WO2017032263A1 - 身份认证方法及装置 - Google Patents

Abstract

本申请实施例涉及一种身份认证方法及装置，包括：终端设备接收业务请求，根据业务请求采集用户的第一生物认证信息；将第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥；根据数字签名证书私钥，对业务请求进行数字签名，并生成生物信息验证报文；向服务端发送生物信息验证报文，以使服务端读取预先存储的与数字签名证书私钥对应的数字签名证书公钥，并使服务端根据数字签名证书公钥对生物信息验证报文验签后，向终端设备返回认证结果信息。由此，可以提高用户的支付操作的安全性和便捷性。

Description

身份认证方法及装置 技术领域

本申请涉及计算机技术领域，尤其涉及一种身份认证方法及装置。

背景技术

传统技术中，一般是通过对用户输入的密码(如，6位数字串)进行验证的方式来对用户的身份进行认证，以便在用户在身份认证通过后执行业务操作。然而，这通常需要用户牢记密码，由此，会严重影响用户使用的便利性；此外，上述密码本质上还是静态密码，被盗后对用户的资金安全将造成重大威胁。

发明内容

本申请实施例提供了一种身份认证方法及装置，可以提高用户执行的业务操作的安全性和便捷性。

第一方面，提供了一种身份认证方法，该方法包括：

终端设备接收业务请求，根据所述业务请求采集用户的第一生物认证信息；

将所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥；

根据所述数字签名证书私钥，对所述业务请求进行数字签名，并生成生物信息验证报文；

向服务端发送所述生物信息验证报文，以使所述服务端读取预先存储的与所述数字签名证书私钥对应的数字签名证书公钥，并使所述服务端根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述终端设备返回认证结果信息。

第二方面，提供了一种身份认证装置，该装置包括：采集单元、读取单元、生成单元和发送单元；

所述采集单元，用于接收业务请求，根据所述业务请求采集用户的第一生物认证信息；

所述读取单元，用于将所述采集单元采集的所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥；

所述生成单元，用于根据所述读取单元读取的所述数字签名证书私钥，对所述业务请求进行数字签名，并生成生物信息验证报文；

所述发送单元，用于向服务端发送所述生成单元生成的所述生物信息验证报文，以使所述服务端读取预先存储的与所述数字签名证书私钥对应的数字签名证书公钥，并使所述服务端根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述终端设备返回认证结果信息。

本申请提供的身份认证方法及装置，终端设备在采集的生物认证信息与预设的生物认证信息比对一致时，向服务端发送使用预先存储的数字签名证书私钥进行签名的生物信息验证报文，由服务端根据预先存储的数字签名证书公钥对所述生物信息验证报文验签，从而达到验证用户身份的目的，由此，可以提高用户执行的业务操作的安全性和便捷性。

附图说明

图1为本申请一种实施例提供的身份认证方法流程图；

图2为本申请另一种实施例提供的身份认证方法信息交互图；

图3为本申请再一种实施例提供的身份认证装置示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申 请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为便于对本申请实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本申请实施例的限定。

本申请实施例提供的身份认证方法及装置，适用于对执行业务操作的用户的身份进行认证的场景，如，可以对通过支付系统执行支付操作的用户的身份进行认证的场景。

需要说明的是，在本申请实施例中，以对支付过程中的用户的身份进行认证为例来说(如，业务请求为支付请求)，而对执行其它业务操作的用户的身份进行认证的方法类似，本申请对此不复赘述。

其中，支付系统包括支付客户端和支付服务端，支付客户端中打包有第一安全组件，该第一安全组件也称为安全客户端，或者称为“支付安全校验服务”(即alipaySec模块)，其用于存放数字签名算法、安全客户端私钥、安全服务端公钥，以及新生成的数字签名证书私钥。安全客户端可直接通过操作系统与终端设备的采集模块(如，指纹感应器)、或者可以直接与终端设备供应商提供的可信任执行环境(Trusted Execution Environment，TEE)通讯，用于调起采集模块检查终端设备是否支持生物认证信息的识别、是否录入了生物认证信息和验证用户输入的生物认证信息，以及信息和算法安全存取。

此外，支付服务端中也打包有第二安全组件，该第二安全组件也称为安全服务端，或者称为“生物识别核心”(即bic系统)，用于生成认证挑战信息，并用于存储数字签名算法、安全客户端公钥、安全服务端私钥，以及到poeder系统中写入生物认证信息开通的协议(如，指纹开通的协议)以及新生成的数字签名证书公钥。该安全服务端与安全客户端相对应。

还需要说明的是，本申请提供的终端设备包括但不限于移动电话、移动电 脑、平板电脑、个人数字助理(Personal Digital Assistant，PDA)、媒体播放器、智能电视、智能手表、智能眼镜、智能手环等，而终端设备上的操作系统可以为IOS系统、安卓(Android)系统或者其它系统。另外，本申请的终端设备安装有支付客户端，且具有采集模块，该采集模块具体可以设置在操作系统中的硬件设备，其可以为指纹感应器、摄像头或者麦克风等。

图1为本申请一种实施例提供的身份认证方法流程图。所述方法的执行主体可以为具有处理能力的设备：服务器或者系统或者装置，如图1所示，所述方法具体包括：

步骤110，终端设备接收业务请求，根据所述业务请求采集用户的第一生物认证信息。

即终端设备的支付客户端接收业务请求，并通过安全客户端向采集模块发送第一采集指令，以用于采集模块采集并向安全客户端返回用户的第一生物认证信息。

优选地，上述业务请求可以为支付请求。在一种实施方式中，该支付请求可以是由用户点击支付客户端的“支付”按钮触发。

此处的生物认证信息包括以下一种或多种：指纹信息、脸部图像信息以及声音信息。在此说明书中，以生物认证信息为指纹信息进行说明。而预设的生物认证信息可以是由终端设备的采集模块预先采集的能唯一的识别用户的信息。如，当预设的生物认证信息为预设的指纹信息时，则终端设备预先通过指纹感应器采集用户的指纹信息，并将采集到的指纹信息存储在本地作为预设的指纹信息。需要说明的是，此处的预设的指纹信息可以是根据预设的算法对采集到的实际的指纹信息进行相应的计算后得到的，如，指纹感应器可以预先采集10个手指的指纹信息，然后对该10个手指的指纹信息求平均值，最后得到上述预设的指纹信息。

可选地，在步骤110之前，所述方法还可以包括生成并存储所述数字签名证书私钥以及所述数字签名证书公钥的步骤，通过该步骤可以实现用户的生 物认证信息只保存在终端设备本地，而不被上传到支付服务端，就能在支付过程中对用户的身份进行认证。

具体步骤如下：

步骤1101，所述终端设备接收开通请求，根据所述开通请求采集用户的第二生物认证信息。

其中，步骤1101中所述终端设备接收开通请求，根据所述开通请求采集用户的第二生物认证信息具体可以包括：

步骤A：所述终端设备向所述服务端发送所述开通请求。

即终端设备的支付客户端向支付服务端发送开通请求，支付服务端在接收到上述开通请求之后，通过调用安全服务端读取认证挑战信息，其中，该认证挑战信息可以是由安全服务端在使用预设的安全服务端私钥对其生成的随机字符串进行数字签名后生成的。

步骤B：接收所述服务端根据所述开通请求返回的响应消息。

此处，可以是由支付客户端接收响应消息。优选地，该响应消息可以为上述支付服务端通过安全服务端读取到的认证挑战信息。

步骤C：对所述响应消息进行验签，并在验签通过后采集用户的第二生物认证信息。

即支付客户端通过调用安全客户端对接收到的认证挑战信息进行验签。具体地，安全客户端根据预设的安全服务端公钥对认证挑战信息进行验签，并在验签通过后向采集模块发送第二采集指令，以使采集模块根据第二采集指令采集用户的第二生物认证信息。

以生物认证信息为指纹信息为例来说，可以是支付客户端先接收用户输入的开通请求，支付客户端在接收到该开通请求之后向安全客户端发送第一调用消息，该第一调用消息用于指示安全客户端校验用户当前使用的终端设备是否支持指纹支付、指纹感应器中是否已存储了预设的指纹信息。此处，安全客户端具体通过调用服务：hardwarePayExecute(type＝ QUICKPAY_REQUEST_TYPE_INIT)校验用户当前使用的终端设备是否支持指纹支付、指纹感应器中是否已存储了预设的指纹信息；若终端设备支持指纹支付，且在指纹感应器中已存储了预设的指纹信息，则安全客户端向支付客户端返回支持的信息，以用于支付客户端向用户展示滑动按钮；当接收到对该滑动按钮执行的滑动指令时(即用户想要开通指纹支付的功能)，支付客户端向用户展示法务文案。

支付客户端在接收到用户输入的确认指令时，该确认指令可以是由用户在查看展示的法务文案之后，选择“我已了解”时触发。支付客户端向支付服务端发送开通请求，即通过调用服务：getBiometricRegRequestRPC(设备id，手机设备型号，已登录的用户uid)向支付服务端发送开通请求，以用于支付服务端向安全服务端发送第二调用消息，如，支付服务端通过调用服务mobileBiometricService.getRegRequest发送第二调用消息，安全服务端在接收到第二调用消息之后，根据当前的时间戳等信息生成随机字符串，并使用预先存储在安全服务端的安全服务端私钥(也即预设的安全服务端私钥)对上述生成的随机字符串进行数字签名后生成认证挑战信息，然后向支付服务端返回生成的认证挑战信息；支付服务端在读取到上述认证挑战信息之后，向支付客户端转发该认证挑战信息，安全客户端对上述认证挑战信息进行验签，是为了确认当前接收的认证挑战信息是否是由安全服务端发送，且为了确认当前接收的认证挑战信息是否被修改，当安全客户端在确认当前接收的认证挑战信息是由安全服务端发送，且发送的认证挑战信息没有被修改时，则说明安全客户端与安全服务端之间的数据通道是安全的，从而可以向指纹感应器(即采集模块)发送第二采集指令，采集模块在接收到第二采集指令后，采集用户的第二生物认证信息。

步骤1102，将所述第二生物认证信息与所述预设的生物认证信息比对一致时，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥，并保存所述数字签名证书私钥。

即在采集模块根据采集指令采集到用户的第二生物认证信息之后，向安全客户端返回该第二生物认证信息，以便安全客户端将第二生物认证信息与所述预设的生物认证信息进行比对，并在比对一致时，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥，并保存所述数字签名证书私钥。

其中，在安全客户端执行所述生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥之前，所述方法还可以包括：

所述安全客户端接收所述支付客户端发送的第一消息，所述第一消息携带所述用户的唯一标识(Identifier，ID)以及所述终端设备的ID；

所述生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥，包括：

所述安全客户端根据所述用户的ID、所述终端设备的ID以及比对一致的结果信息，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥。

此处，用户的ID可以是由支付系统生成的用于唯一标识一个用户的信息。在一种实现方式中，可以直接从Session中读取用户的ID；而终端设备的ID则可以为国际移动设备识别码(International Mobile Equipment Identification Number，IMEI)。另外，上述数字签名证书公钥和数字签名证书私钥是在安全客户端将第二生物认证信息与预设的生物认证信息比对一致时生成的，所以其也称为与第二生物认证信息对应的数字签名证书私钥以及数字签名证书公钥。还需要说明的是，上述比对一致的结果信息即为第二生物认证信息与预设的生物认证信息比对一致的结果信息。

在生成上述数字签名证书公钥和数字签名证书私钥之后，安全客户端存储数字签名证书私钥。在一种实现方式中，当终端设备的操作系统为Andriod系统时，则该数字签名证书私钥可以存储在安全客户端的可信任执行环境TEE中。

当然，在实际应用中，在首次开通指纹支付、图像识别支付以及声音支付的过程中，终端设备在采集到上述第二生物认证信息之后，可以直接生成与该生物认证信息对应的数字签名证书公钥和数字签名证书私钥，而不需要将第二生物认证信息与预设的生物认证信息进行比对，且在比对一致时才执行生成的步骤。

步骤1103，根据第一预设的私钥，对所述开通请求进行数字签名后，生成开通请求报文，其中，所述开通请求报文携带所述数字签名证书公钥。

此处，第一预设的私钥可以为预设的安全客户端私钥，即安全客户端使用预设的安全客户端私钥对开通请求进行数字签名后，生成开通请求报文。

需要说明的是，上述开通请求可以同时包括认证挑战信息，也即同时将认证挑战信息与数字签名证书公钥进行数字签名，生成开通请求报文。

步骤1104，向所述服务端发送所述开通请求报文，以使所述服务端根据第一预设的公钥对所述开通请求报文验签通过后，保存所述数字签名证书公钥，其中，所述第一预设的私钥与所述第一预设的公钥相对应。

此处，第一预设的公钥可以为预设的安全客户端公钥，即安全客户端向所述支付客户端发送开通请求报文，所述支付客户端通过所述支付服务端将所述开通请求报文转发至所述安全服务端，由所述安全服务端根据预设的安全客户端公钥对所述开通请求报文验签通过后，存储所述数字签名证书公钥。

可选地，步骤1104中所述向所述服务端发送所述开通请求报文，包括：

所述终端设备验证所述用户是否为合法用户；

当所述用户为合法用户时，对原始支付密码进行校验，并在校验成功时向所述服务端发送所述开通请求报文。

在一个例子中，支付客户端可以先获取与当前用户绑定的手机号码，向该手机号码的手机发送短信，待接收到表示确认的消息时，接收用户输入的原始支付密码，并在所述原始支付密码校验成功时通过所述支付服务端将所述开通请求报文转发至所述安全服务端。由此，可以验证当前的用户是否为支 付客户端的用户，从而可以提高支付操作的安全性。

此处，支付客户端具体可以通过调用服务registerBiometricRPC(设备id，手机设备型号，指纹开通报文，已登录的用户uid)向支付服务端发送开通请求报文，支付服务端在将该开通请求报文转发至安全服务端之后，安全服务端根据预设的安全客户端公钥对所述开通请求报文验签通过后，解析并存储所述开通请求报文中的所述数字签名证书公钥，其中，所述预设的安全客户端私钥与所述预设的安全客户端公钥相对应。此外，在对所述开通请求报文验签通过后，还可以向支付服务端返回验签通过的消息，之后支付服务端再将上述验签通过的消息返回至支付客户端，从而支付客户端可以向用户显示表示可以在支付的过程中通过输入指纹信息、脸部图像信息或者语音信息等认证身份，而支付的额度则与不同终端设备的安全等级是相应的。

在执行上述生成并存储所述数字签名证书私钥以及所述数字签名证书公钥的步骤之后，用户在通过支付系统进行订单支付时，就可以通过输入指纹信息、头部图像信息以及声音信息来进行身份认证，并且在身份认证通过后执行支付操作。

步骤120，将所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥。

即安全客户端将所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥。

步骤130，根据所述数字签名证书私钥，对所述业务请求进行数字签名，并生成生物信息验证报文。

在支付场景下，上述业务请求可以为支付请求，即安全客户端根据读取的数字签名证书私钥，对支付请求进行数字签名，并生成生物信息验证报文；之后安全客户端将生成的生物信息验证报文发送至支付客户端。

步骤140，向服务端发送所述生物信息验证报文，以使所述服务端读取预先存储的与所述数字签名证书私钥对应的数字签名证书公钥，并使所述服务 端根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述终端设备返回认证结果信息。

支付客户端向支付服务端发送所述生物信息验证报文，所述支付服务端从安全服务端中读取预选存储的与所述数字签名证书私钥对应的数字签名证书公钥，根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述支付客户端返回认证结果信息。

当然，在实际应用中，若支付客户端在发送业务请求本身进行了加密，则支付服务端在根据数字签名证书公钥对生物信息验证报文验签后，还需要根据预设的算法，对加密的业务请求本身进行解密，只有解密成功后才向支付客户端返回认证成功与否的结果信息。

在此说明，本申请中所涉及到的进行数字签名以及对数字签名进行验签属于现有技术，只是进行数字签名以及验签的对象不同而已，本领域技术人员可参考现有技术实现，因此，本申请对这个过程不作赘述。

本申请提供的身份认证方法及装置，终端设备在采集的生物认证信息与预设的生物认证信息比对一致时，向服务端发送使用预先存储的数字签名证书私钥进行签名的生物信息验证报文，由服务端根据预先存储的数字签名证书公钥对所述生物信息验证报文验签，从而达到验证用户身份的目的，由此，可以提高用户执行的业务操作的安全性和便捷性。

以下实施例将以开通指纹支付，并在开通指纹支付之后，通过对指纹信息的验证来对用户的身份进行认证为例来说。

图2为本申请另一种实施例提供的身份认证方法信息交互图。如图2所示，所述方法具体可以包括：

步骤210，支付客户端根据接收的开通请求向安全客户端发送第一调用消息。

其中，所述第一调用消息用于指示安全客户端校验用户当前使用的终端设备是否支持指纹支付、指纹感应器中是否已存储了预设的指纹信息。

安全客户端具体通过调用服务：hardwarePayExecute(type＝QUICKPAY_REQUEST_TYPE_INIT)校验用户当前使用的终端设备是否支持指纹支付、指纹感应器中是否已存储了预设的指纹信息。

步骤220，安全客户端向支付客户端返回支持的信息。

步骤230，支付客户端向支付服务端发送开通请求。

支付客户端通过服务：getBiometricRegRequestRPC(设备id，手机设备型号，已登录的用户uid)向支付服务端发送开通请求。

步骤240，支付服务端根据接收的开通请求向安全服务端发送第二调用消息。

支付服务端通过调用服务mobileBiometricService.getRegRequest向安全服务端发送第二调用消息。

步骤250，安全服务端生成随机字符串，并使用预设的安全服务端私钥对上述生成的随机字符串进行数字签名后生成认证挑战信息。

步骤260，安全服务端向支付服务端返回生成的认证挑战信息。

步骤270，支付服务端向支付客户端转发该认证挑战信息。

步骤280，支付客户端向安全客户端发送认证挑战信息。

支付客户端具体可以通过调用服务：hardwarePayExecute(type＝QUICKPAY_REQUEST_TYPE_REGISTER，data＝认证挑战信息)向安全客户端发送认证挑战信息。

步骤290，安全客户端根据预设的安全服务端公钥对所述认证挑战信息进行验签，并在验签通过后向终端设备的指纹感应器发送第二采集指令。

步骤2100，终端设备的指纹感应器向安全客户端发送实时采集的用户的第一指纹信息。

步骤2110，安全客户端将实时采集的第一指纹信息与预设的指纹信息比对一致时，生成与用户的第一指纹信息对应的数字签名证书私钥以及数字签名证书公钥，并保存数字签名证书私钥。

可选地，安全客户端接收支付客户端发送的第一消息，所述第一消息携带所述用户的唯一标识ID以及所述终端设备的ID；

所述生成与该第一指纹信息对应的数字签名证书私钥以及数字签名证书公钥，包括：

所述安全客户端根据所述用户的ID、所述终端设备的ID以及比对一致的结果信息，生成与用户的第一指纹信息对应的数字签名证书私钥以及数字签名证书公钥。

需要说明的是，上述比对一致的结果信息即为实时采集的第一指纹信息与预设的指纹信息比对一致的结果信息。

步骤2120，安全客户端使用预设的安全客户端私钥对认证挑战信息进行数字签名后，生成开通请求报文，其中，开通请求报文携带数字签名证书公钥。

步骤2130，安全客户端向支付客户端发送开通请求报文。

步骤2140，支付客户端向终端设备发送验证请求；

步骤2150，终端设备向支付客户端发送表示确认的响应消息；

步骤2160，支付客户端接收用户输入的原始支付密码，并在所述原始支付密码正确时通过支付服务端将开通请求报文转发至安全服务端。

步骤2170，安全服务端根据预设的安全客户端公钥对开通请求报文验签通过后，存储开通请求报文中的数字签名证书公钥。

步骤2180，安全服务端向支付服务端返回验签通过的消息。

步骤2190，支付服务端向支付客户端转发上述验签通过的消息。

步骤2200，支付客户端根据接收到的支付请求，通过安全客户端向终端设备的指纹感应器发送第一采集指令。

该第一采集指令用于指示指纹感应器采集并向安全客户端返回用户的第二指纹信息。

步骤2210，安全客户端接收指纹感应器实时采集的第二指纹信息，并将 第二指纹信息与预设的指纹信息进行比对。

步骤2220，当比对一致时，读取预先存储的数字签名证书私钥，并使用数字签名证书私钥对支付请求报文进行数字签名后，生成生物信息验证报文。

步骤2230，安全客户端通过支付客户端向支付服务端发送生物信息验证报文。

步骤2240，支付服务端从安全服务端中读取预选存储的数字签名证书公钥，根据数字签名证书公钥对生物信息验证报文验签。

步骤2250，支付客户端接收支付服务端返回的认证成功与否的消息，并在接收到认证成功的消息后执行支付操作。

综上，本申请提供的身份认证方法，在采集到用户的指纹信息时，解锁安全客户端中存储的数字签名证书私钥，并在身份认证的过程中，用数字签名证书私钥来替代指纹信息进行验证，从而可以达到替换原始支付密码的目的，并且可以提高用户的支付操作的安全性和便捷性。

还需要说明的是，本申请实施例中的步骤210至步骤2190也可以称为指纹支付开通流程，该指纹支付开通流程可应用与任何生物识别和身份认证的过程，如，虹膜、人脸以及手环等各种安全级别的身份认证。

与上述身份认证方法对应地，本申请实施例还提供的一种身份认证装置，如图3所示，该装置包括：采集单元301、读取单元302、生成单元303和发送单元304。

采集单元301，用于接收业务请求，根据所述业务请求采集用户的第一生物认证信息。

其中，所述生物认证信息包括以下一种或多种：指纹信息、脸部图像信息以及声音信息。

读取单元302，用于将采集单元301采集的所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥。

生成单元303，用于根据读取单元302读取的所述数字签名证书私钥，对所述业务请求进行数字签名，并生成生物信息验证报文。

发送单元304，用于向服务端发送生成单元303生成的所述生物信息验证报文，以使所述服务端读取预先存储的与所述数字签名证书私钥对应的数字签名证书公钥，并使所述服务端根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述终端设备返回认证结果信息。

可选地，采集单元301，还用于接收开通请求，根据所述开通请求采集用户的第二生物认证信息。

采集单元301具体用于：向所述服务端发送所述开通请求；接收所述服务端根据所述开通请求返回的响应消息；对所述响应消息进行验签，并在验签通过后采集用户的第二生物认证信息。

生成单元303，还用将采集单元301采集的所述第二生物认证信息与所述预设的生物认证信息比对一致时，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥，并保存所述数字签名证书私钥。

生成单元303具体用于：根据所述用户的ID、所述终端设备的ID以及比对一致的结果信息，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥。

生成单元303，还用于根据第一预设的私钥，对所述开通请求进行数字签名后，生成开通请求报文，其中，所述开通请求报文携带所述数字签名证书公钥。

发送单元304，还用于向所述服务端发送生成单元303生成的所述开通请求报文，以使所述服务端根据第一预设的公钥对所述开通请求报文验签通过后，保存所述数字签名证书公钥，其中，所述第一预设的私钥与所述第一预设的公钥相对应。

发送单元304具体用于：验证所述用户是否为合法用户；当所述用户为合 法用户时，对原始支付密码进行校验，并在校验成功时向所述服务端发送所述开通请求报文。

可选地，所述身份认证装置可以用于支付过程中的身份认证，所述业务请求为支付请求。

本申请实施例装置的各功能模块的功能，可以通过上述方法实施例的各步骤来实现，因此，本申请提供的装置的具体工作过程，在此不复赘述。

本申请提供的身份认证装置，采集单元301接收业务请求，根据所述业务请求采集用户的第一生物认证信息；读取单元302将所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥；生成单元303根据所述数字签名证书私钥，对所述业务请求进行数字签名，并生成生物信息验证报文；发送单元304向服务端发送所述生物信息验证报文，以使所述服务端读取预先存储的与所述数字签名证书私钥对应的数字签名证书公钥，并使所述服务端根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述终端设备返回认证结果信息。由此，可以提高用户的支付操作的安全性和便捷性。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的对象及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意 其它形式的存储介质中。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (14)

1. 一种身份认证方法，其特征在于，该方法包括：

   终端设备接收业务请求，根据所述业务请求采集用户的第一生物认证信息；

   将所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥；

   根据所述数字签名证书私钥，对所述业务请求进行数字签名，并生成生物信息验证报文；

   向服务端发送所述生物信息验证报文，以使所述服务端读取预先存储的与所述数字签名证书私钥对应的数字签名证书公钥，并使所述服务端根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述终端设备返回认证结果信息。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括：生成并存储所述数字签名证书私钥以及所述数字签名证书公钥的步骤，包括：

   所述终端设备接收开通请求，根据所述开通请求采集用户的第二生物认证信息；

   将所述第二生物认证信息与所述预设的生物认证信息比对一致时，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥，并保存所述数字签名证书私钥；

   根据第一预设的私钥，对所述开通请求进行数字签名后，生成开通请求报文，其中，所述开通请求报文携带所述数字签名证书公钥；

   向所述服务端发送所述开通请求报文，以使所述服务端根据第一预设的公钥对所述开通请求报文验签通过后，保存所述数字签名证书公钥，其中，所述第一预设的私钥与所述第一预设的公钥相对应。
3. 根据权利要求1或2所述的方法，其特征在于，所述生物认证信息包括以下一种或多种：指纹信息、脸部图像信息以及声音信息。
4. 根据权利要求2所述的方法，其特征在于，所述生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥，包括：

   根据所述用户的ID、所述终端设备的ID以及比对一致的结果信息，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥。
5. 根据权利要求2所述的方法，其特征在于，所述终端设备接收开通请求，根据所述开通请求采集用户的第二生物认证信息，包括：

   所述终端设备向所述服务端发送所述开通请求；

   接收所述服务端根据所述开通请求返回的响应消息；

   对所述响应消息进行验签，并在验签通过后采集用户的第二生物认证信息。
6. 根据权利要求2所述的方法，其特征在于，所述向所述服务端发送所述开通请求报文，包括：

   所述终端设备验证所述用户是否为合法用户；

   当所述用户为合法用户时，对原始支付密码进行校验，并在校验成功时向所述服务端发送所述开通请求报文。
7. 根据权利要求1、2、4-6任一项所述的方法，其特征在于，所述方法应用于支付过程中的身份认证，所述业务请求为支付请求。
8. 一种身份认证装置，其特征在于，该装置包括：采集单元、读取单元、生成单元和发送单元；

   所述采集单元，用于接收业务请求，根据所述业务请求采集用户的第一生物认证信息；

   所述读取单元，用于将所述采集单元采集的所述第一生物认证信息与预设的生物认证信息进行比对，并在比对一致时，读取预先存储的数字签名证书私钥；

   所述生成单元，用于根据所述读取单元读取的所述数字签名证书私钥，对 所述业务请求进行数字签名，并生成生物信息验证报文；

   所述发送单元，用于向服务端发送所述生成单元生成的所述生物信息验证报文，以使所述服务端读取预先存储的与所述数字签名证书私钥对应的数字签名证书公钥，并使所述服务端根据所述数字签名证书公钥对所述生物信息验证报文验签后，向所述终端设备返回认证结果信息。
9. 根据权利要求8所述的装置，其特征在于，

   所述采集单元，还用于接收开通请求，根据所述开通请求采集用户的第二生物认证信息；

   所述生成单元，还用将所述采集单元采集的所述第二生物认证信息与所述预设的生物认证信息比对一致时，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥，并保存所述数字签名证书私钥；

   所述生成单元，还用于根据第一预设的私钥，对所述开通请求进行数字签名后，生成开通请求报文，其中，所述开通请求报文携带所述数字签名证书公钥；

   所述发送单元，还用于向所述服务端发送所述生成单元生成的所述开通请求报文，以使所述服务端根据第一预设的公钥对所述开通请求报文验签通过后，保存所述数字签名证书公钥，其中，所述第一预设的私钥与所述第一预设的公钥相对应。
10. 根据权利要求8或9所述的装置，其特征在于，所述生物认证信息包括以下一种或多种：指纹信息、脸部图像信息以及声音信息。
11. 根据权利要求9所述的装置，其特征在于，所述生成单元具体用于：

    根据所述用户的ID、所述终端设备的ID以及比对一致的结果信息，生成与所述第二生物认证信息对应的所述数字签名证书私钥以及所述数字签名证书公钥。
12. 根据权利要求9所述的装置，其特征在于，所述采集单元具体用于：

    向所述服务端发送所述开通请求；

    接收所述服务端根据所述开通请求返回的响应消息；

    对所述响应消息进行验签，并在验签通过后采集用户的第二生物认证信息。
13. 根据权利要求9所述的装置，其特征在于，所述发送单元具体用于：

    验证所述用户是否为合法用户；

    当所述用户为合法用户时，对原始支付密码进行校验，并在校验成功时向所述服务端发送所述开通请求报文。
14. 根据权利要求8、9、11-13任一项所述的装置，其特征在于，所述装置用于支付过程中的身份认证，所述业务请求为支付请求。

Images