CN110990827A - 一种身份信息验证方法、服务器及存储介质 - Google Patents
一种身份信息验证方法、服务器及存储介质 Download PDFInfo
- Publication number
- CN110990827A CN110990827A CN201911032036.7A CN201911032036A CN110990827A CN 110990827 A CN110990827 A CN 110990827A CN 201911032036 A CN201911032036 A CN 201911032036A CN 110990827 A CN110990827 A CN 110990827A
- Authority
- CN
- China
- Prior art keywords
- identity information
- verification
- audit
- user
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例涉及网络安全技术领域,公开了一种身份信息验证方法、服务器及存储介质。本发明中,接受目标终端发送的审核请求,其中,审核请求通过可信通道传输,审核请求中包括表明用户身份信息的数字签名,数字签名由预设的目标私匙加密生成;根据预存储的目标公钥对审核请求进行鉴权;当鉴权通过后,向目标终端发送与审核请求对应的审核结果,以使目标终端将所述审核结果发送至需要进行身份验证的应用服务器完成身份验证,其中,所述审核结果中不包括用户身份信息。在审核过程中,通过可信通道传输审核请求,确保身份信息处于安全的环境内,且审核请求包含加密的数字签名,保证身份信息验证的可信性,提高了身份验证过程的隐私性和安全性。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种身份信息验证方法、服务器及存储介质。
背景技术
目前,对用户的个人身份验证目前成为金融、游戏等领域的一项必备监管手段。在使用某些功能之前,监管机构会要求服务提供方对用户进行身份验证,如提供身份证信息、绑定银行卡等。一些更为严格的身份认证,如淘宝卖家认证,更是需要用户本人拍摄手持证件的照片,以确认实际用户与所提交的身份信息为一人。
发明人发现现有技术中至少存在如下问题:目前进行身份验证过程中,对于不同的身份验证方,用户需要多次反复提供自己的身份信息,一旦某一验证方发生信息泄露,用户身份信息就会泄露;同时,目前服务提供方会将大量的用户身份信息存储在本地,之后进行身份信息验证,导致一个外部攻击者或者是内部恶意的员工,均可能对服务方处大量的用户身份信息进行窃取,导致身份信息泄露,身份验证结果的安全性难以保证。
发明内容
本发明实施方式的目的在于提供一种身份信息验证方法,使得在身份信息验证的过程中保证用户信息的隐私性。
为解决上述技术问题,本发明的实施方式提供了一种身份信息验证方法,包括以下步骤:接受目标终端发送的审核请求,其中,所述审核请求通过可信通道传输,所述审核请求中包括表明用户身份信息的数字签名,所述数字签名由预设的目标私钥加密生成;目标终端根据预存储的目标公钥对所述审核请求进行鉴权;当所述鉴权通过后,向所述目标终端发送与所述审核请求对应的审核结果,以使目标终端将所述审核结果发送至需要进行身份验证的应用服务器完成身份验证,其中,所述审核结果中不包括用户身份信息。
本发明的实施方式还提供了一种服务器,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的身份信息验证方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述的身份信息验证方法。
本发明实施方式相对于现有技术而言,在审核过程中,通过可信通道传输审核请求,确保身份信息处于安全的环境内,再通过非对称密钥的方式来验证审核请求是否为用户终端目标终端发送的,避免用户身份信息在信息交互过程中直接进行传输同时,也目标终端保证了身份信息验证的可信性,提高了身份验证过程的隐私性和安全性。
另外,所述审核请求中包括至少一个审核事项,所述根据预存储的目标公钥对所述审核请求进行鉴权之后,包括:提取预存储用户的身份信息;根据所述身份信息依次对所述审核事项进行对照审核;将审核结论依次写入预设的文档中生成所述审核结果。通过在身份验证服务端预存储用户的身份信息,在进行身份验证时,用户无需重复上传身份信息,避免由于多次上传身份信息导致信息泄露,进一步提高验证过程的安全性。
另外,所述身份信息处于加密状态,所述根据所述身份信息依次对所述审核事项进行对照审核之前,包括:提取加密状态的身份信息,通过预设的第一对称密钥对所述加密的身份信息进行解密,得到可读状态的身份信息。预存储的用户身份信息通过预设的第一对称密钥进行加密,在提取之后进行解密,避免在提取身份信息过程中,恶意方窃取用户身份信息,进一步提升验证过程的安全性。
另外,所述接受目标终端发送的审核请求之前,还包括:接收所述用户终端上传的身份信息;通过所述第一对称密钥对所述用户身份信息进行加密得到所述加密的身份信息;存储所述加密的身份信息。通过将第一对称密钥加密后的身份信息预存储在身份验证服务端,避免服务提供方将身份信息存储在本地,防止外部攻击者以及内部员工对身份信息的恶意窃取,进一步提高验证过程的安全性。
另外,所述接收所述用户终端上传的身份信息之后,还包括:根据哈希算法计算所述用户上传的身份信息的哈希值;将所述哈希值构建第一哈希树。通过计算身份信息的哈希值,构建第一哈希树,避免身份信息原文的存储,为验证结果的准确性做铺垫。
另外,所述审核请求中包括用户标识,所述根据所述身份信息依次对所述审核事项进行对照审核之前,还包括:在所述第一哈希树中查询与所述用户标识具有映射关系的第一哈希值;计算所述可读状态的身份信息的第二哈希值;判断所述第一哈希值与所述第二哈希值是否相同;若相同,则确认根据所述审核事项审核所述身份信息。通过计算可读状态身份信息的第二哈希值,将其第一哈希值进行对比,判断用户身份信息在获取过程中有没有被篡改,提高验证结果的准确性。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是根据本发明第一实施方式身份信息验证方法的流程示意图;
图2是根据本发明第二实施方式身份信息验证方法的流程示意图;
图3是根据本发明第二实施方式对应的系统结构示意图;
图4是根据本发明第三实施方式服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
本发明的第一实施方式涉及一种身份信息验证方法。本实施方式中,接受目标终端发送的审核请求,其中,审核请求通过可信通道传输,审核请求中包括表明用户身份信息的数字签名,所述数字签名由预设的目标私钥加密生成目标终端;根据预存储的目标公钥对审核请求进行鉴权;当鉴权通过后,向目标终端发送与审核请求对应的审核结果,以使目标终端将审核结果发送至需要进行身份验证的应用服务器完成身份验证,其中,审核结果中不包括用户身份信息。通过可信通道传输审核请求,确保身份信息处于安全的环境中,且审核请求包含加密的数字签名,在避免用户身份信息之间传输的同时,保证身份信息验证的可靠性提高了身份验证过程的隐私性和安全性。下面对本实施方式的身份信息验证方法的实现细节进行具体的说明,以下内容仅为方便理解提供的实现细节,并非实施本方案的必须。
本实施方式中的身份信息验证方法如图1所示,具体包括以下步骤:
步骤101,接受目标终端发送的审核请求。
具体地说,目标终端是指用户设备,本实施方式中,具体是用户设备中的身份验证客户端发送审核请求给身份验证服务端,身份验证服务端接收目标终端发送的审核请求。审核请求中包括表明用户身份信息的数字签名,该数字签名由预设的目标私钥加密生成。
在一个例子里,身份验证服务端为用户生成一对用户身份密钥,包括公钥与私钥,即非对称密钥,其中,公钥存储在身份验证服务端中,私钥发送给用户设备即目标终端,在进行身份验证时,用户终端通过私钥对用户身份信息进行加密,发送给身份验证服务器,作为用户身份的凭证。若身份验证服务端的公钥解密成功,则表示审核请求是由目标终端发送的,确保了验证过程的安全性以及身份验证的可靠性。
步骤102,根据预存储的目标公钥对审核请求进行鉴权。
具体地说,根据预存储的目标公钥对审核请求进行鉴权,包括:提取预存储的目标公匙,其中,目标公匙与目标私匙为一对非对称密钥;通过目标公匙对包括目标私钥的审核请求进行解密,若解密成功则鉴权通过;否则,则鉴权失败。由于身份验证服务端预存储有目标公钥,目标公钥只能解密目标私钥加密的审核请求,根据是否可以解密成功,判断审核请求是否经过目标终端的授权,从而判断是否继续身份验证的流程。
具体地说,审核请求中包括至少一个审核事项,审核事项可以包括是否成年等审核事项。具体地说,根据预存储的目标公钥对审核请求进行鉴权之后,包括:提取预存储用户的身份信息;若存在多项审核事项,则根据身份信息依次对审核事项进行对照审核;将审核结论依次写入预设的文档中生成审核结果。
在一个例子里,通过自动化身份验证依次按照审核事项对身份信息进行审核,可信自动化身份验证提供保证用户信息隐私的自动化身份验证功能,防止用户身份信息在验证过程中遭到攻击者、或者审核方内部员工的窃取。
在一个例子里,通过可信人工身份验证依次按照审核事项对身份信息进行审核,可信人工身份审核提供可信人工身份审核功能,允许审核方通过人工方法对目标身份信息进行审核。本发明能够保证人工审核的过程中,审核员无法对目标信息进行拷贝窃取,做到身份信息可审不可得。
步骤103,判断是否鉴权成功。
具体地说,若鉴权成功,则进入步骤104,若鉴权失败,则结束整个流程。
步骤104,向目标终端发送与审核请求对应的审核结果,以使目标终端将所述审核结果发送至需要进行身份验证的应用服务器完成身份验证,其中,审核结果中不包括用户身份信息。
具体地说,审核请求经过目标公钥解密并鉴权成功之后,根据审核请求包括的审核事项依次对预存储的用户身份信息进行对照审核,并生成审核结果,该审核结果就是与审核请求对应的审核结果,将审核结果发送给目标终端,为了避免用户身份信息的泄露,审核结果并不包括用户身份信息。
本实施方式能够提供可信可验证的身份审核结果,用户能够将该审核结果发送至具有同一验证需求的多家验证需求方,例如多家需要验证用户国籍的需求方,验证需求方能够直接获取该结构,从而无需用户再次提供身份信息进行身份验证。
本发明的第二实施方式涉及一种身份信息验证方法。第二实施方式与第一实施方式大致相同,主要区别之处在于:身份信息处于加密状态,根据身份信息依次对审核事项进行对照审核之前,包括:提取加密状态的身份信息,通过预设的第一对称密钥对加密的身份信息进行解密,得到可读状态的身份信息。避免在提取身份信息过程中,恶意方窃取户身份信息,进一步提升验证过程的安全性。
本实施方式中的身份信息验证方法如图2所示,步骤201至步骤203、步骤206与第一实施方式的步骤102至104相同,在此不做详细赘述,第一实施例的内容在本实施例中仍然有效,以下仅对不同的部分进行详细说明,本实施方式具体包括以下步骤:
步骤201,接受目标终端发送的审核请求。
步骤202,根据预存储的目标公钥对审核请求进行鉴权。
步骤203,判断是否鉴权成功。
步骤204,提取加密状态的身份信息。
具体地说,身份验证服务端与预存储有用户的身份信息,其中,用户身份信息处于加密状态,在接收目标终端发送的审核请求之前,用户身份信息已经被预设的第一对称密钥加密,具体步骤包括:接收用户上传的身份信息;通过第一对称密钥对用户上传的身份信息进行签名得到加密的身份信息;存储加密的身份信息。通过第一对称密钥对身份信息进行加密,将加密后的身份信息预存储在身份验证服务端,避免服务提供方将身份信息存储在本地,防止外部攻击者以及内部员工对身份信息的恶意窃取,进一步提高验证过程的安全性。
具体地说,本实施方式中,用户将个人身份信息传递给身份验证服务端,利用可信执行环境技术,本方法保证用户身份信息在审核过程中的隐私性。在用户终端上传身份信息之前,首先验证身份验证服务端的执行环境,确保目标服务逻辑运行在可信执行环境之中,确保服务端的服务代码是可信的身份审核代码。只有验证成功之后,用户客户端将与身份验证服务端建立起一个加密信道。
在一个例子里,接收用户终端上传的身份信息之后,还包括:根据哈希算法计算用户上传的身份信息的哈希值;将哈希值构建第一哈希树。通过计算用户身份信息的哈希值,构建哈希树,为验证结果的准确性做铺垫。计算身份信息的哈希值这一步骤可以在第一对称密钥加密的步骤之前,也可以在第一对称密钥加密的步骤之后,也可以同时进行。
步骤205,通过预设的第一对称密钥对加密的身份信息进行解密,得到可读状态的身份信息。
具体地说,第一对称密钥可以实现对身份信息的加密和解密的功能,对加密的身份信息进行解密后,得到的是身份信息原文,处于可读状态。
在一个例子里,审核请求中包括用户标识,在提取加密状态的身份信息之后,根据身份信息依次对审核事项进行对照审核之前,即向目标终端发送与审核请求对应的审核结果之前,还包括:在第一哈希树中查询与用户标识具有映射关系的第一哈希值;计算可读状态的身份信息的第二哈希值;判断第一哈希值与第二哈希值是否相同;若相同,则确认根据审核事项审核身份信息。通过计算可读状态身份信息的第二哈希值,将其第一哈希值进行对比,判断用户身份信息在获取过程中有没有被篡改,提高验证结果的准确性。其中,哈希值比较的步骤可以在第一对称密钥解密的步骤之前,也可以在第一对称密钥解密的步骤之后,也可以同时进行。
步骤206,向目标终端发送与审核请求对应的审核结果。
在一个例子里,向目标终端发送与审核请求对应的审核结果之后,包括:通过第二对称密钥对审核结果进行签名,得到加密的审核结果,并存储加密的审核结果;根据哈希算法计算审核结果的哈希值,将哈希值构建第二哈希树;将审核完成信息反馈给用户终端。通过在身份验证服务端存储加密的审核结果,以及构建第二哈希树,方便用户获取该审核结果。生成的一份审核结果能够被不同的应用服务方多次验证,避免重复的验证。
本实施方式中,审核结果发送给目标终端,用户若需要获取验证结果,需要进行以下步骤:
接收用户发起获取结果的请求:在完成上述用户身份信息验证流程之后,用户能够发起获取验证结果的请求,身份验证服务器接收用户发起获取结果的请求,用户请求包括用户标识、待获取的结果标识,请求本身被用户身份私钥签名。
验证身份密钥:身份验证服务端验证接受到的请求是否由指定用户的私钥进行签名,如果验证失败,那么本流程终止,如果验证成功,则进入后续步骤。
获取密文结果:身份验证服务端根据用户请求,在预存储的审核结果中查找与用户标识对应的审核结果,该审核结果处于加密状态。
解密审核结果:身份验证服务端获取审核结果对应的加密密码,之后解密审核结果。
验证审核结果:身份验证服务端计算审核结果的哈希值,并提取第二哈希树中与用户标识具有映射关系的哈希值,两个哈希值是否相同,从而验证解密后审核结果的完整性。
返回审核结果:通过与用户建立的可信通道,将审核结果返回至用户。
结果获取完成:至此,可信审核结果获取流程完成。
之后,上述目标终端之外的身份验证需求方需要验证该用户的身份信息时,用户可以直接提交上述获取的审核结果,并验证审核结果的可信度,从而在无需用户身份信息的情况下完成最终的身份检查。
可信审核结果验证流程如上图所示,其具体步骤如下:
接收审核结果:用户将获得的身份审核结果通过用户终端中的应用,发送给应用服务器,需要进行身份验证的应用服务器接收到用户发送的审核结果,该审核结果经过用户的私钥签名。
获取审核密钥,应用服务器接受到用户提交的身份审核结果之后,从身份验证服务端中获得审核结果验证公钥。
验证结果真实性:应用服务器通过获取的公钥验证解密该解密的审核结果,一个真实的审核结果应该由该公钥对应的私钥签名。如验证失败,则返回错误至用户,本流程终止。如何验证成功,则进入下一步骤。
结果验证:应用服务器验证用户审核结果是否符合要求,如用户是否成年。如验证失败,则返回错误至用户,本流程终止。如验证成功,则进入下一步骤。
继续应用服务:应用服务器运行应用服务逻辑,为用户提供服务。
结果验证完成:至此,可信审核结果验证流程完成。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
图3是根据本发明的系统结构示意图,包括用户设备、身份验证服务端、应用服务器即身份验证需求端,用户设备与身份验证服务端之间存在可信通道,保证用户设备与身份验证服务端的信号传输在安全的环境下进行。
用户设备归属普通用户,可以是用户的手机或者个人电脑,用户设备中存有用户身份信息如身份证照片等。其中主要有两个模块,应用以及身份验证客户端。
应用:用户设备中正常运行着大量的应用程序。用户在使用部分程序、或者程序的部分功能时需要进行身份验证。例如,用户作为卖家在淘宝开设店铺时需要进行本人的身份信息验证,需要提供本人手持身份证件的照片。
身份验证客户端:用户通过该客户端与身份验证服务端建立可信连接,并且向身份验证服务端发起身份信息上传、身份信息验证、审核结果获取等请求。对于身份信息上传,本客户端在验证完毕身份验证服务端之后,直接将用户信息进行上传。对于身份信息验证这一功能,本客户端能够根据应用的身份审核要求生成身份验证请求,例如游戏应用需审核用户是否成年。之后将该请求发送至身份验证服务端,并获得身份审核结果的对应标识。之后,本客户端能够通过该标识从身份验证服务端获取身份审核结果。本客户端可将获得的身份审核结果交由应用发送至应用服务器从而完成身份审核过程。
身份验证服务端归属于身份验证服务的提供方,用户通过用户设备将用户身份信息以及待验证内容交给身份验证服务端进行可信验证,一方面能够帮助存储用户身份信息,另一方面能够完成用户身份验证请求并生成可信身份审核结果。身份验证服务端包含了一个可信执行环境,运行在可行执行环境中的可信身份验证服务以及去中心化审核结果存储模块。
可信执行环境:一种现有的安全的应用运行环境,可以通过纯软件或者软硬件结合等不同方式实现。目前较为通用的可信执行环境主要基于虚拟化技术、ARM TrustZone(硬件安全扩展)技术以及Intel SGX(软件安全扩展,software guard extensions)技术。
可信执行环境可以视为一个黑盒。运行在黑盒中的程序、数据等均不会被黑盒外的应用,亦或是更高权限的操作系统所攻击。同时,Intel SGX(软件安全扩展,softwareguard extensions)技术甚至能够保证黑盒内的程序与数据能够抵御物理攻击,通过物理接触目标运行设备进行的攻击,如直接从内存与CPU间的总线中读取内存数据。
本发明利用可信执行环境保证身份信息审核过程中用户身份信息的安全性。一方面,在身份验证服务端的操作系统被攻破的情况下,保证身份信息的隐私性;另一方面,保证在身份验证服务端内部员工恶意的情况下,身份信息仍不被窃取。
可信身份验证服务具体包括6个模块:请求处理模块、自动化验证模块、人工审核模块、身份密钥管理模块、审核结果管理模块、以及安全存储模块,运行在可信执行环境中,以下是每个模块的具体介绍。
请求处理模块:接受来自用户终端中身份验证客户端的所有请求。本模块首先利用可信执行环境提供的远程验证功能,允许身份验证客户端与其建立一个可信通信通道。通信通道建立之后,本模块接受来自用户的三类请求:身份信息上传、身份信息验证以及审核结果获取。
自动化验证模块:处理用户的身份信息验证请求,验证请求中会包含用户身份信息,待验证条目等。本模块将首先通过安全存储模块获得事先存储好的用户身份信息。之后本模块将根据待验证条目逐一对用户身份信息进行验证,并生成一份身份审核结果。在整个自动化审核过程中,审核逻辑、待审核条目以及用户身份信息等均受到可信执行环境的保护。无论是黑客还是系统管理人员都无法在审核过程中对这些信息进行窃取。
人工审核模块:负责对用户身份信息的可信人工审核。本模块将接受来自用户的身份验证请求,包括用户身份信息以及待审核条目。与上述自动化验证模块类似,本模块首先从安全存储模块或用户处获得用户身份信息。之后,本模块通过可信执行环境提供的可信显示功能将用户信息直接显示给审核员进行审核。本模块适合用来进行对复杂身份信息的审核,例如,将用户手持身份证的照片交由审核员,审核用户是否与身份证信息是同一人,同时进一步审核用户是否成年等。在显示用户身份信息之前,本模块将通过可信数据水印技术,为所显示的信息打上水印,可信水印能够防止恶意的审核人员通过拍照等手段窃取用户身份信息。人工审核完成后,本模块通过可信执行环境支持的可信输入功能,获取人工审核结果(如通过、不通过等),从而生成一份身份审核结果。
身份密钥管理模块:本模块负责维护用户的身份密钥。当用户首次上传身份信息时,本模块将为用户生成一对唯一的非对称密钥,并作为用户之后访问上传信息的身份凭证。同时,该密钥也将作为用户之后获取可信审核结果的身份密钥。为了保护本模块中密钥的安全,本模块采用硬件根密钥,如Intel SGX(Software Guard Extensions,可信执行环境)提供的根密钥,对所有用户身份密钥进行加密,并采用哈希树的方法对密钥的完整性进行保护。
审核结果管理模块:本模块负责生成并管理所有可信用户身份审核结果。上述自动化验证模块与人工审核模块均会生成一个身份审核结果,并交给审核结果管理模块。而本模块会使用专门的审核结果认证私钥对该审核结果进行签名认证,并将该结果对应的审核流程记录在去中心化审核结果存储模块中。当用户需要获取审核结果时,本模块会通过身份密钥管理模块验证用户身份,通过后将审核结果返回至用户。
安全存储模块:本模块负责所有用户身份信息的存储。对于不同用户的身份信息,本模块将采用单独的加密密钥,同时使用哈希树的方式保证用户身份信息的完整性。本模块采用硬件根密钥加密所有的数据加密密钥,同时定期重新生成所有密钥。
身份验证服务端还包括一个运行在可信执行环境之外的去中心化审核结果存储模块,负责对加密后的可信审核结果的持久化存储,记录每次审核的日志,并且公布一个审核结果验证公钥。本模块通过区块链技术,构建了一个去中心化的、放篡改的存储系统。本模块将接受来自审核结果管理模块的请求,将加密后的审核结果以及本次结果的审核日志一同进行存储。
应用服务器负责为用户设备中的应用提供服务,在提供服务之前或者过程中,应用服务器需要验证用户的身份,如是否成年。本方法中,应用服务器包括两个模块:审核结果验证模块与服务应用。
审核结果验证模块:接受来自用户设备中应用程序发送的可信审核结果。本模块将首先验证可信审核结果的真实性,该结果必须拥有身份认证服务端的签名。审核结果验证公钥能够从身份验证服务端的去中心化审核结果存储模块中获得。之后,本模块验证审核结果是否符合服务应用的需求。验证通过后,本模块将通知服务应用,继续提供应用服务。
服务应用:运行于应用服务器中的应用程序,负责为用户应用提供所需的服务。
本发明第三实施方式涉及一种服务器,如图4所示,包括至少一个处理器301;以及,与至少一个处理器通信连接的存储器302;其中,存储器302存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述的身份信息验证方法。
其中,存储器302和处理器301采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
本发明第四实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种身份信息验证方法,其特征在于,包括:
接受目标终端发送的审核请求,其中,所述审核请求通过可信通道传输,所述审核请求中包括表明用户身份信息的数字签名,所述数字签名由预设的目标私匙加密生成;
根据预存储的目标公钥对所述审核请求进行鉴权;
当所述鉴权通过后,向所述目标终端发送与所述审核请求对应的审核结果,以使目标终端将所述审核结果发送至需要进行身份验证的应用服务器完成身份验证,其中,所述审核结果中不包括用户身份信息。
2.根据权利要求1所述的身份信息验证方法,其特征在于,所述审核请求中包括至少一个审核事项,所述根据预存储的目标公钥对所述审核请求进行鉴权之后,包括:
提取预存储用户的身份信息;
根据所述身份信息依次对所述审核事项进行对照审核;
将审核结论依次写入预设的文档中生成所述审核结果。
3.根据权利要求1所述的身份信息验证方法,其特征在于,所述根据预存储的目标公钥对所述审核请求进行鉴权,包括:
提取预存储的目标公匙,其中,所述目标公匙与所述目标私匙为一对非对称密钥;
通过所述目标公匙对所述审核请求进行解密,若解密成功则鉴权通过;否则,则鉴权失败。
4.根据权利要求2所述的身份信息验证方法,其特征在于,所述身份信息处于加密状态,所述根据所述身份信息依次对所述审核事项进行对照审核之前,包括:
提取加密状态的身份信息,通过预设的第一对称密钥对所述加密的身份信息进行解密,得到可读状态的身份信息。
5.根据权利要求4所述的身份信息验证方法,其特征在于,所述接受目标终端发送的审核请求之前,还包括:
接收所述用户上传的身份信息;
通过所述第一对称密钥对所述用户上传的身份信息进行签名得到所述加密的身份信息;
存储所述加密的身份信息。
6.根据权利要求5所述的身份信息验证方法,其特征在于,所述接收所述用户上传的身份信息之后,还包括:
根据哈希算法计算所述用户上传的身份信息的哈希值;
将所述哈希值构建第一哈希树。
7.根据权利要求6所述的身份信息验证方法,其特征在于,所述审核请求中包括用户标识,所述根据所述身份信息依次对所述审核事项进行对照审核之前,还包括:
在所述第一哈希树中查询与所述用户标识具有映射关系的第一哈希值;
计算所述可读状态的身份信息的第二哈希值;
判断所述第一哈希值与所述第二哈希值是否相同;
若相同,则确认根据所述审核事项审核所述身份信息。
8.根据权利要求1所述的身份信息验证方法,其特征在于,所述当所述鉴权通过后,向所述目标终端发送与所述审核请求对应的审核结果之后,包括:
通过第二对称密钥对所述审核结果进行签名,得到加密的审核结果,并存储所述加密的审核结果;
根据哈希算法计算所述审核结果的哈希值,将所述哈希值构建第二哈希树;
将审核完成信息反馈给所述用户终端。
9.一种服务器,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至8中任一所述的身份信息验证方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的身份信息验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911032036.7A CN110990827A (zh) | 2019-10-28 | 2019-10-28 | 一种身份信息验证方法、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911032036.7A CN110990827A (zh) | 2019-10-28 | 2019-10-28 | 一种身份信息验证方法、服务器及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110990827A true CN110990827A (zh) | 2020-04-10 |
Family
ID=70082624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911032036.7A Pending CN110990827A (zh) | 2019-10-28 | 2019-10-28 | 一种身份信息验证方法、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110990827A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111786779A (zh) * | 2020-06-18 | 2020-10-16 | 中国电子科技集团公司第三十研究所 | 一种新的可问责安全数据共享系统和方法 |
| CN112164220A (zh) * | 2020-09-22 | 2021-01-01 | 江西锦路科技开发有限公司 | 一种高速公路服务区拥堵监测及自动导引系统 |
| CN112507302A (zh) * | 2020-12-10 | 2021-03-16 | 支付宝(杭州)信息技术有限公司 | 基于密码模块执行的调用方身份鉴别方法及装置 |
| CN113312597A (zh) * | 2021-07-29 | 2021-08-27 | 北京微芯感知科技有限公司 | 数字身份验证方法、装置、系统、设备和存储介质 |
| CN113435858A (zh) * | 2021-07-09 | 2021-09-24 | 建信金融科技有限责任公司 | 基于区块链的广告数据处理方法、装置及系统 |
| CN113472544A (zh) * | 2021-08-31 | 2021-10-01 | 北京微芯感知科技有限公司 | 一种数字身份验证方法、装置、计算机设备和存储介质 |
| CN113536278A (zh) * | 2020-04-20 | 2021-10-22 | 深圳市江波龙电子股份有限公司 | 存储装置的鉴权方法及存储装置、鉴权端 |
| CN113572615A (zh) * | 2021-06-03 | 2021-10-29 | 北京邮电大学 | 分布式网络用户的身份验证方法及系统 |
| CN114639173A (zh) * | 2022-05-18 | 2022-06-17 | 国网浙江省电力有限公司 | 基于ocr技术的稽查佐证材料智能审核方法及装置 |
| CN114978783A (zh) * | 2022-08-02 | 2022-08-30 | 暗链科技(深圳)有限公司 | 零知识身份验证方法、验证客户端、用户客户端及系统 |
| CN115022004A (zh) * | 2022-05-27 | 2022-09-06 | 中国银行股份有限公司 | 数据处理方法、装置和服务器 |
| CN115118441A (zh) * | 2022-08-29 | 2022-09-27 | 中航信移动科技有限公司 | 一种基于区块链的身份验证系统 |
| CN115865522A (zh) * | 2023-02-10 | 2023-03-28 | 中航金网(北京)电子商务有限公司 | 信息传输的控制方法及装置、电子设备及存储介质 |
| CN116305330A (zh) * | 2023-05-22 | 2023-06-23 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
| CN117478427A (zh) * | 2023-12-26 | 2024-01-30 | 广东省能源集团贵州有限公司 | 网络安全数据处理方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090158043A1 (en) * | 2007-12-17 | 2009-06-18 | John Michael Boyer | Secure digital signature system |
| CN109951489A (zh) * | 2019-03-27 | 2019-06-28 | 深圳市网心科技有限公司 | 一种数字身份认证方法、设备、装置、系统及存储介质 |
| CN110046482A (zh) * | 2018-12-25 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 身份核实方法及其系统 |
-
2019
- 2019-10-28 CN CN201911032036.7A patent/CN110990827A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090158043A1 (en) * | 2007-12-17 | 2009-06-18 | John Michael Boyer | Secure digital signature system |
| CN110046482A (zh) * | 2018-12-25 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 身份核实方法及其系统 |
| CN109951489A (zh) * | 2019-03-27 | 2019-06-28 | 深圳市网心科技有限公司 | 一种数字身份认证方法、设备、装置、系统及存储介质 |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113536278B (zh) * | 2020-04-20 | 2023-10-13 | 深圳市江波龙电子股份有限公司 | 存储装置的鉴权方法及存储装置、鉴权端 |
| CN113536278A (zh) * | 2020-04-20 | 2021-10-22 | 深圳市江波龙电子股份有限公司 | 存储装置的鉴权方法及存储装置、鉴权端 |
| CN111786779B (zh) * | 2020-06-18 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 一种新的可问责安全数据共享系统和方法 |
| CN111786779A (zh) * | 2020-06-18 | 2020-10-16 | 中国电子科技集团公司第三十研究所 | 一种新的可问责安全数据共享系统和方法 |
| CN112164220A (zh) * | 2020-09-22 | 2021-01-01 | 江西锦路科技开发有限公司 | 一种高速公路服务区拥堵监测及自动导引系统 |
| CN112507302B (zh) * | 2020-12-10 | 2024-04-19 | 支付宝(杭州)信息技术有限公司 | 基于密码模块执行的调用方身份鉴别方法及装置 |
| CN112507302A (zh) * | 2020-12-10 | 2021-03-16 | 支付宝(杭州)信息技术有限公司 | 基于密码模块执行的调用方身份鉴别方法及装置 |
| CN113572615B (zh) * | 2021-06-03 | 2022-09-20 | 北京邮电大学 | 分布式网络用户的身份验证方法、系统、设备及存储介质 |
| CN113572615A (zh) * | 2021-06-03 | 2021-10-29 | 北京邮电大学 | 分布式网络用户的身份验证方法及系统 |
| CN113435858A (zh) * | 2021-07-09 | 2021-09-24 | 建信金融科技有限责任公司 | 基于区块链的广告数据处理方法、装置及系统 |
| CN113312597A (zh) * | 2021-07-29 | 2021-08-27 | 北京微芯感知科技有限公司 | 数字身份验证方法、装置、系统、设备和存储介质 |
| CN113472544A (zh) * | 2021-08-31 | 2021-10-01 | 北京微芯感知科技有限公司 | 一种数字身份验证方法、装置、计算机设备和存储介质 |
| CN114639173B (zh) * | 2022-05-18 | 2022-08-09 | 国网浙江省电力有限公司 | 基于ocr技术的稽查佐证材料智能审核方法及装置 |
| CN114639173A (zh) * | 2022-05-18 | 2022-06-17 | 国网浙江省电力有限公司 | 基于ocr技术的稽查佐证材料智能审核方法及装置 |
| CN115022004A (zh) * | 2022-05-27 | 2022-09-06 | 中国银行股份有限公司 | 数据处理方法、装置和服务器 |
| CN115022004B (zh) * | 2022-05-27 | 2024-04-16 | 中国银行股份有限公司 | 数据处理方法、装置和服务器 |
| CN114978783B (zh) * | 2022-08-02 | 2022-11-11 | 暗链科技(深圳)有限公司 | 零知识身份验证方法、验证客户端、用户客户端及系统 |
| CN114978783A (zh) * | 2022-08-02 | 2022-08-30 | 暗链科技(深圳)有限公司 | 零知识身份验证方法、验证客户端、用户客户端及系统 |
| CN115118441B (zh) * | 2022-08-29 | 2022-11-04 | 中航信移动科技有限公司 | 一种基于区块链的身份验证系统 |
| CN115118441A (zh) * | 2022-08-29 | 2022-09-27 | 中航信移动科技有限公司 | 一种基于区块链的身份验证系统 |
| CN115865522A (zh) * | 2023-02-10 | 2023-03-28 | 中航金网(北京)电子商务有限公司 | 信息传输的控制方法及装置、电子设备及存储介质 |
| CN115865522B (zh) * | 2023-02-10 | 2023-06-02 | 中航金网(北京)电子商务有限公司 | 信息传输的控制方法及装置、电子设备及存储介质 |
| CN116305330A (zh) * | 2023-05-22 | 2023-06-23 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
| CN116305330B (zh) * | 2023-05-22 | 2023-08-04 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
| CN117478427A (zh) * | 2023-12-26 | 2024-01-30 | 广东省能源集团贵州有限公司 | 网络安全数据处理方法及系统 |
| CN117478427B (zh) * | 2023-12-26 | 2024-04-02 | 广东省能源集团贵州有限公司 | 网络安全数据处理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| US8930700B2 (en) | Remote device secure data file storage system and method | |
| US8775794B2 (en) | System and method for end to end encryption | |
| KR102177848B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
| CN105743638B (zh) | 基于b/s架构系统客户端授权认证的方法 | |
| US10771441B2 (en) | Method of securing authentication in electronic communication | |
| US10263782B2 (en) | Soft-token authentication system | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| CN111954211B (zh) | 一种移动终端新型认证密钥协商系统 | |
| CN112396735B (zh) | 网联汽车数字钥匙安全认证方法及装置 | |
| US11424915B2 (en) | Terminal registration system and terminal registration method with reduced number of communication operations | |
| US8806216B2 (en) | Implementation process for the use of cryptographic data of a user stored in a data base | |
| CN111740995B (zh) | 一种授权认证方法及相关装置 | |
| US11431514B1 (en) | Systems for determining authenticated transmissions of encrypted payloads | |
| KR101856530B1 (ko) | 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| KR101868564B1 (ko) | 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 | |
| CN111541708B (zh) | 一种基于电力配电的身份认证方法 | |
| US10979226B1 (en) | Soft-token authentication system with token blocking after entering the wrong PIN | |
| JP2021111925A (ja) | 電子署名システム | |
| CN117792802B (zh) | 基于多系统交互的身份验证与应用访问控制方法及系统 | |
| CN110532741B (zh) | 个人信息授权方法、认证中心及服务提供方 | |
| CN116248280B (zh) | 免密钥发行的安全模组防盗用方法、安全模组及装置 | |
| CN116866093B (zh) | 身份认证方法、身份认证设备以及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |