CN106027470B - 身份证读卡终端与云认证平台认证方法和系统 - Google Patents

身份证读卡终端与云认证平台认证方法和系统 Download PDF

Info

Publication number
CN106027470B
CN106027470B CN201610041541.8A CN201610041541A CN106027470B CN 106027470 B CN106027470 B CN 106027470B CN 201610041541 A CN201610041541 A CN 201610041541A CN 106027470 B CN106027470 B CN 106027470B
Authority
CN
China
Prior art keywords
card
reading terminal
identity card
certificate
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610041541.8A
Other languages
English (en)
Other versions
CN106027470A (zh
Inventor
李明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tendyron Corp
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610041541.8A priority Critical patent/CN106027470B/zh
Publication of CN106027470A publication Critical patent/CN106027470A/zh
Application granted granted Critical
Publication of CN106027470B publication Critical patent/CN106027470B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种身份证读卡终端与云认证平台认证方法和系统,其中,方法包括:身份证读卡终端发送身份证读卡终端传输信息至云认证平台,云认证平台接收身份证读卡终端传输信息,接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,如果查询结果为无效,获得身份证读卡终端证书异常提示,根据身份证读卡终端证书异常提示对身份证读卡终端发送的信息进行处理;如果查询结果为有效,获得身份证读卡终端证书有效提示;云认证平台使用预存的根证书验证身份证读卡终端证书是否合法,如果合法,则判断身份证读卡终端证书正常;身份证读卡终端至少接收云认证平台发送的云认证平台传输信息,使用预存的根证书认证证书是否正常。

Description

身份证读卡终端与云认证平台认证方法和系统
技术领域
本发明涉及一种电子技术领域,尤其涉及一种身份证读卡终端与云认证平台认证方法和系统。
背景技术
居民二代身份证中存储的是身份证信息的密文,需要经过公安部授权的安全控制模块才能解密居民身份证中存储的身份证信息的密文。现有的身份证读卡器具有至少两个模块,包括读模块以及居民身份证验证安全控制模块。由于每个身份证读卡器均设置居民身份证验证安全控制模块,因此,现有的身份证读卡器的制造成本高;并且,一个居民身份证验证安全控制模块只能对一个读模块读取的居民身份证信息进行身份验证,因此,现有的身份证读卡器利用率较低,为解决该问题,目前出现了改进方案:身份证读卡器不再包括居民身份证验证安全控制模块,将居民身份证验证安全控制模块设于后台服务器,从而提升居民身份证验证安全控制模块的利用率。在这种情况下,身份证读卡器需要与后台服务器进行信息交互,才能获得身份证的明文信息。然而由于后台处于的网络环境为公开网络,任何读卡器均能够请求后台服务器使其接入居民身份证验证安全控制模块,这就大大升高了后台服务器的居民身份证验证安全控制模块的安全隐患,因此,如何鉴别非法读卡器,对后台服务器的居民身份证验证安全控制模块进行有效保护,防止非法读卡器接入居民身份证验证安全控制模块,同时保护读卡器获得的身份证信息,防止读卡器向非法后台服务器发送信息,是本领域技术人员亟待解决的技术问题。
发明内容
本发明旨在解决上述问题之一。
本发明的主要目的在于提供一种身份证读卡终端与云认证平台认证方法,包括:身份证读卡终端发送身份证读卡终端传输信息至云认证平台,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号;云认证平台接收身份证读卡终端传输信息,接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;如果查询结果为无效,云认证平台获得身份证读卡终端证书异常提示,根据身份证读卡终端证书异常提示对身份证读卡终端发送的信息进行处理;如果查询结果为有效,云认证平台获得身份证读卡终端证书有效提示;云认证平台使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常;身份证读卡终端至少接收云认证平台发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;身份证读卡终端使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致;如果不一致,判断认证证书不合法,身份证读卡终端停止向云认证平台发送信息;如果一致,判断认证证书合法,认证证书正常。
此外,身份证读卡终端传输信息还包括身份证读卡终端签名信息;该方法还包括:云认证平台至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示;云认证平台还根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
此外,身份证读卡终端通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息,将使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预存在身份证读卡终端内的验证PIN码、验证指纹信息和/或验证人脸信息进行比较,若一致,则身份证读卡终端判断使用者合法,允许使用者使用身份证读卡终端。
此外,身份证读卡终端通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;身份证读卡终端将使用者PIN码、使用者指纹信息和/或使用者人脸信息发送至云认证平台;云认证平台接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;将使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预设存储区域内的验证PIN码、验证指纹信息和/或验证人脸信息是否一致进行比较,得到比较结果。
此外,若比较结果为一致,云认证平台将身份证读卡终端使用者合法提示发送至身份证读卡终端,身份证读卡终端接收身份证读卡终端使用者合法提示,允许使用者使用身份证读卡终端;若比较结果为不一致,云认证平台将身份证读卡终端使用者非法提示发送至身份证读卡终端,身份证读卡终端接收身份证读卡终端使用者非法提示,不允许使用者使用身份证读卡终端。
本发明的另一目的在于提供一种身份证读卡终端与云认证平台认证系统,包括:身份证读卡终端和云认证平台;身份证读卡终端,用于发送身份证读卡终端传输信息至云认证平台,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号;身份证读卡终端至少接收云认证平台发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;身份证读卡终端使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致;如果不一致,判断认证证书不合法,身份证读卡终端停止向云认证平台发送信息;如果一致,判断认证证书合法,认证证书正常。云认证平台,用于接收身份证读卡终端传输信息,接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;如果查询结果为无效,云认证平台获得身份证读卡终端证书异常提示,根据身份证读卡终端证书异常提示对身份证读卡终端发送的信息进行处理;如果查询结果为有效,云认证平台获得身份证读卡终端证书有效提示;使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常。
此外,身份证读卡终端传输信息还包括身份证读卡终端签名信息;云认证平台,还用于至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示;根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
此外,身份证读卡终端,还用于通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息,将使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预存在安全芯片内的验证PIN码、验证指纹信息和/或验证人脸信息进行比较,若一致,则身份证读卡终端判断使用者合法,允许使用者使用身份证读卡终端。
此外,身份证读卡终端,还用于通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;将使用者PIN码、使用者指纹信息和/或使用者人脸信息发送至云认证平台;云认证平台,还用于接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;将使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预设存储区域内的验证PIN码、验证指纹信息和/或验证人脸信息是否一致进行比较,得到比较结果。
此外,云认证平台,还用于若比较结果为一致,将身份证读卡终端使用者合法提示发送至身份证读卡终端,身份证读卡终端,还用于接收身份证读卡终端使用者合法提示,允许使用者使用身份证读卡终端;云认证平台,还用于若比较结果为不一致,将身份证读卡终端使用者非法提示发送至身份证读卡终端,身份证读卡终端,还用于接收身份证读卡终端使用者非法提示,不允许使用者使用身份证读卡终端。
由上述本发明提供的技术方案可以看出,在本发明提供的方法和系统中,云认证平台通过验证身份证读卡终端证书是否正常的方式验证身份证读卡终端的身份之后,由身份证读卡终端对云认证平台的身份进行认证,达到云认证平台与身份证读卡器双方认证的效果,没有证书、证书失效或虚假身份证读卡终端不能访问云认证平台,没有认证证书、认证证书失效或虚假云认证平台也无法接收身份证读卡终端的保密信息,最终保护身份证信息的安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例1提供的身份证读卡终端与云认证平台认证方法的流程图;
图2为本发明实施例4提供的身份证读卡终端与云认证平台认证系统的结构示意图;
图3为本发明实施例5提供的身份证读卡终端与云认证平台认证系统的另一结构示意图;
图4为本发明实施例6提供的身份证读卡终端与云认证平台认证系统的又一结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
实施例1
图1为本实施例提供的一种身份证读卡终端与云认证平台认证方法,如图1所示,本实施例提供的身份证读卡终端与云认证平台认证方法主要包括以下步骤(101-109)。
步骤101:身份证读卡终端发送身份证读卡终端传输信息至云认证平台,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号。
在本实施例中,需要说明的是,一般的身份证读卡终端中设置有公安部授权的安全控制模块用以解密身份证读卡终端读取的加密身份证信息,但是身份证读卡终端中集成有公安部授权的安全控制模块的成本高,本实施例中,身份证读卡终端未设置有公安部授权的安全控制模块,安全控制模块设置在远端,如可以设置在本实施例的云认证平台中,身份证读卡终端与云认证平台通过有线(例如,身份证读卡终端通过有线方式接入互联网或局域网)连接,也可以通过无线(例如,身份证读卡终端通过WIFI,无线通信网络(如2G、3G、4G网络等)等与云认证平台连接),具体本实施例不作限定。通过将身份证读卡终端与公安部授权的安全控制模块分开设置,可以多个身份证读卡终端共用一个公安部授权的安全控制模块,从而可以节约成本。
在本实施例中,身份证读卡终端内部可以具有安全芯片,该安全芯片内部拥有独立的处理器和存储单元,可存储PKI数字证书和密钥,以及其他特征数据,对数据进行加解密运算,为用户提供数据加密和身份安全认证服务,保护商业隐私和数据安全。因此,本实施例中身份证读卡终端需要进行加解密、签名、验签、数字证书验证的数据均需经过身份证读卡终端内部的安全芯片,以保证身份证读卡终端与云认证平台之间的交互安全。
步骤102:云认证平台接收身份证读卡终端传输信息,接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;
在本实施例中,为云认证平台提供查询结果的数字证书在线查询服务器可以设置在云认证平台内部,也可以设置在云认证平台外部。数字证书在线查询服务器可以存储所有身份证读卡终端的证书状态,通过身份证读卡终端证书或身份证读卡终端证书编号可以查找到该身份证读卡终端的证书处于有效状态或无效状态(可进一步包括过期状态、暂停使用状态和废止状态等等),数字证书在线查询服务器的身份证读卡终端证书或身份证读卡终端证书编号与该证书的状态可通过列表等形式存储,例如将所有有效状态的身份证读卡终端证书信息存储在一个有效列表中,当该身份证读卡终端处于该有效列表,即该身份证读卡终端有效。本实施例对数字证书在线查询服务器的具体工作方式不做限制。
步骤103:如果查询结果为无效,云认证平台获得身份证读卡终端证书异常提示,根据身份证读卡终端证书异常提示对身份证读卡终端发送的信息进行处理;
在本实施例中,云认证平台可设置身份证读卡终端黑名单,在云认证平台收到该身份证读卡终端发送的信息时,查看身份证读卡终端是否在黑名单中,如果在,可拒绝处理该身份证读卡终端的信息,与其断开连接。云认证平台在接收到身份证读卡终端证书异常提示后,可将该身份证读卡终端列入黑名单中,拒绝处理该身份证读卡终端发送的信息,直接与身份证读卡终端断开连接,也可向身份证读卡终端返回证书异常提示,还可以对身份证读卡终端进行初步异常标记,综合其他判断信息(如时间戳信息和/或计数器信息等)后根据预设规则判断是否将身份证读卡终端列入黑名单中,与其断开连接,并不再处理该身份证读卡终端发送的任何数据,本实施例在此不做限制。在本实施例中,云认证平台接收到身份证读卡终端异常提示后,将该身份证读卡终端列入黑名单,拒绝处理该身份证读卡终端的信息或身份证读卡终端断开连接的情况下,从身份证读卡终端向云认证平台发送数据开始,到身份证读卡终端证书被判定为异常证书,耗时非常短暂,云认证平台可迅速判断身份证读卡终端并非可信终端,释放与身份证读卡终端的连接通道,因此,当非法设备伪装为身份证读卡终端对云认证平台进行攻击时,可迅速断开与非法设备的连接通道,减少非法攻击对云认证平台的占用,保证云认证平台的正常使用。
步骤104:如果查询结果为有效,云认证平台获得身份证读卡终端证书有效提示;
步骤105:云认证平台使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常;
在本实施例中,在数字证书在线查询服务器查询到身份证读卡终端证书有效后,进一步使用根证书验证身份证读卡终端证书的合法性,以防止非法分子篡改身份证读卡终端的公钥,实现对身份证读卡终端证书的进一步验证,提高安全性。云认证平台可以从认证中心(Certificate Authority,简称CA)下载根证书或预设根证书,根证书是CA与云认证平台建立信任关系的基础。如果验证通过,则认为身份证读卡终端证书合法,进而判断身份证读卡终端证书正常。云认证平台可获取读卡终端证书正常的信息,对该身份证读卡终端发送的信息进行进一步的操作,如果验证不通过,身份证读卡终端证书不合法,则可以在此时结束流程,减少非法攻击对云认证平台的占用。
在本实施例的一个可选实施方式中,身份证读卡终端传输信息还包括身份证读卡终端签名信息;本实施例的认证方法还包括:步骤105a:云认证平台至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示;云认证平台还根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。在本可选实施方式中,云认证平台对身份证读卡终端证书进行验证后,进一步验证身份证读卡终端签名信息,对身份证读卡终端进行多方面的认证,进一步确认身份证读卡终端的是否为可信终端,进一步提高云认证平台的安全性。
步骤106:身份证读卡终端至少接收云认证平台发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;所述认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息。
在本实施例中,云认证平台通过验证身份证读卡终端证书是否正常的方式验证身份证读卡终端的身份,判断是否需要该身份证读卡终端的信息进行进一步处理之后,可以将云认证平台的认证证书发送至身份证读卡终端,由身份证读卡终端对云认证平台进行认证,保障双方通信内容的不会被非法设备截取,保障身份证信息安全。
步骤107:身份证读卡终端使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致。
步骤108:如果不一致,则身份证读卡终端停止向云认证平台发送信息;
步骤109:如果一致,则判断云认证平台证书正常。
在本实施例中,身份证读卡终端通过进一步使用根证书验证认证证书的合法性,以防止非法分子篡改认证证书公钥,实现对认证证书的验证,提高安全性。身份证读卡终端可以从认证中心(Certificate Authority,简称CA)下载根证书或预设根证书,根证书是CA与身份证读卡终端建立信任关系的基础。如果验证通过,则认为认证证书合法,进而判断认证证书正常,身份证读卡终端可将云认证平台标记为可信平台,接收云认证平台发送的信息,也可将身份证读卡终端读取的身份证信息发送至云认证平台,由云认证平台对身份证信息进行进一步的操作,如果验证不通过,认证证书不合法,则可以在此时结束流程,避免将身份证信息发送至非法设备。
在本实施例的一个可选实施方式中,身份证读卡终端通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息,将使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预存在身份证读卡终端内的验证PIN码、验证指纹信息和/或验证人脸信息进行比较,若一致,则身份证读卡终端判断使用者合法,允许使用者使用身份证读卡终端。在本实施方式中,身份证读卡终端在进行数据处理之前,需要先验证使用者的身份,如果使用者不是合法使用者,即身份证读卡终端中并没有预存与该使用者匹配的身份信息,不会允许该使用者使用该身份证读卡终端,以保障身份证信息的安全性。可选地,使用者的身份信息可预存在身份证读卡终端的安全芯片中,存储在安全芯片中的信息无法被修改或导出,进一步保障了身份证读卡终端的安全性。
在本实施例的一个可选实施方式中,身份证读卡终端通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;身份证读卡终端将使用者PIN码、使用者指纹信息和/或使用者人脸信息发送至云认证平台;云认证平台接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;将使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预设存储区域内的验证PIN码、验证指纹信息和/或验证人脸信息是否一致进行比较,得到比较结果。在本可选实施方案中,身份证读卡终端在进行数据处理之前,需要先验证使用者的身份,即身份证读卡终端将其接收到的使用者身份信息发送至云认证平台,云认证平台比较预存的可使用终端的使用者的身份信息与该使用者的身份信息进行比较,得到比较结果,云认证平台预存可使用终端的使用者的身份信息可降低身份证读卡终端的信息储存压力,并可以达到使用云认证平台的使用者可使用任意一个身份证读卡终端的技术效果。
进一步地,若比较结果为一致,云认证平台将身份证读卡终端使用者合法提示发送至身份证读卡终端,身份证读卡终端接收身份证读卡终端使用者合法提示,允许使用者使用身份证读卡终端;若比较结果为不一致,云认证平台将身份证读卡终端使用者非法提示发送至身份证读卡终端,身份证读卡终端接收身份证读卡终端使用者非法提示,不允许使用者使用身份证读卡终端。在本可选实施方案中,如果云认证平台并没有预存与该使用者匹配的身份信息,会返回不会允许该使用者使用该身份证读卡终端,身份证读卡终端不允许使用者使用身份证读卡终端,以保障身份证信息的安全性。
通过本实施例的技术方案,云认证平台通过验证身份证读卡终端证书是否正常的方式验证身份证读卡终端的身份之后,由身份证读卡终端对云认证平台的身份进行认证,达到云认证平台与身份证读卡器双方认证的效果,没有证书、证书失效或虚假身份证读卡终端不能访问云认证平台,没有认证证书、认证证书失效或虚假云认证平台也无法接收身份证读卡终端的保密信息,最终保护身份证信息的安全。
实施例2
本实施例提供的一种身份证读卡终端与云认证平台认证方法,与实施例1属于同一构思,与实施例1相同之处不再赘述,以下仅针对本实施例与实施例1不同之处进行说明:
在本实施例中,云认证平台进一步包括至少一个调度服务器和至少一个认证安全控制模块,调度服务器接收身份证读卡终端传输信息,并验证身份证读卡终端证书是否正常,若身份证读卡终端证书正常,调度服务器将身份证读卡终端传输信息发送至符合预设条件的认证安全控制模块,认证安全控制模块生成云认证平台传输信息,认证证书为认证安全控制模块的证书。本实施例提供的身份证读卡终端与云认证平台认证方法,主要包括以下步骤:
步骤201:身份证读卡终端发送身份证读卡终端传输信息至云认证平台的调度服务器,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号;
在本实施例的一个可选实施方式中,云认证平台可进一步包括边界路由器和负载均衡器,身份证读卡终端将身份证读卡终端传输信息发送至调度服务器,可进一步包括:身份证读卡终端发送身份证读卡终端传输信息至边界路由器;边界路由器接收身份证读卡终端传输信息,判断身份证读卡终端传输信息是否符合预设标准,如果符合预设标准,则将身份证读卡终端传输信息发送至负载均衡器;负载均衡器接收身份证读卡终端传输信息,将身份证读卡终端传输信息发送至符合预设标准的调度服务器。在本可选实施方式中,边界路由器是在一个或多个局域网络(LAN)和主干网络之间路由设备,是一个主要的接入点,经过设置,可阻挡部分对云认证平台的攻击;负载均衡器可以解决数据流量过大、网络负荷过重的问题,避免服务器单点故障造成数据流量的损失,把数据流量合理地分配给调度服务器。云认证平台更加安全,数据处理更加高效。
步骤202:调度服务器接收身份证读卡终端传输信息,接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;
步骤203:如果查询结果为无效,调度服务器获得身份证读卡终端证书异常提示,根据身份证读卡终端证书异常提示对身份证读卡终端发送的信息进行处理;
在本实施例中,调度服务器接收数字证书在线查询服务器发送的读卡终端证书状态查询结果,调度服务器在接收到身份证读卡终端证书异常提示后,可拒绝处理该身份证读卡终端发送的信息,直接与身份证读卡终端断开连接,也可向身份证读卡终端返回证书异常提示,还可以对身份证读卡终端进行初步异常标记,综合其他判断信息(如时间戳信息和/或计数器信息等)后根据预设规则判断是否与身份证读卡终端断开连接,本实施例在此不做限制。在本实施例中,调度服务器接收到身份证读卡终端异常提示后,即拒绝处理该身份证读卡终端的信息与身份证读卡终端断开连接的情况下,从身份证读卡终端向调度服务器发送数据开始,到身份证读卡终端证书被判定为异常证书,耗时非常短暂,调度服务器可迅速判断身份证读卡终端的证书错误,释放与身份证读卡终端的连接通道,因此,当非法设备伪装为身份证读卡终端对云认证平台进行攻击时,可迅速断开与非法设备的连接通道,减少攻击对云认证平台的占用,保证云认证平台的正常使用。
步骤204:如果查询结果为有效,调度服务器获得身份证读卡终端证书有效提示;
步骤205:调度服务器使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常;
在本实施例的一个可选实施方式中,身份证读卡终端传输信息还包括身份证读卡终端签名信息;方法还包括步骤205a:调度服务器至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示;调度服务器还根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
步骤206:身份证读卡终端至少接收认证安全控制模块发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;
在本实施例的一个可选实施方式中,调度服务器在获得身份证读卡终端证书正常的提示后,为身份证读卡终端分配一个符合预设条件的认证安全控制模块,该认证安全控制模块用于处理该身份证读卡终端发送的信息,实现身份证读卡终端与认证安全控制模块一对一的连接,保障身份证读卡终端的信息得到及时处理。进一步地,调度服务器可记录其负责调度的认证安全控制模块的状态,如空闲、忙碌、暂停使用等等,调度服务器分配认证安全控制模块的预设条件可以是认证安全控制模块处于空闲状态,本实施例在此不做限制。认证安全控制模块将其云认证平台传输信息发送至身份证读卡终端,由身份证读卡终端对认证安全控制模块是否正常进行验证,保障信息安全。
在本实施例的一个可选实施方式中,认证安全控制模块可以是安全芯片,该安全芯片内部拥有独立的处理器和存储单元,可存储PKI数字证书和密钥,以及其他特征数据,对数据进行加解密运算并身份安全认证服务,保护商业隐私和数据安全。因此,本实施例中由认证安全控制模块生成云认证平台传输信息,认证证书为该认证安全控制模块的证书,使用认证安全控制模块生成云认证平台传输信息,可以进一步保证身份证读卡终端与云认证平台之间的交互安全。
步骤207:身份证读卡终端使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致。
在本实施例的一个可选实施方式中,身份证读卡终端采用根证书验证的方式对接的认证安全控制模块的证书进行认证,以避免认证安全控制模块是非法设备的情形,保护身份证信息。
步骤208:如果不一致,判断认证证书不合法,身份证读卡终端停止向云认证平台发送信息;
步骤209:如果一致,判断认证证书合法,认证证书正常。
在本实施例中,步骤205还可以有如下可选实施方式:如果查询结果为有效,调度服务器获得身份证读卡终端证书有效提示;认证安全控制模块至少接收身份证读卡终端证书,使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常;认证安全控制模块将身份证读卡终端证书正常提示发送至调度服务器。
在本实施例中,步骤205a还可以有如下可选实施方式:认证安全控制模块至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示,并发送至调度服务器;调度服务器还根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
需要说明的是,以上步骤205和步骤205a之间并不具有对应关系,也就是说,身份证读卡终端证书的有效性的结果由调度服务器接收的情况下,对该证书的合法性验证还可以由认证安全控制模块进行;在合法性验证由认证安全控制模块进行的情况下,对身份证读卡终端签名信息的验签操作可以由调度服务器进行,也可以由认证安全控制模块进行。本实施例并不做限制。在认证安全控制模块可以是安全芯片的情况下,使用根证书验证身份证读卡终端证书的合法性或验证身份证读卡终端签名信息更具有安全性更高。
本实施例提供的身份证读卡终端与云认证平台的认证方法,云认证平台至少包括至少一个调度服务器和至少一个认证安全控制模块,由调度服务器完成身份证读卡终端的证书认证,并为身份证读卡终端提供认证安全控制模块调度服务,认证安全控制模块由调度服务器统一调度,身份证读卡终端完成对认证安全控制模块的证书认证,保障云认证平台的安全和身份证信息的安全。
实施例3
本实施例提供的一种身份证读卡终端与云认证平台认证方法,与实施例1和实施例2属于同一构思,与实施例1或实施例2相同之处不再赘述,以下仅针对本实施例与实施例1和实施例2不同之处进行说明:
在本实施例中,云认证平台进一步包括至少一个调度服务器和至少一个认证安全控制模块,调度服务器接收身份证读卡终端传输信息,将身份证读卡终端传输信息发送至认证安全控制模块,由认证安全控制模块验证身份证读卡终端证书是否正常,认证安全控制模块证书认证结果发送至调度服务器,若身份证读卡终端证书正常,由调度服务器使身份证读卡终端和认证安全控制模块建立一对一的连接,若身份证读卡终端证书不正常,由调度服务器完成调度服务,认证安全控制模块生成云认证平台传输信息,认证证书为认证安全控制模块的证书。本实施例提供的身份证读卡终端与云认证平台认证方法,主要包括以下步骤:
步骤301:身份证读卡终端发送身份证读卡终端传输信息至云认证平台的调度服务器,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号;
步骤:302:调度服务器接收身份证读卡终端传输信息,将身份证读卡终端传输信息发送至认证安全控制模块,认证安全控制模块接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;
步骤303:如果查询结果为无效,认证安全控制模块获得身份证读卡终端证书异常提示并发送至调度服务器,调度服务器根据身份证读卡终端证书异常提示对身份证读卡终端发送的信息进行调度处理;
步骤304:如果查询结果为有效,认证安全控制模块获得身份证读卡终端证书有效提示;
步骤305:认证安全控制模块使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常并发送身份证读卡终端证书正常提示至调度服务器;
在本实施例的一个可选实施方式中,身份证读卡终端传输信息还包括身份证读卡终端签名信息;方法还包括步骤305a:认证安全控制模块至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示并发送至调度服务器;调度服务器还根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
步骤306:身份证读卡终端至少接收认证安全控制模块发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;
步骤307:身份证读卡终端使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致。
步骤308:如果不一致,判断认证证书不合法,身份证读卡终端停止向云认证平台发送信息;
步骤309:如果一致,判断认证证书合法,认证证书正常。
在本实施例中,步骤305还可以有如下可选实施方式:如果查询结果为有效,认证安全控制模块获得身份证读卡终端证书有效提示;调度服务器至少接收身份证读卡终端证书,使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常;调度服务器获取身份证读卡终端证书正常提示。
在本实施例中,步骤305a还可以有如下可选实施方式:调度服务器至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则获得身份证读卡终端签名异常提示;并根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
需要说明的是,以上步骤305和步骤305a之间并不具有对应关系,也就是说,身份证读卡终端证书的有效性的结果由认证安全控制模块接收的情况下,对该证书的合法性验证还可以由调度服务器进行;在合法性验证由调度服务器进行的情况下,对身份证读卡终端签名信息的验签操作可以由调度服务器进行,也可以由认证安全控制模块进行。本实施例并不做限制。
本实施例提供的身份证读卡终端与云认证平台的认证方法,云认证平台至少包括至少一个调度服务器和至少一个认证安全控制模块,由认证安全控制模块对身份证读卡终端进行证书认证,将认证结果发送至调度服务器,调度服务器为身份证读卡终端提供认证安全控制模块调度服务,认证安全控制模块由调度服务器统一调度,身份证读卡终端完成对认证安全控制模块的证书认证,保障云认证平台的安全和身份证信息的安全。
实施例4
本实施例提供了一种身份证读卡终端与云认证平台认证系统,本实施例的系统与实施例1属于同一发明构思,与该方法一一对应,因此,与实施例1相同之处在此不再赘述,仅针对不同之处进行如下说明。
图2为本实施例提供的身份证读卡终端与云认证平台认证系统的架构示意图,如图2所示,该认证系统主要包括:身份证读卡终端401和云认证平台402。
身份证读卡终端401,用于发送身份证读卡终端传输信息至云认证平台402,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号;身份证读卡终端401至少接收云认证平台402发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;身份证读卡终端401使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致;如果不一致,判断认证证书不合法,身份证读卡终端401停止向云认证平台402发送信息;如果一致,判断认证证书合法,认证证书正常。
云认证平台402,用于接收身份证读卡终端传输信息,接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;如果查询结果为无效,云认证平台402获得身份证读卡终端证书异常提示,根据身份证读卡终端证书异常提示对身份证读卡终端401发送的信息进行处理;如果查询结果为有效,云认证平台402获得身份证读卡终端证书有效提示;使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到第一身份证读卡终端证书内容信息摘要,对身份证读卡终端证书内容信息进行散列计算,得到第二身份证读卡终端证书内容信息摘要,判断第一身份证读卡终端证书内容信息摘要与第二身份证读卡终端证书内容信息摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常。
在本实施例的一个可选实施方式中,身份证读卡终端传输信息还包括身份证读卡终端签名信息;云认证平台402,还用于至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示;根据身份证读卡终端签名异常提示对身份证读卡终端401发送的信息进行处理。在本可选实施方式中,云认证平台402对身份证读卡终端证书进行验证后,进一步验证身份证读卡终端签名信息,对身份证读卡终端401进行多方面的认证,进一步确认身份证读卡终端401的是否为可信终端,进一步提高云认证平台402的安全性。
在本实施例的一个可选实施方式中,身份证读卡终端401,还用于通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;将使用者PIN码、使用者指纹信息和/或使用者人脸信息发送至云认证平台402;云认证平台402,还用于接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;将使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预设存储区域内的验证PIN码、验证指纹信息和/或验证人脸信息是否一致进行比较,得到比较结果。在本实施方式中,身份证读卡终端401在进行数据处理之前,需要先验证使用者的身份,如果使用者不是合法使用者,即身份证读卡终端401中并没有预存与该使用者匹配的身份信息,不会允许该使用者使用该身份证读卡终端401,以保障身份证信息的安全性。可选地,使用者的身份信息可预存在身份证读卡终端401的安全芯片中,存储在安全芯片中的信息无法被修改或导出,进一步保障了身份证读卡终端401的安全性。
在本实施例的一个可选实施方式中,云认证平台402,还用于若比较结果为一致,将身份证读卡终端401使用者合法提示发送至身份证读卡终端401,身份证读卡终端401接收身份证读卡终端401使用者合法提示,允许使用者使用身份证读卡终端401;云认证平台402,还用于若比较结果为不一致,将身份证读卡终端401使用者非法提示发送至身份证读卡终端401,身份证读卡终端401接收身份证读卡终端401使用者非法提示,不允许使用者使用身份证读卡终端401。在本可选实施方案中,身份证读卡终端401在进行数据处理之前,需要先验证使用者的身份,即身份证读卡终端401将其接收到的使用者身份信息发送至云认证平台402,云认证平台402比较预存的可使用终端的使用者的身份信息与该使用者的身份信息进行比较,得到比较结果,云认证平台402预存可使用终端的使用者的身份信息可降低身份证读卡终端401的信息储存压力,并可以达到使用云认证平台402的使用者可使用任意一个身份证读卡终端401的技术效果。
通过本实施例的技术方案,云认证平台402通过验证身份证读卡终端证书是否正常的方式验证身份证读卡终端401的身份之后,由身份证读卡终端401对云认证平台402的身份进行认证,达到云认证平台402与身份证读卡器双方认证的效果,没有证书、证书失效或虚假身份证读卡终端401不能访问云认证平台402,没有认证证书、认证证书失效或虚假云认证平台402也无法接收身份证读卡终端401的保密信息,最终保护身份证信息的安全。
实施例5
本实施例提供了一种身份证读卡终端与云认证平台认证系统,本实施例的系统与实施例2属于同一发明构思,与该方法一一对应,因此,与实施例2相同之处在此不再赘述,仅针对不同之处进行如下说明。
图3为本实施例提供的身份证读卡终端与云认证平台认证系统的架构示意图,如图3所示,该认证系统主要包括:身份证读卡终端501、云认证平台502;云认证平台502包括:调度服务器5021、认证安全控制模块5022。
身份证读卡终端501,身份证读卡终端501发送身份证读卡终端传输信息至云认证平台502的调度服务器5021,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号;身份证读卡终端501至少接收认证安全控制模块5022发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;身份证读卡终端501使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致。如果不一致,判断认证证书不合法,身份证读卡终端501停止向云认证平台502发送信息;如果一致,判断认证证书合法,认证证书正常。
调度服务器5021,用于接收身份证读卡终端传输信息,接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;如果查询结果为无效,调度服务器5021获得身份证读卡终端证书异常提示,根据身份证读卡终端证书异常提示对身份证读卡终端501发送的信息进行处理;如果查询结果为有效,调度服务器5021获得身份证读卡终端证书有效提示;使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到第一身份证读卡终端证书内容信息摘要,对身份证读卡终端证书内容信息进行散列计算,得到第二身份证读卡终端证书内容信息摘要,判断第一身份证读卡终端证书内容信息摘要与第二身份证读卡终端证书内容信息摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常。
认证安全控制模块5022:用于向身份证读卡终端501发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息。
在本实施例中,还可以有如下可选实施方式:如果查询结果为有效,调度服务器5021获得身份证读卡终端证书有效提示;认证安全控制模块5022,还用于至少接收身份证读卡终端证书,使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常;认证安全控制模块5022将身份证读卡终端证书正常提示发送至调度服务器5021。
在本实施例中,还可以有如下可选实施方式:认证安全控制模块5022,还用于至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成身份证读卡终端签名异常提示,并发送至调度服务器5021;调度服务器5021还根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
需要说明的是,以上对身份证读卡终端证书是否正常的验证和对身份证读卡终端签名信息进行验签的之间并不具有对应关系,也就是说,身份证读卡终端证书的有效性的结果由调度服务器5021接收的情况下,对该证书的合法性验证还可以由认证安全控制模块5022进行;在合法性验证由认证安全控制模块5022进行的情况下,对身份证读卡终端签名信息的验签操作可以由调度服务器5021进行,也可以由认证安全控制模块5022进行。本实施例并不做限制。在认证安全控制模块5022可以是安全芯片的情况下,使用根证书验证身份证读卡终端证书的合法性或验证身份证读卡终端签名信息更具有安全性更高。
通过本实施例的技术方案,云认证平台502至少包括至少一个调度服务器5021和至少一个认证安全控制模块5022,由调度服务器5021完成身份证读卡终端501的身份证读卡终端证书认证,并为身份证读卡终端501提供认证安全控制模块5022调度服务,认证安全控制模块5022由调度服务器5021统一调度,身份证读卡终端501完成对认证安全控制模块5022的证书认证,保障云认证平台502的安全和身份证信息的安全。
实施例6
本实施例提供了一种身份证读卡终端与云认证平台认证系统,本实施例的系统与实施例3属于同一发明构思,与该方法一一对应,因此,与实施例3相同之处在此不再赘述,仅针对不同之处进行如下说明。
图4为本实施例提供的身份证读卡终端与云认证平台认证系统的架构示意图,该认证系统主要包括:身份证读卡终端601、云认证平台602;云认证平台602包括:调度服务器6021、认证安全控制模块6022。
身份证读卡终端601:用于发送身份证读卡终端传输信息至云认证平台602的调度服务器6021,身份证读卡终端传输信息至少包括身份证读卡终端证书,身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,身份证读卡终端内容信息至少包括身份证读卡终端证书编号;至少接收认证安全控制模块6022发送的云认证平台传输信息,云认证平台传输信息至少包括:认证证书;认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;身份证读卡终端601使用预存的根证书的公钥对认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断认证证书内容信息第一摘要与认证证书内容信息第二摘要是否一致。如果不一致,判断认证证书不合法,身份证读卡终端601停止向云认证平台602发送信息;步骤309:如果一致,判断认证证书合法,认证证书正常。
调度服务器6021,用于接收身份证读卡终端传输信息,将身份证读卡终端传输信息发送至认证安全控制模块6022,根据认证安全控制模块6022发送的身份证读卡终端证书异常提示对身份证读卡终端601发送的信息进行调度处理,接收认证安全控制模块6022发送的身份证读卡终端证书正常提示。
认证安全控制模块6022,用于接收对身份证读卡终端证书或身份证读卡终端证书编号进行查询的查询结果,查询结果为数字证书在线查询服务器对身份证读卡终端证书或身份证读卡终端证书编号进行在线查询是否有效得到的;如果查询结果为无效,认证安全控制模块6022获得身份证读卡终端证书异常提示并发送至调度服务器6021,如果查询结果为有效,认证安全控制模块6022获得身份证读卡终端证书有效提示;使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到第一身份证读卡终端证书内容信息摘要,对身份证读卡终端证书内容信息进行散列计算,得到第二身份证读卡终端证书内容信息摘要,判断第一身份证读卡终端证书内容信息摘要与第二身份证读卡终端证书内容信息摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常并发送身份证读卡终端证书正常提示至调度服务器6021;向身份证读卡终端601发送云认证平台602传输信息。
在本实施例中,还可以有如下可选实施方式:如果查询结果为有效,认证安全控制模块6022获得身份证读卡终端证书有效提示;调度服务器6021,还用于至少接收身份证读卡终端证书,使用预存的根证书的公钥对身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断身份证读卡终端证书内容信息第一摘要与身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断身份证读卡终端证书合法,身份证读卡终端证书正常;调度服务器6021获取身份证读卡终端证书正常提示。
在本实施例中,步骤305a还可以有如下可选实施方式:调度服务器6021,还用于至少使用身份证读卡终端证书对身份证读卡终端签名信息进行验签操作;如果验签不通过,则获得身份证读卡终端签名异常提示;并根据身份证读卡终端签名异常提示对身份证读卡终端发送的信息进行处理。
需要说明的是,以上对身份证读卡终端证书是否正常的验证和对身份证读卡终端签名信息进行验签的之间并不具有对应关系,也就是说,身份证读卡终端证书的有效性的结果由认证安全控制模块6022接收的情况下,对该证书的合法性验证还可以由调度服务器6021进行;在合法性验证由调度服务器6021进行的情况下,对身份证读卡终端签名信息的验签操作可以由调度服务器6021进行,也可以由认证安全控制模块6022进行。本实施例并不做限制。
通过本实施例的技术方案,云认证平台602至少包括至少一个调度服务器6021和至少一个认证安全控制模块6022,由认证安全控制模块6022对身份证读卡终端601进行证书认证,将认证结果发送至调度服务器6021,调度服务器6021为身份证读卡终端601提供认证安全控制模块6022调度服务,认证安全控制模块6022由调度服务器6021统一调度,身份证读卡终端601完成对认证安全控制模块6022的证书认证,保障云认证平台602的安全和身份证信息的安全。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。

Claims (10)

1.一种身份证读卡终端与云认证平台认证方法,其特征在于,包括:
身份证读卡终端发送身份证读卡终端传输信息至云认证平台,所述身份证读卡终端传输信息至少包括身份证读卡终端证书,所述身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对所述身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,所述身份证读卡终端内容信息至少包括身份证读卡终端证书编号;
所述云认证平台接收所述身份证读卡终端传输信息,接收对身份证读卡终端证书或所述身份证读卡终端证书编号进行查询的查询结果,所述查询结果为数字证书在线查询服务器对身份证读卡终端证书或所述身份证读卡终端证书编号进行在线查询是否有效得到的;
如果查询结果为无效,所述云认证平台获得身份证读卡终端证书异常提示,根据所述身份证读卡终端证书异常提示对所述身份证读卡终端发送的信息进行处理;
如果查询结果为有效,所述云认证平台获得身份证读卡终端证书有效提示;
所述云认证平台使用预存的根证书的公钥对所述身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对所述身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断所述身份证读卡终端证书内容信息第一摘要与所述身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断所述身份证读卡终端证书合法,所述身份证读卡终端证书正常;
所述身份证读卡终端至少接收所述云认证平台发送的云认证平台传输信息,所述云认证平台传输信息至少包括:认证证书;所述认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;
所述身份证读卡终端使用预存的根证书的公钥对所述认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对所述认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断所述认证证书内容信息第一摘要与所述认证证书内容信息第二摘要是否一致;
如果不一致,判断所述认证证书不合法,所述身份证读卡终端停止向所述云认证平台发送信息;
如果一致,判断所述认证证书合法,所述认证证书正常。
2.根据权利要求1所述的方法,其特征在于:
所述身份证读卡终端传输信息还包括所述身份证读卡终端签名信息;
所述方法还包括:
所述云认证平台至少使用所述身份证读卡终端证书对所述身份证读卡终端签名信息进行验签操作;
如果验签不通过,则生成所述身份证读卡终端签名异常提示;
所述云认证平台还根据所述身份证读卡终端签名异常提示对所述身份证读卡终端发送的信息进行处理。
3.根据权利要求1所述的方法,其特征在于,还包括:
所述身份证读卡终端通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息,将所述使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预存在所述身份证读卡终端内的验证PIN码、验证指纹信息和/或验证人脸信息进行比较,若一致,则所述身份证读卡终端判断使用者合法,允许所述使用者使用所述身份证读卡终端。
4.根据权利要求1所述的方法,其特征在于,还包括:
所述身份证读卡终端通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;
所述身份证读卡终端将所述使用者PIN码、所述使用者指纹信息和/或所述使用者人脸信息发送至所述云认证平台;
所述云认证平台接收所述使用者PIN码、所述使用者指纹信息和/或所述使用者人脸信息;将所述使用者PIN码、所述使用者指纹信息和/或所述使用者人脸信息分别与预设存储区域内的验证PIN码、验证指纹信息和/或验证人脸信息是否一致进行比较,得到比较结果。
5.根据权利要求4所述的方法,其特征在于,还包括:
若所述比较结果为一致,所述云认证平台将所述身份证读卡终端使用者合法提示发送至所述身份证读卡终端,所述身份证读卡终端接收所述身份证读卡终端使用者合法提示,允许所述使用者使用所述身份证读卡终端;
若所述比较结果为不一致,所述云认证平台将所述身份证读卡终端使用者非法提示发送至所述身份证读卡终端,所述身份证读卡终端接收所述身份证读卡终端使用者非法提示,不允许所述使用者使用所述身份证读卡终端。
6.一种身份证读卡终端与云认证平台认证系统,其特征在于,包括:身份证读卡终端和云认证平台;
所述身份证读卡终端,用于发送身份证读卡终端传输信息至所述云认证平台,所述身份证读卡终端传输信息至少包括身份证读卡终端证书,所述身份证读卡终端证书至少包括:身份证读卡终端证书内容信息,对所述身份证读卡终端内容信息进行签名得到的身份证读卡终端证书签名信息,其中,所述身份证读卡终端内容信息至少包括身份证读卡终端证书编号;所述身份证读卡终端至少接收所述云认证平台发送的云认证平台传输信息,所述云认证平台传输信息至少包括:认证证书;所述认证证书至少包括:认证证书内容信息和对认证内容信息进行签名得到的认证证书签名信息;所述身份证读卡终端使用预存的根证书的公钥对所述认证证书签名信息进行解密,得到认证证书内容信息第一摘要,对所述认证证书内容信息进行散列计算,得到认证证书内容信息第二摘要,判断所述认证证书内容信息第一摘要与所述认证证书内容信息第二摘要是否一致;如果不一致,判断所述认证证书不合法,所述身份证读卡终端停止向所述云认证平台发送信息;如果一致,判断所述认证证书合法,所述认证证书正常;
所述云认证平台,用于接收所述身份证读卡终端传输信息,接收对身份证读卡终端证书或所述身份证读卡终端证书编号进行查询的查询结果,所述查询结果为数字证书在线查询服务器对身份证读卡终端证书或所述身份证读卡终端证书编号进行在线查询是否有效得到的;如果查询结果为无效,所述云认证平台获得身份证读卡终端证书异常提示,根据所述身份证读卡终端证书异常提示对所述身份证读卡终端发送的信息进行处理;如果查询结果为有效,所述云认证平台获得身份证读卡终端证书有效提示;使用预存的根证书的公钥对所述身份证读卡终端证书签名信息进行解密,得到身份证读卡终端证书内容信息第一摘要,对所述身份证读卡终端证书内容信息进行散列计算,得到身份证读卡终端证书内容信息第二摘要,判断所述身份证读卡终端证书内容信息第一摘要与所述身份证读卡终端证书内容信息第二摘要是否相同,如果相同,则判断所述身份证读卡终端证书合法,所述身份证读卡终端证书正常。
7.根据权利要求6所述的系统,其特征在于:
所述身份证读卡终端传输信息还包括所述身份证读卡终端签名信息;
所述云认证平台,还用于至少使用所述身份证读卡终端证书对所述身份证读卡终端签名信息进行验签操作;如果验签不通过,则生成所述身份证读卡终端签名异常提示;根据所述身份证读卡终端签名异常提示对所述身份证读卡终端发送的信息进行处理。
8.根据权利要求6所述的系统,其特征在于:
所述身份证读卡终端,还用于通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息,将所述使用者PIN码、使用者指纹信息和/或使用者人脸信息分别与预存在安全芯片内的验证PIN码、验证指纹信息和/或验证人脸信息进行比较,若一致,则所述身份证读卡终端判断使用者合法,允许所述使用者使用所述身份证读卡终端。
9.根据权利要求6所述的系统,其特征在于:
所述身份证读卡终端,还用于通过接收模块接收使用者PIN码、使用者指纹信息和/或使用者人脸信息;将所述使用者PIN码、所述使用者指纹信息和/或所述使用者人脸信息发送至所述云认证平台;
所述云认证平台,还用于接收所述使用者PIN码、所述使用者指纹信息和/或所述使用者人脸信息;将所述使用者PIN码、所述使用者指纹信息和/或所述使用者人脸信息分别与预设存储区域内的验证PIN码、验证指纹信息和/或验证人脸信息是否一致进行比较,得到比较结果。
10.根据权利要求9所述的系统,其特征在于:
所述云认证平台,还用于若所述比较结果为一致,将所述身份证读卡终端使用者合法提示发送至所述身份证读卡终端,所述身份证读卡终端,还用于接收所述身份证读卡终端使用者合法提示,允许所述使用者使用所述身份证读卡终端;
所述云认证平台,还用于若所述比较结果为不一致,将所述身份证读卡终端使用者非法提示发送至所述身份证读卡终端,所述身份证读卡终端,还用于接收所述身份证读卡终端使用者非法提示,不允许所述使用者使用所述身份证读卡终端。
CN201610041541.8A 2016-01-21 2016-01-21 身份证读卡终端与云认证平台认证方法和系统 Active CN106027470B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610041541.8A CN106027470B (zh) 2016-01-21 2016-01-21 身份证读卡终端与云认证平台认证方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610041541.8A CN106027470B (zh) 2016-01-21 2016-01-21 身份证读卡终端与云认证平台认证方法和系统

Publications (2)

Publication Number Publication Date
CN106027470A CN106027470A (zh) 2016-10-12
CN106027470B true CN106027470B (zh) 2019-06-28

Family

ID=57082691

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610041541.8A Active CN106027470B (zh) 2016-01-21 2016-01-21 身份证读卡终端与云认证平台认证方法和系统

Country Status (1)

Country Link
CN (1) CN106027470B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109145551A (zh) * 2018-06-27 2019-01-04 珠海宏桥高科技有限公司 一种快速核实居民身份的方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3801976B2 (ja) * 2002-11-19 2006-07-26 日立オムロンターミナルソリューションズ株式会社 カード処理装置
CN101241569B (zh) * 2008-03-07 2011-09-14 北京华大恒泰科技有限责任公司 电子签章方法和装置及系统
CN101778102B (zh) * 2009-12-31 2013-05-08 卓望数码技术(深圳)有限公司 一种传感器的安全认证方法、传感器及其认证系统
CN104715218A (zh) * 2015-04-02 2015-06-17 山东信通电子股份有限公司 居民身份证网络读卡终端

Also Published As

Publication number Publication date
CN106027470A (zh) 2016-10-12

Similar Documents

Publication Publication Date Title
CN106027251B (zh) 一种身份证读卡终端与云认证平台数据传输方法和系统
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
CN102215221B (zh) 从移动设备对计算机的安全远程唤醒、引导及登录的方法和系统
CN106027473B (zh) 身份证读卡终端与云认证平台数据传输方法和系统
US8452954B2 (en) Methods and systems to bind a device to a computer system
EP3009951B1 (en) Authenticated self-service terminal (sst) access
CN114553568A (zh) 一种基于零信任单包认证与授权的资源访问控制方法
CN101588245B (zh) 一种身份认证的方法、系统及存储设备
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN105429760A (zh) 一种基于tee的数字证书的身份验证方法及系统
EP2721764B1 (en) Revocation status using other credentials
US20090199009A1 (en) Systems, methods and computer program products for authorising ad-hoc access
CN105050081A (zh) 网络接入设备接入无线网络接入点的方法、装置和系统
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
CN105488367B (zh) 一种sam装置的保护方法、后台及系统
TWM623435U (zh) 使用多安全層級驗證客戶身分與交易服務之系統
CN101262342A (zh) 分布式授权与验证方法、装置及系统
CN101841525A (zh) 安全接入方法、系统及客户端
CN111954211B (zh) 一种移动终端新型认证密钥协商系统
CN106790064A (zh) 可信根服务器‑云计算服务器模型中双方进行通信的方法
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN107135205A (zh) 一种网络接入方法和系统
CN102893575A (zh) 借助于ipsec和ike第1版认证的一次性密码
CN110505055A (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统
EP2827529B1 (en) Method, device, and system for identity authentication

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220407

Address after: Tiantianrong building, No. 1, Zhongguancun, Beiqing Road, Haidian District, Beijing 100094

Patentee after: TENDYRON Corp.

Address before: 100086 room 603, building 12, taiyueyuan, Haidian District, Beijing

Patentee before: Li Ming