CN112819475A - 信息处理方法、装置、电子设备、服务器及介质 - Google Patents

信息处理方法、装置、电子设备、服务器及介质 Download PDF

Info

Publication number
CN112819475A
CN112819475A CN202110179442.7A CN202110179442A CN112819475A CN 112819475 A CN112819475 A CN 112819475A CN 202110179442 A CN202110179442 A CN 202110179442A CN 112819475 A CN112819475 A CN 112819475A
Authority
CN
China
Prior art keywords
information
identity
user
authenticated
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110179442.7A
Other languages
English (en)
Other versions
CN112819475B (zh
Inventor
李定洲
郭伟
祖立军
钱进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN202110179442.7A priority Critical patent/CN112819475B/zh
Publication of CN112819475A publication Critical patent/CN112819475A/zh
Priority to PCT/CN2021/117232 priority patent/WO2022170759A1/zh
Priority to TW110142442A priority patent/TWI859481B/zh
Application granted granted Critical
Publication of CN112819475B publication Critical patent/CN112819475B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本申请公开了一种信息处理方法、装置、电子设备、服务器及介质。其中,一种信息处理方法包括:首先,接收对用户身份认证的第一输入。接着,响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息。再者,根据用户的待认证身份信息,确定用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取的用户图像,用户图像包括用户的第二生物特征信息。然后,基于第一生物特征信息与第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果。根据本申请实施例,能够有效提高身份认证结果的准确性,防止用户身份信息被泄露和被篡改,提高网络信息安全。

Description

信息处理方法、装置、电子设备、服务器及介质
技术领域
本申请属于互联网技术领域,尤其涉及一种信息处理方法、装置、电子设备、服务器及介质。
背景技术
随着计算机和互联网的发展,需要用户身份认证的场景也越来越多,如在帐户登录或者网络支付的场景中进行身份认证。
目前,可以通过对比用户身份证件图像和用户图像的方式,或者通过读取用户身份证件内芯片的身份信息的方式进行身份认证。但是,前者的身份认证方式难以识别用户身份证件的真伪,另外,用户身份证件表面信息磨损或者图像拍摄效果不佳,也会降低身份认证结果的准确性。而后者的身份认证方式,也会因为读取用户身份证件的平台自身安全性低,导致用户身份信息被恶意篡改和泄露。
发明内容
本申请实施例提供一种信息处理方法、装置、电子设备、服务器及介质,能够有效提高身份认证结果的准确性,防止用户身份信息被泄露和被篡改,提高网络信息安全。
第一方面,本申请实施例提供了一种信息处理方法,应用于电子设备,具体可以包括:
接收对用户身份认证的第一输入;
响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
根据用户的待认证身份信息,确定用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取的用户图像,用户图像包括用户的第二生物特征信息;
基于第一生物特征信息与第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果。
第二方面,本申请实施例提供了一种信息处理方法,应用于电子设备,具体可以包括:
接收对用户身份认证的第一输入;
响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
向服务器发送用户的待认证身份信息,用户的待认证身份信息用于确定待认证身份信息的用户身份认证结果;
以及,在预设时间段内获取用户图像,并向服务器发送用户图像,用户图像用于与用户的待认证身份进行对比,以确定用户身份认证结果;
接收服务器发送的待认证身份信息的用户身份认证结果。
第三方面,本申请实施例提供了一种信息处理方法,应用于服务器,具体可以包括:
接收电子设备发送的用户的待认证身份信息;
在检测到电子设备的设备类型为预设目标设备类型的情况下,获取与用户的待认证身份信息对应的且用于表征用户身份的目标信息,所述目标信息包括用户的第一生物特征信息;
接收电子设备发送的用户图像;
基于第一生物特征信息与用户图像中的第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果;
向电子设备发送用户身份认证结果。
第四方面,本申请实施例提供了一种信息处理装置,应用于电子设备,具体可以包括:
接收模块,用于接收对用户身份认证的第一输入;
获取模块,用于响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
处理模块,用于根据用户的待认证身份信息,确定用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取的用户图像,用户图像包括用户的第二生物特征信息;
确定模块,用于基于第一生物特征信息与第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果。
第五方面,本申请实施例提供了一种信息处理装置,应用于电子设备,具体可以包括:
接收模块,用于接收对用户身份认证的第一输入;
获取模块,用于响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
发送模块,用于向服务器发送用户的待认证身份信息,用户的待认证身份信息用于确定待认证身份信息的用户身份认证结果;
发送模块还用于,在预设时间段内获取用户图像,并向服务器发送用户图像,用户图像用于与用户的待认证身份进行对比,以确定用户身份认证结果;
接收模块还用于,接收服务器发送的待认证身份信息的用户身份认证结果。
第六方面,本申请实施例提供了一种信息处理装置,应用于服务器,具体可以包括:
接收模块,用于接收电子设备发送的用户的待认证身份信息;
获取模块,用于在检测到电子设备的设备类型为预设目标设备类型的情况下,获取与用户的待认证身份信息对应的且用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;
接收模块还用于,接收电子设备发送的用户图像;
确定模块,用于基于第一生物特征信息与用户图像中的第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果;
发送模块,用于向电子设备发送用户身份认证结果。
第七方面,本申请实施例提供了一种电子设备,该电子设备包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现如第一方面或者第二方面所示的信息处理方法。
第八方面,本申请实施例提供了一种服务器,该服务器包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现如第三方面所示的信息处理方法。
第九方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如第一方面所示的信息处理方法。
本申请实施例的信息处理方法、装置、设备及介质,通过在可信执行环境TEE以及近场通信NFC获取用户的待认证身份信息的方式,来获取可信任的用于表征用户身份的目标信息如身份证件信息,以避免伪造身份证件的问题,同时也避免了因拍照效果不佳或者拍摄硬件不足造成获取到的目标信息不准确,从而导致用户身份认证结果不正确的问题。
另外,通过在可信执行环境TEE中获取目标信息以及对比目标信息中的第一生物特征信息和拍摄的用户图像中的第二生物特征信息,有效防止恶意软件截获身份证件信息被替换和篡改的问题,同时,通过可信执行环境TEE安全访问电子设备的摄像头,确保用于对比认证的用户图像的准确性,防止注入伪造人脸面部照片或视频的行为。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请提供的信息处理系统的一个实施例的信息处理架构示意图;
图2是根据本申请提供的信息处理系统的一个实施例的电子设备和服务器中结构示意图;
图3是根据本申请提供的信息处理系统的一个实施例的应用场景的架构示意图;
图4是根据本申请提供的信息处理系统的一个实施例的电子设备所属类别对应的APDU指令执行位置的示意图;
图5是根据本申请提供的信息处理的一个实施例的信息处理方法的流程示意图;
图6是根据本申请提供的信息处理的一个实施例的信息处理界面示意图;
图7是根据本申请提供的信息处理的一个实施例的原图像直方图的示意图;
图8是根据本申请提供的信息处理的一个实施例的可信身份认证初始化流程示意图;
图9是根据本申请提供的信息处理的一个实施例的可信身份认证对比的流程示意图;
图10是根据本申请提供的基于电子设备的信息处理装置的一个实施例结构示意图;
图11是根据本申请提供的基于电子设备的信息处理装置的另一个实施例结构示意图;
图12是根据本申请提供的基于服务器的信息处理装置的一个实施例结构示意图;
图13是根据本申请提供的信息处理设备的一个实施例的硬件结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例,为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本申请进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本申请,并不被配置为限定本申请。对于本领域技术人员来说,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
目前身份认证方案所处的操作系统大多为安卓系统,这样,身份认证的安全性高度依赖于安卓系统自身的安全性,一旦安卓系统的安全机制失效,那么依赖于安卓系统的安全机制的身份认证方案也会出现漏洞。若身份认证的过程由某个应用程序发起并在安卓环境下执行、且安卓系统环境自身安全性较低时,一旦被攻击者攻击如攻击者获取root权限,通过植入木马等手段,窃取并篡改用户的身份认证过程中的信息,伪造与实际不符的身份认证结果,有甚者还会利用伪造的身份信息实施违法活动,造成用户的身份信息的泄露。
现有的身份认证方案,可以通过对比用户身份证件中的用户图像和实时获取用户图像的方式,或者通过读取用户身份证件内芯片的身份信息的方式进行身份认证。但是,前者的身份认证方式难以识别用户身份证件的真伪,以及因用户身份证件表面信息磨损或者电子设备拍摄图像的效果不佳,都会导致身份认证结果不准确。而后者的身份认证方案,通常是授权给应用程序的运营机构进行读取和身份认证,如果运营机构的人员有意泄露授权凭证给非授权机构,或者非授权机构通过反向工程、恶意调试等手段窃取授权凭证,那么非授权机构就存在冒用该凭证取得不当收益的可能。另外,取用户身份证件内芯片的身份信息的方式中执行人脸比对的身份认证过程在安卓系统内的一个安卓控件内,或者作为安卓应用的一部分来执行,这样,也会因为安卓系统自身安全性低,导致用户的身份信息被恶意篡改和泄露。
由此,本申请实施例提供了一种信息处理方法、装置、设备及存储介质,通过在可信执行环境(trusted execution environment,TEE)以及近场通信(near fieldcommunication,NFC)获取用户的待认证身份信息的方式,来获取可信任的用于表征用户身份的目标信息如身份证件信息,以避免伪造身份证件的问题,同时也避免了因拍照效果不佳或者拍摄硬件不足造成获取到的目标信息不准确,从而导致用户身份认证结果不正确的问题。
另外,通过在可信执行环境TEE中获取目标信息以及对比目标信息中的第一生物特征信息和拍摄的用户图像中的第二生物特征信息,有效防止恶意软件截获身份证件信息被替换和篡改的问题,同时,通过可信执行环境TEE安全访问电子设备的摄像头,确保用于对比认证的用户图像的准确性,防止注入伪造人脸面部照片或视频的行为。
为了更好的理解本申请,下面将结合附图1至图11,详细描述根据本申请实施例的信息处理方法、装置、电子设备、服务器及存储介质,应注意,这些实施例并不是用来限制本申请公开的范围。
图1是根据本申请提供的信息处理系统的一个实施例的信息处理架构示意图。
如图1所示,该信息处理系统包括电子设备10、服务器20和近场通信芯片30如身份证件中的芯片、银行卡证件中的芯片、充值卡中的芯片等支持近场通讯的芯片。其中,在电子设备10与服务器20建立通讯链接的情况下,接收对用户身份认证的第一输入。电子设备10响应于第一输入,在可信执行环境下,通过近场通信获取近场通信芯片30中用户的待认证身份信息。电子设备10根据用户的待认证身份信息,确定用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取的用户图像,用户图像包括用户的第二生物特征信息,以及,基于第一生物特征信息与第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果。
这里,在电子设备10获取到用户的待认证身份信息之后,也可以将用户的待认证身份信息发送到服务器20,以使服务器20根据用户的待认证身份信息,确定用于表征用户身份的目标信息,并通过电子设备10拍摄的用户图像,确定待认证身份信息的用户身份认证结果,然后,将待认证身份信息的用户身份认证结果反馈到电子设备10,以便电子设备10向用户显示用户身份认证结果。
基于上述架构,下面分别对电子设备10和服务器20进行详细说明。如图2所示,本申请实施例中电子设备10可以包括电子设备应用程序101、可信身份认证服务控件102和可信身份认证服务TA103。其中,电子设备应用程序101包括可信身份认证服务SDK1011即软件开发工具包(software development kit,SDK);可信身份认证服务TA103即可信应用程序(trusted application,TA)。
进一步地,电子设备10具备可信执行环境TEE,电子设备10通过可信身份认证服务相关的第三方应用程序(Application,APP),由需要开展用户认证服务平台如购物类应用程序或者行业方提供,其通过集成可信身份认证服务SDK1011获取可信身份认证服务能力;可信身份认证服务控件102作为独立应用程序运行在电子设备上;可信身份认证服务TA103运行在可信执行环境TEE中。
本申请实施例中的服务器20,可以运行可信身份服务平台等支撑管理类的平台。该运行可信身份服务平台可以包括权威身份认证模块201、可信身份认证后台模块202和人脸认证对比模块203。其中,权威身份认证模块201用于与身份鉴别平台的身份鉴别服务器进行交互,解析用户的待认证的身份信息的身份信息明文数据。这里,本申请实施例中的可信身份服务平台,用于管理接入和使用可信身份服务平台的第三方应用程序,可结合权威身份认证模块201和人脸认证对比模块203为可信身份认证服务控件102提供业务功能处理流程。
基于上述电子设备10和服务器20所示的结构,对本申请实施例提供的信息处理方法进行详细说明,具体如下所示。
基于上述可知,现有的身份证件信息如用户身份证件图像和身份证件号码存在被滥用、盗用、恶意泄露的问题。因此,要想确保身份证件信息安全、合规的使用,首先,要保证用户所使用的身份证件是真实的且就在其身边,这样,通过NFC安全读取和解析身份证件信息是本申请实施例的技术基础。而要实现通过NFC安全读取和解析身份证有两个前提条件:一是实现从电子设备10通过服务器到身份鉴别服务器安全的传输身份证件信息,二是实现NFC安全读取身份证件信息。
针对此,本申请实施例基于TEE安全保障机制提出从电子设备到服务器的安全信息交互方式。首先,本申请实施例将对接身份鉴别服务器的功能授予权威身份认证模块201,并预先在服务器中预身份鉴别服务器授予的服务器证书,该服务器证书用于表示该服务器有权限对用户的待认证身份信息进行鉴别。其次,进一步通过与电子设备对应的可信应用管理平台(Trusted Application Management,TAM)将身份鉴别服务器提供的目标信息数据解密授权凭证安全地下载到可信身份认证服务中,实现从电子设备到可信身份服务平台再到身份鉴别平台的安全通讯闭环。
基于此,当电子设备接收到用户对用户身份认证的第一输入时,可通过电子设备中安卓系统和/或ios系统中的可信身份认证服务SDK1011和可信身份认证服务控件102实现对可信身份认证服务TA103的调用,以及发起对待认证身份信息的采集和处理,再由其可信地连接到可信身份服务平台与可信身份认证后台模块202进行通讯。最后,通过权威身份认证模块201完成对待认证身份信息的校验和解析处理。
如此,一方面有效规避了电子设备中TEE空间较小能力受限的问题,降低了识读待认证身份信息对电子设备的硬件资源的要求。另一方面,通过可信身份认证服务TA基于电子设备数字证书如根信任证书生成一对公私密钥对。其中,公私密钥对中的设备公钥与用户地址(UserId)及电子设备唯一标识会一并记录在可信身份服务平台,当发现某电子设备存在风险时,迅速定位到某台电子设备并终止其继续访问可信身份服务平台,为可信身份服务平台进行电子设备风险防控提供了有效的支持。另外,在确保了从电子设备到身份鉴别平台的身份认证信息传输的安全后,就已经具备了安全受理待认证身份信息校验和解析的能力,接下来就可以进一步解决NFC安全读取身份证件信息以及与可信身份服务平台安全对接的过程,具体可以结合图3进行详细说明。
图3是根据本申请提供的信息处理系统的一个实施例的应用场景的架构示意图。如图3所示,近场通讯芯片为包括用户的待认证身份信息的芯片,该芯片支持NFC通讯,例如二代身份证件。电子设备10包括NFC模块和可信身份认证服务TA103,其中,NFC模块,用于读取和传输二代身份证件中用户的待认证身份信息;可信身份认证服务TA103运行在TEE可信执行环境中,在二代身份证件与NFC进行应用协议数据单元(Application Protocol,APDU)指令通讯时,判断和比对当前物联网电子设备,并确定NFC的访问与二代身份证件之间通讯流程。如在一些资源严重受限的物联网电子设备如可穿戴式设备、智能门锁等无法承载计算量较大的设备,还需在NFC通讯过程中对其流程做进一步定制,并对NFC的访问和与二代身份证件之间的APDU指令交互放在设备TEE内执行;将二代身份证件访问APDU指令的生成、组装和APDU响应的处理放在可信身份认证服务后台上进行,具体内容可以具体参照图4所示的内容。
服务器20运行可信身份服务平台,该运行可信身份服务平台用于基于可信身份认证服务的处理信息方法的支撑管理平台。另外,该运行可信身份服务平台可以包括APDU指令操作模块和权威身份认证模块201,其中,APDU指令操作模块用于处理二代身份证件访问APDU指令的生成、组装和响应,主要与权威身份认证模块201进行交互。权威身份认证模块201用于与身份鉴别平台进行安全交互确定用户的待认证的身份信息的身份信息明文数据。
基于图3所示的系统架构,本申请实施例是通过TEE实现对NFC信息的安全读取,然后使可信身份认证服务TA103全面监听设备外对NFC的读取操作。待可信身份认证服务TA103收到刷身份证操作请求时,即安全调用电子设备的NFC模块,并按照二代身份证件卡规范执行APDU指令集,以及将执行指令响应的待认证的身份信息进行回传。接着,可信身份认证服务TA103通过电子设备和服务器之间的安全链接把接收到的待认证的身份信息的密文信息发送到权威身份认证模块201中。权威身份认证模块201在收到待认证的身份信息的密文信息后即建立与身份鉴别服务器的安全通信,并通过身份鉴别服务器解析以及按身份证件属性格式拼接组装成用于表征用户身份的目标信息的原文字符串返回时,由可信身份服务服务平台把目标信息的原文字符串响应回给可信身份认证服务TA103。此时,可信身份认证服务TA103就可以根据事先保存的权威身份鉴别机构的目标信息数据解密授权凭证以及目标信息的原文字符串对待认证的身份信息如身份证件号码、身份证件图像以及身份证件图像中用户面部图像等进行解密,得到目标信息如身份证件图像中用户面部图像。在上述过程中,可信身份认证服务TA103通过NFC近场读取到二代身份证件的待认证的身份信息再交由权威身份认证模块201服务处理和解析出待认证的身份信息的身份信息明文数据。
另外,需要说明的是,本申请实施例中的信息处理方法可以在电子设备侧执行,也可以在电子设备和服务器上执行。由此,在一些可能的实施例中,如在一些资源严重受限的物联网电子设备如可穿戴式设备、智能门锁等无法承载计算量较大的设备,还需在NFC通讯过程中对其流程做进一步定制。具体可以结合图4对这些物联网电子设备进行说明。如图4所示,针对本申请实施例提供的一些资源严重受限的物联网电子设备(如可穿戴式设备、智能门锁等),还需在NFC通讯过程中对其流程做进一步定制,并对NFC的访问和与身份证件之间的APDU指令交互放在设备TEE内执行;将身份证件访问APDU指令的生成、组装和APDU响应的处理放在可信身份服务平台上进行。即本申请实施例通过TEE实现对NFC信息的安全读取,然后使可信身份认证服务TA103全面监听设备外对NFC的读取操作。待可信身份认证服务TA103收到刷身份证操作请求时,即安全调用电子设备的NFC模块,并按照二代身份证件卡规范执行APDU指令集中近场通讯的指令,以及将执行指令响应的待认证的身份信息进行回传,这里,APDU指令集中的指令由服务器确定。接着,可信身份认证服务TA103通过电子设备和服务器之间的安全链接把接收到的待认证的身份信息的密文信息发送到权威身份认证模块201中。权威身份认证模块201在收到待认证的身份信息的密文信息后即建立与身份鉴别服务器的安全通信,并通过身份鉴别服务器解析以及按身份证件属性格式拼接组装成用于表征用户身份的目标信息的原文字符串返回至权威身份认证模块201。此时,权威身份认证模块201就可以根据事先保存的权威身份鉴别机构的目标信息数据解密授权凭证以及目标信息的原文字符串对待认证的身份信息如身份证件号码、身份证件图像以及身份证件图像中用户面部图像等的解密,以得到目标信息如份证件图像中用户面部图像。在上述过程中,可信身份认证服务TA103通过NFC近场读取到二代身份证件的待认证的身份信息再交由权威身份认证模块201服务处理和解析出待认证的身份信息的身份信息明文数据。
根据物联网电子设备定制NFC的访问与身份证件之间通讯流程时,根据物联网电子设备性能、用途和类型选择合适的处理流程,如智能手机、手提/平板电脑、智能POS机具、智能汽车、自助售货机以及自助闸机使用在TEE内调用NFC与二代身份证件之间进行APDU指令交互的方案;智能手表/手环、智能门锁/门禁使用在设备执行APDU指令,在可信身份服务平台进行APDU指令的生成、组装和处理。
基于此,当电子设备接收到用户对用户身份认证的第一输入时,响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;向服务器发送用户的待认证身份信息,用户的待认证身份信息用于确定待认证身份信息的用户身份认证结果。这样,服务器接收电子设备发送的用户的待认证身份信息,在检测到电子设备的设备类型为预设目标设备类型即电子设备的设备类型符合可穿戴式设备、智能门锁等无法承载计算量较大的设备的情况下,获取与用户的待认证身份信息对应的且用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息。再者,电子设备在预设时间段内获取用户图像,并向服务器发送用户图像,用户图像用于与用户的待认证身份进行对比,以确定用户身份认证结果。然后,服务器接收电子设备发送的用户图像,并确定用户图像中的用户的第二生物特征信息;基于第一生物特征信息与第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果;向电子设备发送待认证身份信息的用户身份认证结果。电子设备,接收服务器发送的待认证身份信息的用户身份认证结果,以便向用户提示待认证身份信息的用户身份认证结果。这里,在确定用户的第一生物特征信息时,服务器可以向电子设备发送获取用户图像指令,用户图像指令用于指示电子设备在预设时间段内获取用户图像。电子设备在接收到服务器发送的获取用户图像指令时,获取用户图像。或者,电子设备接收到用户针对获取用户图像指令,也可以使电子设备获取用户图像。
进一步地,电子设备可以在可信执行环境下,通过执行服务器提供的协议数据指令集中近场通讯的指令,获取用户的待认证身份信息。
服务器在目标信息时,可以具体通过如下步骤,即根据待认证身份信息的密文信息,确定按照身份证件属性格式拼接组装成的用于表征用户身份的目标信息的原文字符串;根据预存的目标信息数据解密授权凭证以及目标信息的原文字符串,对待认证的身份信息进行解密,得到目标信息。
进一步地,在确定原文字符串的过程中,服务器向身份鉴别服务器发送协议数据指令,协议数据指令用于指示身份鉴别服务器按照身份证件属性格式拼接组装成的用于表征用户身份的目标信息的原文字符串;接收身份鉴别服务器发送的目标信息的原文字符串。
由此,本申请实施例提出一种基于TEE和NFC的可信身份认证的信息处理方法,可以通过TEE安全访问NFC进行身份证件的待认证的身份信息识读的方式以获取可靠可信的用于表征用户身份的目标信息,以及在一些实施例中可以在可信执行环境TEE中与服务器中运行可信身份服务平台进行交互,以避免伪造身份证的问题,同时也避免了因拍照效果不佳造成获取到的目标信息不准确,提高身份认证的准确性。通过将待认证的身份信息对应的目标信息数据解密授权凭证迁移至TEE中,杜绝了待认证的身份信息在电子设备和服务器交互过程中可能被木马病毒窃取的问题。另外,通过从TEE内安全访问摄像头,确保用于对比认证的用户图像即实时的用户图像的源头可信,防止注入伪造人脸照片或视频的行为。
另外,针对一些支持TEE和NFC的物联网电子设备硬件资源严重受限的问题,本申请实施例利用第四代移动通信技术(the 4th generation mobile communicationtechnology,4G)、第五代移动通信技术(5th generation mobile networks,5G)传输速率更高时延更低的特性,将NFC与二代身份证交互的命令进行了拆分,其中,通过近场通信获取用户的待认证身份信息的部分在电子设备实现,主要处理身份证件APDU请求响应和交互协议,后端部分移至服务器运行,主要负责身份证件访问APDU指令的生成、组装和APDU响应的处理。通过上述前后端分离处理的方式,减少了电子设备的NFC交互协议的空间占比,对于可穿戴设备等资源比较有限的物联网终端设备,具有更强的适用性。通过电子设备的类别,确定在电子设备和服务器确定对比结果方式,保证了身份证识读和人脸比对功能在电子设备TEE空间资源有限的情况下的可用性和适配性。
以上,采用TEE安全访问NFC识读用户的待认证身份信息的方式确保获取的身份证信息的数据源真实准确,起到防伪身份证效果,同时可信执行环境TEE防止恶意软件截获身份证信息数据被替换和篡改。另外,本申请实施例是基于电子设备TEE和服务器之间的安全闭环实现的,能够确保信息是密文上送可信身份认证后台解密再以安全TEE安全通道传送回来使用的,适用于更多的身份认证场景。
基于上述信息处理架构和应用场景,下面结合图5对本申请实施例提供的异常节点识别方法进行详细说明。
图5为本申请实施例提供的一种信息处理方法的流程图。
如图5所示,该信息处理方法可以应用于如图1所示的电子设备,该信息处理方法具体可以包括如下步骤:
首先,步骤510,接收对用户身份认证的第一输入;接着,步骤520,响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;再者,步骤530,根据用户的待认证身份信息,确定用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取拍摄的用户图像,用户图像包括用户的第二生物特征信息;然后,步骤540,基于第一生物特征信息与第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果。
由此,通过在可信执行环境TEE以及近场通信NFC获取用户的待认证身份信息的方式,来获取可信任的用于表征用户身份的目标信息如身份证件信息,以避免伪造身份证件的问题,同时也避免了因拍照效果不佳或者拍摄硬件不足造成获取到的目标信息不准确,从而导致用户身份认证结果不正确的问题。
另外,通过在可信执行环境TEE中获取目标信息以及对比目标信息中的第一生物特征信息和拍摄的用户图像中的第二生物特征信息,有效防止恶意软件截获身份证件信息被替换和篡改的问题,同时,通过可信执行环境TEE安全访问电子设备的摄像头,确保用于对比认证的用户图像的准确性,防止注入伪造人脸面部图像或视频的行为。
基于此,下面对上述步骤进行详细说明,具体如下所示:
首先,涉及步骤320,本申请实施例提供了以下至少两种方式,获取身份证件的用户的待认证身份信息,具体如下所示。
在一些可能的实施例中,步骤320具体可以包括:
响应于第一输入,
在数据交互环境满足预设交互环境、且在可信执行环境下,通过近场通信读取近场通信芯片,获取近场通信芯片的标签内容以及用户身份标识;
基于标签内容和用户身份标识,生成用户的待认证身份信息。
进一步地,在通过近场通信读取近场通信芯片,获取近场通信芯片的标签内容以及用户身份标识的步骤之前,该信息处理方法还包括:
检测与近场通信芯片的数据交互环境,数据交互环境包括电子设备与近场通信芯片的距离值以及在预设距离内电子设备与近场通信芯片的接触时长;
在距离值满足预设距离值和/或接触市场满足预设接触时长时,确定数据交互环境满足预设交互环境。
在另一些可能的实施例中,响应于第一输入,在可信执行环境下,确定目标近场通信芯片,近场通信芯片与电子设备的数据交互环境满足预设近场通讯环境;
通过近场通信芯片与应用协议数据的预设对应关系,获取与目标近场通信芯片对应的目标应用协议数据;
根据目标应用协议数据,获取用户的待认证身份信息。
这里,为了保证用户的信息安全,本申请实施例提供了根据近场通信芯片与应用协议数据的预设对应关系,获取与目标近场通信芯片对应的目标应用协议数据。例如,若近场通信芯片为身份证件,且预设对应关系中表示该电子设备可以访问该身份证件图像中用户面部图像,则电子设备可以获取该身份证件图像中用户面部图像。同理,若预设对应关系中表示该电子设备可以访问身份证件号码、身份证件图像和身份证件用户身份信息,则电子设备可以获取身份证件号码、身份证件图像和身份证件用户身份信息,由此,可以根据用户的前期设定,获取其信息。
另外,本申请实施例中的近场通信芯片与应用协议数据的预设对应关系,可以通过如下步骤确定,即在通过近场通信芯片与应用协议数据的预设对应关系,获取与目标近场通信芯片对应的目标应用协议数据的步骤之前,本申请实施例提供的信息处理方法还包括:
向服务器发送权限请求,权限请求包括电子设备的身份信息,权限请求用于获取近场通信芯片的权限;
接收服务器发送的权限反馈信息,该权限反馈信息包括该电子设备与近场通信芯片进行通讯的权限;
根据权限反馈信息和用户的预先设定,得到近场通信芯片与应用协议数据的预设对应关系。
接着,涉及步骤330,该步骤可以分为两个部分,即一部分为确定用于表征用户身份的目标信息,另一部分为获取拍摄的用户图像。基于此,分别对两个部分进行说明。
首先,本申请实施例中确定目标信息的过程如下所示,即根据用户的待认证身份信息,确定用于表征用户身份的目标信息,包括:
步骤3301,根据待认证的身份信息,确定待认证的身份信息的身份信息明文数据。
进一步地,该步骤3301具体可以包括:
步骤33011,向服务器发送身份认证请求,身份认证请求包括待认证的身份信息,身份认证请求用于请求服务器对待认证的身份信息进行解析,以得到待认证的身份信息的身份信息明文数据;
步骤33012,接收服务器发送的身份认证反馈信息,身份认证反馈信息包括待认证的身份信息的身份信息明文数据。
步骤3302,根据身份信息明文数据和目标信息数据解密授权凭证,确定第一生物特征信息。
这里,可以根据下述步骤,确定目标信息数据解密授权凭证,具体可以包括步骤33021-步骤33023。
步骤33021,根据电子设备中的数字证书,生成设备公私密钥对。
步骤33022,通过可信身份认证初始化接口向服务器发送用户身份认证初始化请求,用户身份认证初始化请求包括设备公私密钥对,用户身份认证初始化请求用于与服务器建立安全通信链接,并通过安全通信链接进行密钥交换。
其中,可以基于预存的服务器公钥,获取与服务器对应的可信身份认证初始化接口。
步骤33023,接收服务器的用户身份认证初始化反馈信息,用户身份认证初始化反馈信息包括目标信息数据解密授权凭证。
需要说明的是,用户身份认证初始化请求还包括应用程序信息,应用程序信息包括下述中的至少一种:应用程序标识、签名证书信息和证书指纹信息,其中,应用程序信息用于确定待认证身份信息的用户身份认证结果的执行环境。
由此,基于上述涉及的可能,本申请实施例中的步骤3302具体可以包括:向服务器发送生物特征信息请求,生物特征信息请求包括身份信息明文数据和目标信息数据解密授权凭证,生物特征信息请求用于请求服务器基于身份信息明文数据和目标信息数据解密授权凭证,确定第一生物特征信息;
接收服务器发送的生物特征反馈信息,生物特征反馈信息包括被设备公钥加密的第一生物特征信息。
需要说明的是,本申请实施例中考虑到有一些资源严重受限的物联网电子设备无法进行确定目标信息和对比结果。这样,可以在执行向服务器发送身份认证请求步骤之前,方法还包括:
向服务器发送电子设备的身份标识,电子设备的电子标识用于确定电子设备是否满足身份认证的条件;
接收服务器发送的身份标识反馈信息;
在身份标识反馈信息表征电子设备未满足身份认证的条件下,向服务器发送身份认证请求。
另外,本申请实施例除了上述基于用户的待认证身份信息读取和解析外,还有一个关键就是要将所解析出来的第一生物特征信息如身份证件图像中用户面部图像与身份证持有人的用户图像中的第二生物特征信息进行用户图像比对。在这一过程中,有一个关键问题亟待解决,那就是用户当前的面部信息与原先身份证件采集时的照片存在差异,这其中可能有时间因素也有当初人脸采集设备精度不高甚至是用户面部受过伤害等各种问题。故此,需要对所解析身份证件图像中用户面部图像及持有人的用户图像中的面部信息进下优化。
针对于此,本申请实施例中除了按照图像去模糊对比方法外,还提出了一种对图片清晰度不敏感的特征模型即目标身份证件人像特征模型用于优化人脸对比的错误拒绝率(false reject rate,FRR)。
基于此,涉及该步骤330中的另一部分即获取用户图像的过程具体包括步骤3311-步骤3303。
步骤3311,显示固定人像位置区域,固定人像位置区域用于获取用户与固定人像位置区域对应的人体部位图像。
举例说明,如图6所示,通过固定人像位置区域获取人体部位图像。这里,传统的人脸识别处理中,会选择较多的人脸特征点进行检测,同时也消耗了较多的性能资源。由于TEE资源有限,本申请实施例提出在电子设备人像采集界面使用固定人像位置,在人像采集界面勾画固定人像位置区域以匹配人脸最佳位置,同时舍弃一些人脸旋转对齐的特殊处理,以便快速定位人脸在图像中的位置,提高人脸特征点的定位精度。截取到人脸区域后,选择人脸特征明显的特征点进行检测,如双眼、鼻子、颧骨、嘴巴、下巴、额头特征点进行检测,以便降低人脸对比的FRR,使得TEE环境能够满足人脸旋转对齐等方面处理的性能消耗。步骤3312,在接收到用户拍摄图像的第二输入时,获取待处理的人体部位图像。
进一步地,通过固定位置区域,从人体部位中的多个特征点筛选目标特征点;
根据目标特征点,获取与目标特征点对应的人体部位图像。
这样,在人像采集界面勾画固定人像位置区域以匹配人脸最佳位置时,可以舍弃一些人脸旋转的特征点,以便快速定位人脸在图像中的位置,提高人脸特征点的定位精度。
步骤3313,对待处理的人体部位图像进行灰度归一化处理,得到用户图像。
进一步地,获取待处理的人体部位图像的第一灰度值,第一灰度值与第一灰度级对应;
根据第一灰度级通过灰度拉伸,调整待处理的人体部位图像,得到具有第一灰度级的用户图像。
这里,可以对拍摄的用户图像中的人脸照片做灰度归一化处理。灰度归一化处理就是对用户图像进行光照补偿处理,以克服光照变化的影响,本申请实施例中可以利用灰度拉伸的方法将原图像中的灰度分布扩展到具有整个灰度级的图像。例如,采集到的图像是8位的灰度图像,应有256个灰度级,但往往由于采集时光照等因素的影响,图像的灰度级集中在一个或者几个灰度级区段,这时可以采用灰度拉伸的方法将图像扩展到256个灰度级。由此,拍摄到的人脸照片完成光照补偿处理、按色阶映射后,照片变得更加明朗鲜明,更有利于图像对比。
进一步地,在灰度归一化操作时,根据用户图像的RGB色彩模式进行灰度归一化处理,按照如下两个公式:
(1)亮度由公式(1)确定:
D=R*0.3086 + G*0.6094 + B*0.0820 (1)
其中,D为亮度,R为红色red的色彩通道,G为绿色green的色彩通道,B为蓝色blue的色彩通道。
(2)色阶映射由公式(2)确定:
D' = 0 + (D - 255*LOW) / (255*HIGH - 255*LOW) * 255 (2)
其中,D'为色阶,255*LOW和255*HIGH分别是用户图像的原图像直方图中D的最低点和D的最高点。
如图7所示,根据原图像直方图做初步筛选,对像素点的分布明显不正常如主要分布在x轴左边、主要分布在x轴右边、主要分布在一个很窄的区间的图像,直接视为低质量照片,不做后续处理。图像直方图都是灰度图像,x轴是灰度值(一般是0~255),y轴式图像中每一个灰度级对应的像素点的个数。
然后,涉及步骤340,基于步骤330中获取的用户图像,在一些实施例中,在步骤340之前,
在第一生物特征信息包括身份证件图像的情况下,通过几何归一化对比身份证件图像和用户图像,得到第一生物特征信息与第二生物特征信息的对比结果。
这样,针对身份证件上的第一生物特征信息如人像图片像素较小识别度不高的问题,本提案通过采用几何归一化处理和灰度归一化变换的方式对采集到的活体照片进行处理,提升了人脸照片与身份证上图像照片比对的识别率,改善了人脸对比的错误拒绝率(False Reject Rate,FRR)。
进一步地,该步骤具体可以包括步骤3401-步骤3403。
步骤3401,识别身份证件图像中的用户面部区域,得到与用户面部区域对应的用户面部图像;
步骤3402,对用户面部图像或者用户图像中的面部区域进行等比放大或者缩小,并计算用户图像和用户面部图像的特征值;
步骤3403,根据至少一个特征值,得到第一生物特征信息与第二生物特征信息的对比结果。
举例说明,使用几何归一化算法对比第一生物特征信息与第二生物特征信息。可信身份服务平台中的人脸认证对比模块对身份证件图像通过定位人脸特征模型找到身份证件图像中用户面部区域,按照几何归一化算法确定用户图像中面部位置,比较两者的特征值,在确定用户图像中面部位置的过程中,使用等比放大和缩小活体人脸照片中人脸的几何图形做对比。进一步地,几何归一化算法就是指根据对比目标定位结果将身份证件图像中用户面部区域中的用户图像中面部位置变化到同一位置和大小。本申请实施例提供的对比步骤包括:
步骤1,通过人脸模型匹配找出身份证件图像中人物的两眼和鼻子所在的区域;
步骤2,设定两眼之间的距离为D,其中心点为O;
步骤3,根据人脸面部特点和几何模型确定矩形特征区域,以O为中心原点,两眼直线所在为x轴,两边各裁剪距离d,其中d=D/2,y轴鼻子方向裁剪1.5d,另一方向裁剪0.5d,最后裁剪出一个正方形区域;
步骤4,通过同样的人脸模型匹配找出用户图像中的两眼和鼻子所在的区域;
步骤5,设定用户图像中两眼的距离为D’,其中心点为O’;
步骤6,根据人脸面部特点和几何模型确定矩形特征区域,以O’为中心原点,两眼直线所在为x轴,两边各裁剪距离d’,其中d’=D’/2,y轴鼻子方向裁剪1.5d’,另一方向裁剪0.5d’,最后裁剪出一个正方形区域;
步骤7,通过等比拉伸或缩放的方式如拉伸比例V=D’/D,缩放比例V’=D/D’,使裁剪的身份证件图像和裁剪的用户图像大小一致。
步骤8,提取两张裁剪区域图片的特征值进行对比,根据两者特征值相等指数,转换成相似度作为第一生物特征信息与第二生物特征信息的对比结果。
需要说明的是,本申请实施例中涉及的对比图像的过程可以如上述步骤1-步骤8所示,这里,可以通过目标身份证件人像特征模型确定两者的对比结果,即进一步地,将至少一个特征值输入到目标身份证件人像特征模型中,得到第一生物特征信息与第二生物特征信息的对比结果。另外,在一些可能的实施例中,可以确定上述涉及的目标身份证件人像特征模型进行确定,具体过程如下所示,由于身份证件图像照片较小、图像分辨率低,为了提高目标身份证件人像特征模型的比对精度,重点选择人脸特征明显的点,舍弃低分辨率下容易误检的特征点,同时辅以大量的身份证图像样本训练,并在每一次人脸比对得到比对结果后,选择相似度超过N%(N为正数,可以根据应用场景进行自定义配置)的身份证人像特征值参与模型迭代训练,进而确定新的目标身份证件人像特征模型。
基于此,本申请实施例中还提供了一种确定目标身份证件人像特征模型的方式,具体如下所示:
根据目标身份证件中用户面部图像的训练特征值,对预设身份证件人像特征模型进行简化,得到目标身份证件人像特征模型。
基于步骤340中获取的用户图像,本申请实施例提供了一种确定第一生物特征信息与第二生物特征信息的对比结果的过程,具体如下所示,即在步骤340之前,该信息处理方法还包括:
通过对称密钥对第一生物特征信息和第二生物特征信息进行加密,得到加密生物特征信息;
向服务器发送身份认证结果请求,身份认证结果请求包括加密生物特征信息,身份认证结果请求用于请求服务器根据第一生物特征信息和第二生物特征信息,计算第一生物特征信息和第二生物特征信息的生物特征对比结果相似度;
接收服务器发送的身份认证结果反馈信息,身份认证结果反馈信息包括被设备公钥加密的生物特征对比结果相似度;
通过设备私钥加密对生物特征对比结果相似度进行解密,得到生物特征对比结果相似度,生物特征对比结果相似度用于表征第一生物特征信息与第二生物特征信息的对比结果。
基于此,该步骤340具体可以包括:在生物特征对比结果相似度满足预设相似度的情况下,确定待认证身份信息的用户身份认证成功。
需要说明的是,本申请实施例中的目标信息还包括下述中的至少一项:身份证件号码、身份证件图像、身份证件用户身份信息如身份证件中的用户姓名、性别、民族、出生日期、住址;第一生物特征信息包括下述中的至少一项:身份证件图像中用户面部图像、与身份证件对应的用户的虹膜图像。
由此,本申请实施例提出一种基于TEE和NFC的可信身份认证的信息处理方法,可以通过TEE安全访问NFC进行身份证件的待认证的身份信息识读的方式以获取可靠可信的用于表征用户身份的目标信息,以及在一些实施例中可以在可信执行环境TEE中与服务器中运行可信身份服务平台进行交互,以避免伪造身份证的问题,同时也避免了因拍照效果不佳造成获取到的目标信息不准确,提高身份认证的准确性。通过将待认证的身份信息对应的目标信息数据解密授权凭证迁移至TEE中,杜绝了待认证的身份信息在电子设备和服务器交互过程中可能被木马病毒窃取的问题。另外,通过从TEE内安全访问摄像头,确保用于对比认证的用户图像即实时的用户图像的源头可信,防止注入伪造人脸照片或视频的行为。
另外,针对一些支持TEE和NFC的物联网电子设备硬件资源严重受限的问题,本申请实施例利用第四代移动通信技术(the 4th generation mobile communicationtechnology,4G)、第五代移动通信技术(5th generation mobile networks,5G)传输速率更高时延更低的特性,将NFC与二代身份证交互的命令进行了拆分,其中,通过近场通信获取用户的待认证身份信息的部分在电子设备实现,主要处理身份证件APDU请求响应和交互协议,后端部分移至服务器运行,主要负责身份证件访问APDU指令的生成、组装和APDU响应的处理。通过上述前后端分离处理的方式,减少了电子设备的NFC交互协议的空间占比,对于可穿戴设备等资源比较有限的物联网终端设备,具有更强的适用性。通过电子设备的类别,确定在电子设备和服务器确定对比结果方式,保证了身份证识读和人脸比对功能在电子设备TEE空间资源有限的情况下的可用性和适配性。
以上,采用TEE安全访问NFC识读用户的待认证身份信息的方式确保获取的身份证信息的数据源真实准确,起到防伪身份证效果,同时可信执行环境TEE防止恶意软件截获身份证信息数据被替换和篡改。另外,本申请实施例是基于电子设备TEE和服务器之间的安全闭环实现的,能够确保信息是密文上送可信身份认证后台解密再以安全TEE安全通道传送回来使用的,适用于更多的身份认证场景。
为了更好的说明上述信息处理方法,本申请实施例结合图1和2所示的架构对信息处理方法进行详细说明。下述示例可以通过图8和图9两个过程对信息处理方法进行说明,其中,图8为本申请实施例提供的可信身份认证初始化的过程,图9为本申请实施例提供的可信身份认证对比的过程,具体如下所示。
在第三方应用程序如消费类应用程序时,第三方应用程序需事先集成可信身份认证服务SDK,并在第三方应用程序运行的电子设备上安装可信身份认证服务控件,以及通过该电子设备对应的可信应用管理(TAM)安装可信身份认证服务TA到设备TEE可信执行环境中。随后,还需在可信身份服务平台录入第三方应用程序的的应用程序标识(AppId)、签名证书信息和证书指纹信息。
如图8所示,该资源处理方法中可信身份认证初始化的过程可以包括步骤801-步骤813,具体如下所示。
步骤801,电子设备接收用户针对应用程序A发起的可信身份认证初始化的操作。
步骤802,应用程序A向集成的可信身份认证服务SDK发起可信身份认证初始化请求,传入交易要素Context上下文。这里,交易要素详见表4。
步骤803,可信身份认证服务SDK通过Context上下文,获取到应用程序A的AppId、签名证书信息和证书指纹信息,调用可信身份认证服务控件的可信身份认证初始化接口,传入交易要素应用程序A的AppId、签名证书信息和证书指纹信息。
步骤804,可信身份认证服务控件调用可信身份认证服务TA初始化接口,传入交易要素AppId、签名证书信息和证书指纹信息。
步骤805,可信身份认证服务TA根据设备根信任证书生成一对设备公私密钥对。
步骤806,可信身份认证服务TA请求可信身份服务平台,传入应用程序A的AppId、签名证书信息和证书指纹信息。
步骤807,可信身份认证服务TA中预置了可信身份服务平台的服务器公钥。可信身份认证服务TA通过服务器公钥与可信身份服务平台建立安全链接,使用设备公钥和信身份服务平台的服务器公钥进行会话密钥协商,后续使用协商的会话密钥进行交互。
可信身份认证服务TA把应用程序A的AppId、签名证书信息和证书指纹信息使用会话密钥加密,传输到可信身份服务平台。
步骤808,可信身份服务平台使用会话密钥解密,验证应用程序A的AppId、签名证书信息和证书指纹信息与事先录入在可信身份服务平台中的是否一致,在验证通过时,可以向可信身份认证服务TA返回使用设备公钥加密的身份鉴别平台如共公安部下属机构身份认证服务的目标信息数据解密授权凭证的密文。
步骤809,可信身份认证服务TA收到响应后,验证接收到的目标信息数据解密授权凭证的密文所在报文的有效性。在验证有效的情况下,通过设备私钥解密身份鉴别平台的目标信息数据解密授权凭证的密文,保存身份鉴别平台的目标信息数据解密授权凭证到可信身份认证服务TA中。
步骤810,可信身份认证服务TA向可信身份认证服务控件返回与可信身份认证初始化的操作对应的操作结果。
步骤811,可信身份认证服务控件向可信身份认证服务SDK返回与可信身份认证初始化的操作对应的操作结果。
步骤812,可信身份认证服务SDK向应用程序A返回可信身份认证初始化结果。
步骤813,应用程序A通过电子设备向用户展示可信身份认证初始化结果。
基于上述完成可信身份认证初始化或者注册后,结合图9,对本申请实施例提供的资源处理方法中可信身份认证对比的过程进行详细说明。
如图9所示,该资源处理方法中可信身份认证对比的过程以包括步骤901-步骤916,具体如下所示。
步骤901,电子设备接收用户针对应用程序A发起的可信身份认证的对比操作。
步骤902,应用程序A向集成的可信身份认证服务SDK发起可信身份认证对比请求,传入交易要素待认证身份信息UserId如交易要素详见图4。
步骤903,可信身份认证服务SDK调用可信身份认证服务控件认证对比接口,传入交易要素待认证身份信息UserId。
步骤904,可信身份认证服务控件调用可信身份认证服务TA认证对比接口。
步骤905,可信身份认证服务TA访问设备NFC模块,以使电子设备显示刷身份证界面。
步骤906,电子设备获取近场通信芯片中的待认证身份信息,NFC模块将待认证身份信息响应给可信身份认证服务TA,可信身份认证服务TA把待认证身份信息发送到权威身份认证模块如公安部下属机构身份认证服务平台。
步骤907,权威身份认证模块处理接收到的待认证身份信息,把处理后的待认证身份信息明文数据返回给可信身份认证服务TA。
步骤908,可信身份认证服务TA把权威身份认证模块的目标信息数据解密授权凭证以及待认证身份信息的信息明文发送到可信身份服务平台。
步骤909,可信身份服务平台通过权威身份认证模块得到目标信息,目标信息包括身份证件图像中用户面部图像,使用设备公钥加密后,返回给可信身份认证服务TA。
步骤910,可信身份认证服务TA安全访问电子设备的摄像头获取用户图像。
步骤911,可信身份认证服务TA将身份证件图像中用户面部图像和使用设备私钥解密的用户图像使用对称密钥加密提交给可信身份服务平台。
步骤912,可信身份服务平台使用对称密钥解密得到用户图像中的人脸图像,按照用户图像中的人脸图像和身份证件图像中用户面部图像预处理过程对比两张图像,返回使用设备公钥加密的生物特征对比结果相似度。
步骤913,可信身份认证服务TA使用设备私钥解密出生物特征对比结果相似度,返回给可信身份认证服务控件。
步骤914,可信身份认证服务控件向可信身份认证服务SDK返回生物特征对比结果相似度。
步骤915,可信身份认证服务SDK向应用程序A返回生物特征对比结果相似度。
步骤916,应用程序A向用户显示与生物特征对比结果相似度对应的待认证身份信息的用户身份认证结果。
需要说明的是,基于可信身份认证服务操作的生命周期可以包括可信身份认证服务初始化功能、可信身份认证服务注册功能、可信身份认证功能、可信身份人证对比功能和可信身份认证服务注销功能。其中,可以先进行可信身份认证服务初始化,初始化验证通过,则可以进行可信身份认证注册、可信身份人证对比和可信身份认证注销操作。
由此,本申请实施例提出一种基于TEE和NFC的可信身份认证的信息处理方法,可以通过TEE安全访问NFC进行身份证件的待认证的身份信息识读的方式以获取可靠可信的用于表征用户身份的目标信息,以及在一些实施例中可以在可信执行环境TEE中与服务器中运行可信身份服务平台进行交互,以避免伪造身份证的问题,同时也避免了因拍照效果不佳造成获取到的目标信息不准确,提高身份认证的准确性。通过将待认证的身份信息对应的目标信息数据解密授权凭证迁移至TEE中,杜绝了待认证的身份信息在电子设备和服务器交互过程中可能被木马病毒窃取的问题。另外,通过从TEE内安全访问摄像头,确保用于对比认证的用户图像即实时的用户图像的源头可信,防止注入伪造人脸照片或视频的行为。
另外,针对一些支持TEE和NFC的物联网电子设备硬件资源严重受限的问题,本申请实施例利用第四代移动通信技术(the 4th generation mobile communicationtechnology,4G)、第五代移动通信技术(5th generation mobile networks,5G)传输速率更高时延更低的特性,将NFC与二代身份证交互的命令进行了拆分,其中,通过近场通信获取用户的待认证身份信息的部分在电子设备实现,主要处理身份证件APDU请求响应和交互协议,后端部分移至服务器运行,主要负责身份证件访问APDU指令的生成、组装和APDU响应的处理。通过上述前后端分离处理的方式,减少了电子设备的NFC交互协议的空间占比,对于可穿戴设备等资源比较有限的物联网终端设备,具有更强的适用性。通过电子设备的类别,确定在电子设备和服务器确定对比结果方式,保证了身份证识读和人脸比对功能在电子设备TEE空间资源有限的情况下的可用性和适配性。
以上,采用TEE安全访问NFC识读用户的待认证身份信息的方式确保获取的身份证信息的数据源真实准确,起到防伪身份证效果,同时可信执行环境TEE防止恶意软件截获身份证信息数据被替换和篡改。另外,本申请实施例是基于电子设备TEE和服务器之间的安全闭环实现的,能够确保信息是密文上送可信身份认证后台解密再以安全TEE安全通道传送回来使用的,适用于更多的身份认证场景。
基于相同的发明构思,本申请还提供了一种信息处理装置。具体结合图10进行详细说明。
图10是根据本申请提供的基于电子设备的信息处理装置的一个实施例结构示意图。
在本申请一些实施例中,图10所示装置可以设置于如图1所示的电子设备中。
其中,如图10所示,该信息处理装置100具体可以包括:
接收模块1001,用于接收对用户身份认证的第一输入;
获取模块1002,用于响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
处理模块1003,用于根据用户的待认证身份信息,确定用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取拍摄的用户图像,用户图像包括用户的第二生物特征信息;
确定模块1004,用于基于第一生物特征信息与第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果。
由此,通过在可信执行环境TEE以及近场通信NFC获取用户的待认证身份信息的方式,来获取可信任的用于表征用户身份的目标信息如身份证件信息,以避免伪造身份证件的问题,同时也避免了因拍照效果不佳或者拍摄硬件不足造成获取到的目标信息不准确,从而导致用户身份认证结果不正确的问题。
另外,通过在可信执行环境TEE中获取目标信息以及对比目标信息中的第一生物特征信息和拍摄的用户图像中的第二生物特征信息,有效防止恶意软件截获身份证件信息被替换和篡改的问题,同时,通过可信执行环境TEE安全访问电子设备的摄像头,确保用于对比认证的用户图像的准确性,防止注入伪造人脸面部照片或视频的行为。
下面分别对本申请实施例中信息处理装置100进行详细说明。
在本申请一些实施例中,获取模块1002具体可以用于,响应于第一输入,
在数据交互环境满足预设交互环境、且在可信执行环境下,通过近场通信读取近场通信芯片,获取近场通信芯片的标签内容以及用户身份标识;
基于标签内容和用户身份标识,生成用户的待认证身份信息。
进一步地,信息处理装置100还可以包括检测模块,用于检测与近场通信芯片的数据交互环境,数据交互环境包括电子设备与近场通信芯片的距离值和/或在预设距离内电子设备与近场通信芯片的接触时长;
在距离值满足预设距离值和/或接触市场满足预设接触时长时,确定数据交互环境满足预设交互环境。
另外,获取模块1002具体可以用于,
响应于第一输入,在可信执行环境下,确定目标近场通信芯片,近场通信芯片与电子设备的数据交互环境满足预设近场通讯环境;
通过近场通信芯片与应用协议数据的预设对应关系,获取与目标近场通信芯片对应的目标应用协议数据;
根据目标应用协议数据,获取用户的待认证身份信息。
在本申请一些实施例中,本申请实施例中的处理模块1003具体可以用于,根据待认证的身份信息,确定待认证的身份信息的身份信息明文数据;
根据身份信息明文数据和目标信息数据解密授权凭证,确定第一生物特征信息。
进一步地,本申请实施例中信息处理装置100还可以包括发送模块。基于此,发送模块,用于向服务器发送身份认证请求,身份认证请求包括待认证的身份信息,身份认证请求用于请求服务器对待认证的身份信息进行解析,以得到待认证的身份信息的身份信息明文数据;
本申请实施例中的接收模块1001,接收服务器发送的身份认证反馈信息,身份认证反馈信息包括待认证的身份信息的身份信息明文数据。
在一些可能的实施例中,本申请实施例中的发送模块还可以用于,向服务器发送电子设备的身份标识,电子设备的电子标识用于确定电子设备是否满足身份认证的条件;
本申请实施例中的接收模块1001还用于,接收服务器发送的身份标识反馈信息;
本申请实施例中的发送模块还可以用于,在身份标识反馈信息表征电子设备未满足身份认证的条件下,向服务器发送身份认证请求。
在一些可能的实施例中,本申请实施例中信息处理装置100还可以包括生成模块,用于根据电子设备中的数字证书,生成设备公私密钥对;基于此,本申请实施例中的发送模块还可以用于,通过可信身份认证初始化接口向服务器发送用户身份认证初始化请求,用户身份认证初始化请求包括设备公私密钥对,用户身份认证初始化请求用于与服务器建立安全通信链接,并通过安全通信链接进行密钥交换;本申请实施例中的接收模块1001还用于,接收服务器的用户身份认证初始化反馈信息,用户身份认证初始化反馈信息包括目标信息数据解密授权凭证。
在一些可能的实施例中,本申请实施例中的获取模块还可以用于,基于服务器公钥,获取与服务器对应的可信身份认证初始化接口。
本申请实施例中的用户身份认证初始化请求还包括应用程序信息,应用程序信息包括下述中的至少一种:应用程序标识、签名证书信息和证书指纹信息,其中,应用程序信息用于确定待认证身份信息的用户身份认证结果的执行环境。
在一些可能的实施例中,本申请实施例中的处理模块1003具体可以用于向服务器发送生物特征信息请求,生物特征信息请求包括身份信息明文数据和目标信息数据解密授权凭证,生物特征信息请求用于请求服务器基于身份信息明文数据和目标信息数据解密授权凭证,确定第一生物特征信息;
接收服务器发送的生物特征反馈信息,生物特征反馈信息包括被设备公钥加密的第一生物特征信息。
在一些可能的实施例中,本申请实施例中信息处理装置100还可以包括显示模块,用于显示固定人像位置区域,固定人像位置区域用于获取用户与固定人像位置区域对应的人体部位图像。本申请实施例中的获取模块1002具体可以用于,在接收到用户拍摄图像的第二输入时,通过固定位置区域获取待处理的人体部位图像;本申请实施例中的处理模块1003具体可以用于,对待处理的人体部位图像进行灰度归一化处理,得到用户图像。
其中,本申请实施例中的获取模块1002具体可以用于,通过固定位置区域,从人体部位中的多个特征点筛选目标特征点;
根据目标特征点,获取与目标特征点对应的人体部位图像。
本申请实施例中的处理模块1003具体可以用于,获取待处理的人体部位图像的第一灰度值,第一灰度值与第一灰度级对应;
根据第一灰度级通过灰度拉伸,调整待处理的人体部位图像,得到具有第一灰度级的用户图像。
在一些可能的实施例中,本申请实施例中的确定模块1004具体可以用于,在第一生物特征信息包括身份证件图像的情况下,通过几何归一化对比身份证件图像和用户图像,得到第一生物特征信息与第二生物特征信息的对比结果。
其中,本申请实施例中的确定模块1004具体可以用于,识别身份证件图像中的用户面部区域,得到与用户面部区域对应的用户面部图像;
对用户面部图像或者用户图像中的面部区域进行等比放大或者缩小,并计算用户图像和用户面部图像的特征值;
根据至少一个特征值,得到第一生物特征信息与第二生物特征信息的对比结果。
进一步地,本申请实施例中的确定模块1004具体可以用于,将至少一个特征值输入到目标身份证件人像特征模型中,得到第一生物特征信息与第二生物特征信息的对比结果。
在一些可能的实施例中,本申请实施例中信息处理装置100还可以包括简化模块,用于根据目标身份证件中用户面部图像的训练特征值,对预设身份证件人像特征模型进行简化,得到目标身份证件人像特征模型。本申请实施例中信息处理装置100还可以包括加密模块,用于通过对称密钥对第一生物特征信息和第二生物特征信息进行加密,得到加密生物特征信息;
本申请实施例中的发送模块还用于,向服务器发送身份认证结果请求,身份认证结果请求包括加密生物特征信息,身份认证结果请求用于请求服务器根据第一生物特征信息和第二生物特征信息,计算第一生物特征信息和第二生物特征信息的生物特征对比结果相似度;
本申请实施例中的接收模块1001还用于,接收服务器发送的身份认证结果反馈信息,身份认证结果反馈信息包括被设备公钥加密的生物特征对比结果相似度;
本申请实施例中的处理模块1003还用于,通过设备私钥加密对生物特征对比结果相似度进行解密,得到生物特征对比结果相似度,生物特征对比结果相似度用于表征第一生物特征信息与第二生物特征信息的对比结果。
在一些可能的实施例中,本申请实施例中的确定模块1004具体可以用于,在生物特征对比结果相似度满足预设相似度的情况下,确定待认证身份信息的用户身份认证成功。
需要说明的是,上述涉及的目标信息还包括下述中的至少一项:身份证件号码、身份证件图像;第一生物特征信息包括下述中的至少一项:身份证件图像中用户面部图像、与身份证件对应的用户的虹膜图像。
由此,通过在可信执行环境TEE以及近场通信NFC获取用户的待认证身份信息的方式,来获取可信任的用于表征用户身份的目标信息如身份证件信息,以避免伪造身份证件的问题,同时也避免了因拍照效果不佳或者拍摄硬件不足造成获取到的目标信息不准确,从而导致用户身份认证结果不正确的问题。
另外,通过在可信执行环境TEE中获取目标信息以及对比目标信息中的第一生物特征信息和拍摄的用户图像中的第二生物特征信息,有效防止恶意软件截获身份证件信息被替换和篡改的问题,同时,通过可信执行环境TEE安全访问电子设备的摄像头,确保用于对比认证的用户图像的准确性,防止注入伪造人脸面部照片或视频的行为。
需要说明的是,图10所示的信息处理装置100可以执行图1-图9所示的信息处理方法实施例中的各个步骤,并且实现图1-图9所示的方法实施例中的各个过程和效果,在此不做赘述。
基于相同的发明构思,本申请还提供了一种基于电子设备如可穿戴式设备、智能门锁等无法承载计算量较大的信息处理设备。具体结合图11进行详细说明。
图11是根据本申请提供的基于电子设备的信息处理装置的另一个实施例结构示意图。
在本申请一些实施例中,图11所示装置可以设置于可穿戴式设备、智能门锁等无法承载计算量较大的信息处理设备中。
其中,如图11所示,该信息处理装置1100具体可以包括:
接收模块1110,用于接收对用户身份认证的第一输入;
获取模块1120,用于响应于第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
发送模块1130,用于向服务器发送用户的待认证身份信息,用户的待认证身份信息用于确定待认证身份信息的用户身份认证结果;
发送模块1130还用于,在预设时间段内获取用户图像,并向服务器发送用户图像,用户图像用于与用户的待认证身份进行对比,以确定用户身份认证结果;
接收模块1110还用于,接收服务器发送的待认证身份信息的用户身份认证结果。
此外,本申请实施例提供的获取模块1120具体用于,在可信执行环境下,通过执行协议数据指令集中近场通讯的指令,获取用户的待认证身份信息;其中,近场通讯的指令由服务器确定。
基于相同的发明构思,本申请还提供了一种服务器。具体结合图12进行详细说明。
图12是根据本申请提供的基于服务器的信息处理装置的一个实施例结构示意图。
在本申请一些实施例中,如图12所示,该信息处理装置1200具体可以包括:
接收模块1210,用于接收电子设备发送的用户的待认证身份信息;
获取模块1220,用于在检测到用户的待认证身份信息用于确定待认证身份信息的用户身份认证结果时,获取与用户的待认证身份信息对应且用于表征用户身份的目标信息,目标信息包括用户的第一生物特征信息;
接收模块1210还用于,接收电子设备发送的用户图像;
确定模块1230,用于基于第一生物特征信息与用户图像中的第二生物特征信息的对比结果,确定待认证身份信息的用户身份认证结果;
发送模块1240还用于,向电子设备发送用户身份认证结果。
其中,本申请实施例中的获取模块1220具体用于,根据待认证身份信息的密文信息,确定协议数据指令,协议数据指令用于指示按照身份证件属性格式拼接组装成的用于表征用户身份的目标信息的原文字符串;
根据预存的目标信息数据解密授权凭证以及目标信息的原文字符串,对待认证的身份信息进行解密,得到目标信息。
进一步地,发送模块1230还可以用于,向身份鉴别服务器发送协议数据指令,协议数据指令用于指示身份鉴别服务器按照身份证件属性格式拼接组装成的用于表征用户身份的目标信息的原文字符串;基于此,接收模块1210还可以用于,接收身份鉴别服务器发送的目标信息的原文字符串。
基于相同的发明构思,本申请还提供了一种信息处理设备。具体结合图13进行详细说明。
图13示出了本申请实施例提供的信息处理设备的硬件结构示意图。
如图13所示,该信息处理1300可以包括本申请实施例中涉及的电子设备或者服务器。其中,该信息处理1300可以包括处理器1301以及存储有计算机程序指令的存储器1302。
具体地,上述处理器1301可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器1302可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器1302可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器1302可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器1302可在综合网关容灾设备的内部或外部。在特定实施例中,存储器1302是非易失性固态存储器。在特定实施例中,存储器1302包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器1301通过读取并执行存储器1302中存储的计算机程序指令,以实现上述实施例中的任意一种信息处理方法。
在一个示例中,数据处理设备还可包括通信接口1303和总线1310。其中,如图13所示,处理器1301、存储器1302、通信接口1303通过总线1310连接并完成相互间的通信。
通信接口1303,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。
总线1310包括硬件、软件或两者,将流量控制设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线1310可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该数据处理设备可以执行本申请实施例中的信息处理方法,从而实现结合图1至图10描述的信息处理方法和装置。
另外,结合上述实施例中的信息处理方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种信息处理方法。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (32)

1.一种信息处理方法,应用于电子设备,包括:
接收对用户身份认证的第一输入;
响应于所述第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
根据所述用户的待认证身份信息,确定用于表征用户身份的目标信息,所述目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取的用户图像,所述用户图像包括用户的第二生物特征信息;
基于所述第一生物特征信息与所述第二生物特征信息的对比结果,确定所述待认证身份信息的用户身份认证结果。
2.根据权利要求1所述的方法,其特征在于,所述响应于所述第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息,包括:
响应于所述第一输入,
在所述数据交互环境满足预设交互环境、且在可信执行环境下,通过近场通信读取所述近场通信芯片,获取所述近场通信芯片的标签内容以及用户身份标识;
基于所述标签内容和用户身份标识,生成所述用户的待认证身份信息。
3.根据权利要求2所述的方法,其特征在于,所述通过近场通信读取所述近场通信芯片,获取所述近场通信芯片的标签内容以及用户身份标识之前,所述方法还包括:
检测与所述近场通信芯片的数据交互环境,所述数据交互环境包括所述电子设备与所述近场通信芯片的距离值和/或在预设距离内所述电子设备与所述近场通信芯片的接触时长;
在所述距离值满足预设距离值和/或所述接触市场满足预设接触时长时,确定所述数据交互环境满足预设交互环境。
4.根据权利要求1所述的方法,其特征在于,所述响应于所述第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息,包括:
响应于所述第一输入,在可信执行环境下,确定目标近场通信芯片,所述近场通信芯片与所述电子设备的数据交互环境满足预设近场通讯环境;
通过近场通信芯片与应用协议数据的预设对应关系,获取与所述目标近场通信芯片对应的目标应用协议数据;
根据所述目标应用协议数据,获取用户的待认证身份信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所述用户的待认证身份信息,确定用于表征用户身份的目标信息,包括:
根据所述待认证的身份信息,确定所述待认证的身份信息的身份信息明文数据;
根据所述身份信息明文数据和目标信息数据解密授权凭证,确定所述第一生物特征信息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述待认证的身份信息,确定所述待认证的身份信息的身份信息明文数据,包括:
向服务器发送身份认证请求,所述身份认证请求包括所述待认证的身份信息,所述身份认证请求用于请求所述服务器对所述待认证的身份信息进行解析,以得到所述待认证的身份信息的身份信息明文数据;
接收所述服务器发送的身份认证反馈信息,所述身份认证反馈信息包括所述待认证的身份信息的身份信息明文数据。
7.根据权利要求6所述的方法,其特征在于,所述向服务器发送身份认证请求之前,所述方法还包括:
向所述服务器发送电子设备的身份标识,所述电子设备的电子标识用于确定所述电子设备是否满足身份认证的条件;
接收所述服务器发送的身份标识反馈信息;
在所述身份标识反馈信息表征所述电子设备未满足身份认证的条件下,向所述服务器发送身份认证请求。
8.根据权利要求5所述的方法,其特征在于,所述确定所述第一生物特征信息之前,所述方法还包括:
根据所述电子设备中的数字证书,生成设备公私密钥对;
通过可信身份认证初始化接口向服务器发送用户身份认证初始化请求,所述用户身份认证初始化请求包括所述设备公私密钥对,所述用户身份认证初始化请求用于与所述服务器建立安全通信链接,并通过所述安全通信链接进行密钥交换;
接收所述服务器的用户身份认证初始化反馈信息,所述用户身份认证初始化反馈信息包括所述目标信息数据解密授权凭证。
9.根据权利要求8所述的方法,其特征在于,所述通过可信身份认证初始化接口向服务器发送用户身份认证初始化请求之前,所述方法还包括:
基于服务器公钥,获取与所述服务器对应的可信身份认证初始化接口。
10.根据权利要求9所述的方法,其特征在于,所述用户身份认证初始化请求还包括应用程序信息,所述应用程序信息包括下述中的至少一种:应用程序标识、签名证书信息和证书指纹信息,其中,所述应用程序信息用于确定所述待认证身份信息的用户身份认证结果的执行环境。
11.根据权利要求5或6所述的方法,其特征在于,所述根据所述身份信息明文数据和目标信息数据解密授权凭证,确定所述第一生物特征信息,包括:
向所述服务器发送生物特征信息请求,所述生物特征信息请求包括所述身份信息明文数据和目标信息数据解密授权凭证,所述生物特征信息请求用于请求所述服务器基于所述身份信息明文数据和目标信息数据解密授权凭证,确定第一生物特征信息;
接收所述服务器发送的生物特征反馈信息,所述生物特征反馈信息包括被设备公钥加密的第一生物特征信息。
12.根据权利要求1所述的方法,其特征在于,所述在预设时间段内获取拍摄的用户图像,包括:
显示固定人像位置区域,所述固定人像位置区域用于获取用户与固定人像位置区域对应的人体部位图像;
在接收到用户拍摄图像的第二输入时,通过所述固定位置区域获取待处理的人体部位图像;
对所述待处理的人体部位图像进行灰度归一化处理,得到所述用户图像。
13.根据权利要求12所述的方法,其特征在于,所述通过所述固定位置区域获取待处理的人体部位图像,包括:
通过所述固定位置区域,从人体部位中的多个特征点筛选目标特征点;
根据所述目标特征点,获取与所述目标特征点对应的人体部位图像。
14.根据权利要求13所述的方法,其特征在于,所述对所述待处理的人体部位图像进行灰度归一化处理,得到所述用户图像,包括:
获取所述待处理的人体部位图像的第一灰度值,所述第一灰度值与第一灰度级对应;
根据所述第一灰度级通过灰度拉伸,调整所述待处理的人体部位图像,得到具有所述第一灰度级的用户图像。
15.根据权利要求12所述的方法,其特征在于,所述第一生物特征信息包括身份证件图像;所述确定所述待认证身份信息的用户身份认证结果之前,所述方法还包括:
通过几何归一化对比所述身份证件图像和所述用户图像,得到所述第一生物特征信息与所述第二生物特征信息的对比结果。
16.根据权利要求15所述的方法,其特征在于,所述通过几何归一化对比所述身份证件图像和所述用户图像,得到所述第一生物特征信息与所述第二生物特征信息的对比结果,包括:
识别所述身份证件图像中的用户面部区域,得到与所述用户面部区域对应的用户面部图像;
对所述用户面部图像或者所述用户图像中的面部区域进行等比放大或者缩小,并计算所述用户图像和所述用户面部图像的特征值;
根据所述至少一个特征值,得到所述第一生物特征信息与所述第二生物特征信息的对比结果。
17.根据权利要求16所述的方法,其特征在于,所述根据所述至少一个特征值,得到所述第一生物特征信息与所述第二生物特征信息的对比结果,包括:
将所述至少一个特征值输入到目标身份证件人像特征模型中,得到所述第一生物特征信息与所述第二生物特征信息的对比结果。
18.根据权利要求17所述的方法,其特征在于,所述得到所述第一生物特征信息与所述第二生物特征信息的对比结果之前,所述方法还包括:
根据目标身份证件中用户面部图像的训练特征值,对预设身份证件人像特征模型进行简化,得到目标身份证件人像特征模型。
19.根据权利要求1所述的方法,其特征在于,所述确定所述待认证身份信息的用户身份认证结果之前,所述方法还包括:
通过对称密钥对所述第一生物特征信息和所述第二生物特征信息进行加密,得到加密生物特征信息;
向服务器发送身份认证结果请求,所述身份认证结果请求包括所述加密生物特征信息,所述身份认证结果请求用于请求所述服务器根据第一生物特征信息和所述第二生物特征信息,计算所述第一生物特征信息和所述第二生物特征信息的生物特征对比结果相似度;
接收所述服务器发送的身份认证结果反馈信息,所述身份认证结果反馈信息包括被设备公钥加密的生物特征对比结果相似度;
通过设备私钥加密对生物特征对比结果相似度进行解密,得到所述生物特征对比结果相似度,所述生物特征对比结果相似度用于表征所述第一生物特征信息与所述第二生物特征信息的对比结果。
20.根据权利要求19所述的方法,其特征在于,所述基于所述第一生物特征信息与所述第二生物特征信息的对比结果,确定所述待认证身份信息的用户身份认证结果,包括:
在所述生物特征对比结果相似度满足预设相似度的情况下,确定所述待认证身份信息的用户身份认证成功。
21.根据权利要求1所述的方法,其特征在于,所述目标信息还包括下述中的至少一项:身份证件号码、身份证件图像、身份证件用户身份信息;所述第一生物特征信息包括下述中的至少一项:所述身份证件图像中用户面部图像、与所述身份证件对应的用户的虹膜图像。
22.一种信息处理方法,应用于电子设备,包括:
接收对用户身份认证的第一输入;
响应于所述第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
向服务器发送所述用户的待认证身份信息,所述用户的待认证身份信息用于确定所述待认证身份信息的用户身份认证结果;
以及,在预设时间段内获取用户图像,并向所述服务器发送所述用户图像,所述用户图像用于与所述用户的待认证身份进行对比,以确定所述用户身份认证结果;
接收服务器发送的所述待认证身份信息的用户身份认证结果。
23.根据权利要求22所述的方法,所述在可信执行环境下,通过近场通信获取用户的待认证身份信息,包括:
在可信执行环境下,通过执行协议数据指令集中近场通讯的指令,获取用户的待认证身份信息;其中,所述近场通讯的指令由服务器确定。
24.一种信息处理方法,应用于服务器,包括:
接收电子设备发送的用户的待认证身份信息;
在检测到所述电子设备的设备类型为预设目标设备类型的情况下,获取与所述用户的待认证身份信息对应的且用于表征用户身份的目标信息,所述目标信息包括用户的第一生物特征信息;
接收所述电子设备发送的用户图像;
基于所述第一生物特征信息与所述用户图像中的第二生物特征信息的对比结果,确定所述待认证身份信息的用户身份认证结果;
向所述电子设备发送所述用户身份认证结果。
25.根据权利要求24所述的方法,其特征在于,所述获取与所述用户的待认证身份信息对应的且用于表征用户身份的目标信息,包括:
根据所述待认证身份信息的密文信息,确定协议数据指令,所述协议数据指令用于指示按照身份证件属性格式拼接组装成的用于表征用户身份的目标信息的原文字符串;
根据预存的目标信息数据解密授权凭证以及所述目标信息的原文字符串,对待认证的身份信息进行解密,得到目标信息。
26.根据权利要求25所述的方法,其特征在于,所述根据所述待认证身份信息的密文信息,确定协议数据指令,包括:
向身份鉴别服务器发送所述协议数据指令,所述协议数据指令用于指示所述身份鉴别服务器按照身份证件属性格式拼接组装成的用于表征用户身份的目标信息的原文字符串;
接收所述身份鉴别服务器发送的所述目标信息的原文字符串。
27.一种信息处理装置,应用于电子设备,包括:
接收模块,用于接收对用户身份认证的第一输入;
获取模块,用于响应于所述第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
处理模块,用于根据所述用户的待认证身份信息,确定用于表征用户身份的目标信息,所述目标信息包括用户的第一生物特征信息;以及,在预设时间段内获取的用户图像,所述用户图像包括用户的第二生物特征信息;
确定模块,用于基于所述第一生物特征信息与所述第二生物特征信息的对比结果,确定所述待认证身份信息的用户身份认证结果。
28.一种信息处理装置,应用于电子设备,包括:
接收模块,用于接收对用户身份认证的第一输入;
获取模块,用于响应于所述第一输入,在可信执行环境下,通过近场通信获取用户的待认证身份信息;
发送模块,用于向服务器发送所述用户的待认证身份信息,所述用户的待认证身份信息用于确定所述待认证身份信息的用户身份认证结果;
所述发送模块还用于,在预设时间段内获取用户图像,并向所述服务器发送所述用户图像,所述用户图像用于与所述用户的待认证身份进行对比,以确定所述用户身份认证结果;
所述接收模块还用于,接收服务器发送的所述待认证身份信息的用户身份认证结果。
29.一种信息处理装置,应用于服务器,包括:
接收模块,用于接收电子设备发送的用户的待认证身份信息;
获取模块,用于在检测到所述用户的待认证身份信息用于确定所述待认证身份信息的用户身份认证结果时,获取与所述用户的待认证身份信息对应且用于表征用户身份的目标信息,所述目标信息包括用户的第一生物特征信息;
所述接收模块还用于,接收所述电子设备发送的用户图像;
确定模块,用于基于所述第一生物特征信息与所述用户图像中的第二生物特征信息的对比结果,确定所述待认证身份信息的用户身份认证结果;
发送模块,向所述电子设备发送所述用户身份认证结果。
30.一种电子设备,其特征在于,所述电子设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-21中任意一项所述信息处理方法或者如权利要求22-23中任一项所述信息处理方法。
31.一种服务器,其特征在于,所述服务器包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求24-26中任意一项所述信息处理方法。
32.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-21中任意一项所述信息处理方法;或者,实现如权利要求22-23中任意一项所述信息处理方法;或者,实现如权利要求24-26中任意一项所述信息处理方法。
CN202110179442.7A 2021-02-09 2021-02-09 信息处理方法、装置、电子设备、服务器及介质 Active CN112819475B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202110179442.7A CN112819475B (zh) 2021-02-09 2021-02-09 信息处理方法、装置、电子设备、服务器及介质
PCT/CN2021/117232 WO2022170759A1 (zh) 2021-02-09 2021-09-08 信息处理方法、装置、电子设备、服务器及介质
TW110142442A TWI859481B (zh) 2021-02-09 2021-11-15 資訊處理方法、裝置、電子設備、伺服器及介質

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110179442.7A CN112819475B (zh) 2021-02-09 2021-02-09 信息处理方法、装置、电子设备、服务器及介质

Publications (2)

Publication Number Publication Date
CN112819475A true CN112819475A (zh) 2021-05-18
CN112819475B CN112819475B (zh) 2024-08-16

Family

ID=75864920

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110179442.7A Active CN112819475B (zh) 2021-02-09 2021-02-09 信息处理方法、装置、电子设备、服务器及介质

Country Status (2)

Country Link
CN (1) CN112819475B (zh)
WO (1) WO2022170759A1 (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113645045A (zh) * 2021-10-13 2021-11-12 北京创米智汇物联科技有限公司 Tee中的安全控制方法、装置及设备、存储介质
CN113946812A (zh) * 2021-09-29 2022-01-18 北京达佳互联信息技术有限公司 一种身份认证方法、装置、电子设备及存储介质
CN114584970A (zh) * 2022-02-14 2022-06-03 国网思极紫光(青岛)微电子科技有限公司 通信认证方法、签约验证方法以及通信方法
WO2022170759A1 (zh) * 2021-02-09 2022-08-18 中国银联股份有限公司 信息处理方法、装置、电子设备、服务器及介质
CN115099814A (zh) * 2022-06-13 2022-09-23 马上消费金融股份有限公司 信息处理方法、装置、设备及存储介质
CN115208704A (zh) * 2022-09-16 2022-10-18 欣诚信息技术有限公司 一种身份认证系统及政法服务应用系统
CN115811403A (zh) * 2022-11-21 2023-03-17 航天信息股份有限公司 身份认证方法、系统、电子设备以及存储介质
CN116991521A (zh) * 2021-06-06 2023-11-03 苹果公司 数字标识凭据用户界面
US12030458B2 (en) 2020-01-27 2024-07-09 Apple Inc. Mobile key enrollment and use

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117915005A (zh) * 2023-10-19 2024-04-19 广州翼拍联盟网络技术有限公司 多功能采集设备、数据采集系统、方法及其相关设备
CN118194265B (zh) * 2024-05-13 2024-10-15 湖南三湘银行股份有限公司 一种基于nfc快速识别采集身份信息的方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014082387A1 (zh) * 2012-11-28 2014-06-05 鹤山世达光电科技有限公司 基于nfc的指纹认证系统及指纹认证方法
CN105187217A (zh) * 2015-09-16 2015-12-23 成都三零凯天通信实业有限公司 一种双因子身份认证方法及装置
CN107682545A (zh) * 2017-09-28 2018-02-09 山西特信环宇信息技术有限公司 基于生物识别技术的人证机合一手机终端系统及操作方法
CN108462725A (zh) * 2018-05-29 2018-08-28 北京华大智宝电子系统有限公司 一种电子签名设备、身份验证方法和系统
CN108833359A (zh) * 2018-05-22 2018-11-16 深圳市商汤科技有限公司 身份验证方法、装置、设备、存储介质及程序
CN109325332A (zh) * 2018-09-17 2019-02-12 北京旷视科技有限公司 人证核验方法、服务器、后台及系统
CN111831995A (zh) * 2020-09-08 2020-10-27 杭州海宴科技有限公司 一种基于eID和人体生物信息的可信身份认证方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112819475B (zh) * 2021-02-09 2024-08-16 中国银联股份有限公司 信息处理方法、装置、电子设备、服务器及介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014082387A1 (zh) * 2012-11-28 2014-06-05 鹤山世达光电科技有限公司 基于nfc的指纹认证系统及指纹认证方法
CN105187217A (zh) * 2015-09-16 2015-12-23 成都三零凯天通信实业有限公司 一种双因子身份认证方法及装置
CN107682545A (zh) * 2017-09-28 2018-02-09 山西特信环宇信息技术有限公司 基于生物识别技术的人证机合一手机终端系统及操作方法
CN108833359A (zh) * 2018-05-22 2018-11-16 深圳市商汤科技有限公司 身份验证方法、装置、设备、存储介质及程序
CN108462725A (zh) * 2018-05-29 2018-08-28 北京华大智宝电子系统有限公司 一种电子签名设备、身份验证方法和系统
CN109325332A (zh) * 2018-09-17 2019-02-12 北京旷视科技有限公司 人证核验方法、服务器、后台及系统
CN111831995A (zh) * 2020-09-08 2020-10-27 杭州海宴科技有限公司 一种基于eID和人体生物信息的可信身份认证方法和系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12030458B2 (en) 2020-01-27 2024-07-09 Apple Inc. Mobile key enrollment and use
WO2022170759A1 (zh) * 2021-02-09 2022-08-18 中国银联股份有限公司 信息处理方法、装置、电子设备、服务器及介质
CN116991521A (zh) * 2021-06-06 2023-11-03 苹果公司 数字标识凭据用户界面
CN113946812A (zh) * 2021-09-29 2022-01-18 北京达佳互联信息技术有限公司 一种身份认证方法、装置、电子设备及存储介质
CN113645045A (zh) * 2021-10-13 2021-11-12 北京创米智汇物联科技有限公司 Tee中的安全控制方法、装置及设备、存储介质
CN114584970A (zh) * 2022-02-14 2022-06-03 国网思极紫光(青岛)微电子科技有限公司 通信认证方法、签约验证方法以及通信方法
CN115099814A (zh) * 2022-06-13 2022-09-23 马上消费金融股份有限公司 信息处理方法、装置、设备及存储介质
CN115208704A (zh) * 2022-09-16 2022-10-18 欣诚信息技术有限公司 一种身份认证系统及政法服务应用系统
CN115811403A (zh) * 2022-11-21 2023-03-17 航天信息股份有限公司 身份认证方法、系统、电子设备以及存储介质

Also Published As

Publication number Publication date
WO2022170759A1 (zh) 2022-08-18
TW202232407A (zh) 2022-08-16
CN112819475B (zh) 2024-08-16

Similar Documents

Publication Publication Date Title
CN112819475B (zh) 信息处理方法、装置、电子设备、服务器及介质
US10581612B2 (en) Method and system for encryption
US12088586B2 (en) Biometric validation process utilizing access device and location determination
US10326761B2 (en) Web-based user authentication techniques and applications
EP3138265B1 (en) Enhanced security for registration of authentication devices
KR102358546B1 (ko) 장치에 대해 클라이언트를 인증하기 위한 시스템 및 방법
US9455836B1 (en) Verification of authenticity and responsiveness of biometric evidence and/or other evidence
EP3005202B1 (en) System and method for biometric authentication with device attestation
KR20200092368A (ko) 트랜잭션 확인 및 암호화폐를 위한 보안 키 저장소의 확장
KR20180081108A (ko) 공개/비공개 키 바이오메트릭 인증 시스템
US11665157B2 (en) Systems and methods for authenticating users within a computing or access control environment
JP2023139259A (ja) 画像収集装置、サーバ、暗号化方法、及び復号化方法
CN110290134A (zh) 一种身份认证方法、装置、存储介质及处理器
JP2011165102A (ja) 生体認証システムおよび携帯端末
CN106936775A (zh) 一种基于指纹识别的认证方法及系统
US9413533B1 (en) System and method for authorizing a new authenticator
US20200204377A1 (en) Digital notarization station that uses a biometric identification service
KR101674314B1 (ko) Captcha를 이용한 일회성 보안 문자 인증 방법
US20180332028A1 (en) Method For Detecting Unauthorized Copies Of Digital Security Tokens
JP2019050014A (ja) 口座開設システム、口座開設方法、及びプログラム
CN109299945B (zh) 一种基于生物识别算法的身份验证的方法及装置
US12126647B2 (en) System and method for protection against malicious program code injection
US20210194919A1 (en) System and method for protection against malicious program code injection
TW202134911A (zh) 身分認證方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40050130

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant