CN105827571A - 基于uaf协议的多模态生物特征认证方法和设备 - Google Patents
基于uaf协议的多模态生物特征认证方法和设备 Download PDFInfo
- Publication number
- CN105827571A CN105827571A CN201510005318.3A CN201510005318A CN105827571A CN 105827571 A CN105827571 A CN 105827571A CN 201510005318 A CN201510005318 A CN 201510005318A CN 105827571 A CN105827571 A CN 105827571A
- Authority
- CN
- China
- Prior art keywords
- authenticator
- fusion
- combination
- matched rule
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Collating Specific Patterns (AREA)
Abstract
本发明实施例提供一种基于UAF协议的多模态生物特征认证方法和设备,服务器通过在认证策略中的匹配规则组合中的每个匹配规则中携带认证器返回类型,使得客户端将确定的目标匹配规则组合中包括的认证器返回类型发送给目标认证器组合中的每个目标认证器,以使每个目标认证器返回与目标匹配规则组合中包括的认证器返回类型对应的特征匹配参数,然后,服务器或客户端根据预设的融合算法对每个目标认证器返回特征匹配参数进行融合得到融合结果,通过比较融合结果和融合阈值得到认证结果。本实施例中,认证器返回类型可以为匹配层的融合参数:特征相似度或特征距离,从而使得在UAF协议下能够支持匹配层融合的多模态生物特征认证。
Description
技术领域
本发明实施例涉及生物认证技术,尤其涉及一种基于通用认证框架(UniversalAuthenticationFramework,简称UAF)协议的多模态生物特征认证方法和设备。
背景技术
基于生物特征的身份认证使用用户固有的物理或行为属性进行认证,安全性高,因而受到了广泛的应用,其中,生物特征可以是指纹、人脸、虹膜等。由于受数据获取环境和特征提取方法等影响,多次提取的生物特征可能存在一定差异,导致生物特征认证中存在一定的拒真率(FalseNon-matchRate,简称FNMR),即用户认证时提取的生物特征与其注册的生物特征不匹配,导致合法用户认证失败。
为了解决单特征生物特征认证拒真率高的问题,可以采用多模态生物特征认证(即将多个生物特征融合认证)以降低单个生物特征拒识带来的影响,有效提高多特征认证的识别率。根据融合层次的不同,多模态生物特征认证可以分为三类:特征层融合、匹配层融合和决策层融合。特征层融合是在特征提取时将不同生物特征融合为一个单独的融合特征,对融合特征进行特征匹配和阈值决策,匹配层融合是将各生物特征与对应模板数据单独进行匹配,将匹配得到的相似度进行融合以得到单独的融合相似度,最后对融合相似度进行阈值决策,决策层融合是将各生物特征单独进行提取、匹配和决策并得到认证结果(通过/不通过),然后将若干决策结果进行融合以得到最后的认证结果。上述三种方法中,特征层融合和匹配层融合能够能得到很好的效果,但是特征层融合时融合特征的生成极为困难,而决策层融合只是将多次单特征认证结果进行投票,实现极为简单但通常难以达到较好的识别结果,因此,在实际应用中,多模态生物特征认证通常采用匹配层融合。
但是,现有的基于UAF协议的多模态生物特征认证方法只支持决策层融合,不支持匹配层融合。
发明内容
本发明实施例提供一种基于UAF协议的多模态生物特征认证方法和设备,使得在UAF协议下也能够支持匹配层融合。
本发明第一方面提供一种基于UAF协议的多模态生物特征认证方法,包括:
服务器向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
所述服务器接收所述客户端返回的统一认证响应,所述统一认证响应包括目标认证器组合中的每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,其中,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
所述服务器通过比较所述融合结果和预设的融合阈值,得到认证结果。
结合本发明第一方面,在本发明第一方面的第一种可能的实现方式中,所述特征匹配参数为特征相似度值,所述融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述服务器通过比较所述融合结果和预设的融合阈值得到认证结果,包括:
所述服务器采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述服务器通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
结合本发明第一方面的第一种可能的实现方式,在本发明第一方面的第二种可能的实现方式中,所述服务器采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述方法还包括:
所述服务器确定所述每个目标认证器返回的特征相似度值都大于各自对应的认证器相似度阈值。
结合本发明第一方面,在本发明第一方面的第三种可能的实现方式中,所述特征匹配参数为特征距离值,所述融合阈值为融合距离阈值,所述融合结果为融合距离值,所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述服务器通过比较所述融合结果和预设的融合阈值得到认证结果,包括:
所述服务器采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述服务器通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
结合本发明第一方面的第三种可能的实现方式,在本发明第一方面的第四种可能的实现方式中,所述服务器采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述方法还包括:
所述服务器确定所述每个目标认证器返回的特征距离值小于各自对应的认证器距离阈值。
结合本发明第一方面以及本发明第一方面的第一种至第四种可能的实现方式,在本发明第一方面的第五种可能的实现方式中,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
结合本发明第一方面的第五种可能的实现方式,在本发明第一方面的第六种可能的实现方式中,所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,根据所述融合结果和预设的融合阈值得到认证结果之前,所述方法还包括:
所述服务器根据所述每个目标认证器的认证响应消息中的签名数据和所述签名数据的签名确定所述每个目标认证器返回的认证响应消息合法。
本发明第二方面提供一种基于UAF协议的多模态生物特征认证方法,包括:
客户端接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
所述客户端将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述客户端接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,其中,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
所述客户端根据所述每个目标认证器返回的认证响应消息得到统一认证响应,将所述统一认证响应发送给所述服务器。
结合本发明第二方面,在本发明第二方面的第一种可能的实现方式中,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,包括:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
本发明第三方面提供一种基于UAF协议的多模态生物特征认证方法,包括:
服务器向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
所述服务器接收所述客户端返回的认证结果。
结合本发明第三方面,在本发明第三方面的第一种可能的实现方式中,所述认证结果是所述客户端根据目标认证器组合中的每个目标认证器返回的认证响应消息、所述目标认证器组合对应的融合方法和所述目标认证器组合对应的融合阈值得到的,其中,所述每个目标认证器返回的认证响应消息中包括所述每个目标认证器根据所述认证信息对用户进行认证后返回的与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的。
结合本发明第三方面或本发明第三方面的第一种可能的实现方式,在本发明第三方面的第二种可能的实现方式中,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器阈值,以使所述客户端根据所述每个认证器的认证器阈值判断所述每个目标认证器返回的特征匹配参数是否有效,其中,当所述认证器返回类型为特征相似度时,所述认证器阈值为认证器相似度阈值,当所述认证器返回类型为特征距离时,所述认证器阈值为认证器距离阈值。
结合本发明第三方面或本发明第三方面的第一种可能的实现方式,在本发明第三方面的第三种可能的实现方式中,当所述融合方法为加权平均算法时,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子。
本发明第四方面提供一种基于UAF协议的多模态生物特征认证方法,包括:
客户端接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
所述客户端将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述客户端接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
所述客户端通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果;
所述客户端将所述认证结果发送给所述服务器。
结合本发明第四方面,在本发明第四方面的第一种可能的实现方式中,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,包括:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
结合本发明第四方面或第四方面的第一种可能的实现方式,在本发明第四方面的第二种可能的实现方式中,所述特征匹配参数为特征相似度值,所述目标匹配规则组合对应的融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述客户端通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值得到认证结果,包括:
所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述客户端通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
结合本发明第四方面的第二种可能的实现方式,在本发明第四方面的第三种可能的实现方式中,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器相似度阈值,所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述方法还包括:
所述客户端确定所述每个目标认证器返回的特征相似度值大于各自对应的认证器相似度阈值。
结合本发明第四方面或第四方面的第一种可能的实现方式,在本发明第四方面的第四种可能的实现方式中,所述特征匹配参数为特征距离值,所述目标匹配规则组合对应的融合阈值为融合距离阈值,所述融合结果为融合距离值,所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述客户端通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果,包括:
所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述客户端通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
结合本发明第四方面的第四种可能的实现方式,在本发明第四方面的第五种可能的实现方式中,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器距离阈值,所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述方法还包括:
所述客户端确定所述每个目标认证器返回的特征距离值大于各自对应的认证器距离阈值。
结合本发明第四方面,在本发明第四方面的第六种可能的实现方式中,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
结合本发明第四方面,在本发明第四方面的第七种可能的实现方式中,所述融合方法为加权平均算法,则所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子,则所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,包括:
所述客户端根据所述每个目标认证器的权重因子,对所述每个目标认证器返回的特征匹配参数进行加权平均得到所述融合结果。
本发明第五方面提供一种服务器,包括:
发送模块,用于向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
接收模块,用于接收所述客户端返回的统一认证响应,所述统一认证响应包括目标认证器组合中的每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,其中,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
融合模块,用于采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
比较模块,用于通过比较所述融合结果和预设的融合阈值,得到认证结果。
结合本发明第五方面,在本发明第五方面的第一种可能的实现方式中,所述特征匹配参数为特征相似度值,所述融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述融合模块具体用于:采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述比较模块具体用于:通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
结合本发明第五方面的第一种可能的实现方式,在本发明第五方面的第二种可能的实现方式中,所述融合模块采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征相似度值都大于各自对应的认证器相似度阈值。
结合本发明第五方面,在本发明第五方面的第三种可能的实现方式中,所述特征匹配参数为特征距离值,所述融合阈值为融合距离阈值,所述融合结果为融合距离值,所述融合模块具体用于:采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述比较模块具体用于:通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
结合本发明第五方面的第三种可能的实现方式,在本发明第五方面的第四种可能的实现方式中,所述融合模块采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征距离值小于各自对应的认证器距离阈值。
结合本发明第五方面以及本发明第五方面的第一种至第四种可能的实现方式,在本发明第五方面的第五种可能的实现方式中,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
结合本发明第五方面的第五种可能的实现方式,在本发明第一方面的第六种可能的实现方式中,所述融合模块还用于:
根据所述每个目标认证器的认证响应消息中的签名数据和所述签名数据的签名确定所述每个目标认证器返回的认证响应消息合法。
本发明第六方面提供一种客户端,包括:
接收模块,用于接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
确定模块,用于根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
发送模块,用于将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述接收模块,还用于接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,其中,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
生成模块,用于根据所述每个目标认证器返回的认证响应消息得到统一认证响应;
所述发送模块,还用于将所述统一认证响应发送给所述服务器。
结合本发明第六方面,在本发明第六方面的第一种可能的实现方式中,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述确定模块具体用于:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
本发明第七方面提供一种服务器,包括:
发送模块,用于向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
接收模块,用于接收所述客户端返回的认证结果。
结合本发明第七方面,在本发明第七方面的第一种可能的实现方式中,所述认证结果是所述客户端根据目标认证器组合中的每个目标认证器返回的认证响应消息、所述目标认证器组合对应的融合方法和所述目标认证器组合对应的融合阈值得到的,其中,所述每个目标认证器返回的认证响应消息中包括所述每个目标认证器根据所述认证信息对用户进行认证后返回的与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的。
结合本发明第七方面,在本发明第七方面的第二种可能的实现方式中,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器阈值,以使所述客户端根据所述每个认证器的认证器阈值判断所述每个目标认证器返回的特征匹配参数是否有效,其中,当所述认证器返回类型为特征相似度时,所述认证器阈值为认证器相似度阈值,当所述认证器返回类型为特征距离时,所述认证器阈值为认证器距离阈值。
结合本发明第七方面、本发明第七方面的第一种或第二种可能的实现方式,在本发明第七方面的第三种可能的实现方式中,当所述融合方法为加权平均算法时,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子。
本发明第八方面提供一种客户端,包括:
接收模块,用于接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
确定模块,用于根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
发送模块,用于将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述接收模块,还用于接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
融合模块,用于采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
比较模块,用于通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果;
发送模块,用于将所述认证结果发送给所述服务器。
结合本发明第八方面,在本发明第八方面的第一种可能的实现方式中,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述确定模块具体用于:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
结合本发明第八方面或本发明第八方面的第一种可能的实现方式,在本发明第八方面的第二种可能的实现方式中,所述特征匹配参数为特征相似度值,所述目标匹配规则组合对应的融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述融合模块具体用于:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述比较模块具体用于:通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
结合本发明第八方面的第二种可能的实现方式,在本发明第八方面的第三种可能的实现方式中,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器相似度阈值,所述融合模块采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征相似度值大于各自对应的认证器相似度阈值。
结合本发明第八方面或本发明第八方面的第一种可能的实现方式,在本发明第八方面的第四种可能的实现方式中,所述特征匹配参数为特征距离值,所述目标匹配规则组合对应的融合阈值为融合距离阈值,所述融合结果为融合距离值,所述融合模块具体用于:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述比较模块具体用于:通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
结合本发明第八方面的第四种可能的实现方式,在本发明第八方面的第五种可能的实现方式中,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器距离阈值,所述融合模块采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征距离值大于各自对应的认证器距离阈值。
结合本发明第八方面,在本发明第八方面的第六种可能的实现方式中,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
结合本发明第八方面,在本发明第八方面的第七种可能的实现方式中,所述融合方法为加权平均算法,则所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子,则所述融合模块具体用于:
根据所述每个目标认证器的权重因子,对所述每个目标认证器返回的特征匹配参数进行加权平均得到所述融合结果。
本发明第九方面提供一种基于UAF协议的多模态生物特征认证方法,包括:
认证器接收客户端发送的认证请求,所述认证请求中包括:认证信息和认证器返回类型;
所述认证器根据所述认证信息进行认证得到与所述认证器返回类型对应的特征匹配参数;
所述认证器生成认证响应消息,将所述认证响应消息发送给所述客户端,所述认证响应消息中包括与认证器返回类型对应的所述特征匹配参数。
本发明第十方面提供一种认证系统,所述认证系统包括:服务器、客户端和多个目标认证器;
所述服务器用于:向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
所述客户端用于:接收所述服务器发送的所述认证请求,根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述每个目标认证器用于:接收所述客户端发送的所述认证请求,根据所述认证信息进行认证得到与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,生成认证响应消息,将所述认证响应消息发送给所述客户端,所述认证响应消息中包括所述特征匹配参数;
所述客户端还用于:接收所述每个目标认证器返回的认证响应消息,根据所述每个目标认证器返回的认证响应消息得到统一认证响应,将所述统一认证响应发送给所述服务器;
所述服务器还用于:采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,通过比较所述融合结果和预设的融合阈值,得到认证结果。
本发明第十一方面提供一种认证系统,所述认证系统包括:服务器、客户端和多个目标认证器;
所述服务器用于:向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
所述客户端用于:接收所述服务器发送的所述认证请求,根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述每个目标认证器用于:接收所述客户端发送的所述认证请求,根据所述认证信息进行认证得到与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,生成认证响应消息,将所述认证响应消息发送给所述客户端,所述认证响应消息中包括所述特征匹配参数;
所述客户端还用于:接收所述每个目标认证器返回的认证响应消息,采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果,将所述认证结果发送给所述服务器;
所述服务器还用于:接收所述客户端返回的认证结果。
本发明实施例提供的基于UAF协议的多模态生物特征认证方法和设备,服务器通过在认证策略中的每个匹配规则组合中的每个匹配规则中携带认证器返回类型,其中,每组匹配规则组合中的匹配规则包括相同的认证器返回类型,使得客户端将确定的目标匹配规则组合中包括的认证器返回类型发送给目标认证器组合中的每个目标认证器,以使每个目标认证器返回与目标匹配规则组合中包括的认证器返回类型对应的特征匹配参数,然后,服务器根据预设的融合算法对每个目标认证器返回特征匹配参数进行融合得到融合结果,通过比较融合结果和融合阈值得到认证结果。本实施例中,认证器返回类型可以为匹配层的融合参数:特征相似度或特征距离,从而使得在UAF协议下能够支持匹配层融合的多模态生物特征认证。认证器返回类型还可以为决策层的融合参数:单生物特征的认证结果,从而使得在UAF协议下也能够支持决策层融合的多模态生物特征认证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例适用的支持UAF协议的认证系统的一种结构示意图;
图2为本发明实施例一提供的基于UAF协议的多模态生物特征认证方法的流程图;
图3为目标认证器返回的认证响应消息的一种结构示意图;
图4为本发明实施例二提供的基于UAF协议的多模态生物特征认证方法的流程图;
图5为本发明实施例三提供的基于UAF协议的多模态生物特征认证方法的流程图;
图6为本发明实施例四提供的基于UAF协议的多模态生物特征认证方法的流程图;
图7为本发明实施例五提供的基于UAF协议的多模态生物特征认证方法的流程图;
图8为发明实施例六提供的基于UAF协议的多模态生物特征认证方法的信令流程图;
图9为发明实施例七提供的基于UAF协议的多模态生物特征认证方法的信令流程图;
图10为本发明实施例八提供的服务器的结构示意图;
图11为本发明实施例九提供的客户端的结构示意图;
图12为本发明实施例十提供的服务器的结构示意图;
图13为本发明实施例十一提供的客户端的结构示意图;
图14为本发明实施例十二提供的服务器的结构示意图;
图15为本发明实施例十三提供的客户端的结构示意图;
图16为本发明实施例十四提供的服务器的结构示意图;
图17为本发明实施例十五提供的客户端的结构示意图;
图18为本发明实施例十八提供的一种认证系统的结构示意图;
图19为本发明实施例十七提供的一种认证系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的方法应用在在线快速认证(FastIdentityOnline,简称FIDO)标准中UAF协议认证系统中,其中,UAF协议是一个完整的、理想的认证框架协议,支持各种遵从该UAF协议的认证器对用户进行身份认证。支持UAF协议的认证器一般较复杂,安全性高,破解难度大。此外,在现有其他认证系统中,通常由认证器采集用户的生物特征并提取特征参数,然后通过认证器厂商私有的接口与认证服务器进行通信以实现认证流程,由于不同厂商提供的认证器采用的接口不同,对认证服务器提供商而言,每支持一种认证器都需要增加一种新的接口,管理成本很高,而FIDO标准统一了认证器的接口协议,从而降低认证服务器与认证器的对接成本。
图1为本发明实施例适用的支持UAF协议的认证系统的一种结构示意图,如图1所示,在FIDO标准的认证系统中包括四个逻辑实体:FIDOServer(以下简称服务器)、FIDOClient(以下简称客户端)、FIDO认证管理器模块(Authenticator-specificModule,简称ASM)和认证器(Authenticator))。客户端、ASM和认证器属于客户端侧,服务器属于服务器侧,按照协议层划分,客户端、ASM和服务器都属于FIDOUAF核心功能层,FIDOUAF核心功能层与FIDOUAF应用层进行通信。应用层包括客户端侧的用户代理(useragent)和服务器侧的web应用,用户代理可以是浏览器,用户代理和web应用之间采用安全套接字层之上的超文本传送协议(hypertexttransferprotocoloversecuresocketlayer,简称https),即UAF协议应用在https之上。
服务器用于提供UAF协议消息的收发,以及认证器注册、查询、验证等功能,因此,服务器侧保存有认证器的元数据,认证器的元数据包括认证器的标识、应用标识、公钥等,服务器通过web应用与客户端侧的用户代理通信,服务器和web应用之间通过web应用接口连接通信。客户端遵循UAF协议,以服务的形式向用户代理提供安全认证、交易确认、注销等功能接口,客户端和用户代理之间通过UAF应用程序编程接口(ApplicationProgrammingInterface,简称API)通信,客户端和ASM之间通过ASMAPI通信。ASM用于管理连接在客户端上的所有认证器,向上对客户端提供统一的接口,向下适配不同型号的认证器,使得服务器能够通过客户端访问各种厂商提供的不同类型的认证器。认证器用于提取虹膜、指纹、声纹等不同生物特征,将提取的生物特征与认证器自身的存储空间中存储的注册生物特征进行对比,获得认证结果,将认证结果发送给服务器。该服务器通常为第三方应用服务器,例如支付宝的服务器,或者某银行的服务器等,客户端为一个应用,该应用可以设置在私有设备或公共设备上,该私有设备例如为手机、个人计算机,该公共设备例如为自动取款机、门禁设备等。本发明各实施例中的认证器指能够获取用户生物特征,并与自身储存的用户生物特征进行比对,最终得到认证结果的复杂认证器。
现有的基于UAF协议的多模态生物特征认证只能实现决策层融合,通过决策层融合的多模态生物特征主要包括以下两个流程:
注册流程:用户在认证器上注册自己的生物特征信息,并建立用户信息与注册生物特征的对应关系,用户注册时会生成注册生物特征、用户信息、加密采用的公钥、私钥和私钥句柄等,其中,用户信息包括用户名,用于唯一标识用户。然后,认证器在服务器上进行注册,将认证器的标识AAID、认证器类型、公钥、私钥句柄、用户信息发送给服务器完成注册,并在本地保存注册生物特征、用户信息和私钥。
认证流程:用户向服务器请求认证,服务器构造认证请求并发送给客户端,该认证请求中包括认证信息和认证策略,认证信息具体包括用户的用户名、应用标识和私钥句柄(KeyID)等,用户名用于告知认证器对哪个用户进行认证,认证器根据用户名和应用标识从认证器注册信息中找到该用户的注册生物特征,私钥句柄用于定位认证器注册时生成的私钥。认证策略限制了可使用的认证器组合。客户端根据认证策略从本地选择一组目标认证器组合,并通过ASM将认证信息携带在认证请求中发送给目标认证器组合中的每个目标认证器。该认证请求中还包括挑战信息,每个目标认证器收到认证请求后,根据挑战信息确定认证请求的合法性,若认证请求合法,则进一步根据认证信息对用户进行认证,具体地,目标认证器从本地保存的所有注册生物特征中确定出认证信息中包括的用户名对应的用户的注册生物特征,并采集该用户的认证生物特征,对该用户的认证生物特征和注册生物特征进行比对得到认证结果。本发明实施例中提到的注册生物特征指用户注册时提交的生物特征,认证生物特征指用户认证时输入的生物特征。每个目标认证器在认证完成后,构造认证响应消息,将认证结果(通过/不通过)携带在认证响应消息中返回给客户端,客户端在接收到每个目标认证器返回的认证响应消息后,根据每个目标认证器返回的认证响应消息得到统一认证响应,将统一认证响应发送给服务器,服务器在接收到统一认证响应后,解析得到每个目标认证器返回的认证响应消息,采用每个目标认证器对应的公钥验证每个目标认证器返回的认证响应消息的合法性,每个目标认证器的认证响应消息由每个目标认证器采用配对的私钥进行签名。服务器还根据认证策略对每个目标认证器返回的认证结果进行综合得到最终的认证结果。
为了解决现有技术的问题,本发明实施例提供一种基于UAF协议的多模态生物特征认证方法,本实施例提供的方法能够支持匹配层融合。图2为本发明实施例一提供的基于UAF协议的多模态生物特征认证方法的流程图,如图2所示,本实施例提供的方法可以包括以下步骤:
步骤101、服务器向客户端发送认证请求,该认证请求中包括认证信息和认证策略,该认证策略中包括至少一组匹配规则组合,该至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,每组匹配规则组合中的匹配规则包括相同的认证器返回类型。
用户向服务器请求认证,触发整个认证流程,例如,当用户需要进行网上付款交易时,用户通过客户端登陆到支付页面,例如采用用户名和密码登陆,客户端会向服务器发送鉴权请求(AuthenticationRequest),该鉴权请求中会携带用户的用户名以及应用的应用标识(Identity,简称ID),应用标识在UAF协议中可以为该应用的网址。服务器在接收到客户端发送的鉴权请求后,构造认证请求,该认证请求中包括认证信息和认证策略(DictionaryPolicy),该认证信息具体包括用户的用户名、应用标识和私钥句柄(KeyID)等。该认证请求中还包括挑战信息(Challenge),挑战信息用于鉴别服务器的身份,基于挑战/应答的认证机制中,服务器(认证者)每次向被认证者(认证器)发送一个不同的”挑战“字串,认证器收到这个”挑战“字串后,按照双方事先协商好的方法应答。
认证策略中包括至少一组匹配规则组合,该至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则。例如,表1为匹配规则组合的一种示意图,该认证策略中包括m组匹配规则组合,每组匹配规则组合最多包括n个匹配规则,匹配规则可以为:认证器的ID、密钥(key)ID或密钥ID列表、认证器类型、认证器支持的认证算法、认证器的连接方式和认证器的秘钥保护形式等。
表1
匹配规则组合1 | 匹配规则11 | 匹配规则12 | …… | …… |
匹配规则组合2 | 匹配规则21 | 匹配规则22 | …… | …… |
…… | …… | …… | …… | …… |
匹配规则组合m | 匹配规则m1 | 匹配规则m2 | …… | 匹配规则mn |
本实施例中,为了在UAF协议下实现基于匹配层融合的多模态生物特征认证,在每个匹配规则中增加了认证器返回类型(response_type)字段,每组匹配规则组合中的匹配规则包括相同的认证器返回类型,不同匹配规则组合中的匹配规则包括的认证器返回类型可能相同,也可能不同,该认证器返回类型用于指示满足每组匹配规则组合的目标认证器组合返回的特征匹配参数的类型。本实施例中,该认证器返回类型可以为:特征相似度、特征距离或单生物特征认证结果,如表2所示,表2为认证器返回类型字段的取值共有三种:sim、dis和result,sim表示认证器返回类型为特征相似度,dis表示认证器返回类型为特征距离,result表示认证器返回类型为单生物特征认证结果。
response_type取值 | 认证器返回类型 |
sim | 特征相似度 |
dis | 特征距离 |
result | 认证结果 |
需要说明的是,一个认证器可能只支持一种认证器返回类型,也可能支持多种认证器返回类型,当认证器支持多种认证器返回类型,认证器根据认证请求中包括的认证器返回类型返回对应的结果。
客户端收到服务器发送的认证请求后,根据连接的各认证器的状态信息和认证策略中包含的至少一组匹配规则,确定目标匹配规则组合,进而根据目标匹配规则组合确定目标认证器组合。其中,客户端上连接的认证器的状态信息都保存在ASM上,客户端上可能连接有多个认证器,每个认证器的状态信息包括:认证器支持的认证器返回类型、认证器的ID、认证器上注册的各用户的私钥的私钥句柄、认证器类型、认证器支持的认证算法、认证器的连接方式和认证器的秘钥保护形式等。客户端通过ASM查询得到可用认证器列表,该可用认证器列表中包括多个认证器,该多个认证器即连接在客户端上的认证器。
客户端确定目标匹配规则组合的具体方式为:首先,获取连接在所述客户端上的认证器的状态信息。然后,根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;确定所述匹配规则组合A为所述目标匹配规则组合;从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
具体的,客户端按照认证策略中的至少一个匹配规则组合的顺序,依次判断每一个匹配规则组合的每条匹配规则在该列表里是否能匹配到符合该匹配规则的可用的认证器,当某一个匹配规则组合A的所有匹配规则都能匹配到可用的认证器,并且从该匹配规则组合A的每一个匹配规则匹配到的可用的认证器中选取一个认证器得到认证器组合A,如果该认证器组合A中的认证器各不同,则客户端确定该匹配规则组合A为目标匹配规则组合,认证器组合A为目标认证器组合。显然,目标认证器组合中包括的目标认证器个数等于该组匹配规则组合中匹配规则的数目。
例如,匹配规则组合1包括两个匹配规则:匹配规则11和匹配规则12,可用认证器列表中包括三个认证器:认证器1、认证器2和认证器3,那么,客户端首先判断可用认证器列表中是否有满足匹配规则11的认证器,然后,判断可用认证器列表中是否有满足匹配规则12的认证器,假设满足匹配规则11的认证器为认证器1,满足匹配规则12的认证器为认证器3,那么,客户端确定匹配规则组合1为目标匹配规则组合,客户端进而根据目标匹配规则组合确定目标认证器,客户端确定的目标认证器组合中包括的目标认证器为:认证器1和认证器3。假设满足匹配规则11的认证器为认证器1和认证器2,满足匹配规则12的认证器为认证器1和认证器2,那么,客户端确定的目标认证器组合中包括的目标认证器为:认证器1和认证器2。假设,满足匹配规则11的认证器为认证器1,满足匹配规则12的认证器也为认证器1,那么客户端确定匹配规则组合1中没有满足条件的目标认证器。
可选地,认证策略中的各匹配规则组合可以具有优先级,服务器在将各匹配规则发送给客户端时,可以将各匹配规则组合按照优先级从高到低进行排序后发送给客户端,客户端在确定目标认证器组合时,从高优先级的匹配规则组合开始匹配,先判断最高优先级的匹配规则组合是否有满足条件的认证器组合,若该最高优先级匹配规则组合有满足条件的认证器组合,一种实现方式中,客户端不再进行后续的匹配,将该最高优先级匹配规则组合对应的认证器组合作为目标认证器组合。另一种方式中,客户端继续判断下一个优先级的匹配规则组合,依次找到所有满足条件的认证器组合,当客户端找到多个认证器组合时,客户端可以按照预设的规则,从多个认证器组合中选取一个认证器组合作为目标认证器组合,本实施例中并不对预设的规则进行限制。
客户端在确定目标认证器组合后,将认证信息、挑战信息和目标匹配规则组合中的匹配规则包括的认证器返回类型发送给该目标认证器组合中的每个目标认证器,以使每个目标认证器根据认证信息对用户身份进行认证。每个目标认证器在完成认证后,将得到的与认证器返回类型对应的特征匹配参数携带在认证响应消息中发送给客户端,客户端根据每个目标认证器返回的认证响应消息得到统一认证响应,将该统一认证响应发送给服务器。
步骤102、服务器接收客户端返回的统一认证响应,该统一认证响应包括目标认证器组合中的每个目标认证器根据该认证信息对用户进行认证后返回的认证响应消息,每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,其中,目标认证器组合是客户端根据目标匹配规则组合确定的,目标规则匹配组合是客户端根据连接在客户端上的认证器的状态信息和该至少一组匹配规则组合确定的。
具体的,当目标匹配规则组合中的匹配规则包括的认证器返回类型的取值为sim时,目标认证器返回的特征匹配参数为用户的认证生物特征与注册生物特征的特征相似度值,特征相似度值越大,说明用户的认证生物特征与注册生物特征越相近。当目标匹配规则组合中的匹配规则包括的认证器返回类型为dis时,目标认证器返回的特征匹配参数为用户的认证生物特征与注册生物特征的特征距离值,特征距离值越小,说明用户的认证生物特征与注册生物特征越相近。当目标匹配规则组合中的匹配规则包括的认证器返回类型为单生物特征认证结果时,目标认证器返回的特征匹配参数为用户的单生物特征是否认证通过的结果。
每个目标认证器返回的认证响应消息中还可以包括:认证状态代码(StatusCode)、签名数据(SignedData)和该签名数据的签名。StatusCode表明认证器是否完成认证,SignedData包含认证器的认证模式、总的签名次数和特征匹配结果,本实施例中,将特征匹配参数包含在签名数据中,与其他签名数据一起被数字签名。图3为目标认证器返回的认证响应消息的一种结构示意图,如图3所示,签名数据包括:认证版本(AuthenticationVertion)、认证模式(AuthenticationMode)、签名算法和编码(Signaturealgorithmandencoding)、随机数随机生成验证器(Noncerandomlygeneratedauthenticator)、最后的挑战信息(FinalChallenge)、事务内容大小(Transactioncontentsize)、签名计数器(signaturecounter)和特征匹配参数。
步骤103、服务器采用预设的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,通过比较该融合结果和预设的融合阈值得到认证结果。
服务器可以采用现有的任意一种融合算法对特征匹配参数进行融合,本实施例并不对融合算法进行限定。常用的融合算法有加权平均算法和投票法。在采用加权平均算法进行融合时,服务器首先将各目标认证器返回的特征匹配参数与该目标认证器对应的权重相乘,然后,将相乘结果累加后除以目标认证器的个数,得到融合结果,最后,将融合结果与融合阈值比较得到认证结果。在采用投票法进行融合时,服务器将每个目标认证器返回的特征匹配参数累加得到投票总分,该投票总分即为融合结果,然后,服务器比较投票总分和目标匹配规则组合对应的投票阈值,得到认证结果。
当目标匹配规则组合中的匹配规则包括的认证器返回类型为特征相似度时,该特征匹配参数为特征相似度值,融合阈值为融合相似度阈值,融合结果为融合相似度值,则服务器采用预设的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,通过比较融合结果和预设的融合阈值得到认证结果,具体为:首先,服务器采用融合算法将每个目标认证器返回的特征相似度值进行融合得到融合相似度值,然后,服务器通过比较该融合相似度值和该融合相似度阈值,得到该认证结果。具体地,服务器判断该融合相似度值是否大于该融合相似度阈值;若是,即该融合相似度值大于该融合相似度阈值,则服务器确定认证通过;若否,即该融合相似度值不大于该融合相似度阈值,则服务器确定认证未通过。
可选的,服务器采用融合算法将各目标认证器返回的特征相似度值进行融合得到融合相似度值之前,本实施例的方法还可以包括:服务器确定每个目标认证器返回的特征相似度值都大于各自对应的认证器相似度阈值。具体地,服务器判断每个目标认证器返回的特征相似度值是否大于各自对应的认证器相似度阈值;若是,则服务器确定每个目标认证器返回的特征相似度值有效,服务器采用融合算法将每个目标认证器返回的特征相似度值进行融合得到融合相似度值。若否,即有至少一个目标认证器返回的特征相似度值无效,则服务器直接确定认证未通过。服务器通过判断每个目标生物特征返回的特征相似度值的有效性,可以排除差异过大的生物特征,对于差异过大的生物特征直接确定认证失败,不需要进行后续的融合。
当目标匹配规则组合中的匹配规则包括的认证器返回类型为特征距离时,该特征匹配参数为特征距离值,融合阈值为融合距离阈值,融合结果为融合距离值,则服务器采用预设的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,通过比较该融合结果和预设的融合阈值得到认证结果,具体包括:首先,服务器采用融合算法将每个目标认证器返回的特征距离值进行融合得到融合距离值;然后,服务器通过比较该融合距离值和该融合距离阈值,得到认证结果。具体地,服务器判断该融合距离值是否小于该融合距离阈值;若是,即该融合距离值小于该融合距离阈值,则服务器确定认证通过;若否,即该融合距离值不小于该融合距离阈值,则服务器确定认证未通过。
可选的,服务器采用融合算法将每个目标认证器返回的特征距离值进行融合得到该融合距离值之前,本实施例提供的方法还可以包括:服务器确定每个目标认证器返回的特征距离值小于各自对应的认证器距离阈值。具体地,服务器判断每个目标认证器返回的特征距离值是否小于各自对应的认证器距离阈值;若是,则服务器确定每个目标认证器返回的特征距离值有效,服务器采用融合算法将每个目标认证器返回的特征距离值进行融合得到该融合距离值。
当目标匹配规则组合中的匹配规则包括的认证器返回类型为单生物特征的认证结果时,服务器可以采用投票法对每个目标认证器返回的认证结果进行投票,该投票法具体为:首先,服务器检测各认证器返回的认证响应中的StatusCode字段的值,StatusCode字段表示认证器的认证是否通过,当StatusCode的取值为UAF-Status-OK时,表示认证通过,当StatusCode的取值为其他时,表示认证未通过,服务器计算各认证器的票数ti,其取值如下所示:
然后,服务器计算总投票得分score:
其中,n为目标认证器的个数,ti表示第i个认证器的票数,服务器通过将所有目标认证器的票数相加得到总投票得分。最后,服务器比较总投票得分score和投票得分阈值,若总投票得分大于投票得分阈值,则通过认证,否则认证未通过。需说明的是,本实施例中,不同的匹配规则组合对应不同的投票得分阈值。一种可能的实现方式中,得分阈值可以设置为总投票得分最大值的2/3。例如,匹配规则组合1包括6个匹配规则,则匹配规则组合1对应的目标认证器组合包括6个目标认证器,那么总投票得分最大值为6,匹配规则组合1对应的投票得分阈值[6*2/3]=4;匹配规则组合2包括8个匹配规则,则匹配规则组合2对应的目标认证器组合包括8个目标认证器,那么总投票得分最大值为8,匹配规则组合2对应的投票得分阈值为[8*2/3]=6(不能整除时,进位取整)。
本实施例中,服务器采用预设的融合算法对每个目标认证器返回的特征匹配参数进行融合之前,本实施例的方法还可以包括:服务器根据每个目标认证器返回的认证响应消息中包括的签名数据和签名数据的签名验证每个目标认证器返回的认证响应消息是否合法。若服务器验证每个目标认证器返回认证响应消息均合法,则服务器采用预设的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,比较融合结果和预设的融合阈值得到认证结果。具体来说,签名数据的签名是目标认证器采用公钥加密算法使用该目标认证器的私钥加密得到的。公钥加密算法使用一对公钥和私钥互相加解密,用其中某一个密钥加密的数据,总是能被另一个密钥所解密。举例来说,服务器采用目标认证器A的公钥解密目标认证器A返回的认证响应信消息中的签名数据的签名,如果能够正确的解密,则服务器确定目标认证器A返回的认证响应消息合法。
本实施例中,每个目标认证器采用私钥对签名数据进行签名得到该签名数据的签名,并将该签名数据和该签名数据的签名携带在认证响应消息中发送给服务器。服务器收到每个目标认证器返回的认证响应消息后,采用与私钥对应的公钥对该签名数据的签名进行解密得到解密后的签名数据,并将解密后的签名数据与认证响应消息中携带的签名数据进行对比,若解密后的签名数据与认证响应消息中携带的签名数据相同,则说明认证响应消息没有被篡改。服务器进一步验证签名数据是否合法,包括验证认证器的ID是否与注册时的ID一致,签名计数器是否合理增长,最后的挑战信息是否有效等,验证签名数据的有效性为现有技术,这里不再一一赘述,若所有签名数据都有效,则服务器确认认证响应消息合法,否则服务器确定认证响应消息不合法。
本实施例中,服务器通过在认证策略中的每个匹配规则组合中的匹配规则中携带认证器返回类型,其中,每组匹配规则组合中的匹配规则包括相同的认证器返回类型,使得客户端将确定的目标匹配规则组合中包括的认证器返回类型发送给目标认证器组合中的每个目标认证器,以使每个目标认证器返回与目标匹配规则组合中包括的认证器返回类型对应的特征匹配参数,然后,服务器根据预设的融合算法对每个目标认证器返回特征匹配参数进行融合得到融合结果,通过比较融合结果和融合阈值得到认证结果。本实施例中,认证器返回类型可以为匹配层的融合参数:特征相似度或特征距离,从而使得在UAF协议下能够支持匹配层融合的多模态生物特征认证。认证器返回类型还可以为决策层的融合参数:单生物特征的认证结果,从而使得在UAF协议下也能够支持决策层融合的多模态生物特征认证。
图4为本发明实施例二提供的基于UAF协议的多模态生物特征认证方法的流程图,本实施例从客户端侧进行描述,如图4所示,本实施例提供的方法可以包括以下步骤:
步骤201、客户端接收服务器发送的认证请求,该认证请求中包括认证信息和认证策略,该认证策略中包括至少一组匹配规则组合,该至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,每组匹配规则组合中的匹配规则包括相同的认证器返回类型。
步骤202、客户端根据连接在客户端上的认证器的状态信息和该至少一组匹配规则组合,确定目标匹配规则组合,进而根据目标匹配规则组合确定目标认证器组合。
ASM上存储有连接在客户端上的所有认证器的状态信息,其中,每个认证器的状态信息包括:认证器支持的认证器返回类型、认证器的ID、认证器上注册的各用户的私钥的私钥句柄、认证器类型、认证器支持的认证算法、认证器的连接方式和认证器的秘钥保护形式等。客户端通过ASM查询得到可用认证器列表,该可用认证器列表中包括多个认证器,该多个认证器即连接在客户端上的认证器。
客户端根据连接在客户端上的认证器的状态信息和该至少一组匹配规则组合,确定目标匹配规则组合,进而根据目标匹配规则组合确定目标认证器组合,具体为:首先,获取连接在所述客户端上的认证器的状态信息。然后,根据该连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;确定所述匹配规则组合A为所述目标匹配规则组合;从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
具体的,客户端按照认证策略中的至少一个匹配规则组合的顺序,依次判断每一个匹配规则组合的每条匹配规则在该列表里是否能匹配到符合该匹配规则的可用的认证器,当某一个匹配规则组合A的所有匹配规则都能匹配到可用的认证器,并且从该匹配规则组合A的每一个匹配规则匹配到的可用的认证器中选取一个认证器得到认证器组合A,如果该认证器组合A中的认证器不同,则客户端确定该匹配规则组合A为目标匹配规则组合,认证器组合A为目标认证器组合。显然,该目标认证器组合中包括的目标认证器个数等于该组匹配规则组合中匹配规则的数目。
例如,匹配规则组合1包括两个匹配规则:匹配规则11和匹配规则12,可用认证器列表中包括三个认证器:认证器1、认证器2和认证器3,那么,客户端首先判断可用认证器列表中是否有满足匹配规则11的认证器,然后,判断可用认证器列表中是否有满足匹配规则12的认证器,假设满足匹配规则11的认证器为认证器1,满足匹配规则12的认证器为认证器3,那么,客户端确定匹配规则组合1为目标匹配规则组合,客户端进而根据目标匹配规则组合确定目标认证器,客户端确定的目标认证器组合中包括的目标认证器为:认证器1和认证器3。假设满足匹配规则11的认证器为认证器1和认证器2,满足匹配规则12的认证器为认证器1和认证器2,那么,客户端确定的目标认证器组合中包括的目标认证器为:认证器1和认证器2。假设,满足匹配规则11的认证器为认证器1,满足匹配规则12的认证器也为认证器1,那么客户端确定匹配规则组合1中没有满足条件的目标认证器。
可选地,认证策略中的各匹配规则组合可以具有优先级,服务器在将各匹配规则发送给客户端时,可以将各匹配规则组合按照优先级从高到低进行排序后发送给客户端,客户端在确定目标认证器组合时,从高优先级的匹配规则组合开始匹配,先判断最高优先级的匹配规则组合是否有满足条件的认证器组合,若该最高优先级匹配规则组合有满足条件的认证器组合,一种实现方式中,客户端不再进行后续的匹配,将该最高优先级匹配规则组合对应的认证器组合作为目标认证器组合。另一种方式中,客户端继续判断下一个优先级的匹配规则组合,依次找到所有满足条件的认证器组合,当客户端找到多个认证器组合时,客户端可以按照预设的规则,从多个认证器组合中选取一个认证器组合作为目标认证器组合,本实施例中并不对预设的规则进行限制。
步骤203、客户端将认证信息和目标匹配规则组合中的匹配规则包括认证器返回类型发送给目标认证器组合中的每个目标认证器。
客户端重新构造认证请求,将认证信息和目标匹配规则组合中的匹配规则包括认证器返回类型携带在认证请求中发送给每个目标认证器,以使每个目标认证器根据认证信息完成对用户的认证,并返回与该认证器返回类型对应的特征匹配参数,可选地,认证请求中还包括挑战信息。
步骤204、客户端接收每个目标认证器根据认证信息对用户进行认证后返回的认证响应消息,其中,每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数。
每个目标认证器根据认证信息对用户身份进行认证之后,将自己的匹配结果包含在认证响应消息中通过ASM发送给客户端,该认证响应消息中包括与目标匹配规则组合中的匹配规则包括的返回类型对应的特征匹配参数,该认证响应消息中还包括认证状态代码、签名数据和签名数据的签名,该特征匹配参数包含在签名数据中。
步骤205、客户端根据每个目标认证器返回的认证响应消息得到统一认证响应,将统一认证响应发送给所述服务器。
本实施例中,客户端将每个目标认证器返回的认证响应消息封装成一个统一认证响应后发送给服务器,由服务器根据每个目标认证器返回的认证响应消息中的特征匹配参数进行特征融合,得到最终的认证结果。
本实施例的方法,客户端根据连接在客户端上的认证器的状态信息和服务器发送的认证策略中包含的多组匹配规则组合确定目标匹配规则组合,进而根据目标匹配规则组合确定目标认证组合,并将认证信息和目标匹配规则组合中包括的认证器返回类型发送给目标认证器中的每个目标认证器。由于每组匹配规则组合的匹配规则中包括相同的认证器返回类型,从而使得客户端确定的目标认证器组合中每个目标认证器均能够返回与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数。本实施例中,认证器返回类型可以为匹配层的融合参数:特征相似度或特征距离,从而使得在UAF协议下能够支持匹配层融合的多模态生物特征认证。认证器返回类型还可以为决策层的融合参数:单生物特征的认证结果,从而使得在UAF协议下也能够支持决策层融合的多模态生物特征认证。
图5为本发明实施例三提供的基于UAF协议的多模态生物特征认证方法的流程图,本实施例与实施例一的区别在于,本实施例中,服务器并不对特征匹配参数进行融合,而是由客户端进行融合,如图5所示,本实施例提供的方法包括以下步骤:
步骤301、服务器向客户端发送认证请求,该认证请求中包括认证信息和认证策略,该认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及该每组匹配规则组合对应的融合阈值,该每组匹配规则组合包括至少两个匹配规则,每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型。
和实施例一相比,本实施例中,由客户端对匹配特征参数进行融合,因此,服务器在构造认证请求时,还需要在认证策略中增加每组匹配规则组合对应的融合方法和每组匹配规则组合对应的融合阈值,以使客户端根据目标匹配规则组合对应的融合方法对每个目标认证器返回的特征匹配参数进行融合,该融合方法可以为加权平均方法或投票法,客户端还可以通过比较该融合结果和目标匹配规则组合对应的融合阈值得到认证结果。
可选的,该认证策略中还包括:满足每组匹配规则组合的认证器组合中的每个认证器的认证器阈值,以使客户端根据每个认证器的认证器阈值判断每个目标认证器返回的特征匹配参数是否有效,其中,当认证器返回类型为特征相似度时,认证器阈值为认证器相似度阈值,当认证器返回类型为特征距离时,认证器阈值为认证器距离阈值。
可选的,当融合方法为加权平均算法时,该认证策略中还包括:满足每组匹配规则组合的认证器组合中的每个认证器的权重因子,认证器权值因子由服务器预先生成。
步骤302、服务器接收客户端返回的认证结果。
其中,该认证结果是客户端根据目标认证器组合中的每个目标认证器返回的认证响应消息、目标认证器组合对应的融合方法和目标认证器组合对应的融合阈值得到的,其中,每个目标认证器返回的认证响应消息中包括每个目标认证器根据认证信息对用户进行认证后返回的与该目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,目标认证器组合是客户端根据目标匹配规则组合确定的,目标规则匹配组合是客户端根据连接在客户端上的认证器的状态信息和至少一组匹配规则组合确定的。
本实施例中,服务器通过在每组匹配规则组合的每个匹配规则中携带认证器返回类型,并且每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型,以使客户端根据每组匹配规则组合确定的目标认证器组合中每个目标认证器均能够返回与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数。本实施例中,认证器返回类型可以为匹配层的融合参数:特征相似度或特征距离,从而使得在UAF协议下能够支持匹配层融合的多模态生物特征认证。认证器返回类型还可以为决策层的融合参数:单生物特征的认证结果,从而使得在UAF协议下也能够支持决策层融合的多模态生物特征认证。
图6为本发明实施例四提供的基于UAF协议的多模态生物特征认证方法的流程图,本实施例中由客户端对特征匹配参数进行融合,本实施例从客户端的角度描述,如图6所示,本实施例提供的方法包括以下步骤:
步骤401、客户端接收服务器发送的认证请求,该认证请求中包括认证信息和认证策略,该认证策略中至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及该每组匹配规则组合对应的融合阈值,该每组匹配规则组合包括至少两个匹配规则,该至少两个匹配规则中的每个匹配规则中包括认证器返回类型,每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型。
当融合方法为加权平均算法时,认证策略中还包括:满足每组匹配规则组合的认证器组合中的每个认证器的权重因子。
步骤402、客户端根据连接在客户端上的认证器的状态信息和该至少一组匹配规则组合,确定目标匹配规则组合,进而根据目标匹配规则组合确定目标认证器组合。
本步骤的具体实现方式可参照实施例二的相关描述,这里不再赘述。
步骤403、客户端将认证信息和目标匹配规则组合中的匹配规则包括的认证器返回类型发送给目标认证器组合中的每个目标认证器。
客户端通过将认证信息和目标匹配规则组合中的匹配规则包括的认证器返回类型携带在重新构造的认证请求中发送给每个目标认证器,以使每个目标认证器根据认证信息进行认证,并向客户端返回与认证器返回类型对应的特征匹配参数,可选地,认证请求中还包括挑战信息,用于验证服务器的身份。
步骤404、客户端接收每个目标认证器根据认证信息对用户进行认证后返回的认证响应消息,每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数。
当采用匹配层融合时,该特征匹配参数为用户的认证生物特征与注册生物特征的特征距离值,或者为用户的认证生物特征与注册生物特征的特征相似度值,当采用决策层融合时,特征匹配参数为用户的单生物特征认证结果。每个目标认证器返回的认证响应消息中还可以包括:认证状态代码、签名数据和签名数据的签名,其中,该特征匹配参数可以包含在签名数据中。
步骤405、客户端采用目标匹配规则组合对应的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,通过比较融合结果和目标匹配规则组合对应的融合阈值,得到认证结果。
当目标匹配规则组合中的匹配规则包括的认证器返回类型为特征相似度时,该特征匹配参数为特征相似度值,融合阈值为融合相似度阈值,融合结果为融合相似度值,则客户端采用目标匹配规则组合对应的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,通过比较融合结果和目标匹配规则组合对应的融合阈值,得到认证结果,具体为:客户端采用目标匹配规则组合对应的融合算法将每个目标认证器返回的特征相似度值进行融合得到融合相似度值;然后,客户端通过比较融合相似度值和融合相似度阈值,得到认证结果。具体地,客户端判断融合相似度值是否大于融合相似度阈值;若是,即融合相似度值大于融合相似度阈值,则客户端确定认证通过;若否,即融合相似度值不大于融合相似度阈值,则客户端确定认证未通过。
可选的,该认证策略中还包括:满足每组匹配规则组合的认证器组合中的每个认证器的认证器相似度阈值,客户端采用目标匹配规则组合对应的融合算法将每个目标认证器返回的特征相似度值进行融合得到融合相似度值之前,本实施例的方法还包括:客户端确定每个目标认证器返回的特征相似度值大于各自对应的认证器相似度阈值。具体地,客户端判断每个目标认证器返回的特征相似度值是否大于各自对应的认证器相似度阈值;若是,则客户端确定每个目标认证器返回的特征相似度值有效,客户端采用融合算法将各目标认证器返回的特征相似度值进行融合得到融合相似度值,若否,则客户端确定认证未通过。
当目标匹配规则组合中的匹配规则包括的认证器返回类型为特征距离时,该特征匹配参数为特征距离值,融合阈值为融合距离阈值,融合结果为融合距离值,客户端采用目标匹配规则组合对应的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,根据融合结果和目标匹配规则组合对应的融合阈值得到认证结果,具体为:首先,客户端采用目标匹配规则组合对应的融合算法将每个目标认证器返回的特征距离值进行融合得到融合距离值;然后,客户端通过比较融合距离值和融合距离阈值,得到认证结果。具体地,客户端判断融合距离值是否小于融合距离阈值;若是,即融合距离值大于融合距离阈值,则客户端确定认证通过;若否,即融合距离值不大于融合距离阈值,则客户端确定认证未通过。
可选的,该认证策略中还包括:满足每组匹配规则组合的认证器组合中的每个认证器的认证器距离阈值,相应地,客户端采用目标匹配规则组合对应的融合算法将每个目标认证器返回的特征距离值进行融合得到融合距离值之前,本实施例的方法还可以包括:客户端确定每个目标认证器返回的特征距离值大于各自对应的认证器距离阈值。具体地,客户端判断每个目标认证器返回的特征距离值是否大于各自对应的认证器距离阈值;若是,则客户端确定每个目标认证器返回的特征距离值有效,客户端采用目标匹配规则组合对应的融合算法将每个目标认证器返回的特征距离值进行融合得到融合距离值,若否,则客户端确定认证未通过。
当目标匹配规则组合中的匹配规则包括的认证器返回类型为单生物特征的认证结果,该融合阈值为目标匹配规则组合对应的融合投票得分阈值,融合结果为融合投票得分,则服务器采用预设的融合算法对每个目标认证器返回的特征匹配参数进行融合得到融合结果,根据该融合结果和预设的融合阈值得到认证结果,具体包括:客户端采用融合算法将每个目标认证器返回的单生物特征的认证结果进行融合得到融合投票得分;然后,客户端通过比较融合投票得分与目标匹配规则组合对应的融合投票得分阈值,得到认证结果。具体地,服务器判断融合投票得分是否大于目标匹配规则组合对应的融合投票得分阈值;若是,即融合投票得分大于目标匹配规则组合对应的融合投票得分阈值,则客户端确定认证通过;若否,即融合投票得分不大于目标匹配规则组合对应的融合投票得分阈值,则客户端确定认证未通过。
本实施例中,客户端根据目标匹配规则组合对应的融合方法对特征匹配参数进行融合的具体实现方式,与实施例一中的服务器相同,请参照实施例一的相关描述,这里不再赘述。
与实施例一不同的是,可选的,当由客户端进行融合时,如果客户端根据每个目标认证器返回的特征匹配参数认证未通过,客户端可以重新选择一组认证器组合进行认证,而不是直接向服务器返回认证失败,例如,客户端可以选择次优先级的认证器组合重新对用户进行认证。
本实施例中,客户端根据连接在客户端上的认证器的状态信息和服务器发送的认证策略中包含的多组匹配规则组合确定目标匹配规则组合,进而根据目标匹配规则组合确定目标认证组合,并将认证信息和目标匹配规则组合中包括的认证器返回类型发送给目标认证器中的每个目标认证器。由于每组匹配规则组合的匹配规则中包括相同的认证器返回类型,从而使得客户端确定的目标认证器组合中每个目标认证器均能够返回与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数。本实施例中,认证器返回类型可以为匹配层的融合参数:特征相似度或特征距离,从而使得在UAF协议下能够支持匹配层融合的多模态生物特征认证。认证器返回类型还可以为决策层的融合参数:单生物特征的认证结果,从而使得在UAF协议下也能够支持决策层融合的多模态生物特征认证。
图7为本发明实施例五提供的基于UAF协议的多模态生物特征认证方法的流程图,如图7所示,本实施例提供的方法可以包括以下步骤:
步骤501、认证器接收客户端发送的认证请求,该认证请求中包括:认证信息和认证器返回类型。
步骤502、认证器根据认证信息进行认证得到与认证器返回类型对应的特征匹配参数。
具体地,该认证请求中还包括挑战信息,认证器首先根据挑战信息确定该认证请求是否由合法的服务器发送的,然后,认证器根据认证信息中的用户名和应用标识从本地保存的注册生物特征中查找用户对应的注册生物特征,然后,认证器采集用户的认证生物特征,根据认证器返回类型将注册生物特征与认证生物特征进行匹配。具体地,若认证器支持多种认证算法,认证器从多种认证算法中选择与认证器返回类型对应的认证算法进行认证。例如,当认证器返回类型为特征相似度时,认证器将认证生物特征与注册生物特征进行匹配,得到认证生物特征与注册生物特征的特征相似度值,当认证器返回类型为特征距离时,认证器计算认证生物特征与注册生物特征的特征距离值,当认证器返回类型为单生物特认证结果时,认证器将认证生物特征与注册生物特征进行匹配,得到认证结果。
用户生物特征的注册过程和现有技术相同,因此,本实施例不再赘述。
步骤503、认证器生成认证响应消息,将认证响应消息发送给客户端,该认证响应消息中包括与认证器返回类型对应的特征匹配参数。
本实施例中,认证器根据认证请求中包括的认证器返回类型,得到与认证器返回类型对应的特征匹配参数,并将特征匹配参数携带在认证响应消息中发送给客户端。本实施例中,认证器返回类型可以为匹配层的融合参数:特征相似度或特征距离,从而使得在UAF协议下能够支持匹配层融合的多模态生物特征认证。认证器返回类型还可以为决策层的融合参数:单生物特征的认证结果,从而使得在UAF协议下也能够支持决策层融合的多模态生物特征认证。
图8为发明实施例六提供的基于UAF协议的多模态生物特征认证方法的信令流程图,本实施例中以认证器返回类型为特征相似度,由服务器进行融合为例进行说明,如图8所示,本实施例提供的方法包括以下步骤:
步骤601、用户向服务器请求认证。
步骤602、服务器构造认证请求。
该认证请求中包括认证信息、挑战信息和认证策略;该认证策略中包括至少一组匹配规则组合,每组匹配规则组合包括至少两个匹配规则,其中,每组匹配规则组合中的匹配规则包括相同的认证器返回类型。本实施例中,认证策略中包括两组匹配规则组合,每组匹配规则组合包括两个匹配规则,认证器返回类型的取值为特征相似度。
步骤603、服务器向客户端发送认证请求。
步骤604、客户端确定目标认证器组合,并创建ASM请求。
ASM请求中包括认证信息、挑战信息、各目标认证器的索引和目标匹配规则组合中的匹配规则包括的认证器返回类型。
客户端确定目标认证器组合的具体实现方式请参照实施例二中的相关描述,这里不再赘述,本实施例中,目标认证器组合中包括两个目标认证器:目标认证器A和目标认证器B,客户端在确定目标认证器组合后,会创建ASM请求,将认证信息、挑战信息、目标认证器A和目标认证器B的索引和目标匹配规则组合中的匹配规则包括的认证器返回类型携带在ASM请求中发送给ASM。
步骤605、客户端将ASM请求发送给ASM。
步骤606、ASM为目标认证器A和目标认证器B分别创建TAG-UAFV1-SIGN-CMD。
ASM为目标认证器A和目标认证器B分别创建的TAG-UAFV1-SIGN-CMD中包含认证信息、挑战信息和目标匹配规则组合中的匹配规则包括的认证器返回类型。
步骤607、ASM根据每个目标认证器的索引定位认证器,将目标认证器A和目标认证器B各自对应的TAG-UAFV1-SIGN-CMD发送给目标认证器A和目标认证器B。
步骤608、目标认证器A和目标认证器B根据认证信息对用户进行认证。
目标认证器A和目标认证器B认证得到生物特征的特征相似度值。
步骤609、目标认证器A和目标认证器B分别生成对应的TAG-UAFV1-SIGN-CMD-RESP。
每个目标认证器用于对用户的一种生物特征进行认证,各目标认证器分别得到对应的生物特征的特征相似度值,并将特征相似度值添加在TAG-UAFV1-SIGN-CMD-RESP。
步骤610、目标认证器A和目标认证器B分别将对应的TAG-UAFV1-SIGN-CMD-RESP发送给ASM。
步骤611、ASM创建AuthenticateOut。
ASM通过对目标认证器A和目标认证器B返回的TAG-UAFV1-SIGN-CMD-RESP进行封装得到AuthenticateOut。
步骤612、ASM将AuthenticateOut发送给客户端。
步骤613、客户端构建融合响应。
客户端在收到ASM发送的AuthenticateOut时,对AuthenticateOut解析得到目标认证器A和目标认证器B返回的TAG-UAFV1-SIGN-CMD-RESP,根据目标认证器A和目标认证器B返回的TAG-UAFV1-SIGN-CMD-RESP构造融合响应(FusionResponse)并将其封装在统一认证响应中发送给服务器端。
步骤614、客户端将统一认证响应发送给服务器。
客户端将融合响应携带在统一认证响应发送给服务器。
步骤615、服务器验证目标认证器A、B返回的TAG-UAFV1-SIGN-CMD-RESP的合法性。
服务器解析融合响应得到目标认证器A和目标认证器B返回的TAG-UAFV1-SIGN-CMD-RESP,然后,验证目标认证器A和目标认证器B返回的TAG-UAFV1-SIGN-CMD-RESP的合法性。若目标认证器A和目标认证器B返回的TAG-UAFV1-SIGN-CMD-RESP合法,则执行步骤616;否则认证未通过,认证流程结束,。
步骤616、服务器采用加权平均算法将目标认证器A、B返回的特征相似度进行融合得到融合特征相似度,通过比较融合相似度和融合相似度阈值得到认证结果。
图9为发明实施例七提供的基于UAF协议的多模态生物特征认证方法的信令流程图,本实施例中以认证器返回类型为特征距离,由客户端进行融合为例进行说明,如图9所示,本实施例提供的方法包括以下步骤:
步骤701、用户向服务器请求认证。
步骤702、服务器构造认证请求。
该认证请求中包括认证信息、挑战信息和认证策略,该认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法和融合阈值,每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型。本实施例中,认证策略中包括两组匹配规则组合,每组匹配规则组合包括两个匹配规则,认证器返回类型的取值为特征相似度。本实施例中,融合方法字段的取值为加权平均算法,融合阈值字段的取值为融合距离阈值,认证器返回类型为特征距离。
步骤703、服务器将认证请求发送给客户端。
步骤704、客户端确定目标认证器组合,并创建ASM请求。
客户端确定目标认证器组合的具体实现方式请参照实施例二中的相关描述,这里不再赘述,本实施例中,目标认证器组合中包括两个目标认证器:目标认证器A和目标认证器B,客户端在确定目标认证器组合后,会创建ASM请求,ASM请求中包括认证信息、挑战信息、目标认证器A和目标认证器B的索引和目标匹配规则组合中的匹配规则包括的认证器返回类型。
步骤705、客户端将ASM请求发送给ASM。
步骤706、ASM为目标认证器A和目标认证器B分别创建TAG-UAFV1-SIGN-CMD。
ASM为目标认证器A和目标认证器B分别创建的TAG-UAFV1-SIGN-CMD中包含认证信息、挑战信息和目标匹配规则组合中的匹配规则包括的认证器返回类型。
步骤707、ASM根据每个目标认证器的索引定位认证器,将目标认证器A和目标认证器B各自对应的TAG-UAFV1-SIGN-CMD发送给目标认证器A和目标认证器B。
步骤708、目标认证器A和目标认证器B根据认证信息对用户进行认证。
目标认证器A和目标认证器B通过认证得到生物特征的特征距离值。
步骤709、目标认证器A和目标认证器B分别生成对应的TAG-UAFV1-SIGN-CMD-RESP。
目标认证器A和目标认证器B各自对应的TAG-UAFV1-SIGN-CMD-RESP中分别包括各自认证得到的特征距离值。
步骤710、目标认证器A和目标认证器B分别将对应的TAG-UAFV1-SIGN-CMD-RESP发送给ASM。
步骤711、ASM创建AuthenticateOut。
ASM通过对目标认证器A和目标认证器B返回的TAG-UAFV1-SIGN-CMD-RESP进行封装得到AuthenticateOut。
步骤712、ASM将AuthenticateOut发送给客户端。
步骤713、客户端采用加权平均算法对目标认证器A、B返回的特征距离值进行融合得到融合距离值,根据融合距离值和融合距离阈值得到认证结果。
步骤714、客户端创建融合响应,该融合响应中包括认证结果。
步骤715、客户端将融合响应携带在AuthResponse中发送给服务器。
步骤716、服务器验证目标认证器A、B返回的TAG-UAFV1-SIGN-CMD-RESP的合法性。
图10为本发明实施例八提供的服务器的结构示意图,如图10所示,本实施例的服务器包括:发送模块11、接收模块12、融合模块13和比较模块14。
其中,发送模块11,用于向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
接收模块12,用于接收所述客户端返回的统一认证响应,所述统一认证响应包括目标认证器组合中的每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,其中,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
融合模块13,用于采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
比较模块14,用于通过比较所述融合结果和预设的融合阈值,得到认证结果。
可选地,所述特征匹配参数为特征相似度值,所述融合阈值为融合相似度阈值,所述融合结果为融合相似度值,则所述融合模块13具体用于:采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值。所述比较模块14具体用于:通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
可选地,所述融合模块13采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述融合模块14还用于:确定所述每个目标认证器返回的特征相似度值都大于各自对应的认证器相似度阈值。
可选地,所述特征匹配参数为特征距离值,所述融合阈值为融合距离阈值,所述融合结果为融合距离值,则所述融合模块13具体用于:采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值。所述比较模块14具体用于:通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
可选地,所述融合模块13采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述融合模块13还用于:确定所述每个目标认证器返回的特征距离值小于各自对应的认证器距离阈值。
进一步的,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
可选地,所述融合模块13还用于:根据所述每个目标认证器的认证响应消息中的签名数据和所述签名数据的签名确定所述每个目标认证器返回的认证响应消息合法。
本实施例提供的服务器可用于执行实施例一的方法,其具体实现方式和技术效果类似,这里不再赘述。
图11为本发明实施例九提供的客户端的结构示意图,如图11所示,本实施例的客户端包括:接收模块21、确定模块22、发送模块23和生成模块24。
其中,接收模块21,用于接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
确定模块22,用于根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
发送模块23,用于将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述接收模块21,还用于接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,其中,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
生成模块24,用于根据所述每个目标认证器返回的认证响应消息得到统一认证响应;
所述发送模块23,还用于将所述统一认证响应发送给所述服务器。
其中,所述状态信息包括该状态信息对应的认证器支持的认证器返回类型,所述确定模块22具体用于:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;确定所述匹配规则组合A为所述目标匹配规则组合;从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
本实施例提供的客户端可用于执行实施例二的方法,其具体实现方式和技术效果类似,这里不再赘述。
图12为本发明实施例十提供的服务器的结构示意图,如图12所示,本实施例的服务器包括:发送模块31和接收模块32。
其中,发送模块31,用于向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
接收模块32,用于接收所述客户端返回的认证结果。
其中,所述认证结果是所述客户端根据目标认证器组合中的每个目标认证器返回的认证响应消息、所述目标认证器组合对应的融合方法和所述目标认证器组合对应的融合阈值得到的,其中,所述每个目标认证器返回的认证响应消息中包括所述每个目标认证器根据所述认证信息对用户进行认证后返回的与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
可选地,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器阈值,以使所述客户端根据所述每个认证器的认证器阈值判断所述每个目标认证器返回的特征匹配参数是否有效,其中,当所述认证器返回类型为特征相似度时,所述认证器阈值为认证器相似度阈值,当所述认证器返回类型为特征距离时,所述认证器阈值为认证器距离阈值。
可选地,当所述融合方法为加权平均算法时,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子。
本实施例提供的服务器可用于执行实施例三的方法,其具体实现方式和技术效果类似,这里不再赘述。
图13为本发明实施例十一提供的客户端的结构示意图,如图13所示,本实施例的客户端包括:接收模块41、确定模块42、发送模块43、融合模块44和比较模块45。
接收模块41,用于接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
确定模块42,用于根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
发送模块43,用于将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述接收模块41,还用于接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
融合模块44,用于采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
比较模块45,用于通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果;
发送模块43,用于将所述认证结果发送给所述服务器。
其中,所述状态信息包括该状态信息对应的认证器支持的认证器返回类型,所述确定模块42具体用于:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
可选地,所述特征匹配参数为特征相似度值,所述目标匹配规则组合对应的融合阈值为融合相似度阈值,所述融合结果为融合相似度值,则所述融合模块44具体用于:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值。所述比较模块45具体用于:通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
可选地,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器相似度阈值,则所述融合模块44采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述融合模块44还用于:确定所述每个目标认证器返回的特征相似度值大于各自对应的认证器相似度阈值。
可选地,所述特征匹配参数为特征距离值,所述目标匹配规则组合对应的融合阈值为融合距离阈值,所述融合结果为融合距离值,则所述融合模块44具体用于:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值。所述比较模块45具体用于:通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
可选地,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器距离阈值,所述融合模块44采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述融合模块44还用于:确定所述每个目标认证器返回的特征距离值大于各自对应的认证器距离阈值。
进一步地,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
可选地,所述融合方法为加权平均算法,则所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子,则所述融合模块44具体用于:根据所述每个目标认证器的权重因子,对所述每个目标认证器返回的特征匹配参数进行加权平均得到所述融合结果。
本实施例提供的服务器可用于执行实施例四的方法,其具体实现方式和技术效果类似,这里不再赘述。
图14为本发明实施例十二提供的服务器的结构示意图,如图14所示,本实施例提供的服务器500包括:处理器51、存储器52、通信接口53和通信总线54,所述存储器52和通信接口53通过所述通信总线54与所述处理器51连接,所述存储器52用于存储计算机指令,所述通信接53口用于与其他设备通信,所述处理器51用于执行所述存储器52中存储的计算机指令,以执行如下所述的方法:
向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
接收所述客户端返回的统一认证响应,所述统一认证响应包括目标认证器组合中的每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,其中,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
通过比较所述融合结果和预设的融合阈值,得到认证结果。
可选地,所述特征匹配参数为特征相似度值,所述融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,比较所述融合结果和预设的融合阈值得到认证结果,具体为:采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
可选地,所述处理器51采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述处理器51还用于:确定所述每个目标认证器返回的特征相似度值都大于各自对应的认证器相似度阈值。
可选地,所述特征匹配参数为特征距离值,所述融合阈值为融合距离阈值,所述融合结果为融合距离值,所述采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,比较所述融合结果和预设的融合阈值得到认证结果,具体为:采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
可选地,所述处理器51采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述处理器51还用于:确定所述每个目标认证器返回的特征距离值小于各自对应的认证器距离阈值。
可选地,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
可选地,所述处理器51采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,根据所述融合结果和预设的融合阈值得到认证结果之前,所述处理器51还用于:根据所述每个目标认证器的认证响应消息中的签名数据和所述签名数据的签名确定所述每个目标认证器返回的认证响应消息合法。
本实施例提供的服务器500可用于执行实施例一的方法,其具体实现方式和技术效果类似,这里不再赘述。
图15为本发明实施例十三提供的客户端的结构示意图,如图15所示,本实施例提供的客户端600包括:处理器61、存储器62、通信接口63和通信总线64,所述存储器62和通信接口63通过所述通信总线64与所述处理器61连接,所述存储器62用于存储计算机指令,所述通信接63口用于与其他设备通信,所述处理器61用于执行所述存储器62中存储的计算机指令,以执行如下所述的方法:
接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,其中,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
根据所述每个目标认证器返回的认证响应消息得到统一认证响应,将所述统一认证响应发送给所述服务器。
其中,所述状态信息包括该状态信息对应的认证器支持的认证器返回类型,所述处理器61根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,包括:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
本实施例提供的客户端600可用于执行实施例二的方法,其具体实现方式和技术效果类似,这里不再赘述。
图16为本发明实施例十四提供的服务器的结构示意图,如图16所示,本实施例提供的服务器700包括:处理器71、存储器72、通信接口73和通信总线74,所述存储器72和通信接口73通过所述通信总线74与所述处理器71连接,所述存储器72用于存储计算机指令,所述通信接73口用于与其他设备通信,所述处理器71用于执行所述存储器72中存储的计算机指令,以执行如下所述的方法:
向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
接收所述客户端返回的认证结果。
其中,所述认证结果是所述客户端根据目标认证器组合中的每个目标认证器返回的认证响应消息、所述目标认证器组合对应的融合方法和所述目标认证器组合对应的融合阈值得到的,其中,所述每个目标认证器返回的认证响应消息中包括所述每个目标认证器根据所述认证信息对用户进行认证后返回的与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
可选地,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器阈值,以使所述客户端根据所述每个认证器的认证器阈值判断所述每个目标认证器返回的特征匹配参数是否有效,其中,当所述认证器返回类型为特征相似度时,所述认证器阈值为认证器相似度阈值,当所述认证器返回类型为特征距离时,所述认证器阈值为认证器距离阈值。
可选地,当所述融合方法为加权平均算法时,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子。
本实施例提供的服务器700可用于执行实施例三的方法,其具体实现方式和技术效果类似,这里不再赘述。
图17为本发明实施例十五提供的客户端的结构示意图,如图17所示,本实施例提供的客户端800包括:处理器81、存储器82、通信接口83和通信总线84,所述存储器82和通信接口83通过所述通信总线84与所述处理器81连接,所述存储器82用于存储计算机指令,所述通信接83口用于与其他设备通信,所述处理器81用于执行所述存储器82中存储的计算机指令,以执行如下所述的方法:
接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果;
将所述认证结果发送给所述服务器。
其中,所述状态信息包括该状态信息对应的认证器支持的认证器返回类型,所述处理器81根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,包括:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
可选地,所述特征匹配参数为特征相似度值,所述目标匹配规则组合对应的融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,比较所述融合结果和所述目标匹配规则组合对应的融合阈值得到认证结果,具体为:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
可选地,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器相似度阈值,所述处理器81采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述处理器81还用于:确定所述每个目标认证器返回的特征相似度值大于各自对应的认证器相似度阈值。
可选地,所述特征匹配参数为特征距离值,所述目标匹配规则组合对应的融合阈值为融合距离阈值,所述融合结果为融合距离值,所述采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果,具体为:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
可选地,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器距离阈值,所述处理器81采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述处理器81还用于:确定所述每个目标认证器返回的特征距离值大于各自对应的认证器距离阈值。
可选地,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
可选地,所述融合方法为加权平均算法,则所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子,则所述处理器81采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,具体为:根据所述每个目标认证器的权重因子,对所述每个目标认证器返回的特征匹配参数进行加权平均得到所述融合结果。
本实施例提供的客户端800可用于执行实施例四的方法,其具体实现方式和技术效果类似,这里不再赘述。
图18为本发明实施例十八提供的一种认证系统的结构示意图,如图18所示,本实施例提供的认证系统包括:服务器91、客户端92和多个目标认证器93。
所述服务器91用于:向客户端92发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
所述客户端92用于:接收所述服务器91发送的所述认证请求,根据连接在所述客户端92上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器93;
所述每个目标认证器93用于:接收所述客户端92发送的所述认证请求,根据所述认证信息进行认证得到与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,生成认证响应消息,将所述认证响应消息发送给所述客户端92,所述认证响应消息中包括所述特征匹配参数;
所述客户端92还用于:接收所述每个目标认证器93返回的认证响应消息,根据所述每个目标认证器93返回的认证响应消息得到统一认证响应,将所述统一认证响应发送给所述服务器91;
所述服务器91还用于:采用预设的融合算法对所述每个目标认证器93返回的特征匹配参数进行融合得到融合结果,通过比较所述融合结果和预设的融合阈值,得到认证结果。
图19为本发明实施例十七提供的一种认证系统的结构示意图,如图19所示,本实施例提供的认证系统包括:服务器1000、客户端1001和多个目标认证器1003。
所述服务器1000用于:向客户端1001发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
所述客户端1002用于:接收所述服务器1001发送的所述认证请求,根据连接在所述客户端1002上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器1003;
所述每个目标认证器1003用于:接收所述客户端1002发送的所述认证请求,根据所述认证信息进行认证得到与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,生成认证响应消息,将所述认证响应消息发送给所述客户端1002,所述认证响应消息中包括所述特征匹配参数;
所述客户端1002还用于:接收所述每个目标认证器1003返回的认证响应消息,采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器1003返回的特征匹配参数进行融合得到融合结果,通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果,将所述认证结果发送给所述服务器1001;
所述服务器1001还用于:接收所述客户端1002返回的认证结果。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (42)
1.一种基于UAF协议的多模态生物特征认证方法,其特征在于,包括:
服务器向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
所述服务器接收所述客户端返回的统一认证响应,所述统一认证响应包括目标认证器组合中的每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,其中,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
所述服务器通过比较所述融合结果和预设的融合阈值,得到认证结果。
2.根据权利要求1所述的方法,其特征在于,所述特征匹配参数为特征相似度值,所述融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述服务器通过比较所述融合结果和预设的融合阈值得到认证结果,包括:
所述服务器采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述服务器通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
3.根据权利要求2所述的方法,其特征在于,所述服务器采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述方法还包括:
所述服务器确定所述每个目标认证器返回的特征相似度值都大于各自对应的认证器相似度阈值。
4.根据权利要求1所述的方法,其特征在于,所述特征匹配参数为特征距离值,所述融合阈值为融合距离阈值,所述融合结果为融合距离值,所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述服务器通过比较所述融合结果和预设的融合阈值得到认证结果,包括:
所述服务器采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述服务器通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
5.根据权利要求4所述的方法,其特征在于,所述服务器采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述方法还包括:
所述服务器确定所述每个目标认证器返回的特征距离值小于各自对应的认证器距离阈值。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
7.根据权利要求6所述的方法,其特征在于,所述服务器采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,根据所述融合结果和预设的融合阈值得到认证结果之前,所述方法还包括:
所述服务器根据所述每个目标认证器的认证响应消息中的签名数据和所述签名数据的签名确定所述每个目标认证器返回的认证响应消息合法。
8.一种基于UAF协议的多模态生物特征认证方法,其特征在于,包括:
客户端接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
所述客户端将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述客户端接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,其中,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
所述客户端根据所述每个目标认证器返回的认证响应消息得到统一认证响应,将所述统一认证响应发送给所述服务器。
9.根据权利要求8所述的方法,其特征在于,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,包括:
获取所述连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
10.一种基于UAF协议的多模态生物特征认证方法,其特征在于,包括:
服务器向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
所述服务器接收所述客户端返回的认证结果。
11.根据权利要求10所述的方法,其特征在于,所述认证结果是所述客户端根据目标认证器组合中的每个目标认证器返回的认证响应消息、所述目标认证器组合对应的融合方法和所述目标认证器组合对应的融合阈值得到的,其中,所述每个目标认证器返回的认证响应消息中包括所述每个目标认证器根据所述认证信息对用户进行认证后返回的与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的。
12.根据权利要求10或11所述的方法,其特征在于,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器阈值,以使所述客户端根据所述每个认证器的认证器阈值判断所述每个目标认证器返回的特征匹配参数是否有效,其中,当所述认证器返回类型为特征相似度时,所述认证器阈值为认证器相似度阈值,当所述认证器返回类型为特征距离时,所述认证器阈值为认证器距离阈值。
13.根据权利要求10或11所述的方法,其特征在于,当所述融合方法为加权平均算法时,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子。
14.一种基于UAF协议的多模态生物特征认证方法,其特征在于,包括:
客户端接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
所述客户端将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述客户端接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
所述客户端通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果;
所述客户端将所述认证结果发送给所述服务器。
15.根据权利要求14所述的方法,其特征在于,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合,包括:
获取所述连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
16.根据权利要求14或15所述的方法,其特征在于,所述特征匹配参数为特征相似度值,所述目标匹配规则组合对应的融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述客户端通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值得到认证结果,包括:
所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述客户端通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
17.根据权利要求16所述的方法,其特征在于,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器相似度阈值,所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述方法还包括:
所述客户端确定所述每个目标认证器返回的特征相似度值大于各自对应的认证器相似度阈值。
18.根据权利要求14或15所述的方法,其特征在于,所述特征匹配参数为特征距离值,所述目标匹配规则组合对应的融合阈值为融合距离阈值,所述融合结果为融合距离值,所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,所述客户端通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果,包括:
所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述客户端通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
19.根据权利要求18所述的方法,其特征在于,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器距离阈值,所述客户端采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述方法还包括:
所述客户端确定所述每个目标认证器返回的特征距离值大于各自对应的认证器距离阈值。
20.根据权利要求14所述的方法,其特征在于,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
21.根据权利要求14所述的方法,其特征在于,所述融合方法为加权平均算法,则所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子,则所述客户端采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果,包括:
所述客户端根据所述每个目标认证器的权重因子,对所述每个目标认证器返回的特征匹配参数进行加权平均得到所述融合结果。
22.一种服务器,其特征在于,包括:
发送模块,用于向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
接收模块,用于接收所述客户端返回的统一认证响应,所述统一认证响应包括目标认证器组合中的每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,其中,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的;
融合模块,用于采用预设的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
比较模块,用于通过比较所述融合结果和预设的融合阈值,得到认证结果。
23.根据权利要求22所述的服务器,其特征在于,所述特征匹配参数为特征相似度值,所述融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述融合模块具体用于:采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述比较模块具体用于:通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
24.根据权利要求23所述的服务器,其特征在于,所述融合模块采用所述融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征相似度值都大于各自对应的认证器相似度阈值。
25.根据权利要求22所述的服务器,其特征在于,所述特征匹配参数为特征距离值,所述融合阈值为融合距离阈值,所述融合结果为融合距离值,所述融合模块具体用于:采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述比较模块具体用于:通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
26.根据权利要求25所述的服务器,其特征在于,所述融合模块采用所述融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征距离值小于各自对应的认证器距离阈值。
27.根据权利要求22-26中任一项所述的服务器,其特征在于,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
28.根据权利要求27所述的服务器,其特征在于,所述融合模块还用于:
根据所述每个目标认证器的认证响应消息中的签名数据和所述签名数据的签名确定所述每个目标认证器返回的认证响应消息合法。
29.一种客户端,其特征在于,包括:
接收模块,用于接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合,所述至少一组匹配规则组合中的每组匹配规则组合包括至少两个匹配规则,其中,所述每组匹配规则组合中的匹配规则包括相同的认证器返回类型;
确定模块,用于根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
发送模块,用于将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述接收模块,还用于接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,其中,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
生成模块,用于根据所述每个目标认证器返回的认证响应消息得到统一认证响应;
所述发送模块,还用于将所述统一认证响应发送给所述服务器。
30.根据权利要求29所述的客户端,其特征在于,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述确定模块具体用于:
获取所述连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
31.一种服务器,其特征在于,包括:
发送模块,用于向客户端发送认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
接收模块,用于接收所述客户端返回的认证结果。
32.根据权利要求31所述的服务器,其特征在于,所述认证结果是所述客户端根据目标认证器组合中的每个目标认证器返回的认证响应消息、所述目标认证器组合对应的融合方法和所述目标认证器组合对应的融合阈值得到的,其中,所述每个目标认证器返回的认证响应消息中包括所述每个目标认证器根据所述认证信息对用户进行认证后返回的与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数,所述目标认证器组合是所述客户端根据所述目标匹配规则组合确定的,所述目标规则匹配组合是所述客户端根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合确定的。
33.根据权利要求31所述的服务器,其特征在于,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器阈值,以使所述客户端根据所述每个认证器的认证器阈值判断所述每个目标认证器返回的特征匹配参数是否有效,其中,当所述认证器返回类型为特征相似度时,所述认证器阈值为认证器相似度阈值,当所述认证器返回类型为特征距离时,所述认证器阈值为认证器距离阈值。
34.根据权利要求31至33所述的服务器,其特征在于,当所述融合方法为加权平均算法时,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子。
35.一种客户端,其特征在于,包括:
接收模块,用于接收服务器发送的认证请求,所述认证请求中包括认证信息和认证策略,所述认证策略中包括至少一组匹配规则组合、每组匹配规则组合对应的融合方法以及所述每组匹配规则组合对应的融合阈值,所述每组匹配规则组合包括至少两个匹配规则,所述每组匹配规则组合中的每个匹配规则包括相同的认证器返回类型;
确定模块,用于根据连接在所述客户端上的认证器的状态信息和所述至少一组匹配规则组合,确定目标匹配规则组合,进而根据所述目标匹配规则组合确定目标认证器组合;
发送模块,用于将所述认证信息和所述目标匹配规则组合中的匹配规则包括的认证器返回类型发送给所述目标认证器组合中的每个目标认证器;
所述接收模块,还用于接收所述每个目标认证器根据所述认证信息对用户进行认证后返回的认证响应消息,所述每个目标认证器返回的认证响应消息中包括与所述目标匹配规则组合中的匹配规则包括的认证器返回类型对应的特征匹配参数;
融合模块,用于采用所述目标匹配规则组合对应的融合算法对所述每个目标认证器返回的特征匹配参数进行融合得到融合结果;
比较模块,用于通过比较所述融合结果和所述目标匹配规则组合对应的融合阈值,得到认证结果;
发送模块,用于将所述认证结果发送给所述服务器。
36.根据权利要求35所述的客户端,其特征在于,所述状态信息包括所述状态信息对应的认证器支持的认证器返回类型,所述确定模块具体用于:
获取连接在所述客户端上的认证器的状态信息;
根据所述连接在所述客户端上的认证器的状态信息,确定所述至少一组匹配规则组合存在一组匹配规则组合A的每个匹配规则都能从所述连接在所述客户端上的认证器中匹配到可用的认证器,其中,所述匹配规则组合A中的每个匹配规则匹配到的可用的认证器支持的认证器返回类型满足所述匹配规则组合A中的每个匹配规则中包括的认证器返回类型;
确定所述匹配规则组合A为所述目标匹配规则组合;
从所述匹配规则组合A的每个匹配规则匹配到的可用认证器中确定所述目标认证器组合。
37.根据权利要求35或36所述的客户端,其特征在于,所述特征匹配参数为特征相似度值,所述目标匹配规则组合对应的融合阈值为融合相似度阈值,所述融合结果为融合相似度值,所述融合模块具体用于:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值;
所述比较模块具体用于:通过比较所述融合相似度值和所述融合相似度阈值,得到所述认证结果。
38.根据权利要求37所述的客户端,其特征在于,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器相似度阈值,所述融合模块采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征相似度值进行融合得到所述融合相似度值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征相似度值大于各自对应的认证器相似度阈值。
39.根据权利要求35所述的客户端,其特征在于,所述特征匹配参数为特征距离值,所述目标匹配规则组合对应的融合阈值为融合距离阈值,所述融合结果为融合距离值,所述融合模块具体用于:采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值;
所述比较模块具体用于:通过比较所述融合距离值和所述融合距离阈值,得到所述认证结果。
40.根据权利要求39所述的客户端,其特征在于,所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的认证器距离阈值,所述融合模块采用所述目标匹配规则组合对应的融合算法将所述每个目标认证器返回的特征距离值进行融合得到所述融合距离值之前,所述融合模块还用于:
确定所述每个目标认证器返回的特征距离值大于各自对应的认证器距离阈值。
41.根据权利要求35所述的客户端,其特征在于,所述每个目标认证器返回的认证响应消息中还包括:签名数据和所述签名数据的签名,其中,所述特征匹配参数包含在所述签名数据中。
42.根据权利要求35所述的客户端,其特征在于,所述融合方法为加权平均算法,则所述认证策略中还包括:满足所述每组匹配规则组合的认证器组合中的每个认证器的权重因子,则所述融合模块具体用于:
根据所述每个目标认证器的权重因子,对所述每个目标认证器返回的特征匹配参数进行加权平均得到所述融合结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510005318.3A CN105827571B (zh) | 2015-01-06 | 2015-01-06 | 基于uaf协议的多模态生物特征认证方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510005318.3A CN105827571B (zh) | 2015-01-06 | 2015-01-06 | 基于uaf协议的多模态生物特征认证方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105827571A true CN105827571A (zh) | 2016-08-03 |
CN105827571B CN105827571B (zh) | 2019-09-13 |
Family
ID=56513817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510005318.3A Active CN105827571B (zh) | 2015-01-06 | 2015-01-06 | 基于uaf协议的多模态生物特征认证方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105827571B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106709502A (zh) * | 2016-11-18 | 2017-05-24 | 深圳信息职业技术学院 | 一种基于投票方法的多特征融合识别方法 |
CN107634834A (zh) * | 2017-09-05 | 2018-01-26 | 四川中电启明星信息技术有限公司 | 一种基于多终端多场景的可信身份认证方法 |
WO2018214133A1 (zh) * | 2017-05-25 | 2018-11-29 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的fido认证方法、装置及系统 |
CN109547460A (zh) * | 2018-12-12 | 2019-03-29 | 重庆邮电大学 | 面向身份联盟的多粒度联合身份认证方法 |
CN110321682A (zh) * | 2019-07-08 | 2019-10-11 | 国网电子商务有限公司 | 一种基于uaf和ibc的统一身份认证方法及装置 |
CN110401663A (zh) * | 2019-07-30 | 2019-11-01 | 飞天诚信科技股份有限公司 | 一种快速注册认证器的方法及系统 |
CN110601853A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种区块链私钥生成方法以及设备 |
CN111291329A (zh) * | 2018-12-10 | 2020-06-16 | 航天信息股份有限公司 | 一种文件查看方法、装置、系统、服务器及可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
CN101132277A (zh) * | 2006-08-26 | 2008-02-27 | 华为技术有限公司 | 一种生物认证方法 |
CN102087686A (zh) * | 2009-12-08 | 2011-06-08 | 株式会社日立制作所 | 使用多种类模板的生物体认证系统及生物体认证方法 |
CN102332093A (zh) * | 2011-09-19 | 2012-01-25 | 汉王科技股份有限公司 | 一种掌纹和人脸融合识别的身份认证方法及装置 |
CN103077459A (zh) * | 2012-12-18 | 2013-05-01 | 天津科技大学 | 一种融合用户多生物特征进行活体认证支付的方法 |
-
2015
- 2015-01-06 CN CN201510005318.3A patent/CN105827571B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101132277A (zh) * | 2006-08-26 | 2008-02-27 | 华为技术有限公司 | 一种生物认证方法 |
CN101098232A (zh) * | 2007-07-12 | 2008-01-02 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
CN102087686A (zh) * | 2009-12-08 | 2011-06-08 | 株式会社日立制作所 | 使用多种类模板的生物体认证系统及生物体认证方法 |
CN102332093A (zh) * | 2011-09-19 | 2012-01-25 | 汉王科技股份有限公司 | 一种掌纹和人脸融合识别的身份认证方法及装置 |
CN103077459A (zh) * | 2012-12-18 | 2013-05-01 | 天津科技大学 | 一种融合用户多生物特征进行活体认证支付的方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106709502A (zh) * | 2016-11-18 | 2017-05-24 | 深圳信息职业技术学院 | 一种基于投票方法的多特征融合识别方法 |
WO2018214133A1 (zh) * | 2017-05-25 | 2018-11-29 | 深圳前海达闼云端智能科技有限公司 | 基于区块链的fido认证方法、装置及系统 |
CN107634834A (zh) * | 2017-09-05 | 2018-01-26 | 四川中电启明星信息技术有限公司 | 一种基于多终端多场景的可信身份认证方法 |
CN111291329A (zh) * | 2018-12-10 | 2020-06-16 | 航天信息股份有限公司 | 一种文件查看方法、装置、系统、服务器及可读存储介质 |
CN111291329B (zh) * | 2018-12-10 | 2023-08-18 | 航天信息股份有限公司 | 一种文件查看方法、装置、系统、服务器及可读存储介质 |
CN109547460A (zh) * | 2018-12-12 | 2019-03-29 | 重庆邮电大学 | 面向身份联盟的多粒度联合身份认证方法 |
CN109547460B (zh) * | 2018-12-12 | 2020-12-04 | 重庆邮电大学 | 面向身份联盟的多粒度联合身份认证方法 |
CN110321682A (zh) * | 2019-07-08 | 2019-10-11 | 国网电子商务有限公司 | 一种基于uaf和ibc的统一身份认证方法及装置 |
CN110401663A (zh) * | 2019-07-30 | 2019-11-01 | 飞天诚信科技股份有限公司 | 一种快速注册认证器的方法及系统 |
CN110401663B (zh) * | 2019-07-30 | 2021-08-31 | 飞天诚信科技股份有限公司 | 一种快速注册认证器的方法及系统 |
CN110601853A (zh) * | 2019-09-17 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种区块链私钥生成方法以及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105827571B (zh) | 2019-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hamidi | An approach to develop the smart health using Internet of Things and authentication based on biometric technology | |
CN105827571A (zh) | 基于uaf协议的多模态生物特征认证方法和设备 | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
US9967261B2 (en) | Method and system for secure authentication | |
EP3120282B1 (en) | User authentication | |
US9306954B2 (en) | Apparatus, systems and method for virtual desktop access and management | |
US9230077B2 (en) | Alias-based social media identity verification | |
US6446210B1 (en) | Method for securing communication by selecting an encoding process using a first computer based upon ability of a second computer and deleting the process thereafter | |
CN108959933A (zh) | 用于基于风险的认证的风险分析装置及方法 | |
US20180013758A1 (en) | Method and system for dynamic password based user authentication and password management | |
US9756028B2 (en) | Methods, systems and computer program products for secure access to information | |
CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
CN103888255A (zh) | 一种身份认证方法、装置及系统 | |
US20150006399A1 (en) | Social Media Based Identity Verification | |
KR102482104B1 (ko) | 식별 및/또는 인증 시스템 및 방법 | |
US20240048555A1 (en) | Privacy-Preserving Biometric Authentication | |
CN103929425A (zh) | 一种身份注册、身份认证的方法、设备和系统 | |
US11120120B2 (en) | Method and system for secure password storage | |
CN104935548A (zh) | 基于智能纹身设备的身份验证方法、装置及系统 | |
JP2016062457A (ja) | 認証方法及び認証装置 | |
US10003464B1 (en) | Biometric identification system and associated methods | |
KR101221728B1 (ko) | 그래픽 otp 인증을 위한 인증처리서버 및 그 방법 | |
Zhu et al. | Realid: Building a secure anonymous yet transparent immutable id service | |
KR101523629B1 (ko) | 로그인 인증 장치, 방법 및 이를 저장한 기록 매체 | |
JP3974070B2 (ja) | ユーザ認証装置、端末装置、プログラム及びコンピュータ・システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |