JP2018532301A - 本人認証方法及び装置 - Google Patents

本人認証方法及び装置 Download PDF

Info

Publication number
JP2018532301A
JP2018532301A JP2018510966A JP2018510966A JP2018532301A JP 2018532301 A JP2018532301 A JP 2018532301A JP 2018510966 A JP2018510966 A JP 2018510966A JP 2018510966 A JP2018510966 A JP 2018510966A JP 2018532301 A JP2018532301 A JP 2018532301A
Authority
JP
Japan
Prior art keywords
digital signature
information
signature certificate
biometric
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018510966A
Other languages
English (en)
Other versions
JP2018532301A5 (ja
Inventor
ジョン,ハオジエ
ヂャオ,シアンユー
ヂャン,シュリー
Original Assignee
アリババ グループ ホウルディング リミテッド
アリババ グループ ホウルディング リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アリババ グループ ホウルディング リミテッド, アリババ グループ ホウルディング リミテッド filed Critical アリババ グループ ホウルディング リミテッド
Publication of JP2018532301A publication Critical patent/JP2018532301A/ja
Publication of JP2018532301A5 publication Critical patent/JP2018532301A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

本願の実施例は本人認証方法及び装置に関する。当該方法は、端末デバイスによってサービス要求を受信し、前記サービス要求に従ってユーザの第1の生体認証情報を収集するステップと、前記第1の生体認証情報を、予め設定された生体認証情報と比較し、前記比較が前記第1の生体認証情報と前記予め設定された生体認証情報との一致を示す場合に、予め記憶されているデジタル署名証明プライベートキーを読み出すステップと、前記デジタル署名証明プライベートキーに従って前記サービス要求にデジタル署名し、生体情報検証メッセージを生成するステップと、前記生体情報検証メッセージをサーバへ送信することにより、前記サーバが、前記デジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキーを読み出し、前記デジタル署名証明パブリックキーに従って前記生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を前記端末デバイスへ戻すステップとを備える。これにより、ユーザによる決済操作の安全性と利便性を向上することができる。【選択図】図1

Description

本願はコンピュータ技術の分野に関し、詳しくは本人認証方法及び装置に関する。
従来技術においては、一般的に、ユーザが入力したパスワード(例えば6桁の数字列)を検証することによりユーザの身元を認証し、ユーザはこの身元認証後にサービスオペレーションを実行することができる。しかし、この場合、ユーザは普段からパスワードを憶えておかねばならないため、ユーザによる使用の利便性は大きく削がれてしまう。そのうえ、このパスワードは本質的に固定パスワードのままであるため、パスワードが盗難に遭った場合、盗難後のユーザの資産の安全に重大な脅威を引き起こすことがある。
本願の実施の形態は、ユーザが実行するサービスオペレーションの安全性と利便性を向上させることができる本人認証方法及び装置を提供する。
第1の態様に係る本人認証方法が提供される。当該方法は、端末デバイスによってサービス要求を受信し、前記サービス要求に従ってユーザの第1の生体認証情報を収集するステップと、前記第1の生体認証情報を、予め設定された生体認証情報と比較し、前記比較が前記第1の生体認証情報と前記予め設定された生体認証情報との一致を示す場合に、予め記憶されているデジタル署名証明プライベートキーを読み出すステップと、前記デジタル署名証明プライベートキーに従って前記サービス要求にデジタル署名し、生体情報検証メッセージを生成するステップと、前記生体情報検証メッセージをサーバへ送信することにより、前記サーバが、前記デジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキーを読み出し、前記デジタル署名証明パブリックキーに従って前記生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を前記端末デバイスへ戻すステップとを備える。
第2の態様に係る本人認証装置が提供される。当該装置は、収集ユニット、読み出しユニット、生成ユニット、及び送信ユニットを備え、前記収集ユニットは、サービス要求を受信し、前記サービス要求に従って、ユーザの第1の生体認証情報を収集するように構成され、前記読み出しユニットは、前記収集ユニットが収集した前記第1の生態認証情報を予め設定された生体認証情報と比較し、前記比較が前記第1の生体認証情報と前記予め設定された生体認証情報との一致を示す場合に、予め記憶されているデジタル署名証明プライベートキーを読み出すように構成され、前記生成ユニットは、前記読み出しユニットが読み出した前記デジタル署名証明プライベートキーに従って、前記サービス要求にデジタル署名し、生体情報検証メッセージを生成するように構成され、前記送信ユニットは、前記生成ユニットが生成した前記生体情報検証メッセージをサーバへ送信し、これにより、前記サーバが、前記デジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキー読み出し、そして前記デジタル署名証明パブリックキーに従って前記生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を端末デバイスへ戻すように構成される。
本願が提供する本人認証方法及び装置によれば、収集された生体認証情報を、予め設定された生体認証情報と比較することにより、両者の一致が判明すると、端末デバイスは、予め記憶されているデジタル署名証明プライベートキーを用いて署名された生体情報検証メッセージをサーバへ送信し、続いてサーバが、予め記憶されているデジタル署名証明パブリックキーに従って生体情報検証メッセージの検証及び署名を行うことで、ユーザの身元検証が達成される。これにより、ユーザが実行するサービス操作の安全性と利便性を向上させることができる。
本願の実施の形態による本人認証方法のフローチャートである。 本願の別の実施の形態による本人認証方法の情報のやり取りの概略図である。 本願の更に別の実施の形態による本人認証装置の概略図である。
本願の実施の形態の目的、技術的解決策、及び利点をもっと明瞭にするために、添付の図面を参照しながら、本願の実施の形態における技術的解決策を明瞭且つ完全に以下説明する。ここに記載する実施の形態は、明らかに本願の全ての実施の形態ではなく、そのうちのいくつかである。当業者が、創造的な努力をともなうことなく本願の実施の形態に基づいて得たその他の実施の形態は、全て本願の保護範囲に属する。
本願の実施の形態を理解し易くすることを目的に、特定の実施の形態を添付の図面を併用して以下説明するが、これらの実施の形態は本願の実施の形態を限定するものではない。
本願の実施の形態で提供される本人認証方法及び装置は、サービスオペレーションを実行するユーザの身元を認証するシナリオに適用される。このシナリオは、例えば、決済システムを用いて決済操作を実行するユーザの身元を認証できるシナリオである。
本願の実施の形態では、決済工程におけるユーザの身元の認証を一実施例(例えば、サービス要求は決済要求である)として用い、その他のサービスオペレーションを実行するユーザの身元の認証方法も同様であることに注目されたい。そのため、本願では詳細について述べない。
決済システムは決済クライアントと決済サーバとを含む。決済クライアントには第1のセキュリティコンポーネントがパックされている。第1のセキュリティコンポーネントはセキュリティクライアントとも呼ばれる、又は「決済セキュリティチェックサービス」(すなわち「alipaySecモジュール」)と呼ばれ、デジタル署名アルゴリズム、セキュリティクライアントプライベートキー、セキュリティサーバパブリックキー、及び新たに生成されたデジタル署名証明プライベートキーを記憶するように構成される。端末デバイスが生体認証情報の識別をサポートしているか、生体認証情報が記録されているか、及び、ユーザが入力した生体認証情報が検証されたかどうか、並びに、情報及びアルゴリズムへの安全なアクセスをチェックするべく収集モジュールを呼び出すために、セキュリティクライアントはオペレーティングシステムを用いて端末デバイスの収集モジュール(例えば、指紋センサ)と直接通信しても良く、又は、端末デバイス提供者によって提供された信頼された実行環境と直接通信しても良い。
加えて、決済サーバには第2のセキュリティコンポーネントもパックされている。第2のセキュリティコンポーネントはセキュリティサーバ又は「生体コア」(すなわち「bic system」)とも呼ばれ、認証チャレンジ情報を生成するように構成され、更に、デジタル署名アルゴリズム、セキュリティクライアントパブリックキー、セキュリティサーバプライベートキー、ポエダー(poeder)システムにて書かれた生体認証情報の登録合意書(例えば、指紋の登録合意書)、及び新たに生成されたデジタル署名証明パブリックキーを記憶するように構成される。セキュリティサーバはセキュリティクライアントに対応する。
本願にて提供される端末デバイスには、限定されないが、モバイルフォン、モバイルコンピュータ、タブレットコンピュータ、パーソナルデジタルアシスタント(PDA)、メディアプレーヤ、スマートテレビ、スマートウォッチ、スマートグラス、スマートリストバンド等が含まれる。端末デバイス上のオペレーティングシステムは、IOSシステム、Androidシステム、又はその他のシステムであってよい。加えて、本願の端末デバイスには決済クライアントがインストールされており、更に、収集モジュールを実装している。収集モジュールは、具体的には、オペレーティングシステムに配設されたハードウェアデバイスであってよく、又、指紋センサ、カメラ、マイクロフォン等であってよい。
図1は、本願の実施の形態による本人認証方法のフローチャートである。この方法は、処理機能を有するデバイス、すなわちサーバ、又はシステム、又は装置により実行されてもよい。図1に示すように、この方法は具体的に以下を含む。
ステップ110。端末デバイスがサービス要求を受信し、このサービス要求に従ってユーザの第1の生体認証情報を収集する。
つまり、端末デバイスの決済クライアントがサービス要求を受信し、セキュリティクライアントを用いて第1の収集命令を収集モジュールへ送信することで、収集モジュールがユーザの第1の生体認証情報を収集し、セキュリティクライアントへ戻すことができるようになる。
サービス要求は決済要求であることが好ましい。実施において、決済要求は、ユーザが決済クライアントの「決済(Pay)」ボタンをクリックすることでトリガされてよい。
ここで述べる生体認証情報とは、指紋情報、顔画像情報、及び音声情報のうち1つ以上を含む。本明細書では、指紋情報を生体認証情報として用いて説明する。予め設定された生体認証情報は、端末デバイスの収集モジュールによって事前に収集され、ユーザを一意に識別できる情報であってよい。例えば、予め設定された生体認証情報が、予め設定された指紋情報である場合、端末デバイスは、指紋センサを用いて事前にユーザの指紋情報を収集し、この収集した指紋情報を、予め設定した指紋情報としてローカルに記憶する。ここで述べる予め設定した指紋情報は、収集した実際の指紋情報を、予め設定されたアルゴリズムに従い対応して計算することで得られることが分かるであろう。例えば、指紋センサは10本の指の指紋情報を事前に収集し、次に、10本の指の指紋情報の平均値を計算し、最終的に予め設定された指紋情報を得ることができる。
オプションではあるが、本方法は、ステップ110の前に、デジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成し、これらを記憶するステップを更に含んでもよい。このステップでは、ユーザの生体認証情報を決済サーバにアップロードするのではなく端末デバイスでローカルな記憶のみ行い、決済工程にてユーザの身元を認証することもできる。
具体的なステップは次の通りである:
ステップ1101。端末デバイスが登録要求を受信し、この登録要求に従ってユーザの第2の生体認証情報を収集する。
ステップ1101において、端末デバイスによって登録要求を受信し、この登録要求に従ってユーザの第2の生体認証情報を収集するステップは、具体的に以下のステップ含んでもよい:
ステップA:端末デバイスが登録要求をサーバへ送信する。
すなわち、端末デバイスの決済クライアントが登録要求を決済サーバへ送信すると、この登録要求を受信した決済サーバが、セキュリティサーバを呼び出すことによって認証チャレンジ情報を読み出す。認証チャレンジ情報は、セキュリティサーバが、登録要求のために生成されたランダム文字列に、予め設定されたセキュリティサーバプライベートキーを用いてデジタル署名を行った後に生成されてよい。
ステップB:登録要求に従ってサーバから戻された応答メッセージを受信する。
ここで決済クライアントは応答メッセージを受信できる。好ましくは、応答メッセージは、決済サーバがセキュリティサーバを用いて読み出した認証チャレンジ情報であってよい。
ステップC:応答メッセージの検証及び署名を行い、更に、検証及び署名の成功後に、ユーザの第2の生体認証情報を収集する。
すなわち、決済クライアントは、セキュリティクライアントを呼び出すことで、受信した認証チャレンジ情報を検証し、これに署名する。具体的には、セキュリティクライアントは、予め設定されたセキュリティサーバパブリックキーに従って認証チャレンジ情報の検証及び署名を行い、更に、この検証及び署名の成功後に、第2の収集命令を収集モジュールへ送信することで、収集モジュールが、第2の収集命令に従ってユーザの第2の生体認証情報を収集できるようになる。
生体認証情報が指紋情報である実施例を用いて説明する。決済クライアントは、まず、ユーザが入力した登録要求を受信し、この登録要求の受信後に第1の呼び出しメッセージをセキュリティクライアントへ送信する。ここで、第1の呼び出しメッセージを用いて、ユーザが現在用いている端末デバイスが指紋決済をサポートしているかどうか、予め設定された指紋情報が指紋センサに記憶されているかどうかを調べるべく、セキュリティクライアントにチェックを行うよう命令する。ここで、セキュリティクライアントは、具体的には、サービスhardwarePayExecute(type=QUICKPAY_REQUEST_TYPE_INIT)を呼び出すことで、ユーザが現在用いている端末デバイスが指紋決済をサポートしているかどうか、予め設定された指紋情報が指紋センサに記憶されているかどうかをチェックする。端末デバイスが指紋決済をサポートしており、予め設定された指紋情報が指紋センサに記憶されている場合には、セキュリティクライアントが、指紋決済がサポートされていることを示す情報を決済クライアントへ戻すことで、決済クライアントがスライドボタンをユーザに対して表示できるようにする。決済クライアントは、スライドボタンに対してなされたスライド命令(すなわち、ユーザが指紋決済の機能を登録したい)を受信すると、ユーザに対して法的文書を表示する。
ユーザが入力した承認命令を決済クライアントが受信した場合、表示された法的文書をユーザが閲覧し、「理解しました」を選択すると、承認命令がトリガされる。決済クライアントは登録要求を決済サーバへ送信する。すなわち、決済クライアントが、サービスgetBiometricRegRequestPRC(デバイスID、モバイルフォンのデバイスモデル、及びログイン済みユーザのユーザID)を呼び出すことにより登録要求を決済サーバへ送信することで、決済サーバは、セキュリティサーバへ第2の呼び出しメッセージを送信できるようになる。例えば、決済サーバは、サービスmobileBiometricService.getRegRequestを呼び出すことによって第2の呼び出しメッセージを送信する。セキュリティサーバは、第2の呼び出しメッセージを受信すると、現在のタイムスタンプ等の情報に従ってランダム文字列を生成し、セキュリティサーバに予め記憶されているセキュリティサーバプライベートキー(つまり、予め設定されたセキュリティサーバプライベートキー)を用いて、上記で生成されたランダム文字列にデジタル署名し、認証チャレンジ情報を生成し、更に、この生成した認証チャレンジ情報を決済サーバへ戻す。決済サーバは、認証チャレンジ情報を読み出した後、これを決済クライアントへ転送する。セキュリティクライアントは、今受信した認証チャレンジ情報がセキュリティサーバから送信されたものであるかどうかを判定するために、又、今受信した認証チャレンジ情報が修正されているかどうかを判定するために、認証チャレンジ情報を検証し、これに署名する。セキュリティクライアントが、今受信した認証チャレンジ情報がセキュリティサーバから送信されたものであり、送信された認証チャレンジ情報が修正されていないと判定した場合には、セキュリティクライアントとセキュリティサーバとの間のデータチャネルが安全であることを示す。これにより、指紋センサ(つまり収集モジュール)へ第2の収集命令を送信することができ、この第2の収集命令を受信した収集モジュールがユーザの第2の生体認証情報を収集する。
ステップ1102。第2の生体認証情報が予め設定された生体認証情報と一致することが比較によって示された場合には、第2の生体証明情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成し、デジタル署名証明プライベートキーを記憶する。
すなわち、収集モジュールは、収集命令に従ってユーザの第2の生体認証情報を収集した後、セキュリティクライアントが、第2の生体認証情報を、予め設定された生体認証情報と比較できるように、第2の生体認証情報をセキュリティクライアントへ戻し、第2の生体認証情報と予め設定された生体認証情報との一致が比較によって示された場合には、第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成し、デジタル署名証明プライベートキーを記憶する。
セキュリティクライアントが、第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成するステップを実行する前に、本方法は:
セキュリティクライアントが、決済クライアントから送信された第1のメッセージを受信するステップを更に含む。この第1のメッセージは、ユーザの一意の識別子(ID)及び端末デバイスのIDを含む。
第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成するステップは:
セキュリティクライアントが、ユーザのIDと、端末デバイスのIDと、一致を示す比較の結果情報とに従って、第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成するステップを含む。
ここでユーザのIDは決済システムによって生成され、ユーザを一意に識別するために用いられる情報であってよい。実施において、ユーザのIDはセッションから直接読み出してよい。端末デバイスのIDは、国際移動体識別番号(IMEI)であってよい。加えて、セキュリティクライアントによる比較が第2の生体認証情報と予め設定された生体認証情報との一致を示す場合には、デジタル署名証明パブリックキー及びデジタル署名証明プライベートキーを生成する。そのため、デジタル署名証明プライベートキー及びデジタル署名証明パブリックキーは、第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーとも呼ばれる。一致を示す比較の結果情報は、第2の生体認証情報と予め設定された生体認証情報との一致を示す比較の結果情報であることに更に注目されたい。
デジタル署名証明パブリックキー及びデジタル署名証明プライベートキーの生成後に、セキュリティクライアントがデジタル署名証明プライベートキーを記憶する。実施において、端末デバイスのオペレーションシステムがアンドロイド(Android)システムである場合、デジタル署名証明プライベートキーをセキュリティクライアントのTEEに記憶することができる。
当然ながら、実際の使用では、指紋決済、画像認識決済、及び音声決済を最初に登録すると、端末デバイスは、第2の生体認証情報を収集した後に、この生体認証情報に対応するデジタル署名証明パブリックキー及びデジタル署名証明プライベートキーを直接的に生成できるが、第2の生体認証情報を予め設定された生体認証情報と比較する必要はなく、この比較が第2の生体認証情報と予め設定された生体認証情報との一致を示す場合に限って生成ステップを実行する。
ステップ1103。第1の予め設定されたプライベートキーに従って登録要求にデジタル署名した後に、登録要求メッセージを生成する。ここで登録要求メッセージはデジタル署名証明パブリックキーを含む。
ここでは、第1の予め設定されたプライベートキーは予め設定されたセキュリティクライアントプライベートキーであってよい、すなわち、セキュリティクライアントは、予め設定されたセキュリティクライアントプライベートキーを用いて登録要求にデジタル署名した後に、登録要求メッセージを生成する。
留意すべきは、登録要求は同時に認証チャレンジ情報を含んでよいということであり、それは、すなわち認証チャレンジ情報及びデジタル署名証明パブリックキーを同時にデジタル署名してから、登録要求メッセージを生成するということである。
ステップ1104。登録要求メッセージをサーバへ送信し、サーバが、第1の予め設定されたパブリックキーに従って登録要求メッセージの検証及び署名を行った後に、デジタル署名証明パブリックキーを記憶できるようにする。ここで、第1の予め設定されたパブリックキーには第1の予め設定されたプライベートキーが対応する。
ここで第1の予め設定されたパブリックキーは予め設定されたセキュリティクライアントパブリックキーであってよい、つまり、セキュリティクライアントが登録要求メッセージを決済クライアントへ送信し、決済クライアントが決済サーバを介して登録要求メッセージをセキュリティサーバへ転送し、次に、セキュリティサーバが、予め設定されたセキュリティクライアントパブリックキーに従って登録要求メッセージの検証及び署名を行い、検証及び署名の成功後に、デジタル署名証明パブリックキーを記憶する。
オプションではあるが、ステップ1104にて、登録要求メッセージをサーバへ送信するステップは以下のステップを含む:
端末デバイスによって、ユーザが有効なユーザであるかどうかを検証するステップ。及び、
ユーザが有効なユーザの場合にはオリジナルの決済パスワードをチェックし、チェックの成功後に登録要求メッセージをサーバへ送信するステップ。
実施例において、決済クライアントは、まず現在のユーザにバインドされているモバイルフォン番号を取得して、そのモバイルフォン番号のモバイルフォンへショートメッセージを送信し、その後、承認を示すメッセージを受信したら、ユーザが入力したオリジナル決済パスワードを受信し、このオリジナル決済パスワードのチェックの成功後に、決済サーバを用いて登録要求メッセージをセキュリティサーバへ転送できる。これにより、現在のユーザが決済クライアントのユーザであるかどうかを検証できるため、決済操作の安全性を向上させることができる。
ここで決済クライアントは、具体的に、サービスregisterBiometricPRC(デバイスID、モバイルフォンデバイスモデル、指紋登録メッセージ、ログイン済みユーザのUID)を呼び出すことにより、登録要求メッセージを決済サーバへ送信できる。決済サーバが登録要求メッセージをセキュリティサーバへ転送した後に、セキュリティサーバは、予め設定されたセキュリティクライアントパブリックキーに従って登録要求メッセージの検証及び署名を行い、検証及び署名の成功後に、デジタル署名証明パブリックキーを登録要求メッセージに記憶する。ここで、予め設定されたセキュリティクライアントプライベートキーは、予め設定されたセキュリティクライアントパブリックキーに対応する。加えて、登録要求メッセージの検証及び署名の成功後に、検証及び署名の成功を示すメッセージを決済サーバへ戻すこともできる。次に、決済サーバが、検証及び署名が成功した旨を示すメッセージを決済クライアントへ戻す。これにより、決済クライアントは、指紋情報、顔画像情報、及び音声情報等を入力することで決済工程にて本人身元が認証される旨、及び、決済金額は別の端末デバイスのセキュリティレベルに対応する旨をユーザに表示できる。
デジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成及び記憶するステップを実行した後、ユーザは、決済システムを用いて注文決済を行う際に、指紋情報、顔画像情報、及び音声情報を入力することによって本人身元を認証でき、本人認証の成功後に決済操作を実行できる。
ステップ120。第1の生体認証情報を予め設定された生体認証情報と比較し、この比較が、第1の生体認証情報と予め設定された生体認証情報との一致を示す場合には、予め記憶されているデジタル署名証明プライベートキーを読み出す。
すなわち、セキュリティクライアントは、第1の生体認証情報を、予め設定された生体認証情報と比較し、この比較が第1の生体認証情報と予め設定された生体認証情報との一致を示す場合に、予め記憶されているデジタル署名証明プライベートキーを読み出す。
ステップ130。デジタル署名証明プライベートキーに従ってサービス要求にデジタル署名し、生体情報検証メッセージを生成する。
決済シナリオの下では、サービス要求は決済要求であってよい。つまり、セキュリティクライアントは、読み出したデジタル署名証明プライベートキーに従って決済要求にデジタル署名して、生体情報検証メッセージを生成し、次に、生成した生体情報検証メッセージを決済クライアントへ送信する。
ステップ140。生体情報検証メッセージをサーバへ送信する。これにより、サーバが、デジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキーを読み出し、次に、デジタル署名証明パブリックキーに従って生体情報検証メッセージに検証及び署名を行った後に、認証結果情報を端末デバイスへ戻す。
決済クライアントが、生体情報検証メッセージを決済サーバへ送信する。これにより、決済サーバは、デジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキーをセキュリティサーバから読み出し、デジタル署名証明パブリックキーに従って生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を決済クライアントへ戻すことができる。
当然ながら、実際の使用では、決済クライアントが送信されたサービス要求を暗号化している場合には、決済サーバは更に、デジタル署名証明パブリックキーに従って生体情報検証メッセージの検証及び署名を行った後に、この暗号化されたサービス要求を予め設定されたアルゴリズムに従って復号化し、復号化が成功した場合に限って、認証が成功したかどうかの結果情報を決済クライアントへ戻す必要がある。
ここで、本願に関与するデジタル署名と、デジタル署名の検証とは先行技術に属するものであり、デジタル署名及び検証する対象のみが異なることに留意すべきである。当業者は先行技術を参照して実施を達成することができる。そのため、本願ではこの工程についての説明を繰り返さない。
本願で提供される本人認証方法及び装置に従って、端末デバイスは、収集した生体認証情報が、予め設定された生体認証情報と一致することを比較により示された場合に、予め記憶されているデジタル署名証明プライベートキーを用いて署名された生体情報検証メッセージをサーバへ送信し、次に、サーバが、予め記憶されているデジタル署名証明パブリックキーに従ってこの生体情報検証メッセージの検証及び署名を行うことで、ユーザの身元の検証の目的を達成する。これにより、ユーザが実行するサービス操作の安全性と利便性を向上させることができる。
以下の実施の形態を、指紋決済を登録し、指紋決済の登録後に、指紋情報の検証によってユーザの身元を証するという実施例を用いて説明する。
図2は、本願の別の実施の形態による本人認証方法の情報のやり取りの図である。図2に示すように、この方法は具体的に以下のステップを含んでよい:
ステップ210。決済クライアントは、受信した登録要求に従って、第1の呼び出しメッセージをセキュリティクライアントへ送信する。
第1の呼び出しメッセージは、現在、ユーザが用いている端末デバイスが指紋決済をサポートしているかどうか、又、予め設定された指紋情報が指紋センサに記憶されているかどうかをチェックするようにセキュリティクライアントに命令するために用いられる。
セキュリティクライアントは、具体的に、サービスhardwarePayExecute(type=QUICKPAY_REQUEST_TYPE_INIT)を呼び出すことで、現在、ユーザが用いている端末デバイスが指紋決済をサポートしているかどうか、そして、予め設定された指紋情報が指紋センサに記憶されているかどうかをチェックする。
ステップ220。セキュリティクライアントは、サポートの情報を決済クライアントへ戻す。
ステップ230。決済クライアントは登録要求を決済サーバへ送信する。
決済クライアントは、サービスgetBiometricRegRequestPRC(デバイスID、モバイルフォンデバイスモデル、ログイン済みユーザのユーザID)を呼び出すことで、登録要求を決済サーバへ送信する。
ステップ240。決済サーバは、受信した登録要求に従って、第2の呼び出しメッセージをセキュリティサーバへ送信する。
決済サーバは、サービスmobileBiometricService.getRegRequestを呼び出すことで、第2の呼び出しメッセージをセキュリティサーバへ送信する。
ステップ250。セキュリティサーバはランダム文字列を生成し、生成したこのランダム文字列に、予め設定されたセキュリティサーバプライベートキーを用いてデジタル署名した後に、認証チャレンジ情報を生成する。
ステップ260。セキュリティサーバが、生成された認証チャレンジ情報を決済サーバへ戻す。
ステップ270。決済サーバは、認証チャレンジ情報を決済クライアントへ転送する。
ステップ280。決済クライアントは、認証チャレンジ情報をセキュリティクライアントへ送信する。
決済クライアントは、具体的に、サービスhardwarePayExecute(type=QUICKPAY_REQUEST_TYPE_REGISTER,data=認証チャレンジ情報)を呼び出すことにより、認証チャレンジ情報をセキュリティクライアントへ送信しても良い。
ステップ290。セキュリティクライアントは、予め設定されたセキュリティサーバパブリックキーに従って認証チャレンジ情報の検証及び署名を行い、検証及び署名の成功後に、第2の収集命令を端末デバイスの指紋センサへ送信する。
ステップ2100。端末デバイスの指紋センサは、ユーザがリアルタイムで収集した第1の指紋情報をセキュリティクライアントへ送信する。
ステップ2110。比較が、リアルタイムで収集した第1の指紋情報と予め設定された指紋情報との一致を示す場合に、セキュリティクライアントは、ユーザの第1の指紋情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成し、デジタル署名証明プライベートキーを記憶する。
オプションではあるが、セキュリティクライアントは、決済クライアントが送信した第1のメッセージを受信する。ここで第1のメッセージは、ユーザの一意の識別子IDと、端末デバイスのIDとを担持し;
第1の指紋情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成するステップは:
セキュリティクライアントにより、ユーザの第1の指紋情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを、ユーザのIDと、端末デバイスのIDと、一致を示す比較の結果情報とに従って生成するステップを含む。
一致を示す比較の結果情報は、リアルタイムで収集した第1の指紋情報と予め設定された指紋情報との一致を示す比較の結果情報であることに留意すべきである。
ステップ2120。セキュリティクライアントは、予め設定されたセキュリティクライアントプライベートキーを用いて認証チャレンジ情報にデジタル署名した後に、登録要求メッセージを生成する。ここで登録要求メッセージはデジタル署名証明パブリックキーを含む。
ステップ2130。セキュリティクライアントは、登録要求メッセージを決済クライアントへ送信する。
ステップ2140。決済クライアントは、検証要求を端末デバイスへ送信する。
ステップ2150。端末デバイスは、承認を示す応答メッセージを決済クライアントへ送信する。
ステップ2160。決済クライアントは、ユーザが入力したオリジナルの決済パスワードを受信し、オリジナルの決済パスワードが正しい場合に、決済サーバを用いて登録要求メッセージをセキュリティサーバへ転送する。
ステップ2170。セキュリティサーバは、予め設定されたクライアントサーバパブリックキーに従って登録要求メッセージの検証及び署名に成功した後に、登録要求メッセージに記憶されたデジタル署名証明パブリックキーを記憶する。
ステップ2180。セキュリティサーバは、検証及び署名が成功したことを示すメッセージを決済サーバへ戻す。
ステップ2190。決済サーバは、検証及び署名が成功したことを示すメッセージを決済クライアントへ転送する。
ステップ2200。決済クライアントは、受信した決済要求に従って、第1の収集命令を、セキュリティクライアントを介して端末デバイスの指紋センサへ送信する。
第1の収集命令を用いて、ユーザの第2の指紋情報を収集してセキュリティクライアントへ戻すように、指紋センサに対して命令する。
ステップ2210。セキュリティクライアントは、指紋センサがリアルタイムで収集した第2の指紋情報を受信し、第2の指紋情報を、予め設定された指紋情報と比較する。
ステップ2220。第2の指紋情報と予め設定された指紋情報とが一致することを比較が示す場合に、予め記憶されているデジタル署名証明プライベートキーを読み出し、次にデジタル署名証明プライベートキーを用いて決済要求メッセージにデジタル署名した後に、生体情報検証メッセージを生成する。
ステップ2230。セキュリティクライアントは決済クライアントを用いて、生体情報検証メッセージを決済サーバへ送信する。
ステップ2240。決済サーバは、事前に記憶されたデジタル署名証明パブリックキーをセキュリティサーバから読み出し、このデジタル署名証明パブリックキーに従って、生体情報検証メッセージの検証及び署名を行う。
ステップ2250。決済クライアントは、決済サーバから戻された、認証が成功であるかどうかを示すメッセージを受信し、認証が成功であることを示すメッセージの受信後に、決済操作を実行する。
要約すると、本願が提供する本人認証方法によれば、ユーザの指紋情報を収集するときに、セキュリティクライアントに記憶されたデジタル署名証明プライベートキーがアンロックされ、本人認証の最中に、指紋情報に代えてデジタル署名証明プライベートキーを用いて検証を実行し、これにより、オリジナルの決済パスワードを置き換える目的が達成され、ユーザによる決済操作の安全性と利便性を向上させることができる。
本願の実施の形態におけるステップ210乃至ステップ2190は、指紋決済登録手順と呼ぶこともできる。指紋決済登録手順は、任意の生体認証及び本人認証工程、例えば、虹彩、顔、リストバンドを用いた様々な安全性レベルにおける本人認証、に適用できることに更に留意されたい。
本人認証方法に対応して、本願の実施の形態は本人認証装置を更に提供する。図3に示すように、本装置は、収集ユニット301、読み出しユニット302、生成ユニット303、及び送信ユニット304を含む。
収集ユニット301は、サービス要求を受信し、このサービス要求に従ってユーザの第1の生体認証情報を収集するように構成される。
生体認証情報は、指紋情報、顔画像情報、及び音声情報のうちの一つ以上を含む。
読み出しユニット302は、収集ユニット301によって収集した第1の生体認証情報を、予め設定された生体認証情報と比較し、この比較が第1の生体認証情報と予め設定された生体認証情報との一致を示す場合には、予め記憶されているデジタル署名証明プライベートキーを読み出すように構成される。
生成ユニット303は、読み出しユニット302が読み出したデジタル署名証明プライベートキーに従ってサービス要求にデジタル署名し、生体情報検証メッセージを生成するように構成される。
送信ユニット304は、生成ユニット303により生成された生体情報検証メッセージをサーバへ送信することで、サーバがデジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキーを読み出し、更に、サーバが、デジタル署名証明パブリックキーに従って生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を端末デバイスへ戻すことができるように、構成される。
収集ユニット301は更に、登録要求を受信し、この登録要求に従って、ユーザの第2の生体認証情報を収集するように構成されても良い。
収集ユニット301は、具体的には、登録要求をサーバへ送信し、この登録情報に従ってサーバから戻された応答メッセージを受信し、応答メッセージの検証及び署名を行い、検証及び署名の成功後にユーザの第2の生体認証情報を収集するように構成される。
生成ユニット303は、比較により、収集ユニット301が収集した第2の生体認証情報と予め設定された生体認証情報との一致が示される場合に、第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成し、デジタル署名証明プライベートキーを記憶するように更に構成される。
生成ユニット303は、具体的には、ユーザのIDと、端末デバイスのIDと、一致を示す比較の結果情報とに従って、第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成するように構成される。
生成ユニット303は、第1のプライベートキーに従って登録要求にデジタル署名した後に、登録要求メッセージを生成するように更に構成される。ここで、登録要求メッセージはデジタル署名証明パブリックキーを含む。
送信ユニット304は、生成ユニット303が生成した登録要求メッセージをサーバへ送信するように更に構成される。これにより、サーバは、第1の予め設定されたパブリックキーに従って登録要求メッセージの検証及び署名を行った後に、デジタル署名証明パブリックキーを記憶できる。ここで、第1の予め設定されたプライベートキーは第1の予め設定されたパブリックキーに対応する。
送信ユニット304は、具体的に、ユーザが有効なユーザであるかどうかを検証し、ユーザが有効なユーザである場合にはオリジナルの決済パスワードをチェックし、更に、チェックが成功した場合には登録要求メッセージをサーバへ送信するように構成される。
本人認証装置を、決済中における本人認証に適用しても良く、サービス要求は決済要求であっても良い。
本願のこの実施の形態の装置における機能モジュールの機能は、この方法の実施の形態の様々なステップを介して実施できる。そのため、ここでは、本願にて提供される装置の特定の作動工程についての説明は繰り返さない。
本願にて提供される本人認証装置によれば、収集ユニット301がサービス要求を受信し、このサービス要求に従ってユーザの第1の生体認証情報を収集する;読み出しユニット302が第1の生体認証情報を予め設定された生体認証情報と比較し、この比較が第1の生体認証情報と予め設定された生体認証情報との一致を示す場合には、予め記憶されているデジタル署名証明プライベートキーを読み出す;生成ユニット303が、デジタル署名証明プライベートキーに従ってサービス要求にデジタル署名し、生体情報検証メッセージを生成する;送信ユニット304が生体情報検証メッセージをサーバへ送信する。これにより、サーバがデジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキーを読み出せるようになり、次に、サーバが、デジタル署名証明パブリックキーに従って生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を端末デバイスへ戻す。これにより、ユーザによる決済操作の安全性と利便性を向上させることができる。
専門家は、ここで開示された実施の形態の中で述べた実施例を組み合わせることで、目的及びアルゴリズムステップを、電子ハードウェア、コンピュータソフトウェア、又はこれらの組み合わせによって実施できることを更に理解すべきである。ハードウェアとソフトウェアの相互交換性を明確に説明するために、上記では、例示の組み合わせ及びステップを機能ごとに総体的に述べた。機能をハードウェア方式で実行するかソフトウェア方式で実行するかは、技術的解決策の特定の用途及び設計上の制約条件によって異なる。当業者は、ここで述べた機能を、特定の用途のための異なる方法を用いて実施できるが、この実施は本願の範囲を超えるものとみなすべきではない。
ここで開示された実施の形態との組み合わせにおいて述べた方法ステップ又はアルゴリズムステップは、ハードウェア、プロセッサにより実行されるソフトウェアモジュール、又はこれらの組み合わせによって実施できる。ソフトウェアモジュールは、ランダムアクセスメモリ(RAM)、メモリ、読み出し専用メモリ(ROM)、消去可能なプログラマブルROM(EPROM)、電気的に消去可能なプログラマブルROM(EEPROM)、レジスタ、ハードディスク、リムーバブルハードディスク、CD−ROM、又は、当該技術で周知な他のいずれかの形態の記憶媒体に搭載できる。
上で述べた特定の実施は、本願の目的、技術的解決策、有益な効果を詳細に更に説明している。上で述べた説明は、本願の特定の実施にすぎず、本願の保護範囲を限定するためではないことを理解すべきである。本願の主旨及び原理の範囲におけるあらゆる変更、均等物の置き換え、改良などは、全て本願の保護範囲に含まれる。

Claims (14)

  1. 端末デバイスによってサービス要求を受信し、前記サービス要求に従ってユーザの第1の生体認証情報を収集するステップと;
    前記第1の生体認証情報を、予め設定された生体認証情報と比較し、前記比較が前記第1の生体認証情報と前記予め設定された生体認証情報との一致を示す場合に、予め記憶されているデジタル署名証明プライベートキーを読み出すステップと;
    前記デジタル署名証明プライベートキーに従って前記サービス要求にデジタル署名し、生体情報検証メッセージを生成するステップと;
    前記生体情報検証メッセージをサーバへ送信することにより、前記サーバが、前記デジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキーを読み出し、前記デジタル署名証明パブリックキーに従って前記生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を前記端末デバイスへ戻す、ステップとを備える;
    本人認証方法。
  2. 前記デジタル署名証明プライベートキー及び前記デジタル署名証明パブリックキーを生成及び記憶するステップを更に備え;
    前記デジタル署名証明プライベートキー及び前記デジタル署名証明パブリックキーを生成及び記憶する前記ステップは:
    端末デバイスにより登録要求を受信し、前記登録要求に従って、前記ユーザの第2の生体認証情報を収集するステップと;
    前記比較が前記第2の生体認証情報と前記予め設定された生体認証情報との一致を示す場合に、前記第2の生体認証情報に対応する前記デジタル署名証明プライベートキー及び前記デジタル署名証明パブリックキーを生成し、前記デジタル署名証明プライベートキーを記憶するステップと;
    第1の予め設定されたプライベートキーに従って前記登録要求にデジタル署名した後に、前記デジタル署名証明パブリックキーを担持する登録要求メッセージを生成するステップと;
    前記登録要求メッセージを前記サーバへ送信することにより、前記サーバが、前記第1の予め設定されたプライベートキーに対応する第1の予め設定されたパブリックキーに従って前記登録要求メッセージの検証及び署名が成功した後に、前記デジタル署名証明パブリックキーを記憶するステップとを備える;
    請求項1に記載の方法。
  3. 前記生体認証情報は、指紋情報、顔画像情報、及び音声情報のうち1つ以上を備える;
    請求項1又は2に記載の方法。
  4. 前記第2の生体認証情報に対応する前記デジタル署名証明プライベートキー及び前記デジタル署名証明パブリックキーを生成する前記ステップは:
    前記ユーザのIDと、前記端末デバイスのIDと、一致を示す比較の結果情報とに従って、前記第2の生体認証情報に対応する前記デジタル署名証明プライベートキー及び前記デジタル署名証明パブリックキーを生成するステップを備える;
    請求項2に記載の方法。
  5. 前記端末デバイスよって登録要求を受信し、前記登録要求に従って前記ユーザの前記第2の生体認証情報を収集する前記ステップは:
    前記端末デバイスにより、前記登録要求を前記サーバへ送信するステップと;
    前記登録要求に従って前記サーバから戻された応答メッセージを受信するステップと;
    前記応答メッセージの検証及び署名を行い、前記検証及び署名の成功後に、前記ユーザの前記第2の生体認証情報を収集するステップとを備える;
    請求項2に記載の方法。
  6. 前記登録要求メッセージを前記サーバへ送信する前記ステップは:
    前記端末デバイスにより、前記ユーザが有効なユーザであるかどうかを検証するステップと;
    前記ユーザが有効なユーザである場合には、オリジナルの決済パスワードをチェックし、前記チェックが成功した場合には、前記登録要求メッセージを前記サーバへ送信するステップとを備える;
    請求項2に記載の方法。
  7. 前記方法は決済中における本人認証に適用され、前記サービス要求は決済要求である;
    請求項1、2、及び請求項4乃至6のいずれか1項に記載の方法。
  8. 収集ユニット、読み出しユニット、生成ユニット、及び送信ユニットを備え;
    前記収集ユニットは、サービス要求を受信し、前記サービス要求に従って、ユーザの第1の生体認証情報を収集するように構成され;
    前記読み出しユニットは、前記収集ユニットが収集した前記第1の生態認証情報を予め設定された生体認証情報と比較し、前記比較が前記第1の生体認証情報と前記予め設定された生体認証情報との一致を示す場合に、予め記憶されているデジタル署名証明プライベートキーを読み出すように構成され;
    前記生成ユニットは、前記読み出しユニットが読み出した前記デジタル署名証明プライベートキーに従って、前記サービス要求にデジタル署名し、生体情報検証メッセージを生成するように構成され;
    前記送信ユニットは、前記生成ユニットが生成した前記生体情報検証メッセージをサーバへ送信し、これにより、前記サーバが、前記デジタル署名証明プライベートキーに対応する予め記憶されているデジタル署名証明パブリックキー読み出し、そして前記デジタル署名証明パブリックキーに従って前記生体情報検証メッセージの検証及び署名を行った後に、認証結果情報を端末デバイスへ戻すように構成される;
    本人認証装置。
  9. 前記収集ユニットは登録要求を受信し、前記登録要求に従って前記ユーザの第2の生体認証情報を収集するように更に構成され;
    前記生成ユニットは、前記比較が、前記収集ユニットが収集した前記第2の生体認証情報と前記予め設定された生体認証情報とが一致することを示す場合に、前記第2の生体認証情報に対応するデジタル署名証明プライベートキー及びデジタル署名証明パブリックキーを生成し、前記デジタル署名証明プライベートキーを記憶するように更に構成され;
    前記生成ユニットは、第1の予め設定されたプライベートキーに従って前記登録要求がデジタル署名された後に、前記デジタル署名証明パブリックキーを含む登録要求メッセージを生成するように更に構成され;
    前記送信ユニットは、前記生成ユニットが生成した前記登録要求メッセージを前記サーバへ送信し、これにより、前記サーバが、第1の予め設定されたパブリックキーに従った前記登録要求メッセージの検証及び署名の成功後に、前記デジタル署名証明パブリックキーを記憶できるように更に構成され、前記第1の予め設定されたプライベートキーは前記第1の予め設定されたパブリックキーに対応する;
    請求項8に記載の装置。
  10. 前記生体認証情報は、指紋情報、顔画像情報、及び音声情報のうち1つ以上を備える;
    請求項8又は9に記載の装置。
  11. 前記生成ユニットは、具体的に:
    前記第2の生体認証情報に対応する前記デジタル署名証明プライベートキー及び前記デジタル署名証明パブリックキーを、前記ユーザのIDと、前記端末デバイスのIDと、一致を示す比較の結果情報とに従って生成するように構成される;
    請求項9に記載の装置。
  12. 前記収集ユニットは、具体的に:
    前記登録要求を前記サーバへ送信し;
    前記登録要求に従って前記サーバから戻された応答メッセージを受信し;
    前記応答メッセージの検証及び署名を行い、前記検証及び署名の成功後に、前記ユーザの前記第2の生体認証情報を収集するように構成される;
    請求項9に記載の装置。
  13. 前記送信ユニットは、具体的に:
    前記ユーザが有効なユーザであるかどうかを検証し;
    前記ユーザが有効なユーザである場合に、オリジナルの決済パスワードをチェックし、前記チェックが成功した場合に、前記登録要求メッセージを前記サーバへ送信するように構成される;
    請求項9に記載の装置。
  14. 前記装置は決済中の本人認証に適用され、前記サービス要求は決済要求である;
    請求項8、9、及び請求項11乃至13のいずれか1項に記載の装置。
JP2018510966A 2015-08-27 2016-08-18 本人認証方法及び装置 Pending JP2018532301A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510534755.4A CN106487511B (zh) 2015-08-27 2015-08-27 身份认证方法及装置
CN201510534755.4 2015-08-27
PCT/CN2016/095855 WO2017032263A1 (zh) 2015-08-27 2016-08-18 身份认证方法及装置

