【技术实现步骤摘要】
基于数字凭证的业务处理方法、装置及设备
本文件涉及计算机
,尤其涉及一种基于数字凭证的业务处理方法、装置及设备。
技术介绍
随着科技水平的不断发展,用户的证照如身份证、护照、毕业证书等逐步走向电子化和数字化。然而,由于当前的电子化的证照并没有进行防伪处理,因此在用户的电子化的证照被窃取后,存在窃取者冒充用户办理业务而给该用户造成损失的风险。
技术实现思路
本说明书一个或多个实施例提供了一种基于数字凭证的业务处理方法,应用于身份管理系统。该方法包括接收第一用户的终端设备发送的凭证创建请求。其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息。从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息。将所述数字凭证发送给所述终端设备。以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求。以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。本说明书一个或多个实施例提供了一种基于数字凭证的业务处理方法,应用于设置有可信执行环境TEE的终端设备。该方法包括响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求。...
【技术保护点】
1.一种基于数字凭证的业务处理方法,应用于身份管理系统,包括:/n接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;/n从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息;/n将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。/n
【技术特征摘要】
1.一种基于数字凭证的业务处理方法,应用于身份管理系统,包括:
接收第一用户的终端设备发送的凭证创建请求;其中,所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证;其中,所述第一验证信息为所述目标创建方根据预设方式生成的验证信息;
将所述数字凭证发送给所述终端设备,以使所述终端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
2.根据权利要求1所述的方法,所述数字凭证包括可验证声明。
3.根据权利要求1所述的方法,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述目标创建方根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证,并根据所述数字凭证向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息,从所述创建成功信息中获取所述数字凭证。
4.根据权利要求1所述的方法,所述从目标创建方获取基于所述第一数字身份信息、所述创建信息和第一验证信息所创建的数字凭证,包括:
将所述凭证创建请求发送给确定的所述目标创建方,以使所述创建方根据所述第一数字身份信息、所述创建信息、所述第一验证信息和确定的凭证标识信息创建数字凭证,将所述数字凭证保存至所述区块链中,并根据所述凭证标识信息向所述身份管理系统发送创建成功信息;
接收所述目标创建方发送的所述创建成功信息;
根据所述创建成功信息中的所述凭证标识信息从所述区块链中获取关联的所述数字凭证。
5.根据权利要求1所述的方法,所述将所述数字凭证发送给所述终端设备之后,还包括:
接收所述业务提供方发送的验证请求;其中,所述验证请求包括待验证的所述数字凭证和所述第二验证信息;
根据所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
向所述业务提供方发送验证结果信息。
6.根据权利要求5所述的方法,所述数字凭证还包括所述目标创建方的第二数字身份信息;所述第二验证信息包括根据所述可信执行环境TEE保存的与所述第一数字身份信息所对应的第一私钥,对第一指定数据进行第一签名处理所得的第一签名数据;所述第一验证信息包括根据所述第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理所得的第二签名数据;
所述根据所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理,包括:
从所述区块链中获取预先保存的所述第一数字身份所对应的第一公钥和所述第二数字身份所对应的第二公钥;
根据所述第一公钥对所述第一签名数据进行验签处理;
根据所述第二公钥对所述第二签名数据进行验签处理;
根据所述数字凭证中的凭证标识信息从所述区块链中获取关联的创建记录信息,根据所述创建记录信息确定所述数字凭证是否有效;其中,所述创建记录信息为所述目标创建方基于创建的所述数字凭证所生成的信息;
若所述验签处理均通过、且确定所述数字凭证有效,则确定对所述数字凭证和所述第二验证信息验证通过。
7.根据权利6所述的方法,所述数字凭证或所述创建记录信息包括:所述第二签名数据的有效期限信息;
所述根据所述第二公钥对所述第二签名数据进行验签处理,包括:
若根据所述有效期限信息,确定所述第二签名数据处于有效状态,则根据所述第二公钥对所述第二签名数据进行验签处理。
8.根据权利要求6所述的方法,所述数字凭证或所述创建记录信息包括:所述第一签名数据的有效时长信息;所述第一指定数据包括所述第一签名处理的处理时间信息;
根据所述第一公钥对所述第一签名数据进行验签处理成功之后,包括:
根据所述验签处理所得的所述处理时间信息和所述有效时长信息,确定所述第一签名数据是否处于有效状态;
若所述第一签名数据处于有效状态,则确定对所述第二验证信息验证通过。
9.根据权利要求1所述的方法,所述接收第一用户的终端设备发送的凭证创建请求之前,还包括:
接收所述终端设备发送的数字身份申请请求;其中,所述数字身份申请请求包括所述第一用户的用户信息、基于所述可信执行环境TEE生成的与待申请的所述第一数字身份信息所对应的非对称密钥中的第一公钥;
根据所述数字身份申请请求生成所述第一数字身份信息;
将所述第一数字身份信息与所述用户信息关联保存至指定的存储区域,将所述第一数字身份信息与所述第一公钥关联保存至所述区块链中,以及将所述第一数字身份信息发送给所述终端设备。
10.一种基于数字凭证的业务处理方法,应用于设置有可信执行环境TEE的终端设备,包括:
响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求;以使所述身份管理系统获取目标创建方根据所述凭证创建请求创建的数字凭证;
接收所述身份管理系统发送的数字凭证;其中,所述数字凭证包括所述数字凭证的创建方根据预设方式生成的第一验证信息;以及,
响应于所述第一用户的业务处理操作,基于所述可信执行环境TEE生成所述数字凭证的第二验证信息;其中,所述可信执行环境TEE中设置有所述第二验证信息的生成规则;
根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过时,根据所述业务处理请求进行相应的业务处理。
11.根据权利要求10所述的方法,所述数字凭证包括可验证声明。
12.根据权利要求10所述的方法,所述基于所述可信执行环境TEE生成所述数字凭证的第二验证信息,包括:
通过所述终端设备中的用于业务处理的第一可信应用向所述终端设备的可信执行环境TEE传递生成验证信息的第一指示信息;
使用所述终端设备的可信执行环境TEE根据所述第一指示信息和所述生成规则,生成所述数字凭证的第二验证信息;
所述根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,包括:
通过所述第一可信应用从所述可信执行环境TEE获取所述第二验证信息,根据所述数字凭证和获取的所述第二验证信息向业务提供方发送业务处理请求。
13.根据权利要求12所述的方法,所述使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,生成所述数字凭证的第二验证信息,包括:
使用所述终端设备的可信执行环境TEE根据所述指示信息和所述生成规则,基于保存的所述第一数字身份信息所对应的第一私钥对第一指定数据进行第一签名处理,得到第一签名数据;将所述第一签名数据确定为所述第二验证信息。
14.根据权利要求10所述的方法,所述根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递所述第一数字身份信息和所述创建信息;
使用所述终端设备的可信执行环境TEE,基于保存的所述第一数字身份信息所对应的第一私钥,对所述第一数字身份信息和/或所述创建信息进行第三签名处理得到第三签名数据;
通过所述第二可信应用从所述可信执行环境TEE获取所述第三签名数据,根据所述第一数字身份信息、所述创建信息和所述第三签名数据,向身份管理系统发送凭证创建请求。
15.根据权利要求10所述的方法,所述响应于第一用户的凭证创建操作,根据获取的所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息,向身份管理系统发送凭证创建请求之前,还包括:
响应于所述第一用户的数字身份申请操作,根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求;
接收所述身份管理系统发送的所述第一数字身份信息。
16.根据权利要求15所述的方法,所述根据获取的所述第一用户的用户信息和基于所述可信执行环境TEE生成的第一公钥,向所述身份管理系统发送数字身份申请请求,包括:
通过所述终端设备中的用于数字身份管理的第二可信应用向所述终端设备的可信执行环境TEE传递生成非对称密钥的第二指示信息;
使用所述终端设备的可信执行环境TEE根据所述第二指示信息生成与待申请的所述第一数字身份信息所对应的非对称密钥,将所述非对称密钥中的第一私钥保存至所述可信执行环境TEE中;
通过所述第一可信应用从所述可信执行环境TEE获取所述非对称密钥中的第一公钥,根据所述用户信息和所述第一公钥向所述身份管理系统发送数字身份申请请求。
17.一种基于数字凭证的业务处理方法,应用于创建方设备,包括:
接收身份管理系统发送的凭证创建请求;其中,所述凭证创建请求由第一用户的终端设备发送给所述身份管理系统;所述凭证创建请求包括所述第一用户的第一数字身份信息和待创建的数字凭证的创建信息;
根据预设方式生成第一验证信息,根据所述第一数字身份信息、所述创建信息和所述第一验证信息创建数字凭证;
根据所述数字凭证生成创建记录信息,将所述创建记录信息保存至区块链中;
向所述身份管理系统发送创建完成信息,以使所述身份管理系统将基于所述创建完成信息获取的所述数字凭证发送给所述终端设备,使所述端设备响应于所述第一用户的业务处理操作,基于所述终端设备的可信执行环境TEE生成所述数字凭证的第二验证信息,根据所述数字凭证和所述第二验证信息向业务提供方发送业务处理请求,以使所述业务提供方在确定基于所述区块链中的验证相关信息对所述数字凭证和所述第二验证信息均验证通过时进行相应的业务处理。
18.根据权利要求17所述的方法,所述根据预设方式生成第一验证信息,包括:
根据所述创建方的第二数字身份信息所对应的第二私钥,对第二指定数据进行第二签名处理得到第二签名数据;
将所述第二签名数据确定为所述第一验证信息。
19.根据权利要求17所述的方法,所述凭证创建请求还包括:所述第一用户的用户信息和第三签名数据;所述第三签名数据为根据所述第一数字身份信息所对应的第一私钥对第三指定数据进行第三签名处理所得的签名数据;
所述根据预设方式生成第一验证信息,包括:
根据所述用户信息对所述第一用户的身份进行验证处理;以及,
从所述区块链中获取所述第一数字身份信息所对应的第一公钥,根据获取的所述第一公钥对所述第三签名数据进行验签处理;
若对第一用户的身份验证处理通过、且对所述第三签名数据验签处理通过,则根据预设方式生成第一验证信息。
20.一种基于数字凭证的业务处理方法,应用于业务提供方,包括:
接收第一用户的终端设备发送的业务处理请求;其中,所述业务处理请求包括待验证的数字凭证和第二验证信息;所述数字凭证包括所述数字凭证的目标创建方根据预设方式生成的第一验证信息;所述第二验证信息为基于所述终端设备的可信执行环境TEE生成的所述数字凭证的验证信息;
若确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,则根据所述业务处理请求进行相应的业务处理。
21.根据权利要求20所述的方法,所述确定基于区块链中的验证相关信息对所述数字凭证和所述第二验证信息验证通过,包括:
根据所述数字凭证和所述第二验证信息向身份管理系统发送验证请求,以使所述身份管理系统基于所述区块链中保存的验证相关信息对所述数字凭证和所述第二验证信息进行验证处理;
接收所述身份管理系统...
【专利技术属性】
技术研发人员:孙善禄,李书博,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。