CN110290134B - 一种身份认证方法、装置、存储介质及处理器 - Google Patents
一种身份认证方法、装置、存储介质及处理器 Download PDFInfo
- Publication number
- CN110290134B CN110290134B CN201910554747.4A CN201910554747A CN110290134B CN 110290134 B CN110290134 B CN 110290134B CN 201910554747 A CN201910554747 A CN 201910554747A CN 110290134 B CN110290134 B CN 110290134B
- Authority
- CN
- China
- Prior art keywords
- certificate
- information
- server
- certificate information
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种身份认证方法。所述方法包括:从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;将所述第一证件信息发送至证件服务器;接收证件服务器根据第一证件信息获取的第二证件信息;将通讯账号、第一生物特征、第二证件信息发送至服务端,服务端查找通讯账号对应的第二生物特征和第三证件信息,并通过对第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据比对结果,确定身份认证结果;接收服务端返回的身份认证结果,使得用户不再需要手动输入信息,实现了对本人、本证、本人手机号的认证的自动化,避免了用户繁琐的操作。
Description
技术领域
本发明涉及信息技术领域,特别是涉及一种身份认证方法、一种身份认证装置、一种存储介质和一种处理器。
背景技术
随着科技的进步及互联网技术的发展,人们以网络为平台构建了一个繁荣的互联网社会。以互联网技术为核心的社会,巨量的基于互联网的各种应用服务和人数众多的网民构成了互联网的根本,但也因此使得互联网鱼龙混杂,多种针对互联网交易的风险层出不穷。在这种以网络代码基础的交流方式里,人们以虚拟的身份出现,正是这种交流方式给于了不法份子以可乘之机进而出现了网络盗窃、诈骗等违法犯罪活动。
在现在的网络身份验证中,借助外部介质(如key(一种用于用户认证的硬件设备,也称U盾),口令牌,银行卡等)进行认证时,更多的是验证了设备的合法性,用于鉴别用户合法性的口令等信息,可以通过多种违法手段获取,无法确保使用人的真实性。
通过软件如手机银行等来进行的业务,又由于当前应用较多,或者使用频率不高等原因,导致用户容易忘记或者混淆当前应用的登录账号密码,交易密码等信息,不得不进行“自己证明是自己”的尴尬操作。操作不仅繁琐,且容易泄露用户的个人信息。
发明内容
鉴于上述问题,提出了一种身份认证方法、一种身份认证装置、一种存储介质和一种处理器,以解决用户在需要证明身份时操作繁琐,容易泄露用户的个人信息的问题。
依据本发明的一个方面,提供了一种身份认证方法,应用于客户端,包括:
从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;
将所述第一证件信息发送至证件服务器;
接收所述证件服务器根据所述第一证件信息获取的第二证件信息;
将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;
接收所述服务端返回的所述身份认证结果。
可选地,在所述从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息步骤执行之前,所述方法还包括:
生成第一随机数,采用预装的公钥加密所述第一随机数;
将加密的第一随机数发送至所述服务端;
接收所述服务端发送的加密的第二随机数,其中,所述第二随机数采用所述服务端的公钥加密;
采用与所述公钥对应的私钥解密得到所述第二随机数。
可选地,所述方法还包括:
获取所述终端设备的设备唯一标识;
基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
采用所述会话密钥对所述通讯账号、第一生物特征、第二证件信息进行加密。
可选地,在所述接收所述服务端返回的所述身份认证结果步骤执行之后,所述方法还包括:
获取交易信息,所述交易信息包括交易金额、交易账号、交易类型中至少一种;
将所述交易信息发送至所述服务端。
可选地,在所述将所述交易信息发送至所述服务端步骤执行之前,所述方法还包括:
接收所述服务端发送的个人识别密码;
根据所述个人识别密码,获取私钥的使用权限;
采用所述私钥对所述交易信息进行签名,其中,所述交易信息携带第一生物特征。
依据本发明的另一个方面,提供了一种身份认证方法,应用于服务端,包括:
接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;
根据所述通讯账号,查找对应的第二生物特征和第三证件信息;
通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;
根据所述比对结果,确定身份认证结果;
将所述身份认证结果发送给所述客户端。
可选地,在所述接收客户端发送的通讯账号、第一生物特征、第二证件信息步骤执行之前,所述方法还包括:
接收所述客户端发送的采用公钥加密的第一随机数;
采用与所述公钥对应的私钥解密得到所述第一随机数;
生成第二随机数;
采用所述服务端的公钥加密所述第二随机数;
将加密的第二随机数发送至所述客户端。
可选地,所述方法还包括:
接收所述客户端发送的所述终端设备的设备唯一标识;
基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
采用所述会话密钥对加密的所述通讯账号、第一生物特征、第二证件信息进行解密。
可选地,在所述将所述身份认证结果发送给所述客户端步骤执行之后,所述方法还包括:
接收所述客户端发送的所述终端设备的设备唯一标识、业务信息和客户端令牌;
根据所述设备唯一标识、业务信息和客户端令牌,生成公私钥对;
发送所述公私钥对至所述客户端。
可选地,在所述将所述身份认证结果发送给所述客户端步骤执行之后,所述方法还包括:
接收所述客户端发送的交易信息;
根据所述交易信息完成交易;
存储所述交易信息,所述交易信息携带所述第一生物特征。
依据本发明的另一个方面,提供了一种身份认证装置,应用于客户端,包括:
信息获取模块,用于从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;
证件信息发送模块,用于将所述第一证件信息发送至证件服务器;
证件信息接收模块,用于接收所述证件服务器根据所述第一证件信息获取的第二证件信息;
信息发送模块,用于将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;
结果接收模块,用于接收所述服务端返回的所述身份认证结果。
可选地,所述装置还包括:
第一加密模块,用于在所述从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息之前,生成第一随机数,采用预装的公钥加密所述第一随机数;
第一发送模块,用于将加密的第一随机数发送至所述服务端;
第一接收模块,用于接收所述服务端发送的加密的第二随机数,其中,所述第二随机数采用所述服务端的公钥加密;
第一解密模块,用于采用与所述公钥对应的私钥解密得到所述第二随机数。
可选地,所述装置还包括:
标识获取模块,用于获取所述终端设备的设备唯一标识;
密钥生成模块,用于基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
第二加密模块,用于采用所述会话密钥对所述通讯账号、第一生物特征、第二证件信息进行加密。
可选地,所述装置还包括:
第二发送模块,用于在所述接收所述服务端返回的所述身份认证结果之后,获取交易信息,所述交易信息包括交易金额、交易账号、交易类型中至少一种;
交易信息发送模块,用于将交易信息发送至所述服务端。
可选地,所述装置还包括:
第二接收模块,用于在所述将所述交易信息发送至所述服务端之前,接收所述服务端发送的个人识别密码;
权限获取模块,用于根据所述个人识别密码,获取私钥的使用权限;
签名模块,用于采用所述私钥对所述交易信息进行签名,其中,所述交易信息携带第一生物特征。
依据本发明的另一个方面,提供了一种身份认证装置,应用于服务端,包括:
信息接收模块,用于接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;
信息查找模块,用于根据所述通讯账号,查找对应的第二生物特征和第三证件信息;
结果得到模块,用于通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;
认证结果确定模块,用于根据所述比对结果,确定身份认证结果;
结果发送模块,用于将所述身份认证结果发送给所述客户端。
可选地,所述装置还包括:
第三接收模块,用于在所述接收客户端发送的通讯账号、第一生物特征、第二证件信息之前,接收所述客户端发送的采用公钥加密的第一随机数;
第二解密模块,用于采用与所述公钥对应的私钥解密得到所述第一随机数;
随机数生成模块,用于生成第二随机数;
第三加密模块,用于采用所述服务端的公钥加密所述第二随机数;
第三发送模块,用于将加密的第二随机数发送至所述客户端。
可选地,所述装置还包括:
标识接收模块,用于接收所述客户端发送的所述终端设备的设备唯一标识;
密钥生成模块,用于基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
解密模块,用于采用所述会话密钥对加密的所述通讯账号、第一生物特征、第二证件信息进行解密。
可选地,所述装置还包括:
第四接收模块,用于在所述将所述身份认证结果发送给所述客户端之后,接收所述客户端发送的所述终端设备的设备唯一标识、业务信息和客户端令牌;
公私钥对生成模块,用于根据所述设备唯一标识、业务信息和客户端令牌,生成公私钥对;
公私钥对发送模块,用于发送所述公私钥对至所述客户端。
可选地,所述装置还包括:
交易信息接收模块,用于在所述将所述身份认证结果发送给所述客户端之后,接收所述客户端发送的交易信息;
交易模块,用于根据所述交易信息完成交易;
存储模块,用于存储所述交易信息,所述交易信息携带所述第一生物特征。
依据本发明的另一个方面,提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行如上述的一个或多个方法。
依据本发明的另一个方面,提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行如上述的一个或多个方法。
依据本发明实施例,通过从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;将所述第一证件信息发送至证件服务器;接收所述证件服务器根据所述第一证件信息获取的第二证件信息;将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;接收所述服务端返回的所述身份认证结果,使得认证过程用户不再需要手动输入信息,只需由客户端获取本机手机号、本人的生物特征以及用户证件的证件信息,就可以实现对本人、本证、本人手机号的认证的自动化,避免了用户繁琐的操作。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例一中的一种身份认证方法的步骤流程图;
图2示出了本发明实施例二中的一种身份认证方法的步骤流程图;
图3示出了身份认证过程中客户端与服务端之间交互的示意图;
图4示出了本发明实施例三中的一种身份认证装置的框图;
图5示出了本发明实施例四中的一种身份认证装置的框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为使本领域技术人员更好地理解本申请,以下对本申请涉及的概念进行说明:
终端设备包括手机、平板电脑、智能穿戴设备等,或者其他任意适用的设备,本发明实施例对此不做限制。通讯账号包括手机号码、通讯工具账号等,或者其他任意适用的账号,本发明实施例对此不做限制。生物特征包括人脸、指纹、虹膜等,或者其他任意适用的生物特征,本发明实施例对此不做限制。
NFC(Near Field Communication,近距离无线通讯),又称近场通信,是一种短距离的高频无线通信技术,允许电子设备之间进行非接触式点对点数据传输,交换数据。这个技术由免接触式射频识别(RFID)演变而来,由飞利浦和索尼共同研制开发,其基础是RFID及互连技术。近场通信是一种短距高频的无线电技术,在13.56MHz频率运行于20厘米距离内。其传输速度有106Kbit/秒、212Kbit/秒或者424Kbit/秒三种。
OCR(Optical Character Recognition,光学字符识别)是指电子设备(例如扫描仪或数码相机)检查纸上打印的字符,通过检测暗、亮的模式确定其形状,然后用字符识别方法将形状翻译成计算机文字的过程;即,针对印刷体字符,采用光学的方式将纸质文档中的文字转换成为黑白点阵的图像文件,并通过识别软件将图像中的文字转换成文本格式,供文字处理软件进一步编辑加工的技术。
PIN(Personal Identification Number,个人识别密码)就是SIM卡的个人识别密码。手机的PIN码是保护SIM卡的一种安全措施,防止别人盗用SIM卡,如果启用了开机PIN码,那么每次开机后就要输入4到8位数PIN码。
公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是独一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。
SM3是中华人民共和国政府采用的一种密码散列函数标准,由国家密码管理局于2010年12月17日发布。相关标准为“GM/T 0004-2012《SM3密码杂凑算法》”。在商用密码体系中,SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等,其算法公开。据国家密码管理局表示,其安全性及效率与SHA-256相当。
SM4(原名SMS4.0)是中华人民共和国政府采用的一种分组密码标准,由国家密码管理局于2012年3月21日发布。相关标准为“GM/T 0002-2012《SM4分组密码算法》(原SMS4分组密码算法)”。
SM9是中华人民共和国政府采用的一种标识密码标准,由国家密码管理局于2016年3月28日发布,相关标准为“GM/T 0044-2016 SM9标识密码算法”。在商用密码体系中,SM9主要用于用户的身份认证。据新华网公开报道,SM9的加密强度等同于3072位密钥的RSA加密算法。
实施例一
参照图1,示出了本发明实施例一中的一种认证方法的步骤流程图,应用于客户端,具体可以包括:
步骤101,从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息。
在本发明实施例中,将客户端获取的生物特征,记为第一生物特征。用户证件包括但不限于身份证、护照、驾照、电子芯片证件等,具体可以根据实际需要设备,本发明实施例对此不做限制。证件信息包括身份证号、从身份证的芯片中读取的加密信息、身份证照片、姓名、性别、住址等信息,或者其他任意适用的信息,本发明实施例对此不做限制。在本实施例中,将客户端对用户证件进行识别得到的证件信息,记为第一证件信息。相对应的,将存储在服务器的无法从用户证件识别到的证件信息或者对第一证件信息进行解密后得到的证件信息,记为第二证件信息。
为了使用户在身份认证时不需要手动输入信息,并且能够对本人、本证、本人手机号进行认证。本发明实施例提出在发起身份认证后,由客户端自动获取终端设备的通讯账号,并通知用户提供生物特征和用户证件,在用户授权的前提下,由终端设备获取用户的第一生物特征,对用户证件进行识别得到第一证件信息。
在本发明实施例中,从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息的实现方式可以包括多种,例如,客户端自动获取本机的手机号,通过摄像头获取用户的人脸照片,或通过指纹传感器获取用户的指纹特征,通过手机的NFC技术读取用户的身份证,或者通过OCR技术的方式识别用户的身份证上的证件信息,或者其他任意适用的方式,本发明实施例对此不做限制。
在本发明实施例中,可选地,为了身份认证及其之后的业务安全,可以先对客户端与服务端之间进行双向验证,保证软件和服务器的合法性。在从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息的步骤执行之前,还可以包括:先由客户端生成随机数,记为第一随机数,采用客户端上预装的公钥加密第一随机数;然后将加密的第一随机数发送至服务端,之后服务端可以采用与公钥对应的私钥解密得到第一随机数,若可以解密成功,服务端就验证了客户端加密所用的公钥是正确的,也就是说,验证了客户端的合法性。再由服务端生成随机数,记为第二随机数,采用服务端的公钥加密第二随机数;然后将加密的第二随机数发送至客户端,之后客户端接收服务端发送的加密的第二随机数,客户端采用与公钥对应的私钥解密得到第二随机数,若可以解密成功,客户端就验证了服务端加密所用的公钥是正确的,也就是说,验证了服务端的合法性。
例如,认证方式可以应用于智能手机上安装的与银行连接的支付类APP(Application,应用程序)。为了减少客户原有的系统改造工作,增加一个服务器,记为前端服务器,作为服务端与客户端之间的纽带,保证原有的服务器不需要做调整即可使用。由APP生成随机数R1(即第一随机数),通过预装的公钥来加密R1后发送至前端服务器。随机数R1是加入时间、陀螺仪等参数作为随机因子后计算得出。前端服务器采用私钥解密得到R1,然后生成随机数R2(即第二随机数),采用服务端的公钥来加密R2后发送至客户端,客户端再采用私钥解密得到R2,上述过程若可以顺序完成,即确定客户端和服务端都是合法的,完成双向验证。
在本发明实施例中,可选地,为了通讯过程的安全性,可以在客户端和服务端之间建立安全通道,还可以包括:由客户端获取终端设备的设备唯一标识,并基于设备唯一标识、第一随机数和第二随机数,生成一个密钥,记为会话密钥;然后采用会话密钥对通讯账号、第一生物特征、第二证件信息进行加密。
例如,客户端可以获取手机的手机唯一标识DeviceID,向服务端发起连接时,将DeviceID发送给服务端。在获取到服务端的随机数R2后,可以采用DeviceID,R1和R2,利用哈希算法得到会话密钥,会话密钥SKEY=SM3(DeviceID|R1|R2|Data)[0,15]^SM3(DeviceID|R1|R2|Data)[16,31]。采用会话密钥对客户端和服务端之间传输的数据进行加密,包括身份认证过程中的数据。服务端也可以采用同样的方式得到会话密钥SKEY,双方接收会话密钥的时间限制为120秒。客户端得到会话密钥后,对数据层上的数据采用SM4 CBC(Cipher Block Chaining,密码分组链接模式)模式来加密,填充方式采用PKCS#5(一种利用从口令派生出来的安全密钥加密字符串的方法)。
在本发明实施例中,在客户端和服务端之间建立安全通道之前,还可以包括:由客户端向服务端发送终端设备的设备唯一标识、业务信息和客户端令牌,其中,客户端令牌采用业务信息和业务证书生成;在客户端和服务端之间建立安全通道之后,还可以包括:接收服务端发送的公私钥对,其中,公私钥对采用设备唯一标识、业务信息和客户端令牌生成。
例如,在智能手机上安装的与银行连接的支付类APP中,获取手机唯一标识DeviceID,连同业务方名称、业务方编号等业务信息、appToken值(即客户端令牌)。其中appToken值=SM3(业务方名称|业务方编号|业务方Key)。服务端通过DeviceID、业务方名称、业务方编号等业务信息、appToken值,采用SM9算法生成SM9的公私钥对,并下发给客户端。
步骤102,将所述第一证件信息发送至证件服务器。
在本发明实施例中,客户端对用户证件进行识别,只能识别到用户证件的部分信息,或者只能识别到用户证件的加密信息。这样就可以将用户的敏感信息都存在服务器这个相对安全的环境来进行处理,避免个人信息在开放环境泄露的可能。为此,将第一证件信息和第二证件信息存储在专门的服务器中,记为证件服务器,该证件服务器可以用于根据第一证件信息查找到对应的第二证件信息,或者对第一证件信息进行解密得到第二证件信息,之后返回第二证件信息给客户端。
例如,第一证件信息为身份证号,而第二证件信息包括身份证号对应的住址信息、籍贯信息、工作单位信息、通讯地址信息等,或者第一证件信息为加密信息,而第二证件信息为明文信息。用户证件的更多的信息或者明文信息可以存在于证件服务器或证件服务器可读取的数据库中。
步骤103,接收所述证件服务器根据所述第一证件信息获取的第二证件信息。
在本发明实施例中,证件服务器收到客户端发送的第一证件信息后,可以根据第一证件信息查找到对应的第二证件信息,或者对第一证件信息进行解密得到第二证件信息,或者其他任意适用的根据第一证件信息获取第二证件信息的实现方式,本申请实施例对此不做限制。例如,证件服务器可以对用户证件中的加密信息进行解密,解密后得到明文信息,然后证件服务器将明文信息返回客户端。
步骤104,将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果。
在本发明实施例中,服务端包括一个或多个服务器。服务端接收客户端发送的通讯账号、第一生物特征、第二证件信息之后,可以根据通讯账号,查找对应的第二生物特征和第三证件信息。其中,第二生物特征和第三证件信息为提前存储在服务端或服务端可调用的数据库中,并与用户的通讯账号建立对应关系,以便根据通讯账号可以获取到第二生物特征和第三证件信息。
服务端查找到第二生物特征和第三证件信息后,对第一生物特征和第二生物特征进行比对,以及对及第二证件信息和第三证件信息进行对比,得到比对结果。根据比对结果,就可以确定身份认证结果,若比对结果为一致,则身份认证结果为身份认证成功,即证实了是本人、本证、本人通讯账号,若比对结果为不一致,则身份认证结果为身份认证失败。
例如,智能手机上安装的与银行连接的支付类APP中,将手机号码、指纹或人脸、身份证的明文信息发送至服务端。服务端根据手机号码查找对应的存储在服务端的指纹或人脸以及身份证明文信息,然后对接收到的指纹或人脸和存储的指纹或人脸进行比对,对接收到的身份证明文信息和存储的身份证明文信息进行比对,得到比对结果,再根据比对结果就可以确定身份认证结果。
步骤105,接收所述服务端返回的所述身份认证结果。
在本发明实施例中,服务端得到身份认证结果后,将身份认证结果返回客户端,以供客户端继续完成下一步的任务。该身份认证结果可以用于用户的初次登录过程中,或者交易过程中,或者信息变更过程中,或者其他任意适用的应用场景,本发明实施例对此不做限制。
值得说明的是,初次登录时完成了对本人、本证、本人手机号的认证后,客户端可以存储身份认证结果,或者服务端可以再向客户端发送身份证书,客户端可以存储该身份证书,当用户再次在该客户端进行登录时,客户端先检查是否存储有身份认证结果或者身份证书,若客户端存储有身份认证结果或者身份证书,则可以简化再次登录的认证过程,不需要再对本人、本证、本人手机号进行再次认证,仅获取用户的第一生物特征,或者仅识别用户证件得到第一证件信息,然后将第一生物特征或第一证件信息发送至服务端,由服务端对第一生物特征或第一证件信息进行比对,若比对结果为一致,则登录成功。
在本发明实施例中,可选地,身份认证结果为身份认证成功后,允许客户端进行交易。在交易过程中,允许将交易信息发送至服务端,交易信息包括交易类型、涉及的账号、涉及的金额等相关信息,具体可以包括任意适用的交易信息,本发明实施例对此不做限制。在接收服务端返回的所述身份认证结果的步骤执行之后,还可以包括:客户端获取交易信息,交易信息包括交易金额、交易账号、交易类型中至少一种,然后将交易信息发送至服务端,以便服务端根据交易信息完成交易,并存储交易信息,以作为事中保全。
例如,在智能手机上安装的与银行连接的支付类APP中,登录成功后,用户提交了一项转账交易,提交的交易信息包括转账金额、跨行转账、以及收款账户等。服务端接收交易信息后,根据交易信息完成该转账交易,并存储交易信息。
在本发明实施例中,可选地,在将交易信息发送至服务端之前,还可以包括:先由客户端接收服务端发送的个人识别密码;客户端根据个人识别密码可以获取私钥的使用权限;然后采用私钥对交易信息进行签名,其中,交易信息携带第一生物特征。例如,在智能手机上安装的与银行连接的支付类APP中,将证书保护的PIN码返回至客户端,客户端通过PIN码取得私钥的使用权限,采用私钥对交易信息进行签名操作,其中交易信息携带第一生物特征,以达到事中保全的作用,信息中包含操作的信息,用于事后取证。
依据本发明实施例,通过从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;将所述第一证件信息发送至证件服务器;接收所述证件服务器根据所述第一证件信息获取的第二证件信息;将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;接收所述服务端返回的所述身份认证结果,使得认证过程用户不再需要手动输入信息,只需由客户端获取本机手机号、本人的生物特征以及用户证件的证件信息,就可以实现对本人、本证、本人手机号的认证的自动化,避免了用户繁琐的操作。
实施例二
参照图2,示出了本发明实施例二中的一种认证方法的步骤流程图,应用于服务端,具体可以包括:
步骤201,接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到。
在本发明实施例中,可选地,为了身份认证及其之后的业务安全,可以先对客户端与服务端之间进行双向验证,保证软件和服务器的合法性。在接收客户端发送的通讯账号、第一生物特征、第二证件信息之前,还可以包括:接收所述客户端发送的采用公钥加密的第一随机数;采用与所述公钥对应的私钥解密得到所述第一随机数;生成第二随机数,采用所述服务端的公钥加密所述第二随机数;将加密的第二随机数发送至所述客户端,以供所述客户端采用与所述公钥对应的私钥解密得到所述第二随机数,以使所述客户端和服务端双向验证合法性。
在本发明实施例中,可选地,所述方法还包括:接收所述客户端发送的所述终端设备的设备唯一标识;基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;采用所述会话密钥对加密的所述通讯账号、第一生物特征、第二证件信息进行解密。例如,在用于电子支付的APP中,服务端通过DeviceID、业务方名称、业务方编号等业务信息、appToken值,生成公私钥对,并下发给客户端。
在本发明实施例中,在客户端和服务端之间建立安全通道之前,还可以包括:服务端接收客户端发送的终端设备的设备唯一标识、业务信息和客户端令牌;然后根据设备唯一标识、业务信息和客户端令牌,生成公私钥对;发送公私钥对至客户端。
步骤202,根据所述通讯账号,查找对应的第二生物特征和第三证件信息。
在本发明实施例中,服务端或服务端可调用的数据库中,存储有通讯账号,及其对应的第二生物特征和第三证件信息。例如,智能手机上安装的与银行连接的支付类APP将手机号发送至服务端后,服务端根据手机号进行查找,查找到对应的存储在服务端的指纹和身份证的住址信息、籍贯信息、工作单位信息、通讯地址信息或者明文信息。
步骤203,通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果。
在本发明实施例中,服务端查找到第二生物特征和第三证件信息后,对第一生物特征和第二生物特征进行比对,以及对及第二证件信息和第三证件信息进行对比,得到比对结果。
在本发明实施例中,可选地,服务端包括前端服务器和认证服务器,在比对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息,得到比对结果之前,还可以包括:将所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息发送至所述认证服务器;所述根据所述比对结果进行身份认证,得到身份认证结果并发送给所述客户端包括:将所述身份认证结果发送至所述前端服务器,并由所述前端服务器发送给所述客户端。增加一个前端服务器,作为客户端、云服务器、原有的业务服务器之间的纽带,保证原有的业务服务器不需要做调整即可使用。
步骤204,根据所述比对结果,确定身份认证结果。
在本发明实施例中,根据比对结果确定身份认证结果。若比对结果为一致,则身份认证结果为身份认证成功,即证实了是本人、本证、本人通讯账号,若比对结果为不一致,则身份认证结果为身份认证失败。例如,智能手机上安装的与银行连接的支付类APP将手机号码、指纹、身份证的明文信息发送至服务端。服务端根据手机号码查找对应的存储在服务端的指纹或人脸以及身份证明文信息,然后对接收到的指纹或人脸和存储的指纹或人脸进行比对,对接收到的身份证明文信息和存储的身份证明文信息进行比对,得到比对结果,再根据比对结果就可以确定身份认证结果。
步骤205,将所述身份认证结果发送给所述客户端。
在本发明实施例中,可选地,身份认证结果为身份认证成功后,允许客户端进行交易。在交易过程中,允许将交易信息发送至服务端。在所述将所述身份认证结果发送给所述客户端步骤执行之后,还可以包括:服务端接收客户端发送的交易信息;然后根据交易信息完成交易;存储交易信息,所述交易信息携带第一生物特征,以达到事中保全的作用,信息中包含操作的信息,用于事后取证。
依据本发明实施例,通过接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;根据所述通讯账号,查找对应的第二生物特征和第三证件信息;通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;根据所述比对结果,确定身份认证结果,将所述身份认证结果发送给所述客户端,使得认证过程用户不再需要手动输入信息,只需由客户端获取本机手机号、本人的生物特征以及用户证件的证件信息,就可以实现对本人、本证、本人手机号的认证的自动化,避免了用户繁琐的操作。
为使本领域技术人员更好地理解本申请,图3示出了身份认证过程中客户端与服务端之间交互的示意图,包括客户端300、服务端400以及证件服务器500。其中,客户端包括信息获取模块301,证件信息发送模块302,证件信息接收模块303,信息发送模块304,结果接收模块305;服务端包括信息接收模块401,信息查找模块402,结果得到模块403,认证结果确定模块404,结果发送模块405。
参照图4,示出了根据本申请实施例三的一种身份认证装置实施例的框图,应用于客户端,具体可以包括:
信息获取模块301,用于从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;
证件信息发送模块302,用于将所述第一证件信息发送至证件服务器;
证件信息接收模块303,用于接收所述证件服务器根据所述第一证件信息获取的第二证件信息;
信息发送模块304,用于将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;
结果接收模块305,用于接收所述服务端返回的所述身份认证结果。
在本发明实施例中,可选地,所述装置还包括:
第一加密模块,用于在所述从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息之前,生成第一随机数,采用预装的公钥加密所述第一随机数;
第一发送模块,用于将加密的第一随机数发送至所述服务端;
第一接收模块,用于接收所述服务端发送的加密的第二随机数,其中,所述第二随机数采用所述服务端的公钥加密;
第一解密模块,用于采用与所述公钥对应的私钥解密得到所述第二随机数。
在本发明实施例中,可选地,所述装置还包括:
标识获取模块,用于获取所述终端设备的设备唯一标识;
密钥生成模块,用于基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
第二加密模块,用于采用所述会话密钥对所述通讯账号、第一生物特征、第二证件信息进行加密。
在本发明实施例中,可选地,所述装置还包括:
第二发送模块,用于在所述接收所述服务端返回的所述身份认证结果之后,获取交易信息,所述交易信息包括交易金额、交易账号、交易类型中至少一种;
交易信息发送模块,用于将交易信息发送至所述服务端。
在本发明实施例中,可选地,所述装置还包括:
第二接收模块,用于在所述将所述交易信息发送至所述服务端之前,接收所述服务端发送的个人识别密码;
权限获取模块,用于根据所述个人识别密码,获取私钥的使用权限;
签名模块,用于采用所述私钥对所述交易信息进行签名,其中,所述交易信息携带第一生物特征。
依据本发明实施例,通过从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;将所述第一证件信息发送至证件服务器;接收所述证件服务器根据所述第一证件信息获取的第二证件信息;将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;接收所述服务端返回的所述身份认证结果,使得认证过程用户不再需要手动输入信息,只需由客户端获取本机手机号、本人的生物特征以及用户证件的证件信息,就可以实现对本人、本证、本人手机号的认证的自动化,避免了用户繁琐的操作。
参照图5,示出了根据本申请实施例四的一种身份认证装置实施例的框图,应用于服务端,具体可以包括:
信息接收模块401,用于接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;
信息查找模块402,用于根据所述通讯账号,查找对应的第二生物特征和第三证件信息;
结果得到模块403,用于通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;
认证结果确定模块404,用于根据所述比对结果,确定身份认证结果;
结果发送模块405,用于将所述身份认证结果发送给所述客户端。
在本发明实施例中,可选地,所述装置还包括:
第三接收模块,用于在所述接收客户端发送的通讯账号、第一生物特征、第二证件信息之前,接收所述客户端发送的采用公钥加密的第一随机数;
第二解密模块,用于采用与所述公钥对应的私钥解密得到所述第一随机数;
随机数生成模块,用于生成第二随机数;
第三加密模块,用于采用所述服务端的公钥加密所述第二随机数;
第三发送模块,用于将加密的第二随机数发送至所述客户端。
在本发明实施例中,可选地,所述装置还包括:
标识接收模块,用于接收所述客户端发送的所述终端设备的设备唯一标识;
密钥生成模块,用于基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
解密模块,用于采用所述会话密钥对加密的所述通讯账号、第一生物特征、第二证件信息进行解密。
在本发明实施例中,可选地,所述装置还包括:
第四接收模块,用于在所述将所述身份认证结果发送给所述客户端之后,接收所述客户端发送的所述终端设备的设备唯一标识、业务信息和客户端令牌;
公私钥对生成模块,用于根据所述设备唯一标识、业务信息和客户端令牌,生成公私钥对;
公私钥对发送模块,用于发送所述公私钥对至所述客户端。
在本发明实施例中,可选地,所述装置还包括:
交易信息接收模块,用于在所述将所述身份认证结果发送给所述客户端之后,接收所述客户端发送的交易信息;
交易模块,用于根据所述交易信息完成交易;
存储模块,用于存储所述交易信息,所述交易信息携带所述第一生物特征。
依据本发明实施例,通过接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;根据所述通讯账号,查找对应的第二生物特征和第三证件信息;通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;根据所述比对结果,确定身份认证结果,将所述身份认证结果发送给所述客户端,使得认证过程用户不再需要手动输入信息,只需由客户端获取本机手机号、本人的生物特征以及用户证件的证件信息,就可以实现对本人、本证、本人手机号的认证的自动化,避免了用户繁琐的操作。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
所述用户信息修改装置包括处理器和存储器,上述模块以及子模块等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;将所述第一证件信息发送至证件服务器;接收所述证件服务器根据所述第一证件信息获取的第二证件信息;将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;接收所述服务端返回的所述身份认证结果,使得认证过程用户不再需要手动输入信息,例如,输入账号、手机号、身份证号、密码等,实现了对本人、本证、本人手机号的认证的自动化,避免了用户繁琐的操作。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述网络代理的身份认证方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述网络代理的身份认证方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;
将所述第一证件信息发送至证件服务器;
接收所述证件服务器根据所述第一证件信息获取的第二证件信息;
将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;
接收所述服务端返回的所述身份认证结果。
可选地,在所述从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息步骤执行之前,所述方法还包括:
生成第一随机数,采用预装的公钥加密所述第一随机数;
将加密的第一随机数发送至所述服务端;
接收所述服务端发送的加密的第二随机数,其中,所述第二随机数采用所述服务端的公钥加密;
采用与所述公钥对应的私钥解密得到所述第二随机数。
可选地,所述方法还包括:
获取所述终端设备的设备唯一标识;
基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
采用所述会话密钥对所述通讯账号、第一生物特征、第二证件信息进行加密。
可选地,在所述接收所述服务端返回的所述身份认证结果步骤执行之后,所述方法还包括:
获取交易信息,所述交易信息包括交易金额、交易账号、交易类型中至少一种;
将所述交易信息发送至所述服务端。
可选地,在所述将所述交易信息发送至所述服务端步骤执行之前,所述方法还包括:
接收所述服务端发送的个人识别密码;
根据所述个人识别密码,获取私钥的使用权限;
采用所述私钥对所述交易信息进行签名,其中,所述交易信息携带第一生物特征。
本发明实施例还提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;
根据所述通讯账号,查找对应的第二生物特征和第三证件信息;
通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;
根据所述比对结果,确定身份认证结果;
将所述身份认证结果发送给所述客户端。
可选地,在所述接收客户端发送的通讯账号、第一生物特征、第二证件信息步骤执行之前,所述方法还包括:
接收所述客户端发送的采用公钥加密的第一随机数;
采用与所述公钥对应的私钥解密得到所述第一随机数;
生成第二随机数;
采用所述服务端的公钥加密所述第二随机数;
将加密的第二随机数发送至所述客户端。
可选地,所述方法还包括:
接收所述客户端发送的所述终端设备的设备唯一标识;
基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
采用所述会话密钥对加密的所述通讯账号、第一生物特征、第二证件信息进行解密。
可选地,在所述将所述身份认证结果发送给所述客户端步骤执行之后,所述方法还包括:
接收所述客户端发送的所述终端设备的设备唯一标识、业务信息和客户端令牌;
根据所述设备唯一标识、业务信息和客户端令牌,生成公私钥对;
发送所述公私钥对至所述客户端。
可选地,在所述将所述身份认证结果发送给所述客户端步骤执行之后,所述方法还包括:
接收所述客户端发送的交易信息;
根据所述交易信息完成交易;
存储所述交易信息,所述交易信息携带所述第一生物特征。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种身份认证方法,其特征在于,应用于客户端,包括:
从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;
将所述第一证件信息发送至证件服务器;
接收所述证件服务器根据所述第一证件信息获取的第二证件信息;
将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;
接收所述服务端返回的所述身份认证结果。
2.根据权利要求1所述的方法,其特征在于,在所述从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息步骤执行之前,所述方法还包括:
生成第一随机数,采用预装的公钥加密所述第一随机数;
将加密的第一随机数发送至所述服务端;
接收所述服务端发送的加密的第二随机数,其中,所述第二随机数采用所述服务端的公钥加密;
采用与所述公钥对应的私钥解密得到所述第二随机数。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取所述终端设备的设备唯一标识;
基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
采用所述会话密钥对所述通讯账号、第一生物特征、第二证件信息进行加密。
4.根据权利要求1所述的方法,其特征在于,在所述接收所述服务端返回的所述身份认证结果步骤执行之后,所述方法还包括:
获取交易信息,所述交易信息包括交易金额、交易账号、交易类型中至少一种;
将所述交易信息发送至所述服务端。
5.根据权利要求4所述的方法,其特征在于,在所述将所述交易信息发送至所述服务端步骤执行之前,所述方法还包括:
接收所述服务端发送的个人识别密码;
根据所述个人识别密码,获取私钥的使用权限;
采用所述私钥对所述交易信息进行签名,其中,所述交易信息携带第一生物特征。
6.一种身份认证方法,其特征在于,应用于服务端,包括:
接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;
根据所述通讯账号,查找对应的第二生物特征和第三证件信息;
通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;
根据所述比对结果,确定身份认证结果;
将所述身份认证结果发送给所述客户端。
7.根据权利要求6所述的方法,其特征在于,在所述接收客户端发送的通讯账号、第一生物特征、第二证件信息步骤执行之前,所述方法还包括:
接收所述客户端发送的采用公钥加密的第一随机数;
采用与所述公钥对应的私钥解密得到所述第一随机数;
生成第二随机数;
采用所述服务端的公钥加密所述第二随机数;
将加密的第二随机数发送至所述客户端。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
接收所述客户端发送的终端设备的设备唯一标识;
基于所述设备唯一标识、第一随机数和第二随机数,生成会话密钥;
采用所述会话密钥对加密的所述通讯账号、第一生物特征、第二证件信息进行解密。
9.根据权利要求6所述的方法,其特征在于,在所述将所述身份认证结果发送给所述客户端步骤执行之后,所述方法还包括:
接收所述客户端发送的终端设备的设备唯一标识、业务信息和客户端令牌;
根据所述设备唯一标识、业务信息和客户端令牌,生成公私钥对;
发送所述公私钥对至所述客户端。
10.根据权利要求6所述的方法,其特征在于,在所述将所述身份认证结果发送给所述客户端步骤执行之后,所述方法还包括:
接收所述客户端发送的交易信息;
根据所述交易信息完成交易;
存储所述交易信息,所述交易信息携带所述第一生物特征。
11.一种身份认证装置,其特征在于,应用于客户端,包括:
信息获取模块,用于从终端设备提取通讯账号,获取用户的第一生物特征,识别用户证件得到第一证件信息;
证件信息发送模块,用于将所述第一证件信息发送至证件服务器;
证件信息接收模块,用于接收所述证件服务器根据所述第一证件信息获取的第二证件信息;
信息发送模块,用于将所述通讯账号、第一生物特征、第二证件信息发送至服务端,以供所述服务端查找所述通讯账号对应的第二生物特征和第三证件信息,并通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果,根据所述比对结果,确定身份认证结果;
结果接收模块,用于接收所述服务端返回的所述身份认证结果。
12.一种身份认证装置,其特征在于,应用于服务端,包括:
信息接收模块,用于接收客户端发送的通讯账号、第一生物特征、第二证件信息,其中,所述第二证件信息通过所述客户端识别用户证件得到第一证件信息,将所述第一证件信息发送至证件服务器,从所述证件服务器接收得到;
信息查找模块,用于根据所述通讯账号,查找对应的第二生物特征和第三证件信息;
结果得到模块,用于通过对所述第一生物特征和第二生物特征、以及第二证件信息和第三证件信息比对,得到比对结果;
认证结果确定模块,用于根据所述比对结果,确定身份认证结果;
结果发送模块,用于将所述身份认证结果发送给所述客户端。
13.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在的设备执行如权利要求1至10任一项所述的方法。
14.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行如权利要求1至10任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910554747.4A CN110290134B (zh) | 2019-06-25 | 2019-06-25 | 一种身份认证方法、装置、存储介质及处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910554747.4A CN110290134B (zh) | 2019-06-25 | 2019-06-25 | 一种身份认证方法、装置、存储介质及处理器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110290134A CN110290134A (zh) | 2019-09-27 |
| CN110290134B true CN110290134B (zh) | 2022-05-03 |
Family
ID=68005546
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910554747.4A Active CN110290134B (zh) | 2019-06-25 | 2019-06-25 | 一种身份认证方法、装置、存储介质及处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110290134B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641718B (zh) * | 2020-06-01 | 2023-06-20 | 北京弘远博学科技有限公司 | 一种手机端app身份认证的方法 |
| CN113922960B (zh) * | 2020-07-08 | 2023-10-24 | 神州融安数字科技(北京)有限公司 | 一种基于sm2的psi获取方法、装置及系统 |
| CN111917759B (zh) * | 2020-07-27 | 2021-02-19 | 八维通科技有限公司 | 一种加油站用的数据安全交互方法 |
| CN112055019B (zh) * | 2020-09-03 | 2022-09-27 | 深圳市百富智能新技术有限公司 | 一种建立通信信道的方法及用户终端 |
| CN112287319A (zh) * | 2020-11-02 | 2021-01-29 | 刘高峰 | 一种基于生物特征的身份验证方法、客户端、服务端及系统 |
| CN114765534B (zh) * | 2020-12-31 | 2023-09-19 | 天翼数字生活科技有限公司 | 基于国密标识密码算法的私钥分发系统和方法 |
| CN113255862A (zh) * | 2021-05-20 | 2021-08-13 | 中国联合网络通信集团有限公司 | 电子证件生成方法、装置、设备及存储介质 |
| CN115065559B (zh) * | 2022-08-15 | 2022-12-27 | 浙江毫微米科技有限公司 | 一种身份认证系统、方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106296197A (zh) * | 2015-06-25 | 2017-01-04 | 深圳市中兴微电子技术有限公司 | 一种支付的方法、设备和系统 |
| CN106850209A (zh) * | 2017-02-28 | 2017-06-13 | 苏州福瑞思信息科技有限公司 | 一种身份认证方法及装置 |
| CN107079034A (zh) * | 2016-11-15 | 2017-08-18 | 深圳达闼科技控股有限公司 | 一种身份认证的方法、终端设备、认证服务器及电子设备 |
| CN107231331A (zh) * | 2016-03-23 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 获取、下发电子证件的实现方法和装置 |
| CN109067766A (zh) * | 2018-08-30 | 2018-12-21 | 郑州云海信息技术有限公司 | 一种身份认证方法、服务器端和客户端 |
| CN109150535A (zh) * | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
-
2019
- 2019-06-25 CN CN201910554747.4A patent/CN110290134B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106296197A (zh) * | 2015-06-25 | 2017-01-04 | 深圳市中兴微电子技术有限公司 | 一种支付的方法、设备和系统 |
| CN107231331A (zh) * | 2016-03-23 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 获取、下发电子证件的实现方法和装置 |
| CN107079034A (zh) * | 2016-11-15 | 2017-08-18 | 深圳达闼科技控股有限公司 | 一种身份认证的方法、终端设备、认证服务器及电子设备 |
| CN106850209A (zh) * | 2017-02-28 | 2017-06-13 | 苏州福瑞思信息科技有限公司 | 一种身份认证方法及装置 |
| CN109150535A (zh) * | 2017-06-19 | 2019-01-04 | 中国移动通信集团公司 | 一种身份认证方法、设备、计算机可读存储介质及装置 |
| CN109067766A (zh) * | 2018-08-30 | 2018-12-21 | 郑州云海信息技术有限公司 | 一种身份认证方法、服务器端和客户端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110290134A (zh) | 2019-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110290134B (zh) | 一种身份认证方法、装置、存储介质及处理器 | |
| US10595201B2 (en) | Secure short message service (SMS) communications | |
| US11824991B2 (en) | Securing transactions with a blockchain network | |
| US9338163B2 (en) | Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method | |
| US7020773B1 (en) | Strong mutual authentication of devices | |
| CN107231331B (zh) | 获取、下发电子证件的实现方法和装置 | |
| CN108833114A (zh) | 一种基于区块链的去中心化身份认证系统及方法 | |
| JP5104188B2 (ja) | サービス提供システム及び通信端末装置 | |
| CN109039652B (zh) | 一种数字通证的生成及应用方法 | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| CN109146468B (zh) | 一种数字通证的备份与恢复方法 | |
| US20160226837A1 (en) | Server for authenticating smart chip and method thereof | |
| CN111541713A (zh) | 基于区块链和用户签名的身份认证方法及装置 | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN108768941B (zh) | 一种远程解锁安全设备的方法及装置 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| EP3443501B1 (en) | Account access | |
| CN113779534A (zh) | 一种基于数字身份的个人信息提供方法和业务平台 | |
| CN104320261A (zh) | 金融智能卡上实现身份认证的方法、金融智能卡和终端 | |
| CN116132986A (zh) | 一种数据传输方法、电子设备及存储介质 | |
| US11671475B2 (en) | Verification of data recipient | |
| CN111914308A (zh) | 一种利用智能卡内ca证书进行移动数据签名的方法 | |
| RU2776258C2 (ru) | Биометрическое сравнение для защиты приватности с помощью сервера | |
| US20240169350A1 (en) | Securing transactions with a blockchain network | |
| TW202145036A (zh) | 基於生物特徵的身分驗證方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Yue Yunlong Inventor after: Li Dengfeng Inventor before: Li Dengfeng |