CN113971274B - 一种身份识别方法及装置 - Google Patents
一种身份识别方法及装置 Download PDFInfo
- Publication number
- CN113971274B CN113971274B CN202111465753.6A CN202111465753A CN113971274B CN 113971274 B CN113971274 B CN 113971274B CN 202111465753 A CN202111465753 A CN 202111465753A CN 113971274 B CN113971274 B CN 113971274B
- Authority
- CN
- China
- Prior art keywords
- identification
- user
- information
- identity
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Abstract
本发明公开了一种身份认证方法及装置,获得所述应用服务端的第一输入信息;根据第一识别指令通过认证服务端基于标识ID、生物特征识别模板和用户特征信息进行身份识别,获得第一身份识别结果;当第一身份识别结果为识别通过时,通过认证服务端申请获得用户私钥;通过认证服务端将所述标识ID和用户私钥申请请求发送至所述标识密码设备端;通过所述认证服务端获得所述标识密码设备端的第一反馈信息;通过所述认证服务端基于第一反馈信息对第一输入信息处理,获得具有数字签名的用户身份识别凭证,将所述用户身份识别凭证发送至所述应用服务端进行用户身份认证。解决了现有技术中无法保证用户信息不被冒用以及数据安全的技术问题。
Description
技术领域
本发明涉及身份识别领域,具体涉及一种身份识别方法及装置。
背景技术
随着信息技术的普及,信息安全和数据安全越来越受到人们的重视,为了保证使用者的信息安全和数据安全,在使用者访问数据之前要进行用户身份鉴别,当前计算机信息系统仍然普遍采用“用户名+口令”的方式进行用户身份鉴别,但随着信息系统数量快速增长USB Key+数字证书和生物识别技术也被用来增强用户身份认证的有效性和可靠性。
但本申请发明人在实现本申请实施例中发明技术方案的过程中,发现上述技术至少存在如下技术问题:
现有技术中用于用户身份鉴别的方法通常基于“用户名+口令”、USB Key+数字证书中的一种,存在用户口令易丢失或数字证书易被冒用,从而无法准确识别用户身份以及保证数据安全的技术问题。
发明内容
本申请实施例通过提供一种身份识别方法及装置,解决了现有技术中用于用户身份鉴别的方法通常基于“用户名+口令”、USB Key+数字证书中的一种,存在用户口令易丢失或数字证书易被冒用,从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证,达到了保证身份认证的强度,从而保证用户信息以及数据安全的技术效果。
鉴于上述技术问题,本申请实施例提供了一种身份识别方法及装置。
本申请实施例的第一个方法提供了一种身份识别方法,其中,所述方法应用于身份识别装置,所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接,所述方法包括:获得所述应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;获得第一识别指令,根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端;通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
本申请实施例的第二个方面提供了一种用于身份识别装置,其中,所述装置包括,第一获得单元:所述第一获得单元用于获得应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;第二获得单元:所述第二获得单元用于获得第一识别指令,根据所述第一识别指令通过认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;第三获得单元:所述第三获得单元用于当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;第一发送单元:所述第一发送单元用于通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至标识密码设备端;第四获得单元:所述第四获得单元用于通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;第一处理单元:所述第一处理单元用于通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
本申请实施例的第三方面提供了一种身份识别装置,所述装置包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现第一方面任一项所述方法的步骤。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本申请实施例通过提供了一种身份识别方法,其中,所述方法应用于身份识别装置,所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接,所述方法包括:获得所述应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;获得第一识别指令,根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端;通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。解决了现有技术中用于用户身份鉴别的方法通常基于“用户名+口令”、USB Key+数字证书中的一种,存在用户口令易丢失或数字证书易被冒用,从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证,达到了保证身份认证的强度,从而保证用户信息以及数据安全的技术效果。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1为本申请实施例提供的一种身份识别方法流程示意图;
图2为本申请实施例提供的一种身份识别方法中获得所述应用服务端的第一输入信息流程示意图;
图3为本申请实施例提供的一种身份识别方法中获得所述应用服务端的第一输入信息流程示意图;
图4为本申请实施例提供的一种身份识别方法中生成所述具有数字签名的用户身份识别凭证流程示意图;
图5为本申请实施例提供了一种身份识别装置结构示意图;
图6为本申请实施例示例性电子设备的结构示意图。
附图标记说明:第一获得单元11,第二获得单元12,第三获得单元13,第一发送单元14,第四获得单元15,第一处理单元16,总线架构300,接收器301,处理器302,发送器303,存储器304,总线接口305。
具体实施方式
本申请实施例通过提供一种身份识别方法及装置,解决了现有技术中用于用户身份鉴别的方法通常基于“用户名+口令”、USB Key+数字证书中的一种,存在用户口令易丢失或数字证书易被冒用,从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证,达到了保证身份认证的强度,从而保证用户信息以及数据安全的技术效果。
下面,将参考附图详细的描述根据本申请的示例实施例。显然,所描述的实施例仅是本申请的一部分实施例,而不是本申请的全部实施例,应理解,本申请不受这里描述的示例实施例的限制。
申请概述
当前计算机信息系统仍然普遍采用“用户名+口令”的方式进行用户身份鉴别,但随着信息系统数量快速增长USB Key+数字证书和生物识别技术也被用来增强用户身份认证的有效性和可靠性。现有技术中存在用户口令易丢失或数字证书易被冒用,从而无法准确识别用户身份以及保证数据安全的技术问题。
针对上述技术问题,本申请提供的技术方案总体思路如下:
通过获得所述应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;获得第一识别指令,根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端;通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
为了更好地理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
实施例一
如图1所示,本申请实施例提供了一种身份认证方法,其中,所述方法应用于身份识别装置,所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接,所述方法包括:
步骤S100:获得所述应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;
进一步的,如图2所示,所述获得所述应用服务端的第一输入信息,步骤S100还包括:
步骤S110:通过所述应用服务端获得身份标识信息,其中,所述身份标识信息包括用户银行账号信息、用户身份证号码信息、用户手机号码信息、用户E-mail邮箱地址信息其中的一个或多个;
步骤S120:根据所述身份标识信息获得所述应用服务端的所述第一输入信息。
具体而言,所述身份识别装置可理解为通过用户输入“用户名+口令”的方式进行用户身份鉴别的装置,所述应用服务端可理解为可供用户使用的一端,例如手机、平板电脑等移动设备,所述认证服务端存储有预设的生物特征识别模板;所述标识密码基础设备包括,用于启动初始化的和生成系统公共参数以及主密钥的处理单元,用于存储系统公共参数以及主密钥的存储介质,所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接,可进行相互的数据交互,所述第一输入信息可理解为用户在需要进行身份验证时在所述应用服务端的输入信息,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,进一步的,所述身份标识信息可理解为用于表明使用者身份的信息,例如用户标识ID,所述身份标识信息还包括:银行账号信息、身份证号码信息、手机号码信息、E-mail邮箱地址信息,其中,所述身份标识信息包括如下唯一性信息,进一步的,所述唯一性信息可理解为某一用户的所述身份标识信息只可供该用户使用,不可作为其他用户的身份标识信息使用,所述身份标识信息可用于标明用户身份,所述用户特征信息为使用者通过应用服务端输入的用户的生物特征信息,例如用户在使用指纹解锁手机输入的指纹信息,该指纹信息用于与预设的指纹信息相比较,若该指纹信息与预设指纹信息相匹配,则可解锁手机,若该指纹信息与预设指纹信息无法匹配,则无法解锁手机。通过获得所述应用服务端的第一输入信息,达到了标明用户身份、为后续身份识别提供数据支撑的技术效果。
步骤S200:获得第一识别指令,根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;
具体而言,所述第一识别指令为身份识别装置在获得所述第一输入信息后,进行下一步身份识别的动作指令。在所述身份识别装置获得所述第一输入信息后,获得所述第一识别指令,控制所述认证服务端基于生物识别模板对所述第一输入信息进行身份识别,即通过所述认证服务端依据所述身份标识ID和所述用户特征信息识别用户身份。进一步来说,所述生物识别模板存储于所述认证服务端,用户生物特征识别通过后,由后续认证服务端产生基于用户ID的私钥并计算应用服务端挑战码的应答签名,这样用户端只需要提供自己的生物特征即可,不需要保存私钥和特征模板,达到安全性和方便性提升的技术效果。所述认证服务端依据预设的生物特征识别模板对所述身份标识ID和所述用户特征信息进行识别,若所述标识ID对应的生物特征模板和所述用户特征信息互相匹配,则说明身份识别通过,即第一身份识别结果为通过,可进行下一步骤;若所述标识ID和所述用户特征信息不匹配,则说明身份识别未通过,即第一身份识别结果为未通过,可结束识别,此时结束身份认证过程。通过所述标识ID和所述用户特征信息,达到了识别用户身份的技术效果。
步骤S300:当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;
步骤S400:通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端;
具体而言,当所述第一身份识别结果为识别通过时,即所述标识ID和所述用户特征信息互相匹配,通过所述认证服务端申请获得用户私钥,具体的,所述私钥可理解为在非对称加密算法中生成的由私人保管、使用时无需传输的密钥,私钥可用于对传输的文件或数据进行加密或解密操作,具体的,用户私钥申请请求由所述认证服务端获得,所述认证服务端获得用户私钥申请请求后,通过信息传输的方式将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端,所述标识密码设备端用于基于所述用户标识ID和依据所述主密钥和所述系统公共参数,生成用户私钥,具体的,所述用户私钥可理解为所述标识密码设备端生成的与所述用户ID互相匹配的,具有唯一性的私钥,所述标识密码设备端将所述用户私钥和所述系统公共参数发送至认证服务端。通过所述第一身份识别结果及所述私钥申请请求,达到了在所述标识密码设备端生成与用户ID互相匹配的,具有唯一性的私钥的技术效果。
步骤S500:通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;
具体而言,所述标识密码端收到所述用户私钥申请请求后,基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥,所述系统公共参数,可理解为所述身份识别装置中的固定参数,即装置中预先设定的或默认的参数,所述系统公共参数为公共参数,并不会因为所述用户标识ID的变化而变化,进一步的,所述主密钥可理解为由标识密码端唯一掌握的秘密密钥,它往往用于生成用户私钥或作为用户密钥的加密密钥,实现这些密钥的分发和安全保护,所述用户私钥和所述系统公共参数构成了所述第一反馈信息,由所述标识密码端将所述第一反馈信息发送至所述认证服务端,以完成下一步骤的操作。通过获得用户私钥和系统公共参数,达到了为后续基于对第一输入信息处理获得用户身份识别凭证提供数据及信息支撑的技术效果。
步骤S600:通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
具体而言,所述认证服务端收到所述标识密码端发送的所述第一反馈信息后,所述认证服务端通过所述第一反馈信息对所述第一输入信息进行处理,由所述认证服务端使用所述用户私钥针对所述第一输入信息中的所述随机数挑战码计算数字签名,并生成具有数字签名的用户身份识别凭证,所述数字签名,又可称为私钥签名,是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明,信息的接收者可以通过获得发送者的公钥对签名进行验证。它是一种类似写在纸上的普通的物理签名,但是在使用了公钥加密领域的技术来实现的,用于鉴别数字信息的方法。所述认证服务端将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。通过基于生物识别技术和公钥密码技术完成用户身份认证,达到了保证身份认证的强度,从而保证用户信息以及数据安全的技术效果。
进一步的,如图3所示,所述获得所述应用服务端的第一输入信息,步骤S120还包括:
步骤S121:通过所述应用服务端获得用户特征信息,其中,所述用户特征信息包括指纹信息、或掌纹信息、人脸信息、虹膜信息、语音声纹信息其中的一个或多个;
步骤S122:根据所述用户特征信息和所述身份标识信息获得所述应用服务端的所述第一输入信息。
具体而言,所述用户特征信息为用户的生物特征信息,包括:指纹信息、掌纹信息、人脸信息、虹膜信息、语音声纹信息。用户使用本地可采集生物特征信息的、通用的智能终端及其上的采集设备或装置,所述智能终端包括如下设备:智能手机、Pad平板电脑、台式及便携式电脑,所述智能终端上的采集设备或装置包括终端内嵌或连接的摄像头、指纹识别传感器、麦克风设备;用户使用上述智能终端及其上的采集设备或装置,并具体通过智能终端上预安装的APP或浏览器采集用户的生物特征信息,所述生物特征信息包括如下至少一种或多种组合:指纹、掌纹、人脸、虹膜、语音声纹。进一步的,获得所述用户标识信息和所述用户特征信息后,根据所述用户特征信息和所述身份标识信息获得所述应用服务端的所述第一输入信息,举例而言,若所述用户特征信息为指纹、掌纹,所述身份标识信息为用户手机号码信息,则所述第一输入信息为指纹、掌纹以及用户手机号码信息的集合,通过获得所述用户特征信息和所述身份标识信息,达到了进一步完善第一输入信息、保证用户身份唯一性的技术效果。
进一步的,所述获得所述应用服务端的第一输入信息,步骤S122还包括:
步骤S1221:通过所述应用服务端根据所述身份标识信息生成随机数挑战码;
步骤S1222:通过所述应用服务端通过第一预设规则进行所述身份标识信息加密,其中,所述身份标识信息中的所述标识ID未进行加密,根据加密后的所述身份标识信息、所述随机数挑战码和所述用户特征信息获得所述第一输入信息。
具体而言,所述挑战码(challenge)也称作挑战口令,是指遵循握手验证协议生成的一组加密口令,用于在传输过程中保证用户的真实密码不被泄露。握手验证协议是一种加密的验证方式,握手验证协议为每一次验证任意生成一个挑战字串来防止受到重放攻击(replay attack)。在整个连接过程中,握手验证协议将不定时的向客户端重复发送挑战码,从而避免第3方冒充远程客户(remote client impersonation)进行攻击,通过所述应用服务端通过第一预设规则进行所述身份标识信息加密,所述第一预设规则为GM/T 0044-2016SM9标识密码算法,SM9标识密码算法由于它的易用性和高安全性,非常适合海量用户的安全交互通信;在保障移动互联网、云计算、云存储、物联网、大数据等新兴技术领域的数据安全展现出得天独厚的优势。通过将SM9标识密码算法集成在密码卡上,可为上述安全应用提供底层的算法加速、身份认证、密钥管理和敏感数据保护等服务。所述身份标识信息中的所述标识ID未进行加密,根据加密后的所述身份标识信息、所述随机数挑战码和所述用户特征信息获得所述第一输入信息。通过使用标识ID派生出的用户公钥对第一输入信息加密,认证服务端申请获得基于标识ID生成的用户私钥解密此信息,达到了避免第3方冒充远程客户进行攻击、保证用户信息以及系统安全的技术效果。
进一步的,本申请实施例还包括:
步骤S710:通过所述应用服务端基于所述标识ID和所述系统公共参数生成用户标识公钥;
步骤S720:根据所述用户标识公钥进行所述用户身份凭证的所述数字签名的验证,基于验证结果进行用户身份认证。
具体而言,所述标识ID和所述系统公共参数是由所述认证服务端上传至所述应用服务端,所述应用服务端根据所述标识ID和所述系统公共参数生成用户标识公钥,所述公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据,进一步的,根据所述用户标识公钥进行所述数字签名的验证,由所述应用服务端依据所述用户标识公钥,验证用户身份识别凭证的数字签名,若所述用户标识公钥与所述数字签名经过计算互相匹配,则说明验证结果为通过,若所述用户标识公钥与所述数字签名计算后互相不匹配,则说明验证结果为不通过,可基于验证结果进行用户身份认证。通过用户标识公钥验证数字签名,并基于验证结果进行用户身份验证,达到了进一步保证用户身份正确、维护用户数据安全的技术效果。
进一步的,如图4所示,所述通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,还包括:
步骤S610:通过所述认证服务端根据所述用户私钥进行所述身份标识信息解密,获得第一解密结果;
步骤S620:通过所述认证服务端根据所述用户私钥对所述随机数挑战码进行数字签名计算,获得第一计算结果;
步骤S630:根据所述第一计算结果和所述第一解密结果生成所述具有数字签名的用户身份识别凭证。
具体而言,所述服务端获得所述身份标识信息后可使用所述用户私钥对所述身份标识信息解密,所述使用所述私钥解密可理解为使用所述用户私钥对预先使用公钥加密后的所述身份标识信息解密,可保证数据的保密性,获得所述第一解密结果,通过所述认证服务端根据所述用户私钥对所述第一输入信息中的随机数挑战码进行数字签名计算,获得第一计算结果,所述数字签名计算方法为公钥密码算法,根据所述第一计算结果和所述第一解密结果生成所述具有数字签名的用户身份识别凭证。通过第一计算结果和第一解密结果生成用户身份识别凭证,达到了确保用户身份识别凭证的保密性、避免用户身份识别凭证被恶意替换的技术效果。
进一步的,本申请实施例还包括:
步骤S210:当所述第一身份识别结果为识别不通过时,则结束用户身份认证。
具体而言,当所述第一身份识别结果为识别不通过时,即所述标识ID和所述用户特征信息不匹配,则结束用户身份认证,可获得所述第二输入信息,可获得第二识别指令,根据所述第二识别指令通过所述认证服务端基于所述标识ID和所述用户特征信息进行身份识别,获得第二身份识别结果,若所述第二身份识别结果通过,则继续后续步骤,若第二身份识别结果不通过,则结束用户身份认证。通过身份识别结果判断是否继续用户身份认证,达到了节省身份认证时间、保证用于身份认证的用户身份正确的技术效果。
与现有技术相比,本发明具有如下的有益效果:
1.本申请实施例通过获得所述应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;获得第一识别指令,根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端;通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。本申请实施例解决了现有技术中用于用户身份鉴别的方法通常基于“用户名+口令”、USB Key+数字证书中的一种,存在用户口令易丢失或数字证书易被冒用,从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证,达到了保证身份认证的强度,从而保证用户信息以及数据安全的技术效果。
2.通过认证服务端保存用户生物特征模板,所述用户生物特征模板用于用户生物特征识别,用户生物特征识别通过后,由认证服务端基于所述用户标识ID生成私钥,进一步完成用户身份认证,达到了无需在认证服务端保存私钥和用户特征模板,进一步达到了提升安全性和方便性的技术效果。
实施例二
基于与前述实施例中一种用于身份识别方法同样发明构思,本发明还提供了一种用于身份识别装置,如图5所示,所述装置包括:
第一获得单元11:所述第一获得单元11用于获得应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;
第二获得单元12:所述第二获得单元12用于获得第一识别指令,根据所述第一识别指令通过认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;
第三获得单元13:所述第三获得单元13用于当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;
第一发送单元14:所述第一发送单元14用于通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至标识密码设备端;
第四获得单元15:所述第四获得单元15用于通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;
第一处理单元16:所述第一处理单元16用于通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
进一步的,所述装置还包括:
第五获得单元:所述第五获得单元用于通过所述应用服务端获得身份标识信息;
第六获得单元:所述第六获得单元用于根据所述身份标识信息获得所述应用服务端的所述第一输入信息。
进一步的,所述装置还包括:
第七获得单元:所述第七获得单元用于通过所述应用服务端获得用户特征信息;
第八获得单元:所述第八获得单元用于根据所述用户特征信息和所述身份标识信息获得所述应用服务端的所述第一输入信息。
进一步的,所述装置还包括:
第一生成单元:所述第一生成单元用于通过所述应用服务端根据所述身份标识信息生成随机数挑战码;
第一加密单元:所述第一加密单元用于通过所述应用服务端通过第一预设规则进行所述身份标识信息加密。
进一步的,所述装置还包括:
第二生成单元:所述第二生成单元用于通过所述应用服务端基于所述标识ID和所述系统公共参数生成用户标识公钥;
第一验证单元:所述第一验证单元用于根据所述用户标识公钥进行所述用户身份凭证的所述数字签名的验证,基于验证结果进行用户身份认证。
进一步的,所述装置还包括:
第一解密单元:所述第一解密单元用于通过所述认证服务端根据所述用户私钥进行所述身份标识信息解密,获得第一解密结果;
第三生成单元:所述第三生成单元用于通过所述认证服务端根据所述用户私钥进行所述身份标识信息解密,获得第一解密结果;
进一步的,所述装置还包括:
第一结束单元:所述第一结束单元用于当所述第一身份识别结果为识别不通过时,则结束用户身份认证。
示例性电子设备
下面参考图6来描述本申请实施例的电子设备,
基于与前述实施例中一种身份识别方法相同的发明构思,本申请实施例还提供了一种身份识别装置,包括:处理器,所述处理器与存储器耦合,所述存储器用于存储程序,当所述程序被所述处理器执行时,使得装置以执行第一方面任一项所述的方法。
该电子设备300包括:处理器302、通信接口303、存储器301。可选的,电子设备300还可以包括总线架构304。其中,通信接口303、处理器302以及存储器301可以通过总线架构304相互连接;总线架构304可以是外设部件互连标(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry Standardarchitecture,简称EISA)总线等。所述总线架构304可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器302可以是一个CPU,微处理器,ASIC,或一个或多个用于控制本申请方案程序执行的集成电路。
通信接口303,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN),有线接入网等。
存储器301可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable Programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线架构304与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器301用于存储执行本申请方案的计算机执行指令,并由处理器302来控制执行。处理器302用于执行存储器301中存储的计算机执行指令,从而实现本申请上述实施例提供的一种身份识别方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
本申请实施例通过提供了一种身份识别方法,其中,所述方法应用于身份识别装置,所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接,所述方法包括:获得所述应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;获得第一识别指令,根据所述第一识别指令通过所述认证服务端基于所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端;通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。本申请实施例解决了现有技术中用于用户身份鉴别的方法通常基于“用户名+口令”、USB Key+数字证书中的一种,存在用户口令易丢失或数字证书易被冒用,从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证,达到了保证身份认证的强度、从而保证用户信息以及数据安全的技术效果。
本领域普通技术人员可以理解:本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围,也不表示先后顺序。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至少一个”是指一个或者多个。至少两个是指两个或者多个。“至少一个”、“任意一个”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个、种),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列(FPGA)或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于终端中。可选地,处理器和存储媒介也可以设置于终端中的不同的部件中。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。
Claims (9)
1.一种身份认证方法,其中,所述方法应用于身份识别装置,所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接,所述方法包括:
获得所述应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;
获得第一识别指令,根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;
当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;
通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至所述标识密码设备端;
通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;
通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
2.如权利要求1所述的方法,其中,所述获得所述应用服务端的第一输入信息,还包括:
通过所述应用服务端获得身份标识信息,其中,所述身份标识信息包括用户银行账号信息、或用户身份证号码信息、用户手机号码信息、用户E-mail邮箱地址信息其中的一个或多个;
根据所述身份标识信息获得所述应用服务端的所述第一输入信息。
3.如权利要求2所述的方法,其中,所述获得所述应用服务端的第一输入信息,还包括:
通过所述应用服务端获得用户特征信息,其中,所述用户特征信息包括指纹信息、或掌纹信息、人脸信息、虹膜信息、语音声纹信息其中的一个或多个;
根据所述用户特征信息和所述身份标识信息获得所述应用服务端的所述第一输入信息。
4.如权利要求3所述的方法,其中,所述获得所述应用服务端的第一输入信息,还包括:
通过所述应用服务端根据所述身份标识信息生成随机数挑战码;
通过所述应用服务端通过第一预设规则进行所述身份标识信息加密,其中,所述身份标识信息中的所述标识ID未进行加密,根据加密后的所述身份标识信息、所述随机数挑战码和所述用户特征信息获得所述第一输入信息。
5.如权利要求1所述的方法,其中,所述方法还包括:
通过所述应用服务端基于所述标识ID和所述系统公共参数生成用户标识公钥;
根据所述用户标识公钥进行所述用户身份凭证的所述数字签名的验证,基于验证结果进行用户身份认证。
6.如权利要求4所述的方法,其中,所述通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,还包括:
通过所述认证服务端根据所述用户私钥进行所述身份标识信息解密,获得第一解密结果;
通过所述认证服务端根据所述用户私钥对所述随机数挑战码进行数字签名计算,获得第一计算结果;
根据所述第一计算结果和所述第一解密结果生成所述具有数字签名的用户身份识别凭证。
7.如权利要求1所述的方法,其中,所述方法还包括:
当所述第一身份识别结果为识别不通过时,则结束用户身份认证。
8.一种身份识别装置,其中,所述装置包括:
第一获得单元:所述第一获得单元用于获得应用服务端的第一输入信息,其中,所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码,其中,所述身份标识信息包括标识ID;
第二获得单元:所述第二获得单元用于获得第一识别指令,根据所述第一识别指令通过认证服务端基于生物特征识别模板、所述标识ID和所述用户特征信息进行身份识别,获得第一身份识别结果;
第三获得单元:所述第三获得单元用于当所述第一身份识别结果为识别通过时,通过所述认证服务端申请获得用户私钥;
第一发送单元:所述第一发送单元用于通过所述认证服务端将所述标识ID和所述用户私钥申请请求发送至标识密码设备端;
第四获得单元:所述第四获得单元用于通过所述认证服务端获得所述标识密码设备端的第一反馈信息,其中,所述第一反馈信息包括用户私钥和系统公共参数,所述用户私钥为所述标识密码设备端基于所述标识ID,通过主密钥、所述系统公共参数生成的用户私钥;
第一处理单元:所述第一处理单元用于通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理,获得具有数字签名的用户身份识别凭证,将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
9.一种身份识别装置,包括:处理器,所述处理器与存储器耦合,所述存储器用于存储程序,当所述程序被所述处理器执行时,使装置以执行如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111465753.6A CN113971274B (zh) | 2021-12-02 | 2021-12-02 | 一种身份识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111465753.6A CN113971274B (zh) | 2021-12-02 | 2021-12-02 | 一种身份识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113971274A CN113971274A (zh) | 2022-01-25 |
| CN113971274B true CN113971274B (zh) | 2022-12-27 |
Family
ID=79590552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111465753.6A Active CN113971274B (zh) | 2021-12-02 | 2021-12-02 | 一种身份识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113971274B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378623A (zh) * | 2022-03-17 | 2022-11-22 | 中国移动通信集团有限公司 | 身份认证方法、装置、设备及存储介质 |
| CN116110159B (zh) * | 2023-04-13 | 2023-06-23 | 新兴际华集团财务有限公司 | 基于cfca认证标准的用户认证方法、设备和介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9705859B2 (en) * | 2015-12-11 | 2017-07-11 | Amazon Technologies, Inc. | Key exchange through partially trusted third party |
| CN110166246B (zh) * | 2016-03-30 | 2022-07-08 | 创新先进技术有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
| CN110933109B (zh) * | 2019-12-17 | 2022-03-29 | 中国建设银行股份有限公司 | 小程序动态认证方法及装置 |
| CN111953705B (zh) * | 2020-08-20 | 2022-08-23 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
| CN112926092A (zh) * | 2021-03-30 | 2021-06-08 | 支付宝(杭州)信息技术有限公司 | 保护隐私的身份信息存储、身份认证方法及装置 |
-
2021
- 2021-12-02 CN CN202111465753.6A patent/CN113971274B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113971274A (zh) | 2022-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11652816B1 (en) | Biometric knowledge extraction for mutual and multi-factor authentication and key exchange | |
| US11855983B1 (en) | Biometric electronic signature authenticated key exchange token | |
| US10075437B1 (en) | Secure authentication of a user of a device during a session with a connected server | |
| KR102144528B1 (ko) | 블루투스 인터페이스를 갖는 인증 장치 | |
| TWI578749B (zh) | 用於遷移金鑰之方法及設備 | |
| US9935953B1 (en) | Secure authenticating an user of a device during a session with a connected server | |
| JPWO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
| WO2014006184A1 (en) | On-demand identity attribute verification and certification for services | |
| US10007773B2 (en) | Method for generating public identity for authenticating an individual carrying an identification object | |
| JP2018521417A (ja) | 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ | |
| EP3121991B1 (en) | System and method of user authentication using digital signatures | |
| KR101897715B1 (ko) | 바이오정보를 이용한 패스워드 없는 전자서명 시스템 | |
| KR20070024569A (ko) | 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처 | |
| CN113971274B (zh) | 一种身份识别方法及装置 | |
| CN105164689A (zh) | 用户认证 | |
| CN106982221A (zh) | 一种网络身份认证方法、系统及智能终端 | |
| US11405387B1 (en) | Biometric electronic signature authenticated key exchange token | |
| CN113872989A (zh) | 基于ssl协议的认证方法、装置、计算机设备和存储介质 | |
| JP7250960B2 (ja) | ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法 | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| WO2018051236A1 (en) | Protection of authentication tokens | |
| Mehra et al. | Remote user authentication and issues: a survey | |
| CN117040767B (zh) | 基于puf的细粒度多端身份认证方法以及相关设备 | |
| US20240106823A1 (en) | Sharing a biometric token across platforms and devices for authentication | |
| KR102021956B1 (ko) | 스마트 카드 기반 인증 시스템, 장치 및 인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |