一种移动终端网络安全认证的方法、SD全卡及移动终端
技术领域
本发明涉及通信领域,特别是涉及一种移动终端网络安全认证的方法、SD全卡及移动终端。
背景技术
远程支付依托于移动互联网技术发展迅速,给予了我们生活巨大的方便,但移动互联网相比于传统网络更加开放和复杂,如何解决远程支付过程中面临的安全登陆、安全支付等问题已成为商业界和学术界共同关注的焦点。
现有技术提出的移动终端上eID(electronic Identity,电子身份证)身份认证的方法和系统,以基于NFC(Near Field Communication,近场通信)技术的非接触卡片作为eID信息载体,手机、PAD(平板电脑)等移动终端配置NFC单元和天线,用户登陆移动终端的应用程序时,通过NFC技术获取eID卡片的身份认证信息,不需要频繁的输入用户名和密码就可以保证身份安全可靠的前提下快捷登陆应用程序并进行相关支付操作。
但是,NFC移动终端的更换成本颇高,多年来,一直就是造成以NFC为核心的近场支付在市场上始终无明显突破的关键原因,不一而同的也将限制基于NFC技术的非接触eID卡的普及。现有技术需要移动终端必须配置NFC单元和天线,才能获取eID证书、私钥及PIN码信息,增加了移动终端的成本;基于NFC技术的eID卡片在移动终端上进行刷卡时,识别率易受到兼容性及电磁环境等因素影响。
发明内容
本发明要解决的技术问题是提供一种移动终端网络安全认证的方法、SD(SecureDigital,安全数字)全卡及移动终端,以降低移动终端进行网络安全认证的成本。
为了解决上述技术问题,本发明提供了一种移动终端网络安全认证的方法,所述移动终端安装有电子身份证eID客户端,包括:
所述eID客户端接收所述移动终端上的应用程序发起的身份认证请求;
所述eID客户端访问所述移动终端上的安全数字全卡获取eID信息,将所述eID信息发送给eID统一认证服务系统进行身份认证,将身份认证结果返回给所述应用程序。
进一步地,上述方法还具有下面特点:
如身份认证成功,则所述eID客户端向所述应用程序返回的身份认证结果包括相应的用户标识和网络操作令牌;
所述应用程序将所述用户标识和网络操作令牌发送给应用系统服务器以验证所述网络操作令牌的合法性与真实性。
进一步地,上述方法还具有下面特点:
所述eID信息包括:eID证书、私钥及PIN码信息。
为了解决上述问题,本发明还提供了一种安全数字SD全卡,包括CPU安全模块和SD接口控制器,其中,
所述CPU安全模块中存储有eID信息;
所述SD接口控制器,接收到所连接的移动终端上的应用程序的获取eID信息请求后,访问所述CPU安全模块,获取所述eID信息,并将所述eID信息发送给所述应用程序。
进一步地,上述安全数字全卡还具有下面特点:
所述eID信息包括:eID证书、私钥及PIN码信息。
为了解决上述问题,本发明还提供了一种移动终端,其中,包括电子身份证eID客户端和上述的安全数据全卡,其中,
所述eID客户端,接收所述移动终端上的应用程序发起的身份认证请求;访问所述安全数字全卡获取eID信息,将所述eID信息发送给eID统一认证服务系统进行身份认证,将身份认证结果返回给所述应用程序。
进一步地,移动终端还具有下面特点:
所述eID客户端,在身份认证成功的情况下,向所述应用程序返回的身份认证结果包括相应的用户标识和网络操作令牌,由所述应用程序将所述用户标识和网络操作令牌发送给应用系统服务器以验证所述网络操作令牌的合法性与真实性。
进一步地,移动终端还具有下面特点:
所述eID信息包括:eID证书、私钥及PIN码信息。
综上,本发明提供一种移动终端网络安全认证的方法、SD全卡及移动终端,以SD全卡作为载体,eID信息存储在SD全卡的CPU安全模块中,手机、PAD等移动终端不需要配置NFC单元和天线,通过SD接口获取eID证书、私钥及PIN码信息,即可实现移动终端上的网络身份安全认证,实现应用程序的安全、快捷登陆。
附图说明
图1本发明实施例的SD全卡的示意图;
图2本发明实施例移动终端进行网络安全认证的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图1所示,本发明实施例提出一种SD全卡,SD全卡由CPU安全模块、NFC非接信号放大模块、信息存储模块、SD接口控制器以及NFC天线构成。在本实施例的SD全卡的CPU安全模块中存储有eID证书、私钥及PIN码信息,可用于移动终端的网络身份安全认证,其中,
SD接口控制器,接收到所连接的移动终端上的应用程序的获取eID信息请求后,访问所述CPU安全模块,获取所述eID信息,并将所述eID信息发送给所述应用程序。
本发明实施例提供一种移动终端,该移动终端包括上述的SD全卡,如图2所示,手机等移动终端安装eID客户端,可通过SD接口控制器直接访问SD全卡中的CPU安全模块,获取eID证书、私钥及PIN码信息,实现网络身份认证,实现应用程序的安全登陆。
用户移动终端的应用程序登陆时,需要先进行eID认证,可以包括以下步骤:
步骤1,移动终端应用程序提出身份认证请求,与eID客户端进行信息交互,申请获得用户身份的相关信息;
步骤2,eID客户端通过本机SD接口访问SD全卡的CPU安全单元以获取eID信息。
步骤3,SD全卡将eID信息发送给eID客户端;
步骤4,eID客户端读取eID信息之后,通过建立安全可信的会话通道,将eID信息发送给eID统一认证服务系统进行身份的认证;
步骤5,eID统一认证服务系统向eID客户端返回认证结果;
步骤6,eID客户端将认证结果返回给应用程序,应用程序根据此简单结果即可判断用户的合法性;
如认证成功时,eID客户端向应用程序返回的认证结果中包括相应的用户标识和网络操作Token(令牌)。
步骤7,应用程序将用户标识和网络操作Token发送给应用系统服务器;
步骤8,应用系统服务器与eID统一认证服务系统建立安全可信的会话通道,可以根据此用户标识进一步验证网络操作令牌的合法性和真实性,验证通过之后,获取与eID绑定的用户信息,由应用程序所在的应用系统服务器执行业务逻辑,
步骤9、应用系统服务器将验证结果发送给应用程序,移动终端应用程序完成登陆操作。
本发明实施例将eID和SD全卡结合,实现了eID载体在手机、PAD等移动终端上的即插即用,便于eID卡片管理;本发明实施例中,移动终端上的eID客户端可直接通过SD接口访问SD全卡的CPU安全模块,获取eID证书、私钥及PIN码信息,实现移动终端上的网络身份认证,不需要移动终端配置NFC单元和天线,省去了移动终端改造的成本,具有速度快、兼容性好而且信息通路更私密可靠的优点,可为用户提供更可靠更安全的支付环境,有利于eID应用的普及。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。