TWI776404B - 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 - Google Patents
生物支付設備的認證方法、裝置、電腦設備和儲存媒體 Download PDFInfo
- Publication number
- TWI776404B TWI776404B TW110106579A TW110106579A TWI776404B TW I776404 B TWI776404 B TW I776404B TW 110106579 A TW110106579 A TW 110106579A TW 110106579 A TW110106579 A TW 110106579A TW I776404 B TWI776404 B TW I776404B
- Authority
- TW
- Taiwan
- Prior art keywords
- payment
- key
- authentication server
- signature
- biometric
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Measurement And Recording Of Electrical Phenomena And Electrical Characteristics Of The Living Body (AREA)
Abstract
一種生物支付設備的方法,包括:獲取設備的金鑰,其中,金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據金鑰和設備資訊生成簽名;基於設備資訊和簽名向支付認證伺服器發送認證請求,認證請求指示支付認證伺服器根據設備資訊對簽名進行驗證,並根據驗證結果生成對生物支付設備的認證結果;接收支付認證伺服器返回認證結果,認證結果使支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
Description
本申請涉及網際網路通信技術領域,特別是涉及一種生物支付設備的認證方法、裝置、電腦設備和儲存媒體。
隨著生物支付技術的發展,生物支付被廣泛應用在多種商業場景。以生物支付場景中的刷臉支付為例,一個具體的應用場景為:收銀終端獲取到收款金額後,調用攝像頭採集使用者的人臉圖像並向支付系統發送,在支付系統對使用者的人臉圖像識別通過後,返回付款碼至收銀終端,收銀終端根據付款碼向支付系統發起支付請求,完成支付。
刷臉支付無需使用者在終端上操作付款碼,而是由支付系統根據收銀終端採集的人臉圖像生成,因此,需要對接入的收銀設備進行認證,以確保用戶資金帳戶的安全。傳統的人臉支付設備的認證是簡單的映射關係認證,將設備的簽名字串和設備編號保存在系統屬性中,調用設備認證介面進行設備認證。支付認證伺服器用對設備編號進行驗證,從而實現設備端與支付系統雙向認證,互相信任身份,建立雙向的安全鏈路。
在實際應用中,利用簽名和設備編碼映射關係進行認證的方式較為簡單,另一台設備通過遷移設備編碼與設備簽名即可冒充設備進行設備認證,從而影響生物支付的安全性能。
根據本申請的各種實施例,提供一種生物支付設備的認證方法、裝置、電腦設備和儲存媒體。
一種生物支付設備的認證方法,所述方法包括:獲取設備的金鑰,其中,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述金鑰和設備資訊生成簽名;基於所述設備資訊和所述簽名向支付認證伺服器發送認證請求,所述認證請求指示所述支付認證伺服器根據所述設備資訊對所述簽名進行驗證,並根據驗證結果生成對所述生物支付設備的認證結果;及接收所述支付認證伺服器返回認證結果,所述認證結果使所述支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
一種生物支付設備的認證方法,包括:接收生物支付設備基於簽名和設備資訊發送的認證請求,其中,所述簽名由所述生物支付設備根據金鑰和設備資訊生成,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述設備資訊對所述簽名進行驗證;根據驗證結果生成對所述生物支付設備的認證結果;及向所述生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
一種生物支付設備的認證裝置,所述裝置包括:金鑰獲取模組,用於獲取設備的金鑰,其中,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;簽名模組,用於根據所述金鑰和設備資訊生成簽名;認證模組,用於基於所述設備資訊和所述簽名向支付認證伺服器發送認證請求,所述認證請求指示所述支付認證伺服器根據所述設備資訊對所述簽名進行驗證,並根據驗證結果生成對所述生物支付設備的認證結果;接收模組,用於接收所述支付認證伺服器返回認證結果,所述認證結果使所述支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
一種生物支付設備的認證裝置,包括:認證獲取模組,用於接收生物支付設備基於簽名設備資訊發送的認證請求,其中,所述簽名由所述生物支付設備根據金鑰和設備資訊生成,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;驗證模組,用於根據所述設備資訊對所述簽名進行驗證;認證模組,用於根據驗證結果生成對所述生物支付設備的認證結果;發送模組,用於向所述生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
一種電腦設備,包括記憶體和處理器,所述記憶體存儲有電腦程式,所述處理器執行所述電腦程式時實現以下步驟:獲取設備的金鑰,其中,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述金鑰和設備資訊生成簽名;基於所述設備資訊和所述簽名向支付認證伺服器發送認證請求,所述認證請求指示所述支付認證伺服器根據所述設備資訊對所述簽名進行驗證,並根據驗證結果生成對所述生物支付設備的認證結果;接收所述支付認證伺服器返回認證結果,所述認證結果使所述支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
一種電腦設備,包括記憶體和處理器,所述記憶體存儲有電腦程式,所述處理器執行所述電腦程式時實現以下步驟:接收生物支付設備基於簽名和設備資訊發送的認證請求,其中,所述簽名由所述生物支付設備根據金鑰和設備資訊生成,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述設備資訊對所述簽名進行驗證;根據驗證結果生成對所述生物支付設備的認證結果;及向所述生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
一種電腦可讀儲存媒體,其上存儲有電腦程式,所述電腦程式被處理器執行時實現以下步驟:獲取設備的金鑰,其中,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述金鑰和設備資訊生成簽名,並基於所述簽名向支付認證伺服器發送認證請求,所述認證請求攜帶有設備標識,所述認證請求指示所述支付認證伺服器根據所述設備標識對所述簽名進行驗證,並根據驗證結果生成對所述生物支付設備的認證結果;接收所述支付認證伺服器返回認證結果,所述認證結果使所述支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
一種電腦可讀儲存媒體,其上存儲有電腦程式,所述電腦程式被處理器執行時實現以下步驟:接收生物支付設備基於簽名和設備資訊發送的認證請求,其中,所述簽名由所述生物支付設備根據金鑰和設備資訊生成,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述設備資訊對所述簽名進行驗證;根據驗證結果生成對所述生物支付設備的認證結果;及向所述生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
一種電腦程式,該電腦程式包括電腦指令,該電腦指令存儲在電腦可讀儲存媒體中。電腦設備的處理器從電腦可讀儲存媒體讀取該電腦指令,處理器執行該電腦指令,使得該電腦設備執行上述各方法實施例中的步驟。
為了使本申請的目的、技術方案及優點更加清楚明白,以下結合附圖及實施例,對本申請進行進一步詳細說明。應當理解,此處描述的具體實施例僅僅用以解釋本申請,並不用於限定本申請。
本申請提供的人臉支付設備的認證方法,可以應用於如圖1所示的應用環境中。其中,生物支付設備102通過網路與支付認證伺服器104通過網路進行通信,生物支付設備獲取設備的金鑰,其中,金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據金鑰和設備資訊生成簽名;基於簽名向支付認證伺服器發送認證請求,認證請求攜帶有設備標識,認證請求指示支付認證伺服器根據設備標識對簽名進行驗證,並根據驗證結果生成對生物支付設備的認證結果;接收支付認證伺服器返回認證結果,認證結果使支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。其中,生物支付設備102可以是具有人體生物資料獲取器件的收銀終端,包括有指紋採集器件、圖像採集器件等硬體設備,支付認證伺服器104可以用獨立的伺服器或者是多個伺服器組成的伺服器集群來實現。
在一個實施例中,如圖2所示,提供了一種生物支付設備的認證方法,以該方法應用於圖1中的生物支付設備為例進行說明,包括以下步驟:
步驟S202,獲取設備的金鑰,其中,金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰。
生物支付是指採集人體生物資料作為支付憑證的一種支付手段,人體生物資料包括指紋、人臉、筆跡、聲音和步態等。不同於掃碼支付由用戶通過操作個人手機生成私密性強的付款碼,人體生物資料是一種能夠通過公開手段獲得的資料,如通過攝像頭採集人臉,通過麥克風採集聲音,通過攝像頭採集步態等。因此,從某種手段來說,人體特徵資料是一種公開資料,這就需要生物支付設備是被認證通過的,以保障支付通信鏈路的安全。
為確保生物支付的安全性,一方面,從源頭確保生物支付設備是通過支付平台資格認證的生產商所生產的合格設備,獲得用於認證的金鑰,另一方面,生物支付設備作為商家的收銀終端被使用時,與支付認證伺服器通信,根據金鑰生成簽名,在支付認證伺服器對簽名驗證通過後,建立生物支付設備與支付認證伺服器的安全鏈路。
其中,生產商是指生物支付設備的生產商,生產商通過入駐支付平台的商戶平台,作為支付平台的商戶而獲得生產能夠被支付平台認證的生物支付設備的資格,生產商生產完成的生物支付設備需要通過支付平台的驗收,進而被售賣給商家,作為商家的收銀終端。
生產商設備是生產商與支付認證伺服器通信工具,是設備生產的輔助工具。生物支付設備生產完成後,通過生產商設備與支付認證伺服器通信獲得被支付認證伺服器認可的設備金鑰。
一種實施方式的設備金鑰的獲取方式為生產階段在生物支付設備生成公私密金鑰,將公開金鑰匯出至生產商設備,由於生產商通過了支付平台的資格認證,可通過生產商設備將公開金鑰上傳至支付認證伺服器。即私密金鑰生成和保存在生物支付設備本地,公開金鑰上傳至支付認證伺服器,由於公開金鑰是被具有資格的生產商設備所上傳的,且支付認證服務器具有與生物支付設備匹配公開金鑰,因而,生物支付設備本地的私密金鑰是被支付認證伺服器認可的金鑰。
一種實施方式的設備金鑰的獲取方式是生產階段將生物支付設備匯出設備資訊至生產商設備,由於生產商通過了支付平台的資格認證,可通過生產商設備將設備資訊上傳至支付認證伺服器,由支付認證伺服器根據設備資訊生成金鑰,並返回至生產商設備,由生產商設備將金鑰燒錄至生物支付設備。由於金鑰是支付認證伺服器根據設備資訊生成的,因此,金鑰是被支付認證伺服器認可的。
步驟S204,根據金鑰和設備資訊生成簽名。
具體地,生物支付設備根據金鑰對設備資訊生成簽名,即使用金鑰對設備資訊進行加密,得到的密文即此次傳輸過程的簽名。設備資訊是指能夠標識生物支付設備身份的資訊,可以為設備ID,設備MAC位址等。
步驟S206,基於設備資訊和簽名向支付認證伺服器發送認證請求,認證請求指示支付認證伺服器根據設備資訊對簽名進行驗證,並根據驗證結果生成對生物支付設備的認證結果。
生物支付設備基於設備資訊和簽名向支付認證伺服器發送認證請求。向支付認證伺服器發送的設備資訊與生物支付設備用於生成簽名的設備資訊相同。支付認證伺服器接收到認證請求後,根據設備標識獲取生物支付設備對應的解密方式,如獲取該設備資訊對應的公開金鑰或解密規則,根據公開金鑰和金鑰規則解密簽名得到設備資訊,驗證解密得到的設備資訊與接收到的設備資訊是否一致,根據驗證結果生成對生物支付設備的認證結果。
若解密得到的設備資訊與接收到的設備資訊一致則驗簽通過,得到簽名驗證通過的驗證結果,進一步得到生物支付設備認證通過的認證結果。若解密得到的設備資訊與接收到的設備資訊不一致,則驗簽不通過,得到簽名驗證失敗的驗證結果,進一步得到生物支付設備認證失敗的認證結果。
步驟S208,接收支付認證伺服器返回認證結果,認證結果使支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
具體地,在支付認證伺服器認證通過後,支付認證伺服器登記認證通過的生物支付設備,建立生物支付設備與支付認證伺服器的安全鏈路。生物支付設備採集生物資料,將採集的生物資料和設備標識發送至支付認證伺服器。支付認證伺服器根據設備標識判斷生物支付設備是否為認證通過的設備,若是,則對採集的生物資料與資料庫中存儲的使用者的特徵資料進行匹配,根據匹配的使用者帳戶資訊生成付款碼,將付款碼返回至生物支付設備,由生物支付設備根據付款碼向支付認證伺服器發起付款,支付認證伺服器從對應帳號進行扣款。而若認證伺服器根據設備標識判斷生物支付設備為非認證通過的設備,則將該生物支付設備的付款請求不作處理,認定為非法設備以保障使用者支付帳戶安全。
上述的生物支付設備的認證方法,生物支付設備的金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰,進而利用金鑰生成簽名資訊,發送給支付認證伺服器驗簽,而簽名是在生物支付設備端根據金鑰生成的,金鑰具有較高的安全等級,其它終端不能獲得金鑰生成簽名冒充設備進行設備認證。支付驗證伺服器根據認證結果能夠確定發送生物資料的設備是哪一台設備,是否為支付平台所認證過的設備,只有通過支付驗證伺服器認證的生物支付設備採集的生物資料,在支付驗證伺服器側才能獲得付款碼,從而確保生物支付的安全性能。
在另一個實施例中,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰的方式,包括:根據金鑰生產指令生成公開金鑰和私密金鑰;匯出公開金鑰至生產商設備,由生產商設備上傳公開金鑰至支付認證伺服器。
具體地,生物支付設備在完成硬體生產後,出廠前需要配置好設備金鑰。如圖3所示的生產環境示意圖。生物支付設備302與生產商設備304連接,生產商設備304與支付認證伺服器306通信連接。
其中,金鑰生產指令是指生物支付設備生產過程中用於啟動產生公開金鑰和私密金鑰的指令。具體為在生物支付設備硬體生產完成後,為生物支付設備搭載作業系統,運行作業系統,根據金鑰生產指令生成公開金鑰和私密金鑰。
公開金鑰和私密金鑰是使用非對稱加密演算法得到的一個金鑰對中,將其中的一個向外界公開,稱為公開金鑰,另一個自己保留,稱為私密金鑰。通過這種演算法得到的金鑰對能保證在世界範圍內是唯一的。使用金鑰對的時候,如果用其中一個金鑰加密一段資料,必須用另一個金鑰解密。比如用私密金鑰加密必須用公開金鑰解密,否則解密將不會成功。
本申請中,私密金鑰是金鑰對所有者持有,即私密金鑰是生物支付設備所持有,不可公佈,公開金鑰由金鑰對持有者公佈支付驗證伺服器。具體地,通過被支付認證伺服器認可的生產商設備公佈給支付認證伺服器,由於支付認證伺服器獲得了生物支付設備私密金鑰對應的公開金鑰,能夠對私密金鑰的加密檔進行解密,從而使得生物支付設備中的私密金鑰被支付認證伺服器認可,通過支付認證伺服器中的公開金鑰能夠對生物支付設備使用私密金鑰加密的資料進行解密。
本實施例中,通過在生物支付設備生成公開金鑰和私密金鑰,私密金鑰不匯出,僅將公開金鑰匯出至支付認證伺服器,使得生物支付設備的金鑰無法被複製,避免生物支付設備被冒充,確保生物支付的安全性能。
一個實施例中,生物支付設備安裝有安全晶片(Secure Element,SE)。安全晶片是一顆獨立於生物支付設備主晶片的硬體晶片,能夠防止外部惡意解析攻擊,保護核心敏感性資料安全,在晶片中具有密碼演算法邏輯電路,可以向外部提供安全的密碼學演算法服務。安全晶片不僅能防止來自軟體層的邏輯攻擊,還能抵抗物理攻擊,即使其物理破壞拆解,也能夠保護其中存儲資料的安全。
如圖4所示,利用安全晶片實現生物支付設備的認證,包括兩個階段:
第一階段為生產階段:生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰。
具體地,生物支付設備接入安全晶片,根據金鑰生產指令控制生物支付設備的安全晶片生成公開金鑰和私密金鑰。
具體地,生物支付設備的主晶片利用安全晶片的金鑰生成方法,控制安全晶片生成公開金鑰和私密金鑰。安全晶片相對於生物支付的主晶片是一個單獨的硬體環境,其生成的公開金鑰和私密金鑰從硬體上與主晶片隔離,即使主晶片受到攻擊,仍能確保金鑰的安全。因此,利用安全晶片生成公開金鑰和私密金鑰的安全級別高。
生物支付設備將公開金鑰匯出至生產商設備,生產商設備通過安全介面將公開金鑰上傳至支付認證伺服器。
具體地,根據安全晶片國密標準,只有加密金鑰的公開金鑰才可以匯出,私密金鑰不可以匯出,利用生產商設備將公開金鑰上傳至支付認證伺服器,從而使支付認證伺服器持有該生物支付設備的公開金鑰,使支付認證服務器具有能夠對利用生物支付設備的私密金鑰加密的資料進行解密的能力。在實際的應用中,生產商設備將設備標識和公開金鑰一同上傳至支付認證伺服器,支付認證伺服器建立設備標識和公開金鑰的對應關係,便於後續快速查找匹配到生物支付設備對應的公開金鑰。
其中,生產商是通過支付平台認證,具有生產資格,因而對於生產商上傳的公開金鑰支付認證伺服器認可,進而支付認證伺服器認可該公開金鑰對應的私密金鑰。支付認證伺服器建立設備標識和公開金鑰的對應關係,並向生產商設備返回上傳結果。至此,認證的第一階段完成,公開金鑰上傳至支付認證伺服器,私密金鑰存儲在生物支付設備的安全晶片。
第二階段為商家認證階段,對位於商家側的生物支付設備,利用被支付認證伺服器認可的私密金鑰向支付認證伺服器認證,以建立生物支付設備與支付認證伺服器的安全鏈路。
其中,當商家側的生物支付設備需要與支付認證伺服器建立通信連接時,均需向支付認證伺服器認證,以建立與支付認證伺服器的安全通信鏈路。
首先,位於商家側的生物支付設備控制安全晶片根據私密金鑰和設備資訊生成簽名。
本實施例中,簽名是在安全晶片中生成的,能夠避免簽名被遷移。根據私密金鑰對設備資訊生成簽名,避免設備資訊在傳輸過程中被篡改。為提高簽名的時效性,還可進一步地,利用私密金鑰對設備資訊和時間戳記進行簽名。從而使支付驗證伺服器驗證設備資訊是否被篡改的同時,還對時間有效性進行驗證,進一步提高支付安全。其次,通過將簽名發送至支付認證伺服器,支付認證伺服器獲取私密金鑰對應的公開金鑰對簽名進行驗證。具體地,支付認證伺服器接收到認證請求後,根據設備資訊,獲取對應的公開金鑰,利用公開金鑰對簽名進行驗簽,根據公開金鑰解密簽名得到設備資訊,驗證解密得到的設備資訊與接收到的設備資訊是否一致,得到對簽名的驗證結果。
同時,還對簽名的時間戳記進行驗證,根據當前時間與簽名資訊中的時間戳記驗證簽名的有效性期,進一步提高支付安全。若解密得到的設備資訊與接收到的設備資訊一致且時間有效,則驗簽通過,得到生物支付設備認證通過結果。若驗證解密得到的設備資訊與接收到的設備資訊不一致,或時間超出有效性期,則驗簽失敗,得到生物支付設備認證失敗結果。
再次,支付認證伺服器向生物支付設備返回認證結果,認證結果使支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
具體地,在支付認證伺服器認證通過後,支付認證伺服器登記認證通過的生物支付設備,建立生物支付設備與支付認證伺服器的安全鏈路。生物支付設備採集生物資料,將採集的生物資料和設備標識發送至支付認證伺服器。支付認證伺服器根據設備標識判斷生物支付設備是否為認證通過的設備,若是,則對採集的生物資料與資料庫中存儲的使用者的特徵資料進行匹配,根據匹配的使用者帳戶資訊生成付款碼,將付款碼返回至生物支付設備,由生物支付設備根據付款碼向支付認證伺服器發起付款,支付認證伺服器從對應帳號進行扣款。而若認證伺服器根據設備標識判斷生物支付設備為非認證通過的設備,則將該生物支付設備的付款請求不作處理,認為為非法設備以保障使用者支付帳戶安全。
本實施例中通過利用安全晶片,從隔離的硬體上產生公私密金鑰和生成簽名,且公開金鑰只匯出一次,私密金鑰無法匯出,使得生物支付設備的金鑰無法複製,避免生物支付設備被冒充,從硬體上隔離使認證方法具有最高安全等級。
一個實施例中,生物支付設備搭載有可執行環境(Trusted Execution Environment,TEE),可執行環境借鑒於可信計算技術思想,旨在保護安全敏感的代碼執行和相關資料資訊免受惡意敵手的攻擊和破壞,是建立可信移動終端平台的基礎。TEE主要是微內核作業系統組成,隔離于普通終端作業系統組成的富執行環境。TEE能夠抵禦來自軟體層的攻擊,安全防護能力低於SE。
如圖5所示,利用可執行環境實現生物支付設備的認證,包括兩個階段:
第一階段為生產階段:生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰。
具體地,生物支付設備搭載可執行環境,基於可執行環境生成公開金鑰和私密金鑰。由於可執行環境是微內核作業系統組成,隔離于普通終端作業系統組成的富執行環境,能夠在軟體上隔離生成金鑰,提高金鑰的安全等級。
生物支付設備將公開金鑰匯出至生產商設備,生產商設備通過安全介面將公開金鑰上傳至支付認證伺服器。
本實施例中,私密金鑰產生於可執行環境中,私密金鑰無法匯出,公開金鑰只匯出一次上傳至支付認證伺服器。從而使支付認證伺服器持有該生物支付設備的公開金鑰,使支付認證服務器具有能夠對利用生物支付設備的私密金鑰加密的資料進行解密的能力。在實際的應用中,生產商設備將設備標識和公開金鑰一同上傳至支付認證伺服器,支付認證伺服器建立設備標識和公開金鑰的對應關係,便於後續快速查找匹配到生物支付設備對應的公開金鑰。
其中,生產商是通過支付平台認證,具有生產資格,因而對於生產商上傳的公開金鑰支付認證伺服器認可,進而支付認證伺服器認可該公開金鑰對應的私密金鑰。支付認證伺服器建立設備標識和公開金鑰的對應關係,並向生產商設備返回上傳結果。至此,認證的第一階段完成,公開金鑰上傳至支付認證伺服器,私密金鑰存儲在生物支付設備。
第二階段為商家認證階段,對位於商家側的生物支付設備,利用被支付認證伺服器認可以私密金鑰向支付認證伺服器認證,以建立生物支付設備與支付認證伺服器的安全鏈路。
其中,當商家側的生物支付設備需要與支付認證伺服器建立通信連接時,均需向支付認證伺服器認證,以建立與支付認證伺服器的安全通信鏈路。
首先,位於商家側的生物支付設備基於可執行環境根據私密金鑰和設備資訊生成簽名。
其次,將簽名發送至支付認證伺服器,支付認證伺服器獲取私密金鑰對應的公開金鑰對簽名進行驗證。
再次,支付認證伺服器向生物支付設備返回認證結果,認證結果使支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
認證的過程與基於安全晶片的認證過程相同,此處不再贅述。
本實施例中通過利用可執行環境,從軟體上產生公私密金鑰和生成簽名,且公開金鑰只匯出一次,私密金鑰無法匯出,使得生物支付設備的金鑰無法複製,避免生物支付設備被冒充,從軟體隔離使認證方法具有較高安全等級。
另一個實施例中,對於不支持TEE也沒有SE的生物支付設備,如圖6所示,實現生物支付設備的認證,包括兩個階段:
第一階段為生產階段,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰。
具體地,生物支付設備將多因數設備資訊匯出至生產商設備,通過生產商設備將多因數設備資訊上傳至支付認證伺服器,由支付認證伺服器根據多因數設備資訊生成存放該生物支付設備的金鑰的動態連結程式庫文件。
其中,多因數設備資訊包括設備相關的多因數資訊,即多重設備資訊,如,包括但不限於品牌名稱、設備名稱、製造商名稱、產品名稱設備MAC位址,設備ID,UUID(Unique Device Identifier),設備序號等等。
支付認證伺服器根據多因數設備資訊生成金鑰,同時利用動態連結程式庫存儲金鑰。動態連結程式庫文件(SO檔)就是一個黑盒子,支付認證伺服器利用黑盒子的加密規則將金鑰存儲在動態連結程式庫文件中。由於黑盒規則是加密的,因而SO檔產生金鑰的規則是加密的,無法進行設備的金鑰複製。
支付認證伺服器將存儲有金鑰的動態連結程式庫文件發送至生產商設備,生產商設備將動態連結程式庫文件燒錄至生物支付設備。具體地,生物支付設備根據生產商設備的燒錄指令,將生產商設備接收的支付認證伺服器返回的動態連結程式庫文件燒錄至生物支付設備。
本實施例中,對於生物支付設備不具有安全晶片和可執行環境,通過利用支付認證伺服器生成金鑰,利用外部導入的手段將金鑰燒錄至生物支付設備。時間為了避免外部導入時金鑰被竊取,可採用加固手段,將金鑰存儲至SO檔中,將對SO檔進行混淆和加固處理。
具體地,燒錄至生物支付設備的動態連結程式庫文件不隨設備恢復出廠設備而丟失,確保生金鑰永久性存儲在生物支付設備。
第二階段商家認證階段,對位於商家側的生物支付設備,利用被支付認證伺服器認可的金鑰向支付認證伺服器認證,以建立生物支付設備與支付認證伺服器的安全鏈路。
首先,利用動態連結程式庫文件存放的金鑰對設備資訊進行加密,生成簽名。
其次,將簽名發送至支付認證伺服器,支付認證伺服器。獲取對應的動態連結程式庫文件對應的解密規則,對簽名驗簽,得到解密的設備資訊,驗證解密的設備資訊與接收到的設備資訊是否一致。
再次,支付認證伺服器向生物支付設備返回認證結果,認證結果使支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
本實施例中,對於無SE晶片和TEE的生物支付設備,通過由支付認證伺服器根據生物支付設備的多因數設備資訊生成用於存儲金鑰的動態連結程式庫文件,進而通過生產商設備將存儲有金鑰的動態連結程式庫文件導入至生物支付設備,由於金鑰存放在SO檔中,加密和解密操作都在SO檔裡,而通過黑盒的SO檔產生金鑰,黑盒的規則是加密的,無法進行設備金鑰的複製,從而提高了金鑰的安全性。
進一步地,支付驗證伺服器對於存儲了金鑰的SO檔還採用混淆和加固的方式提高SO檔的安全等級,使SO檔不能輕易地被反向編譯。SO檔是二進位檔案,通過利用混淆工具將二進位檔案的代碼混淆,將SO檔的代碼順序打亂,進行防逆向保護,利用加固程式加密SO檔使之無法被反向編譯,進一步提高金鑰的安全性。
