CN111064574B - 数字证书生成方法、认证方法及电子设备 - Google Patents
数字证书生成方法、认证方法及电子设备 Download PDFInfo
- Publication number
- CN111064574B CN111064574B CN201811204592.3A CN201811204592A CN111064574B CN 111064574 B CN111064574 B CN 111064574B CN 201811204592 A CN201811204592 A CN 201811204592A CN 111064574 B CN111064574 B CN 111064574B
- Authority
- CN
- China
- Prior art keywords
- identity
- digital certificate
- related information
- user
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种数字证书生成方法、认证方法及电子设备,应用于信息处理技术领域,其中该方法包括:获取来自第一电子客户端的用户相关信息,然后向网络身份识别系统发送包括用户相关信息和第一电子客户端的第一应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第一身份标记,继而向数字证书认证机构发送包括用户相关信息、第一应用标识与第一身份标记的数字证书申请请求,并接收数字证书认证机构签发的身份标记数字证书,即数字证书中记载的是网络身份识别系统基于用户相关信息反馈的身份标记信息,而不是身份相关信息的明文,从而提升了用户相关信息保护的可靠性。
Description
技术领域
本申请涉及信息处理技术领域,具体而言,本申请涉及一种数字证书生成方法、认证方法及电子设备。
背景技术
随着电子商务、电子政务等的蓬勃发展,人们的生产和生活与互联网的联系愈加紧密,例如在电子商务方面,交易双方无需见面,所有的交易在网上即可完成,互联网使得交易活动变得更加方便、快捷,而如何验证互联网各方的身份成为一个关键问题,由于通过数字证书可以验证互联网用户的身份,使得基于数字证书的电子认证业务得到快速的推广。
数字证书是指为证实数字签章使用人身份、由认证机构制作的数据电文,数字证书中携带有用户身份、公钥等信息,根据现有技术,用户的身份信息以明文形式记载在数字证书中,然而,根据现有的数字证书中身份信息的记载方式,数字证书中携带的是身份信息的明文,即申请者的身份信息如姓名:张三、身份证号:4111211xxxxxxxxxx等信息是以明文形式记载在数字证书中的,不利于用户身份信息的保护。
发明内容
本申请提供了一种数字证书生成方法、认证方法及电子设备,用于提升用户身份信息保护的可靠性,本申请采用的技术方案如下:
第一方面,提供了一种数字证书生成方法,该方法包括:
获取来自第一电子客户端的用户相关信息;
向网络身份识别系统发送包括用户相关信息和第一电子客户端的第一应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第一身份标记,第一应用标识为网络身份识别系统为每个电子客户端分配的唯一的标识值;
向数字证书认证机构发送包括用户相关信息、第一应用标识与第一身份标记的数字证书申请请求,并接收数字证书认证机构签发的身份标记数字证书。
第二方面,提供了一种数字证书生成方法,该方法包括:
接收数字证书申请请求,数字证书申请请求包括用户相关信息、电子客户端的第一应用标识与第一身份标记;
基于第一应用标识验证电子客户端的合法性;
如果验证结果为合法,则签发身份标记数字证书。
第三方面,提供了一种基于身份标记数字证书的认证方法,该方法包括:
获取用户相关信息;
获取来自身份标记数字证书载体发送的身份标记数字证书,并对身份标记证书进行解析得到第一应用标识及第一身份标记;
向网络身份识别系统发送包括用户相关信息、第二电子客户端的第二应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第二身份标记,以及向网络身份识别系统发送包括第一身份标记、第一应用标识、第二应用标识的身份标记转换请求,并接收网络身份识别系统反馈的第三身份标记;
验证第二身份标记与第三身份标记是否一致,如果验证结果为一致,则身份认证通过。
第四方面,提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中一个或多个应用程序被存储在存储器中并被配置为由一个或多个处理器执行,一个或多个程序配置用于执行第一方面所示的数字证书生成方法。
第五方面,提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中一个或多个应用程序被存储在存储器中并被配置为由一个或多个处理器执行,一个或多个程序配置用于执行第二方面所示的数字证书生成方法。
第六方面,提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中一个或多个应用程序被存储在存储器中并被配置为由一个或多个处理器执行,一个或多个程序配置用于执行第三方面所示的基于身份标记数字证书的认证方法。
第七方面,提供了一种计算机可读存储介质,计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机可以执行第一方面所示的数字证书生成方法。
第八方面,提供了一种计算机可读存储介质,计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机可以执行第二方面所示的数字证书生成方法。
第九方面,提供了一种计算机可读存储介质,计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机可以执行第三方面所示的基于身份标记数字证书的认证方法。
本申请实施例提供了一种数字证书生成方法、认证方法及电子设备,与现有技术的数字证书中记载的是明文的身份信息相比,本申请通过获取来自第一电子客户端的用户相关信息,然后向网络身份识别系统发送包括用户相关信息和第一电子客户端的第一应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第一身份标记,其中第一应用标识为网络身份识别系统为每个电子客户端分配的唯一的标识值,继而向数字证书认证机构发送包括用户相关信息、第一应用标识与第一身份标记的数字证书申请请求,并接收数字证书认证机构签发的身份标记数字证书,即数字证书中记载的是网络身份识别系统基于用户相关信息反馈的身份标记信息,而不是身份相关信息的明文,从而提升了用户相关信息保护的可靠性。
本申请附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例的一种数字证书生成方法的流程示意图;
图2为本申请实施例的另一种数字证书生成方法的流程示意图;
图3为本申请实施例提供的一种数字证书生成方法的一个示例图;
图4为本申请实施例提供的一种基于身份标记数字证书的认证方法的流程示意图;
图5为本申请实施例提供的一种基于身份标记数字证书的认证方法的示例图;
图6为本申请实施例的一种电子设备的结构示意图;
图7为本申请实施例的另一种电子设备的结构示意图;
图8为本申请实施例的另一种电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,各实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本申请的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
实施例一
本申请实施例提供了一种数字证书生成方法,如图1所示,该方法可以包括以下步骤:
步骤S101,获取来自第一电子客户端的用户相关信息;
对于本申请实施例,获取来自第一客户端的用户相关信息,其中,本申请实施例中的第一电子客户端用于为申请身份标记数字证书提供用户相关信息录入等服务的客户端,其中,可以为每个第一电子客户端分配至少一个网点管理员,网点管理员在核实数字证书申请者提交的用户相关信息材料的真实性后,可以通过电子客户端发送相应的申请请求,其中申请请求中携带有申请者的用户相关信息,该用户相关信息可以是某一公民的姓名、身份证号,也可以是相应的设备信息,如设备ID等。
步骤S102,向网络身份识别系统发送包括用户相关信息和第一电子客户端的第一应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第一身份标记,第一应用标识为网络身份识别系统为每个电子客户端分配的唯一的标识值;
对于本申请实施例,向网络身份识别系统发送包括用户相关信息以及第一电子客户端第一应用标识的信息以发起身份标记申请请求,并接收网络标识系统响应与身份标记申请请求而反馈的身份标记。
其中,网络身份识别系统不限于公安部的公民网络身份识别系统,可以是其他中心化的标识管理系统,网络身份识别系统可以为公民、企业、设备、邮件等数据主体签发xID,用于标识这些数据主体,实现信息的保护,其中xID是以密码技术为基础,由“公安部公民网络身份识别系统”产生的标记,能够在数据存储与流通中实现数据主体的去标识化,保护个人信息及敏感信息。
其中,身份标记是网络身份识别系统基于用户相关信息而生成的,不限于公民的身份标记,可以是其他实体的身份标记。
其中,网络身份识别系统为每个电子客户端分配了唯一的应用标识用于标识该电子客户端。
步骤S103,向数字证书认证机构发送包括用户相关信息、第一应用标识与第一身份标记的数字证书申请请求,并接收数字证书认证机构签发的身份标记数字证书。
对于本申请实施例,在获取身份标记后,向数字证书认证机构发送包括用户相关信息、第一应用标识以及第一身份标记的信息以发起数字证书申请请求,并接收数字证书认证机构响应于数字证书申请请求而反馈的身份标记数字证书。
其中,数字证书是网络世界中的身份证,可以在网络世界中为互不见面的用户建立安全可靠的信任关系,这种信任关系的建立则源于PKI/CA认证中心,构建安全的PKI/CA认证中心是至关重要的,数字证书认证机构包括CA中心,CA中心是国家认可的权威、可信、公正的第三方机构,专门负责发放并管理所有参与网上业务的实体所需的数字证书。其中,数字证书的DN格式可以为CN=xID@NAMEABCD......60WORD,OU=xID@NUMBER......60WORD,OU=应用ID,其中,CN=,OU=为数字证书通用格式,xID@为标识符,xID@开头的为用户相关信息的编码值。例如,张三在第一应用的xID值为zs1234,签发证书名称为:CN=xID@zs1234,OU=ID1......,其中ID1为身份识别系统分配的第一应用独有的应用编号。如果张三在第二应用的xID为zs456,需要签发证书,证书的名称为:CN=xID@zs456,OU=ID2......,其中ID2为身份识别系统分配的第二应用独有的应用编号。以上仅是示例性的,不构成对本申请的限制,也可以是能够实现本申请的其他方法。
本申请实施例提供了一种数字证书生成方法,与现有技术的数字证书中记载的是明文的身份信息相比,本申请实施例通过获取来自第一电子客户端的用户相关信息,然后向网络身份识别系统发送包括用户相关信息和第一电子客户端的第一应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第一身份标记,其中第一应用标识为网络身份识别系统为每个电子客户端分配的唯一的标识值,继而向数字证书认证机构发送包括用户相关信息、第一应用标识与第一身份标记的数字证书申请请求,并接收数字证书认证机构签发的身份标记数字证书,即数字证书中记载的是网络身份识别系统反馈的身份标记信息而不是身份信息的明文,提升了用户身份信息保护的可靠性。
本申请实施例提供了另一种可能的实现方式,其中,步骤S101之后还包括步骤S104(图中未示出),步骤S102包括步骤S1021(图中未示出),
步骤S104,对用户相关信息进行组装,得到组装后的用户相关信息;
步骤S1021,向网络身份识别系统发送包括组装后的用户相关信息和电子客户端的第一应用标识的身份标记申请请求。
其中,组装后的用户相关信息包括至少一组ID类型及ID值。
其中,第一身份标记是网络身份识别系统基于至少一组ID类型及ID值、以及电子客户端的第一应用标识生成的。
例如,接收到公民甲的身份证号:4111211xxxxxxxxxxx的用户相关信息,对该用户相关信息进行组装,确定其ID类型为0001,ID值4111211xxxxxxxxxxx;接收到某企业乙的社会统一信用代码:91371502MA3DHUQR57的用户相关信息,确定其ID类型为0032,ID值为91371502MA3DHUQR57。
对于本申请实施例,获取用户相关信息之后,对用户相关信息进行相应的组装,组装操作放到后台系统进行,减少了前台(电子客户端)的操作,有利于提高前台工作的效率,此外,对用户相关信息进行组装,可以保证后续操作时与其他平台对于用户相关信息要求相衔接。
实施例二
本申请实施例提供了另一种数字证书的生成方法,如图2所示,包括,
步骤S201,接收数字证书申请请求,数字证书申请请求包括用户相关信息、电子客户端的第一应用标识与第一身份标记;
步骤S202,基于第一应用标识验证电子客户端的合法性;
步骤S203,如果验证结果为合法,则签发身份标记数字证书。
对于本申请实施例,接收包含用户相关信息、电子客户端的第一应用标识与第一身份标记的数字证书请求,在数据库中查询第一应用标识对应的电子客户端是否有相应的数字证书申请权限,如果电子客户端有相应的数字证书申请权限,则签发数字证书。
对于本申请实施例,当接收到数字证书申请请求时,通过第一应用标识验证电子客户端是否合法,如果合法,则签发数字身份标记数字证书,解决了数字证书的签发问题。
图3示出了数字证书生成过程的一个具体示例,下面参照图3对实施例一和实施例二所示的数字证书生成方法的原理进行介绍:
步骤S301,网点管理员审核用户提交的身份相关信息材料,审核通过后,输入账号、密码登陆电子客户端;
步骤S302,登陆成功后,电子客户端获取网点管理员输入的用户相关信息,并向后台系统提交用户相关信息以及第一应用标识,其中,用户相关信息可以是用户姓名、用户证件类型、证件号码等,其中,应用标识为网络身份识别系统为电子客户端分配的唯一应用ID;
步骤S303,后台系统基于接收到的用户相关信息及第一应用标识,向网络身份识别系统发起包括用户相关信息及第一应用标识的身份标记申请请求;其中,后台系统也可以对接收到的用户相关信息进行组装后再发起包括用户相关信息及第一应用标识的身份标记申请请求;
步骤S304,网络身份识别系统基于接收到的用户相关信息及第一应用标识生成第一身份标记,并向后台系统反馈生成的第一身份标记;
步骤S305,后台系统发起包括用户相关信息、第一应用标识及第一身份标记的数字证书申请请求;
步骤S306,数字证书认证机构响应于后台系统的数字证书申请请求,生成身份标记数字证书,并向后台系统反馈生成的身份标记数字证书,其中,数字证书认证机构也可以验证电子客户端是否具有相应的申请权限,如果有相应的申请权限,则生成身份标记数字证书并向后台系统反馈身份标记数字证书;
步骤S307,后台系统接收数字证书认证机构反馈的身份标记数字证书,并向电子客户端转发接收到的身份标记数字证书;
步骤S308,电子客户端制作身份标记数字证书;
步骤S309,网点管理员获取身份标记数字证书,并向用户发放身份标记数字证书。
实施例三
基于同一发明构思,本申请实施例提供了一种基于身份标记数字证书的认证方法,如图4所示,包括,
步骤S401,获取用户相关信息;
对于本申请实施例,获取用户通过相应终端设备输入的用户相关信息,其中,用户相关信息可以是用户的身份证号。
步骤S402,获取来自身份标记数字证书载体发送的身份标记数字证书,并对身份标记数字证书进行解析得到第一应用标识及第一身份标记;
对于本申请实施例,身份标记数字证书载体可以是USBkey(又称U盾),也可以是能实现本申请功能的其他形式的载体,在此不做限定。
步骤S403,向网络身份识别系统发送包括用户相关信息、第二电子客户端的第二应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第二身份标记,以及向网络身份识别系统发送包括第一身份标记、第一应用标识以及第二应用标识的身份标记转换请求,并接收网络身份识别系统反馈的第三身份标记;
对于本申请实施例,网络身份识别系统为同一个用户在不同的应用分配的身份标记不同,即同一用户在不同应用的身份标记的编码可以不相同。通过向网络身份识别系统发送包括用户相关信息、第二电子客户端的第二应用标识的信息用于申请用户在第二电子客户端的身份标记,其中第二电子客户端可以是具体的应用的客户端。以及通过向网络身份识别系统发送包括第一身份标记、第一应用标识与第二应用标识的身份转换标记请求,并接收网络身份识别系统响应于身份标记转换请求而反馈的第三身份标记。
步骤S404,验证第二身份标记与第三身份标记是否一致,如果验证结果为一致,则身份认证通过。
对于本申请实施例,网络身份识别系统为同一用户在同一应用上分配的身份标记是相同的,通过验证第二身份标记与第三身份标记是否一致,若果验证结果为一致,则实名认证的身份认证通过。
对于本申请实施例,通过获取基于用户输入的用户相关信息与第二应用标识生成的第二身份标记,以及基于通过身份标记数字证书解析得到的第一身份标记、第一应用标识与第二应用标识进行身份标记转换得到的第三身份标记,基于第二身份标记与第三身份标记的比对结果,可以实现对用户的相关信息的实名认证。
具体地,步骤S402的获取来自身份标记数字证书载体发送的身份标记数字证书,包括,
步骤S4021(图中未示出),获取身份标记数字证书载体对用户相关信息的签名信息;
步骤S4022(图中未示出),基于用户相关信息的签名信息,验证身份标记数字证书的合法性;
步骤S402的对身份标记数字证书进行解析得到第一应用标识及第一身份标记,包括:
步骤S4023(图中未示出),如果身份标记数字证书的验证结果为合法,对身份标记证书进行解析得到第一应用标识及第一身份标记。
对于本申请实施例,获取身份标记数字证书载体对用户相关信息进行签名后的签名信息,并通过签名信息验证身份标记数字证书的合法性,如果身份标记数字证书的验证结果为合法,则对身份标记数字证书进行解析,可以提取得到第一应用标识及第一身份标记,其中,签名可以是身份标记数字证书载体基于非对称加密技术利用其携带的私钥对待签原文(即用户相关信息)进行加密,其中,验证身份标记数字证书合法性指验证是否是基于该身份标记数字证书发起的相应操作。
对于本申请实施例,获取身份标记数字证书载体对用户相关信息的签名信息,通过该签名信息,实现验证是否是基于该身份标记数字证书发起的相应操作。
具体地,步骤S4021,包括:
步骤S40211(图中未示出),向身份标记数字证书载体发送用户输入的密码以激活载体,载体包含私钥信息;
步骤S40212(图中未示出),向身份标记数字证书载体发送基于用户相关信息的签名请求;
步骤S40213(图中未示出),接收身份标记数字证书载体反馈的基于私钥对用户相关信息的签名信息。
例如,向USBkey(身份标记数字证书载体)发送用户通过终端设备输入的密码,如果输入的该密码与该USBkey用户设置的密码一致,则可以激活USBkey,然后向USBkey发送包括用户相关信息的签名请求,并接收USBkey用私钥对用户相关信息进行加密后的签名信息。
对于本申请实施例,通过向身份标记数字证书载体发送用户输入的密码以激活身份标记数字证书载体,并接收身份标记数字证书载体响应与签名请求而反馈的签名信息,从而解决了用户相关信息的签名信息的获取问题。
具体地,步骤S403中的第三身份标记是网络身份识别系统根据第一身份标记、第一应用标识与第二应用标识进行转换得到的。
对于本申请实施例,第三身份标记是网络身份识别系统基于第一应用标识与第二应用标识对第一身份标记进行相应的转换操作得到的。其中,得到第三身份标记的转换操作可以是通过如下方式实现的:网络身份识别系统判断接收到的第一应用编号的合法性,如果合法,网络身份识别系统对第一身份标记进行加密解密等密码运算,将其第一应用编号替换为第二应用编号,然后,再进行相应的密码运算,得到第三身份标记,以上仅是示例性的,相应的转换操作也可以是能实现本申请功能的其他方式或步骤。
图5示出了基于身份标记数字证书的认证方法的过程的一个具体示例,下面参照图5对实施例三所示的基于身份标记数字证书的认证方法的原理进行介绍。
步骤S501,用户输入用户相关信息,其中用户相关信息可以是用户姓名、身份证号等;
步骤S502,应用客户端获取用户输入的用户相关信息,并发送至身份标记数字证书载体,其中,可以获取用户输入的密码并发送至身份标记数字证书载体以激活身份标记数字证书载体;
步骤S503,身份标记数字证书载体接收用户相关信息,以私钥对用户相关信息进行签名,并向应用客户端发送签名信息、身份标记数字证书;
步骤S504,应用客户端接收身份标记数字证书载体发送的签名信息、身份标记数字证书,并将用户相关信息、签名信息以及身份标记数字证书提交应用后台系统;
步骤S505,应用后台系统以身份标记数字证书携带的公钥对签名进行验证,如果验证成功,以验证身份标记数字证书的合法性;
步骤S506,应用后台系统向网络身份识别系统发送包括用户相关信息、第二应用标识的身份标记申请请求;
步骤S507,网络身份识别系统接收应用后台系统发送的包括用户相关信息、第二应用标识的身份标记申请请求,并基于用户相关信息、第二应用标识生成第二身份标记,将第二身份标记反馈给应用后台系统;
步骤S508,应用后台系统接收网络身份识别系统反馈的第二身份标记,向网络身份识别系统发送包括第一身份标记、第一应用标识以及第二应用标识的身份标记转换请求,其中第一身份标记、第一应用标识是通过对身份标记数字证书进行解析得到的;
步骤S509,网络身份识别系统接收应用后台系统发送的包括第一身份标记、第一应用标识以及第二应用标识的身份标记转换请求,并基于第一应用标识以及第二应用标识对第一身份标记进行转换得到第三身份标记,将第三身份标记反馈给应用后台系统;
步骤S510,应用后台系统接收网络身份识别系统反馈的第三身份标记,并比对第二身份标记与第三身份标记是否一致,其中,如果比对结果为一致则代表认证成功;
步骤S511,应用后台系统向应用客户端返回比对结果;
步骤S512,应用客户端接收应用后台系统返回的比对结果,并将比对结果向用户进行显示。
实施例四
本申请实施例提供了一种电子设备,如图6所示,图6所示的电子设备60包括:处理器6001和存储器6003。其中,处理器6001和存储器6003相连,如通过总线6002相连。进一步地,电子设备60还可以包括收发器6004。需要说明的是,实际应用中收发器6004不限于一个,该电子设备60的结构并不构成对本申请实施例的限定。
其中,处理器6001应用于本申请实施例中,用于执行实施例一所示的数字证书生成方法。收发器6004包括接收机和发射机。
处理器6001可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器6001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线6002可包括一通路,在上述组件之间传送信息。总线6002可以是PCI总线或EISA总线等。总线6002可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器6003可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器6003用于存储执行本申请方案的应用程序代码,并由处理器6001来控制执行。处理器6001用于执行存储器6003中存储的应用程序代码,以执行实施例一所示的数字证书生成方法。
本申请实施例提供了一种电子设备,与现有技术的数字证书中记载的是明文的身份信息相比,本申请实施例通过获取来自第一电子客户端的用户相关信息,然后向网络身份识别系统发送包括用户相关信息和第一电子客户端的第一应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第一身份标记,其中第一应用标识为网络身份识别系统为每个电子客户端分配的唯一的标识值,继而向数字证书认证机构发送包括用户相关信息、第一应用标识与第一身份标记的数字证书申请请求,并接收数字证书认证机构签发的身份标记数字证书,即数字证书中记载的是网络身份识别系统反馈的身份标记信息而不是身份信息的明文,提升了用户身份信息保护的可靠性。
本申请实施例提供了一种电子设备适用于实施例一所示的方法。在此不再赘述。
实施例五
本申请实施例提供了另一种电子设备,如图7所示,图7所示的电子设备70包括:处理器7001和存储器7003。其中,处理器7001和存储器7003相连,如通过总线7002相连。进一步地,电子设备70还可以包括收发器7004。需要说明的是,实际应用中收发器7004不限于一个,该电子设备70的结构并不构成对本申请实施例的限定。
其中,处理器7001应用于本申请实施例中,用于执行实施例二所示的数字证书生成方法。收发器7004包括接收机和发射机。
处理器7001可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器7001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线7002可包括一通路,在上述组件之间传送信息。总线7002可以是PCI总线或EISA总线等。总线7002可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器7003可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器7003用于存储执行本申请方案的应用程序代码,并由处理器7001来控制执行。处理器7001用于执行存储器7003中存储的应用程序代码,以执行实施例二所示的数字证书生成方法。
本申请实施例提供了一种电子设备,当接收到数字证书申请请求时,通过第一应用标识验证电子客户端是否合法,如果合法,则签发数字身份标记数字证书,解决了数字证书的签发问题。
本申请实施例提供了一种电子设备适用于实施例二所示的方法。在此不再赘述。
实施例六
本申请实施例提供了一种电子设备,如图8所示,图8所示的电子设备80包括:处理器8001和存储器8003。其中,处理器8001和存储器8003相连,如通过总线8002相连。进一步地,电子设备80还可以包括收发器8004。需要说明的是,实际应用中收发器8004不限于一个,该电子设备80的结构并不构成对本申请实施例的限定。
其中,处理器8001应用于本申请实施例中,用于执行实施例三所示的基于身份标记数字证书的认证方法。收发器8004包括接收机和发射机。
处理器8001可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器8001也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线8002可包括一通路,在上述组件之间传送信息。总线8002可以是PCI总线或EISA总线等。总线8002可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器8003可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器8003用于存储执行本申请方案的应用程序代码,并由处理器8001来控制执行。处理器8001用于执行存储器8003中存储的应用程序代码,以执行实施例三所示的基于身份标记数字证书的认证方法。
本申请实施例提供了一种电子设备,通过获取基于用户输入的用户相关信息与第二应用标识生成的第二身份标记,以及基于通过身份标记数字证书解析得到的第一身份标记、第一应用标识与第二应用标识进行身份标记转换得到的第三身份标记,基于第二身份标记与第三身份标记的比对结果,可以实现对用户的相关信息的实名认证。
本申请实施例提供了一种电子设备适用于实施例三所示的方法。在此不再赘述。
实施例七
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现实施例一所示的数字证书生成方法。
本申请实施例提供了一种计算机可读存储介质,与现有技术的数字证书中记载的是明文的身份信息相比,本申请实施例通过获取来自第一电子客户端的用户相关信息,然后向网络身份识别系统发送包括用户相关信息和第一电子客户端的第一应用标识的身份标记申请请求,并接收网络身份识别系统反馈的第一身份标记,其中第一应用标识为网络身份识别系统为每个电子客户端分配的唯一的标识值,继而向数字证书认证机构发送包括用户相关信息、第一应用标识与第一身份标记的数字证书申请请求,并接收数字证书认证机构签发的身份标记数字证书,即数字证书中记载的是网络身份识别系统反馈的身份标记信息而不是身份信息的明文,提升了用户身份信息保护的可靠性。
本申请实施例提供了一种计算机可读存储介质适用于实施例一所示的方法。在此不再赘述。
实施例八
本申请实施例提供了另一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现实施例二所示的数字证书生成方法。
本申请实施例提供了一种计算机可读存储介质,当接收到数字证书申请请求时,通过第一应用标识验证电子客户端是否合法,如果合法,则签发数字身份标记数字证书,解决了数字证书的签发问题。
本申请实施例提供了一种计算机可读存储介质适用于实施例二所示的方法。在此不再赘述。
实施例九
本申请实施例提供了另一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现实施例三所示的基于身份标记数字证书的认证方法。
本申请实施例提供了一种计算机可读存储介质,通过获取基于用户输入的用户相关信息与第二应用标识生成的第二身份标记,以及基于通过身份标记数字证书解析得到的第一身份标记、第一应用标识与第二应用标识进行身份标记转换得到的第三身份标记,基于第二身份标记与第三身份标记的比对结果,可以实现对用户的相关信息的实名认证。
本申请实施例提供了一种计算机可读存储介质适用于实施例三所示的方法。在此不再赘述。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (16)
1.一种数字证书生成方法,由后台系统执行,其特征在于,包括:
获取来自第一电子客户端的用户相关信息;
向网络身份识别系统发送包括所述用户相关信息和所述第一电子客户端的第一应用标识的身份标记申请请求,并接收所述网络身份识别系统反馈的第一身份标记,所述第一应用标识为所述网络身份识别系统为每个电子客户端分配的唯一的标识值;
向数字证书认证机构发送包括所述用户相关信息、所述第一应用标识与所述第一身份标记的数字证书申请请求,并接收所述数字证书认证机构签发的身份标记数字证书;
所述第一身份标记由所述网络身份识别系统基于所述用户相关信息生成。
2.根据权利要求1所述的数字证书生成方法,其特征在于,所述获取来自电子客户端的用户相关信息之后,还包括:
对所述用户相关信息进行组装,得到组装后的用户相关信息;
所述向网络身份识别系统发送包括所述用户相关信息和所述电子客户端的第一应用标识的身份标记申请请求,包括:
向所述网络身份识别系统发送包括所述组装后的用户相关信息和所述电子客户端的第一应用标识的身份标记申请请求。
3.根据权利要求2所述的数字证书生成方法,其特征在于,所述组装后的用户相关信息包括至少一组ID类型及ID值。
4.根据权利要求3所述的数字证书生成方法,其特征在于,所述第一身份标记是所述网络身份识别系统基于至少一组ID类型及ID值、以及电子客户端的第一应用标识生成的。
5.一种数字证书生成方法,由数字认证机构执行,其特征在于,包括:
接收后台系统的数字证书申请请求,所述数字证书申请请求包括用户相关信息、电子客户端的第一应用标识与第一身份标记;
基于所述第一应用标识验证所述电子客户端的合法性;
如果验证结果为合法,则签发身份标记数字证书;
所述第一身份标记由网络身份识别系统基于所述用户相关信息生成;
所述基于所述第一应用标识验证所述电子客户端的合法性,包括:
在数据库中查询所述第一应用标识对应的电子客户端是否有相应的数字证书申请权限,如果电子客户端有相应的数字证书申请权限,则签发数字证书。
6.一种基于身份标记数字证书的认证方法,由应用后台系统执行,其特征在于,包括:
获取用户相关信息;
获取来自身份标记数字证书载体发送的身份标记数字证书,并对所述身份标记数字证书进行解析得到第一应用标识及第一身份标记;
向网络身份识别系统发送包括所述用户相关信息和第二电子客户端的第二应用标识的身份标记申请请求,并接收所述网络身份识别系统反馈的第二身份标记,以及向所述网络身份识别系统发送包括所述第一身份标记、第一应用标识与第二应用标识的身份标记转换请求,并接收所述网络身份识别系统反馈的第三身份标记;
验证所述第二身份标记与所述第三身份标记是否一致,如果验证结果为一致,则用户的身份认证通过;
所述第一身份标记由所述网络身份识别系统基于所述用户相关信息生成;
所述获取用户相关信息,包括:
获取用户通过相应终端设备输入的用户相关信息。
7.根据权利要求6所述的认证方法,其特征在于,所述获取来自身份标记数字证书载体发送的身份标记数字证书,包括:
获取所述身份标记数字证书载体对所述用户相关信息的签名信息;
基于所述用户相关信息的签名信息,验证所述身份标记数字证书的合法性;
所述对所述身份标记数字证书进行解析得到第一应用标识及第一身份标记,包括:
如果所述身份标记数字证书的验证结果为合法,对所述身份标记数字证书进行解析得到第一应用标识及第一身份标记。
8.根据权利要求7所述的认证方法,其特征在于,所述获取所述身份标记数字证书载体对所述用户相关信息的签名信息,包括:
向所述身份标记数字证书载体发送用户输入的密码以激活所述载体,所述载体包含私钥信息;
向所述身份标记数字证书载体发送基于所述用户相关信息的签名请求;
接收所述身份标记数字证书载体反馈的基于私钥对所述用户相关信息的签名信息。
9.根据权利要求7所述的认证方法,其特征在于,所述基于所述用户相关信息的签名信息,验证所述身份标记数字证书的合法性,包括:
基于所述身份标记数字证书中携带的公钥,对所述用户相关信息的签名进行验证;
如果验证成功,则所述身份标记数字证书合法。
10.根据权利要求6至9任一项所述的认证方法,其特征在于,所述第三身份标记是所述网络身份识别系统根据所述第一身份标记、第一应用标识和第二应用标识进行转换得到的。
11.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序配置用于:执行根据权利要求1至权利要求4任一项所述的数字证书生成方法。
12.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序配置用于:执行根据权利要求5所述的数字证书生成方法。
13.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序配置用于:执行根据权利要求6至10任一项权利要求所述的基于身份标记数字证书的认证方法。
14.一种计算机可读存储介质,其特征在于,所述计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机可以执行上述权利要求1至权利要求4任一项所述的数字证书生成方法。
15.一种计算机可读存储介质,其特征在于,所述计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机可以执行上述权利要求5所述的数字证书生成方法。
16.一种计算机可读存储介质,其特征在于,所述计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机可以执行上述权利要求6至10任一项权利要求所述的基于身份标记数字证书的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811204592.3A CN111064574B (zh) | 2018-10-16 | 2018-10-16 | 数字证书生成方法、认证方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811204592.3A CN111064574B (zh) | 2018-10-16 | 2018-10-16 | 数字证书生成方法、认证方法及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111064574A CN111064574A (zh) | 2020-04-24 |
| CN111064574B true CN111064574B (zh) | 2023-01-10 |
Family
ID=70296663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811204592.3A Active CN111064574B (zh) | 2018-10-16 | 2018-10-16 | 数字证书生成方法、认证方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111064574B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491836B (zh) * | 2020-11-16 | 2022-04-22 | 新华三技术有限公司合肥分公司 | 通信系统、方法、装置及电子设备 |
| CN112738106B (zh) * | 2020-12-29 | 2022-06-24 | 合肥达朴汇联科技有限公司 | 一种区块链匿名用户审计系统 |
| CN115941217B (zh) * | 2021-08-17 | 2024-03-29 | 中金金融认证中心有限公司 | 用于安全通信的方法和其相关产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
| CN107835176A (zh) * | 2017-11-10 | 2018-03-23 | 中汇通联科技有限公司 | 一种基于eID的网络身份认证方法及平台 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160360403A1 (en) * | 2015-01-05 | 2016-12-08 | Ebid,Products & Solutions, S.L. | Procedure for generating a digital identity of a user of a mobile device, digital identity of the user, and authentication procedure using said digital identity of the user |
-
2018
- 2018-10-16 CN CN201811204592.3A patent/CN111064574B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
| CN107835176A (zh) * | 2017-11-10 | 2018-03-23 | 中汇通联科技有限公司 | 一种基于eID的网络身份认证方法及平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111064574A (zh) | 2020-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11544367B2 (en) | Systems, apparatus and methods for secure electrical communication of biometric personal identification information to validate the identity of an individual | |
| US11323272B2 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
| US11329981B2 (en) | Issuing, storing and verifying a rich credential | |
| US20210319132A1 (en) | Methods and Devices For Managing User Identity Authentication Data | |
| KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
| US10797879B2 (en) | Methods and systems to facilitate authentication of a user | |
| CN108234443B (zh) | 签约方法、系统及计算机可读存储介质 | |
| WO2018145127A1 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
| CN111064574B (zh) | 数字证书生成方法、认证方法及电子设备 | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| US11436597B1 (en) | Biometrics-based e-signatures for pre-authorization and acceptance transfer | |
| CN111064573B (zh) | 数字证书生成方法、认证方法及电子设备 | |
| Ghuli et al. | A review on blockchain application for decentralized decision of ownership of IoT devices | |
| US10439809B2 (en) | Method and apparatus for managing application identifier | |
| CN114008968A (zh) | 用于计算环境中的许可授权的系统、方法和存储介质 | |
| US20070244833A1 (en) | Maintaining Privacy for Transactions Performable by a User Device Having a Security Module | |
| Paquin | U-prove technology overview v1. 1 | |
| CN110798322B (zh) | 一种操作请求方法、装置、存储介质及处理器 | |
| CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
| US11070378B1 (en) | Signcrypted biometric electronic signature tokens | |
| Buccafurri et al. | An attribute-based privacy-preserving ethereum solution for service delivery with accountability requirements | |
| CN103368831A (zh) | 一种基于熟客识别的匿名即时通讯系统 | |
| CN111444493A (zh) | 电子合同的签署方法、装置、电子设备及可读存储介质 | |
| CN113704734A (zh) | 基于分布式数字身份实现凭证验证的方法及相关装置 | |
| CN112966309A (zh) | 一种基于区块链的业务实现方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |