CN109165523A - 身份认证方法及系统、终端设备、服务器及存储介质 - Google Patents

身份认证方法及系统、终端设备、服务器及存储介质 Download PDF

Info

Publication number
CN109165523A
CN109165523A CN201810852671.9A CN201810852671A CN109165523A CN 109165523 A CN109165523 A CN 109165523A CN 201810852671 A CN201810852671 A CN 201810852671A CN 109165523 A CN109165523 A CN 109165523A
Authority
CN
China
Prior art keywords
attribute information
server
user
terminal device
biological characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810852671.9A
Other languages
English (en)
Inventor
张帆
李启铭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Sensetime Technology Co Ltd
Original Assignee
Shenzhen Sensetime Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Sensetime Technology Co Ltd filed Critical Shenzhen Sensetime Technology Co Ltd
Priority to CN201810852671.9A priority Critical patent/CN109165523A/zh
Publication of CN109165523A publication Critical patent/CN109165523A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/16Human faces, e.g. facial parts, sketches or expressions
    • G06V40/172Classification, e.g. identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Oral & Maxillofacial Surgery (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本申请实施例涉及生物特征识别技术领域,公开了一种身份认证方法、终端设备、服务器及计算机可读介质,该方法包括:服务器接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与所述第一生物特征属性信息相对应的第二生物特征属性信息;所述服务器对所述第一生物特征属性信息和所述第二生物特征属性信息进行合并处理,得到生物特征参考信息;所述服务器基于所述生物特征参考信息对用户进行身份认证,得到所述用户的身份认证结果;可以有效防止隐私数据泄露,保证数据的安全。

Description

身份认证方法及系统、终端设备、服务器及存储介质
技术领域
本发明涉及生物特征识别技术领域,尤其涉及一种身份认证方法及系统、终端设备、服务器及存储介质。
背景技术
生物特征识别技术是模式识别和计算机视觉领域中一个非常活跃的研究热点。随着生物特征识别技术的日益成熟,它被广泛地应用于楼宇门禁及无人超市等需要认证人员身份的应用场景,表现出了强大的生命力。如今,人们在进入一些场所时可能需要进行身份认证。例如,人们进入无人超市时,往往通过人脸图像识别技术来进行身份认证。
当前采用的一种方案是用户首次步入需要进行身份认证的场所时,录入生物特征验证信息,例如人脸图像、指纹、虹膜等,并将该生物特征验证信息存储到相应的数据库;在该用户再次进入该场所时,利用当前采集的该用户的生物特征验证信息和该用户首次录入的生物特征验证信息进行身份认证。
在方案中,大量的生物特征验证信息(隐私数据)保存于数据库中,一旦该数据库被攻克就会泄露这些隐私数据,风险较高。
发明内容
本申请提供了一种身份认证技术。
第一方面本申请供了一种身份认证方法,该方法包括:
服务器接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与所述第一生物特征属性信息相对应的第二生物特征属性信息;
所述服务器对所述第一生物特征属性信息和所述第二生物特征属性信息进行合并处理,得到生物特征参考信息;
所述服务器基于所述生物特征参考信息对用户进行身份认证,得到所述用户的身份认证结果。
所述第一终端设备可以是手机、平板电脑、个人数字助理、可穿戴设备等。本申请实施例中,服务器所使用的对用户进行身份验证的生物特征参考信息分为两部分,分别存储在第一终端设备和目标数据库。这样当第一终端设备或服务器被攻克时,不会泄露用于对用户进行身份验证的生物特征参考信息,进而保证用户数据的安全。
本申请中,服务器的目标数据库以及第一终端设备各自存储用于认证用户身份的一部分信息,可以避免该服务器或该第一终端设备被公克后泄露用户隐私数据的问题。
在一个可选的实现方式中,所述服务器基于所述生物特征参考信息对用户进行身份认证,得到所述用户的身份认证结果,包括:
所述服务器获取用户的生物特征验证信息;
所述服务器对所述生物特征参考信息与所述用户的生物特征验证信息进行比对处理,得到所述用户的身份认证结果。
所述生物特征验证信息可以是所述用户的人脸图像,即当前采集的所述用户的人脸图像;也可以是基于所述人脸图像得到的人脸特征信息。
在该实现方式中,服务器利用当前采集的用户的生物特征验证信息以及该用户的生物特征参考信息,对该用户进行身份认证;操作简单。
在一个可选的实现方式中,所述服务器获取到的所述第一生物特征属性信息和所述第二生物特征属性信息为利用应用秘钥加密处理的生物特征属性信息,所述服务器获取的所述用户的生物特征验证信息为利用所述应用秘钥加密处理后的生物特征验证信息。
所述服务器从所述第一终端设备获取所述生物特征验证信息,所述服务器和所述第一终端设备之间传输的是加密处理后的生物特征验证信息,所述生物特征验证信息泄露后也只是泄露加密的数据。
在该实现方式中,服务器从第一终端设备获取利用应用秘钥加密处理后的生物特征验证信息,可以保证该生物特征验证信息在传输过程中的安全性。
在一个可选的实现方式中,所述服务器获取到的所述第一生物特征属性信息和所述第二生物特征属性信息为利用应用秘钥加密处理的生物特征属性信息;
所述服务器对所述生物特征参考信息与所述用户的生物特征验证信息进行比对处理,得到所述用户的身份认证结果,包括:
所述服务器利用所述应用秘钥对获取到的所述用户的生物特征验证信息进行加密处理;
所述服务器对所述生物特征参考信息和利用所述应用秘钥加密处理后的生物特征验证信息进行比对处理,得到所述用户的身份认证结果。
所述第一生物特征属性信息和所述第二生物特征属性信息为利用应用秘钥加密处理的生物特征属性信息。
所述第一生物特征属性信息和所述第二生物特征属性信息可以是所述第一终端设备利用应用秘钥加密处理后的生物特征属性信息。所述应用秘钥可以是所述第一终端设备从密钥中心获取的。可以理解,合并所述第一生物特征属性信息和所述第二生物特征属性信息得到的所述生物特征参考信息也是加密的数据。所述第一终端设备发送的所述第一生物特征属性信息为加密的数据,可以保证数据在传输过程中的安全性;所述目标数据库存储的所述第二生物特征属性信息为加密的数据,所述目标数据库被攻克后,只会泄露加密的数据。在所述服务器中,仅会存在加密的生物特征参考信息。这样就不会泄露未加密的生物特征参考信息,可以有效保证用户数据的安全。
在该实现方式中,服务器对用户加密的生物特征验证信息以及加密的生物特征参考信息进行比对,得到该用户的身份认证结果;可以有效保证用户数据的安全。
在一个可选的实现方式中,所述服务器利用所述应用秘钥对获取到的所述用户的生物特征验证信息进行加密处理,得到所述用户的加密处理后的生物特征验证信息之前,所述方法还包括:
所述服务器利用应用证书从密钥中心获取所述应用秘钥。
所述服务器可以存储有所述应用证书。所述服务器可以仅在需要利用所述应用秘钥对所述生物特征验证信息进行加密处理时,从所述密钥中心获取相应地应用秘钥。所述服务器可以在利用所述应用秘钥完成对所述生物特征验证信息进行加密处理后,删除所述应用秘钥。这样可以避免应用秘钥的泄露,进而避免用户数据的泄露。
在该实现方式中,服务器利用应用证书从密钥中心获取应用秘钥,可以避免该应用秘钥的泄露,提高安全性。
在一个可选的实现方式中,所述服务器获取用户的生物特征验证信息包括:
所述服务器接收来自于所述第一终端设备或第二终端设备的所述用户的生物特征验证信息;或者
所述服务器接收来自于所述第一终端设备或第二终端设备的用户人脸图像,并基于所述用户人脸图像得到所述用户的生物特征验证信息。
所述第二终端设备可以是一个生物特征采集装置,例如摄像头、相机等。
在该实现方式中,服务器可以接收来自于第一终端设备或第二终端设备的用户的生物特征验证信息,也可以基于来自该第一终端设备或该第二终端设备的用户人脸图像得到该用户的生物特征验证信息,操作简单。
在一个可选的实现方式中,在所述服务器获取所述用户的生物特征验证信息之前,所述方法还包括:
所述服务器向所述第一终端设备或第二终端设备发送指示信息,所述指示信息指示所述第一终端设备或所述第二终端设备采集用户人脸图像,所述用户的生物特征验证信息是基于所述用户人脸图像得到的。
在该实现方式中,服务器通过向第一终端设备或第二终端设备发送指示信息,来指示该第一终端设备或该第二终端设备采集用户人脸图像,实现简单。
在一个可选的实现方式中,所述服务器对所述生物特征参考信息与所述用户的生物特征验证信息进行比对处理,得到所述用户的身份认证结果包括:
确定所述生物特征参考信息与所述用户的生物特征验证信息之间的相似度;
在所述相似度超过预设门限的情况下,确定所述用户通过身份认证。
所述预设门限为所述服务器预先设置的阈值,可以是0.8、0.9、0.99、0.999等。
在该实现方式中,服务器通过比较用户的生物特征参考信息与生物特征验证信息的相似度,实现该用户的身份认证,认证效率高、安全性好。
在一个可选的实现方式中,所述方法还包括:
所述服务器获取所述用户的用户标识信息;
所述从目标数据库获取与所述第一生物特征属性信息相对应的第二生物特征属性信息包括:
所述服务器根据所述用户标识信息从所述目标数据库获取与所述第一生物特征属性信息对应的所述第二生物特征属性信息。
所述服务器可以存储有用户标识信息与生物特征属性信息之间的对应关系,利用所述对应关系可以快速、准确地确定各个用户标识信息对应的生物特征属性信息。
在该实现方式中,服务器根据用户标识信息可以快速、准确地从目标数据库获取与第一特征属性信息对应的第二生物特征属性信息。
在一个可选的实现方式中,所述服务器获取所述用户的用户标识信息,包括:
所述服务器获取所述第一终端设备发送的所述用户标识信息。
在该实现方式中,可以快速地获取用户标识信息,实现简单。
在一个可选的实现方式中,所述用户标识信息和所述第一生物特征属性信息携带在同一消息中。
在该实现方式中,可以减少服务器接收的消息的数量。
在一个可选的实现方式中,在所述服务器基于所述生物特征参考信息对用户进行身份认证,得到所述用户的身份认证结果之后,所述方法还包括:
向所述第一终端设备发送所述身份认证结果。
在该实现方式中,服务器向第一终端设备发送身份认证结果,以便于用户及时知道身份认证结果,提高用户体验。
在一个可选的实现方式中,在从目标数据库获取与所述第一生物特征属性信息相对应的第二生物特征属性信息之前,所述方法还包括:
所述服务器接收来自所述第一终端设备或第二终端设备的所述第二生物特征属性信息;
所述服务器将所述第二生物特征属性信息存储至所述目标数据库。
在该实现方式中,服务器接收来自第一终端设备或第二终端设备的第二生物特征属性信息,并存储至所述目标数据库,以便于与来自该第一终端设备的第一生物特征属性信息合并得到生物特征参考信息。
在一个可选的实现方式中,所述第二生物特征属性信息为利用应用秘钥加密后的生物特征属性信息;在所述服务器接收来自所述第一终端设备或第二终端设备的所述第二生物特征属性信息之前,所述方法还包括:
所述服务器接收来自于所述第一终端设备或所述第二终端设备的身份注册请求;
所述服务器向所述第一终端设备或所述第二终端设备发送应用证书;所述应用证书用于从密钥中心获取所述应用秘钥。
在该实现方式中,服务器向第一终端设备或第二终端设备发送应用证书,以便于该第一终端设备或该第二终端设备从密钥中心获取该应用证书对应的应用秘钥,操作简单。
在一个可选的实现方式中,所述第二生物特征属性信息存储在安全级别超过目标级别的存储空间。
所述目标级别可以是安全性较高的安全级别。在实际应用中,不同的存储空间的安全级别可能不同;对安全性要求较高的数据需要存储在安全级别较高的存储空间,对安全性要求较低的数据可以存储在安全级别较低的存储空间。举例来说,手机的存储空间包括普通存储空间和安全可信存储空间,安全可信存储空间的安全级别高于普通存储空间的安全级别,对安全性要求较高的数据存储在该安全可信存储空间。所述目标级别可以是所述服务器以及所述终端预先设置的安全级别。举例来说,存储空间的安全级别分为一级至四级,一级至四级依次升高,目标级别为二级,第一生物特征属性信息和第二生物特征属性信息均存储在三级或四级的存储空间。可以理解,生物特征验证信息存在于安全性较高的存储空间,即可信存储空间,可以保证隐私数据的安全。
在该实现方式中,可以有效保证第二生物特征属性信息存储的安全。
在一个可选的实现方式中,所述目标数据库设置在所述服务器上。
在该实现方式中,服务器可以快速地从目标数据库获取所需的数据。
在一个可选的实现方式中,所述第一终端设备为手机或平板电脑,所述第二终端设备为所述服务器所属应用系统中的终端设备。
在一个可选的实现方式中,所述第一终端设备为所述服务器所属应用系统中的终端设备。
在一个可选的实现方式中,所述服务器所属应用系统为门禁系统或支付系统。
所述服务器和所述第一终端设备可以是同一个应用系统的组成部分,该应用系统可以是支付系统或门禁系统。所述服务器可以实现身份认证功能,得到身份认证结果;所述应用系统根据所述身份认证结果实现相应的功能,本申请不限定所述应用系统。举例来说,服务器和第一终端设备均为门禁系统的组成部分,该服务器和该第一终端设备可以对用户进行身份认证,该门禁系统的其他部分根据身份认证结果开门或关门。
第二方面本申请提供了另一种身份认证方法,该方法包括:
第一终端设备获取存储的第一生物特征属性信息;
所述第一终端设备向服务器发送所述第一生物特征属性信息,所述第一生物特征属性信息用于所述服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
可以理解,所述生物特征参考信息分为两部分,即所述第一生物特征属性信息和第二生物特征属性信息。所述服务器和所述第一终端设备分别存储合并得到所述生物特征参考信息所需的不同信息。具体的,所述目标数据库存储所述第二生物特征属性信息;所述第一终端设备存储所述第一生物特征属性信息。可以理解,所述第一终端设备和所述服务器均未存储有所述生物特征参考信息,即使所述第一终端设备或所述服务器发生数据泄露也不会泄露所述生物特征参考信息。另外,所述第一生物特征属性信息在传输过程中被截获,也不会泄露所述生物特征参考信息。
本申请中,第一终端设备向服务器发送第一生物特征属性信息,以便于该服务器生成生物特征参考信息,进而认证用户的身份;可以有效避免隐私数据泄露。
在一个可选的实现方式中,所述第一终端设备向所述服务器发送所述第一生物特征属性信息,包括:
响应于接收到第二终端设备发送的第一指令,所述第一终端设备向所述服务器发送所述第一生物特征属性信息,其中,所述第一指令指示所述第一终端设备发送所述第一生物特征属性信息;或者,
响应于与所述第二终端设备成功建立无线连接,所述第一终端设备向所述服务器发送所述第一生物特征属性信息;或者,
响应于接收到用户发送的第二指令,所述第一终端设备向所述服务器发送所述第一生物特征属性信息,其中,所述第二指令指示所述第一终端设备发送所述第一生物特征属性信息。
在该实现方式中,第一终端设备可以及时向服务器发送第一生物特征属性信息,实现简单。
在一个可选的实现方式中,所述第一终端设备与所述第二终端设备成功建立的无线连接包括近距离无线通信NFC或蓝牙连接。
在该实现方式中,通过第一终端设备通过NFC或蓝牙与第二终端设备建立连接,实现简单,成本低。
在一个可选的实现方式中,所述方法还包括:
所述第一终端设备接收来自所述服务器的指示信息;所述指示信息指示所述第一终端设备采集用户的人脸图像;
所述第一终端设备采集所述用户的人脸图像,并向所述服务器发送所述人脸图像;所述人脸图像用于所述服务器基于所述生物特征参考信息得到所述用户的身份认证结果;所述生物特征参考信息包含所述用户的人脸特征属性信息。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,所述方法还包括:
所述第一终端设备接收来自所述服务器的指示信息;所述指示信息指示所述第一终端设备采集所述用户的人脸图像;
所述第一终端设备采集所述用户的人脸图像,基于所述人脸图像得到所述用户的生物特征验证信息;所述生物特征验证信息用于所述服务器与所述生物特征参考信息进行比对得到所述用户的身份认证结果;
所述第一终端设备将所述生物特征验证信息发送给所述服务器。
所述第一终端设备采集所述用户的人脸图像,基于所述人脸图像得到所述用户的生物特征验证信息可以是对采集的所述人脸图像进行特征提取,得到一个特征向量。例如,第一终端设备利用深度神经网络将采集的人脸图像转换为一个特征向量。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送基于该人脸图像得到的生物特征验证信息,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,所述第一终端设备将所述生物特征验证信息发送给所述服务器包括:
利用应用秘钥对所述生物特征验证信息进行加密处理,将加密处理后的所述生物特征验证信息发送给所述服务器。
在该实现方式中,将加密处理后的生物特征验证信息发送给服务器;可以保证生物特征验证信息在传输过程中的安全。
在一个可选的实现方式中,所述第一终端设备向所述服务器发送所述第一生物特征属性信息之前,所述方法还包括:
所述第一终端设备获取所述用户的生物特征属性信息;
所述第一终端设备基于所述生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息;
所述第一终端设备存储所述第一生物特征属性信息;
所述第一终端设备向所述服务器发送所述第二生物特征属性信息。
所第一生物特征属性信息和所述第二生物特征属性信息为基于所述生物特征属性信息得到的两个相互独立的部分。也就是说,利用所第一生物特征属性信息和所述第二生物特征属性信息中的一个不能得到所述生物特征属性信息。这样第一终端设备以及服务器发生数据泄露后,均不会泄露用户的生物特征属性信息。
在该实现方式中,第一终端设备通过将用户的生物特征属性信息分为两个部分,并在该第一终端设备和服务器分别存储,可以避免泄露该用户的生物特征属性信息。
