基于多维认证的认证方法和设备与流程

1.本技术实施例涉及的业务处理技术领域，尤其涉及一种基于多维认证的认证方法和设备。


背景技术：

2.在面向客户提供服务的业务系统中，在对用户发起的业务处理请求进行处理之前，常需要对用户进行认证。
3.现有技术中，在接收到业务处理请求之后，可以对用户的身份信息进行验证，以保证业务被合法的执行。
4.在实现本技术过程中，发明人发现现有技术中至少存在如下问题：仅对用户的身份信息进行验证，可能会出现越权访问的风险，即，该用户其实并不能对业务进行处理，但是仅对用户的身份信息进行验证之后就进行业务处理，导致越权访问；并且，仅对用户的身份信息进行验证的方式过于单一，无法很好的保证认证的准确性。


技术实现要素：

5.本技术实施例提供一种基于多维认证的认证方法和设备，用以解决越权访，以及无法很好的保证认证的准确性的问题。
6.第一方面，本技术实施例提供一种基于多维认证的认证方法，所述方法包括：
7.响应于认证请求，所述认证请求中包括用户角色标识和用户身份信息，依据预设的用户角色标识和业务权限之间的对应关系，确定与所述认证请求中的用户角色标识对应的业务权限；
8.若确定与所述认证请求中的用户角色标识对应的业务权限，表征允许处理所述认证请求所请求的业务，则对所述用户身份信息进行验证；
9.若确定所述用户身份信息的验证通过、且所述认证请求中不包括场景信息，则确定对所述认证请求的认证通过；
10.若确定所述用户身份信息的验证通过、且所述认证请求中包括场景信息，则对所述场景信息进行验证，若确定所述场景信息的验证通过，则确定对所述认证请求的认证通过。
11.进一步地，所述认证请求中包括用户的标识；所述用户身份信息中包括证件信息和生物特征信息；对所述用户身份信息进行验证，包括：
12.若确定预设第一数据库中包括所述证件信息，则根据预存的生物特征信息对所述用户身份信息中的生物特征信息进行验证，其中，所述预设第一数据库中包括与不同用户的用户的标识对应的证件信息；
13.若确定预存的生物特征信息与所述用户身份信息中的生物特征信息两者一致，则确定对所述用户身份信息的验证通过，并生成认证业务编号和身份认证结果，所述身份认证结果表征对所述用户身份信息的验证通过。
14.进一步地，所述方法还包括：
15.若确定预设第一数据库中不包括所述证件信息，则确定对所述用户身份信息的验证不通过；
16.若确定预存的生物特征信息与所述用户身份信息中的生物特征信息两者不一致，则确定对所述用户身份信息的验证不通过；
17.若确定对所述用户身份信息的验证不通过的次数，大于预设第一次数阈值，则生成并发出第一告警信息。
18.进一步地，所述场景信息中包括用户的标识、用户证明材料、其他用户的标识、委托标识；所述委托标识表征用户委托与所述其他用户的标识对应的其他用户进行业务处理；
19.若所述认证请求表征用户自行进行业务处理，则所述认证请求中不包括场景信息；
20.若所述认证请求表征用户委托其他用户进行业务处理，则所述认证请求中包括场景信息。
21.进一步地，所述认证请求中包括用户的标识、其他用户的标识、委托标识，所述委托标识表征用户委托与所述其他用户的标识对应的其他用户进行业务处理；所述方法还包括：获取场景信息。
22.进一步地，对所述场景信息进行验证，包括：
23.若根据预设第二数据库，确定所述用户的标识与所述用户证明材料两者的对应性，所述预设第二数据块中包括与不同的用户的标识对应的用户证明材料，以对所述场景信息是否具有合规性进行验证；
24.若确定所述场景信息具有合规性，则生成场景认证编号和场景认证结果，所述场景认证结果表征所述场景信息具有合规性。
25.进一步地，所述方法还包括：
26.若确定所述场景信息不具有合规性，则记录与所述其他用户的标识对应的其他用户的不合规次数；
27.若确定所述其他用户的不合规次数在预设时间内，大于预设第二次数阈值，则生成并发出第二告警信息，并停止处理与所述其他用户的标识对应的其他用户的认证请求。
28.进一步地，所述方法还包括：
29.在接收到与所述用户的标识对应的业务处理请求时，发起查询请求；所述查询请求表征查询与所述用户的标识对应的用户认证结果；
30.获取与所述用户的标识对应的用户认证结果；
31.若所述用户认证结果中的与所述用户的标识对应的用户的角色认证结果表征角色认证通过、以及用户身份信息认证结果表征用户身份信息认证通过，或者，若所述用户认证结果中的与所述用户的标识对应的用户的角色认证结果表征角色认证通过、用户身份信息认证结果表征用户身份信息认证通过、以及场景认证结果表征场景信息认证通过，则对所述业务处理请求所请求的业务进行处理。
32.进一步地，所述方法还包括：
33.生成并存储审计日志，所述审计日志中包括以下的一种或多种：用户的标识、其他
用户的标识、用户角色标识、用户身份信息、证件信息、生物特征信息、用户证明材料、委托标识、用户认证结果。
34.第二方面，本技术实施例提供一种基于多维认证的认证装置，所述装置包括：
35.第一确定单元，用于响应于认证请求，所述认证请求中包括用户角色标识和用户身份信息，依据预设的用户角色标识和业务权限之间的对应关系，确定与所述认证请求中的用户角色标识对应的业务权限；
36.第一验证单元，用于若确定与所述认证请求中的用户角色标识对应的业务权限，表征允许处理所述认证请求所请求的业务，则对所述用户身份信息进行验证；
37.第二验证单元，用于若确定所述用户身份信息的验证通过、且所述认证请求中不包括场景信息，则确定对所述认证请求的认证通过；
38.第三验证单元，用于若确定所述用户身份信息的验证通过、且所述认证请求中包括场景信息，则对所述场景信息进行验证，若确定所述场景信息的验证通过，则确定对所述认证请求的认证通过。
39.进一步地，所述认证请求中包括用户的标识；所述用户身份信息中包括证件信息和生物特征信息；所述第一验证单元在对所述用户身份信息进行验证时，具体用于：
40.若确定预设第一数据库中包括所述证件信息，则根据预存的生物特征信息对所述用户身份信息中的生物特征信息进行验证，其中，所述预设第一数据库中包括与不同用户的用户的标识对应的证件信息；
41.若确定预存的生物特征信息与所述用户身份信息中的生物特征信息两者一致，则确定对所述用户身份信息的验证通过，并生成认证业务编号和身份认证结果，所述身份认证结果表征对所述用户身份信息的验证通过。
42.进一步地，所述装置还包括：
43.第二确定单元，用于若确定预设第一数据库中不包括所述证件信息，则确定对所述用户身份信息的验证不通过；
44.第三确定单元，用于若确定预存的生物特征信息与所述用户身份信息中的生物特征信息两者不一致，则确定对所述用户身份信息的验证不通过；
45.第一预警单元，用于若确定对所述用户身份信息的验证不通过的次数，大于预设第一次数阈值，则生成并发出第一告警信息。
46.进一步地，所述场景信息中包括用户的标识、用户证明材料、其他用户的标识、委托标识；所述委托标识表征用户委托与所述其他用户的标识对应的其他用户进行业务处理；
47.若所述认证请求表征用户自行进行业务处理，则所述认证请求中不包括场景信息；
48.若所述认证请求表征用户委托其他用户进行业务处理，则所述认证请求中包括场景信息。
49.进一步地，所述认证请求中包括用户的标识、其他用户的标识、委托标识，所述委托标识表征用户委托与所述其他用户的标识对应的其他用户进行业务处理；所述装置还包括：第一获取单元，用于获取场景信息。
50.进一步地，第三验证单元在对所述场景信息进行验证时，具体用于：
51.若根据预设第二数据库，确定所述用户的标识与所述用户证明材料两者的对应性，所述预设第二数据块中包括与不同的用户的标识对应的用户证明材料，以对所述场景信息是否具有合规性进行验证；
52.若确定所述场景信息具有合规性，则生成场景认证编号和场景认证结果，所述场景认证结果表征所述场景信息具有合规性。
53.进一步地，所述装置还包括：
54.第四确定单元，用于若确定所述场景信息不具有合规性，则记录与所述其他用户的标识对应的其他用户的不合规次数；
55.第二预警单元，用于若确定所述其他用户的不合规次数在预设时间内，大于预设第二次数阈值，则生成并发出第二告警信息，并停止处理与所述其他用户的标识对应的其他用户的认证请求。
56.进一步地，所述装置还包括：
57.查询单元，用于在接收到与所述用户的标识对应的业务处理请求时，发起查询请求；所述查询请求表征查询与所述用户的标识对应的用户认证结果；
58.第二获取单元，用于获取与所述用户的标识对应的用户认证结果；
59.处理单元，用于若所述用户认证结果中的与所述用户的标识对应的用户的角色认证结果表征角色认证通过、以及用户身份信息认证结果表征用户身份信息认证通过，或者，若所述用户认证结果中的与所述用户的标识对应的用户的角色认证结果表征角色认证通过、用户身份信息认证结果表征用户身份信息认证通过、以及场景认证结果表征场景信息认证通过，则对所述业务处理请求所请求的业务进行处理。
60.进一步地，所述装置还包括：
61.生成单元，用于生成并存储审计日志，所述审计日志中包括以下的一种或多种：用户的标识、其他用户的标识、用户角色标识、用户身份信息、证件信息、生物特征信息、用户证明材料、委托标识、用户认证结果。
62.第三方面，本技术实施例提供一种电子设备，所述电子设备包括：存储器，处理器；存储器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为执行第一方面所述的方法。
63.第四方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现第一方面所述的方法。
64.第五方面，本技术实施例提供一种计算机程序产品，所述计算机程序产品包括：计算机程序，所述计算机程序存储在可读存储介质中，电子设备的至少一个处理器可以从所述可读存储介质读取所述计算机程序，所述至少一个处理器执行所述计算机程序使得电子设备执行第一方面所述的方法。
65.本技术实施例提供的基于多维认证的认证方法和设备，响应于认证请求，认证请求中包括用户角色标识和用户身份信息，依据预设的用户角色标识和业务权限之间的对应关系，确定与认证请求中的用户角色标识对应的业务权限；若确定与认证请求中的用户角色标识对应的业务权限，表征允许处理认证请求所请求的业务，则对用户身份信息进行验证。在进行业务处理请求，先发起认证请求；依次对用户的角色的业务权限、用户身份信息
进行验证。在用户自行进行认证和业务处理的时候，无需获取场景信息；进而若确定用户身份信息的验证通过、且认证请求中不包括场景信息，则确定对认证请求的认证通过；从而基于“角色权限 身份信息”两个维度对用户进行验证和认证，增强业务和客户信息的访问安全性。在用户需要委托方用户(即，其他用户)进行认证和业务处理的时候，需要获取场景信息；进而若确定用户身份信息的验证通过、且认证请求中包括场景信息，则对场景信息进行验证，若确定场景信息的验证通过，则确定对认证请求的认证通过；从而基于“角色权限 身份信息 场景信息”三个维度对用户进行验证和认证，增强业务和客户信息的访问安全性。基于多个维度完成验证和认证过程，保证了认证的准确性，保证了后续的业务处理和访问客户信息的安全性。并且，根据用户是否在银行大厅的现场、客户信息访问渠道与场景等不同，增设不同的客户信息访问控制方式，进而加强后续的业务处理和访问客户信息的安全性。
附图说明
66.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
67.图1为本技术实施例提供的一种基于多维认证的认证方法的流程图；
68.图2为本技术实施例提供的另一种基于多维认证的认证方法的流程图；
69.图3为本技术实施例提供的验证用户身份信息的流程图；
70.图4为本技术实施例提供的验证场景信息的流程图；
71.图5为本技术实施例提供的另一种基于多维认证的认证方法的示意图；
72.图6为本技术实施例提供的一种基于多维认证的认证装置的结构示意图；
73.图7为本技术实施例提供的一种电子设备的结构示意图；
74.图8是本技术实施例提供的一种电子设备的框图。
75.通过上述附图，已示出本技术明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本技术的概念。
具体实施方式
76.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
77.在面向客户提供服务的业务系统中，客户信息的管理是业务系统重要功能。基于客户信息的管理，可以向工作人员和用户提供客户基本信息、客户开办的各项业务信息等重要且敏感的信息。需要对这类客户信息的进行安全合规的访问。在对用户发起的业务处理请求进行处理之前，常需要对用户进行认证。
78.一个示例中，在接收到业务处理请求之后，可以对用户的身份信息进行验证，以保证业务被合法的执行。
79.然而上述方式中，仅对用户的身份信息进行验证，可能会出现越权访问的风险，
即，该用户其实并不能对业务进行处理，但是仅对用户的身份信息进行验证之后就进行业务处理，若该用户获取到了某特定信息之外的信息，则导致越权访问；并且，仅对用户的身份信息进行验证的方式过于单一，无法很好的保证认证的准确性。
80.另一个示例中，在接收到业务处理请求之后，可以对用户的角色进行验证，以保证业务被合法的执行。
81.但是上述方式中，为发起业务处理请求的用户赋予了访问权限(该用户的角色具有一定的访问权限)，但是依然无法杜绝操作风险，若具备足够权限的访问者可获取特定客户之外信息，则该访问者可以访问不属于与其对应的访问权限的业务，进而存在水平越权访问风险。例如，具备足够权限的用户会获取和业务办理无关的客户信息。
82.本技术实施例提供的基于多维认证的认证方法和设备，旨在解决现有技术的如上技术问题。
83.下面以具体地实施例对本技术的技术方案以及本技术的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本技术的实施例进行描述。
84.图1为本技术实施例提供的一种基于多维认证的认证方法的流程图，如图1所示，该方法包括：
85.101、响应于认证请求，认证请求中包括用户角色标识和用户身份信息，依据预设的用户角色标识和业务权限之间的对应关系，确定与认证请求中的用户角色标识对应的业务权限。
86.示例性地，本实施例的执行主体可以为银行的认证服务器。
87.首先先进行认证的处理。
88.用户发起认证请求；该认证请求中指示出了请求处理的业务。一个示例中，用户可以操作终端设备，进而用户向终端设备中输入认证请求，终端设备向银行的认证服务器发起认证请求。或者，用户在银行大厅操作银行的专业设备，进而用户向银行的专业设备中输入认证请求，银行的专业设备向银行的认证服务器发起认证请求。
89.在发起认证请求的同时，将用户角色标识、用户身份信息都输入到设备中。
90.然后，银行的认证服务器中已经预先存储了用户角色标识和业务权限之间的对应关系。不同的角色，具有不同的业务权限。例如，用户角色标识1为角色a，角色a对应的业务权限为：查询、办理业务1、办理业务2。用户角色标识2为角色b，角色b对应的业务权限为：查询、办理业务2、办理业务3。银行的认证服务器依据该对应关系，确定出与认证请求中的用户角色标识对应的业务权限。
91.102、若确定与认证请求中的用户角色标识对应的业务权限，表征允许处理认证请求所请求的业务，则对用户身份信息进行验证。
92.示例性地，银行的认证服务器依据与认证请求中的用户角色标识对应的业务权限，判断用户角色标识对应的用户，是否有权限去处理认证请求所请求的业务。
93.银行的认证服务若确定用户角色标识对应的用户，有权限去处理认证请求所请求的业务，则银行的认证服务确定对用户的角色的认证通过。然后，银行的认证服务需要对用户身份信息进行验证。
94.银行的认证服务若确定用户角色标识对应的用户，没有权限去处理认证请求所请
求的业务，则银行的认证服务器确定对认证请求的认证不通过，可以反馈一个认证不通过信息。
95.103、若确定用户身份信息的验证通过、且认证请求中不包括场景信息，则确定对认证请求的认证通过。
