用户数字身份的管理方法、装置和服务器与流程

本发明涉及用户数字身份的管理与认证技术领域，尤其是涉及一种用户数字身份的管理方法、装置和服务器。

背景技术：

用户数字身份是用户在互联网应用系统中的各类身份信息的总称。不同的应用系统对用户数字身份信息既有一致的需求，也有着不同的个性化需求。

目前，一些常见的用户数字身份的数据库主要面向用户登录系统的身份认证的应用场景，包含用户的应用账户、口令等认证信息；用户数字身份的数据库中包含的认证信息，只是用户在应用系统的部分应用属性，应用属性不全面且没有扩展其他应用属性的余地。因此，难以满足不同应用系统对用户数据身份的要求。

技术实现要素：

有鉴于此，本发明的目的在于提供一种用户数字身份的管理方法、装置和服务器，以使用户数字身份信息更加丰富、全面，满足不同应用系统服务器对用户数据身份的要求。

第一方面，本发明实施例提供了一种用户数字身份的管理方法，该方法应用于信息管理服务器，该信息管理服务器与应用系统服务器连接，该信息管理服务器中预设有用户数字身份数据库；该用户数字身份数据库包括多个身份属性集；该方法包括：通过应用系统服务器采集用户的身份信息；将采集到的身份信息存入用户数字身份数据库中与身份信息的身份属性相匹配的身份属性集中；该身份属性集包括静态身份属性单元、动态身份属性单元和扩展身份属性单元；当接收到应用系统服务器发送的信息调用请求时，根据用户数字身份数据库存储的信息，对用户的身份进行认证或者身份属性进行核验，将认证或者核验结果返回至应用系统服务器。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，该方法还包括：在信息管理服务器中建立用户数字身份数据库；采用键-值对技术在用户数字身份数据库中建立多个身份属性集。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，该用户的身份信息包括具有静态身份属性的身份信息、具有动态身份属性的身份信息和具有扩展属性的身份信息。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，该具有静态身份属性的身份信息包括法定身份信息、行业应用身份信息、网络空间身份信息和应用身份信息；具有动态身份属性的身份信息包括用户认证行为大数据、人脸图像大数据和生物特征大数据；该具有扩展属性的身份信息包括根据应用需求增加的身份信息。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，上述将采集到的身份信息存入用户数字身份数据库中与该身份信息的身份属性相匹配的身份属性集中的步骤，包括：将具有静态身份属性的身份信息存至用户数字身份数据库的静态身份属性单元；将具有动态身份属性的身份信息存至用户数字身份数据库的动态身份属性单元；将具有扩展属性的身份信息存至用户数字身份数据库的扩展属性单元。

第二方面，本发明实施例还提供一种用户数字身份的管理装置，该装置设置于信息管理服务器，该信息管理服务器与应用系统服务器连接，该信息管理服务器中预设有用户数字身份数据库；该用户数字身份数据库包括多个身份属性集；该装置包括：信息采集模块，用于通过应用系统服务器采集用户的身份信息；信息存储模块，用于将采集到的身份信息存入用户数字身份数据库中与身份信息的身份属性相匹配的身份属性集中；该身份属性单元包括静态身份属性单元、动态身份属性单元和扩展身份属性单元；信息服务模块，当接收到应用系统服务器发送的信息调用请求时，根据用户数字身份数据库存储的信息，对用户的身份进行认证或者身份属性进行核验，将认证或者核验结果返回至应用系统服务器。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，该装置还包括：数据库建立模块，用于在信息管理服务器中建立用户数字身份数据库；属性单元建立模块，用于采用键-值对技术在用户数字身份数据库中建立多个身份属性集。

结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，其中，该用户的身份信息包括具有静态身份属性的身份信息、具有动态身份属性的身份信息和具有扩展属性的身份信息。

结合第二方面，本发明实施例提供了第二方面的第三种可能的实施方式，其中，该信息存储模块，还用于：将具有静态身份属性的身份信息存至用户数字身份数据库的静态身份属性单元；将具有动态身份属性的身份信息存至用户数字身份数据库的动态身份属性单元；将具有扩展属性的身份信息存至用户数字身份数据库的扩展属性单元。

第三方面，本发明实施例还提供一种服务器，该服务器包括处理器和存储器；该存储器用于存储支持处理器执行用户数字身份的管理方法的程序和多个应用系统，该处理器被配置为用于执行存储器中存储的程序。

本发明实施例带来了以下有益效果：

本发明提供了一种用户数字身份的管理方法、装置和服务器，其中，该方法首先通过应用系统服务器采集用户的身份信息；将采集到的身份信息存入用户数字身份数据库中与该身份信息的身份属性相匹配的身份属性集中；该身份属性集包括静态身份属性单元、动态身份属性单元和扩展身份属性单元；当接收到应用系统服务器发送的信息调用请求时，根据用户数字身份数据库存储的信息，对用户的身份进行认证或者身份属性进行核验，返回结果至应用系统服务器。本发明的用户数字身份的管理方法，包含的身份属性信息更加丰富，除静态属性外，还包含用户动态的行为信息和扩展的信息，信息集扩展更加灵活，从而可以满足不同应用系统服务器对用户数据身份的需求。本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。

为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种用户数字身份的管理方法的流程图；

图2为本发明实施例提供的另一种用户数字身份的管理方法的流程图；

图3为本发明实施例提供的用户数字身份数据库表示模型的示意图；

图4为本发明实施例提供的一种用户数字身份的管理装置的结构示意图；

图5为本发明实施例提供的一种服务器的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整的描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

用户数字身份是用户在互联网应用系统中的各类身份信息的总称；不同的应用系统对用户数字身份信息既有一致的需求，也有各种各样的个性化需求。

随着应用系统的增多，一些行业与大型机构提出了在不同应用系统建立统一的用户数字身份管理体系的迫切需求。为此，有必要建立一个可灵活扩展的用户数字身份的数据表示模型，既满足不同应用系统的共同需求，也能满足不同应用系统的个性化需求，同时兼顾后续业务发展的需要。

目前，一些常见的用户数字身份的数据表示模型主要面向用户登录系统的身份认证的应用场景，包含用户的应用账户、口令等认证信息。

但是，以认证信息为主的用户数字身份的数据表示模型存在着很多的应用不足，主要如下：

1.认证信息只是用户在应用系统的部分应用属性，不是用户完整的身份信息；

2.除应用属性外，在互联网应用系统中，用户身份信息还具有多维度的特点，既有法定身份，也有在金融、教育、通信等行业的行业属性信息，这些属性在互联网应用系统中也有着广泛的应用需求，但是前述认证信息中不包含行业属性信息；

3.随着应用需求的变化，没有扩展其他的新的属性的余地；

4.随着大数据技术的应用，用户身份应用的行为数据，是不断增长的动态数据，将成为用户身份数据模型的重要组成。

基于此，本发明实施例提供的一种用户数字身份的管理方法、装置和服务器，可以应用于不同行业与大型机构的互联网应用系统平台的用户数字身份的统一管理、认证与服务。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种用户数字身份的管理方法进行详细介绍。

参见图1所示的一种用户数字身份的管理方法的流程图，该方法应用于信息管理服务器，该信息管理服务器与应用系统服务器连接，该信息管理服务器中预设有用户数字身份数据库；该用户数字身份数据库包括多个身份属性单元；该方法的步骤包括：

步骤s102，通过应用系统服务器采集用户的身份信息；

当用户在应用系统服务器中注册账户时，需要填写用户的身份信息、行业应用信息等；信息管理服务器将从所有的用户系统服务器中获取用户的身份信息或者行业信息，以获得较全面的用户数字身份信息。

采集到的用户的身份信息通常包括初始一次性采集的具有静态身份属性的信息，以及后续持续采集的用户的具有动态身份属性的信息，其中，具有静态身份属性的信息包括法定身份信息、行业身份信息、应用身份信息和网络空间数字身份信息；具有动态身份属性的信息包括用户认证行为大数据、人脸图像大数据和生物特征大数据等。

具体地，法定身份信息包括用户的姓名、身份证件类型、身份证件号码、国籍和民族等信息；行业身份信息包括用户在金融、教育、通信或者社会保障等不同行业的信息，例如：银行账号、电话号码、学籍号、电子社保卡号等；应用身份信息包括用户在不同应用系统(相当于上述应用系统服务器)的信息，例如，应用系统账户名、口令和权限等信息；网络空间数字身份信息包括用户在网络空间的数字证书、统一用户名、电子印章等信息，其中网络空间数字身份信息需要经过第三方可信的认证机构认可才可以采集到。

具体地，用户认证行为大数据的信息包括用户访问不同应用系统时生成的认证日志，以及可扩充的应用系统操作行为日志，例如，业务办理、金融消费、网上订购等；人脸图像大数据的信息包括在用户身份认证过程中，不断采集的用户人脸图像数据，可以是在不同时期采集到的人脸图像数据，可以是在不同的应用系统中采集到的人脸图像数据，也可以是指纹、虹膜、语音和dna等其他生物特征大数据，该生物特征大数据可以采用与人脸图像相似的方法进行采集与管理。

