身份注册、认证方法、系统及相关设备与流程

本公开涉及计算机技术领域，具体涉及身份注册、认证方法、系统及相关设备。

背景技术：

目前，大部分移动设备的应用在使用过程中，需要和服务器进行身份认证后才能执行相应的功能。特别是一些对安全要求较高的应用，如支付、加密通话、drm等，更需要安全可靠的身份认证机制。

在相关的现有技术中，很多移动设备采取基于可信执行环境(trustedexecutionenvironment，tee)的身份认证解决方案，即将执行身份认证操作的可信应用(trustedapplication，ta)在tee中运行，而将不涉及到身份认证操作的用户应用(clientapplication，ca)在richos里面运行。其中，tee是与richos(通常是android等)并存的运行环境，并且给richos提供安全服务。tee所能访问的软硬件资源是与richos分离的，tee为ta提供了安全执行环境，同时也保护ta的资源和数据的保密性、完整性和访问权限。这种方式在一定程度上提高了身份认证的安全性，但是，如果一旦丢失，该移动设备就可能会面临各种攻击，攻击者很有可能获得移动设备的使用权限从而进行各种操作。

另外，也有一部分移动设备将物理不可克隆(physicallyunclonablefunction，puf)用在移动设备的芯片里，利用从芯片中提取出来的唯一密钥进行加密认证。这种方式虽然也加强了身份认证的安全性，但是，同样，一旦移动设备丢失，也很有可能会面临同样的安全泄露问题。

技术实现要素：

本公开实施例提供身份注册、认证方法、系统及相关设备，用以尽可能提高身份认证的安全性，解决现有技术中由于移动设备丢失而导致安全泄露的问题。

本公开实施例提供一种身份注册、认证方法、系统及相关设备。

第一方面，本公开实施例中提供了一种身份注册方法，包括：

服务器根据预先保存的移动设备和外部设备的身份信息，验证所述移动设备和外部设备是否为合法设备；

如果为合法设备，服务器从所述移动设备获得用户注册信息；

服务器将所述用户注册信息与所述移动设备和外部设备的身份信息进行关联并保存；

其中，所述外部设备为与所述移动设备保持电连接并位于所述移动设备外部的电子设备，所述身份信息包括所述移动设备和外部设备的设备信息、所述移动设备的公钥和所述外部设备的密钥，所述移动设备上安装有应用，所述应用包括运行在可信执行环境tee中的可信应用和运行在富操作系统richos中的用户应用，所述移动设备的公私钥是所述可信应用经过初始化后生成的，所述外部设备的密钥是基于物理不可隆puf技术生成的。

结合第一方面，本公开在第一方面的第一种实现方式中，所述外部设备为耳机。

结合第一方面，本公开在第一方面的第二种实现方式中，所述服务器根据预先存储的移动设备和外部设备的身份信息，验证所述移动设备和外部设备是否为合法设备，包括：

与所述用户应用建立通道；

接收所述用户应用发送的所述移动设备和外部设备的设备信息；

判断接收的设备信息与预先保存的设备信息是否一致；

如果一致，生成随机数n1和n2并发送给所述用户应用；

接收所述用户应用发送的由外部设备产生的认证信息以及由所述可信应用产生的关于所述认证信息与随机数n2的签名结果；其中，所述外部设备产生的认证信息是经过外部设备的密钥计算得到的随机数n1的hash值或加密结果，所述签名结果是经过移动设备的私钥签名得到的；

利用所述移动设备的公钥，验证所述可信应用产生的签名结果是否为对外部设备产生的认证信息与随机数n2的签名；

如果是，利用所述外部设备的密钥计算出随机数n1的hash值或加密结果，并验证是否与接收的外部设备产生的认证信息一致；

如果一致，确定所述移动设备和外部设备为合法设备，如果不一致，确定所述移动设备和外部设备为不合法设备。

结合第一方面，本公开在第一方面的第三种实现方式中，所述服务器从所述移动设备获得用户注册信息，包括：

生成随机数n3，并利用所述移动设备的公钥加密后发送给所述用户应用；

接收所述用户应用返回的经过随机数n3加密后的用户注册信息密文；

利用随机数n3解密获得用户注册信息明文。

结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式或第一方面的第三种实现方式，本公开在第一方面的第四种实现方式中，所述移动设备和外部设备的身份信息预先保存在数据库中。

结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式或第一方面的第三种实现方式，本公开在第一方面的第五种实现方式中，所述用户注册信息与所述移动设备和外部设备的身份信息关联后保存在数据库中。

结合第一方面的第四种实现方式或第一方面的第五种实现方式，本公开在第一方面的第六种实现方式中，所述用户注册信息以及所述移动设备和外部设备的身份信息加密保存在数据库中。

第二方面，本公开实施例中提供了一种身份认证方法，包括：

服务器接收移动设备发送的用户注册信息；

服务器从预先保存的关联关系中查找与接收的用户注册信息关联的移动设备的公钥和外部设备的密钥；

服务器根据所述查找到的移动设备的公钥和外部设备的密钥进行身份认证，获得身份认证结果。

结合第二方面，本公开在第二方面的第一种实现方式中，所述服务器根据所述查找到的移动设备的公钥和外部设备的密钥进行身份认证，获得身份认证结果，包括：

生成随机数n1和n2，并发送给移动设备中的用户应用；

接收所述用户应用发送的由外部设备产生的认证信息以及由移动设备的可信应用产生的关于所述认证西悉尼与随机数n2的签名结果；其中，所述外部设备产生的认证信息是经过外部设备的密钥计算得到的随机数n1的hash值或加密结果，所述签名结果是经过移动设备的私钥签名得到的；

利用移动设备的公钥，验证所述移动设备的可信应用产生的签名结果是否为对外部设备产生的认证信息与随机数n2的签名；

如果是，利用外部设备的密钥计算随机数n1的hash值或加密结果，并验证是否与接收的外部设备产生的认证信息一致；

如果一致，确定用户身份认证成功，如果不一致，确定用户身份认证失败。

第三方面，本公开实施例中提供了一种身份注册系统，包括：数据库、移动设备、外部设备和服务器，所述移动设备上安装有应用，所述应用包括运行在tee中的可信应用和运行在richos中的用户应用；其中，

所述外部设备为与所述移动设备保持电连接并位于所述移动设备外部的电子设备；所述数据库保存有所述移动设备和外部设备的身份信息，所述身份信息包括所述移动设备和外部设备的设备信息、所述移动设备的公钥和所述外部设备的密钥；所述移动设备的公私钥是所述可信应用经过初始化后生成的，所述外部设备的密钥是基于puf技术生成的；

所述服务器根据所述数据库中保存的所述移动设备和外部设备的身份信息验证所述移动设备和外部设备是否为合法设备，如果为合法设备，从所述移动设备获得用户注册信息，将所述用户注册信息与所述移动设备和外部设备的身份信息进行关联并保存在所述数据库中。

结合第三方面的第一种实现方式，本公开在第三方面的第二种实现方式中，所述用户应用从所述外部设备获得所述外部设备的设备信息，从所述可信应用获得所述移动设备的设备信息，并通过与所述服务器之间建立的通道发送给所述服务器；

所述服务器判断接收的设备信息与数据库保存的设备信息是否一致，如果一致，生成随机数n1和n2后发送给所述用户应用；所述用户应用将随机数n1发送给所述外部设备，由所述外部设备根据密钥计算得到随机数n1的hash值或加密结果并作为认证信息，并返回给所述用户应用；

所述用户应用将外部设备产生的认证信息和n2发送给所述可信应用，由所述可信应用根据私钥对外部设备产生的认证信息与随机数n2签名，并将签名结果返回给所述用户应用；

所述用户应用将所述外部设备产生的认证信息以及所述移动设备产生的签名结果发送给所述服务器；

服务器利用所述移动设备的公钥，验证所述可信应用产生的签名结果是否为对外部设备产生的认证信息与随机数n2的签名，如果是，利用所述外部设备的密钥计算出随机数n1的hash值或加密结果，并验证是否与接收的外部设备产生的认证信息一致，如果一致，确定所述移动设备和外部设备为合法设备，如果不一致，确定所述移动设备和外部设备为不合法设备。

结合第三方面，本公开在第三方面的第二种实现方式中，在确定所述移动设备和外部设备为合法设备后，服务器生成随机数n3，并利用所述移动设备的公钥加密后发送给所述用户应用；

所述用户应用将加密后的随机数n3发送给可信应用；

可信应用利用所述移动设备的私钥解密获得随机数n3，通过人机交互界面获得用户注册信息，并利用随机数n3加密后发送给所述用户应用；

所述用户应用将用户注册信息密文返回给所述服务器；

所述服务器利用随机数n3解密获得用户注册信息明文。

第四方面，本公开实施例中提供了一种身份注册系统，包括：数据库、移动设备、外部设备和服务器，所述移动设备上安装有应用，所述应用包括运行在tee中的可信应用和运行在richos中的用户应用；其中，

所述外部设备为与所述移动设备保持电连接并位于所述移动设备外部的电子设备；所述数据库保存有所述移动设备和外部设备的身份信息，所述身份信息包括所述移动设备和外部设备的设备信息、所述移动设备的公钥和所述外部设备的密钥；所述移动设备的公私钥是所述可信应用经过初始化后生成的，所述外部设备的密钥是基于puf技术生成的；

服务器接收移动设备发送的用户注册信息，从预先保存的关联关系中查找与接收的用户注册信息关联的移动设备的公钥和外部设备的密钥，根据所述查找到的移动设备的公钥和外部设备的密钥进行身份认证，获得身份认证结果。

结合第三方面，本公开在第三方面的第一种实现方式中，所述服务器生成随机数n1和n2，并发送给所述用户应用；

所述用户应用将随机数n1发送给所述外部设备，由所述外部设备根据密钥计算得到随机数n1的hash值或加密结果并作为认证信息，并返回给所述用户应用；

所述用户应用将外部设备产生的认证信息和n2发送给所述可信应用，由所述可信应用根据私钥对外部设备产生的认证信息与随机数n2签名，并将签名结果返回给所述用户应用；

所述用户应用将所述外部设备产生的认证信息以及所述移动设备产生的签名结果发送给所述服务器；

所述服务器利用移动设备的公钥，验证所述移动设备的可信应用产生的签名结果是否为对外部设备产生的认证信息与随机数n2的签名，如果是，利用外部设备的密钥计算随机数n1的hash值或加密结果，并验证是否与接收的外部设备产生的认证信息一致，如果一致，确定用户身份认证成功，如果不一致，确定用户身份认证失败。

第五方面，本公开实施例中提供了一种电子设备，包括存储器和处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如第一方面、第一方面的第一种实现方式至第二种实现方式任一项所述的方法，或者如第三方面至第三方面的第一种实现方式任一项所述的方法。

第六方面，本公开实施例中提供了一种计算机可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现如第二方面、第二方面的第一种实现方式至第二种实现方式任一项所述的方法，或者如第三方面至第三方面的第一种实现方式任一项所述的方法。

本公开实施例提供的技术方案可以包括以下有益效果：

本公开实施例中将外部设备产生的认证信息，以及移动设备tee环境中ta产生的代表移动设备的认证信息一起作为用户身份认证的信息，可以有效解决单靠一个设备进行身份认证的局限性，通过增加身份认证的复杂性进而提高身份认证的安全性。其中，采用基于puf的外部设备能够保证所产生的认证信息的不可克隆性，防止认证信息的伪造和篡改。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

结合附图，通过以下非限制性实施方式的详细描述，本公开的其它特征、目的和优点将变得更加明显。在附图中：

图1示出根据本公开一实施方式的身份认证系统的功能构造图；

图2示出根据本公开另一实施方式的耳机设备登记方法的交互流程图；

图3示出根据本公开另一实施方式的手机设备登记方法的交互流程图；

图4示出根据本公开另一实施方式的身份注册方法的交互流程示意图；

图5示出根据本公开另一实施方式的身份认证的交互流程示意图；

图6示出根据本公开一实施方式的电子设备的结构框图；

图7是适于用来实现根据本公开一实施方式的身份注册、认证方法的计算机系统的结构示意图。

具体实施方式

下文中，将参考附图详细描述本公开的示例性实施方式，以使本领域技术人员可容易地实现它们。此外，为了清楚起见，在附图中省略了与描述示例性实施方式无关的部分。

在本公开中，应理解，诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在，并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。

另外还需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。

tee是移动设备(包含但不限于智能手机、平板电脑、机顶盒、智能电视等)的主处理器上的一个安全区域，其可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。tee提供一个隔离的执行环境，提供的安全特征包含：隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。总体来说，tee提供的执行环境比常见的移动操作系统(如ios、android等)可提供更高级别的安全性，比安全元素(secureelement，se)，如智能卡、sim卡等可提供更多的功能。

在移动设备上，tee与richos并行存在，为richos环境提供安全功能。通常，运行在tee中的应用称为可信应用(即ta)，其可以访问移动设备的主处理器和内存的全部功能，硬件隔离技术保护ta不受安装在richos中的用户应用(即ca)的影响。而tee内部的软件和密码隔离技术可以保护每个ta不相互影响，这样可以为多个不同的服务提供商同时使用，而不影响安全性。

工业联盟globalplatform和可信计算工作组(trustedcomputinggroup，tcg)近年来都在开展tee方面的工作，前者以制定tee的标准规范为主，后者试着将tee的标准规范与其可信平台模块规范进行结合以加强移动设备的安全性和可信性。

puf指一种物理实体或物理结构，它易于求值，但是很难被复制。puf技术最重要的特性是即使知道具体结构和制造方式，要想复制一个与某个设备的puf相同的实体或结构，很难实现或者是几乎不可能实现。基于puf的密钥生成器产生的密钥本身具有随机性，而且不用存储，只在使用时产生，使用完就删除，增加了密钥的安全性，同时由于puf的物理不可克隆性，不同的puf设备提取出的密钥不同，保证了密钥的不可克隆特性。相比于普通的非易失性存储器，puf提供了更高的物理安全特性，可以防止秘密数据直接从存储器中被恶意读出。puf是一项低成本技术，可以利用当前普通的生产处理工艺快速实现。

在现有技术中，通常采用两种方式保障身份认证的安全性，其中一种方式是将执行身份认证操作的ta在tee中运行，而将不涉及到身份认证操作的ca在richos里面运行。另一种方式是将puf用在移动设备的芯片里，利用从芯片中提取出来的唯一密钥进行加密认证。

这两种方式都可以在一定程度上提高身份认证的安全性。但是，一旦移动设备丢失，其都有可能会面临安全泄露问题。

本公开的实施例将puf应用在连接移动设备的外部设备中，并将tee和puf进行结合，利用双方产生的部分认证信息合成完整的身份认证信息，并与服务器进行在线的身份认证和校验，能够解决互联网或物联网环境下等复杂环境的身份认证问题。

如图1所示的身份认证系统，该身份认证系统10包括：移动设备11、外部设备12、数据库13和服务器14，移动设备11上安装有应用，该应用包括运行在tee环境中的可信应用和运行在richos中的用户应用。

其中，外部设备12可以是任何连接在移动设备11外部并与移动设备11配合工作的电子设备，并且该电子设备可实现基于puf技术的认证加密。外部设备12可以是通过有线连接方式与移动设备11连接的电子设备，如，耳机、音箱或u盾等可运用puf技术的设备，也可以是通过无线连接方式与移动设备11连接的电子设备，例如可穿戴设备，如可运用puf技术的智能手环、智能手表等。服务器14可以是一个服务器，也可以是一个服务器集群。数据库13在物理上可以独立于服务器14，也可以集成在服务器14中。当独立于服务器14时，数据库13可以是与服务器14通过互联网连接的在线数据库。

身份认证系统包括三个流程：设备登记流程、身份注册流程以及身份认证流程。

在设备登记流程中，提取移动设备11和外部设备12的设备信息、移动设备11的公钥和外部设备12的密钥，并登记到数据库13中。

在身份注册流程中，例如，当用户第一次使用支付或通话软件时，移动设备11和外部设备12先经过服务器13进行设备身份的校验，再由用户提交自己的用户注册信息(如用户名或者手机号)，服务器13执行用户身份(即用户注册信息)和设备身份(即移动设备11和外部设备12的设备信息、移动设备11的公钥和外部设备12的密钥)的绑定操作。

在身份认证流程中，例如，当用户需要使用支付软件或通话软件时，用户需要将外部设备12连接到移动设备11上，如，在手机上插入耳机，然后启动移动设备上的应用，该应用会向服务器14发起身份认证流程，其中，该应用先向服务器14发送用户身份，再向服务器14发送设备身份，服务器14先根据接收的用户身份查找绑定关系中对应的设备身份，再校验查找到的设备身份与接收的设备身份是否一致，如果一致，认证通过，用户才能使用该应用提供的相应功能，如支付或通话功能。

下面以用户使用的应用为支付软件，移动设备为手机，外部设备为耳机为例，介绍具体的操作步骤：

首先是设备登记流程，通常，设备登记流程是在设备出厂前完成，分为耳机设备的登记和手机设备的登记。

在耳机设备的登记中，从耳机中提取出其唯一密钥，即puf密钥，该puf密钥是puf制造过程中不可避免产生的物理构造差异值得到的，将该puf密钥和耳机设备信息(如，耳机设备信息包含耳机芯片信息和唯一硬件id等)存入到数据库13中。如图2所示的耳机设备信息登记的交互流程图。

在手机设备的登记中，将运行在手机tee环境中的支付ta进行初始化后会产生一对公私钥，将公钥和手机设备信息(如，手机设备信息包含主要cpu芯片的版本、参数、硬件id等信息)同样存入到数据库13中。如图3所示的手机设备信息登记的交互流程图。

其中，数据库13中的数据可以是加密存储的，例如可以使用硬件加密机来保护其中的数据。

其次是身份注册流程。其中，支付软件包含两部分，一部分是运行在richos(例如android系统)中的应用，称为支付ca，主要完成界面功能展示、网络连接等操作；一部分是运行在tee(例如secureos)中的应用，称为支付ta，主要完成数据加解密以及口令输入等安全操作。支付ca通过teeclientapi访问支付ta提供的安全服务。例如，当输入交易数据时，支付ca通过调用teeclientapi中的接口函数，进入到tee环境，支付ta弹出安全输入界面以完成交易数据的输入，支付ta对数据进行加解密处理后，将处理结果返回给支付ca。

用户在第一次使用支付软件时，需先将耳机插入手机后再打开支付软件，支付软件和服务器建立连接，服务器会对耳机和手机的设备身份进行校验，校验通过后，用户输入自己的用户名、手机号等用户注册信息，在服务器上注册成功后，才能使用支付软件。其中，数据库中预先保存有手机和耳机的身份信息，即、手机设备信息、耳机设备信息、手机的公钥和耳机的密钥。

如图4所示的身份注册方法的交互流程示意图，该身份注册方法包括：

s401：手机上的支付ca获得耳机设备信息。

如果未插入耳机，则提示用户在手机上插入耳机。

s402：手机上的支付ca从支付ta中获得手机设备信息。

s403：支付ca和服务器建立ssl通道。

s404：支付ca将耳机设备信息和手机设备信息传给服务器。

s405：服务器判断数据库中是否存在对应的耳机设备信息和手机设备信息，如果不存在，通信结束；如果存在，进入s406。

s406：服务器产生两个随机数n1和n2。

s407：服务器将两个随机数n1和n2发送给支付ca。

s408：支付ca将随机数n1发给耳机。

s409：耳机提取出基于puf技术生成的puf密钥，使用该puf密钥的hash函数计算出随机数n1的hash值。

作为替换方案，耳机提取出基于puf技术生成的密钥，使用该puf密钥计算出随机数n1的加密结果。也就是说，对耳机设备的认证可以基于puf密钥hash认证也可以基于puf密钥加密认证。

s410：耳机将随机数n1的hash值(或者随机数n1的加密结果)作为耳机产生的认证信息传给支付ca。

s411：支付ca通过接口函数将耳机产生的认证信息和n2发给支付ta。

s412：支付ta使用手机的私钥对耳机产生的认证信息和n2进行签名；

s413：支付ta将签名结果通过接口函数返回给支付ca。

s414：支付ca将耳机产生的认证信息和支付ta产生的签名结果发给服务器。

s415：服务器使用手机的公钥，验证支付ta产生的签名结果是否为对耳机产生的认证信息和n2的签名；如果是，进入s416。

s416：服务器使用耳机的密钥计算出随机数n1的hash值(或者计算出随机数n1的加密结果)，并验证是否与接收到的耳机产生的认证信息一致，如果一致，认为耳机和手机为合法设备，进入s417。

s417：服务器将耳机设备信息和手机设备信息关联在一起。

s418：服务器产生一个随机数n3，用手机的公钥加密，传给支付ca。

s419：支付ca调用teeclientapi函数接口，将加密后的随机数n3传给支付ta。

s220：支付ta用手机的私钥解密随机数n3，作为支付ta的加密密钥，并使用由tee环境提供的可信人机界面来输入用户注册信息，支付ta将输入的用户注册信息用加密密钥(随机数n3)加密后。

s421：将用户注册信息密文返回给支付ca。

s422：支付ca将加密后的用户注册信息发给服务器。

s423：服务器用随机数n3作为解密密钥，获取用户注册信息明文，将用户注册信息存储到数据库中，并与手机和耳机的身份信息(即，耳机设备信息、手机设备信息、耳机的密钥和手机的公钥)关联在一起。

其中的敏感信息(如手机号等)可以加密存储到数据库中。

身份注册流程完成后，当需要使用支付软件时，需要在手机上插入耳机，进入用户身份认证流程。

如图5所示的用户身份认证方法的交互流程示意图，该身份认证方法包括：

s501：手机上的支付ca获得用户登录的用户注册信息。

s502：支付ca连接服务器，并向服务器发送用户注册信息进行身份认证。

s503：服务器产生两个随机数n1和n2。

s504：服务器将两个随机数n1和n2发送给支付ca。

s505：支付ca将随机数n1发给耳机。

s506：耳机提取出基于puf技术生成的密钥，使用该密钥的hash函数计算出随机数n1的hash值。

作为替换方案，耳机提取出基于puf技术生成的密钥，使用该puf密钥计算随机数n1的加密结果。s507：耳机将计算出的随机数n1的hash值(或者随机数n1的加密结果)作为耳机产生的认证信息传给支付ca。

s508：支付ca通过接口函数将耳机产生的认证信息和n2发给支付ta。

s509：支付ta使用手机的私钥对耳机产生的认证信息和n2进行签名。

s510：支付ta将签名结果通过接口函数返回给支付ca。

s511：支付ca将耳机产生的认证信息、支付ta产生的签名结果发给服务器。

s512：服务器从数据库中找到与用户注册信息关联的手机的公钥。

s513：服务器使用手机的公钥，验证支付ta产生的签名结果是否为对耳机产生的认证信息和n2的签名，如果是，进入s514。

s514：服务器从数据库中找到与用户注册信息关联的耳机的密钥。

s515：服务器使用耳机的密钥，验证计算出的随机数n1的密钥hash值(或者随机数n1的加密结果)是否与接收到的耳机产生的认证信息一致，如果一致，则认为用户身份认证成功，如果不一致，则认为用户身份认证失败。当然，需要说明的是，上述步骤s512和s514也可以合并到一个步骤执行，并且还可以在步骤s513之前的任意步骤执行。

本公开实施例中将外部设备产生的认证信息，以及移动设备tee环境中ta产生的代表移动设备的认证信息一起作为用户身份认证的信息，可以有效解决单靠一个设备进行身份认证的局限性，通过增加身份认证的复杂性进而提高身份认证的安全性。其中，采用基于puf的耳机设备能够保证所产生的认证信息的不可克隆性，防止认证信息的伪造和篡改。

本公开还公开了一种电子设备，图6示出根据本公开一实施方式的电子设备的结构框图，如图6所示，所述电子设备600包括存储器602和处理器601；其中，

所述存储器602用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器601执行以实现前述各方法步骤中的全部或部分步骤。

图7是适于用来实现根据本公开一实施方式的身份注册方法以及身份认证方法的计算机系统的结构示意图。

如图7所示，计算机系统700包括中央处理单元(cpu)701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行上述图4-5所示的实施方式中的各种处理。在ram703中，还存储有系统700操作所需的各种程序和数据。cpu701、rom702以及ram703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。

以下部件连接至i/o接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

特别地，根据本公开的实施方式，上文参考图4和图5描述的方法可以被实现为计算机软件程序。例如，本公开的实施方式包括一种计算机程序产品，其包括有形地包含在及其可读介质上的计算机程序，所述计算机程序包含用于执行前述空间索引建立方法的程序代码。在这样的实施方式中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。

附图中的流程图和框图，图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。

作为另一方面，本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。