96.一个示例中，场景信息中包括用户的标识、用户证明材料、其他用户的标识、委托标识；委托标识表征用户委托与其他用户的标识对应的其他用户进行业务处理。若认证请求表征用户自行进行业务处理，则认证请求中不包括场景信息。若认证请求表征用户委托其他用户进行业务处理，则认证请求中包括场景信息。
97.一个示例中，认证请求中包括用户的标识、其他用户的标识、委托标识，委托标识表征用户委托与其他用户的标识对应的其他用户进行业务处理。还可以执行以下步骤：获取场景信息。
98.示例性地，银行的认证服务确定对用户的角色的认证通过之后，银行的认证服务需要对用户身份信息进行验证。
99.认证请求中还包括用户的标识。银行的认证服务已经预先存储了各个用户标识的用户身份信息，进而银行的认证服务判断认证请求中的用户身份信息和用户的标识，是否存在；并且，银行的认证服务判断认证请求中的与用户的标识对应的用户身份信息，是否与预存的与用户的标识对应的用户身份信息一致。
100.银行的认证服务若确定存在认证请求中的用户身份信息和用户的标识；并且，银行的认证服务确定认证请求中的与用户的标识对应的用户身份信息，与预存的与用户的标识对应的用户身份信息一致，从而，银行的认证服务确定用户身份信息的验证通过。否则，银行的认证服务确定用户身份信息的验证不通过，银行的认证服务器确定对认证请求的认证不通过，可以反馈一个认证不通过信息。
101.在用户需要委托方用户(即，其他用户)进行认证和业务处理的时候，认证请求中包括场景信息。例如，在用户在银行大厅中的银行的专业设备上进行认证和业务处理的情况下，需要用户和银行的专业人员(即，其他用户)一起发起认证请求；或者，用户委托银行的专业人员(即，其他用户)在银行的专业设备上进行认证和业务处理的情况下，需要银行的专业人员(即，其他用户)发起认证请求。此时，认证请求中包括用户的标识、其他用户的标识、委托标识。则银行的认证服务器还需要获取场景信息；例如，认证请求中包括场景信息；或者，银行的认证服务器在接收到认证请求之后，再单独获取场景信息。
102.在用户自行进行认证和业务处理的时候，认证请求中无需包括场景信息。例如，用户基于自己的终端设备发起认证请求，此时，无需获取场景信息。
103.场景信息包括用户的标识、用户证明材料、其他用户的标识、委托标识、等等。委托标识表征用户委托与其他用户的标识对应的其他用户进行业务处理。
104.银行的认证服务器若确定用户身份信息的验证通过、且接收到的认证请求中不包括场景信息，则银行的认证服务器确定完成了认证过程，银行的认证服务器确定对认证请求的认证通过，可以反馈一个认证通过信息。
105.104、若确定用户身份信息的验证通过、且认证请求中包括场景信息，则对场景信息进行验证，若确定场景信息的验证通过，则确定对认证请求的认证通过。
106.示例性地，银行的认证服务器若确定用户身份信息的验证通过、且接收到的认证
请求中包括场景信息，则银行的认证服务器还需要对场景信息进行验证。银行的认证服务器中预先存储了不同其他用户的标识、不同用户的用户证明材料。
107.银行的认证服务器若确定存储有接收到的场景信息中的其他用户的标识、用户证明材料，并且确定其他用户的标识对应的其他用户具有权限去处理认证请求所指示的业务，则确定场景信息的验证通过。然后，银行的认证服务器确定对认证请求的认证通过，可以反馈一个认证通过信息。
108.银行的认证服务器若确定未存储有接收到的场景信息中的其他用户的标识、用户证明材料，或者，确定其他用户的标识对应的其他用户不具有权限去处理认证请求所指示的业务，则确定场景信息的验证不通过。然后，银行的认证服务器确定对认证请求的认证不通过，可以反馈一个认证不通过信息。
109.本实施例中，响应于认证请求，认证请求中包括用户角色标识和用户身份信息，依据预设的用户角色标识和业务权限之间的对应关系，确定与认证请求中的用户角色标识对应的业务权限；若确定与认证请求中的用户角色标识对应的业务权限，表征允许处理认证请求所请求的业务，则对用户身份信息进行验证。在进行业务处理请求，先发起认证请求；依次对用户的角色的业务权限、用户身份信息进行验证。在用户自行进行认证和业务处理的时候，无需获取场景信息；进而若确定用户身份信息的验证通过、且认证请求中不包括场景信息，则确定对认证请求的认证通过；从而基于“角色权限 身份信息”两个维度对用户进行验证和认证，增强业务和客户信息的访问安全性。在用户需要委托方用户(即，其他用户)进行认证和业务处理的时候，需要获取场景信息；进而若确定用户身份信息的验证通过、且认证请求中包括场景信息，则对场景信息进行验证，若确定场景信息的验证通过，则确定对认证请求的认证通过；从而基于“角色权限 身份信息 场景信息”三个维度对用户进行验证和认证，增强业务和客户信息的访问安全性。基于多个维度完成验证和认证过程，保证了认证的准确性，保证了后续的业务处理和访问客户信息的安全性。并且，根据用户是否在银行大厅的现场、客户信息访问渠道与场景等不同，增设不同的客户信息访问控制方式，进而加强后续的业务处理和访问客户信息的安全性。
110.图2为本技术实施例提供的另一种基于多维认证的认证方法的流程图，如图2所示，该方法包括：
111.201、响应于认证请求，认证请求中包括用户角色标识和用户身份信息，依据预设的用户角色标识和业务权限之间的对应关系，确定与认证请求中的用户角色标识对应的业务权限。
112.示例性地，本实施例的执行主体可以为银行的认证服务器。首先先进行认证的处理。本步骤可以参见步骤101，不再赘述。
113.202、若确定与认证请求中的用户角色标识对应的业务权限，表征允许处理认证请求所请求的业务，则对用户身份信息进行验证。
114.一个示例中，“对用户身份信息进行验证”，包括：认证请求中包括用户的标识；用户身份信息中包括证件信息和生物特征信息；若确定预设第一数据库中包括证件信息，则根据预存的生物特征信息对用户身份信息中的生物特征信息进行验证，其中，预设第一数据库中包括与不同用户的用户的标识对应的证件信息；若确定预存的生物特征信息与用户身份信息中的生物特征信息两者一致，则确定对用户身份信息的验证通过，并生成认证业
务编号和身份认证结果，身份认证结果表征对用户身份信息的验证通过。
115.还可以包括以下步骤：若确定预设第一数据库中不包括证件信息，则确定对用户身份信息的验证不通过。若确定预存的生物特征信息与用户身份信息中的生物特征信息两者不一致，则确定对用户身份信息的验证不通过；若确定对用户身份信息的验证不通过的次数，大于预设第一次数阈值，则生成并发出第一告警信息。
116.示例性地，参见步骤102，银行的认证服务器确定对用户的角色的认证通过之后，银行的认证服务器需要对用户身份信息进行验证。
117.图3为本技术实施例提供的验证用户身份信息的流程图，如图3所示，认证请求中还包括用户的标识。认证请求中的用户身份信息中包括：证件信息和生物特征信息。
118.银行的认证服务器中具有第一数据库，第一数据库中包括不同用户的标识对应的证据信息、不同用户的标识对应的生物特征信息。银行的认证服务器判断预设第一数据库中，是否包括认证请求中的证件信息。
119.银行的认证服务器若确定预设第一数据库中，不包括认证请求中的证件信息，则银行的认证服务器确定对用户身份信息的验证不通过，确定对认证请求的认证不通过，可以反馈一个认证不通过信息。
120.银行的认证服务器若确定预设第一数据库中，包括认证请求中的证件信息，则银行的认证服务器根据预存的生物特征信息对用户身份信息中的生物特征信息进行验证。银行的认证服务器若确定预存的生物特征信息与用户身份信息中的生物特征信息两者一致，则银行的认证服务器确定对用户身份信息的验证通过。此时，银行的认证服务器生成认证业务编号和身份认证结果，身份认证结果表征对用户身份信息的验证通过，认证业务编号为对用户身份信息的验证通过之后得到的唯一标识。银行的认证服务器登记认证结果，该认证结果包括认证业务编号和身份认证结果。
121.银行的认证服务器若确定预存的生物特征信息与用户身份信息中的生物特征信息两者不一致，则银行的认证服务器确定对用户身份信息的验证不通过，确定对认证请求的认证不通过，可以反馈一个认证不通过信息。银行的认证服务器登记认证结果，该认证结果表征对用户身份信息的验证不通过。
122.在上述过程中，针对同一个用户的标识，银行的认证服务器记录对该用户的用户身份信息的验证不通过的次数。银行的认证服务器若确定用户身份信息的验证不通过的次数，大于预设第一次数阈值(例如，第一次数阈值为三次)，则银行的认证服务器登记认证结果，此时的认证结果表征对用户身份信息的验证不通过，同时，银行的认证服务器生成第一告警信息。银行的认证服务器还可以停止处理该用户的认证请求，进而防止恶意访问和恶性攻击。
123.银行的认证服务器可以向用户的终端设备发送该第一告警信息，银行的认证服务器还可以向银行的专业设备发送该第一告警信息。
124.第一告警信息，为以下任意一种或多种：文字信息、图像信息、语音信息。
125.上述生物特征信息，为以下任意一种或多种：人脸、声纹、指纹。
126.上述过程完成用户身份信息的验证，可以采用身份证件认证技术、与生物特征相关的人脸识别技术、与生物特征相关的声纹识别技术和与生物特征相关的指纹识别技术，实现对用户身份信息的鉴别认证，以保证是用户本人访问自己的信息，避免水平越权访问
的问题，即，避免用户访问其他用户的信息。
127.203、若确定用户身份信息的验证通过、且认证请求中不包括场景信息，则确定对认证请求的认证通过。
128.示例性地，本步骤可以参见步骤203，不再赘述。
129.204、若确定用户身份信息的验证通过、且认证请求中包括场景信息，则对场景信息进行验证，若确定场景信息的验证通过，则确定对认证请求的认证通过。
130.一个示例中，“对场景信息进行验证”包括以下过程：
131.若根据预设第二数据库，确定用户的标识与用户证明材料两者的对应性，预设第二数据块中包括与不同的用户的标识对应的用户证明材料，以对场景信息是否具有合规性进行验证。
132.若确定场景信息具有合规性，则生成场景认证编号和场景认证结果，场景认证结果表征场景信息具有合规性。
133.若确定场景信息不具有合规性，则记录与其他用户的标识对应的其他用户的不合规次数；若确定其他用户的不合规次数在预设时间内，大于预设第二次数阈值，则生成并发出第二告警信息，并停止处理与其他用户的标识对应的其他用户的认证请求。
134.示例性地，参见步骤104，确定需要对场景信息进行验证。
135.图4为本技术实施例提供的验证场景信息的流程图，如图4所示，若确定需要对场景信息进行验证，已经预存有一个第二数据库，第二数据库中包括不同用户的标识对应的用户证明材料(例如，人脸图像、身份证信息、用户之前的登记材料、等等)，则银行的认证服务器依据第二数据库，确定场景信息中的用户的标识与场景信息中的用户证明材料两者是对应的，则确定对场景信息具有合规性。银行的认证服务器依据第二数据库，确定场景信息中的用户的标识与场景信息中的用户证明材料两者是不对应的，则确定对场景信息不具有合规性。
136.银行的认证服务器若确定场景信息具有合规性，则银行的认证服务器生成场景认证编号和场景认证结果，场景认证结果表征场景信息具有合规性，场景认证编号为对场景信息的验证通过之后得到的唯一标识；此时，银行的认证服务器确定对场景信息的验证通过。此时，银行的认证服务器登记认证结果，该认证结果包括场景认证编号和场景认证结果。
137.银行的认证服务器若确定场景信息不具有合规性，则银行的认证服务器确定对场景信息的验证不通过，确定对认证请求的认证不通过，可以反馈一个认证不通过信息。此时，银行的认证服务器登记认证结果，此时的认证结果表征对场景信息的验证不通过。并且，银行的认证服务器需要对与其他用户的标识对应的其他用户进行记录，去记录与其他用户的标识对应的其他用户的不合规次数。
138.随着认证过程的进行，银行的认证服务器若确定其他用户的不合规次数在预设时间内，大于预设第二次数阈值(是一个经验值)，则银行的认证服务器生成第二告警信息。银行的认证服务器可以向正在进行认证的用户的终端设备发送该第二告警信息，银行的认证服务器还可以向银行的专业设备发送该第二告警信息，银行的认证服务器还可以向被告警的其他用户的终端设备发送该第二告警信息。
139.第二告警信息，为以下任意一种或多种：文字信息、图像信息、语音信息。
140.银行的认证服务器在确定其他用户的不合规次数在预设时间内，大于预设第二次数阈值的时候，银行的认证服务器停止处理与其他用户的标识对应的其他用户的认证请求，进而停止该其他用户为客户进行服务。
141.上述过程完成用场景信息的验证，业务的工作人员在参与认证过程的时候，无论用户(即，客户)是否在场，都需要针对当前的认证过程进行场景认证，通过对用户信息访问场景进行登记、审核并授权，避免业务的工作人员的操作风险和道德风险。
142.205、在接收到与用户的标识对应的业务处理请求时，发起查询请求；查询请求表征查询与用户的标识对应的用户认证结果。
143.示例性地，通过步骤201-204，基于多个维度对用户进行验证和认证，增强业务和客户信息的访问安全性。
144.上述步骤201-204可以在一个鉴权认证设备中执行，步骤205-207可以在一个查询设备中执行。或者，上述步骤201-207可以在同一个设备中执行。
145.用户可以发起一个业务处理请求，业务处理请求中包括用户的标识。业务处理设备(也可以称为查询设备)在接收到业务处理请求之后，生成一个查询请求，查询请求表征查询该用户的用户的标识对应的用户认证结果，即，查询上述几个维度的认证结果。
146.206、获取与用户的标识对应的用户认证结果。
147.示例性地，通过步骤201-204已经完成了认证过程，存储了用户认证结果，用户认证结果包括角色认证结果(确定与认证请求中的用户角色标识对应的业务权限；与认证请求中的用户角色标识对应的业务权限，是否表征允许处理认证请求所请求的业务)、用户身份信息认证结果(对用户身份信息的验证是否通过)、对场景认证结果(对场景信息的验证是否通过)、
148.进而可以获取到与用户的标识对应的用户认证结果。
149.207、若用户认证结果中的与用户的标识对应的用户的角色认证结果表征角色认证通过、以及用户身份信息认证结果表征用户身份信息认证通过，或者，若用户认证结果中的与用户的标识对应的用户的角色认证结果表征角色认证通过、用户身份信息认证结果表征用户身份信息认证通过、以及场景认证结果表征场景信息认证通过，则对业务处理请求所请求的业务进行处理。
150.示例性地，在用户自行进行认证和业务处理的时候，业务处理请求中包括其他用户的标识，查询请求中包括其他用户的标识，进而可以确定是否查询与用户的标识对应的用户的角色认证结果、用户身份信息认证结果、以及场景认证结果。
151.若与用户的标识对应的用户的角色认证结果表征角色认证通过、用户身份信息认证结果表征用户身份信息认证通过、以及场景认证结果表征场景信息认证通过。并且，业务处理请求中还可以包括用户的标识、用户证明材料、生物特征信息、等等。进而，查询请求中包括用户的标识、用户证明材料、生物特征信息、等等。可以对查询请求中的信息进行加密。进而比对认证请求中的用户的标识、用户证明材料、生物特征信息这些信息，是否与查询请求中的用户的标识、用户证明材料、生物特征信息这些信息，分别一致。若确定一致，则业务处理设备确定则对业务处理请求所请求的业务进行处理，例如，业务处理请求指示进行信息查询，则业务处理设备进行信息的查询。
152.在用户需要委托方用户(即，其他用户)进行认证和业务处理的时候，业务处理请
求中无需包括其他用户的标识，查询请求中无需包括其他用户的标识，进而可以确定是否查询与用户的标识对应的用户的角色认证结果、以及用户身份信息认证结果。
153.若与用户的标识对应的用户的角色认证结果表征角色认证通过、以及用户身份信息认证结果表征用户身份信息认证通过。并且，业务处理请求中还可以包括用户的标识、用户证明材料、生物特征信息、等等。可以对查询请求中的信息进行加密。进而，查询请求中包括用户的标识、用户证明材料、生物特征信息、等等。进而比对认证请求中的用户的标识、用户证明材料、生物特征信息这些信息，是否与查询请求中的用户的标识、用户证明材料、生物特征信息这些信息，分别一致。若确定一致，则业务处理设备确定则对业务处理请求所请求的业务进行处理，例如，业务处理请求指示进行信息查询，则业务处理设备进行信息的查询。
154.在上述步骤执行的过程中，还可以执行以下步骤：生成并存储审计日志，审计日志中包括以下的一种或多种：用户的标识、其他用户的标识、用户角色标识、用户身份信息、证件信息、生物特征信息、用户证明材料、委托标识、用户认证结果。
155.示例性地，在上述步骤执行的过程中，可以实时的记录一下信息：用户的标识、其他用户的标识、用户角色标识、用户身份信息、证件信息、生物特征信息、用户证明材料、委托标识、用户认证结果。从而生成审计日志。审计日志中还可以包括日志编号、日期、时间、操作授权业务编号、有权查询文书编号、渠道、客户是否在场(即，是否委托了其他用户进行办理)、查询状态。
156.可以对对审计日志，依据预设的更新周期，进行数据生命周期管理。例如，可以间隔一定之间之后进行数据的删除。
157.图5为本技术实施例提供的另一种基于多维认证的认证方法的示意图，如图5所示，先进行“1、认证”，即，先进行上述步骤201-204，完成认证过程。然后，用户再次发起“2、业务处理请求”，例如，进行信息的查询。从而可以生成查询请求。进行“3、查询认证结果”，进行上述步骤205。然后依据用户认证结果，确定进行“4、开始进行业务处理”。
158.上述步骤中，认证过程(步骤201-204)、查询过程(步骤205-207)是相互独立的，是异步的。即，先进行认证请求的处理，再进行查询请求的处理。在得到认证结果之后，再发起业务处理请求，进而去查询认证结果，进一步的保证确实对用户完成了认证。然后若认证结果是通过的，才进行业务的处理，保证了业务处理的安全性。
159.本实施例中，在上述实施例的基础上，基于多个维度进行认证过程；增设不同的客户信息访问控制方式，进而加强后续的业务处理和访问客户信息的安全性。并且，先进行认证请求的处理，再进行查询请求的处理。在得到认证结果之后，再发起业务处理请求，进而去查询认证结果，进一步的保证确实对用户完成了认证。然后若认证结果是通过的，才进行业务的处理，保证了业务处理的安全性。
160.图6为本技术实施例提供的一种基于多维认证的认证装置的结构示意图，如图6所示，该装置包括：
161.第一确定单元31，用于响应于认证请求，认证请求中包括用户角色标识和用户身份信息，依据预设的用户角色标识和业务权限之间的对应关系，确定与认证请求中的用户角色标识对应的业务权限。
162.第一验证单元32，用于若确定与认证请求中的用户角色标识对应的业务权限，表
征允许处理认证请求所请求的业务，则对用户身份信息进行验证。
163.第二验证单元33，用于若确定用户身份信息的验证通过、且认证请求中不包括场景信息，则确定对认证请求的认证通过。
164.第三验证单元34，用于若确定用户身份信息的验证通过、且认证请求中包括场景信息，则对场景信息进行验证，若确定场景信息的验证通过，则确定对认证请求的认证通过。
165.一个示例中，认证请求中包括用户的标识；用户身份信息中包括证件信息和生物特征信息；第一验证单元32在对用户身份信息进行验证时，具体用于：
166.若确定预设第一数据库中包括证件信息，则根据预存的生物特征信息对用户身份信息中的生物特征信息进行验证，其中，预设第一数据库中包括与不同用户的用户的标识对应的证件信息。
167.若确定预存的生物特征信息与用户身份信息中的生物特征信息两者一致，则确定对用户身份信息的验证通过，并生成认证业务编号和身份认证结果，身份认证结果表征对用户身份信息的验证通过。
168.一个示例中，本实施例提供的装置，还包括：
169.第二确定单元，用于若确定预设第一数据库中不包括证件信息，则确定对用户身份信息的验证不通过。
170.第三确定单元，用于若确定预存的生物特征信息与用户身份信息中的生物特征信息两者不一致，则确定对用户身份信息的验证不通过。
171.第一预警单元，用于若确定对用户身份信息的验证不通过的次数，大于预设第一次数阈值，则生成并发出第一告警信息。
172.一个示例中，场景信息中包括用户的标识、用户证明材料、其他用户的标识、委托标识；委托标识表征用户委托与其他用户的标识对应的其他用户进行业务处理。
173.若认证请求表征用户自行进行业务处理，则认证请求中不包括场景信息。
174.若认证请求表征用户委托其他用户进行业务处理，则认证请求中包括场景信息。
175.一个示例中，认证请求中包括用户的标识、其他用户的标识、委托标识，委托标识表征用户委托与其他用户的标识对应的其他用户进行业务处理；装置还包括：第一获取单元，用于获取场景信息。
176.一个示例中，第三验证单元33在对场景信息进行验证时，具体用于：
177.若根据预设第二数据库，确定用户的标识与用户证明材料两者的对应性，预设第二数据块中包括与不同的用户的标识对应的用户证明材料，以对场景信息是否具有合规性进行验证.
178.若确定场景信息具有合规性，则生成场景认证编号和场景认证结果，场景认证结果表征场景信息具有合规性。
179.一个示例中，本实施例提供的装置，还包括：
180.第四确定单元，用于若确定场景信息不具有合规性，则记录与其他用户的标识对应的其他用户的不合规次数。
181.第二预警单元，用于若确定其他用户的不合规次数在预设时间内，大于预设第二次数阈值，则生成并发出第二告警信息，并停止处理与其他用户的标识对应的其他用户的
认证请求。
182.一个示例中，本实施例提供的装置，还包括：
183.查询单元，用于在接收到与用户的标识对应的业务处理请求时，发起查询请求；查询请求表征查询与用户的标识对应的用户认证结果。
184.第二获取单元，用于获取与用户的标识对应的用户认证结果。
185.处理单元，用于若用户认证结果中的与用户的标识对应的用户的角色认证结果表征角色认证通过、以及用户身份信息认证结果表征用户身份信息认证通过，或者，若用户认证结果中的与用户的标识对应的用户的角色认证结果表征角色认证通过、用户身份信息认证结果表征用户身份信息认证通过、以及场景认证结果表征场景信息认证通过，则对业务处理请求所请求的业务进行处理。
186.一个示例中，本实施例提供的装置，还包括：
187.生成单元，用于生成并存储审计日志，审计日志中包括以下的一种或多种：用户的标识、其他用户的标识、用户角色标识、用户身份信息、证件信息、生物特征信息、用户证明材料、委托标识、用户认证结果。
188.示例性地，本实施例可以参见上述方法实施例，其原理和技术效果类似，不再赘述。
189.图7为本技术实施例提供的一种电子设备的结构示意图，如图7所示，电子设备包括：存储器71，处理器72。
190.存储器71；用于存储处理器72可执行指令的存储器。
191.其中，处理器72被配置为执行如上述实施例提供的方法。
192.电子设备还包括接收器73和发送器74。接收器73用于接收外部设备发送的指令和数据，发送器74用于向外部设备发送指令和数据。
193.图8是本技术实施例提供的一种电子设备的框图，该电子设备可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。电子设备为上述银行的认证服务器，或者，电子设备为上述业务处理设备。
194.装置800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(i/o)接口812，传感器组件814，以及通信组件816。
195.处理组件802通常控制装置800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。
196.存储器804被配置为存储各种类型的数据以支持在装置800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
197.电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为装置800生成、管理和分配电力相关联的组件。
198.多媒体组件808包括在装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当装置800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
199.音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(mic)，当装置800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。
200.i/o接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
201.传感器组件814包括一个或多个传感器，用于为装置800提供各个方面的状态评估。例如，传感器组件814可以检测到装置800的打开/关闭状态，组件的相对定位，例如组件为装置800的显示器和小键盘，传感器组件814还可以检测装置800或装置800一个组件的位置改变，用户与装置800接触的存在或不存在，装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
202.通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件816还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。
203.在示例性实施例中，装置800可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。
204.在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器804，上述指令可由装置800的处理器820执行以完成上述方法。例如，非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
205.本技术实施例还提供了一种非临时性计算机可读存储介质，当该存储介质中的指
令由电子设备的处理器执行时，使得电子设备能够执行上述实施例提供的方法。
206.本技术实施例还提供了一种计算机程序产品，计算机程序产品包括：计算机程序，计算机程序存储在可读存储介质中，电子设备的至少一个处理器可以从可读存储介质读取计算机程序，至少一个处理器执行计算机程序使得电子设备执行上述任一实施例提供的方案。
207.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本技术的真正范围和精神由下面的权利要求书指出。
208.应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求书来限制。