一种电子签名设备和身份验证系统的制作方法

本申请涉及电子科学技术领域，尤其涉及一种电子签名设备和身份验证系统。

背景技术：

目前，由于身份证是用于证明持有人身份的一种法定证件，在日常生活中经常需要提供用户身份证信息以证明用户身份合法，例如，银行开户、购买车票、医院就医、密码找回等情况，均需要提供用户身份证信息证明用户身份合法。

现有技术中，各个场景下提供用户身份证信息证明用户身份合法，一般是通过输入用户身份证号信息或者利用电子签名设备进行个人身份信息认证。其中，通过输入用户身份证号信息进行个人身份信息认证是指根据用户身份证号信息查询用户身份是否合法；利用电子签名设备进行个人身份信息认证是指多电子签名设备与用户身份信息绑定，利用申请电子签名设备时获得的数字证书完成人身份信息认证证明用户身份合法。

发明人经过研究发现，身份证号信息比较公开，仅通过输入身份证号信息的不能实现人证合一，存在盗用身份证或者身份证虚假的安全隐患；电子签名设备虽然方便快捷，但是，仅能对申请人进行身份认证功能单一，导致应用场景有限，使用频次较低，不适用于验证他人身份信息的应用场景。

技术实现要素：

本申请所要解决的技术问题是，提供一种电子签名设备和身份验证系统，验证了设备持有人是否具有验证客户身份的权限，规范了电子签名设备验证客户身份的使用；实现客户身份信息“人证合一”的远程验证，防止了客户身份证信息被盗用及使用虚假身份证带来的安全隐患。

第一方面，本申请实施例提供了一种电子签名设备，该设备包括：

安全芯片、近距离无线通讯NFC芯片、生物特征采集模块和通讯模块；所述NFC芯片与所述安全芯片连接，所述生物特征采集模块与所述安全芯片连接，所述安全芯片与所述通讯模块连接；

所述安全芯片，用于进行自身用户的身份认证，若认证通过，获得客户身份认证权限；

所述NFC芯片，用于读取获得客户的身份证明文信息和身份证密文信息；

所述生物特征采集模块，用于识别获得客户的生物特征信息；

所述安全芯片，还用于利用私钥将所述客户的身份证明文信息、身份证密文信息和生物特征信息进行加密生成密文；

所述通讯模块，用于将所述密文发送给用户终端进行客户身份验证，所述用户终端与应用服务器通信，所述客户身份验证是指利用SAM装置解密所述身份证密文信息，若解密成功，对比验证所述生物特征信息和基于所述身份证明文信息查找获得的目标生物特征信息，所述身份证密文信息、所述生物特征信息和所述身份证明文信息是所述应用服务器利用公钥解密所述密文获得的。

优选的，所述通讯模块包括有线通信模块和/或无线通讯模块，所述有线通信模块包括音频模块，所述无线通讯模块包括蓝牙模块。

优选的，所述生物特征包括指纹信息、声音、手迹和/或虹膜。

优选的，还包括显示模块，所述显示模块与所述安全芯片连接；

所述显示模块，用于显示所述电子签名设备与所述用户终端的通信状态。

优选的，所述显示模块还用于显示读取所述客户的身份证明文信息和身份证密文信息的提示信息；和/或，显示识别所述客户的生物特征信息的提示信息。

优选的，还包括按键，所述按键与所述安全芯片连接，所述按键用于启动所述安全芯片进行自身用户的身份认证；和/或，

所述按键用于启动所述NFC芯片读取获得客户的身份证明文信息和身份证密文信息；和/或，

所述按键用于启动所述生物特征采集模块识别获得客户的生物特征信息。

第二方面，本申请实施例提供了一种身份验证的系统，该系统包括：上述任一项所述的电子签名设备、用户终端、应用服务器、SAM装置和公安服务器；

所述电子签名设备，用于进行自身用户的身份认证，若认证通过，获得客户的身份证明文信息、身份证密文信息和生物特征信息，并利用私钥进行加密生成密文发送给所述用户终端进行客户身份验证；

所述用户终端，用于将所述密文发送给所述应用服务器并接收所述应用服务器的反馈信息；

所述应用服务器，用于利用公钥将所述密文进行解密获得所述身份证明文信息、所述身份证密文信息和所述生物特征信息，将所述身份证密文信息发送给所述SAM装置，并接收所述SAM装置的反馈信息；

所述SAM装置，用于解密所述身份证密文信息获得解密结果发送给所述应用服务器；

所述应用服务器，还用于若所述SAM装置的反馈信息为解密成功，将所述身份证明文信息发送给所述公安服务器获得目标生物特征信息，对比验证所述生物特征信息和目标生物特征信息，并将验证结果发送给所述用户终端；

所述公安服务器，用于根据所述身份证明文信息查找获得目标生物特征信息。

优选的，所述应用服务器还用于若所述SAM装置的反馈信息为解密失败，直接将所述SAM装置的反馈信息发送给所述用户终端。

与现有技术相比，本申请至少具有以下优点：

采用本申请实施例的技术方案，电子签名设备包括安全芯片、近距离无线通讯NFC芯片、生物特征采集模块和通讯模块；NFC芯片与安全芯片连接，生物特征采集模块与安全芯片连接，安全芯片与通讯模块连接；若自身用户的身份认证通过，获得客户的身份证明文信息、身份证密文信息和生物特征信息；并利用私钥进行加密生成密文发送给用户终端进行客户身份验证，用户终端与应用服务器通信，客户身份验证是指利用SAM装置解密身份证密文信息，若解密成功，对比验证生物特征信息和基于身份证明文信息查找获得的目标生物特征信息，身份证密文信息、生物特征信息和身份证明文信息是应用服务器利用公钥解密密文获得的。由此可见，该电子签名设备通过内置的安全芯片实现了设备持有人的身份认证，相当于验证了是否具有验证客户身份的权限，规范了电子签名设备验证客户身份的使用；通过NFC芯片和生物特征采集模块获得客户的身份证明文信息、身份证密文信息和生物特征信息，再通过内置的安全芯片利用私钥进行加密生成密文发送至用户终端进行客户身份验证，以实现客户身份信息“人证合一”的远程验证，防止了客户身份证信息被盗用及使用虚假身份证带来的安全隐患。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本申请实施例提供的一种电子签名设备的结构示意图；

图2为本申请实施例提供的另一种电子签名设备的结构示意图；

图3为本申请实施例提供的又一种电子签名设备的结构示意图；

图4为本申请实施例提供的一种身份验证系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

发明人经过研究发现，在日常生活中，例如，银行开户、购买车票、医院就医、密码找回等，需要提供用户身份证信息以证明用户身份合法时，一般是通过输入用户身份证号信息根据用户身份证号信息查询用户身份是否合法，或者利用电子签名设备基于申请电子签名设备时获得的数字证书完成人身份信息进行个人身份信息认证，其中，电子签名设备与用户身份信息绑定。但是，由于身份证号信息比较公开，仅通过输入身份证号信息的不能实现人证合一，存在盗用身份证或者身份证虚假的安全隐患；电子签名设备虽然方便快捷，可仅能对申请人进行身份认证功能单一，导致应用场景有限，使用频次较低，不适用于验证他人身份信息的应用场景。

为了解决这一问题，在本申请实施例中，电子签名设备包括安全芯片、近距离无线通讯NFC芯片、生物特征采集模块和通讯模块；NFC芯片与安全芯片连接，生物特征采集模块与安全芯片连接，安全芯片与通讯模块连接；若自身用户的身份认证通过，获得客户的身份证明文信息、身份证密文信息和生物特征信息；并利用私钥进行加密生成密文发送给用户终端进行客户身份验证，用户终端与应用服务器通信，客户身份验证是指利用SAM装置解密身份证密文信息，若解密成功，对比验证生物特征信息和基于身份证明文信息查找获得的目标生物特征信息，身份证密文信息、生物特征信息和身份证明文信息是应用服务器利用公钥解密密文获得的。由此可见，该电子签名设备通过内置的安全芯片实现了设备持有人的身份认证，相当于验证了是否具有验证客户身份的权限，规范了电子签名设备验证客户身份的使用；通过NFC芯片和生物特征采集模块获得客户的身份证明文信息、身份证密文信息和生物特征信息，再通过内置的安全芯片利用私钥进行加密生成密文发送至用户终端进行客户身份验证，以实现客户身份信息“人证合一”的远程验证，防止了客户身份证信息被盗用及使用虚假身份证带来的安全隐患。

下面结合附图，通过实施例来详细说明本申请实施例中电子签名设备和身份验证系统的具体实现方式。

示例性设备

参见图1，示出了本申请实施例中一种电子签名设备的结构示意图。在本实施例中，所述设备例如可以包括以下内容：

安全芯片101、近距离无线通讯NFC芯片102、生物特征采集模块103和通讯模块104；所述NFC芯片102与所述安全芯片101连接，所述生物特征采集模块103与所述安全芯片101连接，所述安全芯片101与所述通讯模块104连接；

所述安全芯片101，用于进行自身用户的身份认证，若认证通过，获得客户身份认证权限；

所述NFC芯片102，用于读取获得客户的身份证明文信息和身份证密文信息；

所述生物特征采集模块103，用于识别获得客户的生物特征信息；

所述安全芯片101，还用于利用私钥将所述身份证明文信息、所述身份证密文信息和所述生物特征信息进行加密生成密文；

所述通讯模块104，用于将所述密文发送给用户终端进行客户身份验证，所述用户终端与应用服务器通信，所述客户身份验证是指利用SAM装置解密所述身份证密文信息，若解密成功，对比验证所述生物特征信息和基于所述身份证明文信息查找获得的目标生物特征信息，所述身份证密文信息、所述生物特征信息和所述身份证明文信息是所述应用服务器利用公钥解密所述密文获得的。

可以理解的是，电子签名设备利用安全芯片101进行自身用户的身份认证的技术与现有电子签名设备身份认证技术相同，在此不再赘述，只有当自身用户的身份认证通过时，才能认为自身用户，即持有电子签名设备的用户是合法的，基于该用户的特性，可以授予该用户获取他人即客户的身份信息进行身份认证的权限。

需要说明的是，该电子签名设备必须和终端相通信才能进行工作状态，也必须通过终端完成与其他设备或装置的信息交互。电子签名设备和终端既可以进行有线通信，也可以进行无线通信。因此，在本实施例的一些实施方式中，所述通讯模块104包括有线通讯模块和/或无线通讯模块。其中，所述有线通讯模块例如可以是音频模块、USB模块等，即，所述电子签名设备为音频二代盾、USB二代盾；所述无线通讯模块例如可以是蓝牙模块等，所述电子签名设备为蓝牙二代盾。

可以理解的是，识别获得客户的生物特征信息的目的是为了验证身份证持有人和身份证所属人是否一致，从而实现“人证合一”验证，避免客户身份证信息被盗用带来的安全隐患。则该生物特征信息应该是客户唯一的生物特征信息，常见的易于获取的唯一的人类生物特征有指纹、声音、手迹和虹膜等。因此，在本实施例的一些实施方式中，所述生物特征信息包括指纹信息、声纹信息、手迹信息和/或虹膜信息。

需要说明的是，由于电子签名设备必须和终端相通信才能进行工作状态、以及完成与其他设备或装置的信息交互，则需要时刻注意电子签名设备在工作时与终端的通信状态，以避免通信中断未完成相应的工作。为了方便用户观察电子签名设备在工作时与终端的通信状态，可以采用直接显示电子签名设备与用户终端的通信状态的方式，使得用户直观得到当前的通信状态。因此，在本实施例的一些实施方式中，如图2所示的另一种电子签名设备的结构示意图，在图1的基础上增加了显示模块201，所述显示模块201与所述安全芯片101连接，即，所述电子签名设备还可以包括显示模块201；所述显示模块201，用于显示所述电子签名设备与所述用户终端的通信状态。其中，显示模块201可以为液晶显示屏，例如，可以通过液晶显示屏显示“连接”或者“未连接”的文字信息表示电子签名设备与所述用户终端的通信状态。

需要说明的是，在完成自身用户的身份认证，认证通过获得客户身份认证权限后，为了方便用户使用该电子签名设备进行客户身份验证，可以利用上述显示模块提示用户下一步使用该电子签名设备的流程，以便用户根据提示信息明确下一步的内容。因此，在本实施例的一些实施方式中，所述显示模块201还用于显示读取所述客户的身份证明文信息和身份证密文信息的提示信息；和/或，显示识别所述客户的生物特征信息的提示信息。

需要说明的是，在电子签名设备与用户终端连接上电后，首先需要进行自身用户的身份认证，即，电子签名设备持有人的身份认证，为了明确何时触发该认证，例如可以在电子签名设备上增加与安全芯片101连接的按键，响应于用户按压该按键的操作，触发电子签名设备内置的安全芯片101启动其功能作用。因此，在本实施例的一些实施方式中，还包括按键，所述按键与所述安全芯片101连接；所述按键，用于启动所述安全芯片101进行自身用户的身份认证。

还需要说明的是，在自身用户的身份认证通过后，需要读取获得客户的身份证明文信息和身份证密文信息，并识别获得客户的生物特征信息。由于安全芯片101与NFC芯片102连接，响应于用户按压该按键的操作，还可以触发电子签名设备的NFC芯片102启动其功能作用。即，在本实施例的一些实施方式中，所述按键还用于启动所述NFC芯片102读取获得客户的身份证明文信息和身份证密文信息。

同理可得，由于安全芯片101与生物特征采集模块103连接，响应于用户按压该按键的操作，还可以触发电子签名设备的生物特征采集模块103启动其功能作用。因此，在本实施例的一些实施方式中，所述按键还用于启动所述生物特征采集模块103识别获得客户的生物特征信息。

例如，如图3所示的又一种电子签名设备的结构示意图，在图1的基础上增加了按键301，所述按键301与所述安全芯片101连接。

举例来说，本申请实施例可以应用到如下场景中：用户为金融机构员工，该用户手持上述电子签名设备，该设备内部具有该用户的数字证书，该用户只需要携带上述电子签名设备和用户终端即可完成某些特定的上门服务。该用户利用所述电子签名设备的内置安全芯片101进行自身用户的身份认证；若认证通过，利用NFC芯片102和生物特征采集模块103获得客户的身份证明文信息、身份证密文信息和生物特征信息；并利用安全芯片101的私钥进行加密生成密文，通过通讯模块104发送给用户终端进行客户身份验证。用户终端与应用服务器通信，应用服务器利用公钥解密所述密文获得的身份证密文信息、生物特征信息和身份证明文信息；再利用SAM装置解密所述身份证密文信息，若解密成功，对比验证所述生物特征信息和基于所述身份证明文信息查找获得的目标生物特征信息。当客户身份验证通过时，可以利用用户终端进行信用卡办理、股票、理财、证券的开通等业务。

可以理解的是，上述场景仅是本申请实施例提供的一个场景示例，本申请实施例并不限于此场景。

通过本实施例提供的各种实施方式，电子签名设备包括安全芯片、近距离无线通讯NFC芯片、生物特征采集模块和通讯模块；NFC芯片与安全芯片连接，生物特征采集模块与安全芯片连接，安全芯片与通讯模块连接；若自身用户的身份认证通过，获得客户的身份证明文信息、身份证密文信息和生物特征信息；并利用私钥进行加密生成密文发送给用户终端进行客户身份验证，用户终端与应用服务器通信，客户身份验证是指利用SAM装置解密身份证密文信息，若解密成功，对比验证生物特征信息和基于身份证明文信息查找获得的目标生物特征信息，身份证密文信息、生物特征信息和身份证明文信息是应用服务器利用公钥解密密文获得的。由此可见，该电子签名设备通过内置的安全芯片实现了设备持有人的身份认证，相当于验证了是否具有验证客户身份的权限，规范了电子签名设备验证客户身份的使用；通过NFC芯片和生物特征采集模块获得客户的身份证明文信息、身份证密文信息和生物特征信息，再通过内置的安全芯片利用私钥进行加密生成密文发送至用户终端进行客户身份验证，以实现客户身份信息“人证合一”的远程验证，防止了客户身份证信息被盗用及使用虚假身份证带来的安全隐患。

示例性系统

参见图4，示出了本申请实施例中一种身份验证系统的结构示意图。在本实施例中，所述系统例如具体可以包括：

前述各个实施例中任意一种电子签名设备401、用户终端402、应用服务器403、SAM装置404和公安服务器405；

所述电子签名设备401，用于进行自身用户的身份认证，若认证通过，获得客户的身份证明文信息、身份证密文信息和生物特征信息，并利用私钥进行加密生成密文发送给所述用户终端402进行客户身份验证；

所述用户终端402，用于将所述密文发送给所述应用服务器并接收所述应用服务器403的反馈信息；

所述应用服务器403，用于利用公钥将所述密文进行解密获得所述身份证明文信息、所述身份证密文信息和所述生物特征信息，将所述身份证密文信息发送给所述SAM装置404，并接收所述SAM装置404的反馈信息；

所述SAM装置404，用于解密所述身份证密文信息获得解密结果发送给所述应用服务器403；

所述应用服务器403，还用于若所述SAM装置404的反馈信息为解密成功，将所述身份证明文信息发送给所述公安服务器405获得目标生物特征信息，对比验证所述生物特征信息和目标生物特征信息，并将验证结果发送给所述用户终端402；

所述公安服务器405，用于根据所述身份证明文信息查找获得目标生物特征信息。

可以理解的是，若是SAM装置404可以解密身份证密文信息，则解密结果为解密成功反馈给应用服务器403，表示着电子签名设备401读取获得的身份证密文信息是真实身份证的密文信息。在此情况下，应用服务器403需要验证电子签名设备401识别获得的指纹信息与该真实身份证预先存储的指纹信息是否一致，实现“人证合一”验证，避免客户身份证信息被盗用。

需要说明的是，若是SAM装置404不能解密身份证密文信息，则解密结果为解密失败反馈给应用服务器403，表示着电子签名设备401读取获得的身份证密文信息是存在问题的，即，该身份证密文信息可能是虚假身份证的密文信息。在此情况下，应用服务器403不需要再验证指纹信息，直接将解密失败反馈给用户终端402，以便用户终端402及时明确客户使用的是虚假身份证。因此，在本实施例的一些实施方式中，所述应用服务器还用于若所述SAM装置404的反馈信息为解密失败，直接将所述SAM装置404的反馈信息发送给所述用户终端402。

还需要说明的是，SAM装置404既可以是独立存在的，也可以是集成在应用服务器403上的。

通过本实施例提供的各种实施方式，电子签名设备实现了设备持有人的身份认证，相当于验证了是否具有验证客户身份的权限，规范了电子签名设备验证客户身份的使用；通过获得客户的身份证明文信息、身份证密文信息和生物特征信息，再利用私钥进行加密生成密文发送至用户终端进行客户身份验证，用户终端将密文发送至应用服务器，应用服务器解密密文后，利用SAM装置进行身份证密文信息真伪验证，并基于身份证明文信息利用公安服务器进行指纹验证，以实现客户身份信息“人证合一”的远程验证，防止了客户身份证信息被盗用及使用虚假身份证带来的安全隐患。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅是本申请的较佳实施例而已，并非对本申请作任何形式上的限制。虽然本申请已以较佳实施例揭露如上，然而并非用以限定本申请。任何熟悉本领域的技术人员，在不脱离本申请技术方案范围情况下，都可利用上述揭示的方法和技术内容对本申请技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本申请技术方案的内容，依据本申请的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本申请技术方案保护的范围内。