CN108075894B - 一种身份认证在线处理方法和系统 - Google Patents
一种身份认证在线处理方法和系统 Download PDFInfo
- Publication number
- CN108075894B CN108075894B CN201611024516.5A CN201611024516A CN108075894B CN 108075894 B CN108075894 B CN 108075894B CN 201611024516 A CN201611024516 A CN 201611024516A CN 108075894 B CN108075894 B CN 108075894B
- Authority
- CN
- China
- Prior art keywords
- authentication
- identity
- intelligent device
- copy
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种身份认证在线处理方法和系统,所述方法包括:S1‑1,提供一智能设备,通过该智能设备连接一读卡器,使用读卡器读取身份卡内存储的身份信息;S1‑2,智能设备将S1‑1中读取的所述身份信息与预先存储的身份副本进行匹配;S1‑3,智能设备向一认证服务器请求身份副本;S1‑4,基于S1‑1中读取的所述身份信息来生成第一认证信息源;S1‑5,接收输入的认证码,基于S1‑1中读取的所述身份信息和所述认证码生成第二认证信息源;步骤S1‑6,现场采集被验证者的生物信息;S1‑7,基于S1‑3中的所述第一认证信息源、S1‑5中的第二认证信息源和S1‑6中的生物信息与预先存储的身份证信息相比对来进行身份认证。本发明提供了一种新的身份认证处理方法。
Description
技术领域
本发明涉及互身份认证技术,更具体的,涉及一种基于身份信息和生物识别的身份认证在线处理方法和系统。
背景技术
随着中国社会的发展,无论是政务,金融,等需要身份的核验的业务需求量越来越大,并且核验的标准和用户隐私安全也越来越高,但是高安全度的核验需求还是需要用户到办理现场核验身份,这不但浪费了人大量的时间精力,给用户带来极大的不便。所以,目前二代身份证和网络产品的结合来验证用户信息的形式出现了,极大地方便了市民办理相关业务,并且极大地提高了业务办理的效率。但是由于相当部分用户窃取他人身份证进行身份实名注册,产生了实名信息的安全漏洞。而且对身份核验需求高的业务根本无法满足需求。在互联网技术日益成熟的当前,在“互联网+政务”的政策响应下,用户实名制需求日趋强烈,有必要且有可能开发出一套基于互联网技术的高安全度的身份认证系统。
发明内容
针对现有技术的缺点,本发明提出一种身份认证在线处理方法,包括:
S1-1,提供一智能设备,通过该智能设备连接一读卡器,使用读卡器读取身份卡内存储的身份信息;
S1-2,智能设备将S1-1中读取的所述身份信息与预先存储的身份副本进行匹配,如果匹配不成功,则进入S1-3来进行身份副本下载,如果匹配成功,则进入S1-4开始进行活体验证;
S1-3,智能设备向一认证服务器请求身份副本,通过后设置认证码与所述身份副本绑定在认证服务器上;
S1-4,基于S1-1中读取的所述身份信息来生成第一认证信息源;
S1-5,接收输入的认证码,基于S1-1中读取的所述身份信息和所述认证码生成第二认证信息源;
步骤S1-6,现场采集被验证者的生物信息;
S1-7,基于S1-3中的所述第一认证信息源、S1-5中的第二认证信息源和S1-6中的生物信息与预先存储的身份证信息相比对来进行身份认证。
本发明还提出一种身份认证在线处理系统,包括:智能设备、读卡器、业务服务器和认证服务器,其中,
该智能设备连接读卡器,使用读卡器读取身份卡内存储的身份信息;
智能设备将读取的所述身份信息与预先存储的身份副本进行匹配,如果匹配不成功,则进行身份副本下载,如果匹配成功,则开始进行活体验证;
智能设备向认证服务器请求身份副本,通过后设置认证码与所述身份副本绑定在认证服务器上;
智能设备基于读取的所述身份信息来生成第一认证信息源;
智能设备接收输入的认证码,基于读取的所述身份信息和所述认证码生成第二认证信息源;
智能设备现场采集被验证者的生物信息;
智能设备将所述第一认证信息源、第二认证信息源和生物信息发送至业务服务器,与预先存储的身份证信息相比对来进行身份认证。
本发明的有益效果包括:
1、快捷方便,实现了随时随地远程进行高标准的“实名+实证+实人”的身份认证功能。
2、高安全性,在认证过程中,认证信息经过哈希算法加密处理,保证用户的隐私信息不会外泄。
2、本发明提供的认证模式,添加了人像和身份证的认证源,保证认证用户的唯一性,实现了防止认证用户冒名顶替认证。
3、本系统向用户提供了多种不同安全等级的认证模式,包括:
实名认证方式,它对身份证和姓名进行认证;
实名+实人认证方式,它对用户身份证号和姓名和用户人像进行认证;
实证+实人认证方式,它对身份证和用户人像进行校验;
实名+实证+实人认证方式。
4、第三方可以根据业务需求接入本系统来进行不同的认证方式。
附图说明
图1为本发明的身份认证在线处理方法的一个实施例的流程图。
图2为本发明的身份认证在线处理方法的又一个实施例的流程图。
图3为本发明的身份认证在线处理方法的又一个实施例的流程图。
图4为本发明的身份认证在线处理方法的又一个实施例的流程图。
图5为本发明的身份认证在线处理方法的又一个实施例的流程图。
图6为本发明的身份认证在线处理方法的又一个实施例的流程图。
具体实施方式
下面参照附图描述本发明的实施方式,其中相同的部件用相同的附图标记表示。
第一实施方式
图1显示了本发明的身份认证在线处理方法的一个实施方式的流程图。
在步骤S1-1,提供一智能设备,通过该智能设备连接一读卡器,使用读卡器读取身份卡内存储的身份信息。
其中,所述身份卡可以是二代身份证、公司员工卡、学生卡等。所述读卡器可以读取所述身份卡的电子设备。所述智能设备为手机、平板电脑、服务器等。
优选地,将S1-1中读取的身份信息进行加密(例如采用哈希算法)作为验证数据。
步骤S1-2,智能设备将步骤S1-1中读取的所述身份信息与预先存储的身份副本进行匹配。如果匹配不成功,则进入步骤S1-3来进行身份副本下载。如果匹配成功,则进入步骤S1-4开始进行活体验证。其中,所述身份副本包含所述身份信息。
步骤S1-3,智能设备向认证服务器请求身份副本,通过后设置认证码与所述身份副本绑定在认证服务器上。身份副本下载的具体过程包括:
a1)智能设备构造身份副本请求,向认证服务器(权威可信)发送所述身份副本请求。所述身份副本请求具有智能设备的私钥签名。
a2)认证服务器认证通过后,返回身份副本应答。所述身份副本应答具有认证服务器的私钥签名。身份副本应答含有准许读卡器读取身份信息的凭证和业务处理数据,业务处理数据包括随机数和验证数据(例如业务号)。
a3)智能设备从所述身份副本应答中提取所述验证数据和随机数,基于所述验证数据和随机数生成身份副本下载请求,发送至所述认证服务器。所述身份副本下载请求具有智能设备的私钥签名。
a4)认证服务器认证通过后,返回身份副本至智能设备。进一步,用户可以针对该身份副本设置认证码,该认证码与该身份副本一对一绑定,存储在认证服务器上。
步骤S1-4,基于S1-1中读取的所述身份信息来生成第一认证信息源。优选地,使用哈希算法对所述身份信息加密来生成所述第一认证信息源。
步骤S1-5,接收输入的认证码(例如为预定长度的数字的组合),基于S1-1中读取的所述身份信息和所述认证码生成第二认证信息源。
步骤S1-6,现场采集被验证者的生物信息,所述生物信息可以是人像照片或语音等。在活体检测技术过程中,通过指引用户按照提示做相应的动作,经过建模检测摄像头前的人是有意识,能够活动并且是立体的人脸。优选地,对所述生物信息进行加密。具体地,所述采集所述生物信息的过程包括:
b1)向被验证者给出需做的相应反应的提示。所述相应反应可以是:提示做出左右摇头、上下点头等,或者朗读一段话或自己的身份卡卡号。
b2)采集被验证者的反应信息作为生物信息。优选地,对所述反应信息处理后作为生物信息,所述处理例如可以是:对拍摄的图片仅截取人脸,以减少数据量。
步骤S1-7,基于S1-3中的所述第一认证信息源、S1-5中的第二认证信息源和S1-6中的生物信息发送到认证服务器,与预先存储的身份证信息相比对来进行身份认证。
第二实施方式
第二实施方式与第一实施方式相比,在步骤S1-1中增加了智能设备对读卡器进行硬件身份验证的过程,具体为:
如果智能设备是第一次连接该读卡器,则对该读卡器进行验证。
一种验证方法是:通过判断读取身份卡的身份信息是否已经存储,来判断是否为第一次连接该读卡器。
如图2所示,另一种验证方法还可以是:
b1)向读卡器发送验证指令。
b2)读卡器返回第一验证数据包,所述第一验证数据包括:读卡器唯一序列号(例如MAC地址)、第一校验值,所述第一校验值为一可变序列号的哈希值(可以采用MD5算法)的读卡器私钥签名。优选地,所述第一验证数据还可以包括:第一补充校验值,所述第一补充校验值为读卡器唯一序列号和第一校验值的哈希值的读卡器私钥签名。所述可变序列号可以为读卡器随机生成的。优选地,所述可变序列号为所述读卡器被验证的次数。
b3)利用读卡器的公钥对所述第一验证数据进行身份验证。
优选地,读卡器也可以对智能设备进行身份验证,如下b4)-b6):
b4)如果b3)中身份验证通过,智能设备向读卡器发送第二验证数据,所述第二验证数据包括:智能设备唯一序列号(例如MAC地址)、第二校验值,所述第二校验值为一可变序列号的哈希值(可以采用MD5算法)的智能设备私钥签名。优选地,所述第二验证数据还可以包括:第二补充校验值,所述第二补充校验值为智能设备唯一序列号、第二校验值的哈希值和一固定秘钥的智能设备私钥签名。所述可变序列号可以为智能设备随机生成的。优选地,所述可变序列号为所述智能设备的。
b5)读卡器通过智能设备的公钥对第二验证数据进行身份验证。
b6)如果验证通过,则允许智能设备连接读卡器;如果验证失败,则拒绝连接。
第三实施方式
在一个更优选实施方式中,设置一业务服务器和一认证服务器,具体来进行业务处理和身份认证,如图3所示。
在步骤S3-1,提供一智能设备,通过该智能设备连接一读卡器,使用读卡器读取身份卡内存储的身份信息。
其中,所述身份卡可以是二代身份证、公司员工卡、学生卡等。所述读卡器可以读取所述身份卡的电子设备。所述智能设备为手机、平板电脑、服务器等。
优选地,将S3-1中读取的身份信息进行加密(例如采用哈希算法)。
优选地,如果智能设备是第一次连接该读卡器,则对该读卡器进行验证,具体为:
c1)智能设备向读卡器发送验证指令。
c2)读卡器返回第一验证数据包,所述第一验证数据包括:读卡器唯一序列号(例如MAC地址)、第一校验值,所述第一校验值为一可变序列号的哈希值(可以采用MD5算法)的读卡器私钥签名。优选地,所述第一验证数据还可以包括:第一补充校验值,所述第一补充校验值为读卡器唯一序列号和第一校验值的哈希值的读卡器私钥签名。所述可变序列号可以为读卡器随机生成的。优选地,所述可变序列号为所述读卡器被验证的次数。
c3)智能设备将所述第一验证数据包发送至业务服务器,业务服务器利用读卡器的公钥对所述第一验证数据进行身份验证。
优选地,读卡器也可以对业务服务器进行身份验证,如下c4)-c6):
c4)如果c3)中身份验证通过,业务服务器经由智能设备向读卡器发送第二验证数据,所述第二验证数据包括:业务服务器唯一序列号(例如MAC地址)、第二校验值,所述第二校验值为一可变序列号的哈希值(可以采用MD5算法)的业务服务器私钥签名。优选地,所述第二验证数据还可以包括:第二补充校验值,所述第二补充校验值为业务服务器唯一序列号、第二校验值的哈希值和一固定秘钥的业务服务器私钥签名。所述可变序列号可以为业务服务器设备随机生成的。优选地,所述可变序列号为所述业务服务器的被验证次数。
c5)读卡器通过业务服务器的公钥对第二验证数据进行身份验证。
c6)如果验证通过,则允许智能设备连接读卡器;如果验证失败,则拒绝连接该读卡器。
步骤S3-2,智能设备将步骤S3-1中读取的所述身份信息与预先存储的身份副本进行匹配。如果匹配不成功,则进入步骤S3-3来进行身份副本下载。如果匹配成功,则进入步骤S3-4开始进行活体验证。其中,所述身份副本包含所述身份信息。
步骤S3-3,智能设备向认证服务器请求身份副本,通过后设置认证码与所述身份副本绑定在认证服务器上。身份副本下载的具体过程包括:
d1)智能设备基于S3-1中读取的所述身份信息来构造身份副本请求,向业务服务器发送所述身份副本请求。所述身份副本请求具有智能设备的私钥签名。
d2)业务服务器对所述身份副本请求签名,并转发至认证服务器(权威可信)。
d3)认证服务器处理后,返回身份副本应答至业务服务器。所述身份副本应答包中包含验证数据和一随机数。所述身份副本应答具有认证服务器的私钥签名。副本应答包含有准许读卡器读取身份信息的凭证和业务处理数据,业务处理数据包括随机数和业务号。
d4)所述业务服务器对所述身份副本应答签名转发至智能设备。
d5)智能设备从所述身份副本应答中提取所述验证数据和随机数,生成身份副本下载请求,发送至所述认证服务器。身份副本下载请求包含有身份证信息生成的哈希值(主要认证信息源),业务号,客户端号等。
d6)业务服务器对所述身份副本请求签名,并转发至认证服务器。
d7)认证服务器处理后,返回身份副本至业务服务器。身份副本可以是由身份证姓名和身份证号,有效日期等身份证数据的哈希值。
d8)所述业务服务器对所述身份副本签名转发至智能设备,从而智能设备获得身份副本。
进一步,用户可以针对该身份副本设置认证码,该认证码与该身份副本一对一绑定,存储在认证服务器上。
优选地,智能设备存储身份副本时设置口令,在后续操作中,只有输入正确口令,智能设备才能打开所述身份副本。
再次参考图3,在步骤S3-4,智能设备基于S3-1中读取的所述身份信息来生成第一认证信息源。优选地,使用哈希算法对所述身份信息加密来生成所述第一认证信息源。
步骤S3-5,智能设备接收输入的认证码(预定长度的数字的组合),基于S3-1中读取的所述身份信息和所述认证码生成第二认证信息源。
步骤S3-6,智能设备现场采集被验证者的生物信息,所述生物信息可以是人像照片或语音等。优选地,对所述生物信息进行加密。具体地,所述采集所述生物信息的过程包括:
e1)向被验证者给出需做的相应反应的提示。所述相应反应可以是:提示做出左右摇头、上下点头等,或者朗读一段话或自己的身份卡卡号。
e2)采集被验证者的反应信息作为生物信息。优选地,对所述反应信息处理后作为生物信息,所述处理例如可以是:对拍摄的图片仅截取人脸,以减少数据量。通过人脸识别和追踪技术判断用户是否做了点头还是摇头的动作,同时实现了活体认证。
步骤S3-7,基于S3-3中的所述第一认证信息源、S3-5中的第二认证信息源和S3-6中的生物信息与预先存储的身份证信息相比对来进行身份认证。具体包括:
f1)智能设备将S3-3中的所述第一认证信息源、S3-5中的第二认证信息源和S3-6中的生物信息发送至业务服务器。
f2)业务服务器将收到的信息签名转发至认证服务器。
f3)认证服务器验证后将验证结果发给业务服务器。
f4)业务服务器将结果转发至智能设备,由智能设备解析验证结果。具体为,基于S3-3中的所述第一认证信息源、S3-5中的第二认证信息源和S3-6中的生物信息与预先存储的身份证信息相比对。
第四实施例
在第三实施例的基础上提出本实施例。
如图4所示,智能设备B可以通过智能设备A实现身份认证。
S4-1,智能设备B向智能设备A请求临时凭证(access_token)。智能设备可以通过发送设备ID、随机数、用户唯一标志等信息,并私钥签名来向智能设备A请求临时凭证。
有利地,智能设备B可以定时向智能设备A请求刷新临时凭证,并使得旧的临时凭证无效。
S4-2,智能设备A基于智能设备B的身份来生成有效凭证(cert_token)并发送给智能设备B。
S4-3,接入时,智能设备B向智能设备A发送所述有效凭证,智能设备A验证合法后准许接入。
S4-4,由智能设备A代为向业务服务器和认证服务器进行身份验证(过程与第三实施例相同,再次不再详述),并将验证结果返回至智能设备B。
再又一个实施例中,智能设备B可以是一个二维码。如图5所示。
所述二维码包括如上通过步骤S4-1至S4-2获取的有效凭证、用户身份信息。接下来,智能设备A可以通过扫描该二维码来判断该二维码是否授权。如果授权,则允许接入业务服务器和认证服务器来进行身份认证。
进一步,认证结果可以通过有效凭证返回给该二维码所属第三方服务器。
第五实施例
在第四实施例的基础上提出本实施例。如图6所示。
1)智能设备B向业务服务器请求有效凭证(cert_token)。请求凭证发方式可以类似第四实施例。
2)智能设备B生成二维码,该二维码包括所述有效凭证,还可以包括认证模式等。
3)智能设备A扫描所述二维码获取所述有效凭证。
4)智能设备A向认证服务器发送所述二维码,来验证所述二维码是否合法。
5)智能设备A根据认证模式收集相关认证数据(采集活体人像照片/读身份信息/读取当前地理位置)。
6)智能设备A向业务服务器提交所述认证数据。
7)业务服务器验证二维码凭证的合法性,并且向认证服务器请求认证。
8)业务服务器把认证结果相关数据存储到数据库。
9)认证服务器向智能设备B推送认证结果。
本实施例方便地实现了面对面认证。
第六实施例
本发明还提出一种身份认证在线处理系统,如图6所示。
所述处理系统包括一智能设备和一读卡器(未示出)。所述智能设备能够连接到所述读卡器并与所述读卡器进行通信。优选地,智能设备为手机,读卡器通过手机USB口连接到所述手机以进行取电。但是读卡器通过蓝牙方式与手机进行通信。
该智能设备连接读卡器,使用读卡器读取身份卡内存储的身份信息。
其中,所述身份卡可以是二代身份证、公司员工卡、学生卡等。所述读卡器可以读取所述身份卡的电子设备。所述智能设备为手机、平板电脑、服务器等。
优选地,智能设备将读取的身份信息进行加密(例如采用哈希算法)。
优选地,所述处理系统还包括一业务服务器和一认证服务器,具体来进行业务处理和身份认证。业务服务器和认证服务器可以集成到一起。业务服务器可以与智能设备集成到一起。
优选地,如果智能设备是第一次连接该读卡器,则对该读卡器进行验证,具体为:
c1)智能设备向读卡器发送验证指令。
c2)读卡器返回第一验证数据包,所述第一验证数据包括:读卡器唯一序列号(例如MAC地址)、第一校验值,所述第一校验值为一可变序列号的哈希值(可以采用MD5算法)的读卡器私钥签名。优选地,所述第一验证数据还可以包括:第一补充校验值,所述第一补充校验值为读卡器唯一序列号和第一校验值的哈希值的读卡器私钥签名。所述可变序列号可以为读卡器随机生成的。优选地,所述可变序列号为所述读卡器被验证的次数。
c3)智能设备将所述第一验证数据包发送至业务服务器,业务服务器利用读卡器的公钥对所述第一验证数据进行身份验证。
优选地,读卡器也可以对业务服务器进行身份验证,如下c4)-c6):
c4)如果c3)中身份验证通过,业务服务器经由智能设备向读卡器发送第二验证数据,所述第二验证数据包括:业务服务器唯一序列号(例如MAC地址)、第二校验值,所述第二校验值为一可变序列号的哈希值(可以采用MD5算法)的业务服务器私钥签名。优选地,所述第二验证数据还可以包括:第二补充校验值,所述第二补充校验值为业务服务器唯一序列号、第二校验值的哈希值和一固定秘钥的业务服务器私钥签名。所述可变序列号可以为业务服务器设备随机生成的。优选地,所述可变序列号为所述业务服务器的被验证次数。
c5)读卡器通过业务服务器的公钥对第二验证数据进行身份验证。
c6)如果验证通过,则允许智能设备连接读卡器;如果验证失败,则拒绝连接该读卡器。
然后,智能设备读取的所述身份信息与预先存储的身份副本进行匹配。如果匹配不成功,则进行身份副本下载。如果匹配成功,则开始进行活体验证。其中,所述身份副本包含所述身份信息。
智能设备向认证服务器请求身份副本,通过后设置认证码与所述身份副本绑定在认证服务器上。身份副本下载的具体过程包括:
d1)智能设备基于从读卡器读取的所述身份信息来构造身份副本请求,向业务服务器发送所述身份副本请求。所述身份副本请求具有智能设备的私钥签名。
d2)业务服务器对所述身份副本请求签名,并转发至认证服务器。
d3)认证服务器处理后,返回身份副本应答包至业务服务器。所述身份副本应答包中包含验证数据和一随机数。所述身份副本应答具有认证服务器的私钥签名。副本应答包含有准许读卡器读取身份信息的凭证和业务处理数据,业务处理数据包括随机数和业务号。
d4)所述业务服务器对所述身份副本应答包签名转发至智能设备。
d5)智能设备从所述身份副本应答包中提取所述验证数据和随机数,生成身份副本下载请求,发送至所述认证服务器。身份副本下载请求包含有身份证信息生成的哈希值(主要认证信息源),业务号,客户端号等。
d6)业务服务器对所述身份副本请求签名,并转发至认证服务器。
d7)认证服务器处理后,返回身份副本至业务服务器。身份副本可以是由身份证姓名和身份证号,有效日期等身份证数据的哈希值。
d8)所述业务服务器对所述身份副本签名转发至智能设备,从而智能设备获得身份副本。
下面就进行身份认证,首先进行认证信息的采集。
智能设备基于从读卡器中读取的所述身份信息来生成第一认证信息源。优选地,使用哈希算法对所述身份信息加密来生成所述第一认证信息源。
智能设备接收输入的认证码(预定长度的数字的组合),基于从读卡器中读取的所述身份信息和所述认证码生成第二认证信息源。
智能设备现场采集被验证者的生物信息,所述生物信息可以是人像照片或语音等。优选地,对所述生物信息进行加密。具体地,所述采集所述生物信息的过程包括:
e1)向被验证者给出需做的相应反应的提示。所述相应反应可以是:提示做出左右摇头、上下点头等,或者朗读一段话或自己的身份卡卡号。
e2)采集被验证者的反应信息作为生物信息。优选地,对所述反应信息处理后作为生物信息,所述处理例如可以是:对拍摄的图片仅截取人脸,以减少数据量。
然后智能设备将采集的信息发送至业务服务器进行身份认证,包括:
f1)智能设备将所述第一认证信息源、第二认证信息源和生物信息发送至业务服务器。
f2)业务服务器将收到的信息签名转发至认证服务器。
f3)认证服务器验证后将验证结果发给业务服务器。
f4)业务服务器将结果转发至智能设备,由智能设备解析验证结果。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (6)
1.一种身份认证在线处理方法,其特征在于,包括:
S1,智能设备B向业务服务器请求有效凭证;
S2,智能设备B生成二维码,该二维码包括所述有效凭证、智能设备B的身份信息;
S3,智能设备A扫描所述二维码获取所述有效凭证;
S4,智能设备A向认证服务器发送所述二维码,来验证所述二维码是否合法;
S5,智能设备A将智能设备B的身份信息与预先存储的智能设备B的身份副本进行匹配,如果匹配不成功,则进入步骤S6,如果匹配成功,则进入步骤S7;
S6,智能设备A向认证服务器请求智能设备B的身份副本,通过后设置认证码与所述身份副本绑走在认证服务器上;
S7,智能设备A基于所述身份信息来生成第一认证信息;
S8,智能设备A接收从智能设备B获得的认证码,并且基于所述身份信息和所述认证码生成第二认证信息源;
S9,智能设备A收集被验证者的生物信息,并向业务服务器提交认证数据,业务服务器将认证数据发送给认证服务器,其中,认证数据包括第一认证信息源、第二认证信息源和生物信息;
S10,业务服务器验证二维码凭证的合法性,并且向认证服务器请求认证;
S11,认证服务器基于所述第一认证信息源、所述第二认证信息源和所述生物信息与预先存储的身份证信息相比对来进行身份认证;
S12,业务服务器把认证结果存储到数据库;
S13,认证服务器向智能设备B推送认证结果。
2.根据权利要求1所述的身份认证在线处理方法,其特征在于,请求身份副本的步骤包括:
d1)智能设备A基于所述身份信息来构造身份副本请求,向业务服务器发送所述身份副本请求;
d2)提供一业务服务器对所述身份副本请求签名,并转发至认证服务器;
d3)认证服务器处理后,返回身份副本应答至业务服务器,所述身份副本应答包中包含验证数据和一随机数;
d4)所述业务服务器对所述身份副本应答签名转发至智能设备A;
d5)智能设备A从所述身份副本应答中提取所述验证数据和随机数,生成身份副本下载请求,发送至所述认证服务器;
d6)业务服务器对所述身份副本请求签名,并转发至认证服务器;
d7)认证服务器处理后,返回身份副本至业务服务器;
d8)所述业务服务器对所述身份副本签名转发至智能设备A,从而智能设备A获得身份副本。
3.根据权利要求1所述的身份认证在线处理方法,其特征在于,所述二维码还包括认证模式,所述智能设备A根据所述认证模式开始认证。
4.一种身份认证在线处理系统,其特征在于,包括:智能设备A、智能设备B、业务服务器和认证服务器,其中,智能设备A、智能设备B、业务服务器和认证服务器完成如下操作:
S1,智能设备B向业务服务器请求有效凭证;
S2,智能设备B生成二维码,该二维码包括所述有效凭证、智能设备B的身份信息;
S3,智能设备A扫描所述二维码获取所述有效凭证;
S4,智能设备A向认证服务器发送所述二维码,来验证所述二维码是否合法;
S5,智能设备A将智能设备B的身份信息与预先存储的智能设备B的身份副本进行匹配,如果匹配不成功,则进入步骤S6,如果匹配成功,则进入步骤S7;
S6,智能设备A向认证服务器请求智能设备B的身份副本,通过后设置认证码与所述身份副本绑走在认证服务器上;
S7,智能设备A基于所述身份信息来生成第一认证信息;
S8,智能设备A接收从智能设备B获得的认证码,并且基于所述身份信息和所述认证码生成第二认证信息源;
S9,智能设备A收集被验证者的生物信息,并向业务服务器提交认证数据,业务服务器将认证数据发送给认证服务器,其中,认证数据包括第一认证信息源、第二认证信息源和生物信息;
S10,业务服务器验证二维码凭证的合法性,并且向认证服务器请求认证;
S11,认证服务器基于所述第一认证信息源、所述第二认证信息源和所述生物信息与预先存储的身份证信息相比对来进行身份认证;
S12,业务服务器把认证结果存储到数据库;
S13,认证服务器向智能设备B推送认证结果。
5.根据权利要求4所述的身份认证在线处理系统,其特征在于,请求身份副本的步骤包括:
d1)智能设备A基于读取的所述身份信息来构造身份副本请求,向业务服务器发送所述身份副本请求;
d2)业务服务器对所述身份副本请求签名,并转发至认证服务器;
d3)认证服务器处理后,返回身份副本应答至业务服务器,所述身份副本应答包中包含验证数据和一随机数;
d4)所述业务服务器对所述身份副本应答签名转发至智能设备A;
d5)智能设备A从所述身份副本应答中提取所述验证数据和随机数,生成身份副本下载请求,发送至所述认证服务器;
d6)业务服务器对所述身份副本请求签名,并转发至认证服务器;
d7)认证服务器处理后,返回身份副本至业务服务器;
d8)所述业务服务器对所述身份副本签名转发至智能设备,从而智能设备获得身份副本。
6.根据权利要求4所述的身份认证在线处理系统,其特征在于,所述二维码还包括认证模式,所述智能设备A根据所述认证模式开始认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611024516.5A CN108075894B (zh) | 2016-11-17 | 2016-11-17 | 一种身份认证在线处理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611024516.5A CN108075894B (zh) | 2016-11-17 | 2016-11-17 | 一种身份认证在线处理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108075894A CN108075894A (zh) | 2018-05-25 |
| CN108075894B true CN108075894B (zh) | 2023-03-28 |
Family
ID=62160714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611024516.5A Active CN108075894B (zh) | 2016-11-17 | 2016-11-17 | 一种身份认证在线处理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108075894B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108876375B (zh) * | 2018-06-29 | 2020-09-08 | 全链通有限公司 | 区块链实名参与方法和系统 |
| CN109413086B (zh) * | 2018-11-16 | 2020-11-24 | 创新先进技术有限公司 | 线上核验身份信息的方法及装置 |
| CN110049025A (zh) * | 2019-04-02 | 2019-07-23 | 公安部第三研究所 | 针对智能芯片卡实现安全遥毙处理的方法 |
| CN110851858B (zh) * | 2019-10-16 | 2023-09-05 | 上海源庐加佳信息科技有限公司 | 基于零知识证明的酒店个人隐私数据保护方法 |
| CN110855664A (zh) * | 2019-11-12 | 2020-02-28 | 广州大白互联网科技有限公司 | 一种网证体系 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102013001A (zh) * | 2010-12-06 | 2011-04-13 | 苏州国芯科技有限公司 | 一种具有认证功能的读卡器及其认证方法 |
| CN104618117A (zh) * | 2015-02-04 | 2015-05-13 | 北京云安世纪科技有限公司 | 基于二维码的智能卡设备的身份认证装置及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106100850B (zh) * | 2016-06-17 | 2019-07-05 | 公安部第三研究所 | 基于二维码的智能安全芯片签名信息传输方法及系统 |
-
2016
- 2016-11-17 CN CN201611024516.5A patent/CN108075894B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102013001A (zh) * | 2010-12-06 | 2011-04-13 | 苏州国芯科技有限公司 | 一种具有认证功能的读卡器及其认证方法 |
| CN104618117A (zh) * | 2015-02-04 | 2015-05-13 | 北京云安世纪科技有限公司 | 基于二维码的智能卡设备的身份认证装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 第二代居民身份证微型识别器;国伟 等;《警察技术》;20161107(第6期);参见正文第62至69页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108075894A (zh) | 2018-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108075894B (zh) | 一种身份认证在线处理方法和系统 | |
| CN109951489B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
| CN110741369B (zh) | 使用电子身份进行安全生物统计认证 | |
| KR101676215B1 (ko) | 추가적 검증에 의해 아날로그 디지털 서명으로 전자문서에 사인하는 방법 | |
| CN105429760B (zh) | 一种基于tee的数字证书的身份验证方法及系统 | |
| US8670562B2 (en) | Generation and use of a biometric key | |
| WO2012042775A1 (ja) | 生体認証システム、通信端末装置、生体認証装置、および生体認証方法 | |
| CA2636453A1 (en) | Multisystem biometric token | |
| WO2015188426A1 (zh) | 一种身份验证方法、装置、系统及相关设备 | |
| US20210327547A1 (en) | Systems, methods, and non-transitory computer-readable media for secure biometrically-enhanced data exchanges and data storage | |
| CN111654468A (zh) | 免密登录方法、装置、设备及存储介质 | |
| CN112035806B (zh) | 区块链中基于指纹识别生成分布式身份的方法和计算机可读介质 | |
| CN110545274A (zh) | 一种基于人证合一的uma服务的方法、装置和系统 | |
| WO2019010669A1 (zh) | 一种身份合法性验证的方法、装置及系统 | |
| CN111901106B (zh) | 去中心化身份系统中隐藏用户真实公钥的方法和计算机可读介质 | |
| CN108512660B (zh) | 虚拟卡的验证方法 | |
| CN115051812A (zh) | 一种基于二维码和生物特征的用户身份双重识别方法 | |
| Meshram et al. | An efficient remote user authentication with key agreement procedure based on convolution-Chebyshev chaotic maps using biometric | |
| CN112035813B (zh) | 区块链中基于指纹识别分层生成分布式身份的方法和计算机可读介质 | |
| JP2010072688A (ja) | 光学式読取りコードを用いた本人確認システム | |
| KR20220075723A (ko) | Did를 이용한 신원 인증 방법 및 시스템 | |
| WO2023022584A1 (en) | System and method for decentralising digital identification | |
| Chand et al. | Biometric Authentication using SaaS in Cloud Computing | |
| JP2002341762A (ja) | 電子署名代行方法、その装置、そのプログラム及びその記録媒体 | |
| KR20120010602A (ko) | 이동통신 시스템을 통해 보안이 강화된 사용자 인증 처리 방법 및 이에 이용되는 이동통신 단말기 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |