一种身份认证的方法与流程

本发明涉及身份安全认证领域，特别涉及对认证方法的改进。

背景技术：

现有的身份认证系统中，身份认证系统多以服务器为中心，当有身份认证需求时通过向服务器发送身份验证请求来验证用户身份信息，当有多个身份验证请求并发时会对服务器造成一定压力。另外，验证发送的信息为身份标识信息而没有与用户的生物信息关联，如果身份标识信息丢失可能会造成他人冒充的行为。

国家公安部有自己的指纹采集、存储系统，其已经关联了用户身份证号和用户指纹信息，但其是一种封闭的系统无法将生物信息下载到外部进行验证。如果将公众的用户身份验证请求都放在公安系中进行势必对其系统造成很大压力，还存在泄露公众隐私的可能性。

技术实现要素：

为解决上述技术问题本发明提供一种身份认证的方法，包括步骤：在第一身份认证系统预存储身份标识信息和生物信息；用户在第二身份认证系统中录入生物信息和身份标识信息；将第二身份认证系统用户录入的生物信息和身份标识信息与第一身份认证系统的生物信息和身份标识信息进行验证；若所述验证成功则将所述用户录入的身份标识信息和生物信息存储在第二身份认证系统。

优选的，将第二身份认证系统用户录入的生物信息和身份标识信息与第一身份认证系统的生物信息和身份标识信息进行验证进一步包括：所述第二身份认证系统根据用户录入的身份标识信息获取所述第一身份认证系统中预存储的生物信息，第二身份认证系统将用户录入的生物信息与从第一身份认证系统中获取的生物信息进行验证。

优选的，若第二身份认证系统将用户录入的生物信息与第一身份认证系统中生物信息验证失败，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。

优选的，若第二身份认证系统根据用户录入的身份标识信息获取所述第一身份认证系统中预存储的生物信息失败，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。

优选的，将第二身份认证系统用户录入的生物信息和身份标识信息与第一身份认证系统的生物信息和身份标识信息进行验证进一步包括：所述第二身份认证系统根据用户录入的生物信息获取所述第一身份认证系统中预存储的身份标识信息，第二身份认证系统将用户录入的身份标识信息与所述第一身份认证系统预存储的生物标识细信息进行验证。

优选的，若第二身份认证系统将用户录入的身份标识信息与第一身份认证系统中身份标识信息验证失败，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。

优选的，若第二身份认证系统根据用户录入的生物信息获取所述第一身份认证系统中预存储的用户身份标识信息失败，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。

优选的，将第二身份认证系统用户录入的生物信息和身份标识信息与第一身份认证系统的身份标识信息和身份标识信息进行验证进一步包括：所述第二身份认证系统将用户录入的身份标识信息和生物信息发送到第一身份认证系统；所述第一身份认证系统根据所述身份标识信息查找预存储的生物信息，并将第二身份认证系统发送的生物信息与查找到的生物信息进行验证；若未查找到所述生物信息，或所述第一身份认证系统查找到的生物信息与第二身份认证系统发送的生物信息验证失败，则向第二身份认证系统反馈验证失败，否则向第二身份认证系统反馈验证成功。

优选的，将第二身份认证系统用户录入的生物信息和身份标识信息和身份标识信息与第一身份认证系统的身份标识信息和身份标识信息进行验证进一步包括：所述第二身份认证系统将用户录入的身份标识信息和生物信息发送到第一身份认证系统；所述第一身份认证系统根据所述生物信息查找预存储的用户身份标识信息，并将第二身份认证系统发送的用户身份标识信息与查找到的用户身份标识信息进行验证；若未查找到所述用户身份标识信息，或所述第一身份认证系统查找到的用户身份标识与第二身份认证系统发送的身份标识信息验证失败，则向第二身份认证系统反馈验证失败，否则向第二身份认证系统反馈验证成功。

优选的，若所述第二身份认证系统收到第一身份认证系统反馈验证失败的结果，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。

优选的，在所述第二身份认证系统中包括可信的录入终端用于用户进行身份认证时录入用户身份标识信息。

优选的，所述第一身份认证系统预存储的身份标识信息和生物信息是通过可信的终端录入的，并在第一身份认证系统中形成逻辑关联关系；所述第二身份认证系统预存储的身份标识信息和生物信息是通过可信的录入终端录入的，并在第二身份认证系统中形成逻辑关联关系。

优选的，所述生物信息包括但不限于，指纹数据、人脸数据、虹膜数据。

优选的，所述身份标识信息包括但不限于，身份证号码、驾驶证号码和社保编码。

本发明相对现有技术的进步在于，用户在第二身份认证系统录入身份标识信息和生物信息后，会与第一身份认证系统进行一次匹配，若所述匹配成功则第二身份认证系统存储所述用户身份标识信息和生物信息；若同一用户再次进行身份验证时则可直接与第二身份认证系统内存储的身份标识信息和生物信息进行验证，避免了所述有的身份认证请求都被传递到过第一身份认证系统中，从而减小第一身份认证系统的压力。同时第二身份认证系统对所述身份标识信息和生物信息进行关联存储，防止通过身份标识信息进行假冒身份的行为。

附图说明

图1是本发明身份验证方法流程示意图。

图2是本发明身份验证方法原理示意图。

图3是本发明生物信息身份标识信息逻辑关系示意图。

图4a和4b是本发明生物信息和身份标识信息验证方法两种实施方案示意图。

图5是本发明生物信息和身份标识信息存储方法示意图。

图6本发明生物信息和身份标识信息验证方法另一实施方案示意图。

图7是本发明第一身份认证系统和第二身份认证系统示意图。

具体实施方式

参照图1和图2所示的身份认证方法流程示意图，所述身份认证方法包括第一身份认证系统100和第二身份认证系统200；第一身份认证系统100和第二身份认证系统200能够录入、存储、匹配生物信息101和身份标识信息102。所述身份认证方法包括步骤s1在第一身份认证系统100预存储身份标识信息101和生物信息102；s2用户在第二身份认证系统200中录入生物信息101和身份标识信息102；s3将第二身份认证系统用户录入的生物信息201和身份标识信息202与第一身份认证系统的生物信息101和身份标识102信息进行验证；s4若所述验证成功则将所述用户录入的身份标识信息和生物信息存储在第二身份认证系统。上述的步骤s1至s4分别对应图2中步骤s1录入、s2录入、s3验证、s4存储

所述第一身份认证系统100和第二身份认证系统200为能够录入、存储、查询、删除所述生物信息和身份标识信息的信息处理系统。所述第二身份认证系统与第一身份认证系统进行一次身份验证并且验证成功后；第二身份认证系统将用户录入的，身份标识信息和生物信息存储在第二身份认证系统中。当同一用户再次进行身份认证时就不需要将所述认证的过程转移到所述第一身份认证，从而减轻第一身份认证系统的压力。

在第一、第二身份认证系统中，身份标识信息可以为身份证号码id、驾驶证号码和社保编码，生物信息可以为指纹数据、人脸数据、虹膜数据。所述身份标识信息102和生物信息在逻辑上相互关联，以指纹信息为例，用户录入指纹信息后指纹信息以模板101的形式存储在第一身份认证系统中，存储文件可包含指纹模板信息101和用户身份标识信息id，用户身份标识信息可通过表的形式存储在一起。例如用户身份标识信息可以以关系型数据库数据表105的形式存储在数据库中，在该表中用户身份标识信息id为主键字段，其他字段可存储用户其他身份信息例如姓名name，性别gender等。通过这种身份标识信息数据和生物信息数据形成数据关系映射表,即逻辑上与所述用户的生物信息关联。

参照图3所述生物数据模板还可以单独以文件104的形式存储在第一身份认证系统中，在身份标识信息表105中与身份标识信息关联的生物数据模板文件的指针，当需要通过用户的身份识别信息查询所述生物数据模板时，通过所述文件指针pointer访问生物数据模板文件。

在上述步骤s3中将第二身份认证系统200用户录入的生物信息201和身份标识信息202与第一身份认证系统的生物信息101和身份标识信息102进行验证。根据验证的过程执行的位置不同可以将验证的方法分为两种，第一种方法的验证过程在第二身份认证系统200中执行即：通过用户203录入的信息将所述第一身份认证系统100中预存的生物信息101或身份标识信息102传送到第二身份认证系统200中，并在第二身份认证系统200中进行认证。第二种方法的验证正过程在第一身份认证系统100中执行即：第二身份认证系统向第一身份认证系统传送身份标识信息或生物信息，第一身份认证系统100根据所述传送的身份标识信息202或生物信息查询相应的生物信心和身份标识信息并进行验证，将验证结果反馈给所述第二身份认证系统200。

参照图4a所示的第一中验证方法中，所述第二身份认证系统200根据用户录入的身份标识id信息获取所述第一身份认证系统100中预存储的生物信息，需要注意的是，由于没有完成认证的过程用户输入的信息被存储在一临时存储空间中204。获取生物信息的步骤为s31第二身份认证系统200可将用户输入身份标识信息202发送给第一身份认证系统100。s32所述第一身份认证系统100通过身份标识信息202检索生物信息101并发送给第二身份认证系统200，检索过程依据存储数据映射表105。第二身份认证系统200将用户录入的生物信息201与从第一身份认证系统中获取的生物信息101进行验证即步骤s33。所述验证的过程即将第一身份热证系统传输的生物信息与第二身份认证系统的身份信息进行匹配。

参照图5，上述匹配结果作为步骤s4判断是否存储所诉用户标识信息和生物信息存储的依据若匹配成功41，则认为身份认证一致，将所述临时存储区域的用户身份信息存储在第一身份认证系统的存储空间内42，形成数据存储映射表205使得所述生物信息与用户身份信息形成逻辑映射关系(参照图2)。若匹配失败，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息43，从所述临时存储空间204删除。需要注意的是，在步骤32中若第二身份认证系统根据用户录入的身份标识信息获取所述第一身份认证系统中预存储的生物信息失败，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。这是因为用户提供的身份标识信息在第一身份认证系统中不存在，也就不存在与所述身份标识信息关联的生物信息，不能为第二身份认证系统进一步的匹配工作提供生物信息。

在第一种验证方法中，所述第二身份认证系统200还可以根据用户录入的生物信息获取所述第一身份认证系统100中预存储的身份标识信息102。获取生物信息的步骤为s31’第二身份认证系统将用户输入生物信息201发送给第一身份认证系统。s32’所述第一身份认证系统100通过检索生物信息101得到对应的身份标识信息，并发送给第二身份认证系统200。所述第一身份认证系统100通过生物信息检索的过程，即将第二身份认证系统200录入的生物信息201逐一与第一身份认证系统的生物信息101匹配，并通通过数据关系映射表105获取用户身份标识信息id。第二身份认证系统200将用户录入的身份标识信息与从第一身份认证系统中获取的身份标识信息进行验证即步骤s33’。所述身份标识信息验id证即数字或字符的比较过程，例如第二身份认证系统录入的身份证号与第一身份认证系统预存的身份证号相同则认为验证通过。

同样的，若用户录入的身份标识信息id与第一身份认证系统中身份标识信息验证失败，或若第二身份认证系统200根据用户203录入的生物信息201获取所述第一身份认证系统100中预存储的用户身份标识信息102失败，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。

在第二种验证方法中，第二身份认证系统200将用户录入的身份标识202信息和生物信息201同时发送给第一身份认证系统100中，在第一身份认证系统100中执行所述身份标识符202和生物信息201的验证。第一身份认证系统100仅向第二身份认证系统200反馈验证结果，第二身份认证系统200根据验证结果决定是否存储所述用户录入的身份标识信息或生物信息。

参照图6，第二种验证方法中具体步骤包括si31第二身份认证系统将用户录入的身份标识信息和生物信息发送到第一身份认证系统；si32所述第一身份认证系统根据所述身份标识信息查找预存储的生物信息；si33判断是否查找到所述生物信息，若否则执行si37向第二身份认证系统反馈验证失败；若找到所述生物信息，si34将第二身份认证系统发送的生物信息与查找到的生物信息进行验证；si35判断步骤si34是否验证成功，若所述第一身份认证系统查找到的生物信息与第二身份认证系统发送的生物信息验证失败，则执行步骤si37向第二身份认证系统反馈验证失败，否则执行si36向第二身份认证系统反馈验证成功。

根据图6容易想到一种变化形式，将第二身份认证系统200将用户录入的身份标识信息202和生物信息201发送到第一身份认证系统100；第一身份认证系统100根据所述生物信息201查找预存储的用户身份标识信息100，并将第二身份认证系统200发送的用户身份标识信息202与查找到的用户身份标识信息102进行验证；若未查找到所述用户身份标识信息102，或所述第一身份认证系统查找到的用户身份标识信息102与第二身份认证系统发送的身份标识信息202验证失败，则向第二身份认证系统反馈验证失败，否则向第二身份认证系统反馈验证成功。

参照图5，在步骤s4中根据上述第一身份认证系统反馈的验证结果决定是否存储所述身份标识信息和生物信息。若所述第二身份认证系统收到第一身份认证系统反馈验证失败的结果，则丢弃所述第二身份认证系统中录入的生物信息和身份标识信息。

在上述的第一身份认证系统100和第二身份认证系统200中，所述第一身份认证系统预存储的身份标识信息和生物信息是通过可信的终端录(106、206)入的，并在第一身份认证系统中和第二身份认证系统中形成逻辑关联关系。

参照图7所示的发明第一身份认证系统100和第二身份认证系统200，具体应用场景。在该引用场景中，所示第一身份认证系统100为服务器，该服务器能够提供存储验证所述身份标识信息102和生物信息101的功能。所述第二身份认证系统为手持移动设备200。以银行系统为例，用户向移动设备输入卡号id的行为即输入身份标识信息202的行为。银行卡号id在用户开户时已经提前通过银行的授权终端106录入到银行服务器内，该授权机器即为可信的终端106，并储存在数据表105中，该数据表105其他字段还存储用户的其他个人信息。移动设备200获得所述卡号id后指示用户输入指纹即生物信息201.若用户第一次使用该银行卡，柜员机将用户录入的指纹信息发送到服务端进行验证，若验证成功则服务器100向移动设备200反馈验证成功，用户可进行转账、取款等其他操作，同时移动设备200将用户的指纹和所述卡号关联存储在移动设备200内部，例如trustzone207存储区。当用户再次使用同一卡号时即可直接在移动设备200进行验证，而不需要再向服务器100发起验证请求。需要指出的是由于移动设备本身即能够录入指纹，有能够存储指纹，因此其即具备可信的录入终端的功能又有第一身份认证系统的功能。容易想到，如果将所述卡号换成身份证号和指纹信息关联存储在移动设备的内部，即使移动设备丢失也不能仅凭借身份证号进行身份冒充的行为。