CN111177735B - 身份认证方法、装置、系统和设备以及存储介质 - Google Patents
身份认证方法、装置、系统和设备以及存储介质 Download PDFInfo
- Publication number
- CN111177735B CN111177735B CN201910697255.0A CN201910697255A CN111177735B CN 111177735 B CN111177735 B CN 111177735B CN 201910697255 A CN201910697255 A CN 201910697255A CN 111177735 B CN111177735 B CN 111177735B
- Authority
- CN
- China
- Prior art keywords
- user
- document
- file
- identity authentication
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2117—User registration
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种身份认证方法、装置、系统和设备以及存储介质,涉及计算机技术领域,用于提供一种满足身份认证审核系统要求的文件存储和访问方式,并提升存储的身份证明文件的安全性。该方法包括:接收用户终端发送的身份认证请求;采用根据用户标识生成的文件存储密钥,对身份证明文件进行加密,并存储加密后的身份证明文件;在接收审核终端发送的文件访问请求时,根据文件访问请求携带的待审核身份的注册用户的用户标识生成文件存储密钥;采用文件存储密钥对加密后的身份证明文件进行解密,并将解密后的身份证明文件发送给审核终端,以使得审核终端根据解密后的身份证明文件对注册用户的身份进行审核。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种身份认证方法、装置、系统和设备以及存储介质。
背景技术
目前,用户在进行身份认证时,一般需要上传相关身份证明文件,例如身份证或者护照等文件。身份认证审核系统一般可以包括存储身份证明文件的服务器端以及对从服务器端调用身份证明文件进行身份审核的客服系统。通常来讲,为了保证用户身份证明文件的安全性,服务器端需要对存储的身份证明文件进行加密存储,同时客服系统在审核身份时又需要将身份证明文件以明文的方式呈现给审核人员进行审核。因此,基于行业数据安全的要求,对于系统端和客户系统通常有着如下的要求:
(1)客服系统需要及时获取身份证明文件,但客服系统不能持有身份证明文件解密密钥;
(2)存储的身份证明文件需要加密存储,但是密钥不能明文集中存储。
因而,如何在满足上述要求的前提下,提升用户存储的文件的安全性是目前亟待解决的问题。
发明内容
本申请实施例提供一种身份认证方法、装置、系统和设备以及存储介质,用于提供一种满足身份认证审核系统要求的文件存储和访问方式,并提升存储的身份证明文件的安全性。
一方面,提供一种身份认证方法,应用于身份认证审核系统的身份认证服务器中,所述身份认证系统包括身份认证服务器和审核终端;所述方法包括:
接收用户终端发送的身份认证请求,所述身份认证请求携带所述用户终端上已登录的注册用户的用户标识以及身份证明文件;
采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件;
在接收所述审核终端发送的文件访问请求时,根据所述文件访问请求携带的待审核身份的所述注册用户的用户标识生成所述文件存储密钥;
采用所述文件存储密钥对加密后的所述身份证明文件进行解密,并将解密后的身份证明文件发送给所述审核终端,以使得所述审核终端根据解密后的所述身份证明文件对所述注册用户的身份进行审核。
一方面,提供一种身份认证装置,应用于身份认证审核系统的身份认证服务器中,所述身份认证系统包括身份认证服务器和审核终端;所述装置包括:
接收单元,用于接收用户终端发送的身份认证请求,所述身份认证请求携带所述用户终端上已登录的注册用户的用户标识以及身份证明文件;
加密存储单元,用于采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件;
所述加密存储单元,还用于在接收所述审核终端发送的文件访问请求时,根据所述文件访问请求携带的待审核身份的所述注册用户的用户标识生成所述文件存储密钥;
发送单元,用于采用所述文件存储密钥对加密后的所述身份证明文件进行解密,并将解密后的身份证明文件发送给所述审核终端,以使得所述审核终端根据解密后的所述身份证明文件对所述注册用户的身份进行审核。
可选的,所述至少一个固定密钥中各固定密钥分别是通过对基础密钥加密得到的。
可选的,所述身份认证请求携带多个身份证明文件,则所述加密存储单元用于:
通过所述文件存储密钥分别对各所述身份证明文件进行加密,并分别存储加密后的各所述身份证明文件。
可选的,所述身份认证服务器包括互联网子服务器和文件管理子服务器,所述互联网子服务器位于外网,所述文件管理子服务器位于网络安全域;所述加密存储单元设置于互联网子服务器,所述装置还包括设置于互联网子服务器的同步单元;
所述加密存储单元,用于采用所述文件存储密钥对所述身份证明文件进行加密,并将加密后的所述身份证明文件存储至所述互联网子服务器的本地存储空间;
所述同步单元,用于通过所述互联网子服务器上部署的同步脚本,将加密后的所述身份证明文件同步至所述文件管理子服务器。
可选的,所述身份证明文件进行存储时的文件标识是采用设定的文件标识生成方法根据所述用户的用户标识生成的。
可选的,所述文件访问请求携带需获取的身份证明文件的文件标识;所述装置还包括验证单元,用于:
采用所述文件标识生成方法根据所述用户标识生成所述身份证明文件的文件标识,并将生成的文件标识与所述文件访问请求携带的文件标识进行比较;
在生成的文件标识与所述文件访问请求携带的文件标识一致时,根据所述文件标识从已存储的文件中获取加密后的所述身份证明文件。
可选的,所述发送单元,用于:
将所述解密后的身份证明文件采用指定编码方式编码后发送给所述审核终端。
一方面,提供一种身份认证审核系统,包括身份认证服务器和审核终端;
所述身份认证服务器,用于接收用户终端发送的身份认证请求,所述身份认证请求携带所述用户终端上已登录的注册用户的用户标识以及身份证明文件;并采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件;以及,
在接收所述审核终端发送的文件访问请求时,根据所述文件访问请求携带的待审核身份的所述注册用户的用户标识生成所述文件存储密钥;并采用所述文件存储密钥对加密后的所述身份证明文件进行解密,并将解密后的身份证明文件发送给所述审核终端;
所述审核终端,用于根据所述身份认证请求,向所述身份认证服务器发送文件访问请求,并在所述身份认证服务器返回解密后的所述身份证明文件后,根据解密后的所述身份证明文件对所述注册用户进行身份审核。
一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,
所述处理器执行所述程序时实现如上述方面所述的方法。
一方面,提供一种计算机可读存储介质,其上存储有处理器可执行指令,
所述处理器可执行指令被处理器执行时用于实现如上述方面所述的方法。
本申请实施例中,用户发起身份认证之后,身份认证服务器可以根据用户的用户标识生成文件存储密钥,并利用该文件存储密钥对身份证明文件进行加密存储,同样的,在审核终端请求访问该身份证明文件时,可以利用接收的用户标识再次生成文件存储密钥,并利用该文件存储密钥对请求访问的身份证明文件进行解密,再发送给审核终端进行审核。可见,本申请实施例中,结合了客服系统的访问特点,通过用户标识生成密钥对文件进行存储和解密,这样,客服系统无需存储密钥,仅需要在获取文件时,将用户标识提供给身份认证服务器即可,身份认证服务器可以根据用户标识生成文件存储密钥,从而只需要在存储文件和解密文件时生成密钥即可,无需对密钥进行存储,从而满足了对于身份认证审核系统的要求。此外,由于采用用户标识生成密钥,而不同用户的用户标识均是不同的,从而不同用户对应的密钥均是不同的,那么服务端存储的密文文件发生了泄露,也无法通过密文文件获取到用户标识,从而无法密文文件进行解密,即使对密文文件强行进行破解,也无法通过单一密钥破解所有文件,从而提高了破解难度,提升存储的文件的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的设备部署示例图;
图3为本申请实施例提供的一种应用场景示意图;
图4为本申请实施例提供的身份认证方法的流程示意图;
图5为本申请实施例提供的用户提交身份认证请求的操作示意图;
图6为本申请实施例提供的互联网服务器的文件存储示例图;
图7为本申请实施例提供的文件管理服务器的文件存储示例图;
图8为本申请实施例提供的审核终端上的审核页面示意图;
图9为本申请实施例提供的身份认证装置的一种结构示意图;
图10为本申请实施例提供的计算机设备的一种结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为便于理解本发明实施例提供的技术方案,这里先对本发明实施例使用的一些关键名词进行解释:
身份认证:或称为“身份验证”或“身份鉴别”,是指在应用(application,APP)或者网站中确认用户身份的过程,从而确定该用户是否具有某种资源访问或者功能使用权限,使得APP或者网站的访问策略能够可靠以及有效地执行,保证系统和数据的安全。例如在各大APP或者网站中,部分功能对于用户的权限可能不同,比如说部分功能通常只能够对于通过身份认证的用户开放。例如在交易平台APP中,在用户未经认证时,为保证资金流通的安全性,交易金额或者交易数量进行限制,或者说用户未经认证时,无法进行转账或者付款,只有用户通过身份认证之后,才可以解除限制,使用交易平台APP中的诸多功能。
用户标识:在APP或者网站中,用户标识能够唯一标识一个用户。例如用户在APP或者网站中注册时,通常会为用户分配一个用户身份标识(User Identification,UID)或者用户信息识别码(user information,UIN),UID或者UIN对于不同用户而言均是不相同的,因而可以将UID或者UIN作为用户标识。当然,还可以利用其它信息作为用户标识,例如在APP或者网站中,一个手机号仅能绑定一个账号,那么手机号也可以作为用户标识,或者,规定账号昵称不能重复时,那么账号昵称也可以作为用户标识,也就是说,可以唯一标识一个用户的信息都可以作为用户标识,本申请实施例对此并不进行限制。
身份证明文件:能够表明用户身份信息的文件,例如可以为用户身份证图片文件、护照图片文件或者社保卡图片文件等。
外网:即国际互联网(Internet),是把全球不同位置、不用规模的计算机网络(包括局域网、城域网、广域网)相互连接在一起所形成的计算机网络的集合体。
网络安全域:一般实现方法是采用防火墙部署在边界处来实现,通过防火墙策略控制允许哪些互联网协议(Internet Protocol,IP)访问此域、不允许哪些访问此域;允许此域访问哪些IP/网段、不允许访问哪些IP/网段。通过网络安全域,可以提高设备的安全性。
base64编码:Base64编码是从二进制到字符的过程。对于图片而言,base64编码一种使用编码字符串的方式来替代图片链接的方式,换句话说,在网页上看到的图片通常是使用图片链接向服务器发出请求下载而来的,那么就需要消耗一个超文本传输协议(HyperText Transfer Protocol,http)请求来进行图片的下载,而图片的base64编码则是将一张图片数据编码成一串字符串,可以随着HTML的下载同时下载到本地,使用该字符串代替图像地址,无需再次向服务器发送请求下载图片,对该字符串进行解码后同样可以呈现该图片。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。此外,对于本文中涉及的“第一”或者“第二”等仅用于区分类似的对象,而不是用于描述特定的顺序或者先后次序。
目前,用户在进行身份认证时,一般需要上传相关身份证明文件,为了保证用户身份证明文件的安全性,服务器端需要对存储的身份证明文件进行加密存储,同时客服系统在审核身份时又需要将身份证明文件以明文的方式呈现给审核人员进行审核。而目前服务器端对身份证明文件进行加密的方式通常是使用固定密钥对所有身份证明文件进行加密,然后客服系统存储密钥并拉取密文文件进行解密后,利用身份证明文件进行审核。可见,由于使用固定密钥进行加密,存储的身份证明文件一旦被泄露,只需要破解一个文件,则其他所有的文件都能被破解,风险极大,安全性较低;并且为了客服系统能够解密文件,在客服系统中也存储了固定密钥,密钥泄露的风险较大。
本申请人对现有技术进行分析后发现,在现有技术中,由于使用固定密钥进行加密,因而文件泄露后破解的成本较大,只需要破解一个文件,其他文件则可以相应得以破解,进而使得安全性很差。由此,本申请人考虑到要想进一步提升安全性,那么首先需要改变采用固定密钥进行加密的方式,利用可变密钥来加密存储用户的身份证明文件,但是若是仅采用普通的可变密钥,例如为每个文件分配一个密钥,这种情况下又需要集中存储密钥,而这又是被行业数据安全所不允许的,因此本申请人结合到身份认证审核系统的系统特点,在客服系统访问身份证明文件时,其必然知道是访问的哪个用户的身份证明文件,即对于用户的用户标识客服系统是知晓的,那么客服系统可以传入用户标识,服务器端可以根据用户标识来生成文件存储密钥,对身份证明文件进行解密。而对于窃取服务器端存储的文件的不法分子而言,其不仅无法得知加密机制,并且还无法单纯通过文件名无法直接得到用户标识,因此想要逐一破解各文件的难度很高,因而降低文件泄密的概率。
基于上述的分析和考虑,本申请实施例提供一种身份认证方法,该方法可以根据用户的用户标识生成文件存储密钥,并利用该文件存储密钥对身份证明文件进行加密存储,同样的,在审核终端请求访问该身份证明文件时,可以利用接收的用户标识再次生成文件存储密钥,并利用该文件存储密钥对请求访问的身份证明文件进行解密,再发送给审核终端进行审核。
可见,本申请实施例中,结合了客服系统的访问特点,通过用户标识生成密钥对文件进行存储和解密,这样,客服系统仅需要在获取文件时,将用户标识提供给身份认证服务器即可,身份认证服务器可以根据用户标识生成文件存储密钥,从而只需要在存储文件和解密文件时生成密钥即可,客服系统以及服务端均无需存储密钥,从而满足了行业数据安全对于身份认证审核系统的要求。
此外,由于采用用户标识生成密钥,而不同用户的用户标识均是不同的,从而不同用户对应的密钥均是不同的,那么服务端存储的密文文件发生了泄露,也无法通过密文文件获取到用户标识,从而无法密文文件进行解密,即使对密文文件强行进行破解,也无法通过单一密钥破解所有文件,从而提高了破解难度,提升存储的文件的安全性。
本申请实施例中,在基于用户标识生成文件存储密钥时,可以采用固定密钥结合可变密钥(即用户标识)的方式生成文件存储密钥,进一步增加文件加密的可靠性,提升存储的文件的安全性。
本申请实施例中,身份认证服务器可以包括位于外网的互联网子服务器和位于网络安全域的文件管理子服务器,互联网子服务器可以与用户进行对接,获取需要存储的身份证明文件,并进行加密存储,以及通过同步脚本将加密后的身份证明文件同步到文件管理子服务器上集中进行存储,由于文件管理子服务器位于网络安全域,其安全性更高,从而进一步提升存储的文件的安全性。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施过程中,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
请参见图1所示,为本申请实施例中的技术方案能够适用的一种应用场景,在该场景中,可以包括用户终端101、身份认证服务器102和审核终端103。
用户终端101可以是手机、个人电脑(personal computer,PC)、平板电脑(PAD)、掌上电脑(Personal Digital Assistant,PDA)、笔记本电脑或者智能穿戴式设备(例如智能手表和智能手环)等用户终端。用户终端101中可以安装身份认证服务器102对应的APP,或者可以打开身份认证服务器102对应的网站,用户可以通过该APP或者网站发起身份认证请求。
用户终端101可以包括一个或多个处理器1011、存储器1012、I/O接口1013以及显示面板1014等。其中,用户终端101的存储器1012中可以存储上述APP或者网站的程序指令,这些程序指令被处理器1011执行时能够用以实现上述APP或者网站中提供的功能,以及在显示面板1014显示相应显示页面。例如显示身份认证相关显示页面。
需要声明的是,在图1中虽然只示出了一个用户终端101,然而在实际应用中,安装有上述APP或者网站的用户终端101可以有很多,因此上述用户终端101可以为这些用户终端101中的任意一个。
身份认证服务器102既可以为用户终端101安装的APP或者打开的网站的后台服务器。也就是说,在实际应用时,身份认证服务器102的数量可以是很多的,如图2所示,例如可以根据所服务的地理位置区域的不同,在不同区域(如国家或者省份)设置为用户提供的服务的身份认证服务器102,相应的,各用户终端101可以接入自身所在区域所对应的身份认证服务器102。如图2中所示,A区域设置一台身份认证服务器102,用于为A区域内的用户终端101提供服务,以及,B区域可以设置一台身份认证服务器102,用于为B区域内的用户终端101提供服务,各身份认证服务器102获取的身份认证请求可以统一由审核系统进行审核,当然,在实际应用中,还可以依据其他条件来部署身份认证服务器102,本申请实施例对此不做限制。这里以其中一个身份认证服务器102为例进行介绍。
身份认证服务器102可以包括一个或多个处理器1021、存储器1022以及I/O接口1023等。其中,存储器1022可以存储本申请实施例提供的身份认证方法的程序指令,这些程序指令被处理器1021执行时,即可实现本申请实施例提供的身份认证方法,从而帮助用户进行身份认证。此外,身份认证服务器102还可以配置数据库,数据库可以用于存储用户信息、用户认证历史或者认证结果等信息。
用户终端101与身份认证服务器102之间可以通过一个或者多个网络进行通信连接,该网络可以是有线网络,也可以是无线网络,例如无线网络可以是移动蜂窝网络,或者可以是无线保真(WIreless-Fidelity,WIFI)网络,当然还可以是其他可能的网络,本申请实施例对此不做限制。
审核终端103可以为审核系统的终端设备,在进行身份认证时,审核人员可以通过审核终端103可以根据用户的身份证明文件对用户进行身份审核。其中,审核终端103可以包括一个或多个处理器1031、存储器1032、I/O接口1033以及显示面板1034等。其中,审核终端103的存储器1032中可以存储用于进行身份审核的审核客户端或者审核网站的程序指令,这些程序指令被处理器1031执行时能够用以实现上述审核客户端或者审核网站中提供的功能,以及在显示面板1034显示相应显示页面,例如显示身份认证审核页面,身份认证审核页面可以显示身份认证审核所需的用户信息等。
如图2所示,在实际应用时,审核系统所包括的审核终端103的数量也可以是很多的,这些审核终端103可以统一进行部署,即负责所有区域内的用户身份认证的审核,除此之外,还可以根据地理位置进行部署,例如在A区域部署一各或者多个审核终端103,用于处理A区域内的用户身份认证的审核,在B区域部署一各或者多个审核终端103,用于处理B区域内的用户身份认证的审核。
身份认证服务器102与审核终端103之间也可以通过一个或者多个网络进行通信连接,为了提升用户身份信息和用户身份证明文件的安全性,身份认证服务器102与审核终端103可以为局域网络。
其中,用户可以通过用户终端101发起身份认证请求,身份认证服务器102对于身份认证请求中携带的用户信息和身份证明文件分别进行存储,其中,身份证明文件的存储可以是利用根据该用户的用户标识生成的文件存储密钥对该身份证明文件进行加密存储。在审核人员通过审核终端103处理客服系统分配的审核任务时,可以通过审核终端103中呈现的身份认证审核页面显示被审核的用户的用户信息,并请求身份认证服务器102获取该用户的身份证明文件,身份认证服务器102可以根据审核终端103发送的文件访问请求中携带的用户标识生成的文件存储密钥,对身份证明文件进行解密后返回给审核终端103,以便审核人员根据用户信息以及身份证明文件对用户进行身份审核。
请参见图3所示,为本申请实施例中的技术方案能够适用的另一种应用场景,在该场景中,可以包括用户终端201、互联网服务器202、文件管理服务器203和审核终端204。
用户终端201例如可以为图1所示的用户终端101。用户可以通过用户终端201中的APP或者网站发起身份认证请求,上传身份认证所需的身份证明文件。例如,APP可以为交易平台应用,身份证明文件例如可以为身份证图片或者扫描件等证件照文件。
互联网服务器202和文件管理服务器203例如可以用于实现图1所示身份认证服务器102的功能。其中,互联网服务器202可以位于外网,即用户终端201可以通过互联网与互联网服务器202进行交互。互联网服务器202可以对上传的身份证明文件进行加密并存储至本地,并通过其上部署的同步脚本将加密后的身份证明文件同步至文件管理服务器203。互联网服务器202例如可以为Web service的服务器。
文件管理服务器203可以位于网络安全域,即内网,并部署有文件管理服务,用于对文件管理服务器203包括的文件存储池进行管理,以及对外提供访问服务。
审核终端204例如可以为图1所示的审核终端203。审核人员可以通过审核终端204向文件管理服务器203发送文件访问请求,文件管理服务器203的文件管理服务可以查找文件并对文件进行解密后发送给审核终端204,以供审核人员进行身份审核。其中,审核终端204也可以位于网络安全域,也就是说,文件管理服务器203和审核终端204的交互可以是基于内部网络进行的,从而提升文件访问的安全性。
当然,本申请实施例提供的方法并不限用于图1或者图3所示的应用场景中,还可以用于其他可能的应用场景,本申请实施例并不进行限制。对于图1或者图3所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
请参见图4,为本发明实施例提供的身份认证方法的流程示意图,该方法例如可以应用于如图1或者图3所示的场景中,下面主要以图3所示的应用场景为例进行介绍,在该方法应用于图1所示的应用场景时,可以将互联网服务器和文件管理服务器所执行的功能由身份认证服务器来执行即可,换句话说,可以认为身份认证服务器可以包括两个子服务器,即互联网子服务器和文件管理子服务器,分别用于实现图3所示的互联网服务器和文件管理服务器的功能。身份认证方法的流程描述如下。
步骤401:用户终端向互联网服务器发送身份认证请求,互联网服务器接收身份认证请求。
本申请实施例中,在各大APP或者网站中,部分功能对于用户的权限可能不同,比如说部分功能通常只能够对于通过身份认证的用户开放,为了使用各大APP或者网站更多的服务或者功能,用户通常需要进行身份认证。
具体的,用户进行身份认证时,可以通过用户终端上安装的APP或者网站中的身份认证页面填写身份信息以及上传身份证明文件,从而向身份认证服务器提交身份认证请求,身份认证请求可以携带用户提交的身份信息以及身份证明文件,身份信息中可以包括用户自行输入的身份信息,还可以包括该用户终端上登录的注册用户的用户标识。
如图5所示,为以交易平台中的身份认证为例,用户提交身份认证请求的操作示意图。其中,在交易平台中,根据监管要求,需要对用户身份进行认证,否则用户能够使用的功能会被有所限制,用户需要上传身份证明文件,以进行个人用户尽职调查(Customer DueDiligence,CDD),审核人员需要根据用户的身份证明文件,从而对用户进行身份审核。
如图5中个人资料填写页面所示,用户可以在其中填写必要的个人资料信息,例如姓名、性别、国籍、出生日期以及住址信息等。当然,还可以包括其他可能的信息,例如通过身份认证之后想要获得的功能,例如提升交易额度、使用转账功能等,本申请实施例对此不做限制。
用户填写完成个人资料后,点击“下一步”按钮,用户终端上的APP响应于用户的操作,则可以跳转至图5所示的身份证明文件选择页面。其中,在身份证明文件选择页面中,用户可以选择自己想要上传的身份证明文件的证件类型,例如证件类型可以身份证、护照或者社保卡等等。用户选择证件类型之后,则可以填写相应类型的证件号码以及上传证件文件。如图5所示,用户对添加身份证明文件相应区域进行操作,则可以跳转至身份证明文件上传页面。
为了提高用户上传的身份证明文件的可用性,即审核人员能够基于用户上传的身份证明文件进行身份审核,而不用因为上传的文件不合规退回给用户重新上传,可以在身份证明文件上传页面中显示身份证明文件的正确示例以及错误示例。如图5所示,在上传的身份证明文件为身份证照片时,则可以显示身份证照片的正确示例以及错误示例。用户按照提示拍摄身份证照片或者从相册选择身份证照片之后,则可以对“上传照片”按钮进行操作,以上传身份证照片,即身份证明文件。
用户在上传身份证明文件时,还可以上传多个身份证明文件,例如按照上述操作过程添加了一个身份证明文件之后,还可以继续添加其他的身份证明文件。在所有的身份证明文件均添加完毕后,用户则可以对“提交”按钮进行操作,从而进入如图5所示的认证资料确认提交界面,用户确认提交后,即完成了身份认证请求的提交,则页面跳转至图5所示的认证资料提交成功页面。
步骤402:互联网服务器采用根据用户标识生成的文件存储密钥,对身份证明文件进行加密。
具体的,可以采用公共网关接口(Common Gateway Interface,CGI)进行身份证明文件的上传。CGI在物理上是一段程序,运行在服务器上,提供同客户端HTML页面的接口。CGI是服务器运行时外部程序的规范,按CGI编写的程序可以扩展服务器功能。CGI应用程序能与浏览器进行交互,还可通过数据库接口与数据库服务器等外部数据源进行通信,从数据库服务器中获取数据。
或者,在用户通过其他应用上传身份证明文件时,例如用户进行交易平台的身份认证时,除了可以直接在交易平台APP进行身份认证请求的提交,还可以在其他应用中打开交易平台的身份认证页面,例如在即时通讯应用中打开交易平台的身份认证页面,那么用户提交身份认证请求之后,身份认证文件可以是暂时被存储在即时通讯应用的后台服务器中或者数据库中,互联网服务器,即交易平台的后台服务器可以从即时通讯应用的后台服务器中或者数据库中下载身份证明文件。
为了提升用户上传的身份证明文件的安全性,互联网服务器可以将用户上传的身份证明文件下载到内存,然后根据设定的密钥对身份证明文件进行加密存储。其中,用于加密身份证明文件的文件存储密钥可以是根据用户标识生成的。
具体的,可以利用用户标识以及结合设定的加密算法生成上述文件存储密钥。或者,为了进一步提升文件存储密钥的安全性,在生成文件存储密钥时,可以将用户标识作为可变因子,将固定密钥作为固定因子,采用设定的加密算法进行计算得到文件存储密钥。其中,固定密钥的数量可以为1个或者多个。
其中,通过固定密钥和用户标识生成文件存储密钥时,可以先将固定密钥与用户标识按照设定的顺序进行组串,再通过设定的加密算法对组串得到的字符串进行加密,以生成文件存储密钥。例如,可以通过MD5消息摘要算法(MD5Message-Digest Algorithm)计算得到固定秘钥的MD5值,再将固定秘钥的MD5值与用户标识采用统一资源定位符(UniformResource Locator,URL)串的方式进行组串,再利用MD5消息摘要算法计算组串后的符串的MD5值,作为注册用户的文件存储密钥。
在生成密钥时,出了加入用户标识作为可变因子之外,还可以加入其它信息作为可变因子,例如文件类型等,加大密钥难度,提升破解难度。
本申请实施例中,固定因子还可以是通过加密算法对基础密钥取得的密钥,也就是说,配置的固定因子只是最终固定因子值的算法输入,而非最终固定因子,从而加强固定因子的破解难度。
本申请实施例中,互联网服务器生成文件存储密钥之后,则可以利用该文件存储密钥对身份证明文件进行加密。当需要加密的身份证明文件的数量为多个时,还可以分别通过文件存储密钥对各身份证明文件进行加密。
步骤403:互联网服务器存储加密后的身份证明文件。
互联网服务器对身份证明文件进行加密后,则可以将加密后的身份证明文件存储到本地存储空间。例如,可以从互联网服务器的本地磁盘分配一存储控件,用于存储加密后的身份证明文件。
具体的,加密后的身份证明文件在进行存储时,其文件标识可以是采用设定的文件标识生成方法根据注册用户的用户标识生成的,文件标识用于在查找文件辅助更快的查找到想要的文件,例如可以为文件名。对于用户上传的身份证明文件为多个时,可以根据文件类型(如身份证或者护照)以及用户标识共同生成文件标识,以对文件进行区分,并将多个加密后的身份证明文件分别进行存储。
如图6所示,为互联网服务器的文件存储示例图。其中,加密文件被存储在互联网服务器的data/server/myw.xxx.com/data目录下,“600001509.jpg”为加密文件的文件标识。
步骤404:互联网服务器将加密后的身份证明文件同步至文件管理服务器。
具体的,互联网服务器可以通过部署的同步脚本,将加密后的身份证明文件(简称加密文件)同步至文件管理服务器。其中,同步的过程可以是实时的,即对身份证明文件进行加密存储之后,或者监测到存在新的加密文件时,就将该加密文件同步至文件管理服务器;或者,同步的过程还可以是周期性的,例如每间隔预设时长,就执行一次同步过程,预设时长可以根据实际需求进行设置,例如1分钟或者半小时等,本申请实施例对此不做限制。
其中,互联网服务器可以部署有多个,各互联网服务器上均可以设置有同步脚本,用于将所在互联网服务器上的加密文件同步至文件管理服务器进行集中存储和管理。
由于互联网服务器一般部署于外网,其上存储的文件的安全性较低,在进行同步之后,互联网服务器上存储的加密的身份证明文件则可以删除。
可选的,同步脚本可以采用超级文本预处理语言(Hypertext Preprocessor,PHP)以及解析型的服务端(Visual Basic Script,VBScript)等语言开发,在此不作限制。
步骤405:文件管理服务器存储加密后的身份证明文件。
文件管理服务器中包括文件存储池,且文件管理服务器上部署有文件管理服务,利用该文件管理服务,可以将从互联网服务器同步而来的加密文件安排至文件存储池中统一进行存储。
如图7所示,为文件管理服务器的文件存储示例图。其中,加密文件被存储在文件管理服务器的data/server/myw_pic_com/data目录下,“600001440.jpg”为加密文件的文件标识。当然,在实际应用时,不管是互联网服务器中的存储路径,或者文件管理服务器中的存储路径,都是可以根据实际情况进行设置的,本申请实施例对此不做限制。
用户的身份证明文件发生更新之后,用户可以文件管理服务器上存储的加密的身份证明文件进行更新,同样的,用户上传更新后的身份证明文件之后,互联网服务器也可以对用户更新后的身份证明文件进行加密存储,并同步到文件管理服务器进行存储。其中,对于同一身份证明文件而言,更新后的身份证明文件在存储时的文件标识可以与更新之前的身份证明文件的文件标识相同,即通过更新后的身份证明文件覆盖原来的身份证明文件。
本申请实施例中,当该方法应用于图1所示的场景中时,步骤404和步骤405的过程都可以不执行。
步骤406:审核终端向文件管理服务器发送文件访问请求,文件管理服务器接收文件访问请求。
本申请实施例中,用户提交身份认证请求之后,相应的,则会生成该用户的身份审核任务,并会将身份审核任务分配给一审核人员进行审核,审核人员在通过审核终端中的网站或者应用程序处理身份审核任务时,需要根据用户提供的身份信息和身份证明文件进行审核。如图8所示,为审核终端上的审核页面示意图,其中,在该审核页面中,可以显示被审核用户的身份信息,可以包括用户自行输入的一些信息,以及系统为用户分配的信息(如UIN等),以及用户的身份证明文件。
具体的,在审核人员打开审核页面时,或者审核人员在审核页面中对身份证明文件相应区域进行操作时,审核终端中的网站或者应用程序则会相应审核人员的操作,向文件管理服务器发送文件访问请求,其中,文件访问请求可以携带所请求的身份证明文件的文件标识以及被审核用户的用户标识,当然,还可以包括其他必要的信息,例如请求的文件的文件类型等。
步骤407:文件管理服务器采用根据用户标识生成的文件存储密钥,对身份证明文件进行解密。
本申请实施例中,文件管理服务器中的文件管理服务根据审核终端的文件访问请求,首先可以对该请求进行验证。具体的,文件管理服务可以采用与生成文件标识时相同的文件标识生成方法,利用用户标识生成身份证明文件的文件标识,并将生成的文件标识与文件访问请求携带的文件标识进行比较,若是生成的文件标识与文件访问请求携带的文件标识一致,则验证通过,文件管理服务可以根据文件标识从已存储的文件中获取加密后的身份证明文件,否则验证失败,文件管理服务可以拒绝审核终端的文件访问请求。
步骤408:文件管理服务器将解密后的身份证明文件发送给审核终端。
文件管理服务确定验证通过时,还可以采用与互联网服务器相同的密钥生成方式生成文件存储密钥,即根据用户标识生成文件存储密钥,或者根据至少一个固定密钥结合用户标识生成文件存储密钥,在通过生成的文件存储密钥对查找得到的身份证明文件进行解密,并将解密后的身份证明文件发送给审核终端。
具体的,为了加快审核终端中身份证明文件的打开速度,文件管理服务在将解密后的身份证明文件发送给审核终端之前,还可以通过设定的编码方式对身份证明文件进行编码,例如可以采用base64编码的方式进行编码后,再发送给审核终端,这样,审核终端获取编码后的身份证明文件时,则可以直接采用相应的方式进行解码即可,在审核终端上展示身份证明文件,无需向传统方式一样,需要基于文件链接再次下载身份证明文件,提升身份证明文件的打开速度。
步骤409:审核终端显示解密后的身份证明文件。
审核终端可以将获取的解密后的身份证明文件显示在相应审核页面上,以供审核人员进行审核。审核人员在根据身份信息以及身份证明文件确认用户身份审核通过时,则可以选择“接受”,即确认用户身份审核通过,相反的,若是审核人员对用户的身份信息或者身份证明文件存在疑虑,即用户身份认证未通过时,则审核人员可以选择“拒绝接受”,即确认用户身份审核未通过。
相应的,审核人员进行操作之后,则可以将审核结果通知给用户。
其中,为了提升身份证明文件存储的安全性,审核终端上并不对获取的身份证明文件进行存储,即审核终端只能查看身份证明文件,并不会存储身份证明文件。
本申请实施例中,结合到系统架构的特征,设计了一种可变密钥对身份证明文件进行加密的方式,即满足了行业数据安全要求的低概率的泄密风险,数据加密存储,且无需集中存储密钥,又能够满足客服系统的访问要求。此外,在原始文件必须存储在互联网服务器上的前提下,用可变秘钥加密了文件,使得这些文件在易泄露的情况下被破解的难度又大大增加,从而大大提高了整个系统的安全性。
请参见图9,基于同一发明构思,本申请实施例还提供了一种身份认证装置90,应用于身份认证审核系统的身份认证服务器中,身份认证系统包括身份认证服务器和审核终端;该装置包括:
接收单元901,用于接收用户终端发送的身份认证请求,身份认证请求携带用户终端上已登录的注册用户的用户标识以及身份证明文件;
加密存储单元902,用于采用根据用户标识生成的文件存储密钥,对身份证明文件进行加密,并存储加密后的身份证明文件;
加密存储单元902,还用于在接收审核终端发送的文件访问请求时,根据文件访问请求携带的待审核身份的注册用户的用户标识生成文件存储密钥;
发送单元903,用于采用文件存储密钥对加密后的身份证明文件进行解密,并将解密后的身份证明文件发送给审核终端,以使得审核终端根据解密后的身份证明文件对注册用户的身份进行审核。
可选的,加密存储单元902用于:
根据至少一个固定密钥以及用户标识生成文件存储密钥。
可选的,加密存储单元902用于:
将至少一个固定密钥与用户标识按照设定的顺序进行组串;
通过设定的加密算法对组串得到的字符串进行加密,以生成文件存储密钥。
可选的,至少一个固定密钥中各固定密钥分别是通过对基础密钥加密得到的。
可选的,身份认证请求携带多个身份证明文件,则加密存储单元902用于:
通过文件存储密钥分别对各身份证明文件进行加密,并分别存储加密后的各身份证明文件。
可选的,身份认证服务器包括互联网子服务器和文件管理子服务器,互联网子服务器位于外网,文件管理子服务器位于网络安全域;加密存储单元902设置于互联网子服务器,该装置还包括设置于互联网子服务器的同步单元904;
加密存储单元902,用于采用文件存储密钥对身份证明文件进行加密,并将加密后的身份证明文件存储至互联网子服务器的本地存储空间;
同步单元904,用于通过互联网子服务器上部署的同步脚本,将加密后的身份证明文件同步至文件管理子服务器。
可选的,身份证明文件进行存储时的文件标识是采用设定的文件标识生成方法根据用户的用户标识生成的。
可选的,文件访问请求携带需获取的身份证明文件的文件标识;该装置还包括验证单元905,用于:
采用文件标识生成方法根据用户标识生成身份证明文件的文件标识,并将生成的文件标识与文件访问请求携带的文件标识进行比较;
在生成的文件标识与文件访问请求携带的文件标识一致时,根据文件标识从已存储的文件中获取加密后的身份证明文件。
可选的,发送单元903,用于:
将解密后的身份证明文件采用指定编码方式编码后发送给审核终端。
该装置可以用于执行图4~图8所示的实施例中身份认证服务器侧涉及的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考图4~图8所示的实施例的描述,不多赘述。其中,同步单元904和验证单元905并非必选的功能单元,因此在图9中以虚线示出。
基于同一发明构思,本申请实施例还提供了一种身份认证审核系统,包括身份认证服务器和审核终端;
身份认证服务器,用于接收用户终端发送的身份认证请求,身份认证请求携带用户终端上已登录的注册用户的用户标识以及身份证明文件;并采用根据用户标识生成的文件存储密钥,对身份证明文件进行加密,并存储加密后的身份证明文件;以及,
在接收审核终端发送的文件访问请求时,根据文件访问请求携带的待审核身份的注册用户的用户标识生成文件存储密钥;并采用文件存储密钥对加密后的身份证明文件进行解密,并将解密后的身份证明文件发送给审核终端;
审核终端,用于根据身份认证请求,向身份认证服务器发送文件访问请求,并在身份认证服务器返回解密后的身份证明文件后,根据解密后的身份证明文件对注册用户进行身份审核。
其中,身份认证服务器所实现的功能例如可以为图4~图8所示的实施例中身份认证服务器侧实现的功能,审核终端所实现的功能例如可以为图4~图8所示的实施例中审核终端侧实现的功能,因此,对于身份认证服务器以及审核终端所实现的功能可参考图4~图8所示的实施例的描述,不多赘述。
请参见图10,基于同一技术构思,本申请实施例还提供了一种计算机设备100,可以包括存储器1001和处理器1002。
所述存储器1001,用于存储处理器1002执行的计算机程序。存储器1001可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据计算机设备的使用所创建的数据等。处理器1002,可以是一个中央处理单元(central processing unit,CPU),或者为数字处理单元等等。本申请实施例中不限定上述存储器1001和处理器1002之间的具体连接介质。本申请实施例在图10中以存储器1001和处理器1002之间通过总线1003连接,总线1003在图10中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线1003可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1001可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1001也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1001是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1001可以是上述存储器的组合。
处理器1002,用于调用所述存储器1001中存储的计算机程序时执行如图4~图8中所示的实施例中各设备涉及的方法。
在一些可能的实施方式中,本申请提供的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的方法中的步骤,例如,所述计算机设备可以执行如图4~图8中所示的实施例各设备涉及的方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (15)
1.一种身份认证方法,其特征在于,应用于身份认证审核系统的身份认证服务器中,所述身份认证审核系统包括身份认证服务器和审核终端;所述方法包括:
接收用户终端发送的身份认证请求,所述身份认证请求携带所述用户终端上已登录的注册用户的用户标识以及身份证明文件;
采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件;
在接收所述审核终端发送的文件访问请求时,根据所述文件访问请求携带的待审核身份的所述注册用户的用户标识生成所述文件存储密钥;
采用所述文件存储密钥对加密后的所述身份证明文件进行解密,并将解密后的身份证明文件发送给所述审核终端,以使得所述审核终端根据解密后的所述身份证明文件对所述注册用户的身份进行审核。
2.如权利要求1所述的方法,其特征在于,根据所述用户标识生成文件存储密钥,包括:
根据至少一个固定密钥以及所述用户标识生成所述文件存储密钥。
3.如权利要求2所述的方法,其特征在于,根据至少一个固定密钥以及所述用户标识生成所述文件存储密钥,包括:
将所述至少一个固定密钥与所述用户标识按照设定的顺序进行组串;
通过设定的加密算法对组串得到的字符串进行加密,以生成所述文件存储密钥。
4.如权利要求2所述的方法,其特征在于,所述至少一个固定密钥中各固定密钥分别是通过对基础密钥加密得到的。
5.如权利要求1~4任一所述的方法,其特征在于,所述身份认证请求携带多个身份证明文件,所述采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件,包括:
通过所述文件存储密钥分别对各所述身份证明文件进行加密,并分别存储加密后的各所述身份证明文件。
6.如权利要求1~4任一所述的方法,其特征在于,所述身份认证服务器包括互联网子服务器和文件管理子服务器,所述互联网子服务器位于外网,所述文件管理子服务器位于网络安全域;所述采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件,包括:
通过所述互联网子服务器采用所述文件存储密钥对所述身份证明文件进行加密,并将加密后的所述身份证明文件存储至所述互联网子服务器的本地存储空间;
通过所述互联网子服务器上部署的同步脚本,将加密后的所述身份证明文件同步至所述文件管理子服务器。
7.如权利要求1~4任一所述的方法,其特征在于,所述身份证明文件进行存储时的文件标识是采用设定的文件标识生成方法根据所述用户的用户标识生成的。
8.如权利要求7所述的方法,其特征在于,所述文件访问请求携带需获取的身份证明文件的文件标识;则在所述采用所述文件存储密钥对加密后的所述身份证明文件进行解密之前,所述方法还包括:
采用所述文件标识生成方法根据所述用户标识生成所述身份证明文件的文件标识,并将生成的文件标识与所述文件访问请求携带的文件标识进行比较;
在生成的文件标识与所述文件访问请求携带的文件标识一致时,根据所述文件标识从已存储的文件中获取加密后的所述身份证明文件。
9.如权利要求1~4任一所述的方法,其特征在于,所述将解密后的身份证明文件发送给所述审核终端,包括:
将所述解密后的身份证明文件采用指定编码方式编码后发送给所述审核终端。
10.一种身份认证装置,其特征在于,应用于身份认证审核系统的身份认证服务器中,所述身份认证审核系统包括身份认证服务器和审核终端;所述装置包括:
接收单元,用于接收用户终端发送的身份认证请求,所述身份认证请求携带所述用户终端上已登录的注册用户的用户标识以及身份证明文件;
加密存储单元,用于采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件;
所述加密存储单元,还用于在接收所述审核终端发送的文件访问请求时,根据所述文件访问请求携带的待审核身份的所述注册用户的用户标识生成所述文件存储密钥;
发送单元,用于采用所述文件存储密钥对加密后的所述身份证明文件进行解密,并将解密后的身份证明文件发送给所述审核终端,以使得所述审核终端根据解密后的所述身份证明文件对所述注册用户的身份进行审核。
11.如权利要求10所述的装置,其特征在于,所述加密存储单元用于:
根据至少一个固定密钥以及所述用户标识生成所述文件存储密钥。
12.如权利要求11所述的装置,其特征在于,所述加密存储单元用于:
将所述至少一个固定密钥与所述用户标识按照设定的顺序进行组串;
通过设定的加密算法对组串得到的字符串进行加密,以生成所述文件存储密钥。
13.一种身份认证审核系统,其特征在于,包括身份认证服务器和审核终端;
所述身份认证服务器,用于接收用户终端发送的身份认证请求,所述身份认证请求携带所述用户终端上已登录的注册用户的用户标识以及身份证明文件;并采用根据所述用户标识生成的文件存储密钥,对所述身份证明文件进行加密,并存储加密后的所述身份证明文件;以及,
在接收所述审核终端发送的文件访问请求时,根据所述文件访问请求携带的待审核身份的所述注册用户的用户标识生成所述文件存储密钥;并采用所述文件存储密钥对加密后的所述身份证明文件进行解密,并将解密后的身份证明文件发送给所述审核终端;
所述审核终端,用于根据所述身份认证请求,向所述身份认证服务器发送文件访问请求,并在所述身份认证服务器返回解密后的所述身份证明文件后,根据解密后的所述身份证明文件对所述注册用户进行身份审核。
14.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,
所述处理器执行所述程序时实现如权利要求1~9任一所述的方法。
15.一种计算机可读存储介质,其特征在于,存储有处理器可执行指令,
所述处理器可执行指令被处理器执行时用于实现如权利要求1~9任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910697255.0A CN111177735B (zh) | 2019-07-30 | 2019-07-30 | 身份认证方法、装置、系统和设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910697255.0A CN111177735B (zh) | 2019-07-30 | 2019-07-30 | 身份认证方法、装置、系统和设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111177735A CN111177735A (zh) | 2020-05-19 |
| CN111177735B true CN111177735B (zh) | 2023-09-22 |
Family
ID=70655348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910697255.0A Active CN111177735B (zh) | 2019-07-30 | 2019-07-30 | 身份认证方法、装置、系统和设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111177735B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112508138B (zh) * | 2020-11-18 | 2024-03-26 | 北京融讯科创技术有限公司 | 单板服务器管理方法、装置、设备及计算机可读存储介质 |
| CN112434315B (zh) * | 2020-11-20 | 2022-09-20 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种附件访问方法、服务器和访问端 |
| CN113051546A (zh) * | 2021-03-24 | 2021-06-29 | 珠海华发金融科技研究院有限公司 | 一种双录方法、视频音频采集系统及计算机可读存储介质 |
| CN113779612B (zh) * | 2021-09-30 | 2023-06-13 | 国网湖南省电力有限公司 | 一种基于区块链与隐藏策略属性加密的数据共享方法与系统 |
| CN116070222A (zh) * | 2021-10-29 | 2023-05-05 | 华为技术有限公司 | 密钥迁移方法及相关设备 |
| CN116112196A (zh) * | 2022-10-31 | 2023-05-12 | 支付宝(杭州)信息技术有限公司 | 职业身份认证方法、装置、电子设备、介质及程序产品 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297413A (zh) * | 2012-01-28 | 2013-09-11 | 查平 | 可分享网络文档保密柜 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN105930505A (zh) * | 2016-05-09 | 2016-09-07 | 广州神马移动信息科技有限公司 | 一种信息搜索方法及装置 |
| CN106302312A (zh) * | 2015-05-13 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 获取电子文件的方法及装置 |
| CN106302449A (zh) * | 2016-08-15 | 2017-01-04 | 中国科学院信息工程研究所 | 一种密文存储与密文检索开放云服务方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9171344B2 (en) * | 2007-10-30 | 2015-10-27 | Onemednet Corporation | Methods, systems, and devices for managing medical images and records |
| US9553855B2 (en) * | 2014-02-14 | 2017-01-24 | Red Hat, Inc. | Storing a key to an encrypted file in kernel memory |
-
2019
- 2019-07-30 CN CN201910697255.0A patent/CN111177735B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297413A (zh) * | 2012-01-28 | 2013-09-11 | 查平 | 可分享网络文档保密柜 |
| CN106302312A (zh) * | 2015-05-13 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 获取电子文件的方法及装置 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN105930505A (zh) * | 2016-05-09 | 2016-09-07 | 广州神马移动信息科技有限公司 | 一种信息搜索方法及装置 |
| CN106302449A (zh) * | 2016-08-15 | 2017-01-04 | 中国科学院信息工程研究所 | 一种密文存储与密文检索开放云服务方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111177735A (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111177735B (zh) | 身份认证方法、装置、系统和设备以及存储介质 | |
| CN111213350B (zh) | 用于创建去中心化标识的系统和方法 | |
| US11468151B2 (en) | System and method for memetic authentication and identification | |
| US11134071B2 (en) | Data exchange during multi factor authentication | |
| US10412059B2 (en) | Resource locators with keys | |
| US10880287B2 (en) | Out of box experience application API integration | |
| US8539231B1 (en) | Encryption key management | |
| US20170118301A1 (en) | Integration framework and user interface for embedding transfer services into applications | |
| CN110879903A (zh) | 证据存储方法、证据验证方法及装置、设备和介质 | |
| US10554417B2 (en) | Script verification using a hash | |
| US9923990B2 (en) | User information widgets and methods for updating and retrieving user information | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| JP2011215753A (ja) | 認証システムおよび認証方法 | |
| US9407654B2 (en) | Providing multi-level password and phishing protection | |
| CN111177736A (zh) | 一种数据存储和访问的系统、方法和装置 | |
| CN106888200B (zh) | 标识关联方法、信息发送方法及装置 | |
| Cap et al. | Ensuring resource trust and integrity in web browsers using blockchain technology | |
| US11997079B2 (en) | Method to monitor sensitive web embedded code authenticity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |