一种身份认证方法、装置及系统与流程

本申请涉及认证技术领域，尤其涉及一种身份认证方法、装置及系统。

背景技术：

认证是用可靠的技术验证某个实体身份的过程，在计算机、互联网等应用领域，用户身份认证是一种最基本的需求，常用的技术包括口令认证、物理认证、生物特征认证等，其中口令认证以其实现简单、使用方便等特点成为应用最为广泛的认证方式。

用户使用手机、个人电脑等设备时，经常使用键盘直接进行口令输入，这种方案实际存在着较大的安全性问题，恶意用户可以通过多种方式盗取口令，例如直接偷窥、植入恶意软件(如按键信息记录软件)等等。

针对上述问题，一种思路是尽量令用户输入口令的行为隐蔽化，例如采用隐式口令显示、随机生成虚拟键盘布局等等，这些方式在一定程度上可以减小口令被盗取的风险，然而用户的输入行为毕竟是可通过视觉辨别的，恶意用户如果存心盗取，仍然段可以通过很多手段(例如高清摄像头偷拍等)来达到目的。

技术实现要素：

针对上述技术问题，本申请提供一种身份认证方法、装置及系统，技术方案如下：

根据本申请的第一方面，提供一种身份认证方法，预先存储用户在认证信息构建阶段提供的认证文本口令序列、认证指纹信息、以及指纹信息与文本字 符的对应关系，所述身份认证方法包括：

接收用户输入的口令序列，该口令序列的每一位分别以文本字符或指纹信息的形式输入；

根据所述指纹信息与文本字符的对应关系，将用户输入的指纹信息解析为文本字符，并根据解析结果将用户输入的口令序列转换为全文本序列；

判断转换得到的全文本序列是否与该用户的认证文本口令序列匹配，如果是则确定认证成功，否则确定认证失败。

一种身份认证信息构建方法，该方法包括：

获得用户输入的认证文本口令序列；

针对所述认证文本口令序列中的一个或多个文本字符，分别要求用户进一步输入与该字符对应的认证指纹信息；

将所述认证文本口令序列、认证指纹信息以及指纹信息与字符的对应关系保存为该用户的身份认证信息。

一种身份认证装置，该装置包括：

存储模块，用于预先存储用户在认证信息构建阶段提供的认证文本口令序列、认证指纹信息、以及指纹信息与文本字符的对应关系；

接收模块，用于接收用户输入的口令序列，该口令序列的每一位分别以文本字符或指纹信息的形式输入；

解析模块，用于根据所述指纹信息与文本字符的对应关系，将用户输入的指纹信息解析为文本字符，并根据解析结果将用户输入的口令序列转换为全文本序列；

认证模块，用于判断转换得到的全文本序列是否与该用户的认证文本口令序列匹配，如果是则确定认证成功，否则确定认证失败。

一种身份认证信息构建装置，该装置包括：

文本口令序列获得模块，用于获得用户输入的认证文本口令序列；

指纹信息获得模块，用于针对所述认证文本口令序列中的一个或多个文本字符，分别要求用户进一步输入与该字符对应的认证指纹信息；

信息保存模块，用于将所述认证文本口令序列、认证指纹信息以及指纹信息与字符的对应关系保存为该用户的身份认证信息。

根据本申请的第五方面，提供一种身份认证系统，包括上述的身份认证装置以及如权利要求11或12任一项所述的身份认证信息构建装置。

本申请所提供的技术方案，将字符口令认证和指纹认证两种方式相结合，用户在注册认证信息阶段，可以对指纹信息与字符之间的对应关系进行自定义，进而在每次输入口令进行认证时，可以根据周围实际环境的安全性，选择通过指纹方式来间接实现文本字符的输入，与输入字符相比，输入指纹的动作幅度较小，隐蔽性也更好。更重要的是，指纹信息作为用户的个人特征，具有天然的唯一性，恶意方即便看到了合法用户的口令输入动作，在无法获得合法用户指纹的情况下，也无法通过认证。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本申请的身份认证方法的流程示意图；

图2是本申请的身份认证信息构建方法的流程示意图；

图3是本申请的一种输入模式切换功能的界面示意图；

图4是本申请的身份认证装置的结构示意图；

图5是本申请的身份认证信息构建装置的结构示意图。

具体实施方式

针对单纯字符口令的输入行为容易泄露的问题，本申请所提供的方案是在 原有字符口令认证机制的基础上，进一步增加了指纹认证机制，通过两种方式的结合来进一步提高口令输入的安全性，降低泄露风险。

为了使本领域技术人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行详细地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于本申请保护的范围。

根据本申请所提供的方案，用户在认证信息注册阶段，首先需要提供一个用于认证的文本口令序列，然后针对该序列中的一个或多个文本字符，分别录入对应的指纹，系统侧根据用户提供的口令文本序列、指纹信息以及两者的对应关系生成该用户的身份认证信息并保存。在实际的认证应用阶段，用户可以通过输入指纹信息的方式实现口令输入，系统侧根据预先保存的对应关系，自动将用户输入的指纹信息转换为文本形式，然后将转换结果与预存的认证文本口令序列进行比较，最终根据比较结果确定是否通过认证。

下面将分别对本申请所提供的身份认证信息构建(注册阶段)方案和身份认证信息应用(认证阶段)方案进行说明。

图1所示为本申请提供的身份认证信息构建方法的流程图，该方法可以包括以下步骤：

S101，获得用户输入的认证文本口令序列；

本申请所提供的方案，仍然以文本形式的口令序列为基础，一条文本口令序列由若干文本字符构成，这里文本字符可以仅使用纯数字的形式，也可以使用字母、特殊符号、或多种类型字符混合的形式，序列的长度可以根据实际的使用需求确定，例如4位、6位等，本申请对此并不进行限定。

用户确定自己所要使用的认证文本口令序列后，以正常的文本字符输入方式(例如通过实体键盘，虚拟键盘等)提供给系统侧，这里的“系统侧”既可以指代独立的用户终端设备，例如手机、PC机等等，也可以泛指由用户终端设备与网络侧配套设备(例如各种应用服务器等)所构成的系统。系统侧接收到 用户输入的认证文本口令序列后，进一步执行后续操作。

S102，针对认证文本口令序列中的一个或多个文本字符，分别要求用户进一步输入与该字符对应的认证指纹信息；

为了提高口令输入的安全性，本申请方案在普通文本口令序列的基础上，允许将该序列中的一个或多个文本字符指定为可替换字符，并为每个可替换字符提供一个对应的用户指纹信息。

例如，初始的文本口令序列为四位数字序列1357，针对这四个数字用户可以分别录制指纹信息，假设对应关系如下：

1—左手食指

3—左手中指

5—左手无名指

7—左手小指

实际应用中，对于一个长度为L的认证文本口令序列，可以运行将其中的N(N≤L)个字符定义为可替换字符，并且可替换字符可以位于序列的任意位置。例如对于四位数字序列1357，可以仅定义首位或末尾为可替换字符、或者定义“1”、“3”为可替换字符、定义“5”、“7”为可替换字符等等。具体需要将认证文本口令序列中的哪些字符定义为可替换字符，可以由系统侧进行规定，也可以由用户自行选择。

上述的“指纹信息”和“字符”的对应关系，并不仅限于一一对应的关系，也可以是“一对多”或“多对一”的对应关系，即每条指纹信息对应一个字符子序列、或者多条指纹信息构成的序列对应一个字符。这样一方面可以增加口令的复杂性，提升破解难度，还可以在一定程度上解决可用指纹较少的问题。例如，对于四位数字序列1357，可以针对“13”录制一个指纹信息，针对“57”录制另一个指纹信息，等等。

可以理解的是，对指纹信息的区分并不仅限于不同的单个手指，还可以是多个手指的组合。另外，根据输入设备的实际功能，还可以进一步结合“按压时长”、“按压力度”等维度来对指纹信息进行区分，具体的技术实现与本申请 方案无关，这里不再详细说明。

S103，将认证文本口令序列、认证指纹信息以及指纹信息与字符的对应关系保存为该用户的身份认证信息。

根据前述步骤可知，用户在注册阶段需要向系统侧提供的信息包括三个方面：认证文本口令序列、认证指纹信息以及指纹信息与字符的对应关系。其中前两种信息均需要用户进行输入，“对应关系”则在用户输入前两种信息的过程中由系统侧自动生成。这三部分信息共同构成了一名用户的身份认证信息，系统侧对这三部分信息进行保存后，即完成了一次身份认证信息的构建操作。根据实际的应用场景，可以将上述身份认证信息保存在用户终端设备本地，也可以上传至网络侧的服务器等设备中保存。

可以理解的是，根据一般的认证信息构建流程，可以进一步要求用户重复输入认证文本口令序列以及各条指纹信息，以避免输入错误，本申请对此不再做展开说明。

对应于上述身份认证信息构建方案，本申请进一步提供在身份认证阶段的实际处理方案，图2所示为本申请提供的身份认证方法的流程图，该方法可以包括以下步骤：

S201，接收用户输入的口令序列；

S202，根据指纹信息与文本字符的对应关系，将用户输入的指纹信息解析为文本字符，并根据解析结果将用户输入的口令序列转换为全文本序列；

S203，判断转换得到的全文本序列是否与该用户的认证文本口令序列匹配，如果是则确定认证成功，否则确定认证失败。

在需要对用户进行身份认证的应用场景，系统侧会提示用户输入认证口令。此时用户可以根据在注册阶段时提供的身份认证信息形式进行输入。这里的“系统侧”与前面实施例中的解释相同，本实施例不再重复说明。

例如，用户在认证信息构建阶段提供的文本口令序列为1357，并且分别录入了4个数字的对应指纹，则根据S201，用户在认证时可以依次输入左手食指、左手中指、左手无名指、左手小指的指纹信息。

进而，根据S202，系统侧根据预存的对应关系，将左手食指、左手中指、左手无名指、左手小指的指纹信息分别解析为1、3、5、7，并且得到全文本序列1357。

最后，根据S203，系统侧将得到的全文本序列“1357”与预存的认证文本口令序列进行比较，本例的比较结果是两者一致，因此确定本次身份认证成功。如果比较结果不一致，则确定认证失败，即认为当前用户不是合法用户。

如果在认证信息构建阶段，仅指定了一部分可替换字符，那么在认证阶段，用户需要对文本字符和指纹信息进行混合输入。相应地，系统侧可以提供指纹信息输入模式和文本字符输入模式的选择或切换功能，该功能可以通过软件方式实现，例如在用户界面上提供按钮、菜单等操作标识，也可以通过硬件方式实现，例如在设备上提供专用的按钮、开关等等。软件方式的通用性更好，可以适用于不同的设备、不同的操作系统。而在一些专用的设备，例如取款机、POS机上，则可以采用硬件的方式实现，本领域技术人员可以根据实际情况灵活选择。

图3示出了一种在手机支付应用中，通过软件方式实现输入模式切换的界面示意图，在触屏手机的口令输入界面中，左下角提供了切换功能按钮，界面所示的当前输入模式是文本字符输入模式，当用户点击切换功能按钮后，将切换为指纹信息输入模式。

另外，在本申请的具体实施方式中，为了方便用户使用，还可以进一步提供更为灵活的认证输入方式，例如：

1)允许用户自行选择以哪种模式输入口令。

本申请方案是以文本口令为基础，加入指纹信息的一个目的也是为了降低用户在输入文本口令过程中的泄露风险。基于这种情况，可以设定指纹形式(包括指纹与字符混用)的口令与文本形式的口令同时有效。系统侧接收到用户输入的口令序列后，首先判断是包含指纹信息的口令还是全文本形式的口令，如果是前一种情况，则先转换为全文本形式的口令再进行认证判断(即前述的S202-S203)，如果是后一种情况，则可以直接进行认证判断。

应用上述方案，如果用户能够确定当前的周围环境是安全的(例如在自己家里)，则可以直接以文本形式输入口令，以达到简化操作的目的，同时也能简化系统侧后续的判断处理；反之，如果用户无法确定当前使用环境的安全性(例如在公共场合)，则可以切换为指纹方式输入口令以避免泄露。

此外，这种方式还可以有效提升本申请方案的适用范围，在不具有指纹输入功能的设备上，用户仍然可以使用文本形式的口令进行认证。典型的应用场景例如：对于某支付应用，如果用户当前使用的该应用的手机版本，并且用户当前使用的手机支持指纹输入，那么用户可以使用指纹形式输入口令；如果用户当前使用的手机不支持指纹输入、或者用当前使用的该应用的PC版本(这里假设PC机不支持指纹输入)，则用户同业可以使用文本形式的口令来完成认证。

2)允许用户自行选择单个字符的输入模式。

前面的实施例曾经提到：在认证信息构建阶段，对于一个长度为L的认证文本口令序列，可以仅将其中的N(N≤L)个字符定义为可替换字符，并且可替换字符可以位于序列的任意位置。而在认证阶段，可以进一步规定：对于包含N个可替换字符的认证文本口令序列，允许用户针对其中的M(M≤N)个字符输入指纹信息，系统侧接收到用户输入口令序列之后，将其中的M条指纹信息分别解析为文本字符，只要最终得到的全文本序列与认证文本口令序列相匹配，则可确定认证成功，无需关注用户所输入的指纹信息数量。

