CN115567240A - 身份认证方法、装置、计算机设备和存储介质 - Google Patents

身份认证方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN115567240A
CN115567240A CN202210985896.8A CN202210985896A CN115567240A CN 115567240 A CN115567240 A CN 115567240A CN 202210985896 A CN202210985896 A CN 202210985896A CN 115567240 A CN115567240 A CN 115567240A
Authority
CN
China
Prior art keywords
face
current user
digital wallet
identity authentication
application program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210985896.8A
Other languages
English (en)
Inventor
孔剑平
胡楠
王琪
李炳博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Weipian Technology Co ltd
Zhejiang Nanometer Technology Co ltd
Original Assignee
Zhejiang Weipian Technology Co ltd
Zhejiang Nanometer Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Weipian Technology Co ltd, Zhejiang Nanometer Technology Co ltd filed Critical Zhejiang Weipian Technology Co ltd
Priority to CN202210985896.8A priority Critical patent/CN115567240A/zh
Publication of CN115567240A publication Critical patent/CN115567240A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明提供一种身份认证方法、装置、计算机设备和存储介质,该方法包括应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;前端基于数字钱包发送的当前用户的第二人脸特征和第一信息摘要,对第二人脸特征进行哈希运算获取第二信息摘要;当第一信息摘要与第二信息摘要相同时,前端对第一人脸特征和第二人脸特征进行对比;当第一人脸特征和第二人脸特征的相似度不小于设定阈值时,则当前用户的身份认证通过。这一身份认证方式无需将用户的人脸特征存储于应用程序的后端,可以避免应用程序收集留存用户人脸信息用作其他用途,大大提高了个人信息的安全性。

Description

身份认证方法、装置、计算机设备和存储介质
技术领域
本发明涉及计算机技术领域,特别涉及一种身份认证方法、装置、计算机设备和存储介质。
背景技术
人脸识别,是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别的一系列相关技术,通常也叫做人像识别、面部识别。
当前,用户使用一个APP(Application,应用程序)时,通常需要注册一个用户账号进行登录。为了加强账号的安全性和登录快捷性,许多APP会采用人脸识别的手段验证用户身份,登录用户账号。
然而,人脸信息属于生物特征,它具有独特性,并且很难改变,一旦泄露都会造成很高风险。用户设置人脸识别进行身份认证,需要拍照上传来录入人脸信息。而用户的人脸信息在传输过程中未采取加密或其他措施进行保护,在完成比对验证后APP的后端服务器往往不会删除收集上传的人脸信息,甚至会长期留存用于其他用途。一旦人脸信息在上述任一环节被泄露,则很难被彻底删除或修改,存在较大的个人信息安全问题。
发明内容
基于此,有必要针对上述技术问题,提供一种身份认证方法、装置、计算机设备和存储介质。
一种身份认证方法,应用于应用程序,包括:
所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
在一个实施例中,所述方法还包括:
所述应用程序的后端获取所述数字钱包发送的所述当前用户的DID去中心化身份标识;
所述后端基于所述DID获取对应的DID文档;
所述后端基于所述DID文档获取公钥;
所述后端基于所述公钥加密一个随机数得到加密结果;
所述后端向所述数字钱包发送所述加密结果。
在一个实施例中,所述当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过的步骤包括:
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值,则所述当前用户的人脸识别匹配通过;
所述前端向所述数字钱包发送所述当前用户的人脸识别匹配通过的结果;
所述后端接收所述数字钱包反馈的明文,并将所述明文和所述随机数进行对比;
当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过。
在一个实施例中,在所述当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过的步骤之后,还包括:
所述前端获取所述当前用户的身份认证通过的结果,并基于所述DID进行登录。
在一个实施例中,在所述所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征的步骤之前,还包括:
所述前端基于所述当前用户发起的DID登录请求从所述后端获取会话标识和应用程序登录地址,用于提供所述数字钱包授权所述当前用户发起的DID登录。
在一个实施例中,所述第一人脸特征为所述数字钱包调用所述摄像头采集并发送给所述前端的。
一种身份认证方法,应用于数字钱包,包括:
接收应用程序的前端的人脸识别请求;
发送当前用户的第二人脸特征和第一信息摘要。
一种身份认证装置,包括:
第一获取模块,用于应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
第二获取模块,用于所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
对比模块,用于当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
身份认证模块,用于当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
一种身份认证装置,包括:
接收模块,用于接收应用程序的前端的人脸识别请求;
发送模块,用于发送当前用户的第二人脸特征和第一信息摘要。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现以下步骤:
所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现以下步骤:
接收应用程序的前端的人脸识别请求;
发送当前用户的第二人脸特征和第一信息摘要。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收应用程序的前端的人脸识别请求;
发送当前用户的第二人脸特征和第一信息摘要。
上述身份认证方法、装置、计算机设备和存储介质,应用程序的前端向数字钱包发送人脸识别请求,数字钱包会向应用程序反馈当前用户的人脸特征和信息摘要,应用程序的前端会对接收的人脸特征进行哈希运算,获得一个信息摘要,并与接收的原始的信息摘要进行对比是否相同,以确定接收的人脸特征未经过修改,并且经过哈希算法加密提高了人脸特征的传输安全性;应用程序前端将摄像头采集的当前用户的人脸特征与接收的人脸特征进行比对,当两者相似度不小于设定阈值时,则表明人脸识别匹配成功,当前用户的身份认证通过,即可登录应用程序。这一身份认证方式无需将用户的人脸特征存储于应用程序的后端,可以避免应用程序收集留存用户人脸信息用作其他用途,大大提高了个人信息的安全性。
附图说明
图1为一个实施例中身份认证方法的应用场景示意图;
图2为一个实施例中身份认证方法的流程示意图;
图3为一个实施例中身份认证方法的流程示意图;
图4为一个实施例中身份认证方法的交互过程示意图;
图5为一个实施例中身份认证装置的结构框图;
图6为一个实施例中身份认证装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
实施例一
本申请提供的身份认证方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104通过网络进行通信。其中,终端102可以但不限于是各种个人计算机、服务器、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现,服务器104可以是多个APP的后端服务器。
终端102中装载有若干不同用途功能的APP(Application,应用程序)和数字钱包。数字钱包是一款可以管理用户的DID(Decentralized Identifier,去中心化身份标识)的应用程序,其不仅用于基本金融交易,还可以用于验证持有人的凭证。用户可以使用数字钱包生成自己的DID,管理数据和许可,签发/验证DID身份相关的声明。DID是用户独立于机构或政府生成、管理、控制自己的身份证明,具有全局唯一性、高可用性、可解析性和加密可验证性。DIDs可用来标识人员、组织和事物,并实现许多安全和隐私保护保证。个人和可信第三方身份认证机构、分别生成DID和DID文档,然后将DID作为键,DID文档作为值分别存储于去中心化系统中。数字钱包的后端为去中心化系统(如区块链、分布式账本、分布式文件系统等),DID是被注册在去中心化系统上,根据用户的请求可以在去中心化查找DID文档,以获取用户存储的信息。
本申请的身份认证方法,终端102的应用程序的前端向数字钱包发送人脸识别请求,数字钱包会向应用程序反馈当前用户的人脸特征和信息摘要,应用程序的前端会对接收的人脸特征进行哈希运算,获得一个信息摘要,并与接收的原始的信息摘要进行对比是否相同,以确定接收的人脸特征未经过修改,并且经过哈希算法加密提高了人脸特征的传输安全性;应用程序前端将摄像头采集的当前用户的人脸特征与接收的人脸特征进行比对,当两者相似度不小于设定阈值时,则表明人脸识别匹配成功,当前用户的身份认证通过,即可登录应用程序。这一基于人脸识别的身份认证方式在终端102本地实现,应用程序只需获取数字钱包管理的用户的人脸特征,即可完成当前用户的人脸识别,无需将用户的人脸特征存储于应用程序的后端,可以避免应用程序收集留存用户人脸信息用作其他用途,大大提高了个人信息的安全性。
实施例二
本实施例中,如图2所示,提供了一种身份认证方法,应用于应用程序,其包括:
步骤210,所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征。
具体地,数字钱包是一款进行电子支付交易且可以管理用户的DID的应用程序。而适用于本实施例的身份认证方法的应用程序,可以与数字钱包签订受信任协议,从而可以与数字钱包建立通信,可以授权使用DID登录。当用户选择DID登录的功能时,应用程序的前端则可以向数字钱包发送人脸识别请求。
步骤220,所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要。
步骤230,当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比。
步骤240,当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
具体地,数字钱包发送的第二人脸特征经过哈希算法加密,能够有效提高在传输过程的安全性,并且,应用程序的前端通过对第二人脸特征进行哈希运算,获取第二信息摘要,与第一信息摘要(原始信息摘要)对比校验,如果是相同时,则表明该第二人脸特征并未经过修改,提高传输的数据的真实有效性。
应该理解的是,第二人脸特征是用户在数字钱包中已保存的个人信息。第二人脸特征可以是在用户的已认证过的照片(如身份证)中提取的,并且,经过哈希运算生成信息摘要,放入VC(Verifiable Credential,可认证凭证)的credentialsubject字段中。当应用程序的前端向数字钱包发送人脸识别请求时,可以认为向数字钱包申请VC,从而数字钱包将包括第二人脸特征和第一信息摘要的VC发送给应用程序的前端。
上述身份认证方法,应用程序的前端向数字钱包发送人脸识别请求,数字钱包会向应用程序反馈当前用户的人脸特征和信息摘要,应用程序的前端会对接收的人脸特征进行哈希运算,获得一个信息摘要,并与接收的原始的信息摘要进行对比是否相同,以确定接收的人脸特征未经过修改,并且经过哈希算法加密提高了人脸特征的传输安全性;应用程序前端将摄像头采集的当前用户的人脸特征与接收的人脸特征进行比对,当两者相似度不小于设定阈值时,则表明人脸识别匹配成功,当前用户的身份认证通过,即可登录应用程序。这一身份认证方式无需将用户的人脸特征存储于应用程序的后端,可以避免应用程序收集留存用户人脸信息用作其他用途,大大提高了个人信息的安全性。
在一个实施例中,在所述所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征的步骤之前,还包括:所述前端基于所述当前用户发起的DID登录请求从所述后端获取会话标识和应用程序登录地址,用于提供所述数字钱包授权所述当前用户发起的DID登录。
具体地,会话标识(loginID)为用户在应用程序登录的标识符,用于区分用户;应用程序登录地址URL(Uniform Resource Locator,统一资源定位器),用于提供数字钱包识别应用程序,以及能定位到应用程序的后端。也就是说,用户在应用程序前端选择DID登录,前端会触发从后端获取loginID和URL。
在一个实施例中,应用程序的前端可以发起跳转至数字钱包,以使数字钱包发起授权DID登录。
在另一个实施例中,应用程序的前端可以基于loginID和URL生成并在前端显示条形码,该条形码中携带的信息包括loginID和URL。用户可以操作保存该条形码,并在数字钱包中通过扫描的方式识别,数字钱包则可以获取该用户的loginID和URL,并向该URL所定位的应用程序的后端发送该用户的DID。
在一个实施例中,数字钱包还会向应用程序的后端发送loginID,以便应用程序的后端确定该用户的DID对应的loginID,形成对应关系。
在一个实施例中,条形码可以包括但不限于一维码、二维码、16进制代码。
为了进一步提高安全性,在一个实施例中,所述方法还包括:
所述应用程序的后端获取所述数字钱包发送的所述当前用户的DID去中心化身份标识;
所述后端基于所述DID获取对应的DID文档;
所述后端基于所述DID文档获取公钥;
所述后端基于所述公钥加密一个随机数得到加密结果;
所述后端向所述数字钱包发送所述加密结果。
具体地,应用程序后端根据获取的当前用户的DID,则可以向DID服务请求,DID服务中的DID解析器可以根据DID定位对于的DID文档,并向区块链请求DID文档。待DID服务获取DID文档,则返回给应用程序的后端。应用程序可以利用DID文档中存储的公钥加密一个随机数,并将加密结果发送给数字钱包,即发起挑战。需要理解的是,应用程序发起的挑战是挑战应答机制中的“挑战”。而数字钱包则要在接收挑战后进行“应答”。具体地,数字钱包具有该用户的DID对应的私钥,数字钱包在接收到加密结果后,可以使用私钥对加密结果进行解密得到前述随机数的明文。数字钱包将明文反馈给应用程序后端,应用程序后端经过对比,可以验证明文与原始的随机数是否相同,如果相同,则表示这一次信息的传输是安全的。这一机制可以避免信息在传输过程中遭受窃听、泄露,进一步提高安全性。
应该理解的是,数字钱包、DID服务、区块链属于一个去中心化系统。数字钱包与上述的其他应用程序分别是独立的、分离的应用程序,不同属于一个系统。由于不同厂商开发彼此间不信任,因此需要制约措施保证双方的数据不会被泄露。应用程序需要提前与数字钱包建立信任,从而应用程序的后端可以与DID服务建立通信。
上述实施例发起挑战的步骤,可以是在应用程序前端发起人脸识别请求之前执行,也可以是在应用程序前端发起人脸识别请求之后执行,也可以是同时执行,在此不再赘述。
在一个实施例中,所述第一人脸特征为所述应用程序的前端调用所述摄像头采集的。也就是说,当应用程序的前端向数字钱包发送人脸识别请求时,还在应用程序内调用起设备的摄像头,以采集当前用户的人脸,并提取出人脸特征,用于人脸识别。
为了进一步地提高个人信息的安全性,在另一个实施例中,所述第一人脸特征为所述数字钱包调用所述摄像头采集并发送给所述前端的。具体地,数字钱包在接收到应用程序的前端发送的人脸识别请求,数字钱包调用设备的摄像头对当前用户的人脸进行拍照,对当前用户的人脸照片提取人脸特征,将当前用户的人脸特征发送给应用程序的前端。也就是说,数字钱包发送给应用程序前端的不是原始图像,而是人脸特征,这样,可以避免应用程序的前端得到当前用户完整的头像,或者说,当前用户完整的人脸特征,从而避免应用程序有动机地去保存、收集用户头像。本实施例将人脸识别的提取环节和比对环节分离开来,进一步地提高个人信息的安全性,避免信息泄露。
可以理解的是,数字钱包可以同时发送第一人脸特征、第二人脸特征和第一信息摘要,也可以先发送第一人脸特征,后发送第二人脸特征和第一信息摘要,还可以先发送第二人脸特征和第一信息摘要,后发送第一人脸特征。在一个例子中,第一人脸特征可以携带标识,该标识可以表意该人脸特征为摄像头所采集的用户头像照片提取的人脸特征。
在一个实施例中,所述当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过的步骤包括:
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值,则所述当前用户的人脸识别匹配通过;
所述前端向所述数字钱包发送所述当前用户的人脸识别匹配通过的结果;
所述后端接收所述数字钱包反馈的明文,并将所述明文和所述随机数进行对比;
当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过。
在本实施例中,应用程序前端在人脸识别匹配通过后,向数字钱包发送匹配结果,以触发数字钱包发送“应答”。可以理解的是,如果人脸识别的匹配结果为不通过,数字钱包则无需发送“应答”,以节约资源。
在一个实施例中,在所述当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过的步骤之后,还包括:所述前端获取所述当前用户的身份认证通过的结果,并基于所述DID进行登录。
至此,当前用户在应用程序的前端以DID的形式完成登录,可以正常使用应用程序。
为了提高用户体验,在一个实施例中,在完成DID登录后,应用程序的前端接收并保存应用程序的后端所发送的会话令牌。这样,后续用户在此登录该应用程序时,应用程序的前端确定存有会话令牌,且当前登录时间在该会话令牌设定的时间范围内,即会话令牌没有超时,则无需再次进行DID验证,从而无需用户每次打开应用程序都进行DID登录操作,以提高用户体验。
实施例三
本实施例中,如图3所示,相对应地,提供了一种身份认证方法,应用于数字钱包,包括:
步骤310,接收应用程序的前端的人脸识别请求;
步骤320,发送当前用户的第二人脸特征和第一信息摘要。
在一个实施例中,所述方法还包括:
数字钱包获取摄像头采集的所述当前用户的人脸照片;
数字钱包提取所述人脸照片中的第一人脸特征,并发送给所述应用程序的前端。
在一个实施例中,所述方法还包括:
向所述应用程序的后端发送所述当前用户的DID去中心化身份标识;
接收所述后端发送的加密结果,所述加密结果为所述后端基于所述DID获取对应的DID文档、基于所述DID文档获取公钥以及基于所述公钥加密一个随机数所得到的。
应该理解的是,上述实施例中的数字钱包,其对应的是实施例二的应用程序的身份认证方法中的数字钱包,在此不再赘述。
实施例四
本实施例中,如图4所示,为一种身份认证方法的交互过程示意图。其中,APP前端和APP后端为同一个APP的前端和后端;数字钱包、DID服务和区块链为一个去中心化系统的组成部分。APP可以与去中心化系统通过网络通信。
步骤401,用户在APP前端的登录界面选择DID登录。
步骤402,APP前端从APP后端获取会话标识(loginID)和APP的登录地址(URL),并在APP前端显示二维码,二维码的携带信息为loginID和URL。
步骤403,用户使用终端上的数字钱包,数字钱包识别二维码获取loginID和URL,授权APP使用DID登录。
步骤404,数字钱包向URL发送loginID和该用户的DID。
步骤405,APP后端收到loginID和DID后,将DID发送到DID服务中的DID解析器。
步骤406,DID解析器解析定位DID所对应的DID文档,并向区块链请求DID文档。
步骤407,根据DID解析器所发送的解析结果,从区块链获取DID对应的DID文档,并通过哈希值比较检查文档完整性。
步骤408,区块链向DID服务返回DID文档。
步骤409,DID服务将DID文档返回APP后端,APP后端获得DID文档中的公钥。
步骤410,APP后端使用此公钥发起挑战,使用公钥加密一个随机数得到加密结果,并将加密结果发送给数字钱包。
步骤411,数字钱包使用DID对应的私钥对接收到的加密结果进行解密,得到前述随机数的明文。
步骤412,APP前端向数字钱包发起人像识别请求。
步骤413,数字钱包调用设备的摄像头获取当前用户的头像照片,并提取头像照片中的第一人脸特征,以及提取该用户在数字钱包中保存的已认证过的照片(如身份证)中的第二人脸特征。
步骤414,数字钱包将第一人脸特征、第二人脸特征和信息摘要传送给APP前端。
步骤415,APP前端对第二人脸特征进行哈希运算获得一信息摘要,并与原始信息摘要进行对比,如相同则确认第二人脸特征未经过修改,之后采用图像识别算法对比所收到的第一人脸特征和第二人脸特征。
步骤416,当两者的相似度不小于设定阈值时,则人脸匹配成功,APP前端把匹配结果和会话标识发送给数字钱包和APP后端。
可以理解,APP后端主要完成DID验证,而用户的人脸特征传输到APP前端进行对比识别,并未传输到APP后端,APP后端不会留存有用户的人脸特征,能够有效避免APP后端收集留存的户人脸信息用作其他用途,大大提高了个人信息的安全性。
步骤417,数字钱包把前述随机数的明文和会话标识发送给APP后端。
步骤418,APP后端验证挑战结果,即对比收到的明文和原始随机数,如果两者相等说明挑战-应答成功,该DID为有效身份标识符,身份认证成功;APP后端设置该DID为验证状态。
步骤419,APP前端轮询获得身份认证结果,APP后端向前端发送会话令牌,表明登录成功。至此,APP前端使用DID登录成功,且验证当前使用者是DID验证的用户。
应该理解的是,虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-4中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例五
本实施例中,如图5所示,提供一种身份认证装置,包括:
第一获取模块510,用于应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
第二获取模块520,用于所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
对比模块530,用于当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
身份认证模块540,用于当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
在一个实施例中,所述装置还包括:
第三获取模块,用于所述应用程序的后端获取所述数字钱包发送的所述当前用户的DID去中心化身份标识;
第四获取模块,用于所述后端基于所述DID获取对应的DID文档;
第五获取模块,用于所述后端基于所述DID文档获取公钥;
加密模块,用于所述后端基于所述公钥加密一个随机数得到加密结果;
第一发送模块,用于所述后端向所述数字钱包发送所述加密结果。
在一个实施例中,所述身份认证模块包括:
人脸识别单元,用于当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值,则所述当前用户的人脸识别匹配通过;
发送单元,用于所述前端向所述数字钱包发送所述当前用户的人脸识别匹配通过的结果;
对比单元,用于所述后端接收所述数字钱包反馈的明文,并将所述明文和所述随机数进行对比;
身份认证单元,用于当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过。
在一个实施例中,所述装置还包括:
登录模块,用于所述前端获取所述当前用户的身份认证通过的结果,并基于所述DID进行登录。
在一个实施例中,所述装置还包括:
第六获取模块,用于所述前端基于所述当前用户发起的DID登录请求从所述后端获取会话标识和应用程序登录地址,用于提供所述数字钱包授权所述当前用户发起的DID登录。
在一个实施例中,所述第一人脸特征为所述数字钱包调用所述摄像头采集并发送给所述前端的。
实施例六
本实施例中,如图6所示,提供另一种身份认证装置,包括:
接收模块610,用于接收应用程序的前端的人脸识别请求;
发送模块620,用于发送当前用户的第二人脸特征和第一信息摘要。
关于身份认证装置的具体限定可以参见上文中对于身份认证方法的限定,在此不再赘述。上述身份认证装置中的各个模块、各个单元可全部或部分通过软件、硬件及其组合来实现。上述各单元可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个单元对应的操作。
实施例七
本实施例中,提供了计算机设备。其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序,且该非易失性存储介质部署有数据库,该数据库用于存储用户行为数据和用户画像。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与部署了应用软件的其他计算机设备通信。该计算机程序被处理器执行时以实现一种货物出入库数据处理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
所述应用程序的后端获取所述数字钱包发送的所述当前用户的DID去中心化身份标识;
所述后端基于所述DID获取对应的DID文档;
所述后端基于所述DID文档获取公钥;
所述后端基于所述公钥加密一个随机数得到加密结果;
所述后端向所述数字钱包发送所述加密结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
所述当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过的步骤包括:
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值,则所述当前用户的人脸识别匹配通过;
所述前端向所述数字钱包发送所述当前用户的人脸识别匹配通过的结果;
所述后端接收所述数字钱包反馈的明文,并将所述明文和所述随机数进行对比;
当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
在所述当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过的步骤之后,还包括:
所述前端获取所述当前用户的身份认证通过的结果,并基于所述DID进行登录。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
在所述所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征的步骤之前,还包括:
所述前端基于所述当前用户发起的DID登录请求从所述后端获取会话标识和应用程序登录地址,用于提供所述数字钱包授权所述当前用户发起的DID登录。
在一个实施例中,所述第一人脸特征为所述数字钱包调用所述摄像头采集并发送给所述前端的。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
数字钱包接收应用程序的前端的人脸识别请求;
所述数字钱包发送当前用户的第二人脸特征和第一信息摘要。
实施例八
本实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述应用程序的后端获取所述数字钱包发送的所述当前用户的DID去中心化身份标识;
所述后端基于所述DID获取对应的DID文档;
所述后端基于所述DID文档获取公钥;
所述后端基于所述公钥加密一个随机数得到加密结果;
所述后端向所述数字钱包发送所述加密结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过的步骤包括:
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值,则所述当前用户的人脸识别匹配通过;
所述前端向所述数字钱包发送所述当前用户的人脸识别匹配通过的结果;
所述后端接收所述数字钱包反馈的明文,并将所述明文和所述随机数进行对比;
当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在所述当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过的步骤之后,还包括:
所述前端获取所述当前用户的身份认证通过的结果,并基于所述DID进行登录。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在所述所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征的步骤之前,还包括:
所述前端基于所述当前用户发起的DID登录请求从所述后端获取会话标识和应用程序登录地址,用于提供所述数字钱包授权所述当前用户发起的DID登录。
在一个实施例中,所述第一人脸特征为所述数字钱包调用所述摄像头采集并发送给所述前端的。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
数字钱包接收应用程序的前端的人脸识别请求;
所述数字钱包发送当前用户的第二人脸特征和第一信息摘要。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种身份认证方法,其特征在于,应用于应用程序,包括:
所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述应用程序的后端获取所述数字钱包发送的所述当前用户的DID去中心化身份标识;
所述后端基于所述DID获取对应的DID文档;
所述后端基于所述DID文档获取公钥;
所述后端基于所述公钥加密一个随机数得到加密结果;
所述后端向所述数字钱包发送所述加密结果。
3.根据权利要求2所述的方法,其特征在于,所述当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过的步骤包括:
当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值,则所述当前用户的人脸识别匹配通过;
所述前端向所述数字钱包发送所述当前用户的人脸识别匹配通过的结果;
所述后端接收所述数字钱包反馈的明文,并将所述明文和所述随机数进行对比;
当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过。
4.根据权利要求3所述的方法,其特征在于,在所述当所述明文和所述随机数相同时,则所述DID为有效的身份标识,所述当前用户的身份认证通过的步骤之后,还包括:
所述前端获取所述当前用户的身份认证通过的结果,并基于所述DID进行登录。
5.根据权利要求1至4所述的方法,其特征在于,在所述所述应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征的步骤之前,还包括:
所述前端基于所述当前用户发起的DID登录请求从所述后端获取会话标识和应用程序登录地址,用于提供所述数字钱包授权所述当前用户发起的DID登录。
6.根据权利要求1所述的方法,其特征在于,所述第一人脸特征为所述数字钱包调用所述摄像头采集并发送给所述前端的。
7.一种身份认证方法,其特征在于,应用于数字钱包,包括:
接收应用程序的前端的人脸识别请求;
发送当前用户的第二人脸特征和第一信息摘要。
8.一种身份认证装置,其特征在于,包括:
第一获取模块,用于应用程序的前端向数字钱包发送人脸识别请求,并获取摄像头采集的当前用户的第一人脸特征;
第二获取模块,用于所述前端基于所述数字钱包发送的所述当前用户的第二人脸特征和第一信息摘要,对所述第二人脸特征进行哈希运算获取第二信息摘要;
对比模块,用于当所述第一信息摘要与所述第二信息摘要相同时,所述前端对所述第一人脸特征和所述第二人脸特征进行对比;
身份认证模块,用于当所述第一人脸特征和所述第二人脸特征的相似度不小于设定阈值时,则所述当前用户的身份认证通过。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202210985896.8A 2022-08-16 2022-08-16 身份认证方法、装置、计算机设备和存储介质 Pending CN115567240A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210985896.8A CN115567240A (zh) 2022-08-16 2022-08-16 身份认证方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210985896.8A CN115567240A (zh) 2022-08-16 2022-08-16 身份认证方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN115567240A true CN115567240A (zh) 2023-01-03

Family

ID=84738546

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210985896.8A Pending CN115567240A (zh) 2022-08-16 2022-08-16 身份认证方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN115567240A (zh)

Similar Documents

Publication Publication Date Title
CN108306876B (zh) 客户身份验证方法、装置、计算机设备和存储介质
CN109325342B (zh) 身份信息管理方法、装置、计算机设备和存储介质
US8135180B2 (en) User authentication method based on the utilization of biometric identification techniques and related architecture
US9654468B2 (en) System and method for secure remote biometric authentication
US20200358614A1 (en) Securing Transactions with a Blockchain Network
CN110706379B (zh) 基于区块链的门禁访问控制方法和装置
CN101958892B (zh) 基于人脸识别的电子数据保护方法、装置及系统
CN110086608A (zh) 用户认证方法、装置、计算机设备及计算机可读存储介质
US20220038291A1 (en) Electronic signature authentication system based on biometric information and electronic signature authentication method
US20160219046A1 (en) System and method for multi-modal biometric identity verification
JP2018521417A (ja) 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
US9280650B2 (en) Authenticate a fingerprint image
US11665157B2 (en) Systems and methods for authenticating users within a computing or access control environment
CN111541713A (zh) 基于区块链和用户签名的身份认证方法及装置
CZ2015473A3 (cs) Způsob zabezpečení autentizace při elektronické komunikaci
CN110942382A (zh) 电子合同的生成方法、装置、计算机设备及存储介质
CN109960916A (zh) 一种身份认证的方法和系统
CN114168922B (zh) 一种基于数字证书的用户ca证书生成方法和系统
CN105323355A (zh) 一种基于掌纹识别的Android隐私保护系统
CN112836206A (zh) 登录方法、装置、存储介质和计算机设备
CN114547589A (zh) 保护隐私的用户注册、用户认证方法及装置
CN111901359B (zh) 资源账户授权方法、装置、系统、计算机设备和介质
WO2023004491A2 (en) Methods and systems for generating and validating uses of digital credentials and other documents
US11671475B2 (en) Verification of data recipient

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination