【技术实现步骤摘要】
本专利技术涉及计算机应用
,尤其涉及一种基于生物特征的安全认证方法及装置。
技术介绍
随着诸如智能手机、平板电脑、智能电视等智能终端的不断发展和利用,人们利用智能终端设备越来越多地进行交易、获取服务,然而其中不可避免地会涉及到身份认证的问题。比如,用户在进行网上交易的过程中,需要将用户的支付信息提交给服务器端以实现支付功能,再比如,用户在网上获取某种服务时,需要将用户账户信息提交给服务器端以实现登录和服务获取。关于身份认证的具体过程以现有的指纹认证技术举例来说:当用户需要进行认证时,首先客户端通过指纹传感器采集到用户指纹,然后提取指纹特征码,与指纹库中已保存的指纹特征识别样本进行特征匹配,该比对过程有两种模式:一种是在设备本地进行匹配,再将比对结果上传至服务器端;另一种是将指纹特征上传到服务器端,在服务器端进行匹配。最后如果匹配成功则认证通过。由于现有的指纹认证技术对于设备底层实现及传输过程的安全未做定义,所以就有可能导致匹配结果在设备上被第三方恶意软件等攻击者窃取或者篡改,或者在传输过程中被攻击者窃取或者篡改,一旦被篡改,假设一个本来认证失败应该被取消的交易,却因为认证通过导致交易成功,因此用户的账户安全就存在极大的安全隐患。考虑金融领域对于支付交易的高安全性要求,目前的身份认证技术仍存在较大的安全隐患,因此亟需一种改进之后的身份认证方法可以避免现有的安全漏洞。
技术实现思路
本专利技术实施例提供一种基于生物特征的安全认证方法及装置,用以解决现有身份认证存在安全隐患的问题。本专利技术方法一种基于生物特征的安全认证方法,该方法包括:终端根据接收的生物特 ...
【技术保护点】
一种基于生物特征的安全认证方法,其特征在于,该方法包括:终端根据接收的生物特征认证请求,获取第一生物特征;所述终端将所述第一生物特征与预设的第二生物特征进行匹配,生成匹配结果;所述终端使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据,所述安全证书唯一对应所述终端;所述终端向认证端发送所述第一密文数据及所述安全证书的公钥证书,所述认证端为服务器或所述终端。
【技术特征摘要】
1.一种基于生物特征的安全认证方法,其特征在于,该方法包括:终端根据接收的生物特征认证请求,获取第一生物特征;所述终端将所述第一生物特征与预设的第二生物特征进行匹配,生成匹配结果;所述终端使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据,所述安全证书唯一对应所述终端;所述终端向认证端发送所述第一密文数据及所述安全证书的公钥证书,所述认证端为服务器或所述终端。2.如权利要求1所述的方法,其特征在于,所述获取第一生物特征,包括:所述终端将传感器采集的第一生物特征通过第一安全通道发送给所述终端的匹配单元;所述终端将所述第一生物特征与预设的第二生物特征进行匹配,生成匹配结果,包括所述匹配单元将所述第一生物特征与预设的第二生物特征进行匹配,生成匹配结果,并将所述匹配结果通过第二安全通道发送给所述终端的签名单元,所述匹配单元中加密存储有所述第二生物特征;所述终端使用所述终端的安全证书对所述匹配结果加密得到第一密文数据,包括:所述签名单元先使用哈希函数对所述匹配结果生成匹配结果的摘要,再使用所述终端的安全证书对所述摘要加密,得到签名数据,所述签名单元中存储有所述终端的安全证书。3.如权利要求2所述的方法,其特征在于,所述获取第一生物特征之前,还包括:所述传感器与所述匹配单元通过握手协议完成单向或者双向身份认证和会话密钥交换,从而建立所述第一安全通道;所述匹配单元与所述签名单元通过握手协议完成单向或者双向身份认证和会话密钥交换,从而建立所述第二安全通道。4.如权利要求2所述的方法,其特征在于,还包括:所述匹配单元与所述签名单元在安全运行环境中运行,其中,所述安全运行环境包括可信执行环境TEE或者安全芯片,其中,所述安全运行环境中设置有满足不同交易权限的安全等级。5.如权利要求1所述的方法,其特征在于,所述终端将所述第一生物特征与预设的第二生物特征进行匹配,生成匹配结果,还包括:若所述第一生物特征与预设的第二生物特征匹配,则获取匹配的第二生物特征的权限;生成关于所述认证请求对应的待认证业务与所述第二生物特征的权限是否匹配的结果。6.如权利要求1~5任一所述的方法,其特征在于,还包括:所述终端的安全证书的私钥包括所述终端的私钥、所述终端的安全证书的公钥证书包括所述终端的公钥证书、所述终端制造商的公钥证书,其中,所述终端的公钥证书为使用所述终端制造商的私钥签名所述终端的公钥得到,所述终端制造商的公钥证书为使用认证平台的私钥签名所述终端制造商的公钥得到。7.如权利要求6所述的方法,其特征在于,所述终端发送所述第一密文数据及所述安全证书的公钥证书,包括:所述终端发送所述安全证书的公钥证书给所述认证端;所述终端在收到所述认证端发送的设备认证通过后,发送所述第一密文数据给所述认证端;或者,所述终端发送所述安全证书的公钥证书和第一密文数据给所述认证端,以使所述认证端根据安全证书的公钥证书认证所述终端是否为合法终端。8.如权利要求6所述的方法,其特征在于,所述发送所述第一密文数据给
\t所述认证端之后,还包括:所述认证端通过以下方式解析密文数据:所述认证端根据所述终端制造商的公钥证书和预存的所述认证平台的公钥获得所述终端制造商的公钥;所述认证端根据所述终端制造商的公钥和所述终端的公钥证书获得所述终端的公钥;若所述认证端获得所述终端的公钥则确定所述终端的设备认证通过,并使用所述终端的公钥验证所述第一密文数据,得到所述匹配结果。9.如权利要求6所述的方法,其特征在于,还包括:所述终端使用所述终端的安全证书的私钥对关键信息进行加密,得到第二密文数据;所述终端将所述第二密文数据发送给所述认证端。10.如权利要求9所述的方法,其特征在于,所述终端将所述第二密文数据发送给所述认证端之后,还包括:所述认证端通过以下方式解析密文数据:所述认证端根据所述终端制造商的公钥证书和预存的所述认证平台的公钥获得所述终端制造商的公钥,根据所述终端制造商的公钥和所述终端的公钥证书获得所述终端的公钥,若所述认证端获得所述终端的公钥则确定所述终端的设备认证通过;使用所述终端的公钥验证所述第一密文数据,得到所述匹配结果;若所述匹配结果为匹配成功,则使用所述终端的公钥验证所述第二密文数据,得到所述关键信息;确定所述关键信息是否符合预设的...
【专利技术属性】
技术研发人员:丁林润,李春欢,回春野,彭蔚蔚,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。