CN112020716A - 远程生物特征识别 - Google Patents
远程生物特征识别 Download PDFInfo
- Publication number
- CN112020716A CN112020716A CN201980027744.3A CN201980027744A CN112020716A CN 112020716 A CN112020716 A CN 112020716A CN 201980027744 A CN201980027744 A CN 201980027744A CN 112020716 A CN112020716 A CN 112020716A
- Authority
- CN
- China
- Prior art keywords
- authentication
- biometric
- biometric authentication
- secure
- secure element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种对装置进行操作以执行生物特征认证的方法,所述装置包括生物特征认证单元和安全元件,所述方法包括:在装置的生物特征认证单元与安全元件之间建立第一安全连接;使生物特征认证单元从装置的用户获得生物特征数据并且认证所述生物特征数据;通过第一安全连接将来自生物特征认证单元的包含认证的结果的消息发送到安全元件;通过第二安全连接将认证的结果从安全元件发送到远程实体。
Description
技术领域
本发明涉及一种用于使用生物特征数据执行安全认证方法的技术。
背景技术
生物特征认证被称为安全认证方法。传感器收集生物特征数据、例如指纹或视网膜的扫描。捕获用户面部的照片的相机也可以被视为这样的传感器。捕获的数据被传输到控制器芯片。控制器利用原始数据执行测量,并且识别原始数据内的特性特征。这些特性特征被存储。每次用户经由生物特征传感器(例如,指纹传感器)对其自身进行认证时,原始生物特征数据从传感器传输到控制器。控制器执行测量并且将特性特征与存储的特征进行比较。如果存在匹配,则用户在该本地系统、例如智能手机内被认证。
本地生物特征认证不可用于从外部服务器、例如在线银行网络服务器对用户远程认证。生物特征认证可以在本地执行而不远程执行。
如果特性生物特征存储在装置的外部的远程位置,则可以进行远程生物特征认证。生物特征数据是敏感的个人数据。任何其他凭证在它们被盗或被泄露后都可以被更改,但是用户无法更改其生物特征特性、例如指纹。
US2004/0129787A1描述了一种高安全性识别卡,其包括用于存储的生物特征数据的板上存储器和用于捕获实时生物特征数据的板上传感器。卡上的板上处理器执行匹配操作,以验证捕获的生物特征数据是否与本地存储的生物特征数据匹配。仅如果存在肯定的匹配的话,任何数据才从卡传输,以用于另外的验证和/或进一步处理。
WO2011/091313A1描述了一种用于受信身份管理的技术,其中,生物特征认证功能成功向受信视觉令牌TVT(trusted visual token)发出信号,所述受信视觉令牌TVT是UE的可信实体、例如UICC。可以与移动网络运营商通信的UE的受信票务服务器具有到UICC的安全信道。没有迹象表明生物特征认证功能与TVT之间需要安全连接。
US2016/0344559A1描述了一种这样的布置方式:在所述布置方式中,一个UE与网络实体之间的安全信道用于在第二UE与网络实体之间建立另一安全信道。US2014/0289833A1描述了一种用于执行认证的技术,其包括生物特征传感器,并且装置的认证状态被提供给依赖方。
已知的现有技术借助于受信的安全元件克服了这些缺点。该安全元件执行生物特征认证,并且生成通过安全信道发送的确认消息。借此,本地执行的认证可以远程地用作安全认证。然而,该方法具有新的缺点。传感器和受信的安全元件必须构建这样的系统:在所述系统中,不同组件(很可能来自不同制造商)不如在具有协调组件的专用设计系统中那样平衡和优化。并非每个传感器都将与受信的安全元件一起工作。传感器和控制器可能构建为不可分开的系统。如果传感器直接且专有地连接到受信的安全元件,则传感器不可用于其他目的(例如,解锁移动装置)。如果传感器不专有地与受信的安全元件连接,则敏感的生物特征数据会被拦截。传感器可能是用于其他目的的元件、例如可用于语音识别而也可用于电话呼叫的麦克风。
此外,由于缺少传感器与控制器之间的安全连接,并且由于大多数独立的外部认证装置包括传感器-控制器组合而因此无法将原始生物特征数据导出到单独的控制器,因此无法在上述现有技术方案中使用外部生物特征装置、例如蓝牙指纹扫描仪。
发明内容
本发明提供一种对装置进行操作以执行生物特征认证的方法,所述装置包括生物特征认证单元和安全元件,所述方法包括:在装置的生物特征认证单元与安全元件之间建立第一安全连接;使生物特征认证单元从装置的用户获得生物特征数据并且认证所述生物特征数据;通过第一安全连接将来自生物特征认证单元的包含认证的结果的消息发送到安全元件;通过第二安全连接将认证的结果从安全元件发送到远程实体。
本发明可以用于在被证明的生物特征认证装置与安全元件之间建立安全连接,以执行安全的远程生物特征认证。安全连接可以通过对称加密技术建立:如果生物特征装置通过了证明过程,则共享秘密(例如,256位AES密钥)被注入到控制器和受信的安全元件(例如,通用集成电路卡、UICC(Universal Integrated Circuit Card))中,以在控制器与安全元件之间建立加密连接。另一个方式是使安全连接基于非对称加密技术。如果生物特征认证装置通过了证明过程,则证书(被认证授权所签名)被生成并存储在装置中。装置可以将证书呈现给受信的安全元件(例如,UICC),安全元件能够利用认证授权的公共密钥来验证证书,并且能够使用生物特征装置的公共密钥来共享用于对称安全连接的会话密钥或者来验证通过认证装置生成的签名消息。
远程实体(例如,移动电话网络运营商)能够通过经由预建立的到安全元件的安全连接(预共享秘密)向受信的安全元件发送“用户认证”消息来触发用户的远程生物特征认证。安全元件建立与生物特征认证装置的安全连接,并且直接或经由主机装置(例如,智能手机)的操作系统来触发用户认证。生物特征认证装置执行认证,并且经由安全连接将认证的结果直接发送到安全元件,或者利用结果对消息进行数字签名并且经由主机装置的操作系统将消息发送到安全元件。安全元件将结果转发到远程实体。
附图说明
现在将参考附图仅以示例的方式描述本发明的优选实施例,在附图中:
图1是用于使用对称加密的认证过程的消息流;
图2是用于使用非对称加密的认证过程的消息流;
图3示出了认证过程中涉及的组件的示意性表示;
图4是使用智能手机执行认证的示意性表示。
具体实施方式
图4示出了本发明的其中智能手机30用于生物特征认证的示意性表示。智能手机包括生物特征传感器,在这种情况下包括指纹传感器32。被插入或编程到智能手机中的是形成安全元件的SIM卡34。智能手机与基站36通信,因此与远程服务器38通信。
对称加密技术在图1中示出,非对称加密技术在图2中示出。
图1示出了这样的方案的消息流:在所述方案中,安全元件和生物特征认证装置的控制器经由对称加密的连接和/或完整性保护的连接直接通信。
这种方案的前提条件是远程服务器与安全元件之间的安全连接。远程服务器的运营商证明了生物特征认证装置,共享秘密(例如,256位AES密钥)存储在安全元件和认证装置的控制器中。
图1示出了如下的八个消息:
消息1:MSG1装置注册:该消息在安全元件与认证装置的控制器之间建立安全连接。其可包含用于标识应该用于该连接的共享秘密的密钥ID。其还可能包含防止重放攻击的质询(例如,随机数)。
消息2:MSG2 Auth RES:该消息是对MSG1的响应并且正使用共享秘密。其可能包含对MSG1的质询的响应。
消息3:MSG3权能消息:该消息用于通知远程服务器关于兼容的认证装置的存在及其权能。
消息4:MSG4触发器:该消息触发用户的生物特征认证。
消息5:MSG5触发器:安全元件将MSG4转发到控制器。可能必须执行两个不同协议之间的转换。
消息6:控制器与传感器之间的原始数据通信。
消息7:MSG6结果:该消息包含生物特征认证的结果。
消息8:MSG7结果:认证的结果使用对称安全连接被转发到远程服务器。可能必须执行两个不同协议之间的转换。
图2示出了这样的方案的消息流:在所述方案中,安全元件和生物特征认证装置的控制器经由主机装置(例如,智能手机)的操作系统进行通信。操作系统可以提供标准化的应用编程接口(API:application programming interface),以允许安全元件与认证装置的控制器通信。连接利用非对称加密技术被保护。
该方案的前提条件是远程服务器与安全元件之间的安全连接。远程服务器的运营商证明了生物特征认证装置,并且证书被存储在控制器中。证书被受远程服务器的运营商所信任的证书授权签名。证书包含密钥对(公共密钥和私有密钥)中的公共密钥。
图2示出了如下的十三个消息和步骤:
消息11:MSG11装置注册:该消息经由操作系统在安全元件与认证装置的控制器之间建立安全连接。
消息12:MSG12装置注册:操作系统将MSG11转发到认证装置的控制器。可能必须执行两个不同协议之间的转换。
消息13:MSG13 Auth RES:该消息是对MSG12的响应,并且包含认证装置的证书。
消息14:MSG14 Auth RES:操作系统将MSG13转发到安全元件。可能必须执行两个不同协议之间的转换。
消息15:MSG15权能消息:该消息通知远程服务器关于兼容的认证装置的存在及其权能。
消息16:MSG16触发器:该消息触发用户的生物特征认证。
消息17:MSG17触发器:安全元件将MSG16转发到操作系统。可能必须执行两个不同协议之间的转换。
消息18:MSG18触发器:操作系统将MSG17转发到认证装置的控制器。可能必须执行两个不同协议之间的转换。
消息19:控制器与传感器之间的原始数据通信。
消息20:MSG19结果:该消息包含生物特征认证的结果。该结果利用认证装置的私有密钥签名。
消息21:MSG20结果:操作系统将MSG19转发到安全元件。可能必须执行两个不同协议之间的转换。
步骤22:安全元件使用认证装置的公共密钥来验证认证的结果的数字签名。该公共密钥从证书中提取。
消息23:MSG21结果:认证的结果使用对称安全连接被转发到远程服务器。可能必须执行两个不同协议之间的转换。如果无法验证结果的数字签名或完整性保护在另一方面失败,则MSG21包含相应的错误代码。
有益的是在终端的认证的用户与运营商的SIM卡中的订阅之间建立稳定的关联性。为了防止除订户之外的其他用户在用户与订户之间建立认证,可能需要订阅的PIN或PUK。运营商也可以授权绑定。运营商可能想要订户亲自到本地商店或受信的服务点来验证自己是否为订户。为了订户的方便,运营商也可以提供基于网络的服务,在所述服务中,执行绑定的过程并且通过无线方式对绑定的过程远程授权。
一旦装置的主要用户与SIM中的订阅之间的关联性被建立,则生物特征认证可以使用服务热线用于解锁SIM或用于另外的运营商服务、例如多SIM激活,可以用于订购新的智能手机或扩展合同。由于在运营商的数据库中存储订户的个人数据,因此运营商也知道订阅背后的人以及装置的主要用户。
对于用户,可以启用新功能,从而显著提高用户便利性。例如,可以启用生物特征SIM激活、即无需输入PIN,以及可以启用用于服务呼叫的生物特征认证、即无需记住密码或交换个人信息。
现在将详细描述非对称方案的一个可行的实施例。即使在非对称方案中,安全元件与远程服务器之间的安全连接也很可能是对称的。这是因为对称加密技术不很复杂、速度较快并且是防量子计算机的。由于高性能量子计算机的未来发展导致不对称加密技术将来可能会被破坏的问题也是为什么不应直接从传感器/控制器不对称地安全连接到远程服务器的原因。另一方面,具有适当密钥长度的对称加密技术被假定为能够抵抗量子计算机的解密。
下面描述该方案的前提条件的一个实施例。运营商将SIM卡部署到其所有订户。每个SIM卡和运营商网络的数据库共享256位对称长期密钥。该长期密钥K用于在网络元件与SIM卡之间建立安全连接。该实施例中的SIM卡是安全元件。运营商建立了用于与安全元件进行安全通信的协议。该连接受机密性和完整性的保护。运营商分配第三方经由审核来证明智能手机供应商,以确保特定的智能手机型号实施了受信的指纹扫描仪。智能手机供应商生成非对称密钥对并且生成证书请求。请求被发送给运营商。利用肯定的证明,运营商将为该智能手机型号生成证书。证书和非对称密钥对存储在指纹扫描仪中。
下面描述本发明的远程生物特征认证的设置。订户将其SIM卡插入到其智能手机中。智能手机型号已被运营商证明,以能够进行远程生物特征认证。在插入的SIM卡的初始化过程期间,SIM卡产生MSG11,并且经由标准化的API将消息发送到操作系统。MSG11包含证书授权(CA:certificate authority)。智能手机的操作系统(例如,android或iOS)经由MSG12中的适当接口将MSG11的内容转发到智能手机中实施的指纹扫描仪的控制器。控制器验证存储的证书中的一者是否被MSG11中指示的CA签名。如果存在匹配,则相应的证书被附到MSG13,以发送到智能手机的操作系统。操作系统经由API将MSG14中的MSG13的内容(包括证书)转发到SIM卡。如果这些步骤中出现错误,则MSG14可包含错误代码。这样的错误的一个示例可能是“无可用证书”。SIM卡利用CA的预安装的公共密钥来验证证书。如果证书有效,则SIM卡能够在SIM卡与指纹扫描仪的控制器之间建立安全连接,并且能够验证来自指纹扫描仪的控制器的任何数字签名消息。为了建立安全连接,SIM卡可以为该连接生成对称会话密钥,并且利用控制器的公共密钥对其加密,将加密的密钥发送到控制器,控制器能够利用控制器的密钥对的私有密钥对会话密钥解密。控制器和SIM卡二者共享可以用于对这两个实体之间的消息进行加密或完整性保护的对称会话密钥。
如果归属运营商或经由归属运营商的第三方想要利用实施的指纹扫描仪对手机的用户进行认证,则运营商通过运营商网络与SIM卡之间的安全连接发送认证请求。归属运营商能够向第三方提供外部API。例如,银行可以经由归属运营商的这样的API请求在线银行客户的生物特征认证。运营商将请求转发到插入在智能手机中的SIM卡,并且也将响应转发回银行。在该实施例中,该请求作为二进制短消息经由OTA协议(通过开放的移动联盟所指定)发送。有益的是,该请求包含作为防止重放攻击的保护的随机数(用作一次性密码的随机数字)或时间戳。SIM卡将请求转换为相应的API认证请求,并且如果可用的话,对所述相应的API认证请求添加随机数。操作系统将请求转发到指纹扫描仪的控制器,并且提示用户利用其存储的指纹对自己进行认证。用户将手指放在指纹扫描仪上。传感器扫描指纹并且将生物特征数据转发到控制器。控制器将指纹的特性特征与安全存储的数据进行比较。如果指纹与任何存储的数据匹配,则控制器产生对认证请求的响应,将来自请求的随机数或时间戳添加到响应中,并且利用自己的密钥对的私有密钥对完整的响应进行数字签名。该响应经由手机的操作系统发送到SIM卡。SIM卡利用指纹扫描仪的控制器的公共密钥验证数字签名。消息可以选择性地加密,或者经由控制器与SIM卡之间的加密连接发送。另一方面,响应中不存在敏感信息。重要的是,响应不被攻击者更改,并且其不是先前响应的重放。包括随机数或时间戳记以及完整性保护缓解了这些威胁。敏感的生物特征用户数据不会在任何时候离开指纹扫描仪。如果签名有效,则SIM卡经由OTA将响应转发给运营商,运营商经由其API转发给提出请求的第三方。移动运营商可以向银行收取该新服务的费用。
在另一个示例中,第三方服务提供者请求远程生物特征认证,以用于对基于网络的服务进行双因素认证。
社交媒体网络可以为其用户提供安全的双因素生物特征认证。注册的用户可以开启双因素认证并且将其电话号码(MSISDN)添加到其个人资料中。电话号码可以通过将短消息中的代码发送到电话号码来验证一次,并且通过输入发送的代码从用户请求电话号码的验证。一旦正确的电话号码存储在社交媒体网络中的用户个人资料中,则每次用户利用用户名和密码登录该服务时,作为第三方服务的社交媒体网络会向用户的移动电话运营商发送认证请求、例如通过使用该运营商的API来发送。运营商将生物特征认证请求发送到安全元件(例如,通过隐藏的短消息或通过与UICC的任何其他OTA通信来发送)。安全元件将用于订户认证的请求发送到终端的安全认证控制器。控制器执行生物特征认证。在此过程中,提示终端的用户将自己认证为订户。在此提示中,应向用户显示请求者和该认证过程的原因(例如,从<时间戳>处的<地理位置>登录到<社交媒体网络>)。
在执行认证过程后,控制器将数字签名的消息中的认证结果发送到安全元件。安全元件使用存储的运营商公共密钥来验证签名,并且经由安全信道将具有相同结果的新消息发送到运营商的网络。运营商将认证过程的结果发送回第三方服务提供者(例如,使用与用于该请求相同的API)。由于用户的生物特征认证,即使终端已被盗或正被除订户之外的其他用户使用,该经运营商认证的双因素认证也是安全的。
本发明可以如下概括:
如图3中所示,提供经由两个级联安全连接的远程生物特征认证方法:经由对称加密技术(共享密钥)的位于安全元件与安全元件的利益相关者之间、例如SIM卡与归属运营商之间的第一安全连接24;经由对称加密技术或非对称加密技术的位于生物特征认证装置(例如,指纹扫描仪)的控制器与具有远程利益相关者的安全元件、例如SIM卡之间的第二安全连接25。
另一方案将是具有集成的受信平台模块TPM(trusted platform module)和指纹扫描仪的笔记本电脑。雇用公司可以是员工的笔记本电脑中的TPM的利益相关者,并且可能希望在建立到公司网络的VPN之前对员工执行远程生物特征认证。因此,本发明不限于归属运营商和SIM卡的情况。
本发明使移动网络的归属运营商能够经由API向第三方提供新的“远程生物特征认证”服务。
本发明提供一种经由归属运营商和SIM卡之间的安全连接(例如,经由OMA OTA)的具有重放攻击保护的新颖的“远程生物特征认证请求”。
本发明使智能手机供应商能够提供操作系统范围的API来触发生物特征认证。
运营商可以向订户提供生物特征认证,以解锁SIM卡、激活新的多个SIM卡、在对技术服务的呼叫中对自己进行认证、购买新电话或延长移动电话合同。
本发明提供一种这样的方法:所述方法包括敏感的生物特征用户数据的安全存储、认证响应的完整性保护和重放攻击保护、运营商与智能手机之间经由SIM卡的防未来的对称加密技术。
本发明提供以下优点。
对于所有涉及的利益相关者,相比于基于应用的解决方案,远程生物特征认证服务具有多个优点。
对于移动电话网络运营商,主要优点在于使它们能够限定对硬件和软件实施的要求。对于包括一个或两个以上生物特征传感器(例如,指纹传感器、面部识别、语音识别、虹膜扫描仪等)以及操作传感器并安全存储和处理生物特征相关的数据的安全控制器的生物特征认证实施方案,运营商可以要求一定的特定保证等级。为了参与运营商的远程生物特征认证服务,每个移动装置制造商需要运营商对实施的生物特征认证控制器的证书进行数字签名。签名可以在任何时候被撤消。因此,移动运营商具有对允许什么实施方案参与该服务的完全控制。运营商能够确保仅受信的实施方案为其服务的一部分。此外,运营商可以将生物特征认证绑定到订阅或绑定到订阅背后的自然人。运营商拥有的UICC精确绑定到一个订阅。因此,本地用户认证可以绑定到订户、例如经由SIM认证(PIN/PUK)绑定到订户。尽管为了用户的利益,不将除了其自己的生物特征用户认证之外的生物特征用户认证绑定到SIM,但是运营商能够容易地监督绑定。运营商可以请求用户访问本地商店或受信的服务点,以在员工面前将用户认证绑定到订阅。此外,可以使用基于第三方网络的服务,以确保经由UICC在本地用户认证与远程订户认证之间正确绑定。用户认证已经是在以后的移动网络规范版本中的要求,并且还可能需要遵守本地法规要求。一旦被建立,则运营商可以将服务用于自己的目的,还可以向第三方服务提供者提供远程生物特征认证服务。
借助于本发明,第三方服务提供者、例如订户的在线银行服务可以订阅通过用户的运营商提供的远程生物特征认证服务。生物特征认证比用户名和密码更安全,对于用户更方便,并且绑定到订阅并因此最终绑定到订阅背后的人。服务可以提供足够的保证等级,并且第三方不必开发专用于其服务的应用。无需信任应用开发者。
使用本发明,用户能够使用方便且安全的生物特征认证。认证是个人用户装置的操作系统的本机部分。用户无需安装和依赖或多或少受信的第三方应用。无需在可能成为攻击者的目标的应用中存储敏感的安全凭证。此外,相比于基于应用的解决方案,对于用户而言,重要的优势是更好的用户体验。一旦生物特征用户认证绑定到作为个人的用户或绑定到订阅,则其可以在无需任何其他用户交互的情况下用于许多不同的服务,除了其是其个人装置的合法用户之外,不会透露有关其的任何个人信息。
Claims (8)
1.一种对装置进行操作以执行生物特征认证的方法,所述装置包括生物特征认证单元和安全元件,所述方法包括:
在装置的生物特征认证单元与安全元件之间建立第一安全连接;
使生物特征认证单元从装置的用户获得生物特征数据并且对所述生物特征数据进行认证;
通过第一安全连接将来自生物特征认证单元的包含认证的结果的消息发送到安全元件;
通过第二安全连接将认证的结果从安全元件发送到远程实体。
2.根据权利要求1所述的方法,其中,在认证过程之前,通过远程实体或代表远程实体向生物特征认证单元提供证明。
3.根据权利要求1或权利要求2所述的方法,其中,安全元件是通用集成电路卡、优选地是订户标识模块、SIM或通用订户标识模块。
4.根据前述权利要求中的任一项所述的方法,其中,在将认证的结果发送到远程实体之前,安全元件验证生物特征认证单元的证书。
5.根据前述权利要求中的任一项所述的方法,其中,使用对称加密提供第一安全连接。
6.根据权利要求1至4中的任一项所述的方法,其中,使用非对称加密提供第一安全连接。
7.根据前述权利要求中的任一项所述的方法,其中,响应于通过安全元件从外部源接收的请求,执行生物特征认证。
8.根据前述权利要求中的任一项所述的方法,其中,生物特征认证单元包括控制器和传感器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18169287 | 2018-04-25 | ||
| EP18169287.2 | 2018-04-25 | ||
| PCT/EP2019/060593 WO2019207032A1 (en) | 2018-04-25 | 2019-04-25 | Remote biometric identification |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112020716A true CN112020716A (zh) | 2020-12-01 |
Family
ID=62067406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980027744.3A Withdrawn CN112020716A (zh) | 2018-04-25 | 2019-04-25 | 远程生物特征识别 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20210256102A1 (zh) |
| EP (1) | EP3785153A1 (zh) |
| JP (1) | JP2021519966A (zh) |
| KR (1) | KR20210006329A (zh) |
| CN (1) | CN112020716A (zh) |
| WO (1) | WO2019207032A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI682301B (zh) * | 2018-11-19 | 2020-01-11 | 歐生全科技股份有限公司 | 多功能認證裝置與運作方法 |
| CN110414200B (zh) * | 2019-04-08 | 2021-07-23 | 广州腾讯科技有限公司 | 身份验证方法、装置、存储介质和计算机设备 |
| US12028717B2 (en) * | 2020-12-22 | 2024-07-02 | Samsung Electronics Co., Ltd. | Electronic device for providing digital ID information and method thereof |
| CN118251721A (zh) * | 2021-11-16 | 2024-06-25 | 谷歌有限责任公司 | 经由说话者标识验证的共享助手简档 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3943897B2 (ja) * | 2001-10-30 | 2007-07-11 | 株式会社東芝 | 本人確認システム及び装置 |
| CZ2005209A3 (cs) | 2002-09-10 | 2005-12-14 | Ivi Smart Technologies, Inc. | Bezpečné biometrické ověření identity |
| EP1632828A1 (en) * | 2004-09-02 | 2006-03-08 | Axalto SA | DRM system for device communicating with a portable device |
| JP3959441B2 (ja) * | 2005-12-28 | 2007-08-15 | クオリティ株式会社 | 管理システム,管理サーバおよび管理プログラム |
| WO2011091313A1 (en) | 2010-01-22 | 2011-07-28 | Interdigital Patent Holdings, Inc. | Method and apparatus for trusted federated identity management and data access authorization |
| US10165440B2 (en) * | 2012-01-17 | 2018-12-25 | Entrust, Inc. | Method and apparatus for remote portable wireless device authentication |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| CN112528258A (zh) * | 2015-02-11 | 2021-03-19 | 维萨国际服务协会 | 用于安全地管理生物计量数据的系统和方法 |
| US9882726B2 (en) | 2015-05-22 | 2018-01-30 | Motorola Solutions, Inc. | Method and apparatus for initial certificate enrollment in a wireless communication system |
| US20180089548A1 (en) * | 2016-09-23 | 2018-03-29 | Zwipe As | Method of Communication Between a Secure Element of a SmartCard and a Microprocessor Performing a Biometric Matching Algorithm |
-
2019
- 2019-04-25 WO PCT/EP2019/060593 patent/WO2019207032A1/en unknown
- 2019-04-25 EP EP19718749.5A patent/EP3785153A1/en not_active Withdrawn
- 2019-04-25 US US17/049,283 patent/US20210256102A1/en not_active Abandoned
- 2019-04-25 KR KR1020207027919A patent/KR20210006329A/ko not_active Application Discontinuation
- 2019-04-25 JP JP2020547067A patent/JP2021519966A/ja active Pending
- 2019-04-25 CN CN201980027744.3A patent/CN112020716A/zh not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| US20210256102A1 (en) | 2021-08-19 |
| KR20210006329A (ko) | 2021-01-18 |
| WO2019207032A1 (en) | 2019-10-31 |
| EP3785153A1 (en) | 2021-03-03 |
| JP2021519966A (ja) | 2021-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
| US11252142B2 (en) | Single sign on (SSO) using continuous authentication | |
| AU2006298507B2 (en) | Method and arrangement for secure autentication | |
| DK1348280T3 (en) | Approval data communications | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| EP2912815B1 (en) | Method and apparatus for securing a connection in a communications network | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| US20090222669A1 (en) | Method for controlling the location information for authentication of a mobile station | |
| CN112020716A (zh) | 远程生物特征识别 | |
| KR20120101523A (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| CN111512608A (zh) | 基于可信执行环境的认证协议 | |
| CN112543166B (zh) | 实名登录的方法及装置 | |
| US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| KR20110083886A (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| CN112640385A (zh) | 非3gpp设备对核心网络的接入 | |
| CN114208113A (zh) | 用于访问私钥的方法、第一设备、第一服务器、第二服务器和系统 | |
| KR20170070379A (ko) | 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템 | |
| US9648495B2 (en) | Method and device for transmitting a verification request to an identification module | |
| JP4372403B2 (ja) | 認証システム | |
| Nishimura et al. | Secure authentication key sharing between personal mobile devices based on owner identity | |
| WO2016030832A1 (en) | Method and system for mobile data and communication security | |
| US10701557B2 (en) | Authentication method for connecting a companion device when same is disconnected from a subscriber device | |
| KR101298216B1 (ko) | 복수 카테고리 인증 시스템 및 방법 | |
| Mumtaz et al. | Strong authentication protocol based on Java Crypto chips |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20201201 |