本發明實施例公開了一種身份認證方法、裝置以及移動終端，其中的方法包括：TA向運行在SE模塊中的Applet發送用戶指紋驗證請求；Applet驅動指紋模塊采集用戶指紋，獲取指紋模塊發送的待驗證指紋數據；Applet將待驗證指紋數據與在其內部存儲的指紋特征數據進行比對，進行用戶身份驗證，并向TA發送用戶身份驗證結果消息。本發明的方法、裝置以及移動終端，可以在較安全的TEE環境中發起指紋驗證請求和處理驗證結果，并且在更安全的SE環境中執行指紋特征數據的采集、安全存儲、驗證，不同的Applet所存儲的指紋特征數據完全隔離，達到指紋特征數據的安全存儲與驗證，保證了交易等業務的安全性。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種身份認證方法、裝置以及移動終端。

背景技術

近年來，在智能移動終端上進行網銀交易的需求日益旺盛，交易筆數和交易金額快速增長，但安全性問題卻不容樂觀。以安卓系統為例，通常在TEE側有一個指紋TA負責指紋的采集、驗證與集中存儲，指紋TA向REE側應用提供指紋采集和驗證服務。利用指紋進行身份認證有以下兩種典型應用場景：1、用指紋解鎖手機鎖屏：通過REE側的APP發起指紋驗證請求，由TEE側的指紋TA執行指紋采集和驗證，將驗證結果返回給REE側的APP，由APP執行解鎖動作；2、用指紋確認交易：通過REE側的APP發起交易，TEE側的交易TA顯示交易信息，再返回到REE側由APP發起指紋驗證服務請求，TEE側的指紋TA執行指紋采集和驗證，TEE側的交易TA從指紋TA處獲得驗證結果后對交易進行數字簽名。

應用場景一最終由REE側的APP處理指紋驗證結果，由于處于不可信執行環境，得到的處理結果也是不可信的。應用場景二在交易過程中不得不從TEE環境中回到REE環境以向指紋TA發起指紋驗證請求，必然增大了整個交易流程受到攻擊的風險。同時，在現有技術下，無論哪種應用場景，涉及到的指紋特征數據都是共享的，都由同一個指紋TA集中存儲和驗證，帶來很大的安全隱患；此外，現有技術在TEE中執行指紋特征數據的存儲和驗證，與SE環境相比其安全級別較低。

發明內容

有鑒于此，本發明要解決的一個技術問題是提供一種身份認證方法、裝置以及移動終端。

根據本發明的一個方面，提供一種身份認證方法，包括：運行在可信執行環境TEE中的可信應用TA向運行在安全元件SE模塊中的Applet發送用戶指紋驗證請求；所述Applet驅動指紋模塊采集用戶指紋，獲取所述指紋模塊發送的待驗證指紋數據；所述Applet將所述待驗證指紋數據與在其內部存儲的指紋特征數據進行比對，進行用戶身份驗證，并向所述TA發送用戶身份驗證結果消息。

可選地，所述TA向所述Applet發送用戶身份驗證請求包括：所述TA通過第一APDU命令向與此TA對應的所述Applet發送所述用戶指紋驗證請求，其中，所述第一APDU命令中攜帶有指紋特征標識信息。

可選地，所述Applet將所述待驗證指紋數據與存儲的指紋特征數據進行比對、進行用戶身份驗證包括：所述Applet獲取與所述指紋特征標識信息相對應的所述指紋特征數據；所述Applet將此指紋特征數據與所述待驗證指紋數據進行比對，如果確定比對成功，則確定用戶身份驗證成功。

可選地，接收到所述Applet發送的用戶身份驗證成功消息，所述TA通過第二APDU命令將與此用戶對應的交易報文發送給所述Applet進行簽名處理。

可選地，所述Applet在確定用戶身份驗證成功后，將通過驗證的用戶的驗證標識設置為有效；所述Applet獲取與此用戶對應的私鑰對所述交易報文進行簽名處理，并在簽名處理后，將此用戶的驗證標識設置為無效。

可選地，所述SE模塊中有多個所述Applet運行，在不同的所述Applet中所存儲的指紋特征數據相互隔離。