一种在线身份认证的方法及装置制造方法及图纸

本发明专利技术涉及金融科技(Fintech)领域，并公开了一种在线身份认证的方法及装置，方法包括：应用客户端采集用户的第一生物特征信息；应用客户端在确定认证策略为应用端认证后，将第一生物特征信息发送给应用服务端；应用客户端接收应用服务端发送的基于第一生物特征信息进行验证的第一用户认证结果；应用客户端在第一用户认证结果为认证通过后，将使用用户私钥签名的第一签名结果发送至认证服务器。本发明专利技术解决了针对CFCA FIDO认证有安全风险的、或暂时无法支持FIDO认证的设备，实现了在线身份认证，提高了认证安全性。

【技术实现步骤摘要】
一种在线身份认证的方法及装置
本专利技术涉及金融科技(Fintech)
，尤其涉及一种在线身份认证的方法及装置。
技术介绍
随着计算机技术的发展，越来越多的技术(例如：分布式架构、云计算或大数据)应用在金融领域，传统金融业正在逐步向金融科技转变，大数据技术也不例外，但由于金融、支付行业的安全性、实时性要求，也对大数据技术提出的更高的要求。目前在转账等交易中引入了CFCAFIDO(FastIdentityOnline)技术，技术模式上解决传统认证方式的弊端、规避远程生物识别技术认证的风险。CFCAFIDO技术通过本地生物识别技术实现设备对用户认证并通过服务端对设备的身份认证，给用户带来兼容安全性与便捷性的身份认证方式，使用户无需携带类似U盾的硬件设备，通过刷指纹、刷脸和刷虹膜等方式方便的使用数字证书认证方式。上述方案，一方面，对于极个别存在在线身份认证漏洞的机型，FIDO认证有安全风险。另一方面，对于本身不具有FIDO硬件认证器或FIDO软件认证期的机型，也无法实现在线身份认证。专利
技术实现思路
本本文档来自技高网...

【技术保护点】
1.一种在线身份认证的方法，其特征在于，包括：/n应用客户端基于用户发起的交易请求，采集用户的第一生物特征信息；/n所述应用客户端在确定认证策略为应用端认证后，将所述第一生物特征信息发送给应用服务端；/n所述应用客户端接收所述应用服务端发送的基于所述第一生物特征信息进行验证的第一用户认证结果；/n所述应用客户端在所述第一用户认证结果为认证通过后，将使用用户私钥签名的第一签名结果发送至认证服务器；所述认证服务器用于根据预存的证书以及用户公钥生成所述第一签名结果的第一验签结果，所述第一验签结果用于指示所述应用服务端是否处理所述交易请求。/n

【技术特征摘要】
1.一种在线身份认证的方法，其特征在于，包括：
应用客户端基于用户发起的交易请求，采集用户的第一生物特征信息；
所述应用客户端在确定认证策略为应用端认证后，将所述第一生物特征信息发送给应用服务端；
所述应用客户端接收所述应用服务端发送的基于所述第一生物特征信息进行验证的第一用户认证结果；
所述应用客户端在所述第一用户认证结果为认证通过后，将使用用户私钥签名的第一签名结果发送至认证服务器；所述认证服务器用于根据预存的证书以及用户公钥生成所述第一签名结果的第一验签结果，所述第一验签结果用于指示所述应用服务端是否处理所述交易请求。


2.如权利要求1所述的方法，其特征在于，在所述应用客户端基于用户发起的交易请求，采集用户的第一生物特征信息之前，还包括：
所述应用客户端基于用户发起的认证开启请求，采集用户的第二生物特征信息；
所述应用客户端在确定所述认证策略为应用端认证后，将所述第二生物特征信息发送给所述应用服务端；
所述应用客户端接收所述应用服务端发送的基于所述第二生物特征信息进行验证的第二用户认证结果；
所述应用客户端在所述第二用户认证结果为认证通过后，生成所述应用客户端的用户私钥和用户公钥；
所述应用客户端将使用应用秘钥对用户公钥进行签名的第二签名结果发送至所述认证服务器；所述认证服务器用于根据预存的所述应用秘钥生成所述第二签名结果的第二验签结果，所述第二验签结果用于指示所述认证服务器是否下载所述用户公钥的证书。


3.如权利要求2所述的方法，其特征在于，所述应用客户端基于用户发起的认证开启请求，采集用户的第二生物特征信息之前，还包括：
所述应用客户端获取所述应用服务端的第一认证工作状态和所述认证服务器的第二认证工作状态；
所述应用客户端确定所述第一认证工作状态与所述第二认证工作状态是否一致；若不一致，则向所述应用服务端和所述认证服务器发送认证关闭请求，并删除所述应用客户端存储的用户私钥和用户公钥。


4.如权利要求1至3任一项所述的方法，其特征在于，所述认证策略通过如下方式：
所述应用客户端若确定自身不具有本地认证功能，则所述认证策略为应用端认证；
所述应用客户端若确定自身具有本地认证功能后，向所述应用服务端发送漏洞查询请求；若确定所述应用客户端所在的设备为漏洞设备后，则确定所述认证策略为应用端认证，否则确定所述认证策略为本地认证。


5.如权利要求1至3任一项所述的方法，其特征在于，所述将使用用户私钥签名的交易信息发送至认证服务器之后，还包括：
所述应用客户端向所述应用服务端和所述认证服务器发送认证关闭请求；
所述应用客户端在收到所述应用服务端的认证关闭结果和所述认证服务器的认证关闭结果后，删除所述应用客户端的用户私钥和用户公钥。


6.一种在线身份认证的方法，其特征在于，包括：
应用服务端接收应用客户端发送的第一生物特征信息；所述第一生物特征信息是所述应用客户端基于用户发起的交易请求进行采集的；
所述应用服务端确定所述第一生物特征信息的第一用户认证结果并发送给所述应用客户端；
所述应用服务端将所述应用客户端使用用户私钥签名的第一签名结果发送至认证服务器；所述第一签名结果是所述应用客户端在确定所述第一用户认证结果为认证通过后发送至所述应用服务器的；
所述应用服务端接收所述认证服务器发送的第一验签结果，并根据所述第一验签结果确定是否处理所述交易请求；所述第一验签结果是所述认证服务器根据预存的证书和用户公钥对所述第一签名结果进行验签得到的。


7.如权利要求6所述的方法，其特征在于，在所述应用服务端接收应用客户端发送的第一生物特征信息之前，还包括：
所述应用服务端接收所述应用客户端发送的第二生物特征信息；所述第二生物特征信息是所述应用...

【专利技术属性】
技术研发人员：毕坚，罗子辉，洪创煌，
申请(专利权)人：深圳前海微众银行股份有限公司，
类型：发明
国别省市：广东;44