采用第二加密密钥对身份证信息的加密数据和第二签名信息进行加密的返回给第一前置终端20。
[0066]对应于上述各种方式的密文信息,后台服务器40在接收到第一前置终端20发送的密文信息之后,对应地,可以采用以下方式进行解密:
[0067]方式一:后台服务器40采用与第一加密密钥对应的第一解密密钥对密文信息进行解密得到身份证信息。
[0068]其中,第一加密密钥与第一解密密钥是一对密钥,可以是对称密钥,也可以是非对称密钥。可以是预置的,也可以是后台服务器40与电子签名设备10协商的,具体本发明实施例不作限定。
[0069]方式二:后台服务器40采用与第二加密密钥对应的第二解密密钥对密文信息进行解密得到身份证信息。
[0070]其中,第二加密密钥与第二解密密钥是一对密钥,可以是对称密钥,也可以是非对称密钥。可以是预置的,例如,第二加密密钥可以是后台服务器40的公钥,第二解密密钥为后台服务器40的私钥。或者,也可以是后台服务器40与电子签名设备10协商的,例如,后台服务器40与电子签名设备10通过相互认证建立安全通道,协商传输密钥。具体本发明实施例不作限定。
[0071]方式三:后台服务器40采用与第二加密密钥对应的第二解密密钥对密文信息进行解密得到加密数据,然后再采用与第二加密密钥对应的第二解密密钥对加密数据进行解密,得到身份证信息。
[0072]方式四:后台服务器40采用与第二加密密钥对应的第二解密密钥对密文信息解密得到身份证信息及第二签名信息。
[0073]在这种情况下,后台服务器40在解密得到身份证信息及第二签名信息之后,还可以对第二签名信息进行验证,验证通过后,再将得到的身份证信息返回给第一前置终端20,从而可以保证身份证信息的可靠性。
[0074]方式五:后台服务器40采用与第二加密密钥对应的第二解密密钥对密文信息进行解密得到加密数据及第二签名信息,然后再采用与第二加密密钥对应的第二解密密钥对加密数据进行解密,得到身份证信息。
[0075]在这种情况下,后台服务器40在解密得到身份证信息及第二签名信息之后,还可以对第二签名信息进行验证,验证通过后,再将得到的身份证信息返回给第一前置终端20,从而可以保证身份证信息的可靠性。
[0076]在本发明实施例的一个可选实施方案中,在上述各个可能的可选实施方式中,在接收到读取指令后,电子签名设备10返回给第一前置终端20的数据中,除了上述的密文信息还可以包括签名信息,后台服务器40在将解密得到的身份证信息返回给第一前置终端20之前,还可以对签名信息进行验证,在验证通过之后,再将得到的身份证信息返回给第一前置终端20,从而可以保证得到的身份证信息的可靠性及不可抵赖性。
[0077]在具体应用中,签名信息可以包括但不限于以下至少之一:
[0078]方式一:电子签名设备10利用其私钥对身份存储信息或身份存储信息的密文进行签名得到的第一签名信息。
[0079]对应地,后台服务器40对签名信息进行验证时,可以利用电子签名设备10的公钥对第一签名信息进行验证。
[0080]其中,身份存储信息的密文可以是电子签名设备10对身份存储信息进行加密得到的,也可以是后台服务器40对身份证信息进行加密得到。
[0081]在这种情况下,可选地,为了避免重放攻击,第一前置终端20在向电子签名设备10发送的读取指令中携带有单次认证信息;则签名信息中还可以包括:电子签名设备10利用其私钥对该单次认证信息进行签名得到的第三签名信息。对应地,对应地,后台服务器40对签名信息进行验证时,还可以利用电子签名设备10的公钥对第三签名信息进行验证。
[0082]作为本发明实施例的一个可选实施方式,单次认证信息可以包括如下其一或其组合:随机因子、时间因子和事件因子。
[0083]具体的,随机因子可以为如下其一或其组合:随机数、随机字符和随机汉字。时间因子可以为当时时间。事件因子可以为每发生一次计数器累计的数值,每次不同。
[0084]由于第一前置终端20每次发送读取指令时均包括单次认证信息,可以保证每次从电子签名设备10中读取身份存储信息时电子签名设备10发送的均是不同的信息,即便被截获,也无法在第一前置终端20上第二次使用,防止重放攻击。
[0085]在具体实施过程中,读取指令中携带的单次认证信息可以是后台服务器40发送给第一前置终端20。例如,第一前置终端20在需要从电子签名设备10中读取身份证信息之前,可以先通知后台服务器40,后台服务器40接收到第一前置终端20的通知后,向第一前置终端20向电子签名设备10发送单次认证信息,电子签名设备10将该单次认证信息携带在读取指令发送给电子签名设备10。当然,第一前置终端20也可以不将单次认证信息携带在读取指令中发送给电子签名设备10,而是通过一个单独的信令,例如,签名指令,将单次认证信息发送给电子签名设备10,而第一前置终端20也可以在向电子签名设备10发送读取指令后,再通知后台服务器40,然后再接收后台服务器40发送的单次认证请求,然后再发送给第一前置终端20。具体本发明实施例不作限定。
[0086]在本发明实施例的一个可选实施方案中,在身份存储信息还可以包括:后台服务器40利用其私钥对身份证信息进行签名得到的第二签名信息。对应地,后台服务器40对签名信息进行验证时,还将利用后台服务器40的公钥对第二签名信息进行验证。
[0087]其中,第二签名信息可以是第二前置终端30将身份存储信息发送给电子签名设备10时,将第二签名信息作为身份存储信息的一部分发送给电子签名设备10的。即第二前置终端30可以在获取到居民身份证中存储的身份证信息后,将身份证信息发送给后台服务器40,后台服务器40利用后台服务器40的私钥对身份证信息进行签名,得到第二签名信息,然后将第二签名信息返回给第二前置终端30,而第二前置终端30将第二签名信息作为身份存储信息的一部分发送给电子签名设备10,电子签名设备10在接收到后,将第二签名信息作为身份存储信息的一部分进行存储。
[0088]需要说明的是,如果后台服务器40需要对多个签名信息进行验证,则只有在对所有的签名信息都验证通过的情况下,才确认验证通过。
[0089]其中,对于本领域技术人员来说,在本发明实施例,后台服务器40对签名信息进行验证是指后台服务器40利用公钥(如上所述,可以为电子签名设备10的公钥或后台服务器40的公钥)对签名信息进行解密,得到一个摘要值,然后,后台服务器40对对应的信息(如上所述,可以为身份证信息或身份存储信息)进行摘要计算,将计算得到摘要值与解密得到的摘要值进行比较,如果一致,则验证通过,否则,验证不通过。
[0090]方式二:后台服务器40利用其私钥对身份证信息或身份证信息的密文进行签名得到的第二签名信息。
[0091]在这种情况下,其中,第二签名信息可以是第二前置终端30将身份证信息或身份证信息的密文发送给电子签名设备10时,将第二签名信息随身份证信息或身份证信息的密文一起发送给电子签名设备10的。即第二前置终端30可以在获取到居民身份证中存储的身份证信息后,将身份证信息发送给后台服务器40,后台服务器40利用后台服务器40的私钥对身份证信息进行签名,得到第二签名信息,然后将第二签名信息与身份证信息的明文或密文一起返回给第二前置终端30,而第二前置终端30将身份证信息的明文或密文及第二签名信息一起发送给电子签名设备10,电子签名设备10在接收到后,将第二签名信息与身份证信息的明文或密文一起关联存储,在接收到读取指令时,将第二签名信息一起返回给第一前置终端20。在这种情况下,后台服务器40对签名信息进行验证时,利用后台服务器40的公钥对第二签名信息进行验证。
[0092]利用本发明实施例提供的系统,电子签名设备10保存身份证信息,第一前置终端20在读取身份证信息时,将读取到的身份存储信息的密文信息发送给后台服务器40,由后台服务器40对从电子签名设备10读取的身份存储信息的密文信息进行解密,从而既可以防止随身携带身份证易丢失且丢失造成的身份信息的泄露的问题,又可以保证电子签名设备10中存储的身份证信息不会被非法读取。
[0093]需要说明的是,虽然本实施例中以前置终端与后台服务器分开设置为例进行说明,但并不限于此,在实际应用中,也可以将前置终端和后台服务器合一设置。只要能够实现本发明实施例所要求提供的功能即可。
[0094]根据本发明实施例,还提供了一种居民身份证信息验证系统,该系统包括电子签名设备10及上述的身份证信息获取系统。
[0095]以下分别对身份证信息获取系统中的第一前置终端20和后台服务器40的结构进行说明。
[0096]在本发明实施例的一个可选实施方式,第一前置终端20可以采用如图2所示的结构。如图2所示,本发明实施例提供的第一前置终端20主要包括:第一发送模块200、第一接收模块202和第二发送模块204。其中,
[0097]第一发送模块200,用于向电子签名设备10发送身份证信息读取指令,请求读取电子签名设备中保存的身份存储信息,其中,身份存储信息包括:用户居民身份证中的身份证信息。
[0098]第一接收模块202,用于接收电子签名设备10发送的身份存储信息的密文信息。
[0099]第二发送模块204,用于将身份存储信息的密文信息发送给后台服务器40。
[0100]在本发明实施例的一个可选实施方式,后台服务器40可以采用如图3所示的结构。如图3所示,本发明实施例提供的后台服务器40主要包括:第二接收模块400、解密模块402和第三发送模块404。其中,
[0101]第二接收模块400,用于接收第一前置终端20发送的密文信息。
[0102]加解密模块402,用于对接收到的密文信息进行解密,得到身份证信息。
[0103]第三发送模块404,用于将解密得到的身份证信息返回给第一前置终端20。
[0104]由此可见,利用本发明实施例提供的身份证信息获取系统,可以防止随身携带身份证易丢失且丢失造成的身份信息的泄露的问题,并保证电子签名设备10保存的身份证信息的不会被非法读取。
[0105]在本发明实施例的一个可选实施方案中,如上所述,第一接收模块202接收到的密文信息包括上述的方式一至方式五,而加解密模块402可以采用上述对应的方式一至方式五进行解密。
[0106]可选地,密文信息为电子签名设备采用第二加密密钥对身份存储信息进行加密得到;加解密模块通过以下方式对密文信息进行解密:采用与第二加密密钥对应的第二解密密钥对密文信息进行解密,得到身份证信息。
[0107]可选地,后台服务器40还可以包括:第一获取模块,用于在第一前置终端向电子签名设备发送身份证信息读取指令之前,获取身份存储信息;第三发送模块404还用于经由第二前置终端向电子签名设备发送身份存储信息。
[0108]可选地,后台服务器40还可以包括:第二获取模块,用于在第一前置终端向电子签名设备发送身份证信息读取指