动态标识数字身份的网上身份认证系统的制作方法

本发明涉及数字身份技术领域，具体涉及一种网上身份认证系统。

背景技术：

数字身份覆盖的范围很广，人、物、资产、实体都可以具有数字身份，个人数字身份是个人身份相关信息在计算机应用中的数字化形式，所述计算机应用包括但不限于：网络应用、单机应用、嵌入式应用等；在各种不同的计算机应用系统中，构成用户数字身份的形式和内容可能不尽相同，但无论何种形式内容的用户数字身份都是用户身份在所述计算机应用系统中的存在。用户账户是用户数字身份的入口形式，通过对用户账户的相关操作可以建立、维护和使用相应的用户数字身份，比如：用户注册某个计算机应用的用户账户时需要设置、输入一些信息，所述用户账户注册完成后，就在所诉计算机应用系统中以所述设置、输入的信息为基础构成了确认所述用户身份的数字身份，所述用户可以通过所述用户账户认证所述用户身份并登录使用所述计算机应用，所述用户还可以通过所述用户账户修改所述计算机应用系统中的所述用户身份相关信息并刷新相应的数字身份。

用户、数字身份、用户账户三者之间是相互对应的关系；用户标识是用户在系统中的标识，每个用户标识代表一个用户；数字身份标识是数字身份在系统中的标识，每个用户数字身份标识代表一个用户数字身份，并可以通过所述用户数字身份间接对应到一个用户；用户名/用户账号是用户账户在系统中的标识，每个用户名/用户账号代表一个用户账户，并可以通过所述用户账户间接对应到一个用户。

目前各种网络应用的用户账户通常都有用户名/用户账号和用户密码，用户名/用户账号是必须的、生成后不能修改的，用户名/用户账号的形式很多，如：有的网络应用由用户自己设定用户名/用户账号，有的网络应用由系统自动分配用户名/用户账号，有的网络应用使用用户的电话号码、电子邮件地址等作为用户的用户名/用户账号；用户密码不是必须的、可以修改的，用户密码实质上是一种身份验证方式。

身份验证又称“验证”、“鉴权”，是指通过一定的手段完成对用户身份的确认；身份验证的方法很多，目前各种网络应用的用户账户一般采用由用户自己设置的用户密码作为身份验证方式，但有的也采用其他的身份验证方式，如：短信密码、动态口令、生物识别等。

生物识别是指通过计算机利用人体所固有的生理特征（如：指纹、面相、虹膜等）或行为特征(如：步态、击键习惯等)来进行个人身份鉴定的技术；每个个体都有唯一的可以测量或可识别和验证的生理特征或行为特征，即生物特征。生物识别目前比较普遍的应用方式是作为一种身份验证方式，利用个人某些生理特征作为生物识别项（如：面部识别、指纹识别、虹膜识别等），采集所述生物识别项的生物特征数据，用所述生物特征数据直接或间接作为分析验证数据用于后期身份验证。

网上身份认证系统是一种供用户统一构建和使用数字身份的网络应用；对于所有支持某个网上身份认证系统的其他网络应用，都可以使用所述网上身份认证系统实现对用户的身份认证，用户只需在所述网上身份认证系统中注册用户账户，就可以通过登录所述网上身份认证系统来登录使用所有支持所述网上身份认证系统的其他网络应用。目前比较有影响的网上身份认证系统如“openid”（http://openid.net/）；另外，很多网络平台应用如“微信”、“qq”等也提供网上身份认证系统服务，很多网络应用都可以通过“微信”、“qq”的用户账户登录使用。

目前各种网络应用无论使用本系统自己的用户账户，还是使用网上身份认证系统的用户账户，都存在用户的用户名/用户账号被盗或遗忘丢失的问题；直接使用用户的电话号码、电子邮件地址等个人信息作为用户名/用户账号，还存在个人信息泄露的风险；另外，随着网络应用的增多，盗用用户应用记录信息的问题也越来越严峻。

技术实现要素：

为了解决以上问题，特别是网络应用用户的用户名/用户账号被盗问题，以及用户应用记录信息的安全问题，本发明提供了一种以生物识别为基础的动态标识数字身份的网上身份认证系统，特提出以下技术方案：

第一方面，本发明提供了一种计算机应用中的生物特征数据标识方法，方法包括：

生物特征码：由计算机应用用户一个生物识别项（如：面部识别、指纹识别、虹膜识别等）产生的生物特征数据生成的，代表所述生物特征数据自身的标识。

进一步的，所述生物特征码是一个由生物特征数据单向运算生成的、值唯一的字符串；所述单向运算生成是指：不能由所述生物特征码逆向运算推导出生成所述生物特征码的生物特征数据。

第二方面，本发明提供了一种计算机应用中的数字身份，一个所述数字身份是以计算机应用一个用户的若干生物特征数据的标识（代表一个生物特征数据的字符串）为基础构成的，代表所述用户身份的一个数据集合。

第三方面，本发明提供了一种计算机应用中的与用户相关的标识，所述标识用于计算机应用的程序运行或用户操作，一个所述标识是代表或间接对应所述计算机应用一个用户的字符串；在一个计算机应用中可以存在多类不同用途的所述标识（如：代表一个用户的用户标识、间接对应一个用户的用户数字身份标识等），由代表或间接对应所述计算机应用一个用户的任一类所述标识组成的集合都是一个不断变化的数据集合。

进一步的，一种属于所述标识的用户数字身份标识，一个所述用户数字身份标识只代表一个用户特定时间段的数字身份。

进一步的，一种计算机应用，所述计算机应用的系统中代表或间接对应一个用户的各类标识都属于所述标识。

进一步的，一种网络应用，所述网络应用提供给其他网络应用的代表或间接对应一个用户的各类标识都属于所述标识。

第四方面，本发明提供了一种计算机应用中的数字身份标识方法，方法包括：

分时数字身份：由计算机应用一个用户某个时间段存在于系统中的所有生物特征数据的标识（代表一个生物特征数据的字符串），单独或和非生物特征数据的、所述用户相关的其他数据一同组成的，作为所述用户所述时间段数字身份的一个数据集合；

分时身份标识：由计算机应用一个用户某个时间段的所述分时数字身份生成的，代表所述分时数字身份的数字身份标识；

整体身份标识集：由计算机应用一个用户全部所述分时身份标识组成的，代表所述用户全部时间段数字身份的一个数据集合。

进一步的，所述分时身份标识是一个由所述分时数字身份单向运算生成的、值唯一的字符串；所述单向运算生成是指：不能由所述分时身份标识逆向运算推导出生成所述分时身份标识的所述分时数字身份。

进一步的，所述整体身份标识集是一个不断变化的数据集合；用户在系统中增加或刷新自己生物识别项的生物特征数据，或修改参与构成所述分时数字身份的所述其他数据，所述这些数据的每次变动都会构成一个新的所述分时数字身份和相应生成一个新的所述分时身份标识，因而，由某个用户全部所述分时身份标识组成的集合是一个不断变化的数据集合。

第五方面，本发明提供了一种计算机应用中的用户标识方法，方法包括：

动态用户标识：以计算机应用一个用户当前时间段的数字身份标识为基础生成的，代表所述用户的用户标识。

进一步的，所述动态用户标识是一个由数字身份标识单独或结合其他数据单向运算生成的、值唯一的字符串；所述单向运算生成是指：不能由所述动态用户标识逆向运算推导出生成所述动态用户标识的数字身份标识。

进一步的，根据需要，系统可以随时生成代表某个用户的新的所述动态用户标识，由代表某个用户的所述动态用户标识组成的集合是一个不断变化的数据集合。

第六方面，本发明提供了一种连接其他网络应用的接口方法，当用户通过本发明的网上身份认证系统登录使用其他网络应用时，即所述其他网络应用连接到所述接口方法所在的网络应用时，所述接口方法可以根据需要不断生成一种计算机应用用户标识提供给所述其他网络应用；一个所述用户标识是代表一个用户的字符串，由代表某个用户的所述用户标识组成的集合是一个不断变化的数据集合。

第七方面，本发明提供了一种连接其他网络应用的接口查询方法，当其他网络应用连接到本发明的网上身份认证系统时，即所述其他网络应用连接到所述接口查询方法所在的网络应用时，所述其他网络应用通过所述接口查询方法，可以查询到一种计算机应用用户标识的相关用户信息；一个所述用户标识是所述其他网络应用从所述接口查询方法所在的网络应用接收到的、代表一个用户的字符串，由代表某个用户的所述用户标识组成的集合是一个不断变化的数据集合。

进一步的，通过所述接口查询方法查询到的所述相关用户信息，可以得到所有需要查询的所述用户标识的归属信息，即所有需要查询的所述用户标识中哪些所述用户标识代表同一个用户。

第八方面，本发明提供了一种计算机应用的身份验证方法，方法包括：

混合验证：由若干生物识别项（如：面部识别、指纹识别、虹膜识别等）和若干字符项组合成的，所包含的项不少于两项、且必须包含生物识别项的验证项集合。

进一步的，所述混合验证中的每个项都是有顺序的，所述顺序是预先制定的，使用所述混合验证时，不但需要验证所述混合验证中包含的全部验证项，而且还要验证每个验证项的输入顺序。

第九方面，本发明提供了一种网络应用的用户账户，所述用户账户不存在任何形式的用户名/用户账号；所述用户名/用户账号的形式包括但不限于：用户制定的用户名/用户账号、系统自动分配的用户名/用户账号、电话号码、电子邮件地址、其他代表一个用户账户的字符串等。

第十方面，本发明提供了一种网络应用用户账户的注册方式，以所述注册方式注册用户账户时，不需要任何形式的用户名/用户账号；所述用户名/用户账号的形式包括但不限于：用户制定的用户名/用户账号、系统自动分配的用户名/用户账号、电话号码、电子邮件地址、其他代表一个用户账户的字符串等。

第十一方面，本发明提供了一种网络应用用户账户的登录方式，以所述登录方式登录用户账户时，不需要以任何形式提供用户名/用户账号；所述用户名/用户账号的形式包括但不限于：用户制定的用户名/用户账号、系统自动分配的用户名/用户账号、电话号码、电子邮件地址、其他代表一个用户账户的字符串等。

本发明的网上身份认证系统，在数字身份构成、网络应用接口方法、身份验证方法、用户账户形式、用户使用方式等方面都有所创新，本发明与现有技术相比，具有以下有益效果：

本发明提供的网络应用的用户账户是没有用户名/用户账号的，因此也就不存在用户的用户名/用户账号被盗或被遗忘的问题，从而提高了用户账户的安全；注册、登录使用所述用户账户时，用户无需设置、记忆用户名/用户账号，更不需要使用用户的电话号码、电子邮件地址等个人信息作为用户名/用户账号，使得用户操作更加简便、个人信息更加安全。本发明中代表或间接对应一个用户的标识都是一组不断变化的动态标识；代表用户数字身份的动态标识是单向生成而无法逆向推导的，且每个代表用户数字身份的动态标识只代表某个用户的某个时段的数字身份；提供给其他网络应用的代表用户的动态标识也是单向生成而无法逆向推导的；这些使得用户应用记录数据中的用户相关标识都是动态的，无法直接从用户应用记录数据中获得应用记录的用户归属信息，从而提高了用户应用记录信息的安全。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点将在下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为生成生物特征码的实施例流程示意图；

图2为构成整体身份标识集的实施例流程示意图；

图3为生成动态用户标识的实施例流程示意图；

图4为查询动态用户标识归属信息的实施例流程示意图；

图5为设置混合验证的实施例流程示意图；

图6为使用混合验证的实施例流程示意图；

图7为注册无用户名/用户账号的用户账户的实施例流程示意图；

图8为登录无用户名/用户账号的用户账户的实施例流程示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示意图在附图中示出，其中自始自终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件；框图中所称的“生物特征码”、“分时数字身份”、“分时身份标识”、“整体身份标识集”、“动态用户标识”等词汇和发明内容中阐述的含义一致。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、方式、步骤、操作，但是并不排除存在或添加一个或多个其他特征、方式、步骤、操作。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语（包括技术术语和科学术语），如：生物识别、生物特征、身份验证等，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

本技术领域技术人员可以理解，本发明提到的“散列算法”、“散列值”、“非对称加密算法”、“密钥”以及类似的名称，是业内技术人员所公知的相同概念，而且都是已经广泛使用的成熟算法类型，每类算法都有很多种具体的算法实现，可视需要具体选择，这些选择对本发明没有影响。

本技术领域技术人员应当理解，在下面实施例描述中，本发明所称的“本系统”或“系统”特指使用本发明技术实现的动态标识数字身份的网上身份认证系统，本发明所称的“生物识别项”是一个生物识别（如：指纹识别、面部识别、虹膜识别等）的具体实施项，本发明所称的“输入生物识别项”是所述“生物识别项”的具体实施（如：用指纹识别器采集指纹数据、用摄像头采集面部数据等方式进行生物特征数据采集）。

【实施例1】生成生物特征码的方法，如图1所示，所述方法包括以下步骤。

用户输入生物识别项，所述生物识别项为系统可处理的生物识别项；

系统采集所述生物识别项的生物特征数据；

用散列算法对所述生物特征数据进行运算得出一个散列值，所述散列值为一定长度的、值唯一字符串，散列算法特性决定了无法由所述散列值逆向推导出生成所述散列值的所述生物特征数据，把所述散列值作为代表所述生物特征数据自身的标识；

把所述标识作为所述生物特征数据的生物特征码。

【实施例2】构成整体身份标识集的方法，如图2所示，所述方法包括以下步骤。

201：由一个用户某个时间段存在于系统中的所有生物特征数据的生物特征码，单独或和非生物特征数据的、所述用户相关的其他数据（如：用户昵称、用户头像、个性签名等）一同组成一个作为所述用户所述时间段数字身份的数据集合；

把所述数据集合作为所述用户所述时间段的分时数字身份。

202：用散列算法对所述用户所述时间段的分时数字身份进行运算得出一个散列值，所述散列值为一定长度的、值唯一字符串，散列算法特性决定了无法由所述散列值逆向推导出生成所述散列值的所述分时数字身份，把所述散列值作为代表所述分时数字身份的数字身份标识；

把所述数字身份标识作为代表所述分时数字身份的分时身份标识。

203：由所述用户全部所述分时身份标识组成一个代表所述用户全部时间段数字身份的数据集合；

把所述数据集合作为代表所述用户全部时间段数字身份的整体身份标识集。

【实施例3】生成动态用户标识的方法，如图3所示，所述方法包括以下步骤。

301：由一个用户当前时间段的分时身份标识，单独或结合其他数据通过散列算法得到一个散列值，所述散列值为一定长度的、值唯一字符串，散列算法特性决定了无法由所述散列值逆向推导出生成所述散列值的所述分时身份标识，把所述散列值作为种子数据转换成一个非对称加密算法的私钥；

把所述私钥作为后续生成子密钥的主密钥。

302：所述用户通过本系统登录使用其他网络应用时，本系统会根据需要不断由所述主密钥生成不同的非对称加密算法的子私钥，并通过非对称加密算法的密钥生成算法由所述子私钥生成相应的子公钥，非对称加密算法密钥的生成算法特性决定了无法从所述子公钥推导出相应的所述子私钥；

所述子私钥和所述子公钥形成一个新的子密钥对。

303：由所述子公钥直接作为或生成代表所述用户的用户标识，并把所述用户标识提供给所述其他网络应用；

把所述用户标识作为本系统提供给所述其他网络应用的动态用户标识。

【实施例4】查询动态用户标识归属信息的方法，如图4所示，所述方法包括以下步骤。

401：通过本系统登录使用的其他网络应用，将需要查询的从本系统接收到的动态用户标识发送给本系统。

402：在本系统中查询历史动态用户标识的生成信息，在生成信息中查找到每个所述动态用户标识，再查找出生成每个所述动态用户标识的分时身份标识，再查找到每个所述分时身份标识所属的整体身份标识集。

403：在本系统中把所有需要查询的所述动态用户标识进行归类，将同属一个整体身份标识集的分时身份标识生成的所述动态用户标识归为一类，然后将归类结果信息返回给发起查询的所述其他网络应用。

【实施例5】设置混合验证的方法，如图5所示，所述方法包括以下步骤。

501：按用户设定的顺序输入由所述用户设定的，由若干字符项和至少一个生物识别项组成的不少于两项的一组验证项；所述字符项为任意字符，所述生物识别项为系统可处理的生物识别项。

502：循环验证处理所述一组验证项中每个生物识别项：

验证一个生物识别项，判断所述生物识别项相应的生物特征数据是否存在于系统中；

经验证，如果所述生物识别项相应的生物特征数据存在于系统中，则匹配出所述生物特征数据的生物特征码；

经验证，如果所述生物识别项相应的生物特征数据不存在于系统中，则保存所述生物识别项产生的生物特征数据和所述生物特征数据生成的生物特征码；

所述生物识别项验证处理结束后，判断是否还有生物识别项需要验证处理；

经判断，如果还有生物识别项需要验证处理，则验证处理下一个生物识别项；

经判断，如果没有生物识别项需要验证处理，则进行所述方法的下一个处理阶段。

503：在系统中将输入的字符项的字符和生物识别项相应的生物特征码按输入顺序组成数据集合，用散列算法对所述数据集合进行运算得出散列值并保存。

【实施例6】使用混合验证的方法，如图6所示，所述方法包括以下步骤。

601：按用户设定的顺序输入由所述用户设定的，由若干字符项和若干生物识别项组成的一组验证项。

602：循环验证处理所述一组验证项中每个生物识别项：

验证一个生物识别项，判断所述生物识别项相应的生物特征数据是否存在于系统中；

经验证，如果所述生物识别项相应的生物特征数据存在于系统中，则匹配出所述生物特征数据的生物特征码；

经验证，如果所述生物识别项相应的生物特征数据不存在于系统中，则所述混合验证验证失败；

所述生物识别项验证处理结束后，判断是否还有生物识别项需要验证处理；

经判断，如果还有生物识别项需要验证处理，则验证处理下一个生物识别项；

经判断，如果没有生物识别项需要验证处理，则进行所述方法的下一个处理阶段。

603：在系统中将输入的字符项的字符和生物识别项相应的生物特征码按输入顺序组成数据集合，用散列算法对所述数据集合进行运算得出散列值，将所述散列值和设置混合验证时保存在系统中的散列值进行比较，判断所述两个散列值是否相等；

经比较，如果所述两个散列值不相等，则所述混合验证验证失败；

经比较，如果所述两个散列值相等，则所述混合验证验证成功。

【实施例7】注册无用户名/用户账号的用户账户的方法，如图7所示，所述方法包括以下步骤。

701：输入一个用户的一个或多个身份验证，所述身份验证的方式包括：生物识别、混合验证、密码，所述一个或多个身份验证中必须包含生物识别或混合验证。

702：循环处理所述一个或多个身份验证中的每个身份验证；

处理一个身份验证，判断所述身份验证的身份验证方式是否是生物识别；

经判断，如果所述身份验证的身份验证方式是生物识别，则保存所述生物识别的生物识别项产生的生物特征数据和所述生物特征数据生成的生物特征码；

以所述生物识别项产生的生物特征数据生成的生物特征码为基础构成所述用户数字身份，所述构成所述用户数字身份包括：构成所述用户当前时段的分时数字身份、生成所述分时数字身份的分时身份标识、组成所述用户整体身份标识集；

经判断，如果所述身份验证的身份验证方式不是生物识别，则继续判断所述身份验证方式是否是混合验证；

经判断，如果所述身份验证的身份验证方式是混合验证，则保存所述混合验证中所有生物识别项产生的生物特征数据和所述生物特征数据生成的生物特征码；

生成并保存所述混合验证的散列值；

以所述所有生物识别项产生的生物特征数据生成的生物特征码为基础构成所述用户数字身份，所述构成所述用户数字身份包括：构成所述用户当前时段的分时数字身份、生成所述分时数字身份的分时身份标识、组成所述用户整体身份标识集；

经判断，如果所述身份验证的身份验证方式不是混合验证，则继续判断所述身份验证方式是否是密码；

经判断，如果所述身份验证的身份验证方式是密码，则保存密码；

所述身份验证处理结束后，判断是否还有身份验证需要处理；

经判断，如果还有身份验证需要处理，则处理下一个身份验证；

经判断，如果没有身份验证需要处理，则所述用户账户注册完成。

【实施例8】登录无用户名/用户账号的用户账户的方法，如图8所示，所述方法包括以下步骤。

801：输入一个用户的一个或多个身份验证，所述身份验证的方式包括：生物识别、混合验证、密码，所述一个或多个身份验证中必须包含生物识别或混合验证。

802：循环验证所述一个或多个身份验证中的每个身份验证；

验证一个身份验证，判断所述身份验证的身份验证方式是否是生物识别；

经判断，如果所述身份验证的身份验证方式是生物识别，则用生物识别对所述身份验证进行验证；

经验证，如果所述身份验证验证失败，则所述用户账户登录失败；

经验证，如果所述身份验证验证成功，则进行所述方法的下一个处理阶段；

经判断，如果所述身份验证的身份验证方式不是生物识别，则继续判断所述身份验证方式是否是混合验证；

经判断，如果所述身份验证的身份验证方式是混合验证，则用混合验证对所述身份验证进行验证；

经验证，如果所述身份验证验证失败，则所述用户账户登录失败；

经验证，如果所述身份验证验证成功，则进行所述方法的下一个处理阶段；

经判断，如果所述身份验证的身份验证方式不是混合验证，则继续判断所述身份验证方式是否是密码；

经判断，如果所述身份验证的身份验证方式是密码，则用密码对所述身份验证进行验证；

经验证，如果所述身份验证验证失败，则所述用户账户登录失败；

经验证，如果所述身份验证验证成功，则进行所述方法的下一个处理阶段；

所述身份验证验证结束后，判断是否还有身份验证需要验证；

经判断，如果还有身份验证需要验证，则验证下一个身份验证；

经判断，如果没有身份验证需要验证，则所述用户账户登录成功。