TWI684884B - 身份認證方法及裝置 - Google Patents

身份認證方法及裝置 Download PDF

Info

Publication number
TWI684884B
TWI684884B TW106101935A TW106101935A TWI684884B TW I684884 B TWI684884 B TW I684884B TW 106101935 A TW106101935 A TW 106101935A TW 106101935 A TW106101935 A TW 106101935A TW I684884 B TWI684884 B TW I684884B
Authority
TW
Taiwan
Prior art keywords
digital signature
user
signature certificate
server
information
Prior art date
Application number
TW106101935A
Other languages
English (en)
Other versions
TW201828135A (zh
Inventor
鍾浩杰
趙翔宇
張樹立
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Priority to TW106101935A priority Critical patent/TWI684884B/zh
Publication of TW201828135A publication Critical patent/TW201828135A/zh
Application granted granted Critical
Publication of TWI684884B publication Critical patent/TWI684884B/zh

Links

Images

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本發明實施例涉及一種身份認證方法及裝置,包括:終端設備接收業務請求,根據業務請求採集使用者的第一生物認證資訊;將第一生物認證資訊與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰;根據數位簽章證書私密金鑰,對業務請求進行數位簽章,並產生生物資訊驗證報文;向服務端發送生物資訊驗證報文,以使服務端讀取預先儲存的與數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使服務端根據數位簽章證書公開金鑰對生物資訊驗證報文驗簽後,向終端設備回傳認證結果資訊。由此,可以提高使用者的支付操作的安全性和便捷性。

Description

身份認證方法及裝置
本發明涉及電腦技術領域,尤其涉及一種身份認證方法及裝置。
傳統技術中,一般是透過對使用者輸入的密碼(如,6位元數位串)進行驗證的方式來對使用者的身份進行認證,以便在使用者在身份認證透過後執行業務操作。然而,這通常需要使用者牢記密碼,由此,會嚴重影響使用者使用的便利性;此外,上述密碼本質上還是靜態密碼,被盜後對使用者的資金安全將造成重大威脅。
本發明實施例提供了一種身份認證方法及裝置,可以提高使用者執行的業務操作的安全性和便捷性。
第一態樣,提供了一種身份認證方法,該方法包括:終端設備接收業務請求,根據所述業務請求採集使用者的第一生物認證資訊;將所述第一生物認證資訊與預設的生物認證資訊進行 比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰;根據所述數位簽章證書私密金鑰,對所述業務請求進行數位簽章,並產生生物資訊驗證報文;向服務端發送所述生物資訊驗證報文,以使所述服務端讀取預先儲存的與所述數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使所述服務端根據所述數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽後,向所述終端設備回傳認證結果資訊。
第二態樣,提供了一種身份認證裝置,該裝置包括:採集單元、讀取單元、產生單元和發送單元;所述採集單元,用於接收業務請求,根據所述業務請求採集使用者的第一生物認證資訊;所述讀取單元,用於將所述採集單元採集的所述第一生物認證資訊與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰;所述產生單元,用於根據所述讀取單元讀取的所述數位簽章證書私密金鑰,對所述業務請求進行數位簽章,並產生生物資訊驗證報文;所述發送單元,用於向服務端發送所述產生單元產生的所述生物資訊驗證報文,以使所述服務端讀取預先儲存的與所述數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使所述服務端根據所述數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽後,向所述終端設備回傳認證 結果資訊。
本發明提供的身份認證方法及裝置,終端設備在採集的生物認證資訊與預設的生物認證資訊比對一致時,向服務端發送使用預先儲存的數位簽章證書私密金鑰進行簽名的生物資訊驗證報文,由服務端根據預先儲存的數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽,從而達到驗證使用者身份的目的,由此,可以提高使用者執行的業務操作的安全性和便捷性。
S110-S2250‧‧‧步驟
301‧‧‧採集單元
302‧‧‧讀取單元
303‧‧‧產生單元
304‧‧‧發送單元
圖1為本發明一種實施例提供的身份認證方法流程圖;圖2為本發明另一種實施例提供的身份認證方法資訊交互圖;圖3為本發明再一種實施例提供的身份認證裝置示意圖。
為使本發明實施例的目的、技術方案和優點更加清楚,下面將結合本發明實施例中的圖式,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬於本發明保 護的範圍。
為便於對本發明實施例的理解,下面將結合圖式以具體實施例做進一步的解釋說明,實施例並不構成對本發明實施例的限定。
本發明實施例提供的身份認證方法及裝置,適用於對執行業務操作的使用者的身份進行認證的場景,如,可以對透過支付系統執行支付操作的使用者的身份進行認證的場景。
需要說明的是,在本發明實施例中,以對支付過程中的使用者的身份進行認證為例來說(如,業務請求為支付請求),而對執行其它業務操作的使用者的身份進行認證的方法類似,本發明對此不復贅述。
其中,支付系統包括支付使用者端和支付服務端,支付使用者端中打包有第一安全性群組件,該第一安全性群組件也稱為安全使用者端,或者稱為“支付安全校驗服務”(即alipaySec模組),其用於存放數位簽章演算法、安全使用者端私密金鑰、安全服務端公開金鑰,以及新產生的數位簽章證書私密金鑰。安全使用者端可直接透過作業系統與終端設備的採集模組(如,指紋感應器)、或者可以直接與終端設備供應商提供的可信任執行環境(Trusted Execution Environment,TEE)通訊,用於調起採集模組檢查終端設備是否支援生物認證資訊的識別、是否錄入了生物認證資訊和驗證使用者輸入的生物認證資訊,以及資訊和演算法安全存取。
此外,支付服務端中也打包有第二安全性群組件,該第二安全性群組件也稱為安全服務端,或者稱為“生物識別核心”(即bic系統),用於產生認證挑戰資訊,並用於儲存數位簽章演算法、安全使用者端公開金鑰、安全服務端私密金鑰,以及到poeder系統中寫入生物認證資訊開通的協定(如,指紋開通的協議)以及新產生的數位簽章證書公開金鑰。該安全服務端與安全使用者端相對應。
還需要說明的是,本發明提供的終端設備包括但不限於行動電話、行動電腦、平板電腦、個人數位助理(Personal Digital Assistant,PDA)、媒體播放機、智慧型電視、智慧型手錶、智慧型眼鏡、智慧型手環等,而終端設備上的作業系統可以為IOS系統、安卓(Android)系統或者其它系統。另外,本發明的終端設備安裝有支付使用者端,且具有採集模組,該採集模組具體可以設置在作業系統中的硬體設備,其可以為指紋感應器、攝像頭或者麥克風等。
圖1為本發明一種實施例提供的身份認證方法流程圖。所述方法的執行主體可以為具有處理能力的設備:伺服器或者系統或者裝置,如圖1所示,所述方法具體包括:
步驟S110,終端設備接收業務請求,根據所述業務請求採集使用者的第一生物認證資訊。
即終端設備的支付使用者端接收業務請求,並透過安全使用者端向採集模組發送第一採集指令,以用於採集模 組採集並向安全使用者端回傳使用者的第一生物認證資訊。
較佳地,上述業務請求可以為支付請求。在一種實施方式中,該支付請求可以是由使用者點擊支付使用者端的“支付”按鈕觸發。
此處的生物認證資訊包括以下一種或多種:指紋資訊、臉部圖像資訊以及聲音資訊。在此說明書中,以生物認證資訊為指紋資訊進行說明。而預設的生物認證資訊可以是由終端設備的採集模組預先採集的能唯一的識別使用者的資訊。如,當預設的生物認證資訊為預設的指紋資訊時,則終端設備預先透過指紋感應器採集使用者的指紋資訊,並將採集到的指紋資訊儲存在本地作為預設的指紋資訊。需要說明的是,此處的預設的指紋資訊可以是根據預設的演算法對採集到的實際的指紋資訊進行相應的計算後得到的,如,指紋感應器可以預先採集10個手指的指紋資訊,然後對該10個手指的指紋資訊求平均值,最後得到上述預設的指紋資訊。
可選地,在步驟110之前,所述方法還可以包括產生並儲存所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰的步驟,透過該步驟可以實現使用者的生物認證資訊只保存在終端設備本地,而不被上傳到支付服務端,就能在支付過程中對使用者的身份進行認證。
具體步驟如下:
步驟1101,所述終端設備接收開通請求,根據所述 開通請求採集使用者的第二生物認證資訊。
其中,步驟1101中所述終端設備接收開通請求,根據所述開通請求採集使用者的第二生物認證資訊具體可以包括:
步驟A:所述終端設備向所述服務端發送所述開通請求。
即終端設備的支付使用者端向支付服務端發送開通請求,支付服務端在接收到上述開通請求之後,透過調用安全服務端讀取認證挑戰資訊,其中,該認證挑戰資訊可以是由安全服務端在使用預設的安全服務端私密金鑰對其產生的隨機字串進行數位簽章後產生的。
步驟B:接收所述服務端根據所述開通請求回傳的回應訊息。
此處,可以是由支付使用者端接收回應訊息。較佳地,該回應訊息可以為上述支付服務端透過安全服務端讀取到的認證挑戰資訊。
步驟C:對所述回應訊息進行驗簽,並在驗簽透過後採集使用者的第二生物認證資訊。
即支付使用者端透過調用安全使用者端對接收到的認證挑戰資訊進行驗簽。具體地,安全使用者端根據預設的安全服務端公開金鑰對認證挑戰資訊進行驗簽,並在驗簽透過後向採集模組發送第二採集指令,以使採集模組根據第二採集指令採集使用者的第二生物認證資訊。
以生物認證資訊為指紋資訊為例來說,可以是支付使 用者端先接收使用者輸入的開通請求,支付使用者端在接收到該開通請求之後向安全使用者端發送第一調用消息,該第一調用消息用於指示安全使用者端校驗使用者當前使用的終端設備是否支援指紋支付、指紋感應器中是否已儲存了預設的指紋資訊。此處,安全使用者端具體透過調用服務:hardwarePayExecute(type=QUICKPAY_REQUEST_TYPE_INIT)校驗使用者當前使用的終端設備是否支援指紋支付、指紋感應器中是否已儲存了預設的指紋資訊;若終端設備支援指紋支付,且在指紋感應器中已儲存了預設的指紋資訊,則安全使用者端向支付使用者端回傳支援的資訊,以用於支付使用者端向使用者展示滑動按鈕;當接收到對該滑動按鈕執行的滑動指令時(即使用者想要開通指紋支付的功能),支付使用者端向使用者展示法務文案。
支付使用者端在接收到使用者輸入的確認指令時,該確認指令可以是由使用者在查看展示的法務文案之後,選擇“我已瞭解”時觸發。支付使用者端向支付服務端發送開通請求,即透過調用服務:getBiometricRegRequestRPC(設備id,手機設備型號,已登錄的使用者uid)向支付服務端發送開通請求,以用於支付服務端向安全服務端發送第二調用消息,如,支付服務端透過調用服務mobileBiometricService.getRegRequest發送第二調用消息,安全服務端在接收到第二調用消息之後,根據當前的時間戳記等資訊產生隨機字串,並使用預先儲存在安全服 務端的安全服務端私密金鑰(也即預設的安全服務端私密金鑰)對上述產生的隨機字串進行數位簽章後產生認證挑戰資訊,然後向支付服務端回傳產生的認證挑戰資訊;支付服務端在讀取到上述認證挑戰資訊之後,向支付使用者端轉發該認證挑戰資訊,安全使用者端對上述認證挑戰資訊進行驗簽,是為了確認當前接收的認證挑戰資訊是否是由安全服務端發送,且為了確認當前接收的認證挑戰資訊是否被修改,當安全使用者端在確認當前接收的認證挑戰資訊是由安全服務端發送,且發送的認證挑戰資訊沒有被修改時,則說明安全使用者端與安全服務端之間的資料通道是安全的,從而可以向指紋感應器(即採集模組)發送第二採集指令,採集模組在接收到第二採集指令後,採集使用者的第二生物認證資訊。
步驟1102,將所述第二生物認證資訊與所述預設的生物認證資訊比對一致時,產生與所述第二生物認證資訊對應的所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰,並保存所述數位簽章證書私密金鑰。
即在採集模組根據採集指令採集到使用者的第二生物認證資訊之後,向安全使用者端回傳該第二生物認證資訊,以便安全使用者端將第二生物認證信息與所述預設的生物認證資訊進行比對,並在比對一致時,產生與所述第二生物認證資訊對應的所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰,並保存所述數位簽章證書私密金鑰。
其中,在安全使用者端執行所述產生與所述第二生物認證資訊對應的所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰之前,所述方法還可以包括:所述安全使用者端接收所述支付使用者端發送的第一消息,所述第一消息攜帶所述使用者的唯一標識(Identifier,ID)以及所述終端設備的ID;所述產生與所述第二生物認證資訊對應的所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰,包括:所述安全使用者端根據所述使用者的ID、所述終端設備的ID以及比對一致的結果資訊,產生與所述第二生物認證資訊對應的所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰。
此處,使用者的ID可以是由支付系統產生的用於唯一標識一個使用者的資訊。在一種實現方式中,可以直接從Session中讀取使用者的ID;而終端設備的ID則可以為國際行動設備識別碼(International Mobile Equipment Identification Number,IMEI)。另外,上述數位簽章證書公開金鑰和數位簽章證書私密金鑰是在安全使用者端將第二生物認證資訊與預設的生物認證資訊比對一致時產生的,所以其也稱為與第二生物認證資訊對應的數位簽章證書私密金鑰以及數位簽章證書公開金鑰。還需要說明的是,上述比對一致的結果資訊即為第二生物認證資訊與預設的生物認證資訊比對一致的結果資訊。
在產生上述數位簽章證書公開金鑰和數位簽章證書私 密金鑰之後,安全使用者端儲存數位簽章證書私密金鑰。在一種實現方式中,當終端設備的作業系統為Andriod系統時,則該數位簽章證書私密金鑰可以儲存在安全使用者端的可信任執行環境TEE中。
當然,在實際應用中,在首次開通指紋支付、圖像識別支付以及聲音支付的過程中,終端設備在採集到上述第二生物認證資訊之後,可以直接產生與該生物認證資訊對應的數位簽章證書公開金鑰和數位簽章證書私密金鑰,而不需要將第二生物認證資訊與預設的生物認證資訊進行比對,且在比對一致時才執行產生的步驟。
步驟1103,根據第一預設的私密金鑰,對所述開通請求進行數位簽章後,產生開通請求報文,其中,所述開通請求報文攜帶所述數位簽章證書公開金鑰。
此處,第一預設的私密金鑰可以為預設的安全使用者端私密金鑰,即安全使用者端使用預設的安全使用者端私密金鑰對開通請求進行數位簽章後,產生開通請求報文。
需要說明的是,上述開通請求可以同時包括認證挑戰資訊,也即同時將認證挑戰資訊與數位簽章證書公開金鑰進行數位簽章,產生開通請求報文。
步驟1104,向所述服務端發送所述開通請求報文,以使所述服務端根據第一預設的公開金鑰對所述開通請求報文驗簽透過後,保存所述數位簽章證書公開金鑰,其中,所述第一預設的私密金鑰與所述第一預設的公開金鑰相對應。
此處,第一預設的公開金鑰可以為預設的安全使用者端公開金鑰,即安全使用者端向所述支付使用者端發送開通請求報文,所述支付使用者端透過所述支付服務端將所述開通請求報文轉發至所述安全服務端,由所述安全服務端根據預設的安全使用者端公開金鑰對所述開通請求報文驗簽透過後,儲存所述數位簽章證書公開金鑰。
可選地,步驟1104中所述向所述服務端發送所述開通請求報文,包括:所述終端設備驗證所述使用者是否為合法使用者;當所述使用者為合法使用者時,對原始支付密碼進行校驗,並在校驗成功時向所述服務端發送所述開通請求報文。
在一個例子中,支付使用者端可以先獲取與當前使用者綁定的手機號碼,向該手機號碼的手機發送短信,待接收到表示確認的消息時,接收使用者輸入的原始支付密碼,並在所述原始支付密碼校驗成功時透過所述支付服務端將所述開通請求報文轉發至所述安全服務端。由此,可以驗證當前的使用者是否為支付使用者端的使用者,從而可以提高支付操作的安全性。
此處,支付使用者端具體可以透過調用服務registerBiometricRPC(設備id,手機設備型號,指紋開通報文,已登錄的使用者uid)向支付服務端發送開通請求報文,支付服務端在將該開通請求報文轉發至安全服務端之後,安全服務端根據預設的安全使用者端公開金鑰對所述 開通請求報文驗簽透過後,解析並儲存所述開通請求報文中的所述數位簽章證書公開金鑰,其中,所述預設的安全使用者端私密金鑰與所述預設的安全使用者端公開金鑰相對應。此外,在對所述開通請求報文驗簽透過後,還可以向支付服務端回傳驗簽透過的消息,之後支付服務端再將上述驗簽透過的消息回傳至支付使用者端,從而支付使用者端可以向使用者顯示表示可以在支付的過程中透過輸入指紋資訊、臉部圖像資訊或者語音資訊等認證身份,而支付的額度則與不同終端設備的安全等級是相應的。
在執行上述產生並儲存所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰的步驟之後,使用者在透過支付系統進行訂單支付時,就可以透過輸入指紋資訊、頭部圖像資訊以及聲音資訊來進行身份認證,並且在身份認證透過後執行支付操作。
步驟S120,將所述第一生物認證資訊與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰。
即安全使用者端將所述第一生物認證信息與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰。
步驟S130,根據所述數位簽章證書私密金鑰,對所述業務請求進行數位簽章,並產生生物資訊驗證報文。
在支付場景下,上述業務請求可以為支付請求,即安全使用者端根據讀取的數位簽章證書私密金鑰,對支付請 求進行數位簽章,並產生生物資訊驗證報文;之後安全使用者端將產生的生物資訊驗證報文發送至支付使用者端。
步驟S140,向服務端發送所述生物資訊驗證報文,以使所述服務端讀取預先儲存的與所述數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使所述服務端根據所述數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽後,向所述終端設備回傳認證結果資訊。
支付使用者端向支付服務端發送所述生物資訊驗證報文,所述支付服務端從安全服務端中讀取預選儲存的與所述數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,根據所述數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽後,向所述支付使用者端回傳認證結果資訊。
當然,在實際應用中,若支付使用者端在發送業務請求本身進行了加密,則支付服務端在根據數位簽章證書公開金鑰對生物資訊驗證報文驗簽後,還需要根據預設的演算法,對加密的業務請求本身進行解密,只有解密成功後才向支付使用者端回傳認證成功與否的結果資訊。
在此說明,本發明中所涉及到的進行數位簽章以及對數位簽章進行驗簽屬於現有技術,只是進行數位簽章以及驗簽的物件不同而已,本領域技術人員可參考現有技術實現,因此,本發明對這個過程不作贅述。
本發明提供的身份認證方法及裝置,終端設備在採集的生物認證資訊與預設的生物認證資訊比對一致時,向服務端發送使用預先儲存的數位簽章證書私密金鑰進行簽名 的生物資訊驗證報文,由服務端根據預先儲存的數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽,從而達到驗證使用者身份的目的,由此,可以提高使用者執行的業務操作的安全性和便捷性。
以下實施例將以開通指紋支付,並在開通指紋支付之後,透過對指紋資訊的驗證來對使用者的身份進行認證為例來說。
圖2為本發明另一種實施例提供的身份認證方法資訊交互圖。如圖2所示,所述方法具體可以包括:
步驟S210,支付使用者端根據接收的開通請求向安全使用者端發送第一調用消息。
其中,所述第一調用消息用於指示安全使用者端校驗使用者當前使用的終端設備是否支援指紋支付、指紋感應器中是否已儲存了預設的指紋資訊。
安全使用者端具體透過調用服務:hardwarePayExecute(type=QUICKPAY_REQUEST_TYPE_INIT)校驗使用者當前使用的終端設備是否支援指紋支付、指紋感應器中是否已儲存了預設的指紋資訊。
步驟S220,安全使用者端向支付使用者端回傳支援的資訊。
步驟S230,支付使用者端向支付服務端發送開通請求。
支付使用者端透過服務:getBiometricRegRequestRPC (設備id,手機設備型號,已登錄的使用者uid)向支付服務端發送開通請求。
步驟S240,支付服務端根據接收的開通請求向安全服務端發送第二調用消息。
支付服務端透過調用服務mobileBiometricService.getRegRequest向安全服務端發送第二調用消息。
步驟S250,安全服務端產生隨機字串,並使用預設的安全服務端私密金鑰對上述產生的隨機字串進行數位簽章後產生認證挑戰資訊。
步驟S260,安全服務端向支付服務端回傳產生的認證挑戰資訊。
步驟S270,支付服務端向支付使用者端轉發該認證挑戰資訊。
步驟S280,支付使用者端向安全使用者端發送認證挑戰資訊。
支付使用者端具體可以透過調用服務:hardwarePayExecute(type=QUICKPAY_REQUEST_TYPE_REGISTER,data=認證挑戰資訊)向安全使用者端發送認證挑戰資訊。
步驟S290,安全使用者端根據預設的安全服務端公開金鑰對所述認證挑戰資訊進行驗簽,並在驗簽通過後向終端設備的指紋感應器發送第二採集指令。
步驟S2100,終端設備的指紋感應器向安全使用者端 發送即時採集的使用者的第一指紋資訊。
步驟S2110,安全使用者端將即時採集的第一指紋資訊與預設的指紋資訊比對一致時,產生與使用者的第一指紋資訊對應的數位簽章證書私密金鑰以及數位簽章證書公開金鑰,並保存數位簽章證書私密金鑰。
可選地,安全使用者端接收支付使用者端發送的第一消息,所述第一消息攜帶所述使用者的唯一標識ID以及所述終端設備的ID;所述產生與該第一指紋資訊對應的數位簽章證書私密金鑰以及數位簽章證書公開金鑰,包括:所述安全使用者端根據所述使用者的ID、所述終端設備的ID以及比對一致的結果資訊,產生與使用者的第一指紋資訊對應的數位簽章證書私密金鑰以及數位簽章證書公開金鑰。
需要說明的是,上述比對一致的結果資訊即為即時採集的第一指紋資訊與預設的指紋資訊比對一致的結果資訊。
步驟S2120,安全使用者端使用預設的安全使用者端私密金鑰對認證挑戰資訊進行數位簽章後,產生開通請求報文,其中,開通請求報文攜帶數位簽章證書公開金鑰。
步驟S2130,安全使用者端向支付使用者端發送開通請求報文。
步驟S2140,支付使用者端向終端設備發送驗證請求;
步驟S2150,終端設備向支付使用者端發送表示確認的回應訊息;
步驟S2160,支付使用者端接收使用者輸入的原始支付密碼,並在所述原始支付密碼正確時透過支付服務端將開通請求報文轉發至安全服務端。
步驟2170,安全服務端根據預設的安全使用者端公開金鑰對開通請求報文驗簽通過後,儲存開通請求報文中的數位簽章證書公開金鑰。
步驟S2180,安全服務端向支付服務端回傳驗簽通過的消息。
步驟S2190,支付服務端向支付使用者端轉發上述驗簽通過的消息。
步驟S2200,支付使用者端根據接收到的支付請求,透過安全使用者端向終端設備的指紋感應器發送第一採集指令。
該第一採集指令用於指示指紋感應器採集並向安全使用者端回傳使用者的第二指紋資訊。
步驟S2210,安全使用者端接收指紋感應器即時採集的第二指紋資訊,並將第二指紋資訊與預設的指紋資訊進行比對。
步驟S2220,當比對一致時,讀取預先儲存的數位簽章證書私密金鑰,並使用數位簽章證書私密金鑰對支付請求報文進行數位簽章後,產生生物資訊驗證報文。
步驟S2230,安全使用者端透過支付使用者端向支付 服務端發送生物資訊驗證報文。
步驟S2240,支付服務端從安全服務端中讀取預選儲存的數位簽章證書公開金鑰,根據數位簽章證書公開金鑰對生物資訊驗證報文驗簽。
步驟S2250,支付使用者端接收支付服務端回傳的認證成功與否的消息,並在接收到認證成功的消息後執行支付操作。
綜上,本發明提供的身份認證方法,在採集到使用者的指紋資訊時,解鎖安全使用者端中儲存的數位簽章證書私密金鑰,並在身份認證的過程中,用數位簽章證書私密金鑰來替代指紋資訊進行驗證,從而可以達到替換原始支付密碼的目的,並且可以提高使用者的支付操作的安全性和便捷性。
還需要說明的是,本發明實施例中的步驟210至步驟2190也可以稱為指紋支付開通流程,該指紋支付開通流程可應用與任何生物識別和身份認證的過程,如,虹膜、人臉以及手環等各種安全級別的身份認證。
與上述身份認證方法對應地,本發明實施例還提供的一種身份認證裝置,如圖3所示,該裝置包括:採集單元301、讀取單元302、產生單元303和發送單元304。
採集單元301,用於接收業務請求,根據所述業務請求採集使用者的第一生物認證資訊。
其中,所述生物認證資訊包括以下一種或多種:指紋資訊、臉部圖像資訊以及聲音資訊。
讀取單元302,用於將採集單元301採集的所述第一生物認證資訊與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰。
產生單元303,用於根據讀取單元302讀取的所述數位簽章證書私密金鑰,對所述業務請求進行數位簽章,並產生生物資訊驗證報文。
發送單元304,用於向服務端發送產生單元303產生的所述生物資訊驗證報文,以使所述服務端讀取預先儲存的與所述數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使所述服務端根據所述數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽後,向所述終端設備回傳認證結果資訊。
可選地,採集單元301,還用於接收開通請求,根據所述開通請求採集使用者的第二生物認證資訊。
採集單元301具體用於:向所述服務端發送所述開通請求;接收所述服務端根據所述開通請求回傳的回應訊息;對所述回應訊息進行驗簽,並在驗簽通過後採集使用者的第二生物認證資訊。
產生單元303,還用將採集單元301採集的所述第二生物認證資訊與所述預設的生物認證資訊比對一致時,產生與所述第二生物認證資訊對應的所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰,並保存所述數位簽章證書私密金鑰。
產生單元303具體用於:根據所述使用者的ID、所 述終端設備的ID以及比對一致的結果資訊,產生與所述第二生物認證資訊對應的所述數位簽章證書私密金鑰以及所述數位簽章證書公開金鑰。
產生單元303,還用於根據第一預設的私密金鑰,對所述開通請求進行數位簽章後,產生開通請求報文,其中,所述開通請求報文攜帶所述數位簽章證書公開金鑰。
發送單元304,還用於向所述服務端發送產生單元303產生的所述開通請求報文,以使所述服務端根據第一預設的公開金鑰對所述開通請求報文驗簽通過後,保存所述數位簽章證書公開金鑰,其中,所述第一預設的私密金鑰與所述第一預設的公開金鑰相對應。
發送單元304具體用於:驗證所述使用者是否為合法使用者;當所述使用者為合法使用者時,對原始支付密碼進行校驗,並在校驗成功時向所述服務端發送所述開通請求報文。
可選地,所述身份認證裝置可以用於支付過程中的身份認證,所述業務請求為支付請求。
本發明實施例裝置的各功能模組的功能,可以透過上述方法實施例的各步驟來實現,因此,本發明提供的裝置的具體工作過程,在此不復贅述。
本發明提供的身份認證裝置,採集單元301接收業務請求,根據所述業務請求採集使用者的第一生物認證資訊;讀取單元302將所述第一生物認證資訊與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數 位簽章證書私密金鑰;產生單元303根據所述數位簽章證書私密金鑰,對所述業務請求進行數位簽章,並產生生物資訊驗證報文;發送單元304向服務端發送所述生物資訊驗證報文,以使所述服務端讀取預先儲存的與所述數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使所述服務端根據所述數位簽章證書公開金鑰對所述生物資訊驗證報文驗簽後,向所述終端設備回傳認證結果資訊。由此,可以提高使用者的支付操作的安全性和便捷性。
專業人員應該還可以進一步意識到,結合本文中所公開的實施例描述的各示例的物件及演算法步驟,能夠以電子硬體、電腦軟體或者二者的結合來實現,為了清楚地說明硬體和軟體的可互換性,在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬體還是軟體方式來執行,取決於技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能,但是這種實現不應認為超出本發明的範圍。
結合本文中所公開的實施例描述的方法或演算法的步驟可以用硬體、處理器執行的軟體模組,或者二者的結合來實施。軟體模組可以置於隨機存取記憶體(RAM)、記憶體、唯讀記憶體(ROM)、電可程式化ROM、電可擦除可程式化ROM、暫存器、硬碟、抽取式磁碟、CD-ROM、或技術領域內所公知的任意其它形式的儲存介質中。
以上所述的具體實施方式,對本發明的目的、技術方案和有益效果進行了進一步詳細說明,所應理解的是,以上所述僅為本發明的具體實施方式而已,並不用於限定本發明的保護範圍,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明的保護範圍之內。

Claims (14)

  1. 一種身份認證方法,其特徵在於,該方法包括:終端設備接收業務請求,根據該業務請求採集使用者的第一生物認證資訊;將該第一生物認證資訊與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰;根據該數位簽章證書私密金鑰,對該業務請求進行數位簽章,並產生生物資訊驗證報文;向服務端發送該生物資訊驗證報文,以使該服務端讀取預先儲存的與該數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使該服務端根據該數位簽章證書公開金鑰對該生物資訊驗證報文驗簽後,向該終端設備回傳認證結果資訊,其中,該數位簽章證書私密金鑰與該數位簽章證書公開金鑰是在該終端設備產生。
  2. 根據請求項1所述的方法,其中,該方法還包括:產生並儲存該數位簽章證書私密金鑰以及該數位簽章證書公開金鑰的步驟,包括:該終端設備接收開通請求,根據該開通請求採集使用者的第二生物認證資訊;將該第二生物認證資訊與該預設的生物認證資訊比對一致時,產生與該第二生物認證資訊對應的該數位簽章證書私密金鑰以及該數位簽章證書公開金鑰,並保存該數位 簽章證書私密金鑰;根據第一預設的私密金鑰,對該開通請求進行數位簽章後,產生開通請求報文,其中,該開通請求報文攜帶該數位簽章證書公開金鑰;向該服務端發送該開通請求報文,以使該服務端根據第一預設的公開金鑰對該開通請求報文驗簽透過後,保存該數位簽章證書公開金鑰,其中,該第一預設的私密金鑰與該第一預設的公開金鑰相對應。
  3. 根據請求項1或2所述的方法,其中,該生物認證資訊包括以下一種或多種:指紋資訊、臉部圖像資訊以及聲音資訊。
  4. 根據請求項2所述的方法,其中,該產生與該第二生物認證資訊對應的該數位簽章證書私密金鑰以及該數位簽章證書公開金鑰,包括:根據該使用者的ID、該終端設備的ID以及比對一致的結果資訊,產生與該第二生物認證資訊對應的該數位簽章證書私密金鑰以及該數位簽章證書公開金鑰。
  5. 根據請求項2所述的方法,其中,該終端設備接收開通請求,根據該開通請求採集使用者的第二生物認證資訊,包括:該終端設備向該服務端發送該開通請求;接收該服務端根據該開通請求回傳的回應訊息;對該回應訊息進行驗簽,並在驗簽透過後採集使用者的第二生物認證資訊。
  6. 根據請求項2所述的方法,其中,該向該服務端發送該開通請求報文,包括:該終端設備驗證該使用者是否為合法使用者;當該使用者為合法使用者時,對原始支付密碼進行校驗,並在校驗成功時向該服務端發送該開通請求報文。
  7. 根據請求項1、2、4-6中任一項所述的方法,其中,該方法應用於支付過程中的身份認證,該業務請求為支付請求。
  8. 一種身份認證裝置,其特徵在於,該裝置包括:採集單元、讀取單元、產生單元和發送單元;該採集單元,用於接收業務請求,根據該業務請求採集使用者的第一生物認證資訊;該讀取單元,用於將該採集單元採集的該第一生物認證資訊與預設的生物認證資訊進行比對,並在比對一致時,讀取預先儲存的數位簽章證書私密金鑰;該產生單元,用於根據該讀取單元讀取的該數位簽章證書私密金鑰,對該業務請求進行數位簽章,並產生生物資訊驗證報文;該發送單元,用於向服務端發送該產生單元產生的該生物資訊驗證報文,以使該服務端讀取預先儲存的與該數位簽章證書私密金鑰對應的數位簽章證書公開金鑰,並使該服務端根據該數位簽章證書公開金鑰對該生物資訊驗證報文驗簽後,向該終端設備回傳認證結果資訊,其中,該數位簽章證書私密金鑰與該數位簽章證書公 開金鑰是在該終端設備產生。
  9. 根據請求項8所述的裝置,其中,該採集單元,還用於接收開通請求,根據該開通請求採集使用者的第二生物認證資訊;該產生單元,還用將該採集單元採集的該第二生物認證資訊與該預設的生物認證資訊比對一致時,產生與該第二生物認證資訊對應的該數位簽章證書私密金鑰以及該數位簽章證書公開金鑰,並保存該數位簽章證書私密金鑰;該產生單元,還用於根據第一預設的私密金鑰,對該開通請求進行數位簽章後,產生開通請求報文,其中,該開通請求報文攜帶該數位簽章證書公開金鑰;該發送單元,還用於向該服務端發送該產生單元產生的該開通請求報文,以使該服務端根據第一預設的公開金鑰對該開通請求報文驗簽透過後,保存該數位簽章證書公開金鑰,其中,該第一預設的私密金鑰與該第一預設的公開金鑰相對應。
  10. 根據請求項8或9所述的裝置,其中,該生物認證資訊包括以下一種或多種:指紋資訊、臉部圖像資訊以及聲音資訊。
  11. 根據請求項9所述的裝置,其中,該產生單元具體用於:根據該使用者的ID、該終端設備的ID以及比對一致的結果資訊,產生與該第二生物認證資訊對應的該數位簽章證書私密金鑰以及該數位簽章證書公開金鑰。
  12. 根據請求項9所述的裝置,其中,該採集單元具體用於:向該服務端發送該開通請求;接收該服務端根據該開通請求回傳的回應訊息;對該回應訊息進行驗簽,並在驗簽透過後採集使用者的第二生物認證資訊。
  13. 根據請求項9所述的裝置,其中,該發送單元具體用於:驗證該使用者是否為合法使用者;當該使用者為合法使用者時,對原始支付密碼進行校驗,並在校驗成功時向該服務端發送該開通請求報文。
  14. 根據請求項8、9、11-13中任一項所述的裝置,其中,該裝置用於支付過程中的身份認證,該業務請求為支付請求。
TW106101935A 2017-01-19 2017-01-19 身份認證方法及裝置 TWI684884B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW106101935A TWI684884B (zh) 2017-01-19 2017-01-19 身份認證方法及裝置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106101935A TWI684884B (zh) 2017-01-19 2017-01-19 身份認證方法及裝置

Publications (2)

Publication Number Publication Date
TW201828135A TW201828135A (zh) 2018-08-01
TWI684884B true TWI684884B (zh) 2020-02-11

Family

ID=63960548

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106101935A TWI684884B (zh) 2017-01-19 2017-01-19 身份認證方法及裝置

Country Status (1)

Country Link
TW (1) TWI684884B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060176146A1 (en) * 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
CN101101656A (zh) * 2007-06-20 2008-01-09 上海灵慧软件销售有限公司 基于按销售额提成付费模式的电信产品网络营销方法
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及系统
CN102880960A (zh) * 2012-09-26 2013-01-16 深圳市亚略特生物识别科技有限公司 基于指纹识别手机的短信支付方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060176146A1 (en) * 2005-02-09 2006-08-10 Baldev Krishan Wireless universal serial bus memory key with fingerprint authentication
CN101101656A (zh) * 2007-06-20 2008-01-09 上海灵慧软件销售有限公司 基于按销售额提成付费模式的电信产品网络营销方法
CN101340285A (zh) * 2007-07-05 2009-01-07 杭州中正生物认证技术有限公司 利用指纹USBkey进行身份验证的方法及系统
CN102880960A (zh) * 2012-09-26 2013-01-16 深圳市亚略特生物识别科技有限公司 基于指纹识别手机的短信支付方法及系统

Also Published As

Publication number Publication date
TW201828135A (zh) 2018-08-01

Similar Documents

Publication Publication Date Title
EP3343831B1 (en) Identity authentication method and apparatus
AU2017203608B2 (en) Mobile human challenge-response test
CN106464673B (zh) 用于验证装置注册的增强的安全性
CN108777684B (zh) 身份认证方法、系统及计算机可读存储介质
CN106664208B (zh) 使用安全传输协议建立信任的系统和方法
US10360561B2 (en) System and method for secured communications between a mobile device and a server
CN106575416B (zh) 用于向装置验证客户端的系统和方法
KR100992573B1 (ko) 휴대단말기를 이용한 인증 방법 및 시스템
CN106453205B (zh) 一种身份验证方法和装置
TW201430607A (zh) 判定認證能力之查詢系統及方法
TW201108699A (en) Authentication method and system
CN108833431B (zh) 一种密码重置的方法、装置、设备及存储介质
EP3206329B1 (en) Security check method, device, terminal and server
KR102284396B1 (ko) 생체 정보 기반의 pki 키 생성 방법 및 이를 이용한 키 생성 장치
CN113711560A (zh) 用于有效质询-响应验证的系统和方法
CN110417740B (zh) 用户数据的处理方法、智能终端、服务器及存储介质
CN111445231A (zh) 实现MOTOpay的方法、装置及电子设备
TWI684884B (zh) 身份認證方法及裝置
CN112016926A (zh) 安全交易环境的用户身份验证方法
TW201437840A (zh) 透過檔案比對進行驗證之方法
CN114830092A (zh) 用于防御恶意程序代码注入的系统和方法