CN110278084A - eID建立方法、相关设备及系统 - Google Patents
eID建立方法、相关设备及系统 Download PDFInfo
- Publication number
- CN110278084A CN110278084A CN201810220922.1A CN201810220922A CN110278084A CN 110278084 A CN110278084 A CN 110278084A CN 201810220922 A CN201810220922 A CN 201810220922A CN 110278084 A CN110278084 A CN 110278084A
- Authority
- CN
- China
- Prior art keywords
- equipment
- eid
- message
- server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本申请公开了网络电子身份标识eID的建立方法,包括:服务器向第一设备发送第一消息,第一消息包含业务信息;第一消息用于指示第一设备向第二设备发送第二消息;第二消息包含第一设备的eID公钥和业务信息;服务器接收第三消息;第三消息包含第一签名信息、第一设备的eID公钥和业务信息;第一签名信息是第二设备使用第二设备的eID私钥生成的签名信息,第二设备的eID私钥签名的对象包含第一设备的eID公钥和业务信息;当第一签名信息和业务信息验证通过时,服务器建立第一设备对应的eID。上述方案可以提高用户建立eID的便利性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种eID建立方法、相关设备及系统。
背景技术
公民网络电子身份标识(electronic identity,eID)是以密码技术为基础、以智能安全芯片为载体、由eID服务平台签发给公民的网络电子身份标识。eID能够在不泄露身份信息的前提下在线远程识别身份。eID可用于线上身份识别,满足公民在个人隐私、网络交易及虚拟财产等多方面的安全保障需求。
eID载体(eID carrier)是加载符合eID高强度安全机制要求的安全芯片,用于保存eID相关的密钥并进行相应的密码操作。在使用eID时,用户可以通过eID载体输入eID签名密码来确保本次eID使用得到用户授权。用户使用eID之前,首先需要开通eID载体对应的eID功能。用户开通eID功能时,需要向eID服务平台提供个人身份信息,如姓名、电话和身份证号等,并进行严格的身份核实过程,以确保“人证合一”。另外需要向eID服务平台提供eID载体的身份信息来证明eID载体是合法的,在身份核实成功,并且验证eID载体是合法的之后,eID服务平台建立eID载体对应的eID。
一般地,用户只允许选择在一个eID载体上开通eID功能。当用户需要更换开通eID功能的eID载体时,需要将原来开通eID功能的载体上的eID功能注销,并重新在新的eID载体上开通eID功能。即eID服务平台根据用户的注销申请删除原来的eID载体对应的eID。通过上述过程将原来开通eID功能的载体上的eID功能注销之后,重新在新的eID载体上开通eID功能。
然而,当用户更换开通eID功能的eID载体时,需要重复的执行严格的身份核实过程,重新执行严格的身份核实过程操作繁琐,并且需要在线下例如柜台或自助终端进行开通,降低了用户建立eID的便利性。
发明内容
本申请实施例公开了一种eID建立方法、相关设备及系统,可以提高用户建立eID的便利性。
第一方面,本申请实施例提供了一种网络电子身份标识eID的建立方法,包括:服务器向第一设备发送第一消息,所述第一消息包含业务信息;所述第一消息用于指示所述第一设备向第二设备发送第二消息;所述第二消息包含所述第一设备的eID公钥和所述业务信息;所述服务器接收所述第三消息;所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;当所述第一签名信息和所述业务信息验证通过时,所述服务器建立所述第一设备对应的eID。在上述建立第一设备的eID的过程中,利用已经建立有eID的第二设备来确保第一设备申请建立eID的消息经过用户授权且未被重放攻击。从而在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
在一个实施例中,所述服务器向第一设备发送第一消息之前,所述方法还包括:所述服务器接收所述第一设备发送的第四消息,所述第四消息包含所述第一设备的身份信息;所述服务器向第一设备发送第一消息,包括:当所述第一设备的身份信息验证通过时,所述服务器向第一设备发送第一消息。在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
在一个实施例中,所述第三消息中还包含所述第二设备标识,所述服务器建立所述第一设备对应的eID之前,所述方法还包括:所述服务器检测所述第三消息中包含的所述第二设备标识和所述服务器存储的第二设备标识是否相同;所述服务器建立所述第一设备对应的eID,包括:当所述第三消息中包含的所述第二设备标识和所述服务器存储的所述第二设备标识相同时,所述服务器建立所述第一设备对应的eID。服务器可以进一步根据第三消息中的第二设备标识来确认信任链关系中信息的一致性,从而减少第三消息被恶意篡改,进一步提高建立第一设备对应的eID过程的安全性。
在一个实施例中,所述服务器建立所述第一设备对应的eID之前,所述方法还包括:所述服务器接收所述第一设备发送的第五消息,所述第五消息包含所述第一设备的eID公钥;所述服务器检测所述第五消息中包含的所述第一设备的eID公钥和所述第三消息中包含的所述第一设备的eID公钥是否相同;所述服务器建立所述第一设备对应的eID,包括:当所述第五消息中包含的所述第一设备的eID公钥和所述第三消息中包含的所述第一设备的eID公钥相同时,所述服务器建立所述第一设备对应的eID。通过从第二设备接收到的消息中的第一设备的eID公钥和直接从第一设备接收到的第一设备的eID公钥进行比对来进一步确定从第二设备接收到的第三消息未被篡改,可以进一步提高建立第一设备对应的eID过程的安全性。
可选的,第一设备可以将第五消息包含在第四消息中发送给服务器。也即是说,第一设备在向服务器发送身份信息的同时,可以将第一设备的eID公钥发送给服务器。可以节约服务器与第一设备之间交互的消息,减少被第三方攻击的可能性,从而可以减少服务器消息处理的负担,并提高安全性。
在一个实施例中,所述业务信息还包含时间信息,所述服务器建立所述第一设备对应的eID之前,所述方法还包括:所述服务器根据所述时间信息检测所述第三消息是否有效;所述服务器建立所述第一设备对应的eID,包括:当所述第三消息有效时,所述服务器建立所述第一设备对应的eID。服务器通过业务信息限定第三消息在一定时间范围内有效,可以减少第三消息被篡改或者重放的情况。
在一个实施例中,所述服务器接收所述第三消息之后,所述方法还包括:所述服务器根据所述第二设备对应的eID验证所述第一签名信息是否合法,并验证所述第三消息中的所述业务信息与所述第一消息中的所述迁移验证信息是否相同;当所述第一签名信息和所述业务信息验证通过时,所述服务器建立所述第一设备对应的eID,包括:当所述第一签名信息合法且所述第三消息中的所述业务信息与所述第一消息中的所述迁移验证信息相同时,所述服务器建立所述第一设备对应的eID。只有当验证出第一签名信息合法,且第三消息中的业务信息与第一消息中业务信息相同时,才生成第一设备对应的eID,在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
在一个实施例中,所述服务器建立所述第一设备对应的eID之后,所述方法还包括:所述服务器删除所述第二设备对应的eID。通过建立第一设备对应的eID之后,删除第二设备对应的eID,来确保一个用户只在一个eID设备上开通eID。
在一个实施例中,所述服务器建立所述第一设备对应的eID之后,所述方法还包括:所述服务器向所述第一设备发送第六消息,所述第六消息用于通知所述第一设备所述服务器完成建立所述第一设备对应的eID。
在一个实施例中,所述服务器向所述第一设备发送第六消息之后,所述方法还包括:所述服务器接收所述第一设备发送的第七消息,所述第七消息包含所述第一设备采集的所述用户的身份验证信息;所述服务器验证所述身份验证信息和所述服务器存储的用户身份信息是否相同;当所述身份验证信息和所述服务器存储的用户身份信息相同时,所述服务器向所述第一设备发送第八消息,所述第八消息用于通知所述第一设备所述用户身份验证通过。进一步确认用户的身份验证信息合法才完成建立第一设备对应的eID,来保证服务器上的用户身份信息与使用第一设备的用户的身份信息的一致性,从而可以提高安全性。
在一个实施例中,服务器接收的来自第一设备的消息和服务器接收的来自第二设备的消息,均可以使用服务器的公钥进行加密,以确保服务器接收的来自第一设备的消息和服务器接收的来自第二设备的消息不会被恶意窃取。具体的,第一设备和第二设备均可以存储服务器的公钥,服务器可以存储服务器的私钥,第三消息、第四消息、第五消息和第七消息可以是使用服务器的公钥加密之后,发送给服务器的。服务器在接收到上述消息之后,可以使用服务器的私钥首先对消息进行解密,之后针对上述消息执行后续的步骤。
在一个实施例中,在完成建立第一设备对应的eID之后,服务器可以将第二设备上的eID相关信息发送给第一设备,eID相关信息可以包含用户的eID设置信息和用户使用eID的应用信息。
可选的,用户的eID设置信息例如可以是eID权限设置信息等,用户使用eID的应用信息例如可以是使用登录的应用列表、用户在各应用的appeIDcode等。
可选的,服务器可以使用第一设备的eID公钥对第二设备上的eID相关信息进行加密之后,发送给第一设备。第一设备得到第二设备上的eID相关信息之后,可以供用户在第一设备上查询或者使用第二设备上的eID相关信息,从而可以提高便利性。
第二方面,本申请实施例提供了一种网络电子身份标识eID的建立方法,包括:第一设备接收服务器发送的第一消息,所述第一消息包含业务信息;所述第一设备向第二设备发送第二消息;所述第二消息包含所述第一设备的eID公钥和所述业务信息,所述第二消息用于指示向所述服务器发送第三消息,所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的;所述第一设备接收所述服务器发送的第六消息,所述第六消息用于通知所述第一设备所述服务器完成建立所述第一设备对应的eID。在上述建立第一设备的eID的过程中,利用已经建立有eID的第二设备来确保第一设备申请建立eID的消息经过用户授权且未被重放攻击。从而可以在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
在一个实施例中,所述第一设备接收服务器发送的第一消息之前,所述方法还包括:所述第一设备向所述服务器发送第四消息,所述第四消息包含所述第一设备的身份信息;所述第一设备接收服务器发送的第一消息,包括:当所述第一设备的身份信息验证通过时,所述第一设备接收服务器发送的第一消息。在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
在一个实施例中,所述第一设备接收服务器发送的第一消息之后,所述方法还包括:所述第一设备显示所述第二消息相关联的提示信息,所述提示信息用于所述用户检查所述第一设备显示的所述提示信息和所述第二设备显示的所述第二消息相关联的提示信息是否相同。第一设备和第二设备显示该第二消息相关联的提示信息,可以用于用户验证这两个设备显示的提示信息是否相同。从而可以防止第一设备和第二设备之间被中间人攻击,防止第一设备和第二设备之间通信的第二消息被第三方篡改。
可选的,第二消息关联的提示信息可以是第二消息中包含的业务流水号。
可选的,第二消息关联的提示信息可以是第一设备和第二设备通信连接的配对码。
可选的,第二消息关联的提示信息可以是第二消息的数据摘要。
在一个实施例中,所述第一设备向第二设备发送第二消息之后,所述方法还包括:所述第一设备接收所述第二设备发送的第九消息,所述第九消息包含所述第一签名信息;所述第一设备向所述服务器发送所述第三消息。在第二设备是IC卡的情况下,第三消息可以是通过第一设备转发给服务器的。
在一个实施例中,所述第三消息中还包含所述第二设备标识,所述第三消息还用于所述服务器验证所述第三消息中的所述第二设备标识和所述服务器上存储的所述第二设备标识是否相同。服务器可以进一步根据第三消息中的第二设备标识来确认信任链关系中信息的一致性,从而减少第三消息被恶意篡改,进一步提高建立第一设备对应的eID过程的安全性。
在一个实施例中,所述第二消息还包括以下至少一项:第二签名信息和第三签名信息,所述第二签名信息是所述第一设备使用所述第一设备的eID私钥生成的签名信息,所述第一设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息,所述第三签名信息是所述第一设备使用所述第一设备的设备私钥生成的签名信息,所述第一设备的设备私钥签名的对象包含所述第一设备的eID公钥和所述业务信息的信息。第二签名信息和第三签名信息可以用于服务器确认第二消息来自第一设备,从而可以进一步确保第二消息和第三消息没有被篡改或重放。
在一个实施例中,所述方法还包括:所述第一设备向所述服务器发送第五消息,所述第五消息包含所述第一设备的eID公钥,所述第五消息用于所述服务器验证所述第五消息包含的所述第一设备的eID公钥和所述第三消息中包含的所述第一设备的eID公钥是否相同。通过从第二设备接收到的消息中的第一设备的eID公钥和直接从第一设备接收到的第一设备的eID公钥进行比对来进一步确定从第二设备接收到的第三消息未被篡改,可以进一步提高建立第一设备对应的eID过程的安全性。
可选的,第一设备可以将第五消息包含在第四消息中发送给服务器。也即是说,第一设备在向服务器发送身份信息的同时,可以将第一设备的eID公钥发送给服务器。可以节约服务器与第一设备之间交互的消息,减少被第三方攻击的可能性,从而可以减少服务器消息处理的负担,并提高安全性。
在一个实施例中,所述业务信息包含时间信息,所述时间信息用于所述服务器确定所述第三消息是否有效。服务器通过业务信息限定第三消息在一定时间范围内有效,可以减少第三消息被篡改或者重放的情况。
