一种身份认证设备、系统、方法、装置和存储介质与流程

本发明实施例涉及信息安全领域，尤其涉及一种身份认证设备、系统、方法、装置和存储介质。

背景技术：

随着互联网及计算机技术的快速发展，网络用户的数量呈几何倍数的增长，对于互联网世界的用户来说，其自身的安全性，尤其是身份和权限的安全正变得越来越重要。

目前在身份认证领域中，大部分应用服务商采用依靠服务器端的身份认证，即通过发送身份或权限请求获取服务器端的身份认证；而少部分基于设备的身份认证，也是采用类似银行u盾一样的外部设备辅助进行身份认证。

然而，现有的身份认证设备不支持生物特征的认证，其通讯方式也仅支持usb端口，兼容性较差；同时，依靠服务器端的数据验证，当账户信息泄漏或身份认证设备被安装监控木马程序时，身份认证安全存在着极大的丢失风险。

技术实现要素：

本发明实施例提供了一种身份认证设备、系统、方法、装置和存储介质，以同时实现服务器端的数据验证以及本地的指纹验证。

第一方面，本发明实施例提供了一种身份认证设备，该设备包括：指纹模块、通信模块以及控制模块；

所述指纹模块，连接所述控制模块，用于获取用户指纹信息，并发送至所述控制模块；

所述通信模块，连接所述控制模块，用于在所述控制模块与后台服务器之间进行数据传输；

所述控制模块包括相互连接的微控制单元和安全芯片，用于通过所述微控制单元获取用户输入的服务请求并经由所述通信模块发送至后台服务器以及获取后台服务器发送的随机数字；通过所述安全芯片，创建非对称密钥；所述非对称密钥包括公钥和私钥；所述私钥用于加密处理；所述公钥用于解密处理；所述微控制单元，用于接收由所述指纹模块发送的指纹信息以及对所述指纹信息进行指纹特征提取，并将所述指纹特征发送至所述安全芯片；所述安全芯片，用于对接收到的所述指纹特征进行存储。

第二方面，本发明实施例提供了一种身份认证系统，该系统包括了本发明任意实施例所述的身份认证设备以及与之相连的后台服务器。

第三方面，本发明实施例提供了一种身份认证方法，该方法包括：

将获取到的身份认证请求通过所述通信模块发送至后台服务器；以便所述后台服务器验证所述身份认证请求是否有效，其中，所述身份认证请求包括设备标识和账户标识；

当获取到由后台服务器反馈的随机数字和识别标识时，则通过所述指纹模块获取指纹信息并验证；

若指纹信息验证成功，则在所述安全芯片中查询所述识别标识对应的私钥；

利用所述私钥对所述随机数字进行加密处理以获取加密数据，将所述加密数据和所述识别标识发送至后台服务器；以便所述后台服务器根据与所述识别标识对应的公钥对所述加密数据进行解密处理，在解密数据与所述随机数字相同时，反馈认证标识；

若获取到由所述后台服务器发出的所述认证标识，则通过所述身份认证请求。

第四方面，本发明实施例提供了一种身份认证装置，该装置包括：

身份认证请求发送模块，用于将获取到的身份认证请求通过所述通信模块发送至后台服务器；以便所述后台服务器验证所述身份认证请求是否有效，其中，所述身份认证请求包括设备标识和账户标识；

指纹信息验证模块，用于当获取到由后台服务器反馈的随机数字和识别标识时，则通过所述指纹模块获取指纹信息并验证；

私钥查询模块，用于若指纹信息验证成功，则在所述安全芯片中查询所述识别标识对应的私钥；

加密数据获取模块，用于利用所述私钥对所述随机数字进行加密处理以获取加密数据，将所述加密数据和所述识别标识发送至后台服务器；以便所述后台服务器根据与所述识别标识对应的公钥对所述加密数据进行解密处理，在解密数据与所述随机数字相同时，反馈认证标识；

身份认证请求通过模块，用于若获取到由所述后台服务器发出的所述认证标识，则通过所述身份认证请求。

第五方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明任意实施例所述的身份认证方法。

本发明实施例的技术方案，通过微控制单元与服务器进行数据通信，并利用安全芯片生成的非对称密钥进行加密及解密处理，实现了服务器端的加密数据验证，提高了设备的安全性；同时，通过指纹模块和控制模块进行本地指纹验证，实现了生物信息采集、身份识别和身份验证，满足了当下互联网和物联网大环境下，方便用户进行身份鉴权的效果。

附图说明

图1是本发明实施例一提供的一种身份认证设备的结构框图；

图2是本发明实施例二提供的一种身份认证方法的流程图；

图3a是本发明实施例三提供的一种身份认证系统的结构框图；

图3b是本发明实施例三提供的一种身份认证系统的数据流程图；

图4是本发明实施例四提供的一种身份认证装置的结构框图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图1为本发明实施例一提供的一种身份认证设备的结构框图，该设备包括：指纹模块1、通信模块2以及控制模块3。

所述指纹模块1，连接所述控制模块3，用于获取用户指纹信息，并发送至所述控制模块3。

可选的，在本发明实施例中，指纹模块1为半导体指纹传感器、光学指纹传感器或超声波指纹传感器；指纹模块1与控制模块3通过串行外设接口(serialperipheralinterface，spi)通讯连接。

所述通信模块2，连接所述控制模块3，用于在所述控制模块3与后台服务器之间进行数据传输。

可选的，在本发明实施例中，所述通信模块2与所述控制模块3通过通用串行总线(universalserialbus，usb)、蓝牙、2.4g无线通信和近场通信(nearfieldcommunication，nfc)中的至少一种通信方式信号连接；所述通信模块2与所述后台服务器通过超文本传输安全协议(hypertexttransferprotocoloversecuresocketlayer，https)的方式连接。

所述控制模块3包括相互连接的微控制单元31和安全芯片32；所述微控制单元31，用于接收由所述指纹模块发送的指纹信息以及对所述指纹信息进行指纹特征提取，并将所述指纹特征发送至所述安全芯片；所述安全芯片32，用于对接收到的所述指纹特征进行存储。

可选的，在本发明实施例中，微控制单元31与安全芯片32通过i2c(inter－integratedcircuit，内置集成电路)总线连接。微控制单元31执行指纹信息存储时，将接收到的指纹信息进行指纹特征提取并作为指纹特征模板发送至安全芯片32以进行指纹存储；微控制单元31执行指纹信息验证时，微控制单元31将提取的指纹特征与安全芯片32中存储的指纹特征模板进行比对。

特别的，本实施例中的安全芯片32符合国密算法认证要求，例如，sm1算法、sm2算法、sm3算法、sm4算法、sm7算法以及sm9算法；同时，还满足国际cc(commoncriteriaforinformationtechnologysecurityevaluation，信息技术安全性评估准则)认证安全要求和fips140-2(fipspublication140-2，美国联邦信息处理标准关于密码模块的安全需求标准)认证安全要求，因此，极大地扩展了该身份认证设备的适用范围。

所述控制模块3用于通过所述微控制单元31获取用户输入的服务请求并经由所述通信模块2发送至后台服务器以及获取后台服务器发送的随机数字；通过所述安全芯片32，创建非对称密钥；所述非对称密钥包括公钥和私钥；所述私钥用于加密处理；所述公钥用于解密处理。

可选的，用户输入的服务请求包括身份认证请求；用户的服务请求可以通过多种方式输入至微控制单元31；例如，用户通过刷ic(integratedcircuitcard，集成电路)卡的方式发出身份认证请求；还可以通过输入信号的方式输入至微控制单元31，例如，该身份认证设备应用在智能电视中，智能电视接收到开机信号后向微控制单元31发送身份认证请求。在本发明实施例中，对微控制单元31获取用户输入的服务请求的方式不作具体限定。

安全芯片32创建的非对称密钥中包括了公钥(publickey)和私钥(privatekey)。公钥与私钥是通过密钥生成算法得到的一个密钥对，公钥是密钥对中公开的部分，私钥则是非公开的部分。使用该密钥对时，使用其中一个密钥加密一段数据，必须用另一个密钥解密。例如，使用公钥加密数据就必须用对应的私钥解密，使用私钥加密就必须用对应的公钥解密。可选的，在本发明实施例中，公钥用于解密处理，私钥用于加密处理；对生成公钥及私钥的密钥生成算法的形式不作具体限定。

本发明实施例的技术方案，通过微控制单元与服务器进行数据通信，并利用安全芯片生成的非对称密钥进行加密及解密处理，实现了服务器端的加密数据验证，提高了设备的安全性；同时，通过指纹模块和控制模块进行本地指纹验证，实现了生物信息采集、身份识别和身份验证，满足了当下互联网和物联网大环境下，方便用户进行身份鉴权的效果。

实施例二

图2为本发明实施例二提供的一种身份认证方法的流程图，本实施例可适用于通过设备标识、账户标识以及指纹信息共同确认身份的情况，该方法可以由本发明实施例中的身份认证装置来执行，该装置可以通过软件和/或硬件的方式实现，并集成在如本发明任意实施例所述的身份认证设备中，典型的，可以以程序代码的方式集成在身份认证设备的控制模块中，本发明实施例的方法具体包括如下步骤：

s210、将获取到的身份认证请求通过所述通信模块发送至后台服务器；以便所述后台服务器验证所述身份认证请求是否有效，其中，所述身份认证请求包括设备标识和账户标识。

设备标识，是身份认证设备的区别标识，不同身份认证设备之间的设备标识不同，代表了设备的唯一性；设备标识可以由用户输入，例如，用户通过外接键盘的方式将所述设备标识输入至控制模块中；设备标识还可以存储在控制模块中，控制模块获取到身份认证请求后，将设备标识添加至身份认证请求中，并通过通信模块将发送至后台服务器。可选的，在本发明实施例中，对获取到的设备标识的来源不作具体限定。

账户标识，是用户的区别标识，不同的用户之间账户标识不同，代表了用户的唯一性；账户标识由用户输入，例如，用户可以通过外接键盘的方式将所述设备标识输入至控制模块中；还可以通过上述刷ic卡的方式发出身份认证请求，而ic卡中包括了账户标识；可选的，在本发明实施例中，对获取到的账户标识的来源不作具体限定。

服务器获取到身份认证请求后，根据设备标识和账户标识验证所述身份认证请求是否有效；具体的，若设备标识为服务器中存储的有效设备，则判断该身份认证设备为有效设备；若账户标识为服务器中存储的有效账户，则判断该用户为有效用户；若设备标识和账户标识均有效，将账户标识与设备标识组成识别标识，并反馈该识别标识以及一个或一组随机数字。

s220、当获取到由后台服务器反馈的随机数字和识别标识，则通过所述指纹模块获取指纹信息并验证。

指纹模块获取到指纹信息后，发送至微控制单元；微控制单元对接收到的指纹信息进行指纹特征提取，并与安全芯片中存储的指纹特征进行比对。

s230、若指纹信息验证成功，则在所述安全芯片中查询所述识别标识对应的私钥。

指纹信息验证成功后，根据服务器反馈的识别标识查询存储于安全芯片中的私钥。

可选的，若指纹信息验证不成功，则拒绝所述身份认证请求。

s240、利用所述私钥对所述随机数字进行加密处理以获取加密数据，将所述加密数据和所述识别标识发送至后台服务器；以便所述后台服务器根据与所述识别标识对应的公钥对所述加密数据进行解密处理，在解密数据与所述随机数字相同时，反馈认证标识。

服务器根据识别标识使用对应的公钥进行解密处理；若解密后的数据与所述随机数字相同，证明数据来源有效，反馈认证标识。

s250、若获取到由所述后台服务器发出的所述认证标识，则通过所述身份认证请求。

可选的，在本发明实施例中，在将获取到的身份认证请求通过所述通信模块发送至后台服务器之前，还包括：身份绑定。身份绑定即将设备标识和账户标识存储于服务器中，以及将用户的指纹信息存储于本地安全芯片中的过程。

具体的，所述身份绑定包括：将获取到的身份绑定请求通过所述通信模块发送至后台服务器；以便所述后台服务器验证所述身份绑定请求是否有效，其中，所述身份绑定请求包括设备标识和账户标识；若获取到由服务器反馈的随机数字，则通过所述指纹模块获取指纹信息并验证；若指纹信息验证成功，则在所述安全芯片中创建非对称密钥以及识别标识；利用私钥对所述随机数字进行加密处理以获取绑定加密数据，将所述绑定加密数据、所述公钥以及所述识别标识，发送至后台服务器；以便后台服务器根据所述公钥对所述绑定加密数据进行解密处理，在解密数据与所述随机数字相同时，存储所述公钥和所述识别标识，反馈认证标识；若获取到由所述后台服务器发出的绑定标识，则通过所述身份绑定请求。特别的，在指纹信息验证之前还包括指纹信息存储，即将用户的指纹信息存储于身份认证设备中。指纹模块获取到指纹信息后发送至微控制单元，微控制单元将接收到的指纹信息进行指纹特征提取并作为指纹特征模板发送至安全芯片以进行指纹存储。

本发明实施例的技术方案，通过微控制单元与服务器进行数据通信，并利用安全芯片生成的非对称密钥进行加密及解密处理，实现了服务器端的加密数据验证，提高了设备的安全性；同时，通过指纹模块和控制模块进行本地指纹验证，实现了生物信息采集、身份识别和身份验证，满足了当下互联网和物联网大环境下，方便用户进行身份鉴权的效果。

实施例三

图3a是本发明实施例公开的一种身份认证系统的结构示意图，如图3a所示，该系统包括上述实施例提供的身份认证设备40和与之相连的后台服务器41；图3b是该系统执行的身份认证的数据流程图，该系统执行身份认证的流程具体如下：

如图3b所示，身份认证设备获取用户的身份认证请求，其中所述身份认证请求包括设备标识和账户标识；身份认证设备将身份认证请求发送至后台服务器；后台服务器接收身份认证设备发送的身份认证请求；服务器验证该身份认证请求有效；服务器获取识别标识以及随机数字；服务器将识别标识以及随机数字发送至身份认证设备。

如图3b所示，身份认证设备接收后台服务器发送的识别标识以及随机数字；身份认证设备获取指纹信息；身份认证设备验证指纹信息有效；身份认证设备查询私钥并对随机数字进行加密处理，以生成加密数据；身份认证设备将加密数据和识别标识发送至后台服务器；后台服务器接收身份认证发送的加密数据和识别标识；后台服务器查询公钥并对加密数据进行解密处理；后台服务器验证解密数据与随机数字相同，生成认证标识；后台服务器将认证标识发送至身份认证设备；身份认证设备接收后台服务器发送的认证标识；身份认证设备通过用户的身份认证请求。

本发明实施例的技术方案，通过身份认证设备与后台服务器进行数据通信，并利用私钥和公钥分别进行加密及解密处理，实现了服务器端的加密数据验证，提高了设备的安全性；同时，身份认证设备进行的本地指纹验证，实现了生物信息采集、身份识别和身份验证，满足了当下互联网和物联网大环境下，方便用户进行身份鉴权的效果。

实施例四

图4是本发明实施例四所提供的一种身份认证装置的结构框图，该装置具体包括：身份认证请求发送模块410、指纹信息验证模块420、私钥查询模块430、加密数据获取模块440和身份认证请求通过模块450。

身份认证请求发送模块410，用于将获取到的身份认证请求通过所述通信模块发送至后台服务器；以便所述后台服务器验证所述身份认证请求是否有效，其中，所述身份认证请求包括设备标识和账户标识；

指纹信息验证模块420，用于当获取到由后台服务器反馈的随机数字和识别标识时，则通过所述指纹模块获取指纹信息并验证；

私钥查询模块430，用于若指纹信息验证成功，则在所述安全芯片中查询所述识别标识对应的私钥；

加密数据获取模块440，用于利用所述私钥对所述随机数字进行加密处理以获取加密数据，将所述加密数据和所述识别标识发送至后台服务器；以便所述后台服务器根据与所述识别标识对应的公钥对所述加密数据进行解密处理，在解密数据与所述随机数字相同时，反馈认证标识；

身份认证请求通过模块450，用于若获取到由所述后台服务器发出的所述认证标识，则通过所述身份认证请求。

本发明实施例的技术方案，通过微控制单元与服务器进行数据通信，并利用安全芯片生成的非对称密钥进行加密及解密处理，实现了服务器端的加密数据验证，提高了设备的安全性；同时，通过指纹模块和控制模块进行本地指纹验证，实现了生物信息采集、身份识别和身份验证，满足了当下互联网和物联网大环境下，方便用户进行身份鉴权的效果。

可选的，在上述技术方案的基础上，身份认证装置，还包括：

身份认证请求拒绝模块，用于在所述通过所述指纹模块获取指纹信息并验证之后，若指纹信息验证不成功，则拒绝所述身份认证请求。

可选的，在上述技术方案的基础上，身份认证装置，还包括：

身份绑定请求发送模块，用于在将获取到的身份认证请求通过所述通信模块发送至后台服务器之前，将获取到的身份绑定请求通过所述通信模块发送至后台服务器；以便所述后台服务器验证所述身份绑定请求是否有效，其中，所述身份绑定请求包括设备标识和账户标识；

随机数字获取模块，用于若获取到由服务器反馈的随机数字，则通过所述指纹模块获取指纹信息并验证；

非对称密钥及识别标识创建模块，用于若指纹信息验证成功，则在所述安全芯片中创建非对称密钥以及识别标识；

公钥发送模块，用于利用私钥对所述随机数字进行加密处理以获取绑定加密数据，将所述绑定加密数据、所述公钥以及所述识别标识，发送至后台服务器；以便后台服务器根据所述公钥对所述绑定加密数据进行解密处理，在解密数据与所述随机数字相同时，存储所述公钥和所述识别标识，反馈认证标识；

身份绑定通过模块，用于若获取到由所述后台服务器发出的绑定标识，则通过所述身份绑定请求。

上述装置可执行本发明任意实施例所提供的身份认证方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明任意实施例提供的方法。

实施例五

本发明实施例五还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行身份认证方法，该方法包括：

将获取到的身份认证请求通过所述通信模块发送至后台服务器；以便所述后台服务器验证所述身份认证请求是否有效，其中，所述身份认证请求包括设备标识和账户标识；

当获取到由后台服务器反馈的随机数字和识别标识时，则通过所述指纹模块获取指纹信息并验证；

若指纹信息验证成功，则在所述安全芯片中查询所述识别标识对应的私钥；

利用所述私钥对所述随机数字进行加密处理以获取加密数据，将所述加密数据和所述识别标识发送至后台服务器；以便所述后台服务器根据与所述识别标识对应的公钥对所述加密数据进行解密处理，在解密数据与所述随机数字相同时，反馈认证标识；

若获取到由所述后台服务器发出的所述认证标识，则通过所述身份认证请求。

当然，本发明实施例所提供的一种包含计算机可执行指令的存储介质，其计算机可执行指令不限于如上所述的方法操作，还可以执行本发明任意实施例所提供的身份认证方法中的相关操作。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

值得注意的是，上述身份认证装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。