CN108683646A - 一种认证方法及计算设备 - Google Patents

Abstract

本发明公开了一种认证方法及其计算设备，计算设备作为一个节点布置在区块链网络中，且与至少一个用户终端相连，该方法包括步骤：响应于来自用户终端的注册区块链账户的请求，获取用户的人脸图像及社会关系生成该用户的智能合约，并将该智能合约发送到区块链网络；响应于来自用户终端的认证请求，确定该认证请求的预设认证方式；当该认证请求的预设认证方式为第一认证方式时，从用户终端采集用户的人脸图像；根据智能合约中的人脸图像对所采集的人脸图像进行匹配；若匹配一致则进行第一签名认证；若第一签名认证通过则根据智能合约中的社会关系进行第二签名认证；以及若第二签名认证通过，则确认认证成功。

Description

一种认证方法及计算设备

技术领域

本发明涉及身份认证技术领域，尤其是一种认证方法及计算设备。

背景技术

身份认证，是指在计算机网络***中确认操作者身份的过程，以确定该操作者是否具有对某种资源的访问和使用权限，进而使计算机和网络***的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证***和数据的安全，以及授权访问者的合法利益。

常见的一种身份认证方式是通过第三方的认证服务器来完成认证。一种简单的认证场景如下：假设用户A要访问应用服务器B，那么，用户A向第三方的认证服务器C发送认证请求，第三方的认证服务器C对收到的认证请求进行验证，验证通过则传送用户A的访问请求给应用服务器B，这样，用户A就可以访问应用服务器B上的数据了。上述认证方式存在如下弊端：(1)用户A的身份认证信息(如密钥)存储在第三方的认证服务器C上，安全性无法得到保证，一旦第三方的认证服务器发生数据泄露，将会对用户A和应用服务器B造成重大风险；(2)用户数据不完全归属于用户，有部分归属于应用和第三方，用户数据的隐私性将得不到保障；(3)用户数据在各服务商之间无法产生连接，数据价值在用户体验上未能达到最大化。

鉴于此，亟需一种有效的认证方案，以解决上述弊端。

发明内容

为此，本发明提供了一种认证方法及计算设备，以力图解决或者至少缓解上面存在的至少一个问题。

根据本发明的一个方面，提供了一种认证方法，该方法适于在计算设备中进行，计算设备作为一个节点布置在区块链网络中，且与至少一个用户终端相连，包括步骤：响应于来自用户终端的注册区块链账户的请求，获取用户的人脸图像及社会关系生成该用户的智能合约，并将该智能合约发送到区块链网络；响应于来自用户终端的认证请求，确定该认证请求的预设认证方式；当该认证请求的预设认证方式为第一认证方式时，从用户终端采集用户的人脸图像；根据智能合约中的人脸图像对所采集的人脸图像进行匹配；若匹配一致则进行第一签名认证；若第一签名认证通过则根据智能合约中的社会关系进行第二签名认证；以及若第二签名认证通过，则确认认证成功。

可选地，在根据本发明的认证方法中，还包括步骤：当该认证请求的预设认证方式为第二认证方式时，从用户终端采集用户的人脸图像；根据智能合约中的人脸图像对所采集的人脸图像进行匹配；若匹配一致则进行第一签名认证；以及若第一签名认证通过则确认认证成功。

可选地，在根据本发明的认证方法中，还包括步骤：当该认证请求的预设认证方式为第三认证方式时，从用户终端采集用户的人脸图像；根据智能合约中的人脸图像对所采集的人脸图像进行匹配；若匹配一致则确认认证成功。

可选地，在根据本发明的认证方法中，响应于来自用户终端的注册区块链用户的请求，获取用户的人脸图像及社会关系生成该用户的智能合约的步骤包括：响应于来自用户终端的注册区块链用户的请求，获取该用户的第一密钥，其中该用户终端上存储有与该第一密钥对应的第二密钥；获取用户的人脸图像并生成人脸特征；获取用户的社会关系，其中社会关系包含至少一个信任好友；根据用户的社会关系获取至少一个信任好友的第一密钥，其中信任好友的用户终端上存储有与其第一密钥对应的第二密钥；以及根据用户的第一密钥、人脸特征和至少一个信任好友的第一密钥生成该用户的智能合约。

可选地，在根据本发明的认证方法中，响应于来自用户终端的认证请求，确定该认证请求的预设认证方式的步骤包括：响应于来自用户终端的认证请求，获取该认证请求对应的安全级别；根据安全级别确定对应的预设认证方式，其中预设认证方式包括与高安全级别关联的第一认证方式、与中安全级别关联的第二认证方式和与低安全级别关联的第三认证方式。

可选地，在根据本发明的认证方法中，采集用户的人脸图像并根据智能合约中的人脸图像对所获取的人脸图像进行匹配的步骤包括：获取用户的人脸图像并生成人脸特征；计算所生成的人脸特征与智能合约中的人脸特征的相似度；若相似度不小于第一阈值，则确认匹配一致。

可选地，在根据本发明的认证方法中，若匹配一致则进行第一签名认证的步骤包括：当人脸图像匹配一致时，对第一密钥和在该用户终端上存储的第二密钥进行签名验证。

可选地，在根据本发明的认证方法中，若第一签名认证通过则根据智能合约中的社会关系进行第二签名认证的步骤包括：当第一签名认证通过时，获取智能合约中至少一个信任好友的第一密钥；对至少一个信任好友的第一密钥和对应存储在信任好友的用户终端上的第二密钥进行签名认证。

可选地，在根据本发明的认证方法中，用户的第一密钥和第二密钥通过随机算法在用户终端上生成。

可选地，在根据本发明的认证方法中，获取用户的人脸图像并生成人脸特征的步骤包括：获取用户的人脸图像并将该人脸图像划分成多个图像块；计算每个图像块中各像素点的梯度或边缘的方向直方图；以及将每个图像块的方向直方图组合得到人脸特征。

可选地，在根据本发明的认证方法中，在生成该用户的智能合约之后，还包括步骤：当满足智能合约的触发条件时，更改用户的智能合约，并将更改后的智能合约发送到区块链网络。

根据本发明的又一方面，提供了一种计算设备，包括：一个或多个处理器；和存储器；一个或多个程序，其中所述一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行如上所述方法中的任一方法的指令。

根据本发明的再一方面，提供了一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当计算设备执行时，使得所述计算设备执行如上所述的方法中的任一方法。

根据本发明的认证方案，根据认证级别确定认证方式，当认证场景涉及用户隐私等安全级别高的用户数据时，通过使用人脸识别技术，从用户的脸部信息中提取特征值来生成独一无二的通行证，并将人脸特征和用户在区块链上的社会关系作为传统密钥对(即，第一密钥和第二密钥)认证方式的强力补充，以进行三重交叉认证，进一步保障了在高安全级别下用户数据的安全。同时，考虑到一般的用户终端上都具备摄像头，因此人脸图像便于获取，相较于传统的私钥接入方式，根据本发明的认证方案能够真正达到易用性与安全性的双重保证。

附图说明

为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。

图1示出了根据本发明一个实施例的计算设备100的构造示意图；

图2示出了根据本发明一个实施例的区块链网络200的场景示意图；

图3示出了根据本发明一个实施例的认证方法300的流程图；

图4示出了根据本发明一个实施例的智能合约区块链的示意图；

图5示出了根据本发明另一个实施例的认证方法300的流程图；以及

图6示出了根据本发明再一个实施例的认证方法300的流程图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1是示例计算设备100的框图。在基本的配置102中，计算设备100典型地包括***存储器106和一个或者多个处理器104。存储器总线108可以用于在处理器104和***存储器106之间的通信。

取决于期望的配置，处理器104可以是任何类型的处理器，包括但不限于：微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器104可以包括诸如一级高速缓存110和二级高速缓存112之类的一个或者多个级别的高速缓存、处理器核心114和寄存器116。示例的处理器核心114可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器118可以与处理器104一起使用，或者在一些实现中，存储器控制器118可以是处理器104的一个内部部分。

取决于期望的配置，***存储器106可以是任意类型的存储器，包括但不限于：易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。***存储器106可以包括操作***120、一个或者多个应用122以及程序数据124。在一些实施方式中，应用122可以布置为在操作***上利用程序数据124进行操作。在一些实施例中，计算设备100被配置为执行认证方法300，程序数据124中就包含了用于执行该方法300的指令。

计算设备100还可以包括有助于从各种接口设备(例如，输出设备142、外设接口144和通信设备146)到基本配置102经由总线/接口控制器130的通信的接口总线140。示例的输出设备142包括图形处理单元148和音频处理单元150。它们可以被配置为有助于经由一个或者多个A/V端口152与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口144可以包括串行接口控制器154和并行接口控制器156，它们可以被配置为有助于经由一个或者多个I/O端口158和诸如输入设备(例如，键盘、鼠标、笔、语音输入设备、图像输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备146可以包括网络控制器160，其可以被布置为便于经由一个或者多个通信端口164与一个或者多个其他计算设备162通过网络通信链路的通信。

网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块，并且可以包括任何信息递送介质。“调制数据信号”可以是这样的信号，它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例，通信介质可以包括诸如有线网络或者专线网络之类的有线介质，以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。

计算设备100可以实现为包括桌面计算机和笔记本计算机配置的个人计算机，或者是具有上述配置的服务器。当然，计算设备100还可以实现为小尺寸便携(或者移动)电子设备的一部分，这些电子设备可以是诸如蜂窝电话、数码照相机、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。本发明的实施例对此不作限制。

在根据本发明的一个实施方式中，计算设备100被实现为布置在区块链网络200中的服务器，且通过网络与至少一个用户终端相连。如图2示出了根据本发明实施例的区块链网络200的场景示意图。在区块链网络200中包含多个计算设备100，每个计算设备100作为该网络200中的一个节点，存储区块链账户等信息。同时，计算设备100又通过无线或有线网络(如LTE、3G、GSM网络、GPRS网络、EDGE网络、Wi-Fi或WiMax网络以及Bluebooth^TM网络)与多个用户终端210相连，以便于通过区块链网络200为现实世界提供社交、金融、医疗等应用服务。

需要说明的是，图2中关于计算设备100和用户终端210的数量均仅作为示例，本发明对此不作限制。

在实际应用中，区块链网络的账户体系薄弱，缺乏与现实世界的对应身份。因为无法验证其数字世界的资产属于现实中的个人，难以与现实的社会服务网络对接起来，这就成了阻碍区块链落地到现实应用中的关键。尤其是在金融、教育、医疗等需要强身份认证的行业，身份认证就显得尤其重要。因此，数字世界的区块链要打通现实世界的应用场景，就需要引入用户身份验证(KYC)，以证明“在区块链网络中的区块链账户a属于用户A”。根据本发明的实现方式，提供了一种基于区块链网络200的认证方法300，利用区块链网络不可篡改的特性，实现了在区块链网络200中的用户身份认证，然后通过该区块链网络200为现实世界提供各种应用。

下文将围绕图3详细介绍根据本发明一个实施例的认证方法300的执行流程。

方法300始于步骤S310，响应于来自用户终端210的注册区块链账户的请求，获取用户的人脸图像及社会关系生成该用户的智能合约，并将该智能合约发送到区块链网络200。

根据本发明的一个实施例，当用户A在用户终端210上注册区块链账户a时，在用户终端210上通过随机算法生成该用户A的第一密钥和第二密钥，并发送注册区块链账户的请求给计算设备100，该请求中可包含用户A的第一密钥。应当注意的是，第二密钥作为用户的私钥，仅存储在用户的用户终端上。可选地，采用RSA算法生成用户A的一对密钥(即，第一密钥和第二密钥)。RSA的算法涉及三个参数：n、e1、e2。其中，n是两个大质数p、q的积，n的二进制表示时所占用的位数，就是所谓的密钥长度，e1和e2是一对相关的值，首先确定e1，e1的值只要满足e1与(p-1)*(q-1)互质即可；然后再确定e2，要求(e2×e1)≡1(mod(p-1)×(q-1))。最后，(n，e1)，(n，e2)就是一对密钥，且(n，e1)为公钥(即，第一密钥)，(n，e2)为私钥(即，第二密钥)。需要说明的是，本发明技术领域内的技术人员应当熟知利用RSA算法生成一对密钥的方法，此处不再做进一步展开。且本发明的实施例对生成第一密钥和第二密钥的随机算法不作限制，在另一个实施例中，可以通过椭圆曲线密码来生成用户A的第一密钥和第二密钥(即，公钥和私钥)。任何已知的或将来可知的加密算法均可以与本发明的实施例相结合，以执行方法300。

处于区块链网络200中的计算设备100获取到用户A的第一密钥后，接着向用户终端210发送指令，获取用户A的人脸图像，并在计算设备100上生成该人脸图像对应的人脸特征。根据本发明的一种实现方式，通过如下方式实现从人脸图像中提取人脸特征。首先，将用户的人脸图像划分成多个小的连通区域，即，将人脸图像划分成多个图像块。例如，将人脸图像横向地划分成几个图像块，每个图像块就代表一个特征。然后，计算每个图像块中各像素点的梯度或边缘的方向直方图。计算图像梯度或边缘的方法可采用一般的差分方式，也可以直接选用Sobel、拉普拉斯等算子，本发明的实施例对此不作限制。最后，将每个图像块的方向直方图组合得到能表征人脸多个维度特征的人脸特征。

当然，也可以通过其他方式提取人脸图像的特征作为其对应的人脸特征，例如通过深度学习方法，训练人脸特征提取模型，以提取不同人脸图像的特征。本发明的实施例对此不作限制。

处于区块链网络200中的计算设备100还会获取用户A的社会关系。可选地，社会关系包含用户A的至少一个信任好友或亲属。根据一种实现方式，可通过布置在用户终端210上的输入接口，由用户A在用户终端210上输入(或选择)至少一个自己的信任好友或亲属。根据又一种实现方式，可通过采集用户A的行为日志来分析出用户A的强社交关系(如亲属、好友等)。取决于期望的实现方式，本发明的实施例对此均不作限制。

在获取用户A的信任好友后，计算设备100需要获取信任好友的第一密钥。信任好友的用户终端根据如上所述的随机算法生成第一密钥和第二密钥，其中，第二密钥作为信任好友的私钥，仅存储在信任好友的用户终端上。可选地，计算设备100继续向用户终端210发送指令，指示用户终端210索取信任好友的第一密钥给计算设备100。或者，计算设备100也可以直接向信任好友的用户终端发送请求，获取信任好友的第一密钥。又或者，计算设备100也可以获取信任好友的区块链账户，然后在区块链网络200中查询信任好友的区块链账户的第一密钥。

最后，计算设备100将获取到的用户A的第一密钥、用户A的人脸特征和用户A的至少一个信任好友的第一密钥一并写入用户A的智能合约。

根据本发明一个实施例的智能合约区块链的示意图如图4所示。图4中示出了2个区块的智能合约，其中，“智能合约记录1”就表示用户在注册区块链账户时所生成的智能合约。如上文所述，其存储内容表示为：“第一密钥+人脸特征+信任好友1的第一密钥+信任好友2的第一密钥+信任好友3的第一密钥……”。

每隔一个共识时间段，区块链网络200的节点(即，计算设备100)生成这段时间内的合约集，并计算合约集的哈希值(HASH值)，根据这个合约集的HASH值组装成一个如图4所示的区块结构，发送到全网的其他节点。智能合约通过点对点(P2P)的方式在区块链网络200中扩散。

另外，根据本发明的另一种实现方式，当满足智能合约的触发条件时，计算设备100会更改用户的智能合约，并将更改后的智能合约再次发送到区块链网络200。智能合约的触发条件通过“交易”产生，例如，用户要更改或增加信任好友，或用户要重新采集人脸图像或修改第一密钥，均可作为触发条件，触发计算设备100更改用户的智能合约，更改后的智能合约作为一条新的交易记录存储在如图4所示的智能合约记录中。

随后在步骤S320中，响应于来自用户终端的认证请求，确定该认证请求的预设认证方式。

当用户要使用来自区块链网络200的服务或应用时，首先需要通过用户终端210发送认证请求至计算设备100，根据一个实施例，该认证请求中除了包含用户名、区块链账户名外，还可以包含该认证请求对应的安全级别。计算设备100在接收到认证请求后，从中获取该认证请求对应的安全级别，再根据安全级别确定对应的预设认证方式。其中，预设认证方式包括与高安全级别关联的第一认证方式、与中安全级别关联的第二认证方式和与低安全级别关联的第三认证方式。如表1示出了几种不同安全级别下对应的认证场景。

表1不同安全级别对应的认证场景

安全级别	认证场景
		高安全级别	大宗资金交易、多人共有财产……
中安全级别	一般的支付认证、……
		低安全级别	预约挂号、餐厅订位、社交分享、……

如表1可见，在根据本发明的实施例中，高安全级别通常涉及对用户隐私极其敏感的认证场景，如与大笔金额支付相关的操作；中安全级别(或称为一般安全级别)涉及对用户隐私一般敏感的认证场景，如日常支付认证时输入支付密码；而低安全级别仅涉及对用户隐私不敏感的用户一般信息，如用户到饭店就餐时，通过获取个人爱好信息为用户推荐食谱。

在根据本发明的另一些实施例中，高安全级别可能涉及到多人共同账户的场景，例如几个用户共同的比特币账户，在这种认证场景下，会将这几个用户相互写入对方的智能合约中，作为用户的一种社会关系，而后，当涉及到对共同的比特币账户进行操作时，执行高安全级别对应的认证过程。

当判断该认证请求的预设认证方式为第一认证方式时，随后在步骤S332中，从用户终端210实时采集用户的人脸图像。根据本发明的实施方式，通过用户终端210上的摄像头实时采集用户的人脸图像，并传送给计算设备100。

随后在步骤S342中，根据智能合约中的人脸图像对所采集的人脸图像进行匹配。根据本发明的一个实施例，先根据步骤S332所得到的人脸图像生成用户的人脸特征；然后，计算所生成的人脸特征与智能合约中存储的人脸特征的相似度，当相似度不小于第一阈值(在根据本发明的一个实施例中，第一阈值设为0.9)时，确认匹配一致。关于特征相似度的计算方法，本领域技术人员可根据实际场景选取合适的算法，此处不作限制。当然，也可以通过相似度距离来度量所生成的人脸特征与智能合约中存储的人脸特征的相似度，此时，当距离值小于第二阈值时，确认匹配一致。

随后在步骤S352中进行第一签名认证。具体而言，当人脸特征匹配一致时，对第一密钥和在该用户终端210上存储的第二密钥进行签名验证，即，计算设备100和用户终端210通过签名算法分别计算第一密钥和第二密钥的签名信息，而后，用户终端210将第二密钥的签名信息发送给计算设备100，由计算设备100检查第一密钥和第二密钥的签名信息是否合法，若验证合法，则第一签名认证通过。

随后在步骤S362中根据智能合约中的社会关系进行第二签名认证。具体地，获取智能合约中至少一个信任好友的第一密钥，对至少一个信任好友的第一密钥和对应存储在信任好友的用户终端上的第二密钥进行签名认证。第二签名认证的具体过程同步骤S352中第一签名认证的过程，此处不予赘述。

当第二签名认证通过时，在步骤S372中，确认认证成功。用户可通过区块链网络200来使用相应服务或应用。

在当前的区块链应用中，主要通过使用私钥的形式来进行身份认证。由数学证明的难以破解的一串数字来保证用户数字资产的安全，一旦丢失基本无法找回。根据本发明的认证方案，根据认证级别确定认证方式，当认证场景涉及用户隐私等安全级别高的用户数据时，通过使用人脸识别技术，从用户的脸部信息中提取特征值来生成独一无二的通行证，并将人脸特征和用户在区块链上的社会关系作为传统密钥对(即，第一密钥和第二密钥)认证方式的强力补充，以进行三重交叉认证，进一步保障了在高安全级别下用户数据的安全。同时，考虑到一般的用户终端上都具备摄像头，因此人脸图像便于获取，相较于传统的私钥接入方式，根据本发明的认证方案能够真正达到易用性与安全性的双重保证。

根据本发明的另一种实施方式，认证方法300还包括在第二认证方式下的认证流程，如图5所示。在步骤S320之后，当判断认证请求的预设认证方式为第二认证方式时，执行步骤S334，从用户终端210实时采集用户的人脸图像。根据本发明的实施方式，通过用户终端210上的摄像头实时采集用户的人脸图像，并传送给计算设备100。

随后在步骤S344中，根据智能合约中的人脸图像对所采集的人脸图像进行匹配。如前文所述，先根据步骤S334所得到的人脸图像生成用户的人脸特征；然后，计算所生成的人脸特征与智能合约中存储的人脸特征的相似度，当相似度不小于第一阈值(在根据本发明的一个实施例中，第一阈值设为0.9)时，确认匹配一致。关于特征相似度的计算方法，本领域技术人员可根据实际场景选取合适的算法，此处不作限制。当然，也可以通过相似度距离来度量所生成的人脸特征与智能合约中存储的人脸特征的相似度，此时，当距离值小于第二阈值时，确认匹配一致。

随后在步骤S354中进行第一签名认证。具体而言，当人脸特征匹配一致时，对第一密钥和在该用户终端210上存储的第二密钥进行签名验证，即，计算设备100和用户终端210通过签名算法分别计算第一密钥和第二密钥的签名信息，而后，用户终端210将第二密钥的签名信息发送给计算设备100，由计算设备100检查第一密钥和第二密钥的签名信息是否合法，若验证合法，则第一签名认证通过。

随后在步骤S364中，确认认证成功。

根据本发明的认证方案，根据认证级别确定认证方式，当认证场景对用户隐私一般敏感时，认为用户操作属于中安全级别，此时，通过使用人脸识别技术，从用户的脸部信息中提取特征值来生成独一无二的通行证，用来进行身份认证。并在身份认证通过后，再认证用户的传统密钥对(第一密钥和第二密钥)，相较于传统的身份认证方式，根据本发明的方案保障了在中安全级别下用户数据的安全。同时，鉴于这种认证场景对用户隐私不是十分敏感，故只需要进行双重认证，不用针对用户的社会关系进行第二签名认证，以节约流程成本。

根据本发明的再一种实施方式，认证方法300还包括在第三认证方式下的认证流程，如图6所示。在步骤S320之后，当判断认证请求的预设认证方式为第三认证方式时，执行步骤S336，从用户终端210实时采集用户的人脸图像。根据本发明的实施方式，通过用户终端210上的摄像头实时采集用户的人脸图像，并传送给计算设备100。

随后在步骤S346中，根据智能合约中的人脸图像对所采集的人脸图像进行匹配。如前文所述，先根据步骤S336所得到的人脸图像生成用户的人脸特征；然后，计算所生成的人脸特征与智能合约中存储的人脸特征的相似度，当相似度不小于第一阈值(在根据本发明的一个实施例中，第一阈值设为0.9)时，确认匹配一致。关于特征相似度的计算方法，本领域技术人员可根据实际场景选取合适的算法，此处不作限制。当然，也可以通过相似度距离来度量所生成的人脸特征与智能合约中存储的人脸特征的相似度，此时，当距离值小于第二阈值时，确认匹配一致。

随后在步骤S356中确认认证成功。

根据本发明的认证方案，根据认证级别确定认证方式，当认证场景不涉及用户敏感操作(如，支付)和用户隐私时，认为用户操作属于低安全级别低，此时，通过使用人脸识别技术，从用户的脸部信息中提取特征值来生成独一无二的通行证，用来进行身份认证。相较于传统的身份认证方式，根据本发明的方案实现了覆盖不同安全级别的验证效果。

应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中，或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

这里描述的各种技术可结合硬件或软件，或者它们的组合一起实现。从而，本发明的方法和设备，或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介，例如软盘、CD-ROM、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式，其中当程序被载入诸如计算机之类的机器，并被所述机器执行时，所述机器变成实践本发明的设备。

在程序代码在可编程计算机上执行的情况下，计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)，至少一个输入装置，和至少一个输出装置。其中，存储器被配置用于存储程序代码；处理器被配置用于根据该存储器中存储的所述程序代码中的指令，执行本发明所述的方法。

以示例而非限制的方式，计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据，并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。

本发明一并公开了：

A9、如A4所述的方法，其中，用户的第一密钥和第二密钥通过随机算法在用户终端上生成。

A10、如A4或6所述的方法，其中，获取用户的人脸图像并生成人脸特征的步骤包括：获取用户的人脸图像并将该人脸图像划分成多个图像块；计算每个图像块中各像素点的梯度或边缘的方向直方图；以及将每个图像块的方向直方图组合得到人脸特征。

A11、如A1-10中任一项所述的方法，在生成该用户的智能合约之后，还包括步骤：当满足智能合约的触发条件时，更改用户的智能合约，并将更改后的智能合约发送到区块链网络。

此外，所述实施例中的一些在此被描述成可以由计算机***的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此，具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外，装置实施例的在此所述的元素是如下装置的例子：该装置用于实施由为了实施该发明的目的的元素所执行的功能。

如在此所使用的那样，除非另行规定，使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例，并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。

尽管根据有限数量的实施例描述了本发明，但是受益于上面的描述，本技术领域内的技术人员明白，在由此描述的本发明的范围内，可以设想其它实施例。此外，应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims (10)

1.一种认证方法，所述方法适于在计算设备中进行，所述计算设备作为一个节点布置在区块链网络中，且与至少一个用户终端相连，所述方法包括步骤：

响应于来自用户终端的注册区块链账户的请求，获取用户的人脸图像及社会关系生成该用户的智能合约，并将该智能合约发送到区块链网络；

响应于来自用户终端的认证请求，确定该认证请求的预设认证方式；

当该认证请求的预设认证方式为第一认证方式时，从用户终端采集用户的人脸图像；

根据所述智能合约中的人脸图像对所采集的人脸图像进行匹配；

若匹配一致则进行第一签名认证；

若第一签名认证通过则根据所述智能合约中的社会关系进行第二签名认证；以及

若第二签名认证通过，则确认认证成功。

2.如权利要求1所述的方法，还包括步骤：

当该认证请求的预设认证方式为第二认证方式时，从用户终端采集用户的人脸图像；

根据所述智能合约中的人脸图像对所采集的人脸图像进行匹配；

若匹配一致则进行第一签名认证；以及

若第一签名认证通过则确认认证成功。

3.如权利要求1或2所述的方法，还包括步骤：

当该认证请求的预设认证方式为第三认证方式时，从用户终端采集用户的人脸图像；

根据所述智能合约中的人脸图像对所采集的人脸图像进行匹配；以及

若匹配一致则确认认证成功。

4.如权利要求1-3中任一项所述的方法，其中，所述响应于来自用户终端的注册区块链用户的请求，获取用户的人脸图像及社会关系生成该用户的智能合约的步骤包括：

响应于来自用户终端的注册区块链用户的请求，获取该用户的第一密钥，其中该用户终端上存储有与该第一密钥对应的第二密钥；

获取用户的人脸图像并生成人脸特征；

获取用户的社会关系，其中所述社会关系包含至少一个信任好友；

根据用户的社会关系获取至少一个信任好友的第一密钥，其中信任好友的用户终端上存储有与其第一密钥对应的第二密钥；以及

根据所述用户的第一密钥、人脸特征和至少一个信任好友的第一密钥生成该用户的智能合约。

5.如权利要求1-4中任一项所述的方法，其中，所述响应于来自用户终端的认证请求，确定该认证请求的预设认证方式的步骤包括：

响应于来自用户终端的认证请求，获取该认证请求对应的安全级别；

根据所述安全级别确定对应的预设认证方式，其中所述预设认证方式包括与高安全级别关联的第一认证方式、与中安全级别关联的第二认证方式和与低安全级别关联的第三认证方式。

6.如权利要求4所述的方法，其中，采集用户的人脸图像并根据智能合约中的人脸图像对所获取的人脸图像进行匹配的步骤包括：

获取用户的人脸图像并生成人脸特征；

计算所生成的人脸特征与所述智能合约中的人脸特征的相似度；

若相似度不小于第一阈值，则确认匹配一致。

7.如权利要求4所述的方法，其中，所述若匹配一致则进行第一签名认证的步骤包括：

当人脸图像匹配一致时，对所述第一密钥和在该用户终端上存储的第二密钥进行签名验证。

8.如权利要求4所述的方法，其中，所述若第一签名认证通过则根据所述智能合约中的社会关系进行第二签名认证的步骤包括：

当第一签名认证通过时，获取智能合约中至少一个信任好友的第一密钥；

对至少一个信任好友的第一密钥和对应存储在信任好友的用户终端上的第二密钥进行签名认证。

9.一种计算设备，包括：

一个或多个处理器；和

存储器；

一个或多个程序，其中所述一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序包括用于执行根据权利要求1-8所述方法中的任一方法的指令。

10.一种存储一个或多个程序的计算机可读存储介质，所述一个或多个程序包括指令，所述指令当计算设备执行时，使得所述计算设备执行根据权利要求1-8所述的方法中的任一方法。