用户的身份信息还可以具有扩展身份属性。该具有扩展身份属性的信息包括根据应用需求不断扩展、增加的身份信息，该信息也可以是应用系统服务器的个性化需求，也可以是不断新增的身份属性，以满足应用对用户数字身份信息不断变化的需求。

步骤s104，将采集到的身份信息存入用户数字身份数据库中与身份信息的身份属性相匹配的身份属性集中；该身份属性集包括静态身份属性单元、动态身份属性单元和扩展身份属性单元；

上述用户数字身份数据库中包括多个身份属性集；也就是用户数字身份数据库中包括静态身份属性单元、动态身份属性单元和扩展身份属性单元；上述多个身份属性集分别存储与其相匹配的身份信息。

具体地，将具有静态身份属性的信息存储到静态身份属性单元；将具有动态身份属性的信息存储到动态身份属性单元；将具有扩展属性的信息存储到扩展身份属性单元。

步骤s106，当接收到应用系统服务器发送的信息调用请求时，根据用户数字身份数据库存储的信息，对用户的身份进行认证或者身份属性进行核验，将认证或者核验结果返回至应用系统服务器。

应用系统服务器在认证用户身份、权限或者其他操作时，需要向信息管理服务器发送信息调用请求，请求认证用户身份，或核验相应的用户数字身份属性信息等；信息管理服务器接收到上述信息调用请求时，根据用户数字身份数据库存储的身份信息，完成身份认证、属性核验等处理，并将处理结果返回至发送调用请求的应用系统服务器中，以使应用系统服务器完成相同的操作。

本发明提供了一种用户数字身份的管理方法，该方法首先通过应用系统服务器采集用户的身份信息；将采集到的身份信息存入用户数字身份数据库中与该身份信息的身份属性相匹配的身份属性集中；该身份属性集包括静态身份属性单元、动态身份属性单元和扩展身份属性单元；当接收到应用系统服务器发送的信息调用请求时，根据用户数字身份数据库存储的信息，对用户的身份进行认证或者身份属性进行核验，返回结果至应用系统服务器。本发明的用户数字身份的管理方法，包含的身份属性信息更加丰富，除静态属性外，还包含用户动态的行为信息和扩展的信息，信息集扩展更加灵活，从而可以满足不同应用系统服务器对用户数据身份的需求。

参见图2所示的另一种用户数字身份的管理方法的流程图，该方法在图1所示的用户数字身份的管理方法的基础上实现，该方法包括如下步骤：

步骤s202，通过应用系统服务器采集用户的身份信息；

上述用户的身份信息包括具有静态身份属性的身份信息、具有动态身份属性的身份信息和具有扩展属性的身份信息。其中，具有静态身份属性的身份信息包括法定身份信息、行业应用身份信息、网络空间身份信息和应用身份信息；具有动态身份属性的身份信息包括用户认证行为大数据、人脸图像大数据和生物特征大数据，其中生物特征大数据通常包括指纹、虹膜、语音和dna等信息；具有扩展属性的身份信息包括根据应用需求增加的身份信息。

步骤s204，将具有静态身份属性的身份信息存至用户数字身份数据库的静态身份属性单元；

步骤s206，将具有动态身份属性的身份信息存至用户数字身份数据库的动态身份属性单元；

步骤s208，将具有扩展属性的身份信息存至用户数字身份数据库的扩展属性单元；

首先需要在信息管理服务器中建立可持续增长的用户数字身份数据库；采用键-值对(key-value)技术在用户数字身份数据库中建立多个身份属性集。该用户数字身份数据库包括静态身份属性单元、动态身份属性单元和扩展属性单元；其中，静态身份属性单元存储的信息通常为法定身份信息、行业身份信息、应用身份信息、网络空间数字身份信息和其他可扩展的具有静态身份属性的信息；动态身份属性单元存储的信息通常为应用行为大数据(相当于上述用户认证行为大数据)、人脸图像大数据和生物特征大数据；扩展属性单元存储的信息通常为具有扩展属性的信息，如图3所示为用户数字身份数据库表示模型的示意图。

图3中用户数字身份基本信息通常是用户的可信数字身份信息的统一入口包括：统一用户身份标识、用户状态、用户信息摘要等；法定身份信息包括用户姓名、身份证件类型、身份证件号、民族、法定身份摘要等，也可采用key-value技术，支持后续新增的法定身份扩展属性；行业身份信息包括：行业身份标识、电子证照等，也可采用key-value技术，支持后续新增的行业身份扩展属性；应用身份信息包括：应用系统账号、口令、权限等，也采用key-value技术，支持后续新增的应用扩展属性；网络空间数字身份信息包括：数字证书、电子印章等信息，同时一个用户可以有多个有效的数字证书、电子印章；用户认证行为大数据包括身份认证日志、可扩展有其他应用行为日志等，例如，业务办理、金融消费、网上订购等；人脸图像大数据包括用户在不同时期、不同系统认证时采集的人脸图像数据；扩展属性(相当于上述扩展属性单元)采用key-value技术，支持除上述身份信息之外的新增的具有扩展属性的信息的存储和发送。

上述key-value技术理论上支持无限扩充用户身份属性，其中，一个用户拓展属性，由基本的type、key、value、serial四组数据元表示，各个数据元代表意见如下：

(1)type：用户属性类型；将用户属性分成不同类型，便于建立层次化数据管理模型，且用户属性类型可以自主定义。

(2)key：用户属性标识；用户特定属性的标识，由用户自主定义增加。

(3)value：用户属性值；用户特定属性的值或部分值。

(4)serial：用户属性值顺序号；同一属性值在一个value中无法存储下时，拆分成多个部分，并使用serial进行标记。在使用时，需按serial从小到大依次拼接成完整的属性。

本发明建立的用户数字身份数据库是一种统一的、可灵活扩展数据模型，既包含用户在互联网环境下多种多样的静态身份属性，也包括不断增长、动态的用户身份应用的行为大数据，可以满足不同应用系统服务器的共性和个性需求。

将采集的到的用户数字身份信息存至用户数字身份数据库的相匹配的身份属性单元中，以便后续对用户数字身份的调用。

步骤s210，当接收到应用系统服务器发送的信息调用请求时，根据用户数字身份数据库存储的信息，对用户的身份进行认证或者身份属性进行核验，将认证或者核验结果返回至应用系统服务器。

本发明实施例提供了一种完整的用户的应用属性，可以满足应用系统服务器的多样化的用户认证场景中，具体地，可支持“用户名+口令”的认证方式；可支持基于数字证书的身份认证，通过证书类型，支持标准的数字证书、不同行业定制的数字证书；可支持基于人脸识别或者生物特征的身份认证；可支持法定身份的认证；可支持基于手机短信、银行账号等不同行业的身份认证。

对应于上述用户数字身份的管理方法的实施例，本实施例还提供了一种用户数字身份的管理装置，如图4所示，该装置设置于信息管理服务器，该信息管理服务器与应用系统服务器连接，该信息管理服务器中预设有用户数字身份数据库；该用户数字身份数据库包括多个身份属性单元；该装置包括：

信息采集模块40，用于通过应用系统服务器采集用户的身份信息；

信息存储模块41，用于将采集到的身份信息存入用户数字身份数据库中与身份信息的身份属性相匹配的身份属性单元中；该身份属性单元包括静态身份属性单元、动态身份属性单元和扩展身份属性单元；

信息服务模块42，当接收到应用系统服务器发送的信息调用请求时，根据用户数字身份数据库存储的信息，对用户的身份进行认证或者身份属性进行核验，将认证或者核验结果返回至应用系统服务器。

进一步地，该装置还包括：数据库建立模块，用于在信息管理服务器中建立用户数字身份数据库；属性单元建立模块，用于采用key-value技术在用户数字身份数据库中建立多个身份属性集。

进一步地，上述用户的身份信息包括具有静态身份属性的身份信息、具有动态身份属性的身份信息和具有扩展属性的身份信息。

进一步地，上述信息存储模块41，还用于：将具有静态身份属性的身份信息存至用户数字身份数据库的静态身份属性单元；将具有动态身份属性的身份信息存至用户数字身份数据库的动态身份属性单元；将具有扩展属性的身份信息存至用户数字身份数据库的扩展属性单元。

本发明实施例提供的一种用户数字身份的管理装置，与上述实施例提供的一种用户数字身份的管理方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本实施例还提供了一种与上述方法实施例相对应的一种服务器，图5所示为一种服务器的结构示意图，该服务器包括存储器100和处理器101，该存储器100用于存储支持处理器101执行用户认证方法的程序，该处理器101被配置为用于执行存储器100中存储的程序。

进一步，图5所示的一种服务器还包括总线102和通信接口103，处理器101、通信接口103和存储器100通过总线102连接。

其中，存储器100可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。总线102可以是isa总线、pci总线或eisa总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

处理器101可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器101可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器100，处理器101读取存储器100中的信息，结合其硬件完成前述实施例的方法的步骤。

本发明实施例所提供的用户认证方法、装置和服务器的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟、光盘、u盘、移动硬盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。