征数据进行全态加密或部分同态加密,并将加密处理的结果确定为所述可验证信息。
可选地,所述在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息,包括:在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;基于所述第二隐私数据,对所述第二核验结果进行全态加密或部分同态加密,并将加密处理后的所述第二核验结果确定为所述可验证信息。
可选地,所述对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据,包括:基于预设隐私数据质量分确定算法,确定所述目标用户的第一隐私数据的质量分;在所述目标用户的第一隐私数据的质量分大于预设质量分阈值的情况下,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的所述目标生物特征数据。
所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时还可以实现以下流程:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应。
可选地,在所述接收终端设备发送的第一核验结果和可验证信息之前,还包括:获取并存储所述终端设备发送的所述目标用户的基准隐私数据;基于所述基准隐私数据,生成并存储针对所述目标用户的验证请求的第二隐私数据;将所述第二隐私数据发送给所述终端设备,以使所述终端设备在所述TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成所述可验证信息。
可选地,所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:获取所述第二隐私数据的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
可选地,所述可验证信息为基于所述第二隐私数据对所述目标用户的第一隐私数据进行全态加密或部分同态加密处理后的信息,所述基于所述第一核验结果和所述可验证信息,确定所述验证结果,包括:基于本地存储的所述第二隐私数据,对所述可验证信息进行解密处理,得到所述目标用户的第一隐私数据;基于所述目标用户的第一隐私数据和预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第二核验结果;在所述第一核验结果满足第一预设验证条件且所述第二核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
本说明书实施例提供一种计算机可读存储介质,由于服务端是通过第一核验结果和可验证信息这两个信息的双重验证,确定的验证结果,所以,可以提高验证的准确性。同时,由于可验证信息是在TEE的可信执行环境中生成的可验证信息,因而可以避免第三方将数据注入到TEE的可信执行环境中,即可以保证在TEE中生成可验证信息时的目标用户的第一隐私数据的真实性,提高验证的准确性。此外,还可以在防止目标用户的个人信息泄露的情况下,通过服务端确定针对验证请求的验证结果,实现对个人信息的保护。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 425D、Atmel AT91SAM、Microchip PIC13F24K20 以及Silicone Labs C3051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书一个或多个实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书的实施例是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书一个或多个实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (27)

1.一种基于验证信息的验证方法,所述方法应用于设置有可信执行环境TEE的终端设备,所述方法包括:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;
基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;
将所述生物验证信息读入所述终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;
将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果;
接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
2.根据权利要求1所述的方法,所述可验证信息为基于所述验证密钥对所述生物验证信息进行加密处理后生成的信息。
3.根据权利要求1所述的方法,所述在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息,包括:
在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;
基于所述验证密钥,对所述目标生物特征数据进行加密处理,并将加密处理的结果确定为所述可验证信息。
4.根据权利要求1所述的方法,所述在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息,包括:
在所述TEE的可信执行环境中,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据;
基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;
基于所述验证密钥,对所述第二核验结果进行加密处理,并将加密处理后的所述第二核验结果确定为所述可验证信息。
5.根据权利要求3或4所述的方法,所述对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的目标生物特征数据,包括:
基于预设生物验证信息质量分确定算法,确定所述目标用户的生物验证信息的质量分;
在所述目标用户的生物验证信息的质量分大于预设质量分阈值的情况下,对所述生物验证信息进行特征提取,得到与所述生物验证信息对应的所述目标生物特征数据。
6.一种基于验证信息的验证方法,所述方法包括:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
基于所述第一核验结果和所述可验证信息,确定针对验证请求的验证结果;
将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果。
7.根据权利要求6所述的方法,在所述接收终端设备发送的第一核验结果和可验证信息之前,还包括:
获取并存储所述终端设备发送的所述目标用户的基准生物验证信息;
基于所述基准生物验证信息,生成并存储针对所述目标用户的验证密钥;
将所述验证密钥发送给所述终端设备,以使所述终端设备在所述TEE的可信执行环境中,基于所述目标用户的生物验证信息和所述验证密钥,生成所述可验证信息。
8.根据权利要求7所述的方法,所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
获取所述验证密钥的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;
在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
9.根据权利要求8所述的方法,所述可验证信息为基于所述验证密钥对所述目标用户的生物验证信息进行加密处理后的信息,所述基于所述第一核验结果和所述可验证信息,确定所述验证结果,包括:
基于本地存储的所述验证密钥,对所述可验证信息进行解密处理,得到所述目标用户的生物验证信息;
基于所述目标用户的生物验证信息和预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第三核验结果;
在所述第一核验结果满足第一预设验证条件且所述第三核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
10.一种基于验证信息的验证装置,所述装置设置有可信执行环境TEE,所述装置包括:
接收模块,用于接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;
结果确定模块,用于基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;
信息生成模块,用于将所述生物验证信息读入所述装置的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;
发送模块,用于将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果;
结果接收模块,用于接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
11.一种基于验证信息的验证装置,所述装置包括:
信息接收模块,用于接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
结果确定模块,用于基于所述第一核验结果和所述可验证信息,确定针对验证请求的验证结果;
结果发送模块,用于将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述结果确定模块,用于根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果。
12.一种基于验证信息的验证设备,所述设备设置有可信执行环境TEE,所述基于验证信息的验证设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;
基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;
将所述生物验证信息读入所述基于验证信息的验证设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;
将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果;
接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
13.一种基于验证信息的验证设备,所述基于验证信息的验证设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
基于所述第一核验结果和所述可验证信息,确定针对验证请求的验证结果;
将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果。
14.一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的生物验证信息;
基于所述生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定针对所述生物验证信息的第一核验结果;
将所述生物验证信息读入终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述生物验证信息和服务端下发的验证密钥,生成可验证信息;
将所述第一核验结果和所述可验证信息发送给所述服务端,以使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果;
接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
15.一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的生物验证信息与预先存储的所述目标用户的基准生物验证信息,确定的针对所述生物验证信息的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的生物验证信息和本地下发的验证密钥生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
基于所述第一核验结果和所述可验证信息,确定针对验证请求的验证结果;
将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准生物验证信息和所述可验证信息,确定的针对所述生物验证信息的核验结果。
16.一种基于隐私数据的验证方法,所述方法应用于设置有可信执行环境TEE的终端设备,所述方法包括:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;
