一种身份认证的方法、系统及相关组件与流程

本申请涉及信息安全技术领域，特别涉及一种身份认证的方法、系统、一种计算机可读存储介质及一种电子设备。

背景技术：

随着移动互联网的进一步发展，计算机领域传统的身份验证方式，包括静态密码、智能卡、短信密码动态口令、二维码认证、邮箱认证、usbkey以及双因素认证等身份认证方法。上述传统的身份验证方法中，静态密码安全系数较低且用户容易被遗忘和破解；usbkey和智能卡，携带不便、容易遗失，使用过多易损坏，使用步骤也较麻烦；二维码认证、邮箱认证、短信密码动态口令这种方法需要用户交互较多，操作不便利。

目前，上述传统的身份验证方法存在密码易被遗忘和破解，或者携带不便、容易遗失、使用过多易损坏，安全系数较低等诸多问题，当前的移动终端来校验身份信息的技术面临着严峻的挑战，已不能适应现代科技发展和社会进步的需要。

因此，如何实现安全系数高且便捷的身份认证是本领域技术人员目前需要解决的技术问题。

技术实现要素：

本申请的目的是提供一种身份认证的方法、系统、一种计算机可读存储介质及一种电子设备，能够实现安全系数高且便捷的身份认证。

为解决上述技术问题，本申请提供一种身份认证的方法，该方法包括：

采集用户人脸信息，并判断用户人脸信息是否通过人脸识别认证；

若是，则确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

生成包括用户登录信息的认证信息，并向认证服务器发送认证信息，以便认证服务器根据对应关系执行身份认证操作。

可选的，在采集用户人脸信息之前，还包括：

接收认证服务器发送的网络列表；

当接收到网络选择指令时，从网络列表中确定与网络选择指令对应的目标网络；

相应的，向认证服务器发送认证信息包括：

通过目标网络向认证服务器发送认证信息。

可选的，判断用户人脸信息是否通过人脸识别认证包括：

将用户人脸信息发送至人脸识别服务器，以便人脸识别服务器对用户人脸信息执行人脸识别操作得到识别结果；

接收人脸识别服务器发送的识别结果；

当识别结果为通过时，则判定用户人脸信息通过人脸识别认证；

当识别结果为未通过时，则判定用户人脸信息未通过人脸识别认证。

可选的，确定与用户人脸信息对应的用户登录信息包括：

当用户人脸信息通过人脸识别认证时，接收人脸识别服务器生成的用户登录信息；

相应的，身份验证码由认证服务器根据人脸识别服务器发送的验证码生成请求生成。

可选的，在采集用户人脸信息之前，还包括：

当接收到用户发送的网络连接指令时，生成portal页面，并检测用户是否通过portal页面输入认证指令；若是，则生成人脸识别指令。

可选的，向认证服务器发送认证信息包括：

向无线控制器发送portal认证请求，以便无线控制器生成与portal认证请求对应的公钥；

利用公钥对用户登录信息进行加密得到认证信息；

向无线控制器发送认证信息，以便无线控制器将认证信息转发至认证服务器。

可选的，在确定与用户人脸信息对应的用户登录信息之前，还包括：

生成验证码生成请求，向认证服务器发送验证码生成请求，以便认证服务器生成身份验证码。

本申请还提供了一种身份认证的系统，该系统包括：

人脸识别模块，用于采集用户人脸信息，并判断用户人脸信息是否通过人脸识别认证；

登录信息确定模块，用于当用户人脸信息通过人脸识别认证时，确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

认证模块，用于生成包括用户登录信息的认证信息，并向认证服务器发送认证信息，以便认证服务器根据对应关系执行身份认证操作。

可选的，还包括：

网络确定模块，用于接收认证服务器发送的网络列表；还用于当接收到网络选择指令时，从网络列表中确定与网络选择指令对应的目标网络；

相应的，认证模块具体为生成包括用户登录信息的认证信息，并通过目标网络向认证服务器发送认证信息的模块。

可选的，人脸识别模块包括：

信息采集单元，用于采集用户人脸信息，并将用户人脸信息发送至人脸识别服务器，以便人脸识别服务器对用户人脸信息执行人脸识别操作得到识别结果；

判定单元，用于接收人脸识别服务器发送的识别结果；还用于当识别结果为通过时，则判定用户人脸信息通过人脸识别认证；还用于当识别结果为未通过时，则判定用户人脸信息未通过人脸识别认证。

可选的，登录信息确定模块具体为当用户人脸信息通过人脸识别认证时，接收人脸识别服务器生成的用户登录信息的模块；

相应的，身份验证码由认证服务器根据人脸识别服务器发送的验证码生成请求生成。

可选的，还包括：

portal认证模块，用于当接收到用户发送的网络连接指令时，生成portal页面，并检测用户是否通过portal页面输入认证指令；若是，则生成人脸识别指令。

可选的，认证模块包括：

加密单元，用于向无线控制器发送portal认证请求，以便无线控制器生成与portal认证请求对应的公钥；还用于利用公钥对用户登录信息进行加密得到认证信息；

认证信息发送单元，用于向无线控制器发送认证信息，以便无线控制器将认证信息转发至认证服务器。

可选的，还包括：

验证码发送模块，用于生成验证码生成请求，向认证服务器发送验证码生成请求，以便认证服务器生成身份验证码。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序执行时实现上述身份认证的方法执行的步骤。

本申请还提供了一种电子设备，包括存储器和处理器，存储器中存储有计算机程序，处理器调用存储器中的计算机程序时实现上述身份认证的方法执行的步骤。

本申请提供了一种身份认证的方法，包括采集用户人脸信息，并判断用户人脸信息是否通过人脸识别认证；若是，则确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；生成包括用户登录信息的认证信息，并向认证服务器发送认证信息，以便认证服务器根据对应关系执行身份认证操作。

本申请首先采集用户人脸信息并根据用户人脸信息进行人脸识别，当通过人脸识别认证后确定与该用户人脸信息对应的用户登录信息，以便在认证服务器中建立用户登录信息与身份验证码的对应关系。进一步的，本申请在确定用户登录信息之后生成包括用户登录信息的认证信息，将该认证信息发送至认证服务器，认证服务器通过之前记录的对应关系判断是否存在与该认证信息中的用户登录信息对应的身份验证码，若存在则说明该认证信息通过了身份验证。现对于现有技术中需要用户提供用户名、密码或验证码等信息的身份认证方式，本申请通过主动采集用户人脸信息进行相关的认证操作，无需用户额外输入关于身份认证的相关信息，实现了安全系数高且便捷的身份认证。本申请同时还提供了一种身份认证的系统、一种计算机可读存储介质和一种电子设备，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例所提供的一种身份认证的方法的流程图；

图2为本申请实施例所提供的一种基于人脸识别服务器的企业认证的方法的流程图；

图3为基于人脸识别服务器的企业认证信息交互示意图；

图4为本申请实施例所提供的一种基于人脸识别服务器的portal认证的方法的流程图；

图5为基于人脸识别服务器的portal认证信息交互示意图；

图6为本申请实施例所提供的一种基于app的企业认证的方法的流程图；

图7为基于app的企业认证信息交互示意图；

图8为本申请实施例所提供的一种基于app的企业认证的方法的流程图；

图9为基于app的portal认证信息交互示意图；

图10为本申请实施例所提供的一种身份认证的系统的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。由于当前的身份认证操作都是依靠用户主动输入关于用户身份的信息，但是这种需要用户主动输入的信息的认证方式会存在安全系数低且流程繁琐的问题，因此为了解决上述问题本文通过以下几个实施例说明实现安全且便捷身份认证的实施方式。

下面请参见图1，图1为本申请实施例所提供的一种身份认证的方法的流程图。

具体步骤可以包括：

s101：采集用户人脸信息，并判断用户人脸信息是否通过人脸识别认证；若是，则进入s102；若否，则结束流程；

其中，本实施例的实施主体可以为用户使用的终端设备，用户可以通过终端设备获取某些资源或某些权限。本实施例默认在采集用户人脸信息之前，可以存在用户需要执行某动作的请求，但是只有在判断该用户拥有对应的权限的前提下才能允许用户执行该动作，故此时需要首先对用户进行身份认证操作。在s101之前存在生成身份认证请求的步骤，在本步骤中可以根据身份认证请求采集用户人脸信息。

可以理解的是，本步骤中采集用户人脸信息的目的在于，对用户人脸信息进行人脸识别认证。人脸识别认证技术是指利用分析比较的计算机技术识别人脸，人脸识别技术属于生物特征识别技术，是对生物体(一般特指人)本身的生物特征来区分生物体个体。具体的，此处提到的用户人脸信息为描述用户面部特征的信息，本步骤中采集的用户人脸信息可以为用户面部的一张图片，也可以为对用户面部图像进行特征提取后得到的人脸特征数据，此处不进行具体的限定。

需要说明的是，判断用户人脸信息是否通过人脸识别认证的具体过程可以为：将本次获取的用户人脸信息与预先存好的标准人脸信息进行比对，当相似度大于预设值时，则判定通过人脸识别认证；反之，则判定不通过人脸识别认证。具体的，由于本实施例的执行主体可以为终端设备，本实施例默认存在与该终端设备上运行的人脸识别软件对应的标准人脸信息，此处还默认该用户已经进行过标准人脸信息的录入，标准人脸信息可以与该终端设备或该终端设备上运行的人脸识别软件存在绑定关系。因此，在本实施例中，当该终端设备的使用者执行的某一动作需要进行身份验证时，需要采集当前时刻使用本终端设备的使用者的用户面部信息，对用户面部信息进行基于预先存好的标准人脸信息进行人脸识别认证，判断当前使用本终端设备的使用者与之前预先录入标准人脸信息的用户是否为同一人。当本步骤判定用户人脸信息通过人脸识别认证后，可以进行下一步骤；当本步骤判定用户人脸信息未通过人脸识别认证后，可以直接退出本实施例的操作流程，还可以重新获取新的用户面部信息进行再一次的人脸识别认证操作，以便排除因拍摄角度或用户面部被遮挡带来的误识别的状况。

上述提到的终端设备可以为移动终端或移动通信终端，移动终端或移动通信终端可以在移动中使用的计算机设备，可以包括手机、笔记本、平板电脑、pos机甚至包括车载电脑。但是大部分情况下是指手机或者具有多种应用功能的智能手机以及平板电脑。

s102：确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

其中，本步骤建立在s101确定用户人脸信息已经通过人脸识别认证的基础上，此时可以确定用户人脸信息对应的用户登录信息。用户登录信息是指用户登录过程中用于验证用户身份的信息，如用户名和用户密码的组合。

需要说明的是，此处提到的用户登录信息终端设备或其他人脸识别认证相关的设备随机生成的信息，当s101中用户人脸信息通过人脸识别认证之后会自动生成用户登录信息。该用户登录信息无需用户输入，用户也不知道用户登录信息的具体内容，本步骤相当于用户通过提供正确的用户人脸识别信息获取了一个随机的用于身份认证的信息。

认证服务器(auth-server)用于提供认证服务器服务，支持添加用户名密码，支持查询用户名密码等功能。本实施例中可以存在与认证服务器进行信息交互的操作，当确定与用户人脸信息对应的用户登录信息之后，将用户登录信息传输至认证服务器。认证服务器中有用于记录用户登录信息与身份验证码的对应关系的表，将用户登录信息传输至认证服务器之后，认证服务器生成与用户登录信息对应的身份验证码，并记录用户登录信息与身份验证码的对应关系。为了提升整个身份认证过程的安全性，此处提到的身份验证码与用户登录信息唯一对应。

s103：生成包括用户登录信息的认证信息，并向认证服务器发送认证信息，以便认证服务器根据对应关系执行身份认证操作。

其中，本步骤在确定用户登录信息之后生成包括用户登录信息的认证信息，向认证服务器发送该认证消息。需要说明的是，认证服务器中可以存有多条用户登录信息和身份验证码的对应关系，在认证服务器接收到认证信息后，根据认证信息得到用户登录信息，判断是否存在与该用户登录信息对应的身份验证码，若存在则判定通过身份认证，若不存在则判定未通过身份认证。当黑客恶意认证服务器发送伪造的认证信息时，由于认证服务器查找不到与认证信息对应的身份验证码，判定伪造的认证信息无法通过身份认证。

上述过程结合现代生物识别技术，通过计算机与终端设备密切结合，利用人体固有的生理特征和行为特征来进行个人身份的鉴定。本实施例首先采集用户人脸信息并根据用户人脸信息进行人脸识别，当通过人脸识别认证后确定与该用户人脸信息对应的用户登录信息，以便在认证服务器中建立用户登录信息与身份验证码的对应关系。进一步的，本实施例在确定用户登录信息之后生成包括用户登录信息的认证信息，将该认证信息发送至认证服务器，认证服务器通过之前记录的对应关系判断是否存在与该认证信息中的用户登录信息对应的身份验证码，若存在则说明该认证信息通过了身份验证。现对于现有技术中需要用户提供用户名、密码或验证码等信息的身份认证方式，本实施例通过主动采集用户人脸信息进行相关的认证操作，无需用户额外输入关于身份认证的相关信息，实现了安全系数高且便捷的身份认证。

上述实施例的身份认证过程，可应用的认证系统包括但不仅限于无线认证系统、有线认证系统；其中，无线认证方式包括但不仅限于企业认证、portal认证、psk认证。上述提到的终端设备的认证客户端包括但不仅限于手机app、提供可嵌入app的sdk等。适用的终端设备包括但不仅限于ios终端、安卓终端、windowspc终端，macos终端等具备智能手机摄像头的终端。上述身份认证过程包括但不仅限于认证过程采用非对接加密，并且隐藏用户名密码的方式。

人脸识别技术可以通过人体的特征信息区别不同个体，可以通过人脸识别技术来实现身份验证。下面以终端设备的身份验证作为切入点，分别阐述通过人脸识别技术完成无线企业认证、portal认证的过程。企业级认证(如wpa/wpa2-企业认证)目前是非常安全的无线认证加密协议，结合人脸识别认证，将用于企业认证的用户名和密码隐藏起来，可以极大降低用户密码意外泄露的可能性。以下实施例默认app开发者支持操作手机系统api将用户名和密码设置到系统中并进行企业认证。portal(具体为open+portal)结合人脸识别认证，也能将用于认证的用户名和密码隐藏起来；但是基于portal认证方式，app开发者只需要通过http/https协议就可以完成用户认证，app不需要涉及无线网络的接入过程。

无线控制器提供添加用户认证信息接口，用于上述两种认证方式认证过程中用到的用户名和密码，根据调用该接口的对象的不同，可以分为app添加和人脸识别服务器添加。人脸识别服务器调用添加用户信息接口比app调用更安全，但需要人脸识别服务器介入无线控制器流程。

下面请参见图2，图2为本申请实施例所提供的一种基于人脸识别服务器的企业认证的方法的流程图；本实施例是对图1对应的实施例的进一步说明，通过引入人脸识别服务器进行人脸识别和身份验证码生成操作，其他步骤与上一实施例基本一致，可以相互参见，此处不再赘述。

具体步骤可以包括：

s201：接收认证服务器发送的网络列表；

请参见图3，图3为基于人脸识别服务器的企业认证信息交互示意图。本实施例的执行主体可以是终端设备上运行的计算机应用程序(app，application)，在s201之前可以存在用户打开app向认证服务器获取网络列表的操作，需要说明的是，此处并不限定网络列表中的网络是有线网络还是无线网络。以无线网络为例说明上述过程，在s201之前可以存在app向认证服务器发送wifi列表查询请求的操作，在接收到认证服务器发送的wifi列表之后，app可以通过显示wifi列表以便用户了解控制器配置了哪些ssid(servicesetidentifier，服务集标识)的wifi。此处提到的控制器用于提供用户认证系统，对接入的终端进行用户身份校验，控制器可以为无线控制器(wac/ap)。

在接收到网络列表之后，可以存在向用户显示网络列表的操作，以便用户从网络列表中选择一个ssid进行接入，即接收用户发送的关于选择ssid的网络选择指令。

s202：当接收到网络选择指令时，从网络列表中确定与网络选择指令对应的目标网络；

其中，本步骤中接收到的网络选择指令是指用户对于网络的选择，作为一种优选的实施方式，当网络列表中仅由一个ssid时，此时可以不列出网络列表供用户选择，无需接收网络选择指令就可以直接确定网络列表中仅有的一个ssid为目标网络。需要说明的是，当本实施例应用于企业认证时，确定目标网络不等于接入目标网络，在接入目标网络之前还需要后续的进行身份认证操作。

s203：采集用户人脸信息，将用户人脸信息发送至人脸识别服务器，以便人脸识别服务器对用户人脸信息执行人脸识别操作得到识别结果；

其中，人脸识别服务器(face-authserver)在收到用户人脸信息后，查询用户人脸信息与标准人脸信息是否匹配，如果查询成功，则需要向控制器添加用户认证信息。需要先请求一个身份验证码(如，sessiontoken)，用来标识每一次的请求的完整事务，再调用添加用户认证信息接口。人脸识别服务器收到添加用户认证信息返回成功后，向app返回人脸识别结果，并在人脸识别结果为通过的前提下附带用户登录信息(如，用户名和密码)，用于企业认证。

s204：接收人脸识别服务器发送的识别结果；当识别结果为通过时，则判定用户人脸信息通过人脸识别认证并进入s205；当识别结果为未通过时，则判定用户人脸信息未通过人脸识别认证并结束流程。

s205：确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

具体的，本步骤中确定与用户人脸信息对应的用户登录信息的过程为：当用户人脸信息通过人脸识别认证时，接收人脸识别服务器生成的用户登录信息。在人脸识别服务器判定用户人脸信息通过人脸识别验证后，可以存在人脸识别服务器向认证服务器发送验证码生成请求的操作，具体过程如下：人脸识别服务器生成用户登录信息后向认证服务器发送验证码生成请求，认证服务器生成身份验证码之后向人脸识别服务器返回身份验证码，人脸识别服务器将用户登录信息和身份验证码一同传输至认证服务器完成用户添加操作。用户添加操作就是指在认证服务器中记录用户登录信息和身份验证码的对应关系，在记录该对应关系之后还可以存在用户检查的操作。

s206：生成包括用户登录信息的认证信息，并通过目标网络向认证服务器发送认证信息，以便认证服务器根据对应关系执行身份认证操作。

其中，app在接收到人脸识别服务器发送的用户登录信息之后，此时本实施例默认app所在的终端设备已经接入目标网络，通过目标网络向认证服务器发送认证信息。

图3中虚线部分的信息交互是通过控制器提供的接口实现的，上述过程在终端设备接入控制器前，app发送数据请求，都是用过移动通信网络来传输。对接人脸识别接入认证这部分，认证服务器一共提供了3个接口来配合实现。(1)获取网络列表接口，用于提供给用户选择接入的网络名称(如无线网络ssid)。优选的，选择目标网络的使用场景可以为不同级别的员工可能接入的网络不同。(2)申请sessiontoken接口，用于添加用户流程的凭证，只能使用一次。(3)设置用户信息接口，用于用户第一次通过人脸识别后，为用户添加认证信息。

以接入无线网络为例说明上述过程：

首先是app需要查询到控制器配置了哪些ssid，可以由app使用者接入认证；然后是app可以提供给使用者选择接入的ssid，当无线控制器只返回了一个ssid时，推荐app不需要列出ssid列表而直接进行后面的流程；app进行人脸识别过程，拍照后向人脸识别服务器发送一张即时照片。人脸识别服务器face-authserver收到人脸查找请求，查询人脸信息，如果查询成功，则需要向控制器添加用户认证信息。需要先请求一个sessiontoken，用来标识每一次的请求的完整事务，再调用添加用户认证信息接口。人脸认证服务器收到添加用户认证信息返回成功后，向app返回人脸识别结果，并附带用户名和密码，用于企业认证；app收到用户名和密码之后，即可进行接入无线网络的操作。

下面请参见图4，图4为本申请实施例所提供的一种基于人脸识别服务器的portal认证的方法的流程图；本实施例是对图1对应的实施例的进一步说明，通过引入人脸识别服务器进行人脸识别和身份验证码生成操作，其他步骤与上一实施例基本一致，可以相互参见，此处不再赘述。

具体步骤可以包括：

s301：当接收到用户发送的网络连接指令时，生成portal页面，并检测用户是否通过portal页面输入认证指令；若是，则生成人脸识别指令。

请参见图5，图5为基于人脸识别服务器的portal认证信息交互示意图。portal需要用户手动连接ssid，以便控制器放通app需要访问的服务器的流量。

s302：采集用户人脸信息，并将用户人脸信息发送至人脸识别服务器，以便人脸识别服务器对用户人脸信息执行人脸识别操作得到识别结果；

其中，本步骤建立在检测到人脸识别指令的基础上，根据人脸识别指令采集用户人脸信息并将用户人脸信息发送至人脸识别服务器。人脸识别服务器在收到用户人脸信息后，查询用户人脸信息与标准人脸信息是否匹配，如果查询成功，则需要向控制器添加用户认证信息。需要先请求一个身份验证码(如，sessiontoken)，用来标识每一次的请求的完整事务，再调用添加用户认证信息接口。人脸识别服务器收到添加用户认证信息返回成功后，向app返回人脸识别结果，并在人脸识别结果为通过的前提下附带用户登录信息(如，用户名和密码)，用于进行portal认证。

s303：接收人脸识别服务器发送的识别结果；当识别结果为通过时，则判定用户人脸信息通过人脸识别认证并进入s304；当识别结果为未通过时，则判定用户人脸信息未通过人脸识别认证并结束流程。

s304：确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

s305：当用户人脸信息通过人脸识别认证时，接收人脸识别服务器生成的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

具体的，本步骤中确定与用户人脸信息对应的用户登录信息的过程为：当用户人脸信息通过人脸识别认证时，接收人脸识别服务器生成的用户登录信息。在人脸识别服务器判定用户人脸信息通过人脸识别验证后，可以存在人脸识别服务器向认证服务器发送验证码生成请求的操作，具体过程如下：人脸识别服务器生成用户登录信息后向认证服务器发送验证码生成请求，认证服务器生成身份验证码之后向人脸识别服务器返回身份验证码，人脸识别服务器将用户登录信息和身份验证码一同传输至认证服务器完成用户添加操作。用户添加操作就是指在认证服务器中记录用户登录信息和身份验证码的对应关系，在记录该对应关系之后还可以存在用户检查的操作。

s306：生成包括用户登录信息的认证信息，并向控制器发送portal认证请求，以便无线控制器生成与portal认证请求对应的公钥；

s307：利用公钥对用户登录信息进行加密得到认证信息；

s308：向无线控制器发送认证信息，以便无线控制器将认证信息转发至认证服务器，以便认证服务器根据对应关系执行身份认证操作。

图5中虚线部分的信息交互是通过控制器提供的接口实现的，上述过程在终端设备接入控制器后，控制器放通了app需要访问的服务器的流量，如app对接的人脸识别服务器。对接人脸识别接入认证这部分，控制器一共提供了2个接口来配合实现。(1)申请sessiontoken接口，用于添加用户流程的凭证，只能使用一次。(2)设置用户信息接口，用于用户第一次通过人脸识别后，为用户添加认证信息。对接portal认证这部分，控制器提供了2个接口来配合实现。(1)请求公钥接口，用于app进行portal认证前，获取控制器公钥用于加密用户名和密码。(2)请求认证接口，用于app进行portal认证。

以接入无线网络为例说明上述过程：

首先，用户通过系统wifi列表，选择相关的ssid进行无线连接。在终端接入成功后，系统检测wifi后，会自动弹出portal认证页面。portal认证页面提供一个“认证”按钮，用来唤醒app，需要app支持urlscheme，需要什么唤醒参数，可以通过控制器web控制页面来配置。当用户单击“认证”按钮时，自动唤醒app。app被唤起后，根据得到的信息，进行人脸识别过程。人脸识别服务器进行人脸对比，对比出用户信息后，为用户生成随机密码，然后向认证服务器(auth-server)申请sessiontoken，用于后续添加用户认证信息。人脸识别服务器收到sessiontoken后，向认证服务器添加用户信息，用于后续portal认证，并在得到控制器响应后，回复app人脸识别结果，成功的话，带上用户认证信息。app收到认证信息后，向认证地址请求公钥。app向认证地址请求认证。自此流程完成，用户可以通过得到的用户角色进行网络访问。

下面请参见图6，图6为本申请实施例所提供的一种基于app的企业认证的方法的流程图；本实施例是对图1对应的实施例的进一步说明，具体步骤可以包括：

s401：接收认证服务器发送的网络列表；

请参见图7，图7为基于app的企业认证信息交互示意图。本实施例的执行主体可以是终端设备上运行的计算机应用程序(app，application)，在s401之前可以存在用户打开app向认证服务器获取网络列表的操作，需要说明的是，此处并不限定网络列表中的网络是有线网络还是无线网络。以无线网络为例说明上述过程，在s401之前可以存在app向认证服务器发送wifi列表查询请求的操作，在接收到认证服务器发送的wifi列表之后，app可以通过显示wifi列表以便用户了解控制器配置了哪些ssid(servicesetidentifier，服务集标识)的wifi。此处提到的控制器用于提供用户认证系统，对接入的终端进行用户身份校验，控制器可以为无线控制器(wac/ap)。在接收到网络列表之后，可以存在向用户显示网络列表的操作，以便用户从网络列表中选择一个ssid进行接入，即接收用户发送的关于选择ssid的网络选择指令。

s402：当接收到网络选择指令时，从网络列表中确定与网络选择指令对应的目标网络；

s403：生成验证码生成请求，向认证服务器发送验证码生成请求，以便认证服务器生成身份验证码。

本实施例相当于将图2对应的实施例中人脸识别服务器执行的动作移到app中来执行，有app执行本步骤中获取身份验证码和s404中人脸识别的操作步骤。

s404：采集用户人脸信息，并判断用户人脸信息是否通过人脸识别认证；若是，则进入s405；若否，则结束流程；

s405：确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

图7中虚线部分的信息交互是通过控制器提供的接口实现的，上述过程在终端接入控制器前，app发送数据请求，都是用过移动通信网络来传输。对接人脸识别接入认证这部分，控制器一共提供了3个接口来配合实现：(1)获取wifi列表接口，用于提供给用户选择接入的无线网络ssid，使用场景是不同级别的员工可能接入的无线网络不同；(2)申请sessiontoken接口，用于添加用户流程的凭证，只能使用一次；(3)设置用户信息接口，用于用户第一次通过人脸识别后，为用户添加认证信息。

以接入无线网络为例说明上述过程：

首先，app得查询到控制器配置了哪些ssid，可以由app使用者接入认证，然后app可以提供给使用者选择接入的ssid，当无线控制器只返回了一个ssid时，推荐app不需要列出ssid列表而直接进行后面的流程。app要请求一个sessiontoken，用来标识每一次的请求的完整事务；在用户通过了人脸识别认证后，app需要向控制器添加用户信息，用于后续接入无线网络。在app添加用户信息成功后，即可进行接入无线网络的操作。

下面请参见图8，图8为本申请实施例所提供的一种基于app的企业认证的方法的流程图；本实施例是对图1对应的实施例的进一步说明，具体步骤可以包括：

s501：当接收到用户发送的网络连接指令时，生成portal页面，并检测用户是否通过portal页面输入认证指令；若是，则生成人脸识别指令。

请参见图9，图9为基于app的portal认证信息交互示意图。portal需要用户手动连接ssid，以便控制器放通app需要访问的服务器的流量。

s502：生成验证码生成请求，向认证服务器发送验证码生成请求，以便认证服务器生成身份验证码。

本实施例相当于将图4对应的实施例中人脸识别服务器执行的动作移到app中来执行，有app执行本步骤中获取身份验证码和s503中人脸识别的操作步骤。

s503：采集用户人脸信息，并判断用户人脸信息是否通过人脸识别认证；若是，则进入s504；若否，则结束流程。

s504：确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

s505：生成包括用户登录信息的认证信息，并向无线控制器发送portal认证请求，以便无线控制器生成与portal认证请求对应的公钥；

s506：利用公钥对用户登录信息进行加密得到认证信息；

s507：向无线控制器发送认证信息，以便无线控制器将认证信息转发至认证服务器，以便认证服务器根据对应关系执行身份认证操作。

图9中虚线部分的信息交互是通过控制器提供的接口实现的，上述过程在终端接入控制器后，控制器放通了app需要访问的服务器的流量，如app对接的appserver和人脸识别服务器。对接人脸识别接入认证这部分，控制器一共提供了3个接口来配合实现。(1)申请sessiontoken接口，用于添加用户流程的凭证，只能使用一次，(2)设置用户信息接口，用于用户第一次通过人脸识别后，为用户添加认证信息。对接portal认证这部分，控制器提供了2个接口来配合实现。(1)请求公钥接口，用于app进行portal认证前，获取控制器公钥用于加密用户名和密码。(2)请求认证接口，用于app进行portal认证。

以接入无线网络为例说明上述过程：

首先，用户通过系统wifi列表，选择相关的ssid进行无线连接。在终端接入成功后，系统检测wifi后，会自动弹出portal认证页面。portal认证页面提供一个“认证”按钮，用来唤醒app，需要app支持urlscheme，需要什么唤醒参数，可以通过控制器web控制页面来配置。当用户单击“认证”按钮时，自动唤醒app。app被唤起后，根据得到的信息，去访问认证服务器(auth-server)，发起sessiontoken。app收到sessiontoken后，进行人脸识别流程，当人脸识别通过后，生成用户密码。app向认证服务器(auth-server)添加用户信息，用于后续portal认证。添加用户成功后，向认证地址请求公钥。app向认证地址请求认证，自此流程完成，用户可以通过得到的用户角色进行网络访问。

请参见图10，图10为本申请实施例所提供的一种身份认证的系统的结构示意图；

该系统可以包括：

人脸识别模块100，用于采集用户人脸信息，并判断用户人脸信息是否通过人脸识别认证；

登录信息确定模块200，用于当用户人脸信息通过人脸识别认证时，确定与用户人脸信息对应的用户登录信息，以便认证服务器记录用户登录信息与身份验证码的对应关系；

认证模块300，用于生成包括用户登录信息的认证信息，并向认证服务器发送认证信息，以便认证服务器根据对应关系执行身份认证操作。

本实施例首先采集用户人脸信息并根据用户人脸信息进行人脸识别，当通过人脸识别认证后确定与该用户人脸信息对应的用户登录信息，以便在认证服务器中建立用户登录信息与身份验证码的对应关系。进一步的，本实施例在确定用户登录信息之后生成包括用户登录信息的认证信息，将该认证信息发送至认证服务器，认证服务器通过之前记录的对应关系判断是否存在与该认证信息中的用户登录信息对应的身份验证码，若存在则说明该认证信息通过了身份验证。现对于现有技术中需要用户提供用户名、密码或验证码等信息的身份认证方式，本实施例通过主动采集用户人脸信息进行相关的认证操作，无需用户额外输入关于身份认证的相关信息，实现了安全系数高且便捷的身份认证。

进一步的，该系统还包括：

网络确定模块，用于接收认证服务器发送的网络列表；还用于当接收到网络选择指令时，从网络列表中确定与网络选择指令对应的目标网络；

相应的，认证模块具体为生成包括用户登录信息的认证信息，并通过目标网络向认证服务器发送认证信息的模块。

进一步的，人脸识别模块100包括：

信息采集单元，用于采集用户人脸信息，并将用户人脸信息发送至人脸识别服务器，以便人脸识别服务器对用户人脸信息执行人脸识别操作得到识别结果；

判定单元，用于接收人脸识别服务器发送的识别结果；还用于当识别结果为通过时，则判定用户人脸信息通过人脸识别认证；还用于当识别结果为未通过时，则判定用户人脸信息未通过人脸识别认证。

进一步的，登录信息确定模块具体为当用户人脸信息通过人脸识别认证时，接收人脸识别服务器生成的用户登录信息的模块；

相应的，身份验证码由认证服务器根据人脸识别服务器发送的验证码生成请求生成。

进一步的，该系统还包括：

portal认证模块，用于当接收到用户发送的网络连接指令时，生成portal页面，并检测用户是否通过portal页面输入认证指令；若是，则生成人脸识别指令。

进一步的，认证模块300包括：

加密单元，用于向无线控制器发送portal认证请求，以便无线控制器生成与portal认证请求对应的公钥；还用于利用公钥对用户登录信息进行加密得到认证信息；

认证信息发送单元，用于向无线控制器发送认证信息，以便无线控制器将认证信息转发至认证服务器。

进一步的，还包括：

验证码发送模块，用于生成验证码生成请求，向认证服务器发送验证码生成请求，以便认证服务器生成身份验证码。

由于系统部分的实施例与方法部分的实施例相互对应，因此系统部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

本申请还提供了一种计算机可读存储介质，其上存有计算机程序，该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请还提供了一种电子设备，可以包括存储器和处理器，存储器中存有计算机程序，处理器调用存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然电子设备还可以包括各种网络接口，电源等组件。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。