身份证网上功能开通方法、手机、可信终端和验证服务器与流程

本发明涉及物联网与互联网通讯技术，更具体的，涉及一种居民身份证网上功能开通方法、手机、可信终端和验证服务器。

背景技术：

为了便利公民网上活动，推进公民信用体系建设，促进互联网的健康发展，保障国家网络信息安全，贯彻落实国家“互联网+”战略，2014年7月，中央网信办向公安部下发了《我国网络可信体系发展思路和政策研究》课题任务，要求公安部研究我国互联网发展和管理对网络信任的需求，提出我国网络可信体系发展的战略目标、战略思想、方针原则、重点任务和政策措施，以及居民身份证在网络可信体系发展中的地位和作用。2016年3月，国家发展与改革委员会成立“互联网+”重大工程保障支撑类项目，要求公安部建立“互联网+”可信身份认证平台，为互联网服务提供统一的、可信的、多级的网络身份服务。由公安部第一研究所负责建设的“居民身份证网上功能”项目正是上述要求的落地实践，该项目充分发挥居民身份证作为国家重大信息基础设施的优势，基于居民身份证生成与其唯一对应的网上凭证，建设网络身份认证信息系统，使居民身份证成为具有中国特色的网络可信体系的基础信任根，实现网上网下身份信任的一体化。该应用能够为网络金融、网络运营商、电子商务、电子政务、征信、交通等各互联网行业系统用户提供统一、权威、多级可信的身份认证服务，在不改变身份证现有安全机制，不在互联网上存储、传输身份信息，确保持证人隐私安全，不额外增加信息载体，不增加公民经济负担的原则下，破解现有互联网身份认证模式中身份“盗用”、“冒用”的问题。

如图1所示，“居民身份证网上功能”体系将居民身份证作为具有中国特色的网络可信体系的基础信任根，依托居民身份证制证数据资源，在公安内网系统签发与实体身份证件唯一对应的网上凭证，作为“互联网+”可信身份认证服务的核心要素。该网上凭证以身份证制证信息为基础，将身份证登记项目(姓名、身份证号码、有效期限、人像照片等)作为要素进行映射，经数字签名形成居民身份证网上特征集，用于远程验证身份证实体证件的真实性与有效性，并作为检索依据，在认证时捆绑前端所采集的认证数据，返回内网进行比对。

网上凭证是数据体积小于1k的电子文件，其由公安内网系统签发生成后，可供用户下载至前端设备使用，并支持写入交通ic卡等卡体芯片中使用。因网上凭证是公安部第一研究所通过对居民身份证dn码(即身份证初始化码)进行不可逆加密算法处理后生成，其自身并不携带任何公民个人身份信息，因此可以彻底避免在认证过程中传输与存储隐私信息。即使载有网上凭证的设备遗失或网上凭证电子文件被窃取，公民个人身份信息也不存在泄露的可能，且不法行为人在仅持有该电子文件的情况下，无法进行任何冒名认证操作。此时用户可通过远程冻结该网上凭证，实时限制非法使用行为，亦可通过远程重置网上凭证，签发全新的网上凭证以继续使用身份认证服务。

开通“居民身份证网上功能”功能说明

公民可持本人居民身份证，前往配置有“居民身份证网上功能”功能开通设备的“可信受理点”，通过读取实体身份证核验信息，采集活体人像进行生物特征比对，随后设置八位认证码(即网上凭证密码)，即可完成网上凭证的申请操作。经此一次申请，即可在“居民身份证网上功能”体系内，不分地域与业务、随时随地使用“互联网+”可信身份认证服务。公民申领网上凭证后，可凭本人身份证，或凭本人身份信息和认证码，远程实时将网上凭证下载到前端设备上进行认证操作。

当前，居民开通“居民身份证网上功能”需要在指定的一体机或平板电脑(所述设备提供“身份证网上应用”功能)开通所需的运行环境及硬件设备(摄像头)，所有操作在一体机或平板电脑上完成。

现有支持开通“居民身份证网上功能”的设备，基本为使用一体机的方式提供，具有体积大(不方便携带至各场合为公众提供服务)、成本高(使得采购成本高，从而导致开通“居民身份证网上功能”不易推广)的缺点。

技术实现要素：

本发明目的为提供一种灵活、可适应各种环境及场合的，开通“居民身份证网上功能”的方法。

本发明的方法和设备使用用户手机作为数据采集设备，通过蓝牙与互联网将数据传输至“可信终端”(开通“居民身份证网上功能”的实际操作设备)，“可信终端”进行“开通”操作并将结果返回至用户手机。

本发明的一种居民身份证网上功能开通的方法，包括：

s1，提供一可信终端，所述可信终端接收手机的连接请求；

s2，可信终端针对待开通用户生成一对非对称加密的公私秘钥对，将公钥返回给手机；

s3，所述可信终端接收手机的开通请求，以及手机发送的加密id，其中所述加密id通过如下过程获得：所述手机将采集的用户生物信息和存储的所述公钥发送至一验证服务器，所述验证服务器生成对应于所述用户生物信息的id，使用所述公钥对所述id进行加密，并返回至手机；

s4，所述可信终端用所述私钥对所述加密后的id解密，获得id。

s5，所述可信终端将所述id发送至所述验证服务器，并从所述验证服务器获得该id对应的户生物信息；

s6，所述可信终端基于所述用户生物信息和身份证内用户身份信息，来开通身份证网上功能。

本发明还提出一种身份证网上功能开通的手机，所述手机具有存储器和处理器，所述存储器存储有可执行程序，所述程序被执行时完成如下步骤：

s1，所述手机向一可信终端发送连接请求；

s2，所述手机接收所述可信终端生成的针对所述手机的公私秘钥对的公钥，其中所述公钥对应于待开通用户；

s3，所述手机向可信终端发送加密id以及发送开通请求，其中所述加密id通过如下过程获得：所述手机将采集的用户生物信息和存储的所述公钥发送至一验证服务器，所述验证服务器生成对应于所述用户生物信息的id，使用所述公钥对所述id进行加密，并返回至手机。

本发明还提出一种身份证网上功能开通的可信终端，所述可信终端具有存储器和处理器，所述存储器存储有可执行程序，所述程序被执行时完成如下步骤：

s1，所述可信终端接收手机的连接请求；

s2，所述可信终端对新连入的用户生成一对非对称加密的公、私秘钥对，将公钥返回给手机；

s3，所述可信终端接收手机的开通请求，以及手机发送的加密id，其中所述加密id通过如下过程获得：所述手机将采集的用户生物信息和存储的所述公钥发送至一验证服务器，所述验证服务器生成对应于所述用户生物信息的id，使用所述公钥对所述id进行加密，并返回至手机；

s4，所述可信终端用所述私钥对所述加密后的id解密，获得id。

s5，所述可信终端将所述id发送至所述验证服务器，并从所述验证服务器获得该id对应的用户生物信息；

s6，所述可信终端基于所述用户生物信息和身份证内用户身份信息，来开通身份证网上功能。

本发明提出一种身份证网上功能开通的验证服务器，所述验证服务器具有存储器和处理器，所述存储器存储有可执行程序，所述程序被执行时完成如下步骤：

s1，所述验证服务器接收手机的请求，其中，所述请求包含手机采集的用户生物信息和一可信终端的公钥；

s2，所述验证服务器生成对应于所述用户生物信息的id，使用所述公钥对所述id进行加密，并返回至手机；

s3，所述验证服务器接收所述可信终端发送的验证请求，其中所述请求包含所述id，所述验证服务器将所述id对应的用户生物信息返回给所述可信终端。

本发明的有益效果包括：

1.本方法使用的“可信终端”具有体积小的特点，具有极高的便携性。

2.本方法使用手机应用进行“活体检测”的方式，使得用户在进行“活体检测”时，可方便调整位置及角度，较一体机使用固定摄像头的方式有更高的灵活性。

附图说明

图1为居民身份证与网上应用功能凭证的示意图。

图2为本发明的方法的业务流程图。

图3为本发明的系统的架构图。

图4为本发明的系统的结构图。

具体实施方式

下面参照附图描述本发明的实施方式，其中相同的部件用相同的附图标记表示。在不冲突的情况下，下述的实施例及实施例中的技术特征可以相互组合。

图2显示了本发明的居民身份证网上功能开通方法的业务流程图。图3显示了手机、可信终端和验证服务器之间的拓扑关系。图4显示了本发明的方法的应用架构图。下面参照图2-4来描述本发明。

手机具有用户交互单元、蓝牙通信单元、互联网通信单元、活体检测和人像采集单元、后台交互单元和摄像头。所述这些单元可以由应用程序或微信小程序实现。

用户交互单元用于启动请求，显示处理结果，接收用户输入，提示用户信息等。

用户通过手机的用户交互单元(可以是手机应用或微信“小程序”进入“居民身份证网上功能”开通界面)，扫描可信终端的二维码，通过互联网通信单元与所述可信终端进行后续的数据交互，或者，通过选择“无二维码连接”，通过蓝牙通信单元与所述可信终端进行后续的数据交互。

活体检测及人像采集单元用于对用户进行活体检测，同时还采集用户的人像。其中，活体检测包括：指定用户对着摄像头进行动作，或者指定用户读出指定的语句。

可信终端：具有互联网通信单元、低功耗的蓝牙通信单元、以及后台交互单元。互联网通信单元用于与手机或验证服务器进行通信。蓝牙通信单元用于与手机进行通信。后台交互单元用于居民身份证网上功能开通的相关流程处理。

验证服务器为居民身份证网上功能开通设备服务器，其包括：互联网通信单元，后台处理单元和设备检测单元。设备检测单元用于向验证服务器汇报可信终端的运行状态，包括可信终端的位置信息，该可信终端开通居民身份证网上功能的统计信息，以及从验证服务器获取程序更新信息，获取更新程序及完成程序的自动更新。互联网通信单元用于通过互联网与用户手机以及“可信终端”进行交互。后台处理单元用于居民身份证网上功能开通的相关流程处理。

下面描述具体过程。

a1，居民身份证网上功能开通设备(下称“可信终端”)接收手机发送的连接请求。

具体地，手机的用户交互单元接收用户的开通需求，将请求提交给后台交互单元，后台交互单元生成请求包，由蓝牙通信单元或互联网通信单元将请求包发送给可信终端的蓝牙通信单元，然后请求包发送给可信终端的后台交互单元。

a2，可信终端对新连入的用户生成一对非对称加密的公、私秘钥对，将可信终端的设备信息(包括设备编号、设备运行程序版本)和公钥返回给手机。

具体地，可信终端的后台交互单元对新连入的用户生成一对非对称加密的公、私秘钥对，将可信终端的设备信息和公钥，经由蓝牙通信单元或者互联网通信单元返回给手机。

a3，手机应用根据可信终端返回的设备信息(通过向验证服务器发送验证请求)判断该可信终端是否为“可信任设备”，并储存所述公钥。

具体地，手机通过蓝牙通信单元或者互联网通信单元接收的设备信息和公钥传输给手机的后台交互单元，后台交互单元对设备信息进行验证。并且，将所述公钥存储在自己的安全区域内。

a4，手机对用户进行活体检测并在活体检测操作过程中采集其人像图片。

具体地，手机的后台交互单元命令活体检测和人像采集单元进行活体检测，并且采集用户的人像图片。检测结果和所述人像图片传输给所述后台交互单元。

a5，手机将人像图片和所述公钥发送给验证服务器。

具体地，手机的后台交互单元通过互联网通信单元将人像图片和所述公钥发送给验证服务器的互联网通信单元。

a6，所述验证服务器存储接收到的人像图片并生成对应id，然后使用所述公钥对id进行加密，并返回至手机。

具体地，验证服务器的互联网通信单元将受到的人像图片和所述公钥发送给后台交互单元，后台交互单元存储所述人像图片并生成对应id(与所述人像图片一一对应)，然后使用所述公钥对id进行加密，并通过互联网通信单元返回至手机。

在上述过程完成后，用户即可进行开通“居民身份证网上功能”的身份信息采集，具体包括：

b1，手机接收用户输入“开通”所需的信息。所述信息包括：手机号码与8位数字组成的认证码。

具体地，手机的用户交互单元接收用户输入的相关信息，通过蓝牙通信单元(也可以通过互联网通信单元)传输给可信终端。

b2，手机的用户交互单元提示用户将身份证放置在所述可信终端的读卡区域内。

b3，手机将用户在b1中输入的所述信息，连同步骤a6中获得的所述加密后的id，发送给所述可信终端。

b4，所述可信终端使用自己的私钥对所述加密后的id解密。

具体地，可信终端的后台交互单元使用自己的私钥对步骤b3中传来的所述加密后的id解密。

b5，所述可信终端将解密后的id发送给所述验证服务器，从所述验证服务器获取该id对应的人像图片。

具体的，可信终端的互联网通信单元将解密后的id发送给所述验证服务器，所述验证服务器的后台处理单元根据所述id从数据库中获得对应的人像图片，然后经由互联网通信单元返回给所述可信终端。

上述过程完成后，用户即可通过手机开通“居民身份证网上功能”，具体包括：

c1，所述可信终端读取身份证内的用户身份信息。

c2，所述可信终端基于步骤b3中获得的所述信息、步骤b5中获得的人像图片以及步骤c1中的用户身份信息，开通该居民身份证网上功能。

具体的，在一个方式中，可信终端完成以下过程：打开“开通居民身份证网上功能”，进入“开通”页面，完成“开通”所需的“读身份证”、输入人像图片及填写手机号码和认证码信息，最后点击“确认”按钮，这种方式是向一个可信服务器发送通知信息，完成开通。或者，可信终端基于上述信息，自身完成开通。

c3，所述可信终端将开通结果返回手机，由手机呈现给用户。

另外，以上仅仅用人像图片作为验证信息，也可以使用用户的其他生物信息，例如虹膜，指纹等。前提是身份证中存储了这些生物信息。

以上所述的实施例，只是本发明较优选的具体实施方式，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。