CN106789841B - 业务处理方法、终端、服务器以及*** - Google Patents
业务处理方法、终端、服务器以及*** Download PDFInfo
- Publication number
- CN106789841B CN106789841B CN201510813425.9A CN201510813425A CN106789841B CN 106789841 B CN106789841 B CN 106789841B CN 201510813425 A CN201510813425 A CN 201510813425A CN 106789841 B CN106789841 B CN 106789841B
- Authority
- CN
- China
- Prior art keywords
- information
- session token
- identity
- request message
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种业务处理方法、终端、服务器以及***,其中,该方法包括:云端认证服务器与终端基于证书加密密钥握手认证成功后生成本次云端服务请求的会话令牌,并基于证书加密密钥向终端发送该会话令牌;终端读取身份证编码信息后并通过该会话令牌加密以发送给云端认证服务器,使得云端认证服务器通过会话令牌解密获取身份证编码信息后根据SAM解密模块解密该身份信息,并通过会话令牌加密发送终端,终端通过会话令牌解密并展示给用户;并可以基于该会话令牌进行业务处理。本发明提供方法、终端、服务器以及***,可以兼容不同的使用场景,降低终端硬件的成本并保证身份信息的传输安全。
Description
技术领域
本发明涉及移动互联网领域,尤其涉及一种业务处理方法、终端、服务器以及***。
背景技术
现有技术中的USB(Universal Serial Bus,通用串行总线)台式二代身份证识别方案中,每一套识别设备需要配置一套安全解密SAM模块,另外,目前市场上出现的云方案中大多以手机NFC(Near Field Communication,近场通信)或单独的射频模块实现移动的前端射频数据交互。
USB台式二代身份证识别方案模块无法实现操作终端的共享,产品成本高,并且当前的金融NFC和二代证射频模块存在重复设计问题。
因此,有必要设计一种二代身份证的识别方法,以兼容不同的使用场景,降低硬件的成本并保证身份信息的安全。
发明内容
本发明要解决的一个技术问题是如何实现一种二代身份证的识别方法,以兼容不同的使用场景,降低硬件的成本并保证身份信息的安全。
本发明提供一种业务处理方法,包括:向云端认证服务器发送第一请求消息,其中第一请求消息中包括用户终端的认证信息,以便云端认证服务器对认证信息进行验证;在接收到云端认证服务器发送的第一加密信息后,利用预定证书对所述第一加密信息进行解密,以得到有效的会话令牌;其中云端认证服务器在对认证信息验证成功时发送所述第一加密信息;读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密,以得到第二请求消息;将第二请求消息发送给云端认证服务器,以便云端认证服务器根据第二请求消息获取身份信息明文;在接收到云端认证服务器发送的第二加密信息后,利用会话令牌对第二加密信息进行解密,以获取身份信息明文;其中云端认证服务器利用会话令牌对身份信息明文进行加密以得到第二加密信息。
可选地,第一请求消息中还包括请求发送时间。
可选地,在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密,以得到有效的会话令牌的步骤包括:在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密;若解密成功,从第一加密信息中获取所述请求发送时间和会话令牌;判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则判断会话令牌有效。
可选地,若所述请求发送时间与当前时间的间隔不小于预定阈值,则判断会话令牌失效。
可选地,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
可选地,在接收到用户提交的业务请求后,利用所述会话令牌对业务请求进行加密,以得到第三请求消息;将第三请求消息发送给业务服务器,以便业务服务器在对第三请求消息解密后,根据业务请求进行相应业务处理。
本发明还提供一种业务处理方法,包括:在接收到用户终端发送的第一请求消息后,从第一请求消息中提取出用户终端的认证信息;对用户终端的认证信息进行验证;若验证成功,则利用预定证书对生成的会话令牌进行加密,以得到第一加密信息,并将加密信息发送给用户终端;在接收到用户终端发送的第二请求消息后,利用会话令牌对第二请求消息进行解密,以得到身份编码信息;对身份编码信息进行解码,以得到身份信息明文;利用会话令牌对身份信息明文进行加密以得到第二加密信息;将第二加密信息发送给用户终端,以便用户终端获得身份信息明文。
可选地,第一请求消息中还包括用户终端发送第一请求消息的时间。
可选的,对用户终端的认证信息进行验证的步骤包括:判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则进一步对用户终端的认证信息进行验证。
可选地,若所述请求发送时间与当前时间的间隔不小于预定阈值,则判定验证失败。
可选地,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
本发明还提供一种业务处理终端,包括:请求验证模块,用于向云端认证服务器发送第一请求消息,其中第一请求消息中包括用户终端的认证信息,以便云端认证服务器对认证信息进行验证;会话令牌解密获取模块,用于在接收到云端认证服务器发送的第一加密信息后,利用预定证书对所述第一加密信息进行解密,以得到有效的会话令牌;其中云端认证服务器在对认证信息验证成功时发送所述第一加密信息;身份证信息读取请求模块,用于读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密,以得到第二请求消息;发送模块,用于将第二请求消息发送给云端认证服务器,以便云端认证服务器根据第二请求消息获取身份信息明文;身份证明文解密模块,用于在接收到云端认证服务器发送的第二加密信息后,利用会话令牌对第二加密信息进行解密,以获取身份信息明文;其中云端认证服务器利用会话令牌对身份信息明文进行加密以得到第二加密信息。
可选地,第一请求消息中还包括请求发送时间。
可选地,所述令牌解密获取模块用于在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密;若解密成功,从第一加密信息中获取所述请求发送时间和会话令牌;所述终端还包括会话令牌有效性判断模块,用于判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则判断会话令牌有效。
可选地,会话令牌有效性判断模块还用于若所述请求发送时间与当前时间的间隔不小于预定阈值,则判断会话令牌失效。
可选地,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
可选地,在接收到用户提交的业务请求后,利用所述会话令牌对业务请求进行加密,以得到第三请求消息;将第三请求消息发送给业务服务器,以便业务服务器在对第三请求消息解密后,根据业务请求进行相应业务处理。
本发明还提供一种业务处理服务器,包括:认证信息提取模块,用于在接收到用户终端发送的第一请求消息后,从第一请求消息中提取出用户终端的认证信息;认证信息验证模块,用于对用户终端的认证信息进行验证;会话令牌处理模块,用于若验证成功,则利用预定证书对生成的会话令牌进行加密,以得到第一加密信息,并将加密信息发送给用户终端;在接收到用户终端发送的第二请求消息后,利用会话令牌对第二请求消息进行解密,以得到身份编码信息;身份编码解密模块,用于对身份编码信息进行解码,以得到身份信息明文;所述会话令牌处理模块还用于利用会话令牌对身份信息明文进行加密以得到第二加密信息;发送模块,用于将第二加密信息发送给用户终端,以便用户终端获得身份信息明文。
可选地,第一请求消息中还包括用户终端发送第一请求消息的时间。
可选地,所述认证信息验证模块还用于判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则进一步对用户终端的认证信息进行验证。
可选地,所述认证信息验证模块还用于若所述请求发送时间与当前时间的间隔不小于预定阈值,则判定验证失败。
可选地,所述身份识别卡为身份证,所述业务处理服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
本发明还提供一种业务处理***,包括:如上任一所述的终端;如上任一所述的服务器。
本发明提供的业务处理方法、终端、服务器以及***,使得终端可以共享射频方案的设计,并通过位于云端的SAM解密模块解密身份证信息以获取身份证明文并回传给终端,在信息传递过程中采用证书密钥、会话令牌两次加密;可以兼容多种不同的使用场景,降低终端硬件的成本并保证身份信息的传输安全。
附图说明
图1示出本发明一个实施例的业务处理方法的流程图。
图2示出本发明一个实施例的业务处理方法的流程图。
图3示出本发明一个实施例的业务处理***的示意图。
图4示出本发明一个实施例的业务处理方法的流程图。
图5示出本发明一个实施例的业务处理终端的结构框图。
图6示出本发明一个实施例的业务处理服务器的结构框图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
图1示出本发明一个实施例的业务处理方法的流程图。如图1所示,该方法是终端侧的方法,该方法主要包括以下步骤:
步骤100,终端向云端认证服务器发送第一请求消息,其中第一请求消息中包括用户终端的认证信息,以便云端认证服务器对认证信息进行验证。
具体地,由于大多数金融或智能设备都采用恩智浦半导体公司(NXP)的射频方案,本发明实施例研发了NXP-RC663金融闪付和二代身份证证的兼容读卡指令逻辑处理,用户终端可以融合NFC与二代证RFID的功能,对比目前的NFC与二代证RFID(Radio FrequencyIdentification,无线射频识别)分开单独识别的方式,共享后终端设备可以节省射频模块,使得整机成本降低1/10。
具体地,终端设备接收云端认证服务器通过MDM(Mobile Device Management,移动设备管理)***向终端下发统一的网络配置,该统一网络配置包括云端认证服务器的IP地址、端口、证书加密密钥,所述终端基于IP地址、端口以及证书加密密钥与所述云端认证服务器相通信。
步骤102,在接收到云端认证服务器发送的第一加密信息后,利用预定证书对所述第一加密信息进行解密,以得到有效的会话令牌;其中云端认证服务器在对认证信息验证成功时发送所述第一加密信息。
所述云端认证服务器随机生成128字节的Session Token,并且该Session Token在设定时间内有效;若终端基于证书加密密钥认证该Session Token超过设定时间,则所述Session Token会失效。
步骤104,读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密,以得到第二请求消息。
具体地,终端设备的上层应用可以控制射频模块用不同标准的指令扫描射频卡,达到不同射频应用共用同一套射频及天线模块的使用效果。
终端设备SDK(Software Development Kit)负责屏蔽底层硬件指令设备电器的不同,二代身份证证实TYPEB MIFIRE2的13.56M标准,银行卡用的是TYPE A增加应用加密协议,应用按照实际使用场景调用不同的接口,接口按照不同需求编制不同的调用到硬件指令地址来实现不同标准的卡的兼容。
终端通过RFID模块寻卡,按照SAM标准指令读取身份证加密信息后生成第二请求消息,其中,该第二请求消息为UDP(User Datagram Protocol,用户数据报协议)数据包。
步骤106,将第二请求消息发送给云端认证服务器,以便云端认证服务器根据第二请求消息获取身份信息明文;
步骤108,在接收到云端认证服务器发送的第二加密信息后,利用会话令牌对第二加密信息进行解密,以获取身份信息明文;其中云端认证服务器利用会话令牌对身份信息明文进行加密以得到第二加密信息。
在一个实施例中,第一请求消息中还包括请求发送时间。
在一个实施例中,在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密,以得到有效的会话令牌的步骤包括:在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密;若解密成功,从第一加密信息中获取所述请求发送时间和会话令牌;判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则判断会话令牌有效。
在一个实施例中,若所述请求发送时间与当前时间的间隔不小于预定阈值,则判断会话令牌失效。
在一个实施例中,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
本发明上述实施例提供的业务处理方法,在用户终端设备将金融NFC与二代证RFID射频兼容模块融合到一个处理模块,并将解密平台放置于云端,通过互联网云模式多点并发一点处理的进行身份信息验证,可以有效减少SAM解密模块的采购数量,降低总体拥有成本,元器件数量,体积,提高SAM解密模块利用率。
在一个实施例中,在接收到用户提交的业务请求后,利用所述会话令牌对业务请求进行加密,以得到第三请求消息;将第三请求消息发送给业务服务器,以便业务服务器在对第三请求消息解密后,根据业务请求进行相应业务处理。
图2示出本发明另一个实施例的业务处理方法的流程图。如图2所示,该方法是服务器侧的方法,该方法主要包括:
步骤200,云端认证服务器在接收到用户终端发送的第一请求消息后,从第一请求消息中提取出用户终端的认证信息。
步骤202,云端认证服务器对用户终端的认证信息进行验证。
步骤204,云端认证服务器若验证成功,则利用预定证书对生成的会话令牌进行加密,以得到第一加密信息,并将加密信息发送给用户终端。
步骤206,云端认证服务器在接收到用户终端发送的第二请求消息后,利用会话令牌对第二请求消息进行解密,以得到身份编码信息。
步骤208,云端认证服务器对身份编码信息进行解码,以得到身份信息明文。
具体地,云端认证服务器采用负载均衡服务方法进行均衡各SAM解密平台的负载和设备空闲信号控制,根据终端IP信息进行会话分发和保持。
步骤210,云端认证服务器利用会话令牌对身份信息明文进行加密以得到第二加密信息。
步骤212,云端认证服务器将第二加密信息发送给用户终端,以便用户终端获得身份信息明文。
在一个实施例中,第一请求消息中还包括用户终端发送第一请求消息的时间。
在一个实施例中,对用户终端的认证信息进行验证的步骤包括:判断所述请求发送时间与当前时间的间隔是否小于预定阈值如30S;若所述请求发送时间与当前时间的间隔小于预定阈值,则进一步对用户终端的认证信息进行验证。
在一个实施例中,若所述请求发送时间与当前时间的间隔不小于预定阈值,则判定验证失败。
在一个实施例中,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
现有技术的单机USB的方案,每台USB识别终端上都安装有Sam解密模块,终端与SAM解密模块的比例为1:1,本发明上述实施例的基于云端的SAM解密的业务处理方法,SAM安全解密模块配比对比USB的单机方案变为30:1-100:1,安全模块使用成本降低为原来的单机方案的1/30-1/100,可以大大降低成本;结合独立的证书密钥以及会话令牌SessionToken两次加密可以大大降低了整体***身份证信息泄露风险。
图3示出本发明一个实施例的业务处理***的示意图。如图3所示,该***主要包括:本地的用户终端301以及位于云端的认证服务器310,其中,本地的用户终端301包括NFC天线302、金融交易二代证射频共享处理模块303、RFID-SDK304、如4G\TCP\IP的通信模块305、andriod智能平台306;云端的认证服务器310包括设备网络负载均衡器307以及多个SAM解密单元309。
图4示出本发明一个实施例的业务处理方法的流程图。如图4所示,该方法包括:
步骤401,用户终端41的获得持证人许可,通过发送读取身份证信息的请求。
步骤402,终端通过射频安全芯片以及天线42请求云端服务资源。
具体地,该请求可以包括包含应用ID,终端设备ID,请求时间,方法名等参数,终端通过与应用ID相关的私钥加密该请求,并将Hash过后的请求发送给云端的认证服务器。
其中,认证服务器可以统一配置各个终端设备的应用ID、以及该终端的云端认证服务器IP地址和证书加密密钥。所述证书加密密钥即是终端的私钥,云端认证服务器基于证书中公钥与终端握手认证。
步骤403,云端认证服务器43与用户终端41基于证书认证握手成功后,生成并发送本次Session Token。
具体地,通过证书认证握手可以确定请求信息的来源是否是合法的。
在一个实施例中,认证服务器通过终端应用ID,查询公钥,对加密的请求认证报文进行解密,比对请求时间、应用ID等参数,解密时间和请求接受时间在30秒之内的认证通过,按应用平台ID和时间给每一个认证请求一个Session Token。
该Session Token可以通过一随机函数生成,Session Token会保存在认证服务器中,并将交易流水号对应的Session Token传送解密模块,通过该认证服务器ID的公钥加密将该Session Token回送请求***。
步骤404,保存并认证所述Session Token信息。
具体地,终端基于证书加密密钥认证该Session Token。该Session Token可以包括128字节并且Session Token在设定时间如30S或60S内有效;若终端基于证书加密密钥认证所述Session Token超过上述设定时间,则所述Session Token会失效,需要服务器重新生成并下发新的Session Token。
步骤405,由RFID模块寻卡,按照SAM标准指令获取解密请求。
其中,该解密请求可以为UDP网络数据包,通过该数据包与云端的认证服务器的sam解密模块实现多指令交互交互,以解密身份证信息。
步骤406,获得身份证明文。
由于解密请求需要20条左右的硬件指令,SAM模块要求每次请求在60ms内完成,超时需要重新发送SAM硬件指令。因此,需要负载均衡将交易流水号粘滞在一个SAM模块上并保证能在1-2秒内解决解密问题。
具体地,负载均衡服务器中保存所有可用解密模块的控制列表。初始状态下所有信号控制量都是可用,当第一个流水请求认证通过需要进行服务时,负载均衡服务器会轮询到第一个空闲信号量,在信号量控制表中将该设备分配给改请求序列,并将后续改流水RFID解密指令调用该SAM,持续工作,直到解密成功返回明文通过Session Token加密回传给该请求终端,并将该信号量改称空闲。如果识别过程中报错模块无法进行正常工作负载均衡服务器将该设备标识为故障。这样应对并发直到轮训1次没有获得空闲信号回复客户端等待200ms,并在200m后进行再次轮训,并记录200ms未响应日志供管理员调配设备冗余量。单个SAM解密模块可以提供复位接口;负载均衡服务器有单独进程轮训故障设备调用复位逻辑重新对SAM解密模块加电,并保存模块复位累计次数;告警装置可以在复位累计次数超过5次或10次进行告警,通知进行设备更换或故障检查。
步骤407,通过本次Session Token加密身份证明文,并将加密后的身份证明文发送给用户终端41。
步骤408,终端获得所述Session Token加密的身份证明文后,通过Session Token解密。
步骤409,将所述身份证明文展示给用户。
步骤410,若用户提交资料,发送提交资料请求给云端的业务服务器。
步骤411,终端通过Session Token加密该提交资料请求。
步骤412,业务服务器基于Session Token解密该提交资料请求进行业务处理。
具体地,业务服务器从云端认证服务器获取该身份证信息的Session Token,并基于该Session Token解密提交资料请求。
图5示出本发明一个实施例的业务处理终端的结构框图。如图5所示,该业务处理终端500包括:请求验证模块501,用于向云端认证服务器发送第一请求消息,其中第一请求消息中包括用户终端的认证信息,以便云端认证服务器对认证信息进行验证;会话令牌解密获取模块502,用于在接收到云端认证服务器发送的第一加密信息后,利用预定证书对所述第一加密信息进行解密,以得到有效的会话令牌;其中云端认证服务器在对认证信息验证成功时发送所述第一加密信息;身份证信息读取请求模块503,用于读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密,以得到第二请求消息;发送模块504,用于将第二请求消息发送给云端认证服务器,以便云端认证服务器根据第二请求消息获取身份信息明文;身份证明文解密模块505,用于在接收到云端认证服务器发送的第二加密信息后,利用会话令牌对第二加密信息进行解密,以获取身份信息明文;其中云端认证服务器利用会话令牌对身份信息明文进行加密以得到第二加密信息。
在一个实施例中,第一请求消息中还包括请求发送时间。
在一个实施例中,所述令牌解密获取模块用于在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密;若解密成功,从第一加密信息中获取所述请求发送时间和会话令牌。
在一个实施例中,所述终端还包括会话令牌有效性判断模块506,用于判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则判断会话令牌有效。
在一个实施例中,会话令牌有效性判断模块506还用于若所述请求发送时间与当前时间的间隔不小于预定阈值,则判断会话令牌失效。
在一个实施例中,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
在一个实施例中,在接收到用户提交的业务请求后,利用所述会话令牌对业务请求进行加密,以得到第三请求消息;将第三请求消息发送给业务服务器,以便业务服务器在对第三请求消息解密后,根据业务请求进行相应业务处理。
图6示出本发明一个实施例的业务处理服务器的结构框图。如图6所示,该服务器包括:认证信息提取模块601,用于在接收到用户终端发送的第一请求消息后,从第一请求消息中提取出用户终端的认证信息;认证信息验证模块602,用于对用户终端的认证信息进行验证;会话令牌处理模块603,用于若验证成功,则利用预定证书对生成的会话令牌进行加密,以得到第一加密信息,并将加密信息发送给用户终端;在接收到用户终端发送的第二请求消息后,利用会话令牌对第二请求消息进行解密,以得到身份编码信息;身份编码解密模块604,用于对身份编码信息进行解码,以得到身份信息明文;所述会话令牌处理模块603还用于利用会话令牌对身份信息明文进行加密以得到第二加密信息;发送模块605,用于将第二加密信息发送给用户终端,以便用户终端获得身份信息明文。
在一个实施例中,第一请求消息中还包括用户终端发送第一请求消息的时间。
在一个实施例中,所述认证信息验证模块602还用于判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则进一步对用户终端的认证信息进行验证。
在一个实施例中,所述认证信息验证模块602还用于若所述请求发送时间与当前时间的间隔不小于预定阈值,则判定验证失败。
在一个实施例中,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (23)
1.一种业务处理方法,其特征在于,包括:
向云端认证服务器发送第一请求消息,其中第一请求消息中包括用户终端的认证信息,以便云端认证服务器对认证信息进行验证;
在接收到云端认证服务器发送的第一加密信息后,利用预定证书对所述第一加密信息进行解密,以得到有效的会话令牌;其中云端认证服务器在对认证信息验证成功时发送所述第一加密信息;
读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密,以得到第二请求消息;
将第二请求消息发送给云端认证服务器,以便云端认证服务器根据第二请求消息获取身份信息明文;
在接收到云端认证服务器发送的第二加密信息后,利用会话令牌对第二加密信息进行解密,以获取身份信息明文;其中云端认证服务器利用会话令牌对身份信息明文进行加密以得到第二加密信息。
2.根据权利要求1所述的方法,其特征在于,第一请求消息中还包括请求发送时间。
3.根据权利要求2所述的方法,其特征在于,
在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密,以得到有效的会话令牌的步骤包括:
在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密;
若解密成功,从第一加密信息中获取所述请求发送时间和会话令牌;
判断所述请求发送时间与当前时间的间隔是否小于预定阈值;
若所述请求发送时间与当前时间的间隔小于预定阈值,则判断会话令牌有效。
4.根据权利要求3所述的方法,其特征在于,
若所述请求发送时间与当前时间的间隔不小于预定阈值,则判断会话令牌失效。
5.根据权利要求1所述的方法,其特征在于,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
6.根据权利要求1-5中任一所述的方法,其特征在于,
在接收到用户提交的业务请求后,利用所述会话令牌对业务请求进行加密,以得到第三请求消息;
将第三请求消息发送给业务服务器,以便业务服务器在对第三请求消息解密后,根据业务请求进行相应业务处理。
7.一种业务处理方法,其特征在于,包括:
在接收到用户终端发送的第一请求消息后,从第一请求消息中提取出用户终端的认证信息;
对用户终端的认证信息进行验证;
若验证成功,则利用预定证书对生成的会话令牌进行加密,以得到第一加密信息,并将加密信息发送给用户终端;
在接收到用户终端发送的第二请求消息后,利用会话令牌对第二请求消息进行解密,以得到身份编码信息;其中,所述第二请求消息是所述用户终端读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密后得到的;
对身份编码信息进行解码,以得到身份信息明文;
利用会话令牌对身份信息明文进行加密以得到第二加密信息;
将第二加密信息发送给用户终端,以便用户终端获得身份信息明文。
8.根据权利要求7所述的方法,其特征在于,第一请求消息中还包括用户终端发送第一请求消息的时间。
9.根据权利要求8所述的方法,其特征在于,对用户终端的认证信息进行验证的步骤包括:
判断所述请求发送时间与当前时间的间隔是否小于预定阈值;
若所述请求发送时间与当前时间的间隔小于预定阈值,则进一步对用户终端的认证信息进行验证。
10.根据权利要求9所述的方法,其特征在于,若所述请求发送时间与当前时间的间隔不小于预定阈值,则判定验证失败。
11.根据权利要求7所述的方法,其特征在于,所述身份识别卡为身份证,所述身份证的身份编码信息是基于身份证安全控制模块SAM解密得到的。
12.一种业务处理终端,其特征在于,包括:
请求验证模块,用于向云端认证服务器发送第一请求消息,其中第一请求消息中包括用户终端的认证信息,以便云端认证服务器对认证信息进行验证;
会话令牌解密获取模块,用于在接收到云端认证服务器发送的第一加密信息后,利用预定证书对所述第一加密信息进行解密,以得到有效的会话令牌;其中云端认证服务器在对认证信息验证成功时发送所述第一加密信息;
身份证信息读取请求模块,用于读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密,以得到第二请求消息;
发送模块,用于将第二请求消息发送给云端认证服务器,以便云端认证服务器根据第二请求消息获取身份信息明文;
身份证明文解密模块,用于在接收到云端认证服务器发送的第二加密信息后,利用会话令牌对第二加密信息进行解密,以获取身份信息明文;其中云端认证服务器利用会话令牌对身份信息明文进行加密以得到第二加密信息。
13.根据权利要求12所述的终端,其特征在于,第一请求消息中还包括请求发送时间。
14.根据权利要求13所述的终端,其特征在于,
所述令牌解密获取模块用于在接收到云端认证服务器发送的第一加密信息后,利用预定证书对加密信息进行解密;若解密成功,从第一加密信息中获取所述请求发送时间和会话令牌;
所述终端还包括会话令牌有效性判断模块,用于判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则判断会话令牌有效。
15.根据权利要求14所述的终端,其特征在于,会话令牌有效性判断模块还用于若所述请求发送时间与当前时间的间隔不小于预定阈值,则判断会话令牌失效。
16.根据权利要求12所述的终端,其特征在于,所述身份识别卡为身份证,所述云端认证服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
17.根据权利要求12-16中任一所述的终端,其特征在于,
在接收到用户提交的业务请求后,利用所述会话令牌对业务请求进行加密,以得到第三请求消息;
将第三请求消息发送给业务服务器,以便业务服务器在对第三请求消息解密后,根据业务请求进行相应业务处理。
18.一种业务处理服务器,其特征在于,包括:
认证信息提取模块,用于在接收到用户终端发送的第一请求消息后,从第一请求消息中提取出用户终端的认证信息;
认证信息验证模块,用于对用户终端的认证信息进行验证;
会话令牌处理模块,用于若验证成功,则利用预定证书对生成的会话令牌进行加密,以得到第一加密信息,并将加密信息发送给用户终端;在接收到用户终端发送的第二请求消息后,利用会话令牌对第二请求消息进行解密,以得到身份编码信息;其中,所述第二请求消息是所述用户终端读取身份识别卡中的身份编码信息,利用会话令牌对身份编码信息进行加密后得到的;
身份编码解密模块,用于对身份编码信息进行解码,以得到身份信息明文;
所述会话令牌处理模块还用于利用会话令牌对身份信息明文进行加密以得到第二加密信息;
发送模块,用于将第二加密信息发送给用户终端,以便用户终端获得身份信息明文。
19.根据权利要求18所述的服务器,其特征在于,第一请求消息中还包括用户终端发送第一请求消息的时间。
20.根据权利要求19所述的服务器,其特征在于,所述认证信息验证模块还用于判断所述请求发送时间与当前时间的间隔是否小于预定阈值;若所述请求发送时间与当前时间的间隔小于预定阈值,则进一步对用户终端的认证信息进行验证。
21.根据权利要求20所述的服务器,其特征在于,所述认证信息验证模块还用于若所述请求发送时间与当前时间的间隔不小于预定阈值,则判定验证失败。
22.根据权利要求18所述的服务器,其特征在于,所述身份识别卡为身份证,所述业务处理服务器基于身份证安全控制模块SAM解密所述身份证的身份编码信息。
23.一种业务处理***,其特征在于,包括:
如权利要求12-17中任一所述的业务处理终端;如权利要求18-22中任一所述的业务处理服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510813425.9A CN106789841B (zh) | 2015-11-23 | 2015-11-23 | 业务处理方法、终端、服务器以及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510813425.9A CN106789841B (zh) | 2015-11-23 | 2015-11-23 | 业务处理方法、终端、服务器以及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106789841A CN106789841A (zh) | 2017-05-31 |
| CN106789841B true CN106789841B (zh) | 2019-12-06 |
Family
ID=58885241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510813425.9A Active CN106789841B (zh) | 2015-11-23 | 2015-11-23 | 业务处理方法、终端、服务器以及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789841B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109471713B (zh) * | 2017-09-07 | 2022-11-08 | 北京京东尚科信息技术有限公司 | 用于查询信息的方法和装置 |
| CN108600186A (zh) * | 2018-03-30 | 2018-09-28 | 重庆诺塔斯智能科技有限公司 | 二代身份证云解码服务器 |
| CN108965424B (zh) * | 2018-07-10 | 2021-02-26 | 中国银行股份有限公司 | 一种业务处理方法和装置 |
| CN110798432A (zh) * | 2018-08-03 | 2020-02-14 | 京东数字科技控股有限公司 | 安全认证方法、装置和***,移动终端 |
| CN109450643B (zh) * | 2018-11-05 | 2021-06-22 | 四川长虹电器股份有限公司 | Android平台上基于native服务实现的签名验签方法 |
| CN109167802B (zh) * | 2018-11-08 | 2021-07-13 | 金蝶软件(中国)有限公司 | 防止会话劫持的方法、服务器以及终端 |
| CN109447029B (zh) * | 2018-11-12 | 2022-09-02 | 公安部第三研究所 | 电子身份证照生成***及方法 |
| CN111223022B (zh) * | 2018-11-27 | 2024-02-09 | 天地融科技股份有限公司 | 一种云身份证的实现方法及*** |
| CN109636373A (zh) * | 2018-11-29 | 2019-04-16 | 北京中清怡和科技有限公司 | 一种智能收单终端及其收单方法 |
| CN109753066A (zh) * | 2018-12-29 | 2019-05-14 | 百度在线网络技术(北京)有限公司 | 终端通信的方法、装置、硬件设备和计算机可读介质 |
| CN113283252B (zh) * | 2021-04-02 | 2023-06-16 | 深圳市雄帝科技股份有限公司 | 智能卡与身份证的信息读取***及方法 |
| CN113569285B (zh) * | 2021-07-26 | 2023-04-28 | 长春吉大正元信息安全技术有限公司 | 身份认证与鉴权的方法、装置、***、设备及存储介质 |
| CN114095220A (zh) * | 2021-11-09 | 2022-02-25 | 微位(深圳)网络科技有限公司 | 电话通信验证方法、装置、设备及存储介质 |
| CN116032493A (zh) * | 2023-02-14 | 2023-04-28 | 广州市森锐科技股份有限公司 | 一种安全检测方法及解码服务器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701612A (zh) * | 2013-12-31 | 2014-04-02 | 武汉理工大学 | 一种标识私钥获取与发放方法 |
| CN104320391A (zh) * | 2014-10-22 | 2015-01-28 | 南京绿云信息技术有限公司 | 云端认证方法及*** |
| CN104994114A (zh) * | 2015-07-27 | 2015-10-21 | 尤磊 | 一种基于电子身份证的身份认证***和方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10263782B2 (en) * | 2011-10-12 | 2019-04-16 | Goldkey Corporation | Soft-token authentication system |
| US9642005B2 (en) * | 2012-05-21 | 2017-05-02 | Nexiden, Inc. | Secure authentication of a user using a mobile device |
-
2015
- 2015-11-23 CN CN201510813425.9A patent/CN106789841B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103701612A (zh) * | 2013-12-31 | 2014-04-02 | 武汉理工大学 | 一种标识私钥获取与发放方法 |
| CN104320391A (zh) * | 2014-10-22 | 2015-01-28 | 南京绿云信息技术有限公司 | 云端认证方法及*** |
| CN104994114A (zh) * | 2015-07-27 | 2015-10-21 | 尤磊 | 一种基于电子身份证的身份认证***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106789841A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789841B (zh) | 业务处理方法、终端、服务器以及*** | |
| CN108965230B (zh) | 一种安全通信方法、***及终端设备 | |
| CN103685311B (zh) | 一种登录验证方法及设备 | |
| EP3255832B1 (en) | Dynamic encryption method, terminal and server | |
| CN105099692B (zh) | 安全校验方法、装置、服务器及终端 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| CN112823503B (zh) | 一种数据访问方法、数据访问装置及移动终端 | |
| CN103905194B (zh) | 身份溯源认证方法及*** | |
| CN105491073B (zh) | 一种数据下载方法、装置及*** | |
| CN111800377B (zh) | 一种基于安全多方计算的移动终端身份认证*** | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN108667784B (zh) | 互联网身份证核验信息保护的***和方法 | |
| CN105516135A (zh) | 用于账号登录的方法和装置 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和*** | |
| CN104935435A (zh) | 登录方法、终端及应用服务器 | |
| CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
| CN115039376A (zh) | 终端设备信息传输方法、设备指纹生成方法及相关产品 | |
| CN105142134A (zh) | 参数获取以及参数传输方法和装置 | |
| CN106161224B (zh) | 数据交换方法、装置及设备 | |
| CN105743651B (zh) | 芯片安全域的卡应用使用方法、装置和应用终端 | |
| CN110266653B (zh) | 一种鉴权方法、***及终端设备 | |
| CN107395350B (zh) | 密钥及密钥句柄的生成方法、***及智能密钥安全设备 | |
| CN107395600B (zh) | 业务数据验证方法、服务平台及移动终端 | |
| EP3334086A1 (en) | Online authentication method based on smart card, smart card and authentication server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |