[发明专利]一种基于人证合一的UMA服务的方法、装置和系统

说明书

本发明公开了一种基于人证合一的UMA服务的方法、装置和系统，当资源申请者访问资源时，授权服务器根据资源申请者上传的头像照片，通过人证合一比对判断是否为注册用户本人，如果是，再根据资源授权策略获得申请者提供的访问证明，判断访问证明是否符合要求，如果符合要求，则表示已授权，如果不是注册用户本人或者访问证明不符合要求则未授权；授权服务器使用私钥签发包括授权结果的访问令牌给资源申请者的客户端；所述访问令牌用于提供给资源服务器通过公钥验签，如通过验签且已经授权，则资源被发送给资源申请者。本发明确保用户是合法用户并且一定是注册用户本人，不容易伪造和篡改，有效地保证了授权的安全性。

技术领域

本发明涉及互联网和移动通信技术领域，具体涉及一种基于人证合一的UMA服务的方法、装置和系统。

背景技术

OAuth是一个安全协议，用于保护全球范围内大量且在不断增长的 Web API。OAuth 是一个委托协议，提供跨系统授权的方案，用可用性和安全性更高的委托协议取代了密码共享反模式。它用于连接不同的网站，还支持原生应用和移动应用与云服务之间的连接。它是各领域标准协议中的安全层，覆盖了从医疗到身份管理，从能源到社交网络的广阔应用领域。OAuth 已成为当今 Web 上占主导地位的安全手段。OAuth不是身份认证框架，但是可以加入身份认证使OAuth更加安全。

UMA（ User Managed Access）是一个基于 OAuth 2.0 构建的协议，它让资源拥有者能够利用授权服务器对其资源的访问进行更丰富的控制。访问资源的客户端可能是受资源拥有者控制的，也可能是受其他用户控制的。UMA 协议基于 OAuth 2.0 构建的主要功能：用户对用户的授权。

人脸识别是基于人的面部特征信息进行身份识别的一种生物识别技术，主要工作就是对人脸图像进行预处理然后提取特征值，然后通过特征值比对确认身份。该技术目前已经很成熟，应用广泛。

身份证件OCR识别技术，OCR（Optical Character Recognition，光学字符识别）是指通过检测暗、亮的模式确定其形状，然后用字符识别方法将形状翻译成计算机文字的过程。可以利用该技术提取身份证件上的姓名，身份证号，头像图片等信息。

专利申请号：201510493553.X，公开了一种基于生物识别的OAuth服务，包括步骤：用户在 OAuth 的系统服务平台注册；

系统服务平台向外部开放OAuth 服务；用户访问第三方应用，选择通过 OAuth 系统服务平台进行授权；OAuth 系统服务平台确定提供授权的目标智能终端；OAuth 系统服务平台将用户的授权请求路由到目标智能终端；用户在智能终端上选择是否同意授权，如同意，则在智能终端采集生物识别信息，如选择拒绝或不做任何操作则为拒绝授权；系统根据采集和识别的结果，判断是否为注册用户的生物识别信息，系统服务平台获取用户的识别结果或拒绝授权的操作后，指示第三方应用对应的平台授权结果。

在上述专利中的授权业务流程中，存在以下几个缺点：

（1）无法对其他用户授权

只能通过系统服务平台对第三方应用授权，而且资源的拥有者只能是用户自己，当我们需要访问的资源需要其他用户授权时，该方案无法满足要求。

（2）对智能终端安全防护能力要求高

由于生物识别和对比都是在智能终端上进行，因此智能终端的对生物特征数据的存储和传输有安全需求，而目前市场上市场份额较高的是Android智能终端，大多数Android智能终端安全防护能力并不高，而且很容易被root和安装恶意应用。

（3）无法确认用户的合法身份

只能保证注册和使用为同一用户，但是此用户是否为合法用户无法保证，在很多使用场景中，需要判断用户是否为合法用户，例如酒店，学校，银行，公司等。

发明内容