一种身份认证方法、装置及存储介质与流程

1.本技术实施例涉及信息安全技术领域，尤其涉及一种身份认证方法、装置及存储介质。


背景技术：

2.随着时代的发展，个人数据的保护被越来越重视，因此对隐私计算技术的重视程度日益增加，隐私计算开始应用到各个行业并进行有效的落地实施。在隐私计算的具体实施过程中，由于隐私计算是以多方协作实现跨域的安全计算为基础实现的，因此隐私计算技术的实施需要开放端口网络，以实现各个参与方之间的互联互通，从而在参与方之间实现信息的有效交互以使多个参与方协作进行隐私计算。
3.针对隐私计算产品架构而言，不仅仅要保证数据不被泄露以保障数据安全，还需要保证基础的身份认证安全，以确保对各参与方身份的有效性进行识别，以及提高各参与方对网络攻击的防范能力。针对各参与方之间的身份认证过程进行保护时，现有技术通常是采用在参与方接收其它参与方的令牌，以在参与方之间相互对令牌进行校验从而实现身份认证；实际应用过程中令牌易丢失或被窃取，因此采用现有的身份认证方式不足以保证参与方之间身份认证的安全性。现有技术方法中通过普通传输通道对令牌等用于身份验证的信息进行传输，在进行身份认证过程中易遭受网络攻击，导致进行身份认证的数据信息被破坏或发生泄露，因身份认证信息传输安全性不足，给隐私计算的参与方带来了巨大的损失。由此可见，目前用于隐私计算的身份认证方法存在安全性不高的问题。


技术实现要素：

4.本技术实施例提供了一种身份认证方法、装置及存储介质，通过加密通道在第一节点与注册节点之间以及第一节点与第二节点之间进行信息传输，提高了身份认证过程中信息传输的安全性；发送验证请求至注册节点并获取反馈的第一令牌，通过注册节点统一分配令牌，并对其他节点的令牌及身份标识在本地进行身份认证校验，身份认证校验通过后发送第二令牌至注册节点，以在注册节点对第二令牌进行有效期校验，确保了参与方之间身份认证的可靠性。
5.第一方面中，从第一节点角度介绍本技术实施例提供的一种身份认证方法，其中，所述方法包括：所述第一节点通过加密通道向所述注册节点发送验证请求；所述验证请求包括所述第一节点的第一身份标识；所述第一节点从所述注册节点接收第一令牌，所述第一令牌基于所述第一身份标识得到，通过所述加密通道向所述第二节点发送所述第一令牌及所述第一身份标识，以使所述第二节点对所述第一身份标识和第一令牌进行校验；所述第一节点通过所述加密通道接收所述第二节点在对所述第一身份标识和第一令牌校验通过后发送的第二令牌及第二身份标识，根据预置的认证规则对第二身份标识
及所述第二令牌进行身份认证校验，得到初始认证结果；若所述初始认证结果为通过，则所述第一节点通过所述加密通道向所述注册节点发送所述第二令牌，以使所述注册节点对所述第二令牌进行有效期校验；所述第一节点从所述注册节点接收最终认证结果。
6.一种可能的设计中，所述第一节点通过加密通道向所述注册节点发送验证请求之前，或所述从所述注册节点接收最终认证结果之后，所述方法还包括：所述第一节点从终端获取第一消息，对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果；向所述终端发送所述认证输出结果。
7.一种可能的设计中，所述可信环境包括认证计算模块、存储模块，所述对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果，包括：所述认证计算模块对所述登录信息与所述存储模块中的密码存储块进行密钥比对验证，得到认证输出结果；或者是，所述认证计算模块对所述登录信息与所述存储模块中的多重要素验证存储块进行多重要素验证，得到认证输出结果。
8.一种可能的设计中，所述可信环境包括认证计算模块、存储模块，所述对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果，包括：所述认证计算模块对所述登录信息与所述存储模块中的密码存储块进行密钥比对验证，得到第一登录认证结果；所述认证计算模块对所述登录信息与所述存储模块中的多重要素验证存储块进行多重要素验证，得到第二登录认证结果；将所述第一登录认证结果与所述第二登录认证结果组合为认证输出结果。
9.一种可能的设计中，所述第一节点通过加密通道向所述注册节点发送验证请求之前，所述方法还包括：所述第一节点对从所述注册节点接收的第三身份标识或从所述第二节点接收的第二身份标识进行公私钥对验证，得到第一标识验证结果；若所述第一标识验证结果为通过，则发送所述第一身份标识至所述注册节点或所述第二节点，以使所述注册节点或所述第二节点对所述第一身份标识进行公私钥对验证；若所述第一节点接收到所述注册节点或所述第二节点反馈的第二标识验证结果为通过，与所述注册节点或所述第二节点之间建立加密通道。
10.一种可能的设计中，所述根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果，包括：对所述第二身份标识进行编码得到编码序列；验证所述编码序列是否包含于所述第二令牌中的预设位置，得到初始认证结果；所述预设位置为所述第二令牌中与所述认证规则对应的序列位置。
11.一种可能的设计中，所述根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果，包括：根据所述认证规则将所述第二身份标识编码至所述第二节点对应的访问令牌中，得到目标验证令牌；
验证所述目标验证令牌是否与所述第二令牌相同，得到初始认证结果。
12.第二方面中，本技术实施例提供一种身份认证的装置，其中，所述装置包括：收发模块，用于通过加密通道向所述注册节点发送验证请求以及从所述注册节点接收第一令牌；所述验证请求包括所述第一节点的第一身份标识，所述第一令牌基于所述第一身份标识得到；所述收发模块，还用于通过所述加密通道向所述第二节点发送所述第一令牌及所述第一身份标识，以使所述第二节点对所述第一身份标识和第一令牌进行校验；所述收发模块，还用于通过所述加密通道接收所述第二节点在对所述第一身份标识和第一令牌校验通过后发送的第二令牌及第二身份标识；处理模块，用于根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果；所述收发模块，还用于若所述初始认证结果为通过，则通过所述加密通道向所述注册节点发送所述第二令牌，以使所述注册节点对所述第二令牌进行有效期校验；所述收发模块，还用于从所述注册节点接收最终认证结果。
13.第三方面中，本技术实施例提供一种身份认证的装置，其中，所述装置包括：至少一个处理器、存储器和收发器；其中，所述存储器用于存储计算机程序，所述处理器用于调用所述存储器中存储的计算机程序来执行如上述第一方面及第一方面中的各种可能的设计所提供的方法。
14.第四方面中，本技术实施例提供一种计算机可读存储介质，其包括指令，当其在计算机上运行时，使得计算机执行上述第一方面及第一方面中的各种可能的设计所提供的方法。
15.根据本技术的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述第一方面及第一方面中的各种可能的设计所提供的方法。
16.相较于现有技术，本技术实施例提供的方案中，应用于在隐私数据计算、智慧数据分析等场景中，第一方面，通过加密通道在第一节点与注册节点之间以及第一节点与第二节点之间进行信息传输，提高了身份认证过程中信息传输的安全性。另一方面，发送验证请求至注册节点并获取反馈的第一令牌，通过注册节点统一分配令牌，并对其他节点的令牌及身份标识在本地进行身份认证校验，身份认证校验通过后发送第二令牌至注册节点，以在注册节点对第二令牌进行有效期校验，确保了参与方之间身份认证的可靠性，因此采用上述身份认证方式能够大幅提高身份认证的安全性及可靠性。
附图说明
17.图1为本技术实施例提供的一种身份认证系统的示意图；图2a为本技术实施例中身份认证方法的一种流程示意图；图2b为本技术实施例中身份认证方法的另一流程示意图；图2c为本技术实施例中身份认证方法的又一流程示意图；图3a为本技术实施例中可信环境进行登录信息认证的过程示意图；
图3b为本技术实施例中各节点之间的过程示意图；图3c为本技术实施例中各节点之间建立加密通道的过程示意图；图4为本技术实施例中身份认证方法的又一流程示意图；图5为本技术实施例中用于身份认证的装置的一种结构示意图；图6为本技术实施例中服务器的一种结构示意图；图7为本技术实施例中服务终端的一种结构示意图；图8为本技术实施例中服务器的一种结构示意图。
具体实施方式
18.本技术实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或模块的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块，本技术实施例中所出现的模块的划分，仅仅是一种逻辑上的划分，实际应用中实现时可以有另外的划分方式，例如多个模块可以结合成或集成在另一个装置中，或一些特征可以忽略，或不执行，另外，所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，模块之间的间接耦合或通信连接可以是电性或其它类似的形式，本技术实施例中均不作限定。并且，作为分离部件说明的模块或子模块可以是也可以不是物理上的分离，可以是也可以不是物理模块，或者可以分布到多个电路模块中，可以根据实际的需要选择其中的部分或全部模块来实现本技术实施例方案的目的。
19.本技术实施例供了一种身份认证方法、装置、计算机设备及存储介质，可用于第一节点，第一节点可以是服务器节点，第一节点可用于执行身份认证方法，如用于在隐私计算中进行身份认证。
20.本技术实施例的方案可基于信息安全技术实现，具体来说涉及信息安全技术中的信息加密、信息传输、信息验证领域，下面将分别进行介绍。
21.多重要素验证（multi-factor authentication，mfa），又称为多因子认证、多因素验证、多因素认证，是一种电脑访问控制的方法。用户要通过两种以上的认证机制之后，才能得到授权，使用电脑资源。例如，用户要输入pin码，插入银行卡，最后再经指纹比对，通过这三种认证方式，才能获得授权。这种认证方式可以提高安全性。多重要素验证的概念也广泛应用于计算机系统以外的各领域。例如许多国家使用的自助出入境系统允许旅客不经人工检查即可通过边境检查。使用时，通常需要旅行证件扫描、指纹、面部特征三种要素结合来验证身份。双重认证是多重要素验证中的特例，只使用两种认证机制。
22.对称加密技术（symmetric encryption technique），采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。需要对加密和解密使用相同密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指
令。算法是一组规则，规定如何进行加密和解密。因此加密的安全性不仅取决于加密算法本身，密钥管理的安全性更是重要。因为加密和解密都使用同一个密钥，如何把密钥安全地传递到解密者手上就成了必须要解决的问题同态加密技术（homomorphic encryption），同态加密是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。本质上，同态加密是指这样一种加密函数，对明文进行环上的加法和乘法运算再加密，与加密后对密文进行相应的运算，结果是等价的。
23.安全内存加密（secure memory encryption，sme），用于使用单个临时密钥支持页面粒度内存加密，安全内存加密为软件提供了将某些页面标记为加密的能力。标记的页面在软件读写时自动解密和加密。所有页面都使用单个 128 位临时 aes 密钥加密，该密钥是在每次启动时使用硬件随机生成器随机创建的，软件无法访问。每次启动时处理器都会生成一个新密钥。
24.传输层安全性协议（transport layer security，tls），是一种安全协议，目的是为互联网通信，提供安全及数据完整性保障。tls协议采用主从式架构模型，用于在两个应用程序间通过网络创建起安全的连接，防止在交换数据时受到窃听及篡改。tls协议的优势是与高层的应用层协议（如http、ftp、telnet等）无耦合。应用层协议能透明地运行在tls协议之上，由tls协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过tls协议时都会被加密，从而保证通信的私密性。
25.双向传输层安全性协议（mutual transport layer security，mtls），在建立互联网通信的两个参与方之间基于tls协议互相进行安全验证，从而基于tls协议创建加密通道。
26.tls证书，tls证书使用非对称加密算法计算得到，例如rsa算法（rsa algorithm），所以tls证书中有私钥和公钥。公钥、私钥和签名信息共同组成一个证书，此处的签名信息包含诸多杂项，比如组织信息、ca机构、过期时间、版本等等一切能被客户端识别的信息。
27.访问令牌（access token），表示访问控制操作主体的系统对象，当用户登陆时，系统创建一个访问令牌，里面包含登录进程返回的sid和由本地安全策略分配给用户和用户的安全组的特权列表。以该用户身份运行的所有进程都拥有该令牌的一个拷贝。系统使用令牌控制用户可以访问哪些安全对象，并控制用户执行相关系统操作的能力。
28.本技术的一种实施例中，第一节点通过加密通道向注册节点发送验证请求，从注册节点接收第一令牌，通过加密通道向第二节点发送所述第一令牌及所述第一身份标识，以使第二节点对第一身份标识和第一令牌进行校验；第一节点对第二节点在校验通过后发送的第二令牌及第二身份标识进行身份认证校验，得到初始校验结果；初始认证结果为通过，则通过加密通道发送第二身份标识至所述注册节点进行有效期校验，从注册节点接收最终认证结果。
29.本技术的另一种实施例中，第一节点是先在预先构建的可信环境对第一消息中携带的登录信息进行认证，得到认证输出结果反馈至终端；之后再通过加密通道向注册节点发送验证请求，从注册节点接收第一令牌，通过加密通道向第二节点发送所述第一令牌及所述第一身份标识，以使第二节点对第一身份标识和第一令牌进行校验；第一节点对第二
节点在校验通过后发送的第二令牌及第二身份标识进行身份认证校验，得到初始校验结果；初始认证结果为通过，则通过加密通道发送第二身份标识至所述注册节点进行有效期校验，从注册节点接收最终认证结果。
30.本技术的又一种实施例中，第一节点是先通过加密通道向注册节点发送验证请求，从注册节点接收第一令牌，通过加密通道向第二节点发送所述第一令牌及所述第一身份标识，以使第二节点对第一身份标识和第一令牌进行校验；第一节点对第二节点在校验通过后发送的第二令牌及第二身份标识进行身份认证校验，得到初始校验结果；初始认证结果为通过，则通过加密通道发送第二身份标识至所述注册节点进行有效期校验，从注册节点接收最终认证结果；再在预先构建的可信环境对第一消息中携带的登录信息进行认证，得到认证输出结果反馈至终端。
31.一些实施方式中，本技术实施例可应用于如图1所示的一种身份认证系统1，所述身份认证系统1包括第一节点10（也可以理解为服务器）、第二节点20（也可以理解为服务器）及一个注册节点30（也可以理解为注册服务器）。所述第一节点10与第二节点20之间，以及所述注册节点30与第一节点10及第二节点20之间均可以进行数据交互，第一节点10与第二节点20的结构及数据处理方式相同，第一节点10及第二节点20均为身份认证系统1的参与方，客户节点40（也可以理解为终端）可与任意一个参与方之间进行数据交互。客户节点40可供用户进行登录使用，本技术实施例中的方法步骤可在第一节点10一侧或第二节点20一侧进行执行。
32.可选地，所述第一节点10及第二节点20均可以是诸如服务器、云服务器等终端设备，本技术实施例对此不作限定。
33.其中，需要特别说明的是，本技术涉及的服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能平台等基础云计算服务的云服务器。
34.本技术实施例涉及的服务终端，该服务终端可以包括：智能手机、平板电脑、笔记本电脑、桌上型电脑、智能电视、智能音箱、个人数字助理（英文全称：personal digital assistant，英文简称：pda）、台式计算机、智能手表等携带多媒体数据处理功能（例如，视频数据播放功能、音乐数据播放功能）的智能终端，但并不局限于此。
35.本技术实施例主要提供以下技术方案：第一节点通过加密通道向注册节点发送验证请求，从注册节点接收第一令牌，通过加密通道向第二节点发送所述第一令牌及所述第一身份标识，以使第二节点对第一身份标识和第一令牌进行校验；第一节点对第二节点在校验通过后发送的第二令牌及第二身份标识进行身份认证校验，得到初始校验结果；初始认证结果为通过，则通过加密通道发送第二身份标识至所述注册节点进行有效期校验，从注册节点接收最终认证结果。其中，数据流向变化过程如图3a所示。
36.下面，将结合几个实施例对本技术技术方案进行详细的介绍说明。
37.参照图2a，以下介绍本技术实施例所提供的一种身份认证方法，本技术实施例包括：201、服务器通过加密通道向所述注册节点发送验证请求。
38.第一节点对应的服务器可通过加密通道发送验证请求至所述注册节点；所述验证请求包括所述第一节点的第一身份标识。一个第一节点及第二节点均可作为多方协作的一个参与方，针对多个参与方（第一节点及第二节点）之间的协作，为保障各参与方身份的安全性、公平性以及可持续性，可通过注册节点对各参与方进行身份认证的过程进行协调，注册节点为与参与方（第一节点及第二节点）相独立的dashboard(注册中心)节点。注册节点作为对各参与方（第一节点及第二节点）进行协调的角色，其负责各参与方之间进行通信时的身份认证、信任和鉴权，确保各个参与方进行身份认证的信息安全、不被泄露，也防止外部对身份认证过程进行攻击。
39.在各参与方（第一节点及第二节点）与注册节点之间的通信层面均采用双向tls进行验证，从而在参与方与注册节点之间建立基于双向tls的加密通道。则当前步骤中，参与方对应的服务器可通过与注册节点之间建立的加密通道后，通过加密通道将验证请求发送至注册节点。验证请求中包含参与方的第一身份标识，其中，第一身份标识可以是第一节点的tls证书。
40.一些实施方式中，如图4所示，为提高进行身份信息传输的安全性，所述通过加密通道向所述注册节点发送验证请求之前，还包括：231、服务器对从所述注册节点接收的第三身份标识进行公私钥对验证，得到第一标识验证结果；232、若所述第一标识验证结果为通过，则服务器发送所述第一身份标识至所述注册节点，以使所述注册节点对所述第一身份标识进行公私钥对验证；233、若接收到所述注册节点反馈的第二标识验证结果为通过，服务器与所述注册节点之间建立加密通道。其中，数据流向变化过程如图3b所示。
41.具体方法中，在第一节点与第二节点建立加密通道的方式与上述方式相同，仅仅是将上述步骤中注册节点的第三身份标识替换为第二节点的第二身份标识，将上述步骤中的注册节点替换为第二节点。
42.在建立加密通道之前，注册节点及参与方作为参与通信的双方都各自生成对应的身份标识，则注册节点一侧的身份标识即为第三身份标识，第一节点一侧的身份标识即为第一身份标识，第三身份标识及第一身份标识均为tls证书。具体过程为，参与方（第一节点或第二节点）先发送连接请求至注册节点，注册节点根据连接请求向参与方发送第三身份标识，参与方对第三身份标识进行公私钥对验证。此公私钥对验证过程在参与方本地进行，进行公私钥对验证的过程也即是通过证书中的公私钥对进行认证校验，得到第一标识验证结果；若第一标识验证结果为通过，参与方将其存储的与参与方对应的第一身份标识发送至注册节点，注册节点采用同样的方式在本地对第一身份标识进行公私钥对验证，得到第二标识验证结果并反馈至参与方，参与方获取注册节点反馈的第二标识验证结果。若第二标识验证结果为通过，则通过双方证书中的公钥及私钥建立基于tls的传输连接，也即所建立的传输连接中所传输的信息均通过tls证书中的公私钥对进行加密。
43.建立加密通道后，参与方与注册节点之间的信息传输均可通过该加密通道进行；在任意参与方与注册节点之间均可通过上述方式建立加密通道，与此同时，，在参与方与另一参与方之间，也可通过上述方式建立加密通道。
44.202、服务器从所述注册节点接收第一令牌, 通过所述加密通道向所述第二节点
发送所述第一令牌及所述第一身份标识，以使所述第二节点对所述第一身份标识和第一令牌进行校验。
45.在本技术实施例中，第一节点对应的服务器可获取注册节点反馈的第一令牌，并将第一令牌发送至其它参与方（第二节点），从而在其它参与方（第二节点）对当前参与方（第一节点）进行身份认证；所述第一令牌包括所述第一身份标识及第一令牌，所述第一令牌基于所述第一身份标识得到。
46.验证请求中还可以包括验证时间，注册节点接收到包含第一身份标识的验证请求后，即可对验证请求中的第一身份标识进行合法性验证，若合法性验证通过，则为当前参与方（第一节点）的第一身份标识分配对应的第一令牌，并根据验证请求中的验证时间为第一令牌设置有效期限，注册节点对每一令牌的有效期限进行本地存储。其中，有效期限的起始时间即为验证请求中的验证时间，终止时间可以是与起始时间间隔预设时长的一个时间点，如预设时长为2小时。
47.其中，注册节点可先为第一身份标识分配对应的一个访问令牌，再通过认证规则将第一身份标识编码至访问令牌中，如将第一身份标识的指纹（哈希码）编码到所分配的访问令牌中，以将该访问令牌与第一身份标识进行绑定从而生成第一令牌，此时第一令牌也成为一个与当前参与方相绑定的令牌。所有令牌均通过注册节点进行发放，从而通过中心化的服务以实现令牌发放的安全可控；每一参与方均与一个令牌唯一对应，因此这一令牌发放方式还能够显著降低节点之间错误访问的风险，实现各参与方之间进行访问的安全可控。
48.203、服务器通过所述加密通道接收所述第二节点在对所述第一身份标识和第一令牌校验通过后发送的第二令牌及第二身份标识，根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果。
49.服务器根据预置的认证规则对从系统中第二节点获取的第二身份标识及第二令牌进行认证校验，得到初始认证结果；也即在服务器对应的第一节点中对第二身份标识及所述第二令牌进行身份认证校验。当前参与方（第一节点）从注册节点获取到第一令牌后，即可将第一令牌发送至其它参与方（第二节点），以在其它参与方中对当前参与方进行身份认证。其中，第一节点与第二节点之间可通过所建立的加密通道进行信息传输。
50.以下示例中以当前参与方（第一节点）接收到其它参与方（第二节点）的第二身份标识及第二令牌并进行身份认证校验为例进行说明，其它参与方（第二节点）接收到当前参与方（第一节点）的第一令牌及第一身份标识并进行身份认证校验的过程类似。若第一节点接收到来自第二节点的第二身份标识及第二令牌，通过认证规则对第二身份标识及第二令牌进行认证校验，也即是对第二身份标识与第二令牌所指向的参与方是否一致进行校验。当前参与方可将第二身份标识与第二令牌中编码的证书指纹是否相同进行校验，从而验证第二身份标识与第二令牌所指向的参与方是否一致，得到的初始认证结果为认证通过或认证不通过。若第二身份标识与第二令牌所指向的参与方相同，则得到认证通过的初始认证结果，说明第二令牌的签发方与第二身份标识的所有方是一致的；若第二身份标识与第二令牌所指向的参与方不相同，则得到认证不通过的初始认证结果，说明第二令牌的签发方与第二身份标识的所有方是不一致的。
51.一些实施方式中，为提高对第二身份标识及第二令牌进行校验的准确性，所述根
据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果，具体包括：对所述第二身份标识进行编码得到编码序列；验证所述编码序列是否包含于所述第二令牌中的预设位置，得到初始认证结果；所述预设位置为所述第二令牌中与所述认证规则对应的序列位置。
52.第二身份标识中包括公钥、私钥和签名信息等字符信息，可对第二身份标识中的字符信息进行编码，从而得到证书编码序列，证书编码序列为由多个字符组成字符序列，证书编码序列也即是对第二身份标识进行编码所得到的证书指纹。具体编码方式为ascii编码、base64编码等，还可以是其它预设编码方式，如累加编码或映射编码等。其中，累加编码可以是将第二身份标识中多个项目的数值（如公钥对应的数值、私钥对应的数值、签名信息对应的数值等）进行累加，累加所得结果即可作为证书编码序列进行使用；若各项目的数值均为相同进制即可直接进行累加，若各项目的数值为不同进制，可将各项目的数值转换为相同进制后（如都转换为16进制的数值）再进行累加。映射编码，可以是根据一个或多个字符与另外的一个或多个字符之间的映射关系，对第二身份标识中多个项目的数值进行映射转换，从而实现编码并得到证书编码序列；如第二身份标识中数据值中的某一连续字符为“a3cb”，根据映射关系对应映射为“s1”，则“s1”即为连续字符“a3cb”所对应的编码结果。
53.获取到证书编码序列后，即可对证书编码序列是否包含于第二令牌中的预设位置进行验证，也即是验证第二令牌中预设位置的字符是否与证书编码序列相同，从而得到对应的初始认证结果，初始认证结果为认证通过或认证不通过。若证书编码序列包含于第二令牌中的预设位置，则初始认证结果为通过；否则初始认证结果为不通过。其中，预设位置可以是第二令牌中的任意位置，预设位置可以是连续字符位置或不连续的字符位置。
54.例如，第二令牌中的预设位置为字符的第17至第32位，即可判断证书编码序列是否与第二令牌中第17至第32位的字符是否相同，从而验证证书编码序列是否包含于第二令牌中的预设位置。
55.一些实施方式中，为进一步提高对第二身份标识及第二令牌进行校验的准确性，所述根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果，具体包括：根据所述认证规则将所述第二身份标识编码至所述第二节点对应的访问令牌中，得到目标验证令牌；验证所述目标验证令牌是否与所述第二令牌相同，得到初始认证结果。
56.在另一种实施方式中，还可根据认证规则将第二身份标识编码值第一访问令牌中，得到目标验证令牌，具体的，可对第一身份标识进行编码得到证书编码序列，认证规则可以是包含证书编码序列在第二令牌中对应进行插入的序列位置的规则，证书编码序列在第二令牌中对应进行插入的序列位置以是第二令牌中的任意位置，证书编码序列在第二令牌中对应进行插入的序列位置可以是连续字符位置或不连续的字符位置；还可以是对证书编码序列与第二访问令牌进行数学运算的规则，数学运算可以是加、减、乘、除等基本运算，还可以是取余、逻辑或、逻辑与、逻辑异或等运算。通过认证规则即可实现将第二身份标识编码值第二访问令牌中，从而得到目标验证令牌。
57.得到目标验证令牌后，即可对目标验证令牌是否与第二令牌相同进行验证，从而
得到对应的初始认证结果。
58.204、若所述初始认证结果为通过，则服务器通过所述加密通道向所述注册节点发送所述第二令牌，以使所述注册节点对所述第二令牌进行有效期校验。
59.若所述初始认证结果为通过，则服务器通过所述加密通道发送所述第二令牌至所述注册节点，注册节点可对第二令牌进行有效期校验，得到最终认证结果；所述注册节点中存储有各令牌对应的有效期限。
60.若初始认证结果为认证通过，则当前参与方（第一节点）对应的服务器可通过加密通道将第二令牌发送至注册节点，注册节点根据所存储的各令牌对应的有效期限对第二令牌进行有效期校验，也即是校验第二令牌是否在有效期限之内以及第二令牌是否是与在当前参与方（第一节点）中进行身份校验的另一参与方（第二节点）进行通信所签发，得到最终认证结果反馈至当前参与方（第一节点）。最终认证结果为认证有效或认证无效，若最终认证结果为有效，证明第二令牌有效，也即认证通信过程中另一参与方（第二节点）的证书及令牌均是有效的。
61.205、服务器从所述注册节点接收最终认证结果。
62.若最终认证结果为认证通过，则与当前参与方（第一节点）对应的服务器中记录另一参与方（第二节点）认证通过的信息，从而实现完整的身份认证和合法认证。例如，将另一参与方的节点标识添加至当前参与方的认证白名单中，节点标识也即与每一参与方唯一对应的标识信息。
63.本发明的技术方法，可保证在多参与方时对各参与方之间的身份进行合法性认证，从而实现高效、安全的多方协作安全环境的构建。
64.可见，通过本方案，在隐私数据计算、智慧数据分析等场景中能够大幅提高身份认证的安全性。其中，第一方面，通过加密通道在第一节点与注册节点之间以及第一节点与第二节点之间进行信息传输，提高了身份认证过程中信息传输的安全性，避免内部数据外泄；另一方面，发送验证请求至注册节点并获取反馈的第一令牌，通过注册节点统一分配令牌，并对其他节点的令牌及身份标识在本地进行身份认证校验，身份认证校验通过后发送第二令牌至注册节点，以在注册节点对第二令牌进行有效期校验，确保了参与方之间身份认证的可靠性，提高了多方协作时各参与方进行身份认证的安全性及可靠性。
65.参照图2b，以下介绍本技术实施例所提供的一种身份认证方法，本技术实施例包括：211、服务器从终端获取第一消息，对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果。
66.在本实施例中，还可在第一节点（或第二节点）中对终端进行登录身份认证。第一节点（或第二节点）从终端获取第一消息后，可对第一消息中的登录信息在预先创建的可信环境中进行认证，得到认证输出结果。其中，服务器中创建的可信环境具体包括认证计算模块、内存加密模块、存储模块及输出模块，可信环境为服务器的硬件环境上创建的、单独隔离的一块硬件环境，可信环境可实现认证计算的安全隔离；在进行登录信息的认证时，综合使用内存加密保护、可信认证计算、存储加密等技术保证可信环境的安全运行，从而确保静态存储及动态运行时的安全性。
67.其中，认证计算模块：可对服务器接收到的登录信息进行认证计算。内存加密模
块：即安全内存加密(secure memory encryption
ꢀ‑ꢀ
sme)。内存加密可以用来保护服务器系统免受各种攻击。即数据不仅在服务器的磁盘上进行加密，还在可信环境的内存中进行加密；通过将数据信息加密存储至内存加密模块中，可阻止数据信息被未经授权的管理员、软件或硬件探测而窃取。存储模块：可用于对用户的注册信息进行存储，并对用户的密码信息进行加密存储，其中密码信息的加密存储包括用户的登录密码和/或mfa信息的加密存储。其中，针对登录密码和mfa中的字符类信息采用对称加密方式加密，针对mfa中的非字符类信息（如图像类数据）采用非对称加密中同态加密技术进行加密。输出模块：可将认证得到的认证输出结果写入磁盘进行记录，便于审计以及登录行为异常的校验。
68.本技术实施例中，由于可信环境为单独隔离的硬件环境，因此在可信环境中对登录信息进行认证，可避免认证过程收到外界干扰，从而提高对登录信息进行认证的可靠性，大幅提高了多方协作任务中进行身份认证时对网络攻击的防范能力。
69.一些实施方式中，为提高对登录信息进行认证的可靠性，所述对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果，具体包括：所述认证计算模块对所述登录信息与所述存储模块中的密码存储块进行密钥比对验证，得到认证输出结果；或者是，所述认证计算模块对所述登录信息与所述存储模块中的多重要素验证存储块进行多重要素验证，得到认证输出结果。
70.在对登录信息进行认证时，可选用多种不同方式进行认证。其中一种方式为对登录信息进行密码验证，具体的，认证计算模块会读取存储模块中与登录信息对应的密码存储块，在进行验证时，采用密钥比对形式对登录信息与读取的密码存储块进行验证，得到认证输出结果返回到输出模块进行后续输出。另一种方式为对登录信息进行mfa验证（多重要素验证），认证计算模块利用输入的登录信息中的mfa信息与存储模块中对应mfa存储块的信息进行比对验证；此处的比对计算过程中采用同态加密技术进行密文计算。其中，登录信息中的mfa信息首先会采用用户进行注册时基于加密算法(同态加密)生成的公钥对其进行加密，加密之后得到的密文与mfa存储块中的信息进行比对计算，所得到的认证输出结果同样反馈给输出模块进行后续输出。在本技术实施例中，可选择上述两种认证方式中的其中一种对登录信息进行认证。
71.一些实施方式中，为进一步提高对登录信息进行认证的可靠性，所述对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果，具体包括：所述认证计算模块对所述登录信息与所述存储模块中的密码存储块进行密钥比对验证，得到第一登录认证结果；所述认证计算模块对所述登录信息与所述存储模块中的多重要素验证存储块进行多重要素验证，得到第二登录认证结果；将所述第一登录认证结果与所述第二登录认证结果组合为认证输出结果。
72.在对登录信息进行认证时，可选用多种不同方式进行组合认证。其中一种方式为对登录信息进行密码验证，得到第一登录认证结果；另一种方式为对登录信息进行mfa验证（多重要素验证），得到第二登录认证结果。同时采用对两种认证方式对登录信息进行认证，并对所得到的第一登录认证结果及第二登录认证结果进行组合，以组合得到认证输出结果，所得到的认证输出结果反馈给输出模块进行后续输出。在本技术实施例中，通过多种认
证方式的组合，针对特征应用场景（如对高度机密的隐私数据进行处理的场景）或特殊应用数据（如高度机密的隐私数据）处理时，需要在对登录信息中的账号及密码进行认证之后，再进行二次身份认证，以保证即使用户名和密码泄露也无法进行登录，从而可大幅提高对登录信息进行认证的可靠性，也即提高用户登录的安全性。
73.212、服务器向所述终端发送所述认证输出结果。
74.第一节点（或第二节点）对应的服务器获取到认证输出结果后，即可将认证输出结果反馈至终端，用户通过终端接收的认证输出结果即可获知是否认证成功。若认证输出结果为认证成功，则第一节点（或第二节点）根据认证输出结果对该终端进行登录，终端可发送相应指令以在第一节点（或第二节点）中执行与指令对应的操作；若认证输出结果为认证不成功，则第一节点（或第二节点）不对该终端进行登录。通过上述步骤，即可实现对终端的登录信息进行登录身份认证。本发明除了能够保证在多参与方时对各参与方之间的身份进行合法性认证之外，还能够保证登录用户的身份安全认证，实现登录过程中身份认证的高效性、多样性、便捷性。数据流向变化过程如图3c所示。
75.213、服务器通过加密通道向所述注册节点发送验证请求。
76.第一节点对应的服务器通过加密通道向注册节点发送验证请求，所述验证请求包括所述第一节点的第一身份标识。
77.214、服务器从所述注册节点接收第一令牌，通过所述加密通道向所述第二节点发送所述第一令牌及所述第一身份标识，以使所述第二节点对所述第一身份标识和第一令牌进行校验；所述第一令牌基于所述第一身份标识得到。
78.215、服务器通过所述加密通道接收所述第二节点在对所述第一身份标识和第一令牌校验通过后发送的第二令牌及第二身份标识，根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果。
79.216、若所述初始认证结果为通过，则服务器通过所述加密通道向所述注册节点发送所述第二令牌，以使所述注册节点对所述第二令牌进行有效期校验。
80.217、服务器从所述注册节点接收最终认证结果。
81.通过对登录用户的身份进行安全认证；之后再通过加密通道发送令牌及身份标识，以对各参与方之间的身份进行合法性认证，确保在参与方中登录的终端合法可靠，从而进一步提高多方协作时各参与方进行身份认证的安全性及可靠性。
82.在本实施例的方法中，第一方面，通过创建可信环境对登录信息进行认证，确保了客户节点登录时身份认证的安全性；第二方面，通过加密通道在第一节点与注册节点之间以及第一节点与第二节点之间进行信息传输，提高了身份认证过程中信息传输的安全性，避免内部数据外泄；另三方面，发送验证请求至注册节点并获取反馈的第一令牌，通过注册节点统一分配令牌，并对其他节点的令牌及身份标识在本地进行身份认证校验，身份认证校验通过后发送第二令牌至注册节点，以在注册节点对第二令牌进行有效期校验，确保了参与方之间身份认证的可靠性，确保了参与方之间身份认证的可靠性。
83.图2a中所对应的实施例中所提及的任一技术特征也同样适用于本技术实施例中的图2b所对应的实施例，后续类似之处不再赘述。
84.参照图2c，以下介绍本技术实施例所提供的一种身份认证方法，本技术实施例包括：
221、服务器通过加密通道向所述注册节点发送验证请求；所述验证请求包括所述第一节点的第一身份标识。
85.222、服务器从所述注册节点接收第一令牌，通过所述加密通道向所述第二节点发送所述第一令牌及所述第一身份标识，以使所述第二节点对所述第一身份标识和第一令牌进行校验；所述第一令牌基于所述第一身份标识得到。
86.223、服务器通过所述加密通道接收所述第二节点在对所述第一身份标识和第一令牌校验通过后发送的第二令牌及第二身份标识，根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果。
87.224、若所述初始认证结果为通过，则服务器通过所述加密通道向所述注册节点发送所述第二令牌，以使所述注册节点对所述第二令牌进行有效期校验。
88.225、服务器从所述注册节点接收最终认证结果。
89.226、服务器从终端获取第一消息，对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果。
90.227、服务器向所述终端发送所述认证输出结果。
91.通过再通过加密通道发送令牌及身份标识，以对各参与方之间的身份进行合法性认证；之后再对登录用户的身份进行安全认证，确保终端在安全可靠的多方协作安全环境中的参与方中进行登录，从而提高多方协作过程中进行身份认证的安全性及可靠性。
92.在本实施例的方法中，第一方面，通过加密通道在参与方与注册节点之间进行信息传输，提高了身份认证过程中各信息传输的安全性，避免内部数据外泄；另二方面，发送验证请求至注册节点并获取反馈的第一令牌，通过注册节点统一分配令牌，并对其他节点的令牌及身份标识在本地进行身份认证校验，身份认证校验通过后发送第二令牌至注册节点，以在注册节点对第二令牌进行有效期校验，确保了参与方之间身份认证的可靠性，确保了参与方之间身份认证的可靠性；第三方面，通过在参与方中创建可信环境对登录信息进行认证，确保了客户节点登录时身份认证的安全性。
93.图2a及图2b中所对应的实施例中所提及的任一技术特征也同样适用于本技术实施例中的图2c所对应的实施例，后续类似之处不再赘述。
94.图2a及图2c中任一项所对应的实施例中所提及的任一技术特征也同样适用于在本技术实施例中的图5至图8所对应的实施例，后续类似之处不再赘述。
95.以上对本技术实施例中一种身份认证的方法进行说明，以下对执行上述身份认证的方法的身份认证的装置（例如服务器）进行介绍。
96.参阅图5，如图5所示的一种身份认证的装置100的结构示意图，其可应用于服务器中，用于通过加密通道向注册节点发送验证请求，从注册节点接收第一令牌，通过加密通道向第二节点发送所述第一令牌及所述第一身份标识，以使第二节点对第一身份标识和第一令牌进行校验；第一节点对第二节点在校验通过后发送的第二令牌及第二身份标识进行身份认证校验，得到初始校验结果；初始认证结果为通过，则通过加密通道发送第二身份标识至所述注册节点进行有效期校验，从注册节点接收最终认证结果。在本技术实施例中的身份认证的装置100能够实现对应于上述图2a、图2b及图2c中任一所对应的实施例中所执行的身份认证的方法的步骤。身份认证的装置实现的功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块，所述模块
可以是软件和/或硬件。所述身份认证的装置100可包括处理模块11及收发模块12，所述装置100还可以包括显示模块（图5中未标识出），所述处理模块11、所述收发模块12的功能实现可参考图2a、图2b及图2c所对应的实施例中所执行的操作，此处不作赘述。例如，所述处理模块11可用于控制所述收发模块12的收发、获取等操作，以及控制所述显示模块的显示预设空间等操作。
97.一些实施方式中，所述收发模块12，用于通过加密通道向所述注册节点发送验证请求以及从所述注册节点接收第一令牌；所述验证请求包括所述第一节点的第一身份标识，所述第一令牌基于所述第一身份标识得到；所述收发模块12，还用于通过所述加密通道向所述第二节点发送所述第一令牌及所述第一身份标识，以使所述第二节点对所述第一身份标识和第一令牌进行校验；所述收发模块12，还用于通过所述加密通道接收所述第二节点在对所述第一身份标识和第一令牌校验通过后发送的第二令牌及第二身份标识；所述处理模块11，用于根据预置的认证规则对第二身份标识及所述第二令牌进行身份认证校验，得到初始认证结果；所述收发模块12，还用于若所述初始认证结果为通过，则通过所述加密通道向所述注册节点发送所述第二令牌，以使所述注册节点对所述第二令牌进行有效期校验；所述收发模块12，还用于从所述注册节点接收最终认证结果。
98.一些实施方式中，所述收发模块12，还用于从终端获取第一消息，以及向所述终端发送所述认证输出结果；所述处理模块11，还用于对所述第一消息中携带的登录信息在预先创建的可信环境中进行认证得到认证输出结果。
99.一些实施方式中，所述处理模块11，还用于：所述认证计算模块对所述登录信息与所述存储模块中的密码存储块进行密钥比对验证，得到认证输出结果；或者是，所述认证计算模块对所述登录信息与所述存储模块中的多重要素验证存储块进行多重要素验证，得到认证输出结果。
100.一些实施方式中，所述处理模块11，还用于：所述认证计算模块对所述登录信息与所述存储模块中的密码存储块进行密钥比对验证，得到第一登录认证结果；所述认证计算模块对所述登录信息与所述存储模块中的多重要素验证存储块进行多重要素验证，得到第二登录认证结果；将所述第一登录认证结果与所述第二登录认证结果组合为认证输出结果。
101.一些实施方式中，所述处理模块11，还用于：所述第一节点对从所述注册节点接收的第三身份标识或从所述第二节点接收的第二身份标识进行公私钥对验证，得到第一标识验证结果；若所述第一标识验证结果为通过，则发送所述第一身份标识至所述注册节点或所述第二节点，以使所述注册节点或所述第二节点对所述第一身份标识进行公私钥对验证；若所述第一节点接收到所述注册节点或所述第二节点反馈的第二标识验证结果为通过，与所述注册节点或所述第二节点之间建立加密通道。
102.一些实施方式中，所述处理模块11，还用于：对所述第二身份标识进行编码得到编码序列；验证所述编码序列是否包含于所述第二令牌中的预设位置，得到初始认证结果；所述预设位置为所述第二令牌中与所述认证规则对应的序列位置。
103.一些实施方式中，所述处理模块11，还用于：根据所述认证规则将所述第二身份标识编码至所述第二节点对应的访问令牌中，得到目标验证令牌；验证所述目标验证令牌是否与所述第二令牌相同，得到初始认证结果。
104.上面从模块化功能实体的角度对本技术实施例中的身份认证的装置进行了描述，下面从硬件处理的角度分别对本技术实施例中的执行身份认证的方法的身份认证的装置（例如服务器）进行描述。需要说明的是，在本技术实施例图5任一所示的实施例中的收发模块对应的实体设备可以为收发器、输入/输出单元、射频电路、通信模块和输出接口等，处理模块对应的实体设备可以为处理器。例如，图5所示的装置100可以具有如图6所示的结构，当图5所示的装置100具有如图6所示的结构时，图6中的处理器和收发器能够实现前述对应该装置100的装置实施例提供的处理模块11和收发模块12相同或相似的功能，图6中的存储器存储处理器执行上述身份认证的方法时需要调用的计算机程序。
105.图7是本技术实施例提供的一种服务器的结构示意图，该服务器720可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器（英文全称：central processing units，英文简称：cpu）722（例如，一个或一个以上处理器）和存储器732，一个或一个以上存储应用程序742或数据744的存储介质730（例如一个或一个以上海量存储设备）。其中，存储器732和存储介质730可以是短暂存储或持久存储。存储在存储介质730的程序可以包括一个或一个以上模块（图示没标出），每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器722可以设置为与存储介质730通信，在服务器720上执行存储介质730中的一系列指令操作。
106.服务器720还可以包括一个或一个以上电源726，一个或一个以上有线或无线网络接口750，一个或一个以上输入输出接口758，和/或，一个或一个以上操作系统741，例如windows server，mac os x，unix, linux，freebsd等等。
107.上述实施例中由服务器所执行的步骤可以基于该图7所示的服务器720的结构。例如上述实施例中由图5所示的装置100所执行的步骤可以基于该图7所示的服务器结构。例如，所述处理器722通过调用存储器732中的指令，执行以下操作：通过输入输出接口758获取所输入的第一令牌、第二令牌、第二身份标识及最终认证结果，并发送验证请求及第二令牌。
108.本技术实施例还提供了另一种服务终端，如图8所示，为了便于说明，仅示出了与本技术实施例相关的部分，具体技术细节未揭示的，请参照本技术实施例方法部分。该服务终端可以为包括手机、平板电脑、个人数字助理（英文全称：personal digital assistant，英文简称：pda）、销售终端（英文全称：point of sales，英文简称：pos）、车载电脑等任意终端设备，以终端为手机为例：图8示出的是与本技术实施例提供的终端设备相关的手机的部分结构的框图。参考图8，手机包括：射频（英文全称：radio frequency，英文简称：rf）电路814、存储器820、输
入单元830、显示单元840、传感器850、音频电路860、无线保真（英文全称：wireless fidelity，英文简称：wifi）模块870、处理器880、以及电源890等部件。本领域技术人员可以理解，图8中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
109.下面结合图8对手机的各个构成部件进行具体的介绍：rf电路814可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器880处理；另外，将设计上行的数据发送给基站。通常，rf电路814包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器（英文全称：low noise amplifier，英文简称：lna）、双工器等。此外，rf电路814还可以通过无线通信与网络和其它设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统 （英文全称：global system of mobile communication，英文简称：gsm）、通用分组无线服务（英文全称：general packet radio service，英文简称：gprs）、码分多址（英文全称：code division multiple access，英文简称：cdma）、宽带码分多址（英文全称：wideband code division multiple access, 英文简称：wcdma）、长期演进 （英文全称：long term evolution，英文简称：lte）、电子邮件、短消息服务（英文全称：short messaging service，英文简称：sms）等。
110.存储器820可用于存储软件程序以及模块，处理器880通过运行存储在存储器820的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器820可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序（比如声音播放功能、图像播放功能等）等；存储数据区可存储根据手机的使用所创建的数据（比如音频数据、电话本等）等。此外，存储器820可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其它易失性固态存储器件。
111.输入单元830可用于接收输入的数字或字符信息，以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地，输入单元830可包括触控面板831以及其它输入设备832。触控面板831，也称为触摸屏，可收集用户在其上或附近的触摸操作（比如用户使用手指、触笔等任何适合的物体或附件在触控面板831上或在触控面板831附近的操作），并根据预先设定的程式驱动相应的连接装置。可选的，触控面板831可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器880，并能接收处理器880发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板831。除了触控面板831，输入单元830还可以包括其它输入设备832。具体地，其它输入设备832可以包括但不限于物理键盘、功能键（比如音量控制按键、开关按键等）、轨迹球、鼠标、操作杆等中的一种或多种。
112.显示单元840可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元840可包括显示面板841，可选的，可以采用液晶显示器（英文全称：liquid crystal display，英文简称：lcd）、有机发光二极管（英文全称：organic light-emitting diode, 英文简称：oled）等形式来配置显示面板841。进一步的，触控面板831可覆盖显示面板841，当触控面板831检测到在其上或附近的触摸操作后，传送给处理器880以确定触摸事
件的类型，随后处理器880根据触摸事件的类型在显示面板841上提供相应的视觉输出。虽然在图8中，触控面板831与显示面板841是作为两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中，可以将触控面板831与显示面板841集成而实现手机的输入和输出功能。
113.手机还可包括至少一种传感器850，比如光传感器、运动传感器以及其它传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板841的亮度，接近传感器可在手机移动到耳边时，关闭显示面板841和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上（一般为三轴）加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用（比如横竖屏切换、相关游戏、磁力计姿态校准）、振动识别相关功能（比如计步器、敲击）等; 至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其它传感器，在此不再赘述。
114.音频电路860、扬声器861，传声器862可提供用户与手机之间的音频接口。音频电路860可将接收到的音频数据转换后的电信号，传输到扬声器861，由扬声器861转换为声音信号输出；另一方面，传声器862将收集的声音信号转换为电信号，由音频电路860接收后转换为音频数据，再将音频数据输出处理器880处理后，经rf电路814以发送给比如另一手机，或者将音频数据输出至存储器820以便进一步处理。
115.wi-fi属于短距离无线传输技术，手机通过wi-fi模块870可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图8示出了w-ifi模块870，但是可以理解的是，其并不属于手机的必须构成，完全可以根据需要在不改变申请的本质的范围内而省略。
116.处理器880是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器820内的软件程序和/或模块，以及调用存储在存储器820内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器880可包括一个或多个处理单元；优选的，处理器880可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器880中。
117.手机还包括给各个部件供电的电源890（比如电池），电源可以通过电源管理系统与处理器880逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
118.尽管未示出，手机还可以包括摄像头、蓝牙模块等，在此不再赘述。
119.在在本技术实施例中，该手机所包括的处理器880还具有控制执行以上由图5所示的装置100执行的方法流程。
120.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
121.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
122.在本技术实施例所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所
显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。
123.所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
124.另外，在本技术实施例各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。
125.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。
126.所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机计算机程序时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户线（dsl））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，（例如，软盘、硬盘、磁带）、光介质（例如，dvd）、或者半导体介质（例如固态硬盘solid state disk(ssd)）等。
127.以上对本技术实施例所提供的技术方案进行了详细介绍，在本技术实施例中应用了具体个例对本技术实施例的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术实施例的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术实施例的限制。