用户认证框架的制作方法

用户认证框架


背景技术：
技术领域
1.本公开整体涉及移动设备，并且更具体地涉及使用移动设备认证用户。
2.相关技术描述
3.各国政府现在正在签发各种形式的身份识别，这些身份识别能够存储可用于认证用户的身份识别信息。例如，现代护照(称为电子护照)可包括电子芯片，该电子芯片存储护照持有者的姓名、出生日期和其他形式的信息。当一个人通过海关时，这个人可以向海关官员出示护照，海关官员将护照放在读取器上，提取护照中存储的信息。在对照内部存储的信息验证护照上打印的信息后，海关官员可以确认持有者的身份，并允许持有者通过海关。
附图说明
4.图1是示出用于使用移动设备认证用户的系统的一个实施方案的框图。
5.图2是示出移动设备的一个实施方案的框图。
6.图3a至图3c是示出认证系统使用的注册过程和认证过程的实施方案的通信图。
7.图4是示出用于使用移动设备认证用户的系统的另一实施方案的框图。
8.图5a和图5b是示出认证系统使用的注册过程和认证过程的实施方案的通信图。
9.图6是示出证实设备认证用户的能力的注册系统的一个实施方案的框图。
10.图7是示出使用设备认证用户的能力的认证系统的一个实施方案的框图。
11.图8a至图8c是示出由系统的部件执行的用于使用移动设备认证用户的方法的实施方案的流程图。
12.本公开包括对“一个实施方案”或“实施方案”的标引。出现短语“在一个实施方案中”或“在实施方案中”并不一定是指同一个实施方案。特定特征、结构或特性可以与本公开一致的任何合适的方式被组合。
13.在本公开内，不同实体(其可被不同地称为“单元”、“电路”、其他部件等)可被描述或声称成“被配置为”执行一个或多个任务或操作。此表达方式—被配置为[执行一个或多个任务]的[实体]—在本文中用于指代结构(即，物理的事物，诸如电子电路)。更具体地，此表达方式用于指示此结构被布置成在操作期间执行一个或多个任务。结构可被说成“被配置为”执行某个任务，即使该结构当前并非正被操作。“被配置为收集生物特征信息的生物传感器”旨在涵盖例如具有在操作期间执行该功能的电路系统的集成电路，即使所涉及的集成电路当前并非正被使用(例如，电源未连接到它)。因此，被描述或表述成“被配置为”执行某个任务的实体是指用于实施该任务的物理的事物，诸如设备、电路、存储有可执行程序指令的存储器等等。该短语在本文中不被用于指代无形的事物。因此，“被配置为”结构在本文中不被用于指代软件实体，诸如应用编程接口(api)。
[0014]
术语“被配置为”并不旨在意指“可配置为”。例如，未经编程的fpga不会被认为是“被配置为”执行某个特定功能，虽然其可能“能被配置为”执行该功能并且在编程之后可以“被配置为”执行该功能。
[0015]
所附权利要求书中的表述结构“被配置为”执行一个或多个任务明确地旨在对该权利要求要素不援引35u.s.c.
§
112(f)。于是，所提交的本技术中没有任何权利要求旨在要被解释为具有装置-加-功能要素。如果申请人在申请过程中想要援引112(f)部分，则其将使用“用于[执行功能]的装置”结构来表述权利要求的要素。
[0016]
如本文所用，术语“第一”、“第二”等充当其之后的名词的标签，并且不暗指任何类型的排序(例如，空间的、时间的、逻辑的等)，除非有明确指出。例如，在具有八个处理核心的处理器中，术语“第一”处理核心和“第二”处理核心可用于指该八个处理核心中的任意两个处理核心。换句话讲，“第一”处理核心和“第二”处理核心不限于例如逻辑处理核心0和逻辑处理核心1。
[0017]
如本文所用，术语“基于”用于描述影响确定的一个或多个因素。该术语不排除可能有附加因素可影响确定。也就是说，确定可仅基于指定的因素或基于所指定的因素及其他未指定的因素。考虑短语“基于b确定a”。此短语指定b是用于确定a的因素或者b影响a的确定。此短语并不排除a的确定也可基于某个其他因素诸如c。该短语还旨在涵盖a仅基于b来确定的实施方案。如本文所用，短语“基于”因此与短语“至少部分地基于”是同义的。
具体实施方式
[0018]
本公开描述了一个人可通过移动设备呈现身份识别信息而不是呈现传统形式的身份识别的实施方案。本公开从相对于图1至图5b讨论在移动设备上存储身份识别信息(例如，护照、驾驶执照、政府签发的id、学生id等)开始。然后，本公开描述了相对于图6和图7的用于在移动设备处执行用户认证的认证框架。
[0019]
将文档导入安全元件中
[0020]
如下文将描述的，在各种实施方案中，移动设备包括近程通信接口(例如，近场通信(nfc)无线电部件)和被配置为存储用户的身份识别信息的安全元件。如本文所用，术语“安全元件”将根据其在本领域中理解的含义来解释，并且是指被配置为以防止未经授权提取信息的防篡改方式存储信息的电路。在此类实施方案中，当用户将移动设备呈现给尝试认证用户的对应读取器时，移动设备可尝试验证用户的身份(例如，在一些实施方案中，经由移动设备中的生物传感器)，然后允许安全元件向读取器提供身份识别信息。例如，在一个实施方案中，安全元件被配置为存储签发给用户的护照中存在的信息。因此，当用户通过海关检查站时，用户可将移动设备呈现给由海关代理操作的读取器。在移动设备认证用户的身份后，安全元件可将护照信息传送给读取器。在一些情况下，能够使用移动设备进行认证可帮助加快用户身份的建立，并提供在不呈现身份识别文档的情况下执行认证的便利性。
[0021]
在各种实施方案中，移动设备可接收存储在向签发身份识别文档的机关进行的注册过程中捕获的身份识别信息的授权。在一些实施方案中，此过程可包括移动设备使用近程通信接口来读取存储在身份识别文档中包含的电路中的信息，例如，存储在嵌入护照中的射频识别(rfid)标签中的身份识别信息。然后，安全元件可向机关发出对允许存储身份识别信息的请求，该请求指定所读取信息的至少一部分(例如，护照号)。然后，机关可验证该请求并允许安全元件存储信息，该信息可由机关签名以确保信息的有效性。在一些实施
方案中，该注册过程还包括安全元件生成公共密钥对并向机关签发证书签名请求(csr)，以便接收对应的数字证书并向机关注册公共密钥对。(如本文所用，术语“数字证书”(或“证书”)将根据其在本领域中的理解含义进行解释，并指可用于证明公钥的所有权和有效性并由可信证书签发机关(ca)签名的电子文档。)在一些实施方案中，csr通过可信密钥进行签名，该可信密钥在制造期间存储在安全元件中，并且可以是经认证的私钥，其自身的证书由可信机关签名，以证实所存储密钥的有效性。在各种实施方案中，一旦针对新生成的密钥对签发了证书，就可使用该密钥对中的私钥生成数字签名，以代替存储在身份识别文档电路中的私钥来认证用户。下文参照图1至图3c进一步详细描述这些概念的实施方案。
[0022]
在一些实施方案中，移动设备可执行认证，该认证包括安全元件确认身份识别文档的持有者具有的属性是否满足某个标准而未提供该属性(或至少提供关于该属性的一些信息而未提供关于该属性的所有信息)。例如，在一个实施方案中，一个人可能正在尝试购买需要商家确认这个人的年龄是否满足某个阈值的物品。在此类实施方案中，商家的读取器可要求安全元件确认移动设备用户的年龄是否足以购买物品，而不是让用户呈现身份识别文档(例如，驾驶执照)。基于所存储的出生日期和对用户的成功认证(例如，经由生物传感器)，安全元件随后可能会做出肯定回答或否定回答(而不是实际传达用户的年龄或出生日期)。这样一来，移动设备既能保护用户的身份信息，又能充分回答商家的询问。下文参照图4至图5b进一步详细描述这些概念的实施方案。
[0023]
现在转向图1，示出了认证系统100的框图。在例示的实施方案中，认证系统100包括身份识别文档110、验证系统120、移动设备130和授权系统140。如图所示，文档110可包括rfid标签112。验证系统120可包括读取器122和后端124。移动设备130可包括近场通信(nfc)接口132、安全元件(se)134和生物传感器138。在一些实施方案中，系统100可与所示以不同方式布置。例如，在一些实施方案中，读取器122和后端124可位于不同的系统中。在一些实施方案中，文档110可不包括rfid标签112或除rfid标签112之外的嵌入电路。在一些实施方案中，se 134可在nfc接口132的外部。
[0024]
身份识别文档110对应于可用于建立持有者身份的任何合适形式的物理身份识别，诸如护照、驾驶执照、政府签发的id、学生id等。因此，文档110呈现关于用户的各种形式的信息，包括例如用户的姓名、出生日期、居住地等。文档110可包括文档持有者的照片。文档110还可包括唯一身份识别号，诸如护照号、驾驶执照号等。文档110还可识别签发机关，诸如特定国家、政府、大学等。在各种实施方案中，文档110不仅可以在文档的表面上示出此信息，而且还可以将此信息存储在嵌入文档110中的电路或磁条中，如身份识别信息114所示。例如，在例示的实施方案中，文档110包括用于存储此信息114的rfid标签112。在此类实施方案中，文档110可存储符合已知标准(诸如iso/iec 18000标准和/或iso/iec14443标准)的信息。在其他实施方案中，文档110包括其他形式的电路，诸如符合iso/iec 7816的智能卡芯片、支持bluetooth
tm
的芯片等。在一些实施方案中，存储在此电路中的信息可由签发机关签名，以防止修改；嵌入式电路还可包括可用于验证数字签名的数字证书。在一些实施方案中，嵌入在文档110中的电路被配置为存储私钥并使用该密钥生成数字签名以验证持有者。
[0025]
在一个实施方案中，验证系统120是一个计算机系统，其被配置为认证呈现身份识别文档110的人。在各种实施方案中，系统120使用读取器122来提取存储在文档110中的信
息114。因此，读取器122可包括用于与rfid标签112通信的近程无线电部件，以便读取存储在标签112中的身份识别信息。在一些实施方案中，读取器122还可包括显示器，该显示器将信息114呈现给审查员，诸如尝试验证护照信息的海关代理。在各种实施方案中，验证系统120对照后端系统124确认读取器122读取的信息，这可由位于读取器122的其他地方的一个或多个计算机系统实现。在一些实施方案中，后端124维护数据库，该数据库可包括存储在文档110中的信息、文档110是否仍然有效的指示(例如，尚未被报告为丢失)等。在一些实施方案中，后端124实现能够针对所接收的证书签名请求(csr)签发证书的证书签发机关(ca)。在一些情况下，读取器122和/或后端124由签发身份识别文档110的机关操作。在其他情况下，读取器122可由另一实体(诸如位于另一国家的海关代理、商家(如关于图4所讨论的)等)操作。在一些实施方案中，后端124可由与签发机关交互的第三方操作。
[0026]
移动设备130对应于任何合适形式的设备，诸如移动电话、平板电脑、可穿戴设备(例如，手表)、膝上型电脑等。如上所述，在各种实施方案中，移动设备130被配置为存储来自文档110的身份识别信息114并将其呈现给验证系统120，以便认证移动设备130的用户，该移动设备也是文档110的持有者。在例示的实施方案中，移动设备130(或更具体地，se 134)经由nfc接口132与身份识别文档110、验证系统120和/或授权系统140交互。
[0027]
在一个实施方案中，近场通信(nfc)接口132是一种近程无线电电路，其被配置为实现一个或多个nfc标准，诸如由iso/iec 18000定义的那些。在其他实施方案中，接口132可实施其他近程无线电接入技术(rat)，诸如bluetooth
tm
、zigbee
tm
、wi-fi
tm
等。在一些实施方案中，移动设备130还可包括用于与系统120和140交互的远程无线电部件，诸如支持各种蜂窝rat的远程无线电部件。
[0028]
在一个实施方案中，安全元件(se)134是被配置为存储身份信息114的安全元件，身份信息也存储在rfid 112中。因此，se 134采用各种技术来抵抗信息114的提取，诸如使用强加密、具有受限访问接口、响应篡改检测而尝试破坏信息114等。在一些实施方案中，se 134被配置为存储也存储在rfid标签112中的所有信息114。在其他实施方案中，se 134被配置成存储令牌，该令牌可用于从后端124检索此信息114中的一些或全部。例如，在一个实施方案中，se 134不存储存储在标签112中的照片，而是存储可用于检索此照片的令牌，从而使se 134能够节省内存。在各种实施方案中，当用户向读取器122呈现移动设备130时，nfc接口132向se 134呈现对来自读取器122的信息的请求。在接收到请求时，se 134可验证用户已由移动设备130认证，然后再向读取器提供信息114。如下文将讨论的，在一些实施方案中，可使用生物传感器138来执行此认证。在其他实施方案中，可以不同方式认证用户，诸如，在一个实施方案中，在移动设备130的触摸屏上向用户呈现提示，并要求用户输入密码。在用户成功认证后，在各种实施方案中，se 134经由通过nfc接口132建立的加密连接将信息114传送到读取器122。在与验证系统120交互之前，移动设备130可执行注册过程，以便允许se 134存储信息114并与验证系统120交互。
[0029]
在一个实施方案中，授权系统140是一种计算机系统，其被配置为便于移动设备130的注册。在一些实施方案中，授权系统140由签发文档110的机关(或与签发机关交互的第三方)操作。在各种实施方案中，移动设备130通过读取存储在身份识别文档110中的信息114的至少一部分(诸如持有文档110的人的身份识别号和姓名)来开始注册。在例示的实施方案中，移动设备130经由nfc接口132从rfid标签112读取此信息；在其他实施方案中，可以
不同方式提取此信息，诸如使用设备130的相机从文档110捕获信息，让用户手动输入此信息等。在读取此信息后，se 134可对此信息进行加密并将其在注册请求136中传送到系统140。尽管被示出为经由nfc接口132传送，但在一些实施方案中，经由移动设备130的另一接口(诸如蜂窝接口)传送此请求136。授权系统140随后可尝试验证此请求136，即，确认请求136来自由文档110的持有者操作的电话。
[0030]
在一些实施方案中，授权系统140通过一个或多个反向信道验证请求136。授权系统140可依赖诸如海关代理的受信任人来确认设备130在注册时为文档110的持有者所拥有。在其他实施方案中，授权系统140可呈现可用于帮助验证请求136的网站。例如，在一个实施方案中，本网站允许用户通过美国国土安全部运营的全球在线报名系统(goes)验证申请。在另一实施方案中，授权系统140可通过对照存储在后端124中的信息验证其信息来充分验证请求136。
[0031]
在各种实施方案中，一旦授权系统140成功地验证了请求136，授权系统140就被配置为向se 134提供授权指示142，以指示se 134已被授权存储身份识别信息114。在各种实施方案中，此指示142包括存储在文档110中的信息114的已签名副本(和/或在一些实施方案中，代替存储信息114而存储的令牌的已签名副本)。在一些实施方案中，系统140通过使用请求136中提供的信息(诸如文档110的身份识别号)查询后端124来获得信息114。在其他实施方案中，se 134可能能够成功地从rfid标签112读取所有信息114，并且被配置为将该信息包括在其请求136中。在此类实施方案中，系统140可仅对其中包括信息114的请求136进行签名，并将该已签名请求作为授权指示142提供。在另一实施方案中，指示142包括由系统140生成的令牌，该令牌可呈现给验证系统120，以便从后端124检索信息114。
[0032]
在一些实施方案中，注册过程还包括se 134建立可用于生成数字签名以认证用户的私钥。在此类实施方案中，se 134被配置为生成公共密钥对并发出csr以接收对应的证书。在一些实施方案中，se 134向后端124发出csr并将所接收的认证指示142包括在csr中。充当认证机关的后端124随后可将对应的证书颁发给se 134以便存储。在一些实施方案中，后端124还可存储证书的副本并将其与保存在文档110的持有者上的信息相关联。在其他实施方案中，此csr可作为请求136的一部分发送(或与请求136一起)发送到授权系统140。
[0033]
如上所述，在一些实施方案中，在se 134向读取器122提供身份识别信息114之前，生物传感器138用于认证移动设备130的用户。生物传感器138对应于被配置为检测移动设备130的用户的生物特征数据的任何合适的传感器。生物特征数据是基于用户的身体或行为特点在其他人中唯一地(至少以高准确度)识别用户的数据。例如，在一些实施方案中，生物传感器138是捕获来自用户的指纹数据的指纹传感器。在一些实施方案中，传感器260a可捕获其他类型的生物特征数据，诸如语音识别(识别特定用户的语音)、面部识别；虹膜扫描等。
[0034]
在各种实施方案中，se 134被配置为在执行注册时将身份识别信息114与生物传感器138捕获的生物特征数据相关联，以确保稍后尝试在注册期间向移动设备130认证的人是同一人。在一些实施方案中，se 134通过存储与捕获的生物特征数据相对应的唯一索引值，将信息114与生物特征数据相关联。se 134还可通过将这些值加密在一起，以密码方式将此值绑定到信息114。如将关于图2所描述的，在一些实施方案中，单独电路(以下称为安全区域处理器)被配置为存储先前捕获的生物特征数据，并在认证期间将其与新获取的生
物特征数据进行比较。在一些实施方案中，当此电路检测到匹配时，其指示se 134不仅检测到匹配，而且还提供与匹配相关联的唯一索引值。在此类实施方案中，se 134使用索引值来查找所存储的信息114。例如，在一个实施方案中，用户可在注册过程期间注册多个手指，其中每个手指被分配与新存储的信息114相关联的唯一索引值。当用户稍后尝试向读取器122进行认证并使用先前注册的手指之一(或一些实施方案中的手指的组合)时，安全区域处理器可提供一个(或多个)对应的唯一索引值，该唯一索引值由se 134使用来查找信息114并提供给读取器122。然而，如果用户(或另一用户)尝试在注册之后注册另一手指，则安全区域处理器可提供唯一索引值，这可能导致se 134无法查找先前存储的信息114，从而防止se 134提供所请求的信息114。在一些实施方案中，在生物特征比较中使用的先前捕获的生物特征数据可源自身份识别文档110或由授权系统140提供。
[0035]
下文参照图3a至图3c进一步详细描述注册过程和认证过程的实施方案。
[0036]
现在转向图2，示出了移动设备130的框图。如上所述，移动设备130可包括nfc接口132、se 134和生物传感器138。在例示的实施方案中，移动设备130还包括安全区域处理器(sep)210、蜂窝接口220、cpu 230、存储器240、经由通信结构250耦接的外围设备260。如图所示，sep 210可包括一个或多个处理器p 212、安全存储器214和一个或多个安全外围设备216。se 134可包括一个或多个处理器p 222和存储器224。cpu 230可包括一个或多个处理器p 232。存储器240可存储接口应用程序242。在一些实施方案中，移动设备130可与所示以不同方式实现。
[0037]
如上所述，在一些实施方案中，sep 210被配置为维护授权用户的先前捕获的生物特征数据，并将其与生物传感器138捕获的新接收数据进行比较，以便认证用户。(在另一个实施方案中，生物传感器138或se 134可执行比较。)在例示的实施方案中，sep 210被配置为存储从指纹收集的生物特征数据作为指纹模板218，该指纹模板可如图所示存储在内部或存储在另一存储器诸如存储器240中。在此实施方案中，每个模板218可对应于特定的注册手指并且可被分配唯一索引值。如上所述，在一些实施方案中，如果从生物传感器138接收的指纹数据与存储在模板218中的指纹数据相匹配，则sep 210被配置为向se 134提供与匹配模板218相关联的唯一索引值，该se进而使用该索引值来查找与该值相关联的对应的身份识别信息114。在一些实施方案中，sep 210可存储与一组身份识别信息114相关联的多个模板218，其中每个手指单独或手指的组合可用于启用身份识别信息114的释放。在各种实施方案中，sep 210、se 134和生物传感器138之间的通信被加密，使得另一实体诸如cpu 230无法查看其通信。
[0038]
在各种实施方案中，sep 210实现不同于se 134的安全元件，以便安全地存储生物特征数据。因此，在各种实施方案中，除了仔细控制的接口之外，sep 125与移动设备130的其余部分隔离(从而形成了用于sep处理器212、安全存储器214和安全外围设备216的安全区域)。因为到sep 210的接口被仔细控制，所以可防止直接访问sep处理器212、安全存储器214和安全外围设备216。在一个实施方案中，可实现安全邮箱机制。在安全邮箱机制中，外部设备可将消息传输到收件箱。sep处理器212可读取和解释消息，从而确定响应于该消息要采取的动作。来自sep处理器212的响应消息可通过发件箱传输，这也是安全邮箱机制的一部分。可使用仅允许从外部部件传递命令/请求并将结果传递至外部部件的其他接口。不允许从外部设备到sep 210的其他访问，因此sep 210可被“保护不被访问”。更具体地，可防
止在sep 210之外的任何地方执行的软件直接访问具有sep 210的安全部件。sep处理器212可确定是否要执行命令。在一些情况下，确定是否执行该命令可能会受到命令源的影响。也就是说，可允许来自一个源但不来自另一个源的命令。
[0039]
在一些实施方案中，sep处理器212可执行安全加载的软件，该软件有助于实现关于sep 210描述的功能。例如，安全存储器214可包括可由sep处理器212执行的软件。安全外围设备216中的一个或多个可具有外部接口，该外部接口可连接到软件源(例如，非易失性存储器诸如闪存存储器)。在另一个实施方案中，软件源可以是耦接到另一外围设备216的非易失性存储器，并且该软件可被加密以避免第三方观察到。来自该源的软件可被认证或以其他方式验证为安全的，并且可由sep处理器212执行。在一些实施方案中，软件可被加载到分配给sep 210的存储器214中的信任区域，并且sep处理器212可从信任区域获取软件以供执行。软件可以加密的形式存储在存储器240中以避免观察。尽管已采取步骤确保安全软件的安全性，但仍然可以防止安全软件直接访问/获取存储的私钥。在一个实施方案中，只有硬件可访问私钥。
[0040]
安全外围设备216可以是被配置为辅助由sep 210执行的安全服务的硬件。因此，安全外围设备216可包括实现/加速各种认证算法的认证硬件，被配置为执行/加速加密的加密硬件，被配置为通过安全接口与外部设备(与移动设备130)通信的安全接口控制器等。
[0041]
在一些实施方案中，se 134可实现与sep 210类似的功能，以便限制对存储在存储器224中的机密信息诸如身份识别信息114和公钥信息228的访问。例如，se 134可实现邮箱以限制对处理器222和存储器224的访问。在各种实施方案中，se处理器222还执行安全加载的软件，以便实现本文所述的功能，诸如存储在存储器224中的小程序226。
[0042]
在一个实施方案中，小程序226可被执行以执行移动设备130的注册和对读取器122的认证。关于注册，小程序226可被执行以从rfid标签112提取信息114并发出对应的注册请求136。在一些实施方案中，小程序226可被执行以生成公共密钥对并获得对应的证书，该证书可作为公钥信息228存储在存储器224中。关于认证，小程序226可为来自读取器122的信息114的请求提供服务，并且可处理由sep 210指示的比较结果。在一些实施方案中，如果由sep 210执行的特定比较没有导致匹配，则se 134可被配置为限制(或停止)小程序226的执行，以防止其为来自读取器122的信息114的请求提供服务。
[0043]
在一个实施方案中，接口应用程序242可被执行以在执行注册和认证时促进sep 210、se 134和移动设备130的用户之间的交互。因此，应用程序242在这些过程期间可为用户提供各种提示，从而指示用户执行各种动作。在这些过程期间，如果合适的话，应用程序242还可激活生物传感器138、sep 210和/或se 134。下文参照图3a至图3c进一步详细描述由应用程序242执行的各种动作。
[0044]
在一个实施方案中，蜂窝接口220是远程无线电部件，其被配置为促进移动设备130与一个或多个外部系统诸如系统120和140之间的交互。蜂窝链路220可包括用于与远程网络进行交互的合适电路，诸如基带处理器、模拟rf信号处理电路(例如，包括滤波器、混频器、振荡器、放大器等)、数字处理电路(例如，用于数字调制以及其他数字处理)、一个或多个天线等。蜂窝接口220可被配置为使用多种无线电接入技术/无线通信协议(诸如gsm、umts、cdma2000、lte、lte-a等)中的任一种进行通信。
[0045]
如上所述，cpu 230可包括一个或多个处理器232。一般来讲，处理器可包括被配置
为执行在由处理器实施的指令集架构中定义的指令的电路系统。处理器232可包括(或对应于)在集成电路上实现的处理器内核，该集成电路具有作为片上系统(soc)或其他集成度的其他部件。处理器232还可包括分立的微处理器、处理器内核和/或集成到多芯片模块具体实施中的微处理器、被实施为多个集成电路的处理器等等。
[0046]
处理器232可执行系统的主控制软件，诸如操作系统。通常，由cpu230在使用过程中执行的软件可控制系统的其他部件，以实现系统的期望的功能。处理器还可执行其他软件。这些应用程序可提供用户功能，并且可依靠操作系统进行下层设备控制、调度、存储器管理等。因此，处理器232(或cpu 230)也可被称为应用处理器。cpu 230还可包括其他硬件，诸如l2高速缓存和/或至系统的其他部件的接口(例如至通信结构260的接口)。
[0047]
存储器240通常可包括用于存储数据的电路系统。例如，存储器240可以是静态随机存取存储器(sram)、动态ram(dram)诸如同步dram(sdram)，包括双倍数据速率(ddr、ddr2、ddr3、ddr4等)dram。可支持ddr dram的低功率/移动版本(例如，lpddr、mddr等)。设备130可包括存储器控制器(未示出)，该存储器控制器可包括存储器操作队列，用于对这些操作进行排序(并且可能重新排序)并将这些操作提供给存储器240。存储器控制器还可包括用于存储等待写到存储器的写数据和等待返回给存储器操作来源的读数据的数据缓冲器。在一些实施方案中，存储器控制器可包括用于存储最近访问的存储器数据的存储器高速缓存。在一些实施方案中，存储器240可包括能被一个或多个处理器232执行以使设备130执行本文关于设备130所述的各种功能的程序指令，诸如应用程序242的指令。
[0048]
外围设备250可为被包括在设备130中的附加的硬件功能的任何集合。例如，外围设备250可包括视频外围设备，诸如被配置为处理来自相机或其他图像传感器的图像捕捉数据的图像信号处理器、被配置为在一个或多个显示设备上显示视频数据的显示控制器、图形处理单元(gpu)、视频编码器/解码器、缩放器、旋转器、混合器等。外围设备250可包括音频外围设备，诸如麦克风、扬声器、至麦克风和扬声器的接口、音频处理器、数字信号处理器、混合器等。外围设备250可包括用于各种接口的接口控制器，包括接口诸如通用串行总线(usb)、外围设备部件互连器(pci)(包括pci高速(pcie))、串行端口和并行端口等等。外围设备250可包括联网外围设备诸如介质访问控制器(mac)。可包括硬件的任何集合。
[0049]
通信结构260可为用于在设备130的部件间进行通信的任何通信互连器和协议。通信结构260可为基于总线的，包括共享总线配置、交叉开关配置和具有网桥的分层总线。通信结构260也可为基于包的，并且可为具有网桥的分层、交叉开关、点到点或其他互连器。
[0050]
尽管图2示出了移动设备130内的部件，但应当指出的是，计算机系统中可存在类似的部件用于实现本文所述的其他功能，诸如相对于验证系统120或授权系统140所述的功能。因此，这些系统还可包括cpu、存储器、各种网络接口和外围设备，诸如上述那些。
[0051]
现在转向图3a，示出了注册过程300a的通信图。如上文所讨论的，在各种实施方案中，注册过程300a可由移动设备130执行，以便获得从身份识别文档110存储身份识别信息114的授权。
[0052]
如图所示，过程300a开始于302，其中应用程序242经由nfc接口132发出读取身份识别号，诸如护照号或信息114的其他部分的请求。响应于在304处接收到该号码，应用程序242激活生物传感器306以从用户收集生物特征数据，然后在308处将该身份识别号提供给se 134。在例示的实施方案中，se 134随后在310处发出注册请求136，该注册请求包括号
码、随机数和数字签名。(如本文所用，术语“随机数”将根据其在本领域中理解的含义来解释，并且包括仅在密码操作中使用一次的任意数字。)在一些实施方案中，使用在制造期间存储在se 134中的可信密钥(例如，经认证的私钥)生成数字签名，并且授权系统140可包括对应的证书。在312处，授权系统140通过验证身份识别号和数字签名来验证请求。在一些实施方案中，验证还可包括经由一个或多个反向信道验证请求，如上文所讨论的。一旦成功验证，授权系统140在314处向se 134提供授权指示142。在316处，se 134生成与身份识别信息114相关联并可用于认证用户的公共密钥对。在318处，se 134随后向验证系统120发出证书签名请求(csr)，在例示的实施方案中，该csr包括先前的注册请求136、所接收的认证指示142、所生成的对中的公钥以及由对应的私钥生成的数字签名。在各种实施方案中，在制造期间使用存储在se 134中的可信密钥对csr进行签名，如上所述。在320处成功验证csr之后，验证系统120在322处向se 134发出对应证书以便存储。
[0053]
现在转向图3b，示出了另一注册过程300b的通信图。注册过程300b是注册过程的另一实施方案，其中唯一索引值与所存储的身份识别信息114相关联。
[0054]
如图所示，过程300b以与过程300a类似的方式开始，其中应用应用程序242在302处发出读取身份识别号(或信息114的某个其他部分，在一些实施方案中)的请求，并且应用程序242在304处接收该请求。在336处，应用程序242随后向sep 210发出收集生物特征数据以及身份识别号的请求。在338处，sep 210可指示生物传感器收集生物特征数据，sep 210存储具有唯一索引值的数据。在340处，sep 210随后将此唯一索引值和身份识别号提供给se 134。然后可以与上文关于过程300a讨论的类似方式执行步骤310-316。在316处生成公共密钥对之后，se 134向验证系统120发出csr，在例示的实施方案中，该csr包括唯一索引值以及上文关于过程300a讨论的附加信息。在成功验证后，se 134在344处接收证明公共密钥对并且包括唯一索引值的对应证书。
[0055]
现在转向图3c，示出了认证过程350的通信图。在各种实施方案中，当移动设备130的用户尝试向读取器122进行认证以便证明用户的身份时，可执行认证过程350。
[0056]
如图所示，认证过程350开始于352，其中读取器122经由nfc接口132向应用程序242发出对身份信息114的请求。在354处，应用程序242向sep 210发出检查移动设备130的用户的身份的请求。sep 210随后指示生物传感器138收集生物特征数据，sep 210在356处将该生物特征数据与来自先前注册过程的存储的生物特征数据进行比较。如果检测到匹配，则sep 210在358处向se 134提供对应的唯一索引值。在接收到唯一索引值时，se 134在360处验证唯一索引值与和所存储的身份识别信息114相关联的唯一索引值匹配，并在362处发出所请求的信息114，在例示的实施方案中，该信息使用在注册过程期间生成的私钥进行签名。然而，如果索引值与和先前存储的信息114相关联的索引值不匹配，则se 134可发出错误信号并且在360处不响应。
[0057]
现在转向图4，示出了认证系统400的框图。如上所述，在各种实施方案中，移动设备130被配置为执行认证，该认证包括se 134确认身份识别文档110的持有者是否具有满足某个标准的属性而不提供该属性。例如，如上所述，移动设备130可用于确认用户的年龄足以购买特定产品(例如，酒精)，而无需向商家提供用户的出生日期。在一些实施方案中，设备130还可提供附加信息，但不提供身份识别文档110上存在的所有信息。例如，在此类实施方案中，设备130还可提供用户的照片，但不提供用户的驾驶执照号码。在一些实施方案中，
当经由诸如系统400的认证系统进行交易时，移动设备130也可执行此类认证。在例示的实施方案中，认证系统400包括移动设备130、商家系统410和授权系统420。如图所示，商家系统410可包括读取器412和后端414。
[0058]
在一个实施方案中，商家系统410包括一个或多个计算机系统，该一个或多个计算机系统被配置为促进移动设备130的用户与商家之间的金融交易。在例示的实施方案中，商家系统410经由读取器412与移动设备130交互，该读取器可实现上文关于读取器122所描述的功能。因此，如图所示，读取器412可被配置为向se 134发出请求426，以确认关于信息114的某个方面并接收对应的确认428。在各种实施方案中，商家系统410的后端414是一个计算机系统，其被配置为授权交易并促进与诸如visa
tm
、american express
tm
、mastercard
tm
等交易工具提供商的交互。因此，在一些实施方案中，后端414还可在确定授权交易时验证确认428。在一些实施方案中，后端414还被配置为执行商家系统410的注册过程，以使商家系统410能够与移动设备130通信。
