CN113343208A - 一种凭证授权方法、装置、终端及存储介质 - Google Patents

一种凭证授权方法、装置、终端及存储介质 Download PDF

Info

Publication number
CN113343208A
CN113343208A CN202110554341.3A CN202110554341A CN113343208A CN 113343208 A CN113343208 A CN 113343208A CN 202110554341 A CN202110554341 A CN 202110554341A CN 113343208 A CN113343208 A CN 113343208A
Authority
CN
China
Prior art keywords
certificate
credential
identity
user
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110554341.3A
Other languages
English (en)
Inventor
曹崇瑞
王挺
胡志鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netease Hangzhou Network Co Ltd
Original Assignee
Netease Hangzhou Network Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netease Hangzhou Network Co Ltd filed Critical Netease Hangzhou Network Co Ltd
Priority to CN202110554341.3A priority Critical patent/CN113343208A/zh
Publication of CN113343208A publication Critical patent/CN113343208A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种凭证授权方法、装置、终端及存储介质,该凭证授权方法包括:接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;基于所述借用请求中的所述指示信息,获取所述目标身份凭证;基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。本方案中,可以在用户将身份凭证借给其他用户使用时,能够知道使用者的身份,提高借用的安全性。

Description

一种凭证授权方法、装置、终端及存储介质
技术领域
本申请涉及计算机技术领域,具体涉及一种凭证授权方法、装置、终端及存储介质。
背景技术
现有分布式身份标识(DID)及可验证声明(VC)模型下,用户的VC必须由用户自己保存,在使用时向验证者出示VC,也可以向验证者出示可验证表述(VP);而且由于安全因素的考虑,一般在多数情况下,每次用户使用时均需要用户对其持有的VC进行自签名授权后使用,即向验证者出示VP,以防止在用户泄露VC的情况下,用户的VC被他人盗用。
在用户需要将凭证(VC或VP)借给他人使用的情况下,用户及验证者无法知道使用者是谁,存在借用的安全问题。
发明内容
本申请实施例提供一种凭证授权方法、装置、终端及存储介质,可以在用户将身份凭证借给他人使用时,能够知道使用者的身份,提高借用的安全性。
本申请实施例提供一种凭证授权方法,该凭证授权方法包括:
接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;
基于所述借用请求中的所述指示信息,获取所述目标身份凭证;
基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
在一个可选的实施例中,所述基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,包括:
确定授权使用凭证编号,获取所述授权使用凭证的凭证查询信息,所述凭证查询信息用于查询所述授权使用凭证的关联信息;
基于所述授权使用凭证编号、所述凭证查询信息、所述目标身份凭证及所述第一身份标识,确定所述授权使用凭证的凭证内容;
获取凭证发行者的身份标识,基于所述凭证发行者的身份标识对所述凭证内容进行处理,生成所述授权使用凭证。
在一个可选的实施例中,所述获取凭证发行者的身份标识,基于所述凭证发行者的身份标识对所述凭证内容进行处理,生成所述授权使用凭证,包括:
获取所述凭证发行者的第一私钥信息,基于所述第一私钥信息对所述凭证内容进行签名,得到发行者签名信息;
将所述发行者签名信息作为所述凭证发行者的身份标识,基于所述凭证发行者的身份标识和所述凭证内容,生成所述授权使用凭证。
在一个可选的实施例中,所述基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,包括:
获取所述第一用户对所述目标身份凭证的最大可使用次数;
基于所述最大可使用次数、所述目标身份凭证和所述第一身份标识生成所述授权使用凭证。
本申请实施例提供一种凭证验证方法,该凭证验证方法包括:
接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;
基于所述使用请求获取所述授权使用凭证;
基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;
若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
在一个可选的实施例中,所述使用请求包括所述第一用户的第一签名信息,以及基于所述第一签名信息对所述授权使用凭证进行签名得到的签名后凭证,所述基于所述使用请求获取所述授权使用凭证,包括:
从所述使用请求中获取所述第一签名信息和所述签名后凭证;
基于所述第一签名信息对所述签名后凭证进行处理,获取所述授权使用凭证。
在一个可选的实施例中,所述第一签名信息基于所述第一用户的第二私钥信息对所述授权使用凭证,使用范围标识以及防复用标识信息进行处理得到;
所述获取所述第一签名信息,包括:
确定所述授权使用凭证对应的防复用标识信息和使用范围标识,且不同的授权使用凭证对应设置不同的防复用标识信息,所述使用范围标识用于指示所述授权使用凭证的使用范围;
获取所述第一用户的第二私钥信息,基于所述第二私钥信息对所述授权使用凭证、所述防复用标识信息和所述使用范围标识进行签名,得到所述第一签名信息。
在一个可选的实施例中,所述有效性验证包括对所述第一签名信息的验证;
所述基于所述授权使用凭证的信息,对所述授权使用凭证的有效性进行验证,包括:
从所述第一签名信息中获取所述第一用户的身份标识;
从所述授权使用凭证中获取所述第一身份标识;
若所述第一签名信息所包含的身份标识与所述授权使用凭证中所包含的所述第一身份标识一致,则所述第一签名信息的验证通过。
在一个可选的实施例中,所述授权使用凭证中包括授权使用凭证编号、凭证查询信息,所述凭证查询信息用于查询授权使用凭证的关联信息;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
获取所述授权使用凭证中的所述授权使用凭证编号和所述凭证查询信息;
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的授权使用凭证,与所述使用请求中的授权使用凭证是否一致;
若一致,则确定所述授权使用凭证的内容通过有效性验证。
在一个可选的实施例中,所述授权使用凭证中包括授权使用凭证编号、凭证查询信息和目标身份凭证,所述有效性验证包括对所述目标使用凭证的凭证有效性验证;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的使用授权凭证对应的原始身份凭证是否有效;
若所述原始身份凭证有效,确定所述目标使用凭证的有效性验证通过。
在一个可选的实施例中,所述授权使用凭证包括授权使用凭证编号、凭证查询信息和所述第一用户对所述目标身份凭证的最大可使用次数;所述有效性验证包括第一用户对所述目标身份凭证的可用次数验证;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的授权使用凭证的历史使用次数是否低于授权使用凭证的最大可使用次数;
若查询结果为是,确定第一用户对所述目标身份凭证的可用次数验证通过。
在一个可选的实施例中,所述授权使用凭证包括防复用标识信息;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
从所述授权使用凭证中获取所述防复用标识信息;
获取已接收的所述第一用户的授权使用凭证的历史防复用标识信息;
若所述历史防复用标识信息中不存在所述防复用标识信息,确定所述有效性验证中的防复用标识信息验证通过。
在一个可选的实施例中,所述授权使用凭证包括使用范围标识,所述使用范围标识用于指示所述授权使用凭证的使用范围;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
从所述授权使用凭证中获取所述使用范围标识;
获取所述授权使用凭证的验证者的目标使用范围标识;
若所述目标使用范围标识与所述使用范围标识相同,确定所述有效性验证中的使用范围标识验证通过。
本申请实施例还提供一种凭证授权装置,该凭证授权装置包括:
接收单元,用于接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;
获取单元,用于基于所述借用请求中的所述指示信息,获取所述目标身份凭证;
生成单元,用于基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
本申请实施例还提供一种凭证验证装置,该凭证验证装置包括:
接收单元,用于接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;
获取单元,用于基于所述使用请求获取所述授权使用凭证;
验证单元,用于基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;
执行单元,用于若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
本申请实施例还提供了一种终端,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行计算机程序时实现如上述凭证授权方法或上述凭证验证方法的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,其中,计算机程序被处理器执行时实现如上述凭证授权方法或上述凭证验证方法的步骤。
本申请实施例提供了一种凭证授权方法、装置、终端及存储介质,通过本实施例的凭证授权方法,可以接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;基于所述借用请求中的所述指示信息,获取所述目标身份凭证;基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
由此,在本申请的凭证授权方法中,用户将由凭证发行者生成的授权使用凭证借给借用者使用,授权使用凭证中包含有用户原有的身份凭证信息与借用者的身份信息,在借用者使用该授权使用凭证时,验证者和用户都可以知道使用者是否为借用者本人。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种示例性系统架构示意图;
图2是本申请实施例提供的一种凭证授权方法的流程示意图;
图3是本申请实施例提供的一种凭证验证方法的流程示意图;
图4为本申请实施例提供的一种应用于凭证授权方法和凭证验证方法的系统示意图;
图5是本申请实施例提供的一种凭证授权装置的结构示意图;
图6是本申请实施例提供的一种凭证验证装置的结构示意图;
图7是本申请实施例提供的一种终端的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种凭证授权方法、装置、终端及存储介质。具体地,本申请实施例提供适用于凭证授权装置的凭证授权方法,该凭证授权装置可以集成在计算机设备中。
该计算机设备可以为终端等设备,例如可以为手机、平板电脑、笔记本电脑、台式电脑等。该计算机设备还可以为服务器等设备,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
在本申请实施例所提供的凭证授权方法和凭证验证方法所构建的系统中,包含有4种参与者:持有者、借用者、发行者和验证者。其中,持有者保存有发行者发行的至少一个身份凭证,可以将自己所持有的身份凭证借给他人使用;借用者向持有者借用身份凭证;发行者可以在接收到借用请求后,可以发行授权使用凭证,由持有者借用给借用者;借用者在使用该授权使用凭证进行验证时,可将授权使用凭证自签名后生成签名后凭证再进行验证;验证者验证借用者身份和借用者签名的有效性,且可向发行者查询授权使用凭证和原始身份凭证的有效性。其中,请参阅图1,图1为本申请实施例提供的一种应用于凭证授权方法和凭证验证方法的实施例的示例性系统架构示意图。如图1所示,借用者终端102向持有者终端101发起借用请求,请求借用持有者终端101的中保存的目标身份凭证,持有者终端101在接收到该借用请求后,将要借用的目标身份凭证信息以及借用者的身份信息发送给发行者终端103,发行者终端103根据接收到的信息生成授权使用凭证,并返回给持有者终端101;持有者终端101将该授权使用凭证借用给借用者终端102,借用者终端102将该授权使用凭证自签名后生成签名后凭证后使用,可以在多个区域使用,通过不同的验证者终端进行验证,例如通过图中的验证者终端104或105进行验证,验证者终端104或105向发行者终端103查询授权使用凭证的真实性,验证通过后,则借用者可以在验证者终端所在的区域使用该授权使用凭证。
其中,本申请实施例所述的身份凭证可应用于可验证声明(VC)的可验证系统中,在可验证声明系统中,包括4种参与者:发行者(Issuer),拥有用户数据并能开具可验证声明的实体,如政府、银行、大学等机构和组织;持有者(Holder),持有者即用户,用户向发行者请求、收到以及持有可验证声明的实体,向验证者出示可验证声明,开具的可验证声明可以自我保存,方便以后再次使用,例如保存在钱包里,用户也可能将一个或多个VC转让给其他人;验证者(Verifier),接收可验证声明并进行验证,验证通过后,可以提供给出示可验证声明的用户某种类型的服务;标识符注册机构(Verifiable Data Registry),维护分布式身份标识(DIDs)的数据库,如某条区块链、分布式账本。在可验证声明系统中,验证者可以验证用户的可验证声明,也可以验证自签名后的可验证声明,也即可验证表述(VP),验证通过后,即可确定用户所持有的可验证声明的有效性。其中,本申请实施例中的第二用户,也即上述可验证声明系统中的持有者,本申请实施例中的凭证发行者也即上述可验证声明系统中的发行者,本申请实施例中的验证者也即上述可验证声明系统中的验证者。
其中,在可验证声明系统中,持有者可以将所持有的可验证声明借给其他用户使用,在验证者进行验证时,持有者与验证者不知道是不是借用者本人使用,会存在借用的安全性问题。由此,本申请实施例提供了一种凭证授权方法,在借用者进行使用时,用户及验证者可以确保是借用者本人使用,从而提高借用的安全性。
本申请实施例中,一种凭证授权方法,包括:接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;基于所述借用请求中的所述指示信息,获取所述目标身份凭证;基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
以下分别进行详细说明。需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本申请实施例将从凭证授权装置的角度进行描述,该凭证授权装置具体可以集成在计算机设备中。
本申请实施例提供了一种凭证授权方法,如图2所示,本申请实施例的凭证授权方法的流程可以如下:
201、接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证。
本申请实施例中,用户A可以拥有至少一个身份凭证,用户A的身份凭证分别由可信发行者给用户A发行的,用户A自己保存所持有的身份凭证,例如,用户A持有一张某购物商店的VIP凭证。此时,用户B想借用用户A的VIP凭证,在该购物商店购物时进行使用,则用户B发送一借用请求,在借用请求中包括用户B的身份标识和想借用的VIP凭证的指示信息。其中,用户A即本申请实施例的第二用户,也即目标身份凭证的持有者,用户B即本申请实施例的第一用户,也即目标身份凭证的借用者,某购物商店的VIP凭证即本申请实施例的目标身份凭证。
其中,第二用户可持有至少一个身份凭证,第二用户的身份凭证均由可信发行者发行。第二用户在申请身份凭证(VC)之前向区块链网络注册分布式身份标识(DID/did),并获取DID文档(在区块链注册并保存DID);然后,第二用户将向发行者(公安机构)申请身份凭证;发行者验证第二用户的身份和有效性,并验证用户的DID是否注册和是否有效;发行者验证通过后,给第二用户发行一个VC;第二用户在接收到发行者返回的VC后,做好本地保存,且必须自己保持。由此,第二用户可以基于上述过程获取多种身份凭证,第一用户则可以请求借用第二用户的其中一种或多种身份凭证进行使用。
其中,以第二用户持有一张某购物商店的VIP凭证(shopVipVC),将借用给第一用户使用为例。第二用户持有的VIP凭证的内容详情信息,也即目标身份凭证的内容详情信息可以包括:目标身份凭证的类型、发行者信息、目标身份凭证的发行时间与过期时间、凭证信息、发行者证明信息等,其中,目标身份凭证的类型可以是例如购物凭证、出行凭证等等;发行者信息可以包括发行者的编号、发行者名称;凭证信息可以包括第二用户的身份标识(DID),以及该凭证的等级,例如是否为VIP凭证;发行者证明信息可以包括发行者签名的算法类型、签名时间、发行者的可以验证签名的DID中的第几个公钥以及发行者的签名数据。以某购物商店的VIP凭证作为目标身份凭证为例,从内容详情信息中可知,目标身份凭证的类型(VC类型)为购物凭证,发行者信息为该购物商店的发行者信息。其中,一种目标身份凭证的内容详情信息的参考代码示例如下:
Figure BDA0003076568420000101
Figure BDA0003076568420000111
其中,该目标身份凭证可以是发行者发行的实体凭证,在第二用户终端的数据库中链接有该实体凭证的内容详情信息,并由第二用户保存;也可以仅为虚拟的电子凭证,存储在第二用户所持有的电子设备中。
其中,第一用户想要借用第一用户的目标身份凭证,可以是向第一用户发送借用请求,在借用请求中包括有第一用户的身份标识和目标身份凭证的指示信息。也可以是直接向发行该目标身份凭证的发行者发送借用请求,在借用请求中包括第一用户的身份标识和目标身份凭证的指示信息,再由发行者向第二用户确认是否同意该借用请求。
202、基于所述借用请求中的所述指示信息,获取所述目标身份凭证。
在本申请实施例中,若第二用户是向第一用户发送的借用请求,则第二用户将借用请求中的指示信息发送给发行者,发行者基于借用请求中的目标身份凭证的指示信息及第一用户的身份标识,根据目标身份凭证的指示信息确定目标身份凭证,并获取该目标身份凭证,其中,获取该目标身份凭证也即获取该目标身份凭证的内容详情信息。若第二用户是直接向发行者发送的借用请求,发行者在向第二用户确认同意该借用请求后,发行者基于借用请求中的目标身份凭证的指示信息确定目标身份凭证,并获取该目标身份凭证。
其中,发行者是可信发行者,以发行VIP购物凭证为例,可信发行者即为发行该VIP购物凭证的购物商店,或者该购物商店所授权的能够存储VIP用户数据且开具凭证实体或电子凭证的其他发行机构。
203、基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
在本申请实施例中,凭证发行者在接收到借用请求中的指示信息以及获取目标身份凭证后,基于目标身份凭证的内容详情信息以及第一用户的身份标识,生成授权使用凭证,该授权使用凭证中包含有第一身份标识,第一身份标识可以用于指示具有该目标身份凭证的借用权限的用户,也即第一用户。
其中,在凭证发行者生成授权使用凭证后,可以直接根据借用请求中的指示信息中的第一身份标识确定第一用户,将该授权使用凭证发送给该第一用户。也可以是将授权使用凭证返回给第二用户,再由第二用户发送给第一用户。
其中,凭证发行者生成授权使用凭证的操作步骤可以包括:首先确定授权使用凭证编号,获取授权使用凭证的凭证查询信息,该凭证查询信息可以用于查询授权使用凭证的关联信息,关联信息即授权使用凭证中的所有信息;基于授权使用凭证编号、凭证查询信息、目标身份凭证及第一身份标识,确定所述授权使用凭证的凭证内容;再获取凭证发行者的身份标识,基于凭证发行者的身份标识对凭证内容进行处理,从而生成授权使用凭证。
其中,步骤“获取凭证发行者的身份标识,基于凭证发行者的身份标识对凭证内容进行处理,从而生成授权使用凭证”包括:获取凭证发行者的第一私钥信息,基于该第一私钥信息对凭证内容进行签名,得到发行者签名信息;再将发行者签名信息作为凭证发行者的身份标识,基于凭证发行者的身份标识和上述凭证内容,生成授权使用凭证。
其中,步骤“基于目标身份凭证和第一身份凭证生成授权使用凭证”中还可以包括:获取第一用户对目标身份凭证的最大可使用次数;基于最大可使用次数、目标身份凭证和第一身份标识生成授权使用凭证。也即将第一用户对于目标身份凭证的最大可使用次数添加至授权使用凭证中,其中,最大可使用次数可以是第一用户自己请求设置的,也可以是第二用户设置的,然后将该最大可使用次数通过第一用户或第二用户发送给凭证发行者。由此,通过设置第一用户对目标身份凭证的最大可使用次数,可以限制第一用户的使用次数,使得该目标身份凭证不会在借用后被无限制的使用。可选的,也可以设置第一用户对目标身份凭证的使用时间作为限制。
其中,凭证发行者生成本次授权使用凭证的唯一编号(useVcId)即授权使用凭证编号,其中,可用uuid/hash等各种算法生成唯一编号等。根据唯一编号(useVcId)、凭证查询信息,也即凭证吊销查询地址(useVcQueryUrl)、目标身份凭证(原始VC)、第一用户的第一身份标识(第一用户的DID,用于唯一标示使用者是谁)以及最大可使用次数作为授权使用凭证的内容,也即授权使用凭证的详情信息,并使用可信发行者的发行者DID账号发行一个授权使用凭证。其中,使用可信发行者的发行者DID账号即获取发行者的身份标识,使用发行者的私钥签名对授权使用凭证的内容进行签名得到发行者签名信息,最终生成授权使用凭证。签名算法可为Secp256k1、rsa等各种算法,目的是确保该授权使用凭证是可信发行者发行的,且授权使用凭证的内容是有效的。其中,一种生成授权使用凭证的参考代码步骤如下:
String useVcQueryUrl="http://credibleIssue/credentials/status";//凭证吊销查询地址
String credibleIssuerDid="";//可信发行者的DID
String credibleIssuerPrivateKey="";//可信发行者的私钥
Map<String,Integer>maxCountMap=new HashMap<>();//使用凭证可使用的次数
Map<String,Integer>hasUseMap=new HashMap<>();//使用凭证已使用的次数/**
*发行使用VC
*
*@paramuseUserDid使用者DID
*@paramvc原始VC
*@paramuseDid使用用户的VC
*@paramuseCount用户使用次数
*@return
*/
String issueUseVc(String useUserDid,Stringvc,StringuseDid,intuseCount)
{
String useVcId=UUID.randomUUID().toString();//1.生成唯一编号useVcId,并保持
//2.根据useVcId、凭证吊销查询地址、原始VC、使用用户DID、使用次数作为详情,并使用可信发行者的发行者DID账号生成使用useVC
//3.返回给用户useVC,并记录useVcId对应的可使用次数
maxCountMap.put(useVcId,useCount);
}
其中,生成授权使用凭证的其他信息的参考代码示例可从上述参考代码中得知,例如凭证查询信息的参考代码、可信发行者的身份标志的参考代码等等。
其中,在凭证发行者的授权使用凭证中,包括有授权使用凭证的id值即授权使用凭证编号,授权使用凭证的类型,凭证发行者的信息,授权使用凭证的发行时间和过期时间,凭证声明信息,发行者证明信息以及凭证查询信息;凭证声明信息包括有第一用户的第一身份标识,目标身份凭证的内容,最大可使用次数。凭证查询信息包含有凭证状态的查询地址,验证者可通过该查询地址向发行者查询授权使用凭证的有效性。其中,一种授权使用凭证的参考代码如下:
Figure BDA0003076568420000141
Figure BDA0003076568420000151
其中,在生成该授权使用凭证后,将该授权使用凭证发送给第一用户,并且凭证发行者会在自己的数据库中记载授权使用凭证编号,授权使用凭证编号对应的授权使用凭证的信息,以及该授权使用凭证对应的最大可使用次数。
在第一用户接收到授权使用凭证后,本申请实施例还提供了一种凭证验证方法。具体地,本申请实施例提供一种适用于凭证验证装置的凭证验证方法,该凭证验证装置可以集成在计算机设备中。该计算机设备可以为终端等设备,例如可以为平板电脑、笔记本电脑、台式电脑等。
本申请实施例中,一种凭证验证方法,包括:接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;基于所述使用请求获取所述授权使用凭证;基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
以下分别进行详细说明。需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本申请实施例将从凭证验证装置的角度进行描述,该凭证验证装置具体可以集成在计算机设备中。
本申请实施例提供了一种凭证验证方法,如图3所示,该凭证验证方法的流程可以如下:
301、接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证。
在本申请实施例中,第一用户在接收到凭证发行者或第二用户的授权使用凭证后,可以在验证者处使用该授权使用凭证。第一用户在每次去验证使用时,需要对该授权使用凭证进行自签名,得到签名后凭证再使用,可以通过签名验证确保本次使用是第一用户本人操作,提高授权使用凭证的使用安全性。其中,验证者接收第一用户对授权使用凭证的使用请求,以授权使用凭证为一购物商店发行的VIP凭证的授权使用凭证为例,该购物商店接收借用者(第一用户)对授权使用凭证的使用请求,并且在授权使用凭证中包括有VIP凭证(目标身份凭证)和借用者的第一身份标识,VIP凭证为凭证持有者(第二用户)所持有的身份凭证之一。
302、基于所述使用请求获取所述授权使用凭证。
在本申请实施例中,验证者在接收到第一用户的使用请求后,就会获取第一用户的授权使用凭证的信息,以对该授权使用凭证进行验证。
其中,由于授权使用凭证需要第一用户使用私钥自签名后再进行验证,在第一用户的使用请求中包括第一用户的签名信息(设为第一签名信息),以及基于该第一签名信息对授权使用凭证进行签名得到的签名后凭证。步骤“基于使用请求获取授权使用凭证”还包括:从使用请求中获取第一签名信息和签名后凭证;基于第一签名信息对该签名后凭证进行处理,例如验证者利用第一签名信息对签名后凭证进行解密,然后,获取到授权使用凭证。
其中,第一签名信息是基于第一用户的私钥信息(设为第二私钥信息)对授权使用凭证,使用范围标识以及防复用标识信息进行处理得到。步骤“获取第一签名信息”包括:确定授权使用凭证对应的防复用标识信息和使用范围标识,且不同的授权使用凭证对应设置不同的防复用标识信息,即每个授权使用凭证对应的防复用标识信息是唯一的,使用范围标识则用于指示授权使用凭证的使用范围,例如购物商店发行的VIP凭证对应的授权使用凭证的使用范围标识,是用于指示该授权使用凭证是属于购物类的,不可以用于其他类;获取第一用户的第二私钥信息,基于第二私钥信息对授权使用凭证、防复用标识信息和使用范围标识信息进行签名,从而得到该第一签名信息,其中,签名的算法也可以是Secp256k1、rsa等各种算法,本申请在此不再累述。
其中,签名后凭证中包括授权使用凭证中的全部内容以及第一用户的第一签名信息;即,签名后凭证的参考代码由授权使用凭证的全部代码加上第一签名信息的实现代码组成,则一种签名后凭证的内容详情信息的参考代码如下,其中,{……}中的代码即为上述授权使用凭证的全部参考代码,在此不再赘述:
Figure BDA0003076568420000171
Figure BDA0003076568420000181
其中,上述代码中的域值(domain),即上述的使用范围标识,上述代码中的挑战值(challenge),即上述的防复用标识信息。
303、基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证。
在本申请实施例中,验证者基于获取到的授权使用凭证中的信息,对该授权使用凭证进行有效性验证。其中,有效性验证可以包括:第一签名信息的验证,授权使用凭证的内容验证,目标身份凭证的凭证有效性验证,目标身份凭证的可用次数验证,防复用标识信息验证以及授权使用凭证的使用范围验证。
其中,对第一签名信息的验证,包括:从第一签名信息中获取第一用户的身份标识;从授权使用凭证中获取第一身份标识;若第一签名信息所包含的身份标识与授权使用凭证中所包含的第一身份标识一致,则对第一签名信息的验证通过,即代表使用者是第一用户本人。其中,验证者首先需要验证第一用户的第一身份标识是否有效,即可以向第一用户的身份标识的注册机构进行验证,验证是否存在该用户;进一步验证第一签名信息是否有效,若第一签名信息是有效的,则可以确认是第一用户的本人签名,是第一用户本人发起的使用请求。然后,验证者需要将第一签名信息中的身份标识跟授权使用凭证中的第一身份标识进行对比,判断两者是否一致。其中,credentialSubject.id即表示授权使用凭证中的第一身份标识,verificationMethod的前缀did即表示第一签名信息中的身份标识,可知,二者均为0x7d75dfc7c61ed3151d85ffd12c287047146b774b,则表示第一签名信息中的身份标识跟授权使用凭证中的第一身份标识一致,即对第一签名信息的有效性验证通过。
其中,授权使用凭证中包括授权使用凭证编号、凭证查询信息,凭证查询信息用于查询授权使用凭证的关联信息;对授权使用凭证的内容验证,包括:获取授权使用凭证中的授权使用凭证编号、凭证查询信息;基于凭证查询信息,查询授权使用凭证编号所指示的授权使用凭证,与使用请求中的授权使用凭证是否一致;若一致,则确定授权使用凭证的内容通过有效性验证。授权使用凭证的内容通过有效性验证,即表示授权使用凭证中的信息都是有效的,与发行者中存储的该授权使用编号对应的授权使用凭证中的内容一致。其中,验证者可以获取凭证查询信息中的凭证吊销查询地址,通过该凭证吊销查询地址向发行者查询该授权使用编号对应的授权使用凭证是否有效。
若凭证发行者返回的对授权使用凭证的内容是有效的,则对所述目标身份凭证的凭证有效性验证,包括:授权使用凭证中包括授权使用凭证编号、凭证查询信息和目标身份凭证,基于凭证查询信息,查询授权使用凭证编号所指示的使用授权凭证对应的原始身份凭证是否有效;若原始身份凭证有效,确定该目标身份凭证的有效性验证通过,即该目标身份凭证对应的第二用户的身份标识、目标身份凭证的发行者以及目标身份凭证的签名都是有效的。
其中,第一用户对目标身份凭证的可用次数验证,包括:授权使用凭证包括授权使用凭证编号、凭证查询信息和第一用户对所述目标身份凭证的最大可使用次数;基于凭证查询信息,验证者查询授权使用凭证编号所指示的授权使用凭证的历史使用次数是否低于授权使用凭证的最大可使用次数;若查询结果为是,确定第一用户对目标身份凭证的可使用次数验证通过。本申请实施例中,凭证发行者的数据库中可以保存有授权使用凭证的最大可使用次数,验证者通过凭证查询信息向凭证发行者发送查询请求,在接收到验证者的查询请求后,凭证发行者获取授权使用凭证编号所指示的授权使用凭证已经使用的次数(历史使用次数)以及最大可使用次数(也可直接从其数据库中确定最大可使用次数),然后,判断已使用次数是否在最大可使用次数范围内,若在,发行者则会累加一次,得到更新的已使用次数,并将更新的已使用次数返回给第一用户以及返回有效验证通过的结果给验证者,否则,返回失败,则表示该授权使用凭证的使用次数已经达到限制,不能再使用。查询授权使用凭证编号(useVcId)所指示的授权使用凭证是否可用,若已使用次数小于最大可使用次数,已使用次数累加一次,即可用次数的有效验证通过,发行者将查询结果返回给验证者。
其中,一种实现最大可使用次数的有效性验证的参考代码如下:
Figure BDA0003076568420000201
其中,符号“//”后面的文字是指对前面一行或几行代码的解释。
其中,授权使用凭证包括防复用标识信息,对防复用标识信息的验证包括:从授权使用凭证中获取防复用标识信息;获取已接收的第一用户的授权使用凭证的历史防复用标识信息;若历史防复用标识信息中不存在防复用标识信息,确定有效性验证中的防复用标识信息验证通过。其中,授权使用凭证包括使用范围标识,使用范围标识用于指示授权使用凭证的使用范围;对所述授权使用凭证的使用范围标识进行有效性验证,包括:从授权使用凭证中获取使用范围标识;获取授权使用凭证的验证者的目标使用范围标识;若目标使用范围标识与所述使用范围标识相同,确定有效性验证中的使用范围标识验证通过。
本申请实施例中,凭证验证者在进行每一次验证后,会记录下第一用户的签名后凭证中的防复用标识信息。当进行下一次验证时,会将所有记录的防复用标识信息作为历史防复用标识信息,与本次获取的防复用标识信息进行比对,由于防复用标识信息(也即挑战值)是唯一的,所以有效的防复用标识信息是不会在记录的历史防复用标识信息中的。其中,每个验证者具有自己的使用范围标识(也即域值)作为目标使用范围标识,例如购物,当本次获取的使用范围标识与该目标使用范围标识一致时,则代表授权使用凭证的使用范围标识的有效性验证通过。通过防复用标识信息与使用范围标识结合,可以防止重放攻击,以确保第一用户的签名后凭证只能使用一次,防止第一用户反复使用该签名后凭证以及防止该签名后凭证在泄露后被其他用户反复使用,进一步提高凭证借用的安全性。
304、若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
在本申请实施例中,上述所有的有效性验证通过后,则验证者可以执行第一用户的使用请求中的对授权使用凭证的使用操作,第一用户可以正常使用该授权使用凭证。
本申请实施例中,请参阅图4,图4为本申请实施例提供的一种应用于凭证授权方法和凭证验证方法的系统示意图。如图4所示,用户B(第一用户)为借用者,向用户A(第二用户)发送身份凭证的借用请求,用户A同意借用后,再向凭证发行者C发送申请信息,发行者C根据申请信息中的原始身份凭证信息和用户B的身份标识生成授权使用凭证,并返回给用户A。用户A随后将授权使用凭证借用给用户B,用户B使用自己的私钥对该授权使用凭证进行签名得到签名后凭证,在验证者D处使用。验证者D则根据该签名后凭证中的内容向发行者A进行查询,验证签名后凭证所指示的授权使用凭证是否有效。图4所示的过程即为应用于本申请的凭证授权方法和凭证验证方法的系统中所进行的步骤。通过该系统,在生成授权使用凭证再进行借用后,验证者及持有者可以知道使用者的身份,提高了持有者的身份凭证的借用安全性。
为了更好地实施以上方法,相应的,本申请实施例还提供一种凭证授权装置,该凭证授权装置具体可以集成在终端中,例如以客户端的形式集成在终端中。
参考图5,该凭证授权装置包括接收单元501、获取单元502、生成单元503,如下:
接收单元501,用于接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;
获取单元502,用于基于所述借用请求中的所述指示信息,获取所述目标身份凭证;
生成单元503,用于基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
在一个可选的实施例中,所述生成单元503,还包括:
确定授权使用凭证编号,获取所述授权使用凭证的凭证查询信息,所述凭证查询信息用于查询所述授权使用凭证的关联信息;
基于所述授权使用凭证编号、所述凭证查询信息、所述目标身份凭证及所述第一身份标识,确定所述授权使用凭证的凭证内容;
获取凭证发行者的身份标识,基于所述凭证发行者的身份标识对所述凭证内容进行处理,生成所述授权使用凭证。
在一个可选的实施例中,所述生成单元503,还包括:
获取所述凭证发行者的第一私钥信息,基于所述第一私钥信息对所述凭证内容进行签名,得到发行者签名信息;
将所述发行者签名信息作为所述凭证发行者的身份标识,基于所述凭证发行者的身份标识和所述凭证内容,生成所述授权使用凭证。
在一个可选的实施例中,所述生成单元503,还包括:
获取所述第一用户对所述目标身份凭证的最大可使用次数;
基于所述最大可使用次数、所述目标身份凭证和所述第一身份标识生成所述授权使用凭证。
为了更好地实施以上方法,相应的,本申请实施例还提供一种凭证验证装置,该凭证验证装置具体可以集成在终端中。
参考图6,该凭证验证装置包括接收单元601、获取单元602、验证单元603和执行单元604,如下:
接收单元601,用于接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;
获取单元602,用于基于所述使用请求获取所述授权使用凭证;
验证单元603,用于基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;
执行单元604,用于若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
在一个可选的实施例中,所述使用请求包括所述第一用户的第一签名信息,以及基于所述第一签名信息对所述授权使用凭证进行签名得到的签名后凭证,所述获取单元602,还包括:
从所述使用请求中获取所述第一签名信息和所述签名后凭证;
基于所述第一签名信息对所述签名后凭证进行处理,获取所述授权使用凭证。
在一个可选的实施例中,所述第一签名信息基于所述第一用户的第二私钥信息对所述授权使用凭证,使用范围标识以及防复用标识信息进行处理得到;
所述获取单元602,还包括:
确定所述授权使用凭证对应的防复用标识信息和使用范围标识,且不同的授权使用凭证对应设置不同的防复用标识信息,所述使用范围标识用于指示所述授权使用凭证的使用范围;
获取所述第一用户的第二私钥信息,基于所述第二私钥信息对所述授权使用凭证、所述防复用标识信息和所述使用范围标识信息进行签名,得到所述第一签名信息。
在一个可选的实施例中,所述有效性验证包括对所述第一签名信息的验证;
所述验证单元603,还包括:
从所述第一签名信息中获取所述第一用户的身份标识;
从所述授权使用凭证中获取所述第一身份标识;
若所述第一签名信息所包含的身份标识与所述授权使用凭证中所包含的所述第一身份标识一致,则所述第一签名信息的验证通过。
在一个可选的实施例中,所述授权使用凭证中包括授权使用凭证编号、凭证查询信息,所述凭证查询信息用于查询所述授权使用凭证的关联信息;
所述验证单元603,还包括:
获取所述授权使用凭证中的所述授权使用凭证编号和所述凭证查询信息;
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的授权使用凭证,与所述使用请求中的授权使用凭证是否一致;
若一致,则确定所述授权使用凭证的内容通过有效性验证。
在一个可选的实施例中,所述授权使用凭证中包括授权使用凭证编号、凭证查询信息和目标身份凭证,所述有效性验证包括对所述目标使用凭证的凭证有效性验证;
所述验证单元603,还包括:
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的使用授权凭证对应的原始身份凭证是否有效;
若所述原始身份凭证有效,确定所述目标使用凭证的有效性验证通过。
在一个可选的实施例中,所述授权使用凭证包括授权使用凭证编号、凭证查询信息和所述第一用户对所述目标身份凭证的最大可使用次数;所述有效性验证包括第一用户对所述目标身份凭证的可用次数验证;
所述验证单元603,还包括:
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的授权使用凭证的历史使用次数是否低于授权使用凭证的最大可使用次数;
若查询结果为是,确定第一用户对所述目标身份凭证的可用次数验证通过。
在一个可选的实施例中,所述授权使用凭证包括防复用标识信息;
所述验证单元603,还包括:
从所述授权使用凭证中获取所述防复用标识信息;
获取已接收的所述第一用户的授权使用凭证的历史防复用标识信息;
若所述历史防复用标识信息中不存在所述防复用标识信息,确定所述有效性验证中的防复用标识信息验证通过。
在一个可选的实施例中,所述授权使用凭证包括使用范围标识,所述使用范围标识用于指示所述授权使用凭证的使用范围;
所述验证单元603,还包括:
从所述授权使用凭证中获取所述使用范围标识;
获取所述授权使用凭证的验证者的目标使用范围标识;
若所述目标使用范围标识与所述使用范围标识相同,确定所述有效性验证中的使用范围标识验证通过。
相应的,本申请实施例还提供一种终端,该终端可以为智能手机、平板电脑、笔记本电脑、触控屏幕、游戏机、个人计算机(PC,Personal Computer)、个人数字助理(PersonalDigital Assistant,PDA)等终端设备。如图7所示,图7为本申请实施例提供的终端的结构示意图。该终端700包括有一个或者一个以上处理核心的处理器701、有一个或一个以上计算机可读存储介质的存储器702及存储在存储器702上并可在处理器上运行的计算机程序。其中,处理器701与存储器702电性连接。本领域技术人员可以理解,图7中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
处理器701是终端700的控制中心,利用各种接口和线路连接整个终端700的各个部分,通过运行或加载存储在存储器702内的软件程序和/或模块,以及调用存储在存储器702内的数据,执行终端700的各种功能和处理数据,从而对终端700进行整体监控。
在本申请实施例中,终端700中的处理器701会按照如下的步骤,将一个或一个以上的应用程序的进程对应的指令加载到存储器702中,并由处理器701来运行存储在存储器702中的应用程序,从而实现各种功能:
接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;基于所述借用请求中的所述指示信息,获取所述目标身份凭证;基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。或,
接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;基于所述使用请求获取所述授权使用凭证;基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
可选的,如图7所示,终端700还包括:触控显示屏703、射频电路704、音频电路705、输入单元706以及电源707。其中,处理器701分别与触控显示屏703、射频电路704、音频电路705、输入单元706以及电源707电性连接。本领域技术人员可以理解,图7中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
触控显示屏703可用于显示图形用户界面以及接收用户作用于图形用户界面产生的操作指令。触控显示屏703可以包括显示面板和触控面板。其中,显示面板可用于显示由用户输入的信息或提供给用户的信息以及终端的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。可选的,可以采用液晶显示器(LCD,Liquid Crystal Display)、有机发光二极管(OLED,Organic Light-Emitting Diode)等形式来配置显示面板。触控面板可用于收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板上或在触控面板附近的操作),并生成相应的操作指令,且操作指令执行对应程序。可选的,触控面板可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器701,并能接收处理器701发来的命令并加以执行。触控面板可覆盖显示面板,当触控面板检测到在其上或附近的触摸操作后,传送给处理器701以确定触摸事件的类型,随后处理器701根据触摸事件的类型在显示面板上提供相应的视觉输出。在本申请实施例中,可以将触控面板与显示面板集成到触控显示屏703而实现输入和输出功能。但是在某些实施例中,触控面板与触控面板可以作为两个独立的部件来实现输入和输出功能。即触控显示屏703也可以作为输入单元706的一部分实现输入功能。
射频电路704可用于收发射频信号,以通过无线通信与网络设备或其他终端建立无线通讯,与网络设备或其他终端之间收发信号。本申请实施例中,第一用户与第二用户、发行者以及验证者之间均可通过无线通信建立无线通讯,互相收发信号。
音频电路705可以用于通过扬声器、传声器提供用户与终端之间的音频接口。音频电路705可将接收到的音频数据转换后的电信号,传输到扬声器,由扬声器转换为声音信号输出;另一方面,传声器将收集的声音信号转换为电信号,由音频电路705接收后转换为音频数据,再将音频数据输出处理器701处理后,经射频电路704以发送给比如另一终端,或者将音频数据输出至存储器702以便进一步处理。音频电路705还可能包括耳塞插孔,以提供外设耳机与终端的通信。
输入单元706可用于接收输入的数字、字符信息或用户特征信息(例如指纹、虹膜、面部信息等),以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
电源707用于给终端700的各个部件供电。可选的,电源707可以通过电源管理系统与处理器701逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源707还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管图7中未示出,终端700还可以包括摄像头、传感器、无线保真模块、蓝牙模块等,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
由上可知,本实施例提供的终端,可以接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;基于所述借用请求中的所述指示信息,获取所述目标身份凭证;基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。或,
接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;基于所述使用请求获取所述授权使用凭证;基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种计算机可读存储介质,其中存储有多条计算机程序,该计算机程序能够被处理器进行加载,以执行本申请实施例所提供的任一种凭证授权方法或凭证验证方法的步骤。例如,该计算机程序可以执行如下步骤:
接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;基于所述借用请求中的所述指示信息,获取所述目标身份凭证;基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。或,
接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;基于所述使用请求获取所述授权使用凭证;基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的计算机程序,可以执行本申请实施例所提供的任一种凭证授权方法或凭证验证方法的步骤,因此,可以实现本申请实施例所提供的任一种凭证授权方法或凭证验证方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种凭证授权方法、装置、终端及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (17)

1.一种凭证授权方法,其特征在于,包括:
接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;
基于所述借用请求中的所述指示信息,获取所述目标身份凭证;
基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
2.根据权利要求1所述的凭证授权方法,其特征在于,所述基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,包括:
确定授权使用凭证编号,获取所述授权使用凭证的凭证查询信息,所述凭证查询信息用于查询所述授权使用凭证的关联信息;
基于所述授权使用凭证编号、所述凭证查询信息、所述目标身份凭证及所述第一身份标识,确定所述授权使用凭证的凭证内容;
获取凭证发行者的身份标识,基于所述凭证发行者的身份标识对所述凭证内容进行处理,生成所述授权使用凭证。
3.根据权利要求2所述的凭证授权方法,其特征在于,所述获取凭证发行者的身份标识,基于所述凭证发行者的身份标识对所述凭证内容进行处理,生成所述授权使用凭证,包括:
获取所述凭证发行者的第一私钥信息,基于所述第一私钥信息对所述凭证内容进行签名,得到发行者签名信息;
将所述发行者签名信息作为所述凭证发行者的身份标识,基于所述凭证发行者的身份标识和所述凭证内容,生成所述授权使用凭证。
4.根据权利要求1所述的凭证授权方法,其特征在于,所述基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,包括:
获取所述第一用户对所述目标身份凭证的最大可使用次数;
基于所述最大可使用次数、所述目标身份凭证和所述第一身份标识生成所述授权使用凭证。
5.一种凭证验证方法,其特征在于,包括:
接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;
基于所述使用请求获取所述授权使用凭证;
基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;
若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
6.根据权利要求5所述的凭证验证方法,其特征在于,所述使用请求包括所述第一用户的第一签名信息,以及基于所述第一签名信息对所述授权使用凭证进行签名得到的签名后凭证,所述基于所述使用请求获取所述授权使用凭证,包括:
从所述使用请求中获取所述第一签名信息和所述签名后凭证;
基于所述第一签名信息对所述签名后凭证进行处理,获取所述授权使用凭证。
7.根据权利要求6所述的凭证验证方法,其特征在于,所述第一签名信息基于所述第一用户的第二私钥信息对所述授权使用凭证,使用范围标识以及防复用标识信息进行处理得到;
所述获取所述第一签名信息,包括:
确定所述授权使用凭证对应的防复用标识信息和使用范围标识,且不同的授权使用凭证对应设置不同的防复用标识信息,所述使用范围标识用于指示所述授权使用凭证的使用范围;
获取所述第一用户的第二私钥信息,基于所述第二私钥信息对所述授权使用凭证、所述防复用标识信息和所述使用范围标识进行签名,得到所述第一签名信息。
8.根据权利要求6所述的凭证验证方法,其特征在于,所述有效性验证包括对所述第一签名信息的验证;
所述基于所述授权使用凭证的信息,对所述授权使用凭证的有效性进行验证,包括:
从所述第一签名信息中获取所述第一用户的身份标识;
从所述授权使用凭证中获取所述第一身份标识;
若所述第一签名信息所包含的身份标识与所述授权使用凭证中所包含的所述第一身份标识一致,则所述第一签名信息的验证通过。
9.根据权利要求5所述的凭证验证方法,其特征在于,所述授权使用凭证中包括授权使用凭证编号、凭证查询信息,所述凭证查询信息用于查询所述授权使用凭证的关联信息;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
获取所述授权使用凭证中的所述授权使用凭证编号和所述凭证查询信息;
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的授权使用凭证,与所述使用请求中的授权使用凭证是否一致;
若一致,则确定所述授权使用凭证的内容通过有效性验证。
10.根据权利要求5所述的凭证验证方法,其特征在于,所述授权使用凭证中包括授权使用凭证编号、凭证查询信息和目标身份凭证,所述有效性验证包括对所述目标身份凭证的凭证有效性验证;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的授权使用凭证对应的原始身份凭证是否有效;
若所述原始身份凭证有效,确定所述目标身份凭证的有效性验证通过。
11.根据权利要求5所述的凭证验证方法,其特征在于,所述授权使用凭证包括授权使用凭证编号、凭证查询信息和所述第一用户对所述目标身份凭证的最大可使用次数;所述有效性验证包括第一用户对所述目标身份凭证的可用次数验证;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
基于所述凭证查询信息,查询所述授权使用凭证编号所指示的授权使用凭证的历史使用次数是否低于授权使用凭证的最大可使用次数;
若查询结果为是,确定第一用户对所述目标身份凭证的可用次数验证通过。
12.根据权利要求5所述的凭证验证方法,其特征在于,所述授权使用凭证包括防复用标识信息;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
从所述授权使用凭证中获取所述防复用标识信息;
获取已接收的所述第一用户的授权使用凭证的历史防复用标识信息;
若所述历史防复用标识信息中不存在所述防复用标识信息,确定所述有效性验证中的防复用标识信息验证通过。
13.根据权利要求5所述的凭证验证方法,其特征在于,所述授权使用凭证包括使用范围标识,所述使用范围标识用于指示所述授权使用凭证的使用范围;
所述基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证,包括:
从所述授权使用凭证中获取所述使用范围标识;
获取所述授权使用凭证的验证者的目标使用范围标识;
若所述目标使用范围标识与所述使用范围标识相同,确定所述有效性验证中的使用范围标识验证通过。
14.一种凭证授权装置,其特征在于,包括:
接收单元,用于接收第一用户对目标身份凭证的借用请求,所述借用请求包括所述第一用户的第一身份标识和所述目标身份凭证的指示信息,所述目标身份凭证为第二用户所持有的身份凭证;
获取单元,用于基于所述借用请求中的所述指示信息,获取所述目标身份凭证;
生成单元,用于基于所述目标身份凭证和所述第一身份标识生成授权使用凭证,将所述授权使用凭证发送给所述第一用户,所述授权使用凭证中的第一身份标识用于指示具有所述目标身份凭证的借用权限的用户。
15.一种凭证验证装置,其特征在于,包括:
接收单元,用于接收第一用户对授权使用凭证的使用请求,所述授权使用凭证包括目标身份凭证和所述第一用户的第一身份标识,所述目标身份凭证为第二用户所持有的身份凭证;
获取单元,用于基于所述使用请求获取所述授权使用凭证;
验证单元,用于基于所述授权使用凭证的信息,对所述授权使用凭证进行有效性验证;
执行单元,用于若所述有效性验证通过,则执行所述使用请求中对应于所述授权使用凭证的使用操作。
16.一种终端,包括存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如权利要求1-4任一项所述凭证授权方法,或权利要求5-13任一项所述凭证验证方法的步骤。
17.一种存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1-4任一项所述凭证授权方法,或权利要求5-13任一项所述凭证验证方法的步骤。
CN202110554341.3A 2021-05-20 2021-05-20 一种凭证授权方法、装置、终端及存储介质 Pending CN113343208A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110554341.3A CN113343208A (zh) 2021-05-20 2021-05-20 一种凭证授权方法、装置、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110554341.3A CN113343208A (zh) 2021-05-20 2021-05-20 一种凭证授权方法、装置、终端及存储介质

Publications (1)

Publication Number Publication Date
CN113343208A true CN113343208A (zh) 2021-09-03

Family

ID=77470281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110554341.3A Pending CN113343208A (zh) 2021-05-20 2021-05-20 一种凭证授权方法、装置、终端及存储介质

Country Status (1)

Country Link
CN (1) CN113343208A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113746640A (zh) * 2021-09-26 2021-12-03 网易(杭州)网络有限公司 数字凭证使用方法、装置、计算机设备及存储介质
CN114124494A (zh) * 2021-11-12 2022-03-01 中国联合网络通信集团有限公司 一种数据处理方法、装置、设备及存储介质
CN114257562A (zh) * 2021-12-16 2022-03-29 北京天融信网络安全技术有限公司 即时通讯方法、装置、电子设备和计算机可读存储介质
CN114666168A (zh) * 2022-05-23 2022-06-24 浙江毫微米科技有限公司 去中心化身份凭证验证方法、装置,以及,电子设备
CN114996347A (zh) * 2022-06-24 2022-09-02 中国电信股份有限公司 一种用户画像管理方法、装置、电子设备及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104239782A (zh) * 2013-06-06 2014-12-24 广达电脑股份有限公司 授权平台
CN106408279A (zh) * 2016-09-23 2017-02-15 詹博凯 一种去中心化储值凭证的管理方法和系统
CN107395567A (zh) * 2017-06-16 2017-11-24 深圳市盛路物联通讯技术有限公司 一种基于物联网的设备使用权限获取方法及系统
CN107612870A (zh) * 2016-07-11 2018-01-19 香港理工大学深圳研究院 物联网设备的委托授权方法、服务器、终端及物联网设备
US20180330459A1 (en) * 2017-05-10 2018-11-15 Mastercard International Incorporated National digital identity
CN111277577A (zh) * 2020-01-14 2020-06-12 北京百度网讯科技有限公司 数字身份验证方法、装置、设备和存储介质
CN111783060A (zh) * 2020-06-04 2020-10-16 北京海泰方圆科技股份有限公司 电子凭证的分发控制方法、装置、电子设备及存储介质
US20200401677A1 (en) * 2019-06-19 2020-12-24 International Business Machines Corporation Temporal access authorization and notification
CN112291245A (zh) * 2020-10-30 2021-01-29 北京华弘集成电路设计有限责任公司 一种身份授权方法、装置、存储介质及设备
CN112307455A (zh) * 2020-12-28 2021-02-02 支付宝(杭州)信息技术有限公司 基于区块链的身份认证方法及装置、电子设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104239782A (zh) * 2013-06-06 2014-12-24 广达电脑股份有限公司 授权平台
CN107612870A (zh) * 2016-07-11 2018-01-19 香港理工大学深圳研究院 物联网设备的委托授权方法、服务器、终端及物联网设备
CN106408279A (zh) * 2016-09-23 2017-02-15 詹博凯 一种去中心化储值凭证的管理方法和系统
US20180330459A1 (en) * 2017-05-10 2018-11-15 Mastercard International Incorporated National digital identity
CN107395567A (zh) * 2017-06-16 2017-11-24 深圳市盛路物联通讯技术有限公司 一种基于物联网的设备使用权限获取方法及系统
US20200401677A1 (en) * 2019-06-19 2020-12-24 International Business Machines Corporation Temporal access authorization and notification
CN111277577A (zh) * 2020-01-14 2020-06-12 北京百度网讯科技有限公司 数字身份验证方法、装置、设备和存储介质
CN111783060A (zh) * 2020-06-04 2020-10-16 北京海泰方圆科技股份有限公司 电子凭证的分发控制方法、装置、电子设备及存储介质
CN112291245A (zh) * 2020-10-30 2021-01-29 北京华弘集成电路设计有限责任公司 一种身份授权方法、装置、存储介质及设备
CN112307455A (zh) * 2020-12-28 2021-02-02 支付宝(杭州)信息技术有限公司 基于区块链的身份认证方法及装置、电子设备

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113746640A (zh) * 2021-09-26 2021-12-03 网易(杭州)网络有限公司 数字凭证使用方法、装置、计算机设备及存储介质
CN113746640B (zh) * 2021-09-26 2024-03-01 网易(杭州)网络有限公司 数字凭证使用方法、装置、计算机设备及存储介质
CN114124494A (zh) * 2021-11-12 2022-03-01 中国联合网络通信集团有限公司 一种数据处理方法、装置、设备及存储介质
CN114124494B (zh) * 2021-11-12 2023-06-30 中国联合网络通信集团有限公司 一种数据处理方法、装置、设备及存储介质
CN114257562A (zh) * 2021-12-16 2022-03-29 北京天融信网络安全技术有限公司 即时通讯方法、装置、电子设备和计算机可读存储介质
CN114257562B (zh) * 2021-12-16 2024-02-06 北京天融信网络安全技术有限公司 即时通讯方法、装置、电子设备和计算机可读存储介质
CN114666168A (zh) * 2022-05-23 2022-06-24 浙江毫微米科技有限公司 去中心化身份凭证验证方法、装置,以及,电子设备
CN114666168B (zh) * 2022-05-23 2022-11-01 浙江毫微米科技有限公司 去中心化身份凭证验证方法、装置,以及,电子设备
CN114996347A (zh) * 2022-06-24 2022-09-02 中国电信股份有限公司 一种用户画像管理方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN113343208A (zh) 一种凭证授权方法、装置、终端及存储介质
CN110598482B (zh) 基于区块链的数字证书管理方法、装置、设备及存储介质
US11055802B2 (en) Methods and apparatus for implementing identity and asset sharing management
US12113912B2 (en) Electronic authentication device and method using blockchain
CN109615515B (zh) 债权凭证转移方法、装置、电子设备及存储介质
CN111064757B (zh) 应用访问方法、装置、电子设备以及存储介质
CN108111545B (zh) 连续多因素认证
TW201836322A (zh) 憑證管理方法及系統
WO2021208615A1 (zh) 用户邀请方法、装置、计算机设备及计算机可读存储介质
CA2945703A1 (en) Systems, apparatus and methods for improved authentication
US20120167194A1 (en) Client hardware authenticated transactions
CN105868970B (zh) 一种认证方法和电子设备
JP2016521932A (ja) 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置
CN110601858B (zh) 证书管理方法及装置
KR102284396B1 (ko) 생체 정보 기반의 pki 키 생성 방법 및 이를 이용한 키 생성 장치
US8700909B2 (en) Revocation of a biometric reference template
CN114844629A (zh) 区块链账户的验证方法、装置、计算机设备及存储介质
JP5107885B2 (ja) 個人情報提供装置、個人情報提供方法
CN114581091A (zh) 一种身份验证方法、装置、计算机设备及存储介质
CN113746640B (zh) 数字凭证使用方法、装置、计算机设备及存储介质
CN107517256B (zh) 信息发布方法以及装置
JP5409871B2 (ja) 個人情報提供装置、および個人情報提供方法
CN114329424A (zh) 权限确定方法、装置、计算机设备和计算机可读存储介质
CN113569214A (zh) 要件数据授权方法及系统
CN115706993A (zh) 认证方法、可读介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210903

RJ01 Rejection of invention patent application after publication