(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115001817A(43)申请公布日2022.09.02(21)申请号202210618724.7(22)申请日2022.06.01(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人李志雄(74)专利代理机构北京国昊天诚知识产权代理有限公司11315专利代理师朱文杰(51)Int.Cl.H04L9/40(2022.01)H04L9/32(2006.01)权利要求书5页说明书22页附图7页(54)发明名称一种离线的身份识别方法、装置及设备(57)摘要本说明书实施例公开了一种离线的身份识别方法、装置及设备，该方法应用于终端设备，包括：基于基准用户生物信息和目标用户的用户生物信息，对目标用户的身份进行识别，如果身份识别通过，则将用户生物信息通过可信执行环境中的第一离线识别可信应用传递至可信执行环境中的第二离线识别可信应用；在可信执行环境中，通过第二离线识别可信应用对目标用户的身份进行校验，如果身份校验通过，则创建鉴权数据，并使用第一业务密钥对鉴权数据进行签名处理，通过第二离线识别可信应用将签名后的鉴权数据传递至第一离线识别可信应用，并通过第一离线识别可信应用对签名后的鉴权数据进行验签处理，基于验签结果确定对目标用户的离线身份识别结果。CN115001817ACN115001817A权利要求书1/5页1.一种离线的身份识别方法，应用于终端设备，所述方法包括：基于预先存储的基准用户生物信息和目标用户的用户生物信息，对所述目标用户的身份进行识别，如果对所述目标用户的身份识别通过，则将所述用户生物信息通过可信执行环境中的第一离线识别可信应用传递至所述可信执行环境中的第二离线识别可信应用；在所述可信执行环境中，通过所述第二离线识别可信应用基于所述用户生物信息，对所述目标用户的身份进行校验，如果对所述目标用户的身份校验通过，则创建鉴权数据，并使用预先存储的第一业务密钥对所述鉴权数据进行签名处理，得到签名后的鉴权数据；在所述可信执行环境中，通过所述第二离线识别可信应用将所述签名后的鉴权数据传递至所述第一离线识别可信应用，并通过所述第一离线识别可信应用对所述签名后的鉴权数据进行验签处理，得到验签结果；基于所述验签结果确定对所述目标用户的离线身份识别结果。2.根据权利要求1所述的方法，所述用户生物信息包括指纹信息、面部信息、掌纹信息、虹膜信息中的一种或多种。3.根据权利要求1或2所述的方法，所述将所述用户生物信息通过可信执行环境中的第一离线识别可信应用传递至所述可信执行环境中的第二离线识别可信应用，包括：对所述用户生物信息进行签名处理，得到签名后的用户生物信息；将所述签名后的用户生物信息通过可信执行环境中的第一离线识别可信应用传递至所述可信执行环境中的第二离线识别可信应用；所述在所述可信执行环境中，通过所述第二离线识别可信应用基于所述用户生物信息，对所述目标用户的身份进行校验，包括：在所述可信执行环境中，对所述签名后的用户生物信息进行验签处理，如果验签通过，则通过所述第二离线识别可信应用基于所述用户生物信息，对所述目标用户的身份进行校验。4.根据权利要求1‑3中任一项所述的方法，所述方法还包括：通过所述可信执行环境中的第一离线识别可信应用向第一服务器同步所述目标用户进行离线身份识别过程中的相关数据。5.根据权利要求1‑3中任一项所述的方法，所述方法还包括：基于预先存储的基准用户生物信息向所述可信执行环境中的第二离线识别可信应用发起注册请求；在所述可信执行环境中，生成业务密钥对，并使用根密钥对所述业务密钥对中的第二业务密钥进行签名处理，得到签名后的业务密钥，所述业务密钥对中包括所述第一业务密钥和所述第二业务密钥；从所述可信执行环境中获取所述签名后的业务密钥和所述根密钥的信息；将所述签名后的业务密钥和所述根密钥的信息发送给第二服务器，所述签名后的业务密钥和所述根密钥的信息用于触发所述第二服务器对所述签名后的业务密钥进行验签处理，如果验签通过，则存储所述第二业务密钥，并向所述终端设备发送注册成功的通知消息；如果接收到注册成功的通知消息，则向所述第一服务器发送离线业务开通请求，所述开通请求用于触发所述第一服务器向所述第二服务器查询所述目标用户开通离线身份识2CN115001817A权利要求书2/5页别所需的相关信息，如果能够查询到，则获取所述第二服务器中存储的所述第二业务密钥和所述基准用户生物信息，并将所述第二业务密钥和所述基准用户生物信息发送给所述终端设备中的可信执行环境中的第一离线识别可信应用；通过可信执行环境中的第一离线识别可信应用获取所述第二业务密钥和所述基准用户生物信息。6.根据权利要求5所述的方法，所述注册