CN108234125B - 用于身份认证的系统和方法 - Google Patents
用于身份认证的系统和方法 Download PDFInfo
- Publication number
- CN108234125B CN108234125B CN201611191911.2A CN201611191911A CN108234125B CN 108234125 B CN108234125 B CN 108234125B CN 201611191911 A CN201611191911 A CN 201611191911A CN 108234125 B CN108234125 B CN 108234125B
- Authority
- CN
- China
- Prior art keywords
- subsystem
- identity
- user
- authentication
- application service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种用于身份认证的系统和方法,能够为用户提供个性化服务,能够最大程度地保护用户的身份信息和隐私信息。该系统包括:终端设备、应用服务子系统以及身份认证子系统;该终端设备用于向应用服务子系统发送业务请求;该应用服务子系统用于根据该业务请求向该身份验证系统发送用户认证请求;该身份认证子系统用于根据该用户认证请求,对该用户的身份进行认证;该身份认证子系统还用于在该用户的身份认证成功后,向该应用服务子系统发送该用户的身份信息的索引;该应用服务子系统还用于根据该索引,获取该用户的身份信息。
Description
技术领域
本发明实施例涉及信息安全领域,并且更具体地,涉及一种用于身份认证的系统和方法。
背景技术
随着互联网发展的日新月异,围绕着互联网应用的安全性问题得到日益广泛的关注。为了保护用户使用网络应用的安全性以及将用户与应用操作相关联,用户需要在相应的应用平台上输入自己的身份信息。该方式容易导致用户的身份信息泄露,甚至被不法分子盗用的危险,由此给用户带来了严重的影响。
发明内容
本发明实施例提供一种用于身份认证的系统和方法,无需用户输入身份信息,身份验证系统对电子签名验证成功后返回用户的身份信息的索引,应用服务子系统就能根据该索引获取用户的身份信息,从而为用户提供个性化服务,能够最大程度地保护用户的身份信息和隐私信息。
第一方面,提供一种用于身份认证的系统,该系统包括:终端设备、应用服务子系统以及身份认证子系统;该终端设备用于向应用服务子系统发送业务请求;该应用服务子系统用于根据该业务请求向该身份验证系统发送用户认证请求,该用户认证请求包括待签原文、该待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,其中,该电子签名由该个人身份信息载体根据该待签原文的摘要和该个人身份信息载体的私钥生成,该电子签名和该载体信息由该终端设备获取并发送至该应用服务子系统;该身份认证子系统用于根据该用户认证请求,对该用户的身份进行认证;该身份认证子系统还用于在该用户的身份认证成功后,获取该用户的身份信息的索引,并向该应用服务子系统发送该索引;该应用服务子系统还用于根据该应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及该索引,获取该用户的身份信息。
在该方案中,用户无需输入身份信息,仅需要使用个人身份信息载体对待签原文的摘要进行电子签名,应用服务子系统就能获取用户的身份信息,从而为个人提供个性化服务,能够最大程度地保护个人身份和隐私信息。
在第一方面可能的实现方式中,该身份认证子系统具体用于在该用户的身份认证成功后,根据该载体信息确定该用户的身份信息,并根据该用户的身份信息计算应用对应的该用户的身份信息的索引。
在该方案中,与身份认证子系统存储索引和身份信息的对应关系相比,该身份认证子系统可以根据身份信息计算应用对应的该用户的身份信息的索引,能够节省身份认证子系统的存储空间。进一步地,不同的应用对应的同一个用户的身份信息的索引不同,能够将用户的身份信息的索引和应用关联,有利于身份认证子系统对索引的管理,该方案具有较好的兼容性以及适用性。
可选地,在第一方面可能的实现方式中,该身份认证子系统还用于接收该应用服务子系统发送的应用标识,该应用标识与该应用服务子系统对应;该身份认证子系统根据该应用标识确定该应用服务子系统对应的应用;该身份认证子系统具体用于在该用户的身份认证成功后,根据该载体信息确定该用户的身份信息,并根据该用户的身份信息计算该应用对应的该用户的身份信息的索引。
在第一方面可能的实现方式中,该应用服务子系统还用于向该身份认证子系统发送应用认证请求,该应用认证请求包括该身份验证系统预先分配给该应用服务子系统的应用标识;该身份验证子系统还用于通过对该应用标识进行验证,以对该应用进行认证;该身份验证子系统具体用于在该应用认证成功后,根据该用户认证请求对该用户的身份进行认证。
在该方案中,身份认证子系统先对应用进行认证,在应用认证成功再对用户进行认证,能够提高身份认证的安全性。进一步地,该方案可以避免盲目的对用户的个人身份进行认证,可以提高身份认证子系统的认证效率。
在第一方面可能的实现方式中,该用户认证请求承载于请求报文中,该应用服务子系统还用于根据该应用服务子系统的传输密钥和该请求报文,生成第一报文签名,并向该身份认证子系统发送该第一报文签名;该身份认证子系统还用于在该应用标识验证成功后,根据该应用服务子系统的传输密钥和该请求报文对该第一报文签名进行验证;该身份认证子系统具体用于在该第一报文签名验证成功后,根据该用户认证请求对该用户的身份进行认证。
在该方案中,身份认证子系统可以通过验证第一报文签名,以验证该请求报文的有效性,可以避免根据无效的请求报文获取用户的身份信息的索引,该方案可以提高身份认证的安全性以及效率。
在第一方面可能的实现方式中,该索引承载于响应报文中,该身份认证子系统还用于根据该身份认证子系统的传输密钥和该响应报文,生成第二报文签名,并向该应用服务子系统发送该第二报文签名;该应用服务子系统还用于根据该身份验证子系统的传输密钥和该响应报文,对该第二报文签名进行验证;该应用服务子系统具体用于在该第二报文签名验证成功后,根据该应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及该索引,获取该用户的身份信息。
在该方案中,应用服务子系统可以通过认证第二报文签名以验证响应报文的有效性,可以避免根据无效报文查找用户的身份信息,可以提高应用服务子系统获取用户的身份信息的效率。
在第一方面可能的实现方式中,该系统还包括第三方子系统,该第三方子系统用于将该应用服务子系统和该身份认证子系统通信相连。
第二方面,提供一种用于身份认证的方法,应用服务子系统接收终端设备发送的业务请求;该应用服务子系统根据该业务请求向身份认证子系统发送用户认证请求,该用户认证请求包括待签原文、该待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,以用于该身份认证子系统用于根据该用户认证请求,对该用户的身份进行认证,其中,该电子签名由该个人身份信息载体根据该待签原文的摘要和该个人身份信息载体的私钥生成;该应用服务子系统接收该身份验证子系统在验证该用户的身份成功后发送的该用户的身份信息的索引;该应用服务子系统根据该应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及该索引,获取该用户的身份信息。
在第二方面可能的实现方式中,该索引由该身份认证子系统在该用户的身份认证成功后,根据该载体信息对应的该用户的身份信息计算获得,该索引与应用对应。
在第二方面可能的实现方式中,该方法还包括:该应用服务子系统向该身份认证子系统发送应用认证请求,该应用认证请求包括该身份验证系统预先分配给该应用服务子系统的应用标识,以用于该身份验证子系统通过对该应用标识进行验证,对该应用服务子系统对应的应用进行认证。
在第二方面可能的实现方式中,该用户认证请求承载于请求报文中,该方法还包括:该应用服务子系统根据该应用服务子系统的传输密钥和该请求报文,生成第一报文签名;该应用服务子系统向该身份认证子系统发送该第一报文签名,以用于该身份认证子系统对该第一报文签名进行验证。
在第二方面可能的实现方式中,该索引承载于响应报文中,该索引承载于响应报文中,该方法还包括:该应用服务子系统接收该身份验证子系统发送的第二报文签名,该第二报文签名由该身份验证子系统根据该身份认证子系统的传输密钥和该响应报文生成;该应用服务子系统根据该身份验证子系统的传输密钥和该响应报文,对该第二报文签名进行验证;该应用服务子系统根据该应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及该索引,获取该用户的身份信息,包括:若该第二报文签名验证成功,该应用服务子系统根据该对应关系以及该索引,获取该用户的身份信息。
第三方面,提供一种用于身份认证的方法,该方法包括:身份认证子系统接收应用服务子系统发送的用户认证请求,该用户认证请求包括待签原文、该待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,其中,该用户认证请求由该应用服务子系统根据终端设备的业务请求生成,该电子签名由该个人身份信息载体根据该待签原文的摘要和该个人身份信息载体的私钥生成;该身份认证子系统根据该用户认证请求对该用户的身份进行认证;若该用户的身份认证成功,该身份认证子系统获取该用户的身份信息的索引;该身份认证子系统向该应用服务子系统发送该索引,以用于该应用服务子系统根据该应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及该索引,获取该用户的身份信息。
在第三方面可能的实现方式中,该若该用户的身份认证成功,该身份认证子系统获取该用户的身份信息的索引,包括:若该用户的身份认证成功,该身份认证子系统根据该载体信息,获取该用户的身份信息;该身份认证子系统根据该用户的身份信息计算应用对应的该用户的身份信息的索引。
在第三方面可能的实现方式中,该身份验证子系统还用于接收该应用服务子系统发送的应用认证请求,该应用认证请求包括该身份验证系统预先分配给该应用服务子系统的应用标识;该身份验证子系统通过对该应用服务子系统的应用标识进行验证,以对该应用服务子系统对应的应用进行认证;该身份认证子系统根据该用户认证请求对该用户的身份进行认证,包括:若该应用认证成功,该身份认证子系统根据该用户认证请求对该用户的身份进行认证。
在第三方面可能的实现方式中,该用户认证请求承载于请求报文中,该方还包括:该身份认证子系统接收该应用服务子系统发送的第一报文签名,该第一报文签名由该应用服务子系统根据该应用服务子系统的传输密钥和该请求报文生成;该身份认证子系统根据该用户认证请求对该用户的身份进行认证,包括;该若该用户的身份认证成功,该身份认证子系统根据该用户认证请求对该用户的身份进行认证。
在第三方面可能的实现方式中,该索引承载于响应报文中,该方法还包括:该身份认证子系统根据该身份认证子系统的传输密钥和该响应报文生成第二报文签名;该身份认证子系统向该应用服务子系统发送该第二报文签名,以用于该应用服务子系统根据该身份验证子系统的传输密钥和该响应报文,对该第二报文签名进行验证,并在该第二报文签名验证成功后,根据该对应关系以及该索引,获取该用户的身份信息。
本发明实施例提供的用于身份认证的系统和方法,无需用户输入身份信息,身份验证系统对电子签名验证成功后返回用户的身份信息的索引,应用服务子系统就能根据该索引获取用户的身份信息,从而为用户提供个性化服务,能够最大程度地保护用户的身份信息和隐私信息。
附图说明
图1是根据本发明实施例的用于身份认证的系统的示意性框图。
图2是根据本发明实施例的用于身份认证的方法的一例的示意性流程图。
图3是根据本发明实施例的用于身份认证的方法的另一例的示意性流程图。
图4是根据本发明实施例的用于身份认证的方法的又一例的示意性流程图。
具体实施方式
下面将结合附图,对本发明实施例中的技术方案进行描述。
本发明实施例提供的用于身份认证的系统和方法,可以应用于计算机上,该计算机包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括CPU(Central Processing Unit)、内存管理单元(MMU,Memory Management Unit)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(Process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,在本发明实施例中,该计算机可以是智能手机等手持设备,也可以是个人计算机等终端设备,本发明实施例并未特别限定,只要能够通过运行记录有本发明实施例的用户认证的方法的代码的程序,以根据本发明实施例的用户认证的方法对用户进行认证即可。本发明实施例的用户认证的方法的执行主体可以是计算机设备,或者,是计算机设备中能够调用程序并执行程序的功能模块。
此外,本发明实施例的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,CD(Compact Disc,压缩盘)、DVD(Digital Versatile Disc,数字通用盘)等),智能卡和闪存器件(例如,EPROM(Erasable Programmable Read-OnlyMemory,可擦写可编程只读存储器)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
为了便于理解本发明实施例,首先简单介绍本发明实施例的一些概念。
个人身份信息载体,可以是金融IC卡,可以通过银行网点发放,发放过程中银行会对用户的真实身份做严格审核,确保本人申领,审核通过后才将个人身份信息载体颁发给用户。个人身份信息载体面签过程可信且具有普适性。个人身份信息载体基于公安部人口库的审核,由“公安部公民网络身份识别系统”统一签发,可进行跨地域、跨行业的网络身份服务,具有权威性,且采用密码技术为基础,具有高安全性。个人身份信息载体含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;其唯一性标识采用国家商用密码算法生成,不含任何身份信息,有效保护了公民身份信息。个人身份信息载体用于身份认证是一种具有权威性、安全性、普适性和隐私性的认证方法。
可选地,每个个人身份信息载体对应一个数字证书,是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。可以在网上用它来识别对方的身份。
载体信息,载体信息可以用于标识该个人身份信息载体对应的公钥。可选地,该载体信息可以为数字证书的序列号,该序列号用于唯一地标识该数字证书(该载体信息也可以理解为数字证书的标识),该数字证书用于唯一地标识用户身份(该数字证书可以理解为用户的身份标识)。也就是说,每个持有个人身份信息载体的用户都对应有一个数字证书,或者对应有一个数字证书信息。每个用户所持有的个人身份信息载体都对应有一对公私钥对,其中,私钥保存在用户持有的个人身份信息载体中,公钥保存在与该用户对应的数字证书中。该公私钥对可以是用户在申请办理个人身份信息载体时就预先生成并保存在相应位置的。
为方便理解本发明实施例,以下,简单介绍私钥签名、公钥验证的具体过程。
设备A(可对应于本发明实施例的个人身份信息载体)持有一对公私钥对,包括公钥a1和私钥a2,公钥a1为设备A的数字证书中包含的公钥,私钥a2为设备A自身持有的私钥。设备A使用私钥a2对待签原文M的摘要(或者说,待签原文M的哈希值)进行加密,生成电子签名m(即私钥签名)。其中,该待签原文M可以理解为明文信息或签名的明文信息。
另一方面,设备B(可应对本发明实施例的身份认证子系统)可以获取设备A的数字证书,该数字证书中保存有公钥a1。设备B基于公钥a1对该电子签名m进行解密,得到该待签原文M的摘要。
进一步地,设备B可以对待签原文使用Hash函数进行计算,将得到的结果与上述解密后得到的待签原文的摘要进行对比,若两者一致,可以确定该电子签名m是设备A利用自身唯一的私钥a2计算出的,从而设备B验证了设备A的身份,同时也可证明该电子签名m保护的待签原文M未被篡改。
应理解,以上列举的方法仅为示例性说明,不应对本发明实施例构成任何限定,用于计算电子签名的签名算法和签名Hash算法要根据数字证书中表明的算法进行计算。
以下,结合图1至图4详细说明本发明实施例的用于身份认证的系统和方法。
图1是根据本发明实施例的用于身份认证的系统的示意性框图。如图1所示,该系统100包括:终端设备110、应用服务子系统120以及身份认证子系统130;
该终端设备110用于向应用服务子系统120发送业务请求;
该应用服务子系统120用于根据该业务请求向该身份验证系统发送用户认证请求,该用户认证请求包括待签原文、该待签原文的电子签名以及用户持有的个人身份信息载体的载体信息。可选地,该用户认证请求中还可以包括算法等参数。其中,该算法可以用于加密。例如,该算法可以是SM2加密算法,所述电子签名和所述载体信息由所述终端设备获取并发送至所述应用服务子系统。
具体而言,该系统100可以用于用户的身份认证。其中,该终端设备100可以用于根据用户的操作向应用服务子系统120发送业务请求。可选地,该业务请求可以用于请求应用服务子系统获取用户的身份信息,或该业务请求还用于指示用户有使用该应用的需求。该终端设备110还用于读取用户持有的个人身份信息载体中保存的载体信息。个人身份信息载体与用户的身份相关联。每个个人身份信息载体对应唯一的用户,每个个人身份信息载体对应一对公私钥对。载体信息可以用于身份认证子系统130获取与该个人身份信息载体对应的公钥。
其中,该个人身份信息载体是能够用于标识用户的身份的设备。例如,该个人身份信息载体可以为eID卡,该载体信息可以为eID卡的数字证书信息。
示例性地,终端设备110可以用于读取用户持有个人身份信息载体的数字证书信息。应用服务子系统120接收到终端设备110发送的业务请求后,可以根据业务数据生成待签原文,应用服务子系统120可以向终端设备110发送原文信息。其中,该业务数据可以是应用服务子系统120接收该业务请求的时刻以及交易序列号等,该原文信息可以包括待签原文或待签原文的摘要。终端设备110还用于接收应用服务子系统120根据该业务请求发送的原文信息。该终端设备110用于根据该原文信息获取待签原文的摘要。
终端设备110获取该待签原文的摘要之后可以向个人身份信息载体发送该待签原文的摘要,该个人身份信息载体可以根据该待签原文的摘要和该个人身份信息载体的私钥生成该待签原文的电子签名。该终端设备110可以接收该个人身份信息载体发送的该待签原文的电子签名。该终端设备110可以将该数字证书信息和该电子签名发送至应用服务子系统120,以使该应用服务子系统120能够用于向身份认证子系统发送该用户认证请求。
该身份认证子系统130接收到用户认证请求之后,用于根据该用户认证请求,对该用户的身份进行认证;该身份认证子系统130还用于在该用户的身份认证成功后,获取该用户的身份信息的索引,并向该应用服务子系统120发送该索引。
具体而言,该用户认证请求包括载体信息,以用于身份认证子系统130根据该载体信息,获取该个人身份信息载体对应的公钥。该用户认证请求还包括待签原文和电子签名,以用于身份认证子系统130根据该待签原文和该公钥,对该电子签名进行验证,以对该用户的身份进行认证。可选地,该身份认证子系统130可以用于根据载体信息,获取个人身份信息载体的数字证书,并根据该待签原文和数字证书保存的公钥,对该电子签名进行验证。
示例性地,身份认证子系统130接收用户认证请求,并根据该用户认证请求中的载体信息,去数据库(可选地,该身份认证子系统130可以存储该数据库)中检索该载体信息所对应的数字证书,若能够检索到对应的数字证书则说明该用户是真实存在的。进一步地,根据数字证书中保存的公钥,对电子签名进行解密,得到待签原文的摘要。身份认证子系统130可以对通过运算得到的待签原文的摘要,并将运算得到的待签原文的摘要和接收到的待签原文的摘要进行对比,若两者一致,则可以确定该电子签名验证成功,该用户的身份认证成功;若两者不一致,则可以确定该电子签名验证失败,该用户的身份认证失败。
可选地,该系统100还可以包括第三方子系统,该第三方子系统用于将应用服务子系统120和身份认证子系统130通信相连。其中,该第三方子系统可以包括网络身份服务机构(Indentity Service Provider,IDSP)和网络身份运行机构(Indentity ServiceOperator,IDSO)中的至少一种。
可选地,在本发明实施例中,该应用服务子系统120还用于向该身份认证子系统130发送应用认证请求,该应用认证请求包括该身份验证系统预先分配给该应用服务子系统120对应的应用标识;该身份验证子系统还用于通过对该应用服务子系统120的应用标识进行验证,以对该应用进行认证。
可选地,该身份验证子系统130具体用于在该应用认证成功后,根据该用户认证请求对该用户的身份进行认证。
具体而言,应用在身份认证子系统130注册的时候,若注册成功,身份认证子系统130可以预先为该应用分配一个应用ID。在该应用服务子系统120每次向身份认证子系统130发送用户认证请求时,可以同时携带该应用ID(即,发送应用认证请求)。也就是说,应用服务子系统120可以同时向身份认证子系统130发送用户认证请求和应用认证请求,该用户认证请求和应用认证请求可以同时承载在一个报文中,也可以分别承载在两个报文中单独发送。身份认证子系统130接收到该应用ID之后,可以判断该应用ID是否属于应用ID库中的应用ID。
示例性地,身份认证子系统130接收应用认证请求,并根据该开应用证请求中的应用标识,去数据库(可选地,该身份认证子系统130可以存储该数据库)中检索该应用标识,若能够检索到该应用标识,说明该应用是真实存在以及安全的,应用验证通过。
在实际执行过程中,若用户认证请求和应用认证请求分别承载在两个报文中发送时,用于承载用户认证请求的报文和用于承载应用认证请求的报文可以由应用服务子系统120同时发送到身份认证子系统130,也可以在预设的时间阈值范围内发送到身份认证子系统130,以便于身份认证子系统130能够及时地对用户进行身份认证并反馈认证结果。
可选地,身份认证子系统130在接收到用户认证请求和应用认证请求时,可以首先基于应用认证请求对应用标识进行认证,在应用认证成功后,再基于用户认证请求,获取与数字证书信息对应的数字证书,对待签原文的电子签名进行验证,即,对用户进行身份认证。
应理解,以上示例的身份认证子系统130进行认证的具体过程仅为示例性说明,不应对本发明实施例构成任何限定。例如,身份认证子系统130也可以在接收到用户认证请求和应用认证请求时,分别对应用标识和eID待签原文的电子签名进行认证。
可选地,身份认证子系统130可以先对应用进行认证,在应用成功之后再对用户的身份进行认证,能够提高身份认证子系统130的认证效率。
该身份认证子系统130对应用进行认证时,除了可以验证应用认证请求的应用标识,也验证该应用服务子系统120的传输密钥,即对承载用户认证请求的请求报文进行验证。
具体地,该用户认证请求承载于请求报文中,该应用服务子系统还用于根据该应用服务子系统的传输密钥和该请求报文,生成第一报文签名,并向该身份认证子系统发送该第一报文签名;该身份认证子系统还用于在该标识验证成功后,根据该应用服务子系统的传输密钥和该请求报文对该第一报文签名进行验证;该身份认证子系统具体用于在该第一报文签名验证成功且该用户的身份认证成功后,获取该用户的身份信息的索引,并向该应用服务子系统发送该索引。
换句话说,身份认证子系统130可以为应用服务子系统120配置应用标识以及应用服务子系统120的传输密钥,身份认证子系统130可以对该应用标识进行验证,以检查该应用服务子系统120是否注册,该应用服务子系统120发送的报文是否有效。该身份认证子系统130对第一报文签名进行验证,以检查身份认证子系统130接收的请求报文是否与该应用服务子系统120匹配,以提高该系统认证身份的安全性。
可选地,身份认证子系统可以先对应用进行认证,在应用成功后再对第一报文签名进行验证,在第一报文签名验证成功后,再对用户的身份进行认证。
需要说明是的,报文是否按照身份验证系统的接口要求组装。该要求事先约定好。
在用户的身份认证成功(且应用认证成功、且第一报文签名验证成功),该身份认证子系统130可以获取该用户的身份信息的索引,并向该应用服务子系统120发送该索引。
具体地,每一个载体信息对应唯一的身份信息。身份认证子系统130可以获取该载体信息对应的身份信息,该身份认证子系统130可以至少通过以下两种方式获取该身份信息的索引。
方式一、该身份认证子系统130内部存储对应关系,该对应关系包括第一对应关系和/或第二对应关系,该第一对应关系为至少一个身份信息和至少一个索引的对应关系,该第二对应关系为至少一个载体信息和至少一个索引的对应关系
该身份认证子系统130可以根据该对应关系获取该用户的身份信息的索引。
方式二、该身份认证子系统130可以用于计算该身份信息的索引。
例如,该载体信息对应唯一的身份信息,该身份信息可以包括用户的身份证号。该身份认证子系统130可以根据预设的算法对该数字证书信息对应的序列号进行计算,以获取该用户的身份信息的索引。
示例地,该身份认证子系统130可以根据下列公式确定身份信息的索引。
H1=SM3(身份信息+salt)
H2=SM3(H1+Appsalt)
其中,H1中间值,该中间值用于获取H2,H2是身份信息的索引,Appsalt是应用服务子系统120在身份认证子系统130注册时,该身份认证子系统130为其分配的特定值,salt是身份认证子系统130设置的值(例如,salt=Base64(SM3(ABC20151021))),SM3是国产密钥标准算法。
进一步地,该身份认证子系统130可以根据身份信息计算应用对应的身份信息的索引。换句话说,不同应用子系统通过身份认证子系统130获取的同一个用户的索引不同。
例如,该身份认证子系统130可以根据该应用标识和该身份信息,计算该应用对应的用户的身份信息的索引。
又例如,该身份认证子系统130可以根据该身份信息,使用该应用对应的算法计算该应用对应的用户的身份信息的索引。
换句话说,不同的应用子系统发送的同一个用户的用户认证请求可以对应不同的索引。例如,终端设备根据用户A的操作向QQ服务子系统发送业务请求,QQ服务子系统根据该业务请求向身份认证子系统发送用户认证请求B1,身份认证子系统130根据该用户认证请求B1生成该用户A的索引C1。终端设备根据用户A的操作向微信服务子系统发送业务请求,微信服务子系统根据该业务请求向身份认证子系统130发送用户认证请求B2,身份认证子系统130根据该用户认证请求B2生成该用户A的索引C2。该C2和C1不同。
身份认证子系统130获取该用户的身份信息的索引之后,可以向应用服务子系统120发送该身份信息的索引,应用服务子系统120存储至少一个索引和至少一个身份信息的对应关系。应用服务子系统120可以根据该对应关系以及该索引,获取该用户的身份信息。
可选地,所述索引承载于响应报文中,所述身份认证子系统还用于根据所述身份认证子系统的传输密钥和所述响应报文,生成第二报文签名,并向所述应用服务子系统发送所述第二报文签名;所述应用服务子系统还用于根据所述身份验证子系统的传输密钥和所述响应报文,对所述第二报文签名进行验证;所述应用服务子系统具体用于在所述第二报文签名验证成功后,根据所述应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及所述索引,获取所述用户的身份信息。
具体而言,为了保证传输安全性,该身份认证子系统130可以使用自己的传输密钥对该响应报文进行加密生成第二报文签名,该身份认证子系统130将该第二报文签名和响应报文发送至应用服务子系统120,以用于应用服务子系统120对该响应报文的有效性进行验证。
该应用服务子系统120用于在该第二报文签名验证成功后根据该索引获取该身份信息,并可以进行后续操作。
可选地,在本发明实施例中,子系统还可以对相应的报文的参数格式、长度以及唯一性进行验证,以进一步验证报文的有效性。
例如,身份认证子系统130可以对请求报文的参数格式、长度以及唯一性进行验证,以进一步地验证请求报文的有效性。
需要说明的是,该参数格式、长度以及唯一性等是身份认证子系统130预先配置给应用服务子系统120的,或该身份认证子系统130和该应用服务子系统120预先约定好的。
可选地,该终端设备110还用于接收该用户输入的载体密码,该载体密码用于启用保存在该个人身份信息载体中的私钥。
具体而言,该个人身份信息载体中保存的私钥可以通过用户输入载体密码来启用。该载体密码可以是用户在办理个人身份信息载体时设置的密码,用于保护私钥不被盗用。
可选地,该终端设备110中配置有读卡装置,该读卡装置包括:近场通信NFC读卡装置,或者,通过银联认证或载体认证并带有载体标识的标准读卡装置。
示例性地,该终端设备110可以为NFC手机、具备个人身份信息载体读取功能的扫码枪等等。应理解,本发明实施例对于终端设备110的具体形态并未特别限定。只要能够支持读卡功能,均可以用作终端设备110。
可选地,该终端设备110中安装有该应用服务子系统对应的应用(application,简称“APP”)客户端,
该终端设备110具体用于通过该APP客户端向该应用服务子系统120发送该用户认证请求。
具体而言,上文所描述的读取个人身份信息载体的过程可以通过该APP户端来实现。即,用户可以在读卡时,打开该APP客户端,读个人身份信息载体以获取载体信息,并接收用户输入的载体密码,以启用保存在个人身份信息载体中的私钥。个人身份信息载体在基于自身保存的私钥,对待签原文的摘要进行处理得到待签原文的电子签名后,将该电子签名发送给终端设备110。终端设备110在接收到个人身份信息载体生成的电子签名后,通过该APP客户端将该电子签名和待签原文的摘要发送到应用服务子系统120,以便于应用服务子系统120向身份认证子系统130发认证请求。
在本发明实施例中,应用服务子系统120可以理解为服务器,该服务器可以为一个也可以为多个,即,多个服务器可以构成服务器集群。该服务器可以部署在一台物理设备上,也可以分布式地部署在一组物理设备中,构成服务器集群,从而达到扩展网络设备和服务器带宽、增加吞吐量、加强网络数据处理能力、提高网络灵活性和可用性的目的。
在本发明实施例中,该应用服务子系统120可以为应用管理和维护的设备,应用服务子系统120可以包含数据库,该数据库存储大量身份信息,用于保存该应用的历史个人数据。终端设备110可以通过APP客户端与身份认证子系统130通信连接。
以上,描述了本发明实施例的用于身份认证的系统,以下,结合图2至图4详细描述本发明实施例的方法。
图2是根据本发明实施例的用于身份认证的方法的一例的示意性流程图。如图2所示,该方法200包括:
S210、应用服务子系统接收终端设备发送的业务请求;
S220、该应用服务子系统根据该业务请求向身份认证子系统发送用户认证请求,该用户认证请求包括待签原文、该待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,以用于该身份认证子系统用于根据该用户认证请求,对该用户的身份进行认证,其中,该电子签名由该个人身份信息载体根据该待签原文的摘要和该个人身份信息载体的私钥生成;
S230、该应用服务子系统接收该身份验证子系统在验证该用户的身份成功后发送的该用户的身份信息的索引;
S240、该应用服务子系统根据该应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及该索引,获取该用户的身份信息。
应理解,该用于身份认证的方法200可以由上述实施例提供的应用服务子系统120来执行,根据本发明实施例的用于远程开户的方法200中的各个步骤或流程,可应用于本发明实施例中的用于身份认证的的系统100的各个设备的上述和其他操作和/或流程,为了简洁此处不再赘述。
图3是根据本发明实施例的用于身份认证的方法的一例的示意性流程图。如图3所示,该方法300包括:
S310、身份认证子系统接收应用服务子系统发送的用户认证请求,该用户认证请求包括待签原文、该待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,其中,该用户认证请求由该应用服务子系统根据终端设备的业务请求生成,该电子签名由该个人身份信息载体根据该待签原文的摘要和该个人身份信息载体的私钥生成;
S320、该身份认证子系统根据该用户认证请求对该用户的身份进行认证;
S330、若该用户的身份认证成功,该身份认证子系统获取该用户的身份信息的索引;
S340、该身份认证子系统向该应用服务子系统发送该索引,以用于该应用服务子系统根据该应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及该索引,获取该用户的身份信息。
应理解,该用于身份认证的方法300可以由上述实施例提供的身份认证子系统130来执行,根据本发明实施例的用于远程开户的方法300中的各个步骤或流程,可应用于本发明实施例中的用于身份认证的的系统100的各个设备的上述和其他操作和/或流程,为了简洁此处不再赘述。
图4是根据本发明实施例的用于身份认证的方法的一例的示意性流程图。应理解,图4是本发明实施例的用于远程开户的方法的示意性流程图,示出了该方法的详细的通信步骤或操作,但这些步骤或操作仅是示例,本发明实施例还可以执行其它操作或者图4中的各种操作的变形。此外,图4中的各个步骤可以分别按照与图4所呈现的不同的顺序来执行,并且有可能执行图4中的部分操作。如图4所示,该方法400包括:
S401、终端设备读取个人身份信息载体中的载体信息;
S402、终端设备向应用服务子系统发送业务请求;
S403、应用服务子系统根据该用户请求向终端设备发送原文信息,该原文信息包括待签原文的摘要或待签原文的摘要;
S404、终端设备向个人身份信息载体发送待签原文的摘要;
S405、个人身份信息载体根据该待签原文的摘要以及保存的私钥,生成电子签名,并向终端设备发送该电子签名;
S406、终端设备向应用服务子系统发送电子签名以及载体信息;
S407、应用服务子系统向身份认证子系统发送用户认证请求,可选地,应用服务子系统还可以向身份认证子系统发送应用认证请求;可选地,应用服务子系统还可以发送第一报文签名;
S408、身份认证子系统根据用户认证请求对用户的身份进行认证,可选地,身份认证子系统根据应用认证请求对应用服务子系统对应的应用进行认证;可选地,该用户认证请求承载与请求报文中,身份认证子系统验证第一报文签名;
S409、若用户的身份认证成功,身份认证子系统可以获取用户的身份信息的索引,进一步地,身份认证子系统可以获取应用对应的用户的身份信息的索引;
S410、身份认证子系统向应用服务子系统发送该索引;可选地,该索引承载于响应报文中,该身份认证子系统向应用服务子系统发送第二报文签名;
S411、身份认证子系统根据该索引获取用户的身份信息;可选地,若该应用服务子系统验证该第二报文签名成功,获取该索引。
应理解,本发明实施例的用于身份认证的方法可以应对于本发明实施例的用于身份认证的系统,本发明实施例的方法的相关描述可以参见本发明实施例的系统的相关描述,为了简洁,不在此赘述。
因此,仅需要使用个人身份信息载体对业务数据进行电子签名,应用服务子系统就能获取个人基本信息,从而为个人提供个性化服务,能够最大程度地保护个人身份和隐私信息。
在本发明实施例中,应用服务子系统可以理解为服务器,该服务器可以为一个也可以为多个,即,多个服务器可以构成服务器集群。该服务器可以部署在一台物理设备上,也可以分布式地部署在一组物理设备中,构成服务器集群,从而达到扩展网络设备和服务器带宽、增加吞吐量、加强网络数据处理能力、提高网络灵活性和可用性的目的。
应理解,本发明实施例中所示出的终端设备和应用服务子系统可以理解为客户端设备和服务端设备,可以通过应用服务子系统应用APP进行信息交互,其中,终端设备可以为用户的手持终端,也可以为其他终端设备,本发明实施例对此并未特别限定。应用服务子系统仅为服务端设备的一个命名,不应对本发明实施例构成任何限定,本发明实施例也并不排除将其命名为其他信息子系统或者设备的可能。
应理解,在本发明实施例的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
还应理解,在本发明实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存10在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明实施例的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明实施例各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明实施例各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明实施例的具体实施方式,但本发明实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明实施例的保护范围之内。因此,本发明实施例的保护范围应所述以权利要求的保护范围为准。
Claims (16)
1.一种用于身份认证的系统,其特征在于,所述系统包括:终端设备、应用服务子系统以及身份认证子系统;
所述终端设备用于向应用服务子系统发送业务请求;
所述应用服务子系统用于根据所述业务请求向所述身份验证系统发送用户认证请求,所述用户认证请求包括待签原文、所述待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,其中,所述电子签名由所述个人身份信息载体根据所述待签原文的摘要和所述个人身份信息载体的私钥生成,所述载体信息用于标识所述个人身份信息载体对应的公钥,所述个人身份信息载体为金融集成电路IC卡;
所述身份认证子系统用于根据所述用户认证请求,对所述用户的身份进行认证;
所述身份认证子系统还用于在所述用户的身份认证成功后,获取所述用户的身份信息的索引,并向所述应用服务子系统发送所述索引;
所述应用服务子系统还用于根据所述应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及所述索引,获取所述用户的身份信息。
2.根据权利要求1所述的系统,其特征在于,所述身份认证子系统具体用于在所述用户的身份认证成功后,根据所述载体信息确定所述用户的身份信息,并根据所述用户的身份信息计算应用对应的所述用户的身份信息的索引。
3.根据权利要求1所述的系统,其特征在于,所述应用服务子系统还用于向所述身份认证子系统发送应用认证请求,所述应用认证请求包括所述身份验证系统预先分配给所述应用服务子系统的应用标识;
所述身份验证子系统还用于通过对所述应用标识进行验证,以对应用进行认证;
所述身份验证子系统具体用于在所述应用认证成功后,根据所述用户认证请求对所述用户的身份进行认证。
4.根据权利要求3所述的系统,其特征在于,所述用户认证请求承载于请求报文中,
所述应用服务子系统还用于根据所述应用服务子系统的传输密钥和所述请求报文,生成第一报文签名,并向所述身份认证子系统发送所述第一报文签名;
所述身份认证子系统还用于在所述应用标识验证成功后,根据所述应用服务子系统的传输密钥和所述请求报文对所述第一报文签名进行验证;
所述身份认证子系统具体用于在所述第一报文签名验证成功后,根据所述用户认证请求对所述用户的身份进行认证。
5.根据权利要求1至4中任一项所述的系统,其特征在于,所述索引承载于响应报文中,
所述身份认证子系统还用于根据所述身份认证子系统的传输密钥和所述响应报文,生成第二报文签名,并向所述应用服务子系统发送所述第二报文签名;
所述应用服务子系统还用于根据所述身份验证子系统的传输密钥和所述响应报文,对所述第二报文签名进行验证;
所述应用服务子系统具体用于在所述第二报文签名验证成功后,根据所述应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及所述索引,获取所述用户的身份信息。
6.根据权利要求1至4中任一项所述的系统,其特征在于,所述系统还包括第三方子系统,所述第三方子系统用于将所述应用服务子系统和所述身份认证子系统通信相连。
7.一种用于身份认证的方法,其特征在于,所述方法包括:
应用服务子系统接收终端设备发送的业务请求;
所述应用服务子系统根据所述业务请求向身份认证子系统发送用户认证请求,所述用户认证请求包括待签原文、所述待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,以用于所述身份认证子系统根据所述用户认证请求,对所述用户的身份进行认证,其中,所述电子签名由所述个人身份信息载体根据所述待签原文的摘要和所述个人身份信息载体的私钥生成,所述载体信息用于标识所述个人身份信息载体对应的公钥,所述个人身份信息载体为金融集成电路IC卡;
所述应用服务子系统接收所述身份验证子系统在验证所述用户的身份成功后发送的所述用户的身份信息的索引;
所述应用服务子系统根据所述应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及所述索引,获取所述用户的身份信息。
8.根据权利要求7所述的方法,其特征在于,所述索引由所述身份认证子系统在所述用户的身份认证成功后,根据所述载体信息对应的所述用户的身份信息计算获得,所述索引与应用对应。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述应用服务子系统向所述身份认证子系统发送应用认证请求,所述应用认证请求包括所述身份验证系统预先分配给所述应用服务子系统的应用标识,以用于所述身份验证子系统通过对所述应用标识进行验证,对所述应用服务子系统对应的应用进行认证。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述用户认证请求承载于请求报文中,所述方法还包括:
所述应用服务子系统根据所述应用服务子系统的传输密钥和所述请求报文,生成第一报文签名;
所述应用服务子系统向所述身份认证子系统发送所述第一报文签名,以用于所述身份认证子系统对所述第一报文签名进行验证。
11.根据权利要求7至9中任一项所述的方法,其特征在于,所述索引承载于响应报文中,所述方法还包括:
所述应用服务子系统接收所述身份验证子系统发送的第二报文签名,所述第二报文签名由所述身份验证子系统根据所述身份认证子系统的传输密钥和所述响应报文生成;
所述应用服务子系统根据所述身份验证子系统的传输密钥和所述响应报文,对所述第二报文签名进行验证;
所述应用服务子系统根据所述应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及所述索引,获取所述用户的身份信息,包括:
若所述第二报文签名验证成功,所述应用服务子系统根据所述对应关系以及所述索引,获取所述用户的身份信息。
12.一种用于身份认证的方法,其特征在于,所述方法包括:
身份认证子系统接收应用服务子系统发送的用户认证请求,所述用户认证请求包括待签原文、所述待签原文的电子签名以及用户持有的个人身份信息载体的载体信息,其中,所述用户认证请求由所述应用服务子系统根据终端设备的业务请求生成,所述电子签名由所述个人身份信息载体根据所述待签原文的摘要和所述个人身份信息载体的私钥生成,所述载体信息用于标识所述个人身份信息载体对应的公钥,所述个人身份信息载体为金融集成电路IC卡;
所述身份认证子系统根据所述用户认证请求对所述用户的身份进行认证;
若所述用户的身份认证成功,所述身份认证子系统获取所述用户的身份信息的索引;
所述身份认证子系统向所述应用服务子系统发送所述索引,以用于所述应用服务子系统根据所述应用服务子系统保存的至少一个索引和至少一个身份信息的对应关系以及所述索引,获取所述用户的身份信息。
13.根据权利要求12所述的方法,其特征在于,所述若所述用户的身份认证成功,所述身份认证子系统获取所述用户的身份信息的索引,包括:
若所述用户的身份认证成功,所述身份认证子系统根据所述载体信息,获取所述用户的身份信息;
所述身份认证子系统根据所述用户的身份信息计算应用对应的所述用户的身份信息的索引。
14.根据权利要求12所述的方法,其特征在于,所述身份验证子系统还用于接收所述应用服务子系统发送的应用认证请求,所述应用认证请求包括所述身份验证系统预先分配给所述应用服务子系统的应用标识;
所述身份验证子系统通过对所述应用服务子系统的应用标识进行验证,以对所述应用服务子系统对应的应用进行认证;
所述身份认证子系统根据所述用户认证请求对所述用户的身份进行认证,包括:
若所述应用认证成功,所述身份认证子系统根据所述用户认证请求对所述用户的身份进行认证。
15.根据权利要求12或13所述的方法,其特征在于,所述用户认证请求承载于请求报文中,所述方法还包括:
所述身份认证子系统接收所述应用服务子系统发送的第一报文签名,所述第一报文签名由所述应用服务子系统根据所述应用服务子系统的传输密钥和所述请求报文生成;
所述身份认证子系统根据所述用户认证请求对所述用户的身份进行认证,包括;
所述若所述用户的身份认证成功,所述身份认证子系统根据所述用户认证请求对所述用户的身份进行认证。
16.根据权利要求12至14中任一项所述的方法,其特征在于,所述索引承载于响应报文中,所述方法还包括:
所述身份认证子系统根据所述身份认证子系统的传输密钥和所述响应报文生成第二报文签名;
所述身份认证子系统向所述应用服务子系统发送所述第二报文签名,以用于所述应用服务子系统根据所述身份验证子系统的传输密钥和所述响应报文,对所述第二报文签名进行验证,并在所述第二报文签名验证成功后,根据所述对应关系以及所述索引,获取所述用户的身份信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611191911.2A CN108234125B (zh) | 2016-12-21 | 2016-12-21 | 用于身份认证的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611191911.2A CN108234125B (zh) | 2016-12-21 | 2016-12-21 | 用于身份认证的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108234125A CN108234125A (zh) | 2018-06-29 |
| CN108234125B true CN108234125B (zh) | 2020-12-18 |
Family
ID=62651798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611191911.2A Active CN108234125B (zh) | 2016-12-21 | 2016-12-21 | 用于身份认证的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108234125B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110166452B (zh) * | 2019-05-21 | 2022-03-04 | 东信和平科技股份有限公司 | 一种基于JavaCard共享接口的访问控制方法及系统 |
| CN110881048B (zh) * | 2019-12-16 | 2021-11-09 | 苏宁云计算有限公司 | 基于身份认证的安全通讯方法及装置 |
| CN112989309B (zh) * | 2021-05-21 | 2021-08-20 | 统信软件技术有限公司 | 基于多方授权的登录方法、认证方法、系统及计算设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051896A (zh) * | 2006-04-07 | 2007-10-10 | 华为技术有限公司 | 一种认证方法和系统 |
| CN103812869A (zh) * | 2014-02-21 | 2014-05-21 | 昆山中创软件工程有限责任公司 | 一种基于物联网的数据传输方法及装置 |
| CN104639542A (zh) * | 2015-01-27 | 2015-05-20 | 李明 | 身份证信息获取方法及系统 |
| CN105139204A (zh) * | 2015-07-27 | 2015-12-09 | 飞天诚信科技股份有限公司 | 一种进行安全认证的方法和系统 |
| CN105245340A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 一种基于远程开户的身份认证方法和系统 |
| CN105516180A (zh) * | 2015-12-30 | 2016-04-20 | 北京金科联信数据科技有限公司 | 基于公钥算法的云密钥认证系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106100852A (zh) * | 2010-09-20 | 2016-11-09 | 安全第公司 | 用于安全数据共享的系统和方法 |
-
2016
- 2016-12-21 CN CN201611191911.2A patent/CN108234125B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051896A (zh) * | 2006-04-07 | 2007-10-10 | 华为技术有限公司 | 一种认证方法和系统 |
| CN103812869A (zh) * | 2014-02-21 | 2014-05-21 | 昆山中创软件工程有限责任公司 | 一种基于物联网的数据传输方法及装置 |
| CN104639542A (zh) * | 2015-01-27 | 2015-05-20 | 李明 | 身份证信息获取方法及系统 |
| CN105139204A (zh) * | 2015-07-27 | 2015-12-09 | 飞天诚信科技股份有限公司 | 一种进行安全认证的方法和系统 |
| CN105245340A (zh) * | 2015-09-07 | 2016-01-13 | 天地融科技股份有限公司 | 一种基于远程开户的身份认证方法和系统 |
| CN105516180A (zh) * | 2015-12-30 | 2016-04-20 | 北京金科联信数据科技有限公司 | 基于公钥算法的云密钥认证系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108234125A (zh) | 2018-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10595201B2 (en) | Secure short message service (SMS) communications | |
| CN110417797B (zh) | 认证用户的方法及装置 | |
| EP3343831B1 (en) | Identity authentication method and apparatus | |
| CN106797311B (zh) | 用于安全密码生成的系统、方法和存储介质 | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| TWI497336B (zh) | 用於資料安全之裝置及電腦程式 | |
| CN103684766B (zh) | 一种终端用户的私钥保护方法和系统 | |
| CN106161350B (zh) | 一种管理应用标识的方法及装置 | |
| CN107317677B (zh) | 密钥存储及设备身份认证方法、装置 | |
| CN111625829A (zh) | 基于可信执行环境的应用激活方法及装置 | |
| CN112311538B (zh) | 一种身份验证的方法、装置、存储介质及设备 | |
| KR101450291B1 (ko) | 스마트 칩 인증 서버 및 그 방법 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| KR20120108599A (ko) | 온라인 신용카드 결제 단말기를 활용한 신용카드 결제 서비스 | |
| CN109120571B (zh) | 公民个人数据授权使用的系统和方法 | |
| CN101944170A (zh) | 一种软件版本发布方法、系统及装置 | |
| CN106209730B (zh) | 一种管理应用标识的方法及装置 | |
| CN110505185A (zh) | 身份验证方法、设备和系统 | |
| CN108234125B (zh) | 用于身份认证的系统和方法 | |
| CN106656955A (zh) | 一种通信方法及系统、客户端 | |
| CN108229199B (zh) | 一种预约酒店的系统和方法 | |
| CN108234126B (zh) | 用于远程开户的系统和方法 | |
| CN109670289B (zh) | 一种识别后台服务器合法性的方法及系统 | |
| KR101604622B1 (ko) | 암호 행렬 인증을 이용한 모바일 결제 처리 방법 | |
| JP5781678B1 (ja) | 電子データ利用システム、携帯端末装置、及び電子データ利用システムにおける方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |