CN108122112A - 基于鉴权装置的电子身份证签发认证和安全支付*** - Google Patents
基于鉴权装置的电子身份证签发认证和安全支付*** Download PDFInfo
- Publication number
- CN108122112A CN108122112A CN201711340023.7A CN201711340023A CN108122112A CN 108122112 A CN108122112 A CN 108122112A CN 201711340023 A CN201711340023 A CN 201711340023A CN 108122112 A CN108122112 A CN 108122112A
- Authority
- CN
- China
- Prior art keywords
- authentication
- signed
- information
- server
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3229—Use of the SIM of a M-device as secure element
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请提供一种基于鉴权装置的电子身份证签发认证和安全支付***,包括鉴权装置,管理控制装置,签发服务器,以及电子身份认证服务器,鉴权装置被设置于移动终端并用于进行移动用户身份鉴权,鉴权装置中预先存储有由电子身份认证服务器签发的eID,并且根据eID对电子身份证认证服务器发送的身份认证待签数据进行签名以生成身份认证签名数据;电子身份证认证服务器根据身份认证签名数据和鉴权装置的识别信息进行认证,在认证通过的情况下,向签发服务器发送与eID对应的用户身份识别码;签发服务器根据用户身份识别码,向管理控制装置签发第一信息;管理控制装置将签发服务器签发的第一信息发送给鉴权装置。根据本申请,能够减少面签的次数,增加了信息签发的便利性,进而提高了使用的便利性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种基于鉴权装置的电子身份证签发认证和安全支付***。
背景技术
U盾是用于网上银行电子签名和数字认证的客户证书。如果能将U盾和电子身份证(eID,electronic IDentity)的信息都集成到SIM卡上,可以使移动支付变得更加便利。
但是,传统的银行U盾要求到银行进行当面实名签发(以下简称面签),而作为载体的SIM卡则要求到移动通信运营商进行实名认证和面签,并且,为了使电子身份证(eID)装载于SIM卡,也要求用户进行实名面签,这就使得用户需要拿同一张SIM卡到多个机构进行面签,流程比较复杂。
目前,eID的签发可以在银行或者移动运营商面签时同时完成面签,所以上述流程可以简化成两次面签的签发方法。
图1是进行两次面签的一个示意图,如图1所示,首次面签A可以在通信运营商101处进行,通过首次面签,用户首先在通信运营商处完成SIM卡用户手机号码的实名认证,签发SIM卡并写入用户号码,同时在通信运营商处完成eID签发,签发的eID可以被写入SIM卡中。
然后用户需到银行102进行第二次面签B,银行的客户证书信息(例如,U盾证书)可以被签发于SIM卡100,第二次面签后,用户可使用内置于SIM卡中的U盾进行安全的移动支付。
此外,在两次面签的方案中,首次面签也可以在银行进行,通过首次面签,银行可以将eID和银行的客户证书信息签发到SIM卡;第二次面签可以在通信运营商处进行,通过第二次面签,进行用户手机号码的实名认证,并将手机号码签发到SIM卡中。
应该注意,上面对技术背景的介绍只是为了方便对本申请的技术方案进行清楚、完整的说明,并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本申请的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
发明内容
本申请的发明人发现,通过两次面签将eID和U盾签发于SIM卡的流程仍然比较繁琐,这种繁琐的流程限制了用户使用内置于SIM的eID和U盾进行移动支付的便利性。
本申请的实施例提供一种基于鉴权装置的电子身份证签发认证和安全支付***,该签发认证和安全支付***能够基于鉴权装置中预存的与电子身份证(eID)相关的信息通过远程签发的方式将第一信息签发于鉴权装置,因此,能够减少面签的次数,增加了信息签发的便利性,进而提高了使用的便利性。
根据本申请实施例的一个方面,提供一种基于鉴权装置的电子身份证签发认证和安全支付***,该签发认证和安全支付***包括鉴权装置,管理控制装置,签发服务器,以及电子身份认证服务器,其中:
所述鉴权装置被设置于移动终端并用于进行移动用户身份鉴权,所述鉴权装置中预先存储有与由电子身份认证服务器签发的电子身份证(eID)相关的信息,并且根据与所述电子身份证相关的信息对电子身份证认证服务器发送的身份认证待签数据进行签名以生成身份认证签名数据;
所述电子身份证认证服务器根据所述身份认证签名数据和所述鉴权装置的识别信息进行认证,在认证通过的情况下,向签发服务器发送与所述电子身份证(eID)对应的用户身份识别码;
所述签发服务器根据所述用户身份识别码,向所述管理控制装置签发所述第一信息;
所述管理控制装置将所述签发服务器签发的所述第一信息发送给所述鉴权装置。
本申请的有益效果在于:根据本申请的实施例,能够基于鉴权装置中预存的与电子身份证(eID)相关的信息通过远程签发的方式将第一信息签发于鉴权装置,因此,能够减少面签的次数,增加了信息签发的便利性,进而提高了使用的便利性。
参照后文的说明和附图,详细公开了本申请的特定实施方式,指明了本申请的原理可以被采用的方式。应该理解,本申请的实施方式在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内,本申请的实施方式包括许多改变、修改和等同。
针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用,与其它实施方式中的特征相组合,或替代其它实施方式中的特征。
应该强调,术语“包括/包含”在本文使用时指特征、整件、步骤或组件的存在,但并不排除一个或更多个其它特征、整件、步骤或组件的存在或附加。
附图说明
所包括的附图用来提供对本申请实施例的进一步的理解,其构成了说明书的一部分,用于例示本申请的实施方式,并与文字描述一起来阐释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是进行两次面签的一个示意图;
图2是本申请实施例1的签发认证和安全支付***的一个示意图;
图3是本申请实施例1的鉴权装置的一个示意图;
图4是本申请实施例1的管理控制装置的一个示意图;
图5是本申请实施例1的签发服务器的一个示意图;
图6是本申请实施例1的电子身份认证服务器的一个示意图;
图7是使用本申请实施例1的电子身份证签发认证和安全支付***签发第一信息的流程的一个示意图;
图8是本申请实施例2的签发认证和安全支付***的一个示意图;
图9是使用本申请实施例2的电子身份证签发认证和安全支付***进行支付的流程的一个示意图。
具体实施方式
参照附图,通过下面的说明书,本申请的前述以及其它特征将变得明显。在说明书和附图中,具体公开了本申请的特定实施方式,其表明了其中可以采用本申请的原则的部分实施方式,应了解的是,本申请不限于所描述的实施方式,相反,本申请包括落入所附权利要求的范围内的全部修改、变型以及等同物。
在本申请中,该鉴权装置可以设置在移动终端,该鉴权装置可以是客户识别模块(Subscriber Identity Module,SIM)卡,与该客户识别模块卡贴合的芯片例如SIM贴膜卡,或者与该客户识别模块卡具有同等功能的集成到该移动终端的装置例如eSIM卡等;该鉴权装置的功能可以由运行在该鉴权装置上的软件来实现,例如,该软件可以是芯片上的操作***(Chip Operation System,COS)。然而,本实施例并不限于此,该鉴权装置的功能还可以由硬件实现,也可以由硬件结合软件实现,具体的实现方式可以参考现有技术。
在本申请中,管理控制装置可以由软件实现,例如,该管理控制装置可以是软件开发工具包(SDK),然而,本实施例并不限于此,该管理控制装置也可以由硬件实现,或者由硬件结合软件实现,具体的实现方式可以参考现有技术。
在本申请中,管理控制装置可以被设置于该移动终端,其中,管理控制装置可以与该鉴权装置分开设置,也可以设置在该鉴权装置中。
在本申请中,签发服务器以及电子身份认证服务器也可以由软件和/或硬件来实现。
在本申请中,该鉴权装置与管理控制装置之间可以通过多种通信方式进行数据交换,这些通信方式例如可以是蓝牙通信、近场通信(Near Field Communication,NFC)、利用传送协议数据单元(Transport Protocol Data Unit,TPDU)通信等,也可以是鉴权装置与管理控制装置之间自定义的特有协议的通信方式;管理控制装置可以经由该移动终端的通信模块与签发服务器进行通信,该通信可以经由有线网络或无线网络来进行。
在本实施例中,支付认证服务器生成并发送到管理控制装置的支付认证数据,以及身份认证服务器生成的第一身份认证待签数据可以经过加密处理,加密算法包括但不限于DES,3DES,AES,RSA或SM4等算法,也可以是其他加密算法或服务自定义的数据处理方法。
支付认证数据可以包括账单数据,用户帐号数据,认证时间,随机数等,也可以包括其他支付认证服务器自定义的字段。支付认证服务器803除了验证支付认证数据数字签名外,还可以进行其他安全性或防攻击的验证手段,包括对认证数据中包含的认证时间进行比对,超过一定的时间范围将被视为超时的认证数据无法认证成功;以及对认证数据中包含的随机数进行比对,每次生成的随机数只能进行一次认证,防止重放攻击等,也可以包括其他服务器可以采用的安全认证措施。
身份认证待签数据可以包括身份属性数据,认证时间,随机数等,也可以包括其他身份认证服务器自定义的业务字段。身份认证服务器除了验证身份认证数据的数字签名外,还可以进行其他安全性或防攻击的验证手段,包括对认证数据中包含的认证时间进行比对,超过一定的时间范围将被视为超时的认证数据无法认证成功;以及对认证数据中包含的随机数进行比对,每次生成的随机数只能进行一次认证,防止重放攻击等,也可以包括其他服务器可以采用的安全认证措施。
在本申请中,移动终端可以是功能手机、智能手机或平板电脑等便携式电子设备。
实施例1
本申请实施例1提供一种基于鉴权装置的电子身份证签发认证和安全支付***。图2是该签发认证和安全支付***的一个示意图,如图2所示,该签发认证和安全支付***200包括:鉴权装置201,管理控制装置202,签发服务器203,以及电子身份认证服务器204。
在本实施例中,鉴权装置201被设置于移动终端并用于进行移动用户身份鉴权,鉴权装置中可以预先存储有与由电子身份认证服务器204签发的电子身份证(eID)相关的信息,并且根据与电子身份证eID相关的信息对电子身份证认证服务器204发送的身份认证待签数据进行签名以生成身份认证签名数据;电子身份证认证服务器204可以根据鉴权装置201生成的该身份认证签名数据和鉴权装置201的识别信息进行认证,在认证通过的情况下,向签发服务器203发送与电子身份证(eID)对应的用户身份识别码;签发服务器203可以根据电子身份证认证服务器204发送的该用户身份识别码,向管理控制装置202签发第一信息;管理控制装置202可以将签发服务器203签发的第一信息发送给鉴权装置201。
根据本实施例,该签发认证和安全支付***能够基于鉴权装置中预存的电子身份证(eID),通过远程签发的方式将第一信息签发于鉴权装置,因此,用户无需到第一信息的签发机构进行面签,增加了信息签发的便利性,进而提高了使用的便利性。
在本实施例中,用户仍然可以采用面签的方式,在eID的签发机构,通过电子身份认证服务器204将eID签发并存储于鉴权装置201中,关于该eID的签发机构,可以是银行,也可以是通信运营商。
在本实施例中,还可以在eID的签发机构将第二信息签发于鉴权装置201中,例如,该第二信息可以是与银行关联的客户证书信息和与通信运营商关联的电话号码信息中的一者,即,用户可以在银行通过一次面签,使eID和客户证书信息(例如,U盾)签发并存储于鉴权装置201,或者,用户可以在通信运营商处通过一次面签,使eID和电话号码信息签发并存储于鉴权装置201。
下面,简单说明通过一次面签,签发该eID和第二信息的流程。
当第二信息是电话号码信息时,在通信运营商处通过一次面签,使eID和电话号码信息签发并存储于鉴权装置201的流程,例如:用户首先到运营商营业厅柜台通过身份证当面实名认证开通运营商通信服务,由运营商提供给用户写入电话号码的sim卡(鉴权装置),开通完成后在同一地点通过eID签发专柜或者eID签发自助机(自助终端),用身份证开通eID功能并在同一张sim卡中签发eID证书。
当第二信息是与银行关联的客户证书信息时,在银行通过一次面签,使eID和该客户证书信息签发并存储于鉴权装置201的流程,例如:用户首先到银行营业厅柜台通过身份证当面开通银行账户并开通u盾支付业务,由银行提供给用户sim卡(鉴权装置)并写入银行客户证书(例如,银行客户数字证书),并开通u盾支付功能,开通完成后在同一地点通过eID签发专柜或者eID签发自助机(自助终端),用身份证开通eID功能并在同一张sim卡中签发eID证书。
在本实施例中,第一信息可以不同于第二信息,例如,第一信息可以是与银行关联的客户证书信息和与通信运营商关联的电话号码信息中的另一者,这样,用户可以通过一次面签可以使第二信息和eID被签发于鉴权装置201,并且,通过签发认证和安全支付***200将第一信息远程签发于鉴权装置201,由此,在鉴权装置201中签发eID、第一信息和第二信息的过程中,只包含一次面签,提高了信息签发的便利性。
此外,本实施例可以不限于此,例如,鉴权装置201中也可以不存储第二信息。
图3是本实施例的鉴权装置201的一个示意图,如图3所示,鉴权装置201包括:存储单元2011,验证单元2012,签名单元2013,以及鉴权装置通信单元2014。
在本实施例中,存储单元2011用于存储与电子身份认证服务器下发的电子身份证eID相关的信息,并且,在签发服务器203签发了该第一信息的情况下,存储单元2011还可以存储经由管理控制装置202接收的该第一信息;
验证单元2012可以对用户输入的认证签名密码进行验证,例如,验证单元2012可以将用户输入的认证签名密码与鉴权装置201中预存的信息进行比对,在比对结果为二者一致的情况下,验证成功;签名单元2013在验证单元2012对该认证签名密码验证成功的情况下,根据存储单元2011中存储的与电子身份证eID相关的信息对身份认证待签数据进行签名,以生成身份认证签名数据,其中,该与电子身份证eID相关的信息例如可以是:鉴权装置被签发电子身份证(eID)时,在鉴权装置中生成的私钥等。此外,关于签名单元2013进行签名的原理见后述的说明。
鉴权装置通信单元2014用于与管理控制装置202进行数据交互,例如,鉴权装置通信单元2014从管理控制装置202接收该身份认证待签数据、该认证签名密码以及该第一信息等,并向管理控制装置202发送该身份认证签名数据和鉴权装置201的识别信息等。
在本实施例中,如图3所示,鉴权装置201还可以包括:鉴权装置请求单元2015。在鉴权装置201接收到该身份认证待签数据的情况下,鉴权装置请求单元2015可以生成向管理控制装置202请求输入该认证签名密码的认证签名请求信息,并且,鉴权装置通信单元2014可以向管理控制装置202发送该认证签名请求信息。
图4是本实施例的管理控制装置202的一个示意图,如图4所示,管理控制装置202可以包括:签发请求单元2021,管理控制第一通信单元2022以及管理控制第二通信单元2023。
其中,签发请求单元2021可以根据用户信息生成签发请求信息,签发请求信息用于请求所述签发服务器签发所述第一信息,例如,管理控制装置202可以接收用户在移动终端的操作界面所输入的用户信息,由签发请求单元2021根据该用户信息生成签发请求信息;
管理控制第一通信单元2022与签发服务器203进行数据交互,例如,管理控制第一通信单元2022向签发服务器203发送该签发请求信息,所述鉴权装置的识别信息和所述身份认证签名数据,并且,从所述签发服务器接收所述身份认证待签数据和所述第一信息;
管理控制第二通信单元2023与鉴权装置201进行数据交互,例如,管理控制第二通信单元2023可以与鉴权装置通信单元2014通信,从而进行数据交互,管理控制第二通信单元2023与鉴权装置通信单元2014之间可以通过多种通信方式进行数据交互,这些通信方式例如可以是蓝牙通信、近场通信(Near Field Communication,NFC)、利用传送协议数据单元(Transport Protocol Data Unit,TPDU)通信等,也可以是鉴权装置与管理控制装置之间自定义的特有协议的通信方式。
如图4所示,管理控制装置202还可以包括:输入单元2024。输入单元2024能够接收用户输入的认证签名密码,并且,该认证签名密码可以通过管理控制第二通信单元2023发送到鉴权装置201。
图5是本实施例的签发服务器的一个示意图,其中,签发服务器203包括:身份认证请求单元2031,签发服务第一通信单元2032,第一信息生成单元2033,以及签发服务第二通信单元2034。
其中,身份认证请求单元2031从接收到的该签发请求信息中提取用户信息,生成身份认证请求信息,该身份认证请求信息用于请求电子身份认证服务器204对用户信息进行身份认证;
签发服务第一通信单元2032与电子身份认证服务器204进行数据交互,例如,签发服务第一通信单元2032向电子身份认证服务器204发送身份认证请求单元2031生成的该身份认证请求信息,鉴权装置的识别信息和身份认证签名数据等,并且,签发服务第一通信单元2032从电子身份认证服务器204接收身份认证待签数据和用户身份识别码等;
在签发服务器203收到电子身份认证服务器204发送的用户身份识别码的情况下(即,用户的电子身份认证成功),第一信息生成单元2033可以生成与用户身份识别码对应的所述第一信息;
签发服务第二通信单元2034与管理控制装置202进行数据交互,例如,签发服务第二通信单元2034将第一信息生成单元2033生成的第一信息发送到管理控制装置202,从而向管理控制装置202签发该第一信息。
在本实施例中,第一信息可以是与银行关联的客户证书信息或与通信运营商关联的电话号码信息,与之对应,签发服务器203可以是用于签发该客户证书信息的服务器或签发该电话号码信息的服务器。此外,本实施例可以不限于此,签发服务器也可以用于签发其他类型的第一信息。
图6是本实施例的电子身份认证服务器的一个示意图,如图6所示,电子身份认证服务器204包括:待签数据生成单元2041,认证单元2042,身份识别码生成单元2043,以及认证服务通信单元2044。
其中,待签数据生成单元2041根据签发服务器203发送的该身份认证请求信息,生成身份认证待签数据;
认证单元2042根据鉴权装置201所生成的身份认证签名数据和该鉴权装置的识别信息进行用户身份认证,其中,关于认证单元2042进行认证的原理见后述的说明;
在认证单元2042的身份认证成功的情况下,身份识别码生成单元2043生成与该电子身份证(eID)对应的用户身份识别码;
认证服务通信单元2043与签发服务器203进行数据交互,例如,认证服务通信单元2043将身份认证待签数据、用户身份识别码等发送给签发服务器203。
下面,对签名单元2013进行签名以及认证单元2042进行认证的原理进行简要说明:
鉴权装置被签发eID的过程中,在该鉴权装置内会生成一对公私钥,公钥在签发时在安全环境下被导出该鉴权装置,并在电子身份认证服务器中生成相应的eID公钥数字证书,而私钥不允许被读出该鉴权装置,该电子身份认证服务器生成的eID数字证书在签发时被写入该鉴权装置,同时保存到身份认证服务器。在进行数字签名的时候,待签数据传入该鉴权装置内后,签名单元2013用该鉴权装置内的私钥进行数字签名(即,加密),然后将该鉴权装置的识别信息和签名后的数据发送到身份认证服务器,身份认证服务器利用根据该鉴权装置的识别信息对应到该eID的数字证书中包含的公钥进行解密,比对解密后的内容和待签内容是否一致,来判断是否为有效签名,从而进行用户身份认证。
下面,以一个实例说明本实施例电子身份证签发认证和安全支付***签发第一信息的流程。
图7是使用本实施例电子身份证签发认证和安全支付***签发第一信息的流程的一个示意图。
在图7所示的流程中,第一信息可以是与银行关联的客户证书信息,签发服务器203用于签发该客户证书信息。鉴权装置201中可以预先存储有由电子身份认证服务器204签发的eID。鉴权装置201中也可以预先存储有由通信运营商签发的第二信息,即电话号码信息。其中,用户可以在通信运营商处通过一次面签,使eID和电话号码信息签发并存储于鉴权装置201中。
如图7所示,该流程包括如下步骤:
1)控制管理装置202生成签发请求信息,并发送给签发服务器203,用于请求签发服务器远程签发第一信息,例如,客户证书信息等;
2)签发服务器203生成身份认证请求信息,并向电子身份证认证服务器204提交该身份认证请求信息;
3)电子身份证认证服务器204生成身份认证待签数据,并将该身份认证待签数据返回给签发服务器203;
4)签发服务器204将身份认证待签数据返回给控制管理装置202;
5)控制管理装置202将身份认证待签数据发送到鉴权装置201;
6)鉴权装置201生成认证签名请求信息,并发送给控制管理装置202,以请求输入认证签名密码;
7)控制管理装置202接收用户输入的认证签名密码,并发送给鉴权装置201;
8)鉴权装置201认证签名密码验证通过后,使用预存的eID对身份认证待签数据进行签名,以生成所述身份认证签名数据,并将该身份认证签名数据和鉴权装置201的识别信息(例如,鉴权装置201的序列号)发送到控制管理装置202;
9)控制管理装置202向签发服务器203提交身份认证签名数据和鉴权装置201的识别信息;
10)签发服务器203向电子身份证认证服务器204提交身份认证签名数据和鉴权装置201的识别信息;
11)电子身份证认证服务器204根据身份认证签名数据和鉴权装置201的识别信息进行认证,认证成功后生成用户身份识别码,并向签发服务器203返回该用户身份识别码;
12)签发服务器203接收到用户身份识别码,向控制管理装置202远程签发第一信息;
13)控制管理装置202将第一信息发送到鉴权装置201。
通过本实施例,可以通过控制管理装置,通过验证鉴权装置内的电子身份证来实现签发服务器对于第一信息的远程实名签发流程,既实现了签发服务器需要用户真实身份实名签发第一信息的要求,又大大方便了用户的使用。
在本实施例中,当第一信息和第二信息是其它信息的情况下,签发第一信息的流程与图7类似。
实施例2
本申请实施例2提供另一种基于鉴权装置的电子身份证签发认证和安全支付***。
图8是实施例2的签发认证和安全支付***的一个示意图,如图8所示,该签发认证和安全支付***800包括:鉴权装置801,管理控制装置802,支付认证服务器803,以及电子身份认证服务器804。
在本实施例中,鉴权装置801中可以存储有第一信息和电子身份证eID,该第一信息可以是与银行关联的客户证书信息;鉴权装置801可以根据电子身份证对电子身份证认证服务器804发送的第一身份认证待签数据进行签名以生成第一身份认证签名数据,并且,鉴权装置801可以根据该第一信息对支付认证服务器803发送的支付认证数据进行签名以生成支付认证数据数字签名;电子身份证认证服务器804可以根据第一身份认证签名数据和鉴权装置的识别信息进行认证,在认证通过的情况下,向支付认证服务器803发送与电子身份证(eID)对应的用户身份识别码;支付认证服务器204在接收到该用户身份识别码的情况下,对支付认证数字签名进行验证,根据验证结果,确定是否允许与该第一信息关联的账户进行支付。
根据本实施例,能够基于鉴权装置中的电子身份证信息进和与银行关联的客户证书信息进行安全地支付,提高了支付的便利性和安全性。
图9是使用本实施例电子身份证签发认证和安全支付***进行支付的流程的一个示意图。
如图9所示,该流程包括如下步骤:
1)当用户需要进行支付时,由管理控制装置802向支付认证服务器803发起支付请求;
2)支付认证服务器803生成支付认证数据,并向电子身份认证服务器804发起身份认证请求;
3)电子身份认证服务器804生成第一身份认证待签数据并返回到支付认证服务器803;
4)支付认证服务器803将支付认证数据和第一身份认证待签数据一并返回给管理控制装置802;
5)管理控制装置802将支付认证服务器803发来的支付认证数据和第一身份认证待签数据发送到鉴权装置801;
6)鉴权装置801生成第一认证签名请求信息,并发送给控制管理装置802,以请求输入第一认证签名密码;
7)控制管理装置802接收用户输入的第一认证签名密码,并发送给鉴权装置801;
8)鉴权装置801对第一认证签名密码验证通过后,用预存的第一信息(例如,客户证书信息)对支付认证数据进行签名生成支付认证数据数字签名,用预存的eID对第一身份认证待签数据进行签名生成第一身份认证签名数据,并将支付认证数字签名和第一身份认证签名数据以及鉴权装置801的识别信息返回给管理控制装置802;
9)管理控制装置802将由鉴权装置返回的支付认证数字签名和第一身份认证签名数据及鉴权装置的识别信息发送回支付认证服务器803;
10)支付认证服务器803将第一身份认证签名数据及鉴权装置的识别信息发送给电子身份认证服务器804;
11)电子身份认证服务器804根据第一身份认证签名数据及鉴权装置的识别信息进行验证,验证成功后返回用户身份识别码;
12)在接收到用户身份识别码的情况下,支付认证服务器803根据鉴权装置的识别信息对由管理控制装置802发送来的支付认证数字签名进行验证,验证通过后完成支付流程。
其中,支付认证服务器803进行验证的步骤可以是:收到用户身份识别码后,根据鉴权装置的识别信息找到在向鉴权装置签发eID时由签发服务器(例如,电子身份认证服务器804)同步到支付认证服务器并存储的该用户的用户身份识别码,将存储的用户身份识别码和接收到的用户身份识别码进行比对,比对成功后用户身份认证通过,再利用对应用户的支付认证数字证书中的公钥对支付认证数字签名进行验签。
支付认证服务器803进行支付的步骤可以是:验证通过后,将所需支付的订单启动银行支付交易,从用户银行账户中扣除相应金额,同时返回支付成功的状态通知给支付应用,具体流程可以参考现有技术。
在本实施例中,鉴权装置801还可以具有:存储单元2011,验证单元2012,签名单元2013,鉴权装置通信单元2014,鉴权装置请求单元2015等。各单元的作用可以参考实施例1。
在本实施例中,管理控制装置802还可以具有:签发请求单元2021,管理控制第一通信单元2022,管理控制第二通信单元2023,输入单元2024等。各单元的作用可以参考实施例1。
在本实施例中,电子身份认证服务器804还可以具有:待签数据生成单元2041,认证单元2042,身份识别码生成单元2043,认证服务通信单元2044。各单元的作用可以参考实施例1。
由此,在需要远程签发第一信息时,本实施例的鉴权装置801,管理控制装置802,电子身份认证服务器804可以与实施例1的签发服务器203组成实施例1的电子身份证签发认证和安全支付***200,从而根据图7所示的流程,将第一信息远程签发到鉴权装置801。
在需要使用鉴权装置中的信息进行支付时,本实施例的鉴权装置801,管理控制装置802,电子身份认证服务器804可以与本实施例2的支付认证服务器803组成实施例2的电子身份证签发认证和安全支付***800,从而根据图9所示的流程,进行安全地移动支付。
在一个实施方式中,本实施例的鉴权装置801,管理控制装置802,支付认证服务器803以及电子身份认证服务器804,可以与实施例1的签发服务器203组成功能扩展的电子身份证签发认证和安全支付***,该扩展的电子身份证签发认证和安全支付***既能进行第一信息的远程签发,也能进行安全地移动支付。
本申请以上的装置可以由硬件实现,也可以由硬件结合软件实现。本申请涉及这样的计算机可读程序,当该程序被逻辑部件所执行时,能够使该逻辑部件实现上文所述的装置或构成部件,或使该逻辑部件实现上文所述的各种方法或步骤。本申请还涉及用于存储以上程序的存储介质,如硬盘、磁盘、光盘、DVD、flash存储器等。
以上结合具体的实施方式对本申请进行了描述,但本领域技术人员应该清楚,这些描述都是示例性的,并不是对本申请保护范围的限制。本领域技术人员可以根据本申请的精神和原理对本申请做出各种变型和修改,这些变型和修改也在本申请的范围内。
Claims (10)
1.一种基于鉴权装置的电子身份证签发认证和安全支付***,该签发认证和安全支付***包括鉴权装置,管理控制装置,签发服务器,以及电子身份认证服务器,其中:
所述鉴权装置被设置于移动终端并用于进行移动用户身份鉴权,所述鉴权装置中预先存储有与由电子身份认证服务器签发的电子身份证相关的信息,并且根据与所述电子身份证相关的信息对电子身份证认证服务器发送的身份认证待签数据进行签名以生成身份认证签名数据;
所述电子身份证认证服务器根据所述身份认证签名数据和所述鉴权装置的识别信息进行认证,在认证通过的情况下,向签发服务器发送与所述电子身份证对应的用户身份识别码;
所述签发服务器根据所述用户身份识别码,向所述管理控制装置签发第一信息;
所述管理控制装置将所述签发服务器签发的所述第一信息发送给所述鉴权装置。
2.如权利要求1所述的签发认证和安全支付***,其中,所述鉴权装置包括:
存储单元,其存储所述电子身份证和所述第一信息;
验证单元,其对用户输入的认证签名密码进行验证;
签名单元,其在所述验证单元对所述认证签名密码验证成功的情况下,对所述身份认证待签数据进行签名,以生成所述身份认证签名数据;
鉴权装置通信单元,其从所述管理控制装置接收所述身份认证待签数据、所述认证签名密码以及所述第一信息,并向所述管理控制装置发送所述身份认证签名数据和所述鉴权装置的识别信息。
3.如权利要求2所述的签发认证和安全支付***,其中,所述鉴权装置还包括:
鉴权装置请求单元,其在接收到所述身份认证待签数据的情况下,生成向所述管理控制装置请求输入所述认证签名密码的认证签名请求信息,
并且,所述鉴权装置通信单元向所述管理控制装置发送所述认证签名请求信息。
4.如权利要求1所述的签发认证和安全支付***,其中,所述管理控制装置包括:
签发请求单元,其根据用户信息生成签发请求信息,所述签发请求信息用于请求所述签发服务器签发所述第一信息;
管理控制第一通信单元,其向所述签发服务器发送所述签发请求信息,所述鉴权装置的识别信息和所述身份认证签名数据,并且,从所述签发服务器接收所述身份认证待签数据和所述第一信息;
管理控制第二通信单元,其与所述鉴权装置进行数据交互。
5.如权利要求4所述的签发认证和安全支付***,其中,所述管理控制装置还包括:
输入单元,其用于接收所述用户输入的所述认证签名密码。
6.如权利要求1所述的签发认证和安全支付***,其中,所述签发服务器包括:
身份认证请求单元,其从接收到的签发请求信息中提取用户信息,生成身份认证请求信息,所述身份认证请求信息用于请求所述电子身份认证服务器对所述用户信息进行身份认证;
签发服务第一通信单元,其向所述电子身份认证服务器发送所述身份认证请求信息,所述鉴权装置的识别信息和所述身份认证签名数据,并且,从所述电子身份认证服务器接收所述身份认证待签数据和所述用户身份识别码;
第一信息生成单元,其在收到所述用户身份识别码的情况下,生成与所述用户身份识别码对应的所述第一信息;
签发服务第二通信单元,其将所述第一信息发送到所述管理控制装置,以向所述管理控制装置签发所述第一信息。
7.如权利要求1所述的签发认证和安全支付***,其中,所述电子身份认证服务器包括:
待签数据生成单元,其根据所述签发服务器的身份认证请求信息,生成所述身份认证待签数据;
认证单元,其根据所述身份认证签名数据和所述鉴权装置的识别信息进行认证;
身份识别码生成单元,其在所述认证单元认证成功的情况下,生成与所述电子身份证对应的用户身份识别码;
认证服务通信单元,其与所述签发服务器进行数据交互。
8.如权利要求1所述的签发认证和安全支付***,其中,
所述鉴权装置中还预先存储有第二信息,其中,
所述第一信息是与银行关联的客户证书信息和与通信运营商关联的电话号码信息中的一者,
所述第二信息是所述客户证书信息和所述电话号码信息中的另一者。
9.如权利要求8所述的签发认证和安全支付***,其中,
所述签发服务器是用于签发该客户证书信息的服务器,
或者
所述签发服务器是用于签发该电话号码信息的服务器。
10.如权利要求1所述的签发认证和安全支付***,其中,所述签发认证和安全支付***还具有支付认证服务器,所述第一信息是与银行关联的客户证书信息,
所述鉴权装置根据所述电子身份证对电子身份证认证服务器发送的第一身份认证待签数据进行签名以生成第一身份认证签名数据,所述鉴权装置根据所述第一信息对支付认证服务器发送的支付认证数据进行签名以生成支付认证数据数字签名;
所述电子身份证认证服务器根据所述第一身份认证签名数据和所述鉴权装置的识别信息进行认证,在认证通过的情况下,向所述支付认证服务器发送与所述电子身份证对应的用户身份识别码;
所述支付认证服务器在接收到所述用户身份识别码的情况下,对所述支付认证数字签名进行验证,根据验证结果,确定是否允许与所述第一信息关联的账户进行支付。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711340023.7A CN108122112A (zh) | 2017-12-14 | 2017-12-14 | 基于鉴权装置的电子身份证签发认证和安全支付*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711340023.7A CN108122112A (zh) | 2017-12-14 | 2017-12-14 | 基于鉴权装置的电子身份证签发认证和安全支付*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108122112A true CN108122112A (zh) | 2018-06-05 |
Family
ID=62230075
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711340023.7A Pending CN108122112A (zh) | 2017-12-14 | 2017-12-14 | 基于鉴权装置的电子身份证签发认证和安全支付*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108122112A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108848496A (zh) * | 2018-06-12 | 2018-11-20 | 中国联合网络通信集团有限公司 | 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台 |
CN108881242A (zh) * | 2018-06-26 | 2018-11-23 | 北京小米移动软件有限公司 | 电子身份证的获取方法及装置 |
CN109361697A (zh) * | 2018-11-29 | 2019-02-19 | 深圳市安信认证***有限公司 | 基于sim卡加载pki实现可信身份认证的方法 |
CN109558918A (zh) * | 2018-10-10 | 2019-04-02 | 山西特信环宇信息技术有限公司 | 一种证件链不动产电子证照***及其使用方法 |
CN109672683A (zh) * | 2018-12-25 | 2019-04-23 | 深圳市安信认证***有限公司 | 物联网设备的绑定方法、绑定装置及终端设备 |
CN110278084A (zh) * | 2018-03-16 | 2019-09-24 | 华为技术有限公司 | eID建立方法、相关设备及*** |
WO2020024929A1 (zh) * | 2018-08-03 | 2020-02-06 | 华为技术有限公司 | 对电子身份证的业务适用范围进行升级的方法和终端设备 |
CN110855441A (zh) * | 2018-08-20 | 2020-02-28 | 金联汇通信息技术有限公司 | 电子身份的认证方法、装置、设备及存储介质 |
CN110876144A (zh) * | 2018-08-30 | 2020-03-10 | 华为技术有限公司 | 一种身份凭证的移动应用方法、装置及*** |
CN112036861A (zh) * | 2020-08-31 | 2020-12-04 | 深圳市兆珑科技有限公司 | 一种安全设备 |
CN112105020A (zh) * | 2020-08-31 | 2020-12-18 | 上海方付通商务服务有限公司 | 贴膜卡的云端sdk***及其运行方法 |
CN114844648A (zh) * | 2022-04-25 | 2022-08-02 | 北京市商汤科技开发有限公司 | 数据验证方法、数据处理方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102799631A (zh) * | 2012-06-26 | 2012-11-28 | 公安部第三研究所 | 基于rest实现网络电子身份标识业务过程管理控制的方法 |
CN104951937A (zh) * | 2015-04-27 | 2015-09-30 | 上海浩恺信息科技有限公司 | 一种移动设备之间的鉴权方法和鉴权*** |
CN105868970A (zh) * | 2016-03-25 | 2016-08-17 | 联想(北京)有限公司 | 一种认证方法和电子设备 |
CN106161475A (zh) * | 2016-09-12 | 2016-11-23 | 沈书荣 | 用户鉴权的实现方法和装置 |
CN106330441A (zh) * | 2015-06-16 | 2017-01-11 | 北京源创云网络科技有限公司 | 可信时间信息的处理方法、设备和*** |
CN106790070A (zh) * | 2016-12-21 | 2017-05-31 | 杨宪国 | 基于鉴权装置的电子身份证认证服务*** |
-
2017
- 2017-12-14 CN CN201711340023.7A patent/CN108122112A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102799631A (zh) * | 2012-06-26 | 2012-11-28 | 公安部第三研究所 | 基于rest实现网络电子身份标识业务过程管理控制的方法 |
CN104951937A (zh) * | 2015-04-27 | 2015-09-30 | 上海浩恺信息科技有限公司 | 一种移动设备之间的鉴权方法和鉴权*** |
CN106330441A (zh) * | 2015-06-16 | 2017-01-11 | 北京源创云网络科技有限公司 | 可信时间信息的处理方法、设备和*** |
CN105868970A (zh) * | 2016-03-25 | 2016-08-17 | 联想(北京)有限公司 | 一种认证方法和电子设备 |
CN106161475A (zh) * | 2016-09-12 | 2016-11-23 | 沈书荣 | 用户鉴权的实现方法和装置 |
CN106790070A (zh) * | 2016-12-21 | 2017-05-31 | 杨宪国 | 基于鉴权装置的电子身份证认证服务*** |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110278084B (zh) * | 2018-03-16 | 2021-10-15 | 华为技术有限公司 | eID建立方法、相关设备及*** |
CN110278084A (zh) * | 2018-03-16 | 2019-09-24 | 华为技术有限公司 | eID建立方法、相关设备及*** |
CN108848496A (zh) * | 2018-06-12 | 2018-11-20 | 中国联合网络通信集团有限公司 | 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台 |
CN108881242A (zh) * | 2018-06-26 | 2018-11-23 | 北京小米移动软件有限公司 | 电子身份证的获取方法及装置 |
CN108881242B (zh) * | 2018-06-26 | 2021-05-18 | 北京小米移动软件有限公司 | 电子身份证的获取方法及装置 |
EP3817322A4 (en) * | 2018-08-03 | 2021-05-19 | Huawei Technologies Co., Ltd. | PROCESS FOR UPGRADING A SERVICE APPLICATION RANGE OF AN ELECTRONIC IDENTITY CARD, AND TERMINAL DEVICE |
WO2020024929A1 (zh) * | 2018-08-03 | 2020-02-06 | 华为技术有限公司 | 对电子身份证的业务适用范围进行升级的方法和终端设备 |
CN110795737A (zh) * | 2018-08-03 | 2020-02-14 | 华为技术有限公司 | 对电子身份证的业务适用范围进行升级的方法和终端设备 |
CN110855441B (zh) * | 2018-08-20 | 2022-12-02 | 金联汇通信息技术有限公司 | 电子身份的认证方法、装置、设备及存储介质 |
CN110855441A (zh) * | 2018-08-20 | 2020-02-28 | 金联汇通信息技术有限公司 | 电子身份的认证方法、装置、设备及存储介质 |
CN110876144A (zh) * | 2018-08-30 | 2020-03-10 | 华为技术有限公司 | 一种身份凭证的移动应用方法、装置及*** |
CN110876144B (zh) * | 2018-08-30 | 2023-07-11 | 华为技术有限公司 | 一种身份凭证的移动应用方法、装置及*** |
CN109558918A (zh) * | 2018-10-10 | 2019-04-02 | 山西特信环宇信息技术有限公司 | 一种证件链不动产电子证照***及其使用方法 |
CN109361697B (zh) * | 2018-11-29 | 2020-12-25 | 深圳市安信认证***有限公司 | 基于sim卡加载pki实现可信身份认证的方法 |
CN109361697A (zh) * | 2018-11-29 | 2019-02-19 | 深圳市安信认证***有限公司 | 基于sim卡加载pki实现可信身份认证的方法 |
CN109672683B (zh) * | 2018-12-25 | 2021-07-20 | 深圳市安信认证***有限公司 | 物联网设备的绑定方法、绑定装置及终端设备 |
CN109672683A (zh) * | 2018-12-25 | 2019-04-23 | 深圳市安信认证***有限公司 | 物联网设备的绑定方法、绑定装置及终端设备 |
CN112105020A (zh) * | 2020-08-31 | 2020-12-18 | 上海方付通商务服务有限公司 | 贴膜卡的云端sdk***及其运行方法 |
CN112036861A (zh) * | 2020-08-31 | 2020-12-04 | 深圳市兆珑科技有限公司 | 一种安全设备 |
CN112105020B (zh) * | 2020-08-31 | 2024-02-20 | 上海方付通科技服务股份有限公司 | 贴膜卡的云端sdk***及其运行方法 |
CN112036861B (zh) * | 2020-08-31 | 2024-05-10 | 百富计算机技术(深圳)有限公司 | 一种安全设备 |
CN114844648A (zh) * | 2022-04-25 | 2022-08-02 | 北京市商汤科技开发有限公司 | 数据验证方法、数据处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108122112A (zh) | 基于鉴权装置的电子身份证签发认证和安全支付*** | |
US8145899B2 (en) | Creation of user digital certificate for portable consumer payment device | |
CN105684346B (zh) | 确保移动应用和网关之间空中下载通信安全的方法 | |
CN105243313B (zh) | 用于对验证令牌的任何时候确认的方法 | |
CN103873244B (zh) | 基于指纹识别的移动支付中的身份认证方法和*** | |
US11562354B2 (en) | Terminal configuration server for the remote configuration of terminals | |
CN105991287B (zh) | 一种签名数据的生成及指纹认证请求方法及装置 | |
CN101222333B (zh) | 一种数据交易处理方法及设备 | |
CN105612543A (zh) | 用于为移动设备供应支付凭证的方法和*** | |
CN104301110A (zh) | 应用于智能终端的身份验证方法、身份验证设备和*** | |
CN104899741B (zh) | 一种基于ic银行卡的在线支付方法以及在线支付*** | |
CN108234385A (zh) | 一种用户身份认证方法及装置 | |
CN112889046A (zh) | 用于非接触卡的密码认证的***和方法 | |
JP2015537399A (ja) | モバイル決済のためのアプリケーションシステム及びモバイル決済手段を提供する及び用いるための方法 | |
KR20120108599A (ko) | 온라인 신용카드 결제 단말기를 활용한 신용카드 결제 서비스 | |
CN101916476A (zh) | 一种基于sd加密卡与近距离无线通信技术相结合的移动数据传输方法 | |
US20130061051A1 (en) | Method for authenticating electronic transaction, server, and terminal | |
CN106251145A (zh) | 电子支付***、电子支付设备及电子支付方法 | |
CN104835038A (zh) | 一种联网支付装置及方法 | |
TW201317911A (zh) | 雲端***交易系統及其交易方法 | |
JP7268279B2 (ja) | オンシェルフ取引デバイスのための非接触型支払として受付可能なセキュアなモバイル支払及びバックオフィスアプリケーションソリューション | |
JP2002279195A (ja) | 消費者システム及び暗証番号入力端末装置 | |
JPWO2003025771A1 (ja) | 認証端末装置、受付端末装置、認証サーバ、認証方法、及び認証システム | |
KR100501164B1 (ko) | 스마트 카드가 내장된 이동통신 단말기를 이용한인증/결제 시스템 및 방법 | |
JP4148465B2 (ja) | 電子価値流通システムおよび電子価値流通方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1250275 Country of ref document: HK |
|
AD01 | Patent right deemed abandoned | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20221018 |