人脸数据采集、验证的方法、设备及系统技术方案

本申请提供了一种人脸数据采集、验证的方案，该方案中采集设备在采集到人脸样本后，将人脸样本与包含随机数的校验数据一起构成待签名数据，使用设备私钥进行签名获得人脸数据签名，进而根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书获得可信人脸数据。人脸识别服务器在对采集设备生成的可信人脸数据进行验证时，依次对包含设备公钥的数字证书、人脸数据签名以及校验数据进行验证，在通过这些验证之后，即完成验证的过程，从而可将人脸样本进行业务处理。由于该方案在采集设备上就对人脸样本添加了用于校验的内容，即时传输的通讯报文被攻击者替换，也无法通过后续的验证，因此从采集源头上防止了重放攻击。

Method, equipment and system of face data collection and verification

【技术实现步骤摘要】
人脸数据采集、验证的方法、设备及系统
本申请涉及信息
，尤其涉及一种人脸数据采集、验证的方法、设备及系统。
技术介绍
随着信息技术的发展，越来越多的场景中会使用到人脸识别技术。在使用人脸识别技术时，首先需要采集人脸数据，然后将采集到的人脸数据发送给处理设备中进行人脸识别。该上述过程中存在着人脸数据重放攻击风险，即攻击者使用此前交易中截获的人脸数据，或者在其他渠道获取的用户人脸数据，在人脸识别的通讯报文中进行替换，从而伪冒用户达到欺骗识别设备的目的。目前的解决方案一般是通过对报文完整性的保护来进行防范，如使用报文签名或者计算报文MAC(MediaAccessControl，介质访问控制)地址的方式，但是此种并不能从采集源头上防止重放攻击，仍然存在一定的安全风险。申请内容本申请的一个目的是提供一种人脸数据采集、验证的方案，用以解决现有方案中无法从采集源头上防止了重放攻击的问题。本申请实施例提供了一种人脸数据采集方法，所述方法包括：采集设备获取由人脸识别服务器生成的、对应于本次人脸数据采集的随机数，并采集人脸样本；所述采集设备将所述人脸样本和校验数据作为待签名数据，并使用预先为所述采集设备分配的设备私钥进行签名，获得人脸数据签名，其中，所述校验数据包括所述随机数；所述采集设备根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书，获得可信人脸数据。本申请实施例还提供了一种人脸数据验证方法，所述方法包括：人脸识别服务器生成对应于本次人脸数据采集的随机数，并将其提供给采集设备，以使所述采集设备生成包含所述随机数的可信人脸数据；所述人脸识别服务器获取由采集设备生成的可信人脸数据，其中，所述可信人脸数据包括待签名数据、人脸数据签名和包含设备公钥的数字证书，所述待签名数据包括所述采集设备采集到的人脸样本和校验数据，所述校验数据包括所述随机数，所述人脸数据签名由采集设备使用预先为所述采集设备分配的设备私钥进行签名获得；所述人脸识别服务器对包含设备公钥的数字证书进行证书验证；在通过证书验证后，所述人脸识别服务器使用所述数字证书中的设备公钥对人脸数据签名进行签名验证；在通过签名验证后，所述人脸识别服务器对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证。本申请实施例还提供了一种人脸数据采集和验证的方法，该方法包括：人脸识别服务器生成对应于本次人脸数据采集的随机数，并将其提供给采集设备；采集设备获取所述随机数，并采集人脸样本；所述采集设备将所述人脸样本和校验数据作为待签名数据，并使用预先为所述采集设备分配的设备私钥进行签名，获得人脸数据签名，其中，所述校验数据包括所述随机数；所述采集设备根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书，获得可信人脸数据；所述人脸识别服务器获取由采集设备生成的可信人脸数据，并对所述可信人脸数据中包含设备公钥的数字证书进行证书验证；在通过证书验证后，所述人脸识别服务器使用所述数字证书中的设备公钥对人脸数据签名进行签名验证；在通过签名验证后，所述人脸识别服务器对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证。本申请实施例还提供了一种用于人脸数据采集的采集设备，所述采集设备包括：数据接收装置，用于获取由人脸识别服务器生成的、对应于本次人脸数据采集的随机数；视频采集模块，用于采集人脸样本；人脸输出模块，用于将人脸样本和校验数据作为待签名数据，使用预先为所述采集设备分配的设备私钥进行签名，获得人脸数据签名，并根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书，获得可信人脸数据，其中，所述校验数据包括所述随机数。本申请实施例还提供了一种用于人脸数据验证的人脸识别服务器，其中，所述人脸识别服务器包括：数据收发模块，用于将对应于本次人脸数据采集的随机数提供给采集设备，以使所述采集设备生成包含所述随机数的可信人脸数据；以及获取由采集设备生成的可信人脸数据，其中，所述可信人脸数据包括待签名数据、人脸数据签名和包含设备公钥的数字证书，所述待签名数据包括所述采集设备采集到的人脸样本和校验数据，所述校验数据包括所述随机数，所述人脸数据签名由采集设备使用预先为所述采集设备分配的设备私钥进行签名获得；数据处理模块，用于生成所述随机数，对包含设备公钥的数字证书进行证书验证，在通过证书验证后，使用所述数字证书中的设备公钥对人脸数据签名进行签名验证；在通过签名验证后，对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证。本申请实施例还提供了一种用于人脸数据采集和验证的系统，该系统包括：采集设备，用于获取对应于本次人脸数据采集的随机数，并采集人脸样本；将所述人脸样本和校验数据作为待签名数据，并使用预先为所述采集设备分配的设备私钥进行签名，获得人脸数据签名，所述校验数据包括所述随机数；以及根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书，获得可信人脸数据；人脸识别服务器，用于人脸识别服务器生成所述随机数，并将其提供给采集设备；获取由采集设备生成的可信人脸数据，并对所述可信人脸数据中包含设备公钥的数字证书进行证书验证；在通过证书验证后，使用所述数字证书中的设备公钥对人脸数据签名进行签名验证；以及在通过签名验证后，对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证。本申请实施例还提供了一种计算设备，该设备包括用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发所述设备执行所述的方法。此外，本申请实施例还提供了一种计算机可读介质，其上存储有计算机程序指令，所述计算机可读指令可被处理器执行以实现所述的方法。本申请实施例提供的方案中，采集设备在采集到人脸样本后，将人脸样本与包含随机数的校验数据一起构成待签名数据，使用设备私钥进行签名获得人脸数据签名，进而根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书获得可信人脸数据。人脸识别服务器在对采集设备生成的可信人脸数据进行验证时，依次对包含设备公钥的数字证书、人脸数据签名以及校验数据进行验证，在通过这些验证之后，即完成验证的过程，从而可将人脸样本进行业务处理。由于该方案在采集设备上就对人脸样本添加了用于校验的内容，其中包含的随机数仅对应于本次人脸数据采集，有效提高了安全性，即时传输的通讯报文被攻击者替换，也无法通过后续的验证，因此从采集源头上防止了重放攻击。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：图1为本申请实施例中采集设备在实现人脸数据采集方法时的处理流程图；图2为本申请实施例中可信人脸数据的一种数据构成示意图；图3为本申请实施例提供的人脸识别服务器在实现人脸数据验证方法时的处理流程图；图4为采用本申请实施提供的方案实现人脸数据采集和验证时各方设备之间的交互流程图；图5为本申请实施例提供的一种人脸数据采集和验证的方法的处理流程图；图6为本申请实施例提供的另一种人脸数据采集和验证的方法的处理流程图；图7为本申请实施例提供的一种计算设备的结构示意图；附图中本文档来自技高网...

【技术保护点】
1.一种人脸数据采集方法，其中，所述方法包括：采集设备获取由人脸识别服务器生成的、对应于本次人脸数据采集的随机数，并采集人脸样本；所述采集设备将所述人脸样本和校验数据作为待签名数据，并使用预先为所述采集设备分配的设备私钥进行签名，获得人脸数据签名，其中，所述校验数据包括所述随机数；所述采集设备根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书，获得可信人脸数据。

【技术特征摘要】
1.一种人脸数据采集方法，其中，所述方法包括：采集设备获取由人脸识别服务器生成的、对应于本次人脸数据采集的随机数，并采集人脸样本；所述采集设备将所述人脸样本和校验数据作为待签名数据，并使用预先为所述采集设备分配的设备私钥进行签名，获得人脸数据签名，其中，所述校验数据包括所述随机数；所述采集设备根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书，获得可信人脸数据。2.根据权利要求1所述的方法，其中，采集设备采集人脸样本，包括：采集设备采集人脸的原始样本；所述采集设备对所述原始样本进行质量评估和/或活体检测，将通过质量评估和/或活体检测的原始样本作为人脸样本。3.根据权利要求1所述的方法，其中，所述校验数据还包括预先为所述采集设备分配的设备标识。4.根据权利要求1所述的方法，其中，采集设备获取由人脸识别服务器生成的、对应于本次人脸数据采集的随机数，并采集人脸样本，包括：采集设备获取本地业务终端发送的采集调用指令和对应于本次人脸数据采集的随机数，其中，所述采集调用指令由所述本地业务终端在获取到用户发起的人脸识别业务请求后生成，所述随机数由所述人脸识别服务器生成，并由所述本地业务终端在获取到用户发起的人脸识别业务请求后向所述人脸识别服务器请求获取；采集设备根据所述采集调用指令采集人脸样本。5.根据权利要求1至4中任一项所述的方法，其中，该方法还包括：将所述可信人脸数据提供给人脸识别服务器，以使所述人脸识别服务器对所述可信人脸数据进行验证。6.一种人脸数据验证方法，其中，所述方法包括：人脸识别服务器生成对应于本次人脸数据采集的随机数，并将其提供给采集设备，以使所述采集设备生成包含所述随机数的可信人脸数据；所述人脸识别服务器获取由采集设备生成的可信人脸数据，其中，所述可信人脸数据包括待签名数据、人脸数据签名和包含设备公钥的数字证书，所述待签名数据包括所述采集设备采集到的人脸样本和校验数据，所述校验数据包括所述随机数，所述人脸数据签名由采集设备使用预先为所述采集设备分配的设备私钥进行签名获得；所述人脸识别服务器对包含设备公钥的数字证书进行证书验证；在通过证书验证后，所述人脸识别服务器使用所述数字证书中的设备公钥对人脸数据签名进行签名验证；在通过签名验证后，所述人脸识别服务器对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证。7.根据权利要求6所述的方法，其中，所述校验数据还包括预先为所述采集设备分配的设备标识；所述人脸识别服务器对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证，包括：所述人脸识别服务器对校验数据中包含的随机数与生成后保存的随机数进行比较，以及对校验数据中包含的设备标识与预先存储的、所述采集设备的设备标识进行比较，若两个比较结果均为相同，确认通过校验数据验证。8.根据权利要求6所述的方法，其中，人脸识别服务器生成对应于本次人脸数据采集的随机数，并将其提供给采集设备，包括：接收本地业务终端发送的随机数获取请求；根据所述随机数获取请求生成对应于本次人脸数据采集的随机数，并向所述本地业务终端返回所述随机数，以使所述本地业务终端将所述随机数提供给采集设备。9.一种人脸数据采集和验证的方法，其中，该方法包括：人脸识别服务器生成对应于本次人脸数据采集的随机数，并将其提供给采集设备；采集设备获取所述随机数，并采集人脸样本；所述采集设备将所述人脸样本和校验数据作为待签名数据，并使用预先为所述采集设备分配的设备私钥进行签名，获得人脸数据签名，其中，所述校验数据包括所述随机数；所述采集设备根据所述待签名数据、人脸数据签名和包含设备公钥的数字证书，获得可信人脸数据；所述人脸识别服务器获取由采集设备生成的可信人脸数据，并对所述可信人脸数据中包含设备公钥的数字证书进行证书验证；在通过证书验证后，所述人脸识别服务器使用所述数字证书中的设备公钥对人脸数据签名进行签名验证；在通过签名验证后，所述人脸识别服务器对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证。10.根据权利要求9所述的方法，其中，采集设备采集人脸样本，包括：采集设备采集人脸的原始样本；所述采集设备对所述原始样本进行质量评估和/或活体检测，将通过质量评估和/或活体检测的原始样本作为人脸样本。11.根据权利要求9所述的方法，其中，所述校验数据还包括预先为所述采集设备分配的设备标识；所述人脸识别服务器对校验数据中包含的随机数与生成后保存的随机数进行比较，基于相同的比较结果确认通过校验数据验证，包括：所...

【专利技术属性】
技术研发人员：孙曦，落红卫，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY