电子身份的认证方法、装置、设备及存储介质与流程

本申请涉及安全认证技术领域，具体而言，本申请涉及一种电子身份的认证方法、装置、设备及存储介质。

背景技术：

现有技术中对以sim卡为载体的eid(electronicidentity，公民网络电子身份标识)认证，主要是应用上传待认证的姓名、身份证号、手机号、待签原文，认证系统通过签名分发系统向simeid(存储在sim卡中的公民网络电子身份标识)载体发送请求获取签名值，通过返回的签名值进行认证。

该种方法需要用户输入手机号，操作冗余度高，且不利于保护用户的隐私信息，安全性较低；此外，该种方法所使用的simeid载体需要预先设置simeid应用，对载体的改动量较大，发行周期较长，因此该方法的实施性不强，限制了电子身份认证的普及。

技术实现要素：

本申请针对现有方式的缺点，提出一种电子身份的认证方法、装置、设备及存储介质，用以解决现有技术存在操作繁琐、安全性较低和实施性不强的技术问题。

第一方面，本申请实施例提供了一种电子身份的认证方法，包括：

获取待认证身份信息和待签原文；

根据预存的多组身份信息和多个手机号的对应关系，确定待认证的身份信息对应的手机号；

向sim盾系统发送包含手机号和待签原文的签名请求信息；

接收sim盾系统反馈的、对待签原文或待签原文的摘要值进行签名后的签名值，对签名值进行验证。

第二方面，本申请实施例提供了一种电子身份的认证装置，包括：

信息获取模块，用于获取待认证身份信息和待签原文；

手机号确定模块，用于根据预存的多组身份信息和多个手机号的对应关系，确定待认证的身份信息对应的手机号；

签名请求模块，用于向sim盾系统发送包含手机号和待签原文的签名请求信息；

签名验证模块，用于接收sim盾系统反馈的、对待签原文或待签原文的摘要值进行签名后的签名值，对签名值进行验证。

第三方面，本申请实施例提供了一种电子身份的认证设备，包括：处理器和存储器，存储器存储有计算机程序，计算机程序由处理器执行以实现本申请实施第一方面提供的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现本申请实施第一方面提供的方法。

本申请实施例提供的技术方案，至少具有如下有益效果：

1)本申请实施例提供的技术方案中，无需上传手机号即可实现认证，有效地降低了操作冗余度，同时也提高了认证过程的安全，有利于保护用户的隐私信息；

2)本申请实施例提供的技术方案中，可基于sim盾系统来实现，无需在现有载体额外设置其它应用(如simeid应用)，对载体的改动量较小，有效缩短了电子身份的发行改造周期，增强了可实施性，有利于电子身份认证的推广和普及。

本申请附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本申请实施例提供的一种电子身份的认证方法的流程示意图；

图2为本申请实施例提供的一种电子身份的认证方法中激活过程的一个示例图；

图3为本申请实施例提供的一种电子身份的认证方法中认证过程的一个示例图；

图4为本申请实施例提供的一种电子身份的认证方法中激活过程的另一个示例图；

图5为本申请实施例提供的一种电子身份的认证方法中认证过程的另一个示例图；

图6为本申请实施例提供的一种电子身份的认证装置的结构框架示意图；

图7为本申请实施例提供的另一种电子身份的认证装置的结构框架示意图；

图8为本申请实施例提供的一种电子身份的认证设备的结构框架示意图。

具体实施方式

下面详细描述本申请，本申请实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的部件或具有相同或类似功能的部件。此外，如果已知技术的详细描述对于示出的本申请的特征是不必要的，则将其省略。下面通过参考附图描述的实施例是示例性的，仅用于解释本申请，而不能解释为对本申请的限制。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

实施例一

本申请实施例提供了一种电子身份的认证方法，该认证方法的流程示意图如图1所示，包括：

s101，获取待认证身份信息和待签原文。

可选地，获取包含待认证身份信息和待签原文的实名认证请求。

在一个可选的实施方式中，待认证身份信息包括姓名和身份证号。

在另一个可选的实施方式中，待认证身份信息包括姓名、身份证号和sim(subscriberidentificationmodule，用户身份识别卡)卡唯一识别信息；其中sim卡唯一识别信息可以是imsi(internationalmobilesubscriberidentificationnumber，国际移动用户识别码)。

s102，根据预存的多组身份信息和多个手机号的对应关系，确定待认证的身份信息对应的手机号。

在一个可选的实施方式中，根据多组身份信息和多个哈希值(hash)的对应关系，确定待认证身份信息的哈希值；根据多组身份信息的哈希值和多个手机号的对应关系，通过签名分发系统确定待认证身份信息的哈希值对应的手机号。

可选地，可通过如下方式确定待认证身份信息的哈希值：根据多个姓名与多个哈希值的对应关系，和/或，多个身份证号与多个哈希值的对应关系，确定待认证身份信息的哈希值。

可选地，可通过如下方式确定待认证身份信息的哈希值对应的手机号：向签名分发系统发送包含该哈希值和待签原文的第二实名认证请求，通过签名分发系统以该哈希值为索引，在已存储的多个手机号中检索与该哈希值对应的手机号。

在另一个可选的实施方式中，根据多组身份信息中的sim卡唯一识别信息与多个手机号的对应关系，通过签名分发系统确定待认证身份信息中的sim卡唯一识别信息对应的手机号。

可选地，可通过如下方式确定待认证身份信息的哈希值对应的手机号：向签名分发系统发送包含待认证身份信息中的sim卡唯一识别信息和待签原文的第二实名认证请求；通过签名分发系统以该sim卡唯一识别信息为索引，在已存储的多个手机号中检索与该sim卡唯一识别信息对应的手机号。

s103，向sim盾系统发送包含手机号和待签原文的签名请求信息。

可选地，签名请求信息包括第一签名请求和第二签名请求。

可选地，通过签名分发系统向sim盾系统中的sim盾平台发送包含手机号和待签原文的第一签名请求；通过sim盾平台，向sim盾系统中与手机号对应的sim卡发送包含待签原文的第二签名请求。第一签名请求和第二签名请求均用于请求对待签原文或待签原文的摘要值进行签名。

s104，接收sim盾系统反馈的、对待签原文或待签原文的摘要值进行签名后的签名值，对该签名值进行验证。

可选地，通过签名分发系统接收sim盾平台反馈的、由sim卡对待签原文或待签原文的摘要值进行签名后的签名值。

事实上，可选地，上述步骤s101之前还包括：获取并存储用户的身份信息的哈希值和身份信息对应的公钥证书。可选地，获取由身份识别系统根据用户的身份信息确定的身份信息的哈希值，以及由身份识别系统根据身份信息和手机号签发的公钥证书，存储该哈希值和公钥证书。上述获取并存储用户的身份信息的哈希值和身份信息对应的公钥证书的过程，是在激活过程中完成的，激活过程的详细原理将在本实施例的后续示例中详述，在此不再赘述。

以及，上述步骤s104中的对该签名值进行验证，包括：根据公钥证书对sim盾平台反馈的、由sim卡对待签原文或待签原文的摘要值进行签名后的签名值进行验证。可选地，根据公钥证书中的公钥对sim盾平台反馈的、由sim卡对待签原文或待签原文的摘要值进行签名后的签名值进行解密。

可选地，本申请实施例所示的认证方法适用于eid运营系统，用于与身份识别系统(或称eid中心)、sim盾系统(包括sim盾平台和sim卡)、签名分发系统、发行机构、应用等进行数据交互，通过激活过程和认证过程实现电子身份的认证。

本申请实施例中的身份识别系统、sim盾平台和签名分发系统，可以是处理器或服务器，可以是本地服务器或云端服务器。本申请实施例中的发行机构可以是负责发行和管理电子身份eid的机构，例如公安部门。本申请实施例中的sim卡可以现有的sim卡，现有的sim卡中可支持sim盾平台的应用，无需额外设置其它应用(如simeid应用)，可缩短发行改造周期，实现simeid轻量级发行。

图2示出激活过程的一个具体示例，图3示出了认证过程的一个示例，下面参照图2和图3，对本实施例所示的认证方法的原理进行介绍。

首先对图2所示的激活过程介绍如下：

s201，发行机构向eid中心上传包含姓名、身份证号和手机号的第一eid激活申请。

s202，eid中心接收到第一eid激活申请后，向sim盾平台发送包含该手机号的第二eid激活申请。

s203，sim盾平台接收到包含手机号的第二eid激活申请后，向该手机号对应的sim卡发送第三eid激活申请。

s204，sim卡根据第三eid激活申请生成对应的公私钥对。

s205，sim卡向sim盾平台发送该公私钥对中的公钥。

s206，sim盾平台接收到sim盾平台发送的公钥后，向eid中心发送该公钥。

s207，eid中心签发基于该公钥的公钥证书。

s208，eid中心向sim盾平台发送该公钥证书。

s209，sim盾平台接收到eid中心发送的公钥证书后，向eid中心下发证书响应。

s210，eid中心向签名分发系统发送身份信息的哈希值和手机号，以实现与签名分发系统的数据同步。其中，身份信息的哈希值是由eid根据接收到的姓名、身份证号以及随机确定的盐值预先确定出的。

s211，签名分发系统存储该该哈希值和手机号，并向eid中心发送数据同步响应。

s212，eid中心向eid运营系统发送身份信息的哈希值和公钥证书，以实现与eid运营系统的数据同步。其中，身份信息的哈希值的确定方式同步骤s209中的介绍。

s213，eid运营系统存储该哈希值和公钥证书，并向eid中心发送数据同步响应。

通过上述步骤s201至s213，可实现电子身份eid的激活，其中，步骤s201至s213的执行顺序可根据实际情况进行调整，而不局限于上述示例。例如，步骤s210至s211可在步骤s201之后的任一时刻执行，步骤s212和s213可在步骤s207之后的任一时刻执行。

其次，对图3所示的认证过程介绍如下：

s301，应用向eid运营系统上传的包含姓名、身份证号和待签原文的第一实名认证请求。

s302，eid运营系统根据接收到的姓名和/或身份证号确定待认证的身份信息的哈希值，并向签名分发系统发送包含该哈希值和待签原文的第二实名认证请求。

s303，签名分发系统以确定出的哈希值为索引，在已存储的手机号中检索与该哈希值对应的手机号；

s304，签名分发系统向sim盾平台发送包含检索出的手机号和待签原文的第一签名请求。

s305，sim盾平台接收到第一签名请求后，向第一签名请求中的手机号对应的sim卡发送包含该待签原文的第二签名请求。

s306，sim卡接收到第二签名请求后，对第二签名请求中的待签原文或待签原文的摘要值进行签名。

可选地，采用公私密钥中的私钥对待签原文或待签原文的摘要值进行签名。

在本申请实施例中，待签原文的摘要值可根据待签原文计算得出，本领域技术人员可以理解根据待签原文计算其摘要值的具体方法，在此不再赘述；待签原文的摘要值可以由sim卡计算得出，也可以由sim盾平台计算得出并携带于第二签名请求中。

s307，sim卡向sim盾平台发送签名后的签名值。

可选地，签名值为采用私钥对待签原文进行加密或对签原文的摘要值进行加密后得到的加密结果。

s308，sim盾平台接收到sim卡发送的签名值后，向签名分发系统发送该签名值；

s309，签名分发系统接收到sim盾平台发送的签名值后，向eid运营系统发送该签名值。

s310，eid运营系统接收到签名值后，根据已存储的公钥证书对该签名值进行验证。

s311，eid运营系统向应用发送验证结果。

图4示出激活过程的另一个具体示例，图5示出了认证过程的另一个示例，下面参照图4和图5，对本实施例所示的认证方法的原理进行介绍。

首先对图4所示的激活过程介绍如下：

s401，发行机构向eid中心接收发行机构上传的包含姓名、身份证号、手机号和sim卡唯一识别信息的第一eid激活申请。

s402，eid中心接收到第一eid激活申请后，向sim盾平台发送包含该手机号的第二eid激活申请。

s403，sim盾平台接收到包含手机号的第二eid激活申请后，向该手机号对应的sim卡发送第三eid激活申请。

s404，sim卡根据第三eid激活申请生成对应的公私钥对。

s405，sim卡向sim盾平台发送该公私钥对中的公钥。

s406，sim盾平台接收到sim盾平台发送的公钥后，向eid中心发送该公钥。

s407，eid中心签发基于该公钥的公钥证书。

s408，eid中心向sim盾平台发送该公钥证书。

s409，sim盾平台接收到eid中心发送的公钥证书后，向eid中心下发证书响应。

s410，eid中心向签名分发系统发送sim卡唯一识别信息和手机号，以实现与签名分发系统的数据同步。

s411，签名分发系统存储该sim卡唯一识别信息和手机号，并向eid中心发送数据同步响应。

s412，eid中心向eid运营系统发送身份信息的哈希值和公钥证书，以实现与eid运营系统的数据同步。其中，身份信息的哈希值是由eid根据接收到的姓名、身份证号以及随机确定的盐值确定出的。

s413，eid运营系统存储该哈希值和公钥证书，并向eid中心发送数据同步响应。

通过上述步骤s401至s413，可实现电子身份eid的激活，其中，步骤s401至s413的执行顺序可根据实际情况进行调整，而不局限于上述示例。例如，步骤s410至s411可在步骤s401之后的任一时刻执行，步骤s412和s413可在步骤s407之后的任一时刻执行。

其次，对图5所示的认证过程介绍如下：

s501，应用向eid运营系统上传的包含姓名、身份证号、sim卡唯一识别信息和待签原文的第一实名认证请求；

s502，eid运营系统向签名分发系统发送包含该sim卡唯一识别信息和待签原文的第二实名认证请求。

s503，签名分发系统以接收到的sim卡唯一识别信息为索引，在已存储的手机号中检索与该sim卡唯一识别信息对应的手机号。

s504，签名分发系统向sim盾平台发送包含检索出的手机号和待签原文的第一签名请求。

s505，sim盾平台接收到第一签名请求后，向第一签名请求中的手机号对应的sim卡发送包含该待签原文的第二签名请求。

s506，sim卡接收到第二签名请求后，对第二签名请求中的待签原文或待签原文的摘要值进行签名。

可选地，采用公私密钥中的私钥对待签原文或待签原文的摘要值进行签名。

在本申请实施例中，待签原文的摘要值可根据待签原文计算得出，本领域技术人员可以理解根据待签原文计算其摘要值的具体方法，在此不再赘述；待签原文的摘要值可以由sim卡计算得出，也可以由sim盾平台计算得出并携带于第二签名请求中。

s507，sim卡向sim盾平台发送签名后的签名值。

可选地，签名值为采用私钥对待签原文进行加密或对签原文的摘要值进行加密后得到的加密结果。

s508，sim盾平台接收到sim卡发送的签名值后，向签名分发系统发送该签名值。

s509，签名分发系统接收到sim盾平台发送的签名值后，向eid运营系统发送该签名值。

s510，eid运营系统接收到签名值后，根据已存储的公钥证书对该签名值进行验证。

s511，向应用发送验证结果。

应用本申请实施例的技术方案，至少可以实现如下有益效果：

1)本申请实施例提供的技术方案中，无需上传手机号即可实现认证，有效地降低了操作冗余度，同时也提高了认证过程的安全，有利于保护用户的隐私信息；

2)本申请实施例提供的技术方案中，可基于sim盾平台和现有的sim卡来实现，无需在现有载体额外设置其它应用(如simeid应用)，对载体的改动量较小，有效缩短了simeid的发行改造周期，增强了可实施性，有利于电子认证的推广和普及和实现simeid的轻量级发行；

3)在需要进行电子身份的认证时，用户使用现有的sim卡即可，不需要换为带有simeid应用的sim卡，减少了换卡成本以及用户的时间成本，有利于增强用户体验；

4)现有的认证方案中，发行机构在激活过程需要先发送请求消息申请公钥，申请到公钥后再发送eid激活申请，即需要两次申请过程；而本申请实施例的方案中，发行机构在激活过程中无需申请公钥，直接提交eid激活申请，即可完成从申请公钥到签发公钥证书到激活完成的整个流程，从而提高了eid发行和认证的效率；

5)本申请实施例的技术方案中，签名分发系统无需与eid载体(如本申请实施例中的sim卡)连接以实现对eid载体的读写操作，也无需对eid载体的生命周期进行管理，有效地减少了系统开发量。

实施例二

基于同一发明构思，本申请实施例提供了一种电子身份的认证装置，该装置的结构框架示意图如图6所示，包括：信息获取模块601、手机号确定模块602、签名请求模块603以及签名验证模块604。

信息获取模块601，用于获取待认证身份信息和待签原文。

手机号确定模块602，用于根据预存的多组身份信息和多个手机号的对应关系，确定待认证的身份信息对应的手机号。

签名请求模块603，用于向sim盾系统发送包含手机号和待签原文的签名请求信息。

签名验证模块604，用于接收sim盾系统反馈的、对待签原文或待签原文的摘要值进行签名后的签名值，对该签名值进行验证。

可选地，信息获取模块601具体用于获取包含待认证身份信息和待签原文的实名认证请求。

在一个可选的实施方式中，手机号确定模块602具体用于：根据多组身份信息和多个哈希值的对应关系，确定待认证身份信息的哈希值；根据多组身份信息的哈希值和多个手机号的对应关系，通过签名分发系统确定待认证身份信息的哈希值对应的手机号。

在另一个可选的实施方式中，手机号确定模块602具体用于：根据多个sim卡唯一识别信息与多个手机号的对应关系，通过签名分发系统确定待认证身份信息中的sim卡唯一识别信息对应的手机号。

可选地，签名请求信息包括第一签名请求和第二签名请求；签名请求模块603具体用于：通过签名分发系统向sim盾系统中的sim盾平台发送包含手机号和待签原文的第一签名请求；通过sim盾平台，向sim盾系统中与手机号对应的sim卡发送包含待签原文的第二签名请求。第一签名请求和第二签名请求均用于请求对待签原文或待签原文的摘要值进行签名。

可选地，签名验证模块604具体用于通过签名分发系统接收sim盾平台反馈的、由sim卡对待签原文或待签原文的摘要值进行签名后的签名值。

可选地，如图7所示，本申请实施例提供的电子身份的认证装置600还包括：信息存储模块605，用于获取并存储用户的身份信息的哈希值和身份信息对应的公钥证书。

可选地，信息存储模块605具体用于：获取由身份识别系统根据用户的身份信息确定的身份信息的哈希值，以及由身份识别系统根据身份信息和手机号签发的公钥证书，存储该哈希值和公钥证书。

可选地，签名验证模块604具体用于根据公钥证书对sim盾平台反馈的、由sim卡对待签原文或待签原文的摘要值进行签名后的签名值进行解密。

本实施例的电子身份的认证装置600可执行本申请实施例一所提供的认证方法，其实现原理和有益效果相类似，此处不再赘述。

实施例三

基于同一发明构思，本申请实施例提供了一种电子身份的认证设备，如图8所示，图8所示的电子身份的认证设备800包括：存储器801和处理器802，存储器801与处理器802电连接。

本申请实施例中的存储器801上存储有计算机程序，该计算机程序由处理器802执行以实现本申请实施例一提供的认证方法。

本申请实施例中的存储器801可以是rom(read-onlymemory，只读存储器)或可存储静态信息和指令的其他类型的静态存储设备，可以是ram(randomaccessmemory，随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备，也可以是eeprom(electricallyerasableprogrammablereadonlymemory，电可擦可编程只读存储器)、cd-rom(compactdiscread-onlymemory，只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

本申请实施例中的处理器802可以是cpu(centralprocessingunit，中央处理器)、通用处理器、dsp(digitalsignalprocessor，数据信号处理器)、asic(applicationspecificintegratedcircuit，专用集成电路)、fpga(field－programmablegatearray，现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器802也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等。

本技术领域技术人员可以理解，本申请实施例提供的电子设备可以为所需的目的而专门设计和制造，或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序，这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如，计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中。

本申请实施例提供的认证设备，与前面的各实施例具有相同的发明构思及相同的有益效果，在此不再赘述。

实施例四

基于同一发明构思，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现本申请实施例所提供的认证方法。

计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、cd-rom、和磁光盘)、rom、ram、eprom(erasableprogrammableread-onlymemory，可擦写可编程只读存储器)、eeprom、闪存、磁性卡片或光线卡片。也就是，可读介质包括由设备(例如，计算机)以能够读的形式存储或传输信息的任何介质。

本申请实施例提供的计算机可读存储介质，与前面的各实施例具有相同的发明构思及相同的有益效果，在此不再赘述。

本技术领域技术人员可以理解，本申请中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地，具有本申请中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地，现有技术中的具有与本申请中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

以上所述仅是本申请的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。