基于鉴权装置的电子身份证认证服务系统的制作方法
本申请涉及通信技术领域,尤其涉及一种基于鉴权装置的电子身份证认证服务系统。
背景技术:
计算机与互联网在为人们提供强大服务功能的同时,安全问题日益突出。为了解决这一问题,用户在实名制网站注册时,被动要求提供个人的手机号码、身份证号、家庭住址等隐私信息,但是这种方法会存在实名制网站倒卖用户隐私、服务器被黑客攻击而隐私泄露等问题。
针对上述问题,电子身份证(eID,electronic IDentity)被提出,它是居民身份证在网络上的异化形式,全称为公民网络电子身份标识,eID是网络上远程证明个人真实身份的权威性电子信息文件,由公安部公民网络身份识别系统签发。eID在我国的使用还未得到普及,世界上最早推行使用eID的国家是比利时,2010年初,该国有85%以上的居民都拥有eID,并且其法律规定:公民必须拥有eID,目前该国基本上实现了全覆盖。随后,意大利、德国、美国、墨西哥、俄罗斯等国都从国家战略、法律法规等方面,由相关安全部门主导建设eID管理体系,大力推行eID的广泛使用。我国eID系统依托公安部覆盖13亿人口的全国公民身份信息库,生成了一组唯一的网络标志符和数字证书,保证用户身份的真实性和唯一性,同时其本身并不包含任何个人身份隐私信息。
应该注意,上面对技术背景的介绍只是为了方便对本申请的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本申请的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
技术实现要素:
本申请的发明人发现,现有的eID系统主要使用类似U盘为终端载体实现了物理分离,通过网络实时更新验证用户的身份有效性。这在某种程序上制约了eID的推广使用,首先随身携带以U盘为终端载体的eID系统不够便捷,其次,随着信息社会的快速发展,越来越多的用户选择使用手机、平板电脑等便携移动终端进行网上办公、网络购物等,这些移动终端并没有USB接口或者只有少数USB接口。面对上述问题,eID卡开始被设计为能够应用在含有安全芯片的金融IC卡上,但是,依旧无法在移动终端上获得便捷应用。
为解决现有技术的问题,提升网络用户,尤其是移动网络用户,在身份认证层面的便捷简易性和安全可靠性,推动eID的普及应用,本申请提出一种基于移动终端的鉴权装置的eID认证服务系统,一方面使得用户不依赖于额外的载体,实现eID认证服务,另一方面将移动终端的鉴权装置与eID进行有效绑定,有利于认证增强和eID的普及。
根据本申请实施例的一个方面,提供一种基于鉴权装置的电子身份证认证服务系统,该认证服务系统包括:
鉴权装置,其设置于移动终端并用于进行移动用户身份鉴权;
电子身份证信息管理装置,基于所述鉴权装置的信息以及用户的信息,生成请求下载所述用户的电子身份证的下载请求信息并发送该下载请求信息,并且,将接受到的所述电子身份证写入所述鉴权装置;以及
电子身份证授权与验证服务器,其在对所述下载请求信息验证成功的情况下,向所述电子身份证信息管理装置下发所述电子身份证。
根据本申请实施例的另一个方面,其中,所述鉴权装置包括:
存储单元,其用于存储被写入的电子身份证;
通信单元,其用于与所述电子身份证信息管理装置进行通信;以及
加解密模块,其用于对传输的数据进行加密和解密。
根据本申请实施例的另一个方面,其中,所述电子身份证授权与验证服务器在对所述下载请求信息验证成功的情况下,将所述电子身份证与所述鉴权装置进行关联绑定,并将所述电子身份证下发给所述电子身份证信息管理装置,所述电子身份证信息管理装置将接收到的所述电子身份证写入所述鉴权装置。
根据本申请实施例的另一个方面,其中,所述电子身份证信息管理装置还对所述鉴权装置中的所述电子身份证进行管理,所述管理包括对所述电子身份证进行注销、冻结、或解冻。
根据本申请实施例的另一个方面,其中,所述电子身份证信息管理装置在对所述用户的信息和/或用户输入的鉴权装置的签名密码进行验证成功的情况下,读取所述鉴权装置中的所述电子身份证,并将读取到的所述电子身份证与注销请求信息、冻结请求信息或解冻请求信息发送给所述电子身份证授权与验证服务器;
所述电子身份证授权与验证服务器基于所述注销请求信息、所述冻结请求信息或所述解冻请求信息,进行处理以注销所述电子身份证与所述鉴权装置的关联关系、停止与所述电子身份证相关的网络操作使用、或恢复与所述电子身份证相关的网络操作使用,并向所述电子身份证信息管理装置反馈所述处理的结果。
根据本申请实施例的另一个方面,其中,在所述电子身份证授权与验证服务器进行处理以注销所述电子身份证与所述鉴权装置的关联关系的情况下,所述电子身份证信息管理装置向所述鉴权装置发送注销命令,所述鉴权装置根据所述注销命令删除所述电子身份证。
根据本申请实施例的另一个方面,其中,该认证服务系统还包括:
电子身份证信息第三方应用装置,其发送请求对所述鉴权装置中的所述电子身份证进行读取的读取请求,并接收所述电子身份证授权与验证服务器对所述电子身份证进行认证的认证结果。
根据本申请实施例的另一个方面,其中,所述电子身份证信息管理装置根据所述读取请求,在对所述鉴权装置的签名密码进行验证成功的情况下,读取所述鉴权装置中的所述电子身份证,根据所述读取请求中包含的所述电子身份证信息第三方应用装置的标识信息,以及所述电子身份证生成认证请求,并发送该认证请求;
所述电子身份证授权与验证服务器对所述认证请求中的所述电子身份证进行认证,并在认证成功的情况下将电子身份证应用授权码发送给所述电子身份证信息管理装置;
所述电子身份证信息管理装置将接收到的所述电子身份证应用授权码发送给所述电子身份证信息第三方应用装置。
根据本申请实施例的另一个方面,其中,所述电子身份证信息第三方应用装置将所述电子身份证应用授权码保存和/或发送给第三方应用服务器保存。
根据本申请实施例的另一个方面,其中,所述电子身份证信息管理装置将所述电子身份证应用授权码和所述鉴权装置中的电子身份证发送给所述电子身份证授权与验证服务器,并请求所述电子身份证授权与验证服务器基于所述电子身份证应用授权码和所述电子身份证来验证用户的真实性。
根据本申请实施例的另一个方面,其中,当所述电子身份证信息第三方应用装置的业务操作需要验证用户身份时,所述电子身份证信息第三方应用装置根据所述电子身份证信息第三方应用装置的所述标识信息、所述电子身份证应用授权码以及用户信息生成第一身份验证请求,并将所述第一身份验证请求发送给所述电子身份证信息管理装置,请求身份验证;
所述电子身份证信息管理装置接收所述电子身份证信息第三方应用装置的所述第一身份验证请求,与所述鉴权装置通信,获取所述鉴权装置中电子身份证信息和/或对所述第一身份验证请求进行签名的签名值,并根据所述第一身份验证请求中的所述标识信息、所述电子身份证应用授权码和所述用户信息,以及所述电子身份证信息和/或对所述第一身份验证请求进行签名的签名值生成第二身份验证请求,将所述第二身份验证请求发送到所述电子身份证授权与验证服务器,请求身份验证;
所述电子身份证授权与验证服务器接收所述电子身份证信息管理装置发送的所述第二身份验证请求,验证所述用户身份信息,将身份验证结果返回给所述电子身份证信息管理装置;
所述电子身份证信息管理装置将接收到的所述身份验证结果返回给所述电子身份证信息第三方应用装置;
所述电子身份证信息第三方应用装置根据接收到所述身份验证结果,同意或拒绝用户所请求的所述业务操作。
本申请的有益效果在于:根据本申请的实施例,能够将鉴权装置与电子身份证进行有效绑定,由此,用户可以不依赖于额外的载体而实现EID认证服务,有利于认证增强和eID的普及。
参照后文的说明和附图,详细公开了本申请的特定实施方式,指明了本申请的原理可以被采用的方式。应该理解,本申请的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内,本申请的实施方式包括许多改变、修改和等同。
针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用,与其它实施方式中的特征相组合,或替代其它实施方式中的特征。
应该强调,术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在,但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。
附图说明
所包括的附图用来提供对本申请实施例的进一步的理解,其构成了说明书的一部分,用于例示本申请的实施方式,并与文字描述一起来阐释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本申请实施例1的认证服务系统的一个示意图;
图2是本申请实施例1的向鉴权装置中写入EID的一个示意图;
图3是本申请实施例1的对鉴权装置中的EID进行注销的一个示意图;
图4是本申请实施例1的电子身份证信息第三方应用装置发送读取请求,并接收认证结果的流程的一个示意图;
图5是本申请实施例1的对电子身份证信息第三方应用装置进行验证的流程的一个示意图;
图6是本申请实施例1的申请面向eID使用的第三方应用的应用标识,并设置于该电子身份证信息第三方应用装置中的流程的一个示意图。
具体实施方式
参照附图,通过下面的说明书,本申请的前述以及其它特征将变得明显。在说明书和附图中,具体公开了本申请的特定实施方式,其表明了其中可以采用本申请的原则的部分实施方式,应了解的是,本申请不限于所描述的实施方式,相反,本申请包括落入所附权利要求的范围内的全部修改、变型以及等同物。
在本申请中,该鉴权装置可以设置在移动终端,该鉴权装置可以是客户识别模块(Subscriber Identity Module,SIM)卡,与该客户识别模块卡贴合的芯片例如SIM贴膜卡,或者与该客户识别模块卡具有同等功能的集成到该移动终端的装置例如eSIM卡等;该鉴权装置的功能可以由运行在该鉴权装置上的软件来实现,例如,该软件可以是芯片上的操作系统(Chip Operation System,COS)。然而,本实施例并不限于此,该鉴权装置的功能还可以由硬件实现,也可以由硬件结合软件实现,具体的实现方式可以参考现有技术。
在本申请中,电子身份证信息管理装置可以由软件实现,例如,该电子身份证信息管理装置可以是软件开发工具包(SDK),然而,本实施例并不限于此,该电子身份证信息管理装置还可以由硬件实现,也可以由硬件结合软件实现,具体的实现方式可以参考现有技术。
在本申请中,电子身份证信息管理装置可以被设置于该移动终端,例如,该电子身份证信息管理装置可以与该鉴权装置分开设置,也可以设置在该鉴权装置中。
在本申请中,电子身份证信息管理装置也可以被设置于该移动终端之外,例如,可以被设置于SIM卡的发行机构、或银行等机构的终端设备中,该终端设备例如可以是电子身份证的写卡认证设备。
在本申请中,电子身份证信息第三方应用装置可以由软件实现,例如,该电子身份证信息第三方应用装置可以是应用程序(Application,APP),然而,本实施例并不限于此,该电子身份证信息第三方应用装置还可以由硬件实现,也可以由硬件结合软件实现,具体的实现方式可以参考现有技术。
在本申请中,电子身份证授权与验证服务器也可以由软件和/或硬件来实现。
在本申请中,该鉴权装置与电子身份证信息管理装置之间可以通过多种通信方式进行数据交换,这些通信方式例如可以是蓝牙通信、近场通信(Near Field Communication,NFC)、利用传送协议数据单元(Transport Protocol Data Unit,TPDU)通信等,也可以是鉴权装置与电子身份证信息管理装置之间自定义的特有协议的通信方式;电子身份证信息第三方应用装置与电子身份证信息管理装置之间可以通过内部通信接口来进行通信;电子身份证信息第三方应用装置和电子身份证信息管理装置可以经由该移动终端的通信模块与电子身份证授权与验证服务器进行通信,该通信可以经由有线网络或无线网络来进行。
在本申请中,移动终端可以是功能手机、智能手机或平板电脑等便携式电子设备。
实施例1
本申请实施例1提供一种基于鉴权装置的电子身份证认证服务系统。图1是该认证服务系统的一个示意图,如图1所示,该认证服务系统100包括:鉴权装置101,电子身份证信息管理装置102,以及电子身份证授权与验证服务器103。
其中,鉴权装置101设置于移动终端200并用于进行移动用户身份鉴权;电子身份证信息管理装置102基于鉴权装置101的信息以及用户的信息,生成请求下载用户的电子身份证(EID)的下载请求信息并发送该下载请求信息,并且,将接受到的电子身份证(EID)写入鉴权装置101;电子身份证授权与验证服务器103在对下载请求信息验证成功的情况下,向电子身份证信息管理装置102下发该电子身份证(EID)。
根据本申请的实施例,能够将鉴权装置与电子身份证(EID)进行有效绑定,由此,用户可以不依赖于额外的载体而实现EID认证服务,有利于认证增强和eID的普及。
在本实施例中,鉴权装置101可以包括:
存储单元,其用于存储被写入的电子身份证;
通信单元,其用于与所述电子身份证信息管理装置进行通信;以及
加解密模块,其用于对传输的数据进行加密和解密。
图2是本实施例的向鉴权装置中写入EID的一个示意图。如图2所示,向鉴权装置101写入EID的流程包括:
①移动终端200中的电子身份证信息管理装置102获取用户的信息,其中,该用户的信息可以包括指纹信息、面部信息、和/或实体身份证信息等。该电子身份证信息管理装置102获取该用户的信息的方式有:a)用户使用移动终端200扫描指纹,电子身份证信息管理装置102获取用户的指纹信息;b)用户使用移动终端200进行面部识别,电子身份证信息管理装置102获取用户的面部信息;c)用户使用移动终端200识别实体身份证,电子身份证信息管理装置102获取用户的实体身份证信息。此外,用户的信息可以不限于上述所列举的信息,并且,电子身份证信息管理装置102获取用户的信息的方式也可以不限于上述所列举的方式。
②移动终端200中的电子身份证信息管理装置102与鉴权装置101通信,获取鉴权装置101的信息,所述鉴权装置的信息例如可以集成电路卡识别码(Integrate Circuit Card Identity,ICCID)等信息。
③移动终端200中的电子身份证信息管理装置102根据鉴权装置101的信息、用户的信息生成下载请求信息,并将该下载请求信息发送给电子身份证授权与验证服务器103,申请下载电子身份证。
④电子身份证授权与验证服务器103接收到该下载请求信息,并对移动终端200、鉴权装置的信息和用户的信息进行验证,并返回验证结果,例如,验证成功的情况下,将鉴权装置信息与电子身份证进行关联绑定,同时下发eID到移动终端200,由移动终端200中的电子身份证信息管理装置102将eID写入鉴权装置101,如果验证失败,返回错误信息到移动终端200。
在本实施例中,电子身份证信息管理装置102还可以对鉴权装置101中的电子身份证(EID)进行管理,该管理包括对该电子身份证(EID)进行注销、冻结、或解冻等处理。
图3是本实施例的对鉴权装置中的EID进行注销的一个示意图。如图3所示,对鉴权装置101中的EID进行注销的流程包括:
①电子身份证信息管理装置102对用户的信息进行本地验证,例如,电子身份证信息管理装置102进行控制,使得在移动终端200中对用户的指纹信息、面部信息、实体身份证信息等进行验证,此外,也可以对用户输入的鉴权装置的签名密码进行验证;在本地验证成功的情况下,读取鉴权装置101中的eID,连同注销请求信息一并发送给电子身份证授权与验证服务器103;
②电子身份证授权与验证服务器103根据收到的eID和注销请求信息,执行注销操作,即,注销eID与鉴权装置的关联信息,向终端200的电子身份证信息管理装置102返回注销操作结果,该注销操作结果表明该注销操作成功或失败;
③返回结果为成功时,电子身份证信息管理装置102向鉴权装置101发出注销命令,鉴权装置101删除eID并返回删除结果给电子身份证信息管理装置102。
在本实施例中,对鉴权装置101中的EID进行冻结或解冻的流程与上述注销的流程类似,例如,对鉴权装置101中的EID进行冻结或解冻的流程可以包括:
①电子身份证信息管理装置102在对所述用户的信息和/或用户输入的鉴权装置的签名密码进行本地验证成功的情况下,读取鉴权装置101中的电子身份证(EID),并将读取到的电子身份证(EID)与冻结请求信息或解冻请求信息发送给电子身份证授权与验证服务器103;
②电子身份证授权与验证服务器103基于所述冻结请求信息或所述解冻请求信息,进行处理以停止与所述电子身份证(EID)相关的网络操作使用、或恢复与所述电子身份证(EID)相关的网络操作使用,并向电子身份证信息管理装置102反馈所述处理成功或失败的结果。
在本实施例中,电子身份证信息管理装置102也可以被设置于该移动终端200之外,例如,可以被设置于SIM卡的发行机构、或银行等机构的终端设备中,该终端设备例如可以是电子身份证的写卡认证设备。由此,用户可以在移动终端200之外的终端上进行将e ID写入鉴权装置的操作,并且,在移动终端200之外的终端上对鉴权装置101中的e ID进行认证、注销、冻结、解冻等处理。
在本实施例中,如图1所示,认证服务系统100还可以包括电子身份证信息第三方应用装置104,其中,该电子身份证信息第三方应用装置104可以发送请求对鉴权装置101中的电子身份证(EID)进行读取的读取请求,并接收电子身份证授权与验证服务器103对电子身份证(EID)进行认证的认证结果。
图4是电子身份证信息第三方应用装置104发送读取请求,并接收认证结果的流程的一个示意图。如图4所示,该电子身份证信息第三方应用装置104发送读取请求,并接收认证结果的流程可以包括:
①移动终端200中的电子身份证信息第三方应用装置104(APP)向电子身份证信息管理装置102发出读取eID的读取请求,读取请求中包含该电子身份证信息第三方应用装置104的相关信息,该相关信息例如是该电子身份证信息第三方应用装置104的标识信息;
②电子身份证信息管理装置102通过移动终端200对用户的信息和/或鉴权装置的签名密码进行本地验证,在本地验证成功的情况下,读取鉴权装置101中的eID;
③根据读取的eID和该电子身份证信息第三方应用装置104的标识信息生成认证请求信息,该认证请求信息被发送给电子身份证授权与验证服务器103;
④电子身份证授权与验证服务器103根据该认证请求信息,给出认证结果并将认证结果返回给移动终端200的电子身份证信息管理装置102,例如,认证成功则该认证结果中包括eID应用授权码,认证失败则该认证结果中包括认证失败的信息;
⑤电子身份证信息管理装置102将接收到的认证结果发送给电子身份证信息第三方应用装置104,该认证结果中包括EID应用授权码或认证失败的信息;
⑥如果电子身份证信息第三方应用装置104收到认证失败的信息,则拒绝用户操作,如果电子身份证信息第三方应用装置104收到认证成功的结果以及eID应用授权码,则本地保存eID应用授权码的和/或发送给电子身份证信息第三方应用服务器104a进行保存。
在本实施例中,电子身份证授权与验证服务器103还可以对电子身份证信息第三方应用装置(APP)104进行验证,并且,只有验证合格的电子身份证信息第三方应用装置(APP)104所发送的请求读取鉴权装置中的EID的读取请求才有效,由此,避免非法的电子身份证信息第三方应用装置(APP)读取EID,从而提高了安全性。
例如,电子身份证信息第三方应用装置(APP)104可以将该电子身份证信息第三方应用装置(APP)的标识信息和电子身份证(EID)应用授权码发送给电子身份证授权与验证服务器103,电子身份证授权与验证服务器对相关信息和电子身份证(EID)应用授权码进行验证,在验证通过的情况下,电子身份证信息第三方应用装置(APP)所发送的该读取请求有效。
图5是本实施例的对电子身份证信息第三方应用装置进行验证的流程的一个示意图,如图5所示,该对电子身份证信息第三方应用装置进行验证的流程可以包括:
步骤501、将电子身份证信息第三方应用装置104的eID应用授权码和鉴权装置101中的eID信息提交给电子身份证授权与验证服务器103;
步骤502、电子身份证授权与验证服务器103对步骤501中提交的信息进行验证并生成验证结果;
步骤503、电子身份证授权与验证服务器103将验证结果返回给电子身份证信息第三方应用装置(APP)104。
在本实施例中,该电子身份证信息第三方应用装置(APP)104的标识信息可以由电子身份证授权与验证服务器103所下发、并在形成该电子身份证信息第三方应用装置(APP)时被设置于该电子身份证信息第三方应用装置(APP)中。
图6是将电子身份证信息第三方应用装置(APP)104的标识信息设置于该电子身份证信息第三方应用装置中的流程的一个示意图,如图6所示,该流程可以包括:
步骤601、电子身份证信息第三方应用装置的制造厂商向电子身份证授权与验证服务器103提交eID使用申请并提交电子身份证信息第三方应用装置的相关信息,其中,该制造厂商例如可以是APP厂商;
步骤602、电子身份证授权与验证服务器103对eID使用申请进行审核,审核通过则继续,否则过程终止;
步骤603、电子身份证授权与验证服务器103根据电子身份证信息第三方应用装置的相关信息生成标识信息并授予该制造厂商;
步骤604、该制造厂商将应用标识信息和eID调用接口等设置于电子身份证信息第三方应用装置。
由于电子身份证信息第三方应用装置的标识信息由电子身份证授权与验证服务器发放给制造厂商,因此,可以提高面向e ID应用的电子身份证信息第三方应用装置的标识信息的可信度,并且便于管理。
根据本申请的实施例,能够将鉴权装置与电子身份证(EID)进行有效绑定,由此,用户可以不依赖于额外的载体而实现EID认证服务,有利于认证增强和e ID的普及;并且,通过对鉴权装置中的EID进行管理,提高了使用EID的便利性;并且,通过对电子身份证信息第三方应用装置进行认证,能够提高EID使用的安全性。
在本实施例中,电子身份证信息第三方应用装置104因业务流程需要对用户进行身份验证时,可以基于该电子身份证信息第三方应用装置的标识信息和电子身份证应用授权码来进行对用户的身份验证。
例如,该身份验证的流程可以如下所述:
当所述电子身份证信息第三方应用装置的业务操作需要验证用户身份时,所述电子身份证信息第三方应用装置根据所述电子身份证信息第三方应用装置的所述标识信息、所述电子身份证应用授权码以及用户信息生成第一身份验证请求,并将所述第一身份验证请求发送给所述电子身份证信息管理装置,请求身份验证,其中,所属用户信息可以是用户的指纹信息、面部信息、实体身份证信息和/或用户输入的密码等;
所述电子身份证信息管理装置接收所述电子身份证信息第三方应用装置的所述第一身份验证请求,与所述鉴权装置通信,获取所述鉴权装置中电子身份证信息和/或对所述第一身份验证请求进行签名的签名值,并根据所述第一身份验证请求中的所述标识信息、所述电子身份证应用授权码和所述用户信息,以及所述电子身份证信息和/或对所述第一身份验证请求进行签名的签名值生成第二身份验证请求,将所述第二身份验证请求发送到所述电子身份证授权与验证服务器,请求身份验证;
所述电子身份证授权与验证服务器接收所述电子身份证信息管理装置发送的所述第二身份验证请求,验证所述用户身份信息,将身份验证结果返回给所述电子身份证信息管理装置;
所述电子身份证信息管理装置将接收到的所述身份验证结果返回给所述电子身份证信息第三方应用装置;
所述电子身份证信息第三方应用装置根据接收到所述身份验证结果,同意或拒绝用户所请求的所述业务操作。
本申请以上的装置可以由硬件实现,也可以由硬件结合软件实现。本申请涉及这样的计算机可读程序,当该程序被逻辑部件所执行时,能够使该逻辑部件实现上文所述的装置或构成部件,或使该逻辑部件实现上文所述的各种方法或步骤。本申请还涉及用于存储以上程序的存储介质,如硬盘、磁盘、光盘、DVD、flash存储器等。
以上结合具体的实施方式对本申请进行了描述,但本领域技术人员应该清楚,这些描述都是示例性的,并不是对本申请保护范围的限制。本领域技术人员可以根据本申请的精神和原理对本申请做出各种变型和修改,这些变型和修改也在本申请的范围内。
- 还没有人留言评论。精彩留言会获得点赞!