一种基于生物特征的安全认证方法及装置制造方法及图纸

本发明专利技术公开一种基于生物特征的安全认证方法及装置，该方法包括：终端根据接收的生物特征认证请求，获取第一生物特征；所述终端将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果；所述终端使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据，所述安全证书唯一对应所述终端；所述终端向认证端发送所述第一密文数据及所述安全证书的公钥证书，所述认证端为服务器或所述终端,用以解决现有身份认证存在安全隐患的问题。

【技术实现步骤摘要】

本专利技术涉及计算机应用
，尤其涉及一种基于生物特征的安全认证方法及装置。
技术介绍
随着诸如智能手机、平板电脑、智能电视等智能终端的不断发展和利用，人们利用智能终端设备越来越多地进行交易、获取服务，然而其中不可避免地会涉及到身份认证的问题。比如，用户在进行网上交易的过程中，需要将用户的支付信息提交给服务器端以实现支付功能，再比如，用户在网上获取某种服务时，需要将用户账户信息提交给服务器端以实现登录和服务获取。关于身份认证的具体过程以现有的指纹认证技术举例来说：当用户需要进行认证时，首先客户端通过指纹传感器采集到用户指纹，然后提取指纹特征码，与指纹库中已保存的指纹特征识别样本进行特征匹配，该比对过程有两种模式：一种是在设备本地进行匹配，再将比对结果上传至服务器端；另一种是将指纹特征上传到服务器端，在服务器端进行匹配。最后如果匹配成功则认证通过。由于现有的指纹认证技术对于设备底层实现及传输过程的安全未做定义，所以就有可能导致匹配结果在设备上被第三方恶意软件等攻击者窃取或者篡改，或者在传输过程中被攻击者窃取或者篡改，一旦被篡改，假设一个本来认证失败应该被取消的交易，却因为认证通过导致交易成功，因此用户的账户安全就存在极大的安全隐患。考虑金融领域对于支付交易的高安全性要求，目前的身份认证技术仍存在较大的安全隐患，因此亟需一种改进之后的身份认证方法可以避免现有的安全漏洞。
技术实现思路
本专利技术实施例提供一种基于生物特征的安全认证方法及装置，用以解决现有身份认证存在安全隐患的问题。本专利技术方法一种基于生物特征的安全认证方法，该方法包括：终端根据接收的生物特征认证请求，获取第一生物特征；所述终端将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果；所述终端使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据，所述安全证书唯一对应所述终端；所述终端向认证端发送所述第一密文数据及所述安全证书的公钥证书，所述认证端为服务器或所述终端。基于同样的专利技术构思，本专利技术实施例进一步地提供一种基于生物特征的安全认证装置，该装置包括：收发单元，用于接收的生物特征认证请求；传感器，用于获取第一生物特征；匹配单元，用于将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果；签名单元，用于使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据，所述安全证书唯一对应所述终端；收发单元，还用于向认证端发送所述第一密文数据及所述安全证书的公钥证书，所述认证端为服务器或所述终端。本专利技术实施例一方面获取服务器端发送的关于生物特征的认证请求；根据所述认证请求获取第一认证信息集合，并将第一认证信息集合与安全存储区中第二认证信息集合进行匹配，所述第一认证信息集合至少包括采集的第一生物特征，所述第二认证信息集合至少包括预设的第二生物特征；另一方面利用预置的公私钥对匹配结果进行加密，并将签名后的匹配结果发送至服务器端，以便所述服务器端根据验签后匹配结果生成认证结果。可见，通过对匹配结果的签名保护，就可以保证匹配结果在传输过程中不被攻击者窃取或者篡改，进而
得出正确的认证结果，保证了用户账户的安全。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供一种基于生物特征的安全认证方法流程示意图；图2为本专利技术实施例提供一种安全证书分发架构；图3为本专利技术实施例提供一种基于生物特征的安全认证系统；图4为本专利技术实施例提供一种基于生物特征的联机安全认证方法流程示意图；图5为本专利技术实施例提供一种基于生物特征的脱机安全认证方法流程示意图；图6为本专利技术实施例提供一种认证端的解密过程；图7为本专利技术实施例提供一种基于生物特征的纹认证的开通和绑定过程；图8为本专利技术实施例提供一种基于生物特征的指纹认证替代密码的安全认证过程；图9为本专利技术实施例提供一种基于生物特征的安全认证装置示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述，显然，所描述的实施例仅仅是本专利技术一部份实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。本专利技术所涉及到的终端可以包括具有生物特征认证功能的手持设备、车载
设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备，以及各种形式的用户设备(User Equipment，简称UE)，移动台(Mobile station，简称MS)，终端(terminal)，终端设备(Terminal Equipment)等等。为方便描述，本专利技术简称为终端。其中，所谓生物特征指的是指纹、虹膜、人脸、声纹等特征。参见图1所示，本专利技术实施例提供一种基于生物特征的安全认证方法流程示意图，具体地实现方法包括：步骤S101，终端根据接收的生物特征认证请求，获取第一生物特征。步骤S102，所述终端将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果。步骤S103，所述终端使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据，所述安全证书唯一对应所述终端。步骤S104，所述终端向认证端发送所述第一密文数据及所述安全证书的公钥证书，所述认证端为服务器或所述终端。其中，生物特征认证请求中包含的要认证的生物特征是指纹、虹膜、声纹或者人脸等特征，所以当终端收到认证请求之后，向用户发出关于该生物特征采集的提示信息，用户输入该生物特征之后，传感器采集相应的生物特征，当然，该传感器可以集成在终端的内部，也可以作为单独的模块与终端通过接口连接，如下内容以传感器在终端内部的情景进行进一步地论述。因为考虑到终端内部生成的匹配结果存在被篡改的风险，所以本专利技术实施例对匹配结果进行加密，具体做法是通过每个终端的安全证书对匹配结果进行数字签名，其中，终端的安全证书是通过证书系统按照设定规则分发得到的，例如图2所示，证书授权中心(CA)授权指纹服务证书注册系统(RA)，由RA给终端制造商颁布证书。终端制造商负责自行颁发并管理终端的公钥证书，RA不再参与颁发。当然若终端制造商不具备证书管理的能力，可由RA通过虚拟厂商的方式代替为每个终端颁发终端的安全证书。另外，终端制造商为终端颁发
终端的公钥证书可以包含图中的三种类型：匹配单元证书、签名单元证书、传感器证书。其中：签名单元证书为必需，其作用是为了验证后续验证匹配结果的真伪并将匹配结果进行签名后发送给认证端；而匹配单元证书和传感器证书为可选，其作用主要是为了建立第一安全通道和第二安全通道，保证安全通信，当然也可以采取其他不低于TLS2.0安全级别的认证方式进行替代。当终端具有证书系统下发的安全证书时，利用匹配单元证书和传感器证书预先建立第一安全通道和第二安全通道，进一步地，所述终端将传感器采集的第一生物特征通过第一安全通道发送给所述终端的匹配单元；所述匹配单元将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果，并将所述匹配结果本文档来自技高网...

【技术保护点】
一种基于生物特征的安全认证方法，其特征在于，该方法包括：终端根据接收的生物特征认证请求，获取第一生物特征；所述终端将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果；所述终端使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据，所述安全证书唯一对应所述终端；所述终端向认证端发送所述第一密文数据及所述安全证书的公钥证书，所述认证端为服务器或所述终端。

【技术特征摘要】
1.一种基于生物特征的安全认证方法，其特征在于，该方法包括：终端根据接收的生物特征认证请求，获取第一生物特征；所述终端将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果；所述终端使用所述终端的安全证书的私钥对所述匹配结果加密得到第一密文数据，所述安全证书唯一对应所述终端；所述终端向认证端发送所述第一密文数据及所述安全证书的公钥证书，所述认证端为服务器或所述终端。2.如权利要求1所述的方法，其特征在于，所述获取第一生物特征，包括：所述终端将传感器采集的第一生物特征通过第一安全通道发送给所述终端的匹配单元；所述终端将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果，包括所述匹配单元将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果，并将所述匹配结果通过第二安全通道发送给所述终端的签名单元，所述匹配单元中加密存储有所述第二生物特征；所述终端使用所述终端的安全证书对所述匹配结果加密得到第一密文数据，包括：所述签名单元先使用哈希函数对所述匹配结果生成匹配结果的摘要，再使用所述终端的安全证书对所述摘要加密，得到签名数据，所述签名单元中存储有所述终端的安全证书。3.如权利要求2所述的方法，其特征在于，所述获取第一生物特征之前，还包括：所述传感器与所述匹配单元通过握手协议完成单向或者双向身份认证和会话密钥交换，从而建立所述第一安全通道；所述匹配单元与所述签名单元通过握手协议完成单向或者双向身份认证和会话密钥交换，从而建立所述第二安全通道。4.如权利要求2所述的方法，其特征在于，还包括：所述匹配单元与所述签名单元在安全运行环境中运行，其中，所述安全运行环境包括可信执行环境TEE或者安全芯片，其中，所述安全运行环境中设置有满足不同交易权限的安全等级。5.如权利要求1所述的方法，其特征在于，所述终端将所述第一生物特征与预设的第二生物特征进行匹配，生成匹配结果，还包括：若所述第一生物特征与预设的第二生物特征匹配，则获取匹配的第二生物特征的权限；生成关于所述认证请求对应的待认证业务与所述第二生物特征的权限是否匹配的结果。6.如权利要求1～5任一所述的方法，其特征在于，还包括：所述终端的安全证书的私钥包括所述终端的私钥、所述终端的安全证书的公钥证书包括所述终端的公钥证书、所述终端制造商的公钥证书，其中，所述终端的公钥证书为使用所述终端制造商的私钥签名所述终端的公钥得到，所述终端制造商的公钥证书为使用认证平台的私钥签名所述终端制造商的公钥得到。7.如权利要求6所述的方法，其特征在于，所述终端发送所述第一密文数据及所述安全证书的公钥证书，包括：所述终端发送所述安全证书的公钥证书给所述认证端；所述终端在收到所述认证端发送的设备认证通过后，发送所述第一密文数据给所述认证端；或者，所述终端发送所述安全证书的公钥证书和第一密文数据给所述认证端，以使所述认证端根据安全证书的公钥证书认证所述终端是否为合法终端。8.如权利要求6所述的方法，其特征在于，所述发送所述第一密文数据给
\t所述认证端之后，还包括：所述认证端通过以下方式解析密文数据：所述认证端根据所述终端制造商的公钥证书和预存的所述认证平台的公钥获得所述终端制造商的公钥；所述认证端根据所述终端制造商的公钥和所述终端的公钥证书获得所述终端的公钥；若所述认证端获得所述终端的公钥则确定所述终端的设备认证通过，并使用所述终端的公钥验证所述第一密文数据，得到所述匹配结果。9.如权利要求6所述的方法，其特征在于，还包括：所述终端使用所述终端的安全证书的私钥对关键信息进行加密，得到第二密文数据；所述终端将所述第二密文数据发送给所述认证端。10.如权利要求9所述的方法，其特征在于，所述终端将所述第二密文数据发送给所述认证端之后，还包括：所述认证端通过以下方式解析密文数据：所述认证端根据所述终端制造商的公钥证书和预存的所述认证平台的公钥获得所述终端制造商的公钥，根据所述终端制造商的公钥和所述终端的公钥证书获得所述终端的公钥，若所述认证端获得所述终端的公钥则确定所述终端的设备认证通过；使用所述终端的公钥验证所述第一密文数据，得到所述匹配结果；若所述匹配结果为匹配成功，则使用所述终端的公钥验证所述第二密文数据，得到所述关键信息；确定所述关键信息是否符合预设的...

【专利技术属性】
技术研发人员：丁林润，李春欢，回春野，彭蔚蔚，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：上海;31