CN112118243A - 身份认证方法及系统,和互联网应用登录方法及系统 - Google Patents
身份认证方法及系统,和互联网应用登录方法及系统 Download PDFInfo
- Publication number
- CN112118243A CN112118243A CN202010942315.3A CN202010942315A CN112118243A CN 112118243 A CN112118243 A CN 112118243A CN 202010942315 A CN202010942315 A CN 202010942315A CN 112118243 A CN112118243 A CN 112118243A
- Authority
- CN
- China
- Prior art keywords
- identity
- token
- user identity
- identity authentication
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Collating Specific Patterns (AREA)
Abstract
本公开实施例提供一种身份认证方法及系统,和互联网应用登录方法及系统,其中,所述身份认证方法包括:SIM卡采用预共享密钥对其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给终端设备;终端设备采集当前用户的第一人脸图像并与一次性用户身份信息密文一起发送给身份认证服务器;身份认证服务器采用预共享密钥解密一次性用户身份信息密文,得到第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将其与第一人脸图像进行对比,若对比结果为一致,则确认用户身份认证通过。本公开实施例利用用户身份信息结合人脸识别提供类似于身份证核验的多要素验证方案,更适合于互联网应用。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种身份认证方法、一种身份认证系统、一种互联网应用登录方法、一种互联网应用登录系统、一种计算机设备以及一种计算机可读存储介质。
背景技术
对使用者进行身份认证是很多互联网应用以及线下场景(住酒店、机场安检等)必须的安全保障措施。目前常用的身份认证方法包括基于账号密码的认证、基于安全芯片的认证,以及基于人脸识别的认证等。
上述身份认证方法均为单一要素的认证方式,然而单一要素的认证方式已经不能满足目前的安全需要,很多安全敏感场景都要求进行多要素验证。例如,传统二代身份证的核验就是一种典型的多要素认证。首先,二代身份证中包含安全芯片,难以复制,具有唯一性;其次,使用二代身份证时,需要对持证人的面部信息与证件中保存的照片进行对比,确保是否为本人使用,即采用身份证+人脸比对的方式可以较好地证明身份。但二代身份证是为线下使用设计,若直接用于互联网应用,则使用相当复杂,而且安全性也很难保障,故而不适合互联网应用。
因此,提出一种适合于互联网应用的涉及多要素验证的身份认证方案是目前亟待解决的问题。
发明内容
为了至少部分解决现有技术中存在的技术问题而完成了本公开。
根据本公开实施例的一方面,提供一种身份认证方法,所述方法包括:
SIM卡采用预共享密钥对其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给终端设备;
终端设备采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;以及,
身份认证服务器采用预共享密钥解密一次性用户身份信息密文,得到第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则确认用户身份认证通过。
根据本公开实施例的另一方面,提供一种互联网应用登录方法,所述方法包括:
当终端设备内安装的某一应用APP访问对应的应用服务器时,应用服务器从身份认证服务器处获取认证标识token并反馈给应用APP;
应用APP通过终端设备内安装的身份认证APP将token发送给SIM卡;
SIM卡采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP;
身份认证APP调用终端设备的采集模块采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
身份认证服务器采用预共享密钥解密一次性用户身份信息密文,得到token和第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则基于第一用户身份ID得到第二用户身份ID,并将第二用户身份ID与token作为认证结果反馈给应用服务器;
应用服务器通过认证结果中的第二用户身份ID确定对应的用户账号;以及,
应用APP通过token在应用服务器上登录所述用户账号。
根据本公开实施例的又一方面,提供一种身份认证系统,所述系统包括:包括:SIM卡、终端设备和身份认证服务器;
SIM卡设置为,采用预共享密钥对其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给终端设备;
终端设备设置为,采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
身份认证服务器设置为,采用预共享密钥解密一次性用户身份信息密文,得到第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则确认用户身份认证通过。
根据本公开实施例的再一方面,提供一种互联网应用登录系统,所述方法包括:包括:SIM卡、终端设备、应用服务器和身份认证服务器,所述终端设备内安装有应用APP和身份认证APP;
当应用APP访问对应的应用服务器时,应用服务器设置为,从身份认证服务器处获取认证标识token并反馈给应用APP;
应用APP设置为,通过身份认证APP将token发送给SIM卡;
SIM卡设置为,采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP;
身份认证APP设置为,调用终端设备的采集模块采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
身份认证服务器设置为,采用预共享密钥解密一次性用户身份信息密文,得到token和第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则基于第一用户身份ID得到第二用户身份ID,并将第二用户身份ID与token作为认证结果反馈给应用服务器;
应用服务器还设置为,通过认证结果中的第二用户身份ID确定对应的用户账号;
应用APP还设置为,通过token在应用服务器上登录所述用户账号。
根据本公开实施例的还一方面,提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行前述身份认证方法或者前述互联网应用登录方法。
根据本公开实施例的还一方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行前述身份认证方法或者前述互联网应用登录方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开实施例提供的身份认证方法,将用户身份信息保存在SIM卡中,通过密码学的方式确保用户申请身份认证时务必持有SIM卡,再利用用户身份信息结合人脸识别以保证人证合一,从而提供类似于身份证核验的多要素验证方案,更适合于互联网应用。
本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
图1为本公开实施例提供的身份认证方法的流程示意图;
图2为本公开实施例提供的一种互联网应用登录方法的流程示意图;
图3为本公开实施例提供的另一种互联网应用登录方法的流程示意图;
图4为本公开实施例提供的身份认证系统的结构示意图;
图5为本公开实施例提供的互联网应用登录系统的结构示意图;
图6为本公开实施例提供的计算机设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序;并且,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
图1为本公开实施例提供的身份认证方法的流程示意图。如图1所示,所述身份认证方法包括如下步骤S101至S103。
S101.SIM(Subscriber Identity Module,用户身份识别模块)卡采用预共享密钥对其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给终端设备;
S102.终端设备采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
S103.身份认证服务器采用预共享密钥解密一次性用户身份信息密文,得到第一用户身份ID(身份标识号,Identity的缩写),并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则确认用户身份认证通过;若对比结果为不一致,则确认用户身份认证失败。
其中,SIM卡内预先存储有第一用户身份ID。由于SIM卡内置安全芯片,难以复制,具有唯一性,且不可篡改,较适用于身份认证。
本公开实施例中,SIM卡与身份认证服务器之间配置有预共享密钥,以实现一者通过密钥加密,而另一者通过密钥解密。
在一种具体实施方式中,步骤S101和S103所述预共享密钥为SIM卡和身份认证服务器共同持有的同一个预设对称密码算法(如3DES算法、AES算法等)密钥;或者,所述预共享密钥为SIM卡和身份认证服务器分别持有的一对预设非对称密码算法(如RAS算法、ECC算法等)密钥中的私钥和公钥。例如,SIM卡持有私钥,而身份认证服务器持有公钥。其中,3DES算法、AES算法、RAS算法和ECC算法均为现有算法,本公开不再赘述。
本公开实施例提供的身份认证方法,将用户身份信息保存在SIM卡中,通过密码学的方式确保用户申请身份认证时务必持有SIM卡,再利用用户身份信息结合人脸识别以保证人证合一,从而提供类似于身份证核验的多要素验证方案,更适合于互联网应用。
图2为本公开实施例提供的一种互联网应用登录方法的流程示意图。如图2所示,所述互联网应用登录方法包括如下步骤S201至S207。
S201.当终端设备内安装的某一应用APP(应用程序,Application的缩写)访问对应的应用服务器时,应用服务器从身份认证服务器处获取token并反馈给应用APP;
S202.应用APP通过终端设备内安装的身份认证APP将token发送给SIM卡;
S203.SIM卡采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP;
S204.身份认证APP调用终端设备的采集模块采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
S205.身份认证服务器采用预共享密钥解密一次性用户身份信息密文,得到token和第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则基于第一用户身份ID得到第二用户身份ID,并将第二用户身份ID与token作为认证结果反馈给应用服务器;若对比结果为不一致,则结束流程;
S206.应用服务器通过认证结果中的第二用户身份ID确定对应的用户账号;
S207.应用APP通过token在应用服务器上登录所述用户账号。
