本發(fā)明涉及身份存儲(chǔ)，主要涉及一種基于可信數(shù)字身份的身份信息托管方法。

背景技術(shù)：

1、當(dāng)今互聯(lián)網(wǎng)時(shí)代各種信息化系統(tǒng)層出不窮，在大中小企業(yè)的電商平臺(tái)、小區(qū)物業(yè)管理系統(tǒng)、物流系統(tǒng)等信息化系統(tǒng)中，如果辦理業(yè)務(wù)過(guò)程中需要個(gè)人敏感信息參與完成業(yè)務(wù)閉環(huán)流轉(zhuǎn)，因個(gè)人隱私信息的采集、留存等行為基本都在公共互聯(lián)網(wǎng)區(qū)，個(gè)人隱私信息采集使用的行為既有在pc端的應(yīng)用系統(tǒng)，也有在移動(dòng)互聯(lián)網(wǎng)提供服務(wù)，信息化系統(tǒng)采集和留存?zhèn)€人敏感信息可能存在信息泄露的情況，在此情況下，需要一種規(guī)避個(gè)人信息泄露風(fēng)險(xiǎn)的身份信息存儲(chǔ)和隔離方法。

2、例如cn109005186b《一種隔離用戶(hù)身份信息的方法、系統(tǒng)、設(shè)備和存儲(chǔ)介質(zhì)》公開(kāi)了“一種隔離用戶(hù)身份信息的方法、系統(tǒng)、設(shè)備和存儲(chǔ)介質(zhì)，屬于區(qū)塊鏈技術(shù)領(lǐng)域。包括方法：用戶(hù)通過(guò)區(qū)塊鏈產(chǎn)生公鑰和私鑰；用戶(hù)的公鑰和用戶(hù)身份信息保存在區(qū)塊鏈中；區(qū)塊鏈對(duì)同一用戶(hù)產(chǎn)生多個(gè)不同的賬戶(hù)id；用戶(hù)通過(guò)賬戶(hù)id在應(yīng)用上進(jìn)行注冊(cè)；還包括對(duì)應(yīng)的系統(tǒng)、設(shè)備和存儲(chǔ)介質(zhì)，針對(duì)用戶(hù)信息泄露的問(wèn)題，它可以保護(hù)用戶(hù)的隱私，防止用戶(hù)隱私泄露”，但區(qū)塊鏈上的信息一旦被記錄，就不可更改，這在一些情況下可能不利于個(gè)人身份信息的更新和修正，且雖然區(qū)塊鏈可以通過(guò)公鑰和私鑰來(lái)保護(hù)個(gè)人身份信息，但一旦用戶(hù)的公鑰被關(guān)聯(lián)到其身份，就可能暴露用戶(hù)的隱私信息，尤其是在一些鏈外的環(huán)節(jié)可能存在這樣的風(fēng)險(xiǎn)，在避免用戶(hù)身份信息泄露方面存在一定的局限性。

技術(shù)實(shí)現(xiàn)思路

1、為了解決現(xiàn)有技術(shù)所存在的上述問(wèn)題，本申請(qǐng)?zhí)峁┝艘环N基于可信數(shù)字身份的身份信息托管方法。

2、本申請(qǐng)的技術(shù)方案如下：

3、一種基于可信數(shù)字身份的身份信息托管方法，所述方法包括：

4、在待托管身份信息的用戶(hù)終端調(diào)用安全控件，通過(guò)所述安全控件采集用戶(hù)生物特征信息，并對(duì)所述用戶(hù)生物特征信息進(jìn)行aes和rsa加密處理；

5、將加密后的用戶(hù)生物特征信息傳輸至身份信息托管系統(tǒng)進(jìn)行解密，獲得用戶(hù)生物特征信息，所述身份信息托管系統(tǒng)根據(jù)存儲(chǔ)保護(hù)措施和訪問(wèn)保護(hù)措施對(duì)用戶(hù)生物特征信息進(jìn)行托管保護(hù)，其中：

6、所述存儲(chǔ)保護(hù)措施包括使用國(guó)密算法對(duì)用戶(hù)生物特征信息進(jìn)行加密后，采用分庫(kù)管理模式將加密后的用戶(hù)生物特征信息存儲(chǔ)在獨(dú)立的數(shù)據(jù)庫(kù)中，將相同用戶(hù)終端采集的用戶(hù)生物特征信息存儲(chǔ)于同一數(shù)據(jù)塊；

7、所述訪問(wèn)保護(hù)措施包括設(shè)置網(wǎng)絡(luò)隔離設(shè)備，將存儲(chǔ)用戶(hù)生物特征信息的數(shù)據(jù)庫(kù)與存儲(chǔ)普通信息的數(shù)據(jù)庫(kù)進(jìn)行隔離；制定網(wǎng)絡(luò)策略和訪問(wèn)策略，對(duì)訪問(wèn)用戶(hù)生物特征信息數(shù)據(jù)庫(kù)的行為進(jìn)行安全限制。

8、優(yōu)選地，對(duì)用戶(hù)生物特征信息進(jìn)行aes和rsa加密和解密具體為：

9、用戶(hù)終端通過(guò)安全控件使用aes算法對(duì)用戶(hù)生物特征信息進(jìn)行加密，獲得密文，將所述密文放置于傳輸協(xié)議的加密區(qū)，并使用rsa公鑰對(duì)aes密鑰進(jìn)行加密，將加密后的aes密鑰和密文傳輸至身份信息托管系統(tǒng)；

10、身份信息托管系統(tǒng)通過(guò)rsa私鑰解密用戶(hù)終端傳輸?shù)募用芎蟮腶es密鑰，并通過(guò)加密后的aes密鑰解析獲得用戶(hù)生物特征信息。

11、優(yōu)選地，所述網(wǎng)絡(luò)策略包括對(duì)訪問(wèn)用戶(hù)生物特征信息數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)進(jìn)行篩選，禁止未經(jīng)授權(quán)用戶(hù)的網(wǎng)絡(luò)訪問(wèn)。

12、優(yōu)選地，用戶(hù)是否授權(quán)通過(guò)可信數(shù)字身份平臺(tái)進(jìn)行判定，具體的：

13、待訪問(wèn)用戶(hù)通過(guò)用戶(hù)終端上傳其個(gè)人身份信息和人像至可信數(shù)字身份平臺(tái)請(qǐng)求授權(quán)身份認(rèn)證，所述可信數(shù)字身份平臺(tái)內(nèi)部存儲(chǔ)有授權(quán)用戶(hù)的個(gè)人身份信息和人像，通過(guò)將待訪問(wèn)用戶(hù)與授權(quán)用戶(hù)的個(gè)人身份信息和人像進(jìn)行匹配，若匹配成功，則判定為授權(quán)用戶(hù)，可信數(shù)字身份平臺(tái)返回匿名可信數(shù)字標(biāo)識(shí)至身份信息托管系統(tǒng)；若匹配失敗，則判定為未授權(quán)用戶(hù)，拒絕待訪問(wèn)用戶(hù)訪問(wèn)用戶(hù)生物特征信息數(shù)據(jù)庫(kù)。

14、優(yōu)選地，所述訪問(wèn)策略包括對(duì)用戶(hù)的訪問(wèn)權(quán)限進(jìn)行控制，具體的：

15、可信數(shù)字身份平臺(tái)返回的匿名可信數(shù)字標(biāo)識(shí)設(shè)定有授權(quán)等級(jí)，根據(jù)授權(quán)等級(jí)的高低對(duì)應(yīng)有可訪問(wèn)的用戶(hù)生物特征信息數(shù)據(jù)庫(kù)區(qū)域的大小，其中，所述授權(quán)等級(jí)根據(jù)用戶(hù)生物特征信息被不同的用戶(hù)終端采集的次數(shù)設(shè)定，采集次數(shù)越多授權(quán)等級(jí)越高。

16、優(yōu)選地，所述方法還包括記錄用戶(hù)生物特征信息數(shù)據(jù)庫(kù)的訪問(wèn)日志，定期進(jìn)行審計(jì)。

17、優(yōu)選地，所述方法還包括：

18、身份信息托管系統(tǒng)根據(jù)不同的用戶(hù)終端，將可信數(shù)字身份平臺(tái)返回的匿名可信數(shù)字標(biāo)識(shí)進(jìn)行分散轉(zhuǎn)換處理，將分散轉(zhuǎn)換后的匿名可信數(shù)字標(biāo)識(shí)傳輸至對(duì)應(yīng)的用戶(hù)終端替換用戶(hù)終端中的用戶(hù)生物特征信息。

19、本申請(qǐng)還提供了一種基于可信數(shù)字身份的身份信息托管系統(tǒng)，所述身份信息托管系統(tǒng)與用戶(hù)終端和可信數(shù)字身份平臺(tái)通信連接，所述用戶(hù)終端通過(guò)調(diào)用安全控件采集用戶(hù)生物特征信息，并對(duì)所述用戶(hù)生物特征信息進(jìn)行aes和rsa加密處理，傳輸加密后的用戶(hù)生物特征信息至身份信息托管系統(tǒng)；所述身份信息托管系統(tǒng)對(duì)加密后的用戶(hù)生物特征信息進(jìn)行解密，獲得用戶(hù)生物特征信息，根據(jù)存儲(chǔ)保護(hù)措施和訪問(wèn)保護(hù)措施對(duì)用戶(hù)生物特征信息進(jìn)行托管保護(hù)，其中：

20、所述存儲(chǔ)保護(hù)措施包括使用國(guó)密算法對(duì)用戶(hù)生物特征信息進(jìn)行加密后，采用分庫(kù)管理模式將加密后的用戶(hù)生物特征信息存儲(chǔ)在獨(dú)立的數(shù)據(jù)庫(kù)中，將相同用戶(hù)終端采集的用戶(hù)生物特征信息存儲(chǔ)于同一數(shù)據(jù)塊；

21、所述訪問(wèn)保護(hù)措施包括設(shè)置網(wǎng)絡(luò)隔離設(shè)備，將存儲(chǔ)用戶(hù)生物特征信息的數(shù)據(jù)庫(kù)與存儲(chǔ)普通信息的數(shù)據(jù)庫(kù)進(jìn)行隔離；制定網(wǎng)絡(luò)策略和訪問(wèn)策略，通過(guò)可信數(shù)字身份平臺(tái)判定待訪問(wèn)用戶(hù)是否為授權(quán)用戶(hù)，對(duì)訪問(wèn)用戶(hù)生物特征信息數(shù)據(jù)庫(kù)的用戶(hù)行為進(jìn)行安全限制。

22、本申請(qǐng)還提供了一種計(jì)算機(jī)設(shè)備，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器中并可以在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)任一實(shí)施例所述的一種基于可信數(shù)字身份的身份信息托管方法中的步驟。

23、本申請(qǐng)還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有多條指令，所述指令適于處理器進(jìn)行加載，以執(zhí)行任一實(shí)施例所述的一種基于可信數(shù)字身份的身份信息托管方法中的步驟。

24、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

25、1、本發(fā)明提供了一種基于可信數(shù)字身份的身份信息托管方法，通過(guò)對(duì)用戶(hù)生物特征信息進(jìn)行aes和rsa加密處理，確保用戶(hù)信息的機(jī)密性和完整性；

26、2、本發(fā)明提供了一種基于可信數(shù)字身份的身份信息托管方法，通過(guò)設(shè)定存儲(chǔ)和訪問(wèn)保護(hù)措施，對(duì)訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制，根據(jù)用戶(hù)授權(quán)等級(jí)限制用戶(hù)對(duì)生物特征信息數(shù)據(jù)庫(kù)的訪問(wèn)范圍；使用可信數(shù)字身份平臺(tái)進(jìn)行身份認(rèn)證，提高了身份信息的安全性和可信度，有效防止用戶(hù)生物特征信息的泄露和未授權(quán)訪問(wèn)；

27、3、本發(fā)明提供了一種基于可信數(shù)字身份的身份信息托管方法，通過(guò)分散轉(zhuǎn)換處理可信數(shù)字標(biāo)識(shí)，保護(hù)用戶(hù)隱私。

技術(shù)特征：

1.一種基于可信數(shù)字身份的身份信息托管方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的一種基于可信數(shù)字身份的身份信息托管方法，其特征在于，對(duì)用戶(hù)生物特征信息進(jìn)行aes和rsa加密和解密具體為：

3.根據(jù)權(quán)利要求1所述的一種基于可信數(shù)字身份的身份信息托管方法，其特征在于，所述網(wǎng)絡(luò)策略包括對(duì)訪問(wèn)用戶(hù)生物特征信息數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)進(jìn)行篩選，禁止未經(jīng)授權(quán)用戶(hù)的網(wǎng)絡(luò)訪問(wèn)。

4.根據(jù)權(quán)利要求3所述的一種基于可信數(shù)字身份的身份信息托管方法，其特征在于，用戶(hù)是否授權(quán)通過(guò)可信數(shù)字身份平臺(tái)進(jìn)行判定，具體的：

5.根據(jù)權(quán)利要求4所述的一種基于可信數(shù)字身份的身份信息托管方法，其特征在于，所述訪問(wèn)策略包括對(duì)用戶(hù)的訪問(wèn)權(quán)限進(jìn)行控制，具體的：

6.根據(jù)權(quán)利要求1所述的一種基于可信數(shù)字身份的身份信息托管方法，其特征在于，所述方法還包括記錄用戶(hù)生物特征信息數(shù)據(jù)庫(kù)的訪問(wèn)日志，定期進(jìn)行審計(jì)。

7.根據(jù)權(quán)利要求4所述的一種基于可信數(shù)字身份的身份信息托管方法，其特征在于，所述方法還包括：

8.一種基于可信數(shù)字身份的身份信息托管系統(tǒng)，所述身份信息托管系統(tǒng)與用戶(hù)終端和可信數(shù)字身份平臺(tái)通信連接，其特征在于，所述用戶(hù)終端通過(guò)調(diào)用安全控件采集用戶(hù)生物特征信息，并對(duì)所述用戶(hù)生物特征信息進(jìn)行aes和rsa加密處理，傳輸加密后的用戶(hù)生物特征信息至身份信息托管系統(tǒng)；所述身份信息托管系統(tǒng)對(duì)加密后的用戶(hù)生物特征信息進(jìn)行解密，獲得用戶(hù)生物特征信息，根據(jù)存儲(chǔ)保護(hù)措施和訪問(wèn)保護(hù)措施對(duì)用戶(hù)生物特征信息進(jìn)行托管保護(hù)，其中：

9.一種計(jì)算機(jī)設(shè)備，其特征在于，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器中并可以在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)權(quán)利要求1至7中任一項(xiàng)所述的一種基于可信數(shù)字身份的身份信息托管方法中的步驟。

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有多條指令，所述指令適于處理器進(jìn)行加載，以執(zhí)行權(quán)利要求1至7中任一項(xiàng)所述的一種基于可信數(shù)字身份的身份信息托管方法中的步驟。

技術(shù)總結(jié)
本發(fā)明為一種基于可信數(shù)字身份的身份信息托管方法，基于用戶(hù)終端、身份信息托管系統(tǒng)和可信數(shù)字身份平臺(tái)實(shí)現(xiàn)，用戶(hù)終端通過(guò)安全控件采集并加密用戶(hù)生物特征信息，然后傳輸至身份信息托管系統(tǒng)進(jìn)行存儲(chǔ)和保護(hù)，身份信息托管系統(tǒng)采用國(guó)密算法對(duì)信息進(jìn)行加密存儲(chǔ)，分庫(kù)管理模式確保數(shù)據(jù)安全。同時(shí)，通過(guò)網(wǎng)絡(luò)隔離設(shè)備和訪問(wèn)策略對(duì)用戶(hù)生物特征信息進(jìn)行安全限制和保護(hù)。訪問(wèn)權(quán)限通過(guò)可信數(shù)字身份平臺(tái)認(rèn)證，訪問(wèn)區(qū)域根據(jù)授權(quán)等級(jí)決定，所述授權(quán)等級(jí)根據(jù)用戶(hù)生物特征信息被不同用戶(hù)終端采集的次數(shù)設(shè)定，有效保護(hù)用戶(hù)生物特征信息的隱私和安全。所述方法還通過(guò)訪問(wèn)日志定期審計(jì)，確保數(shù)據(jù)安全性。

技術(shù)研發(fā)人員：林龍,林言國(guó),陳惠晶
受保護(hù)的技術(shù)使用者：新大陸（福建）公共服務(wù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21