[发明专利]一种身份识别及认证方法

说明书

本发明涉及一种身份识别及认证方法，包括：初始化设置：针对首次登录系统的用户，录入人脸特征值保存到本地配置文件或本地数据库中；普通登录阶段，系统检测是否能够获取到人脸信息，以及，本地配置文件或本地数据库中是否存在已录入的人脸特征信息，优先使用人脸识别登录方式登录；在人脸识别登录方式登录的情况下，人脸识别认证模块从捕捉到的人脸图像中获取特征值，与已存储的特征值数据进行对比，比对成功后，从本地配置文件或本地数据库中获取到用户信息并登录；后续监测阶段：人脸识别认证持续地每间隔预定时间获取人脸信息，在监测到当前终端系统使用者发生变化时退出到登录界面，或在预定时间段未识别到人脸时，将系统进入锁屏状态。

技术领域

本发明涉及信息安全技术领域，具体涉及一种身份识别及认证方法。

背景技术

随着信息化技术的不断发展，政府、军队、军工企业等机关单位都组建了内部信息系统，信息系统建设给这些单位带来了很多便利，如资源共享、办公自动化以及方便的信息传递等等，极大地提高了工作效率。但同时也使得分布在各主机中的涉密电子信息资源处于一种高风险的状态。

个人主机往往缺乏保护措施，无法有效防止个人主动或被动泄密，例如主机密码他人意外获取，主机在使用结束后没有进行关机、锁屏操作。在一些企业内部的数据存储、备份的主机上，经常会有多人共用一台主机的情况，数据安全隐患增大，如果涉密信息一旦丢失，对国家、企业造成的损失是不可估量的，涉密电子信息安全管理问题不容忽视。

在个人终端常用的安全防护机制包括身份认证登录系统，控制存储、移动设备的使用、安全员人工管理个人主机以及远程服务器监控终端使用情况。个人终端的登录方式通常使用人脸识别、指纹识别、账号密码或其他身份检测设备登录系统。

当使用账号密码登录系统时，登录服务程序会先将输入的密码进行加密，然后与保存在/etc/passwd 文件中对应帐号的加密口令进行比较，如果比较通过则执行pam_permit模块通过认证，否则执行pam_deny模块拒绝用户登录。这种方法只有在用户主动修改密码时密码才会改变，如果频繁修改密码会影响用户体验，但长时间不修改密码又会增加信息泄露风险。同时密码的复杂程度对信息的安全防护也有着至关重要的影响，如果密码过于简单，很容易被非法用户“暴力”破解；如果密码过于复杂，不便于用户记忆，浪费用户时间。

如果使用人脸识别、指静脉登录系统，登录服务程序会将人脸摄像头、指静脉提取到的特征值，与保存在数据库中的人脸、指静脉特征值进对比，比对成功后执行pam_permit模块通过认证，否则执行pam_deny模块拒绝用户登录。这种方式可以在一定程度上防止密码泄露，但是当用户登录成功后，当前使用的账号有效期会一直持续到下一次执行关机、锁屏操作之前，系统无法判断当前主机的使用人员是否是账号的持有者。如果定时让使用者进行身份识别、认证，认证时间间隔设置过短会影响使用者的工作效率，影响用户体验。如果认证时间间隔过长，会提高信息泄露风险；远程服务器监控也只能在网络连接正常的情况下，监测系统资源的使用情况。

发明内容

为解决已有技术存在的不足，本发明提供了一种身份识别及认证方法，包括如下步骤：

步骤S1，初始化设置：针对首次登录系统的用户，由管理员登录系统并录入管理员或其他普通用户的人脸信息，系统将人脸特征值保存到本地配置文件或本地数据库中，每个人脸对应一名用户；

步骤S2，普通登录阶段，包括如下步骤：

步骤S21：普通用户登录时，系统检测是否能够获取到人脸信息，如果检测到人脸信息，优先使用人脸识别登录方式登录；如果不存在人脸特征信息，则切换为管理员帐号和密码方式登录；

步骤S22：在人脸识别登录方式登录的情况下，人脸识别认证模块从捕捉到的人脸图像中获取特征值，与已存储的特征值数据进行对比，比对成功后，从本地配置文件或本地数据库中获取到用户信息，并登录；