生物特征分布式身份认证的注册登录系统及方法与流程
本发明涉及生物特征信息处理领域,具体的说是涉及一种用生物特征基于互联网进行分布式身份认证的注册登录系统及通过该系统实现用生物特征基于互联网进行分布式身份认证的注册登录的方法。
背景技术:
众所周知,用户在访问一个特权系统的登录过程中,需要用户输入账户名称和密码,如果其中一项输入有误,系统将禁止该用户登录。而新用户在首次访问特权系统的登录过程中,需先注册,录入个人资料,并在特权系统中驻留个人资料及账号等信息。上述的特权系统,广义上是指网络、文件服务器、数据存储模块、Web服务器或某个其它系统,它与开放系统的区别在于,它具有未注册的用户登录需先注册、已注册的用户登录需先身份认证的访问控制。已有的具有多用户及访问控制和注册登录的需求的特权系统,如第三方支付平台系统、网上银行互联平台系统等,它的计算机系统包括服务器和终端设备(如手机、PC机等)。上述的账户名称,是由特权系统产生的字符串(如通常所述的账号),特权系统用它识别已在本系统注册的用户。上述的个人资料,是在注册时输入的用户个人信息,其中包括密码等。用户必须凭此账户才能登录到特权系统的服务器,并访问该服务器内的本账户下的资源。注册登录是在终端设备上进行的,而注册登录的过程是由特权系统的注册登录系统控制和管理的。上述的访问控制包括身份认证的过程,即在登录过程中需要进行用户身份识别,并在识别的基础上对资源访问的请求加以控制,该控制以指令的方式控制服务器执行数据包上传/下发的许可/禁止。传统的用密码等字符串进行身份认证的技术,简称字符串认证,目前还在普遍使用,然而,这种传统的技术面临严峻挑战,焦点集中在其安全性与便捷性。其安全性缺陷主要在于:私密性差,密码易丢失、易被窃、易泄露、易破解;不能识别登录者(终端设备上的操作者)的真实身份,即:实际认证效果只是识别密码是否匹配,而不能识别登录者是否是用户本人;无法抵御因账户和个人资料信息被窃而导致的安全风险。其便捷性缺陷主要在于:密码的操作与保存比较麻烦,特别对于老年用户,经常发生如遗忘密码、密码输入操作困难的尴尬情况,由于操作繁琐和担心泄密等因素,用户无法轻松快捷地输入密码,甚至会给用户造成心理紧张和压力。
新兴的用指纹、人脸、虹膜、掌纹、声音等生物特征进行身份认证(简称生物特征认证)的技术目前发展迅猛,它能有效克服字符串身份认证的诸多缺陷,具有安全性好,使用方便,能识别登录者的真实身份,能规避密码技术存在的安全风险隐患。然而,这种新兴的技术也面临发展的瓶颈,原因在于,生物特征的样本信息的数据包(简称特征数据)很大,现有的认证方法,是将特征数据如同传统的密码一样储存在特权系统的服务器中(由此将这种认证定义为集中式认证),由于其账户、密码、样本数据、身份证号等个人资料都集中储存在服务器中,因此服务器中的个人资料一旦被恶意泄露、窃取和利用,则可以引发可怕的事故,甚至引发灾难性的安全案件,这种案例已有报导,而对这种安全风险的补救,目前尚一筹莫展。此外,由于现有的字符串认证和生物特征认证的技术,都采用集中式认证的方法,于是还引发以下一系列问题:第一,服务器需要配置庞大的储存空间,以能储存海量的特征数据;第二,服务器需要配置超快的CPU和超大的缓存空间,才能满足系统正常运行所需的并发数要求;第三,服务器端和用户终端必须配置足够大的网络带宽,才能确保认证运行的速度,由于如手机等移动终端的带宽十分有限,因此集中式认证的带宽要求会导致大量的用户终端不能快捷运行生物特征认证的问题;第四,特征数据必须通过网络交互,网络的波动和不稳定因素,对于认证的可靠性和成功率的影响比较敏感。由于上述问题,导致服务器、网络等设备必须特殊专门配置,从而使得设备的投入、运行、维护及使用的成本高昂,资源浪费严重,应用受到制约。
技术实现要素:
本发明的目的在于克服现有字符串认证的安全性、便捷性差的缺陷和攻克现有生物特征集中式认证发展的瓶颈,提供一种包括访问控制子系统11和注册登录子系统21的生物特征分布式身份认证的注册登录系统及通过该系统用生物特征进行分布式身份认证的方法,不仅可消灭密码、避免在登录时输入账号,而且还可实现用生物特征基于互联网进行分布式身份认证,安装与运行操作便捷,并具有私密性、安全性、可靠性、经济性好,运行速度快,网络带宽要求低的有益效果。
为实现上述目的,本发明采用了如下技术方案:
一种生物特征分布式身份认证的注册登录系统,包括分别与互联网3连接的服务器端1和多个用户终端2,其特征在于:该系统还包括安装在服务器端1上的适用于分布式身份认证的访问控制子系统11,以及安装在各用户终端2上的适用于用生物特征进行分布式身份认证的注册登录子系统21,用户在用户终端2上访问服务器端1;所述的注册登录子系统21将采集的用户的生物特征分散存储在各用户终端2上,使所述的身份认证根据其转换的生物特征数据在各用户终端2上完成,所述的用户的生物特征数据始终无需在用户终端2与服务器端1之间传输;所述的注册登录子系统21通过互联网3与服务器端1数据链接,并且它与所述的访问控制子系统11一起,共同创建与用户的生物特征对应绑定的用户标识,所述的用户标识分别存储在用户终端2内和服务器端1内。这里所述的共同创建为,所述的用户标识是由服务器端1的访问控制子系统11生成并下发给用户终端2,或者,所述的用户标识是由用户终端2的注册登录子系统21生成并上传给服务器端1。所述的注册登录子系统21能向服务器端1上传注册任务或登录任务等任务请求,并依据身份认证的结果控制所述的任务是否上传;所述的访问控制子系统11依据所述的绑定的用户标识配置用户账号,并将用户账号存储在服务器端1内;所述的访问控制子系统11根据对该用户标识识别的结果和所述的任务请求来控制用户终端2对服务器端1的访问;所述的用户标识的数据结构被配置为,用户标识的数据包长度与生物特征的数据包长度无关,并且用户标识的数据包长度远远小于生物特征的数据包长度。可选地,在根据本发明的生物特征分布式身份认证的注册登录系统中,所述的访问控制子系统11包括访问控制单元111和标识处理单元112,所述的标识处理单元112包括标识处理模块IPM、账户处理模块APM和标识账户存储模块IADB;所述的访问控制单元111用于控制访问控制子系统11与互联网3之间的数据流SD的输入/输出,并根据标识处理单元112的识别结果发送许可/禁止用户终端2访问服务器端1的信号,以及向用户终端2反馈识别和/或执行的结果信息;所述的标识处理单元112用于配合新的用户终端2给新的生物特征构建新的用户标识,给请求注册的用户标识匹配新的用户账号,并将新注册的用户标识和用户账号就地储存;或者对请求登录的用户标识和用户账号进行识别,并将识别结果上传给访问控制子系统11,根据识别结果向访问控制单元111发出许可/禁止该用户终端2访问服务器端1的信号;所述的注册登录子系统21包括终端操作单元211和分布式单元212,所述的分布式单元212包括交互接口模块SDK、特征处理模块BCPM、认证处理模块CPM和特征标识存储模块BCIDB;所述的终端操作单元211用于控制注册登录子系统21与互联网3之间的数据流SD的输入/输出,提供登录注册操作所需的人机交互界面,执行在用户终端2上操作的基本登录注册任务;所述的分布式单元212用于采集生物特征并将生物特征转换为特征数据,并在运行“新账户注册”的过程中配合标识处理单元112给新的特征数据构建新的用户标识,并将该新的特征数据和新的用户标识就地储存,同时向终端操作单元211发送注册请求和/或用户标识,而在运行“分布式登录”的过程对生物特征进行认证,在认证成功时向终端操作单元211发送登录请求和用户标识,或在认证失败时自动终止“分布式登录”的运行;所述的数据流SD的传输结构被配置为,数据流SD中不含有生物特征的数据,但含有用户标识的数据。
可选地,在根据本发明的生物特征分布式身份认证的注册登录系统中,所述的服务器端1的访问控制单元111与互联网3链接,并且访问控制单元111与标识处理单元112链接,所述的标识处理单元112内的标识处理模块IPM、账户处理模块APM、标识账户存储模块IADB之间相互链接;所述的标识处理模块IPM在运行“新账户注册”的过程中构建新的用户标识,该构建包括,由标识处理模块IPM生成用户标识或接受由注册登录子系统21上传的用户标识,以及将新的用户标识发送给账户处理模块APM和/或标识账户存储模块IADB,和/或将新的用户标识发送给访问控制单元111;所述的标识处理模块IPM在运行“分布式登录”的过程中采用访问标识账户存储模块IADB中是否存在相同的用户标识的方式对当前的用户标识进行识别,并将识别的结果发送给账户处理模块APM和/或访问控制单元111;所述的账户处理模块APM在运行“新账户注册”的过程中采用生成新的用户账号的方式给用户标识匹配新的账户信息,并将新的用户账号发送给标识处理模块IPM和/或标识账户存储模块IADB,和/或将新的用户账号发送给访问控制单元111;所述的账户处理模块APM在运行“分布式登录”的过程中采用访问标识账户存储模块IADB中是否存在与用户终端2上传过来的相同的用户账号的方式进行账户信息的识别,并将识别的结果发送给标识处理模块IPM和/或访问控制单元111;所述的标识账户存储模块IADB采用同一个用户标识下可记录多个用户账号的结构就地储存用户标识和用户账号,以使用户标识和用户账号驻留在服务器端1内。
可选地,在根据本发明的生物特征分布式身份认证的注册登录系统中,所述的交互接口模块SDK控制分布式单元212与终端操作单元211之间的数据链接;所述的用户终端2的终端操作单元211与互联网3链接,并且终端操作单元211与分布式单元212的交互接口模块SDK链接,所述的分布式单元212内的交互接口模块SDK、特征处理模块BCPM、认证处理模块CPM、特征标识存储模块BCIDB之间相互链接;所述的特征处理模块BCPM还与用户终端2上的特征采集装置链接,并接收依据所述的特征采集装置采集到的生物特征转换的生物特征数据;认证处理模块CPM在运行“新账户注册”的过程中,配合标识处理单元112给新的特征数据构建新的用户标识,该构建包括,由认证处理模块CPM生成用户标识或接受由访问控制子系统11下发的用户标识,以及将该新的特征数据和新的用户标识储存到所述的特征标识存储模块BCIDB内,同时向终端操作单元211上传注册请求和/或用户标识;认证处理模块CPM在运行“分布式登录”的过程中,采用访问特征标识存储模块BCIDB中是否存在与当前的特征数据相匹配的特征数据方式,对新输入的生物特征进行认证,并在认证成功时向终端操作单元211上传登录请求和用户标识,或在认证失败时自动终止“分布式登录”的运行;所述的特征标识存储模块BCIDB采用同一个生物特征的数据只能对应一个用户标识的结构就地储存特征数据和用户标识,以使生物特征的数据和用户标识都驻留在用户终端2内。
进一步地,在所述的生物特征分布式身份认证的注册登录系统中,所述的用户终端2上的特征采集装置为机载的图像采集装置、声波采集装置或电容传感器中的一种。
可选地,在根据本发明的生物特征分布式身份认证的注册登录系统中,所述的注册登录子系统21采用集成式安装结构,所述的注册登录子系统21由含有交互接口模块SDK、特征处理模块BCPM、认证处理模块CPM和特征标识存储模块BCIDB的分布式单元212与终端操作单元211相互嵌入形成整体。
可选地,在根据本发明的生物特征分布式身份认证的注册登录系统中,所述的注册登录子系统21采用分立式安装结构,分布式单元212的交互接口模块SDK嵌入终端操作单元211,形成注册登录子系统21的主体单元21S,分布式单元212中的包含特征处理模块BCPM、认证处理模块CPM和特征标识存储模块BCIDB在内的其它模块的组合形成注册登录子系统21的分体单元21F。
可选地,在根据本发明的生物特征分布式身份认证的注册登录系统中,所述的注册登录子系统21中设置有任务选择钮213,用它选择生物特征分布式身份认证的注册登录系统的运行任务;所述的任务选择钮213至少包括“新账户注册”钮NAL、“分布式登录”钮DLR和“退出”钮ESC。
进一步地,在所述的生物特征分布式身份认证的注册登录系统中,所述的注册登录子系统21的任务选择钮213还包括“用户标识更新”钮UIU和/或“生物特征测试”钮BCT。
可选地,在根据本发明的生物特征分布式身份认证的注册登录系统中,所述的用户标识的构建应满足一个用户标识唯一对应一个自然人的一组生物特征的条件,该组生物特征包括一个自然人的不同身体部位的生物特征,也可以包括一个自然人同一身体部位在不同场合不同时间采集的生物特征,但用户标识的数据内容与生物特征的数据内容可不相关。进一步地,在所述的生物特征分布式身份认证的注册登录系统中,还包括多个业务终端4,各业务终端4分别通过互联网3和/或局域网5与服务器端1链接。
进一步地,在所述的生物特征分布式身份认证的注册登录系统中,所述的分布式单元212还包括还包括第二加密模块IEM,所述的标识处理单元112还包括第一加密模块IDM;第一加密模块IDM与第二加密模块IEM配合,并通过该配合将所述的用户标识和/或用户账号进行加密/解密处理,以使在互联网(3)中传输的数据流SD中的用户标识和/或用户账号的数据为密文。本发明在实际应用中还有如下进一步的改进技术方案。
一种通过前述任一项所述的注册登录系统用生物特征进行分布式身份认证的注册登录的方法,其特征在于:该方法包括系统安装流程和系统运行流程,所述的系统安装流程包括以下步骤:
A、将注册登录子系统21分别安装到每一个用户终端2内;
B、将访问控制子系统11嵌入安装到服务器端1内。
所述的系统运行流程包括独立运行的新账户注册运行流程和分布式登录运行流程,所述的新账户注册运行流程用于未注册的用户从系统的用户终端2上进入用生物特征进行分布式认证的操作,它包括以下步骤:
Z1、在用户终端2上打开注册登录子系统21;
Z2、注册登录子系统21自动链接到任务选择钮213;
Z3、从任务选择钮213选择“新账户注册”任务;
Z4、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
Z5、构建“用户标识”、分布式储存生物特征、配置新的账号。
所述的分布式登录流程用于已注册的用户从系统的用户终端2上进入用生物特征进行分布式认证的登录操作,它包括以下步骤:
D1、在用户终端2上打开注册登录子系统21;
D2、注册登录子系统21自动链接到任务选择钮213;
D3、从任务选择钮213选择“分布式登录”任务;
D4、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
D5、用户终端2进行分布式“生物特征”认证,并
在“生物特征”认证成功的条件下登录到服务器端1。
可选地,在根据本发明的分布式身份认证的注册登录的方法中,所述的分布式登录流程中的步骤D5包括以下具体步骤:
D105、用户终端2的注册登录子系统21就地认证当前的“生物特征”与保存在存储模块中的“生物特征”是否相匹配,如果是则进入步骤D106,如果否则转到步骤D113;
D106、用户终端2将保存在存储模块中的“用户标识”和“登录请求”上传给服务器端1;
D107、服务器端1的访问控制子系统11判断本地存储模块中是否存在与该“用户标识”相匹配的记录,如果是则进入步骤D108,如果否则转到步骤D115;
D108、访问控制子系统11判断该“用户标识”下是否存在多个“账号”,如果是则进入步骤D109,如果否则转到步骤D112;
D109、访问控制子系统11向用户终端2下发“请输入账号”的指令;
D110、用户终端2向服务器端1上传“账号”;
D111、服务器端1的访问控制子系统11判断本地存储模块中是否有该“账号”,如果是则进入步骤D112,如果否则转到步骤D109;
D112、访问控制子系统11向服务器端1发送允许访问该账号的指令,用户可在用户终端2上实施该“账号”下的访问操作,操作完成后转到步骤D2;
D113、用户终端2的注册登录子系统21显示“认证失败”;
D114、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤D4,如果选择否则转到步骤D2;
D115、服务器端1向用户终端2下发“禁止访问”的指令;
D116、用户终端2显示“登录失败”,然后转到步骤D2。
进一步可选地,在所述的分布式身份认证的注册登录的方法中,所述的系统安装流程中步骤A包括以下具体步骤:
A1、在用户终端2上安装注册登录子系统21;
A2、判断分布式单元212是集成的还是分立的,若是集成的则转步骤A5,若是分立则进入步骤A3;
A3、系统提示“安装分体单元”;
A4、安装分体单元21F;
A5、链接到任务选择钮213。
进一步可选地,在根据本发明的分布式身份认证的注册登录的方法中,所述的新账户注册运行流程中的步骤Z5包括以下具体步骤:
Z105、由用户终端2自动生成与“生物特征”唯一对应的“用户标识”;
Z106、用户终端2就地储存唯一的“生物特征”和“用户标识”;
Z107、用户终端2将“用户标识”和“注册请求”上传给服务器端1;
Z108、服务器端1的访问控制子系统11生成新的“账号”;
Z109、访问控制子系统11判断是否已存在与“用户标识”相匹配的账户,如果是则进入步骤Z110,如果否则转到步骤Z111;
Z110、访问控制子系统11在已有的“用户标识”下添加新的“账号”,然后转到步骤Z112;
Z111、服务器端1就地储存新的“用户标识”和新的“账号”,然后转到步骤Z112;
Z112、服务器端1将新的“账号”下发给用户终端2;
Z113、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2。
另一种可选地,在根据本发明的分布式身份认证的注册登录的方法中,所述的新账户注册运行流程中的步骤Z5包括以下具体步骤:
Z205、由用户终端2就地储存新“生物特征”,并向服务器端1上传“新用户注册”的请求;
Z206、服务器端1生成唯一的新“用户标识”和与该“用户标识”唯一对应的新“账号”;
Z207、服务器端1就地储存新“用户标识”和新“账号”,并将新“用户标识”和新“账号”下发给用户终端2;
Z208、用户终端2将新“用户标识”就地储存在新“生物特征”下;
Z209、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2。
还可选地,在根据本发明的分布式身份认证的注册登录的方法中,所述的新账户注册运行流程中的步骤Z5包括以下具体步骤:
Z305、用户终端2自动生成与“生物特征”唯一对应的“用户标识”;
Z306、用户终端2就地储存对应的“生物特征”和“用户标识”;
Z307、注册登录子系统21将“用户标识”加密生成“用户标识密文”;
Z308、用户终端2将“用户标识密文”和“注册请求”上传给服务器端1;
Z309、服务器端1将“用户标识密文”解密成“用户标识”;
Z310、服务器端1的访问控制子系统11生成新的“账号”;
Z311、访问控制子系统11判断是否已存在与“用户标识”相匹配的账户,如果是则转到步骤Z312,如果否则转到步骤Z313;
Z312、访问控制子系统11在已有的“用户标识”下添加新的“账号”,然后转到步骤Z314;
Z313、服务器端1就地储存新的“用户标识”和新的“账号”,然后进入步骤Z314或进入用户账号加密步骤;
所述的用户账号加密步骤为,先由服务器端(1)将新的“账号”加密生成“账号密文”,然后由服务器端(1)将“账号密文”下发给用户终端(2),再由用户终端(2)将“账号密文”解密成“账号”,然后进入步骤Z315;
Z314、服务器端1将新的“账号”下发给用户终端2;
Z315、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2。
再一种可选地,在根据本发明的分布式身份认证的注册登录的方法中,所述的新账户注册运行流程中的步骤Z5包括以下具体步骤:
Z405、用户选择是注册新用户还是添加新账号,如果是添加新账号则转到步骤Z406,如果是注册新用户则转到步骤Z412;
Z406、用户终端2的注册登录子系统21就地认证当前的“生物特征”与库存的“生物特征”是否相匹配,如果是则转到步骤Z407,如果否则转到步骤Z416;
Z407、用户终端2将库存的“用户标识”和“添加新账号请求”上传给服务器端1;
Z408、服务器端1的访问控制子系统11判断本地库中是否存在与该“用户标识”相匹配的记录,如果是则转到步骤Z09,如果否则转到步骤Z418;
Z409、服务器端1生成新“账号”,并将新“账号”添加到该“用户标识”下;
Z410、服务器端1将新“账号”下发给用户终端2,然后转到步骤Z411;
Z411、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2;
Z412、用户终端2就地储存新“生物特征”,并向服务器端1上传“新用户注册”的请求;
Z413、服务器端1生成对应的新“用户标识”和与该“用户标识”对应的新“账号”;
Z414、服务器端1就地储存新“用户标识”和新“账号”,并将新“用户标识”和新“账号”下发给用户终端2;
Z415、用户终端2就地储存新“生物特征”和新“用户标识”,然后转到步骤Z411;
Z416、用户终端2的注册登录子系统21显示“认证失败”;
Z417、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤Z4,如果选择否则转到步骤Z418;
Z418、用户终端2的注册登录子系统21显示“添加新账号失败”,然后转到步骤Z2。
进一步可选地,在根据本发明的分布式身份认证的注册登录的方法中,该方法中所述的系统运行流程还包括用于对运行流程进行运行测试的生物特征测试流程和/或用于使已注册的用户在系统的用户终端2上进行“用户标识”更新的用户标识更新流程。
更进一步可选地,在所述的分布式身份认证的注册登录的方法中,所述的生物特征测试流程包括以下步骤:
C101、在用户终端2上打开注册登录子系统21;
C102、注册登录子系统21自动链接到任务选择钮213;
C103、从任务选择钮213选择“生物特征测试”任务;
C104、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
C105、用户终端2的注册登录子系统21就地判断当前的“生物特征”与存储模块存的“生物特征”是否相匹配,如果是则进入步骤C106,如果否则转到步骤C110;
C106、用户终端2将存储模块存的“用户标识”和“测试请求”上传给服务器端1;
C107、服务器端1的访问控制子系统11判断本地存储模块中是否存在与该“用户标识”相匹配的记录,如果是则进入步骤C108,如果否则转到步骤C112;
C108、服务器端1向用户终端2下发“测试成功”;
C109、用户终端2显示“测试成功”,然后转到步骤C102;
C110、用户终端2的注册登录子系统21显示“认证失败”;
C111、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤C104,如果选择否则转到步骤C102;
C112、服务器端1向用户终端2下发“测试失败”的提示;
C113、用户终端2显示“测试失败”,然后转到步骤C102。
更进一步可选地,在所述的分布式身份认证的注册登录的方法中,所述的用户标识更新流程包括以下步骤:
G101、在用户终端2上打开注册登录子系统21;
G102、注册登录子系统21自动链接到任务选择钮213;
G103、从任务选择钮213选择“用户标识更新”任务;
G104、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
G105、用户终端2的注册登录子系统21就地判断当前的生物特征”与存储模块存的“生物特征”是否相匹配,如果是则进入步骤G106,如果否则转到步骤G113;
G106、用户终端2将存储模块存的“用户标识”和“更新请求”上传给服务器端1;
G107、服务器端1的访问控制子系统11判断本地存储模块中是否存在与该“用户标识”相匹配的记录,如果是则进入步骤G108,如果否则转到步骤G115;
G108、服务器端1自动生成唯一的新的“用户标识”;
G109、服务器端1的访问控制子系统11将本地存储模块存的旧的“用户标识”替换为新的“用户标识”:
G110、服务器端1将新的“用户标识”下发给用户终端2;
G111、用户终端2将旧的“用户标识”替换为新的“用户标识”;
G112、用户终端2显示“更新成功”,然后转到步骤G102;
G113、用户终端2的注册登录子系统21显示“认证失败”;
G114、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤G104,如果选择否则转到步骤G102;
G115、服务器端1向用户终端2下发“不存在更新对象”的提示;
G116、用户终端2显示“不存在更新对象”的失败提示,然后转到步骤G102。
本发明所述的生物特征分布式身份认证,就是指用生物特征进行分布式身份认证,和现有技术相比,本发明提出的注册登录系统方案和方法主要具备如下的优点:
(1)它采用生物特征认证的新技术取代现有的字符串认证的传统技术,同时还采用分布式认证的新技术取代现有的集中式认证的常规技术,由此形成一种全新的包含两个子系统11、21的用生物特征进行分布式身份认证的注册登录系统,其中的访问控制子系统11采用访问控制单元111和含有标识处理模块IPM、账户处理模块APM和标识账户存储模块IADB的标识处理单元112,而注册登录子系统21采用终端操作单元211和含有交互接口模块SDK、特征处理模块BCPM、认证处理模块CPM和特征标识存储模块BCIDB的分布式单元212;
(2)它不仅能有效继承生物特征认证新技术的优点,而且还能有效克服集中式认证的缺陷,有效克服了现有的字符串认证和集中式生物特征认证的各种缺陷;
(3)此外,还同时解决了专用系统与不同的特权系统之间的通用性问题、专用系统与特权系统之间的兼容性问题以及满足特权系统的特殊需要的问题。
附图说明
为了实现上述以及相关目的,本文结合下面的文字和附图来给出某些说明性描述,这些描述指示了可以实践本文所公开的原理的各种方式,并且所有描述及其等效说明均落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本发明的上述以及其他目的、特征和优势将变得更加明显。遍及本文的相同的附图标记通常指代相同的部件或元素。附图中:
图1是本发明的生物特征分布式身份认证的注册登录系统的整体结构的示意框图。
图2是图1所示的注册登录系统的注册登录子系统21的第一实施例的整体结构的示意框图。
图3是图1所示的注册登录系统的注册登录子系统21的第二实施例的整体结构的示意框图。
图4是图1所示的注册登录系统的注册登录子系统21的第三实施例的整体结构的示意框图。它在图2所示的集成式安装结构形式下增加了第二加密模块IEM,且与图8所示的访问控制子系统11的第三实施例的第一加密模块IDM匹配设置。
图5是图1所示的注册登录系统的访问控制子系统11的未包含业务终端4的第一实施例的整体结构的示意框图。
图6和图7是图1所示的注册登录系统的访问控制子系统11的包括业务终端4的第二实施例的整体结构的示意框图,其中:图6所示的各业务终端4分别通过局域网5与服务器端1(具体如访问控制子系统11中的访问控制子单元111)链接;图7所示的各业务终端4分别通过互联网3与服务器端1(具体如访问控制子系统11中的访问控制子单元111)链接。
图8是图1所示的注册登录系统的访问控制子系统11的第三实施例的整体结构的示意框图,它在图5所示的无业务终端4的结构形式下增加了第一加密模块IDM,且与图4所示的注册登录子系统21的第三实施例的第二加密模块IEM匹配设置。
图9是图1所示的注册登录系统的设置在注册登录子系统21中的任务选择钮213的结构框图。
图10至图17是通过图1至图9所示的本发明的生物特征分布式身份认证的注册登录系统用生物特征进行分布式身份认证的的登录注册方法的流程图,其中:
图10是注册登录系统的注册登录子系统21的安装流程图。
图11是注册登录系统的新账户注册流程的第一实施例的运行流程图,其“用户标识”由用户终端2生成。
图12是注册登录系统的新账户注册流程的第二实施例的运行流程图,其“用户标识”由服务器端1生成。
图13是注册登录系统的新账户注册流程的第三实施例的运行流程图,其“用户标识”由用户终端2生成,并具有在同一个“用户标识”下可添加多个“账号”的功能和“用户标识”加密的功能。
图14是注册登录系统的新账户注册流程的第四实施例的运行流程图,其“用户标识”由服务器端1生成,并具有在同一个“用户标识”下可添加多个“账号”的功能和“用户标识”加密的功能。
图15是本发明的生物特征分布式身份认证的注册登录系统的分布式登录实施例的运行流程图。
图16是本发明的生物特征分布式身份认证的注册登录系统的生物特征测试实施例的运行流程图。
图17是本发明的生物特征分布式身份认证的注册登录系统的用户标识更新实施例的运行流程图。
具体实施方式
以下结合附图1至图9给出的实施例,具体说明本发明的生物特征分布式身份认证的注册登录系统的具体实施方式。
参见图1,本发明的生物特征分布式身份认证的注册登录系统包括服务器端1、多个用户终端2,并且,服务器端1和各用户终端2分别与互联网3连接。所述的服务器端1可包括中心服务器及其公知的网络设备(如路由器等),所述的用户终端2可包括手机、IPAD、PC机等能接入互联网3的终端设备。本发明的互联网3是指带有移动通讯的互联网,服务器端1和用户终端2通过已知的方式与互联网3链接。本发明的一个有益的特点在于所述系统包括两个子系统,即:安装在服务器端1上的适用于用生物特征进行分布式身份认证的访问控制子系统11,以及安装在各用户终端2上的适用于用生物特征进行分布式身份认证的注册登录子系统21。其中所述的注册登录子系统21的功能主要包括:提供用户与用户终端2之间的人机交互(操作)界面;采集生物特征,并将生物特征转换为生物特征的数据;用生物特征匹配的方法进行身份认证,实现用户与用户终端2之间的绑定;与访问控制子系统11一起,共同构建与该用户的生物特征对应绑定的用户标识;就地储存生物特征的数据和用户标识,使生物特征的数据和用户标识均驻留在用户终端2内;能向服务器端1上传用户标识和各种任务(如新账户注册、分布式登录、生物特征测试、用户标识更新等任务)的任务请求,并用身份认证的结果控制是否上传所述的任务请求,或者说用身份认证的结果控制上传所述的任务请求的许可/禁止;通过互联网3建立与服务器端1的数据链接。而现有的用户终端,虽然也具有提供人机交互的界面,以及与服务器端1数据链接的基本功能(这些功能通常是由公知的第三方应用程序实现的),但是,它不具有生物特征分布式身份认证所必须的功能,例如共同构建绑定的用户标识、就地储存生物特征的数据和用户标识等功能。而本发明系统中所述的访问控制子系统11的功能主要包括:通过互联网3建立与用户终端2的数据链接;与注册登录子系统21共同构建与生物特征对应绑定的用户标识;在用户标识下配置用户账号,并就地储存用户标识和账号,使用户标识和账号驻留在服务器端1中;识别用户标识,并用识别结果控制用户终端2对服务器端1的访问,或者说用识别结果和注册登录子系统21的任务请求控制用户终端2对服务器端1的访问。而现有的服务器端,虽然也具有与用户终端2的数据链接的功能,但是,它不具有生物特征分布式身份认证所必须的功能,例如就地储存用户标识和账号、识别用户标识、用识别结果控制用户终端2对服务器端1的访问等功能。也就是说,本发明所述的数据链接(简称“链接”)是指数据通信的通讯路径,如互联网3与服务器端1的各模块之间以及服务器端1的各模块之间传递数据、参数和控制信号(命令)的通讯路径,或者互联网3与用户终端1的各模块之间以及在用户终端1的各模块之间传递数据、参数和控制信号(命令)的通讯路径,并把它们组成一个可执行的整体。
可见,本发明的用生物特征进行分布式身份认证的注册登录系统的特点在于:(1)采用如掌纹、指纹、虹膜、人脸或声音等生物特征进行身份认证,而不是采用传统的密码或其它形式的字符串;(2)所述的生物特征的储存是分布式的,即生物特征分散储存在各用户终端2上,而不是集中储存在服务器端1;(3)所述的身份认证是分布式的,即身份认证是在各用户终端2上完成的,而不是集中在服务器端1完成的;(4)用户在用户终端2上访问服务器端1,而在生物特征分布式身份认证的注册登录系统的运行流程中,用户的生物特征的数据始终无需也不会在用户终端2与服务器端1之间传输。(5)用户标识是服务器在接收到客户端的注册请求后由服务器生成的,然后下发到客户端,也可以是客户端生成之后上传到服务器的。本发明的这些特点从根本上解决了服务器因采集和集中式认证来回传输及存储海量数据包耗时且常导致服务器瘫痪的麻烦。
本发明的另一个有益的特点是关于访问控制子系统11的整体结构,它可有多种方案,一种优选的方案如图1和图5至图8所示:所述的访问控制子系统11包括访问控制单元111、标识处理单元112;所述的标识处理单元112包括标识处理模块IPM、账户处理模块APM和标识账户存储模块IADB。
所述的访问控制单元111,它用于控制访问控制子系统11与互联网3之间的数据流SD的输入/输出,并根据标识处理单元112的识别结果发出许可/禁止用户终端2访问服务器端1的信号,以及向用户终端2反馈识别结果的信息。访问控制单元111可采用已知的任意一种结构,通常根据特权系统(它是采用本发明的注册登录系统的已有平台,图中未示出)的具体要求设计,以满足特权系统的访问控制要求及相关的功能要求;或者说,本发明的访问控制子系统11可以与任意一个特权系统的已有访问控制单元链接,由此实现与现有特权系统的兼容与通用,现有的特权系统可以采取在服务器端加装本发明的标识处理单元112的方式,便能增加用生物特征进行分布式身份认证的注册登录功能。
所述的标识处理单元112,它用于配合用户终端2给新的生物特征构建新的用户标识,给请求注册的用户标识匹配新的用户账号,并将新注册的用户标识和用户账号就地储存,对请求登录的用户标识和用户账号进行识别,并将识别结果上传给访问控制子系统11,根据识别结果向访问控制单元111发出许可/禁止该用户终端2访问服务器端1的信号。为了满足通用性和兼容性的要求,可考虑优选采用如图5至图8所示的控制结构,即用户终端2向访问控制子系统11上传数据时,可以先传给访问控制单元111,再由访问控制单元111传给标识处理单元112,其优点在于,可充分利用访问控制单元111原有的数据链接的接口资源,并降低访问控制子系统11的实现难度。当然,本发明不排除采用其它的不同于图5至图8所示的控制结构,如采用用户终端2直接与标识处理单元112数据链接的结构(图中未示出),但采用这种控制结构可能会增加访问控制子系统11的实现难度,甚至可能会导致通用性和兼容性的变劣。
本发明的还一个有益的特点是关于访问控制子系统11的数据构建与传输的具体结构,它可有多种方案,一种优选的方案如图5所示:所述的互联网3与访问控制单元111链接,访问控制单元111与标识处理单元112链接,标识处理单元112内的标识处理模块IPM、账户处理模块APM、标识账户存储模块IADB之间相互链接。所述的标识处理模块IPM在运行“新账户注册”的过程中构建新的用户标识,该构建包括:由认证处理模块CPM生成用户标识或接受由访问控制子系统11下发的用户标识,以及将新的用户标识传给账户处理模块APM和/或标识账户存储模块IADB,和/或将新的用户标识上传给访问控制单元111。所述的标识处理模块IPM在运行老用户“分布式登录”的过程中采用访问标识账户存储模块IADB中是否存在相同的用户标识的方式对当前的用户标识进行识别,并将识别的结果传给账户处理模块APM和/或访问控制单元111。所述的账户处理模块APM在运行“新账户注册”的过程中,采用生成新的用户账号的方式给用户标识匹配新的账户信息,并将新的用户账号传给标识处理模块IPM和/或标识账户存储模块IADB,和/或将新的用户账号上传给访问控制单元111。所述的账户处理模块APM在运行老用户“分布式登录”的过程中,采用访问标识账户存储模块IADB中是否存在与用户终端2输给的相同的用户账号的方式进行账户信息的识别,并将识别的结果传给标识处理模块IPM和/或访问控制单元111。所述的标识账户存储模块IADB采用同一个用户标识下可记录多个用户账号的结构就地储存用户标识和用户账号,以使用户标识和用户账号驻留在服务器端1内。
本发明的再一个有益的特点是关于注册登录子系统21的整体结构,它可有多种方案,一种优选的方案如图1至图4所示:所述的注册登录子系统21包括终端操作单元211和分布式单元212。所述的分布式单元212包括交互接口模块SDK、特征处理模块BCPM、认证处理模块CPM和特征标识存储模块BCIDB。
所述的终端操作单元211,它用于控制注册登录子系统21与互联网3之间的数据流SD的输入/输出,提供登录注册操作所需的人机交互界面,执行在用户终端2上操作的注册登录的基本任务。终端操作单元211可采用已知的任意一种结构,通常根据特权系统的具体要求设计,以满足特权系统的注册登录操作所需的控制及功能要求。本发明的终端操作单元211可以在任意特权系统的已有的APP基础上实现,这种基于特权系统的已有APP的实现手段,其优点在于,能使注册登录子系统21简单、易行、高效、经济地实现与现有特权系统的兼容及通用,或者说,现有的特权系统可以采用在用户终端上增加本发明的分布式单元212的升级方式,便能增加用生物特征进行分布式身份认证的注册登录功能。
所述的分布式单元212,它用于采集生物特征并将生物特征转换为特征数据,并在运行“新账户注册”的过程中配合标识处理单元112给新的特征数据构建新的用户标识,并将该新的特征数据和新的用户标识就地储存,同时向终端操作单元211上传注册请求和/或用户标识,而在运行“分布式登录”的过程对生物特征进行认证,在认证成功时向终端操作单元211上传登录请求和用户标识,或在认证失败时自动终止“分布式登录”的运行。为了满足通用性和兼容性的要求,可考虑优选采用如图2至图4所示的控制结构,即分布式单元212向服务器端上传数据时,先传给终端操作单元211,再由终端操作单元211传给的访问控制子系统11,其优点在于,可充分利用终端操作单元211原有的数据链接的接口资源,并降低注册登录子系统21的实现难度。
本发明的另一个有益的特点是关于注册登录子系统21的安装结构,它可有多种方案。例如:图2采用集成式安装结构,分布式单元212与终端操作单元211相互嵌入形成整体的注册登录子系统21;图3采用分立式安装结构,注册登录子系统21由主体单元21S和分体单元21F组成。注册登录子系统21的安装结构的一种优选的方案如图2所示的第一实施例,它采用集成式安装结构,即:所述的注册登录子系统21采用集成式安装结构,含有交互接口模块SDK、特征处理模块BCPM、认证处理模块CPM和特征标识存储模块BCIDB的分布式单元212与终端操作单元211相互嵌入形成整体的注册登录子系统21。注册登录子系统21的安装结构的另一种优选的方案如图3所示的第二实施例,它采用分立式安装结构,即:所述的注册登录子系统21采用分立式安装结构,分布式单元212的交互接口模块SDK嵌入终端操作单元211形成注册登录子系统21的主体单元21S,分布式单元212中的包含特征处理模块BCPM、认证处理模块CPM和特征标识存储模块BCIDB在内的其它模块的组合形成注册登录子系统21的分体单元21F。图2所示的第一实施例的集成式安装结构的优点在于安装方便,能一步安装到位,如图10所示,其安装流程仅需经步骤A1(在用户终端2上安装注册登录子系统21)和步骤A2(判断分布式单元212是集成的还是分立的)便到步骤A5(链接到“任务选择钮”)。图3所示的第二实施例的分立式安装结构的优点在于可提高注册登录子系统21的通用性程度,具体说,可以将分体单元21F制作成通用于各特权系统的独立的第三方应用构件,不管哪一个特权系统,只要其APP中嵌入了交互接口模块SDK,便能安装所述的第三方应用构件,以将注册登录子系统21的安装到任意一个用户终端2上。
本发明的又一个有益的特点是关于注册登录子系统21的数据构建与传输的具体结构,它可有多种方案,一种优选的方案如图2和图3所示:所述的交互接口模块SDK可采用多种方式实现,如软件开发工具的形式,用它控制分布式单元212与终端操作单元211之间的数据链接;所述的互联网3与终端操作单元211链接,终端操作单元211与分布式单元212的交互接口模块SDK链接,分布式单元212内的交互接口模块SDK、特征处理模块BCPM、认证处理模块CPM、特征标识存储模块BCIDB之间相互链接;所述的特征处理模块BCPM还与用户终端2上的特征采集装置链接,并将特征采集装置采集到的生物特征转换为特征数据,再将特征数据传给认证处理模块CPM。在运行“新账户注册”的过程中,认证处理模块CPM配合标识处理单元112给新的特征数据构建新的用户标识,该构建包括,由认证处理模块CPM生成用户标识或接受由访问控制子系统11下发的用户标识,以及将该新的特征数据和新的用户标识储存到特征标识存储模块BCIDB内,同时向终端操作单元211上传注册请求和/或用户标识。而在运行“分布式登录”的过程中,认证处理模块CPM采用访问特征标识存储模块BCIDB中是否存在与当前的特征数据相匹配的特征数据方式,对新输入的生物特征进行认证,并在认证成功时向终端操作单元211上传登录请求和用户标识,或在认证失败时自动终止“分布式登录”的运行。
所述的特征标识存储模块BCIDB采用同一个生物特征转换的特征数据只能对应一个用户标识的结构就地储存特征数据和用户标识,以使生物特征的数据和用户标识都驻留在用户终端2内。
本发明的又一个有益的特点是关于用户标识的构建,它还涉及到在服务器端1与用户终端2之间的数据流SD的传输结构。所述的用户标识的构建满足唯一对应一个自然人的一组生物特征的条件,该组生物特征包括一个自然人的不同身体部位(如左手和右手)的生物特征,也可以包括一个自然人同一身体部位在不同场合不同时间采集的生物特征,但用户标识的数据内容与生物特征的数据内容可以不相关,并且,一个用户标识下允许有一个或多个用户账号。例如,生物特征的数据内容通常需包括至少一组多维数组,如从视频中选出的一帧画面的二维像素组成的多维数组,而用户标识的数据内容可以是一组一维的数码,甚至可以是一个数码或一个字符串(即数组中的一个元素)。所述的数据流SD的传输结构被配置为,数据流SD中不含有生物特征的数据,但含有用户标识的数据。所述的用户标识的数据结构被配置为,用户标识的数据包长度与生物特征的数据包长度无关,并且用户标识的数据包长度远远远小于生物特征的数据包长度。与现有的集中式的用生物特征进行身份认证的系统相比较,现有传输结构的特点在于,服务器端与用户终端之间传输的数据流中必须包括生物特征的数据,或者说,不能省略生物特征的数据在服务器端与用户终端之间传输的特征,因为生物特征是由用户终端采集的,而生物特征的数据是集中储存在服务器端的,因此如果生物特征的数据不能在用户终端与服务器端之间传输,则服务器无法实现身份认证的正常运行。由于生物特征的数据包长度庞大,因此这种现有的传输结构,必然导致占用储存空间大、系统运行速度慢、网络带宽要求高等一系列问题。而本发明由于采用了用生物特征进行分布式身份认证的登陆注册方法,采用了构建用户标识、并由用户标识绑定生物特征、用户标识下配置用户账号的绑定配置结构,以及分别由服务器端1储存用户标识和用户账号、由用户终端2储存生物特征和用户标识的数据储存结构,才有可能实现在数据流SD中不含有生物特征、并且用户标识的数据包长度与特征数据的数据包长度无关、用户标识的数据包长度远远小于特征数据的数据包长度的特点。所述的用户标识的数据包长度与生物特征的数据包长度无关的配置,目的是使得用户标识的数据包长度可以根据使用要求配置,或者说,使得用户标识的数据包长度设置不受生物特征的数据包长度的制约。但是,用户标识的数据包长度关系到系统的实用性,当数据包长度过大到相当于生物特征的数据包长度时,则会丧失其实用意义。为此需要对用户标识的数据包长度加以限定。限定的条件是,用户标识的数据包长度设置为远远远小于生物特征的数据包长度。生成用户标识的数据发生器可采用已知的任意一种结构,如随机数发生器、加密模块、算法模块等,通过对数据发生器的数据长度的设定,便可确定和优化生物特征的数据包长度。此外,采用算法(例如手机号后添加随机数),可以使用户标识不仅与生物特征绑定,同时还可以与其它特征信息(例如手机号)绑定,给用户标识的数据赋予更多的有用信息。
所述的用户标识的构建,包括生成用户标识的数据、用户标识的数据在服务器端1与用户终端2之间的相互传输(确认)、以及用户标识的数据在服务器端1与用户终端2上的储存,它包括两种方式。一种方式如图11给出的新账户注册的第一实施例和图13给出的新账户注册的第三实施例所示,其用户标识的数据由用户终端2生成并就地储存,再由服务器端1确认并就地储存。另一种如图12给出的新账户注册的第二实施例和图14给出的新账户注册的第四实施例所示,其用户标识的数据由服务器端1生成并就地储存,再由用户终端2确认并就地储存。本发明的用户标识是指驻留在服务器端1和用户终端中的一组码,但它始终不显示,因此,隐形的用户标识本身具有较高的私密性与安全性。为了进一步提高私密性与安全性的等级,防止用户标识在网上传输时被恶意拦截导致的不良后果,本发明的还一个有益的特点是可采用对用户标识和/或用户账号的加密技术,它可有多种方案,一种优选的方案如图4和图8所示:所述的分布式单元212还包括第二加密模块IEM,所述的标识处理单元112还包括第一加密模块IDM;第一加密模块IDM与第二加密模块IEM配合,并通过该配合将所述的用户标识和/或用户账号进行加密/解密处理,以使在互联网(3)中传输的数据流SD中的用户标识和/或用户账号的数据为密文。
所述的第一加密模块IDM与第二加密模块IEM的具体结构包括多种方式:一种方式是第一加密模块IDM中设置有用户标识解密器(图中未示出),第二加密模块IEM中设置有用户标识加密器(图中未示出),用户标识(明文)经分布式单元212的第二加密模块IEM的用户标识加密器加密成用户标识的密文,再将密文通过互联网3发送到标识处理单元112,再由第一加密模块IDM中的用户标识解密器解密为用户标识(明文),这种结构可实现用户标识加密处理,可执行图13给出的运行流程实施例;另一种方式是第一加密模块IDM中设置有用户账号加密器(图中未示出),第二加密模块IEM中设置有用户账号解密器(图中未示出),用户账号(明文)经标识处理单元112的第一加密模块IDM的用户账号加密器加密成用户账号的密文,再将密文通过互联网3发送到分布式单元212,再由第二加密模块IEM中的用户账号解密器解密为用户账号(明文),这种结构可实现用户账号加密处理,其可执行的运行流程图中未示出;再一种是第一加密模块IDM中设置有用户账号加密器(图中未示出)和用户标识解密器(图中未示出),第二加密模块IEM中设置有用户账号解密器(图中未示出)和用户标识加密器,这种结构可实现用户标识加密处理和用户账号加密处理,其可执行的运行流程图中未示出。
本发明的再有的一个有益的特点是:如图6、图7所示,所述的生物特征分布式身份认证的注册登录系统还包括多个业务终端4,各业务终端4分别通过互联网3(参见图7)和/或局域网5(参见图6)与服务器端1链接。业务终端4的用途有多种类型,其中一种用途是办理用户终端2不能办理的业务,如银行系统的柜台业务终端,需用它录入用户身份证的信息。业务终端4的另一种用途是给生物特征分布式身份认证的注册登录系统提供旁路,通过该旁路处理由于用户终端2的异常导致的意外业务,如用户终端2的损坏或丢失所需的补救业务。业务终端4的再一种用途是实现生物特征分布式身份认证的登录注册与现有的身份认证(如密码身份认证)的登录注册之间的兼容,如给一个现有的用密码身份认证的特权系统加装本发明的生物特征分布式身份认证的注册登录系统后,不影响在业务终端4上运行原有的所有业务。
为了方便系统的操作与运行,本发明的再有的一个有益的特点是,如图9所示,所述的注册登录子系统21中设置有任务选择钮213,用它选择生物特征分布式身份认证的注册登录系统的运行任务。所述的任务选择钮213的结构,可采用已知的在用户终端2的显示屏上设置触摸式按钮的方式,它至少包括“新账户注册”钮NAL、“分布式登录”钮DLR和“退出”钮ESC,其中:“新账户注册”钮NAL用于启动(引导进入)“新账户注册”运行流程(参见图11至图14),实施注册操作;“分布式登录”钮DLR用于启动“分布式登录”运行流程(参见图15),实施老用户登录操作;“退出”钮ESC用于退出生物特征分布式身份认证的注册登录系统。为了进一步完善注册登录系统的使用功能,所述的注册登录子系统21的任务选择钮213还可包括“用户标识更新”钮UIU和/或“生物特征测试”钮BCT,其中:“用户标识更新”钮UIU用于启动“用户标识更新”运行流程(参见图17),实施更新用户标识的操作;“生物特征测试”钮BCT用于启动“生物特征测试”运行流程(参见图16),实施生物特征的测试操作。
所述的特征采集装置可为机载的图像采集装置、声音采集装置或电容指纹传感器或任选其中的一种。其中:图像采集装置(如摄像头)可以将掌纹、指纹、人脸、虹膜等生物特征转换为图像或视频信号;声波采集装置(麦克风——传声器)可以将声音转换为音频信号;电容指纹传感器可以将指纹转换为电信号。这些信号可用已知的方法被分布式单元212内的特征处理模块BCPM转换为生物特征的数据传给认证处理模块CPM(参见图2、3)。
为了阐明本发明的技术方案及技术目的,下面结合图10至图17给出的具体实施方式对本发明用生物特征进行分布式身份认证的方法做进一步的介绍。本发明的通过生物特征分布式身份认证的注册登录系统用生物特征进行分布式身份认证的注册登录的方法包括两个流程,即:系统安装流程和系统运行流程(即处理流程),其中图10给出了系统安装流程的一个实施例,图11至图17给出了系统运行流程的7个实施例。下面分别具体进行说明。
本发明的用生物特征进行分布式身份认证的方法的一个特点涉及安装流程的具体实现步骤,包括:
A、将注册登录子系统21分别安装到每一个用户终端2内;
B、将访问控制子系统21嵌入安装到服务器端11内。
所述的注册登录子系统21的安装流程的具体实现步骤,它可有多种具体方案,一种优选的方案如图10所示,它包括以下步骤:
A1、在用户终端2上安装注册登录子系统21;
A2、判断分布式单元212是集成的还是分立的,若是集成的则转步骤A5,若是分立的则进入步骤A3;
A3、系统提示“安装分体单元”;
A4、安装分体单元21F;
A5、链接到任务选择钮213。
本发明的用生物特征进行分布式身份认证的方法的另一个特点是关于注册登录子系统21的运行流程的具体步骤,它可有多种具体方案,如图11至图15,本发明的系统运行流程至少包括新账户注册运行流程(如图11至图14示出的四个实施例)和分布式登录运行流程(如图15示出的一个实施例),将在后面进行详细说明。当然,新账户注册运行流程和分布式登录运行流程的实施方式不限于图11至图15给出的实施例。
本发明的用生物特征进行分布式身份认证的方法中的新账户注册流程的有益特点是:通过运行新账户注册流程,使新用户在系统的用户终端2上进入用生物特征进行分布式认证的注册操作。新账户注册流程至少含有以下步骤:首先,用户终端2进行“生物特征采集”,并获得“生物特征”的数据,该步骤是由图2-4所示的特征处理模块BCPM执行的;接着,由系统自动构建与“生物特征”唯一对应的“用户标识”,即“用户标识”由图2-4所示的认证处理模块CPM或由图5-8所示的标识处理模块IPM自动生成并经对方确认;然后,由系统自动生成与“用户标识”对应的新的“账号”,该步骤是由图5-8所示的账户处理模块APM执行的;然后,在用户终端2就地储存“生物特征”和“用户标识”,该步骤是由图2-4所示的特征标识存储模块BCIDB执行的;最后,在服务器端1上就地储存“用户标识”和“账号”,该步骤是由图5-8所示的标识账户存储模块IADB执行的。
本发明的用生物特征进行分布式身份认证的方法中所述的分布式登录流程的有益特点是:通过运行分布式登录流程,使已注册的用户从系统的用户终端2上进入用生物特征进行分布式认证的登录操作。分布式登录流程中至少含有以下步骤:首先,用户终端2进行“生物特征采集”并获得“生物特征”的数据,该步骤是由图2-4所示的特征处理模块BCPM执行的;接着,用户终端2进行“生物特征”认证,该步骤是由图2-4所示的认证处理模块CPM执行的;之后,用户终端2在“生物特征”认证成功的条件下向在服务器端1上传“用户标识”和“登录请求”,该步骤是由图2-4所示的认证处理模块CPM、交互接口模块SDK和终端操作单元211共同完成的。
本发明的用生物特征进行分布式身份认证的方法中的系统运行流程无需“生物特征”在用户终端2与服务器端1之间传输,其中的“生物特征”的认证的步骤满足不在服务器端1上进行的条件,而该条件是区别于现有的集中式认证的重用特征之一。
下面列举5个优选的实施例说明本发明的注册登录子系统21的运行流程的具体步骤。
图11是注册登录系统的新账户注册流程的第一实施例的运行流程,其“用户标识”由用户终端2生成,它包括以下步骤:
Z1、在用户终端2上打开注册登录子系统21(它是由操作者的操作实现的);
Z2、注册登录子系统21自动链接到任务选择钮213(它是由注册登录子系统21自动完成的;
Z3、从任务选择钮213选择“新账户注册”任务(它是由操作者的操作实现的);
Z4、用户终端2进行“生物特征”采集并获得“生物特征”的数据(它是由特征处理模块BCPM执行的);
Z105、用户终端2自动生成与“生物特征”唯一对应的“用户标识”(它是由设置在认证处理模块CPM中的数据发生器生成的);
Z106、用户终端2就地储存唯一的“生物特征”和“用户标识”(它是由特征标识存储模块BCIDB执行的;
Z107、用户终端2将“用户标识”和“注册请求”上传给服务器端1(它是由认证处理模块CPM、交互接口模块SDK和终端操作单元211共同完成的);
Z108、服务器端1的访问控制子系统11生成新的“账号”(它是由账户处理模块APM生成的);
Z109、访问控制子系统11判断是否已存在与“用户标识”相匹配的账户,如果是则进入步骤Z110,如果否则转到步骤Z111(它是由标识处理模块IPM执行的);
Z110、访问控制子系统11在已有的“用户标识”下添加新的“账号”,然后转到步骤Z112(它是由标识处理模块IPM和账户处理模块APM共同完成的);
Z111、服务器端1就地储存新的“用户标识”和新的“账号”,然后进入步骤Z112(它是由账户处理模块APM和标识账户存储模块IADB共同完成的);
Z112、服务器端1将新的“账号”下发给用户终端2(它是由访问控制单元111执行的);
Z113、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2(它是由终端操作单元211和分布式单元212共同完成的)。
图12是注册登录系统的新账户注册流程的第二实施例的运行流程图,其“用户标识”由服务器端1生成,它包括以下步骤:
Z1、在用户终端2上打开注册登录子系统21;
Z2、注册登录子系统21自动链接到任务选择钮213;
Z3、从任务选择钮213选择“新账户注册”任务;
Z4、用户终端2进行“生物特征”采集并获得新“生物特征”的数据;
Z205、用户终端2就地储存新“生物特征”,并向服务器端1上传“新用户注册”的请求;
Z206、服务器端1生成唯一的新“用户标识”和与该“用户标识”唯一对应的新“账号”;
Z207、服务器端1就地储存新“用户标识”和新“账号”,并将新“用户标识”和新“账号”下发给用户终端2;
Z208、用户终端2将新“用户标识”就地储存在新“生物特征”下;
Z209、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2。
图13是注册登录系统的新账户注册流程的第三实施例的运行流程图,其“用户标识”由用户终端2生成,并具有在同一个“用户标识”下可添加多个“账号”的功能和“用户标识”加密的功能,它包括以下步骤:
Z11、在用户终端2上打开注册登录子系统21;
Z2、注册登录子系统21自动链接到任务选择钮213;
Z3、从任务选择钮213选择“新账户注册”任务;
Z4、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
Z305、用户终端2自动生成与“生物特征”唯一对应的“用户标识”;
Z306、用户终端2就地储存唯一的“生物特征”和“用户标识”;
Z307、注册登录子系统21将“用户标识”加密生成“用户标识密文”;
Z308、用户终端2将“用户标识密文”和“注册请求”上传给服务器端1;
Z309、服务器端1将“用户标识密文”解密成“用户标识”;
Z310、服务器端1的访问控制子系统11生成新的“账号”;
Z311、访问控制子系统11判断是否已存在与“用户标识”相匹配的账户,如果是则进入步骤Z312,如果否则转到步骤Z313;
Z312、访问控制子系统11在已有的“用户标识”下添加新的“账号”,然后转到步骤Z314;
Z313、服务器端1就地储存新的“用户标识”和新的“账号”,然后进入步骤Z314或进入用户账号加密步骤;
所述的用户账号加密步骤为,先由服务器端(1)将新的“账号”加密生成“账号密文”,然后由服务器端(1)将“账号密文”下发给用户终端(2),再由用户终端(2)将“账号密文”解密成“账号”,然后进入步骤Z315;Z314、服务器端1将新的“账号”下发给用户终端2;
Z315、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2。
图14是注册登录系统的新账户注册流程的第四实施例的运行流程图,其“用户标识”由用服务器端1生成,在同一个“用户标识”下可添加多个“账号”的功能和“用户标识”加密的功能,它包括以下步骤:
Z1、在用户终端2上打开注册登录子系统21;
Z2、注册登录子系统21自动链接到任务选择钮213;
Z3、从任务选择钮213选择“新账户注册”任务;
Z4、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
Z405、用户选择是注册新用户还是添加新账号,如果是添加新账号则进入步骤Z406,如果是注册新用户则转到步骤Z412;
Z406、用户终端2的注册登录子系统21就地判断当前的“生物特征”与存储模块存的“生物特征”是否相匹配,如果是则进入步骤Z407,如果否则转到步骤Z416;
Z407、用户终端2将存储模块存的“用户标识”和“添加新账号请求”上传给服务器端1;
Z408、服务器端1的访问控制子系统11判断本地存储模块中是否存在与该“用户标识”相匹配的记录,如果是则进入步骤Z09,如果否则转到步骤Z418;
Z409、服务器端1生成新“账号”,并将新“账号”添加到该“用户标识”下;
Z410、服务器端1将新“账号”下发给用户终端2;
Z411、用户终端2的注册登录子系统21显示“注册成功”,并向用户反馈新的“账号”,然后转到步骤Z2:
Z412、用户终端2就地储存新“生物特征”,并向服务器端1上传“新用户注册”的请求;
Z413、服务器端1生成唯一的新“用户标识”和与该“用户标识”唯一对应的新“账号”;
Z414、服务器端1就地储存新“用户标识”和新“账号”,并将新“用户标识”和新“账号”下发给用户终端2;
Z415、用户终端2就地储存新“生物特征”和新“用户标识”,然后转到步骤Z411;
Z416、用户终端2的注册登录子系统21显示“认证失败”;
Z417、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤Z4,如果选择否则进入步骤Z418;
Z418、用户终端2的注册登录子系统21显示“添加新账号失败”,然后转到步骤Z2。
图15是注册登录系统的分布式登录运行流程的一个实施例的运行流程,它包括以下步骤:
D1、在用户终端2上打开注册登录子系统21;
D2、注册登录子系统21自动链接到任务选择钮213;
D3、从任务选择钮213选择“分布式登录”任务;
D4、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
D105、用户终端2的注册登录子系统21就地判断当前的生物特征”与存储模块存的“生物特征”是否相匹配,如果是则进入步骤D106,如果否则转到步骤D113;
D106、用户终端2将存储模块存的“用户标识”和“登录请求”上传给服务器端1;
D107、服务器端1的访问控制子系统11判断本地存储模块中是否存在与该“用户标识”相匹配的记录,如果是则进入步骤D108,如果否则转到步骤D115;
D108、访问控制子系统11判断该“用户标识”下是否存在多个“账号”,如果是则进入步骤D109,如果否则转到步骤D112;
D109、访问控制子系统11向用户终端2下发“请输入账号”的指令;
D110、用户终端2向服务器端1上传“账号”;
D111、服务器端1的访问控制子系统11判断本地存储模块中是否有该“账号”,如果是则进入步骤D112,如果否则转到步骤D109;
D112、访问控制子系统11向服务器端1下传允许访问该账号的指令,用户可在用户终端2上实施该“账号”下的访问操作,操作完成后转到步骤D2;
D113、用户终端2的注册登录子系统21显示“认证失败”;
D114、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤D4,如果选择否则转到步骤D2;
D115、服务器端1向用户终端2下发“禁止访问”的指令;
D116、用户终端2显示“登录失败”,然后转到步骤D2。
本发明的用生物特征进行分布式身份认证的方法的又一个特点是:所述的系统运行流程还可以包括生物特征测试流程和/或用户标识更新流程,可以选择通过运行生物特征测试流程对分布式登录流程进行运行测试,通过运行用户标识更新流程使已注册的用户在系统的用户终端2上进行“用户标识”的更新。生物特征测试流程是为了进一步提高系统运行的可靠性而附加的流程,它不影响系统的基本运行流程(如新账户注册流程、分布式登录流程),可选择性采用。用户标识更新流程是为了进一步提高系统的安全性而附加的流程,它不影响系统的基本运行流程(如新账户注册流程、分布式登录流程),可选择性采用。
本发明的用生物特征进行分布式身份认证的方法的再一个特点体现在生物特征测试流程的具体步骤,它可有多种具体方案,一个优选的方案如图16所示的实施例,它包括以下步骤:
C101、在用户终端2上打开注册登录子系统21;
C102、注册登录子系统21自动链接到任务选择钮213;
C103、从任务选择钮213选择“生物特征测试”任务;
C104、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
C105、用户终端2的注册登录子系统21就地判断当前的生物特征”与存储模块存的“生物特征”是否相匹配,如果是则进入步骤C106,如果否则转到步骤C110;
C106、用户终端2将存储模块存的“用户标识”和“测试请求”上传给服务器端1;
C107、服务器端1的访问控制子系统11判断本地存储模块中是否存在与该“用户标识”相匹配的记录,如果是则进入步骤C108,如果否则转到步骤C112;
C108、服务器端1向用户终端2下发“测试成功”;
C109、用户终端2显示“测试成功”,然后转到步骤C102;
C110、用户终端2的注册登录子系统21显示“认证失败”;
C111、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤C104,如果选择否则转到步骤C102;
C112、服务器端1向用户终端2下发“测试失败”的提示;
C113、用户终端2显示“测试失败”,然后转到步骤C102。
本发明的生物特征分布式身份认证的注册登录系统的方法的另一个特点体现在用户标识更新流程的具体步骤,它可有多种具体方案,一个优选的方案如图17所示的实施例,它包括以下步骤:
G101、在用户终端2上打开注册登录子系统21;
G102、注册登录子系统21自动链接到任务选择钮213;
G103、从任务选择钮213选择“用户标识更新”任务;
G104、用户终端2进行“生物特征”采集并获得“生物特征”的数据;
G105、用户终端2的注册登录子系统21就地判断当前的生物特征”与存储模块存的“生物特征”是否相匹配,如果是则进入步骤G106,如果否则转到步骤G113;
G106、用户终端2将存储模块存的“用户标识”和“更新请求”上传给服务器端1;
G107、服务器端1的访问控制子系统11判断本地存储模块中是否存在与该“用户标识”相匹配的记录,如果是则进入步骤G108,如果否则转到步骤G115;
G108、服务器端1自动生成唯一的新的“用户标识”;
G109、服务器端1的访问控制子系统11将本地存储模块存的旧的“用户标识”替换为新的“用户标识”;
G110、服务器端1将新的“用户标识”下发给用户终端2;
G111、用户终端2将旧的“用户标识”替换为新的“用户标识”;
G112、用户终端2显示“更新成功”,然后转到步骤G102;
G113、用户终端2的注册登录子系统21显示“认证失败”;
G114、注册登录子系统21显示“是否继续认证”并等待用户在用户终端2输入是否继续的选择操作,如果选择是则转到步骤G104,如果选择否则转到步骤G102;
G115、服务器端1向用户终端2下发“不存在更新对象”的提示;
G116、用户终端2显示“不存在更新对象”的失败提示,然后转到步骤G102。
本发明的用生物特征进行分布式身份认证的方法,可适用于各种生物特征的分布式身份认证,但优选为:所述的“生物特征”为掌纹、指纹、虹膜、人脸或声音。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!