其中,在步骤S201中,终端设备内可安装不止一款应用APP,不同的应用APP可对应不同的应用服务器;应用服务器从身份认证服务器处获取的token是一种认证标识,其原意是“令牌”,实则是身份认证服务器(即服务端)为本次身份认证生成的一串字符串,作为终端设备内安装的应用APP(即客户端)进行请求的一个标识。在步骤S203和S205中,SIM卡和身份认证服务器之间配置有预共享密钥,以实现一者通过密钥加密,而另一者通过密钥解密。在步骤S203中,SIM卡内预先存储有第一用户身份ID。在步骤S204中,终端设备的采集设备可以为终端内置摄像头。在步骤S206中,应用服务器内可预先存储有第二用户身份ID与用户账号之间的对应关系,以使得应用服务器可以根据认证结果中的第二用户身份ID得出对应的用户账号。
本公开实施例中,当终端设备内安装的某一应用APP访问对应的应用服务器时,在结合用户身份信息和人脸识别实现身份认证之后,应用服务器得到包含第二用户身份ID和token的认证结果,再根据认证结果中的第二用户身份ID确定对应的用户账号,从而得到token和用户账号的对应关系,然后应用APP就可通过token在应用服务器上登录所述用户账号,并执行后续访问操作,从而实现应用APP无需提供账号信息仅凭token就能访问应用服务器,用户体验好。
在一种具体实施方式中,步骤S201具体包括如下步骤S2011至S2013。
S2011.当终端设备内安装的某一应用APP访问对应的应用服务器时,应用服务器向身份认证服务器发送第一认证请求,所述第一认证请求包括应用服务器ID;
S2012.身份认证服务器基于所述第一认证请求生成一个token并返回给应用服务器,其中所述token具有唯一性;
S2013.应用服务器将所述token反馈给应用APP。
本公开实施例中,身份认证服务器基于应用服务器每一次发送的第一认证请求生成的token都不一样,以保证token具有唯一性。
进一步地,步骤S2012具体为:
身份认证服务器根据当前时间的时间戳、应用服务器ID和随机数生成一个token并返回给应用服务器。
在一种具体实施方式中,步骤S202具体包括如下步骤S2022和S2023。
S2022.应用APP向身份认证APP发送第二认证请求,所述第二认证请求包括所述token;
S2023.身份认证APP基于预设的访问权限访问SIM卡内安装的身份认证卡应用,并将所述token发送给身份认证卡应用。
相应地,步骤S203具体为:身份认证卡应用采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP。
本公开实施例中,终端设备的操作系统可以控制身份认证APP对SIM卡内安装的身份认证卡应用的访问权限,即采用预设的访问权限实现身份认证APP对身份认证卡应用的访问权限的控制,以确保只有具备访问权限的应用APP才能访问身份认证卡应用。例如,终端设备的操作系统可采用GPAC标准定义的访问权限控制技术,由于GPAC标准为本领域公知常识,此处不再赘述。
在一种具体实施方式中,步骤S203具体包括如下步骤S2031至S2033。
S2031.SIM卡内安装的身份认证卡应用生成一次性用户身份信息,其中包括token和其内存储的第一用户身份ID;
S2032.身份认证卡应用采用预共享密钥对一次性用户身份信息进行加密,以生成一次性用户身份信息密文;
S2033.身份认证卡应用将一次性用户身份信息密文发送给身份认证APP。
在一种具体实施方式中,步骤S203和步骤S205所述预共享密钥为SIM卡内安装的身份认证卡应用和身份认证服务器共同持有的同一个预设对称密码算法(如3DES算法、AES算法等)密钥;或者,所述预共享密钥为身份认证卡应用和身份认证服务器分别持有的一对预设非对称密码算法(如RAS算法、ECC算法等)密钥中的私钥和公钥。例如,身份认证卡应用持有私钥,而身份认证服务器持有公钥。
在一种具体实施方式中,步骤S205中身份认证服务器得到token和第一用户身份ID之后,以及使用第一用户身份ID检索人脸信息数据库之前,还包括如下步骤:
身份认证服务器验证token是否有效,具体地:
身份认证服务器检查所述token是否在其内存储的token库中,若在其内存储的token库中,则继续检查所述token中包含的时间是否在预设的合理时间范围内,若是,则确认所述token有效,然后执行使用第一用户身份ID检索人脸信息数据库的步骤;若否,则确认所述token无效,结束流程。
本公开实施例中,身份证认证服务器得到token和第一用户身份ID后,先验证token是否有效,并在验证token有效之后,才执行使用第一用户身份ID检索人脸信息数据库的步骤。身份认证服务器内存储有token库,而且身份认证服务器基于应用服务器每一次发送的第一认证请求生成的token都存储于所述token库中。
在一种具体实施方式中,步骤S205中身份认证服务器基于第一用户身份ID得到第二用户身份ID,具体为:
使第二用户身份ID与第一用户身份ID一致;或者,
对第一用户身份ID进行衍生处理以得到第二用户身份ID,具体地,使用第一用户身份ID作为密钥对应用服务器ID进行加密,将得到的密文作为第二用户身份ID。
本公开实施例中,身份认证服务器预先为每个应用服务器分配一个应用服务器ID,以区分不同的应用服务器。
图3为本公开实施例提供的另一种互联网应用登录方法的流程示意图。如图3所示,所述互联网应用登录方法包括如下步骤S301至S309。其中,终端设备内安装有应用APP和身份认证APP,SIM卡内安装有身份认证卡应用。
S301.应用APP访问对应的应用服务器,应用服务器启动对用户进行身份认证的流程。
S302.应用服务器向身份认证服务器发送第一认证请求,所述第一认证请求包括应用服务器ID;身份认证服务器收到第一认证请求后,为本次认证请求生成一个token,并将token返回给应用服务器,其中所述token具有唯一性。
S303.应用服务器将token发送给应用APP。
