[发明专利]认证方法以及认证系统

说明书

本发明公开了一种认证方法以及认证系统，涉及通信技术领域。本发明的方法包括：应用服务器使用公钥对生物特征认证请求进行加密，并发送至终端的安全区；终端的安全区使用私钥对加密的生物特征认证请求进行解密，对用户的生物特征进行认证，将认证信息使用私钥进行签名，然后返回给应用服务器；应用服务器使用公钥进行验签，得到认证信息，在用户认证通过后，为用户提供服务。本发明中，生物特征认证请求由应用服务器使用公钥进行加密并发送到终端的安全区，生物特征的认证结果由终端的安全区使用私钥进行签名并返回应用服务器，使得第三方应用能够安全发起生物特征认证请求、并安全获取认证结果，防止会话劫持和篡改，保障整个服务的安全。

技术领域

本发明涉及通信技术领域，特别涉及一种认证方法以及认证系统。

背景技术

指纹识别等生物特征识别技术以其独一无二、使用方便等特性，成为身份鉴别的重要技术。近年来，生物特征识别技术在智能终端领域日益普及，并逐渐与移动支付等多种需要安全认证的应用相结合。然而，生物特征的独特性也使其安全性面临很大威胁，特征信息一旦被窃取，非法用户可以利用窃取的生物特征信息通过认证，因此，生物特征识别技术的安全防护至关重要。

目前，业界主要通过在终端中设置Trustzone(安全区)对生物特征的识别过程进行防护，生物特征的采集、处理环节都在安全区内完成，与普通软件运行的区域硬件隔离，可较好防范恶意软件的攻击。在生物特征的认证请求发起和结果反馈环节，需要软、硬件交互，通常采用API(Application Programming Interface,应用程序编程接口)访问控制的方式来实现安全控制，但是，这种方式存在以下问题：

由于依赖于系统的访问控制机制，一旦系统存在漏洞，或遭受中间人攻击，生物特征的认证请求可被恶意程序发起，生物特征的认证请求和结果可被恶意程序劫持或篡改，造成安全问题。

发明内容

本发明所要解决的一个技术问题是：如何提高生物特征认证过程的安全性。

根据本发明的一个方面，提供的一种认证方法，包括：应用服务器使用公钥对生物特征认证请求进行加密，并将加密的生物特征认证请求发送至终端的安全区；终端的安全区使用私钥对加密的生物特征认证请求进行解密，对用户的生物特征进行认证，将认证信息使用私钥进行签名，然后返回给应用服务器；应用服务器使用公钥进行验签，得到认证信息，在用户认证通过后，为用户提供服务。

在一个实施例中，生物特征认证请求中包括随机会话密钥；终端的安全区将认证信息使用私钥进行签名包括：终端的安全区将认证信息使用随机会话密钥进行加密，并使用私钥进行签名；应用服务器使用公钥进行验签，得到认证信息包括：应用服务器使用公钥进行验签，并使用随机会话密钥进行解密得到认证信息。

在一个实施例中，生物特征认证请求中包括应用标识、随机会话标识；认证信息包括认证结果以及应用标识和随机会话标识；应用服务器在用户认证通过后，为用户提供服务包括：应用服务器在用户认证通过后，为用户在随机会话标识指示的会话中提供应用标识指示应用的服务。

在一个实施例中，该方法还包括：终端的安全区生成公钥和私钥，并将公钥发送至终端管理平台；终端管理平台对各个应用服务器进行授权，并将公钥发送至授权的应用服务器。

在一个实施例中，终端的安全区对用户的生物特征进行认证包括：终端的安全区采集用户的生物特征，并将采集的用户的生物特征与存储的用户的生物特征进行匹配，如果匹配，则认证通过，如果不匹配，则认证不通过。

根据本发明的第二个方面，提供的一种认证系统，包括：应用服务器，用于使用公钥对生物特征认证请求进行加密，将加密的生物特征认证请求发送至终端的安全区，并接收终端的安全区返回的使用私钥进行签名的认证信息，然后使用公钥进行验签，得到认证信息，在用户认证通过后，为用户提供服务；终端的安全区，用于使用私钥对加密的生物特征认证请求进行解密，对用户的生物特征进行认证，将认证信息使用私钥进行签名，然后返回给应用服务器。