CN101668288B - 身份认证的方法、身份认证系统及终端 - Google Patents
身份认证的方法、身份认证系统及终端 Download PDFInfo
- Publication number
- CN101668288B CN101668288B CN2009100917838A CN200910091783A CN101668288B CN 101668288 B CN101668288 B CN 101668288B CN 2009100917838 A CN2009100917838 A CN 2009100917838A CN 200910091783 A CN200910091783 A CN 200910091783A CN 101668288 B CN101668288 B CN 101668288B
- Authority
- CN
- China
- Prior art keywords
- portable terminal
- terminal
- affirmation
- main body
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种身份认证的方法、身份认证系统及终端,方法包括:设置于移动终端中的数据加密模块接收远端服务器通过移动终端的主体发送的认证字符串,根据存储的数字证书对认证字符串进行加密运算,得到第一加密字符串;数据加密模块若接收到与移动终端绑定的确认终端发送的确认指令,将第一加密字符串发送给远端服务器,供远端服务器进行认证。本发明通过在用户进行电子交易的移动终端中设置对交易进行认证的数据加密模块,并为该移动终端设置一个绑定的确认设备,为用户提供了一种更为安全可靠的电子交易平台,用户不用再过于担心黑客、假网站、木马病毒的风险;而且对于用户而言,其操作简单,维护方便,提高了用户体验。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种身份认证的方法、身份认证系统及终端。
背景技术
随着无线通信技术的飞速发展,移动电子商务的条件日益成熟,基于无线网络的电子商务交易已经成为各种交易业务中的一种重要的交易模式。为了保证此种交易的可靠性和安全性,基于对用户身份信息的认证成为了电子交易业务中的核心问题。
现有技术中,基于“USB Key”的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术,它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。作为一种通用串行总线(Universal Serial Bus;以下简称:USB)接口的硬件设备,USB key内置单片机或智能卡芯片,且具有一定的存储空间,用于存储用户的个人数字证书。在用户进行交易的过程中,用户只需将其与个人计算机(PersonalComputer;以下简称:PC)连接,USB Key便能够通过存储的个人数字证书进行数字签名和签名验证的运算,从而保证了用户认证的安全性。
但是,使用USB Key进行身份认证时还是存在着一定的缺陷:由于USBKey在工作时必须与计算机连接,即用户必须在计算机及良好的网络环境的条件下才能使用USB Key,因而对于用户而言,其不能随时随地的进行电子交易,在应用上具有很大的局限性;进一步,在使用USB Key之前,用户需要在PC上为其安装驱动,并下载个人证书信息到USB Key中,这些操作对于很多对计算机操作并不熟悉的用户而言,都并不容易做到。
因此,在“USB Key”的身份认证方式的基础上,现有技术中又提出了一种在手机中内置存储有用户的数字证书的证书存储卡的方案,该证书存储卡相当于设置在手机终端中的“USB key”,在该方案中,用户在进行移动电子交易时,能够直接通过手机中的证书存储卡对认证信息进行认证,以手机作为交易的平台,不仅能够随时随地的进行各种交易,不受应用环境的限制,而且在使用之前,用户无需进行安装驱动、下载证书等繁琐操作,提高了用户的体验。
但是发明人在发明的过程中发现,在手机中内置证书存储卡的方案虽然在一定程度上解决了USB key在应用上的缺陷,其本质上还是存在着一定的安全性的问题:无论是将存储证书的模块设置在PC中,还是设置在手机中,对于用户而言,在整个交易的过程中所需要的进行确认或发送信息的操作都是在PC或者手机上实现,而无论是因特网还是移动通信网络,都属于一开放式的系统,因此都有可能遭受黑客、假网站等第三方的恶意攻击,或是存在感染木马等病毒的风险,从而导致交易中个人信息的丢失或篡改,特别是若在进行交易的过程中,PC终端或手机终端受到第三方程序的远程控制时,还有可能出现PC终端或手机终端在第三方的远程控制下自动完成交易的情况。
发明内容
本发明实施例提供一种身份认证的方法、身份认证系统及终端,用以解决现有技术中由于应用USB key实现电子交易,或是通过手机中内置证书存储卡实现移动电子交易时,容易受到黑客、假网站、木马病毒的攻击,而导致交易过程不够安全的缺陷,实现一种更为安全可靠的身份认证方式。
本发明实施例提供一种身份认证的方法,包括:
设置于移动终端中的数据加密模块接收远端服务器通过所述移动终端的主体发送的认证字符串,根据自身存储的数字证书对所述认证字符串进行加 密运算,得到第一加密字符串;
所述数据加密模块响应与所述移动终端绑定的确认终端通过所述移动终端的主体发送的交易数据请求信息,将交易明细信息通过所述移动终端的主体发送给所述确认终端;
所述确认终端将所述交易明细信息进行展示,并根据用户根据所述交易明细信息输入的指示信息,判断是否向所述数据加密模块发送确认指令;
所述数据加密模块若接收到所述确认终端通过所述移动终端的主体发送的所述确认指令,将所述第一加密字符串通过所述移动终端的主体发送给所述远端服务器,供所述远端服务器进行认证。
本发明实施例提供一种移动终端,包括移动终端的主体以及设置在所述移动终端的主体中的数据加密模块,所述数据加密模块包括:
第一接收模块,用于接收远端服务器通过所述移动终端的主体发送的认证字符串;
加密运算模块,用于根据自身存储的用户数字证书对所述认证字符串进行加密运算,得到第一加密字符串;
第二发送模块,用于向所述移动终端的主体发送提示信息,所述提示信息用于提示用户通过与所述移动终端绑定的确认终端发送确认指令;
第三发送模块,用于响应所述确认终端通过所述移动终端的主体发送的交易数据请求信息,将交易明细信息通过所述移动终端的主体发送给所述确认终端;
第一发送模块,用于根据接收到所述确认终端通过所述移动终端的主体发送的所述确认指令,将所述第一加密字符串通过所述移动终端的主体发送给所述远端服务器,供所述远端服务器进行认证。
本发明实施例提供一种确认终端,包括:
输入模块,用于接收用户根据交易明细信息输入的指示信息;
第四发送模块,用于当根据所述输入模块接收的所述指示信息判断出需要向移动终端发送确认指令时,将所述确认指令通过移动终端的主体发送给设置于所述移动终端中的数据加密模块,所述确认指令用于指示所述数据加密模块通过所述移动终端的主体,将计算得到的第一加密字符串发送给远端服务器,供所述远端服务器进行认证;
第五发送模块,用于通过所述移动终端的主体向设置于所述移动终端中的数据加密模块发送交易数据请求信息;
第二接收模块,用于接收所述数据加密模块通过所述移动终端的主体返 回的所述交易明细信息并进行展示。
本发明实施例提供一种身份认证系统,包括上述移动终端、确认终端和一服务器,用于应用自身存储的数字证书对发送给所述移动终端的认证字符串进行加密运算,获得第二加密字符串,并将所述第二加密字符串与所述移动终端返回的第一加密字符串进行比较,若相同,则认证成功;若不相同,则认证失败。
本发明实施例的身份认证的方法、身份认证系统及终端,通过在用户进行移动电子交易的移动终端中设置能对交易进行认证的、存储有用户的数字证书的数据加密模块,以及为用户设置一个与该移动终端绑定的、私有的确认设备,在用户利用移动终端进行交易的过程中,移动终端只有接收到用户通过确认设备发送的确认指令,才与认证系统连接并完成交易,因此为用户提供了一种更为安全可靠的电子交易平台,用户不用再过于担心在交易的过程中遭受黑客、假网站、木马病毒等各种风险的攻击;而且对于用户而言,其操作简单,维护方便,提高了用户体验。
附图说明
图1为本发明身份认证的方法实施例一的流程图;
图2为本发明身份认证的方法实施例二的流程图;
图3为本发明移动终端实施例的结构示意图;
图4为本发明确认终端实施例的结构示意图;
图5为本发明身份认证系统实施例的结构示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明身份认证的方法实施例一的流程图,如图1所示,本实施例具体包括如下步骤:
步骤100,设置于移动终端中的数据加密模块接收远端服务器通过移动终端的主体发送的认证字符串,根据自身存储的用户数字证书对认证字符串进行加密运算,得到第一加密字符串;
本发明提供的实施例中,移动终端中设置有数据加密模块,该数据加密模块内部存储有用户的个人数字证书以及相应的加密程序,且该加密程序通过用户识别应用开发工具(SIM Tool Kit,以下简称STK)技术编写在数据加密模块中,以便于其与手机主体和手机中的SIM卡的信息交互。
具体地,该数据加密模块可以设置在一薄片中,使用时将该薄片以卡贴的形式“粘合”在SIM卡上,与SIM卡紧密地贴在一起,各信号触点与SIM卡的芯片触点对准粘合,共同插入到手机的SIM卡槽内。而且在手机使用的过程中,设置有数据加密模块的卡贴可以通过与SIM卡的芯片触点接触,与SIM卡进行数据通信,将接收到的手机发送给SIM卡的信息转发给SIM卡,同时将SIM卡发送给手机的信息转发给手机,而不会影响SIM卡的其他功能的正常使用。另外,数据加密模块也可以直接设置在SIM卡中,此时,该SIM卡为加载有加密认证程序的特制的SIM卡,且该特制的SIM卡中的数据加密模块由于为基于STK技术而实现,因而可以直接与手机主体进行数据的交互,进而可以通过手机主体与外部设备进行通信。
具体地,本发明的身份认证的方法可以但不限于应用于一种通过手机终端实现的网银交易中,即手机银行的交易中,但是利用本发明的身份认证方法实现的其他系统的交易验证也属于本发明的保护范围之内,而在本实施例中,具体以网银交易为例做出描述。当用户尝试使用手机WAP页面或手机短信进行手机银行交易时,向银行的远端服务器发送包括用户账号、密码以及本次交易的交易明细的交易请求信息,远端服务器接收到用户发送的交易请求信息后,以短信的形式向手机下发用于对该手机进行身份认证的认证字符串,该认证字符串为由时间字串、地址字串、交易信息字串、防重放攻击字串组合在一起进行加密后得到的字符串。手机主体接收到远端服务器发送的认证字符串后,将该认证字符串以应用协议数据单元(Application ProtocolData Unit,以下简称APDU)指令的形式发送给数据加密模块。此处所指的APDU指令为手机主体与SIM卡或SIM卡贴进行通信会话的标准指令,手机与其内部的智能卡之间的通信会话都是通过协议规定格式的APDU指令来实现。数据加密模块通过解析接收到的APDU指令,获得认证字符串,并根据自身存储的用户数字证书对该认证字符串进行不可逆的加密运算,得到第一加密字符串。该第一加密字符串为提供给银行的远端服务器,以进行身份认 证的认证数据。
步骤101,数据加密模块若接收到与移动终端绑定的确认终端通过移动终端的主体发送的确认指令,将第一加密字符串通过移动终端的主体发送给远端服务器,供远端服务器进行认证。
数据加密模块经过加密运算得到第一加密字符串后,并不立即将该第一加密字符串发送给银行的远端服务器以进行认证,而是需要一确认指令的指示,在该指令的指示下才进行第一加密字符串的发送的操作。而该确认指令并非由用户通过手机自身产生,而是从另一确认终端接收得到。在本实施例中,为了避免用户在利用手机进行银行交易的过程中,由于第三方对手机终端的恶意攻击、或手机病毒而导致的手机端的信息丢失情况的出现,或是由于第三方对手机终端的远程控制而导致的对手机信息的恶意篡改情况的出现,在用户侧将认证加密的设备(即手机)与确认设备进行了分离设置,使得手机在进行了数据加密后,只有在另一确认终端的确认指令的指示下,才对银行服务器发送认证信息。
具体地,该确认终端为一与手机终端绑定的私有设备,可以与绑定的手机进行近距离的无线通信,且可以看作是手机用户在进行网银交易时所需要使用的第三方工具。在确认终端的设备中,集成了与手机进行无线通信的近距离无线通信模块,该近距离无线通信模块可以但不限于为:基于蓝牙远程SIM模式(SIM Access Profile,以下简称SAP)的无线通信模块、或者基于近距离无线通信(Near Field Communication,以下简称NFC)无线通信模块,而且相应地,手机终端的手机主体中也集成有同样的近距离无线通信模块。通过该近距离无线通信模块,确认终端可以以相对应的近距离无线通信模式发送确认指令给手机主体,用于指示手机将第一加密字符发送给远端服务器。由于手机与确认终端设备之间的数据交互为基于两者间的近距离无线通信而实现,因此该确认指令的发送过程完全处于一封闭的一对一的网络中,与开放式的因特网或移动通信网不同,该网络中的通信数据不可能被任何第三方 程序所篡改与控制,除非用户的手机设备和与之绑定的确认终端设备同时丢失,不然该通信链路上传送的信息与数据将十分安全。
通过确认终端设备的设置,进一步地保证了交易的安全可靠性,在第三方恶意程序即使对手机进行了信息的窃取或是篡改,甚至是在远程端对手机进行了操控的情况下,也无法代替私有的确认设备向手机发送确认指令信息,从而无法通过恶意的远程操控控制手机终端完成本次交易。这样,便给用户的网银交易提供了一种更为安全的保障机制,用户不用过于担心黑客、假网站、木马病毒等各种风险,而是能够更加专注于网银的功能。
且对于银行的远端服务器而言,在接收到手机终端发送的第一加密字符串之后,将通过该第一加密字符串对用户进行认证,由于在远端服务器中,也存储有与数据加密模块中同样的用户数字证书,因此远端服务器进行认证的过程具体为:在向该用户发送认证字符串后,远端服务器根据自身所存储的用户数字证书对所发送的认证字符串进行相同的不可逆运算,获得第二加密字符串;在接收到手机返回的第一加密字符串后,远端服务器将第二加密字符串与第一加密字符串进行比较,若相同,则认证成功,交易便可以完成;若不相同,则认证失败,交易便会失败。
本发明实施例的身份认证的方法,通过在用户进行网银交易的移动终端中设置能对交易进行认证的、存储有用户的数字证书的数据加密模块,以及为用户设置一个与该移动终端绑定的、私有的确认设备,在用户利用移动终端进行网银交易的过程中,移动终端只有接收到用户通过确认设备发送的确认指令,才与银行系统连接并完成交易,因此为用户提供了一种更为安全可靠的网银交易平台,用户不用再过于担心在交易的过程中遭受黑客、假网站、木马病毒等各种风险的攻击;而且对于用户而言,其操作简单,维护方便,提高了用户体验。
图2为本发明身份认证的方法实施例二的流程图,如图2所示,本实施例包括如下步骤:
步骤200,设置于移动终端中的数据加密模块接收远端服务器通过移动终端的主体发送的认证字符串,根据自身存储的数字证书对认证字符串进行加密运算,得到第一加密字符串;
步骤201,数据加密模块向移动终端的主体发送提示信息,用于提示用户通过确认终端发送确认指令;
手机终端中的数据加密模块在计算得到第一加密字符串之后,以APDU指令的形式向手机主体发送一提示信息,用于提示手机用户使用确认终端对此次交易进行确认。具体地,该提示信息可以为一在手机屏幕上显示的文字信息,数据加密模块向手机主体发送的APDU指令中包含了具体的文字信息的内容,手机主体在接收到该APDU指令后,对其进行解析,并显示在屏幕上;另外,该提示信息也可以为一更为简单的提示音或振动提示等,用户通过该提示信息可以得知,此时应该使用与手机绑定的确认设备对本次交易进行确认,因此可以转而进行对确认设备的操作。
步骤202,数据加密模块响应确认终端通过所述移动终端的主体发送的交易数据请求信息,将交易明细信息通过移动终端的主体发送给确认终端;
在手机终端的数据加密模块接收到确认终端通过手机主体发送的确认指令之前,确认终端还通过手机主体向数据加密模块发送交易数据请求信息,要求获得本次交易的相关交易信息,以用于据此判断最终要进行的本次交易的明细信息是否正确,有没有被第三方恶意程序所篡改,从而进行确认指令的发送。具体地,该交易数据请求信息由确认终端的设备通过近距离的无线通信技术传送至手机主体,手机主体将该交易数据请求信息以APDU指令的格式发送给SIM卡贴或SIM卡中的数据加密模块,数据加密模块通过解析接收到的APDU指令,将本次交易的交易明细信息通过手机主体发送给确认终端的设备。
步骤203,确认终端将交易明细信息进行展示,并根据用户根据交易明细信息输入的指示信息,判断是否向数据加密模块发送确认指令;
确认终端的设备在接收到手机发送的交易明细信息后,可以将其进行文字信息的转换,并在自身的显示界面上进行显示,由于该交易明细信息中包含了关于本次交易的所有相关信息,如交易的金额、交易的类型等,确认终端的用户通过读取显示界面上的显示的内容,可以对该交易明细信息是否与其预置的交易一致,即该交易明细信息是否正确做出充分的判断,从而通过确认终端设备上的确认或拒绝的按键输入对本次交易确认或拒绝的指示信息。即用户一旦通过读取显示界面上的显示信息,发现该交易明细信息与其发送给远端服务器的初始的交易信息并不相符,便可以得知该信息可能已在交易过程中被其他恶意软件篡改,于是便可以通过确认终端设备的拒绝按键,拒绝本次交易。确认终端设备在接收到用户输入的指示信息后,对该指示信息进行识别,判断是否向手机终端发送所述确认指令,若指示信息具体为一确认的信息,确认终端设备则将发送确认指令给手机终端,但若指示信息具体为一拒绝的信息,确认终端设备则不发送任何指令给手机终端,而手机终端中的数据加密模块在没有接收到确认终端发送的确认指令的情况下,便不会最终将第一加密字符串发送给银行的远端服务器,因而最终不会完成此次交易
步骤204,数据加密模块若接收到确认终端通过移动终端的主体发送的确认指令,将所述第一加密字符串通过移动终端的主体发送给远端服务器,供远端服务器进行认证。
当手机终端的数据加密模块接收到确认终端设备发送的确认指令后,将之前计算得到的第一加密字符串以APDU指令的形式发送给手机终端的主体,手机终端的主体再通过短信或WAP浏览器将其转发给银行的远端服务器,银行的远端服务器则将根据接收到的第一加密字符串与自身计算得到的第二加密字符串本次交易进行认证。
本发明实施例的身份认证的方法,通过在用户进行移动电子交易的移动终端中设置能对交易进行认证的、存储有用户的数字证书的数据加密模块,以及为用户设置一个与该移动终端绑定的、私有的确认设备,在用户利用移 动终端进行电子交易的过程中,移动终端只有接收到用户通过确认设备发送的确认指令,才与认证系统连接并完成交易,因此为用户提供了一种更为安全可靠的电子交易平台,用户不用再过于担心在交易的过程中遭受黑客、假网站、木马病毒等各种风险的攻击;而且对于用户而言,其操作简单,维护方便,提高了用户体验;进一步地,在本实施例中,确认终端在发送确认指令给手机终端之前,还向手机终端请求并获取本次交易的相关交易明细信息,并据此来对是否进行确认做出判断,从而相当于一个二次确认的过程,进一步保证了交易的安全。
在本实施例上述技术方案的基础上,进一步地,确认终端设备上的人机交互界面中还可以设置一个数字键盘,用于输入该确认终端设备的开启密码,此时,对于用户使用的每个确认终端设备而言,都配置有一个密码,在用户使用该确认终端设备进行确认操作之前,必须在数字键盘上输入该密码,才能进行对在确认设备上的确认或拒绝操作。这样,即使用户在手机终端及绑定的确认终端设备都丢失的情况下,对方在不知道该确认终端设备的键盘密码的情况下,也无法使用手机及确认设备进行网银交易,从而更加保证了交易的安全性。
图3为本发明移动终端实施例的结构示意图,如图3所示,本实施例的移动终端包括移动终端的主体,以及设置在移动终端的主体中的数据加密模块,其中移动终端的主体包括安装上SIM卡后能够正常使用的手机的全部功能模块,例如处理器、天线、显示屏和电池等等,当然还具备用于插接SIM卡的插槽。而数据加密模块可以设置在一薄片中,使用时将该薄片以卡贴的形式“粘合”在SIM卡上,与SIM卡紧密地贴在一起,共同插入到手机的SIM卡槽内;另外,数据加密模块也可以直接设置在SIM卡中,此时,该SIM卡为加载有加密认证程序的特制的SIM卡。
具体地,该数据加密模块还包括:第一接收模块11、加密运算模块12、第一发送模块13。其中第一接收模块11用于接收远端服务器通过移动终端的主体发送的认证字符串;加密运算模块12用于根据自身存储的用户数字证 书对认证字符串进行加密运算,得到第一加密字符串;第一发送模块13用于根据接收到与移动终端绑定的确认终端通过移动终端的主体发送的确认指令,将第一加密字符串通过移动终端的主体发送给远端服务器,供远端服务器进行认证。
具体地,当用户尝试进行手机WAP银行或手机短信银行交易时,向银行的远端服务器发送包括用户账号、密码以及本次交易的交易明细的交易请求信息,远端服务器接收到用户发送的交易请求信息后,以短信的形式向手机下发用于对该手机进行身份认证的认证字符串,该认证字符串为由时间字串、地址字串、交易信息字串、防重放攻击字串组合在一起进行加密后得到的字符串。手机主体将该认证字符串发向数据加密模块,数据加密模块中的第一接收模块11对手机发送的信息进行识别,若识别出该信息为认证字符串,则将认证字符串转给加密运算模块12;通过加密运算模块12对该认证字符串进行加密处理,具体可是应用手机存储的用户数字证书对认证字符串进行不可逆运算得到第一加密字符串。加密运算模块12在应用用户数字证书对认证字符串进行加密处理获得第一加密字符串后,等待与手机绑定的确认设备发送的确认指令,若接收到确认设备发送的确认指令,则通过第一发送模块13将该第一加密字符串返回给手机主体,并通过手机主体将该第一加密字符串发送给银行的远端服务器,远端服务器可以应用该第一加密字符串对用户的身份进行认证。
本发明实施例的移动终端,通过在其内部设置能对交易进行认证的、存储有用户的数字证书的数据加密模块,以及设置一个与其绑定的、私有的确认设备,在用户利用移动终端进行移动电子交易的过程中,移动终端只有接收到用户通过确认设备发送的确认指令,才与认证系统连接并完成交易,因此为用户提供了一种更为安全可靠的电子交易平台,用户不用再过于担心在交易的过程中遭受黑客、假网站、木马病毒等各种风险的攻击;而且对于用户而言,其操作简单,维护方便,提高了用户体验。
进一步地,本实施例的移动终端中的数据加密模块中还可以包括一第二发送模块14和第三发送模块15,其中第二发送模块14用于向移动终端的主体发送提示信息,该提示信息用于提示用户通过确认终端设备发送所述确认指令,具体可以为一在手机屏幕上显示的文字信息或振动、语音信息;第三发送模块15用于响应确认终端通过移动终端的主体发送的交易数据请求信息,将交易明细信息通过移动终端的主体发送给确认终端,具体地,在手机终端的数据加密模块接收到确认终端通过手机主体发送的确认指令之前,确认终端还通过手机主体向数据加密模块发送交易数据请求信息,要求获得本次交易的相关交易信息,而数据加密模块接收到该交易数据请求信息后,将通过第三发送模块15将交易明细信息通过移动终端的主体发送给确认终端,以供其进行判断是否发送本次交易的确认指令。
图4为本发明确认终端实施例的结构示意图,如图4所示,本实施例的确认终端包括输入模块21和第四发送模块22。其中,输入模块21用于接收用户输入的指示信息;第四发送模块22用于当根据所述输入模块接收的所述指示信息判断出需要向移动终端发送确认指令时,将所述确认指令通过移动终端的主体发送给设置于所述移动终端中的数据加密模块,该确认指令用于指示数据加密模块通过移动终端的主体,将计算得到的第一加密字符串发送给远端服务器,供所述远端服务器进行认证。具体地,本实施例中的确认终端为一与移动终端绑定的私有设备,可以与绑定的移动终端进行近距离的无线通信,相当于用户在利用移动终端进行网银交易时所需要使用的第三方工具,其中的第四发送模块22可以通过近距离无线通信技术,将确认指令发送给绑定的移动终端,用户指示其完成交易。
进一步地,本实施例的确认终端中还可以包括第五发送模块23和第二接收模块24,其中第五发送模块23用于通过移动终端的主体向设置于所述移动终端中的数据加密模块发送交易数据请求信息;第二接收模块24用于接收数据加密模块通过移动终端的主体返回的交易明细信息并进行展示,且用户 便是通过读取该交易明细信息而判断是否通过输入模块21输入确认的指示信息。具体地,确认终端在发送向移动终端发送确认指令之前,还可以通过第五发送模块23向移动终端发送交易数据请求信息,请求移动终端中的数据加密模块返回此次交易的交易明细信息;而若确认终端在接收到数据加密模块发送的交易明细信息后,可以将其显示在自身的显示界面上,并由此判断是否向数据加密模块发送确认指令,从而保障交易的安全性。且该第五发送模块23和第二接收模块24与第四发送模块22一样,也为通过近距离无线通信技术与移动终端的主体进行数据通信。
更进一步地,确认终端设备上的人机交互界面中还可以设置一个数字键盘,用于输入该确认终端设备的开启密码,此时,对于用户使用的每个确认终端设备而言,都配置有一个密码,在用户使用该确认终端设备进行确认操作之前,必须在数字键盘上输入该密码,才能进行对在确认设备上的确认或拒绝操作。这样,即使用户在手机终端及绑定的确认终端设备都丢失的情况下,对方在不知道该确认终端设备的键盘密码的情况下,也无法使用手机及确认设备进行网银交易,从而更加保证了交易的安全性。
本发明实施例的确认终端,通过与绑定的移动终端分离设备,以及在移动终端进行移动电子交易的确认操作之前,向移动终端发送确认指令,使得在用户利用移动终端进行电子交易的过程中,移动终端只有接收到用户通过确认设备发送的确认指令,才与认证系统连接并完成交易,因此为用户提供了一种更为安全可靠的电子交易平台,用户不用再过于担心在交易的过程中遭受黑客、假网站、木马病毒等各种风险的攻击;而且对于用户而言,其操作简单,维护方便,提高了用户的体验。
图5为本发明身份认证系统实施例的结构示意图,如图5所示,本实施例的身份认证系统包括移动终端1、确认终端2和服务器3,其中,在移动终端1中设置有数据加密模块,确认终端2与移动终端1绑定,可以通过近距离无线通信技术进行数据交互,服务器3设置在银行端,用于应用自身存储 的数字证书对发送给移动终端的认证字符串进行加密运算,获得第二加密字符串,并将第二加密字符串与移动终端返回的第一加密字符串进行比较,若相同,则认证成功;若不相同,则认证失败。本实施例系统中涉及的移动终端、确认终端和服务器,可以采用上述各实施例提供的移动终端、确认终端和服务器,其具体结构和功能此处不再赘述。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种身份认证的方法,其特征在于,包括:
设置于移动终端中的数据加密模块接收远端服务器通过所述移动终端的主体发送的认证字符串,根据自身存储的数字证书对所述认证字符串进行加密运算,得到第一加密字符串;
所述数据加密模块响应与所述移动终端绑定的确认终端通过所述移动终端的主体发送的交易数据请求信息,将交易明细信息通过所述移动终端的主体发送给所述确认终端;
所述确认终端将所述交易明细信息进行展示,并根据用户根据所述交易明细信息输入的指示信息,判断是否向所述数据加密模块发送确认指令;
所述数据加密模块若接收到所述确认终端通过所述移动终端的主体发送的所述确认指令,将所述第一加密字符串通过所述移动终端的主体发送给所述远端服务器,供所述远端服务器进行认证。
2.根据权利要求1所述的身份认证的方法,其特征在于,在所述数据加密模块响应所述确认终端通过所述移动终端的主体发送的交易数据请求信息之前,所述方法还包括:
所述数据加密模块向所述移动终端的主体发送提示信息,用于提示用户通过所述确认终端发送所述确认指令。
3.根据权利要求1或2所述的身份认证的方法,其特征在于,所述确认终端与所述移动终端的主体通过近距离无线通信技术进行数据通信。
4.根据权利要求3所述的身份认证的方法,其特征在于,所述认证字符串为对时间字符串、地址字符串、交易信息字符串和防重放攻击字符串的组合进行加密处理所获得的字符串。
5.根据权利要求4所述的身份认证的方法,其特征在于,所述远端服务器进行身份认证包括:
所述远端服务器应用自身存储的所述数字证书对所述认证字符串进行加密运算,获得第二加密字符串,并将所述第二加密字符串与所述移动终端返回的所述第一加密字符串进行比较,若相同,则认证成功;若不相同,则认证失败。
6.一种移动终端,其特征在于,包括移动终端的主体以及设置在所述移动终端的主体中的数据加密模块,所述数据加密模块包括:
第一接收模块,用于接收远端服务器通过所述移动终端的主体发送的认证字符串;
加密运算模块,用于根据自身存储的用户数字证书对所述认证字符串进行加密运算,得到第一加密字符串;
第二发送模块,用于向所述移动终端的主体发送提示信息,所述提示信息用于提示用户通过与所述移动终端绑定的确认终端发送确认指令;
第三发送模块,用于响应所述确认终端通过所述移动终端的主体发送的交易数据请求信息,将交易明细信息通过所述移动终端的主体发送给所述确认终端;
第一发送模块,用于根据接收到所述确认终端通过所述移动终端的主体发送的所述确认指令,将所述第一加密字符串通过所述移动终端的主体发送给所述远端服务器,供所述远端服务器进行认证。
7.一种确认终端,其特征在于,包括:
输入模块,用于接收用户根据交易明细信息输入的指示信息;
第四发送模块,用于当根据所述输入模块接收的所述指示信息判断出需要向移动终端发送确认指令时,将所述确认指令通过移动终端的主体发送给设置于所述移动终端中的数据加密模块,所述确认指令用于指示所述数据加密模块通过所述移动终端的主体,将计算得到的第一加密字符串发送给远端服务器,供所述远端服务器进行认证;
第五发送模块,用于通过所述移动终端的主体向设置于所述移动终端中的数据加密模块发送交易数据请求信息;
第二接收模块,用于接收所述数据加密模块通过所述移动终端的主体返回的所述交易明细信息并进行展示。
8.根据权利要求7所述的确认终端,其特征在于,所述第四发送模块、第五发送模块和所述第二接收模块通过近距离无线通信技术与所述移动终端的主体进行数据通信。
9.一种身份认证系统,其特征在于,包括:如权利要求6所述的移动终端、如权利要求7或8所述的确认终端,以及一服务器,用于应用自身存储的数字证书对发送给所述移动终端的认证字符串进行加密运算,获得第二加密字符串,并将所述第二加密字符串与所述移动终端返回的第一加密字符串进行比较,若相同,则认证成功;若不相同,则认证失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100917838A CN101668288B (zh) | 2009-08-25 | 2009-08-25 | 身份认证的方法、身份认证系统及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100917838A CN101668288B (zh) | 2009-08-25 | 2009-08-25 | 身份认证的方法、身份认证系统及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101668288A CN101668288A (zh) | 2010-03-10 |
| CN101668288B true CN101668288B (zh) | 2012-08-22 |
Family
ID=41804668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100917838A Active CN101668288B (zh) | 2009-08-25 | 2009-08-25 | 身份认证的方法、身份认证系统及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101668288B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102263792A (zh) * | 2011-08-05 | 2011-11-30 | 常钧 | 无线安全密钥设备、电子商务业务系统及方法 |
| CN102546168A (zh) * | 2011-11-30 | 2012-07-04 | 北京祥云天地科技有限公司 | 用于身份认证的通讯装置 |
| CN102521744B (zh) * | 2011-12-26 | 2017-11-03 | 中兴通讯股份有限公司 | 网络支付方法及装置 |
| EP2645729A1 (en) * | 2012-03-30 | 2013-10-02 | Nagravision S.A. | Security device for Pay-TV receiver/decoder |
| CN102945526B (zh) * | 2012-10-24 | 2018-04-27 | 北京深思数盾科技股份有限公司 | 一种提高移动设备在线支付安全的装置及方法 |
| CN104715361A (zh) * | 2013-12-17 | 2015-06-17 | 康迅数位整合股份有限公司 | 移动装置付费系统及方法 |
| CN104038932B (zh) * | 2014-06-05 | 2018-08-17 | 天地融科技股份有限公司 | 一种安全设备 |
| CN104967988A (zh) * | 2015-05-28 | 2015-10-07 | 集怡嘉数码科技(深圳)有限公司 | 一种数据漫游的方法、装置以及系统 |
| CN107180183B (zh) * | 2016-03-11 | 2024-02-02 | 上海方付通商务服务有限公司 | 无线贴膜盾及移动终端设备 |
| CN107453872B (zh) * | 2017-06-27 | 2020-08-04 | 北京溢思得瑞智能科技研究院有限公司 | 一种基于Mesos容器云平台的统一安全认证方法及系统 |
| CN108540652B (zh) * | 2018-03-15 | 2019-12-17 | 北京华大智宝电子系统有限公司 | 一种安全交互方法及装置 |
| CN111243137A (zh) * | 2020-01-13 | 2020-06-05 | 汪洵 | 一种基于开放架构的智能门锁安全管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1734486A (zh) * | 2004-08-13 | 2006-02-15 | 李东声 | 一种网上支付的身份识别方法 |
| CN1848174A (zh) * | 2006-05-16 | 2006-10-18 | 周星 | 通过ivr系统请求户主确认方式办理银行业务的系统与方法 |
| CN101051907A (zh) * | 2007-05-14 | 2007-10-10 | 北京握奇数据系统有限公司 | 面向签名数据的安全认证方法及其系统 |
| CN101212293A (zh) * | 2006-12-31 | 2008-07-02 | 普天信息技术研究院 | 一种身份认证方法及系统 |
-
2009
- 2009-08-25 CN CN2009100917838A patent/CN101668288B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1734486A (zh) * | 2004-08-13 | 2006-02-15 | 李东声 | 一种网上支付的身份识别方法 |
| CN1848174A (zh) * | 2006-05-16 | 2006-10-18 | 周星 | 通过ivr系统请求户主确认方式办理银行业务的系统与方法 |
| CN101212293A (zh) * | 2006-12-31 | 2008-07-02 | 普天信息技术研究院 | 一种身份认证方法及系统 |
| CN101051907A (zh) * | 2007-05-14 | 2007-10-10 | 北京握奇数据系统有限公司 | 面向签名数据的安全认证方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101668288A (zh) | 2010-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101668288B (zh) | 身份认证的方法、身份认证系统及终端 | |
| JP4524059B2 (ja) | 無線通信網において安全なデータ転送を実行する方法と装置 | |
| CN101527630B (zh) | 远程制证的方法、服务器及系统 | |
| JP5739008B2 (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| CN101605325B (zh) | 身份认证的方法和移动终端、服务器以及身份认证系统 | |
| CN101527714A (zh) | 制证的方法、装置及系统 | |
| CN103152180A (zh) | 一种带有无线通信功能的加密认证设备及方法 | |
| CN203278851U (zh) | 一种带有无线通信功能的加密认证设备 | |
| CN101594611A (zh) | 身份认证的方法和移动终端、服务器以及身份认证系统 | |
| KR20120061022A (ko) | 데이터 통신망을 이용한 음성 통화망의 발신자 인증 방법 및 시스템과 이를 위한 발신측 장치, 착신 단말 및 프로그램 | |
| KR100817779B1 (ko) | 비상용 핀을 이용한 계좌 정보 보호 방법 및 이를 위한이동 단말기 | |
| KR20100136285A (ko) | 생체 인식과 연동하는 이중 코드 생성 방식의 오티피 운영 방법 및 시스템과 이를 위한 기록매체 | |
| KR20100136269A (ko) | 생체 인식과 연동하는 오티피 운영 방법 및 시스템과 이를 위한 기록매체 | |
| Wang et al. | Method of internet service easy login application based on RFSIM | |
| KR20100136047A (ko) | 씨드 조합 방식 오티피 운영 방법 및 시스템과 이를 위한 기록매체 | |
| KR20190104019A (ko) | 프로그램 기반의 네트워크 형 오티피 제공 방법 | |
| KR20100136085A (ko) | 인덱스 교환을 통한 씨드 조합 방식 오티피 출력 방법 및 시스템과 이를 위한 기록매체 | |
| KR20100136278A (ko) | 생체 인식과 연동하는 씨드 조합 방식의 오티피 운영 방법 및 시스템과 이를 위한 기록매체 | |
| KR20100136077A (ko) | 인덱스 교환을 통한 씨드 조합 방식 오티피 운영 방법 및 시스템과 이를 위한 기록매체 | |
| KR20100136089A (ko) | 인덱스 교환을 통한 다중 코드 생성 방식 오티피 출력 방법 및 시스템과 이를 위한 휴대폰 및 기록매체 | |
| KR20100136090A (ko) | 인덱스 교환을 통한 복수 인증 방식 오티피 출력 방법 및 시스템과 이를 위한 휴대폰 및 기록매체 | |
| KR20100136048A (ko) | 이중 코드 생성 방식 오티피 운영 방법 및 시스템과 이를 위한 기록매체 | |
| KR20100136049A (ko) | 다중 코드 생성 방식 오티피 운영 방법 및 시스템과 이를 위한 휴대폰 및 기록매체 | |
| KR20100136055A (ko) | 이중 코드 생성 방식 오티피 출력 방법 및 시스템과 이를 위한 기록매체 | |
| KR20100136051A (ko) | 복수 인증 방식 오티피 운영 방법 및 시스템과 이를 위한 휴대폰 및 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Identity authenticating method, identity authenticating system and terminal Effective date of registration: 20130422 Granted publication date: 20120822 Pledgee: Zhongguancun development group Limited by Share Ltd Pledgor: Beijing Qiandaiwang Corporation. Registration number: 2013990000227 |
|
| PLDC | Enforcement, change and cancellation of contracts on pledge of patent right or utility model | ||
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING QIANDAIBAO PAYMENT TECHNOLOGY CO., LTD. Free format text: FORMER NAME: BEIJING QIANDAIWANG CORPORATION. |
|
| CP03 | Change of name, title or address |
Address after: 100088 Beijing city Haidian District No. 6 Zhichun Road Jinqiu International Building 15 floor of No. B02 Patentee after: BEIJING QIANDAIPAY PAYMENT TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Haidian District Qingyun aromatic garden Ting Building 9, twenty storey building 2006 room contemporary Qingyun Patentee before: Beijing Qiandaiwang Corporation. |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20150727 Granted publication date: 20120822 Pledgee: Zhongguancun development group Limited by Share Ltd Pledgor: Beijing Qiandaiwang Corporation. Registration number: 2013990000227 |
|
| PLDC | Enforcement, change and cancellation of contracts on pledge of patent right or utility model | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160919 Address after: 100080 Beijing Haidian District North Fourth Ring Road West, No. 9 2106-030 Patentee after: The fast online Science and Technology Ltd. in Beijing three Address before: 100088 Beijing city Haidian District No. 6 Zhichun Road Jinqiu International Building 15 floor of No. B02 Patentee before: BEIJING QIANDAIPAY PAYMENT TECHNOLOGY CO., LTD. |