[发明专利]一种身份认证方法及认证装置

权利要求书

1.一种身份认证方法，其特征在于，所述方法包括：

当身份鉴别服务器接收到鉴别申请时，认证设备执行如下步骤：

步骤1，所述认证设备接收所述身份鉴别服务器发送的所述鉴别请求；

步骤2，所述认证设备解析所述鉴别请求得到可信执行环境区域的标识和密钥标识；

步骤3，所述认证设备启动与所述可信执行环境区域的标识相对应的可信执行环境区域中的生物特征识别器；

步骤4，所述认证设备提示用户通过所述生物特征识别器输入生物识别特征；

步骤5，所述认证设备根据所述密钥标识在所述可信执行环境区域中检索对应的生物识别特征；

步骤6，所述认证设备判断所述用户输入的生物识别特征和检索到的与所述密钥标识所对应的生物识别特征是否匹配，如果匹配，则执行步骤7；如果不匹配，则报错，结束流程；

步骤7，所述认证设备根据所述密钥标识，从所述可信执行环境区域中的生物识别密钥管理器中检索对应的所述鉴别私钥；

步骤8，所述认证设备使用检索到的所述鉴别私钥根据与所述可信执行环境区域的标识相关联的应用类型标识生成第三签名值；

步骤9，所述认证设备根据所述第三签名值和所述应用类型标识生成鉴别响应；

步骤10，所述认证设备将所述鉴别响应发送给所述身份鉴别服务器。

2.如权利要求1所述的方法，其特征在于，当身份鉴别服务器接收到鉴别申请之前还包括以下步骤：

当身份鉴别服务器接收到注册申请时，认证设备执行如下步骤：

步骤01，所述认证设备接收所述身份鉴别服务器发送的注册请求，生成应用类型标识请求；

步骤02，所述认证设备将所述应用类型标识请求发送给应用服务器；

步骤03，所述认证设备接收所述应用服务器发送的应用类型标识请求响应，保存所述应用类型标识请求响应中的应用类型标识；

步骤04，所述认证设备启动所述可信执行环境区域中的生物特征识别器，提示用户通过生物特征识别器输入生物识别特征；

步骤05，所述认证设备将所述用户输入的生物识别特征保存到所述可信执行环境区域中的生物识别密钥管理器中；

步骤06，所述认证设备通过所述可信执行环境区域中的所述生物识别密钥管理器生成包括鉴别私钥和鉴别公钥的密钥对和对应的密钥标识；

步骤07，所述认证设备将所述用户输入的生物识别特征、所述密钥标识、所述应用类型标识和所述可信执行环境区域的标识进行关联，并使用所述鉴别私钥对所述可信执行环境区域的标识进行签名生成第二签名值，根据所述第二签名值、所述密钥标识、所述鉴别公钥和所述可信执行环境区域的标识生成注册请求响应；

步骤08，所述认证设备将所述注册请求响应发送给所述身份鉴别服务器。

3.如权利要求2所述的方法，其特征在于，所述步骤01之前还包括：所述认证设备接收所述身份鉴别服务器发送的认证设备验证请求，生成第一签名值，根据所述第一签名值生成认证设备验证响应，将所述认证设备验证响应发送给所述身份鉴别服务器。

4.如权利要求3所述的方法，其特征在于，所述认证设备接收所述身份鉴别服务器发送的认证设备验证请求，生成第一签名值，根据所述第一签名值生成认证设备验证响应具体包括：

所述认证设备接收所述身份鉴别服务器发送的认证设备验证请求，生成随机数，从所述认证设备的设备证书中读取厂商私钥，使用所述厂商私钥对所述随机数进行签名，生成第一签名值，根据所述第一签名值生成所述认证设备验证响应。

5.如权利要求4所述的方法，其特征在于，所述根据所述第一签名值生成所述认证设备验证响应具体包括：所述认证设备根据所述设备证书、所述随机数和所述第一签名值生成所述认证设备验证响应。

6.如权利要求2所述的方法，其特征在于，所述步骤04中所述认证设备启动所述可信执行环境区域中的生物特征识别器具体包括：所述认证设备从多个可信执行环境区域中选择一个空闲的可信执行环境区域作为所述可信执行环境区域，启动所述可信执行环境区域中的所述生物特征识别器。

7.如权利要求2所述的方法，其特征在于，所述步骤04之后还包括，在接收到所述用户输入的所述生物识别特征后，所述认证设备提示所述用户再次输入所述生物识别特征，并判断所述用户连续两次输入的所述生物识别特征是否一致，如果一致，则执行步骤05，如果不一致，则报错，结束流程。