电子身份认证的方法和电子身份终端设备与流程

本发明涉及信息领域，尤其涉及一种电子身份(electronicidentity，eid)认证的方法和eid终端设备。

背景技术：

随着计算机与互联网技术的迅速发展，用户的个人身份如何在互联网中被有效认证成为了商业界和学术界共同关注的热点问题。为了解决这一问题，用户在实名制网站注册时，被动要求提供个人的手机号码、身份证号、家庭住址等隐私信息。这种方法会存在实名制网站倒卖用户隐私、服务器被黑客攻击而泄露隐私等问题。针对这些问题，提出了通过eid来验证用户身份的有效性的方法。

eid又称网络电子身份标识，是指可以在网络空间唯一标识一个用户身份的一串电子信息。eid中心依托公安部覆盖13亿人口的全国公民身份信息库，可以为用户生成一组唯一的网络标识符和数字证书，保证用户身份的真实性和唯一性，同时，该网络标识符和数字证书不包含任何个人身份隐私信息。eid相关信息由统一机构创建和管理，这样，既能确保个人身份的真实性，又可有效避免用户身份信息被保留到各种网络运行商处而导致的曝光和泄露。而且，使用eid还可以避免用户频繁手动输入用户名和密码，在保证身份安全可靠的前提下实现快捷登录及其他可信操作。

用户的eid通常情况下承载在智能卡上，可以将承载了eid信息的智能卡称为eid卡。有的eid卡还具有密码运算功能。

目前，使用eid卡来对用户的电子身份进行验证时，一种方法是eid卡通过读卡器与个人电脑(personalcomputer，pc)连接，然后pc可以通过读卡器读取eid卡上的eid信息，然后进行后续的身份认证流程。

上述方法需要使用读卡器，而且读卡器的使用局限性，如大部分移动终端不能从读卡器读取信息，使得读取eid卡上的eid信息便捷性受到影响，最终影响eid认证的便捷性。

技术实现要素：

本发明提供eid认证的方法、eid终端设备和eid认证系统，能够提高eid认证的便捷性。

第一方面，本发明提供了一种eid认证的方法，包括：eid终端设备通过所述eid终端设备的eid卡读取装置，从eid卡上读取eid卡的标识信息和eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值；所述eid终端设备显示所述eid的标识信息和所述第一签名值。

本发明实施例中，eid终端设备通过所述eid终端设备的eid卡读取装置，直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

可选地，eid终端设备可以通过所述eid终端设备上的eid卡读取卡槽，直接读取插入卡槽的eid卡中的信息，或者eid终端设备可以通过所述eid终端设备的eid卡读取装置，直接读取靠近其智能卡识别区域的eid卡中的信息。

在一种可能的实现方式中，所述eid终端设备为银行自助服务终端设备。

由于银行自助服务终端设备分布广泛，容易使用，因此通过银行自助服务终端设备来直接获取eid卡上的信息，可以进一步提高获取eid卡上的信息的便捷性，进而提高eid认证的便捷性。

在一种可能的实现方式中，eid终端设备通过所述eid终端设备的eid卡读取装置，从eid卡上读取eid卡的标识信息和eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值，包括：所述eid终端设备通过所述eid终端设备的eid卡读取装置，从所述eid卡上读取所述eid卡的标识信息；所述eid终端设备根据所述eid卡的标识信息确定继续与所述eid卡通信；所述eid终端设备向所述eid卡发送原文数据，所述原文数据包括所述eid终端设备的标识信息、所述eid终端设备的地区号、所述eid终端设备的网点号、所述eid卡的标识信息和所述eid生成二维码将使用的规则的版本信息；所述eid终端设备接收所述eid卡发送的所述第一签名值，所述第一签名值为所述eid卡对所述原文数据进行eid签名得到的eid签名值；所述eid终端设备显示所述eid信息和所述第一签名值，包括：所述eid终端设备向认证服务系统发送所述第一签名值；所述eid终端设备接收所述认证服务系统发送的消息认证码mac签名值，所述mac签名值为所述认证服务系统对所述第一签名值进行mac签名得到的签名值；所述eid终端设备生成包括所述原文数据、所述第一签名值和所述mac签名值的二维码；所述eid显示所述二维码。

本发明实施例中，eid终端设备获取到eid卡的签名信息后，将该签名信息发送给认证服务系统，以便于认证服务系统对该签名信息再进行二次签名。从而进一步提高eid认证的安全性。而且eid通过二维码方式显示签名信息，可以提高其他设备获取该签名信息的便捷性。

在一种可能的实现方式中，所述认证服务系统为公安eid中心系统。

本发明实施例中，由公安eid中心系统来对eid卡生成的签名信息进行二次签名，可以进一步提高eid认证的安全性。可选地，该认证服务系统也可以为eid网络身份服务机构(identityserviceprovider，idsp)。

第二方面，本发明提供了一种eid认证的方法，包括：eid终端设备通过所述eid终端设备的eid卡读取装置，从eid卡上读取eid卡的标识信息、eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值、与所述eid卡的标识信息对应的通用唯一识别码(universallyuniqueidentifier，uuid)；所述eid终端设备向认证服务系统发送所述eid卡的标识信息和所述第一签名值；所述eid终端设备显示所述uuid。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

可选地，eid终端设备可以直接读取插入其卡槽的eid卡中的信息，或者eid终端设备可以直接读取靠近其智能卡识别区域的eid卡中的信息。

在一种可能的实现方式中，所述eid终端设备为银行自助服务终端设备。

由于银行自助服务终端设备分布广泛，容易使用，因此通过银行自助服务终端设备来直接获取eid卡上的信息，可以进一步提高获取eid卡上的信息的便捷性，进而提高eid认证的便捷性。

在一种可能的实现方式中，所述eid终端设备通过所述eid终端设备的eid卡读取装置，从eid卡上读取eid卡的标识信息、eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值、与所述eid卡的标识信息对应的uuid，包括：所述eid终端设备通过所述eid终端设备的eid卡读取装置，从所述eid卡上读取所述eid卡的标识信息；所述eid终端设备根据所述eid卡的标识信息确定继续与所述eid卡通信；所述eid终端设备向所述eid卡发送原文数据，所述原文数据包括所述eid终端设备的标识信息、所述eid终端设备的地区号、所述eid终端设备的网点号、所述eid卡的标识信息和所述eid生成二维码将使用的规则的版本信息；所述eid终端设备接收所述eid卡发送的所述第一签名值和所述uuid，所述第一签名值为所述eid卡对所述原文数据进行eid签名得到的eid签名值；其中，所述eid终端设备向认证服务系统发送所述eid卡的标识信息和所述第一签名值，包括：所述eid终端设备向所述认证服务系统发送所述uuid、所述原文数据和所述第一签名值；所述eid终端设备显示所述uuid，包括：所述eid终端设备生成包括所述uuid的二维码；所述eid终端设备显示所述二维码。

本发明实施例中，eid终端设备可以向认证服务系统发送签名信息、原文数据和uuid，然后通过二维码显示uuid，以便于用户终端设备便捷地获取显示的uuid后，可以通过向认证服务系统发送该uuid，从而可以使得认证服务系统可以根据eid终端设备发送的签名信息、原文数据和uuid以及用户终端设备发送的uuid认证eid的真实性。

在一种可能的实现方式中，所述认证服务系统为智能型动态业务提供idsp系统。

第三方面，本发明提供了一种eid终端设备，所述eid终端设备包括用于执行第一方面或第一方面中任意一种可能的实现方式中的故障处理方法的模块。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

第四方面，本发明提供了一种eid终端设备，所述eid终端设备包括用于执行第二方面或第二方面中任意一种可能的实现方式中的故障处理方法的模块。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

第五方面，本发明提供了一种eid终端设备，包括接收器、发送器、处理器和存储器，所述存储器用于存储代码，所述处理器用于执行所述存储器中的代码，所述接收器和发送器用于与其他设备通信。当所述代码被执行时，所述处理器调用所述接收器和发送器实现第一方面或第一方面中任意一种可能的实现方式中的方法。

第六方面，本发明提供了一种eid终端设备，包括接收器、发送器、处理器和存储器，所述存储器用于存储代码，所述处理器用于执行所述存储器中的代码，所述接收器和发送器用于与其他设备通信。当所述代码被执行时，所述处理器调用所述接收器和发送器实现第二方面或第二方面中任意一种可能的实现方式中的方法。

第七方面，本发明提供了一种计算机可读介质，所述计算机可读介质存储用于eid终端设备执行的程序代码，所述程序代码包括用于执行第一方面中或第一方面中任意一种可能的实现方式中的方法的指令。

第八方面，本发明提供了一种计算机可读介质，所述计算机可读介质存储用于eid终端设备执行的程序代码，所述程序代码包括用于执行第二方面中或第二方面中任意一种可能的实现方式中的方法的指令。

第九方面，本发明提供了一种eid认证系统，包括第三方面或第四方面中的eid终端设备。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是可以应用本发明实施例的eid认证的方法的示例性场景图。

图2是本发明一个实施例的eid认证的方法的示意性流程图。

图3是本发明另一个实施例的eid认证的方法的示意性流程图。

图4是本发明另一个实施例的eid认证的方法的示意性流程图。

图5是本发明另一个实施例的eid认证的方法的示意性流程图。

图6是本发明一个实施例的eid认证终端设备的示意性框图。

图7是本发明另一个实施例的eid认证终端设备的示意性框图。

图8是本发明一个实施例的eid认证终端设备的示意性框图。

图9是本发明另一个实施例的eid认证终端设备的示意性框图。

图10是本发明一个实施例的eid认证系统的示意性框图

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了便于理解，先从整体上描述能够应用本发明实施例的eid认证的方法的场景的示例图。应理解，本发明实施例并不限于图1所示的系统架构中，此外，图1中的装置可以是硬件，也可以是从功能上划分的软件或者以上二者的结合。

图1所示的应用场景中，包括eid卡110、移动终端设备120、公安eid中心系统130和idsp系统140。

eid卡110为承载了eid信息的智能卡。当然，eid卡上还可承载其他信息，如数字证书，有的eid卡还具有密码运算功能。本发明对eid卡上承载的信息的具体内容不作限制，只要是承载了eid信息的卡均落入本发明的保护范围。

移动终端设备120又可称为接入终端、终端设备、移动设备、用户终端、终端、无线通信设备等。移动终端设备120还可以是具有无线通信功能的手持设备、车载设备、可穿戴设备以及未来5g网络中的终端设备等。本发明实施例中的移动终端设备只是示例性说明，能够应用本发明实施例的eid认证的方法的场景中的该设备也可以是非移动性设备。

通常情况下，移动终端设备120上部署有需要用户进行身份认证的线上应用或线上服务。本发明实施例中，线上应用或线上服务可以指泛在的网络服务，需要eid网络身份识别和安全服务的应用都可接入eid身份服务。

公安eid中心系统130是对用户的eid信息进行创建和管理的系统。

idsp系统140是除移动终端设备和公安eid中心系统外的第三方系统，其可以辅助公安eid中心130完成用户的eid信息的认证。可选地，能够应用本发明实施例的eid认证的方法的场景中可以没有idsp系统140。

isdp系统也可以简称为eid服务机构，其具体可以用于连接eid网络身份运营机构与线上应用服务，可以向线上应用服务提供eid网络身份服务。

idsp系统140可以与移动终端设备120和公安eid中心系统130通信。

本发明实施例的eid认证的方法的场景中还可以包括eid签发机构和/或eid网络身份运营机构。eid签发机构可以连接公安部人口库的“公安部公民网络身份识别系统”，承担eid载体的登记和发行职能，可提供加载eid的载体、有着广泛的发行渠道和严格的身份审核及面签程序的机构均可申请成为eid签发机构。eid网络身份运营机构(identityserviceoperator，idso)，也可以简称为eid运营机构，连接eid签发机构和eid网络身份服务机构，承担eid网络身份识别基础服务，并与eid网络身份服务机构合作向线上应用服务提供eid网络身份公共服务和相关安全服务。

当用户使用移动终端设备120上的应用或服务时，这些应用或服务会要求认证用户的身份，而认证用户的身份需要使用的eid信息存储在eid卡110上，这个时候移动终端设备120需要获取eid卡上的eid信息已进行身份认证。

现有技术中，需要将eid卡110插入读卡器中，然后将读卡器与pc进行通信，pc通过读卡器读取eid卡110中的eid信息并通过二维码的方式显示，移动终端设备120通过摄像头扫描该二维码，获取二维码中的eid信息，再将该eid信息发送到公安eid中心系统130和/或idsp系统140进行身份认证。

由于上述方法需要使用读卡器，因此大大影响了从eid卡上读取eid信息以进行身份认证的便捷性。

因此，本发明提出了一种新的eid认证的方法，以提高从eid卡上读取eid信息以进行身份认证的便捷性。

图2为本发明实施例的eid认证的方法的示例性流程图。应理解，图2示出了eid认证的方法的步骤或操作，但这些步骤或操作仅是示例，本发明实施例还可以执行其他操作或者图2中的各个操作的变形。此外，图2中的各个步骤可以按照与图2呈现的不同的顺序来执行，并且有可能并非要执行图2中的全部操作。

s210，eid终端设备通过所述eid终端设备的eid卡读取装置，从eid卡上读取eid卡的标识信息和eid卡根据eid卡中的eid信息进行第一签名得到的第一签名值。

本发明实施例中，eid终端设备通过所述eid终端设备的eid卡读取装置，从eid卡上读取eid卡的标识信息或签名信息等信息，可以指eid终端设备通过eid终端设备上的可读取智能卡上的信息的模块或单元或装置直接从eid上读取eid卡中的信息，如直接可以从插入其卡槽中的eid卡上读取eid卡中的信息或者eid终端设备可以直接读取靠近其智能卡识别区域的eid卡中的信息，使得用户不需要额外的读卡器来实现，因此可以提高从eid卡上读取信息以进行身份认证的便捷性。

s220，eid终端设备显示该eid卡的标识信息和所述第一签名值。

eid终端设备显示该eid卡的标识信息和根据该eid卡中的eid信息生成的签名值，使得部署有需要认证用户身份的用户设备可以根据获取该签名信息以进行身份认证。此处，部署有需要认证用户身份的用户设备可以是图1中所示的移动终端设备120。

本发明实施例中，可选地，eid终端设备从eid卡上读取eid卡的标识信息和eid卡根据eid卡中的eid信息进行第一签名得到的第一签名值的具体实现方式可以是：eid终端设备从eid卡上读取eid卡的标识信息；eid终端设备根据eid卡的标识信息确定继续与eid卡通信；eid终端设备向eid卡发送原文数据，原文数据包括eid终端设备的标识信息、eid终端设备的地区号、eid终端设备的网点号、eid卡的标识信息和eid生成二维码将使用的规则的版本信息；eid终端设备接收eid卡发送的第一签名值，第一签名值为eid卡对原文数据进行eid签名，得到eid签名值。相应地，eid终端设备显示eid卡的标识信息和第一签名值，包括：eid终端设备向认证服务系统发送第一签名值；eid终端设备接收认证服务系统发送的消息认证码(messageauthenticationcode，mac)签名值，mac签名值为认证服务系统对第一签名值进行mac签名得到的签名值；eid终端设备生成包括原文数据、第一签名值和mac签名值的二维码；eid显示该二维码。

可选地，eid卡对原文数据进行的eid签名可以包括使用对称秘钥算法或使用非对称秘钥算法的签名，如使用哈希运算消息认证码(hash-basedmessageauthenticationcode，hmac)的hamc签名或公共基础设施(publickeyinfrastructure，pki)签名。pki签名可以使用rsa(ronrivest、adishamir、leonardadleman)或国密sm2等算法。

本发明实施例中，eid终端设备获取到eid卡的签名信息后，将该签名信息发送给认证服务系统，以便于认证服务系统对该签名信息再进行二次签名。从而进一步提高eid认证的安全性。而且eid通过二维码方式显示签名信息，可以提高其他设备获取该签名信息的便捷性。

当然，eid终端设备也可以生成包括原文数据、第一签名值和mac签名值的其他显示码并显示该显示码。如eid终端设备可以生成包括原文数据、第一签名值和mac签名值的条形码并显示该条形码。也就是说，本发明对显示原文数据、第一签名值和mac签名值的方式不作限制。

此时，可选地，该认证服务系统可以是图1中所示的公安eid中心系统130。

本发明实施例中，可选地，eid终端设备根据eid卡的标识信息确定继续与eid卡通信，具体可以是：eid终端设备读取eid卡的标识信息后，eid终端设备可以对该eid卡进行个人标识号(personalidentificationnumber，pin)校验，在校验成功时才继续与eid卡进行通信，如向eid卡发送信息，继续从eid卡上读取信息等。

本发明还提出了另一种eid认证的方法，示意性流程图如图3所示。应理解，图3示出了eid认证的方法的步骤或操作，但这些步骤或操作仅是示例，本发明实施例还可以执行其他操作或者图3中的各个操作的变形。此外，图3中的各个步骤可以按照与图3呈现的不同的顺序来执行，并且有可能并非要执行图3中的全部操作。

s310，eid终端设备从eid卡上读取eid卡的标识信息、eid卡根据eid卡中的eid信息进行第一签名得到的第一签名值、与eid卡的标识信息对应的uuid。

本发明实施例中，eid终端设备从eid卡上读取eid卡的标识信息或签名信息等信息是指eid终端设备通过eid终端设备上的可读取智能卡上的信息的模块或单元或装置直接从eid上读取eid卡中的信息，如直接可以从插入其卡槽中的eid卡上读取eid卡中的信息或者eid终端设备可以直接读取靠近其智能卡识别区域的eid卡中的信息，使得用户不需要额外的读卡器来实现，因此可以提高从eid卡上读取信息以进行身份认证的便捷性。

s320，eid终端设备向认证服务系统发送eid卡的标识信息和第一签名值。

s330，eid终端设备显示该uuid。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

本发明实施例中，eid终端设备从eid卡上读取eid卡的标识信息、eid卡根据eid卡中的eid信息进行第一签名得到的第一签名值、与eid卡的标识信息对应的uuid的一种具体的实现方式可以是：eid终端设备从eid卡上读取eid卡的标识信息；eid终端设备根据eid卡的标识信息确定继续与eid卡通信；eid终端设备向eid卡发送原文数据，原文数据包括eid终端设备的标识信息、eid终端设备的地区号、eid终端设备的网点号、eid卡的标识信息和eid生成二维码将使用的规则的版本信息；eid终端设备接收eid卡发送的第一签名值和所述uuid，第一签名值为eid卡对原文数据进行eid签名得到的eid签名值。相应地，eid终端设备向认证服务系统发送eid卡的标识信息和第一签名值具体为：eid终端设备向认证服务系统发送uuid、原文数据和第一签名值；eid终端设备显示uuid具体为：eid终端设备生成包括uuid的二维码；eid终端设备显示二维码。

可选地，eid卡对原文数据进行的eid签名可以包括使用对称秘钥算法或使用非对称秘钥算法的签名，如使用hmac的hamc签名或pki签名。pki签名可以使用rsa或国密sm2等算法。

本发明实施例中，eid终端设备可以向认证服务系统发送签名信息、原文数据和uuid，然后通过二维码显示uuid，以便于用户终端设备便捷地获取显示的uuid后，可以通过向认证服务系统发送该uuid，从而可以使得认证服务系统可以根据eid终端设备发送的签名信息、原文数据和uuid以及用户终端设备发送的uuid认证eid的真实性。

当然，eid终端设备也可以生成包括uuid的其他显示码并显示该显示码。如eid终端设备可以生成包括uid的条形码并显示该条形码。也就是说，本发明对显示uuid的方式不作限制。

本发明实施例中，可选地，认证服务系统可以为idsp系统，如图1中所述的idsp系统140。

图2和图3所示的eid认证的方法中，可选地，eid终端设备可以是自助服务终端设备。

自助服务终端设备通常是指以“自助服务”为系统设计理念，以缓解传统营业厅人流量过大的问题，弥补原来营业时间上的不足，避免顾客在营业厅办理业务的烦恼，使顾客感受到轻松、便捷、体贴的服务的终端设备。营业厅自助服务终端是对营业厅服务的延伸与补充。

如在金融行业，用户可以在银行自助服务终端设备进行账户查询、自助转账、对账单打印、补登、自助挂失等业务。在通信行业，用户可以通过自助服务终端机输入电话号码进行自助办理手机停(复)机、话费账单查询打印、缴费、发票打印、来电显示等基本业务的开停办理。

自助服务终端设备可放置于各种营业厅、代收费点、车站、码头、机场、大型商场等公共场所。

优选地，本发明实施例中的eid服务终端设备可以是银行自助服务终端设备，如俗称的查询机或服务机等。只要银行自助服务终端上有直接可以读取eid卡上的eid信息的模块或单元或装置，用户就可以只需要使用该自助服务终端就可以获取用于验证其eid的真实性的签名信息。

下面结合图4中的银行自助服务终端设备、移动终端设备、公安eid中心系统和idsp系统，示例性详细介绍图2中所示的eid认证的方法。图4中与图1中相同的附图标记表示相同的含义，为了简洁，此处不再赘述。

当用户需要使用eid卡上的eid信息验证身份时，其将eid卡插入银行自助服务终端设备的卡槽中，或将eid卡靠近银行自助服务终端设备上用于识别智能卡的区域。

s402，银行自助服务终端设备401通过其上的eid卡读取装置读取eid的标识信息，并对eid卡进行pin校验。

s404，银行自助服务终端设备401对eid卡进行pin校验成功后，向eid卡发送原文数据，原文数据可以包括eid卡的标识信息、银行自助服务终端设备的标识信息、当前交易时间、银行自助服务终端设备所在的地区号和银行自助服务终端设备所在的网点号和银行自助服务终端设备生成二维码时使用的规则版本信息(如版本号)。

s406，eid卡接收银行自助服务终端设备发送的原文数据后，对该原文数据进行eid签名，得到eid签名值。如对该原文数据进行hmac签名或pki签名。

s408，eid卡向银行自助服务终端设备发送eid签名值。

s410，银行自助服务终端设备401接收eid卡发送的eid签名值后，向公安eid中心系统130发送该eid签名值。

s412，公安eid中心系统130接收银行自助服务终端设备401发送的eid签名值后，可以对该eid签名值进行mac签名，得到对应的mac签名值。

s414，公安eid中心系统130向银行自助服务终端设备401发送其生成的mac签名值。

s416，银行自助服务终端设备401接收公安eid中心系统发送的mac签名值后，通过二维码显示mac签名值、hmac签名值和原文数据

s418，移动终端设备120通过摄像头扫描银行自助服务终端设备301上的二维码，获取二维码中的信息。

s420，移动终端设备120向idsp系统140发送从二维码中获取的信息。

s422，idsp系统140接收移动终端设备120发送的信息，根据其中的eid卡的标识信息获取与该eid卡对应的eid信息，然后根据该eid信息对原文数据进行eid签名，若得到的eid签名值与二维码中的eid签名值相同，然后再对idsp进行eid签名得到的eid签名值进行mac签名，将得到的mac签名值与二维码中的mac签名值比较，若相同则表示eid认证成功，否则eid认证失败。

s424，idsp系统140向移动终端设备120发送认证结果是成功还是失败。

其中，s422和s424具体还可以是：移动终端设备120上的线上服务将二维码中的信息发送给线上服务的后台服务，该后台服务再将二维码的信息发送给idsp系统140，由idsp系统140对二维码中的信息进行eid认证后，idsp系统140将验证结果发送给后台服务，后台服务再发送给移动终端设备120上的线上服务，该线上服务在移动终端设备120上显示认证结果。

下面结合图5中的银行自助服务终端设备、移动终端设备、公安eid中心系统和idsp系统，示例性详细介绍图3中的eid认证的方法。图5中与图1中相同的附图标记表示相同的含义，为了简洁，此处不再赘述。

当用户需要使用eid卡上的eid信息验证身份时，其将eid卡插入银行自助服务终端设备的卡槽中，或将eid卡靠近银行自助服务终端设备上用于识别智能卡的区域。

s502，银行自助服务终端设备501通过其上的eid卡读取装置获取eid卡的标识信息，并对eid卡进行pin校验。

s504，银行自助服务终端设备501对eid卡pin校验成功后，向eid卡发送原文数据，原文数据可以包括eid卡的标识信息、银行自助服务终端设备的标识信息、当前交易时间、银行自助服务终端设备所在的地区号和银行自助服务终端设备所在的网点号和银行自助服务终端设备生成二维码时使用的规则版本信息(如版本号)。

s506，eid卡110接收银行自助服务终端设备501发送的原文数据后，对该原文数据进行eid签名，得到eid签名值。如对该原文数据进行hmac签名或pki签名。

s508，eid卡110向银行自助服务终端设备501发送eid签名值和与该eid卡对应的uuid信息。

s510，银行自助服务终端设备501接收eid卡发送的eid签名值、uuid后，向公安eid中心系统130发送原文数据、eid签名值和uuid。

s512，公安eid中心系统130接收银行自助服务终端设备501发送的原文数据、eid签名值和uuid后，将这些信息透传给idsp系统140。

s514，银行自助服务终端设备501通过二维码显示uuid。

s516，移动终端设备120通过摄像头扫描银行自助服务终端设备501上的二维码，获取二维码中的uuid信息。

s518，移动终端设备120向idsp系统140发送从二维码中获取的uuid信息。

s520，idsp系统140接收移动终端设备120发送的uuid信息后，idsp系统获取与该uuid对应的eid卡的标识信息，然后获取该eid卡对应的eid信息，根据该eid信息对原文数据进行eid签名，并将得到的eid签名值与s514中获取的eid签名值进行比较，若相同，标识eid认证成功，否则认证失败。

s522，idsp系统140向移动终端设备120发送认证结果。

其中，s518和s520具体还可以是：移动终端设备120上的线上服务将二维码中的uuid发送给线上服务的后台服务，该后台服务再将uuid发送给idsp系统140，由idsp系统140根据uuid进行eid认证后，idsp系统140将验证结果发送给后台服务，后台服务再发送给移动终端设备120上的线上服务，该线上服务在移动终端设备120上显示认证结果。

上面介绍了本发明实施例的eid认证的方法，下面结合图6至图10介绍本发明实施例的eid终端设备。

图6是本发明一个实施例的eid终端设备的示意性框图。应理解，图6示出的eid终端设备600仅是示例，本发明实施例的eid终端设备还可包括其他模块或单元，或者包括与图6中的各个模块的功能相似的模块，或者并非要包括图6中的所有模块。

读取模块610，用于从eid卡上读取eid卡的标识信息和eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值。

生成模块620，用于显示所述eid的标识信息和所述第一签名值。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

可选地，作为一个实施例，所述eid终端设备为银行自助服务终端设备。

可选地，作为一个实施例，所述读取模块具体用于：从所述eid卡上读取所述eid卡的标识信息；根据所述eid卡的标识信息确定继续与所述eid卡通信。其中，所述eid终端设备还包括：发送模块，用于向所述eid卡发送原文数据，所述原文数据包括所述eid终端设备的标识信息、所述eid终端设备的地区号、所述eid终端设备的网点号、所述eid卡的标识信息和所述eid生成二维码将使用的规则的版本信息；接收模块，用于接收所述eid卡发送的所述第一签名值，所述第一签名值为所述eid卡对所述原文数据进行eid签名得到的eid签名值；所述发送模块还用于向认证服务系统发送所述第一签名值；所述接收模块还用于接收所述认证服务系统发送的消息认证码mac签名值，所述mac签名值为所述认证服务系统对所述第一签名值进行mac签名得到的签名值；所述显示模块具体用于：生成包括所述原文数据、所述第一签名值和所述mac签名值的二维码；显示所述二维码。

可选地，作为一个实施例，所述认证服务系统为公安eid中心系统。

可选地，所述eid签名包括hmac签名或pki签名，所述pki签名可以使用rsa算法或sm2算法。

eid终端设备600可以执行图2所示的方法中由eid终端设备执行的各个步骤，为了简洁，此处不再赘述。

图7是本发明一个实施例的eid终端设备的示意性框图。应理解，图7示出的eid终端设备700仅是示例，本发明实施例的eid终端设备还可包括其他模块或单元，或者包括与图7中的各个模块的功能相似的模块，或者并非要包括图7中的所有模块。

读取模块710，用于从eid卡上读取eid卡的标识信息、eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值、与所述eid卡的标识信息对应的通用唯一识别码uuid；

发送模块720，用于向认证服务系统发送所述eid卡的标识信息和所述第一签名值；

显示模块730，用于显示所述uuid。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

可选地，作为一个实施例，所述eid终端设备为银行自助服务终端设备。

可选地，作为一个实施例，所述读取模块具体用于：从所述eid卡上读取所述eid卡的标识信息；根据所述eid卡的标识信息确定继续与所述eid卡通信；所述发送模块还用于向所述eid卡发送原文数据，所述原文数据包括所述eid终端设备的标识信息、所述eid终端设备的地区号、所述eid终端设备的网点号、所述eid卡的标识信息和所述eid生成二维码将使用的规则的版本信息；所述eid终端设备还包括接收模块，用于接收所述eid卡发送的所述第一签名值和所述uuid，所述第一签名值为所述eid卡对所述原文数据进行eid签名得到的eid签名值；其中，所述发送模块具体用于向所述认证服务系统发送所述uuid、所述原文数据和所述第一签名值；所述显示模块具体用于：生成包括所述uuid的二维码和显示所述二维码。

可选地，作为一个实施例，所述认证服务系统为idsp系统。

可选地，所述eid签名包括hmac签名或pki签名，所述pki签名可以使用rsa算法或sm2算法。

eid终端设备700可以执行图3所示的方法中由eid终端设备执行的各个步骤，为了简洁，此处不再赘述。

图8是本发明另一个实施例的eid终端设备800的示意性框图。eid终端设备800包括存储器810、处理器820、接收器830和发送器840。

存储器810，用于存储程序。

处理器820，用于执行所述存储器810存储的程序。

当所述处理器820执行所述存储器810存储的程序时，具体用于从eid卡上读取eid卡的标识信息和eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值。

所述处理器820还用于用于显示所述eid的标识信息和所述第一签名值。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

可选地，作为一个实施例，所述eid终端设备800为银行自助服务终端设备。

可选地，作为一个实施例，所述处理器820具体用于从所述eid卡上读取所述eid卡的标识信息；根据所述eid卡的标识信息确定继续与所述eid卡通信。所述发送器840用于向所述eid卡发送原文数据，所述原文数据包括所述eid终端设备的标识信息、所述eid终端设备的地区号、所述eid终端设备的网点号、所述eid卡的标识信息和所述eid生成二维码将使用的规则的版本信息；所述接收器830用于接收所述eid卡发送的所述第一签名值，所述第一签名值为所述eid卡对所述原文数据进行eid签名得到的eid签名值；所述发送器还用于向认证服务系统发送所述第一签名值；所述接收器还用于接收所述认证服务系统发送的消息认证码mac签名值，所述mac签名值为所述认证服务系统对所述第一签名值进行mac签名得到的签名值；所述处理器具体用于：生成包括所述原文数据、所述第一签名值和所述mac签名值的二维码；显示所述二维码。

可选地，作为一个实施例，所述认证服务系统为公安eid中心系统。

可选地，所述eid签名包括hmac签名或pki签名，所述pki签名可以使用rsa算法或sm2算法。

eid终端设备800可以执行图2所示的方法中由eid终端设备执行的各个步骤，且与eid终端设备600对应，为了简洁，此处不再赘述。

图9是本发明另一个实施例的eid终端设备900的示意性框图。eid终端设备900包括存储器910、处理器920、接收器930和发送器940。

存储器910，用于存储程序。

处理器920，用于执行所述存储器910存储的程序。

当所述处理器920执行所述存储器910存储的程序时，具体用于从eid卡上读取eid卡的标识信息、eid卡根据所述eid卡中的eid信息进行第一签名得到的第一签名值、与所述eid卡的标识信息对应的uuid。

所述发送器940用于向认证服务系统发送所述eid卡的标识信息和所述第一签名值。

所述处理器920还用于显示所述uuid。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

可选地，作为一个实施例，所述eid终端设备为银行自助服务终端设备。

可选地，作为一个实施例，所述处理器具体用于：从所述eid卡上读取所述eid卡的标识信息；根据所述eid卡的标识信息确定继续与所述eid卡通信；所述发送器还用于向所述eid卡发送原文数据，所述原文数据包括所述eid终端设备的标识信息、所述eid终端设备的地区号、所述eid终端设备的网点号、所述eid卡的标识信息和所述eid生成二维码将使用的规则的版本信息；所述接收器用于接收所述eid卡发送的所述第一签名值和所述uuid，所述第一签名值为所述eid卡对所述原文数据进行eid签名得到的eid签名值；其中，所述发送器具体用于向所述认证服务系统发送所述uuid、所述原文数据和所述第一签名值；所述处理器具体用于：生成包括所述uuid的二维码和显示所述二维码。

可选地，作为一个实施例，所述认证服务系统为智能型动态业务提供idsp系统。

可选地，所述eid签名包括hmac签名或pki签名，所述pki签名可以使用rsa算法或sm2算法。

eid终端设备900可以执行图3所示的方法中由eid终端设备执行的各个步骤，且与eid终端设备700对应，为了简洁，此处不再赘述。

图10为本发明实施例的eid认证系统1000的示意性框图。应理解，图10示出的eid认证系统仅是示例，本发明实施例的eid认证系统还可包括其他模块或单元，或者包括与图10中的各个模块的功能相似的模块，或者并非要包括图10中的所有模块。

eid认证系统1000包括eid终端设备1010、公安eid中心系统1020和idsp系统1030。

其中，eid终端设备1010可以为eid终端设备600或eid终端设备700，公安eid中心系统1020可以是图1中所示的公安eid中心系统130，idsp系统1030可以是图1中所示的idsp系统140，为了简洁，此处不再赘述。

本发明实施例中，eid终端设备直接从eid卡上读取信息，而不需要读卡器这种额外的设备来辅助获取eid卡上的信息，从而使得获取eid卡上的eid信息的便捷性和易用性更高，最终提高eid认证的便捷性。

可以理解，本发明实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本发明实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-onlymemory，rom)、可编程只读存储器(programmablerom，prom)、可擦除可编程只读存储器(erasableprom，eprom)、电可擦除可编程只读存储器(electricallyeprom，eeprom)或闪存。易失性存储器可以是随机存取存储器(randomaccessmemory，ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，sram)、动态随机存取存储器(dynamicram，dram)、同步动态随机存取存储器(synchronousdram，sdram)、双倍数据速率同步动态随机存取存储器(doubledataratesdram，ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，esdram)、同步连接动态随机存取存储器(synchlinkdram，sldram)和直接内存总线随机存取存储器(directrambusram，drram)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

另外，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本发明实施例中，“与a相应的b”表示b与a相关联，根据a可以确定b。但还应理解，根据a确定b并不意味着仅仅根据a确定b，还可以根据a和/或其它信息确定b。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。