CN111639956B - 提供和获取安全身份信息的方法及装置 - Google Patents
提供和获取安全身份信息的方法及装置 Download PDFInfo
- Publication number
- CN111639956B CN111639956B CN202010580992.5A CN202010580992A CN111639956B CN 111639956 B CN111639956 B CN 111639956B CN 202010580992 A CN202010580992 A CN 202010580992A CN 111639956 B CN111639956 B CN 111639956B
- Authority
- CN
- China
- Prior art keywords
- identity information
- information
- verification
- service party
- dimensional code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012795 verification Methods 0.000 claims abstract description 250
- 230000000153 supplemental effect Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000011179 visual inspection Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/06009—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
- G06K19/06037—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
- G06Q30/0185—Product, service or business identity fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0207—Discounts or incentives, e.g. coupons or rebates
- G06Q30/0225—Avoiding frauds
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0241—Advertisements
- G06Q30/0248—Avoiding fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/0601—Electronic shopping [e-shopping]
- G06Q30/0609—Buyer or seller confidence or verification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/18—Legal services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Tourism & Hospitality (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Entrepreneurship & Innovation (AREA)
- Primary Health Care (AREA)
- Human Resources & Organizations (AREA)
- Bioethics (AREA)
- Game Theory and Decision Science (AREA)
- Computing Systems (AREA)
- Educational Administration (AREA)
- Technology Law (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本说明书实施例提供一种提供和获取安全身份信息的方法和装置。在线下需要进行身份核验或者提供身份信息的场景下,用户可以通过可信应用来扫描业务方展示的二维码,该二维码由业务方预先向注册平台注册而生成。可信应用在扫码后,通过向注册平台查询而获知,该业务方需要哪些身份信息,进而采集获取用户的身份信息。之后,可信应用将获取的身份信息发往核验源进行核验,并将核验通过的身份信息进行加密,通过注册平台转发至业务方。
Description
本申请为2018年11月16日提交的申请号为201811365449.2,名为“提供和获取安全身份信息的方法及装置”的发明专利申请的分案申请。
技术领域
本说明书一个或多个实施例涉及身份安全认证领域,尤其涉及提供和获取安全身份信息的方法和装置。
背景技术
在线下的各种应用场景中,传统对用户的身份核验通常是基于证件实现的,即遵循“由证件实现证实人的身份真实性”逻辑。具体实现中,自然人提供证件(如身份证、护照等),由代表场景商户的自然人(如酒店的前台人员,行政办理大厅的窗口办事人员)通过视检的方式确认用户与证件的对应关系,并且通过视检或是读卡设备的协助确认证件的真实性,在此基础上从证件上获取所需要的验证信息,即可认为该验证信息是可信身份信息,之后根据场景商户的业务逻辑提供服务。
然而,随着用户隐私保护(如最小可用原则)的不断加强,以及用户对便捷性要求越来越高,以上所述的传统的线下对于用户身份的核验方式目前面临着越来越多的挑战,在很多场景中出现了无法满足需求的情况。例如:
--用户可能并没有随身携带身份证;
--在一些低级别的线下应用场景中,用户并不愿意将身份证等核心证件交付他人核验,甚至留存复印件;
--业务本身只需要部分用户信息,不需要身份证中所有的要素信息。
随着线上商业化的不断发展,网络空间实名/实人/实证等认证方式的普及,证件电子化成为了未来的趋势。然而,基于证件电子化的身份核验也面临着安全威胁:如身份证电子版照片可能被ps(针对实名核验的攻击),人脸核验可能被攻破(针对实名实人核验的攻击)等,这就需要一个可信的核验源提供身份核验服务。例如公安的制证数据库、人口库等。
因此,希望能有改进的方案,更加安全更加便捷地实现身份的核验。
发明内容
本说明书一个或多个实施例描述了提供和获取安全身份信息的方法及装置,通过这样的方法和装置,用户在线下可以利用可信应用,通过扫描业务方展示的二维码,安全便捷地向业务方提供经过核验的安全身份信息。
根据第一方面,提供了一种提供安全身份信息的方法,该方法由可信应用服务端执行,包括:
获取用户扫描的二维码对应的二维码信息,所述二维码由注册平台针对第一业务方预先生成;
向所述注册平台发送查询请求,所述查询请求包括所述二维码信息;
从所述注册平台接收查询结果,所述查询结果包括所述第一业务方的标识信息,所述第一业务方的公钥,以及所述第一业务方需要的第一身份信息;
获取用户的第二身份信息;
将所述用户的第二身份信息发送到核验源,以得到核验结果;
生成安全身份信息,所述安全身份信息包括所述第一业务方的标识信息,以及加密信息,所述加密信息是利用所述第一业务方的公钥对经过核验的第一身份信息加密得到,所述经过核验的第一身份信息基于所述第二身份信息和所述核验结果而确定;
将所述安全身份信息发送至所述注册平台,以使得注册平台将所述加密信息发送至所述第一业务方。
根据一种实施方式,获取用户的第二身份信息包括,通过所述可信应用的客户端所在的终端,采集所述第二身份信息
进一步地,在具体实施例中,采集所述第二身份信息可以包括以下中的一项或多项:
通过所述终端上的摄像头采集人脸信息;
通过所述终端的NFC功能和其上的控件,读取身份证信息。
根据另一种实施方式,获取用户的第二身份信息包括,通过所述可信应用的客户端,接收用户的输入信息。
在一种可能的设计中,上述方法还包括,根据需要的第一身份信息和获取的第二身份信息,确定所述核验源以及所需的核验模式。
