本申请公开了一种签名数据的生成及指纹认证请求方法及装置,签名数据的生成包括:在富执行环境中设置指纹名称及绑定的用户;在可信执行环境中采集指纹并生成标识;在可信执行环境中建立标识、指纹名称及绑定的用户之间的映射关系;使用安全元件存储的私钥签名将映射关系生成供公钥验证的签名数据。指纹认证请求包括:接收应用发出的指纹验证请求;在富执行环境中获取该指纹的标识、绑定的用户;使用安全元件存储的公钥对该指纹的标识、绑定的用户进行加密,并用安全元件存储的私钥签名生成供认证中心验证的签名数据后,向指纹验证请求接收端发送携带有加密后的数据以及签名数据的指纹验证请求。
【技术实现步骤摘要】
本申请涉及数据安全领域,特别涉及一种签名数据的生成及指纹认证请求方法及装置。
技术介绍
现有技术中,对于采用指纹认证的方式而言,在线下操作中,以指付通及支付宝为典型代表,其注册过程复杂,需要引导用户;在线上操作中,指纹认证过程依赖于OEM(Original Equipment Manufacturer,原始设备制造商)提供的API(Application Programming Interface,应用程序编程接口),以APPle等手机厂商提供指纹接口为典型代表,其由APP(Application,应用)开发者开发应用。在采用指纹认证过程中至少需要执行以下操作:开启手机、打开APP、登录账户、再指纹支付认证。类似的APP还有关团、大众点评信用卡还款等。可见,现有技术的不足在于:由于指纹认证过程依赖于OEM提供的API,导致认证路径过长,体验差,线下注册流程繁琐。
技术实现思路
本申请实施例中提供了一种签名数据的生成及指纹认证请求方法及装置,用以提供一种签名数据的生成方案,并在该方案下提供指纹认证请求的方案,用以减短指纹认证过程中认证路径。本申请实施例中提供了一种签名数据的生成方法,包括如下步骤:在REE中确定指纹管理对象;在TEE中采集指纹;在所述指纹管理对象设置指纹名称及绑定的用户;在TEE中为采集的指纹生成标识;在TEE中建立所述标识、指纹名称及绑定的用户之间的映射关系;将所述映射关系传入SE后,使用SE存储的私钥签名生成供公钥验证的第一签名数据。本申请实施例中提供了一种指纹认证请求方法,包括如下步骤:接收APP发出的第一指纹验证请求;在REE中验证该指纹,获取该指纹的标识、该指纹绑定的用户;将其传入SE后,使用SE存储的公钥对该指纹的标识、该指纹绑定的用户进行加密,并用SE存储的私钥签名生成供认证中心验证的第二签名数据,其中,SE存储的公钥是在上述方法中生成的第一签名数据经公钥验证后返回的,所述加密后的数据是供认证中心用该指纹绑定的用户的私钥解密的;向指纹验证请求接收端发送第二指纹验证请求,所述第二指纹验证请求中携带有所述加密后的数据以及第二签名数据。本申请实施例中提供了一种签名数据的生成装置,包括:指纹管理模块,用于在REE中确定指纹管理对象;指纹管理TA模块,用于在TEE中采集指纹;指纹业务模块,用于在所述指纹管理对象设置指纹名称及绑定的用户;指纹管理TA模块进一步用于在TEE中为采集的指纹生成标识;在TEE中建立所述标识、指纹名称及绑定的用户之间的映射关系;将所述映射关系传入SE后,使用SE存储的私钥签名生成供公钥验证的第一签名数据。本申请实施例中提供了一种指纹认证请求装置,包括:指纹管理模块,用于接收APP发出的第一指纹验证请求;在REE中验证该指纹;指纹管理TA模块,用于获取该指纹的标识、该指纹绑定的用户;将其传入SE后,使用SE存储的公钥对该指纹的标识、该指纹绑定的用户进行加密,并用SE存储的私钥签名生成供认证中心验证的第二签名数据,其中,SE存储
的公钥是在上述方法中生成的第一签名数据经公钥验证后返回的,所述加密后的数据是供认证中心用该指纹绑定的用户的私钥解密的;指纹管理模块进一步用于向指纹验证请求接收端发送第二指纹验证请求,所述第二指纹验证请求中携带有所述加密后的数据以及第二签名数据。本申请有益效果如下:在本申请实施例提供的技术方案中,在REE(Rich Execution Environment,富执行环境;也叫做Rich OS,即手机操作系统Android、IOS等)中确定指纹管理对象后,在TEE(Trusted Execution Environment,可信执行环境)中采集指纹并为该指纹生成标识;然后将REE中设置的指纹名称及绑定的用户送至TEE中与该指纹标识建立映射关系,最后使用SE(Secure element,安全元件)存储的私钥签名生成供公钥验证的第一签名数据。由于TEE中最后生成的第一签名数据只来自REE中确定指纹管理对象的APP,使得在TEE中事实上只有一个TA(trustAPP,可信APP),也即在REE中确定指纹管理对象的APP;并且,由于是在REE中的指纹管理对象设置指纹名称及绑定用户的,因此账户体系显然是与REE集成的,可以预见,在采用该第一签名数据进行支付等认证时,指纹的绑定和支付都可以在TEE中实现,在保证了安全的前提下,可以通过统一的账号体系,将账户体系和REE深入集成,减少整个支付路径,实现不开启native(本地)应用即可完成支付。具体的,则是在指纹认证请求时,当REE接收到诸如需要认证的支付等类型的APP发出的第一指纹验证请求后,由于REE的指纹管理对象中存在指纹名称及绑定用户,因此REE可以验证该指纹,并获取该指纹的标识、该指纹绑定的用户;再传入TEE后,使用SE存储的公钥进行加密,并用SE存储的私钥签名生成供认证中心验证的第二签名数据,此时其中SE存储的公钥则是第一签名数据经公钥验证后返回的,而加密后的数据也是供认证中心用该指纹绑定的用户的私钥解密的;最后,向指纹验证请求接收端发送的是携带有加密后的数据以及第二签名数据的第二指纹验证请求。由于在REE接收到APP需要认证的请求后,即转入TEE中形成发送给认证中心等接收端的指纹验证请求,这期间,是在TEE的保障下由REE直接与认证中心形成的验证过程,不再依赖于OEM提供的API,需要认证的APP不再需要依靠APPle等手机厂商提供指纹接口,也无需独自完成整个认证流程,附图说明图1为本申请实施例中签名数据的生成方法实施流程示意图;图2为本申请实施例中指纹支付中的账户处理流程示意图;图3为本申请实施例中指纹认证请求方法实施流程示意图;图4为本申请实施例中指纹支付中的认证请求处理流程示意图;图5为本申请实施例中签名数据的生成装置结构示意图;图6为本申请实施例中指纹认证请求装置结构示意图。具体实施方式下面结合附图对本申请的具体实施方式进行说明。下面先对现有网络安全中的认证过程进行简单说明,下面具体将以Bob和Alice这两个虚拟人物来进行实例说明。CA(Certificate Authority,证书授权中心,或称证书授权机构,也可简称认证中心)作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,Bob从CA中心获得一个数字证书的流程可以为:1、Bob首先创建他自己的密钥对(key pair),包含公钥和私钥;2、Bob通过网络把他的公钥送到CA中心,公钥中包含了Bob的个人鉴别信息(他的名字、地址、所用设备的序列号等等)。这些信息是证书所必需的;3、这个证书申请在CA中心服务器上会一直处于等待(pending)状态,直到CA中心的某人开始处理Bob的请求;4、在CA中心的某人鉴定并确认了Bob确实是那个提交公钥的人。为了确定Bob和密钥之间的对应关系,这个确认过程会通过某种人和人之间、带外的方式进行;5、Bob定期地对CA服务器进行查询,希望他的证书申请过程能完成并已可取回;6、CA中心创建并签署一个包含Bob的公钥及个人信息的证书,从而保证密钥的确实性;7、Bob查询CA服务器,发现证书已准备好,马上下载证书并将证书存储起来;8、Bob现在可以使用证书本文档来自技高网...
【技术保护点】
一种签名数据的生成方法,其特征在于,包括如下步骤:在富执行环境REE中确定指纹管理对象;在可信执行环境TEE中采集指纹;在所述指纹管理对象设置指纹名称及绑定的用户;在TEE中为采集的指纹生成标识;在TEE中建立所述标识、指纹名称及绑定的用户之间的映射关系;将所述映射关系传入安全元件SE后,使用SE存储的私钥签名生成供公钥验证的第一签名数据。
【技术特征摘要】
1.一种签名数据的生成方法,其特征在于,包括如下步骤:在富执行环境REE中确定指纹管理对象;在可信执行环境TEE中采集指纹;在所述指纹管理对象设置指纹名称及绑定的用户;在TEE中为采集的指纹生成标识;在TEE中建立所述标识、指纹名称及绑定的用户之间的映射关系;将所述映射关系传入安全元件SE后,使用SE存储的私钥签名生成供公钥验证的第一签名数据。2.如权利要求1所述的方法,其特征在于,在TEE中采集指纹,是通过TEE提供给REE的应用程序编程接口API,在TEE中采集指纹。3.如权利要求1所述的方法,其特征在于,在TEE中建立所述标识、指纹名称及绑定的用户之间的映射关系时,所述标识是通过TEE提供给REE的API提供给TEE的。4.如权利要求1至3任一所述的方法,其特征在于,下述步骤之一或者其组合是通过可信应用TA执行的:在TEE中采集指纹;在TEE中为采集的指纹生成标识;在TEE中建立所述标识、指纹名称及绑定的用户之间的映射关系;将所述映射关系传入SE后,使用SE存储的私钥签名生成供公钥验证的签名数据。5.一种指纹认证请求方法,其特征在于,包括如下步骤:接收应用APP发出的第一指纹验证请求;在REE中验证该指纹,获取该指纹的标识、该指纹绑定的用户;将其传入SE后,使用SE存储的公钥对该指纹的标识、该指纹绑定的用
\t户进行加密,并用SE存储的私钥签名生成供认证中心验证的第二签名数据,其中,SE存储的公钥是在如权利要求1所述的方法中生成的第一签名数据经公钥验证后返回的,所述加密后的数据是供认证中心用该指纹绑定的用户的私钥解密的;向指纹验证请求接收端发送第二指纹验证请求,所述第二指纹验证请求中携带有所述加密后的数据以及第二签名数据。6.如权利要求5所述的方法,其特征在于,所述APP是包含支付功能的APP。7.如权利要求6所述的方法,其特征在于,第一指纹验证请求是在用户在APP中选择指纹支付后发出的。8.如权利要求6至7任一所述的方法,其特征在于,第一指纹验证请求和/或第二指纹验证请求是通过APP的卡片中心发出的。9.一种签名数据的生成装置,其特征在于,包括:指纹管理模块,用于在REE中确定指纹管理对象;指纹管理TA模块,用于在TEE中采集指纹;指纹业务...
【专利技术属性】
技术研发人员:孙元博,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。