一种网络身份认证方法、系统及智能终端与流程

本发明属于身份认证领域，尤其涉及一种网络身份认证方法、系统及智能终端。

背景技术：

计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。

目前客户端-服务端或浏览器-服务端应用在进行身份认证时，普遍支持用户名/口令的认证方式，随着技术的不断进步，大部分服务端又提供基于图片的验证码服务，要求用户输入用户名、口令和验证码，但是也许是因为验证码是后来附加进来的，因此用户名、口令与验证码的关系不是很紧密，而且用户名、口令认证机制也各不相同，容易造成用户名、口令和验证码信息泄露。

现有的互联网用户身份认证方法普遍使用的有用户名/密码认证，二维码扫描认证，手机短信认证和语音短信认证等技术手段，但是现有的互联网用户身份认证技术存在以下缺点：

用户名/密码方式易遗忘，泄露以及遭受“撞库”攻击；

二维码扫描需搭配专用应用app，适用范围受限；

手机短信和语音认证均会产生运营费用，且因移动网络因素体验不稳定；

此外，以上认证方法均无法有效保证认证用户的真实身份，存在被仿冒的风险。

技术实现要素：

针对这些缺点，本发明提出了一种利用用户生物特征进行互联网身份认证，并通过开放标准协议与现有互联网资源相结合的技术方案，提高了用户在互联网中进行身份认证的安全性和可靠性。

本发明一种网络身份认证方法，包括步骤：s100通过开放授权协议接收网络发起的用户身份认证请求；s200向用户的智能终端发起生物认证请求，以便用户通过智能终端进行生物识别；s300接收智能终端在生物识别成功的时候返回的生物认证成功的信息；s400通过开放授权协议向网络返回身份认证成功的信息。

oauth(即openauthorization，开放授权)是一个开放标准，允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据，它是为用户资源授权提供了一种安全简单的标准，也就是说用户在访问第三方web或应用的时候，第三方不会知道用户的信息(登录密码等)。

进一步地，所述步骤s200包括：s210推送认证登陆页面，接收用户登陆输入的用户信息；s220将所述用户身份认证请求转换为生物认证请求；s230根据所述用户登陆输入的用户信息，查找到用户对应的智能终端，并向用户的智能终端发送生物认证请求。

进一步地，所述用户信息为手机号码、用户名、或智能终端mac地址。

本发明还公开了一种网络身份认证系统，包括认证模块、授权模块、通信模块，所述通信模块分别与所述认证模块、授权模块相连，所述授权模块与所述认证模块相连，其中：所述认证模块通过开发授权协议向网络提供认证服务，接收网络发起的用户身份认证请求；所述认证模块通过所述通信模块向用户的智能终端发起生物认证请求，以便用户通过智能终端进行生物识别；所述认证模块接收智能终端在生物识别成功的时候返回的生物认证成功的信息；所述授权模块通过开放授权协议向网络返回身份认证成功的信息，完成授权。

进一步地，所述认证模块包括：推送子模块、获取子模块、查找子模块及转换子模块，所述推送子模块分别与所述获取子模块、查找子模块、转换子模块相连，所述获取子模块与所述查找子模块相连；其中：所述推送子模块推送认证登陆页面，所述获取子模块接收用户登陆输入的用户信息；所述转换子模块将所述用户身份认证请求转换为生物认证请求；所述查找子模块根据所述用户登陆输入的用户信息，查找到用户对应的智能终端，所述推送子模块向用户的智能终端发送生物认证请求。

进一步地，所述网络身份认证系统还包括加密模块，所述加密模块与所述通信模块相连，用于对所述通信模块建立的通信连接通道进行加密。

进一步地，所述生物认证指人脸识别、指纹认证、掌纹认证、或虹膜认证。

此外，本发明还公开了一种网络身份认证智能终端，包括：信息收发模块、显示模块、生物信息获取模块、生物认证模块，所述生物认证模块分别与所述信息收发模块、显示模块、生物信息获取模块相连，其中：所述信息收发模块接收网络身份认证系统的生物认证请求信息，并传输给所述生物认证模块；所述显示模块显示所述生物认证请求信息；所述生物信息获取模块获取用户的生物特征信息；所述生物认证模块根据所述用户的生物特征信息，比对预存的所述用户的生物特征信息，判断所述生物认证是否成功；当所述生物认证模块判断所述生物认证成功时，通过所述信息收发模块向网络身份认证系统返回生物认证结果。

进一步地，所述生物认证请求信息包括：认证请求发起的网站名称、认证请求发起的网站域名地址或ip地址、认证请求发起的时间。

进一步地，所述智能终端与网络身份认证系统通过tcp/ip进行长连接。

本发明有益效果如下：

(1)本发明采用了开放授权标准(openauthorization，oauth)协议，为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是oauth的授权不会使第三方触及到用户的帐号信息(如用户名与密码)，即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，实施起来简单，不管是oauth服务提供者还是应用开发者，都很易于理解与使用；也更安全，没有涉及到用户密钥等信息，更安全更灵活；此外，该标准开放：任何服务提供商都可以实现oauth，任何软件开发商都可以使用oauth。

(2)本发明结合了生物识别认证，它不需要使用者有意识的携带任何东西，或记忆任何密码，操作简单。而且，相对于其它身份认证，它的安全系数更高，避免了用户名/密码被盗用的风险，易于采集、安全可靠。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种网络身份认证方法实施例一的流程图；

图2为本发明一种网络身份认证方法另一实施例的流程图；

图3为本发明一种网络身份认证系统实施例的框图；

图4为本发明一种网络身份认证系统另一实施例的框图；

图5为本发明一种网络身份认证智能终端实施例的框图；

图6为本发明网络身份认证方法另一实施例方案概图；

图7为本发明网络身份认证方法中认证请求概图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明一种网络身份认证方法，实施例一如图1所示，包括步骤：

s100通过开放授权协议接收网络发起的用户身份认证请求；

s200向用户的智能终端发起生物认证请求，以便用户通过智能终端进行生物识别；

s300接收智能终端在生物识别成功的时候返回的生物认证成功的信息；

s400通过开放授权协议向网络返回身份认证成功的信息。

本发明通过开放授权标准(openauthorization，oauth)协议，结合生物认证识别，提供了一种互联网用户身份认证安全性提升方案。oauth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是oauth的授权不会使第三方触及到用户的帐号信息(如用户名与密码)，即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此oauth是安全的。开发授权协议具有以下优点：

(1)简单：不管是oauth服务提供者还是应用开发者，都很易于理解与使用；

(2)安全：没有涉及到用户密钥等信息，更安全更灵活；

(3)开放：任何服务提供商都可以实现oauth，任何软件开发商都可以使用oauth。

本实施例采用的生物认证是指通过测量生物特征来进行身份认证的一种技术，它不需要使用者有意识的携带任何东西，也不用记任何强密码，因为密码就在使用者身上，相对于其它身份认证安全性更高。

