一种身份识别方法及装置与流程

1.本发明涉及身份识别领域，具体涉及一种身份识别方法及装置。


背景技术：

2.随着信息技术的普及，信息安全和数据安全越来越受到人们的重视，为了保证使用者的信息安全和数据安全，在使用者访问数据之前要进行用户身份鉴别，当前计算机信息系统仍然普遍采用“用户名 口令”的方式进行用户身份鉴别，但随着信息系统数量快速增长usb key 数字证书和生物识别技术也被用来增强用户身份认证的有效性和可靠性。
3.但本技术发明人在实现本技术实施例中发明技术方案的过程中，发现上述技术至少存在如下技术问题：
4.现有技术中用于用户身份鉴别的方法通常基于“用户名 口令”、usb key 数字证书中的一种，存在用户口令易丢失或数字证书易被冒用，从而无法准确识别用户身份以及保证数据安全的技术问题。


技术实现要素：

5.本技术实施例通过提供一种身份识别方法及装置，解决了现有技术中用于用户身份鉴别的方法通常基于“用户名 口令”、usb key 数字证书中的一种，存在用户口令易丢失或数字证书易被冒用，从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证，达到了保证身份认证的强度，从而保证用户信息以及数据安全的技术效果。
6.鉴于上述技术问题，本技术实施例提供了一种身份识别方法及装置。
7.本技术实施例的第一个方法提供了一种身份识别方法，其中，所述方法应用于身份识别装置，所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接，所述方法包括：获得所述应用服务端的第一输入信息，其中，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；获得第一识别指令，根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至所述标识密码设备端；通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
8.本技术实施例的第二个方面提供了一种用于身份识别装置，其中，所述装置包括，第一获得单元：所述第一获得单元用于获得应用服务端的第一输入信息，其中，所述第一输
入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；第二获得单元：所述第二获得单元用于获得第一识别指令，根据所述第一识别指令通过认证服务端基于生物特征识别模板、所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；第三获得单元：所述第三获得单元用于当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；第一发送单元：所述第一发送单元用于通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至标识密码设备端；第四获得单元：所述第四获得单元用于通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；第一处理单元：所述第一处理单元用于通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
9.本技术实施例的第三方面提供了一种身份识别装置，所述装置包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现第一方面任一项所述方法的步骤。
10.本技术实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：
11.本技术实施例通过提供了一种身份识别方法，其中，所述方法应用于身份识别装置，所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接，所述方法包括：获得所述应用服务端的第一输入信息，其中，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；获得第一识别指令，根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至所述标识密码设备端；通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。解决了现有技术中用于用户身份鉴别的方法通常基于“用户名 口令”、usb key 数字证书中的一种，存在用户口令易丢失或数字证书易被冒用，从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证，达到了保证身份认证的强度，从而保证用户信息以及数据安全的技术效果。
12.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
13.图1为本技术实施例提供的一种身份识别方法流程示意图；
14.图2为本技术实施例提供的一种身份识别方法中获得所述应用服务端的第一输入
信息流程示意图；
15.图3为本技术实施例提供的一种身份识别方法中获得所述应用服务端的第一输入信息流程示意图；
16.图4为本技术实施例提供的一种身份识别方法中生成所述具有数字签名的用户身份识别凭证流程示意图；
17.图5为本技术实施例提供了一种身份识别装置结构示意图；
18.图6为本技术实施例示例性电子设备的结构示意图。
19.附图标记说明：第一获得单元11，第二获得单元12，第三获得单元13，第一发送单元14，第四获得单元15，第一处理单元16，总线架构300，接收器301，处理器302，发送器303，存储器304，总线接口305。
具体实施方式
20.本技术实施例通过提供一种身份识别方法及装置，解决了现有技术中用于用户身份鉴别的方法通常基于“用户名 口令”、usb key 数字证书中的一种，存在用户口令易丢失或数字证书易被冒用，从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证，达到了保证身份认证的强度，从而保证用户信息以及数据安全的技术效果。
21.下面，将参考附图详细的描述根据本技术的示例实施例。显然，所描述的实施例仅是本技术的一部分实施例，而不是本技术的全部实施例，应理解，本技术不受这里描述的示例实施例的限制。
22.申请概述
23.当前计算机信息系统仍然普遍采用“用户名 口令”的方式进行用户身份鉴别，但随着信息系统数量快速增长usb key 数字证书和生物识别技术也被用来增强用户身份认证的有效性和可靠性。现有技术中存在用户口令易丢失或数字证书易被冒用，从而无法准确识别用户身份以及保证数据安全的技术问题。
24.针对上述技术问题，本技术提供的技术方案总体思路如下：
25.通过获得所述应用服务端的第一输入信息，其中，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；获得第一识别指令，根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至所述标识密码设备端；通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
26.为了更好地理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
27.实施例一
28.如图1所示，本技术实施例提供了一种身份认证方法，其中，所述方法应用于身份识别装置，所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接，所述方法包括：
29.步骤s100：获得所述应用服务端的第一输入信息，其中，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；
30.进一步的，如图2所示，所述获得所述应用服务端的第一输入信息，步骤s100还包括：
31.步骤s110：通过所述应用服务端获得身份标识信息，其中，所述身份标识信息包括用户银行账号信息、用户身份证号码信息、用户手机号码信息、用户e-mail邮箱地址信息其中的一个或多个；
32.步骤s120：根据所述身份标识信息获得所述应用服务端的所述第一输入信息。
33.具体而言，所述身份识别装置可理解为通过用户输入“用户名 口令”的方式进行用户身份鉴别的装置，所述应用服务端可理解为可供用户使用的一端，例如手机、平板电脑等移动设备，所述认证服务端存储有预设的生物特征识别模板；所述标识密码基础设备包括，用于启动初始化的和生成系统公共参数以及主密钥的处理单元，用于存储系统公共参数以及主密钥的存储介质，所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接，可进行相互的数据交互，所述第一输入信息可理解为用户在需要进行身份验证时在所述应用服务端的输入信息，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，进一步的，所述身份标识信息可理解为用于表明使用者身份的信息，例如用户标识id，所述身份标识信息还包括：银行账号信息、身份证号码信息、手机号码信息、e-mail邮箱地址信息，其中，所述身份标识信息包括如下唯一性信息，进一步的，所述唯一性信息可理解为某一用户的所述身份标识信息只可供该用户使用，不可作为其他用户的身份标识信息使用，所述身份标识信息可用于标明用户身份，所述用户特征信息为使用者通过应用服务端输入的用户的生物特征信息，例如用户在使用指纹解锁手机输入的指纹信息，该指纹信息用于与预设的指纹信息相比较，若该指纹信息与预设指纹信息相匹配，则可解锁手机，若该指纹信息与预设指纹信息无法匹配，则无法解锁手机。通过获得所述应用服务端的第一输入信息，达到了标明用户身份、为后续身份识别提供数据支撑的技术效果。
34.步骤s200：获得第一识别指令，根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；
35.具体而言，所述第一识别指令为身份识别装置在获得所述第一输入信息后，进行下一步身份识别的动作指令。在所述身份识别装置获得所述第一输入信息后，获得所述第一识别指令，控制所述认证服务端基于生物识别模板对所述第一输入信息进行身份识别，即通过所述认证服务端依据所述身份标识id和所述用户特征信息识别用户身份。进一步来说，所述生物识别模板存储于所述认证服务端，用户生物特征识别通过后，由后续认证服务端产生基于用户id的私钥并计算应用服务端挑战码的应答签名，这样用户端只需要提供自己的生物特征即可，不需要保存私钥和特征模板，达到安全性和方便性提升的技术效果。所述认证服务端依据预设的生物特征识别模板对所述身份标识id和所述用户特征信息进行
识别，若所述标识id对应的生物特征模板和所述用户特征信息互相匹配，则说明身份识别通过，即第一身份识别结果为通过，可进行下一步骤；若所述标识id和所述用户特征信息不匹配，则说明身份识别未通过，即第一身份识别结果为未通过，可结束识别，此时结束身份认证过程。通过所述标识id和所述用户特征信息，达到了识别用户身份的技术效果。
36.步骤s300：当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；
37.步骤s400：通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至所述标识密码设备端；
38.具体而言，当所述第一身份识别结果为识别通过时，即所述标识id和所述用户特征信息互相匹配，通过所述认证服务端申请获得用户私钥，具体的，所述私钥可理解为在非对称加密算法中生成的由私人保管、使用时无需传输的密钥，私钥可用于对传输的文件或数据进行加密或解密操作，具体的，用户私钥申请请求由所述认证服务端获得，所述认证服务端获得用户私钥申请请求后，通过信息传输的方式将所述标识id和所述用户私钥申请请求发送至所述标识密码设备端，所述标识密码设备端用于基于所述用户标识id和依据所述主密钥和所述系统公共参数，生成用户私钥，具体的，所述用户私钥可理解为所述标识密码设备端生成的与所述用户id互相匹配的，具有唯一性的私钥，所述标识密码设备端将所述用户私钥和所述系统公共参数发送至认证服务端。通过所述第一身份识别结果及所述私钥申请请求，达到了在所述标识密码设备端生成与用户id互相匹配的，具有唯一性的私钥的技术效果。
39.步骤s500：通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；
40.具体而言，所述标识密码端收到所述用户私钥申请请求后，基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥，所述系统公共参数，可理解为所述身份识别装置中的固定参数，即装置中预先设定的或默认的参数，所述系统公共参数为公共参数，并不会因为所述用户标识id的变化而变化，进一步的，所述主密钥可理解为由标识密码端唯一掌握的秘密密钥，它往往用于生成用户私钥或作为用户密钥的加密密钥，实现这些密钥的分发和安全保护，所述用户私钥和所述系统公共参数构成了所述第一反馈信息，由所述标识密码端将所述第一反馈信息发送至所述认证服务端，以完成下一步骤的操作。通过获得用户私钥和系统公共参数，达到了为后续基于对第一输入信息处理获得用户身份识别凭证提供数据及信息支撑的技术效果。
41.步骤s600：通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
42.具体而言，所述认证服务端收到所述标识密码端发送的所述第一反馈信息后，所述认证服务端通过所述第一反馈信息对所述第一输入信息进行处理，由所述认证服务端使用所述用户私钥针对所述第一输入信息中的所述随机数挑战码计算数字签名，并生成具有数字签名的用户身份识别凭证，所述数字签名，又可称为私钥签名，是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实
性的一个有效证明，信息的接收者可以通过获得发送者的公钥对签名进行验证。它是一种类似写在纸上的普通的物理签名，但是在使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。所述认证服务端将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。通过基于生物识别技术和公钥密码技术完成用户身份认证，达到了保证身份认证的强度，从而保证用户信息以及数据安全的技术效果。
43.进一步的，如图3所示，所述获得所述应用服务端的第一输入信息，步骤s120还包括：
44.步骤s121：通过所述应用服务端获得用户特征信息，其中，所述用户特征信息包括指纹信息、或掌纹信息、人脸信息、虹膜信息、语音声纹信息其中的一个或多个；
45.步骤s122：根据所述用户特征信息和所述身份标识信息获得所述应用服务端的所述第一输入信息。
46.具体而言，所述用户特征信息为用户的生物特征信息，包括：指纹信息、掌纹信息、人脸信息、虹膜信息、语音声纹信息。用户使用本地可采集生物特征信息的、通用的智能终端及其上的采集设备或装置，所述智能终端包括如下设备：智能手机、pad平板电脑、台式及便携式电脑，所述智能终端上的采集设备或装置包括终端内嵌或连接的摄像头、指纹识别传感器、麦克风设备；用户使用上述智能终端及其上的采集设备或装置，并具体通过智能终端上预安装的app或浏览器采集用户的生物特征信息，所述生物特征信息包括如下至少一种或多种组合：指纹、掌纹、人脸、虹膜、语音声纹。进一步的，获得所述用户标识信息和所述用户特征信息后，根据所述用户特征信息和所述身份标识信息获得所述应用服务端的所述第一输入信息，举例而言，若所述用户特征信息为指纹、掌纹，所述身份标识信息为用户手机号码信息，则所述第一输入信息为指纹、掌纹以及用户手机号码信息的集合，通过获得所述用户特征信息和所述身份标识信息，达到了进一步完善第一输入信息、保证用户身份唯一性的技术效果。
47.进一步的，所述获得所述应用服务端的第一输入信息，步骤s122还包括：
48.步骤s1221：通过所述应用服务端根据所述身份标识信息生成随机数挑战码；
49.步骤s1222：通过所述应用服务端通过第一预设规则进行所述身份标识信息加密，其中，所述身份标识信息中的所述标识id未进行加密，根据加密后的所述身份标识信息、所述随机数挑战码和所述用户特征信息获得所述第一输入信息。
50.具体而言，所述挑战码(challenge)也称作挑战口令，是指遵循握手验证协议生成的一组加密口令，用于在传输过程中保证用户的真实密码不被泄露。握手验证协议是一种加密的验证方式，握手验证协议为每一次验证任意生成一个挑战字串来防止受到重放攻击(replay attack)。在整个连接过程中，握手验证协议将不定时的向客户端重复发送挑战码，从而避免第3方冒充远程客户(remote client impersonation)进行攻击，通过所述应用服务端通过第一预设规则进行所述身份标识信息加密，所述第一预设规则为gm/t 0044-2016sm9标识密码算法,sm9标识密码算法由于它的易用性和高安全性，非常适合海量用户的安全交互通信；在保障移动互联网、云计算、云存储、物联网、大数据等新兴技术领域的数据安全展现出得天独厚的优势。通过将sm9标识密码算法集成在密码卡上，可为上述安全应用提供底层的算法加速、身份认证、密钥管理和敏感数据保护等服务。所述身份标识信息中的所述标识id未进行加密，根据加密后的所述身份标识信息、所述随机数挑战码和所述用
户特征信息获得所述第一输入信息。通过使用标识id派生出的用户公钥对第一输入信息加密，认证服务端申请获得基于标识id生成的用户私钥解密此信息，达到了避免第3方冒充远程客户进行攻击、保证用户信息以及系统安全的技术效果。
51.进一步的，本技术实施例还包括：
52.步骤s710：通过所述应用服务端基于所述标识id和所述系统公共参数生成用户标识公钥；
53.步骤s720：根据所述用户标识公钥进行所述用户身份凭证的所述数字签名的验证，基于验证结果进行用户身份认证。
54.具体而言，所述标识id和所述系统公共参数是由所述认证服务端上传至所述应用服务端，所述应用服务端根据所述标识id和所述系统公共参数生成用户标识公钥，所述公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据，进一步的，根据所述用户标识公钥进行所述数字签名的验证，由所述应用服务端依据所述用户标识公钥，验证用户身份识别凭证的数字签名，若所述用户标识公钥与所述数字签名经过计算互相匹配，则说明验证结果为通过，若所述用户标识公钥与所述数字签名计算后互相不匹配，则说明验证结果为不通过，可基于验证结果进行用户身份认证。通过用户标识公钥验证数字签名，并基于验证结果进行用户身份验证，达到了进一步保证用户身份正确、维护用户数据安全的技术效果。
55.进一步的，如图4所示，所述通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，还包括：
56.步骤s610：通过所述认证服务端根据所述用户私钥进行所述身份标识信息解密，获得第一解密结果；
57.步骤s620：通过所述认证服务端根据所述用户私钥对所述随机数挑战码进行数字签名计算，获得第一计算结果；
58.步骤s630：根据所述第一计算结果和所述第一解密结果生成所述具有数字签名的用户身份识别凭证。
59.具体而言，所述服务端获得所述身份标识信息后可使用所述用户私钥对所述身份标识信息解密，所述使用所述私钥解密可理解为使用所述用户私钥对预先使用公钥加密后的所述身份标识信息解密，可保证数据的保密性，获得所述第一解密结果，通过所述认证服务端根据所述用户私钥对所述第一输入信息中的随机数挑战码进行数字签名计算，获得第一计算结果，所述数字签名计算方法为公钥密码算法，根据所述第一计算结果和所述第一解密结果生成所述具有数字签名的用户身份识别凭证。通过第一计算结果和第一解密结果生成用户身份识别凭证，达到了确保用户身份识别凭证的保密性、避免用户身份识别凭证被恶意替换的技术效果。
60.进一步的，本技术实施例还包括：
61.步骤s210：当所述第一身份识别结果为识别不通过时，则结束用户身份认证。
62.具体而言，当所述第一身份识别结果为识别不通过时，即所述标识id和所述用户特征信息不匹配，则结束用户身份认证，可获得所述第二输入信息，可获得第二识别指令，根据所述第二识别指令通过所述认证服务端基于所述标识id和所述用户特征信息进行身份识别，获得第二身份识别结果，若所述第二身份识别结果通过，则继续后续步骤，若第二
身份识别结果不通过，则结束用户身份认证。通过身份识别结果判断是否继续用户身份认证，达到了节省身份认证时间、保证用于身份认证的用户身份正确的技术效果。
63.与现有技术相比，本发明具有如下的有益效果：
64.1.本技术实施例通过获得所述应用服务端的第一输入信息，其中，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；获得第一识别指令，根据所述第一识别指令通过所述认证服务端基于生物特征识别模板、所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至所述标识密码设备端；通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。本技术实施例解决了现有技术中用于用户身份鉴别的方法通常基于“用户名 口令”、usb key 数字证书中的一种，存在用户口令易丢失或数字证书易被冒用，从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证，达到了保证身份认证的强度，从而保证用户信息以及数据安全的技术效果。
65.2.通过认证服务端保存用户生物特征模板，所述用户生物特征模板用于用户生物特征识别，用户生物特征识别通过后，由认证服务端基于所述用户标识id生成私钥，进一步完成用户身份认证，达到了无需在认证服务端保存私钥和用户特征模板，进一步达到了提升安全性和方便性的技术效果。
66.实施例二
67.基于与前述实施例中一种用于身份识别方法同样发明构思，本发明还提供了一种用于身份识别装置，如图5所示，所述装置包括：
68.第一获得单元11：所述第一获得单元11用于获得应用服务端的第一输入信息，其中，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；
69.第二获得单元12：所述第二获得单元12用于获得第一识别指令，根据所述第一识别指令通过认证服务端基于生物特征识别模板、所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；
70.第三获得单元13：所述第三获得单元13用于当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；
71.第一发送单元14：所述第一发送单元14用于通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至标识密码设备端；
72.第四获得单元15：所述第四获得单元15用于通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；
73.第一处理单元16：所述第一处理单元16用于通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。
74.进一步的，所述装置还包括：
75.第五获得单元：所述第五获得单元用于通过所述应用服务端获得身份标识信息；
76.第六获得单元：所述第六获得单元用于根据所述身份标识信息获得所述应用服务端的所述第一输入信息。
77.进一步的，所述装置还包括：
78.第七获得单元：所述第七获得单元用于通过所述应用服务端获得用户特征信息；
79.第八获得单元：所述第八获得单元用于根据所述用户特征信息和所述身份标识信息获得所述应用服务端的所述第一输入信息。
80.进一步的，所述装置还包括：
81.第一生成单元：所述第一生成单元用于通过所述应用服务端根据所述身份标识信息生成随机数挑战码；
82.第一加密单元：所述第一加密单元用于通过所述应用服务端通过第一预设规则进行所述身份标识信息加密。
83.进一步的，所述装置还包括：
84.第二生成单元：所述第二生成单元用于通过所述应用服务端基于所述标识id和所述系统公共参数生成用户标识公钥；
85.第一验证单元：所述第一验证单元用于根据所述用户标识公钥进行所述用户身份凭证的所述数字签名的验证，基于验证结果进行用户身份认证。
86.进一步的，所述装置还包括：
87.第一解密单元：所述第一解密单元用于通过所述认证服务端根据所述用户私钥进行所述身份标识信息解密，获得第一解密结果；
88.第三生成单元：所述第三生成单元用于通过所述认证服务端根据所述用户私钥进行所述身份标识信息解密，获得第一解密结果；
89.进一步的，所述装置还包括：
90.第一结束单元：所述第一结束单元用于当所述第一身份识别结果为识别不通过时，则结束用户身份认证。
91.示例性电子设备
92.下面参考图6来描述本技术实施例的电子设备，
93.基于与前述实施例中一种身份识别方法相同的发明构思，本技术实施例还提供了一种身份识别装置，包括：处理器，所述处理器与存储器耦合，所述存储器用于存储程序，当所述程序被所述处理器执行时，使得装置以执行第一方面任一项所述的方法。
94.该电子设备300包括：处理器302、通信接口303、存储器301。可选的，电子设备300还可以包括总线架构304。其中，通信接口303、处理器302以及存储器301可以通过总线架构304相互连接；总线架构304可以是外设部件互连标(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。所述总线架构304可以分为地址总线、数据总线、控制总
线等。为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
95.处理器302可以是一个cpu，微处理器，asic，或一个或多个用于控制本技术方案程序执行的集成电路。
96.通信接口303，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，ran),无线局域网(wireless local area networks，wlan)，有线接入网等。
97.存储器301可以是rom或可存储静态信息和指令的其他类型的静态存储设备，ram或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、只读光盘(compact disc read-only memory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线架构304与处理器相连接。存储器也可以和处理器集成在一起。
98.其中，存储器301用于存储执行本技术方案的计算机执行指令，并由处理器302来控制执行。处理器302用于执行存储器301中存储的计算机执行指令，从而实现本技术上述实施例提供的一种身份识别方法。
99.可选的，本技术实施例中的计算机执行指令也可以称之为应用程序代码，本技术实施例对此不作具体限定。
100.本技术实施例通过提供了一种身份识别方法，其中，所述方法应用于身份识别装置，所述身份识别装置与应用服务端、认证服务端、标识密码设备端通信连接，所述方法包括：获得所述应用服务端的第一输入信息，其中，所述第一输入信息包括身份标识信息、用户特征信息和随机数挑战码，其中，所述身份标识信息包括标识id；获得第一识别指令，根据所述第一识别指令通过所述认证服务端基于所述标识id和所述用户特征信息进行身份识别，获得第一身份识别结果；当所述第一身份识别结果为识别通过时，通过所述认证服务端申请获得用户私钥；通过所述认证服务端将所述标识id和所述用户私钥申请请求发送至所述标识密码设备端；通过所述认证服务端获得所述标识密码设备端的第一反馈信息，其中，所述第一反馈信息包括用户私钥和系统公共参数，所述用户私钥为所述标识密码设备端基于所述标识id，通过主密钥、所述系统公共参数生成的用户私钥；通过所述认证服务端基于所述第一反馈信息对所述第一输入信息进行处理，获得具有数字签名的用户身份识别凭证，将所述用户身份凭证和所述系统公共参数发送至所述应用服务端进行用户身份认证。本技术实施例解决了现有技术中用于用户身份鉴别的方法通常基于“用户名 口令”、usb key 数字证书中的一种，存在用户口令易丢失或数字证书易被冒用，从而无法准确识别用户身份以及保证数据安全的技术问题。通过基于生物识别技术和公钥密码技术完成用户身份认证，达到了保证身份认证的强度、从而保证用户信息以及数据安全的技术效果。
101.本领域普通技术人员可以理解：本技术中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本技术实施例的范围，也不表示先后顺序。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至少一个”是指一个或者多个。至少两个是指两个或者多个。“至少一个”、“任意一个”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个、种)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。
102.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
103.本技术实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器，数字信号处理器，专用集成电路(asic)，现场可编程门阵列(fpga)或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。
104.本技术实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动磁盘、cd-rom或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于asic中，asic可以设置于终端中。可选地，处理器和存储媒介也可以设置于终端中的不同的部件中。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
105.尽管结合具体特征及其实施例对本技术进行了描述，显而易见的，在不脱离本技术的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本技术的示例性说明，且视为已覆盖本技术范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术意图包括这些改动和变型在内。