身份信息生成及验证方法、装置、可读存储介质与流程

[0001]
本申请涉及信息安全技术领域，具体而言，涉及一种身份信息生成及验证方法、装置、可读存储介质。


背景技术：

[0002]
在办理业务时，包括线上业务和线下业务等各种业务，为了保证业务办理的安全性，都需要进行身份验证。
[0003]
现有技术中，在进行身份验证时，采用单一的身份验证方式。比如：基于人脸识别的法定身份验证；基于行业自定义身份的行业身份验证；pki(public key infrastructure，公钥密码技术)数字身份的验证。但是，单一的身份验证方式不能实现有效且可靠的身份验证，比如：单一的法定身份验证只能验证法定身份，对于行业身份，无法实现验证；单一的行业身份验证只能验证行业身份，无法验证法定身份，且行业身份是否被其他人冒用无法追溯(比如其他人对行业身份进行修改)；单一的pki数字身份具备追溯功能，但是无法对法定身份和行业身份进行验证。


技术实现要素：

[0004]
本申请实施例的目的在于提供一种身份信息生成及验证方法、装置、可读存储介质，用以实现有效且可靠的身份验证。
[0005]
第一方面，本申请实施例提供一种身份验证方法，包括：在确定待验证用户的签名证书为有效签名证书时，对所述有效签名证书进行解析，获取所述待验证用户的第一行业身份信息；所述签名证书用于代表所述待验证用户的数字身份；获取所述待验证用户的法定身份信息，并通过所述法定身份信息确定第二行业身份信息；根据所述第一行业身份信息和所述第二行业身份信息确定所述待验证用户的行业身份信息是否通过验证；在确定所述待验证用户的行业身份信息通过验证时，对所述法定身份信息进行验证；在确定所述法定身份信息通过验证时，确定所述待验证用户通过身份验证。
[0006]
在本申请实施例中，在进行身份验证时，在确定待验证用户的签名证书(相当于用户的数字身份)为有效签名证书时，获取待验证用户的第一行业身份信息，一方面，数字身份信息与行业身份信息具有绑定关系，使行业身份信息具有可追溯性；另一方面，在数字身份通过验证时，再进行进一步地身份验证。然后再通过待验证用户的法定身份信息确定第二行业信息，基于第一行业信息和第二行业信息验证用户的行业身份，法定身份信息与行业身份信息也具有绑定关系，因此，结合行业身份信息与法定身份信息和数字身份信息的两种绑定关系，实现行业身份信息的可靠验证。最后再进行法定身份的验证，在法定身份验证通过后，待验证用户通过身份验证。可见，通过三种身份结合进行身份验证的方式，且三重身份之间还具有对应的绑定关系，最终能够实现数字身份、行业身份以及法定身份三重身份的验证，保证有效且可靠地身份验证。
[0007]
作为一种可能的实现方式，在所述在确定待验证用户的签名证书为有效签名证书
时，对所述有效签名证书进行解析，获取所述待验证用户的第一行业身份信息之前，所述方法还包括：获取所述待验证用户的签名证书；基于所述签名证书生成证书验证请求；将所述证书验证请求发送给第三方证书验证系统；接收所述第三方证书验证系统反馈的证书有效性验证结果；根据所述证书有效性验证结果确定所述签名证书是否为有效签名证书。
[0008]
在本申请实施例中，通过第三方证书验证系统对待验证用户的签名证书进行有效性验证，实现待验证用户的数字身份的验证。
[0009]
作为一种可能的实现方式，在所述根据所述证书有效性验证结果确定所述签名证书是否为有效签名证书之前，所述方法还包括：验证所述证书有效性验证结果是否为有效结果；对应的，所述根据所述证书有效性验证结果确定所述签名证书是否为有效签名证书，包括：在确定所述证书有效性验证结果为有效结果时，根据所述证书有效性验证结果确定所述签名证书是否为有效签名证书。
[0010]
在本申请实施例中，对于第三方证书验证系统所反馈的证书有效性验证结果，在发送过程中也有被篡改的风险，因此，对该验证结果也进行有效性验证，确保数字身份的验证结果的可靠性。
[0011]
作为一种可能的实现方式，所述第一行业身份信息为第一教育esn(education security number，教育安全号)信息，所述通过所述法定身份信息确定第二行业身份信息，包括：根据所述法定身份信息生成查询请求；将所述查询请求发送给教育esn生成系统；接收所述教育esn生成系统反馈的与所述法定身份信息对应的第二教育esn信息，所述第二教育esn信息为所述第二行业身份信息。
[0012]
在本申请实施例中，对于教育行业来说，可以通过法定身份信息向教育esn生成系统请求行业身份信息，实现基于法定身份信息的行业身份信息的有效获取。
[0013]
作为一种可能的实现方式，所述对所述法定身份信息进行验证，包括：根据所述法定身份信息生成法定身份信息验证请求；将所述法定身份验证请求发送给公安人脸验证服务系统；接收所述公安人脸验证服务系统返回的法定身份信息验证结果；根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0014]
在本申请实施例中，通过公安人脸验证服务系统对法定身份信息进行验证，实现法定身份信息的可靠和有效的验证。
[0015]
作为一种可能的实现方式，在所述根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证之前，所述方法还包括：验证所述法定身份信息验证结果是否为有效结果；对应的，所述根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证，包括：在确定所述法定身份信息验证结果为有效结果时，根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0016]
在本申请实施例中，对于公安人脸验证服务系统所反馈的法定身份信息验证结果，在反馈的过程中，也有被篡改的风险，因此，对该验证结果也进行有效性验证，确保法定身份的验证结果的可靠性。
[0017]
第二方面，本申请实施例提供一种身份信息生成方法，包括：在确定用户的法定身份信息通过验证时，根据所述法定身份信息确定所述用户的行业身份信息并保存；生成签名公钥；根据所述行业身份信息和所述签名公钥生成签名证书的申请请求；所述签名证书用于代表所述用户的数字身份；将所述申请请求发送第三方ca系统；接收所述第三方ca系
统签发的签名证书。
[0018]
在本申请实施例中，在进行身份信息的生成时，先根据通过验证的法定身份信息确定用户的行业身份信息；然后再基于行业身份信息生成用户的数字身份信息(即签名证书)；实现三重身份信息的绑定生成，进而在进行身份验证时，也可以基于三重身份信息的绑定生成关系，实现更可靠和更有效地身份验证。
[0019]
作为一种可能的实现方式，在所述在确定用户的法定身份信息通过验证时，根据所述法定身份信息确定所述用户的行业身份信息并保存之前，所述方法还包括：采集用户的法定身份信息；根据所述法定身份信息生成用户的法定身份信息验证请求；接收所述公安人脸验证服务系统反馈的法定身份信息验证结果；根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0020]
在本申请实施例中，通过公安人脸验证服务系统对采集的法定身份信息进行验证，保证采集的法定身份信息的可靠性和有效性。
[0021]
作为一种可能的实现方式，在所述根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证之前，所述方法还包括：获取公安人脸验证服务系统的证书数据；根据所述证书数据验证所述法定身份信息验证结果是否为有效结果；对应的，所述根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证，包括：在确定所述法定身份信息验证结果为有效结果时，根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0022]
在本申请实施例中，对于公安人脸验证服务系统所反馈的法定身份信息验证结果，在反馈的过程中，也有被篡改的风险，因此，对该验证结果也进行有效性验证，确保法定身份信息的验证结果的可靠性。
[0023]
作为一种可选的实施方式，所述行业身份信息为教育esn信息，所述根据所述法定身份信息确定所述用户的行业身份信息并保存，包括：根据所述法定身份信息生成所述教育esn信息的生成请求；将所述生成请求发送给教育esn生成系统；接收所述教育esn生成系统反馈的唯一教育esn信息并保存。
[0024]
在本申请实施例中，对于教育行业来说，可以通过法定身份信息向教育esn生成系统请求行业身份信息，实现基于法定身份信息的行业身份信息的有效获取。
[0025]
第三方面，本申请实施例还提供一种身份信息验证装置，包括用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的方法的功能模块。
[0026]
第四方面，本申请实施例还提供一种身份信息生成装置，包括用于实现第二方面以及第二方面的任意一种可能的实现方式中所述的方法的功能模块。
[0027]
第五方面，本申请实施例还提供一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被计算机运行时执行如第一方面以及第一方面的任意一种可能的实现方式，以及第二方面以及第二方面的任意一种可能的实现方式中所述的方法。
附图说明
[0028]
为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以
根据这些附图获得其他相关的附图。
[0029]
图1为本申请实施例提供的身份信息生成方法的流程图；
[0030]
图2为本申请实施例提供的身份信息生成方法的实际应用流程示意图；
[0031]
图3为本申请实施例提供的身份信息验证方法的流程图；
[0032]
图4为本申请实施例提供的身份信息验证方法的实际应用流程示意图；
[0033]
图5为本申请实施例提供的身份信息生成装置的功能模块框图；
[0034]
图6为本申请实施例提供的身份信息验证装置的功能模块框图。
[0035]
图标：300-身份信息生成装置；301-第一处理模块；302-第二处理模块；400-身份信息验证装置；401-第一验证模块；402-第二验证模块。
具体实施方式
[0036]
下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。
[0037]
本申请实施例所提供的技术方案可以应用各行各业的用户身份验证，比如教育行业；在各行各业的应用场景下，当用户执行某项业务时，通常都需要进行身份验证，在进行身份验证后，才能继续执行对应的业务。比如：教育行业中，涉及到试卷的网上批改，在网上批改试卷的教师都需要先进行身份验证，确保教师具有批改试卷的权限后，才会允许教师在网上批改试卷。
[0038]
可以理解，要实现身份信息的验证，需要先进行身份信息的生成，生成的身份信息一方面作为用户执行业务时的通行证，另一方面作为验证系统进行身份验证时的验证基础。身份信息的验证和生成可以是两个独立的实施流程，而执行这两个独立的实施流程的硬件主体可以是同一个硬件主体，也可以是不同的硬件主体。比如：身份信息的验证由身份信息验证系统(可以是各行各业的业务系统)执行，身份信息的生成由身份信息生成系统执行；(后续实施例中以分开的实施方式进行介绍)身份信息验证系统和身份信息生成系统中均可以包括前端(电脑、手机等电子设备)和后端(服务器)，执行验证或者生成的流程的端为后端。再比如：身份信息的验证和生成均由身份信息管理系统执行，身份信息管理系统同样可以包括前端和后端，执行身份信息管理(包括验证和生成)的流程为后端。因此，本申请实施例的技术方案可以应用于身份信息验证/生成/管理系统的服务器端。此外，前端和后端的架构可以是c/s(客户端-服务器)架构或者b/s(浏览器-服务器)架构。为了便于理解，在接下来的实施例中，先对身份信息的生成流程进行介绍，再对身份信息的验证流程进行介绍。
[0039]
请参照图1，为本申请实施例提供的身份信息生成方法的流程图，该方法包括：
[0040]
步骤101：在确定用户的法定身份信息通过验证时，根据法定身份信息确定用户的行业身份信息并保存。
[0041]
步骤102：生成签名公钥。
[0042]
步骤103：根据行业身份信息和签名公钥生成签名证书的申请请求。签名证书用于代表所述用户的数字身份。
[0043]
步骤104：将申请请求发送第三方ca(certificate authority，证书颁发机构)系统。
[0044]
步骤105：接收第三方ca系统签发的签名证书。
[0045]
在本申请实施例中，在进行身份信息的生成时，先根据通过验证的法定身份信息确定用户的行业身份信息；然后再基于行业身份信息生成用户的数字身份信息(即签名证书)；实现三重身份信息的绑定生成，进而在进行身份验证时，也可以基于三重身份信息的绑定生成关系，实现更可靠和更有效地身份验证。
[0046]
接下来对步骤101-步骤105的详细实施方式进行介绍。
[0047]
在步骤101中，用户指的是待生成身份信息的用户。比如，用户在前端发起身份信息的注册请求，然后前端将注册请求发送给后端，后端基于该注册请求与前端进行交互，以完成后续的执行流程。可以理解，步骤101中限定了在确定用户的法定身份信息通过验证时，才执行步骤101。通常来说，在用户进行身份信息的注册时，都会先输入法定身份信息，法定身份信息包括用户的个人基础信息：身份证信息(包括姓名，身份证号，签发机构等)以及用户的活体人脸数据等。因此，为了保证后续生成的行业身份信息和数字身份信息的有效性和可靠性，在步骤101之前先进行法定身份信息的验证，在法定身份信息验证通过时，才进行行业身份信息的确定，如果法定身份信息验证不通过，则不执行步骤101。
[0048]
作为一种可选的实施方式，法定身份信息的验证过程包括：采集用户的法定身份信息；根据法定身份信息生成用户的法定身份信息验证请求；接收公安人脸验证服务系统反馈的法定身份信息验证结果；根据法定身份信息验证结果确定法定身份信息是否通过验证。
[0049]
其中，举例来说，假设用户是教育行业的学生，则学生的法定身份信息可以包括：学生输入的姓名、身份证信息、学籍信息以及通过摄像头采集的活体人脸信息。在采集时，姓名、身份证信息和学籍信息可以通过前端进行采集，即学生在前端输入这些相应的信息。当然，其中的姓名和身份证信息也可以通过学生上传拍摄的身份证照片或者摄像头扫描身份证照片等方式实现获取，在本申请实施例中不作限定。
[0050]
在采集到用户的法定身份信息后，可以根据法定身份信息生成法定身份验证请求，然后发送给公安人脸验证服务系统，进行验证。对于公安人脸验证服务系统，可以理解为第三方的验证系统，该验证系统属于现成的验证系统，其可以直接完成法定身份信息的验证，在应用时，公安人脸验证服务系统通常设置有第三方服务接口，通过调用该接口，便能实现与公安人脸验证服务系统的交互。公安人脸验证服务系统对法定身份的验证的实施方式属于本领域的常规技术手段，在此不进行具体介绍，举例来说：公安人脸验证服务系统具有大数据库，该大数据库中存储的都是各个用户的最权威的法定身份信息，将待验证的法定身份信息与数据库中权威的法定身份信息进行比对，便能得到验证结果。
[0051]
对于公安人脸验证服务系统来说，在得到验证结果以后，可以直接将验证结果进行反馈；还可以对该验证结果进行签名后再进行反馈。如果公安人脸验证服务系统反馈的是经过签名的结果，在根据法定身份信息验证结果确定法定身份信息是否通过验证之前，该方法还包括：获取公安人脸验证服务系统的证书数据；根据证书数据验证法定身份信息验证结果是否为有效结果；对应的，根据法定身份信息验证结果确定法定身份信息是否通过验证，包括：在确定法定身份信息验证结果为有效结果时，根据法定身份信息验证结果确定法定身份信息是否通过验证。
[0052]
在这种实施方式中，在根据证书数据验证法定身份信息验证结果是否为有效结果时，包括两个验证过程，第一个验证过程为验证证书是否为有效证书，第二个验证过程为基
于有效证书验证法定身份验证结果。在第一个验证过程中，验证的实施过程可以参照标准x509证书验证方法(属于本领域的公知常识)。在第二个验证过程中，可以理解，公安人脸验证服务系统签名时通过其数字证书的私钥进行签名，因而，在验证时，可以先利用有效证书的公钥对签名进行解密，得到一个结果，然后基于验证结果中的具体数据进行计算得到一个结果，将这两个结果进行比对，如果一致，则验证通过，如果不一致，则验证不通过。此外，如果第一个验证过程中，证书验证结果表征证书不是有效证书，则无需进行第二个验证过程；如果第一个验证过程中，证书验证结果表征证书是有效证书，才进行第二个验证过程。在第二个验证过程中，确定验证结果是有效结果，则将验证结果作为法定身份信息的验证结果，比如：验证结果中指示法定身份信息验证通过，则确定法定身份信息通过验证。
[0053]
在本申请实施例中，通过公安人脸验证服务系统对采集的法定身份信息进行验证，保证采集的法定身份信息的可靠性和有效性。对于公安人脸验证服务系统所反馈的法定身份信息验证结果，在反馈的过程中，也有被篡改的风险，因此，对该验证结果也进行有效性验证，确保法定身份信息的验证结果的可靠性。
[0054]
对于行业身份信息，在不同的行业，行业身份信息可能具有不同的标识方式，比如，在教育行业，行业身份信息通过esn(education security number，教育安全号)进行标识；在医学行业，行业身份信息通过医学上制定的各种标准进行标识等。
[0055]
以教育行业为例，作为一种可选的实施方式，步骤101包括：根据法定身份信息生成教育esn信息的生成请求；将生成请求发送给教育esn生成系统；接收教育esn生成系统反馈的唯一教育esn信息并保存。
[0056]
在这种实施方式中，借助教育行业的第三方教育esn生成系统，将法定身份信息发送给该生成系统，该生成系统便可以自动生成对应的教育esn，且该对应的教育esn是对应该法定身份信息的唯一教育esn信息，因此，可以直接作为行业身份信息进行保存。
[0057]
在本申请实施例中，对于教育行业来说，可以通过法定身份信息向教育esn生成系统请求行业身份信息，实现基于法定身份信息的行业身份信息的有效获取。
[0058]
对于其他行业来说，通常也具有这样的第三方平台，用于提供行业身份信息的标识，因此，针对其他行业，步骤101的实施方式同理，也都是基于第三方平台生成行业身份信息。当然，如果其他行业不具有这样的第三方平台，也可以由身份信息生成系统根据对应的行业制定行业身份信息的生成规则，然后由身份信息生成系统基于预先制定的生成规则生成行业身份信息。
[0059]
在步骤101执行完毕后，相当于完成了法定身份信息的生成、行业身份信息的生成，此时执行步骤102，生成签名公钥，该过程可以理解为设置密码的过程，由后端根据预先制定的规则或者标准进行生成即可。
[0060]
在步骤102中生成签名公钥后，执行步骤103，根据行业身份信息和签名公钥生成签名证书的申请请求。其中，除了行业身份信息和签名公钥，还可以包括其他的证书申请时所需要的信息，在此不作限定。签名证书用于代表用户的数字身份，该步骤也可以理解为生成数字身份的申请请求。
[0061]
在步骤103中生成申请请求后，执行步骤104，将申请请求发送第三方ca(certificate authority，证书颁发机构)系统。在第三方ca系统接收到证书的申请请求后，基于行业身份信息和签名公钥生成签名证书，然后发送给后端，后端接收第三方ca系统
签发的整数，并保存，即完成数字身份的生成。
[0062]
结合上述实施例的介绍，请参照图2，为图1所示的流程在实际应用(教育行业的应用)时的一种实施流程示意图，在图2的流程中：
[0063]
首先，教育身份生成系统保存用户输入的姓名、身份证信息、学籍信息以及通过摄像头采集的活体人脸信息，为后续的身份生成提供基础数据。
[0064]
然后，向公安人脸验证服务系统请求获取证书数据(为法定身份信息验证结果数据做验签准备)，并验证该证书的有效性(参照标准x509证书验证方法)，验证证书有效性后进行数据存储。
[0065]
接着，从个人基础数据中取姓名、身份证信息及活体人脸数据，向公安人脸验证服务系统请求人脸验证，公安人脸验证服务系统对接收的信息进行校验验证，并对验证结果进行签名，并将验证结果及结果签名值返回给可信教育数字身份生成系统。
[0066]
然后，教育身份生成系统解析公安人脸验证的返回结果“yes”/“no”；返回结果为“no”代表当前用户法定身份验证失败，直接退出，生成教育身份失败；返回结果为“yes”，继续验证附加的签名值，若签名验证成功则代表当前用户法定身份验证成功，继续后续的步骤。
[0067]
进一步地，使用法定身份信息(身份证号码、类型、姓名)向esn生成系统请求生成esn(教育安全号)信息，esn生成系统根据法定身份信息生成唯一的esn，作为行业身份信息。
[0068]
进一步地，教育身份生成系统使用上述生成的esn、产生的签名公钥以及其他证书申请所需信息向第三方ca系统申请签名证书。
[0069]
最后，第三方ca验证申请方的信息后签发相关的签名证书，该签名证书即代表数字身份，作为业务系统的业务应用凭证。
[0070]
从上述实施流程可以看出，身份信息的生成过程执行完毕后，最终生成的结果是数字身份，在后续的应用过程中，用户只需要将该数字身份作为业务系统的业务应用凭证即可，业务系统的验证系统基于该凭证再进行身份的验证即可。
[0071]
接下来请参照图3，为本申请实施例提供的身份验证方法的流程图，该方法可应用于身份验证系统，该方法包括：
[0072]
步骤201：在确定待验证用户的签名证书为有效签名证书时，对有效签名证书进行解析，获取待验证用户的第一行业身份信息。签名证书用于代表所述待验证用户的数字身份。
[0073]
步骤202：获取待验证用户的法定身份信息，并通过法定身份信息确定第二行业身份信息。
[0074]
步骤203：根据第一行业身份信息和第二行业身份信息确定待验证用户的行业身份信息是否通过验证。
[0075]
步骤204：在确定待验证用户的行业身份信息通过验证时，对法定身份信息进行验证。
[0076]
步骤205：在确定法定身份信息通过验证时，确定待验证用户通过身份验证。
[0077]
在本申请实施例中，在进行身份验证时，在确定待验证用户的签名证书(相当于用户的数字身份)为有效签名证书时，获取待验证用户的第一行业身份信息，一方面，数字身
份信息与行业身份信息具有绑定关系，使行业身份信息具有可追溯性；另一方面，在数字身份通过验证时，再进行进一步地身份验证。然后再通过待验证用户的法定身份信息确定第二行业信息，基于第一行业信息和第二行业信息验证用户的行业身份，法定身份信息与行业身份信息也具有绑定关系，因此，结合行业身份信息与法定身份信息和数字身份信息的两种绑定关系，实现行业身份信息的可靠验证。最后再进行法定身份的验证，在法定身份验证通过后，待验证用户通过身份验证。可见，通过三种身份结合进行身份验证的方式，且三重身份之间还具有对应的绑定关系，最终能够实现数字身份、行业身份以及法定身份三重身份的验证，保证有效且可靠地身份验证。
[0078]
接下来对步骤201-步骤205的详细实施方式进行介绍。
[0079]
在步骤201中，限定的执行条件为，待验证用户的签名证书为有效签名证书，换个角度来说，签名证书代表用户的数字身份，当签名证书有效时，证明用户的数字身份通过验证。基于前述实施例中的身份信息生成的流程可以看出，最终生成的结果是数字身份，通过数字身份才能往前追溯法定身份信息和行业身份信息，因此，需要先保证待验证用户的数字身份是通过验证的，才能进行后续身份信息的验证。如果待验证用户的签名证书不是有效签名证书，则无需进行后续身份信息的验证，直接判定用户的身份验证不通过。
[0080]
因此，在步骤201之前，该方法还包括对签名证书的有效性验证过程，作为一种可选的实施方式，签名证书的验证过程包括：获取待验证用户的签名证书；基于签名证书生成证书验证请求；将证书验证请求发送给第三方证书验证系统；接收第三方证书验证系统反馈的证书有效性验证结果；根据证书有效性验证结果确定签名证书是否为有效签名证书。
[0081]
其中，当用户有业务需求时，在业务系统上发起请求，该请求中附带用户的签名证书(即数字身份信息)，业务系统请求验证系统进行验证，验证系统便能够从该请求中获取到用户的签名证书。在实际应用中，验证系统和业务系统可以同一个系统的不同系统模块，在本申请实施例中，为了区分，分开进行描述。然后，验证系统基于该签名证书生成证书验证请求并发送给第三方证书验证系统，对于第三方证书验证系统，是专门用于证书的有效性验证的平台。其有效性验证的过程包括：crl(certificate revocation list，证书吊销列表)列表验证、证书有效期验证、证书颁发机构验证。其中涉及到的具体验证过程为本领域的公知常识，在此不进行展开介绍。当第三方证书验证系统完成验证后，将验证结果反馈给验证系统。
[0082]
第三方证书验证系统在反馈验证结果时，通常会对验证结果进行签名，将签名后的结果发送给验证系统。因此对于验证系统来说，作为一种可选的实施方式，在根据验证结果确定签名证书的有效性之前，该方法还包括：验证证书有效性验证结果是否为有效结果；对应的，根据所述证书有效性验证结果确定签名证书是否为有效签名证书，包括：在确定证书有效性验证结果为有效结果时，根据证书有效性验证结果确定签名证书是否为有效签名证书。
[0083]
在这种实施方式中，为了保证最终的证书验证结果的可靠性，可以通过获取第三方证书验证系统的签名证书，对证书验证结果进行有效性验证，该验证过程与前述实施例中介绍的对第三方系统的验证结果的验证过程相同，在此不再重复介绍。
[0084]
对应的，如果证书验证结果的有效性验证结果为有效，则证书验证结果中指示的用户的签名证书的有效性便为用户的签名证书的有效性。比如：证书验证结果表示，用户的
签名证书为有效证书，则确定签名证书为有效证书。如果证书验证结果的有效性验证结果为无效，则证书验证结果不可采用，此时可以请求再次验证，或者请求其他第三方验证系统进行重新验证。
[0085]
在本申请实施例中，通过第三方证书验证系统对待验证用户的签名证书进行有效性验证，实现待验证用户的数字身份的验证。对于第三方证书验证系统所反馈的证书有效性验证结果，在发送过程中也有被篡改的风险，因此，对该验证结果也进行有效性验证，确保数字身份的验证结果的可靠性。
[0086]
在确定待验证用户的签名证书不是有效签名证书时，直接向用户反馈验证失败，不执行后续的流程。在确定待验证用户的签名证书是有效证书时，执行步骤101，对有效签名证书进行解析，获取签名证书中的行业身份信息。可以理解，在生成签名证书时，签名证书是第三方系统基于行业身份信息签发的，因此，行业身份信息与签名证书具有对应关系，此时获取到的第一行业身份信息是与签名证书绑定的行业身份信息。
[0087]
在步骤101后，执行步骤102，获取待验证用户的法定身份信息，并通过法定身份信息确定第二行业身份信息。在前述实施例中介绍过，基于法定身份信息也是可以得到对应的行业身份信息的，因此，此时确定的第二行业身份信息是与法定身份信息绑定的行业身份信息。
[0088]
继续以教育行业身份信息为例，第一行业身份信息为第一教育esn信息作为一种可选的实施方式，步骤102包括：根据法定身份信息生成查询请求；将查询请求发送给教育esn生成系统；接收教育esn生成系统反馈的与法定身份信息对应的第二教育esn信息，第二教育esn信息为第二行业身份信息。可以理解，该种实施方式与前述实施例中介绍的基于法定身份信息确定行业身份信息的实施方式相同，在此不对其具体的实施方式进行重复介绍。
[0089]
在本申请实施例中，对于教育行业来说，可以通过法定身份信息向教育esn生成系统请求行业身份信息，实现基于法定身份信息的行业身份信息的有效获取。
[0090]
进一步地，在步骤102中确定第二行业身份信息后，执行步骤103，根据第一行业身份信息和第二行业身份信息确定待验证用户的行业身份信息是否通过验证。作为一种可选的实施方式，步骤103包括：比较第一行业身份信息和第二行业身份信息，若第一行业身份信息和第二行业身份信息一致，则行业身份信息通过验证。若第一行业身份信息和第二行业身份信息不一致，则行业身份信息未通过验证。
[0091]
可以理解，第一行业身份信息是与签名证书绑定的信息，第二身份信息是与法定身份信息绑定的信息，如果两者不一致，且在签名证书为有效证书的前提下，说明，可能是签名证书绑定的信息被篡改，也可能是法定身份信息的有效性存在问题，不管是哪种情况，都可以确定行业身份信息未通过验证，但是在第二种情况下，是由于法定身份信息导致的未通过验证。
[0092]
进一步，如果在步骤103中确定待验证用户的行业身份信息通过验证，执行步骤104，对法定身份信息进行验证。作为一种可选的实施方式，步骤104包括：根据法定身份信息生成法定身份信息验证请求；将法定身份验证请求发送给公安人脸验证服务系统；接收公安人脸验证服务系统返回的法定身份信息验证结果；根据法定身份信息验证结果确定法定身份信息是否通过验证。
[0093]
其中，在根据法定身份信息验证结果确定法定身份信息是否通过验证之前，还包括：验证法定身份信息验证结果是否为有效结果；对应的，根据法定身份信息验证结果确定法定身份信息是否通过验证，包括：在确定法定身份信息验证结果为有效结果时，根据法定身份信息验证结果确定法定身份信息是否通过验证。
[0094]
在本申请实施例中，在身份信息验证阶段的法定身份信息验证的验证流程与身份信息生成阶段的法定身份信息验证的验证流程相同，因此，该种实施方式中的实施细节参照前述实施例即可，在此不进行重复介绍。
[0095]
在步骤104中，如果法定身份信息通过验证，则执行步骤105，确定待验证用户通过身份验证，验证系统将验证结果反馈给业务系统，业务系统可以为用户进行后续的业务流程操作。如果法定身份信息未通过验证，则确定待验证用户未通过身份验证，不执行后续的业务流程操作，并且反馈验证失败的结果给业务系统，业务系统再反馈给用户。
[0096]
结合上述实施例的介绍，请参照图4，为图3所示的流程在实际应用(应用于教育行业)时的一种可选的实施流程，该实施流程大概包括：
[0097]
首先，教育身份验证系统(后续简称验证系统)调用第三方ca证书验证系统提供的证书验证接口，对代表教育数字身份的证书(后续简称签名证书)的有效性的信息进行验证，其中，代表教育数字身份的证书的有效性的信息包括证书的crl列表、证书有效期、证书颁发机构。
[0098]
接着，验证系统收到来自第三方ca证书验证服务返回的结果，验证通过后使用该证书的公钥对签名结果进行验签完成数字身份验证，验签失败则直接退出，验签成功后继续后续的身份验证步骤。
[0099]
然后，证书有效性及签名有效性均验证通过，解析签名证书获取并保存esn信息。
[0100]
进一步地，验证系统使用来自业务系统的个人基本信息(身份证信息)向教育esn生成系统请求查询esn，esn生成系统根据输入的个人基本信息返回其对应的esn信息。
[0101]
进一步地，验证系统通过比对证书esn与来自esn生成系统是否一致完成教育身份验证；esn不一致则直接退出，一致则进行后续的身份验证步骤。
[0102]
最后，验证系统使用业务系统的活体人脸信息及个人基本信息向公安人脸验证服务系统请求法定身份验证，将最终的验证结果返回给业务系统，完成可信教育数字身份的验证。
[0103]
通过本申请实施例提供的技术方案，用户身份包括法定身份、行业身份以及数字网络三重身份，通过三重身份的生成、使用及验证，三重身份相互关联，解决单一身份验证中存在的问题，保证身份信息的可靠性和有效性。
[0104]
基于同一发明构思，请参照图5，本申请实施例中还提供一种身份信息生成装置300，包括：第一处理模块301和第二处理模块302。
[0105]
第一处理模块301，用于在确定用户的法定身份信息通过验证时，根据所述法定身份信息确定所述用户的行业身份信息并保存；第二处理模块302，用于生成签名公钥；根据所述行业身份信息和所述签名公钥生成签名证书的申请请求；所述签名证书用于代表所述用户的数字身份；将所述申请请求发送第三方ca系统；接收所述第三方ca系统签发的签名证书。
[0106]
可选的，身份信息生成装置300还包括第三处理模块，用于采集用户的法定身份信
息；根据所述法定身份信息生成用户的法定身份信息验证请求；接收所述公安人脸验证服务系统反馈的法定身份信息验证结果；根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0107]
可选的，第三处理模块还用于：获取公安人脸验证服务系统的证书数据；根据所述证书数据验证所述法定身份信息验证结果是否为有效结果；以及具体用于在确定所述法定身份信息验证结果为有效结果时，根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0108]
可选的，第一处理模块301具体用于：根据所述法定身份信息生成所述教育esn信息的生成请求；将所述生成请求发送给教育esn生成系统；接收所述教育esn生成系统反馈的唯一教育esn信息并保存。
[0109]
基于同一发明构思，请参照图6，本申请实施例中还提供一种身份信息验证装置400，包括：第一验证模块401和第二验证模块402。
[0110]
第一验证模块401，用于在确定待验证用户的签名证书为有效签名证书时，对所述有效签名证书进行解析，获取所述待验证用户的第一行业身份信息；获取所述待验证用户的法定身份信息，并通过所述法定身份信息确定第二行业身份信息；根据所述第一行业身份信息和所述第二行业身份信息确定所述待验证用户的行业身份信息是否通过验证。第二验证模块402，用于在确定所述待验证用户的行业身份信息通过验证时，对所述法定身份信息进行验证；在确定所述法定身份信息通过验证时，确定所述待验证用户通过身份验证。
[0111]
可选的，身份信息验证装置400还包括第三验证模块，用于：获取所述待验证用户的签名证书；基于所述签名证书生成证书验证请求；将所述证书验证请求发送给第三方证书验证系统；接收所述第三方证书验证系统反馈的证书有效性验证结果；根据所述证书有效性验证结果确定所述签名证书是否为有效签名证书。
[0112]
可选的，第三验证模块还用于：验证所述证书有效性验证结果是否为有效结果；以及具体用于：在确定所述证书有效性验证结果为有效结果时，根据所述证书有效性验证结果确定所述签名证书是否为有效签名证书。
[0113]
可选的，第一验证模块401具体用于：根据所述法定身份信息生成查询请求；将所述查询请求发送给教育esn生成系统；接收所述教育esn生成系统反馈的与所述法定身份信息对应的第二教育esn信息，所述第二教育esn信息为所述第二行业身份信息。
[0114]
可选的，第二验证模块402具体用于根据所述法定身份信息生成法定身份信息验证请求；将所述法定身份验证请求发送给公安人脸验证服务系统；接收所述公安人脸验证服务系统返回的法定身份信息验证结果；根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0115]
可选的，第二验证模块402还用于验证所述法定身份信息验证结果是否为有效结果；以及具体用于：在确定所述法定身份信息验证结果为有效结果时，根据所述法定身份信息验证结果确定所述法定身份信息是否通过验证。
[0116]
前述实施例中的图1和图3所示的身份生成方法和身份验证方法中的各实施方式和具体实例分别同样适用于图5和图6的装置，通过前述对身份生成方法和身份验证方法的详细描述，本领域技术人员可以清楚地知道图5和图6的装置的实施方法，所以为了说明书的简洁，在此不再详述。
[0117]
基于同一发明构思，本申请实施例还提供一种可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被计算机运行时执行上述任一实施方式的身份验证方法和/或身份生成方法。
[0118]
在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0119]
另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0120]
再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0121]
在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
[0122]
以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。