CN105187447B - 一种终端安全登录方法 - Google Patents
一种终端安全登录方法 Download PDFInfo
- Publication number
- CN105187447B CN105187447B CN201510634460.4A CN201510634460A CN105187447B CN 105187447 B CN105187447 B CN 105187447B CN 201510634460 A CN201510634460 A CN 201510634460A CN 105187447 B CN105187447 B CN 105187447B
- Authority
- CN
- China
- Prior art keywords
- card
- application
- authentication
- mobile terminal
- authentication application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种终端安全登录方法,该方法包括:在移动终端设定唯一识别码,当业务系统向移动终端发出认证请求时,用户输入所述识别码,以使移动终端存储卡中的认证应用对业务操作进行签名,若所述签名通过认证,则允许终端登录。本发明提出了一种终端安全登录方法,实现进行移动场景下的用户认证和签名,而且有利于构建面向安全的应用环境,从而提高网络业务的价值。
Description
技术领域
本发明涉及安全数据处理,特别涉及一种终端安全登录方法。
背景技术
随着计算机技术的高速发展,银行业务基于移动互联网,缩短了其交易成本和时间,拉近了银行行业与用户的距离。目前,无论是个人还是企业,对网上银行已经逐步认可和接受,但是安全问题一直使用户心存顾虑,网上银行交易方式在安全性和易用性方面均存在不足。硬件签名认证方式在网上银行应用十分广泛。通过USB双钥加密,私钥安全地保存在外接存储中,然而,随着移动移动终端的快速发展和移动互联网的普及,移动终端购物、网上交费等新型消费形式的出现,移动终端也提出了对加密和签名的新需求。原有形态的U盾在便携性、易用性和兼容性方面不再适应移动互联网业务的发展。此外,网上银行用户认证的另外一种方式即短信认证,由于明文方式传输和存储,同样存在着安全缺陷。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种终端安全登录方法,包括:
在移动终端设定唯一识别码,当业务系统向移动终端发出认证请求时,用户输入所述识别码,以使移动终端存储卡中的认证应用对业务操作进行签名,若所述签名通过认证,则允许终端登录。
优选地,所述存储卡为SD卡,在SD卡验证过程中,在移动终端中部署认证应用和操作系统的SD卡读写通道和访问控制功能单元,使仅有授权的认证应用可以通过读写通道访问SD卡中的认证应用,所述访问控制功能单元根据认证应用的哈希值和应用包进行规则匹配,从而进行终端的访问控制;每个认证应用安装在不同的辅助安全域,保证数据存储安全,认证应用管理平台对认证应用所在安全域进行管理,在其安全域内下载、安装、实例化、个人化认证应用Applet,应用的发布通过在服务器下载卡认证应用,或通过互联网利用移动终端安装客户端进而下载卡认证应用。
优选地,所述利用移动终端设定唯一识别码,进一步包括:
移动终端用户通过业务系统注册业务,获取授权码,在向SD卡下载认证应用之后,用户通过移动客户端或SD卡菜单进行业务开户,设定本机唯一识别码;用户在业务注册后,下载签名文件至SD卡认证应用,该下载过程通过短信或通过SD卡读写通道由认证应用客户端完成,用户在签名文件下载后,为其设置本地唯一识别码作为保护。
优选地,该方法还包括:
当移动终端用户进行业务退订时,用户通过移动客户端从SD卡菜单进行业务取消和退订;当应用进行更新时,应用平台通过通信网络发送应用更新通知,通过移动客户端进行应用的下载更新;
在应用发布至SD卡并且用户开通了业务后,执行基于签名认证流程:首先,业务系统发送业务信息,终端收到并查看交易信息后提示用户进行确认,确认后输入签名文件密码,经过密码校验后,SD卡认证应用进行签名文件私钥签名生成签名数据,通过通信网络发送签名数据至认证平台,平台通过用户ID在平台侧提取签名文件,并对签名数据进行验证,将验证的结果提交至业务系统处理;
所述移动终端上的应用通过移动终端底层的API访问SD卡中的一个应用;SD卡中存储是否允许移动终端客户端应用访问卡片应用的规则,该规则定义了卡内安全数据访问控制的通用机制,支持多个应用方的应用程序管理并允许每个应用方为其加载到卡内的应用设置访问规则,卡内应用访问规则数据存储在SD卡中,供设备上的访问控制执行使用,操作系统访问控制执行层将卡内认证应用里取回访问规则然后运用这些规则来控制应用客户端对卡认证应用的访问。
本发明相比现有技术,具有以下优点:
本发明提出了一种终端安全登录方法,实现进行移动场景下的用户认证和签名,而且有利于服务器构建面向安全的应用环境,从而提高网络和业务的地位和价值。
附图说明
图1是根据本发明实施例的终端安全登录方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种终端安全登录方法。图1是根据本发明实施例的终端安全登录方法流程图。随着移动终端SD卡技术的发展,卡的功能也不断增强,不仅能提供服务器的网络鉴权能力,而且能提供基于SD卡的安全能力开发,为银行业务在移动场景下的用户签名和认证登录提供技术手段。本发明从移动通信服务器角度提出利用移动终端SD卡和通信网络构建移动终端用户签名认证登录的结构,以终端为用户入口,面向银行业务系统实现了端到端的解决方案。
基于移动终端SD卡的银行应用移动签名认证业务包括以下几种。
(1)应用的发布:移动终端用户通过银行业务系统柜台签署业务开通,获取授权码。用户通过服务器或者客户端向SD卡下载认证应用。
(2)业务签约:移动终端用户通过移动客户端或SD卡菜单选择银行进行业务开户,设定本机唯一识别码。
(3)业务执行:当移动终端用户通过网上银行或移动终端银行进行支付转账等需要进行用户签名认证操作时,银行业务系统向跨平台鉴权服务系统认证请求,通过通信网络请求发送至移动终端,终端通过客户端的SD卡开发工具菜单呈现操作的具体信息,用户输入步骤(2)中设定的唯一识别码后对交易操作进行签名,签名数据通过通信网络发送至鉴权服务系统实现登录,登录后将结果返回至银行业务系统完成支付操作。
(4)业务的退订:移动终端用户通过移动客户端从SD卡菜单选择银行进行业务取消和退订。
(5)应用更新:当应用进行更新时,应用平台通过通信网络发送应用更新通知,通过移动客户端进行应用的下载更新。
本发明基于移动终端SD卡的银行应用移动签名认证平台总体结构,从业务应用到终端进行了层次划分,包括以下4个层次:业务层、业务聚集层、服务器层、终端层。4层结构按照业务逻辑独立部署,面向银行业务系统实现了端到端解决方案。
(1)业务层部署一个至多个银行业务系统,负责认证业务的发起。
(2)业务聚集层部署跨平台银行应用服务系统,用于聚集不同银行业务系统的认证业务请求。系统可由服务器部署并运营,也可以由可信的第三方机构部署并运营,可介于通信网络和银行业务系统之间。
(3)服务器层部署管理平台、SD卡认证应用管理平台、SD卡访问控制平台、消息平台。
(4)终端层部署移动终端和SD卡,其中移动终端负责执行终端层面的SD卡访问控制和通过预定义的API方式调用卡内应用,完成业务展示和机卡交互;SD卡负责执行SD卡层面的卡片认证应用访问控制和SD卡认证应用。其中SD卡认证应用实现了验证的业务逻辑。
从终端层展开看,包括移动终端和SD卡两个功能实体。其中终端中部署认证应用和操作系统层面的SD卡读写通道和访问控制功能单元,保证仅有授权的认证应用可以通过读写通道访问SD卡中的认证应用。访问控制功能单元根据认证应用的哈希值和应用包进行规则匹配,从而进行终端的访问控制。SD卡中部署访问控制规则,保证只有通过该规则的应用才能访问卡上的认证应用。每个认证应用安装在不同的辅助安全域,保证数据存储安全。
用户签名认证采用SSL,实现了基于终端和SD卡的签名。当交易请求得到用户确认并输入唯一识别码后,SD卡通过唯一识别码校验后将交易信息生成哈希散列,进而使用存在于SD卡认证应用中的私钥进行加密形成签名数据。上述加密过程由SD卡认证应用完成。此签名数据连同用户ID、交易确认信息同时上传至认证平台。上传过程可依赖两种方式:短信方式或使用客户端基于IP网络进行数据传输。认证平台收到签名数据后通过用户ID提取签名文件,同时对数据做哈希处理,对签名数据使用公钥进行解密,如解密后的数据与前哈希值相同则鉴权通过,允许登录。本发明中利用终端实现用户输入唯一识别码确认的用户交互过程,如用SD卡实现SSL架构中的数据加密环节,在认证平台实现解密鉴权环节。本发明一方面使用唯一识别码保护了本地签名文件数据,同时高效地利用了SD卡的安全计算能力,实现了跨平台的签名认证。签名认证过程使用的计算和通信环境独立于交易过程,只要给用户足够的安全提示,便可最大程度地降低安全风险。
本发明实现了终端应用访问SD卡认证应用时的访问控制,以保证卡内应用数据不被非法应用读取和篡改。对于移动终端上的一个客户端应用而言,通过移动终端底层的API访问SD卡中的一个应用。SD卡中存储是否允许移动终端客户端应用访问卡片应用的一个规则。定义了卡内安全数据访问控制的通用机制。该机制对于任何卡内安全数据都可用。它支持多个应用方的应用程序管理并允许每个应用方为其加载到卡内的应用设置访问规则。卡内应用访问规则数据存储在SD卡中,供设备上的访问控制执行使用。操作系统访问控制执行层将卡内认证应用里取回访问规则然后运用这些规则来控制应用客户端对卡认证应用的访问。
SD卡验证业务中,应用发布的主要目的是将认证应用通过通信网络写入SD卡辅助安全域中。这一过程涉及服务器平台、SD卡认证应用管理平台。其中,认证应用管理平台对认证应用所在安全域进行管理,负责在其安全域内下载、安装、实例化、个人化认证应用Applet。应用的发布可以采用灵活的方式,既可以在服务器下载卡认证应用,也可以通过移动互联网方式利用移动终端安装客户端进而下载卡认证应用。
SD卡认证应用业务的管理功能包括用户以实名身份通过移动终端客户端界面进行业务开通。首先,用户需要以实名方式进行业务注册,获取并保存用户ID;其次,用户在业务注册后需要选择银行进行签约并且下载银行签名文件至SD卡认证应用,这一下载过程可以通过短信完成,也可以通过SD卡读写通道由认证应用客户端完成。这种方式为业务部署提供了较大的灵活度,两种方式可以形成互补,当认证应用客户端可用时,可以节省短信通信成本,当终端无法连接IP网络时,短信可以确保完成签名文件下载。用户在签名文件下载后,有必要为其设置本地唯一识别码作为保护。
在应用发布至SD卡并且用户开通了银行业务后,执行基于交易签名认证流程:首先,银行业务系统发送交易信息,终端收到并查看交易信息后提示用户进行主观确认,确认后输入签名文件密码,经过密码校验后,SD卡认证应用进行签名文件私钥签名生成签名数据,通过通信网络发送签名数据至认证平台,平台通过用户ID在平台侧提取签名文件,并对签名数据进行验证,将验证的结果提交至银行业务系统处理。
综上所述,本发明提出了一种终端安全登录方法,实现进行移动场景下的用户认证和签名,而且有利于服务器构建面向安全的应用环境,从而提高网络和业务的地位和价值。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (3)
1.一种终端安全登录方法,用于在移动签名认证平台中对移动终端进行认证,其特征在于,包括:
在移动终端设定唯一识别码,当业务系统向移动终端发出认证请求时,用户输入所述识别码,以使移动终端存储卡中的认证应用对业务操作进行签名,若所述签名通过认证,则允许终端登录;
所述存储卡为SD卡,在SD卡验证过程中,在移动终端中部署认证应用和操作系统的SD卡读写通道和访问控制功能单元,使仅有授权的认证应用可以通过读写通道访问SD卡中的认证应用,所述访问控制功能单元根据认证应用的哈希值和应用包进行规则匹配,从而进行终端的访问控制;每个认证应用安装在不同的辅助安全域,保证数据存储安全,认证应用管理平台对认证应用所在安全域进行管理,在其安全域内下载、安装、实例化、个人化认证应用Applet,应用的发布通过在服务器下载卡认证应用,或通过互联网利用移动终端安装客户端进而下载卡认证应用。
2.根据权利要求1所述的方法,其特征在于,所述在移动终端设定唯一识别码,进一步包括:
移动终端用户通过业务系统注册业务,获取授权码,在向SD卡下载认证应用之后,用户通过移动客户端或SD卡菜单进行业务开户,设定本机唯一识别码;用户在业务注册后,下载签名文件至SD卡认证应用,该下载过程通过短信或通过SD卡读写通道由认证应用客户端完成,用户在签名文件下载后,为其设置本地唯一识别码作为保护。
3.根据权利要求2所述的方法,其特征在于,该方法还包括:
当移动终端用户进行业务退订时,用户通过移动客户端从SD卡菜单进行业务取消和退订;当应用进行更新时,应用平台通过通信网络发送应用更新通知,通过移动客户端进行应用的下载更新;
在应用发布至SD卡并且用户开通了业务后,执行基于签名认证流程:首先,业务系统发送业务信息,终端收到并查看交易信息后提示用户进行确认,确认后输入签名文件密码,经过密码校验后,SD卡认证应用进行签名文件私钥签名生成签名数据,通过通信网络发送签名数据至认证平台,平台通过用户ID在平台侧提取签名文件,并对签名数据进行验证,将验证的结果提交至业务系统处理;
所述移动终端上的应用通过移动终端底层的API访问SD卡中的一个应用;SD卡中存储是否允许移动终端客户端应用访问卡片应用的规则,该规则定义了卡内安全数据访问控制的通用机制,支持多个应用方的应用程序管理并允许每个应用方为其加载到卡内的应用设置访问规则,卡内应用访问规则数据存储在SD卡中,供设备上的访问控制执行使用,操作系统访问控制执行层将卡内认证应用里取回访问规则然后运用这些规则来控制应用客户端对卡认证应用的访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510634460.4A CN105187447B (zh) | 2015-09-30 | 2015-09-30 | 一种终端安全登录方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510634460.4A CN105187447B (zh) | 2015-09-30 | 2015-09-30 | 一种终端安全登录方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105187447A CN105187447A (zh) | 2015-12-23 |
CN105187447B true CN105187447B (zh) | 2018-06-08 |
Family
ID=54909291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510634460.4A Expired - Fee Related CN105187447B (zh) | 2015-09-30 | 2015-09-30 | 一种终端安全登录方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105187447B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107635221A (zh) * | 2017-08-23 | 2018-01-26 | 上海车音智能科技有限公司 | 一种车载终端识别处理方法及装置 |
CN109413111B (zh) * | 2018-12-21 | 2021-10-26 | 郑州云海信息技术有限公司 | 一种基于智慧数据中心的安全访问系统及方法 |
CN116305093B (zh) * | 2021-11-19 | 2024-06-18 | 荣耀终端有限公司 | 小应用程序的操作方法和电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201936334U (zh) * | 2011-01-14 | 2011-08-17 | 中国工商银行股份有限公司 | 一种移动支付数据安全数码卡 |
CN102404115A (zh) * | 2010-09-16 | 2012-04-04 | 林新格 | 用sd卡实现wap手机银行系统中手机与服务器的双向安全认证的方法及其系统 |
CN202512605U (zh) * | 2012-03-29 | 2012-10-31 | 普天信息技术研究院有限公司 | 一种多功能sd卡 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005293357A (ja) * | 2004-04-01 | 2005-10-20 | Toshiba Corp | ログインシステム及び方法 |
-
2015
- 2015-09-30 CN CN201510634460.4A patent/CN105187447B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404115A (zh) * | 2010-09-16 | 2012-04-04 | 林新格 | 用sd卡实现wap手机银行系统中手机与服务器的双向安全认证的方法及其系统 |
CN201936334U (zh) * | 2011-01-14 | 2011-08-17 | 中国工商银行股份有限公司 | 一种移动支付数据安全数码卡 |
CN202512605U (zh) * | 2012-03-29 | 2012-10-31 | 普天信息技术研究院有限公司 | 一种多功能sd卡 |
Also Published As
Publication number | Publication date |
---|---|
CN105187447A (zh) | 2015-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103051451B (zh) | 安全托管执行环境的加密认证 | |
CN105391840B (zh) | 自动创建目标应用程序 | |
US9124419B2 (en) | Method, device, and system of secure entry and handling of passwords | |
JP6092998B2 (ja) | 取引セキュリティー強化のためのシステムおよび方法 | |
US8640203B2 (en) | Methods and systems for the authentication of a user | |
ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
CN105378744B (zh) | 在企业系统中的用户和设备认证 | |
JP2018522353A (ja) | サーバベースド支払のための認証システム及び方法 | |
US20150310427A1 (en) | Method, apparatus, and system for generating transaction-signing one-time password | |
CN109669734A (zh) | 用于启动设备的方法和装置 | |
JP2013533994A (ja) | セキュアトランザクションを促進するために、ドメイン特定セキュリティサンドボックスを使用するためのシステムおよび方法 | |
EP2030146A2 (en) | Dynamic web services system and method for use of personal trusted devices and identity tokens | |
CN106716957A (zh) | 高效且可靠的认证 | |
CN109922027A (zh) | 一种可信身份认证方法、终端及存储介质 | |
CN105187447B (zh) | 一种终端安全登录方法 | |
CN105208031B (zh) | 一种终端认证方法 | |
CN109560932A (zh) | 身份数据的识别方法、装置及系统 | |
US20210173902A1 (en) | Terminal hardware configuration system | |
CN117063174A (zh) | 用于通过基于app的身份的app间相互信任的安全模块及方法 | |
Akram et al. | Rethinking the smart card technology | |
Balfe et al. | Augmenting internet-based card not present transactions with trusted computing: An analysis | |
AU2015200701B2 (en) | Anytime validation for verification tokens | |
Gunasinghe | CLOUD BASED SECURE ELEMENT IMPLEMENTATION FOR ANDROID HOST CARD EMULATION | |
Rhermini | Identity, Access Management and Single Sign-On Web-based Solutions | |
Elliott | Secure-Enough Smart Tickets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180608 Termination date: 20180930 |
|
CF01 | Termination of patent right due to non-payment of annual fee |