CN105591744B - 一种网络实名认证方法及系统 - Google Patents
一种网络实名认证方法及系统 Download PDFInfo
- Publication number
- CN105591744B CN105591744B CN201410575763.9A CN201410575763A CN105591744B CN 105591744 B CN105591744 B CN 105591744B CN 201410575763 A CN201410575763 A CN 201410575763A CN 105591744 B CN105591744 B CN 105591744B
- Authority
- CN
- China
- Prior art keywords
- real
- user
- name authentication
- name
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
一种网络实名认证方法及系统。该方法包括以下步骤:(a)用户获取电子签名装置,其内存储有数字证书和私钥,数字证书由一CA机构授予;(b)用户访问业务系统,填写身份信息,并发送实名认证请求消息至实名认证网关;(c)实名认证网关驱动电子签名装置在终端上利用私钥进行签名,并通过终端将签名及数字证书上传至实名认证网关;(d)实名认证网关连接至CA机构进行身份验证,并返回验证结果;(e)实名认证网关连接至公安人口库进行身份核查,并返回核查结果;(f)实名认证网关接收验证结果和核查结果,并合成为认证结果发送给业务系统;(g)业务系统对认证结果进行处理,并产生处理结果,以根据处理结果确定进一步的业务操作。
Description
技术领域
本发明是有关于一种网络实名认证方法及系统。
背景技术
随着互联网在各行业的渗透和不断深入,需要实现网络实名制的场景越来越多,如微博实名、手机SIM卡实名制、远程医疗挂号、电子病例查询、银行证券等行业的电子账户开设等。受监管政策等影响,这些都需要对用户进行实名认证后才能进行操作。
而目前对于网络实名认证还没有很好的方案,市场上可见的方案主要包括身份信息查验、上传身份证电子版(扫描件或照片)、或进行远程人脸识别等。然而,上述这些方案都存在一定的问题。
身份信息查验方案
身份信息查验是指用户在网上填写自己的身份信息,业务服务器将用户身份信息提交到身份查验机构(如国证通)进行验证,验证通过即认为完成实名认证,其基本流程如下:
1)用户访问业务服务器,填写自己的身份信息(如姓名和身份证号),请求实名认证;
2)业务服务器将用户的身份信息提交给身份查验机构;
3)身份查验机构将收到的信息与公安人口库中的身份信息进行比对,若二者一致,则返回验证通过,若不一致,则返回不通过;
4)业务服务器根据身份查验机构返回的结果来判断完成实名认证。
上述身份信息查验方案的主要问题是:安全性极低。
身份信息查验只能保证身份信息的准确性,并不能保证当前操作者就是拥有这个身份的本人。因为不论是通过网上搜索引擎查询,还是其他渠道,都可以获得大量真实的身份信息(包括姓名和身份证号码),只要随便填写一个,就可冒充此人通过认证,故身份查验机制安全性很低,基本无法单独使用完成实名认证。
上传身份证电子版方案
比身份查验更进一步的方法是让用户提交身份证电子版,即不仅需要用户填写自己的身份信息,还需上传自己的身份证电子版(扫描件或照片),由业务服务器收到身份证电子版后,将:
1)提取身份证电子版中的身份信息;
2)将身份信息提交到身份查验机构进行验证;
3)根据身份查验机构的反馈来判断用户是否通过实名验证。
上述上传身份证电子版方案的主要问题是:安全性依然很低,且容易造成用户隐私大量泄漏。
1)在网络上依然能够搜到大量的身份证图片;
2)有些很多现成的合成工具,可在输入身份信息后,合成一张带有该身份信息的身份证图片,使得后台从图片中获得信息完全没有意义;
3)各业务系统中存储的已认证用户的身份证图片,若保管不善将造成用户隐私泄漏,且若真发生泄漏,使得非法上传身份证图片更加容易。
远程人脸识别方案
为了进一步增强实名认证的安全性,有人提出在远程认证过程中增加人脸识别功能,即除了上传身份信息,还要求用户打开自己终端上的摄像头,对用户进行照相:
1)要求用户打开摄像头,并要求用户将自己的面孔对准摄像头;
2)客户端程序驱动摄像头,对用户进行照相,并将照片传至业务服务器;
3)业务服务器从公安人口库中调出当前用户的照片(身份证中的照片);
4)业务服务器将从用户处获得的照片与公安人口库中的照片进行人脸特征比对,若比对通过则认为实名认证通过。
上述远程人脸识别方案的主要问题是:不具可实施性,且安全性依然很弱。
1)出于用户隐私保护考虑,公安人口库不会将用户的证件头像照片返回给业务系统,所以业务系统本身无法实现人脸比对,且公安自身也没有人脸比对的查询服务;
2)安全性依然很弱,主要体现在:
a)无法抵御重放攻击,用户的人脸照片被采集后,若在客户端或传输过程中被窃听,攻击者可利用照片冒充用户登录;
b)无法抵御钓鱼攻击,即攻击者做一个假网站或其他内容网站,引导用户在这些网站上留下自己的头像照片,而攻击者再这些用户来完成认证则是件很容易的事;
c)攻击者也可在客户侧直接出示被攻击者的照片,也可冒出用户,当前各种社交网络盛行,如微博、微信、人人网等,还有一些存储个人信息的云计算平台,如iCloud,其中都存储了大量个人照片,找到一张目标用户的照片并不是难事。
上述这些实名认证方法,基本都是基于身份证件比对或人脸识别的,其受到可实施性、安全性方面的制约,很难使用。因此,迫切需要一种安全性高、可实施性强、最大限度保护用户隐私的网络实名认证方法及系统。
发明内容
本发明的目的在于提供一种网路实名认证方法及系统,解决了当前实名认证方法安全性弱、容易泄漏个人隐私、且可实施性不强的问题。
为了实现上述目的,本发明提供了一种网络实名认证方法,其特点在于,包括以下步骤:
(a)用户获取一电子签名装置,其内存储有一数字证书和一私钥,该数字证书由一CA机构授予;
(b)用户访问一业务系统,填写身份信息,并通过该业务系统发送一实名认证请求消息至一实名认证网关;
(c)该实名认证网关驱动该电子签名装置在一终端上利用该私钥进行签名,并通过该终端将该签名及该数字证书上传至该实名认证网关;
(d)该实名认证网关连接至该CA机构进行身份验证,并返回一验证结果;
(e)该实名认证网关连接至一公安人口库进行身份核查,并返回一核查结果;
(f)该实名认证网关接收该验证结果和该核查结果,并合成为一认证结果发送给该业务系统;
(g)该业务系统对该认证结果进行处理,并产生一处理结果,以根据该处理结果确定进一步的业务操作。
在本发明的一实施例中,在步骤(b)中,用户是通过一计算机终端访问该业务系统,并是在一浏览器页面中填写该身份信息,且该实名认证请求消息至少包括:一Hash值、一身份密文、一流水号、一应用ID以及一回调地址。
在本发明的一实施例中,在步骤(c)中,用户是在该实名认证网关的页面上在选择该电子签名装置的颁发机构,该实名认证网关的页面根据用户的选择调用相应的签名控件,驱动该电子签名装置在该计算机终端上利用该私钥对该Hash值进行签名,完成后将该签名及该数字证书上传至该实名认证网关。
在本发明的一实施例中,在步骤(b)中,用户是通过一移动终端上安装的一业务应用访问该业务系统,其包括:
(b21)用户打开该移动终端的该业务应用访问该业务系统,并填写身份信息,请求实名验证,该业务系统提示用户用一计算机终端访问该实名认证网关,并进入到扫码状态;
(b22)用户根据提示通过该计算机终端访问该实名认证网关;
(b23)该实名认证网关生成一个挑战值,并将其用二维码编码,新建一个浏览会话,将二维码显示在网页上;
(b24)用户通过该移动终端扫描该二维码,该业务应用解析该二维码,获得该挑战值;
(b25)该业务应用将该二维码及该身份信息发送到该业务系统;
(b26)该业务系统发送实名认证请求消息到该实名认证网关,该实名认证请求消息中至少包含该挑战值、一Hash值、一身份密文、一流水号以及一回调地址。
在本发明的一实施例中,步骤(c)包括:
(c21)该实名认证网关收到该实名认证请求后,根据该挑战值检索到对应的浏览会话,使其跳转到签名网页;
(c22)用户在该网页上选择该电子签名装置的颁发机构;
(c23)该实名认证网关的页面根据用户的选择调用相应的签名控件,驱动该电子签名装置在该计算机终端上利用该私钥对该Hash值进行签名,完成后通过该计算机终端将该签名及该数字证书上传至该实名认证网关。
在本发明的一实施例中,步骤(d)包括:
(d11)该实名认证网关将该Hash值、该签名和该数字证书发送给该CA机构;
(d12)该CA机构根据该数字证书检索出其授予该数字证书时所保存的该用户的身份信息,并对该身份信息进行同样的Hash运算,然后将运算结果与该Hash值进行比较,若二者一致,则认为当前访问者所填写的身份信息即为该数字证书的申请者的身份信息;
(d13)该CA机构验证签名的正确性,若通过验证,则证明当前访问者即为该数字证书的申请者;
(d14)上述验证完成后,该CA机构返回验证结果。
在本发明的一实施例中,步骤(e)包括:
(e11)该实名认证网关将该Hash值、该身份密文发送到该公安人口库;
(e12)该公安人口库用其私钥解密该身份密文,得到该用户的身份信息,并对该身份信息进行Hash运算,然后将运算结果与该Hash值进行比较,确保该身份密文中的身份信息与该用户的真实身份信息的一致性;
(e13)该公安人口库核查其数据库中对应该用户的身份,确保该身份处于有效状态;
(e4)上述核查完成后,该公安人口库返回核查结果。
在本发明的一实施例中,在步骤(f)中,该实名认证网关是将该认证结果和该流水号一并发送给该业务系统,其中发送地址是该应用ID所对应的地址,同时引导用户根据该回调地址跳回原页面。
在本发明的一实施例中,该电子签名装置为由一银行系统颁发的一UKey。
为了实现上述目的,本发明另提供了一种网络实名认证系统,其特点在于,包括一电子签名装置、一用户终端、一业务系统、一实名认证网关、一CA机构以及一公安人口库,该实名认证网关分别与该用户终端、该业务系统、该CA机构以及该公安人口库连接,该用户终端还分别与该电子签名装置及该业务系统连接,其中:
该电子签名装置,用于供用户进行签名,其内存储有一数字证书和一私钥,其中该数字证书由该CA机构授予;
该用户终端,用于供用户访问该业务系统,填写身份信息;并用于供该电子签名装置进行签名,以及将该签名及该数字证书上传至该实名认证网关;
该业务系统,用于供用户进行业务操作,并接收用户所填写的身份信息,发送一实名认证请求消息至该实名认证网关;以及用于对该实名认证网关所发送的一认证结果进行处理,并产生一处理结果,以根据该处理结果确定进一步的业务操作;
该实名认证网关,用于接收该实名认证请求消息,并驱动该电子签名装置在该用户终端上利用该私钥进行签名,并接收由该用户终端上传的该签名及该数字证书,分别向该CA机构进行身份验证和向该公安人口库进行身份核查,并接收该CA机构返回的一验证结果和接收该公安人口库返回的一核查结果,并将该验证结果和该核查结果合成为一认证结果发送给该业务系统;
该CA机构,用于进行身份验证,并返回一验证结果给该实名认证网关;
该公安人口库,用于进行身份核查,并返回一核查结果给该实名认证网关。
在本发明的另一实施例中,该用户终端为一计算机终端。
在本发明的另一实施例中,该实名认证请求消息至少包括:一Hash值、一身份密文、一流水号、一应用ID以及一回调地址。
在本发明的另一实施例中,该用户终端包括一移动终端以及一计算机终端,其中,
该移动终端上安装有一业务应用,用于供用户通过该业务应用访问该业务系统,填写身份信息;
该计算机终端,用于访问该实名认证网关,供该电子签名装置进行签名,以及将该签名及该数字证书上传至该实名认证网关。
在本发明的另一实施例中,该实名认证请求消息至少包括:一挑战值、一Hash值、一身份密文、一流水号以及一回调地址。
在本发明的另一实施例中,该电子签名装置为由一银行系统颁发的一UKey。
本发明主要是利用已经存在的基础实施来完成网络实名认证,这些基础设施包括:(1)电子签名装置,例如通过银行系统颁发给用户的UKey;(2)受信任的第三方CA机构,例如银行系统所信任的CA机构,其中保存了Ukey中的数字证书与用户实名的对应关系;(3)公安人口库,已经对外提供身份查验服务。
本发明通过建立一个实名认证网关,并连接电子签名装置、CA机构及公安人口库,即可由实名认证网关对接业务系统来完成网络实名认证。本发明基于用户的电子签名装置,例如UKey,结合CA机构的身份查验服务和公安人口库的身份查验服务,即可实现方便、安全、不泄漏个人隐私、可实施性强的网络实名认证。
附图说明
为让本发明的上述和其他目的、特征、优点与实施例能更明显易懂,所附附图的详细说明如下:
图1绘示根据本发明的一种网络实名认证系统的结构示意图;
图2绘示根据本发明的一种网络实名认证方法的示意图;
图3绘示本发明在PC终端应用环境下的网络实名认证方法的流程示意图;
图4绘示本发明在智能手机应用环境下的网络实名认证方法的流程示意图。
具体实施方式
为了使本发明的叙述更加详尽与完备,下文将参照附随附图来描述本发明的实施方式与具体实施例;但这并非实施或运用本发明具体实施例的唯一形式。以下所揭露的各实施例,在有益的情形下可相互组合或取代,也可在一实施例中附加其他的实施例,而无须进一步的记载或说明。
本发明主要是利用已经存在的基础实施结合一个实名认证网关来完成网络实名认证。这些基础设施包括:
(1)电子签名装置,例如通过银行颁发给用户的UKey。目前,在我国,各银行为了保护其网路银行的安全,为用户发放了大量的电子签名装置,例如UKey,约有5亿只。这些UKey是通过银行的网点发放的,发放过程中都要对用户的真实身份做严格审核,审核通过后才将UKey颁发给用户。UKey内都会有一张数字证书及私钥,数字证书与用户的真实身份在银行系统内绑定。用户在做交易时,需要用UKey内的私钥对交易内容进行电子签名,银行的网银系统则利用数字证书对签名进行验证,验证通过才认可交易的合法性。因此,UKey是保护个人账户安全的硬件密码工具,其安全性很高,故UKey与持有者(用户)的身份具有强绑定关系,本发明即是利用这种绑定关系来实现网络实名认证。
(2)受信任的第三方CA机构,例如银行系统所信任的CA机构,其中保存了Ukey中的数字证书与用户实名的对应关系。
(3)公安人口库,已经对外提供身份查验服务。
如图1所示,其示出了本发明的一种网络实名认证系统,其主要包括一电子签名装置、一用户终端、一业务系统、一实名认证网关、一CA机构以及一公安人口库,该实名认证网关分别与该用户终端、该业务系统、该CA机构以及该公安人口库连接,该用户终端还分别与该电子签名装置及该业务系统连接。其中,该电子签名装置例如可为银行系统颁发的一Ukey。本发明通过建立一个实名认证网关,并连接电子签名装置(例如Ukey)、CA机构及公安人口库,即可借由实名认证网关对接业务系统及利用现有的基础设施和服务内容来完成网络实名认证。其中,上述各装置的具体功能详见后文。
如图2所示,其是本发明的一种网络实名认证方法的流程图。本发明的网络实名认证方法主要包括以下步骤:
(a)用户获取一电子签名装置,其内存储有一数字证书和一私钥,该数字证书由一CA机构授予;
(b)用户访问一业务系统,填写身份信息,并通过该业务系统发送一实名认证请求消息至一实名认证网关;
(c)该实名认证网关驱动该电子签名装置在一终端上利用该私钥进行签名,并通过该终端将该签名及该数字证书上传至该实名认证网关;
(d)该实名认证网关连接至该CA机构进行身份验证,并返回一验证结果;
(e)该实名认证网关连接至一公安人口库进行身份核查,并返回一核查结果;
(f)该实名认证网关接收该验证结果和该核查结果,并合成为一认证结果发送给该业务系统;
(g)该业务系统对该认证结果进行处理,并产生一处理结果,以根据该处理结果确定进一步的业务操作。
在本发明的一实施例中,该用户终端可包括一计算机终端,例如一PC终端,其中用户是在计算机终端的应用环境下实现网络实名认证。其中,在此实施例中,在上述步骤(b)中,用户是通过一计算机终端访问该业务系统,并是在一浏览器页面中填写该身份信息,且该实名认证请求消息至少包括:一Hash值、一身份密文、一流水号、一应用ID以及一回调地址。而在步骤(c)中,用户是在该实名认证网关的页面上在选择该电子签名装置的颁发机构,该实名认证网关的页面根据用户的选择调用相应的签名控件,驱动该电子签名装置在该计算机终端上利用该私钥对该Hash值进行签名,完成后将该签名及该数字证书上传至该实名认证网关。
在本发明的另一实施例中,该用户终端可包括一计算机终端和一移动终端,例如一PC终端和一智能手机,且该移动终端上安装有一业务应用,其中用户是在移动终端的应用环境下实现网络实名认证。
其中,在此实施例中,在上述步骤(b)中,用户是通过一移动终端上安装的一业务应用访问该业务系统,其包括:
(b21)用户打开该移动终端的该业务应用访问该业务系统,并填写身份信息,请求实名验证,该业务系统提示用户用一计算机终端访问该实名认证网关,并进入到扫码状态;
(b22)用户根据提示通过该计算机终端访问该实名认证网关;
(b23)该实名认证网关生成一个挑战值,并将其用二维码编码,新建一个浏览会话,将二维码显示在网页上;
(b24)用户通过该移动终端扫描该二维码,该业务应用解析该二维码,获得该挑战值;
(b25)该业务应用将该二维码及该身份信息发送到该业务系统;
(b26)该业务系统发送实名认证请求消息到该实名认证网关,该实名认证请求消息中至少包含该挑战值、一Hash值、一身份密文、一流水号以及一回调地址。
而在此实施例中,上述步骤(c)包括:
(c21)该实名认证网关收到该实名认证请求后,根据该挑战值检索到对应的浏览会话,使其跳转到签名网页;
(c22)用户在该网页上选择该电子签名装置的颁发机构;
(c23)该实名认证网关的页面根据用户的选择调用相应的签名控件,驱动该电子签名装置在该计算机终端上利用该私钥对该Hash值进行签名,完成后通过该计算机终端将该签名及该数字证书上传至该实名认证网关。
在本发明中,上述步骤(d)包括:
(d11)该实名认证网关将该Hash值、该签名和该数字证书发送给该CA机构;
(d12)该CA机构根据该数字证书检索出其授予该数字证书时所保存的该用户的身份信息,并对该身份信息进行同样的Hash运算,然后将运算结果与该Hash值进行比较,若二者一致,则认为当前访问者所填写的身份信息即为该数字证书的申请者的身份信息;
(d13)该CA机构验证签名的正确性,若通过验证,则证明当前访问者即为该数字证书的申请者;
(d14)上述验证完成后,该CA机构返回验证结果。
在本发明中,上述步骤(e)包括:
(e11)该实名认证网关将该Hash值、该身份密文发送到该公安人口库;
(e12)该公安人口库用其私钥解密该身份密文,得到该用户的身份信息,并对该身份信息进行Hash运算,然后将运算结果与该Hash值进行比较,确保该身份密文中的身份信息与该用户的真实身份信息的一致性;
(e13)该公安人口库核查其数据库中对应该用户的身份,确保该身份处于有效状态;
(e4)上述核查完成后,该公安人口库返回核查结果。
在本发明中,在步骤(f)中,该实名认证网关是将该认证结果和该流水号一并发送给该业务系统,其中发送地址是该应用ID所对应的地址,同时引导用户根据该回调地址跳回原页面。
因此,在本发明中,该网络实名认证系统中各部件的主要功能如下:
该电子签名装置,用于供用户进行签名,其内存储有一数字证书和一私钥,其中该数字证书由该CA机构授予。
该用户终端,用于供用户访问该业务系统,填写身份信息;并用于供该电子签名装置进行签名,以及将该签名及该数字证书上传至该实名认证网关。
该业务系统,用于供用户进行业务操作,并接收用户所填写的身份信息,发送一实名认证请求消息至该实名认证网关;以及用于对该实名认证网关所发送的一认证结果进行处理,并产生一处理结果,以根据该处理结果确定进一步的业务操作。
该实名认证网关,用于接收该实名认证请求消息,并驱动该电子签名装置在该用户终端上利用该私钥进行签名,并接收由该用户终端上传的该签名及该数字证书,分别向该CA机构进行身份验证和向该公安人口库进行身份核查,并接收该CA机构返回的一验证结果和接收该公安人口库返回的一核查结果,并将该验证结果和该核查结果合成为一认证结果发送给该业务系统。
该CA机构,用于进行身份验证,并返回一验证结果给该实名认证网关。
该公安人口库,用于进行身份核查,并返回一核查结果给该实名认证网关。
下面将结合图3、图4,分别以PC终端和智能手机两种不同应用环境为例,详细说明本发明实现网络实名认证的方法。
如图3所示,其示出了在PC终端应用环境下使用Ukey实现网络实名认证的方法,其流程描述如下:
1.用户在PC终端上通过浏览器访问业务系统,填写身份信息,如姓名、身份证号,请求实名验证;
2.业务系统引导用户跳转至实名认证网关,并发送一实名认证请求消息至该实名认证网关,其中,该业务系统是通过URL携带如下信息:Hash值(身份信息)、身份密文、流水号、应用ID以及回调地址;(身份信息的加密可采用公安人口库的公钥证书,或其他商定的加密方式)
3.用户在实名认证网关的页面上在选择自己Ukey的颁发银行;
4.实名认证网关的页面根据用户的选择调用相应签名控件,驱动Ukey对Hash值进行签名,完成后将签名及数字证书上传至实名认证网关;
5.实名认证网关后台进行实名认证:
a)首先到UKey内证书所对应的CA机构查验身份的绑定关系,将Hash值、签名和证书发送给CA机构,CA机构将:
i)根据证书检索出自己保存的用户身份信息,并对该身份信息进行同样的Hash运算,然后将运算结果与请求中的Hash值进行比较,若二者一致,则可认为当前访问者所填写的身份信息就是证书申请者的身份信息;
ii)验证签名的正确性,若通过验证,则证明当前访问者就是证书申请者。
上述验证完成后,CA机构返回验证结果。
b)然后到公安人口库核查当前身份的有效性,将身份Hash值及身份密文发送到公安人口库,公安人口库将:
i)用自己的私钥解密身份密文,得到用户的身份信息,并对身份信息进行Hash运算,然后将结果与请求中的Hash值进行比较,确保密文中身份信息与用户真实身份信息的一致性;
ii)核查公安人口库中的对应身份,确保该身份处于有效状态,未发生移民、死亡等现象;
完成上述核查后,公安人口库返回核查结果。
6.实名认证网关接收CA机构返回的验证结果和公安人口库返回的核查结果,并合成为统一的认证结果,将流水号、认证结果发送给业务系统(发送地址是应用ID所对应的地址,在业务系统注册时将二者录入认证网关),同时引导用户根据回调地址跳回原页面;
7.业务系统处理实名认证网关返回的认证结果,根据结果确定进一步的业务操作。
如图4所示,其示出了在智能手机应用环境下使用Ukey实现网络实名认证的方法,其流程描述如下:
1.用户打开智能手机的业务应用(App)访问业务系统,填写身份信息,如姓名、身份证号,请求实名验证,业务系统提示用户用计算机(PC)访问实名认证网关,并进入到扫码状态;
2.用户根据提示用计算机访问实名认证网关;
3.实名认证网关生成一个挑战值(即随机数),并将其用二维码编码,新建一个浏览会话,将二维码显示在网页上;
4.用户用智能手机扫描二维码,智能手机的业务应用解析二维码,获得挑战值;
5.业务应用将二维码及身份信息发送到业务系统;
6.业务系统发送实名认证请求消息到实名认证网关,请求消息中包含挑战值、Hash(身份信息)、身份密文、流水号以及回调地址;
7.实名认证网关收到请求后,先根据挑战值检索到对应的浏览会话,使其跳转到签名网页,用户在网页上选择UKey的颁发银行,实名认证网关的页面根据用户的选择调用相应签名控件,驱动Ukey对Hash值进行签名,完成后将签名及数字证书上传至实名认证网关;
8.实名认证网关后台进行实名认证:
a)首先到UKey内证书所对应的CA机构查验身份的绑定关系,将Hash、签名和证书发送给CA机构,CA机构将:
i)根据证书检索出自己保存的用户身份信息,并对该身份信息进行同样的Hash运算,然后将运算结果与请求中的Hash值进行比较,若二者一致,则可认为当前访问者所填写的身份信息就是证书申请者的身份信息;
ii)验证签名的正确性,若通过验证,则证明当前访问者就是证书申请者。
上述验证完成后,CA机构返回验证结果。
b)然后到公安人口库核查当前身份的有效性,将身份Hash及身份密文发送到公安人口库,公安人口库将:
i)用自己的私钥解密身份密文,得到用户的身份信息,并对身份信息进行Hash运算,然后将结果与请求中的Hash进行比较,确保密文中身份信息与用户真实身份信息的一致性;
ii)核查公安人口库中的对应身份,确保该身份处于有效状态,未发生移民、死亡等现象;
完成上述核查后,公安人口库返回核查结果。
9.实名认证网关接收CA机构返回的验证结果和公安人口库返回的核查结果,并合成为统一的认证结果,将流水号、认证结果发送给业务系统(发送地址是应用ID所对应的地址,在业务系统注册时将二者录入认证网关),同时引导用户根据回调地址跳回原页面;
10.业务系统处理认证网关返回的认证结果,根据结果确定进一步的业务操作。
通过实施本发明,可有效实现网络实名认证,解决了当前网络实名认证方法中安全性低、可实施性低、且易造成用户隐私泄漏。本发明的主要优势体现在:
(1)安全性高,基于公钥密码技术体系的实名认证机制,安全性高,攻击者无法冒充和伪造;
(2)可实施性强,充分利用了现有的基础设施和服务内容,无需公安人口库其提供额外的查询服务;
(3)不泄漏用户隐私,整个认证过程中用户身份信息都是以Hash值和密文的形式传递的,更无需传递身份证电子版或用户照片,实名认证网关不能获取到任何有价值信息,最大程度保护用户隐私免于泄漏。
虽然本发明已以实施例揭露如上,然其并非用以限定本发明,任何熟悉此技艺者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰,因此本发明的保护范围当视所附的权利要求书所界定的范围为准。
Claims (8)
1.一种网络实名认证方法,其特征在于,包括以下步骤:
(a)用户获取一电子签名装置,其内存储有一数字证书和一私钥,该数字证书由一CA机构授予;
(b)用户访问一业务系统,填写身份信息,并通过该业务系统发送一实名认证请求消息至一实名认证网关;
(c)该实名认证网关驱动该电子签名装置在一终端上利用该私钥进行签名,并通过该终端将该签名及该数字证书上传至该实名认证网关;
(d)该实名认证网关连接至该CA机构进行用户身份验证,并返回一验证结果;
(e)该实名认证网关连接至一公安人口库进行用户身份核查,并返回一核查结果;
(f)该实名认证网关接收该验证结果和该核查结果,并合成为一认证结果发送给该业务系统;
(g)该业务系统对该认证结果进行处理,并产生一处理结果,以根据该处理结果确定进一步的业务操作;
其中,在步骤(b)中,用户是通过一移动终端上安装的一业务应用访问该业务系统,其包括:
(b21)用户打开该移动终端的该业务应用访问该业务系统,并填写身份信息,请求实名验证,该业务系统提示用户用一计算机终端访问该实名认证网关,并进入到扫码状态;
(b22)用户根据提示通过该计算机终端访问该实名认证网关;
(b23)该实名认证网关生成一个挑战值,并将其用二维码编码,新建一个浏览会话,将二维码显示在网页上;
(b24)用户通过该移动终端扫描该二维码,该业务应用解析该二维码,获得该挑战值;
(b25)该业务应用将该二维码及该身份信息发送到该业务系统;
(b26)该业务系统发送实名认证请求消息到该实名认证网关,该实名认证请求消息中至少包含该挑战值、一Hash值、一身份密文、一流水号以及一回调地址。
2.根据权利要求1所述的网络实名认证方法,其特征在于,步骤(c)包括:
(c21)该实名认证网关收到该实名认证请求后,根据该挑战值检索到对应的浏览会话,使其跳转到签名网页;
(c22)用户在该网页上选择该电子签名装置的颁发机构;
(c23)该实名认证网关的页面根据用户的选择调用相应的签名控件,驱动该电子签名装置在该计算机终端上利用该私钥对该Hash值进行签名,完成后通过该计算机终端将该签名及该数字证书上传至该实名认证网关。
3.根据权利要求2所述的网络实名认证方法,其特征在于,步骤(d)包括:
(d11)该实名认证网关将该Hash值、该签名和该数字证书发送给该CA机构;
(d12)该CA机构根据该数字证书检索出其授予该数字证书时所保存的该用户的身份信息,并对该身份信息进行同样的Hash运算,然后将运算结果与该Hash值进行比较,若二者一致,则认为当前访问者所填写的身份信息即为该数字证书的申请者的身份信息;
(d13)该CA机构验证签名的正确性,若通过验证,则证明当前访问者即为该数字证书的申请者;
(d14)上述验证完成后,该CA机构返回验证结果。
4.根据权利要求3所述的网络实名认证方法,其特征在于,步骤(e)包括:
(e11)该实名认证网关将该Hash值、该身份密文发送到该公安人口库;
(e12)该公安人口库用其私钥解密该身份密文,得到该用户的身份信息,并对该身份信息进行Hash运算,然后将运算结果与该Hash值进行比较,确保该身份密文中的身份信息与该用户的真实身份信息的一致性;
(e13)该公安人口库核查其数据库中对应该用户的身份,确保该身份处于有效状态;
(e4)上述核查完成后,该公安人口库返回核查结果。
5.根据权利要求4所述的网络实名认证方法,其特征在于,在步骤(f)中,该实名认证网关是将该认证结果和该流水号一并发送给该业务系统,其中发送地址是一应用ID所对应的地址,同时引导用户根据该回调地址跳回原页面。
6.根据权利要求1所述的网络实名认证方法,其特征在于,该电子签名装置为由一银行系统颁发的一UKey。
7.一种网络实名认证系统,其特征在于,包括一电子签名装置、一用户终端、一业务系统、一实名认证网关、一CA机构以及一公安人口库,该实名认证网关分别与该用户终端、该业务系统、该CA机构以及该公安人口库连接,该用户终端还分别与该电子签名装置及该业务系统连接,其中:
该电子签名装置,用于供用户进行签名,其内存储有一数字证书和一私钥,其中该数字证书由该CA机构授予;
该用户终端,用于供用户访问该业务系统,填写身份信息;并用于供该电子签名装置进行签名,以及将该签名及该数字证书上传至该实名认证网关;
该业务系统,用于供用户进行业务操作,并接收用户所填写的身份信息,发送一实名认证请求消息至该实名认证网关;以及用于对该实名认证网关所发送的一认证结果进行处理,并产生一处理结果,以根据该处理结果确定进一步的业务操作;
该实名认证网关,用于接收该实名认证请求消息,并驱动该电子签名装置在该用户终端上利用该私钥进行签名,并接收由该用户终端上传的该签名及该数字证书,分别向该CA机构进行用户身份验证和向该公安人口库进行用户身份核查,并接收该CA机构返回的一验证结果和接收该公安人口库返回的一核查结果,并将该验证结果和该核查结果合成为一认证结果发送给该业务系统;
该CA机构,用于进行身份验证,并返回一验证结果给该实名认证网关;
该公安人口库,用于进行身份核查,并返回一核查结果给该实名认证网关;
其中,该用户终端包括一移动终端以及一计算机终端,且该移动终端上安装有一业务应用,其中,
用户打开该移动终端的该业务应用访问该业务系统,并填写身份信息,请求实名验证,该业务系统提示用户用一计算机终端访问该实名认证网关,并进入到扫码状态;
用户根据提示通过该计算机终端访问该实名认证网关;
该实名认证网关生成一个挑战值,并将其用二维码编码,新建一个浏览会话,将二维码显示在网页上;
用户通过该移动终端扫描该二维码,该业务应用解析该二维码,获得该挑战值;
该业务应用将该二维码及该身份信息发送到该业务系统;
该业务系统发送实名认证请求消息到该实名认证网关,该实名认证请求消息中至少包含该挑战值、一Hash值、一身份密文、一流水号以及一回调地址;
该实名认证网关收到该实名认证请求后,根据该挑战值检索到对应的浏览会话,使其跳转到签名网页;
用户在该网页上选择该电子签名装置的颁发机构;
该实名认证网关的页面根据用户的选择调用相应的签名控件,驱动该电子签名装置在该计算机终端上利用该私钥对该Hash值进行签名,完成后通过该计算机终端将该签名及该数字证书上传至该实名认证网关以进行用户身份验证和用户身份核查。
8.根据权利要求7所述的网络实名认证系统,其特征在于,该电子签名装置为由一银行系统颁发的一UKey。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410575763.9A CN105591744B (zh) | 2014-10-24 | 2014-10-24 | 一种网络实名认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410575763.9A CN105591744B (zh) | 2014-10-24 | 2014-10-24 | 一种网络实名认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105591744A CN105591744A (zh) | 2016-05-18 |
| CN105591744B true CN105591744B (zh) | 2019-03-05 |
Family
ID=55931020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410575763.9A Active CN105591744B (zh) | 2014-10-24 | 2014-10-24 | 一种网络实名认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105591744B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487518A (zh) * | 2016-10-31 | 2017-03-08 | 金联汇通信息技术有限公司 | 一种用于快递行业的实名认证系统和方法 |
| CN107172055A (zh) * | 2017-05-26 | 2017-09-15 | 中企云链(北京)金融信息服务有限公司 | 实名认证系统及其方法 |
| CN107392711A (zh) * | 2017-07-20 | 2017-11-24 | 四川东汇龙科技有限公司 | 一种成品油批发的在线实现方法 |
| CN107743066B (zh) * | 2017-11-07 | 2021-04-20 | 中证技术有限责任公司 | 一种可监管的匿名签名方法及系统 |
| CN108183798A (zh) * | 2018-03-13 | 2018-06-19 | 深圳市欧乐在线技术发展有限公司 | 应用的实名认证方法、服务器、移动终端及可读存储介质 |
| CN108470121A (zh) * | 2018-04-20 | 2018-08-31 | 浙江招天下招投标交易平台有限公司 | 一种将移动终端数字证书应用于电子招投标系统的装置 |
| CN108932421A (zh) * | 2018-07-16 | 2018-12-04 | 中国银行股份有限公司 | 一种身份认证方法及装置 |
| CN109684801B (zh) * | 2018-11-16 | 2023-06-16 | 创新先进技术有限公司 | 电子证件的生成、签发和验证方法及装置 |
| CN109831308B (zh) * | 2019-02-27 | 2022-10-04 | 上海棕榈电脑系统有限公司 | 数字签名认证方法、存储介质和设备 |
| CN110276588B (zh) * | 2019-05-21 | 2023-02-07 | 深圳平安智慧医健科技有限公司 | 电子签名认证方法、装置及计算机可读存储介质 |
| CN110264322A (zh) * | 2019-06-28 | 2019-09-20 | 成都九洲电子信息系统股份有限公司 | 基于“互联网+”的二手交易市场实名制认证系统 |
| CN111107105B (zh) * | 2019-12-31 | 2022-05-27 | 厦门熵基科技有限公司 | 一种身份认证系统及其身份认证方法 |
| CN111464555B (zh) * | 2020-04-14 | 2021-10-15 | 江苏慧世联网络科技有限公司 | 一种基于客户端屏幕录像的文件签署确认方法以及业务服务器、认证服务器和客户端 |
| CN111651745B (zh) * | 2020-05-12 | 2023-06-30 | 长春吉大正元信息技术股份有限公司 | 基于密码设备的应用授权签名方法 |
| CN111901119B (zh) * | 2020-06-21 | 2022-08-16 | 苏州浪潮智能科技有限公司 | 一种基于可信根的安全域隔离方法、系统及装置 |
| CN113115310A (zh) * | 2021-04-08 | 2021-07-13 | 武汉极意网络科技有限公司 | 一种无感认证网关调用方法 |
| CN113641973A (zh) * | 2021-08-27 | 2021-11-12 | 成都卫士通信息产业股份有限公司 | 一种身份认证方法、系统及介质 |
| CN115037471A (zh) * | 2022-03-21 | 2022-09-09 | 远光软件股份有限公司 | 作业资质的查验方法、装置及存储介质 |
| CN115296814A (zh) * | 2022-07-25 | 2022-11-04 | 浪潮云信息技术股份公司 | 一种基于用户的签名验签方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136750A (zh) * | 2007-10-15 | 2008-03-05 | 胡祥义 | 一种网络实名制的实现方法 |
| CN101562607A (zh) * | 2009-05-25 | 2009-10-21 | 姚清野 | 基于u盘的网络实名制认证方法 |
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
| KR20110071221A (ko) * | 2009-12-21 | 2011-06-29 | 한국전자통신연구원 | 실명 추적이 가능한 익명 인증서를 이용한 프라이버시 보호 방법 |
| CN103955733A (zh) * | 2014-04-22 | 2014-07-30 | 中国工商银行股份有限公司 | 电子身份证芯片卡、读卡器、电子身份证验证系统和方法 |
| CN104010306A (zh) * | 2014-05-14 | 2014-08-27 | 寇锘 | 一种移动设备使用者身份认证系统及方法 |
-
2014
- 2014-10-24 CN CN201410575763.9A patent/CN105591744B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136750A (zh) * | 2007-10-15 | 2008-03-05 | 胡祥义 | 一种网络实名制的实现方法 |
| CN101562607A (zh) * | 2009-05-25 | 2009-10-21 | 姚清野 | 基于u盘的网络实名制认证方法 |
| KR20110071221A (ko) * | 2009-12-21 | 2011-06-29 | 한국전자통신연구원 | 실명 추적이 가능한 익명 인증서를 이용한 프라이버시 보호 방법 |
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
| CN103955733A (zh) * | 2014-04-22 | 2014-07-30 | 中国工商银行股份有限公司 | 电子身份证芯片卡、读卡器、电子身份证验证系统和方法 |
| CN104010306A (zh) * | 2014-05-14 | 2014-08-27 | 寇锘 | 一种移动设备使用者身份认证系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105591744A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105591744B (zh) | 一种网络实名认证方法及系统 | |
| CN105897424B (zh) | 一种增强身份认证的方法 | |
| KR101019458B1 (ko) | 확장된 일회용 암호 방법 및 장치 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| CN107689944A (zh) | 身份认证方法、装置和系统 | |
| CN104618315B (zh) | 一种验证信息推送和信息验证的方法、装置及系统 | |
| JP5739008B2 (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| CN106330850A (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| CN105262748B (zh) | 广域网中对用户终端进行身份认证的方法和系统 | |
| US20090199272A1 (en) | Authentication using a turing test to block automated attacks | |
| CN104392354A (zh) | 一种用于加密数字货币的公钥地址与用户账号的关联和检索方法及其系统 | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| US20140227999A1 (en) | Method, server and system for authentication of a person | |
| CN106488452A (zh) | 一种结合指纹的移动终端安全接入认证方法 | |
| US20090138950A1 (en) | Two-factor anti-phishing authentication systems and methods | |
| CN105978994B (zh) | 一种面向Web系统的登录方法 | |
| SE535009C2 (sv) | Säker användaridentifiering | |
| CN105024813B (zh) | 一种服务器、用户设备以及用户设备与服务器的交互方法 | |
| CN104618356B (zh) | 身份验证方法及装置 | |
| CN109257338A (zh) | 一种服务器登录二次认证的系统与方法 | |
| CN103368831A (zh) | 一种基于熟客识别的匿名即时通讯系统 | |
| CN107395600B (zh) | 业务数据验证方法、服务平台及移动终端 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN109740319A (zh) | 数字身份验证方法及服务器 | |
| CN107786566A (zh) | 隐私信息保护方法、系统、服务器、及接收终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |