CN113468498A - 实现eID签发的方法及其系统 - Google Patents

实现eID签发的方法及其系统 Download PDF

Info

Publication number
CN113468498A
CN113468498A CN202110736352.3A CN202110736352A CN113468498A CN 113468498 A CN113468498 A CN 113468498A CN 202110736352 A CN202110736352 A CN 202110736352A CN 113468498 A CN113468498 A CN 113468498A
Authority
CN
China
Prior art keywords
eid
certificate
information
terminal
issuing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110736352.3A
Other languages
English (en)
Inventor
黄�俊
余丹萍
吴淼
鲍兵
陈嘉俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Third Research Institute of the Ministry of Public Security
Original Assignee
Third Research Institute of the Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Third Research Institute of the Ministry of Public Security filed Critical Third Research Institute of the Ministry of Public Security
Priority to CN202110736352.3A priority Critical patent/CN113468498A/zh
Publication of CN113468498A publication Critical patent/CN113468498A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种实现eID签发的方法,包括终端通过读取证件生成云识读ID;终端通过后台向eID签发中心发送查询是否开通过eID请求;终端通过后台向eID签发中心发送人脸比对请求;若持证人已开通eID且注销已开通eID,则终端后台向eID签发中心发送eID注销请求;终端后台向eID签发中心发送eID开通第一阶段的请求;终端后台将所述eID证书凭据传给终端并写入终端芯片中,将所述凭据是否成功写入终端芯片的结果发送给eID签发中心,eID签发中心将eID证书激活。本发明还涉及一种实现eID签发的系统。采用了本发明的实现eID签发的方法及其系统,具有便捷性和安全性,大大降低了用户隐私信息遭第三方存储泄露以及用户隐私信息在互联网传输中被窃取的风险。

Description

实现eID签发的方法及其系统
技术领域
本发明涉及网络电子身份信息标识签发领域,具体是指一种实现eID签发的方法及其系统。
背景技术
eID(网络电子身份标识)是以国产自主密码技术为基础、以智能安全芯片为载体,依据对法定身份证件核验的结果,由“公民网络身份识别系统”签发给公民的网络电子身份标识,eID不仅能够在不泄露身份信息的前提下在线识别自然人主体,还能用于线下身份证明。用户向机构申请开通eID也即是eID签发,传统的eID签发需要在线下网点面签,并且需要在终端输入用户的姓名、证件号等信息,一方面需要投入大量的硬件资源,并且很难做到用户全覆盖,另一方面用户的身份信息存在泄漏的风险。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种满足便捷性、安全性、唯一性的实现eID签发的方法及其系统。
为了实现上述目的,本发明的实现eID签发的方法及其系统如下:
该实现eID签发的方法,其主要特点是,所述的方法包括以下步骤:
(1)终端通过读取证件生成云识读ID,终端通过后台向eID签发中心发送查询持证人是否开通过eID的请求,eID签发中心接收到所述请求消息后,处理请求消息;
(2)终端对持证人发起活体检测,终端通过后台向eID签发中心发送人脸比对请求,eID签发中心接收到所述请求消息后,处理请求消息;
(3)终端后台收到结果,若持证人人脸比对通过,并且持证人是要注销已开通的eID则继续此步骤,若持证人未开通eID则继续步骤(4),终端后台向eID签发中心发送eID注销请求,eID签发中心接收述请求消息,并处理请求消息;
(4)终端后台向eID签发中心发送eID开通第一阶段的请求,请求消息包含生成的云识读ID和生成的核验凭据,以及开通eID所需业务信息,eID签发中心接收到所述请求消息后,处理请求消息;
(5)终端后台收到返回的结果,将所述eID证书凭据传给终端并写入终端芯片中,将所述凭据是否成功写入终端芯片的结果发送给eID签发中心,eID签发中心收到所述请求消息后,根据eID载体标识符定位到对应的eID证书,将eID证书激活。
较佳地,所述的步骤(1)具体包括以下步骤:
(1.1)将云识读ID上传至云解码服务器进行云解码得到具体的证件信息;
(1.2)将云识读ID与对应的证件信息存入缓存中;
(1.3)利用证件信息查询持证人是否曾开通过eID;
(1.4)将持证人开通结果返回至终端后台,若已开通过eID则返回已开通eID的相关信息。
较佳地,所述的步骤(2)具体包括以下步骤:
(2.1)从存放的缓存中获取云识读ID对应的证件照片;
(2.2)解密请求消息中的加密过的人脸照片;
(2.3)对证件照片和解密后的人脸照片进行人脸比对处理,判断是否比对通过,若比对通过,则生成核验凭据;否则,比对失败;
(2.4)将上述核验凭据以及人脸比对是否通过的结果返回给终端后台。
较佳地,所述的步骤(3)具体包括以下步骤:
(3.1)在eID签发中心后台存储的eID相关信息中查找到eID证书信息,向CA申请注销该eID证书,并生成证书吊销列表;
(3.2)eID签发中心后台更新该eID证书的状态为注销状态,并将注销是否成功的结果返回给终端后台。
较佳地,所述的步骤(4)具体包括以下步骤:
(4.1)从存放的缓存中获取所述云识读ID对应的证件信息;
(4.2)验证所述核验凭据,确保结果在有效时间范围内,并且为本次eID开通流程的相应环节;
(4.3)根据所述证件信息生成持证人的网络身份标识编码eidcode;
(4.4)验证所述eID载体私钥签名值;
(4.5)根据eID证书公钥向CA申请颁发证书;
(4.6)存储eID证书相关信息与持证人证件信息相关的映射关系,对敏感信息采取脱敏方式存储;
(4.7)生成所述颁发的eID证书凭据,返回给终端后台。
该实现上述方法的进行eID签发的系统,其主要特点是,所述的系统包括:
个人eID开通信息查询接口,用于接收证件持有人的身份证件云识读ID,对云识读ID进行云解码得到具体的证件信息,将云识读ID和对应的证件信息存入缓存中,根据证件信息查询证件持有人是否已开通eID,返回证件持有人的eID开通信息;
人脸比对接口,与所述的个人eID开通信息查询接口相连接,用于接收持证人的身份证件云识读ID及人脸照片密文,解密得到人脸照片,在个人eID开通信息查询接口操作的缓存中查找云识读ID对应的证件照片,比较所述人脸照片与所述证件照片的相似度,返回人脸比对结果与人脸核验凭据;
eID开通第一阶段接口,与所述的人脸比对接口相连接,用于接收持证人的身份证件云识读ID、人脸核验凭据及eID开通所需的相关信息。核验人脸核验凭据,在个人eID开通信息查询接口操作的缓存中查找云识读ID对应的证件信息,生成个人eID身份标识,向CA申请签发eID证书,生成eID证书凭据,对eID证书信息及相关联的个人身份信息进行脱敏保护存储,返回eID证书凭据;
eID开通第二阶段接口,与所述的eID开通第一阶段接口相连接,用于根据接收的eID载体标识和eID证书凭据写入载体的结果,判断是否在eID签发系统后台激活所述eID载体标识对应的eID证书;
eID注销接口,与所述的人脸比对接口相连接,用于根据所述个人eID开通信息查询接口返回的eID开通所绑定的手机号或载体编号等eID相关信息,注销eID载体及eID证书。
采用了本发明的实现eID签发的方法及其系统,具有便捷性,该系统通过线上活体检测和人证合一验证,分钟级空中开通eID;具有安全性,该系统各接口请求消息不涉及用户的身份敏感信息,大大降低了用户隐私信息遭第三方存储泄露以及用户隐私信息在互联网传输中被窃取的风险。该系统后台涉及到的用户敏感信息基于国密算法、加密机硬件设备进行脱敏,同样大大降低了用户隐私信息遭窃取泄露的风险。开通环节的各接口环环相扣,确保开通eID的用户合法合规,基于国密算法、智能安全芯片,借助现场活体人脸检测和身份证内置照片识别保证人证同一;具有唯一性,一人同时只能有一个eID。
附图说明
图1为本发明的实现eID签发的方法的整体流程图。
图2为本发明的实现eID签发的系统的整体结构示意图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
本发明的该实现eID签发的方法,其中包括以下步骤:
(1)终端通过读取证件生成云识读ID,终端通过后台向eID签发中心发送查询持证人是否开通过eID的请求,eID签发中心接收到所述请求消息后,处理请求消息;
(1.1)将云识读ID上传至云解码服务器进行云解码得到具体的证件信息;
(1.2)将云识读ID与对应的证件信息存入缓存中;
(1.3)利用证件信息查询持证人是否曾开通过eID;
(1.4)将持证人开通结果返回至终端后台,若已开通过eID则返回已开通eID的相关信息;
(2)终端对持证人发起活体检测,终端通过后台向eID签发中心发送人脸比对请求,eID签发中心接收到所述请求消息后,处理请求消息;
(2.1)从存放的缓存中获取云识读ID对应的证件照片;
(2.2)解密请求消息中的加密过的人脸照片;
(2.3)对证件照片和解密后的人脸照片进行人脸比对处理,判断是否比对通过,若
比对通过,则生成核验凭据;否则,比对失败;
(2.4)将上述核验凭据以及人脸比对是否通过的结果返回给终端后台;
(3)终端后台收到结果,若持证人人脸比对通过,并且持证人是要注销已开通的eID则继续此步骤,若持证人未开通eID则继续步骤(4),终端后台向eID签发中心发送eID注销请求,eID签发中心接收述请求消息,并处理请求消息;
(3.1)在eID签发中心后台存储的eID相关信息中查找到eID证书信息,向CA申
请注销该eID证书,并生成证书吊销列表;
(3.2)eID签发中心后台更新该eID证书的状态为注销状态,并将注销是否成功的结果返回给终端后台;
(4)终端后台向eID签发中心发送eID开通第一阶段的请求,请求消息包含生成的云识读ID和生成的核验凭据,以及开通eID所需业务信息,eID签发中心接收到所述请求消息后,处理请求消息;
(4.1)从存放的缓存中获取所述云识读ID对应的证件信息;
(4.2)验证所述核验凭据,确保结果在有效时间范围内,并且为本次eID开通流程
的相应环节;
(4.3)根据所述证件信息生成持证人的网络身份标识编码eidcode;
(4.4)验证所述eID载体私钥签名值;
(4.5)根据eID证书公钥向CA申请颁发证书;
(4.6)存储eID证书相关信息与持证人证件信息相关的映射关系,对敏感信息采取
脱敏方式存储;
(4.7)生成所述颁发的eID证书凭据,返回给终端后台;
(5)终端后台收到返回的结果,将所述eID证书凭据传给终端并写入终端芯片中,将所述凭据是否成功写入终端芯片的结果发送给eID签发中心,eID签发中心收到所述请求消息后,根据eID载体标识符定位到对应的eID证书,将eID证书激活。
本发明的该实现上述方法的进行eID签发的系统,其中所述的系统包括:
个人eID开通信息查询接口,用于接收证件持有人的身份证件云识读ID,对云识读ID进行云解码得到具体的证件信息,将云识读ID和对应的证件信息存入缓存中,根据证件信息查询证件持有人是否已开通eID,返回证件持有人的eID开通信息;
人脸比对接口,与所述的个人eID开通信息查询接口相连接,用于接收持证人的身份证件云识读ID及人脸照片密文,解密得到人脸照片,在个人eID开通信息查询接口操作的缓存中查找云识读ID对应的证件照片,比较所述人脸照片与所述证件照片的相似度,返回人脸比对结果与人脸核验凭据;
eID开通第一阶段接口,与所述的人脸比对接口相连接,用于接收持证人的身份证件云识读ID、人脸核验凭据及eiD开通所需的相关信息。核验人脸核验凭据,在个人eID开通信息查询接口操作的缓存中查找云识读ID对应的证件信息,生成个人eID身份标识,向CA申请签发eID证书,生成eID证书凭据,对eID证书信息及相关联的个人身份信息进行脱敏保护存储,返回eID证书凭据;
eID开通第二阶段接口,与所述的eID开通第一阶段接口相连接,用于根据接收的eID载体标识和eID证书凭据写入载体的结果,判断是否在eID签发系统后台激活所述eID载体标识对应的eID证书;
eID注销接口,与所述的人脸比对接口相连接,用于根据所述个人eID开通信息查询接口返回的eID开通所绑定的手机号或载体编号等eID相关信息,注销eID载体及eID证书。
本发明的具体实施方式中,为了解决上述eID签发不方便以及降低用户身份信息泄漏的风险,本发明提出一种eID签发方法及系统,采用辅助智能终端活体检测技术,结合本发明在线人脸比对技术,可以实现线上自然人身份识别以及人证合一验证,可以使eID签发不受任何时间和空间的限制,大大提高了eID签发的方便性和快捷性。同时,用户在申请开通eID的时候不需要用户在终端上输入姓名、证件号等信息,只需要在支持NFC或者配备蓝牙读头的智能终端贴卡刷一下证件,采用证件云端解码技术,个人身份信息不会被第三方收集,有效降低了个人身份信息被泄漏的风险。
该系统包括个人eID开通信息查询接口1、人脸比对接口2、eID开通第一阶段接口3、eID开通第二阶段接口4、eID注销接口5。
个人eID开通信息查询接口,接收证件持有人的身份证件但不限于身份证件云识读ID,对云识读ID进行云解码得到具体的证件信息,将云识读ID和对应的证件信息存入缓存中,根据证件信息查询证件持有人是否已开通eID,返回证件持有人的eID开通信息。
人脸比对接口,接收持证人的身份证件但不限于身份证件云识读ID以及人脸照片密文,解密得到人脸照片,在个人eID开通信息查询接口(1)操作的缓存中查找云识读ID对应的证件照片,比较所述人脸照片与所述证件照片的相似度,返回人脸比对结果与人脸核验凭据。
eID开通第一阶段接口,接收持证人的身份证件但不限于身份证件云识读ID、人脸比对接口(2)返回的人脸核验凭据以及eID载体标识和eID证书申请相关的信息,核验人脸核验凭据,在个人eID开通信息查询接口(1)操作的缓存中查找云识读ID对应的证件信息,生成个人eID身份标识,向CA申请签发eID证书,生成eID证书凭据,对eID证书信息及相关联的个人身份信息进行脱敏保护存储,返回eID证书凭据。
eID开通第二阶段接口,根据接收的eID载体标识和eID证书凭据写入载体的结果,决定是否在eID签发系统后台激活所述eID载体标识对应的eID证书。
eID注销接口,可根据eID开通第一阶段(3)绑定的手机号或载体编号等eID相关信息,注销eID载体及eID证书。
为了实现上述目的,本发明的特征在于,一种eID签发方法及系统,包括个人eID开通信息查询接口、人脸比对接口、eID开通第一阶段接口、eID开通第二阶段接口、eID注销接口。
1.个人eID开通信息查询接口,该接口接收的请求消息为法定证件的云识读ID,所述云识读ID为基于法定证件云解码所产生的不携带持证人隐私信息,随机生成,在一定时间范围内有效的无标识字符串,所述云解码是一种法定证件如身份证网络读卡技术。这样做的好处在于,用户的姓名、证件号等隐私信息不会被第三方读取,从而降低了用户的隐私信息被泄漏的风险。该接口将证件的云识读ID进行云解码后获取到证件的具体信息,将所述云识读ID与证件信息的映射关系存在缓存中,并且缓存信息超过一定时间会被清除掉,所述映射信息在本发明系统的其他接口模块中还会被使用,这样做的好处在于一方面可以提高本系统的性能,一方面降低了用户隐私信息被窃取的风险。该接口利用证件相关信息的hash值查找出使用所述证件开通的eID信息,每一个自然人只能开通一个eID,如果在其它载体设备上已经开通了eID,则必须先注销掉所述已开通eID才能在新的载体设备上开通eID。这样做的好处在于,约束个人开通eID的数量,可以降低因eID载体设备遗失导致eID被非法冒用的风险。
2.人脸比对接口,该接口接收的请求消息为法定证件的云识读ID,以及现场拍摄的活体照片密文值。该接口从所述缓存中获取云识读ID对应的证件照片,将该照片与请求消息上传的活体照片进行人脸比对,判断是否人证同一。如果判断为人证同一,则会生成一个人脸核验凭证并加密返回给接口调用方,所述人脸核验凭证包含时间戳信息以及云识读ID。在eID开通的时候需要保证开通用户所提供的法定证件信息确实为本人,因此在开通eID之前需要进行人证同一的验证,所述人脸核验凭证作为eID开通环节的重要依据,可以保证用户在开通eID之前的有效时间范围内进行过人证同一的验证。
3.eID开通第一阶段接口,该接口接收的请求消息为法定证件的云识读ID,人脸核验凭证,eID载体标识符、eID载体编号、手机号、eID载体公钥,eID载体私钥签名值、eID证书公钥等信息。同样地,与人脸比对接口类似,该接口从所述缓存中获取云识读ID对应的证件其他信息,验证所述人脸核验凭证,确保在调用该接口之前在有效时间里调用过个人eID开通信息查询接口和人脸比对接口,从而确保用户可以开通eID并且为合法的用户。该接口验证eID载体公钥以及eID载体私钥签名值,目的在于确保eID载体确实为官方可信的eID载体。该接口会再次核验用户是否能够开通eID,完成所述验证后向CA申请颁发eID证书,并记录存储eID证书信息与用户信息的映射关系。特别地,为了降低用户敏感信息泄漏的风险,存储用户信息时,对用户的姓名、证件号等敏感信息使用一定的算法例如国密SM3摘要算法进行脱敏。最后,该接口会调用专用设备生成eID证书凭据返回给接口调用方,该凭据被写入到eID载体芯片内,该凭据需要使用匹配的秘钥才能验证通过,从而保证eID的安全可靠。
4.eID开通第二阶段接口,该接口接收的请求消息为往eID载体写eID证书凭据的结果,如果eID载体写入eID证书凭据成功则将在eID发行后台激活该eID证书,如果eID载体写入eID证书凭据失败则将在eID发行后台注销该eID证书,同时向CA申请注销该eID证书。这样做的目的在于保证eID发行后台与eID载体的证书状态一致。
5.eID注销接口,该接口接收的请求消息为任何与eID证书相关的信息,通过该信息可以查找到对应的eID证书,向CA申请注销该eID证书,并更新eID证书相关的状态信息。这样做的目的在于更加方便用户使用eID,由于eID发行方限定了用户开通eID的数量,如果用户希望更换eID载体,则必须注销旧的eID载体才能在新的eID载体上开通eID。
为了便于理解本申请实施例,首先介绍一下相关术语。
云解码:云解码是一种基于云端解码的法定证件如身份证网络读卡技术,通过将法定证件解码模块部署在云端,只需要用读卡器或支持NFC或配备蓝牙读头的智能终端贴卡刷一下证件即可实现身份证核验、信息读取的功能。在本案例中,智能终端读取证件会生成一个云识读ID,将云识读ID传入云解码服务器即可获取证件上的有效信息,所述云识读ID具有时效性,并且每次读取证件的时候生成的云识读ID均不一样,不携带任何证件隐私信息,可以很好地保护用户隐私信息不被泄漏。
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
如图1所示,一种eID签发方法及系统,包括以下步骤:
步骤(1)用户在具有开通eID功能的终端上申请开通eID,用户需要提供法定证件,终端通过读取证件生成云识读ID,终端通过后台向eID签发中心发送查询持证人是否开通过eID的请求,请求消息包含所述云识读ID及必要业务信息。eID签发中心接收到所述请求消息后,处理请求消息,具体地:
第一步,将所述云识读ID上传至云解码服务器进行云解码得到具体的证件信息,如姓名、证件号、证件照片等;
第二步,将所述云识读ID与对应的证件信息存入缓存中,原因是在接下来的步骤中都是通过所述云识读ID关联eID的整个开通过程;
第三步,利用所述证件信息查询所述持证人是否开通过eID;
第四步,将持证人是否开通过eID的结果返回给终端后台,如果已开通过eID需要返回已开通eID的相关信息,如手机号或载体编号等信息。
步骤(2)终端后台收到步骤(1)返回的结果后,如果所述持证人未开通过eID,在持证人确认要开通eID后,或者另一种情况,如果所述持证人已开通eID,在持证人确认要注销已开通的eID,终端对持证人发起活体检测,终端通过后台向eID签发中心发送人脸比对请求,请求消息包含步骤(1)中生成的云识读ID及加密过的人脸照片。eID签发中心接收到所述请求消息后,处理请求消息,具体地:
第一步,在步骤(1)中存放的缓存中获取所述云识读ID对应的证件照片;
第二步,解密所述请求消息中的加密过的人脸照片;
第三步,对所述证件照片和所述解密后的人脸照片进行人脸比对处理,判断是否比对通过;
第四步,如果上一步比对通过,则生成核验凭据,核验凭据中包含时间信息以及所述云识读ID。
第五步,将上述核验凭据以及人脸比对是否通过的结果返回给终端后台。
步骤(3)终端后台收到步骤(2)返回的结果后,如果所述持证人人脸比对通过,并且持证人是要注销已开通的eID则继续此步骤,如果持证人是要开通eID则直接进入步骤(4)。终端后台向eID签发中心发送eID注销请求,请求消息包含步骤(1)中返回的已开通eID的绑定手机号或载体编号等,eID签发中心接收到所述请求消息后,处理请求消息,具体地:
第一步:通过手机号或载体编号等在eID签发中心后台存储的eID相关信息中查找到eID证书信息,向CA申请注销该eID证书,并生成证书吊销列表;
第二步:eID签发中心后台更新该eID证书的状态为注销状态,并将注销是否成功的结果返回给终端后台。
步骤(4)终端根据步骤(2)或步骤(3)的结果,如果持证人确认要开通eID,则终端后台向eID签发中心发送eID开通第一阶段的请求,请求消息包含步骤(1)中生成的云识读ID和步骤(2)中生成的核验凭据,以及开通eID所需业务信息,包含eID载体标识符、eID载体编号、手机号、eID载体私钥签名值、eID证书公钥等信息。eID签发中心接收到所述请求消息后,处理请求消息,具体地:
第一步,在步骤(1)中存放的缓存中获取所述云识读ID对应的证件信息;
第二步,验证所述核验凭据,确保步骤(3)的所述结果在有效时间范围内,并且为本次eID开通流程的相应环节;
第三步,根据所述证件信息生成持证人的网络身份标识编码eidcode,具体方式如下:
eidcode=head+sm3(姓名+证件号+证件类型+128字节随机数)+tail,其中head和tail均为一串字符串,sm3()为国密sm3杂凑算法,这里只是提供一种eidcode的生成方式,但是本发明不限于这一种生成方式。
第四步,验证所述eID载体私钥签名值;
第五步,根据eID证书公钥向CA申请颁发证书,如国密算法的SM2证书、国际算法的RSA证书;
第六步,存储eID证书相关信息与持证人证件信息相关的映射关系,对于姓名、证件号、手机号、eID载体编号这类敏感信息,采取脱敏方式存储,具体脱敏方式如下:
脱敏后的数据=sm3(敏感数据+随机数),同样的,这里只是提供一种脱敏方式,但是本发明不限于这一种生成方式。
第七步,生成所述颁发的eID证书凭据,返回给终端后台
步骤(5)终端后台收到步骤(3)返回的结果后,将所述eID证书凭据传给终端并写入终端芯片中,然后将所述凭据是否成功写入终端芯片的结果发送给eID签发中心,请求消息包含eID载体标识符以及所述写入结果,eID签发中心收到所述请求消息后,根据eID载体标识符定位到对应的eID证书,将eID证书激活。
采用了本发明的实现eID签发的方法及其系统,具有便捷性,该系统通过线上活体检测和人证合一验证,分钟级空中开通eID;具有安全性,该系统各接口请求消息不涉及用户的身份敏感信息,大大降低了用户隐私信息遭第三方存储泄露以及用户隐私信息在互联网传输中被窃取的风险。该系统后台涉及到的用户敏感信息基于国密算法、加密机硬件设备进行脱敏,同样大大降低了用户隐私信息遭窃取泄露的风险。开通环节的各接口环环相扣,确保开通eID的用户合法合规,基于国密算法、智能安全芯片,借助现场活体人脸检测和身份证内置照片识别保证人证同一;具有唯一性,一人同时只能有一个eID。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。

Claims (6)

1.一种实现eID签发的方法,其特征在于,所述的方法包括以下步骤:
(1)终端通过读取证件生成云识读ID,终端通过后台向eID签发中心发送查询持证人是否开通过eID的请求,eID签发中心接收到所述请求消息后,处理请求消息;
(2)终端对持证人发起活体检测,终端通过后台向eID签发中心发送人脸比对请求,eID签发中心接收到所述请求消息后,处理请求消息;
(3)终端后台收到结果,若持证人人脸比对通过,并且持证人是要注销已开通的eID则继续此步骤,若持证人未开通eID则继续步骤(4),终端后台向eID签发中心发送eID注销请求,eID签发中心接收述请求消息,并处理请求消息;
(4)终端后台向eID签发中心发送eID开通第一阶段的请求,请求消息包含生成的云识读ID和生成的核验凭据,以及开通eID所需业务信息,eID签发中心接收到所述请求消息后,处理请求消息;
(5)终端后台收到返回的结果,将所述eID证书凭据传给终端并写入终端芯片中,将所述凭据是否成功写入终端芯片的结果发送给eID签发中心,eID签发中心收到所述请求消息后,根据eID载体标识符定位到对应的eID证书,将eID证书激活。
2.根据权利要求1所述的实现eID签发的方法,其特征在于,所述的步骤(1)具体包括以下步骤:
(1.1)将云识读ID上传至云解码服务器进行云解码得到具体的证件信息;
(1.2)将云识读ID与对应的证件信息存入缓存中;
(1.3)利用证件信息查询持证人是否曾开通过eID;
(1.4)将持证人开通结果返回至终端后台,若已开通过eID则返回已开通eID的相关信息。
3.根据权利要求1所述的实现eID签发的方法,其特征在于,所述的步骤(2)具体包括以下步骤:
(2.1)从存放的缓存中获取云识读ID对应的证件照片;
(2.2)解密请求消息中的加密过的人脸照片;
(2.3)对证件照片和解密后的人脸照片进行人脸比对处理,判断是否比对通过,若比对通过,则生成核验凭据;否则,比对失败;
(2.4)将上述核验凭据以及人脸比对是否通过的结果返回给终端后台。
4.根据权利要求1所述的实现eID签发的方法,其特征在于,所述的步骤(3)具体包括以下步骤:
(3.1)在eID签发中心后台存储的eID相关信息中查找到eID证书信息,向CA申请注销该eID证书,并生成证书吊销列表;
(3.2)eID签发中心后台更新该eID证书的状态为注销状态,并将注销是否成功的结果返回给终端后台。
5.根据权利要求1所述的实现eID签发的方法,其特征在于,所述的步骤(4)具体包括以下步骤:
(4.1)从存放的缓存中获取所述云识读ID对应的证件信息;
(4.2)验证所述核验凭据,确保结果在有效时间范围内,并且为本次eID开通流程的相应环节;
(4.3)根据所述证件信息生成持证人的网络身份标识编码eidcode;
(4.4)验证所述eID载体私钥签名值;
(4.5)根据eID证书公钥向CA申请颁发证书;
(4.6)存储eID证书相关信息与持证人证件信息相关的映射关系,对敏感信息采取脱敏方式存储;
(4.7)生成所述颁发的eID证书凭据,返回给终端后台。
6.一种实现权利要求1所述的方法的进行eID签发的系统,其特征在于,所述的系统包括:
个人eID开通信息查询接口,用于接收证件持有人的身份证件云识读ID,对云识读ID进行云解码得到具体的证件信息,将云识读ID和对应的证件信息存入缓存中,根据证件信息查询证件持有人是否已开通eID,返回证件持有人的eID开通信息;
人脸比对接口,与所述的个人eID开通信息查询接口相连接,用于接收持证人的身份证件云识读ID及人脸照片密文,解密得到人脸照片,在个人eID开通信息查询接口操作的缓存中查找云识读ID对应的证件照片,比较所述人脸照片与所述证件照片的相似度,返回人脸比对结果与人脸核验凭据;
eID开通第一阶段接口,与所述的人脸比对接口相连接,用于接收持证人的身份证件云识读ID、人脸核验凭据及eID开通所需要的信息。核验人脸核验凭据,在个人eID开通信息查询接口操作的缓存中查找云识读ID对应的证件信息,生成个人eID身份标识,向CA申请签发eID证书,生成eID证书凭据,对eID证书信息及相关联的个人身份信息进行脱敏保护存储,返回eID证书凭据;
eID开通第二阶段接口,与所述的eID开通第一阶段接口相连接,用于根据接收的eID载体标识和eID证书凭据写入载体的结果,判断是否在eID签发系统后台激活所述eID载体标识对应的eID证书;
eID注销接口,与所述的人脸比对接口相连接,用于根据所述个人eID开通信息查询接口返回的eID开通所绑定的手机号或载体编号等eID相关信息,注销eID载体及eID证书。
CN202110736352.3A 2021-06-30 2021-06-30 实现eID签发的方法及其系统 Pending CN113468498A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110736352.3A CN113468498A (zh) 2021-06-30 2021-06-30 实现eID签发的方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110736352.3A CN113468498A (zh) 2021-06-30 2021-06-30 实现eID签发的方法及其系统

Publications (1)

Publication Number Publication Date
CN113468498A true CN113468498A (zh) 2021-10-01

Family

ID=77876525

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110736352.3A Pending CN113468498A (zh) 2021-06-30 2021-06-30 实现eID签发的方法及其系统

Country Status (1)

Country Link
CN (1) CN113468498A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110278084A (zh) * 2018-03-16 2019-09-24 华为技术有限公司 eID建立方法、相关设备及系统
CN110400145A (zh) * 2018-07-13 2019-11-01 腾讯科技(深圳)有限公司 一种数字身份申请系统及方法、身份认证系统及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110278084A (zh) * 2018-03-16 2019-09-24 华为技术有限公司 eID建立方法、相关设备及系统
CN110400145A (zh) * 2018-07-13 2019-11-01 腾讯科技(深圳)有限公司 一种数字身份申请系统及方法、身份认证系统及方法

Similar Documents

Publication Publication Date Title
US10681025B2 (en) Systems and methods for securely managing biometric data
CN109150548B (zh) 一种数字证书签名、验签方法及系统、数字证书系统
CN104994114B (zh) 一种基于电子身份证的身份认证系统和方法
US20180144114A1 (en) Securing Blockchain Transactions Against Cyberattacks
US7571461B2 (en) Personal website for electronic commerce on a smart Java card with multiple security check points
CN101350723B (zh) 一种USB Key设备及其实现验证的方法
CN109688133B (zh) 一种基于免账号登录的通信方法
CN100533459C (zh) 数据安全读取方法及其安全存储装置
US20100250936A1 (en) Integrated circuit, encryption communication apparatus, encryption communication system, information processing method and encryption communication method
US20080120698A1 (en) Systems and methods for authenticating a device
JP7309261B2 (ja) 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム
CN110290134B (zh) 一种身份认证方法、装置、存储介质及处理器
CN106157025A (zh) 基于身份证的移动终端安全支付方法及系统
US20070021141A1 (en) Record carrier, system, method and program for conditional access to data stored on the record carrier
CN113572715A (zh) 基于区块链的数据传输方法和系统
KR100939725B1 (ko) 모바일 단말기 인증 방법
CN112862481B (zh) 一种基于sim卡的区块链数字资产密钥管理方法及系统
JPH10336172A (ja) 電子認証用公開鍵の管理方法
CN106789977A (zh) 一种基于密钥分割实现手机令牌的方法及系统
JP2000188594A (ja) 認証システム及び指紋照合装置並びに認証方法
CN113468498A (zh) 实现eID签发的方法及其系统
JP2004206258A (ja) 多重認証システム、コンピュータプログラムおよび多重認証方法
CN114722410A (zh) 一种密码模块、密码运算方法、cpu芯片及电子设备
CN113904850A (zh) 基于区块链私钥keystore安全登录方法、生成方法、系统及电子设备
JP4760124B2 (ja) 認証装置、登録装置、登録方法及び認証方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination