CN105245340B - 一种基于远程开户的身份认证方法和系统 - Google Patents
一种基于远程开户的身份认证方法和系统 Download PDFInfo
- Publication number
- CN105245340B CN105245340B CN201510564862.1A CN201510564862A CN105245340B CN 105245340 B CN105245340 B CN 105245340B CN 201510564862 A CN201510564862 A CN 201510564862A CN 105245340 B CN105245340 B CN 105245340B
- Authority
- CN
- China
- Prior art keywords
- card
- user
- background server
- authentication
- safety control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供了一种基于远程开户的身份认证方法及系统,该方法包括:电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端;终端向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据及用户的身份证信息;后台服务器接收身份验证请求,对签名数据进行验签;在验签通过的情况下,后台服务器获取预先存储的与电子密码设备的对应的身份证信息;后台服务器将获取的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的所述用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
Description
技术领域
本发明涉及一种电子技术领域,尤其涉及一种基于远程开户的身份认证方法和系统。
背景技术
目前,客户开立新银行账户、股票账户等一般需要客户到物理网点进行办理,但是银行或证券公司等可以办理开户业务的时间,客户一般也在上班,很难有时间到物理网点进行办理业务。为方便客户办理开户业务,远程开户的方法被提上日程。目前,有基于VTM(虚拟柜员机)的一种远程开户方法,采用该VTM机进行远程的机制是在夜间通过设立在银行VTM远程视频柜员机,让用户与银行工作人员面对面视频交流。用户依靠视频,在银行工作人员的指导下,自主完成银行开户、网银办理、投资理财等多种柜面业务办理。然而该VTM机是放在银行的,对一些用户来说仍是不方便的,因此需要一种随时随地即可实现远程开户的方法。
发明内容
本发明旨在解决上述无法随时随地实现远程开户的问题。
本发明的主要目的在于提供一种基于远程开户的身份认证方法;
本发明的另一目的在于提供另一种基于远程开户的身份认证方法;
本发明的另一目的在于提供另一种基于远程开户的身份认证方法;
本发明的另一目的在于提供一种基于远程开户的身份认证系统;
本发明的另一目的在于提供另一种基于远程开户的身份认证系统;
本发明的另一目的在于提供另一种基于远程开户的身份认证系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种基于远程开户的身份认证方法,包括:电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端;终端向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据及用户的身份证信息;后台服务器接收身份验证请求,对签名数据进行验签;在验签通过的情况下,后台服务器获取预先存储的与电子密码设备对应的身份证信息;后台服务器将获取的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
可选的,待签名信息包括:单次认证数据和/或用户的身份证信息。
可选的,用户的身份证信息包括:包含用户的居民身份证图像的视图。
可选的,视图中还包含有用户的面部图像;后台服务器将获取的身份证信息与身份验证请求中携带的身份证信息进行对比时,还包括:后台服务器将视图中包含的用户的面部图像与获取的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
可选的,终端通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;在居民身份证的读卡流程中,后台服务器、终端和读卡装置转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器确认当前请求开户的用户的身份证认证失败。
可选的,在结果数据为居民身份证中存储的身份证信息的情况下,还包括:后台服务器将居民身份证验证安全控制装置返回的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败;或,后台服务器将居民身份证验证安全控制装置返回的身份证信息与后台服务器获取的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
本发明另一方面还提供了一种基于远程开户的身份认证方法,包括:电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端;终端向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据;后台服务器接收身份验证请求,对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败;终端通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;在居民身份证的读卡流程中,后台服务器、终端和读卡装置转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器接收居民身份证验证安全控制装置执行所述读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器确认当前请求开户的用户的身份证认证失败;在结果数据为居民身份证中存储的身份证信息的情况下,后台服务器获取预先存储的与电子密码设备对应的身份证信息,将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器对所述签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
可选的,待签名信息包括:单次认证数据。
可选的,身份验证请求中还携带有包含用户的面部图像的视图;在后台服务器接收身份验证请求之后,还包括:后台服务器将视图中包括的面部图像与居民身份证验证安全控制装置返回的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
可选的,视图中还包含指示单次认证数据的图像;在后台服务器接收身份验请求之后,还包括:后台服务器对视图中指示后台服务器返回的单次认证数据的图像进行验证,如果验证不通过,则确认当前请求开户的用户的身份认证失败。
可选的,指示单次认证数据的图像包括:电子密码设备根据单次认证数据生成并显示图形标识码。
本发明另一方面还提供了一种基于远程开户的身份认证方法,包括:电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端,其中所述待签名信息至少包括用户的身份证信息;终端向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据;后台服务器接收身份验证请求;后台服务器至少获取预先存储的与电子密码设备对应的身份证信息,并对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败。
可选的,还包括:终端通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;在居民身份证验证安全控制装置执行居民身份证的读卡流程中,后台服务器、终端和读卡装置转发所述居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器确认当前请求开户的所述用户的身份证认证失败;在结果数据为居民身份证中存储的身份证信息的情况下,后台服务器将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败,在两者匹配的情况下,且所述后台服务器对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
本发明另一个方面提供了一种基于远程开户的身份认证系统,包括:电子密码设备、终端和后台服务器;其中,电子密码设备,用于对待签名信息进行签名,将签名得到的签名数据发送给终端;终端,用于向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据及用户的身份证信息;后台服务器,用于接收身份验证请求,对签名数据进行验签,在验签通过的情况下,获取预先存储的与电子密码设备对应的身份证信息,以及获取的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
可选的,后台服务器还用于将视图中包含的用户的面部图像与获取的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
可选的,还包括居民身份证验证安全控制装置和读卡装置;终端还用于通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;居民身份证验证安全控制装置,用于根据接收到的读卡请求,执行居民身份证的读卡流程;后台服务器、终端和读卡装置还用于在居民身份证验证安全控制装置执行居民身份证的读卡流程中,转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据,其中,读卡装置设置在终端或电子密码设备上;后台服务器还用于接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据,以及在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败。
可选的,后台服务器还用于在结果数据为居民身份证中存储的身份证信息的情况下,将居民身份证验证安全控制装置返回的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败;或者,后台服务器还用于将居民身份证验证安全控制装置返回的身份证信息与后台获取的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
本发明另一个方面还提供了另一种基于远程开户的身份认证系统,包括:电子密码设备、终端和后台服务器、读卡装置和居民身份证验证安全控制装置;其中,电子密码设备,用于对待签名信息进行签名,将签名得到的签名数据发送给终端;终端,用于向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据;后台服务器,用于接收身份验证请求,对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败;终端,还用于通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;居民身份证验证安全控制装置,用于根据接收到的读卡请求,执行居民身份证的读卡流程;后台服务器、终端和读卡装置还用于在居民身份证验证安全控制装置执行居民身份证的读卡流程中,转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器还用于接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败;以及在结果数据为居民身份证中存储的身份证信息的情况下,获取预先存储的与电子密码设备对应的身份证信息,将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
可选的,身份验证请求中还携带有包含用户的面部图像的视图;后台服务器还用于在接收身份验证请求之后,将视图中包括的面部图像与居民身份证验证安全控制装置返回的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
可选的,视图中还包含指示单次认证数据的图像;后台服务器还用于在接收身份验证请求之后,对视图中指示后台服务器返回的单次认证数据的图像进行验证,如果验证不通过,则确认当前请求开户的用户的身份认证失败。
可选的,电子密码设备还用于根据单次认证数据生成并显示图形标识码。
本发明另一个方面还提供了一种基于远程开户的身份认证系统,包括:电子密码设备、终端和后台服务器;电子密码设备,用于对待签名信息进行签名,将签名得到的签名数据发送给终端,其中所述待签名信息至少包括用户的身份证信息;终端,用于向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据;后台服务器,用于接收身份验证请求,还用于至少获取预先存储的与电子密码设备对应的身份证信息,并对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败。
可选的,还包括:读卡装置和居民身份证验证安全控制装置;终端还用于通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;居民身份证验证安全控制装置,用于根据接收到的读卡请求,执行居民身份证的读卡流程;后台服务器、终端和读卡装置还用于在居民身份证验证安全控制装置执行居民身份证的读卡流程中,转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器还用于接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败;以及在结果数据为居民身份证中存储的身份证信息的情况下,将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
由上述本发明提供的技术方案可以看出,本发明提供的基于远程开户的身份验证方法和系统中,后台服务器判断后台服务器存储的用户的身份证信息与终端发送的身份验证请求中携带的身份证信息或待签名信息中的身份证信息是否匹配,或者判断后台服务器存储的用户的身份证信息与用户请求远程开户时由远端居民身份证验证安全控制装置通过读卡装置、终端及后台服务器从用户的居民身份证中读取的身份证信息是否匹配,从而使得用户可以通过任意终端完成远程开户的身份认证,进而实现远程开户,而不需要到银行VTM远程视频柜员机办理,方便了用户,提高了用户体验。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例1提供的一种基于远程开户的身份认证系统的架构示意图;
图2为本发明实施例2提供的一种基于远程开户的身份认证系统的架构示意图;
图3为本发明实施例3提供的一种基于远程开户的身份认证系统的架构示意图;
图4为本发明实施例4提供的一种基于远程开户的身份认证方法流程图;
图5为本发明实施例5提供的另一种基于远程开户的身份认证方法流程图;
图6为本发明实施例6提供的另一种基于远程开户的身份认证方法流程图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
实施例1
本实施例提供一种基于远程开户的身份认证系统,如图1所示,该系统包括:电子密码设备110、终端120和后台服务器130。
在本实施例中,电子密码设备110可以是动态口令牌,也可以电子签名工具,还可以是具有动态口令牌功能的电子签名工具,也可以为其他设备,只要该设备能够完成本实施例中电子密码设备110的功能即可。终端120可以是PC机、平板电脑或智能手机等,具体的本实施例不做限定。后台服务器130可以是银行或证券公司等需要进行远程开户业务机构的后台服务器130,具体的本实施例也不做限定。
需要说明的是,在本实施例中,用户从服务前端(例如银行的柜台等)领取电子密码设备110,在用户领取电子密码设备时,服务前端可以将该电子密码设备110与用户的身份证进行了绑定,将电子密码设备110及用户的居民身份证的相关信息传输到后台服务器130,后台服务器130将电子密码设备110与使用该电子密码设备110的用户的身份证信息关联存储。例如,后台服务器130可以将用户领取的电子密码设备110的序列号与用户的身份证信息进行绑定存储,当然也可以将其它可以标识电子密码设备110的信息与用户的身份证信息进行绑定存储,后台服务器130获取电子密码设备110的信息后即可获取与该电子密码设备110对应的用户的身份证信息。
其中,电子密码设备110用于对待签名数据进行签名,将签名得到的签名数据发送给终端120;终端120用于向后台服务器130发送身份验证请求,其中,身份验证请求中携带签名数据及用户的身份证信息;后台服务器130用于接收身份验证请求,对签名数据进行验签,在验签通过的情况下,获取预先存储的与电子密码设备对应的身份证信息,以及将获取的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
在本实施例中,后台服务器130首先对身份验证请求中携带的签名数据进行验签,验签通过后,可以确保电子密码设备110的身份,再将预先存储的与电子密码设备110对应的身份证信息与终端120上传的身份证信息进行对比,如果两者不匹配,则说明电子密码设备110的拥有者并不是身份验证请求中携带的身份证信息对应的用户,后台服务器130确认身份认证失败。通过本实施例提供的技术方案,可以避免用户的身份证丢失时,别人使用该用户的身份证进行远程开户的情况。
在本发明实施例的一个可选实施方案中,电子密码设备110进行签名的待签名数据包括但不限于:单次认证数据和/或用户的身份证信息。其中,单次认证数据可以是电子密码设备110根据与后台服务器130同步的参数(例如时间参数或事件参数)计算出来的一组数字、字母和字符等其一或其任意组合(类似OTP的方式生成的动态口令),当然也可以是后台服务器130生成的单次认证数据并通过终端发送给电子密码设备110的一组数字、字母和字符等其一或其任意组合,或者,还可以是后台服务器130发送给电子密码设备110持有者另一终端(例如用户的手机)的单次认证数据,例如,随机数等,再由用户将该单次认证数据输入至电子密码设备。具体的本实施例并不做限定,只要是电子密码设备110与后台服务器130都知晓的数据即可。在该可选实施方式中,待签名信息使用单次认证数据,后台服务器130可根据接收单次认证数据的次数防止重放攻击。另外,在后台服务器130存储的为电子密码设备110的数字证书与身份证信息的对应关系的情况下,后台服务器130可直接根据数字证书获取与该数字证书对应存储的身份证信息,在后台服务器130存储的为电子密码设备110的其它标识信息(例如序列号)与身份证信息的对应关系的情况下,根据电子密码设备110的数字证书,确定电子密码设备110的标识信息,进而获取与该标识信息对应的身份证信息,而无需另外再发送电子密码设备110的标识信息,节约空口资源。
在本实施例中,身份证信息可以是用户身份证上存储的身份信息的原文,例如身份证上表示的姓名、性别、身份证号等,也可以是身份信息原文的摘要,也可以是能够唯一和用户身份信息对应的数据,例如,序列号,具体的本实施例不做限定,只要是身份证上可以表明用户身份的信息即可。
如果身份证信息为身份信息原文的摘要,在后台服务器130中存储的也是身份信息原文的摘要的情况下,则后台服务器130在对用户的身份进行认证时,将获取的身份信息原文的摘要与身份验证请求中携带的身份信息原文的摘要对比;在后台服务器130中存储的是用户的身份信息原文的情况下,则后台服务器130在对用户的身份进行认证时,先计算获取的用户的身份信息原文的摘要,再将该计算后的摘要与身份验证请求中携带的身份信息原文的摘要对比。
以下,以待签名数据为单次认证数据和用户的身份证信息为例,对本实施例提供的身份认证系统进行说明。在本实施例提供的身份认证系统中,在需要开户时,电子密码设备110对单次认证数据(可以是电子密码设备110与后台服务器130按照OTP方式生成的动态口令,也可以是后台服务器130生成的、并通过终端120发送给电子密码设备110的单次认证数据,例如,随机数)和用户的身份证信息进行签名,将签名得到的签名数据发送给终端120;终端120接收到签名数据后,将签名数据及用户的身份证信息携带在身份验证请求中发送至后台服务器130;后台服务器130接收到身份验证请求后,根据本次的单次认证数据及身份验证请求中携带的身份证数据对签名数据进行验签,在验签通过的情况下(确认发送身份验证请求的用户的身份),后台服务器130获取与电子密码设备110对应的身份证信息;后台服务器130将获取的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。在具体应用中,电子密码设备110可以先将单次认证数据和用户的身份证信息按照预设的格式进行组合,然后通过哈希算法计算组合数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,电子密码设备110将签名数据发送至终端120,其中,签名数据至少包含加密的摘要信息,签名数据还可包含电子密码设备110的标识信息,电子密码设备110的标识信息可以为电子密码设备110的数字证书。在本实施例中,以签名数据是加密的摘要信息和电子密码设备110的数字证书为例进行说明。终端120接收到签名数据后,终端120将签名数据及用户的身份证信息携带在身份验证请求中发送至后台服务器130;后台服务器130接收到身份验证请求后,首先,后台服务器130利用电子密码设备110的公钥对加密的摘要信息进行解密;然后,后台服务器130将接收到的验证请求中的用户的身份证信息和自身存储的单次认证数据按照预设的格式进行组合,后台服务器130通过哈希算法计算该组合数据的摘要信息;最后,后台服务器130将公钥解密得到的摘要信息与哈希算法计算得到的摘要信息进行对比,两者相同的情况下,验签通过。通过使用签名的方法传送单次认证数据和用户的身份证信息,一方面可以保证单次认证数据和用户的身份证信息在传输的过程中没有被篡改;另一方面,后台服务器130判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户。
作为本发明实施例的一种可选实施方式,身份验证请求中用户的身份证信息为包含用户的居民身份证图像的视图,包括视频或图像,即可以是包含用户的居民身份证的图片,也可以是包含用户的居民身份证的视频。例如,用户可以对居民身份证进行拍照,然后将得到的图片作为用户的身份证信息,或者,后台服务器130可以指示用户拿着居民身份证作预定的动作,将该动作进行录像,将录像得的视频作为用户的身份证信息,采用这种方式可以避免非法合成照片的风险。
对应地,在用户的身份证信息为包含居民身份证图像的视图的情况下,后台服务器130接收到身份验证请求之后,后台服务器130从居民身份证图像中提取用户的身份证信息,例如姓名、身份证号码、头像等,并获取存储的与电子密码设备110对应的身份证信息,然后将获取的身份证信息与身份验证请求中携带的居民身份证的图像中的身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的用户的身份认证成功,可进行开户;在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,不可进行开户。通过对比后台服务器130获取的身份证信息与身份验证请求中携带的居民身份证的图像中的身份证信息是否匹配,可以防止用户的身份证丢失的情况下,非法分子利用用户丢失的身份证和非法分子的电子密码设备110进行开户。
作为本发明实施例的一种可选实施方式,视图中还可以包含用户的面部图像;后台服务器130将获取的身份证信息与身份验证请求中携带的身份证信息进行对比时,后台服务器130还用于将视图中包含的用户的面部图像与获取的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。通过该实施方式,可以保证当前使用居民身份证的用户为该居民身份证的拥有者,实现了现场开户时开户方识别人和身份证是否一致的目的,可以防止用户的电子密码设备110和身份证同时丢失的情况下,非法分子利用用户丢失的电子密码设备110和身份证进行开户。
在身份验证请求中携带的身份证信息为包含用户的居民身份证图像的视图的情况下,终端120可以通过以下方式获取包含居民身份证图像的视图:
方式一:终端120通过设置在终端120上的拍摄装置拍摄用户的面部图像和居民身份证图像,获取视图;
方式二:终端120接收外部设备发送的包含用户的面部图像和居民身份证图像的视图,其中,方式一要求终端120上设置有拍摄装置,而方式二不要求终端120上设置有拍摄装置,对终端120的要求较低。
在具体应用中,用户的电子密码设备110被非法分子窃取,且非法分子知道用户身份证的信息的情况下,非法分子可利用用户的身份证信息制造假的身份证进行开户。为了防止非法分子利用假的身份证进行开户,在本发明实施例的一个可选实施方案中,该系统还可以设置读卡装置和居民身份证安全控制装置,其中,读卡装置和居民身份证验证安全控制装置分别相当于现有身份证读卡器中的读模块和居民身份证验证安全控制模块,即本实施例中将现有身份证读卡器中的读模块和居民身份证验证安全控制模块分开设置,读模块(本实施例中称之为读卡装置)设置在客户端,而居民身份证验证安全控制模块(本实施例中称之为居民身份证验证安全控制装置)设置在服务器端,读卡装置通过接触或非接触的方式直接与居民身份证交互,然后通过终端120和后台服务器130将居民身份证发送的信息转发到居民身份证验证安全控制装置。而在该可选实施方式中,终端120还用于通过后台服务器130向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;在居民身份证验证安全控制装置执行居民身份证的读卡流程中,后台服务器130、终端120和读卡装置还用于转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器130还用于接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败。由于居民身份证的特殊性,只有居民身份证验证安全控制装置才能对居民身份证中存储的信息进行读取,并且,在读卡流程中,居民身份证与居民身份证验证安全控制装置之间需要进行验证,如果居民身份证验证安全控制装置对居民身份证读取失败,则说明该居民身份证并不是公安部颁发的合法居民身份证。因此,通过该可选实施方式,可以避免用户使用的非法的伪造的居民身份证的情况下,确保开户安全。
在上述可选实施方式中,读卡装置可以设置在终端120也可以电子密码设备110上,还可以独立设置,具体本实施例不作限定。另外,居民身份证验证安全控制装置可以设置在后台服务器130中,也可以单独设置,通过通讯接口与后台服务器130进行通讯,具体的本实施例不做限定。
下面,以读卡装置设置在电子密码设备110为例,对上述可选实施方式中提供的基于远程开户的身份认证系统进行说明。
终端120通过后台服务器130向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;居民身份证验证安全控制装置执行居民身份证的读卡流程中,后台服务器130、终端120和读卡装置转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;居民身份证验证安全控制装置执行完读卡流程后,向后台服务器返回结果数据,后台服务器130接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器130确认当前请求开户的用户的身份证认证失败。
其中,电子密码设备110中的读卡装置可以采用非接触方式与居民身份证之间进行信息交互,例如采用NFC方式等。
作为本发明实施例的一种可选实施方式,在执行读卡流程中,居民身份证和居民身份证验证安全控制装置之间需要进行双向认证,即居民身份证验证安全控制认证和居民身份证认证,只有双向认证都通过后,居民身份证才将其存储的居民身份证外发,具体认证过程可以包括:
1、居民身份证验证安全控制装置认证过程
读卡装置接收居民身份证发送的居民身份证验证安全控制装置认证请求,并将居民身份证验证安全控制认证请求通过终端和后台服务器发送至居民身份证验证安全控制装置,居民身份证验证安全控制装置接收居民身份证验证安全控制装置认证请求,生成居民身份证验证安全控制装置认证响应,并将居民身份证验证安全控制装置认证响应发送至读卡装置,读卡装置接收居民身份证验证安全控制认证响应并发送至居民身份证,居民身份证根据居民身份证验证安全控制认证响应对居民身份证验证安全控制装置进行认证并将居民身份证验证安全控制装置认证结果发送至读卡装置,读卡装置接收居民身份证验证安全控制装置认证结果并发送至居民身份证验证安全控制装置;
2、居民身份证认证过程
居民身份证验证安全控制装置接收到居民身份证验证安全控制装置认证通过后,向读卡装置发送居民身份证认证请求,读卡装置接收到居民身份证认证请求后发送至居民身份证,居民身份证接收居民身份证认证,生成居民身份证认证响应,并将居民身份证认证响应发送至读卡装置,读卡装置接收居民身份证认证响应并发送至居民身份证验证安全控制装置,居民身份证验证安全控制装置根据居民身份认证响应对居民身份证进行认证并将居民身份证认证结果发送至读卡装置,读卡装置接收居民身份证认证结果并发送至居民身份证。
通过上述居民身份证与居民身份证验证安全控制装置的双向认证过程,居民身份证验证安全控制装置对居民身份证的认证,可以保证读取的身份证信息合法,居民身份证对居民身份证验证安全控制装置进行认证,可以避免身份信息被非法读取。在读卡装置接收到居民身份证认证结果通过的情况下,读卡装置读取居民身份证的信息,读卡装置读取的居民身份证的信息是密文,读卡装置将读取的居民身份证的信息发送至居民身份证验证安全控制装置进行解密得到居民身份证信息,居民身份证验证安全控制装置将居民身份证信息发送至后台服务器130。
其中,上述居民身份证验证安全控制装置认证过程和居民身份证认证过程的执行顺序也可以反过来,即先执行居民身份证认证过程,再执行居民身份证验证安全控制装置认证过程,或者,也可以两个过程同时执行,具体本实施例不作限定。
为了进一步防止电子密码设备110丢失的情况下,非法分子利用用户丢失的电子密码设备110对待签名信息进行签名,上传假的身份证作为身份验证请求中用户的身份证信息,并用真的身份证进行身份证的验证,在本发明实施例的另一个可选实施方案中,后台服务器130还可以对比居民身份证验证安全控制装置返回的身份证信息与身份验证请求中携带的所述身份证信息是否匹配,或者,对比居民身份证验证安全控制装置返回的身份证信息与后台服务器从本地存储的身份证信息中获取的身份证信息是否匹配。即在该可选实施方式中,后台服务器130还用于在居民身份证验证安全控制装置返回的结果数据为居民身份证中存储的身份证信息的情况下,将居民身份证验证安全控制装置返回的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。或者,后台服务器130还用于在居民身份证验证安全控制装置返回的结果数据为居民身份证中存储的身份证信息的情况下,将居民身份证验证安全控制装置返回的身份证信息与后台服务器130从本地存储的身份证信息中获取的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。通过将居民身份证验证安全控制装置返回的身份证信息与身份验证请求中携带的身份证信息或从本地存储的身份证信息中获取的身份证信息进行对比,可以防止用户丢失电子密码设备110的情况下,非法分子利用用户丢失的电子密码设备110对待签名信息进行签名,上传假的身份证作为身份验证请求中用户的身份证信息,并用真的身份证进行身份证的验证以进行开户。
本实施例中的基于远程开户的身份认证系统,通过比后台服务器获取的身份证信息与身份验证请求中携带的身份证信息是否匹配,可以防止用户的身份证丢失的情况下,非法分子利用用户丢失的身份证和非法分子的电子密码设备进行开户;同时,通过使用签名的方法传送单次认证数据和用户的身份证信息,一方面可以保证单次认证数据和用户的身份证信息在传输的过程中没有被篡改以及电子密码设备的身份;另一方面,后台服务器判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户;同时,通过后台服务器设置居民身份证验证安全控制装置对身份证进行认证,可以防止非法分子制造假的身份证进行开户;同时,后台服务器通过比对视图中包含的用户的面部图像与获取的身份证信息中的用户的面部图像是否匹配,即将包含开户人的面部图像与后台服务器获取的身份证信息中用户的面部图像进行对比,实现了现场开户时开户方识别人和身份证是否一致的目的,可以防止用户的电子密码设备和身份证同时丢失的情况下,非法分子利用用户丢失的电子密码设备和身份证进行开户;同时,通过后台服务器设置居民身份证验证安全控制装置对身份证进行认证,可以防止非法分子制造假的身份证进行开户;同时,通过将居民身份证验证安全控制装置返回的身份证信息与后台服务器获取的身份证信息进行对比,或者,将居民身份证验证安全控制装置返回的身份证信息与后台服务器获取的身份证信息进行对比,可以防止用户丢失电子密码设备的情况下,非法分子利用用户丢失的电子密码设备对待签名信息进行签名,上传假的身份证作为身份验证请求中用户的身份证信息,并用真的身份证进行身份证的验证以进行开户。
实施例2
本实施例提供另一种基于远程开户的身份认证系统,如图2所示,该系统包括:电子密码设备210、终端220、后台服务器230、读卡装置200和居民身份证验证安全控制装置240。
在本实施例中,电子密码设备210可以是动态口令牌,也可以电子签名工具,还可以是具有动态口令牌功能的电子签名工具,也可以为其他设备,只要该设备能够完成本实施例中电子密码设备的功能即可。终端220可以是PC机、平板电脑或智能手机等,具体的本实施例不做限定。后台服务器230可以是银行或证券公司等需要进行远程开户业务机构的后台服务器,具体的本实施例也不做限定。
需要说明的是,在本实施例中,用户从服务前端(例如银行的柜台等)领取电子密码设备210,在用户领取电子密码设备时,服务前端可以将该电子密码设备210与用户的身份证进行绑定,将电子密码设备210及用户的居民身份证的相关信息传输到后台服务器230,后台服务器230将电子密码设备210与使用该电子密码设备210的用户的身份证信息关联存储。例如,后台服务器230可以将用户领取的电子密码设备210的序列号与用户的身份证信息进行绑定存储,当然也可以将其它可以标识电子密码设备210的信息与用户的身份证信息进行绑定存储,后台服务器230获取电子密码设备210的信息后即可获取与该电子密码设备210对应的用户的身份证信息。
读卡装置200和居民身份证验证安全控制装置240分别相当于现有身份证读卡器中的读模块和居民身份证验证安全控制模块,即本实施例中将现有身份证读卡器中的读模块和居民身份证验证安全控制模块分开设置,读模块(本实施例中称之为读卡装置200)设置在客户端,而居民身份证验证安全控制模块(本实施例中称之为居民身份证验证安全控制装置240)设置在服务器端,读卡装置200通过接触或非接触的方式直接与居民身份证交互,然后通过终端220和后台服务器230将居民身份证发送的信息转发到居民身份证验证安全控制装置240。
读卡装置200可以设置在终端220上,也可以设置在电子密码设备210上,还可以独立设置,具体本实施例不作限定。
居民身份证验证安全控制装置240可以设置在后台服务器230中,也可以单独设置,通过通讯接口与后台服务器230进行通讯,具体的本实施例不做限定。
其中,电子密码设备210用于对待签名信息进行签名,将签名得到的签名数据发送给终端220;终端220用于向后台服务器230发送身份验证请求,其中,身份验证请求中携带签名数据;后台服务器230用于接收身份验证请求,对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败;终端220还用于通过后台服务器230向居民身份证验证安全控制装置240发送读卡请求,指示居民身份证验证安全控制装置240启动读卡流程;居民身份证验证安全控制装置240,用于根据接收到的读卡请求,执行居民身份证的读卡流程;后台服务器230、终端220和读卡装置200还用于在居民身份证验证安全控制装置执行居民身份证的所述读卡流程中,转发居民身份证验证安全控制装置240与用户的居民身份证之间的交互数据,其中,读卡装置200设置在终端220或电子密码设备210上;后台服务器230还用于接收居民身份证验证安全控制装置240执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置240对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败;以及在结果数据为所述居民身份证中存储的身份证信息的情况下,获取预先存储的与电子密码设备210的对应的身份证信息,将获取的身份证信息与居民身份证验证安全控制装置240返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器230对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
需要说明的是,上述对待签名数据进行签名和验签的过程与居民身份证验证安全控制装置240获取身份证信息的过程的先后顺序本实施例并不做限定。即本实施例中可以先对待签名数据进行签名和验签,然后居民身份证验证安全控制装置240再获取身份证信息,也可以是居民身份证验证安全控制装置240先获取身份证信息,然后再对待签名数据进行签名和验签。
在本实施例中,后台服务器230对身份验证请求中携带的签名数据进行验签,验签通过后,可以确保电子密码设备210的身份;由于居民身份证的特殊性,只有居民身份证验证安全控制装置240才能对居民身份证中存储的信息进行读取,后台服务器230判断居民身份证验证安全控制装置240对居民身份证中存储的信息读取成功,可以说明居民身份证是公安部颁发的合法居民身份证,可以防止非法分子伪造假的身份证进行开户;将预先存储的与电子密码设备210对应的身份证信息与居民身份证验证安全控制装置240返回的身份证信息进行对比,如果两者不匹配,则说明电子密码设备210和身份证不属于同一个人,身份认证失败,不能进行远程开户。通过本实施例提供的技术方案,可以防止用户丢失电子密码设备210的情况下,非法分子利用用户丢失的电子密码设备210与其它的身份证进行开户,或者,可以防止用户身份证丢失的情况下,非法分子利用其它的电子密码设备210与用户丢失的电子密码设备210进行开户。
作为本发明实施例的一种可选实施方式,在执行读卡流程中,居民身份证和居民身份证验证安全控制装置240之间需要进行双向认证,即居民身份证验证安全控制装置认证和居民身份证认证,只有双向认证都通过后,居民身份证才将其存储的居民身份证外发,具体认证过程与实施例1中的双向认证过程相同,在此不再赘述。通过居民身份证与居民身份证验证安全控制装置240的双向认证过程,居民身份证验证安全控制装置240对居民身份证的认证,可以保证读取的身份证信息合法,居民身份证对居民身份证验证安全控制装置240进行认证,可以避免身份信息被非法读取。在读卡装置200接收到居民身份证认证结果通过的情况下,读卡装置200读取居民身份证的信息,读卡装置200读取的居民身份证的信息是密文,读卡装置200将读取的居民身份证的信息发送至居民身份证验证安全控制装置240进行解密得到居民身份证信息,居民身份证验证安全控制装置240将居民身份证信息发送至后台服务器230。
在本发明实施例的一个可选实施方案中,电子密码设备210进行签名的待签名数据包括但不限于:单次认证数据。单次认证数据可以是电子密码设备210根据与后台服务器230同步的参数(例如时间参数或事件参数)计算出来的一组数字、字母和字符等其一或其任意组合,当然也可以是后台服务器230生成的单次认证数据并通过终端220发送给电子密码设备210的一组数字、字母和字符等其一或其任意组合,或者,还可以是后台服务器230发送给电子密码设备210持有者另一终端(例如用户的手机等)的单次认证数据,例如,随机数等,再由用户将该单次认证数据输入至电子密码设备210。具体的本实施例并不做限定,只要是电子密码设备210与后台服务器230都知晓的数据即可。
在该可选实施方式中,待验证信息使用单次认证数据,后台服务器230可根据接收单次认证数据的次数防止重放攻击。另外,在后台服务器230存储的为电子密码设备210的数字证书与身份证信息的对应关系的情况下,后台服务器230可直接根据数字证书获取与该数字证书对应存储的身份证信息,在后台服务器230存储的为电子密码设备的其它标识信息(例如序列号)与身份证信息的对应关系的情况下,根据电子密码设备的数字证书,确定电子密码设备的标识信息,进而获取与该标识信息对应的身份证信息,而无需另外再发送电子密码设备210的标识信息,节约空口资源。
待签名数据为单次认证数据时,对待签名数据进行签名和验签具体可通过以下方式实现:电子密码设备210通过哈希算法计算单次认证数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,电子密码设备210将签名数据发送至终端220,其中签名数据至少包含加密的摘要信息,签名数据还可包含电子密码设备210的标识信息,电子密码设备210的标识信息可以为电子密码设备210的数字证书。在本实施例中,以签名数据是加密的摘要信息和电子密码设备210的数字证书为例进行说明。终端220接收到签名数据后,终端220将签名数据携带在身份验证请求中发送至后台服务器;后台服务器230接收到身份验证请求后,首先,后台服务30利用电子密码设备210的公钥对加密的摘要信息进行解密,然后,后台服务器230通过哈希算法计算自身存储的单次认证数据的摘要信息,并将公钥解密得到的摘要信息与哈希算法计算得到的摘要信息进行对比,在两者相同的情况下,验签通过。通过使用签名的方法传送单次认证数据,一方面可以保证单次认证数据在传输的过程中没有被篡改;另一方面,后台服务器230判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户。
在本发明实施例的一种可选实施方案中,身份验证请求中还可以携带有包含用户的面部图像的视图;则在该可选实施方案中,在后台服务器230接收到身份验证请求之后,后台服务器230还用于将视图中包含的用户的面部图像与居民身份证验证安全控制装置240返回的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
具体应用中,身份验证请求中除了携带有待签名信息的签名数据外,身份验证请求中还包含用户面部图像的视频或图片,后台服务器从该视频或图片中获取用户的面部图像。同样,后台服务器可根据居民身份证验证安全控制装置240返回的身份证信息中获取用户的面部图像。后台服务器230将视图中包含的用户的面部图像与居民身份证验证安全控制装置240返回的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败,不可进行远程开户。通过该实施方式,可以保证当前使用居民身份证的用户为该居民身份证的拥有者,实现了现场开户时开户方识别人和身份证是否一致的目的,可以防止用户的电子密码设备210和身份证同时丢失的情况下,非法分子利用用户丢失的电子密码设备210和身份证进行开户。
在身份验证请求中携带有包含用户面部图像的视图,终端220可以通过以下方式获取包含用户面部图像的视图:
方式一:终端220通过设置在终端220上的拍摄装置拍摄用户的面部图像,获取视图;
方式二:终端220接收外部设备发送的包含用户的面部图像的视图,其中,方式一要求终端220上设置有拍摄装置,而方式二不要求终端220上设置有拍摄装置,对终端220的要求较低。
在本发明实施例的一种可选实施方案中,视图中还包含指示单次认证数据的图像;在后台服务器230接收所述身份验证请求之后,后台服务器230还用于对视图中指示后台服务器返回的单次认证数据的图像进行验证,如果验证不通过,则确认当前请求开户的所述用户的身份认证失败。
具体应用中,单次认证数据生成图像的具体生成方式为:电子密码设备210根据单次认证数据生成并显示图形标识码。电子密码设备210具体通过以下方式生成图形标识码:
方式一:电子密码设备210将单次认证数据转换为图形标识码;
即,电子密码设备210获取单次认证数据后,通过图形标识码算法直接将单次认证数据转化为图形标识码。需要说明的是,图形标识码算法单次认证数据生成图形标识码的算法,例如图形标识码是二维码,则图形标识码算法是单次认证数据生成二维码的算法,即二维码生成算法。通过将单次认证数据转换为图形标识码,可以方便后台服务器230后续识别单次认证数据。
方式二:电子密码设备210按照预设算法对单次认证数据进行计算,并生成与计算结果对应的图形标识码。
与上述方式一不同的是,电子密码设备210获取单次认证数据后,并不直接通过图形标识码算法将单次认证数据转化为图形标识码,而是按照预设算法对单次认证数据计算后,再通过图形标识码算法生成与计算结果对应的图形标识码。通过该方式,可以减少生成图形标识码的运算量,节约流程。
可选的,电子密码设备210按照预设算法对单次认证数据进行计算包括但不限于:
(1)电子密码设备210利用自身存储的私钥,对单次认证数据进行签名。
具体的,电子密码设备210计算单次认证数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,形成单次认证数据的签名数据。后台服务器230获取单次认证数据的签名数据后利用电子密码设备210的私钥对应的公钥进行验签,可以一方面防止黑客篡改单次认证数据,另一方面,可以确保单次认证数据是由特定的电子密码设备发送的。
(2)电子密码设备210对单次认证数据进行消息认证码MAC计算。
需要说明的是,MAC(Message Authentication Code,消息认证码)算法是一种加密算法,电子密码设备对单次认证数据进行加密计算并不局限于消息认证码MAC算法一种加密算法,只要是加密算法都在本发明的保护范围,一些常用的加密算法列举如下:
1)对称加密算法:DES、3DES或AES;
2)MAC算法:
对称MAC算法:DES-CBC、3DES-CBC、AES-CBC;
HMAC算法:HMAC-MD5、HMAC-SHA1。
通过对单次认证数据进行加密,可以防止非法分子截获单次认证数据后利用截获的单次认证数据进行开户。
电子密码设备210生成单次认证数据的图形标识码后,终端220获取包含图形标识码与用户面部图像的视图。终端220可通过设置在终端220上的拍摄装置获取视图,也可通过接收外部设备发送的视图,具体不再赘述。
终端220获取包含图形标识码和用户面部图像的视图后,终端220将上述签名数据与该视图携带在身份验证请求中发送至后台服务器230,后台服务器230接收到身份验证请求之后,一方面,后台服务器230识别该视图中的单次认证数据并与后台服务器230自身存储的单次认证数据进行对比,以验证视图中返回的单次认证数据是否通过,如果不通过,则确认当前请求开户的所述用户的身份认证失败,不可进行开户,可以防止非法分子伪造单次认证数据进行开户。另一方面,后台服务器230判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户。
实施例3
本实施例提供另一种基于远程开户的身份认证系统,如图3所示,该系统包括:电子密码设备310、终端320、后台服务器330。
电子密码设备310,用于对待签名信息进行签名,将签名得到的签名数据发送给终端320,其中所述待签名数据至少包括用户的身份证信息;终端320,用于向后台服务器330发送身份验证请求,其中,身份验证请求中携带签名数据;后台服务器330,用于接收身份验证请求,还用于至少获取预先存储的与电子密码设备310对应的身份证信息,并对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败。
与实施例1中不同的是,待签名信息至少包括用户的身份证信息,当然还可包括单次认证数据。用户的身份证信息和单次认证数据与实施例2中的用户的身份证信息相同,具体不再赘述。
与实施例1中不同的是,后台服务器330不是利用身份验证请求中携带的用户的身份证信息对签名数据进行验签,而是利用获取的预先存储的与电子密码设备310对应的身份证信息对签名数据进行验签。
其它未尽事宜与实施例1中的相同,在此不再赘述。
以下,以待签名数据为单次认证数据和用户的身份证信息为例,对本实施例提供的身份认证系统进行说明。
电子密码设备310可以先将单次认证数据和用户的身份证信息按照预设的格式进行组合,然后通过哈希算法计算组合数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,电子密码设备310将签名数据发送至终端320,其中,签名数据至少包含加密的摘要信息,签名数据还可包含电子密码设备310的标识信息,电子密码设备310的标识信息可以为电子密码设备310的数字证书。在本实施例中,以签名数据是加密的摘要信息和电子密码设备310的数字证书为例进行说明。终端320接收到签名数据后,终端320将签名数据携带在身份验证请求中发送至后台服务器330;后台服务器330接收到身份验证请求之后,后台服务器330根据电子密码设备310的数字证书获取与该数字证书对应的存储的身份证信息;后台服务器330利用电子密码设备310的公钥对加密的摘要信息进行解密,然后,后台服务器330获取的与数字证书对应存储的身份证信息和自身存储的单次认证数据按照预设的格式进行组合,后台服务器330通过哈希算法计算该组合数据的摘要信息,后台服务器330将公钥解密得到的摘要信息与哈希算法计算得到的摘要信息进行对比,两者相同的情况下,验签通过。通过后台服务器330存储的身份证信息对包含用户身份证信息的签名数据进行验签,可以防止非法分子篡改待签名数据,通过对单次认证数据进行验证,可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户。
作为本实施例的一种可选实施方案,基于远程开户的身份认证系统还包括:读卡装置和居民身份证验证安全控制装置;终端320还用于通过后台服务器330向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;居民身份证验证安全控制装置,用于根据接收到的读卡请求,执行居民身份证的读卡流程;后台服务器330、终端320和读卡装置还用于在居民身份证验证安全控制装置执行居民身份证的读卡流程中,转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器330还用于接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败;以及在结果数据为居民身份证中存储的身份证信息的情况下,将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器330对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
需要说明的是,上述对待签名数据进行签名的过程与居民身份证验证安全控制装置获取身份证信息的过程的先后顺序本实施例并不做限定。即本实施例中可以先对待签名数据进行签名,然后居民身份证验证安全控制装置再获取身份证信息,也可以是居民身份证验证安全控制装置先获取身份证信息,然后再对待签名数据进行签名。
当然,后台服务器330获取预先存储的与电子密码设备310对应的身份证信息可以在接收身份验证请求之后,也可在后台服务器330接收居民身份证验证安全控制装置返回的结果数据为居民身份证中存储的身份证信息之后,具体的本实施例不做限定。
在具体应用中,读卡装置和居民身份证验证安全控制装置对居民身份证的读取过程与实施例1中的相同,具体不再赘述。
居民身份证验证安全控制装置执行读卡流程后返回的结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败。通过读卡装置和居民身份证验证安全控制装置读取居民的身份证信息可以确保用于开户的身份证为真身份证。
居民身份证验证安全控制装置执行读卡流程后返回的结果数据为居民身份证中存储的身份证信息的情况下,将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器330对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。后台服务器330将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比通过后才进行开户,可以保证电子密码设备310和身份证属于同一个人,防止电子密码设备310或身份证丢失时,非法分子利用该丢失的电子密码设备310或身份证其进行开户。
实施例4
本实施例提供了一种基于远程开户的身份认证方法,该身份认证方法应用于实施例1中所述的系统实现。
图4为本实施例提供的一种基于远程开户的身份认证方法流程图,如图4所示,该身份认证方法主要包括以下步骤:
步骤401:电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端;
步骤402:终端向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据及用户的身份证信息;
步骤403:后台服务器接收身份验证请求,对签名数据进行验签;
步骤404:在验签通过的情况下,后台服务器获取预先存储的与电子密码设备的对应的身份证信息;
步骤405:后台服务器将获取的身份证信息与身份验证请求中携带的身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。
在本实施例中,电子密码设备可以是动态口令牌,也可以电子签名工具,还可以是具有动态口令牌功能的电子签名工具,也可以为其他设备,只要该设备能够完成本实施例中电子密码设备的功能即可。终端可以是PC机、平板电脑或智能手机等,具体的本实施例不做限定。后台服务器可以是银行或证券公司等需要进行远程开户业务机构的后台服务器,具体的本实施例也不做限定。
需要说明的是,在本实施例中,用户从服务前端(例如银行的柜台等)领取电子密码设备,在用户领取电子密码设备时,服务前端可以将该电子密码设备与用户的身份证进行了绑定,将电子密码设备及用户的居民身份证的相关信息传输到后台服务器,后台服务器将电子密码设备与使用该电子密码设备的用户的身份证信息关联存储。例如,后台服务器可以将用户领取的电子密码设备的序列号与用户的身份证信息进行绑定存储,当然也可以将其它可以标识电子密码设备的信息与用户的身份证信息进行绑定存储,后台服务器获取电子密码设备的信息后即可获取与该电子密码设备对应的用户的身份证信息
在本发明实施例的可选实施方式中,步骤401中的待签名信息包括但不限于:单次认证数据和/或用户的身份证信息。
其中,单次认证数据可以是电子密码设备根据与后台服务器同步的参数(例如时间参数或事件参数)计算出来的一组数字、字母和字符等其一或其任意组合(类似OTP的方式生成的动态口令),当然也可以是后台服务器生成的单次认证数据并通过终端发送给电子密码设备的一组数字、字母和字符等其一或其任意组合,或者,还可以是后台服务器发送给电子密码设备持有者另一终端(例如用户的手机)的单次认证数据,例如,随机数等,再由用户将该单次认证数据输入至电子密码设备。具体的本实施例并不做限定,只要是电子密码设备与后台服务器都知晓的数据即可。在该可选实施方式中,待签名信息使用单次认证数据,后台服务器可根据接收单次认证数据的次数防止重放攻击。
在本实施例中,身份证信息可以是用户身份证上存储的身份信息的原文,例如身份证上表示的姓名、性别、身份证号等,也可以是身份信息原文的摘要,也可以是能够唯一和用户身份信息对应的数据,例如,序列号,具体的本实施例不做限定,只要是身份证上可以表明用户身份的信息即可。
如果身份证信息为身份信息原文的摘要,在后台服务器中存储的也是身份信息原文的摘要的情况下,则在步骤405中后台服务器对用户的身份进行认证时,将获取的身份信息原文的摘要与身份验证请求中携带的身份信息原文的摘要对比;在后台服务器中存储的是用户的身份信息原文的情况下,则在步骤405中后台服务器对用户的身份进行认证时,先计算获取的用户的身份信息原文的摘要,再将该计算后的摘要与身份验证请求中携带的身份信息原文的摘要对比。
在本发明实施例的可选实施方案中,用户的身份证信息为包含用户的居民身份证图像的视图,包括视频或图像,即可以是包含用户的居民身份证的图片,也可以是包含用户的居民身份证的视频。例如,用户可以对居民身份证进行拍照,然后将得到的图片作为用户的身份证信息,或者,后台服务器可以指示用户拿着居民身份证作预定的动作,将该动作进行录像,将录像得的视频作为用户的身份证信息,采用这种方式可以避免非法合成照片的风险。
在本发明实施例的可选实施方案中,视图中还包含用户的面部图像,终端可以通过以下方式获取包含用户面部图像的视图:
方式一:终端通过设置在终端上的拍摄装置拍摄用户的面部图像和居民身份证图像,获取视图;
方式二:终端接收外部设备发送的包含用户的面部图像和居民身份证图像的视图,其中,方式一要求终端上设置有拍摄装置,而方式二不要求终端上设置有拍摄装置,对终端的要求较低。
以下,以待签名数据为单次认证数据和用户的身份证信息为例,对电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端的具体过程进行说明:
具体应用中,电子密码设备可以先将单次认证数据和用户的身份证信息按照预设的格式进行组合,然后通过哈希算法计算组合数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,电子密码设备将签名数据发送至终端,其中,签名数据至少包含加密的摘要信息,签名数据还可包含电子密码设备的标识信息,电子密码设备的标识信息可以为电子密码设备的数字证书。在本实施例中,以签名数据是加密的摘要信息和电子密码设备的数字证书为例进行说明。对单次认证数据签名后传输,可以保证单次认证数据在传输的过程中没有被篡改。
在本发明实施例的一个可选实施方案中,在步骤403中,后台服务器接收身份验证请求后,利用电子密码设备的公钥对加密的摘要信息进行解密;然后,后台服务器将接收到的验证请求中的用户的身份证信息和自身存储的单次认证数据按照预设的格式进行组合,后台服务器通过哈希算法计算该组合数据的摘要信息;最后,后台服务器将公钥解密得到的摘要信息与哈希算法计算得到的摘要信息进行对比,两者相同的情况下,验签通过。通过使用签名的方法传送单次认证数据和用户的身份证信息,可以保证单次认证数据和用户的身份证信息在传输的过程中没有被篡改。
作为本发明实施例的一种可选实施方案,验签通过后,后台服务器可以判断终端发送的待验证信息中的单次认证数据与后台服务器存储的单次认证数据是否相同,防止非法分子利用假的单次认证数据进行开户。后台服务器还判断该单次认证数据是否已经使用过,防止非法分子利用该单次认证数据进行多次开户,即可以防重放攻击。
在本发明实施例中,后台服务器中存储有与电子密码对应的身份证信息,在步骤404中,后台服务器可以通过终端发送的签名数据获取预先存储的与电子密码设备对应的身份证信息。
具体应用中,在验签通过后,后台服务器可以通过签名数据以获取电子密码设备使用的数字证书,在后台服务器存储的为电子密码设备的数字证书与身份证信息的对应关系的情况下,直接获取与该数字证书对应存储的身份证信息,在后台服务器存储的为电子密码设备的其它标识信息(例如序列号)与身份证信息的对应关系的情况下,根据电子密码设备的数字证书,确定电子密码设备的标识信息,进而获取与该标识信息对应的身份证信息,而无需另外再发送电子密码设备的标识信息,节约空口资源。
在本发明实施例中,通过比后台服务器获取的身份证信息与身份验证请求中携带的身份证信息是否匹配,可以防止用户的身份证丢失的情况下,非法分子利用用户丢失的身份证和非法分子的电子密码设备进行开户。
作为本发明实施例的一种可选实施方式,身份验证请求中携带的视图中还可包含用户的面部图像,在步骤405中,后台服务器将获取的身份证信息与身份验证请求中携带的身份证信息进行对比时,后台服务器可以将视图中包含的用户的面部图像与获取的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败。通过该实施方式,可以保证当前使用居民身份证的用户为该居民身份证的拥有者,实现了现场开户时开户方识别人和身份证是否一致的目的,可以防止用户的电子密码设备和身份证同时丢失的情况下,非法分子利用用户丢失的电子密码设备和身份证进行开户。
作为本发明实施例的一种可选实施方式,为了防止非法分子利用假的身份证进行开户,还可设置读卡装置和居民身份证验证安全控制装置,其中,读卡装置和居民身份证验证安全控制装置分别相当于现有身份证读卡器中的读模块和居民身份证验证安全控制模块,即本实施例中将现有身份证读卡器中的读模块和居民身份证验证安全控制模块分开设置,读模块(本实施例中称之为读卡装置)设置在客户端,而居民身份证验证安全控制模块(本实施例中称之为居民身份证验证安全控制装置)设置在服务器端,读卡装置通过接触或非接触的方式直接与居民身份证交互,然后通过终端和后台服务器将居民身份证发送的信息转发到居民身份证验证安全控制装置。在该可选实施方式中,该方法还包括:终端通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;在居民身份证验证安全控制装置执行居民身份证的读卡流程中,后台服务器、终端和读卡装置还用于转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器确认当前请求开户的用户的身份证认证失败。由于居民身份证的特殊性,只有居民身份证验证安全控制装置才能对居民身份证中存储的信息进行读取,并且,在读卡流程中,居民身份证与居民身份证验证安全控制装置之间需要进行验证,如果居民身份证验证安全控制装置对居民身份证读取失败,则说明该居民身份证并不是公安部颁发的合法居民身份证。因此,通过该可选实施方式,可以避免用户使用的非法的伪造的居民身份证的情况下,确保开户安全。
在上述可选实施方式中,读卡装置可以设置在终端也可以电子密码设备上,还可以独立设置,具体本实施例不作限定。另外,居民身份证验证安全控制装置可以设置在后台服务器中,也可以单独设置,通过通讯接口与后台服务器进行通讯,具体的本实施例不做限定。
作为本发明实施例的一种可选实施方式,在执行读卡流程中,居民身份证和居民身份证验证安全控制装置之间需要进行双向认证,即居民身份证验证安全控制装置认证和居民身份证认证,只有双向认证都通过后,居民身份证才将其存储的居民身份证外发,具体认证过程可以包括:
1、居民身份证验证安全控制装置认证过程
读卡装置接收居民身份证发送的居民身份证验证安全控制装置认证请求,并将居民身份证验证安全控制装置认证请求通过终端和后台服务器发送至居民身份证验证安全控制装置,居民身份证验证安全控制装置接收居民身份证验证安全控制装置认证请求,生成居民身份证验证安全控制装置认证响应,并将居民身份证验证安全控制装置认证响应发送至读卡装置,读卡装置接收居民身份证验证安全控制装置认证响应并发送至居民身份证,居民身份证根据居民身份证验证安全控制装置认证响应对居民身份证验证安全控制装置进行认证并将居民身份证验证安全控制装置认证结果发送至读卡装置,读卡装置接收居民身份证验证安全控制装置认证结果并发送至居民身份证验证安全控制装置;
2、居民身份证认证过程
居民身份证验证安全控制装置接收到居民身份证验证安全控制装置认证通过后,向读卡装置发送居民身份证认证请求,读卡装置接收到居民身份证认证请求后发送至居民身份证,居民身份证接收居民身份证认证,生成居民身份证认证响应,并将居民身份证认证响应发送至读卡装置,读卡装置接收居民身份证认证响应并发送至居民身份证验证安全控制装置,居民身份证验证安全控制装置根据居民身份认证响应对居民身份证进行认证并将居民身份证认证结果发送至读卡装置,读卡装置接收居民身份证认证结果并发送至居民身份证。
通过上述居民身份证与居民身份证验证安全控制装置的双向认证过程,居民身份证验证安全控制装置对居民身份证的认证,可以保证读取的身份证信息合法,居民身份证对居民身份证验证安全控制装置进行认证,可以避免身份信息被非法读取。在读卡装置接收到居民身份证认证结果通过的情况下,读卡装置读取居民身份证的信息,读卡装置读取的居民身份证的信息是密文,读卡装置将读取的居民身份证的信息发送至居民身份证验证安全控制装置进行解密得到居民身份证信息,居民身份证验证安全控制装置将居民身份证信息发送至后台服务器。
其中,上述居民身份证验证安全控制装置认证过程和居民身份证认证过程的执行顺序也可以反过来,即先执行居民身份证认证过程,再执行居民身份证验证安全控制装置认证过程,或者,也可以两个过程同时执行,具体本实施例不作限定。
作为本发明实施例的一种可选实施方式,为了进一步防止电子密码设备丢失的情况下,非法分子利用用户丢失的电子密码设备对待签名信息进行签名,上传假的身份证作为身份验证请求中用户的身份证信息,并用真的身份证进行身份证的验证。后台服务器在接收到居民身份证验证安全控制装置返回的结果数据为居民身份证中存储的身份证信息的情况下,后台服务器还可以将居民身份证验证安全控制装置返回的身份证信息与身份验证请求中携带的所述身份证信息进行对比,或者,后台服务器将居民身份证验证安全控制装置返回的身份证信息与后台服务器从本地存储的身份证信息中获取的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的身份验证失败。通过将居民身份证验证安全控制装置返回的身份证信息与身份验证请求中携带的身份证信息或从本地存储的身份证信息中获取的身份证信息进行对比,可以防止用户丢失电子密码设备的情况下,非法分子利用用户丢失的电子密码设备对待签名信息进行签名,上传假的身份证作为身份验证请求中用户的身份证信息,并用真的身份证进行身份证的验证以进行开户。
在本实施例提供的基于远程开户的身份认证方法中,通过比后台服务器获取的身份证信息与身份验证请求中携带的身份证信息是否匹配,可以防止用户的身份证丢失的情况下,非法分子利用用户丢失的身份证和非法分子的电子密码设备进行开户;同时,通过使用签名的方法传送单次认证数据和用户的身份证信息,一方面可以保证单次认证数据和用户的身份证信息在传输的过程中没有被篡改;另一方面,后台服务器判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户;同时,通过后台服务器设置居民身份证验证安全控制装置对身份证进行认证,可以防止非法分子制造假的身份证进行开户;同时,后台服务器通过比对视图中包含的用户的面部图像与获取的身份证信息中的用户的面部图像是否匹配,即将包含开户人的面部图像与后台服务器获取的身份证信息中用户的面部图像进行对比,实现了现场开户时开户方识别人和身份证是否一致的目的,可以防止用户的电子密码设备和身份证同时丢失的情况下,非法分子利用用户丢失的电子密码设备和身份证进行开户;同时,通过后台服务器设置居民身份证验证安全控制装置对身份证进行认证,可以防止非法分子制造假的身份证进行开户;同时,通过将居民身份证验证安全控制装置返回的身份证信息与后台服务器获取的身份证信息进行对比,或者,将居民身份证验证安全控制装置返回的身份证信息与后台服务器获取的身份证信息进行对比,可以防止用户丢失电子密码设备的情况下,非法分子利用用户丢失的电子密码设备对待签名信息进行签名,上传假的身份证作为身份验证请求中用户的身份证信息,并用真的身份证进行身份证的验证以进行开户。
实施例5
本实施例提供了另一种基于远程开户的身份认证方法,该身份认证方法应用于实施例2中所述的系统实现。
图5为本实施例提供的一种基于远程开户的身份认证方法流程图,如图5所示,该身份认证方法主要包括以下步骤:
步骤501:电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端;
步骤502:终端向后台服务器发送身份验证请求,其中,所述身份验证请求中携带所述签名数据;
步骤503:后台服务器接收身份验证请求,对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败;
步骤504:终端通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;
步骤505:在居民身份证的读卡流程中,后台服务器、终端和读卡装置转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;
其中,读卡装置可以设置在所述终端或所述电子密码设备上,也可以单独设置;
步骤506:后台服务器接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;
需要说明的是,上述步骤501至步骤503是对待签名数据进行签名和验签的过程,上述步骤504至步骤506是居民身份证验证安全控制装置获取身份证信息的过程,上述对待签名数据进行签名和验签的过程与居民身份证验证安全控制装置获取身份证信息的过程的先后顺序本实施例并不做限定。即本实施例中可以先对待签名数据进行签名和验签,然后居民身份证验证安全控制装置再获取身份证信息,也可以是居民身份证验证安全控制装置先获取身份证信息,然后再对待签名数据进行签名和验签。
步骤507:在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器确认当前请求开户的用户的身份证认证失败;
步骤508:在结果数据为居民身份证中存储的身份证信息的情况下,后台服务器获取预先存储的与电子密码设备的对应的身份证信息,将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
在本实施例中,电子密码设备可以是动态口令牌,也可以电子签名工具,还可以是具有动态口令牌功能的电子签名工具,也可以为其他设备,只要该设备能够完成本实施例中电子密码设备的功能即可。终端可以是PC机、平板电脑或智能手机等,具体的本实施例不做限定。后台服务器可以是银行或证券公司等需要进行远程开户业务机构的后台服务器,具体的本实施例也不做限定。
需要说明的是,在本实施例中,用户从服务前端(例如银行的柜台等)领取电子密码设备,在用户领取电子密码设备时,服务前端可以将该电子密码设备与用户的身份证进行了绑定,将电子密码设备及用户的居民身份证的相关信息传输到后台服务器,后台服务器将电子密码设备与使用该电子密码设备的用户的身份证信息关联存储。例如,后台服务器可以将用户领取的电子密码设备的序列号与用户的身份证信息进行绑定存储,当然也可以将其它可以标识电子密码设备的信息与用户的身份证信息进行绑定存储,后台服务器获取电子密码设备的信息后即可获取与该电子密码设备对应的用户的身份证信息。
本实施例中的读卡装置和居民身份证验证安全控制装置分别相当于现有身份证读卡器中的读模块和居民身份证验证安全控制模块,即本实施例中将现有身份证读卡器中的读模块和居民身份证验证安全控制模块分开设置,读模块(本实施例中称之为读卡装置)设置在客户端,而居民身份证验证安全控制模块(本实施例中称之为居民身份证验证安全控制装置)设置在服务器端,读卡装置通过接触或非接触的方式直接与居民身份证交互,然后通过终端和后台服务器将居民身份证发送的信息转发到居民身份证验证安全控制装置。
读卡装置可以设置在终端上,也可以设置在电子密码设备上,还可以独立设置,具体本实施例不作限定。
居民身份证验证安全控制装置可以设置在后台服务器中,也可以单独设置,通过通讯接口与后台服务器进行通讯,具体的本实施例不做限定。
在本发明实施例的可选实施方式中,签名信息包括但不限于:单次认证数据。
其中,单次认证数据可以是电子密码设备根据与后台服务器同步的参数(例如时间参数或事件参数)计算出来的一组数字、字母和字符等其一或其任意组合(类似OTP的方式生成的动态口令),当然也可以是后台服务器生成的单次认证数据并通过终端发送给电子密码设备的一组数字、字母和字符等其一或其任意组合,或者,还可以是后台服务器发送给电子密码设备持有者另一终端(例如用户的手机)的单次认证数据,例如,随机数等,再由用户将该单次认证数据输入至电子密码设备。具体的本实施例并不做限定,只要是电子密码设备与后台服务器都知晓的数据即可。在该可选实施方式中,待签名信息使用单次认证数据,后台服务器可根据接收单次认证数据的次数防止重放攻击。
待签名数据为单次认证数据时,对待签名数据进行签名具体可通过以下方式实现:电子密码设备通过哈希算法计算单次认证数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,电子密码设备将签名数据发送至终端,其中签名数据至少包含加密的摘要信息,签名数据还可包含电子密码设备的标识信息,电子密码设备的标识信息可以为电子密码设备的数字证书。在本实施例中,以签名数据是加密的摘要信息和电子密码设备的数字证书为例进行说明。通过使用签名的方法传送单次认证数据,可以防止单次认证数据在传输的过程中被篡改。
在本发明实施例的可选实施方案中,步骤502中终端发送的身份验证请求中还可以携带有用户的面部图像的视图,在这种情况下,步骤503中,后台服务器接收身份验证请求之后,后台服务器还可以将视图中包括的面部图像与居民身份证验证安全控制装置返回的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败不可进行远程开户。通过该实施方式,可以保证当前使用居民身份证的用户为该居民身份证的拥有者,实现了现场开户时开户方识别人和身份证是否一致的目的,可以防止用户的电子密码设备和身份证同时丢失的情况下,非法分子利用用户丢失的电子密码设备和身份证进行开户。
在本发明实施例的一个可选实施方案中,身份验证请求中携带的视图中还可包含指示单次认证数据的图像。在这种情况下,步骤503中,后台服务器接收身份验证请求之后,后台服务器还可以对视图中指示单次认证数据的图像进行验证,如果验证不通过,则确认当前请求开户的用户的身份认证失败。通过该可选实施方案,一方面,后台服务器识别视图中的单次认证数据并与后台服务器自身存储的单次认证数据与后台服务器自身存储的单次认证数据进行对比,以验证视图中返回的单次认证数据是否通过,如果不通过,则确认当前请求开户的所述用户的身份认证失败,不可进行开户,可以防止非法分子伪造单次认证数据进行开户。另一方面,后台服务器判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户。
在上述可选实施方案中,终端可以通过以下方式获取包含用户面部图像的视图:
方式一:终端通过设置在终端上的拍摄装置拍摄用户的面部图像,获取视图;
方式二:终端接收外部设备发送的包含用户的面部图像的视图,其中,方式一要求终端上设置有拍摄装置,而方式二不要求终端上设置有拍摄装置,对终端的要求较低。
单次认证数据生成图像的具体生成方式可以包括:电子密码设备根据单次认证数据生成并显示图形标识码。电子密码设备具体通过以下方式之一生成图形标识码:
方式一:电子密码设备将单次认证数据转换为图形标识码;
即,电子密码设备获取单次认证数据后,通过图形标识码算法直接将单次认证数据转化为图形标识码。需要说明的是,图形标识码算法单次认证数据生成图形标识码的算法,例如图形标识码是二维码,则图形标识码算法是单次认证数据生成二维码的算法,即二维码生成算法。通过将单次认证数据转换为图形标识码,可以方便后台服务器后续识别单次认证数据。
方式二:电子密码设备按照预设算法对单次认证数据进行计算,并生成与计算结果对应的图形标识码。
与上述方式一不同的是,电子密码设备获取单次认证数据后,并不直接通过图形标识码算法将单次认证数据转化为图形标识码,而是按照预设算法对单次认证数据计算后,再通过图形标识码算法生成与计算结果对应的图形标识码。通过该方式,可以减少生成图形标识码的运算量,节约流程。
可选的,电子密码设备按照预设算法对单次认证数据进行计算包括但不限于:
(1)电子密码设备利用自身存储的私钥,对单次认证数据进行签名。
具体的,电子密码设备计算单次认证数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,形成单次认证数据的签名数据。后台服务器获取单次认证数据的签名数据后利用电子密码设备的私钥对应的公钥进行验签,可以一方面防止黑客篡改单次认证数据,另一方面,可以确保单次认证数据是由特定的电子密码设备发送的。
(2)电子密码设备对单次认证数据进行消息认证码MAC计算。
需要说明的是,MAC(Message Authentication Code,消息认证码)算法是一种加密算法,电子密码设备对单次认证数据进行加密计算并不局限于消息认证码MAC算法一种加密算法,只要是加密算法都在本发明的保护范围,一些常用的加密算法列举如下:
1)对称加密算法:DES、3DES或AES;
2)MAC算法:
对称MAC算法:DES-CBC、3DES-CBC、AES-CBC;
HMAC算法:HMAC-MD5、HMAC-SHA1。
通过对单次认证数据进行加密,可以防止非法分子截获单次认证数据后利用截获的单次认证数据进行开户。
待签名数据为单次认证数据时,在步骤503中,对待签名数据进行验签具体可通过以下方式实现:终端接收到签名数据后,终端将签名数据携带在身份验证请求中发送至后台服务器;后台服务器接收到身份验证请求后,首先,后台服务利用电子密码设备的公钥对加密的摘要信息进行解密,然后,后台服务器通过哈希算法计算自身存储的单次认证数据的摘要信息,并将公钥解密得到的摘要信息与哈希算法计算得到的摘要信息进行对比,在两者相同的情况下,验签通过;在验签不通过的情况下,确认当前请求开户的所述用户的身份认证失败。通过使用签名的方法传送单次认证数据,一方面可以保证单次认证数据在传输的过程中没有被篡改;另一方面,后台服务器判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户。
在本发明实施例的一个可选实施方案中,居民身份证验证安全控制装置可以设置在后台服务器中,也可以单独设置,通过通讯接口与后台服务器进行通讯,具体的本实施例不做限定。
在步骤505中,在读卡流程中,读卡装置读取居民身份证信息的密文,通过终端和服务器将读卡装置读取的居民身份证信息的密文发送至居民身份证验证安全控制装置,居民身份证验证安全控制装置对读卡装置读取的身份证信息的密文进行解密得到用户居民身份证的信息。
具体应用中,读卡装置可以设置在终端上,也可以设置在电子密码设备上,具体本实施例不作限定。其中,读卡装置可以采用非接触方式与居民身份证之间进行信息交互,例如采用NFC方式等。
作为本发明实施例的一种可选实施方式,在执行读卡流程中,居民身份证和居民身份证验证安全控制装置之间需要进行双向认证,即居民身份证验证安全控制装置认证和居民身份证认证,只有双向认证都通过后,居民身份证才将其存储的居民身份证外发,具体认证过程与实施例3中的双向认证过程相同,在此不再赘述。通过居民身份证与居民身份证验证安全控制装置的双向认证过程,居民身份证验证安全控制装置对居民身份证的认证,可以保证读取的身份证信息合法,居民身份证对居民身份证验证安全控制装置进行认证,可以避免身份信息被非法读取。在读卡装置接收到居民身份证认证结果通过的情况下,读卡装置读取居民身份证的信息,读卡装置读取的居民身份证的信息是密文,读卡装置将读取的居民身份证的信息发送至居民身份证验证安全控制装置进行解密得到居民身份证信息,居民身份证验证安全控制装置将居民身份证信息发送至后台服务器。
居民身份证验证安全控制装置在执行读卡流程中进行验证的身份证是真身份证的情况下,居民身份证验证安全控制装置解密读卡装置读取的身份证信息的密文,得到用户居民身份证信息,即居民身份证验证安全控制装置执行读卡流程后返回的结果数据是用户的居民身份证信息,居民身份证验证安全控制装置将该身份证信息发送给后台服务器。进行验证的身份证是假的身份证的情况下,居民身份证验证安全控制装置执行读卡流程后返回的结果数据指示身份证读取失败。
因此,在步骤507中,居民身份证验证安全控制装置执行读卡流程后返回的结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器确认当前请求开户的所述用户的身份证认证失败。
在步骤508中,居民身份证验证安全控制装置执行读卡流程后返回的结果数据为居民身份证中存储的身份证信息的情况下,确定居民身份证验证安全控制装置对用户的身份证验证成功,可以说明居民身份证是公安部颁发的合法居民身份证,可以防止非法分子利用假的身份证进行开户;后台服务器将预先存储的与电子密码设备对应的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,如果两者不匹配,则说明电子密码设备和身份证不属于同一个人,身份认证失败,不能进行远程开户。通过本实施例提供的技术方案,可以防止用户丢失电子密码设备的情况下,非法分子利用用户丢失的电子密码设备与其它的身份证进行开户,或者,可以防止用户身份证丢失的情况下,非法分子利用其它的电子密码设备与用户丢失的电子密码设备进行开户。
本实施例提供的基于远程开户的身份认证方法,通过将后台服务器获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,可以防止用户丢失电子密码设备的情况下,非法分子利用用户丢失的电子密码设备与其它的身份证进行开户,或者,可以防止用户身份证丢失的情况下,非法分子利用其它的电子密码设备与用户丢失的电子密码设备进行开户;同时,通过后台服务器设置居民身份证验证安全控制装置对身份证进行认证,可以防止非法分子制造假的身份证进行开户;同时,通过使用签名的方法传送单次认证数据,一方面可以保证单次认证数据在传输的过程中没有被篡改;另一方面,后台服务器判断单次认证数据已经被用于开户的情况下,拒绝开户请求,也就是说利用单次认证数据可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户;同时,通过将居民身份证验证安全控制装置返回的身份证信息中的用户的面部图像与身份验证请求中包含的用户的面部图像进行对比,即将开户人的面部图像与居民身份证验证安全控制返回的身份证信息中的用户的面部图像进行对比,实现了现场开户时开户方识别人和身份证是否一致的目的,可以防止用户的电子密码设备和身份证同时丢失的情况下,非法分子利用用户丢失的电子密码设备和身份证进行开户。
实施例6
本实施例提供了另一种基于远程开户的身份认证方法,该身份认证方法应用于实施例3中所述的系统实现。
图6为本实施例提供的一种基于远程开户的身份认证方法流程图,如图6所示,该身份认证方法主要包括以下步骤:
步骤601:电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端,其中待签名信息至少包括用户的身份证信息;
与实施例4中不同的是,待签名信息至少包括用户的身份证信息,当然还可包括单次认证数据。用户的身份证信息和单次认证数据与实施例2中的用户的身份证信息相同,具体不再赘述。
其它未尽事宜与实施例4中的相同,在此不再赘述。
以下,以待签名数据为单次认证数据和用户的身份证信息为例,对电子密码设备对待签名信息进行签名的过程进行说明。
电子密码设备可以先将单次认证数据和用户的身份证信息按照预设的格式进行组合,然后通过哈希算法计算组合数据的摘要信息,并利用自身存储的私钥对摘要信息进行加密,电子密码设备将签名数据发送至终端,其中,签名数据至少包含加密的摘要信息,签名数据还可包含电子密码设备的标识信息,电子密码设备的标识信息可以为电子密码设备的数字证书。在本实施例中,以签名数据是加密的摘要信息和电子密码设备的数字证书为例进行说明。
步骤602:终端向后台服务器发送身份验证请求,其中,身份验证请求中携带签名数据;
与实施例4不同的是,身份验证请求中可以不包含用户的身份证信息,身份验证请求中只携带签名数据。
其它未尽事宜与实施例4中的相同,在此不再赘述。
具体的,终端接收到签名数据后,终端将签名数据携带在身份验证请求中发送至后台服务器。
步骤603:后台服务器接收身份验证请求;
步骤604:后台服务器至少获取预先存储的与电子密码设备对应的身份证信息,并对签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败。
与实施例4中不同的是,后台服务器不是利用身份验证请求中携带的用户的身份证信息对签名数据进行验签,而是利用获取的预先存储的与电子密码设备对应的身份证信息对签名数据进行验签。
其它未尽事宜与实施例4中的相同,在此不再赘述。
在具体应用中,后台服务器接收到身份验证请求之后,后台服务器根据电子密码设备的数字证书获取与该数字证书对应的存储的身份证信息;后台服务器利用电子密码设备的公钥对加密的摘要信息进行解密,然后,后台服务器获取的与数字证书对应存储的身份证信息和自身存储的单次认证数据按照预设的格式进行组合,后台服务器通过哈希算法计算该组合数据的摘要信息,后台服务器将公钥解密得到的摘要信息与哈希算法计算得到的摘要信息进行对比,两者相同的情况下,验签通过。通过后台服务器存储的身份证信息对包含用户身份证信息的签名数据进行验签,可以防止非法分子篡改待签名数据,通过对单次认证数据进行验证,可以防重放攻击,防止非法分子截获身份验证请求后再次利用该身份验证请求进行多次开户。
作为本实施例的一种可选实施方案,终端通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示居民身份证验证安全控制装置启动读卡流程;在居民身份证验证安全控制装置执行居民身份证的读卡流程中,后台服务器、所述终端和读卡装置转发居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;后台服务器接收居民身份证验证安全控制装置执行读卡流程后返回的结果数据;在结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,后台服务器确认当前请求开户的用户的身份证认证失败;在结果数据为居民身份证中存储的身份证信息的情况下,后台服务器将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。
需要说明的是,步骤601中对待签名数据进行签名的过程与该可选实施方案中居民身份证验证安全控制装置获取身份证信息的过程的先后顺序本实施例并不做限定。即本实施例中可以先对待签名数据进行签名,然后居民身份证验证安全控制装置再获取身份证信息,也可以是居民身份证验证安全控制装置先获取身份证信息,然后再对待签名数据进行签名。
当然,后台服务器获取预先存储的与电子密码设备对应的身份证信息可以在接收身份验证请求之后,也可在后台服务器接收居民身份证验证安全控制装置返回的结果数据为居民身份证中存储的身份证信息之后,具体的本实施例不做限定。
在具体应用中,读卡装置和居民身份证验证安全控制装置对居民身份证的读取过程与实施例4中的相同,具体不再赘述。
居民身份证验证安全控制装置执行读卡流程后返回的结果数据为指示居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的用户的身份证认证失败。通过读卡装置和居民身份证验证安全控制装置读取居民的身份证信息可以确保用于开户的身份证为真身份证。
居民身份证验证安全控制装置执行读卡流程后返回的结果数据为居民身份证中存储的身份证信息的情况下,将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的用户的身份认证失败,在两者匹配的情况下,且后台服务器对签名数据验签通过的情况下,确认当前请求开户的用户的身份认证成功。后台服务器将获取的身份证信息与居民身份证验证安全控制装置返回的身份证信息进行对比通过后才进行开户,可以保证电子密码设备和身份证属于同一个人,防止电子密码设备或身份证丢失时,非法分子利用该丢失的电子密码设备或身份证其进行开户。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (18)
1.一种基于远程开户的身份认证方法,其特征在于,所述方法包括:
电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端;
所述终端向后台服务器发送身份验证请求,其中,所述身份验证请求中携带所述签名数据及用户的身份证信息,所述用户的身份证信息包括:包含所述用户的居民身份证图像的视图,所述用户的居民身份证图像的视图是对所述身份证进行拍照或录像获得的;
所述后台服务器接收所述身份验证请求,对所述签名数据进行验签;
在验签通过的情况下,所述后台服务器获取预先存储的与所述电子密码设备对应的身份证信息;
所述后台服务器将获取的所述身份证信息与所述身份验证请求中携带的所述身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的所述用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败;
所述终端通过所述后台服务器向居民身份证验证安全控制装置发送读卡请求,指示所述居民身份证验证安全控制装置启动读卡流程;
在所述居民身份证验证安全控制装置执行居民身份证的读卡流程中,所述后台服务器、所述终端和读卡装置转发所述居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;
所述后台服务器接收所述居民身份证验证安全控制装置执行所述读卡流程后返回的结果数据;
在所述结果数据为指示所述居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,所述后台服务器确认当前请求开户的所述用户的身份证认证失败。
2.根据权利要求1所述的方法,其特征在于,
所述待签名信息包括:单次认证数据和/或所述用户的身份证信息。
3.根据权利要求1所述的方法,其特征在于,
所述视图中还包含有所述用户的面部图像;
所述后台服务器将获取的所述身份证信息与所述身份验证请求中携带的所述身份证信息进行对比时,所述方法还包括:所述后台服务器将所述视图中包含的所述用户的面部图像与获取的所述身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
4.根据权利要求1所述的方法,其特征在于,在所述结果数据为所述居民身份证中存储的身份证信息的情况下,所述方法还包括:
所述后台服务器将所述居民身份证验证安全控制装置返回的身份证信息与所述身份验证请求中携带的所述身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败;或
所述后台服务器将所述居民身份证验证安全控制装置返回的身份证信息与所述后台服务器获取的所述身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
5.一种基于远程开户的身份认证方法,其特征在于,包括:
电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端;
所述终端向后台服务器发送身份验证请求,其中,所述身份验证请求中携带所述签名数据;
所述后台服务器接收所述身份验证请求,对所述签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败;
所述终端通过后台服务器向居民身份证验证安全控制装置发送读卡请求,指示所述居民身份证验证安全控制装置启动读卡流程;
在所述居民身份证验证安全控制装置执行居民身份证的所述读卡流程中,所述后台服务器、所述终端和读卡装置转发所述居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;
所述后台服务器接收所述居民身份证验证安全控制装置执行所述读卡流程后返回的结果数据;
在所述结果数据为指示所述居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,所述后台服务器确认当前请求开户的所述用户的身份证认证失败;
在所述结果数据为所述居民身份证中存储的身份证信息的情况下,所述后台服务器获取预先存储的与所述电子密码设备对应的身份证信息,将获取的所述身份证信息与所述居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败,在两者匹配的情况下,且所述后台服务器对所述签名数据验签通过的情况下,确认当前请求开户的所述用户的身份认证成功。
6.根据权利要求5所述的方法,其特征在于,
所述待签名信息包括:单次认证数据。
7.根据权利要求5或6所述的方法,其特征在于,
所述身份验证请求中还携带有包含所述用户的面部图像的视图;
在所述后台服务器接收所述身份验证请求之后,所述方法还包括:所述后台服务器将所述视图中包括的所述面部图像与所述居民身份证验证安全控制装置返回的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
8.根据权利要求7所述的方法,其特征在于,
所述视图中还包含指示单次认证数据的图像;
在所述后台服务器接收所述身份验请求之后,所述方法还包括:所述后台服务器对所述视图中指示单次认证数据的图像进行验证,如果验证不通过,则确认当前请求开户的所述用户的身份认证失败。
9.根据权利要求8所述的方法,其特征在于,所述指示单次认证数据的图像包括:所述电子密码设备根据所述单次认证数据生成并显示图形标识码。
10.一种基于远程开户的身份认证方法,其特征在于,所述方法包括:
电子密码设备对待签名信息进行签名,将签名得到的签名数据发送给终端,其中所述待签名信息至少包括用户的身份证信息,所述用户的身份证信息包括:包含所述用户的居民身份证图像的视图,所述用户的居民身份证图像的视图是对所述身份证进行拍照或录像获得的;
所述终端向后台服务器发送身份验证请求,其中,所述身份验证请求中携带所述签名数据;
所述后台服务器接收所述身份验证请求;
所述后台服务器至少获取预先存储的与所述电子密码设备对应的身份证信息,并对所述签名数据进行验签,在验签不通过的情况下,确认当前请求开户的所述用户的身份认证失败;
所述终端通过所述后台服务器向居民身份证验证安全控制装置发送读卡请求,指示所述居民身份证验证安全控制装置启动读卡流程;
在所述居民身份证验证安全控制装置执行居民身份证的读卡流程中,所述后台服务器、所述终端和读卡装置转发所述居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;
所述后台服务器接收所述居民身份证验证安全控制装置执行所述读卡流程后返回的结果数据;
在所述结果数据为指示所述居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,所述后台服务器确认当前请求开户的所述用户的身份证认证失败;
在所述结果数据为所述居民身份证中存储的身份证信息的情况下,所述后台服务器将获取的所述身份证信息与所述居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败,在两者匹配的情况下,且所述后台服务器对所述签名数据验签通过的情况下,确认当前请求开户的所述用户的身份认证成功。
11.一种基于远程开户的身份认证系统,其特征在于,所述系统包括:电子密码设备、终端、后台服务器、居民身份证验证安全控制装置和读卡装置;其中,
所述电子密码设备,用于对待签名信息进行签名,将签名得到的签名数据发送给所述终端;
所述终端,用于向所述后台服务器发送身份验证请求,其中,所述身份验证请求中携带所述签名数据及用户的身份证信息,所述用户的身份证信息包括:包含所述用户的居民身份证图像的视图,所述用户的居民身份证图像的视图是对所述身份证进行拍照或录像获得的;
所述后台服务器,用于接收所述身份验证请求,对所述签名数据进行验签,在验签通过的情况下,获取预先存储的与所述电子密码设备对应的身份证信息,以及将获取的所述身份证信息与所述身份验证请求中携带的所述身份证信息进行对比,在两者匹配的情况下,确认当前请求开户的所述用户的身份认证成功,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败;
所述终端还用于通过所述后台服务器向居民身份证验证安全控制装置发送读卡请求,指示所述居民身份证验证安全控制装置启动读卡流程;
所述居民身份证验证安全控制装置,用于根据接收到的读卡请求,执行居民身份证的读卡流程;
所述后台服务器、所述终端和所述读卡装置还用于在所述居民身份证验证安全控制装置执行居民身份证的读卡流程中,转发所述居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;
所述后台服务器还用于接收所述居民身份证验证安全控制装置执行所述读卡流程后返回的结果数据,以及在所述结果数据为指示所述居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的所述用户的身份证认证失败。
12.根据权利要求11所述的系统,其特征在于,
所述后台服务器还用于将视图中包含的用户的面部图像与获取的所述身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
13.根据权利要求11所述的系统,其特征在于,所述后台服务器还用于在所述结果数据为所述居民身份证中存储的身份证信息的情况下,将所述居民身份证验证安全控制装置返回的身份证信息与所述身份验证请求中携带的所述身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败;或者
所述后台服务器还用于将所述居民身份证验证安全控制装置返回的身份证信息与所述获取的所述身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
14.一种基于远程开户的身份认证系统,其特征在于,所述系统包括:电子密码设备、终端、后台服务器、读卡装置和居民身份证验证安全控制装置;
所述电子密码设备,用于对待签名信息进行签名,将签名得到的签名数据发送给所述终端;
所述终端,用于向所述后台服务器发送身份验证请求,其中,所述身份验证请求中携带所述签名数据;
所述后台服务器,用于接收所述身份验证请求,对所述签名数据进行验签,在验签不通过的情况下,确认当前请求开户的用户的身份认证失败;
所述终端还用于通过后台服务器向所述居民身份证验证安全控制装置发送读卡请求,指示所述居民身份证验证安全控制装置启动读卡流程;
所述居民身份证验证安全控制装置,用于根据接收到的读卡请求,执行居民身份证的读卡流程;
所述后台服务器、所述终端和所述读卡装置还用于在所述居民身份证验证安全控制装置执行居民身份证的读卡流程中,转发所述居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;
所述后台服务器还用于接收所述居民身份证验证安全控制装置执行所述读卡流程后返回的结果数据;在所述结果数据为指示所述居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的所述用户的身份证认证失败;以及在所述结果数据为所述居民身份证中存储的身份证信息的情况下,获取预先存储的与所述电子密码设备对应的身份证信息,将获取的所述身份证信息与所述居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败,在两者匹配的情况下,且所述后台服务器对所述签名数据验签通过的情况下,确认当前请求开户的所述用户的身份认证成功。
15.根据权利要求14所述的系统,其特征在于,
所述身份验证请求中还携带有包含所述用户的面部图像的视图;
所述后台服务器还用于在接收所述身份验证请求之后,将所述视图中包括的所述面部图像与所述居民身份证验证安全控制装置返回的身份证信息中的用户的面部图像进行比对,判断两者是否匹配,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败。
16.根据权利要求15所述的系统,其特征在于,
所述视图中还包含指示单次认证数据的图像;
所述后台服务器还用于在接收所述身份验证请求之后,对所述视图中指示所述后台服务器返回的单次认证数据的图像进行验证,如果验证不通过,则确认当前请求开户的所述用户的身份认证失败。
17.根据权利要求16所述的系统,其特征在于,所述电子密码设备还用于根据单次认证数据生成并显示的图形标识码。
18.一种基于远程开户的身份认证系统,其特征在于,所述系统包括:电子密码设备、终端,后台服务器,读卡装置和居民身份证验证安全控制装置;
所述电子密码设备,用于对待签名信息进行签名,将签名得到的签名数据发送给所述终端,其中所述待签名信息至少包括用户的身份证信息,所述用户的身份证信息包括:包含所述用户的居民身份证图像的视图,所述用户的居民身份证图像的视图是对所述身份证进行拍照或录像获得的;
所述终端,用于向所述后台服务器发送身份验证请求,其中,所述身份验证请求中携带所述签名数据;
所述后台服务器,用于接收所述身份验证请求,还用于至少获取预先存储的与所述电子密码设备对应的身份证信息,并对所述签名数据进行验签,在验签不通过的情况下,确认当前请求开户的所述用户的身份认证失败;
所述终端还用于通过所述后台服务器向所述居民身份证验证安全控制装置发送读卡请求,指示所述居民身份证验证安全控制装置启动读卡流程;
所述居民身份证验证安全控制装置,用于根据接收到的读卡请求,执行居民身份证的读卡流程;
所述后台服务器、所述终端和所述读卡装置还用于在所述居民身份证验证安全控制装置执行居民身份证的读卡流程中,转发所述居民身份证验证安全控制装置与用户的居民身份证之间的交互数据;
所述后台服务器还用于接收所述居民身份证验证安全控制装置执行所述读卡流程后返回的结果数据;在所述结果数据为指示所述居民身份证验证安全控制装置对居民身份证读取失败的指示信息情况下,确认当前请求开户的所述用户的身份证认证失败;以及在所述结果数据为所述居民身份证中存储的身份证信息的情况下,将获取的所述身份证信息与所述居民身份证验证安全控制装置返回的身份证信息进行对比,在两者不匹配的情况下,确认当前请求开户的所述用户的身份认证失败,在两者匹配的情况下,且所述后台服务器对所述签名数据验签通过的情况下,确认当前请求开户的所述用户的身份认证成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510564862.1A CN105245340B (zh) | 2015-09-07 | 2015-09-07 | 一种基于远程开户的身份认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510564862.1A CN105245340B (zh) | 2015-09-07 | 2015-09-07 | 一种基于远程开户的身份认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105245340A CN105245340A (zh) | 2016-01-13 |
| CN105245340B true CN105245340B (zh) | 2019-03-29 |
Family
ID=55042852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510564862.1A Active CN105245340B (zh) | 2015-09-07 | 2015-09-07 | 一种基于远程开户的身份认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105245340B (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245341B (zh) | 2015-09-07 | 2018-11-30 | 天地融科技股份有限公司 | 远程身份认证方法和系统以及远程开户方法和系统 |
| CN105141615A (zh) * | 2015-09-07 | 2015-12-09 | 天地融科技股份有限公司 | 一种远程开户方法和系统及其身份验证方法和系统 |
| CN106982190A (zh) * | 2016-01-18 | 2017-07-25 | 卓望数码技术(深圳)有限公司 | 一种电子签名方法和系统 |
| CN106027251B (zh) * | 2016-01-21 | 2019-06-28 | 李明 | 一种身份证读卡终端与云认证平台数据传输方法和系统 |
| CN105654065A (zh) * | 2016-02-01 | 2016-06-08 | 深圳市富途网络科技有限公司 | 用于身份验证的数字化系统及其方法 |
| CN105681316B (zh) * | 2016-02-02 | 2019-12-17 | 腾讯科技(深圳)有限公司 | 身份验证方法和装置 |
| CN105939196B (zh) * | 2016-03-15 | 2019-02-12 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN105933280B (zh) * | 2016-03-15 | 2019-01-08 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN105635183B (zh) * | 2016-03-16 | 2019-12-13 | 芜湖网尚资讯有限公司 | 具备监督功能的社交平台实现装置、方法及系统 |
| CN112468506B (zh) * | 2016-03-23 | 2023-08-01 | 创新先进技术有限公司 | 获取、下发电子证件的实现方法和装置 |
| TWI644279B (zh) * | 2016-09-02 | 2018-12-11 | 台新綜合證券股份有限公司 | 用於促成線上證券戶開立之方法及系統 |
| CN108234125B (zh) * | 2016-12-21 | 2020-12-18 | 金联汇通信息技术有限公司 | 用于身份认证的系统和方法 |
| IT201700036968A1 (it) * | 2017-04-04 | 2018-10-04 | Inventia S R L | Metodo e sistema di verifica online dell’identità di un soggetto |
| GB2563925B (en) * | 2017-06-30 | 2022-02-09 | Cryptomathic Ltd | System and method |
| CN107426393B (zh) * | 2017-07-13 | 2019-08-02 | Oppo广东移动通信有限公司 | 解锁控制方法及相关产品 |
| CN107492191B (zh) * | 2017-08-17 | 2020-06-09 | 深圳怡化电脑股份有限公司 | 金融设备的安全认证方法、装置、金融设备和存储介质 |
| CN109495267B (zh) * | 2017-09-12 | 2021-06-11 | 北京九州安华信息安全技术有限公司 | 一种身份证安全验证系统 |
| CN107566397A (zh) * | 2017-09-28 | 2018-01-09 | 深圳市汉普电子技术开发有限公司 | 视频会议信息传输方法、终端设备、服务器及存储介质 |
| CN108109242B (zh) * | 2017-12-21 | 2020-08-14 | 广东汇泰龙科技股份有限公司 | 一种基于指纹开锁的硬件加密方法、系统、智能云锁 |
| CN109960989A (zh) * | 2017-12-26 | 2019-07-02 | 中国移动通信集团四川有限公司 | 防篡改的身份证采集认证方法、系统、设备及存储介质 |
| CN108288162A (zh) * | 2018-01-15 | 2018-07-17 | 安趣盈(上海)投资咨询有限公司 | 一种安全验证系统和方法 |
| CN108270789B (zh) * | 2018-01-24 | 2020-05-22 | 平安科技(深圳)有限公司 | 网银开通方法、设备、系统及计算机可读存储介质 |
| CN110198289B (zh) * | 2018-02-27 | 2023-03-24 | 国民技术股份有限公司 | 终端、云服务器、验证设备、身份验证方法及系统 |
| CN109508993A (zh) * | 2018-10-16 | 2019-03-22 | 珠海横琴现联盛科技发展有限公司 | 基于防篡改加密算法的个人身份信息匹配方法 |
| CN109598603B (zh) * | 2018-10-26 | 2023-07-25 | 创新先进技术有限公司 | 一种开户任务处理方法及开户服务系统 |
| CN111222108B (zh) * | 2018-11-27 | 2022-07-12 | 天地融科技股份有限公司 | 一种云身份证的实现方法及系统 |
| CN110380864B (zh) * | 2019-07-05 | 2021-10-01 | 创新先进技术有限公司 | 人脸数据采集、验证的方法、设备及系统 |
| CN111740846B (zh) * | 2020-08-04 | 2020-11-24 | 飞天诚信科技股份有限公司 | 一种移动终端读取智能卡信息的实现方法及系统 |
| US20220085984A1 (en) * | 2020-09-14 | 2022-03-17 | Amir Keyvan Khandani | Methods and apparatus for randomized encryption, with an associated randomized decryption |
| CN114785845B (zh) * | 2022-04-13 | 2023-08-29 | 浙江大华技术股份有限公司 | 会话的建立方法、装置、存储介质及电子装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504321A (zh) * | 2015-01-05 | 2015-04-08 | 湖北微模式科技发展有限公司 | 一种基于摄像头实现远程用户身份验证的方法与系统 |
| CN104639542A (zh) * | 2015-01-27 | 2015-05-20 | 李明 | 身份证信息获取方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5561063B2 (ja) * | 2010-09-24 | 2014-07-30 | 株式会社デンソーウェーブ | Icカードの認証システム及びicカードの認証方法 |
| CN103559485A (zh) * | 2013-11-08 | 2014-02-05 | 广州广电运通金融电子股份有限公司 | 一种基于远程银行vtm的身份认证方法及装置 |
| CN103686729B (zh) * | 2013-12-05 | 2016-12-07 | 何文秀 | 一种用身份证进行自助注册的手机银行认证方法及系统 |
| CN104639540A (zh) * | 2015-01-27 | 2015-05-20 | 李明 | 身份证信息获取方法、装置及系统 |
-
2015
- 2015-09-07 CN CN201510564862.1A patent/CN105245340B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504321A (zh) * | 2015-01-05 | 2015-04-08 | 湖北微模式科技发展有限公司 | 一种基于摄像头实现远程用户身份验证的方法与系统 |
| CN104639542A (zh) * | 2015-01-27 | 2015-05-20 | 李明 | 身份证信息获取方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105245340A (zh) | 2016-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105245340B (zh) | 一种基于远程开户的身份认证方法和系统 | |
| CN105245341B (zh) | 远程身份认证方法和系统以及远程开户方法和系统 | |
| CN108055235B (zh) | 一种智能锁的控制方法、相关设备及系统 | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN101340436B (zh) | 基于便携式存储设备实现远程访问控制的方法及装置 | |
| CN108551455B (zh) | 智能卡的配置方法及装置 | |
| CN105933280B (zh) | 身份认证方法和系统 | |
| KR101666374B1 (ko) | 사용자 인증서 발급과 사용자 인증을 위한 방법, 장치 및 컴퓨터 프로그램 | |
| CN103440444B (zh) | 电子合同的签订方法 | |
| CN105939196B (zh) | 身份认证方法和系统 | |
| KR100682263B1 (ko) | 모바일을 이용한 원격 권한인증 시스템 및 방법 | |
| CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
| CN106789024B (zh) | 一种远程解锁方法、装置和系统 | |
| WO2007027290A2 (en) | Method and apparatus for user authentication | |
| CN109949461B (zh) | 开锁方法及装置 | |
| CN103201998A (zh) | 用于保护移动装置中的本地资源的数据处理 | |
| CN108769007A (zh) | 网关安全认证方法、服务器及网关 | |
| CN108366063A (zh) | 智能设备的数据通信方法、装置及其设备 | |
| CN104618114B (zh) | 身份证信息获取方法、装置及系统 | |
| CN106056419A (zh) | 利用电子签名设备实现独立交易的方法、系统和设备 | |
| CN108401494B (zh) | 一种传输数据的方法及系统 | |
| CN106022081A (zh) | 一种身份证读卡终端的读卡方法、身份证读卡终端和系统 | |
| CN112184952A (zh) | 智能锁控制系统、方法以及存储介质 | |
| CN107911211B (zh) | 基于量子通信网络的二维码认证系统 | |
| KR20210006329A (ko) | 원격 생체 식별 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |