基于生物特征识别的终端管理方法、装置、计算机设备与流程

本发明涉及计算机技术领域，尤其涉及一种基于生物特征识别的终端管理方法、装置、计算机设备。

背景技术：

随着社会对网络安全的重视，企业逐渐意识到对数字资产进行保密的重要性，现有技术方法均是通过管理服务器对员工的办公电脑进行联网控制，通过在管理服务器中配置黑名单的方式阻断员工的办公电脑访问黑名单对应的危险网站，或配置白名单仅允许办公电脑访问白名单对应的可信网站。然而现有的技术方法仅能对员工的终端设备进行监控，无法识别在终端设备执行具体操作的人员是否为员工本人，且无法拦截将资料拷贝至可移动存储设备(u盘)的高风险操作，非员工本人执行类似上述的高风险操作则会造成企业数字资产泄露的问题，给企业带来了巨大的损失。因此，现有的技术方法存在无法对在终端设备中执行具体操作的人员进行识别的问题。

技术实现要素：

本发明实施例提供了一种基于生物特征识别的终端管理方法、装置、计算机设备及存储介质，旨在解决现有的技术方法所存在的无法对在终端设备中执行具体操作的人员进行识别的问题。

第一方面，本发明实施例提供了一种基于生物特征识别的终端管理方法，其包括：

采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息；

获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息；其中，所述设备信息包括所述用户终端的mac地址和设备硬件信息；

将所述生物特征信息及所述设备标识信息与所述合法使用者的登录信息进行绑定并存储；

若接收到来自任一所述用户终端的登录请求，获取预存的与所述登录请求对应的登录信息及与所述登录信息相绑定的设备标识信息，根据所获取的登录信息及设备标识信息对所述登录请求进行验证以得到是否通过的验证结果；

若所述验证结果为通过，根据所述登录请求生成对应的登录认证信息并发送至所述用户终端；

若接收到来自所述用户终端的操作请求，根据预置的操作判断规则对所述操作请求是否为风险操作进行判断，所述操作请求包含所述登录认证信息；

若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者；

若所述使用者为所述用户终端的合法使用者，将执行所述操作请求的指令信息发送至所述用户终端。

第二方面，本发明实施例提供了一种基于生物特征识别的终端管理装置，其包括：

生物特征信息获取单元，用于采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息；

设备标识信息获取单元，用于获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息；其中，所述设备信息包括所述用户终端的mac地址和设备硬件信息；

绑定存储单元，用于将所述生物特征信息及所述设备标识信息与所述合法使用者的登录信息进行绑定并存储；

登录请求验证单元，用于若接收到来自任一所述用户终端的登录请求，获取预存的与所述登录请求对应的登录信息及与所述登录信息相绑定的设备标识信息，根据所获取的登录信息及设备标识信息对所述登录请求进行验证以得到是否通过的验证结果；

登录认证信息发送单元，用于若所述验证结果为通过，根据所述登录请求生成对应的登录认证信息并发送至所述用户终端；

操作判断单元，用于若接收到来自所述用户终端的操作请求，根据预置的操作判断规则对所述操作请求是否为风险操作进行判断，所述操作请求包含所述登录认证信息；

身份验证单元，用于若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者；

指令信息发送单元，用于若所述使用者为所述用户终端的合法使用者，将执行所述操作请求的指令信息发送至所述用户终端。

第三方面，本发明实施例又提供了一种计算机设备，其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的基于生物特征识别的终端管理方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其中所述计算机可读存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的基于生物特征识别的终端管理方法。

本发明实施例提供了一种基于生物特征识别的终端管理方法、装置、计算机设备及存储介质。根据预存的与登录请求对应的登录信息及设备标识信息验证登录请求，验证通过则反馈对应的登录认证信息，根据操作判断规则对来自该用户终端的操作请求是否为风险操作进行判断，若操作请求为风险操作则采集该用户终端的使用者的生物特征信息，并根据生物特征信息验证该使用者是否为用户终端的合法使用者，若为合法使用者将执行该操作请求的指令信息发送至该用户终端。通过上述方法，可在用户终端的使用者执行风险操作时，判断执行该风险操作的使用者是否为该用户终端的合法使用者，避免因非员工本人执行高风险操作而造成企业数字资产泄漏，提高了企业的用户终端中所存储的数据资产的安全性，在实际应用过程中取得了良好的技术效果。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于生物特征识别的终端管理方法的流程示意图；

图2为本发明实施例提供的基于生物特征识别的终端管理方法的应用场景示意图；

图3为本发明实施例提供的基于生物特征识别的终端管理方法的子流程示意图；

图4为本发明实施例提供的基于生物特征识别的终端管理方法的另一子流程示意图；

图5为本发明实施例提供的基于生物特征识别的终端管理方法的另一子流程示意图；

图6为本发明实施例提供的基于生物特征识别的终端管理装置的示意性框图；

图7为本发明实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

请参阅图1，图1是本发明实施例提供的基于生物特征识别的终端管理方法的流程示意图，图2为本发明实施例提供的基于生物特征识别的终端管理方法的应用场景示意图。该基于生物特征识别的终端管理方法应用于管理服务器10中，该方法通过安装于管理服务器10中的应用软件进行执行，管理服务器10通过与用户终端20建立网络连接以对用户终端进行管理，管理服务器10即是用于执行所述基于生物特征识别的终端管理方法以识别用户终端20的使用者是否为该用户终端的合法使用者的企业终端，管理服务器10先验证来自用户终端20的登录请求，验证通过则判断来自用户终端20的操作请求是否为风险操作，若操作请求为风险操作则识别用户终端20的使用者是否为该用户终端20的合法使用者，若识别得到使用者为该用户终端20的合法使用者，则将执行操作请求的指令信息发送至用户终端20，用户终端20即是用于接收用户终端的使用者所输入的登录请求、操作请求的终端设备，若用户终端20接收到执行操作请求的指令信息，则在该用户终端20中执行与该指令信息对应的操作请求，用户终端20可以是台式电脑、笔记本电脑、平板电脑或手机等。图2中仅仅示意出一台用户终端20与管理服务器10进行数据信息传输，在实际应用中，管理服务器10也可与多台用户终端20同时进行数据信息传输。

如图1所示，该方法包括步骤s110～s180。

s110、采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息。

采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息。具体的，所采集的生物特征信息可以是用户终端的合法使用者的指纹图像、手掌纹图像、虹膜图像或面部图像中的任意一种信息，还可以是上述信息中的两种或多种信息，生物特征计算模型即是用于对生物特征信息进行计算以获取对应生物特征信息的计算模型，以指纹图像为例，对一个手指的手指指纹图像进行计算即可得到该手指对应的手指标识信息，则每一合法使用者的生物特征信息中可包含该合法使用者的部分手指标识信息或全部手指标识信息。具体的，所述生物特征计算模型包括sift特征提取规则及特征信息生成规则，sift特征提取规则即是用于提取生物特征图像中每一图像的图像特征向量的提取规则，生物特征图像中所有图像的图像特征向量即为生物图像特征向量，特征信息生成规则即是用于根据生物图像特征向量生成对应生物特征信息的生成规则。可通过一台与管理服务器相连接的图像采集设备对每一用户终端的合法使用者的生物特征图像进行采集，也即是采集每一用户终端的合法使用者的指纹图像、手掌纹图像、虹膜图像或面部图像，并传输至管理服务器中以计算得到生物特征信息，则所得到的生物特征信息包括指纹特征信息、掌纹特征信息、虹膜特征信息或人脸特征信息。

在一实施例中，如图3所示，步骤s110包括子步骤s111和s112。

s111、根据所述sift特征提取规则从所述生物特征图像中获取每一所述合法使用者的生物图像特征向量。

根据所述sift特征提取规则从所述生物特征图像中获取每一所述合法使用者的生物图像特征向量。以指纹图像为例，一个手指指纹图像经计算后得到一个对应的手指特征向量，该合法使用者的生物特征图像中所提取到的所有手指特征向量即为对应的生物图像特征向量，手指特征向量即为该员工一个手指指纹图像的sift特征，sift特征为基于sift(scale-invariantfeaturetransform，尺度不变特征变换)算法提取的图像的局部特征。

获取生物特征图像中某一图像对应的图像特征向量的步骤包括：构建尺度空间，这是一个初始化操作，尺度空间理论目的是模拟该图像的多尺度特征。通常来讲，要精确表示的物体都是通过一定的尺度来反映的。现实世界的物体也总是通过不同尺度的观察而得到不同的变化。例如，对同一物体拍照，我们拍摄了一张近景照片和一张远景照片，虽然两张中都有这个物体，但这个物体确处于两个不同的尺度。sift特征具有尺度不变性，也就是说即使同一物体处于两个不同的尺度的图像中，我们仍可以通过提取两个图像的sift特征以判断两个物体是否为同一物体。图像的尺度有多种表示方法，在sift中采用了尺度空间理论，其主要思想是通过对原始图像进行尺度变换，以获取图像在多尺度下的尺度空间表示序列，并检测这个序列中的关键点，这样图像便被映射为多个尺度上的关键点信息。

其次，通过log(laplacianofgaussian，高斯拉普拉斯)近似dog(differenceofgaussian，高斯差分)找到sift特征点。sift特征点即为图像在尺度空间的极值点，每一个检测点要和该检测点所有的相邻点比较，判断其是否比它的图片域和尺度域的相邻点大或者小。中间的检测点和它同尺度的8个相邻点和上下相邻尺度对应的9×2个点共26个点比较，以确保在尺度空间和二维空间都检测到极值点。一个点如果在dog尺度空间本层以及上下两层的26个领域中是最大或最小值时，便认为该点是图像在该尺度下的一个sift特征点。再者，去除一些不稳定的sift特征点，比如边界和低亮度区域的特征点，除去它们以使得算法有效和鲁棒，比如使用近似harriscorner检测器来完成sift特征点的去除。

描述子(descriptor)实质上是每个sift特征点的唯一用于对其特征进行描述的信息。为了得到这样的描述子，可以将sift特征点周围的16*16窗口分解为16个4*4的子窗口。在每个4*4的子窗口中，计算出梯度的大小和方向，并用一个8个bin的直方图来统计子窗口的平均方向。其中，梯度方向在[0，45)度范围的像素点被放到第一个bin中，[45，90)度范围的像素点被放到下一个bin中，依此类推。根据子窗口中每一像素点的梯度大小与对应像素点与sift特征点之间的距离，计算得到子窗口中每一bin的量化值，这样远离sift特征点的像素点在对应bin的量化值中的权重最小。这通过一个高斯加权函数来实现，这个高斯加权函数根据像素点与sift特征点之间的距离生成一个加权值，用它乘以16*16窗口中对应像素点的梯度大小，得到加权后的梯度大小。这样每个4*4的子窗口都对应一个8bin的直方图，且直方图中加入的量是像素点用高斯加权后的梯度大小，而sift特征点周围16*16窗口中包含16个4*4的子窗口，共有16*8＝128个维度，则一个sift特征点的描述子可采用4*4*8＝128维的特征向量进行表示，每一个维的维度值即为与该维度对应的bin的量化值。特征点描述子的维数可以不同，此处仅以128维为例进行举例说明。由于在每一图像中提取到的sift特征点的数量比较多，根据上述方法即可计算得到每一sift特征点的描述子，也即是图像的sift特征。

s112、根据所述特征信息生成规则生成与所述生物图像特征向量对应的生物特征信息。

根据所述特征信息生成规则生成与所述生物图像特征向量对应的生物特征信息。具体的，所生成的生物特征信息即为与生物图像特征向量对应的信息摘要，特征信息生成规则即可通过md5运算实现，为确保信息安全，所生成的生物特征信息为加密信息。

具体的，以指纹图像为例，采用特征信息生成规则对一个手指特征向量进行md5运算即得到对应的信息摘要，其中，md5运算即为md5信息摘要算法(md5message-digestalgorithm)，也即md5(手指特征向量)＝信息摘要，md5运算以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值，输入一个手指特征向量，即可计算得到与该手指特征向量对应的散列值，也即是与该手指特征向量对应的信息摘要。

s120、获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息。

获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息。所述设备信息包含用户终端的mac地址和设备硬件信息，所述设备标识计算模型包括信息拼接规则及标识信息生成规则。mac地址也即是用户终端的媒体存取控制位址(mediaaccesscontroladdress)，mac地址用于在网络中唯一标示一台用户终端的网卡，可用于确定用户终端在互联网中设备位置的位址，设备硬件信息即为用户终端各硬件对应的信息，设备硬件信息包括用户终端的cpu型号、内存信息、系统版本等信息。由于一台用户终端对应的设备信息中包含多条信息，因此需通过信息拼接规则对设备信息中所包含的多条信息进行拼接，以基于拼接后的设备信息生成对应的设备标识信息。

在一实施例中，如图4所示，步骤s120包括子步骤s121和s122。

s121、根据所述信息拼接规则对每一所述用户终端的设备信息进行拼接以得到设备拼接信息。

根据所述信息拼接规则对每一所述用户终端的设备信息进行拼接以得到设备拼接信息。具体的，信息拼接规则即可按照json格式对信息进行拼接的规则，json格式(javascriptobjectnotation)是一种轻量级的数据交换存储格式，易于人阅读和编写，同时也易于机器解析和生成。根据信息拼接规则对设备信息中所包含的多条信息进行拼接，得到一条与设备信息对应的字符串，该字符串即为设备拼接信息。

s122、根据所述标识信息生成规则生成与所述设备拼接信息对应的设备标识信息。

根据所述标识信息生成规则生成与所述设备拼接信息对应的设备标识信息。标识信息生成规则即可通过md5运算实现，生成设备标识信息的方法与生成生物特征信息的方法相同，也即md5(设备拼接信息)＝信息摘要，所得信息摘要即为设备标识信息。

s130、将所述生物特征信息及所述设备标识信息与所述合法使用者的登录信息进行绑定并存储。

s140、若接收到来自任一所述用户终端的登录请求，获取预存的与所述登录请求对应的登录信息及与所述登录信息相绑定的设备标识信息，根据所获取的登录信息及设备标识信息对所述登录请求进行验证以得到是否通过的验证结果。

若接收到来自任一所述用户终端的登录请求，获取预存的与所述登录请求对应的登录信息及与所述登录信息相绑定的设备标识信息，根据所获取的登录信息及设备标识信息对所述登录请求进行验证以得到是否通过的验证结果。由于企业通常包含多个员工，每一员工对应使用一台用户终端进行办公，该员工即为用户终端的合法使用者，企业所包含的用户终端均与管理服务器建立网络连接，若管理服务器接收到来自任一用户终端的登录请求，即可根据数据库对该登录请求进行验证，若验证通过则发送对应的登录认证信息至该用户终端。其中，可在数据库中预先存储每一合法使用者的登录信息及与该登录信息相绑定的生物特征信息及设备标识信息，数据库即为存储与员工相关的信息的数据库，生物特征信息可用于对用户终端的使用者是否为该用户终端的合法使用者进行验证，设备信息包含用户终端的mac地址和设备硬件信息，登录信息可以是每一员工在用户终端所安装的办公系统中进行登记注册时所输入的用于验证登录的信息，每一员工只有登录该用户终端中的办公系统后才能进行办公，员工第一次使用该办公系统时需在该办公系统中进行登记注册，登录信息中包含登录名和密码，员工的登录信息与其生物特征信息、设备标识信息相绑定，也即是数据库预先存储有与每一员工的登录信息唯一对应的生物特征信息及设备标识信息。

具体的，登录请求中包含当前使用者登录办公系统时所输入的用户名、待验证密码及当前设备信息，数据库中存储有每一合法使用者的登录信息及与登录信息相绑定的设备标识信息，可根据使用者所输入的用户名获取数据库中与该用户名相匹配的登录名，并进一步获取预存的与该登录名对应的密码及设备标识信息，与该登录名对应的密码可对待验证密码是否一致进行验证，根据标识信息生成规则生成与当前设备信息对应的待验证信息摘要，根据设备标识信息对待验证信息摘要是否一致进行验证。若待验证密码及待验证信息摘要均与数据库中对应的信息一致，则验证结果为通过；若待验证密码或待验证信息摘要不与数据库中对应的信息一致，则验证结果为不通过，若验证结果为不通过，则向该用户终端发送验证不通过的提示信息。

s150、若所述验证结果为通过，根据所述登录请求生成对应的登录认证信息并发送至所述用户终端。

若所述验证结果为通过，根据所述登录请求生成对应的登录认证信息并发送至所述用户终端。登录认证信息即为对登录请求验证通过这一验证结果进行认证的信息，具体的，登录认证信息可以是token认证令牌，在用户终端频繁向管理服务器发送处理请求时，管理服务器需频繁地获取去数据库查询用户名和密码并进行对比以实时判断用户名和密码正确与否，并根据判断结果做出相应提示或处理，在多个用户终端同时与管理服务器进行交互的过程中，这一频繁的操作降低了管理服务器对处理请求的处理速度。token认证令牌是管理服务器根据登录请求所生成的一串字符串，以作用户终端发送各种处理请求的一个令牌，验证结果为通过，则管理服务器生成一个token认证令牌发送至用户终端，用户终端后续所发送的处理请求只需附加这个token认证令牌即可，无需再次带上用户名和密码，也即是节省了对用户名和密码进行验证的过程，token认证令牌可大幅减轻管理服务器的运行压力，减少频繁的查询数据库，节省管理服务器的系统资源。

s160、若接收到来自所述用户终端的操作请求，根据预置的操作判断规则对所述操作请求是否为风险操作进行判断，所述操作请求包含所述登录认证信息。

若接收到来自所述用户终端的操作请求，根据预置的操作判断规则对所述操作请求是否为风险操作进行判断，操作判断规则即为判断操作请求是否为风险操作的判断规则，所述操作请求包含所述登录认证信息。使用者通过用户终端中所安装的办公软件执行各种操作，每执行一项操作均会发送对应的一个操作请求至管理服务器，管理服务器接收操作请求后，即可根据操作判断规则对该操作请求是否为风险操作进行判断。若操作请求不为风险操作，则可立即执行。

例如，可将访问黑名单对应的危险网站、下载文件、上传文件及拷贝文件等操作确定为操作判断规则中的风险操作，若用户终端发送的操作请求为下载文件操作，则根据上述操作判断规则即可判断该操作请求为风险操作。

s170、若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者。

若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者。若操作请求为风险操作，则必须为该用户终端对应的合法使用者才能进行，可采集当前使用该用户终端的使用者的生物特征信息，具体的，可通过一台与该用户终端相连接的图像采集设备对使用者的生物特征信息进行采集，并通过该用户终端传输至管理服务器中进行处理，其中所述生物特征信息为所述使用者的指纹图像、手掌纹图像、虹膜图像或面部图像。根据数据库中预存的与登录信息相绑定的生物特征信息即可对所采集的生物特征信息是否与用户终端的合法使用者一致进行验证，以验证该使用者是否为该用户终端的合法使用者。若使用者为该用户终端的合法使用者，则可通过用户终端中的办公软件执行该操作请求，若使用者不为该用户终端的合法使用者，则无法执行该操作请求。

在一实施例中，如图5所示，步骤s170包括子步骤s171、s172和s173。

s171、采集所述用户终端当前使用者的生物特征图像，根据所述生物特征计算模型对当前使用者的所述生物特征图像进行计算以得到对应的待验证特征信息。

采集所述用户终端当前使用者的生物特征图像，根据所述生物特征计算模型对当前使用者的所述生物特征图像进行计算以得到对应的待验证特征信息。生物特征计算模型即是用于对生物特征信息进行计算以获取对应生物特征信息的计算模型，生物特征计算模型还可用于对生物特征信息进行计算以获取对应的待验证特征信息，具体的计算步骤与计算员工的生物特征信息的步骤相同，在此不作赘述。

s172、获取预存的与所述登录信息相绑定的生物特征信息作为目标生物特征信息。

获取预存的与所述登录信息相绑定的生物特征信息作为目标生物特征信息。数据库中预存有与每一合法使用者的登录信息相绑定的生物特征信息及设备标识信息，已获取到与登录请求对应的登录信息，可将与上述登录信息相绑定的生物特征信息作为目标生物特征信息。

s173、对所述待验证特征信息是否与所述目标生物特征信息一致进行判断，以验证所述使用者是否为所述用户终端的合法使用者。

对所述待验证特征信息是否与所述目标生物特征信息一致进行判断，以验证所述使用者是否为所述用户终端的合法使用者。若所述待验证特征信息与所述生物特征信息一致，则得到所述使用者为所述用户终端的合法使用者的身份验证结果；若所述待验证特征信息与所述生物特征信息一致，则得到所述使用者不为所述用户终端的合法使用者的身份验证结果。

s180、若所述使用者为所述用户终端的合法使用者，将执行所述操作请求的指令信息发送至所述用户终端。

若所述使用者为所述用户终端的合法使用者，将执行所述操作请求的指令信息发送至所述用户终端。若所述使用者为所述用户终端的合法使用者，则可通过用户终端中的办公软件执行该操作请求，具体的，可发送执行操作请求的指令信息至该用户终端，用户终端接收到该指令信息后即可通过办公软件执行该操作请求。

在一实施例中，步骤s180之后还包括步骤：若所述使用者不为所述用户终端的合法使用者，将无法执行所述操作请求的提示信息发送至所述用户终端。

若所述使用者为所述用户终端的合法使用者，将无法执行所述操作请求的提示信息发送至所述用户终端。若身份验证结果为不一致，则表明当前使用用户终端的使用者不为该用户终端的合法使用者，发送无法执行操作请求的提示信息至该用户终端。

在本发明实施例所提供的基于生物特征识别的终端管理方法中，根据预存的与登录请求对应的登录信息及设备标识信息验证登录请求，验证通过则反馈对应的登录认证信息，根据操作判断规则对来自该用户终端的操作请求是否为风险操作进行判断，若操作请求为风险操作则采集该用户终端的使用者的生物特征信息，并根据生物特征信息验证该使用者是否为用户终端的合法使用者，若为合法使用者将执行该操作请求的指令信息发送至该用户终端。通过上述方法，可在用户终端的使用者执行风险操作时，判断执行该风险操作的使用者是否为该用户终端的合法使用者，避免因非员工本人执行高风险操作而造成企业数字资产泄漏，提高了企业的用户终端中所存储的数据资产的安全性，在实际应用过程中取得了良好的技术效果。

本发明实施例还提供一种基于生物特征识别的终端管理装置，该基于生物特征识别的终端管理装置用于执行前述基于生物特征识别的终端管理方法的任一实施例。具体地，请参阅图6，图6是本发明实施例提供的基于生物特征识别的终端管理装置的示意性框图。该基于生物特征识别的终端管理装置可以配置于管理服务器10中。

如图6所示，基于生物特征识别的终端管理装置100包括生物特征信息获取单元110、设备标识信息获取单元120、绑定存储单元130、登录请求验证单元140、登录认证信息发送单元150、操作判断单元160、身份验证单元170和指令信息发送单元180。

生物特征信息获取单元110，用于采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息。

其他发明实施例中，所述生物特征信息获取单元包括子单元：生物图像特征向量获取单元和生物特征信息生成单元。

生物图像特征向量获取单元，用于根据所述sift特征提取规则从所述生物特征图像中获取每一所述合法使用者的生物图像特征向量；生物特征信息生成单元，用于根据所述特征信息生成规则生成与所述生物图像特征向量对应的生物特征信息。

设备标识信息获取单元120，用于获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息。

其他发明实施例中，所述设备标识信息获取单元包括子单元：设备拼接信息获取单元和设备标识信息生成单元。

设备拼接信息获取单元，用于根据所述信息拼接规则对每一所述用户终端的设备信息进行拼接以得到设备拼接信息；设备标识信息生成单元，用于根据所述标识信息生成规则生成与所述设备拼接信息对应的设备标识信息。

绑定存储单元130，用于将所述生物特征信息及所述设备标识信息与所述合法使用者的登录信息进行绑定并存储。

登录请求验证单元140，用于若接收到来自任一所述用户终端的登录请求，获取预存的与所述登录请求对应的登录信息及与所述登录信息相绑定的设备标识信息，根据所获取的登录信息及设备标识信息对所述登录请求进行验证以得到是否通过的验证结果。

若所述验证结果为通过150，根据所述登录请求生成对应的登录认证信息并发送至所述用户终端。

操作判断单元160，用于若接收到来自所述用户终端的操作请求，根据预置的操作判断规则对所述操作请求是否为风险操作进行判断，所述操作请求包含所述登录认证信息。

身份验证单元170，用于若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者。

其他发明实施例中，所述身份验证单元170包括子单元：待验证特征信息计算单元、目标生物特征信息获取单元和待验证特征信息验证单元。

待验证特征信息计算单元，用于采集所述用户终端当前使用者的生物特征图像，根据所述生物特征计算模型对当前使用者的所述生物特征图像进行计算以得到对应的待验证特征信息；目标生物特征信息获取单元，用于获取预存的与所述登录信息相绑定的生物特征信息作为目标生物特征信息；待验证特征信息验证单元，用于对所述待验证特征信息是否与所述目标生物特征信息一致进行判断，以验证所述使用者是否为所述用户终端的合法使用者。

指令信息发送单元180，用于若所述使用者为所述用户终端的合法使用者，将执行所述操作请求的指令信息发送至所述用户终端。

在本发明实施例所提供的基于生物特征识别的终端管理装置应用上述基于生物特征识别的终端管理方法，根据预存的与登录请求对应的登录信息及设备标识信息验证登录请求，验证通过则反馈对应的登录认证信息，根据操作判断规则对来自该用户终端的操作请求是否为风险操作进行判断，若操作请求为风险操作则采集该用户终端的使用者的生物特征信息，并根据生物特征信息验证该使用者是否为用户终端的合法使用者，若为合法使用者将执行该操作请求的指令信息发送至该用户终端。通过上述方法，可在用户终端的使用者执行风险操作时，判断执行该风险操作的使用者是否为该用户终端的合法使用者，避免因非员工本人执行高风险操作而造成企业数字资产泄漏，提高了企业的用户终端中所存储的数据资产的安全性，在实际应用过程中取得了良好的技术效果。

上述基于生物特征识别的终端管理装置可以实现为计算机程序的形式，该计算机程序可以在如图7所示的计算机设备上运行。

请参阅图7，图7是本发明实施例提供的计算机设备的示意性框图。

参阅图7，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。

该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时，可使得处理器502执行基于生物特征识别的终端管理方法。

该处理器502用于提供计算和控制能力，支撑整个计算机设备500的运行。

该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行基于生物特征识别的终端管理方法。

该网络接口505用于进行网络通信，如提供数据信息的传输等。本领域技术人员可以理解，图7中示出的结构，仅仅是与本发明方案相关的部分结构的框图，并不构成对本发明方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下功能：采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息；获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息；其中，所述设备信息包括所述用户终端的mac地址和设备硬件信息；将所述生物特征信息及所述设备标识信息与所述合法使用者的登录信息进行绑定并存储；若接收到来自任一所述用户终端的登录请求，获取预存的与所述登录请求对应的登录信息及与所述登录信息相绑定的设备标识信息，根据所获取的登录信息及设备标识信息对所述登录请求进行验证以得到是否通过的验证结果；若所述验证结果为通过，根据所述登录请求生成对应的登录认证信息并发送至所述用户终端；若接收到来自所述用户终端的操作请求，根据预置的操作判断规则对所述操作请求是否为风险操作进行判断，所述操作请求包含所述登录认证信息；若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者；若所述使用者为所述用户终端的合法使用者，将执行所述操作请求的指令信息发送至所述用户终端。

在一实施例中，处理器502在执行采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息的步骤时，执行如下操作：根据所述sift特征提取规则从所述生物特征图像中获取每一所述合法使用者的生物图像特征向量；根据所述特征信息生成规则生成与所述生物图像特征向量对应的生物特征信息。

在一实施例中，处理器502在执行获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息的步骤时，执行如下操作：根据所述信息拼接规则对每一所述用户终端的设备信息进行拼接以得到设备拼接信息；根据所述标识信息生成规则生成与所述设备拼接信息对应的设备标识信息。

在一实施例中，处理器502在执行若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者的步骤时，执行如下操作：采集所述用户终端当前使用者的生物特征图像，根据所述生物特征计算模型对当前使用者的所述生物特征图像进行计算以得到对应的待验证特征信息；获取预存的与所述登录信息相绑定的生物特征信息作为目标生物特征信息；对所述待验证特征信息是否与所述目标生物特征信息一致进行判断，以验证所述使用者是否为所述用户终端的合法使用者。

在一实施例中，处理器502在执行获取预存的与所述登录信息相绑定的生物特征信息作为目标生物特征信息的步骤时，执行如下操作：所述生物特征信息包括指纹特征信息、掌纹特征信息、虹膜特征信息或人脸特征信息。

本领域技术人员可以理解，图7中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定，在其他实施例中，计算机设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。例如，在一些实施例中，计算机设备可以仅包括存储器及处理器，在这样的实施例中，存储器及处理器的结构及功能与图7所示实施例一致，在此不再赘述。

应当理解，在本发明实施例中，处理器502可以是中央处理单元(centralprocessingunit，cpu)，该处理器502还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

在本发明的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为非易失性的计算机可读存储介质。该计算机可读存储介质存储有计算机程序，其中计算机程序被处理器执行时实现以下步骤：采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息；获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息；其中，所述设备信息包括所述用户终端的mac地址和设备硬件信息；将所述生物特征信息及所述设备标识信息与所述合法使用者的登录信息进行绑定并存储；若接收到来自任一所述用户终端的登录请求，获取预存的与所述登录请求对应的登录信息及与所述登录信息相绑定的设备标识信息，根据所获取的登录信息及设备标识信息对所述登录请求进行验证以得到是否通过的验证结果；若所述验证结果为通过，根据所述登录请求生成对应的登录认证信息并发送至所述用户终端；若接收到来自所述用户终端的操作请求，根据预置的操作判断规则对所述操作请求是否为风险操作进行判断，所述操作请求包含所述登录认证信息；若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者；若所述使用者为所述用户终端的合法使用者，将执行所述操作请求的指令信息发送至所述用户终端。

在一实施例中，所述采集每一所述用户终端对应的合法使用者的生物特征图像，根据预置的生物特征计算模型对所述生物特征图像进行计算以得到每一所述用户终端的合法使用者的生物特征信息的步骤，包括：根据所述sift特征提取规则从所述生物特征图像中获取每一所述合法使用者的生物图像特征向量；根据所述特征信息生成规则生成与所述生物图像特征向量对应的生物特征信息。

在一实施例中，所述获取每一所述用户终端的设备信息，根据预置的设备标识计算模型对所述设备信息进行计算以得到每一所述用户终端的设备标识信息的步骤，包括：根据所述信息拼接规则对每一所述用户终端的设备信息进行拼接以得到设备拼接信息；根据所述标识信息生成规则生成与所述设备拼接信息对应的设备标识信息。

在一实施例中，所述若所述操作请求为风险操作，采集所述用户终端的使用者的生物特征信息并根据预存的与所述登录信息相绑定的生物特征信息验证所述使用者是否为所述用户终端的合法使用者的步骤，包括：采集所述用户终端当前使用者的生物特征图像，根据所述生物特征计算模型对当前使用者的所述生物特征图像进行计算以得到对应的待验证特征信息；获取预存的与所述登录信息相绑定的生物特征信息作为目标生物特征信息；对所述待验证特征信息是否与所述目标生物特征信息一致进行判断，以验证所述使用者是否为所述用户终端的合法使用者。

在一实施例中，所述获取预存的与所述登录信息相绑定的生物特征信息作为目标生物特征信息的步骤，包括：所述生物特征信息包括指纹特征信息、掌纹特征信息、虹膜特征信息或人脸特征信息。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的设备、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的设备、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为逻辑功能划分，实际实现时可以有另外的划分方式，也可以将具有相同功能的单元集合成一个单元，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个计算机可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。

所述计算机可读存储介质为实体的、非瞬时性的存储介质，所述计算机可读存储介质可以是前述设备的内部存储单元，例如设备的硬盘或内存等实体存储介质。所述存储介质也可以是所述设备的外部存储设备，例如所述设备上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等实体存储介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。