国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于生物特征的身份注冊方法和裝置與流程

      文檔序號:12037789閱讀:190來源:國知局
      基于生物特征的身份注冊方法和裝置與流程

      本申請涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種基于生物特征的身份注冊方法和裝置。



      背景技術(shù):

      隨著生物識別技術(shù)的發(fā)展,通過計算機(jī)與光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計學(xué)等技術(shù)手段的結(jié)合,利用人體固有的指紋、人臉、虹膜、聲音等生理特性進(jìn)行個人身份的鑒定,已經(jīng)成為可能。

      移動互聯(lián)的蓬勃發(fā)展為生物識別技術(shù)提供了新的應(yīng)用平臺,例如采用指紋、人臉等在用戶設(shè)備上可以登錄賬戶、實現(xiàn)支付,而無需記憶并輸入密碼。生物識別所需的圖像或視頻數(shù)據(jù)由用戶設(shè)備采集,生物識別可以在用戶設(shè)備上進(jìn)行,也可以由服務(wù)器進(jìn)行。由于向服務(wù)器上傳這些圖像或視頻數(shù)據(jù)往往會消耗大量的流量,因此生物識別往往在用戶設(shè)備上完成。用戶提供的生物數(shù)據(jù)在用戶設(shè)備上通過校驗后,用戶設(shè)備將生物校驗通過的結(jié)果上傳給服務(wù)器,用戶即可通過身份認(rèn)證。

      可見,上述過程中身份認(rèn)證是否通過主要依賴于用戶設(shè)備的生物校驗結(jié)果,而校驗結(jié)果只有通過校驗和未通過校驗,易于偽造,因此用戶設(shè)備的是否可靠將極大的影響用戶賬戶的安全性?,F(xiàn)有技術(shù)中,在身份注冊和認(rèn)證流程中會采用用戶設(shè)備的設(shè)備標(biāo)識來代表采用本地生物驗證的某個用戶賬戶所使用的設(shè)備,但設(shè)備標(biāo)識很容易被冒用(例如在一些虛擬機(jī)上可以設(shè)置設(shè)備標(biāo)識),給用戶賬戶的安全帶來隱患。



      技術(shù)實現(xiàn)要素:

      有鑒于此,本申請?zhí)峁┮环N基于生物特征的身份注冊方法,應(yīng)用在用戶設(shè)備上,所述用戶設(shè)備保存有用戶側(cè)設(shè)備認(rèn)證參數(shù),所述方法包括:

      獲取用戶設(shè)備的設(shè)備標(biāo)識;

      獲取用戶的生物數(shù)據(jù),利用所述生物數(shù)據(jù)對用戶身份進(jìn)行生物特征校驗;

      在通過生物特征校驗后,向業(yè)務(wù)服務(wù)器發(fā)送注冊請求報文,所述注冊請求報文中包括設(shè)備標(biāo)識和賬戶標(biāo)識,并采用所述用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名;供認(rèn)證服務(wù)器在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊請求報文后,采用與用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,并在解密成功或驗簽通過后保存所述設(shè)備標(biāo)識和賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      本申請?zhí)峁┑囊环N基于生物特征的身份注冊方法,應(yīng)用在認(rèn)證服務(wù)器上,包括:

      從業(yè)務(wù)服務(wù)器接收來自用戶設(shè)備的注冊請求報文,所述注冊請求報文中包括所述用戶設(shè)備的設(shè)備標(biāo)識和賬戶標(biāo)識,并采用所述用戶設(shè)備的用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名;

      根據(jù)所述設(shè)備標(biāo)識,獲取與所述用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù);

      采用所述網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后保存所述設(shè)備標(biāo)識與賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      本申請還提供了一種基于生物特征的身份注冊裝置,應(yīng)用在用戶設(shè)備上,所述用戶設(shè)備保存有用戶側(cè)設(shè)備認(rèn)證參數(shù),所述裝置包括:

      設(shè)備標(biāo)識獲取單元,用于獲取用戶設(shè)備的設(shè)備標(biāo)識;

      生物特征校驗單元,用于獲取用戶的生物數(shù)據(jù),利用所述生物數(shù)據(jù)對用戶身份進(jìn)行生物特征校驗;

      注冊請求發(fā)送單元,用于在通過生物特征校驗后,向業(yè)務(wù)服務(wù)器發(fā)送注冊請求報文,所述注冊請求報文中包括設(shè)備標(biāo)識和賬戶標(biāo)識,并采用所述用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名;供認(rèn)證服務(wù)器在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊請求報文后,采用與用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,并在解密成功或驗簽通過后保存所述設(shè)備標(biāo)識和賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      本申請?zhí)峁┑囊环N基于生物特征的身份注冊裝置,應(yīng)用在認(rèn)證服務(wù)器上,包括:

      注冊請求接收單元,用于從業(yè)務(wù)服務(wù)器接收來自用戶設(shè)備的注冊請求報文,所述注冊請求報文中包括所述用戶設(shè)備的設(shè)備標(biāo)識和賬戶標(biāo)識,并采用所述用戶設(shè)備的用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名;

      設(shè)備認(rèn)證參數(shù)獲取單元,用于根據(jù)所述設(shè)備標(biāo)識,獲取與所述用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù);

      注冊請求處理單元,用于采用所述網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后保存所述設(shè)備標(biāo)識與賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      由以上技術(shù)方案可見,本申請的實施例中,用戶設(shè)備采用用戶側(cè)設(shè)備認(rèn)證參數(shù)對其發(fā)送的注冊請求報文加密或簽名,認(rèn)證服務(wù)器根據(jù)設(shè)備標(biāo)識,獲取該用戶設(shè)備的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù),對注冊請求報文進(jìn)行解密或驗簽,通過利用分別預(yù)存在用戶設(shè)備端的用戶側(cè)設(shè)備認(rèn)證參數(shù)和預(yù)存在服務(wù)端的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)來對用戶設(shè)備是否可信進(jìn)行校驗,使得采用本地生物特征校驗的身份認(rèn)證在可信用戶設(shè)備上進(jìn)行,提高了用戶賬戶的安全性,增加了身份認(rèn)證的可靠性。

      附圖說明

      圖1是本申請實施例應(yīng)用場景的一種網(wǎng)絡(luò)結(jié)構(gòu)圖;

      圖2是本申請實施例中一種應(yīng)用在用戶設(shè)備上、基于生物特征的身份注 冊方法的流程圖;

      圖3是本申請實施例中一種應(yīng)用在認(rèn)證服務(wù)器上、基于生物特征的身份注冊方法的流程圖;

      圖4是本申請應(yīng)用示例中,一種用戶設(shè)備、業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間身份注冊的交互流程圖;

      圖5是本申請應(yīng)用示例中,一種用戶設(shè)備、業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間身份認(rèn)證的交互流程圖;

      圖6是用戶設(shè)備或認(rèn)證服務(wù)器的一種硬件結(jié)構(gòu)圖;

      圖7是本申請實施例中一種應(yīng)用在用戶設(shè)備上、基于生物特征的身份注冊裝置的邏輯結(jié)構(gòu)圖;

      圖8是本申請實施例中一種應(yīng)用在認(rèn)證服務(wù)器上、基于生物特征的身份注冊裝置的邏輯結(jié)構(gòu)圖。

      具體實施方式

      本申請的實施例提出一種新的基于生物特征的身份注冊方法,在用戶設(shè)備上預(yù)存用戶側(cè)設(shè)備認(rèn)證參數(shù),在服務(wù)端預(yù)存與用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù),由用戶設(shè)備采用用戶側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行加密或簽名,由認(rèn)證服務(wù)器采用該用戶設(shè)備的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)通過解密或驗簽來對該用戶設(shè)備進(jìn)行驗證,從而能夠確保身份注冊及后續(xù)的身份認(rèn)證在可信的用戶設(shè)備上進(jìn)行,增加了用于身份認(rèn)證的用戶設(shè)備的安全性和身份認(rèn)證的可靠性,以解決現(xiàn)有技術(shù)存在的問題。

      本申請實施例應(yīng)用場景的一種網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示,用戶設(shè)備與業(yè)務(wù)服務(wù)器、業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間通過通信網(wǎng)絡(luò)相互可訪問。其中,用戶設(shè)備是具有生物特征識別功能的終端設(shè)備,可以是手機(jī)、平板電腦、pc(personalcomputer,個人電腦)、筆記本等設(shè)備;業(yè)務(wù)服務(wù)器用來接收用戶通過用戶設(shè)備發(fā)起的業(yè)務(wù)請求(包括注冊和認(rèn)證請求),并向用戶設(shè)備發(fā)送對其請求的響應(yīng);認(rèn)證服務(wù)器用來對用戶賬戶進(jìn)行身份認(rèn)證;業(yè)務(wù)服務(wù)器 和認(rèn)證服務(wù)器可以是一個物理或邏輯服務(wù)器,也可以是由兩個或兩個以上分擔(dān)不同職責(zé)的物理或邏輯服務(wù)器、相互協(xié)同來實現(xiàn)本申請實施例中業(yè)務(wù)服務(wù)器或認(rèn)證服務(wù)器的各項功能。本申請實施例對用戶設(shè)備、業(yè)務(wù)服務(wù)器和認(rèn)證服務(wù)器的種類,以及用戶設(shè)備業(yè)務(wù)服務(wù)器之間、業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間通信網(wǎng)絡(luò)的類型、協(xié)議等均不做限定。

      本申請的實施例中,基于生物特征的身份注冊方法應(yīng)用在用戶設(shè)備上的流程如圖2所示,應(yīng)用在認(rèn)證服務(wù)器上的流程如圖3所示。

      本申請的實施例中,用戶設(shè)備上保存有用戶側(cè)設(shè)備認(rèn)證參數(shù),認(rèn)證服務(wù)器可以從本地或其他可訪問的網(wǎng)絡(luò)存儲位置獲取到用戶設(shè)備的設(shè)備標(biāo)識與該用戶設(shè)備的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)的對應(yīng)關(guān)系。同一個用戶設(shè)備的用戶側(cè)設(shè)備認(rèn)證參數(shù)與網(wǎng)絡(luò)側(cè)認(rèn)證參數(shù)相同或相對應(yīng)。

      用戶側(cè)設(shè)備認(rèn)證參數(shù)可以在設(shè)備出廠前預(yù)存在用戶設(shè)備上;也可以由用戶設(shè)備、認(rèn)證服務(wù)器或某個其他的網(wǎng)絡(luò)節(jié)點(diǎn)生成對應(yīng)的用戶側(cè)設(shè)備認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)后,分別交由用戶設(shè)備和認(rèn)證服務(wù)器保存;本申請的實施例不做限定。用戶側(cè)設(shè)備認(rèn)證參數(shù)可以保存在用戶設(shè)備上的安全存儲區(qū)域,并可以限制能夠訪問該安全存儲區(qū)域的軟件或進(jìn)程,以實現(xiàn)更好的安全性。

      用戶側(cè)設(shè)備認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)可以是參照現(xiàn)有技術(shù)中各種算法所生成的密鑰、口令等,例如采用非對稱加密算法生成私鑰(用戶側(cè)設(shè)備認(rèn)證參數(shù))和公鑰(網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù));再如采用對稱加密算法生成相同的密鑰(同時作為用戶側(cè)設(shè)備認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù));本申請的實施例不做限定。

      在用戶設(shè)備上,步驟210,獲取用戶設(shè)備的設(shè)備標(biāo)識。

      通??梢詫⒂脩粼O(shè)備上具有唯一性的硬件標(biāo)識用來作為該用戶設(shè)備的設(shè)備標(biāo)識,例如可以是用戶設(shè)備的uuid(universallyuniqueidentifier,通用唯一識別碼)、mac(mediaaccesscontrol,媒體接入控制)地址、藍(lán)牙地址等。

      在用戶設(shè)備上,步驟220,獲取用戶的生物數(shù)據(jù),利用所述生物數(shù)據(jù)對用戶身份進(jìn)行生物特征校驗。

      當(dāng)用戶在用戶設(shè)備上啟動利用生物特征進(jìn)行身份驗證的注冊流程時,用戶設(shè)備要求用戶提供其用于身份注冊的生物數(shù)據(jù)。用戶的生物數(shù)據(jù)可以是用戶設(shè)備支持的生物認(rèn)證類型(即用戶設(shè)備具有的生物特征識別功能)中的任何一種,例如可以是指紋、聲音、虹膜、人臉等;對相同生物認(rèn)證類型而言,用戶的生物數(shù)據(jù)可以是該用戶設(shè)備能夠識別的任何一個特定對象,例如對指紋而言,可以是任何一個手指的指紋;對虹膜而言,可以是任意一只眼睛的虹膜。

      用戶可以針對某項業(yè)務(wù)或某個業(yè)務(wù)系統(tǒng)來進(jìn)行身份認(rèn)證的注冊。在這種情況中,可以由該業(yè)務(wù)系統(tǒng)運(yùn)行在用戶設(shè)備上的客戶端(可以是該業(yè)務(wù)系統(tǒng)安裝在用戶設(shè)備上的客戶端軟件,也可以是在瀏覽器中該業(yè)務(wù)系統(tǒng)的頁面)來確定在該業(yè)務(wù)系統(tǒng)中進(jìn)行身份認(rèn)證時所采用的生物認(rèn)證類型,并請求用戶提供該類型的生物數(shù)據(jù)。

      在用戶設(shè)備獲取到用戶提供的生物數(shù)據(jù)(或所確定生物認(rèn)證類型的生物數(shù)據(jù))后,采用所獲取的生物數(shù)據(jù)對用戶身份進(jìn)行生物特征校驗。生物特征校驗的具體方式可以參照現(xiàn)有技術(shù)中用戶設(shè)備的生物特征識別方式來實現(xiàn),例如可以是與用戶設(shè)備上本地預(yù)先保存的樣本數(shù)據(jù)進(jìn)行比對,如果匹配程度滿足某些預(yù)定條件,則生物特征校驗成功。

      需要說明的是,步驟210和步驟220之間沒有時序關(guān)系。

      在用戶設(shè)備上,步驟230,在通過生物特征校驗后,向業(yè)務(wù)服務(wù)器發(fā)送注冊請求報文。注冊請求報文中包括設(shè)備標(biāo)識和賬戶標(biāo)識,并采用用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名;供認(rèn)證服務(wù)器在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊請求報文后,采用與用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,并在解密成功或驗簽通過后保存設(shè)備標(biāo)識和賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對該賬戶進(jìn)行身份認(rèn)證。

      在認(rèn)證服務(wù)器上,步驟310,從業(yè)務(wù)服務(wù)器接收來自用戶設(shè)備的注冊請 求報文,注冊請求報文中包括該用戶設(shè)備的設(shè)備標(biāo)識和賬戶標(biāo)識,并采用該用戶設(shè)備的用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名。

      在通過生物特征校驗后,用戶設(shè)備將設(shè)備標(biāo)識、賬戶標(biāo)識封裝在注冊請求報文中,用本地保存的用戶側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文加密或簽名,之后將注冊請求報文發(fā)送給業(yè)務(wù)服務(wù)器。業(yè)務(wù)服務(wù)將注冊請求報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。

      賬戶標(biāo)識可以是在認(rèn)證服務(wù)器上唯一對應(yīng)于進(jìn)行身份注冊的用戶賬戶的信息,例如可以是賬戶名稱、賬戶編碼等等。

      在認(rèn)證服務(wù)器上,步驟320,根據(jù)注冊請求報文中的設(shè)備標(biāo)識,獲取與該用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)。

      認(rèn)證服務(wù)器在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊請求報文后,從中提取用戶設(shè)備的設(shè)備標(biāo)識,在設(shè)備標(biāo)識與網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)的對應(yīng)關(guān)系中查找該用戶設(shè)備的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)。如果未能找到對應(yīng)于該設(shè)備標(biāo)識的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù),則該用戶設(shè)備不是可信設(shè)備,注冊流程以失敗結(jié)束。

      在認(rèn)證服務(wù)器上,步驟330,采用所獲取的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后保存所述設(shè)備標(biāo)識與賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      在得到該用戶設(shè)備的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)后,認(rèn)證服務(wù)器采用該網(wǎng)絡(luò)側(cè)認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,如果解密不成功或驗簽未通過,則很可能是具有注冊請求報文中設(shè)備標(biāo)識的用戶設(shè)備被冒用,注冊流程以失敗結(jié)束。解密成功或驗簽通過后,認(rèn)證服務(wù)器保存設(shè)備標(biāo)識和賬戶標(biāo)識的對應(yīng)關(guān)系,在后續(xù)的身份認(rèn)證流程中可以將設(shè)備標(biāo)識用來進(jìn)行該賬戶的身份認(rèn)證。

      用戶設(shè)備可以在注冊請求報文中攜帶與本地生物校驗相關(guān)的信息,例如可以將用戶通過本地生物校驗的結(jié)果在注冊請求報文中通知業(yè)務(wù)服務(wù)器和認(rèn)證服務(wù)器。

      在一種實現(xiàn)方式中,用戶設(shè)備在通過生物特征校驗后,獲取與進(jìn)行本地 生物校驗時用戶提供的生物數(shù)據(jù)相對應(yīng)的生物特征令牌,并且將該生物特征令牌攜帶在注冊請求報文中發(fā)送給業(yè)務(wù)服務(wù)器;認(rèn)證服務(wù)器在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊請求報文、并以網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對該注冊請求報文解密成功或驗簽通過后,保存注冊請求報文中設(shè)備標(biāo)識、賬戶標(biāo)識和生物特征令牌的對應(yīng)關(guān)系,以便在后續(xù)的認(rèn)證流程中以設(shè)備標(biāo)識和生物特征令牌來對該賬戶進(jìn)行身份認(rèn)證。

      生物特征令牌是該用戶設(shè)備上唯一對應(yīng)于用于校驗該生物數(shù)據(jù)的樣本數(shù)據(jù)的特征量或索引值。也就是說,用戶的每個手指的指紋分別對應(yīng)于一個不同的生物特征令牌,人臉的對應(yīng)于另外一個不同的生物特征令牌;每次用戶采用拇指進(jìn)行生物特征校驗時,用戶設(shè)備采集的拇指指紋數(shù)據(jù)都是用拇指指紋的樣本數(shù)據(jù)進(jìn)行校驗,因而這些拇指指紋數(shù)據(jù)都對應(yīng)于同一個生物特征令牌。

      本申請對生物特征令牌的形式和生成生物特征令牌的具體方式不做限定,例如可以是對該樣本數(shù)據(jù)或該樣本數(shù)據(jù)的一部分應(yīng)用摘要算法后得到的信息摘要,也可以是一個對應(yīng)于該樣本數(shù)據(jù)的隨機(jī)數(shù)。用戶設(shè)備可以將用于校驗該生物數(shù)據(jù)的樣本數(shù)據(jù)與對應(yīng)的生物特征令牌一并保存在用戶設(shè)備的安全存儲區(qū)。

      本實現(xiàn)方式中將生物特征令牌作為注冊信息,并且用戶設(shè)備需要提供同樣的生物特征令牌才能通過身份認(rèn)證,相比于在身份認(rèn)證時只需提供本地生物校驗成功的結(jié)果,極大的增加了偽造本地生物校驗結(jié)果的難度,使得用戶賬戶安全性更高。

      對支持兩種以上生物認(rèn)證類型的用戶設(shè)備,用戶設(shè)備可以在這些生物認(rèn)證類型中確定其中的一種作為用戶注冊和認(rèn)證時采用的生物認(rèn)證類型,并獲取該生物認(rèn)證類型的生物數(shù)據(jù)來進(jìn)行本地生物特征校驗。用戶設(shè)備可以在注冊請求報文中攜帶該生物認(rèn)證類型;認(rèn)證服務(wù)器在該注冊請求報文解密成功或驗簽通過后,保存注冊請求報文中設(shè)備標(biāo)識、賬戶標(biāo)識、生物特征令牌和生物認(rèn)證類型的對應(yīng)關(guān)系,以便在后續(xù)的認(rèn)證流程中以設(shè)備標(biāo)識、生物特征 令牌和生物認(rèn)證類型來對該賬戶進(jìn)行身份認(rèn)證。

      在用戶提供的生物數(shù)據(jù)通過生物特征校驗后,用戶設(shè)備可以基于預(yù)置的算法生成相同或相對應(yīng)的用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù);用戶設(shè)備將用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)保存在本地,將網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù)攜帶在注冊請求報文中,上傳給業(yè)務(wù)服務(wù)器并由業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。認(rèn)證服務(wù)器在該注冊請求報文解密成功或驗簽通過后,保存其中設(shè)備標(biāo)識、賬戶標(biāo)識、生物特征令牌、生物認(rèn)證類型和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù)的對應(yīng)關(guān)系。在后續(xù)的身份認(rèn)證中,用戶設(shè)備和認(rèn)證服務(wù)器可以利用用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù)來對認(rèn)證流程中的報文進(jìn)行加解密或簽名及驗簽,以增加身份認(rèn)證的可靠性。

      用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù)可以是參照現(xiàn)有技術(shù)中各種算法所生成的密鑰、口令等,例如采用非對稱加密算法生成私鑰(用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù))和公鑰(網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù));再如采用對稱加密算法生成相同的密鑰(同時作為用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù))。

      需要說明的是,如果用戶設(shè)備上可能將為兩個以上業(yè)務(wù)系統(tǒng)的客戶端生成的用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)保存在一起、和/或?qū)橐粋€業(yè)務(wù)系統(tǒng)的客戶端生成的兩個以上不同生物認(rèn)證類型的用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)保存在一起,則應(yīng)保存用戶業(yè)務(wù)認(rèn)證參數(shù)與業(yè)務(wù)系統(tǒng)、和/或用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)與生物認(rèn)證類型的對應(yīng)關(guān)系。

      在一些應(yīng)用場景中,認(rèn)證服務(wù)器可以為多個不同的業(yè)務(wù)系統(tǒng)提供認(rèn)證服務(wù),這些業(yè)務(wù)系統(tǒng)分別擁有各自的用戶賬戶,以下稱為用戶的業(yè)務(wù)賬戶,業(yè)務(wù)賬戶標(biāo)識為在某個業(yè)務(wù)系統(tǒng)中唯一對應(yīng)于某個業(yè)務(wù)賬戶的信息。

      如果這些業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)賬戶標(biāo)識可能會有重復(fù),則在向業(yè)務(wù)服務(wù)器發(fā)送注冊請求報文前,用戶設(shè)備可以向業(yè)務(wù)服務(wù)器發(fā)送注冊信息請求報文,注冊信息請求報文中包括用戶的業(yè)務(wù)賬戶標(biāo)識;業(yè)務(wù)服務(wù)器將注冊信息請求報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器;認(rèn)證服務(wù)器在收到注冊信息請求報文后,生成對應(yīng)于該業(yè)務(wù)賬戶(即對應(yīng)于該業(yè)務(wù)系統(tǒng)中的該業(yè)務(wù)賬戶)的虛擬賬戶標(biāo)識,將 虛擬賬戶標(biāo)識封裝在注冊信息響應(yīng)報文中發(fā)送給業(yè)務(wù)服務(wù)器;業(yè)務(wù)服務(wù)器在收到將注冊信息響應(yīng)報文轉(zhuǎn)發(fā)給用戶設(shè)備;用戶設(shè)備從注冊信息響應(yīng)報文中提取虛擬賬戶標(biāo)識,并在注冊請求報文中以虛擬賬戶標(biāo)識作為賬戶標(biāo)識。

      虛擬賬戶標(biāo)識在認(rèn)證服務(wù)器上唯一對應(yīng)于某個業(yè)務(wù)系統(tǒng)中的某個業(yè)務(wù)賬戶,本申請實施例對生成虛擬賬戶標(biāo)識的方式不做限定,例如,可以將業(yè)務(wù)系統(tǒng)標(biāo)識與用戶在該業(yè)務(wù)系統(tǒng)的業(yè)務(wù)賬戶標(biāo)識來作為虛擬賬戶標(biāo)識;再如,可以將該業(yè)務(wù)系統(tǒng)的該用戶賬戶在認(rèn)證服務(wù)器上登記注冊賬戶的數(shù)據(jù)庫中的索引來作為虛擬賬戶標(biāo)識。

      需要說明的是,如果虛擬賬戶標(biāo)識的生成方式不能確保對相同業(yè)務(wù)系統(tǒng)的相同業(yè)務(wù)賬戶生成同樣的虛擬賬戶標(biāo)識,則認(rèn)證服務(wù)器要保存所生成的虛擬賬戶標(biāo)識與業(yè)務(wù)系統(tǒng)的業(yè)務(wù)賬戶的對應(yīng)關(guān)系,以便在后續(xù)的身份認(rèn)證流程中,能夠?qū)⑴c注冊流程中相同的虛擬賬戶標(biāo)識分配給同一個業(yè)務(wù)系統(tǒng)的同一個用戶賬戶。

      如果這些業(yè)務(wù)系統(tǒng)中的業(yè)務(wù)賬戶標(biāo)識各不相同,認(rèn)證服務(wù)器可以直接采用業(yè)務(wù)賬戶標(biāo)識來作為賬戶標(biāo)識,也可以生成對應(yīng)于業(yè)務(wù)賬戶的虛擬賬戶標(biāo)識,在注冊信息響應(yīng)報文中通過業(yè)務(wù)服務(wù)器發(fā)送給用戶設(shè)備,以便用戶設(shè)備在注冊請求報文中將虛擬賬戶標(biāo)識作為其賬戶標(biāo)識。

      在身份注冊流程中,可以采用各種安全措施來增加注冊流程的安全性,以下舉出兩種實現(xiàn)方式作為例子。

      第一個例子:在用戶設(shè)備向業(yè)務(wù)服務(wù)器發(fā)送注冊信息請求報文,以獲取注冊請求報文中所需注冊信息(如虛擬賬戶標(biāo)識)的實現(xiàn)方式中,在收到注冊信息請求報文后,認(rèn)證服務(wù)器生成虛擬賬戶標(biāo)識和該虛擬賬戶的注冊挑戰(zhàn)碼,注冊挑戰(zhàn)碼的生成方式可以采用各種一次性口令的生成算法,本例中不做限定。認(rèn)證服務(wù)器將虛擬賬戶標(biāo)識和所生成的注冊挑戰(zhàn)碼封裝在注冊信息響應(yīng)報文中發(fā)送給業(yè)務(wù)服務(wù)器,并啟動計時。用戶設(shè)備在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊信息響應(yīng)報文后,以其中的虛擬賬戶標(biāo)識作為賬戶標(biāo)識生成注冊請求報文,并將注冊響應(yīng)報文中的注冊挑戰(zhàn)碼封裝在注冊請求報文中,發(fā)送給 業(yè)務(wù)服務(wù)器。認(rèn)證服務(wù)器在該注冊請求報文解密成功或驗簽通過后,如果注冊請求報文中的注冊挑戰(zhàn)碼和為注冊請求報文中虛擬賬戶生成的注冊挑戰(zhàn)碼相同、并且發(fā)送該虛擬賬戶的注冊信息響應(yīng)報文和收到注冊請求報文的時間間隔在第一預(yù)定時長范圍內(nèi)時,保存該注冊請求報文中設(shè)備標(biāo)識與虛擬賬戶標(biāo)識的對應(yīng)關(guān)系;否則注冊流程失敗,認(rèn)證服務(wù)器拒絕該注冊請求。

      第二個例子:可以在認(rèn)證服務(wù)器上預(yù)先生成相對應(yīng)的服務(wù)器私鑰和服務(wù)器公鑰,在用戶設(shè)備向業(yè)務(wù)服務(wù)器發(fā)送注冊信息請求報文、以獲取注冊請求報文中所需注冊信息(如虛擬賬戶標(biāo)識、或虛擬賬戶標(biāo)識和注冊挑戰(zhàn)碼)的實現(xiàn)方式中,認(rèn)證服務(wù)器可以將服務(wù)器公鑰封裝在注冊信息響應(yīng)報文中,在采用服務(wù)器私鑰對注冊信息響應(yīng)報文進(jìn)行簽名后再發(fā)送給業(yè)務(wù)服務(wù)器。用戶設(shè)備在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊信息響應(yīng)報文后,從中提取服務(wù)器公鑰,對注冊信息響應(yīng)報文進(jìn)行驗簽,如果驗簽通過則繼續(xù)生成并發(fā)送注冊請求報文的流程;如果驗簽失敗則說明注冊信息響應(yīng)報文很可能并非來自于可靠的認(rèn)證服務(wù)器,注冊流程以失敗結(jié)束。

      需要說明的是,上述兩個例子中的實現(xiàn)方式可以單獨(dú)使用,也可以結(jié)合使用,并且同樣可以與上述虛擬賬戶標(biāo)識、用戶側(cè)及網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù)、生物認(rèn)證類型、生物特征令牌的實現(xiàn)方式相結(jié)合而使用。

      可見,本申請的實施例中,在用戶設(shè)備上預(yù)存用戶側(cè)設(shè)備認(rèn)證參數(shù),在服務(wù)端預(yù)存與用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù),用戶設(shè)備采用用戶側(cè)設(shè)備認(rèn)證參數(shù)對其發(fā)送的注冊請求報文加密或簽名,認(rèn)證服務(wù)器根據(jù)設(shè)備標(biāo)識,獲取該用戶設(shè)備的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù),對注冊請求報文進(jìn)行解密或驗簽。通過采用用戶側(cè)設(shè)備認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)來對用戶設(shè)備的可信度進(jìn)行驗證,本申請的實施例提高了用于身份認(rèn)證的用戶設(shè)備的安全性,并增加了身份認(rèn)證的可靠性。

      在完成本申請實施例中的上述注冊流程后,服務(wù)器保存了賬戶標(biāo)識與設(shè)備標(biāo)識、以及其他信息的對應(yīng)關(guān)系,設(shè)備標(biāo)識及保存的其他信息成為該賬戶的已注冊信息。在用戶通過用戶設(shè)備發(fā)起基于生物特征的身份認(rèn)證,用戶設(shè) 備向認(rèn)證服務(wù)器提供其賬戶的這些已注冊信息,即可實現(xiàn)對該賬戶的身份認(rèn)證。

      具體而言,用戶在用戶設(shè)備上發(fā)起基于生物特征的身份認(rèn)證流程后,用戶設(shè)備獲取設(shè)備標(biāo)識;獲取用戶的生物數(shù)據(jù)并采用該生物數(shù)據(jù)對用戶身份進(jìn)行生物特征校驗;在通過生物特征校驗后,用戶設(shè)備向業(yè)務(wù)服務(wù)器發(fā)送認(rèn)證請求報文,其中包括設(shè)備標(biāo)識和賬戶標(biāo)識;業(yè)務(wù)服務(wù)器將認(rèn)證請求報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器;根據(jù)認(rèn)證請求報文中的賬戶標(biāo)識,認(rèn)證服務(wù)器比對認(rèn)證請求報文中的設(shè)備標(biāo)識與該賬戶的已注冊設(shè)備標(biāo)識是否相同,相同則身份認(rèn)證通過。

      如果認(rèn)證服務(wù)器保存了賬戶的其他已注冊信息,則在認(rèn)證流程中,用戶設(shè)備可以參照注冊流程中相類似的方式來獲取對應(yīng)的信息并提供給認(rèn)證服務(wù)器,例如通過認(rèn)證信息請求報文和認(rèn)證信息響應(yīng)報文來獲取虛擬賬戶標(biāo)識、認(rèn)證挑戰(zhàn)碼;再如獲取生物認(rèn)真類型、生物特征令牌等。詳細(xì)的描述請參見本申請應(yīng)用示例中的認(rèn)證流程。需要說明的是,這些已注冊信息可以單獨(dú)使用,也可以相互結(jié)合使用,本申請的實施例不做限定。

      在本申請的一個應(yīng)用示例中,用戶設(shè)備上安裝有業(yè)務(wù)客戶端和認(rèn)證客戶端,業(yè)務(wù)客戶端與業(yè)務(wù)服務(wù)器通過請求和響應(yīng)來完成其所在業(yè)務(wù)系統(tǒng)提供的各項功能,其中包括基于生物特征的身份認(rèn)證功能。在用戶設(shè)備上業(yè)務(wù)客戶端通過調(diào)用認(rèn)證客戶端來實現(xiàn)與基于生物特征的身份認(rèn)證相關(guān)的功能,而業(yè)務(wù)服務(wù)器則通過訪問認(rèn)證服務(wù)器來實現(xiàn)與基于生物特征的身份認(rèn)證相關(guān)的功能。用戶設(shè)備在出廠前預(yù)存有該用戶設(shè)備的設(shè)備私鑰(即用戶側(cè)設(shè)備認(rèn)證參數(shù)),與該設(shè)備私鑰相對應(yīng)的設(shè)備公鑰(即網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù))保存在認(rèn)證服務(wù)器可訪問的網(wǎng)絡(luò)存儲位置。

      在身份注冊流程中,用戶設(shè)備上的業(yè)務(wù)客戶端、認(rèn)證客戶端,以及用戶設(shè)備、業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間的交互流程如圖4所示。

      當(dāng)用戶通過業(yè)務(wù)客戶端發(fā)起身份注冊流程后,業(yè)務(wù)客戶端調(diào)用認(rèn)證客戶端,請求用戶設(shè)備的設(shè)備數(shù)據(jù)。認(rèn)證客戶端獲取用戶設(shè)備的設(shè)備標(biāo)識、設(shè)備 型號、設(shè)備支持的生物認(rèn)證類型以及其他設(shè)備信息,將這些設(shè)備數(shù)據(jù)返回給業(yè)務(wù)客戶端。

      業(yè)務(wù)客戶端向業(yè)務(wù)服務(wù)器發(fā)送注冊信息請求報文,注冊信息請求報文中攜帶有用戶設(shè)備的設(shè)備標(biāo)識、用戶在該業(yè)務(wù)系統(tǒng)的業(yè)務(wù)賬戶標(biāo)識。業(yè)務(wù)服務(wù)器將注冊信息請求報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。

      認(rèn)證服務(wù)器上保存有向?qū)?yīng)的服務(wù)器私鑰和服務(wù)器公鑰。認(rèn)證服務(wù)器收到注冊信息請求報文后,將業(yè)務(wù)系統(tǒng)標(biāo)識和業(yè)務(wù)賬戶標(biāo)識作為對應(yīng)于該業(yè)務(wù)賬戶的虛擬賬戶標(biāo)識,生成該虛擬賬戶的注冊挑戰(zhàn)碼,將虛擬賬戶標(biāo)識、注冊挑戰(zhàn)碼和服務(wù)器公鑰封裝在注冊信息響應(yīng)報文中,采用服務(wù)器私鑰對注冊信息響應(yīng)報文進(jìn)行簽名,之后將注冊信息響應(yīng)報文發(fā)送給業(yè)務(wù)服務(wù)器,并開始計時。業(yè)務(wù)服務(wù)器將注冊信息響應(yīng)報文轉(zhuǎn)發(fā)給用戶設(shè)備的業(yè)務(wù)客戶端。

      根據(jù)認(rèn)證客戶端返回的設(shè)備數(shù)據(jù)中的設(shè)備支持的生物認(rèn)證類型,業(yè)務(wù)客戶端確定其中的一種生物認(rèn)證類型作為用戶注冊和認(rèn)證時采用的生物認(rèn)證類型,并向用戶請求、并獲取用戶提供的該生物認(rèn)證類型的生物數(shù)據(jù)。

      業(yè)務(wù)客戶端以用戶提供的該生物認(rèn)證類型的生物數(shù)據(jù)調(diào)用認(rèn)證客戶端,認(rèn)證客戶端采用該生物數(shù)據(jù)進(jìn)行本地的生物特征校驗,并將生物特征校驗的結(jié)果通知業(yè)務(wù)客戶端。

      如果生物特征校驗未通過,則業(yè)務(wù)客戶端結(jié)束注冊流程,并告知用戶未能通過本地的生物特征校驗。在生物特征校驗通過后,業(yè)務(wù)客戶端以接收的注冊信息響應(yīng)報文調(diào)用認(rèn)證客戶端。

      認(rèn)證客戶端提取注冊信息響應(yīng)報文中的服務(wù)器公鑰,對注冊信息響應(yīng)報文進(jìn)行驗簽,如果驗簽未通過,則通知業(yè)務(wù)客戶端,業(yè)務(wù)客戶端以失敗結(jié)束注冊流程。在驗簽通過后,認(rèn)證客戶端獲取最近一次本地生物特征校驗成功時所采用的生物數(shù)據(jù)(即業(yè)務(wù)客戶端在進(jìn)行本地生物特征校驗時所采用生物數(shù)據(jù))對應(yīng)的生物特征令牌,采用預(yù)置算法生成業(yè)務(wù)私鑰(即用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù))和業(yè)務(wù)公鑰(即網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù));保存從注冊信息響應(yīng)報文中提取的虛擬賬戶標(biāo)識、最近一次本地生物特征校驗成功時采用的生物認(rèn)證 類型、生物特征令牌、和業(yè)務(wù)私鑰的對應(yīng)關(guān)系。認(rèn)證客戶端組裝生成注冊請求報文,其中攜帶有設(shè)備標(biāo)識、虛擬賬戶標(biāo)識、生物認(rèn)證類型、生物特征令牌、業(yè)務(wù)公鑰、和從注冊信息響應(yīng)報文中提取的注冊挑戰(zhàn)碼。認(rèn)證客戶端讀取用戶設(shè)備保存的設(shè)備私鑰,對注冊請求報文進(jìn)行簽名后,返回給業(yè)務(wù)客戶端。

      業(yè)務(wù)客戶端將注冊請求報文發(fā)送給業(yè)務(wù)服務(wù)器。業(yè)務(wù)服務(wù)器將注冊請求報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。

      認(rèn)證服務(wù)器從接收的注冊請求報文中提取設(shè)備標(biāo)識,從可訪問的網(wǎng)絡(luò)存儲位置查找與該設(shè)備標(biāo)識對應(yīng)的設(shè)備公鑰,利用設(shè)備公鑰對注冊請求報文進(jìn)行驗簽,如果驗簽未通過,則拒絕注冊請求并通知業(yè)務(wù)服務(wù)器,由業(yè)務(wù)服務(wù)器將注冊失敗的結(jié)果通知業(yè)務(wù)客戶端。在驗簽通過后,認(rèn)證服務(wù)器比對注冊請求報文中的注冊驗證碼和由本認(rèn)證服務(wù)器為該注冊請求報文中虛擬賬戶生成的注冊驗證碼是否相同,并獲取發(fā)送注冊信息響應(yīng)報文和收到注冊請求報文的時間差。如果兩個注冊驗證碼不同或者該時間差超過第一預(yù)定時長,認(rèn)證服務(wù)器拒絕注冊請求并通知業(yè)務(wù)服務(wù)器,由業(yè)務(wù)服務(wù)器將注冊失敗的結(jié)果通知業(yè)務(wù)客戶端;否則認(rèn)證服務(wù)器保存注冊請求報文中設(shè)備標(biāo)識、虛擬賬戶標(biāo)識、生物認(rèn)證類型、生物特征令牌和業(yè)務(wù)公鑰的對應(yīng)關(guān)系,并向業(yè)務(wù)服務(wù)器返回注冊成功的注冊響應(yīng)報文,其中攜帶上述對應(yīng)關(guān)系中的虛擬賬戶標(biāo)識和生物認(rèn)證類型,以及與該虛擬賬戶標(biāo)識對應(yīng)的業(yè)務(wù)賬戶標(biāo)識。

      業(yè)務(wù)服務(wù)器保存注冊成功的注冊響應(yīng)報文中業(yè)務(wù)賬戶標(biāo)識、虛擬賬戶標(biāo)識和生物認(rèn)證類型的對應(yīng)關(guān)系,并將注冊成功的結(jié)果通知業(yè)務(wù)客戶端。

      在身份認(rèn)證流程中,用戶設(shè)備上的業(yè)務(wù)客戶端、認(rèn)證客戶端,以及用戶設(shè)備、業(yè)務(wù)服務(wù)器與認(rèn)證服務(wù)器之間的交互流程如圖5所示。

      當(dāng)用戶通過業(yè)務(wù)客戶端發(fā)起身份認(rèn)證流程后,業(yè)務(wù)客戶端調(diào)用認(rèn)證客戶端,請求用戶設(shè)備的設(shè)備數(shù)據(jù)。認(rèn)證客戶端獲取用戶設(shè)備的設(shè)備標(biāo)識、設(shè)備型號、設(shè)備支持的生物認(rèn)證類型以及其他設(shè)備信息,將這些設(shè)備數(shù)據(jù)返回給業(yè)務(wù)客戶端。

      業(yè)務(wù)客戶端向業(yè)務(wù)服務(wù)器發(fā)送認(rèn)證信息請求報文,認(rèn)證信息請求報文中攜帶有用戶設(shè)備的設(shè)備標(biāo)識、用戶在該業(yè)務(wù)系統(tǒng)的業(yè)務(wù)賬戶標(biāo)識。業(yè)務(wù)服務(wù)器從認(rèn)證信息請求報文中提取業(yè)務(wù)賬戶標(biāo)識,查詢是否保存了對應(yīng)于該業(yè)務(wù)賬戶標(biāo)識的虛擬賬戶標(biāo)識和生物認(rèn)證類型,如果有則說明該業(yè)務(wù)賬戶已經(jīng)向認(rèn)證服務(wù)器注冊了基于生物特征的身份認(rèn)證,業(yè)務(wù)服務(wù)器將認(rèn)證信息請求報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器;如果沒有則向業(yè)務(wù)客戶端回復(fù)尚未開通身份認(rèn)證的消息。

      認(rèn)證服務(wù)器收到認(rèn)證信息請求報文后,以該業(yè)務(wù)系統(tǒng)標(biāo)識和認(rèn)證信息請求報文中的業(yè)務(wù)賬戶標(biāo)識作為虛擬賬戶標(biāo)識,生成該虛擬賬戶的認(rèn)證挑戰(zhàn)碼,將虛擬賬戶標(biāo)識、認(rèn)證挑戰(zhàn)碼和服務(wù)器公鑰封裝在認(rèn)證信息響應(yīng)報文中,采用服務(wù)器私鑰對認(rèn)證信息響應(yīng)報文進(jìn)行簽名,之后將認(rèn)證信息響應(yīng)報文發(fā)送給業(yè)務(wù)服務(wù)器,并開始計時。業(yè)務(wù)服務(wù)器將認(rèn)證信息響應(yīng)報文轉(zhuǎn)發(fā)給用戶設(shè)備的業(yè)務(wù)客戶端。

      業(yè)務(wù)客戶端按照已確定的生物認(rèn)證類型向用戶請求、并獲取用戶提供的該生物認(rèn)證類型的生物數(shù)據(jù)。

      業(yè)務(wù)客戶端以用戶提供的該生物認(rèn)證類型的生物數(shù)據(jù)調(diào)用認(rèn)證客戶端,認(rèn)證客戶端采用該生物數(shù)據(jù)進(jìn)行本地的生物特征校驗,并將生物特征校驗的結(jié)果通知業(yè)務(wù)客戶端。

      如果生物特征校驗未通過,則業(yè)務(wù)客戶端結(jié)束認(rèn)證流程,并告知用戶未能通過本地的生物特征校驗。在生物特征校驗通過后,業(yè)務(wù)客戶端以接收的認(rèn)證信息響應(yīng)報文調(diào)用認(rèn)證客戶端。

      認(rèn)證客戶端提取認(rèn)證信息信息響應(yīng)報文中的服務(wù)器公鑰,對認(rèn)證信息響應(yīng)報文進(jìn)行驗簽,如果驗簽未通過,則通知業(yè)務(wù)客戶端,業(yè)務(wù)客戶端以失敗結(jié)束認(rèn)證流程。在驗簽通過后,認(rèn)證客戶端獲取最近一次本地生物特征校驗成功時所采用的生物數(shù)據(jù)(即業(yè)務(wù)客戶端在進(jìn)行上述本地生物特征校驗時所采用生物數(shù)據(jù))對應(yīng)的生物特征令牌,將設(shè)備標(biāo)識、從認(rèn)證信息響應(yīng)報文中提取的虛擬賬戶標(biāo)識、最近一次本地生物特征校驗成功時采用的生物認(rèn)證類 型、生物特征令牌和從認(rèn)證信息響應(yīng)報文中提取的認(rèn)證挑戰(zhàn)碼封裝后生成認(rèn)證請求報文。認(rèn)證服務(wù)器在保存的虛擬賬戶標(biāo)識、生物認(rèn)證類型、生物特征令牌、和業(yè)務(wù)私鑰的對應(yīng)關(guān)系中,查找到與最近一次本地生物特征校驗成功時所采用的生物認(rèn)證類型、認(rèn)證信息響應(yīng)報文中的虛擬賬戶標(biāo)識和生物特征令牌對應(yīng)的業(yè)務(wù)私鑰,采用該業(yè)務(wù)私鑰對認(rèn)證請求報文簽名后,返回給業(yè)務(wù)客戶端。

      業(yè)務(wù)客戶端將認(rèn)證請求報文發(fā)送給業(yè)務(wù)服務(wù)器。業(yè)務(wù)服務(wù)器將認(rèn)證請求報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。

      認(rèn)證服務(wù)器從收到的認(rèn)證請求報文提取認(rèn)證驗證碼,比對認(rèn)證請求報文中的認(rèn)證驗證碼和由本認(rèn)證服務(wù)器為該認(rèn)證請求報文中虛擬賬戶生成的認(rèn)證驗證碼是否相同,并獲取發(fā)送認(rèn)證信息響應(yīng)報文和收到認(rèn)證請求報文的時間差。如果兩個認(rèn)證驗證碼不同或者該時間差超過第一預(yù)定時長,認(rèn)證服務(wù)器拒絕認(rèn)證請求并通知業(yè)務(wù)服務(wù)器,由業(yè)務(wù)服務(wù)器將認(rèn)證失敗的結(jié)果通知業(yè)務(wù)客戶端。

      認(rèn)證服務(wù)器查找與認(rèn)證請求報文中虛擬賬戶標(biāo)識、設(shè)備標(biāo)識和生物認(rèn)證類型對應(yīng)的已注冊生物特征令牌和已注冊業(yè)務(wù)公鑰,比對認(rèn)證請求報文中的生物特征令牌與已注冊生物特征令牌,并采用已注冊業(yè)務(wù)公鑰對認(rèn)證請求報文進(jìn)行驗簽。如果兩個生物特征令牌不同、或者驗簽未通過,認(rèn)證服務(wù)器拒絕認(rèn)證請求并通知業(yè)務(wù)服務(wù)器,由業(yè)務(wù)服務(wù)器將認(rèn)證失敗的結(jié)果通知業(yè)務(wù)客戶端。

      在通過上述認(rèn)證驗證碼、生物特征令牌和業(yè)務(wù)公鑰的驗證過程后,認(rèn)證服務(wù)器身份認(rèn)證通過的結(jié)果在認(rèn)證響應(yīng)報文中回復(fù)給業(yè)務(wù)服務(wù)器。業(yè)務(wù)服務(wù)器可以基于身份認(rèn)證通過的結(jié)果進(jìn)行相應(yīng)的業(yè)務(wù)處理,并將身份認(rèn)證通過的結(jié)果和/或業(yè)務(wù)處理的結(jié)果通知業(yè)務(wù)客戶端。

      與上述流程實現(xiàn)對應(yīng),本申請的實施例還提供了一種應(yīng)用在用戶設(shè)備上的基于生物特征的身份注冊裝置和一種應(yīng)用在認(rèn)證服務(wù)器上的基于生物特征的身份注冊裝置。上述裝置均可以通過軟件實現(xiàn),也可以通過硬件或者軟硬 件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例,作為邏輯意義上的裝置,是通過用戶設(shè)備或認(rèn)證服務(wù)器的cpu(centralprocessunit,中央處理器)將對應(yīng)的計算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言,除了圖6所示的cpu、內(nèi)存以及非易失性存儲器之外,用戶設(shè)備通常還包括用于進(jìn)行無線信號收發(fā)的芯片等其他硬件,認(rèn)證服務(wù)器通常還包括用于實現(xiàn)網(wǎng)絡(luò)通信功能的板卡等其他硬件。

      圖7所示為本申請實施例提供的一種基于生物特征的身份注冊裝置,應(yīng)用在用戶設(shè)備上,所述用戶設(shè)備保存有用戶側(cè)設(shè)備認(rèn)證參數(shù),所述裝置包括設(shè)備標(biāo)識獲取單元、生物特征校驗單元和注冊請求發(fā)送單元,其中:設(shè)備標(biāo)識獲取單元用于獲取用戶設(shè)備的設(shè)備標(biāo)識;生物特征校驗單元用于獲取用戶的生物數(shù)據(jù),利用所述生物數(shù)據(jù)對用戶身份進(jìn)行生物特征校驗;注冊請求發(fā)送單元用于在通過生物特征校驗后,向業(yè)務(wù)服務(wù)器發(fā)送注冊請求報文,所述注冊請求報文中包括設(shè)備標(biāo)識和賬戶標(biāo)識,并采用所述用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名;供認(rèn)證服務(wù)器在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊請求報文后,采用與用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,并在解密成功或驗簽通過后保存所述設(shè)備標(biāo)識和賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      可選的,所述用戶側(cè)設(shè)備認(rèn)證參數(shù)保存在用戶設(shè)備的安全存儲區(qū)域。

      可選的,所述裝置還包括生物特征令牌單元,用于在通過生物特征校驗后,獲取與所述生物數(shù)據(jù)對應(yīng)的生物特征令牌;所述注冊請求報文中還包括:所述生物特征令牌,供認(rèn)證服務(wù)器在所述注冊請求報文解密成功或驗簽通過后,保存所述設(shè)備標(biāo)識、賬戶標(biāo)識和生物特征令牌的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      可選的,所述裝置還包括生物認(rèn)證類型確定單元,用于確定用戶的生物認(rèn)證類型;所述生物特征校驗單元具體用于:根據(jù)所確定的生物認(rèn)證類型,獲取用戶的生物數(shù)據(jù),利用所述生物數(shù)據(jù)對用戶身份進(jìn)行生物特征校驗;所述注冊請求報文中還包括:生物認(rèn)證類型,供認(rèn)證服務(wù)器在所述注冊請求報 文解密成功或解密成功或驗簽通過后,保存所述設(shè)備標(biāo)識、賬戶標(biāo)識、生物特征令牌和生物認(rèn)證類型的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      可選的,所述裝置還包括業(yè)務(wù)認(rèn)證參數(shù)生成單元,用于在通過生物特征校驗后,生成相同或相對應(yīng)的用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù),保存用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù);所述注冊請求報文中還包括:網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù),供認(rèn)證服務(wù)器在所述注冊請求報文驗簽通過后,保存所述設(shè)備標(biāo)識、賬戶標(biāo)識、生物特征令牌、生物認(rèn)證類型和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù)的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      一個例子中,所述裝置還包括注冊信息請求發(fā)送單元和注冊信息響應(yīng)接收單元,其中:注冊信息請求發(fā)送單元用于向業(yè)務(wù)服務(wù)器發(fā)送注冊信息請求報文,所述注冊信息請求報文由業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,其中包括業(yè)務(wù)賬戶標(biāo)識;注冊信息響應(yīng)接收單元用于接收業(yè)務(wù)服務(wù)器返回的注冊信息響應(yīng)報文,所述注冊信息響應(yīng)報文由認(rèn)證服務(wù)器發(fā)送給業(yè)務(wù)服務(wù)器,其中包括認(rèn)證服務(wù)器生成的對應(yīng)于所述業(yè)務(wù)賬戶的虛擬賬戶標(biāo)識;所述注冊請求報文中的賬戶標(biāo)識包括:所述虛擬賬戶標(biāo)識。

      上述例子中,所述注冊信息響應(yīng)報文中還可以包括:認(rèn)證服務(wù)器生成的所述虛擬賬戶的注冊挑戰(zhàn)碼;所述注冊請求報文中還包括:所述注冊挑戰(zhàn)碼,供認(rèn)證服務(wù)器在收到業(yè)務(wù)服務(wù)器轉(zhuǎn)發(fā)的注冊請求報文后,根據(jù)所述注冊挑戰(zhàn)碼以及發(fā)送注冊信息響應(yīng)報文和收到注冊請求報文的時間間隔,對注冊請求報文進(jìn)行驗證。

      上述例子中,所述注冊信息響應(yīng)報文中還可以包括:服務(wù)器公鑰;所述注冊響應(yīng)報文由認(rèn)證服務(wù)器采用與所述服務(wù)器公鑰對應(yīng)的服務(wù)器私鑰進(jìn)行簽名;所述裝置還包括服務(wù)器公鑰驗簽單元,用于在收到注冊信息響應(yīng)報文后,采用所述服務(wù)器公鑰對所述注冊信息響應(yīng)報文進(jìn)行驗簽,如果驗簽失敗則注冊流程結(jié)束。

      圖8所示為本申請實施例提供的一種基于生物特征的身份注冊裝置,應(yīng)用在認(rèn)證服務(wù)器上,包括注冊請求接收單元、設(shè)備認(rèn)證參數(shù)獲取單元和注冊 請求處理單元,其中:注冊請求接收單元用于從業(yè)務(wù)服務(wù)器接收來自用戶設(shè)備的注冊請求報文,所述注冊請求報文中包括所述用戶設(shè)備的設(shè)備標(biāo)識和賬戶標(biāo)識,并采用所述用戶設(shè)備的用戶側(cè)設(shè)備認(rèn)證參數(shù)進(jìn)行加密或簽名;設(shè)備認(rèn)證參數(shù)獲取單元用于根據(jù)所述設(shè)備標(biāo)識,獲取與所述用戶側(cè)設(shè)備認(rèn)證參數(shù)相同或相對應(yīng)的網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù);注冊請求處理單元用于采用所述網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后保存所述設(shè)備標(biāo)識與賬戶標(biāo)識的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      可選的,所述注冊請求報文中還包括:對應(yīng)于用戶生物數(shù)據(jù)的生物特征令牌;所述注冊請求處理單元具體用于:采用所述網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后保存設(shè)備標(biāo)識、賬戶標(biāo)識與所述生物特征令牌的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      可選的,所述注冊請求報文中還包括:生物認(rèn)證類型;所述注冊請求處理單元具體用于:采用所述網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后保存設(shè)備標(biāo)識、賬戶標(biāo)識、生物特征令牌和生物認(rèn)證類型的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      可選的,所述注冊請求報文中還包括:由用戶設(shè)備生成的網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù),與保存在用戶設(shè)備上的用戶側(cè)業(yè)務(wù)認(rèn)證參數(shù)相同或相對應(yīng);所述注冊請求處理單元具體用于:采用所述網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后,保存設(shè)備標(biāo)識、賬戶標(biāo)識、生物特征令牌、生物認(rèn)證類型和網(wǎng)絡(luò)側(cè)業(yè)務(wù)認(rèn)證參數(shù)的對應(yīng)關(guān)系,以用來對所述賬戶進(jìn)行身份認(rèn)證。

      一個例子中,所述裝置還包括注冊信息請求接收單元和虛擬賬戶標(biāo)識單元,其中:注冊信息請求接收單元用于從業(yè)務(wù)服務(wù)器接收來自所述用戶設(shè)備的注冊信息請求報文,所述注冊信息請求報文中包括業(yè)務(wù)賬戶標(biāo)識;虛擬賬戶標(biāo)識單元用于生成對應(yīng)于所述業(yè)務(wù)賬戶的虛擬賬戶標(biāo)識,將虛擬賬戶標(biāo)識攜帶在注冊信息響應(yīng)報文中發(fā)送給業(yè)務(wù)服務(wù)器,供業(yè)務(wù)服務(wù)器將其轉(zhuǎn)發(fā)給所述用戶設(shè)備;所述注冊請求報文中的賬戶標(biāo)識包括:所述虛擬賬戶標(biāo)識。

      上述例子中,所述裝置還可以包括注冊挑戰(zhàn)碼生成單元,用于生成所述虛擬賬戶的注冊挑戰(zhàn)碼;所述注冊信息響應(yīng)報文中還包括:所生成的注冊挑戰(zhàn)碼;所述注冊請求報文中還包括:注冊挑戰(zhàn)碼;所述注冊請求處理單元具體用于:采用所述網(wǎng)絡(luò)側(cè)設(shè)備認(rèn)證參數(shù)對注冊請求報文進(jìn)行解密或驗簽,在解密成功或驗簽通過后,如果注冊請求報文中的注冊挑戰(zhàn)碼與為注冊請求報文中虛擬賬戶生成的注冊挑戰(zhàn)碼相同、并且發(fā)送注冊信息響應(yīng)報文和收到注冊請求報文的時間間隔在第一預(yù)定時長范圍內(nèi),保存所述設(shè)備標(biāo)識與虛擬賬戶標(biāo)識的對應(yīng)關(guān)系。

      上述例子中,所述認(rèn)證服務(wù)器可獲取到服務(wù)器私鑰;所述裝置還包括服務(wù)器私鑰簽名單元,用于采用所述服務(wù)器私鑰對注冊信息響應(yīng)報文進(jìn)行簽名;所述注冊信息響應(yīng)報文中還包括:與服務(wù)器公鑰相對應(yīng)的服務(wù)器公鑰,供用戶設(shè)備用來對注冊信息響應(yīng)報文進(jìn)行驗簽。

      以上所述僅為本申請的較佳實施例而已,并不用以限制本申請,凡在本申請的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本申請保護(hù)的范圍之內(nèi)。

      在一個典型的配置中,計算設(shè)備包括一個或多個處理器(cpu)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。

      內(nèi)存可能包括計算機(jī)可讀介質(zhì)中的非永久性存儲器,隨機(jī)存取存儲器(ram)和/或非易失性內(nèi)存等形式,如只讀存儲器(rom)或閃存(flashram)。內(nèi)存是計算機(jī)可讀介質(zhì)的示例。

      計算機(jī)可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機(jī)的存儲介質(zhì)的例子包括,但不限于相變內(nèi)存(pram)、靜態(tài)隨機(jī)存取存儲器(sram)、動態(tài)隨機(jī)存取存儲器(dram)、其他類型的隨機(jī)存取存儲器(ram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學(xué)存儲、磁盒式磁帶,磁帶磁磁盤存儲或其 他磁性存儲設(shè)備或任何其他非傳輸介質(zhì),可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定,計算機(jī)可讀介質(zhì)不包括暫存電腦可讀媒體(transitorymedia),如調(diào)制的數(shù)據(jù)信號和載波。

      還需要說明的是,術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。

      本領(lǐng)域技術(shù)人員應(yīng)明白,本申請的實施例可提供為方法、系統(tǒng)或計算機(jī)程序產(chǎn)品。因此,本申請可采用完全硬件實施例、完全軟件實施例或結(jié)合軟件和硬件方面的實施例的形式。而且,本申請可采用在一個或多個其中包含有計算機(jī)可用程序代碼的計算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實施的計算機(jī)程序產(chǎn)品的形式。

      當(dāng)前第1頁1 2 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1