进一步地,在一个实施例中,获取的第二身份信息包括需要的第一身份信息;在这样的情况下,确定所述核验源以及所需的核验模式包括,确定所需的核验模式为鉴别模式,在所述鉴别模式下,所述核验结果为核验是否通过的通知结果。
在另一实施例中,获取的第二身份信息为需要的第一身份信息的一部分;在这样的情况下,确定所述核验源以及所需的核验模式包括,确定所需的核验模式为信息模式,在所述信息模式下,所述核验结果包括,核验是否通过的通知,以及基于核验通过的第二身份信息的至少一部分确定的补充身份信息。
根据一个实施例,确定需要的核验源包括第一核验源和第二核验源;在这样的情况下,将所述用户的第二身份信息发送到核验源,以得到核验结果具体包括:
将所述第二身份信息中的第一部分发送到第一核验源,以及将所述第二身份信息中的第二部分发送到第二核验源;
从所述第一核验源接收第一结果,从所述第二核验源接收第二结果;
将所述第一结果和第二结果合并,从而得到所述核验结果。
在一个实施例中,通过以下方式生成安全身份信息:
基于所述第二身份信息和所述核验结果,得到经过核验的第一身份信息;
利用所述第一业务方的公钥对经过核验的第一身份信息进行加密,得到所述加密信息;
基于所述加密信息以及所述第一业务方的标识信息,生成所述安全身份信息。
在一个例子中,上述核验结果为鉴别模式下核验通过的通知结果;此时,可以将核验通过的所述第二身份信息作为所述经过核验的第一身份信息。
在另一例子中,上述核验结果包括,核验通过的通知,以及基于核验通过的第二身份信息的至少一部分确定的补充身份信息;此时,可以将核验通过的所述第二身份信息,以及所述补充身份信息,作为所述经过核验的第一身份信息。
根据第二方面,提供一种获取安全身份信息的方法,该方法由注册平台执行,包括:
从第一应用接收查询请求,所述查询请求包括二维码信息,该二维码信息是利用第一应用扫描所述注册平台预先为第一业务方生成的二维码而得到;
基于所述二维码信息,确定所述第一业务方的注册信息,所述注册信息至少包括,所述第一业务方的公钥,以及所述第一业务方需要的第一身份信息;
向所述第一应用发送查询结果,所述查询结果包括所述第一业务方的标识信息,所述第一业务方的公钥,以及所述第一身份信息;
从第一应用接收安全身份信息,所述安全身份信息包括所述第一业务方的标识信息以及加密信息,所述加密信息是利用所述第一业务方的公钥对经过核验的第一身份信息加密得到;
根据所述第一业务方的标识信息,将所述加密信息发送至所述第一业务方。
在一个实施例中,在从第一应用接收查询请求之前,方法还包括:
从所述第一业务方接收所述注册信息;
基于所述注册信息,为所述第一业务方生成二维码。
在一个实施例中,所述注册信息还包括,第一业务方的路由信息;将所述加密信息发送至所述第一业务方具体包括:
从所述安全身份信息中分别提取出所述第一业务方的标识信息,以及加密信息;
根据所述第一业务方的标识信息确定出第一业务方的路由信息;
按照所述路由信息,将所述加密信息发送至所述第一业务方对应的终端。
根据一种可能的设计,所述注册中心与特定应用的服务端位于同一物体实体中;并且,查询请求包括第一字段,在所述第一字段具有第一值的情况下,指示出所述第一应用为所述特定应用,在所述第一字段具有第二值的情况下,指示出所述第一应用不是所述特定应用。
进一步地,在一个实施例中,所述第一字段具有第一值;此时,可以在本地将所述查询结果提供给所述第一应用的应用逻辑;并且,在本地从所述第一应用的应用逻辑获取所述安全身份信息。
根据第三方面,提供一种提供安全身份信息的装置,该装置部署在可信应用服务端,包括:
二维码获取单元,配置为获取用户扫描的二维码对应的二维码信息,所述二维码由注册平台针对第一业务方预先生成;
查询请求发送单元,配置为向所述注册平台发送查询请求,所述查询请求包括所述二维码信息;
查询结果接收单元,配置为从所述注册平台接收查询结果,所述查询结果包括第一业务方的标识信息,所述第一业务方的公钥,以及所述第一业务方需要的第一身份信息;
身份信息获取单元,配置为获取用户的第二身份信息;
核验发送单元,配置为将所述用户的第二身份信息发送到核验源,以得到核验结果;
安全信息生成单元,配置为生成安全身份信息,所述安全身份信息包括所述第一业务方的标识信息,以及加密信息,所述加密信息是利用所述第一业务方的公钥对经过核验的第一身份信息加密得到,所述经过核验的第一身份信息基于所述第二身份信息和所述核验结果而确定;
安全信息发送单元,配置为将所述安全身份信息发送至所述注册平台,以使得注册平台将所述加密信息发送至所述第一业务方。
根据第四方面,提供一种获取安全身份信息的装置,该装置部署在注册平台,包括:
查询请求接收单元,配置为从第一应用接收查询请求,所述查询请求包括二维码信息,该二维码信息是利用第一应用扫描所述注册平台预先为第一业务方生成的二维码而得到;
注册信息确定单元,配置为基于所述二维码信息,确定所述第一业务方的注册信息,所述注册信息至少包括,所述第一业务方的公钥,以及所述第一业务方需要的第一身份信息;
查询结果发送单元,配置为向所述第一应用发送查询结果,所述查询结果包括第一业务方的标识信息,所述第一业务方的公钥,以及所述第一身份信息;
安全信息接收单元,配置为从第一应用接收安全身份信息,所述安全身份信息包括所述第一业务方的标识信息,以及加密信息,所述加密信息是利用所述第一业务方的公钥对经过核验的第一身份信息加密得到;
加密信息发送单元,配置为根据所述第一业务方的标识信息,将所述加密信息发送至所述第一业务方。
根据第五方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行第一方面到第二方面的方法。
根据第六方面,提供了一种计算设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现第一方面到第二方面的方法。
通过本说明书实施例提供的方法和装置,在需要身份核验的情况下,用户通过可信应用来扫描业务方展示的二维码,从而通过注册平台将经过核验的身份信息提供给业务方。在提供身份信息之前,可信应用首先将用户的身份信息发到第三方核验源进行核验,如此保证了提供身份信息的准确性和权威性。并且在以上过程中,通过注册平台来实现不同业务方与不同可信应用之间的互联互通,如此,业务方无需关注用户使用哪个应用来提供身份信息,核验更加灵活和便捷。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出本说明书披露的一个实施例的实施场景示意图;
图2示出根据一个实施例的获取安全身份信息的方法;
图3示出根据另一个实施例的获取安全身份信息的方法;
图4示出根据一个实施例的提供安全身份信息的装置的示意性框图;
图5示出根据一个实施例的获取安全身份信息的装置的示意性框图。
具体实施方式
下面结合附图,对本说明书提供的方案进行描述。
图1为本说明书披露的一个实施例的实施场景示意图。根据图1的实施例,需要安全身份信息的各个业务方(也就是前述的场景商户)预先向注册平台进行注册,注册平台为各个业务方生成其专属的二维码。在线下需要进行身份核验或提供身份信息的场景下,用户并不需要直接将身份信息提供给业务方的工作人员,而是通过可信应用扫描业务方展示的二维码,然后将获取的用户身份信息交由权威的第三方核验源进行身份核验。核验通过之后,可信应用经由注册平台,将加密的身份信息提供给业务方。
具体地,在用户需要进行身份核验或提供安全身份信息的情况下,用户首先使用可信应用中扫描功能,扫描业务方展示的二维码。然后,可信应用针对该二维码向注册平台发起查询。由于该二维码是注册平台针对该业务方生成的,因此,注册平台可以查询获知该二维码对应的信息,其中包括哪个业务方需要什么样的身份信息。一旦得到包含上述信息的查询结果,可信应用可以对应获取用户的身份信息,例如包括姓名,身份证信息,人脸信息等,然后将这些信息发往第三方核验源进行核验。在核验通过之后,可信应用将核验通过的身份信息进行加密,发送给注册平台;注册平台解析之后,将加密的身份信息转发给业务方。如此,业务方通过解密即可获得所需的身份信息。下面描述以上过程的具体实现步骤。
图2示出根据一个实施例的获取安全身份信息的方法。如图2所示,该方法至少涉及可信应用,核验源,注册平台和业务方。
核验源,又称为可信核验源或第三方核验源,是提供可信身份信息核验服务的第三方。第三方核验源通常掌握着可信的数据库,配置了可信电子身份的核验策略,通常支持可信凭证,根据提供的用户信息验证是否真实准确,并且其核验结果被认为是准确有效的。上述核验源例如包括,公安一所目前搭建的CT I D网证平台,人口库等等。
业务方,或称为场景商户,是线下应用场景中需要安全身份信息的业务应用方。业务方原本需要线下根据实体证件确认用户身份,在确定了用户可信身份信息后,根据业务逻辑开展服务,如需要身份核验的酒店、行政办理大厅、网吧等等。
可信应用,是受到场景商户和第三方核验源信任的应用。该可信应用与可信核验源进行对接,通过签名确保双方的可信性。可信应用例如是支付宝。
注册平台负责维护业务方的注册,可信应用的注册,以及进行注册信息与码串的映射和解析。注册平台可以对接若干个可信应用,以及许多个业务方。
下面,首先描述业务方获得并展示二维码的过程,该过程对应于图2的步骤S101到S104。
首先,在步骤S101,需要安全身份信息的业务方向注册平台提交注册信息,以请求二维码。一般地,注册信息至少包括,业务方的名称(例如商户i d),业务方公钥,业务方的路由信息(例如目的地址,网关信息等)以及业务方所需的身份信息,以下称为第一身份信息。可选的,注册信息还可以包含其他信息,例如一些描述信息等。
在不同实施例中,第一身份信息可以包括,姓名,身份证号,民族,证件有效期,人脸照片,驾驶证信息等等中的一项或多项,具体内容由业务方根据其业务逻辑设定,或者由业务方所属行业统一规定。
注册平台针对业务方提交的注册信息,生成业务索引,或称为业务令牌(token),将业务索引与注册信息绑定,换而言之,将业务索引与注册信息相关联、相对应地进行存储。
接着,在步骤S102,注册平台根据业务方的注册信息,生成二维码信息。可以理解,每个二维码可以对应一个码串,该码串可以映射为二维码。因此,本文所称的二维码信息既可以是二维码本身,也可以是二维码对应的码串。
具体地,在一个例子中,注册平台可以将上述业务索引落成码串,从而生成二维码;在另一例子中,注册平台也可以将注册信息落成码串,从而生成二维码。
在步骤S103,注册平台向业务方返回二维码信息。在该步骤中,注册平台既可以将二维码图案返回给业务方,也可以向其返回一个码串,使得业务方根据约定方式,将码串映射为二维码。
于是,在步骤S104,业务方可以根据得到的二维码信息,展示二维码,供有需要的用户扫描。例如,业务方可以将该二维码打印出来,展示在前台;或者,业务方可以利用电子显示设备来展示该二维码。
需要理解,以上获得并展示二维码的过程,是用户通过二维码方式进行安全核验的预备步骤,在用户进行身份核验并提供安全身份信息之前预先进行。
下面描述用户通过扫码方式利用可信应用进行身份核验,进而向业务方提供安全身份信息的过程。
可以理解,用户通常是自然人,也是电子核验身份的对象,如支付宝的用户。当用户在线下遇到需要身份核验的场景时,例如入住酒店需要核验身份时,取代于将身份证提供给酒店前台,用户可以打开可信应用,请求可信应用扫描业务方展示的二维码。也就是,如图2所示,在步骤S201,用户向可信应用发出请求,用于请求可信应用执行扫码,读取业务方展示的二维码。例如,在一个例子中,用户可以打开支付宝,点击“扫一扫”,从而发出扫码请求。
在步骤S202,可信应用执行扫码,获取用户扫描的二维码对应的二维码信息。可以理解,该二维码由注册平台针对业务方预先生成,如前述步骤S101-S104所示。
更具体而言,可信应用客户端通过调用客户端所在的终端所配备的摄像头,读取二维码的图像,获取对应的二维码信息,并将该二维码信息传送至服务端。
可以理解,二维码中都会携带该二维码的生成方的信息,例如标识或地址。因此,可信应用扫描上述二维码之后,可以按照常规方式解析该二维码,确定出生成该二维码的注册平台,以及获取到二维码对应的码串。但是需要理解,上述二维码信息是注册平台根据一定规则,基于业务方的注册信息进行编码、映射等各种操作而生成的(如前述步骤S102所示),可信应用虽然可以读取到二维码对应的码串,但是不能从中解析中业务方信息。因此,可信应用仍然需要与注册平台交互,以查询获得业务方相关信息。
于是,在步骤S203,可信应用(服务端)向注册平台发送查询请求,所述查询请求包括所述二维码信息。
在步骤S204,注册平台根据接收到的查询请求进行查询。具体而言,该查询至少包括,基于查询请求中包含的二维码信息,确定对应的业务方以及该业务方的注册信息。在一个例子中,注册平台可以根据二维码信息确定出对应的业务索引,然后基于业务索引确定出关联存储的注册信息。如前所述,注册信息中至少包括,业务方的名称,业务方的公钥,业务方的路由信息,以及业务方所需的身份信息等。以下将业务方所需的身份信息称为第一身份信息。应该理解,本文中的“第一”,“第二”仅仅是为了表述的清楚而对类似概念进行的标记和区分,并不具有其他限定作用。
可以理解,业务方展示的二维码是在之前的步骤S102,由注册平台根据业务方的注册信息而生成的,因此,注册平台可以根据生成该二维码时采用的操作的逆向操作,从二维码信息反向确定出业务方的注册信息。
在查询得到业务方的注册信息后,在步骤S205,注册平台向可信应用返回查询结果,其中包括业务方的标识信息,业务方的公钥,以及该业务方需要的第一身份信息。此处,注册平台可以将注册信息中的业务方名称作为业务方的标识信息,也可以将注册平台为其生成的业务索引作为标识信息,只要注册平台可以依据该标识信息确定出对应的业务方的信息即可。
接收到这样的查询结果之后,在步骤S206,可信应用根据业务方需要的第一身份信息,获取用户的各种身份信息,所获取的用户身份信息称为第二身份信息。
具体地,获取用户的身份信息可以采用硬件采集、用户手工输入、读取已有信息等多种方式。在一种实施方式中,可信应用首先根据要获取的身份信息的内容,以及所在终端的硬件和控件配置状况,确定用户身份信息的获取方式。
在一个实施例中,终端配置有相应硬件和控件,那么该步骤S206中获取第二身份信息可以包括,通过可信应用的客户端所在的终端,采集第二身份信息。例如,在一个例子中,可以通过终端上的摄像头采集人脸信息;在另一例子中,可以通过终端的NFC功能和其上的控件,读取身份证信息。
在另一实施例中,该步骤S206中获取第二身份信息可以包括,通过可信应用的客户端渲染输入界面,接收用户的输入信息。例如输入信息可以包括,用户姓名,身份证号,口令等等。
在又一实施例中,该步骤S206中获取第二身份信息可以包括,读取可信应用中存储的用户身份信息。例如,用户可以预先将其姓名、身份证号存储在可信应用客户端或服务端。如此,在步骤206,可以直接提取可信应用已经存储的用户身份信息,来减少用户手工输入的次数,提升用户便捷度。
以上实施例可以结合使用。例如,在一个例子中,可以通过终端的NFC功能和相应控件,读取用户的二代身份证,获取姓名、身份证号、证件有效期,并通过终端的摄像头采集人脸照片,作为第二身份信息。
在另一例子中,可以通过客户端接收用户手工输入的姓名、身份证号,并通过摄像头采集人脸照片,作为第二身份信息。
如此,在步骤S206,可信应用通过多种方式,获取用户的第二身份信息。
在获取用户的身份信息之后,可信应用需要将获取的身份信息交由核验源进行核验,以保证身份信息的安全性和准确性。在对接的核验源不唯一,和/或核验模式不唯一的情况下,在一个实施例中,可信应用在获取到第二身份信息之后,在步骤S207,根据需要的第一身份信息和获取的第二身份信息,确定需要的核验源以及所需的核验模式。
可以理解,可信应用预先可以对接多个核验源。在与各个核验源对接时,双方会明确约定,可以核验哪些信息,以及所支持的核验模式。因此,根据第一身份信息和第二身份信息的信息内容,可以确定出需要哪些核验源,以及所需的核验模式。
一般地,核验源提供的核验模式包括鉴别模式和信息模式。在鉴别模式下,核验源对发送来的身份信息进行核验之后,返回核验是否通过的通知结果。在信息模式下,核验源返回的核验结果包括,核验是否通过的通知,以及基于核验通过的身份信息而确定的补充身份信息。
在一种实施方式中,步骤S206中获取的第二身份信息即为业务方需要的第一身份信息,甚至可以包含更多内容。在这样的情况下,在步骤S207可以确定仅需要鉴别模式即可,也就是,仅需要获知,第二身份信息的各项是否核验通过。
在另一种可能的实施方式中,由于采集困难或其他原因,获取的第二身份信息也可以是第一身份信息的一部分。此时,就需要借助核验源提供补充信息。因此,在这样的情况下,在步骤S207可以确定需要的核验模式为信息模式。
于是,在步骤S208,可信应用根据以上确定的核验源和核验模式,将第二身份信息发送给对应核验源,并请求以对应核验模式进行核验。这个过程中,可信应用和核验源可以通过签名和验签建立信任关系,确保数据的安全有效。
在步骤S209,核验源根据请求的核验模式,对获得的身份信息进行核验。
在鉴别模式下,核验源对身份的核验包括信息的比对。在一个例子中,核验源保存完整的用户信息。这种情况下,核验源通过将获得的第二身份信息与保存的用户信息直接比对,来进行用户身份核验。在另一例子中,核验源为了避免遭受攻击从而批量泄露用户信息,因此可以配置策略,仅保存用户信息的哈希值。这种情况下,核验源对接收到的用户身份信息进行同样的哈希运算,比较运算的哈希值和存储的哈希值,以此进行用户身份核验。进一步地,核验源可以在一定时间间隔内删除接收到的用户信息,以增加安全性。
在信息模式下,核验源首先对接收到的身份信息与保存的相应信息进行对比,在确定接收到的身份信息准确无误之后,基于这样的信息确定补充身份信息。
例如人口库作为一种核验源,可以在信息模式下,对接收到的用户姓名和身份证号进行核验,在核验通过之后,基于姓名和身份证号,确定用户的民族信息作为补充身份信息。
在核验之后,在步骤S210,核验源向可信应用返回核验结果。如前所述,在鉴别模式下,核验源可以反馈核验通过/核验失败的通知结果,在信息模式下,核验源还可以返回补充身份信息。
以上描述了通过单个核验源进行身份核验的过程。然而,在一些情况下,单个核验源不足以核验获得第一身份信息。由此,在步骤S207,可以确定出需要多个核验源。为了描述的简单方便,假定需要的核验源包括第一核验源和第二核验源。
在这样的情况下,在步骤S208,可信应用将第二身份信息中的第一部分发送到第一核验源,以及将第二身份信息中的第二部分发送到第二核验源。在一个实施例中,上述第一部分和第二部分可以存在交集。
在步骤S209,第一核验源对上述第二身份信息的第一部分进行核验,第二核验源对上述第二身份信息的第二部分进行核验。
在步骤S210,可信应用从第一核验源接收第一结果,从第二核验源接收第二结果。在这之后,可信应用还将所述第一结果和第二结果合并,从而得到总的核验结果。
以上多个核验源可以各自具有不同的核验模式,因此,不同数目的核验源的实施例可以与不同模式进行核验的实施例进行组合。
例如,在一个实施例中,业务方所需的第一身份信息包括:用户姓名、身份证号、人脸、用户民族。在步骤S206中,获得的第二身份信息包括:用户手工输入的姓名、身份证号,以及采集的人脸照片。根据以上的第一身份信息和第二身份信息,可信应用判断,可以采用公安一所核验源(第一核验源),以鉴别模式验证姓名、身份证号和人脸,并采用人口库(第二核验源),以信息模式,通过用户姓名+身份证号获取民族信息作为补充身份信息。
于是,在步骤S208,可信应用将用户姓名、身份证号和人脸发送到公安一所,请求以鉴别模式进行核验,将用户姓名和身份证号发送到人口库,请求以信息模式进行核验。
在另一实施例中,业务方所需的第一身份信息包括:用户姓名、身份证号、人脸、用户民族。在步骤S206中,获得的第二身份信息包括:用户手工输入的姓名、身份证号、民族,以及采集的人脸照片。根据以上的第一身份信息和第二身份信息,可信应用判断,可以采用公安一所核验源(第一核验源),以鉴别模式验证姓名、身份证号和人脸,并采用人口库(第二核验源),以鉴别模式验证用户的民族信息。
于是,在步骤S208,可信应用将用户姓名、身份证号和人脸发送到公安一所,请求以鉴别模式进行核验,将用户姓名、身份证号和民族发送到人口库,请求以鉴别模式进行核验。
在步骤S210,可信应用获得各个核验源的核验结果,并对核验结果进行合并。根据不同核验源的核验模式,合并后的核验结果可以表示为不同形式。
在一个例子中,合并后的核验结果包括,经过核验的各个信息项的内容。例如,在一个具体例子中,核验结果可以表示为:用户姓名为**,用户身份证号为**,用户民族为***,用户人脸与身份证上的人脸一致。
在又一例子中,合并后的核验结果包括,鉴别模式下得到的各个信息项是否正确的结果。例如,在一个具体例子中,核验结果可以表示为:用户姓名正确,用户身份证号正确,用户民族正确,用户人脸与身份证上的人脸一致。
在另一例子中,合并后的核验结果包括,鉴别模式下得到的各个信息项的内容以及是否正确的结果,以及信息模式下提供的补充身份信息。例如,在一个例子中,核验结果可以表示为:用户姓名为***正确,用户身份证号为***正确,用户民族为***(补充身份信息),用户人脸与身份证上的人脸一致。
可以理解,核验结果的具体表示形式可以不限于以上举例。
基于以上获得的核验结果,在步骤S211,可信应用生成安全身份信息。
具体地,在一个实施例中,可信应用可以首先基于第二身份信息和上述核验结果,得到经过核验的第一身份信息。
更具体地,在一个例子中,获取的第二身份信息与需要的第一身份信息的信息项一致,甚至包含更多内容,并且,在前述步骤中,请求采用鉴别模式对第二身份信息进行核验。如果核验结果显示,第二身份信息的各个信息项核验通过,那么,就可以将核验通过的第二身份信息,作为所述经过核验的第一身份信息。
在另一例子中,获取的第二身份信息为需要的第一身份信息的一部分,并且,在前述步骤中,请求采用信息模式对第二身份信息进行核验。如果在该信息模式下的核验结果包括,核验通过的通知,以及基于核验通过的信息项确定的补充身份信息,那么,在该步骤中,可以将核验通过的第二身份信息,以及所述补充身份信息,共同作为所述经过核验的第一身份信息。
然后,可信应用利用步骤S205获得的业务方的公钥,对上述得到的经过核验的第一身份信息进行加密,得到加密信息。
此外,可信应用还在上述加密信息之外,附上业务方的标识信息,如此生成所述安全身份信息。
接着,在步骤S212,可信应用将上述生成的安全身份信息发送给注册平台。
在步骤S213,注册平台将安全身份信息中的加密信息发送给业务方。
具体地,注册平台接收到上述安全身份信息后,可以从中提取出加密信息和业务方的标识信息。。一旦得到业务方的标识信息,注册平台就可以确定出相应的业务方,并根据该业务方注册时的信息,确定出业务方的路由信息,例如目的地址。然后,可信应用按照路由信息(例如目的地址),将加密信息发送至第一业务方对应的终端。
业务方接收到上述加密信息后,在步骤S214,对上述加密信息进行解密,从而得到需要的第一身份信息。
可以理解,该加密信息是可信应用利用业务方的公钥对经过核验的第一身份信息进行加密得到的,业务方本地存储有与该公钥对应的私钥。公钥与私钥是成对的秘钥,可以用于对另一秘钥加密的数据进行解密。因此,在一个实施例中,业务方利用自身的私钥,对接收到的加密信息进行解密,从而获得用户的经过核验的第一身份信息。
在获得所需的身份信息之后,业务方就可以根据其业务逻辑开展服务,例如网吧可以判断用户年龄是否达到标准,酒店可以基于用户姓名和身份证号进行入住登记,等等。
通过以上描述可以看到,在线下需要进行身份核验或者提供身份信息的场景下,用户可以不必将身份证件交给业务方的工作人员,而是可以通过可信应用来扫描业务方展示的二维码,该二维码由业务方预先向注册平台注册而生成。可信应用在扫码后,通过向注册平台查询而获知,该业务方需要哪些身份信息,进而采集获取用户的身份信息。之后,可信应用将获取的身份信息发往核验源进行核验,并将核验通过的身份信息进行加密,通过注册平台转发至业务方。在该过程中,引入了公共的注册平台,来实现不同业务方与不同可信应用之间的互联互通,因此业务方只需展示一个二维码,即可适用于与注册平台对接的多种可信应用,而不必针对每个应用展示一个二维码。此外,可信应用在将用户的身份信息发到第三方核验源进行核验之后才将经过核验的身份信息提供给业务方,如此还保证了提供身份信息的准确性和权威性。
如本领域技术人员所知,一般地,可信应用包含客户端和服务端。客户端例如是移动终端上安装的App(例如支付宝App),或者PC机上的应用软件客户端。在图2所示的方法中,可信应用与用户的交互均通过客户端进行。例如,在步骤S201,用户通过客户端发出扫码请求,例如点击客户端界面中的相应选项,例如“扫一扫”。在步骤S202,客户端调用终端的摄像头读取二维码,获取二维码信息,并将二维码信息发送到服务端。在步骤S206,根据一种实施方式,可以通过客户端采集或接收用户的第二身份信息的至少一部分。此外的其他步骤,包括可信应用与核验源的交互步骤,以及与注册平台的交互步骤,均是通过服务端来执行。
图3示出根据另一实施例的获取安全身份信息的方法。在图3的实施例中,注册中心与某个特定应用位于同一物理实体中,因此简单地示出为可信应用+注册平台。下文中又将可信应用和注册平台共同所在的实体称为统一服务端。
在这样的情况下,注册平台仍然可以对接多个可信应用,包括本地的特定应用,和其他应用。业务方仍然预先通过注册信息向注册平台发起注册请求来获得并展示二维码,各个可信应用仍然通过扫描获得业务方的二维码信息,并针对读取的二维码向注册平台发起查询请求。在一个实施例中,查询请求可以包括一个特定字段(以下称为第一字段),用于标示发起请求的可信应用是否为注册平台本地的可信应用。
假定注册平台接收到来自第一应用的查询请求,该查询请求除了包含二维码信息外,还包括第一字段。在第一字段具有第一值(例如值为1)的情况下,指示出第一应用即为注册平台本地的特定应用,在第一字段具有第二值(例如值为0)的情况下,指示出第一应用不是本地的特定应用。
如果第一字段具有第二值,也就是,注册平台接收到的请求信息来自于非本地的可信应用,那么就按照图2所示的通信交互方式,执行后续步骤。
如果所述第一字段具有第一值,也就是,注册平台接收到的请求信息来自于本地的可信应用,那么注册平台与可信应用之间的交互都可以在本地执行,也就是如图3所示在统一服务端内部执行。
具体地,在注册平台接收到查询请求之后,对二维码信息进行查询,得到业务方的注册信息,并基于该注册信息生成查询结果。在第一应用为本地的特定应用的情况下,注册平台可以在本地将上述查询结果提供给第一应用的应用逻辑。因此,图2中的步骤S203到S205,可以在统一服务端内部执行,并在图3中示出为查询步骤。
在可信应用(在其应用逻辑中)基于经过核验的第一身份信息生成安全身份信息后,注册平台可以在本地从第一应用的应用逻辑获取所述安全身份信息,从中获得加密信息,提供给业务方。也就是说,图2中的步骤S211到S212,可以在统一服务端内部执行,如图3所示。
除此之外的其他步骤,例如S207到S210的身份核验步骤,以及与业务方的交互步骤,与图2所示的相同,不再赘述。
通过图2到图3所示的实施例中的方法,在需要身份核验的情况下,用户通过可信应用来扫描业务方展示的二维码,从而通过注册平台将经过核验的身份信息提供给业务方。在提供身份信息之前,可信应用首先将用户的身份信息发到第三方核验源进行核验,如此保证了提供身份信息的准确性和权威性。并且在以上过程中,通过注册平台来实现不同业务方与不同可信应用之间的互联互通,如此,业务方无需关注用户使用哪个应用来提供身份信息,核验更加灵活和便捷。
在以上的获取安全身份信息的过程中,涉及可信应用,注册平台和业务方的多方交互。下面分别描述以上各方的装置构成。
图4示出根据一个实施例的提供安全身份信息的装置的示意性框图,该装置部署于可信应用服务端。如图4所示,该装置400包括:
二维码获取单元41,配置为获取用户扫描的二维码对应的二维码信息,所述二维码由注册平台针对第一业务方预先生成;
查询请求发送单元42,配置为向所述注册平台发送查询请求,所述查询请求包括所述二维码信息;
查询结果接收单元43,配置为从所述注册平台接收查询结果,所述查询结果包括所述第一业务方的标识信息,所述第一业务方的公钥,以及所述第一业务方需要的第一身份信息;
身份信息获取单元44,配置为获取用户的第二身份信息;
核验发送单元45,配置为将所述用户的第二身份信息发送到核验源,以得到核验结果;
安全信息生成单元46,配置为生成安全身份信息,所述安全身份信息包括所述第一业务方的标识信息,以及加密信息,所述加密信息是利用所述第一业务方的公钥对经过核验的第一身份信息加密得到,所述经过核验的第一身份信息基于所述第二身份信息和所述核验结果而确定;
安全信息发送单元47,配置为将所述安全身份信息发送至所述注册平台,以使得注册平台将所述加密信息发送至所述第一业务方。
根据一种实施方式,身份信息获取单元44配置为,通过所述可信应用的客户端所在的终端,采集所述第二身份信息。
进一步地,在具体实施例中,身份信息获取单元44可以如下采集所述第二身份信息:通过所述终端上的摄像头采集人脸信息;和/或,通过所述终端的NFC功能和其上的控件,读取身份证信息。
根据另一种实施方式,身份信息获取单元44配置为,通过所述可信应用的客户端,接收用户的输入信息。
在一种可能的设计中,上述装置还包括确定单元(未示出),配置为根据需要的第一身份信息和获取的第二身份信息,确定所述核验源以及所需的核验模式。
进一步地,在一个实施例中,获取的第二身份信息包括需要的第一身份信息;在这样的情况下,确定单元可以确定所需的核验模式为鉴别模式,在所述鉴别模式下,所述核验结果为核验是否通过的通知结果。
在另一实施例中,获取的第二身份信息为需要的第一身份信息的一部分;在这样的情况下,确定单元可以确定所需的核验模式为信息模式,在所述信息模式下,所述核验结果包括,核验是否通过的通知,以及基于核验通过的第二身份信息的至少一部分确定的补充身份信息。
根据一个实施例,确定单元确定需要的核验源包括第一核验源和第二核验源;在这样的情况下,核验发送单元45配置为:
将所述第二身份信息中的第一部分发送到第一核验源,以及将所述第二身份信息中的第二部分发送到第二核验源;
从所述第一核验源接收第一结果,从所述第二核验源接收第二结果;
将所述第一结果和第二结果合并,从而得到所述核验结果。
在一个实施例中,安全信息生成单元46具体配置为:
基于所述第二身份信息和所述核验结果,得到经过核验的第一身份信息;
利用所述第一业务方的公钥对经过核验的第一身份信息进行加密,得到所述加密信息;
基于所述加密信息以及所述第一业务方的标识信息,生成所述安全身份信息。
在一个例子中,上述核验结果为鉴别模式下核验通过的通知结果;此时,安全信息生成单元46可以将核验通过的所述第二身份信息作为所述经过核验的第一身份信息。
在另一例子中,上述核验结果包括,核验通过的通知,以及基于核验通过的第二身份信息的至少一部分确定的补充身份信息;此时,安全信息生成单元46可以将核验通过的所述第二身份信息,以及所述补充身份信息,作为所述经过核验的第一身份信息。
图5示出根据一个实施例的获取安全身份信息的装置的示意性框图,该装置部署于注册平台。如图5所示,该装置500包括:
查询请求接收单元51,配置为从第一应用接收查询请求,所述查询请求包括二维码信息,该二维码信息是利用第一应用扫描所述注册平台预先为第一业务方生成的二维码而得到;
注册信息确定单元52,配置为基于所述二维码信息,确定所述第一业务方的注册信息,所述注册信息至少包括,所述第一业务方的公钥,以及所述第一业务方需要的第一身份信息;
查询结果发送单元53,配置为向所述第一应用发送查询结果,所述查询结果包括第一业务方的标识信息,所述第一业务方的公钥,以及所述第一身份信息;
安全信息接收单元54,配置为从第一应用接收安全身份信息,所述安全身份信息包括所述第一业务方的标识信息,以及加密信息,所述加密信息是利用所述第一业务方的公钥对经过核验的第一身份信息加密得到;
加密信息发送单元55,配置为根据所述第一业务方的标识信息,将所述加密信息发送至所述第一业务方。
在一个实施例中,上述装置500还包括,二维码生成单元50,配置为:从所述第一业务方接收所述注册信息;基于所述注册信息,为所述第一业务方生成二维码。
在一个实施例中,所述注册信息还包括,第一业务方的路由信息;所述加密信息发送单元55具体配置为:
从所述安全身份信息中分别提取出所述第一业务方的标识信息,以及加密信息;
根据所述第一业务方的标识信息确定出第一业务方的路由信息;
按照所述路由信息,将所述加密信息发送至所述第一业务方对应的终端。
根据一种可能的设计,所述注册中心与特定应用的服务端位于同一物体实体中;并且,查询请求接收单元51接收到的查询请求包括第一字段,在所述第一字段具有第一值的情况下,指示出所述第一应用为所述特定应用,在所述第一字段具有第二值的情况下,指示出所述第一应用不是所述特定应用。
进一步地,在一个实施例中,所述第一字段具有第一值;此时,查询结果发送单元53可以在本地将所述查询结果提供给所述第一应用的应用逻辑;并且,安全信息接收单元54可以在本地从所述第一应用的应用逻辑获取所述安全身份信息。
根据另一方面的实施例,还提供一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行结合图2到图3所描述的方法。
根据再一方面的实施例,还提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现结合图2到图3所述的方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (9)
1.一种提供安全身份信息的方法,该方法由服务端执行,包括:
获取用户扫描的二维码对应的二维码信息,所述二维码由所述服务端针对第一业务方预先生成;
对所述二维码信息进行查询,确定所述第一业务方需要的第一身份信息;
获取用户的第二身份信息;
将所述用户的第二身份信息发送到第三方的可信核验源,得到对应的核验结果;所述核验结果包括,核验是否通过的通知,以及在第二身份信息为第一身份信息的一部分的情况下,基于核验通过的第二身份信息确定的补充身份信息;
基于所述第二身份信息和所述核验结果,确定经过核验的第一身份信息;
将所述经过核验的第一身份信息加密后发送至所述第一业务方。
2.根据权利要求1所述的方法,其中,在获取用户扫描的二维码对应的二维码信息之前,还包括:
从所述第一业务方接收注册信息,所述注册信息至少包括,所述第一业务方的公钥,以及所述第一业务方需要的第一身份信息;
基于所述注册信息,为所述第一业务方生成二维码。
3.根据权利要求2所述的方法,其中,对所述二维码信息进行查询,确定所述第一业务方需要的第一身份信息,包括:
查询所述二维码信息,得到所述第一业务方的注册信息,从而得到所述第一业务方需要的第一身份信息。
4.根据权利要求1所述的方法,还包括,根据需要的第一身份信息和获取的第二身份信息,确定所述可信核验源以及所需的核验模式。
5.根据权利要求4所述的方法,其中,获取的第二身份信息包括需要的第一身份信息;
所述确定所述可信核验源以及所需的核验模式包括,确定所需的核验模式为鉴别模式,在所述鉴别模式下,所述核验结果为核验是否通过的通知结果。
6.根据权利要求4所述的方法,其中,获取的第二身份信息为需要的第一身份信息的一部分;
所述确定所述可信核验源以及所需的核验模式包括,确定所需的核验模式为信息模式,在所述信息模式下,所述核验结果包括,核验是否通过的通知,以及基于核验通过的第二身份信息的至少一部分确定的所述补充身份信息。
7.根据权利要求2所述的方法,其中,所述注册信息还包括,第一业务方的路由信息;将所述经过核验的第一身份信息加密后发送至所述第一业务方,包括:
利用所述第一业务方的公钥对经过核验的第一身份信息进行加密,得到加密信息;
按照所述路由信息,将所述加密信息发送至所述第一业务方对应的终端。
8.一种提供安全身份信息的装置,部署在服务端中,包括:
二维码获取单元,配置为获取用户扫描的二维码对应的二维码信息,所述二维码由所述服务端针对第一业务方预先生成;
第一身份确定单元,配置为对所述二维码信息进行查询,确定所述第一业务方需要的第一身份信息;
第二身份获取单元,配置为获取用户的第二身份信息;
核验信息获取单元,配置为将所述用户的第二身份信息发送到第三方的可信核验源,得到对应的核验结果;所述核验结果包括,核验是否通过的通知,以及在第二身份信息为第一身份信息的一部分的情况下,基于核验通过的第二身份信息确定的补充身份信息;基于所述第二身份信息和所述核验结果,确定经过核验的第一身份信息;
身份信息发送单元,配置为将所述经过核验的第一身份信息加密后发送至所述第一业务方。
9.一种计算设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010580992.5A CN111639956B (zh) | 2018-11-16 | 2018-11-16 | 提供和获取安全身份信息的方法及装置 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811365449.2A CN109636411B (zh) | 2018-11-16 | 2018-11-16 | 提供和获取安全身份信息的方法及装置 |
| CN202010580992.5A CN111639956B (zh) | 2018-11-16 | 2018-11-16 | 提供和获取安全身份信息的方法及装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811365449.2A Division CN109636411B (zh) | 2018-11-16 | 2018-11-16 | 提供和获取安全身份信息的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111639956A CN111639956A (zh) | 2020-09-08 |
| CN111639956B true CN111639956B (zh) | 2023-04-28 |
Family
ID=66068233
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811365449.2A Active CN109636411B (zh) | 2018-11-16 | 2018-11-16 | 提供和获取安全身份信息的方法及装置 |
| CN202010580992.5A Active CN111639956B (zh) | 2018-11-16 | 2018-11-16 | 提供和获取安全身份信息的方法及装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811365449.2A Active CN109636411B (zh) | 2018-11-16 | 2018-11-16 | 提供和获取安全身份信息的方法及装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11170091B2 (zh) |
| EP (1) | EP3882841A4 (zh) |
| CN (2) | CN109636411B (zh) |
| SG (1) | SG11202100484YA (zh) |
| TW (1) | TWI700916B (zh) |
| WO (1) | WO2020098419A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110335036B (zh) * | 2019-06-03 | 2020-11-06 | 创新先进技术有限公司 | 离线图形码的处理、生成方法及装置 |
| CN110519294B (zh) * | 2019-09-12 | 2021-08-31 | 创新先进技术有限公司 | 身份认证方法、装置、设备及系统 |
| CN110675170A (zh) * | 2019-09-27 | 2020-01-10 | 支付宝(杭州)信息技术有限公司 | 基于信用的证件担保方法以及装置 |
| TWI770433B (zh) * | 2019-11-08 | 2022-07-11 | 中國信託商業銀行股份有限公司 | 防偽審查設備與防偽造審查方法 |
| CN111062726A (zh) * | 2019-12-17 | 2020-04-24 | 中国银行股份有限公司 | 一种信息交互方法及终端 |
| CN111091387A (zh) * | 2019-12-31 | 2020-05-01 | 中国银行股份有限公司 | 一种认证方法、装置及系统 |
| CN111552985B (zh) * | 2020-05-14 | 2023-01-20 | 支付宝(杭州)信息技术有限公司 | 一种信息核验方法和装置 |
| CN112836227B (zh) * | 2021-02-07 | 2021-11-19 | 新大陆(福建)公共服务有限公司 | 一种可信数字身份应用的方法 |
| CN113077372B (zh) * | 2021-04-21 | 2023-10-24 | 支付宝(杭州)信息技术有限公司 | 业务处理方法、装置及计算机设备 |
| CN113298476B (zh) * | 2021-07-27 | 2021-10-29 | 国家邮政局邮政业安全中心 | 一种安全寄递方法、系统、电子设备及存储介质 |
| CN114679276B (zh) * | 2022-02-18 | 2024-04-23 | 支付宝(杭州)信息技术有限公司 | 基于时间的一次性密码算法的身份认证方法和装置 |
| CN115150073A (zh) * | 2022-06-20 | 2022-10-04 | 中国联合网络通信集团有限公司 | 基于生物特征的云服务统一身份认证方法、装置及设备 |
| US11849259B1 (en) * | 2022-07-16 | 2023-12-19 | Vmware, Inc. | Enterprise metaverse management |
| CN115484224B (zh) * | 2022-09-16 | 2023-09-29 | 北京奇艺世纪科技有限公司 | 信息关联方法、二维码生成方法、装置、电子设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1143216C (zh) * | 1999-08-10 | 2004-03-24 | 国际商业机器公司 | 超文本标记语言文件捕获方法和信息终端支持装置 |
| WO2006112816A1 (en) * | 2005-04-13 | 2006-10-26 | Budzichowski Allen J | System and method for identification vertification |
| CN105491077A (zh) * | 2016-02-26 | 2016-04-13 | 浙江维尔科技股份有限公司 | 一种身份认证的系统 |
| CN108021793A (zh) * | 2016-11-02 | 2018-05-11 | 斯凯耶科德公司 | 用于借助于非安全终端认证用户的方法 |
| CN108288080A (zh) * | 2017-12-01 | 2018-07-17 | 国政通科技股份有限公司 | 身份信息核验方法、装置、介质及计算设备 |
| CN108667784A (zh) * | 2017-04-01 | 2018-10-16 | 金联汇通信息技术有限公司 | 互联网身份证核验信息保护的系统和方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050010547A1 (en) * | 2003-07-10 | 2005-01-13 | Nortel Networks Limited | Method and apparatus for managing identity information on a network |
| US8136148B1 (en) * | 2008-04-09 | 2012-03-13 | Bank Of America Corporation | Reusable authentication experience tool |
| US10255419B1 (en) * | 2009-06-03 | 2019-04-09 | James F. Kragh | Identity validation and verification system and associated methods |
| US10742634B1 (en) * | 2011-12-27 | 2020-08-11 | Majid Shahbazi | Methods for single sign-on (SSO) using optical codes |
| US8935777B2 (en) * | 2012-02-17 | 2015-01-13 | Ebay Inc. | Login using QR code |
| JP5903190B2 (ja) * | 2012-04-01 | 2016-04-13 | オーセンティファイ・インクAuthentify Inc. | マルチパーティシステムにおける安全な認証 |
| US9083531B2 (en) * | 2012-10-16 | 2015-07-14 | Symantec Corporation | Performing client authentication using certificate store on mobile device |
| US9979547B2 (en) * | 2013-05-08 | 2018-05-22 | Google Llc | Password management |
| CN104468108A (zh) * | 2013-09-18 | 2015-03-25 | 上海耕云供应链管理有限公司 | 基于条形码的用户身份认证系统及认证方法 |
| CN104463593B (zh) * | 2013-09-18 | 2018-06-19 | 曲立东 | 标签数据应用方法和装置 |
| CN103996035A (zh) * | 2014-04-09 | 2014-08-20 | 娲石水泥集团武汉万世科技有限公司 | 一种旅客安检身份认证产品 |
| US10796302B2 (en) * | 2014-04-23 | 2020-10-06 | Minkasu, Inc. | Securely storing and using sensitive information for making payments using a wallet application |
| US10237256B1 (en) * | 2015-01-26 | 2019-03-19 | Microstrategy Incorporated | Dynamic identity profiles |
| CN107636662A (zh) * | 2015-02-13 | 2018-01-26 | 优替控股有限公司 | 网络内容认证 |
| CN104869127B (zh) * | 2015-06-24 | 2018-09-04 | 郑州悉知信息科技股份有限公司 | 一种网站登录方法、扫码客户端及服务器 |
| CN106529935A (zh) * | 2016-11-21 | 2017-03-22 | 航天信息股份有限公司 | 一种微信支付方法和系统 |
| IT201700044688A1 (it) * | 2017-04-24 | 2018-10-24 | Just Log Me S R L | Sistema di autenticazione e gestione identita' senza password mediante codice qr monouso e relativo metodo |
| CN108777694A (zh) * | 2018-09-06 | 2018-11-09 | 山西特信环宇信息技术有限公司 | 基于证件链技术的数字签名管控系统及方法 |
| CN116723027A (zh) * | 2018-11-16 | 2023-09-08 | 创新先进技术有限公司 | 提供和获取安全身份信息的方法及装置 |
-
2018
- 2018-11-16 CN CN201811365449.2A patent/CN109636411B/zh active Active
- 2018-11-16 CN CN202010580992.5A patent/CN111639956B/zh active Active
-
2019
- 2019-08-07 TW TW108128084A patent/TWI700916B/zh active
- 2019-10-09 WO PCT/CN2019/110163 patent/WO2020098419A1/zh unknown
- 2019-10-09 EP EP19884991.1A patent/EP3882841A4/en active Pending
- 2019-10-09 SG SG11202100484YA patent/SG11202100484YA/en unknown
-
2021
- 2021-01-26 US US17/158,658 patent/US11170091B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1143216C (zh) * | 1999-08-10 | 2004-03-24 | 国际商业机器公司 | 超文本标记语言文件捕获方法和信息终端支持装置 |
| WO2006112816A1 (en) * | 2005-04-13 | 2006-10-26 | Budzichowski Allen J | System and method for identification vertification |
| CN105491077A (zh) * | 2016-02-26 | 2016-04-13 | 浙江维尔科技股份有限公司 | 一种身份认证的系统 |
| CN108021793A (zh) * | 2016-11-02 | 2018-05-11 | 斯凯耶科德公司 | 用于借助于非安全终端认证用户的方法 |
| CN108667784A (zh) * | 2017-04-01 | 2018-10-16 | 金联汇通信息技术有限公司 | 互联网身份证核验信息保护的系统和方法 |
| CN108288080A (zh) * | 2017-12-01 | 2018-07-17 | 国政通科技股份有限公司 | 身份信息核验方法、装置、介质及计算设备 |
Non-Patent Citations (1)
| Title |
|---|
| 李毅等.应用二维码的车辆出入管理系统的实现.天津科技.2017,第44卷(第1期),76-82. * |
Also Published As
| Publication number | Publication date |
|---|---|
| US11170091B2 (en) | 2021-11-09 |
| SG11202100484YA (en) | 2021-02-25 |
| WO2020098419A1 (zh) | 2020-05-22 |
| TW202021305A (zh) | 2020-06-01 |
| CN111639956A (zh) | 2020-09-08 |
| CN109636411B (zh) | 2020-06-09 |
| CN109636411A (zh) | 2019-04-16 |
| TWI700916B (zh) | 2020-08-01 |
| US20210150011A1 (en) | 2021-05-20 |
| EP3882841A4 (en) | 2022-08-17 |
| EP3882841A1 (en) | 2021-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111639956B (zh) | 提供和获取安全身份信息的方法及装置 | |
| CN109598663B (zh) | 提供和获取安全身份信息的方法及装置 | |
| US11361065B2 (en) | Techniques for authentication via a mobile device | |
| KR101676215B1 (ko) | 추가적 검증에 의해 아날로그 디지털 서명으로 전자문서에 사인하는 방법 | |
| CN110874464A (zh) | 用户身份认证数据的管理方法和设备 | |
| US9166781B2 (en) | Key change management apparatus and key change management method | |
| US20090271321A1 (en) | Method and system for verification of personal information | |
| US20060075231A1 (en) | Terminal for exchanging electronic business cards | |
| KR20180017734A (ko) | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 | |
| EP2078283B1 (en) | Secure access of resources at shared appliances | |
| US11303451B2 (en) | System for authentication | |
| JP2009043037A (ja) | ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体 | |
| JP2007043321A (ja) | 電子文書の真正性検証方法及びシステム | |
| US11949689B2 (en) | Unified authentication system for decentralized identity platforms | |
| WO2021107755A1 (en) | A system and method for digital identity data change between proof of possession to proof of identity | |
| KR101933090B1 (ko) | 전자 서명 제공 방법 및 그 서버 | |
| JP3793042B2 (ja) | 電子署名代行方法、その装置、そのプログラム及びその記録媒体 | |
| KR20160006318A (ko) | 전자문서 제공 서비스를 위한 인증방법, 전자문서 제공 서비스 방법 및 시스템 | |
| KR20020084642A (ko) | 공개키 기반구조의 전자서명문서 발급/수신시스템 | |
| KR20020096330A (ko) | 인터넷을 이용한 부동산계약 체결시스템 | |
| KR20170099339A (ko) | 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법 | |
| JP2002033729A (ja) | 認証方法及び装置並びに認証プログラムを記憶した記憶媒体 | |
| KR20230023907A (ko) | 진료기록 사본 제공 방법 및 시스템 | |
| Costa | Reducing fraud in authentication systems using attribute certificates | |
| EP3491575A1 (en) | Method and system for the authentic determination of the identity of an electronic document with itself at a later date or with a copy thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200927 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. Effective date of registration: 20200927 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40036421 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |