一种网证体系的制作方法

本发明涉及信息处理技术领域，尤其涉及一种网证体系。

背景技术：

互联网的发展正以惊人的速度逐步影响人们的生活方式，在互联网普及的今天，人们在网络上的社会活动也越发频繁，个人信息在互联网上的使用率同样在不断上升，信息流通及储存若不加以严格控制，则会使个人互联网活动甚至现实社会活动受到影响，引发身份信息安全灾难。

随着《网络安全等级保护条例》与《信息安全等级保护管理办法》的发布，不难发现国家对信息安全十分重视，为规范相关机构、单位和企业的网络和保障信息安全所开展的指导与监管工作力度越来越大。所以目前急需一种能够保障公民个人信息安全，彻底解决行业应用中存在的网络身份认证成本高、公民身份被盗用、冒用、公民个人信息被非法共享与兜售等社会问题的安全体系，由此，本发明提供了一种网证体系。

技术实现要素：

本发明实施例的目的是提供一种网证体系，能够有力保障公民个人信息安全，彻底解决行业应用中存在的网络身份认证成本高、公民身份被盗用、冒用、公民个人信息被非法共享与兜售等社会问题。

为实现上述目的，本发明实施例提供了一种网证体系，包括n个网证平台、权威身份认证平台、用户终端以及业务端；其中，n≥1；

所述用户终端，用于获取用户的个人身份信息，并将所述个人身份信息发送至所述网证平台；

所述网证平台，用于将所述个人身份信息发送至所述权威身份认证平台，并根据所述权威身份认证平台进行核验后生成的核验结果执行相应的操作；

所述权威身份认证平台，用于根据用户的个人身份信息，核验该用户的身份是否为本人且有效，并生成核验结果；

所述业务端，用于在涉及顾客身份证明的操作时，将顾客提供的网证数据和涉及身份证明相关的操作信息发送至所述网证平台，以核验顾客身份的真实性和有效性。

进一步的，所述网证平台，还用于当根据用户的个人身份信息未在网站平台中找到网证数据，且所述用户的个人身份信息通过所述权威身份认证平台的核验后，根据用户的个人身份信息采用多种加密技术将所述用户的个人身份信息进行加密，生成所述用户的网证根。

进一步的，所述网证平台，还用于当根据用户的个人身份信息在网站平台中找到网证数据，且所述用户的个人身份信息通过所述权威身份认证平台的核验后，根据该用户在网证平台中的网证根生成面向接入的应用对应的网证标识。

进一步的，所述网证平台，还用于当用户的网证使用期限到达预设的有效期后，采集该用户新的个人身份信息，并更新该用户的网证根。

进一步的，所述网证平台，还用于当收到用户的注销请求或政府有关部门的注销要求时，删除该用户的网证信息，并清除该用户的个人社会属性、自然属性信息、网证使用痕迹以及记录有网证相关的信息。

进一步的，所述网证平台，还用于根据网证标识查询对应用户的个人身份信息。

进一步的，所述网证平台平台，还用于通过嵌入式第三方应用程序的扫码功能，对用户在对应应用中的网证标识的有效性进行核验。

进一步的，所述业务端，还用于当需要核验顾客的身份时，通过顾客在另一业务端上的网证标识，向所述网证平台申请网证同步，以供网证平台生成在本业务端可用的网证标识。

进一步的，所述多种加密技术包括sm3、sm2、散列以及组合的加密技术。

进一步的，所述网证体系，还包括数据库；

所述数据库，用于存储用户的网证数据，以及用户在业务端操作业务应用时的相关信息。

与现有技术相比，具有如下有益效果：

本发明实施例提供的网证体系，包括n个网证平台、权威身份认证平台、用户终端以及业务端；用户终端用于获取用户的个人身份信息，并将个人身份信息发送至网证平台；网证平台用于将个人身份信息发送至权威身份认证平台，并根据权威身份认证平台进行核验后生成的核验结果执行相应的操作；权威身份认证平台用于根据用户的个人身份信息，核验该用户的身份是否为本人且有效，并生成核验结果；业务端用于在涉及顾客身份证明的操作时，将顾客提供的网证数据和涉及身份证明相关的操作信息发送至网证平台，以核验顾客身份的真实性和有效性，采用本发明提供的网证体系，能够有力保障公民个人信息安全，彻底解决行业应用中存在的网络身份认证成本高、公民身份被盗用、冒用、公民个人信息被非法共享与兜售等社会问题。

附图说明

图1是本发明提供的网证体系的一个实施例的结构示意图；

图2是本发明提供的网证体系的网证数据生成与应用的一个实施例的流程示意图；

图3是本发明提供的网证体系的网证平台的一个实施例的原理图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参见图1，图1是本发明提供的网证体系的一个实施例的结构示意图；本发明实施例提供一种网证体系，包括n个网证平台、权威身份认证平台、用户终端以及业务端；其中，n≥1；

所述用户终端，用于获取用户的个人身份信息，并将所述个人身份信息发送至所述网证平台。

需要说明的是，个人身份信息包括个人社会属性与自然属性信息。

应当理解的是，所述用户端和所述业务端均具有可接入网证平台的应用，可供用户/顾客放心安全地使用。

所述网证平台，用于将所述个人身份信息发送至所述权威身份认证平台，并根据所述权威身份认证平台进行核验后生成的核验结果执行相应的操作。

具体的，当通过所述权威身份认证平台的核验，并且根据用户的个人身份信息在网站平台中找到网证根时，会直接进入网证下载流程，网证下载的流程是该接入应用按照网证平台规定的技术方式与处理流程，获取平台要求的用户社会属性和自然属性相关数据信息，然后通过平台对用户的个人信息进行验证：权威身份认证平台使用公安部“互联网+”可信身份认证体系等技术方式，验证该用户提供的信息真实有效并系本人提供之后，针对接入的应用生成该用户的网证标识并下发。

请参见图2和图3，在另一种情况下，当通过所述权威身份认证平台的核验，并且根据用户的个人身份信息在网站平台中未找到网证根时，会自动进入网证登记流程，网证登记的流程是接入应用按照网证平台规定的技术方式与处理流程，采集平台要求的用户社会属性和自然属性相关数据信息，然后通过平台对采集的信息进行验证：权威身份认证平台使用公安部“互联网+”可信身份认证体系等技术方式，验证该用户提供的信息真实有效并系本人提供之后，首先生成网证根，再针对接入的应用生成该用户的网证标识并下发。

作为本发明的优选实施例，网证根的具体生成方法为：首先，网证平台将公民的社会属性信息，包括但不限于公民身份号码、法定证件类型与卡证本体信息等；以及个人的自然属性信息，包括但不限于人像、指纹、虹膜等生物特征；再加上管理字段，例如网证根编号、随机数、接入业务应用id等；通过sm3等加密技术散列生成网证根身份信息散列值；然后网证平台将网证根编号、网证根身份信息散列值、版本号、法定证件信息、创建时间等信息，通过sm2等加密技术进行私钥签名得到签名值；最后网证平台将网证根编号、网证根身份信息散列值、版本号、法定证件信息、创建时间、签名值等数据信息进行组合，从而得到网证根字符串。

采用本发明提供的网证根生成方法，能够杜绝用户的网证根能够被他人轻易破解，而造成的用户个人信息的泄漏和个人财产的损失，采用该生成方法能够大大的提高用户个人身份信息的安全性，有力的保障了用户个人身份信息和个人财产的安全。

需要说明的是，网证标识是网证平台实际下发给各接入单位的、用于表示特定用户身份的数据信息，通常的表现形式是字符串或者二进制数组，它体现了接入应用层面上网证与用户身份之间的关联关系。

应当理解的是，网证标识是用户在某一业务应用中用于证实用户身份的网证，并且该业务应用的网证标识只能够用于在该业务应用中证实对应用户，无法在其他业务应用中使用，防止由于网证标识被盗，从而导致用户的财产安全受到侵害，为用户的个人信息提供了有效的保障。

具体的，所述网证标识同样具有相同的生成方法：首先网证平台将用户的网证根再加上管理字段，例如网证标识编号、随机数、接入业务应用id等；通过sm3等加密技术散列生成网证标识身份信息散列值；然后网证平台将网证标识编号、网证标识身份信息散列值、版本号、法定证件信息、创建时间等信息，通过sm2等加密技术进行私钥签名得到签名值；最后网证平台将网证标识编号、网证标识身份信息散列值、版本号、法定证件信息、创建时间、签名值等数据信息进行组合，从而得到网证标识字符串。

网证根/标识生成过程中使用的散列算法技术，可以有效防止通过网证标识解密用户个人身份明文信息，使用的签名算法技术可以在业务应用需要的时候，对网证标识进行离线验证。

作为本发明的另一个实施例，网证平台对接入应用的各种前端软硬件系统，提供了相应的技术工具，其中，所述技术工具有：一类是独立式的软件应用程序，包括但不限于移动端app、公众号h5页面、第三方软件上二次开发形成的软件等；另一类是嵌入第三方应用程序的软件程序包，包括但不限于第三方软件平台技术插件、sdk等。

其中，所述技术工具在具体应用过程中的技术处理流程为：

1、接入应用的系统后台使用自身的接入权限，向网证平台获取前端调用凭证，接入应用的前端软硬件系统使用该凭证调用技术工具；

2、根据接入应用的实际情况，技术工具可以存储或关联用户在该接入应用的登陆信息或网证标识，用于在网证下载过程中定位用户身份；

3、接入应用使用网证平台提供或认可的技术工具，采集该用户的个人自然属性信息，包括但不限于人像特征、指纹特征、声纹特征、虹膜特征、静脉特征等。网证平台提供或认可的技术工具应对采集的个人自然属性信息进行行为系本人授权或信息系本人提供的验证操作，包括但不限于人像采集时的活体检测，或者由合法或合乎平台规定的采集人员进行人工采集或人工监督采集等；

4、技术工具采集到所需的网证登记信息之后，使用公安部“互联网+”可信身份认证体系等技术方式进行信息验证与比对认证，在确认无误的情况下，平台受理没有网证根的用户，首先生成网证根，再生成网证标识；针对已有网证根的用户，则直接生成网证标识；

5、网证标识生成之后，网证平台通知该接入应用该用户的操作完成，同时返回网证标识，接入应用可从系统后台向网证平台查询具体的登记/下载信息。

另外，当接入应用没有或不使用手机等智能移动终端上的业务前端系统时，网证平台还可为其提供通过线下方式的网证数据的生成操作。用户可以选择使用其他接入应用在移动终端上的软件进行网证数据的生成操作，其技术的技术处理流程如技术工具在具体应用过程中的技术处理流程，在此不再赘述。

作为本发明的另一优选实施例，当部分经法律法规要求或网证平台认可的特殊接入应用，只能通过纯api接口的技术方式进行网证数据的生成操作的，需要将接入应用采集的用户社会属性以及自然属性等个人身份信息，通过api接口发送给网证平台，网证平台生成用户网证标识之后，将结果和标识返回给接入应用。

需要说明的是，网证平台提供或认可的技术工具根据法律法规要求或自身业务规定，有权制定所需采集的用户自然属性或社会属性信息的内容与形式。

并且网证平台可根据技术与业务需要，将技术工具和网证核验技术工具整合为一项技术工具。当整合为一项技术工具时，网证数据的生成的过程可同时具有网证核验的功能，因此可以在用户第一次进行网证核验时启用网证数据的生成功能，同步完成网证数据的生成与核验操作。在业务流程的设计中，该方式也可以自动判断用户是否生成过该接入应用的网证标识，从而做出进行网证核验流程或进行网证数据的生成流程的技术操作。

请参见图3，在另一方面，所述网证平台，还用于当用户的网证使用期限到达预设的有效期后，采集该用户新的个人身份信息，并更新该用户的网证根。

网证平台可为网证设置有效期，当网证到期之后，网证平台对网证到期的用户登记网证时提供的社会属性与自然属性等相关数据信息，进行内容更新和再次核验登记，并且在后续的认证环节，采集到新的用户身份数据信息对现有的数据进行更新，并对应的更新网证根。

需要说明的是，当有接入应用使用旧的网证标识进行认证的时候，依然能够通过认证并会生成对应应用的网证标识，但会通知接入应用更新，一定时间使用次数之后旧网证标识将无法使用。

优选的，所述网证平台，还用于当收到用户的注销请求或政府有关部门的注销要求时，删除该用户的网证信息，并清除该用户的个人社会属性、自然属性信息、网证使用痕迹以及记录有网证相关的信息。

进一步的，所述网证平台，还用于根据网证标识查询对应用户的个人身份信息。

在本发明的另一优选实施例中，本发明提供的网证体系还包括数据库，该数据库用于存储网证平台所需存储的用户的网证数据，以及用户在业务端操作业务应用时的相关信息，并且可供用户使用网证标识申请向网证平台查询对应用户的明文身份信息。

网证平台会所需存储的用户的网证根、网证标识和网证登记信息之间的对应关系，存储在数据库中。具有用户个人明文身份信息查询权限的用户接入应用时，可以使用网证标识申请向网证平台，通过数据库查询该用户的明文身份信息。

其中，网证标识可以存储在包括但不限于数据库、ese、tee、浏览器缓存等存储系统中。

请参见图3，所述权威身份认证平台，用于根据用户的个人身份信息，核验该用户的身份是否为本人且有效，并生成核验结果；

当接入应用需要验证用户是否系本人操作时，可通过网证平台提供的网证核验技术规则与业务流程，进行网证核验操作。

具体的，所述权威身份认证平台为权威合法的单位机构，并且通过该权威合法的单位机构提供的个人身份信息数据库与用户的个人身份信息记录，进行一致性比对校验，从能够得出具有权威性的结果。

请参见图1、图2和图3，所述业务端，用于在涉及顾客身份证明的操作时，将顾客提供的网证数据和涉及身份证明相关的操作信息发送至所述网证平台，以核验顾客身份的真实性和有效性。

在本发明实施例中，所述业务端，还用于当需要核验顾客的身份时，通过顾客在另一业务端上的网证标识，向所述网证平台申请网证同步，以供网证平台生成在本业务端可用的网证标识。

网证同步是指网证平台对于不同的接入应用之间需要确认与传递特定用户身份的请求，运用信息同步技术机制，通过该用户的网证标识对其进行跨应用身份信息同步的活动过程。

当两个或多个接入网证平台的业务应用之间需要相互定位、告知或传递某一指定用户身份时，网证平台可通过网证同步技术机制实现这一过程。

当用户在接入应用申请用网证表示身份时，如接入应用要求同步进行网证核验，用户则需要实时提供个人社会属性与自然属性信息，用于进行该项操作是否系其本人实施的技术验证。网证平台对接入应用的各种前端软硬件系统，提供了上述记载的技术工具，并且使用了上述记载的技术工具相似的处理流程对公民的身份进行核验，在此不再赘述。

作为本发明的优选实施例，以下为采用网证同步技术机制实现网证同步的过程：

当接入应用a需要将用户身份同步给接入应用b时，接入应用a凭借该用户在接入应用a上载有的网证标识，向网证平台申请由平台生成的随机同步id。随后，接入应用a将该随机同步id和业务信息，通过api接口等技术方式同步给接入应用b，接入应用b使用该随机同步id，从网证平台获取该用户在接入应用b上对应的网证标识。

需要说明的是，所有的接入应用都可以在网证平台申请随机同步id，网证平台可以根据实际情况，设置接入应用使用随机同步id从网证平台获取网证标识的权限条件。

此外，作为本发明的另一个优选实施例，n个网证平台之间可以互联互通，通过互联互通，能够使各网证平台之间的网证业务相关数据信息得以跨平台传输，从而统一各平台之间的网证业务标准、流程、参数，实现网证与接入应用的跨平台互认。

其中，实现n个网证平台之间的互联互通方法，包括但不限于为以下技术方式：

1.用户在任一网证平台生成网证根或者网证标识之后，同步将网证根及其对应的身份信息，或者网证标识及其对应的网证根发送至所有其他网证平台；

2.用户在任一网证平台使用网证的时候，如果在该平台无法查询到网证根、网证标识等数据，则依次查询其他平台的数据。如果存在相关数据则使用和保存该数据，如果不存在相关数据，就按照数据不存在处理；

3.用户在任一网证平台生成网证根或者网证标识之后，同步将网证根及其对应的身份信息，或者网证标识及其对应的网证根发送至一个连接所有网证平台的统一网证数据中心。当用户在任一网证平台使用网证时，如果在该平台无法查询到网证根或网证标识等数据，则向统一网证数据中心查询与索取。

综上所述，本发明实施例提供的网证体系，包括n个网证平台、权威身份认证平台、用户终端以及业务端；用户终端用于获取用户的个人身份信息，并将个人身份信息发送至网证平台；网证平台用于将个人身份信息发送至权威身份认证平台，并根据权威身份认证平台进行核验后生成的核验结果执行相应的操作；权威身份认证平台用于根据用户的个人身份信息，核验该用户的身份是否为本人且有效，并生成核验结果；业务端用于在涉及顾客身份证明的操作时，将顾客提供的网证数据和涉及身份证明相关的操作信息发送至网证平台，以核验顾客身份的真实性和有效性，采用本发明提供的网证体系，能够有力保障公民个人信息安全，彻底解决行业应用中存在的网络身份认证成本高、公民身份被盗用、冒用、公民个人信息被非法共享与兜售等社会问题。

与现有技术相比，本发明提供的网证根与网证标识及其工作机制，可代替包括用户个人身份信息在内的明文信息，当用户在网络业务应用中需要确认、表现、传递、告知、证明个人身份时，均无需向网络业务应用提供明文信息。一方面，网证标识在网络空间存储与传输的过程中，即使被他人非法截获，用户的明文信息也不会被破解知悉，更不会被篡改和伪造；另一方面，网证体系可以减轻网络业务应用为证明用户身份不得不存储大量明文信息所带来的信息安全风险。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。