[发明专利]通用性的移动设备基于生物信息的识别方法及系统

权利要求书

1.一种通用性的移动设备基于生物信息的识别方法，其特征在于，包括符合金融标准和信息安全标准的安全服务，所述安全服务的实现方式包括绑定流程和验证流程；

所述绑定流程是指将一个App已经验证的用户注册到服务提供的认证识别系统中，并将用户与TEE环境中生成的公私钥对中的公钥进行绑定；

所述验证流程是指对业务进行生物识别验证时，调用服务访问TEE签名接口对请求信息签名，再传递给应用服务器端进行签名验证。

2.根据权利要求1所述的通用性的移动设备基于生物信息的识别方法，其特征在于，所述绑定流程包括如下步骤：

步骤S1：绑定流程开始前，设备端向应用服务器请求一个随机数nonce；

步骤S2：应用服务器收到获取nonce的请求后，生成一个随机数nonce,并通过自定义的方式传递给设备端；

步骤S3：设备端收到应用服务器返回的随机数nonce，将随机数nonce与注册信息打包，并调用TEE签名接口，生成对应用户与业务的公私钥对，并将打包后的信息与公私钥对中的公钥传递给应用服务器；

步骤S4：应用服务器收到注册请求后，对请求信息进行合法性校验，包括用户凭证的校验、nonce的检查和公钥的合法性检查，其中用户凭证的校验与nonce的检查交由服务器直接校验，对应业务公钥的校验则通过安全服务提供的公钥验证中心完成，验证公钥是否来自于一台合法的设备；

步骤S5：合法性校验通过后，应用服务器将根据用户凭证生成一个唯一判定用户身份的id，并将该id、业务相关信息以及生物信息使用App厂商保有的私钥进行签名，生成的用户身份凭证与业务描述信息、生物信息、签名将共同被称为Token；Token通过可信的方式下发至App，App通过Token获得对应用户的id；

步骤S6：App收到应用服务器返回的Token后，将Token简单存储在设备端供验证时使用。

3.根据权利要求2所述的通用性的移动设备基于生物信息的识别方法，其特征在于，所述步骤S3中的注册信息包括用户凭证信息、业务描述信息以及生物标识信息；

用户凭证信息指应用App任意一个标识用户身份的字段；用户凭证具有唯一性和保密性，即不同用户的凭证信息不相同且不容易被伪造；

业务描述信息指对需要进行生物信息验证的业务请求的具体描述，通常由标识业务的整数uid和业务描述scene共同组成；

生物标识信息指进行身份验证时采取的具体的验证方式type，生物信息fid和设备唯一标识码cpuid。

4.根据权利要求1所述的通用性的移动设备基于生物信息的识别方法，其特征在于，所述验证流程包括如下步骤：

步骤1：应用发起业务请求，提交业务内容，并调用安全服务；

步骤2：由服务访问TEE环境，调用生物信息识别接口，若身份信息识别通过，则通过注册绑定时生成的对应业务的公私钥对中的私钥对业务内容、业务描述信息、生物标识信息进行签名，再将签名、请求信息和注册时下发的Token传递给应用服务器；

步骤3：应用服务器收到验证请求后，通过密钥管理策略找到注册时绑定的对应用户与业务的公钥，对签名进行验签，验证请求是否来自一台合法的用户设备；

步骤4：请求内容验签通过后进行Token验签，校验Token是否由服务器端生成，同时对于不同的业务请求，应用服务器可根据Token中提供的生物标识信息对请求做进一步的生物信息校验；

步骤5：验证通过后，应用服务器进行相关业务的处理，并将处理结果返回给设备应用；

步骤6：App根据返回的业务处理结果，进行应用App的相关处理，验证过程结束。

5.根据权利要求4所述的通用性的移动设备基于生物信息的识别方法，其特征在于，所述步骤4中Token验签指通过App厂商保有的TokenKey对请求内容中的业务描述信息、生物标识信息、以及签名信息进行签名验签。