一种用户身份验证和权限识别方法及系统与流程

本发明属于移动通讯终端信息处理技术领域中的用户身份验证和权限识别技术领域，特别涉及一种基于用户移动通信终端id的提取与人脸识别相结合的方法。

背景技术

近几年来，互联网蓬勃发展，互联网支付如支付宝、微信支付、京东金融等兴起，由于这些支付方式使用便捷，人们越来越适应这些支付方式。但随着信息时代的快速发展，人们也越来越注重自身的信息安全，开始担忧账户的安全性。

目前地铁、公交车票的主要形式是投币式和储值卡，但随着无线通信技术的发展，nfc近场通信技术也已经运用于afc系统(automaticfarecollectionsystem)中，由于其主要工作频率为13.56mhz，与公交卡、地铁卡所用频率相同，因此能够很好地兼容；与此同时，二维码支付也正在逐步应用于afc系统，这两种技术均可以通过与移动通信终端进行捆绑应用，提供相应的计费、支付等服务。这些技术的普及应用意味着人们日常生活中所携带的ic卡将会越来越多，移动通信终端中app应用也会相应的增多，人们在享受这些新技术带来方便快捷的同时，也出现了一些新的烦恼，譬如智慧ic卡容易丢失、移动通信终端app安装过多导致移动通信终端卡顿等问题，尤其是人们更担忧的安全问题。

生物识别被认为是独一无二的身份信息，主要技术包括指纹、虹膜、静脉、dna及人脸识别等。由于指纹、虹膜、静脉、dna等需要都要用户配合或者用户主动接触，这导致其应用场景相对局限。然而人脸识别却不需要用户的配合，正常情况下识别率可以达到95％，由此，人脸支付这项新的黑科技得到了重视，并已经开始了初步的商用。由于人脸是每个人独一无二的标识，使用人脸进行支付会更安全，与二维码相比，人脸支付也更加的方便。人脸识别一般是1对1、1对n或者n对n的识别，在人脸数据库较小的情况下即n较小，人脸的识别率达到99％以上，识别时间在2秒以内，但一旦数据库容量变得十分庞大，必将导致识别时长的延长，在afc系统场景下将会影响用户的体验效果。

此外，传统的对移动通信终端定位的方法，移动通信基站系统对移动通信终端与基站的空间距离可在3-5米以上的精度范围内识别，对移动通信终端上的用户身份识别卡对应的id号可在2～10秒的范围内提取，该精度范围及识别提取时间能够满足定位的大体需求，但此方法对近距离内快速识别、精确验证、快捷支付等场景并不适用。

发明专利2017114323187公开了一种基于近距空间的移动通信终端用户快速准确识别的智能服务方法，基于改进的现有的移动通信基站(可以包括多种基站)，尤其是专门的移动通信终端感知设备，实现快速准确提取近距空间的移动通信终端用户身份信息，通过快速、准确读取信息，完成一种包括支付信息交换或对硬件设备的控制信号输出智能服务方法，如控制门禁的动作，并完成后续的(支付、扣款)等信息处理。但该发明必须保证移动通信终端感知设备与外网实时地连通，才能够实现用户身份的验证、识别和提取，因此该发明无法用于只有专网或者断网的情况。

技术实现要素：

为解决现有技术的不足，譬如大容量数据库情况下人脸识别的时延问题、用户的移动通信终端id的近距离精准提取，必须在网状态下才能实现，本发明提供一种将移动通信终端感知与人脸识别相结合的方法及系统，实现快速、准确且安全的用户身份验证和权限识别，以完成一种支付信息交换或对硬件设备的控制等信号输出，例如，控制门禁的动作，完成后续支付等信息处理，从而实现对用户与服务的(人或物)精准对应，提高信息安全。

具体技术方案如下：

一种用户身份验证和权限识别方法，包括如下步骤：

s1.建立包括用户的人脸图像、终端id、及人脸图像与终端id一一对应关系的用户数据库；

s2.通过移动通信终端感知设备获取进入其通信覆盖范围内的移动通信终端的用户终端id；

s3.在用户数据库中查找获取到的终端id，并建立包含该终端id、与之对应的人脸图像、以及两者之间的对应关系的临时数据库；

s4.通过拍摄设备实时抓拍进入拍摄区域内的人脸图像，将实时现场抓拍的人脸图像与临时数据库中的用户数据进行比对，以验证持有该移动通信终端用户身份的合法性，并在验证合法时发出相应的服务信号；

所述用户是指持有经电信级实名认证并绑定在特定服务系统上的移动通信终端用户；

所述验证持有该移动通信终端用户身份的合法性包括：验证该移动通信终端是否享有某项特定服务系统上的服务权限以及该移动通信终端持有者是否为移动通信终端用户本人。

作为一种优选方案，移动通信终端感知设备通过自带的前端射频天线实现全向或定向区域范围的通信覆盖。

作为一种优选方案，移动通信终端感知设备通过自定义协议获取到进入其通信覆盖范围内所有用户的终端id。

作为一种优选方案，通过调整自定义协议中移动通信终端感知设备的无线接收信号强度、输入功率及平均信号强度，控制识别距离在10cm以内。

作为一种优选方案，所述用户终端id包括但不限于imsi号、手机号。

作为一种优选方案，所述服务系统包括但不限于支付系统、轨道交通系统、安保门禁系统、考勤系统；所述服务信号包括但不限于信息交换信号、对硬件设备的控制信号。

作为一种优选方案，所述移动通信终端感知设备和摄像设备加载在提供相应服务的设备上，或者独立制备成移动通信终端读头与提供相应服务的设备匹配。

作为一种优选方案，所述用户持有的移动通信终端还经过公安系统的身份认证。

作为一种优选方案，对临时数据库在预设周期内进行更新。

作为一种优选方案，验证的总时长不大于2秒。

进一步的，本发明还公开一种用户身份验证和权限识别系统，其包括服务系统、摄像设备、移动通信终端感知设备，所述服务系统存储有用户数据库和临时数据库，其中，用户数据库包括用户的人脸图像、终端id、及人脸图像与终端id一一对应关系，所述临时数据库包括用户数据库中部分用户的人脸图像、终端id、及人脸图像与终端id一一对应关系；所述用户是指持有经电信级实名认证并绑定在特定服务系统上的移动通信终端用户；所述临时数据库中的用户是指：人脸图像、终端id、及人脸图像与终端id一一对应关系存储于第一用户数据库且终端id能通过移动通信终端感知设备获取的用户；所述移动通信终端感知设备用于获取其通信覆盖范围内的移动通信终端的用户终端id；所述拍摄设备用于实时抓拍进入拍摄区域内的人脸图像并发送至服务系统；所述服务系统用于将实时现场抓拍的人脸图像与临时数据库中的用户数据进行比对，验证持有该移动通信终端用户身份的合法性，并在验证合法时向提供某项特定服务的设备发出相应的服务信号；

所述验证持有该移动通信终端用户身份的合法性包括：验证该移动通信终端是否享有某项特定服务系统上的服务权限以及该移动通信终端持有者是否为移动通信终端用户本人。

有益效果:

(1)将移动通信终端感知技术和人脸识别技术相结合，由于移动通信终端感知设备的自身强大的加密通信协议以及人脸的不可复制性，使得本方法在信息安全上达到电信级且具备人脸独一无二的安全特性。

(2)通过改进移动通信终端感知设备的无线接收信号强度(rssi)、输入功率及计算平均信号强度等部分协议，使得本方法能够识别处于0～10cm近距空间的用户。

(3)通过调控发射功率等手段调节移动通信终端感知设备的感知范围和大、小数据库的应用，使得本发明能够在2s内快速地对用户的识别及验证。

(4)随着移动通信的发展，移动通信终端(智能手机为典型代表)成为人们随身携带的少数几个物品之一，本发明无需要网络控制参数(npc)扫描码的验证识别获得信息，通过随身携带的移动通信终端即可实现户身份验证和识别，对提升移动支付体验、提升通行体验及效率并据此进行智能服务具有重大意义，具有较大的社会效益和经济效益。

附图说明

图1为快速、准确且安全的用户身份验证和权限识别系统的构成示意图；

图2为本发明的用户身份识别和验证的流程图；

附图标记：1为服务系统，2为摄像设备，3为移动通信终端感知设备。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明。

如图1所示，实施例中公开一种快速、准确且安全的用户身份验证和权限识别系统，包括服务系统、摄像设备、移动通信终端感知设备。拍摄设备实时抓拍进入拍摄区域内的人脸图像，将实时现场抓拍的人脸图像与临时数据库中的用户数据进行比对，验证持有该移动通信终端用户身份的合法性，并在验证合法时向提供某项特定服务的设备发出相应的服务信号。

相应的，如图2所示，实施例中还公开了一种快速、准确且安全的用户身份验证和权限识别方法，建立安全且健全的用户人脸图像与用户的移动通信终端id(简称用户终端id)一一对应的数据库a，并对需要服务的用户进行身份验证和识别的分析。首先，通过移动通信终端感知设备获取覆盖范围内的所有用户终端id，缩小数据库a，从而得到临时数据库b，从而提高图像比对时间；其次，通过摄像设备进行现场实时拍摄人脸图像；最后，利用现场拍摄的人脸图像与数据库b中的人脸图像进行对比，实现用户身份快速、准确且安全的验证与权限识别。

实施例公开的快速、准确且安全的用户身份验证和权限识别方法，具体包括如下步骤：

步骤一，建立健全且经认证的人脸与用户终端id对应的数据库a(即大数据库)。

为用户建立全面的人脸图像数据库a，用户的移动通信终端经电信级实名验证、人脸验证并绑定在一个有效的服务系统上，即通过现有运营商的实名认证系统、公安身份系统等确保用户的人脸图像与用户终端id相关联，且一一对应。

其中，用户是指持有经过认证的移动通信终端的用户(简称为用户)。其中，移动通信终端(简称为终端)包括但不限于2g、3g、4g、5g移动通信终端，例如智能手机、pad等，该终端经电信级实名验证并绑定在一个有效的支付平台上。例如，当门禁信号产生的同时也对应产生一个根据通行的按次或同时按级支付的信息；此信息发送到有效的支付平台上进行支付处理，以实现实时支付或延迟支付等多种支付形式。

其中，用户终端id可采用手机号码、imsi号等。将用户终端id与人脸图像一对一对应起来，形成的数据库a尽可能保证数据量大且信息完整，但此时数据库a的容量极大并不利于直接进行人脸识别。

步骤二，通过移动通信终端感知设备获取覆盖范围内所有用户终端id，并发送至服务系统。

移动通信终端感知设备通过其具有的前端射频天线实现一定区域范围内全向或定向的通信覆盖。当用户进入覆盖范围时，移动通信终端感知设备通过专有的自定义协议可以快速、实时地获取到该范围内所有用户终端id。本发明的整个过程通过无线通信技术和人脸识别技术实现，用户无需点亮和操作其终端设备，因此对用户而言是无感的。

其中，移动通信终端感知设备的呈现方式可以是基站、d2d(devicetodevicecommunication设备到设备通讯)终端等。在实际应用时，可根据应用场景需求，将移动通信终端感知设备和摄像设备加载在地铁的闸机门禁、pos机等设备上形成一个整体(即带有移动通信终端感知和人脸识别功能的闸机门禁、pos机等整体设备)，或独立制备成移动通信终端读头并与地铁闸机门禁、pos机等设备匹配(即相互独立，通过线路连接)。

通过控制发射功率等手段，移动通信终端感知设备能够感知将其周围一定范围内的移动通信终端。具体可将前端射频天线作为中间辐射单元，通过控制系统的发射功率等手段，即可控制前端射频天线的辐射覆盖范围，实现对确定范围的感知区域(如5-15米范围内)或确定定向的感知区域进行覆盖。感知范围的大小主要根据快速通行时间等实际场景中的实际应用需求确定，例如10米。

移动通信终端感知设备与服务系统有线连接，具体可通过特定的输入/输出端口(即用于连接系统的各个设备的端口，例如串口、网口、lan口等)将所步骤二获取的用户的终端id发送给服务系统。当然，在实际使用时，也可无线连接，但在信息安全要求较高的场景，选择有线连接安全保障会更高。

例如，移动通信终端感知设备与移动通信核心网进入电信级联通，且具备用户终端id识别功能；当用户进入移动通信终端感知设备提供的通信覆盖范围，并满足移动通信终端重选或切换条件时，能够通过重选、切换、注册等方式驻留、连接到移动通信终端感知设备中，内部基站或d2d终端向该移动通信终端发送请求信令，并从该移动通信终端返回的无线广播信号中提取出包含该用户终端id的特征信息。

步骤三，服务系统接收、筛选并建立用于验证和识别区域内需要服务的用户身份的临时数据库b(即小数据库)。

服务系统接收移动通信终端感知设备发送的用户终端id，以此为依据，对比数据库a，筛选出对应的用户人脸图像，并建立一个新的小容量的临时数据库b。

移动通信感知设备通过专有的自定义协议获取的用户终端id可通过设备间的特定通信接口协议(即各设备物理端口如串口、网口之间实现通信的软件协议)发送给后台系统。后台系统能够利用这些信息在数据库a中进行对比检索(即通过id检索到相应的用户信息，包括相对应的人脸图像和用户终端id信息等)，从而创建一个新的小容量的临时数据库b，用于验证和识别区域内需要服务的用户身份。

其中，临时数据库b的容量与移动通信终端感知设备覆盖范围成正相关性。在应用过程中，进入覆盖范围内的用户数量会逐渐增加，为保证临时数据库b的容量，可根据实际应用场景、人数等情况灵活地设置更新周期(例如地铁早晚高峰时间段内，周期为2s；正常情况为1分钟等)，以覆盖掉那些短期内不会再次使用该服务的用户，并保证不同用户需要享受服务的准确性和及时性。

步骤四，摄像设备与移动通信感知设备相互独立且分别与服务系统相连接，摄像设备实时抓拍人脸图像并录入服务系统，服务系统将实时现场的抓拍人脸图像与临时数据库b对比，从而实现用户身份快速、准确且安全的验证与权限识别，最终为用户提供相应的服务。

当用户移动并进入摄像设备的拍摄区域，需要进行特定的服务时，摄像头实时抓拍用户的人脸图像，并发送给服务系统。服务系统将该实时的人脸图像与数据库b进行对比，验证用户身份合法性时，发出一个服务信号，最终为用户提供快速、准确且安全的服务，用户的等待时长应不超过2秒。

其中，服务系统验证和识别处于拍摄区域的用户是否合法，总时长小于2秒。这里的合法性是指用户是否为所持终端的拥有人(即用户本人)及所持终端是否开通或具有该项服务(例如支付及通行)的权限。具体包括：首先，通过终端感知设备获取服务区内所有终端用户，建立临时数据库b，同时识别待服务的用户终端id，同时通过人脸识别算法判断摄像设备拍摄的持有该终端的人是否为存储在临时数据库b的该终端对应的用户本人(即身份一致性判断)，并验证该用户是否开通了此项服务。若为用户本人且开通了服务，则生成一个服务信号，并发送至服务系统提供相应的服务。

需要说明的是，实施例中，享受服务的终端和持有终端的用户还可通过公安身份系统的安全认证，具有用户身份是否合法的验证功能还包括该用户是否为公安系统在监控或在抓捕的非法人员。

需要说明的是，其中的服务系统包括例如和支付、支付宝、微信等合法的支付系统，地铁闸机的轨道交通系统，大厦、公园的安保门禁系统，单位的考勤系统等，这些系统可以集成于同一平台中，并可按需开放给相应的部门或单位；服务信号包括信息交换信号(例如，支付、扣款或/与平台清算、通勤、身份校验、打卡等)、对硬件设备的控制信号(例如，闸机、门禁等控制信号)等。

尽管以上结合附图对本发明的实施方案进行了描述，但本发明并不局限于上述的具体实施方案和应用领域，上述的具体实施方案仅仅是示意性的、指导性的，而不是限制性的。本领域的普通技术人员在本说明书的启示下，在不脱离本发明权利要求所保护的范围的情况下，还可以做出很多种的形式，这些均属于本发明保护之列。