在一个实施例中,所述第一设备接收所述服务器发送的第六消息之后,所述方法还包括:所述第一设备采集所述用户的身份验证信息,所述身份验证信息用于所述服务器验证所述身份验证信息和所述服务器上存储的用户身份信息是否相同;所述第一设备向所述服务器发送第七消息,所述第七消息包含所述身份验证信息;当所述身份验证信息和所述服务器上存储的用户身份信息相同时,所述第一设备接收第八消息,所述第八消息用于通知所述第一设备所述用户身份验证通过。进一步确认用户的身份验证信息合法才完成建立第一设备对应的eID,来保证服务器上的用户身份信息与使用第一设备的用户的身份信息的一致性,从而可以提高安全性。
可选的,身份验证信息可以是用户的生物特征信息。
可选的,身份验证信息可以是服务器预先下发的校验信息。
在一个实施例中,所述第一设备向第二设备发送第二消息之前,所述方法还包括:所述第一设备生成所述第一设备的eID密钥对;所述第一设备的eID密钥对包含所述第一设备的eID公钥和所述第一设备的eID私钥。
可选的,第一设备也可以使用第一设备的设备私钥对第一设备的eID公钥进行签名生成密钥证明,该密钥证明用于证明第一设备的eID公钥是第一设备本地生成的。第三消息中包含的第一设备的eID公钥可以是以该密钥证明的形式发送的。
在一个实施例中,所述第二消息是通过所述第一设备和所述第二设备之间建立的短距离通信连接发送的。短距离通信连接可以减少第三方恶意攻击的情况,从而可以提高进行消息交互的安全性。
在一个实施例中,第一设备向服务器发送的消息可以使用服务器的公钥进行加密,以确保服务器接收的来自第一设备的消息不会被恶意窃取。具体的,第一设备可以存储服务器的公钥,服务器可以存储服务器的私钥,第四消息、第五消息和第七消息可以是使用服务器的公钥加密之后,发送给服务器的。服务器在接收到上述消息之后,可以使用服务器的私钥首先对消息进行解密,之后针对上述消息执行后续的步骤。
在一个实施例中,在完成建立第一设备对应的eID之后,第一设备可以接收服务器发送的第二设备上的eID相关信息,eID相关信息可以包含用户的eID设置信息和用户使用eID的应用信息。第一设备得到第二设备上的eID相关信息之后,可以供用户在第一设备上查询或者使用第二设备上的eID相关信息,从而可以提高便利性。
可选的,用户的eID设置信息例如可以是eID权限设置信息等,用户使用eID的应用信息例如可以是使用登录的应用列表、用户在各应用的appeIDcode等。
第三方面,本申请实施例提供了一种网络电子身份标识eID的建立方法,包括:第二设备接收第一设备发送的第二消息,所述第二消息包含所述第一设备的eID公钥和业务信息;所述业务信息是服务器发送给所述第一设备的;所述第二设备向所述服务器发送第三消息,所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的。在上述建立第一设备20的eID的过程中,利用已经建立有eID的第二设备30来确保第一设备20申请建立eID的消息经过用户授权且未被重放攻击。从而在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
在一个实施例中,所述第二设备接收第一设备发送的第二消息之后,所述方法还包括:所述第二设备显示所述第二消息相关联的提示信息,所述提示信息用于所述用户检查所述第二设备显示的所述提示信息和所述第一设备显示的所述第二消息相关联的提示信息是否相同;所述第二设备向所述服务器发送第三消息,包括:当所述第二设备接收到所述用户发送的用于指示所述第二设备显示的所述提示信息和所述第一设备显示的所述第二消息相关联的提示信息相同时,所述第二设备向所述服务器发送第三消息。第一设备和第二设备显示该第二消息相关联的提示信息,可以用于用户验证这两个设备显示的提示信息是否相同。从而可以防止第一设备和第二设备之间被中间人攻击,防止第一设备和第二设备之间通信的第二消息被第三方篡改。
可选的,第二消息关联的提示信息可以是第二消息中包含的业务流水号。
可选的,第二消息关联的提示信息可以是第一设备和第二设备通信连接的配对码。
可选的,第二消息关联的提示信息可以是第二消息的数据摘要。
在一个实施例中,所述第二设备向所述服务器发送第三消息,包括:所述第二设备向所述第一设备发送所述第九消息,所述第九消息用于指示所述第一设备向所述服务器发送第三消息;所述第九消息包含所述第一签名信息。在第二设备是IC卡的情况下,第三消息可以是通过第一设备转发给服务器的。
在一个实施例中,所述第二设备向所述服务器发送第三消息之前,所述方法还包括:所述第二设备对用户进行身份验证;所述第二设备向所述服务器发送第三消息,包括:当所述用户身份验证通过的时,所述第二设备向服务器发送第三消息。
可选的,对用户进行身份验证可以是第二设备接收用户输入的eID签名密码。
第四方面,本申请实施例提供了一种服务器,该服务器包括用于执行第一方面或第一方面的任一种可能实现方式所提供的方法的模块或单元。
第五方面,本申请实施例提供了一种第一设备,该第一设备包括用于执行第二方面或第二方面的任一种可能实现方式所提供的方法的模块或单元。
第六方面,本申请实施例提供了一种第二方面,该第二设备包括用于执行第三方面或第三方面的任一种可能实现方式所提供的方法的模块或单元。
第七方面,本申请实施例提供了一种服务器,包括:处理器,存储器,通信接口和总线;处理器、通信接口、存储器通过总线相互通信;通信接口,用于接收和发送数据;存储器,用于存储指令;处理器,用于调用存储器中的指令,执行第一方面或第一方面的任一种可能实现方式所提供的方法。
第八方面,本申请实施例提供了一种第一设备,包括:处理器,存储器,通信接口和总线;处理器、通信接口、存储器通过总线相互通信;通信接口,用于接收和发送数据;存储器,用于存储指令;处理器,用于调用存储器中的指令,执行第二方面或第二方面的任一种可能实现方式所提供的方法。
第九方面,本申请实施例提供了一种第二设备,包括:处理器,存储器,通信接口和总线;处理器、通信接口、存储器通过总线相互通信;通信接口,用于接收和发送数据;存储器,用于存储指令;处理器,用于调用存储器中的指令,执行第三方面或第三方面的任一种可能实现方式所提供的方法。
第十方面,本申请实施例提供了一种计算机可读存储介质,该存储介质包括指令,当该指令在服务器上运行时,使得服务器执行第一方面至第三方面任一种可能实现方式所提供的方法。
第十一方面,本申请实施例提供了一种计算机程序或计算机程序产品,该计算机程序或计算机程序产品包括指令,当该指令在服务器上运行时,使得服务器执行第一方面至第三方面任一种可能实现方式所提供的方法。
第十二方面,本申请实施例提供了一种芯片产品,以执行第一方面至第三方面任一种可能的实现方式中的方法。
第十三方面,本申请实施例提供了一种eID服务系统,包括第一设备、第二设备和服务器,所述服务器与所述第二设备建立通信连接,所述服务器与所述第一设备建立有通信连接,其中:
所述服务器,包括用于执行第一方面或第一方面的任意可能的实现方式中所描述的网络电子身份标识eID的建立方法的模块或单元;
所述第一设备,包括用于执行第二方面或第二方面的任意可能的实现方式中所描述的eID的建立方法的模块或单元;
所述第二设备,包括用于执行第三方面或第三方面的任意可能的实现方式中所描述的eID的建立方法的模块或单元。
具体地,所述服务器可以是第四方面或第七方面描述的服务器。所述第一设备可以是第五方面或者第八方面所描述的第一设备,所述第二设备可以是第五方面或者第九方面所描述的第二设备。
本申请实施例中,在建立第一设备的eID的过程中,利用已经建立有eID的第二设备来确保第一设备申请建立eID的消息经过用户授权且未被重放攻击。从而在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程。确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
附图说明
下面对本申请实施例用到的附图进行介绍。
图1是本申请实施例提供的一种eID服务系统架构示意图;
图2是本申请实施例提供的一种eID的建立方法的流程示意图;
图3是本申请实施例提供的另一种eID的建立方法的流程示意图;
图4是本申请实施例提供的一种用户确认第二消息关联的提示消息的示意图;
图5是本申请实施例提供的一种服务器的结构示意图;
图6是本申请实施例提供的一种第一设备的结构示意图;
图7是本申请实施例提供的一种第二设备的结构示意图;
图8是本申请实施例提供的另一种服务器的结构示意图;
图9是本申请实施例提供的另一种第一设备的结构示意图;
图10是本申请实施例提供的另一种第二设备的结构示意图;
图11是本申请实施例提供的又一种第一设备的结构示意图;
图12是本申请实施例提供的又一种第二设备的结构示意图。
具体实施方式
首先,为了便于理解本申请实施例,对本申请实施例涉及的一些概念或术语进行解释。
(1)eID
eID是公民用于在互联网上远程证实身份的电子身份标识,建立在现有居民身份管理体系基础上,与公民现实社会中的身份一一对应。eID由一对非对称密钥(称为eID密钥对)和含有其公钥及相关信息的数字证书组成。eID有别于用于线下身份识别的第二代身份证,用于互联网身份识别。
首先介绍eID功能的开通:用户可以通过与eID服务平台合作的eID登记发行机构申请开通eID。eID登记发行机构例如可以是与eID服务平台合作的银行或电信运营商。开通eID的过程是eID服务平台在验证用户提交的身份信息后,为用户生成唯一的公民网络电子身份标识码(eIDcode),并为eID载体的eID公钥生成eID证书。eID服务平台还可以建立eID证书与用户身份信息之间的映射关系、eID证书与eID载体的设备标识之间的映射关系的过程。具体包含如下步骤:
步骤a:用户从eID登记发行机构申领eID载体,并通过eID登记发行机构向eID服务平台提供用户的身份信息,包括用户的姓名、身份证号和手机号等。
其中,eID载体可以包括独立的处理器、加密协议处理器、随机数产生器及存储器等。其中,加密协议处理器用于生成、管理和使用密钥对。随机数产生器用于产生随机数。本申请实施例中,eID载体可以是含有智能安全芯片的集成电路卡(integrated circuitcard,IC card),也可以是含有智能安全芯片的移动终端。当终端设备作为eID载体时,智能安全芯片可以是终端设备中的嵌入式安全元件(embedded Secure Element,eSE)、内置安全引擎(inSE)等。
步骤b:eID服务平台核查用户的身份信息,并且确保用户的身份信息与申请开通eID的用户“人证合一”。
执行该步骤时,可以采用人脸识别技术辅助确定用户的身份。具体地,可以对现场采集用户的人脸图像和所持身份证照片进行比对,来确定“人证合一”。
步骤c:eID服务平台验证eID载体的合法性。
具体地,eID载体中可以存储有用于证明eID载体的合法性的eID设备证书和eID设备私钥。eID载体可以向eID服务平台发送设备身份合法性证明,设备身份合法性证明可以包括eID设备证书、eID载体标识等信息以及eID设备私钥生成的签名信息中的至少一种。eID服务平台对设备身份合法性证明进行验证,以确定eID载体的真实性、可靠性。
步骤d:eID服务平台在验证eID载体合法之后,即可以建立eID载体对应的eID。具体的,根据eID载体提交的eID公钥生成eID证书,并建立eID证书与用户的身份信息之间的映射关系、以及eID证书与eID载体的设备标识之间的映射关系。
其中,eID证书中可以包含eIDcode。eIDcode的建立过程可以包括:对公民有效证件类型的证件号码(IDnumber)、公民姓名(name)、有效证件类型(type)和128字节随机数的字串(random_eid_hash)依次顺序连接。使用SM3(senior middle 3)密码杂凑算法对上述顺序连接的结果进行运算得出二进制信息的Base64编码。该二进制信息的Base64编码共44个字节。eID载体的设备标识可以为国际移动用户识别码(international mobilesubscriber identification,IMSI))、设备序列号等信息。
eID在开通成功后,用户可以设定一个eID签名密码,该eID签名密码用于eID载体验证用户身份,在验证用户身份合法之后即解锁eID载体中的eID私钥。该eID签名密码在用户设定完成后存储在eID载体上。在eID开通成功之后,后续该用户使用该eID的过程中,用户向eID载体输入的eID签名密码,eID载体验证接收到的eID签名密码和存储的eID载体密码是否相同。验证通过后,即可以使用eID载体中保存的eID私钥对相应的eID业务请求中待签名数据生成签名信息,来提交到eID服务平台进行验证。本申请实施例中,eID签名密码的形式可以包含字符、语音、指纹、图案、虹膜特征和人脸图像中的一种或多种,也可以有其他的形式,本申请实施例对此不作限定。
需要进行说明的是,本申请实施例中,开通eID功能和建立eID载体对应的eID均是指eID服务平台完成了以下操作:根据eID载体提交的eID公钥生成eID证书,并建立eID证书与用户的身份信息之间的映射关系、以及eID证书与eID载体的设备标识之间的映射关系。
其次,介绍eID的使用:使用eID的场景可以包含电子合同签约、账户登录、快捷支付、密码找回等场景。用户无须向第三方应用提供个人的身份信息,通过使用eID载体以数字签名的方式即可进行用户鉴别与授权的验证,来证明用户身份。在第三方应用需要验证用户身份时,第三方应用可以连接eID服务平台,eID服务平台对包含eID载体的eID签名信息的验证请求进行验证,在eID服务平台验证通过后第三方应用接收返回的网络身份应用标识编码(appeIDcode)。出于安全考虑,用户需要在开通eID功能时设置eID载体签名密码,当用户需要使用eID载体进行签名操作时,需要向eID载体输入用于解锁eID私钥的eID签名密码,然后使用eID私钥对指定数据进行签名操作,生成用于服务器验证用户身份的验证请求,从而实现用户的身份信息的“前台匿名后台实名”,无需在第三方应用中输入用户的身份信息,可以减少用户的身份信息在应用中的留存和泄露。具体描述如下:
步骤a:用户在第三方应用中发起一项服务,当该服务需要验证用户的身份时,第三方应用向eID服务平台发起验证请求。
步骤b:eID服务平台可以向第三方应用下发用于标识本次业务的业务信息。该业务信息例如可以包含业务流水号,该业务流水号用于唯一标识本次验证请求,防止重放攻击。
步骤c:第三方应用在接收到上述业务信息时,组织包含上述业务信息的验证请求消息。
第三方应用接收到业务信息时,按照eID业务的验证服务协议要求的形式组织待签名数据,并请求用户使用eID载体的eID私钥对包含业务信息的待签名数据生成签名信息,以生成验证请求消息。验证请求消息中包括eID私钥生成的签名信息。验证请求消息还可以包含eID载体的设备标识或者用户的某一个或多个身份信息,如用户的电话号码等。eID服务平台可以根据该eID载体的设备标识、以及eID证书与eID载体的设备标识之间的映射关系确定对应的eID证书。或者eID服务平台可以根据该用户的某一个或多个身份信息、以及eID证书与用户的身份信息之间的映射关系确定对应的eID证书。
步骤d:eID载体与第三方应用通过eID客户端的接口建立连接,请求验证用户的eID签名密码。
当需要使用eID私钥对待签名数据进行签名时,用户需要输入的eID签名密码。eID客户端可以是能够与eID载体中的智能安全芯片进行交互的软件。例如eID载体是IC卡时,eID客户端可以是读卡器中的eID客户端。具体应用中该读卡器可以是具有NFC功能的手机。第三方应用通过eID客户端提供的接口向eID载体中的智能安全芯片发送签名密码和待签名数据。在智能安全芯片执行签名操作前,需要对用户输入的eID签名密码进行验证。验证通过后才返回签名信息。
步骤e:在验证用户输入的eID签名密码合法的情况下,eID载体使用eID私钥对上述验证请求中的待签名数据生成签名信息。
其中,上述的待签名数据可以包含业务信息,还可以包含eID载体的设备标识等信息。
步骤f:第三方应用将包含eID私钥生成的签名信息的验证请求消息发送给eID服务平台。
步骤g:eID服务平台验证上述的包含eID私钥生成的签名信息的验证请求消息。
具体地,eID服务平台可以根据验证请求消息中的业务信息来验证验证请求消息是否被重放。eID服务平台还可以使用eID证书中的eID公钥验证eID私钥生成的签名信息是否合法,进而确保验证请求中的待签名数据未被篡改。eID服务平台还可以根据eID证书状态判断用户的eID是否有效。在eID服务平台确定包含eID私钥生成的签名信息验证请求消息未被篡改或者重放,且eID私钥生成的签名信息合法的情况下,表明eID服务平台对验证请求消息验证通过。eID服务平台向第三方应用返回验证结果和针对该第三方应用生成用户的appeIDcode。在该第三方应用中可以使用该appeIDcode来标识用户的网络电子身份。
为了减少用户在不同应用中的信息被汇聚、分析和追踪,保护个人身份和隐私信息,用户的eID证书和eIDcode不会直接由eID服务平台发送给应用。eID服务平台在验证请求消息验证通过的情况下,只会根据eIDcode针对不同的应用生成不同的appeIDcode,将appeIDcode返回给应用。由于不同的应用只能得到不同的appeIDcode,且无法根据appeIDcode逆向推出用户的eIDcode,因此可以减少用户的eIDcode泄露。
(2)eID私钥和eID公钥
公民网络电子身份标识非对称密钥中的公钥可以称为eID公钥,公民网络电子身份标识非对称密钥中的私钥可以称为eID私钥。eID载体包含安全加解密芯片,能够本地生成eID密钥对,保存在安全加密芯片中的eID私钥永远不会被导出。基于eID私钥的以上特性,eID私钥可以用于对发送给eID服务平台的数据进行签名生成签名信息,来证明用户身份。
eID公钥可以用于eID服务平台生成eID证书,eID证书包含eID公钥和认证中心的私钥对eID公钥生成的签名信息。eID证书还用于建立eID公钥和用户身份信息的绑定关系。eID证书还用于在接收到请求验证用户身份的验证请求消息时,对eID私钥签名过的数据进行验证。验证通过后,eID服务平台即可完成用户的鉴别与授权验证。
(3)安全环境
安全环境通过硬件的支撑,具有安全能力并且能够满足一定的安全需求。安全环境与普通的存储环境隔离运行。安全环境可以包含安全元件(secure element,SE)和可信执行环境(trust execution environment,TEE)。
其中,SE是一种安全芯片,具备抵抗一定程度上的硬件攻击的能力。SE能够提供安全的数据存储与密码运算环境。终端设备可以将比较重要的应用安装在SE中运行,如银行支付、银行电子U盾(USB-KEY)、eID应用等。TEE和富执行环境(rich executionenvironment,REE)共同存于终端设备中的运行环境。其中,REE泛指不具备特定安全功能的运行环境。TEE与设备上的REE并存,并且给普通执行服务提供安全服务。TEE能够保护该环境中的资产,如数据,软件等免受软件攻击,抵抗特定类型的安全威胁。只有授权的安全软件才能在TEE中执行,同时它也保护了安全软件的资源和数据的机密性。相比普通执行环境,由于隔离和权限控制等保护机制,TEE能够更好的保护数据和资源的安全性。TEE具有其自身的执行空间,比REE的安全级别更高,但是比起SE的安全性要低一些。通常,TEE能够满足大多数应用的安全需求。从成本上看,TEE提供了安全和成本的平衡。
两个eID载体之间可以建立安全连接,该安全连接可以是基于安全环境建立的通信连接。则该安全连接可以确保两个eID载体之间信息传递的安全性,可以有效减少出现中间人攻击。如短距离连接中,蓝牙配对时提供的配对码机制或通过扫描二维码建立蓝牙/WIFI直连等均能够减少中间人攻击的可能。另外,两个eID载体之间也可以近距离无线通讯(near field communication,NFC),由于通信距离较短,一般也不会出现中间人攻击的情况。
用户与终端设备的交互可以是通过TEE提供的可信用户界面(trusted userinterface,TUI)来实现的。TUI可以减少终端设备在进行显示的过程中或者用户与终端设备交互的过程中屏幕显示的内容被恶意获取或替换。
上述对安全环境的举例仅用于解释本申请实施例,不应构成限定。
请参见图1,图1是本申请实施例提供的一种eID服务系统架构示意图。如图1所示,该eID服务系统100包括:eID服务平台10、第一设备20和第二设备30。其中,第一设备20和第二设备30均可以是合法的eID载体。第一设备20和第二设备30均可以是具有eID载体功能的终端设备,也可以是符合eID高强度安全机制要求的IC卡,如:金融IC卡、社保卡、市民卡等。第一设备20和第二设备30之间可以进行通信。
第一设备20和第二设备30中可以至少一个是终端设备。当第一设备20或第二设备30是终端设备时,终端设备可以和eID服务平台10进行通信。当第一设备20或第二设备30是IC卡的情况下,IC卡可以与终端设备建立通信连接,该通信连接例如可以是NFC连接。当第一设备20或第二设备30均是终端设备的情况下,第一设备20可以和eID服务平台10进行通信,第二设备30也可以和eID服务平台10进行通信,第一设备20和第二设备30之间也可以建立通信连接,该通信连接例如可以是蓝牙连接、WiFi直连和NFC连接中的一种或多种。如图1所示,本申请实施例以第一设备20或第二设备30均是终端设备的情况为例进行系统架构描述。可以理解的是,本申请实施例的系统架构也可以扩展为第一设备20是终端设备,第二设备30是IC卡的情况,本申请实施例的系统架构还可以扩展为第一设备20是IC卡,第二设备30是终端设备的情况。
其中,eID服务平台10,可以用于建立某一设备对应的eID。具体地,eID服务平台10可以接收用户发送的eID申请信息,申请信息中包含用户的身份信息。eID服务平台10核查用户身份信息和用户申请开通eID功能的设备的合法性。上述核查合法后,eID服务平台10完成建立该设备对应的eID。在eID服务平台10为用户在设备上建立对应的eID成功之后,eID服务平台10上即存储了该设备的eID证书、该设备的eID证书与该用户的身份信息之间的映射关系、以及该设备的eID证书与该设备标识之间的映射关系。在eID服务平台10为用户在设备上建立对应的eID成功之后,该设备上已经本地生成并保存了该设备的eID私钥。
eID服务平台10,还可以用于为第三方应用提供用户的身份认证服务。具体地,eID服务平台10可以接收第三方应用发送的验证请求消息,该验证请求消息可以包含用户持有的设备的eID私钥生成的签名信息。eID服务平台10可以验证上述验证请求消息的合法性,以验证用户的网络电子身份。在验证上述验证请求消息合法的情况下,可以向第三方应用发送appeIDcode,在该第三方应用中标识用户的网络电子身份。
第一设备20和第二设备30,均可以保存有各自的eID设备证书,或者可以向eID设备认证中心(certificate authority,CA)申请eID设备证书。该eID设备证书用于向eID服务平台证明设备是合法的eID载体。下面以第一设备20为例介绍。第一设备20的eID设备证书中包含有第一设备20的eID设备公钥和设备信息。设备信息例如可以是第一设备20标识。且第一设备20本地保存有eID设备私钥,该第一设备20的eID设备私钥生成的签名信息也可以用于证明第一设备是合法的eID载体。
另外,也可以通过如下方式来证明第一设备20和第二设备30是合法的eID载体:eID服务平台10可以包含数据库,该数据库中存储有合法的eID载体标识。第一设备20,还用于向eID服务平台10提交第一设备20标识。第二设备30,还用于向eID服务平台10提交第二设备30标识。eID服务平台10用于检测数据库中是否包含有第一设备20标识标识。如果有,则eID服务平台10确认第一设备20是合法的eID载体。eID服务平台10还用于检测数据库中是否包含有第二设备30标识。如果有,则eID服务平台10确认第二设备30是合法的eID载体。
第二设备30可以是已经开通eID功能的eID载体,也即是说,eID服务平台已经完成建立所述第二设备30对应的eID。第二设备30上保存有第二设备的eID私钥,且在eID服务平台10上存储了第二设备30的eID证书、第二设备30的eID证书与用户的身份信息之间的映射关系、以及第二设备30的eID证书与第二设备30标识之间的映射关系。
eID服务平台10可以作为服务器为第三方应用和用户提供eID服务。下面以服务器代表eID服务平台进行介绍。本申请实施例对eID服务平台10的命名不进行限定。
需要说明的,图1示出的eID服务系统100仅仅是为了更加清楚的说明本申请的技术方案,并不构成对本申请的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请提供的技术方案对于类似的技术问题,同样适用。
在用户已经在第二设备30上开通eID功能,用户需要在第一设备20上开通eID功能的情况下,用户需要前往eID登记发行机构。通过eID登记发行机构的柜台或自助终端向eID服务平台申请将服务器上建立的第二设备30对应的eID注销,并重新为用户在第一设备20上开通eID功能。用户和eID服务平台需要重复的执行严格的身份核实过程,重新执行严格的身份核实过程操作繁琐,降低了用户建立eID的便利性。
基于上述图1所描述的eID服务系统架构示意图,本申请实施例提供一种eID的建立方法、设备和系统。该eID的建立方法中,第一设备20与第二设备30之间具备建立安全交互通道的能力。且第二设备30已经开通了eID功能,可以使用第二设备30的eID私钥提供签名功能,供服务器验证用户身份,构造基于第二设备30的信任关系。服务器可以对第二设备30提交的包含第二设备的eID私钥生成的签名信息的验证请求进行验证即可确认第一设备20和第二设备30的身份,并确保第一设备20和第二设备30之间的交互可信。进而服务器建立第一设备20对应的eID。通过已经建立eID的第二设备来建立第一设备对应的eID,无需重新执行严格的身份核实过程,即可确定安全性,从而可以减少操作,提高用户建立eID的便利性。
本申请实施例涉及的主要发明原理可以包括:服务器向第一设备20发送包含业务信息的第一消息。第一设备20向第二设备30发送第二消息,第二消息包含第一设备本地生成的eID公钥和从服务器接收到的业务信息。第二设备30在接收到第二消息之后,验证用户输入的eID签名密码来解锁第二设备的eID私钥。第二设备30向服务器发送第三消息,第三消息包含第一签名信息、第一设备的eID公钥和业务信息。第一签名信息是第二设备使用第二设备的eID私钥生成的签名信息,第二设备的eID私钥签名的对象包含第一设备的eID公钥和业务信息。服务器验证第一签名信息和业务信息通过时,服务器建立第一设备20对应的eID。在上述建立第一设备20的eID的过程中,利用已经建立有eID的第二设备30来确保来自第一设备的eID公钥和来自服务器的业务信息没有经过篡改,同时通过第二设备的eID私钥生成的签名信息来验证用户身份。从而在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
基于上述主要发明原理,请参阅图2,图2是本申请实施例提供的一种eID的建立方法的流程示意图。如图2所示,该eID的建立方法包含但不限于如下步骤S101-S105。
S101、服务器向第一设备发送第一消息,第一消息包含业务信息。
S102、第一设备向第二设备发送第二消息,第二消息包含第一设备的eID公钥和业务信息。
S103、服务器接收第三消息,第三消息包含第一签名信息、第一设备的eID公钥和业务信息。
其中,第一签名信息是第二设备使用第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象可以包含第一设备的eID公钥和业务信息,。可以理解,除上述信息之外,第一签名信息还可以包括其它信息,本申请对此不作限定。
S104、当第一签名信息和所述业务信息验证通过时,服务器建立第一设备对应的eID。
S105、服务器向第一设备发送第六消息。
其中,第六消息用于通知第一设备服务器完成建立第一设备对应的eID。
本申请实施例中,业务信息是在第一设备发起建立第一设备的eID的时候,服务器下发给第一设备的,用于唯一标识本次建立eID的业务。第二消息和返回给服务器的第三消息均包含该业务信息,用以证明第二消息和第三消息与本次建立eID的业务的关联性。服务器在接收到第三消息时,可以检测第三消息中的业务信息与服务器发送的第一消息中业务信息是否相同。服务器也可以根据业务信息确定当前正在进行一个建立eID的业务。通过上述方式可以防止服务器、第一设备和第二设备相互之间的通信消息被重放攻击,重放攻击是指服务器、第一设备和第二设备之间交互的消息在已经被接收之后,被攻击者重发的情况。其中,该业务信息可以包含业务流水号,具体实现中,业务信息可以是挑战-应答(challenge-response)机制中的挑战值。
服务器建立第一设备对应的eID之前,需要验证第三消息是否合法,下面具体介绍服务器验证第三消息是否合法的具体验证内容。
(1)验证业务信息的一致性
具体地,服务器可以验证第一消息中的业务信息和第三消息中的业务信息是否相同。如果相同,服务器确定当前有该业务信息对应的建立eID的业务正在进行,即确定本次建立eID的业务的真实性、有效性。另外,通过服务器验证业务信息的一致性,也可以防止第一设备、第二设备和服务器三者之间交互的消息被用来重放攻击。
(2)验证第一签名信息的合法性
服务器可以根据第二设备对应的eID验证第一签名信息是否合法。其中,第二设备对应的eID包含第二设备的eID证书、第二设备的eID证书与用户的身份信息之间的映射关系、以及第二设备的eID证书与第二设备标识之间的映射关系。服务器查找出存储的第二设备的eID证书,使用第二设备的eID证书中包含的第二设备的eID公钥来验证第一签名信息的合法性。当第一签名信息合法时,服务器根据第三信息中携带的第一设备的eID公钥,建立第一设备对应的eID。可选的,第二设备的eID证书还可以包含生命周期状态。服务器查找出第二设备的eID证书之后,还可以验证第二设备的eID证书的生命周期状态的有效性。当第二设备的eID证书的生命周期状态有效(eID证书未被撤销),才执行使用第二设备的eID证书验证第一签名信息的合法性的步骤。证书的生命周期状态用来限定证书在该生命周期内有效,超过该生命周期之后,证书即被撤销。
其中,第三消息中除了业务信息和第一设备的eID公钥,还可以包含其他信息,例如第一设备标识,则第一签名信息是指对待签名信息生成的签名信息,待签名信息包含上述其他信息、业务信息和第一设备的eID公钥。
其中,服务器查找第二设备的eID证书的方式,可以是根据第三消息中包含的用户的手机号等身份信息,以及服务器存储的第二设备的eID证书和用户的身份信息之间的映射关系查找得到的。也可以是根据第三消息中包含的第二设备标识、以及服务器存储的第二设备的eID证书和第二设备标识之间的映射关系查找得到的。还可以是服务器遍历设备证书查找得到的。本申请实施例对此不作限定。
只有当第一签名信息被验证合法,且第三消息中的业务信息与第一消息中业务信息相同时,才建立第一设备对应的eID。通过上述方式,可以在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程。确保安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
(3)验证第二设备标识的一致性
可选的,第三消息中还可以包含第二设备标识。服务器验证第三消息的合法性还可以包括:服务器验证第三消息中包含的第二设备标识和服务器存储的第二设备标识是否相同。其中,服务器上存储的第二设备标识可以是服务器根据第二设备的eID证书映射的第二设备标识。服务器可以进一步根据第三消息中的第二设备标识来确认建立eID的业务中实体身份的一致性,从而减少中间人攻击的情况,可以进一步提高建立第一设备对应的eID过程的安全性。
(4)验证时间信息的有效性
可选的,该业务信息还可以包含时间信息,该时间信息用于服务器验证第三消息是否有效。服务器可以通过该时间信息限定由第一设备发起的当次业务信息在一定时间段内有效。即服务器在下发业务信息之后,只有在预设时间段内接收到的第三消息服务器才认为有效。
该时间信息可以是指示该业务信息下发时的时间,则服务器在接收到第三消息时,检测接收第三消息的时间与下发该业务信息时的时间之间的差值是否在预设时长之内。如果是,则表明第三消息是有效的。如果接收第三消息的时间与下发该业务信息时的时间之间的差值超过预设时长,则服务器判断不满足当次建立eID的业务的时效性,拒绝执行建立第一设备对应的eID。
另外,该时间信息也可以是指示服务器在预设时间点之前接收到的第三消息有效。本申请实施例对该时间信息具体指示的内容不作限定。服务器通过业务信息限定第三消息在一定时间范围内有效,可以进一步提高建立第一设备对应的eID过程的安全性。
(5)验证第一设备的eID公钥的一致性
可选的,服务器验证第三消息的合法性之前,服务器可以预先从第一设备接收第五消息。第五消息包含第一设备的eID公钥。服务器验证第三消息的合法性还可以包括:检测第五消息中包含的第一设备的eID公钥和第三消息中包含的第一设备的eID公钥是否相同,来验证第三消息中包含的eID公钥来自第一设备。通过从第二设备接收到的消息中的第一设备的eID公钥和直接从第一设备接收到的第一设备的eID公钥进行比对来确定第二设备的eID公钥未被替换,可以进一步提高建立第一设备对应的eID过程的安全性。
具体实现中,本申请实施例对服务器接收第三消息和接收第五消息的先后顺序不作限定。
另外,在第一设备向第二设备发送第二消息之前,第一设备可以在本地的安全环境生成第一设备的eID密钥对,第一设备的eID密钥对可以包含第一设备的eID私钥和第一设备的eID公钥。第一设备生成第一设备的eID密钥对可以是在向服务器发送用于证明第一设备的身份的第四消息之前执行的,则第一设备可以将第五消息中的信息(例如第一设备的eID公钥)包含在第四消息中发送给服务器。第一设备生成第一设备的eID密钥对也可以是在第一设备接收到第一消息之后执行的。本申请实施例对第一设备的eID密钥对的生成时间不作限定。可选的,第一消息还包含管理指令,该管理指令用于指示第一设备中生成第一设备的eID密钥对。
可选的,第一设备生成第一设备的eID密钥对之后,第一设备也可以使用第一设备的设备私钥对第一设备的eID公钥进行签名生成密钥证明(Key Attestation)。该密钥证明用于证明第一设备的eID公钥是第一设备本地安全环境生成的。该密钥证明可以是以证书的形式存在的。第三消息中包含的第一设备的eID公钥可以是以该密钥证明的形式发送的。
(6)验证第二签名信息和第三签名信息的有效性
可选的,第二消息还可以包括以下至少一项:第二签名信息和第三签名信息。其中,第二签名信息是第一设备使用第一设备的eID私钥生成的签名信息,第一设备的eID私钥签名的对象包含第一设备的eID公钥和业务信息。第三签名信息是第一设备使用第一设备的设备私钥生成的签名信息,第一设备的设备私钥签名的对象包含第一设备的eID公钥和业务信息。可以理解,除上述信息之外,第一签名信息还可以包括其它信息,本申请对此不作限定。
第二消息中的第二签名信息或第三签名信息还用于向服务器证明第二消息中的被签名的数据来自第一设备。当第二消息中包含第三签名信息时,第三消息中也包含第三签名信息,在服务器上存储有第一设备的设备公钥,服务器可以使用第一设备的设备公钥验证第三签名信息。或者第二消息还包括第一设备的设备证书,服务器验证第一设备的设备证书后利用设备证书中的第一设备的设备公钥验证第三签名信息。当第二消息中包含第二签名信息时,第三消息中也包含第二签名信息。服务器可以使用第三消息中包含的第一设备的eID公钥来验证第二签名信息是否合法。
第二签名信息和第三签名信息可以用于服务器确认第二消息来自第一设备,从而可以进一步确保第二消息和第三消息没有被篡改或重放。
其中,第二消息中除了业务信息和第一设备的eID公钥,还可以包含其他信息,例如第一设备标识,则第二签名信息和第三签名信息是指对待签名信息生成的签名信息,待签名信息包含上述其他信息、业务信息和第一设备的eID公钥。
需要进行说明的是,上述服务器验证第三消息的合法性,包括验证第一签名信息的合法性和业务信息的一致性。服务器还可以验证以下中的零项、一项或多项:第二设备标识的一致性、时间信息的有效性、第一设备的eID公钥的一致性、第二签名信息的合法性和第三签名信息的合法性。本申请实施例对以下步骤执行的先后顺序不作限定:验证第一签名信息的合法性、验证业务信息的一致性、验证第二设备标识的一致性、验证时间信息的有效性、验证第一设备的eID公钥的一致性、验证第二签名的合法性和验证第三签名的合法性。
可选的,在服务器向第一设备下发业务信息来执行建立第一设备的eID之前,服务器可以对第一设备进行设备身份验证。在步骤S101之前,还可以包括:服务器接收第一设备发送的第四消息,第四消息包含第一设备的身份信息;在第一设备的身份信息验证通过的情况下,执行步骤S101。
具体地,第四消息是第一设备用来证明第一设备是合法的eID载体的消息。第一设备的身份信息可以包含第一设备的eID设备证书、第一设备使用设备私钥生成的签名信息、第一设备的设备公钥和第一设备标识中的至少一种。第一设备的eID设备证书由设备CA签发。服务器侧可以存储有设备CA的公钥,服务器使用CA的公钥对第一设备的eID设备证书进行验证。或者,服务器侧存储了可信任的eID设备标识/设备公钥的数据库。第四消息中包含第一设备标识/第一设备的设备公钥,服务器验证第一设备标识/第一设备的设备公钥是否包含在数据库中,来判断第一设备是否是合法的eID载体。
进一步的,第一设备的身份信息还可以包括第一设备使用设备私钥生成的签名信息,服务器可以使用挑战-响应机制或其他方式对第一设备使用设备私钥生成的签名进行验证。
更进一步的,第一设备向服务器提供第一设备的身份信息的过程也可以通过挑战-响应机制来完成。第四消息中还可以包含用于标识本次第一设备与服务器交互过程的业务流水号。该业务流水号在第一设备发送第四消息之前由服务器发送给第一设备。服务器还可以验证发送给第一设备的业务流水号和接收到的第四消息中的业务流水号是否相同,来防止重放攻击。
通过服务器对第一设备进行合法性验证,发起建立eID的业务时,服务器首先验证第一设备的身份,进一步确保建立第一设备对应的eID的安全性。
可选的,为进一步确保第一设备和第二设备之间通信的第二消息不被篡改,可以在第一设备和第二设备中均显示提示信息供用户确认。具体地,在步骤S101之后,还可以包括:第一设备显示第二消息相关联的提示信息。在步骤S102之后,还可以包括:第二设备显示第二消息相关联的提示信息。第一设备和第二设备显示该第二消息相关联的提示信息,可以使用户判断这两个设备显示的提示信息是否相同。从而可以有效防止第一设备和第二设备之间存在的中间人攻击的情况,防止第一设备和第二设备之间通信的第二消息被第三方篡改。
具体地,第二消息关联的提示信息可以是第二消息中包含的业务流水号,也可以是第一设备和第二设备通信连接的配对码,还可以是第二消息的数据摘要,本申请实施例对第一设备和第二设备显示的第二消息相关联的提示信息的具体内容不作限定。
第一设备在向第二设备发送第二消息之前,第一设备可以和第二设备建立通信连接。该通信连接可以是安全连接,该安全连接可以是基于安全环境建立的通信连接。具体地,该安全连接可以是短距离通信连接,例如可以是蓝牙连接、NFC连接或者WiFi直连等。可以是第一设备发起建立该通信连接,也可以是第二设备发起建立该通信连接,本申请实施例对此不作限定。为了进一步确保该通信连接不会被中间人攻击,该通信连接可以是基于TEE保护的通信连接。可以理解的,上述通信连接的举例仅用于解释本申请实施例,不应构成限定。
具体地,第一设备和第二设备建立通信连接的过程以蓝牙连接为例进行介绍,第一设备和第二设备中互相发送蓝牙配对数据,该配对数据例如可以双方各自产生的随机数,第一设备或者第二设备根据双方的配对数据生成配对码。在两设备上均利用TUI显示该配对码供用户确认。用户确认后即建立第一设备和第二设备的通信连接。另外,也可以两个设备中一个设备利用TUI显示配对二维码,另一个设备扫描该配对二维码来建立通信连接。再者,还可以是两设备通过NFC连接传输蓝牙连接的配对数据来建立第一设备和第二设备之间的蓝牙连接。通过上述任一种建立连接的方法,可以确保在两设备之间建立了安全的通信连接,可以减少中间人攻击的情况。第一设备和第二设备之间的通信连接也可以采用WiFi直联或者NFC连接。关于WiFi直连和NFC连接可以类比蓝牙连接,这里不再赘述。
进一步的,为了抵御第一设备与第二设备之间建立的通信连接不被中间人攻击,可以在确保第一设备和第二设备登录相同的系统账号的情况下,才允许第一设备和第二设备建立通信连接并发送第二信息。两设备也可以相互校验对方的设备证书,在相互校验设备证书均通过的情况下,才允许第一设备和第二设备建立通信连接并发送第二信息。
可选的,步骤S105之后,第一设备可以采集用户的身份验证信息返回给服务器来验证该身份验证信息和服务器上存储的用户身份信息是否一致。第一设备执行该步骤可以是协议约定的,也可以是第六消息指示的,本申请实施例对此不作限定。该身份验证信息可以包括用户的生物特征信息和服务器预先下发的校验信息中的至少一种。用户的生物特征信息具体可以包括以下至少一种:人脸图像信息、指纹信息、声音信息和虹膜信息。服务器预先下发的校验信息可以是包含以下至少一种:短信验证码、语音验证码和图像验证码。下面以身份验证信息分别包含人脸图像和短信验证码的情况举例说明。
(1)服务器通过人脸图像信息验证用户身份
当身份验证信息包含人脸图像信息时,服务器上存储的用户身份信息中也包含用户的人脸图像信息。第一设备在接收到第六消息之后,第一设备可以开启摄像头请求采集用户的人脸图像。之后,第一设备将包含采集的人脸图像信息的第七消息发送给服务器。服务器可以比对第七消息中包含的人脸图像信息和服务器上存储的用户的人脸图像信息,确定第七消息中包含的人脸图像信息和服务器上存储的用户的人脸图像信息是否相同。例如服务器可以是检测到第七消息中包含的人脸图像信息和服务器上存储的用户的人脸图像信息中的人脸特征数据匹配度超过一定阈值时,确定第七消息中包含的人脸图像信息和服务器上存储的用户的人脸图像信息相同。之后服务器向第一设备发送第八消息,该第八消息用于通知第一设备用户身份验证通过。在第一设备用户身份验证通过之后,第一设备对应的eID才能够正式使用。
其中,服务器上存储的用户身份信息可以是服务器根据该第一设备对应的eID中第一设备eID证书与用户身份信息之间的映射关系查找得到的。
(2)服务器通过短信验证码验证用户身份
当身份验证信息包含服务器预先下发的短信验证码时,在第一设备向服务器发送第七消息之前,服务器向用户身份信息中的联系电话发送短信验证码。第一设备提示用户输入短信验证码并将包含用户输入的短信验证码的第七消息发送给服务器。服务器可以比对第七消息中包含的短信验证码与服务器下发给第一设备的短信验证码是否相同。如果是,服务器向第一设备发送第八消息,该第八消息用于通知第一设备用户身份验证通过。
上述关于身份验证信息的举例仅用于解释本申请实施例,不应构成限定。
另外,第七消息也可以是通过第二设备采集并发送给服务器的,第八消息也可以是服务器发送给第二设备的。
进一步确认用户的身份验证信息合法才完成建立第一设备对应的eID,来保证服务器上的用户身份信息与使用第一设备的用户的身份信息的一致性,从而可以提高安全性。
可选的,在步骤S102之后步骤S103之前,第二设备还可以对用户进行身份验证,在用户身份验证通过之后,才执行步骤S103。具体地,对用户进行身份验证可以是第二设备对接收用户输入的eID签名密码进行验证当用户输入的eID签名密码验证通过时第二设备执行步骤S103。该eID签名密码的形式可以包含字符、语音、指纹、图案和人脸图像中的一种或多种,也可以有其他的形式,本申请实施例对此不作限定。
可选的,第一设备和第二设备均可以是IC卡,也可以是终端设备。以下分别描述两种情况:(1)第二设备是IC卡,第一设备是终端设备。(2)第一设备是IC卡,第二设备是终端设备。
(1)第二设备是IC卡,第一设备是终端设备
在第二设备是IC卡,第一设备是终端设备的情况下,第二设备可能无法与服务器直接通信,第三消息可以通过第一设备发送给服务器。具体地,第一设备可以接收第二设备发送的第九消息,第九消息包含第一签名信息;第一设备向服务器发送第三消息。
其中,第九消息可以是和第三消息相同,也可以不同。以下分别进行描述。第九消息和第三消息相同的情况下,第一设备只是转发第二设备生成的第三消息。第三消息和第九消息中均包含第一签名信息、第一设备的eID公钥和业务信息。即第二设备生成第三消息,将第三消息发送给第一设备来转发第三消息给服务器。这种情况下,第一设备在接收到服务器发送的第一消息后,通过安全连接向第二设备发送第二消息。第二设备对第二消息中的待签名数据进行签名后,按照与服务器约定的预设格式,生成第九消息。第一设备通过安全连接从第二设备读取第九消息,并将第九消息发送给服务器。其中,在第二设备是IC卡,第一设备是终端设备的情况下,第一设备和第二设备的安全连接可以是NFC连接。
另外,第九消息也可以和第三消息不同。即第二设备通过安全连接接收到第一设备发送的第二消息后,可以使用第二设备的eID私钥生成第一签名信息。然后只将包含该第一签名信息的第九消息发送给第一设备。第一设备组织第一签名信息、第一设备的eID公钥和业务信息来生成第三消息,并将第三消息发送给服务器。其中,第二消息可以包含第一设备发送的其他信息,这些信息也可以和第一设备的eID公钥、业务信息一起由第二设备的eID私钥生成签名信息。本申请实施例对这些信息的内容不作限定。
(2)第一设备是IC卡,第二设备是终端设备
类似的,在第一设备是IC卡,第二设备是终端设备的情况下,第一设备可能无法与服务器直接通信,第一消息、第四消息、第五消息是第一设备经由第二设备转发给服务器的。第二设备通过安全连接接收来自第一设备的需要发送给服务器的消息,并将需要发送给服务器的消息发送给服务器。与第三消息类似地,需要发送给服务器的消息可以直接由第一设备生成,也可以仅由第一设备生成签名信息,由第二设备组织并发送给服务器,本申请实施例对此不作限定。第六消息是服务器经由第二设备发送给第一设备的。第二设备接收服务器发送的需要下发给第一设备的消息,并通过安全连接向所述第一设备发送服务器需要下发给第一设备的消息。另外,第七消息可以是第二设备采集并发送给服务器的,第八消息可以是服务器发送给第二设备的。
可选的,在步骤S104之后,服务器可以删除第二设备对应的eID。通过建立第一设备对应的eID之后,删除第二设备对应的eID,来确保一个用户只在一个eID设备上开通eID。另外,也可以是在步骤S104中当第一签名信息和所述业务信息验证通过时,服务器可以首先删除第二设备对应的eID,其次才执行建立第一设备对应的eID。本申请实施例对这两个步骤执行的先后顺序不作限定。其中,删除第二设备对应的eID可以包括:服务器删除第二设备的eID证书、第二设备的eID证书与用户的身份信息之间的映射关系、以及第二设备的eID证书与第二设备标识之间的映射关系。服务器也可以向第二设备发送指令指示第二设备删除存储的第二设备的eID私钥。
可选的,第一设备发送给服务器的消息和第二设备发送给服务器的消息,均可以使用服务器的公钥进行加密,以确保第一设备和第二设备发送给服务器的消息不会被恶意窃取。具体的,第一设备和第二设备均可以存储服务器的公钥,服务器可以存储服务器的私钥,第三消息、第四消息、第五消息和第七消息可以是使用服务器的公钥加密之后,发送给服务器的。服务器在接收到上述消息之后,可以使用服务器的私钥首先对消息进行解密,之后针对上述消息执行之后的步骤。
可选的,在完成建立第一设备对应的eID之后,可以将第二设备上的eID相关信息发送给第一设备。eID相关信息可以包含用户的eID设置信息和用户使用eID的应用信息。用户的eID设置信息例如可以是eID权限设置信息等,用户使用eID的应用信息例如可以是使用登录的应用列表、用户在各应用的appeIDcode等。第二设备上的eID相关信息可以是在完成建立第一设备对应的eID之后第二设备直接发送给第一设备的,也可以是服务器从第二设备获取,并由服务器发送给第一设备的,以下具体进行介绍。
在第二设备上的eID相关信息由第二设备直接发送给第一设备的情况下,第二设备上的eID相关信息可以使用第二设备的设备私钥生成签名信息,第一设备在接收到第二设备私钥进行签名的第二设备上的eID相关信息之后,第一设备使用本地存储的第二设备的公钥验证签名之后,得到第二设备上的eID相关信息。在第二设备上的eID相关信息由服务器发送给第一设备的情况下,服务器可以使用第一设备的eID公钥对第二设备上的eID相关信息进行加密之后,发送给第一设备。第一设备接收到服务器发送的加密的第二设备的eID相关信息之后,使用本地存储的第一设备的eID私钥解密信息之后得到第二设备上的eID相关信息。第一设备得到第二设备上的eID相关信息之后,可以供用户在第一设备上查询或者使用第二设备上的eID相关信息,从而可以提高便利性。
另外,在完成建立第一设备对应的eID之后,服务器也可以将第一设备的eID证书发送给第一设备,第一设备可以本地存储第一设备的eID证书。在第一设备本地存储eID证书,则在第一设备本地即可完成验证第一设备eID私钥生成的签名信息,另外本地存储的第一设备的eID证书还可以提供第一设备对应的eID的签发者的信息。
可选的,第三消息可以按照验证服务协议中定义的字符串生成方法生成。其中,验证服务协议规定在eID使用过程中,第三方应用发送给服务器的验证请求的格式。第二设备组织待签名数据,待签名数据可以包含业务信息。第二设备可以请求用户对待签名数据生成签名信息。表1是本申请实施例提供的一种第三消息的格式示例。在根据签名算法生成签名信息之后,如表1所示,可以按照表1所示的格式生成第三消息。
表1一种第三消息的格式示例
| 参数含义 | 参数类型 | 参数值 |
| 应用标识 | "app_id" | 空 |
| 签名使用的算法 | "sign_type" | "1.2.156.10197.1.501" |
| 生成的签名值 | "signature" | "0123456789ABCDEF" |
| 返回应用的路径 | "return_url" | 空 |
| 业务流水号 | "biz_sequence_id" | "00123456789" |
| 时间信息 | "apply_time" | "2013-01-01 10:10:10" |
| 用户的电话号码 | "user_phone" | "12345678901" |
| 业务类型(建立eID的业务) | "biz_type" | "1" |
| 业务的安全等级 | "security_class": | "1" |
| 其余数据 | "extension" | "some_extension" |
如表1所示,第三消息中可以包含第一列所示十种参数。具体地,例如业务流水号,用于标识本次建立eID的业务。业务流水号的参数类型可以兼容现有验证服务协议,为"biz_sequence_id"。业务流水号的参数值例如为"00123456789"。
可以理解的是,上述第三消息仅用于举例说明本申请实施例,实际应用中第三消息可以包含更多或者更少的参数。
发送给服务器的第三消息按照验证服务协议的格式组织,可以兼容现有的eID服务架构,从而可以提高兼容性。
下面对图2所描述的eID的建立方法举例说明,在现有的eID服务系统架构场景下,一个用户只允许在一个eID载体上开通eID功能。基于该场景,请参阅图3,图3是本申请实施例提供的另一种eID的建立方法的流程示意图。如图3所示,以第一设备20和第二设备30均为终端设备为例进行介绍。该eID建立方法包含如下步骤:
步骤1.用户在第一设备20的eID客户端发起建立第一设备对应的eID的请求。
如图3所示,用户可以在第一设备20的eID客户端中点击“迁移eID申请”控件来发起请求。用户发起建立第一设备20对应的eID的请求可以触发步骤2。当用户需要利用第二设备30对应的eID来建立第一设备20对应的eID时,用户即可以点击“迁移eID申请”控件来发起建立第一设备20对应的eID的请求。其中,eID客户端可以是服务器10授权的官方客户端,还可以是支持eID使用的第三方应用客户端,该第三方应用客户端经服务器10授权。
步骤2.第一设备20的eID客户端向服务器10发送第四消息。
第四消息中包含有第一设备20的身份信息,用于证明第一设备20是合法的eID载体。在eID客户端中,第一设备20检测到用户点击“迁移eID申请”控件时,即向服务器10发送第四消息。关于第四消息的描述可以参考前面的具体描述,这里不再赘述。
步骤3.当服务器10根据第四消息对第一设备20的身份信息验证通过时,服务器10向第一设备20的eID客户端发送第一消息。第一消息包含用于标识本次建立eID的业务信息。
服务器10在下发的第一消息也可以包含管理指令,该管理指令指示第一设备20在SE内创建安全域并在安全域内生成eID密钥对。eID密钥对由SE内的eID应用来管理和使用。第一设备20接收到第一消息后,根据管理指令创建安全域,并生成eID公私钥对,保存在该安全域内。第一设备20的安全域和eID密钥对也可以是预先已经生成的。
关于服务器10验证第一设备20的身份信息的具体描述以及第一消息的具体描述可以参考前面的描述,这里不再赘述。
步骤4.第一设备20的eID客户端向第二设备30的eID客户端发送第二消息。
第一设备20的eID客户端接收到第一消息之后,将业务信息发送到SE的安全域内。eID应用使用载体私钥或eID私钥对业务信息和eID公钥生成签名信息,组织生成第二消息发送给eID客户端。
在第一设备20的eID客户端向第二设备30的eID客户端发送第二消息之前,可以建立第一设备20和第二设备30的通信连接,该通信连接可以是蓝牙连接、NFC连接或者WiFi直连。
可选的,用户可以在第一设备20的eID客户端中和第二设备30的eID客户端上建立第一设备与第二设备的安全连接。
第二设备30在接收到第一设备20的eID客户端发送的第二消息时,可以触发打开eID客户端。
第一设备20可以显示第二消息相关的提示信息。在第二设备30接收到第二消息之后,第二设备30也可以显示第二消息相关的提示信息。请参阅图4,图4是本申请实施例提供的一种用户确认第二消息关联的提示消息的示意图。如图4所示,第一设备20可以显示第二消息中业务流水号,第二设备30也可以显示业务流水号。用户在确认两个设备显示的业务流水号相同时,可以点击第二设备30的eID客户端中的“同意迁移”控件。第二设备30的eID客户端检测到用户点击“同意迁移”控件后,开始提示用户输入签名密码来对用户身份进行验证。如图4所示,第一设备20的eID客户端和第二设备30的eID客户端可以通过文字提示用户确认业务流水号是否相同,并在相同时,点击“同意迁移”控件。
步骤5.当对用户身份验证通过时,第二设备30的eID客户端生成第三消息。
如图3所示,对用户进行身份验证可以是验证第二设备30的eID签名密码。如图3所示,该签名密码可以是字符密码。该签名密码还可以包括语音、指纹、虹膜、图案和人脸图像中的一种或多种,本申请实施例对此不作限定。
当对用户身份验证通过时,第二设备30的eID客户端将业务信息和第一设备20的eID公钥发送到第二设备30的SE内的eID应用,第二设备30的SE内的eID应用使用第二设备30的eID私钥对业务信息和第一设备20的eID公钥生成签名信息发送给第二设备30的eID客户端。第二设备30的eID客户端按照约定的验证协议组织第三消息。第三消息也可以直接在第二设备的SE内生成。eID客户端可以运行在终端的TEE或REE内。
步骤6.第二设备30的eID客户端将第三消息发送给服务器10。
步骤7.当第三消息验证通过时,服务器10建立第一设备20对应的eID,删除第二设备30对应的eID。
如果eID服务系统架构要求一个用户只允许在一个eID载体上开通eID,则服务器10在建立第一设备20对应的eID之后,需要删除第二设备30对应的eID。关于第三消息的验证过程可以参考前面描述,这里不再赘述。
步骤8.服务器10向第一设备20的eID客户端发送第六消息。第六消息用于通知第一设备20服务器10完成建立第一设备20对应的eID。在第一设备20的eID客户端接收到第六消息之后,还可以采集用户的身份验证信息发送给服务器10,服务器10验证用户的身份验证信息合法之后可以向第一设备20的eID客户端发送第八消息,之后第一设备对应的eID可以正式使用。关于用户身份验证信息验证过程和第八消息的具体描述可以参考前面描述,这里不再赘述。
可以理解的是,示例仅用于解释本申请实施例,不应构成限定。
在图3所描述的eID建立方法中,利用已经建立有eID的第二设备30,来确保第一设备20申请建立eID的消息经过用户授权且未被重放攻击。从而在确保安全性的前提下,无需用户前往柜台进行繁琐的身份核实过程,确定安全性的同时可以减少用户的操作,可以提高用户建立eID的便利性。
上述详细阐述了本发明实施例的方法,下面提供了本发明实施例的装置。
请参阅图5,图5是本申请实施例提供的一种服务器的结构示意图。如图5所示,该服务器可以包含发送单元501、接收单元502和处理单元503,其中:
发送单元501,用于向第一设备20发送第一消息,第一消息包含业务信息;第一消息用于指示第一设备20向第二设备30发送第二消息;第二消息包含第一设备的eID公钥和业务信息;
接收单元502,用于接收第三消息;第三消息包含第一签名信息、第一设备的eID公钥和业务信息;第一签名信息是第二设备使用第二设备的eID私钥生成的签名信息,第二设备的eID私钥签名的对象包含第一设备的eID公钥和业务信息;
处理单元503,用于当第一签名信息和业务信息验证通过时,建立第一设备对应的eID。
可选的,接收单元502,还用于接收第一设备发送的第四消息,第四消息包含第一设备的身份信息;
发送单元501,具体用于当第一设备的身份信息验证通过时,向第一设备发送第一消息。
可选的,处理单元503,还用于检测第三消息中包含的第二设备标识和服务器存储的第二设备标识是否相同;
处理单元503,具体用于当第三消息中包含的第二设备标识和服务器存储的第二设备标识相同时,建立第一设备对应的eID。
可选的,接收单元502,还用于接收第一设备发送的第五消息,第五消息包含第一设备的eID公钥;
处理单元503,还用于检测第五消息中包含的第一设备的eID公钥和第三消息中包含的第一设备的eID公钥是否相同;
处理单元503,具体用于当第五消息中包含的第一设备的eID公钥和第三消息中包含的第一设备的eID公钥相同时,建立第一设备对应的eID。
可选的,业务信息还包含时间信息,处理单元503,还用于根据时间信息检测第三消息是否有效;
处理单元503,具体用于当第三消息有效时,服务器建立第一设备对应的eID。
可选的,处理单元503,还用于根据第二设备对应的eID验证第一签名信息是否合法,并验证第三消息中的业务信息与第一消息中的迁移验证信息是否相同;
处理单元503,具体用于当第一签名信息合法且第三消息中的业务信息与第一消息中的迁移验证信息相同时,建立第一设备对应的eID。
可选的,处理单元503,还用于删除第二设备对应的eID。
可选的,发送单元501,还用于向第一设备发送第六消息,第六消息用于通知第一设备服务器完成建立第一设备对应的eID。
可选的,接收单元,还用于接收第一设备发送的第七消息,第七消息包含第一设备采集的用户的身份验证信息;
处理单元503,还用于验证身份验证信息和服务器存储的用户身份信息是否相同;
发送单元501,还用于当身份验证信息和服务器存储的用户身份信息相同时,向第一设备发送第八消息,第八消息用于通知第一设备用户身份验证通过。
需要说明的是,服务器中各个单元的实现还可以对应参照图2所示的方法实施例的相应描述,这里不再赘述。服务器可以是图1所描述的系统架构中的eID服务平台10。
请参阅图6,图6是本申请实施例提供的一种第一设备的结构示意图。如图6所示,该第一设备可以包含接收单元601、发送单元602、显示单元603和采集单元604,其中:
接收单元601,用于接收服务器发送的第一消息,所述第一消息包含业务信息;
所述发送单元602,用于向第二设备发送第二消息;所述第二消息包含所述第一设备的eID公钥和所述业务信息,所述第二消息用于指示向所述服务器发送第三消息,所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的;
所述接收单元601,还用于接收所述服务器发送的第六消息,所述第六消息用于通知所述第一设备所述服务器完成建立所述第一设备对应的eID。
可选的,发送单元602,还用于向所述服务器发送第四消息,所述第四消息包含所述第一设备的身份信息;
发送单元602,具体用于当所述第一设备的身份信息验证通过时,所述第一设备接收服务器发送的第一消息。
可选的,第一设备还包括显示单元603,用于显示所述第二消息相关联的提示信息,所述提示信息用于所述用户检查所述第一设备显示的所述提示信息和所述第二设备显示的所述第二消息相关联的提示信息是否相同。
可选的,接收单元601,还用于接收所述第二设备发送的第九消息,所述第九消息包含所述第一签名信息;
发送单元602,还用于向所述服务器发送所述第三消息。
可选的,第三消息中还包含所述第二设备标识,所述第三消息还用于所述服务器验证所述第三消息中的所述第二设备标识和所述服务器上存储的所述第二设备标识是否相同。
可选的,第二消息还包括以下至少一项:第二签名信息和第三签名信息,所述第二签名信息是所述第一设备使用所述第一设备的eID私钥生成的签名信息,第一设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第三签名信息是所述第一设备使用所述第一设备的设备私钥生成的签名信息,第一设备的设备私钥签名的对象包含所述第一设备的eID公钥和所述业务信息。
可选的,发送单元602,还用于向所述服务器发送第五消息,所述第五消息包含所述第一设备的eID公钥,所述第五消息用于所述服务器验证所述第五消息包含的所述第一设备的eID公钥和所述第三消息中包含的所述第一设备的eID公钥是否相同。
可选的,业务信息包含时间信息,所述时间信息用于所述服务器确定所述第三消息是否有效。
可选的,第一设备还包括采集单元604,用于采集所述用户的身份验证信息,所述身份验证信息用于所述服务器验证所述身份验证信息和所述服务器上存储的用户身份信息是否相同;
发送单元602,还用于向所述服务器发送第七消息,所述第七消息包含所述身份验证信息;
接收单元601,还用于当所述身份验证信息和所述服务器上存储的用户身份信息相同时,接收第八消息,所述第八消息用于通知所述第一设备所述用户身份验证通过。
可选的,第一设备还包括处理单元605,用于生成所述第一设备的eID密钥对;所述第一设备的eID密钥对包含所述第一设备的eID公钥和所述第一设备的eID私钥。
可选的,第二消息是通过所述第一设备和所述第二设备之间建立的短距离通信连接发送的。
需要说明的是,第一设备中各个单元的实现还可以对应参照图2所示的方法实施例的相应描述,这里不再赘述。第一设备可以是图1所描述的系统架构中的第一设备20。
请参阅图7,图7是本申请实施例提供的一种第二设备的结构示意图。如图7所示,该第二设备可以包含接收单元701、发送单元702、显示单元703和处理单元704,其中:
接收单元701,用于接收第一设备发送的第二消息,所述第二消息包含所述第一设备的eID公钥和业务信息;所述业务信息是服务器发送给所述第一设备的;
所述发送单元702,用于向所述服务器发送第三消息,所述第三消息包括第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的。
可选的,所述第二设备还包括显示单元703,用于显示所述第二消息相关联的提示信息,所述提示信息用于所述用户检查所述第二设备显示的所述提示信息和所述第一设备显示的所述第二消息相关联的提示信息是否相同;
发送单元702,具体用于当所述第二设备接收到所述用户发送的用于指示所述第二设备显示的所述提示信息和所述第一设备显示的所述第二消息相关联的提示信息相同时,所述第二设备向所述服务器发送第三消息。
可选的,发送单元702,具体用于向所述第一设备发送所述第九消息,所述第九消息用于指示所述第一设备向所述服务器发送第三消息;所述第九消息包含所述第一签名信息。
可选的,第二设备还包括处理单元704,用于对用户进行身份验证;
发送单元702,具体用于当所述用户身份验证通过的时,所述第二设备向服务器发送第三消息。
需要说明的是,第二设备中各个单元的实现还可以对应参照图2所示的方法实施例的相应描述,这里不再赘述。第二设备可以是图1所描述的系统架构中的第二设备30。
请参阅图8,图8是本申请实施例提供的另一种服务器的结构示意图,如图8所示,该服务器包括:一个或多个处理器801、存储器802、通信接口803、发射器805、接收器806、耦合器807和天线808。这些部件可通过总线804或者其他式连接,图8以通过总线连接为例。其中:
通信接口803可用于服务器与其他通信设备,例如第一设备或第二设备,进行通信。具体的,所述第一设备可以是图6、图9或图11所示的设备,所述第二设备可以是图7、图10或图12所示的设备。具体的,通信接口803可以是长期演进(LTE)(4G)通信接口,也可以是5G或者未来新空口的通信接口。不限于无线通信接口,服务器还可以配置有有线的通信接口803来支持有线通信,例如与其他设备之间的回程链接可以是有线通信连接。
发射器805可用于对处理器801输出的信号进行发射处理,例如信号调制。接收器806可用于对天线808接收的移动通信信号进行接收处理。例如信号解调。在本申请的一些实施例中,发射器805和接收器806可看作一个无线调制解调器。在服务器中,发射器805和接收器806的数量均可以是一个或者多个。天线808可用于将传输线中的电磁能转换成自由空间中的电磁波,或者将自由空间中的电磁波转换成传输线中的电磁能。耦合器807可用于将移动通信号分成多路,分配给多个的接收器806。
存储器802与处理器801耦合,用于存储各种软件程序和/或多组指令。具体的,存储器802可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器802可以存储操作系统(下述简称系统),例如uCOS、VxWorks、RTLinux等嵌入式操作系统。存储器802还可以存储网络通信程序,该网络通信程序可用于与一个或多个附加设备,一个或多个设备进行通信。
处理器801可用于进行无线信道管理、实施呼叫和通信链路的建立和拆除。具体的,处理器801可包括:管理/通信模块(administration module/communication module,AM/CM)(用于话路交换和信息交换的中心)、基本模块(basic module,BM)(用于完成呼叫处理、信令处理、无线资源管理、无线链路的管理和电路维护功能)、码变换及子复用单元(transcoder and submultiplexer,TCSM)(用于完成复用解复用及码变换功能)等等。
本申请实施例中,处理器801可用于读取和执行计算机可读指令。具体的,处理器801可用于调用存储于存储器802中的程序,例如本申请的一个或多个实施例提供的eID的建立方法在服务器侧的实现程序,并执行该程序包含的指令。
可以理解的,服务器可以是图1示出的系统中的eID服务平台10,可实施为基站收发台,无线收发器,一个基本服务集(BSS),一个扩展服务集(ESS),NodeB,eNodeB,接入点或TRP等等。
需要说明的,图8所示的服务器仅仅是本申请实施例的一种实现方式,实际应用中,服务器还可以包括更多或更少的部件,这里不作限制。
请参阅图9,图9是本申请实施例提供的另一种第一设备的结构示意图,如图9所示,当第一设备是终端设备时,该第一设备包括:一个或多个处理器901、存储器902、通信接口903、发射器905、接收器906、耦合器907和天线908。这些部件可通过总线904或者其他式连接,图9以通过总线904连接为例。其中:
通信接口903可用于第一设备与其他通信设备,例如服务器或第二设备,进行通信。具体的,所述服务器可以是图5或图8所示的设备。所述第二设备可以是图7、图10或图12所示的设备。具体的,通信接口903可以是长期演进(LTE)(4G)通信接口,也可以是5G或者未来新空口的通信接口。不限于无线通信接口,服务器还可以配置有有线的通信接口903来支持有线通信,例如与其他设备之间的回程链接可以是有线通信连接。
其中,通信接口903可以包含用于进行短距离通信的接口,例如蓝牙接口、NFC接口或者WiFi直连接口。
发射器905可用于对处理器901输出的信号进行发射处理,例如信号调制。接收器906可用于对天线908接收的移动通信信号进行接收处理。例如信号解调。在本申请的一些实施例中,发射器905和接收器906可看作一个无线调制解调器。在第一设备中,发射器905和接收器906的数量均可以是一个或者多个。天线908可用于将传输线中的电磁能转换成自由空间中的电磁波,或者将自由空间中的电磁波转换成传输线中的电磁能。耦合器907可用于将移动通信号分成多路,分配给多个的接收器906。
存储器902与处理器901耦合,用于存储各种软件程序和/或多组指令。具体的,存储器902可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器902可以存储操作系统(下述简称系统),例如uCOS、VxWorks、RTLinux等嵌入式操作系统。存储器902还可以存储网络通信程序,该网络通信程序可用于与一个或多个附加设备,一个或多个设备进行通信。可选的,存储器902中可以包含安全环境。
处理器901可用于进行无线信道管理、实施呼叫和通信链路的建立和拆除。具体的,处理器901可包括:管理/通信模块(用于话路交换和信息交换的中心)、基本模块(用于完成呼叫处理、信令处理、无线资源管理、无线链路的管理和电路维护功能)、码变换及子复用单元(用于完成复用解复用及码变换功能)等等。
本申请实施例中,处理器901可用于读取和执行计算机可读指令。具体的,处理器901可用于调用存储于存储器902中的程序,例如本申请的一个或多个实施例提供的eID的建立方法在第一设备侧的实现程序,并执行该程序包含的指令。
可以理解的,第一设备可以是图1示出的系统中的第一设备20。
需要说明的,图9所示的第一设备仅仅是本申请实施例的一种实现方式,实际应用中,第一设备还可以包括更多或更少的部件,这里不作限制。
请参阅图10,图10是本申请实施例提供的另一种第二设备的结构示意图,当第二设备是终端设备时,如图10所示,该第二设备包括:一个或多个处理器1001、存储器1002、通信接口1003、发射器1005、接收器1006、耦合器1007和天线1008。这些部件可通过总线1004或者其他式连接,图10以通过总线1004连接为例。其中:
通信接口1003可用于第一设备与其他通信设备,例如服务器或第一设备,进行通信。具体的,所述服务器可以是图5或图8所示的设备。所述第一设备可以是图6、图9或图11所示的设备。具体的,通信接口1003可以是长期演进(LTE)(4G)通信接口,也可以是5G或者未来新空口的通信接口。不限于无线通信接口,服务器还可以配置有有线的通信接口1003来支持有线通信,例如与其他设备之间的回程链接可以是有线通信连接。
其中,通信接口1003可以包含用于进行短距离通信的接口,例如蓝牙接口、NFC接口或者WiFi直连接口。
发射器1005可用于对处理器1001输出的信号进行发射处理,例如信号调制。接收器1006可用于对天线1008接收的移动通信信号进行接收处理。例如信号解调。在本申请的一些实施例中,发射器1005和接收器1006可看作一个无线调制解调器。在第二设备中,发射器1005和接收器1006的数量均可以是一个或者多个。天线1008可用于将传输线中的电磁能转换成自由空间中的电磁波,或者将自由空间中的电磁波转换成传输线中的电磁能。耦合器1007可用于将移动通信号分成多路,分配给多个的接收器1006。
存储器1002与处理器1001耦合,用于存储各种软件程序和/或多组指令。具体的,存储器1002可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器1002可以存储操作系统(下述简称系统),例如uCOS、VxWorks、RTLinux等嵌入式操作系统。存储器1002还可以存储网络通信程序,该网络通信程序可用于与一个或多个附加设备,一个或多个设备进行通信。可选的,存储器1002中可以包含安全环境。
处理器1001可用于进行无线信道管理、实施呼叫和通信链路的建立和拆除。具体的,处理器1001可包括:管理/通信模块(用于话路交换和信息交换的中心)、基本模块(用于完成呼叫处理、信令处理、无线资源管理、无线链路的管理和电路维护功能)、码变换及子复用单元(用于完成复用解复用及码变换功能)等等。
本申请实施例中,处理器1001可用于读取和执行计算机可读指令。具体的,处理器1001可用于调用存储于存储器1002中的程序,例如本申请的一个或多个实施例提供的eID的建立方法在第二设备侧的实现程序,并执行该程序包含的指令。
可以理解的,第二设备可以是图1示出的系统中的第二设备30。
需要说明的,图10所示的第二设备仅仅是本申请实施例的一种实现方式,实际应用中,第二设备还可以包括更多或更少的部件,这里不作限制。
请参阅图11,图11是本申请实施例提供的又一种第一设备的结构示意图,当第一设备是符合eID高强度安全机制要求的IC卡时,如图11所示,第一设备可包括:处理器1101,以及耦合于处理器1101的一个或多个接口1102。其中:
处理器1101可用于读取和执行计算机可读指令。具体实现中,处理器1101可主要包括控制器、运算器和寄存器。其中,控制器主要负责指令译码,并为指令对应的操作发出控制信号。运算器主要负责执行定点或浮点算数运算操作、移位操作以及逻辑操作等,也可以执行地址运算和转换。寄存器主要负责保存指令执行过程中临时存放的寄存器操作数和中间操作结果等。具体实现中,处理器1101的硬件架构可以是专用集成电路(ApplicationSpecific Integrated Circuits,ASIC)架构等等。处理器1101可以是单核的,也可以是多核的。
接口1102可用于输入待处理的数据至处理器1101,并且可以向外输出处理器1101的处理结果。
本申请中,处理器1101可用于从存储器中调用本申请的一个或多个实施例提供的eID建立方法在第一设备侧的实现程序,并执行该程序包含的指令。存储器可以是安全环境。接口1102可用于输出处理器1101的执行结果。关于本申请的一个或多个实施例提供的eID建立方法可参考前述各个实施例,这里不再赘述。
需要说明的,处理器1101、接口1102各自对应的功能既可以通过硬件设计实现,也可以通过软件设计来实现,还可以通过软硬件结合的方式来实现,这里不作限制。
请参阅图12,图12是本申请实施例提供的又一种第二设备的结构示意图,如图12所示,当第二设备是符合eID高强度安全机制要求的IC卡时,如图12所示,第二设备可包括:处理器1201,以及耦合于处理器1201的一个或多个接口1202。其中:
处理器1201可用于读取和执行计算机可读指令。具体实现中,处理器1201可主要包括控制器、运算器和寄存器。其中,控制器主要负责指令译码,并为指令对应的操作发出控制信号。运算器主要负责执行定点或浮点算数运算操作、移位操作以及逻辑操作等,也可以执行地址运算和转换。寄存器主要负责保存指令执行过程中临时存放的寄存器操作数和中间操作结果等。具体实现中,处理器1201的硬件架构可以是专用集成电路(ApplicationSpecific Integrated Circuits,ASIC)架构等等。处理器1201可以是单核的,也可以是多核的。
接口1202可用于输入待处理的数据至处理器1201,并且可以向外输出处理器1201的处理结果。
本申请中,处理器1201可用于从存储器中调用本申请的一个或多个实施例提供的eID建立方法在第二设备侧的实现程序,并执行该程序包含的指令。存储器可以是安全环境。接口1202可用于输出处理器1201的执行结果。关于本申请的一个或多个实施例提供的eID建立方法可参考前述各个实施例,这里不再赘述。
需要说明的,处理器1201、接口1202各自对应的功能既可以通过硬件设计实现,也可以通过软件设计来实现,还可以通过软硬件结合的方式来实现,这里不作限制。
本申请实施例提供一种eID服务系统,包括:服务器10、第一设备20和第二设备30,服务器与第二设备建立通信连接,服务器与第一设备建立有通信连接,其中:
服务器,包括用于执行图2所描述的网络电子身份标识eID在服务器侧的建立方法的模块或单元;
第一设备,包括用于执行图2所描述的eID的建立方法在第一设备侧的模块或单元;
第二设备,包括用于执行图2所描述的eID的建立方法在第二设备侧的建立方法的模块或单元。
服务器可以是图5或者图8所描述的服务器,第一设备可以是图6、图9或者图11所描述的第一设备,第二设备可以是图7、图10或者图12所描述的第二设备。
本发明实施例还提供一种芯片系统,所述芯片系统包括至少一个处理器,存储器和接口电路,所述存储器、所述收发器和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行时,图2所示的方法流程得以实现。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在处理器上运行时,图2所示的方法流程得以实现。
本发明实施例还提供一种计算机程序产品,当所述计算机程序产品在处理器上运行时,图2所示的方法流程得以实现。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。
Claims (34)
1.一种网络电子身份标识eID的建立方法,其特征在于,包括:
服务器向第一设备发送第一消息,所述第一消息包含业务信息;所述第一消息用于指示所述第一设备向第二设备发送第二消息;所述第二消息包含所述第一设备的eID公钥和所述业务信息;
所述服务器接收所述第三消息;所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;
当所述第一签名信息和所述业务信息验证通过时,所述服务器建立所述第一设备对应的eID。
2.根据权利要求1所述的方法,其特征在于,所述服务器向第一设备发送第一消息之前,所述方法还包括:
所述服务器接收所述第一设备发送的第四消息,所述第四消息包含所述第一设备的身份信息;
所述服务器向第一设备发送第一消息,包括:
当所述第一设备的身份信息验证通过时,所述服务器向第一设备发送第一消息。
3.根据权利要求1或2所述的方法,其特征在于,所述第三消息中还包含所述第二设备标识,所述服务器建立所述第一设备对应的eID之前,所述方法还包括:
所述服务器检测所述第三消息中包含的所述第二设备标识和所述服务器存储的第二设备标识是否相同;
所述服务器建立所述第一设备对应的eID,包括:
当所述第三消息中包含的所述第二设备标识和所述服务器存储的所述第二设备标识相同时,所述服务器建立所述第一设备对应的eID。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述服务器建立所述第一设备对应的eID之前,所述方法还包括:
所述服务器接收所述第一设备发送的第五消息,所述第五消息包含所述第一设备的eID公钥;
所述服务器检测所述第五消息中包含的所述第一设备的eID公钥和所述第三消息中包含的所述第一设备的eID公钥是否相同;
所述服务器建立所述第一设备对应的eID,包括:
当所述第五消息中包含的所述第一设备的eID公钥和所述第三消息中包含的所述第一设备的eID公钥相同时,所述服务器建立所述第一设备对应的eID。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述业务信息还包含时间信息,所述服务器建立所述第一设备对应的eID之前,所述方法还包括:
所述服务器根据所述时间信息检测所述第三消息是否有效;
所述服务器建立所述第一设备对应的eID,包括:
当所述第三消息有效时,所述服务器建立所述第一设备对应的eID。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述服务器接收所述第三消息之后,所述方法还包括:
所述服务器根据所述第二设备对应的eID验证所述第一签名信息是否合法,并验证所述第三消息中的所述业务信息与所述第一消息中的所述迁移验证信息是否相同;
当所述第一签名信息和所述业务信息验证通过时,所述服务器建立所述第一设备对应的eID,包括:
当所述第一签名信息合法且所述第三消息中的所述业务信息与所述第一消息中的所述迁移验证信息相同时,所述服务器建立所述第一设备对应的eID。
7.根据权利要求6所述的方法,其特征在于,所述服务器建立所述第一设备对应的eID之后,所述方法还包括:
所述服务器删除所述第二设备对应的eID。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述服务器建立所述第一设备对应的eID之后,所述方法还包括:
所述服务器向所述第一设备发送第六消息,所述第六消息用于通知所述第一设备所述服务器完成建立所述第一设备对应的eID。
9.根据权利要求8所述的方法,其特征在于,所述服务器向所述第一设备发送第六消息之后,所述方法还包括:
所述服务器接收所述第一设备发送的第七消息,所述第七消息包含所述第一设备采集的所述用户的身份验证信息;
所述服务器验证所述身份验证信息和所述服务器存储的用户身份信息是否相同;
当所述身份验证信息和所述服务器存储的用户身份信息相同时,所述服务器向所述第一设备发送第八消息,所述第八消息用于通知所述第一设备所述用户身份验证通过。
10.一种网络电子身份标识eID的建立方法,其特征在于,包括:
第一设备接收服务器发送的第一消息,所述第一消息包含业务信息;
所述第一设备向第二设备发送第二消息;所述第二消息包含所述第一设备的eID公钥和所述业务信息,所述第二消息用于指示向所述服务器发送第三消息,所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的;
所述第一设备接收所述服务器发送的第六消息,所述第六消息用于通知所述第一设备所述服务器完成建立所述第一设备对应的eID。
11.根据权利要求10所述的方法,其特征在于,所述第一设备接收服务器发送的第一消息之前,所述方法还包括:
所述第一设备向所述服务器发送第四消息,所述第四消息包含所述第一设备的身份信息;
所述第一设备接收服务器发送的第一消息,包括:
当所述第一设备的身份信息验证通过时,所述第一设备接收服务器发送的第一消息。
12.根据权利要求10或11所述的方法,其特征在于,所述第一设备接收服务器发送的第一消息之后,所述方法还包括:
所述第一设备显示所述第二消息相关联的提示信息,所述提示信息用于所述用户检查所述第一设备显示的所述提示信息和所述第二设备显示的所述第二消息相关联的提示信息是否相同。
13.根据权利要求10至12任一项所述的方法,其特征在于,所述第一设备向第二设备发送第二消息之后,所述方法还包括:
所述第一设备接收所述第二设备发送的第九消息,所述第九消息包含所述第一签名信息;
所述第一设备向所述服务器发送所述第三消息。
14.根据权利要求10至13任一项所述的方法,其特征在于,所述第三消息中还包含所述第二设备标识,所述第三消息还用于所述服务器验证所述第三消息中的所述第二设备标识和所述服务器上存储的所述第二设备标识是否相同。
15.根据权利要求10至14任一项所述的方法,其特征在于,所述第二消息还包括以下至少一项:第二签名信息和第三签名信息,所述第二签名信息是所述第一设备使用所述第一设备的eID私钥生成的签名信息,所述第一设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第三签名信息是所述第一设备使用所述第一设备的设备私钥生成的签名信息,所述第二设备的设备私钥签名的对象包含所述第一设备的eID公钥和所述业务信息。
16.根据权利要求10至15任一项所述的方法,其特征在于,所述方法还包括:
所述第一设备向所述服务器发送第五消息,所述第五消息包含所述第一设备的eID公钥,所述第五消息用于所述服务器验证所述第五消息包含的所述第一设备的eID公钥和所述第三消息中包含的所述第一设备的eID公钥是否相同。
17.根据权利要求10至16任一项所述的方法,其特征在于,所述业务信息包含时间信息,所述时间信息用于所述服务器确定所述第三消息是否有效。
18.根据权利要求10至17任一项所述的方法,其特征在于,所述第一设备接收所述服务器发送的第六消息之后,所述方法还包括:
所述第一设备采集所述用户的身份验证信息,所述身份验证信息用于所述服务器验证所述身份验证信息和所述服务器上存储的用户身份信息是否相同;
所述第一设备向所述服务器发送第七消息,所述第七消息包含所述身份验证信息;
当所述身份验证信息和所述服务器上存储的用户身份信息相同时,所述第一设备接收第八消息,所述第八消息用于通知所述第一设备所述用户身份验证通过。
19.根据权利要求10至18任一项所述的方法,其特征在于,所述第一设备向第二设备发送第二消息之前,所述方法还包括:
所述第一设备生成所述第一设备的eID密钥对;所述第一设备的eID密钥对包含所述第一设备的eID公钥和所述第一设备的eID私钥。
20.根据权利要求10至19任一项所述的方法,其特征在于,所述第二消息是通过所述第一设备和所述第二设备之间建立的短距离通信连接发送的。
21.一种网络电子身份标识eID的建立方法,其特征在于,包括:
第二设备接收第一设备发送的第二消息,所述第二消息包含所述第一设备的eID公钥和业务信息;所述业务信息是服务器发送给所述第一设备的;
所述第二设备向所述服务器发送第三消息,所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的。
22.根据权利要求21所述的方法,其特征在于,所述第二设备接收第一设备发送的第二消息之后,所述方法还包括:
所述第二设备显示所述第二消息相关联的提示信息,所述提示信息用于所述用户检查所述第二设备显示的所述提示信息和所述第一设备显示的所述第二消息相关联的提示信息是否相同;
所述第二设备向所述服务器发送第三消息,包括:
当所述第二设备接收到所述用户发送的用于指示所述第二设备显示的所述提示信息和所述第一设备显示的所述第二消息相关联的提示信息相同时,所述第二设备向所述服务器发送第三消息。
23.根据权利要求21或22所述的方法,其特征在于,所述第二设备向所述服务器发送第三消息,包括:
所述第二设备向所述第一设备发送所述第九消息,所述第九消息用于指示所述第一设备向所述服务器发送第三消息;所述第九消息包含所述第一签名信息。
24.根据权利要求21至23任一项所述的方法,其特征在于,所述第二设备向所述服务器发送第三消息之前,所述方法还包括:
所述第二设备对用户进行身份验证;
所述第二设备向所述服务器发送第三消息,包括:
当所述用户身份验证通过的时,所述第二设备向服务器发送第三消息。
25.一种服务器,其特征在于,包括发送单元、接收单元和处理单元,其中:
所述发送单元,用于向第一设备发送第一消息,所述第一消息包含业务信息;所述第一消息用于指示所述第一设备向第二设备发送第二消息;所述第二消息包含所述第一设备的eID公钥和所述业务信息;
所述接收单元,用于接收所述第三消息;所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;
所述处理单元,用于当所述第一签名信息和所述业务信息验证通过时,建立所述第一设备对应的eID。
26.一种第一设备,其特征在于,包括接收单元、发送单元,其中:
所述接收单元,用于接收服务器发送的第一消息,所述第一消息包含业务信息;
所述发送单元,用于向第二设备发送第二消息;所述第二消息包含所述第一设备的eID公钥和所述业务信息,所述第二消息用于指示向所述服务器发送第三消息,所述第三消息包含第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的;
所述接收单元,还用于接收所述服务器发送的第六消息,所述第六消息用于通知所述第一设备所述服务器完成建立所述第一设备对应的eID。
27.一种第二设备,其特征在于,包括接收单元和发送单元,其中:
所述接收单元,用于接收第一设备发送的第二消息,所述第二消息包含所述第一设备的eID公钥和业务信息;所述业务信息是服务器发送给所述第一设备的;
所述发送单元,用于向所述服务器发送第三消息,所述第三消息包括第一签名信息、所述第一设备的eID公钥和所述业务信息,所述第三消息用于指示所述服务器验证所述第三消息的合法性并且建立所述第一设备对应的eID;所述第一签名信息是所述第二设备使用所述第二设备的eID私钥生成的签名信息,所述第二设备的eID私钥签名的对象包含所述第一设备的eID公钥和所述业务信息;所述第一设备的eID公钥是所述第一设备本地生成的。
28.一种服务器,其特征在于,包括处理器、存储器、通信接口和总线;所述处理器、所述通信接口和所述存储器通过所述总线相互通信;所述通信接口,用于接收和发送数据;所述存储器,用于存储程序指令;其特征在于,所述处理器用于调用所述程序指令来执行权利要求1至9任一项所描述的网络电子身份标识eID的建立方法。
29.一种第一设备,其特征在于,包括处理器、存储器、通信接口和总线;所述处理器、所述通信接口、所述存储器通过所述总线相互通信;所述通信接口,用于接收和发送数据;所述存储器,用于存储程序指令;其特征在于,所述处理器用于调用所述程序指令来执行权利要求10至20任一项所描述的网络电子身份标识eID的建立方法。
30.一种第二设备,其特征在于,包括处理器、存储器、通信接口和总线;所述处理器、所述通信接口和所述存储器通过所述总线相互通信;所述通信接口,用于接收和发送数据;所述存储器,用于存储程序指令;其特征在于,所述处理器用于调用所述程序指令来执行权利要求21至24任一项所描述的网络电子身份标识eID的建立方法。
31.一种芯片系统,所述芯片系统包括至少一个处理器,存储器和接口电路,所述存储器、所述接口电路和所述至少一个处理器通过线路互联,所述存储器中存储有程序指令;其特征在于,所述程序指令被所述处理器执行时,实现权利要求1至24任一项所所描述的方法。
32.一种计算机可读存储介质,所述计算机可读存储介质中存储有程序指令,其特征在于,当所述程序指令由处理器运行时,实现权利要求1至24任一项所所描述的方法。
33.一种eID服务系统,其特征在于,包括第一设备、第二设备和服务器,所述服务器与所述第二设备建立通信连接,所述服务器与所述第一设备建立有通信连接,其中:
所述服务器,包括用于执行权利要求1至9任一项所描述的网络电子身份标识eID的建立方法的模块或单元;
所述第一设备,包括用于执行权利要求10至20任一项所描述的eID的建立方法的模块或单元;
所述第二设备,包括用于执行权利要求21至24任一项所描述的eID的建立方法的模块或单元。
34.一种eID服务系统,包括第一设备、第二设备和服务器,所述服务器与所述第二设备建立通信连接,所述服务器与所述第一设备建立有通信连接,其中:
所述服务器,包括权利要求28所描述的所述服务器;
所述第一设备,包括权利要求29所描述的所述第一设备;
所述第二设备,包括权利要求30所描述的所述第二设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810220922.1A CN110278084B (zh) | 2018-03-16 | 2018-03-16 | eID建立方法、相关设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810220922.1A CN110278084B (zh) | 2018-03-16 | 2018-03-16 | eID建立方法、相关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110278084A true CN110278084A (zh) | 2019-09-24 |
| CN110278084B CN110278084B (zh) | 2021-10-15 |
Family
ID=67958623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810220922.1A Active CN110278084B (zh) | 2018-03-16 | 2018-03-16 | eID建立方法、相关设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110278084B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113452528A (zh) * | 2021-05-24 | 2021-09-28 | 无锡融卡科技有限公司 | 请求处理方法、系统、计算机设备和介质 |
| CN115033899A (zh) * | 2021-11-26 | 2022-09-09 | 荣耀终端有限公司 | 应用数据的迁移方法、终端设备以及存储介质 |
| US11516020B2 (en) * | 2018-06-06 | 2022-11-29 | Tencent Technology (Shenzhen) Company Limited | Key management method, apparatus, and system, storage medium, and computer device |
| US20220398299A1 (en) * | 2021-06-15 | 2022-12-15 | Microsoft Technology Licensing, Llc | Cross-session issuance of verifiable credential |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000056570A (ko) * | 1999-02-24 | 2000-09-15 | 정선종 | 전자상거래용 전자신분증 관리방법 |
| CN1395776A (zh) * | 2000-01-21 | 2003-02-05 | 智能信用系统公司 | 发放电子身份证明的方法 |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN102868701A (zh) * | 2012-09-27 | 2013-01-09 | 公安部第三研究所 | 实现eID载体终端与eID服务系统间的eID状态迁移的方法 |
| CN103473485A (zh) * | 2013-09-22 | 2013-12-25 | 河南科技大学 | 数字许可权利证书在终端设备间的转移方法 |
| US9646150B2 (en) * | 2013-10-01 | 2017-05-09 | Kalman Csaba Toth | Electronic identity and credentialing system |
| CN107612697A (zh) * | 2017-10-20 | 2018-01-19 | 阿里巴巴集团控股有限公司 | 数字证书申请方法和装置 |
| CN108122112A (zh) * | 2017-12-14 | 2018-06-05 | 杨宪国 | 基于鉴权装置的电子身份证签发认证和安全支付系统 |
-
2018
- 2018-03-16 CN CN201810220922.1A patent/CN110278084B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000056570A (ko) * | 1999-02-24 | 2000-09-15 | 정선종 | 전자상거래용 전자신분증 관리방법 |
| CN1395776A (zh) * | 2000-01-21 | 2003-02-05 | 智能信用系统公司 | 发放电子身份证明的方法 |
| CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
| CN102868701A (zh) * | 2012-09-27 | 2013-01-09 | 公安部第三研究所 | 实现eID载体终端与eID服务系统间的eID状态迁移的方法 |
| CN103473485A (zh) * | 2013-09-22 | 2013-12-25 | 河南科技大学 | 数字许可权利证书在终端设备间的转移方法 |
| US9646150B2 (en) * | 2013-10-01 | 2017-05-09 | Kalman Csaba Toth | Electronic identity and credentialing system |
| CN107612697A (zh) * | 2017-10-20 | 2018-01-19 | 阿里巴巴集团控股有限公司 | 数字证书申请方法和装置 |
| CN108122112A (zh) * | 2017-12-14 | 2018-06-05 | 杨宪国 | 基于鉴权装置的电子身份证签发认证和安全支付系统 |
Non-Patent Citations (1)
| Title |
|---|
| 汪志鹏,杨明慧,吕良: "基于 eID 的网络可信身份体系建设研究", 《信息网络安全》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11516020B2 (en) * | 2018-06-06 | 2022-11-29 | Tencent Technology (Shenzhen) Company Limited | Key management method, apparatus, and system, storage medium, and computer device |
| CN113452528A (zh) * | 2021-05-24 | 2021-09-28 | 无锡融卡科技有限公司 | 请求处理方法、系统、计算机设备和介质 |
| CN113452528B (zh) * | 2021-05-24 | 2023-01-10 | 无锡融卡科技有限公司 | 请求处理方法、系统、计算机设备和介质 |
| US20220398299A1 (en) * | 2021-06-15 | 2022-12-15 | Microsoft Technology Licensing, Llc | Cross-session issuance of verifiable credential |
| WO2022265740A1 (en) * | 2021-06-15 | 2022-12-22 | Microsoft Technology Licensing, Llc | Cross-session issuance of verifiable credential |
| CN115033899A (zh) * | 2021-11-26 | 2022-09-09 | 荣耀终端有限公司 | 应用数据的迁移方法、终端设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110278084B (zh) | 2021-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2434352C2 (ru) | Способ и устройство для надежной аутентификации | |
| CN101777978B (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
| US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN109756447A (zh) | 一种安全认证方法及相关设备 | |
| CN110311883A (zh) | 身份管理方法、设备、通信网络及存储介质 | |
| CN107844946A (zh) | 一种电子合同签署的方法、装置及服务器 | |
| US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
| CN110278084A (zh) | eID建立方法、相关设备及系统 | |
| CN104205891A (zh) | 虚拟sim卡云平台 | |
| CN108011715A (zh) | 一种密钥的分发方法、相关设备和系统 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| CN106230838A (zh) | 一种第三方应用访问资源的方法和装置 | |
| CN105681030B (zh) | 密钥管理系统、方法及装置 | |
| CN106911627A (zh) | 一种基于eID的真实身份安全控制方法及其系统 | |
| JP4897503B2 (ja) | アカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置 | |
| CN104424676A (zh) | 身份信息发送方法、装置和门禁读卡器及门禁系统 | |
| Yeh et al. | A robust mobile payment scheme with smart contract-based transaction repository | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN105681340A (zh) | 一种数字证书的使用方法及装置 | |
| AU2013340223A1 (en) | Information processing apparatus, information processing system, information processing method and computer program | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| CN112446050B (zh) | 应用于区块链系统的业务数据处理方法及装置 | |
| CN109740319A (zh) | 数字身份验证方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |