(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107294721A(43)申请公布日2017.10.24(21)申请号201610192200.0(22)申请日2016.03.30(71)申请人阿里巴巴集团控股有限公司地址英属开曼群岛大开曼资本大厦一座四层847号邮箱(72)发明人孙元博(74)专利代理机构北京博思佳知识产权代理有限公司11415代理人林祥(51)Int.Cl.H04L9/32(2006.01)H04L29/06(2006.01)权利要求书7页说明书18页附图8页(54)发明名称基于生物特征的身份注册、认证的方法和装置(57)摘要本申请提供一种基于生物特征的身份注册方法，应用在用户设备上，包括：向业务服务器发送包括业务账户标识的注册信息请求报文，接收来自认证服务器的包括虚拟账户标识的注册信息响应报文；在用户的生物数据通过本地身份校验后，将设备标识、虚拟账户标识、通过本地身份校验的生物数据对应的生物特征令牌和生物校验类型、以及生成的业务公钥封装在注册请求报文中，以设备私钥签名后发送给业务服务器，供认证服务器在转发的注册请求报文通过设备公钥的验签后，保存设备标识、虚拟账户标识、生物特征令牌、生物校验类型和业务公钥的对应关系用来进行身份认证。本申请的技术方案提高了注册和认证过程的安全性。CN107294721ACN107294721A权利要求书1/7页1.一种基于生物特征的身份注册方法，应用在用户设备上，其特征在于，所述用户设备上运行有业务客户端、生物认证中间件、生物认证客户端、身份认证检验器和令牌及密钥管理器，所述方法包括：业务客户端向生物认证中间件发起设备信息请求，生物认证中间件将所述设备信息请求转发给生物认证客户端，生物认证客户端将所述设备信息请求转发给身份认证检验器，身份认证检验器获取所述用户设备包括设备标识的设备信息并将所述设备信息携带在设备信息响应中返回给生物认证客户端，生物认证客户端将所述设备信息响应返回给生物认证中间件，生物认证中间件将所述设备信息响应返回给业务客户端；业务客户端向业务服务器发送包括业务账户标识的注册信息请求报文，接收业务服务器返回的注册信息响应报文；所述注册信息响应报文由认证服务器采用服务器私钥签名后发送给业务服务器，其中包括认证服务器在收到业务服务器转发的注册信息请求报文后生成的对应于所述业务账户标识的虚拟账户标识、与所述服务器私钥相对应的服务器公钥；业务客户端确定用户的生物认证类型，获取所述生物认证类型的用户的生物数据，将生物数据携带在本地生物认证请求中发送给生物认证中间件，生物认证中间件将所述本地生物认证请求转发给生物认证客户端，生物认证客户端利用所述生物数据对用户身份进行生物特征校验并将校验结果在本地生物认证响应中返回给生物认证中间件，生物认证中间件将所述本地生物认证响应返回给业务客户端；在本地生物特征校验结果为通过时，业务客户端将注册信息响应报文发送给生物认证中间件，生物认证中间件将所述注册信息响应报文转发给生物认证客户端；生物认证客户端将所述注册信息响应报文转发给身份认证检验器，身份认证检验器采用所述服务器公钥对注册信息响应报文进行验签，在验签通过后从令牌及密钥管理器获取与用户最近一次通过本地生物校验时所采用生物数据对应的生物特征令牌，生成相对应的业务公钥和业务私钥，保存虚拟账户标识、生物认证类型、生物认证令牌和业务私钥的对应关系；身份认证检验器将设备标识、虚拟账户标识、生物认证类型、生物特征令牌和业务公钥封装在注册请求报文中，并交由令牌及密钥管理器采用所述用户设备的设备私钥对注册请求报文进行签名后，将注册请求报文返回给生物认证客户端，生物认证客户端将所述注册请求报文返回给生物认证中间件，生物认证中间件将所述注册请求报文返回给业务客户端；业务客户端将所述注册请求报文发送业务服务器，所述注册请求报文由业务服务器转发给认证服务器，供认证服务器在交由生物认证中心服务器采用所述用户设备的设备公钥进行验签后，保存所述设备标识、虚拟账户标识、生物认证类型、生物特征令牌和业务公钥的对应关系，以用来对所述账户进行身份认证。2.根据权利要求1所述的方法，其特征在于，所述注册信息响应报文中还包括：认证服务器生成的所述虚拟账户的注册挑战码；所述注册请求报文中还包括：由身份认证检验器封装的所述注册挑战码，供认证服务器在收到注册请求报文后，根据所述注册挑战码以及发送注册信息响应报文和收到注册请求报文的时间间隔，对注册请求报文进行验证。3.根据权利要求1所述的方法，其特征在于，所述身份认证检验器和令牌及密钥管理器运行在所述用户设备上的安全环境中。4.一种基于生物特征的身份注册方法，应用在认证服务器上，其特征在于，包括：2CN107294721A权利要求书2/7页从业务