在一个可选的实现方式中,所述第一终端设备获取所述用户的生物特征属性信息,包括:
响应于接收到所述用户的注册请求,所述第一终端设备获取所述用户的生物特征属性信息。
在该实现方式中,第一终端设备接收到用户的注册请求后,获取该用户的生物特征属性信息,操作简单。
在一个可选的实现方式中,所述生物特征属性信息为一个特征向量,所述基于所述生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息包括:
生成一个与所述生物特征属性信息包含的元素个数相同的第一向量;所述第一向量作为所述第一生物特征属性信息或所述第二生物特征属性信息;
计算所述生物特征属性信息和所述第一向量之差,得到第二向量;所述第二向量作为所述第一生物特征属性信息或所述第二生物特征属性信息,且不同于所述第一向量。
所述生物特征属性信息、所述第一向量以及所述第二向量包含的元素个数相同。所述第一向量可以是一个伪随机向量。所述第一终端设备通过计算所述生物特征属性信息和所述第一向量之差,得到第二向量;计算简单。由于所述第一向量是一个伪随机向量,第二向量为所述生物特征属性信息和所述第一向量之差。因此,所述第二向量也是一个伪随机向量。可以理解,利用所述第一向量和所述第二向量中的任一个均不能得到所述生物特征属性信息。这样所述第一向量或所述第二向量被泄露后也只能得到一个没用的信息,而不会造成泄露用户的生物特征属性信息。
在该实现方式中,基于用户的生物特征属性信息可以快速地得到两个伪随机向量,分别作为第一生物特征属性信息和第二生物特征属性信息,实现简单。
在一个可选的实现方式中,所述第一终端设备基于所述生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息之前,所述方法还包括:
利用应用秘钥对所述生物特征属性信息进行加密处理;
所述第一终端设备基于所述生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息包括:
所述第一终端设备基于加密处理后的所述生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息。
所述第一终端设备先利用所述应用秘钥对生物特征属性信息进行加密处理,再基于加密处理后的生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息。
在该实现方式中,基于加密处理后的生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息;可以提高安全性。
在一个可选的实现方式中,所述存储所述第一生物特征属性信息之前,所述方法还包括:
利用应用秘钥对所述第一生物特征属性信息以及所述第二生物特征属性信息进行加密处理;
所述第一终端设备存储所述第一生物特征属性信息,包括:
所述第一终端设备存储加密处理后的所述第一生物特征属性信息;
所述第一终端设备向所述服务器发送所述第二生物特征属性信息,包括:
所述第一终端设备向所述服务器发送加密处理后的所述第二生物属性信息。
在该实现方式中,第一终端设备利用应用秘钥对第一生物特征属性信息以及第二生物特征属性信息进行加密处理,可以避免该第一生物特征属性信息以及该第二生物特征属性信息泄露后被解读,提高安全性。
在一个可选的实现方式中,所述方法还包括:
所述第一终端设备向所述服务器发送身份注册请求;
所述第一终端设备接收来自于所述服务器的所述应用证书;
所述第一终端设备利用所述应用证书从密钥中心获取所述应用秘钥。
在该实现方式中,第一终端设备利用从服务器获取的应用证书从密钥中心获取应用密钥,以便于对生物特征属性信息进行加密,操作简单。
在一个可选的实现方式中,所述第一终端设备向所述服务器发送所述第一生物特征属性信息,包括:
所述第一终端设备向所述服务器发送身份认证请求消息,所述身份认证请求消息包含用户标识信息。
在该实现方式中,第一终端设备在同一条消息中携带用户的用户标识信息和第一生物特征属性信息,可以减少发送的信息的个数。
在一个可选的实现方式中,所述第一终端设备获取所述生物特征属性信息,包括:
所述第一终端设备在可信环境下采集所述生物特征属性信息。
在该实现方式中,第一终端设备在可信环境下采集生物特征属性信息,可以避免采集到的生物特征属性信息被泄露。
在一个可选的实现方式中,所述第一终端设备向所述服务器发送所述第一生物特征属性信息之后,所述方法还包括:
所述第一终端设备接收所述服务器发送的所述用户的身份认证结果。
在该实现方式中,用户可以及时获知身份认证结果,提高用户体验。
在一个可选的实现方式中,所述第一终端设备为手机或平板电脑,所述服务器所属应用系统为门禁系统或支付系统。
在一个可选的实现方式中,所述第一终端设备为所述服务器所属应用系统中的终端设备,所述服务器所属应用系统为门禁系统或支付系统。
所述第一终端设备可以是摄像头、相机等。
第三方面本申请提供了另一种身份认证方法,该方法包括:
第二终端设备采集用户的人脸图像;
所述第二终端设备对所述用户的人脸图像或基于所述人脸图像得到的生物特征信息进行加密处理,得到加密报文;
所述第二终端设备向服务器发送所述加密报文,所述加密报文用于所述服务器对所述用户进行身份认证。
本申请实施例中,第二终端设备对采集的用户的人脸图像或基于该人脸图像得到的生物特征信息进行加密处理,并向服务器发送,以便于该服务器对该用户进行身份认证;可以避免在数据传输过程中造成数据泄露,提高安全性。
在一个可选的实现方式中,所述第二终端设备采集用户的人脸图像包括:
响应于接收到来自所述服务器或第一终端设备的指示信息,所述第二终端设备采集用户的人脸图像,所述指示信息指示所述第二终端设备采集所述用户的人脸图像;或者,
响应于与第一终端设备建立无线连接,所述第二终端设备采集用户的人脸图像。
在该实现方式中,第二终端设备可以及时采集用户的人脸图像,实现简单。
在一个可选的实现方式中,所述第二终端设备在可信环境下采集所述用户的人脸图像。
在该实现方式中,可以避免采集的人脸图像被篡改或泄露。
在一个可选的实现方式中,所述第一终端设备为手机或平板电脑,所述第二终端设备为所述服务器所属应用系统中的终端设备。
在一个可选的实现方式中,所述服务器所属应用系统为门禁系统或支付系统。
第四方面本申请提供了一种服务器,该服务器包括:
收发单元,用于接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与所述第一生物特征属性信息相对应的第二生物特征属性信息;
合并单元,还用于对所述第一生物特征属性信息和所述第二生物特征属性信息进行合并处理,得到生物特征参考信息;
认证单元,用于基于所述生物特征参考信息对用户进行身份认证,得到所述用户的身份认证结果。
本申请中,服务器的目标数据库以及第一终端设备各自存储用于认证用户身份的一部分信息,可以避免该服务器或该第一终端设备被公克后泄露用户隐私数据的问题。
在一个可选的实现方式中,所述收发单元,还用于获取用户的生物特征验证信息;
所述认证单元,具体用于对所述生物特征参考信息与所述用户的生物特征验证信息进行比对处理,得到所述用户的身份认证结果。
在该实现方式中,服务器利用当前采集的用户的生物特征验证信息以及该用户的生物特征参考信息,对该用户进行身份认证;操作简单。
在一个可选的实现方式中,所述服务器获取到的所述第一生物特征属性信息和所述第二生物特征属性信息为利用应用秘钥加密处理的生物特征属性信息,所述服务器获取到的所述第一生物特征属性信息和所述第二生物特征属性信息为利用应用秘钥加密处理的生物特征属性信息。
在该实现方式中,服务器对用户加密的生物特征验证信息以及加密的生物特征参考信息进行比对,得到该用户的身份认证结果;可以有效保证用户数据的安全。
在一个可选的实现方式中,所述服务器获取到的所述第一生物特征属性信息和所述第二生物特征属性信息为经过加密处理的生物特征属性信息;
所述认证单元,具体用于对获取到的所述用户的生物特征验证信息进行加密处理;对所述生物特征参考信息和利用所述应用秘钥加密处理后的生物特征验证信息进行比对处理,得到所述用户的身份认证结果。
在一个可选的实现方式中,所述服务器获取到的所述第一生物特征属性信息和所述第二生物特征属性信息是利用应用秘钥进行加密处理的信息;
所述认证单元,具体用于利用所述应用秘钥对获取到的所述用户的生物特征验证信息进行加密处理。
在该实现方式中,服务器从第一终端设备获取利用应用秘钥加密处理后的生物特征验证信息,可以保证该生物特征验证信息在传输过程中的安全性。
在一个可选的实现方式中,所述收发单元,还用于利用应用证书从密钥中心获取所述应用秘钥。
在该实现方式中,服务器利用应用证书从密钥中心获取应用秘钥,可以避免该应用秘钥的泄露,提高安全性。
在一个可选的实现方式中,所述收发单元,还用于接收来自于所述第一终端设备或第二终端设备的所述用户的生物特征验证信息;或者,
所述收发单元,还用于接收来自于所述第一终端设备或第二终端设备的用户人脸图像,并基于所述用户人脸图像得到所述用户的生物特征验证信息。
在该实现方式中,服务器可以接收来自于第一终端设备或第二终端设备的用户的生物特征验证信息,也可以基于来自该第一终端设备或该第二终端设备的用户人脸图像得到该用户的生物特征验证信息,操作简单。
在一个可选的实现方式中,所述收发单元,还用于向所述第一终端设备或第二终端设备发送指示信息,所述指示信息指示所述第一终端设备或所述第二终端设备采集用户人脸图像,所述用户的生物特征验证信息是基于所述用户人脸图像得到的。
在该实现方式中,服务器通过向第一终端设备或第二终端设备发送指示信息,来指示该第一终端设备或该第二终端设备采集用户人脸图像,实现简单。
在一个可选的实现方式中,所述服务器还包括:
所述认证单元,具体用于确定所述生物特征参考信息与所述用户的生物特征验证信息之间的相似度;在所述相似度超过预设门限的情况下,确定所述用户通过身份认证。
在该实现方式中,服务器通过比较用户的生物特征参考信息与生物特征验证信息的相似度,实现该用户的身份认证,认证效率高、安全性好。
在一个可选的实现方式中,所述收发单元,还用于获取所述用户的用户标识信息;根据所述用户标识信息从所述目标数据库获取与所述第一生物特征属性信息对应的所述第二生物特征属性信息。
在该实现方式中,服务器根据用户标识信息可以快速、准确地从目标数据库获取与第一特征属性信息对应的第二生物特征属性信息。
在一个可选的实现方式中,所述收发单元,具体用于获取所述第一终端设备发送的所述用户标识信息。
在该实现方式中,可以快速地获取用户标识信息,实现简单。
在一个可选的实现方式中,所述用户标识信息和所述第一生物特征属性信息携带在同一消息中。
在该实现方式中,可以减少服务器接收的消息的数量。
在一个可选的实现方式中,所述收发单元,还用于向所述第一终端设备发送所述身份认证结果。
在该实现方式中,服务器向第一终端设备发送身份认证结果,以便于用户及时知道身份认证结果,提高用户体验。
在一个可选的实现方式中,所述收发单元,还用于接收来自所述第一终端设备或第二终端设备的所述第二生物特征属性信息;所述服务器还包括:
存储单元,用于将所述第二生物特征属性信息存储至所述目标数据库。
在该实现方式中,服务器接收来自第一终端设备或第二终端设备的第二生物特征属性信息,并存储至所述目标数据库,以便于与来自该第一终端设备的第一生物特征属性信息合并得到生物特征参考信息。
在一个可选的实现方式中,所述收发单元,还用于接收来自于所述第一终端设备或所述第二终端设备的身份注册请求;向所述第一终端设备或所述第二终端设备发送应用证书;所述应用证书用于从密钥中心获取所述应用秘钥。
在该实现方式中,服务器向第一终端设备或第二终端设备发送应用证书,以便于该第一终端设备或该第二终端设备从密钥中心获取该应用证书对应的应用秘钥,操作简单。
在一个可选的实现方式中,所述第二生物特征属性信息存储在安全级别超过目标级别的存储空间。
在该实现方式中,可以有效保证第二生物特征属性信息存储的安全。
在一个可选的实现方式中,所述目标数据库设置在所述服务器上。
在该实现方式中,服务器可以快速地从目标数据库获取所需的数据。
在一个可选的实现方式中,所述第一终端设备为手机或平板电脑,所述第二终端设备为所述服务器所属应用系统中的终端设备。
在一个可选的实现方式中,所述第一终端设备为所述服务器所属应用系统中的终端设备。
在一个可选的实现方式中,所述服务器所属应用系统为门禁系统或支付系统。
第五方面为本申请提供的一种第一终端设备,该第一终端设备包括:
获取单元,用于获取存储的第一生物特征属性信息;
发送单元,用于向服务器发送所述第一生物特征属性信息,所述第一生物特征属性信息用于所述服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
本申请中,第一终端设备向服务器发送第一生物特征属性信息,以便于该服务器生成生物特征参考信息,进而认证用户的身份;可以有效避免隐私数据泄露。
在一个可选的实现方式中,所述发送单元,还用于在接收到第二终端设备发送的第一指令后,向所述服务器发送所述第一生物特征属性信息,所述第一指令指示所述第一终端设备发送所述第一生物特征属性信息;或者,
所述发送单元,还用于在与所述第二终端设备成功建立无线连接后,所述第一终端设备向所述服务器发送所述第一生物特征属性信息;或者,
所述发送单元,还用于在接收到用户发送的第二指令后,向所述服务器发送所述第一生物特征属性信息,所述第二指令指示所述第一终端设备发送所述第一生物特征属性信息。
在该实现方式中,第一终端设备可以及时向服务器发送第一生物特征属性信息,实现简单。
在一个可选的实现方式中,所述第一终端设备与所述第二终端设备成功建立的无线连接包括近距离无线通信NFC或蓝牙连接。
在该实现方式中,通过第一终端设备通过NFC或蓝牙与第二终端设备建立连接,实现简单,成本低。
在一个可选的实现方式中,所述获取单元,还用于接收来自所述服务器的指示信息;所述指示信息指示所述第一终端设备采集用户的人脸图像;所述第一终端设备还包括:
第一采集单元,用于采集所述用户的人脸图像,并向所述服务器发送所述人脸图像;所述人脸图像用于所述服务器基于所述生物特征参考信息得到所述用户的身份认证结果;所述生物特征参考信息包含所述用户的人脸特征属性信息。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,所述获取单元,还用于接收来自所述服务器的指示信息;所述指示信息指示所述第一终端设备采集所述用户的人脸图像;所述第一终端设备还包括:
第二采集单元,用于采集所述用户的人脸图像;
特征提取单元,用于基于所述人脸图像得到所述用户的生物特征验证信息;所述生物特征验证信息用于所述服务器与所述生物特征参考信息进行比对得到所述用户的身份认证结果;
所述发送单元,还用于将所述生物特征验证信息发送给所述服务器。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送基于该人脸图像得到的生物特征验证信息,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,所述第一终端设备还包括:
第一加密单元,用于利用应用秘钥对所述生物特征验证信息进行加密处理;
所述发送单元,还用于将加密处理后的所述生物特征验证信息发送给所述服务器。
在该实现方式中,将加密处理后的生物特征验证信息发送给服务器;可以保证生物特征验证信息在传输过程中的安全。
在一个可选的实现方式中,所述获取单元,还用于获取所述用户的生物特征属性信息;所述第一终端设备还包括:
分解单元,用于基于所述生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息;
存储单元,用于存储所述第一生物特征属性信息;
所述发送单元,还用于向所述服务器发送所述第二生物特征属性信息。
在该实现方式中,第一终端设备通过将用户的生物特征属性信息分为两个部分,并在该第一终端设备和服务器分别存储,可以避免泄露该用户的生物特征属性信息。
在一个可选的实现方式中,所述获取单元,还用于接收到所述用户的注册请求;获取所述用户的生物特征属性信息。
在该实现方式中,第一终端设备接收到用户的注册请求后,获取该用户的生物特征属性信息,操作简单。
在一个可选的实现方式中,所述生物特征属性信息为用户特征向量,所述第一生物特征属性信息和所述第二生物特征属性信息分别为第一特征向量和第二特征向量;
所述分解单元,具体用于基于所述用户特征向量,生成第一特征向量,所述第一特征向量的维度等于所述用户特征向量的维度;基于所述用户特征向量和所述第一特征向量之差,得到所述第二特征向量。
在该实现方式中,基于用户的生物特征属性信息可以快速地得到两个伪随机向量,分别作为第一生物特征属性信息和第二生物特征属性信息,实现简单。
在一个可选的实现方式中,所述第一终端设备还包括:
第二加密单元,用于利用应用秘钥对所述生物特征属性信息进行加密处理;
所述分解单元,具体用于基于加密处理后的所述生物特征属性信息,得到所述第一生物特征属性信息和所述第二生物特征属性信息。
在该实现方式中,基于加密处理后的生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息;可以提高安全性。
在一个可选的实现方式中,所述第一终端设备还包括:
第三加密单元,用于利用应用秘钥对所述第一生物特征属性信息以及所述第二生物特征属性信息进行加密处理;
所述存储单元,具体用于存储加密处理后的所述第一生物特征属性信息;
所述发送单元,具体用于向所述服务器发送加密处理后的所述第二生物属性信息。
在该实现方式中,第一终端设备利用应用秘钥对第一生物特征属性信息以及第二生物特征属性信息进行加密处理,可以避免该第一生物特征属性信息以及该第二生物特征属性信息泄露后被解读,提高安全性。
在一个可选的实现方式中,所述发送单元,还用于向所述服务器发送身份注册请求;
所述获取单元,还用于接收来自于所述服务器的所述应用证书;利用所述应用证书从密钥中心获取所述应用秘钥。
在该实现方式中,第一终端设备利用从服务器获取的应用证书从密钥中心获取应用密钥,以便于对生物特征属性信息进行加密,操作简单。
在一个可选的实现方式中,所述发送单元,还用于向所述服务器发送身份认证请求消息,所述身份认证请求消息包含用户标识信息。
在该实现方式中,第一终端设备在同一条消息中携带用户的用户标识信息和第一生物特征属性信息,可以减少发送的信息的个数。
在该实现方式中,第一终端设备在可信环境下采集生物特征属性信息,可以避免采集到的生物特征属性信息被泄露。
在一个可选的实现方式中,所述获取单元,具体用于在可信环境下采集所述生物特征属性信息。
在一个可选的实现方式中,所述获取单元,还用于接收所述服务器发送的所述用户的身份认证结果。
在该实现方式中,用户可以及时获知身份认证结果,提高用户体验。
在一个可选的实现方式中,所述第一终端设备为手机或平板电脑,所述服务器所属应用系统为门禁系统或支付系统。
在一个可选的实现方式中,所述第一终端设备为所述服务器所属应用系统中的终端设备,所述服务器所属应用系统为门禁系统或支付系统。
第六方面为本申请提供的一种第二终端设备,该第二终端设备包括:
采集单元,用于采集用户的人脸图像;
加密单元,用于对所述用户的人脸图像或基于所述人脸图像得到的生物特征信息进行加密处理,得到加密报文;
发送单元,用于向服务器发送所述加密报文,所述加密报文用于所述服务器对所述用户进行身份认证。
本申请实施例中,第二终端设备对采集的用户的人脸图像或基于该人脸图像得到的生物特征信息进行加密处理,并向服务器发送,以便于该服务器对该用户进行身份认证;可以避免在数据传输过程中造成数据泄露,提高安全性。
在一个可选的实现方式中,所述服务器还包括:
接收单元,用于接收来自所述服务器或第一终端设备的指示信息;或者,
通信单元,用于与第一终端设备建立无线连接。
在该实现方式中,第二终端设备可以及时采集用户的人脸图像,实现简单。
在一个可选的实现方式中,所述采集单元,具体用于在可信环境下采集所述用户的人脸图像。
在该实现方式中,可以避免采集的人脸图像被篡改或泄露。
在一个可选的实现方式中,所述第一终端设备为手机或平板电脑,所述第二终端设备为所述服务器所属应用系统中的终端设备。
在一个可选的实现方式中,所述服务器所属应用系统为门禁系统或支付系统。
第七方面本申请提供了一种身份认证装置,其特征在于,包括处理器以及存储器,其中,所述存储器用于存储计算机可读指令,所述处理器被配置用于调用所述计算机可读指令执行如权利要求1-41任一项所述的方法。所述身份认证装置可以为如上述第一方面任一项所述的服务器,也可以为如上述第二方面任一项所述的终端设备。
第八方面本申请提供了一种终端设备,包括:存储器,用于存储第一生物特征属性信息;处理器,用于获取存储的所述第一生物特征属性信息;收发器,用于向服务器发送所述第一生物特征属性信息,所述第一生物特征属性信息用于所述服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
第九方面本申请提供了另一种终端设备,包括摄像头,用于采集用户的人脸图像;处理器,用于对所述用户的人脸图像或基于所述人脸图像得到的生物特征信息进行加密处理,得到加密报文;收发器,用于向服务器发送所述加密报文,所述加密报文用于所述服务器对所述用户进行身份认证。
第十方面,本申请实施例提供了一种计算机可读存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行第一方面至第三方面中任一方面以及任意一种可选的实现方式的方法。
第十一方面,本申请实施例提供了一种身份认证系统,包括:服务器、第一终端设备和/或第二终端设备,所述服务器为如上述第一方面任一项所述的服务器,所述第一终端设备为如上述第二方面任一项所述的终端设备,所述第二终端设备为如第三方面任一项所述的终端设备。
附图说明
图1为本申请提供的一种身份认证系统的架构示意图;
图2为本申请提供的一种身份认证方法的流程示意图;
图3为本申请提供的一种身份认证方法的交互流程图;
图4为本申请提供的另一种身份认证方法的交互流程图;
图5为本申请提供的一种注册身份信息方法的流程示意图;
图6为本申请提供的另一种注册身份信息方法的流程示意图;
图7为本申请提供的另一种身份认证方法的流程图;
图8为本申请提供的又一种身份认证方法的流程图;
图9为本申请提供的一种服务器结构示意图;
图10为本申请提供的一种第一终端设备的结构示意图;
图11为本申请提供的一种第二终端设备的结构示意图;
图12为本申请提供的另一种服务器结构示意图;
图13为本申请提供的另一种第一终端设备的结构示意图。
具体实施方式
图1为本申请实施例提供的一种身份认证系统示例的架构示意图,如图1所示,该系统包括第一终端设备101、密钥中心102、第二终端设备103、服务器104以及数据库105。图1的身份认证系统可以是门禁系统、支付系统、业务系统或者其他系统,本公开实施例对身份认证系统的具体应用场景不作限定。
第一终端设备101可以是收到用户指令并基于该用户指令主动或被动确定需要对用户进行身份认证的装置,在一些可选的实现方式中,第一终端设备101可以为用户设备(User Equipment,UE)、移动设备、用户终端、终端、蜂窝电话、无绳电话、个人数字处理(Personal Digital Assistant,PDA)、手持设备、计算设备、车载设备、手机、平板电脑、可穿戴设备等,本公开实施例对此不做限定。
第二终端设备103可以是服务器104所属应用系统中的终端设备,例如摄像头、相机、指纹采集装置等。在一些实现方式中,应用系统可以包括密钥中心、服务器104、数据库105以及第二终端设备103,本公开实施例对此不做限定。
在一个例子中,应用系统可以为门禁系统,此时,第一终端设备为用户手持装置,第二终端设备为设置在门附近的摄像头;在另一个例子中,应用系统为金融系统,此时,第一终端设备为用户手持装置,第二终端设备为设置在营业厅内或营业厅附近的摄像头,等等,本公开实施例对应用系统的具体实现不限于此。
在一些实现方式中,数据库105可以设置在云端,具体地,数据库105可以集成在服务器104中,即服务器104上设置有数据库105,或者,数据库105也可以和服务器104分开设置,本公开实施例对此不做限定。
在一些实现方式中,应用系统也可以不包括第二终端设备,此时,可以通过第一终端设备上设置的摄像头或其他模块实现用户生物属性信息的获取,本公开实施例对此不做限定。
在本公开实施例中,用户的生物特征属性信息可以分成两部分,其中一部分存储于第一终端设备101,另一部分存储于云端或应用系统中的数据库,在需要进行身份认证时,可以基于第一终端设备101中存储的生物特征属性信息和数据库105中存储的生物特征属性信息,得到完整的生物特征属性信息,并基于该完整的生物特征属性信息进行身份认证,这样,即使第一终端设备101或服务器104中存储的生物特征属性信息被窃取,他人也无法基于窃取到的部分生物特征属性信息得知用户的完整生物特征属性信息,从而提高用户隐私信息的安全性。
在一些实现方式中,在进行身份认证的过程中,第一终端设备101可以将本地存储的第一生物特征属性信息发送至服务器104,数据库105存储有第二生物特征属性信息,服务器104可以利用数据库105中的第二生物特征属性信息和来自第一终端设备101的第一生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
此外,第一终端设备101或第二终端设备103可以采集人脸图像,并将采集到的人脸图像发送至服务器104;或者,也可以采集人脸图像,基于采集到的人脸图像得到待认证用户的生物特征信息,即生物特征验证信息,并将生物特征验证信息发送至服务器104;其中,可以将人脸图像或生物特征验证信息直接发送至服务器104,或者,也可以对人脸图像或生物特征验证信息进行一项或多项处理后发送至服务器104,例如,对人脸图像或生物特征验证信息进行加密处理,得到密文,并将密文发送至服务器104。其中,在一种可选的实现方式中,该加密处理可以利用应用秘钥实现,例如,第一终端设备101或第二终端设备103可以从密钥中心102获取应用秘钥,并利用应用秘钥对待向服务器104发送的数据进行加密处理,例如利用应用秘钥对采集的人脸图像进行加密或者对基于采集的人脸图像得到的生物特征验证信息进行加密处理,得到密文。
服务器104可以利用生物特征参考信息以及来自第一终端设备101或第二终端设备102的经过加密处理或未经加密处理的人脸图像或生物特征验证信息进行用户的身份认证,得到身份认证结果。
图1中的身份认证系统在进行身份认证之前需要完成以下操作:第一终端设备101采集人脸图像,并基于采集的人脸图像得到第一生物特征属性信息和第二生物特征属性信息;第一终端设备101存储该第一生物特征属性信息,将该第二生物特征属性信息发送至服务器104;服务器104将该第二生物特征属性信息存储至数据库105。
图2为本申请实施例提供的一种身份认证方法的流程示意图,如图2所示,该方法可包括:
201、服务器接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与第一生物特征属性信息相对应的第二生物特征属性信息。
目标数据库可以设置在服务器上,也可以不设置在服务器上,例如设置在网络侧的其他装置上,本公开实施例对目标数据库的具体实现不作限定。
目标数据库存储有至少一个生物特征属性信息,服务器可以从目标数据库存储的至少一个生物特征属性信息中确定与第一生物特征属性信息对应的第二生物特征属性信息。
在一些实现方式中,该至少一个生物特征属性信息存储在安全级别较高的存储空间。可选的,第二生物特征属性信息存储在安全级别超过目标级别的存储空间。也就是说,第二生物特征属性信息存储在目标数据库中的安全存储空间,以便于保证第二生物特征属性信息的安全。
在一些实现方式中,目标数据库中存储的至少一个生物特征属性信息可以是未经加密处理的。在另一些实现方式中,目标数据库中存储的至少一个生物特征属性信息可以是经过加密处理的。例如,服务器可以获取经过加密处理的生物特征属性信息,并将该生物特征属性信息存储到目标数据库;或者,服务器可以获取未经加密处理的生物特征属性信息,对获取到的生物特征属性信息进行加密处理,得到加密处理后的生物特征属性信息,并将加密处理后的生物特征属性信息存储至目标数据库,本公开实施例对此不做限定。利用应用秘钥
在一个可选的实现方式中,在从目标数据库获取与第一生物特征属性信息相对应的第二生物特征属性信息之前,方法还包括:
服务器接收来自第一终端设备或第二终端设备的第二生物特征属性信息;
服务器将接收到的第二生物特征属性信息存储至目标数据库。
可选地,服务器接收到的生物特征属性信息可以是加密后的信息,也可以是未加密的信息。在服务器接收到的生物特征属性信息是未经加密的信息的情况下,服务器可以直接将接收到的生物特征属性信息存储至目标数据库,或者,在将接收到的生物特征属性信息进行加密处理后存储至目标数据库,本公开实施例对此不做限定。
可选地,上述加密处理可以利用应用系统中的应用秘钥实现,但本公开实施例对加密处理的具体实现不做限定。
服务器可以通过多种方式确定与第一生物特征属性信息对应的第二生物特征属性信息。在一个可选的实现方式中,可以利用用户标识信息确定与第一生物特征属性信息对应的第二生物特征属性信息。例如,在从目标数据库获取与第一生物特征属性信息相对应的第二生物特征属性信息之前,方法还包括:
服务器获取用户的用户标识信息;
从目标数据库获取与第一生物特征属性信息相对应的第二生物特征属性信息包括:
服务器根据获取到的用户标识信息从目标数据库获取与第一生物特征属性信息对应的第二生物特征属性信息。
服务器获取的用户标识信息可以是第一终端设备发送的用户标识信息。用户标识信息可以用于区分不用用户,可以是用户标识、用户的应用中的用户名等,本公开实施例对用户标识信息的具体实现不作限定。
可选的,第一终端设备可以分开发送该用户标识信息和第一生物特征属性信息,或者将用户标识信息和第一生物特征属性信息携带在同一消息中发送,以节约信令开销。
服务器可以存储用户标识信息与目标数据库中的生物特征属性信息的对应关系,例如,目标数据库可以存储至少一个生物特征属性信息以及每个生物特征属性信息对应的用户标识信息,在获取到第一终端设备发送的用户标识信息之后,可以基于第一终端设备发送的用户标识信息以及目标数据库中至少一个生物特征属性信息中每个生物特征属性信息对应的用户标识信息,从至少一个生物特征属性信息中确定与第一生物特征属性信息对应的第二生物特征属性信息。
在该实现方式中,利用来自第一终端设备的用户标识信息可以准确、快速地确定与第一生物特征属性信息相对应的第二生物特征属性信息,操作简单。
可选地,服务器也可以通过其他方式确定与第一生物特征属性信息对应的第二生物特征属性信息,本公开实施例对其具体实现不做限定。
202、服务器对第一生物特征属性信息和第二生物特征属性信息进行合并处理,得到生物特征参考信息。
第一生物特征属性信息和第二生物特征属性信息可以是由同一人物的生物特征属性信息进行分解得到的。可选的,第一生物特征属性信息和第二生物特征属性信息可以是同一生物特征属性信息的不同部分,将第一生物特征属性信息和第二生物特征属性信息组合起来得到生物特征参考信息。在一些可能的实现方式中,第一生物特征属性信息和第二生物特征属性信息进行连接,得到生物特征参考信息。在另一些可能的实现方式中,第一生物特征属性信息、第二生物特征属性信息以及生物特征参考信息均为特征向量或特征张量,此时,服务器对第一生物特征属性信息和第二生物特征属性信息进行合并处理,得到生物特征参考信息可以是将第一生物特征属性信息和第二生物特征属性信息对应的特征向量进行相加或将第一生物特征属性信息和第二生物特征属性信息对应的特征张量按照通道进行对应相加,得到生物特征参考信息,但本公开实施例对合并处理的具体实现不做限定。
203、服务器基于生物特征参考信息对用户进行身份认证,得到用户的身份认证结果。
服务器基于该合并处理得到的生物特征参考信息对待认证的用户进行身份认证,得到该用户的身份认证结果。
在一个可选的实现方式中,服务器基于生物特征参考信息对用户进行身份认证,得到用户的身份认证结果,包括:
服务器获取用户的生物特征验证信息;
服务器对生物特征参考信息与用户的生物特征验证信息进行比对处理,得到用户的身份认证结果。
服务器获取待认证的用户的生物特征属性信息,并将待认证用户的生物特征属性信息与生物特征参考信息进行比对处理,并基于该比对处理的结果确定待认证用户的身份认证结果。
在一些可能的实现方式中,服务器可以从终端设备侧获取用户的生物特征验证信息(即待认证用户的生物特征属性信息),其中,服务器获取用户的生物特征验证信息可以是获取第一终端设备当前采集的用户的生物特征验证信息,也可以是获取第二终端设备当前采集的用户的生物特征验证信息,也就是说,服务器接收来自于第一终端设备或第二终端设备的用户的生物特征验证信息。
在另一些可能的实现方式中,用户的生物特征验证信息可以是服务器通过自身的处理得到的,例如,服务器可以从终端设备侧获取用户的人脸图像,例如,服务器接收来自于第一终端设备或第二终端设备的用户人脸图像,并基于接收到的用户的人脸图像,得到用户的生物特征验证信息,例如,对接收到的用户的人脸图像进行特征提取,得到用户的生物特征验证信息,但本公开实施例对此不做限定。
在一个可选的实现方式中,服务器获取到的第一生物特征属性信息和第二生物特征属性信息为经过加密处理的生物特征属性信息,此时,可选地,在服务器获取到的用户的生物特征验证信息为经过加密处理的生物特征属性信息的情况下,服务器可以直接比对获取到的生物特征验证信息和第一生物特征属性信息与第二生物特征属性信息合并得到的生物特征参考信息。可选地,在服务器获取的用户的生物特征验证信息为未经加密的生物特征属性信息的情况下,服务器可以对获得的生物特征验证信息进行加密处理,得到加密处理后的生物特征验证信息,并对加密处理后的生物特征验证信息和第一生物特征属性信息与第二生物特征属性信息合并得到的生物特征参考信息进行比对处理。可选地,对生物特征验证信息进行的加密处理可以与得到第一生物特征属性信息和而第二生物特征属性信息所进行的加密处理相同,例如,利用相同的密钥进行加密。
这样,服务器和第一终端设备存储和相互之间传输的是加密处理后的生物特征属性信息,即使某种生物特征属性信息发生数据泄露,也只是泄露加密的数据,从而进一步提供了安全保障。
在该实现方式中,服务器从第一终端设备获取用户的加密处理后的生物特征属性信息,可以保证该用户的生物特征属性信息在传输过程中的安全性。
在一些可选实现方式中,可以利用应用秘钥进行加密处理,但本公开实施例对加密处理的具体实现不作限定。
可选的,服务器利用应用秘钥对获取到的用户的生物特征验证信息进行加密处理,得到用户的加密处理后的生物特征验证信息之前,服务器利用应用证书从密钥中心获取应用秘钥。
可选地,服务器可以存储有应用证书,或者,第一终端设备或第二终端设备可以向服务器发送该应用证书,或者,服务器可以从其他设备处获取该应用证书,例如,第一终端设备或第二终端设备可以向服务器发送密钥指示信息,服务器基于该密钥指示信息从网络侧获取应用证书,等等,本公开实施例对此不做限定。
可选地,服务器可以在利用应用秘钥完成对生物特征验证信息的加密处理后,删除应用秘钥。这样可以避免应用秘钥的泄露,进而避免用户数据的泄露。
在本公开实施例中,服务器对生物特征参考信息和生物特征验证信息(即用户的生物特征属性信息)进行比对处理,得到用户的身份认证结果。在一些可能的实现方式中,服务器确定生物特征参考信息与用户的生物特征验证信息之间的相似度;并基于该相似度,确定用户的身份认证结果。例如,在该相似度超过预设门限的情况下,确定用户通过身份认证,或者,在该相似度未超过预设门限的情况下,确定用户未通过身份认证。预设门限为预先设置的阈值,可以是0.8或0.9等,其具体数值可以根据实际需要确定,本公开实施例对此不做限定。
第一生物特征属性信息和第二生物特征属性信息可以是加密处理后的生物特征属性信息。可以理解,合并第一生物特征属性信息和第二生物特征属性信息得到的生物特征参考信息也是加密的数据。第一终端设备发送的第一生物特征属性信息为加密的数据,可以保证数据在传输过程中的安全性;目标数据库存储的第二生物特征属性信息为加密的数据,目标数据库被攻克后,只会泄露加密的数据。在服务器中,仅会存在加密的生物特征参考信息。这样就不会泄露未加密的生物特征参考信息,可以提高用户数据的安全性。
在一些实现方式中,服务器对用户加密的生物特征属性信息以及加密的生物特征参考信息进行比对,得到该用户的身份认证结果,可以有效保证用户数据的安全。
本申请实施例中,服务器的目标数据库以及第一终端设备各自存储用于认证用户身份的一部分信息,可以避免该服务器或该第一终端设备被公克后泄露用户隐私数据的问题。
在本公开实施例中,第一终端设备可以主动向服务器发送用户的人脸图像或用户的生物特征验证信息,或者,第一终端设备或第二终端设备可以响应于服务器的指示向服务器发送用户的人脸图像或用户的生物特征验证信息。在一个可选的实现方式中,在服务器获取用户的生物特征验证信息之前,方法还包括:
服务器向第一终端设备或第二终端设备发送指示信息,该指示信息指示第一终端设备或第二终端设备采集用户人脸图像。相应地,第一终端设备或第二终端设备可以基于该指示信息采集用户的人脸图像,并向服务器发送用户的人脸图像,服务器基于接收到的用户的人脸图像得到用户的生物特征验证信息;或者,对采集到的人脸图像进行特征提取处理,得到用户的生物特征验证信息,并向服务器发送用户的生物特征验证信息。
可选的,服务器在接收到来自于第一终端设备发送的第一生物特征属性信息后,向第一终端设备或第二终端设备发送指示信息。或者,服务器在其他确定需要对用户进行身份认证的情况下发送指示信息,本公开实施例对其具体实现不作限定。
在该实现方式中,服务器通过向第一终端设备或第二终端设备发送指示信息,来指示该第一终端设备或该第二终端设备采集用户人脸图像,实现简单。
在一些实现方式中,第一终端设备利用应用秘钥对存储的生物特征属性信息进行加密处理,得到第一生物特征属性信息。其中,可选地,应用秘钥可以是第一终端设备从密钥中心或通过其他方式获取的。在一个可选的实现方式中,在服务器接收来自第一终端设备或第二终端设备的第二生物特征属性信息之前,方法还包括:
服务器接收来自于第一终端设备或第二终端设备的身份注册请求;
服务器向第一终端设备或第二终端设备发送应用证书;应用证书用于从密钥中心获取应用秘钥。
在该实现方式中,服务器向第一终端设备或第二终端设备发送应用证书,以便于该第一终端设备或该第二终端设备从密钥中心获取该应用证书对应的应用秘钥,操作简单。
图2中仅包含服务器执行的操作,下面提供一种身份认证方法的交互流程图,如图3所示,该方法可包括:
301、第一终端设备向服务器发送身份认证请求。
在一个可选的实现方式中,第一终端设备在接收到用户发送的用户指令(例如,打开门禁指令、支付指令或身份认证请求发送指令,等等)后,向服务器发送身份认证请求。第一终端设备可以为手机、平板电脑、可穿戴设备等。
在一个可选的实现方式中,第一终端设备在接收到来自于移动设备的包含用户标识信息的认证信息后,向服务器发送身份认证请求;其中,身份认证请求包含用户标识信息。第一终端设备可以为服务器所属应用系统中的终端设备,例如摄像头、相机等。移动设备可以是手机、平板电脑、可穿戴设备等。
302、服务器在接收到身份认证请求之后,向第一终端设备发送响应信息。
响应信息用于响应身份认证请求。响应信息可以指示服务器接收到身份认证请求,以便于第一终端设备向服务器发送第一生物特征属性信息。
303、第一终端设备向服务器发送第一生物特征属性信息。
在另一些可能的实现方式中,第一终端设备可以将第一生物特征属性信息携带在身份认证请求中发送,此时,302可以在301之后执行,或者也可以在服务器得到身份认证结果之后发送,例如服务器向第一终端设备发送携带身份认证结果的认证响应,本公开实施例对此不做限定。
304、服务器向第一终端设备发送指示信息,指示信息指示第一终端设备采集用户人脸图像。
303和304之间可以以任意前后顺序执行,例如,304在303之后执行,服务器在接收到第一终端设备发送的第一生物特征属性之后向第一终端设备发送指示信息。再例如,303和304同时执行,本公开实施例对此不做限定。
305、第一终端设备向服务器发送生物特征验证信息。
第一终端设备接收到指示信息后,可以采集待认证用户的人脸图像,基于人脸图像得到待认证用户的生物特征属性信息(即生物特征验证信息),并向服务器发送生物特征验证信息。
306、服务器基于第一生物特征属性信息,从数据库获取第二生物特征属性信息。
数据库可以设置在网络侧,例如可以集成在服务器上,也可以是服务器相关联的云端数据库,例如数据库可以由多个服务器共用。
可选地,304和306可以以任意先后顺序执行或同时执行,本公开实施例对此不做限定。
307、服务器合并第一生物特征属性信息和第二生物特征属性信息,得到生物特征参考信息。
308、服务器比对生物特征验证信息和生物特征参考信息,得到身份认证结果。
在一个具体例子中,服务器接收到的用户的人脸图像,则服务器可以对用户的人脸图像进行特征提取和比对。在特征提取的过程中,将用户的人脸图像输入到深度卷积神经网络,通过深度卷积神经网络中一个或多个卷积块的处理,得到用户的人脸特征数据(特征向量或特征张量)。在特征比对的过程中,计算录入和认证时获取的两个特征数据(例如特征向量或特征张量)之间的相似度,并将得到的相似度与预设门限做比较,以判定这两个特征数据是否匹配。本申请实施例中,生物特征验证信息和生物特征参考信息可以为不同的特征向量或特征张量。在一个例子中,相似度可以通过如下公式获得:
其中,x和y均为特征向量,xT表示x的转置,Sim(x,y)表示x和y的相似度。在本申请实施例中,可以通过多种方式计算两个特征向量之间的相似度,本申请实施例不再详述。
可选地,身份认证结果可以是用户通过身份认证或者未通过身份认证。
309、服务器向第一终端设备发送身份认证结果。
本申请实施例中,服务器的数据库以及终端设备分别存储生物特征参考信息的不同部分,可以避免服务器或第一终端设备被公克后泄露用户隐私数据的问题。
图3中第一终端设备向服务器发送第一生物特征属性信息,并将基于当前采集的人脸图像得到的生物特征验证信息发送至服务器。可见,在图3的身份认证方法中仅需第一终端设备和服务器就可以完成身份认证操作,不需要第二终端设备。下面介绍本公开的另一实施例,由第二终端设备采集用户的人脸图像,并向服务器发送生物特征参数信息的身份认证方法。图4为本申请提供的另一种身份认证方法的交互流程图,如图4所示,该方法包括:
401、第一终端设备向服务器发送身份认证请求。
402、服务器向第一终端设备发送响应信息。
响应信息用于响应身份认证请求。响应信息可以指示服务器接收到身份认证请求,以便于第一终端设备向服务器发送第一生物特征属性信息。
403、第一终端设备向服务器发送第一生物特征属性信息。
404、服务器向第二终端设备发送指示信息。
指示信息指示第二终端设备采集用户人脸图像。
405、第二终端设备向服务器发送生物特征验证信息。
第二终端设备接收到指示信息后,可以采集用户的人脸图像,基于人脸图像得到用户的生物特征属性信息(即生物特征验证信息),并向服务器发送该生物特征验证信息。
406、服务器基于第一生物特征属性信息,从数据库获取第二生物特征属性信息。
数据库可以设置在服务器上,也可以是服务器相关联的云端数据库,即数据库可以由多个服务器共用。
407、服务器合并第一生物特征属性信息和第二生物特征属性信息,得到生物特征参考信息。
408、服务器比对生物特征验证信息和生物特征参考信息,得到身份认证结果。
409、服务器向第一终端设备发送身份认证结果。
本申请实施例中,第二终端设备采集用户的人脸图像,并向服务器发送,以便于认证该用户的身份,操作简单。
在实施实施例中的身份认证操作之前,第一终端设备需要在服务器注册身份信息,即注册第一终端设备的用户的身份信息。图5为本申请提供的一种注册身份信息方法的流程示意图,如图5所示,该方法可包括:
501、第一终端设备向服务器发送注册申请。
注册申请可以携带用户标识信息,即第一终端设备的用户的标识信息或第一终端设备的标识信息。
502、服务器向第一终端设备发送应用证书。
503、第一终端设备向密钥中心发送应用证书。
504、第一终端设备接收密钥中心针对应用证书发送的应用密钥。
505、第一终端设备获取注册用户的生物特征属性信息。
可选地,第一终端设备采集注册用户的人脸图像,基于该人脸图像得到注册用户的生物特征属性信息。在一些可能的实现方式中,生物特征属性信息可以是一个向量或张量。在实际应用中,任一用户想要采用本公开中的方法进行身份认证,都需要完成身份信息注册。也就是说,只有完成身份信息注册操作的第一终端设备才能执行前述实施例提供的身份认证方法。完成身份信息注册的用户(注册用户),也就是是待进行身份认证的用户,即待认证用户。举例来说,某个用户通过第一终端设备采用图5中的方法完成身份信息注册后,就可以采用前述实施例中的身份认证方法进行身份信息。
506、第一终端设备将注册用户的生物特征属性信息进行拆分,得到第一生物特征属性信息和第二生物特征属性信息。
本申请实施例提供了一种分解生物特征信息的方法,该方法可包括如下步骤:
步骤一、根据录入的特征模板X,即注册用户的生物特征属性信息,生成一个与X相同长度的伪随机向量X1,并将该X1作为第一生物特征属性信息。
步骤二、利用如下公式计算第二生物特征属性信息:
X2=X-X1
其中,X2作为第二生物特征属性信息。
507、第一终端设备利用应用密钥加密第一生物特征属性信息,并存储加密后的第一生物特征属性信息。
可选的,第一终端设备将加密后的第一生物特征属性信息存储到安全级别超过目标级别的存储空间,即安全性较高的存储空间。
508、第一终端设备利用应用密钥加密第二生物特征属性信息,并向服务器发送加密后的第二生物特征属性信息。
509、服务器在收到加密后的第二生物特征属性信息之后,将加密后的第二生物特征属性信息存储到数据库。
第一终端设备在注册时,向服务器的数据库发送加密后的第二生物特征属性信息MX2。
在认证时,向服务器的发送加密后的第一生物特征属性信息MX2。服务器获得MX2和MX1后,可将MX2和MX1合并得到加密后的生物特征参考信息:
MX2+MX1=M(X1+X2)=MX
其中,M为通过应用密钥k以伪随机的方式生成的加密矩阵,MX为加密后的生物特征参考信息,X1为第一生物特征属性信息,X2为第二生物特征属性信息,X为注册用户的生物特征属性信息,即生物特征参考信息。该加密矩阵M为一个N×N的伪随机正交矩阵。本申请实施例采用的加密方法使得密文空间的两个特征向量的相似度等于明文空间的两个特征向量的相似度,即
Sim(x,y)=Sim(Mx,My)。
这是因为加密矩阵M满足MTM=1。当相似度采用二阶范数(欧式距离)时,本申请实施例的加密方法仍可适用,本申请实施例不对加密方法作限定。
在上述例子中,以注册和认证都通过第一终端设备实现为例进行描述,可选地,注册和认证可以通过不同的终端设备实现,本公开实施例对此不做限定。
下面介绍一下通过应用密钥k以伪随机的方式生成加密矩阵M的步骤:
步骤一、通过应用密钥k生成维度为N×N的伪随机浮点数序列,构成N×N的方矩阵L。
L为一个由N×N个伪随机浮点数构成的维度为N×N的方矩阵。
步骤二、采用如下公式对L做特征值分解:
L=U∑V
其中,U=VT,U即为加密矩阵M。
本申请实施例中,第一终端设备将采集的生物特征参考信息分解为两部分分别进行加密处理;并将得到的第一生物特征属性信息和第二生物特征属性信息分别存储到第一终端设备以及服务器的数据库,以便于为服务器实现身份认证功能提供验证信息。
图6为本申请提供的另一种注册身份信息方法的流程示意图,如图6所示,该方法可包括:
601、第一终端设备向服务器发送注册申请。
注册申请可以携带用户标识信息,即第一终端设备的用户的标识信息或第一终端设备的标识信息。
602、服务器向第一终端设备发送应用证书。
603、第一终端设备向密钥中心发送应用证书。
604、第一终端设备接收密钥中心针对应用证书发送的应用密钥。
605、第一终端设备获取注册用户的生物特征属性信息。
可选地,第一终端设备采集注册用户的人脸图像,基于该人脸图像得到注册用户的生物特征属性信息。在一些可能的实现方式中,生物特征属性信息可以是一个向量或张量。在实际应用中,任一用户想要采用本公开中的方法进行身份认证,都需要完成身份信息注册。也就是说,完成身份信息注册操作的第一终端设备就可以执行前述实施例提供的身份认证方法。可见,完成身份信息注册的用户(注册用户),也就是是待进行身份认证的用户,即待认证用户。举例来说,某个用户通过第一终端设备采用图5或图6中的方法完成身份信息注册后,就可以采用前述实施例中的身份认证方法进行身份认证。
