WO2017152819A1

WO2017152819A1 - 一种授权认证方法、装置和系统

Info

Publication number: WO2017152819A1
Application number: PCT/CN2017/075745
Authority: WO
Inventors: 李明
Original assignee: Individual
Current assignee: Individual
Priority date: 2016-03-07
Filing date: 2017-03-06
Publication date: 2017-09-14
Anticipated expiration: 2018-09-07
Also published as: US10785218B2; JP2019512786A; US20190075103A1; EP3429157A4; EP3429157A1

Abstract

本发明提供一种授权认证方法、装置和系统，该授权认证方法包括：在生物肢体进入第一设备的预设范围后，第一设备通过生物肢体与第二设备建立通信连接；第一设备通过通信连接接收第二设备传输的待授权信息，待授权信息包括：数字认证信息；在生物肢体进入第一设备的预设范围的持续时间内，第一设备采集生物肢体的生物特征信息；第一设备获取对数字认证信息以及生物特征信息认证的认证结果，如果对数字认证信息以及生物特征信息认证的认证结果为认证通过，则第一设备执行授权操作。通过该授权认证方法可以防止他人利用腕表等电子设备冒充用户通过授权，保证了信息和财产的安全。

Description

一种授权认证方法、装置和系统

相关申请的交叉引用

本申请基于申请号为201610127235.6，申请日为2016年3月7日的中国专利申请、申请号为提出201610127334.4，申请日为2016年3月7日的中国专利申请，并要求上述中国专利申请的优先权，上述中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本发明涉及一种电子技术领域，尤其涉及一种授权认证方法、装置和系统。

背景技术

在用户使用电子设备获取某些特定场所(例如，办公区域、保密区域等)、网站登录、个人物品(汽车、保险柜等)、危险物品等的授权时，电子设备与设置在这些场所、个人物品或危险物品上的电子系统建立通信连接，然后将存储的密钥发送给电子系统，电子系统对密钥进行认证。由此可见，现有技术中的这种授权方式，其它人可以使用别人的电子设备进而获得授权，进而执行非法操作，造成用户的财产、信息等损失。

发明内容

本发明旨在解决上述问题之一。

本发明的主要目的在于提供一种授权认证方法。

本发明的另一目的在于提供一种授权认证装置。

本发明的又一目的在于提供一种授权认证系统。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明一方面提供了一种授权认证方法，包括：在生物肢体进入第一设备的预设范围后，所述第一设备通过所述生物肢体与第二设备建立通信连接；所述第一设备通过所述通信连接接收所述第二设备传输的待授权信息，所述待授权信息包括：数字认证信息；在所述生物肢体进入第一设备的预设范围的持续时间内，所述第一设备采集所述生物肢体的生物特征信息；所述第一设备获取对所述数字认证信息以及所述生物特征信息认证的认证结果，如果对所述数字认证信息以及所述生物特征信息认证的认证结果为认证通过，则所述第一设备执行授权操作。

此外，所述生物特征信息包括：指纹信息和/或静脉信息；所述第一设备采集所述生物肢体的生物特征信息包括：在所述生物肢体与所述第一设备接触的情况下，第一设备采集所述生物肢体与所述第一设备的接触部位的所述生物特征信息。

此外，所述第一设备获取对所述数字认证信息以及所述生物特征信息认证的认证结果包括：所述第一设备对所述数字认证信息以及所述生物特征信息进行认证，获得所述认证结果。

此外，所述第一设备获取对所述数字认证信息以及所述生物特征信息的认证结果包括：所述第一设备向后台发送所述生物特征信息以及所述数字认证信息；所述第一设备接收所述后台发送的所述认证结果，其中：所述认证结果为所述后台对所述数字认证信息以及所述生物特征信息进行认证，获得的认证结果。

此外，所述待授权信息还包括：标识信息；所述对所述数字认证信息以及所述生物特征信息认证包括：根据所述标识信息对所述数字认证信息以及所述生物特征信息进行认证。

此外，根据所述标识信息对所述数字认证信息以及所述生物特征信息进行认证包括：获取所述标识信息对应的认证因子和生物特征验证信息，并利用所述认证因子对所述数字认证信息进行数字认证以及检测所述生物特征验证信息与所述生物特征信息的匹配率，其中，所述认证结果为认证通过包括：在利用所述认证因子对所述数字认证信息进行数字认证通过且所述生物特征信息与所述生物特征验证信息的匹配率大于预设值时，所述认证结果为认证通过。

此外，所述利用所述认证因子对所述数字认证信息进行数字认证以及检测所述生物特征验证信息与所述生物特征信息的匹配率包括：

利用所述认证因子对所述数字认证信息进行认证，当对所述数字认证信息认证通过时，判断所述生物特征信息与所述生物特征验证信息的匹配率是否大于预设值；或

判断所述生物特征信息与所述生物特征验证信息的匹配率是否大于预设值，当判断出所述生物特征信息与所述生物特征验证信息的匹配率大于预设值时，利用所述认证因子对所述数字认证信息进行认证。

此外，所述数字认证信息包括利用私钥签名后获得的电子签名信息，所述认证因子包括对所述电子签名信息进行验签的公钥；所述利用所述认证因子对所述数字认证信息进行认证包括：利用所述公钥对所述电子签名信息进行验签；和/或所述数字认证信息包括利用对称密钥计算得到的MAC值，所述认证因子包括计算所述MAC值的对称密钥；所述利用所述认证因子对所述数字认证信息进行认证包括：利用所述对称密钥计算MAC校验值，验证所述MAC值和MAC校验值；和/或所述数字认证信息包括利用种子密钥生成的动态口令，所述认证因子包括所述验证所述动态口令的种子密钥；所述利用所述认证因子对所述数字认证信息进行认证包括：利用所述种子密钥对所述动态口令进行验证。

本发明另一方面还一种授权认证装置，包括：连接单元，在生物肢体进入授权认证装置的预设范围后，用于通过所述生物肢体与所述身份识别装置建立通信连接；接收单元，用于通过所述通信连接接收所述身份识别装置传输的待授权信息，所述待授权信息包括：数字认证信息；采集单元，在所述生物肢体进入授权认证装置的预设范围的持续时间内，用于采集所述生物肢体的生物特征信息；执行单元，用于获取对所述数字认证信息以及所述生物特征信息认证的认证结果，如果对所述数字认证信息以及所述生物特征信息认证的认证结果为认证通过，则执行授权操作。

此外，所述生物特征信息包括：指纹信息和/或静脉信息；所述采集单元，在所述生物肢体与所述授权认证装置接触的情况下，用于采集所述生物肢体与所述授权认证装置的接触部位的所述生物特征信息。

此外，所述执行单元，具体用于对所述数字认证信息以及所述生物特征信息进行认证，获得所述认证结果。

此外，所述执行单元，具体用于向后台发送所述生物特征信息以及所述数字认证信息，并接收所述后台发送的所述认证结果，其中：所述认证结果为所述后台对所述数字认证信息以及所述生物特征信息进行认证，获得的认证结果。

此外，所述利用所述认证因子对所述数字认证信息进行数字认证以及检测所述生物特征验证信息与所述生物特征信息的匹配率包括：利用所述认证因子对所述数字认证信息进行认证，当对所述数字认证信息认证通过时，判断所述生物特征信息与所述生物特征验证信息的匹配率是否大于预设值；或判断所述生物特征信息与所述生物特征验证信息的匹配率是否大于预设值，当判断出所述生物特征信息与所述生物特征验证信息的匹配率大于预设值时，利用所述认证因子对所述数字认证信息进行认证。

本发明又一方面还提供一种授权认证系统，包括：身份识别装置以及如权利要求9-16所述的授权认证装置；所述身份识别装置，用于通过所述通信连接向所述授权认证装置发送所述待授权信息。

此外，所述系统还包括：后台，用于接收所述授权认证装置发送的所述生物特征信息以及所述数字认证信息，对所述数字认证信息以及所述生物特征信息进行认证，获得认证结果，并将所述认证结果发送至所述授权认证装置。

由上述本发明提供的技术方案可以看出，本发明提供了一种授权认证方法、装置及系统，通过该授权认证方法可以验证腕表等电子设备的数字认证信息和人体的生物特征信息，保证了所验证的数字认证信息和生物特征信息的关联性和统一性，在本发明的授权认证方法中，对数字认证信息的验证和对人体生物特征信息的验证在一次连续的操作中完成，一旦分开两次进行则会导致验证的不成功，从而能够防止他人利用腕表等电子设备冒充用户通过授权，保证了信息和财产的安全。此外，本发明通过人体活体当作传输导体，可以有效地防止非法分子利用他人的电子设备和生物特征信息来通过授权。此外，使用本发明的授权认证方法，可以将用户需要使用的多种数字认证密钥信息均存储在腕表等随身携带的电子设备，电子设备自动将数字认证信息发送给认证端，用户只需采集生物特征信息即可完成被授权操作，方便快捷安全。

根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。

附图说明

后文将参照附图以示例性而非限制性的方式详细描述本发明的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解，这些附图未必是按比例绘制的。附图中：

图1为本发明实施例1提供的授权认证方法的流程图；

图2为本发明实施例1提供的授权认证装置的结构示意图；

图3为本发明实施例1提供的授权认证系统的结构示意图。

具体实施方式

在本发明中利用生物肢体来进行通信，即利用生物肢体将通信的双方设备纳入到体域网范围内。所谓体域网(Body Area Network，简称BAN)就是以人体为中心，由和人体相关的网络元素(包括个人终端，分布在人身体上、衣物上、人体周围一定距离范围如3～5米内、甚至人身体内部的传感器、组网设备)等组成的通信网络，因此，只有和人体相关的网络元素进入通信设备的这个预设范围内，才能建立体域网的人体通信连接。

实施例1

本发明提供一种授权认证方法，如图1所示，包括：

步骤S101，在生物肢体进入第一设备的预设范围后，第一设备通过生物肢体与第二设备建立通信连接。

具体的实施方式中，第一设备具备生物特征采集功能，且能够与第二设备通过生物肢体进行通信的。第一设备可以用于对场所(办公区域、保密区域)、网站登录、个人物品(汽车、保险柜等)、危险物品等的进入或使用权限进行管理，第一设备也可以用于执行交易，例如可以是门禁读卡器、智能汽车锁、保险柜锁、危险物品管理器、带有生物识别功能的计算机、ATM机和POS机等。

第二设备放置于活体(包括人体、动物体等)外部(佩戴在活体或者携带在活体周边)或植入活体体内，例如，第二设备可以是可穿戴设备(智能腕表、智能眼镜等)、智能手机、植入活体内的传感设备等。当第二设备与生物肢体处于可通信范围内(例如佩戴在手腕、颈脖)时，第二设备与活体建立人体通信信道，生物肢体可以相当于第二设备的扩展天线，当检测方检测到生物肢体时，即相当于检测到该第二设备。

第一设备在利用人体信道进行通信时，其具有预设的通信范围，当携带有第二设备的生物肢体进入到其通信范围时，第一设备可以检测到生物肢体，第二设备通过该生物肢体扩展的天线，也可以检测到第一设备。当然，上述第一设备和第二设备可以还支持其他的有线或者无线通信方式。

在具体的实施方式中，第一设备与第二设备通过生物肢体建立体域网(Body Area Network，BAN)，利用生物肢体建立活体通信信道，从而实现通过生物肢体来传输第一设备和第二设备之间的数据，实现利用活体进行通信。第一设备通过生物肢体与第二设备建立通信连接可以通过有线方式和无线方式，具体地，至少可以通过以下两种方式之一实现：

有线方式：第一设备和第二设备均设有电极，第一设备与植入人体内或者佩戴在人体身上的第二设备的生物肢体接触(例如，佩戴有腕表的用户将手指接触POS机)时，将人体作为导体，双方的电极连通形成人体内的通路，该人体内的通路可以是简单线路方式，也可以电流耦合方式，从而实现有线方式的通信。此时第一设备需要与佩戴有第二设备的生物肢体接触，通过电平变化或者波导来传输信号，从而完成通信。

无线方式：在无线方式中，第一设备和第二设备均可以检测周围的电场是否发送变化，如果通信对方进入到人体通信允许的范围内，就能检测到场强变化，与对方建立通信连接。

此外，在通信的发起方面，可以由第一设备实时检测第二设备，在检测到第二设备后主动发起通信；也可以由第二设备来主动检测第一设备，从而主动发起通信。

上述方式利用人体作为电信号的传输介质，实现体表、体内及人体周围(3～5米)的设备的信息交互。与传统的蓝牙、WIFI、射频和红外等无线通信技术相比，人体通信过程中信号经过人体传输，因而电磁噪声对其影响很小，具有低功耗、高保密性以及更低的人体损害等优点。此外由于不存在多人通信时效率降低的问题，也可免除有线通讯方式冗余的连线困扰。

步骤S102，第一设备通过通信连接接收第二设备传输的待授权信息，待授权信息包括：数字认证信息。

具体的实施方式中，第二设备可以是自己生成待传输的待授权信息后发送给第一设备，也可以由第二设备接收待授权信息生成装置发来的待授权信息后发送给第一设备。该待授权信息中包括有用于进行数字认证的信息，例如，该数字认证信息可以是利用私钥签名后获得的电子签名信息(当该电子签名信息由待授权信息生成装置生成时，此时该待授权信息生成装置可以是电子签名设备、USBkey等装置)；该数字认证信息可以是利用对称密钥计算得到的MAC值(当该MAC值由待授权信息生成装置生成时，此时该待授权信息生成装置可以是密码机等装置)；该数字认证信息可以是种子密钥生成的动态口令(当该动态口令由待授权信息生成装置生成时，此时该待授权信息生成装置可以是OTP等装置)。

该待授权信息还可以包括代表第二设备的信息(如产品序列号等)、持有者身份信息、用户帐号等信息。

当然，第二设备可以通过广播方式发送该待授权信息，也可以在接收到第一设备的授权请求信息后再向第二设备发送待授权信息。

步骤S103，在生物肢体进入第一设备的预设范围的持续时间内，第一设备采集生物肢体的生物特征信息；具体的实施方式中，生物特征信息包括指纹信息、虹膜信息、人脸信息和静脉信息等信息。该第一设备设置有用于采集生物特征信息的模块，例如，指纹采集模块，用于在人体的手指进入到第一设备的预设通信范围内并且接触到第一设备的指纹采集模块时，采集该手指的指纹，又如，静脉采集模块，用于在人体的手腕进入到第一设备的预设通信范围内并且接触到静脉采集模块时，采集该手腕中的静脉信息，还比如，虹膜采集模块，用于在人眼进入到第一设备的预设通信范围内并且位于虹膜采集区域时，采集该人眼的虹膜信息，还比如，人脸识别模块，用于在人脸进入到第一设备的预设通信范围内并且位于人脸采集区域时，采集该人脸的人脸信息。

在本发明的一个实施方式中，当生物特征信息为指纹信息和/或静脉信息时；第一设备采集生物肢体的生物特征信息包括：在生物肢体与第一设备接触的情况下，第一设备采集生物肢体与第一设备的接触部位的生物特征信息。

具体来说，当生物特征信息为指纹信息或静脉信息时，第一设备需要接触用户的生物肢体才能采集到相应的生物特征信息，用户通过主动接触第一设备采集指纹或者静脉信息，避免了在人多拥挤场合其他用户不经意通过时造成的误通信，保证了通信的唯一性和安全性，同时表达了用户的真实意图和真实身份。

第一设备采集生物肢体的生物特征信息这一动作可以在第一设备与第二设备建立通信的持续过程中完成，也可以在在第一设备和第二设备建立通信之前完成。只要保证采集生物肢体的生物特征信息与授权通信是在一次连续的操作中完成即可，从而保证发送的待授权信息和生物特征信息的一致性。

需要注意的是，步骤103与步骤101和步骤102的执行不存在先后顺序，步骤103可以在步骤101之后步骤102之前执行，也可以与步骤102同时执行，还可以在步骤102之后执行。

步骤S104，第一设备获取对数字认证信息以及生物特征信息认证的认证结果，如果对数字认证信息以及生物特征信息认证的认证结果为认证通过，则第一设备执行授权操作。具体的，当第一设备可以利用自身预存的信息对数字认证信息以及生物特征信息进行认证，也可以将数字认证信息以及生物特征信息发送给与之连接的后台，利用后台对数字认证信息以及生物特征信息进行认证。当获得认证通过的结果时，则第一设备执行相应的授权操作，如授权登录网站、授权打开门禁、授权打开某些设备(汽车、枪支等)。

在本发明的具体实施方式中，第一设备获取对数字认证信息以及生物特征信息认证的认证结果可以通过但不限于以下方式完成：

方式一、第一设备对数字认证信息以及生物特征信息进行认证，获得认证结果。具体来说，第一设备可以存储有与数字认证和生物特征相关的密钥以及其他信息，同时具备对数字认证信息以及生物特征信息进行认证的功能模块，可以自行完成整个认证过程，从而可以提高授权的效率，且由于第一设备可以独立完成授权，保证了授权的安全性。例如，当该第一设备是门禁卡读卡器、保险柜锁等设备时，由门禁卡读卡器、保险柜锁等自行完成认证功能，可以让持有有效授权信息的用户快速、安全、便捷地打开这些设备。

方式二、第一设备向后台发送生物特征信息以及数字认证信息；第一设备接收后台发送的认证结果，其中：认证结果为后台对数字认证信息以及生物特征信息进行认证，获得的认证结果。具体来说，第一设备可以仅完成对生物特征信息的采集以及与第二设备的通信，而将认证的过程交由后台完成，后台具备更快的运算速度，可以快速完成复杂的运算。此外，将采集部分和认证部分分开放置，也可以保证系统的安全性。

通过本发明的授权认证方法，可以验证腕表等电子设备的数字认证信息和人体的生物特征信息，保证了所验证的数字认证信息和生物特征信息的关联性和统一性，在本发明的授权认证方法中，对数字认证信息的验证和对人体生物特征信息的验证在一次连续的操作中完成，一旦分开两次进行则会导致验证的不成功，从而能够防止他人利用腕表等电子设备冒充用户通过授权，保证了信息和财产的安全。此外，本发明通过人体活体当作传输导体，可以有效地防止非法分子利用他人的电子设备和生物特征信息来通过授权。此外，使用本发明的授权认证方法，可以将用户需要使用的多种数字认证密钥信息均存储在腕表等随身携带的电子设备，电子设备自动将数字认证信息发送给认证端，用户只需采集生物特征信息即可完成被授权操作，方便快捷安全。

在本发明的一个实施方式中，待授权信息还包括：标识信息；对数字认证信息以及生物特征信息认证包括：根据标识信息对数字认证信息以及生物特征信息进行认证。具体来说，第一设备在获取到第二设备发送来的待授权信息时，该待授权信息中还包括了用于指示获取对数字认证信息和生物特征信息进行认证的关键信息的标识信息，标识信息可以是序列号、名称、索引号等方式。通过标识信息可以快速获取到用于数字认证信息和生物特征信息认证的关键信息，提高认证的速度和效率。

在本发明的一个实施方式中，根据标识信息对数字认证信息以及生物特征信息进行认证包括：获取标识信息对应的认证因子和生物特征验证信息，并利用认证因子对数字认证信息进行数字认证以及检测生物特征验证信息与生物特征信息的匹配率，其中，认证结果为认证通过包括：在利用认证因子对数字认证信息进行数字认证通过且生物特征信息与生物特征验证信息的匹配率大于预设值时，认证结果为认证通过。具体的，根据标识信息可以索引或者查快速地找出与数字认证信息对应的认证因子以及与生物特征信息对应的生物特征验证信息，例如，当数字认证信息为一个电子签名信息时，该标识信息可以是指示找到对应的用于验证签名的公钥，该公钥可以直接存放或者存放在数字证书中，该标识信息可以标识该公钥的编号或者数字证书的编号，从而使得要进行验证的设备可以从数据库中快速找到对应的公钥；当获取到的生物特征信息是指纹信息时，该标识信息可以是该指纹信息的编号或者持有该指纹信息的用户的编号，从而可以通过标识信息迅速准确地获取到对应的认证因子和生物特征验证信息。当对数字认证信息和生物特征信息进行认证的过程中，可以先对数字认证信息进行认证，也可以先对生物特征信息进行认证，也可以同时进行认证，只有当对两者的认证结果均为通过时，才确定认证结果为认证通过。

目前对生物特征信息的验证方式主要是通过设定匹配率，判断采集到的生物特征信息与生物特征验证信息进行比对，当匹配率大于一定值时，则判断为验证通过。而由于现在生物识别技术的限制，设置高匹配率虽然可以确保结果的真实性，但是高匹配率往往经常会使得误将真实的用户判定为错误用户或识别失败从而拒绝授权，造成用户的操作不便。例如，现有技术中，检测生物特征验证信息与接收到的生物特征信息的匹配率大于特定门限值(例如，99％、90％等)时，则认为生物特征验证信息与接收到的生物特征信息为同一生物特征信息，生物认证信息认证通过，即在本实施例中，特定门限值为指示两个生物特征信息为同一个生物特征信息的匹配率。为避免出现非法用户也通过认证的情况，现有技术中该特定门限值通常设置较高，此时容易出现合法用户无法识别而导致认证失败的问题。本申请为了降低合法用户认证失败的概率，所采取的预设值小于现有技术中的特定门限值，当检测所述生物特征验证信息与所述生物特征信息的匹配率大于预设值(例如，匹配率大于预设值但小于现有技术中的特定门限值)时，通过结合上述利用所述数字认证因子对所述待认证信息进行数字认证的结果来确定最终的认证结果。利用本发明的生物特征信息和数字认证信息双重验证，由于数字认证的强认证作用，可以将对生物特征认证的匹配率设置得比一般设备的生物特征认证匹配率低，从而降低了携带有真实生物特征的用户被误判为错误用户或识别失败的概率。

在本发明的一个实施方式中，利用认证因子对数字认证信息进行数字认证以及检测生物特征验证信息与生物特征信息的匹配率包括：利用认证因子对数字认证信息进行认证，当对数字认证信息认证通过时，判断生物特征信息与生物特征验证信息的匹配率是否大于预设值；或判断生物特征信息与生物特征验证信息的匹配率是否大于预设值，当判断出生物特征信息与生物特征验证信息的匹配率大于预设值时，利用认证因子对数字认证信息进行认证。具体的，在对数字认证信息和生物特征信息进行认证的过程中，先对数字认证信息进行认证，可以通过强认证作用的数字认证的保证，来降低了真实合法的用户被识别失败的概率，且当数字认证没有通过时，无需再对生物特征信息进行验证，简化了流程；而当先对生物认证信息进行认证时，通过对生物特征信息验证，可以识别出假冒者，从而无需再进行后续的数字认证流程，简化了流程。

在本发明的具体实施方式中，对数字认证信息的认证可以包括但不限于以下的一种或几种方式：

方式一、数字认证信息包括利用私钥签名后获得的电子签名信息，认证因子包括对电子签名信息进行验签的公钥；利用认证因子对数字认证信息进行认证包括：利用公钥对电子签名信息进行验签；具体的，该方式中数字认证为电子签名认证，电子签名信息的生成方式可以采用私钥对预设值(如随机数等)进行签名，得到签名值，将签名值和预设值作为电子签名信息。通过电子签名认证可以确保该数字认证经过了用户的真实授权，且具有防止用户对执行过的操作反悔和抵赖的功能。

方式二、数字认证信息包括利用对称密钥计算得到的MAC值，认证因子包括计算MAC值的对称密钥；利用认证因子对数字认证信息进行认证包括：利用对称密钥计算MAC校验值，验证MAC值和MAC校验值；具体的，该方式中数字认证为利用对称密钥对信息进行加密后，由验证方利用对称密钥对信息进行解密，例如采用对称算法(例如MAC计算)利用对称密钥对预设值进行加密得到密文值(例如MAC值)，将密文值和预设值作为密文信息，通过该方式可以保证数据传输的安全性，提高通信的安全，同时还能通过双方预存的对称密钥来验证用户的身份。

方式三、数字认证信息包括利用种子密钥生成的动态口令，认证因子包括验证动态口令的种子密钥；利用认证因子对数字认证信息进行认证包括：利用种子密钥对动态口令进行验证。具体的，该方式中利用动态口令来验证身份，可以基于时间或者基于挑战值生成的动态口令，通过该动态口令可以验证用户的真实身份，保证授权的安全性。

本实施例还提供一种授权认证装置20，如图2所示。该授权认证装置20是授权认证方法对应的装置，该授权认证装置20相当于授权认证方法中的第一设备，而身份识别装置30相当于授权认证方法中的第二设备。在此仅对该授权认证装置20的结构进行简单说明，其余未尽之处参照对授权认证方法的描述。该授权认证装置20包括：

连接单元201，在生物肢体进入授权认证装置20的预设范围后，用于通过生物肢体与身份识别装置30建立通信连接；

接收单元202，用于通过通信连接接收身份识别装置30传输的待授权信息，待授权信息包括：数字认证信息；

采集单元203，在生物肢体进入授权认证装置20的预设范围的持续时间内，用于采集生物肢体的生物特征信息；

执行单元204，用于获取对数字认证信息以及生物特征信息认证的认证结果，如果对数字认证信息以及生物特征信息认证的认证结果为认证通过，则执行授权操作。

在本发明的一个实施方式中，生物特征信息包括：指纹信息和/或静脉信息；

采集单元203，在生物肢体与授权认证装置20接触的情况下，用于采集生物肢体与授权认证装置20的接触部位的生物特征信息。

在本发明的一个实施方式中，执行单元204获取对数字认证信息以及生物特征信息认证的认证结果可以通过但不限于以下两种方式完成：

方式一、执行单元204，具体用于对数字认证信息以及生物特征信息进行认证，获得认证结果。

方式二、执行单元204，具体用于向后台40发送生物特征信息以及数字认证信息，并接收后台发送的认证结果，其中：认证结果为后台40对数字认证信息以及生物特征信息进行认证，获得的认证结果。

在本发明的一个实施方式中，待授权信息还包括：标识信息；对数字认证信息以及生物特征信息认证包括：根据标识信息对数字认证信息以及生物特征信息进行认证。

在本发明的一个实施方式中，根据标识信息对数字认证信息以及生物特征信息进行认证包括：获取标识信息对应的认证因子和生物特征验证信息，并利用认证因子对数字认证信息进行数字认证以及检测生物特征验证信息与生物特征信息的匹配率，其中，认证结果为认证通过包括：在利用认证因子对数字认证信息进行数字认证通过且生物特征信息与生物特征验证信息的匹配率大于预设值时，认证结果为认证通过。

在本发明的一个实施方式中，利用认证因子对数字认证信息进行数字认证以及检测生物特征验证信息与生物特征信息的匹配率包括：

利用认证因子对数字认证信息进行认证，当对数字认证信息认证通过时，判断生物特征信息与生物特征验证信息的匹配率是否大于预设值；或

判断生物特征信息与生物特征验证信息的匹配率是否大于预设值，当判断出生物特征信息与生物特征验证信息的匹配率大于预设值时，利用认证因子对数字认证信息进行认证。

在本发明的一个实施方式中，对数字认证信息进行认证可以通过但不限于以下方式完成：

方式一、数字认证信息包括利用私钥签名后获得的电子签名信息，认证因子包括对电子签名信息进行验签的公钥；利用认证因子对数字认证信息进行认证包括：利用公钥对电子签名信息进行验签；和/或

方式二、数字认证信息包括利用对称密钥计算得到的MAC值，认证因子包括计算MAC值的对称密钥；利用认证因子对数字认证信息进行认证包括：利用对称密钥计算MAC校验值，验证MAC值和MAC校验值；和/或

方式三、数字认证信息包括利用种子密钥生成的动态口令，认证因子包括验证动态口令的种子密钥；利用认证因子对数字认证信息进行认证包括：利用种子密钥对动态口令进行验证。

本实施例还提供一种授权认证系统，如图3所示，该授权认证系统包括前述的身份识别装置30以及前述的授权认证装置20；

身份识别装置30，用于通过通信连接向授权认证装置20发送待授权信息。

在本发明的一个实施方式中，授权认证系统还包括：后台40，用于接收授权认证装置20发送的生物特征信息以及数字认证信息，对数字认证信息以及生物特征信息进行认证，获得认证结果，并将认证结果发送至授权认证装置20。

本发明的实施例提供了一种计算机程序，当其在处理器上运行时，执行上述的授权认证方法。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。

至此，本领域技术人员应认识到，虽然本文已详尽示出和描述了本发明的多个示例性实施例，但是，在不脱离本发明精神和范围的情况下，仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此，本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。

Claims

一种授权认证方法，其特征在于，包括：

在生物肢体进入第一设备的预设范围后，所述第一设备通过所述生物肢体与第二设备建立通信连接；

所述第一设备通过所述通信连接接收所述第二设备传输的待授权信息，所述待授权信息包括：数字认证信息；

在所述生物肢体进入第一设备的预设范围的持续时间内，所述第一设备采集所述生物肢体的生物特征信息；

所述第一设备获取对所述数字认证信息以及所述生物特征信息认证的认证结果，如果对所述数字认证信息以及所述生物特征信息认证的认证结果为认证通过，则所述第一设备执行授权操作。
根据权利要求1所述的方法，其特征在于，

所述生物特征信息包括：指纹信息和/或静脉信息；

所述第一设备采集所述生物肢体的生物特征信息包括：

在所述生物肢体与所述第一设备接触的情况下，第一设备采集所述生物肢体与所述第一设备的接触部位的所述生物特征信息。
根据权利要求1或2所述的方法，其特征在于，所述第一设备获取对所述数字认证信息以及所述生物特征信息认证的认证结果包括：

所述第一设备对所述数字认证信息以及所述生物特征信息进行认证，获得所述认证结果。
根据权利要求1或2所述的方法，其特征在于，所述第一设备获取对所述数字认证信息以及所述生物特征信息的认证结果包括：

所述第一设备向后台发送所述生物特征信息以及所述数字认证信息；

所述第一设备接收所述后台发送的所述认证结果，其中：所述认证结果为所述后台对所述数字认证信息以及所述生物特征信息进行认证，获得的认证结果。
根据权利要求3或4所述的方法，其特征在于，所述待授权信息还包括：标识信息；

所述对所述数字认证信息以及所述生物特征信息认证包括：

根据所述标识信息对所述数字认证信息以及所述生物特征信息进行认证。
根据权利要求5所述的方法，其特征在于，根据所述标识信息对所述数字认证信息以及所述生物特征信息进行认证包括：

获取所述标识信息对应的认证因子和生物特征验证信息，并利用所述认证因子对所述数字认证信息进行数字认证以及检测所述生物特征验证信息与所述生物特征信息的匹配率，其中，所述认证结果为认证通过包括：在利用所述认证因子对所述数字认证信息进行数字认证通过且所述生物特征信息与所述生物特征验证信息的匹配率大于预设值时，所述认证结果为认证通过。
根据权利要求6所述的方法，其特征在于，所述预设值小于特定门限值，其中，所述特定门限值为指示两个生物特征信息为同一个生物特征信息的匹配率。
一种授权认证装置，其特征在于，包括：

连接单元，在生物肢体进入授权认证装置的预设范围后，用于通过所述生物肢体与身份识别装置建立通信连接；

接收单元，用于通过所述通信连接接收所述身份识别装置传输的待授权信息，所述待授权信息包括：数字认证信息；

采集单元，在所述生物肢体进入授权认证装置的预设范围的持续时间内，用于采集所述生物肢体的生物特征信息；

执行单元，用于获取对所述数字认证信息以及所述生物特征信息认证的认证结果，如果对所述数字认证信息以及所述生物特征信息认证的认证结果为认证通过，则执行授权操作。
根据权利要求8所述的装置，其特征在于，所述生物特征信息包括：指纹信息和/或静脉信息；

所述采集单元，在所述生物肢体与所述授权认证装置接触的情况下，用于采集所述生物肢体与所述授权认证装置的接触部位的所述生物特征信息。
根据权利要求8或9所述的装置，其特征在于，

所述执行单元，具体用于对所述数字认证信息以及所述生物特征信息进行认证，获得所述认证结果。
根据权利要求8或9所述的装置，其特征在于，

所述执行单元，具体用于向后台发送所述生物特征信息以及所述数字认证信息，并接收所述后台发送的所述认证结果，其中：所述认证结果为所述后台对所述数字认证信息以及所述生物特征信息进行认证，获得的认证结果。
根据权利要求10或11所述的装置，其特征在于，所述待授权信息还包括：标识信息；

所述对所述数字认证信息以及所述生物特征信息认证包括：

根据所述标识信息对所述数字认证信息以及所述生物特征信息进行认证。
根据权利要求12所述的装置，其特征在于，根据所述标识信息对所述数字认证信息以及所述生物特征信息进行认证包括：

获取所述标识信息对应的认证因子和生物特征验证信息，并利用所述认证因子对所述数字认证信息进行数字认证以及检测所述生物特征验证信息与所述生物特征信息的匹配率，其中，所述认证结果为认证通过包括：在利用所述认证因子对所述数字认证信息进行数字认证通过且所述生物特征信息与所述生物特征验证信息的匹配率大于预设值时，所述认证结果为认证通过。
根据权利要求13所述的装置，其特征在于，所述预设值小于特定门限值，其中，所述特定门限值为指示两个生物特征信息为同一个生物特征信息的匹配率。
一种授权认证系统，其特征在于，包括：身份识别装置以及如权利要求8-14所述的授权认证装置；

所述身份识别装置，用于通过所述通信连接向所述授权认证装置发送所述待授权信息。
根据权利要求15所述的系统，其特征在于，所述系统还包括：

后台，用于接收所述授权认证装置发送的所述生物特征信息以及所述数字认证信息，对所述数字认证信息以及所述生物特征信息进行认证，获得认证结果，并将所述认证结果发送至所述授权认证装置。
一种计算机程序，当其在处理器上运行时，执行如权利要求1-7中任一项所述的授权认证方法。