基于所述隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述隐私数据的第一核验结果;
将所述第一隐私数据读入所述终端设备的TEE中,在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;
将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果;
接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
17.根据权利要求16所述的方法,所述在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息,包括:
在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;
通过所述第二隐私数据,对所述目标生物特征数据进行全态加密或部分同态加密,并将加密处理的结果确定为所述可验证信息。
18.根据权利要求16所述的方法,所述在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息,包括:
在所述TEE的可信执行环境中,对所述第一隐私数据进行特征提取,得到与所述第一隐私数据对应的目标生物特征数据;
基于所述目标生物特征数据与预先存储的基准生物特征数据,确定针对所述目标生物特征数据的第二核验结果;
通过所述第二隐私数据,对所述第二核验结果进行全态加密或部分同态加密,并将加密处理后的所述第二核验结果确定为所述可验证信息。
19.一种基于隐私数据的验证方法,所述方法包括:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;
将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果。
20.根据权利要求19所述的方法,所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
获取所述第二隐私数据的预设有效时段,以及所述第一核验结果和所述可验证信息的接收时间;
在所述接收时间未超出所述预设有效时段的情况下,基于所述第一核验结果和所述可验证信息,确定所述验证结果。
21.根据权利要求20所述的方法,所述可验证信息为基于所述第二隐私数据对所述目标用户的第一隐私数据进行全态加密或部分同态加密处理后的信息,所述基于所述第一核验结果和所述可验证信息,确定所述验证结果,包括:
基于本地存储的所述第二隐私数据,对所述可验证信息进行解密处理,得到所述目标用户的第一隐私数据;
基于所述目标用户的第一隐私数据和预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第三核验结果;
在所述第一核验结果满足第一预设验证条件且所述第三核验结果满足第二预设验证条件的情况下,确定所述验证请求的验证结果为验证通过。
22.一种基于隐私数据的验证装置,所述装置设置有可信执行环境TEE,所述装置包括:
接收模块,用于接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;
结果确定模块,用于基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;
信息生成模块,用于将所述第一隐私数据读入终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;
发送模块,用于将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果;
结果接收模块,用于接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
23.一种基于隐私数据的验证装置,所述装置包括:
信息接收模块,用于接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
结果确定模块,用于基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;
结果发送模块,用于将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述结果确定模块,用于根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果。
24.一种基于隐私数据的验证设备,所述设备设置有可信执行环境TEE,所述基于隐私数据的验证设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;
基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;
将所述第一隐私数据读入终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;
将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果;
接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
25.一种基于隐私数据的验证设备,所述基于隐私数据的验证设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;
将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果。
26.一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收目标用户针对目标业务的验证请求,并获取所述目标用户输入的用于进行生物特征验证的第一隐私数据;
基于所述第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定针对所述第一隐私数据的第一核验结果;
将所述第一隐私数据读入终端设备的TEE中,并在所述TEE的可信执行环境中,基于所述第一隐私数据,并通过服务端下发的针对所述验证请求的第二隐私数据进行全态加密或部分同态加密,生成可验证信息;
将所述第一核验结果和所述可验证信息发送给所述服务端,使所述服务端根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为所述服务端基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果;
接收所述服务端发送的针对所述验证请求的验证结果,以基于针对所述验证请求的验证结果,对所述验证请求进行响应。
27.一种存储介质,所述存储介质用于存储计算机可执行指令,所述可执行指令在被执行时实现以下流程:
接收终端设备发送的第一核验结果和可验证信息,所述第一核验结果为所述终端设备基于目标用户输入的用于进行生物特征验证的第一隐私数据与预先存储的所述目标用户的基准隐私数据,确定的针对所述第一隐私数据的核验结果,所述可验证信息为所述终端设备在TEE的可信执行环境中,基于所述目标用户的第一隐私数据,并通过本地下发的针对验证请求的第二隐私数据进行全态加密或部分同态加密生成的信息,所述终端设备为设置有可信执行环境TEE的终端设备;
基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果;
将所述验证结果发送给所述终端设备,以使所述终端设备基于针对所述验证请求的所述验证结果,对所述验证请求进行响应;
所述基于所述第一核验结果和所述可验证信息,确定针对所述验证请求的验证结果,包括:
根据所述第一核验结果是否满足第一预设验证条件,以及第三核验结果是否满足第二预设验证条件,确定针对所述验证请求的验证结果,所述第三核验结果为基于预先存储的所述目标用户的基准隐私数据和所述可验证信息,确定的针对生物验证信息的核验结果。
CN202010816510.1A 2020-08-14 2020-08-14 基于验证信息、基于隐私数据的验证方法、装置及设备 Active CN111917799B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010816510.1A CN111917799B (zh) 2020-08-14 2020-08-14 基于验证信息、基于隐私数据的验证方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010816510.1A CN111917799B (zh) 2020-08-14 2020-08-14 基于验证信息、基于隐私数据的验证方法、装置及设备

Publications (2)

Publication Number Publication Date
CN111917799A CN111917799A (zh) 2020-11-10
CN111917799B true CN111917799B (zh) 2022-07-22

Family

ID=73283161

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010816510.1A Active CN111917799B (zh) 2020-08-14 2020-08-14 基于验证信息、基于隐私数据的验证方法、装置及设备

Country Status (1)

Country Link
CN (1) CN111917799B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738030B (zh) * 2020-12-16 2021-09-14 重庆扬成大数据科技有限公司 通过大数据分析农业技术人员的数据采集分享工作方法
CN112953893B (zh) * 2021-01-26 2022-07-08 支付宝(杭州)信息技术有限公司 基于隐私保护的身份验证方法、装置、设备及系统
CN112836238B (zh) * 2021-02-18 2023-10-27 支付宝(杭州)信息技术有限公司 基于隐私保护的验证方法、装置、设备及系统
CN113239853B (zh) * 2021-05-27 2022-12-06 支付宝(杭州)信息技术有限公司 一种基于隐私保护的生物识别方法、装置及设备
CN113807856B (zh) * 2021-09-17 2024-07-09 支付宝(杭州)信息技术有限公司 一种资源转移方法、装置及设备
CN114297631A (zh) * 2021-12-31 2022-04-08 展讯通信(上海)有限公司 图像隐私保护方法及装置
CN115834074B (zh) * 2022-10-18 2023-07-21 支付宝(杭州)信息技术有限公司 一种身份认证方法、装置及设备
CN115733616B (zh) * 2022-10-31 2023-06-09 支付宝(杭州)信息技术有限公司 一种生物特征认证方法和系统
CN115733617B (zh) * 2022-10-31 2024-01-23 支付宝(杭州)信息技术有限公司 一种生物特征认证方法和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105704123B (zh) * 2016-01-08 2017-09-15 腾讯科技(深圳)有限公司 一种进行业务处理的方法、装置和系统
CN107733636B (zh) * 2016-08-11 2021-03-02 中国电信股份有限公司 认证方法以及认证系统
CN107819587B (zh) * 2017-12-13 2020-08-11 陈智罡 基于全同态加密的认证方法和用户设备以及认证服务器
US11308188B2 (en) * 2017-12-29 2022-04-19 KeyLemon S.A Method used in a mobile equipment with a trusted execution environment for authenticating a user based on his face
CN110235140A (zh) * 2019-04-29 2019-09-13 深圳市汇顶科技股份有限公司 生物特征识别方法以及电子设备

Also Published As

Publication number Publication date
CN111917799A (zh) 2020-11-10

Similar Documents

Publication Publication Date Title
CN111917799B (zh) 基于验证信息、基于隐私数据的验证方法、装置及设备
CN107743133B (zh) 移动终端及其基于可信安全环境的访问控制方法和系统
CN111680305B (zh) 一种基于区块链的数据处理方法、装置及设备
US20170264599A1 (en) Systems and methods for securely managing biometric data
CN110222531B (zh) 一种访问数据库的方法、系统及设备
CN110445617B (zh) 一种基于区块链的车辆停靠图像存储方法、装置及系统
JP4876169B2 (ja) データを安全に記憶するための方法、システム、およびコンピュータ・プログラム
US11626976B2 (en) Information processing system, information processing device, information processing method and information processing program
CN111401901B (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
CN112714117A (zh) 业务处理方法、装置、设备及系统
CN113239853B (zh) 一种基于隐私保护的生物识别方法、装置及设备
CN113704826A (zh) 一种基于隐私保护的业务风险检测方法、装置及设备
CN112199661A (zh) 一种基于隐私保护的设备身份处理方法、装置及设备
US11288381B2 (en) Calculation device, calculation method, calculation program and calculation system
CN112101954A (zh) 基于隐私数据、基于设备信息的跨境业务处理方法和装置
CN114817984A (zh) 数据处理方法、装置、系统及设备
CN109302442B (zh) 一种数据存储证明方法及相关设备
KR20150100602A (ko) 데이터 저장 및 판독 방법, 장치, 및 기기
KR20140043836A (ko) 지문 정보를 이용하는 통신 시스템 및 이러한 통신 시스템의 사용법
KR101326243B1 (ko) 사용자 인증 방법
CN115941336A (zh) 数据的处理方法、装置及设备
CN112836238B (zh) 基于隐私保护的验证方法、装置、设备及系统
CN115640589A (zh) 一种安全保护设备以及业务执行方法、装置及存储介质
CN111046440B (zh) 一种安全区域内容的篡改验证方法及系统
CN113807856A (zh) 一种资源转移方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40040425

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant