ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
[0001] Настоящая заявка относится к области технологий сетевой связи и, в частности, к способу и устройству для регистрации биометрической идентификации, и способу и устройству для аутентификации биометрической идентификации.
УРОВЕНЬ ТЕХНИКИ
[0002] С развитием технологий биометрической идентификации появляется возможность аутентификации личностей с использованием комбинации компьютеров и оптики, акустики, биодатчиков и биостатистики, и с использованием физиологических признаков человеческого тела, например, отпечатка пальца, лица, радужной оболочки и голоса.
[0003] Быстрое развитие мобильного интернета обеспечивает новые платформы приложений для технологий биометрической идентификации. Например, отпечаток пальца и лицо могут использоваться для входа в учетную запись для платежей на пользовательском оборудовании, без необходимости запоминать и вводить пароль. Поскольку биометрическая идентификация с большей вероятностью используется для аутентификации личности на приложениях мобильных платежей, безопасность становится наиболее важным фактором, который нужно рассматривать в первую очередь в ходе регистрации и аутентификации.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0004] В этой связи настоящая заявка предусматривает способ регистрации биометрической идентификации, применяемый к пользовательскому оборудованию, где клиент услуги, промежуточное программное обеспечение биометрической аутентификации, клиент биометрической аутентификации, детектор аутентификации личности и диспетчер жетонов и ключей действуют на пользовательском оборудовании, и способ включает в себя следующее:
[0005] Клиент услуги отправляет запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает запрос информации об устройстве на клиент биометрической аутентификации, клиент биометрической аутентификации пересылает запрос информации об устройстве на детектор аутентификации личности, детектор аутентификации личности получает информацию об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства, и возвращает ответ на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации, клиент биометрической аутентификации возвращает ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ на информацию об устройстве на клиент услуги.
[0006] Клиент услуги отправляет пакет запроса регистрационной информации, включающий в себя идентификатор учетной записи услуги на сервер услуги, и принимает пакет ответа регистрационной информации, возвращаемый сервером услуги, где пакет ответа регистрационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги и генерируемый сервером аутентификации после приема пакета запроса регистрационной информации, пересылаемого сервером услуги.
[0007] Клиент услуги определяет тип биометрической аутентификации пользователя, получает биометрические данные пользователя типа биометрической аутентификации, и отправляет запрос локальной биометрической аутентификации, который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации; промежуточное программное обеспечение биометрической аутентификации пересылает запрос локальной биометрической аутентификации на клиент биометрической аутентификации; клиент биометрической аутентификации осуществляет проверку биометрического признака на личности пользователя с использованием биометрических данных и возвращает ответ локальной биометрической аутентификации, который включает в себя результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и промежуточное программное обеспечение биометрической аутентификации возвращает ответ локальной биометрической аутентификации на клиент услуги.
[0008] В случае успешного результата локальной проверки биометрического признака клиент услуги отправляет пакет ответа регистрационной информации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации пересылает пакет ответа регистрационной информации на клиент биометрической аутентификации; клиент биометрической аутентификации пересылает пакет ответа регистрационной информации на детектор аутентификации личности; и детектор аутентификации личности осуществляет проверку подписи на пакете ответа регистрационной информации с использованием открытого ключа сервера, и получает жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки, от диспетчера жетонов и ключей после успешной проверки подписи, для генерации соответствующего открытого ключа услуги и личного ключа услуги, и сохраняет соответствие между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрической аутентификации и личным ключом услуги; детектор аутентификации личности инкапсулирует идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги в пакет запроса регистрации, и возвращает пакет запроса регистрации на клиент биометрической аутентификации после того как диспетчер жетонов и ключей подписывает пакет запроса регистрации с использованием личного ключа устройства пользовательского оборудования; и клиент биометрической аутентификации возвращает пакет запроса регистрации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает пакет запроса регистрации на клиент услуги.
[0009] Клиент услуги отправляет пакет запроса регистрации на сервер услуги, и сервер услуги пересылает пакет запроса регистрации на сервер аутентификации, благодаря чему после того как сервер центра биометрической аутентификации осуществляет проверку подписи на пакете запроса регистрации с использованием открытого ключа устройства пользовательского оборудования, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги, для осуществления аутентификации личности на учетной записи.
[0010] Настоящая заявка предусматривает способ регистрации биометрической идентификации, применяемый к серверу аутентификации и включающий в себя:
[0011] Прием пакета запроса регистрационной информации пользовательского оборудования от сервера услуги, где пакет запроса регистрационной информации включает в себя идентификатор учетной записи услуги; генерирование идентификатора виртуальной учетной записи, соответствующего идентификатору учетной записи услуги, инкапсуляцию идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа регистрационной информации, и отправку пакета ответа регистрационной информации на сервер услуги после подписания пакета ответа регистрационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа регистрационной информации на пользовательское оборудование.
[0012] Принимают пакет запроса регистрации пользовательского оборудования от сервера услуги, и подписывают пакет запроса регистрации с использованием ключа шифрования устройства пользовательского оборудования, где пакет запроса регистрации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; и отправляют пакет запроса регистрации на сервер центра биометрической аутентификации, и принимают результат проверки подписи, возвращаемого сервером центра биометрической аутентификации после осуществления проверки подписи на пакете запроса регистрации с использованием открытого ключа устройства, соответствующего идентификатору устройства.
[0013] После успешной проверки подписи на пакете запроса регистрации сохраняют соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги для осуществления аутентификации личности на учетной записи.
[0014] Настоящая заявка предусматривает способ аутентификации биометрической идентификации, применяемый к пользовательскому оборудованию, где клиент услуги, промежуточное программное обеспечение биометрической аутентификации, клиент биометрической аутентификации, детектор аутентификации личности и диспетчер жетонов и ключей действуют на пользовательском оборудовании, и способ включает в себя следующее:
[0015] Клиент услуги отправляет запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает запрос информации об устройстве на клиент биометрической аутентификации, клиент биометрической аутентификации пересылает запрос информации об устройстве на детектор аутентификации личности, детектор аутентификации личности получает информацию об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства, и возвращает ответ на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации, клиент биометрической аутентификации возвращает ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ на информацию об устройстве на клиент услуги.
[0016] Клиент услуги отправляет пакет запроса аутентификационной информации, включающий в себя идентификатор устройства, на сервер услуги, и принимает пакет ответа аутентификационной информации, возвращаемый сервером услуги, где пакет ответа аутентификационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, и полученный сервером аутентификации после приема пакета запроса аутентификационной информации, пересылаемого сервером услуги.
[0017] Клиент услуги получает биометрические данные типа биометрической аутентификации, используемого пользователем в ходе регистрации, и отправляет запрос локальной биометрической аутентификации, который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации; промежуточное программное обеспечение биометрической аутентификации пересылает запрос локальной биометрической аутентификации на клиент биометрической аутентификации; клиент биометрической аутентификации осуществляет проверку биометрического признака на личности пользователя с использованием биометрических данных, и возвращает ответ локальной биометрической аутентификации, который включает в себя результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и промежуточное программное обеспечение биометрической аутентификации возвращает ответ локальной биометрической аутентификации на клиент услуги.
[0018] В случае успешного результата локальной проверки биометрического признака клиент услуги отправляет пакет ответа аутентификационной информации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации пересылает пакет ответа аутентификационной информации на клиент биометрической аутентификации; клиент биометрической аутентификации пересылает пакет ответа аутентификационной информации на детектор аутентификации личности; детектор аутентификации личности осуществляет проверку подписи на пакете ответа аутентификационной информации с использованием открытого ключа сервера, получает жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в последней успешной локальной биометрической проверке, от диспетчера жетонов и ключей после успешной проверки подписи, получает личный ключ услуги, соответствующий типу биометрической аутентификации, идентификатору виртуальной учетной записи в пакете ответа аутентификационной информации и жетону биометрического признака, из сохраненного соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и личным ключом услуги, инкапсулирует идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака в пакет запроса аутентификации, и возвращает пакет запроса аутентификации на клиент биометрической аутентификации после подписания пакета запроса аутентификации с использованием личного ключа услуги; клиент биометрической аутентификации возвращает пакет запроса аутентификации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает пакет запроса аутентификации на клиент услуги.
[0019] Клиент услуги отправляет пакет запроса аутентификации на сервер услуги, благодаря чему сервер услуги пересылает пакет запроса аутентификации на сервер аутентификации, и сервер аутентификации осуществляет аутентификацию личности на пользователе на основании зарегистрированного открытого ключа услуги и зарегистрированного жетона биометрического признака, соответствующих идентификатору виртуальной учетной записи, идентификатору устройства и типу биометрической аутентификации.
[0020] Настоящая заявка предусматривает способ аутентификации биометрической идентификации, применяемый к серверу аутентификации и включающий в себя следующее:
[0021] Прием пакет запроса аутентификационной информации пользовательского оборудования от сервера услуги, где пакет запроса аутентификационной информации включает в себя идентификатор устройства пользовательского оборудования; получение идентификатора виртуальной учетной записи, соответствующего идентификатору устройства, инкапсуляцию идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа аутентификационной информации, и отправку пакета ответа аутентификационной информации на сервер услуги после подписания пакета ответа аутентификационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа аутентификационной информации на пользовательское оборудование.
[0022] Принимают пакет запроса аутентификации пользовательского оборудования от сервера услуги и подписывают пакет запроса аутентификации с использованием открытого ключа услуги, где пакет запроса аутентификации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; и получают зарегистрированный открытый ключ услуги и зарегистрированный жетон биометрического признака, соответствующие идентификатору устройства, идентификатору виртуальной учетной записи и типу биометрической аутентификации, которые присутствуют в пакете запроса аутентификации.
[0023] Осуществление проверки подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги и осуществление аутентификации личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
[0024] Настоящая заявка дополнительно предусматривает устройство для регистрации биометрической идентификации, применяемое к пользовательскому оборудованию и включающее в себя следующее:
[0025] Клиент услуги, выполненный с возможностью отправки запроса информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, и приема ответа на информацию об устройстве, включающего в себя идентификатор устройства и возвращаемого промежуточным программным обеспечением биометрической аутентификации; отправки пакета запроса регистрационной информации, который включает в себя идентификатор учетной записи услуги, на сервер услуги, и приема пакета ответа регистрационной информации, возвращаемого сервером услуги, где пакет ответа регистрационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги и генерируемый сервером аутентификации после приема пакета запроса регистрационной информации, пересылаемого сервером услуги, и открытый ключ сервера, соответствующий личному ключу сервера; определения типа биометрической аутентификации пользователя, получения биометрических данных пользователя типа биометрической аутентификации, и отправки запроса локальной биометрической аутентификации который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации, и приема ответа локальной биометрической аутентификации, включающего в себя результат локальной биометрической проверки и возвращаемого промежуточным программным обеспечением биометрической аутентификации; в случае успешного результата локальной проверки биометрического признака, отправки пакета ответа регистрационной информации на промежуточное программное обеспечение биометрической аутентификации, приема пакета запроса регистрации, возвращаемого промежуточным программным обеспечением биометрической аутентификации, и подписания пакета запроса регистрации с использованием личного ключа устройства пользовательского оборудования, где пакет запроса регистрации включает в себя идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; отправки пакета запроса регистрации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса регистрации на сервер аутентификации, и после того как сервер центра биометрической аутентификации осуществляет проверку подписи на пакете запроса регистрации с использованием открытого ключа устройства пользовательского оборудования, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрического признака, жетоном биометрического признака и открытым ключом услуги, для осуществления аутентификации личности на учетной записи.
[0026] Промежуточное программное обеспечение биометрической аутентификации, выполненное с возможностью приема запроса информации об устройстве от клиента услуги, пересылки запроса информации об устройстве на клиент биометрической аутентификации, приема ответа на информацию об устройстве от клиента биометрической аутентификации, и пересылки ответа на информацию об устройстве на клиент услуги; приема запроса локальной биометрической аутентификации от клиента услуги, пересылки запроса локальной биометрической аутентификации на клиент биометрической аутентификации, приема ответа локальной биометрической аутентификации от клиента биометрической аутентификации, и пересылки ответа локальной биометрической аутентификации на клиент услуги; и приема пакета ответа регистрационной информации от клиента услуги, и пересылки пакета ответа регистрационной информации на клиент биометрической аутентификации, приема пакета запроса регистрации от клиента биометрической аутентификации, и пересылки пакета запроса регистрации на клиент услуги.
[0027] Клиент биометрической аутентификации, выполненный с возможностью приема запроса информации об устройстве от промежуточного программного обеспечения биометрической аутентификации, пересылки запроса информации об устройстве на детектор аутентификации личности, приема ответа на информацию об устройстве от детектора аутентификации личности, и пересылки ответа на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации; приема запроса локальной биометрической аутентификации от промежуточного программного обеспечения биометрической аутентификации, осуществления проверки биометрического признака на личности пользователя с использованием биометрических данных в запросе локальной биометрической аутентификации, и возвращения ответа локальной биометрической аутентификации который включает в себя результат проверки на промежуточное программное обеспечение биометрической аутентификации; и приема пакета ответа регистрационной информации от промежуточного программного обеспечения биометрической аутентификации, пересылки пакета ответа регистрационной информации на детектор аутентификации личности, приема пакета запроса регистрации от детектора аутентификации личности, и пересылки пакета запроса регистрации на промежуточное программное обеспечение биометрической аутентификации.
[0028] Детектор аутентификации личности, выполненный с возможностью получения информации об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства после приема запроса информации об устройстве, пересылаемого клиентом биометрической аутентификации, и возвращения ответа на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации; после приема пакета ответа регистрационной информации, пересылаемого клиентом биометрической аутентификации, осуществления проверки подписи на пакете ответа регистрационной информации с использованием открытого ключа сервера в пакете ответа регистрационной информации, получения жетона биометрического признака, соответствующего биометрическим данным, используемым пользователем в последней успешной локальной биометрической проверке, от диспетчера жетонов и ключей после успешной проверки подписи, генерирования соответствующего открытого ключа услуги и личного ключа услуги, сохранения соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрической аутентификации и личным ключом услуги, инкапсуляции идентификатора устройства, идентификатора виртуальной учетной записи, типа биометрической аутентификации, жетона биометрического признака и открытого ключа услуги в пакет запроса регистрации, и возвращения пакета запроса регистрации на клиент биометрической аутентификации после того как диспетчер жетонов и ключей подписывает пакет запроса регистрации с использованием личного ключа устройства пользовательского оборудования.
[0029] Диспетчер жетонов и ключей, выполненный с возможностью обеспечения детектора аутентификации личности жетоном биометрического признака, соответствующим биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки; и, после приема пакета запроса регистрации от детектора аутентификации личности, подписания пакета запроса регистрации с использованием сохраненного личного ключа устройства пользовательского оборудования и затем возврата пакета запроса регистрации на детектор аутентификации личности.
[0030] Настоящая заявка предусматривает устройство для регистрации биометрической идентификации, применяемое к серверу аутентификации и включающее в себя:
[0031] Блок ответа на регистрационную информацию, выполненный с возможностью приема пакета запроса регистрационной информации пользовательского оборудования от сервера услуги, где пакет запроса регистрационной информации включает в себя идентификатор учетной записи услуги, генерирования идентификатора виртуальной учетной записи, соответствующего идентификатору учетной записи услуги, инкапсуляции идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа регистрационной информации, и отправки пакета ответа регистрационной информации на сервер услуги после подписания пакета ответа регистрационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа регистрационной информации на пользовательское оборудование.
[0032] Блок приема запроса регистрации, выполненный с возможностью приема пакета запроса регистрации пользовательского оборудования от сервера услуги, и подписания пакета запроса регистрации с использованием ключа шифрования устройства пользовательского оборудования, где пакет запроса регистрации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; и отправки пакета запроса регистрации на сервер центра биометрической аутентификации, и приема результата проверки подписи, возвращаемого сервером центра биометрической аутентификации после осуществления проверки подписи на пакете запроса регистрации с использованием открытого ключа устройства, соответствующего идентификатору устройства.
[0033] Блок хранения регистрационной информации, выполненный с возможностью сохранения соответствия между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги после успешной проверки подписи на пакете запроса регистрации, для осуществления аутентификации личности на учетной записи.
[0034] Настоящая заявка предусматривает устройство для аутентификации биометрической идентификации, применяемое к пользовательскому оборудованию и включающее в себя:
[0035] Клиент услуги, выполненный с возможностью отправки запроса информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, и приема ответа на информацию об устройстве, включающего в себя идентификатор устройства и возвращаемого промежуточным программным обеспечением биометрической аутентификации; отправки пакета запроса аутентификационной информации, который включает в себя идентификатор устройства, на сервер услуги, и приема пакета ответа аутентификационной информации, возвращаемого сервером услуги, где пакет ответа аутентификационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, и полученный сервером аутентификации после приема пакета запроса аутентификационной информации, пересылаемого сервером услуги; получения биометрических данных типа биометрической аутентификации, используемого пользователем в ходе регистрации, отправки запроса локальной биометрической аутентификации который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации, и приема ответа локальной биометрической аутентификации, включающего в себя результат локальной биометрической проверки и возвращаемого промежуточным программным обеспечением биометрической аутентификации; в случае успешного результата локальной проверки биометрического признака, отправки пакета ответа аутентификационной информации на промежуточное программное обеспечение биометрической аутентификации, приема пакета запроса аутентификации, возвращаемого промежуточным программным обеспечением биометрической аутентификации, и подписания пакета запроса аутентификации с использованием личного ключа услуги, где пакет запроса аутентификации включает в себя идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; отправки пакета запроса аутентификации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса аутентификации на сервер аутентификации, и сервер аутентификации осуществляет аутентификацию личности на пользователе на основании зарегистрированного открытого ключа услуги и зарегистрированного жетона биометрического признака, соответствующих идентификатору виртуальной учетной записи, идентификатору устройства и типу биометрической аутентификации.
[0036] Промежуточное программное обеспечение биометрической аутентификации, выполненное с возможностью приема запроса информации об устройстве от клиента услуги, пересылки запроса информации об устройстве на клиент биометрической аутентификации, приема ответа на информацию об устройстве от клиента биометрической аутентификации, и пересылки ответа на информацию об устройстве на клиент услуги; приема запроса локальной биометрической аутентификации от клиента услуги, пересылки запроса локальной биометрической аутентификации на клиент биометрической аутентификации, приема ответа локальной биометрической аутентификации от клиента биометрической аутентификации, и пересылки ответа локальной биометрической аутентификации на клиент услуги; и приема пакета ответа аутентификационной информации от клиента услуги, пересылки пакета ответа аутентификационной информации на клиент биометрической аутентификации, приема пакета запроса аутентификации от клиента биометрической аутентификации, и пересылки пакета запроса аутентификации на клиент услуги.
[0037] Клиент биометрической аутентификации, выполненный с возможностью приема запроса информации об устройстве от промежуточного программного обеспечения биометрической аутентификации, пересылки запроса информации об устройстве на детектор аутентификации личности, приема ответа на информацию об устройстве от детектора аутентификации личности, и пересылки ответа на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации; приема запроса локальной биометрической аутентификации от промежуточного программного обеспечения биометрической аутентификации, осуществления проверки биометрического признака на личности пользователя с использованием биометрических данных в запросе локальной биометрической аутентификации, и возвращения ответа локальной биометрической аутентификации который включает в себя результат проверки на промежуточное программное обеспечение биометрической аутентификации; и приема пакета ответа аутентификационной информации от промежуточного программного обеспечения биометрической аутентификации, пересылки пакета ответа аутентификационной информации на детектор аутентификации личности, приема пакета запроса аутентификации от детектора аутентификации личности, и пересылки пакета запроса аутентификации на промежуточное программное обеспечение биометрической аутентификации.
[0038] Детектор аутентификации личности, выполненный с возможностью получения информации об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства после приема запроса информации об устройстве, пересылаемого клиентом биометрической аутентификации, и возвращения ответа на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации; после приема пакета ответа аутентификационной информации, пересылаемого клиентом биометрической аутентификации, осуществления проверки подписи на пакете ответа аутентификационной информации с использованием открытого ключа сервера в пакете ответа аутентификационной информации, получения жетона биометрического признака, соответствующего биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки от диспетчера жетонов и ключей после успешной проверки подписи, получения личного ключа услуги, соответствующего типу биометрической аутентификации, идентификатору виртуальной учетной записи в пакете ответа аутентификационной информации и жетону биометрического признака, из сохраненного соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и личным ключом услуги, инкапсуляции идентификатора устройства, идентификатора виртуальной учетной записи, типа биометрической аутентификации и жетона биометрического признака в пакет запроса аутентификации, и возврата пакета запроса аутентификации на клиент биометрической аутентификации после подписания пакета запроса аутентификации с использованием личного ключа услуги.
[0039] Диспетчер жетонов и ключей, выполненный с возможностью обеспечения детектора аутентификации личности жетоном биометрического признака, соответствующим биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки.
[0040] Настоящая заявка предусматривает устройство для аутентификации биометрической идентификации, применяемое к серверу аутентификации и включающее в себя:
[0041] Блок ответа аутентификационной информации, выполненный с возможностью приема пакета запроса аутентификационной информации пользовательского оборудования от сервера услуги, где пакет запроса аутентификационной информации включает в себя идентификатор устройства пользовательского оборудования; получения идентификатора виртуальной учетной записи, соответствующего идентификатору устройства, инкапсуляции идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа аутентификационной информации, и отправки пакета ответа аутентификационной информации на сервер услуги после подписания пакета ответа аутентификационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа аутентификационной информации на пользовательское оборудование.
[0042] Блок приема запроса аутентификации, выполненный с возможностью приема пакета запроса аутентификации пользовательского оборудования от сервера услуги, и подписания пакета запроса аутентификации с использованием открытого ключа услуги, где пакет запроса аутентификации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; и получения зарегистрированного жетона биометрического признака и зарегистрированного открытого ключа услуги, соответствующих идентификатору устройства, идентификатору виртуальной учетной записи и типу биометрической аутентификации, которые присутствуют в пакете запроса аутентификации.
[0043] Блок проверки подписи и аутентификации, выполненный с возможностью осуществления проверки подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществления аутентификации личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
[0044] Из предыдущих технических решений можно видеть, что в реализациях настоящей заявки, в ходе регистрации личности, открытый ключ сервера и личный ключ сервера используются для проверки сервера услуги. Личный ключ устройства, заранее сохраненный на пользовательском оборудовании, и открытый ключ устройства, заранее сохраненный на сервере, используются для проверки надежности пользовательского оборудования, что позволяет пользовательское оборудование безопасно регистрировать соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги на сервер аутентификации, что повышает безопасность регистрации личности. в ходе аутентификации личности, открытый ключ сервера и личный ключ сервера используются для проверки сервера услуги, личный ключ услуги и зарегистрированный открытый ключ услуги используются для проверки пользовательского оборудования, и пользовательскому оборудованию нужно обеспечивать идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака, совпадающие с зарегистрированной информацией, чтобы пройти аутентификацию, что значительно повышает безопасность аутентификации личности.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0045] Фиг. 1 - схема, демонстрирующая сетевую структуру сценария применения, согласно реализации настоящей заявки;
[0046] фиг. 2 - блок-схема операций, демонстрирующая способ регистрации биометрической идентификации, который применяется к пользовательскому оборудованию, согласно реализации 1 настоящей заявки;
[0047] фиг. 3 - блок-схема операций, демонстрирующая способ регистрации биометрической идентификации, который применяется к серверу аутентификации, согласно реализации 1 настоящей заявки;
[0048] фиг. 4 - схема взаимодействия, демонстрирующая регистрация личности между пользовательским оборудованием, сервером услуги, сервером аутентификации и сервером центра биометрической аутентификации, согласно реализации 1 настоящей заявки;
[0049] фиг. 5 - блок-схема операций, демонстрирующая способ аутентификации биометрической идентификации, который применяется к пользовательскому оборудованию, согласно реализации 2 настоящей заявки;
[0050] фиг. 6 - блок-схема операций, демонстрирующая способ аутентификации биометрической идентификации, который применяется к серверу аутентификации, согласно реализации 2 настоящей заявки;
[0051] фиг. 7 - схема взаимодействия, демонстрирующая аутентификация личности между пользовательским оборудованием сервером услуги и сервером аутентификации, согласно реализации 2 настоящей заявки;
[0052] фиг. 8 - схема, демонстрирующая аппаратную структуру пользовательского оборудования или сервера аутентификации;
[0053] фиг. 9 - схема, демонстрирующая логическую структуру устройства для регистрации биометрической идентификации, которое применяется к пользовательскому оборудованию, или устройства для аутентификации биометрической идентификации, которое применяется к пользовательскому оборудованию, согласно реализации 1 настоящей заявки;
[0054] фиг. 10 - схема, демонстрирующая логическую структуру устройства для регистрации биометрической идентификации, которое применяется к серверу аутентификации, согласно реализации 1 настоящей заявки; и
[0055] фиг. 11 - схема, демонстрирующая логическую структуру устройства для аутентификации биометрической идентификации, которое применяется к серверу аутентификации, согласно реализации 1 настоящей заявки.
ОПИСАНИЕ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ
[0056] В приложении биометрической идентификации на основе пользовательского оборудования биометрические данные пользователя собираются пользовательским оборудованием, и биометрическая идентификация может осуществляться на пользовательском оборудовании или сервере. Поскольку при выгрузке на сервер данных изображения или видео обычно расходуется большой объем трафика, в реализациях настоящей заявки биометрическая идентификация осуществляется на пользовательском оборудовании.
[0057] Сетевая структура сценария применения реализации настоящей заявки показана на фиг. 1. Пользовательское оборудование и сервер услуги, и сервер услуги и сервер аутентификации могут осуществлять доступ друг к другу с использованием сети связи. Пользовательское оборудование представляет собой оконечное устройство, имеющее функцию идентификации биометрических признаков, и может представлять собой, например, мобильный телефон, планшетный компьютер, персональный компьютер (PC) или ноутбук. Сервер услуги используется для приема запроса услуга (включающего в себя запросы регистрации и аутентификации), инициированные пользователем с использованием пользовательского оборудования, и отправки соответствующего ответа на пользовательское оборудование. Сервер аутентификации используется для аутентификации идентичности учетной записи пользователя. Сервер услуги или сервер аутентификации может быть физическим или логическим сервером, или двумя или более физическими или логическими серверами, которые играют разные роли в совместной реализации функции сервера услуги или сервера аутентификации в реализации настоящей заявки. В реализации настоящей заявки, типы пользовательского оборудования, сервер услуги и сервер аутентификации, и типы или протоколы сетей связи между пользовательским оборудованием и сервером услуги, и между сервером услуги и сервером аутентификации не ограничиваются.
[0058] Реализация 1 настоящей заявки описывает способ регистрации биометрической идентификации. Процесс применения способа к пользовательскому оборудованию показан на фиг. 2, и процесс применения способа к серверу аутентификации показан на фиг. 3.
[0059] В реализации настоящей заявки на пользовательском оборудовании действуют следующие модули: клиент услуги, промежуточное программное обеспечение биометрической аутентификации, клиент биометрической аутентификации, детектор аутентификации личности и диспетчер жетонов и ключей. Функциональные модули могут быть отдельным программным обеспечением, компонентом отдельного программного обеспечения, или комбинацией программного обеспечения и оборудования. Детальные реализации не ограничиваются в реализации настоящей заявки.
[0060] В реализации настоящей заявки пользовательское оборудование сохраняет личный ключ устройства, который сохраняется и используется диспетчером жетонов и ключей. Сервер центра биометрической аутентификации может получать соответствие между идентификатором устройства пользовательского оборудования и открытым ключом устройства пользовательского оборудования локально или из другого доступного сетевого хранилища. Личный ключ устройства пользовательского оборудования соответствует его открытому ключу устройства. Сервер аутентификации может осуществлять доступ к серверу центра биометрической аутентификации с использованием сети. Личный ключ устройства может заранее сохраняться на пользовательском оборудовании до доставки с фабрики; или пользовательское оборудование, сервер центра биометрической аутентификации или другой сетевой узел генерирует личный ключ устройства и соответствующий открытый ключ устройства, и по отдельности отправляет их на пользовательское оборудование и сервер центра биометрической аутентификации для хранения. Это не имеет ограничений в реализации настоящей заявки.
[0061] На пользовательском оборудовании на этапе 210 клиент услуги отправляет запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает запрос информации об устройстве на клиент биометрической аутентификации, клиент биометрической аутентификации пересылает запрос информации об устройстве на детектор аутентификации личности, детектор аутентификации личности получает информацию об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства, и возвращает ответ на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации, клиент биометрической аутентификации возвращает ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ на информацию об устройстве на клиент услуги.
[0062] Когда пользователь инициирует процесс регистрации биометрической идентификации на клиенте услуги пользовательского оборудования, клиент услуги инициирует запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает запрос информации об устройстве на клиент биометрической аутентификации, и клиент биометрической аутентификации пересылает запрос информации об устройстве на детектор аутентификации личности.
[0063] Информация об устройстве пользовательского оборудования, полученная детектором аутентификации личности, включает в себя идентификатор устройства, модель устройства, производителя и т.д. Аппаратный идентификатор пользовательского оборудования может использоваться как идентификатор устройства, например, универсальный уникальный идентификатор (UUID), адрес управления доступом к среде (MAC) или адрес Bluetooth пользовательского оборудования.
[0064] Детектор аутентификации личности возвращает ответ на информацию об устройстве, который включает в себя полученную информацию об устройстве, на клиент биометрической аутентификации, клиент биометрической аутентификации возвращает ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ на информацию об устройстве на клиент услуги.
[0065] На пользовательском оборудовании на этапе 220 клиент услуги отправляет пакет запроса регистрационной информации, включающий в себя идентификатор учетной записи услуги на сервер услуги, и принимает пакет ответа регистрационной информации, возвращаемый сервером услуги, где пакет ответа регистрационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя открытый ключ сервера, соответствующий личному ключу сервера, иa идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги и генерируемый сервером аутентификации после приема пакета запроса регистрационной информации, пересылаемого сервером услуги.
[0066] На сервере аутентификации на этапе 310 принимают пакет запроса регистрационной информации пользовательского оборудования от сервера услуги, где пакет запроса регистрационной информации включает в себя идентификатор учетной записи услуги; генерируют идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги, и инкапсулируют идентификатор виртуальной учетной записи и открытый ключ сервера в пакет ответа регистрационной информации, и отправляют пакет ответа регистрационной информации на сервер услуги после подписания пакета ответа регистрационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа регистрационной информации на пользовательское оборудование.
[0067] Клиент услуги пользовательского оборудования отправляет пакет запроса регистрационной информации на сервер услуги, и пакет запроса регистрационной информации включает в себя идентификатор учетной записи услуги. Идентификатор учетной записи услуги является уникальной информацией о сервере услуги, используемой для регистрации идентичности учетной записи пользователя. Например, идентификатором учетной записи услуги может быть имя или номер учетной записи пользователя в системе обслуживания. Пакет запроса регистрационной информации может дополнительно включать в себя идентификатор устройства пользовательского оборудования. Сервер услуги пересылает пакет запроса регистрационной информации на сервер аутентификации.
[0068] Сервер аутентификации может предоставлять услугу аутентификации для различных систем обслуживания, которые имеют соответствующие учетные записи услуги. Чтобы сервер аутентификации не испытывал затруднений в различении между разными учетными записями пользователей, когда идентификаторы учетной записи услуги систем обслуживания повторяются, сервер аутентификации генерирует идентификатор виртуальной учетной записи, соответствующий учетной записи услуги (а именно, соответствующий учетной записи услуги в системе обслуживания) после приема пакета запроса регистрационной информации. Идентификатор виртуальной учетной записи однозначно соответствует учетной записи услуги системы обслуживания на сервере аутентификации. Способ генерирования идентификатора виртуальной учетной записи не имеет ограничений в реализации настоящей заявки. Например, идентификатор системы обслуживания и идентификатор учетной записи услуги пользователя в системе обслуживания могут использоваться как идентификатор виртуальной учетной записи. В порядке другого примера, индекс учетной записи пользователя системы обслуживания, зарегистрированный в базе данных сервера аутентификации, может использоваться как идентификатор виртуальной учетной записи.
[0069] Следует отметить, что, если способ генерирования идентификатора виртуальной учетной записи не может гарантировать, что один и тот же идентификатор виртуальной учетной записи генерируется для одинаковых учетных записей услуги одной и той же системы обслуживания, сервер аутентификации должен сохранять соответствие между генерируемым идентификатором виртуальной учетной записи и учетной записью услуги системы обслуживания (или сохранять соответствие между идентификатором виртуальной учетной записи и идентификатором устройства), для выделения одного и того же идентификатора виртуальной учетной записи в процессе регистрации одной и той же учетной записи пользователя одной и той же системы обслуживания в последующем процессе аутентификации личности.
[0070] Сервер аутентификации заранее сохраняет личный ключ сервера и соответствующий открытый ключ сервера. После генерирования идентификатора виртуальной учетной записи сервер аутентификации инкапсулирует идентификатор виртуальной учетной записи и открытый ключ сервера в пакет ответа регистрационной информации, и отправляет пакет ответа регистрационной информации на сервер услуги после подписания пакета ответа регистрационной информации с использованием личного ключа сервера. Сервер услуги пересылает пакет ответа регистрационной информации на клиент услуги пользовательского оборудования.
[0071] На пользовательском оборудовании на этапе 230 клиент услуги определяет тип биометрической аутентификации пользователя, получает биометрические данные пользователя типа биометрической аутентификации, и отправляет запрос локальной биометрической аутентификации, который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации; промежуточное программное обеспечение биометрической аутентификации пересылает запрос локальной биометрической аутентификации на клиент биометрической аутентификации; клиент биометрической аутентификации осуществляет проверку биометрического признака на личности пользователя с использованием биометрических данных и возвращает ответ локальной биометрической аутентификации, который включает в себя результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и промежуточное программное обеспечение биометрической аутентификации возвращает ответ локальной биометрической аутентификации на клиент услуги.
[0072] Клиент услуги определяет тип биометрической аутентификации, используемый пользователем в ходе аутентификации личности в системе обслуживания, и просит пользователя обеспечить биометрические данные этого типа. Клиент услуги может выбирать один из типов биометрической аутентификации, поддерживаемых пользовательским оборудованием (то есть пользовательское оборудование имеет функцию идентификации биометрических признаков) на основании заранее определенного приоритета; или может представлять несколько типов биометрической аутентификации, поддерживаемых пользовательским оборудованием и принятых системой обслуживания пользователю для выбора. Это не имеет ограничений в реализации настоящей заявки. Тип биометрической аутентификации может быть отпечатком пальца, голосом, радужной оболочкой, лицом и т.д.
[0073] Биометрические данные пользователя могут быть любым конкретным объектом, который пользовательское оборудование может идентифицировать в типе биометрической аутентификации, определенном клиентом услуги. Например, биометрические данные могут быть отпечатком любого пальца, могут быть радужной оболочкой любого глаза.
[0074] После получения биометрических данных определенного типа биометрической аутентификации клиент услуги отправляет запрос локальной биометрической аутентификации, включающий в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации пересылает запрос локальной биометрической аутентификации на клиент биометрической аутентификации.
[0075] Клиент биометрической аутентификации осуществляет проверку биометрического признака на личности пользователя с использованием биометрических данных. В отношении деталей способа проверки биометрического признака можно обратиться к способу идентификации биометрических признаков пользовательского оборудования в существующих технологиях. Например, биометрические данные можно сравнивать с локально заранее сохраненными выборочными данными пользовательского оборудования; если степень совпадения совпадает с некоторыми заранее определенными условиями, проверка биометрического признака увенчивается успехом. По завершении проверки клиент биометрической аутентификации возвращает ответ локальной биометрической аутентификации, включающий в себя результат проверки, указывающий, увенчалась ли проверка успехом, на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ локальной биометрической аутентификации на клиент услуги.
[0076] На пользовательском оборудовании на этапе 240 в случае успешного результата локальной проверки биометрического признака, клиент услуги отправляет пакет ответа регистрационной информации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации пересылает пакет ответа регистрационной информации на клиент биометрической аутентификации. клиент биометрической аутентификации пересылает пакет ответа регистрационной информации на детектор аутентификации личности. Кроме того, детектор аутентификации личности осуществляет проверку подписи на пакете ответа регистрационной информации с использованием открытого ключа сервера, и получает жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки, от диспетчера жетонов и ключей после успешной проверки подписи, для генерации соответствующего открытого ключа услуги и личного ключа услуги, и сохраняет соответствие между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрической аутентификации и личным ключом услуги. Детектор аутентификации личности инкапсулирует идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги в пакет запроса регистрации, и возвращает пакет запроса регистрации на клиент биометрической аутентификации после того как диспетчер жетонов и ключей подписывает пакет запроса регистрации с использованием личного ключа устройства пользовательского оборудования. клиент биометрической аутентификации возвращает пакет запроса регистрации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает пакет запроса регистрации на клиент услуги.
[0077] Клиент услуги извлекает результат локальной проверки биометрического признака из ответа локальной биометрической аутентификации, возвращаемого промежуточным программным обеспечением биометрической аутентификации. Если результат указывает неудачу, процесс регистрации личности терпит неудачу. Когда результат локальной проверки биометрического признака указывает успех, клиент услуги отправляет пакет ответа регистрационной информации на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает пакет ответа регистрационной информации на клиент биометрической аутентификации, и клиент биометрической аутентификации пересылает пакет ответа регистрационной информации на детектор аутентификации личности.
[0078] Детектор аутентификации личности извлекает открытый ключ сервера из пакета ответа регистрационной информации и осуществляет проверку подписи на пакете ответа регистрационной информации с использованием открытого ключа сервера. Если проверка подписи терпит неудачу, это указывает, что пакет ответа регистрационной информации, возможно, получен от ненадежного сервера аутентификации, и процесс регистрации терпит неудачу. После успешной проверки подписи, детектор аутентификации личности запрашивает жетон биометрического признака от диспетчера жетонов и ключей. Диспетчер жетонов и ключей возвращает жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в ходе последний локальная проверка биометрического признака (а именно, биометрические данные, полученные клиентом услуги при осуществлении локальной проверки биометрического признака на этапе 230) на детектор аутентификации личности.
[0079] Жетон биометрического признака является характеристической величиной или значением индекса пользовательского оборудования, которое однозначно соответствует выборочным данным, используемым для проверки биометрических данных. Таким образом, отпечатки пальцев пользователя соответствуют разным жетонам биометрических признаков, и лицо соответствует еще одному жетону биометрического признака. Каждый раз, когда пользователь использует большой палец для осуществления проверки биометрического признака, выборочные данные отпечатка большого пальца используются для проверки данных отпечатка большого пальца, собранных пользовательским оборудованием. Таким образом, данные отпечатка большого пальца соответствует одному и тому же жетону биометрического признака. Форма жетона биометрического признака и конкретный способ генерирования жетона биометрического признака не ограничиваются в настоящей заявке. Например, жетон биометрического признака может представлять собой сводку информации, полученную путем применения алгоритма составления сводки к выборочным данным или части выборочных данных, или может представлять собой случайное число, соответствующее выборочным данным.
[0080] Детектор аутентификации личности генерирует открытый ключ услуги и личный ключ услуги, которые соответствуют друг другу, и сохраняет соответствие между идентификатором виртуальной учетной записи в пакете ответа регистрационной информации, тип биометрической аутентификации, используемый пользователем в ходе последней успешной локальной биометрической проверки, жетон биометрического признака, возвращаемый диспетчером жетонов и ключей, и генерируемый личный ключ услуги. Детектор аутентификации личности инкапсулирует идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги в пакет запроса регистрации, и отправляет пакет запроса регистрации на диспетчер жетонов и ключей. Диспетчер жетонов и ключей считывает сохраненный личный ключ устройства пользовательского оборудования, и возвращает пакет запроса регистрации на клиент биометрической аутентификации после подписания пакета запроса регистрации с использованием личного ключа устройства.
[0081] Клиент биометрической аутентификации возвращает пакет запроса регистрации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает пакет запроса регистрации на клиент услуги.
[0082] На пользовательском оборудовании на этапе 250 клиент услуги отправляет пакет запроса регистрации на сервер услуги, и сервер услуги пересылает пакет запроса регистрации на сервер аутентификации, благодаря чему, после того как сервер центра биометрической аутентификации осуществляет проверку подписи на пакете запроса регистрации с использованием открытого ключа устройства пользовательского оборудования, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги, для осуществления аутентификации личности на учетной записи пользователя.
[0083] На сервере аутентификации на этапе 320 принимают пакет запроса регистрации пользовательского оборудования от сервера услуги, и подписывают пакет запроса регистрации с использованием ключа шифрования устройства пользовательского оборудования, где пакет запроса регистрации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; и отправляют пакет запроса регистрации на сервер центра биометрической аутентификации, и принимают результат проверки подписи, возвращаемый сервером центра биометрической аутентификации после осуществления проверки подписи на пакете запроса регистрации с использованием открытого ключа устройства, соответствующего идентификатору устройства.
[0084] На сервере аутентификации на этапе 330 сохраняют соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги после успешной проверки подписи на пакете запроса регистрации, для осуществления аутентификации личности на учетной записи пользователя.
[0085] Клиент услуги отправляет пакет запроса регистрации, возвращаемый промежуточным программным обеспечением биометрической аутентификации на сервер услуги. Сервер услуги пересылает пакет запроса регистрации на сервер аутентификации.
[0086] Сервер аутентификации отправляет пакет запроса регистрации на сервер центра биометрической аутентификации. Сервер центра биометрической аутентификации извлекает идентификатор устройства из принятого пакета запроса регистрации, осуществляет поиск в доступном сетевом хранилище открытый ключ устройства, соответствующий идентификатору устройства, осуществляет проверку подписи на пакете запроса регистрации с использованием открытого ключа устройства, и отправляет результат проверки подписи на сервер аутентификации.
[0087] Если проверка подписи терпит неудачу, сервер аутентификации отклоняет запрос регистрации и информирует сервер услуги, и сервер услуги извещает клиент услуги о неудачном результате регистрации. Если проверка подписи увенчивается успехом, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги в пакете запроса регистрации.
[0088] Сервер аутентификации может возвращать пакет ответа регистрации, указывающий успешную регистрацию, на сервер услуги, и сервер услуги извещает клиент услуги пользовательского оборудования об успешной регистрации. Сервер аутентификации может добавлять идентификатор виртуальной учетной записи и тип биометрической аутентификации в соответствии, и идентификатор учетной записи услуги, соответствующий идентификатору виртуальной учетной записи, в пакет ответа регистрации, и сервер услуги сохраняет соответствие между идентификатором учетной записи услуги, идентификатором виртуальной учетной записи и типом биометрической аутентификации в пакете ответа регистрации.
[0089] В реализации после приема пакета запроса регистрационной информации сервер аутентификации может генерировать идентификатор виртуальной учетной записи и проверочный код регистрации виртуальной учетной записи. Способ генерирования проверочного кода регистрации может предусматривать использование различные алгоритмы генерации одноразовых паролей. Это не имеет ограничений в реализации. Сервер аутентификации инкапсулирует идентификатор виртуальной учетной записи, открытый ключ сервера и генерируемый проверочный код регистрации в пакет ответа регистрационной информации, отправляет пакет ответа регистрационной информации на сервер услуги, и начинает отсчет времени. При генерации пакета запроса регистрации, детектор аутентификации личности пользовательского оборудования также инкапсулирует проверочный код регистрации в пакете ответа регистрационной информации в пакет запроса регистрации. Сервер аутентификации принимает пакет запроса регистрации, пересылаемый сервером услуги, сравнивает проверочный код регистрации в пакете запроса регистрации с проверочным кодом регистрации, генерируемым для виртуальной учетной записи в пакете запроса регистрации, и получает разницу во времени между отправкой пакета ответа регистрационной информации и приемом пакета запроса регистрации. Если два проверочных кода регистрации отличаются или разница во времени превышает первую заранее определенную длительность, сервер аутентификации отклоняет запрос регистрации и информирует сервер услуги, и сервер услуги извещает клиент услуги о неудачном результате регистрации. Если два проверочных кода регистрации одинаковы, и разница во времени не превышает первая заранее определенную длительность, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги в пакете запроса регистрации.
[0090] В реализации, включающей в себя проверочный код регистрации, процесс взаимодействия между различными функциональными модулями пользовательского оборудования, сервером услуги, сервером аутентификации и сервером центра биометрической аутентификации, показан на фиг. 4.
[0091] В реализации 1 настоящей заявки личный ключ устройства и открытый ключ устройства, заранее сохраненные на пользовательском оборудовании, используются, чтобы гарантировать, что пользовательское оборудование является надежным устройством. Открытый ключ сервера и личный ключ сервера используются для проверки надежности сервера услуги. Таким образом, соответствие между идентификатором устройства пользовательского оборудования, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги можно безопасно регистрировать на сервере аутентификации для последующей аутентификации личности, что повышает безопасность регистрации личности.
[0092] Реализация 2 настоящей заявки описывает способ аутентификации биометрической идентификации. Процесс применения способа к пользовательскому оборудованию показан на фиг. 5, и процесс применения способа к серверу аутентификации показан на фиг. 6. Процесс аутентификации личности в реализации 2 использует то же техническое средство, что и процесс регистрации личности в реализации 1. Ниже описано только различие между реализацией 2 и реализацией 1. Для одного и того же содержания следует обратиться к реализации 1. Для простоты подробности здесь опущены.
[0093] На пользовательском оборудовании на этапе 510 клиент услуги отправляет запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает запрос информации об устройстве на клиент биометрической аутентификации, клиент биометрической аутентификации пересылает запрос информации об устройстве на детектор аутентификации личности, детектор аутентификации личности получает информацию об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства, и возвращает ответ на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации, клиент биометрической аутентификации возвращает ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ на информацию об устройстве на клиент услуги.
[0094] Когда пользователь инициирует процесс аутентификации биометрической идентификации на клиенте услуги пользовательского оборудования, клиент услуги инициирует запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает запрос информации об устройстве на клиент биометрической аутентификации, и клиент биометрической аутентификации пересылает запрос информации об устройстве на детектор аутентификации личности.
[0095] Информация об устройстве пользовательского оборудования, полученная детектором аутентификации личности, включает в себя идентификатор устройства, модель устройства, производителя и т.д. Детектор аутентификации личности возвращает ответ на информацию об устройстве, который включает в себя полученную информацию об устройстве, на клиент биометрической аутентификации, клиент биометрической аутентификации возвращает ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ на информацию об устройстве на клиент услуги.
[0096] на пользовательском оборудовании на этапе 520 клиент услуги отправляет пакет запроса аутентификационной информации, включающий в себя идентификатор устройства, на сервер услуги, и принимает пакет ответа аутентификационной информации, возвращаемый сервером услуги, где пакет ответа аутентификационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, и полученный сервером аутентификации после приема пакета запроса аутентификационной информации, пересылаемого сервером услуги.
[0097] На сервере аутентификации на этапе 610 принимают пакет запроса аутентификационной информации пользовательского оборудования от сервера услуги, где пакет запроса аутентификационной информации включает в себя идентификатор устройства пользовательского оборудования; и получают идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, инкапсулируют идентификатор виртуальной учетной записи и открытый ключ сервера в пакет ответа аутентификационной информации, и отправляют пакет ответа аутентификационной информации на сервер услуги после подписания пакета ответа аутентификационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа аутентификационной информации на пользовательское оборудование.
[0098] Клиент услуги пользовательского оборудования отправляет пакет запроса аутентификационной информации на сервер услуги, и пакет запроса аутентификационной информации включает в себя идентификатор устройства пользовательского оборудования. Пакет запроса аутентификационной информации может дополнительно включать в себя идентификатор учетной записи услуги пользователя. Сервер услуги пересылает пакет запроса аутентификационной информации на сервер аутентификации.
[0099] В процессе регистрации личности реализации 1 сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги локально или в другом доступном сетевом хранилище. Сохраненные идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги представляют собой зарегистрированный идентификатор устройства, зарегистрированный идентификатор виртуальной учетной записи, зарегистрированный тип биометрической аутентификации, зарегистрированный жетон биометрического признака и зарегистрированный открытый ключ услуги в реализации 2.
[0100] После приема пакета запроса аутентификации пересылаемый сервером услуги, сервер аутентификации извлекает идентификатор устройства пользовательского оборудования, ищет зарегистрированный идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, инкапсулирует найденный идентификатор виртуальной учетной записи и открытый ключ сервера в пакет ответа аутентификационной информации, и отправляет пакет ответа аутентификационной информации на сервер услуги после подписания пакета ответа аутентификационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера. Сервер услуги пересылает пакет ответа аутентификационной информации на пользовательское оборудование.
[0101] На пользовательском оборудовании на этапе 530 Клиент услуги получает биометрические данные типа биометрической аутентификации, используемого пользователем в ходе регистрации, и отправляет запрос локальной биометрической аутентификации, который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации; промежуточное программное обеспечение биометрической аутентификации пересылает запрос локальной биометрической аутентификации на клиент биометрической аутентификации; клиент биометрической аутентификации осуществляет проверку биометрического признака на личности пользователя с использованием биометрических данных, и возвращает ответ локальной биометрической аутентификации, который включает в себя результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и промежуточное программное обеспечение биометрической аутентификации возвращает ответ локальной биометрической аутентификации на клиент услуги.
[0102] На основании тип биометрической аутентификации, определенный в процессе регистрации личности, клиент услуги запросы и получает биометрические данные типа биометрической аутентификации, обеспеченные пользователем. Клиент услуги инкапсулирует биометрические данные пользователя в запрос локальной биометрической аутентификации, и отправляет запрос локальной биометрической аутентификации на промежуточное программное обеспечение биометрической аутентификации; промежуточное программное обеспечение биометрической аутентификации отправляет запрос локальной биометрической аутентификации на клиент биометрической аутентификации.
[0103] Клиент биометрической аутентификации осуществляет проверку биометрического признака на личности пользователя с использованием биометрических данных в запросе биометрической аутентификации. По завершении проверки, клиент биометрической аутентификации возвращает ответ локальной биометрической аутентификации, включающий в себя результат проверки, указывающий, увенчалась ли проверка успехом, на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает ответ локальной биометрической аутентификации на клиент услуги.
[0104] На пользовательском оборудовании на этапе 540 в случае успешного результата локальной проверки биометрического признака, клиент услуги отправляет пакет ответа аутентификационной информации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации пересылает пакет ответа аутентификационной информации на клиент биометрической аутентификации, клиент биометрической аутентификации пересылает пакет ответа аутентификационной информации на детектор аутентификации личности. Детектор аутентификации личности осуществляет проверку подписи на пакете ответа аутентификационной информации с использованием открытого ключа сервера, получает жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в последней успешной локальной биометрической проверке, от диспетчера жетонов и ключей после успешной проверки подписи, получает личный ключ услуги, соответствующий типу биометрической аутентификации, идентификатору виртуальной учетной записи в пакете ответа аутентификационной информации и жетону биометрического признака, из сохраненного соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и личным ключом услуги, инкапсулирует идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака в пакет запроса аутентификации, и возвращает пакет запроса аутентификации на клиент биометрической аутентификации после подписания пакета запроса аутентификации с использованием личного ключа услуги. Клиент биометрической аутентификации возвращает пакет запроса аутентификации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает пакет запроса аутентификации на клиент услуги.
[0105] Клиент услуги извлекает результат локальной проверки биометрического признака из ответа локальной биометрической аутентификации, возвращаемого промежуточным программным обеспечением биометрической аутентификации. Если результат указывает неудачу, процесс аутентификации личности терпит неудачу. Когда результат локальной проверки биометрического признака указывает успех, клиент услуги отправляет пакет ответа аутентификационной информации на промежуточное программное обеспечение биометрической аутентификации, промежуточное программное обеспечение биометрической аутентификации пересылает пакет ответа аутентификационной информации на клиент биометрической аутентификации, и клиент биометрической аутентификации пересылает пакет ответа аутентификационной информации на детектор аутентификации личности.
[0106] Детектор аутентификации личности извлекает открытый ключ сервера из пакета ответа аутентификационной информации, и осуществляет проверку подписи на пакете ответа аутентификационной информации с использованием открытого ключа сервера. Если проверка подписи терпит неудачу, это указывает, что пакет ответа аутентификационной информации, возможно, получен от ненадежного сервера аутентификации, и процесс аутентификации терпит неудачу. После успешной проверки подписи, детектор аутентификации личности запрашивает жетон биометрического признака от диспетчера жетонов и ключей. Диспетчер жетонов и ключей возвращает жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в ходе последний локальная проверка биометрического признака (а именно, биометрические данные, полученные клиентом услуги при осуществлении локальной проверки биометрического признака на этапе 530) на детектор аутентификации личности.
[0107] Детектор аутентификации личности инкапсулирует идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, извлеченный из пакета ответа аутентификационной информации, тип биометрической аутентификации, используемый в ходе последней успешной локальной проверки биометрического признака, и жетон биометрического признака, возвращаемый диспетчером жетонов и ключей в пакет запроса аутентификации. Детектор аутентификации личности находит личный ключ услуги, соответствующий типу биометрической аутентификации, используемый в ходе последней успешной локальной проверки биометрического признака, идентификатор виртуальной учетной записи в пакете ответа аутентификационной информации, и жетон биометрического признака, возвращаемый диспетчером жетонов и ключей из соответствия между сохраненным идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и личным ключом услуги, и возвращает пакет запроса аутентификации на клиент биометрической аутентификации после подписания пакета запроса аутентификации с использованием личного ключа услуги.
[0108] Клиент биометрической аутентификации возвращает пакет запроса аутентификации на промежуточное программное обеспечение биометрической аутентификации, и промежуточное программное обеспечение биометрической аутентификации возвращает пакет запроса аутентификации на клиент услуги.
[0109] На пользовательском оборудовании на этапе 550 клиент услуги отправляет пакет запроса аутентификации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса аутентификации на сервер аутентификации, и сервер аутентификации осуществляет аутентификацию личности на пользователе на основании зарегистрированного открытого ключа услуги и зарегистрированного жетона биометрического признака, соответствующих идентификатору виртуальной учетной записи, идентификатору устройства и типу биометрической аутентификации.
[0110] На сервере аутентификации на этапе 620 принимают пакет запроса аутентификации пользовательского оборудования от сервера услуги, и подписания пакета запроса аутентификации с использованием открытого ключа услуги, где пакет запроса аутентификации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; и получают зарегистрированный открытый ключ услуги и зарегистрированный жетон биометрического признака, соответствующий идентификатору устройства, идентификатору виртуальной учетной записи и типу биометрической аутентификации в пакете запроса аутентификации.
[0111] На сервере аутентификации на этапе 630 осуществляют проверку подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществляют аутентификацию личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
[0112] Клиент услуги отправляет пакет запроса аутентификации, возвращаемый промежуточным программным обеспечением биометрической аутентификации на сервер услуги. Сервер услуги пересылает пакет запроса аутентификации на сервер аутентификации. Сервер аутентификации ищет зарегистрированный открытый ключ услуги и зарегистрированный жетон биометрического признака, соответствующие идентификатору виртуальной учетной записи, идентификатору устройства и типу биометрической аутентификации в пакете запроса аутентификации, из сохраненного соответствия между зарегистрированным идентификатором устройства, зарегистрированным идентификатором виртуальной учетной записи, зарегистрированным типом биометрической аутентификации, зарегистрированным жетоном биометрического признака и зарегистрированным открытым ключом услуги.
[0113] Сервер аутентификации сравнивает жетон биометрического признака в пакете запроса аутентификации с зарегистрированным жетоном биометрического признака, и осуществляет проверку подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги. Если два жетона биометрических признаков отличаются, или проверка подписи терпит неудачу, сервер аутентификации отклоняет запрос аутентификации и информирует сервер услуги, и сервер услуги извещает клиент услуги о неудачном результате аутентификации. Если два жетона биометрических признаков одинаковы, и проверка подписи увенчивается успехом, пользователь проходит аутентификация личности, и сервер аутентификации возвращает пакет ответа аутентификации, включающий в себя успешный результат аутентификации личности, на сервер услуги. Сервер услуги может осуществлять соответствующую обработку услуги на основании успешного результата аутентификации личности, и извещают клиент услуги об успешном результате аутентификации личности и/или результате обработки услуги.
[0114] В одной реализации сервер аутентификации может генерировать проверочный код аутентификации виртуальной учетной записи, соответствующий идентификатору устройства в пакете запроса аутентификационной информации после приема пакета запроса аутентификационной информации. Сервер аутентификации инкапсулирует идентификатор виртуальной учетной записи, открытый ключ сервера и генерируемый проверочный код аутентификации в пакет ответа аутентификационной информации, отправляет пакет ответа аутентификационной информации на сервер услуги, и начинает отсчет времени. При генерации пакета запроса аутентификации, детектор аутентификации личности пользовательского оборудования также инкапсулирует проверочный код аутентификации в пакете ответа аутентификационной информации в пакет запроса аутентификации. Сервер аутентификации принимает пакет запроса аутентификации, пересылаемый сервером услуги, сравнивает проверочный код аутентификации в пакете запроса аутентификации с проверочным кодом аутентификации, генерируемым для виртуальной учетной записи в пакете запроса аутентификации, и получает разницу во времени между отправкой пакета ответа аутентификационной информации и приемом пакета запроса аутентификации. Если два проверочных кода аутентификации отличаются или разница во времени превышает вторую заранее определенную длительность, сервер аутентификации отклоняет запрос аутентификации и информирует сервер услуги, и сервер услуги извещает клиент услуги о неудачном результате аутентификации. Если два проверочных кода аутентификации отличаются, и разница во времени не превышает второй заранее определенной длительности, сервер аутентификации осуществляет проверку подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществляет аутентификацию личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
[0115] В реализации, включающей в себя проверочный код аутентификации, процесс взаимодействия между различными функциональными модулями пользовательского оборудования, сервером услуги, сервером аутентификации и сервером центра биометрической аутентификации, показан на фиг. 7.
[0116] В реализации 2 настоящей заявки личный ключ устройства и открытый ключ устройства, заранее сохраненные на пользовательском оборудовании, используются, чтобы гарантировать, что пользовательское оборудование является надежным устройством. Открытый ключ сервера и личный ключ сервера используются для проверки надежности сервера услуги. Таким образом, соответствие между идентификатором устройства пользовательского оборудования, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги можно безопасно регистрировать на сервере аутентификации для последующей аутентификации личности, что повышает безопасность регистрации личности.
[0117] В реализации 2 настоящей заявки открытый ключ сервера и личный ключ сервера используются для проверки сервера услуги, личный ключ услуги и зарегистрированный открытый ключ услуги используются для проверки пользовательского оборудования, и пользовательскому оборудованию нужно обеспечивать идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака, совпадающие с зарегистрированной информацией, чтобы пройти аутентификацию, благодаря чему, процесс аутентификации личности является весьма безопасным.
[0118] В двух предыдущих реализациях детектор аутентификации личности и диспетчер жетонов и ключей могут действуют в безопасной среде пользовательского оборудования, для повышения безопасности регистрации и аутентификации. Например, детектор аутентификации личности, диспетчер жетонов и ключей и другой программный модуль (например, процесс или поток) могут выполняться по отдельности, и другому программному модулю не разрешено осуществлять доступ к своей кэш-памяти (два модуля также выполняются по отдельности и им не разрешено осуществлять доступ к кэш-памяти друг друга). В порядке другого примера, код и сохраненные файлы детектора аутентификации личности и диспетчера жетонов и ключей хранятся в области хранения пользовательского оборудования, которая имеет наивысший уровень безопасности и самое строгое управление доступом.
[0119] В соответствии с предыдущими реализациями процесса реализация настоящей заявки дополнительно предусматривает устройство для регистрации биометрической идентификации, которое применяется к пользовательскому оборудованию; устройство для регистрации биометрической идентификации, которое применяется к серверу аутентификации; устройство для аутентификации биометрической идентификации, которое применяется к пользовательскому оборудованию; устройство для аутентификации биометрической идентификации, которое применяется к серверу аутентификации. Устройства могут быть реализованы с использованием программного обеспечения, оборудования или комбинации программного обеспечения и оборудования. Рассматривая в качестве примера программную реализацию, логическое устройство образовано центральным процессором (CPU) пользовательского оборудования или сервера аутентификации, считывающим соответствующие инструкции компьютерной программы в память для выполнения. С точки зрения оборудования помимо CPU, памяти и энергонезависимой памяти, показанных на фиг. 8, пользовательское оборудование обычно включает в себя другое оборудование, например, микросхему для приема и отправки беспроводных сигналов, и сервер аутентификации обычно включает в себя другое оборудование, например, плату для реализации функции сетевой связи.
[0120] На фиг. 9 показано устройство для регистрации биометрической идентификации согласно реализации настоящей заявки. Устройство применяется к пользовательскому оборудованию и включает в себя клиент услуги, промежуточное программное обеспечение биометрической аутентификации, клиент биометрической аутентификации, детектор аутентификации личности и диспетчер жетонов и ключей.
[0121] Клиент услуги выполнен с возможностью отправки запроса информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, и приема ответа на информацию об устройстве, включающего в себя идентификатор устройства и возвращаемого промежуточным программным обеспечением биометрической аутентификации; отправки пакета запроса регистрационной информации, который включает в себя идентификатор учетной записи услуги, на сервер услуги, и приема пакета ответа регистрационной информации, возвращаемого сервером услуги, где пакет ответа регистрационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги и генерируемый сервером аутентификации после приема пакета запроса регистрационной информации, пересылаемого сервером услуги, и открытый ключ сервера, соответствующий личному ключу сервера; определения типа биометрической аутентификации пользователя, получения биометрических данных пользователя типа биометрической аутентификации, и отправки запроса локальной биометрической аутентификации который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации, и приема ответа локальной биометрической аутентификации, включающего в себя результат локальной биометрической проверки и возвращаемого промежуточным программным обеспечением биометрической аутентификации; в случае успешного результата локальной проверки биометрического признака, отправки пакета ответа регистрационной информации на промежуточное программное обеспечение биометрической аутентификации, приема пакета запроса регистрации, возвращаемого промежуточным программным обеспечением биометрической аутентификации, и подписания пакета запроса регистрации с использованием личного ключа устройства пользовательского оборудования, где пакет запроса регистрации включает в себя идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; отправки пакета запроса регистрации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса регистрации на сервер аутентификации, и после того как сервер центра биометрической аутентификации осуществляет проверку подписи на пакете запроса регистрации с использованием открытого ключа устройства пользовательского оборудования, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрического признака, жетоном биометрического признака и открытым ключом услуги, для осуществления аутентификации личности на учетной записи.
[0122] Промежуточное программное обеспечение биометрической аутентификации выполнено с возможностью приема запроса информации об устройстве от клиента услуги, пересылки запроса информации об устройстве на клиент биометрической аутентификации, приема ответа на информацию об устройстве от клиента биометрической аутентификации, и пересылки ответа на информацию об устройстве на клиент услуги; приема запроса локальной биометрической аутентификации от клиента услуги, пересылки запроса локальной биометрической аутентификации на клиент биометрической аутентификации, приема ответа локальной биометрической аутентификации от клиента биометрической аутентификации, и пересылки ответа локальной биометрической аутентификации на клиент услуги; и приема пакета ответа регистрационной информации от клиента услуги, и пересылки пакета ответа регистрационной информации на клиент биометрической аутентификации, приема пакета запроса регистрации от клиента биометрической аутентификации, и пересылки пакета запроса регистрации на клиент услуги.
[0123] Клиент биометрической аутентификации выполнен с возможностью приема запроса информации об устройстве от промежуточного программного обеспечения биометрической аутентификации, пересылки запроса информации об устройстве на детектор аутентификации личности, приема ответа на информацию об устройстве от детектора аутентификации личности, и пересылки ответа на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации; приема запроса локальной биометрической аутентификации от промежуточного программного обеспечения биометрической аутентификации, осуществления проверки биометрического признака на личности пользователя с использованием биометрических данных в запросе локальной биометрической аутентификации, и возвращения ответа локальной биометрической аутентификации который включает в себя результат проверки на промежуточное программное обеспечение биометрической аутентификации; и приема пакета ответа регистрационной информации от промежуточного программного обеспечения биометрической аутентификации, пересылки пакета ответа регистрационной информации на детектор аутентификации личности, приема пакета запроса регистрации от детектора аутентификации личности, и пересылки пакета запроса регистрации на промежуточное программное обеспечение биометрической аутентификации.
[0124] Детектор аутентификации личности выполнен с возможностью получения информации об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства после приема запроса информации об устройстве, пересылаемого клиентом биометрической аутентификации, и возвращения ответа на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации. После приема пакета ответа регистрационной информации, пересылаемого клиентом биометрической аутентификации, осуществления проверки подписи на пакете ответа регистрационной информации с использованием открытого ключа сервера в пакете ответа регистрационной информации, получения жетона биометрического признака, соответствующего биометрическим данным, используемым пользователем в последней успешной локальной биометрической проверке, от диспетчера жетонов и ключей после успешной проверки подписи, генерирования соответствующего открытого ключа услуги и личного ключа услуги, сохранения соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрической аутентификации и личным ключом услуги, инкапсуляции идентификатора устройства, идентификатора виртуальной учетной записи, типа биометрической аутентификации, жетона биометрического признака и открытого ключа услуги в пакет запроса регистрации, и возвращения пакета запроса регистрации на клиент биометрической аутентификации после того как диспетчер жетонов и ключей подписывает пакет запроса регистрации с использованием личного ключа устройства пользовательского оборудования.
[0125] Диспетчер жетонов и ключей выполнен с возможностью обеспечения детектора аутентификации личности жетоном биометрического признака, соответствующим биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки; и, после приема пакета запроса регистрации от детектора аутентификации личности, подписания пакета запроса регистрации с использованием сохраненного личного ключа устройства пользовательского оборудования и затем возврата пакета запроса регистрации на детектор аутентификации личности.
[0126] В необязательном порядке пакет ответа регистрационной информации дополнительно включает в себя проверочный код регистрации виртуальной учетной записи, генерируемой сервером аутентификации. Пакет запроса регистрации дополнительно включает в себя проверочный код регистрации, благодаря чему, после приема пакета запроса регистрации, сервер аутентификации проверяет пакет запроса регистрации на основании проверочного кода регистрации и интервала времени между отправкой пакета ответа регистрационной информации и приемом пакета запроса регистрации.
[0127] В необязательном порядке детектор аутентификации личности и диспетчер жетонов и ключей действуют в безопасной среде пользовательского оборудования.
[0128] На фиг. 10 показано устройство для регистрации биометрической идентификации согласно реализации настоящей заявки. Устройство применяется к серверу аутентификации и включает в себя блок ответа на регистрационную информацию, блок приема запроса регистрации и блок хранения регистрационной информации.
[0129] Блок ответа на регистрационную информацию выполнен с возможностью приема пакета запроса регистрационной информации пользовательского оборудования от сервера услуги, где пакет запроса регистрационной информации включает в себя идентификатор учетной записи услуги, генерирования идентификатора виртуальной учетной записи, соответствующего идентификатору учетной записи услуги, инкапсуляции идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа регистрационной информации, и отправки пакета ответа регистрационной информации на сервер услуги после подписания пакета ответа регистрационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа регистрационной информации на пользовательское оборудование.
[0130] Блок приема запроса регистрации выполнен с возможностью приема пакета запроса регистрации пользовательского оборудования от сервера услуги, и подписания пакета запроса регистрации с использованием ключа шифрования устройства пользовательского оборудования, где пакет запроса регистрации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; и отправки пакета запроса регистрации на сервер центра биометрической аутентификации, и приема результата проверки подписи, возвращаемого сервером центра биометрической аутентификации после осуществления проверки подписи на пакете запроса регистрации с использованием открытого ключа устройства, соответствующего идентификатору устройства.
[0131] Блок хранения регистрационной информации выполнен с возможностью сохранения соответствия между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги после успешной проверки подписи на пакете запроса регистрации, для осуществления аутентификации личности на учетной записи.
[0132] В необязательном порядке устройство дополнительно включает в себя блок генерирования проверочного кода регистрации, выполненный с возможностью генерации проверочного кода регистрации виртуальной учетной записи. Пакет ответа регистрационной информации дополнительно включает в себя генерируемый проверочный код регистрации. Пакет запроса регистрации дополнительно включает в себя проверочный код регистрации. Блок хранения регистрационной информации выполнен с возможностью сохранения соответствия между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги после успешной проверки подписи на пакете запроса регистрации, когда проверочный код регистрации в пакете запроса регистрации идентичен проверочному коду регистрации, генерируемому для виртуальной учетной записи в пакете запроса регистрации, и интервал времени между отправкой пакета ответа регистрационной информации и приемом пакета запроса регистрации находится в пределах первой заранее определенной длительности.
[0133] На фиг. 9 показано устройство для аутентификации биометрической идентификации согласно реализации настоящей заявки. Устройство применяется к пользовательскому оборудованию и включает в себя клиент услуги, промежуточное программное обеспечение биометрической аутентификации, клиент биометрической аутентификации, детектор аутентификации личности и диспетчер жетонов и ключей.
[0134] Клиент услуги выполнен с возможностью отправки запроса информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, и приема ответа на информацию об устройстве, включающего в себя идентификатор устройства и возвращаемого промежуточным программным обеспечением биометрической аутентификации; отправки пакета запроса аутентификационной информации, который включает в себя идентификатор устройства, на сервер услуги, и приема пакета ответа аутентификационной информации, возвращаемого сервером услуги, где пакет ответа аутентификационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и включает в себя открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, и полученный сервером аутентификации после приема пакета запроса аутентификационной информации, пересылаемого сервером услуги, получения биометрических данных типа биометрической аутентификации, используемого пользователем в ходе регистрации, отправки запроса локальной биометрической аутентификации который включает в себя биометрические данные, на промежуточное программное обеспечение биометрической аутентификации, и приема ответа локальной биометрической аутентификации, включающего в себя результат локальной биометрической проверки и возвращаемого промежуточным программным обеспечением биометрической аутентификации. В случае успешного результата локальной проверки биометрического признака, отправки пакета ответа аутентификационной информации на промежуточное программное обеспечение биометрической аутентификации, приема пакета запроса аутентификации, возвращаемого промежуточным программным обеспечением биометрической аутентификации, и подписания пакета запроса аутентификации с использованием личного ключа услуги, где пакет запроса аутентификации включает в себя идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака, отправки пакета запроса аутентификации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса аутентификации на сервер аутентификации, и сервер аутентификации осуществляет аутентификацию личности на пользователе на основании зарегистрированного открытого ключа услуги и зарегистрированного жетона биометрического признака, соответствующих идентификатору виртуальной учетной записи, идентификатору устройства и типу биометрической аутентификации.
[0135] Промежуточное программное обеспечение биометрической аутентификации выполнено с возможностью приема запроса информации об устройстве от клиента услуги, пересылки запроса информации об устройстве на клиент биометрической аутентификации, приема ответа на информацию об устройстве от клиента биометрической аутентификации, и пересылки ответа на информацию об устройстве на клиент услуги; приема запроса локальной биометрической аутентификации от клиента услуги, пересылки запроса локальной биометрической аутентификации на клиент биометрической аутентификации, приема ответа локальной биометрической аутентификации от клиента биометрической аутентификации, и пересылки ответа локальной биометрической аутентификации на клиент услуги; и приема пакета ответа аутентификационной информации от клиента услуги, пересылки пакета ответа аутентификационной информации на клиент биометрической аутентификации, приема пакета запроса аутентификации от клиента биометрической аутентификации, и пересылки пакета запроса аутентификации на клиент услуги.
[0136] Клиент биометрической аутентификации выполнен с возможностью приема запроса информации об устройстве от промежуточного программного обеспечения биометрической аутентификации, пересылки запроса информации об устройстве на детектор аутентификации личности, приема ответа на информацию об устройстве от детектора аутентификации личности, и пересылки ответа на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации; приема запроса локальной биометрической аутентификации от промежуточного программного обеспечения биометрической аутентификации, осуществления проверки биометрического признака на личности пользователя с использованием биометрических данных в запросе локальной биометрической аутентификации, и возвращения ответа локальной биометрической аутентификации который включает в себя результат проверки на промежуточное программное обеспечение биометрической аутентификации; и приема пакета ответа аутентификационной информации от промежуточного программного обеспечения биометрической аутентификации, пересылки пакета ответа аутентификационной информации на детектор аутентификации личности, приема пакета запроса аутентификации от детектора аутентификации личности, и пересылки пакета запроса аутентификации на промежуточное программное обеспечение биометрической аутентификации.
[0137] Детектор аутентификации личности выполнен с возможностью получения информации об устройстве пользовательского оборудования, которая включает в себя идентификатор устройства, и возвращения ответа на информацию об устройстве, который включает в себя информацию об устройстве, на клиент биометрической аутентификации после приема запроса информации об устройстве, пересылаемого клиентом биометрической аутентификации; после приема пакета ответа аутентификационной информации, пересылаемого клиентом биометрической аутентификации, осуществления проверки подписи на пакете ответа аутентификационной информации с использованием открытого ключа сервера в пакете ответа аутентификационной информации, получения жетона биометрического признака, соответствующего биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки от диспетчера жетонов и ключей после успешной проверки подписи, получения личного ключа услуги, соответствующего типу биометрической аутентификации, идентификатору виртуальной учетной записи в пакете ответа аутентификационной информации и жетону биометрического признака, из сохраненного соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и личным ключом услуги, инкапсуляции идентификатора устройства, идентификатора виртуальной учетной записи, типа биометрической аутентификации и жетона биометрического признака в пакет запроса аутентификации, и возврата пакета запроса аутентификации на клиент биометрической аутентификации после подписания пакета запроса аутентификации с использованием личного ключа услуги.
[0138] Диспетчер жетонов и ключей выполнен с возможностью обеспечения детектора аутентификации личности жетоном биометрического признака, соответствующим биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки.
[0139] В необязательном порядке, пакет ответа аутентификационной информации дополнительно включает в себя проверочный код аутентификации виртуальной учетной записи, генерируемой сервером аутентификации. Пакет запроса аутентификации дополнительно включает в себя проверочный код аутентификации, инкапсулированный детектором аутентификации личности, благодаря чему после приема пакета запроса аутентификации, сервер аутентификации проверяет пакет запроса аутентификации на основании проверочного кода аутентификации и интервала времени между отправкой пакета ответа аутентификационной информации и приемом пакета запроса аутентификации.
[0140] В необязательном порядке детектор аутентификации личности и диспетчер жетонов и ключей действуют в безопасной среде пользовательского оборудования.
[0141] На фиг. 11 показано устройство для аутентификации биометрической идентификации согласно реализации настоящей заявки. Устройство применяется к серверу аутентификации и включает в себя блок ответа аутентификационной информации, блок приема запроса аутентификации и блок проверки подписи и аутентификации.
[0142] Блок ответа аутентификационной информации выполнен с возможностью приема пакета запроса аутентификационной информации пользовательского оборудования от сервера услуги, где пакет запроса аутентификационной информации включает в себя идентификатор устройства пользовательского оборудования, получения идентификатора виртуальной учетной записи, соответствующего идентификатору устройства, инкапсуляции идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа аутентификационной информации, и отправки пакета ответа аутентификационной информации на сервер услуги после подписания пакета ответа аутентификационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа аутентификационной информации на пользовательское оборудование.
[0143] Блок приема запроса аутентификации выполнен с возможностью приема пакета запроса аутентификации пользовательского оборудования от сервера услуги, и подписания пакета запроса аутентификации с использованием открытого ключа услуги, где пакет запроса аутентификации включает в себя идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; и получения зарегистрированного жетона биометрического признака и зарегистрированного открытого ключа услуги, соответствующих идентификатору устройства, идентификатору виртуальной учетной записи и типу биометрической аутентификации, которые присутствуют в пакете запроса аутентификации.
[0144] Блок проверки подписи и аутентификации выполнен с возможностью осуществления проверки подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществления аутентификации личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
[0145] В необязательном порядке устройство дополнительно включает в себя блок генерирования проверочного кода аутентификации, выполненный с возможностью генерации проверочного кода аутентификации виртуальной учетной записи. Пакет ответа аутентификационной информации дополнительно включает в себя генерируемый проверочный код аутентификации. Пакет запроса аутентификации дополнительно включает в себя проверочный код аутентификации. Блок проверки подписи и аутентификации выполнен с возможностью осуществления проверки подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществления аутентификации личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака, когда проверочный код аутентификации в пакете запроса аутентификации идентичен проверочному коду аутентификации, генерируемому для виртуальной учетной записи в пакете запроса аутентификации, и интервал времени между отправкой пакета ответа аутентификационной информации и приемом пакета запроса аутентификации находится в пределах второй заранее определенной длительности.
[0146] Предыдущие описания являются лишь иллюстративными реализациями настоящей заявки, и не призваны ограничивать настоящую заявку. Любые модификации, эквивалентные замены и усовершенствования в отношении сущности и принципа настоящей заявки подлежат включению в объем защиты настоящей заявки.
[0147] В типичной конфигурации вычислительное устройство включает в себя один или более процессоров (CPU), интерфейс ввода/вывода, сетевой интерфейс и память.
[0148] Память может включать в себя энергозависимое хранилище, оперативную память (RAM), энергонезависимую память, и/или другую форму, которые присутствуют в компьютерно-считываемом носителе, например, постоянную память (ROM) или флеш-память (флеш-RAM). Память является примером компьютерно-считываемого носителя.
[0149] Компьютерно-считываемый носитель включает в себя энергонезависимые, энергозависимые, сменные и стационарные носители, которые могут реализовать хранилище информации с использованием любого способа или технологии. Информация может быть компьютерно-считываемой инструкцией, структурой данных, программным модулем или другими данными. Пример компьютерного носителя данных включает в себя, но без ограничений, параметрическую оперативную память (PRAM), статическую оперативную память (SRAM), динамическую оперативную память (DRAM), другой тип оперативной памяти (RAM), постоянную память (ROM), электрически стираемую программируемую постоянную память (EEPROM), флеш-память или другую технологию памяти, компакт-диск с возможностью только чтения (CD-ROM), цифровой универсальный диск (DVD) или другое оптическое хранилище, кассетную магнитную ленту, ленту и дисковое хранилище или другое магнитное устройство хранения или любые другие непередающие носители, которые могут быть выполнены с возможностью сохранения информации, к которой вычислительное устройство может осуществлять доступ. На основании определения в настоящем описании изобретения, компьютерно-считываемый носитель не включает в себя транзиторные компьютерно-считываемые носители (транзиторные носители), например, модулированный сигнал данных и несущую.
[0150] Следует также отметить, что в настоящем описании изобретения термины "включать в себя", "содержать" или любой другой их вариант призван охватывать неисключающее включение, благодаря чему, процесс, способ, изделие или устройство, которое включает в себя список элементов, не только включает в себя эти элементы, но также включает в себя другие элементы, которые в явном виде не перечислены, или дополнительно включает в себя элементы, присущие такому процессу, способу, изделию или устройству. Элемент, которому предшествует "включает в себя …", без дополнительных ограничений, не исключает наличия дополнительных идентичных элементов в процессе, способе, изделии или устройстве, которое включает в себя элемент.
[0151] Специалисту в данной области техники понятно, что реализации настоящей заявки могут обеспечиваться в качестве способа, системы или компьютерного программного продукта. Таким образом, настоящая заявка может использовать только аппаратные реализации, только программные реализации, или комбинированные программные и аппаратные реализации. Кроме того, настоящая заявка может использовать форму компьютерного программного продукта, которые реализуется на одном или более компьютерных носителях данных (в том числе, но без ограничения, магнитном дисковом хранилище, CD-ROM, оптической памяти и т.д.), которые включают в себя компьютерный программный код.
название | год | авторы | номер документа |
---|---|---|---|
БИОМЕТРИЧЕСКОЕ СРАВНЕНИЕ ДЛЯ ЗАЩИТЫ ПРИВАТНОСТИ С ПОМОЩЬЮ СЕРВЕРА | 2018 |
|
RU2776258C2 |
ИНФРАСТРУКТУРА ВЕРИФИКАЦИИ БИОМЕТРИЧЕСКИХ УЧЕТНЫХ ДАННЫХ | 2007 |
|
RU2434340C2 |
ВИРТУАЛЬНАЯ SIM-КАРТА ДЛЯ МОБИЛЬНЫХ ТЕЛЕФОНОВ | 2008 |
|
RU2472310C2 |
СИСТЕМЫ И СПОСОБЫ ПЕРСОНАЛЬНОЙ ИДЕНТИФИКАЦИИ И ВЕРИФИКАЦИИ | 2015 |
|
RU2747947C2 |
СПОСОБ И УСТРОЙСТВО ДЛЯ АУТЕНТИФИКАЦИИ ЛИЧНОЙ ИНФОРМАЦИИ И СЕРВЕР | 2019 |
|
RU2799096C2 |
СИСТЕМА И СПОСОБ ДЛЯ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ ЛИЧНОСТИ НА ОСНОВЕ БЛОКЧЕЙНА | 2016 |
|
RU2667801C1 |
СПОСОБ И СИСТЕМА ДЛЯ ОСУЩЕСТВЛЕНИЯ ДВУХФАКТОРНОЙ АУТЕНТИФИКАЦИИ ПРИ ТРАНЗАКЦИЯХ, СВЯЗАННЫХ С ЗАКАЗАМИ ПО ПОЧТЕ И ТЕЛЕФОНУ | 2007 |
|
RU2438172C2 |
Способ идентификации онлайн-пользователя и его устройства | 2020 |
|
RU2740308C1 |
СИСТЕМА И СПОСОБ ИДЕНТИФИКАЦИИ И/ИЛИ АУТЕНТИФИКАЦИИ | 2015 |
|
RU2670031C2 |
СИСТЕМЫ И СПОСОБЫ ДЛЯ ЗАЩИЩЕННОЙ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ | 2003 |
|
RU2320009C2 |
Изобретение относится к способу регистрации биометрической идентификации, применяемому к пользовательскому оборудованию. Технический результат заключается в повышении безопасности в процессе регистрации и аутентификации. Способ включает в себя: отправку пакета запроса регистрационной информации, который включает в себя идентификатор учетной записи услуги, на сервер услуги и прием пакета ответа регистрационной информации, включающего в себя идентификатор виртуальной учетной записи, от сервера аутентификации; после того как биометрические данные пользователя проходят локальную проверку идентичности, инкапсуляцию идентификатора устройства, идентификатора виртуальной учетной записи и жетона биометрического признака и типа биометрической проверки, соответствующей биометрическим данным, проходящим локальную проверку идентичности, и генерируемого открытого ключа услуги в пакет запроса регистрации, и отправку пакета запроса регистрации на сервер услуги после подписания пакета запроса регистрации с использованием личного ключа устройства, благодаря чему, после того как пересылаемый пакет запроса регистрации проходит проверку подписи с использованием открытого ключа устройства, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, жетоном биометрического признака, типом биометрической проверки и открытым ключом услуги, для осуществления аутентификации личности. 8 н. и 12 з.п. ф-лы, 11 ил.
1. Способ регистрации биометрической идентификации, применяемый к пользовательскому оборудованию, в котором клиент услуги, промежуточное программное обеспечение биометрической аутентификации, клиент биометрической аутентификации, детектор аутентификации личности и диспетчер жетонов и ключей действуют на пользовательском оборудовании, причем способ содержит этапы, на которых:
отправляют, посредством клиента услуги, запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, пересылают, посредством промежуточного программного обеспечения биометрической аутентификации, запрос информации об устройстве на клиент биометрической аутентификации, пересылают, посредством клиента биометрической аутентификации, запрос информации об устройстве на детектор аутентификации личности, получают, посредством детектора аутентификации личности, информацию об устройстве пользовательского оборудования, которая содержит идентификатор устройства, и возвращают ответ на информацию об устройстве, который содержит информацию об устройстве, на клиент биометрической аутентификации, возвращают, посредством клиента биометрической аутентификации, ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и возвращают, посредством промежуточного программного обеспечения биометрической аутентификации, ответ на информацию об устройстве на клиент услуги;
отправляют, посредством клиента услуги, пакет запроса регистрационной информации, содержащий идентификатор учетной записи услуги, на сервер услуги, и принимают пакет ответа регистрационной информации, возвращаемый сервером услуги, причем пакет ответа регистрационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и содержит открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги и генерируемый сервером аутентификации после приема пакета запроса регистрационной информации, пересылаемого сервером услуги;
определяют, посредством клиента услуги, тип биометрической аутентификации пользователя, получают биометрические данные пользователя типа биометрической аутентификации, и отправляют запрос локальной биометрической аутентификации, который содержит биометрические данные, на промежуточное программное обеспечение биометрической аутентификации; пересылают, посредством промежуточного программного обеспечения биометрической аутентификации, запрос локальной биометрической аутентификации на клиент биометрической аутентификации; осуществляют, посредством клиента биометрической аутентификации, проверку биометрического признака на личности пользователя с использованием биометрических данных и возвращают ответ локальной биометрической аутентификации, который содержит результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и возвращают, посредством промежуточного программного обеспечения биометрической аутентификации, ответ локальной биометрической аутентификации на клиент услуги;
в случае успешного результата локальной проверки биометрического признака, отправляют, посредством клиента услуги, пакет ответа регистрационной информации на промежуточное программное обеспечение биометрической аутентификации, и пересылают, посредством промежуточного программного обеспечения биометрической аутентификации, пакет ответа регистрационной информации на клиент биометрической аутентификации; пересылают, посредством клиента биометрической аутентификации, пакет ответа регистрационной информации на детектор аутентификации личности; и осуществляют, посредством детектора аутентификации личности, проверку подписи на пакете ответа регистрационной информации с использованием открытого ключа сервера, и получают жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки, от диспетчера жетонов и ключей после успешной проверки подписи, для генерации соответствующего открытого ключа услуги и личного ключа услуги, и сохраняют соответствие между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрической аутентификации и личным ключом услуги; инкапсулируют, посредством детектора аутентификации личности, идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги в пакет запроса регистрации, и возвращают пакет запроса регистрации на клиент биометрической аутентификации после того как диспетчер жетонов и ключей подписывает пакет запроса регистрации с использованием личного ключа устройства пользовательского оборудования; и возвращают, посредством клиента биометрической аутентификации, пакет запроса регистрации на промежуточное программное обеспечение биометрической аутентификации, и возвращают, посредством промежуточного программного обеспечения биометрической аутентификации, пакет запроса регистрации на клиент услуги; и
отправляют, посредством клиента услуги, пакет запроса регистрации на сервер услуги, и пересылают, посредством сервера услуги, пакет запроса регистрации на сервер аутентификации, благодаря чему, благодаря чему, после того как сервер центра биометрической аутентификации осуществляет проверку подписи на пакете запроса регистрации с использованием открытого ключа устройства пользовательского оборудования, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги, для осуществления аутентификации личности на учетной записи.
2. Способ по п. 1, в котором пакет ответа регистрационной информации дополнительно содержит проверочный код регистрации виртуальной учетной записи, генерируемой сервером аутентификации; и
пакет запроса регистрации дополнительно содержит проверочный код регистрации, инкапсулированный детектором аутентификации личности, благодаря чему, после приема пакета запроса регистрации, сервер аутентификации проверяет пакет запроса регистрации на основании проверочного кода регистрации и интервала времени между отправкой пакета ответа регистрационной информации и приемом пакета запроса регистрации.
3. Способ по п. 1, в котором детектор аутентификации личности и диспетчер жетонов и ключей действуют в безопасной среде пользовательского оборудования.
4. Способ регистрации биометрической идентификации, применяемый к серверу аутентификации, содержащий этапы, на которых:
принимают пакет запроса регистрационной информации пользовательского оборудования от сервера услуги, причем пакет запроса регистрационной информации содержит идентификатор учетной записи услуги; генерируют идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги, инкапсулируют идентификатор виртуальной учетной записи и открытый ключ сервера в пакет ответа регистрационной информации, и отправляют пакет ответа регистрационной информации на сервер услуги после подписания пакета ответа регистрационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа регистрационной информации на пользовательское оборудование;
принимают пакет запроса регистрации пользовательского оборудования от сервера услуги, и подписывают пакет запроса регистрации с использованием ключа шифрования устройства пользовательского оборудования, причем пакет запроса регистрации содержит идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; и отправляют пакет запроса регистрации на сервер центра биометрической аутентификации, и принимают результат проверки подписи, возвращаемый сервером центра биометрической аутентификации после осуществления проверки подписи на пакете запроса регистрации с использованием открытого ключа устройства, соответствующего идентификатору устройства; и
сохраняют соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги после успешной проверки подписи на пакете запроса регистрации, для осуществления аутентификации личности на учетной записи.
5. Способ по п. 4, в котором способ дополнительно содержит этап, на котором: генерируют проверочный код регистрации виртуальной учетной записи;
пакет ответа регистрационной информации дополнительно содержит генерируемый проверочный код регистрации;
пакет запроса регистрации дополнительно содержит проверочный код регистрации; и
сохранение соответствия между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги содержит этап, на котором: сохраняют соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги, когда проверочный код регистрации в пакете запроса регистрации идентичен проверочному коду регистрации, генерируемому для виртуальной учетной записи в пакете запроса регистрации, и интервал времени между отправкой пакета ответа регистрационной информации и приемом пакета запроса регистрации находится в пределах первой заранее определенной длительности.
6. Способ аутентификации биометрической идентификации, применяемый к пользовательскому оборудованию, в котором клиент услуги, промежуточное программное обеспечение биометрической аутентификации, клиент биометрической аутентификации, детектор аутентификации личности и диспетчер жетонов и ключей действуют на пользовательском оборудовании, причем способ содержит этапы, на которых:
отправляют, посредством клиента услуги, запрос информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, пересылают, посредством промежуточного программного обеспечения биометрической аутентификации, запрос информации об устройстве на клиент биометрической аутентификации, пересылают, посредством клиента биометрической аутентификации, запрос информации об устройстве на детектор аутентификации личности, получают, посредством детектора аутентификации личности, информацию об устройстве пользовательского оборудования, которая содержит идентификатор устройства, и возвращают ответ на информацию об устройстве, который содержит информацию об устройстве, на клиент биометрической аутентификации, возвращают, посредством клиента биометрической аутентификации, ответ на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации, и возвращают, посредством промежуточного программного обеспечения биометрической аутентификации, ответ на информацию об устройстве на клиент услуги;
отправляют, посредством клиента услуги, пакет запроса аутентификационной информации, содержащий идентификатор устройства, на сервер услуги, и принимают пакет ответа аутентификационной информации, возвращаемый сервером услуги, причем пакет ответа аутентификационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и содержит открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, и полученный сервером аутентификации после приема пакета запроса аутентификационной информации, пересылаемого сервером услуги;
получают, посредством клиента услуги, биометрические данные типа биометрической аутентификации, используемого пользователем в ходе регистрации, и отправляют запрос локальной биометрической аутентификации, который содержит биометрические данные, на промежуточное программное обеспечение биометрической аутентификации; пересылают, посредством промежуточного программного обеспечения биометрической аутентификации, запрос локальной биометрической аутентификации на клиент биометрической аутентификации; осуществляют, посредством клиента биометрической аутентификации, проверку биометрического признака на личности пользователя с использованием биометрических данных, и возвращают ответ локальной биометрической аутентификации, который содержит результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и возвращают, посредством промежуточного программного обеспечения биометрической аутентификации, ответ локальной биометрической аутентификации на клиент услуги;
в случае успешного результата локальной проверки биометрического признака, отправляют, посредством клиента услуги, пакет ответа аутентификационной информации на промежуточное программное обеспечение биометрической аутентификации, и пересылают, посредством промежуточного программного обеспечения биометрической аутентификации, пакет ответа аутентификационной информации на клиент биометрической аутентификации; пересылают, посредством клиента биометрической аутентификации, пакет ответа аутентификационной информации на детектор аутентификации личности; осуществляют, посредством детектора аутентификации личности, проверку подписи на пакете ответа аутентификационной информации с использованием открытого ключа сервера, получают жетон биометрического признака, соответствующий биометрическим данным, используемым пользователем в последней успешной локальной биометрической проверке, от диспетчера жетонов и ключей после успешной проверки подписи, получают личный ключ услуги, соответствующий типу биометрической аутентификации, идентификатору виртуальной учетной записи в пакете ответа аутентификационной информации и жетону биометрического признака, из сохраненного соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и личным ключом услуги, инкапсулируют идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака в пакет запроса аутентификации, и возвращают пакет запроса аутентификации на клиент биометрической аутентификации после подписания пакета запроса аутентификации с использованием личного ключа услуги; возвращают, посредством клиента биометрической аутентификации, пакет запроса аутентификации на промежуточное программное обеспечение биометрической аутентификации, и возвращают, посредством промежуточного программного обеспечения биометрической аутентификации, пакет запроса аутентификации на клиент услуги; и
отправляют, посредством клиента услуги, пакет запроса аутентификации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса аутентификации на сервер аутентификации, и сервер аутентификации осуществляет аутентификацию личности на пользователе на основании зарегистрированного открытого ключа услуги и зарегистрированного жетона биометрического признака, соответствующих идентификатору виртуальной учетной записи, идентификатору устройства и типу биометрической аутентификации.
7. Способ по п. 6, в котором пакет ответа аутентификационной информации дополнительно содержит проверочный код аутентификации виртуальной учетной записи, генерируемой сервером аутентификации; и
пакет запроса аутентификации дополнительно содержит проверочный код аутентификации, инкапсулированный детектором аутентификации личности, благодаря чему, после приема пакета запроса аутентификации, сервер аутентификации проверяет пакет запроса аутентификации на основании проверочного кода аутентификации и интервала времени между отправкой пакета ответа аутентификационной информации и приемом пакета запроса аутентификации.
8. Способ по п. 6, в котором детектор аутентификации личности и диспетчер жетонов и ключей действуют в безопасной среде пользовательского оборудования.
9. Способ аутентификации биометрической идентификации, применяемый к серверу аутентификации, содержащий этапы, на которых:
принимают пакет запроса аутентификационной информации пользовательского оборудования от сервера услуги, причем пакет запроса аутентификационной информации содержит идентификатор устройства пользовательского оборудования, получают идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, инкапсулируют идентификатор виртуальной учетной записи и открытый ключ сервера в пакет ответа аутентификационной информации, и отправляют пакет ответа аутентификационной информации на сервер услуги после подписания пакета ответа аутентификационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа аутентификационной информации на пользовательское оборудование;
принимают пакет запроса аутентификации пользовательского оборудования от сервера услуги, и подписывают пакет запроса аутентификации с использованием открытого ключа услуги, причем пакет запроса аутентификации содержит идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; и получают зарегистрированный открытый ключ услуги и зарегистрированный жетон биометрического признака, соответствующие идентификатору устройства, идентификатору виртуальной учетной записи и типу биометрической аутентификации, которые присутствуют в пакете запроса аутентификации; и
осуществляют проверку подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществляют аутентификацию личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
10. Способ по п. 9, в котором способ дополнительно содержит этап, на котором: генерируют проверочный код аутентификации виртуальной учетной записи;
пакет ответа аутентификационной информации дополнительно содержит генерируемый проверочный код аутентификации;
пакет запроса аутентификации дополнительно содержит проверочный код аутентификации; и
осуществление проверки подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществление аутентификации личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака содержит этапы, на которых: когда проверочный код аутентификации в пакете запроса аутентификации идентичен проверочному коду аутентификации, генерируемому для виртуальной учетной записи в пакете запроса аутентификации, и интервал времени между отправкой пакета ответа аутентификационной информации и приемом пакета запроса аутентификации находится в пределах второй заранее определенной длительности, осуществляют проверку подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществляют аутентификацию личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
11. Устройство для регистрации биометрической идентификации, применяемое к пользовательскому оборудованию, содержащее:
клиент услуги, выполненный с возможностью отправки запроса информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, и приема ответа на информацию об устройстве, содержащего идентификатор устройства и возвращаемого промежуточным программным обеспечением биометрической аутентификации; отправки пакета запроса регистрационной информации, который содержит идентификатор учетной записи услуги, на сервер услуги, и приема пакета ответа регистрационной информации, возвращаемого сервером услуги, причем пакет ответа регистрационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и содержит идентификатор виртуальной учетной записи, соответствующий идентификатору учетной записи услуги и генерируемый сервером аутентификации после приема пакета запроса регистрационной информации, пересылаемого сервером услуги, и открытый ключ сервера, соответствующий личному ключу сервера; определения типа биометрической аутентификации пользователя, получения биометрических данных пользователя типа биометрической аутентификации, и отправки запроса локальной биометрической аутентификации, который содержит биометрические данные, на промежуточное программное обеспечение биометрической аутентификации, и приема ответа локальной биометрической аутентификации, содержащего результат локальной биометрической проверки и возвращаемого промежуточным программным обеспечением биометрической аутентификации; в случае успешного результата локальной проверки биометрического признака, отправки пакета ответа регистрационной информации на промежуточное программное обеспечение биометрической аутентификации, приема пакета запроса регистрации, возвращаемого промежуточным программным обеспечением биометрической аутентификации, и подписания пакета запроса регистрации с использованием личного ключа устройства пользовательского оборудования, причем пакет запроса регистрации содержит идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; отправки пакета запроса регистрации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса регистрации на сервер аутентификации, и после того как сервер центра биометрической аутентификации осуществляет проверку подписи на пакете запроса регистрации с использованием открытого ключа устройства пользовательского оборудования, сервер аутентификации сохраняет соответствие между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрического признака, жетоном биометрического признака и открытым ключом услуги, для осуществления аутентификации личности на учетной записи;
промежуточное программное обеспечение биометрической аутентификации, выполненное с возможностью приема запроса информации об устройстве от клиента услуги, пересылки запроса информации об устройстве на клиент биометрической аутентификации, приема ответа на информацию об устройстве от клиента биометрической аутентификации, и пересылки ответа на информацию об устройстве на клиент услуги; приема запроса локальной биометрической аутентификации от клиента услуги, пересылки запроса локальной биометрической аутентификации на клиент биометрической аутентификации, приема ответа локальной биометрической аутентификации от клиента биометрической аутентификации, и пересылки ответа локальной биометрической аутентификации на клиент услуги; и приема пакета ответа регистрационной информации от клиента услуги, и пересылки пакета ответа регистрационной информации на клиент биометрической аутентификации, приема пакета запроса регистрации от клиента биометрической аутентификации, и пересылки пакета запроса регистрации на клиент услуги;
клиент биометрической аутентификации, выполненный с возможностью приема запроса информации об устройстве от промежуточного программного обеспечения биометрической аутентификации, пересылки запроса информации об устройстве на детектор аутентификации личности, приема ответа на информацию об устройстве от детектора аутентификации личности, и пересылки ответа на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации; приема запроса локальной биометрической аутентификации от промежуточного программного обеспечения биометрической аутентификации, осуществления проверки биометрического признака на личности пользователя с использованием биометрических данных в запросе локальной биометрической аутентификации, и возвращения ответа локальной биометрической аутентификации, который содержит результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и приема пакета ответа регистрационной информации от промежуточного программного обеспечения биометрической аутентификации, пересылки пакета ответа регистрационной информации на детектор аутентификации личности, приема пакета запроса регистрации от детектора аутентификации личности, и пересылки пакета запроса регистрации на промежуточное программное обеспечение биометрической аутентификации;
детектор аутентификации личности, выполненный с возможностью получения информации об устройстве пользовательского оборудования, которая содержит идентификатор устройства, после приема запроса информации об устройстве, пересылаемого клиентом биометрической аутентификации, и возврата ответа на информацию об устройстве, который содержит информацию об устройстве, на клиент биометрической аутентификации; после приема пакета ответа регистрационной информации, пересылаемого клиентом биометрической аутентификации, осуществления проверки подписи на пакете ответа регистрационной информации с использованием открытого ключа сервера в пакете ответа регистрационной информации, получения жетона биометрического признака, соответствующего биометрическим данным, используемым пользователем в последней успешной локальной биометрической проверке, от диспетчера жетонов и ключей после успешной проверки подписи, генерирования соответствующего открытого ключа услуги и личного ключа услуги, сохранения соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрической аутентификации и личным ключом услуги, инкапсуляции идентификатора устройства, идентификатора виртуальной учетной записи, типа биометрической аутентификации, жетона биометрического признака и открытого ключа услуги в пакет запроса регистрации, и возвращения пакета запроса регистрации на клиент биометрической аутентификации после того как диспетчер жетонов и ключей подписывает пакет запроса регистрации с использованием личного ключа устройства пользовательского оборудования; и
диспетчер жетонов и ключей, выполненный с возможностью обеспечения детектора аутентификации личности жетоном биометрического признака, соответствующим биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки; и, после приема пакета запроса регистрации от детектора аутентификации личности, подписания пакета запроса регистрации с использованием сохраненного личного ключа устройства пользовательского оборудования и затем возврата пакета запроса регистрации на детектор аутентификации личности.
12. Устройство по п. 11, в котором пакет ответа регистрационной информации дополнительно содержит проверочный код регистрации виртуальной учетной записи, генерируемой сервером аутентификации; и
пакет запроса регистрации дополнительно содержит проверочный код регистрации, благодаря чему, после приема пакета запроса регистрации, сервер аутентификации проверяет пакет запроса регистрации на основании проверочного кода регистрации и интервала времени между отправкой пакета ответа регистрационной информации и приемом пакета запроса регистрации.
13. Устройство по п. 11, в котором детектор аутентификации личности и диспетчер жетонов и ключей действуют в безопасной среде пользовательского оборудования.
14. Устройство для регистрации биометрической идентификации, применяемое к серверу аутентификации, содержащее:
блок ответа на регистрационную информацию, выполненный с возможностью приема пакета запроса регистрационной информации пользовательского оборудования от сервера услуги, причем пакет запроса регистрационной информации содержит идентификатор учетной записи услуги, генерирования идентификатора виртуальной учетной записи, соответствующего идентификатору учетной записи услуги, инкапсуляции идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа регистрационной информации, и отправки пакета ответа регистрационной информации на сервер услуги после подписания пакета ответа регистрационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа регистрационной информации на пользовательское оборудование;
блок приема запроса регистрации, выполненный с возможностью приема пакета запроса регистрации пользовательского оборудования от сервера услуги, и подписания пакета запроса регистрации с использованием ключа шифрования устройства пользовательского оборудования, причем пакет запроса регистрации содержит идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации, жетон биометрического признака и открытый ключ услуги; и отправки пакета запроса регистрации на сервер центра биометрической аутентификации, и приема результата проверки подписи, возвращаемого сервером центра биометрической аутентификации после осуществления проверки подписи на пакете запроса регистрации с использованием открытого ключа устройства, соответствующего идентификатору устройства; и
блок хранения регистрационной информации, выполненный с возможностью сохранения соответствия между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги после успешной проверки подписи на пакете запроса регистрации, для осуществления аутентификации личности на учетной записи.
15. Устройство по п. 14, в котором устройство дополнительно содержит блок генерирования проверочного кода регистрации, выполненный с возможностью генерации проверочного кода регистрации виртуальной учетной записи;
пакет ответа регистрационной информации дополнительно содержит генерируемый проверочный код регистрации;
пакет запроса регистрации дополнительно содержит проверочный код регистрации; и
блок хранения регистрационной информации выполнен с возможностью сохранения соответствия между идентификатором устройства, идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и открытым ключом услуги после успешной проверки подписи на пакете запроса регистрации, когда проверочный код регистрации в пакете запроса регистрации идентичен проверочному коду регистрации, генерируемому для виртуальной учетной записи в пакете запроса регистрации, и интервал времени между отправкой пакета ответа регистрационной информации и приемом пакета запроса регистрации находится в пределах первой заранее определенной длительности.
16. Устройство для аутентификации биометрической идентификации, применяемое к пользовательскому оборудованию, содержащее:
клиент услуги, выполненный с возможностью отправки запроса информации об устройстве на промежуточное программное обеспечение биометрической аутентификации, и приема ответа на информацию об устройстве, содержащего идентификатор устройства и возвращаемого промежуточным программным обеспечением биометрической аутентификации; отправки пакета запроса аутентификационной информации, который содержит идентификатор устройства, на сервер услуги, и приема пакета ответа аутентификационной информации, возвращаемого сервером услуги, причем пакет ответа аутентификационной информации подписывается сервером аутентификации с использованием личного ключа сервера и затем отправляется на сервер услуги, и содержит открытый ключ сервера, соответствующий личному ключу сервера, и идентификатор виртуальной учетной записи, соответствующий идентификатору устройства, и полученный сервером аутентификации после приема пакета запроса аутентификационной информации, пересылаемого сервером услуги; получения биометрических данных типа биометрической аутентификации, используемого пользователем в ходе регистрации, отправки запроса локальной биометрической аутентификации, который содержит биометрические данные, на промежуточное программное обеспечение биометрической аутентификации, и приема ответа локальной биометрической аутентификации, содержащего результат локальной биометрической проверки и возвращаемого промежуточным программным обеспечением биометрической аутентификации; в случае успешного результата локальной проверки биометрического признака, отправки пакета ответа аутентификационной информации на промежуточное программное обеспечение биометрической аутентификации, приема пакета запроса аутентификации, возвращаемого промежуточным программным обеспечением биометрической аутентификации, и подписания пакета запроса аутентификации с использованием личного ключа услуги, причем пакет запроса аутентификации содержит идентификатор устройства, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; отправки пакета запроса аутентификации на сервер услуги, благодаря чему, сервер услуги пересылает пакет запроса аутентификации на сервер аутентификации, и сервер аутентификации осуществляет аутентификацию личности на пользователе на основании зарегистрированного открытого ключа услуги и зарегистрированного жетона биометрического признака, соответствующих идентификатору виртуальной учетной записи, идентификатору устройства и типу биометрической аутентификации;
промежуточное программное обеспечение биометрической аутентификации, выполненное с возможностью приема запроса информации об устройстве от клиента услуги, пересылки запроса информации об устройстве на клиент биометрической аутентификации, приема ответа на информацию об устройстве от клиента биометрической аутентификации, и пересылки ответа на информацию об устройстве на клиент услуги; приема запроса локальной биометрической аутентификации от клиента услуги, пересылки запроса локальной биометрической аутентификации на клиент биометрической аутентификации, приема ответа локальной биометрической аутентификации от клиента биометрической аутентификации, и пересылки ответа локальной биометрической аутентификации на клиент услуги; и приема пакета ответа аутентификационной информации от клиента услуги, пересылки пакета ответа аутентификационной информации на клиент биометрической аутентификации, приема пакета запроса аутентификации от клиента биометрической аутентификации, и пересылки пакета запроса аутентификации на клиент услуги;
клиент биометрической аутентификации, выполненный с возможностью приема запроса информации об устройстве от промежуточного программного обеспечения биометрической аутентификации, пересылки запроса информации об устройстве на детектор аутентификации личности, приема ответа на информацию об устройстве от детектора аутентификации личности, и пересылки ответа на информацию об устройстве на промежуточное программное обеспечение биометрической аутентификации; приема запроса локальной биометрической аутентификации от промежуточного программного обеспечения биометрической аутентификации, осуществления проверки биометрического признака на личности пользователя с использованием биометрических данных в запросе локальной биометрической аутентификации, и возвращения ответа локальной биометрической аутентификации, который содержит результат проверки, на промежуточное программное обеспечение биометрической аутентификации; и приема пакета ответа аутентификационной информации от промежуточного программного обеспечения биометрической аутентификации, пересылки пакета ответа аутентификационной информации на детектор аутентификации личности, приема пакета запроса аутентификации от детектора аутентификации личности, и пересылки пакета запроса аутентификации на промежуточное программное обеспечение биометрической аутентификации;
детектор аутентификации личности, выполненный с возможностью получения информации об устройстве пользовательского оборудования, которая содержит идентификатор устройства, после приема запроса информации об устройстве, пересылаемого клиентом биометрической аутентификации, и возврата ответа на информацию об устройстве, который содержит информацию об устройстве, на клиент биометрической аутентификации; после приема пакета ответа аутентификационной информации, пересылаемого клиентом биометрической аутентификации, осуществления проверки подписи на пакете ответа аутентификационной информации с использованием открытого ключа сервера в пакете ответа аутентификационной информации, получения жетона биометрического признака, соответствующего биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки от диспетчера жетонов и ключей после успешной проверки подписи, получения личного ключа услуги, соответствующего типу биометрической аутентификации, идентификатору виртуальной учетной записи в пакете ответа аутентификационной информации и жетону биометрического признака, из сохраненного соответствия между идентификатором виртуальной учетной записи, типом биометрической аутентификации, жетоном биометрического признака и личным ключом услуги, инкапсуляции идентификатора устройства, идентификатора виртуальной учетной записи, типа биометрической аутентификации и жетона биометрического признака в пакет запроса аутентификации, и возврата пакета запроса аутентификации на клиент биометрической аутентификации после подписания пакета запроса аутентификации с использованием личного ключа услуги; и
диспетчер жетонов и ключей, выполненный с возможностью обеспечения детектора аутентификации личности жетоном биометрического признака, соответствующим биометрическим данным, используемым пользователем в ходе последней успешной локальной биометрической проверки.
17. Устройство по п. 16, в котором пакет ответа аутентификационной информации дополнительно содержит проверочный код аутентификации виртуальной учетной записи, генерируемой сервером аутентификации; и
пакет запроса аутентификации дополнительно содержит проверочный код аутентификации, инкапсулированный детектором аутентификации личности, благодаря чему, после приема пакета запроса аутентификации, сервер аутентификации проверяет пакет запроса аутентификации на основании проверочного кода аутентификации и интервала времени между отправкой пакета ответа аутентификационной информации и приемом пакета запроса аутентификации.
18. Устройство по п. 16, в котором детектор аутентификации личности и диспетчер жетонов и ключей действуют в безопасной среде пользовательского оборудования.
19. Устройство для аутентификации биометрической идентификации, применяемое к серверу аутентификации, содержащее:
блок ответа аутентификационной информации, выполненный с возможностью приема пакета запроса аутентификационной информации пользовательского оборудования от сервера услуги, причем пакет запроса аутентификационной информации содержит идентификатор устройства пользовательского оборудования, получения идентификатора виртуальной учетной записи, соответствующего идентификатору устройства, инкапсуляции идентификатора виртуальной учетной записи и открытого ключа сервера в пакет ответа аутентификационной информации, и отправки пакета ответа аутентификационной информации на сервер услуги после подписания пакета ответа аутентификационной информации с использованием личного ключа сервера, соответствующего открытому ключу сервера, благодаря чему, сервер услуги пересылает пакет ответа аутентификационной информации на пользовательское оборудование;
блок приема запроса аутентификации, выполненный с возможностью приема пакета запроса аутентификации пользовательского оборудования от сервера услуги, и подписания пакета запроса аутентификации с использованием открытого ключа услуги, причем пакет запроса аутентификации содержит идентификатор устройства пользовательского оборудования, идентификатор виртуальной учетной записи, тип биометрической аутентификации и жетон биометрического признака; и получения зарегистрированного жетона биометрического признака и зарегистрированного открытого ключа услуги, соответствующих идентификатору устройства, идентификатору виртуальной учетной записи и типу биометрической аутентификации, которые присутствуют в пакете запроса аутентификации; и
блок проверки подписи и аутентификации, выполненный с возможностью осуществления проверки подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществления аутентификации личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
20. Устройство по п. 19, в котором устройство дополнительно содержит блок генерирования проверочного кода аутентификации, выполненный с возможностью генерации проверочного кода аутентификации виртуальной учетной записи;
пакет ответа аутентификационной информации дополнительно содержит генерируемый проверочный код аутентификации;
пакет запроса аутентификации дополнительно содержит проверочный код аутентификации; и
блок проверки подписи и аутентификации выполнен с возможностью: когда проверочный код аутентификации в пакете запроса аутентификации идентичен проверочному коду аутентификации, генерируемому для виртуальной учетной записи в пакете запроса аутентификации, и интервал времени между отправкой пакета ответа аутентификационной информации и приемом пакета запроса аутентификации находится в пределах второй заранее определенной длительности, осуществления проверки подписи на пакете запроса аутентификации с использованием зарегистрированного открытого ключа услуги, и осуществления аутентификации личности на пользователе на основании жетона биометрического признака в пакете запроса аутентификации и зарегистрированного жетона биометрического признака.
CN 102664885 A, 12.09.2012 | |||
CN 103067390 A, 24.04.2013 | |||
US 2013318359 A1, 28.11.2013 | |||
CN 103346888 A, 09.10.2013 | |||
ИНФРАСТРУКТУРА ВЕРИФИКАЦИИ БИОМЕТРИЧЕСКИХ УЧЕТНЫХ ДАННЫХ | 2007 |
|
RU2434340C2 |
Авторы
Даты
2020-08-17—Публикация
2017-03-22—Подача