相对于现有技术中的网络身份认证，本实施例的方法更为安全，实用性强。

本发明方法的另一实施例，如图2所示，包括：

s100通过开放授权协议接收网络发起的用户身份认证请求；

s210推送认证登陆页面，接收用户登陆输入的用户信息；

s220将所述用户身份认证请求转换为生物认证请求；

s230根据所述用户登陆输入的用户信息，查找到用户对应的智能终端，并向用户的智能终端发送生物认证请求；

s300接收智能终端在生物识别成功的时候返回的生物认证成功的信息；

s400通过开放授权协议向网络返回身份认证成功的信息。

具体的，认证系统通过开发授权标准协议向互联网提供认证授权服务。例如，用户在上网访问example.com时希望访问查看该网站内的xx照片(只有合法用户方有权限查看)；example.com通过网络向认证系统发起身份认证请求，认证系统接收到认证请求后向用户推送认证登陆页面，让用户输入用户信息，比如用户输入手机号码135****4875，那么认证系统在接收到该用户输入的手机号码信息后，便根据该手机号码，向该手机号码所在的手机发起指纹认证请求，用户在该手机上进行指纹识别认证，认证成功的话则会返回给认证系统认证成功的信息，认证系统在接收到手机返回的认证成功的信息后，则判断该用户是合法用户，从而反馈给网络认证成功的信息，授权给该用户登陆查看example.com网站内的xx照片(该授权用户与在该网站输入注册的账号密码登陆的用户享有同等权利)。由于指纹认证必须是本人的指纹才可通过认证，确保了一定是经过了本人授权的，因此安全系数大大增强。

上述任一实施例中的所述用户信息为手机号码、或者用户名、或者智能终端mac地址。这里的用户信息是唯一的，每一个用户信息对应了属于该用户的一个或多个智能终端，因此可以根据用户输入的用户信息，查找到相对应的属于该用户的可用于生物验证的智能终端。

基于相同的技术构思，本发明实施例还提供一种网络身份认证系统，该系统可执行上述方法实施例。本发明实施例提供的网络身份认证系统如图3所示，包括认证模块110、授权模块120、通信模块130，所述通信模块130分别与所述认证模块110、授权模块120相连，所述授权模块120与所述认证模块110相连，其中：所述认证模块110通过开发授权协议向网络提供认证服务，接收网络发起的用户身份认证请求；所述认证模块110通过所述通信模块130向用户的智能终端发起生物认证请求，以便用户通过智能终端进行生物识别；所述认证模块110接收智能终端在生物识别成功的时候返回的生物认证成功的信息；所述授权模块120通过开放授权协议向网络返回身份认证成功的信息，完成授权。

具体的，例如认证系统通过标准开放授权协议(openauthorization,oauth)向互联网提供用户身份认证服务；当接收到互联网资源发起的用户身份认证请求时，认证系统向用户的智能手机发起指纹认证请求；用户的智能手机即时弹出网络认证请求信息和本机指纹认证请求；用户在智能手机上按取指纹，进行身份认证；用户的智能手机向认证系统返回身份认证成功信息；认证系统通过oauth协议向互联网资源返回用户身份认证成功信息。

上述认证系统实施例中，如图4所示，所述认证模块110包括：推送子模块111、获取子模块112、查找子模块113及转换子模块114，所述推送子模块111分别与所述获取子模块112、查找子模块113、转换子模块114相连，所述获取子模块112与所述查找子模块113相连；其中：所述推送子模块111推送认证登陆页面，所述获取子模块112接收用户登陆输入的用户信息；所述转换子模块114将所述用户身份认证请求转换为生物认证请求；所述查找子模块113根据所述用户登陆输入的用户信息，查找到用户对应的智能终端，所述推送子模块111向用户的智能终端发送生物认证请求。

例如，用户信息为智能终端mac地址、生物认证为人脸识别；则本发明实施例的网络身份认证系统中的认证模块处理认证请求包括：认证系统通过oauth协议接收来自互联网的用户身份认证请求，跳转至认证登录页面，用户在认证登录页面上输入智能终端mac地址，进行登录。认证系统将用户身份认证请求转换成智能人脸识别验证请求，根据智能终端mac地址在认证系统内部对应的长连接通道，将请求向目标智能终端下发。

较佳的，所述网络身份认证系统还包括加密模块140，所述加密模块140与所述通信模块130相连，用于对所述通信模块130建立的通信连接通道进行加密。

智能终端会与认证系统以tcp/ip长连接的形式保持实时通讯，随时接收和反馈认证请求和结果。长连接通道内采用加密算法进行加密，确保通讯的安全性。加密算法不限，比如aes-128算法、ecc算法、或rsa算法等。

上述任一实施例汇总的所述生物认证可以为人脸识别、指纹认证、掌纹认证、虹膜认证中的任意一种。

生物认证是通过测量生物特征来进行身份认证的一种技术，相对于其它身份认证实用性强、安全性更高，生物认证具有以下优点：

(1)具有随身性：生物特征是人体固有的特征，与人体是唯一绑定的，具有随身性；

(2)安全性：人体特征本身就是个人身份的最好证明,满足更高的安全需求；

(3)唯一性：每个人拥有的生物特征各不相同；

(4)稳定性：生物特征如指纹、虹膜等人体特征不会随时间等条件的变化而变化；

(5)广泛性：每个人都具有这种特征；

(6)方便性：生物识别技术不需记忆密码与携带使用特殊工具(如钥匙)，不会遗失；

(7)可采集性：选择的生物特征易于测量。

此外，本发明还公开了一种网络身份认证智能终端，如图5所示，包括：信息收发模块210、显示模块220、生物信息获取模块230、生物认证模块240，所述生物认证模块240分别与所述信息收发模块210、显示模块220、生物信息获取模块230相连，其中：所述信息收发模块210接收网络身份认证系统的生物认证请求信息，并传输给所述生物认证模块240；所述显示模块220显示所述生物认证请求信息；所述生物信息获取模块230获取用户的生物特征信息；所述生物认证模块240根据所述用户的生物特征信息，比对预存的所述用户的生物特征信息，判断所述生物认证是否成功；当所述生物认证模块240判断所述生物认证成功时，通过所述信息收发模块210向网络身份认证系统返回生物认证结果。

该智能终端可以是手机、平板电脑、或其它可采集认证生物特征的装置。

具体的，上述网络身份认证智能终端实施例中，所述生物认证请求信息包括：认证请求发起的网站名称、认证请求发起的网站域名地址或ip地址、认证请求发起的时间。

上述实施例中，所述智能终端与网络身份认证系统通过tcp/ip进行长连接。

通过长连接，一方面，减少cpu及内存的使用，因为不需要经常的建立及关闭连接；另一方面，减少网络的堵塞，因为减少了tcp请求；此外，减少后续请求的响应时间，因为此时不需要建立tcp，也不需要tcp握手等过程。

本发明整体的另一实施例，整体方案如图6所示：

(1)云端认证系统，云端认证系统在本实施例中主要实现三个功能：

a、云端部署的认证服务通过行业标准的开放授权协议(oauth，即openauthorization)向互联网提供认证和授权服务。

oauth是一种高度安全可靠的开放式认证授权协议，在认证过程中无需交换用户名和密码，即可完成认证授权功能。oauth具体工作原理可参考openauthorizationv2.0标准协议规范。云端认证系统提供三方认证授权页面，该页面上设有认证出发按钮，供用户发起认证请求。

b、管理和维护用户智能手机和系统的长连接(persistentconnection)通道。

本方案中，经定制的智能手机终端会与云端认证系统以tcp/ip长连接的形式保持实时通讯，随时接收和反馈认证请求和结果。长连接通道内采用aes-128算法加密，确保通讯的安全性。

c、认证请求处理

云端认证系统通过oauth协议接收来自互联网的用户身份认证请求，跳转至认证登录页面，用户在认证登录页面上输入手机号码，并点击“登录”按钮，示意图如图7所示。认证系统将用户身份认证请求转换成智能手机指纹验证请求，通过手机号码在系统内部对应的长连接通道，将请求向目标手机下发。

(2)用户智能手机终端；本方案中，要求用户智能手机终端操作系统具备如下定制化功能：

a、在开机和网络服务可用的情况下，与云端认证系统以tcp/ip长连接的形式保持实时通讯。

b、接收到云端下发的指纹认证请求时，在智能手机终端屏幕上弹出认证请求信息和指纹认证提示，至少包含如下：

认证请求发起网站名称；

认证请求发起网站域名地址，ip地址；

认证请求发起的时间；

c、将指纹认证的结果返回给云端认证系统

智能手机操作系统定制化可通过两种方式实现：

开放式智能手机操作系统，如googleandroid等，在操作系统中直接实现功能。

封闭式智能手机操作系统，如appleios等，通过开发附加app应用实现功能。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。