身份认证方法及系统、电子设备、计算机可读存储介质与流程

本发明涉及身份认证技术领域，特别涉及一种身份认证方法及系统、电子设备、计算机可读存储介质。

背景技术：

企业信息系统中存储了大量人、财、物等关键信息，而企业信息系统的身份认证依然沿用传统的密码、口令、数字证书方式，由于与身份主体的可分离性，防伪性差，易造成泄露、伪造、盗用、破译等现象，存在着一定的安全隐患，已不能完全满足企业用户身份信息安全主动防御的需要。同时非法侵入者的正式身份追溯困难，造成公司蒙受的物资和经济损失因缺乏强有力的证据而难以有效追回。

技术实现要素：

本发明目的在于提供一种身份认证方法及系统、电子设备、计算机可读存储介质，为企业提供安全可靠灵活的集成人脸识别认证服务和预警，更好地满足企业用户身份信息安全主动防御的需要。

为了实现本发明目的，本发明实施例提供一种身份认证方法，其特征在于，包括如下步骤：

根据用户输入的用户信息进行第一重身份验证，所述用户信息至少包括用户名和密码，根据身份认证数据库存储的用户信息确定输入的用户名与密码是否匹配，若匹配则进入第二重身份验证，若不匹配则提示用户验证失败；

采集用户人脸特征信息进行第二重身份验证，根据身份认证数据库存储的人脸特征信息确定采集得到用户人脸特征信息与所述用户输入的用户信息是否匹配，若匹配则授予用户相应权限，若不匹配则提示用户验证失败。

其中，所述身份认证数据库包括用户信息数据库和人脸特征信息数据库，所述用户信息数据库存储有用户信息，所述人脸特征信息数据库存储有人脸特征信息，且每一用户的用户信息与用户的人脸特征信息对应。

其中，所述若匹配则授予用户相应权限具体包括：将用户验证成功的结果发送至相应业务系统或终端，则用户获得授权登录相应业务系统或终端。所述业务系统或终端可以是企业内部的一些业务系统或终端，本实施例中不进行特别限定，可以根据企业的具体情况而设定。

本发明实施例还提供一种身份认证系统，包括：

身份认证数据库，用于存储用户注册的用户信息和人脸注册的人脸特征信息；

人脸采集单元，用于采集用户人脸特征信息；

第一验证单元，用于根据用户输入的用户信息进行第一重身份验证，所述用户信息至少包括用户名和密码，根据身份认证数据库存储的用户信息确定输入的用户名与密码是否匹配；

第二验证单元，用于接收并根据所述第一验证单元的验证结果、所述人脸采集单元的用户人脸特征信息以及身份认证数据库存储的人脸特征信息确定采集得到用户人脸特征信息与所述用户输入的用户信息是否匹配。

其中，所述身份认证数据库包括用户信息数据库和人脸特征信息数据库，所述用户信息数据库存储有用户注册的用户信息，所述人脸特征信息数据库存储有人脸注册的人脸特征信息，且每一用户的用户信息与用户的人脸特征信息对应。

其中，所述第二验证单元与相应业务系统或终端通信连接，所述第二验证单元还用于将所述第二验证单元的验证成功结果发送至相应业务系统或终端以使得用户获得授权登录相应业务系统或终端。

其中，所述人脸采集单元包括人脸图像监测模块和人脸特征提取模块，所述人脸图像监测模块用于监测并采集人脸图像，所述人脸特征提取模块用于对人脸图像中的人脸特征信息进行分析提取。

其中，所述人脸图像监测模块包括摄像头。

本发明实施例还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，以实现如前所述的身份认证方法。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时，以实现如前所述的身份认证方法。

实施本发明实施例，具有如下有益效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例一所述一种身份认证方法流程图。

图2为本发明实施例二所述一种身份认证系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围。

在此，还需要说明的是，为了避免因不必要的细节而模糊了本发明，在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤，而省略了与本发明关系不大的其他细节。

如图1所示，本发明实施例一提供一种身份认证方法，其可以应用于企业的系统认证，所述方法具体包括如下步骤：

s1根据用户输入的用户信息进行第一重身份验证，所述用户信息至少包括用户名和密码，根据身份认证数据库存储的用户信息确定输入的用户名与密码是否匹配，若匹配则进入第二重身份验证，若不匹配则提示用户验证失败；

s2采集用户人脸特征信息进行第二重身份验证，根据身份认证数据库存储的人脸特征信息确定采集得到用户人脸特征信息与所述用户输入的用户信息是否匹配，若匹配则授予用户相应权限，若不匹配则提示用户验证失败。

其中，所述身份认证数据库包括用户信息数据库和人脸特征信息数据库，所述用户信息数据库存储有用户信息，所述人脸特征信息数据库存储有人脸特征信息，且每一用户的用户信息与用户的人脸特征信息对应。

具体而言，只有经过注册的用户才可以通过身份验证，所述注册包括用户注册与人脸注册，所述用户注册为将用户信息加载至用户信息数据库中，所述用户信息包括用户名与密码；所诉人脸注册为使用人脸采集设备进行人脸采集，将采集到的人脸特征信息与用户信息数据库中的已注册的用户一一进行匹配并将所述人脸特征信息加载至人脸特征数据库。

其中，所述若匹配则授予用户相应权限具体包括：将用户验证成功的结果发送至相应业务系统或终端，则用户获得授权登录相应业务系统或终端。

具体而言，注册结束后，用户首先输入用户名与密码进行登录，身份认证信息管理服务验证用户名与密码是否匹配进行第一重身份验证，若所诉第一重身份验证成功，则同时调用人脸图像采集服务与人脸特征数据库，所述人脸采集服务启动摄像头进行人脸采集，并将采集到的人脸特征信息与所述人脸特征数据库中该登录用户的用户信息的人脸特征信息进行对比验证，进入s2；若所述第一重身份验证失败则提示用户验证失败，则用户再次输入用户名与密码进行登录。

若人脸图像采集服务确认采集到的人脸特征信息与该登录用户的用户信息的人脸特征信息一致，则通过接口服务将对比验证成功的结果发送至其他业务系统或终端，用户可获授权相应登录业务系统或终端；若人脸图像采集服务确认采集到的人脸特征信息与该登录用户的用户信息的人脸特征信息不一致，则提示用户验证失败。

如图2所示，本发明实施例二提供一种用于实现实施例一所述身份认证方法的身份认证系统，所述系统包括：

身份认证数据库1，用于存储用户注册的用户信息和人脸注册的人脸特征信息；

人脸采集单元2，用于采集用户人脸特征信息；

第一验证单元3，用于根据用户输入的用户信息进行第一重身份验证，所述用户信息至少包括用户名和密码，根据身份认证数据库存储的用户信息确定输入的用户名与密码是否匹配；

第二验证单元4，用于接收并根据所述第一验证单元的验证结果、所述人脸采集单元的用户人脸特征信息以及身份认证数据库存储的人脸特征信息确定采集得到用户人脸特征信息与所述用户输入的用户信息是否匹配。

其中，所述身份认证数据库1包括用户信息数据库11和人脸特征信息数据库12，所述用户信息数据库11存储有用户注册的用户信息，所述人脸特征信息数据库12存储有人脸注册的人脸特征信息，且每一用户的用户信息与用户的人脸特征信息对应。本实施例中用户信息数据库11实现对身份认证数据的统一存储管理、高效检索、可靠维护，以确保身份认证数据的真实性、可维护性。

其中，所述第二验证单元4包括与相应业务系统或终端通信连接的接口服务，通过该接口服务，所述第二验证单元4还用于将所述第二验证单元4的验证成功结果发送至相应业务系统或终端以使得用户获得授权登录相应业务系统或终端。

其中，所述人脸采集单元2包括人脸图像监测模块21和人脸特征提取模块22，所述人脸图像监测模块21用于监测并采集人脸图像，所述人脸特征提取模块22用于对人脸图像中的人脸特征信息进行分析提取。

其中，人脸识别（facialrecognition）是通过视频采集设备获取用户的面部图像，再利用核心的算法对其脸部的五官位置、脸型和角度进行计算分析，进而和自身数据库里已有的范本进行比对，后判断出用户的真实身份。人脸识别技术基于局部特征区域的单训练样本人脸识别方法。第一步，需要对局部区域进行定义；第二步，人脸局部区域特征的提取，依据经过样本训练后得到的变换矩阵将人脸图像向量映射为人脸特征向量；第三步，局部特征选择（可选）；后一步是进行分类。分类器多采用组合分类器的形式，每个局部特征对应一个分类器，后可用投票或线性加权等方式得到终识别结果。人脸识别综合运用了数字图像/视频处理、模式识别、计算机视觉等多种技术，核心技术是人脸识别算法。人脸识别的算法有4种：基于人脸特征点的识别算法、基于整幅人脸图像的识别算法、基于模板的识别算法、利用神经网络进行识别的算法。需说明的是，本实施例中所述人脸特征提取模块22不限定某一种特定的人脸特征提取方法。

其中，所述人脸图像监测模块包括摄像头，所述摄像头用于采集人脸图像。

需说明的是，本发明实施例二所述系统与实施例一所述方法对应，实施例二所述系统未详述相关部分可参阅实施例一所述方法获得，此处不再赘述。

本发明实施例三还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，以实现如实施例一所述的身份认证方法。

在一种可选的实现形式中，该电子设备还可以包括：存储器及处理器，连接不同组件(包括存储器和处理器)的总线，存储器存储有计算机程序，当处理器执行所述计算机程序时实现本申请实施例一所述的身份认证方法。

总线表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

电子设备典型地包括多种计算机设备可读介质。这些介质可以是任何能够被电子设备访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器还可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)和/或高速缓存存储器。电子设备可以进一步包括其他可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统可以用于读写不可移动的、非易失性磁介质(图未显示，通常称为“硬盘驱动器”)。尽管图中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其他光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线相连。存储器可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本申请各实施例的功能。

具有一组(至少一个)程序模块的程序/实用工具，可以存储在例如存储器中，这样的程序模块包括——但不限于——操作系统、一个或者多个应用程序、其他程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块通常执行本申请所描述的实施例中的功能和/或方法。

电子设备也可以与一个或多个外部设备(例如键盘、指向设备、显示器等)通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其他计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器通过总线与电子设备的其他模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其他硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

需要说明的是，前述对实施例一方法的解释说明也适用于实施例三的电子设备，其实现原理类似，此处不再赘述。

本发明实施例四还提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时，以实现如实施例一所述的身份认证方法。

在一种可选实现形式中，本实施例可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括c、c++等。程序代码可以完全地在用户电子设备上执行、部分地在用户电子设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。