互联网身份证核验信息保护的系统和方法与流程

本申请涉及领域信息安全领域，并且更具体地，涉及一种互联网身份证核验信息保护的系统和方法。

背景技术：

随着互联网发展的日新月异，围绕着互联网应用的安全性问题得到日益广泛的关注。为了保护用户使用网络应用的安全性以及将用户与应用操作相关联，用户需要在相应的应用平台上输入自己的身份信息。但用户的身份信息在网络侧云端解码后的传输过程中是身份证信息解码后原路返回给客户端系统，在客户端系统中极易遭到泄露和篡改，该方式容易导致用户的身份信息被替换或泄露，甚至被不法分子盗用的危险，由此给用户带来了严重的影响。

技术实现要素：

本申请提供一种互联网身份证核验信息保护的系统和方法，可以有效的提高身份信息远程云端识别后身份信息传输的安全性。

第一方面，提供了一种互联网身份证核验信息保护的系统，该系统包括：核验终端、业务客户端、云核验服务器、对外接口服务器和业务应用服务器，该云核验服务器包括身份安全认证模块sam；该核验终端获取身份证信息并向该业务客户端发送身份证信息；该业务客户端用于向该云核验服务器发送身份解码请求，该身份解码请求包括该身份证信息和该业务请求信息的业务流水号；该sam模块用于解码该身份证信息，获得与该身份证对应的身份信息；该云核验服务器用于向该对外接口服务器发送该身份信息；该对外接口服务器用于对该身份信息进行转加密，并向该业务应用服务器发送该转加密后的该身份信息；该业务应用服务器是该业务客户端的后台服务器，并对该转加密后该身份信息进行解密。

第一方面提供的互联网身份证核验信息保护的系统，可有效保护身份证网络云端识别后的身份信息传输安全保护问题，身份信息在对外接口服务器中进行加密，只有业务应用服务器使用专有私钥才能解密。身份信息后从云核验服务器根源加密传出，防止云核验服务器解码后的身份信息隐私泄露、替换、篡改等问题发生，从根源上杜绝了身份信息泄露的隐患。维护了用户的身份信息隐私，不随意在业务客户端落地显示，避免了身份信息泄露，身份密钥泄露的问题。为身份证云端识别提供了可靠的技术保障。该系统可广泛应用于互联网远程身份证核验识别业务中，可有力推动利用远程身份证核验相关业务的发展。

在第一方面一种可能的实现方式中，该云核验服务器还包括嵌入式模块，该嵌入式模块用于在向该对外接口服务器发送该身份信息前，对该身份信息进行加密。

在第一方面一种可能的实现方式中，在该对外接口服务器对该身份信息进行转加密之前，该对外接口服务器还用于对该嵌入式模块加密后的该身份信息进行解密。

在第一方面一种可能的实现方式中，该业务客户端还用于向该业务应用服务器请求应用识别号和业务流水号；该业务应用服务器还用于向该业务客户端发送该应用识别号和该业务流水号；该业务客户端还用于向该云核验服务器发送该应用识别号；该云核验服务器还用于向该对外接口服务器发送该应用识别号和该业务流水号；该对外接口服务器具体用于根据该应用识别号，确定与该应用识别号对应的公钥证书，利用该公钥证书对该身份信息进行该转加密。

在第一方面一种可能的实现方式中，该业务应用服务器还用于向该对外接口服务器发送身份信息请求，该身份信息请求包括该业务流水号和该应用识别号；该对外接口服务器具体用于根据该身份信息请求，向该业务应用服务器发送该转加密后的该身份信息。

在第一方面一种可能的实现方式中，该业务应用服务器具体用于利用与该公钥证书对应的专有私钥，对该转加密后的该身份信息进行解密，并向该业务客户端发送解密后的该身份信息。

在第一方面一种可能的实现方式中，该系统还包括加密机，该对外接口服务器在该加密机中对该身份信息进行该转加密。

第二方面，提供了一种互联网身份证核验信息保护的方法，该方法包括：云核验服务器接收业务客户端发送的身份解码请求，该身份解码请求包括身份证信息；该云核验服务器中的身份安全认证模块sam解码该身份证信息，获得与该身份证信息对应的身份信息；该云核验服务器向对外接口服务器发送该身份信息。

在第二方面一种可能的实现方式中，在向该对外接口服务器发送该身份信息之前，该云核验服务器中的嵌入式模块将该身份信息进行加密。

在第二方面一种可能的实现方式中，该云核验服务器中的该嵌入式模块将该身份信息进行加密，包括：该云核验服务器中的该嵌入式模块利用安全模块中的密钥对该身份信息进行加密，该嵌入式模块包括该安全模块。

第二方面提供的互联网身份证核验信息保护的方法，云核验服务器将身份信息解码后，进行加密，并将加密后的身份信息发送给对外接口服务器，防止了身份信息在传输过程中被窃取或者篡改的危险。有效提高收身份信息核验过程的安全性。

第三方面，提供了一种互联网身份证核验信息保护的方法，该方法包括：对外接口服务器接收云核验服务器发送的身份信息；该对外接口服务器将该身份信息进行转加密；该对外接口服务器向业务应用服务器发送该转加密后的身份信息。

第三方面提供的用核验身份信息的方法，对外接口服务器可以将接收到的身份信息进行转加密，并将转加密后的身份信息发送给业务应用服务器，只有业务应用服务器使用专有私钥才能解密，增加身份信息传输过程中的安全性，防止了身份信息在传输过程中被窃取或者篡改的危险。有效提高收身份信息核验过程的安全性。

在第三方面一种可能的实现方式中，当该对外接口服务器接收的是该云核验服务器发送的经过加密后的该身份信息时，在该对外接口服务器将该身份信息进行转加密之前，该方法还包括：该对外接口服务器将该云核验服务器发送的该加密后的身份信息进行解密。

在第三方面一种可能的实现方式中，该方法还包括：该对外接口服务器接收该云核验服务器发送的业务流水号和应用识别号；该对外接口服务器将该身份信息进行转加密，包括：该对外接口服务器根据该应用识别号，确定与该应用识别号对应的公钥证书；该对外接口服务器利用该公钥证书对该身份信息进行该转加密。

在第三方面一种可能的实现方式中，该方法还包括：该对外接口服务器接收业务应用服务器发送的身份信息请求，该身份信息请求包括该业务流水号和该应用识别号；该对外接口服务器根据该身份请求信息，向该业务应用服务器发送该转加密后的该身份信息。

第四方面，提供了一种互联网身份证核验信息保护的方法，该方法包括：业务应用服务器向对外接口服务器发送身份信息请求，其中，该业务服务器是业务客户端的后台服务器；该身份信息请求包括业务流水号和应用识别号；该业务应用服务器接收该对外接口服务器发送的响应于该身份信息请求的经转加密的身份信息；该业务应用服务器解密该经转加密的身份信息。

第四方面提供的互联网身份证核验信息保护的方法，业务应用服务器可以将请求到的经转加密的身份信息进行解密，并且只有业务应用服务器使用与加密身份信息时对应的专有私钥才能解密，增加身份信息传输过程中的安全性，防止了身份信息在传输过程中被窃取或者篡改的危险。有效提高收身份信息核验过程的安全性。

在第四方面一种可能的实现方式中，该业务应用服务器解密该经转加密的身份信息，包括：该业务应用服务器利用与该转加密时使用的公钥证书对应的专有私钥，对该转加密后的该身份信息进行解密。

在第四方面一种可能的实现方式中，该方法还包括：该业务应用服务器向该业务客户端发送该解密后该身份信息。

附图说明

图1是本发明一个实施例的互联网身份证核验信息保护的系统的示意性框图。

图2是本发明一个实施例的互联网身份证核验信息保护的方法的示意性流程图。

图3是本发明另一个实施例的互联网身份证核验信息保护的方法的示意性流程图。

图4是本发明又一个实施例的互联网身份证核验信息保护的方法的示意性流程图。

图5是本发明再一个实施例的互联网身份证核验信息保护的方法的示意性流程图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

本发明实施例提供的互联网身份证核验信息保护的系统和方法，可以应用于计算机上，该计算机包括硬件层、运行在硬件层之上的操作系统层，以及运行在操作系统层上的应用层。该硬件层包括中央处理器(centralprocessingunit，cpu)、内存管理单元(memorymanagementunit，mmu)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统，例如，linux操作系统、unix操作系统、android操作系统、windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且，在本发明实施例中，该计算机可以是智能手机等手持设备，也可以是个人计算机等终端设备，本发明实施例并未特别限定，只要能够通过运行记录有本发明实施例的互联网身份证核验信息保护的系统和方法的程序，以根据本发明实施例的互联网身份证核验信息保护的系统和方法对用户的身份进行核验即可。本发明实施例的互联网身份证核验信息保护的方法执行主体可以是计算机设备，或者，是计算机设备中能够调用程序并执行程序的功能模块。

此外，本发明实施例的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。用于执行本申请实施例的互联网身份证核验信息保护的系统和方法的程序涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如，计算机可读介质可以包括，但不限于：磁存储器件(例如，硬盘、软盘或磁带等)，光盘(例如，压缩盘(compactdisc，cd)、数字通用盘(digitalversatiledisc，dvd)等，智能卡和闪存器件(例如，可擦写可编程只读存储器(erasableprogrammableread-onlymemory，eprom)、卡、棒或钥匙驱动器等)。另外，本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于，无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。

目前，身份证芯片信息识别主要有两种方式，第一种是使用嵌入身份安全认证模块(securityaccountmanager，sam)的本地识别器，识别器通过通用串行总线(universalserialbus，usb)与主机电脑通信，不需要互联网环境，读取的信息直接显示在电脑屏幕上。第二种是将sam模块置于云核验服务器中，身份信息远程云端解码，解码后的身份信息原路返回到主机端，直接显示在互联网中的终端上，身份证明文信息被落地完成身份证芯片信息的远程识别。由于身份信息在云核验服务器解码后是明文原路返回显示在主机端，即信息解码后身份信息明文被落地，存在隐私泄露、盗取和替换的风险。并且解码后的身份信息若在主机端被替换，云核验服务器不可知，存在较大的安全漏洞。因此，远程云端身份证识别的过程，对身份信息缺乏保护，存在安全问题。

基于身份信息远程云端识别存在的安全问题，本发明实施例提供了一种互联网身份证核验信息保护的系统和方法，可以有效的提高身份信息远程云端识别后身份信息传输的安全性。

下面将结合图1至图5详细说明本发明实施例的互联网身份证核验信息保护的系统和方法。

图1是本发明一个实施例的互联网身份证核验信息保护的系统的示意性框图。如图1所示，该系统100包括：核验终端110、业务客户端120、云核验服务器130、对外接口服务器140和业务应用服务器150，该云核验服务器130包括身份安全认证模块sam。

具体而言，该业务客户端120可以包括电脑或者手机，或者是其他的终端设备，本发明实施例在此不作限制。核验终端110可以是由射频模块和主控模块组成的识别设备，或者带有近场通信功能的手机或终端智能设备，本发明实施例在此不作限制。核验终端110与业务客户端之间可以通过蓝牙、usb等方式传输数据。业务客户端120与云核验服务器130之间可以通过互联网远程连接，云核验服务器130与对外接口服务器140连接，对外接口服务器140通过互联网与业务应用服务器150连接。其中业务应用服务器150是业务客户端120的后台系统。该云核验服务器130包括多个身份证信息sam解码模块。

应理解，该系统100可以包括多个核验终端和多个业务客户端，本发明实施例在此不作限制。

该核验终端110用于获取身份证信息并向业务客户端120发送身份证信息。

具体而言，当用户在身份证核验终端110上贴身份证启动读卡时，核验终端110会获取用户的身份证信息，该身份证信息是原始的身份信息，需要云核验服务器130解码后才可以显示在业务客户端120上，供用户使用，因此，核验终端110会将获取的身份证信息发送给业务客户端120，通过业务客户端120上传到云核验服务器130。

该业务客户端120用于向该云核验服务器130发送身份解码请求，该身份解码请求包括该身份证信息和该身份解码请求的业务流水号。

具体而言，当业务客户端120获取了核验终端110获取的身份证的信息后，便会向云核验服务器130发送身份解码请求，该身份解码请求包括该身份证信息和该身份解码请求的业务流水号，用于云核验服务器130对该身份证信息进行解码。

应理解，该身份解码请求还可以包括其他与本次身份信息获取业务相关的信息，本发明实施例在此不作限制。

可选的，该业务客户端110还用于向该业务应用服务器150请求应用识别号和业务流水号；

业务应用服务器150还用于向业务客户端120发送业务流水号和应用识别号。

具体而言，在用户请求身份信息之前，对外接口服务器140事先为业务应用服务器150分配应用识别号(applicationidentification，appid),该appid用于唯一标识该业务应用服务器150。对外接口服务器140事先还会保存业务应用服务器150的公钥证书，相应的，业务应用服务器150自己保存与该公钥证书对应的专有私钥。应理解，该appid和该公钥证书是对应的，即该appid、该公钥证书和该专有私钥之间是对应的。对外接口服务器140事先还会提供业务流水号的生成规则给业务应用服务器150，用于业务应用服务器150在运行业务时生成与该业务唯一对应的流水号。因此，用户在身份核验终端110贴身份证启动读卡后，业务客户端120会向业务应用服务器150请求本次的身份信息获取业务的业务流水号和appid，业务应用服务器150按照既定的规则生成本次身份信息获取业务的流水号，并向业务客户端120发送该业务流水号和appid。用于后续的对本次身份信息获取业务的校验和鉴权。

可选的，业务客户端120还可以向云核验服务器130发送该业务流水号和appid，用于云核验服务器在后续的操作中进行该身份信息校验和鉴权。

该sam模块用于解码该身份证信息，获得与该身份证信息对应的身份信息；

该云核验服务器130用于向该对外接口服务器140发送该身份信息。

具体而言，该云核验服务器130中的sam模块用于解码该身份证信息，获得该身份证上承载的身份信息，并将该身份信息发送给对外接口服务器140，用于对外接口服务器对该身份的加密。

可选的，该云核验服务器130还包括嵌入式模块，该嵌入式模块用于在向该对外接口服务器发送该身份信息前，对该身份信息进行加密。

具体而言，该云核验服务器130可以包括多个sam模块和相同数量的嵌入式模块，嵌入式模块内置安全模块，安全模块内预置分散密钥。sam模块用于解码身份证信息，每个sam模块对应一个嵌入式模块，即sam模块和嵌入式模块是成对出现，每个嵌入式模块内置安全模块，每个安全模块内预置分散密钥，即云核验服务器130包括多个sam模块和对应的嵌入式模块，每个嵌入式模块中的分散密钥都不一样。云核验服务器130利用sam解码该身份证信息，获取与该身份证信息对应的身份信息后，该身份信息就成为了明文的身份信息，即可以在业务客户端120显示的明文身份信息，为了进一步提高身份信息传输的安全性，该sam模块将解码后的明文身份信息发送给对应的嵌入式模块，该嵌入式模块利用安全模块中的分散密钥对该明文身份信息进行加密，该分散密钥也可以是非对称算法公钥。本发明实施例在此不作限制。对该明文身份信息完成加密后，云核验服务器130便会将加密后的身份信息发送给对外接口服务器140。云核验服务器130还会向业务客户端120发送身份解码成功信息。这样，从云核验服务器130发送出的身份信息是加密的，防止信息在传输的过程中被盗取和隐私泄露的危险，并且，解码后的身份信息不是直接明文返回落地到业务客户端120，防止了身份信息在业务客户端120被替换的风险。

可选的，该云核验服务器130还用于向该对外接口服务器140发送该应用识别号和该业务流水号。本发明实施例在此不作限制。

可选的，若云核验服务器130利用sam模块解码该身份证信息失败，还会向业务客户端120发送身份信息解码失败的通知，本发明实施例在此不作限制。

可选的，该嵌入式模块还可以利用安全模块中的分散密钥对该业务流水号和该appid加密，或者是对其他与本次身份信息获取业务相关的信息进行加密，本发明实施例在此不作限制。

对外接口服务器140用于对该身份信息进行转加密。

具体而言，对外接口服务器140根据云核验终端130发送的身份信息，还可以对该身份信息进行转加密，这样，将转加密后的身份信息再进行后续的操作，这样可以提高身份信息传输的安全性。

可选的，当对外接口服务器140接收到该业务流水号和该appid，该对外接口服务器140可以根据该应用识别号，确定与该应用识别号对应的公钥证书，利用该公钥证书对该身份信息进行该转加密。

具体而言，对外接口服务器140会根据与该appid对应的公钥证书，利用该公钥证书将该身份信息进行转加密。该公钥证书是对外接口服务器140事先保存的业务应用服务器150的公钥证书，而业务应用服务器150自己保存与该公钥证书对应的专有私钥。该appid和该公钥证书是对应的，即该appid、该公钥证书和该专有私钥之间是对应的。

可选的，该系统100还可以包括加密机160，该对外接口服务器140利用该公钥证书在该加密机160中对该身份信息进行加密。可以进一提高加密的安全性。本发明实施例在此不作限制。

应理解，在本发明的实施例中，除了在加密机中对该身份信息进行加密，还可以用其他方式对该身份信息进行加密，例如，可以是对该身份信息的软加密，本发明实施例在此不作限制。

可选的，当该对外接口服务器140接收的是该云核验服务器130发送的经过加密后的该身份信息时，在该对外接口服务器140将该身份信息进行转加密之前，该对外接口服务器140将该云核验服务器130发送的该加密后的身份信息进行解密。

具体而言，由于该身份信息在云核验终端130已经被加密，因此，对外接口服务器140首先会对该加密的明文身份信息进行解密，例如，若身份信息之前在云核验服务器130是利用公钥加密的，此时对外接口服务器140要利用对应的专有私钥进行解密。

还应理解，对外接口服务器140除了对该身份信息进行转加密之外，还可以对其他与本次身份信息获取业务有关的信息进行转加密，本发明实施例在此不作限制。

可选的，该业务客户端120会转发云核验服务器130解码成功的信息给业务应用服务器150，并携带该业务流水号，用于向业务应用服务器150请求该身份信息。

应理解，该业务客户端120会还会转发其他与本次身份信息获取业务有关的信息给业务应用服务器150，用于向业务应用服务器150请求身份信息，本发明实施例在此不作限制。

可选的，业务应用服务器150会向对外接口服务器140发送身份信息请求，该身份信息请求包括该业务流水号和该应用识别号。

具体而言，业务应用服务器150在收到业务客户端120发送的解码成功的通知后，会向外接口系统140发送身份信息请求，用于请求解码后的身份信息，该身份信息请求包括该业务流水号和该应用识别号，该appid用于唯一识别该业务应用服务器150，即可以确定与该appid对应的业务应用服务器150的公钥证书，该业务流水号用于确定本次业务的合法性和用户身份的安全性。

应理解，该身份信息请求还可以包括其他与本次身份信息获取业务相关的信息，本发明实施例在此不作限制。

可选的，对外接口服务器140还用于根据该身份信息请求，向业务应用服务器150发送该转加密后的该身份信息。

具体而言，对外接口服务器140接收到业务应用服务器150发送的身份信息请求后，会进行鉴权，即确定该身份信息请求是否合法，用户身份是否正确。因此，会查看业务应用服务器150发送的appid是否在自己保存的白名单内，由于外接口系统140事先会为业务应用服务器160分配appid，因此，确定了业务应用服务器150发送的appid是在自己保存的白名单内，便可以确定本次身份信息获取业务的合法性和用户身份的安全性。便会根据该appid和业务流水号查找该对应的身份信息密文，向业务应用服务器150发送经转加密后的身份信息。

可选的，对外接口服务器140还可以向业务应用服务器150发送该appid和业务流水号，用于业务应用服务器150查找与该公钥证书对应的专有私钥，本发明实施例在此不作限制。

应理解，对外接口服务器140还可以根据应用服务系统150发送业务流水号是否与云核验服务器130发送的业务流水号相同来判断本次身份信息获取业务的合法性和用户身份的安全性。本发明实施例在此不作限制。

业务应用服务器150用于对该转加密后该身份信息进行解密，并向业务客户端120发送该身份信息。

具体而言，由于对外接口服务器140向业务应用服务器150发送的是转加密后的身份信息，因此，业务应用服务器150需要对该转加加密后的身份信息进行解密，获得该身份信息，才可以向业务客户端120发送该身份信息。

可选的，业务应用服务器150可以利用与该公钥证书对应的专有私钥，对该转加密后的身份信息进行解密，并向业务客户端120发送解密后的身份信息。

具体而言，由于对外接口服务器140加密身份信息利用的公钥证书是对外接口服务器140事先保存的业务应用服务器150的公钥证书，而业务应用服务器150自己保存与该公钥证书对应的专有私钥。因此，业务应用服务器150会利用与该公钥证书对应的专有私钥进行对该身份信息进行解密，这样，业务应用服务器150便会获取身份信息，并将身份明文信息发送给业务客户端120。业务客户端120便会将该身份明文信息显示给用户。

应理解，在本发明实施例中，对外接口服务器140加密身份信息利用密钥可以是其他密钥，例如，可以是对称密钥，即业务应用服务器150产生一个对称密钥对，将其中的一把密钥发送给对外接口服务器140，对外接口服务器140利用这把密钥加密该身份信息，并将加密后的信息发送给业务应用服务器150，业务应用服务器150利用密钥对中的另外一把密钥进行解密，完成身份信息的解密。本发明实施例在此不作限制。

可选的，业务应用服务器150会注销本次身份信息获取业务的流水号，以便于进行下一次业务生成新的流水号。

本申请提供的互联网身份证核验信息保护的系统，可有效保护身份证网络云端识别后的身份信息传输安全保护问题，身份信息在对外接口服务器中进行转加密，只有业务应用服务器使用专有私钥才能解密。身份信息后从云核验服务器根源加密传出，防止云核验服务器解码后的身份信息隐私泄露、替换、篡改等问题发生，从根源上杜绝了身份信息泄露的隐患。维护了用户的身份信息隐私，不随意在业务客户端落地显示，避免了身份信息泄露，身份密钥泄露的问题。为身份证云端识别提供了可靠的技术保障。该系统可广泛应用于互联网远程身份证核验识别业务中，可有力推动利用远程身份证核验相关业务的发展。

以上说明了本发明实施例的互联网身份证核验信息保护的系统，下面将结合图2至图5，详细描述本发明实施例的互联网身份证核验信息保护的方法。

图2是本发明一个实施例的互联网身份证核验信息保护的方法的示意性流程图，如图2所示，该方法200包括：

s210，云核验服务器接收业务客户端发送的身份解码请求，该身份解码请求信息包括身份证信息和该身份解码请求的业务流水号；

s220，该云核验服务器中的身份安全认证模块sam解码该身份证信息，获得与身份证信息对应的身份信息；

s230，该云核验服务器向对外接口服务器发送该身份信息。

应理解，互联网身份证核验信息保护的方法200可以由上述实施例中的云核验服务器130来执行，根据本发明实施的互联网身份证核验信息保护的方法200中的各个步骤或者流程，可以应用于本发明是实例的互联网身份证核验信息保护的系统100的各个设备的上述和其他操作和/或流程，为了简洁，在此不再赘述。

可选的，该方法200还包括：在向该对外接口服务器发送该述身份信息之前，该云核验服务器中的嵌入式模块将该身份信息进行加密。

可选的，该云核验服务器中的该嵌入式模块将该身份信息进行加密，包括：该云核验服务器中的嵌入式模块利用安全模块中的密钥对该身份信息进行加密，该嵌入式模块包括该安全模块。

本发明实施例的提供互联网身份证核验信息保护的方法，云核验服务器将身份信息解码后，进行加密，并将加密后的身份信息发送给对外接口服务器，防止了身份信息在传输过程中被窃取或者篡改的危险。有效提高收身份信息核验过程的安全性。

图3是本发明一个实施例的互联网身份证核验信息保护的方法的示意性流程图，如图3所示，该方法300包括：

s310，对外接口服务器接收云核验服务器发送的身份信息；

s320，该对外接口服务器将该身份信息进行转加密；

s330，该对外接口服务器向业务应用服务器发送该转加密后的身份信息。

应理解，互联网身份证核验信息保护的方法300可以由上述实施例中的对外接口服务器140来执行，根据本发明实施的互联网身份证核验信息保护的方法300中的各个步骤或者流程，可以应用于本发明是实例的互联网身份证核验信息保护的系统100的各个设备的上述和其他操作和/或流程，为了简洁，在此不再赘述。

可选的，当该对外接口服务器接收的是该云核验服务器发送的经过加密后的该身份信息时，在该对外接口服务器将该身份信息进行转加密之前，该方法还包括：该对外接口服务器将该云核验服务器发送的该加密后的身份信息进行解密。

可选的，该方法300还包括：该对外接口服务器接收该云核验服务器发送的业务流水号和应用识别号；

该对外接口服务器将该身份信息进行转加密，包括：该对外接口服务器根据该应用识别号，确定与该应用识别号对应的公钥证书；该对外接口服务器利用该公钥证书对该身份信息进行该转加密。

可选的，该方法300还包括：该对外接口服务器接收业务应用服务器发送的身份信息请求，该身份信息请求包括该业务流水号和该应用识别号；该对外接口服务器根据该身份请求信息，向该业务应用服务器发送该转加密后的该身份信息。

本发明实施例的提供互联网身份证核验信息保护的方法，对外接口服务器可以将接收到的身份信息进行转加密，并将转加密后的身份信息发送给业务应用服务器，只有业务应用服务器使用专有私钥才能解密，增加身份信息传输过程中的安全性，防止了身份信息在传输过程中被窃取或者篡改的危险。有效提高收身份信息核验过程的安全性。

图4是本发明一个实施例的互联网身份证核验信息保护的方法的示意性流程图，如图4所示，该方法400包括：

s410，业务应用服务器向对外接口服务器发送身份信息请求，该身份信息请求包括业务流水号和应用识别号，其中，该业务服务器是业务客户端的后台服务器；

s420，该业务应用服务器接收该对外接口服务器发送的响应于该身份信息请求的经转加密的身份信息；

s430，该业务应用服务器解密该经转加加密的身份信息。

应理解，该互联网身份证核验信息保护的方法400可以由上述实施例中的业务应用服务器150来执行，根据本发明实施的互联网身份证核验信息保护的方法400中的各个步骤或者流程，可以应用于本发明是实例的互联网身份证核验信息保护的系统100的各个设备的上述和其他操作和/或流程，为了简洁，在此不再赘述。

可选的，该业务应用服务器解密该经转加密的身份信息，包括：

该业务应用服务器利用与该转加密时使用的公钥证书对应的专有私钥，对该转加密后的该身份信息进行解密。

可选的，该方法400还包括：

该业务应用服务器向该业务客户端发送该解密后该身份信息。

本发明实施例的提供互联网身份证核验信息保护的方法，业务应用服务器可以将请求到的经转加密的身份信息进行解密，并且只有业务应用服务器使用与加密身份信息时对应的专有私钥才能解密，增加身份信息传输过程中的安全性，防止了身份信息在传输过程中被窃取或者篡改的危险。有效提高收身份信息核验过程的安全性。

图5是本发明一个实施例的互联网身份证核验信息保护的方法的示意性流程图，如图5所示，该方法500包括：

s501，用户在核验终端上贴身份证。

s502，用户在业务客户端上点击读身份证，核验终端获取身份证信息，并向业务客户端发送该身份证信息。

s503，业务客户端发送业务流水号和appid获取请求到业务应用服务器。

s504，业务应用服务器按照既定的规则生成业务流水号。

s505，业务应用服务器返回业务流水号和appid给业务客户端。

s506，业务客户端向云核验服务器发送身份解码请求，携带该身份证信息、业务流水号和appid。

s507，云核验服务器中的san模块对该身份证信息进行解码，获取与身份证信息对应的明文身份信息，

s508，sam模块将明文身份信息发给云核验服务器中的嵌入式模块。

s509，云核验服务器中的嵌入式模块使用安全模块中的分散密钥对该身份信息进行加密。

s510，云核验服务器将加密后的身份信息、业务流水号和appid发送给对外接口服务器。

s511，对外接口服务器先将该身份信息进行解密，确定与该appid对应的公钥证书，利用该公钥证书对该对该身份信息进行转加密。

s512，云核验服务器将身份信息解码结果以及业务流水号发送给业务客户端。

s513，业务客户端转发解码结果以及业务流水号到业务应用服务器。

s514，业务应用服务器向对外接口服务器发送身份信息请求，该身份信息请求包括业务流水号和appid。

s515，对外接口服务器对身份信息请求鉴权，确定该appid在白名单内。

s516，对外接口服务器根据业务流水号和appid查找对应的转加密后的身份信息。

s517，对外接口服务器返回转加密后的身份信息和业务流水号给业务应用服务器。

s518，业务应用服务器利用与该公钥证书对应的专有私钥，对该身份信息进行解密，获取身份明文信息。

s519，业务应用服务销毁该业务流水号，将明文身份信息发送给业务客户端。

应理解，在上述步骤s501之前，对外接口服务器事先已经为业务应用服务器分配appid，该appid用于唯一标识该业务应用服务器。对外接口服务器事先会保存业务应用服务器的公钥证书，相应的，业务应用服务器自己保存与该公钥证书对应的专有私钥。应理解，该appid和该公钥证书是对应的，即该appid、该公钥证书和该专有私钥之间是对应的。对外接口服务器事先还会提供业务流水号的生成规则给业务应用服务器，用于业务应用服务器在运行业务时生成与该业务唯一对应的流水号。

还应理解，图5只是本发明一个实施例的互联网身份证核验信息保护的方法的示意性流程图，示出了该方法的详细的通信步骤或操作，但这些步骤或操作仅是示例，本发明实施例还可以执行其它操作或者图5中的各种操作的变形。

还应理解，在本发明各个实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应该以其功能和内在的逻辑而定，而不应对本发明的实施例的实施过程造成任何限制。

本申请提供的互联网身份证核验信息保护的方法，可有效保护身份证网络云端识别后的身份信息传输安全保护问题，身份信息后从云核验服务器根源加密传出，防止云核验服务器解码后的身份信息隐私泄露、替换、篡改等问题发生。身份信息在对外接口服务器中进行加密后传出，只有业务应用服务器使用专有私钥才能解密。从根源上杜绝了身份信息泄露的隐患，为身份证云端识别提供了可靠的技术保障。该方法可广泛应用于互联网远程身份证核验识别业务中，可有力推动利用远程身份证核验相关业务的发展。

应理解，在本发明实施例中，“与a相应的b”表示b与a相关联，根据a可以确定b。但还应理解，根据a确定b并不意味着仅仅根据a确定b，还可以根据a和/或其它信息确定b。应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存10在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。