请求处理方法、系统、计算机设备和介质与流程

1.本发明涉及计算机技术领域，更具体而言，涉及一种请求处理方法、系统、计算机设备和介质。


背景技术：

2.电子签名技术是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名技术就是通过密码技术对电子文档的电子形式的签名。随着信息技术的进步，电子签名技术在电子商务中发挥着越来越重要的作用。当今更多的电子商务与交易在向移动互联网过度和发展，在终端设备(例如，手机)中使用数字证书做电子签名的需求与日俱增。相关技术中，在终端设备中发放数字证书并利用数字证书进行电子签名。针对不同的业务提供方，需要在终端设备中发放不同的数字证书，在终端设备设置适用于不同的业务提供方的数字证书签发和签名的处理单元。显然，在终端设备设置适用于不同的业务提供方的数字证书签发和签名的处理单元存在一定的器件整合难度并且设置于终端设备中的数字证书签发和签名的处理单元的通用性不高，这增加了发放数字证书并利用数字证书进行电子签名的开发周期，降低了业务提供方处理相关业务的处理效率。


技术实现要素：

3.为了克服相关技术中存在的问题，本发明实施例提供了一种请求处理方法、系统、计算机设备和介质，减少了发放数字证书并利用数字证书进行电子签名的开发周期，提高了业务提供方处理相关业务的处理效率。
4.根据本发明实施例的第一方面，提供一种请求处理方法，所述请求处理方法应用于终端设备，包括：
5.发出业务办理请求；
6.对所述业务办理请求进行公民网络电子身份标识eid签名生成业务办理eid签名信息；
7.发出对所述业务办理eid签名信息进行验签的请求；
8.其中，在所述业务办理eid签名信息验签通过的情况下，云证书服务器对所述业务数据进行数字证书签名生成数字证书签名信息，在所述数字证书签名信息验签通过的情况下，业务提供方服务器处理所述业务数据。
9.可选地，所述业务办理请求中待eid签名的内容包括：生物特征数据和业务数据，
10.所述对所述业务办理请求进行公民网络电子身份标识eid签名生成业务办理eid签名信息包括：
11.验证用户输入的eid应用激活密码，在验证所述eid应用激活密码合法的情况下，采集用户的生物特征数据，通过eid私钥对所述生物特征数据和业务数据进行eid签名，得到第一业务办理eid签名信息；
12.所述发出对所述业务办理eid签名信息进行验签的请求包括：
13.发出对所述第一业务办理eid签名信息进行验签和用户实名身份核验的请求；
14.在所述业务办理eid签名信息验签通过的情况下，云证书服务器对所述业务数据进行数字证书签名生成数字证书签名信息包括：
15.在所述第一业务办理eid签名信息验签和用户实名身份核验通过的情况下，所述云证书服务器对所述业务数据进行数字证书签名生成数字证书签名信息。
16.可选地，所述业务办理请求中待eid签名的内容包括：业务数据，
17.所述对所述业务办理请求进行公民网络电子身份标识eid签名生成业务办理eid签名信息包括：
18.验证用户输入的eid应用激活密码，在验证所述eid应用激活密码合法的情况下，通过eid私钥对所述业务数据进行eid签名，得到第二业务办理eid签名信息；
19.所述发出对所述业务办理eid签名信息进行验签的请求包括：
20.发出对所述第二业务办理eid签名信息进行验签的请求；
21.在所述业务办理eid签名信息验签通过的情况下，云证书服务器对所述业务数据进行数字证书签名生成数字证书签名信息包括：
22.在所述第二业务办理eid签名信息验签通过的情况下，所述云证书服务器对所述业务数据进行数字证书签名生成数字证书签名信息。
23.可选地，所述发出业务办理请求之前，所述请求处理方法还包括：
24.发出开通数字证书业务的请求；
25.对所述开通数字证书业务的请求进行eid签名，得到数字证书开通业务的eid签名信息，其中，所述开通数字证书业务的请求中待eid签名的内容包括：生物特征数据；
26.发出对所述数字证书开通业务的eid签名信息验签以及用户实名身份核验的请求；
27.其中，在所述数字证书开通业务的eid签名信息验签以及用户实名身份核验通过的情况下，认证中心ca服务器为所述业务数据的业务提供方签发数字证书。
28.可选地，对所述开通数字证书业务的请求进行eid签名，得到数字证书开通业务的eid签名信息，包括：
29.验证用户输入的eid应用激活密码，在验证所述eid应用激活密码合法的情况下，采集用户的生物特征数据，通过eid私钥对所述生物特征数据进行eid签名，得到所述数字证书开通业务的eid签名信息。
30.根据本发明实施例的第二方面，提供一种请求处理方法，所述请求处理方法应用于云证书服务器，包括：
31.接收对业务办理eid签名信息进行验签的请求，所述业务办理eid签名信息是对业务办理请求进行eid签名所生成的；
32.请求eid网络身份运营机构idso服务器对所述业务办理eid签名信息进行验签；
33.在所述业务办理eid签名信息验签通过的情况下，对所述业务数据进行数字证书签名生成数字证书签名信息；
34.其中，在所述数字证书签名信息验签通过的情况下，在业务提供方服务器处理所述业务数据。
35.可选地，所述业务办理请求中待eid签名的内容包括：生物特征数据和业务数据，第一业务办理eid签名信息是通过eid私钥对所述生物特征数据和业务数据进行eid签名得到的，
36.接收对业务办理eid签名信息进行验签的请求包括：
37.接收对所述第一业务办理eid签名信息进行验签的请求和对用户实名身份进行核验的请求；
38.所述请求eid网络身份运营机构idso服务器对所述业务办理eid签名信息进行验签包括：
39.请求所述idso服务器对所述第一业务办理eid签名信息进行验签和对用户实名身份进行核验；
40.所述在所述业务办理eid签名信息验签通过的情况下，对所述业务数据进行数字证书签名生成数字证书签名信息包括：
41.在所述第一业务办理eid签名信息验签通过和用户实名身份核验通过的情况下，使用数字证书对应的私钥对所述业务数据进行数字证书签名生成所述数字证书签名信息。
42.可选地，所述业务办理请求中待eid签名的内容包括：业务数据，第二业务办理eid签名信息是通过eid私钥对所述业务数据进行eid签名得到的，
43.接收对业务办理eid签名信息进行验签的请求包括：
44.接收对所述第二业务办理eid签名信息进行验签的请求；
45.所述请求eid网络身份运营机构idso服务器对所述业务办理eid签名信息进行验签包括：
46.请求所述idso服务器对所述第二业务办理eid签名信息进行验签；
47.所述在所述业务办理eid签名信息验签通过的情况下，对所述业务数据进行数字证书签名生成数字证书签名信息包括：
48.在所述第二业务办理eid签名信息验签通过的情况下，使用数字证书对应的私钥对所述业务数据进行数字证书签名生成所述数字证书签名信息。
49.可选地，接收对业务办理eid签名信息进行验签的请求之前，所述请求处理方法还包括：
50.接收对数字证书开通业务的eid签名信息进行验签以及对用户实名身份进行核验的请求，其中，所述数字证书开通业务的eid签名信息是对开通数字证书业务的请求进行eid签名得到的，所述开通数字证书业务的请求中待eid签名的内容包括：生物特征数据；
51.请求idso服务器对所述数字证书开通业务的eid签名信息进行验签以及对用户实名身份进行核验；
52.在所述数字证书开通业务的eid签名信息验签以及用户实名身份核验通过的情况下，产生数字证书对应的公钥
‑
私钥对；
53.接收包含所述数字证书对应的公钥的数字证书，存储所述数字证书和与所述数字证书对应的公钥
‑
私钥对，其中，所述数字证书是ca服务器为所述业务数据的业务提供方签发的。
54.根据本发明实施例的第三方面，提供一种请求处理系统，包括：
55.设备终端，用于对业务办理请求进行eid签名生成业务办理eid签名信息；
56.idso服务器，用于对所述业务办理eid签名信息进行验签；
57.云证书服务器，用于在所述业务办理eid签名信息验签通过的情况下，对所述业务数据进行数字证书签名生成数字证书签名信息；
58.ca服务器，用于对所述数字证书签名信息进行验签；
59.业务提供方服务器，用于在所述数字证书签名信息验签通过的情况下，处理所述业务数据。
60.可选地，所述设备终端，还用于对开通数字证书业务的请求进行eid签名，得到数字证书开通业务的eid签名信息，其中，所述开通数字证书业务的请求中待eid签名的内容包括：生物特征数据；
61.所述idso服务器，还用于对所述数字证书开通业务的eid签名信息进行验签以及用户实名身份核验；
62.所述云证书服务器，还用于在所述数字证书开通业务的eid签名信息验签以及用户实名身份核验通过的情况下，产生与数字证书对应的公钥
‑
私钥对，存储所述公钥
‑
私钥对和所述数字证书；
63.所述ca服务器，还用于为所述业务数据的业务提供方签发包含与所述数字证书对应的公钥的所述数字证书。
64.根据本发明实施例的第四方面，提供一种计算机设备，包括：
65.存储器，用于存储计算机可执行代码；
66.处理器，用于执行所述计算机可执行代码，以实现上述任一个所述的方法。
67.根据本发明实施例的第五方面，提供一种计算机可读介质，包括计算机可执行代码，所述计算机可执行代码被处理器执行时实现上述任一个所述的方法。
68.根据本发明实施例的请求处理方法、系统、计算机设备和介质，在终端设备的se或tee中对业务办理请求进行eid签名，得到业务办理eid签名信息；在idso服务器中对业务办理eid签名信息进行eid验签；在业务办理eid签名信息验签通过的情况下，在云证书安全容器使用数字证书对应的私钥对业务数据进行数字证书签名得到数字证书签名信息；在ca服务器对数字证书签名信息进行验签，在数字证书签名信息验签通过的情况下，在业务提供方服务器处理业务数据。如果要篡改业务数据，就需要同时破译eid私钥和数字证书对应的私钥，否则ca服务器对数字证书签名信息的验签都会通不过，这提高了业务操作者身份的可靠性，有效地降低了身份冒用的风险。无需在终端设备发放数字证书，而是在云证书服务器(具体是云证书安全容器)发放数字证书，降低了请求处理系统的整合难度，提高了请求处理方法的通用性。无需终端设备设置用于发放数字证书和签名的处理单元，降低了发放数字证书并利用数字证书进行电子签名的开发周期，提高了业务提供方处理业务的处理效率，降低了用户的使用成本。ca服务器对数字证书签名信息验签后即可留下交易的存证。
69.eid证书、eid公钥
‑
私钥对存储在终端的se或tee中，数字证书和数字证书对应的公钥
‑
私钥对存储在云证书服务器(具体是云证书安全容器)中。在本发明实施例的请求处理方法中，eid私钥和数字证书对应的私钥都是没有出过各自的存储硬件安全模块，实现了有效的硬件上的物理隔离，降低了业务数据被篡改的风险，提高了业务数据的可靠性。
70.在数字证书开通业务的eid签名信息验签以及用户实名身份核验通过的情况下，在云证书服务器(具体是云证书安全容器)产生数字证书对应的公钥
‑
私钥对，在ca服务器
产生与用户信息及数字证书对应的公钥唯一绑定的数字证书，在云证书安全容器存储数字证书和数字证书对应的公钥
‑
私钥对。在数字证书签发过程中使用eid实名身份认证技术，保证了用户授权的唯一性与安全性，提高了签发的数字证书的可靠性。
71.根据业务提供方的安全等级要求来调整本发明实施例的请求处理方法，对于安全等级较高的业务数据，在处理业务办理请求时再次确认用户身份，这提高了业务操作者身份的可靠性，有效地降低了身份冒用的风险。对于安全等级较低的业务数据，在处理业务办理请求时不再确认用户身份，这提高了请求处理效率。
附图说明
72.通过参考以下附图对本发明实施例的描述，本发明的上述以及其它目的、特征和优点将更为清楚，在附图中：
73.图1示出本发明实施例的请求处理系统的结构示意图；
74.图2示出了根据本发明一个实施例的请求处理方法的流程图；
75.图3示出了根据本发明一个实施例的请求处理方法的流程图；
76.图4示出了根据本发明一个实施例的请求处理方法的流程图；
77.图5示出了根据本发明一个实施例的业务处理控制装置的结构示意图。
具体实施方式
78.以下基于实施例对本发明进行描述，但是本发明并不仅仅限于这些实施例。在下文对本发明的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。为了避免混淆本发明的实质，公知的方法、过程、流程没有详细叙述。另外附图不一定是按比例绘制的。
79.相关技术中，常使用以下方案来进行防止交易信息被篡改：
80.方案一：通过二代usbkey(二代网银盾)供用户进行交易信息的确认，液晶显示屏提供交易的关键信息，实现真正的“所见即所签”，防止交易信息被篡改。
81.方案二：根据银行的具体需求，服务商整合终端及安全芯片的资源，通过tee+se/ta的整体方案设计，开发符合银行要求的安全支付方案，如ifaa的本地免密验证模式。
82.方案三：证书由key服务平台管理，秘钥采用分散存储方式，一部分存储在移动终端软件安全模块中，另一部分存储在服务端协作系统中；存储在移动终端中的秘钥会被进行再次拆分，一份秘钥不能推导出另一份秘钥；私钥在存储和使用过程中不会在任何一端完整的出现。执行签名时，移动终端的软件安全模块执行部分签名，服务端协作系统执行另一部分签名，并将签名发送给移动终端的软件安全模块，最终在移动终端的软件安全模块中合成完整的签名，整个过程签名私钥不会在任何一端完整出现。
83.然而，上述方案在防止交易信息被篡改的同时存在一些缺点：
84.方案一：成本高，不便于携带，并且与移动终端发生交互时用户体验差。
85.方案二：存在较大的整合难度和较长的开发周期，通用性不太高。
86.方案三：存储在移动终端中的秘钥采用的是软件密码白盒技术，没有做到真正硬件上的物理隔离，安全等级不够高；服务端协作系统存储的那部分秘钥的用户授权机制没有得到有效的保障，无论授权码在使用前经过了几次复杂的加密操作，对称加解密算法在
原理上都是可逆的，难以保障用户授权的唯一性，加上又没有进行硬件上的物理隔离，被破解的风险高，不符合电子签名法的要求。
87.有鉴于此，本发明实施例提供一种请求处理方法、系统、计算机设备和介质。
88.图1示出本发明实施例的请求处理系统的结构示意图。如图1所示，请求处理系统包括：终端设备100、业务提供方服务器200、云证书服务器300、云证书安全容器310、idso服务器400和ca服务器500。其中，终端设备100中安装有业务提供方app 110和eid管理app 120。终端设备100例如是手机、平板电脑等移动终端。业务提供方app 110例如是银行app，业务提供方服务器200例如是银行业务服务器。业务提供方app 110调用eid管理app 120获取eid实名身份认证服务，业务提供方服务器200通过对接云证书服务器300完成ca服务器500签发的数字证书的存储和签名功能。
89.eid(公民网络电子身份标识)是公民用于在互联网上远程证实身份的电子身份标识，建立在现有居民身份管理体系基础上，与公民现实社会中的身份一一对应。eid由一对非对称eid公钥
‑
私钥对和含有其eid公钥及相关信息的eid数字证书组成。eid有别于用于线下身份识别的第二代身份证，用于互联网身份识别。eid数字证书和eid公钥
‑
私钥对例如存储在终端设备100中的安全元件(se)中。其中，se是一种安全芯片，具备抵抗一定程度上的硬件攻击的能力。se能够提供安全的数据存储与密码运算环境。终端设备100可以将比较重要的应用安装在se中运行，如银行支付、银行电子u盾(usb
‑
key)、eid应用等。保存在se中的eid私钥难于被导出。
90.idso(eid网络身份运营机构)服务器400连接eid签发机构与eid网络身份服务机构，承担eid网络身份识别基础服务，并与eid网络身份服务机构合作向线上应用机构提供eid网络身份公共增值服务和相关安全增值服务。
91.ca(认证中心)服务器500是电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。
92.云证书安全容器310负责管理业务流程中业务提供方需要的ca数字证书数据，同时也负责与证书对应的秘钥的生成、存储和管理等，此处云证书安全容器310不限于使用“加密机”这一种存储介质，云证书安全容器310还包括能够实现同等功效的其它硬件安全模块(hsm)，如加密板卡。
93.云证书服务器300管理业务提供方客户端，提供业务服务接口，业务服务接口部署在应用系统服务器上，为业务应用提供调用接口，通过调用云证书安全容器310中存储的数字证书秘钥及数字证书实现对业务数据的加解密、签名等。云证书安全容器310可以设置于云证书服务器300之内，也可以设置于云证书服务器300之外。
94.在本实施例中，业务提供方可根据对安全策略的安全等级需求自主选择是否需要进行身份核验：当业务提供方要求在处理业务办理请求时再次确认用户身份(由于eid应用在开通时已经进行了一次身份确认，所以在处理业务办理请求的过程对用户身份核验是第二次用户身份确认)时，业务办理请求中待eid签名的内容包括：生物特征数据和业务数据，设备终端100用于对生物特征数据和业务数据进行eid签名生成第一业务办理eid签名信息。idso服务器400用于对第一业务办理eid签名信息进行验签以及对用户实名身份进行核验。云证书服务器300用于在第一业务办理eid签名信息验签通过以及用户实名身份核验通过的情况下，对业务数据进行数字证书签名生成数字证书签名信息。ca服务器500用于对数
字证书签名信息进行验签。业务提供方服务器200用于在数字证书签名信息验签通过的情况下，处理业务数据。
95.当业务提供方不需要再次确认用户身份时，业务办理请求中待eid签名的内容包括：业务数据，设备终端100用于对业务数据进行eid签名生成第二业务办理eid签名信息。idso服务器400，用于对第二业务办理eid签名信息进行验签。云证书服务器300用于在第二业务办理eid签名信息验签通过的情况下，对业务数据进行数字证书签名生成数字证书签名信息。ca服务器500，用于对数字证书签名信息进行验签。业务提供方服务器200用于在数字证书签名信息验签通过的情况下，处理业务数据。
96.在一些实施例中，设备终端100还用于对开通数字证书业务的请求进行eid签名，得到数字证书开通业务的eid签名信息，其中，开通数字证书业务的请求中待eid签名的内容包括：生物特征数据。idso服务器400还用于对数字证书开通业务的eid签名信息进行验签以及对用户实名身份进行核验。云证书服务器300还用于在数字证书开通业务的eid签名信息验签通过以及用户实名身份核验通过的情况下，产生数字证书对应的公钥
‑
私钥对，存储数字证书对应的公钥
‑
私钥对和数字证书；ca服务器500还用于为业务数据的业务提供方签发包含了数字证书对应的公钥的数字证书。
97.上述系统的实现细节将在下文的方法实施例的详细介绍中描述，为节约篇幅，故不赘述。下面结合图1详细介绍根据本发明实施例的请求处理方法。
98.图2示出了根据本发明一个实施例的请求处理方法的流程图，具体示出了为业务数据的业务提供方签发数字证书的流程图。如图2所示，根据本发明一个实施例的请求处理方法包括:
99.在步骤s201：终端设备100向业务提供方服务器200请求开通数字证书业务。
100.在该步骤中，终端设备100中安装有业务提供方app110和eid管理app120。用户在业务提供方app110注册、登陆自己的账号，申请开通数字证书。在业务提供方app110向业务提供方服务器200发起开通数字证书业务请求。
101.在步骤s202：业务提供方服务器200请求终端设备100对开通数字证书业务的请求进行eid签名。其中，开通数字证书业务的请求中待eid签名的内容包括：生物特征数据。
102.在该步骤中，业务提供方服务器200接收到业务提供方app110的开通数字证书业务的请求后，向业务提供方app110发起完成对开通数字证书业务的请求进行eid签名的请求，具体是对生物特征数据进行eid签名的请求。
103.在步骤s203：终端设备100采集生物特征数据。
104.在该步骤中，业务提供方app110接收到业务提供方服务器200发起的完成对开通数字证书业务的请求进行eid签名的请求后，提示用户需要进行eid应用激活密码确认和生物特征eid签名认证。在eid管理app120验证用户输入的eid应用激活密码，在验证eid应用激活密码合法的情况下，采集用户的生物特征数据。eid应用激活密码的形式可以包括字符、语音、指纹、图案、虹膜特征和人脸图像中的一种或多种。生物特征数据包括：人脸图像。
105.在步骤s204：在终端设备100对开通数字证书业务的请求进行eid签名。
106.在该步骤中，在终端设备100的se或tee中使用eid私钥对生物特征数据进行eid签名，得到数字证书开通业务的eid签名信息。
107.在步骤s205：在终端设备100向业务提供方服务器200请求对数字证书开通业务的
eid签名信息进行eid验签以及实名身份核验。
108.在步骤s206：业务提供方服务器200向云证书服务器300请求对数字证书开通业务的eid签名信息进行eid验签以及实名身份核验。
109.在步骤s207：云证书服务器300向idso服务器400请求对数字证书开通业务的eid签名信息进行eid验签以及实名身份核验。
110.在步骤s208：在idso服务器400中使用eid公钥对数字证书开通业务的eid签名信息进行eid验签以及实名身份核验。
111.在步骤s209：idso服务器400将对数字证书开通业务的eid签名信息的eid验签以及实名身份核验确认结果下发给云证书服务器300。
112.在步骤s210:在数字证书开通业务的eid签名信息验签通过以及用户实名身份核验通过的情况下，在云证书安全容器310产生数字证书对应的公钥
‑
私钥对。
113.在步骤s211：云证书服务器300将数字证书开通业务的eid签名信息eid验签确认结果、实名身份核验确认结果以及数字证书对应的公钥下发给业务提供方服务器200。
114.在步骤s212：业务提供方服务器200向ca服务器500请求签发数字证书。
115.在步骤s213：在ca服务器500产生与用户信息及数字证书对应的公钥唯一绑定的数字证书。
116.在步骤s214：ca服务器500下发数字证书和数字证书对应的公钥给业务提供方服务器200。
117.在步骤s215：业务提供方服务器200向云证书服务器300申请存储数字证书和数字证书对应的公钥。
118.在步骤s216：在云证书安全容器310存储数字证书和数字证书对应的公钥
‑
私钥对。
119.容易理解的是，由于用户通过终端设备100上的eid管理app120开通eid服务时需要确认用户是否已经开通eid服务。如果该用户已经开通过eid服务，则业务提供方app110提示用户已经开通eid服务，是否注销并重新开通eid服务。如果用户选择否，则终止开通eid服务；如果是，则调用eid管理app120完成eid服务注销，注销成功后方可重新开通eid服务。如此，eid服务的开通机制保障了一个用户最多只能同时在一个终端设备上开通eid服务，云证书安全容器310中存储的数字证书及数字证书对应的公钥
‑
秘钥对的用户授权是需要先经过对数字证书开通业务的eid签名信息进行eid验签确认以及实名身份核验确认的，数字证书及数字证书对应的公钥
‑
秘钥对的唯一性也就得到了保证。在开通eid服务后，用户可以设置eid应用激活密码，eid应用激活密码验证通过后才能获得使用eid私钥的权限，提高了业务操纵者的身份的可靠性。
120.在图2所示的数字证书签发过程中，ca服务器500、业务提供方服务器200和云证书服务器300之间是有专网来保障的，确保各服务器预存的对方的公钥信息是可靠的、正确的，ca服务器500、业务提供方服务器200和云证书服务器300之间的相互身份验证遵循现有的业务提供方系统架构即可。
121.图3示出了根据本发明一个实施例的请求处理方法的流程图，具体示出了处理业务办理请求的业务数据的流程图。在本发明实施例中，业务提供方要求在处理业务办理请求时再次确认用户身份(由于eid应用在开通时已经进行了一次身份确认，所以在处理业务
办理请求的过程对用户身份核验是第二次用户身份确认)，业务办理请求中待eid签名的内容包括：生物特征数据和业务数据。如图3所示，根据本发明一个实施例的请求处理方法包括:
122.在步骤s301：用户输入eid应用激活密码，在终端验证eid应用激活密码通过后，终端设备100向业务提供方服务器200请求办理业务。
123.在该步骤中，终端设备100中安装有业务提供方app110和eid管理app120。用户在业务提供方app110申请办理业务，待办理业务中包括业务数据，业务数据是业务操作的关键信息(如交易数额、交易类型、交易时间等交易信息)。业务提供方app110向业务提供方服务器200发起办理业务请求。
124.在步骤s302：业务提供方服务器200请求终端设备100对业务办理请求进行eid签名，其中，业务办理请求中待eid签名的内容包括：生物特征数据和业务数据。
125.在该步骤中，业务提供方服务器200接收到业务提供方app110的业务办理请求后，向业务提供方app110发起完成对业务办理请求进行eid签名的请求，具体是对生物特征数据和业务数据进行eid签名的请求。
126.在步骤s303：终端设备100采集生物特征数据。
127.在步骤s304：在终端设备100对业务办理请求进行eid签名。
128.在该步骤中，业务提供方app110调用eid管理app120，把交易信息传递给eid管理app120，请求用户确认并签名。eid管理app120调用eid可信界面显示待签名内容(如交易信息)，并请求用户验证eid应用激活密码。在eid管理app120验证用户输入的eid应用激活密码，在验证eid应用激活密码合法的情况下，采集用户的生物特征数据并在终端设备100的se或tee中使用eid私钥对生物特征数据和业务数据进行eid签名，得到第一业务办理eid签名信息。
129.在步骤s305：终端设备100向业务提供方服务器200请求对第一业务办理eid签名信息进行eid验签以及实名身份核验。
130.在该步骤中，在获得业务办理eid签名信息后，终端设备100的se经由eid管理app120，将业务办理eid签名信息透传给业务提供方app110，业务提供方app110向业务提供方服务器200发起对第一业务办理eid签名信息进行eid验签以及对实名身份进行核验的请求，对第一业务办理eid签名信息的eid验签以及实名身份核验通过即确保了交易信息的完整性，防篡改。
131.在步骤s306：业务提供方服务器200向云证书服务器300请求数字证书对业务数据进行数字证书签名，并将第一业务办理eid签名信息上传给云证书服务器300。
132.在步骤s307：云证书服务器300向idso服务器400请求对第一业务办理eid签名信息进行eid验签以及实名身份核验。
133.在步骤s308：在idso服务器400中使用数字证书对应的公钥对第一业务办理eid签名信息进行eid验签以及实名身份核验。
134.在步骤s309：idso服务器400将对第一业务办理eid签名信息的eid验签以及实名身份核验确认结果下发给云证书服务器300。
135.在步骤s310：在第一业务办理eid签名信息验签以及用户实名身份核验通过的情况下，在云证书安全容器310使用数字证书对应的私钥对业务数据进行数字证书签名得到
数字证书签名信息。在一些实施例中，云证书服务器300请求云证书安全容器310对业务数据进行数字证书签名；云证书安全容器310使用数字证书对应的私钥对业务数据进行数字证书签名，并将数字证书签名信息返回给云证书服务器300。
136.在步骤s311：云证书服务器300将数字证书签名信息下发给业务提供方服务器200。
137.在步骤s312：业务提供方服务器200向ca服务器500请求对数字证书签名信息进行数字证书验签。
138.在步骤s313：在ca服务器500使用数字证书对应的公钥对数字证书签名信息进行验签。ca服务器500对数字证书签名信息验签后即可留下交易的存证。
139.在步骤s314：ca服务器500下发对数字证书签名信息的验签结果给业务提供方服务器200。
140.在步骤s315：在数字证书签名信息验签通过的情况下，在业务提供方服务器200处理所述业务数据。
141.图4示出了根据本发明一个实施例的请求处理方法的流程图，具体示出了处理业务办理请求的业务数据的流程图。在本发明实施例中，业务提供方不要求在处理业务办理请求时再次确认用户身份，业务办理请求中待eid签名的内容包括：业务数据。如图4所示，根据本发明一个实施例的请求处理方法包括:
142.在步骤s401：用户输入eid应用激活密码，在终端验证eid应用激活密码通过后，终端设备100向业务提供方服务器200请求办理业务。
143.在步骤s402：业务提供方服务器200请求终端设备100对业务办理请求进行eid签名，其中，业务办理请求中待eid签名的内容包括：业务数据。
144.在该步骤中，业务提供方服务器200接收到业务提供方app110的业务办理请求后，向业务提供方app110发起完成对业务办理请求进行eid签名的请求，具体是对业务数据进行eid签名的请求。
145.在步骤s403：在终端设备100对业务办理请求进行eid签名。
146.在该步骤中，业务提供方app110调用eid管理app120，把交易信息传递给eid管理app120，请求用户确认并签名。eid管理app120调用eid可信界面显示待签名内容(如交易信息)，并请求用户验证eid应用激活密码。在eid管理app120验证用户输入的eid应用激活密码，在验证eid应用激活密码合法的情况下，在终端设备100的se或tee中使用eid私钥对业务数据进行eid签名，得到第二业务办理eid签名信息。
147.在步骤s404：终端设备100向业务提供方服务器200请求对第二业务办理eid签名信息进行eid验签。
148.在该步骤中，在获得业务办理eid签名信息后，终端设备100的se经由eid管理app120，将业务办理eid签名信息透传给业务提供方app110，业务提供方app110向业务提供方服务器200发起对第二业务办理eid签名信息进行eid验签，对第二业务办理eid签名信息的eid验签通过即确保了交易信息的完整性，防篡改。
149.在步骤s405：业务提供方服务器200向云证书服务器300请求数字证书对业务数据进行数字证书签名，并将第二业务办理eid签名信息上传给云证书服务器300。
150.在步骤s406：云证书服务器300向idso服务器400请求对第二业务办理eid签名信
息进行eid验签。
151.在步骤s407：在idso服务器400中使用数字证书对应的公钥对第二业务办理eid签名信息进行eid验签。
152.在步骤s408：idso服务器400将对第二业务办理eid签名信息的eid验签结果下发给云证书服务器300。
153.在步骤s409：在第二业务办理eid签名信息验签通过的情况下，在云证书安全容器310使用数字证书对应的私钥对业务数据进行数字证书签名得到数字证书签名信息。在一些实施例中，云证书服务器300请求云证书安全容器310对业务数据进行数字证书签名；云证书安全容器310使用数字证书对应的私钥对业务数据进行数字证书签名，并将数字证书签名信息返回给云证书服务器300。
154.在步骤s410：云证书服务器300将数字证书签名信息下发给业务提供方服务器200。
155.在步骤s411：业务提供方服务器200向ca服务器500请求对数字证书签名信息进行数字证书验签。
156.在步骤s412：在ca服务器500使用数字证书对应的公钥对数字证书签名信息进行验签。ca服务器500对数字证书签名信息验签后即可留下交易的存证。
157.在步骤s413：ca服务器500下发对数字证书签名信息的验签结果给业务提供方服务器200。
158.在步骤s414：在数字证书签名信息验签通过的情况下，在业务提供方服务器200处理所述业务数据。
159.需要说明的是，图3和图4所示的请求处理方法中，ca服务器500、业务提供方服务器200和云证书服务器300之间是有专网来保障的，确保各服务器预存的对方的公钥信息是可靠的、正确的。
160.容易理解的是，业务数据也可采用密文+签名验签的方式来进行传输和校验，密文方式传输则进一步提升了业务数据的可靠性。
161.本发明实施例的请求处理方法可以对业务数据进行联合签名，进而提高业务数据的可靠性。例如，在终端设备100对部分业务数据进行eid签名，在部分业务数据的eid签名信息验签通过以及用户实名身份核验通过的情况下，在云证书安全容器310使用数字证书对应的私钥对另一部分业务数据进行数字证书签名得到数字证书签名信息。
162.根据本发明实施例的请求处理方法、系统、计算机设备和介质，在终端设备的se或tee中对业务办理请求进行eid签名，得到业务办理eid签名信息；在idso服务器中对业务办理eid签名信息进行eid验签；在业务办理eid签名信息验签通过的情况下，在云证书安全容器使用数字证书对应的私钥对业务数据进行数字证书签名得到数字证书签名信息；在ca服务器对数字证书签名信息进行验签，在数字证书签名信息验签通过的情况下，在业务提供方服务器处理业务数据。如果要篡改业务数据，就需要同时破译eid私钥和数字证书对应的私钥，否则ca服务器对数字证书签名信息的验签都会通不过，这提高了业务操作者身份的可靠性，有效地降低了身份冒用的风险。无需在终端设备发放数字证书，而是在云证书服务器(具体是云证书安全容器)发放数字证书，降低了请求处理系统中器件整合难度，提高了请求处理方法的通用性。无需终端设备设置用于发放数字证书和签名的处理单元，降低了
发放数字证书并利用数字证书进行电子签名的开发周期，提高了业务提供方处理业务的处理效率，降低了用户的使用成本。ca服务器对数字证书签名信息验签后即可留下交易的存证。
163.eid证书、eid公钥
‑
私钥对存储在终端的se或tee中，数字证书和数字证书对应的公钥
‑
私钥对存储在云证书服务器(具体是云证书安全容器)中。在本发明实施例的请求处理方法中，eid私钥和数字证书对应的私钥都是没有出过各自的存储硬件安全模块，实现了有效的物理硬件上的隔离，降低了业务数据被篡改的风险，提高了业务数据的可靠性。
164.在数字证书开通业务的eid签名信息验签以及用户实名身份核验通过的情况下，在云证书服务器(具体是云证书安全容器)产生数字证书对应的公钥
‑
私钥对，在ca服务器产生与用户信息及数字证书对应的公钥唯一绑定的数字证书，在云证书安全容器存储数字证书和数字证书对应的公钥
‑
私钥对。在数字证书签发过程中使用eid实名身份认证技术，保证了用户授权的唯一性与安全性，提高了签发的数字证书的可靠性。
165.根据业务提供方的安全等级要求来调整本发明实施例的请求处理方法，对于安全等级较高的业务数据，在处理业务办理请求时再次确认用户身份，这提高了业务操作者身份的可靠性，有效地降低了身份冒用的风险。对于安全等级较低的业务数据，在处理业务办理请求时不再确认用户身份，这提高了请求处理效率。
166.图5示出本发明实施例的请求处理控制装置的结构图。图5示出的设备仅仅是一个示例，不应对本发明实施例的功能和使用范围构成任何限制。
167.参考图5，该装置包括通过总线连接的处理器510、存储器520和输入输出设备530。存储器520包括只读存储器(rom)和随机访问存储器(ram)，存储器520内存储有执行系统功能所需的各种计算机指令和数据，处理器510从存储器520中读取各种计算机指令以执行各种适当的动作和处理。输入输出设备包括键盘、鼠标等的输入部分；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分；包括硬盘等的存储部分；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分。存储器520还存储有计算机指令以完成本发明实施例的请求处理方法规定的操作。
168.相应地，本发明实施例提供一种计算机设备，包括：存储器，用于存储计算机可执行代码；处理器，用于执行所述计算机可执行代码，以实现上述的方法。
169.相应地，本发明实施例提供一种计算机可读介质，包括计算机可执行代码，所述计算机可执行代码被处理器执行时实现上述的方法。
170.附图中的流程图、框图图示了本发明实施例的系统、方法、装置的可能的体系框架、功能和操作，流程图和框图上的方框可以代表一个模块、程序段或仅仅是一段代码，所述模块、程序段和代码都是用来实现规定逻辑功能的可执行指令。也应当注意，所述实现规定逻辑功能的可执行指令可以重新组合，从而生成新的模块和程序段。因此附图的方框以及方框顺序只是用来更好的图示实施例的过程和步骤，而不应以此作为对发明本身的限制。
171.以上所述仅为本发明的一些实施例，并不用于限制本发明，对于本领域技术人员而言，本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。