上述的生物支付設備的認證方法,考慮了具有安全晶片、具有可執行環境以及非SE、非TEE的生物支付設備的安全認證,幾乎相容了所有生物支付設備的認證,具有廣泛的可適用性。
本申請的生物支付設備的認證方法,考慮了生物支付的特殊性,通過利用具有較高安全等級的金鑰生成簽名資訊,發送給支付認證伺服器驗簽,其它終端不能獲得金鑰生成簽名冒充設備進行設備認證。支付驗證伺服器根據認證結果能夠確定發送生物資料的設備是哪一台設備,是否為支付平台所認證過的設備,只有通過支付驗證伺服器認證的生物支付設備採集的生物資料,在支付驗證伺服器側才能獲得付款碼,從而確保生物支付的安全性能。
本申請的生物支付設備的認證方法,可應用於人臉支付、指紋支付、聲紋支付等等。
如圖7所示,提供一種生物支付設備的認證方法,以該方法應用於圖1中的支付認證伺服器為例進行說明,包括:
步驟S702,接收生物支付設備基於簽名和設備資訊發送的認證請求,其中,簽名由生物支付設備根據金鑰和設備資訊生成,金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰。
生物支付是指採集人體生物資料作為支付憑證的一種支付手段,人體生物資料包括指紋、人臉、筆跡、聲音和步態等。不同於掃碼支付由用戶通過操作個人手機生成私密性強的付款碼,人體生物資料是一種能夠通過公開手段獲得的資料,如通過攝像頭採集人臉,通過麥克風採集聲音,通過攝像頭採集步態等。因此,從某種手段來說,人體特徵資料是一種公開資料,這就需要生物支付設備是被認證通過的,以保障支付通信鏈路的安全。
為確保生物支付的安全性,一方面,從源頭確保生物支付設備是通過支付平台資格認證的生產商所生產的合格設備,獲得用於認證的金鑰,另一方面,生物支付設備作為商家的收銀終端被使用時,與支付認證伺服器通信,根據金鑰生成簽名,在支付認證伺服器對簽名驗證通過後,建立生物支付設備與支付認證伺服器的安全鏈路。
一種實施方式的設備金鑰的獲取方式為生產階段在生物支付設備生成公私密金鑰,將公開金鑰匯出至生產商設備,由於生產商通過了支付平台的資格認證,可通過生產商設備將公開金鑰上傳至支付認證伺服器。即私密金鑰生成和保存在生物支付設備本地,公開金鑰上傳至支付認證伺服器,由於公開金鑰是被具有資格的生產商設備所上傳的,且支付認證服務器具有與生物支付設備匹配公開金鑰,因而,生物支付設備本地的私密金鑰是被支付認證伺服器認可的金鑰。
一種實施方式的設備金鑰的獲取方式是生產階段將生物支付設備匯出設備資訊至生產商設備,由於生產商通過了支付平台的資格認證,可通過生產商設備將設備資訊上傳至支付認證伺服器,由支付認證伺服器根據設備資訊生成金鑰,並返回至生產商設備,由生產商設備將金鑰燒錄至生物支付設備。由於金鑰是支付認證伺服器根據設備資訊生成的,因此,金鑰是被支付認證伺服器認可的。
步驟S704,根據設備資訊對簽名進行驗證。
具體地,生物支付設備根據金鑰對設備資訊生成簽名,即使用金鑰對設備資訊進行加密,得到的密文即此次傳輸過程的簽名。設備資訊是指能夠標識生物支付設備身份的資訊,可以為設備ID,設備MAC位址等。
生物支付設備基於設備資訊和簽名向支付認證伺服器發送認證請求。向支付認證伺服器發送的設備資訊與生物支付設備用於生成簽名的設備資訊相同。支付認證伺服器接收到認證請求後,根據設備標識獲取生物支付設備對應的解密方式,如獲取該設備資訊對應的公開金鑰或解密規則,根據公開金鑰和金鑰規則解密簽名得到設備資訊,驗證解密得到的設備資訊與接收到的設備資訊是否一致,根據驗證結果生成對生物支付設備的認證結果。
步驟S706,根據驗證結果生成對生物支付設備的認證結果。
若解密得到的設備資訊與接收到的設備資訊一致則驗簽通過,得到簽名驗證通過的驗證結果,進一步得到生物支付設備認證通過的認證結果。若解密得到的設備資訊與接收到的設備資訊不一致,則驗簽不通過,得到簽名驗證失敗的驗證結果,進一步得到生物支付設備認證失敗的認證結果。
步驟S708,向生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
具體地,在支付認證伺服器認證通過後,支付認證伺服器登記認證通過的生物支付設備,建立生物支付設備與支付認證伺服器的安全鏈路。生物支付設備採集生物資料,將採集的生物資料和設備標識發送至支付認證伺服器。支付認證伺服器根據設備標識判斷生物支付設備是否為認證通過的設備,若是,則對採集的生物資料與資料庫中存儲的使用者的特徵資料進行匹配,根據匹配的使用者帳戶資訊生成付款碼,將付款碼返回至生物支付設備,由生物支付設備根據付款碼向支付認證伺服器發起付款,支付認證伺服器從對應帳號進行扣款。而若認證伺服器根據設備標識判斷生物支付設備為非認證通過的設備,則將該生物支付設備的付款請求不作處理,認定為非法設備以保障使用者支付帳戶安全。
上述的生物支付設備的認證方法,生物支付設備的金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰,進而利用金鑰生成簽名資訊,發送給支付認證伺服器驗簽,而簽名是在生物支付設備端根據金鑰生成的,金鑰具有較高的安全等級,其它終端不能獲得金鑰生成簽名冒充設備進行設備認證。支付驗證伺服器根據認證結果能夠確定發送生物資料的設備是哪一台設備,是否為支付平台所認證過的設備,只有通過支付驗證伺服器認證的生物支付設備採集的生物資料,在支付驗證伺服器側才能獲得付款碼,從而確保生物支付的安全性能。
在另一個實施例中,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰的方式,包括:獲取生產商設備上傳的生物支付設備的公開金鑰,其中,公開金鑰以及公開金鑰對應的私密金鑰根據金鑰生產指令生成,公開金鑰被匯出至生產商設備。具體地,生物支付設備在完成硬體生產後,出廠前需要配置好設備金鑰。如圖3所示的生產環境示意圖。生物支付設備302與生產商設備304連接,生產商設備304與支付認證伺服器306通信連接。
其中,金鑰生產指令是指生物支付設備生產過程中用於啟動產生公開金鑰和私密金鑰的指令。具體為在生物支付設備硬體生產完成後,為生物支付設備搭載作業系統,運行作業系統,根據金鑰生產指令生成公開金鑰和私密金鑰。
本申請中,私密金鑰是金鑰對所有者持有,即私密金鑰是生物支付設備所持有,不可公佈,公開金鑰是金鑰對持有者公佈支付驗證伺服器,具體地,通過被支付認證伺服器認可的生產商設備公佈給支付認證伺服器,由於支付認證伺服器獲得了生物支付設備私密金鑰對應的公開金鑰,能夠對私密金鑰的加密檔進行解密,從而使得生物支付設備中的私密金鑰被支付認證伺服器認可,通過支付認證伺服器中的公開金鑰能夠對生物支付設備使用私密金鑰加密的資料進行解密。
本實施例中,通過在生物支付設備生成公開金鑰和私密金鑰,私密金鑰不匯出,僅將公開金鑰匯出至支付認證伺服器,使得生物支付設備的金鑰無法被複製,避免生物支付設備被冒充,確保生物支付的安全性能。
一個實施例中,生物支付設備接入安全晶片,根據金鑰生產指令控制生物支付設備的安全晶片生成公開金鑰和私密金鑰。生物支付設備將公開金鑰匯出至生產商設備,生產商設備通過安全介面將公開金鑰和設備標識上傳至支付認證伺服器。位於商家側的生物支付設備控制安全晶片根據私密金鑰和設備資訊生成簽名。
另一個實施中,生物支付設備搭載可執行環境,基於可執行環境生成公開金鑰和私密金鑰。生物支付設備將公開金鑰匯出至生產商設備,生產商設備通過安全介面將公開金鑰和設備標識上傳至支付認證伺服器。位於商家側的生物支付設備基於可執行環境根據私密金鑰和設備資訊生成簽名。
進一步地,支付認證伺服器獲取對應的公開金鑰,根據設備資訊和公開金鑰對簽名進行驗證。
在另一個實施例中,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰的方式,包括:獲取生產商設備上傳的生物支付設備的多因數資訊;根據多因數資訊生成存儲生物支付設備的金鑰的動態連結程式庫文件;將動態連結程式庫文件發送至生產商設備,動態連結程式庫文件指示生產商設備將動態連結程式庫文件燒錄至生物支付設備。
其中,多因數設備資訊包括設備相關的多因數資訊,即多重設備資訊,如,包括但不限於品牌名稱、設備名稱、製造商名稱、產品名稱設備MAC位址,設備ID,UUID(Unique Device Identifier),設備序號等等。
支付認證伺服器根據多因數設備資訊生成與金鑰,建立金鑰與多因數設備資訊的對應關係,同時利用動態連結程式庫存儲金鑰,將其傳輸至生產商設備,使金鑰被導入至生物支付設備。動態連結程式庫文件(SO檔)就是一個黑盒子,支付認證伺服器利用黑盒子的加密規則將金鑰存儲在動態連結程式庫文件中。由於黑盒規則是加密的,因而SO檔產生金鑰的規則是加密的,無法進行設備的金鑰複製。
具體地,生物支付設備根據生產商設備的燒錄指令,將生產商設備接收的支付認證伺服器返回的動態連結程式庫文件燒錄至生物支付設備。燒錄至生物支付設備的動態連結程式庫文件不隨設備恢復出廠設備而丟失,確保生金鑰永久性存儲在生物支付設備。
本實施例中,對於無SE晶片和TEE的生物支付設備,通過由支付認證伺服器根據生物支付設備的多因數設備資訊生成用於存儲金鑰的動態連結程式庫文件,進而通過生產商設備將存儲有金鑰的動態連結程式庫文件導入至生物支付設備,由於金鑰存放在SO檔中,加密和解密操作都在SO檔裡,而通過黑盒的SO檔產生金鑰,黑盒的規則是加密的,無法進行設備金鑰的複製,從而提高了金鑰的安全性。
進一步地,支付驗證伺服器對存儲有金鑰的動態連結程式庫文件進行混淆和加固處理。通過利用混淆工具將二進位檔案的代碼混淆,將SO檔的代碼順序打亂,進行防逆向保護,利用加固程式加密SO檔使之無法被反向編譯,進一步提高金鑰的安全性。
應該理解的是,雖然圖2、4-7的流程圖中的各個步驟按照箭頭的指示依次顯示,但是這些步驟並不是必然按照箭頭指示的順序依次執行。除非本文中有明確的說明,這些步驟的執行並沒有嚴格的順序限制,這些步驟可以以其它的循序執行。而且,圖2、4-7中的至少一部分步驟可以包括多個步驟或者多個階段,這些步驟或者階段並不必然是在同一時刻執行完成,而是可以在不同的時刻執行,這些步驟或者階段的執行順序也不必然是依次進行,而是可以與其它步驟或者其它步驟中的步驟或者階段的至少一部分輪流或者交替地執行。
在一個實施例中,如圖8所示,提供了一種生物支付設備的認證裝置,該裝置可以採用軟體模組或硬體模組,或者是二者的結合成為電腦設備的一部分,該裝置具體包括:
金鑰獲取模組802,用於獲取設備的金鑰,其中,金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;
簽名模組804,用於根據金鑰和設備資訊生成簽名。
認證模組806,用於基於設備資訊和簽名向支付認證伺服器發送認證請求,認證請求指示支付認證伺服器根據設備資訊對簽名進行驗證,並根據驗證結果生成對生物支付設備的認證結果;
接收模組808,用於接收支付認證伺服器返回認證結果,認證結果使支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
在另一個實施例中,金鑰獲取模組,包括:金鑰生成模組,用於根據金鑰生產指令生成公開金鑰和私密金鑰。
金鑰匯出模組,用於匯出公開金鑰至生產商設備,由生產商設備上傳公開金鑰至支付認證伺服器。
其中,金鑰生成模組,用於據金鑰生產指令控制生物支付設備的安全晶片生成公開金鑰和私密金鑰。
簽名模組,用於控制安全晶片根據私密金鑰和設備資訊生成簽名。
其中,金鑰生成模組,用於根據金鑰生產指令,基於可執行環境生成公開金鑰和私密金鑰。
簽名模組,用於基於可執行環境根據私密金鑰和設備資訊生成簽名。
在另一個實施例中,金鑰獲取模組,包括:
設備資訊匯出模組,用於將多因數設備資訊匯出至生產商設備,通過生產商設備將多因數設備資訊發送至支付認證伺服器,由支付認證伺服器根據多因數資訊生成存儲生物支付設備的金鑰的動態連結程式庫文件;
金鑰導入模組,用於回應生產商設備的燒錄指令,將支付認證伺服器返回的動態連結程式庫文件燒錄至本地。
在另一個實施例中,動態連結程式庫文件為混淆和加固的動態連結程式庫文件,簽名模組,用於根據混淆和加固的動態連結程式庫文件所存儲的金鑰對設備資訊進行加密生成簽名。
一種生物支付設備的認證裝置,如圖9所示,包括:
認證獲取模組902,用於接收生物支付設備基於簽名設備資訊發送的認證請求,其中,簽名由生物支付設備根據金鑰和設備資訊生成,金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;
驗證模組904,用於根據設備資訊對簽名進行驗證;
認證模組906,用於根據驗證結果生成對生物支付設備的認證結果;
發送模組908,用於向生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
在另一個實施例中,還包括金鑰獲取模組,用於獲取生產商設備上傳的生物支付設備的設備標識和公開金鑰,其中,公開金鑰以及公開金鑰對應的私密金鑰根據金鑰生產指令生成,公開金鑰被匯出至生產商設備。
在另一個實施例中,金鑰獲取模組,包括:
設備資訊獲取模組,用於獲取生產商設備上傳的生物支付設備的多因數資訊;
金鑰生成模組,用於根據多因數資訊生成存儲生物支付設備的金鑰的動態連結程式庫文件;
金鑰發送模組,用於將動態連結程式庫文件發送至生產商設備,動態連結程式庫文件指示生產商設備將動態連結程式庫文件燒錄至生物支付設備。
在另一個實施列中,還包括金鑰處理模組,用於對存儲有金鑰的動態連結程式庫文件進行混淆和加固處理。
關於生物支付設備的認證裝置的具體限定可以參見上文中對於生物支付設備的認證方法的限定,在此不再贅述。上述生物支付設備的認證裝置中的各個模組可全部或部分通過軟體、硬體及其組合來實現。上述各模組可以硬體形式內嵌于或獨立於電腦設備中的處理器中,也可以以軟體形式存儲於電腦設備中的記憶體中,以便於處理器調用執行以上各個模組對應的操作。
在一個實施例中,提供了一種電腦設備,該電腦設備可以是伺服器,其內部結構圖可以如圖10所示。該電腦設備包括通過系統匯流排連接的處理器、記憶體和網路介面。其中,該電腦設備的處理器用於提供計算和控制能力。該電腦設備的記憶體包括非易失性儲存媒體、內記憶體。該非易失性儲存媒體存儲有作業系統、電腦程式和資料庫。該內記憶體為非易失性儲存媒體中的作業系統和電腦程式的運行提供環境。該電腦設備的資料庫用於存儲生物支付設備資料。該電腦設備的網路介面用於與外部的終端通過網路連接通信。該電腦程式被處理器執行時以實現一種生物支付設備的認證方法。
在一個實施例中,提供了一種電腦設備,該電腦設備可以是終端,其內部結構圖可以如圖11所示。該電腦設備包括通過系統匯流排連接的處理器、記憶體、通信介面、顯示幕和生物資料獲取裝置。其中,該電腦設備的處理器用於提供計算和控制能力。該電腦設備的記憶體包括非易失性儲存媒體、內記憶體。該非易失性儲存媒體存儲有作業系統和電腦程式。該內記憶體為非易失性儲存媒體中的作業系統和電腦程式的運行提供環境。該電腦設備的通信介面用於與外部的終端進行有線或無線方式的通信,無線方式可通過WIFI、運營商網路、NFC(近場通信)或其他技術實現。該電腦程式被處理器執行時以實現一種生物支付設備的認證方法。該電腦設備的顯示幕可以是液晶顯示幕或者電子墨水顯示幕,該電腦設備的生物資料獲取裝置可以是圖像採集裝置,也可以為指紋採集裝置和/或聲音採集裝置。
本領域技術人員可以理解,圖10和圖11中示出的結構,僅僅是與本申請方案相關的部分結構的方塊圖,並不構成對本申請方案所應用於其上的電腦設備的限定,具體的電腦設備可以包括比圖中所示更多或更少的部件,或者組合某些部件,或者具有不同的部件佈置。
在一個實施例中,還提供了一種電腦設備,包括記憶體和處理器,記憶體中存儲有電腦程式,該處理器執行電腦程式時實現上述各方法實施例中的步驟。
在一個實施例中,提供了一種電腦可讀儲存媒體,存儲有電腦程式,該電腦程式被處理器執行時實現上述各方法實施例中的步驟。
在一個實施例中,提供了一種電腦程式產品或電腦程式,該電腦程式產品或電腦程式包括電腦指令,該電腦指令存儲在電腦可讀儲存媒體中。電腦設備的處理器從電腦可讀儲存媒體讀取該電腦指令,處理器執行該電腦指令,使得該電腦設備執行上述各方法實施例中的步驟。
本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程,是可以通過電腦程式來指令相關的硬體來完成,所述的電腦程式可存儲于一非易失性電腦可讀取儲存媒體中,該電腦程式在執行時,可包括如上述各方法的實施例的流程。其中,本申請所提供的各實施例中所使用的對記憶體、存儲、資料庫或其它介質的任何引用,均可包括非易失性和易失性記憶體中的至少一種。非易失性記憶體可包括唯讀記憶體(Read-Only Memory,ROM)、磁帶、軟碟、快閃記憶體或光記憶體等。易失性記憶體可包括隨機存取記憶體(Random Access Memory,RAM)或外部高速緩衝記憶體。作為說明而非局限,RAM可以是多種形式,比如靜態隨機存取記憶體(Static Random Access Memory,SRAM)或動態隨機存取記憶體(Dynamic Random Access Memory,DRAM)等。
以上實施例的各技術特徵可以進行任意的組合,為使描述簡潔,未對上述實施例中的各個技術特徵所有可能的組合都進行描述,然而,只要這些技術特徵的組合不存在矛盾,都應當認為是本說明書記載的範圍。
應當理解的是,本申請並不局限於上面已經描述並在附圖中示出的精確結構,並且可以在不脫離其範圍進行各種修改和改變。本申請的範圍僅由所附的請求項來限制。
102:生物支付設備
104:支付認證伺服器
302:生物支付設備
304:生產商設備
306:支付認證伺服器
S202~S208:步驟
S702~S708:步驟
802:金鑰獲取模組
804:簽名模組
806:認證模組
808:接收模組
902:認證獲取模組
904:驗證模組
906:認證模組
908:發送模組
為了更清楚地說明本申請實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其它的附圖。
圖1為一個實施例中生物支付設備的認證方法的應用環境圖。
圖2為一個實施例中生物支付設備的認證方法的流程示意圖。
圖3為一個實施例中生物支付設備的生產環境示意圖。
圖4為一個實施例中具有SE的生物支付設備的認證過程的流程示意圖。
圖5為一個實施例中具有TEE的生物支付設備的認證過程的流程示意圖。
圖6為一個實施例中無SE、TEE的生物支付設備的認證過程的流程示意圖。
圖7為另一個實施例中生物支付設備的認證方法的流程示意圖。
圖8為一個實施例中生物支付設備的認證裝置的結構方塊圖。
圖9為另一個實施例中生物支付設備的認證裝置的結構方塊圖。
圖10為一個實施例中電腦設備的內部結構圖。
圖11為另一個實施例中電腦設備的內部結構圖。
S202~S208:步驟
Claims (25)
- 一種生物支付設備的認證方法,所述方法包括:獲取設備的金鑰,其中,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述金鑰、時間戳記和設備資訊生成簽名;基於所述設備資訊和所述簽名向支付認證伺服器發送認證請求,所述認證請求指示所述支付認證伺服器根據所述設備資訊對所述簽名進行驗證,並根據驗證結果生成對所述生物支付設備的認證結果;及接收所述支付認證伺服器返回認證結果,所述認證結果使所述支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
- 根據請求項1所述的方法,其中,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰的方式,包括:根據金鑰生產指令生成公開金鑰和私密金鑰;及匯出所述公開金鑰至生產商設備,由所述生產商設備上傳所述公開金鑰至所述支付認證伺服器。
- 根據請求項1所述的方法,其中,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰的方式,包括:將多因數設備資訊匯出至生產商設備,通過所述生產商設備將所述多因數設備資訊發送至支付認證伺服器,由支付認證伺服器根據所述多因數資訊生成存儲所述生物支付設備的金鑰的動態連結程式庫文件;及回應所述生產商設備的燒錄指令,將所述支付認證伺服器返回的動態連結程式庫文件燒錄至本地。
- 根據請求項2所述的方法,其中,所述根據金鑰生產指令生成公開金鑰和私密金鑰,包括:根據金鑰生產指令控制生物支付設備的安全晶片生成公開金鑰和私密金鑰;所述根據所述金鑰和設備資訊生成簽名,包括:控制所述安全晶片根據所述私密金鑰和所述設備資訊生成簽名。
- 根據請求項2所述的方法,其中,所述根據金鑰生產指令生成公開金鑰和私密金鑰,包括:根據金鑰生產指令,基於可執行環境生成公開金鑰和私密金鑰;所述根據所述金鑰和設備資訊生成簽名,包括:基於所述可執行環境根據所述私密金鑰和所述設備資訊生成簽名。
- 根據請求項3所述的方法,其中,所述動態連結程式庫文件為混淆和加固的動態連結程式庫文件,所述根據所述金鑰和設備資訊生成簽名,包括:根據混淆和加固的動態連結程式庫文件所存儲的金鑰對所述設備資訊進行加密生成簽名。
- 一種生物支付設備的認證方法,包括:接收生物支付設備基於簽名和設備資訊發送的認證請求,其中,所述簽名由所述生物支付設備根據金鑰、時間戳記和設備資訊生成,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;根據所述設備資訊對所述簽名進行驗證;根據驗證結果生成對所述生物支付設備的認證結果;及向所述生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
- 根據請求項7所述的方法,其中,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰的方式,包括:獲取所述生產商設備上傳的所述生物支付設備的公開金鑰,其中,所述公開金鑰以及所述公開金鑰對應的私密金鑰根據金鑰生產指令生成,所述公開金鑰被匯出至生產商設備。
- 根據請求項7所述的方法,其中,生產階段通過生產商設備與支付認證伺服器通信而獲得被支付認證伺服器認可的金鑰的方式,包括:獲取所述生產商設備上傳的所述生物支付設備的多因數資訊; 根據所述多因數資訊生成存儲所述生物支付設備的金鑰的動態連結程式庫文件;及將所述動態連結程式庫文件發送至生產商設備,所述動態連結程式庫文件指示所述生產商設備將所述動態連結程式庫文件燒錄至所述生物支付設備。
- 根據請求項8所述的方法,其中,所述根據所述設備資訊對所述簽名進行驗證,包括:獲取對應的公開金鑰,根據所述設備資訊和所述公開金鑰對所述簽名進行驗證。
- 根據請求項9所述的方法,其還包括:對存儲有所述金鑰的所述動態連結程式庫文件進行混淆和加固處理。
- 一種生物支付設備的認證裝置,其包括:金鑰獲取模組,用於獲取設備的金鑰,其中,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;簽名模組,用於根據所述金鑰、時間戳記和設備資訊生成簽名;認證模組,用於基於所述設備資訊和所述簽名向支付認證伺服器發送認證請求,所述認證請求指示所述支付認證伺服器根據所述設備資訊對所述簽名進行驗證,並根據驗證結果生成對所述生物支付設備的認證結果;接收模組,用於接收所述支付認證伺服器返回認證結果,所述認證結果使所述支付認證伺服器基於已認證的生物支付設備發送的生物資料實現生物支付。
- 根據請求項12所述的裝置,其中,所述金鑰獲取模組,包括:金鑰生成模組,用於根據金鑰生產指令生成公開金鑰和私密金鑰;金鑰匯出模組,用於匯出所述公開金鑰至生產商設備,由所述生產商設備上傳所述公開金鑰至所述支付認證伺服器。
- 根據請求項12所述的裝置,其中,所述金鑰獲取模組,包括: 設備資訊匯出模組,用於將多因數設備資訊匯出至生產商設備,通過所述生產商設備將所述多因數設備資訊發送至支付認證伺服器,由支付認證伺服器根據所述多因數資訊生成存儲所述生物支付設備的金鑰的動態連結程式庫文件;金鑰導入模組,用於回應所述生產商設備的燒錄指令,將所述支付認證伺服器返回的動態連結程式庫文件燒錄至本地。
- 根據請求項13所述的裝置,其中,所述金鑰生成模組,用於根據金鑰生產指令控制生物支付設備的安全晶片生成公開金鑰和私密金鑰;所述簽名模組,用於控制所述安全晶片根據所述私密金鑰和所述設備資訊生成簽名。
- 根據請求項13所述的裝置,其中,所述金鑰生成模組,用於根據金鑰生產指令,基於可執行環境生成公開金鑰和私密金鑰;所述簽名模組,用於基於所述可執行環境根據所述私密金鑰和所述設備資訊生成簽名。
- 根據請求項14所述的裝置,其中,所述簽名模組,用於根據混淆和加固的動態連結程式庫文件所存儲的金鑰對所述設備資訊進行加密生成簽名。
- 一種生物支付設備的認證裝置,包括:認證獲取模組,用於接收生物支付設備基於簽名設備資訊發送的認證請求,其中,所述簽名由所述生物支付設備根據金鑰、時間戳記和設備資訊生成,所述金鑰是生產階段通過生產商設備與支付認證伺服器通信而獲得的被支付認證伺服器認可的金鑰;驗證模組,用於根據所述設備資訊對所述簽名進行驗證;認證模組,用於根據驗證結果生成對所述生物支付設備的認證結果;發送模組,用於向所述生物支付設備返回認證結果,以基於已認證的生物支付設備發送的生物資料實現生物支付。
- 根據請求項18所述的裝置,其還包括: 金鑰獲取模組,用於獲取所述生產商設備上傳的所述生物支付設備的公開金鑰,其中,所述公開金鑰以及所述公開金鑰對應的私密金鑰根據金鑰生產指令生成,所述公開金鑰被匯出至生產商設備。
- 根據請求項18所述的裝置,其還包括:設備資訊獲取模組,用於獲取所述生產商設備上傳的所述生物支付設備的多因數資訊;金鑰生成模組,用於根據所述多因數資訊生成存儲所述生物支付設備的金鑰的動態連結程式庫文件;金鑰發送模組,用於將所述動態連結程式庫文件發送至生產商設備,所述動態連結程式庫文件指示所述生產商設備將所述動態連結程式庫文件燒錄至所述生物支付設備。
- 根據請求項19所述的裝置,其中,所述驗證模組用於獲取對應的公開金鑰,根據所述設備資訊和所述公開金鑰對所述簽名進行驗證。
- 根據請求項20所述的裝置,其還包括金鑰處理模組,用於對存儲有所述金鑰的所述動態連結程式庫文件進行混淆和加固處理。
- 一種電腦設備,包括記憶體和處理器,所述記憶體存儲有電腦程式,其中,所述處理器執行所述電腦程式時實現請求項1至11中任一項所述方法的步驟。
- 一種電腦可讀儲存媒體,存儲有電腦程式,其中,所述電腦程式被處理器執行時實現請求項1至11中任一項所述的方法的步驟。
- 一種電腦程式,所述電腦程式包括電腦指令,所述電腦指令存儲在電腦可讀儲存媒體中,其中,電腦設備的處理器從所述電腦可讀儲存媒體讀取所述電腦指令,所述處理器執行所述電腦指令,使得所述電腦設備執行上述請求項1至11中任一項所述的方法的步驟。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010208265.6A CN111401901B (zh) | 2020-03-23 | 2020-03-23 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
CN202010208265.6 | 2020-03-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202137199A TW202137199A (zh) | 2021-10-01 |
TWI776404B true TWI776404B (zh) | 2022-09-01 |
Family
ID=71432798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110106579A TWI776404B (zh) | 2020-03-23 | 2021-02-24 | 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20220245631A1 (zh) |
EP (1) | EP4024311A4 (zh) |
JP (1) | JP7309261B2 (zh) |
KR (1) | KR102676616B1 (zh) |
CN (1) | CN111401901B (zh) |
TW (1) | TWI776404B (zh) |
WO (1) | WO2021190197A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111401901B (zh) * | 2020-03-23 | 2021-06-04 | 腾讯科技(深圳)有限公司 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
US11709928B2 (en) * | 2020-05-22 | 2023-07-25 | Jpmorgan Chase Bank, N.A. | Method and system for securing access to a private key |
CN112749971B (zh) * | 2020-08-21 | 2024-07-19 | 腾讯科技(深圳)有限公司 | 支付验证方法、装置、可拆卸摄像头组件及存储介质 |
CN112671715B (zh) * | 2020-12-03 | 2023-05-09 | 上海连尚网络科技有限公司 | 一种用于保障应用的数据安全通信的方法与装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW583568B (en) * | 2001-08-27 | 2004-04-11 | Dataplay Inc | A secure access method and system |
TWI432040B (zh) * | 2010-06-23 | 2014-03-21 | Ind Tech Res Inst | 認證方法、金鑰分配方法及認證與金鑰分配方法 |
CN105306490A (zh) * | 2015-11-23 | 2016-02-03 | 小米科技有限责任公司 | 支付验证系统、方法及装置 |
US20160366157A1 (en) * | 2015-06-09 | 2016-12-15 | Intel Corporation | System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource |
CN108881269A (zh) * | 2018-07-02 | 2018-11-23 | 飞天诚信科技股份有限公司 | 一种种子密钥的管理方法、系统及令牌厂商生产装置 |
TWI672606B (zh) * | 2018-08-28 | 2019-09-21 | 國立暨南國際大學 | 基於認證和密鑰協商協議之授權認證方法 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001216270A (ja) | 2000-01-31 | 2001-08-10 | Netmarks Inc | 認証局、認証システム及び認証方法 |
WO2002013435A1 (en) | 2000-08-04 | 2002-02-14 | First Data Corporation | Method and system for using electronic communications for an electronic contact |
CN101692277A (zh) * | 2009-10-16 | 2010-04-07 | 中山大学 | 一种用于移动通信设备的生物识别加密支付系统及其方法 |
CN101938520B (zh) * | 2010-09-07 | 2015-01-28 | 中兴通讯股份有限公司 | 一种基于移动终端签名的远程支付系统及方法 |
US20160063504A1 (en) * | 2014-08-28 | 2016-03-03 | MobiCash Hong Kong Ltd. | Method and system for implementing biometric authenticated transactions |
US10185949B2 (en) * | 2015-03-05 | 2019-01-22 | American Express Travel Related Services Company, Inc. | System and method for authentication of a mobile device configured with payment capabilities |
CN106487511B (zh) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
CN107220828B (zh) * | 2016-03-22 | 2020-09-08 | 阿里巴巴集团控股有限公司 | 通过穿戴式设备进行支付授权与支付的方法、系统及装置 |
CN107294721B (zh) * | 2016-03-30 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
CN107358419B (zh) * | 2016-05-09 | 2020-12-11 | 阿里巴巴集团控股有限公司 | 机载终端支付鉴权方法、装置以及系统 |
CN105959287A (zh) * | 2016-05-20 | 2016-09-21 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法及装置 |
US10402559B2 (en) * | 2016-06-03 | 2019-09-03 | Honeywell International Inc. | System and method supporting secure data transfer into and out of protected systems using removable media |
US10205709B2 (en) * | 2016-12-14 | 2019-02-12 | Visa International Service Association | Key pair infrastructure for secure messaging |
JP6796861B2 (ja) * | 2017-04-11 | 2020-12-09 | 株式会社アクセル | アプリケーションソフトウェアの提供及び認証方法並びにそのためのシステム |
CN107612697B (zh) * | 2017-10-20 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 数字证书申请方法和装置 |
KR101853610B1 (ko) * | 2017-11-07 | 2018-05-02 | 주식회사 시큐브 | 생체정보 기반의 전자서명 인증 시스템 및 그의 전자서명 인증 방법 |
CN108391238A (zh) * | 2018-02-01 | 2018-08-10 | 乐鑫信息科技(上海)有限公司 | 无线mesh网络的配网方法 |
CN108574578A (zh) * | 2018-03-22 | 2018-09-25 | 北京交通大学 | 一种黑匣子数据保护系统及方法 |
US10824728B2 (en) * | 2018-05-30 | 2020-11-03 | Nec Corporation | Reliable detection of co-located virtual machines in the cloud using a trusted execution environment |
CN108768664B (zh) * | 2018-06-06 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
CN108898388B (zh) * | 2018-06-13 | 2021-11-02 | 北京小米移动软件有限公司 | 支付方法及装置 |
US10924289B2 (en) * | 2018-07-13 | 2021-02-16 | Visa International Service Association | Public-private key pair account login and key manager |
CN109191131B (zh) * | 2018-08-16 | 2022-06-10 | 沈阳微可信科技有限公司 | 一种基于可信环境和双安全芯片的安全人脸识别装置 |
KR102616421B1 (ko) * | 2018-11-02 | 2023-12-21 | 삼성전자주식회사 | 생체 인증을 이용한 결제 방법 및 그 전자 장치 |
CN110555706B (zh) * | 2019-08-30 | 2024-08-06 | 北京银联金卡科技有限公司 | 基于安全单元和可信执行环境的人脸支付安全方法及平台 |
CN112528288A (zh) * | 2019-08-30 | 2021-03-19 | 华为技术有限公司 | 可信应用的运行方法、信息处理和内存分配方法及装置 |
CN111401901B (zh) * | 2020-03-23 | 2021-06-04 | 腾讯科技(深圳)有限公司 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
-
2020
- 2020-03-23 CN CN202010208265.6A patent/CN111401901B/zh active Active
-
2021
- 2021-02-10 EP EP21775034.8A patent/EP4024311A4/en active Pending
- 2021-02-10 JP JP2022525431A patent/JP7309261B2/ja active Active
- 2021-02-10 KR KR1020227015670A patent/KR102676616B1/ko active IP Right Grant
- 2021-02-10 WO PCT/CN2021/076438 patent/WO2021190197A1/zh unknown
- 2021-02-24 TW TW110106579A patent/TWI776404B/zh active
-
2022
- 2022-04-21 US US17/726,402 patent/US20220245631A1/en active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW583568B (en) * | 2001-08-27 | 2004-04-11 | Dataplay Inc | A secure access method and system |
TWI432040B (zh) * | 2010-06-23 | 2014-03-21 | Ind Tech Res Inst | 認證方法、金鑰分配方法及認證與金鑰分配方法 |
US20160366157A1 (en) * | 2015-06-09 | 2016-12-15 | Intel Corporation | System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource |
CN105306490A (zh) * | 2015-11-23 | 2016-02-03 | 小米科技有限责任公司 | 支付验证系统、方法及装置 |
CN108881269A (zh) * | 2018-07-02 | 2018-11-23 | 飞天诚信科技股份有限公司 | 一种种子密钥的管理方法、系统及令牌厂商生产装置 |
TWI672606B (zh) * | 2018-08-28 | 2019-09-21 | 國立暨南國際大學 | 基於認證和密鑰協商協議之授權認證方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111401901A (zh) | 2020-07-10 |
KR20220079648A (ko) | 2022-06-13 |
US20220245631A1 (en) | 2022-08-04 |
EP4024311A4 (en) | 2022-12-07 |
EP4024311A1 (en) | 2022-07-06 |
CN111401901B (zh) | 2021-06-04 |
TW202137199A (zh) | 2021-10-01 |
WO2021190197A1 (zh) | 2021-09-30 |
JP2023501240A (ja) | 2023-01-18 |
JP7309261B2 (ja) | 2023-07-18 |
KR102676616B1 (ko) | 2024-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
TWI776404B (zh) | 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 | |
US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
US8689290B2 (en) | System and method for securing a credential via user and server verification | |
US9117324B2 (en) | System and method for binding a smartcard and a smartcard reader | |
TWI578749B (zh) | 用於遷移金鑰之方法及設備 | |
CN111429254A (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
US20080077592A1 (en) | method and apparatus for device authentication | |
US20240054239A1 (en) | Cryptographically secure post-secrets-provisioning services | |
Wang et al. | EIDM: A ethereum-based cloud user identity management protocol | |
WO2021120615A1 (zh) | 加密装置、加密系统和数据的加密方法 | |
Panchal et al. | Designing secure and efficient biometric-based access mechanism for cloud services | |
US11240661B2 (en) | Secure simultaneous authentication of equals anti-clogging mechanism | |
Aiash | A formal analysis of authentication protocols for mobile devices in next generation networks | |
WO2013067792A1 (zh) | 智能卡的访问方法、装置及系统 | |
CN114329522A (zh) | 一种私钥保护方法、装置、系统及存储介质 | |
CN114238915A (zh) | 数字证书添加方法、装置、计算机设备和存储介质 | |
Wu et al. | A Blockchain‐Based Hierarchical Authentication Scheme for Multiserver Architecture | |
CN111092734A (zh) | 一种基于自组网络通信的产品激活认证方法 | |
CN118233218B (zh) | 基于分布式可信执行环境应用的远程认证系统及方法 | |
CN117335991A (zh) | 可执行程序的无证书认证 | |
CN118233218A (zh) | 基于分布式可信执行环境应用的远程认证系统及方法 | |
CN117711097A (zh) | 基于risc-v架构tee的智能门锁动态口令验证方法 | |
CN116318909A (zh) | 一种多重身份认证方法、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GD4A | Issue of patent certificate for granted invention patent |