Publications (2)

Publication Number Publication Date
JP2018532301A true JP2018532301A (ja) 2018-11-01
JP2018532301A5 JP2018532301A5 (ja) 2019-09-26

Family

ID=58099613

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018510966A Pending JP2018532301A (ja) 2015-08-27 2016-08-18 本人認証方法及び装置

Country Status (7)

Country Link
US (2) US11294993B2 (ja)
EP (1) EP3343831B1 (ja)
JP (1) JP2018532301A (ja)
KR (1) KR20180048793A (ja)
CN (1) CN106487511B (ja)
SG (2) SG10202101487PA (ja)
WO (1) WO2017032263A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7309261B2 (ja) 2020-03-23 2023-07-18 ▲騰▼▲訊▼科技(深▲セン▼)有限公司 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110166246B (zh) * 2016-03-30 2022-07-08 创新先进技术有限公司 基于生物特征的身份注册、认证的方法和装置
US20210374283A1 (en) * 2017-05-31 2021-12-02 Intuit Inc. System for managing transactional data
WO2019018046A1 (en) * 2017-07-17 2019-01-24 Hrl Laboratories, Llc EXTRACTOR OF PRACTICAL REUSABLE APPROXIMATE VALUES BASED ON ERROR ASSUMPTION HYPOTHESIS AND RANDOM ORACLE
DE102017119406A1 (de) * 2017-08-24 2019-02-28 Samson Aktiengesellschaft Kommunikationsverfahren für ein Stellgerät
CN107370601B (zh) * 2017-09-18 2023-09-05 确信信息股份有限公司 一种集成多种安全认证的智能终端、系统及方法
JP7066380B2 (ja) * 2017-11-17 2022-05-13 キヤノン株式会社 システム、システムにおける方法、情報処理装置、情報処理装置における方法、およびプログラム
US11240233B2 (en) 2017-12-22 2022-02-01 Mastercard International Incorporated Systems and methods for provisioning biometric image templates to devices for use in user authentication
US10650632B2 (en) * 2017-12-22 2020-05-12 Mastercard International Incorporated Systems and methods for provisioning digital identities to authenticate users
CN109960916A (zh) * 2017-12-22 2019-07-02 苏州迈瑞微电子有限公司 一种身份认证的方法和系统
CN112019503B (zh) * 2018-03-01 2023-11-07 北京华为数字技术有限公司 一种获得设备标识的方法、通信实体、通信系统及存储介质
WO2020031429A1 (ja) * 2018-08-07 2020-02-13 日本電気株式会社 端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラム
CN109040088B (zh) * 2018-08-16 2022-02-25 腾讯科技(深圳)有限公司 认证信息传输方法、密钥管理客户端及计算机设备
CN109684806A (zh) * 2018-08-31 2019-04-26 深圳壹账通智能科技有限公司 基于生理特征信息的身份验证方法、装置、系统和介质
CN108777694A (zh) * 2018-09-06 2018-11-09 山西特信环宇信息技术有限公司 基于证件链技术的数字签名管控系统及方法
CN109213889B (zh) * 2018-09-27 2022-01-25 中国银行股份有限公司 一种客户信息合并的方法及装置
CN109409295A (zh) * 2018-10-29 2019-03-01 北京枭龙科技有限公司 多终端立体化智能人证核验系统
CN112805702A (zh) * 2019-03-07 2021-05-14 华为技术有限公司 仿冒app识别方法及装置
US10467398B1 (en) * 2019-03-14 2019-11-05 Alibaba Group Holding Limited Authentication by transmitting information through a human body
CN109874141A (zh) * 2019-03-14 2019-06-11 公安部第一研究所 一种手机终端安全接入信息网络的方法及装置
CN110035071A (zh) * 2019-03-26 2019-07-19 南瑞集团有限公司 一种面向工控系统的远程双因子双向认证方法、客户端及服务端
AU2019204723C1 (en) 2019-03-29 2021-10-28 Advanced New Technologies Co., Ltd. Cryptographic key management based on identity information
CA3058242C (en) 2019-03-29 2022-05-31 Alibaba Group Holding Limited Managing cryptographic keys based on identity information
AU2019204711B2 (en) 2019-03-29 2020-07-02 Advanced New Technologies Co., Ltd. Securely performing cryptographic operations
JP6756056B2 (ja) 2019-03-29 2020-09-16 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 身元検証による暗号チップ
CN110620763B (zh) * 2019-08-27 2021-11-26 广东南粤银行股份有限公司 一种基于移动端app的移动身份认证方法及系统
CN110516435B (zh) * 2019-09-02 2021-01-22 国网电子商务有限公司 一种基于生物特征的私钥管理方法及装置
AU2020370497A1 (en) * 2019-10-23 2022-06-09 Signicat As Method and system for completing cross-channel transactions
CN113055157B (zh) * 2019-12-27 2023-03-10 京东科技控股股份有限公司 生物特征验证方法、装置、存储介质与电子设备
CN111414599A (zh) * 2020-02-26 2020-07-14 北京奇艺世纪科技有限公司 身份验证方法、装置、终端、服务端以及可读存储介质
CN111381962B (zh) * 2020-02-28 2023-05-30 中国科学院信息工程研究所 一种边缘服务迁移方法及装置
CN113497805B (zh) * 2020-04-01 2023-08-04 支付宝(杭州)信息技术有限公司 注册处理方法、装置、设备及系统
US11537701B2 (en) * 2020-04-01 2022-12-27 Toyota Motor North America, Inc. Transport related n-factor authentication
SG10202003630VA (en) * 2020-04-21 2021-09-29 Grabtaxi Holdings Pte Ltd Authentication and validation procedure for improved security in communications systems
CN111541775B (zh) * 2020-05-09 2023-06-16 飞天诚信科技股份有限公司 一种认证报文的安全转换方法及系统
CN111800377B (zh) * 2020-05-20 2023-03-24 中国电力科学研究院有限公司 一种基于安全多方计算的移动终端身份认证系统
CN111709747B (zh) * 2020-06-10 2023-08-18 中国工商银行股份有限公司 智能终端认证方法及系统
CN111726365A (zh) * 2020-06-29 2020-09-29 深圳前海微众银行股份有限公司 一种在线身份认证的方法及装置
CN112035806B (zh) * 2020-07-21 2023-12-08 杜晓楠 区块链中基于指纹识别生成分布式身份的方法和计算机可读介质
CN111914308B (zh) * 2020-07-27 2024-02-13 万达信息股份有限公司 一种利用智能卡内ca证书进行移动数据签名的方法
CN111899029A (zh) * 2020-08-13 2020-11-06 北京字节跳动网络技术有限公司 用于电子支付的身份验证方法和装置
CN112637131B (zh) * 2020-12-01 2023-04-18 百果园技术(新加坡)有限公司 用户身份认证方法、装置、设备和存储介质
CN114666081A (zh) * 2020-12-23 2022-06-24 中国移动通信有限公司研究院 预警消息输出方法、预警消息分发方法、装置及相关设备
CN112580010B (zh) * 2020-12-23 2024-01-30 四川虹微技术有限公司 一种生物特征共享方法、装置、电子设备及存储介质
CN114696999A (zh) * 2020-12-26 2022-07-01 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN112866236B (zh) * 2021-01-15 2023-03-31 云南电网有限责任公司电力科学研究院 一种基于简化数字证书的物联网身份认证系统
CN112953970B (zh) * 2021-04-01 2023-04-18 国民认证科技(北京)有限公司 一种身份认证方法及身份认证系统
CN113159771A (zh) * 2021-04-27 2021-07-23 中国工商银行股份有限公司 一种安全支付装置、方法及计算机设备和可读存储介质
CN114679293A (zh) * 2021-06-15 2022-06-28 腾讯云计算(北京)有限责任公司 基于零信任安全的访问控制方法、设备及存储介质
CN113409055A (zh) * 2021-06-30 2021-09-17 深圳市商汤科技有限公司 支付方法、系统、电子设备及存储介质
CN113626787B (zh) * 2021-08-27 2024-01-30 京东方科技集团股份有限公司 设备指纹生成方法及相关设备
CN113742705A (zh) * 2021-08-30 2021-12-03 北京一砂信息技术有限公司 一种基于ifaa号码认证服务实现的方法及系统
CN114553405A (zh) * 2022-02-10 2022-05-27 国网山东省电力公司电力科学研究院 基于国密sm9算法的5g二次认证方法和系统
CN114679276B (zh) * 2022-02-18 2024-04-23 支付宝(杭州)信息技术有限公司 基于时间的一次性密码算法的身份认证方法和装置
CN114745180A (zh) * 2022-04-11 2022-07-12 中国南方电网有限责任公司 接入认证方法、装置和计算机设备
CN115051812B (zh) * 2022-07-11 2024-03-08 安徽大学 一种基于二维码和生物特征的用户身份双重识别方法
CN115834074B (zh) * 2022-10-18 2023-07-21 支付宝(杭州)信息技术有限公司 一种身份认证方法、装置及设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) * 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
JP2002222022A (ja) * 2001-01-29 2002-08-09 Toshiba Corp 電子機器システム及び電子機器システムの起動方法
JP2005038257A (ja) * 2003-07-16 2005-02-10 Ntt Data Corp 情報処理システム、本人認証装置、生体特徴情報更新方法およびプログラム
JP2008204347A (ja) * 2007-02-22 2008-09-04 Fujitsu Ltd 自動取引装置及び自動取引装置の取引処理方法
JP2009169809A (ja) * 2008-01-18 2009-07-30 Hitachi Ltd 生体情報登録システム、ならびにicカード、処理端末、およびセンタシステム
JP2011070325A (ja) * 2009-09-24 2011-04-07 Mizuho Financial Group Inc リモートアクセス制御方法及びリモートアクセス制御システム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050083594A (ko) * 2002-07-03 2005-08-26 오로라 와이어리스 테크놀로지즈 리미티드 바이오메트릭 개인키 인프라스트럭처
US20060176146A1 (en) * 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
US20070050303A1 (en) * 2005-08-24 2007-03-01 Schroeder Dale W Biometric identification device
JPWO2007094165A1 (ja) * 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
CN100511292C (zh) * 2006-07-03 2009-07-08 上海交通大学 电子银行认证方法,及采用该方法的系统和智能卡
CN101101656A (zh) 2007-06-20 2008-01-09 上海灵慧软件销售有限公司 基于按销售额提成付费模式的电信产品网络营销方法
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及系统
CN100543792C (zh) 2007-07-12 2009-09-23 黄晖 对数据采集监控设备远程控制的方法和系统
US8438385B2 (en) * 2008-03-13 2013-05-07 Fujitsu Limited Method and apparatus for identity verification
US20110083018A1 (en) * 2009-10-06 2011-04-07 Validity Sensors, Inc. Secure User Authentication
US20140156531A1 (en) * 2010-12-14 2014-06-05 Salt Technology Inc. System and Method for Authenticating Transactions Through a Mobile Device
US8719952B1 (en) * 2011-03-25 2014-05-06 Secsign Technologies Inc. Systems and methods using passwords for secure storage of private keys on mobile devices
KR20140138271A (ko) * 2012-03-15 2014-12-03 미코 코포레이션 생체 측정 인증 시스템
CN102880960B (zh) * 2012-09-26 2016-01-13 深圳市亚略特生物识别科技有限公司 基于指纹识别手机的短信支付方法及系统
WO2014176539A1 (en) * 2013-04-26 2014-10-30 Interdigital Patent Holdings, Inc. Multi-factor authentication to achieve required authentication assurance level
JP2015036847A (ja) 2013-08-12 2015-02-23 株式会社東芝 半導体装置
WO2016038729A1 (ja) * 2014-09-12 2016-03-17 株式会社東芝 認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法
US20160105285A1 (en) * 2014-10-14 2016-04-14 Qualcomm Incorporated Deriving cryptographic keys from biometric parameters
CN104899488B (zh) * 2014-12-31 2016-12-28 深圳市腾讯计算机系统有限公司 数值转移方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280527A (en) * 1992-04-14 1994-01-18 Kamahira Safe Co., Inc. Biometric token for authorizing access to a host system
JP2002222022A (ja) * 2001-01-29 2002-08-09 Toshiba Corp 電子機器システム及び電子機器システムの起動方法
JP2005038257A (ja) * 2003-07-16 2005-02-10 Ntt Data Corp 情報処理システム、本人認証装置、生体特徴情報更新方法およびプログラム
JP2008204347A (ja) * 2007-02-22 2008-09-04 Fujitsu Ltd 自動取引装置及び自動取引装置の取引処理方法
JP2009169809A (ja) * 2008-01-18 2009-07-30 Hitachi Ltd 生体情報登録システム、ならびにicカード、処理端末、およびセンタシステム
JP2011070325A (ja) * 2009-09-24 2011-04-07 Mizuho Financial Group Inc リモートアクセス制御方法及びリモートアクセス制御システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
FIDO UAF PROTOCOL SPECIFICATION V1.0, JPN6020037542, 8 December 2014 (2014-12-08), ISSN: 0004672459 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7309261B2 (ja) 2020-03-23 2023-07-18 ▲騰▼▲訊▼科技(深▲セン▼)有限公司 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム

Also Published As

Publication number Publication date
KR20180048793A (ko) 2018-05-10
US20220229893A1 (en) 2022-07-21
SG10202101487PA (en) 2021-03-30
US11294993B2 (en) 2022-04-05
CN106487511A (zh) 2017-03-08
CN106487511B (zh) 2020-02-04
SG11201801435QA (en) 2018-03-28
EP3343831B1 (en) 2022-06-29
EP3343831A1 (en) 2018-07-04
US20180181739A1 (en) 2018-06-28
EP3343831A4 (en) 2019-04-10
WO2017032263A1 (zh) 2017-03-02

Similar Documents

Publication Publication Date Title
JP2018532301A (ja) 本人認証方法及び装置
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
CN106664208B (zh) 使用安全传输协议建立信任的系统和方法
CN107070667B (zh) 身份认证方法
CN106575416B (zh) 用于向装置验证客户端的系统和方法
EP2999189B1 (en) Network authentication method for secure electronic transactions
JP6401784B2 (ja) 決済認証システム、方法及び装置
EP3138265B1 (en) Enhanced security for registration of authentication devices
US9780950B1 (en) Authentication of PKI credential by use of a one time password and pin
CN107196922B (zh) 身份认证方法、用户设备和服务器
CN111431719A (zh) 一种移动终端密码保护模块、移动终端及密码保护方法
CN109150535A (zh) 一种身份认证方法、设备、计算机可读存储介质及装置
TW201430607A (zh) 判定認證能力之查詢系統及方法
EP3206329B1 (en) Security check method, device, terminal and server
WO2021190197A1 (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
CN112953970A (zh) 一种身份认证方法及身份认证系统
WO2019010669A1 (zh) 一种身份合法性验证的方法、装置及系统
KR102012262B1 (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
CN113711560A (zh) 用于有效质询-响应验证的系统和方法
KR101625065B1 (ko) 휴대단말기에서의 사용자 인증방법
TWI684884B (zh) 身份認證方法及裝置
KR20190068851A (ko) 서버 장치의 동작 방법, 단말의 동작 방법 및 서버 장치
TWI746504B (zh) 實現會話標識同步的方法及裝置
CN115103356A (zh) 计算机安全验证系统、方法、移动终端及可读存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190815

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190815

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20200605

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201005

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20201228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210614

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210910

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220104