CN110826043A - 一种数字身份申请***及方法、身份认证***及方法 - Google Patents
一种数字身份申请***及方法、身份认证***及方法 Download PDFInfo
- Publication number
- CN110826043A CN110826043A CN201810899070.3A CN201810899070A CN110826043A CN 110826043 A CN110826043 A CN 110826043A CN 201810899070 A CN201810899070 A CN 201810899070A CN 110826043 A CN110826043 A CN 110826043A
- Authority
- CN
- China
- Prior art keywords
- identity
- digital identity
- eid
- digital
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种数字身份申请***及方法、身份认证***及方法,属于数字身份技术领域。在该方案中,由于eID编码是由权威的可信平台签发的与用户的每种类型的身份实名信息唯一对应的数字身份,这样获得的数字身份是足够权威的,具有较高的安全等级,并且基于eID技术本身具有的特点可以提高数字身份的可靠性、安全性和有效性,降低数字身份被盗取、篡改、冒用的风险,确保用户的身份信息安全。通过纯线上的方式可以节约用户成本,从而可以提高申请和认证效率,以及,用户可以通过一个数字身份二维码实现多种证件的身份认证,实现了“多证合一、一码多证”的目的,无需在多个平台之间来回切换,操作更加快捷方便,效率更高。
Description
技术领域
本发明涉及数字身份技术领域,尤其涉及一种数字身份申请***及方法、身份认证***及方法。
背景技术
为了减少携带实体身份证明(例如身份证)的不便,推出了数字身份技术,即,将用户的身份证明以数字化身份信息的方式承载在某些载体(例如手机)上,当用户需要使用身份证明的时候,直接使用手机展示数字化身份信息即可,这样不仅可以省去携带实体身份证明的麻烦,还可以避免实体身份证明的遗失和盗用,提高用户的身份信息安全。
要使用数字身份技术,首先需要申请数字身份标识,进一步地还需要完善数字身份标识的认证使用流程,由于数字身份是用户较为重要的一种隐私信息,所以数字身份的安全性需要确保,同时为了数字身份方案的推广,数字身份的有效使用和便利操作也是一个值得思考的问题。
发明内容
本发明实施例提供一种数字身份申请***及方法、身份认证***及方法,用于提高数字身份的安全性和有效、方便操作,利于数字身份的推广使用。
一方面,提供一种数字身份申请***,所述***包括终端设备和数字身份管理平台;其中:
所述终端设备用于获得同一用户的至少两种类型的身份实名信息;并将数字身份签发请求和所述至少两种类型的身份实名信息发送给所述数字身份管理平台,其中,所述数字身份签发请求用于请求签发数字身份;
所述数字身份管理平台用于在获得所述数字身份签发请求后,将接收的所述至少两种类型的身份实名信息发送给可信平台,以使所述可信平台签发与所述至少两种类型的身份实名信息分别唯一对应的至少两个eID编码;接收所述可信平台发送的所述至少两个eID编码;以及根据所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
一方面,提供一种数字身份申请方法,所述方法包括:
接收终端设备发送的同一用户的至少两种类型的身份实名信息和数字身份签发请求,其中,所述数字身份签发请求用于请求签发数字身份;
将所述至少两种类型的身份实名信息发送给可信平台,以使所述可信平台签发与所述至少两种类型的身份实名信息分别唯一对应的至少两个eID编码;
接收所述可信平台发送的所述至少两个eID编码;
根据所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
一方面,提供一种数字身份申请方法,所述方法包括:
获得同一用户的至少两种类型的身份实名信息;
将所述至少两种类型的身份实名信息和数字身份签发请求发送给数字身份管理平台,以使所述数字身份管理平台将所述至少两种类型的身份实名信息发送给可信平台,以获得所述可信平台生成的与所述至少两种类型的身份实名信息分别唯一对应的至少两个eID编码;其中,所述数字身份签发请求用于请求签发数字身份;
接收所述数字身份管理平台发送的所述至少两个eID编码;
基于所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
一方面,提供一种身份认证***,所述***包括身份认证请求端、终端设备和数字身份管理平台;其中:
所述终端设备用于获得身份认证请求;并将所述身份认证请求发送给所述数字身份管理平台;其中,所述数字身份管理平台存储有若干个用户的数字身份标识,每个用户的数字身份标识包括至少两个eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;
所述数字身份管理平台用于基于所述身份认证请求,确定对应的目标数字身份标识;
所述身份认证请求端用于获取所述目标数字身份标识对应的目标eID编码;根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;并将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
一方面,提供一种身份认证方法,所述方法包括:
接收终端设备发送的身份认证请求;
基于所述身份认证请求,从存储的若干个用户的数字身份标识中确定对应的目标数字身份标识;其中,每个用户的数字身份标识包括至少两个网络电子身份标识eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;以使所述身份认证请求端获取所述目标数字身份标识对应的目标eID编码,根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;并将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
一方面,提供一种身份认证方法,所述方法包括:
获得与目标身份标识对应的目标网络电子身份标识eID编码,其中,所述目标身份标识是数字身份管理平台根据身份认证请求确定的,所述数字身份管理平台存储有若干个用户的数字身份标识,每个用户的数字身份标识包括至少两个eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;
根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;
将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
一方面,提供一种数字身份申请装置,所述装置包括:
第一接收模块,用于接收终端设备发送的同一用户的至少两种类型的身份实名信息和数字身份签发请求,其中,所述数字身份签发请求用于请求签发数字身份;
发送模块,用于将所述至少两种类型的身份实名信息发送给可信平台,以使所述可信平台签发与所述至少两种类型的身份实名信息分别唯一对应的至少两个eID编码;
第二接收模块,用于接收所述可信平台发送的所述至少两个eID编码;
生成模块,用于根据所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
一方面,提供一种数字身份申请装置,所述装置包括:
获得模块,用于获得同一用户的至少两种类型的身份实名信息;
发送模块,用于将所述至少两种类型的身份实名信息和数字身份签发请求发送给数字身份管理平台,以使所述数字身份管理平台将所述至少两种类型的身份实名信息发送给可信平台,以获得所述可信平台生成的与所述至少两种类型的身份实名信息分别唯一对应的至少两个eID编码;其中,所述数字身份签发请求用于请求签发数字身份;
接收模块,用于接收所述数字身份管理平台发送的所述至少两个eID编码;
生成模块,用于基于所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
一方面,提供一种身份认证装置,所述装置包括:
接收模块,用于接收终端设备发送的身份认证请求;
确定模块,用于基于所述身份认证请求,从存储的若干个用户的数字身份标识中确定对应的目标数字身份标识;其中,每个用户的数字身份标识包括至少两个网络电子身份标识eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;以使所述身份认证请求端获取所述目标数字身份标识对应的目标eID编码,根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;并将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
一方面,提供一种身份认证装置,所述装置包括:
获得模块,用于获得与目标身份标识对应的目标网络电子身份标识eID编码,其中,所述目标身份标识是数字身份管理平台根据身份认证请求确定的,所述数字身份管理平台存储有若干个用户的数字身份标识,每个用户的数字身份标识包括至少两个eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;
第一确定模块,用于根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;
发送模块,用于将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台认证所述待认证的eID编码是否有效。
一方面,提供一种服务器,所述服务器包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行上述各个方面所述的方法包括的步骤。
一方面,提供一种终端设备,所述终端设备包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行上述各个方面所述的方法包括的步骤。
一方面,提供一种存储介质,所述存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行上述各个方面所述的方法包括的步骤。
本发明实施例中,由于eID编码是由权威的可信平台签发的与用户的每种类型的身份实名信息唯一对应的数字身份,所以这样获得的数字身份是足够权威的,具有较高的安全等级,并且基于eID技术本身所具有的权威性、安全性、普适性和隐私性这几大特点,可以提高数字身份的可靠性、安全性和有效性,降低数字身份被盗取、篡改、冒用的风险,从而确保用户的身份信息安全。同时,通过纯线上的方式即可完成数字身份的申请,这样可以节约用户成本,申请更加便捷,从而可以提高申请效率,进一步地便于方案的推广。并且,用户可以通过一个数字身份二维码实现多种证件的身份认证,实现了“多证合一、一码多证”的目的,而无需在多个平台之间来回切换,操作更加快捷方便,效率更高,进而提升用户的使用体验,更利于方案的推广。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1A为本发明实施例中的数字身份申请方案适用的一种应用场景的示意图;
图1B为本发明实施例中的数字身份申请方案适用的一种应用场景的示意图;
图1C为本发明实施例中的数字身份申请方案适用的一种应用场景的示意图;
图2A为本发明实施例中的数字身份申请***的一架构图;
图2B为本发明实施例中的数字身份申请***的一架构图;
图2C为本发明实施例中的数字身份申请***的一架构图;
图3为本发明实施例中的数字身份申请方法的一交互图;
图4为本发明实施例中的终端设备的架构图;
图5为本发明实施例中的终端设备和手机的对应映射示意图;
图6为本发明实施例中在数字身份申请过程中,向微信客户端请求授权的示意图;
图7为本发明实施例中的活体验证示意图;
图8为本发明实施例中生成的数字身份二维码的示意图;
图9为本发明实施例中的数字身份申请方法的一交互图;
图10为本发明实施例中的身份认证方案适用的一种应用场景的示意图;
图11为本发明实施例中的身份认证方案适用的一种应用场景的示意图;
图12为本发明实施例中的身份认证方案适用的一种应用场景的示意图;
图13A为本发明实施例中的身份认证***的一架构图;
图13B为本发明实施例中的身份认证***的一架构图;
图13C为本发明实施例中的身份认证***的一架构图;
图13D为本发明实施例中的身份认证***的一架构图;
图14为本发明实施例中的身份认证方法的一交互图;
图15为本发明实施例中的身份认证方法的一交互图;
图16为本发明实施例中的数字身份申请装置的一结构框图;
图17为本发明实施例中的数字身份申请装置的一结构框图;
图18为本发明实施例中的身份认证装置的一结构框图;
图19为本发明实施例中的身份认证装置的一结构框图;
图20为本发明实施例中的服务器的结构示意图;
图21为本发明实施例中的终端设备的一结构示意图;
图22为本发明实施例中的终端设备的一结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”是用于区别不同对象,而非用于描述特定顺序。此外,术语“包括”以及它们任何变形,意图在于覆盖不排他的保护。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例中,“多个”可以表示至少两个,例如可以是两个、三个或者更多个,本发明实施例不做限制。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
以下对本文中涉及的部分用语进行说明,以便于本领域技术人员理解。
1、数字身份,是相对实体身份的概念,实体身份即为一些能够证明用户公民身份的实体物体,例如中国居民身份证、机动车驾驶证、港澳通行证、回乡证,等等,通过实体身份可以直接获得用户的明文身份信息,而数字身份可以理解为是将用户的身份信息以数字化信息的方式呈现,可以这样理解,数字身份是以实体身份证明为根本,基于密码学生成的一套公民网络证件身份信息的编码。
2、数字身份标识,即数字身份的信息化体现,也就是说,通过数字身份标识可以唯一确定一个用户的身份,数字身份标识例如是加密的字符串或规定位数的编码,等等,数字身份标识可以承载在一些载体上,例如可以由手机、平板电脑等移动终端承载,或者例如可以由客户识别模块(Subscriber Identity Module,SIM)卡、嵌入式用户识别模块(embedded Subscriber Identity Module,eSIM)芯片、银行卡、社保卡承载,等等。
3、实名信息,能够用于唯一标识一个用户的身份信息,例如一些可能的实名信息包括身份证号码、姓名和身份证号码、驾驶证编号、姓名和身份证号码和用户人脸图像,等等。
4、身份实名信息,可以按照上述实名信息相同的理解方式进行理解,换句话说,某个用户的身份实名信息可以唯一标识该用户。
5、eID编码,其中,eID是Electronic Identity的英文缩写,一种可能的中文翻译是网络电子身份标识,或者也可以翻译成公民网络电子身份标识,或者还可以包括其它可能的翻译方式。
eID是以公民的实体身份证明为根,以密码技术为基础,可以由“公安部公民网络身份识别***”基于密码算法签发给公民的数字标记(网络电子身份标识),在向用户签发eID时,例如是以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码,即用户的网络身份标识编码(eID编码),能够在***露身份信息的前提下在线远程识别身份,在确保签发给每个公民的数字身份唯一性的同时,可以减少公民明文的身份信息在网上的传播。
eID在权威性、安全性、普适性、私密性方面具有其它技术不可比拟的优势,可满足公民在个人隐私、网络交易及虚拟财产等多方面的安全保障需求。
权威性:eID由“公安部公民网络身份识别***”统一签发,极具权威性,可进行跨地域、跨行业的网络身份服务;
安全性:eID含有一对由智能安全芯片内部产生的非对称密钥,通过高强度安全机制确保其无法被非法读取、复制、篡改或使用;
普适性:eID不受载体物理形态的限制,只要载体中的安全智能芯片符合eID载体相关标准即可;
隐私性:eID的唯一性标识采用国家商用密码算法生成,不含任何明文的个人身份信息,可以有效保护公民身份信息。
目前的数字身份申请过程,例如网证,一般只能线上申请轻量级的黑白网证,而轻量级的黑白网证一般不能广泛地应用于商业应用,如果要实现该功能的话,则还需要用户携带实体身份证明(例如身份证)线下去政府部门规定的“可信终端”上实地激活,或者也可以携带实体身份证明去往政府部门规定的地点由工作人员进行面核后激活,从而升级为更高级别的彩色网证,可见,目前的数字身份申请过程包括线上、线下两部分,线下激活的用户成本较高,不利于用户使用和推广,并且整个过程中用户仍需要使用实体证件,存在证件遗失、信息泄露等风险。并且,目前各平台是利用平台自身的加密技术对用户的身份信息进行签名后得到对应的数字身份,这样本地加密的方式权威性不高,可靠性低,导致用户的数字身份容易被篡改甚至盗取,数字身份的安全性较低。
另外,目前的数字身份申请方案中,针对每种实体身份证明只能生成相互独立的数字身份,例如某一平台只能申请对应于身份证号码的数字身份,而另一平台只能申请对应于驾驶证编码的数字身份,所以当需要使用不同证件类型的数字身份时需要在不同平台之间来回切换,使用不方便,操作效率较低。
通过对现有技术进行分析,本发明的发明人发现现有的数字身份申请过程由于需要线下激活,所以会花费用户较多的时间,用户成本较高,这是不利于使用和推广的原因之一,同时由于其可靠性和有效性较低,这是不利于使用和推广的原因之二,再者,由于其受到实体身份证明类型的限制,导致数字身份的使用过于局限,用户使用起来也不方便,操作效率较低,这是不利于推广的原因之三。鉴于此,本发明人考虑到若采用纯线上申请的方式则可以省去如现有技术中的线下激活升级,从而可以在一定程度上减少用户成本,同时,本发明人还考虑到通过权威机构签发数字身份的方式来提高数字身份的可靠性和有效性,从而可以尽量确保用户的隐私信息安全,并且,本发明人考虑到eID技术,由于这是权威性较高的数字身份签发技术,所以可以利用该技术来提高可靠性和有效性。此外,为了提高操作效率,本发明人考虑将基于多种实体身份证明生成的多个数字身份通过同一个数字身份标识来承载,即实现“多证合一”的目的,这样当需要使用不同的数字身份时,也无需用户手动地在多个平台之间来回切换,而是由一个平台自动识别,进而可以更方便用户操作,提高操作的有效性和操作效率。
根据上述分析和考虑,本发明人设计了一种利用eID技术实现纯线上申请多种数字身份合一的技术方案,基于eID技术本身的特点,可以提高数字身份的可靠性、安全性和有效性,降低数字身份被盗取、篡改、冒用的风险,确保用户的身份信息安全,同时由于采用纯线上申请的方式可以省去用户的实地操作,大幅度地降低用户成本,同时还可以避免携带实体证件进行线下激活而导致的证件遗失等风险,增强了方案的普适性,所以更利于使用和推广。以及,采用将多种类型的身份实名信息对应的多种数字身份以同一数字身份标识来承载,例如将身份证号码对应的和数字身份和港澳通行证对应的数字身份均由同一个二维码来承载,从而实现“一码多证”的目的,那么用户在使用这两种数字身份的时候就只使用一个二维码即可,而无需像现有技术那样需要在不同的平台之间来回切换,所以可以在一定程度上提高用户操作的效率和便利。
在介绍完本发明实施例的设计思想之后,下面对本发明实施例中的数字身份申请方案适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本发明实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本发明实施例提供的技术方案。
请参见图1A,图1A为本发明实施例中的数字身份申请方案适用的一种应用场景,在该应用场景中包括终端设备101、终端设备102、服务器103和服务器104,其中,终端设备101与用户1对应,即可以理解为终端设备101是用户1所使用,终端设备102与用户2之间的关系亦可以如此理解,终端设备101通过网络能够与服务器103进行信息交互,类似地,终端设备102也可通过网络与服务器103信息交互,具体地,终端设备101和终端设备102可以通过同一网络与服务器103交互,例如通过同一无线保真(Wireless Fidelity,WiFi)网络与服务器103通信,或者也可以通过不同的网络(例如两个不同的WiFi网络或者各自的移动通信网络)分别与服务器103进行通信,图1A中是以两者以不同的网络与服务器103进行通信为例进行图示说明。另外,服务器103还可以通过网络与服务器104通信,例如服务器103可以通过公安网络向服务器104发送多个用户的多种类型的身份实名信息,以请求服务器104为多个用户签发数字身份,具体来说,是请求服务器104为每个用户的每一种类型的身份实名信息均唯一生成对应的eID编码,以确保数字身份的权威性和唯一性,所以在实际中,可以将服务器103理解为是能够进行数字身份申请和管理的平台,例如后文中介绍的数字身份管理平台,以及可以将服务器104理解为是能够基于eID编码技术为用户签发数字身份的官方权威机构,例如公安部第三研究所(即公安部三所)。
终端设备101和终端设备102中均可以安装并运行有数字身份管理客户端,终端设备101和终端设备102与服务器103之间的交互具体来说可以是指通过其中安装的数字身份管理客户端与服务器103之间进行信息交互,该数字身份管理客户端可以是一种应用程序(Application,APP),该应用程序可以是一个独立的APP,或者也可以是以小程序方式运行在其它平台上的小程序,或者也可以是某个APP中嵌入的功能模块,例如是运行在微信上的能够申请数字身份的小程序,或者也可以是嵌入在支付宝中的能够申请数字身份的功能模块,等等,而对应的,服务器103可以看作是该数字身份管理客户端所维护的后台服务器。
再参见图1B,图1B为本发明实施例中的数字身份申请方案适用的另一种应用场景,相对于图1A来说,图1B中增加了服务器105,服务器103可以通过网络与服务器105进行通信,继续上述用户1通过终端设备101申请数字身份的例子来说,在将用户1的每种类型的身份实名信息发送给服务器104生成eID编码之前,服务器103还可以将该每种类型的身份实名信息发送给服务器105以通过服务器105判断该每种类型的身份实名信息是否是真实有效的身份实名信息,由于服务器105具有验证用户的身份实名信息是否是真实有效的平台,在一种可能的理解方式中,可以将服务器105理解为是公安部人口查询中心的后台服务器,那么此时可以对用户的身份证号码进行有效性验证,或者在另一种可能的理解方式中,可以将服务器105理解为是交通管理部门中的驾驶证查询中心的后台服务器,那么此时可以对用户的驾驶证编号进行有效性验证,或者根据身份实名信息的类型不同,服务器105还可以对应理解为是其它官方权威机构中部署的服务器,等等。由于在服务器105中存储有绝大多数公民的相应类型的身份实名信息,所以通过该方式,服务器103可以在将各种类型的身份实名信息发送给服务器104之前确保其是真实的、合法的,以确保信息的真实性和有效性,同时也可以使得数字身份的申请是真实的用户申请。
再参见图1C,图1C为本发明实施例中的数字身份申请方案适用的另一种应用场景,相对于图1B来说,图1C中的服务器104和服务器105之间也可以进行通信,还是继续上述用户1通过终端设备101申请数字身份的例子,基于服务器104和服务器105之间的通信连接,公安部人口查询中心与公安部三所之间是可以进行信息交互的,例如通过公安部内部网络进行信息交互,以便于不同部门之间进行业务协作,例如在一种可能的情形中,服务器104在接收服务器103所发送的用户的身份证号码之后,为了确保该身份证号码是真实有效的(因为在实际中用户1可能利用伪造的身份证号码进行恶意申请),服务器104也可以采用前述的方式将获得的身份证号码发送给服务器105进行二次核验,进一步确保申请的真实性和有效性。
前述的终端设备101和终端设备102可以是手机、平板电脑、掌上电脑(PersonalDigital Assistant,PDA),笔记本电脑、智能穿戴式设备(例如智能手表和智能手环)、个人计算机,等等,无论是哪种设备,在该设备中均可以运行数字身份管理客户端,进而使得用户能够通过该数字身份管理客户端申请数字身份。以及,前述的服务器103、服务器104和服务器105均可以是个人计算机、大中型计算机、计算机集群,等等。
为进一步说明本发明实施例提供的数字身份申请方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本发明实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本发明实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的应用环境)。
请参见图2A所示,本发明实施例提供一种数字身份申请***,该数字身份申请***包括终端设备和数字身份管理平台;或者如图2B所示的,本发明实施例提供的数字身份申请***包括终端设备、数字身份管理平台和可信平台;或者如图2C所示的,本发明实施例提供的数字身份申请***包括终端设备、数字身份管理平台、可信平台和权威查询平台。其中,终端设备例如可以是前述的终端设备101或终端设备102,该终端设备中安装运行有数字身份管理客户端,数字身份管理平台例如可以是前述的服务器103,用于对多个用户的数字身份签发请求进行响应,而可信平台例如可以是前述的服务器104,可信平台可以基于用户的各种类型的身份实名信息均生成唯一对应的eID编码,权威查询平台例如是前述的服务器105,例如公安部人口查询中心或交通管理部门中的驾驶证查询中心用于对不同类型的身份实名信息进行有效性检验。
本发明实施例中的数字身份申请***例如可以是前述的图1A-图1C中的任意一种应用场景所包括的所有设备所组成的***,此处就不再一一说明了。
以下结合图3所示的本发明实施例中的数字身份申请方法的交互图对本发明实施例中的数字身份申请方案进行说明。
步骤301:终端设备获得同一用户的至少两种类型的身份实名信息。
在实际中,用户可以具有多种类型的身份实名信息,每种类型的身份实名信息即为一种实体身份证明对应的身份实名信息,举例来说,针对同一用户,该用户可以具有身份证、驾驶证、港澳通行证、回乡证、护照等多种类型的实体证件,而对于每一种实体身份证件均包括有对应的身份实名信息,以身份证为例,与身份证对应的身份实名信息比如包括姓名、身份证号码和家庭住址,再以驾驶证为例,与驾驶证对应的身份实名信息比如包括姓名、驾驶证编号、对应的身份证号码、出生日期和家庭住址,也就是说,对于每一种身份证件均具有对应的身份实名信息,而本发明实施例中是将不同身份证件对应的身份实名信息称作不同类型的身份实名信息,而至少两种类型的身份实名信息即包括至少两种身份证件所对应的多种身份实名信息。
当用户需要申请数字身份时,可以将需要申请的对应类型的身份实名信息输入到终端设备,或者,终端设备可以利用终端设备中用户平常使用的一些应用的数据收集功能来自动采集用户需要申请的对应类型的身份实名信息,为了实现“多证合一、一码多证”的目的,所以可以获得同一用户的至少两种类型的身份实名信息,例如获得了身份证对应的身份实名信息和驾驶证对应的身份实名信息。
步骤302:终端设备将至少两种类型的身份实名信息和数字身份签发请求发送给数字身份管理平台,然后,数字身份管理平台接收该至少两种类型的身份实名信息和数字身份签发请求。
本发明实施例中,考虑到用户的便捷使用,可将数字身份的申请入口设置为一个软件模块,例如设计成一种客户端(例如称作数字身份管理客户端)的形式安装在终端设备中以便于用户直接使用。在具体实施过程中,数字身份管理客户端可以是以独立的APP运行在终端设备中,用户要使用数字申请功能则需要先下载安装包并将其安装在终端设备中,或者,数字身份管理客户端还可以以小程序的方式运行在终端设备中,即依托于其它APP而无需安装即可使用,例如参见图4所示的本发明实施例中的终端设备,可见其包括操作***、数字身份管理客户端和小程序管理客户端,其中,小程序管理客户端可以用于承载和管理多个小程序的运行,此时数字身份管理客户端可以小程序的方式运行在小程序客户端中,并且小程序管理客户端和数字身份管理客户端均设置有与操作***交互的接口,这样终端设备可以使用操作***的能力实现对小程序管理客户端和数字身份管理客户端的监控和管理,同时,数字身份管理客户端和小程序管理客户端之间也能调用底层接口通信交互,例如一种具体的交互情形是:数字身份管理客户端调用交互接口请求小程序管理客户端授权,进而基于授权可以获得小程序管理客户端对应账户的注册信息和其支付账户的绑卡信息,例如,可以获得小程序管理客户端的注册手机号和账户标识,以及可以获得小程序管理客户端的支付账户绑定的银行卡***,以及对应该银行卡***的相关用户信息,等等。
为了便于阅读者直观理解,再以图5所示的终端设备和手机的对应映射示意图进行说明,即,当以终端设备是运行安卓操作***(Operating System,OS)的手机为例时,可以将终端设备中的小程序管理客户端看作是手机中运行的微信客户端,以及可以将终端设备中的数字身份管理客户端看作是ABC客户端,其中的ABC客户端是根据本发明实施例提供的数字身份申请方案所设计的数字身份管理客户端,本发明实施例只是为了便于描述而将其以ABC客户端进行示意性的举例命名,所以在具体实施过程中,还可以是其它的名称,凡是其根据本发明实施例提供的数字身份申请方案所设计的数字身份管理客户端均应在本发明实施例的保护范围之内。
由于微信能够实现小程序的功能,所以图5中所示的ABC客户端也可以是小程序的方式运行,并且ABC客户端可以与微信客户端进行底层通信,以及ABC客户端和微信客户端均可以与手机的安卓OS进行通信。
在介绍了本发明实施例中的终端设备之后,继续说明步骤302中的数字身份签发请求,在一种可能的方式中,用户打开手机中的ABC客户端并点击开始申请按钮,手机即可相应地确定出数字身份签发请求,在另一种可能的方式中,用户通过ABC客户端的交互接口请求微信客户端授权时,手机即可相应地确定出数字身份签发请求,再在另外的一些可能的方式中,用户还可以通过特定语音或特定手势或其它特定方式来触发数字身份的申请,对应地,终端设备在检测到这些特定操作之后即可确定出对应的身份签发请求。
进一步地,在获得了数字身份签发请求之后,终端设备则将至少两种类型的身份实名信息发送给数字身份管理平台,以请求进行数字身份的签发。
另外,考虑到小程序这种便捷的呈现方式,当ABC客户端是以小程序的方式运行在微信客户端中时,可以通过向微信客户端请求授权进而获得微信客户端对应的相关信息,一种可能的授权示意图如图6所示,可见通过授权ABC客户端可以获得微信绑定的手机号,即微信注册时所绑定的手机号。另外,在ABC客户端向微信客户端发起授权请求时,终端设备还可以判断微信客户端的登录是否失效,如果失效的话那么自然也就无法接受ABC客户端的授权请求,所以此时可以向ABC客户端发送微信客户端登录失效的通知,并且在微信客户端恢复登录时,再向ABC客户端发送恢复登录的通知,以此方式可以增加微信客户端与ABC客户端之间的交互性能,提高交互有效性和及时性。
步骤303:数字身份管理平台将至少两种类型的身份实名信息发送给权威查询平台进行有效性验证,以通过权威查询平台对至少两种类型的身份实名信息进行有效性的核验。
需要说明的是,权威查询平台可以包括一个或多个查询平台,不同的权威查询平台可以查验不同类型的身份实名信息,例如前述的公安部人口查询中心可以对身份证对应的身份实名信息进行核验,以及前述的交通管理部门的驾驶证查询中心可以对驾驶证对应的身份实名信息进行核验,所以,在本发明实施例中,数字身份管理平台可以根据身份实名信息的具体类型向相应的权威查询平台发送对应的身份实名信息以分别针对每种类型的身份实名信息进行有效性地核验。
步骤304:权威查询平台对至少两种类型的身份实名信息进行有效性验证。
步骤305:权威查询平台向数字身份管理平台发送确认有效的查询反馈。
以公安部人口查询中心为例,在获得数字身份管理平台发送的身份实名信息之后,可以将其与自身存储的公民信息库进行比对查找,如果在该公民信息库中查找到对应的用户信息,那么则可以确定数字身份管理平台发送的身份实名信息是真实存在的,即表明是真实用户的身份实名信息,进而则向数字身份管理平台发送确认有效的查询反馈。
另外,在进行身份实名信息核验的过程中,数字身份管理平台还可以向终端设备发送活体验证指示,该活体验证指示用于指示用户进行人体活体验证,进一步地,终端设备在获得该活体验证指示之后,则会输出活体验证请求,例如以语音或者文字的形式提示用户需要进行人体活体验证,并且采用一种活体验证方式准确对用户进行活体验证,而在获得终端设备输出的活体验证请求之后,用户则可以对着终端设备,例如根据终端设备的指示对准终端设备的摄像头眨眼睛、朗读一段字符或数字、向多个方向转头等方式进行活体验证,例如图7所示的活体验证示意图,终端设备可以基于预设的活体验证策略来判断当前用户是否是活体,在确定是活体时,则向数字身份管理平台发送活体确认信息,以告知数字身份管理平台当前的用户确实是活体。通过活体验证的方式可以在一定程度上检验用户是活人、真人,确保数字身份申请的有效性。
同时,在进行活体验证的过程中,终端设备还可以获得用户的人脸图像,并将获得的人脸图像发送给数字身份管理平台,那么在步骤304中数字身份管理平台则可以将获得的人脸图像和身份实名信息一起发送给权威查询平台进行身份信息和人脸样貌的双重核验,进一步地增加核验的有效性。
针对身份实名信息的另外一种可能的核验方式,还可以先获得微信客户端的绑定手机号,即注册微信客户端时的手机号,然后再通过数字身份管理平台向该手机号发送短信验证码,同时终端设备可以通过数字身份管理客户端展示验证界面(即短信验证界面),若是真实的合法用户的话,则可以获得短信验证码并在该短信验证界面中输入获得的短信验证码以完成短信验证,通过短信验证的方式也可以确定是用户本人、真人的自愿的申请意愿,进而可以提高数字身份申请的有效性。
在具体实施过程中,还可以采用其它的一些验证方式来确保申请意愿的真实性和有效性,本发明实施例就不再一一列举了。
步骤306:无论通过哪种方式确定至少两种类型的身份实名信息是有效的之后,数字身份管理平台则将该至少两种类型的身份实名信息发送给可信平台(如公安部三所),以通过可信平台签发数字身份,例如签发eID编码。
可信平台在接收数字身份管理平台发送的至少两种类型的身份实名信息之后,确定用户希望基于该至少两种类型的身份实名信息签发数字身份,但是,可信平台可能对数字身份管理平台发送的相关信息持有怀疑,所以为了确保信息的有效性,可信平台也还可以对获得的身份实名信息进行进一步地核验。
步骤307:可信平台的一种可能的核验方式是,将获得的至少两种类型的身份实名信息发送给权威查询平台,以通过权威查询平台对该至少两种类型的身份实名信息进行再一次的核验。
步骤308:权威查询平台对可信平台发送的至少两种类型的身份实名信息进行有效性验证。
步骤309:权威查询平台向可信平台发送确认有效的查询反馈。
在具体实施过程中,步骤307-步骤309与步骤303-步骤305的实施方式可以是相同的,可以参照理解,此处就不再重复说明了。
步骤310:可信平台在获得权威查询平台发送的确认有效的查询反馈后,则确认数字身份平台发送的至少两种类型的身份实名信息均是可信的,进而基于自有的加密算法将该至少两种类型的身份实名信息分别处理为一唯一对应的eID编码,以得到分别对应于至少两种类型的身份实名信息的至少两个eID编码,进而完成对用户的数字身份的签发。
由于可能同时向数字身份管理平台返回多个eID编码,为了便于数字身份管理平台对多个eID编码进行区分,即能够知晓每个eID编码到底是对应于哪种证件的eID编码,在本发明实施例中,可信平台在向数字身份管理平台返回多个eID编码之前,还可以根据每种类型的身份实名信息,为对应的eID编码添加匹配的证件类型标识,因为一般eID编码是有固定的格式和长度,那么例如可以在eID编码的头部或者尾部增加3个字节以表征该eID编码对应的证件类型,例如以000表示身份证,以001表示驾驶证,以010表示港澳通行证,以011表示护照,以100表示回乡证,等等,增加的字节总数与一般可承载的证件类型的数量有关,例如如果只承载4种类型的证件,那么则可以只新增2个字节,则可以分别以00、01、10和11来分别表示这4种不同类型的证件。
需要说明的是,上述只是以新增字节以表示证件类型的方式来说明为每个eID编码设置的证件类型标识,在实际中还可以采用其它的方式进行标识设置,此处就不再一一举例了,总的来说,可信平台为每个eID编码设置的证件类型标识的方式可以是与数字身份管理平台提前约定好的,所以当数字身份管理平台在获得设置了证件类型标识的eID编码之后,虽然无法对eID编码本身进行解码识别,但是可以按照约定的解码方式确定出每个eID编码中包括的证件类型标识,从而实现对每个eID编码的证件类型的对应识别。
在一种可能的实施方式中,可信平台可以将生成的多个eID编码直接发送给数字身份管理平台,即各个eID编码之间是相互独立的,这样便于数字身份管理平台对各个eID编码按照自己的使用需求进行处理,并且各个eID编码之间不会相互影响。
在另一种可能的实施方式中,可信平台还可以先将生成的多个eID编码以预定组合规则组合成一串eID编码,例如按照首尾相接的方式组合成一串eID编码,该一串eID编码则是包括前述的多个eID编码,并且在每个连接的位置以一定的标识进行区分,这样的话,可信平台最终发送给数字身份管理平台的eID编码就是一串连接组合后的eID编码,通过组合的方式可以将多个eID编码进行物理上的绑定,以便于对多个eID编码进行统一的管理和处理,比如可以直接将组合后的一串eID编码发送给其它设备,或者可以直接根据组合后的一串eID编码生成数字身份标识,或者可以直接删除组合后的一串eID编码,相当于就是可以减少操作次数。
步骤311:无论可信平台对生成的多个eID编码进行了何种处理(当然在实际中也可以不进行任何处理),例如进行了前述的添加证件类型标识的处理,或者进行了前述的组合处理,在处理之后,可信平台会将处理后的eID编码发送给数字身份管理平台,以便于数字身份管理平台获得可信平台签发的数字身份,进而可以根据可获得的数字身份生成相应的数字身份标识。
步骤312:数字身份管理平台在接收可信平台返回的多个eID编码之后,则可以根据接收的多个eID编码生成用户的数字身份标识,也就是说,数字身份管理平台最终生成的数字身份标识则包括与前述的至少两种类型的身份实名信息对应的多个eID编码,从而实现一个数字身份标识承载多个eID编码的目的。
在具体实施过程中,数字身份标识的具体呈现形式例如可以直接是eID编码,或者可以是加密后的eID编码,或者可以是包括eID编码或加密后的eID编码的二维码,或者还可以是其它的呈现方式,其中,二维码的呈现方式便于后续在使用数字身份进行线下身份认证时的线下扫码使用。基于多种不同的呈现方式,数字身份管理平台可以按照预定生成方式,根据接收到的多个eID编码生成数字身份标识,利用一个数字身份标识承载多个eID编码,实现一个数字身份标识承载多种证件对应的身份实名信息,实现“多证合一”的目的,例如生成的数字身份标识是数字身份二维码,如图8所示,那么则可以通过一个数字身份二维码承载多种证件对应的身份实名信息,以此实现“一码多证”的目的,在此基础上,用户可以通过一个数字身份二维码实现多种证件的身份认证,无需在多个平台之间来回切换,操作更加快捷方便,效率更高,进而提升用户的使用体验,更利于方案的推广。
此外,数字身份管理平台还可以将接收的多个eID编码直接发送给终端设备,或者也可以将加密后的eID编码发送给终端设备,具体来说,例如可以发送给终端设备的数字身份管理客户端。进一步地,终端设备在接收多个eID编码之后,也可以像数字身份管理平台一样,根据接收的多个eID编码生成用户的数字身份标识,并且为了便于线下直接扫码进行身份认证,终端设备中生成的数字身份标识可以以二维码的方式呈现,生成的二维码例如也如图8所示。在终端设备中以二维码的方式呈现用户的数字身份,可以直接作为线下身份认证的数字身份凭证,便于终端用户的直接扫码使用,操作比较方便。
无论是数字身份管理平台还是终端设备生成的数字身份二维码均可以定时刷新,例如每间隔10秒刷新一次,或者可以根据用户的触发手动刷新,通过刷新的方式可以减少数字身份二维码被盗刷的可能,刷新的实质例如是更改二维码的呈现样式,或者在每次更新的二维码中添加进更新的时间,等等。另外,本发明实施例中的数字身份二维码可以禁止截图,例如,如果终端设备的当前界面展示的是数字身份二维码,如果检测到截屏指令之后则可以不响应该截屏指令,并且输出禁止截屏的提示信息,或者,还可以在检测到截屏时则令当前的数字身份二维码失效,并重新生成新的数字身份二维码,通过一系列的方式可以防止数字身份二维码的动态刷新,减少复制盗用,确保信息的安全。
由于eID编码是由权威的可信平台签发的与用户的每种类型的身份实名信息唯一对应的数字身份,所以这样获得的数字身份是足够权威的,具有较高的安全等级,并且基于eID技术本身所具有的权威性、安全性、普适性和隐私性这几大特点,可以提高数字身份的可靠性、安全性和有效性,降低数字身份被盗取、篡改、冒用的风险,从而确保用户的身份信息安全。
同时,通过纯线上的方式即可完成数字身份的申请,这样可以节约用户成本,申请更加便捷,从而可以提高申请效率,进一步地便于方案的推广。
步骤313:在另一种可能的实施方式中,在根据接收的多个eID编码生成数字身份标识之后,数字身份管理平台还可以生成与数字身份标识对应的授权凭证,例如生成一个token编码,并且可以按照预定更新周期或者根据用户的触发动态地更新该授权凭证,也就是说,该授权凭证可以是动态变化的。
步骤314:数字身份管理平台将生成的授权凭证发送给终端设备,由于授权凭证可能是动态变化的,那么在每次更新授权凭证之后则可以将更新后的授权凭证再次发送给终端设备。
步骤315:终端设备接收数字身份管理平台发送的授权凭证,并且可以根据首次接收的授权凭证生成用户的数字身份二维码,即此时生成的数字身份二维码中并不包含eID编码而只包括授权凭证。
进一步地,在接收到更新后的授权凭证后,终端设备可以基于再次接收的授权凭证对之前所生成的数字身份二维码进行更新,即将新的授权凭证添加到更新后的数字身份二维码中。
可以将授权凭证理解为是一把从数字身份管理平台处获取eID编码的钥匙,后续谁需要eID编码时则可以拿着这把钥匙向数字身份管理平台请求索要。例如在数字身份管理客户端中生成包括token编码的二维码之后,需要对用户进行身份认证的商户则可以扫描该二维码进而获得token编码,然后再将获得的token编码发送给数字身份管理平台以请求索要对应的eID编码。
由于终端设备主要是用于前台交互,终端设备的安全性一般是不及后台的服务器(例如数字身份管理平台)的,所以为了确保eID编码的安全,在前台展示和传输中采用了授权凭证的保护机制,这样在前端则不用直接展示eID编码,因为前端信息是很容易被盗取的,所以通过前端的授权凭证去后台查找对应的eID编码的方式可以尽量确保eID编码的安全。
步骤316:数字身份管理平台删除前述的用于生成用户的数字身份标识的至少两种类型的身份实名信息。
也就是说,在获得eID编码之后,数字身份管理平台可以及时地将用于生成eID编码的身份实名信息删除,这样是为了尽量不在平台上保存用户的实名信息,以防实名信息被盗取和非法利用,最大限度地确保用户的隐私信息安全。
在具体实施过程中,一旦数字身份管理平台获得可信平台发送的eID编码之后就可以将与该eID编码对应的身份实名信息删除,通过及时删除的处理方式可以尽量减少用户的实名信息在平台上的保存时长,从而最大程度上降低用户的实名信息被盗取的风险。
根据上述介绍,通过数字身份管理平台则完成了一个用户的多种类型的身份实名信息的数字身份的申请及签发,在实际中,还可以采用相似的方式为其它用户申请和签发包括多种证件信息的数字身份,或者也可以为已经申请了数字身份的用户再重新申请新的数字身份,也就是说,数字身份管理平台相当于是一个申请和管理众多用户的数字身份的平台,该平台可以存储多个用户的数字身份标识,并且每个用户的数字身份标识中可以包括一种或多种类型的身份实名信息,由于该平台是完全基于纯线上的方式完成数字身份的申请,申请完成后马上即可使用,而无需像现有技术那样还需要用户线下去激活升级,所以用户成本大幅降低,使得方案的普适性更广,更利于实际应用和推广。
本发明实施例中在申请包括多个eID编码的数字身份标识的过程中,数字身份管理平台(或者终端设备)可以一次性获得多个eID编码,然后再根据一起接收的多个eID编码直接生成数字身份标识。
在实际中的一种情形,用户每次申请可能只会使用一种类型的身份实名信息,例如用户张三在2018年7月28日利用身份证第一次申请了数字身份标识,而在2018年8月1日通过驾校考试取得驾驶证之后,则希望将新取得的驾驶证也申请数字身份标识,那么采用本发明实施的方案即可将身份证和驾驶证分别对应的身份实名信息均添加到一个数字身份标识中,即通过一个数字身份标识同时承载身份证和驾驶证分别对应的身份实名信息,为了便于理解,以下结合图9和前述的例子对前述这种分次将不同类型的身份实名信息添加到同一个数字身份标识中的过程进行说明。
步骤901:终端设备获得用户的第一种类型的身份实名信息,例如,终端设备在2018年7月28日获得了张三的身份证对应的身份实名信息,其中的张三的身份证对应的身份实名信息即可理解为是第一种类型的身份实名信息。
步骤902:终端设备将获得的第一种类型的身份实名信息和第一数字身份签发请求发送给数字身份管理平台。其中,第一数字身份签发请求用于请求签发与第一种类型的身份实名信息唯一对应的eID编码。
步骤903:数字身份管理平台在接收终端设备发送的第一种类型的身份实名信息和第一数字身份签发请求之后,则将第一种类型的身份实名信息发送给可信平台,以请求可信平台签发与该第一种类型的身份实名信息唯一对应的eID编码。
步骤904:可信平台生成与第一种类型的身份实名信息唯一对应的eID编码,例如称作第一eID编码。
步骤905:可信平台将生成的第一eID编码发送给数字身份管理平台。
步骤906:数字身份管理平台根据接收的第一eID编码生成用户的数字身份标识,可以这样理解,此时生成的数字身份标识中包括第一eID编码。
步骤907:终端设备再获得用户的第二种类型的身份实名信息,继续前述例子,即终端设备在2018年8月1日获得了张三的驾驶证对应的身份实名信息,其中的张三的驾驶证对应的身份实名信息即可理解为是第二种类型的身份实名信息。
步骤908:终端设备将获得的第二种类型的身份实名信息和第二数字身份签发请求发送给数字身份管理平台。其中,第二数字身份签发请求用于请求签发与第二种类型的身份实名信息唯一对应的eID编码。
步骤909:数字身份管理平台在接收终端设备发送的第二种类型的身份实名信息和第二数字身份签发请求之后,则将第二种类型的身份实名信息发送给可信平台,以请求可信平台签发与该第二种类型的身份实名信息唯一对应的eID编码。
步骤910:可信平台生成与第二种类型的身份实名信息唯一对应的eID编码,例如称作第二eID编码。
步骤911:可信平台将生成的第二eID编码发送给数字身份管理平台。
步骤912:在接收可信平台发送的第二eID编码之后,数字身份管理平台则确定用户希望将多个证件对应的身份实名信息以同一个数字身份标识承载,所以数字身份管理平台则根据新接收的第二eID编码更新步骤906中生成的数字身份标识,具体来说,就是将第二eID编码也添加到之前已经生成的数字身份标识之后,经过步骤912的更新操作,使得更新后的数字身份标识中同时包括第一eID编码和第二eID编码,从而实现“多证合一”的目的。
在整个申请过程中,还可以根据预定风险确定策略来确定数字身份签发请求的风控等级,具体来说,可以由数字身份管理平台通过接口调用微信后台服务器的风控接口来实现风控等级的判断,因为目前微信后台服务器已经具备较为成熟的风控技术,通过这种方式可以无需对数字身份管理平台进行额外的改进,风控成本较低,进一步地,再基于确定的风控等级对应的安全验证方式进行安全验证,假设风控等级为1级,对应的安全验证方式是短信验证,又假设风控等级为4级,对应的安全验证方式是短信验证加人体活体验证,等等,在采用对应的安全验证方式进行验证并在验证通过之后,数字身份管理平台才将前述的身份实名信息和数字身份签发请求发送给可信平台以请求eID编码。
本发明实施例通过风控策略对整个申请流程进行风险监控,可以在申请流程的各个阶段都尽量避免风险,以提高申请流程的安全性。
同时,在整个申请过程中,还可以先获得终端设备的设备标识和数字身份管理客户端(例如前述的ABC客户端)的客户端标识,其中设备标识例如是国际移动设备识别码(International Mobile Equipment Identity,IMEI)或者介质访问控制(Media AccessControl,MAC)地址,客户端标识例如是小程序的open id,等等。
若确定设备标识和客户端标识满足预设条件则表明当前的存在安全风险,例如发现客户端标识短时间内在其它设备上错误登录的次数达到阈值那么则可以确定满足预设条件,此时则表明有盗号的风险,例如黑客在试图盗取数字身份客户端的账户以冒用其中的eID编码,此时认为风险较大,所以可以输出风险提示信息,以提示用户前述生成的数字身份标识被异常使用,或者可以直接提示用户注销原来的数字身份标识再重新申请,等等,在具体实施过程中,根据风险级别的不同,还可以对用户进行其它提示,此处就不再展开说明了,通过设备标识和客户端标识的方式可以确定风险进而进行有效提示,可以在一定程度上避免风险,并且还可以在出现较为严重的风险情况时(例如被盗号)后及时第进行有效处理,以尽量降低损失。
进一步地,由于现有技术中的数字身份申请方案只能在各个平台上承载不同的数字身份,对应的,在身份验证时也,在一个平台上也就只能对用户的特定类型的身份实名信息进行验证,比较局限,灵活性较差,不利于推广使用,而对于针对现有技术的数字身份申请流程提出的本发明实施例中的数字申请技术方案,对应的,本发明实施例还提供一种身份认证方案,用于通过“多证合一”的数字身份承载方式实现对用户的身份的灵活验证,使用场景更丰富,也更利于使用和推广。
本发明实施例中的身份认证方案可以应用于任一需要进行实名认证的场景,例如工商注册时的实名认证、实名寄快递、酒店实名入住、网吧实名上网认证、购买各种交通票务(比如飞机票、高铁票、轮渡票、火车票、汽车票)的实名认证、图书馆实名办理读者证或者借书证、参观博物馆展览的实名认证、银行申请银行卡(银行开户)、证券业务、购买保险、买房等各种需要进行实名认证的场景。
根据实名认证场景的要求高低,可以将这些场景划分为强场景和弱场景,强场景的实名认证级别要高于弱场景,例如,对于银行业务,需要姓名认证、身份证认证、人脸认证和短信验证四大验证方式才能完成对应的验证,此时可以将其理解为强场景,又例如去图书馆办理借书证,则只需要姓名认证和身份证认证即可,此时可以将其理解为弱场景。
下面对本发明实施例中的数字身份认证方案适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本发明实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本发明实施例提供的技术方案。
请参见图10,图10为本发明实施例中的身份认证方案适用的一种应用场景,该应用场景包括用户终端1001,商户服务器1002、实名认证服务器1003和可信平台服务器1004。其中,用户终端1001中运行有数字身份管理客户端(或者也可以称作用户客户端或身份认证客户端),还可以运行有商户对应的APP(例如称作商户客户端),所以用户终端1001可以分别与商户服务器1002和实名认证服务器1003分别通信连接,具体来说,商户服务器1002是与商户客户端对应维护的服务器,而实名认证服务器1003是与数字身份管理客户端对应维护的服务器,另外,商户服务器1002可以与可信平台服务器1004通信,并且,实名认证服务器1003也可以与可信平台服务器1004通信(在图10中没有示出)。
也就是说,商户客户端和数字身份管理客户端同时运行在用户终端1001中,当用户在商户客户端进行需要进行实名认证的业务(例如购买高铁票)时,可以直接点击商户客户端中的验证接口直接从商户客户端跳转至数字身份管理客户端,进而实现线上的身份认证。
再参见图11,图11为本发明实施例中的身份认证方案适用的一种应用场景,该应用场景包括用户终端1101、商户终端1102、商户服务器1103、实名认证服务器1104和可信平台服务器1105,与图10所示的应用场景之间的区别是,商户客户端和数字身份管理客户端分离运行在商户终端1102和用户终端1101中,此时商户终端1102可以通过扫码的方式直接获得用户终端1101中展示的数字身份二维码,或者用户终端1101也可以通过网络将其中的数字身份二维码发送给商户终端1102。
再参见图12,图12为本发明实施例中的身份认证方案适用的一种应用场景,该应用场景包括用户终端1201、商户扫码闸机1202、商户服务器1203、实名认证服务器1204和可信平台服务器1205,其中,商户扫码闸机1202可以通过扫描用户终端1201中展示的数字身份二维码而实现对用户的身份认证,并且在认证通过时可以允许用户经过闸机。例如,用户利用数字身份二维码在线购买了火车票,当去火车站乘坐火车时就需要展示数字身份二维码以实现身份认证,并且在身份认证之后确定该用户所购买的火车票的相关信息,继而允许其直接乘坐火车,这样就无需用户去领取和携带实体火车票,减少火实体车票遗失而导致的经济损失和用户信息泄露。
前述的用户终端1001、用户终端1101和用户终端1201可以是手机、平板电脑、掌上电脑,笔记本电脑、智能穿戴式设备(例如智能手表和智能手环)、个人计算机,等等,前述图10-图12中的所有服务器均可以是个人计算机、大中型计算机、计算机集群,等等。
为进一步说明本发明实施例提供的身份认证方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本发明实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本发明实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的应用环境)。
请参见图13A所示,本发明实施例提供一种身份认证***,该身份认证***包括身份认证请求端、终端设备和数字身份管理平台;或者如图13B所示的,本发明实施例提供的一种身份认证***只包括终端设备和数字身份管理平台;或者如图13C所示的,本发明实施例提供的一种身份认证***包括终端设备、数字身份管理平台、可信平台和身份认证请求端;或者如图13D所示的,本发明实施例提供的一种身份认证***包括终端设备、数字身份管理平台和可信平台。在图13B和图13D中,由于终端设备和身份认证请求端为同一设备,所以就只示出了终端设备,也就是说,在本发明实施例中,终端设备和身份认证请求端可能为同一设备,或者也可以为不同设备。
本发明实施例中的身份认证***例如可以是前述的图13A-图13D中的任意一种应用场景所包括的所有设备所组成的***,此处就不再一一说明了。
以下结合图14所示的本发明实施例中的身份认证方法的交互图对本发明实施例中的身份认证方案进行说明。为了便于理解,图14中是以身份认证请求端和终端设备为分离的两个设备进行示意说明,在实际理解中,可以将身份认证请求端理解为是商户,具体来说是商户对应的商户终端,以及将终端设备理解为是用户,终端设备中安装有数字身份管理客户端,该数字身份管理客户端是用于对用户的数字身份进行使用管理的客户端。
步骤1401:终端设备获得身份认证请求。在具体实施过程中,身份认证请求可以由身份认证请求端触发生成,或者也可以由终端设备自行触发生成。
例如,用户使用自己的手机在线购买火车票,那么用户可以在手机上登录购票客户端,或者在微信上查找购票小程序或购票公众号,进而到达购票页面,在进行购票的过程中,商户会提示用户进行身份验证,例如在购票界面上显示有一个能够直接跳转至认证客户端(例如数字身份管理客户端)的控件,当需要进行身份认证时,用户点击该控件之后即可从购票页面跳转至认证客户端,而用户点击该控件的操作即可触发生成前述的身份认证请求,即由终端设备自身触发生成了身份认证请求。如此处介绍的应用场景,可以理解为是线上身份认证的一种具体场景,即,整个认证过程可以直接线上完成。
又例如,用户去银行办理业务,期间银行需要对用户的身份进行认证,此时,银行可以通过置于柜面的扫码机具扫描用户通过手机展示的数字身份二维码,在扫码机具扫描了用户的数字身份二维码之后即可生成数字身份认证请求,此时则可以认为扫码机具的扫码操作触发生成了身份认证请求。如此处介绍的通过扫码的方式进行身份认证的场景,可以理解为是线下身份认证的一种具体场景,即身份认证过程需要通过扫码完成。
步骤1402:终端设备将获得的身份认证请求发送给数字身份管理平台。例如终端设备中安装有数字身份管理客户端,终端设备则可以通过该数字身份管理客户端将获得的身份认证请求发送给数字身份管理平台。
如前面数字身份申请方法的实施例中介绍的,本发明实施例中的数字身份管理平台存储有多个用户的数字身份标识,其中,例如有的用户的数字身份标识包括一个eID编码,有的用户的数字身份标识包括多个eID编码,每个eID编码均是由可信平台基于用户的一种特定类型的身份实名信息唯一对应生成的,也就是说,可以将数字身份管理平台理解为是一个管理多个用户的数字身份标识的平台,并且数字身份标识可能包括多种类型的身份实名信息分别唯一对应的eID编码。
步骤1403:数字身份管理平台在接收身份认证请求之后,则可以基于该身份认证请求确定对应的目标数字身份标识。
例如,在接收数字身份管理客户端发送的身份认证请求之后,数字身份管理平台则可以基于该数字身份管理客户端的客户端标识查找对应的数字身份标识,或者也可以直接在身份认证请求中携带终端设备的设备标识,或者还可以采用其它方式。为了便于描述,本发明实施例中将基于客户端标识查找得到的数字身份标识称作目标数字身份标识。
例如数字身份管理客户端是运行在微信中的小程序,那么对应的客户端标识例如可以是该数字身份管理客户端的open id,又例如数字身份管理客户端是独立运行的APP,那么对应的客户端标识则可以用户在该APP中注册时被分配的唯一APP标识,例如真实在用户注册时分配的一个字符串,或者是用户自己设置的唯一的用户昵称,等等。
步骤1404:数字身份管理平台确定与目标数字身份标识对应的目标eID编码。如前所述,每个数字身份标识可以对应多个eID编码,所以在确定了目标数字身份标识之后,则可以对应地确定出与其对应的多个eID编码,为了便于描述,本发明实施例中将与目标数字身份标识对应的多个eID编码称作目标eID编码。
步骤1405:身份认证请求端获得目标eID编码。在具体实施过程中,身份认证请求端可以通过多种不同的方式获得目标eID编码。
由于数字身份管理平台是后台服务器,而身份认证请求端是前端设备,所以一般来说数字身份管理平台和身份认证请求端不太方便直接通信,基于此,数字身份管理平台可以基于预定传输方式将目标eID编码发送给身份认证请求端,以确保后台服务器与前台设备之间数据传输的有效性。一种可能的传输方式是:数字身份管理平台将目标eID编码发送给身份认证请求端的后台服务器(即商户后台),再由商户后台将其转发给身份认证请求端;另一种可能的传输方式是:数字身份管理平台将目标eID编码发送给数字身份管理客户端,再经由数字身份管理客户端所在的终端设备将其转发给身份认证请求端;再一种可能的传输方式是:数字身份管理平台将目标eID编码发送给终端设备,终端设备基于该目标eID编码生成数字身份二维码,并将该数字身份二维码进行展示,身份认证请求端再通过扫描终端设备中展示的数字身份二维码的方式获得目标eID编码。
步骤1406:身份认证请求端在获得目标eID编码之后,可以基于当前的身份认证场景,从目标eID编码中确定出需要进行认证的eID编码,为了便于描述,本发明实施例中将需要进行认证的eID编码称作待认证的eID编码。
基于商户属性和具体业务的不同,可以具有不同的身份认证场景。例如在银行办理银行卡申请业务需要进行身份证认证和人脸认证,又例如线上购买火车票需要进行身份证认证,又例如在经过过港口岸时需要进行港澳通行证的认证,再例如在交通管理部门办理交通业务时需要对驾驶证进行认证,等等。
上述列举了四种不同的身份认证场景,而每种身份认证场景均对应不同的身份认证需求,在具体实施过程中,可以采用以下两种方式来区别不同的身份认证需求。
第一种方式,证件类型不同的身份认证需求。也就是说,在不同的身份认证场景下,商户进行认证需要的证件类型可能不同,例如上述例子中银行需要认证身份证,过港口岸需要认证港澳通行证,交通管理部门需要认证驾驶证。
第二种方式,证件数量不同的身份认证需求,在该种方式中,不限制证件类型,只与证件数量有关。例如商户A需要认证一种类型的证件,而不限制该一种类型的证件是何种证件,而商户B需要同时认证两种类型的证件,等等。
针对第一种方式中的身份认证需求,可以根据每个eID编码中包括的证件类型标识来识别该eID编码对应的证件类型,具体来说,可以针对目标eID编码中的每个eID编码进行识别,以选择与当前的身份认证需求匹配的待认证的eID编码。也就是说,每个eID编码中可以包括有对应类型的身份实名信息匹配的证件类型标识,例如某个eID编码是基于身份证对应的身份实名信息生成的,那么则可以在这个eID编码的头部或者尾部预先添加用于表示身份证的证件类型标识,关于在eID编码中添加证件类型标识的实施可以参见前述数字身份申请实施例中的介绍,此处就不再重复说明了。
在另一种可能的实施方式中,身份认证请求端在触发身份认证请求时,就可以根据当前的身份认证需求确定需要认证的证件类型,进而再在身份认证请求中携带需要认证的证件类型,那么数字身份管理平台在获得这样的身份认证请求之后,在向身份认证请求端返回eID编码之前,即可先从目标eID编码中确定出与商户请求认证的证件类型匹配的eID编码,然后再将确定出的匹配的eID编码发送给身份认证请求端,所以身份认证请求端接收的数字身份管理平台发送的eID编码就是最终需要用来进行验证的待认证的eID编码。也就是说,可以由数字身份管理平台基于请求认证的证件类型对目标eID编码进行筛选,这样可以在一定程度上提高筛选的有效性,并且可以提高身份认证效率。
针对第二种方式中的身份认证需求,只需要从目标eID编码选择对应该身份认证需求要求的预定数量的eID编码即可。
无论基于何种身份认证需求,身份认证请求端可以从目标eID编码中选择出用于进行验证的待认证的eID编码。
步骤1407:身份认证请求端将确定的待认证的eID编码发送给可信平台,以请求可信平台对该待认证的eID编码进行有效性验证。
步骤1408:进一步地,可信平台对待认证的eID编码进行验证。由于所有的eID编码都是由可信平台签发的,所以通过可信平台可以对待认证的eID编码的有效性进行准确的验证。
步骤1409:在完成验证之后,可信平台将验证结果发送给身份认证请求端。
具体来说,验证结果包括验证有效和验证无效这两种结果,当身份认证请求端获得的验证结果是验证有效,那么则可以确定当前用户的身份验证通过,以此完成对用户的身份验证。
在具体实施过程中,商户对用户进行身份认证的目的可以包括:(1)仅用于身份认证,以判断该用户的数字身份是真实有效的;(2)在进行身份认证的同时还需获得用户的身份实名信息。以下针对这两种情形分别说明。
对于第(1)种情形,由于只是纯粹的认证目的,当身份认证请求端根据可信平台反馈的验证结果确定用户的身份认证通过即可。
对于第(2)种情形,身份认证请求端还可以向可信平台发送实名数据获取请求,以请求可信平台反馈预定证件类型的身份实名信息。可信平台在接收身份认证请求端发送的实名数据获取请求之后,如果确定身份认证请求端发送的待认证的eID编码是真实有效的,那么则可以直接从待认证的eID编码对应的目标eID编码所包括的所有类型的身份实名信息中,查找与该实名数据获取请求中的预定证件类型相同类型的身份实名信息(例如称作目标身份实名信息),最后再将确定的目标身份实名信息返回给身份认证请求端,以便于身份认证请求端基于获得的目标身份实名信息完成相应的业务请求。在另一种可能的实施方式中,可信平台在向身份认证请求端发送目标身份实名信息之前,还可以对身份认证请求端进行鉴权以判断该身份认证请求端是否具有直接获取数据的权限,比如,一些政府部门和金融机构可以提前与可信平台之间约定了数据获取权限,因为政府部门和金融机构的征信较好,所以这些机构获取用户的身份实名信息一般是不会非法使用的,而对于一些个体企业或者其它征信不是绝对可靠的部门则不会开放数据获取权限,基于此,可信平台可以先通过鉴权来判断身份认证请求端的权限,只有在鉴权通过时才将用户的明文的身份实名信息返回给身份认证请求端,这样可以尽量确保用户的个人信息的安全。
另外,为了数据传输的安全性,商户与可信平台之间传输的所有数据均可基于商户的CA证书进行加密处理,提高数据安全。
另外,以下再结合图15对线下扫码进行身份认证的过程进行介绍,并且,请参见图15,是以身份认证管理客户端为小程序(称作认证小程序),以及身份认证请求端是商户客户端且也是以小程序(称作商户小程序)为例进行说明。
步骤1501:认证小程序展示包括授权凭证的数字身份二维码。
也就是说,在认证小程序中,为了安全,直接展示的数字身份二维码中包括的并不是eID编码而是认证后台按照预定更新周期生成的授权凭证。授权凭证例如是token编码,对于授权凭证的具体实施过程可以参见前述数字身份申请方案中的实施例介绍,此处就不重复说明了。
步骤1502:商户小程序扫描认证小程序中展示的数字身份二维码,进而可以获得扫码图像。
步骤1503:商户小程序对扫码图像进行解析,即可得到其中的授权凭证。
步骤1504:为了安全,所以可以采用授权凭证从后台去获取eID编码的方式,基于此,商户小程序将获得的授权凭证发送给商户后台。
步骤1505:商户后台在接收授权凭证之后,再将其发送给认证后台,以通过后台访问的方式向认证后台请求对应的eID编码。
步骤1506:认证后台对商户进行鉴权,并确定鉴权是否通过。
认证后台是作为一个对用户的数字身份标识进行管理的平台,只有与该平台具有合作关系的商户才能使用该平台的身份认证功能,所以通过鉴权的方式可以对商户的合法性进行鉴别,只有合作商户才能完成鉴权,这样不仅可以拒绝风险商户的认证请求,还可以基于合作关系收取商户一定的维护费用,进而可以为平台带来一定的收入。在具体实施过程中,例如可以根据商户的主体名称或者合作代码来进行鉴权,本发明实施例对此不作限制。
步骤1507:在鉴权通过时,认证后台查找与商户后台发送的授权凭证对应的目标数字身份标识。
步骤1508:认证后台再确定与目标数字身份标识对应的目标eID编码。
步骤1509:认证后台将确定出的目标eID编码发送给商户后台。
通过授权凭证从后台请求eID编码的方式可以尽量确保eID编码的安全,提高安全性。
认证后台在将目标eID编码发送给商户后台之前,还可以进行安全验证。在具体实施过程中,是否需要进行安全验证,以及如何进行安全验证,可以按照以下策略来选择。
1)若商户和平台预先约定了预定验证方式,相当于就是商户在合作时就预先定制了安全验证方式,例如商户A约定的验证方式是短信验证和人脸验证,商户B约定的验证方式仅仅是人脸验证,等等,所以如果预先有约定就可以按照预先约定的验证方式进行验证。
2)若商户和平台未预先约定安全验证方式,那么,平台可以根据自己默认的安全验证方式进行验证,例如针对所有商户都进行短信验证加人脸验证的相同的安全验证方式。
3)若商户和平台未预先约定安全验证方式,平台可以先根据商户的商户标识确定商户的行业属性,例如将确定出的行业属性称作目标行业属性,例如确定商户属于金融行业,或者属于教育行业,或者属于个体商业,等等,进一步地,可以根据行业属性与安全验证方式的对应关系,确定与目标行业属对应的目标安全验证方式,例如若是银行,就启用高级别的安全验证方式,若确定是个人商业,则启用低级别的安全验证方式。进而再以确定出的安全验证方式完成安全验证。
步骤1510:商户后台在获得目标eID编码之后,再将其发送给商户小程序,以便于商户小程序基于目标eID编码进行后续操作。
例如,李四需要办理酒店入住,在入住之前,酒店职员需要对李四进行身份证的认证。李四拿出自己的手机并运行认证小程序,从而可以通过认证小程序将自己的数字身份二维码展示给酒店职员,然后,酒店职员可以使用酒店配置的扫码机具(例如是一个扫码枪或者是一个手机)扫描李四展示的数字身份二维码,即例如图11所示的应用场景。进一步地,扫码机具在获得扫码图像之后即可按照上述介绍的流程获得与李四的身份证对应的eID编码,最后,扫码机具再将该身份证对应的eID编码发送给可信平台,以根据可信平台针对该身份证对应的eID编码的验证结果来判断李四是否通过身份认证,例如可信平台返回的验证结果是验证通过,可以在扫码机具上进行验证通过的提示,酒店职员在看到这样的提示之后,即可确认李四的身份通过认证。
本发明实施例中,利用eID技术可以提高数字身份的可靠性、安全性和有效性,降低数字身份被盗取、篡改、冒用的风险,确保用户的身份信息安全。并且,在通过数字身份进行身份认证时,基于“多证合一”的数字身份申请和存储机制,可以满足差异化的身份认证需求,提高身份认证的灵活性和有效性,更利于用户的使用和推广。
本发明实施例提供了一种数字身份申请***,该***包括终端设备和数字身份管理平台;其中:
该终端设备用于获得同一用户的至少两种类型的身份实名信息,并将数字身份签发请求和该至少两种类型的身份实名信息发送给数字身份管理平台,其中,数字身份签发请求用于请求签发数字身份。
该数字身份管理平台用于在获得数字身份签发请求后,将接收的至少两种类型的身份实名信息发送给可信平台,以使可信平台签发与该至少两种类型的身份实名信息分别唯一对应的至少两个eID编码,然后接收可信平台发送的至少两个eID编码,再根据至少两个eID编码,按照预定生成方式生成用户的数字身份标识。
在一种可能的实施方式中,数字身份管理平台用于基于不同的数字身份签发请求将用户的不同类型的身份实名信息分别发送给可信平台,并基于首次接收的可信平台发送的eID编码生成用户的数字身份标识,以及根据再次接收的可信平台发送的其它eID编码更新用户的数字身份标识。
在一种可能的实施方式中,数字身份管理平台还用于按照预定更新周期生成与用户的数字身份标识对应的授权凭证,并将生成的该授权凭证发送给终端设备。
终端设备还用于根据首次接收的授权凭证生成用户的数字身份二维码,并根据再次接收的授权凭证更新用户的数字身份二维码。
在一种可能的实施方式中,至少两个eID编码中的每个eID编码均包括与对应类型的身份实名信息匹配的证件类型标识。
本发明实施例还提供一种身份认证***,该***包括身份认证请求端、终端设备和数字身份管理平台;其中:
终端设备用于获得身份认证请求;并将身份认证请求发送给数字身份管理平台;其中,数字身份管理平台存储有若干个用户的数字身份标识,每个用户的数字身份标识包括至少两个eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的。
数字身份管理平台用于基于身份认证请求确定对应的目标数字身份标识。
身份认证请求端用于获取目标数字身份标识对应的目标eID编码,再根据身份认证场景,从目标eID编码中确定待认证的eID编码,最后再将待认证的eID编码发送给可信平台,以通过可信平台验证待认证的eID编码是否有效。
在一种可能的实施方式中,终端设备中安装有数字身份管理客户端,并且,终端设备可以通过安装的数字身份管理客户端获得身份认证请求。
数字身份管理平台可以基于身份认证请求确定与数字身份管理客户端对应的目标数字身份标识。
在一种可能的实施方式中,身份认证请求端还用于扫描终端设备展示的数字身份二维码,并根据获得的扫码图像确定数字身份二维码中的授权凭证,以及将授权凭证发送给数字身份管理平台。
数字身份管理平台还用于确定与授权凭证对应的目标数字身份标识。
在一种可能的实施方式中,身份认证请求包括请求认证的证件类型,目标eID编码中的每个eID编码包括与对应类型的身份实名信息匹配的证件类型标识。
数字身份管理平台用于确定在目标数字身份标识中包括的与请求认证的证件类型匹配的eID编码。
身份认证请求端用于获取与请求认证的证件类型匹配的eID编码作为待认证的eID编码。
基于同一发明构思,请参见图16所示,本发明实施例提供一种数字身份申请装置,该数字身份申请装置包括第一接收模块1601、发送模块1602、第二接收模块1603和生成模块1604。其中:
第一接收模块1601,用于接收终端设备发送的同一用户的至少两种类型的身份实名信息和数字身份签发请求,其中,数字身份签发请求用于请求签发数字身份;
发送模块1602,用于将至少两种类型的身份实名信息发送给可信平台,以使可信平台签发与至少两种类型的身份实名信息分别唯一对应的至少两个eID编码;
第二接收模块1603,用于接收可信平台发送的至少两个eID编码;
生成模块1604,用于根据至少两个eID编码,按照预定生成方式生成用户的数字身份标识。
基于同一发明构思,请参见图17所示,本发明实施例提供一种数字身份申请装置,该数字身份申请装置包括获得模块1701、发送模块1702、接收模块1703和生成模块1704。其中:
获得模块1701,用于获得同一用户的至少两种类型的身份实名信息;
发送模块1702,用于将至少两种类型的身份实名信息和数字身份签发请求发送给数字身份管理平台,以使数字身份管理平台将至少两种类型的身份实名信息发送给可信平台,以获得可信平台生成的与至少两种类型的身份实名信息分别唯一对应的至少两个eID编码;其中,数字身份签发请求用于请求签发数字身份;
接收模块1703,用于接收数字身份管理平台发送的至少两个eID编码;
生成模块1704,用于基于至少两个eID编码,按照预定生成方式生成用户的数字身份标识。
其中,前述的数字身份申请方法实施例涉及的各步骤的相关内容均可以援引到本发明实施例中的对应功能模块的功能描述,在此不再赘述。
基于同一发明构思,请参见图18所示,本发明实施例提供一种身份认证装置,该身份认证装置包括接收模块1801和确定模块1802。其中:
接收模块1801,用于接收终端设备发送的身份认证请求;
确定模块1802,用于基于身份认证请求,从存储的若干个用户的数字身份标识中确定对应的目标数字身份标识;其中,每个用户的数字身份标识包括至少两个eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的,以使所述身份认证请求端获取所述目标数字身份标识对应的目标eID编码,根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;并将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
继续参见图18,该身份认证装置还包括发送模块1803,用于通过预定传输方式将目标数字身份标识对应的目标eID编码传输给身份认证请求端,以使身份认证请求端将根据身份认证场景从目标eID编码中确定出的待认证的eID编码发送给可信平台,并在接收可信平台发送的认证有效通知后,确定身份认证通过。
基于同一发明构思,请参见图19所示,本发明实施例提供一种身份认证装置,该身份认证装置包括获得模块1901、确定模块1902和发送模块1903。其中:
获得模块1901,用于获得与目标身份标识对应的目标网络电子身份标识eID编码,其中,目标身份标识是数字身份管理平台根据身份认证请求确定的,数字身份管理平台存储有若干个用户的数字身份标识,每个用户的数字身份标识包括至少两个eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;
确定模块1902,用于根据身份认证场景,从目标eID编码中确定待认证的eID编码;
发送模块1903,用于将待认证的eID编码发送给可信平台,以通过可信平台认证待认证的eID编码是否有效。
其中,前述的身份认证方法实施例涉及的各步骤的相关内容均可以援引到本发明实施例中的对应功能模块的功能描述,在此不再赘述。
本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本发明各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
基于同一发明构思,本发明实施例还提供一种服务器,请参见图20,其示出了本发明一个实施例提供的服务器的结构示意图,该服务器例如可以是图1A-图1C中的服务器103,或者图10中的实名认证服务器1003,或者是图11中的实名认证服务器1104,或者是图12中的实名认证服务器1204。本发明实施例中的服务器可以实现前述数字身份申请方法和身份认证方法。具体来讲:
该服务器包括处理器2001、包括随机存取存储器2002和只读存储器2003的***存储器2004,以及连接***存储器2004和处理器2001的***总线2005。该服务器还包括帮助计算机内的各个器件之间传输信息的基本输入/输出***(I/O***)2006、用于存储操作***2013、应用程序2022和其他程序模块2015的大容量存储设备2007。
处理器2001是服务器的控制中心,可以利用各种接口和线路连接整个服务器的各个部分,通过运行或执行存储在存储器(例如随机存取存储器2002和只读存储器2003)内的指令以及调用存储在存储器内的数据,服务器的各种功能和处理数据,从而对服务器进行整体监控。
可选的,处理器2001可包括一个或多个处理单元,处理器2001可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器2001中。在一些实施例中,处理器2001和存储器可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器2001可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random Access Memory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本发明实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基本输入/输出***2006包括有用于显示信息的显示器2008和用于用户输入信息的诸如鼠标、键盘之类的输入设备2009。其中显示器2008和输入设备2009都通过连接到***总线2005的基本输入/输出***2006连接到处理器2001。所述基本输入/输出***2006还可以包括输入输出控制器以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备2007通过连接到***总线2005的大容量存储控制器(未示出)连接到处理器2001。所述大容量存储设备2007及其相关联的计算机可读介质为该服务器包提供非易失性存储。也就是说,大容量存储设备2007可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。
根据本发明的各种实施例,该服务器包还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即该服务器包可以通过连接在所述***总线2005上的网络接口单元2011连接到网络2012,或者说,也可以使用网络接口单元2011来连接到其他类型的网络或远程计算机***(未示出)。
基于同一发明构思,本发明实施例还提供一种终端设备,该终端设备可以是终端设备,例如智能手机、平板电脑、PDA,笔记本电脑、车载设备、智能穿戴式设备等等。该终端设备可以是硬件结构、软件模块、或硬件结构加软件模块。该终端设备可以由芯片***实现,芯片***可以由芯片构成,也可以包含芯片和其他分立器件。该终端设备例如是前述图1A-图1C中的终端设备101或终端设备102,或者可以是前述图10-图12中的用户终端1001、用户终端1101、用户终端1201、商户终端1102。
如图21所示,本发明实施例中的终端设备包括至少一个处理器2101,以及与至少一个处理器连接的存储器2102,本发明实施例中不限定处理器2101与存储器2102之间的具体连接介质,图21中是以处理器2101和存储器2102之间通过总线2100连接为例,总线2100在图21中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线2100可以分为地址总线、数据总线、控制总线等,为便于表示,图21中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本发明实施例中,存储器2102存储有可被至少一个处理器2101执行的指令,至少一个处理器2101通过执行存储器2102存储的指令,可以执行前述的数字身份申请方法或身份认证方法中所包括的步骤。
其中,处理器2101是终端设备的控制中心,可以利用各种接口和线路连接整个终端设备的各个部分,通过运行或执行存储在存储器2102内的指令以及调用存储在存储器2102内的数据,终端设备的各种功能和处理数据,从而对终端设备进行整体监控。可选的,处理器2101可包括一个或多个处理单元,处理器2101可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器2101中。在一些实施例中,处理器2101和存储器2102可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器2101可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器2102作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器2102可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、RAM、SRAM、PROM、ROM、EEPROM、磁性存储器、磁盘、光盘等等。存储器2102是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本发明实施例中的存储器2102还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
请参见图22所示的终端设备的另一结构示意图,该终端设备还可以包括输入单元2201、显示单元2202、射频单元2203、音频电路2204、扬声器2205、麦克风2206、无线保真(Wireless Fidelity,WiFi)模块2207、蓝牙模块2208、电源2209、外部接口2210、耳机插孔2211等部件。本领域技术人员可以理解的是,图22仅仅是终端设备的举例,并不构成对终端设备的限定,终端设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
输入单元2201可用于接收输入的数字或字符信息,以及产生与终端设备的用户设置以及功能控制有关的键信号输入。例如,输入单元2201可包括触摸屏22011以及其它输入设备22012。触摸屏22011可收集用户在其上或附近的触摸操作(比如用户使用手指、关节、触笔等任何适合的物体在触摸屏22011上或在触摸屏22011附近的操作),即触摸屏22011可用于检测触摸压力以及触摸输入位置和触摸输入面积,并根据预先设定的程序驱动相应的连接装置。触摸屏22011可以检测用户对触摸屏22011的触控操作,将触控操作转换为触控信号发送给处理器2101,或者理解为可将触控操作的触控信息发送给处理器2101,并能接收处理器2101发来的命令并加以执行。触控信息至少可以包括压力大小信息和压力持续时长信息中的至少一种。触摸屏22011可以提供终端设备和用户之间的输入界面和输出界面。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触摸屏22011。除了触摸屏22011,输入单元2201还可以包括其它输入设备22012。比如,其它输入设备22012可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元2202可用于显示由用户输入的信息或提供给用户的信息以及终端设备的各种菜单。进一步的,触摸屏22011可覆盖显示单元2202,当触摸屏22011检测到在其上或附近的触控操作后,传送给处理器2101以确定的触控操作的压力信息。在本发明实施例中,触摸屏22011与显示单元2202可以集成为一个部件而实现终端设备的输入、输出、显示功能。为便于描述,本发明实施例以触摸屏22011代表触摸屏22011和显示单元2202的功能集合为例进行示意性说明,当然在某些实施例中,触摸屏22011与显示单元2202也可以作为两个独立的部件。
当显示单元2202和触摸板以层的形式彼此叠加以形成触摸屏22011时,显示单元2202可以用作输入装置和输出装置,在作为输出装置时,可以用于显示图像,例如实现对各种视频的播放。显示单元2202可以包括液晶显示器(Liquid Crystal Display,LCD)、薄膜晶体管液晶显示器(Thin Film Transistor Liquid Crystal Display,TFT-LCD)、有机发光二极管(Organic Light Emitting Diode,OLED)显示器、有源矩阵有机发光二极体(Active Matrix Organic Light Emitting Diode,AMOLED)显示器、平面转换(In-PlaneSwitching,IPS)显示器、柔性显示器、3D显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状以允许用户从外部观看,这可以称为透明显示器,根据特定想要的实施方式,终端设备可以包括两个或更多显示单元(或其它显示装置),例如,终端设备可以包括外部显示单元(图22未示出)和内部显示单元(图22未示出)。
射频单元2203可用于收发信息或通话过程中信号的接收和发送。通常,射频电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low NoiseAmplifier,LNA)、双工器等。此外,射频单元2203还可以通过无线通信与网络设备和其它设备通信。无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯***(GlobalSystem of Mobile communication,GSM)、通用分组无线服务(General Packet RadioService,GPRS)、码分多址(Code Division Multiple Access,CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution,LTE)、电子邮件、短消息服务(Short Messaging Service,SMS)等。
音频电路2204、扬声器2205、麦克风2206可提供用户与终端设备之间的音频接口。音频电路2204可将接收到的音频数据转换后的电信号,传输到扬声器2205,由扬声器2205转换为声音信号输出。另一方面,麦克风2206将收集的声音信号转换为电信号,由音频电路2204接收后转换为音频数据,再将音频数据输出处理器2102处理后,经射频单元2203以发送给比如另一电子设备,或者将音频数据输出至存储器2103以便进一步处理,音频电路也可以包括耳机插孔2211,用于提供音频电路和耳机之间的连接接口。
WiFi属于短距离无线传输技术,终端设备通过WiFi模块2207可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图22示出了WiFi模块2207,但是可以理解的是,其并不属于终端设备的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
蓝牙是一种短距离无线通讯技术。利用蓝牙技术,能够有效地简化掌上电脑、笔记本电脑和手机等移动通信终端设备之间的通信,也能够成功地简化以上这些设备与因特网(Internet)之间的通信,终端设备通过蓝牙模块2208使终端设备与因特网之间的数据传输变得更加迅速高效,为无线通信拓宽道路。蓝牙技术是能够实现语音和数据无线传输的开放性方案。虽然图22示出了蓝牙模块2208,但是可以理解的是,其并不属于终端设备的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
终端设备还可以包括电源2209(比如电池),其用于接收外部电力或为终端设备内的各个部件供电。优选的,电源2209可以通过电源管理***与处理器2102逻辑相连,从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。
终端设备还可以包括外部接口2210,该外部接口2210可以包括标准的Micro USB接口,也可以包括多针连接器,可以用于连接终端设备与其它设备进行通信,也可以用于连接充电器为终端设备充电。
尽管未示出,本发明实施例中的终端设备还可以包括摄像头、闪光灯等其它可能的功能模块,在此不再赘述。
基于同一发明构思,本发明实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行如前述的数字身份申请方法或身份认证方法的步骤。
基于同一发明构思,本发明实施例还提供一种数字身份申请装置,该公共数字身份申请装置包括至少一个处理器及可读存储介质,当该可读存储介质中包括的指令被该至少一个处理器执行时,可以执行如前述的数字身份申请方法的步骤。
基于同一发明构思,本发明实施例还提供一种身份认装置,该身份认证装置包括至少一个处理器及可读存储介质,当该可读存储介质中包括的指令被该至少一个处理器执行时,可以执行如前述的身份认证方法的步骤。
基于同一发明构思,本发明实施例还提供一种芯片***,该芯片***包括处理器,还可以包括存储器,用于实现如前述的数字身份申请方法和身份认证方法的步骤。该芯片***可以由芯片构成,也可以包含芯片和其他分立器件。
在一些可能的实施方式中,本发明提供的数字身份申请方法和身份认证方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机上运行时,所述程序代码用于使所述计算机执行前文述描述的根据本发明各种示例性实施方式的数字身份申请方法和身份认证方法中的步骤。
基于同一发明构思,本发明实施例还提供一种数字身份申请装置,所述装置包括:存储器,用于存储程序指令;处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行前文述描述的根据本发明各种示例性实施方式的数字身份申请方法中的步骤。
基于同一发明构思,本发明实施例还提供一种身份认证装置,所述装置包括:存储器,用于存储程序指令;处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行前文述描述的根据本发明各种示例性实施方式的身份认证方法中的步骤。
基于同一发明构思,本发明实施例还提供一种存储介质,所述存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行前文述描述的根据本发明各种示例性实施方式的数字身份申请方法和身份认证方法中的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种数字身份申请***,其特征在于,所述***包括终端设备和数字身份管理平台;其中:
所述终端设备用于获得同一用户的至少两种类型的身份实名信息;并将数字身份签发请求和所述至少两种类型的身份实名信息发送给所述数字身份管理平台,其中,所述数字身份签发请求用于请求签发数字身份;
所述数字身份管理平台用于在获得所述数字身份签发请求后,将接收的所述至少两种类型的身份实名信息发送给可信平台,以使所述可信平台签发与所述至少两种类型的身份实名信息分别唯一对应的至少两个网络电子身份标识eID编码;接收所述可信平台发送的所述至少两个eID编码;以及根据所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
2.如权利要求1所述的***,其特征在于,所述数字身份管理平台用于基于不同的数字身份签发请求将所述用户的不同类型的身份实名信息分别发送给所述可信平台;并基于首次接收的所述可信平台发送的eID编码生成所述用户的数字身份标识;以及根据再次接收的所述可信平台发送的其它eID编码更新所述用户的数字身份标识。
3.如权利要求1所述的***,其特征在于,所述数字身份管理平台还用于按照预定更新周期生成与所述用户的数字身份标识对应的授权凭证;并将生成的授权凭证发送给所述终端设备;
所述终端设备还用于根据首次接收的授权凭证生成所述用户的数字身份二维码;以及根据再次接收的授权凭证更新所述用户的数字身份二维码。
4.如权利要求1-3任一所述的***,其特征在于,所述至少两个eID编码中的每个eID编码均包括与对应类型的身份实名信息匹配的证件类型标识。
5.一种数字身份申请方法,其特征在于,所述方法包括:
接收终端设备发送的同一用户的至少两种类型的身份实名信息和数字身份签发请求,其中,所述数字身份签发请求用于请求签发数字身份;
将所述至少两种类型的身份实名信息发送给可信平台,以使所述可信平台签发与所述至少两种类型的身份实名信息分别唯一对应的至少两个网络电子身份标识eID编码;
接收所述可信平台发送的所述至少两个eID编码;
根据所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
6.一种数字身份申请方法,其特征在于,所述方法包括:
获得同一用户的至少两种类型的身份实名信息;
将所述至少两种类型的身份实名信息和数字身份签发请求发送给数字身份管理平台,以使所述数字身份管理平台将所述至少两种类型的身份实名信息发送给可信平台,以获得所述可信平台生成的与所述至少两种类型的身份实名信息分别唯一对应的至少两个网络电子身份标识eID编码;其中,所述数字身份签发请求用于请求签发数字身份;
接收所述数字身份管理平台发送的所述至少两个eID编码;
基于所述至少两个eID编码,按照预定生成方式生成所述用户的数字身份标识。
7.一种身份认证***,其特征在于,所述***包括身份认证请求端、终端设备和数字身份管理平台;其中:
所述终端设备用于获得身份认证请求;并将所述身份认证请求发送给所述数字身份管理平台;其中,所述数字身份管理平台存储有若干个用户的数字身份标识,每个用户的数字身份标识包括至少两个网络电子身份标识eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;
所述数字身份管理平台用于基于所述身份认证请求,确定对应的目标数字身份标识;
所述身份认证请求端用于获取所述目标数字身份标识对应的目标eID编码;根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;并将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
8.如权利要求7所述的***,其特征在于,所述终端设备中安装有数字身份管理客户端;
所述终端设备用于通过所述数字身份管理客户端获得所述身份认证请求;
所述数字身份管理平台用于基于所述身份认证请求,确定与所述数字身份管理客户端对应的所述目标数字身份标识。
9.如权利要求7所述的***,其特征在于,所述身份认证请求端还用于扫描所述终端设备展示的数字身份二维码;并根据获得的扫码图像确定所述数字身份二维码中的授权凭证;以及将所述授权凭证发送给所述数字身份管理平台;
所述数字身份管理平台还用于确定与所述授权凭证对应的所述目标数字身份标识。
10.如权利要求7-9任一所述的***,其特征在于,所述身份认证请求包括请求认证的证件类型,所述目标eID编码中的每个eID编码包括与对应类型的身份实名信息匹配的证件类型标识;
所述数字身份管理平台用于确定在所述目标数字身份标识中包括的与所述请求认证的证件类型匹配的eID编码;
所述身份认证请求端用于获取与所述请求认证的证件类型匹配的eID编码作为待认证的eID编码。
11.一种身份认证方法,其特征在于,所述方法包括:
接收终端设备发送的身份认证请求;
基于所述身份认证请求,从存储的若干个用户的数字身份标识中确定对应的目标数字身份标识;其中,每个用户的数字身份标识包括至少两个网络电子身份标识eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;以使所述身份认证请求端获取所述目标数字身份标识对应的目标eID编码,根据身份认证场景,从所述目标eID编码中确定待认证的eID编码,并将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
12.一种身份认证方法,其特征在于,所述方法包括:
获得与目标身份标识对应的目标网络电子身份标识eID编码,其中,所述目标身份标识是数字身份管理平台根据身份认证请求确定的,所述数字身份管理平台存储有若干个用户的数字身份标识,每个用户的数字身份标识包括至少两个eID编码,每个eID编码均是由可信平台基于该用户的一种类型的身份实名信息唯一对应生成的;
根据身份认证场景,从所述目标eID编码中确定待认证的eID编码;
将所述待认证的eID编码发送给所述可信平台,以通过所述可信平台验证所述待认证的eID编码是否有效。
13.一种服务器,其特征在于,所述服务器包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行权利要求5或11所述的方法包括的步骤。
14.一种终端设备,其特征在于,所述终端设备包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行权利要求6或12所述的方法包括的步骤。
15.一种存储介质,其特征在于,所述存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行权利要求5或6所述的方法包括的步骤,或者执行权利要求11或12所述的方法包括的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810899070.3A CN110826043B (zh) | 2018-08-08 | 2018-08-08 | 一种数字身份申请***及方法、身份认证***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810899070.3A CN110826043B (zh) | 2018-08-08 | 2018-08-08 | 一种数字身份申请***及方法、身份认证***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110826043A true CN110826043A (zh) | 2020-02-21 |
| CN110826043B CN110826043B (zh) | 2022-11-25 |
Family
ID=69540768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810899070.3A Active CN110826043B (zh) | 2018-08-08 | 2018-08-08 | 一种数字身份申请***及方法、身份认证***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110826043B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111597539A (zh) * | 2020-04-23 | 2020-08-28 | 维沃移动通信有限公司 | 一种身份认证方法、身份认证装置及电子设备 |
| CN112087303A (zh) * | 2020-09-15 | 2020-12-15 | 炬星科技(深圳)有限公司 | 一种证书预置和签发方法、机器人及服务端 |
| CN112685064A (zh) * | 2020-12-30 | 2021-04-20 | 南京擎盾信息科技有限公司 | 设备标识的处理方法以及装置、存储介质、电子装置 |
| CN113177797A (zh) * | 2021-05-06 | 2021-07-27 | 巽腾(广东)科技有限公司 | 用户身份信息认证方法、***、装置、设备及存储介质 |
| CN113489592A (zh) * | 2021-07-01 | 2021-10-08 | 公安部第三研究所 | 针对eID电子证照实现快捷通关能力开通处理的***及其方法 |
| CN113923144A (zh) * | 2021-09-18 | 2022-01-11 | 北京奇艺世纪科技有限公司 | 业务的测试***、方法、电子设备和存储介质 |
| CN114095211A (zh) * | 2021-10-29 | 2022-02-25 | 新大陆(福建)公共服务有限公司 | 一种可信数字身份人员核验方法与*** |
| WO2022042745A1 (zh) * | 2020-08-31 | 2022-03-03 | 北京书生网络技术有限公司 | 一种密钥管理方法及装置 |
| CN116644071A (zh) * | 2023-06-08 | 2023-08-25 | 中国长江三峡集团有限公司 | 一种物资编码管理方法、装置、计算机设备及存储介质 |
| CN117057384A (zh) * | 2023-08-15 | 2023-11-14 | 厦门中盾安信科技有限公司 | 支持多类型业务办理的用户码串生成方法、介质及设备 |
| WO2024114636A1 (zh) * | 2022-11-30 | 2024-06-06 | 中移(成都)信息通信科技有限公司 | 认证方法、装置、业务平台及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2507065Y (zh) * | 2001-09-24 | 2002-08-21 | 陈德范 | 一种电子证件 |
| CN102420834A (zh) * | 2011-12-29 | 2012-04-18 | 公安部第三研究所 | 网络电子身份证中网络身份标识码的生成和校验控制方法 |
| CN103886460A (zh) * | 2014-04-22 | 2014-06-25 | 徐永君 | 一种基于身份认证令牌实现的现场支付的***和方法 |
| CN206212040U (zh) * | 2016-10-31 | 2017-05-31 | 金联汇通信息技术有限公司 | 一种用于快递行业的实名认证*** |
| US9805213B1 (en) * | 2009-06-03 | 2017-10-31 | James F. Kragh | Identity validation and verification system and associated methods |
| CN107404478A (zh) * | 2017-07-21 | 2017-11-28 | 金联汇通信息技术有限公司 | eID编码查询方法、***及其对应服务器 |
| CN108093000A (zh) * | 2018-02-08 | 2018-05-29 | 山东合天智汇信息技术有限公司 | 一种基于eID身份验证的信息查询方法、装置及*** |
-
2018
- 2018-08-08 CN CN201810899070.3A patent/CN110826043B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2507065Y (zh) * | 2001-09-24 | 2002-08-21 | 陈德范 | 一种电子证件 |
| US9805213B1 (en) * | 2009-06-03 | 2017-10-31 | James F. Kragh | Identity validation and verification system and associated methods |
| CN102420834A (zh) * | 2011-12-29 | 2012-04-18 | 公安部第三研究所 | 网络电子身份证中网络身份标识码的生成和校验控制方法 |
| CN103886460A (zh) * | 2014-04-22 | 2014-06-25 | 徐永君 | 一种基于身份认证令牌实现的现场支付的***和方法 |
| CN206212040U (zh) * | 2016-10-31 | 2017-05-31 | 金联汇通信息技术有限公司 | 一种用于快递行业的实名认证*** |
| CN107404478A (zh) * | 2017-07-21 | 2017-11-28 | 金联汇通信息技术有限公司 | eID编码查询方法、***及其对应服务器 |
| CN108093000A (zh) * | 2018-02-08 | 2018-05-29 | 山东合天智汇信息技术有限公司 | 一种基于eID身份验证的信息查询方法、装置及*** |
Non-Patent Citations (3)
| Title |
|---|
| 张越今: "我国互联网电子身份证体系机制研究", 《中国人民公安大学学报(自然科学版)》 * |
| 汪志鹏等: "基于eID的网络可信身份体系建设研究", 《信息网络安全》 * |
| 胡传平: "公民网络电子身份标识eID的发展与应用", 《铁道警察学院学报》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111597539B (zh) * | 2020-04-23 | 2023-04-25 | 维沃移动通信有限公司 | 一种身份认证方法、身份认证装置及电子设备 |
| CN111597539A (zh) * | 2020-04-23 | 2020-08-28 | 维沃移动通信有限公司 | 一种身份认证方法、身份认证装置及电子设备 |
| WO2022042745A1 (zh) * | 2020-08-31 | 2022-03-03 | 北京书生网络技术有限公司 | 一种密钥管理方法及装置 |
| CN112087303A (zh) * | 2020-09-15 | 2020-12-15 | 炬星科技(深圳)有限公司 | 一种证书预置和签发方法、机器人及服务端 |
| CN112087303B (zh) * | 2020-09-15 | 2023-04-28 | 炬星科技(深圳)有限公司 | 一种证书预置和签发方法、机器人及服务端 |
| CN112685064A (zh) * | 2020-12-30 | 2021-04-20 | 南京擎盾信息科技有限公司 | 设备标识的处理方法以及装置、存储介质、电子装置 |
| CN112685064B (zh) * | 2020-12-30 | 2024-03-22 | 南京擎盾信息科技有限公司 | 设备标识的处理方法以及装置、存储介质、电子装置 |
| CN113177797A (zh) * | 2021-05-06 | 2021-07-27 | 巽腾(广东)科技有限公司 | 用户身份信息认证方法、***、装置、设备及存储介质 |
| CN113489592A (zh) * | 2021-07-01 | 2021-10-08 | 公安部第三研究所 | 针对eID电子证照实现快捷通关能力开通处理的***及其方法 |
| CN113923144B (zh) * | 2021-09-18 | 2023-09-01 | 北京奇艺世纪科技有限公司 | 业务的测试***、方法、电子设备和存储介质 |
| CN113923144A (zh) * | 2021-09-18 | 2022-01-11 | 北京奇艺世纪科技有限公司 | 业务的测试***、方法、电子设备和存储介质 |
| CN114095211A (zh) * | 2021-10-29 | 2022-02-25 | 新大陆(福建)公共服务有限公司 | 一种可信数字身份人员核验方法与*** |
| CN114095211B (zh) * | 2021-10-29 | 2023-08-22 | 新大陆(福建)公共服务有限公司 | 一种可信数字身份人员核验方法与*** |
| WO2024114636A1 (zh) * | 2022-11-30 | 2024-06-06 | 中移(成都)信息通信科技有限公司 | 认证方法、装置、业务平台及存储介质 |
| CN116644071A (zh) * | 2023-06-08 | 2023-08-25 | 中国长江三峡集团有限公司 | 一种物资编码管理方法、装置、计算机设备及存储介质 |
| CN116644071B (zh) * | 2023-06-08 | 2024-04-05 | 中国长江三峡集团有限公司 | 一种物资编码管理方法、装置、计算机设备及存储介质 |
| CN117057384A (zh) * | 2023-08-15 | 2023-11-14 | 厦门中盾安信科技有限公司 | 支持多类型业务办理的用户码串生成方法、介质及设备 |
| CN117057384B (zh) * | 2023-08-15 | 2024-05-17 | 厦门中盾安信科技有限公司 | 支持多类型业务办理的用户码串生成方法、介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110826043B (zh) | 2022-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110826043B (zh) | 一种数字身份申请***及方法、身份认证***及方法 | |
| CN109472166B (zh) | 一种电子签章方法、装置、设备及介质 | |
| CN107395343B (zh) | 证书管理方法及*** | |
| CN111475841B (zh) | 一种访问控制的方法、相关装置、设备、***及存储介质 | |
| CN108012268B (zh) | 一种保证应用软件在手机终端上安全使用的sim卡 | |
| US9397838B1 (en) | Credential management | |
| CN110300083B (zh) | 一种获取身份信息的方法、终端及验证服务器 | |
| CN110400145A (zh) | 一种数字身份申请***及方法、身份认证***及方法 | |
| EP2992472B1 (en) | User authentication | |
| CN106506472A (zh) | 一种安全的移动终端电子认证方法及*** | |
| CN110073387A (zh) | 证实通信设备与用户之间的关联 | |
| US20230275762A1 (en) | Did system using browser-based security pin authentication, and control method thereof | |
| CN113158198B (zh) | 访问控制方法、装置、终端设备和存储介质 | |
| JP2014529964A (ja) | モバイル機器経由の安全なトランザクション処理のシステムおよび方法 | |
| CN103095457A (zh) | 一种应用程序的登录、验证方法 | |
| CN111355732B (zh) | 链接检测方法、装置、电子设备及存储介质 | |
| CN103839157A (zh) | 一种电子支付方法、装置及*** | |
| CN108335105B (zh) | 数据处理方法及相关设备 | |
| CN110601858B (zh) | 证书管理方法及装置 | |
| CN105656627A (zh) | 身份验证方法、装置及*** | |
| TW200910894A (en) | Authentication system and method thereof for wireless networks | |
| CN109977039A (zh) | 硬盘加密密钥存储方法、装置、设备及可读存储介质 | |
| CN110876144A (zh) | 一种身份凭证的移动应用方法、装置及*** | |
| CN116915493A (zh) | 安全登录方法、装置、***、计算机设备和存储介质 | |
| CN111178896B (zh) | 乘车支付方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40021600 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |