使用生物特征信息实现用户认证的方法和系统的制作方法
【专利摘要】本发明公开了一种使用生物特征信息实现用户认证的方法和系统,其中方法包括如下步骤:用户基于生物识别设备的应用发起认证请求;该生物识别设备的安全内核基于该认证请求获取用户的生物特征信息,并根据该生物特征信息生成对应的用户ID值,再将该用户ID值返回给该发起认证请求的应用;该应用将该安全内核返回的用户ID值发往应用服务器,该应用服务器根据该用户ID值完成用户认证。本发明提供一种新的互联网用户身份认证方式,使得用户无需用户名和密码,简单的操作即可在不同的设备上完成“用户名+密码”的登录效果。
【专利说明】
使用生物特征信息实现用户认证的方法和系统
技术领域
[0001]本发明涉及生物识别技术领域,尤其涉及一种使用生物特征信息实现用户认证的方法及系统。
【背景技术】
[0002]生物识别技术已经很成熟,生物识别又称生物认证,是通过计算设备利用人体固有的生理特征或行为特征来进行个人身份鉴定。常用的生物特征包括脸像、虹膜、指纹、掌纹、声音、笔迹等。随着生物识别技术的快速发展,生物识别功能已经成为许多智能设备的标配,比如智能手机、智能家居、智能汽车,以及将来可能出现的具有生物识别功能的智能提款机等等。以智能手机为例来说,指纹识别和虹膜识别技术已经得到了具体的应用。
[0003]指纹识别技术把一个人同他的指纹对应起来,通过比较他的指纹和预先保存的指纹进行比较,就可以验证他的真实身份。每个人(包括指纹在内)皮肤纹路在图案、断点和交叉点上各不相同,也就是说,是唯一的,并且终生不变。依靠这种唯一性和稳定性,进而可以实现指纹识别技术。当前,指纹识别已逐渐成为智能手机的标配。
[0004]此外,虹膜识别技术也开始使用在智能手机上。虹膜识别技术是人体生物识别技术的一种。人眼睛的外观图由巩膜、虹膜、瞳孔三部分构成。巩膜即眼球外围的白色部分;目艮睛中心为瞳孔部分;虹膜位于巩膜和瞳孔之间,包含了最丰富的纹理信息。外观上看,由许多腺窝、皱褶、色素斑等构成,是人体中最独特的结构之一。虹膜的形成由遗传基因决定,人发育到八个月左右,虹膜就基本上发育到了足够尺寸,进入了相对稳定的时期。除非极少见的反常状况、身体或精神上大的创伤才可能造成虹膜外观上的改变外,虹膜形貌可以保持数十年没有多少变化。虹膜的高度独特性、稳定性及不可更改的特点,是虹膜可用作身份鉴别的物质基础。
[0005]但是,为了保证移动智能设备用户的个人信息安全,以上这些已经或者未来会应用在移动智能设备上的生物识别技术目前也只应用在移动智能设备本地的注册/认证(比如指纹解锁手机等),对于网络身份认证,仍然还是依赖于传统的用户名/密码方式。
[0006]在移动智能设备上安装的若干终端应用为了给用户提供更多样化更丰富的产品体验,大多需要用户进行注册和登录,再针对不同用户提供与其用户选择的线上或者线下服务。但是,传统的用户在移动智能设备上采取的网络身份认证主要还是依赖于用户名/密码方式。以用户名/密码方式进行注册和登录,容易被黑客软件破解,泄露移动智能设备用户的数据。比如账号密码等信息一旦泄露可能对用户造成损失。并且用户为了保证户名/密码方式不被破解会定期更换密码,对于长时间不用的户名/密码容易遗忘,造成无法使用移动智能设备应用,带来不便。
[0007]另外,支付宝公司推出的指纹支付方式虽然使用了用户的生物特征信息,但是仅只能在移动智能设备本地实现对比和认证,本地比对和认证的信息不能用作帐号/密码登录服务器使用。使得用户在其它移动智能设备上无法使用生物特征信息来便利的完成使用软件的登录,使得使用体验无法提高。而且绑定生物技术特征认证的移动智能设备,在用户切换移动智能设备时需要重新注册,使用起来相当不便。
[0008]因此,智能设备如何更贴近用户日常需求和更适应用户的使用习惯也成为了智能设备供应商亟待解决的技术课题。
【发明内容】
[0009]本发明实施例要解决的技术问题是提供一种使用生物特征信息实现用户认证的方法,以提供一种新的身份认证方式,使得用户无需记得用户名和密码,仅通过简单的操作即可在不同的智能设备上完成对应用的注册和登录,从而提升智能设备用户操作体验,并使认证过程更加安全、方便、快捷。
[0010]本发明实施例进一步要解决的技术问题是提供一种使用生物特征信息实现用户认证的系统,以提供一种新的身份认证方式,使得用户无需记得用户名和密码,仅通过简单的操作即可在不同的移动智能设备上完成对应用的注册和登录,从而提升智能设备用户操作体验,并使认证过程更加安全、方便、快捷。
[0011]为解决上述技术问题,本发明首先提供一种使用生物特征信息实现用户认证的方法,包括如下步骤:用户基于生物识别设备的应用发起认证请求;该生物识别设备的安全内核基于该认证请求获取用户的生物特征信息,并根据该生物特征信息进行运算处理生成对应的用户ID值,再将该用户ID值返回给该发起认证请求的应用;该应用将该安全内核返回的用户ID值发往应用服务器,该应用服务器根据该用户ID值完成用户认证。
[0012]该用户认证包括注册请求和登录请求。
[0013]其中,该认证请求为注册请求,当用户在该应用发起注册请求时,该应用向该安全内核发起提取用户生物特征信息的请求,该安全内核收到请求后获取用户的生物特征信息并生成该用户ID值,再将该用户ID值返回给该发起注册请求的应用;该应用将返回的与用户对应的用户ID值发往应用服务器备案,该应用服务器基于该用户ID值建立用户服务档案。
[0014]本实施例中该认证请求为登录请求,当用户在该应用发起登录请求时,该应用向该安全内核发起提取用户生物特征信息的请求,该安全内核收到请求后获取用户的生物特征信息并生成该用户ID值,再将该用户ID值返回给该发起登录请求的应用;该应用将返回的与用户对应的用户ID值发往应用服务器,该应用服务器基于该用户ID值获取与用户对应的服务档案并返回给该应用,该应用基于服务档案为用户提供个性服务。
[0015]作为该用户ID值的一种实施方式,该用户ID值为由生物特征信息转换而来的生物特征哈希值。
[0016]为了保证数据安全,该安全内核将该生物特征哈希值加密返回给该应用。本实施例中,该生物特征信息包括指纹信息和虹膜信息。
[0017]为了保证数据安全,该应用将接收的与用户对应的生物特征哈希值加密发送给应用服务器。
[0018]另一方面,本发明实施例还提供一种使用生物特征信息实现用户认证的系统,包括:至少一安装在生物识别设备的应用,用于发起认证请求;设置在该生物识别设备内的安全内核,该安全内核用于根据该认证请求获取用户的生物特征信息,并根据该生物特征信息生成对应的用户ID值,再将该用户ID值返回给该发起认证请求的应用;至少一应用服务器,该应用服务器用于接收该应用传送的用户ID值并根据该用户ID值完成用户认证。
[0019]该用户认证包括注册请求和登录请求。
[0020]其中,当用户在该应用发起注册请求时,该应用用于向该安全内核发起提取用户生物特征信息的请求,该安全内核用于收到请求后获取用户的生物特征信息并生成该用户ID值,再将该用户ID值返回给该发起注册请求的应用;该应用还用于将返回的与用户对应的用户ID值发往应用服务器备案,该应用服务器用于基于该用户ID值物建立用户服务档案。
[0021]另外,当用户在该应用发起登录请求时,该应用用于向该安全内核发起提取用户生物特征信息的请求,该安全内核用于收到请求后获取用户的生物特征信息并生成该用户ID值,再将该用户ID值返回给该发起登录请求的应用;该应用还用于将返回的与用户对应的用户ID值发往应用服务器,该应用服务器用于根据用户ID值获取与用户对应的服务档案并返回给该应用以实现该应用根据服务档案为用户提供个性服务。
[0022]作为该用户ID值的一种实施方式,该用户ID值为由生物特征信息转换而来的生物特征哈希值。
[0023]为了保证数据安全,该安全内核还用于将该生物特征哈希值加密返回给该应用。该生物特征信息包括指纹信息和虹膜信息。
[0024]为了保证数据安全,该应用还用于将接收的与用户对应的生物特征哈希值加密发送给应用服务器。
[0025]通过采用上述技术方案,本发明实施例至少具有以下有益效果:本发明提供了一种新的互联网身份认证方式,使用生物特征信息实现用户认证,该方法和系统使得用户无需使用用户名和密码,简单的操作即可在不同的智能设备上完成对应用的注册和登录,一方面提升智能设备用户操作体验,另一方面相较于传统的用户名/密码认证机制,本实施例的身份认证方法使认证过程更加安全、方便、快捷。比如:同一个人使用任意具有指纹识别功能的手机,打开视频播放器以后,都能自动登录他的帐号,享受专属于用户的个性服务。此外,智能设备本地安全内核和应用之间的数据交换是加密的,而且,嵌入新认证方式的智能设备应用和应用服务器之间的数据交换也是加密的,进一步提高了该身份认证方式的可靠性和安全性。
【附图说明】
[0026]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027]图1为本发明实施例中使用生物特征信息实现用户认证的方法的处理流程图。
[0028]图2为本发明实施例中使用生物特征信息实现用户认证的方法的移动智能设备和服务器之间完成认证过程的流程图。
[0029]图3为本发明实施例中使用生物特征信息实现用户认证的系统的移动智能设备模块图。
【具体实施方式】
[0030]为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
[0031]为了便于说明本实施例的具体是实施方式,下文所涉及的生物特征信息是以指纹采集为例,虹膜信息采集及其ID值转换与指纹采集同理。
[0032]本发明实施例提供一种不同于传统的用户名/密码方式的新的身份认证方式,SP:使用生物特征信息实现用户认证的方法和系统。
[0033]请参考图1所示,该使用生物特征信息实现用户认证的方法包括如下步骤:
步骤101:用户基于生物识别设备的应用发起认证请求;
步骤102:该生物识别设备的安全内核基于该认证请求获取用户的生物特征信息;本实施例中,该生物识别设备为移动智能设备,可以理解的是,非移动式的但具有生物识别功能的智能设备也同样包括在本发明的技术方案之内。
[0034]步骤103:该安全内核根据该生物特征信息进行运算处理生成对应的用户ID值,再将该生物特征ID值返回给该发起认证请求的应用;
步骤104:该应用将该安全内核返回的生物特征ID值发往应用服务器;
步骤105:该应用服务器根据该生物特征ID值完成用户认证。
[0035]本实施方式用户认证方法使得用户无需记得用户名和密码,智能设备上简单的操作即可实现在不同的智能设备上完成对应用的注册和登录,提升用户体验,同时认证过程更加安全、方便、快捷。
[0036]在本发明的一个实施方式中,该用户ID值可以为由生物特征信息转换而来的生物特征哈希值。当然,应当了解,哈希值仅是ID值的一种,因而,在其他实施方式中,自然也可采用其他类型的生物特征ID值来代替生物特征哈希值。
[0037]请参考图3,为了便于说明,本实施例所涉及的生物特征信息是以指纹采集为例,虹膜信息采集和ID值转换与指纹采集同理。
[0038]其中,该操作系统320内设置安全内核340。安全内核324将系统320分离成了两个并行执行的环境:非安全的普通环境;安全可信任的安全环境,安全监控器(Monitor)控制着安全与“普通”环境之间的转换。安全内核340的数据存储在系统内核芯片的安全内核区域的,这个区域与操作系统及其他硬件环境“完全隔离”。操作系统320安装有若干应用程序,包括应用程序1、应用程序2以及可以与安全内核340关联的安全数据获取应用326。
[0039]该安全数据获取应用326也就是可以与安全内核通信的应用。为了使该安全数据获取应用326从普通环境进入安全环境,本实施方式中,该安全数据获取应用326经由安全内核驱动324调用SMC进入安全环境的安全监控器(monitor)切换至monitor模式,再通过安全内核管理器调用安全内核340的相应指纹信息ID值转换模块350完成对指纹信息的ID值转换。转换后的指纹信息ID值通过安全监控器346和安全内核驱动324返回至发出安全数据获取请求的应用326。
[0040]请一并参考图2,智能设备应用需要用户认证的环节包括注册请求220和登录请求260。[0041 ]在一种情况中,该认证请求为注册请求220,当用户在该应用发起注册请求时,该应用向该安全内核发起提取用户生物特征信息的请求,该安全内核收到请求后获取用户的生物特征信息并生成该生物特征ID值,再将该生物特征ID值返回给该发起注册请求的应用;该应用将返回的与用户对应的生物特征ID值发往应用服务器备案。
[0042]在用户认证的注册请求220环节,与登录环节区别的是该应用服务器基于生物特征ID值建立用户服务档案230。
[0043]另一种情况下,本实施例中该认证请求为登录请求260,当用户在该应用发起登录请求时,该应用向该安全内核发起提取用户生物特征信息的请求,该安全内核收到请求后获取用户的生物特征信息并生成该生物特征ID值,再将该生物特征ID值返回给该发起登录请求的应用;该应用将返回的与用户对应的生物特征ID值发往应用服务器。
[0044]在用户认证的登录请求260环节中,与注册环节不同的是该应用服务器基于生物特征ID值获取与用户对应的服务档案并返回给该应用。智能设备的应用基于服务档案为用户提供个性服务270。
[0045]本实施例中,为保证系统数据的安全性,该安全内核340将该生物特征ID值加密返回给该应用326。本实施例中,为了进一步保证智能设备内以及智能设备和应用服务器之间的数据传输安全,该应用将接收的与用户对应的生物特征ID值加密发送给应用服务器。具体加密方法可以包括DES算法、AES算法、RSA算法、MD5算法等等。
[0046]本实施例中,该生物特征信息可以是指纹信息也可以采用虹膜信息,由具体智能设备的性能和用户选择而定。以下实施例阐述以指纹采集为例。
[0047]请一并参考图3,本实施例还涉及一种使用生物特征信息实现用户认证的系统。
[0048]该系统包括至少一安装在操作系统的安全数据获取应用326,用于发起认证请求,设置在操作系统320内的安全内核340,该安全内核340用于根据该认证请求获取用户的生物特征信息,并根据该生物特征信息生成对应的生物特征ID值,再将该生物特征ID值返回给该发起认证请求的应用326,以及至少一应用服务器,该应用服务器用于接收该应用326传送的生物特征ID值并根据该生物特征ID值完成用户认证。
[0049]其中,该用户认证系统在该应用326发起注册请求220时,该应用326通过安全内核驱动324向安全内核340发起提取用户生物特征信息的请求。安全内核340的安全监控器346再通过安全内核管理器348调用安全内核340的相应指纹信息ID值转换模块350完成对指纹信息的ID值转换。转换后的指纹信息ID值通过安全监控器346和安全内核驱动324返回至发出安全数据获取请求的应用326。
[0050]在注册认证过程中,完成智能设备生物特征ID值采集后,该应用326将返回的与用户对应的生物特征ID值发往应用服务器备案,该应用服务器用于基于生物特征ID值建立用户服务档案。
[0051]另一种情况,当用户在任意一台安装有应用326的智能设备上发起登录请求260时,该应用326向该安全内核340发起提取用户生物特征信息的请求。安全内核340的安全监控器346再通过安全内核管理器348调用安全内核340的相应指纹信息ID值转换模块350完成对指纹信息的ID值转换。转换后的指纹信息ID值通过安全监控器346和安全内核驱动324返回至发出安全数据获取请求的应用326。
[0052]在登录认证过程中,完成智能设备生物特征ID值采集后,该应用326将返回的与用户对应的生物特征ID值发往应用服务器,该应用服务器用于根据生物特征ID值获取与用户对应的服务档案。然后,该应用服务器将该服务档案返回给该应用326从而实现该应用326根据服务档案为用户提供个性服务。
[0053]为了保证数据安全,该安全内核340将该生物特征ID值加密返回给该应用。该生物特征信息包括指纹信息和虹膜信息。同样,该应用将接收的与用户对应的生物特征ID值也加密发送给应用服务器。
[0054]具体加密方法可以包括DES算法、AES算法、RSA算法、MD5算法等等。
[0055]本实施例提供一种新的、使用生物特征信息实现用户认证的方法和系统,该方法和系统使得用户无需记得用户名和密码,简单的操作即可在不同的智能设备上完成对应用的注册和登录,一方面提升用户操作体验,另一方面相较于传统的用户名/密码认证机制,本实施例的身份认证方法使认证过程更加安全、方便、快捷。比如:同一个人使用任意具有指纹识别功能的手机,打开视频播放器以后,都能自动登录他的帐号,享受专属于用户的个性服务。本发明中,智能设备本地安全内核和应用之间的数据交换是加密的,而且,嵌入新认证方式的智能设备应用和应用服务器之间的数据交换也是加密的,进一步提高了该身份认证方式的可靠性和安全性。
[0056]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或终端程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有终端可用程序代码的终端可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的终端程序产品的形式。
[0057]本发明是参照根据本发明实施例的方法、设备(系统)、和终端程序产品的流程图和/或方框图来描述的。应理解可由终端程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些终端程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0058]这些终端程序指令也可存储在能引导终端或其他可编程数据处理设备以特定方式工作的终端可读存储器中,使得存储在该终端可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0059]这些终端程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0060]以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种使用生物特征信息实现用户认证的方法,其特征在于,包括: 用户基于生物识别设备的应用发起认证请求; 所述生物识别设备的安全内核基于所述认证请求获取用户的生物特征信息,并根据所述生物特征信息进行运算处理生成对应的用户ID值,再将所述用户ID值返回给所述发起认证请求的应用; 所述应用将所述安全内核返回的用户ID值发往应用服务器,所述应用服务器根据所述用户ID值完成用户认证。2.如权利要求1所述的方法,其特征在于,所述认证请求为注册请求,当用户在所述应用发起注册请求时,所述应用向所述安全内核发起提取用户生物特征信息的请求,所述安全内核收到请求后获取用户的生物特征信息并生成所述用户ID值,再将所述用户ID值返回给所述发起注册请求的应用; 所述应用将返回的用户ID值发往应用服务器备案,所述应用服务器基于所述用户ID值建立用户服务档案。3.如权利要求1所述的方法,其特征在于,所述认证请求为登录请求,当用户在所述应用发起登录请求时,所述应用向所述安全内核发起提取用户生物特征信息的请求,所述安全内核收到请求后获取用户的生物特征信息并生成所述用户ID值,再将所述用户ID值返回给所述发起登录请求的应用; 所述应用将返回的用户ID值发往应用服务器,所述应用服务器基于所述用户ID值获取与用户对应的服务档案并返回给所述应用,所述应用基于服务档案为用户提供个性服务。4.如权利要求1-3任意一项所述的方法,其特征在于,所述用户ID值为由生物特征信息转换而来的生物特征哈希值,所述安全内核将所述生物特征哈希值加密返回给所述应用,所述生物特征信息包括指纹信息和虹膜信息。5.如权利要求4所述的方法,其特征在于,所述应用将接收的与用户对应的生物特征哈希值加密发送给应用服务器。6.一种使用生物特征信息实现用户认证的系统,其特征在于,包括: 至少一安装在生物识别设备的应用,用于发起认证请求; 设置在所述生物识别设备内的安全内核,所述安全内核用于根据所述认证请求获取用户的生物特征信息,并根据所述生物特征信息生成对应的用户ID值,再将所述用户ID值返回给所述发起认证请求的应用; 至少一应用服务器,所述应用服务器用于接收所述应用传送的用户ID值并根据所述用户ID值完成用户认证。7.如权利要求6所述的系统,其特征在于,当用户在所述应用发起注册请求时,所述应用用于向所述安全内核发起提取用户生物特征信息的请求,所述安全内核用于收到请求后获取用户的生物特征信息并生成所述用户ID值,再将所述用户ID值返回给所述发起注册请求的应用; 所述应用还用于将返回的与用户对应的用户ID值发往应用服务器备案,所述应用服务器用于基于用户ID值建立用户服务档案。8.如权利要求7所述的系统,其特征在于,当用户在所述应用发起登录请求时,所述应用用于向所述安全内核发起提取用户生物特征信息的请求,所述安全内核用于收到请求后获取用户的生物特征信息并生成所述用户ID值,再将所述用户ID值返回给所述发起登录请求的应用; 所述应用还用于将返回的与用户对应的用户ID值发往应用服务器,所述应用服务器用于根据所述用户ID值获取与用户对应的服务档案并返回给所述应用以实现所述应用根据服务档案为用户提供个性服务。9.如权利要求6-8任意一项所述的系统,其特征在于,所述用户ID值为由生物特征信息转换而来的生物特征ID值,所述安全内核还用于将所述生物特征ID值加密返回给所述应用,所述生物特征信息包括指纹信息和虹膜信息。10.如权利要求9所述的系统,其特征在于,所述应用还用于将接收的与用户对应的生物特征ID值加密发送给应用服务器。
【文档编号】G06F21/32GK105868610SQ201610266144
【公开日】2016年8月17日
【申请日】2016年4月26日
【发明人】甘书宇, 于燕
【申请人】乐视控股(北京)有限公司, 乐视移动智能信息技术(北京)有限公司