CN109885994B

CN109885994B - 一种离线身份认证系统、设备及计算机可读存储介质

Info

Publication number: CN109885994B
Application number: CN201910015068.XA
Authority: CN
Inventors: 杨泽霖; 涂前彦; 杨坚
Original assignee: Shenzhen Heils Zhongcheng Technology Co ltd
Current assignee: Shenzhen Heils Zhongcheng Technology Co ltd
Priority date: 2019-01-08
Filing date: 2019-01-08
Publication date: 2021-06-25
Anticipated expiration: 2039-01-08
Also published as: CN109885994A

Abstract

本发明公开了一种离线身份认证系统、设备及计算机可读存储介质，该系统包括交互层、服务层以及内核层，其中：所述交互层用于提供交互界面，以及接收由所述交互界面获取的交互操作；所述服务层用于将业务功能打包为对应的服务，其中，所述业务功能包括在本地预载准入人员的特征数据集，在离线状态下实时执行特征提取以及特征比对操作，同时，在所述离线状态下对目标对象执行验证识别操作；所述内核层用于执行运算和逻辑任务处理。本方案实现了一种安全性高、响应快速以及稳定灵活的身份认证方案。

Description

一种离线身份认证系统、设备及计算机可读存储介质

技术领域

本发明涉及电子技术领域，尤其涉及一种离线身份认证系统、设备及计算机可读存储介质。

背景技术

在现有的身份认证领域中，身份识别系统扮演着重要角色。传统的识别系统需要用户携带钥匙或类钥匙凭证并进行认证操作。当涉及到多个区域的权限控制时候，由于通用凭证以及凭证的可复制性的安全性问题，往往需要携带多个凭证，传统的解决办法是携带多把钥匙，但是非常不方便。

现有的解决方案有两种：

一种是本地识别方式，例如采用指纹机，可靠性高，配置简单，但是存在不卫生、需要用户接触式操作的问题，另外，由于其设计的架构并未考虑机器之间的互联，因此，进行数据录入的时候，效率非常的低，需要逐个进行录入，可视化程度低，另外，指纹机类似的传统本地身份认证工具有着不够灵活，使用不方便，学习成本高的困扰。

另一种是在线认证的方式，目前针对网络用户的身份认证，主要都是用户密码的认证方式，其流程包括：1)用户预先在在线服务的服务器上注册，由服务器将用户标识、用户密码或其Hash(哈希)值进行关联，并保存；2)用户在使用在线服务前，需要输入用户标识、用户密码等信息进行登录认证；3)服务器根据用户提交的信息，与注册时保存的信息进行校验。

但是，基于用户密码的认证方式，存在如下问题：

1)简单用户密码容易被猜测或暴力破解；2)使用多个在线服务时候，用户需要记忆大量不同的用户标识和用户密码，比如在一个现代企业中，其内部通常建立很多IT系统，如邮件系统、办公自动化系统、人力资源管理系统、财务系统等，这些系统都是在不同时期、由不同人、采用不同技术来构建，若员工需要记忆多个用户标识和用户密码，会带来使用的不便。

发明内容

为了解决现有技术中的上述技术缺陷，本发明提出了一种离线身份认证系统，该系统包括交互层、服务层以及内核层，其中：

所述交互层用于提供交互界面，以及接收由所述交互界面获取的交互操作；

所述服务层用于将业务功能打包为对应的服务，其中，所述业务功能包括在本地预载准入人员的特征数据集，在离线状态下实时执行特征提取以及特征比对操作，同时，在所述离线状态下对目标对象执行验证识别操作；

所述内核层用于执行运算和逻辑任务处理。

可选的，所述系统还包括人员管理模块、系统管理模块以及识别记录管理模块。

可选的，所述人员管理模块用于在所述离线状态下，通过批量导入或者现场录入的方式对身份认证信息数据底库的身份信息执行增加、删除、修改以及查询操作。

可选的，所述系统管理模块用于在所述离线状态下，执行系统日志查阅、子管理员账户分配以及设备信息更改操作。

可选的，所述识别记录管理模块用于在所述离线状态下，对所述记录信息执行筛选、删除操作，还用于设置所述记录信息的自清理条件。

本发明还提出了一种离线身份认证设备，该设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现：

所述内核层用于执行运算和逻辑任务处理。

可选的，所述计算机程序被所述处理器执行时实现：

在所述离线状态下，通过批量导入或者现场录入的方式对身份认证信息数据底库的身份信息执行增加、删除、修改以及查询操作。

可选的，所述计算机程序被所述处理器执行时实现：

在所述离线状态下，执行系统日志查阅、子管理员账户分配以及设备信息更改操作。

可选的，所述计算机程序被所述处理器执行时实现：

在所述离线状态下，对所述记录信息执行筛选、删除操作，以及，设置所述记录信息的自清理条件。

本发明还提出了一种计算机可读存储介质，该计算机可读存储介质上存储有身份认证程序，所述身份认证程序被处理器执行时实现：

所述内核层用于执行运算和逻辑任务处理。

实施本发明的离线身份认证系统、设备及计算机可读存储介质，该系统包括交互层、服务层以及内核层，其中：所述交互层用于提供交互界面，以及接收由所述交互界面获取的交互操作；所述服务层用于将业务功能打包为对应的服务，其中，所述业务功能包括在本地预载准入人员的特征数据集，在离线状态下实时执行特征提取以及特征比对操作，同时，在所述离线状态下对目标对象执行验证识别操作；所述内核层用于执行运算和逻辑任务处理。本方案实现了一种安全性高、响应快速以及稳定灵活的身份认证方案。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明离线身份认证系统的第一框图；

图2是本发明离线身份认证系统的第二框图；

图3是本发明离线身份认证系统的第三框图；

图4是本发明离线身份认证系统的第四框图。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

实施例一

图1是本发明离线身份认证系统的第一框图。一种离线身份认证系统，该系统包括交互层10、服务层20以及内核层30，其中：

所述交互层10用于提供交互界面，以及接收由所述交互界面获取的交互操作；

所述服务层20用于将业务功能打包为对应的服务，其中，所述业务功能包括在本地预载准入人员的特征数据集，在离线状态下实时执行特征提取以及特征比对操作，同时，在所述离线状态下对目标对象执行验证识别操作；

所述内核层30用于执行运算和逻辑任务处理。

可选的，如图2所示是本发明离线身份认证系统的第二框图，所述系统还包括人员管理模块、系统管理模块以及识别记录管理模块。

具体的在本实施例中，如图3所示是本发明离线身份认证系统的第三框图，本方案的系统分为交互、服务、内核三层，依次深入，用户直接面对交互层10，可运用应用程序接口调用服务层功能。内核层30负责执行具体的各项运算和逻辑，服务层20将各类功能打包成为某一类服务，交互层则供用户使用。

具体的，在本实施例中，对于用户，系统主要有两种使用方式：界面交互和应用程序接口交互，用户可通过这两种方式实现人员管理、系统管理、识别记录管理三大功能模块的使用。对于界面交互，用户在终端直接操作即可。对于应用程序接口交互，用户可自行对接内部OA等本地系统，在所述离线状态下，用各种网络传输协议使用应用程序接口操作系统并交互数据，可方便的进行业务流程的对接。如：在所述离线状态下，用户可根据识别记录来实现本地多终端的上班打卡功能，具体来讲只需通过应用程序接口将本地运行的终端的人员身份识别记录读取并汇总，然后根据用户身份的并集确定打卡范围，最后将识别记录和打卡范围内的用户身份取交集即可生成每个用户身份的打卡情况。

具体的，在本实施例中，如图4所示是本发明离线身份认证系统的第四框图，在所述离线状态下，当终端登录管理员账号后，登陆后的管理员操作该管理页面。对于人员管理，用户登录管理员账号，进入人员管理模块，即可通过批量导入或者现场录入的方式对身份信息数据底库中的ID进行增删改查等数据操作。对于识别记录，用户可进行筛选查看和删除的功能，可自行设置过期自动清理的机制。对于系统管理，可方便的查看系统日志，分配子管理员账号，更改设备信息等。

