发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供一种基于终端存储的电子授权状实现方法、智能终端、授权系统及验证终端,其增加了用户对标识信息使用的认证信息,提高了使用的安全性,使用简单方便,特别适用于强安全要求的或敏感的应用场合。
为了达到上述目的,本发明采取了以下技术方案:
一种基于终端存储的电子授权状实现方法,应用于电子管理系统,包括带用户标识的智能终端、授权系统、用户管理中心和验证终端,其中,所述实现方法包括申请授权,所述申请授权包括步骤:
所述带用户标识的智能终端接收并存储用户标识数据;
所述智能终端将用户标识数据发送到授权系统申请授权状;
所述授权系统接收所述用户标识数据;
所述授权系统向用户管理中心提取与所述用户标识数据相对应的用户公钥数据;
所述授权系统生成并存储含有用户标识数据、用户公钥数据的授权状;
所述授权系统通过短信将所述授权状的确认信息发送到所述智能终端;
所述智能终端接收所述授权状的确认信息;
所述验证终端从所述授权系统接收并存储含有用户标识数据、用户公钥数据的授权状。
所述的电子授权状实现方法,其中,其还包括使用授权,所述使用授权包括步骤:
所述验证终端发送读用户标识数据的命令;
所述智能终端接收存储所述读用户标识数据的命令并产生随机数;
所述智能终端将所述用户标识数据及随机数发送给所述验证终端;
所述验证终端根据所述用户标识数据查找相对应的授权状;
所述验证终端根据所查到的授权状中的用户公钥数据,将所述随机数加密成带有身份认证的第一密文;
所述验证终端将所述第一密文及一附加验证信息发送给所述智能终端;
所述智能终端接收所述第一密文及所述附加验证信息,并解密所述第一密文及核对所述第一密文内的随机数;
所述智能终端以私钥签名把所述附加验证信息加密成有身份认证的第二密文;
所述验证终端接收所述第二密文并验证所述签名;
所述验证终端验证通过并执行授权及记录授权的用户签名数据。
所述的电子授权状实现方法,其中,其还包括取消授权;所述取消授权包括步骤:
所述智能终端接收用户的取消授权状请求及用户私钥签名,并将所述取消授权状请求及用户私钥签名发送到所述授权系统;
所述授权系统接收所述取消授权状请求及用户私钥签名,并核对所述用户私钥签名;
所述授权系统更新本地数据库;
所述验证终端更新数据库;
完成取消后,所述授权系统向所述智能终端发送取消授权状信息。
所述的电子授权状实现方法,其中,所述附加验证信息为用户签名数据的终端日期、时间、终端号。
一种智能终端,其中,包括:
第一接收及存储单元,用于接收并存储用户标识数据及公私密钥;
第一发送单元,用于将所述用户标识数据发送到授权系统申请授权状;
第一接收单元,用于接收所述授权状的确认信息;
第二接收及存储单元,用于接收读用户标识数据的命令并产生随机数;
第二发送单元,用于将所述用户标识数据及随机数发送给验证终端;
接收及解密单元,用于接收第一密文及一附加验证信息,并解密所述第一密文及核对所述第一密文内的随机数;
第二加密单元,用于以私钥签名数据加密成有身份认证的第二密文。
所述的智能终端,其中,其还包括:取消请求单元,用于接收用户的取消授权状请求及用户私钥签名,并将所述取消授权状请求及用户私钥签名发送到所述授权系统。
一种授权系统,其中,包括:
接收及验证单元,用于接收并验证用户标识数据;
提取单元,用于向用户管理中心提取与用户标识数据相对应的用户公钥数据;
授权状生成及存储单元,用于生成并存储含有用户标识数据、用户公钥数据的授权状;
授权信息发送单元,用于通过短信将所述授权状的确认信息发送到智能终端;
取消执行单元,用于接收智能终端发来的取消授权状请求及用户私钥签名,并核对所述用户私钥签名,执行取消授权状,及时更新本地数据库。
一种验证终端,其中,包括:
授权状接收及存储单元:用于从授权系统接收并存储含有用户标识数据、用户公钥数据的授权状;
读标识发送单元,用于发送读用户标识数据的命令;
授权状查找单元:用于根据所述用户标识数据查找相对应的授权状;
第一加密单元,用于根据所查到的授权状中的用户公钥数据,将随机数加密成带有身份认证的第一密文;
第一密文发送单元,用于将所述第一密文及一附加验证信息发送给智能终端;
接收及验证单元,用于接收第二密文并验证用户签名数据;
授权执行单元,用于验证通过并执行授权,以及记录授权的用户签名数据。
所述的验证终端,其中,其还包括:取消数据更新单元,用于及时更新用户取消的授权状数据信息。
本发明提供的一种基于终端存储的电子授权状实现方法、智能终端、授权系统及验证终端,采用公钥密码技术实现所述电子授权状,授权状中有用户身份信息,验证终端通过对用户的标识和签名进行验证,提高了使用的安全性;且用户通过短信就可以申请授权状,及授权状存储在验证终端,用户持标识身份的智能卡,或内嵌智能卡的智能终端,(如手机)使用授权状,使用简单方便。
具体实施方式
本发明实施例提供一种基于终端存储的电子授权状实现方法、智能终端、授权系统及验证终端,采用公钥密码技术实现所述电子授权状,采用公钥密码技术实现授权状,授权状存储在验证终端,用户持标识身份的智能卡,或内嵌智能卡的智能终端,(如手机)使用授权状,使用简单方便。授权状实现方法包括申请授权、使用授权、取消授权等。为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。
本发明实施例提供一种基于终端存储的电子授权状实现方法,应用于电子管理系统,包括带用户标识的智能终端、授权系统、用户管理中心和验证终端,其中,如图1所示,所述申请授权包括步骤:
101、用户向用户管理中心领取或购买带用户标识信息的用户智能卡,或把智能卡的装入智能终端(如手机)上。
102、当用户要申请授权状时,所述智能终端将所述用户标识数据发送到授权系统申请授权状。
103、所述授权系统接收并验证所述用户标识数据,决定是否符合授权条件,如果符合授权则执行步骤104;否则执行步骤108。
104、所述授权系统向用户管理中心提取与用户标识数据相对应的用户公钥数据。
105、所述授权系统生成并存储含有用户标识数据、用户公钥数据的授权状;并通过短信将所述授权状的确认信息发送到所述智能终端,通知用户授权成功。
106、所述验证终端从所述授权系统接收并存储含有用户标识数据、用户公钥数据的授权状,将所述授权状下载到验证终端。
107、所述智能终端接收所述授权状的确认信息(如申请授权成功等确认信息)。
108、当用户申请授权不符合规定的条件时,做相应的失败处理。
所述使用授权包括步骤:如图2所示;
201、所述验证终端向用户智能终端发送读用户标识数据的命令。
202、所述智能终端接收存储所述读用户标识数据的命令并产生随机数。
203、所述智能终端将所述用户标识数据及随机数发送给所述验证终端。
204、所述验证终端根据所述用户标识数据查找相对应的授权状,如果找到对应的授权状,则执行步骤205;否则执行步骤210。
205、所述验证终端根据所查到的授权状中的用户公钥数据,将所述随机数加密成带有身份认证的第一密文,并将所述第一密文及一附加验证信息,如终端日期、时间、终端号等发送给所述智能终端。
206、所述智能终端接收所述附加验证信息,并解密所述第一密文及核对所述第一密文内的随机数,如果解密及核对正确,则执行步骤207;否则执行步骤210。
207、所述智能终端以私钥签名把所述附加验证信息加密成有身份认证的第二密文;并将所述第二密文发回给验证终端。
208、所述验证终端接收所述第二密文并验证所述用户签名数据;如果验证正确,则执行步骤209,否则执行步骤210。
209、所述验证终端验证通过并执行授权及记录授权的用户签名数据。
210、做相应的失败处理。
进一步的实施例,本发明的基于终端存储的电子授权状实现方法,当所述用户想取消授权时,还包括取消授权,所述取消授权包括步骤:
A、用户向授权中心提出取消授权状要求,取消要求以用户私钥签名;
B、授权中心核对签名,正确的,更新本地数据库,更新验证终端数据;
C、通知用户取消成功。
以下以订购电影票为优选实施例对本发明基于终端存储的电子授权状实现方法进行详细描述:
第一步、用户在手机钱包STK菜单上选择“订购电影票”,选择影院、日期和影片,手机将其按格式如“20090808F08”,通过短信发送到影院。
第二步、影院确认票源,将票款及用户手机号发送给手机钱包中心,钱包中心通知用户支付票款。
第三步、用户收到支付信息,确认支付,手机钱包中心支付成功后,通知影院。
第四步、影院收到票款支付确认后,从用户管理中心申请公钥,并生成以用户手机号为标识包含用户公钥、日期、门厅、座位等信息的电影票授权状,短信通知用户“订票成功”。
第五步、电影票授权状下载到指定门厅的验票终端。
第六步、用户进入影院,持手机在验票终端刷过,验票终端读出手机号和随机数,查找手机号对应的电影票授权状,以授权状中公钥加密随时数,与终端日期、时间、终端号发送手机。
第七步、手机验证随机数后,以私钥加密终端日期、时间、终端号,返回终端。
第八步、终端验证签名,正确的,授权通过,打开道闸,用户进入放映厅。
基于上述方法,本发明实施例相应提供一种智能终端,如图3所示,其包括:
第一接收及存储单元301,用于接收并存储用户标识数据及公私密钥;
第一发送单元302,用于将所述用户标识数据发送到授权系统申请授权状;
第一接收单元303,用于接收所述授权状的确认信息;
第二接收及存储单元304,用于接收存储读用户标识数据的命令并产生随机数;
第二发送单元305,用于将所述用户标识数据及随机数发送给验证终端;
接收及解密单元306,用于接收第一密文及终端日期、时间、终端号,并解密所述第一密文及核对所述第一密文内的随机数;
第二加密单元307,用于以私钥用户签名数据将所述终端日期、时间、终端号加密成有身份认证的第二密文。
在进一步的实施例中,该智能终端还包括:取消请求单元308,用于接收用户的取消授权状请求及用户私钥签名,并将所述取消授权状请求及用户私钥签名发送到所述授权系统。
基于上述方法,本发明实施例还提供一种授权系统,如图4所示,其包括:
接收及验证单元401,用于接收并验证用户标识数据;
提取单元402,用于向用户管理中心提取与用户标识数据相对应的用户公钥数据;
授权状生成及存储单元403,用于生成并存储含有用户标识数据、用户公钥数据的授权状;
授权信息发送单元404,用于通过短信将所述授权状的确认信息发送到所述智能终端;
取消执行单元405,用于接收智能终端发来的取消授权状请求及用户私钥签名,并核对所述用户私钥签名,执行取消授权状,及时更新本地数据库。
基于上述方法,本发明实施例还提供一种验证终端,如图5所示,其包括:
授权状接收及存储单元501:用于从授权系统接收并存储含有用户标识数据、用户公钥数据的授权状;
读标识发送单元502,用于发送读用户标识数据的命令;
授权状查找单元503:用于根据所述用户标识数据查找相对应的授权状;
第一加密单元504,用于根据所查到的授权状中的用户公钥数据,将随机数加密成带有身份认证的第一密文;
第一密文发送单元505,用于将所述第一密文及终端日期、时间、终端号发送给智能终端;
接收及验证单元506,用于接收第二密文并验证用户签名数据;
授权执行单元507,用于验证通过并执行授权,以及记录授权的用户签名数据。
在进一步的实施例中,该验证终端,还包括:取消数据更新单元508,用于及时更新用户取消的授权状数据信息。
本发明提供的一种基于终端存储的电子授权状实现方法、智能终端、授权系统及验证终端,采用公钥密码技术实现所述电子授权状,授权状中有用户身份信息,验证终端通过对用户的标识和签名进行验证,提高了使用的安全性;且用户通过短信就可以申请授权状,及授权状存储在验证终端,用户持标识身份的智能卡,或内嵌智能卡的智能终端,(如手机)使用授权状,使用简单方便。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。