CN105208031A - 一种终端认证方法 - Google Patents

一种终端认证方法 Download PDF

Info

Publication number
CN105208031A
CN105208031A CN201510642500.XA CN201510642500A CN105208031A CN 105208031 A CN105208031 A CN 105208031A CN 201510642500 A CN201510642500 A CN 201510642500A CN 105208031 A CN105208031 A CN 105208031A
Authority
CN
China
Prior art keywords
card
authentication
application
terminal
mobile terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510642500.XA
Other languages
English (en)
Other versions
CN105208031B (zh
Inventor
刘金明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHENGDU HARMONY TECHNOLOGY Co Ltd
Original Assignee
CHENGDU HARMONY TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHENGDU HARMONY TECHNOLOGY Co Ltd filed Critical CHENGDU HARMONY TECHNOLOGY Co Ltd
Priority to CN201510642500.XA priority Critical patent/CN105208031B/zh
Publication of CN105208031A publication Critical patent/CN105208031A/zh
Application granted granted Critical
Publication of CN105208031B publication Critical patent/CN105208031B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种终端认证方法,该方法包括:利用移动终端存储卡存储认证应用,当业务系统通过移动通信网络向移动终端发出鉴权请求时,用户利用所述认证应用进行签名操作,完成移动终端的签名认证。本发明提出了一种终端认证方法,实现进行移动场景下的用户认证和签名,而且有利于构建面向安全的应用环境,从而提高网络业务的价值。

Description

一种终端认证方法
技术领域
本发明涉及安全数据处理,特别涉及一种终端认证方法。
背景技术
随着计算机技术的高速发展,银行业务基于移动互联网,缩短了其交易成本和时间,拉近了银行行业与用户的距离。目前,无论是个人还是企业,对网上银行已经逐步认可和接受,但是安全问题一直使用户心存顾虑,网上银行交易方式在安全性和易用性方面均存在不足。硬件签名认证方式在网上银行应用十分广泛。通过USB双钥加密,私钥安全地保存在外接存储中,然而,随着移动移动终端的快速发展和移动互联网的普及,移动终端购物、网上交费等新型消费形式的出现,移动终端也提出了对加密和签名的新需求。原有形态的U盾在便携性、易用性和兼容性方面不再适应移动互联网业务的发展。此外,网上银行用户认证的另外一种方式即短信认证,由于明文方式传输和存储,同样存在着安全缺陷。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种终端认证方法,包括:
利用移动终端存储卡存储认证应用,当业务系统通过移动通信网络向移动终端发出鉴权请求时,用户利用所述认证应用进行签名操作,完成移动终端的签名认证。
优选地,所述移动签名认证平台包括以下4层,业务层、业务聚集层、服务器层、终端层,4层结构按照业务逻辑独立部署;业务层部署一个至多个业务系统,用于认证业务的发起;业务聚集层部署跨平台应用服务系统,用于聚集不同业务系统的认证业务请求,由服务器部署并运营,或由可信的第三方机构部署并运营,介于通信网络和业务系统之间;服务器层用于部署管理平台、SD卡认证应用管理平台、SD卡访问控制平台、消息平台;终端层用于部署移动终端和SD卡,其中移动终端执行终端层面的SD卡访问控制和通过预定义的API方式调用卡内应用,完成业务展示和机卡交互;SD卡用于执行SD卡层面的认证应用访问控制和SD卡认证应用,其中SD卡认证应用实现验证的业务逻辑;
其中,在移动终端中部署认证应用和操作系统层面的SD卡读写通道和访问控制功能单元,使仅有授权的认证应用可以通过读写通道访问SD卡中的认证应用,所述访问控制功能单元根据认证应用的哈希值和应用包进行规则匹配,从而进行终端的访问控制;每个认证应用安装在不同的辅助安全域,保证数据存储安全。
优选地,所述方法还包括:用户签名认证采用SSL实现了基于终端和SD卡的签名;当业务请求得到用户确认并输入唯一识别码后,SD卡通过唯一识别码校验后将业务信息生成哈希散列,进而使用存在于SD卡认证应用中的私钥进行加密形成签名数据,上述加密过程由SD卡认证应用完成,所述签名数据连同用户ID、业务确认信息同时上传至认证平台,上传过程可通过两种方式,即短信方式或使用客户端基于IP网络进行数据传输;在认证平台收到签名数据后,通过用户ID提取签名文件,同时对数据做哈希处理,对签名数据使用公钥进行解密,如解密后的数据与前哈希值相同则鉴权通过;
移动终端上的应用通过移动终端底层的API访问SD卡中的一个应用;SD卡中存储是否允许移动终端客户端应用访问卡片应用的规则,该规则定义了卡内安全数据访问控制的通用机制,支持多个应用方的应用程序管理并允许每个应用方为其加载到卡内的应用设置访问规则,卡内应用访问规则数据存储在SD卡中,供设备上的访问控制执行使用,操作系统访问控制执行层将卡内认证应用里取回访问规则然后运用这些规则来控制应用客户端对卡认证应用的访问。
本发明相比现有技术,具有以下优点:
本发明提出了一种终端认证方法,实现进行移动场景下的用户认证和签名,而且有利于服务器构建面向安全的应用环境,从而提高网络和业务的地位和价值。
附图说明
图1是根据本发明实施例的终端认证方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种终端认证方法。图1是根据本发明实施例的终端认证方法流程图。随着移动终端SD卡技术的发展,卡的功能也不断增强,不仅能提供服务器的网络鉴权能力,而且能提供基于SD卡的安全能力开发,为银行业务在移动场景下的用户签名和认证提供技术手段。本发明从移动通信服务器角度提出利用移动终端SD卡和通信网络构建移动终端用户签名认证的结构,以终端为用户入口,面向银行业务系统实现了端到端的解决方案。
基于移动终端SD卡的银行应用移动签名认证业务包括以下几种。
(1)应用的发行:移动终端用户通过银行业务系统柜台签署业务开通,获取授权码。用户通过服务器或者客户端向SD卡下载认证应用。
(2)业务签约:移动终端用户通过移动客户端或SD卡菜单选择银行进行业务开户,设定本机唯一识别码。
(3)业务执行:当移动终端用户通过网上银行或移动终端银行进行支付转账等需要进行用户签名认证操作时,银行业务系统向跨平台鉴权服务系统认证请求,通过通信网络请求发送至移动终端,终端通过客户端的SD卡开发工具菜单呈现操作的具体信息,用户输入步骤(2)中设定的唯一识别码后对交易操作进行签名,签名数据通过通信网络发送至鉴权服务系统,通过认证后将结果返回至银行业务系统完成支付操作。
(4)业务的退订:移动终端用户通过移动客户端从SD卡菜单选择银行进行业务取消和退订。
(5)应用更新:当应用进行更新时,应用平台通过通信网络发送应用更新通知,通过移动客户端进行应用的下载更新。
本发明基于移动终端SD卡的银行应用移动签名认证平台总体结构,从业务应用到终端进行了层次划分,包括以下4个层次:业务层、业务聚集层、服务器层、终端层。4层结构按照业务逻辑独立部署,面向银行业务系统实现了端到端解决方案。
(1)业务层部署一个至多个银行业务系统,负责认证业务的发起。
(2)业务聚集层部署跨平台银行应用服务系统,用于聚集不同银行业务系统的认证业务请求。系统可由服务器部署并运营,也可以由可信的第三方机构部署并运营,可介于通信网络和银行业务系统之间。
(3)服务器层部署管理平台、SD卡认证应用管理平台、SD卡访问控制平台、消息平台。
(4)终端层部署移动终端和SD卡,其中移动终端负责执行终端层面的SD卡访问控制和通过预定义的API方式调用卡内应用,完成业务展示和机卡交互;SD卡负责执行SD卡层面的卡片认证应用访问控制和SD卡认证应用。其中SD卡认证应用实现了验证的业务逻辑。
从终端层展开看,包括移动终端和SD卡两个功能实体。其中终端中部署认证应用和操作系统层面的SD卡读写通道和访问控制功能单元,保证仅有授权的认证应用可以通过读写通道访问SD卡中的认证应用。访问控制功能单元根据认证应用的哈希值和应用包进行规则匹配,从而进行终端的访问控制。SD卡中部署访问控制规则,保证只有通过该规则的应用才能访问卡上的认证应用。每个认证应用安装在不同的辅助安全域,保证数据存储安全。
用户签名认证采用SSL,实现了基于终端和SD卡的签名。当交易请求得到用户确认并输入唯一识别码后,SD卡通过唯一识别码校验后将交易信息生成哈希散列,进而使用存在于SD卡认证应用中的私钥进行加密形成签名数据。上述加密过程由SD卡认证应用完成。此签名数据连同用户ID、交易确认信息同时上传至认证平台。上传过程可依赖两种方式:短信方式或使用客户端基于IP网络进行数据传输。认证平台收到签名数据后通过用户ID提取签名文件,同时对数据做哈希处理,对签名数据使用公钥进行解密,如解密后的数据与前哈希值相同则鉴权通过。本发明中利用终端实现用户输入唯一识别码确认的用户交互过程,如用SD卡实现SSL架构中的数据加密环节,在认证平台实现解密鉴权环节。本发明一方面使用唯一识别码保护了本地签名文件数据,同时高效地利用了SD卡的安全计算能力,实现了跨平台的签名认证。签名认证过程使用的计算和通信环境独立于交易过程,只要给用户足够的安全提示,便可最大程度地降低安全风险。
本发明实现了终端应用访问SD卡认证应用时的访问控制,以保证卡内应用数据不被非法应用读取和篡改。对于移动终端上的一个客户端应用而言,通过移动终端底层的API访问SD卡中的一个应用。SD卡中存储是否允许移动终端客户端应用访问卡片应用的一个规则。定义了卡内安全数据访问控制的通用机制。该机制对于任何卡内安全数据都可用。它支持多个应用方的应用程序管理并允许每个应用方为其加载到卡内的应用设置访问规则。卡内应用访问规则数据存储在SD卡中,供设备上的访问控制执行使用。操作系统访问控制执行层将卡内认证应用里取回访问规则然后运用这些规则来控制应用客户端对卡认证应用的访问。
SD卡验证业务中,应用发行的主要目的是将认证应用通过通信网络写入SD卡辅助安全域中。这一过程涉及服务器平台、SD卡认证应用管理平台。其中,认证应用管理平台对认证应用所在安全域进行管理,负责在其安全域内下载、安装、实例化、个人化认证应用Applet。应用的发行可以采用灵活的方式,既可以在服务器使用P0S方式下载卡认证应用,也可以通过移动互联网方式利用移动终端安装客户端进而下载卡认证应用。
SD卡认证应用业务的管理功能包括用户以实名身份通过移动终端客户端界面进行业务开通。首先,用户需要以实名方式进行业务注册,获取并保存用户ID;其次,用户在业务注册后需要选择银行进行签约并且下载银行签名文件至SD卡认证应用,这一下载过程可以通过短信完成,也可以通过SD卡读写通道由认证应用客户端完成。这种方式为业务部署提供了较大的灵活度,两种方式可以形成互补,当认证应用客户端可用时,可以节省短信通信成本,当终端无法连接IP网络时,短信可以确保完成签名文件下载。用户在签名文件下载后,有必要为其设置本地唯一识别码作为保护。
在应用发行至SD卡并且用户开通了银行业务后,执行基于交易签名认证流程:首先,银行业务系统发送交易信息,终端收到并查看交易信息后提示用户进行主观确认,确认后输入签名文件密码,经过密码校验后,SD卡认证应用进行签名文件私钥签名生成签名数据,通过通信网络发送签名数据至认证平台,平台通过用户ID在平台侧提取签名文件,并对签名数据进行验证,将验证的结果提交至银行业务系统处理。
综上所述,本发明提出了一种终端认证方法,实现进行移动场景下的用户认证和签名,而且有利于服务器构建面向安全的应用环境,从而提高网络和业务的地位和价值。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (3)

1.一种终端认证方法,用于在移动签名认证平台中对移动终端进行认证,其特征在于,包括:
利用移动终端存储卡存储认证应用,当业务系统通过移动通信网络向移动终端发出鉴权请求时,用户利用所述认证应用进行签名操作,完成移动终端的签名认证。
2.根据权利要求1所述的方法,其特征在于,所述移动签名认证平台包括以下4层,业务层、业务聚集层、服务器层、终端层,4层结构按照业务逻辑独立部署;业务层部署一个至多个业务系统,用于认证业务的发起;业务聚集层部署跨平台应用服务系统,用于聚集不同业务系统的认证业务请求,由服务器部署并运营,或由可信的第三方机构部署并运营,介于通信网络和业务系统之间;服务器层用于部署管理平台、SD卡认证应用管理平台、SD卡访问控制平台、消息平台;终端层用于部署移动终端和SD卡,其中移动终端执行终端层面的SD卡访问控制和通过预定义的API方式调用卡内应用,完成业务展示和机卡交互;SD卡用于执行SD卡层面的认证应用访问控制和SD卡认证应用,其中SD卡认证应用实现验证的业务逻辑;
其中,在移动终端中部署认证应用和操作系统层面的SD卡读写通道和访问控制功能单元,使仅有授权的认证应用可以通过读写通道访问SD卡中的认证应用,所述访问控制功能单元根据认证应用的哈希值和应用包进行规则匹配,从而进行终端的访问控制;每个认证应用安装在不同的辅助安全域,保证数据存储安全。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:用户签名认证采用SSL实现了基于终端和SD卡的签名;当业务请求得到用户确认并输入唯一识别码后,SD卡通过唯一识别码校验后将业务信息生成哈希散列,进而使用存在于SD卡认证应用中的私钥进行加密形成签名数据,上述加密过程由SD卡认证应用完成,所述签名数据连同用户ID、业务确认信息同时上传至认证平台,上传过程可通过两种方式,即短信方式或使用客户端基于IP网络进行数据传输;在认证平台收到签名数据后,通过用户ID提取签名文件,同时对数据做哈希处理,对签名数据使用公钥进行解密,如解密后的数据与前哈希值相同则鉴权通过;
移动终端上的应用通过移动终端底层的API访问SD卡中的一个应用;SD卡中存储是否允许移动终端客户端应用访问卡片应用的规则,该规则定义了卡内安全数据访问控制的通用机制,支持多个应用方的应用程序管理并允许每个应用方为其加载到卡内的应用设置访问规则,卡内应用访问规则数据存储在SD卡中,供设备上的访问控制执行使用,操作系统访问控制执行层将卡内认证应用里取回访问规则,然后运用这些规则来控制应用客户端对卡认证应用的访问。
CN201510642500.XA 2015-09-30 2015-09-30 一种终端认证方法 Expired - Fee Related CN105208031B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510642500.XA CN105208031B (zh) 2015-09-30 2015-09-30 一种终端认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510642500.XA CN105208031B (zh) 2015-09-30 2015-09-30 一种终端认证方法

Publications (2)

Publication Number Publication Date
CN105208031A true CN105208031A (zh) 2015-12-30
CN105208031B CN105208031B (zh) 2018-06-08

Family

ID=54955464

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510642500.XA Expired - Fee Related CN105208031B (zh) 2015-09-30 2015-09-30 一种终端认证方法

Country Status (1)

Country Link
CN (1) CN105208031B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107635221A (zh) * 2017-08-23 2018-01-26 上海车音智能科技有限公司 一种车载终端识别处理方法及装置
CN113031944A (zh) * 2019-12-09 2021-06-25 中盈优创资讯科技有限公司 基于模板的业务开通装置及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060080526A1 (en) * 2004-04-01 2006-04-13 Akihiro Kasahara Login system and method
CN201936334U (zh) * 2011-01-14 2011-08-17 中国工商银行股份有限公司 一种移动支付数据安全数码卡
CN102404115A (zh) * 2010-09-16 2012-04-04 林新格 用sd卡实现wap手机银行系统中手机与服务器的双向安全认证的方法及其系统
CN202512605U (zh) * 2012-03-29 2012-10-31 普天信息技术研究院有限公司 一种多功能sd卡

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060080526A1 (en) * 2004-04-01 2006-04-13 Akihiro Kasahara Login system and method
CN102404115A (zh) * 2010-09-16 2012-04-04 林新格 用sd卡实现wap手机银行系统中手机与服务器的双向安全认证的方法及其系统
CN201936334U (zh) * 2011-01-14 2011-08-17 中国工商银行股份有限公司 一种移动支付数据安全数码卡
CN202512605U (zh) * 2012-03-29 2012-10-31 普天信息技术研究院有限公司 一种多功能sd卡

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107635221A (zh) * 2017-08-23 2018-01-26 上海车音智能科技有限公司 一种车载终端识别处理方法及装置
CN113031944A (zh) * 2019-12-09 2021-06-25 中盈优创资讯科技有限公司 基于模板的业务开通装置及方法
CN113031944B (zh) * 2019-12-09 2023-12-05 中盈优创资讯科技有限公司 基于模板的业务开通装置及方法

Also Published As

Publication number Publication date
CN105208031B (zh) 2018-06-08

Similar Documents

Publication Publication Date Title
US10748144B2 (en) System and method for transaction security enhancement
US10956901B2 (en) Methods, apparatus and computer program products for securely accessing account data
CN108027926B (zh) 基于服务的支付的认证系统和方法
CN105391840B (zh) 自动创建目标应用程序
US8640203B2 (en) Methods and systems for the authentication of a user
US11657392B2 (en) On-boarding server for remotely authorizing use of a terminal
US20110085667A1 (en) Various methods and apparatuses for securing an application container
CN112567366A (zh) 用于确保电子交易平台安全的系统和方法
US10045210B2 (en) Method, server and system for authentication of a person
CN104010044A (zh) 基于可信执行环境技术的应用受限安装方法、管理器和终端
CN105046488A (zh) 用于生成交易签署一次性密码的方法、设备和系统
US9942047B2 (en) Controlling application access to mobile device functions
EP3867849B1 (en) Secure digital wallet processing system
CN105847000A (zh) 令牌产生方法以及基于该令牌产生方法的通信系统
KR20130101964A (ko) 플랫폼 컴포넌트들의 보안 업그레이드 또는 다운그레이드를 위한 방법 및 시스템
Ahmad et al. Enhancing the security of mobile applications by using TEE and (U) SIM
CN114462989A (zh) 数字货币硬件钱包应用的启用方法、装置和系统
CN105187447A (zh) 一种终端安全登录方法
CN105208031A (zh) 一种终端认证方法
KR20160140219A (ko) 핀테크 서비스 연동을 위한 인증 장치 및 방법과 이를 위한 컴퓨터 프로그램
Elliott Secure-Enough Smart Tickets

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180608

Termination date: 20180930

CF01 Termination of patent right due to non-payment of annual fee