CN114338055A - 一种身份认证方法及装置 - Google Patents
一种身份认证方法及装置 Download PDFInfo
- Publication number
- CN114338055A CN114338055A CN202011023878.9A CN202011023878A CN114338055A CN 114338055 A CN114338055 A CN 114338055A CN 202011023878 A CN202011023878 A CN 202011023878A CN 114338055 A CN114338055 A CN 114338055A
- Authority
- CN
- China
- Prior art keywords
- binding
- verification
- characteristic information
- user
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请涉及计算机技术领域,尤其涉及一种身份认证方法及装置,确定设备终端触发认证请求时,获取所述设备终端发送的第一设备特征信息和第一绑定标识,其中,所述第一绑定标识表征所述设备终端与用户身份的绑定关系;将所述第一绑定标识与存储的第二绑定标识进行标识比对验证;确定标识比对验证通过后,将所述第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证;确定设备特征信息比对验证通过时,确定所述认证请求所对应的用户的用户身份认证通过,这样,采用绑定标识和设备特征信息的双重认证方式,进行身份认证,不需要用户额外操作,提高了身份认证的效率和安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种身份认证方法及装置。
背景技术
实际中,为了防止信息泄露或盗用,保证安全性,尤其是在支付场景,对用户身份进行认证是非常重要的,相关技术中,进行身份认证的方式,主要是通过短信验证用户身份,或者使用实体令牌提供的动态码完成验证,但是相关技术中的方式,验证码存在被拦截和盗用的风险,而通过实体令牌提供动态码,实体令牌携带不方便,并且还需要用户手动输入以完成验证,操作繁琐。
发明内容
本申请实施例提供一种身份认证方法及装置,以提高身份认证的效率和安全性。
本申请实施例提供的具体技术方案如下:
本申请一个实施例提供了一种身份认证方法,包括:
确定设备终端触发认证请求时,获取所述设备终端发送的第一设备特征信息和第一绑定标识,其中,所述第一绑定标识表征所述设备终端与用户身份的绑定关系,并所述第一绑定标识是在触发绑定流程时,根据所述第一设备特征信息和所述认证请求所对应的用户信息进行加密后生成的;
将所述第一绑定标识与存储的第二绑定标识进行标识比对验证,并若未获取到所述设备终端的第一绑定标识,则触发绑定流程;
确定标识比对验证通过后,将所述第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,并若标识对比验证未通过,则触发绑定流程;
确定设备特征信息比对验证通过时,确定所述认证请求所对应的用户的用户身份认证通过。
本申请另一个实施例提供了一种身份认证装置,包括:
第一获取模块,用于确定设备终端触发认证请求时,获取所述设备终端发送的第一设备特征信息和第一绑定标识,其中,所述第一绑定标识表征所述设备终端与用户身份的绑定关系,并所述第一绑定标识是在触发绑定流程时,根据所述第一设备特征信息和所述认证请求所对应的用户信息进行加密后生成的;
第一比对验证模块,用于将所述第一绑定标识与存储的第二绑定标识进行标识比对验证,并若未获取到所述设备终端的第一绑定标识,则触发绑定流程;
第二比对验证模块,用于确定标识比对验证通过后,将所述第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,并若标识对比验证未通过,则触发绑定流程;
第一确定模块,用于确定设备特征信息比对验证通过时,确定所述认证请求所对应的用户的用户身份认证通过。
本申请另一个实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一种身份认证方法的步骤。
本申请另一个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种身份认证方法的步骤。
本申请另一个实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的任一种身份认证方法。
本申请实施例中,确定设备终端触发认证请求时,获取所述设备终端发送的第一设备特征信息和第一绑定标识,将所述第一绑定标识与存储的第二绑定标识进行标识比对验证,并确定标识比对验证通过后,将所述第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,当设备特征信息比对验证通过时,确定所述认证请求所对应的用户的用户身份认证通过,并且在未获取到所述设备终端的第一绑定标识或者标识对比验证未通过时,则触发绑定流程,从而实现设备终端与用户身份的绑定,这样,在进行身份认证时,可以采用绑定标识和设备特征信息的双重认证方式,提供了一种新的身份认证方式,可以自动发起并在后台服务器完成,而不需要用户进行其它额外操作,提高了安全性,并且整个过程用户无感知,认证过程更加简便,也提高了认证效率。
附图说明
图1为本申请实施例中身份认证方法的应用架构示意图;
图2为本申请实施例中一种身份认证方法流程图;
图3为本申请实施例中一种设备特征信息绑定流程示意图;
图4为本申请实施例中设备特征信息绑定过程时序图;
图5为本申请实施例中一种认证流程示意图;
图6为本申请实施例中认证过程时序图;
图7为本申请实施例中一种身份认证装置结构示意图;
图8为本申请实施例中电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为便于对本申请实施例的理解,下面先对几个概念进行简单介绍:
超文本标记语言第五版(Hypertext Marked Language,HTML5):也可以简称为H5,是描述网页的标准语言第5个版本。
设备特征信息:本申请实施例中可以表示设备终端的各种特征因子,例如,硬件型号、系统平台等,并不进行限制。
绑定标识:本申请实施例中表征设备终端与用户身份的绑定关系,可以通过设备特征信息与用户身份建立唯一的映射关系,例如,本申请实施例中采用唯一标识C来标记该绑定关系。
密文A:本申请实施例中表示加密后的设备特征信息。
密文B:本申请实施例中表示加密后的用户信息。
罗纳德-萨莫尔-阿德曼(Rivest-Shamir-Adleman,RSA)加密算法:是由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(LeonardAdleman)一起提出的,是一种非对称加密算法,即用来加密的密钥和用来解密的密钥是不同的,加密的一方使用一个密钥,称为公钥,解密的一方使用另一个密钥,称为私钥,私钥需要保持其私有性。
实际中,在各种应用场景中,尤其是在支付场景,对用户身份进行安全性认证都是非常重要的,相关技术中进行身份认证方式,主要有:1)通过短信验证用户身份;2)通过提供实体令牌与用户建立唯一的绑定关系,使用实体令牌提供的动态码完成验证;3)通过在应用的软件开发工具包(Software Development Kit,SDK)中内置应用程序(Application,APP)的方式,在APP内进行用户身份验证,但是这几种方式,短信验证存在被拦截的风险,并且用户需要等待并手动输入短信验证码完成验证,有额外的操作流程,而使用实体令牌需要随身携带,会带来不便性,存在令牌丢失的经济成本,并且也需要用户手动输入,操作繁琐,另外SDK内置APP的方式,会增加应用的占用空间大小,并且在HTML5应用环境下需要用户下载并跳转至该APP完成验证,依赖在APP内的操作,安全认证门槛高,也影响用户体验。
因此,针对上述问题,本申请实施例中提供了一种新的身份认证方法,确定设备终端触发认证请求时,获取设备终端发送的第一设备特征信息和第一绑定标识,将第一绑定标识与存储的第二绑定标识进行标识比对验证,标识比对验证通过后,再将第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,进而若设备特征信息也比对验证通过,则确定认证请求所对应的用户的用户身份认证通过,这样,通过绑定标识和设备特征信息的双重认证方式,来对用户身份进行认证,提高了认证安全性,并且无需用户进行其它额外操作,整个过程用户无感知,操作更加简便,提高了认证的效率,也提升了用户体验。
参阅图1所示,为本申请实施例中身份认证方法的应用架构示意图,包括设备终端100、服务器200、加密机300。
设备终端100可以是智能手机、平板电脑、便携式个人计算机等任何智能设备,设备终端100上可以安装有各种应用程序,例如为浏览器、购物APP等,在应用程序中具有身份认证的需求,例如在交易场景,是需要认证用户身份,用户身份认证通过后,才允许进行交易或支付操作。
服务器200能够为设备终端100提供各种网络服务,对于不同的应用程序,服务器200可以认为是相应的后台服务器,例如,用户在设备终端100上进行交易支付操作,则触发了用户身份认证流程,设备终端100向服务器200发送认证请求,并发送第一设备特征信息和第一绑定标识,进而服务器200可以分别对第一绑定标识和第一设备特征信息进行比对验证,若确定都比对验证通过后,则确定用户身份认证通过,也就是说,在设备终端100和服务器200均存储有绑定标识的情况下,可以通过绑定标识和设备特征信息的双重认证方式,进行用户身份认证。
又例如,在设备终端100没有存储绑定标识情况下,即服务器200无法获取到设备终端100发送的第一绑定标识,这时可以触发绑定流程,以使得将设备终端100和用户身份进行绑定。
又例如,在设备终端100存储有绑定标识,而服务器200端没有存储绑定标识情况下,则对设备终端100发送的第一绑定标识无法进行比对验证,这时为保证安全性,可以直接确定用户身份认证未通过,并拒绝或拦截后续的操作。
其中,服务器200可以是一台服务器、若干台服务器组成的服务器集群或云计算中心。
加密机300主要用于分别为设备终端100和服务器200提供加密机制,处理加解密和密钥管理工作,可以提高安全性,在具体实现时,加密机300可以单独部署在一个硬件设备中,与服务器200通过有线或无线的方式进行数据通信,如图1是为了更便于明确加密机300功能,将服务器200和加密机300分别绘制,但是当然,加密机300也可以作为服务器200的一个功能模块,部署在服务器200上,对此本申请实施例中并不进行限制。例如,加密机300可以提供加密的公钥和私钥,进而可以对数据传输过程以及数据存储进行保护,本申请实施例中可以对设备特征信息、用户信息等进行加密,可以有效控制安全风险,这样,本申请实施例中基于加密机,可以实现端到端加密的效果,端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在,即在设备终端100与服务器200端的交互过程中都是密文处理,并且本申请实施例中端到端加密表示原始信息或者明文是从设备终端100到加密机300,中间全部过程都是密文传输,可以进一步提高安全性。
设备终端100与服务器200之间可以通过互联网相连,实现相互之间的通信。可选地,上述的互联网使用标准通信技术、协议,或者两者结合。互联网通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(MetropolitanArea Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合。在一些实施例中,使用包括超文本标记语言(Hyper TextMark-up Language,HTML)、可扩展标记语言(Extensible Markup Language,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(SecureSocket Layer,SSL)、传输层安全(Transport Layer Security,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(Internet Protocol Security,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
需要说明的是,本申请实施例中的应用架构图是为了更加清楚地说明本申请实施例中的技术方案,并不构成对本申请实施例提供的技术方案的限制,对于其它的应用架构和业务应用,例如H5业务应用,本申请实施例提供的技术方案对于类似的问题,同样适用,本申请各个实施例中,以身份认证方法应用于图1所示的应用架构为例进行示意性说明。
基于上述实施例,参阅图2所示,为本申请实施例中一种身份认证方法流程图,应用于服务器,具体该方法包括:
步骤200:确定设备终端触发认证请求时,获取设备终端发送的第一设备特征信息和第一绑定标识,其中,第一绑定标识表征设备终端与用户身份的绑定关系,并第一绑定标识是在触发绑定流程时,根据第一设备特征信息和认证请求所对应的用户信息进行加密后生成的。
其中,设备终端触发认证请求的操作,例如为进行支付操作,风险交易操作等,本申请实施例中并不进行限制,可以为任何需要身份认证的操作或场景。
第一绑定标识是在绑定流程的过程中,将设备终端和用户身份进行绑定而加密生成的,并作为唯一标识而存储,设备终端可以根据实际情况选择存储区,并将该第一绑定标识存储在该存储区。
本申请实施例中,例如用户在设备终端上进行交易时,触发了认证请求,进而系统可以自动发起身份认证,通过系统后台服务器进行身份认证,这时设备终端将自身的第一设备特征信息和第一绑定标识,发送给服务器。
并且,设备终端与服务器之间的数据通信,可以通过加密传输,具体地执行步骤200时,本申请实施例中提供了一种可能的实施方式,获取设备终端发送的加密后的第一设备特征信息和第一绑定标识。
例如,设备终端可以采用非对称加密算法,使用公钥对传输的数据进行加密,公钥可以随着应用程序的版本发布至设备终端,私钥保存在加密机中。
步骤210:将第一绑定标识与存储的第二绑定标识进行标识比对验证。
本申请实施例中,在服务器端也会针对该设备终端,对应存储一个绑定标识,第二绑定标识也表征设备终端与用户身份的绑定关系,正常情况下,服务器存储的第二绑定标识与设备终端存储的第一绑定标识应该是相同的。
具体地,判断设备终端发送的第一绑定标识与服务器存储的第二绑定标识是否相同,若确定相同,则标识比对验证通过,若确定不相同,则标识比对验证不通过。
步骤220:确定标识比对验证通过后,将第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证。
本申请实施例中,服务器存储第二设备特征信息时,也可以加密存储,提高安全性,则这时进行设备特征信息比对验证时,具体为:
1)将加密后的第一设备特征信息,与存储的加密后的第二设备特征信息进行比对。
2)确定加密后的第一设备特征信息与加密后的第二设备特征信息相同时,确定设备特征信息比对验证通过。
3)确定加密后的第一设备特征信息与加密后的第二设备特征信息不相同时,确定设备特征信息比对验证不通过。
步骤230:确定设备特征信息比对验证通过时,确定认证请求所对应的用户的用户身份认证通过。
也就是说,本申请实施例中,只有设备终端和服务器均存储有绑定标识,并且标识比对验证、设备特征信息比对验证均通过,才会确定用户身份认证通过,进而允许触发认证请求所对应的操作。
本申请实施例中,还可以设置了两次比对验证的顺序,具体地,将第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证之前,确认标识比对验证通过。
进一步地,在进行比对验证时,在标识比对验证和设备特征信息比对验证均通过时,确定用户身份认证通过,但是可能还会出现其它情况,具体分为以下几种情况:
第一种情况:未获取到设备终端的第一绑定标识。
即设备终端中未存储有第一绑定标识,这时不管服务器中存储还是没有存储第二绑定标识,都不能采用设备终端和用户身份的绑定关系进行认证了,因此,这时本申请实施例中可以采用其它身份认证方式进行认证,并且为了能够在之后可以采用绑定关系进行认证的方式,同时还可以触发绑定流程,通过绑定生成绑定标识。
第二种情况:标识对比验证未通过。
在第二种情况下,标识对比验证未通过,即在服务器和设备终端均有绑定标识,即服务器存储有第二绑定标识,同时设备终端存储有第一绑定标识,但是通过比对验证,确定第二绑定标识与第一绑定标识不相同,这时可能是出现用户账号被替换的风险,绑定标识被恶意替换到其他不同用户对应的存放绑定标识的存储区中,从而存在仿冒用户身份的风险,或者绑定标识被恶意种到其他设备终端,标识比对验证不通过,这时会触发绑定流程,并采用其它身份认证方式进行认证。
针对上述第一种情况和第二种情况,即当未获取到设备终端的第一绑定标识,或标识对比验证未通过时,则触发绑定流程,具体本申请实施例中提供了一种可能的实施方式:
S1、触发绑定流程时,获取认证请求所对应的用户的用户信息。
其中,该用户即表示触发认证请求所对应的操作,该操作所在的应用程序绑定的相关用户信息。
用户信息中至少包括用户身份信息,例如为用户标识(Identity document,ID)、账户ID等,其中,用户ID例如为用户身份证号、手机号码等,账户ID例如为账号、账号名等,本申请实施例中并不进行限制。
S2、根据设备终端发送的第一设备特征信息和用户信息,加密生成绑定标识。
具体地,1)获取设备终端发送的加密后的第一设备特征信息,并对用户信息进行加密处理,获得加密后的用户信息。2)将加密后的第一设备特征信息和加密后的用户信息,进行加密处理,生成绑定标识。
例如,第一设备特征信息采用公钥a加密,生成密文A,用户信息采用公钥b加密,生成密文B,然后将密文A和密文B,再采用公钥c进行加密,生成密文C,将密文C作为绑定标识。
S3、存储生成的绑定标识,并将生成的绑定标识发送给设备终端,以使设备终端存储生成的绑定标识,并触发显示预设验证方式提示信息。
进一步地,服务器存储密文C外,还可以对应存储密文A和密文B,三者关联存储,对于设备终端只需存储密文C即可。
本申请实施例中,在触发绑定流程时,同时也说明此次不能再采用绑定标识的方式进行身份认证了,为了保证此次也可以继续完成身份认证,也为了保证设备终端和用户身份绑定关系的正确性,即绑定标识的准确性,本申请实施例中,在绑定流程时,还可以采用其它身份认证方式,例如为密码验证、人脸识别、指纹验证等,并不进行限制,则基于不同的身份认证方式,相应向用户提示不同的验证方式提示信息,例如提示用户输入密码,提示用户刷脸、提示用户输入指纹信息等,另外为了进一步提升安全性,也可以同时采用几种不同的其它身份认证方式,例如,采用密码+人脸识别的方式,则这时需要密码和人脸均验证通过后,才会确定身份认证成功。
S4、接收设备终端发送的基于预设验证方式提示信息输入的验证信息。
S5、对验证信息进行验证,确定验证通过时,确定用户身份认证通过,并确定设备终端与用户身份绑定成功。
即此时采用其它身份认证方式,例如密码和人脸均验证通过,说明对应的用户身份认证通过,并且此时可以确定设备终端与用户身份绑定成功,即生成的绑定标识是正确的,用户可以继续执行后续的操作。
这样,本申请实施例中,通过结合设备特征信息和用户信息,生成唯一的绑定标识,实现设备终端与用户身份的一对一的绑定关系。
进一步地,确定设备终端与用户身份绑定成功之后,针对标识对比验证未通过的情况,这时还可以根据该生成的绑定标识,更新服务器之前存储的第二绑定标识,并更新设备终端之前存储的第一绑定标识。
进一步地,若验证未通过,用户身份认证未通过,则说明设备终端与用户身份绑定未成功,生成的绑定标识也是不正确的,服务器和设备终端均可以删除该生成的绑定标识。
第三种情况:服务器未对应存储有第二绑定标识。
该情况是针对设备终端存储有第一绑定标识,而服务器没有存储第二绑定标识的情况,实际中,通常服务器存储的信息是不容易丢失的,本申请实施例中认为若服务器端没有第二绑定标识,说明该设备终端的第一绑定标识也是非法的,具体地,当用户身份认证未通过且未对应存储有第二绑定标识时,进一步包括:拒绝触发认证请求所对应的操作。
第四种情况:设备特征信息比对验证未通过。
该情况是针对设备终端和服务器未存储有绑定标识,并标识比对验证通过,而设备特征信息比对验证未通过的情况,此时说明可能存在用户账号被盗用,在其它设备终端登录的风险,具体地,确定设备特征信息比对验证未通过且用户身份认证未通过时,进一步包括:拒绝触发认证请求所对应的操作。
本申请实施例中,确定设备终端触发认证请求时,获取设备终端发送的第一设备特征信息和第一绑定标识,将第一绑定标识与存储的第二绑定标识进行标识比对验证,并当标识比对验证通过后,将第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,进而确定设备特征信息比对验证通过时,确定认证请求所对应的用户的用户身份认证通过,这样,在进行身份认证时,通过绑定标识以及设备特征信息的双重比对验证,可以提高安全性,并且可以在设备终端触发认证请求后,自动发起身份认证流程,不需要用户进行其它操作,对于用户无感知,用户也不需要安装其它应用或携带额外实体装置,进而也提高了效率,保障了用户体验。
基于上述实施例,下面采用具体应用场景进行说明,可知本申请实施例中的身份认证方法中主要可以分为两部分:设备特征信息绑定流程和认证流程,在进行身份认证时,基于不同的情况可以触发不同的流程,下面分别进行说明:
第一部分:设备特征信息绑定流程。
在某些特定场景下,例如在高风险交易时,首次建立设备终端与用户身份的绑定关系,又例如,在实施本申请实施例中的身份认证方法过程中,触发认证请求时,当未获取到设备终端的第一绑定标识,即设备终端中未存储第一绑定标识,也或者在设备终端存储有第一绑定标识并服务器存储有第二绑定标识,进行标识比对验证时,标识比对验证未通过,进而会自动发起绑定流程,并通过其它预设验证方式进行用户身份认证,用户身份认证通过后,确定设备终端与用户身份绑定成功。
以预设验证方式为密码验证和人脸识别验证结合为例,具体参阅图3所示,为本申请实施例中一种设备特征信息绑定流程示意图,包括:
步骤300:触发绑定流程。
步骤301:自动发起设备特征信息与用户身份绑定。
具体地:1)服务器获取认证请求所对应的用户的用户信息;2)根据设备终端发送的设备特征信息和用户信息,加密生成绑定标识;3)存储生成的绑定标识,并将生成的绑定标识发送给设备终端,这时已经生成了绑定标识,并分别在服务器和设备终端中相应存储了该生成的绑定标识,为进一步保证绑定的准确性,在绑定时需要通过其它验证方式进行用户身份认证。
其中,设备特征信息可以包括设备终端的一种或几种信息,例如有硬件型号:如x86、先进的RISC机器(Advanced RISC Machines,arm),其中,精简指令集计算机(ReducedInstruction Set Computer,RISC);系统平台:如苹果操作系统(iPhone OperationSystem,IOS)、安卓(Android);色彩深度(colorDepth):屏幕调色板的比特深度;像素比(pixelRatio):屏幕像素比;硬件并发(hardwareConcurrency)特征:如逻辑处理器中央处理器(Central Processing Unit/Processor,CPU)的数量;屏幕分辨率(screenResolution):如屏幕宽高;画布(canvas)指纹:渲染一片特殊字体图案产生的base64字符;网页图形库(Web Graphics Library,WebGL)指纹:对WebGl绘图协议的支持信息;WebGL VendorAndRenderer:显卡型号;触控支持(touchSupport):表示触控支持信息;字体(fonts):支持的字体合集;音频(audio)指纹:使用H5音频应用程序接口(ApplicationProgram Interface,API)-音频上下文(AudioContext)、在浏览器后台播放数字音频,等等,本申请实施例中并不进行限制。
步骤302:通过密码验证方式进行用户身份认证。
例如,设备终端上先显示输入密码的提示信息,用户输入支付或交易的密码,验证该密码是否正确。
步骤303:通过人脸识别方式进行用户身份认证。
例如,密码验证通过后,设备终端上继续提示输入人脸的提示信息,用户进行刷脸,进而服务器进行人脸识别,验证人脸识别是否通过。
步骤304:确定用户身份认证通过时,确定设备终端与用户身份绑定成功。
即密码验证和人脸识别均通过后,确定用户身份认证通过。
这样,在绑定时,通过至少双重验证方式以验证用户身份,用户身份认证通过后,完成绑定,并且服务器和设备终端可以记录并存储该绑定关系,即生成的绑定标识,进一步地若用户身份认证未通过,则生成的绑定标识无效,服务器和设备终端可以相应删除该绑定标识,保证了绑定标识的正确性,也提高了基于绑定标识进行身份认证的安全性。
为了更清楚地了解绑定流程,下面具体进行说明,以服务器和加密机分别部署在不同的硬件设备上为例,引入加密机主要完成加解密工作和密钥管理工作,参阅图4所示,为本申请实施例中设备特征信息绑定过程时序图,具体包括:
步骤400:设备终端向服务器发送加密后的设备特征信息。
例如,在HTML5业务场景下,设备终端与服务器之间的数据通信,可以在超文本传输安全协议(Hyper Text Transfer Protocol over Secure Socket Layer,https)的基础上,采用非对称加密算法对数据进行二次加密,其中,非对称加密算法例如为RSA,并不进行限制,则即设备终端采用https和RSA加密传输设备特征信息至服务器。
其中,设备终端在采用RSA进行加密时,所采用的公钥可以是随着应用发布时下发至设备终端的,公钥对应的私钥保存在加密机中,例如,设备终端采用加密机提供的公钥a对设备特征信息进行加密,获得密文A。
步骤401:服务器调用加密机对用户信息进行加密。
具体地,服务器将用户信息发送给加密机,加密机采用公钥b对用户信息进行加密,生成密文B,并返回给服务器。
步骤402:服务器存储加密后的设备特征信息和加密后的用户信息。
即服务器存储密文A和密文B。
步骤403:服务器调用加密机对加密后的设备特征信息和加密后的用户信息进行加密,生成绑定标识,并存储生成的绑定标识。
具体地,服务器将密文A和密文B发送给加密机,加密机采用公钥c对密文A和密文B的组合进行加密处理,生成密文C,作为唯一绑定标识,并将密文C返回给服务器,服务器存储密文C。
步骤404:服务器将生成的绑定标识发送给设备终端。
步骤405:设备终端存储生成的绑定标识,并显示预设验证方式提示信息。
即设备终端存储该密文C,并发起其它方式认证流程,为提高安全性,较佳的,可以采用至少两种验证方式进行身份认证。
步骤406:设备终端将输入的验证信息发送给服务器。
步骤407:服务器对验证信息进行验证,验证通过时,确定用户身份认证通过,并确定设备终端与用户身份绑定成功。
步骤408:服务器向设备终端返回用户身份认证通过,并绑定成功的结果信息。
这时,不仅可以同时完成身份认证,服务器和设备终端还均记录该绑定标识,可以在下一次身份认证时,采用该绑定标识进行身份认证,而不再需要用户输入密码、人脸等其它验证信息了。
本申请实施例中,引用加密机处理加解密和密钥管理工作,可以对数据进行保护,可以有效控制安全风险,并且将设备特征信息和用户身份绑定,进而可以在进行身份认证时,通过表征绑定关系的绑定标识来进行身份认证,可以在其它身份认证方式的基础上,多一层该认证方式,即可以在无法采用绑定标识进行身份认证时,采用其它身份认证方式,并完成绑定,在可以采用绑定标识进行身份认证时,优先采用该方式,而不用再使用其它身份认证方式了,能够加强H5环境下多重认证的安全防线,提高安全性。
第二部分:认证流程。
本申请实施例中,例如在高风险交易时,触发认证请求,系统自动发起认证流程,通过后台服务器进行比对验证,用户无感知。
参阅图5所示,为本申请实施例中一种认证流程示意图,包括:
步骤500:触发认证请求。
步骤501:判断设备终端是否有绑定标识,若是,则执行步骤503,否则,则执行步骤502。
步骤502:触发绑定流程。
具体绑定流程,参见上述实施例中图3和图4,这里就不再进行赘述了。
步骤503:标识比对验证。
步骤504:判断标识比对验证是否通过,若是,则执行步骤505,否则,则执行步骤502。
步骤505:设备特征信息比对验证。
步骤506:判断设备特征信息比对验证是否通过,若是,则执行步骤507,否则,则执行步骤508。
步骤507:确定用户身份认证通过,并允许触发认证请求所对应的操作。
步骤508:确定用户身份认证未通过,并拒绝触发认证请求所对应的操作。
为了更清楚地了解认证流程,下面具体进行说明,以设备终端和服务器均存储有绑定标识为例,参阅图6所示,为本申请实施例中认证过程时序图,具体包括:
步骤600:设备终端向服务器发送将第一设备特征信息和第一绑定标识。
其中,设备终端在发送数据时,可以采用非对称加密算法进行加密传输。
步骤601:服务器将第一绑定标识与存储的第二绑定标识进行标识比对验证。
另外,若设备终端在向服务器传输数据时,采用非对称加密算法分别对第一设备特征信息和第一绑定标识进行了加密,则服务器获取到加密后的第一绑定标识后,可以调用加密机采用相应的私钥进行解密,从而获得第一绑定标识。
例如,服务器将用户信息、设备特征信息和绑定标识关联存储,如第一绑定标识为C1,第二绑定标识为C2,服务器接收到设备终端发送的C1后,可以对应找到第二绑定标识C2,并将C1和C2进行比对验证,判断C1和C2是否相同。
步骤602:服务器确定标识对比验证通过时,将第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证。
例如,第一设备特征信息为A1,第二设备特征信息为A2,将A1和A2进行比对验证,判断A1和A2是否相同。
进一步地,服务器若确定标识比对验证未通过,则触发绑定流程。
步骤603:服务器若确定设备特征信息比对验证通过时,确定认证请求所对应的用户身份认证通过,若确定设备特征信息比对验证未通过时,确定认证请求所对应的用户身份认证未通过。
步骤604:服务器向设备终端返回用户身份认证结果。
进一步地,确定用户身份认证通过时,服务器允许触发认证请求所对应的操作;确定用户身份认证未通过时,服务器拒绝触发认证请求所对应的操作。
本申请实施例中,采用标识比对验证和设备特征信息比对验证的双重认证方式,用户体验无感知,不需要用户进行任何额外操作,提高安全性的同时也保证了用户体验,并且也不需要额外的实体装置,更加简便,也可以降低企业及用户实体装置所产生的经济成本。
基于同一发明构思,本申请实施例中还提供了一种身份认证装置,该身份认证装置例如可以是前述实施例中的服务器,该身份认证装置可以是硬件结构、软件模块、或硬件结构加软件模块。基于上述实施例,参阅图7所示,本申请实施例中一种身份认证装置,具体包括:
第一获取模块70,用于确定设备终端触发认证请求时,获取设备终端发送的第一设备特征信息和第一绑定标识,其中,第一绑定标识表征设备终端与用户身份的绑定关系,并第一绑定标识是在触发绑定流程时,根据第一设备特征信息和认证请求所对应的用户信息进行加密后生成的;
第一比对验证模块71,用于将第一绑定标识与存储的第二绑定标识进行标识比对验证,并若未获取到设备终端的第一绑定标识,则触发绑定流程;
第二比对验证模块72,用于确定标识比对验证通过后,将第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,并若标识对比验证未通过,则触发绑定流程;
第一确定模块73,用于确定设备特征信息比对验证通过时,确定认证请求所对应的用户的用户身份认证通过。
可选的,当未获取到设备终端的第一绑定标识,或标识对比验证未通过时,还包括:
第二获取模块74,用于触发绑定流程时,获取认证请求所对应的用户的用户信息;
生成模块75,用于根据设备终端发送的第一设备特征信息和用户信息,加密生成绑定标识;
存储模块76,用于存储生成的绑定标识;
发送模块77,用于将生成的绑定标识发送给设备终端,以使设备终端存储生成的绑定标识,并触发显示预设验证方式提示信息;
接收模块78,用于接收设备终端发送的基于预设验证方式提示信息输入的验证信息;
第二确定模块79,用于对验证信息进行验证,确定验证通过时,确定用户身份认证通过,并确定设备终端与用户身份绑定成功。
可选的,获取设备终端发送的第一设备特征信息时,第一获取模块70具体用于:获取设备终端发送的加密后的第一设备特征信息;
则根据设备终端发送的第一设备特征信息和所述用户信息,加密生成绑定标识时,生成模块75具体用于:
对用户信息进行加密处理,获得加密后的用户信息;
将加密后的第一设备特征信息和加密后的用户信息,进行加密处理,生成绑定标识。
可选的,确定设备特征信息比对验证未通过且用户身份认证未通过时,进一步包括,处理模块80用于拒绝触发认证请求所对应的操作。
可选的,当用户身份认证未通过且未对应存储有第二绑定标识时,处理模块80用于:拒绝触发认证请求所对应的操作。
基于上述实施例,参阅图8所示为本申请实施例中电子设备的结构示意图。
本申请实施例提供了一种电子设备,该电子设备可以是前述实施例中的终端或服务器,该电子设备可以包括处理器810(Center Processing Unit,CPU)、存储器820、输入设备830和输出设备840等。
存储器820可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器810提供存储器820中存储的程序指令和数据。在本申请实施例中,存储器820可以用于存储本申请实施例中任一种身份认证方法的程序。
处理器810通过调用存储器820存储的程序指令,处理器810用于按照获得的程序指令执行本申请实施例中任一种身份认证方法。
基于上述实施例,本申请实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任意方法实施例中的身份认证方法。
基于上述实施例,本申请实施例中还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任意方法实施例中的身份认证方法。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种身份认证方法,其特征在于,包括:
确定设备终端触发认证请求时,获取所述设备终端发送的第一设备特征信息和第一绑定标识,其中,所述第一绑定标识表征所述设备终端与用户身份的绑定关系,并所述第一绑定标识是在触发绑定流程时,根据所述第一设备特征信息和所述认证请求所对应的用户信息进行加密后生成的;
将所述第一绑定标识与存储的第二绑定标识进行标识比对验证,并若未获取到所述设备终端的第一绑定标识,则触发绑定流程;
确定标识比对验证通过后,将所述第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,并若标识对比验证未通过,则触发绑定流程;
确定设备特征信息比对验证通过时,确定所述认证请求所对应的用户的用户身份认证通过。
2.如权利要求1所述的方法,其特征在于,当未获取到所述设备终端的第一绑定标识,或标识对比验证未通过,包括:
触发绑定流程时,获取所述认证请求所对应的用户的用户信息;
根据所述设备终端发送的第一设备特征信息和所述用户信息,加密生成绑定标识;
存储生成的绑定标识,并将生成的绑定标识发送给所述设备终端,以使所述设备终端存储所述生成的绑定标识,并触发显示预设验证方式提示信息;
接收所述设备终端发送的基于所述预设验证方式提示信息输入的验证信息;
对所述验证信息进行验证,确定验证通过时,确定所述用户身份认证通过,并确定所述设备终端与所述用户身份绑定成功。
3.如权利要求2所述的方法,其特征在于,获取所述设备终端发送的第一设备特征信息,具体包括:获取所述设备终端发送的加密后的第一设备特征信息;
则根据所述设备终端发送的第一设备特征信息和所述用户信息,加密生成绑定标识,具体包括:
对所述用户信息进行加密处理,获得加密后的用户信息;
将所述加密后的第一设备特征信息和所述加密后的用户信息,进行加密处理,生成绑定标识。
4.如权利要求1或2所述的方法,其特征在于,确定设备特征信息比对验证未通过且所述用户身份认证未通过时,进一步包括:
拒绝触发认证请求所对应的操作。
5.如权利要求1或2所述的方法,其特征在于,当所述用户身份认证未通过且未对应存储有第二绑定标识时,进一步包括:
拒绝触发认证请求所对应的操作。
6.一种身份认证装置,其特征在于,包括:
第一获取模块,用于确定设备终端触发认证请求时,获取所述设备终端发送的第一设备特征信息和第一绑定标识,其中,所述第一绑定标识表征所述设备终端与用户身份的绑定关系,并所述第一绑定标识是在触发绑定流程时,根据所述第一设备特征信息和所述认证请求所对应的用户信息进行加密后生成的;
第一比对验证模块,用于将所述第一绑定标识与存储的第二绑定标识进行标识比对验证,并若未获取到所述设备终端的第一绑定标识,则触发绑定流程;
第二比对验证模块,用于确定标识比对验证通过后,将所述第一设备特征信息与存储的第二设备特征信息进行设备特征信息比对验证,并若标识对比验证未通过,则触发绑定流程;
第一确定模块,用于确定设备特征信息比对验证通过时,确定所述认证请求所对应的用户的用户身份认证通过。
7.如权利要求6所述的装置,其特征在于,当未获取到所述设备终端的第一绑定标识,或标识对比验证未通过时,还包括:
第二获取模块,用于触发绑定流程时,获取所述认证请求所对应的用户的用户信息;
生成模块,用于根据所述设备终端发送的第一设备特征信息和所述用户信息,加密生成绑定标识;
存储模块,用于存储生成的绑定标识;
发送模块,用于将生成的绑定标识发送给所述设备终端,以使所述设备终端存储所述生成的绑定标识,并触发显示预设验证方式提示信息;
接收模块,用于接收所述设备终端发送的基于所述预设验证方式提示信息输入的验证信息;
第二确定模块,用于对所述验证信息进行验证,确定验证通过时,确定所述用户身份认证通过,并确定所述设备终端与所述用户身份绑定成功。
8.如权利要求7所述的装置,其特征在于,获取所述设备终端发送的第一设备特征信息时,所述第一获取模块具体用于:获取所述设备终端发送的加密后的第一设备特征信息;
则根据所述设备终端发送的第一设备特征信息和所述用户信息,加密生成绑定标识时,所述生成模块具体用于:
对所述用户信息进行加密处理,获得加密后的用户信息;
将所述加密后的第一设备特征信息和所述加密后的用户信息,进行加密处理,生成绑定标识。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-5任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-5任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011023878.9A CN114338055B (zh) | 2020-09-25 | 2020-09-25 | 一种身份认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011023878.9A CN114338055B (zh) | 2020-09-25 | 2020-09-25 | 一种身份认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338055A true CN114338055A (zh) | 2022-04-12 |
| CN114338055B CN114338055B (zh) | 2023-10-13 |
Family
ID=81010693
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011023878.9A Active CN114338055B (zh) | 2020-09-25 | 2020-09-25 | 一种身份认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338055B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116244757A (zh) * | 2023-03-15 | 2023-06-09 | 武汉天楚云计算有限公司 | 一种计算机设备监测警报方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106034134A (zh) * | 2015-03-19 | 2016-10-19 | 腾讯科技(深圳)有限公司 | 网页应用程序中进行身份认证请求的方法、辅助方法及装置 |
| WO2017121270A1 (zh) * | 2016-01-12 | 2017-07-20 | 阿里巴巴集团控股有限公司 | 一种设备标识的分配方法和装置 |
| WO2018161807A1 (zh) * | 2017-03-06 | 2018-09-13 | 华为技术有限公司 | 用户身份校验方法及装置 |
| CN108768970A (zh) * | 2018-05-15 | 2018-11-06 | 腾讯科技(北京)有限公司 | 一种智能设备的绑定方法、身份认证平台及存储介质 |
| CN109862043A (zh) * | 2019-03-28 | 2019-06-07 | 新华三技术有限公司 | 一种终端认证的方法及装置 |
| CN110535877A (zh) * | 2019-09-20 | 2019-12-03 | 南京中谷芯信息科技有限公司 | 基于双重认证的物联网终端身份认证方法及认证系统 |
| CN110636062A (zh) * | 2019-09-20 | 2019-12-31 | 百度在线网络技术(北京)有限公司 | 设备的安全交互控制方法、装置、电子设备及存储介质 |
| WO2020082885A1 (zh) * | 2018-10-25 | 2020-04-30 | 阿里巴巴集团控股有限公司 | 身份认证、号码保存和发送、绑定号码方法、装置及设备 |
-
2020
- 2020-09-25 CN CN202011023878.9A patent/CN114338055B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106034134A (zh) * | 2015-03-19 | 2016-10-19 | 腾讯科技(深圳)有限公司 | 网页应用程序中进行身份认证请求的方法、辅助方法及装置 |
| WO2017121270A1 (zh) * | 2016-01-12 | 2017-07-20 | 阿里巴巴集团控股有限公司 | 一种设备标识的分配方法和装置 |
| WO2018161807A1 (zh) * | 2017-03-06 | 2018-09-13 | 华为技术有限公司 | 用户身份校验方法及装置 |
| CN108768970A (zh) * | 2018-05-15 | 2018-11-06 | 腾讯科技(北京)有限公司 | 一种智能设备的绑定方法、身份认证平台及存储介质 |
| WO2020082885A1 (zh) * | 2018-10-25 | 2020-04-30 | 阿里巴巴集团控股有限公司 | 身份认证、号码保存和发送、绑定号码方法、装置及设备 |
| CN109862043A (zh) * | 2019-03-28 | 2019-06-07 | 新华三技术有限公司 | 一种终端认证的方法及装置 |
| CN110535877A (zh) * | 2019-09-20 | 2019-12-03 | 南京中谷芯信息科技有限公司 | 基于双重认证的物联网终端身份认证方法及认证系统 |
| CN110636062A (zh) * | 2019-09-20 | 2019-12-31 | 百度在线网络技术(北京)有限公司 | 设备的安全交互控制方法、装置、电子设备及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116244757A (zh) * | 2023-03-15 | 2023-06-09 | 武汉天楚云计算有限公司 | 一种计算机设备监测警报方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338055B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210365938A1 (en) | Authentication system and method for server-based payments | |
| JP6648110B2 (ja) | クライアントをデバイスに対して認証するシステム及び方法 | |
| CA2739313C (en) | Locally stored phishing countermeasure | |
| US10045210B2 (en) | Method, server and system for authentication of a person | |
| US20160307194A1 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
| KR102124582B1 (ko) | 액세스 데이터가 변조되는 것을 방지하는 방법, 이동단말기, 기기 및 판독 가능 저장 매체 | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| US9055061B2 (en) | Process of authentication for an access to a web site | |
| US20080284565A1 (en) | Apparatus, System and Methods for Supporting an Authentication Process | |
| EP2690840B1 (en) | Internet based security information interaction apparatus and method | |
| EP3824592A1 (en) | Public-private key pair protected password manager | |
| CN108616352B (zh) | 基于安全元件的动态口令生成方法和系统 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| WO2016188127A1 (zh) | 基于虚拟键盘的加密方法及装置 | |
| CN112232814A (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| JP2018519562A (ja) | 取引セキュリティのための方法及びシステム | |
| CN109362074A (zh) | 一种混合模式APP中h5与服务端安全通讯的方法 | |
| CN104951939A (zh) | 电子银行卡系统及其应用方法、银行卡的电子化方法 | |
| WO2000039958A1 (en) | Method and system for implementing a digital signature | |
| CN110740136A (zh) | 面向开放银行的网络安全控制方法及开放银行平台 | |
| CN112202794A (zh) | 交易数据的保护方法、装置、电子设备和介质 | |
| CN111243145B (zh) | 一种处理访客信息的方法、装置、介质及电子设备 | |
| CN107124279A (zh) | 擦除终端数据的方法及装置 | |
| CN108768655B (zh) | 动态口令生成方法和系统 | |
| CN114338055B (zh) | 一种身份认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |