非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng)。根據(jù)所述方法����,所述系統(tǒng)獲取用戶的包含身份證信息的個人信息,并獲取用戶的臉部圖像信息���;根據(jù)所述身份證信息從全國公民身份信息庫調(diào)取所對應的身份證的證件照信息�����;將所述臉部圖像信息與所調(diào)取的證件照信息進行匹配����,并根據(jù)匹配度來進行所述個人信息的實名認證�;在通過實名認證后,生成對應于所述個人信息的密鑰對�����,并根據(jù)所述個人信息和所述密鑰對中的公鑰簽發(fā)數(shù)字證書���;將簽發(fā)的所述數(shù)字證書提供給所述用戶。本發(fā)明能夠避免用戶現(xiàn)場辦理數(shù)字證書所帶來的時間消耗��、效率低下等缺點。
【專利說明】非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng)
【技術(shù)領域】
[0001]本發(fā)明涉及一種個人數(shù)字證書申請技術(shù)���,特別是涉及一種非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng)��。
【背景技術(shù)】
[0002]數(shù)字證書作為互聯(lián)網(wǎng)通訊中標識通訊各方身份信息的一種證明方式�,其應用范圍涉及需要身份認證及數(shù)據(jù)安全的各個行業(yè)��,包括工商����、稅務、社保�����、海關�、質(zhì)監(jiān)、醫(yī)療���、金融�、證券��、保險�����、旅游等網(wǎng)上業(yè)務系統(tǒng)和電子商務系統(tǒng)。
[0003]個人數(shù)字證書��,主要用于標識數(shù)字證書自然人所有人的身份�����,包含了個人的身份信息及其公鑰��,如用戶姓名��、證件號碼�����、郵箱地址等��。通過合法的第三方電子認證服務機構(gòu)簽發(fā)的包含個人身份信息的證書�,它用于標志自然人在進行信息交換、電子簽名���、電子政務、電子商務等網(wǎng)絡活動中的身份���,并且保障信息在傳輸中的安全性和完整性以及行為的不可抵賴性�����。
[0004]目前�����,個人申請數(shù)字證書需要申請者本人到第三方電子認證服務機構(gòu)受理點現(xiàn)場填寫個人身份資料��,提交個人身份證明材料����。目前我國大多數(shù)省級行政單位管轄范圍內(nèi)均設有依法成立的第三方電子認證服務機構(gòu),但這些服務機構(gòu)的服務網(wǎng)點數(shù)量有限����,覆蓋地區(qū)亦有限,同時個人申請數(shù)字證書首先須到服務網(wǎng)點接受面對面的資料審核���,因此個人申請數(shù)字證書時會耗費占用 申請人:大量的時間�,嚴重阻礙了個人數(shù)字證書的發(fā)展和應用����,迫切需要一種能夠非現(xiàn)場識別申請者身份并為 申請人:發(fā)放數(shù)字證書的系統(tǒng)和方法�。
【發(fā)明內(nèi)容】
[0005]鑒于以上所述現(xiàn)有技術(shù)的缺點�,本發(fā)明的目的在于提供一種非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng),用于解決現(xiàn)有技術(shù)中個人數(shù)字證書必須現(xiàn)場辦理��,而導致辦理過程效率低等問題��。
[0006]為實現(xiàn)上述目的及其他相關目的��,本發(fā)明提供一種非現(xiàn)場個人數(shù)字證書申請方法�,包括:獲取用戶的包含身份證信息的個人信息,并獲取用戶的臉部圖像信息�;根據(jù)所述身份證信息從全國公民身份信息庫調(diào)取所對應的身份證的證件照信息;將所述臉部圖像信息與所調(diào)取的證件照信息進行匹配�����,并根據(jù)匹配度來進行所述個人信息的實名認證���;在通過實名認證后���,生成對應于所述個人信息的密鑰對,并根據(jù)所述個人信息和所述密鑰對中的公鑰簽發(fā)數(shù)字證書���;將包含所述數(shù)字證書的封包提供給所述用戶�����。
[0007]優(yōu)選地��,獲取用戶的臉部圖像信息的方式包括:探測所述用戶所使用的個人終端已開啟攝像裝置��,并根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的視頻信息中選取一幅臉部圖像信息���。
[0008]優(yōu)選地,在探測所述用戶所使用的個人終端已開啟攝像裝置時���,所述申請方法還包括:向所述用戶發(fā)送隨機的動作指令�����,提取所述用戶根據(jù)所述動作指令所做的動作軌跡��;根據(jù)所述動作指令所對應的軌跡范圍確定所獲取的動作軌跡是否在所述軌跡范圍內(nèi)����,若是�,則確定所述動作軌跡來自活體用戶,若否�����,則不能判定所述用戶為活體,并重新向所述用戶發(fā)送隨機的動作指令�����;以及根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的用戶跟隨所述動作指令來做動作的視頻信息中選取一幅臉部圖像信息�����。
[0009]優(yōu)選地�����,根據(jù)預設的人臉姿態(tài)規(guī)則從所述視頻信息中選取一幅臉部圖像信息的方式包括:從所述視頻信息中提取多幅臉部圖像信息�,并根據(jù)所述人臉姿態(tài)規(guī)則對所提取的多幅臉部圖像信息進行識別,選擇識別結(jié)果最高者所對應的臉部圖像信息���。
[0010]優(yōu)選地�,根據(jù)匹配度來進行所述個人信息的實名認證的方式包括:所述匹配度高于第一閾值��,則認證所述個人信息通過�;所述匹配度低于第二閾值,則認證所述個人信息不予通過���;所述匹配度在第一閾值和第二閾值之間�,則將所述個人信息和所選取的臉部圖像信息交由人工審核,并根據(jù)人工審核結(jié)果來認證所述個人信息是否通過��。
[0011]優(yōu)選地����,在通過實名認證后���,所述方法還包括:按照預設規(guī)則生成對應于所述數(shù)字證書的私鑰保護密碼���;或者,向所述用戶提供設定私鑰保護密碼的界面����,以便由所述用戶自行設定所述私鑰保護密碼。
[0012]基于上述目的���,本發(fā)明還提供一種非現(xiàn)場個人數(shù)字證書申請系統(tǒng)�,包括:獲取單元����,用于獲取用戶的包含身份證信息的個人信息��,并獲取用戶的臉部圖像信息�;遠程調(diào)取單元�,用于根據(jù)所述身份證信息從全國公民身份信息庫調(diào)取所對應的身份證的證件照信息;實名認證單元�����,用于將所述臉部圖像信息與所調(diào)取的證件照信息進行匹配�,并根據(jù)匹配度來進行所述個人信息的實名認證,在通過實名認證時輸出實名認證成功指令�����;數(shù)字證書生成單元�����,用于在接收到所述實名認證成功指令時�����,生成對應于所述個人信息的密鑰對���,并根據(jù)所述個人信息和所述密鑰對中的公鑰簽發(fā)數(shù)字證書�����,并輸出包含所述數(shù)字證書的封包���;數(shù)字證書發(fā)送單元���,用于將包含所述數(shù)字證書的封包提供給所述用戶���。
[0013]優(yōu)選地�,所述獲取單元包括:圖像行為提取模塊��,用于探測所述用戶所使用的個人終端已開啟攝像裝置����,并根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的視頻信息中選取一幅臉部圖像信息。
[0014]優(yōu)選地����,所述圖像行為提取模塊還包括:行為軌跡提取子模塊,用于向所述用戶發(fā)送隨機的動作指令�,提取所述用戶根據(jù)所述動作指令所做的動作軌跡;行為軌跡確定子模塊,用于根據(jù)所述動作指令所對應的軌跡范圍確定所獲取的動作軌跡是否在所述軌跡范圍內(nèi)����,若是,則確定所述動作軌跡來自活體用戶�,若否,則不能判定所述用戶為活體��,并發(fā)送指令至所述行為軌跡提取子模塊���,以重新向所述用戶發(fā)送隨機的動作指令�;以及臉部圖像提取子模塊���,用于根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的用戶跟隨所述動作指令來做動作的視頻信息中選取一幅臉部圖像信息����。
[0015]優(yōu)選地�,所述圖像行為提取模塊用于從所述視頻信息中提取多幅臉部圖像信息,并根據(jù)所述人臉姿態(tài)規(guī)則對所提取的多幅臉部圖像信息進行識別����,選擇識別結(jié)果最高者所對應的臉部圖像信息。
[0016]優(yōu)選地����,所述實名認證單元還用于在確定所述匹配度高于第一閾值時�,認證所述個人信息通過���;在確定所述匹配度低于第二閾值時�����,認證所述個人信息不予通過��;在確定所述匹配度在第一閾值和第二閾值之間時��,將所述個人信息和所選取的臉部圖像信息交由人工審核����,并根據(jù)人工審核結(jié)果來認證所述個人信息是否通過�����。
[0017]優(yōu)選地�����,所述數(shù)字證書生成單元還用于按照預設規(guī)則生成對應于所述數(shù)字證書的私鑰保護密碼���;或者��,用于向所述用戶提供設定私鑰保護密碼的界面�����,以便由所述用戶自行設定所述私鑰保護密碼�����。
[0018]如上所述���,本發(fā)明的非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng),具有以下有益效果:由用戶提供個人信息和臉部圖像信息����,并將臉部圖像信息與公安部所提供的全國公民身份信息庫中所調(diào)取的證件照信息進行識別,以得到權(quán)威的��、受法律認可的實名認證���,能夠避免用戶現(xiàn)場辦理數(shù)字證書所帶來的時間消耗����、效率低下等缺點。
【專利附圖】
【附圖說明】
[0019]圖1顯示為本發(fā)明的非現(xiàn)場個人數(shù)字證書申請方法的流程圖����。
[0020]圖2顯示為本發(fā)明的非現(xiàn)場個人數(shù)字證書申請方法中一種優(yōu)選方式的流程圖。
[0021]圖3顯示為本發(fā)明的非現(xiàn)場個人數(shù)字證書申請方法中又一種優(yōu)選方式的流程圖���。
[0022]圖4顯示為本發(fā)明的非現(xiàn)場個人數(shù)字證書申請系統(tǒng)的結(jié)構(gòu)示意圖�。[0023]元件標號說明
[0024]I非現(xiàn)場個人數(shù)字證書申請系統(tǒng)
[0025]11獲取單元
[0026]12遠程調(diào)取單元
[0027]13實名認證單元
[0028]14數(shù)字證書生成單元
[0029]15數(shù)字證書發(fā)送單元
[0030]SI ~S4�����、S1���,���、S11、S12�����、S13 步驟
【具體實施方式】
[0031]以下通過特定的具體實例說明本發(fā)明的實施方式���,本領域技術(shù)人員可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效����。本發(fā)明還可以通過另外不同的【具體實施方式】加以實施或應用�,本說明書中的各項細節(jié)也可以基于不同觀點與應用,在沒有背離本發(fā)明的精神下進行各種修飾或改變�。需說明的是,在不沖突的情況下�,以下實施例及實施例中的特征可以相互組合。
[0032]請參閱圖1����、2,本發(fā)明提供一種非現(xiàn)場個人數(shù)字證書申請方法�。所述申請方法通過遠程獲取人臉圖像的方式來進行實名認證,并根據(jù)用戶所提供的個人信息來制作數(shù)字證書���。所述申請方法主要由申請系統(tǒng)來執(zhí)行���,其中,所述申請系統(tǒng)為安裝在服務端的軟件��,所述服務端能夠通過網(wǎng)絡與用戶的個人終端進行通信�����,且能夠?qū)⒉糠诌\算過程推送至所述個人終端,由所述個人終端來處理��,以便降低服務端的系統(tǒng)負擔���。所述服務端包括但不限于:服務器���、基于云架構(gòu)的服務器群、集群式服務器等����。所述個人終端內(nèi)置或外接攝像裝置。所述個人終端包括但不限于:個人計算機�����、手機�、平板電腦等。
[0033]在步驟SI中����,所述申請系統(tǒng)獲取用戶的包含身份證信息的個人信息,并獲取用戶的臉部圖像信息�。其中���,所述個人信息還包括:手機號碼����、社保卡號�、郵箱地址、護照號碼等����。
[0034]具體地,用戶在個人終端登錄所述申請系統(tǒng)所提供的網(wǎng)頁來輸入所述個人信息和寸照電子版并提交�����,則所述申請系統(tǒng)獲取所述個人信息和所述寸照電子版(即所述臉部圖像信息)���。[0035]優(yōu)選地���,所述申請系統(tǒng)獲取用戶的臉部圖像信息的方式除了直接獲取寸照電子版之外,還可以由步驟SI’來執(zhí)行:
[0036]在步驟SI’中��,所述申請系統(tǒng)探測所述用戶所使用的個人終端已開啟攝像裝置���,并根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的視頻信息中選取一幅臉部圖像信息�。(如圖2所示)
[0037]具體地,所述申請系統(tǒng)通過嵌入在所述認證網(wǎng)頁中的腳本來探測所述個人終端的攝像裝置是否開啟�,若未開啟,則提示用戶開啟所述攝像裝置或直接開啟所述攝像裝置��,反之��,則獲取所述攝像裝置所攝取的視頻信息�����。同時仍利用嵌入在所述認證網(wǎng)頁中的腳本中所設置的人臉姿態(tài)規(guī)則���,從所攝取的視頻信息中選取一幅臉部圖像信息����。其中�����,所述人臉姿態(tài)規(guī)則包括但不限于:由眼鼻口之間的位置關系所構(gòu)成的各種參數(shù)�����。例如,左外眼角��、右外眼角���、鼻尖等特征點。
[0038]優(yōu)選地���,所述申請系統(tǒng)從所述視頻信息中提取多幅圖像信息�����,并利用預設的人臉的特征信息依次對所提取的多幅圖像信息進行人臉識別��,并從中選擇至少一幅圖像信息以進行人臉姿態(tài)的識別����,根據(jù)所述人臉姿態(tài)規(guī)則依次對所選擇的各幅圖像信息進行人臉姿態(tài)識別����,選擇識別結(jié)果最高者所對應的圖像信息為臉部圖像信息,若經(jīng)過人臉識別�����,未能從所提取的多幅圖像信息中選出一幅圖像信息,則認定所述視頻信息中不包含人臉��,則提示所述用戶調(diào)整姿態(tài)����,將面部對準所述攝像裝置,以便重新攝取�����。
[0039]其中��,在探測所述用戶所使用的個人終端已開啟攝像裝置時�����,所述申請方法還包括:步驟S11����、步驟S12、和步驟S13��。如圖3所示����。
[0040]在步驟Sll中��,所述申請系統(tǒng)向所述用戶發(fā)送隨機的動作指令���,提取所述用戶根據(jù)所述動作指令所做的動作軌跡。其中����,所述動作指令包括但不限于:眨動眼睛�、張開嘴巴、轉(zhuǎn)動頭部等動作及組合動作指令�����。
[0041]具體地����,所述申請系統(tǒng)從預存的動作指令中隨機選取一個或一組動作指令,并通過網(wǎng)頁發(fā)送給用戶所在的個人終端��,以提示用戶跟隨所述動作指令來做動作����。其中,所述網(wǎng)頁中還包括嵌入在認證頁面中的用于提取運動軌跡的腳本����,該腳本在被執(zhí)行時����,從所攝取的視頻信息中將視頻中的運動軌跡提取出來���。
[0042]在步驟12中���,所述申請系統(tǒng)根據(jù)所述動作指令所對應的軌跡范圍確定所獲取的動作軌跡是否在所述軌跡范圍內(nèi),若是��,則確定所述動作軌跡來自活體用戶�����,若否�����,則不能判定所述用戶為活體���,并重新向所述用戶發(fā)送隨機的動作指令�。
[0043]在確定所要認證的用戶為活體用戶時��,所述申請系統(tǒng)按照人臉姿態(tài)規(guī)則,從所攝取的視頻信息中選取一幅臉部圖像信息���。
[0044]在步驟S13中�,所述申請系統(tǒng)根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的用戶跟隨所述動作指令來做動作的視頻信息中選取一幅臉部圖像信息�����。
[0045]例如���,所述申請系統(tǒng)向用戶發(fā)送的動作指令為轉(zhuǎn)動頭部指令,則所述申請系統(tǒng)中位于所述用戶的個人終端的部分一邊將預設時間內(nèi)所攝取的視頻信息進行動作軌跡的提取���,一邊從所攝取的視頻信息中選擇一幅臉部圖像信息����,并將所提取的動作軌跡和臉部圖像信息發(fā)送給所述申請系統(tǒng)中位于服務端的部分����,則所述申請系統(tǒng)中位于服務端的部分根據(jù)所述轉(zhuǎn)頭指令所對應的轉(zhuǎn)頭軌跡范圍來確定所獲取的動作軌跡是否在所述轉(zhuǎn)頭軌跡范圍內(nèi),若是�����,則確定所述動作軌跡來自活體用戶,若否���,則確認所述動作軌跡來自錄像或圖片或所述用戶未按照動作指令來做動作�,則返回步驟S11�����。進一步的����,當在預設次數(shù)內(nèi),均無法確認所述動作軌跡來自活體用戶��,則不予進行實名認證�。其中,所述預設時間應確保用戶做完相應的動作的時間���。
[0046]優(yōu)選地�����,當所述申請系統(tǒng)無法從所述視頻信息中選取一幅臉部圖像信息時��,重復執(zhí)行步驟S11��,提示所述用戶重新攝取視頻信息和/或向所述用戶發(fā)送動作指令�,并重新攝取視頻信息。
[0047]需要說明的是����,所述步驟S11、S12����、S13并非一定按順序執(zhí)行,步驟Sll和S13可同步執(zhí)行�����,之后執(zhí)行步驟S12�?����;蛘?����,根據(jù)設計需要先執(zhí)行步驟S13���,再執(zhí)行步驟Sll和S12���。
[0048]在步驟S2中���,所述申請系統(tǒng)根據(jù)所述身份證信息從全國公民身份信息庫調(diào)取所對應的身份證的證件照信息。
[0049]具體地�����,所述申請系統(tǒng)通過與全國公民身份信息庫的接口����,將所獲取的身份證信息提供給所述全國公民身份信息庫,并獲取所述全國公民身份信息庫所反饋的所述身份證信息所對應的證件照信息�。
[0050]需要說明的是,步驟S1����、S2并非一定按順序執(zhí)行,也可以先執(zhí)行步驟SI中的獲取個人信息部分��,再執(zhí)行步驟S2��,再返回執(zhí)行步驟SI中的獲取臉部圖像信息。
[0051]在步驟S3中���,所述申請系統(tǒng)將所選取的臉部圖像信息與所調(diào)取的證件照信息進行匹配�,并根據(jù)匹配度來進行所述個人信息的實名認證��。
[0052]具體地�����,所述申請系統(tǒng)根據(jù)預設的匹配規(guī)則將所選取的臉部圖像信息與所調(diào)取的證件照信息各自的特征信息進行匹配���,當匹配度大于預設值時�,則認定所述個人信息通過�,反之,則不予通過�����。
[0053]優(yōu)選地����,所述申請系統(tǒng)預先設置第一閾值和第二閾值����,當所述匹配度高于第一閾值����,則認證所述個人信息通過����;所述匹配度低于第二閾值,則認證所述個人信息不予通過���;所述匹配度在第一閾值和第二閾值之間�����,則將所述個人信息和所選取的臉部圖像信息交由人工審核����,并根據(jù)人工審核結(jié)果來認證所述個人信息是否通過�。
[0054]如此,用戶在進行實名認證時����,無需到營業(yè)廳等現(xiàn)場辦理,只需在帶有攝像裝置的個人終端旁����,即可通過所述申請系統(tǒng)進行實名認證��。
[0055]在步驟S4中����,所述申請系統(tǒng)在通過實名認證后��,生成對應于所述個人信息的密鑰對���,并根據(jù)所述個人信息和所述密鑰對中的公鑰簽發(fā)數(shù)字證書��。
[0056]具體地����,所述申請系統(tǒng)生成與所述個人信息對應匹配的密鑰對���;再根據(jù)所述個人信息和所述密鑰對中的公鑰制作數(shù)字證書�����,將所述數(shù)字證書和所述私鑰按照步驟S5所述方式提供給所述用戶����。其中�,所述數(shù)字證書包括但不限于:簽名證書、加密證書中的至少一種��。
[0057]優(yōu)選地�����,所述申請系統(tǒng)還按照預設規(guī)則生成對應于所述數(shù)字證書的私鑰保護密碼���。例如���,所述申請系統(tǒng)先隨機的或按照個人信息生成與所述數(shù)字證書唯一對應匹配的私鑰保護密碼。
[0058]或者���,所述申請系統(tǒng)向所述用戶提供設定私鑰保護密碼的界面���,以便由所述用戶自行設定所述私鑰保護密碼。
[0059]另外�,上述數(shù)字證書制作過程可以由單個服務端來執(zhí)行;也可以由多個服務端配合執(zhí)行��,以分擔各服務端的系統(tǒng)負載����。當所述申請系統(tǒng)由多個服務端配合執(zhí)行數(shù)字證書的制作過程時����,所述步驟S4還包括:步驟S41�����、S42�、S43、S44�����、S45��、S46�、S47 (均未予圖示)。
[0060]步驟S41�,由證書注冊管理服務端接收所述實名認證成功指令,并基于所述實名認證成功指令生成對應于所述個人信息的簽名密鑰對��,并將所述簽名密碼對中的簽名公鑰通過安全通道發(fā)送至證書簽發(fā)管理服務端����;
[0061]步驟S42�,所述證書簽發(fā)管理服務端驗證證書注冊管理服務端送來的簽名公鑰�����,并通過安全通道向密鑰管理服務端申請加密密鑰對(包括加密公鑰和加密私鑰)�����。
[0062]步驟S43�����,所述密鑰管理服務端生成加密密鑰對�,并使用簽名公鑰將加密私鑰打包到數(shù)字信封中�����,再通過安全通道將加密公鑰以及打包在數(shù)字信封中的加密私鑰返回給證書簽發(fā)管理服務端��。
[0063]步驟S44��,所述證書簽發(fā)管理服務端根據(jù)返回來的信息簽發(fā)簽名證書和加密證書�,根據(jù)所簽發(fā)的簽名證書和加密證書生成私鑰保護密碼,并保存簽名證書�����、加密證書、加密公鑰以及打包在數(shù)字信封中的加密私鑰�����。
[0064]步驟S45�����,所述證書注冊管理服務端將各證書下載請求通過安全通道發(fā)送給證書簽發(fā)管理服務端����。
[0065]步驟S46,所述證書簽發(fā)管理服務端驗證各證書注冊管理服務端證書下載請求�,并將簽名證書、加密證書���、加密公鑰以及打包在數(shù)字信封中的加密私鑰通過安全信道傳給證書注冊管理服務端��。
[0066]步驟S47��,所述證書注冊管理服務端調(diào)用所述簽名私鑰解開數(shù)字信封獲取加密私鑰�,并保存簽名證書����、加密證書��、簽名密鑰對以及加密密鑰對���。
[0067]需要說明的是,本領域技術(shù)人員應該理解���,上述步驟S41-47中所生成的數(shù)字證書包含簽名證書和加密證書僅為舉例,而非對本發(fā)明的限制����。實際上,所生成的數(shù)字證書的種類�、數(shù)量和用途由認證機構(gòu)根據(jù)規(guī)則自行確定。
[0068]在步驟S5中�����,所述申請系統(tǒng)將包含所述數(shù)字證書的封包提供給所述用戶����。
[0069]具體地,所述申請系統(tǒng)根據(jù)所述個人信息中所提供的郵箱��、網(wǎng)盤、住址等聯(lián)系信息����,將包含所述數(shù)字證書的封包通過郵件、快遞等方式發(fā)送所述用戶�。
[0070]優(yōu)選地,所述申請系統(tǒng)將包含所述數(shù)字證書和所述密鑰對中私鑰的封包保存在USB存儲設備中����;并且所述私鑰保護密碼由所述申請系統(tǒng)設置而成,所述申請系統(tǒng)將所述私鑰保護密碼印制在密碼信封中�����。所述申請系統(tǒng)按照所述個人信息中的地址信息將所述USB存儲設備和所述密碼信封一并郵寄給所述用戶��。其中���,所述USB存儲設備包括但不限于=USBKey智能密碼鑰匙�����。
[0071]如圖4所示�����,本發(fā)明還提供一種非現(xiàn)場個人數(shù)字證書申請系統(tǒng)����。所述申請系統(tǒng)為安裝在服務端的軟件,所述服務端能夠通過網(wǎng)絡與用戶的個人終端進行通信��,且能夠?qū)⒉糠诌\算過程推送至所述個人終端����,由所述個人終端來處理,以便降低服務端的系統(tǒng)負擔�。所述服務端包括但不限于:服務器��、基于云架構(gòu)的服務器群�����、集群式服務器等��。所述個人終端內(nèi)置或外接攝像裝置�����。所述個人終端包括但不限于:個人計算機、手機����、平板電腦等。
[0072]所述申請系統(tǒng)I包括:獲取單元11���、遠程調(diào)取單元12����、實名認證單元13����、數(shù)字證書生成單元14和數(shù)字證書發(fā)送單元15。其中���,所述遠程調(diào)取單元12����、實名認證單元13位于所述服務端���。所述獲取單元11可以為位于所述服務端�,也可以被推送至所述個人終端��,還可以部分的位于所述服務端、且部分的被推送至所述個人終端��,由所述個人終端來執(zhí)行���。[0073]所述獲取單元11用于獲取用戶的包含身份證信息的個人信息��,并獲取用戶的臉部圖像信息���。其中,所述個人信息還包括:手機號碼�����、社?��?ㄌ?��、郵箱地址�����、護照號碼等���。
[0074]具體地�,用戶在個人終端登錄所述獲取單元11所提供的網(wǎng)頁來輸入所述個人信息和寸照電子版并提交,則所述獲取單元11獲取所述個人信息和所述寸照電子版(即所述臉部圖像信息)��。
[0075]優(yōu)選地�,所述獲取單元11獲取用戶的臉部圖像信息的方式除了直接獲取寸照電子版之外,還可以由其中的圖像行為提取模塊通過安裝在個人終端的攝像裝置來獲取�。
[0076]所述圖像行為提取模塊用于探測所述用戶所使用的個人終端已開啟攝像裝置,并根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的視頻信息中選取一幅臉部圖像信息����。
[0077]具體地,所述圖像行為提取模塊由嵌入在所述網(wǎng)頁中的腳本來執(zhí)行�。在該腳本運行時探測所述個人終端的攝像裝置是否開啟,若未開啟����,則提示用戶開啟所述攝像裝置或直接開啟所述攝像裝置,反之��,則獲取所述攝像裝置所攝取的視頻信息��。同時��,該腳本中還設置的人臉姿態(tài)規(guī)則���,在運行時���,所述獲取單元11根據(jù)所述人臉姿態(tài)規(guī)則從所攝取的視頻信息中選取一幅臉部圖像信息��。其中��,所述人臉姿態(tài)規(guī)則包括但不限于:由眼鼻口之間的位置關系所構(gòu)成的各種參數(shù)��。例如��,左外眼角���、右外眼角、鼻尖等特征點��。
[0078]優(yōu)選地��,所述圖像行為提取模塊從所述視頻信息中提取多幅圖像信息�����,并利用預設的人臉的特征信息依次對所提取的多幅圖像信息進行人臉識別��,并從中選擇至少一幅圖像信息以進行人臉姿態(tài)的識別��,根據(jù)所述人臉姿態(tài)規(guī)則依次對所選擇的各幅圖像信息進行人臉姿態(tài)識別�����,選擇識別結(jié)果最高者所對應的圖像信息為臉部圖像信息��,若經(jīng)過人臉識別�,未能從所提取的多幅圖像信息中選出一幅圖像信息,則認定所述視頻信息中不包含人臉�,則提示所述用戶調(diào)整姿態(tài),將面部對準所述攝像裝置�,以便重新攝取。
[0079]其中�,為了防止別有用心的人利用錄像等視頻來冒充,所述圖像行為提取模塊還包括:行為軌跡提取子模塊���、行為軌跡確定子模塊和臉部圖像提取子模塊(均未予圖示)�����。
[0080]所述行為軌跡提取子模塊用于在探測所述用戶所使用的個人終端已開啟攝像裝置時�,向所述用戶發(fā)送隨機的動作指令��,提取所述用戶根據(jù)所述動作指令所做的動作軌跡����。其中�,所述動作指令包括但不限于:眨動眼睛����、張開嘴巴、轉(zhuǎn)動頭部等動作指令����。
[0081]具體地,所述行為軌跡提取子模塊將預存的動作指令中隨機選取一個或一組動作指令����,并通過網(wǎng)頁發(fā)送給用戶所在的個人終端,以提示用戶跟隨所述動作指令來做動作���。其中���,所述網(wǎng)頁中還包括嵌入在該網(wǎng)頁中的用于提取運動軌跡的腳本,該腳本在被執(zhí)行時����,從所攝取的視頻信息中將視頻中的運動軌跡提取出來。
[0082]所述行為軌跡確定子模塊用于根據(jù)所述動作指令所對應的軌跡范圍確定所獲取的動作軌跡是否在所述軌跡范圍內(nèi)�����,若是����,則確定所述動作軌跡來自活體用戶,若否����,則不能判定所述用戶為活體,并向所述行為軌跡提取子模塊發(fā)出指令�����,以重新向所述用戶發(fā)送隨機的動作指令�����。
[0083]所述臉部圖像提取子模塊用于根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的用戶跟隨所述動作指令來做動作的視頻信息中選取一幅臉部圖像信息�����。
[0084]在確定所要認證的用戶為活體用戶時��,所述臉部圖像提取子模塊按照人臉姿態(tài)規(guī)則��,從所攝取的視頻信息中選取一幅臉部圖像信息。
[0085]例如�����,所述行為軌跡提取子模塊將隨機選取的轉(zhuǎn)動頭部指令推送至用戶�����,并將預設時間內(nèi)所攝取的視頻信息進行動作軌跡的提取����,并將所提取的動作軌跡和臉部圖像信息發(fā)送給所述行為軌跡確定子模塊,則所述行為軌跡確定子模塊根據(jù)所述轉(zhuǎn)頭指令所對應的轉(zhuǎn)頭軌跡范圍來確定所獲取的動作軌跡是否在所述轉(zhuǎn)頭軌跡范圍內(nèi)���,若是�,則確定所述動作軌跡來自活體用戶����,若否,則確認所述動作軌跡來自錄像或圖片或所述用戶未按照動作指令來做動作�,則輸出指令至所述行為軌跡提取子模塊,以便所述行為軌跡提取子模塊重新向所述用戶發(fā)送隨機的動作指令��。進一步的,當在預設次數(shù)內(nèi)��,均無法確認所述動作軌跡來自活體用戶����,則不予進行實名認證����;與此同時,所述臉部圖像提取子模塊還從所攝取的視頻信息中選擇一幅臉部圖像信息���。其中���,所述預設時間應確保用戶做完相應的動作的時間。
[0086]優(yōu)選地���,當所述臉部圖像提取子模塊無法從所述視頻信息中選取一幅臉部圖像信息時����,提示所述用戶重新攝取視頻信息和/或向所述用戶發(fā)送動作指令�����,并再次攝取視頻信息。
[0087]需要說明的是���,所述行為軌跡提取子模塊����、行為軌跡確定子模塊�����、臉部圖像提取子模塊并非一定按順序執(zhí)行��,所述行為軌跡提取子模塊和臉部圖像提取子模塊可同步執(zhí)行��,之后執(zhí)行行為軌跡確定子模塊��?���;蛘撸鶕?jù)設計需要先執(zhí)行臉部圖像提取子模塊����,再執(zhí)行行為軌跡提取子模塊和行為軌跡確定子模塊。
[0088]所述遠程調(diào)取單元12與所述獲取單元11相連����,用于根據(jù)所述身份證信息從全國公民身份信息庫調(diào)取所對應的身份證的證件照信息��。
[0089]具體地����,所述遠程調(diào)取單元12通過與全國公民身份信息庫的接口��,將所獲取的身份證信息提供給所述全國公民身份信息庫��,并獲取所述全國公民身份信息庫所反饋的所述身份證信息所對應的證件照信息�。
[0090]需要說明的是�,所述圖像行為提取模塊和遠程調(diào)取單元12并非一定按順序執(zhí)行,也可以先執(zhí)行遠程調(diào)取單元12再執(zhí)行圖像行為提取模塊�,或者同時執(zhí)行。
[0091]所述實名認證單元13與所述獲取單元11和遠程調(diào)取單元12相連�,用于將所選取的臉部圖像信息與所調(diào)取的證件照信息進行匹配,并根據(jù)匹配度來進行所述個人信息的實名認證��,在通過實名認證時輸出實名認證成功指令�����。
[0092]具體地����,所述實名認證單元13根據(jù)預設的匹配規(guī)則將所選取的臉部圖像信息與所調(diào)取的證件照信息各自的特征信息進行匹配��,當匹配度大于預設值時���,則認定所述個人信息通過,并輸出實名認證成功指令�,反之,則不予通過���。
[0093]優(yōu)選地�,所述實名認證單元13預先設置第一閾值和第二閾值��,當所述匹配度高于第一閾值���,則認證所述個人信息通過��;所述匹配度低于第二閾值����,則認證所述個人信息不予通過����;所述匹配度在第一閾值和第二閾值之間�����,則將所述個人信息和所選取的臉部圖像信息交由人工審核�,并根據(jù)人工審核結(jié)果來認證所述個人信息是否通過�����。若認定所述個人信息通過��,則輸出實名認證成功指令���,反之���,則不予通過���。
[0094]所述數(shù)字證書生成單元14用于在接收到所述實名認證成功指令時����,生成對應于所述個人信息的密鑰對�����,再根據(jù)所述個人信息和所述密鑰對中的公鑰簽發(fā)數(shù)字證書,并輸出包含所述數(shù)字證書的封包�����。
[0095]具體地���,所述數(shù)字證書生成單元14生成與所述個人信息對應匹配的密鑰對����;再根據(jù)所述個人信息和所述密鑰對中的公鑰制作數(shù)字證書����,并將所述密鑰對中的公鑰保存在服務端,將包含所述數(shù)字證書的封包輸至所述數(shù)字證書發(fā)送單元15�����。其中��,所述數(shù)字證書包括但不限于:簽名證書�����、加密證書中的至少一種����。
[0096]優(yōu)選地�����,所述數(shù)字證書生成單元14還按照預設規(guī)則生成對應于所述數(shù)字證書的私鑰保護密碼��。例如��,所述數(shù)字證書生成單元14隨機的或按照個人信息生成與所述數(shù)字證書唯一對應匹配的私鑰保護密碼��。
[0097]或者���,所述數(shù)字證書生成單元14向所述用戶提供設定私鑰保護密碼的界面,以便由所述用戶自行設定所述私鑰保護密碼����。
[0098]另外,上述數(shù)字證書制作過程可以由單個服務端來執(zhí)行�;也可以由多個服務端配合執(zhí)行����,以分擔各服務端的系統(tǒng)負載。當所述數(shù)字證書生成單元14由多個服務端配合執(zhí)行數(shù)字證書的制作過程時�����,所述數(shù)字證書生成單元14包括:位于證書注冊管理服務端的證書注冊管理模塊、位于證書簽發(fā)管理服務端的證書簽發(fā)管理模塊�、以及位于密鑰管理服務端的密鑰管理模塊(均未予圖示)。
[0099]具體地���,由所述證書注冊管理模塊接收所述實名認證成功指令�,并基于所述實名認證成功指令生成對應于所述個人信息的簽名密鑰對���,并將所述簽名密碼對中的簽名公鑰通過安全通道發(fā)送至證書簽發(fā)管理模塊��;
[0100]所述證書簽發(fā)管理模塊驗證證書注冊管理模塊送來的簽名公鑰�,并通過安全通道向密鑰管理模塊申請加密密鑰對(包括加密公鑰和加密私鑰)��。
[0101]所述密鑰管理模塊生成加密密鑰對���,并使用簽名公鑰將加密私鑰打包到數(shù)字信封中���,再通過安全通道將加密公鑰以及打包在數(shù)字信封中的加密私鑰返回給證書簽發(fā)管理模塊。
[0102]所述證書簽發(fā)管理模塊根據(jù)返回來的信息簽發(fā)簽名證書和加密證書���,根據(jù)所簽發(fā)的簽名證書和加密證書生成私鑰保護密碼,并保存簽名證書、加密證書����、加密公鑰以及打包在數(shù)字信封中的加密私鑰。
[0103]所述證書注冊管理模塊將證書下載請求通過安全通道發(fā)送給證書簽發(fā)管理模塊�����。
[0104]所述證書簽發(fā)管理模塊驗證證書注冊管理模塊證書下載請求��,并將數(shù)字簽名證書���、加密證書、加密公鑰以及打包在數(shù)字信封中的加密私鑰通過安全信道傳給證書注冊管理模塊���。
[0105]所述證書注冊管理模塊調(diào)用所述簽名私鑰解開數(shù)字信封獲取加密私鑰��,并保存簽名證書��、加密證書�����、簽名密鑰對以及加密密鑰對,并將所述私鑰保護密碼���、簽名證書��、加密證書和所述私鑰輸至所述數(shù)字證書發(fā)送單元15�����,其中����,所述私鑰包括:簽名私鑰和加密私鑰。
[0106]需要說明的是����,本領域技術(shù)人員應該理解,上述所生成的數(shù)字證書包含簽名證書和加密證書僅為舉例��,而非對本發(fā)明的限制���。實際上�����,所生成的數(shù)字證書的種類�����、數(shù)量和用途由認證機構(gòu)根據(jù)規(guī)則自行確定���。
[0107]所述數(shù)字證書發(fā)送單元15用于將所接收到的包含所述數(shù)字證書的封包提供給所述用戶��。
[0108]具體地���,所述數(shù)字證書發(fā)送單元15根據(jù)所述個人信息中所提供的郵箱、網(wǎng)盤�����、住址等聯(lián)系信息����,將包含所述數(shù)字證書的封包通過郵件、快遞等方式發(fā)送所述用戶��。
[0109]優(yōu)選地��,所述數(shù)字證書發(fā)送單元15將包含所述數(shù)字證書和所述密鑰對中私鑰的封包保存在USB存儲設備中��;并且所述私鑰保護密碼由所述申請系統(tǒng)設置而成����,所述數(shù)字證書發(fā)送單元15將所述私鑰保護密碼印制在密碼信封中��。所述數(shù)字證書發(fā)送單元15按照所述個人信息中的地址信息將所述USB存儲設備和所述密碼信封一并郵寄給所述用戶。其中�,所述USB存儲設備包括但不限于=USBKey智能密碼鑰匙。
[0110]綜上所述����,本發(fā)明的非現(xiàn)場個人數(shù)字證書申請方法及系統(tǒng),由用戶提供個人信息和臉部圖像信息���,并將臉部圖像信息與公安部所提供的全國公民身份信息庫中所調(diào)取的證件照信息進行識別���,以得到權(quán)威的、受法律認可的實名認證�,能夠避免用戶現(xiàn)場辦理數(shù)字證書所帶來的時間消耗、效率低下等缺點�;另外,利用用戶的攝像裝置所攝取的視頻信息來選取臉部圖像信息�,能夠有效解決非面對面?zhèn)€人網(wǎng)絡身份鑒定的難題,并通過與全國公民身份信息庫中身份證上的證件照信息進行比對來進行用戶的實名認證����,既能確保身份證的證件照信息來源可靠�,又能通過自動比對來減少人工核實的工作量���,讓用戶可以隨時隨地快速完成實名認證���,同時由于不需要用戶提供身份證電子版,能夠有效防止身份證的冒用�����、盜用現(xiàn)象發(fā)生�����;另外�����,為了防止別有用心的人利用錄像來冒用實名身份���,本發(fā)明還要求用戶跟著隨機的動作指令來做動作�����,并根據(jù)所做動作的動作軌跡是否在動作指令所對應的軌跡范圍內(nèi)來進行識別��。所以����,本發(fā)明有效克服了現(xiàn)有技術(shù)中的種種缺點而具高度產(chǎn)業(yè)利用價值。
[0111]上述實施例僅例示性說明本發(fā)明的原理及其功效�����,而非用于限制本發(fā)明�����。任何熟悉此技術(shù)的人士皆可在不違背本發(fā)明的精神及范疇下���,對上述實施例進行修飾或改變。因此�����,舉凡所屬【技術(shù)領域】中具有通常知識者在未脫離本發(fā)明所揭示的精神與技術(shù)思想下所完成的一切等效修飾或改變�����,仍應由本發(fā)明的權(quán)利要求所涵蓋���。
【權(quán)利要求】
1.一種非現(xiàn)場個人數(shù)字證書申請方法���,其特征在于�����,包括: 獲取用戶的包含身份證信息的個人信息���,并獲取用戶的臉部圖像信息; 根據(jù)所述身份證信息從全國公民身份信息庫調(diào)取所對應的身份證的證件照信息����; 將所述臉部圖像信息與所調(diào)取的證件照信息進行匹配,并根據(jù)匹配度來進行所述個人信息的實名認證����; 在通過實名認證后,生成對應于所述個人信息的密鑰對���,并根據(jù)所述個人信息和所述密鑰對中的公鑰簽發(fā)數(shù)字證書��; 將包含所述數(shù)字證書的封包提供給所述用戶����。
2.根據(jù)權(quán)利要求1所述的非現(xiàn)場個人數(shù)字證書申請方法,其特征在于�,獲取用戶的臉部圖像信息的方式包括: 探測所述用戶所使用的個人終端已開啟攝像裝置,并根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的視頻信息中選取一幅臉部圖像信息�。
3.根據(jù)權(quán)利要求2所述的非現(xiàn)場個人數(shù)字證書申請方法,其特征在于���,在探測所述用戶所使用的個人終端已開啟攝像裝置時���,所述獲取用戶的臉部圖像信息的方法還包括: 向所述用戶發(fā)送隨機的動作指令,提取所述用戶根據(jù)所述動作指令所做的動作軌跡��; 根據(jù)所述動作指令所對應的軌跡范圍確定所獲取的動作軌跡是否在所述軌跡范圍內(nèi)����,若是����,則確定所述動作軌跡來自活體用戶,若否��,則不能判定所述用戶為活體�����,并重新向所述用戶發(fā)送隨機的動作指令;以及 根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的用戶跟隨所述動作指令來做動作的視頻信息中選取一幅臉部圖像信`息�。
4.根據(jù)權(quán)利要求2或3所述的非現(xiàn)場個人數(shù)字證書申請方法,其特征在于�,根據(jù)預設的人臉姿態(tài)規(guī)則從所述視頻信息中選取一幅臉部圖像信息的方式包括:從所述視頻信息中提取多幅臉部圖像信息,并根據(jù)所述人臉姿態(tài)規(guī)則對所提取的多幅臉部圖像信息進行識別����,選擇識別結(jié)果最高者所對應的臉部圖像信息。
5.根據(jù)權(quán)利要求1所述的非現(xiàn)場個人數(shù)字證書申請方法����,其特征在于,根據(jù)匹配度來進行所述個人信息的實名認證的方式包括:所述匹配度高于第一閾值���,則認證所述個人信息通過�����;所述匹配度低于第二閾值���,則認證所述個人信息不予通過;所述匹配度在第一閾值和第二閾值之間��,則將所述個人信息和所選取的臉部圖像信息交由人工審核,并根據(jù)人工審核結(jié)果來認證所述個人信息是否通過�����。
6.根據(jù)權(quán)利要求1所述的非現(xiàn)場個人數(shù)字證書申請方法�,其特征在于,在通過實名認證后���,所述方法還包括:按照預設規(guī)則生成對應于所述數(shù)字證書的私鑰保護密碼��;或者����,向所述用戶提供設定所述私鑰保護密碼的界面�����,以便由所述用戶自行保存所設定的私鑰保護密碼����。
7.一種非現(xiàn)場個人數(shù)字證書申請系統(tǒng)��,其特征在于�����,包括: 獲取單元,用于獲取用戶的包含身份證信息的個人信息��,并獲取用戶的臉部圖像信息���; 遠程調(diào)取單元��,用于根據(jù)所述身份證信息從全國公民身份信息庫調(diào)取所對應的身份證的證件照信息�; 實名認證單元����,用于將所述臉部圖像信息與所調(diào)取的證件照信息進行匹配,并根據(jù)匹配度來進行所述個人信息的實名認證����,在通過實名認證時輸出實名認證成功指令; 數(shù)字證書生成單元�,用于在接收到所述實名認證成功指令時,生成對應于所述個人信息的密鑰對�����,并根據(jù)所述個人信息和所述密鑰對中的公鑰簽發(fā)數(shù)字證書�����,并輸出包含所述數(shù)字證書的封包; 數(shù)字證書發(fā)送單元��,用于將所接收到的所述數(shù)字證書的封包提供給所述用戶����。
8.根據(jù)權(quán)利要求7所述的非現(xiàn)場個人數(shù)字證書申請系統(tǒng),其特征在于�����,所述獲取單元包括: 圖像行為提取模塊��,用于探測所述用戶所使用的個人終端已開啟攝像裝置����,并根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的視頻信息中選取一幅臉部圖像信息。
9.根據(jù)權(quán)利要求8所述的非現(xiàn)場個人數(shù)字證書申請系統(tǒng)����,其特征在于���,所述圖像行為提取模塊還包括: 行為軌跡提取子模塊��,用于向所述用戶發(fā)送隨機的動作指令�����,提取所述用戶根據(jù)所述動作指令所做的動作軌跡����; 行為軌跡確定子模塊,用于根據(jù)所述動作指令所對應的軌跡范圍確定所獲取的動作軌跡是否在所述軌跡范圍內(nèi)�,若是,則確定所述動作軌跡來自活體用戶���,若否�����,則不能判定所述用戶為活體����,并發(fā)送指令至所述行為軌跡提取子模塊����,以重新向所述用戶發(fā)送隨機的動作指令;以及 臉部圖像提取子模塊�,用 于根據(jù)預設的人臉姿態(tài)規(guī)則從所述攝像裝置所攝取的用戶跟隨所述動作指令來做動作的視頻信息中選取一幅臉部圖像信息����。
10.根據(jù)權(quán)利要求8或9所述的非現(xiàn)場個人數(shù)字證書申請系統(tǒng)���,其特征在于��,所述圖像行為提取模塊用于從所述視頻信息中提取多幅臉部圖像信息�����,并根據(jù)所述人臉姿態(tài)規(guī)則對所提取的多幅臉部圖像信息進行識別�����,選擇識別結(jié)果最高者所對應的臉部圖像信息���。
11.根據(jù)權(quán)利要求7所述的非現(xiàn)場個人數(shù)字證書申請系統(tǒng),其特征在于���,所述實名認證單元還用于在確定所述匹配度高于第一閾值時�����,認證所述個人信息通過��;在確定所述匹配度低于第二閾值時���,認證所述個人信息不予通過;在確定所述匹配度在第一閾值和第二閾值之間時��,將所述個人信息和所選取的臉部圖像信息交由人工審核��,并根據(jù)人工審核結(jié)果來認證所述個人信息是否通過�。
12.根據(jù)權(quán)利要求7所述的非現(xiàn)場個人數(shù)字證書申請系統(tǒng),其特征在于����,所述數(shù)字證書生成單元還用于按照預設規(guī)則生成對應于所述數(shù)字證書的私鑰保護密碼;或者���,用于向所述用戶提供設定私鑰保護密碼的界面����,以便由所述用戶自行設定所述私鑰保護密碼�����。
【文檔編號】H04L9/32GK103825744SQ201410092904
【公開日】2014年5月28日 申請日期:2014年3月13日 優(yōu)先權(quán)日:2014年3月13日
【發(fā)明者】崔久強, 杜守國, 劉承, 徐祺, 陳犖祺, 馮曄, 王天華 申請人:上海市數(shù)字證書認證中心有限公司