[0059]
在一个实施方案中，授权系统420是便于注册商家系统410的计算机系统。在一些实施方案中，授权系统420可由签发身份识别文档110的机关或与签发机关交互的可信第三方操作。在一些实施方案中，商家系统410可通过让后端414生成公共密钥对并发出包括密钥对的csr的注册请求422来开始注册。在一些实施方案中，注册请求422还可指定商家希望se 134确认的一个或多个属性。例如，在一个实施方案中，请求422可指定商家想要1)知道用户是否超过特定年龄阈值(例如，超过21岁)，以及2)向其提供存在于身份识别文档110上的用户的对应照片。授权系统420随后可验证该请求422，在一些实施方案中，这可以与上文关于请求136所讨论的类似方式执行。响应于对该请求的成功验证，在各种实施方案中，授权系统420发出对应的数字证书424，指示商家系统410被授权接收在其注册请求422中指定的请求信息。在一些实施方案中，在商家系统410接收到证书424时，后端414可将证书分发给读取器412，以便使读取器能够发出请求426。在另一实施方案中，授权系统420不是向商家系统410提供证书，而是被配置为使后端414成为中间证书签发机关，该中间证书签发机关能够向读取器412签发证书，以便由读取器412生成公共密钥对。
[0060]
当在注册之后进行交易时，读取器412被配置为发出请求426，该请求指定指示商家系统410被授权获取在证书424中指定的请求信息的证书424。在各种实施方案中，在接收到请求426时，se 134被配置为验证证书，该证书可包括向读取器412发出质询，并使后端414(或读取器412，在一些实施方案中)生成对应响应。在其他实施方案中，当se 134与读取器412之间的通信被加密以防止第三方获得证书424时，se 134可仅使用证书中指定的数字签名和公钥来验证证书。在成功验证证书之后，如上文所述，se 134可经由生物传感器138确认用户的身份，并发出确认428，提供证书424中指定的请求信息114。在一些实施方案中，在接收到该信息时，读取器412可在显示器上向操作读取器412的销售代表呈现该信息。读取器412还可呈现提示，请求代表在使后端414能够与交易工具提供商通信之前批准该信息。
[0061]
下文参照图5a和图5b进一步详细描述注册过程和认证过程。
[0062]
现在转向图5a，示出了注册过程500的通信图。如上所述，在各种实施方案中，可执行过程500，以便使得商家系统能够与移动设备130进行交互。
[0063]
如图所示，注册过程500开始于504，其中后端414生成公共密钥对，该公共密钥对
用于对移动设备130与读取器122之间的通信进行加密以及验证对应的证书424。在504处，后端414随后向授权系统420发出注册请求422，其中该注册请求包括生成的公共密钥对的csr。在接收到请求422之后，授权系统420在506处验证请求并且在成功验证时在508处发出对应的证书424。
[0064]
现在转向图5b，示出了认证过程550的通信图。如上所述，在一些实施方案中，可执行认证处理器550以诸如在金融交易期间认证关于人的某个方面。
[0065]
如图所示，认证过程550开始于552，其中读取器412经由nfc接口向应用程序242发出对认证关于用户的一个或多个属性的请求426。在接收并验证请求时，应用程序242在554处向sep 210发出请求，要求sep 210检查用户的身份。在556处，sep 210激活生物传感器138并接收对应的生物特征数据，sep 210将该生物特征数据与先前在移动设备130的注册期间存储在sep 210中的生物特征数据进行比较。响应于成功匹配，sep 210在558处向se 134指示对应的唯一索引值。在560处，se 134对照先前与身份识别信息114相关联的值来验证唯一索引值。在成功验证之后，se 134基于在所接收的证书424中指定的信息来确定要向读取器412提供的内容，并在562处发出对应的信息，该信息可通过在移动设备130注册期间建立的私钥进行签名。
[0066]
用户认证框架
[0067]
在一些情况下，当移动设备130正在提供身份识别文档110的身份识别信息114时，用户可能物理存在。例如，如上所述，移动设备130可将信息114传送到nfc读取器122，海关代理可在用户在场的情况下检查该信息。如果用户不同于与身份识别文档110相关联的人，则海关代理可很容易地辨别这种差异，海关代理可能正在看着用户，同时还看着包括在信息114中并呈现在验证系统120的显示器上的图片。然而，在其他情况下，当用户接收到身份识别信息114时，用户可能不在验证系统的物理现场。例如，用户可能正尝试在在线交易中从商家的web服务器购买产品(例如，酒精饮料)。由于商家的雇员不在场以确认移动设备130的用户也是身份识别文档110的持有者，因此用户可能尝试使用移动设备130来欺骗身份识别文档110的持有者。
[0068]
如下文将描述的，可采用用户认证框架来确定移动设备130足够可信以确认移动设备130的当前用户也是由身份识别文档110识别的人。在各种实施方案中，移动设备130可向签发机关呈现其认证用户的能力的证实。基于此证实，签发机关可授权移动设备130呈现身份识别文档110的身份识别信息114并提供签发机关信任移动设备130的指示，该指示可由尝试验证移动设备130的用户的身份的验证系统检查。
[0069]
现在转向图6，示出了认证框架的注册系统600的框图。如以上部分所述，授权系统140可促进移动设备130的注册，包括确认给定注册请求136来自由身份识别文档110的持有者操作的移动设备。在例示的实施方案中，授权系统140使用原始设备制造商服务器610和签发机关服务器620来促进此注册。在其他实施方案中，注册可与所示以不同方式实现。例如，尽管为简单起见进行了示出，但sep 210和se 134可能分别不是证实614和624；相反，在一些实施方案中，这些元件可存储在存储器240中或其他地方。尽管未示出，但移动设备130与授权系统140之间的通信也可能涉及附加部件。
[0070]
在各种实施方案中，原始设备制造商(oem)服务器610是被配置为确定移动设备130认证用户的能力并对这些能力进行证实的计算系统。在一些实施方案中，服务器610与
移动设备130的制造商相关联，该移动设备可在制造期间向其每个设备提供密钥602，该密钥可由oem服务器610使用来确定关于给定移动设备130的信息。(在其他实施方案中，服务器610可由移动设备130的制造商以外的可信实体操作。)例如，移动设备130的每一代都可配备有相应的密钥602，该密钥可用于确定设备130的代并因此确定其能力。因此，如果特定一代移动设备130支持能够经由面部识别、指纹识别或密码认证来认证用户，则oem服务器510可能能够基于其密钥602来辨别这一点。在例示的实施方案中，sep 210存储能力证实密钥602，并使用密钥602生成数字签名，以向oem服务器130识别移动设备130的身份。(在一些实施方案中，“使用”密钥602(或下文讨论的密钥604)可包括从密钥602导出一个或多个附加密钥，并使用附加密钥来产生数字签名。另外，尽管对数字签名进行了各种引用，但在一些实施方案中，也可使用密钥散列值(例如，密钥散列消息认证码(hmac))来代替数字签名)。
[0071]
在各种实施方案中，当用户想要注册移动设备130以使用它来代替身份识别文档110时，移动设备130可发出对指示其认证能力的证实614的请求612。为了使oem服务器610能够确定这些能力，sep 210可包括使用密钥602生成的数字签名。oem服务器610随后可验证此签名并对包括移动设备130的认证能力的指示616的证实614进行签名。在一些实施方案中，此指示616可明确指示能力，例如，移动设备130可经由面部识别或经由密码验证来认证用户的能力。在其他实施方案中，此指示616可更一般地包括关于移动设备130的信息，该信息可用于推断其认证能力，诸如识别特定型号名称和编号。
[0072]
在一些实施方案中，认证能力证实614还可用作对存储在安全元件134中的身份识别文档私钥604的证实，以便将移动设备130绑定到所接收的证实614。因此，se 134可生成具有公钥和密钥604(作为私钥)的公共密钥对。移动设备130随后可在向oem服务器610发送请求612时包括公钥和从私钥604生成的数字签名，该oem服务器可将公钥包括在证明614中。在一些实施方案中，因此，证实请求612可对应于证书签名请求，服务器610可对应于证书签发机关，并且证实614可对应于证书，该证书可符合(或可不符合)x.509。因此，新生成的私钥604可用于质询-响应交换，以确定移动设备130是设备对应能力证实614，而不必直接依赖(并且可能暴露)能力证实密钥602。
[0073]
在接收到证实614之后，移动设备130可存储证实614的副本并将其包括在发送到签发机关服务器620的注册请求136中，以指示在允许访问身份识别信息114之前安全执行用户认证的能力。
[0074]
在各种实施方案中，签发机关(ia)服务器620是被配置为审查认证能力证实614并确定移动设备130的可信度的计算系统，该移动设备可由尝试基于身份识别信息114验证用户身份的后续验证系统使用。在例示的实施方案中，ia服务器620由身份识别文档110的签发者操作；然而，在其他实施方案中，服务器620可由除身份识别文档110的签发者以外的可信实体操作。在一些实施方案中，服务器620可维护特定设备的认证能力列表以及与这些能力相关联的一组相应的信任等级。例如，能够执行面部识别并且具有安全元件的特定设备可被视为足够可信，以认证尝试执行购买酒精交易的用户，同时可能不允许仅执行密码认证并且缺乏安全电路的设备用于购买酒精。在各种实施方案中，ia服务器620通过发出让se 134使用私钥604生成签名的质询来验证证实614，可使用证实614中的对应公钥和证实614中包括的服务器610的签名来验证该私钥。在一些实施方案中，移动设备130还捕获用户面
部的图像并将该图像包括在其注册请求136中，使得ia服务器620可将该图像与和身份识别文档110相关联的图像进行比较，以便确认不同的用户没有尝试欺骗文档110的持有者。
[0075]
在各种实施方案中，响应于对证实614的成功验证并确定所识别的认证能力足够，ia服务器620发出对应的已签名可信度证实624，该证实包括移动设备130的所确定的可信度等级的指示626。例如，证实624可指示，当伴随有身份识别信息114时，可充分依赖由移动设备130执行的认证来执行第一组操作，而不是第二组操作。在一些实施方案中，证实624可包括身份识别信息114的已签名副本，以保持信息114的完整性。在一些实施方案中，证实624还可包括公钥对应的私钥604，因此，证实624还可对应于证书，该证书可符合(或可不符合)x.509。在一些实施方案中，证实624还可指示移动设备130为了使用身份识别信息114而要执行的授权形式的认证。例如，证实624可指示移动设备130仅在执行面部识别认证之后才被允许使用信息114，而不是移动设备130支持的某种其他形式的认证。
[0076]
现在转向图7，示出了认证框架的认证系统700的框图。在例示的实施方案中，认证系统700包括验证系统710和移动设备130，如上文所讨论的，该移动设备可包括se 134、sep 210和生物传感器138。在一些实施方案中，认证系统700可与所示以不同方式实现。例如，尽管se 134可生成签名720，但在一些实施方案中，响应718可来自上文讨论的应用程序242。尽管未示出，但移动设备130与验证系统710之间的通信也可能涉及附加部件。
[0077]
验证系统710可对应于被配置为基于移动设备130提供的身份信息114来验证用户身份的任何合适的计算系统。如上所述，在一些实施方案中，验证系统710可不与移动设备130及其用户并置。例如，验证系统710可由尝试验证用户身份以允许执行在线交易的商家操作。在例示的实施方案中，移动设备130与验证系统710之间的认证交换可从系统710从se 134发出对身份识别信息114的请求712开始。响应于接收到请求712，sep 210可与生物传感器138交互以执行用户认证714，在一些实施方案中，此认证可符合ia服务器620在可信度证实624中做出的任何规定。sep 210随后可向se 134指示用户认证的结果，以及发送其执行的认证类型的指示716(例如，密码确认、面部识别认证等)。基于此结果，se 134可提供响应718，该响应包括可信度证实624，如上所述，该可信度证实可包括身份识别信息114的已签名副本。在例示的实施方案中，响应718还包括认证类型的指示716和使用私钥604生成的签名720，该私钥可用于对指示716和验证系统710在请求712中包括的质询进行签名。验证系统710随后可验证响应718，包括：1)确认信任等级指示626将移动设备130识别为足够可信，使得其用户认证714受到信赖而可执行任何操作，诸如发起购买酒精的交易；以及2)指示716识别出使用了适当的认证类型。
[0078]
现在转向图8a，示出了方法800的流程图。方法800是由计算设备(诸如移动设备130)执行以存储凭证信息的方法的一个实施方案。在一些实施方案中，方法800可与所示以不同方式实现。
[0079]
在步骤805中，计算设备存储指示计算设备安全执行用户认证的能力的第一已签名证实(例如，证实614)。在一些实施方案中，计算设备使用生物特征传感器执行生物特征认证，并且第一已签名证实指示计算设备执行生物特征认证的能力(例如，能力指示616)。在各种实施方案中，计算设备存储与计算设备安全执行用户认证的能力相关联的密钥(例如，能力证实密钥602)。在一些实施方案中，计算设备向服务器计算系统(例如，授权系统140)发送对第一已签名证实的请求，并且对第一已签名证实的请求包括使用所存储密钥生
成的签名。在此类实施方案中，响应于对签名的成功验证，计算设备从服务器计算系统接收第一已签名证实。在一些实施方案中，服务器计算系统由计算设备的制造商(例如，oem服务器610)操作。在一些实施方案中，在计算设备的制造期间在计算设备中提供密钥。
[0080]
在步骤810中，计算设备接收存储由签发机关签发给用户的用于建立用户身份的身份识别文档(例如，身份识别文档110)的凭证信息(例如，身份识别信息114)的请求。
[0081]
在步骤815中，响应于该请求，计算设备向签发机关(例如，签发机关服务器620)发送存储凭证信息的请求(例如，注册请求136)，所发送的请求包括第一已签名证实，以指示在允许访问凭证信息之前执行用户认证的能力。在一些实施方案中，计算设备通过使用计算设备的相机捕获身份文档的图像来读取凭证信息的一部分，并将凭证信息的一部分包括在发送给签发机关的请求中。在一些实施方案中，计算设备通过使用计算设备的近程无线电部件(例如，nfc接口132)从嵌入在身份文档中的电路读取凭证信息的一部分。
[0082]
在步骤820中，响应于基于第一已签名证实对所发送的请求的批准，计算设备将凭证信息存储在计算设备的安全元件(例如，se 134)中。在一些实施方案中，方法800还包括计算设备从尝试验证计算设备的用户身份的验证系统(例如，验证系统710)接收对凭证信息的请求(例如，身份识别信息请求712)，并响应于对凭证信息的请求，执行对计算设备的用户的认证。方法800还包括基于所执行的认证，计算设备将所请求的凭证信息(例如，响应718)从安全元件提供给验证系统。在一些实施方案中，响应于发送存储凭证信息的请求，计算设备从签发机关接收第二已签名证实(例如，可信度证实624)，并且第二已签名证实包括凭证信息的已签名副本和识别基于第一已签名证实确定的计算设备的可信度等级的指示。在此类实施方案中，计算设备向验证系统提供第二已签名证实。在一些实施方案中，响应于接收到存储凭证信息的请求，计算设备的安全元件生成具有公钥和私钥(例如，私钥604)的公共密钥对并将公钥包括在发送到签发机关的请求中，该签发机关可操作为将公钥包括在第二已签名证实中。在此类实施方案中，计算设备使用私钥与验证系统执行质询-响应交换。
[0083]
现在转向图8b，示出了方法830的流程图。方法830是由计算系统诸如授权系统140(或更具体地，签发机关服务器620)执行以批准凭证信息的存储的方法的一个实施方案。在一些实施方案中，方法830可与所示以不同方式实现。
[0084]
在步骤835中，计算系统接收批准将凭证信息存储在计算设备(例如，移动设备130)中的请求(例如，注册请求136)。在各种实施方案中，凭证信息是由签发机关签发给用户的用于建立用户身份的身份识别文档(例如，身份识别文档110)。
[0085]
在步骤840中，计算系统验证与请求一起接收的第一已签名证实(例如，证实614)，该第一已签名证实指示在允许访问凭证信息之前计算设备执行用户认证的能力。
[0086]
在步骤845中，基于该验证，计算系统向计算设备发出授权计算设备将凭证信息存储在计算设备的安全元件(例如，se 134)中的批准。在一些实施方案中，发出该批准包括从签发机关发送第二已签名证实(例如，可信度证实624)，并且第二已签名证实包括凭证信息的已签名副本。在一些实施方案中，该接收包括接收由安全元件生成的公共密钥对中的公钥，并且该发出包括由计算系统将公钥包括在第二已签名证实中。在此类实施方案中，公共密钥对中的私钥(例如，私钥604)可用于与验证系统(例如，验证系统710)进行质询-响应交换以验证凭证信息。在一些实施方案中，第二已签名证实包括识别基于第一已签名证实确
定的计算设备的可信度等级的指示(例如，信任等级指示626)。在一些实施方案中，该接收包括接收通过使用计算设备的相机从身份识别文档捕获的凭证信息的一部分，并且该验证包括验证凭证信息的该部分。
[0087]
在一些实施方案中，方法830还包括计算系统向计算设备发送对凭证信息的请求(例如，请求712)，从计算设备的安全元件接收响应于计算设备执行用户认证而生成的凭证信息和签名(例如，签名720)，并且执行对所接收的凭证信息的验证包括验证签名。在一些实施方案中，方法830还包括从计算设备接收对第一证实的请求(例如，证实请求612)，该请求包括使用与计算设备安全执行用户认证的能力相关联的密钥(例如，密钥602)生成的签名。在此类实施方案中，响应于对签名的成功验证，计算系统向计算设备提供第一证实。
[0088]
现在转向图8c，示出了方法860的流程图。方法860是由计算系统诸如授权系统140(或更具体地，oem服务器620)执行以发出用于存储凭证信息的证实的方法的一个实施方案。在一些实施方案中，系统860可与所示以不同方式实现。
[0089]
方法860在步骤865中开始，其中计算系统接收提供指示计算设备(例如，移动设备130)安全执行用户认证的能力的证实(例如，证实624)的请求(例如，证实请求612)，该请求包括通过由计算设备存储并与该能力相关联的密钥(例如，密钥602)生成的签名。在一些实施方案中，所存储的密钥存储在计算设备内的安全电路(例如，sep 210)中。在一些实施方案中，在计算设备的制造商制造计算设备期间，将所存储的密钥存储在计算设备中。在步骤870中，响应于对签名的成功验证，计算系统使用私钥对证实进行签名，该私钥具有受向计算设备的用户签发身份识别文档的签发机关信任的对应公钥。在步骤875中，计算系统向计算设备提供证实，该证实可呈现给签发机关以请求身份识别文档的凭证信息以便存储在计算设备的安全元件中。
[0090]
尽管上文已经描述了具体实施方案，但这些实施方案并非要限制本公开的范围，即使仅相对于特定特征描述单个实施方案的情况下也是如此。本公开中提供的特征示例意在进行例示，而非限制，除非做出不同表述。上述说明书意在涵盖此类替代形式、修改形式和等价形式，这对知晓本公开有效效果的本领域技术人员将是显而易见的。
[0091]
本公开的范围包括本文(明确或暗示)公开的任意特征或特征的组合或其任意概括，而无论其是否减轻本文解决的任何或所有问题。因此，在本专利申请(或要求享有其优先权的专利申请)进行期间可针对特征的任何此类组合作出新的权利要求。具体地，参考所附权利要求书，可将从属权利要求的特征与独立权利要求的特征进行组合，并可通过任何适当的方式而不是仅通过所附权利要求书中所列举的特定组合来组合来自相应独立权利要求的特征。