例如，对于四位数字序列1357，以及前面所述的对应关系，用户在认证时，可以输入：

1-3-5-7、

左手食指指纹-3-5-7、

左手食指指纹-左手中指指纹-5-7、

1-3-5-左手小指指纹、

等等

由于上述输入最终转换后得到的全文本形式均为“1357”，与认证文本口令序列相匹配，因此都可以通过认证。

通过这种方式，也可以达到简化用户操作的目的，事实上当M＝0时，即相当于方案1)所描述的情形。此外，这种方式也使得用户的输入行为更为灵活，从而间接起到了提高隐蔽性的作用。

根据实际的应用场景或应用需求，S202和S203均可以在用户设备本地实现或者网络侧设备实现。在网络侧实现的场景下，用户通过终端设备输入指纹(包括全指纹以及指纹与字符混合的情况)信息后，终端设备将指纹信息上传至网络侧设备，由网络侧设备将用户输入的指纹信息列解析为文本字符、并且进行认证判断后，将认证结果反馈至终端设备。当然也可以是网络侧设备仅用于解析指纹信息，然后将解析结果反馈至终端设备、并由终端设备自身进行认证判断。

另外，在实际应用中，往往会出现指纹信息无法解析的问题，例如用户当前输入的某个指纹清晰度不足、或者在预存的身份认证信息中没有找到与用户当前输入的指纹信息相匹配的指纹信息，等等，这种情况下，系统侧也可以直接在S202给出认证失败的结果，如果所有指纹信息均解析成功，再进一步执行S203的操作。

以上分别介绍了本申请所提供的身份认证信息构建方案和身份认证信息应用方案。可以理解的是，为了实现用户身份认证信息的构建，一般要求用户在该阶段所使用的设备至少具备字符输入功能和指纹输入功能，当然也并不排除采用上传文件等方式来输入认证文本口令序列和指纹信息。而在实际认证应用阶段，很多情况下并不一定要求用户所使用的设备同时具备字符输入功能和指纹输入功能，这也进一步提高了本申请方案的适用范围。

相应于上述方法实施例，本申请还提供一种身份认证信息构建装置，参见图4所示，该装置可以包括：

文本口令序列获得模块110，用于获得用户输入的认证文本口令序列；

指纹信息获得模块120，用于针对认证文本口令序列中的一个或多个文本字符，分别要求用户进一步输入与该字符对应的认证指纹信息；

信息保存模块130，用于将认证文本口令序列、认证指纹信息以及指纹信息 与字符的对应关系保存为该用户的身份认证信息。

在本申请的一种具体实施方式中，上述一个或多个文本字符可以由用户指定或系统指定。

本申请还提供一种身份认证装置，参见图5所示，该装置可以包括：

存储模块210，用于预先存储用户在认证信息构建阶段提供的认证文本口令序列、认证指纹信息、以及指纹信息与文本字符的对应关系；

接收模块220，用于接收用户输入的口令序列，该口令序列的每一位分别以文本字符或指纹信息的形式输入；

解析模块230，用于根据指纹信息与文本字符的对应关系，将用户输入的指纹信息解析为文本字符，并根据解析结果将用户输入的口令序列转换为全文本序列；

认证模块240，用于判断转换得到的全文本序列是否与该用户的认证文本口令序列匹配，如果是则确定认证成功，否则确定认证失败。

在本申请的一种具体实施方式中，认证模块240还可以用于：在解析模块对用户输入的指纹信息解析失败的情况下，直接确定认证失败。

在本申请的一种具体实施方式中，接收模块220还可以用于：

根据用户的选择操作，将当前的输入模式切换为指纹信息输入模式、或者切换为文本字符输入模式。

本申请还提供一种身份认证系统，该系统可以包括上述的身份认证信息构建装置及身份认证装置，这里不再示出该系统的结构示意图。根据前面的说明可知，两者的协作关系为：信息保存模块130将认证文本口令序列、认证指纹信息以及指纹信息与字符的对应关系保存为该用户的身份认证信息后，直接存储至存储模块210。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、 光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置或系统实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本申请方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本申请的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。