[发明专利]一种身份标识设备及其工作方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种身份标识设备及其工作方法。

背景技术

随着网络技术的发展，网络生活在人们的生活中占据越来越重要的地位，涉及到日常生活的方方面面。然而，网络应用在给人们生活带来便利的同时，以网络诈骗、钓鱼攻击等为代表的安全威胁也随之日益增多。用户身份认证是解决上述问题的重要过程，通过对用户网络身份进行认证，可以确保实体身份的有效性。

目前国内的远程网络身份验证普遍使用“关联比对”方法，即将用户输入的“姓名+身份证号”等个人信息，传到后台对个人信息的正确性进行比对来认定其身份。“关联比对”方法在大规模应用的场景下主要存在以下问题：容易造成个人信息泄露，采集个人信息的网络应用服务机构安全水平不一，个人信息大规模泄露的风险越来越高。目前，我国已建立了电子身份标识(electronic Identity，eid)系统，该系统依托公安部的全国公民身份信息库，为保证网络用户身份的真实性提供了信任基础。因此，如何依托eid系统的优势，发明一种实现安全网络身份认证的身份标识设备及其工作方法是我们要解决的技术问题。

发明内容

为解决现有技术中存在的技术问题，本发明提出了一种身份标识设备及其工作方法。

本发明的技术方案采用的技术方案如下：

一种身份标识设备，包括：

接收模块，用于接收终端下发的指令，并判断接收到的指令的类型，若是个人证书指令则触发证书导入模块，若是数据压缩指令则触发哈希计算模块，若是签名指令则触发签名计算模块；

证书导入模块，用于从所述接收模块接收到的所述个人证书指令的数据域数据中获取个人身份认证相关文件标识符和证书数据，根据所述个人身份认证相关文件标识符查找到个人证书文件、个人公钥文件、个人私钥文件、内部公钥文件和内部私钥文件，将所述证书数据写入所述个人证书文件，将所述内部公钥文件中的公钥和所述内部私钥文件中的私钥分别写入所述个人公钥文件和所述个人私钥文件，清空所述内部公钥文件和所述内部私钥文件，向终端返回表示执行成功的状态码；

哈希计算模块，用于对所述接收模块接收到的所述数据压缩指令的数据域数据进行压缩计算得到哈希数据，向终端返回表示执行成功的状态码和所述哈希数据；

签名计算模块，用于从所述接收模块接收到的所述签名指令的数据域数据中获取私钥文件标识符和所述哈希数据，根据所述私钥文件标识符找到所述个人私钥文件，根据所述个人私钥文件中的私钥和所述哈希数据计算得到签名结果，向终端返回表示执行成功的状态码和所述签名结果。

优选的，上述证书导入模块具体包括第一获取单元、第一查找单元、验证单元、公钥比对单元和数据写入单元；

所述第一获取单元，用于从所述导入个人证书指令的数据域数据中获取管理信息中心公钥文件标识符、内部公钥文件标识符、内部私钥文件标识符、个人证书文件标识符、个人公钥文件标识符、个人私钥文件标识符和证书数据，并触发第一查找单元；

所述第一查找单元，用于根据所述管理信息中心公钥文件标识符查找到管理信息中心公钥文件，根据所述内部公钥文件标识和所述内部私钥文件标识符符查找到内部公钥文件和内部私钥文件，根据所述个人证书文件标识符查找到个人证书文件，根据所述个人公钥文件标识符和所述个人私钥文件标识符查找到个人公钥文件和个人私钥文件；

所述验证单元，用于使用所述第一获取单元获取的所述管理信息中心公钥文件中的公钥验证所述证书数据，若验证成功则触发公钥比对单元，若验证失败则向终端返回表示执行失败的状态码；

所述公钥比对单元，用于比对所述第一获取单元获取到的所述证书数据中包含的公钥与所述第一查找单元查找到的所述内部公私钥文件中的公钥是否一致，是则触发数据写入单元，否则向终端返回表示执行失败的状态码；

所述数据写入单元，用于将所述证书数据写入所述个人证书文件，将所述内部公钥文件中的公私和所述内部私钥文件中的私钥分别写入所述个人公钥文件和所述个人私钥文件，清空所述内部公钥文件和所述内部私钥文件，向终端返回表示执行成功的状态码。

上述验证单元，具体用于根据所述管理信息中心公钥文件中的公钥和预设曲线参数组成第一拼接结果，对所述第一拼接结果进行哈希计算得到公钥哈希值，根据所述公钥哈希值和所述证书数据组成第二拼接结果，对所述第二拼接结果进行哈希计算得到哈希结果，用所述管理信息中心公钥文件中的公钥对所述哈希结果进行SM2验签，若验签成功则触发所述公钥比对单元，否则向终端返回表示执行失败的状态码。