认证方法、认证终端以及系统与流程

本发明涉及移动互联网技术领域，特别涉及一种认证方法、认证终端以及系统。

背景技术：

随着移动互联网高速发展，移动终端交易安全面临越来越多的威胁，亟待使用安全性高且体验良好的技术方式来解决。

随着运营商手机钱包业务的推出及相关终端或卡片设备的升级，目前已经能够使用SIM(Subscriber Identity Module，客户识别模块)卡或UIM(User Identify Module，用户识别模块)卡实现手机U盾的业务，能够在SIM卡或UIM卡上存储多个应用证书，完成移动支付等交易的签名认证。同时，手机终端的用户身份识别技术特别是生物识别认证技术日益成熟，例如使用指纹等方式代替密码输入，极大简化用户在交易过程中的认证操作，使得用户进行支付时更为便利。

然而，在实际的应用中，手机U盾需要输入PIN(Personal Identification Number，个人识别密码)码，操作麻烦，密码容易泄漏；指纹识别等技术使用简便，但仅能在移动终端对用户身份进行验证，无法与服务器端之间完成用户身份验证。如果简单把两个方案叠加，则存在以下问题：使用指纹识别技术代替密码输入，但是在手机U盾方案中，PIN码的校验是执行签名操作的前提条件，否则卡片会认为安全条件不满足，不允许执行签名操作。因此如何实现PIN码替代是一个关键。并且，手机U盾及指纹认证等过程是相互独立的，指纹识别仅返回指纹认证是否成功，从指纹识别完成到调用手机U盾进行签名中间过程容易受到篡改或仿冒。

技术实现要素：

本发明实施例所要解决的一个技术问题是：如何在终端上实现生物识别认证技术和U盾技术的有效融合。

根据本发明实施例的一个方面，提供的一种认证方法，包括：生物识别可信应用(Trusted Application，TA)响应于用户通过应用客户端发送的验证请求和交易信息，通过生物特征信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；U盾可信应用接收生物识别可信应用发送的交易信息，向U盾模块发送密钥进行身份验证，如果验证成功，则向U盾模块发送交易信息，以便U盾模块对交易信息进行签名并返回；U盾可信应用接收签名后的交易信息，并通过生物识别可信应用转发给应用客户端；其中，生物识别可信应用和U盾可信应用均位于终端的可信执行环境(Trusted Execution Environment，TEE)中，U盾可信应用的密钥外部不可访问。

在一个实施例中，生物识别可信应用是指纹可信应用；指纹可信应用响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的指纹对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；或者，生物识别可信应用是虹膜可信应用；虹膜可信应用响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的虹膜信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；或者，生物识别可信应用是人脸可信应用；人脸可信应用响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的面部信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息。

在一个实施例中，U盾模块使用用户私钥对交易信息进行签名；认证方法还包括：服务器接收应用客户端发送的交易信息和签名后的交易信息，使用用户公钥对签名后的交易信息进行解密，并将解密结果与交易信息进行比对，如果一致则交易有效。

在一个实施例中，交易信息包括交易关键数据。

在一个实施例中，终端是手机，U盾模块设置于手机卡中。

根据本发明实施例的第二个方面，提供的一种认证终端，包括：生物识别可信应用，用于响应于用户通过应用客户端发送的验证请求和交易信息，通过生物特征信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；U盾可信应用，用于接收生物识别可信应用发送的交易信息，向U盾模块发送密钥进行身份验证，如果验证成功，则向U盾模块发送交易信息，以便U盾模块对交易信息进行签名并返回；并用于接收签名后的交易信息，通过生物识别可信应用转发给应用客户端；其中，生物识别可信应用和U盾可信应用均位于终端的可信执行环境中，U盾可信应用的密钥外部不可访问。

在一个实施例中，生物识别可信应用是指纹可信应用；指纹可信应用，用于响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的指纹对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；或者，生物识别可信应用是虹膜可信应用；虹膜可信应用，用于响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的虹膜信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；或者，生物识别可信应用是人脸可信应用；人脸可信应用，用于响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的面部信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息。

在一个实施例中，U盾模块，用于使用用户私钥对交易信息进行签名。

在一个实施例中，交易信息包括交易关键数据。

在一个实施例中，终端是手机，U盾模块设置于手机卡中。

根据本发明实施例的第三个方面，提供的一种认证系统，包括前述任一个实施例中的认证终端以及服务器；服务器，用于接收应用客户端发送的交易信息和签名后的交易信息，使用用户公钥对签名后的交易信息进行解密，并将解密结果与交易信息进行比对，如果一致则交易有效。

本发明通过引入可信执行环境，并将生物识别可信应用和U盾可 信应用均放置在可信执行环境中，使得身份认证和交易认证均在可信环境中完成，从而在终端上实现生物识别认证技术和U盾技术的有效融合，使两种技术在流程上一体化，避免被中间攻击的可能，同时使用专用的密钥替代PIN验证，解决了密码验证问题，并且用户使用更加便利，提高了移动交易的安全性和便利性。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本公开的认证方法的应用示意图。

图2示出本公开的示例性实施例的认证方法的流程示意图。

图3示出本公开的示例性实施例的认证终端的结构示意图。

图4示出本公开的示例性实施例的认证系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对如何在终端上实现用户身份识别和U盾功能的有效融合，并保证交易的安全性的问题，提出本方案。下面结合图1对本发明的基本方案进行描述。

如图1所示，本发明通过引入可信执行环境，并将生物识别可信应用(以指纹识别技术为例)和U盾可信应用均放置在可信执行环境中，使得身份认证和交易认证均在可信环境中完成，从而在终端上实现生物识别认证技术和U盾技术的有效融合，使两种技术在流程上一体化，避免被中间攻击的可能，同时使用专用的密钥替代PIN验证，解决了密码验证问题，并且用户使用更加便利，提高了移动交易的安全性和便利性。下面具体描述认证过程。

下面结合图2对本发明认证方法的一个实施例进行描述。

图2为本发明认证方法一个实施例的流程图。如图2所示，该实施例的方法包括：

步骤S202，应用客户端向生物识别可信应用发送验证请求和交易信息，相应的，生物识别可信应用接收用户通过应用客户端发送的验证请求和交易信息。

其中，应用客户端例如为安装于手机终端上的应用程序等。应用客户端通过用户认证接口向生物识别可信应用发送验证请求和交易信息。交易信息是由应用方自行定义的，是交易过程中客户端需要向服务器传送的交易关键数据，例如交易商品编号、数量、金额等，可以采用二进制数据块的形式进行发送。生物识别可信应用用于对用户的身份进行验证，接收的验证请求中携带用于表示用户身法的信息，例如指纹、虹膜、声音、面部信息等。生物识别可信应用设置于终端的可信执行环境中，用户提前录入用于识别用户身份的信息保存在该可信执行环境中，例如指纹、虹膜、声音、面部信息等，不能被外部访问和篡改，保证了验证的可靠性和安全性。

步骤S204，生物识别可信应用响应于用户通过应用客户端发送的验证请求和交易信息，通过生物特征信息对用户身份进行认证。如果认证成功，则执行步骤S206。

其中，生物识别可信应用将验证请求中携带的用于表示用户身法的信息与保存在可信执行环境中的信息进行比对即可验证用户的身份。例如，生物识别可信应用为指纹可信应用，则需要用户将指纹信 息在初始时录入并保存在可信执行环境中，当需要验证用户身份时，用户输入指纹，应用客户端在向指纹可信应用中携带用户的指纹信息，指纹可信应用将验证请求中的指纹信息与保存的指纹信息进行对比即可验证用户的身份。生物识别可信应用还可以为虹膜可信应用、人脸可信应用或者声音可信应用等，通过识别人体固有的生理或行为等特征对用户的身份进行验证，但不限于所举示例。

步骤S206，生物识别可信应用向U盾可信应用发送交易信息，相应的，U盾可信应用接收生物识别可信应用发送的交易信息。

其中，U盾可信应用设置于终端的可信执行环境中。

步骤S208，U盾可信应用向U盾模块发送密钥进行身份验证，如果验证成功，则执行步骤S210。

其中，手机卡例如SIM卡或UIM卡等中可以包括U盾模块，实现手机U盾的功能，U盾模块也可以设置于其他可以实现U盾功能的装置中。密钥存储于可信执行环境中不能被外部访问或篡改，U盾可信应用使用密钥到U盾模块进行身份验证，验证成功后可以调用U盾模块的数据签名接口。

步骤S210，U盾可信应用向U盾模块发送交易信息，相应的U盾模块接收交易信息。

步骤S212，U盾模块对交易信息进行签名并返回给U盾可信应用。

其中，U盾模块使用用户私钥对交易信息进行签名。

步骤S214，U盾可信应用接收签名后的交易信息，并通过生物识别可信应用转发给应用客户端。

步骤S216，应用客户端将交易信息和签名后交易信息发送给服务器验证交易的有效性。

其中，服务器接收应用客户端发送的交易信息和签名后的交易信息，使用用户公钥对签名后的交易信息进行解密，并将解密结果与交易信息进行比对，如果一致则交易有效。

上述实施例的方法通过引入可信执行环境，并将生物识别可信应用 和U盾可信应用均放置在可信执行环境中，使得身份认证和交易认证均在可信环境中完成，从而在终端上实现生物识别认证技术和U盾技术的有效融合，使两种技术在流程上一体化，避免被中间攻击的可能，同时使用专用的密钥替代PIN验证，解决了密码验证问题，并且用户使用更加便利，提高了移动交易的安全性和便利性。

本发明还提供一种认证终端，下面结合图3进行描述。

图3为本发明认证终端一个实施例的结构图。如图3所示，该认证终端30包括：应用客户端302，生物识别可信应用304，U盾可信应用306和U盾模块308。

生物识别可信应用304，用于响应于用户通过应用客户端302发送的验证请求和交易信息，通过生物特征信息对用户身份进行认证，如果认证成功，向U盾可信应用306发送交易信息。

U盾可信应用306，用于接收生物识别可信应用304发送的交易信息，向U盾模块308发送密钥进行身份验证，如果验证成功，则向U盾模块308发送交易信息，以便U盾模块308对交易信息进行签名并返回；并用于接收签名后的交易信息，通过生物识别可信应用304转发给应用客户端302。

其中，生物识别可信应用304和U盾可信应用306均位于终端的可信执行环境中，是可以访问可信执行环境的软件功能模块。U盾可信应用306的密钥外部不可访问。U盾模块308，用于使用用户私钥对交易信息进行签名。终端为手机时，U盾模块308可以设置于手机卡中，也可以设置于其他可以实现U盾功能的装置中。

其中，生物识别可信应用304可以是指纹可信应用；指纹可信应用，用于响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的指纹对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；或者，生物识别可信应用304是是虹膜可信应用；虹膜可信应用，用于响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的虹膜信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息；或者，生物识别可信应用304是 人脸可信应用；人脸可信应用，用于响应于用户通过应用客户端发送的验证请求和交易信息，通过用户输入的面部信息对用户身份进行认证，如果认证成功，向U盾可信应用发送交易信息。生物识别可信应用还可以为声音可信应用等，但不限于所举示例。

其中，交易信息是由应用方自行定义的，是交易过程中客户端需要向服务器传送的交易关键数据，例如交易商品编号、数量、金额等，可以采用二进制数据块的形式进行发送。

本发明还提供一种认证系统，下面结合图4进行描述。

图4为本发明认证系统一个实施例的结构图。如图4所示，该认证系统40包括：前述任一个实施例中的认证终端30和服务器402。

其中，服务器402，用于接收应用客户端302发送的交易信息和签名后的交易信息，使用用户公钥对签名后的交易信息进行解密，并将解密结果与交易信息进行比对，如果一致则交易有效。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。