0之前,还可以对第二签名信息进行验证,验证通过后,再将得到的身份证信息返回给第一前置终端20 (步骤S450),从而可以保证身份证信息的可靠性。
[0141]方式五:后台服务器40采用与第二加密密钥对应的第二解密密钥对密文信息进行解密得到加密数据及第二签名信息,然后再采用与第二加密密钥对应的第二解密密钥对加密数据进行解密,得到身份证信息。
[0142]在这种情况下,后台服务器40在解密得到身份证信息及第二签名信息之后,在步骤S450之前,还可以对第二签名信息进行验证,验证通过后,再将得到的身份证信息返回给第一前置终端20 (步骤S450),从而可以保证身份证信息的可靠性。
[0143]在本发明实施例的一个可选实施方案中,在接收到步骤S410中的读取指令后,电子签名设备10返回给第一前置终端20的数据中,除了上述的密文信息还可以包括签名信息,后台服务器40在将解密得到的身份证信息返回给第一前置终端20(步骤S450)之前,还可以对签名信息进行验证,在验证通过之后,再将得到的身份证信息返回给第一前置终端20 (步骤S450),从而可以保证得到的身份证信息的可靠性及不可抵赖性。
[0144]在具体应用中,签名信息可以包括但不限于以下至少之一:
[0145]方式一:电子签名设备10利用其私钥对身份存储信息或身份存储信息的密文进行签名得到的第一签名信息。
[0146]对应地,后台服务器40对签名信息进行验证时,可以利用电子签名设备10的公钥对第一签名信息进行验证。通过该可选实施方式,可以保证获取到的身份证信息是经过电子签名设备的用户认证的,从而确保身份证信息的可靠性和不可抵赖性。
[0147]在这种情况下,可选地,为了避免重放攻击,步骤S410中,第一前置终端20在向电子签名设备10发送的读取指令中携带有单次认证信息;则签名信息中还可以包括:电子签名设备10利用其私钥对该单次认证信息进行签名得到的第三签名信息。对应地,对应地,后台服务器40对签名信息进行验证时,还可以利用电子签名设备10的公钥对第三签名信息进行验证。
[0148]作为本发明实施例的一个可选实施方式,单次认证信息可以包括如下其一或其组合:随机因子、时间因子和事件因子。
[0149]具体的,随机因子可以为如下其一或其组合:随机数、随机字符和随机汉字。时间因子可以为当时时间。事件因子可以为每发生一次计数器累计的数值,每次不同。
[0150]由于第一前置终端20每次发送读取指令时均包括单次认证信息,可以保证每次从电子签名设备10中读取身份存储信息时电子签名设备10发送的均是不同的信息,即便被截获,也无法在第一前置终端20上第二次使用,防止重放攻击。
[0151]在具体实施过程中,读取指令中携带的单次认证信息可以是后台服务器40发送给第一前置终端20。例如,第一前置终端20在需要从电子签名设备10中读取身份证信息之前,可以先通知后台服务器40,后台服务器40接收到第一前置终端20的通知后,向第一前置终端20向电子签名设备10发送单次认证信息,电子签名设备10将该单次认证信息携带在读取指令发送给电子签名设备10。当然,第一前置终端20也可以不将单次认证信息携带在读取指令中发送给电子签名设备10,而是通过一个单独的信令,例如,签名指令,将单次认证信息发送给电子签名设备10,而第一前置终端20也可以在向电子签名设备10发送读取指令后,再通知后台服务器40,然后再接收后台服务器40发送的单次认证请求,然后再发送给第一前置终端20。具体本发明实施例不作限定。
[0152]在本发明实施例的一个可选实施方案中,在身份存储信息还可以包括:后台服务器40利用其私钥对身份证信息进行签名得到的第二签名信息。对应地,后台服务器40对签名信息进行验证时,还将利用后台服务器40的公钥对第二签名信息进行验证。
[0153]其中,第二签名信息可以是第二前置终端30将身份存储信息发送给电子签名设备10时,将第二签名信息作为身份存储信息的一部分发送给电子签名设备10的。即第二前置终端30可以在获取到居民身份证中存储的身份证信息后,将身份证信息发送给后台服务器40,后台服务器40利用后台服务器40的私钥对身份证信息进行签名,得到第二签名信息,然后将第二签名信息返回给第二前置终端30,而第二前置终端30将第二签名信息作为身份存储信息的一部分发送给电子签名设备10,电子签名设备10在接收到后,将第二签名信息作为身份存储信息的一部分进行存储。
[0154]需要说明的是,如果后台服务器40需要对多个签名信息进行验证,则只有在对所有的签名信息都验证通过的情况下,才确认验证通过。
[0155]其中,对于本领域技术人员来说,在本发明实施例,后台服务器40对签名信息进行验证是指后台服务器40利用公钥(如上所述,可以为电子签名设备10的公钥或后台服务器40的公钥)对签名信息进行解密,得到一个摘要值,然后,后台服务器40对对应的信息(如上所述,可以为身份证信息或身份存储信息)进行摘要计算,将计算得到摘要值与解密得到的摘要值进行比较,如果一致,则验证通过,否则,验证不通过。
[0156]方式二:后台服务器40利用其私钥对身份证信息或身份证信息的密文进行签名得到的第二签名信息。
[0157]在这种情况下,其中,第二签名信息可以是第二前置终端30将身份证信息或身份证信息的密文发送给电子签名设备10时,将第二签名信息随身份证信息或身份证信息的密文一起发送给电子签名设备10的。即第二前置终端30可以在获取到居民身份证中存储的身份证信息后,将身份证信息发送给后台服务器40,后台服务器40利用后台服务器40的私钥对身份证信息进行签名,得到第二签名信息,然后将第二签名信息与身份证信息的明文或密文一起返回给第二前置终端30,而第二前置终端30将身份证信息的明文或密文及第二签名信息一起发送给电子签名设备10,电子签名设备10在接收到后,将第二签名信息与身份证信息的明文或密文一起关联存储,在接收到读取指令时,将第二签名信息一起返回给第一前置终端20。在这种情况下,后台服务器40对签名信息进行验证时,利用后台服务器40的公钥对第二签名信息进行验证。通过该可选实施方式,可以保证获取到的身份证信息是经过后台服务器认证的,从而确保身份证信息的可靠性。
[0158]利用本发明实施例提供的系统,电子签名设备10保存身份证信息,第一前置终端20在读取身份证信息时,将读取到的身份存储信息的密文信息发送给后台服务器40,由后台服务器40对从电子签名设备10读取的身份存储信息的密文信息进行解密,从而既可以防止随身携带身份证易丢失且丢失造成的身份信息的泄露的问题,又可以保证电子签名设备10中存储的身份证信息不会被非法读取。
[0159]也就是说,在本发明实施例的一个可选实施方案中,密文信息为电子签名设备采用第二加密密钥对身份存储信息进行加密得到;而在执行步骤S440时,后台服务器采用与第二加密密钥对应的第二解密密钥对密文信息进行解密,得到身份证信息。
[0160]在本发明实施例的另一个可选实施方案中,在第一前置终端向电子签名设备发送身份证信息读取指令之前,后台服务器获取身份存储信息,经由第二前置终端向电子签名设备发送身份存储信息。
[0161 ] 在本发明实施例的一个可选实施方案中,在第一前置终端向电子签名设备发送身份证信息读取指令之前,后台服务器获取身份存储信息,采用第一加密密钥对身份存储信息进行加密,并经由第二前置终端将加密得到的密文信息发送给电子签名设备;而在执行步骤S440时,后台服务器采用与第一加密密钥对应的第一解密密钥对密文信息进行解密,得到身份证信息。
[0162]在本发明实施例的另一个可选实施方式中,在第一前置终端向电子签名设备发送身份证信息读取指令之前,后台服务器获取身份存储信息,采用第一加密密钥对身份存储信息进行加密,并经由第二前置终端将加密得到的加密数据发送给电子签名设备;密文信息为电子签名设备采用第二加密密钥对加密数据进行加密得到;而在执行步骤S440时,后台服务器采用与第二加密密钥对应的第二解密密钥对密文信息进行解密,得到加密数据,再利用与第一加密密钥对应的第一解密密钥对加密数据进行解密,得到身份证信息。
[0163]在本发明实施例的另一个可选实施方式中,后台服务器经第二前置终端向电子签名设备发送的数据除身份存储信息之外还包括:后台服务器对身份证信息进行签名得到第一签名信息;电子签名设备发送给第一前置终端的数据除身份证存储信息之外还包括:后台服务器对身份证信息进行签名得到第一签名信息或者电子签名设备采用第三加密密钥对第一签名信息进行加密得到的第一签名信息密文;而在执行步骤S440之后及步骤S450之前,后台服务器对第一签名信息进行验证,且验证通过;或者,后台服务器采用与第三加密密钥对应的第三解密密钥对第一签名信息密文进行解密,对解密得到的第一签名信息进行验证,且验证通过。
[0164]在本发明实施例的又一个可选实施方式中,身份存储信息还可以包括:后台服务器对身份证信息进行签名得到第一签名信息;而在执行步骤S440之后及步骤S450之前,后台服务器对签名得到的第一签名信息进行验证,且验证通过。
[0165]在本发明实施例的又一个可选实施方式中,电子签名设备发送给第一前置终端的数据除身份存储信息之外还包括:电子签名设备对身份证信息或身份存储信息进行签名得到第二签名信息或者第二签名信息的密文;而在执行步骤S440之后及步骤S450之前,后台服务器对第二签名信息进行验证且验证通过;或者,后台服务器对第二签名信息的密文进行解密,对解密得到的第二签名信息进行验证且验证通过。
[0166]作为本发明实施例的一个可选实施方式,身份证信息至少包括以下其一或其任意组合:姓名、身份证号码、有效期和生物识别信息。当然,身份证信息还可以包括:性别、民族、出生日期和/或住址等。当然,生物识别信息可以包括以下其一或其任意组合:照片、指纹和虹膜等。
[0167]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
[0168]应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0169]本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可