CN113312597A - 数字身份验证方法、装置、系统、设备和存储介质 - Google Patents
数字身份验证方法、装置、系统、设备和存储介质 Download PDFInfo
- Publication number
- CN113312597A CN113312597A CN202110860623.6A CN202110860623A CN113312597A CN 113312597 A CN113312597 A CN 113312597A CN 202110860623 A CN202110860623 A CN 202110860623A CN 113312597 A CN113312597 A CN 113312597A
- Authority
- CN
- China
- Prior art keywords
- identity
- verifier
- information
- hash value
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 98
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004364 calculation method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本申请提出一种数字身份验证方法、装置、系统、电子设备和存储介质,其中,方法包括:接收验证方发送的待验证信息;其中,所述待验证信息包括由所述验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、所述验证方对所述第一身份凭证信息的第一哈希值;从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息;根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。本申请使用可信执行环境TEE保存数字身份信息,数字身份合约模块对验证方进行权限验证,验证通过后验证待验证信息,既提供了对身份信息的验证功能,还提高了数字身份凭证信息存放的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种数字身份验证方法、装置、系统、设备和存储介质。
背景技术
数字身份验证已经成为现代信息社会中的常见场景,应用于身份管理、资产管理、数字化交易等多种场景,如果数字身份信息由于保存不当泄露,则将会造成极大损失。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种数字身份验证方法,以提高数字身份凭证信息存放的安全性。
本申请的第二个目的在于提出一种数字身份验证装置。
本申请的第三个目的在于提出一种数字身份验证系统。
本申请的第四个目的在于提出一种电子设备。
本申请的第五个目的在于提出一种非瞬时计算机可读存储介质。
为达上述目的,本申请第一方面实施例提出了一种数字身份验证方法,所述方法应用于区块链上的数字身份合约模块,所述方法包括:
接收验证方发送的待验证信息;其中,所述待验证信息包括由所述验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、所述验证方对所述第一身份凭证信息的第一哈希值;
从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息;
根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。
在本申请一些实施例中,所述待验证信息还包括所述验证方对签名信息的签名;所述方法还包括:
根据所述签名信息和所述签名,对所述验证方进行权限验证;
在所述验证方权限验证通过后,执行所述从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息的步骤。
在本申请一些实施例中,所述根据所述签名信息和所述签名,对所述验证方进行权限验证,包括:
根据所述签名信息和所述签名,计算所述验证方的公钥;
根据所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥,对所述验证方进行权限验证。
在本申请一些实施例中,所述根据所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥,对所述验证方进行权限验证,包括:
在所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥一致时,确定所述验证方权限验证通过。
在本申请一些实施例中,所述第二身份凭证信息至少包括第二哈希值;所述根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证,包括:
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
在本申请一些实施例中,所述第二身份凭证信息至少包括身份凭证明文;所述根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证,包括:
对所述身份凭证明文进行哈希运算,得到对应的第二哈希值;
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
为达上述目的,本申请第二方面实施例提出了一种数字身份验证装置,所述装置应用于区块链上的数字身份合约模块,所述装置包括:
接收模块,用于接收验证方发送的待验证信息;其中,所述待验证信息包括由所述验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、所述验证方对所述第一身份凭证信息的第一哈希值;
获取模块,用于从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息;
验证模块,用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。
为达上述目的,本申请第三方面实施例提出了一种数字身份验证系统,包括:
验证方,用于接收待验证方发起的查询请求,并从所述查询请求中获取第一身份凭证信息,并对所述第一身份凭证信息进行哈希运算,得到第一哈希值;
数字身份合约模块,用于接收所述验证方发送的待验证信息;其中,所述待验证信息包括由所述验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、所述验证方对所述第一身份凭证信息的第一哈希值;
TEE系统,用于接收所述数字身份合约模块发送的所述第一身份凭证信息,并根据所述第一身份凭证信息进行查询,以得到与所述第一身份凭证信息匹配的第二身份凭证信息,并将所述第二身份凭证信息返回给所述数字身份合约模块;
所述数字身份合约模块,还用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。
在本申请一些实施例中,所述待验证信息还包括所述验证方对签名信息的签名;所述数字身份合约模块,还用于:
根据所述签名信息和所述签名,对所述验证方进行权限验证;
在所述验证方权限验证通过后,从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息。
在本申请一些实施例中,所述数字身份合约模块具体用于:
根据所述签名信息和所述签名,计算所述验证方的公钥;
根据所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥,对所述验证方进行权限验证。
在本申请一些实施例中,所述数字身份合约模块具体用于:
在所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥一致时,确定所述验证方权限验证通过。
在本申请一些实施例中,所述第二身份凭证信息至少包括第二哈希值;所述数字身份合约模块具体用于:
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
在本申请一些实施例中,所述第二身份凭证信息至少包括身份凭证明文;所述数字身份合约模块具体用于:
对所述身份凭证明文进行哈希运算,得到对应的第二哈希值;
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
为达上述目的,本申请第四方面实施例提出了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请第一方面实施例所述的数字身份验证方法。
为达上述目的,本申请第五方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行本申请第一方面实施例所述的数字身份验证方法。
本申请实施例的技术方案,通过可信执行环境TEE存储数字身份凭证信息,解决了数字身份凭证保存在非安全环境中产生的安全风险。通过验证方将待验证信息发送给数字身份合约模块,数字身份合约模块对验证方进行权限验证,验证通过后向可信执行环境TEE发送查询请求,在可信执行环境TEE中查询与第一身份凭证信息对应的第二身份凭证信息,将第二身份凭证信息返回给数字身份合约模块,数字身份合约模块将验证方发送的第一身份凭证信息与TEE发送的第二身份凭证信息进行比较,并将验证结果发送给验证方。由此可见,由于TEE不允许任何用户直接读取TEE中存储的数据,本申请中通过数字身份合约对验证方进行验证,只有验证通过后才会将TEE中存储的数据发送给验证方,确保数据的操作权掌握在数字身份合约方,从而可以解决数字身份凭证由于保存不当泄露,从而发生暴力破解身份凭证的安全风险。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例所提供的一种数字身份验证方法的流程示意图;
图2为本申请实施例所提供的一种对验证方进行权限验证的流程示意图;
图3为本申请实施例所提供的一种数字身份验证装置的结构示意图;
图4为本申请实施例所提供的一种数字身份验证系统的结构示意图;
图5为本申请实施例所提供的一种数字身份验证系统的交互示意图;
图6为本申请实施例所提供的用以实现数字身份验证方法的电子设备的框图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
针对数字身份证信息的存放安全问题,本公开提供一种数字身份验证方法,可以解决数字身份信息保存在非安全环境中产生的安全风险。需要说明的是,数字身份验证过程中包括:待验证方、验证方、数字身份合约模块和TEE(Trusted Execution Environment,可信执行环境)四个主体。其中,可信执行环境TEE的功能被设计为信息录入方法和信息认证方法,登记认证机构在向可信执行环境TEE的信息录入方法中,所提交的信息包括但不限于:信息类别、信息归属数字身份id(identity document,身份标识号)、信息哈希值、登记认证机构签名等请求参数;可信认证机构在向可信执行环境TEE的信息认证方法中,所提交的信息包括但不限于:信息归属数字身份id、信息类别、可信认证机构等请求参数。由于可信执行环境TEE不允许任何用户直接读取TEE中存储的数据,只有拥有特定密钥或经过授权才可以获取到相关数据,将数字身份信息保存在可信执行环境TEE中,保证了数字身份信息的安全性。
下面参考附图描述本申请实施例的数字身份验证方法、装置、系统、电子设备和存储介质。
图1为本申请实施例所提供的一种数字身份验证方法的流程示意图,该数字身份验证方法应用于区块链上的数字身份合约模块。如图1所示,该数字身份验证方法包括以下步骤:
步骤101,接收验证方发送的待验证信息;其中,待验证信息包括由验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、验证方对第一身份凭证信息的第一哈希值。
需要说明的是,当待验证方需要验证身份信息时,向验证方发送查询请求。验证方收到待验证方发送的查询请求后,获取查询请求中的第一身份凭证信息。该第一身份凭证信息可包括第一身份凭证明文。验证方对该第一身份凭证明文进行哈希计算,得到第一哈希值,并将包括第一身份凭证信息与第一哈希值的待验证信息发送给数字身份合约模块。需要说明的是,验证方可以通过SHA-3(Secure Hash Algorithm 3,第三代安全散列算法)对第一身份凭证明文进行哈希计算,还可以通过其他算法对第一身份凭证明文进行哈希计算,本申请并不对此作出具体限定。
可选地,在本申请一些实施例中,验证方向数字合约模块发送的待验证信息还可包括待验证方地址、身份凭证类别等信息,以用于定位待验证方地址以及判断数字身份凭证的类别。
步骤102,从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息。
需要说明的是,当数字身份合约模块确定验证方权限验证通过后,数字身份合约将第一身份凭证信息发送给可信执行环境TEE,可信执行环境TEE通过该第一身份凭证信息查询与第一身份凭证信息相匹配的第二身份凭证信息。在本申请一些实施例中,数字身份合约模块可通过验证验证方公钥的方式,验证验证方是否有权限对待验证方进行身份验证。具体实现方式可参见后续实施例。
作为一种示例,数字身份合约模块可根据第一身份凭证信息的身份凭证类别匹配到对应的可信执行环境TEE内部应用,通过TEE接口将第一身份凭证信息发送给可信执行环境TEE,可信执行环境TEE将与第一身份凭证信息匹配的第二身份凭证信息返回给数字身份合约模块。
步骤103,根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。
需要说明的是,在本申请一些实施例中,第二身份凭证信息至少包括第二哈希值,也就是说可信执行环境TEE中存储的是哈希值,可信执行环境TEE将查询到的第二哈希值返回给数字身份合约模块。其中,该第二哈希值为对身份凭证明文进行哈希计算得出的第二哈希值。当确定验证方通过权限验证后,数字身份合约模块将第一身份凭证信息发送给可信执行环境TEE,可信执行环境TEE根据第一身份凭证信息查询匹配的第二哈希值,可信执行环境TEE将查询到的第二哈希值返回给数字身份合约模块。数字身份合约模块将第一哈希值和第二哈希值进行比对,根据比对结果确定对待验证方的身份验证结果,并将身份验证结果发送给验证方。也就是说,如果第一哈希值和第二哈希值一致,也就是待验证方发出的待验证信息与可信执行环境TEE中存储的身份信息是一致的,即可以确定待验证方的身份验证成功,数字身份模块将验证成功的身份验证结果发送给验证方。
还需要说明的是,在本申请一些实施例中,第二身份凭证信息至少包括身份凭证明文,也就是说,可信执行环境TEE中存储的是身份凭证明文,可信执行环境TEE将查询到的身份凭证明文返回给数字身份合约模块。当确定验证方通过权限验证后,数字身份合约模块将第一身份凭证信息发送给可信执行环境TEE,可信执行环境TEE根据第一身份凭证信息查询匹配的身份凭证明文,可信执行环境TEE将查询到的身份凭证明文返回给数字身份合约模块。数字身份合约模块对身份凭证明文进行哈希计算,得到对应的第二哈希值,其中,数字身份合约模块可以通过SHA-3对身份凭证明文进行哈希计算,还可以通过其他算法对第一身份凭证明文进行哈希计算,本申请并不对此作出具体限定。将第一哈希值和第二哈希值进行比对,根据比对结果确定对待验证方的身份验证结果,并将身份验证结果发送给验证方。也就是说,如果第一哈希值和第二哈希值一致,也就是待验证方发出的待验证信息与可信执行环境TEE中存储的身份信息是一致的,即可以确定待验证方的身份验证成功,数字身份模块将验证成功的身份验证结果发送给验证方。验证方对身份验证结果进行处理,并将处理结果发送给待验证方。
根据本申请实施例的数字身份验证方法,通过可信执行环境TEE存储数字身份凭证信息,解决了数字身份凭证保存在非安全环境中产生的安全风险。通过验证方将待验证信息发送给数字身份合约模块,数字身份合约模块对验证方进行权限验证,验证通过后向可信执行环境TEE发送查询请求,在可信执行环境TEE中查询与第一身份凭证信息对应的第二身份凭证信息,将第二身份凭证信息返回给数字身份合约模块,数字身份合约模块将验证方发送的第一身份凭证信息与TEE发送的第二身份凭证信息进行比较,并将验证结果发送给验证方。由此可见,由于TEE不允许任何用户直接读取TEE中存储的数据,本申请中通过数字身份合约对验证方进行验证,只有验证通过后才会将TEE中存储的数据发送给验证方,确保数据的操作权掌握在数字身份合约方,从而可以解决数字身份凭证由于保存不当泄露,从而发生暴力破解身份凭证的安全风险。
需要说明的是,数字身份合约模块还需要对验证方进行权限认证,故该验证信息还可包括验证方对签名信息的签名。在本申请一些实施例中,可根据该签名信息和签名,对验证方进行权限验证,验证通过后,确定验证方有权限验证身份信息后,执行从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息的步骤。
在本申请一些实施例中,数字身份合约模块可通过验证验证方公钥的方式,验证验证方是否有权限对待验证方进行身份验证。作为一种示例,如图2所示,图2为通过签名信息和签名验证验证方公钥的方式,对验证方进行权限验证的流程示意图。
步骤201,根据签名信息和签名,计算验证方公钥。
可选地,验证方将包括验证方对签名信息的签名的待验证信息发送给数字身份合约模块,数字身份合约模块根据签名信息和签名,计算验证方的公钥。
步骤202,在数字身份合约模块之中存储的验证方的参考公钥和验证方的公钥一致时,确定验证方权限验证通过。
需要说明的是,数字身份合约模块在登记验证方时,就会记录下验证方的参考公钥,并将之存储在数字身份合约模块之中。如果计算出的验证方的公钥与数字身份合约模块之中存储的验证方的参考公钥一致,则确定验证方权限验证通过,即验证方有权限对待验证方进行身份验证,可执行从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息的步骤。
其中,签名信息可包括但不限于:验证方地址、待验证方地址、身份凭证类别、凭证包含的证书信息、凭证验证时间等信息。验证方对该签名信息进行哈希计算,作为一种示例,验证方可使用SHA-3对签名信息进行哈希计算,得到签名信息的哈希值后,验证方使用验证方的私钥对该签名信息的哈希值进行签名。此外,验证方还可使用其他算法对签名信息进行哈希计算,本申请并不对此作出具体限定。
图3为本申请实施例提供的一种数字身份验证装置的结构示意图。需要说明的是,本申请实施例的数字身份验证装置可应用于区块链上的数字身份合约模块。如图3所示,该数字身份验证装置包括:接收模块301、获取模块302和验证模块303。
具体地,接收模块301,用于接收验证方发送的待验证信息;其中,待验证信息包括由验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、验证方对第一身份凭证信息的第一哈希值。
获取模块302,用于从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息。
验证模块303,用于根据第一身份凭证信息的第一哈希值和第二身份凭证信息,对待验证方进行身份验证。
关于上述实施例中的数字身份验证装置,其中各个模块执行操作的具体方式已经在有关数字身份验证方法的实施例中进行了详细描述,此处将不做详细阐述说明。
根据本申请实施例的数字身份验证装置,接收模块用于接收验证方发送的待验证信息;其中,待验证信息包括由验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、验证方对第一身份凭证信息的第一哈希值;获取模块用于从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息;验证模块用于根据第一身份凭证信息的第一哈希值和第二身份凭证信息,对待验证方进行身份验证。本申请提出的数字身份验证装置既提供了对身份信息的验证功能,还提高了数字身份凭证信息存放的安全性。
图4为本申请实施例提供的一种数字身份验证系统的结构示意图。图5为本申请实施例提供的一种数字身份验证系统的交互示意图。如图4所示,该数字身份验证系统包括:验证方401、数字身份合约模块402和TEE系统403。
具体地,待验证方向验证方发起查询请求(S501),验证方401,用于接收待验证方发起的查询请求,并从查询请求中获取第一身份凭证信息,并对第一身份凭证信息进行哈希运算,得到第一哈希值(S502),并向数字身份合约模块发送待验证信息(S503)。
数字身份合约模块402,用于接收验证方发送的待验证信息(S504);其中,待验证信息包括由验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、验证方对第一身份凭证信息的第一哈希值。
可选地,在本申请一些实施例中,待验证信息还包括验证方对签名信息的签名。数字身份合约模块,还用于:根据签名信息和签名,对验证方进行权限验证(S505);在验证方权限验证通过后,数字身份合约将第一身份凭证信息发送给可信执行环境TEE(S506),从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息。
可选地,数字身份合约模块402可通过验证验证方公钥的方式,验证验证方是否有权限对待验证方进行身份验证。在本申请一些实施例中,数字身份合约模块402可用于:根据签名信息和签名,计算验证方的公钥;根据数字身份合约模块之中存储的验证方的参考公钥和验证方的公钥,对验证方进行权限验证。
可选地,在本申请一些实施例中,数字身份合约模块402可用于:在数字身份合约模块之中存储的验证方的参考公钥和验证方的公钥一致时,确定验证方权限验证通过。
TEE系统403,用于接收数字身份合约模块发送的第一身份凭证信息,并根据第一身份凭证信息进行查询,以得到与第一身份凭证信息匹配的第二身份凭证信息(S507),并将第二身份凭证信息返回给数字身份合约模块(S508)。
可选地,在本申请一些实施例中,数字身份合约模块402,还用于根据第一身份凭证信息的第一哈希值和第二身份凭证信息,对待验证方进行身份验证(S509),并将身份验证结果发送给验证方(S510)。
可选地,在本申请一些实施例中,第二身份凭证信息至少包括第二哈希值;数字身份合约模块具体用于:将第一哈希值和第二哈希值进行比对;根据比对结果确定对待验证方的身份验证结果,并将身份验证结果发送给验证方。
可选地,在本申请一些实施例中,第二身份凭证信息至少包括身份凭证明文;数字身份合约模块具体用于:对身份凭证明文进行哈希运算,得到对应的第二哈希值;将第一哈希值和第二哈希值进行比对;根据比对结果确定对待验证方的身份验证结果,并将身份验证结果发送给验证方。
可选地,在本申请一些实施例中,验证方401收到数字身份合约模块发送的身份验证结果后,验证方401还用于:对身份验证结果进行处理(S511),并将处理结果发送给待验证方(S512)。
关于上述实施例中的数字身份验证系统,其中各个部分执行操作的具体方式已经在有关数字身份验证方法的实施例中进行了详细描述,此处将不做详细阐述说明。
根据本申请实施例的数字身份验证系统,通过可信执行环境TEE存储数字身份凭证信息,提高了数字身份凭证信息存放的安全性。验证方将待验证信息发送给数字身份合约模块,由于可信执行环境TEE不允许任何用户直接读取TEE中存储的数据,数字身份合约模块根据验证方发送的签名信息和签名对验证方进行权限验证,只有验证通过,确认验证方有验证权限,数字身份合约模块才可以向可信执行环境TEE发送查询请求,在可信执行环境TEE中查询与第一身份凭证信息对应的第二身份凭证信息。数字身份合约模块将验证方发送的待验证信息中的第一身份凭证信息与TEE发送的第二身份凭证信息进行比较,并将验证结果发送给验证方。本申请提出的数字身份验证方法既提供了对身份信息的验证功能,还提高了数字身份凭证信息存放的安全性,更加安全的保管用户的隐私数据。
为了实现上述实施例,本申请还提出一种电子设备。
图6为本申请实施例所提供的一种电子设备的结构框图。如图6所示,该电子设备600可包括存储器601、处理器602及存储在存储器601上并可在处理器602上运行的计算机程序603,当处理器602执行计算机程序603时,执行本申请上述任一实施例所述的数字身份验证方法。
为了实现上述实施例,本申请还提出一种存储有计算机指令的非瞬时计算机可读存储介质,当存储介质中的指令由处理器被执行时,使得处理器能够执行本申请上述任一实施例的数字身份验证方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、 “示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (15)
1.一种数字身份验证方法,其特征在于,所述方法应用于区块链上的数字身份合约模块,所述方法包括:
接收验证方发送的待验证信息;其中,所述待验证信息包括由所述验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、所述验证方对所述第一身份凭证信息的第一哈希值;
从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息;
根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。
2.根据权利要求1所述的方法,其特征在于,所述待验证信息还包括所述验证方对签名信息的签名;所述方法还包括:
根据所述签名信息和所述签名,对所述验证方进行权限验证;
在所述验证方权限验证通过后,执行所述从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息的步骤。
3.根据权利要求2所述的方法,其特征在于,所述根据所述签名信息和所述签名,对所述验证方进行权限验证,包括:
根据所述签名信息和所述签名,计算所述验证方的公钥;
根据所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥,对所述验证方进行权限验证。
4.根据权利要求3所述的方法,其特征在于,所述根据所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥,对所述验证方进行权限验证,包括:
在所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥一致时,确定所述验证方权限验证通过。
5.根据权利要求1所述的方法,其特征在于,所述第二身份凭证信息至少包括第二哈希值;所述根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证,包括:
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
6.根据权利要求1所述的方法,其特征在于,所述第二身份凭证信息至少包括身份凭证明文;所述根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证,包括:
对所述身份凭证明文进行哈希运算,得到对应的第二哈希值;
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
7.一种数字身份验证装置,其特征在于,所述装置应用于区块链上的数字身份合约模块,所述装置包括:
接收模块,用于接收验证方发送的待验证信息;其中,所述待验证信息包括由所述验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、所述验证方对所述第一身份凭证信息的第一哈希值;
获取模块,用于从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息;
验证模块,用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。
8.一种数字身份验证系统,其特征在于,包括:
验证方,用于接收待验证方发起的查询请求,并从所述查询请求中获取第一身份凭证信息,并对所述第一身份凭证信息进行哈希运算,得到第一哈希值;
数字身份合约模块,用于接收所述验证方发送的待验证信息;其中,所述待验证信息包括由所述验证方从接收到的待验证方发起的查询请求中获得的第一身份凭证信息、所述验证方对所述第一身份凭证信息的第一哈希值;
TEE系统,用于接收所述数字身份合约模块发送的所述第一身份凭证信息,并根据所述第一身份凭证信息进行查询,以得到与所述第一身份凭证信息匹配的第二身份凭证信息,并将所述第二身份凭证信息返回给所述数字身份合约模块;
所述数字身份合约模块,还用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息,对所述待验证方进行身份验证。
9.根据权利要求8所述的系统,其特征在于,所述待验证信息还包括所述验证方对签名信息的签名;所述数字身份合约模块,还用于:
根据所述签名信息和所述签名,对所述验证方进行权限验证;
在所述验证方权限验证通过后,从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息。
10.根据权利要求9所述的系统,其特征在于,所述数字身份合约模块具体用于:
根据所述签名信息和所述签名,计算所述验证方的公钥;
根据所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥,对所述验证方进行权限验证。
11.根据权利要求10所述的系统,其特征在于,所述数字身份合约模块具体用于:
在所述数字身份合约模块之中存储的所述验证方的参考公钥和所述验证方的公钥一致时,确定所述验证方权限验证通过。
12.根据权利要求8所述的系统,其特征在于,所述第二身份凭证信息至少包括第二哈希值;所述数字身份合约模块具体用于:
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
13.根据权利要求8所述的系统,其特征在于,所述第二身份凭证信息至少包括身份凭证明文;所述数字身份合约模块具体用于:
对所述身份凭证明文进行哈希运算,得到对应的第二哈希值;
将所述第一哈希值和所述第二哈希值进行比对;
根据比对结果确定对所述待验证方的身份验证结果,并将所述身份验证结果发送给所述验证方。
14.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至6中任一项所述的数字身份验证方法。
15.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1至6中任一项所述的数字身份验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110860623.6A CN113312597A (zh) | 2021-07-29 | 2021-07-29 | 数字身份验证方法、装置、系统、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110860623.6A CN113312597A (zh) | 2021-07-29 | 2021-07-29 | 数字身份验证方法、装置、系统、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113312597A true CN113312597A (zh) | 2021-08-27 |
Family
ID=77381936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110860623.6A Pending CN113312597A (zh) | 2021-07-29 | 2021-07-29 | 数字身份验证方法、装置、系统、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113312597A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472544A (zh) * | 2021-08-31 | 2021-10-01 | 北京微芯感知科技有限公司 | 一种数字身份验证方法、装置、计算机设备和存储介质 |
| CN113722690A (zh) * | 2021-09-08 | 2021-11-30 | 北京华鼎博视数据信息技术有限公司 | 数据发送、接收以及凭证记录方法、设备 |
| CN114266662A (zh) * | 2021-12-30 | 2022-04-01 | 广发证券股份有限公司 | 一种基于区块链的去中心化数字身份管理方法及装置 |
| CN118656814A (zh) * | 2024-08-19 | 2024-09-17 | 支付宝(杭州)信息技术有限公司 | 一种数字驱动安全验证方法、装置、存储介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
| CN110990827A (zh) * | 2019-10-28 | 2020-04-10 | 上海隔镜信息科技有限公司 | 一种身份信息验证方法、服务器及存储介质 |
| US20200287901A1 (en) * | 2018-08-21 | 2020-09-10 | HYPR Corp. | Out-of-band authentication based on secure channel to trusted execution environment on client device |
| CN112307455A (zh) * | 2020-12-28 | 2021-02-02 | 支付宝(杭州)信息技术有限公司 | 基于区块链的身份认证方法及装置、电子设备 |
-
2021
- 2021-07-29 CN CN202110860623.6A patent/CN113312597A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
| US20200287901A1 (en) * | 2018-08-21 | 2020-09-10 | HYPR Corp. | Out-of-band authentication based on secure channel to trusted execution environment on client device |
| CN110990827A (zh) * | 2019-10-28 | 2020-04-10 | 上海隔镜信息科技有限公司 | 一种身份信息验证方法、服务器及存储介质 |
| CN112307455A (zh) * | 2020-12-28 | 2021-02-02 | 支付宝(杭州)信息技术有限公司 | 基于区块链的身份认证方法及装置、电子设备 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472544A (zh) * | 2021-08-31 | 2021-10-01 | 北京微芯感知科技有限公司 | 一种数字身份验证方法、装置、计算机设备和存储介质 |
| CN113722690A (zh) * | 2021-09-08 | 2021-11-30 | 北京华鼎博视数据信息技术有限公司 | 数据发送、接收以及凭证记录方法、设备 |
| CN113722690B (zh) * | 2021-09-08 | 2023-11-10 | 北京华鼎博视数据信息技术有限公司 | 数据发送、接收以及凭证记录方法、设备 |
| CN114266662A (zh) * | 2021-12-30 | 2022-04-01 | 广发证券股份有限公司 | 一种基于区块链的去中心化数字身份管理方法及装置 |
| CN118656814A (zh) * | 2024-08-19 | 2024-09-17 | 支付宝(杭州)信息技术有限公司 | 一种数字驱动安全验证方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113312597A (zh) | 数字身份验证方法、装置、系统、设备和存储介质 | |
| KR102193644B1 (ko) | 설비 검증 방법 및 장치 | |
| JP4774235B2 (ja) | 証明書失効リストの分配管理方法 | |
| US20190253260A1 (en) | Electronic certification system | |
| US9276752B2 (en) | System and method for secure software update | |
| CN106161350B (zh) | 一种管理应用标识的方法及装置 | |
| CN114008968B (zh) | 用于计算环境中的许可授权的系统、方法和存储介质 | |
| US12008145B2 (en) | Method and server for certifying an electronic document | |
| EP1622301A2 (en) | Methods and system for providing a public key fingerprint list in a PK system | |
| US20230071022A1 (en) | Zero-knowledge proof-based certificate service method using blockchain network, certification support server using same, and user terminal using same | |
| CN112437068B (zh) | 认证及密钥协商方法、装置和系统 | |
| CN106209730B (zh) | 一种管理应用标识的方法及装置 | |
| CN110611647A (zh) | 一种区块链系统上的节点加入方法和装置 | |
| CN108540447B (zh) | 一种基于区块链的证书验证方法及系统 | |
| CN115514492A (zh) | Bios固件验证方法、装置、服务器、存储介质和程序产品 | |
| CN112702315B (zh) | 跨域设备访问控制方法、装置、计算机设备和存储介质 | |
| CN116541872B (zh) | 数据信息安全传输方法和系统 | |
| CN117692185A (zh) | 电子印章的使用方法、装置、电子设备及存储介质 | |
| CN116707758A (zh) | 可信计算设备的认证方法、设备和服务器 | |
| CN116707983A (zh) | 授权认证方法及装置、接入认证方法及装置、设备、介质 | |
| CN106454826A (zh) | 一种ap接入ac的方法和装置 | |
| CN113472544B (zh) | 一种数字身份验证方法、装置、计算机设备和存储介质 | |
| CN116522356A (zh) | 数据查询方法及装置 | |
| CN113343204B (zh) | 基于区块链的数字身份管理系统及方法 | |
| JP5872588B2 (ja) | トレースデバイスおよびトレース方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210827 |
|
| RJ01 | Rejection of invention patent application after publication |