具体的，在本实施例中，在所述离线状态下，终端的组合身份认证可通过IC/ID卡、身份证、人脸的模式及其逻辑组合(与、或等逻辑组合)进行，对于IC/ID卡和身份证，主要是读取卡片的信息同身份认证数据底库内的信息比对来认证身份，对于人脸认证，由摄像头检测人脸，进行活体验证，如果是活体，获取人脸数据，通过深度学习的模型，提取人脸特征，生成高维特征向量，同身份认证数据底库中的预存向量群进行阈值比对(即底库中某ID的人脸特征向量同实时人脸特征向量的K距离小于系统预设阈值时即认为比对成功)。以IC/ID卡+身份证+人脸认证同时认证模式为例，具体比对内容为：待认证人员在终端摄像头范围内刷IC/ID卡和身份证，系统对IC/ID卡号和身份证号进行精确比对，对实时捕捉到的已通过活体检测的人脸照片生成高维特征向量，同身份认证数据底库中的预存向量群进行阈值比对(即底库中某ID的人脸特征向量同实时人脸特征向量的K距离小于系统预设阈值时即认为比对成功)，三条比对均能在身份认证数据底库中找到对应ID，且找到的为同一个ID，则认证通，其他情况，则提示，拒绝访问，请登记后访问等交互，随后界面回归待机页面。

可选的，在本实施例中，在所述离线状态下，不同于指纹类的身份认证系统，本系统可导入人脸照片、IC/ID卡号及身份证号作为身份认证的凭证，用户按照系统格式要求命名好照片后可实现一键导入，每个导入的ID均带有认证信息及姓名等附加信息，导入后用户可在本地设备内灵活配置三种认证方式的逻辑关系，如：需要人脸和IC/ID卡同时认证，需要人脸或者身份证其中一种方式认证，需要人脸和IC/ID卡同时认证或者身份证单独认证，等等逻辑化配置。实际使用时，已经导入信息的人员按照设定好的认证逻辑来识别身份，如启用人脸和IC/ID卡同时认证，用户在设备镜头前刷IC/ID卡，设备采集到当前面部信息并读取IC/ID信息，系统通过比对IC/ID卡和人脸特征是否在认证库中，并比对IC/ID卡和人脸信息是否匹配(防止IC/ID卡冒用)，比对成功后即完成身份认证。

可选的，在本实施例中，不同于数字字母等文本类的在线身份认证系统，本系统在所述离线状态下，通过各种实体物理信息卡(IC卡、ID卡和身份证)和生物信息(人脸)认证，在实体设备上进行身份认证。提高认证信息的安全级别，降低认证依据的可攻破性。

可选的，在本实施例中，不同于终端依靠运算平台进行人脸特征比对的传统人脸识别离线身份认证系统，本系统在每一个终端都独立部署专门进行了小型化和速度优化的人脸识别深度学习算法及活体识别算法，每个识别终端都可按照用户导入的信息生成身份信息数据底库，使得终端不再依赖云端进行计算，每个终端都具备识别及校验能力，因此在无需联网的情况下，终端亦可正常识别需要进行身份信息认证的人员并进行数据库比对，实现已录入人员的身份认证。对于单个终端来说，导入人员时会根据用户提供的条目生成每个ID对应的人脸高维特征向量、IC/ID卡号、身份证号，以及其他附加信息，使得他们在同一个ID下一一对应，这些ID组合起来形成身份信息数据底库。在进行身份认证的过程中，设备会按照用户定义的逻辑读取IC/ID卡号、读取身份证号及身份证内部存储的照片、捕获镜头前的人脸图像并计算实时人脸图像的高维特征向量，然后根据这些内容，本系统搭载的快速检索算法同身份信息数据底库内的每个ID进行逐一比对，检查信息的对应性和正确性，最后进行身份认证。

可选的，本系统的终端硬件基于X86或ARM平台，经终端RGB摄像头和其他传感器进行信息采集后，直接由终端的X86或ARM平台运算单元在本地主机实时处理、提取信息特征(无需传输原始信息到云端，只需要将认证结果上传，有利于保护用户的隐私安全)，借助本地预载入的准入人员特征数据集，实现实时特征提取、比对，在不上传人员人脸数据状态下实现对特定人员的验证、识别。

可选的，本系统通过搭建身份认证开放平台，本系统对企业和开发人员提供标准化的API接口，方便其进行与自身业务系统的对接和开发，可实现企业账号注册、服务配置、人员注册、人员读取、识别记录、视频流实时查看等功能，开放平台可在公有云与私有云部署，本系统可通过多种网络协议进行连接调用。一次身份信息注册，可供多地多个识别认证终端作为认证判断依据，从而构建在一个系统内的统一身份认证机制。

可以理解的是，本系统具有如下有益效果：

本系统在本地主机实时处理、提取信息特征(无需传输原始信息到云端，有利于保护用户的隐私安全)，借助本地预载入的准入人员特征数据集，实现实时特征提取、比对，离线状态下实现对特定人员的验证、识别。同时，离线的运行架构免去了暴露在网络环境的风险，可彻底杜绝网络攻击。

本系统搭载了标准化的API接口方便进行二次对接和开发，可实现人员读取、识别记录的实时对接、视频流实时查看等功能，本系统可通过蓝牙协议、WLAN或LAN实现本地局域网内的实时通信，自由定义二次使用逻辑。

总的来说，本系统还具有以下有益效果：

1.充分离线：无网、局域网等情况，无法连接公网。如政府单位、金融保险、教育机构等。

2.网络安全：人脸身份信息数据底库在需要离线部署的场景由于其业务特点常常非常风险敏感，要保障身份数据的安全，本系统纯离线部署运行，即使连接公网也因为无法通过公网协议调度从而杜绝网络攻击。

3.响应快速：本地终端完全脱离对云端算力的依赖，调度和认证过程不需要云端参与，IC/ID、身份证读取，人脸比对，活体检测功能全部运行在本地，有效节省了通讯和安全化的时间，速度不受网络质量影响，随时响应。

4.稳定灵活：由于自身功能较为完备，最大程度降低了系统的耦合性，彼此独立运行，不依赖网络，表现非常稳定。同时，系统支持充分定义认证逻辑流程，对个性化的认证场景充分适应，人员设备等管理直观简单，使用起来灵活方便。

实施例二

基于上述实施例，本发明还提出了一种离线身份认证设备，该设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现：

所述内核层用于执行运算和逻辑任务处理。

可选的，所述计算机程序被所述处理器执行时实现：

实施例三

基于上述实施例，本发明还提出了一种计算机可读存储介质，该计算机可读存储介质上存储有身份认证程序，所述身份认证程序被处理器执行时实现：

所述内核层用于执行运算和逻辑任务处理。

可以理解的是，本发明所提出的计算机可读存储介质是在上述实施例一以及上述实施例二的基础上运行的存储介质，该存储介质所存储的计算机程序能够实现上述实施例一的离线身份认证系统的相关功能以及达到相关的有益效果。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

Claims

1.一种离线身份认证系统，其特征在于，所述系统包括交互层、服务层以及内核层，其中，

所述内核层用于执行运算和逻辑任务处理；

所述系统还包括人员管理模块、系统管理模块以及识别记录管理模块；

所述人员管理模块用于在所述离线状态下，通过批量导入或者现场录入的方式对身份认证信息数据底库的身份信息执行增加、删除、修改以及查询操作；

每一个终端都独立部署专门进行了小型化和速度优化的人脸识别深度学习算法及活体识别算法，每个识别终端都按照用户导入的信息生成身份信息数据底库，使得终端不再依赖云端进行计算，每个终端都具备识别及校验能力。

2.根据权利要求1所述的离线身份认证系统，其特征在于，所述系统管理模块用于在所述离线状态下，执行系统日志查阅、子管理员账户分配以及设备信息更改操作。

3.根据权利要求2所述的离线身份认证系统，其特征在于，所述识别记录管理模块用于在所述离线状态下，对记录信息执行筛选、删除操作，还用于设置所述记录信息的自清理条件。

4.一种离线身份认证设备，其特征在于，所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现：

提供交互界面，以及接收由所述交互界面获取的交互操作；

将业务功能打包为对应的服务，其中，所述业务功能包括在本地预载准入人员的特征数据集，在离线状态下实时执行特征提取以及特征比对操作，同时，在所述离线状态下对目标对象执行验证识别操作；

执行运算和逻辑任务处理；

在所述离线状态下，通过批量导入或者现场录入的方式对身份认证信息数据底库的身份信息执行增加、删除、修改以及查询操作；

5.根据权利要求4所述的离线身份认证设备，其特征在于，所述计算机程序被所述处理器执行时实现：

6.根据权利要求5所述的离线身份认证设备，其特征在于，所述计算机程序被所述处理器执行时实现：

在所述离线状态下，对记录信息执行筛选、删除操作，以及，设置所述记录信息的自清理条件。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有身份认证程序，所述身份认证程序被处理器执行时实现：

提供交互界面，以及接收由所述交互界面获取的交互操作；

执行运算和逻辑任务处理；