[发明专利]生物特征离线身份识别方法及系统

权利要求书

1.生物特征离线身份识别方法，其特征在于，包括用户注册步骤和用户认证步骤；在客户端设备一侧，所述用户注册步骤包括：

身份认证客户端接收用户的生物特征输入操作；所述生物特征为可登陆所述终端设备的生物特征；

身份认证客户端对所述生物特征验证通过后，签名单元为身份认证客户端的账户名产生一对公钥和私钥，将私钥安全存储在客户端设备本地，并通过签名单元使用内置的设备私钥对所述公钥、账户名以及生物特征索引值的哈希结果进行签名，并连同签名单元产生的用户注册信息索引、公钥、账户名以及生物特征索引值一起发给离线认证单元，以供离线认证单元进行存储；

身份认证客户端将用户注册信息索引、公钥、账户名以及生物特征索引值连同这些数据的签名作为注册请求发送给身份认证服务器，以使得身份认证服务器接收注册请求后，使用签名单元的设备公钥进行验签，确认签名单元的合法性，通过后，保存该账户名和公钥、生物特征索引值，然后返回结果消息给身份认证客户端。

2.根据权利要求1所述的生物特征离线身份识别方法，其特征在于，用户认证步骤包括：

身份认证客户端接收用户输入的账户名，判断当前网络环境，网络环境不佳时自动启用离线方式；

离线认证单元解密本地存储对应账户名的数据，获取用户注册信息索引、公钥以及指纹索引值，使用以上参数组装认证报文发送给生物特征匹配单元；

生物特征匹配单元对生物特征进行验证，验证该生物特征是否是该设备所注册的生物特征，通过验证后，签名单元使用该生物特征所对应的用户私钥对该账户名和指纹索引值的哈希值进行签名，并连同该账户名和指纹索引值发送给离线认证单元；

离线认证单元用该账户名的公钥对报文进行验签，通过后检查认证请求中的生物特征索引值是否与注册时的生物特征索引值保持一致；

若一致，则离线认证单元通过认证，并将认证结果返回身份认证客户端，以便解锁设备。

3.根据权利要求1所述的生物特征离线身份识别方法，其特征在于，所述安全存储包括安全芯片、TEE可信执行环境、白盒软件。

4.根据权利要求1所述的生物特征离线身份识别方法，其特征在于，在用户注册步骤和用户认证之前，用户需要在安全设置中开启离线认证功能。

5.生物特征离线身份识别方法，其特征在于，包括用户注册步骤和用户认证步骤；在身份认证服务器一侧，所述用户注册步骤包括：

接收身份认证客户端发送的注册请求，使用签名单元的设备公钥进行验签，确认签名单元的合法性，通过后，保存该账户名和公钥、生物特征索引值，然后返回结果消息给身份认证客户端；其中，所述注册请求的生成过程包括：

身份认证客户端接收用户的生物特征输入操作；所述生物特征为可登陆所述终端设备的生物特征；

身份认证客户端对所述生物特征验证通过后，签名单元为身份认证客户端的账户名产生一对公钥和私钥，将私钥安全存储在客户端设备本地，并通过签名单元使用内置的设备私钥对所述公钥、账户名以及生物特征索引值的哈希结果进行签名，并连同签名单元产生的用户注册信息索引、公钥、账户名以及生物特征索引值一起发给离线认证单元，以供离线认证单元进行存储；

身份认证客户端将用户注册信息索引、公钥、账户名以及生物特征索引值连同这些数据的签名作为注册请求发送给身份认证服务器；

用户认证步骤包括：

身份认证客户端接收用户输入的账户名，判断当前网络环境，网络环境不佳时自动启用离线方式。

6.根据权利要求5所述的生物特征离线身份识别方法，其特征在于，在用户注册步骤和用户认证之前，用户需要在安全设置中开启离线认证功能。

7.生物特征离线身份识别系统，其特征在于，包括客户端设备和身份认证服务器，所述客户端设备和身份认证服务器均具有存储有计算机程序的介质，所述客户端设备的计算机程序执行权利要求1-4任一所述的方法，所述身份认证服务器的计算机程序执行权利要求5-6任一所述的方法。