S304.应用APP向身份认证APP发送第二认证请求,以请求身份认证APP进行认证,所述第二认证请求包括所述token。
S305.身份认证APP访问身份认证卡应用,将token发送给身份认证卡应用,以请求读取用户身份信息。
S306.身份认证卡应用生成一次性用户身份信息,其包含token和第一用户身份ID;身份认证卡应用使用预共享密钥加密一次性用户身份信息以生成一次性用户身份信息密文,并将该密文返回给身份认证APP。
S307.身份认证APP调用终端设备的图像采集模块采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器。
S308.身份认证服务器使用预共享密钥解密一次性用户身份信息,得到token和第一用户身份ID。然后执行下列两步验证操作:
1)身份认证服务器首先验证token是否有效。一种验证方法可以为:检查该token是否在身份认证服务器已生成并保存的token库中,同时检查token中包含的时间是否在合理的时间范围内,若二者均满足,则确认所述token有效。而如果确认所述token无效,则认证失败,结束流程。
2)如果确认所述token有效,身份认证服务器使用第一用户身份ID检索人脸信息数据库,得到第二人脸图像。身份认证服务器对比第一人脸图像和第二人脸图像,如果一致则验证通过,否则验证不通过,结束流程。
如果上述两步验证均通过,则身份认证服务器基于第一用户身份ID得到第二用户身份ID,再将认证结果发送给应用服务器,所述认证结果中包括token和第二用户身份ID。
S309.应用服务器通过认证结果中的第二用户身份ID确定对应的用户账号;应用APP可通过token在应用服务器上登录所述用户账号,并执行后续访问操作。
本公开实施例提供的互联网应用登录方法,当终端设备内安装的某一应用APP访问对应的应用服务器时,先结合用户身份信息和人脸识别实现多要素的身份认证,以实现实卡实人,即用户不但需要持有SIM卡,同时需要通过人脸识别才能确认是本人使用;在确认用户身份认证通过后,应用服务器从身份认证服务器处得到包含第二用户身份ID和token的认证结果,再根据认证结果中的第二用户身份ID确定对应的用户账号,从而得到token和用户账号的对应关系,然后应用APP就可通过token在应用服务器上登录所述用户账号,并执行后续访问操作,从而实现应用APP无需提供账号信息仅凭token就能访问应用服务器,用户体验好。
图4为本公开实施例提供的身份认证系统的结构示意图。如图4所示,所述身份认证系统包括:SIM卡1、终端设备2和身份认证服务器4。
其中,SIM卡1设置为,采用预共享密钥对其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给终端设备2;
终端设备2设置为,采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器4;
身份认证服务器4设置为,采用预共享密钥解密一次性用户身份信息密文,得到第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则确认用户身份认证通过;若对比结果为不一致,则确认用户身份认证失败。
其中,SIM卡内预先存储有第一用户身份ID。由于SIM卡内置安全芯片,难以复制,具有唯一性,且不可篡改,较适用于身份认证。
本公开实施例中,SIM卡与身份认证服务器之间配置有预共享密钥,以实现一者通过密钥加密,而另一者通过密钥解密。
在一种具体实施方式中,所述预共享密钥为SIM卡1和身份认证服务器4共同持有的同一个预设对称密码算法(如3DES算法、AES算法等)密钥;或者,所述预共享密钥为SIM卡1和身份认证服务器4分别持有的一对预设非对称密码算法(如RAS算法、ECC算法等)密钥中的私钥和公钥。
本公开实施例提供的身份认证系统,将用户身份信息保存在SIM卡中,通过密码学的方式确保用户申请身份认证时务必持有SIM卡,再利用用户身份信息结合人脸识别以保证人证合一,从而提供类似于身份证核验的多要素验证方案,更适合于互联网应用。
图5为本公开实施例提供的互联网应用登录系统的结构示意图。如图5所示,所述互联网应用登录系统包括:SIM卡1、终端设备2、应用服务器3和身份认证服务器4。所述终端设备2内安装有应用APP21和身份认证APP22。
其中,当应用APP21访问对应的应用服务器3时,应用服务器3设置为,从身份认证服务器4处获取token并反馈给应用APP21;应用APP21设置为,通过身份认证APP22将token发送给SIM卡1;SIM卡1设置为,采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP22;身份认证APP22设置为,调用终端设备的采集模块采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器4;身份认证服务器4设置为,采用预共享密钥解密一次性用户身份信息密文,得到token和第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库5以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则基于第一用户身份ID得到第二用户身份ID,并将第二用户身份ID与token作为认证结果反馈给应用服务器3;若对比结果为不一致,则结束当前操作;应用服务器3还设置为,通过认证结果中的第二用户身份ID确定对应的用户账号;应用APP21还设置为,通过token在应用服务器上登录所述用户账号。
具体地,终端设备内可安装不止一款应用APP,不同的应用APP可对应不同的应用服务器;应用服务器从身份认证服务器处获取的token是一种认证标识,其原意是“令牌”,实则是身份认证服务器(即服务端)为本次身份认证生成的一串字符串,作为终端设备内安装的应用APP(即客户端)进行请求的一个标识。SIM卡和身份认证服务器之间配置有预共享密钥,以实现一者通过密钥加密,而另一者通过密钥解密。终端设备的采集设备可以为终端内置摄像头。应用服务器内可预先存储有第二用户身份ID与用户账号之间的对应关系,以使得应用服务器可以根据认证结果中的第二用户身份ID得出对应的用户账号。
本公开实施例中,当终端设备内安装的某一应用APP访问对应的应用服务器时,在结合用户身份信息和人脸识别实现身份认证之后,应用服务器得到包含第二用户身份ID和token的认证结果,再根据认证结果中的第二用户身份ID确定对应的用户账号,从而得到token和用户账号的对应关系,然后应用APP就可通过token在应用服务器上登录所述用户账号,并执行后续访问操作,从而实现应用APP无需提供账号信息仅凭token就能访问应用服务器,用户体验好。
在一种具体实施方式中,应用服务器3具体设置为,向身份认证服务器4发送第一认证请求,所述第一认证请求包括应用服务器ID;身份认证服务器4具体设置为,基于所述第一认证请求生成一个token并返回给应用服务器3,其中所述token具有唯一性。
本公开实施例中,身份认证服务器基于应用服务器每一次发送的第一认证请求生成的token都不一样,以保证token具有唯一性。
进一步地,身份认证服务器4具体设置为,根据当前时间的时间戳、应用服务器ID和随机数生成一个token并返回给应用服务器3。
在一种具体实施方式中,应用APP21具体设置为,向身份认证APP22发送第二认证请求,所述第二认证请求包括所述token;身份认证APP22基于预设的访问权限访问SIM卡1内安装的身份认证卡应用11,并将所述token发送给身份认证卡应用11。
相应地,身份认证卡应用11设置为,应用采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP22。
本公开实施例中,终端设备2的操作系统可以控制身份认证APP22对SIM卡1内安装的身份认证卡应用11的访问权限,即采用预设的访问权限实现身份认证APP22对身份认证卡应用11的访问权限的控制,以确保只有具备访问权限的应用APP21才能访问身份认证卡应用11。例如,终端设备的操作系统可采用GPAC标准定义的访问权限控制技术,由于GPAC标准为本领域公知常识,此处不再赘述。
在一种具体实施方式中,身份认证卡应用11具体设置为,生成一次性用户身份信息,其中包括token和其内存储的第一用户身份ID;采用预共享密钥对一次性用户身份信息进行加密,以生成一次性用户身份信息密文;以及,将一次性用户身份信息密文发送给身份认证APP22。
在一种具体实施方式中,所述预共享密钥为SIM卡内安装的身份认证卡应用和身份认证服务器共同持有的同一个预设对称密码算法(如3DES算法、AES算法等)密钥;或者,所述预共享密钥为身份认证卡应用和身份认证服务器分别持有的一对预设非对称密码算法(如RAS算法、ECC算法等)密钥中的私钥和公钥。例如,身份认证卡应用持有私钥,而身份认证服务器持有公钥。
在一种具体实施方式中,身份认证服务器4在得到token和第一用户身份ID之后,以及使用第一用户身份ID检索人脸信息数据库之前,还设置为:验证token是否有效。
进一步地,身份认证服务器4具体设置为,检查所述token是否在其内存储的token库中,若在其内存储的token库中,则继续检查所述token中包含的时间是否在预设的合理时间范围内,若是,则确认所述token有效,然后执行使用第一用户身份ID检索人脸信息数据库的操作;若否,则确认所述token无效,结束当前操作。
本公开实施例中,身份证认证服务器得到token和第一用户身份ID后,先验证token是否有效,并在验证token有效之后,才执行使用第一用户身份ID检索人脸信息数据库的步骤。身份认证服务器内存储有token库,而且身份认证服务器基于应用服务器每一次发送的第一认证请求生成的token都存储于所述token库中。
在一种具体实施方式中,身份认证服务器4基于第一用户身份ID得到第二用户身份ID,具体为:
使第二用户身份ID与第一用户身份ID一致;或者,
对第一用户身份ID进行衍生处理以得到第二用户身份ID,具体地,使用第一用户身份ID作为密钥对应用服务器ID进行加密,将得到的密文作为第二用户身份ID。
本公开实施例中,身份认证服务器预先为每个应用服务器分配一个应用服务器ID,以区分不同的应用服务器。
本公开实施例提供的互联网应用登录系统,当终端设备内安装的某一应用APP访问对应的应用服务器时,先结合用户身份信息和人脸识别实现多要素的身份认证,以实现实卡实人,即用户不但需要持有SIM卡,同时需要通过人脸识别才能确认是本人使用;在确认用户身份认证通过后,应用服务器从身份认证服务器处得到包含第二用户身份ID和token的认证结果,再根据认证结果中的第二用户身份ID确定对应的用户账号,从而得到token和用户账号的对应关系,然后应用APP就可通过token在应用服务器上登录所述用户账号,并执行后续访问操作,从而实现应用APP无需提供账号信息仅凭token就能访问应用服务器,用户体验好。
基于相同的技术构思,本公开实施例相应还提供一种计算机设备,如图6所示,所述计算机设备6包括存储器61和处理器62,所述存储器61中存储有计算机程序,当所述处理器62运行所述存储器61存储的计算机程序时,所述处理器62执行前述身份认证方法或前述互联网应用登录方法。
基于相同的技术构思,本公开实施例相应还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行前述身份认证方法或前述互联网应用登录方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。
Claims (12)
1.一种身份认证方法,其特征在于,包括:
SIM卡采用预共享密钥对其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给终端设备;
终端设备采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;以及,
身份认证服务器采用预共享密钥解密一次性用户身份信息密文,得到第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则确认用户身份认证通过。
2.根据权利要求1所述的方法,其特征在于,所述预共享密钥为SIM卡和身份认证服务器共同持有的同一个预设对称密码算法密钥;或者,所述预共享密钥为SIM卡和身份认证服务器分别持有的一对预设非对称密码算法密钥中的私钥和公钥。
3.一种互联网应用登录方法,其特征在于,包括:
当终端设备内安装的某一应用APP访问对应的应用服务器时,应用服务器从身份认证服务器处获取认证标识token并反馈给应用APP;
应用APP通过终端设备内安装的身份认证APP将token发送给SIM卡;
SIM卡采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP;
身份认证APP调用终端设备的采集模块采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
身份认证服务器采用预共享密钥解密一次性用户身份信息密文,得到token和第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则基于第一用户身份ID得到第二用户身份ID,并将第二用户身份ID与token作为认证结果反馈给应用服务器;
应用服务器通过认证结果中的第二用户身份ID确定对应的用户账号;以及,
应用APP通过token在应用服务器上登录所述用户账号。
4.根据权利要求3所述的方法,其特征在于,所述应用服务器从身份认证服务器处获取token,包括:
应用服务器向身份认证服务器发送第一认证请求,所述第一认证请求包括应用服务器ID;以及,
身份认证服务器基于所述第一认证请求生成一个token并返回给应用服务器,其中所述token具有唯一性。
5.根据权利要求4所述的方法,其特征在于,所述身份认证服务器基于所述第一认证请求生成一个token,具体为:
身份认证服务器根据当前时间的时间戳、应用服务器ID和随机数生成一个token。
6.根据权利要求3所述的方法,其特征在于,所述应用APP通过终端设备内安装的身份认证APP将token发送给SIM卡,包括:
应用APP向身份认证APP发送第二认证请求,所述第二认证请求包括所述token;以及,
身份认证APP基于预设的访问权限访问SIM卡内安装的身份认证卡应用,并将所述token发送给身份认证卡应用。
7.根据权利要求3所述的方法,其特征在于,所述身份认证服务器得到token和第一用户身份ID之后,以及使用第一用户身份ID检索人脸信息数据库之前,还包括:
身份认证服务器检查所述token是否在其内存储的token库中,若在其内存储的token库中,则继续检查所述token中包含的时间是否在预设的合理时间范围内,若是,则确认所述token有效,然后执行使用第一用户身份ID检索人脸信息数据库的步骤。
8.根据权利要求3所述的方法,其特征在于,所述身份认证服务器基于第一用户身份ID得到第二用户身份ID,具体为:
使第二用户身份ID与第一用户身份ID一致;或者,
使用第一用户身份ID作为密钥对应用服务器ID进行加密,将得到的密文作为第二用户身份ID。
9.一种身份认证系统,其特征在于,包括:SIM卡、终端设备和身份认证服务器;
SIM卡设置为,采用预共享密钥对其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给终端设备;
终端设备设置为,采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
身份认证服务器设置为,采用预共享密钥解密一次性用户身份信息密文,得到第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则确认用户身份认证通过。
10.一种互联网应用登录系统,其特征在于,包括:SIM卡、终端设备、应用服务器和身份认证服务器,所述终端设备内安装有应用APP和身份认证APP;
当应用APP访问对应的应用服务器时,应用服务器设置为,从身份认证服务器处获取认证标识token并反馈给应用APP;
应用APP设置为,通过身份认证APP将token发送给SIM卡;
SIM卡设置为,采用预共享密钥对token和其内存储的第一用户身份ID进行加密,以生成一次性用户身份信息密文并发送给身份认证APP;
身份认证APP设置为,调用终端设备的采集模块采集当前用户的第一人脸图像,并将第一人脸图像与一次性用户身份信息密文一起发送给身份认证服务器;
身份认证服务器设置为,采用预共享密钥解密一次性用户身份信息密文,得到token和第一用户身份ID,并使用第一用户身份ID检索人脸信息数据库以得到第二人脸图像,再将第一人脸图像与第二人脸图像进行对比,若对比结果为一致,则基于第一用户身份ID得到第二用户身份ID,并将第二用户身份ID与token作为认证结果反馈给应用服务器;
应用服务器还设置为,通过认证结果中的第二用户身份ID确定对应的用户账号;
应用APP还设置为,通过token在应用服务器上登录所述用户账号。
11.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1或2所述的身份认证方法,或者执行根据权利要求3至8中任一项所述的互联网应用登录方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1或2所述的身份认证方法,或者执行根据权利要求3至8中任一项所述的互联网应用登录方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010942315.3A CN112118243B (zh) | 2020-09-09 | 2020-09-09 | 身份认证方法及系统,和互联网应用登录方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010942315.3A CN112118243B (zh) | 2020-09-09 | 2020-09-09 | 身份认证方法及系统,和互联网应用登录方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118243A true CN112118243A (zh) | 2020-12-22 |
| CN112118243B CN112118243B (zh) | 2023-04-07 |
Family
ID=73803548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010942315.3A Active CN112118243B (zh) | 2020-09-09 | 2020-09-09 | 身份认证方法及系统,和互联网应用登录方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112118243B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499899A (zh) * | 2022-04-15 | 2022-05-13 | 阿里云计算有限公司 | 身份校验系统 |
| CN116582281A (zh) * | 2023-07-10 | 2023-08-11 | 中国人民解放军国防科技大学 | 一种基于密码技术的安全人脸识别方法、系统及设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100169223A1 (en) * | 2007-06-13 | 2010-07-01 | Alibaba Group Holding Limited | Payment System and Method Using an IC Identification Card |
| CN103929421A (zh) * | 2014-04-03 | 2014-07-16 | 深圳英飞拓科技股份有限公司 | 一种安防系统单点登录系统及方法 |
| WO2015039589A1 (zh) * | 2013-09-18 | 2015-03-26 | 曲立东 | 基于条形码的用户身份认证系统及认证方法 |
| CN105337997A (zh) * | 2015-11-30 | 2016-02-17 | 广州华多网络科技有限公司 | 一种应用客户端的登录方法及相关设备 |
| CN105933280A (zh) * | 2016-03-15 | 2016-09-07 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| WO2016169184A1 (zh) * | 2015-04-23 | 2016-10-27 | 中兴通讯股份有限公司 | 一种虚拟sim卡的管理方法及系统 |
| CN106101103A (zh) * | 2016-06-14 | 2016-11-09 | 乐视控股(北京)有限公司 | 用户账户登录方法、装置及系统 |
| CN108696870A (zh) * | 2018-04-26 | 2018-10-23 | 越亮传奇科技股份有限公司 | 一种基于swp-sim技术的移动终端身份认证方法 |
| CN109041205A (zh) * | 2018-08-23 | 2018-12-18 | 刘高峰 | 客户端注册方法、装置及系统 |
| CN109191112A (zh) * | 2018-07-16 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 身份验证方法及装置 |
-
2020
- 2020-09-09 CN CN202010942315.3A patent/CN112118243B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100169223A1 (en) * | 2007-06-13 | 2010-07-01 | Alibaba Group Holding Limited | Payment System and Method Using an IC Identification Card |
| WO2015039589A1 (zh) * | 2013-09-18 | 2015-03-26 | 曲立东 | 基于条形码的用户身份认证系统及认证方法 |
| CN103929421A (zh) * | 2014-04-03 | 2014-07-16 | 深圳英飞拓科技股份有限公司 | 一种安防系统单点登录系统及方法 |
| WO2016169184A1 (zh) * | 2015-04-23 | 2016-10-27 | 中兴通讯股份有限公司 | 一种虚拟sim卡的管理方法及系统 |
| CN105337997A (zh) * | 2015-11-30 | 2016-02-17 | 广州华多网络科技有限公司 | 一种应用客户端的登录方法及相关设备 |
| CN105933280A (zh) * | 2016-03-15 | 2016-09-07 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN106101103A (zh) * | 2016-06-14 | 2016-11-09 | 乐视控股(北京)有限公司 | 用户账户登录方法、装置及系统 |
| CN108696870A (zh) * | 2018-04-26 | 2018-10-23 | 越亮传奇科技股份有限公司 | 一种基于swp-sim技术的移动终端身份认证方法 |
| CN109191112A (zh) * | 2018-07-16 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 身份验证方法及装置 |
| CN109041205A (zh) * | 2018-08-23 | 2018-12-18 | 刘高峰 | 客户端注册方法、装置及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 郭达等: "《SIM卡复制原理及防范措施研究》", 《数字通信世界》 * |
| 郭达等: "《SIM卡复制原理及防范措施研究》", 《数字通信世界》, 1 June 2009 (2009-06-01), pages 75 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499899A (zh) * | 2022-04-15 | 2022-05-13 | 阿里云计算有限公司 | 身份校验系统 |
| CN114499899B (zh) * | 2022-04-15 | 2022-09-09 | 阿里云计算有限公司 | 身份校验系统 |
| CN116582281A (zh) * | 2023-07-10 | 2023-08-11 | 中国人民解放军国防科技大学 | 一种基于密码技术的安全人脸识别方法、系统及设备 |
| CN116582281B (zh) * | 2023-07-10 | 2023-09-22 | 中国人民解放军国防科技大学 | 一种基于密码技术的安全人脸识别方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112118243B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109325342B (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
| US8086868B2 (en) | Data communication method and system | |
| WO2019134233A1 (zh) | 网络令牌生成的方法、装置、终端设备及存储介质 | |
| CN110915183A (zh) | 经由硬/软令牌验证的区块链认证 | |
| US11563724B1 (en) | System and method for allowing access to an application or features thereof on each of one or more user devices | |
| CN112134708A (zh) | 一种授权方法、请求授权的方法及装置 | |
| US10511592B1 (en) | System and method for authenticating a user via a mobile device to provide a web service on a different computer system | |
| US20090154707A1 (en) | Method and system for distributing group key in video conference system | |
| US20100228987A1 (en) | System and method for securing information using remote access control and data encryption | |
| CN110311895B (zh) | 基于身份验证的会话权限校验方法、系统及电子设备 | |
| CN112118243B (zh) | 身份认证方法及系统,和互联网应用登录方法及系统 | |
| CN113221128B (zh) | 账号和密码的存储方法及注册管理系统 | |
| US11757877B1 (en) | Decentralized application authentication | |
| CN114666168B (zh) | 去中心化身份凭证验证方法、装置,以及,电子设备 | |
| CN112039857B (zh) | 一种公用基础模块的调用方法和装置 | |
| CN113886793A (zh) | 设备登录方法、装置、电子设备、系统和存储介质 | |
| CN108989021A (zh) | 信息认证方法、装置、计算机设备及可读存储介质 | |
| CN111917711A (zh) | 数据访问方法、装置、计算机设备和存储介质 | |
| CN113127818A (zh) | 一种基于区块链的数据授权方法、装置及可读存储介质 | |
| EP3975015B9 (en) | Applet package sending method and device and computer readable medium | |
| CN112865981B (zh) | 一种令牌获取、验证方法及装置 | |
| CN115834051A (zh) | 基于did凭证数据的安全保存方法和装置、授权方法和装置、电子设备及存储介质 | |
| CN115459929A (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
| CN111726320B (zh) | 数据处理方法、装置及设备 | |
| CN111541708A (zh) | 一种基于电力配电的身份认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |