CN108234126B - 用于远程开户的系统和方法 - Google Patents
用于远程开户的系统和方法 Download PDFInfo
- Publication number
- CN108234126B CN108234126B CN201611195767.XA CN201611195767A CN108234126B CN 108234126 B CN108234126 B CN 108234126B CN 201611195767 A CN201611195767 A CN 201611195767A CN 108234126 B CN108234126 B CN 108234126B
- Authority
- CN
- China
- Prior art keywords
- subsystem
- eid
- digital certificate
- user
- personal digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种用于远程开户的系统和方法,可以提高远程开户的安全性。该系统包括:终端设备、企业信息服务子系统、eID第三方认证子系统以及CA子系统。该终端设备用于向该企业服务子系统发送开户请求;该企业服务子系统用于根据该开户请求向该eID第三方认证子系统发送开户认证请求,该eID第三方认证子系统用于根据该开户认证请求,对该用户的身份进行认证;若该用户的身份认证成功,该eID第三方认证子系统还用于向该CA子系统发送个人数字证书申请;该CA子系统用于根据该个人数字证书申请生成个人数字证书,并通过该eID第三方认证子系统向该企业服务子系统发送该个人数字证书。
Description
技术领域
本发明实施例涉及信息安全领域,并且更具体地,涉及一种用于远程开户的系统和方法。
背景技术
在用户有开立新银行账户、股票账户等开户需求的时候,用户需要去物理网点进行办理。物理网点工作人员对比用户本人与其持有的身份证件是否一致,只有判断一致才能准予开户。该传统开户的方式,不利于用户高效地开户。
发明内容
本发明实施例提供了一种用于远程开户的系统和方法,能够实现远程开户,以提高用户开户的效率。
第一方面,提供一种用于远程开户的系统,该系统包括:终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统;该终端设备用于向该企业服务子系统发送开户请求;该企业服务子系统用于根据该开户请求向该eID第三方认证子系统发送开户认证请求,该开户认证请求包括原文信息、该原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,该原文信息包括待签原文和待签原文的摘要的至少一种;该eID第三方认证子系统用于根据该开户认证请求,对该用户的身份进行认证;若该用户的身份认证成功,该eID第三方认证子系统还用于向该CA子系统发送个人数字证书申请;该CA子系统用于根据该个人数字证书申请生成个人数字证书,并通过该eID第三方认证子系统向该企业服务子系统发送该个人数字证书。
该方案,若eID认证该用户的身份认证成功,该eID可以向CA发送个人数字证书申请,以用于企业服务子系统通过CA获取个人数字证书。该方案可以实现用于的远程开户,可以提高用户的开户效率。进一步地,通过eID第三方认证子系统对用户的身份进行认证,能够提高用户远程开户的安全性。
在第一方面可能的实现方式中,该个人数字证书申请包括该用户的与应用相对应的用户网络身份应用标识编码appeIDcode,该个人数字证书包括该appeIDcode。
该方案,个人数字证书申请包括与appeIDcode,以用于CA子系统生成的个人数字证书与该appeIDcode进行关联,有利于CA子系统对个人数字证书进行管理。
在第一方面可能的实现方式中,该个人数字证书申请还包括该数字证书信息和该电子签名中的至少一种;和/或该个人数字证书包括该数字证书信息和该电子签名中的至少一种。
该方案,CA子系统生成的个人数字证书可以与用户持有的eID卡关联,有利于CA子系统对个人数字证书进行管理。
在第一方面可能的实现方式中,该个人数字证书申请包括P10文件;该P10文件由该终端设备根据该终端设备生成的公私钥对的私钥和该终端设备生成的公私钥对的公钥生成,或该P10文件由该eID第三方认证子系统根据该eID第三方认证子系统生成的公私钥对的私钥和该eID第三方认证子系统生成的公私钥对的公钥生成。
该方案,终端设备可以生成公私钥对,CA子系统根据终端设备生成的公私钥对生成个人数字证书,该方案操作简单易于实现。进一步地,相较于eID第三方认证子系统生成公私钥对,终端设备生成公私钥对可以降低eID第三方认证子系统的工作负荷,提高eID第三方认证子系统处理其他业务的效率。相较于终端设备生成公私钥对,由eID第三方认证子系统生成公私钥对该方案安全性能较高。进一步地,在用户的身份认证成功之后由eID第三方认证子系统生成公私钥对,能够避免无意义的公私钥对的生成。
在第一方面可能的实现方式中,该eID第三方认证子系统具体用于根据该数字证书信息和该原文信息,对该电子签名进行验证;根据该数字证书对应的实名信息,对该用户的实名信息进行验证;该用户的身份认证成功包括:该电子签名验证成功且该用户的实名信息验证成功。
该方案,eID第三方认证子系统通过数字证书验证以及实名信息验证对用户的身份进行认证,能够远程开户的安全性。
可选地,在第一方面可能的实现方式中,该个人数字证书申请包括该用户的实名信息和该数字证书信息中的至少一种;且该个人数字证书申请还包括公私钥对的公钥,其中,该公私钥对由终端设备生成或eID第三方认证子系统生成。
在第一方面可能的实现方式中,该eID第三方认证子系统具体用于根据该数字证书信息和该原文信息,对该电子签名进行验证;根据该数字证书对应的实名信息,对该用户的实名信息进行验证;该用户的身份认证成功包括:该电子签名验证成功且该用户的实名信息验证成功。
第二方面,提供一种用于远程开户的方法,该方法应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,该方法包括:该企业服务子系统接收该终端设备发送的开户申请;该企业服务子系统根据该开户申请向该eID第三方认证子系统发送开户认证请求,该开户认证请求包括原文信息、该原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,该原文信息包括待签原文和待签原文的摘要的至少一种,该开户认证请求用于该eID第三方认证子系统对该用户的身份进行认证,并在该用户的身份认证成功的情况下向该CA子系统发送个人数字证书申请;该企业服务子系统通过eID第三方认证子系统接收该CA子系统根据该个人数字证书申请发送的个人数字证书。
在第二方面可能的实现方式中,该个人数字证书申请包括该用户的与应用相对应的用户网络身份应用标识编码appeIDcode,该个人数字证书包括该appeIDcode。
在第二方面可能的实现方式中,该方法还包括:该个人数字证书申请还包括该数字证书信息和该电子签名中的至少一种;和/或该个人数字证书包括该数字证书信息和该电子签名中的至少一种。
在第二方面可能的实现方式中,该个人数字证书申请包括P10文件;其中,该P10文件由该终端设备根据该终端设备生成的公私钥对的私钥和该终端设备生成的公私钥对的公钥生成,或该P10文件由该eID第三方认证子系统根据该eID第三方认证子系统生成的公私钥对的私钥和该eID第三方认证子系统生成的公私钥对的公钥生成。
在第二方面可能的实现方式中,该开户认证请求还包括该用户的实名信息,以用于该eID第三方认证子系统根据该数字证书信息和该原文信息,对该电子签名进行验证;根据该数字证书对应的实名信息,对该用户的实名信息进行验证;该用户的身份认证成功包括:该电子签名验证成功且该用户的实名信息验证成功。
第三方面,提供一种用于远程开户的方法,该方法应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,该方法包括:该eID第三方认证子系统接收该企业服务子系统发送的开户认证请求,该开户认证请求包括原文信息、该原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,该原文信息包括待签原文和待签原文的摘要的至少一种;该eID第三方认证子系统根据该开户认证请求对该用户的身份进行认证;若该用户的身份认证成功,该eID第三方认证子系统向该CA子系统发送个人数字证书申请;该eID第三方认证子系统接收该CA子系统根据该个人数字证书申请发送的个人数字证书;该eID第三方认证子系统向该企业服务子系统发送该个人数字证书。
在第三方面可能的实现方式中,该个人数字证书申请包括该用户的与应用相对应的用户网络身份应用标识编码appeIDcode,该个人数字证书包括该appeIDcode。
在第三方面可能的实现方式中,该个人数字证书申请还包括该数字证书信息和该电子签名中的至少一种;和/或该个人数字证书包括该数字证书信息和该电子签名中的至少一种。
在第三方面可能的实现方式中,该个人数字证书申请包括P10文件;其中,该P10文件由该终端设备根据该终端设备生成的公私钥对的私钥和该终端设备生成的公私钥对的公钥生成,或该P10文件由该eID第三方认证子系统根据该eID第三方认证子系统生成的公私钥对的私钥和该eID第三方认证子系统生成的公私钥对的公钥生成。
在第三方面可能的实现方式中,所该开户认证请求还包括该用户的实名信息;该eID第三方认证子系统根据该开户认证请求对该用户的身份进行认证,包括:该eID第三方认证子系统根据该数字证书信息和该原文信息,对该电子签名进行验证;根据该数字证书对应的实名信息,对该用户的实名信息进行验证;该用户的身份认证成功包括:该电子签名验证成功且该用户的实名信息验证成功。
第四方面,提供一种用于远程开户的方法,该方法应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,该方法包括:CA子系统接收该eID第三方认证子系统发送的个人数字证书申请,其中,该个人数字证书申请是该eID第三方认证子系统在根据企业服务子系统发送的开户认证请求对用户的身份验证成功后发送至该CA子系统的,该开户认证请求包括原文信息、该原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,该原文信息包括待签原文和待签原文的摘要的至少一种;该CA子系统根据该个人数字证书申请生成个人数字证书;该CA子系统通过该eID第三方认证子系统向该企业服务子系统发送该个人数字证书。
在第四方面可能的实现方式中,该个人数字证书申请包括该用户的与应用相对应的用户网络身份应用标识编码appeIDcode,该个人数字证书包括该appeIDcode。
在第四方面可能的实现方式中,该个人数字证书申请还包括该数字证书信息和该电子签名中的至少一种;和/或该个人数字证书包括该数字证书信息和该电子签名中的至少一种。
在第四方面可能的实现方式中,该个人数字证书申请包括P10文件;其中,该P10文件由该终端设备根据该终端设备生成的公私钥对的私钥和该终端设备生成的公私钥对的公钥生成,或该P10文件由该eID第三方认证子系统根据该eID第三方认证子系统生成的公私钥对的私钥和该eID第三方认证子系统生成的公私钥对的公钥生成。
在第四方面可能的实现方式中,该开户认证请求还包括该用户的实名信息;该eID第三方认证子系统根据该开户认证请求对该用户的身份进行认证,包括:该eID第三方认证子系统根据该数字证书信息和该原文信息,对该电子签名进行验证;根据该数字证书对应的实名信息,对该用户的实名信息进行验证;该用户的身份认证成功包括:该电子签名验证成功且该用户的实名信息验证成功。
本发明实施例的用于远程开户的系统和方法,可以用于实现远程开户,能够提高用户的开户效率。进一步地,在远程开户的过程中,通过eID第三方认证子系统对用户的身份进行认证,能够提高用户远程开户的安全性。
附图说明
图1是根据本发明实施例的用于远程开户的系统的示意性框图。
图2是根据本发明实施例的用于远程开户的方法的一例的示意性流程图。
图3是根据本发明实施例的用于远程开户的方法的另一例的示意性流程图。
图4是根据本发明实施例的用于远程开户的方法的又一例的示意性流程图。
图5是根据本发明实施例的用于远程开户的方法的再一例的示意性流程图。
图6是根据本发明实施例的用于远程开户的方法的再一例的示意性流程图。
具体实施方式
下面将结合附图,对本发明实施例中的技术方案进行描述。
本发明实施例提供的用于远程开户的系统和方法,可以应用于计算机上,该计算机包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括CPU(Central Processing Unit)、内存管理单元(MMU,Memory Management Unit)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(Process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,在本发明实施例中,该计算机可以是智能手机等手持设备,也可以是个人计算机等终端设备,本发明实施例并未特别限定,只要能够通过运行记录有本发明实施例的用户认证的方法的代码的程序,以根据本发明实施例的用户认证的方法对用户进行认证即可。本发明实施例的用户认证的方法的执行主体可以是计算机设备,或者,是计算机设备中能够调用程序并执行程序的功能模块。
此外,本发明实施例的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,CD(Compact Disc,压缩盘)、DVD(Digital Versatile Disc,数字通用盘)等),智能卡和闪存器件(例如,EPROM(Erasable Programmable Read-OnlyMemory,可擦写可编程只读存储器)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
为了便于理解本发明实施例,首先简单介绍本发明实施例的一些概念。
网络电子身份标识(electronic Identity,简称“eID”),是一种以密码技术为基础,以智能卡芯片为载体,由公安部统一签发给公民的、权威的、保护个人身份信息的、普适的网络身份标识。它能够用于在互联网上不泄露身份信息的前提下远程识别个人的身份。
eID卡,是eID的载体,目前主要是金融IC卡,可以通过银行网点发放,发放过程中银行会对用户的真实身份做严格审核,确保本人申领,审核通过后才将eID颁发给用户。eID面签过程可信且具有普适性。eID基于公安部人口库的审核,由“公安部公民网络身份识别系统”统一签发,可进行跨地域、跨行业的网络身份服务,具有权威性,且采用密码技术为基础,具有高安全性。eID含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;其唯一性标识采用国家商用密码算法生成,不含任何个人身份信息,有效保护了公民身份信息。eID用于身份认证是一种具有权威性、安全性、普适性和隐私性的认证方法。
数字证书,是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。可以在网上用它来识别对方的身份。
数字证书信息,可以为数字证书的序列号,该序列号用于唯一地标识该数字证书(该数字证书信息可以理解为数字证书的标识),该数字证书用于唯一地标识用户身份(该数字证书可以理解为用户的身份标识)。也就是说,每个持有eID卡的用户都对应有一个数字证书,或者对应有一个数字证书信息。每个用户所持有的eID卡都对应有一对公私钥对,其中,私钥保存在用户持有的eID卡中,公钥保存在与该用户对应的数字证书中。该公私钥对可以是用户在申请办理eID卡时就预先生成并保存在相应位置的。
为方便理解本发明实施例,以下,简单介绍私钥签名、公钥验证的具体过程。
设备A(可对应于本发明实施例的eID卡)持有一对公私钥对,包括公钥a1和私钥a2,公钥a1为设备A的数字证书中包含的公钥,私钥a2为设备A自身持有的私钥。设备A使用私钥a2对待签原文的摘要M的摘要(或者说,待签原文的摘要M的哈希值)进行加密,生成电子签名m(即私钥签名)。其中,该待签原文的摘要M可以理解为明文信息或签名的明文信息。
另一方面,设备B(可应对本发明实施例的eID第三方认证子系统)可以获取设备A的数字证书,该数字证书中保存有公钥a1。设备B基于公钥a1对该电子签名m进行解密,得到该待签原文的摘要M的摘要。
进一步地,设备B可以对待签原文使用Hash函数进行计算,将得到的结果与上述解密后得到的待签原文的摘要进行对比,若两者一致,可以确定该电子签名m是设备A利用自身唯一的私钥a2计算出的,从而设备B验证了设备A的身份,同时也可证明该电子签名m保护的待签原文的摘要M未被篡改。
应理解,以上列举的方法仅为示例性说明,不应对本发明实施例构成任何限定,用于计算电子签名的签名算法和签名Hash算法要根据数字证书中表明的算法进行计算。
需要说明是,本发明实施例中的情况和方式的划分仅是为了描述的方便,不应构成特别的限定,各种情况和方式中的特征在不矛盾的情况下可以相结合。
以下,结合图1至图6详细说明eID用于远程开户的系统和方法。
图1是根据本发明实施例的用于远程开户的系统的示意性框图。如图1所示,该系统100包括:终端设备110、企业服务子系统120、eID第三方认证子系统130以及证书授权CA子系统140。其中,该终端设备110通过企业服务子系统120以及eID第三方认证子系统130与该CA子系统140通信连接。
该系统100可以用于远程开户,该终端设备110用于向企业服务子系统120发送开户请求;该企业服务子系统120用于根据该开户请求向该eID第三方认证子系统130发送开户认证请求;该eID第三方认证子系统130用于根据该开户认证请求对用户的身份进行验证,若该用户的身份认证成功,该eID第三方认证子系统130还用于向该CA子系统140发送个人数字证书申请;该CA子系统140用于根据该个人数字证书申请通过该eID第三方认证子系统130向该企业服务子系统120发送个人数字证书。可选地,该终端设备可以用于根据用户的操作向企业服务子系统发送开户申请,该开户申请用于请求开户。
具体地,该开户认证请求包括用户持有的数字证书信息,以用于eID第三方认证子系统130根据该数字证书信息,获取数字证书。该开户认证请求包括待签原文和电子签名,以用于eID第三方认证子系统130根据该待签原文和该数字证书中保存的公钥,对该电子签名进行验证,以对该用户的身份进行认证。
可选地,在本发明实施例中,eID第三方认证子系统130对用户的身份进行认证,可以至少包括以下两种情况中的一种:
(1)电子签名验证成功,用户的身份认证成功,电子签名验证失败,用户的身份认证失败。
(2)电子签名验证成功,且用户的实名信息验证成功,该用户的身份认证成功;电子签名验证失败或用户的实名信息验证失败,该用户的身份认证失败。其中,开户认证请求还可以包括该用户的实名信息,可选地,该用户的实名信息可以包括用户的姓名和身份证号的至少一种。
电子签名验证包括:eID第三方认证子系统130可以用于根据该开户认证请求中的数字证书信息,去数据库(可选地,该eID第三方认证子系统130可以存储该数据库)中检索该数字证书信息所对应的数字证书,若能够检索到对应的数字证书则说明该用户是真实存在的。进一步地,根据数字证书中保存的公钥,对电子签名进行解密,得到待签原文的摘要。eID第三方认证子系统130可以对通过运算得到的待签原文的摘要和接收到的待签原文的摘要进行对比,若两者一致,则可以确定该电子签名验证成功;若两者不一致,则可以确定该电子签名验证失败。
实名信息验证包括:该eID第三方认证子系统130还用于根据该数字证书对应的实名信息,对开户认证请求包括的用户的实名信息进行验证,以对该用户的身份进行认证。具体地,若数字证书对应的实名信息和开户认证请求包括的用户的实名信息一致,可以确定该用户的实名信息验证成功;若两者不一致,可以确定该用户的实名信息验证失败。
需要说明的是,eID第三方认证子系统130验证用户的实名信息和验证电子签名的先后顺序,本发明实施例在此不做限定。
若该用户的身份认证成功,该eID第三方认证子系统130还用于向该CA子系统140发送个人数字证书申请。CA子系统140接收到个人数字证书申请可以生成数字证书,并通过eID第三方认证子系统130发送该个人数字证书。
本发明实施例的系统能够实现远程开户,用户有开户需求时,无需去物理网点办理开户业务,能够提高用户开户的效率。进一步地,通过eID第三方认证子系统130认证用户的身份,并在用户的身份认证成功之后向CA子系统140发送个人数字证书情况,能够提高远程开户的安全性。
可选地,在本发明实施例中,该个人数字证书申请可以至少包括以下两种信息中的任一种。
(1)第一信息,该第一信息为与eID相关的信息。
该第一信息可以包括该用户的与应用相对应的用户网络身份应用标识编码appeIDcode、电子签名、数字证书信息等与该eID相关的信息中的至少一种。
CA子系统140根据该第一信息生成的个人数字证书能够可以与eID相关联。
例如,在本发明实施例中,该个人数字证书申请包括该用户的与应用相对应的用户网络身份应用标识编码appeIDcode,该个人数字证书包括该appeIDcode。
需要说明是,该应用于企业服务子系统相对应。例如,该企业为中国工商银行,该应用可以为工商银行APP;若该企业为农业银行,该应用可以为农业银行APP。
具体地,该用户的网络身份应用标识编码appeIDcode与应用相对应。该appeIDcode与用户具有一一对应的关系,每一个appeIDcode可以唯一地标识一个用户。但这并不代表每一个企业服务子系统120对同一个用户具有相同的appeIDcode。对于不同的企业服务子系统120,eID第三方认证子系统130对同一个用户的身份信息经过运算得到的appeIDcode是不同的,由此可以避免用户在不同网络应用中的行为数据被汇聚、分析和追踪,最大程度地保护个人身份和隐私信息。
又例如,该个人数字证书申请还可以包括该数字证书信息和该电子签名中的至少一种。相应地,该个人数字证书可以包括与eID卡相关的信息。例如,该个人数字证书包括该数字证书信息和该电子签名中的至少一种。
(2)第二信息,该第二信息与开户事件相关。
该第二信息可以包括原文信息、交易标识、用户的实名信息以及交易时间等任意与开户事件相关的信息中的至少一种。
其中,该交易标识为eID第三方认证子系统130在认证用户的身份认证成功的情况下产生的标识,该交易标识能够用于标识eID第三方认证子系统130认证该用户的身份的事件。
可选地,在本发明实施例中,该个人数字证书申请可以包括公钥信息以及能够用于标识用户的信息(例如,数字证书信息和用户的实名信息中的至少一种)。CA子系统140基于个人数字证书申请生成的个人数字证书可以达到用户的身份与个人数字证书进行关联的目的。换句话说,根据用于标识用户的信息及公钥信息生成个人数字证书,可以达到用户的身份与个人数字证书进行关联的目的。
例如,假设用户的身份证号是1111111111111X,该个人数字证书申请可以包括公钥信息以及该1111111111111X,CA子系统140接收到该个人数字证书申请之后可以获知1111111111111X对应的用户希望通过该公钥信息申请个人数字证书,CA子系统140可以生成该个人数字证书并将生成的个人数字证书与该1111111111111X对应的用户进行关联。
可选地,该公钥信息可以包括以下两种情况:
(1)公钥信息为公私钥对的公钥。其中,该公私钥对可以是终端设备110生成的也可以是eID第三方认证子系统130生成的。
例如,该终端设备110还用于生成第一公私钥对,eID第三方认证子系统130可以通过企业服务子系统120获取该终端设备110的第一公私钥对的公钥,该个人数字证书包括该第一公私钥对的公钥。
又例如,该eID第三方认证子系统130可以生成第二公私钥对,该个人数字证书申请包括该第二公私钥对的公钥。可选地,eID第三方子系统可以在用户的身份认证成功之后生成该第二公私钥对。
(2)公钥信息为P10文件。其中,该P10文件可以是终端设备110生成的也可以是eID第三方认证子系统130生成的。
例如,该终端设备110还用于生成第一公私钥对,并根据该第一公私钥对的私钥和该第一公私钥对的公钥生成P10文件;eID第三方认证子系统130可以通过企业服务子系统120获取该P10文件。其中,该P10文件包括该第一公私钥对的公钥,以及通过第一公私钥对的私钥对第一公私钥对的公钥进行签名得到的电子签名。
可选地,在本发明实施例中,终端设备110还用于根据第一公私钥对的私钥和该待签原文的摘要生成电子签名。为了便于区分,可以将eID的私钥和待签原文的摘要生成的电子签名记为第一电子签名,将终端设备110的第一公私钥对的私钥和待签原文的摘要生成的电子签名记为第二电子签名。可选地,该开户认证请求还可以包括该第二电子签名。可选地,该个人数字证书申请可以包括该第二电子签名
该eID第三方认证子系统130还可以用于对该P10文件和/或第二电子签名进行验证。
又例如,该eID第三方认证子系统130还用于生成第二公私钥对,并根据该第二公私钥对的私钥和该第二公私钥对的公钥生成P10文件。eID第三方认证子系统130生成的P10文件包括该第二公私钥对的公钥,以及通过第二公私钥对的私钥对第二公私钥对的公钥进行签名得到的电子签名。
可选地,在本发明实施例中,eID第三方认证子系统130还用于根据第二公私钥对的私钥和该待签原文的摘要生成电子签名。为了便于区分,可以将eID第三方认证子系统130根据第二公私钥对的私钥和待签原文的摘要生成的电子签名记为第三电子签名。可选地,该个人数字证书申请可以包括该第三电子签名。
相较于该个人数字证书申请直接包括公钥对的公钥,该个人数字证书申请包括P10具有更高的安全性。CA子系统140接收到该P10文件之后,可以根据验证该公钥对的公钥是否被篡改。若该公钥未被篡改,该CA子系统140可以根据该公钥生成用户的个人数字证书。
以上,从整体的角度描述了本发明实施例的用于远程开户的系统100。其中,该电子签名和该数字证书信息由终端设备110获取并发送至该企业服务子系统120。即,终端设备还用于获取该电子签名和数字证书信息。
在本发明实施例中,该终端设备110可以用于读取用户持有的eID卡中保存的数字证书信息(或数字证书标识),并向eID第三方认证子系统130发送该数字证书信息。
在本发明实施例中,终端设备可以通过eID卡获取电子签名。
具体地,该终端设备可以获取待签原文的摘要,并向eID卡发送该待签原文的摘要,该eID卡可以根据自己的私钥对该待签原文的摘要进行签名生成电子签名。该终端设备接收eID卡发送的该电子签名。其中,终端设备110获取该待签原文的摘要的方式可以至少包括以下两种:
1、终端设备110可以根据事件信息生成待签原文,进一步生成该待签原文的摘要。
作为示例而非限定,该事件信息可以为:事件(例如,开户)发生的时间、唯一标识该事件的业务流水号以及业务信息(例如,开户号)中的至少一种。
2、终端设备110可以接收企业服务子系统120根据该开户请求发送的原文信息,该原文信息包括待签原文和待签原文的摘要中的至少一种,以用于终端设备110获取该待签原文的摘要。
作为示例而非限定地,该待签原文可以包括:签名时间、流水号、个人数字证书申请协议信息(例如,对带用户图章的个人数字证书申请协议信息即PDF文件)和开户协议信息中的至少一种。以待签原文包括开户协议信息为例,该待签原文的摘要可以包括该开户协议哈希值。
应理解,若该电子签名对应的待签原文是终端设备110自己生成的,该终端设备110需要向企业服务子系统120发送该原文信息。反之,若该电子签名对应的待签原文是企业服务子系统120根据用户的开户请求生成的,该终端设备110可以向企业服务子系统120发送原文信息也可以不发送该原文信息。
可选地,该终端设备还用于接收该用户输入的eID密码,该eID密码用于启用保存在该eID卡中的私钥。
具体而言,该eID卡中保存的私钥可以通过用户输入eID密码来启用。该eID密码可以是用户在办理eID卡时设置的密码,用于保护私钥不被盗用。
可选地,该终端设备中配置有读卡装置,该读卡装置包括:近场通信NFC读卡装置,或者,通过银联认证或eID认证并带有eID标识的标准读卡装置。
示例性地,该终端设备可以为NFC手机、具备eID卡读取功能的扫码枪等等。应理解,本发明实施例对于终端设备的具体形态并未特别限定。只要能够支持读卡功能,均可以用作终端设备。
可选地,企业服务子系统120可以包括企业服务应用(application,简称“APP”)。可选地,该终端设备110可以安装有企业服务APP,该终端设备110可以通过该企业服务APP与企业服务子系统120进行信息交互。
终端设备110该读取eID卡的过程可以通过该企业服务APP来实现。即,用户可以在读卡时,打开该企业服务APP,读卡以获取数字证书信息,并接收用户输入的eID密码,以启用保存在eID卡中的私钥。eID卡在基于自身保存的私钥,对待签原文的摘要进行处理得到电子签名后,将该电子签名发送给终端设备110。终端设备110在接收到eID卡生成的电子签名后,通过该企业服务APP将电子签名、数字证书信息发送至该企业服务子系统120。
可选地,该eID第三方认证子系统130可以包括eID网络身份服务机构(IndentityService Provider,IDSP)、网络身份运行机构(Indentity Service Operator,IDSO)和eID中心。
其中,IDSP用于连接IDSO与线上应用服务机构(例如企业服务子系统120),向线上应用服务机构提高eID网络身份增值服务。
IDSO用于连接eID签发机构与eID网络身份服务机构,承担eID网络身份识别基础服务,并与eID网络身份服务机构合作向线上应用服务结构提供eID网络身份公共增值服务和相关安全增值服务。
可选地,企业服务子系统120还用于向该eID第三方认证子系统发送企业认证请求,该企业认证请求中携带有该eID第三方认证子系统预先分配给企业服务子系统120的企业标识ID,该企业认证请求用于请求该eID第三方认证子系统130对该企业进行认证。
该eID第三方认证子系统具体用于在基于该企业认证请求对该企业认证成功后,基于该开户认证请求对该用户的身份进行认证。
具体而言,企业在eID第三方认证子系统注册的时候,若注册成功,eID第三方认证子系统可以预先为该企业分配一个企业ID。在该企业每次向eID第三方认证子系统发送请求时,可以同时携带该企业ID(即,发送企业认证请求)。也就是说,企业服务子系统120可以同时向eID第三方认证子系统130发送开户认证请求和企业认证请求,该开户认证请求和企业认证请求可以同时承载在一条消息中,也可以分别承载在两条消息中单独发送。
在实际执行过程中,若开户认证请求和企业认证请求分别承载在两条消息中发送时,用于承载开户认证请求的消息和用于承载企业认证请求的消息可以由企业服务子系统120同时发送到eID第三方认证子系统130,也可以在预设的时间阈值范围内发送到eID第三方认证子系统130,以便于eID第三方认证子系统130能够及时地对用户进行身份认证。
应理解,以上示例的eID第三方认证子系统进行认证的具体过程仅为示例性说明,不应对本发明实施例构成任何限定。例如,eID第三方认证子系统也可以在接收到开户认证请求和企业认证请求时,分别对企业ID和电子签名进行认证。
以上,描述了本发明实施例的用于远程开户的系统100,以下结合图2至图6描述本发明实施例的用于远程开户的方法。
图2是根据本发明实施例的用于远程开户的方法一例的示意性流程图。该方法200应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,如图2所示,该方法200包括:
S210、该企业服务子系统接收该终端设备发送的开户申请;
S220、该企业服务子系统根据该开户申请向该eID第三方认证子系统发送开户认证请求,该开户认证请求包括原文信息、该原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,该原文信息包括待签原文和待签原文的摘要的至少一种,该开户认证请求用于该eID第三方认证子系统对该用户的身份进行认证,并在该用户的身份认证成功的情况下向该CA子系统发送个人数字证书申请;
S220、该企业服务子系统通过eID第三方认证子系统接收该CA子系统根据该个人数字证书申请发送的个人数字证书。
应理解,该用于远程开户的方法200可以由上述实施例提供的终端设备100来执行,根据本发明实施例的用于远程开户的方法200中的各个步骤或流程,可应用于本发明实施例中的用于远程开户的系统100的各个模块的上述和其他操作和/或流程,为了简洁此处不再赘述。
图3是根据本发明实施例的用于远程开户的方法的另一例的示意性流程图。该方法300应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,如图3所示,该方法300包括:
S310、该eID第三方认证子系统接收该企业服务子系统发送的开户认证请求,该开户认证请求包括原文信息、该原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,该原文信息包括待签原文和待签原文的摘要的至少一种;
S320、该eID第三方认证子系统根据该开户认证请求对该用户的身份进行认证;
S330、若该用户的身份认证成功,该eID第三方认证子系统向该CA子系统发送个人数字证书申请;
S330、该eID第三方认证子系统接收该CA子系统根据该个人数字证书申请发送的个人数字证书;
S350、该eID第三方认证子系统向该企业服务子系统发送该个人数字证书。
应理解,该用于远程开户的方法300可以由上述实施例提供的终端设备100来执行,根据本发明实施例的用于远程开户的方法300中的各个步骤或流程,可应用于本发明实施例中的用于远程开户的系统100的各个模块的上述和其他操作和/或流程,为了简洁此处不再赘述。
图4是根据本发明实施例的用于远程开户的方法的又一例的示意性流程图。该方法400应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,如图4所示,该方法400包括:
S410、CA子系统接收该eID第三方认证子系统发送的个人数字证书申请,其中,该个人数字证书申请是该eID第三方认证子系统在根据企业服务子系统发送的开户认证请求对用户的身份验证成功后发送至该CA子系统的,该开户认证请求包括原文信息、该原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,该原文信息包括待签原文和待签原文的摘要的至少一种;
S420、该CA子系统根据该个人数字证书申请生成个人数字证书;
S430、该CA子系统通过该eID第三方认证子系统向该企业服务子系统发送该个人数字证书。
应理解,该用于远程开户的方法400可以由上述实施例提供的终端设备100来执行,根据本发明实施例的用于远程开户的方法400中的各个步骤或流程,可应用于本发明实施例中的用于远程开户的系统100的各个模块的上述和其他操作和/或流程,为了简洁此处不再赘述。
图5是根据本发明实施例的用于远程开户的方法再一例的示意性流程图。图6是根据本发明实施例的用于远程开户的方法的再一例的示意性流程图。图5和图6从设备交互的角度描述了用于远程开户的方法500。该方法500可以用于远程开户,该方法500可以应用于包括终端设备、企业服务子系统、eID第三方认证子系统和CA子系统的系统。
应理解,图5和图6是本发明实施例的用于远程开户的方法的示意性流程图,示出了该方法的详细的通信步骤或操作,但这些步骤或操作仅是示例,本发明实施例还可以执行其它操作或者图5和图6中的各种操作的变形。此外,图5和图6中的各个步骤可以分别按照与图5和图6所呈现的不同的顺序来执行,并且有可能执行图5和图6中的部分操作。
如图5和图6所示,该方法500包括:
S501、终端设备读取eID卡中的数字证书信息;
S502、终端设备向企业服务子系统发送开户请求;
S503、企业服务子系统根据该开户请求向终端设备发送原文信息,该原文信息包括待签原文和待签原文的摘要中的至少一种,以用于终端设备获取该待签原文的摘要。
S504、终端设备向eID卡发送待签原文的摘要;
S505、eID卡根据该待签原文的摘要以及保存的私钥,生成电子签名(为了便于区分,将该电子签名成为第一电子签名),并向终端设备发送该第一电子签名;
由上文可知,个人数字证书需要包括P10文件,若该P10文件是终端设备生成的,执行S505-S512;若该P10文件是eID第三方认证子系统生成的,执行S513-S518;
S505、终端设备生成第一公私钥对,并根据第一公私钥对的私钥和第一公私钥对的公钥获取P10文件。可选地,该终端设备可以根据第一公私钥对的私钥和该待签原文的摘要签名生成第二电子签名;
S506、终端设备向企业服务子系统发送第三信息,该第三信息包括第一电子签名、数字证书信息以及P10文件。可选地,该第三信息还可以包括用户的实名信息和第二电子签名中的至少一种;
S507、企业服务子系统向eID第三方认证子系统(具体地,可以为eID第三方认证子系统的IDSP)发送开户认证请求,该开户认证请求包括第一信息包括的信息以及该原文信息;
S508、该eID第三方认证子系统的IDSP可以将该开户认证请求转发至eID第三方认证子系统的IDSO;
S509、eID第三方认证子系统的IDSO可以将该开户认证申请转发至eID第三方认证子系统的eID中心;
S510、eID第三方认证子系统的eID中心对用户的身份进行验证(即验证第一电子签名,可选地,还验证用户的实名信息)。可选地,对第二电子签名和/或P10文件进行验证。
S511、该eID第三方认证子系统的eID中心将验证结果发送至eID第三方认证子系统的IDSO;
S512、终端设备向企业服务子系统发送第四信息,该第四信息包括第一电子签名以及该数字证书信息。可选地,该第四信息还可以包括该用户的实名信息;
S513、企业服务子系统向eID第三方认证子系统(具体地,可以为eID第三方认证子系统的IDSP)发送开户认证请求,该开户认证请求包括第一信息包括的信息以及原文信息;
S514、该eID第三方认证子系统的IDSP可以将该开户认证请求转发至eID第三方认证子系统的IDSO;
S515、eID第三方认证子系统的IDSO可以将该开户认证申请转发至eID第三方认证子系统的eID中心;
S516、eID第三方认证子系统的eID中心对用户的身份进行验证(即验证第一电子签名,可选地,还验证用户的实名信息);
S517、该eID第三方认证子系统的eID中心将验证结果发送至eID第三方认证子系统的IDSO;
S518、eID第三方认证子系统(具体地,可以为eID第三方认证子系统的IDSO)生成第二公私钥对,并根据第二公私钥对的私钥和第二公私钥对的公钥生成P10文件;可选地,该eID第三方认证子系统使用第二公私钥对的私钥对该待签原文的摘要签名生成第二电子签名;
S519、eID第三方认证子系统(具体地,可以为eID第三方认证子系统的IDSO)向CA子系统发送个人数字证书申请,该个人数字证书申请包括该用户的实名信息和该数字证书信息中的至少一种,且该个人数字证书申请还包括公私钥对的公钥或P10文件;
S520、CA子系统根据该个人数字证书申请向eID第三方认证子系统(具体地,可以为eID第三方认证子系统的IDSO)发送个人数字证书,该个人数字证书可以包括个人数字证书申请包括的信息的至少一种,和/或该个人数字证书申请包括该个人数字证书包括该个人数字证书的签发时刻和交易流水号中的至少一种。
S521、该eID第三方认证子系统的IDSO向该eID第三方认证子系统的IDSP发送个人数字证书;
S522、该eID第三方认证子系统(具体地,可以为eID第三方认证子系统的IDSP)向企业服务子系统发送个人数字证书。
因此,本发明实施例的用于远程开户的方法,可以实现远程开户,能够提高用户开户的效率,进一步地,通过eID进行远程开户过程,能够提高远程开户的安全性。
在本发明实施例中,企业服务子系统可以理解为服务器,该服务器可以为一个也可以为多个,即,多个服务器可以构成服务器集群。该服务器可以部署在一台物理设备上,也可以分布式地部署在一组物理设备中,构成服务器集群,从而达到扩展网络设备和服务器带宽、增加吞吐量、加强网络数据处理能力、提高网络灵活性和可用性的目的。
应理解,本发明实施例中所示出的终端设备和企业服务子系统可以理解为客户端设备和服务端设备,可以通过企业服务子系统应用APP进行信息交互,其中,终端设备可以为用户的手持终端,也可以为其他终端设备,本发明实施例对此并未特别限定。企业服务子系统仅为服务端设备的一个命名,不应对本发明实施例构成任何限定,本发明实施例也并不排除将其命名为其他信息子系统或者设备的可能。
应理解,在本发明实施例的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
还应理解,在本发明实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存10在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明实施例的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明实施例各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明实施例各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明实施例的具体实施方式,但本发明实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明实施例的保护范围之内。因此,本发明实施例的保护范围应所述以权利要求的保护范围为准。
Claims (20)
1.一种用于远程开户的系统,其特征在于,所述系统包括:终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统;
所述终端设备用于向所述企业服务子系统发送开户请求;
所述企业服务子系统用于根据所述开户请求向所述eID第三方认证子系统发送开户认证请求,所述开户认证请求包括原文信息、所述原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,所述原文信息包括待签原文和待签原文的摘要的至少一种;
所述eID第三方认证子系统用于根据所述开户认证请求,对所述用户的身份进行认证;
若所述用户的身份认证成功,所述eID第三方认证子系统还用于向所述CA子系统发送个人数字证书申请,其中,所述个人数字证书申请包括交易标识,所述交易标识为所述eID第三方认证子系统在认证用户的身份认证成功的情况下产生的标识;
所述CA子系统用于根据所述个人数字证书申请生成个人数字证书,并通过所述eID第三方认证子系统向所述企业服务子系统发送所述个人数字证书。
2.根据权利要求1所述的系统,其特征在于,所述个人数字证书申请包括所述用户的与应用相对应的用户网络身份应用标识编码appeIDcode,所述个人数字证书包括所述appeIDcode。
3.根据权利要求1或2所述的系统,其特征在于,所述个人数字证书申请还包括所述数字证书信息和所述电子签名中的至少一种;和/或
所述个人数字证书包括所述数字证书信息和所述电子签名中的至少一种。
4.根据权利要求1或2所述的系统,其特征在于,所述个人数字证书申请包括P10文件;
其中,所述P10文件由所述终端设备根据所述终端设备生成的公私钥对的私钥和所述终端设备生成的公私钥对的公钥生成,或所述P10文件由所述eID第三方认证子系统根据所述eID第三方认证子系统生成的公私钥对的私钥和所述eID第三方认证子系统生成的公私钥对的公钥生成。
5.根据权利要求1或2所述的系统,其特征在于,所述开户认证请求还包括所述用户的实名信息;
所述eID第三方认证子系统具体用于根据所述数字证书信息和所述原文信息,对所述电子签名进行验证;根据所述数字证书对应的实名信息,对所述用户的实名信息进行验证;
所述用户的身份认证成功包括:所述电子签名验证成功且所述用户的实名信息验证成功。
6.一种用于远程开户的方法,其特征在于,所述方法应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,所述方法包括:
所述企业服务子系统接收所述终端设备发送的开户申请;
所述企业服务子系统根据所述开户申请向所述eID第三方认证子系统发送开户认证请求,所述开户认证请求包括原文信息、所述原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,所述原文信息包括待签原文和待签原文的摘要的至少一种,所述开户认证请求用于所述eID第三方认证子系统对所述用户的身份进行认证,并在所述用户的身份认证成功的情况下向所述CA子系统发送个人数字证书申请,其中,所述个人数字证书申请包括交易标识,所述交易标识为所述eID第三方认证子系统在认证用户的身份认证成功的情况下产生的标识;
所述企业服务子系统通过eID第三方认证子系统接收所述CA子系统根据所述个人数字证书申请发送的个人数字证书。
7.根据权利要求6所述的方法,其特征在于,所述个人数字证书申请包括所述用户的与应用相对应的用户网络身份应用标识编码appeIDcode,所述个人数字证书包括所述appeIDcode。
8.根据权利要求6或7所述的方法,其特征在于,所述个人数字证书申请还包括所述数字证书信息和所述电子签名中的至少一种;和/或
所述个人数字证书包括所述数字证书信息和所述电子签名中的至少一种。
9.根据权利要求6或7所述的方法,其特征在于,所述个人数字证书申请包括P10文件;
所述P10文件由所述终端设备基于所述终端设备生成的公私钥对的私钥和所述终端设备生成的公私钥对的公钥生成,或所述P10文件由所述eID第三方认证子系统基于所述eID第三方认证子系统生成的公私钥对的私钥和所述eID第三方认证子系统生成的公私钥对的公钥生成。
10.根据权利要求6或7所述的方法,其特征在于,所述开户认证请求还包括所述用户的实名信息,以用于所述eID第三方认证子系统根据所述数字证书信息和所述原文信息,对所述电子签名进行验证;根据所述数字证书对应的实名信息,对所述用户的实名信息进行验证;
所述用户的身份认证成功包括:所述电子签名验证成功且所述用户的实名信息验证成功。
11.一种用于远程开户的方法,其特征在于,所述方法应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,所述方法包括:
所述eID第三方认证子系统接收所述企业服务子系统发送的开户认证请求,所述开户认证请求包括原文信息、所述原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,所述原文信息包括待签原文和待签原文的摘要的至少一种;
所述eID第三方认证子系统根据所述开户认证请求对所述用户的身份进行认证;
若所述用户的身份认证成功,所述eID第三方认证子系统向所述CA子系统发送个人数字证书申请,其中,所述个人数字证书申请包括交易标识,所述交易标识为所述eID第三方认证子系统在认证用户的身份认证成功的情况下产生的标识;
所述eID第三方认证子系统接收所述CA子系统根据所述个人数字证书申请发送的个人数字证书;
所述eID第三方认证子系统向所述企业服务子系统发送所述个人数字证书。
12.根据权利要求11所述的方法,其特征在于,所述个人数字证书申请包括所述用户的与应用相对应的用户网络身份应用标识编码appeIDcode,所述个人数字证书包括所述appeIDcode。
13.根据权利要求11或12所述的方法,其特征在于,所述个人数字证书申请还包括所述数字证书信息和所述电子签名中的至少一种;和/或
所述个人数字证书包括所述数字证书信息和所述电子签名中的至少一种。
14.根据权利要求11或12所述的方法,其特征在于,所述个人数字证书申请包括P10文件;
所述P10文件由所述终端设备基于所述终端设备生成的公私钥对的私钥和所述终端设备生成的公私钥对的公钥生成,或所述P10文件由所述eID第三方认证子系统基于所述eID第三方认证子系统生成的公私钥对的私钥和所述eID第三方认证子系统生成的公私钥对的公钥生成。
15.根据权利要求11或12所述的方法,其特征在于,所述开户认证请求还包括所述用户的实名信息;
所述eID第三方认证子系统根据所述开户认证请求对所述用户的身份进行认证,包括:
所述eID第三方认证子系统根据所述数字证书信息和所述原文信息,对所述电子签名进行验证;根据所述数字证书对应的实名信息,对所述用户的实名信息进行验证;
所述用户的身份认证成功包括:所述电子签名验证成功且所述用户的实名信息验证成功。
16.一种用于远程开户的方法,其特征在于,所述方法应用于包括终端设备、企业服务子系统、网络电子身份标识eID第三方认证子系统和证书中心CA子系统的系统中,所述方法包括:
CA子系统接收所述eID第三方认证子系统发送的个人数字证书申请,其中,所述个人数字证书申请是所述eID第三方认证子系统在根据企业服务子系统发送的开户认证请求对用户的身份验证成功后发送至所述CA子系统的,所述个人数字证书申请包括交易标识,所述交易标识为所述eID第三方认证子系统在认证用户的身份认证成功的情况下产生的标识,所述开户认证请求包括原文信息、所述原文信息的电子签名以及用户持有的eID卡的数字证书信息,其中,所述原文信息包括待签原文和待签原文的摘要的至少一种;
所述CA子系统根据所述个人数字证书申请生成个人数字证书;
所述CA子系统通过所述eID第三方认证子系统向所述企业服务子系统发送所述个人数字证书。
17.根据权利要求16所述的方法,其特征在于,所述个人数字证书申请包括所述用户的与应用相对应的用户网络身份应用标识编码appeIDcode,所述个人数字证书包括所述appeIDcode。
18.根据权利要求16或17所述的方法,其特征在于,所述个人数字证书申请还包括所述数字证书信息和所述电子签名中的至少一种;和/或
所述个人数字证书包括所述数字证书信息和所述电子签名中的至少一种。
19.根据权利要求16或17所述的方法,其特征在于,所述个人数字证书申请包括P10文件;
所述P10文件由所述终端设备基于所述终端设备生成的公私钥对的私钥和所述终端设备生成的公私钥对的公钥生成,或所述P10文件由所述eID第三方认证子系统基于所述eID第三方认证子系统生成的公私钥对的私钥和所述eID第三方认证子系统生成的公私钥对的公钥生成。
20.根据权利要求16或17所述的方法,其特征在于,所述开户认证请求还包括所述用户的实名信息;
所述eID第三方认证子系统根据所述开户认证请求对所述用户的身份进行认证,包括:
所述eID第三方认证子系统根据所述数字证书信息和所述原文信息,对所述电子签名进行验证;根据所述数字证书对应的实名信息,对所述用户的实名信息进行验证;
所述用户的身份认证成功包括:所述电子签名验证成功且所述用户的实名信息验证成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611195767.XA CN108234126B (zh) | 2016-12-21 | 2016-12-21 | 用于远程开户的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611195767.XA CN108234126B (zh) | 2016-12-21 | 2016-12-21 | 用于远程开户的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108234126A CN108234126A (zh) | 2018-06-29 |
| CN108234126B true CN108234126B (zh) | 2021-04-09 |
Family
ID=62656850
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611195767.XA Active CN108234126B (zh) | 2016-12-21 | 2016-12-21 | 用于远程开户的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108234126B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109309917B (zh) * | 2018-10-24 | 2021-11-02 | 上海收付宝科技有限公司 | 基于移动端软件密码模块的eID数字身份认证方法及系统 |
| CN110191123B (zh) * | 2019-05-29 | 2022-02-18 | 中国联合网络通信集团有限公司 | 一种线上办卡方法、客户端及系统 |
| CN113452528B (zh) * | 2021-05-24 | 2023-01-10 | 无锡融卡科技有限公司 | 请求处理方法、系统、计算机设备和介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101527633A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 智能密钥设备获取数字证书的系统及方法 |
| CN101977113A (zh) * | 2010-11-05 | 2011-02-16 | 四川长虹电器股份有限公司 | 数字版权管理中进行设备认证的方法 |
| CN105393489A (zh) * | 2013-04-26 | 2016-03-09 | 维萨国际服务协会 | 提供数字证书 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9300629B1 (en) * | 2013-05-31 | 2016-03-29 | Palo Alto Networks, Inc. | Password constraint enforcement used in external site authentication |
| CN103259667B (zh) * | 2013-06-07 | 2016-05-18 | 北京邮电大学 | 移动终端上eID身份认证的方法及系统 |
| CN104601593B (zh) * | 2015-02-04 | 2017-12-01 | 公安部第三研究所 | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 |
| CN105141615A (zh) * | 2015-09-07 | 2015-12-09 | 天地融科技股份有限公司 | 一种远程开户方法和系统及其身份验证方法和系统 |
| CN105550928B (zh) * | 2015-12-03 | 2020-02-18 | 城银清算服务有限责任公司 | 一种商业银行网络远程开户的系统及其方法 |
| CN105933280B (zh) * | 2016-03-15 | 2019-01-08 | 天地融科技股份有限公司 | 身份认证方法和系统 |
| CN105939197B (zh) * | 2016-03-17 | 2019-02-12 | 天地融科技股份有限公司 | 一种身份认证方法和系统 |
-
2016
- 2016-12-21 CN CN201611195767.XA patent/CN108234126B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101527633A (zh) * | 2008-12-31 | 2009-09-09 | 北京飞天诚信科技有限公司 | 智能密钥设备获取数字证书的系统及方法 |
| CN101977113A (zh) * | 2010-11-05 | 2011-02-16 | 四川长虹电器股份有限公司 | 数字版权管理中进行设备认证的方法 |
| CN105393489A (zh) * | 2013-04-26 | 2016-03-09 | 维萨国际服务协会 | 提供数字证书 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108234126A (zh) | 2018-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109687959B (zh) | 密钥安全管理系统和方法、介质和计算机程序 | |
| KR102477453B1 (ko) | 트랜잭션 메시징 | |
| CN107181714B (zh) | 基于业务码的验证方法和装置、业务码的生成方法和装置 | |
| CN103607284B (zh) | 身份认证方法及设备、服务器 | |
| CN108965222B (zh) | 身份认证方法、系统及计算机可读存储介质 | |
| CN106487518A (zh) | 一种用于快递行业的实名认证系统和方法 | |
| CN107302435B (zh) | 身份信息处理方法、系统及其对应服务器 | |
| CN102782694A (zh) | 用于数据安全设备的事务审计 | |
| CN104662870A (zh) | 数据安全管理系统 | |
| CN104065621A (zh) | 一种第三方服务的身份验证方法、客户端和系统 | |
| CN107920052B (zh) | 一种加密方法及智能装置 | |
| CN204360381U (zh) | 移动设备 | |
| CN103067160A (zh) | 一种加密sd卡的动态密钥生成的方法及系统 | |
| CN111178884A (zh) | 信息处理方法、装置、设备及可读存储介质 | |
| CN108667784B (zh) | 互联网身份证核验信息保护的系统和方法 | |
| CN109120571B (zh) | 公民个人数据授权使用的系统和方法 | |
| CN110612698B (zh) | 通过组合多用户的认证因素生成安全密钥的安全认证系统及安全认证方法 | |
| CN109412812A (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| CN103812651A (zh) | 密码验证方法、装置及系统 | |
| CN112887340B (zh) | 密码重置方法、装置、业务管理终端及存储介质 | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| CN113553572A (zh) | 资源信息获取方法、装置、计算机设备和存储介质 | |
| CN108234126B (zh) | 用于远程开户的系统和方法 | |
| CN108229199B (zh) | 一种预约酒店的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |