WO2017185683A1

WO2017185683A1 - 基于生物识别信息的认证方法和认证系统、电子设备

Info

Publication number: WO2017185683A1
Application number: PCT/CN2016/102960
Authority: WO
Inventors: 马玉明
Original assignee: 乐视控股（北京）有限公司; 乐视移动智能信息技术（北京）有限公司
Priority date: 2016-04-27
Filing date: 2016-10-21
Publication date: 2017-11-02
Also published as: CN105827625A

Abstract

一种基于生物识别信息的认证方法，包括：检测是否接收到从其它应用发来的涉及密码的请求；如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息；在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证；以及如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用。

Description

基于生物识别信息的认证方法和认证系统、电子设备

本申请要求在2016年4月27日提交中国专利局、申请号为2016102709967、发明名称为“基于生物识别信息的认证方法和认证系统、电子设备”的中国专利申请的优先权，该申请的全部内容通过引用结合在本申请中。

技术领域

本申请涉及信息安全技术领域，例如涉及一种基于生物识别信息的认证方法、一种基于生物识别信息的认证系统、以及一种电子设备。

背景技术

相关技术中，智能终端(例如手机、智能电视、PDA等)上通常安装有多个应用(Application)，登录这些应用时需要用户输入用户名和密码，登录后使用应用的过程中，也可能会出现敏感操作(例如支付、转账、更改密码等)涉及到密码，因此用户需要一一记住这些应用的密码等信息并输入这些信息，对于用户来说不是很方便，用户体验差。

发明内容

本申请提供了一种基于生物识别信息的新认证方案，帮助用户统一管理多个应用的密码信息。

第一方面，本申请实施例提供了一种基于生物识别信息的认证方法，包括以下步骤：检测是否接收到从其它应用发来的涉及密码的请求；如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息；在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证；以及如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用。

第二方面，本申请实施例提供了一种基于生物识别信息的认证系统，包括请求接收模块和安全认证模块；所述请求接收模块，设置为检测是否接收到从其它应用发来的涉及密码的请求；如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息；所述安全认证模块，设置为在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证；如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用。

第三方面，本申请实施例提供了一种非暂态计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述基于生物识别信息的认证方法。

第四方面，本申请实施例提供了一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行上述基于生物识别信息的认证方法。

第五方面，本申请实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述基于生物识别信息的认证方法。

本申请的基于生物识别信息的认证方法和系统，可以统一管理多个其它应用的密码，当一个其它应用需要输入密码时，会跳转至提示用户输入生物识别信息，在安全环境中对用户输入的生物识别信息进行安全认证，如果认证通过则将密码发送给相关应用，对于用户而言更有整体感，用户体验更好。

通过以下参照附图对本申请的示例性实施例的详细描述，本申请的其它特征及优点将会变得清楚。

附图概述

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。

图1示出了本申请第一实施例提供的基于生物识别信息的认证方法的流程图。

图2示出了本申请第二实施例提供的基于生物识别信息的认证方法的流程图。

图3示出了本申请第三实施例提供的基于生物识别信息的认证方法的流程图。

图4示出了本申请实施例提供的基于生物识别信息的认证系统的框图。

图5示出了本申请实施例提供的电子设备的框图。

图6示出了本申请实施例提供的电子设备的硬件配置的框图。

具体实施方式

现在将参照附图来详细描述本申请的多种示例性实施例。除非另外说明，在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有例子中，任何具体值应被解释为仅仅是示例性的。因此，示例性实施例的其它例子可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦其中一项在一个附图中被定义，则在随后的附图中不需要进行讨论。

本申请中的生物识别信息，是指人类的个性化生理特征，例如指纹、虹膜、声音等，这些生理特征是个性化的，因此可以利用这些生物识别信息来识别用户。

<实施例一>

参考图1所示，第一实施例提供了一种基于生物识别信息的认证方法，该方法例如可以通过在智能终端上设置一个安全箱应用来实施，通过安全箱应用和智能终端上的其它应用进行通信，实现利用安全箱应用统一管理其它应用的密码的技术效果。在本申请中，其它应用的类型非常宽泛，可以为任何涉及密码的应用，第一实施例中以一个购物应用做说明。

在步骤110中、检测是否接收到从其它应用发来的涉及密码的请求。

如果用户使用该购物应用的过程中需要用户输入密码，则该购物应用会向安全箱应用发出涉及密码的请求，所述请求中至少应当带有该购物应用的ID，如果该购物应用具有多重密码，例如具有查询密码和支付密码，那么该请求中还应当带有密码的编号，以便于安全箱应用知道该购物应用是在请求哪一个密码。

在步骤120中、如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息。

如果安全箱应用接收到该购物应用发来的涉及密码的请求，则安全箱应用可以通过弹出一个文字窗口或者播报语音等方式提示用户输入生物识别信息，第一实施例中采用的生物识别信息例如为指纹。

在步骤130中、在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证。

用户输入指纹后，安全箱应用在安全环境中检测输入的指纹，对指纹进行安全认证，也就是判断输入的指纹是否为用户本人的指纹。这一步骤可以例如是：从输入的指纹中提取出指纹特征值(指纹特征值可以例如包括端点、分叉点、孤立点、环点、短纹、方向、曲率等)，然后将提取出的指纹特征值和预先存储于安全环境中的指纹特征值进行比对，如果两者吻合则安全认证通过，也就是判定输入的指纹就是用户本人的指纹。

在步骤140中、如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码。

即，如果判断输入的指纹就是用户本人的指纹，则根据所述请求中包含的信息查找该请求对应的密码，例如根据该购物应用的ID和密码的编号查询获得该购物应用对应的支付密码。

在步骤150中、将所述请求涉及的密码发回给相关应用，也就是将密码返回给发出所述请求的应用。

该购物应用接收到密码后，可以和相关技术中一样，自行去该购物应用的后台服务器验证密码，进行后续操作。

本申请中提到的安全环境例如可以为可信执行环境(Trusted execution environment，TEE)，步骤130和140可以由运行于所述可信执行环境中的可信应用(Trusted Application，TA)执行。智能终端的可信执行环境可以是和智能终端的操作系统物理上隔离，可信执行环境和操作系统之间通过可信执行环境客户端应用编程接口(TEE Client，API)交互。安全环境可以具有自身的硬件资源，包括CPU、内存、安全存储(Secure Storage)、安全时钟(Secure Time)等，利用安全环境能够保证密码的安全性，以及保证安全认证过程中的防篡改和防侵入。

本申请的基于生物识别信息的认证方法，可以统一管理多个其它应用的密码，当一个其它应用需要输入密码时，会跳转至提示用户输入生物识别信息，在安全环境中对用户输入的生物识别信息进行安全认证，如果认证通过则将密码发送给相关应用，对于用户而言更有整体感，例如无论是哪个应用，密码是多长，都只需要用户录入一个指纹即可，用户体验更好。可选地，由于密码存储于安全环境中，并且只有使用生物识别信息才能够取得密码，认证生物识别信息并取得密码的过程也运行于安全环境中，因此能够提高用户信息的安全性。

<实施例二>

参考图2所示，第二实施例提供了一种基于生物识别信息的认证方法，包括以下步骤：

步骤201、检测是否接收到从其它应用发来的涉及密码的请求。

步骤202、如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息。

步骤203、在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证。

步骤204、如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码。

步骤205、用私钥在安全环境中对密码进行解密。

步骤206、将解密出的密码发送给相关应用。

其中，步骤201-204与前述步骤110-140类似，这里不再重复说明。第二实施例和第一实施例的主要区别在于，其它应用的密码以加密的形式存储在安全环境中，安全箱应用查找获得所述请求涉及的密码后，需要先用安全箱的私钥在安全环境中对密码进行解码，然后将解密获得的密码发回给相关应用，第二实施例的方法能够保证密码的安全性。

<实施例三>

参考图3所示，第三实施例提供了一种基于生物识别信息的认证方法，包括以下步骤：

步骤301、检测是否接收到从其它应用发来的涉及用户名和密码的请求。

步骤302、如果接收到从其它应用发来的涉及用户名和密码的请求，则提示用户需要输入生物识别信息。

步骤303、在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证。

步骤304、如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的用户名和密码。

步骤305、将所述请求涉及的用户名和密码发送给相关应用。

其中，步骤301-305与前述步骤110-150类似，第三实施例和第一实施例的主要区别在于，该购物应用同时向安全箱应用请求用户名和密码，安全箱应用将用户名和密码一起返回给该购物应用，第三实施例多适用于用户登录该购物应用的情况，不需要用户手动输入用户名和密码，只需要用户录入指纹即可，更加方便了用户的使用。

<实施例四>

参考图4所示，第四实施例提供了一种基于生物识别信息的认证系统10，认证系统10包括请求接收模块11和安全认证模块12。认证系统10的技术原理、实施过程、技术效果和第一～第三实施例类似。

请求接收模块11，设置为检测是否接收到从其它应用发来的涉及密码的请求；如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息。

安全认证模块12，设置为在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证；如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用。

可选地，所述其它应用的密码加密后存储于所述安全环境中；安全认证模块12，设置为在查找到所述请求涉及的密码后，先用私钥在安全环境中对所述请求涉及的密码进行解密，然后再将解密出的密码发送给相关应用。

可选地，安全认证模块12在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证，包括：从所述用户输入的生物识别信息中提取出生物特征值，然后将提取出的生物特征值和存储于安全环境中的生物特征值进行比对，如果两者吻合则安全认证通过。

本申请的基于生物识别信息的认证系统，可以统一管理多个其它应用的密码，当一个其它应用需要输入密码时，会跳转至提示用户输入生物识别信息，在安全环境中对用户输入的生物识别信息进行安全认证，如果认证通过则将密码发送给相关应用，对于用户而言更有整体感，例如无论是哪个应用，密码是多长，都只需要用户录入一个指纹即可，用户体验更好。可选地，由于密码存储于安全环境中，并且只有使用生物识别信息才能够取得密码，认证生物识别信息并取得密码的过程也运行于安全环境中，因此能够提高用户信息的安全性。

本申请实施例提供了一种非暂态计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述基于生物识别信息的认证方法。

参考图5所示，本申请实施例还提供了一种电子设备20，包括存储器21和一个或多个处理器22，图中以一个处理器22为例。其中，所述存储器21用于存储指令，所述指令用于控制所述处理器22进行操作以执行前述第一～第三实施例的方法。电子设备20的技术原理、实施过程、以及技术效果参见前文，这里不再重复说明。

参考图6所示，显示可用于实现本申请的实施例的电子设备30的硬件配置的例子的框图：

电子设备30包括存储器3020和处理器3010，其中，所述存储器3020用于存储指令，所述指令用于控制处理器3010进行相应操作以实现本申请的认证方法。

电子设备30还包括接口装置3030、通信装置3040、显示装置3050、输入装置3060、扬声器3070、麦克风3080，等等。

处理器3010例如可以是中央处理器CPU、微处理器MCU等。存储器3020例如包括ROM(只读存储器)、RAM(随机存取存储器)、诸如硬盘的非易失性存储器等。接口装置3030例如包括USB接口、耳机接口等。通信装置3040例如能够进行有线或无线通信。显示装置3050例如是液晶显示屏、触摸显示屏等。输入装置3060例如可以包括触摸屏、键盘等。用户可以通过扬声器3070和麦克风3080输入/输出语音信息。

图6所示的电子设备仅是解释性的。本领域技术人员应当理解，尽管在图6中示出了多个装置，但是，本申请可以仅涉及其中的部分装置。本领域技术人员可以根据本申请所申请方案设计指令，指令如何控制处理器进行操作是本领域公知技术，故在此不再详细描述。

这里参照根据本申请实施例的方法、装置(系统)和电子设备的流程图和/或框图描述了本申请的多个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中多个方框的组合，都可以由可读程序指令实现。

附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。对于本领域技术人员来说公知的是，通过硬件方式实现、通过软件方式实现以及通过软件和硬件结合的方式实现都是等价的。

以上已经描述了本申请的多个实施例，上述说明是示例性的，并非穷尽性的。本文中所用术语的选择，旨在最好地解释多个实施例的原理、实际应用或对市场中的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的多个实施例。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述多个方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(ROM)等。

工业实用性

本申请实施例可以统一管理多个其它应用的密码，当一个其它应用需要输入密码时，会跳转至提示用户输入生物识别信息，在安全环境中对用户输入的生物识别信息进行安全认证，如果认证通过则将密码发送给相关应用，对于用户而言更有整体感，用户体验更好。

Claims

一种基于生物识别信息的认证方法，应用于电子设备，包括：

检测是否接收到从其它应用发来的涉及密码的请求；

如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息；

在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证；以及

如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用。
根据权利要求1所述的方法，还包括：所述其它应用的密码加密后存储于所述安全环境中；所述根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用包括：在查找到所述请求涉及的密码后，先用私钥在安全环境中对其进行解密，然后再将解密出的密码发送给相关应用。
根据权利要求1所述的方法，其中，在所述检测是否接收到从其它应用发来的涉及密码的请求中，所述请求中还涉及用户名；如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用包括：如果安全认证通过，则将所述请求涉及的用户名和密码一起发送给相关应用。
根据权利要求1-3任一项所述的方法，其中，所述在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证，包括：从所述用户输入的生物识别信息中提取出生物特征值，然后将提取出的生物特征值和存储于安全环境中的生物特征值进行比对，如果两者吻合则安全认证通过。
根据权利要求1-3任一项所述的方法，其中，所述生物识别信息为下列任一或组合：指纹、虹膜、声音。
一种基于生物识别信息的认证系统，包括请求接收模块和安全认证模块；

其中，所述请求接收模块，设置为检测是否接收到从其它应用发来的涉及密码的请求；以及如果接收到从其它应用发来的涉及密码的请求，则提示用户需要输入生物识别信息；

所述安全认证模块，设置为在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证；以及如果安全认证通过，则根据所述请求在所述安全环境中查找所述请求涉及的密码，并将所述请求涉及的密码发送给相关应用。
根据权利要求6所述的系统，其中，所述其它应用的密码加密后存储于所述安全环境中；所述安全认证模块，设置为在查找到所述请求涉及的密码后，先用私钥在安全环境中对所述请求涉及的密码进行解密，然后再将解密出的密码发送给相关应用。
根据权利要求6或7任一项所述的系统，其中，所述安全认证模块在安全环境中检测用户输入的生物识别信息，对所述生物识别信息进行安全认证，包括：从所述用户输入的生物识别信息中提取出生物特征值，然后将提取出的生物特征值和存储于安全环境中的生物特征值进行比对，如果两者吻合则安全认证通过。
根据权利要求6或7任一项所述的系统，其中，所述生物识别信息为下列任一或组合：指纹、虹膜、声音。
一种非暂态计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求1-5任一项所述的方法。
一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行如权利要求1-5任一项所述的方法。
一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行权利要求1-5任一项所述的方法。