身份认证方法、装置、系统及电子设备

技术领域

本申请涉及网络技术领域，具体涉及一种身份认证方法、装置、系统及电子设备。

背景技术

云终端是一种新型的终端技术，云终端指的是将云计算技术运用于网络终端服务，通过云服务器实现云服务的终端设备。云终端在使用时，无需下载云端应用程序，应用程序可直接运行在云服务器中，云终端通过网络即可使用各个云端应用程序的功能。如何提高终端设备在使用云端应用程序的安全性成了当下热门的研究方向。

发明内容

本申请实施例公开了一种身份认证方法、装置、系统及电子设备，能够提高终端设备使用云端应用的安全性。

本申请实施例公开了一种身份认证方法，应用于云端服务器，所述方法包括：

接收云端应用发起的身份认证请求，所述云端应用运行在所述云端服务器；

根据所述身份认证请求向终端设备发送认证指令，所述认证指令用于指示所述终端设备进行用户身份认证，并根据认证结果生成目标信息；

接收所述终端设备发送的所述目标信息；

对所述目标信息进行处理，得到所述认证结果，并将所述认证结果返回给所述云端应用。

本申请实施例公开了一种身份认证方法，应用于终端设备，所述方法包括：

接收云端服务器发送的认证指令，其中，所述认证指令为所述云端服务器根据云端应用发起的身份认证请求生成的，所述云端应用运行在所述云端服务器；

根据所述认证指令对采集的用户身份信息进行用户身份认证，并根据认证结果生成目标信息；

将所述目标信息发送给所述云端服务器，所述目标信息用于在所述云端服务器进行处理，以得到所述认证结果，并通过所述云端服务器将所述认证结果返回给所述云端应用。

本申请实施例公开了一种身份认证装置，应用于云端服务器，所述装置包括：

请求接收模块，用于接收云端应用发起的身份认证请求，所述云端应用运行在所述云端服务器；

发送模块，用于根据所述身份认证请求向终端设备发送认证指令，所述认证指令用于指示所述终端设备进行用户身份认证，并根据认证结果生成目标信息；

信息接收模块，用于接收所述终端设备发送的所述目标信息；

结果返回模块，用于对所述目标信息进行处理，得到所述认证结果，并将所述认证结果返回给所述云端应用。

本申请实施例公开了一种身份认证系统，包括云端服务器及终端设备，其中，

所述云端服务器，用于接收云端应用发起的身份认证请求，并根据所述身份认证请求向终端设备发送认证指令，所述云端应用运行在所述云端服务器；

所述终端设备，用于根据所述认证指令对采集的用户身份信息进行用户身份认证，并根据认证结果生成目标信息，再将所述目标信息发送给所述云端服务器；

所述云端服务器，还用于接收所述终端设备发送的所述目标信息，并对所述目标信息进行处理，得到所述认证结果，再将所述认证结果返回给所述云端应用。

本申请实施例公开了一种电子设备，包括存储器及处理器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器实现如上所述的应用于云端服务器的方法。

本申请实施例公开了一种终端设备，包括存储器及处理器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器实现如上所述的应用于终端设备的方法。

本申请实施例公开的身份认证方法、装置、系统及电子设备，云端服务器接收云端应用发起的身份认证请求，根据该身份认证请求向终端设备发送认证指令，终端设备可根据该认证指令进行用户身份认证，并根据认证结果生成目标信息，再将目标信息发送至云端服务器，云端服务器可对终端设备发送的目标信息进行处理，得到认证结果，并将认证结果返回给云端应用，运行在云端服务器的云端应用可以通过终端设备正常地完成用户身份认证，且整个用户身份认证过程是在终端设备进行的，可以防止出现用户身份信息泄露的问题，提高了终端设备使用云端应用的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一个实施例中身份认证方法的应用场景图；

图2为一个实施例中身份认证方法的时序图；

图3为一个实施例中身份认证方法的流程图；

图4为另一个实施例中身份认证方法的流程图；

图5为另一个实施例中身份认证方法的应用场景图；

图6为一个实施例中终端设备输出提示信息的示意图；

图7为另一个实施例中身份认证方法的流程图；

图8为一个实施例中身份认证装置的框图；

图9为另一个实施例中身份认证装置的框图；

图10为一个实施例中电子设备的结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请实施例及附图中的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在相关的技术中，对于普通的终端设备，需要下载应用程序的安装包，并将应用程序安装在本地后才可正常使用应用程序。由于应用程序安装在终端设备的本地，当应用程序在运行过程中需要进行身份认证时，直接调用终端设备上操作系统提供的相应接口，即可采集用户身份信息并完成身份认证。而对于云终端来说，由于云终端不需要下载应用程序，所有的应用程序和功能均是通过云端服务器实现的，即应用程序本身与云终端分离，因此无法实现身份认证。

本申请实施例提供一种身份认证方法、装置、系统及电子设备，运行在云端服务器的云端应用可以通过终端设备正常地完成用户身份认证，且整个用户身份认证过程是在终端设备进行的，可以防止出现用户身份信息泄露的问题，提高了终端设备使用云端应用的安全性。

图1为一个实施例中身份认证方法的应用场景图。如图1所示，云端服务器10可与终端设备20建立通信连接，终端设备20可包括但不限于手机、智能可穿戴设备、平板电脑、PC(Personal Computer，个人计算机)、车载终端等，云端服务器10可以是由多个服务器设备组成的分布式服务器集群。在本申请实施例中，终端设备20可以是云终端，终端设备20上的所有应用程序及功能均可通过云端服务器10实现，终端设备20无需下载应用程序，而是通过云账户登录到云端服务器10中，云端服务器10分配给终端设备20相应的资源空间，从而可在云端服务器10运行应用程序，以及实现终端设备20的功能，同时终端设备20也可将图像、文件等数据全部存储在云端服务器10中。

在云端应用需要进行身份认证时，云端服务器10可获取云端应用发起的身份认证请求，并根据该身份认证请求向终端设备20发送认证指令。终端设备20接收云端服务器10发送的认证指令，可根据该认证指令采集用户身份信息，根据该用户身份信息进行用户身份认证，并根据认证结果生成目标信息，再将生成的目标信息发送给云端服务器10。云端服务器10接收终端设备20发送的目标信息，可对目标信息进行处理，得到认证结果，并将认证结果返回给云端应用，从而可实现运行在云端服务器的云端应用在使用过程中进行的用户身份认证，保证了使用云端应用的安全性。

图2为一个实施例中身份认证方法的时序图。如图2所示，该身份认证方法处理方法按照处理时序可包括以下步骤：

1、云端服务器10接收云端应用发起的身份认证请求。

2、云端服务器10根据云端应用发起的身份认证请求向终端设备20发送认证指令。

3、终端设备20接收云端服务器10发送的认证指令，根据该认证指令对采集的用户身份信息进行用户身份认证，并根据认证结果生成目标信息。

4、终端设备20向云端服务器10发送目标信息。

5、云端服务器10接收终端设备20发送的目标信息，并对目标信息进行处理，得到认证结果，再将该认证结果返回给云端应用。

如图3所示，在一个实施例中，提供一种身份认证方法，可应用于上述的云端服务器，该方法可包括以下步骤：

步骤310，接收云端应用发起的身份认证请求。

云端应用可指的是运行在云端服务器的应用程序，云端应用可采用应用虚拟化技术，在云端服务器提供的虚拟化环境中被封装及使用。终端设备无需在本地下载及安装应用程序，可通过无线网络与云端服务器建立通信连接，并在云端服务器中订制各个云端应用的服务，从而可使用云端应用。可选地，该无线网络可包括但不限于4G(4th generationmobile networks，第四代移动通信技术)、5G(5th generation mobile networks，第五代移动通信技术)、WiFi(Wireless Fidelity，无线保真)网络等。终端设备可显示使用的云端应用的应用界面，而云端应用在使用过程中的数据处理均在云端服务器中实现。

云端应用在使用过程中可能会需要进行身份认证，例如，用户在终端设备使用云端应用时，需要使用云端应用进行支付、转账等安全性需求高的操作时，则云端应用需要对用户的身份进行认证，或是在利用云端应用登录到安全性高的平台(如税务平台、社保平台)等，云端应用也需要对用户的身份进行认证。云端应用对用户进行身份认证的场景在本申请实施例中不作限定。

在一些实施例中，云端应用可发起身份认证请求，该身份认证请求可携带有认证类型、认证事项等信息。其中，认证类型可指的是进行身份认证的认证方式，可选地，认证类型可包括但不限于人脸认证、指纹认证、瞳纹认证等生物认证方式，也可以是密码认证、语音认证等方式。认证事项可指的是云端应用需要进行身份认证的操作事项，例如支付事项、转账事项、登录事项等，但不限于此。

步骤320，根据身份认证请求向终端设备发送认证指令，认证指令用于指示终端设备进行用户身份认证，并根据认证结果生成目标信息。

云端服务器可根据身份认证请求中携带的认证类型、认证事项等信息生成认证指令，并将认证指令发送给终端设备。

在一些实施例中，终端设备可通过云端服务器分配的账号信息或是预先注册了账号信息登录到云端服务器，云端服务器可将终端设备的账号信息及订制的云端应用对应存储，不同终端设备对应的账号信息不同。可选地，云端服务器可为每个账号信息分配相应的存储空间，并在该账号信息对应的存储空间中存储终端设备订制的各个云端应用及服务等的数据。云端服务器在接收到云端应用发起的身份认证请求后，可获取该云端应用对应的账号信息，并根据该账号信息获取终端设备的标识信息，以根据该标识信息向终端设备发送认证指令。可选地，该终端设备的标识信息可包括但不限于终端设备的IP(InternetProtocol，网际协议)地址、MAC(Media Access Control，媒体介入控制层)地址等。

终端设备在接收到认证指令后，可对认证指令进行解析，得到所需进行的认证类型，以及对应的认证事项等信息。终端设备可根据该认证类型启动相应的用户信息采集模块，以通过该用户信息采集模块采集用户信息，并根据采集的用户信息进行用户身份认证。若采集的用户信息与终端设备中预先存储的用户信息匹配，即采集的用户信息与预先存储的用户信息一致，则可确定认证结果为认证成功，若采集的用户信息与终端设备中预先存储的用户信息不匹配，则可确定认证结果为认证失败。

示例性地，该认证类型为人脸认证，则终端设备可启动摄像头，通过摄像头采集用户的人脸图像，通过该人脸图像进行人脸识别认证。终端设备可将采集的人脸图像与预先存储的人脸图像进行比对，判断采集的人脸图像是否与预先存储的人脸图像匹配，以得到人脸识别认证结果。

示例性地，该认证类型为指纹认证，则终端设备可启动指纹采集模块，通过指纹采集模块采集用户的指纹信息，并将该指纹信息与预先录入的指纹信息进行比对，判断采集的指纹信息与预先录入的指纹信息是否匹配，以得到指纹认证结果。

在一些实施例中，终端设备可根据认证类型及认证事项生成提示信息，并输出该提示信息，以提示用户当前需要进行身份认证，该提示信息可以是在屏幕上显示的界面提示，也可以是通过扬声器播放的语音提示方式等，在此不作限定。

在终端设备上进行用户身份认证，终端设备采集的用户身份信息无需上传到云端服务器，可以防止出现用户身份信息在传输过程中被盗取的情况，保证了用户的信息安全。

终端设备在得到用户身份认证的认证结果后，可对认证结果进行处理，得到目标信息。可选地，终端设备可将认证结果按照预设的数据包格式进行封装，得到目标信息，并将该目标信息发送到云端服务器。

其中，认证结果可用约定的字符进行表示，例如，认证成功为Y，认证失败为N，或是认证成功为1，认证失败为0等，但不限于此。进一步地，云端服务器在向终端设备发送认证指令时，该认证指令可携带有字符表示方式，每次的字符表示方式可以是不同的，可随机选取，则终端设备可按照本次接收的认证指令中携带的字符表示方式对认证结果进行表示。云端服务器在接收到目标信息后，若检测到认证结果不是按照该字符表示方式进行表示的，则可丢弃该认证结果，重新向终端设备发送认证指令，从而可以减少认证结果被篡改的机率，进一步提高安全性。

步骤330，接收终端设备发送的目标信息。

步骤340，对目标信息进行处理，得到认证结果，并将认证结果返回给云端应用。

云端服务器在接收到目标信息后，可对目标信息进行解析，得到认证结果，并将认证结果返回给发送身份认证请求的云端应用，云端应用可根据该认证结果进行下一步操作。例如，认证结果为认证成功，则云端应用可执行需要进行身份认证的认证事项，认证结果为认证失败，则云端应用可停止执行需要进行身份认证的认证事项，并决定是否需要重新发起身份认证请求，若需要，则可重新发起身份认证请求，以重新对终端设备的用户进行身份认证。

在本申请实施例中，云端服务器接收云端应用发起的身份认证请求，根据该身份认证请求向终端设备发送认证指令，终端设备可根据该认证指令进行用户身份认证，并根据认证结果生成目标信息，再将目标信息发送至云端服务器，云端服务器可对终端设备发送的目标信息进行处理，得到认证结果，并将认证结果返回给云端应用，运行在云端服务器的云端应用可以通过终端设备正常地完成用户身份认证，且整个用户身份认证过程是在终端设备进行的，可以防止出现用户身份信息泄露的问题，提高了终端设备使用云端应用的安全性。

如图4所示，在一个实施例中，提供另一种身份认证方法，该方法可应用于上述的云端服务器，该方法可包括以下步骤：

步骤402，在接收到终端设备的登录请求时，根据登录请求获取终端设备的设备标识。

为了提高云端应用在进行身份认证时的安全性，可采用加密等方式对认证结果进行处理后再进行传输。云端服务器和终端设备可按照设置的加解密方式实现认证结果的安全传输。终端设备在使用云端应用前，可通过账号信息登录到云端服务器，云端服务器接收终端设备的登录请求，该登录请求可携带有账号信息以及终端设备的设备标识等信息。可选地，终端设备的设备标识可包括但不限于MAC地址、IMEI(International MobileEquipment Identity，国际移动设备识别码)等。设备标识可用于唯一标识终端设备，且通常不会轻易发生改变。

在一些实施例中，云端服务器在获取登录请求中携带的账号信息及终端设备的设备标识后，可对账号信息及设备标识进行验证。云端服务器可在数据库中查找是否存在与该账号信息匹配的预先存储的账号信息，若存在与该账号信息匹配的预先存储的账号信息，则证明账号信息正确。其中，账号信息可包括账户标识及密码等信息，当数据库中存在与获取的账户标识一致的预先存储的账号标识时，云端服务器可判断获取的密码是否与该一致的预先存储的账号标识对应的密码一致，若密码也一致，则证明账号信息正确。若不存在与获取的账户标识一致的预先存储的账号标识，或是获取的密码与该一致的预先存储的账号标识对应的密码不一致，则表示账号信息错误，则终端设备登录失败。

进一步地，云端服务器还可将各个账号信息与设备标识对应存储。当云端服务器确定获取的账号信息正确时，可进一步判断获取的设备标识是否与匹配的预先存储的账号信息对应的设备标识一致，若是一致，则可确定终端设备登录成功，可以进一步提高终端设备在登录云端服务器时的安全性及准确性。

步骤404，根据设备标识在密钥管理服务器中查询与终端设备对应的公钥。

云端服务器可根据发送登录请求的终端设备的设备标识，获取与该终端设备对应的公钥，该公钥可用于对终端设备发送的加密信息进行解密。不同终端设备可分别对应不同的公钥，以保证安全性。可单独设置密钥管理服务器用于管理各个终端设备的密钥数据。

作为一种实施方式，每个终端设备在出厂前，可生成一组密钥对，该密钥对包括公钥及私钥，其中，私钥可存储在终端设备中，可将公钥及终端设备的设备标识一起发送到密钥管理服务器，由密钥管理服务器将公钥及设备标识对应存储。

进一步地，该私钥可包括根密钥(Attestation Key，ATTK)，每个终端设备可生成唯一的根密钥，根密钥生成后可存储在终端设备的可信执行环境(TEE，Trust ExecutionEnvironment)中，其中，TEE可以是与终端设备上的主操作系统的并行运行环境，并且可为该主操作系统提供安全服务，它拥有自身的执行空间，比主操作系统可拥有更高的安全级别。公钥可以是与根密钥对应的对称密钥，也可以是与根密钥对应的非对称密钥等，在此不作限定。在终端设备的TEE中生成并存储私钥，可以防止私钥泄露，保证了密钥的安全性。

作为另一种实施方式，也可以在终端设备在云端服务器进行注册时，由云端服务器生成一组密钥对，并将密钥对应中的私钥发送给终端设备，由终端设备进行存储，再将密钥对应中的公钥及终端设备的设备信息发送给密钥管理服务器，由密钥管理服务器将公钥及设备标识对应存储。

图5为另一个实施例中身份认证方法的应用场景图。如图5所示，云端服务器10可与终端设备20建立通信连接，云端服务器10还可与密钥管理服务器50建立通信连接。在云端服务器10每次接收到终端设备20的登录请求时，可根据登录请求中携带的IMEI等设备标识生成查询指令，并将查询指令发送给密钥管理服务器50。密钥管理服务器50接收到该查询指令后，可根据查询指令中携带的设备标识查询到对应的公钥，并将查询到的公钥发送给云端服务器20。

步骤406，接收云端应用发起的身份认证请求。

步骤408，根据身份认证请求向终端设备发送认证指令，认证指令用于指示终端设备进行用户身份认证，并对认证结果进行加密，得到目标信息。

步骤406～408的描述可参照上述实施例中步骤310～320的描述，在此不再赘述。

终端设备在接收到云端服务器发送的认证指令后，可根据采集的用户信息进行用户身份认证，得到认证结果，可根据存储的私钥对认证结果进行加密，得到目标信息。可选地，终端设备可采用对称加密算法、非对称加密算法等对认证结果进行加密，本申请实施例对于具体的加密算法不作限制。

在一些实施例中，终端设备在进行用户身份认证后，可根据终端设备对应的根密钥对认证结果进行加密，得到目标信息。终端设备可根据存储的根密钥对认证结果进行签名，得到带有签名信息的认证结果，也即目标信息。

可选地，终端设备在启动用户信息采集模块，并通过用户信息采集模块采集用户信息后，用户信息采集模块可将采集的用户信息传输到TEE中，TEE中可存储有预先录入的用户信息，并在TEE中将采集的用户信息与预先录入的用户信息进行匹配，若匹配成功，则可得到认证结果为认证成功，若匹配失败，则可得到认证结果为认证失败。

终端设备的根密钥可同时存储在TEE中，在TEE中得到认证结果后，可根据该根密钥对认证结果进行加密，得到目标信息。TEE可将目标信息发送至终端设备的无线通信模块，再由无线通信模块发送至云端服务器。终端设备将用户身份认证过程、认证结果加密过程均放在TEE中执行，可以保证整个身份认证过程的安全性。

在一些实施例中，云端服务器在接收到云端应用发起的身份认证请求时，可获取发起身份认证请求的云端应用的应用标识，该应用标识可用于唯一标识云端应用，例如，应用标识可包括应用编号、应用名称、应用发布时的版本号等，但不限于此。云端服务器可将应用标识与终端设备显示的界面图像进行匹配，并判断该应用标识是否与显示的界面图像对应。

在本申请实施例中，终端设备为云终端，该终端设备上显示的界面图像可以在云端服务器进行渲染后，再发送到终端设备上显示，这样可以降低对终端设备的渲染能力的要求，保证显示的流畅性。因此，云端服务器可实时获取终端设备上正在显示的界面图像，在云端应用发起身份认证请求时，可判断终端设备上显示的界面图像是否属于该云端应用，也即，通过显示的界面图像可以判断终端设备是否正在前台使用云端应用。

若发起身份认证请求的云端应用的应用标识与终端设备显示的界面图像匹配，说明终端设备正在前台使用该云端应用，则云端服务器可根据身份认证请求向终端设备发送认证指令。若发起身份认证请求的云端应用的应用标识与终端设备显示的界面图像不匹配，也即终端设备显示的界面图像不属于该云端应用，则可确定该云端应用为后台运行的状态，云端服务器可根据身份认证请求生成提示信息，并将该提示信息发送给终端设备。该提示信息可用于提示云端应用正在进行身份认证。

终端设备在接收到提示信息后，可输出该提示信息，如可在屏幕上显示提示信息，也可以通过扬声器等播放提示信息，输出提示信息的方式在此不作限定。可选地，该提示信息中可包括发起身份认证请求的云端应用的应用信息、认证类型及认证事项等，用户通过该提示信息可准确、完整地获知云端应用发送的身份认证请求。若终端设备接收到用户输入的确认响应信息，该确认响应信息可用于表征用户同意进行身份认证，则可将该确认响应信息发送给云端服务器。云端服务器在接收到终端设备发送的确认响应信息后，可根据身份认证请求向终端设备发送认证指令。

图6为一个实施例中终端设备输出提示信息的示意图。如图6所示，终端设备的屏幕上可显示提示信息504，该提示信息504为“应用A正在进行支付操作，需要对您进行人脸识别”。若用户点击“同意”按钮，则终端设备接收到用户输入的确认响应信息，可向云端服务器发送该确认响应信息。若用户点击“拒绝”按钮，终端设备接收到用户输入的拒绝响应信息，终端设备可不向云端服务器返回消息，云端服务器若在一定时长内未接收到终端设备发送的确认响应信息，则可拒绝云端应用发起的身份认证请求。或是终端设备可直接向云端服务器返回拒绝响应信息，云端服务器在接收到该拒绝响应信息时，可拒绝云端应用发起的身份认证请求。

需要说明的是，图6仅示出一种终端设备输出提示信息的方式，仅用于说明本申请实施例，并不用于限定终端设备输出提示信息的方式以及提示信息的内容，终端设备也可采用其它方式输出提示信息，提示信息也可包含有其它内容。

云端服务器通过将发起身份认证请求的云端应用与终端设备当前在前台使用的云端应用进行匹配，可以防止后台运行的云端应用在用户不知情的情况下进行身份认证，进一步提高了云端应用的身份认证安全。

步骤410，接收终端设备发送的目标信息。

步骤412，根据与终端设备对应的公钥对目标信息进行解密，得到认证结果，并将认证结果返回给云端应用。

云端服务器在接收到终端设备发送的目标信息后，可根据从密钥管理服务器查询到的与终端设备对应的公钥对目标信息进行解密，由于该公钥与目标信息进行加密时的私钥为一组密钥对，则对目标信息进行解密后可成功获得认证结果。

由于本申请实施例中的私钥、公钥与终端设备都是对应的，不会存在同一终端设备对应多个公钥或是一个公钥对应多个终端设备的情况。若云端服务器根据与终端设备对应的公钥对目标信息解密失败，则可确定该目标信息不是终端设备发送的目标信息，可将该目标作信确定为非安全信息并丢弃，重新从终端设备获取加密后的目标信息。可以提高云端应用在进行身份认证时的安全性及准确性。

在一些实施例中，当终端设备从云端服务器登出时，则云端服务器可删除终端设备对应的公钥，并在终端设备下一次发送登录请求时，重新从密钥管理服务器获取公钥。密钥管理服务器可以是安全性极高的服务器，云端服务器在终端设备登出时即删除公钥，可以防止云端服务器受到非法攻击时造成公钥泄露的情况，保证密钥安全。

在本申请实施例中，终端设备可对用户身份认证的认证结果进行加密，得到目标信息，云端服务器可根据终端设备对应的公钥对接收的目标信息进行解密，以保证目标信息准确来自该终端设备，保证认证结果的准确性及安全性，可以提高云端应用在进行身份认证时的安全性。

如图7所示，在一个实施例中，提供一种身份认证方法，可应用于上述的终端设备，该方法可包括以下步骤：

步骤710，接收云端服务器发送的认证指令，其中，认证指令为云端服务器根据云端应用发起的身份认证请求生成的。

步骤720，根据认证指令对采集的用户身份信息进行用户身份认证，并根据认证结果生成目标信息。

步骤730，将目标信息发送给云端服务器，目标信息用于在云端服务器进行处理，以得到认证结果，并通过云端服务器将认证结果返回给云端应用。

在本申请实施例中，云端服务器接收云端应用发起的身份认证请求，根据该身份认证请求向终端设备发送认证指令，终端设备可根据该认证指令进行用户身份认证，并根据认证结果生成目标信息，再将目标信息发送至云端服务器，云端服务器可对终端设备发送的目标信息进行处理，得到认证结果，并将认证结果返回给云端应用，运行在云端服务器的云端应用可以通过终端设备正常地完成用户身份认证，且整个用户身份认证过程是在终端设备进行的，可以防止出现用户身份信息泄露的问题，提高了终端设备使用云端应用的安全性。

在一个实施例中，步骤根据认证结果生成目标信息，包括：对认证结果进行加密，得到目标信息。

在一个实施例中，步骤对认证结果进行加密，得到目标信息，包括：根据终端设备对应的根密钥认证结果进行加密，得到目标信息，该目标信息还用于由云端服务器根据与终端设备对应的公钥对目标信息进行解密，以得到证结果。

在一个实施例中，在接收云端服务器发送的认证指令之前，该方法还包括：接收云端服务器发送的提示信息，并输出该提示信息，该提示信息用于提示云端应用正在进行身份认证，该提示信息是在云端设备检测到发起身份认证请求的云端应用与终端设备显示的界面图像不匹配时生成的；在接收到用户输入的确认响应信息后，向云端服务器发送确认响应信息，该确认响应信息用于触发云端服务器根据身份认证请求向终端设备发送认证指令。云端服务器通过将发起身份认证请求的云端应用与终端设备当前在前台使用的云端应用进行匹配，可以防止后台运行的云端应用在用户不知情的情况下进行身份认证，进一步提高了云端应用的身份认证安全。

需要说明的是，本申请实施例中提供的应用于终端设备的身份认证方法可参照上述各实施例中提供的应用于云端服务器的身份认证方法中的描述，在此不再一一进行赘述。

在本申请实施例中，终端设备可对用户身份认证的认证结果进行加密，得到目标信息，云端服务器可根据终端设备对应的公钥对接收的目标信息进行解密，以保证目标信息准确来自该终端设备，保证认证结果的准确性及安全性，可以提高云端应用在进行身份认证时的安全性。

在一个实施例中，本申请实施例还提供一种身份认证系统，该身份认证系统可包括云端服务器及终端设备，云端服务器与终端设备之间可建立通信连接。

云端服务器，用于接收云端应用发起的身份认证请求，并根据身份认证请求向终端设备发送认证指令，云端应用运行在云端服务器。

终端设备，用于根据认证指令对采集的用户身份信息进行用户身份认证，并根据认证结果生成目标信息，再将目标信息发送给云端服务器。

云端服务器，还用于接收终端设备发送的目标信息，并对目标信息进行处理，得到所述认证结果，再将认证结果返回给云端应用。

在本申请实施例中，运行在云端服务器的云端应用可以通过终端设备正常地完成用户身份认证，且整个用户身份认证过程是在终端设备进行的，可以防止出现用户身份信息泄露的问题，提高了终端设备使用云端应用的安全性。

在一个实施例中，该身份认证系统还包括密钥管理服务器，用于存储与各个终端设备的设备标识对应的公钥。

终端设备还用于向云端服务器发送登录请求，该登录请求携带有终端设备的设备标识。

云端服务器，还用于在接收到终端设备的登录请求时，根据登录请求获取终端设备的设备标识，并根据设备标识在密钥管理服务器中查询与终端设备对应的公钥。

在一个实施例中，终端设备还用于在进行用户身份认证后，对认证结果进行加密，得到目标信息。

可选地，终端设备还用于在进行用户身份认证后，根据终端设备对应的根密钥对认证结果进行加密，得到目标信息。

云端服务器，还用于根据与终端设备对应的公钥对目标信息进行解密，得到认证结果。

在本申请实施例中，终端设备可对用户身份认证的认证结果进行加密，得到目标信息，云端服务器可根据终端设备对应的公钥对接收的目标信息进行解密，以保证目标信息准确来自该终端设备，保证认证结果的准确性及安全性，可以提高云端应用在进行身份认证时的安全性。

在一个实施例中，云端服务器，还用于在接收到云端应用发起的身份认证请求后，获取云端应用的应用标识，并将应用标识与终端设备显示的界面图像进行匹配，若应用标识与终端设备显示的界面图像匹配，则根据身份认证请求向终端设备发送认证指令，若应用标识与终端设备显示的界面图像不匹配，则向终端设备发送提示信息，该提示信息用于提示云端应用正在进行身份认证。

终端设备，还用于接收云端服务器发送的提示信息，并输出该提示信息，若接收到用户针对该提示信息输入的确认响应信息，则将该确认响应信息发送至云端服务器。

云端服务器，还用于在接收到终端设备的确认响应信息后，根据身份认证请求向终端设备发送认证指令。

在本申请实施例中，云端服务器通过将发起身份认证请求的云端应用与终端设备当前在前台使用的云端应用进行匹配，可以防止后台运行的云端应用在用户不知情的情况下进行身份认证，进一步提高了云端应用的身份认证安全。

如图8所示，在一个实施例中，提供一种身份认证装置800，可应用于上述的云端服务器。该身份认证装置800，可包括请求接收模块810、发送模块820、信息接收模块830及结果返回模块840。

请求接收模块810，用于接收云端应用发起的身份认证请求，云端应用运行在云端服务器。

发送模块820，用于根据身份认证请求向终端设备发送认证指令，认证指令用于指示终端设备进行用户身份认证，并根据认证结果生成目标信息。

信息接收模块830，用于接收终端设备发送的目标信息。

结果返回模块840，用于对目标信息进行处理，得到认证结果，并将认证结果返回给云端应用。

在本申请实施例中，运行在云端服务器的云端应用可以通过终端设备正常地完成用户身份认证，且整个用户身份认证过程是在终端设备进行的，可以防止出现用户身份信息泄露的问题，提高了终端设备使用云端应用的安全性。

在一个实施例中，认证指令还用于指示终端设备进行用户身份认证，并对认证结果进行加密，得到目标信息。

在一个实施例中，认证指令还用于指示终端设备进行用户身份认证，并根据终端设备对应的根密钥对认证结果进行加密，得到目标信息。

结果返回模块840，还用于根据与终端设备对应的公钥对目标信息进行解密，得到认证结果，并将认证结果返回给云端应用。

在一个实施例中，上述的身份认证装置800除了包括请求接收模块810、发送模块820、信息接收模块830及结果返回模块840，还包括标识获取模块及查询模块。

标识获取模块，用于在接收到终端设备的登录请求时，根据登录请求获取终端设备的设备标识。

查询模块，用于根据设备标识在密钥管理服务器中查询与终端设备对应的公钥。

在一个实施例中，上述身份认证装置800还包括匹配模块。

匹配模块，用于获取云端应用的应用标识，并将应用标识与终端设备显示的界面图像进行匹配。

发送模块820，还用于若应用标识与终端设备显示的界面图像匹配，则根据身份认证请求向终端设备发送认证指令；以及用于若应用标识与终端设备显示的界面图像不匹配，则向终端设备发送提示信息，提示信息用于提示云端应用正在进行身份认证，并在信息接收模块830接收到终端设备的确认响应信息后，根据身份认证请求向终端设备发送认证指令。

在本申请实施例中，终端设备可对用户身份认证的认证结果进行加密，得到目标信息，云端服务器可根据终端设备对应的公钥对接收的目标信息进行解密，以保证目标信息准确来自该终端设备，保证认证结果的准确性及安全性，可以提高云端应用在进行身份认证时的安全性。

如图9所示，在一个实施例中，提供另一种身份认证装置900，可应用于上述的终端设备。该身份认证装置900可包括接收模块910、认证模块920及发送模块930。

接收模块910，用于接收云端服务器发送的认证指令，其中，认证指令为云端服务器根据云端应用发起的身份认证请求生成的，云端应用运行在云端服务器。

认证模块920，用于根据认证指令对采集的用户身份信息进行用户身份认证，并根据认证结果生成目标信息。

发送模块930，用于将目标信息发送给云端服务器，目标信息用于在云端服务器进行处理，以得到认证结果，并通过云端服务器将认证结果返回给云端应用。

在本申请实施例中，运行在云端服务器的云端应用可以通过终端设备正常地完成用户身份认证，且整个用户身份认证过程是在终端设备进行的，可以防止出现用户身份信息泄露的问题，提高了终端设备使用云端应用的安全性。

在一个实施例中，认证模块920，还用于根据认证指令对采集的用户身份信息进行用户身份认证，并对认证结果进行加密，得到目标信息。

在一个实施例中，认证模块920，还用于根据认证指令对采集的用户身份信息进行用户身份认证，并根据终端设备对应的根密钥认证结果进行加密，得到目标信息，该目标信息还用于由云端服务器根据与终端设备对应的公钥对目标信息进行解密，以得到证结果。

在一个实施例中，接收模块910，还用于接收云端服务器发送的提示信息，并输出该提示信息，该提示信息用于提示云端应用正在进行身份认证，该提示信息是在云端设备检测到发起身份认证请求的云端应用与终端设备显示的界面图像不匹配时生成的。

发送模块930，还用于在接收到用户输入的确认响应信息后，向云端服务器发送确认响应信息，该确认响应信息用于触发云端服务器根据身份认证请求向终端设备发送认证指令。

在本申请实施例中，终端设备可对用户身份认证的认证结果进行加密，得到目标信息，云端服务器可根据终端设备对应的公钥对接收的目标信息进行解密，以保证目标信息准确来自该终端设备，保证认证结果的准确性及安全性，可以提高云端应用在进行身份认证时的安全性。

图10为一个实施例中电子设备的结构框图。该电子设备可以是上述的云端服务器，如图10所示，电子设备1000可以包括一个或多个如下部件：处理器1010、与处理器1010耦合的存储器1020，其中存储器1020可存储有一个或多个计算机程序，一个或多个计算机程序可以被配置为由一个或多个处理器1010执行时实现如上述各实施例描述的应用于云端服务器的身份认证方法。

处理器1010可以包括一个或者多个处理核。处理器1010利用各种接口和线路连接整个电子设备1000内的各个部分，通过运行或执行存储在存储器1020内的指令、程序、代码集或指令集，以及调用存储在存储器1020内的数据，执行电子设备1000的各种功能和处理数据。可选地，处理器1010可以采用数字信号处理(Digital Signal Processing，DSP)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable Logic Array，PLA)中的至少一种硬件形式来实现。处理器1010可集成中央处理器(Central Processing Unit，CPU)、图像处理器(Graphics Processing Unit，GPU)和调制解调器等中的一种或几种的组合。其中，CPU主要处理操作系统、用户界面和应用程序等；GPU用于负责显示内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器1010中，单独通过一块通信芯片进行实现。

存储器1020可以包括随机存储器(Random Access Memory，RAM)，也可以包括只读存储器(Read-Only Memory，ROM)。存储器1020可用于存储指令、程序、代码、代码集或指令集。存储器1020可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等。存储数据区还可以存储电子设备1000在使用中所创建的数据等。

可以理解地，电子设备1000可包括比上述结构框图中更多或更少的结构元件，例如，包括无线通信模块等，还可在此不进行限定。

在一个实施例中，本申请实施例提供一种终端设备，包括存储器及处理器，该存储器中存储有计算机程序，计算机程序被该处理器执行时，使得该处理器实现如上述各实施例描述的应用于终端设备的身份认证方法。

本申请实施例公开一种计算机可读存储介质，其存储计算机程序，其中，该计算机程序被处理器执行时实现如上述实施例描述的应用于云端服务器的身份认证方法。

本申请实施例公开一种计算机可读存储介质，其存储计算机程序，其中，该计算机程序被处理器执行时实现如上述实施例描述的应用于终端设备的身份认证方法。

本申请实施例公开一种计算机程序产品，该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，且该计算机程序可被处理器执行时实现如上述各实施例描述的应用于云端服务器的身份认证方法。

本申请实施例公开一种计算机程序产品，该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，且该计算机程序可被处理器执行时实现如上述各实施例描述的应用于终端设备的身份认证方法。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、ROM等。

如此处所使用的对存储器、存储、数据库或其它介质的任何引用可包括非易失性和/或易失性存储器。合适的非易失性存储器可包括ROM、可编程ROM(Programmable ROM，PROM)、可擦除PROM(Erasable PROM，EPROM)、电可擦除PROM(Electrically ErasablePROM，EEPROM)或闪存。易失性存储器可包括随机存取存储器(random access memory，RAM)，它用作外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(Static RAM，SRAM)、动态RAM(Dynamic Random Access Memory，DRAM)、同步DRAM(synchronous DRAM，SDRAM)、双倍数据率SDRAM(Double Data Rate SDRAM，DDR SDRAM)、增强型SDRAM(Enhanced Synchronous DRAM，ESDRAM)、同步链路DRAM(Synchlink DRAM，SLDRAM)、存储器总线直接RAM(Rambus DRAM，RDRAM)及直接存储器总线动态RAM(DirectRambus DRAM，DRDRAM)。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定特征、结构或特性可以以任意适合的方式结合在一个或多个实施例中。本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本申请所必须的。

在本申请的各种实施例中，应理解，上述各过程的序号的大小并不意味着执行顺序的必然先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物单元，即可位于一个地方，或者也可以分布到多个网络单元上。可根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

上述集成的单元若以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可获取的存储器中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或者部分，可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干请求用以使得一台计算机设备(可以为个人计算机、服务器或者网络设备等，具体可以是计算机设备中的处理器)执行本申请的各个实施例上述方法的部分或全部步骤。

以上对本申请实施例公开的一种身份认证方法、装置、系统及电子设备进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。