CN111401901A - 生物支付设备的认证方法、装置、计算机设备和存储介质 - Google Patents
生物支付设备的认证方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN111401901A CN111401901A CN202010208265.6A CN202010208265A CN111401901A CN 111401901 A CN111401901 A CN 111401901A CN 202010208265 A CN202010208265 A CN 202010208265A CN 111401901 A CN111401901 A CN 111401901A
- Authority
- CN
- China
- Prior art keywords
- payment
- key
- biological
- authentication server
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Measurement And Recording Of Electrical Phenomena And Electrical Characteristics Of The Living Body (AREA)
Abstract
本申请涉及一种生物支付设备的认证方法、装置、计算机设备和存储介质。该方法包括:获取设备的密钥,其中,密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;根据密钥和设备信息生成签名;基于设备信息和签名向支付认证服务器发送认证请求,认证请求指示支付认证服务器根据设备信息对签名进行验证,并根据验证结果生成对生物支付设备的认证结果;接收支付认证服务器返回认证结果,认证结果使支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。该方法能够确保生物支付的安全性能。
Description
技术领域
本申请涉及互联网通信技术领域,特别是涉及一种生物支付设备的认证方法、装置、计算机设备和存储介质。
背景技术
随着生物支付技术的发展,生物支付被广泛应用在多种商业场景。以生物支付场景中的刷脸支付为例,一个具体的应用场景为:收银终端获取到收款金额后,调用摄像头采集用户的人脸图像并向支付***发送,在支付***对用户的人脸图像识别通过后,返回付款码至收银终端,收银终端根据付款码向支付***发起支付请求,完成支付。
刷脸支付无需用户在终端上操作付款码,而是由支付***根据收银终端采集的人脸图像生成,因此,需要对接入的收银设备进行认证,以确保用户资金账户的安全。传统的人脸支付设备的认证是简单的映射关系认证,将设备的签名字符串和设备编号保存在***属性中,调用设备认证接口进行设备认证。支付认证服务器用对设备编号进行验证,从而实现设备端与支付***双向认证,互相信任身份,建立双向的安全链路。
在实际应用中,利用签名和设备编码映射关系进行认证的方式较为简单,另一台设备通过迁移设备编码与设备签名即可冒充设备进行设备认证,从而影响生物支付的安全性能。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高安全性能的生物支付设备的认证方法、装置、计算机设备和存储介质。
一种生物支付设备的认证方法,所述方法包括:
获取设备的密钥,其中,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
根据所述密钥和设备信息生成签名;
基于所述设备信息和所述签名向支付认证服务器发送认证请求,所述认证请求指示所述支付认证服务器根据所述设备信息对所述签名进行验证,并根据验证结果生成对所述生物支付设备的认证结果;
接收所述支付认证服务器返回认证结果,所述认证结果使所述支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
一种生物支付设备的认证方法,包括:
接收生物支付设备基于签名和设备信息发送的认证请求,其中,所述签名由所述生物支付设备根据密钥和设备信息生成,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
根据所述设备信息对所述签名进行验证;
根据验证结果生成对所述生物支付设备的认证结果;
向所述生物支付设备返回认证结果,以基于已认证的生物支付设备发送的生物数据实现生物支付。
一种生物支付设备的认证装置,所述装置包括:
密钥获取模块,用于获取设备的密钥,其中,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
签名模块,用于根据所述密钥和设备信息生成签名;
认证模块,用于基于所述设备信息和所述签名向支付认证服务器发送认证请求,所述认证请求指示所述支付认证服务器根据所述设备信息对所述签名进行验证,并根据验证结果生成对所述生物支付设备的认证结果;
接收模块,用于接收所述支付认证服务器返回认证结果,所述认证结果使所述支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
在另一个实施例中,密钥获取模块,包括:
密钥生成模块,用于根据密钥生产指令生成公钥和私钥。
密钥导出模块,用于导出所述公钥至生产商设备,由所述生产商设备上传所述公钥至所述支付认证服务器。
在另一个实施例中,密钥获取模块,包括:
设备信息导出模块,用于将多因子设备信息导出至生产商设备,通过所述生产商设备将所述多因子设备信息发送至支付认证服务器,由支付认证服务器根据所述多因子信息生成存储所述生物支付设备的密钥的动态链接库文件;
密钥导入模块,用于响应所述生产商设备的烧录指令,将所述支付认证服务器返回的动态链接库文件烧录至本地。
在另一个实施例中,密钥生成模块,用于根据密钥生产指令控制生物支付设备的安全芯片生成公钥和私钥。
签名模块,用于控制所述安全芯片根据所述私钥和所述设备信息生成签名。
在另一个实施例中,密钥生成模块,用于根据密钥生产指令,基于可执行环境生成公钥和私钥。
签名模块,用于基于所述可执行环境根据所述私钥和所述设备信息生成签名。
在另一个实施例中,动态链接库文件为混淆和加固的动态链接库文件,签名模块,用于根据混淆和加固的动态链接库文件所存储的密钥对所述设备信息进行加密生成签名。
一种生物支付设备的认证装置,包括:
认证获取模块,用于接收生物支付设备基于签名设备信息发送的认证请求,其中,所述签名由所述生物支付设备根据密钥和设备信息生成,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
验证模块,用于根据所述设备信息对所述签名进行验证;
认证模块,用于根据验证结果生成对所述生物支付设备的认证结果;
发送模块,用于向所述生物支付设备返回认证结果,以基于已认证的生物支付设备发送的生物数据实现生物支付。
在另一个实施例中,还包括密钥获取模块,用于获取所述生产商设备上传的所述生物支付设备的公钥,其中,所述公钥以及所述公钥对应的私钥根据密钥生产指令生成,所述公钥被导出至生产商设备。
在另一个实施例中,还包括密钥获取模块,包括:
设备信息获取模块,用于获取所述生产商设备上传的所述生物支付设备的多因子信息;
密钥生成模块,用于根据所述多因子信息生成存储所述生物支付设备的密钥的动态链接库文件;
密钥发送模块,用于将所述动态链接库文件发送至生产商设备,所述动态链接库文件指示所述生产商设备将所述动态链接库文件烧录至所述生物支付设备。
在另一个实施例中,所述验证模块,用于获取对应的公钥,根据所述设备信息和所述公钥对所述签名进行验证。
在另一个实施例中,还包括密钥处理模块,用于对存储有所述密钥的所述动态链接库文件进行混淆和加固处理。一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取设备的密钥,其中,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
根据所述密钥和设备信息生成签名;
基于所述设备信息和所述签名向支付认证服务器发送认证请求,所述认证请求指示所述支付认证服务器根据所述设备信息对所述签名进行验证,并根据验证结果生成对所述生物支付设备的认证结果;
接收所述支付认证服务器返回认证结果,所述认证结果使所述支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取设备的密钥,其中,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
根据所述密钥和设备信息生成签名,并基于所述签名向支付认证服务器发送认证请求,所述认证请求携带有设备标识,所述认证请求指示所述支付认证服务器根据所述设备标识对所述签名进行验证,并根据验证结果生成对所述生物支付设备的认证结果;
接收所述支付认证服务器返回认证结果,所述认证结果使所述支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
上述生物支付设备的认证方法、装置、计算机设备和存储介质,生物支付设备的密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥,进而利用密钥生成签名信息,发送给支付认证服务器验签,而签名是在生物支付设备端根据密钥生成的,密钥具有较高的安全等级,其它终端不能获得密钥生成签名冒充设备进行设备认证。支付验证服务器根据认证结果能够确定发送生物数据的设备是哪一台设备,是否为支付平台所认证过的设备,只有通过支付验证服务器认证的生物支付设备采集的生物数据,在支付验证服务器侧才能获得付款码,从而确保生物支付的安全性能。
附图说明
图1为一个实施例中生物支付设备的认证方法的应用环境图;
图2为一个实施例中生物支付设备的认证方法的流程示意图;
图3为一个实施例中生物支付设备的生产环境示意图;
图4为一个实施例中具有SE的生物支付设备的认证过程的流程示意图;
图5为一个实施例中具有TEE的生物支付设备的认证过程的流程示意图;
图6为一个实施例中无SE、TEE的生物支付设备的认证过程的流程示意图;
图7为另一个实施例中生物支付设备的认证方法的流程示意图;
图8为一个实施例中生物支付设备的认证装置的结构框图;
图9为另一个实施例中生物支付设备的认证装置的结构框图;
图10为一个实施例中计算机设备的内部结构图;
图11为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的人脸支付设备的认证方法,可以应用于如图1所示的应用环境中。其中,生物支付设备102通过网络与支付认证服务器104通过网络进行通信,生物支付设备获取设备的密钥,其中,密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;根据密钥和设备信息生成签名;基于签名向支付认证服务器发送认证请求,认证请求携带有设备标识,认证请求指示支付认证服务器根据设备标识对签名进行验证,并根据验证结果生成对生物支付设备的认证结果;接收支付认证服务器返回认证结果,认证结果使支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。其中,生物支付设备102可以是具有人体生物数据采集器件的收银终端,包括有指纹采集器件、图像采集器件等硬件设备,支付认证服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种生物支付设备的认证方法,以该方法应用于图1中的生物支付设备为例进行说明,包括以下步骤:
步骤202,获取设备的密钥,其中,密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥。
生物支付是指采集人体生物数据作为支付凭证的一种支付手段,人体生物数据包括指纹、人脸、笔迹、声音和步态等。不同于扫码支付由用户通过操作个人手机生成私密性强的付款码,人体生物数据是一种能够通过公开手段获得的数据,如通过摄像头采集人脸,通过麦克风采集声音,通过摄像头采集步态等。因此,从某种手段来说,人体特征数据是一种公开数据,这就需要生物支付设备是被认证通过的,以保障支付通信链路的安全。
为确保生物支付的安全性,一方面,从源头确保生物支付设备是通过支付平台资质认证的生产商所生产的合格设备,获得用于认证的密钥,另一方面,生物支付设备作为商家的收银终端被使用时,与支付认证服务器通信,根据密钥生成签名,在支付认证服务器对签名验证通过后,建立生物支付设备与支付认证服务器的安全链路。
其中,生产商是指生物支付设备的生产商,生产商通过入驻支付平台的商户平台,作为支付平台的商户而获得生产能够被支付平台认证的生物支付设备的资质,生产商生产完成的生物支付设备需要通过支付平台的验收,进而被售卖给商家,作为商家的收银终端。
生产商设备是生产商与支付认证服务器通信工具,是设备生产的辅助工具。生物支付设备生产完成后,通过生产商设备与支付认证服务器通信获得被支付认证服务器认可的设备密钥。
一种实施方式的设备密钥的获取方式为生产阶段在生物支付设备生成公私钥,将公钥导出至生产商设备,由于生产商通过了支付平台的资质认证,可通过生产商设备将公钥上传至支付认证服务器。即私钥生成和保存在生物支付设备本地,公钥上传至支付认证服务器,由于公钥是被具有资质的生产商设备所上传的,且支付认证服务器具有与生物支付设备匹配公钥,因而,生物支付设备本地的私钥是被支付认证服务器认可的密钥。
一种实施方式的设备密钥的获取方式是生产阶段将生物支付设备导出设备信息至生产商设备,由于生产商通过了支付平台的资质认证,可通过生产商设备将设备信息上传至支付认证服务器,由支付认证服务器根据设备信息生成密钥,并返回至生产商设备,由生产商设备将密钥烧录至生物支付设备。由于密钥是支付认证服务器根据设备信息生成的,因此,密钥是被支付认证服务器认可的。
步骤204,根据密钥和设备信息生成签名。
具体地,生物支付设备根据密钥对设备信息生成签名,即使用密钥对设备信息进行加密,得到的密文即此次传输过程的签名。设备信息是指能够标识生物支付设备身份的信息,可以为设备ID,设备MAC地址等。
步骤206,基于设备信息和签名向支付认证服务器发送认证请求,认证请求指示支付认证服务器根据设备信息对签名进行验证,并根据验证结果生成对生物支付设备的认证结果。
生物支付设备基于设备信息和签名向支付认证服务器发送认证请求。向支付认证服务器发送的设备信息与生物支付设备用于生成签名的设备信息相同。支付认证服务器接收到认证请求后,根据设备标识获取生物支付设备对应的解密方式,如获取该设备信息对应的公钥或解密规则,根据公钥和密钥规则解密签名得到设备信息,验证解密得到的设备信息与接收到的设备信息是否一致,根据验证结果生成对生物支付设备的认证结果。
若解密得到的设备信息与接收到的设备信息一致则验签通过,得到签名验证通过的验证结果,进一步得到生物支付设备认证通过的认证结果。若解密得到的设备信息与接收到的设备信息不一致,则验签不通过,得到签名验证失败的验证结果,进一步得到生物支付设备认证失败的认证结果。
步骤208,接收支付认证服务器返回认证结果,认证结果使支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
具体地,在支付认证服务器认证通过后,支付认证服务器登记认证通过的生物支付设备,建立生物支付设备与支付认证服务器的安全链路。生物支付设备采集生物数据,将采集的生物数据和设备标识发送至支付认证服务器。支付认证服务器根据设备标识判断生物支付设备是否为认证通过的设备,若是,则对采集的生物数据与数据库中存储的用户的特征数据进行匹配,根据匹配的用户账户信息生成付款码,将付款码返回至生物支付设备,由生物支付设备根据付款码向支付认证服务器发起付款,支付认证服务器从对应账号进行扣款。而若认证服务器根据设备标识判断生物支付设备为非认证通过的设备,则将该生物支付设备的付款请求不作处理,认定为非法设备以保障用户支付账户安全。
上述的生物支付设备的认证方法,生物支付设备的密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥,进而利用密钥生成签名信息,发送给支付认证服务器验签,而签名是在生物支付设备端根据密钥生成的,密钥具有较高的安全等级,其它终端不能获得密钥生成签名冒充设备进行设备认证。支付验证服务器根据认证结果能够确定发送生物数据的设备是哪一台设备,是否为支付平台所认证过的设备,只有通过支付验证服务器认证的生物支付设备采集的生物数据,在支付验证服务器侧才能获得付款码,从而确保生物支付的安全性能。
在另一个实施例中,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥的方式,包括:根据密钥生产指令生成公钥和私钥;导出公钥至生产商设备,由生产商设备上传公钥至支付认证服务器。
具体地,生物支付设备在完成硬件生产后,出厂前需要配置好设备密钥。如图3所示的生产环境示意图。生物支付设备302与生产商设备304连接,生产商设备304与支付认证服务器306通信连接。
其中,密钥生产指令是指生物支付设备生产过程中用于启动产生公钥和私钥的指令。具体为在生物支付设备硬件生产完成后,为生物支付设备搭载操作***,运行操作***,根据密钥生产指令生成公钥和私钥。
公钥和私钥是使用非对称加密算法得到的一个密钥对中,将其中的一个向外界公开,称为公钥,另一个自己保留,称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用私钥加密必须用公钥解密,否则解密将不会成功。
本申请中,私钥是密钥对所有者持有,即私钥是生物支付设备所持有,不可公布,公钥由密钥对持有者公布支付验证服务器。具体地,通过被支付认证服务器认可的生产商设备公布给支付认证服务器,由于支付认证服务器获得了生物支付设备私钥对应的公钥,能够对私钥的加密文件进行解密,从而使得生物支付设备中的私钥被支付认证服务器认可,通过支付认证服务器中的公钥能够对生物支付设备使用私钥加密的数据进行解密。
本实施例中,通过在生物支付设备生成公钥和私钥,私钥不导出,仅将公钥导出至支付认证服务器,使得生物支付设备的密钥无法被复制,避免生物支付设备被冒充,确保生物支付的安全性能。
一个实施例中,生物支付设备安装有安全芯片(Secure Element,SE)。安全芯片是一颗独立于生物支付设备主芯片的硬件芯片,能够防止外部恶意解析攻击,保护核心敏感数据安全,在芯片中具有密码算法逻辑电路,可以向外部提供安全的密码学算法服务。安全芯片不仅能防止来自软件层的逻辑攻击,还能抵抗物理攻击,即使其物理破坏拆解,也能够保护其中存储数据的安全。
如图4所示,利用安全芯片实现生物支付设备的认证,包括两个阶段:
第一阶段为生产阶段:生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥。
具体地,生物支付设备接入安全芯片,根据密钥生产指令控制生物支付设备的安全芯片生成公钥和私钥。
具体地,生物支付设备的主芯片利用安全芯片的密钥生成方法,控制安全芯片生成公钥和私钥。安全芯片相对于生物支付的主芯片是一个单独的硬件环境,其生成的公钥和私钥从硬件上与主芯片隔离,即使主芯片受到攻击,仍能确保密钥的安全。因此,利用安全芯片生成公钥和私钥的安全级别高。
生物支付设备将公钥导出至生产商设备,生产商设备通过安全接口将公钥上传至支付认证服务器。
具体地,根据安全芯片国密标准,只有加密密钥的公钥才可以导出,私钥不可以导出,利用生产商设备将公钥上传至支付认证服务器,从而使支付认证服务器持有该生物支付设备的公钥,使支付认证服务器具有能够对利用生物支付设备的私钥加密的数据进行解密的能力。在实际的应用中,生产商设备将设备标识和公钥一同上传至支付认证服务器,支付认证服务器建立设备标识和公钥的对应关系,便于后续快速查找匹配到生物支付设备对应的公钥。
其中,生产商是通过支付平台认证,具有生产资质,因而对于生产商上传的公钥支付认证服务器认可,进而支付认证服务器认可该公钥对应的私钥。支付认证服务器建立设备标识和公钥的对应关系,并向生产商设备返回上传结果。至此,认证的第一阶段完成,公钥上传至支付认证服务器,私钥存储在生物支付设备的安全芯片。
第二阶段为商家认证阶段,对位于商家侧的生物支付设备,利用被支付认证服务器认可的私钥向支付认证服务器认证,以建立生物支付设备与支付认证服务器的安全链路。
其中,当商家侧的生物支付设备需要与支付认证服务器建立通信连接时,均需向支付认证服务器认证,以建立与支付认证服务器的安全通信链路。
首先,位于商家侧的生物支付设备控制安全芯片根据私钥和设备信息生成签名。
本实施例中,签名是在安全芯片中生成的,能够避免签名被迁移。根据私钥对设备信息生成签名,避免设备信息在传输过程中被篡改。为提高签名的时效性,还可进一步地,利用私钥对设备信息和时间戳进行签名。从而使支付验证服务器验证设备信息是否被篡改的同时,还对时间有效性进行验证,进一步提高支付安全。其次,通过将签名发送至支付认证服务器,支付认证服务器获取私钥对应的公钥对签名进行验证。具体地,支付认证服务器接收到认证请求后,根据设备信息,获取对应的公钥,利用公钥对签名进行验签,根据公钥解密签名得到设备信息,验证解密得到的设备信息与接收到的设备信息是否一致,得到对签名的验证结果。
同时,还对签名的时间戳进行验证,根据当前时间与签名信息中的时间戳验证签名的有效性期,进一步提高支付安全。若解密得到的设备信息与接收到的设备信息一致且时间有效,则验签通过,得到生物支付设备认证通过结果。若验证解密得到的设备信息与接收到的设备信息不一致,或时间超出有效性期,则验签失败,得到生物支付设备认证失败结果。
再次,支付认证服务器向生物支付设备返回认证结果,认证结果使支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
具体地,在支付认证服务器认证通过后,支付认证服务器登记认证通过的生物支付设备,建立生物支付设备与支付认证服务器的安全链路。生物支付设备采集生物数据,将采集的生物数据和设备标识发送至支付认证服务器。支付认证服务器根据设备标识判断生物支付设备是否为认证通过的设备,若是,则对采集的生物数据与数据库中存储的用户的特征数据进行匹配,根据匹配的用户账户信息生成付款码,将付款码返回至生物支付设备,由生物支付设备根据付款码向支付认证服务器发起付款,支付认证服务器从对应账号进行扣款。而若认证服务器根据设备标识判断生物支付设备为非认证通过的设备,则将该生物支付设备的付款请求不作处理,认为为非法设备以保障用户支付账户安全。
本实施例中通过利用安全芯片,从隔离的硬件上产生公私钥和生成签名,且公钥只导出一次,私钥无法导出,使得生物支付设备的密钥无法复制,避免生物支付设备被冒充,从硬件上隔离使认证方法具有最高安全等级。
一个实施例中,生物支付设备搭载有可执行环境(Trusted ExecutionEnvironment,TEE),可执行环境借鉴于可信计算技术思想,旨在保护安全敏感的代码执行和相关数据信息免受恶意敌手的攻击和破坏,是建立可信移动终端平台的基础。TEE主要是微内核操作***组成,隔离于普通终端操作***组成的富执行环境。TEE能够抵御来自软件层的攻击,安全防护能力低于SE。
如图5所示,利用可执行环境实现生物支付设备的认证,包括两个阶段:
第一阶段为生产阶段:生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥。
具体地,生物支付设备搭载可执行环境,基于可执行环境生成公钥和私钥。由于可执行环境是微内核操作***组成,隔离于普通终端操作***组成的富执行环境,能够在软件上隔离生成密钥,提高密钥的安全等级。
生物支付设备将公钥导出至生产商设备,生产商设备通过安全接口将公钥上传至支付认证服务器。
本实施例中,私钥产生于可执行环境中,私钥无法导出,公钥只导出一次上传至支付认证服务器。从而使支付认证服务器持有该生物支付设备的公钥,使支付认证服务器具有能够对利用生物支付设备的私钥加密的数据进行解密的能力。在实际的应用中,生产商设备将设备标识和公钥一同上传至支付认证服务器,支付认证服务器建立设备标识和公钥的对应关系,便于后续快速查找匹配到生物支付设备对应的公钥。
其中,生产商是通过支付平台认证,具有生产资质,因而对于生产商上传的公钥支付认证服务器认可,进而支付认证服务器认可该公钥对应的私钥。支付认证服务器建立设备标识和公钥的对应关系,并向生产商设备返回上传结果。至此,认证的第一阶段完成,公钥上传至支付认证服务器,私钥存储在生物支付设备。
第二阶段为商家认证阶段,对位于商家侧的生物支付设备,利用被支付认证服务器认可以私钥向支付认证服务器认证,以建立生物支付设备与支付认证服务器的安全链路。
其中,当商家侧的生物支付设备需要与支付认证服务器建立通信连接时,均需向支付认证服务器认证,以建立与支付认证服务器的安全通信链路。
首先,位于商家侧的生物支付设备基于可执行环境根据私钥和设备信息生成签名。
其次,将签名发送至支付认证服务器,支付认证服务器获取私钥对应的公钥对签名进行验证。
再次,支付认证服务器向生物支付设备返回认证结果,认证结果使支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
认证的过程与基于安全芯片的认证过程相同,此处不再赘述。
本实施例中通过利用可执行环境,从软件上产生公私钥和生成签名,且公钥只导出一次,私钥无法导出,使得生物支付设备的密钥无法复制,避免生物支付设备被冒充,从软件隔离使认证方法具有较高安全等级。
另一个实施例中,对于不支持TEE也没有SE的生物支付设备,如图6所示,实现生物支付设备的认证,包括两个阶段:
第一阶段为生产阶段,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥。
具体地,生物支付设备将多因子设备信息导出至生产商设备,通过生产商设备将多因子设备信息上传至支付认证服务器,由支付认证服务器根据多因子设备信息生成存放该生物支付设备的密钥的动态链接库文件。
其中,多因子设备信息包括设备相关的多因子信息,即多重设备信息,如,包括但不限于品牌名称、设备名称、制造商名称、产品名称设备MAC地址,设备ID,UUID(UniqueDevice Identifier),设备序列号等等。
支付认证服务器根据多因子设备信息生成密钥,同时利用动态链接库存储密钥。动态链接库文件(SO文件)就是一个黑盒子,支付认证服务器利用黑盒子的加密规则将密钥存储在动态链接库文件中。由于黑盒规则是加密的,因而SO文件产生密钥的规则是加密的,无法进行设备的密钥复制。
支付认证服务器将存储有密钥的动态链接库文件发送至生产商设备,生产商设备将动态链接库文件烧录至生物支付设备。具体地,生物支付设备根据生产商设备的烧录指令,将生产商设备接收的支付认证服务器返回的动态链接库文件烧录至生物支付设备。
本实施例中,对于生物支付设备不具有安全芯片和可执行环境,通过利用支付认证服务器生成密钥,利用外部导入的手段将密钥烧录至生物支付设备。时间为了避免外部导入时密钥被窃取,可采用加固手段,将密钥存储至SO文件中,将对SO文件进行混淆和加固处理。
具体地,烧录至生物支付设备的动态链接库文件不随设备恢复出厂设备而丢失,确保生密钥永久性存储在生物支付设备。
第二阶段商家认证阶段,对位于商家侧的生物支付设备,利用被支付认证服务器认可的密钥向支付认证服务器认证,以建立生物支付设备与支付认证服务器的安全链路。
首先,利用动态链接库文件存放的密钥对设备信息进行加密,生成签名。
其次,将签名发送至支付认证服务器,支付认证服务器。获取对应的动态链接库文件对应的解密规则,对签名验签,得到解密的设备信息,验证解密的设备信息与接收到的设备信息是否一致。
再次,支付认证服务器向生物支付设备返回认证结果,认证结果使支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
本实施例中,对于无SE芯片和TEE的生物支付设备,通过由支付认证服务器根据生物支付设备的多因子设备信息生成用于存储密钥的动态链接库文件,进而通过生产商设备将存储有密钥的动态链接库文件导入至生物支付设备,由于密钥存放在SO文件中,加密和解密操作都在SO文件里,而通过黑盒的SO文件产生密钥,黑盒的规则是加密的,无法进行设备密钥的复制,从而提高了密钥的安全性。
进一步地,支付验证服务器对于存储了密钥的SO文件还采用混淆和加固的方式提高SO文件的安全等级,使SO文件不能轻易地被反向编译。SO文件是二进制文件,通过利用混淆工具将二进制文件的代码混淆,将SO文件的代码顺序打乱,进行防逆向保护,利用加固程序加密SO文件使之无法被反向编译,进一步提高密钥的安全性。
上述的生物支付设备的认证方法,考虑了具有安全芯片、具有可执行环境以及非SE、非TEE的生物支付设备的安全认证,几乎兼容了所有生物支付设备的认证,具有广泛的可适用性。
本申请的生物支付设备的认证方法,考虑了生物支付的特殊性,通过利用具有较高安全等级的密钥生成签名信息,发送给支付认证服务器验签,其它终端不能获得密钥生成签名冒充设备进行设备认证。支付验证服务器根据认证结果能够确定发送生物数据的设备是哪一台设备,是否为支付平台所认证过的设备,只有通过支付验证服务器认证的生物支付设备采集的生物数据,在支付验证服务器侧才能获得付款码,从而确保生物支付的安全性能。
本申请的生物支付设备的认证方法,可应用于人脸支付、指纹支付、声纹支付等等。
如图7所示,提供一种生物支付设备的认证方法,以该方法应用于图1中的支付认证服务器为例进行说明,包括:
步骤702,接收生物支付设备基于签名和设备信息发送的认证请求,其中,签名由生物支付设备根据密钥和设备信息生成,密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥。
生物支付是指采集人体生物数据作为支付凭证的一种支付手段,人体生物数据包括指纹、人脸、笔迹、声音和步态等。不同于扫码支付由用户通过操作个人手机生成私密性强的付款码,人体生物数据是一种能够通过公开手段获得的数据,如通过摄像头采集人脸,通过麦克风采集声音,通过摄像头采集步态等。因此,从某种手段来说,人体特征数据是一种公开数据,这就需要生物支付设备是被认证通过的,以保障支付通信链路的安全。
为确保生物支付的安全性,一方面,从源头确保生物支付设备是通过支付平台资质认证的生产商所生产的合格设备,获得用于认证的密钥,另一方面,生物支付设备作为商家的收银终端被使用时,与支付认证服务器通信,根据密钥生成签名,在支付认证服务器对签名验证通过后,建立生物支付设备与支付认证服务器的安全链路。
一种实施方式的设备密钥的获取方式为生产阶段在生物支付设备生成公私钥,将公钥导出至生产商设备,由于生产商通过了支付平台的资质认证,可通过生产商设备将公钥上传至支付认证服务器。即私钥生成和保存在生物支付设备本地,公钥上传至支付认证服务器,由于公钥是被具有资质的生产商设备所上传的,且支付认证服务器具有与生物支付设备匹配公钥,因而,生物支付设备本地的私钥是被支付认证服务器认可的密钥。
一种实施方式的设备密钥的获取方式是生产阶段将生物支付设备导出设备信息至生产商设备,由于生产商通过了支付平台的资质认证,可通过生产商设备将设备信息上传至支付认证服务器,由支付认证服务器根据设备信息生成密钥,并返回至生产商设备,由生产商设备将密钥烧录至生物支付设备。由于密钥是支付认证服务器根据设备信息生成的,因此,密钥是被支付认证服务器认可的。
步骤704,根据设备信息对签名进行验证。
具体地,生物支付设备根据密钥对设备信息生成签名,即使用密钥对设备信息进行加密,得到的密文即此次传输过程的签名。设备信息是指能够标识生物支付设备身份的信息,可以为设备ID,设备MAC地址等。
生物支付设备基于设备信息和签名向支付认证服务器发送认证请求。向支付认证服务器发送的设备信息与生物支付设备用于生成签名的设备信息相同。支付认证服务器接收到认证请求后,根据设备标识获取生物支付设备对应的解密方式,如获取该设备信息对应的公钥或解密规则,根据公钥和密钥规则解密签名得到设备信息,验证解密得到的设备信息与接收到的设备信息是否一致,根据验证结果生成对生物支付设备的认证结果。
步骤706,根据验证结果生成对生物支付设备的认证结果。
若解密得到的设备信息与接收到的设备信息一致则验签通过,得到签名验证通过的验证结果,进一步得到生物支付设备认证通过的认证结果。若解密得到的设备信息与接收到的设备信息不一致,则验签不通过,得到签名验证失败的验证结果,进一步得到生物支付设备认证失败的认证结果。
步骤708,向生物支付设备返回认证结果,以基于已认证的生物支付设备发送的生物数据实现生物支付。
具体地,在支付认证服务器认证通过后,支付认证服务器登记认证通过的生物支付设备,建立生物支付设备与支付认证服务器的安全链路。生物支付设备采集生物数据,将采集的生物数据和设备标识发送至支付认证服务器。支付认证服务器根据设备标识判断生物支付设备是否为认证通过的设备,若是,则对采集的生物数据与数据库中存储的用户的特征数据进行匹配,根据匹配的用户账户信息生成付款码,将付款码返回至生物支付设备,由生物支付设备根据付款码向支付认证服务器发起付款,支付认证服务器从对应账号进行扣款。而若认证服务器根据设备标识判断生物支付设备为非认证通过的设备,则将该生物支付设备的付款请求不作处理,认定为非法设备以保障用户支付账户安全。
上述的生物支付设备的认证方法,生物支付设备的密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥,进而利用密钥生成签名信息,发送给支付认证服务器验签,而签名是在生物支付设备端根据密钥生成的,密钥具有较高的安全等级,其它终端不能获得密钥生成签名冒充设备进行设备认证。支付验证服务器根据认证结果能够确定发送生物数据的设备是哪一台设备,是否为支付平台所认证过的设备,只有通过支付验证服务器认证的生物支付设备采集的生物数据,在支付验证服务器侧才能获得付款码,从而确保生物支付的安全性能。
在另一个实施例中,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥的方式,包括:获取生产商设备上传的生物支付设备的公钥,其中,公钥以及公钥对应的私钥根据密钥生产指令生成,公钥被导出至生产商设备。具体地,生物支付设备在完成硬件生产后,出厂前需要配置好设备密钥。如图3所示的生产环境示意图。生物支付设备302与生产商设备304连接,生产商设备304与支付认证服务器306通信连接。
其中,密钥生产指令是指生物支付设备生产过程中用于启动产生公钥和私钥的指令。具体为在生物支付设备硬件生产完成后,为生物支付设备搭载操作***,运行操作***,根据密钥生产指令生成公钥和私钥。
本申请中,私钥是密钥对所有者持有,即私钥是生物支付设备所持有,不可公布,公钥是密钥对持有者公布支付验证服务器,具体地,通过被支付认证服务器认可的生产商设备公布给支付认证服务器,由于支付认证服务器获得了生物支付设备私钥对应的公钥,能够对私钥的加密文件进行解密,从而使得生物支付设备中的私钥被支付认证服务器认可,通过支付认证服务器中的公钥能够对生物支付设备使用私钥加密的数据进行解密。
本实施例中,通过在生物支付设备生成公钥和私钥,私钥不导出,仅将公钥导出至支付认证服务器,使得生物支付设备的密钥无法被复制,避免生物支付设备被冒充,确保生物支付的安全性能。
一个实施例中,生物支付设备接入安全芯片,根据密钥生产指令控制生物支付设备的安全芯片生成公钥和私钥。生物支付设备将公钥导出至生产商设备,生产商设备通过安全接口将公钥和设备标识上传至支付认证服务器。位于商家侧的生物支付设备控制安全芯片根据私钥和设备信息生成签名。
另一个实施中,生物支付设备搭载可执行环境,基于可执行环境生成公钥和私钥。生物支付设备将公钥导出至生产商设备,生产商设备通过安全接口将公钥和设备标识上传至支付认证服务器。位于商家侧的生物支付设备基于可执行环境根据私钥和设备信息生成签名。
进一步地,支付认证服务器获取对应的公钥,根据所述设备信息和所述公钥对所述签名进行验证。
在另一个实施例中,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥的方式,包括:获取生产商设备上传的生物支付设备的多因子信息;根据多因子信息生成存储生物支付设备的密钥的动态链接库文件;将动态链接库文件发送至生产商设备,动态链接库文件指示生产商设备将动态链接库文件烧录至生物支付设备。
其中,多因子设备信息包括设备相关的多因子信息,即多重设备信息,如,包括但不限于品牌名称、设备名称、制造商名称、产品名称设备MAC地址,设备ID,UUID(UniqueDevice Identifier),设备序列号等等。
支付认证服务器根据多因子设备信息生成与密钥,建立密钥与多因子设备信息的对应关系,同时利用动态链接库存储密钥,将其传输至生产商设备,使密钥被导入至生物支付设备。动态链接库文件(SO文件)就是一个黑盒子,支付认证服务器利用黑盒子的加密规则将密钥存储在动态链接库文件中。由于黑盒规则是加密的,因而SO文件产生密钥的规则是加密的,无法进行设备的密钥复制。
具体地,生物支付设备根据生产商设备的烧录指令,将生产商设备接收的支付认证服务器返回的动态链接库文件烧录至生物支付设备。烧录至生物支付设备的动态链接库文件不随设备恢复出厂设备而丢失,确保生密钥永久性存储在生物支付设备。
本实施例中,对于无SE芯片和TEE的生物支付设备,通过由支付认证服务器根据生物支付设备的多因子设备信息生成用于存储密钥的动态链接库文件,进而通过生产商设备将存储有密钥的动态链接库文件导入至生物支付设备,由于密钥存放在SO文件中,加密和解密操作都在SO文件里,而通过黑盒的SO文件产生密钥,黑盒的规则是加密的,无法进行设备密钥的复制,从而提高了密钥的安全性。
进一步地,支付验证服务器对存储有密钥的动态链接库文件进行混淆和加固处理。通过利用混淆工具将二进制文件的代码混淆,将SO文件的代码顺序打乱,进行防逆向保护,利用加固程序加密SO文件使之无法被反向编译,进一步提高密钥的安全性。
应该理解的是,虽然图2、4-7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2、4-7中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图8所示,提供了一种生物支付设备的认证装置,该装置可以采用软件模块或硬件模块,或者是二者的结合成为计算机设备的一部分,该装置具体包括:
密钥获取模块802,用于获取设备的密钥,其中,密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
签名模块804,用于根据密钥和设备信息生成签名。
认证模块806,用于基于所述设备信息和所述签名向支付认证服务器发送认证请求,所述认证请求指示所述支付认证服务器根据所述设备信息对所述签名进行验证,并根据验证结果生成对所述生物支付设备的认证结果;
接收模块808,用于接收支付认证服务器返回认证结果,认证结果使支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
在另一个实施例中,密钥获取模块,包括:密钥生成模块,用于根据密钥生产指令生成公钥和私钥。
密钥导出模块,用于导出所述公钥至生产商设备,由所述生产商设备上传所述公钥至所述支付认证服务器。
其中,密钥生成模块,用于据密钥生产指令控制生物支付设备的安全芯片生成公钥和私钥。
签名模块,用于控制安全芯片根据私钥和设备信息生成签名。
其中,密钥生成模块,用于根据密钥生产指令,基于可执行环境生成公钥和私钥。
签名模块,用于基于可执行环境根据私钥和设备信息生成签名。
在另一个实施例中,密钥获取模块,包括:
设备信息导出模块,用于将多因子设备信息导出至生产商设备,通过生产商设备将多因子设备信息发送至支付认证服务器,由支付认证服务器根据多因子信息生成存储生物支付设备的密钥的动态链接库文件;
密钥导入模块,用于响应所述生产商设备的烧录指令,将所述支付认证服务器返回的动态链接库文件烧录至本地。
在另一个实施例中,动态链接库文件为混淆和加固的动态链接库文件,签名模块,用于根据混淆和加固的动态链接库文件所存储的密钥对设备信息进行加密生成签名。
一种生物支付设备的认证装置,如图9所示,包括:
认证获取模块902,用于接收生物支付设备基于签名设备信息发送的认证请求,其中,所述签名由所述生物支付设备根据密钥和设备信息生成,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
验证模块904,用于根据设备信息对所述签名进行验证;
认证模块906,用于根据验证结果生成对生物支付设备的认证结果;
发送模块908,用于向生物支付设备返回认证结果,以基于已认证的生物支付设备发送的生物数据实现生物支付。
在另一个实施例中,还包括密钥获取模块,用于获取生产商设备上传的生物支付设备的设备标识和公钥,其中,公钥以及公钥对应的私钥根据密钥生产指令生成,公钥被导出至生产商设备。
在另一个实施例中,密钥获取模块,包括:
设备信息获取模块,用于获取生产商设备上传的生物支付设备的多因子信息;
密钥生成模块,用于根据多因子信息生成存储生物支付设备的密钥的动态链接库文件;
密钥发送模块,用于将动态链接库文件发送至生产商设备,动态链接库文件指示生产商设备将动态链接库文件烧录至生物支付设备。
在另一个实施列中,还包括密钥处理模块,用于对存储有密钥的动态链接库文件进行混淆和加固处理。
关于生物支付设备的认证装置的具体限定可以参见上文中对于生物支付设备的认证方法的限定,在此不再赘述。上述生物支付设备的认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图10所示。该计算机设备包括通过***总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储生物支付设备数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种生物支付设备的认证方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图11所示。该计算机设备包括通过***总线连接的处理器、存储器、通信接口、显示屏和生物数据采集装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种生物支付设备的认证方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的生物数据采集装置可以是图像采集装置,也可以为指纹采集装置和/或声音采集装置。
本领域技术人员可以理解,图10和图11中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (15)
1.一种生物支付设备的认证方法,所述方法包括:
获取设备的密钥,其中,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
根据所述密钥和设备信息生成签名;
基于所述设备信息和所述签名向支付认证服务器发送认证请求,所述认证请求指示所述支付认证服务器根据所述设备信息对所述签名进行验证,并根据验证结果生成对所述生物支付设备的认证结果;
接收所述支付认证服务器返回认证结果,所述认证结果使所述支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
2.根据权利要求1所述的方法,其特征在于,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥的方式,包括:
根据密钥生产指令生成公钥和私钥;
导出所述公钥至生产商设备,由所述生产商设备上传所述公钥至所述支付认证服务器。
3.根据权利要求1所述的方法,其特征在于,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥的方式,包括:
将多因子设备信息导出至生产商设备,通过所述生产商设备将所述多因子设备信息发送至支付认证服务器,由支付认证服务器根据所述多因子信息生成存储所述生物支付设备的密钥的动态链接库文件;
响应所述生产商设备的烧录指令,将所述支付认证服务器返回的动态链接库文件烧录至本地。
4.根据权利要求2所述的方法,其特征在于,所述根据密钥生产指令生成公钥和私钥,包括:根据密钥生产指令控制生物支付设备的安全芯片生成公钥和私钥;
所述根据所述密钥和设备信息生成签名,包括:控制所述安全芯片根据所述私钥和所述设备信息生成签名。
5.根据权利要求2所述的方法,其特征在于,所述根据密钥生产指令生成公钥和私钥,包括:根据密钥生产指令,基于可执行环境生成公钥和私钥;
所述根据所述密钥和设备信息生成签名,包括:基于所述可执行环境根据所述私钥和所述设备信息生成签名。
6.根据权利要求3所述的方法,其特征在于,所述动态链接库文件为混淆和加固的动态链接库文件,所述根据所述密钥和设备信息生成签名,包括:根据混淆和加固的动态链接库文件所存储的密钥对所述设备信息进行加密生成签名。
7.一种生物支付设备的认证方法,包括:
接收生物支付设备基于签名和设备信息发送的认证请求,其中,所述签名由所述生物支付设备根据密钥和设备信息生成,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
根据所述设备信息对所述签名进行验证;
根据验证结果生成对所述生物支付设备的认证结果;
向所述生物支付设备返回认证结果,以基于已认证的生物支付设备发送的生物数据实现生物支付。
8.根据权利要求7所述的方法,其特征在于,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥的方式,包括:
获取所述生产商设备上传的所述生物支付设备的公钥,其中,所述公钥以及所述公钥对应的私钥根据密钥生产指令生成,所述公钥被导出至生产商设备。
9.根据权利要求7所述的方法,其特征在于,生产阶段通过生产商设备与支付认证服务器通信而获得被支付认证服务器认可的密钥的方式,包括:
获取所述生产商设备上传的所述生物支付设备的多因子信息;
根据所述多因子信息生成存储所述生物支付设备的密钥的动态链接库文件;
将所述动态链接库文件发送至生产商设备,所述动态链接库文件指示所述生产商设备将所述动态链接库文件烧录至所述生物支付设备。
10.根据权利要求8所述的方法,其特征在于,所述根据所述设备信息对所述签名进行验证,包括:获取对应的公钥,根据所述设备信息和所述公钥对所述签名进行验证。
11.根据权利要求9所述的方法,其特征在于,所述方法还包括:
对存储有所述密钥的所述动态链接库文件进行混淆和加固处理。
12.一种生物支付设备的认证装置,其特征在于,所述装置包括:
密钥获取模块,用于获取设备的密钥,其中,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
签名模块,用于根据所述密钥和设备信息生成签名;
认证模块,用于基于所述设备信息和所述签名向支付认证服务器发送认证请求,所述认证请求指示所述支付认证服务器根据所述设备信息对所述签名进行验证,并根据验证结果生成对所述生物支付设备的认证结果;
接收模块,用于接收所述支付认证服务器返回认证结果,所述认证结果使所述支付认证服务器基于已认证的生物支付设备发送的生物数据实现生物支付。
13.一种生物支付设备的认证装置,包括:
认证获取模块,用于接收生物支付设备基于签名设备信息发送的认证请求,其中,所述签名由所述生物支付设备根据密钥和设备信息生成,所述密钥是生产阶段通过生产商设备与支付认证服务器通信而获得的被支付认证服务器认可的密钥;
验证模块,用于根据所述设备信息对所述签名进行验证;
认证模块,用于根据验证结果生成对所述生物支付设备的认证结果;
发送模块,用于向所述生物支付设备返回认证结果,以基于已认证的生物支付设备发送的生物数据实现生物支付。
14.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至11中任一项所述方法的步骤。
15.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至11中任一项所述的方法的步骤。
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010208265.6A CN111401901B (zh) | 2020-03-23 | 2020-03-23 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
KR1020227015670A KR102676616B1 (ko) | 2020-03-23 | 2021-02-10 | 생체인식 지불 디바이스를 인증하기 위한 방법 및 장치, 컴퓨터 디바이스, 및 저장 매체 |
PCT/CN2021/076438 WO2021190197A1 (zh) | 2020-03-23 | 2021-02-10 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
JP2022525431A JP7309261B2 (ja) | 2020-03-23 | 2021-02-10 | 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム |
EP21775034.8A EP4024311A4 (en) | 2020-03-23 | 2021-02-10 | BIOMETRIC PAYMENT DEVICE AUTHENTICATION METHOD AND APPARATUS, COMPUTER DEVICE AND INFORMATION HOLDER |
TW110106579A TWI776404B (zh) | 2020-03-23 | 2021-02-24 | 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 |
US17/726,402 US20220245631A1 (en) | 2020-03-23 | 2022-04-21 | Authentication method and apparatus of biometric payment device, computer device, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010208265.6A CN111401901B (zh) | 2020-03-23 | 2020-03-23 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111401901A true CN111401901A (zh) | 2020-07-10 |
CN111401901B CN111401901B (zh) | 2021-06-04 |
Family
ID=71432798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010208265.6A Active CN111401901B (zh) | 2020-03-23 | 2020-03-23 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20220245631A1 (zh) |
EP (1) | EP4024311A4 (zh) |
JP (1) | JP7309261B2 (zh) |
CN (1) | CN111401901B (zh) |
TW (1) | TWI776404B (zh) |
WO (1) | WO2021190197A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112671715A (zh) * | 2020-12-03 | 2021-04-16 | 上海连尚网络科技有限公司 | 一种用于保障应用的数据安全通信的方法与装置 |
CN112749971A (zh) * | 2020-08-21 | 2021-05-04 | 腾讯科技(深圳)有限公司 | 支付验证方法、装置、可拆卸摄像头组件及存储介质 |
WO2021190197A1 (zh) * | 2020-03-23 | 2021-09-30 | 腾讯科技(深圳)有限公司 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11709928B2 (en) * | 2020-05-22 | 2023-07-25 | Jpmorgan Chase Bank, N.A. | Method and system for securing access to a private key |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105306490A (zh) * | 2015-11-23 | 2016-02-03 | 小米科技有限责任公司 | 支付验证***、方法及装置 |
US20170351854A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | System and method supporting secure data transfer into and out of protected systems using removable media |
CN108391238A (zh) * | 2018-02-01 | 2018-08-10 | 乐鑫信息科技(上海)有限公司 | 无线mesh网络的配网方法 |
CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、***、存储介质和计算机设备 |
CN108898388A (zh) * | 2018-06-13 | 2018-11-27 | 北京小米移动软件有限公司 | 支付方法及装置 |
CN109191131A (zh) * | 2018-08-16 | 2019-01-11 | 沈阳微可信科技有限公司 | 一种基于可信环境和双安全芯片的安全人脸识别装置 |
US10185949B2 (en) * | 2015-03-05 | 2019-01-22 | American Express Travel Related Services Company, Inc. | System and method for authentication of a mobile device configured with payment capabilities |
US20190370467A1 (en) * | 2018-05-30 | 2019-12-05 | NEC Laboratories Europe GmbH | Reliable detection of co-located virtual machines in the cloud using a trusted execution environment |
CN110555706A (zh) * | 2019-08-30 | 2019-12-10 | 北京银联金卡科技有限公司 | 基于安全单元和可信执行环境的人脸支付安全方法及平台 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001216270A (ja) | 2000-01-31 | 2001-08-10 | Netmarks Inc | 認証局、認証システム及び認証方法 |
WO2002013435A1 (en) | 2000-08-04 | 2002-02-14 | First Data Corporation | Method and system for using electronic communications for an electronic contact |
TW583568B (en) * | 2001-08-27 | 2004-04-11 | Dataplay Inc | A secure access method and system |
CN101692277A (zh) * | 2009-10-16 | 2010-04-07 | 中山大学 | 一种用于移动通信设备的生物识别加密支付***及其方法 |
TWI432040B (zh) * | 2010-06-23 | 2014-03-21 | Ind Tech Res Inst | 認證方法、金鑰分配方法及認證與金鑰分配方法 |
US20160063504A1 (en) * | 2014-08-28 | 2016-03-03 | MobiCash Hong Kong Ltd. | Method and system for implementing biometric authenticated transactions |
US10009359B2 (en) * | 2015-06-09 | 2018-06-26 | Intel Corporation | System, apparatus and method for transferring ownership of a device from manufacturer to user using an embedded resource |
CN106487511B (zh) * | 2015-08-27 | 2020-02-04 | 阿里巴巴集团控股有限公司 | 身份认证方法及装置 |
CN107358419B (zh) * | 2016-05-09 | 2020-12-11 | 阿里巴巴集团控股有限公司 | 机载终端支付鉴权方法、装置以及*** |
JP6796861B2 (ja) * | 2017-04-11 | 2020-12-09 | 株式会社アクセル | アプリケーションソフトウェアの提供及び認証方法並びにそのためのシステム |
CN107612697B (zh) * | 2017-10-20 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 数字证书申请方法和装置 |
CN108881269B (zh) * | 2018-07-02 | 2020-10-13 | 飞天诚信科技股份有限公司 | 一种种子密钥的管理方法、***及令牌厂商生产装置 |
TWI672606B (zh) * | 2018-08-28 | 2019-09-21 | 國立暨南國際大學 | 基於認證和密鑰協商協議之授權認證方法 |
KR102616421B1 (ko) * | 2018-11-02 | 2023-12-21 | 삼성전자주식회사 | 생체 인증을 이용한 결제 방법 및 그 전자 장치 |
CN112528288A (zh) * | 2019-08-30 | 2021-03-19 | 华为技术有限公司 | 可信应用的运行方法、信息处理和内存分配方法及装置 |
CN111401901B (zh) * | 2020-03-23 | 2021-06-04 | 腾讯科技(深圳)有限公司 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
-
2020
- 2020-03-23 CN CN202010208265.6A patent/CN111401901B/zh active Active
-
2021
- 2021-02-10 JP JP2022525431A patent/JP7309261B2/ja active Active
- 2021-02-10 WO PCT/CN2021/076438 patent/WO2021190197A1/zh unknown
- 2021-02-10 EP EP21775034.8A patent/EP4024311A4/en active Pending
- 2021-02-24 TW TW110106579A patent/TWI776404B/zh active
-
2022
- 2022-04-21 US US17/726,402 patent/US20220245631A1/en active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10185949B2 (en) * | 2015-03-05 | 2019-01-22 | American Express Travel Related Services Company, Inc. | System and method for authentication of a mobile device configured with payment capabilities |
CN105306490A (zh) * | 2015-11-23 | 2016-02-03 | 小米科技有限责任公司 | 支付验证***、方法及装置 |
US20170351854A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | System and method supporting secure data transfer into and out of protected systems using removable media |
CN108391238A (zh) * | 2018-02-01 | 2018-08-10 | 乐鑫信息科技(上海)有限公司 | 无线mesh网络的配网方法 |
US20190370467A1 (en) * | 2018-05-30 | 2019-12-05 | NEC Laboratories Europe GmbH | Reliable detection of co-located virtual machines in the cloud using a trusted execution environment |
CN108768664A (zh) * | 2018-06-06 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、***、存储介质和计算机设备 |
CN108898388A (zh) * | 2018-06-13 | 2018-11-27 | 北京小米移动软件有限公司 | 支付方法及装置 |
CN109191131A (zh) * | 2018-08-16 | 2019-01-11 | 沈阳微可信科技有限公司 | 一种基于可信环境和双安全芯片的安全人脸识别装置 |
CN110555706A (zh) * | 2019-08-30 | 2019-12-10 | 北京银联金卡科技有限公司 | 基于安全单元和可信执行环境的人脸支付安全方法及平台 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021190197A1 (zh) * | 2020-03-23 | 2021-09-30 | 腾讯科技(深圳)有限公司 | 生物支付设备的认证方法、装置、计算机设备和存储介质 |
CN112749971A (zh) * | 2020-08-21 | 2021-05-04 | 腾讯科技(深圳)有限公司 | 支付验证方法、装置、可拆卸摄像头组件及存储介质 |
CN112671715A (zh) * | 2020-12-03 | 2021-04-16 | 上海连尚网络科技有限公司 | 一种用于保障应用的数据安全通信的方法与装置 |
CN112671715B (zh) * | 2020-12-03 | 2023-05-09 | 上海连尚网络科技有限公司 | 一种用于保障应用的数据安全通信的方法与装置 |
Also Published As
Publication number | Publication date |
---|---|
TW202137199A (zh) | 2021-10-01 |
EP4024311A1 (en) | 2022-07-06 |
JP2023501240A (ja) | 2023-01-18 |
TWI776404B (zh) | 2022-09-01 |
JP7309261B2 (ja) | 2023-07-18 |
KR20220079648A (ko) | 2022-06-13 |
US20220245631A1 (en) | 2022-08-04 |
EP4024311A4 (en) | 2022-12-07 |
WO2021190197A1 (zh) | 2021-09-30 |
CN111401901B (zh) | 2021-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和*** | |
US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
JP7277270B2 (ja) | 埋め込まれたルートオブトラストシークレットで生成される集積回路の個人化 | |
JP4562464B2 (ja) | 情報処理装置 | |
US9117324B2 (en) | System and method for binding a smartcard and a smartcard reader | |
CN110401615B (zh) | 一种身份认证方法、装置、设备、***及可读存储介质 | |
CN106452770B (zh) | 一种数据加密方法、解密方法、装置和*** | |
JP2018521417A (ja) | 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ | |
CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
JP2004040717A (ja) | 機器認証システム | |
JP2015504222A (ja) | データ保護方法及びシステム | |
CN109495268B (zh) | 一种二维码认证方法、装置及计算机可读存储介质 | |
EP3206329B1 (en) | Security check method, device, terminal and server | |
CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及*** | |
CN111614467B (zh) | ***后门防御方法、装置、计算机设备和存储介质 | |
JP2019506789A (ja) | パスコード検証のためのフォワードセキュア型暗号技術を使用した方法、システム、及び装置。 | |
CN112241527B (zh) | 物联网终端设备的密钥生成方法、***及电子设备 | |
KR20090019576A (ko) | 모바일 단말기 인증 방법 및 모바일 단말기 인증 시스템 | |
KR20070059891A (ko) | 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 | |
CN106953731A (zh) | 一种终端管理员的认证方法及*** | |
JP4998314B2 (ja) | 通信制御方法および通信制御プログラム | |
KR101912403B1 (ko) | 장비들 간의 보안 인증 방법 | |
JP4372403B2 (ja) | 認証システム | |
CN114329522A (zh) | 一种私钥保护方法、装置、***及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40025607 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |