技术领域本发明涉及身份认证领域,尤其涉及用于远程开户过程中的身份认证方法和系统
背景技术:
传统的,为了进行开户,人们需要到营业厅去办理开户手续。例如,办理股票账户时,证券公司为了验证开户人的身份,需要用户到证券公司现场办理开户手续;办理银行卡时,银行为了验证开户人的身份,需要用户到银行柜台现场办理开户手续。随着电子技术的发展,远程开户已经开始进入人们的生活中,人们开始尝试通过网络实现远程开户。但是,目前,远程开户过程中如何实现对用户的身份认证是目前亟需解决的技术问题。
技术实现要素:
本发明旨在解决上述问题/之一。本发明的主要目的在于提供一种身份认证方法;本发明的另一目的在于提供一种身份认证系统;为达到上述目的,本发明的技术方案具体是这样实现的:本发明一方面提供一种身份认证方法,包括:认证服务器将信息安全装置的标识信息与用户身份证信息进行关联存储,其中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像;信息安全装置接入终端,信息安全装置上电,并与终端建立通信连接;信息安全装置提示用户输入个人识别码;信息安全装置接收用户输入的个人识别码,并验证用户输入的个人识别码是否正确,如果不正确,则提示用户重新输入个人识别码;终端在用户开启用于进行身份认证的应用程序后,提示用户输入登录信息;应用程序接收用户输入的登录信息,并将接收到的登录信息发送至应用服务器;应用服务器接收登录信息,并判断登录信息是否正确,如果正确,终端允许用户登录应用程序,如果不正确,则终端提示用户重新输入登录信息;终端通过应用程序生成身份认证请求,并将身份认证请求发送至认证服务器,其中,身份认证请求中携带有用户身份信息,用户身份信息包括:用户身份证信息和信息安全装置的标识信息;认证服务器接收身份认证请求,并对用户身份证信息进行认证;认证服务器对用户身份证信息进行认证通过后,采用预设的算法对用户身份信息进行计算生成待认证信息;信息安全装置获取待认证信息,并将待认证信息作为输入参数,按照预先设定的标识图像生成策略,生成标识图像;信息安全装置通过显示屏显示标识图像;信息安全装置生成标识图像后,终端提示用户上传包含用户的脸部图像和标识图像的合影图像;终端获取合影图像,并将合影图像发送至认证服务器;认证服务器接收合影图像,并对合影图像中的标识图像和脸部图像进行认证。此外,在终端通过应用程序生成身份认证请求之前,方法还包括:身份证读取模块从用户居民身份证中读取用户身份证信息;信息安全装置获取用户身份证信息,并使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将用户身份信息发送至终端,其中,用户身份信息包括:加密的用户身份证信息和信息安全装置的标识信息;认证服务器接收身份认证请求之后,并对用户身份证信息进行认证之前,还包括:认证服务器利用第一解密密钥对接收到的加密的用户身份证信息进行解密,得到用户身份证信息。此外,在信息安全装置生成加密的用户身份证信息之后,并在将用户身份信息发送至终端之前,方法还包括:信息安全装置使用散列算法计算加密的用户身份证信息的散列数据,并使用自身存储的私钥对散列数据进行加密计算,生成第一数据;用户身份信息还包括:第一数据;认证服务器利用第一解密密钥对接收到的加密的用户身份证信息进行解密之前,还包括:认证服务器使用信息安全装置的公钥对接收到的第一数据进行解密得到散列数据,并使用散列算法计算接收到的加密的用户身份证信息的散列数据,再比对公钥解密得到的散列数据与散列计算得到的散列数据是否相同。此外,认证服务器对用户身份证信息进行认证,包括:认证服务器根据信息安全装置的标识信息获取预先存储的与标识信息对应的用户身份证信息;认证服务器将获取的用户身份证信息与解密得到的用户身份证信息进行比较,如果匹配,则对用户身份证信息的认证通过,否则结束身份认证。此外,对合影图像中的标识图像和脸部图像进行认证,包括:认证服务器根据预设的标识图像识别策略从合影图像中的标识图像中识别出待认证信息,并将识别出的待认证信息与自身生成的待认证信息进行比对,如果相同,则对标识图像的认证通过;在对标识图像的认证通过的情况下,认证服务器比对预先存储的用户身份证信息中的脸部图像与接收到的合影图像中的脸部图像是否匹配,如果匹配,身份认证通过。本发明另一方面提供一种身份认证系统,其特征在于,系统包括:信息安全装置、终端、认证服务器和应用服务器;其中,认证服务器,用于将信息安全装置的标识信息与用户身份证信息进行关联存储,其中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像;信息安全装置,用于接入终端,并与终端建立通信连接;还用于提示用户输入个人识别码,并接收用户输入的个人识别码,并验证用户输入的个人识别码是否正确,如果不正确,还用于提示用户重新输入个人识别码;终端,用于在用户开启用于进行身份认证的应用程序后,提示用户输入登录信息;应用服务器,用于接收应用程序发送的登录信息,其中,登录信息是应用程序通过接收用户输入的登录信息获得的;应用服务器,还用于判断登录信息是否正确,如果正确,终端还用于允许用户登录应用程序,如果不正确,终端还用于提示用户重新输入登录信息;终端,还用于通过应用程序生成身份认证请求,并将身份认证请求发送至认证服务器,其中,身份认证请求中携带有用户身份信息,用户身份信息包括:用户身份证信息和信息安全装置的标识信息;认证服务器,还用于接收身份认证请求,并对用户身份证信息进行认证;还用于在对用户身份证信息进行认证通过后,采用预设的算法对用户身份信息进行计算生成待认证信息;信息安全装置,还用于获取待认证信息,并将待认证信息作为输入参数,按照预先设定的标识图像生成策略,生成标识图像,并通过显示屏显示标识图像;终端,还用于在信息安全装置生成标识图像后,提示用户上传包含用户的脸部图像和标识图像的合影图像;还用于获取合影图像,并将合影图像发送至认证服务器;认证服务器,还用于接收合影图像,并对合影图像中的标识图像和脸部图像进行认证。此外,系统还包括身份证读取模块;身份证读取模块,用于从居民身份证中读取用户身份证信息;信息安全装置,还用于获取用户身份证信息,并使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将用户身份信息发送至终端,其中,用户身份信息包括:加密的用户身份证信息和信息安全装置的标识信息;认证服务器,用于利用第一解密密钥对接收到的加密的用户身份证信息进行解密,得到用户身份证信息。此外,信息安全装置,还用于使用散列算法计算加密的用户身份证信息的散列数据,并使用自身存储的私钥对散列数据进行加密计算,生成第一数据;认证服务器,还用于使用信息安全装置的公钥对接收到的第一数据进行解密得到散列数据,并使用散列算法计算接收到的加密的用户身份证信息的散列数据,再比对公钥解密得到的散列数据与散列计算得到的散列数据是否相同。此外,认证服务器,还用于根据信息安全装置的标识信息获取预先存储的与标识信息对应的用户身份证信息;还用于将获取的用户身份证信息与解密得到的用户身份证信息进行比较,如果匹配,则对用户身份证信息的认证通过,否则结束身份认证。此外,认证服务器,还用于根据预设的标识图像识别策略从合影图像中的标识图像中识别出待认证信息,并将识别出的待认证信息与自身生成的待认证信息进行比对,如果相同,则对标识图像的认证通过;认证服务器,还用于在对标识图像的认证通过的情况下,比对预先存储的用户身份证信息中的脸部图像与接收到的合影图像中的脸部图像是否匹配,如果匹配,身份认证通过。由上述本发明提供的技术方案可以看出,本发明提供了一种身份认证方法和系统。通过上述身份认证方法,认证服务器将信息安全装置的标识信息与用户身份证信息的关联存储,实现对用户身份证信息的认证,防止信息安全装置或身份证丢失的情况下,非法分子冒充开户;另外,信息安全装置将待认证信息生成标识图像,认证服务器对合影图像中的标识图像进行认证,可以实现对信息安全装置的认证;另外,认证服务器对合影图像中用户的面部图像进行认证,可以防止身份证和信息安全装置都丢失的情况下,非法分子冒充开户。附图说明为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。图1为本发明实施例1提供的一种身份认证方法的流程图;图2为本发明实施例3提供的一种身份认证系统的系统框图;图3为本发明实施例3提供的另一种身份认证系统的系统框图。具体实施方式下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。下面将结合附图对本发明实施例作进一步地详细描述。实施例1图1为本实施例提供的一种身份认证方法流程图。如图1所示,本实施例提供的一种身份认证方法包括以下步骤:步骤101:认证服务器将信息安全装置的标识信息与用户身份证信息进行关联存储,其中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像;在本实施例中,信息安全装置的标识信息可以是信息安全装置的数字证书、也可以是信息安全装置的序列号。本实施例不做具体限定,只要是该标识信息可以唯一的表示信息安全装置即在本发明的保护范围之内。在本实施例中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像。当然,用户的身份证信息还可以包括指纹信息或其它信息。优选的,用户身份证信息中至少包括用户的脸部图像,以方便后续对合影图像中的脸部图像进行认证。在本实施例中,认证服务器是指用于存储用户信息或对接收到的用户信息进行认证的服务器,认证服务器将信息安全装置的标识信息与用户身份证信息进行关联存储。例如,用户在进行远程开户前,需要在银行办理一个专门用于开户的信息安全装置(例如U盾)。在办理该信息安全装置时,认证服务器将信息安全装置的序列号或数字证书与用户提供的用户身份证的身份证信息进行关联存储。用户办理过该信息安全装置后,可以利用该信息安全装置进行远程开户。认证服务器将信息安全装置的标识信息与用户身份证信息进行关联存储后,用户可以使用信息安全装置实现对用户的身份认证,以进行多次的远程开户,不用每次进行远程开户的时候都去银行或证券公司。在本实施例中,信息安全装置可以是具有身份认证、数字签名功能的设备,如USBKEY(例如工行U盾、农行K宝)、音频KEY、具有电子签名功能的智能卡等设备,当然也可以是动态口令牌。步骤102:信息安全装置接入终端,信息安全装置上电,并与终端建立通信连接;在本实施例中,终端可以是电脑或手机等。信息安全装置可以以有线方式接入终端,例如,信息安全装置通过USB接口或音频接口接入终端。当然,信息安全装置也可以以无线方式接入终端,例如,信息安全装置通过蓝牙、红外、NFC近场通信或可见光通信等方式接入终端。信息安全装置接入终端,与终端建立通信连接,可以实现信息安全装置与终端之间的数据传输。步骤103:信息安全装置提示用户输入个人识别码;在本实施例中,个人识别码是指信息安全装置的开机PIN码。具体的,信息安全装置上电后,进入开机界面,并提示用户输入个人识别码。通过提示用户输入个人识别码可以确认用户的身份,保证信息安全装置使用的安全性,防止用户丢失信息安全装置后,非法分子利用用户丢失的信息安全装置进行远程开户。步骤104:信息安全装置接收用户输入的个人识别码,并验证用户输入的个人识别码是否正确,如果不正确,则提示用户重新输入个人识别码;在本实施例中,信息安全装置提示用户输入个人识别码后,用户可以通过信息安全装置输入个人识别码;当然,用户可以通过与信息安全装置连接的终端输入个人识别码,终端再将用户输入的个人识别码发送给信息安全装置。在本实施例中,信息安全装置接收用户输入的个人识别码后,将接收到的个人识别码与信息安全装置内存储的个人识别码进行比对是否相同,如果不同,则说明用户输入的个人识别码不正确,提示用户重新输入个人识别码。如果相同,则说明用户输入的个人识别码正确,则开启信息安全装置的功能权限,用户可通过该信息安全装置进行远程开户。步骤105:终端在用户开启用于进行身份认证的应用程序后,提示用户输入登录信息;在本实施例中,应用程序是指用于开户的、可以与用户进行界面交互的计算机程序。登录信息可以是用户的登录应用程序的密码;当然,也可以是登录应用程序的账号信息和登录密码。在本实施例中,在验证用户输入的个人识别码正确后,用户开启用于进行身份认证的应用程序,在终端识别到用户开启用于进行身份认证的应用程序后,提示用户输入登录信息。其中,终端可根据接入的信息安全装置自动识别用户登录账号信息并显示,并提示用户输入登录信息,例如终端根据接入的信息安全装置的序列号,经过网络从认证服务器端获取登录账号信息,并提示用户输入登录信息,此时,登录信息是指登录密码;当然,终端不能根据接入的信息安全装置自动识别用户的登录账号信息时,提示用户输入的登录信息包括登录账号信息和登录密码。步骤106:应用程序接收用户输入的登录信息,并将接收到的登录信息发送至应用服务器;在本实施例中,应用服务器是用于存储登录账号信息和登录密码的服务器。作为一种可选的实施方式,登录账号信息和登录密码也可存储在认证服务器中,应用程序接收用户输入的登录信息后,将接收到的登录信息发送至认证服务器。步骤107:应用服务器接收登录信息,并判断登录信息是否正确,如果正确,终端允许用户登录应用程序,如果不正确,则终端提示用户重新输入登录信息;在本实施例中,应用服务器接收到登录信息后,判断接收到的登录信息与其自身存储的登录信息是否相同,如果相同,则应用服务器判断登录信息正确,应用服务器向终端发送登录信息正确的响应信号,终端接收到应用服务器发送的登录信息正确的响应信号后,终端允许用户登录应用程序,如果不同,则应用服务器判断登录信息不正确,应用服务区向终端发送登录信息不正确的响应信号,终端接收到应用服务器方的登录信息不正确的响应信号后,终端提示用户重新输入登录信息。步骤108:终端通过应用程序生成身份认证请求,并将身份认证请求发送至认证服务器,其中,身份认证请求中携带有用户身份信息,用户身份信息包括:用户身份证信息和信息安全装置的标识信息;在本实施例中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像。当然,用户的身份证信息还可以包括指纹信息或其它信息。优选的,用户身份证信息中至少包括用户的脸部图像,以方便后续对合影图像中的脸部图像进行认证。作为本实施例的一种可选实施方式,终端通过应用程序生成身份认证请求之前,身份证读取模块从用户的居民身份证中读取用户身份证信息;信息安全装置获取用户身份证信息,并使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将用户身份信息发送至终端,其中,用户身份信息包括:加密的用户身份证信息和信息安全装置的标识信息。具体的,终端通过应用程序生成身份认证请求之前,身份证读取模块从用户的居民身份证中读取用户身份证信息,其中,身份证读取模块可以设置在信息安全装置上,当然身份证读取模块也可以设置在终端上。如果身份证读取设置在信息安全装置上,信息安全装置通过身份证读取模块获取用户身份证信息;如果身份证读取模块设置在终端上,终端通过身份证读取模块读取用户身份证信息后,终端将获取的用户身份证信息发送至信息安全装置,信息安全装置获取用户身份证信息。信息安全装置获取用户身份证信息后,使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将加密的用户身份证信息和信息安全装置的标识信息作为用户身份信息发送至终端。当然,身份证读取模块也可以设置在其它设备上,其它设备读取用户身份证信息后,可以直接发送至信息安全装置,信息安全装置获取用户身份证信息后,使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将加密的用户身份证信息和信息安全装置的标识信息作为用户身份信息发送至终端;其它设备也可以将读取的用户身份证信息发送至终端,终端再将用户身份证信息发送至信息安全装置,信息安全装置获取用户身份证信息后,使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将加密的用户身份证信息和信息安全装置的标识信息作为用户身份信息发送至终端。其中,第一加密密钥可以是非对称密钥,例如认证服务器的公钥,当然,也可以是对称密钥,本实施例不做具体限定,只要能实现对身份证信息进行加密,即在本发明的保护范围之内。由于身份证读取模块只能对合法的身份证进行读取,通过身份证读取模块读取用户身份证信息可以由认证服务器验证用户身份证的真假。另外,信息安全装置对用户身份证信息进行加密后发送至认证服务器,可以保证用户身份证信息传输的安全性。作为本实施例的一种可选实施方式,在信息安全装置生成加密的用户身份证信息之后,并在将用户身份信息发送至终端之前,还包括:信息安全装置使用散列算法计算加密的用户身份证信息的散列数据,并使用自身存储的私钥对散列数据进行加密计算,生成第一数据;用户身份信息还包括:第一数据。具体的,信息安全装置生成加密的身份证信息之后,使用散列算法(例如,HASH算法)计算加密的身份证信息的散列数据(例如,摘要),计算生成散列数据后,利用自身存储的私钥对散列数据进行加密,生成第一数据(例如,签名数据),并将第一数据、加密的身份证信息和信息安全装置的标识信息作为用户身份信息发送至终端。通过对加密的用户身份证信息计算散列数据并生成第一数据传输,可以防止非法分子篡改加密的用户身份证信息。在本实施例中,终端获取用户身份信息后,终端通过应用程序生成身份认证请求,并将获取的用户身份信息携带在身份认证请求中发送至认证服务器。步骤109:认证服务器接收身份认证请求,并对用户身份证信息进行认证;在本实施例中,认证服务器对用户身份证信息进行认证包括:认证服务器根据信息安全装置的标识信息获取预先存储的与标识信息对应的用户身份证信息;认证服务器将获取的用户身份证信息与解密得到的用户身份证信息进行比较,如果匹配,则对用户身份证信息的认证通过,否则,结束身份认证。具体应用时,当身份认证请求中携带的用户身份信息包括身份证信息和信息安全装置的标识信息时,认证服务器根据信息安全装置的标识信息获取与标识信息关联存储的身份证信息,并比对身份认证请求中携带的用户身份证信息与关联存储的用户身份证信息是否相同,如果不同,则对用户的身份证的认证失败,结束身份认证流程,如果相同,对用户身份证信息的认证通过。通过对用户身份证信息进行认证,可以避免用户的身份证或电子密码设备丢失后被他人冒用开户,只有使用的电子密码设备与身份证匹配时,才能进行开户。作为本实施例的一种可选实施方式,认证服务器接收身份认证请求之后,并对用户身份证信息进行认证之前,还包括:认证服务器利用第一解密密钥对接收到的加密的用户身份证信息进行解密,得到用户身份证信息。具体应用时,当身份认证请求中携带的用户身份信息包括加密的身份证信息和信息安全装置的标识信息时,认证服务器利用与第一加密密钥对应的第一解密密钥对接收到的加密的身份证信息进行解密,得到用户身份证信息;认证服务器得到用户身份证信息之后,对用户身份证信息进行认证。认证服务器对用户身份证信息进行认证的具体过程不再赘述。作为本实施例的一种可选实施方式,认证服务器利用第一解密密钥对接收到的加密的用户身份证信息进行解密,还包括:认证服务器使用信息安全装置的公钥对接收到的第一数据进行解密得到散列数据,并使用散列算法计算接收到的加密的用户身份证信息的散列数据,再比对公钥解密得到的散列数据与散列计算得到的散列数据是否相同。具体应用时,当身份认证请求中携带的用户身份信息包括第一数据、加密的身份证信息和信息安全装置的标识信息时,认证服务器接收身份认证请求之后,认证服务器使用信息安全装置的公钥对接收到的第一数据进行解密得到散列数据,并使用散列算法计算接收到的加密的身份证信息的散列数据,再比对公钥解密得到的散列数据与散列计算得到的散列数据是否相同,如果相同,则利用第一解密密钥对接收到的加密的身份证信息进行解密,得到用户的身份证信息,并对用户的身份证信息进行认证。认证服务器对用户身份证信息进行认证的具体过程不再赘述。步骤110:认证服务器对用户身份证信息进行认证通过后,采用预设的算法对用户身份信息进行计算生成待认证信息;在本实施例中,预设的算法可以采用以下任一种算法:(1)加密算法:DES、3DES或AES;(2)对称MAC算法:DES-CBC、3DES-CBC、AES-CBC;(3)HASH算法:MD5、SHA1;(4)HMAC算法:HMAC-MD5、HMAC-SHA1。在本实施例中,认证服务器可以直接将生成的待认证信息发送至信息安全装置。当然,作为一种可选实施方式,认证服务器也可以先将生成的待认证信息先发送至终端,终端再将待认证信息发送至信息安全装置。作为本实施例的一种可选实施方式,对用户身份证信息进行认证通过后,认证服务器生成待认证信息,并对待认证信息进行加密后再传输至信息安全装置;当然,认证服务器也可对加密的待认证信息进行加密并签名后再传输至信息安全装置,本实施例不做具体限定。通过对加密的待认证信息进行加密并签名后再传输至信息安全装置,一方面可以保证待认证信息在传输过程中的安全,另一方面可以防止非法分子篡改待认证信息。步骤111:信息安全装置获取待认证信息,并将待认证信息作为输入参数,按照预先设定的标识图像生成策略,生成标识图像;在本实施例中,标识图像可以是二维码图像,也可以是条形码图像,当然,可以是其它图像,本实施例不做具体限定,只要是能表示待认证信息的图像均在本发明的保护范围。通过将待认证信息生成标识图像,可以方便认证服务器后续识别待认证信息。在本实施例中,预先设定的标识图像生成策略是将待认证信息计算生成标识图像的算法。例如,认证服务器将待认证信息计算生成二维码图像;或者,认证服务器将待认证信息计算生成条形码图像。在本实施例中,信息安全装置获取待认证信息的方式为:认证服务器将待认证信息发送至信息安全装置,信息安全装置接收并获取待认证信息。作为一种可选的实施方式,认证服务器生成待认证信息后,将待认证信息发送至终端或其它终端设备(例如手机),用户再将终端或其它终端显示的待认证信息输入至信息安全装置。作为另一种可选的实施方式,认证服务器对用户身份证信息进行认证通过后,向信息安全装置发送响应信号,信息安全装置接收到响应信号后,认证服务器和信息安全装置基于相同的基本动态参数(例如时间参数、交易次数参数等)生成待认证信息。步骤112:信息安全装置通过显示屏显示标识图像;步骤113:信息安全装置生成标识图像后,终端提示用户上传包含用户的脸部图像和标识图像的合影图像;在本实施例中,合影图像可以是包括了用户的脸部图像和标识图像的照片,当然也可以是包括了用户的脸部图像和标识图像的视频,在此,本实施例不做限定。在本实施例中,信息安全装置生成标识图像后,可以向终端发送已经生成标识图像的响应信号,终端接收到响应信号后,提示用户上传包含用户的脸部图像和标识图像的合影图像。步骤114:终端获取合影图像,并将合影图像发送至认证服务器;在本实施例中,终端将用户的脸以及信息安全装置上显示的标识图像一起拍照或录视频,获取合影图像。当然,也可以是其它外部设备将用户的脸以及信息安全装置上显示的标识图像一起拍照或录视频后,生成合影图像,其它外部设备再将合影图像发送至终端,终端获取合影图像。步骤115:认证服务器接收合影图像,并对合影图像中的标识图像和脸部图像进行认证。在本实施例中,认证服务器对合影图像中的标识图像和脸部图像进行认证包括:认证服务器根据预设的标识图像识别策略从合影图像中的标识图像中识别出待认证信息,并将识别出的待认证信息与自身生成的待认证信息进行比对,如果相同,则对标识图像的认证通过。具体应用时,认证服务器中预设的标识图像与信息安全装置中预设的标识图像生成策略对应相对应,认证服务器根据预设的标识图像识别策略从合影图像中的标识图像中识别出待认证信息,并将识别出的待认证信息与自身生成的待认证信息进行比对,如果相同,则对标识图像的认证通过,如果不同,则对标识图像的认证失败,结束身份认证。通过对用户的标识图像进行认证可以实现对信息安全装置的认证。在本实施例中,在对标识图像认证通过的情况下,认证服务器比对预先存储用户的身份证信息中的脸部图像与接收到合影图像中的脸部图像是否匹配,如果匹配,身份认证通过。具体应用时,在对标识图像认证通过的情况下,认证服务器根据信息安全装置的标识信息获取与标识信息对应存储的用户身份证信息,并将用户身份证信息中的脸部图像与接收到的合影图像中的脸部图像进行比较,如果匹配,则对脸部图像的认证通过,身份认证通过,如果不匹配,结束身份认证。通过对脸部图像的认证,可以确认该信息安全装置是否属于该真实开户人的,防止身份证和信息安全装置同时丢失的情况下,非法分子冒充开户。当然,认证服务器也可先对合影图像中的脸部图像进行认证,并在对合影图像中的脸部图像认证通过的情况下,对合影图像中的标识图像进行认证。在对合影图像中的标识图像和脸部图像都认证通过时,对用户的身份认证通过。通过上述身份认证方法,认证服务器将信息安全装置的标识信息与用户身份证信息的关联存储,实现对用户身份证信息的认证,防止信息安全装置或身份证丢失的情况下,非法分子冒充开户;另外,信息安全装置将待认证信息生成标识图像,认证服务器对合影图像中的标识图像进行认证,可以实现对信息安全装置的认证;另外,认证服务器对合影图像中用户的面部图像进行认证,可以防止身份证和信息安全装置都丢失的情况下,非法分子冒充开户。实施例2本实施例提供一种远程开户方法,采用上述实施例1中的身份认证方法对用户的身份进行认证,身份认证通过之后进行远程开户。用户可通过网络实现远程开户,是一种方便的开户方法,另外,可以防止非法分子冒充开户。需要说明的是,身份认证通过之后,可以是认证服务器自动进行远程开户,也可以是工作人员控制认证服务器进行远程开户。实施例3图2为本实施例提供一种身份认证系统,如图2所示,所述身份认证系统包括信息安全装置201、终端202、认证服务器203和应用服务器204。其中,认证服务器203,用于将信息安全装置201的标识信息与用户身份证信息进行关联存储,其中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像;信息安全装置201,用于接入终端202,并与终端202建立通信连接;还用于提示用户输入个人识别码,并接收用户输入的个人识别码,并验证用户输入的个人识别码是否正确,如果不正确,还用于提示用户重新输入个人识别码;终端202,用于在用户开启用于进行身份认证的应用程序后,提示用户输入登录信息;应用服务器204,用于接收应用程序发送的登录信息,其中,登录信息是应用程序通过接收用户输入的登录信息获得的;应用服务器204,还用于判断登录信息是否正确,如果正确,终端202还用于允许用户登录应用程序,如果不正确,终端202还用于提示用户重新输入登录信息;终端202,还用于通过应用程序生成身份认证请求,并将身份认证请求发送至认证服务器203,其中,身份认证请求中携带有用户身份信息,用户身份信息包括:用户身份证信息和信息安全装置201的标识信息;认证服务器203,还用于接收身份认证请求,并对用户身份证信息进行认证;还用于在对用户身份证信息进行认证通过后,采用预设的算法对用户身份信息进行计算生成待认证信息;信息安全装置201,还用于获取待认证信息,并将待认证信息作为输入参数,按照预先设定的标识图像生成策略,生成标识图像,并通过显示屏显示标识图像;终端202,还用于在信息安全装置201生成标识图像后,提示用户上传包含用户的脸部图像和标识图像的合影图像;还用于获取合影图像,并将合影图像发送至认证服务器203;认证服务器203,还用于接收合影图像,并对合影图像中的标识图像和脸部图像进行认证。在本实施例中,信息安全装置201的标识信息可以是信息安全装置201的数字证书、也可以是信息安全装置201的序列号。本实施例不做具体限定,只要是该标识信息可以唯一的表示信息安全装置201即在本发明的保护范围之内。在本实施例中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像。当然,用户的身份证信息还可以包括指纹信息或其它信息。优选的,用户身份证信息中至少包括用户的脸部图像,以方便后续对合影图像中的脸部图像进行认证。在本实施例中,认证服务器203是指用于存储用户信息或对接收到的用户信息进行认证的服务器,认证服务器203将信息安全装置201的标识信息与用户身份证信息进行关联存储。例如,用户在进行远程开户前,需要在银行办理一个专门用于开户的信息安全装置201(例如U盾)。在办理该信息安全装置201时,认证服务器203将信息安全装置201的序列号或数字证书与用户提供的用户身份证的身份证信息进行关联存储。用户办理过该信息安全装置201后,可以利用该信息安全装置201进行远程开户。认证服务器203将信息安全装置201的标识信息与用户身份证信息进行关联存储后,用户可以使用信息安全装置201实现对用户的身份认证,以进行多次的远程开户,不用每次进行远程开户的时候都去银行或证券公司。在本实施例中,信息安全装置201可以是具有身份认证、数字签名功能的设备,如USBKEY(例如工行U盾、农行K宝)、音频KEY、具有电子签名功能的智能卡等设备,当然也可以是动态口令牌。在本实施例中,终端202可以是电脑或手机等。信息安全装置201可以以有线方式接入终端202,例如,信息安全装置201通过USB接口或音频接口接入终端202。当然,信息安全装置201也可以以无线方式接入终端202,例如,信息安全装置201通过蓝牙、红外、NFC近场通信或可见光通信等方式接入终端202。信息安全装置201接入终端202,与终端202建立通信连接,可以实现信息安全装置201与终端202之间的数据传输。在本实施例中,个人识别码是指信息安全装置201的开机PIN码。具体的,信息安全装置201上电后,进入开机界面,并提示用户输入个人识别码。通过提示用户输入个人识别码可以确认用户的身份,保证信息安全装置201使用的安全性,防止用户丢失信息安全装置201后,非法分子利用用户丢失的信息安全装置201进行远程开户。在本实施例中,信息安全装置201提示用户输入个人识别码后,用户可以通过信息安全装置201输入个人识别码;当然,用户可以通过与信息安全装置201连接的终端202输入个人识别码,终端202再将用户输入的个人识别码发送给信息安全装置201。在本实施例中,信息安全装置201接收用户输入的个人识别码后,将接收到的个人识别码与信息安全装置201内存储的个人识别码进行比对是否相同,如果不同,则说明用户输入的个人识别码不正确,提示用户重新输入个人识别码。如果相同,则说明用户输入的个人识别码正确,则开启信息安全装置201的功能权限,用户可通过该信息安全装置201进行远程开户。在本实施例中,应用程序是指用于开户的、可以与用户进行界面交互的计算机程序。登录信息可以是用户的登录应用程序的密码;当然,也可以是登录应用程序的账号信息和登录密码。在本实施例中,在验证用户输入的个人识别码正确后,用户开启用于进行身份认证的应用程序,在终端202识别到用户开启用于进行身份认证的应用程序后,提示用户输入登录信息。其中,终端202可根据接入的信息安全装置201自动识别用户登录账号信息并显示,并提示用户输入登录信息,例如终端202根据接入的信息安全装置201的序列号,经过网络从认证服务器203端获取登录账号信息,并提示用户输入登录信息,此时,登录信息是指登录密码;当然,终端202不能根据接入的信息安全装置201自动识别用户的登录账号信息时,提示用户输入的登录信息包括登录账号信息和登录密码。在本实施例中,应用服务器204是用于存储登录账号信息和登录密码的服务器。作为一种可选的实施方式,登录账号信息和登录密码也可存储在认证服务器203中,应用程序接收用户输入的登录信息后,将接收到的登录信息发送至认证服务器203。在本实施例中,应用服务器204接收到登录信息后,判断接收到的登录信息与其自身存储的登录信息是否相同,如果相同,则应用服务器204判断登录信息正确,应用服务器204向终端202发送登录信息正确的响应信号,终端202接收到应用服务器204发送的登录信息正确的响应信号后,终端202允许用户登录应用程序,如果不同,则应用服务器204判断登录信息不正确,应用服务区向终端202发送登录信息不正确的响应信号,终端202接收到应用服务器204方的登录信息不正确的响应信号后,终端202提示用户重新输入登录信息。在本实施例中,用户身份证信息包括居民身份证号、姓名、出生日期、住址、卡片使用年限和/或用户的脸部图像。当然,用户的身份证信息还可以包括指纹信息或其它信息。优选的,用户身份证信息中至少包括用户的脸部图像,以方便后续对合影图像中的脸部图像进行认证。作为本实施例的一种可选实施方式,如图3所示,所述身份认证系统还包括身份证读取模块205,终端202通过应用程序生成身份认证请求之前,身份证读取模块205,用于从用户的居民身份证中读取用户身份证信息;信息安全装置201,还用于获取用户身份证信息,并使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将用户身份信息发送至终端202,其中,用户身份信息包括:加密的用户身份证信息和信息安全装置201的标识信息。具体的,终端202通过应用程序生成身份认证请求之前,身份证读取模块205从用户的居民身份证中读取用户身份证信息,其中,身份证读取模块205可以设置在信息安全装置201上,当然身份证读取模块205也可以设置在终端202上。如果身份证读取设置在信息安全装置201上,信息安全装置201通过身份证读取模块205获取用户身份证信息;如果身份证读取模块205设置在终端202上,终端202通过身份证读取模块205读取用户身份证信息后,终端202将获取的用户身份证信息发送至信息安全装置201,信息安全装置201获取用户身份证信息。信息安全装置201获取用户身份证信息后,使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将加密的用户身份证信息和信息安全装置201的标识信息作为用户身份信息发送至终端202。当然,身份证读取模块205也可以设置在其它设备上,其它设备读取用户身份证信息后,可以直接发送至信息安全装置201,信息安全装置201获取用户身份证信息后,使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将加密的用户身份证信息和信息安全装置201的标识信息作为用户身份信息发送至终端202;其它设备也可以将读取的用户身份证信息发送至终端202,终端202再将用户身份证信息发送至信息安全装置201,信息安全装置201获取用户身份证信息后,使用第一加密密钥对用户身份证信息进行加密,生成加密的用户身份证信息,并将加密的用户身份证信息和信息安全装置201的标识信息作为用户身份信息发送至终端202。其中,第一加密密钥可以是非对称密钥,例如认证服务器203的公钥,当然,也可以是对称密钥,本实施例不做具体限定,只要能实现对身份证信息进行加密,即在本发明的保护范围之内。由于身份证读取模块205只能对合法的身份证进行读取,通过身份证读取模块205读取用户身份证信息可以由认证服务器203验证用户身份证的真假。另外,信息安全装置201对用户身份证信息进行加密后发送至认证服务器203,可以保证用户身份证信息传输的安全性。作为本实施例的一种可选实施方式,在信息安全装置201生成加密的用户身份证信息之后,并在将用户身份信息发送至终端202之前,信息安全装置201,还用于使用散列算法计算加密的用户身份证信息的散列数据,并使用自身存储的私钥对散列数据进行加密计算,生成第一数据;用户身份信息还包括:第一数据。具体的,信息安全装置201生成加密的身份证信息之后,使用散列算法(例如,HASH算法)计算加密的身份证信息的散列数据(例如,摘要),计算生成散列数据后,利用自身存储的私钥对散列数据进行加密,生成第一数据(例如,签名数据),并将第一数据、加密的身份证信息和信息安全装置201的标识信息作为用户身份信息发送至终端202。通过对加密的用户身份证信息计算散列数据并生成第一数据传输,可以防止非法分子篡改加密的用户身份证信息。在本实施例中,终端202获取用户身份信息后,终端202通过应用程序生成身份认证请求,并将获取的用户身份信息携带在身份认证请求中发送至认证服务器203。在本实施例中,认证服务器203对用户身份证信息进行认证时,认证服务器203,还用于根据信息安全装置201的标识信息获取预先存储的与标识信息对应的用户身份证信息;还用于将获取的用户身份证信息与解密得到的用户身份证信息进行比较,如果匹配,则对用户身份证信息的认证通过,否则,结束身份认证。具体应用时,当身份认证请求中携带的用户身份信息包括身份证信息和信息安全装置201的标识信息时,认证服务器203根据信息安全装置201的标识信息获取与标识信息关联存储的身份证信息,并比对身份认证请求中携带的用户身份证信息与关联存储的用户身份证信息是否相同,如果不同,则对用户的身份证的认证失败,结束身份认证流程,如果相同,对用户身份证信息的认证通过。通过对用户身份证信息进行认证,可以避免用户的身份证或电子密码设备丢失后被他人冒用开户,只有使用的电子密码设备与身份证匹配时,才能进行开户。作为本实施例的一种可选实施方式,认证服务器203接收身份认证请求之后,并对用户身份证信息进行认证之前,认证服务器203,还用于利用第一解密密钥对接收到的加密的用户身份证信息进行解密,得到用户身份证信息。具体应用时,当身份认证请求中携带的用户身份信息包括加密的身份证信息和信息安全装置201的标识信息时,认证服务器203利用与第一加密密钥对应的第一解密密钥对接收到的加密的身份证信息进行解密,得到用户身份证信息;认证服务器203得到用户身份证信息之后,对用户身份证信息进行认证。认证服务器203对用户身份证信息进行认证的具体过程不再赘述。作为本实施例的一种可选实施方式,认证服务器203,还用于使用信息安全装置201的公钥对接收到的第一数据进行解密得到散列数据,并使用散列算法计算接收到的加密的用户身份证信息的散列数据,再比对私钥解密得到的散列数据与散列计算得到的散列数据是否相同。具体应用时,当身份认证请求中携带的用户身份信息包括第一数据、加密的身份证信息和信息安全装置201的标识信息时,认证服务器203接收身份认证请求之后,认证服务器203使用信息安全装置201的公钥对接收到的第一数据进行解密得到散列数据,并使用散列算法计算接收到的加密的身份证信息的散列数据,再比对公钥解密得到的散列数据与散列计算得到的散列数据是否相同,如果相同,则利用第一解密密钥对接收到的加密的身份证信息进行解密,得到用户的身份证信息,并对用户的身份证信息进行认证。认证服务器203对用户身份证信息进行认证的具体过程不再赘述。在本实施例中,预设的算法可以采用以下任一种算法:(1)加密算法:DES、3DES或AES;(2)对称MAC算法:DES-CBC、3DES-CBC、AES-CBC;(3)HASH算法:MD5、SHA1;(4)HMAC算法:HMAC-MD5、HMAC-SHA1。在本实施例中,认证服务器203可以直接将生成的待认证信息发送至信息安全装置201。当然,作为一种可选实施方式,认证服务器203也可以先将生成的待认证信息先发送至终端202,终端202再将待认证信息发送至信息安全装置201。作为本实施例的一种可选实施方式,对用户身份证信息进行认证通过后,认证服务器203生成待认证信息,并对待认证信息进行加密后再传输至信息安全装置201;当然,认证服务器203也可对加密的待认证信息进行加密并签名后再传输至信息安全装置201,本实施例不做具体限定。通过对加密的待认证信息进行加密并签名后再传输至信息安全装置201,一方面可以保证待认证信息在传输过程中的安全,另一方面可以防止非法分子篡改待认证信息。在本实施例中,标识图像可以是二维码图像,也可以是条形码图像,当然,可以是其它图像,本实施例不做具体限定,只要是能表示待认证信息的图像均在本发明的保护范围。通过将待认证信息生成标识图像,可以方便认证服务器203后续识别待认证信息。在本实施例中,预先设定的标识图像生成策略是将待认证信息计算生成标识图像的算法。例如,认证服务器203将待认证信息计算生成二维码图像;或者,认证服务器203将待认证信息计算生成条形码图像。在本实施例中,信息安全装置201获取待认证信息的方式为:认证服务器203将待认证信息发送至信息安全装置201,信息安全装置201接收并获取待认证信息。作为一种可选的实施方式,认证服务器203生成待认证信息后,将待认证信息发送至终端202或其它终端202设备(例如手机),用户再将终端202或其它终端202显示的待认证信息输入至信息安全装置201。作为另一种可选的实施方式,认证服务器203对用户身份证信息进行认证通过后,向信息安全装置201发送响应信号,信息安全装置201接收到响应信号后,认证服务器203和信息安全装置201基于相同的基本动态参数(例如时间参数、交易次数参数等)生成待认证信息。在本实施例中,合影图像可以是包括了用户的脸部图像和标识图像的照片,当然也可以是包括了用户的脸部图像和标识图像的视频,在此,本实施例不做限定。在本实施例中,信息安全装置201生成标识图像后,可以向终端202发送已经生成标识图像的响应信号,终端202接收到响应信号后,提示用户上传包含用户的脸部图像和标识图像的合影图像。在本实施例中,终端202将用户的脸以及信息安全装置201上显示的标识图像一起拍照或录视频,获取合影图像。当然,也可以是其它外部设备将用户的脸以及信息安全装置201上显示的标识图像一起拍照或录视频后,生成合影图像,其它外部设备再将合影图像发送至终端202,终端202获取合影图像。在本实施例中,认证服务器203对合影图像中的标识图像和脸部图像进行认证时,认证服务器203,还用于根据预设的标识图像识别策略从合影图像中的标识图像中识别出待认证信息,并将识别出的待认证信息与自身生成的待认证信息进行比对,如果相同,则对标识图像的认证通过。具体应用时,认证服务器203中预设的标识图像与信息安全装置201中预设的标识图像生成策略对应相对应,认证服务器203根据预设的标识图像识别策略从合影图像中的标识图像中识别出待认证信息,并将识别出的待认证信息与自身生成的待认证信息进行比对,如果相同,则对标识图像的认证通过,如果不同,则对标识图像的认证失败,结束身份认证。通过对用户的标识图像进行认证可以实现对信息安全装置201的认证。在本实施例中,认证服务器203,还用于在对标识图像认证通过的情况下,比对预先存储用户的身份证信息中的脸部图像与接收到合影图像中的脸部图像是否匹配,如果匹配,身份认证通过。具体应用时,在对标识图像认证通过的情况下,认证服务器203根据信息安全装置201的标识信息获取与标识信息对应存储的用户身份证信息,并将用户身份证信息中的脸部图像与接收到的合影图像中的脸部图像进行比较,如果匹配,则对脸部图像的认证通过,身份认证通过,如果不匹配,结束身份认证。通过对脸部图像的认证,可以确认该信息安全装置201是否属于该真实开户人的,防止身份证和信息安全装置201同时丢失的情况下,非法分子冒充开户。当然,认证服务器203也可先对合影图像中的脸部图像进行认证,并在对合影图像中的脸部图像认证通过的情况下,对合影图像中的标识图像进行认证。在对合影图像中的标识图像和脸部图像都认证通过时,对用户的身份认证通过。通过上述身份认证系统,认证服务器203将信息安全装置201的标识信息与用户身份证信息的关联存储,实现对用户身份证信息的认证,防止信息安全装置201或身份证丢失的情况下,非法分子冒充开户;另外,信息安全装置201将待认证信息生成标识图像,认证服务器203对合影图像中的标识图像进行认证,可以实现对信息安全装置201的认证;另外,认证服务器203对合影图像中用户的面部图像进行认证,可以防止身份证和信息安全装置201都丢失的情况下,非法分子冒充开户。实施例4本实施例提供一种远程开户系统,采用上述实施例3中的身份认证系统对用户的身份进行认证,对用户的身份认证通过后,认证服务器203进行远程开户。用户可通过网络实现远程开户,是一种方便的开户方法,另外,可以防止非法分子冒充开户需要说明的是,身份认证通过之后,可以是认证服务器203自动进行远程开户,也可以是工作人员控制认证服务器203进行远程开户。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。