本申請涉及認證技術領域，尤其涉及一種身份認證方法、裝置及系統。

背景技術：

認證是用可靠的技術驗證某個實體身份的過程，在計算機、互聯網等應用領域，用戶身份認證是一種最基本的需求，常用的技術包括口令認證、物理認證、生物特征認證等，其中口令認證以其實現簡單、使用方便等特點成為應用最為廣泛的認證方式。

用戶使用手機、個人電腦等設備時，經常使用鍵盤直接進行口令輸入，這種方案實際存在著較大的安全性問題，惡意用戶可以通過多種方式盜取口令，例如直接偷窺、植入惡意軟件(如按鍵信息記錄軟件)等等。

針對上述問題，一種思路是盡量令用戶輸入口令的行為隱蔽化，例如采用隱式口令顯示、隨機生成虛擬鍵盤布局等等，這些方式在一定程度上可以減小口令被盜取的風險，然而用戶的輸入行為畢竟是可通過視覺辨別的，惡意用戶如果存心盜取，仍然段可以通過很多手段(例如高清攝像頭偷拍等)來達到目的。

技術實現要素：

針對上述技術問題，本申請?zhí)峁┮环N身份認證方法、裝置及系統，技術方案如下：

根據本申請的第一方面，提供一種身份認證方法，預先存儲用戶在認證信息構建階段提供的認證文本口令序列、認證指紋信息、以及指紋信息與文本字 符的對應關系，所述身份認證方法包括：

接收用戶輸入的口令序列，該口令序列的每一位分別以文本字符或指紋信息的形式輸入；

根據所述指紋信息與文本字符的對應關系，將用戶輸入的指紋信息解析為文本字符，并根據解析結果將用戶輸入的口令序列轉換為全文本序列；

判斷轉換得到的全文本序列是否與該用戶的認證文本口令序列匹配，如果是則確定認證成功，否則確定認證失敗。

一種身份認證信息構建方法，該方法包括：

獲得用戶輸入的認證文本口令序列；

針對所述認證文本口令序列中的一個或多個文本字符，分別要求用戶進一步輸入與該字符對應的認證指紋信息；

將所述認證文本口令序列、認證指紋信息以及指紋信息與字符的對應關系保存為該用戶的身份認證信息。

一種身份認證裝置，該裝置包括：

存儲模塊，用于預先存儲用戶在認證信息構建階段提供的認證文本口令序列、認證指紋信息、以及指紋信息與文本字符的對應關系；

接收模塊，用于接收用戶輸入的口令序列，該口令序列的每一位分別以文本字符或指紋信息的形式輸入；

解析模塊，用于根據所述指紋信息與文本字符的對應關系，將用戶輸入的指紋信息解析為文本字符，并根據解析結果將用戶輸入的口令序列轉換為全文本序列；

認證模塊，用于判斷轉換得到的全文本序列是否與該用戶的認證文本口令序列匹配，如果是則確定認證成功，否則確定認證失敗。

一種身份認證信息構建裝置，該裝置包括：

文本口令序列獲得模塊，用于獲得用戶輸入的認證文本口令序列；

指紋信息獲得模塊，用于針對所述認證文本口令序列中的一個或多個文本字符，分別要求用戶進一步輸入與該字符對應的認證指紋信息；

信息保存模塊，用于將所述認證文本口令序列、認證指紋信息以及指紋信息與字符的對應關系保存為該用戶的身份認證信息。

根據本申請的第五方面，提供一種身份認證系統，包括上述的身份認證裝置以及如權利要求11或12任一項所述的身份認證信息構建裝置。

本申請所提供的技術方案，將字符口令認證和指紋認證兩種方式相結合，用戶在注冊認證信息階段，可以對指紋信息與字符之間的對應關系進行自定義，進而在每次輸入口令進行認證時，可以根據周圍實際環(huán)境的安全性，選擇通過指紋方式來間接實現文本字符的輸入，與輸入字符相比，輸入指紋的動作幅度較小，隱蔽性也更好。更重要的是，指紋信息作為用戶的個人特征，具有天然的唯一性，惡意方即便看到了合法用戶的口令輸入動作，在無法獲得合法用戶指紋的情況下，也無法通過認證。

應當理解的是，以上的一般描述和后文的細節(jié)描述僅是示例性和解釋性的，并不能限制本申請。

附圖說明

為了更清楚地說明本申請實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請中記載的一些實施例，對于本領域普通技術人員來講，還可以根據這些附圖獲得其他的附圖。

圖1是本申請的身份認證方法的流程示意圖；

圖2是本申請的身份認證信息構建方法的流程示意圖；

圖3是本申請的一種輸入模式切換功能的界面示意圖；

圖4是本申請的身份認證裝置的結構示意圖；

圖5是本申請的身份認證信息構建裝置的結構示意圖。

具體實施方式

針對單純字符口令的輸入行為容易泄露的問題，本申請所提供的方案是在 原有字符口令認證機制的基礎上，進一步增加了指紋認證機制，通過兩種方式的結合來進一步提高口令輸入的安全性，降低泄露風險。

為了使本領域技術人員更好地理解本申請中的技術方案，下面將結合本申請實施例中的附圖，對本申請實施例中的技術方案進行詳細地描述，顯然，所描述的實施例僅僅是本申請一部分實施例，而不是全部的實施例?；诒旧暾堉械膶嵤├?，本領域普通技術人員所獲得的所有其他實施例，都應當屬于本申請保護的范圍。

根據本申請所提供的方案，用戶在認證信息注冊階段，首先需要提供一個用于認證的文本口令序列，然后針對該序列中的一個或多個文本字符，分別錄入對應的指紋，系統側根據用戶提供的口令文本序列、指紋信息以及兩者的對應關系生成該用戶的身份認證信息并保存。在實際的認證應用階段，用戶可以通過輸入指紋信息的方式實現口令輸入，系統側根據預先保存的對應關系，自動將用戶輸入的指紋信息轉換為文本形式，然后將轉換結果與預存的認證文本口令序列進行比較，最終根據比較結果確定是否通過認證。

下面將分別對本申請所提供的身份認證信息構建(注冊階段)方案和身份認證信息應用(認證階段)方案進行說明。

圖1所示為本申請?zhí)峁┑纳矸菡J證信息構建方法的流程圖，該方法可以包括以下步驟：

S101，獲得用戶輸入的認證文本口令序列；

本申請所提供的方案，仍然以文本形式的口令序列為基礎，一條文本口令序列由若干文本字符構成，這里文本字符可以僅使用純數字的形式，也可以使用字母、特殊符號、或多種類型字符混合的形式，序列的長度可以根據實際的使用需求確定，例如4位、6位等，本申請對此并不進行限定。

用戶確定自己所要使用的認證文本口令序列后，以正常的文本字符輸入方式(例如通過實體鍵盤，虛擬鍵盤等)提供給系統側，這里的“系統側”既可以指代獨立的用戶終端設備，例如手機、PC機等等，也可以泛指由用戶終端設備與網絡側配套設備(例如各種應用服務器等)所構成的系統。系統側接收到 用戶輸入的認證文本口令序列后，進一步執(zhí)行后續(xù)操作。

S102，針對認證文本口令序列中的一個或多個文本字符，分別要求用戶進一步輸入與該字符對應的認證指紋信息；

為了提高口令輸入的安全性，本申請方案在普通文本口令序列的基礎上，允許將該序列中的一個或多個文本字符指定為可替換字符，并為每個可替換字符提供一個對應的用戶指紋信息。

例如，初始的文本口令序列為四位數字序列1357，針對這四個數字用戶可以分別錄制指紋信息，假設對應關系如下：

1—左手食指

3—左手中指

5—左手無名指

7—左手小指

實際應用中，對于一個長度為L的認證文本口令序列，可以運行將其中的N(N≤L)個字符定義為可替換字符，并且可替換字符可以位于序列的任意位置。例如對于四位數字序列1357，可以僅定義首位或末尾為可替換字符、或者定義“1”、“3”為可替換字符、定義“5”、“7”為可替換字符等等。具體需要將認證文本口令序列中的哪些字符定義為可替換字符，可以由系統側進行規(guī)定，也可以由用戶自行選擇。

上述的“指紋信息”和“字符”的對應關系，并不僅限于一一對應的關系，也可以是“一對多”或“多對一”的對應關系，即每條指紋信息對應一個字符子序列、或者多條指紋信息構成的序列對應一個字符。這樣一方面可以增加口令的復雜性，提升破解難度，還可以在一定程度上解決可用指紋較少的問題。例如，對于四位數字序列1357，可以針對“13”錄制一個指紋信息，針對“57”錄制另一個指紋信息，等等。

可以理解的是，對指紋信息的區(qū)分并不僅限于不同的單個手指，還可以是多個手指的組合。另外，根據輸入設備的實際功能，還可以進一步結合“按壓時長”、“按壓力度”等維度來對指紋信息進行區(qū)分，具體的技術實現與本申請 方案無關，這里不再詳細說明。

S103，將認證文本口令序列、認證指紋信息以及指紋信息與字符的對應關系保存為該用戶的身份認證信息。

根據前述步驟可知，用戶在注冊階段需要向系統側提供的信息包括三個方面：認證文本口令序列、認證指紋信息以及指紋信息與字符的對應關系。其中前兩種信息均需要用戶進行輸入，“對應關系”則在用戶輸入前兩種信息的過程中由系統側自動生成。這三部分信息共同構成了一名用戶的身份認證信息，系統側對這三部分信息進行保存后，即完成了一次身份認證信息的構建操作。根據實際的應用場景，可以將上述身份認證信息保存在用戶終端設備本地，也可以上傳至網絡側的服務器等設備中保存。

可以理解的是，根據一般的認證信息構建流程，可以進一步要求用戶重復輸入認證文本口令序列以及各條指紋信息，以避免輸入錯誤，本申請對此不再做展開說明。

對應于上述身份認證信息構建方案，本申請進一步提供在身份認證階段的實際處理方案，圖2所示為本申請?zhí)峁┑纳矸菡J證方法的流程圖，該方法可以包括以下步驟：

S201，接收用戶輸入的口令序列；

S202，根據指紋信息與文本字符的對應關系，將用戶輸入的指紋信息解析為文本字符，并根據解析結果將用戶輸入的口令序列轉換為全文本序列；

S203，判斷轉換得到的全文本序列是否與該用戶的認證文本口令序列匹配，如果是則確定認證成功，否則確定認證失敗。

在需要對用戶進行身份認證的應用場景，系統側會提示用戶輸入認證口令。此時用戶可以根據在注冊階段時提供的身份認證信息形式進行輸入。這里的“系統側”與前面實施例中的解釋相同，本實施例不再重復說明。

例如，用戶在認證信息構建階段提供的文本口令序列為1357，并且分別錄入了4個數字的對應指紋，則根據S201，用戶在認證時可以依次輸入左手食指、左手中指、左手無名指、左手小指的指紋信息。

進而，根據S202，系統側根據預存的對應關系，將左手食指、左手中指、左手無名指、左手小指的指紋信息分別解析為1、3、5、7，并且得到全文本序列1357。

最后，根據S203，系統側將得到的全文本序列“1357”與預存的認證文本口令序列進行比較，本例的比較結果是兩者一致，因此確定本次身份認證成功。如果比較結果不一致，則確定認證失敗，即認為當前用戶不是合法用戶。

如果在認證信息構建階段，僅指定了一部分可替換字符，那么在認證階段，用戶需要對文本字符和指紋信息進行混合輸入。相應地，系統側可以提供指紋信息輸入模式和文本字符輸入模式的選擇或切換功能，該功能可以通過軟件方式實現，例如在用戶界面上提供按鈕、菜單等操作標識，也可以通過硬件方式實現，例如在設備上提供專用的按鈕、開關等等。軟件方式的通用性更好，可以適用于不同的設備、不同的操作系統。而在一些專用的設備，例如取款機、POS機上，則可以采用硬件的方式實現，本領域技術人員可以根據實際情況靈活選擇。

圖3示出了一種在手機支付應用中，通過軟件方式實現輸入模式切換的界面示意圖，在觸屏手機的口令輸入界面中，左下角提供了切換功能按鈕，界面所示的當前輸入模式是文本字符輸入模式，當用戶點擊切換功能按鈕后，將切換為指紋信息輸入模式。

另外，在本申請的具體實施方式中，為了方便用戶使用，還可以進一步提供更為靈活的認證輸入方式，例如：

1)允許用戶自行選擇以哪種模式輸入口令。

本申請方案是以文本口令為基礎，加入指紋信息的一個目的也是為了降低用戶在輸入文本口令過程中的泄露風險?；谶@種情況，可以設定指紋形式(包括指紋與字符混用)的口令與文本形式的口令同時有效。系統側接收到用戶輸入的口令序列后，首先判斷是包含指紋信息的口令還是全文本形式的口令，如果是前一種情況，則先轉換為全文本形式的口令再進行認證判斷(即前述的S202-S203)，如果是后一種情況，則可以直接進行認證判斷。

應用上述方案，如果用戶能夠確定當前的周圍環(huán)境是安全的(例如在自己家里)，則可以直接以文本形式輸入口令，以達到簡化操作的目的，同時也能簡化系統側后續(xù)的判斷處理；反之，如果用戶無法確定當前使用環(huán)境的安全性(例如在公共場合)，則可以切換為指紋方式輸入口令以避免泄露。

此外，這種方式還可以有效提升本申請方案的適用范圍，在不具有指紋輸入功能的設備上，用戶仍然可以使用文本形式的口令進行認證。典型的應用場景例如：對于某支付應用，如果用戶當前使用的該應用的手機版本，并且用戶當前使用的手機支持指紋輸入，那么用戶可以使用指紋形式輸入口令；如果用戶當前使用的手機不支持指紋輸入、或者用當前使用的該應用的PC版本(這里假設PC機不支持指紋輸入)，則用戶同業(yè)可以使用文本形式的口令來完成認證。

2)允許用戶自行選擇單個字符的輸入模式。

前面的實施例曾經提到：在認證信息構建階段，對于一個長度為L的認證文本口令序列，可以僅將其中的N(N≤L)個字符定義為可替換字符，并且可替換字符可以位于序列的任意位置。而在認證階段，可以進一步規(guī)定：對于包含N個可替換字符的認證文本口令序列，允許用戶針對其中的M(M≤N)個字符輸入指紋信息，系統側接收到用戶輸入口令序列之后，將其中的M條指紋信息分別解析為文本字符，只要最終得到的全文本序列與認證文本口令序列相匹配，則可確定認證成功，無需關注用戶所輸入的指紋信息數量。

例如，對于四位數字序列1357，以及前面所述的對應關系，用戶在認證時，可以輸入：

1-3-5-7、

左手食指指紋-3-5-7、

左手食指指紋-左手中指指紋-5-7、

1-3-5-左手小指指紋、

等等

由于上述輸入最終轉換后得到的全文本形式均為“1357”，與認證文本口令序列相匹配，因此都可以通過認證。

通過這種方式，也可以達到簡化用戶操作的目的，事實上當M＝0時，即相當于方案1)所描述的情形。此外，這種方式也使得用戶的輸入行為更為靈活，從而間接起到了提高隱蔽性的作用。

根據實際的應用場景或應用需求，S202和S203均可以在用戶設備本地實現或者網絡側設備實現。在網絡側實現的場景下，用戶通過終端設備輸入指紋(包括全指紋以及指紋與字符混合的情況)信息后，終端設備將指紋信息上傳至網絡側設備，由網絡側設備將用戶輸入的指紋信息列解析為文本字符、并且進行認證判斷后，將認證結果反饋至終端設備。當然也可以是網絡側設備僅用于解析指紋信息，然后將解析結果反饋至終端設備、并由終端設備自身進行認證判斷。

另外，在實際應用中，往往會出現指紋信息無法解析的問題，例如用戶當前輸入的某個指紋清晰度不足、或者在預存的身份認證信息中沒有找到與用戶當前輸入的指紋信息相匹配的指紋信息，等等，這種情況下，系統側也可以直接在S202給出認證失敗的結果，如果所有指紋信息均解析成功，再進一步執(zhí)行S203的操作。

以上分別介紹了本申請所提供的身份認證信息構建方案和身份認證信息應用方案?？梢岳斫獾氖牵瑸榱藢崿F用戶身份認證信息的構建，一般要求用戶在該階段所使用的設備至少具備字符輸入功能和指紋輸入功能，當然也并不排除采用上傳文件等方式來輸入認證文本口令序列和指紋信息。而在實際認證應用階段，很多情況下并不一定要求用戶所使用的設備同時具備字符輸入功能和指紋輸入功能，這也進一步提高了本申請方案的適用范圍。

相應于上述方法實施例，本申請還提供一種身份認證信息構建裝置，參見圖4所示，該裝置可以包括：

文本口令序列獲得模塊110，用于獲得用戶輸入的認證文本口令序列；

指紋信息獲得模塊120，用于針對認證文本口令序列中的一個或多個文本字符，分別要求用戶進一步輸入與該字符對應的認證指紋信息；

信息保存模塊130，用于將認證文本口令序列、認證指紋信息以及指紋信息 與字符的對應關系保存為該用戶的身份認證信息。

在本申請的一種具體實施方式中，上述一個或多個文本字符可以由用戶指定或系統指定。

本申請還提供一種身份認證裝置，參見圖5所示，該裝置可以包括：

存儲模塊210，用于預先存儲用戶在認證信息構建階段提供的認證文本口令序列、認證指紋信息、以及指紋信息與文本字符的對應關系；

接收模塊220，用于接收用戶輸入的口令序列，該口令序列的每一位分別以文本字符或指紋信息的形式輸入；

解析模塊230，用于根據指紋信息與文本字符的對應關系，將用戶輸入的指紋信息解析為文本字符，并根據解析結果將用戶輸入的口令序列轉換為全文本序列；

認證模塊240，用于判斷轉換得到的全文本序列是否與該用戶的認證文本口令序列匹配，如果是則確定認證成功，否則確定認證失敗。

在本申請的一種具體實施方式中，認證模塊240還可以用于：在解析模塊對用戶輸入的指紋信息解析失敗的情況下，直接確定認證失敗。

在本申請的一種具體實施方式中，接收模塊220還可以用于：

根據用戶的選擇操作，將當前的輸入模式切換為指紋信息輸入模式、或者切換為文本字符輸入模式。

本申請還提供一種身份認證系統，該系統可以包括上述的身份認證信息構建裝置及身份認證裝置，這里不再示出該系統的結構示意圖。根據前面的說明可知，兩者的協作關系為：信息保存模塊130將認證文本口令序列、認證指紋信息以及指紋信息與字符的對應關系保存為該用戶的身份認證信息后，直接存儲至存儲模塊210。

通過以上的實施方式的描述可知，本領域的技術人員可以清楚地了解到本申請可借助軟件加必需的通用硬件平臺的方式來實現?；谶@樣的理解，本申請的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟件產品的形式體現出來，該計算機軟件產品可以存儲在存儲介質中，如ROM/RAM、磁碟、 光盤等，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執(zhí)行本申請各個實施例或者實施例的某些部分所述的方法。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于裝置或系統實施例而言，由于其基本相似于方法實施例，所以描述得比較簡單，相關之處參見方法實施例的部分說明即可。以上所描述的裝置或系統實施例僅僅是示意性的，其中所述作為分離部件說明的模塊可以是或者也可以不是物理上分開的，在實施本申請方案時可以把各模塊的功能在同一個或多個軟件和/或硬件中實現。也可以根據實際的需要選擇其中的部分或者全部模塊來實現本實施例方案的目的。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

以上所述僅是本申請的具體實施方式，應當指出，對于本技術領域的普通技術人員來說，在不脫離本申請原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應視為本申請的保護范圍。