WO2019179253A1

WO2019179253A1 - 身份验证的方法及装置和电子设备

Info

Publication number: WO2019179253A1
Application number: PCT/CN2019/074090
Authority: WO
Inventors: 廖晖; 李京; 周凡
Original assignee: Alibaba Group Holding Ltd
Current assignee: Alibaba Group Holding Ltd
Priority date: 2018-03-21
Filing date: 2019-01-31
Publication date: 2019-09-26
Anticipated expiration: 2020-09-21
Also published as: EP3716227A1; TWI755580B; EP3716227B1; US20200304490A1; TW201941092A; SG11202006204TA; US11323430B2; CN108564688A; EP3716227A4

Abstract

一种身份验证的方法及装置和电子设备，所述方法包括：（110）移动终端获取设备端的设备标识，并将所获取的设备标识上传到服务器；（120）所述服务器对所述设备标识进行合法性验证，并将验证结果返回给所述移动终端；（130）所述移动终端在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息，并将所采集到的身份特征信息上传到所述服务器；（140）所述服务器对所述身份特征信息进行身份验证，并在验证通过的情况下，向所述移动终端下发电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。

Description

身份验证的方法及装置和电子设备

技术领域

本说明书实施例涉及互联网技术领域，尤其涉及一种身份验证的方法及装置和电子设备。

背景技术

随着互联网的不断发展，通过移动终端实现电子通行证或者电子钥匙的场景越来越多，例如移动支付、酒店登记、上班打卡、智能门锁等。

以智能门锁为例，用户可以使用移动终端开锁。具体地，智能门锁需要对用户的身份进行验证，在身份验证通过后，移动终端才可以获取电子通行证或者电子钥匙。也就是说，移动终端获取电子通行证或者电子钥匙之前，需要设备端对用户身份进行核实。可以看出，由于设备端需要进行身份核实，因此设备端需要具有一定的软件和/或硬件上的要求。例如采用人脸识别进行身份验证时，软件方面设备端需要有一定的计算能力，硬件方面设备端需要有摄像头。

需要提供一种适用设备端性能要求不高的身份验证的方案。

发明内容

本说明书实施例提供的一种身份验证的方法及装置和电子设备：

根据本说明书实施例的第一方面，提供一种身份验证的方法，所述方法包括：

移动终端获取设备端的设备标识，并将所获取的设备标识上传到服务器；

所述服务器对所述设备标识进行合法性验证，并将验证结果返回给所述移动终端；

所述移动终端在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息，并将所采集到的身份特征信息上传到所述服务器；

所述服务器对所述身份特征信息进行身份验证，并在验证通过的情况下，向所述移动终端下发电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。

根据本说明书实施例的第二方面，提供一种身份验证的方法，所述方法应用于移动终端，所述方法包括：

获取设备端的设备标识；

将所述设备标识上传到服务器，以使所述服务器对所述设备标识进行合法性验证；

在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息；

将所述身份特征信息上传到所述服务器，以使所述服务器对所述身份特征信息进行身份验证；

获取所述服务器在身份验证通过时下发的电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。

根据本说明书实施例的第三方面，提供一种身份验证的装置，所述装置应用于移动终端，所述装置包括：

第一获取单元，获取设备端的设备标识；

第一上传单元，将所述设备标识上传到服务器，以使所述服务器对所述设备标识进行合法性验证；

采集单元，在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息；

第二上传单元，将所述身份特征信息上传到所述服务器，以使所述服务器对所述身份特征信息进行身份验证；

第二获取单元，获取所述服务器在身份验证通过时下发的电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。

根据本说明书实施例的第四方面，提供一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为实现上述任一项所述的身份验证的方法。

本说明书实施例，将原本需要由设备端完成的身份验证转由服务器完成，从而可以降低设备端对软件、硬件方面的需求，从而也可以适用于性能不高的设备端。

附图说明

图1是本说明书一实施例提供的实现身份验证的系统架构概念图；

图2是本说明书一实施例提供的身份验证的方法的流程图；

图3是本说明书一实施例提供的身份验证的方法的流程图；

图4是本说明书一实施例示提供的身份验证的装置的硬件结构图；

图5是本说明书一实施例提供的身份验证的装置的模块示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

如前所述，一方面，由于设备端需要进行身份核实，因此设备端需要具有一定的软件和/或硬件上的要求。例如采用人脸识别进行身份验证时，软件方面设备端需要有一定的计算能力，硬件方面设备端需要有摄像头。另一方面，某些设备端设计时，对能耗要求比较严格，例如采用电池供电的低功耗设备，这些设备由于普遍采用了低功耗模块，无法长期进行复杂的计算需求；同样以智能门锁为例，智能门锁普遍采用电池供电，为了达到长时间使用，采用的是低功耗模块。

本说明书可以涉及一个或多个系统。以下请参考图1示出了本说明书中可以适用的示例性的系统架构概念图。所述系统架构概念图可以包括设备端11、移动终端12和服务器13。

所述设备端11可以是指进行需要电子通行证或者电子钥匙的设备。不同场景中，设备端对应了具体不同的设备；例如酒店入住场景，设备端可以为用于入住登记的自助终端。开锁场景中，设备端可以是智能门锁。

所述移动终端11可以是指用户使用的客户端。该客户端可以是指安装有应用的终端；例如安装有应用APP的手机。

所述服务器13可以是指与所述设备端11和移动终端12通信的应用服务器、服务器集群或者基于服务器集群构建的云平台。所述服务器13可以用于进行身份验证。

在实际应用中，当用户需要获取设备端11提供的服务时，可以通过移动终端12获取设备端11的设备标识以及采集用户的身份特征信息，并由服务器13进行验证，最终获取服务器13下发的电子通行证；然后移动终端12可以基于该电子通行证来获取设备端11提供的服务。

以下可以结合图2所示的例子介绍本说明书一种实现身份验证的方法的实施例，如图2所示，该方法可以包括以下步骤：

步骤110：移动终端获取设备端的设备标识，并将所获取的设备标识上传到服务器。

在一实施例中，所述设备标识包括静态的设备标识和/或动态的设备标识。

以静态的设备标识为例，所述设备标识具有唯一性，即每一个设备端都可以对应有一个唯一的设备标识。例如，设备出厂时的设备编号，ID等。

以动态的设备标识为例，所述设备标识可以包括动态令牌，例如token。所述动态令牌可以是指一串加密的字符串，可以是由预设的算法生成的。一般的，动态令牌是动态变化的，例如移动终端每次获取的动态令牌都是不同的；或者设备端周期性生成新的令牌。

在一实施例中，所述移动终端获取设备端的设备标识，具体包括：

移动终端通过与设备端建立短距离无线通信，从而获取所述设备端传输的设备标识。

具体地，所述短距离无线通信包括蓝牙通信、红外通信、无线局域网、WIFI、超宽带通信、紫峰通信、近场通信的一种。

在实施例中，所述设备端中可以集成有适用于短距离无线通信的模块，如蓝牙(Bluetooth)模块、红外(IrDA)模块、无线局域网(WI-FI或WLAN，大多采用802.11系列协议)模块、WIFI直连(Wi-Fi Direct)模块、超宽带通信(Ultra Wide Band)模块、紫峰(Zigbee)模块、近场通信(Near Field Communication，NFC)模块等，以实现短距离无线信号的收发。同样地，移动终端中也可以集成有同样的适用于短距离无线通信的模块。

在一实施例中，以蓝牙技术为例进行说明。

蓝牙技术作为取代数据电缆的短距离无线通信技术，可以支持点对点以及点对多点的通信，从而在设备间实现快捷而方便的信息交互。

设备端可以通过蓝牙模块发出包含自身的标识(UUID)的广播信号。蓝牙技术中，蓝牙模块可以通过“全球唯一标识符”(Universally Unique Identifier，UUID)来标识。每一个这样的UUID都在时空上保证蓝牙服务的唯一性。UUID具体可以是短整形(16或32位)和长整形(128位)。UUID可以通过蓝牙广播信号发送。

优选地，所述蓝牙技术，可以采用低功耗蓝牙技术(Bluetooth Low Energy，BLE)。更优地，可以采用iBeacon技术。iBeacon技术是一种基于BLE开发的技术，具有成本低，扩展广，定制灵活的特点。这种iBeacon技术可以使一个智能手机或其他装置在一个iBeacon基站的感应范围内能够执行相应的命令。例如本实施例中，收款设备可以为iBeacon基站。iBeacon已由苹果公司于2013年9月发布的移动设备用OS(iOS7)上配备。

BLE的通信方式一般包括两种：advertising(广告)和connecting(连接)。广告(Advertising)是一种单向的发送机制，属于广播模式的一种。想要被搜索到的设备(如iBeacon基站，收款设备)可以以20毫秒到10秒钟的时间间隔发送一段数据包。使用的时间间隔越短，电池消耗的越快，设备被发现的速度也就会快。数据包长度最多47个字节，一般可以由以下部分组成：

1 byte：preamble(1字节做报头)

4 byte：access address(4字节做地址)

39 bytes：advertising channel PDU(39个字节用于PDU数据包)

3 bytes：CRC(3个字节用于CRC数据校验)

BLE设备可以运行在单一的不可连接的广告模式中(在这种模式下所有的信息都包含在广告数据包中)；此外，BLE设备也可以运行在可被连接的模式下(即connecting模式)。

本实施例中的设备端，可以运行在单一的不可连接的广告模式中。这样，设备端主要是将自身的设备标识通过广告模式发送出去。具体的，所述设备端的设备标识，可以承载于上述PDU数据包中。

移动终端可以通过扫描广播的蓝牙信号发现设备端的UUID。具体的，安装于移动终端上的应用可以通过调用底层应用编程接口(Application Programming Interface，API)，驱动移动终端对无线信号的扫描。进而，可以扫描到设备端发出的无线信号，例如通过广播方式发出的蓝牙信号。由于设备端发出的蓝牙信号包含其自身的设备标识信息UUID，因此，移动终端可以通过扫描的蓝牙广播信号中发现该UUID。

移动终端通过扫描设备端提供的图形码，从而获取所述设备端的设备标识。

该实施例中，设备端可以展示出包含设备标识的图形码。移动终端中可以集成有用于扫描图形码的模块，例如摄像头、扫码器等，以实现扫描图形码从而获取设备标识。

在一实施例中，以摄像头为例进行说明。

移动终端可以通过开启摄像头，当摄像头采集到图形码的图像后，通过移动终端本地解析软件或者远程服务器解析出所述图形码包含的设备标识。

在一实施例中，所述图形码可以包括二维码、条形码等。

步骤120：所述服务器对所述设备标识进行合法性验证，并将验证结果返回给所述移动终端。

在一实施例中，所述服务器对所述设备标识进行合法性验证，具体可以包括：

判断所述设备标识对应的设备是否已在服务器上注册；

在所述设备标识对应的设备已在服务器上注册的情况下，确定验证结果为合法。

一般的，设备端的生产商可以在设备端出厂时，可以在服务器上完成注册，从而在服务器上可以存储有设备标识与设备之间的对应关系，并且还有已注册记录。

在一实施例中，针对动态的设备标识，服务器具有与设备端相同的用于生成动态令牌的算法。通过该算法，服务器可以验证移动终端上传的动态令牌是否正确，并在正确的情况下，确定验证结果为合法。

服务器在确定了验证结果后，就可以将验证结果返回给移动终端。

步骤130：所述移动终端在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息，并将所采集到的身份特征信息上传到所述服务器。

在一实施例中，所述身份特征信息可以包括生物特征信息。

所述生物特征信息包括指纹、掌纹、虹膜、眼纹、人脸、声波、脑电波中的至少一种。对应的，所述移动终端中需要集成有采集生物特征信息的模块，例如通过摄像头可以采集用户的人脸图像；通过指纹模块可以采集用户的指纹；通过声波模块可以采集用户声波信息等等。

在一实施例中，所述身份特征信息也可以包括用户输入的密码信息。

步骤140：所述服务器对所述身份特征信息进行身份验证，并在验证通过的情况下，向所述移动终端下发电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。

本实施例中，所述服务器中保存有用户预留的身份特征信息。当服务器收到移动终端上传的身份特征信息后，可以与所述预留的身份特征信息进行比对，如果一致，则说明当前用户为本人；反之，则说明当前用户不是本人。

服务器在验证通过的情况下，进而可以向所述移动终端下发电子通行证。所述电子通行证可以是设备端认可的，移动终端可以使用该电子通行证获取设备端提供的服务。

以智能门锁场景为例，当移动终端获取到电子通行证后，使用该电子通行证就可以打开智能门锁。

以酒店入住场景为例，当移动终端获取到电子通行证后，使用该电子通行证就可以完成登记入住。

本说明书实施例，将原本需要由设备端完成的身份验证转由服务器完成，从而可以降低设备端对软件、硬件方面的需求，从而也可以适用于性能不高的设备端。另一方面，通过身份验证，可以确定当前用户是否为本人，防止冒用的情况出现，提升了可靠性。

在一实施例中，移动终端使用电子通行证，具体可以为：

移动终端将电子通行证发送给设备端。这里，参考步骤110所示，可以是基于短距离无线通信实现的。之后，设备端可以在本地对电子通行证进行校验，待校验通过后才可以提供服务。或者，设备端可以将电子通行证上传到服务器，由服务器进行校验，待服务器返回的校验结果为通过后才可以提供服务。

以下结合图3介绍本申请以移动终端为主体的方法实施例，该实施例可以对应图2：

步骤210：获取设备端的设备标识；

步骤220：将所述设备标识上传到服务器，以使所述服务器对所述设备标识进行合法性验证；

步骤230：在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息；

步骤240：将所述身份特征信息上传到所述服务器，以使所述服务器对所述身份特征信息进行身份验证；

步骤250：获取所述服务器在身份验证通过时下发的电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。

在一实施例中，所述获取设备端的设备标识，具体包括：

通过与设备端建立短距离无线通信，从而获取所述设备端传输的设备标识；

或者，

通过扫描设备端提供的图形码，从而获取所述设备端的设备标识。

在一实施例中，所述短距离无线通信包括蓝牙通信、红外通信、无线局域网、WIFI、超宽带通信、紫峰通信、近场通信的一种。

在一实施例中，所述身份特征信息包括生物特征信息。

在一实施例中，所述生物特征信息包括指纹、掌纹、虹膜、眼纹、人脸、声波、脑电波中的至少一种。

在一实施例中，所述动态的设备标识包括动态令牌。

与前述身份验证的方法实施例相对应，本说明书还提供了身份验证的装置的实施例。所述装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，本说明书身份验证的装置所在设备的一种硬件结构如图4所示可以包括处理器、网络接口、内存以及非易失性存储器之外，实施例中装置所在的设备通常根据该身份验证的实际功能，还可以包括其他硬件，对此不再赘述。

请参见图5，为本说明书一实施例提供的身份验证的装置的模块图，所述装置包括：

第一获取单元310，获取设备端的设备标识；

第一上传单元320，将所述设备标识上传到服务器，以使所述服务器对所述设备标识进行合法性验证；

采集单元330，在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息；

第二上传单元340，将所述身份特征信息上传到所述服务器，以使所述服务器对所述身份特征信息进行身份验证；

第二获取单元350，获取所述服务器在身份验证通过时下发的电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。

在一个可选的实施例中：

所述第一获取单元310，具体包括：

第一获取子单元，通过与设备端建立短距离无线通信，从而获取所述设备端传输的设备标识；

或者，

第二获取子单元，通过扫描设备端提供的图形码，从而获取所述设备端的设备标识。

在一个可选的实施例中：

所述短距离无线通信包括蓝牙通信、红外通信、无线局域网、WIFI、超宽带通信、紫峰通信、近场通信的一种。

在一个可选的实施例中：

所述身份特征信息包括生物特征信息。

在一个可选的实施例中：

所述生物特征信息包括指纹、掌纹、虹膜、眼纹、人脸、声波、脑电波中的至少一种。

在一个可选的实施例中：

所述设备标识包括静态的设备标识和/或动态的设备标识。

在一个可选的实施例中：

所述动态的设备标识包括动态令牌。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上图5描述了身份验证的装置的内部功能模块和结构示意，其实质上的执行主体可以为一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

获取设备端的设备标识；

可选的，所述获取设备端的设备标识，具体包括：

或者，

可选的，所述短距离无线通信包括蓝牙通信、红外通信、无线局域网、WIFI、超宽带通信、紫峰通信、近场通信的一种。

可选的，所述身份特征信息包括生物特征信息。

可选的，所述生物特征信息包括指纹、掌纹、虹膜、眼纹、人脸、声波、脑电波中的至少一种。

可选的，所述设备标识包括静态的设备标识和/或动态的设备标识。

可选的，所述动态的设备标识包括动态令牌。

在上述电子设备的实施例中，应理解，该处理器可以是中央处理单元(英文：Central Processing Unit，简称：CPU)，还可以是其他通用处理器、数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：Application Specific Integrated Circuit，简称：ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，而前述的存储器可以是只读存储器(英文：read-only memory，缩写：ROM)、随机存取存储器(英文：random access memory，简称：RAM)、快闪存储器、硬盘或者固态硬盘。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于电子设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本说明书的真正范围和精神由下面的权利要求指出。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

Claims

一种身份验证的方法，所述方法包括：

移动终端获取设备端的设备标识，并将所获取的设备标识上传到服务器；

所述服务器对所述设备标识进行合法性验证，并将验证结果返回给所述移动终端；

所述移动终端在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息，并将所采集到的身份特征信息上传到所述服务器；

所述服务器对所述身份特征信息进行身份验证，并在验证通过的情况下，向所述移动终端下发电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。
一种身份验证的方法，所述方法应用于移动终端，所述方法包括：

获取设备端的设备标识；

将所述设备标识上传到服务器，以使所述服务器对所述设备标识进行合法性验证；

在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息；

将所述身份特征信息上传到所述服务器，以使所述服务器对所述身份特征信息进行身份验证；

获取所述服务器在身份验证通过时下发的电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。
根据权利要求2所述的方法，所述获取设备端的设备标识，具体包括：

通过与设备端建立短距离无线通信，从而获取所述设备端传输的设备标识；

或者，

通过扫描设备端提供的图形码，从而获取所述设备端的设备标识。
根据权利要求3所述的方法，所述短距离无线通信包括蓝牙通信、红外通信、无线局域网、WIFI、超宽带通信、紫峰通信、近场通信的一种。
根据权利要求2所述的方法，所述身份特征信息包括生物特征信息。
根据权利要求5所述方法，所述生物特征信息包括指纹、掌纹、虹膜、眼纹、人脸、声波、脑电波中的至少一种。
根据权利要求2所述的方法，所述设备标识包括静态的设备标识和/或动态的设备标识。
根据权利要求7所述的方法，所述动态的设备标识包括动态令牌。
一种身份验证的装置，所述装置包括：

第一获取单元，获取设备端的设备标识；

第一上传单元，将所述设备标识上传到服务器，以使所述服务器对所述设备标识进行合法性验证；

采集单元，在接收到所述服务器返回的验证结果为合法的情况下，采集用户的身份特征信息；

第二上传单元，将所述身份特征信息上传到所述服务器，以使所述服务器对所述身份特征信息进行身份验证；

第二获取单元，获取所述服务器在身份验证通过时下发的电子通行证；其中，所述电子通行证用于获取所述设备端提供的服务。
一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为实现上述权利要求1-8中任一项所述的方法。