606、第一终端设备利用密钥加密生物特征属性信息。
607、第一终端设备分解生物特征参考信息得到第一生物特征属性和第二生物特征属性信息。
具体的分解方式与图5中的方式相同。
608、第一终端设备向服务器发送第二生物特征属性信息。
609、服务器将第二生物特征属性存储到数据库。
610、第一终端设备存储第一生物特征属性信,并删除第二生物特征属性信息以及生物特征参考信息。
可选的,第一终端设备将第一生物特征属性信息存储到安全级别超过目标级别的存储空间,即安全性较高的存储空间。
本申请实施例中,终端利用应用密钥加密生物特征参考信息,将分解该生物特征参考信息得到的两部分分别存储到第一终端设备以及服务器的数据库,以便于为服务器实现身份认证功能提供验证信息。
图7为本申请提供的另一种身份认证方法的流程图,如图7所示,该方法应用于第一终端设备,该方法可包括:
701、第一终端设备获取存储的第一生物特征属性信息。
第一终端设备可以是手机、平板电脑、可穿戴设备等移动设备,也可以是门禁系统、支付系统等系统中的终端设,例如摄像头、相机等。第一终端设备向服务器发送第一生物特征属性信息可以是第一终端设备向服务器发送身份认证请求消息,身份认证请求消息包含用户标识信息和第一生物特征属性信息。用户标识信息可以是第一终端设备的标识信息,也可以第一终端设备的用户的标识信息。
702、第一终端设备向服务器发送第一生物特征属性信息。
第一生物特征属性信息用于服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
在一个可选的实现方式中,第一终端设备为服务器所属应用系统中的终端设备,服务器所属应用系统为门禁系统或支付系统。可选的,第一终端设备接收到移动设备发送的认证请求后,向服务器发送第一生物特征属性信息。移动设备可以是手机、平板电脑、可穿戴设备等。举例来说,第一终端设备接收到移动设备的认证请求后,获取存储的第一生物特征属性信息,并向服务器发送。
在一个可选的实现方式中,第一终端设备为手机、平板电脑、可穿戴设备等移动设备。第一终端设备向服务器发送第一生物特征属性信息可以是响应于接收到第二终端设备发送的第一指令,第一终端设备向服务器发送第一生物特征属性信息,其中,第一指令指示第一终端设备发送第一生物特征属性信息;也可以是响应于与第二终端设备成功建立无线连接,第一终端设备向服务器发送第一生物特征属性信息;还可以是响应于接收到用户发送的第二指令,第一终端设备向服务器发送第一生物特征属性信息,其中,第二指令指示第一终端设备发送第一生物特征属性信息。第二终端设备可以是服务器所属应用系统中的终端设备,该应用系统可以是门禁系统或支付系统。第一终端设备与第二终端设备成功建立的无线连接包括近距离无线通信NFC或蓝牙连接。
在一个可选的实现方式中,第一终端设备向服务器发送第一生物特征属性信息之前,方法还包括:
第一终端设备获取用户的生物特征属性信息;
第一终端设备基于生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息;
第一终端设备存储第一生物特征属性信息;
第一终端设备向服务器发送第二生物特征属性信息。
第一终端设备获取用户的生物特征属性信息可以是响应于接收到用户的注册请求,第一终端设备获取用户的生物特征属性信息。在实际应用中,用户可以通过第一终端设备的某个操作界面输入注册请求。第一终端设备获取用户的生物特征属性信息可以是第一终端设备在可信环境下采集生物特征属性信息。例如,第一终端设备为手机,该第一终端设备在可信执行环境(Trusted Execution Environment,TEE)下采集生物特征属性信息。
在该实现方式中,第一终端设备通过将用户的生物特征属性信息分为两个部分,并在该第一终端设备和服务器分别存储,可以避免泄露该用户的生物特征属性信息。
在一个可选的实现方式中,生物特征属性信息为特征向量,基于生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息包括:
生成一个与生物特征属性信息包含的元素个数相同的第一向量;第一向量作为第一生物特征属性信息或第二生物特征属性信息;
计算生物特征属性信息和第一向量之差,得到第二向量;第二向量作为第一生物特征属性信息或第二生物特征属性信息,且不同于第一向量。
生物特征属性信息、第一向量以及第二向量包含的元素个数相同。第一向量可以是一个伪随机向量。第一终端设备通过计算生物特征属性信息和第一向量之差,得到第二向量;计算简单。由于第一向量是一个伪随机向量,第二向量为生物特征属性信息和第一向量之差。因此,第二向量也是一个伪随机向量。可以理解,利用第一向量和第二向量中的任一个均不能得到生物特征属性信息。这样第一向量或第二向量被泄露后也只能得到一个没用的信息,而不会造成泄露用户的生物特征属性信息。
在该实现方式中,基于用户的生物特征属性信息可以快速地得到两个伪随机向量,分别作为第一生物特征属性信息和第二生物特征属性信息,实现简单。
本申请中,第一终端设备向服务器发送第一生物特征属性信息,以便于该服务器生成生物特征参考信息,进而认证用户的身份;可以有效避免隐私数据泄露。
在一个可选的实现方式中,方法还包括:
第一终端设备接收来自服务器的指示信息;指示信息指示第一终端设备采集用户的人脸图像;
第一终端设备采集用户的人脸图像,并向服务器发送人脸图像;人脸图像用于服务器基于生物特征参考信息得到用户的身份认证结果;生物特征参考信息包含用户的人脸特征属性信息。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,方法还包括:
第一终端设备接收来自服务器的指示信息;指示信息指示第一终端设备采集用户的人脸图像;
第一终端设备采集用户的人脸图像,基于人脸图像得到用户的生物特征验证信息;生物特征验证信息用于服务器与生物特征参考信息进行比对得到用户的身份认证结果;
第一终端设备将生物特征验证信息发送给服务器。
第一终端设备将生物特征验证信息发送给服务器可以是利用应用秘钥对生物特征验证信息进行加密处理,将加密处理后的生物特征验证信息发送给服务器。第一终端设备采集用户的人脸图像,基于人脸图像得到用户的生物特征验证信息可以是对采集的人脸图像进行特征提取,得到一个特征向量。例如,第一终端设备利用深度神经网络将采集的人脸图像转换为一个特征向量。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送基于该人脸图像得到的生物特征验证信息,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,第一终端设备基于生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息之前,方法还包括:
利用应用秘钥对生物特征属性信息进行加密处理;
第一终端设备基于生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息包括:
第一终端设备基于加密处理后的生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息。
第一终端设备先利用应用秘钥对生物特征属性信息进行加密处理,再基于加密处理后的生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息。
在该实现方式中,基于加密处理后的生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息;可以提高安全性。
在一个可选的实现方式中,存储第一生物特征属性信息之前,方法还包括:
利用应用秘钥对第一生物特征属性信息以及第二生物特征属性信息进行加密处理;
第一终端设备存储第一生物特征属性信息,包括:
第一终端设备存储加密处理后的第一生物特征属性信息;
第一终端设备向服务器发送第二生物特征属性信息,包括:
第一终端设备向服务器发送加密处理后的第二生物属性信息。
在该实现方式中,第一终端设备利用应用秘钥对第一生物特征属性信息以及第二生物特征属性信息进行加密处理,可以避免该第一生物特征属性信息以及该第二生物特征属性信息泄露后被解读,提高安全性。
在一个可选的实现方式中,方法还包括:
第一终端设备向服务器发送身份注册请求;
第一终端设备接收来自于服务器的应用证书;
第一终端设备利用应用证书从密钥中心获取应用秘钥。
在该实现方式中,第一终端设备利用从服务器获取的应用证书从密钥中心获取应用密钥,以便于对生物特征属性信息进行加密,操作简单。
在一个可选的实现方式中,第一终端设备向服务器发送第一生物特征属性信息之后,方法还包括:
第一终端设备接收服务器发送的用户的身份认证结果。
在该实现方式中,用户可以及时获知身份认证结果,提高用户体验。
图8为本申请提供的另一种身份认证方法的流程图,如图8所示,该方法应用于第二终端设备,该方法可包括:
801、第二终端设备采集用户的人脸图像。
第二终端设备为服务器所属应用系统中的终端设备,服务器所属应用系统可以为门禁系统、支付系统等。第二终端设备可以包括图像采集设备,用于采集用户的人脸图像。可选的,第二终端设备在可信环境下采集用户的人脸图像。
在一个可选的实现方式中,第二终端设备采集用户的人脸图像包括:
响应于接收到来自服务器或第一终端设备的指示信息,第二终端设备采集用户的人脸图像,指示信息指示第二终端设备采集用户的人脸图像;或者,
响应于与第一终端设备建立无线连接,第二终端设备采集用户的人脸图像。
第一终端设备可以是手机、平板电脑、可穿戴设备等。第一终端设备与第二终端设备成功建立的无线连接包括近距离无线通信NFC或蓝牙连接。
在该实现方式中,第二终端设备可以及时采集用户的人脸图像,实现简单。
802、第二终端设备对用户的人脸图像或基于人脸图像得到的生物特征信息进行加密处理,得到加密报文。
803、第二终端设备向服务器发送加密报文,加密报文用于服务器对用户进行身份认证。
本申请实施例中,第二终端设备对采集的用户的人脸图像或基于该人脸图像得到的生物特征信息进行加密处理,并向服务器发送,以便于该服务器对该用户进行身份认证;可以避免在数据传输过程中造成数据泄露,提高安全性。
应理解,图2至图8所示的例子仅为了示例性地说明本公开实施例,而非对本公开实施例进行限定,本领域技术人员可以在图2至图8的基础上进行任意变换和/或替换,仍属于本公开实施例的范围。
还应理解,上文着重于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,不再一一赘述。
本申请实施例提供了一种服务器,如图9所示,该服务器可包括:
收发单元901,用于接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与第一生物特征属性信息相对应的第二生物特征属性信息;
合并单元902,还用于对第一生物特征属性信息和第二生物特征属性信息进行合并处理,得到生物特征参考信息;
认证单元903,用于基于生物特征参考信息对用户进行身份认证,得到用户的身份认证结果。
本申请中,服务器的目标数据库以及第一终端设备各自存储用于认证用户身份的一部分信息,可以避免该服务器或该第一终端设备被公克后泄露用户隐私数据的问题。
在一个可选的实现方式中,服务器还包括:
收发单元901,还用于获取用户的生物特征验证信息;
认证单元903,具体用于对生物特征参考信息与用户的生物特征验证信息进行比对处理,得到用户的身份认证结果。
在该实现方式中,服务器利用当前采集的用户的生物特征验证信息以及该用户的生物特征参考信息,对该用户进行身份认证;操作简单。
在一个可选的实现方式中,服务器获取到的第一生物特征属性信息和第二生物特征属性信息为利用应用秘钥加密处理的生物特征属性信息,服务器获取到的第一生物特征属性信息和第二生物特征属性信息为利用应用秘钥加密处理的生物特征属性信息。
在该实现方式中,服务器对用户加密的生物特征验证信息以及加密的生物特征参考信息进行比对,得到该用户的身份认证结果;可以有效保证用户数据的安全。
在一个可选的实现方式中,服务器获取的用户的生物特征验证信息为利用应用秘钥加密处理后的生物特征验证信息;
认证单元903,具体用于利用应用秘钥对获取到的用户的生物特征验证信息进行加密处理;对生物特征参考信息和利用应用秘钥加密处理后的生物特征验证信息进行比对处理,得到用户的身份认证结果。
在该实现方式中,服务器从第一终端设备获取利用应用秘钥加密处理后的生物特征验证信息,可以保证该生物特征验证信息在传输过程中的安全性。
在一个可选的实现方式中,收发单元,还用于利用应用证书从密钥中心获取应用秘钥。
在该实现方式中,服务器利用应用证书从密钥中心获取应用秘钥,可以避免该应用秘钥的泄露,提高安全性。
在一个可选的实现方式中,收发单元901,还用于接收来自于第一终端设备或第二终端设备的用户的生物特征验证信息;或者,收发单元,还用于接收来自于第一终端设备或第二终端设备的用户人脸图像,并基于用户人脸图像得到用户的生物特征验证信息。
在该实现方式中,服务器可以接收来自于第一终端设备或第二终端设备的用户的生物特征验证信息,也可以基于来自该第一终端设备或该第二终端设备的用户人脸图像得到该用户的生物特征验证信息,操作简单。
在一个可选的实现方式中,收发单元901,还用于向第一终端设备或第二终端设备发送指示信息,指示信息指示第一终端设备或第二终端设备采集用户人脸图像,用户的生物特征验证信息是基于用户人脸图像得到的。
在该实现方式中,服务器通过向第一终端设备或第二终端设备发送指示信息,来指示该第一终端设备或该第二终端设备采集用户人脸图像,实现简单。
在一个可选的实现方式中,服务器还包括:
认证单元903,具体用于确定生物特征参考信息与用户的生物特征验证信息之间的相似度;在相似度超过预设门限的情况下,确定用户通过身份认证。
在该实现方式中,服务器通过比较用户的生物特征参考信息与生物特征验证信息的相似度,实现该用户的身份认证,认证效率高、安全性好。
在一个可选的实现方式中,收发单元901,还用于获取用户的用户标识信息;根据用户标识信息从目标数据库获取与第一生物特征属性信息对应的第二生物特征属性信息。
在该实现方式中,服务器根据用户标识信息可以快速、准确地从目标数据库获取与第一特征属性信息对应的第二生物特征属性信息。
在一个可选的实现方式中,收发单元901,具体用于获取第一终端设备发送的用户标识信息。
在该实现方式中,可以快速地获取用户标识信息,实现简单。
在一个可选的实现方式中,用户标识信息和第一生物特征属性信息携带在同一消息中。
在该实现方式中,可以减少服务器接收的消息的数量。
在一个可选的实现方式中,收发单元901,还用于向第一终端设备发送身份认证结果。
在该实现方式中,服务器向第一终端设备发送身份认证结果,以便于用户及时知道身份认证结果,提高用户体验。
在一个可选的实现方式中,收发单元901,还用于接收来自第一终端设备或第二终端设备的第二生物特征属性信息;服务器还包括:
存储单元904,用于将第二生物特征属性信息存储至目标数据库。
在该实现方式中,服务器接收来自第一终端设备或第二终端设备的第二生物特征属性信息,并存储至目标数据库,以便于与来自该第一终端设备的第一生物特征属性信息合并得到生物特征参考信息。
在一个可选的实现方式中,第二生物特征属性信息为利用应用秘钥加密后的生物特征属性信息;
收发单元901,还用于接收来自于第一终端设备或第二终端设备的身份注册请求;向第一终端设备或第二终端设备发送应用证书;应用证书用于从密钥中心获取应用秘钥。
在该实现方式中,服务器向第一终端设备或第二终端设备发送应用证书,以便于该第一终端设备或该第二终端设备从密钥中心获取该应用证书对应的应用秘钥,操作简单。
在一个可选的实现方式中,第二生物特征属性信息存储在安全级别超过目标级别的存储空间。
在该实现方式中,可以有效保证第二生物特征属性信息存储的安全。
在一个可选的实现方式中,目标数据库设置在服务器上。
在该实现方式中,服务器可以快速地从目标数据库获取所需的数据。
在一个可选的实现方式中,第一终端设备为手机或平板电脑,第二终端设备为服务器所属应用系统中的终端设备。
在一个可选的实现方式中,第一终端设备为服务器所属应用系统中的终端设备。
在一个可选的实现方式中,服务器所属应用系统为门禁系统或支付系统。
图10为本申请提供的一种第一终端设备的结构示意图,该第一终端设备包括:
获取单元1001,用于获取存储的第一生物特征属性信息;
发送单元1002,用于向服务器发送第一生物特征属性信息,第一生物特征属性信息用于服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
本申请中,第一终端设备向服务器发送第一生物特征属性信息,以便于该服务器生成生物特征参考信息,进而认证用户的身份;可以有效避免隐私数据泄露。
在一个可选的实现方式中,发送单元1002,还用于在接收到第二终端设备发送的第一指令后,向服务器发送第一生物特征属性信息,第一指令指示第一终端设备发送第一生物特征属性信息;或者,
发送单元1002,还用于在接收到用户发送的第二指令后,向服务器发送第一生物特征属性信息,第二指令指示第一终端设备发送第一生物特征属性信息。
在该实现方式中,第一终端设备可以及时向服务器发送第一生物特征属性信息,实现简单。
在一个可选的实现方式中,第一终端设备与第二终端设备成功建立的无线连接包括近距离无线通信NFC或蓝牙连接。
在该实现方式中,通过第一终端设备通过NFC或蓝牙与第二终端设备建立连接,实现简单,成本低。
在一个可选的实现方式中,获取单元1001,还用于接收来自服务器的指示信息;指示信息指示第一终端设备采集用户的人脸图像;第一终端设备还包括:
第一采集单元1003,用于采集用户的人脸图像,并向服务器发送人脸图像;人脸图像用于服务器基于生物特征参考信息得到用户的身份认证结果;生物特征参考信息包含用户的人脸特征属性信息。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,获取单元1001,还用于接收来自服务器的指示信息;指示信息指示第一终端设备采集用户的人脸图像;第一终端设备还包括:
第二采集单元1004,用于采集用户的人脸图像;
特征提取单元1005,用于基于人脸图像得到用户的生物特征验证信息;生物特征验证信息用于服务器与生物特征参考信息进行比对得到用户的身份认证结果;
发送单元1002,还用于将生物特征验证信息发送给服务器。
在该实现方式中,第一终端设备在接收到来自于服务器的指示信息后,采集用户的人脸图像,并向服务器发送基于该人脸图像得到的生物特征验证信息,以便于该服务器认证该用户的身份,操作简单。
在一个可选的实现方式中,第一终端设备还包括:
第一加密单元1006,用于利用应用秘钥对生物特征验证信息进行加密处理;
发送单元1002,还用于将加密处理后的生物特征验证信息发送给服务器。
在该实现方式中,将加密处理后的生物特征验证信息发送给服务器;可以保证生物特征验证信息在传输过程中的安全。
在一个可选的实现方式中,获取单元1001,还用于获取用户的生物特征属性信息;第一终端设备还包括:
分解单元1007,用于基于生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息;
存储单元1008,用于存储第一生物特征属性信息;
发送单元1002,还用于向服务器发送第二生物特征属性信息。
在该实现方式中,第一终端设备通过将用户的生物特征属性信息分为两个部分,并在该第一终端设备和服务器分别存储,可以避免泄露该用户的生物特征属性信息。
在一个可选的实现方式中,获取单元1001,还用于接收到用户的注册请求;获取用户的生物特征属性信息。
在该实现方式中,第一终端设备接收到用户的注册请求后,获取该用户的生物特征属性信息,操作简单。
在一个可选的实现方式中,生物特征属性信息为一个特征向量;
分解单元1007,具体用于生成一个与生物特征属性信息包含的元素个数相同的第一向量;第一向量作为第一生物特征属性信息或第二生物特征属性信息;计算生物特征属性信息和第一向量之差,得到第二向量;第二向量作为第一生物特征属性信息或第二生物特征属性信息,且不同于第一向量。
在该实现方式中,基于用户的生物特征属性信息可以快速地得到两个伪随机向量,分别作为第一生物特征属性信息和第二生物特征属性信息,实现简单。
在一个可选的实现方式中,第一终端设备还包括:
第二加密单元1009,用于利用应用秘钥对生物特征属性信息进行加密处理;
分解单元1007,具体用于基于加密处理后的生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息。
在该实现方式中,基于加密处理后的生物特征属性信息,得到第一生物特征属性信息和第二生物特征属性信息;可以提高安全性。
在一个可选的实现方式中,第一终端设备还包括:
第三加密单元1010,用于利用应用秘钥对第一生物特征属性信息以及第二生物特征属性信息进行加密处理;
存储单元1008,具体用于存储加密处理后的第一生物特征属性信息;
发送单元1002,具体用于向服务器发送加密处理后的第二生物属性信息。
在该实现方式中,第一终端设备利用应用秘钥对第一生物特征属性信息以及第二生物特征属性信息进行加密处理,可以避免该第一生物特征属性信息以及该第二生物特征属性信息泄露后被解读,提高安全性。
在一个可选的实现方式中,发送单元,还用于向服务器发送身份注册请求;
获取单元1001,还用于接收来自于服务器的应用证书;利用应用证书从密钥中心获取应用秘钥。
在该实现方式中,第一终端设备利用从服务器获取的应用证书从密钥中心获取应用密钥,以便于对生物特征属性信息进行加密,操作简单。
在一个可选的实现方式中,发送单元1002,还用于向服务器发送身份认证请求消息,身份认证请求消息包含用户标识信息。
在该实现方式中,第一终端设备在同一条消息中携带用户的用户标识信息和第一生物特征属性信息,可以减少发送的信息的个数。
在该实现方式中,第一终端设备在可信环境下采集生物特征属性信息,可以避免采集到的生物特征属性信息被泄露。
在一个可选的实现方式中,获取单元1001,具体用于在可信环境下采集生物特征属性信息。
在一个可选的实现方式中,获取单元1001,还用于接收服务器发送的用户的身份认证结果。
在该实现方式中,用户可以及时获知身份认证结果,提高用户体验。
在一个可选的实现方式中,第一终端设备为手机或平板电脑,服务器所属应用系统为门禁系统或支付系统。
在一个可选的实现方式中,第一终端设备为服务器所属应用系统中的终端设备,服务器所属应用系统为门禁系统或支付系统。
图11为本申请提供的一种第二终端设备的结构示意图,该第二终端设备包括:
采集单元1101,用于采集用户的人脸图像;
加密单元1102,用于对用户的人脸图像或基于人脸图像得到的生物特征信息进行加密处理,得到加密报文;
发送单元1103,用于向服务器发送加密报文,加密报文用于服务器对用户进行身份认证。
本申请实施例中,第二终端设备对采集的用户的人脸图像或基于该人脸图像得到的生物特征信息进行加密处理,并向服务器发送,以便于该服务器对该用户进行身份认证;可以避免在数据传输过程中造成数据泄露,提高安全性。
在一个可选的实现方式中,服务器还包括:
接收单元1104,用于接收来自服务器或第一终端设备的指示信息;或者,
通信单元1105,用于与第一终端设备建立无线连接。
在该实现方式中,第二终端设备可以及时采集用户的人脸图像,实现简单。
在一个可选的实现方式中,第二终端设备在可信环境下采集用户的人脸图像。
在该实现方式中,可以避免采集的人脸图像被篡改或泄露。
在一个可选的实现方式中,第一终端设备为手机或平板电脑,第二终端设备为服务器所属应用系统中的终端设备。
在一个可选的实现方式中,服务器所属应用系统为门禁系统或支付系统。
图12是本申请实施例提供的另一种服务器结构示意图,该服务器1200可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessing units,CPU)1222(例如,一个或一个以上处理器)和存储器1232,一个或一个以上存储应用程序1242或数据1244的存储介质1230(例如一个或一个以上海量存储设备)。其中,存储器1232和存储介质1230可以是短暂存储或持久存储。存储在存储介质1230的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1222可以设置为与存储介质1230通信,在服务器1200上执行存储介质1230中的一系列指令操作。
服务器1200还可以包括一个或一个以上电源1226,一个或一个以上有线或无线网络接口1250,一个或一个以上输入输出接口1258,和/或,一个或一个以上操作系统1241,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
实施例中由服务器所执行的步骤可以基于该图12所示的服务器结构。具体的,输入输出接口1258可实现收发单元901的功能。中央处理器1222可实现合并单元902以及认证单元903的功能。存储器1232实现存储单元904的功能。
参见图13,是本申请实施例提供的另一种第一终端设备的结构示意图。如图13所示的本实施例中的第一终端设备可以包括:一个或多个处理器1301、收发器1303、采集装置1304和存储器1302。处理器1301、收发器1303和存储器1302通过总线1305连接。存储器1302用于存储指令,处理器1301用于执行存储器1302存储的指令。收发器1303用于接收和发送数据。采集装置1304用于人脸图像、虹膜、指纹、声纹等。其中,处理器801用于:获取存储的第一生物特征属性信息;向服务器发送第一生物特征属性信息,第一生物特征属性信息用于服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。。
应当理解,在本申请实施例中,所称处理器1301可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
该存储器1302可以包括只读存储器和随机存取存储器,并向处理器1301提供指令和数据。存储器802的一部分还可以包括非易失性随机存取存储器。例如,存储器1302还可以存储设备类型的信息。
具体实现中,本申请实施例中所描述的处理器1301、采集装置1304收发器1303可执行本申请实施例提供的身份认证方法以及注册身份信息方法的前述任一实施例所描述的实现方式,也可执行本申请实施例所描述的第一终端设备的实现方式,在此不再赘述。具体的,收发器1303可实现获取单元1001以及发送单元1002的功能。处理器1301可实现特征提取单元1005、第一加密单元1006、分解单元1007、第二加密单元1009、第三加密单元1010的功能。采集装置1304可实现第一采集单元1003以及第二采集单元1004的功能。存储器1302可实现存储单元1008的功能。
在本发明的实施例中提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现:接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与第一生物特征属性信息相对应的第二生物特征属性信息;对第一生物特征属性信息和第二生物特征属性信息进行合并处理,得到生物特征参考信息;基于生物特征参考信息对用户进行身份认证,得到用户的身份认证结果。
在本发明的另一实施例中提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现:获取存储的第一生物特征属性信息;向服务器发送第一生物特征属性信息,第一生物特征属性信息用于服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
在本发明的另一实施例中提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现:采集用户的人脸图像;对用户的人脸图像或基于人脸图像得到的生物特征信息进行加密处理,得到加密报文;向服务器发送加密报文,加密报文用于服务器对用户进行身份认证。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种身份认证方法,其特征在于,包括:
服务器接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与所述第一生物特征属性信息相对应的第二生物特征属性信息;
所述服务器对所述第一生物特征属性信息和所述第二生物特征属性信息进行合并处理,得到生物特征参考信息;
所述服务器基于所述生物特征参考信息对用户进行身份认证,得到所述用户的身份认证结果。
2.一种身份认证方法,其特征在于,包括:
第一终端设备获取存储的第一生物特征属性信息;
所述第一终端设备向服务器发送所述第一生物特征属性信息,所述第一生物特征属性信息用于所述服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
3.一种身份认证方法,其特征在于,包括:
第二终端设备采集用户的人脸图像;
所述第二终端设备对所述用户的人脸图像或基于所述人脸图像得到的生物特征信息进行加密处理,得到加密报文;
所述第二终端设备向服务器发送所述加密报文,所述加密报文用于所述服务器对所述用户进行身份认证。
4.一种服务器,其特征在于,包括:
收发单元,用于接收第一终端设备发送的第一生物特征属性信息,并从目标数据库获取与所述第一生物特征属性信息相对应的第二生物特征属性信息;
合并单元,还用于对所述第一生物特征属性信息和所述第二生物特征属性信息进行合并处理,得到生物特征参考信息;
认证单元,用于基于所述生物特征参考信息对用户进行身份认证,得到所述用户的身份认证结果。
5.一种终端设备,其特征在于,包括:
获取单元,用于获取存储的第一生物特征属性信息;
发送单元,用于向服务器发送所述第一生物特征属性信息,所述第一生物特征属性信息用于所述服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
6.一种终端设备,其特征在于,包括:
采集单元,用于采集用户的人脸图像;
加密单元,用于对所述用户的人脸图像或基于所述人脸图像得到的生物特征信息进行加密处理,得到加密报文;
发送单元,用于向服务器发送所述加密报文,所述加密报文用于所述服务器对所述用户进行身份认证。
7.一种身份认证装置,其特征在于,包括处理器以及存储器,其中,所述存储器用于存储计算机可读指令,所述处理器被配置用于调用所述计算机可读指令执行如权利要求1或2所述的方法。
8.一种终端设备,其特征在于,包括:存储器,用于存储第一生物特征属性信息;处理器,用于获取存储的所述第一生物特征属性信息;收发器,用于向服务器发送所述第一生物特征属性信息,所述第一生物特征属性信息用于所述服务器与目标数据库中的第二生物特征属性信息合并得到用于认证用户身份的生物特征参考信息。
9.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机可读指令,所述计算机可读指令当被处理器执行时使所述处理器执行如权利要求1-3任一项所述的方法。
10.一种身份认证系统,其特征在于,包括:服务器、第一终端设备和/或第二终端设备,所述服务器为如权利要求1所述的服务器,所述第一终端设备为如权利要求2所述的终端设备,所述第二终端设备为如权利要求3所述的终端设备。
CN201810852671.9A 2018-07-27 2018-07-27 身份认证方法及系统、终端设备、服务器及存储介质 Pending CN109165523A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810852671.9A CN109165523A (zh) 2018-07-27 2018-07-27 身份认证方法及系统、终端设备、服务器及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810852671.9A CN109165523A (zh) 2018-07-27 2018-07-27 身份认证方法及系统、终端设备、服务器及存储介质

Publications (1)

Publication Number Publication Date
CN109165523A true CN109165523A (zh) 2019-01-08

Family

ID=64898672

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810852671.9A Pending CN109165523A (zh) 2018-07-27 2018-07-27 身份认证方法及系统、终端设备、服务器及存储介质

Country Status (1)

Country Link
CN (1) CN109165523A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110400223A (zh) * 2019-07-26 2019-11-01 中国工商银行股份有限公司 基于区块链的交互日志加密、调取、防窃取方法、装置
CN111585987A (zh) * 2020-04-25 2020-08-25 中信银行股份有限公司 身份认证方法、装置、电子设备及计算机可读存储介质
CN111813007A (zh) * 2019-04-12 2020-10-23 南宁富桂精密工业有限公司 家电控制系统及其方法
CN111818139A (zh) * 2020-06-28 2020-10-23 盾钰(上海)互联网科技有限公司 一种基于神经网络的无线异构控制计算系统
CN111919217A (zh) * 2020-06-10 2020-11-10 北京小米移动软件有限公司 生物特征注册的方法、装置、通信设备及存储介质
CN111967033A (zh) * 2020-08-28 2020-11-20 深圳康佳电子科技有限公司 基于人脸识别的图片加密方法、装置、终端及存储介质
CN112948795A (zh) * 2021-02-19 2021-06-11 支付宝(杭州)信息技术有限公司 保护隐私的身份认证方法及装置
CN113345130A (zh) * 2020-02-18 2021-09-03 佛山市云米电器科技有限公司 智能门的控制方法、智能门及计算机可读存储介质
CN113449621A (zh) * 2021-06-17 2021-09-28 深圳大学 一种生物特征识别方法、系统及其应用
US11275866B2 (en) * 2019-07-17 2022-03-15 Pusan National University Industry-University Cooperation Foundation Image processing method and image processing system for deep learning
CN114760068A (zh) * 2022-04-08 2022-07-15 中国银行股份有限公司 用户的身份验证方法、系统、电子设备及存储介质
WO2022172096A1 (en) * 2021-02-10 2022-08-18 Alipay Labs (singapore) Pte. Ltd. Method and system for processing reference faces

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159012A (zh) * 2006-09-12 2008-04-09 富士通株式会社 生物认证方法、用于个体认证的介质和生物认证装置
CN101478541A (zh) * 2008-10-21 2009-07-08 刘洪利 一种生物特征认证方法,以及一种生物特征认证系统
CN101984576A (zh) * 2010-10-22 2011-03-09 北京工业大学 一种基于加密人脸的匿名身份认证方法和系统
CN106101136A (zh) * 2016-07-22 2016-11-09 飞天诚信科技股份有限公司 一种生物特征对比的认证方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159012A (zh) * 2006-09-12 2008-04-09 富士通株式会社 生物认证方法、用于个体认证的介质和生物认证装置
CN101478541A (zh) * 2008-10-21 2009-07-08 刘洪利 一种生物特征认证方法,以及一种生物特征认证系统
CN101984576A (zh) * 2010-10-22 2011-03-09 北京工业大学 一种基于加密人脸的匿名身份认证方法和系统
CN106101136A (zh) * 2016-07-22 2016-11-09 飞天诚信科技股份有限公司 一种生物特征对比的认证方法及系统

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111813007A (zh) * 2019-04-12 2020-10-23 南宁富桂精密工业有限公司 家电控制系统及其方法
US11275866B2 (en) * 2019-07-17 2022-03-15 Pusan National University Industry-University Cooperation Foundation Image processing method and image processing system for deep learning
CN110400223A (zh) * 2019-07-26 2019-11-01 中国工商银行股份有限公司 基于区块链的交互日志加密、调取、防窃取方法、装置
CN110400223B (zh) * 2019-07-26 2022-05-17 中国工商银行股份有限公司 基于区块链的交互日志加密、调取、防窃取方法、装置
CN113345130A (zh) * 2020-02-18 2021-09-03 佛山市云米电器科技有限公司 智能门的控制方法、智能门及计算机可读存储介质
CN111585987A (zh) * 2020-04-25 2020-08-25 中信银行股份有限公司 身份认证方法、装置、电子设备及计算机可读存储介质
CN111919217A (zh) * 2020-06-10 2020-11-10 北京小米移动软件有限公司 生物特征注册的方法、装置、通信设备及存储介质
CN111818139B (zh) * 2020-06-28 2021-05-21 盾钰(上海)互联网科技有限公司 一种基于神经网络的无线异构控制计算系统
CN111818139A (zh) * 2020-06-28 2020-10-23 盾钰(上海)互联网科技有限公司 一种基于神经网络的无线异构控制计算系统
CN111967033A (zh) * 2020-08-28 2020-11-20 深圳康佳电子科技有限公司 基于人脸识别的图片加密方法、装置、终端及存储介质
CN111967033B (zh) * 2020-08-28 2024-04-05 深圳康佳电子科技有限公司 基于人脸识别的图片加密方法、装置、终端及存储介质
WO2022172096A1 (en) * 2021-02-10 2022-08-18 Alipay Labs (singapore) Pte. Ltd. Method and system for processing reference faces
CN112948795A (zh) * 2021-02-19 2021-06-11 支付宝(杭州)信息技术有限公司 保护隐私的身份认证方法及装置
CN112948795B (zh) * 2021-02-19 2022-04-12 支付宝(杭州)信息技术有限公司 保护隐私的身份认证方法及装置
CN113449621A (zh) * 2021-06-17 2021-09-28 深圳大学 一种生物特征识别方法、系统及其应用
CN114760068A (zh) * 2022-04-08 2022-07-15 中国银行股份有限公司 用户的身份验证方法、系统、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN109165523A (zh) 身份认证方法及系统、终端设备、服务器及存储介质
US10681025B2 (en) Systems and methods for securely managing biometric data
US20230283604A1 (en) Biometric knowledge extraction for mutual and multi-factor authentication and key exchange
US11256900B1 (en) Facial recognition methods and apparatuses
US11824991B2 (en) Securing transactions with a blockchain network
EP3528150A1 (en) A system, apparatus and method for privacy preserving contextual authentication
CN110706379B (zh) 基于区块链的门禁访问控制方法和装置
CN110969431B (zh) 区块链数字币私钥的安全托管方法、设备和系统
WO2017012175A1 (zh) 身份认证方法、身份认证系统、终端和服务器
CN101420301A (zh) 人脸识别身份认证系统
CN112948795B (zh) 保护隐私的身份认证方法及装置
CN105429761A (zh) 一种密钥生成方法及装置
CN109375882B (zh) 一种基于无标识生物认证的安全打印方法与系统
EP3655874B1 (en) Method and electronic device for authenticating a user
CN112534772A (zh) 加密参数选择
CN108073820A (zh) 数据的安全处理方法、装置及移动终端
Kwon et al. CCTV-based multi-factor authentication system
CN114996727A (zh) 基于掌纹掌静脉识别的生物特征隐私加密方法及系统
CN111698253A (zh) 一种计算机网络安全系统
CN105323355A (zh) 一种基于掌纹识别的Android隐私保护系统
CN114357418A (zh) 加密认证方法、系统、终端设备、服务器及存储介质
WO2019245437A1 (en) Method and electronic device for authenticating a user
Lin et al. UFace: Your universal password that no one can see
Verma et al. A novel model to enhance the data security in cloud environment
KR20150100602A (ko) 데이터 저장 및 판독 방법, 장치, 및 기기

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190108

RJ01 Rejection of invention patent application after publication