身份认证方法及身份认证装置与流程

本申请涉及信息安全技术领域，尤其涉及一种身份认证方法及身份认证装置。

背景技术：

随着互联网的蓬勃发展，使用网上银行(也称为网银)进行交易的方式也深入各个行业，与此同时，如何确定用户的身份以保证网银的交易安全也成为了网银业务发展必须面临的重要问题。当前，一种对用户的身份进行认证的方法是使用通用串行总线(universalserialbus，usb)接口(也称为usbkey)。

usbkey，内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。每一个usbkey都具有个人识别密码(personalidentificationnumber，pin)保护，用户只有同时取得了usbkey和pin，才可以进行网银交易。即使用户的pin被泄露，只要用户持有的usbkey不被盗取，合法用户的身份就不会被仿冒；而如果用户的usbkey遗失，拾到者由于不知道用户pin，也无法仿冒合法用户的身份，以保证网银交易的安全性。

然而，在使用usbkey进行身份认证时，经常会出现因为用户多次输入错误密码而导致网银交易失败的情况。

技术实现要素：

本申请提供一种身份认证方法及身份认证装置，可以避免用户因忘记密码或者输错密码而导致的网银交易失败问题。

第一方面，本申请提供一种身份认证方法。该方法中，第一设备确定使用通用串行总线接口设备usbkey对用户的身份进行认证；若用户当前输入的第一生物特征信息与第一设备当前登录的交易账号所绑定的第二生物特征信息匹配，第一设备向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文；所述第一设备接收来自usbkey的指示信息；第一设备根据指示信息确定用户的身份认证结果。

本申请实施例提供的身份认证方法，通过采集用户的生物特征信息来代替用户输入个人识别密码pin，并在该生物特征信息与当前登录的交易账号所绑定的第二生物特征信息匹配的情况下，才向usbkey发送交易信息。该方法可以实现用户不需要记忆密码，从而避免用户因忘记密码或者输错密码而导致的网银交易失败问题。

此外，还可以理解的是，相比目前只使用用户的生物特征信息进行用户认证的方法，由于该技术方案中第一设备还需要根据usbkey的指示信息确定用户的身份认证结果，因此，增加了网银交易的安全性。

结合第一方面，在一种可能的实现方式中，第一设备向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文之前，所述方法还包括：第一设备采集用户的第一生物特征信息；第一设备判断用户的第一生物特征信息与所述第二生物特征信息是否匹配。

该实现方式中，由于采集生物特征信息并确定用户身份是否合法均是通过第一设备来完成，因此可以避免生物特征信息的验证结果被恶意篡改，提高了验证结果的可靠性，进一步地，提升了网银交易的安全性。

结合第一方面，在一种可能的实现方式中，所述第一设备判断第一生物特征信息与第二生物特征信息是否匹配，包括：计算第一生物特征信息包括的所有特征信息的平均值；计算第二生物特征信息包括的所有特征信息的平均值；计算第一生物特征信息包括的所有特征信息的平均值与第二生物特征信息包括的所有特征信息的平均值之间的差值；若差值在预设范围内，所述第一设备确定第一生物特征信息与第二生物特征信息匹配。

该实现方式中，通过计算第一生物特征信息包括的所有特征信息的平均值与第二生物特征信息包括的所有特征信息的平均值之间的差值是否在预设范围内来确定第一生物特征信息与第二生物特征信息是否匹配。由于使用的是第一生物特征信息的平均值去进行比较，因此鲁棒性较好。

结合第一方面，在一种可能的实现方式中，第一设备向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文之前，所述方法还包括：第一设备向第二设备发送验证消息，验证消息用于指示用户使用第二设备输入第一生物特征信息；所述第一设备接收第二设备发送的匹配结果信息，所述匹配结果信息用于指示第一生物特征信息与第二生物特征信息是否匹配。

该实现方式中，由于第一设备不能够进行生物特征信息的采集，因此，通过向用户的第二设备发送验证消息，以让用户从第二设备上进行生物特征信息的输入，从而完成了在没有生物特征信息采集模块的第一设备上，使用生物特征信息方式校验用户身份是否合法，从而进一步完成网银交易。

结合第一方面，在一种可能的实现方式中，第一设备确定使用通用串行总线接口设备usbkey对用户的身份进行认证，包括：所述第一设备接收用户的第一指令；根据第一指令确定使用usbkey对用户的身份进行认证。

结合第一方面，在一种可能的实现方式中，所述方法还包括：若第一设备在时长t内没有接收来自usbkey的指示信息，所述第一设备确定用户的身份认证失败。

该实现方式中，可以提升网银交易的安全性能。例如，若用户的生物特征信息被黑客或者木马程序截获，那么在黑客使用该生物特征信息进行验证时有可能会通过生物特征信息的校验，但黑客或者木马程序不可能按下usbkey上的确认按键，因此用户的认证仍然是不会通过的，保证了网银交易的安全。

结合第一方面，在一种可能的实现方式中，第一生物特征信息包括以下至少一种：人脸信息、声音信息、指纹信息。

第二方面，本申请提供一种身份认证装置，包括存储器和处理器，所述存储器用于存储程序指令；所述处理器用于调用所述存储器中的程序指令执行如第一方面或其中任意一种可能的实现方式所述的方法。

第三方面，本申请提供一种计算机可读介质，所述计算机可读介质存储用于计算机执行的程序代码，该程序代码包括用于执行如第一方面或其中任意一种可能的实现方式所述的方法。

第四方面，本申请提供一种计算机程序产品，所述计算机程序产品中包括计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机实现如第一方面或其中任意一种可能的实现方式所述的方法。

附图说明

图1为本申请一个实施例提供的一种网银交易系统的示意图；

图2为本申请一个实施例提供的身份认证方法的示意性流程图；

图3为本申请一个实施例提供的第一界面的示意图；

图4为本申请另一个实施例提供的身份认证方法的示意性流程图；

图5为本申请又一个实施例提供的身份认证方法的示意性流程图；

图6为本申请一个实施例提供的身份认证装置的结构性示意图；

图7为本申请一个实施例提供的身份认证装置的结构性示意图。

具体实施方式

为于理解，首先对本申请所涉及到的相关术语进行说明。

1、数字证书

数字证书又称为数字标识，是标志网络用户身份信息的一系列数据。它提供了一种在互联网上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是个人或单位在互联网上的身份证明。

数字证书是由认证中心(certificationauthority，ca)签发的，它本身就是用户的身份和与之所持有的公钥的结合。再结合之前，由一个可信任的认证机构来证实用户的身份，然后由ca对该用户身份及对应的公钥相结合的整数进行数字签名，用来证明证书的有效性。

一个数字证书的内容包括以下几部分：所有者的公钥、所有者的名字、公钥的失效期、发放机构的名称、数字证书的序列号和发放机构的数字签名。每个数字证书都拥有一对互相匹配的密钥，即私有秘钥和公共密钥。其中，私钥仅为用户本人所掌握，主要用于解密和数字签名，而公钥可以对外公开，主要用于加密和验证签名。数字证书的加密过程是一个不可逆的过程，即利用公钥加密后的数据只能通过相应的私钥才能进行解密。因此，在发送数据时，只要发送方利用接收的公钥对要发送的数据进行加密，就可以确保数据的保密性。因为即使加密数据被第三方截获，由于没有相应的私钥，第三方也无法进行解密。

2、usbkey

usbkey是一种通用串行总线(universalserialbus，usb)接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用usbkey内置的公钥算法可以实现对用户身份的认证。

每一个usbkey都具有个人识别密码(personalidentificationnumber，pin)保护，pin和usbkey本身构成了用户使用usbkey的两个必要因素，即所谓双因子认证。用户只有同时取得了usbkey和pin，才可以进行线上交易。即使用户的pin被泄露，只要用户持有的usbkey不被盗取，合法用户的身份就不会被仿冒；而如果用户的usbkey遗失，拾到者由于不知道pin，也无法仿冒合法用户的身份。

usbkey具有安全数据存储空间，可以存储数字证书、密钥等秘密数据，对该存储空间的读写操作必须通过程序实现，用户无法直接读取，其中用户密钥是不可导出的，保证了密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客可截取的可能性。

图1为本申请一个实施例提供的网银交易系统的示意图。如图1所示，本申请的网银交易系统包括第一设备110和usbkey120。其中，第一设备110可以是任意一种终端设备，例如是智能手机、平板电脑或者个人电脑等。

对于图1所示的交易系统100，用户在使用第一设备110进行交易时的方式主要分为两种，一种是用户通过使用第一设备110上的掌上银行客户端进行线上交易，另一种是用户使用第一设备110上的网页端进行交易。

作为一种示例，图1示出了一种用户在使用第一设备进行网银交易时的交易界面130。当用户点击交易界面130中的付款时，第一设备会接收到交易请求。

可以理解的是，网上银行的推广方便了人们的生活，但由于网上银行的交易需要通过网络进行，使得网上银行交易存在安全隐患，因此，如何确定用户的身份以保证网银的交易安全也成为了网银业务发展必须面临的重要问题。

对于图1所示的交易系统，一种确定用户的身份(即对用户身份进行认证)的方法如下：在用户发起交易请求并将usbkey插入第一设备后，第一设备弹出窗口，提示用户输入usbkey的pin，然后第一设备将用户输入的pin通过usbkey的公钥进行加密并发送给usbkey，此时，usbkey对经过加密的pin码进行解密，并与内部存储的pin码进行比较，如果两者一致，则确认用户输入的pin正确。

在此说明的是，对用户的身份进行认证包括判断请求网银交易的用户是否为当前账户的合法用户。合法用户可以认为是当前账户绑定的身份证信息指定的用户。

进一步地，usbkey在确认pin正确后，将该pin正确的消息发送给第一设备，然后第一设备接收到该pin正确的消息后，将当前用户的交易信息再使用usbkey的公钥进行加密发送给usbkey。此时，usbkey将经过加密的交易信息进行解密并显示在显示屏上以便用户核对，若用户核对正确并在时长t之内按下了usbkey上的确认按键，usbkey向第一设备发送指示信息，第一设备根据该指示信息确定用户的身份认证结果。

也就是说，先确定用户输入的pin是否正确，在输入的pin正确的情况下，若用户核对信息正确并在时长t内按下了确认按键，才说明用户的身份认证通过。

可以理解的是，若密码被黑客或者木马程序截获，那么即使usbkey确认pin正确，但黑客或者木马程序不可能按下usbkey上的确认按键，因此用户的认证仍然是不会通过的，保证了交易的安全。

但是，现有的身份认证方法，由于pin码繁琐，例如由大小写字母、数字和特殊字符构成的密码，难以记忆。用户在使用过程中经常出现因为多次输入错误密码导致账号锁死情况，不仅给用户带来不便，同时由于用户需要前往营业厅修改密码，也加重了基层网点的业务负担。

基于此，本申请实施例提出一种新的身份认证方法。该方法通过采集用户的生物特征信息来代替用户输入个人识别密码pin，并通过生物特征信息的匹配判断来代替pin的验证，从而避免用户因忘记密码或者输错密码而导致的网银交易失败问题。

图2为本申请一个实施例提供的身份认证方法的示意性流程图。如图2所示，本实施例的方法可以包括s210、s220、s230、s240和s250。

s210，第一设备确定使用通用串行总线接口设备usbkey对用户的身份进行认证。

可以理解的是，用户经常会在网上进行例如转账、充话费等需要支付金额的活动，此时，用户会经过一系列操作，直到向第一设备发起交易请求。如图1中线上交易界面130所示，当用户点击付款后，第一设备就接收到了用户的交易请求。此时，当第一设备接收到了用户输入的网银交易请求后，第一设备就需要确定使用哪种方式对用户的身份进行认证。

在一种可实现方式中，第一设备只能使用usbkey对用户的身份进行认证，此时，当第一设备接收到了用户输入的网银交易请求后，第一设备就可以直接确定使用通用串行总线接口设备usbkey对用户的身份进行认证。

在另一种可实现方式中，第一设备对用户的身份进行认证的方式包括多个，例如可以包括人脸认证、指纹认证和usbkey认证，此时，第一设备在接收到了用户输入的网银交易请求后，可以显示第一界面，该第一界面用于让用户选择校验方式，只有当用户选择了usbkey认证后，第一设备就可以确定使用通用串行总线接口设备usbkey对用户的身份进行认证。

示例性地，在用户发起网银交易请求后，第一设备显示的第一界面如图3所示，该第一界面中用于让用户选择校验的方式包括3种：人脸识别301、密码支付302和使用usbkey303。另外，该第一界面还可以显示当前交易的支付金额内容304。此时，如果用户选择密码支付，则第一界面中还可以包括密码输入框305，用于让用户输入密码。

s220，若用户当前输入的第一生物特征信息与第一设备当前登录的交易账号所绑定的第二生物特征信息匹配，第一设备向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文，相应地，所述usbkey接收所述密文。

其中，第一生物特征信息可以是脸部信息，也可以是指纹信息，又或者可以是虹膜信息，本申请实施例对此不做限定。第二生物特征信息可以认为是用户预留的绑定信息。

例如，在用户下载掌上银行客户端后，在注册用于网银交易的账号的过程中，用户可以绑定生物特征信息。

本实施例中，在第一设备确定使用usbkey对用户的身份进行认证后，如果当前用户输入的生物特征信息与当前登录的交易账号所绑定的第二生物特征信息匹配，说明进行网银交易的用户可能是当前登录的交易账号的合法用户。此时，第一设备将当前的交易信息使用usbkey的公钥生成密文并发送给usbkey。

可以理解的是，为了保证网银交易的安全，必须保证进行网银交易的用户的身份是合法的。因此，当第一设备获得了第一生物特征信息后，需要将其与用户之前绑定的生物特征信息进行比较，判断用户是否为合法用户。

可以理解的是，如果第一生物特征信息与第二生物特征信息不匹配，说明进行线上交易的用户可能不是合法用户，此时第一设备就可以不将当前交易信息发送给usbkey，即交易失败，保证了网银交易的安全性。

相比输入密码的方式，该方式不需要用户记忆密码，从而不会出现因用户忘记密码而导致交易失败的情况。

其中，第一设备向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文的详细实现过程可以参考相关技术描述，此处不再赘述。

s230，usbkey解密密文，并将解密后的结果显示在显示器上。

s240，若usbkey在时长t内接收到了用户按下的确认按键信号，usbkey向第一设备发送指示信息，相应地，第一设备接收来自usbkey的指示信息。

s250，第一设备根据指示信息确定用户的身份认证结果。

本实施例中，当usbkey接收到第一设备发送的密文后，就可以将该密文使用内置的私钥进行解密，并显示在显示器上，然后usbkey通过判断是否在时长t内接收到了用户按下的确认按键信号，若在时长t内接收到了用户按下的确认按键信号，usbkey向第一设备发送指示信息，该指示信息用于指示当前进行交易的用户的身份认证通过，然后第一设备就可以根据该指示信息确定用户的身份认证结果。

可以理解的是，由于usbkey的私钥是存储在usbkey中的，理论上任何方式都无法获取，所以只有usbkey可以对该密文进行解密获得正确的交易信息，从而保证了交易的安全可靠性。

还可以理解的是，即使用户的生物特征信息(例如是面部信息或者指纹信息)被黑客或者木马程序截获，但由于黑客或木马程序无法按下usbkey上的确认按键，因此还是无法完成本次交易。进一步保证了网银交易的安全。

在此说明的是，s230和s240的详细实现过程可以参考相关技术描述，此处不再赘述。

本申请实施例提供的身份认证方法，通过采集用户交易时的生物特征信息，并确定该交易时的生物特征信息与当前登录的交易账号所绑定的第二生物特征信息是否匹配，来代替使用usbkey进行网银交易时确定个人识别密码pin是否正确的步骤，可以使得用户不需要记忆密码，从而避免因多次输入错误密码而导致的网银交易失败的情况。

此外，相比目前只使用用户的生物特征信息进行身份认证的方法，该技术方案中，还需要第一设备根据指示信息确定用户的身份认证结果的步骤，因此，增加了网银交易的安全性。

作为一个可选的实施例，如果用户当前登录的交易账号是通过使用第一设备上的掌上银行客户端登录的，此时，在s220之前，所述方法还可以包括：第一设备采集用户的第一生物特征信息；第一设备判断用户的第一生物特征信息与第二生物特征信息是否匹配。

如图4所示，该实施例中的身份认证方法包括：

s210，第一设备确定使用通用串行总线接口设备usbkey对用户的身份进行认证。

该步骤的详细描述可以参考图2所示实施例，此处不再赘述。

s211，第一设备采集用户的第一生物特征信息。

例如，第一设备可以调用其包括的摄像头采集用户的第一生物特征信息。

s212，第一设备判断用户的第一生物特征信息与第二生物特征信息是否匹配。

可以理解的是，如果第一生物特征信息与第二生物特征信息不匹配，说明进行线上交易的用户可能不是本人，此时第一设备就可以不将当前交易信息发送给usbkey又或者提示用户认证失败，保证了网银交易的安全性。

在一种可实现方式中：可以计算第一生物特征信息包括的所有特征信息的平均值；计算第二生物特征信息包括的所有特征信息的平均值；计算第一生物特征信息包括的所有特征信息的平均值与第二生物特征信息包括的所有特征信息的平均值之间的差值；若差值在预设范围内，第一设备就确定第一生物特征信息与第二生物特征信息匹配。

以第一生物特征信息为例，所有特征信息可以认为是组成第一生物特征信息的所有子特征。例如，第一生物特征信息是由摄像机采集到的50行乘以50列的人脸图像，此时，可以认为每一个像素点为一个子特征，所有特征信息的个数总共是2500。

在此说明的是，对于第二生物特征信息包括的所有特征信息的解释与第一生物特征信息原理相同，此处不再赘述。

本申请实施例中，通过计算第一生物特征信息包括的所有特征信息的平均值与第二生物特征信息包括的所有特征信息的平均值之间的差值，来确定第一生物特征信息与第二生物特征信息是否匹配。

例如，第一生物特征信息包括100个子特征，第二生物特征信息包括100个子特征，那么就可以将第一生物特征信息的100个子特征计算平均值，再将第二生物特征信息的100个子特征计算平均值，若两个平均值差值在一个预设范围内，证明第一生物特征信息与第二生物特征信息相似度比较大，既可以确定第一生物特征信息与第二生物特征信息匹配。

可以理解的是，由于本申请实施例中使用的是生物特征信息，相比密码方式，生物特征信息是会变化的，例如用户戴眼镜和不戴眼镜，在生物特征信息上就会有略微的差别，但仍是属于同一个人。因此，本申请实施例中，允许第一生物特征信息与第二生物特征信息之间有一定的动态范围。

s220，若用户当前输入的第一生物特征信息与第一设备当前登录的交易账号所绑定的第二生物特征信息匹配，第一设备向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文，相应地，usbkey接收所述密文。

s230，usbkey解密密文，并将解密后的结果显示在显示器上。

s240，若usbkey在时长t内接收到了用户按下的确认按键信号，usbkey向第一设备发送指示信息，相应地，第一设备接收来自usbkey的指示信息。

s250，第一设备根据指示信息确定用户的身份认证结果。

本申请实施例提供的身份认证方法，通过第一设备进行生物特征信息的采集并完成判断生物特征信息方式确定用户身份是否合法，从而进一步完成网银交易。

作为一个可选的实施例，如果用户当前登录的交易账号是通过使用第一设备上的网页端登录的，此时，如图5所示，在s220之前，所述方法还包括：第一设备向第二设备发送验证消息，所述验证消息用于指示用户使用第二设备输入第一生物特征信息；第一设备接收第二设备发送的匹配结果信息，所述匹配结果信息用于指示第一生物特征信息与第二生物特征信息是否匹配。

下面，结合图5，详细说明一种用户使用第一设备上的网页端登录时的认证方法。如图5所示，该实施例中的身份认证方法包括：

s210，第一设备确定使用usbkey对用户的身份进行认证。

该实施例的具体描述可以参考图2所示实施例中的s210，此处不再赘述。

s215，第一设备向第二设备发送验证消息，相应地，第二设备接收验证消息，所述验证消息用于指示用户使用第二设备输入第一生物特征信息。

本实施例中，第二设备可以采集用户的生物特征信息。

本实施例中，第一设备由于不能采集生物特征信息，因此，在确定使用usbkey对用户的身份进行认证后，通过向用户使用的第二设备发送验证消息的方式来指示用户通过第二设备输入第一生物特征信息。

s216，当用户点击验证消息时，第二设备采集用户的第一生物特征信息。

本实施例中，当用户点击了验证消息，第二设备就开始采集用户的第一生物特征信息。

s217，第二设备判断第一生物特征信息与第二生物特征信息是否匹配，第二生物特征信息包括用户在当前登录的交易账号所绑定的生物特征信息。

本实施例中，确定第一生物特征信息与第二生物特征信息是否匹配是通过第二设备执行的。

s218，第二设备向第一设备发送匹配结果信息，相应地，第一设备接收该匹配结果信息。

本实施例中，如果第一生物特征信息与第二生物特征信息匹配，说明进行线上交易信息的用户身份可能是合法的。此时，第二设备需要将该匹配结果信息发送给第一设备，以让第一设备与usbkey之间进行下一个流程。

s220，若匹配结果信息指示第一生物特征信息与第二生物特征信息匹配，向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文。

s230，usbkey解密密文，并将解密后的结果显示在显示器上。

s240，若usbkey在时长t内接收到了用户按下的确认按键信号，usbkey向第一设备发送指示信息，相应地，第一设备接收来自usbkey的指示信息。

s250，第一设备根据指示信息确定用户的身份认证结果。

其中，s220、s230、s240和s250的详细描述可以参考图2所示实施例中的描述，此处不再赘述。

本申请实施例提供的身份认证方法，由于第一设备不能够进行生物特征信息的采集，因此，通过向用户的第二设备发送验证消息，以让用户从第二设备上进行生物特征信息的输入，从而完成了在没有生物特征信息采集模块的第一设备上，使用生物特征信息方式校验用户身份是否合法，从而进一步完成网银交易。

作为一个可选的实施例，s210的一种可实现方式包括：第一设备接收用户的第一指令；根据第一指令确定使用usbkey对用户的身份进行认证。

本实施例中，第一设备在确定是否使用usbkey对用户的身份进行认证时，是通过第一指令来触发的。

可以理解的是，对于第一设备，其可能进行身份认证的方式有多种，例如包括人脸识别功能进行身份认证，使用指纹识别进行身份认证和使用usbkey进行身份认证，因此，为了使得第一设备确定是采用哪种方式对用户的身份进行认证，可以通过接收对应于该usbkey进行身份进行认证的指令(本实施例中称为第一指令)。即只要第一设备接收到了该第一指令，就确定是采用usbkey对用户的身份进行认证。

可选地，本申请实施例中的生物特征信息可以包括以下至少一种：人脸信息、声音信息、指纹信息。本申请实施例对此不做限定。

图6为本申请一个实施例提供的身份认证装置的结构性示意图。图6所示的交易装置600可以用于执行图2至图5所示实施例中的各个流程。

如图6所示，本实施例的身份认证交易装置包括：确定模块601，用于确定使用通用串行总线接口设备usbkey对用户的身份进行认证；发送模块602，用于若用户当前输入的第一生物特征信息与第一设备当前登录的交易账号所绑定的第二生物特征信息匹配，第一设备向usbkey发送使用usbkey的公钥对当前交易信息进行加密得到的密文；接收模块603，用于接收来自usbkey的指示信息；所述确定模块601还用于：根据指示信息确定用户的身份认证结果。

作为一种示例，确定模块601可以用于执行图2所述的方法中的确定使用通用串行总线接口设备usbkey对用户的身份进行认证的步骤。例如，确定模块601用于执行s201。

在一种可能的实现方式中，所述装置还包括采集模块604和判断模块605，采集模块604用于：采集用户的第一生物特征信息；判断模块605用于：判断用户的第一生物特征信息与所述第二生物特征信息是否匹配。

在一种可能的实现方式中，判断模块605具体用于：计算所述第一生物特征信息包括的所有特征信息的平均值；计算第二生物特征信息包括的所有特征信息的平均值；计算第一生物特征信息包括的所有特征信息的平均值与第二生物特征信息包括的所有特征信息的平均值之间的差值；若所述差值在预设范围内，确定第一生物特征信息与第二生物特征信息匹配。

在一种可能的实现方式中，所述发送模块602还用于：向第二设备发送验证消息，所述验证消息用于指示用户使用第二设备输入第一生物特征信息；所述接收模块603还用于：接收第二设备发送的匹配结果信息，所述匹配结果信息用于指示第一生物特征信息与第二生物特征信息是否匹配。

在一种可能的实现方式中，确定模块601具体用于：接收用户的第一指令；根据第一指令确定使用usbkey对用户的身份进行认证。

在一种可能的实现方式中，所述确定模块601还用于：若在时长t内没有接收来自usbkey的指示信息，确定用户的身份认证失败。

在一种可能的实现方式中，第一生物特征信息包括以下至少一种：人脸信息、声音信息、指纹信息。

图7为本申请一个实施例提供的身份认证装置的结构性示意图。图7所示的身份认证装置可以用于执行前述任意一个实施例所述的交易方法。

如图7所示，本实施例的装置700包括：存储器701、处理器702、通信接口703以及总线704。其中，存储器701、处理器702、通信接口703通过总线704实现彼此之间的通信连接。

存储器701可以是只读存储器(readonlymemory，rom)，静态存储设备，动态存储设备或者随机存取存储器(randomaccessmemory，ram)。存储器701可以存储程序，当存储器701中存储的程序被处理器702执行时，处理器702用于执行图2至图5所示的方法的各个步骤。

处理器702可以采用通用的中央处理器(centralprocessingunit，cpu)，微处理器，应用专用集成电路(applicationspecificintegratedcircuit，asic)，或者一个或多个集成电路，用于执行相关程序，以实现本申请方法实施例的方法。

处理器702还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请实施例的规划自动驾驶车辆的方法的各个步骤可以通过处理器702中的硬件的集成逻辑电路或者软件形式的指令完成。

上述处理器702还可以是通用处理器、数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器701，处理器702读取存储器701中的信息，结合其硬件完成本申请测温装置包括的单元所需执行的功能，例如，可以执行图2至图5所示实施例的各个步骤/功能。

通信接口703可以使用但不限于收发器一类的收发装置，来实现装置700与其他设备或通信网络之间的通信。

总线704可以包括在装置700各个部件(例如，存储器701、处理器702、通信接口703)之间传送信息的通路。

应理解，本申请实施例所示的装置700可以是电子设备，或者，也可以是配置于电子设备中的芯片。

上述实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。