基于生物特征的身份注册方法和装置制造方法及图纸

本申请提供一种基于生物特征的身份注册方法，应用在用户设备上，所述用户设备保存有用户侧设备认证参数，所述方法包括：获取用户设备的设备标识；获取用户的生物数据，利用所述生物数据对用户身份进行生物特征校验；在通过生物特征校验后，向业务服务器发送注册请求报文，所述注册请求报文中包括设备标识和账户标识，并采用所述用户侧设备认证参数进行加密或签名。通过本申请的技术方案，避免了用户的敏感信息泄露，提高了用户账户的安全性，增加了身份认证的可靠性。

Biometric identity based registration method and device

This application provides an identity registration method based on the biological features, application in the user equipment, the user equipment to save the user equipment authentication parameters, the method comprises: obtaining user equipment identification; biological data access to the user, using the biological data for biometric verification of user identity in; by the biometric verification, the registration request message to the service server, the registration request message includes the device ID and account identification, and the use of the user side equipment for encryption or signature authentication parameters. Through the technical scheme of the application, the sensitive information of the user is avoided, the security of the user account is increased, and the reliability of the identity authentication is increased.

【技术实现步骤摘要】
基于生物特征的身份注册方法和装置
本申请涉及网络通信
，尤其涉及一种基于生物特征的身份注册方法和装置。
技术介绍
随着生物识别技术的发展，通过计算机与光学、声学、生物传感器和生物统计学等技术手段的结合，利用人体固有的指纹、人脸、虹膜、声音等生理特性进行个人身份的鉴定，已经成为可能。移动互联的蓬勃发展为生物识别技术提供了新的应用平台，例如采用指纹、人脸等在用户设备上可以登录账户、实现支付，而无需记忆并输入密码。生物识别所需的图像或视频数据由用户设备采集，生物识别可以在用户设备上进行，也可以由服务器进行。由于向服务器上传这些图像或视频数据往往会消耗大量的流量，因此生物识别往往在用户设备上完成。用户提供的生物数据在用户设备上通过校验后，用户设备将生物校验通过的结果上传给服务器，用户即可通过身份认证。可见，上述过程中身份认证是否通过主要依赖于用户设备的生物校验结果，而校验结果只有通过校验和未通过校验，易于伪造，因此用户设备的是否可靠将极大的影响用户账户的安全性。现有技术中，在身份注册和认证流程中会采用用户设备的设备标识来代表采用本地生物验证的某个用户账户所使用的设备，但设备标识很容易被冒用(例如在一些虚拟机上可以设置设备标识)，给用户账户的安全带来隐患。
技术实现思路
有鉴于此，本申请提供一种基于生物特征的身份注册方法，应用在用户设备上，所述用户设备保存有用户侧设备认证参数，所述方法包括：获取用户设备的设备标识；获取用户的生物数据，利用所述生物数据对用户身份进行生物特征校验；在通过生物特征校验后，向业务服务器发送注册请求报文，所述注册请求报文中包括设备标识和账户标识，并采用所述用户侧设备认证参数进行加密或签名；供认证服务器在收到业务服务器转发的注册请求报文后，采用与用户侧设备认证参数相同或相对应的网络侧设备认证参数对注册请求报文进行解密或验签，并在解密成功或验签通过后保存所述设备标识和账户标识的对应关系，以用来对所述账户进行身份认证。本申请提供的一种基于生物特征的身份注册方法，应用在认证服务器上，包括：从业务服务器接收来自用户设备的注册请求报文，所述注册请求报文中包括所述用户设备的设备标识和账户标识，并采用所述用户设备的用户侧设备认证参数进行加密或签名；根据所述设备标识，获取与所述用户侧设备认证参数相同或相对应的网络侧设备认证参数；采用所述网络侧设备认证参数对注册请求报文进行解密或验签，在解密成功或验签通过后保存所述设备标识与账户标识的对应关系，以用来对所述账户进行身份认证。本申请还提供了一种基于生物特征的身份注册装置，应用在用户设备上，所述用户设备保存有用户侧设备认证参数，所述装置包括：设备标识获取单元，用于获取用户设备的设备标识；生物特征校验单元，用于获取用户的生物数据，利用所述生物数据对用户身份进行生物特征校验；注册请求发送单元，用于在通过生物特征校验后，向业务服务器发送注册请求报文，所述注册请求报文中包括设备标识和账户标识，并采用所述用户侧设备认证参数进行加密或签名；供认证服务器在收到业务服务器转发的注册请求报文后，采用与用户侧设备认证参数相同或相对应的网络侧设备认证参数对注册请求报文进行解密或验签，并在解密成功或验签通过后保存所述设备标识和账户标识的对应关系，以用来对所述账户进行身份认证。本申请提供的一种基于生物特征的身份注册装置，应用在认证服务器上，包括：注册请求接收单元，用于从业务服务器接收来自用户设备的注册请求报文，所述注册请求报文中包括所述用户设备的设备标识和账户标识，并采用所述用户设备的用户侧设备认证参数进行加密或签名；设备认证参数获取单元，用于根据所述设备标识，获取与所述用户侧设备认证参数相同或相对应的网络侧设备认证参数；注册请求处理单元，用于采用所述网络侧设备认证参数对注册请求报文进行解密或验签，在解密成功或验签通过后保存所述设备标识与账户标识的对应关系，以用来对所述账户进行身份认证。由以上技术方案可见，本申请的实施例中，用户设备采用用户侧设备认证参数对其发送的注册请求报文加密或签名，认证服务器根据设备标识，获取该用户设备的网络侧设备认证参数，对注册请求报文进行解密或验签，通过利用分别预存在用户设备端的用户侧设备认证参数和预存在服务端的网络侧设备认证参数来对用户设备是否可信进行校验，使得采用本地生物特征校验的身份认证在可信用户设备上进行，提高了用户账户的安全性，增加了身份认证的可靠性。附图说明图1是本申请实施例应用场景的一种网络结构图；图2是本申请实施例中一种应用在用户设备上、基于生物特征的身份注册方法的流程图；图3是本申请实施例中一种应用在认证服务器上、基于生物特征的身份注册方法的流程图；图4是本申请应用示例中，一种用户设备、业务服务器与认证服务器之间身份注册的交互流程图；图5是本申请应用示例中，一种用户设备、业务服务器与认证服务器之间身份认证的交互流程图；图6是用户设备或认证服务器的一种硬件结构图；图7是本申请实施例中一种应用在用户设备上、基于生物特征的身份注册装置的逻辑结构图；图8是本申请实施例中一种应用在认证服务器上、基于生物特征的身份注册装置的逻辑结构图。具体实施方式本申请的实施例提出一种新的基于生物特征的身份注册方法，在用户设备上预存用户侧设备认证参数，在服务端预存与用户侧设备认证参数相同或相对应的网络侧设备认证参数，由用户设备采用用户侧设备认证参数对注册请求报文进行加密或签名，由认证服务器采用该用户设备的网络侧设备认证参数通过解密或验签来对该用户设备进行验证，从而能够确保身份注册及后续的身份认证在可信的用户设备上进行，增加了用于身份认证的用户设备的安全性和身份认证的可靠性，以解决现有技术存在的问题。本申请实施例应用场景的一种网络结构如图1所示，用户设备与业务服务器、业务服务器与认证服务器之间通过通信网络相互可访问。其中，用户设备是具有生物特征识别功能的终端设备，可以是手机、平板电脑、PC(PersonalComputer，个人电脑)、笔记本等设备；业务服务器用来接收用户通过用户设备发起的业务请求(包括注册和认证请求)，并向用户设备发送对其请求的响应；认证服务器用来对用户账户进行身份认证；业务服务器和认证服务器可以是一个物理或逻辑服务器，也可以是由两个或两个以上分担不同职责的物理或逻辑服务器、相互协同来实现本申请实施例中业务服务器或认证服务器的各项功能。本申请实施例对用户设备、业务服务器和认证服务器的种类，以及用户设备业务服务器之间、业务服务器与认证服务器之间通信网络的类型、协议等均不做限定。本申请的实施例中，基于生物特征的身份注册方法应用在用户设备上的流程如图2所示，应用在认证服务器上的流程如图3所示。本申请的实施例中，用户设备上保存有用户侧设备认证参数，认证服务器可以从本地或其他可访问的网络存储位置获取到用户设备的设备标识与该用户设备的网络侧设备认证参数的对应关系。同一个用户设备的用户侧设备认证参数与网络侧认证参数相同或相对应。用户侧设备认证参数可以在设备出厂前预存在用户设备上；也可以由用户设备、认证服务器或某个其他的网络节点生成对应的用户侧设备认证参数和网络侧设备认证参数后，分别交由用户设备和认证服务器保存；本申请的实施例不做限定。用户本文档来自技高网...

【技术保护点】
一种基于生物特征的身份注册方法，应用在用户设备上，其特征在于，所述用户设备保存有用户侧设备认证参数，所述方法包括：获取用户设备的设备标识；获取用户的生物数据，利用所述生物数据对用户身份进行生物特征校验；在通过生物特征校验后，向业务服务器发送注册请求报文，所述注册请求报文中包括设备标识和账户标识，并采用所述用户侧设备认证参数进行加密或签名；供认证服务器在收到业务服务器转发的注册请求报文后，采用与用户侧设备认证参数相同或相对应的网络侧设备认证参数对注册请求报文进行解密或验签，并在解密成功或验签通过后保存所述设备标识和账户标识的对应关系，以用来对所述账户进行身份认证。

【技术特征摘要】
1.一种基于生物特征的身份注册方法，应用在用户设备上，其特征在于，所述用户设备保存有用户侧设备认证参数，所述方法包括：获取用户设备的设备标识；获取用户的生物数据，利用所述生物数据对用户身份进行生物特征校验；在通过生物特征校验后，向业务服务器发送注册请求报文，所述注册请求报文中包括设备标识和账户标识，并采用所述用户侧设备认证参数进行加密或签名；供认证服务器在收到业务服务器转发的注册请求报文后，采用与用户侧设备认证参数相同或相对应的网络侧设备认证参数对注册请求报文进行解密或验签，并在解密成功或验签通过后保存所述设备标识和账户标识的对应关系，以用来对所述账户进行身份认证。2.根据权利要求1所述的方法，其特征在于，所述用户侧设备认证参数保存在用户设备的安全存储区域。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：在通过生物特征校验后，获取与所述生物数据对应的生物特征令牌；所述注册请求报文中还包括：所述生物特征令牌，供认证服务器在所述注册请求报文解密成功或验签通过后，保存所述设备标识、账户标识和生物特征令牌的对应关系，以用来对所述账户进行身份认证。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：确定用户的生物认证类型；所述获取用户的生物数据，包括：根据所确定的生物认证类型，获取用户的生物数据；所述注册请求报文中还包括：生物认证类型，供认证服务器在所述注册请求报文解密成功或解密成功或验签通过后，保存所述设备标识、账户标识、生物特征令牌和生物认证类型的对应关系，以用来对所述账户进行身份认证。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：在通过生物特征校验后，生成相同或相对应的用户侧业务认证参数和网络侧业务认证参数，保存用户侧业务认证参数；所述注册请求报文中还包括：网络侧业务认证参数，供认证服务器在所述注册请求报文验签通过后，保存所述设备标识、账户标识、生物特征令牌、生物认证类型和网络侧业务认证参数的对应关系，以用来对所述账户进行身份认证。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：向业务服务器发送注册信息请求报文，所述注册信息请求报文由业务服务器转发给认证服务器，其中包括业务账户标识；接收业务服务器返回的注册信息响应报文，所述注册信息响应报文由认证服务器发送给业务服务器，其中包括认证服务器生成的对应于所述业务账户的虚拟账户标识；所述注册请求报文中的账户标识包括：所述虚拟账户标识。7.根据权利要求6所述的方法，其特征在于，所述注册信息响应报文中还包括：认证服务器生成的所述虚拟账户的注册挑战码；所述注册请求报文中还包括：所述注册挑战码，供认证服务器在收到业务服务器转发的注册请求报文后，根据所述注册挑战码以及发送注册信息响应报文和收到注册请求报文的时间间隔，对注册请求报文进行验证。8.根据权利要求6所述的方法，其特征在于，所述注册信息响应报文中还包括：服务器公钥；所述注册响应报文由认证服务器采用与所述服务器公钥对应的服务器私钥进行签名；所述方法还包括：在收到注册信息响应报文后，采用所述服务器公钥对所述注册信息响应报文进行验签，如果验签失败则注册流程结束。9.一种基于生物特征的身份注册方法，应用在认证服务器上，其特征在于，包括：从业务服务器接收来自用户设备的注册请求报文，所述注册请求报文中包括所述用户设备的设备标识和账户标识，并采用所述用户设备的用户侧设备认证参数进行加密或签名；根据所述设备标识，获取与所述用户侧设备认证参数相同或相对应的网络侧设备认证参数；采用所述网络侧设备认证参数对注册请求报文进行解密或验签，在解密成功或验签通过后保存所述设备标识与账户标识的对应关系，以用来对所述账户进行身份认证。10.根据权利要求9所述的方法，其特征在于，所述注册请求报文中还包括：对应于用户生物数据的生物特征令牌；所述在解密成功或验签通过后保存所述设备标识与账户标识的对应关系，包括：在解密成功或验签通过后保存设备标识、账户标识与所述生物特征令牌的对应关系，以用来对所述账户进行身份认证。11.根据权利要求10所述的方法，其特征在于，所述注册请求报文中还包括：生物认证类型；所述在解密成功或验签通过后保存所述设备标识与账户标识的对应关系，包括：在解密成功或验签通过后保存设备标识、账户标识、生物特征令牌和生物认证类型的对应关系，以用来对所述账户进行身份认证。12.根据权利要求11所述的方法，其特征在于，所述注册请求报文中还包括：由用户设备生成的网络侧业务认证参数，与保存在用户设备上的用户侧业务认证参数相同或相对应；所述在解密成功或验签通过后保存所述设备标识与账户标识的对应关系，包括：在解密成功或验签通过后，保存设备标识、账户标识、生物特征令牌、生物认证类型和网络侧业务认证参数的对应关系，以用来对所述账户进行身份认证。13.根据权利要求11所述的方法，其特征在于，所述方法还包括：从业务服务器接收来自所述用户设备的注册信息请求报文，所述注册信息请求报文中包括业务账户标识；生成对应于所述业务账户的虚拟账户标识，将虚拟账户标识携带在注册信息响应报文中发送给业务服务器，供业务服务器将其转发给所述用户设备；所述注册请求报文中的账户标识包括：所述虚拟账户标识。14.根据权利要求13所述的方法，其特征在于，所述方法还包括：生成所述虚拟账户的注册挑战码；所述注册信息响应报文中还包括：所生成的注册挑战码；所述注册请求报文中还包括：注册挑战码；所述在解密成功或验签通过后保存所述设备标识与账户标识的对应关系，包括：在解密成功或验签通过后，如果注册请求报文中的注册挑战码与为注册请求报文中虚拟账户生成的注册挑战码相同、并且发送注册信息响应报文和收到注册请求报文的时间间隔在第一预定时长范围内，保存所述设备标识与虚拟账户标识的对应关系。15.根据权利要求13所述的方法，其特征在于，所述认证服务器可获取到服务器私钥；所述方法还包括：采用所述服务器私钥对注册信息响应报文进行签名；所述注册信息响应报文中还包括：与服务器公钥相对应的服务器公钥，供用户设备用来对注册信息响应报文进行验签。16.一种基于生物特征的身份注册装置，应用在用户设备上，其特征在于，所述用户设备保存有用户侧设备认证参数，所述装置包括：设备标识获取单元，用于获取用户设备的设备标识；生物特征校验单元，用于获取用户的生物数据，利用所述生物数据对用户身份进行生物特征校验；注册请求发...

【专利技术属性】
技术研发人员：孙元博，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY