[发明专利]生物特征离线身份识别方法及系统

说明书

本发明公开了一种生物特征离线身份识别方法及系统，方法包括用户注册步骤和用户认证步骤，通过在身份认证客户端设置离线认证单元，可以在无网或网络环境不佳时将自动切换至离线认证，不依靠服务端，仅通过设备本地完成校验。

技术领域

本发明涉及身份认证技术领域，特别是一种生物特征离线身份识别方法及系统。

背景技术

目前，现有技术常见的使用生物特征识别技术进行身份认证的方案(主要在移动智能手机上使用)基于Android和iOS平台开发，认证过程中需要服务端参与校验,因此必须依赖网络在线进行，如网络环境不佳将可能导致认证失败。举例来说，如现有生物特征识别技术应用于解锁启动车辆的控制系统，但当车辆停放在地下车库内的场景下，网络环境不佳的情况时有发生，这将在很大程度上干扰认证执行或最终导致认证失败无法解锁启动车辆，所以现有的生物特征在线认证鉴别身份的方案不适用该类场景。

因鉴于此，特提出本发明。

发明内容

本发明的目的在于提供一种生物特征离线身份识别方法及系统，可以在无网或网络环境不佳时将自动切换至离线认证，不依靠服务端，仅通过设备本地完成校验。

为解决上述问题，第一方面，本发明实施例提供一种生物特征离线身份识别方法，包括用户注册步骤和用户认证步骤；在客户端设备一侧，所述用户注册步骤包括：

身份认证客户端接收用户的生物特征输入操作；所述生物特征为可登陆所述终端设备的生物特征；

身份认证客户端对所述生物特征验证通过后，签名单元为身份认证客户端的账户名产生一对公钥和私钥，将私钥安全存储在客户端设备本地，并通过签名单元使用内置的设备私钥对所述公钥、账户名以及生物特征索引值的哈希结果进行签名，并连同签名单元产生的用户注册信息索引、公钥、账户名以及生物特征索引值一起发给离线认证单元，以供离线认证单元进行存储；

身份认证客户端将用户注册信息索引、公钥、账户名以及生物特征索引值连同这些数据的签名作为注册请求发送给身份认证服务器，以使得身份认证服务器接收注册请求后，使用签名单元的设备公钥进行验签，确认签名单元的合法性，通过后，保存该账户名和公钥、生物特征索引值，然后返回结果消息给身份认证客户端。

进一步地，用户认证步骤包括：

身份认证客户端接收用户输入的账户名，判断当前网络环境，网络环境不佳时自动启用离线方式；

离线认证单元解密本地存储对应账户名的数据，获取用户注册信息索引、公钥以及指纹索引值，使用以上参数组装认证报文发送给生物特征匹配单元；

生物特征匹配单元对生物特征进行验证，验证该生物特征是否是该设备所注册的生物特征，通过验证后，签名单元使用该生物特征所对应的用户私钥对该账户名和指纹索引值的哈希值进行签名，并连同该账户名和指纹索引值发送给离线认证单元；

离线认证单元用该账户名的公钥对报文进行验签，通过后检查认证请求中的生物特征索引值是否与注册时的生物特征索引值保持一致；

若一致，则离线认证单元通过认证，并将认证结果返回身份认证客户端，以便解锁设备。

进一步地，所述安全存储包括安全芯片、TEE可信执行环境、白盒软件。

进一步地，在用户注册步骤和用户认证之前，用户需要在安全设置中开启离线认证功能。

第二方面，本发明实施例提供一种生物特征离线身份识别方法，包括用户注册步骤和用户认证步骤；在身份认证服务器一侧，所述用户注册步骤包括：

接收身份认证客户端发送的注册请求，使用签名单元的设备公钥进行验签，确认签名单元的合法性，通过后，保存该账户名和公钥、生物特征索引值，然后返回结果消息给身份认证客户端；其中，所述注册请求的生成过程包括：