CN111669408A - 一种身份注册及认证的方法及装置 - Google Patents

一种身份注册及认证的方法及装置 Download PDF

Info

Publication number
CN111669408A
CN111669408A CN202010635104.5A CN202010635104A CN111669408A CN 111669408 A CN111669408 A CN 111669408A CN 202010635104 A CN202010635104 A CN 202010635104A CN 111669408 A CN111669408 A CN 111669408A
Authority
CN
China
Prior art keywords
registered
iris
iris information
identity
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010635104.5A
Other languages
English (en)
Inventor
孙元博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Advantageous New Technologies Co Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN202010635104.5A priority Critical patent/CN111669408A/zh
Publication of CN111669408A publication Critical patent/CN111669408A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本申请公开了一种身份注册及认证的方法及装置,在终端上安装的客户端可向安装在该终端可信环境中的认证中心模块发送身份注册请求,使得该认证中心模块采集并确定待注册的虹膜信息,并对所述待注册的虹膜信息进行签名,并返回该客户端,以使得该客户端可将经过签名的该待注册的虹膜信息发送至该服务器进行身份注册,保证了该服务器中注册的虹膜信息的安全性,同时使得在进行身份认证时,该客户端还可通过该认证中心模块向该服务器发送经过签名的待验证的虹膜信息,使得该客户端可安全的通过该服务器中已注册的虹膜信息,进行身份认证。可见,通过本申请提供了一种基于虹膜识别,且可广泛应用的身份认证方法。

Description

一种身份注册及认证的方法及装置
技术领域
本申请涉及信息技术领域,尤其涉及一种身份注册及认证的方法及装置。
背景技术
随着信息技术的发展,如何保证业务执行过程中的安全,一直是人们重点关注的问题,在现有技术中,为保证业务执行的安全性,通常采用的做法是,在业务执行之前,对发起业务的账户和/或设备,进行身份认证,当身份认证成功时,确定该业务是安全的,可以正常执行,否则拒绝执行或者进一步进行身份验证。
其中,虹膜识别技术作为新兴的一种身份认证技术,由于存在无需物理接触、难以仿冒、使用方便、安全性高等优势,更受用户以及服务商的欢迎。
通常虹膜识别需要基于特殊硬件的支持(例如,特殊结构的镜头、特殊的图像传感器等),并且在虹膜识别时采用的算法复杂,导致需对设备的计算能力要求较高(相对当时设备的平均计算能力来说),使得虹膜识别技术难以推广。
而随着在现有技术的发展,虹膜识别技术不再需要特殊硬件的支持,而算法的不断优化以及设备平均计算能力的提升,使得应用虹膜识别技术的门槛大幅降低。
但是,在现有技术尚未提供一种基于虹膜的识别技术且可以广泛应用的身份认证方法。
发明内容
本申请实施例提供一种身份注册及认证的方法,用于解决现有技术中尚未提供可广泛应用的基于虹膜识别的身份认证方法的问题。
本申请实施例提供一种身份认证及认证的装置,用于解决现有技术中尚未提供可广泛应用的基于虹膜识别的身份认证方法的问题。
本申请实施例采用下述技术方案:
一种身份注册的方法,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述认证中心模块接收所述客户端通过所述可信环境的接口发送的身份注册请求;
根据所述身份注册请求,采集虹膜图片;
根据所述虹膜图片,确定待注册的虹膜信息;
对所述待注册的虹膜信息进行签名,并将经过签名的所述待注册的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
一种身份注册的方法,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述客户端通过所述可信环境的接口向所述认证中心模块发送身份注册请求;
接收所述认证中心模块返回的经过签名的待注册的虹膜信息;
将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
一种身份注册的方法,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
服务器接收所述客户端发送的待注册的虹膜信息,其中,所述待注册的虹膜信息经过所述认证中心模块的签名;
对所述签名进行验签;
若验签成功,则将所述待注册的虹膜信息存储在所述服务器本地;
若验签失败,则不存储所述待注册的虹膜信息。
一种身分认证的方法,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述认证中心模块接收所述客户端通过所述可信环境的接口发送的身份认证请求;
根据所述身份认证请求,采集待验证的虹膜图片;
根据所述待验证的虹膜图片,确定待验证的虹膜信息;
对所述待验证的虹膜信息进行签名,并将经过签名的所述待验证的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待验证的虹膜信息发送至所述服务器进行身份认证。
一种身分认证的方法,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述客户端通过所述可信环境的接口向所述认证中心模块发送身份认证请求;
接收所述认证中心模块返回的经过签名的待验证的虹膜信息;
将经过签名的所述待验证的虹膜信息发送至所述服务器,并接收所述服务器根据所述经过签名的待验证的虹膜信息返回的识别结果,根据所述识别结果进行身份认证。
一种身分认证的方法,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
服务器接收所述客户端发送的待验证的虹膜信息,其中,所述待验证的虹膜信息经过所述认证中心模块的签名;
对所述签名进行验签;
若验签成功,则将已注册的各虹膜信息与所述待验证的虹膜信息分别进行匹配,以确定识别结果,并将识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证;
若验签失败,则向所述客户端返回验签失败的信息。
一种身份注册的装置,所述装置与客户端安装在终端上,所述装置位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端通过所述可信环境的接口发送的身份注册请求;
采集模块,根据所述身份注册请求,采集虹膜图片;
确定模块,根据所述虹膜图片,确定待注册的虹膜信息;
签名注册模块,对所述待注册的虹膜信息进行签名,并将经过签名的所述待注册的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
一种身份注册的装置,认证中心模块与所述装置安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
发送模块,通过所述可信环境的接口向所述认证中心模块发送身份注册请求;
接收模块,接收所述认证中心模块返回的经过签名的待注册的虹膜信息;
注册模块,将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
一种身份注册的装置,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端发送的待注册的虹膜信息,其中,所述待注册的虹膜信息经过所述认证中心模块的签名;
验签注册模块,对所述签名进行验签,若验签成功,则将所述待注册的虹膜信息存储在所述身份注册的装置本地,并向所述客户端返回注册成功的注册结果,若验签失败,则不存储所述待注册的虹膜信息。
一种身份认证的装置,所述装置与客户端安装在终端上,所述装置位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端通过所述可信环境的接口发送的身份认证请求;
采集模块,根据所述身份认证请求,采集待验证的虹膜图片;
确定模块,根据所述待验证的虹膜图片,确定待验证的虹膜信息;
签名认证模块,对所述待验证的虹膜信息进行签名,并将经过签名的所述待验证的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待验证的虹膜信息发送至所述服务器进行身份认证。
一种身份认证的装置,认证中心模块与所述装置安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
发送模块,通过所述可信环境的接口向所述认证中心模块发送身份认证请求;
接收模块,接收所述认证中心模块返回的经过签名的待验证的虹膜信息;
认证模块,将经过签名的所述待验证的虹膜信息发送至所述服务器,并接收所述服务器根据所述经过签名的待验证的虹膜信息返回的识别结果,根据所述识别结果进行身份认证。
一种身份认证的装置,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端发送的待验证的虹膜信息,其中,所述待验证的虹膜信息经过所述认证中心模块的签名;
验签认证模块,对所述签名进行验签,若验签成功,则将已注册的各虹膜信息与所述待验证的虹膜信息分别进行匹配,以确定识别结果,并将识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证,若验签失败,则向所述客户端返回验签失败的信息。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
在终端上安装的客户端在需要进行身份注册时,可以通过向同样安装在该终端可信环境中的认证中心模块发送身份注册请求,使得该认证中心模块采集待验证的虹膜图片,并根据该虹膜图片,确定待注册的虹膜信息,进而对所述待注册的虹膜信息进行签名,并将经过签名的该待注册的虹膜信息返回该客户端,以使得该客户端可将经过签名的该待注册的虹膜信息发送至该服务器进行身份注册,保证了该服务器中注册的虹膜信息的安全性,同时使得在进行身份认证时,该客户端还可通过该认证中心模块向该服务器发送经过签名的待验证的虹膜信息,使得该客户端可安全的通过该服务器中已注册的虹膜信息,进行身份认证。可见,通过本申请提供的技术方案,在基于虹膜识别的身份认证时,该客户端可选择在该终端进行识别,还是在该服务器进行识别,使得通过本申请提供的方法,基于虹膜识别的身份认证的适用范围更加广阔。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种身份注册的过程;
图2为本申请实施例提供的另一种身份注册的过程;
图3为本申请实施例提供的另一种身份注册的过程;
图4为本申请实施例提供的一种身份认证的过程;
图5为本申请实施例提供的另一种身份认证的过程;
图6为本申请实施例提供的另一种身份认证的过程;
图7为本申请实施例提供的一种身份注册的装置的结构示意图;
图8为本申请实施例提供的另一种身份注册的装置的结构示意图;
图9为本申请实施例提供的另一种身份注册的装置的结构示意图;
图10为本申请实施例提供的一种身份认证的装置的结构示意图;
图11为本申请实施例提供的另一种身份认证的装置的结构示意图;
图12为本申请实施例提供的另一种身份认证的装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有技术中,基于虹膜识别的身份认证过程,通常可以是终端在执行某些需要进行身份认证的业务时,采用虹膜识别的方法对执行该业务(或,发起该业务)的用户的身份进行认证。其中,该终端可以是门禁系统的输入端、销售终端(Point Of SalesTerminal,POS机)、手机、平板电脑等设备,而在通过服务器进行远程的虹膜识别时,该终端还可以与该服务器通过网络传输数据,其中,该终端与该服务器连接的网络,可以是无线网络也可以是有线网络或者他们的结合,例如,无线保真(WIreless-Fidelity,WiFi)、蓝牙、光纤等等。
同理,在本申请实施例提供的身份注册的过程中,认证中心模块与客户端安装在终端上,其中,该终端与前述一致,可以是门禁系统的输入端、POS机、手机、平板电脑等设备。并且在该身份注册的过程中还包括:服务器,该服务器可以是专门用于进行虹膜注册的服务器,也可以是兼具虹膜注册的服务器(例如,某商业平台的服务器,主业为提供商务服务,并且可以兼具虹膜识别功能以及虹膜注册功能)等等,本申请对该终端以及该服务器不做具体限定。当然,由于该终端需要采集待验证的虹膜图片,所以该终端可至少包括一个用于采集虹膜图片的传感器,该传感器可以是摄像头、红外摄像头等元器件。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请实施例提供的一种身份认证的过程,具体包括以下步骤:
S101:所述认证中心模块接收所述客户端通过所述可信环境的接口发送的身份注册请求。
在本申请实施例中,身份注册的过程所涉及的设备可包括:终端以及服务器,也就是说可由该终端向该服务器发起身份注册请求,并由该服务器将待注册的身份信息存储在服务器中完成注册,具体的该终端中可包括:客户端以及认证中心模块,其中,该客户端可以是安装在该终端中的应用,并且该客户端可以发起身份注册请求,该认证中心模块可以是同样安装在该终端中用于虹膜识别的应用,并且该认证中心模块可位于该终端中的可信环境中,其中,该可信环境的构建方法可以与现有技术相同,本申请对此并不做具体限定,也就是说,该可信环境既可以是通过软件在该终端系统中隔离出来的可运行应用的环境,也可以是通过硬件在该终端中隔离出来的可运行应用的环境。
在本申请实施例中,由于该认证中心模块可以位于该终端的可信环境中,所以该认证中心模块可仅通过该可信环境的接口,接收第三方应用发送的业务请求。于是在本申请实施例中,该认证中心模块可通过该可信环境的接口,接收该客户端发送身份注册请求。
另外,由于现有技术在进行身份注册时,该身份注册请求通常需要携带待注册的身份信息,所以同理在本申请实施例中,该认证中心模块接收到的该身份注册请求也可以是携带有待注册的身份信息的身份注册请求。其中,该身份信息可包括多种信息,例如,账号标识、姓名等等,该身份信息具体包括何种信息可在该客户端在发起身份注册业务时,由该客户端根据预设的业务规则确定,本申请对此并不做限定。
需要说明的是,该终端可以是手机、平板电脑、个人电脑、门禁终端等设备,由于该认证中心模块可安装在该终端上,而该认证中心模块需要进行基于虹膜识别的业务,所以该终端可具有用于采集虹膜图片的传感器,并且由于该认证中心模块可安装于该中终端的可信环境中,所以该终端中还可具有通过软件和/或硬件建立的可信环境,也就说该终端可以是具有采集虹膜图片的传感器的、且具有可信环境中的设备。另外,由于该可信环境可以是通过硬件建立的,所以该认证中心模块也可以是通过硬件建立的装置,只要该认证中心模块位于该终端的可信环境中并用于执行虹膜识别业务即可,本申请对该认证中心模块的具体形式不做限定。而该服务器可以是单独的一台设备,或者由多台设备组成的系统,即,分布式系统。
S102:根据所述身份注册请求,采集虹膜图片。
S103:根据所述虹膜图片,确定待注册的虹膜信息。
在本申请实施例中,该认证中心模块在接收到该客户端发送的该身份注册请求后,便可调用该终端的传感器采集虹膜图片,并根据预设的算法,从该虹膜图片中提取待注册的虹膜信息。
具体的,该认证中心模块可以根据该身份注册请求,通过该可信环境的接口调用该终端的传感器,并获取该传感器采集的虹膜图片,之后根据预设的算法,提取该虹膜图片的虹膜特征模板,即,确定待注册的虹膜特征模板。并且,由于该身份注册请求中可携带有该待注册的身份信息,所以该认证中心模块在确定该待注册的虹膜特征模板之后,可建立该待注册的虹膜特征模板与该待注册的身份信息之间的关联关系,并将建立关联关系的该待注册的虹膜特征模板以及该待注册的身份信息作为该待注册的虹膜信息。
另外,在本申请实施例的另一种实施例中,该认证中心模块也可不提取该虹膜图片的虹膜特征模板,而将采集得到的该虹膜图片与该待注册的身份信息建立关联关系,并将建立关联关系的该虹膜图片以及该待注册的身份信息作为该待注册的虹膜信息。
进一步地,在本申请实施例中,由于该认证中心模块位于该终端的可信环境中,而存储于该可信环境中的数据通常可以保证是安全的,不易遭到篡改的,所以在本申请中,该认证中心模块还可以在建立该待注册的虹膜特征模板与该注册的身份信息的关联关系之后,将该待注册的虹膜特征模板、该注册的身份信息以及该关联关系存储在该终端本地的可信环境中,完成在该终端本地对该身份信息的注册,并当在进行需要在该终端本地机型时,可以通过注册在该可信环境中的该身份信息进行身份认证。
S104:对所述待注册的虹膜信息进行签名,并将经过签名的所述待注册的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
在本申请实施例中,当该认证中心模块确定该待注册的虹膜信息之后,该认证中心模块可以根据预先与该服务器约定的安全规则,对该待注册的虹膜信息进行签名,并将经过签名的该待注册的虹膜信息发送至该客户端,以使得该客户端将经过签名的该待注册的虹膜信息发送至所述服务器进行身份注册。其中,该签名以使该服务器在接收到经过签名的该待注册的虹膜信息时,于该认证中心模块预先预定的安全规则,对该签名进行验签,以使得该服务器可以确定该待注册的虹膜信息是否完整、是否未经过篡改,从而使得该服务器可以确定后续的是否基于该待注册的虹膜信息进行身份注册。
在本申请实施例中,由于该认证中心模块位于该终端的可信环境中,所以可以认为该认证中心模块确定该的待注册的虹膜信息是安全的、未经过篡改的。但是,在该客户端再将该待注册的虹膜信息发送至该服务器的过程中,由于该待注册的虹膜信息脱离该可信环境,所以该待注册的虹膜信息存在被攻击的可能性,所以为了保证该服务器可以判断,该待注册的虹膜信息在由该客户端发送至该服务器的过程中是否遭到篡改,该认证中心模块可以与该服务器预先进行约定,确定双方都认可的安全规则。
具体的,该认证中心模块与该服务器预先约定的该安全规则,可以是该认证中心模块用于签名的一组密钥,由该认证中心模块通过该用于签名的密钥的私钥对该待注册的虹膜信息进行签名,从而使得该服务器可以通过该用于签名的密钥的公钥对该经过签名的待注册的虹膜信息进行验签,以确定该待注册的虹膜信息是否安全,并进行后续操作。
于是,在本申请实施例中,该认证中心模块可先根据与该服务器预先约定的安全规则,确定用于签名的私钥,并通过该私钥对该待注册的虹膜信息进行签名后,再将该经过签名的待注册的虹膜信息发送至该客户端,以使得该客户端将该经过签名的待注册的虹膜信息发送至该服务器进行身份注册。
具体的,由于如步骤S103中所述的该待注册的虹膜信息中包含有该待注册的身份信息以及该待注册的虹膜特征模板,或者该待注册的身份信息以及该虹膜图片,所以该服务器在对该签名验签成功之后,可以根据该待注册的虹膜信息,确定需要进行注册的信息,并存储在本地。当然,若该服务器对该签名验签失败,则该服务器无需根据该待注册的虹膜信息进行身份注册。
基于图1所示的身份注册的过程,可见在该客户端进行身份注册时,可向安装于同一终端的可信环境中的该认证中心模块发送身份注册请求,以使得该认证中心模块采集该虹膜图片,并确定该待注册的虹膜信息。并且,由于该认证中心模块位于该可信环境中,所以可以保证该待注册的虹膜信息此时是可信的、安全的。之后该认证中心模块除了将该待注册的虹膜信息保存在该可信环境中,完成在该终端本地的身份注册任务以外,还可以对该待注册的虹膜信息进行签名,并将该经过签名的待注册的虹膜信息返回该客户端,使得该客户端可以将经过签名的待注册的虹膜信息发送至该服务器进行身份注册。由于该待注册的虹膜信息在从该可信环境发送至该客户端之前,已经经过该认证中心模块的签名,所以该服务器可以通过对该签名进行验签,确定该待注册的虹膜信息在传输至该服务器的过程中是否遭到篡改,也就是可以确定该待注册的虹膜信息是否可信,使得该客户端在该服务器中进行身份注册时,可以保证身份注册的安全性。可见,通过本申请提供的该身份注册方法,即使进行远程注册(即,将该待注册的身份信息发送至该服务器进行身份注册),由于该认证中心模块是在该可信环境中确定的该待注册的虹膜信息,并且对该待注册的虹膜信息进行了签名,所以该待注册的虹膜信息的安全性可以得到更好的保障,一旦遭到不法分子的篡改,该服务器就可以通过对该签名的验签发现,在保证基于虹膜识别技术的身份注册的适用范围的同时,确保了该身份注册过程的安全性,提供了一种可广泛应用的基于虹膜识别技术的身份注册方法。
另外,由于现有技术中进行身份注册和/或进行身份认证的方法除了基于虹膜识别技术以外,还存在多种,例如,密码、指纹识别技术、人脸识别技术、声纹识别技术、体态识别技术等等,所以为了使该认证中心模块可以兼顾基于其他技术的身份注册和/或身份认证的方法,以及方便对该认证中心模块进行升级换代,在本申请实施例中,该认证中心模块可以是模块化的。
具体的,该认证中心模块可以由管理中心、虹膜采集模块、虹膜识别模块等不同的模块组成,其中,各模块可以视为是应用层面的独立的模块,也可视为是物理层面的独立模块,本申请对此不做限定。
其中,该管理中心用于通过该可信环境的接口接收该客户端发送的该身份注册请求,并根据接收到的身份注册请求,创建对应的注册业务,并通过执行该注册业务,管理该虹膜识别模块以及该虹膜采集模块共同完成该注册业务(完成该注册业务可以视为是该管理中心后向该客户端返回经过签名的该待注册的虹膜信息)。
具体的,首先,当该管理中心通过该可信环境的接口接收该客户端发送的身份注册请求时,该管理中心可以根据该身份注册请求,创建注册业务,并通过执行该注册业务,向该虹膜识别模块发送调用指令。
其次,该虹膜识别模块在接收到该管理中心发送的该调用指令后,可根据该调用指令,确定向该管理中心返回调用该虹膜采集模块的采集指令。以使得该管理中心根据该采集指令,向该虹膜采集模块转发该采集指令。
之后,该虹膜采集模块,可根据该管理中心转发的该采集指令,通过该可信环境的接口调用该终端的传感器采集该虹膜图片,并将采集到的该虹膜图片通过该管理中心返回该虹膜识别模块。其中,该终端的传感器可以是该终端的摄像头,例如,接收自然光并成像的摄像头,或者接收红外光并成像的摄像头等等,具体该传感器为何种类型,本申请并不做限定。
再后,该虹膜识别模块,接收该管理中心转发的该虹膜采集模块采集的该虹膜图片。
然后,若该管理中心发送的该调用指令中携带有该待注册的身份信息时,则该虹膜识别模块可创建该虹膜图片与该待注册的身份信息的关联关系,并将该虹膜图片以及该待注册的身份信息作为该待注册的虹膜信息返回该管理中心。或者,该虹膜识别模块可根据预设的算法,提取该虹膜图片对应的该待注册的虹膜特征模板,再创建该待注册的虹膜特征模板与该待注册的身份信息的关联关系,并将该待注册的虹膜特征模板以及该待注册的身份信息作为该待注册的虹膜信息返回该管理中心。而若该管理中心发送的该调用指令中未携带该待注册的身份信息时,则该虹膜识别模块可直接将该虹膜图片返回该管理中心,或者该虹膜识别模块可将提取出的该待注册的虹膜特征模板返回该管理中心。
最后,该管理中心,可接收该待注册的虹膜信息、该虹膜图片或者该待注册的虹膜特征模板,当该管理中心接收到该待注册的虹膜信息时,该管理中心可根据与该服务器预先预定的该安全规则,对该待注册的虹膜信息进行签名后通过该可信环境的接口返回该客户端,当该管理中心接收到该虹膜图片或者该待注册的虹膜特征模板时,该管理中心可以根据该调用业务,确定对应的待注册的身份信息,进而确定该待注册的虹膜信息,并在对该待注册的虹膜信息进行签名后通过该可信环境的接口返回该客户端。当然,该签名的过程也可以在该虹膜识别模块中进行,本申请对此并不做限定。
其中,该虹膜识别模块可采用与现有技术相同的方法确定该虹膜图片对应的虹膜特征模板(即,该预设的算法可以与现有技术相同),由于现有技术中对如何确定特征模板已经存在多种较为成熟的技术,所以本申请对此不再赘述,并且,该算法同样可以是该认证中心模块与该服务器预先约定的,这样可以保证该认证中心模块与该服务器在提取同一个虹膜图片的虹膜特征模板时,得到的结果一致,避免由于算法不同导致的身份注册或者身份认证失败。
当然,该管理中心、该虹膜识别模块以及该虹膜采集模块可以是相互独立的应用,只要均位于该终端的可信环境中即可。
进一步地,该管理中心在对该待验证的虹膜信息进行加密时,可以采用公钥加密的方法,在进行签名时,可以采用私钥签名的方法,或者该管理中心也可以采用预先与该服务器约定的安全规则,对该待注册的虹膜信息进行加密和签名,本申请对此不做限定,只要该客户端以及该服务器可以通过该签名确定该待注册的虹膜信息的完整性,并且可通过密钥对加密后的该待注册的虹膜信息进行解密即可。
通过上述描述,可见可由该认证中心模块对应的该管理中心统一管理该虹膜采集模块以及该虹膜识别模块之间的通讯,而该虹膜采集模块以及该虹膜识别模块仅需与该管理中心进行通讯即可,使得在需要进行模块升级、更换、细分、集成时,由于各模块之间可是相互独立的,各模块仅需拥有访问与该管理中心的接口即可,使得各模块的部署更加灵活。
更进一步地,在步骤S104中,该认证中心模块除了对该待注册的虹膜信息进行签名之外,还可以对该待注册的虹膜信息进行加密,以防止该待注册的虹膜信息被不法分子盗取挪作他用,具体的,该认证中心模块可以先对该待注册的虹膜信息进行加密之后,在对该经过加密的待注册的虹膜信息进行签名,合作的话该认证中心模块也可以先对该待注册的虹膜信息进行签名,在对该经过签名的待注册的虹膜信息进行加密,本申请并不限定该认证中心模块进行签名以及加密的先后顺序。
并且,该用于加密的公钥可以是,该认证中心模块根据与服务器预先约定的该安全规则确定的,也就是说,该用于加密的公钥也可以是该服务器与该认证中心模块预先约定好的,使得该服务器可以在接收到该已经过加密的待注册的虹膜信息时,也能获取该待注册的虹膜信息对应的内容。
进一步地,由于在现有技术中,在进行虹膜识别时,对采集得到的虹膜图片通常需要进行预处理,例如,虹膜定位、虹膜图像归一化、虹膜图像增强处理等等,所以在本申请实施例提供的该身份认证的系统中,该虹膜采集模块,在采集到该待验证的虹膜图片之后,还可以采用与现有的图像预处理相同的方法,对该待验证的虹膜图片进行预处理。或者,该可信环境中,还可以包含进行预处理的虹膜预处理模块,则该管理中心在接收到该虹膜采集模块返回的该待验证的虹膜图片之后,可将该待验证的虹膜图片先发送至该虹膜预处理模块进行预处理之后,再将进行了预处理的待验证的虹膜图片发送至该虹膜识别模块进行识别。也就是说,该预处理的过程,可以集成在该虹膜采集模块上进行,也可由独立的模块进行,当然,只要在进行识别之前进行该预处理即可,所以该预处理的步骤也可集成在该管理中心或者该虹膜识别模块中,等等。当然,预处理的过程还可以包括:活体检测、质量检测等过程本申请对此不再一一列举。
更进一步地,当所述预处理过程包括筛选条件时,如质量筛选,若判断该待验证的虹膜图片不符合该筛选条件,则该虹膜采集模块,可以再次采集虹膜图片并在次进行预处理的过程,直至该待验证的虹膜图片符合筛选条件,或者重复采集的次数达到预设次数为止。
需要说明的是,本申请实施例所提供方法的各步骤的执行主体均可以是同一设备。
基于图1所示的身份注册的过程,本申请实施例还对应的提供一种客户端执行的身份注册的方法,具体如图2所示。
图2为本申请实施例提供的另一种身份注册的过程,具体可包括以下步骤:
S201:所述客户端通过所述可信环境的接口向所述认证中心模块发送身份注册请求。
在本申请实施例中,该客户端进行身份注册的过程可以与该认证中心模块进行身份注册的过程相对应,并且执行该身份注册的过程的背景可以一致,即,该认证中心模块与该客户端安装在该终端上,且该认证中心模块安装在该终端的可信环境中。
该客户端可以是安装于该终端内的应用,并且该客户端可以执行发起业务、执行业务等操作,则当该客户端在执行该业务时,可以根据该业务的业务规则,确定是否需要进行身份注册,并当确定需要进行身份注册时,向该认证中心模块发送身份注册请求。
具体的,该客户端可以是提供其他服务(如,商务服务)的服务提供方的客户端,例如,即时通讯的客户端、网络社区的客户端、游戏的客户端、播放音乐的客户端等等,则该认证中心模块可以视为是该客户端的第三方,即,与该客户端无关联关系的一方。
另外,由于进行身份注册时,通常是需要对身份信息进行注册,所以该身份注册请求中还可携带有待注册的身份信息。
而通常由于在进行身份注册时,通常是对新注册的账户进行身份注册,所以该身份信息可以是用户在该客户端输入的用于进行身份注册的身份信息。当然,该身份注册请求也可以是对在该客户端上已登录的账户进行身份注册,所以该客户端上还可以登录有用户的账户,并且该账户可以用于表示该用户的身份信息。具体的该身份信息包含何种信息,本申请并不做具体限定。
进一步地,由于该认证中心模块可位于该终端中的可信环境中,所以该客户端与该可信环境中的该认证中心模块通常仅能通过预设的该可信环境接口进行通信。于是,当该客户端在根据业务规则确定需要进行身份注册时,该客户端可以通过预先设置的该可信环境的接口向该认证中心模块发送该身份注册请求,其中,该接口可以是该客户端预先集成的软件工具包(Software Development Kit,SDK)中提供的接口,则该SDK可以是提供该认证中心模块的提供方为该客户端提供的具有访问该可信环境的接口的权限的SDK,则该客户端通过该SDK可以获取访问该可信环境的接口的权限,并通过该可信环境的接口向该认证中心模块发送该身份注册请求。并且,该SDK的类型可以是属于基础设施即服务(Infrastructure as a Service,IAAS)的SDK,即,该身份注册服务可以是通过网络提供的服务。
需要说明的是,该终端可以是手机、平板电脑、个人电脑、门禁终端等设备,并且该终端可以是具有采集虹膜图片的传感器的、且具有可信环境中的设备。
S202:接收所述认证中心模块返回的经过签名的待注册的虹膜信息。
在本申请实施例中,该客户端可接收该认证中心模块返回的经过签名的待注册的虹膜信息,其中,该签名可以是该认证中心模块根据与该服务器预先约定的安全规则确定的。
具体的,该待注册的虹膜信息包括:该认证中心模块采集的虹膜图片以及该待注册的身份信息,或者该认证中心模块根据该虹膜图片确定的待注册的虹膜特征模板以及该待注册的身份信息。并且,该客户端接收的可以是该认证中心模块经过加密以及签名的该待注册的虹膜信息。
S203:将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
在本申请实施例中,该客户端在接收到该认证中心模块返回的该经过签名的待注册的虹膜信息之后,便可将该经过签名的待注册的虹膜信息发送至该服务器进行身份注册。
另外,由于在如图1所示的身份注册过程中,该认证中心模块也可将该待注册的虹膜信息存储在该终端本地的可信环境中,以完成对该身份信息的注册,所以该客户端若在后续进行身份认证的过程时,只需通过该终端进行身份认证,则该待注册的虹膜信息则无需发送至该服务器进行身份注册,所以在该客户端向该服务器发送该经过签名的待注册的虹膜信息之前,在本申请实施例中,该客户端还可已根据发起该身份注册请求的业务对应的业务策略,或者预先设置的进行身份注册时的业务策略,判断是否需要进行远程注册,即,判断是否需要将该经过签名的待注册的虹膜信息发送至该服务器进行身份注册。当然,该客户端如何确定该业务策略,该业务策略可以是预先设置在该客户端中的。
具体的,该客户端在接收到该经过签名的待注册的虹膜信息之后,可根据该预先设置的业务策略,判断是否需要进行远程注册,若是,则将该经过签名的待注册的虹膜信息发送至该服务器进行身份注册,若否,则无需发送该经过签名的待注册的虹膜信息。
另外,该客户端在确定无需进行远程注册之后,还可向该认证中心模块发送本地注册指令,以使得该认证中心模块在该终端本地的可信环境中存储该待注册的虹膜信息,完成对该身份信息的注册过程。
进一步地,由于该服务器对该经过签名的待注册的虹膜信息存在注册成功或者不成功,两种情况,所以该客户端还可在发送该经过签名的待注册的虹膜信息之后,接收到该服务器返回的注册结果。
于是,在本申请实施例中,当该客户端接收到该服务器返回的注册成功的信息时,该客户端确定该身份注册的任务执行完毕。而若该客户端接收到该服务器返回的注册失败的信息时,则该客户端还可以向该认证中心模块发送删除指令,以使得该认证中心模块删除该待注册的虹膜信息。
进一步地,在本申请步骤S201中,该客户端向该认证中心模块发送该身份注册请求之前,该客户端也可以根据该业务策略,确定是否需要进行远程注册,若确定需要进行远程注册,则该客户端可向该认证中心模块发送携带有该待注册的身份信息以及远程注册指令的该身份注册请求,以使得该认证中心模块确定需要向该客户端返回的该待注册的虹膜信息中,需要包括该待注册的身份信息以及该待注册的虹膜特征模板,或者该虹膜图以及该待注册的身份信息。若该客户端确定无需进行远程注册,则该客户端可向该认证中心模块发送携带有本地注册指令以及该待注册的身份信息的身份注册请求,以使得该认证中心模块确定需要进行本地注册,而将注册结果作为该待注册的虹膜信息返回该客户端。其中,该注册结果,包括:注册成功或者注册失败。
基于图1或者图2所示的身份注册的过程,本申请还对应的提供一种服务器执行的身份注册的过程,如图3所示。
图3为本申请实施例中提供的另一种身份注册的过程,具体可包括以下步骤:
S301:服务器接收所述客户端发送的待注册的虹膜信息。
在本申请实施例中,该客户端以及该认证中心模块可如图1以及图2中的描述,该客户端与该认证中心模块安装与同一终端内,并且该认证中心模块位于该终端的可信环境中,则该服务器可接收该客户端发送的经过该认证中心模块签名的待注册的虹膜信息。
其中,该待注册的虹膜信息可包括:该认证中心模块采集的虹膜图片以及该待注册的身份信息,或者该认证中心模块根据该虹膜图片确定的待注册的虹膜特征模板以及该待注册的身份信息。
S302:对所述签名进行验签,若若验签成功,则执行步骤S303,若验签失败,则执行步骤S304。
在本申请实施例中,由于该认证中心模块对该待注册的虹膜信息进行签名时,是根据与该服务器预先约定的安全规则确定的,所以若该认证中心模块是使用用于签名的私钥对该待注册的虹膜信息进行签名的,则该服务器中可存储有该用于签名的公钥,并通过该公钥对该签名进行验签,并判断验签结果为验签成功或者验签失败,并对应的执行步骤S303或者步骤S304。
具体的,由于该服务器所面对的对象通常为多个,所以该服务器为了确定该经过签名的待注册的虹膜信息的签名是否哪一个认证中心模块进行签名的,所以该服务器可以是根据该经过签名的待注册的虹膜信息的签名的标识,确定该认证中心模块的标识,并根据该认证中心模块的标识,确定对应的公钥,再对该签名进行验签。
进一步地,由于该认证中心模块还可以对该待注册的虹膜信息进行加密,而该认证中心模块进行加密所使用的公钥也可以是与该服务器预先约定好的,所以该服务器也可以通过类似步骤对该待注册的虹膜信息进行解密,并获取该待注册的虹膜信息的内容。
S303:将所述待注册的虹膜信息存储在所述服务器本地。
在本申请实施例中,当该服务器确定该验签成功之后,便可将该待注册的虹膜信息对应的内容,存储在该服务器本地,或者该服务器关联的数据库中,并向该客户端返回注册成功的注册结果。
另外,由于该待注册的虹膜信息可能包含的是该虹膜图片,所以此时,该服务器可以根据该待注册的虹膜信息创建调用业务,调用该服务器的认证中心模块以及识别中心,根据该虹膜图片确定对应的虹膜特征模板,并将该服务器确定的该虹膜特征模板与该待注册的虹膜信息中的该待注册的身份信息建立关联关系,并将该服务器确定的该虹膜特征模板、该待注册的身份信息以及该关联关系存储在该服务器中,以完成对该身份信息的注册过程。
S304:不存储所述待注册的虹膜信息。
在本申请实施例中,当该服务器确定该验签失败之后,便可向该客户端返回注册失败的注册结果。
需要说明的是,本申请实施例所提供方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。比如,步骤S301和步骤S302的执行主体可以为设备1,步骤S303的执行主体可以为设备2;又比如,步骤S301的执行主体可以为设备1,步骤S302和步骤S303的执行主体可以为设备2;等等。当然,由于在本申请中,可由设备的操作系统执行上述各步骤,所以本申请中所述的执行主体可为设备的操作系统。
在本申请实施例中,对应于图1、图2以及图3所示的身份注册的过程,还提供一种身份认证的过程,如图4所示。
图4为本申请实施例提供的一种身份认证的过程,具体可包括以下步骤:
S401:所述认证中心模块接收所述客户端通过所述可信环境的接口发送的身份认证请求。
在本申请实施例中,该身份认证过程与该身份注册过程对应,该认证中心模块、该客户端以及该服务器的情况,与该身份注册的过程一致,本申请对此不赘述。
在本申请实施例中,由于该认证中心模块可位于该终端中的可信环境中,所以该客户端与该可信环境中的该认证中心模块通常仅能通过该可信环境的接口进行通信。于是,当该客户端在根据业务规则确定需要进行身份认证时,该客户端可以通过预先设置的接口向该认证中心模块发送该身份认证请求,则该认证中心模块可通过该可信环境的接口接收该客户端发送的身份认证请求。
并且,由于通常基于虹膜识别的身份认证请求是使接收该请求的终端,通过采集虹膜图片,对不定的身份信息进行对比并确定一个匹配的身份信息,所以在本申请中,该身份认证请求可以无需携带待验证的身份信息。
S402:根据所述身份认证请求,采集待验证的虹膜图片。
S403:根据所述待验证的虹膜图片,确定待验证的虹膜信息。
在本申请实施例中,当该认证中心模块接收到该身份认证请求之后,便可如图1所示的身份注册的过程的步骤S102以及步骤S103中所述的过程相同,采集虹膜图片,作为待验证的虹膜图片。
之后,该认证中心模块可将该待验证的虹膜图片作为该待验证的虹膜信息,或者根据采集的该待验证的虹膜图片,确定待验证的虹膜特征模板,并将该待验证的虹膜特征模板作为该待验证的虹膜信息。
而若,本地的可信环境中存储有已注册的虹膜信息时,该认证中心模块还可以根据该已注册的虹膜信息,确定该待验证的虹膜信息的识别结果,并将该识别结果作为该待验证的虹膜信息。
具体的,该认证中心模块可以先根据该采集的待验证的虹膜图片确定该待验证的虹膜特征模板,再根据该已注册的虹膜信息,确定与该已注册的虹膜信息对应的已注册的虹膜特征模板以及与该已注册的虹膜特征模板关联的已注册的身份信息,之后,该认证中心模块可判断该已注册的虹膜特征模板与该待验证的虹膜特征模板是否匹配,若是,则确定该识别结果为该已注册的身份信息,若否,则确定该识别结果为识别失败。
另外,当该终端本地的可信环境中存储有多个已注册的虹膜信息时,该认证中心模块,可判断是否存在与该待验证的虹膜特征模板匹配的该已注册的虹膜信息,若是,则确定该匹配的已注册的虹膜信息对应的已注册的身份信息为该识别结果,若否,则确定该识别结果为识别失败。
S404:对所述待验证的虹膜信息进行签名,并将经过签名的所述待验证的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待验证的虹膜信息发送至所述服务器进行身份认证。
在本申请实施例中,当该认证中心模块确定了该待验证的虹膜信息之后,便可将根据与服务器预先约定的安全规则,对该待验证的虹膜信息进行签名,并将经过签名的该待验证的虹膜信息返回该客户端,以使得该客户端可将该待验证的虹膜信息发送至该服务器,并通过该服务器进行身份认证。
另外,由于该认证中心模块返回的该待验证的虹膜信息中可以包含有该认证中心模块的识别结果,所以该客户端不仅可以通过将该待验证的虹膜信息发送至该服务器进行身份认证,也可根据该认证中心模块返回的该待验证的虹膜信息,进行本地认证。
需要说明的是,在本申请实施例中,所述的识别过程为,该认证中心模块或者该服务器根据已注册的虹膜信息,对该待验证的虹膜信息进行匹配的过程,也就是说该认证中心模块或者该服务器,根据已注册的各虹膜信息,查询是否存在与该待验证的虹膜信息匹配的已注册的虹膜信息。于是,在本申请实施例中,当匹配到一致的已注册的虹膜信息时,该识别结果可以是该匹配的已注册的虹膜信息所关联的已注册的身份信息,而当为查询到与该待验证的虹膜信息匹配的已注册的虹膜信息时,该识别结果可以是未查询到匹配的身份信息。
进一步的,该客户端在根据识别结果进行身份认证时,是确定该身份认证请求所请求认证的身份信息,与该识别结果是否一致。也就是说,当该识别结果为已注册的身份信息时,该客户端进行身份认证时,就是判断该已注册的身份信息与该请求认证的身份信息是否一致,若一致,则确定身份认证通过,若不一致,确定身份认证不通过。而当该识别结果为未查询到匹配的身份信息时,该客户端可以直接判断该身份认证不通过。
可见在本申请实施例中,该识别过程与该认证过程,是两个不同的过程,即使识别出了匹配的已注册的身份信息,若该已注册的身份信息与该待验证的身份信息不一致,则身份认证仍然无法通过。
基于图4所示的身份认证的过程,可见由于该客户端在进行身份认证时,可向安装于同一终端的可信环境中的该认证中心模块发送身份认证请求,以使得该认证中心模块采集该虹膜图片,并确定该待验证的虹膜信息。并且,由于该认证中心模块位于该可信环境中,所以可以保证该待验证的虹膜信息此时是可信的、安全的。之后该认证中心模块除了将该待验证的虹膜信息保存在该可信环境中,完成在该终端本地的身份认证任务以外,还可以对该待验证的虹膜信息进行签名,并将该经过签名的待验证的虹膜信息返回该客户端,使得该客户端可以将经过签名的待验证的虹膜信息发送至该服务器进行身份认证。由于该待验证的虹膜信息在从该可信环境发送至该客户端之前,已经经过该认证中心模块的签名,所以该服务器可以通过对该签名进行验签,确定该待验证的虹膜信息在传输至该服务器的过程中是否遭到篡改,也就是可以确定该待验证的虹膜信息是否可信,使得该客户端在该服务器中进行身份认证时,可以保证身份认证的安全性,并且,若该终端的可信环境中也存储有已注册的虹膜信息,则该认证中心模块还可以在本地进行虹膜识别,则该客户端也可在本地进行身份认证。可见,通过本申请提供的该身份认证方法,即使进行远程认证(即,将该待验证的身份信息发送至该服务器进行身份认证),通过该位于可信环境中的该认证中心模块,以及该认证中心模块与该服务器约定的安全规则对应的签名,该待验证的虹膜信息的安全性可以得到更好的保护,并且一旦遭到不法分子的篡改,该服务器就可以通过对该签名的验签发现,从而在保证了基于虹膜识别技术的身份认证的适用范围的同时,确保了该身份认证过程的安全性,提供了一种可广泛应用的基于虹膜识别技术的身份认证方法。
另外,在本申请步骤S402以及步骤S403中,该认证中心模块可包括:该管理中心、该虹膜识别模块以及该虹膜采集模块,如前所述该管理中心、该虹膜识别模块以及该虹膜采集模块可以是集成在一起的同一个应用,也可以是分开独立的多个应用,并且均可位于该可信环境中。
其中,该管理中心用于根据接收到的身份认证请求,创建对应的业务,并通过执行该业务管理该虹膜识别模块以及该虹膜采集模块共同完成该业务。
具体的,首先,当该管理中心接收到该客户端发送的身份认证请求时,该管理中心可以根据该身份认证请求,创建身份认证业务,并通过执行该身份认证业务,向该虹膜识别模块发送调用指令。
其次,该虹膜识别模块在接收得到该管理中心发送的该调用指令后,可根据该调用指令,创建对应的调用业务,并通过执行该调用业务,向该管理中心发送调用该虹膜采集模块的采集指令。以使得该管理中心根据该采集指令,向该虹膜采集模块转发该采集指令。
之后,该虹膜采集模块,可根据该管理中心转发的该采集指令,通过该终端的传感器采集待验证的虹膜图片,并将采集到的该待验证的虹膜图片通过该管理中心返回该虹膜识别模块。其中,该终端的传感器可以是该终端的摄像头,例如,接收自然光并成像的摄像头,或者接收红外光并成像的摄像头等等,具体该传感器为何种类型,本申请并不做限定。
再后,该虹膜识别模块,接收到该管理中心转发的该虹膜采集模块采集的待验证的虹膜图片,并根据预设的算法,计算确定该待验证得到虹膜图片对应的虹膜特征模板。并且,将该待验证的虹膜图片对应的虹膜特征模板(为方便描述后续该待验证的虹膜图片对应的虹膜特征模板简称为,待验证的虹膜特征模板),与存储的已注册的虹膜特征模板进行匹配计算,查询该待验证虹膜特征模板与该已注册的虹膜特征模板是否匹配,并将匹配结果作为对该待验证的虹膜图片的识别结果,返回至该管理中心。其中,若该待验证虹膜特征模板与该已注册的虹膜特征模板匹配,则确定该识别结果为与该已注册的虹膜特征模板相关联的已注册的身份信息,若待验证虹膜特征模板与该虹膜特征模板不匹配,则确定该识别结果为识别失败,即,未查询到匹配的身份信息。
最后,在步骤S404中,该管理中心,可将对该待验证的虹膜信息进行加密以及签名,并通过该可信环境的接口将经过加密签名的该待验证的虹膜信息返回至该客户端,以便该客户端进行后续步骤的操作。
其中,该虹膜识别模块可采用与现有技术相同的方法确定该待验证的虹膜图片对应的虹膜特征模板,并且也同样可以采用与现有技术相同的方法,计算该待验证虹膜特征模板与该已注册的虹膜特征模板是否匹配,本申请对此不做限定,并且由于现有技术中对如何确定特征模板以及如何计算是否匹配已经存在多种较为成熟的技术,所以本申请对此不再赘述。
另外,该管理中心在向该客户端返回该待验证的虹膜信息时,该管理中心可以仅返回该待验证的虹膜图片的识别结果,或者该待验证的虹膜图片,或者将两者全部返回,具体该管理中心返回何种信息本申请不做具体限定,当然若该客户端需要进行远程认证,则该待验证的虹膜信息中至少包含:待验证的虹膜图片或者待验证的虹膜特征模板其中之一。
基于图4所示的身份认证的过程,本申请还对应的提供一种客户端执行的身份认证的过程,如图5所示。
图5为本申请实施例提供的另一种身份认证的过程,具体包括以下步骤:
S501:所述客户端通过所述可信环境的接口向所述认证中心模块发送身份认证请求。
在本申请实施例中,该客户端可以是安装于该终端内的应用,并且该客户端可以执行发起业务、执行业务等操作,则当该客户端在执行该业务时,可以根据该业务的业务规则,确定是否需要进行身份认证,并当确定需要进行身份认证时,向该认证中心模块发送身份认证请求。
具体的,该客户端可以是提供其他服务(如,商务服务)的服务提供方的客户端,例如,即时通讯的客户端、网络社区的客户端、游戏的客户端、播放音乐的客户端等等,则该认证中心模块可以视为是该客户端的第三方,即,与该客户端无关联关系的一方。
另外,由于进行身份认证时,通常可以是对在该客户端上登录的账户进行身份认证,所以该客户端上还可以登录有用户的账户,并且该账户可以用于表示该用户的身份信息,或者与该用户的身份信息相关联。
进一步地,在本申请实施例中,该客户端可根据已集成的该认证中心模块对应的软件工具包SDK,确定访问该可信环境的接口,通过该可信环境的接口,向该认证中心模块发送该身份认证请求。由于该认证中心模块可位于该终端中的可信环境中,所以该客户端与该可信环境中的该认证中心模块通常仅能通过该可信环境的接口进行通信。于是,当该客户端在根据业务规则确定需要进行身份认证时,该客户端可以通过预先设置的接口向该认证中心模块发送该身份认证请求,其中,该接口可以是该客户端预先集成的SDK中提供的接口,则该SDK可以是提供该认证中心模块的服务提供方,为该客户端提供的SDK。并且,该SDK的类型可以是属于IAAS的SDK,即,该身份认证服务可以是通过网络提供的服务。
并且,该客户端在调用该接口,以便后续通过该接口向该认证中心模块发送该身份认证请求时,为了保证传输数据的安全性,该接口可以对该客户端进行签名认证,即,该客户端在调用该接口时可以采用签名的方法,保证安全性。当然,由于现有技术中对于可信环境中的应用如何与该可信环境外的应用进行数据通信,存在多种方法,所以本申请也并不限定该客户端调用该接口的方法或者如何向该认证中心模块发送该身份认证请求,上述方法可以仅为一种实施方试,只要能够该客户端与该认证中心模块之间数据传输的安全性即可。
当然,在本申请实施例中,该客户端也可以是提供身份认证服务的服务提供方的客户端,则该客户端可以视为是处于可信环境中的客户端,并且,在该认证中心模块、该虹膜识别模块以及该虹膜采集模块与该客户端均由同一服务提供方提供的情况下,该客户端可直接向该认证中心模块发送身份认证请求,而无需通过集成的SDK包的接口传输该身份认证请求。
另外,当该终端本地的可信环境中存储有已注册的虹膜信息时,该客户端还可根据发起所述身份认证请求的业务(如,该业务的业务策略),判断是否在本地进行身份认证,若是,将本地识别指令携带在所述身份认证请求中发送至该认证中心模块,若否,将远程识别指令携带在所述身份认证请求中发送至该认证中心模块。
S502:接收所述认证中心模块返回的经过签名的待验证的虹膜信息。
在本申请实施例中,当本地的可信环境未存储已注册的虹膜信息时,该认证中心模块返回的该经过签名的待验证的虹膜信息包括:该认证中心模块采集的待验证的虹膜图片。
而当本地的可信环境存储有已注册的虹膜信息时,该认证中心模块返回的该经过签名的待验证的虹膜信息包括:该认证中心模块采集的待验证的虹膜图片或者该认证中心模块采集的待验证的虹膜图片以及所述认证中心模块根据所述已注册的虹膜信息确定的识别结果。
也就是说,无论该终端本地的可信环境是否存储有已注册的虹膜信息,该认证中心模块向该客户端返回的该待验证的虹膜信息中均可包含该待验证的虹膜图片。
S503:将经过签名的所述待验证的虹膜信息发送至所述服务器,并接收所述服务器根据所述经过签名的待验证的虹膜信息返回的识别结果,根据所述识别结果进行身份认证。
在本申请实施例中,当该客户端接收到了该待验证的虹膜信息之后,便可将可经过签名的该待验证的虹膜信息发送至所述服务器,以使得该服务器根据该待验证的虹膜信息进行身份识别,并向该客户端返回对应的识别结果,则该客户端可根据该识别结果进行身份认证。
具体的,该服务器返回的该识别结果包括:该服务器确定与该待验证的虹膜信息匹配的已注册的身份信息,或者匹配失败。则当该服务器返回的识别结果为该已注册的身份信息时,判断该已注册的身份信息与请求认证的身份信息是否一致,若是,则确定该身份认证通过,若否,则确定该身份认证不通过,而当该服务器返回的识别结果为匹配失败时,确定该身份认证不通过。
另外,当该终端本地的可信环境中存储有已注册的虹膜信息时,该认证中心模块也可根据该已注册的虹膜信息对该待验证的虹膜信息进行识别。于是,在本申请实施例中,该客户端在向该认证中心模块发送身份认证请求时,还可先根据发起该身份认证请求的业务预先设置的业务策略,判断是否本地进行身份认证,若是,则将本地识别指令携带在该身份认证请求中发送至该认证中心模块,其中,该本地识别指令用于使该认证中心模块根据该已注册的虹膜信息确定识别结果,并返回,若否,则将该身份认证请求中发送至该认证中心模块,具体的身份识别过程,与根据该服务器返回的识别结果进行身份认证的过程相同。
需要说明的是,该认证中心模块何时根据该本地识别指令确定该识别结果,本申请并不做具体限定。例如,当该身份认证请求的实效性较强时,则该认证中心模块可以先将该待验证的虹膜信息返回该客户端之后,再根据该已注册的虹膜信息对该待验证的虹膜信息进行匹配,确定识别结果并返回,而若该客户端需要优先根据该认证中心模块的识别结果进行其他操作时,该认证中心模块可先将该识别结果返回该客户端,再将该待验证的虹膜信息返回该客户端,等等。也就是说,在本申请实施例其中,并不限制该认证中心模块根据该本地识别指令确定识别结果的时间,另外,其他操作可以是由工作人员设置的操作,本申请对此亦不做限定。
进一步的,该客户端在接收到该认证中心模块通过该可信环境的接口返回的经过加密签名的待验证的虹膜信息之后,便可根据预先设置的业务策略,确定是否进行远程认证,即,是否通过服务器对该待验证的虹膜信息进行识别,并基于该服务器的识别结果进行身份认证。若是,则该客户端可将该待验证的虹膜信息发送至该服务器,以使得该服务器对该待验证的虹膜信息进行识别,若否,则该客户端可根据该待验证的虹膜信息,确定该认证中心模块对该待验证的虹膜信息的识别结果,并基于该认证中心模块的识别结果进行身份认证。
并且,为了方便该认证中心模块确定向该客户端发送的该待验证的虹膜信息的具体内容,在本申请实施例中,该客户端可以在发送该身份认证请求时,根据发起该身份认证请求的业务,确定是否在本地进行身份认证,若是,则将本地识别指令携带在该身份认证请求中发送至该认证中心模块,以使得该认证中心模块根据该已注册的虹膜信息确定识别结果,并将该识别结果作为该待验证的虹膜信息,若否,则将该身份认证请求中发送至该认证中心模块,以使得该认证中心模块将采集的待验证的虹膜图片作为该待验证的虹膜信息。
其中,该客户端具体可以是通过发起该身份认证请求的业务的业务策略,确定是否在本地进行身份认证。即,该客户端可先确定该业务的业务策略(或者业务逻辑),之后根据该业务策略确定该身份认证请求是否需要在本地进行。该待验证的虹膜信息还可包括:所述认证中心模块根据采集的待验证的虹膜图片以及所述已注册的虹膜信息确定的识别结果,需要说明的是,该待验证的虹膜信息通常包括,该待验证的虹膜图片或者该待验证的虹膜特征模板中的一种,以便在需要通过该服务器进行身份认证,可以将该待验证的虹膜信息发送至该服务器进行身份认证。
更进一步地,该业务策略可以是由工作人员根据业务类型的不同进行设置的,例如,若进行安全风险较低的业务时,采用远程认证的方式,若进行安全风险较高的业务时,采用本地认证的方式,等等。并且,该业务策略可以是同时进行远程认证以及进行本地认证,或者如上例所述仅采用其中一种,具体的该业务策略如何设置本申请并不限定。
在本申请实施例中,当该客户端确定无需进行本地认证时,该认证中心模块返回的该待验证的虹膜信息至少会包含该待验证的虹膜图片或者待验证的虹膜特征模板中的一种,则该客户端可将接收到的经过加密和签名的该待验证的虹膜信息发送至该服务器,而当该客户端确定需要进行本地认证时,则该认证中心模块至少会返回该认证中心模块的识别结果,则该客户端可以对该经过加密以及签名的识别结果进行解密,并根据解密后得到的该认证中心模块的识别结果,进行身份认证。
另外,在本申请实施例中,由于该客户端可确定该服务器的识别结果,以及该认证中心模块的识别结果,所以该客户端可根据该服务器以及该认证中心模块分别对应的识别结果,进行身份认证。
具体的,该客户端可以根据发起该身份认证请求的业务的业务策略,确定身份认证的规则,并根据该身份认证的规则,确定如何根据该服务器的识别结果以及该认证中心模块的识别结果进行身份认证。例如,当该请求进行认证的业务需要较高的安全性时,则该身份认证的规则可以是,判断该服务器的识别结果以及该认证中心模块的识别结果相同,且与请求认证的该身份信息一致时,确定身份认证通过,否则不通过;又例如,当该请求进行认证的业务需要较高的执行成功率,而对安全性要求不高时,则该身份认证的规则可以是,判断该服务器的识别结果或该认证中心模块的识别结果中有任一识别结果与请求认证的该身份信息一致时,确定身份认证通过,否则不通过;又例如,当该请求进行认证的业务需要较高的安全性,但是又希望节省业务执行所耗费的时间时,则该身份认证的规则可以是,仅判断该认证中心模块的识别结果与请求认证的该身份信息是否一致,若是则身份认证通过,否则不通过;等等,具体的该身份认证的规则,可由工作人员根据实际应用时的需要进行设置,本申请对此不做限定。
基于图4或者图5所述的身份认证过程,本申请实施例还对应的提供另一种身份认证的过程,如图6所示。
图6为本申请实施例提供的另一种身份认证的过程,具体可包括以下步骤:
S601:服务器接收所述客户端发送的待验证的虹膜信息。
S602:对所述签名进行验签,若验签成功,则执行步骤S603,若验签失败,则执行步骤S604。
在本申请实施例中,该服务器在执行步骤S601以及步骤S602时的过程可如步骤S301以及步骤S302相同,区别在进行身份认证的过程时,该服务器接收到的是经过签名的该待验证的虹膜信息,对具体的接收以及该验签过程本申请不再赘述。
在本申请实施例中,该服务器可以是与该客户端对应的服务器,即,为该客户端执行业务提供支持的服务器,也可以是第三方用于身份认证的服务器,或者也可以是与该认证中心模块对应的服务器,即,为该终端提供该认证中心模块的服务器,具体的该服务器为何种服务器,可以由工作人员进行设置,只要该服务器是可信的并且可以针对该待验证的虹膜信息进行识别的即可。
具体的,该服务器在接收到该客户端发送的该经过加密以及签名的该待验证的虹膜信息后,可先根据该签名确定该待验证的虹膜信息的完整性,即,判断该签名可不可信,进而确定该待验证的虹膜信息是否可以用于身份认证。具体过程可与该服务器对该经过签名的待注册的虹膜信息进行验签的过程一致,本申请对此不再赘述。
S603:将已注册的各虹膜信息与所述待验证的虹膜信息分别进行匹配,根据匹配的结果确定识别结果,并将识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证。
S604:向所述客户端返回验签失败的信息。
在本申请实施例中,若该服务器确定该验签成功,则可以对该待验证的虹膜信息进行解密,得到该待验证的虹膜图片,并通过预设的算法确定该待验证的虹膜图片的虹膜特征模板,即,待验证虹膜特征模板,之后,该服务器便可将该待验证虹膜特征模板,与存储的各已注册的虹膜信息一一进行匹配,以确定该待验证的虹膜图片对应的身份信息。若验签失败则向该客户端返回验签失败的信息,使得该客户端确定该身份认证不通过。
具体的,该服务器可先各已注册的虹膜信息对应的已注册的虹膜特征模板,并将该待验证虹膜特征模板,与已注册的虹膜特征模板一一进行匹配,以确定该待验证的虹膜图片对应的身份信息。
当该待验证虹膜特征模板匹配成功时,该服务器可以将与该待验证虹膜特征模板匹配的虹膜特征模板关联的已注册的身份信息作为识别结果返回至该客户端,当未查询到匹配的身份信息时,则该服务器可将匹配失败的信息作为识别结果返回该客户端。
其中,由于该服务器可以进行多种生物信息的识别,所以该服务器中可以存在认证中心模块以及对比中心,该服务器在接收到该待验证的虹膜信息时,可将该待验证的虹膜信息发送至该服务器的认证中心模块,该服务器的认证中心模块在确定需要进行虹膜识别后,将该待验证的虹膜信息转发至该服务器的对比中心,该服务器的对比中心可以是专门用于进行虹膜对比的设备或者应用,则该服务器的对比中心可对该待验证的虹膜信息进行如,提取特征、确定虹膜特征模板、与已注册的虹膜信息进行匹配、确定识别结果等步骤,并将识别结果返回至该服务器的认证中心模块,则该服务器的认证中心模块再将该识别结果返回该客户端。
最后,该客户端,在接收到该服务器返回的识别结果后,根据该识别结果进行身份认证。其中,当该服务器返回的识别结果是身份信息时,该客户端可以将该身份信息与执行该业务的账户所对应的身份信息进行对比,若一致,则确定该身份认证通过,若不一致,则确定该身份认证不通过,而若该服务器返回的是不匹配的识别结果是,则该客户端可直接确定该身份认证不通过。
需要说明的是,本申请实施例所提供方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。比如,步骤S101和步骤S102的执行主体可以为设备1,步骤S103的执行主体可以为设备2;又比如,步骤S101的执行主体可以为设备1,步骤S102和步骤S103的执行主体可以为设备2;等等。当然,由于在本申请中,可由设备的操作系统执行上述各步骤,所以本申请中所述的执行主体可为设备的操作系统。
基于图1所示的身份注册的过程,本申请实施例还对应提供一种身份注册的装置,如图7所示。
图7为本申请实施例提供的一种身份注册的装置的结构示意图,所述装置与客户端安装在终端上,所述装置位于所述终端的可信环境中,所述装置包括:
接收模块701,接收所述客户端通过所述可信环境的接口发送的身份注册请求;
采集模块702,根据所述身份注册请求,采集虹膜图片;
确定模块703,根据所述虹膜图片,确定待注册的虹膜信息;
签名注册模块704,对所述待注册的虹膜信息进行签名,并将经过签名的所述待注册的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
所述身份注册请求中携带有待注册的身份信息。
所述确定模块703,通过采集的虹膜图片,确定待注册的虹膜特征模板,将所述待注册的虹膜特征模板以及所述待注册的身份信息建立关联关系,并将所述待注册的虹膜特征模板及其关联的所述待注册的身份信息作为所述待注册的虹膜信息;或者
所述确定模块703,将采集的所述虹膜图片以及所述待注册的身份信息建立关联关系,并将所述虹膜图片及其关联的所述待注册的身份信息作为所述待注册的虹膜信息。
所述装置还包括:
存储模块704,将所述待注册的虹膜信息存储在本地的所述可信环境中。
具体的,上述如图7所示的身份注册的装置可以位于终端中,具体可以位于该终端的可信环境中,该终端具体可以是手机、平板电脑、个人电脑等终端。
基于图2所示的身份注册的过程,本申请实施例还对应提供另一种身份注册的装置,如图8所示。
图8为本申请实施例提供的另一种身份注册的装置的结构示意图,认证中心模块与所述装置安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
发送模块801,通过所述可信环境的接口向所述认证中心模块发送身份注册请求;
接收模块802,接收所述认证中心模块返回的经过签名的待注册的虹膜信息;
注册模块803,将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
所述发送模块801,通过所述可信环境的接口向所述认证中心模块发送身份注册请求之前,根据所述客户端中已集成的所述认证中心模块对应的软件工具包SDK,确定访问所述可信环境的接口。
所述注册模块803,在将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册之前,根据发起所述身份注册请求的业务,确定进行远程注册。
具体的,上述如图8所示的身份注册的装置可以位于终端中,具体可以位于该终端的可信环境中,该终端具体可以是手机、平板电脑、个人电脑等终端。
基于图3所示的身份注册的过程,本申请实施例还对应提供另一种身份注册的装置,如图9所示。
图9为本申请实施例提供的另一种身份注册的装置的结构示意图,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
接收模块901,接收所述客户端发送的待注册的虹膜信息,其中,所述待注册的虹膜信息经过所述认证中心模块的签名;
验签注册模块902,对所述签名进行验签,若验签成功,则将所述待注册的虹膜信息存储在所述身份注册的装置本地,若验签失败,则不存储所述待注册的虹膜信息。
所述接收模块901,接收所述客户端发送,由位于可信环境中的所述认证中心模块进行签名以及加密的所述待注册的虹膜信息。
所述待注册的虹膜信息包括:所述认证中心模块采集的虹膜图片以及所述待注册的身份信息,或者所述认证中心模块根据所述虹膜图片确定的待注册的虹膜特征模板以及所述待注册的身份信息。
具体的,上述如图9所示的身份注册的装置可以位于服务器中,该服务器可以是单独的一台设备,或者由多台设备组成的系统,即,分布式系统。
基于图4所示的身份认证的过程,本申请实施例还对应提供一种身份认证的装置,如图10所示。
图10为本申请实施例提供的一种身份注册的装置的结构示意图,所述装置与客户端安装在终端上,所述装置位于所述终端的可信环境中,所述装置包括:
接收模块1001,接收所述客户端通过所述可信环境的接口发送的身份认证请求;
采集模块1002,根据所述身份认证请求,采集待验证的虹膜图片;
确定模块1003,根据所述待验证的虹膜图片,确定待验证的虹膜信息;
签名认证模块1004,对所述待验证的虹膜信息进行签名,并将经过签名的所述待验证的虹膜信息返回所述客户端,以使得所述客户端将经过签名的所述待验证的虹膜信息发送至所述服务器进行身份认证。
所述已注册的虹膜信息包括:已注册的虹膜特征模板及其关联的已注册的身份信息;或者,
所述已注册的虹膜信息包括:已注册的虹膜图片及其关联的已注册的身份信息。
所述确定模块1003,通过采集的所述待验证的虹膜图片,确定待验证的虹膜特征模板,并将所述待验证的虹膜特征模板作为所述待验证的虹膜信息;或者
所述确定模块1003,将采集的所述待验证的虹膜图片作为所述待验证的虹膜信息。
所述可信环境中存储有已注册的虹膜信息,所述签名认证模块1004,根据所述已注册的虹膜信息,确定所述待验证的虹膜信息的识别结果,将所述识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证。
所述签名认证模块1004,通过采集的所述待验证的虹膜图片,确定所述待验证的虹膜特征模板,查询是否存在与所述待验证的虹膜特征模板匹配的所述已注册的虹膜信息,若是,则将匹配的所述已注册的虹膜信息中包含的身份信息作为所述识别结果,若否,则识别失败。
所述接收模块1001,接收所述客户端发送的携带有本地识别指令的身份认证请求。
具体的,上述如图10所示的身份认证的装置可以位于终端中,具体可以位于该终端的可信环境中,该终端具体可以是手机、平板电脑、个人电脑等终端。
基于图5所示的身份认证的过程,本申请实施例还对应提供另一种身份认证的装置,如图11所示。
图11为本申请实施例提供的另一种身份认证的装置的结构示意图,认证中心模块与所述装置安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
发送模块1101,通过所述可信环境的接口向所述认证中心模块发送身份认证请求;
接收模块1102,接收所述认证中心模块返回的经过签名的待验证的虹膜信息;
认证模块1103,将经过签名的所述待验证的虹膜信息发送至所述服务器,并接收所述服务器根据所述经过签名的待验证的虹膜信息返回的识别结果,根据所述识别结果进行身份认证。
所述发送模块1101,根据已集成的所述认证中心模块对应的软件工具包SDK,确定访问所述可信环境的接口,通过所述可信环境的接口,向所述认证中心模块发送所述身份认证请求。
所述服务器返回的所述识别结果包括:与所述待验证的虹膜信息匹配的已注册的身份信息,或者匹配失败结果。
所述认证模块1103,当所述服务器返回的识别结果为所述已注册的身份信息时,判断所述已注册的身份信息与请求认证的身份信息是否一致,若是,则确定所述身份认证通过,若否,则确定所述身份认证不通过,当所述服务器返回的识别结果为匹配失败时,确定所述身份认证不通过。
所述可信环境中存储有已注册的虹膜信息;
所述发送模块1101,根据发起所述身份认证请求的业务确定是否在本地进行身份认证,若是,则将本地识别指令携带在所述身份认证请求中发送至所述认证中心模块,所述本地识别指令用于使所述认证中心模块根据所述已注册的虹膜信息确定识别结果,并返回,若否,则将所述身份认证请求中发送至所述认证中心模块。
所述认证模块1103,根据所述认证中心模块确定的识别结果和/或所述服务器返回的识别结果,进行身份认证。
具体的,上述如图11所示的身份认证的装置可以位于终端中,具体可以位于该终端的可信环境中,该终端具体可以是手机、平板电脑、个人电脑等终端。
基于图6所示的身份认证的过程,本申请实施例还对应提供另一种身份认证的装置,如图12所示。
图12为本申请实施例提供的另一种身份认证的装置的结构示意图,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
接收模块1201,接收所述客户端发送的待验证的虹膜信息,其中,所述待验证的虹膜信息经过所述认证中心模块的签名;
验签认证模块1202,对所述签名进行验签,若验签成功,则将已注册的各虹膜信息与所述待验证的虹膜信息分别进行匹配,以确定识别结果,并将识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证,若验签失败,则向所述客户端返回验签失败的信息。
所述验签认证模块1202,根据所述待验证的虹膜信息,确定待验证的虹膜特征模板,查询是否存在与所述待验证的虹膜特征模板匹配的所述已注册的虹膜信息,若是,则将匹配的所述已注册的虹膜信息中包含的身份信息作为所述识别结果,若否,则识别失败。
具体的,上述如图12所示的身份认证的装置可以位于服务器中,该服务器可以是单独的一台设备,或者由多台设备组成的系统,即,分布式系统。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (49)

1.一种身份注册的方法,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述认证中心模块接收所述客户端通过所述可信环境的接口发送的身份注册请求;
根据所述身份注册请求,采集虹膜图片;
根据所述虹膜图片,确定待注册的虹膜信息;
对所述待注册的虹膜信息进行签名;
将经过签名的所述待注册的虹膜信息返回所述客户端进行身份注册。
2.如权利要求1所述的方法,其特征在于,所述身份注册请求中携带有待注册的身份信息。
3.如权利要求2所述的方法,其特征在于,所述待注册的虹膜信息包括:所述待注册的身份信息以及所述虹膜图片;或者,所述待注册的身份信息以及通过所述虹膜图片确定的待注册的虹膜特征模板。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
将所述待注册的虹膜信息存储在本地的所述可信环境中。
5.如权利要求1所述的方法,其特征在于,所述将经过签名的所述待注册的虹膜信息返回所述客户端进行身份注册之前,还包括:
接收所述客户端发送的判断结果,所述判断结果用于表示是否需要进行远程注册;
当所述判断结果表示需要进行远程注册时,所述将经过签名的所述待注册的虹膜信息返回所述客户端进行身份注册,具体包括:
根据接收到的所述客户端发送的远程注册指令,将经过签名的所述待注册的虹膜信息返回所述客户端,所述待注册的虹膜信息用于被所述客户端发送至所述服务器进行远程身份注册。
6.如权利要求5所述的方法,其特征在于,所述接收所述客户端发送的判断结果之后,还包括:
当所述判断结果表示不需要进行远程注册时,根据接收到的所述客户端发送的本地注册指令,将经过签名的所述待注册的虹膜信息存储在所述终端的可信环境中。
7.如权利要求1所述的方法,其特征在于,所述对所述待注册的虹膜信息进行签名,具体包括:
所述认证中心模块通过密钥中的私钥对所述待注册的虹膜信息进行签名;所述密钥是所述认证中心模块与所述服务器预先约定的。
8.如权利要求1所述的方法,其特征在于,所述对所述待注册的虹膜信息进行签名之前,还包括:
对所述待注册的虹膜信息进行加密;
所述对所述待注册的虹膜信息进行签名,具体包括:
对加密后的所述待注册的虹膜信息进行签名。
9.如权利要求1所述的方法,其特征在于,所述对所述待注册的虹膜信息进行签名之后,还包括:
对签名后的所述待注册的虹膜信息进行加密;
所述将经过签名的所述待注册的虹膜信息返回所述客户端进行身份注册,具体包括:
将加密后的经过签名的所述待注册的虹膜信息返回所述客户端进行身份注册。
10.一种身份注册的方法,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述客户端通过所述可信环境的接口向所述认证中心模块发送身份注册请求;
接收所述认证中心模块返回的经过签名的待注册的虹膜信息;
根据经过签名的所述待注册的虹膜信息进行身份注册。
11.如权利要求10所述的方法,其特征在于,所述根据经过签名的所述待注册的虹膜信息进行身份注册,具体包括:
将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
12.如权利要求10所述的方法,其特征在于,通过所述可信环境的接口向所述认证中心模块发送身份注册请求之前,所述方法还包括:
根据所述客户端中已集成的所述认证中心模块对应的软件工具包SDK,确定访问所述可信环境的接口。
13.如权利要求10所述的方法,其特征在于,根据经过签名的所述待注册的虹膜信息进行身份注册之前,所述方法还包括:
根据发起所述身份注册请求的业务,判断是否进行远程注册;
若是,则将经过签名的所述待注册的虹膜信息发送至所述服务器进行身份注册。
14.如权利要求13所述的方法,其特征在于,所述判断是否进行远程注册之后,还包括:
若否,则向所述认证中心模块发送本地注册指令;所述本地注册指令用于所述认证中心模块将经过签名的所述待注册的虹膜信息存储在所述终端的可信环境中。
15.如权利要求10所述的方法,其特征在于,所述身份注册请求中携带有待注册的身份信息。
16.如权利要求15所述的方法,其特征在于,所述待注册的虹膜信息包括:
所述待注册的身份信息以及所述虹膜图片;或者,所述待注册的身份信息以及通过所述虹膜图片确定的待注册的虹膜特征模板。
17.一种身份注册的方法,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
服务器接收所述客户端发送的待注册的虹膜信息,其中,所述待注册的虹膜信息经过所述认证中心模块的签名;所述待注册的虹膜信息是认证中心模块采用权利要求1的方法确定的;
对所述签名进行验签;
若验签成功,则将所述待注册的虹膜信息存储在所述服务器本地;
若验签失败,则不存储所述待注册的虹膜信息。
18.如权利要求17所述的方法,其特征在于,所述待注册的虹膜信息包括:所述认证中心模块采集的虹膜图片以及待注册的身份信息,或者所述认证中心模块根据所述虹膜图片确定的待注册的虹膜特征模板以及待注册的身份信息。
19.如权利要求17所述的方法,其特征在于,所述对所述签名进行验签,具体包括:
确定经过签名的所述待注册的虹膜信息的签名的标识;
根据所述签名的标识,确定所述认证中心模块的标识;
根据所述认证中心模块的标识,确定密钥的公钥;所述密钥是所述认证中心模块与所述服务器预先约定的;
根据所述公钥,对所述待注册的虹膜信息进行验签。
20.如权利要求17所述的方法,其特征在于,所述对所述签名进行验签之后,还包括:
对验签后的所述待注册的虹膜信息进行解密。
21.如权利要求17所述的方法,其特征在于,所述对所述签名进行验签之前,还包括:
对所述待注册的虹膜信息进行解密;
所述对所述签名进行验签,具体包括:
对所述解密后的所述待注册的虹膜信息的签名进行验签。
22.如权利要求17所述的方法,其特征在于,所述服务器接收所述客户端发送的待注册的虹膜信息之前,还包括:
所述客户端判断是否需要进行远程注册;
若是,所述客户端则将签名的所述待注册的虹膜信息发送至所述服务器进行远程身份注册;
若否,所述客户端向所述认证中心模块发送本地注册指令,使所述认证中心模块在所述终端的可信环境中存储所述待注册的虹膜信息。
23.一种身份认证的方法,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述认证中心模块接收所述客户端通过所述可信环境的接口发送的身份认证请求;
根据所述身份认证请求,采集待验证的虹膜图片;
根据所述待验证的虹膜图片,确定待验证的虹膜信息;
对所述待验证的虹膜信息进行签名;
将经过签名的所述待验证的虹膜信息返回所述客户端进行身份认证。
24.如权利要求23所述的方法,其特征在于,确定待验证的虹膜信息,具体包括:
通过采集的所述待验证的虹膜图片,确定待验证的虹膜特征模板,并将所述待验证的虹膜特征模板作为所述待验证的虹膜信息;或者
将采集的所述待验证的虹膜图片作为所述待验证的虹膜信息。
25.如权利要求23所述的方法,其特征在于,所述可信环境中存储有已注册的虹膜信息;
所述方法还包括:
根据所述已注册的虹膜信息,确定所述待验证的虹膜信息的识别结果;
将所述识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证。
26.如权利要求25所述的方法,其特征在于,所述已注册的虹膜信息包括:已注册的虹膜特征模板及其关联的已注册的身份信息;或者,
所述已注册的虹膜信息包括:已注册的虹膜图片及其关联的已注册的身份信息。
27.如权利要求26所述的方法,其特征在于,根据所述已注册的虹膜信息,确定所述待验证的虹膜信息的识别结果,具体包括:
通过采集的所述待验证的虹膜图片,确定所述待验证的虹膜特征模板;
查询是否存在与所述待验证的虹膜特征模板匹配的所述已注册的虹膜信息;
若是,则将匹配的所述已注册的虹膜信息中包含的身份信息作为所述识别结果;
若否,则识别失败。
28.如权利要求25所述的方法,其特征在于,根据所述已注册的虹膜信息,确定所述待验证的虹膜信息的识别结果之前,所述方法还包括:
所述认证中心模块接收所述客户端发送的携带有本地识别指令的身份认证请求。
29.如权利要求23所述的方法,其特征在于,所述将经过签名的所述待验证的虹膜信息返回所述客户端进行身份认证之前,还包括:
接收所述客户端发送的判断结果,所述判断结果用于表示是否需要进行本地身份认证;
当所述判断结果表示不需要进行本地身份认证时,所述将经过签名的所述待验证的虹膜信息返回所述客户端进行身份认证,具体包括:
将经过签名的所述待验证的虹膜信息返回所述客户端,所述待验证的虹膜信息用于被所述客户端发送至服务器进行身份识别并将识别结果返回客户端,所述识别结果用于所述客户端进行身份认证。
30.如权利要求29所述的方法,其特征在于,所述接收所述客户端发送的判断结果之后,还包括:
当所述判断结果表示需要进行本地身份认证时,所述将经过签名的所述待验证的虹膜信息返回所述客户端进行身份认证,具体包括:
接收所述客户端发送的本地识别指令;
根据已注册的虹膜信息对所述待验证的虹膜信息进行匹配,确定识别结果;所述已注册的虹膜信息存储在所述可信环境中;
将所述识别结果返回所述客户端,用于所述客户端进行身份认证。
31.如权利要求23所述的方法,其特征在于,所述对所述待注册的虹膜信息进行签名,具体包括:
所述认证中心模块通过密钥中的私钥对所述待注册的虹膜信息进行签名;所述密钥是所述认证中心模块与所述服务器预先约定的。
32.一种身份认证的方法,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
所述客户端通过所述可信环境的接口向所述认证中心模块发送身份认证请求;
接收所述认证中心模块返回的经过签名的待验证的虹膜信息;
根据经过签名的所述待验证的虹膜信息进行身份认证。
33.如权利要求32所述的方法,其特征在于,通过所述可信环境的接口向所述认证中心模块发送身份认证请求之前,所述方法还包括:
根据已集成的所述认证中心模块对应的软件工具包SDK,确定访问所述可信环境的接口。
34.如权利要求32所述的方法,其特征在于,所述根据经过签名的所述验证的虹膜信息进行身份认证,具体包括:
将经过签名的所述待验证的虹膜信息发送至服务器;
接收所述服务器根据所述经过签名的待验证的虹膜信息返回的识别结果;
根据所述识别结果进行身份认证。
35.如权利要求34所述的方法,其特征在于,所述将经过签名的所述待验证的虹膜信息发送至服务器之前,还包括:
根据发起所述身份认证请求的业务,判断是否需要进行远程身份认证;
若是,将经过签名的所述待验证的虹膜信息发送至服务器。
36.如权利要求34所述的方法,其特征在于,所述服务器返回的所述识别结果包括:与所述待验证的虹膜信息匹配的已注册的身份信息,或者匹配失败结果。
37.如权利要求36所述的方法,其特征在于,根据所述识别结果进行身份认证,具体包括:
当所述服务器返回的识别结果为所述已注册的身份信息时,判断所述已注册的身份信息与请求认证的身份信息是否一致;若是,则确定所述身份认证通过;若否,则确定所述身份认证不通过;
当所述服务器返回的识别结果为匹配失败时,确定所述身份认证不通过。
38.如权利要求37所述的方法,其特征在于,所述可信环境中存储有已注册的虹膜信息;
向所述认证中心模块发送身份认证请求,具体包括:
根据发起所述身份认证请求的业务确定是否在本地进行身份认证;
若是,则将本地识别指令携带在所述身份认证请求中发送至所述认证中心模块,所述本地识别指令用于使所述认证中心模块根据所述已注册的虹膜信息确定识别结果,并返回;
若否,则将所述身份认证请求中发送至所述认证中心模块。
39.如权利要求38所述的方法,其特征在于,根据所述识别结果进行身份认证,具体包括:
根据所述认证中心模块确定的识别结果和/或所述服务器返回的识别结果,进行身份认证。
40.如权利要求32所述的方法,其特征在于,所述对所述待注册的虹膜信息进行签名,具体包括:
所述认证中心模块通过密钥中的私钥对所述待注册的虹膜信息进行签名;所述密钥是所述认证中心模块与所述服务器预先约定的。
41.一种身份认证的方法,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述方法包括:
服务器接收所述客户端发送的待验证的虹膜信息,其中,所述待验证的虹膜信息经过所述认证中心模块的签名;所述待验证的虹膜信息是认证中心模块采用权利要求23中的方法确定的;
对所述签名进行验签;
若验签成功,则将已注册的各虹膜信息与所述待验证的虹膜信息分别进行匹配,以确定识别结果,并将识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证;
若验签失败,则向所述客户端返回验签失败的信息。
42.如权利要求41所述的方法,其特征在于,将已注册的各虹膜信息与所述待验证的虹膜信息分别进行匹配,根据匹配的结果确定识别结果,具体包括:
根据所述待验证的虹膜信息,确定待验证的虹膜特征模板;
查询是否存在与所述待验证的虹膜特征模板匹配的所述已注册的虹膜信息;
若是,则将匹配的所述已注册的虹膜信息中包含的身份信息作为所述识别结果;
若否,则识别失败。
43.如权利要求41所述的方法,其特征在于,所述服务器接收所述客户端发送的待验证的虹膜信息之前,还包括:
所述客户端根据发起所述身份认证请求的业务确定是否在本地进行身份认证;
若是,则将本地识别指令携带在所述身份认证请求中发送至所述认证中心模块,所述本地识别指令用于使所述认证中心模块根据存储在所述可信环境中的已注册的虹膜信息确定识别结果,并返回;
若否,则将所述身份认证请求发送至所述认证中心模块,客户端接收所述认证中心模块返回的经过签名的待验证的虹膜信息,客户端将经过签名的所述待验证的虹膜信息发送至所述服务器。
44.一种身份注册的装置,其特征在于,所述装置与客户端安装在终端上,所述装置位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端通过所述可信环境的接口发送的身份注册请求;
采集模块,根据所述身份注册请求,采集虹膜图片;
确定模块,根据所述虹膜图片,确定待注册的虹膜信息;
签名注册模块,对所述待注册的虹膜信息进行签名,并将经过签名的所述待注册的虹膜信息返回所述客户端进行身份注册。
45.一种身份注册的装置,其特征在于,认证中心模块与所述装置安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
发送模块,通过所述可信环境的接口向所述认证中心模块发送身份注册请求;
接收模块,接收所述认证中心模块返回的经过签名的待注册的虹膜信息;
注册模块,根据经过签名的所述待注册的虹膜信息进行身份注册。
46.一种身份注册的装置,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端发送的待注册的虹膜信息,其中,所述待注册的虹膜信息经过所述认证中心模块的签名;所述待注册的虹膜信息是认证中心模块采用权利要求1中的方法确定的;
验签注册模块,对所述签名进行验签,若验签成功,则将所述待注册的虹膜信息存储在所述身份注册的装置本地,若验签失败,则不存储所述待注册的虹膜信息。
47.一种身份认证的装置,其特征在于,所述装置与客户端安装在终端上,所述装置位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端通过所述可信环境的接口发送的身份认证请求;
采集模块,根据所述身份认证请求,采集待验证的虹膜图片;
确定模块,根据所述待验证的虹膜图片,确定待验证的虹膜信息;
签名认证模块,对所述待验证的虹膜信息进行签名,并将经过签名的所述待验证的虹膜信息返回所述客户端进行身份认证。
48.一种身份认证的装置,其特征在于,认证中心模块与所述装置安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
发送模块,通过所述可信环境的接口向所述认证中心模块发送身份认证请求;
接收模块,接收所述认证中心模块返回的经过签名的待验证的虹膜信息;
认证模块,根据经过签名的所述待验证的虹膜信息进行身份认证。
49.一种身份认证的装置,其特征在于,认证中心模块与客户端安装在终端上,所述认证中心模块位于所述终端的可信环境中,所述装置包括:
接收模块,接收所述客户端发送的待验证的虹膜信息,其中,所述待验证的虹膜信息经过所述认证中心模块的签名;所述待验证的虹膜信息是所述认证中心模块采用权利要求23中的方法确定的;
验签认证模块,对所述签名进行验签,若验签成功,则将已注册的各虹膜信息与所述待验证的虹膜信息分别进行匹配,以确定识别结果,并将识别结果返回所述客户端,以使得所述客户端根据所述识别结果进行身份认证,若验签失败,则向所述客户端返回验签失败的信息。
CN202010635104.5A 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置 Pending CN111669408A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010635104.5A CN111669408A (zh) 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201710202029.1A CN107196901B (zh) 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置
CN202010635104.5A CN111669408A (zh) 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201710202029.1A Division CN107196901B (zh) 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置

Publications (1)

Publication Number Publication Date
CN111669408A true CN111669408A (zh) 2020-09-15

Family

ID=59871045

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201710202029.1A Active CN107196901B (zh) 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置
CN202010635104.5A Pending CN111669408A (zh) 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201710202029.1A Active CN107196901B (zh) 2017-03-30 2017-03-30 一种身份注册及认证的方法及装置

Country Status (1)

Country Link
CN (2) CN107196901B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112580009A (zh) * 2020-12-22 2021-03-30 北京八分量信息科技有限公司 大数据系统中对用户身份进行认证的方法、装置及相关产品
WO2024139616A1 (zh) * 2022-12-26 2024-07-04 支付宝(杭州)信息技术有限公司 签名认证方法和装置

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111512608B (zh) * 2017-09-27 2021-09-07 华为技术有限公司 基于可信执行环境的认证协议
SE1850155A1 (en) * 2018-02-13 2019-08-14 Fingerprint Cards Ab Registration of data at a sensor reader and request of data at the sensor reader
CN108566389B (zh) * 2018-03-28 2021-02-23 中国工商银行股份有限公司 一种跨应用的指纹身份认证方法及装置
CN108960117A (zh) * 2018-06-28 2018-12-07 奇瑞汽车股份有限公司 为车辆人脸识别账户设置人脸图像的方法和系统
CN109359826A (zh) * 2018-09-25 2019-02-19 苏州活衍网络技术有限公司 电子商务平台、注册方法和装置
CN109583165A (zh) * 2018-10-12 2019-04-05 阿里巴巴集团控股有限公司 一种生物特征信息处理方法、装置、设备及系统
CN110022208A (zh) * 2019-03-21 2019-07-16 阿里巴巴集团控股有限公司 图像采集的方法、装置、电子设备
CN110162951B (zh) * 2019-05-28 2022-09-09 吉林无罔生物识别科技有限公司 虹膜信息注册与验证方法、系统及计算机可读存储介质
CN111784355B (zh) * 2020-07-17 2023-03-10 支付宝(杭州)信息技术有限公司 一种基于边缘计算的交易安全性验证方法及装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020176583A1 (en) * 2001-05-23 2002-11-28 Daniel Buttiker Method and token for registering users of a public-key infrastructure and registration system
CN102136760A (zh) * 2010-01-25 2011-07-27 索尼公司 电力管理装置、电力管理系统及设备控制方法
WO2014026443A1 (zh) * 2012-08-13 2014-02-20 鹤山世达光电科技有限公司 身份认证管理装置及其方法
CN104115465A (zh) * 2012-01-20 2014-10-22 交互数字专利控股公司 具有本地功能的身份管理
CN104283885A (zh) * 2014-10-14 2015-01-14 中国科学院信息工程研究所 一种基于智能终端本地认证的多sp安全绑定的实现方法
CN104954329A (zh) * 2014-03-27 2015-09-30 阿里巴巴集团控股有限公司 一种生物特征信息的处理方法及装置
CN105550562A (zh) * 2015-12-31 2016-05-04 北京无线电计量测试研究所 一种基于虹膜识别身份认证的信息管理系统及方法
CN105847303A (zh) * 2016-06-12 2016-08-10 深圳益强信息科技有限公司 一种智能门禁的验证方法及系统
CN105897428A (zh) * 2016-04-28 2016-08-24 武汉大学 一种基于虹膜识别的实时视频安全通讯系统及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101330386A (zh) * 2008-05-19 2008-12-24 刘洪利 基于生物特征的认证系统及其身份认证方法
CN105306490B (zh) * 2015-11-23 2018-04-24 小米科技有限责任公司 支付验证系统、方法及装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020176583A1 (en) * 2001-05-23 2002-11-28 Daniel Buttiker Method and token for registering users of a public-key infrastructure and registration system
CN102136760A (zh) * 2010-01-25 2011-07-27 索尼公司 电力管理装置、电力管理系统及设备控制方法
CN104115465A (zh) * 2012-01-20 2014-10-22 交互数字专利控股公司 具有本地功能的身份管理
WO2014026443A1 (zh) * 2012-08-13 2014-02-20 鹤山世达光电科技有限公司 身份认证管理装置及其方法
CN104954329A (zh) * 2014-03-27 2015-09-30 阿里巴巴集团控股有限公司 一种生物特征信息的处理方法及装置
CN104283885A (zh) * 2014-10-14 2015-01-14 中国科学院信息工程研究所 一种基于智能终端本地认证的多sp安全绑定的实现方法
CN105550562A (zh) * 2015-12-31 2016-05-04 北京无线电计量测试研究所 一种基于虹膜识别身份认证的信息管理系统及方法
CN105897428A (zh) * 2016-04-28 2016-08-24 武汉大学 一种基于虹膜识别的实时视频安全通讯系统及方法
CN105847303A (zh) * 2016-06-12 2016-08-10 深圳益强信息科技有限公司 一种智能门禁的验证方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郭茂文: "基于FIDO协议的指纹认证方案研究", 《广东通信技术》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112580009A (zh) * 2020-12-22 2021-03-30 北京八分量信息科技有限公司 大数据系统中对用户身份进行认证的方法、装置及相关产品
WO2024139616A1 (zh) * 2022-12-26 2024-07-04 支付宝(杭州)信息技术有限公司 签名认证方法和装置

Also Published As

Publication number Publication date
CN107196901B (zh) 2020-06-02
CN107196901A (zh) 2017-09-22

Similar Documents

Publication Publication Date Title
CN107196901B (zh) 一种身份注册及认证的方法及装置
EP3591931B1 (en) Authentication method, and authentication data processing method and device based on blockchain
US10728044B1 (en) User authentication with self-signed certificate and identity verification and migration
CN110768968B (zh) 基于可验证声明的授权方法、装置、设备及系统
US11030287B2 (en) User-behavior-based adaptive authentication
CN110795501A (zh) 基于区块链的可验证声明的创建方法、装置、设备及系统
KR20190118561A (ko) 디지털 인증서 관리 방법, 장치 및 시스템
CN108964925B (zh) 一种文件认证设备方法、装置、设备及可读介质
US10938572B2 (en) Revocable biometric-based keys for digital signing
CN111431719A (zh) 一种移动终端密码保护模块、移动终端及密码保护方法
JP2018532301A (ja) 本人認証方法及び装置
US11722315B2 (en) Factory data storage and recovery
EP3206329B1 (en) Security check method, device, terminal and server
WO2021190197A1 (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
CN110290134A (zh) 一种身份认证方法、装置、存储介质及处理器
US9455982B2 (en) Identification authentication in a communications network
CN114444134A (zh) 一种数据使用授权方法、系统及装置
CN115001817B (zh) 一种离线的身份识别方法、装置及设备
CN109063430A (zh) 一种数据存储以及身份验证的方法、装置及设备
CN116011028B (zh) 电子签名方法、电子签名设备和电子签名系统
KR102702681B1 (ko) 전자 장치 및 전자 장치에서의 인증 방법
CN106533685B (zh) 身份认证方法、装置及系统
CN107104922B (zh) 一种权限管理和资源控制的方法及装置
CN115603943A (zh) 一种离线身份验证的方法、装置、存储介质及电子设备
CN106161365B (zh) 一种数据处理方法、装置及终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20200927

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Applicant after: Innovative advanced technology Co.,Ltd.

Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Applicant before: Advanced innovation technology Co.,Ltd.

Effective date of registration: 20200927

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Applicant after: Advanced innovation technology Co.,Ltd.

Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands

Applicant before: Alibaba Group Holding Ltd.

REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40037728

Country of ref document: HK