CN111931154A - 基于数字凭证的业务处理方法、装置及设备 - Google Patents

基于数字凭证的业务处理方法、装置及设备 Download PDF

Info

Publication number
CN111931154A
CN111931154A CN202011075734.8A CN202011075734A CN111931154A CN 111931154 A CN111931154 A CN 111931154A CN 202011075734 A CN202011075734 A CN 202011075734A CN 111931154 A CN111931154 A CN 111931154A
Authority
CN
China
Prior art keywords
information
digital certificate
digital
verification
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011075734.8A
Other languages
English (en)
Other versions
CN111931154B (zh
Inventor
孙善禄
李书博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ant Blockchain Technology Shanghai Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202110274423.2A priority Critical patent/CN113010870B/zh
Priority to CN202011075734.8A priority patent/CN111931154B/zh
Publication of CN111931154A publication Critical patent/CN111931154A/zh
Application granted granted Critical
Publication of CN111931154B publication Critical patent/CN111931154B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本说明书实施例提供了一种基于数字凭证的业务处理方法、装置及设备,其中方法包括:身份管理系统接收第一用户的终端设备发送的凭证创建请求,该凭证创建请求包括第一用户的第一数字身份信息和待创建的数字凭证的创建信息;从目标创建方获取基于第一数字身份信息、创建信息和第一验证信息所创建的数字凭证;将数字凭证发送给终端设备,以使终端设备响应于第一用户的业务处理操作,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,根据数字凭证和第二验证信息向业务提供方发送业务处理请求,以使业务提供方在确定基于区块链中的验证相关信息对数字凭证和第二验证信息均验证通过时进行相应的业务处理。

Description

基于数字凭证的业务处理方法、装置及设备
技术领域
本文件涉及计算机技术领域,尤其涉及一种基于数字凭证的业务处理方法、装置及设备。
背景技术
随着科技水平的不断发展,用户的证照如身份证、护照、毕业证书等逐步走向电子化和数字化。然而,由于当前的电子化的证照并没有进行防伪处理,因此在用户的电子化的证照被窃取后,存在窃取者冒充用户办理业务而给该用户造成损失的风险。
发明内容
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理方法,应用于身份管理系统。该方法包括接收第一用户的终端设备发送的凭证创建请求。其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息。将所述数字凭证发送给所述终端设备。以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理方法,应用于设置有可信执行环境TEE的终端设备。该方法包括响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求。以使所述身份管理系统获取目标创建方根据所述凭证创建请求创建的数字凭证。接收所述身份管理系统发送的数字凭证。其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息。以及,响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息。其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理方法,应用于创建方设备。该方法包括接收身份管理系统发送的凭证创建请求。其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统。所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。根据预设方式生成第一验证信息。根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证。根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中。向所述身份管理系统发送创建完成信息。以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备。使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理方法,应用于业务提供方。该方法包括接收第一用户的终端设备发送的业务处理请求其中,所述业务处理请求包括待验证的数字凭证和第二验证信息。所述数字凭证包括所述数字凭证的目标创建方根据预设方式生成的第一验证信息。所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息。若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理装置,应用于身份管理系统。该装置包括接收模块,接收第一用户的终端设备发送的凭证创建请求。其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。该装置还包括获取模块,从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证。其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息。该装置还包括发送模块,将所述数字凭证发送给所述终端设备。以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理装置,应用于设置有可信执行环境TEE的终端设备。该装置包括第一发送模块,响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求。以使所述身份管理系统获取目标创建方根据所述凭证创建请求生成的数字凭证。该装置 还包括接收模块,接收所述身份管理系统发送的数字凭证。其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息。该装置还包括生成模块,响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息。其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则。该装置还包括第二发送模块,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理装置,应用于创建方设备。该装置包括接收模块,接收身份管理系统发送的凭证创建请求。其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统。所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。该装置还包括生成模块,根据预设方式生成第一验证信息。根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证。该装置还包括保存模块,根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中。该装置还包括发送模块,向所述身份管理系统发送创建完成信息。以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备。使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理装置,应用于业务提供方设备。该设备包括接收模块,接收第一用户的终端设备发送的业务处理请求。其中,所述业务处理请求包括待验证的数字凭证和第二验证信息。所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息。所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息。该装置还包括处理模块,若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理设备。该设备包括处理器。该设备还包括被安排成存储计算机可执行指令的存储器。所述计算机可执行指令在被执行时使所述处理器接收第一用户的终端设备发送的凭证创建请求。其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息。将所述数字凭证发送给所述终端设备。以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理设备。该设备包括处理器。该设备还包括被安排成存储计算机可执行指令的存储器。所述计算机可执行指令在被执行时使所述处理器响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求。以使所述身份管理系统获取目标创建方根据所述凭证创建请求创建的数字凭证。接收所述身份管理系统发送的数字凭证。其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息。以及,响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息。其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理设备。该设备包括处理器。该设备还包括被安排成存储计算机可执行指令的存储器。所述计算机可执行指令在被执行时使所述处理器接收身份管理系统发送的凭证创建请求。其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统。所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。根据预设方式生成第一验证信息。根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证。根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中。向所述身份管理系统发送创建完成信息。以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备。使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理设备。该设备包括处理器。该设备还包括被安排成存储计算机可执行指令的存储器。所述计算机可执行指令在被执行时使所述处理器接收第一用户的终端设备发送的业务处理请求其中,所述业务处理请求包括待验证的数字凭证和第二验证信息。所述数字凭证包括所述数字凭证的目标创建方根据预设方式生成的第一验证信息。所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息。若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供了一种存储介质。该存储介质用于存储计算机可执行指令。所述计算机可执行指令在被执行时接收第一用户的终端设备发送的凭证创建请求。其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息。将所述数字凭证发送给所述终端设备。以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种存储介质。该存储介质用于存储计算机可执行指令。所述计算机可执行指令在被执行时响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求。以使所述身份管理系统获取目标创建方根据所述凭证创建请求创建的数字凭证。接收所述身份管理系统发送的数字凭证。其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息。以及,响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息。其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供了一种存储介质。该存储介质用于存储计算机可执行指令。所述计算机可执行指令在被执行时接收身份管理系统发送的凭证创建请求。其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统。所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。根据预设方式生成第一验证信息。根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证。根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中。向所述身份管理系统发送创建完成信息。以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备。使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息。根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供了一种存储介质。该存储介质用于存储计算机可执行指令。所述计算机可执行指令在被执行时接收第一用户的终端设备发送的业务处理请求其中,所述业务处理请求包括待验证的数字凭证和第二验证信息。所述数字凭证包括所述数字凭证的目标创建方根据预设方式生成的第一验证信息。所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息。若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图;
图1为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的场景示意图;
图2为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第一种流程示意图;
图3为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第二种流程示意图;
图4为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第三种流程示意图;
图5为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第四种流程示意图;
图6为本说明书一个或多个实施例提供的步骤S110的细化图;
图7为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第五种流程示意图;
图8为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第六种流程示意图;
图9为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第七种流程示意图;
图10为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第八种流程示意图;
图11为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第九种流程示意图;
图12为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第十种流程示意图;
图13为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第十一种流程示意图;
图14为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的第十二种流程示意图;
图15为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的第一种模块组成示意图;
图16为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的第二种模块组成示意图;
图17为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的第三种模块组成示意图;
图18为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的第四种模块组成示意图;
图19为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
图1为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的应用场景示意图,如图1所示,该场景包括:设置有可信执行环境TEE(Trusted ExecutionEnvironment)的终端设备、身份管理系统、目标创建方设备、业务提供方设备和包括区块链的区块链系统(图1中仅示出区块链)。其中,终端设备可以为手机、平板电脑、台式计算机、便携笔记本式计算机等(图1 中仅示出手机)。身份管理系统可以为分布式数字身份管理系统,还可以为普通的数字身份管理系统;身份管理系统能够提供数字身份的创建等服务,并将创建的数字身份信息与对应的公钥关联保存至区块链中。目标创建方设备是从多个创建方设备中确定的与待创建的数字凭证相对应的创建方设备,其可以是独立的服务器,也可以是由多个服务器组成的服务器集群。业务提供方设备可以是具有扫描模块、和/或蓝牙模块、和/或NFC(Near Field Communication)模块的智能终端设备,以通过扫描、蓝牙、NFC等方式接收终端设备发送的业务处理请求;业务提供方设备也可以是独立的服务器,还可以是由多个服务器组成的服务器集群(图1中仅示出智能终端设备);区块链中保存有数据,如数字身份信息及对应的公钥、数字凭证的创建记录信息等。
具体的,终端设备响应于第一用户的凭证创建操作,根据获取的第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求。身份管理系统将接收到的凭证创建请求发送给确定的目标创建方设备。目标创建方设备根据预设方式生成第一验证信息,根据第一数字身份信息、创建信息和第一验证信息等生成数字凭证,将数字凭证的创建记录信息保存至区块链中,并向身份管理系统发送创建成功信息。身份管理系统根据创建成功信息获取对应的数字凭证,并将获取的数字凭证发送给终端设备。终端设备保存接收到的数字凭证,以及响应于第一用户的业务处理操作,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息;根据数字凭证和第二验证信息向业务提供方发送业务处理请求。业务提供方在确定基于区块链中的验证相关信息对业务处理请求中的数字凭证和第二验证信息均验证通过时,根据业务处理请求进行相应的业务处理。
其中,数字身份信息可以通过多种方式展现,如DID(Decentralized Identity,去中心化身份)等,DID还可以称为分布式数字身份。数字凭证也可以通过多种方式展现,如可验证声明(Verifiable Claims,简称VC)等。TEE可以通过预定的编程语言编写的程序来实现(即可以是以软件的形式实现),TEE可以是安全并与其它环境相隔离的数据处理环境,即在可信执行环境中执行的数据处理,以及数据处理的过程中产生的数据等无法被可信执行环境外的其它执行环境或应用程序所访问。TEE的可信执行环境可以通过创建一个可以在可信区域(如TrustZone等)中独立运行的小型操作系统实现,TEE可以以系统调用(如由TrustZone内核直接处理)的方式直接提供的服务。终端设备中可以包括REE(富执行环境)和TEE,REE下可以运行终端设备安装的操作系统,如Android操作系统、iOS操作系统、Windows操作系统、Linux操作系统等。REE的特点可以包括功能强大,开放性和扩展性好,可以为上层应用程序提供终端设备的所有功能,比如摄像功能,触控功能等,但是,REE中存在很多安全隐患,例如,操作系统可以获得某应用程序的所有数据,但很难验证该操作系统或该应用程序是否被篡改,如果被篡改,则用户的信息将存在很大的安全隐患,针对于此,就需要终端设备中的TEE进行处理。TEE具有其自身的执行空间,也就是说在TEE下也存在一个操作系统,TEE比REE的安全级别更高,TEE所能访问的终端设备中的软件和硬件资源是与REE分离的,但TEE可以直接获取REE的信息,而REE不能获取TEE的信息。TEE可以通过提供的接口来进行生成密钥、签名等处理,从而保证密钥和签名数据等不会被盗用。
需要指出的是,身份管理系统、创建方和业务提供方可以分别部署接入区块链的第一区块链节点(还可称为节点设备,图1中未示出),并通过相应的第一区块链节点访问区块链。当身份管理系统、创建方和业务提供方未部署接入区块链的第一区块链节点时,可以通过区块链系统中的第二区块链节点(图1中未示出)访问区块链;对此,本说明书中不做具体限定。
在上述应用场景中,目标创建方设备基于第一验证信息生成数字凭证并通过身份管理系统将数字凭证发送给终端设备,以及终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方设备发送业务处理请求,以使业务提供方设备在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息验证通过时进行相应的业务处理。由此,基于可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对第一验证信息和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
基于上述应用场景架构,本说明书一个或多个实施例提供了一种基于数字凭证的业务处理方法。图2为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理方法的流程示意图,图2中的方法能够由图1中的身份管理系统执行,如图2所示,该方法包括以下步骤:
步骤S102,接收第一用户的终端设备发送的凭证创建请求;其中,凭证创建请求包括第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
其中,创建信息随待创建的数字凭证的用途的不同而不同,例如数字凭证用于证明第一用户的年龄,相应的创建信息可以包括第一用户的姓名、出生日期、年龄等信息;又如,数字凭证用于证明第一用户被授予了某权限,相应的创建信息可以包括第一用户的用户信息、待授予的权限信息等。本说明书中对于创建信息的具体内容和形式不做具体限定,可以在实际应用中根据需要自行设定。
步骤S104,从目标创建方获取基于第一数字身份信息、创建信息和第一验证信息所创建的数字凭证;其中,第一验证信息为目标创建方根据预设方式生成的验证信息;
其中,创建方可以是权威的创建机构,创建方随数字凭证的用途的不同而不同;例如,数字凭证用于证明第一用户的年龄,创建方可以为权威的公安机构;又如,数字凭证用于证明第一用户的学历,创建方可以为权威的教育机构等。
步骤S106,将获取的数字凭证发送给终端设备,以使终端设备响应于第一用户的业务处理操作,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,根据数字凭证和第二验证信息向业务提供方发送业务处理请求,以使业务提供方在确定基于区块链中的验证相关信息对数字凭证和第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例中,身份管理系统接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
为了提升身份管理系统获取数字凭证的效率,本说明书一个或多个实施例中,创建方在创建数字凭证成功之后,根据创建的数字凭证向身份管理系统发送创建成功信息;具体的,如图3所示,步骤S104可以包括:
步骤S104-2,将凭证创建请求发送给确定的目标创建方,以使目标创建方根据第一数字身份信息、创建信息和生成的第一验证信息创建数字凭证,根据创建的数字凭证向身份管理系统发送创建成功信息;
步骤S104-4,接收目标创建方发送的创建成功信息,从创建成功信息中获取数字凭证。
具体而言,考虑到不同用途的数字凭证的创建方往往不同,为了使各不同的创建方能够有效的提供数字凭证的创建服务,本说明书一个或多个实施例中,在区块链网络之上构建分布式身份网络,以使各创建方接入该分布式身份网络,从而提供相应数字凭证的创建服务;其中,分布式身份网络还可以称为二层网络、可信身份网络等。相应的,身份管理系统接收到凭证创建请求之后,根据创建信息或凭证创建请求包括的创建方的相关信息确定目标创建方,将凭证创建请求发送给确定的目标创建方。目标创建方接收到凭证创建请求后,根据预设方式生成第一验证信息,根据预设的凭证标识分配规则确定待创建的数字凭证的凭证标识信息,根据凭证创建请求包括的第一数字身份信息、创建信息和生成的第一验证信息、确定的凭证标识信息等创建数字凭证,并根据创建的数字凭证向身份管理系统发送创建成功信息。由此,目标创建方在创建数字凭证成功之后,直接将数字凭证发送给身份管理系统,能够提升身份管理系统获取数字凭证的效率,从而迅速的将数字凭证发送给终端设备。同时,基于第一验证信息创建数字凭证,能够在后续进行业务处理时,基于第一验证信息确定数字凭证是由目标创建方所创建的,并非伪造的。
进一步的,考虑到创建方发送的创建成功信息在传输的过程中可能被截取,从而造成数字凭证被篡改,基于此,本说明书一个或多个实施例中,目标创建方还可以将创建的数字凭证保存至区块链中,相应的,身份管理系统从区块链中获取数字凭证。具体的,如图4所示,步骤S104可以包括:
步骤S104-6,将凭证创建请求发送给确定的目标创建方,以使目标创建方根据第一数字身份信息、创建信息、生成的第一验证信息和确定的凭证标识信息创建数字凭证,将创建的数字凭证保存至区块链中,并根据凭证标识信息向身份管理系统发送创建成功信息;
步骤S104-8,接收目标创建方发送的创建成功信息,根据创建成功信息中的凭证标识信息从区块链中获取关联的数字凭证。
具体的,目标创建方按照上述方式生成数字凭证之后,根据预设算法生成数字凭证的哈希值,根据数字凭证、凭证标识信息、生成的哈希值、表征数字凭证处于有效状态的第一状态信息等关联记录,并将记录的信息确定为数字凭证的创建记录信息,将创建记录信息保存至区块链中;并根据凭证标识信息向身份管理系统发送创建成功信息。身份管理系统根据创建成功信息中的凭证标识信息从区块链中查询关联的创建记录信息,从查询到的创建记录信息中获取数字凭证。为了避免泄漏用户信息,创建记录信息包括的数字凭证还可以为数字凭证的密文,相应的,身份管理系统获取到数字凭证的密文后,根据预设的解密方式对数字凭证的密文进行解密处理得到数字凭证,并将数字凭证发送给第一用户的终端设备。由此,通过将数字凭证保存至区块链中,身份管理系统从区块链中获取数字凭证,确保了数字凭证的不可篡改性。
在终端设备接收到身份管理系统发送的数字凭证后,第一用户即可基于数字凭证办理相应的业务。考虑到一些业务提供方可能不具备数字凭证等的验证能力,基于此,本说明书一个或多个实施例中,还赋予身份管理系统对数字凭证等的验证能力。相应的,如图5所示,步骤S106之后还可以包括:
步骤S108,接收业务提供方发送的验证请求;其中,验证请求包括待验证的数字凭证和第二验证信息;
具体的,业务提供方接收到第一用户的终端设备发送的业务处理请求时,根据业务处理请求包括的待验证的数字凭证和第二验证信息,向身份管理系统发送验证请求;身份管理系统接收业务提供方发送的验证请求。
步骤S110,根据区块链中的验证相关信息对数字凭证和第二验证信息进行验证处理,向业务提供方发送验证结果信息。
为了确保数字凭证是由目标创建方创建的有效的数字凭证,以及业务处理请求是第一用户通过其终端设备所发送的,本说明书一个或多个实施例中,第二验证信息包括根据终端设备的可信执行环境TEE保存的与第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;第一验证信息包括根据目标创建方的第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据。与之对应的,如图6所示,步骤S110包括:
步骤S110-2,根据数字凭证包括的第一用户的第一数字身份信息和目标创建方的第二数字身份信息,从区块链中获取预先保存的第一数字身份所对应的第一公钥和第二数字身份所对应的第二公钥;
其中,第一数字身份信息和第一公钥是身份管理系统预先基于终端设备发送的数字身份申请请求,生成第一数字身份信息之后保存至区块链中;第二数字身份信息和第二公钥是身份管理系统预先基于目标创建方发送的数字身份申请请求,生成第二数字身份信息之后保存至区块链中。
步骤S110-4,根据第一公钥对第一签名数据进行验签处理;
步骤S110-6,根据第二公钥对第二签名数据进行验签处理;
步骤S110-8,根据数字凭证中的凭证标识信息从区块链中获取关联的创建记录信息,根据创建记录信息确定数字凭证是否有效;其中,创建记录信息为目标创建方基于创建的数字凭证所生成的信息;
其中,创建记录信息包括数字凭证的哈希值和表征数字凭证所处状态的状态信息;相应的,根据创建记录信息确定数字凭证是否有效包括:根据预设算法生成数字凭证的哈希值;若确定生成的哈希值与创建记录信息中的哈希值匹配、且状态信息为表征数字凭证处于有效状态的第一状态信息,则确定数字凭证有效。需要指出的是,步骤S110-4至步骤S110-8的执行顺序可以彼此互换。
步骤S110-10,若验签处理均通过、且确定数字凭证有效,则确定对数字凭证和第二验证信息验证通过。
进一步的,若确定对数字凭证和/或第二验证验证未通过,则向业务提供方发送验证失败信息,以使业务提供方向第一用户的终端设备发送业务处理失败信息。
进一步的,当步骤S104中身份管理系统获取到数字凭证时,还可以将数字凭证保存至指定的存储区域,如本地存储区域或云存储等;相应的,步骤S110还可以包括:将验证请求包括的数字凭证与保存的数字凭证进行匹配,若匹配成功,则根据区块链中的验证相关信息对数字凭证和第二验证信息进行验证处理,向业务提供方发送验证结果信息。
由于第一数字身份信息对应的第一私钥保存在第一用户的终端设备的可信执行环境TEE中,其他用户无法获取到该第一私钥,因此通过对第一签名数据进行验签处理,能够确保业务处理请求是出于第一用户的真实意愿所发送,而并非他人冒充第一用户发送;由于第二数字身份信息对应的第二私钥只有目标创建方持有,而其他用户无法获取到,因此,通过对第二签名数据进行验证,能够确定数字凭证是由目标创建方所创建,确保了数字凭证的真实性;由于区块链具有不可篡改的特性,因此基于区块链中的创建记录信息对数字凭证的有效性进行验证,确保了验证的可靠性,实现了可信数字凭证验真。也就是说,本说明书实施例中,以区块链为基础,通过引入可信的分布式身份网络、以及终端设备的可信执行环境TEE,实现了“双向”(目标创建方,第一用户的终端设备)签名的有效性验证;同时,可对接多个权威的创建方,从而打通数据,使得数字凭证可以高效、快速的流转、验真,提升数字凭证的申请、流转、使用和验真效率。
需要指出的,上述步骤S110中的验证操作还可以通过智能合约进行,具体的,身份管理系统将接收到的验证请求发送给相应的区块链节点(前述第一区块链节点或第二区块链节点),区块链节点调用区块链中部署的智能合约,基于智能合约执行上述步骤S110-2至步骤S110-10中的操作。通过智能合约进行验证,能够极大的提升验证效率和准确性。
进一步的,为了避免终端设备向业务提供方发送业务处理请求的过程中,业务处理请求被窃取,从而窃取者获取到数字凭证和第一签名数据,从而基于窃取的数字凭证和第一签名数据进行非法操作,本说明书一个或多个实施例中,还以可以设定第一签名数据的有效时长,终端设备的可信执行环境TEE在进行第一签名处理时,获取对应的处理时间信息,对包括该处理时间信息的第一指定数据进行第一签名处理;以及,数字凭证的创建记录信息中还包括第一签名数据的有效时长信息,其中,有效时长信息可以为第一用户指定的信息,还以为预设的信息,有效时长例如为2分钟。相应的,步骤S110-4中根据第一公钥对第一签名数据进行验签处理成功之后,包括:根据验签处理所得的处理时间信息和创建记录信息包括的有效时长信息,确定第一签名数据是否处于有效状态;若第一签名数据处于有效状态,则确定对第二验证信息验证通过。具体的,获取当前时间,根据当前时间和验签处理所得的处理时间信息,确定第一签名数据的签名时长;将确定的签名时长与创建记录信息包括的有效时长进行比对,若签名时长未超过创建记录信息包括的有效时长,则确定第一签名数据处于有效状态。由此,基于第一签名处理的处理时间进行签名处理,使得每次业务处理时都采用不同的第一签名数据,实现了一次业务处理,一次真实签名及一次验证,极大的提升了安全性;并且即使窃取者窃取到第一签名数据,由于第一签名数据具有有效时长,因此窃取者无法采用获取的第一签名数据进行非法操作。
进一步的,为了提升安全性,本说明书一个或多个实施例中,还可以设定第二签名数据的有效期限信息,相应的,步骤S110-6可以包括:若根据创建记录信息包括的有效期限信息,确定第二签名数据处于有效状态,则根据第二公钥对第二签名数据进行验签处理。可选地,有效期限信息为有效截止日期,如2020年10月1日;相应的,身份管理系统获取当前时间,确定当前时间是否超过了该有效截止日期,若否,则确定第二签名数据处于有效状态。或者,有效期限信息为有效时长信息,如5年;相应的,身份管理系统获取当前时间,从数字凭证或创建记录信息中获取数字凭证的创建日期,根据创建日期和当前时间确定数字凭证的创建时长,将确定的创建时长与有效时长进行比对,若创建时长未超过有效时长,则确定第二签名数据处于有效状态。
进一步的,为了实现数字凭证的创建,第一用户需要预先从身份管理系统申请第一数字身份信息;相应的,如图7所示,步骤S102之前还可以包括:
步骤S100-2,接收终端设备发送的数字身份申请请求;其中,数字身份申请请求包括第一用户的用户信息、基于终端设备的可信执行环境TEE生成的与待申请的第一数字身份信息所对应的非对称密钥中的第一公钥;
具体的,终端设备响应于第一用户的数字身份申请操作,获取第一用户的用户信息,并通过终端设备的可信执行环境TEE生成与待申请的第一数字身份信息所对应的非对称密钥,将非对称密钥中的第一私钥保存至可信执行环境TEE中,并根据获取的用户信息和非对称密钥中的第一公钥,向身份管理系统发送数字身份申请请求。由于终端设备中的其它执行环境或应用程序、以及用户等无法获取到可信执行环境TEE中的第一私钥,因此确保了第一私钥的安全,实现了安全的终端密钥保护。
步骤S100-4,根据数字身份申请请求生成第一数字身份信息;
步骤S100-6,将第一数字身份信息与用户信息关联保存至指定的存储区域,将第一数字身份信息与第一公钥关联保存至区块链中,以及将第一数字身份信息发送给终端设备。
其中,指定的存储区域如身份管理系统的本地存储区域、云存储等。需要指出的是,还可以将第一数字身份信息与用户信息关联保存至区块链中。由此,基于终端设备的可信执行环境TEE生成的非对称密钥进行数字身份的申请处理,不仅建立了非对称密钥与第一数字身份信息的对应关系,从而便于后续的业务处理时进行相应的验证处理,而且基于终端设备的可信执行环境TEE实现了安全的终端密钥保护。
进一步的,为了使各创建方能够提供相应的数字凭证的创建服务,创建方需要预先从身份管理系统申请数字身份信息,相应的,方法还包括:接收创建方发送的数字身份申请请求;其中,数字身份申请请求包括创建方的身份信息;根据数字身份申请请求生成第二数字身份信息;将第二数字身份信息与创建方的身份信息关联保存至指定的存储区域,以及确定第二数字身份信息所对应的第二公钥;将第二数字身份信息与确定的第二公钥关联保存至区块链中。其中,当数字身份申请请求中包括公钥时,将该公钥确定为第二数字身份信息所对应的第二公钥,当数字身份申请请求中未包括公钥时,身份管理系统根据预设方式生成第二数字身份信息对应的非对称密钥,并将其中的公钥确定为第二数字身份信息所对应的第二公钥。
本说明书一个或多个实施例中,身份管理系统接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
对应上述图2至图7描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供了另一种基于数字凭证的业务处理方法,图8为本说明书一个或多个实施例提供的另一种基于数字凭证的业务处理方法的流程示意图,图8中的方法能够由图1中的设置有可信执行环境TEE的终端设备执行;如图8所示,该方法包括以下步骤:
步骤S202,响应于第一用户的凭证创建操作,根据获取的第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使身份管理系统获取目标创建方根据凭证创建请求创建的数字凭证;
步骤S204,接收身份管理系统发送的数字凭证;其中,数字凭证包括数字凭证的创建方根据预设方式生成的第一验证信息;
步骤S206,响应于第一用户的业务处理操作,基于可信执行环境TEE生成数字凭证的第二验证信息;其中,可信执行环境TEE中设置有第二验证信息的生成规则;
需要指出的是,步骤S204与步骤S206可以不连续执行。
步骤S208,根据数字凭证和第二验证信息向业务提供方发送业务处理请求,以使业务提供方在确定基于区块链中的验证相关信息对数字凭证和第二验证信息验证通过时,根据业务处理请求进行相应的业务处理。
可选地,终端设备根据数字凭证和第二验证信息生成二维码或条形码等,以使业务提供方设备扫描该二维码或条形码获取到包括数字凭证和第二验证信息的业务处理请求;或者,终端设备通过蓝牙、NFC、无线网络等方式,将业务处理请求发送给业务提供方设备;对此,本说明书中不做具体限定。
本说明书一个或多个实施例中,设置有可信执行环境TEE的终端设备响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证,以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
为了使第一用户能够基于终端设备进行业务处理,终端设备中设置有用于业务处理的第一可信应用;第一可信应用可以是需要安装在终端设备中的应用程序,也可以是预先植入终端设备某硬件设备中的代码程序,还可以是以插件的形式设置于终端设备的操作系统的后台运行的程序等,具体可以根据实际情况设定。相应的,如图9所示,步骤S206包括:
步骤S206-2,响应于第一用户的业务处理操作,通过终端设备中的用于业务处理的第一可信应用向终端设备的可信执行环境TEE传递生成验证信息的第一指示信息;
步骤S206-4,使用终端设备的可信执行环境TEE根据第一指示信息和预设的生成规则,生成数字凭证的第二验证信息。
与步骤S206-2和步骤S206-4对应的,如图9所示,步骤S208包括以下步骤S208-2:
步骤S208-2,通过第一可信应用从可信执行环境TEE获取第二验证信息,根据数字凭证和获取的第二验证信息向业务提供方发送业务处理请求,以使业务提供方在确定基于区块链中的验证相关信息对数字凭证和第二验证信息验证通过时,根据业务处理请求进行相应的业务处理。
由于在终端设备的可信执行环境TEE中生成第二验证信息,终端设备的其它执行环境或终端设备中的任意应用程序以及用户等均无法参与第二验证信息的生成,且无法获取到第二验证信息,因此,确保了第二验证信息的真实性和有效性。
进一步的,为了在后续的验证处理过程中能够确定业务处理请求是基于第一用户的真实意愿所发送,如图10所示,本说明书一个或多个实施例中,步骤S206-4可以包括以下步骤S206-42:
步骤S206-42,使用终端设备的可信执行环境TEE根据指示信息和预设的生成规则,基于保存的第一数字身份信息所对应的第一私钥对第一指定数据进行第一签名处理,得到第一签名数据;将第一签名数据确定为第二验证信息;
其中,第一指定数据可以在实际应用中根据需要自行设定。作为一个示例,终端设备在接收到身份管理系统发送的数字凭证时,将数字凭证保存至可信执行环境TEE中,当可信执行环境TEE接收到第一指示信息时,根据保存的第一密钥对保存的数字凭证进行第一签名处理得到第一签名数据;或者,根据保存的第一密钥对保存的数字凭证、第一指示信息包括的第一数字身份信息等进行第一签名处理得到第一签名数据。作为另一个示例,数字凭证未保存至可信执行环境TEE中,当可信执行环境TEE接收到第一指示信息时,根据保存的第一密钥对第一指示信息包括的数字凭证和/或第一数字身份信息等进行签名处理。
进一步的,为了避免终端设备向业务提供方发送业务处理请求的过程中,业务处理请求被窃取,从而窃取者获取到数字凭证和第一签名数据,从而基于获取的数字凭证和第一签名数据进行非法操作,本说明书一个或多个实施例中,还以可以设定第一签名数据的有效时长。相应的,当可信执行环境TEE接收到第一指示信息时,获取对应的处理时间信息,根据保存的第一密钥对包括该处理时间信息的第一指定数据进行第一签名处理得到第一签名数据。由此,基于第一签名处理的处理时间进行签名处理,使得每次业务处理时都采用不同的第一签名数据,实现了一次业务处理,一次真实签名及一次验证,极大的提升了安全性;并且即使窃取者窃取到第一签名数据,由于第一签名数据具有有效时长,因此窃取者无法采用获取的第一签名数据进行非法操作。
进一步的,为了使第一用户能够便捷的申请数字凭证,以及使目标创建方确定数字凭证的创建是基于第一用户的真实意愿,本说明书一个或多个实施例中,终端设备中还设置有用于数字身份管理的第二可信应用;相应的,如图11所示,步骤S202可以包括:
步骤S202-2,响应于第一用户的凭证创建操作,通过终端设备中的用于数字身份管理的第二可信应用向终端设备的可信执行环境TEE传递获取的第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
步骤S202-4,使用终端设备的可信执行环境TEE,基于保存的第一数字身份信息所对应的第一私钥,对第一数字身份信息和/或创建信息进行第三签名处理得到第三签名数据;
步骤S202-6,通过第二可信应用从可信执行环境TEE获取第三签名数据,根据第一数字身份信息、创建信息和第三签名数据,向身份管理系统发送凭证创建请求。
由于在终端设备的可信执行环境TEE中生成第三签名数据,终端设备的其它执行环境或终端设备中的任意应用程序以及用户等均无法参与第三签名数据的生成,且无法获取到第三签名数据,因此,确保了第三签名数据的真实性和有效性;从而根据第三签名数据向身份管理系统发送凭证创建请求,使得目标创建方在接收到身份管理系统发送的凭证创建请求时,能够基于对第三签名数据的验签处理确定出凭证创建请求是出于第一用户的真实意愿所发送。
进一步的,为了使第一用户能够申请数字凭证,第一用户还需要预先从身份管理系统申请数字身份信息。相应的,如图12所示,步骤S202之前还包括:
步骤S200-2,响应于第一用户的数字身份申请操作,根据获取的第一用户的用户信息和基于可信执行环境TEE生成的第一公钥,向身份管理系统发送数字身份申请请求;
具体的,通过终端设备中的用于数字身份管理的第二可信应用向终端设备的可信执行环境TEE传递生成非对称密钥的第二指示信息;使用终端设备的可信执行环境TEE根据第二指示信息生成与待申请的第一数字身份信息所对应的非对称密钥,将非对称密钥中的第一私钥保存至可信执行环境TEE中;并通过第一可信应用从可信执行环境TEE获取非对称密钥中的第一公钥,根据获取的用户信息和第一公钥向身份管理系统发送数字身份申请请求。其中,用户信息如用户姓名、身份证件号码等。
步骤S200-4,接收身份管理系统发送的第一数字身份信息。
通过终端设备的可信执行环境TEE生成非对称密钥,并基于非对称密钥中的第一公钥进行数字身份的申请,不仅建立了非对称密钥与第一数字身份信息的对应关系,从而便于后续的业务处理时进行相应的验证处理,而且基于终端设备的可信执行环境TEE实现了安全的终端密钥保护。
本说明书一个或多个实施例中,设置有可信执行环境TEE的终端设备响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证;以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
对应上述描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供了另一种基于数字凭证的业务处理方法,图13为本说明书一个或多个实施例提供的另一种基于数字凭证的业务处理方法的流程示意图,图13中的方法能够由图1中的创建方设备执行;如图13所示,该方法包括以下步骤:
步骤S302,接收身份管理系统发送的凭证创建请求;其中,凭证创建请求由第一用户的终端设备发送给身份管理系统;凭证创建请求包括第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
步骤S304,根据预设方式生成第一验证信息,根据第一数字身份信息、创建信息和第一验证信息创建数字凭证;
为了在后续的业务处理过程中,能够确定数字凭证是由相应的目标创建方所创建,本说明书一个或多个实施例中,根据预设方式生成第一验证信息包括:根据创建方的第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理得到第二签名数据;将第二签名数据确定为第一验证信息。其中,第二指定数据可以在实际应用中根据需要自行设定。
进一步的,为了避免他们冒充第一用户发送凭证创建请求,本说明书一个或多个实施例中,凭证创建请求还包括:第一用户的用户信息和第三签名数据;其中,第三签名数据为根据第一数字身份信息所对应的第一私钥对第三指定数据进行第三签名处理所得的签名数据。相应的,根据预设方式生成第一验证信息可以包括:根据用户信息对第一用户的身份进行验证处理;以及,从区块链中获取第一数字身份信息所对应的第一公钥,根据获取的第一公钥对第三签名数据进行验签处理;若对第一用户的身份验证处理通过、且对第三签名数据验签处理通过,则根据预设方式生成第一验证信息。其中,根据用户信息对第一用户的身份进行验证处理,可以包括:将用户信息与指定的用户信息库中的各用户信息进行匹配,若匹配成功,则确定对第一用户的身份验证通过;若匹配失败,则确定对第一用户的身份验证未通过。其中,指定的用户信息库中包括多个真实有效的用户信息。
步骤S306,根据数字凭证生成创建记录信息,将创建记录信息保存至区块链中;
具体的,根据预设算法生成数字凭证的哈希值,将哈希值、数字凭证的凭证标识信息、表征数字凭证处于有效状态的第一状态信息关联记录,将记录的信息确定为数字凭证的创建记录信息。需要指出的是,当前述步骤S104包括步骤S104-6和步骤S104-8时,创建记录信息中还包括数字凭证或数字凭证的密文。
步骤S308,向身份管理系统发送创建完成信息,以使身份管理系统将基于创建完成信息获取的数字凭证发送给终端设备,使端设备响应于第一用户的业务处理操作,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,根据数字凭证和第二验证信息向业务提供方发送业务处理请求,以使业务提供方在确定基于区块链中的验证相关信息对数字凭证和第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例中,创建方设备在接收到身份管理系统发送的凭证创建请求时,创建包括第一验证信息的数字凭证,并通过身份管理系统将数字凭证发送给终端设备;以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
对应上述描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供了另一种基于数字凭证的业务处理方法,图14为本说明书一个或多个实施例提供的另一种基于数字凭证的业务处理方法的流程示意图,图14中的方法能够由图1中的业务提供方设备执行;如图14所示,该方法包括以下步骤:
步骤S402,接收第一用户的终端设备发送的业务处理请求;其中,业务处理请求包括待验证的数字凭证和第二验证信息;数字凭证包括数字凭证的目标创建方根据预设方式生成的第一验证信息;第二验证信息为基于终端设备的可信执行环境TEE生成的数字凭证的验证信息;
步骤S404,若确定基于区块链中的验证相关信息对数字凭证和第二验证信息验证通过,则根据业务处理请求进行相应的业务处理。
具体的,当业务提供方不具备验证能力时,根据待验证的数字凭证和第二验证信息向身份管理系统发送验证请求,以使身份管理系统基于区块链中保存的验证相关信息对待验证的数字凭证和第二验证信息进行验证处理;接收身份管理系统发送的验证结果信息,若验证结果信息表征验证通过,则确定对数字凭证和第二验证信息验证通过。当业务提供方具备验证能力时,按照前述步骤S110-2至步骤S110-10所描述的方式进行验证处理。
进一步的,当业务提供方不具备验证能力时,还可以根据待验证的数字凭证和第二验证信息向区块链系统中的第二区块链节点发送验证请求,以使第二区块链节点基于区块链中保存的验证相关信息对待验证的数字凭证和第二验证信息进行验证处理;接收第二区块链节点发送的验证结果信息,若验证结果信息表征验证通过,则确定对数字凭证和第二验证信息验证通过。其中,第二区块链节点在接收到验证请求时,可以调用区块链中部署的智能合约,基于智能合约按照前述步骤S110-2至步骤S110-10描述的方式进行验证处理。通过智能合约进行验证,能够极大的提升验证效率和准确性。
本说明书一个或多个实施例中,业务提供方设备接收终端设备发送的业务处理请求,该业务处理请求包括数字凭证和基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息;在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
对应上述图2至图7描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供一种基于数字凭证的业务处理装置,应用于身份管理系统。图15为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的模块组成示意图,该装置用于执行图2至图7描述的基于数字凭证的业务处理方法,如图15所示,该装置包括:
接收模块501,接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
获取模块502,从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息;
发送模块503,将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供的基于数字凭证的业务处理装置,接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
可选地,所述数字凭证包括可验证声明。
可选地,所述获取模块502,将所述凭证创建请求发送给确定的所述目标创建方,以使所述目标创建方根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证,并根据所述数字凭证向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息,从所述创建成功信息中获取所述数字凭证。
可选地,所述获取模块502,将所述凭证创建请求发送给确定的所述目标创建方,以使所述创建方根据所述第一数字身份信息、所述创建信息、所述第一验证信息和确定的凭证标识信息创建数字凭证,将所述数字凭证保存至所述区块链中,并根据所述凭证标识信息向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息;
根据所述创建成功信息中的所述凭证标识信息从所述区块链中获取关联的所述数字凭证。
可选地,所述装置还包括:验证模块;
所述接收模块501,在所述发送模块503将所述数字凭证发送给所述终端设备之后,还接收所述业务提供方发送的验证请求;其中,所述验证请求包括待验证的所述数字凭证和所述第二验证信息;
所述验证模块,根据所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
所述发送模块503,向所述业务提供方发送验证结果信息。
可选地,所述数字凭证还包括所述目标创建方的第二数字身份信息;所述第二验证信息包括根据所述可信执行环境TEE保存的与所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
所述验证模块,从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息,根据所述创建记录信息确定所述数字凭证是否有效;其中,所述创建记录信息为所述目标创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
可选地,所述数字凭证或所述创建记录信息包括所述第二签名数据的有效期限信息;
所述验证模块,若根据所述有效期限信息,确定所述第二签名数据处于有效状态,则根据所述第二公钥对所述第二签名数据进行验签处理。
可选地,所述数字凭证或所述创建记录信息包括所述第一签名数据的有效时长信息;所述第一指定数据包括所述第一签名处理的处理时间信息;
所述验证模块,根据所述第一公钥对所述第一签名数据进行验签处理成功之后,根据所述验签处理所得的所述处理时间信息和所述有效时长信息,确定所述第一签名数据是否处于有效状态;
若所述第一签名数据处于有效状态,则确定对所述第二验证信息验证通过。
可选地,所述装置还包括:生成模块;
所述接收模块501,接收第一用户的终端设备发送的凭证创建请求之前,还接收所述终端设备发送的数字身份申请请求;其中,所述数字身份申请请求包括所述第一用户的用户信息、基于所述可信执行环境TEE生成的与待申请的所述第一数字身份信息所对应的非对称密钥中的第一公钥;
所述生成模块,根据所述数字身份申请请求生成所述第一数字身份信息;
将所述第一数字身份信息与所述用户信息关联保存至指定的存储区域,将所述第一数字身份信息与所述第一公钥关联保存至所述区块链中,以及将所述第一数字身份信息发送给所述终端设备。
本说明书一个或多个实施例提供的基于数字凭证的业务处理装置,接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
需要说明的是,本说明书中关于基于数字凭证的业务处理装置的实施例与本说明书中关于基于数字凭证的业务处理方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的基于数字凭证的业务处理方法的实施,重复之处不再赘述。
对应上述图8至图12描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供一种基于数字凭证的业务处理装置,应用于设置有可信执行环境TEE的终端设备。图16为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的模块组成示意图,该装置用于执行图8至图12描述的基于数字凭证的业务处理方法,如图16所示,该装置包括:
第一发送模块601,响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取目标创建方根据所述凭证创建请求生成的数字凭证;
接收模块602,接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
生成模块603,响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
第二发送模块604,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供的基于数字凭证的业务处理装置,响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证;以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
可选地,所述数字凭证包括可验证声明。
可选地,所述生成模块603,通过所述终端设备中的用于业务处理的第一可信应用向所述终端设备的可信执行环境TEE传递生成验证信息的第一指示信息;
使用所述终端设备的可信执行环境TEE根据所述第一指示信息和所述生成规则,生成所述数字凭证的第二验证信息;
所述第二发送模块604,通过所述第一可信应用从所述可信执行环境TEE获取所述第二验证信息,根据所述数字凭证和获取的所述第二验证信息向业务提供方发送业务处理请求。
可选地,所述生成模块603,使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,基于保存的所述第一数字身份信息所对应的第一私钥对第一指定数据进行第一签名处理,得到第一签名数据;将所述第一签名数据确定为所述第二验证信息。
可选地,所述第一发送模块601,通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递所述第一数字身份信息和所述创建信息;
使用所述终端设备的可信执行环境TEE,基于保存的所述第一数字身份信息所对应的第一私钥,对所述第一数字身份信息和/或所述创建信息进行第三签名处理得到第三签名数据;
通过所述第二可信应用从所述可信执行环境TEE获取所述第三签名数据,根据所述第一数字身份信息、所述创建信息和所述第三签名数据,向身份管理系统发送凭证创建请求。
可选地,所述第一发送模块601,响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求之前,还响应于所述第一用户的数字身份申请操作,根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求;
所述接收模块602,接收所述身份管理系统发送的所述第一数字身份信息。
可选地,所述第一发送模块601,通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递生成非对称密钥的第二指示信息;
使用所述终端设备的可信执行环境TEE根据所述第二指示信息生成与待申请的所述第一数字身份信息所对应的非对称密钥,将所述非对称密钥中的第一私钥保存至所述可信执行环境TEE中;
通过所述第一可信应用从所述可信执行环境TEE获取所述非对称密钥中的第一公钥,根据所述用户信息和所述第一公钥向所述身份管理系统发送数字身份申请请求。
本说明书一个或多个实施例提供的基于数字凭证的业务处理装置,响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证;以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
需要说明的是,本说明书中关于基于数字凭证的业务处理装置的实施例与本说明书中关于基于数字凭证的业务处理方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的基于数字凭证的业务处理方法的实施,重复之处不再赘述。
对应上述图13描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供一种基于数字凭证的业务处理装置,应用于创建方设备。图17为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的模块组成示意图,该装置用于执行图13描述的基于数字凭证的业务处理方法,如图17所示,该装置包括:
接收模块701,接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
生成模块702,根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证;
保存模块703,根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
发送模块704,向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
可选地,所述生成模块702,根据所述创建方的第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理得到第二签名数据;
将所述第二签名数据确定为所述第一验证信息。
可选地,所述凭证创建请求还包括:所述第一用户的用户信息和第三签名数据;所述第三签名数据为根据所述第一数字身份信息所对应的第一私钥对第三指定数据进行第三签名处理所得的签名数据;
所述生成模块702,根据所述用户信息对所述第一用户的身份进行验证处理;以及,
从所述区块链中获取所述第一数字身份信息所对应的第一公钥,根据获取的所述第一公钥对所述第三签名数据进行验签处理;
若对第一用户的身份验证处理通过、且对所述第三签名数据验签处理通过,则根据预设方式生成第一验证信息。
本说明书一个或多个实施例提供的基于数字凭证的业务处理装置,在接收到身份管理系统发送的凭证创建请求时,创建包括第一验证信息的数字凭证,并通过身份管理系统将数字凭证发送给终端设备;以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
需要说明的是,本说明书中关于基于数字凭证的业务处理装置的实施例与本说明书中关于基于数字凭证的业务处理方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的基于数字凭证的业务处理方法的实施,重复之处不再赘述。
对应上述图14描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供一种基于数字凭证的业务处理装置,应用于业务提供方设备。图18为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理装置的模块组成示意图,该装置用于执行图14描述的基于数字凭证的业务处理方法,如图18所示,该装置包括:
接收模块801,接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
处理模块802,若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理
可选地,所述处理模块802,根据所述数字凭证和所述第二验证信息向身份管理系统发送验证请求,以使所述身份管理系统基于所述区块链中保存的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;以及,
接收所述身份管理系统发送的验证结果信息;
若所述验证结果信息表征验证通过,则确定对所述数字凭证和所述第二验证信息验证通过。
可选地,所述可验证声明还包括所述第一用户的第一数字身份信息、创建方的第二数字身份信息和第一验证信息;所述第二验证信息包括根据所述可信执行环境TEE保存的所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
所述处理模块802,从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息;其中,所述创建记录信息为所述创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且根据所述创建记录信息确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
本说明书一个或多个实施例提供的基于数字凭证的业务处理装置,接收终端设备发送的业务处理请求,该业务处理请求包括数字凭证和基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息;在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
需要说明的是,本说明书中关于基于数字凭证的业务处理装置的实施例与本说明书中关于基于数字凭证的业务处理方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的基于数字凭证的业务处理方法的实施,重复之处不再赘述。
进一步地,对应上述描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供一种基于数字凭证的业务处理设备,该设备用于执行上述的基于数字凭证的业务处理方法,图19为本说明书一个或多个实施例提供的一种基于数字凭证的业务处理设备的结构示意图。
如图19所示,基于数字凭证的业务处理设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器901和存储器902,存储器902中可以存储有一个或一个以上存储应用程序或数据。其中,存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括基于数字凭证的业务处理设备中的一系列计算机可执行指令。更进一步地,处理器901可以设置为与存储器902通信,在基于数字凭证的业务处理设备上执行存储器902中的一系列计算机可执行指令。基于数字凭证的业务处理设备还可以包括一个或一个以上电源903,一个或一个以上有线或无线网络接口904,一个或一个以上输入输出接口905,一个或一个以上键盘906等。
在一个具体的实施例中,基于数字凭证的业务处理设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对基于数字凭证的业务处理设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息;
将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供的基于数字凭证的业务处理设备,接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
可选地,计算机可执行指令在被执行时,所述数字凭证包括可验证声明。
可选地,计算机可执行指令在被执行时,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述目标创建方根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证,并根据所述数字凭证向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息,从所述创建成功信息中获取所述数字凭证。
可选地,计算机可执行指令在被执行时,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述创建方根据所述第一数字身份信息、所述创建信息、所述第一验证信息和确定的凭证标识信息创建数字凭证,将所述数字凭证保存至所述区块链中,并根据所述凭证标识信息向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息;
根据所述创建成功信息中的所述凭证标识信息从所述区块链中获取关联的所述数字凭证。
可选地,计算机可执行指令在被执行时,所述将所述数字凭证发送给所述终端设备之后,还包括:
接收所述业务提供方发送的验证请求;其中,所述验证请求包括待验证的所述数字凭证和所述第二验证信息;
根据所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
向所述业务提供方发送验证结果信息。
可选地,计算机可执行指令在被执行时,所述数字凭证还包括所述目标创建方的第二数字身份信息;所述第二验证信息包括根据所述可信执行环境TEE保存的与所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
根据所述区块链中的验证相关信息对所述数字凭证明和所述第二验证信息进行验证处理,包括:
从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息,根据所述创建记录信息确定所述数字凭证是否有效;其中,所述创建记录信息为所述目标创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
可选地,计算机可执行指令在被执行时,所述数字凭证或所述创建记录信息包括所述第二签名数据的有效期限信息;
所述根据所述第二公钥对所述第二签名数据进行验签处理,包括:
若根据所述有效期限信息,确定所述第二签名数据处于有效状态,则根据所述第二公钥对所述第二签名数据进行验签处理。
可选地,计算机可执行指令在被执行时,所述数字凭证或所述创建记录信息包括所述第一签名数据的有效时长信息;所述第一指定数据包括所述第一签名处理的处理时间信息;
根据所述第一公钥对所述第一签名数据进行验签处理成功之后,包括:
根据所述验签处理所得的所述处理时间信息和所述有效时长信息,确定所述第一签名数据是否处于有效状态;
若所述第一签名数据处于有效状态,则确定对所述第二验证信息验证通过。
可选地,计算机可执行指令在被执行时,所述接收第一用户的终端设备发送的凭证创建请求之前,还包括:
接收所述终端设备发送的数字身份申请请求;其中,所述数字身份申请请求包括所述第一用户的用户信息、基于所述可信执行环境TEE生成的与待申请的所述第一数字身份信息所对应的非对称密钥中的第一公钥;
根据所述数字身份申请请求生成所述第一数字身份信息;
将所述第一数字身份信息与所述用户信息关联保存至指定的存储区域,将所述第一数字身份信息与所述第一公钥关联保存至所述区块链中,以及将所述第一数字身份信息发送给所述终端设备。
本说明书一个或多个实施例提供的基于数字凭证的业务处理设备,接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
在另一个具体的实施例中,基于数字凭证的业务处理设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对基于数字凭证的业务处理设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取目标创建方根据所述凭证创建请求创建的数字凭证;
接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供的基于数字凭证的业务处理设备,响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证;以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
可选地,计算机可执行指令在被执行时,所述数字凭证包括可验证声明。
可选地,计算机可执行指令在被执行时,所述基于所述可信执行环境TEE生成所述数字凭证的第二验证信息,包括:
通过所述终端设备中的用于业务处理的第一可信应用向所述终端设备的可信执行环境TEE传递生成验证信息的第一指示信息;
使用所述终端设备的可信执行环境TEE根据所述第一指示信息和所述生成规则,生成所述数字凭证的第二验证信息;
所述根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,包括:
通过所述第一可信应用从所述可信执行环境TEE获取所述第二验证信息,根据所述数字凭证和获取的所述第二验证信息向业务提供方发送业务处理请求。
可选地,计算机可执行指令在被执行时,所述使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,生成所述数字凭证的第二验证信息,包括:
使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,基于保存的所述第一数字身份信息所对应的第一私钥对第一指定数据进行第一签名处理,得到第一签名数据;将所述第一签名数据确定为所述第二验证信息。
可选地,计算机可执行指令在被执行时,所述根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递所述第一数字身份信息和所述创建信息;
使用所述终端设备的可信执行环境TEE,基于保存的所述第一数字身份信息所对应的第一私钥,对所述第一数字身份信息和/或所述创建信息进行第三签名处理得到第三签名数据;
通过所述第二可信应用从所述可信执行环境TEE获取所述第三签名数据,根据所述第一数字身份信息、所述创建信息和所述第三签名数据,向身份管理系统发送凭证创建请求。
可选地,计算机可执行指令在被执行时,所述响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求之前,还包括:
响应于所述第一用户的数字身份申请操作,根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求;
接收所述身份管理系统发送的所述第一数字身份信息。
可选地,计算机可执行指令在被执行时,所述根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递生成非对称密钥的第二指示信息;
使用所述终端设备的可信执行环境TEE根据所述第二指示信息生成与待申请的所述第一数字身份信息所对应的非对称密钥,将所述非对称密钥中的第一私钥保存至所述可信执行环境TEE中;
通过所述第一可信应用从所述可信执行环境TEE获取所述非对称密钥中的第一公钥,根据所述用户信息和所述第一公钥向所述身份管理系统发送数字身份申请请求。
本说明书一个或多个实施例提供的基于数字凭证的业务处理设备,响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证;以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
在另一个具体的实施例中,基于数字凭证的业务处理设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对基于数字凭证的业务处理设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证;
根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
可选地,计算机可执行指令在被执行时,所述根据预设方式生成第一验证信息,包括:
根据所述创建方的第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理得到第二签名数据;
将所述第二签名数据确定为所述第一验证信息。
可选地,计算机可执行指令在被执行时,所述凭证创建请求还包括:所述第一用户的用户信息和第三签名数据;所述第三签名数据为根据所述第一数字身份信息所对应的第一私钥对第三指定数据进行第三签名处理所得的签名数据;
所述根据预设方式生成第一验证信息,包括:
根据所述用户信息对所述第一用户的身份进行验证处理;以及,
从所述区块链中获取所述第一数字身份信息所对应的第一公钥,根据获取的所述第一公钥对所述第三签名数据进行验签处理;
若对第一用户的身份验证处理通过、且对所述第三签名数据验签处理通过,则根据预设方式生成第一验证信息。
本说明书一个或多个实施例提供的基于数字凭证的业务处理设备,在接收到身份管理系统发送的凭证创建请求时,创建包括第一验证信息的数字凭证,并通过身份管理系统将数字凭证发送给终端设备;以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
在另一个具体的实施例中,基于数字凭证的业务处理设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对基于数字凭证的业务处理设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的目标创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
可选地,计算机可执行指令在被执行时,所述确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,包括:
根据所述数字凭证和所述第二验证信息向身份管理系统发送验证请求,以使所述身份管理系统基于所述区块链中保存的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
接收所述身份管理系统发送的验证结果信息;
若所述验证结果信息表征验证通过,则确定对所述数字凭证和所述第二验证信息验证通过。
可选地,计算机可执行指令在被执行时,所述可验证声明还包括所述第一用户的第一数字身份信息、创建方的第二数字身份信息和第一验证信息;
所述第二验证信息包括根据所述可信执行环境TEE预先生成的所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
确定基于区块链中的验证相关信息对所述数字凭证明和所述第二验证信息进行验证处理,包括:
从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息,根据所述创建记录信息确定所述数字凭证是否有效;其中,所述创建记录信息为所述目标创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
本说明书一个或多个实施例提供的基于数字凭证的业务处理设备,接收终端设备发送的业务处理请求,该业务处理请求包括数字凭证和基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息;在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
需要说明的是,本说明书中关于基于数字凭证的业务处理设备的实施例与本说明书中关于基于数字凭证的业务处理方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的基于数字凭证的业务处理方法的实施,重复之处不再赘述。
进一步地,对应上述描述的基于数字凭证的业务处理方法,基于相同的技术构思,本说明书一个或多个实施例还提供了一种存储介质,用于存储计算机可执行指令,一个具体的实施例中,该存储介质可以为U盘、光盘、硬盘等,该存储介质存储的计算机可执行指令在被处理器执行时,能实现以下流程:
接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息;
将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
本说明书一个或多个实施例提供的存储介质存储的计算机可执行指令在被处理器执行时,接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述数字凭证包括可验证声明。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述目标创建方根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证,并根据所述数字凭证向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息,从所述创建成功信息中获取所述数字凭证。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述创建方根据所述第一数字身份信息、所述创建信息、所述第一验证信息和确定的凭证标识信息创建数字凭证,将所述数字凭证保存至所述区块链中,并根据所述凭证标识信息向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息;
根据所述创建成功信息中的所述凭证标识信息从所述区块链中获取关联的所述数字凭证。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述将所述数字凭证发送给所述终端设备之后,还包括:
接收所述业务提供方发送的验证请求;其中,所述验证请求包括待验证的所述数字凭证和所述第二验证信息;
根据所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
向所述业务提供方发送验证结果信息。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述数字凭证还包括所述目标创建方的第二数字身份信息;所述第二验证信息包括根据所述可信执行环境TEE保存的与所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
根据所述区块链中的验证相关信息对所述数字凭证明和所述第二验证信息进行验证处理,包括:
从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息;其中,所述创建记录信息为所述目标创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且根据所述创建记录信息确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述数字凭证或所述创建记录信息包括所述第二签名数据的有效期限信息;
所述根据所述第二公钥对所述第二签名数据进行验签处理,包括:
若根据所述有效期限信息,确定所述第二签名数据处于有效状态,则根据所述第二公钥对所述第二签名数据进行验签处理。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述数字凭证或所述创建记录信息包括所述第一签名数据的有效时长信息;所述第一指定数据包括所述第一签名处理的处理时间信息;
根据所述第一公钥对所述第一签名数据进行验签处理成功之后,包括:
根据所述验签处理所得的所述处理时间信息和所述有效时长信息,确定所述第一签名数据是否处于有效状态;
若所述第一签名数据处于有效状态,则确定对所述第二验证信息验证通过。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述接收第一用户的终端设备发送的凭证创建请求之前,还包括:
接收所述终端设备发送的数字身份申请请求;其中,所述数字身份申请请求包括所述第一用户的用户信息、基于所述可信执行环境TEE生成的与待申请的所述第一数字身份信息所对应的非对称密钥中的第一公钥;
根据所述数字身份申请请求生成所述第一数字身份信息;
将所述第一数字身份信息与所述用户信息关联保存至指定的存储区域,将所述第一数字身份信息与所述第一公钥关联保存至所述区块链中,以及将所述第一数字身份信息发送给所述终端设备。
本说明书一个或多个实施例提供的存储介质存储的计算机可执行指令在被处理器执行时,接收第一用户的终端设备发送的凭证创建请求后,从目标创建方获取包括第一验证信息的数字凭证并发送给终端设备,以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
在另一个具体的实施例中,该存储介质可以为U盘、光盘、硬盘等,该存储介质存储的计算机可执行指令在被处理器执行时,能实现以下流程:
响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取目标创建方根据所述凭证创建请求创建的数字凭证;
接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
本说明书一个或多个实施例提供的存储介质存储的计算机可执行指令在被处理器执行时,响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证;以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述数字凭证包括可验证声明。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述基于所述可信执行环境TEE生成所述数字凭证的第二验证信息,包括:
通过所述终端设备中的用于业务处理的第一可信应用向所述终端设备的可信执行环境TEE传递生成验证信息的第一指示信息;
使用所述终端设备的可信执行环境TEE根据所述第一指示信息和所述生成规则,生成所述数字凭证的第二验证信息;
所述根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,包括:
通过所述第一可信应用从所述可信执行环境TEE获取所述第二验证信息,根据所述数字凭证和获取的所述第二验证信息向业务提供方发送业务处理请求。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,生成所述数字凭证的第二验证信息,包括:
使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,基于保存的所述第一数字身份信息所对应的第一私钥对第一指定数据进行第一签名处理,得到第一签名数据;将所述第一签名数据确定为所述第二验证信息。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递所述第一数字身份信息和所述创建信息;
使用所述终端设备的可信执行环境TEE,基于保存的所述第一数字身份信息所对应的第一私钥,对所述第一数字身份信息和/或所述创建信息进行第三签名处理得到第三签名数据;
通过所述第二可信应用从所述可信执行环境TEE获取所述第三签名数据,根据所述第一数字身份信息、所述创建信息和所述第三签名数据,向身份管理系统发送凭证创建请求。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求之前,还包括:
响应于所述第一用户的数字身份申请操作,根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求;
接收所述身份管理系统发送的所述第一数字身份信息。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递生成非对称密钥的第二指示信息;
使用所述终端设备的可信执行环境TEE根据所述第二指示信息生成与待申请的所述第一数字身份信息所对应的非对称密钥,将所述非对称密钥中的第一私钥保存至所述可信执行环境TEE中;
通过所述第一可信应用从所述可信执行环境TEE获取所述非对称密钥中的第一公钥,根据所述用户信息和所述第一公钥向所述身份管理系统发送数字身份申请请求。
本说明书一个或多个实施例提供的存储介质存储的计算机可执行指令在被处理器执行时,响应于第一用户的凭证创建操作,向身份管理系统发送凭证创建请求,并接收身份管理系统发送的从目标创建方所获取的包括第一验证信息的数字凭证;以及在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
在另一个具体的实施例中,该存储介质可以为U盘、光盘、硬盘等,该存储介质存储的计算机可执行指令在被处理器执行时,能实现以下流程:
接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证;
根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述根据预设方式生成第一验证信息,包括:
根据所述创建方的第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理得到第二签名数据;
将所述第二签名数据确定为所述第一验证信息。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述凭证创建请求还包括:所述第一用户的用户信息和第三签名数据;所述第三签名数据为根据所述第一数字身份信息所对应的第一私钥对第三指定数据进行第三签名处理所得的签名数据;
所述根据预设方式生成第一验证信息,包括:
根据所述用户信息对所述第一用户的身份进行验证处理;以及,
从所述区块链中获取所述第一数字身份信息所对应的第一公钥,根据获取的所述第一公钥对所述第三签名数据进行验签处理;
若对第一用户的身份验证处理通过、且对所述第三签名数据验签处理通过,则根据预设方式生成第一验证信息。
本说明书一个或多个实施例提供的存储介质存储的计算机可执行指令在被处理器执行时,在接收到身份管理系统发送的凭证创建请求时,创建包括第一验证信息的数字凭证,并通过身份管理系统将数字凭证发送给终端设备;以使终端设备在检测到第一用户的业务处理操作时,基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息,并根据数字凭证和第二验证信息向业务提供方发送业务处理请求,从而使业务提供方在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
在另一个具体的实施例中,该存储介质可以为U盘、光盘、硬盘等,该存储介质存储的计算机可执行指令在被处理器执行时,能实现以下流程:
接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的目标创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,包括:
根据所述数字凭证和所述第二验证信息向身份管理系统发送验证请求,以使所述身份管理系统基于所述区块链中保存的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
接收所述身份管理系统发送的验证结果信息;
若所述验证结果信息表征验证通过,则确定对所述数字凭证和所述第二验证信息验证通过。
可选地,该存储介质存储的计算机可执行指令在被处理器执行时,所述可验证声明还包括所述第一用户的第一数字身份信息、创建方的第二数字身份信息和第一验证信息;
所述第二验证信息包括根据所述可信执行环境TEE预先生成的所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
确定基于区块链中的验证相关信息对所述数字凭证明和所述第二验证信息进行验证处理,包括:
从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息;其中,所述创建记录信息为所述创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且根据所述创建记录信息确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
本说明书一个或多个实施例提供的存储介质存储的计算机可执行指令在被处理器执行时,接收终端设备发送的业务处理请求,该业务处理请求包括数字凭证和基于终端设备的可信执行环境TEE生成数字凭证的第二验证信息;在确定基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息均验证通过时进行相应的业务处理。由此,基于终端设备的可信执行环境TEE的特性,使得用户无法参与第二验证信息的生成过程,即使窃取者窃取了第一用户的数字凭证,也无法伪造第二验证信息,从而避免了窃取者冒充第一用户办理业务的风险。同时,由于区块链中的验证相关信息不可篡改,因此基于区块链中的验证相关信息对包括第一验证信息的数字凭证和第二验证信息等进行多重验证,实现了可信数字凭证验真,确保了数字凭证的真实性和有效性。
需要说明的是,本说明书中关于存储介质的实施例与本说明书中关于基于数字凭证的业务处理方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的基于数字凭证的业务处理方法的实施,重复之处不再赘述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书一个或多个实施例可提供为方法、系统或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书的一个或多个实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本文件的实施例而已,并不用于限制本文件。对于本领域技术人员来说,本文件可以有各种更改和变化。凡在本文件的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本文件的权利要求范围之内。

Claims (34)

1.一种基于数字凭证的业务处理方法,应用于身份管理系统,包括:
接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息;
将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
2.根据权利要求1所述的方法,所述数字凭证包括可验证声明。
3.根据权利要求1所述的方法,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述目标创建方根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证,并根据所述数字凭证向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息,从所述创建成功信息中获取所述数字凭证。
4.根据权利要求1所述的方法,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述创建方根据所述第一数字身份信息、所述创建信息、所述第一验证信息和确定的凭证标识信息创建数字凭证,将所述数字凭证保存至所述区块链中,并根据所述凭证标识信息向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息;
根据所述创建成功信息中的所述凭证标识信息从所述区块链中获取关联的所述数字凭证。
5.根据权利要求1所述的方法,所述将所述数字凭证发送给所述终端设备之后,还包括:
接收所述业务提供方发送的验证请求;其中,所述验证请求包括待验证的所述数字凭证和所述第二验证信息;
根据所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
向所述业务提供方发送验证结果信息。
6.根据权利要求5所述的方法,所述数字凭证还包括所述目标创建方的第二数字身份信息;所述第二验证信息包括根据所述可信执行环境TEE保存的与所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
所述根据所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理,包括:
从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息,根据所述创建记录信息确定所述数字凭证是否有效;其中,所述创建记录信息为所述目标创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
7.根据权利6所述的方法,所述数字凭证或所述创建记录信息包括:所述第二签名数据的有效期限信息;
所述根据所述第二公钥对所述第二签名数据进行验签处理,包括:
若根据所述有效期限信息,确定所述第二签名数据处于有效状态,则根据所述第二公钥对所述第二签名数据进行验签处理。
8.根据权利要求6所述的方法,所述数字凭证或所述创建记录信息包括:所述第一签名数据的有效时长信息;所述第一指定数据包括所述第一签名处理的处理时间信息;
根据所述第一公钥对所述第一签名数据进行验签处理成功之后,包括:
根据所述验签处理所得的所述处理时间信息和所述有效时长信息,确定所述第一签名数据是否处于有效状态;
若所述第一签名数据处于有效状态,则确定对所述第二验证信息验证通过。
9.根据权利要求1所述的方法,所述接收第一用户的终端设备发送的凭证创建请求之前,还包括:
接收所述终端设备发送的数字身份申请请求;其中,所述数字身份申请请求包括所述第一用户的用户信息、基于所述可信执行环境TEE生成的与待申请的所述第一数字身份信息所对应的非对称密钥中的第一公钥;
根据所述数字身份申请请求生成所述第一数字身份信息;
将所述第一数字身份信息与所述用户信息关联保存至指定的存储区域,将所述第一数字身份信息与所述第一公钥关联保存至所述区块链中,以及将所述第一数字身份信息发送给所述终端设备。
10.一种基于数字凭证的业务处理方法,应用于设置有可信执行环境TEE的终端设备,包括:
响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取目标创建方根据所述凭证创建请求创建的数字凭证;
接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
11.根据权利要求10所述的方法,所述数字凭证包括可验证声明。
12.根据权利要求10所述的方法,所述基于所述可信执行环境TEE生成所述数字凭证的第二验证信息,包括:
通过所述终端设备中的用于业务处理的第一可信应用向所述终端设备的可信执行环境TEE传递生成验证信息的第一指示信息;
使用所述终端设备的可信执行环境TEE根据所述第一指示信息和所述生成规则,生成所述数字凭证的第二验证信息;
所述根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,包括:
通过所述第一可信应用从所述可信执行环境TEE获取所述第二验证信息,根据所述数字凭证和获取的所述第二验证信息向业务提供方发送业务处理请求。
13.根据权利要求12所述的方法,所述使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,生成所述数字凭证的第二验证信息,包括:
使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,基于保存的所述第一数字身份信息所对应的第一私钥对第一指定数据进行第一签名处理,得到第一签名数据;将所述第一签名数据确定为所述第二验证信息。
14.根据权利要求10所述的方法,所述根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递所述第一数字身份信息和所述创建信息;
使用所述终端设备的可信执行环境TEE,基于保存的所述第一数字身份信息所对应的第一私钥,对所述第一数字身份信息和/或所述创建信息进行第三签名处理得到第三签名数据;
通过所述第二可信应用从所述可信执行环境TEE获取所述第三签名数据,根据所述第一数字身份信息、所述创建信息和所述第三签名数据,向身份管理系统发送凭证创建请求。
15.根据权利要求10所述的方法,所述响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求之前,还包括:
响应于所述第一用户的数字身份申请操作,根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求;
接收所述身份管理系统发送的所述第一数字身份信息。
16.根据权利要求15所述的方法,所述根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递生成非对称密钥的第二指示信息;
使用所述终端设备的可信执行环境TEE根据所述第二指示信息生成与待申请的所述第一数字身份信息所对应的非对称密钥,将所述非对称密钥中的第一私钥保存至所述可信执行环境TEE中;
通过所述第一可信应用从所述可信执行环境TEE获取所述非对称密钥中的第一公钥,根据所述用户信息和所述第一公钥向所述身份管理系统发送数字身份申请请求。
17.一种基于数字凭证的业务处理方法,应用于创建方设备,包括:
接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证;
根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
18.根据权利要求17所述的方法,所述根据预设方式生成第一验证信息,包括:
根据所述创建方的第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理得到第二签名数据;
将所述第二签名数据确定为所述第一验证信息。
19.根据权利要求17所述的方法,所述凭证创建请求还包括:所述第一用户的用户信息和第三签名数据;所述第三签名数据为根据所述第一数字身份信息所对应的第一私钥对第三指定数据进行第三签名处理所得的签名数据;
所述根据预设方式生成第一验证信息,包括:
根据所述用户信息对所述第一用户的身份进行验证处理;以及,
从所述区块链中获取所述第一数字身份信息所对应的第一公钥,根据获取的所述第一公钥对所述第三签名数据进行验签处理;
若对第一用户的身份验证处理通过、且对所述第三签名数据验签处理通过,则根据预设方式生成第一验证信息。
20.一种基于数字凭证的业务处理方法,应用于业务提供方,包括:
接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的目标创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
21.根据权利要求20所述的方法,所述确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,包括:
根据所述数字凭证和所述第二验证信息向身份管理系统发送验证请求,以使所述身份管理系统基于所述区块链中保存的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
接收所述身份管理系统发送的验证结果信息;
若所述验证结果信息表征验证通过,则确定对所述数字凭证和所述第二验证信息验证通过。
22.根据权利要求20所述的方法,所述可验证声明还包括所述第一用户的第一数字身份信息、创建方的第二数字身份信息和第一验证信息;
所述第二验证信息包括根据所述可信执行环境TEE预先生成的所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
确定基于区块链中的验证相关信息对所述数字凭证明和所述第二验证信息进行验证处理,包括:
从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息;其中,所述创建记录信息为所述创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且根据所述创建记录信息确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
23.一种基于数字凭证的业务处理装置,应用于身份管理系统,包括:
接收模块,接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
获取模块,从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息;
发送模块,将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
24.一种基于数字凭证的业务处理装置,应用于设置有可信执行环境TEE的终端设备,包括:
第一发送模块,响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取目标创建方根据所述凭证创建请求生成的数字凭证;
接收模块,接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
生成模块,响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
第二发送模块,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
25.一种基于数字凭证的业务处理装置,应用于创建方设备,包括:
接收模块,接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
生成模块,根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证;
保存模块,根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
发送模块,向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
26.一种基于数字凭证的业务处理装置,应用于业务提供方设备,包括:
接收模块,接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
处理模块,若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
27.一种基于数字凭证的业务处理设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器:
接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述数字凭证的创建方根据预设方式生成的验证信息;
将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
28.一种基于数字凭证的业务处理设备,所述处理设备中设置有可信执行环境TEE,所述设备包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器:
响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取创建方根据所述凭证创建请求生成的数字凭证;
接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
29.一种基于数字凭证的业务处理设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器:
接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息生成数字凭证;
根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
30.一种基于数字凭证的业务处理设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器:
接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
31.一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被处理器执行时实现以下流程:
接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述数字凭证的创建方根据预设方式生成的验证信息;
将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
32.一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被处理器执行时实现以下流程:
响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取创建方根据所述凭证创建请求生成的数字凭证;
接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
33.一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被处理器执行时实现以下流程:
接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息生成数字凭证;
根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
34.一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被处理器执行时实现以下流程:
接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
CN202011075734.8A 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备 Active CN111931154B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202110274423.2A CN113010870B (zh) 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备
CN202011075734.8A CN111931154B (zh) 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011075734.8A CN111931154B (zh) 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202110274423.2A Division CN113010870B (zh) 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备

Publications (2)

Publication Number Publication Date
CN111931154A true CN111931154A (zh) 2020-11-13
CN111931154B CN111931154B (zh) 2021-01-26

Family

ID=73334322

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202011075734.8A Active CN111931154B (zh) 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备
CN202110274423.2A Active CN113010870B (zh) 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202110274423.2A Active CN113010870B (zh) 2020-10-10 2020-10-10 基于数字凭证的业务处理方法、装置及设备

Country Status (1)

Country Link
CN (2) CN111931154B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113010870A (zh) * 2020-10-10 2021-06-22 支付宝(杭州)信息技术有限公司 基于数字凭证的业务处理方法、装置及设备
CN113221142A (zh) * 2021-05-11 2021-08-06 支付宝(杭州)信息技术有限公司 授权业务的处理方法、装置、设备及系统
CN113312664A (zh) * 2021-06-01 2021-08-27 支付宝(杭州)信息技术有限公司 用户数据授权方法及用户数据授权系统
CN113472544A (zh) * 2021-08-31 2021-10-01 北京微芯感知科技有限公司 一种数字身份验证方法、装置、计算机设备和存储介质
CN113868665A (zh) * 2021-09-26 2021-12-31 中国联合网络通信集团有限公司 一种身份验证方法、装置及存储介质
WO2022160829A1 (zh) * 2021-01-26 2022-08-04 华为云计算技术有限公司 身份信息处理方法、设备及系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115460019B (zh) * 2022-11-10 2023-03-24 中国信息通信研究院 基于数字身份的目标应用提供方法和装置、设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111066020A (zh) * 2019-07-02 2020-04-24 阿里巴巴集团控股有限公司 用于创建去中心化标识的系统和方法
US20200133955A1 (en) * 2018-10-31 2020-04-30 Salesforce.Com, Inc. Systems, methods, and apparatuses for implementing consumer data validation, matching, and merging across tenants with optional verification prompts utilizing blockchain
CN111090876A (zh) * 2020-03-18 2020-05-01 支付宝(杭州)信息技术有限公司 调用合约的方法及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9858408B2 (en) * 2015-02-13 2018-01-02 Yoti Holding Limited Digital identity system
CN109150548B (zh) * 2015-12-01 2021-10-08 神州融安科技(北京)有限公司 一种数字证书签名、验签方法及系统、数字证书系统
US20170178072A1 (en) * 2015-12-22 2017-06-22 Intel Corporation System, Apparatus And Method For Transferring Ownership Of A Smart Delivery Package
KR101740391B1 (ko) * 2016-01-15 2017-06-08 (주)케이스마텍 신뢰된 실행 환경 기반의 온라인 서명 인증 장치 및 방법
US11233649B2 (en) * 2016-12-22 2022-01-25 Huawei Technologies Co., Ltd. Application program authorization method, terminal, and server
CN111274612B (zh) * 2018-12-04 2022-12-02 北京京东尚科信息技术有限公司 从业人员信任验证方法及系统、见证服务系统及存储介质
CN110795501A (zh) * 2019-10-11 2020-02-14 支付宝(杭州)信息技术有限公司 基于区块链的可验证声明的创建方法、装置、设备及系统
CN110990804B (zh) * 2020-03-03 2020-08-14 支付宝(杭州)信息技术有限公司 资源访问方法、装置及设备
CN111367821B (zh) * 2020-05-22 2020-09-08 支付宝(杭州)信息技术有限公司 一种软件测试方法及系统
CN111680282B (zh) * 2020-06-01 2021-08-24 腾讯科技(深圳)有限公司 基于区块链网络的节点管理方法、装置、设备及介质
CN112818380B (zh) * 2020-07-10 2024-06-28 支付宝(杭州)信息技术有限公司 业务行为的回溯处理方法、装置、设备及系统
CN111931154B (zh) * 2020-10-10 2021-01-26 支付宝(杭州)信息技术有限公司 基于数字凭证的业务处理方法、装置及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200133955A1 (en) * 2018-10-31 2020-04-30 Salesforce.Com, Inc. Systems, methods, and apparatuses for implementing consumer data validation, matching, and merging across tenants with optional verification prompts utilizing blockchain
CN111066020A (zh) * 2019-07-02 2020-04-24 阿里巴巴集团控股有限公司 用于创建去中心化标识的系统和方法
CN111090876A (zh) * 2020-03-18 2020-05-01 支付宝(杭州)信息技术有限公司 调用合约的方法及装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113010870A (zh) * 2020-10-10 2021-06-22 支付宝(杭州)信息技术有限公司 基于数字凭证的业务处理方法、装置及设备
WO2022160829A1 (zh) * 2021-01-26 2022-08-04 华为云计算技术有限公司 身份信息处理方法、设备及系统
CN113221142A (zh) * 2021-05-11 2021-08-06 支付宝(杭州)信息技术有限公司 授权业务的处理方法、装置、设备及系统
CN113312664A (zh) * 2021-06-01 2021-08-27 支付宝(杭州)信息技术有限公司 用户数据授权方法及用户数据授权系统
CN113472544A (zh) * 2021-08-31 2021-10-01 北京微芯感知科技有限公司 一种数字身份验证方法、装置、计算机设备和存储介质
CN113868665A (zh) * 2021-09-26 2021-12-31 中国联合网络通信集团有限公司 一种身份验证方法、装置及存储介质
CN113868665B (zh) * 2021-09-26 2023-01-24 中国联合网络通信集团有限公司 一种身份验证方法、装置及存储介质

Also Published As

Publication number Publication date
CN113010870B (zh) 2024-07-05
CN111931154B (zh) 2021-01-26
CN113010870A (zh) 2021-06-22

Similar Documents

Publication Publication Date Title
CN111931154B (zh) 基于数字凭证的业务处理方法、装置及设备
CN111401902B (zh) 基于区块链的业务处理方法、业务处理方法、装置及设备
CN111311251B (zh) 绑定处理方法、装置及设备
CN110555296B (zh) 基于区块链的身份验证方法、装置及设备
CN108055132B (zh) 一种业务授权的方法、装置及设备
CN110795501A (zh) 基于区块链的可验证声明的创建方法、装置、设备及系统
CN110768968B (zh) 基于可验证声明的授权方法、装置、设备及系统
CN110222531B (zh) 一种访问数据库的方法、系统及设备
CN111680305A (zh) 一种基于区块链的数据处理方法、装置及设备
CN111126950A (zh) 一种基于区块链的业务处理方法、装置及设备
CN110519294B (zh) 身份认证方法、装置、设备及系统
CN112434348B (zh) 数据的验证处理方法、装置及设备
CN110378091A (zh) 一种身份验证方法、装置及设备
CN111770063B (zh) 数字身份信息的派生、验证方法、装置及设备
CN111526166B (zh) 一种信息验证方法、装置及设备
CN113704826A (zh) 一种基于隐私保护的业务风险检测方法、装置及设备
CN113221142A (zh) 授权业务的处理方法、装置、设备及系统
CN113239853A (zh) 一种基于隐私保护的生物识别方法、装置及设备
CN111783051A (zh) 身份认证方法及装置和电子设备
CN113704734A (zh) 基于分布式数字身份实现凭证验证的方法及相关装置
CN112100610B (zh) 登录及用户登录相关业务的处理方法、装置和设备
CN111046440B (zh) 一种安全区域内容的篡改验证方法及系统
CN114238887A (zh) 语音授权及语音相关业务的处理方法、装置和设备
Tamrakar et al. On rehoming the electronic id to TEEs
CN114867017A (zh) 一种身份认证方法、装置、设备及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40040690

Country of ref document: HK

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240920

Address after: Room 803, floor 8, No. 618 Wai Road, Huangpu District, Shanghai 200010

Patentee after: Ant blockchain Technology (Shanghai) Co.,Ltd.

Country or region after: China

Address before: 310000 801-11 section B, 8th floor, 556 Xixi Road, Xihu District, Hangzhou City, Zhejiang Province

Patentee before: Alipay (Hangzhou) Information Technology Co.,Ltd.

Country or region before: China