CN108337209B - 安全认证方法、装置以及对应的移动终端 - Google Patents

安全认证方法、装置以及对应的移动终端 Download PDF

Info

Publication number
CN108337209B
CN108337209B CN201710039595.5A CN201710039595A CN108337209B CN 108337209 B CN108337209 B CN 108337209B CN 201710039595 A CN201710039595 A CN 201710039595A CN 108337209 B CN108337209 B CN 108337209B
Authority
CN
China
Prior art keywords
data
terminal
processor
security
description information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710039595.5A
Other languages
English (en)
Other versions
CN108337209A (zh
Inventor
张如昌
苏永彬
彭京
陈平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Sinosun Technology Co ltd
Original Assignee
Shenzhen Sinosun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Sinosun Technology Co ltd filed Critical Shenzhen Sinosun Technology Co ltd
Priority to CN201710039595.5A priority Critical patent/CN108337209B/zh
Publication of CN108337209A publication Critical patent/CN108337209A/zh
Application granted granted Critical
Publication of CN108337209B publication Critical patent/CN108337209B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Telephone Function (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种安全认证方法,应用于第一移动终端上,包括:接收第二终端发送的获取描述信息的命令,根据上述命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向第二终端返回描述信息,以使第二终端根据描述信息将第一移动终端识别为安全工具,通过处理器调用第一驱动程序接收第二终端发送的数据请求,并传递至安全模块,以使安全模块对数据请求进行处理并返回响应数据,通过处理器调用第一驱动程序将响应数据发送至第二终端。此外还提供了一种安全认证装置以及对应的移动终端。上述安全认证方法、装置以及移动终端,将安全模块集成在移动终端,克服了传统的安全认证工具需要随身携带的缺点。

Description

安全认证方法、装置以及对应的移动终端
技术领域
本发明涉及电子技术领域,特别是涉及一种安全认证方法、装置以及对应的移动终端。
背景技术
当在电脑上使用网上银行时,往往需要借助专门的安全工具,如U盾、网银盾以及口令卡,用于身份认证以及对私密信息进行安全保护,这些安全辅助设备,往往需要额外进行随身携带。
发明内容
基于此,有必要针对上述问题,提供一种安全认证方法、装置以及对应的移动终端,能够克服传统安全认证设备需要额外随身携带的问题。
一种安全认证方法,应用于第一移动终端上,所述方法包括:
接收第二终端发送的获取描述信息的命令,根据所述命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息将所述第一移动终端识别为安全工具;
通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并传递至所述安全模块,以使所述安全模块对所述数据请求进行处理并返回响应数据;
通过所述处理器调用所述第一驱动程序将所述响应数据发送至所述第二终端。
在其中一个实施例中,所述通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并传递至所述安全模块,以使所述安全模块对所述数据请求进行处理并返回响应数据的步骤之前还包括:
获取输入的第一指纹信息;
判断所述第一指纹信息与预设的第二指纹信息是否一致,若一致,则进入通过处理器调用第一驱动程序接收所述第二终端发送的数据请求的步骤,否则进入获取输入的第一指纹信息的步骤。
在其中一个实施例中,所述通过处理器调用第一驱动程序获取安全模块对应的描述信息,向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息将所述第一移动终端识别为安全工具的步骤包括:
通过处理器调用第一驱动程序获取安全模块对应的所述描述信息,所述描述信息包括所述设备描述符信息、配置描述符信息以及字符串信息;
向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息,加载与所述描述信息相对应的第二驱动程序,并根据所述第二驱动程序将所述第一移动终端识别为安全工具。
在其中一个实施例中,数据请求包括身份数据获取请求以及数据签名请求至少一种,所述通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并传递至所述安全模块,以使所述安全模块对所述数据请求进行处理并返回响应数据的步骤包括:
通过所述处理器调用所述第一驱动程序接收所述身份数据获取请求和/或数据签名请求,并传递至所述安全模块,以使所述安全模块根据所述身份数据获取请求获取并返回对应的用户身份信息和/或对所述数据签名请求对应的数据进行签名运算,并返回对应的数据签名值。
一种安全认证装置,所述装置包括:
识别模块,用于接收第二终端发送的获取描述信息的命令,根据所述命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息将所述第一移动终端识别为安全工具;
数据请求与处理模块,用于通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并传递至所述安全模块,以使所述安全模块对所述数据请求进行处理并返回响应数据;
数据返回模块,用于通过所述处理器调用所述第一驱动程序将所述响应数据发送至所述第二终端。
在其中一个实施例中,所述装置还包括:
指纹信息获取模块,用于获取输入的第一指纹信息;
判断模块,用于判断所述第一指纹信息与预设的第二指纹信息是否一致,用于若一致,则进入数据请求与处理模块,否则进入指纹信息获取模块。
在其中一个实施例中,所述识别模块还用于通过处理器调用第一驱动程序获取安全模块对应的描述信息,所述描述信息包括所述设备描述符信息、配置描述符信息以及字符串信息,向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息,加载与所述描述信息相对应的第二驱动程序,并根据所述第二驱动程序将所述第一移动终端识别为安全工具。
在其中一个实施例中,所述数据请求包括身份数据获取请求以及数据签名请求的至少一种,所述数据请求与处理模块还用于通过所述处理器调用所述第一驱动程序接收所述身份数据获取请求和/或数据签名请求,并传递至所述安全模块,以使所述安全模块根据所述身份数据获取请求获取并返回对应的用户身份信息和/或对所述数据签名请求对应的数据进行签名运算,并返回对应的数据签名值。
一种移动终端,所述移动终端包括安全模块、对外通信接口、驱动模块以及处理器,所述处理器与所述对外通信接口连接,与所述安全模块通过总线连接,所述驱动模块分别同所述对外通信接口以及所述处理器连接;
所述对外通信接口,用于与外部设备进行通信;
所述处理器用于通过所述驱动模块控制所述对外通信接口接收所述第二终端发送的获取描述信息的命令,根据所述命令,将所述驱动模块返回的安全模块对应的描述信息传输至所述第二终端,以及通过所述驱动模块控制所述对外通信接口接收所述第二终端发送的数据请求,并传递至所述安全模块,并将所述安全模块返回的响应数据发送至所述第二终端;
所述驱动模块用于获取所述安全模块对应的描述信息,并发送至所述处理器,还用于通过控制所述对外通信接口接收所述第二终端发送的获取描述信息的命令和数据请求,并传递至所述处理器,以及接收所述处理器发送的响应数据并通过控制所述对外通信接口将所述响应数据发送至所述第二终端;
所述安全模块,用于对所述数据请求进行处理并返回响应数据至所述处理器。
在其中一个实施例中,所述移动终端还包括指纹模块,所述指纹模块与所述处理器连接,所述指纹模块用于获取第一指纹信息,并发送给所述处理器,所述处理器还用于判断所述第一指纹信息与预设的第二指纹信息是否一致。
在其中一个实施例中,所述总线包括串行外设接口总线SPI、通用输入或输出总线GIPO以及I2C总线中的至少一种。
在其中一个实施例中,所述对外通信接口包括通用串行总线通信接口、蓝牙接口、无线网络WiFi通信接口以及红外通信接口的至少一种。
在其中一个实施例中,所述安全模块包括经过国家密码安全管理局认证的安全芯片。
上述安全认证方法、装置以及移动终端,通过接收第二终端发送的获取描述信息的命令,根据命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向第二终端返回描述信息,以使第二终端根据描述信息将第一移动终端识别为安全工具,通过处理器调用第一驱动程序接收第二终端发送的数据请求,并传递至安全模块,以使安全模块对数据请求进行处理并返回响应数据,通过处理器调用第一驱动程序将响应数据发送至第二终端,在充分利用日常通信设备的基础上,将安全模块集成在移动终端,通过处理器分别同第二终端以及安全模块进行通信,利用处理器直接进行数据的转发,使得整个第一移动终端在使用的过程中被第二终端识别为安全工具,用户不需要额外随身携带其它安全认证工具,克服了传统的安全认证工具需要随身携带的缺点。
附图说明
图1为一个实施例中安全认证方法的应用环境图;
图2为一个实施例中安全认证方法流程图;
图3为另一个实施例中安全认证方法流程图;
图4为一个实施例中将第一移动终端识别为安全工具的方法流程图;
图5为一个实施例中一种安全认证装置结构图;
图6为另一个实施例中一种安全认证装置结构图;
图7为一个实施例中一种移动终端的内部结构图;
图8为另一个实施例中一种移动终端的内部结构图。
具体实施方式
图1为一个实施例中安全认证方法应用的硬件环境图,包括第一移动终端110以及第二终端120,第一移动终端110与第二终端120可进行通信,通信方式包括但不限于USB(Universal Serial Bus,通用串行总线)方式、蓝牙、无线网络WiFi通信接口以及红外通信接口,第一移动终端110包括安全模块以及处理器,安全模块与处理器通过总线方式进行通信,总线方式包括但不限于串行外设接口总线SPI(Serial Peripheral Interface,SPI)、通用输入或输出总线GIPO(General Purpose Input Output,GIPO)以及I2C总线。其中,第一移动终端是指能够进行通信的智能移动终端,包括但不限于手机、智能平板以及智能穿戴设备,安全模块112是指包含有经过国家密码管理局认证通过的安全芯片的安全设备,即用于网上银行电子签名和数字认证的工具如U盾或者网银盾,网银盾或者U盾是办理网上银行业务的高级别安全工具,安全模块112可以通过热插拔或者焊接的连接方式连接在第一移动终端110的主板上,但是连接方式不限于此。第二终端包括但不限于台式电脑、笔记本电脑以及智能平板电脑等能够运行网络银行软件的终端设备。
其中,上述安全芯片支持椭圆曲线公钥密码算法SM2和密码杂凑算法SM3,可对输入数据进行签名和验签,支持生成SM2的公私钥对,并输出公钥,支持存储SM2公私钥对和签名值,支持读取存在安全芯片中的公钥,支持读取存在安全芯片中的签名值,不允许读取存在安全芯片中的私钥文件,支持先获取随机数,与SM3算法生成的哈希(hash)数据再进行一次SM3,送入安全芯片与安全芯片内部存储的指定本地文件记录和之前生成的随机数的SM3hash值进行对比,并返回对比结果,支持验签数据SM2签名后,添加、更新以及删除记录,记录包括公钥、签名以及hash值,同时支持固件升级。
在一个实施例中,如图2所示,提供了一种安全认证方法,应用于图1所示的应用环境中,上述方法包括以下步骤:
步骤S210,接收第二终端发送的获取描述信息的命令,根据上述命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向第二终端返回描述信息,以使第二终端根据描述信息将第一移动终端识别为安全工具。
具体地,当第一移动终端与第二终端建立物理连接后,第二终端需要获取第一移动终端的描述信息,向第一移动终端发送获取描述信息的命令,第一移动终端根据上述命令,启动第一驱动程序,由于第一驱动程序中包含安全模块对应的描述信息,通过处理器调用第一驱动程序,处理器可以获取安全模块对应的各种描述信息,并作为第一移动终端的描述信息上传给第二终端,然后第二终端收到该描述信息后将第一移动终端识别为与安全模块对应的安全工具,并与第二终端建立数据通信连接。
在一个实施例中,第一移动终端为手机,手机中包括安全模块,安全模块包含安全芯片的网银盾或者U盾,第一驱动程序为网银盾或者U盾对应的Ukey驱动,包含有网银盾或U盾对应的各种描述信息,安全模块与处理器通过串行外设总线SPI进行通信,处理器为主模式,安全芯片处于从模式,第二终端为电脑,当手机通过USB数据线与电脑建立物理连接后,电脑向手机发送获取获取描述信息的命令,手机通过处理器接收到该命令之后,根据该命令启动第一驱动程序,通过处理器调用第一驱动程序,第一驱动程序中包含有安全模块对应的描述信息,处理器可以获取安全模块对应的各种描述信息,并作为整个手机终端的描述信息上传给第二终端,然后电脑收到该描述信息后将整个手机终端虚拟识别为与安全模块对应的安全工具,并与电脑建立数据通信连接,此时手机已经可以作为整个安全模块对应的安全工具的身份与电脑进行数据传输通信。
步骤S220,通过处理器调用第一驱动程序接收第二终端发送的数据请求,并传递至安全模块,以使安全模块对数据请求进行处理并返回响应数据。
具体地,第一移动终端与第二终端已经建立数据通信连接,第二终端网银启动之后,将对应的用户数据发送至第一移动终端,第一移动终端通过处理器调用第一驱动程序监听第二终端下发的数据请求,当第一驱动程序接收接收到第二终端下发的数据请求之后,发送给处理器,处理器接收到该数据请求后直接将该数据请求进行转发至安全模块,即处理器转发为透明传输形式的转发,不需要对该数据请求进行解析和封装,提高了整个传输过程的效率,安全模块收到该数据请求,安全模块内部固件存储有与上述数据请求相对应的数据格式和协议,根据对应的数据格式和协议可以对该数据请求进行处理,并根据处理结果得到对应的响应数据,并将响应数据返回至处理器。
在一个实施例中,第一移动终端为手机,手机中包括安全模块,安全模块包含安全芯片的网银盾或者U盾,其中安全芯片为采用经过国家密码管理局认证的芯片,这里简称为国密芯片,第二终端为电脑,安全模块与手机处理器通过SPI总线进行通信,第一驱动程序为网银盾或者U盾对应的Ukey驱动,包含有网银盾或U盾对应的各种描述信息,电脑网银启动之后,将对应的用户数据发送至手机,手机通过处理器调用Ukey驱动程序监听电脑下发的数据请求,当Ukey驱动程序接收到电脑下发的数据请求之后,将其发送给处理器,处理器接收到该数据请求后直接将该数据请求通过SPI总线转发至U盾或者网银盾,该数据请求包含对应的命令头和命令体信息,如以ISO7816为例,命令头包括固定的四个字节命令头和长度可变的命令体,其内容参见如下表格1:
Figure BDA0001214173610000071
表1
其中CLA字节指出命令的类型,INS字节表示命令编码,P1和P2为具体命令参数。Lc字节表示数据的长度,只有一个字节表示。Le表示期望返回的数据长度,由单字节表示,对应的U盾或者网银盾内部固件存储有该与上述数据请求相对应的数据格式和协议,根据对应的数据格式和协议可以通过国密芯片对该数据请求进行处理,并根据处理结果得到对应的响应数据,并将响应数据返回至手机处理器,其中,响应数据也包括应答体和应答尾部两部分。
步骤S230,通过处理器调用第一驱动程序将响应数据发送至第二终端。
具体地,第一移动终端通过调用第一驱动程序将安全模块返回的响应数据直接返回至上述第二终端,完成对数据请求的响应,第二终端收到上述响应数据后做进一步处理。
上述安全认证方法,通过接收第二终端发送的获取描述信息的命令,根据命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向第二终端返回描述信息,以使第二终端根据描述信息将第一移动终端识别为安全工具,通过处理器调用第一驱动程序接收第二终端发送的数据请求,并传递至安全模块,以使安全模块对数据请求进行处理并返回响应数据,通过处理器调用第一驱动程序将响应数据发送至第二终端,在充分利用日常通信设备的基础上,将安全模块集成在移动终端内部,通过处理器分别同第二终端以及安全模块进行通信,利用处理器直接进行数据的转发,使得整个第一移动终端在使用的过程中被第二终端识别为安全工具,用户不需要额外随身携带其它安全认证工具,克服了传统的安全认证工具需要随身携带的缺点。
在其中一个实施例中,如图3所示,上述步骤步骤S220之前还包括:
步骤S240,获取输入的第一指纹信息;
具体地,第一移动通信具有指纹模块,可以获取用户输入的指纹信息作为第一指纹信息,并发送给处理器。
步骤S250,判断第一指纹信息与预设的第二指纹信息是否一致,若一致,则进入步骤S230,否则进入步骤S240。
具体地,第一终端通过处理器接收第一指纹信息后,将第一指纹信息与预设的第二指纹信息进行比较,对用户的指纹信息进行验证,若一致,则进入步骤S230,否则进入步骤S240。
在一个实施例中,还可以对上述输入第一指纹信息的次数进行判定,如果超过预设的输入次数,则拒绝获取输入的第一指纹信息。
通过对用户的指纹信息进行验证,能够防止由于第一移动终端丢失导致安全模块所导致的安全隐患,进一步提高了整体的安全性。
在其中一个实施例中,如图4所示,上述步骤S210包括:
步骤S212,接收第二终端发送的获取描述信息的命令,根据上述命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,描述信息包括设备描述符信息、配置描述符信息以及字符串信息。
具体地,当第一移动终端与第二终端建立物理连接后,第二终端需要获取第一移动终端的描述信息,向第一移动终端发送获取描述信息的命令,第一移动终端根据上述命令,启动第一驱动程序,由于第一驱动程序中包含安全模块对应的描述信息,通过处理器调用第一驱动程序,处理器可以获取安全模块对应的各种描述信息,这些描述信息包括设备描述符信息、配置描述符信息以及字符串信息,其中设备描述符信息供包括设备的总体信息如供应商VID和产品识别码PID等信息,配置描述符信息主要包括接口描述符以及端点描符等信息,字符串信息主要包括厂商、产品描述以及型号等信息。
步骤S214,向第二终端返回描述信息,以使第二终端根据描述信息,加载与描述信息相对应的第二驱动程序,并根据第二驱动程序将第一移动终端识别为安全工具。
具体地,第二终端通过获得的描述信息如设备描述符信息、配置描述符信息以及字符串信息,启动网银,然后根据获取的描述符信息,从对应的服务器上下载获取对应的第二驱动程序并进行安装,第二驱动程序与描述符信息相匹配,也与第一驱动程序向匹配,从而实现将第一移动终端识别为与安全模块对应的安全工具,并与第一移动终端建立数据通信连接。
在其中一个实施例中,数据请求包括身份数据获取请求以及数据签名请求至少一种,步骤S220包括:通过处理器调用第一驱动程序接收身份数据获取请求和/或数据签名请求,并传递至安全模块,以使安全模块根据身份数据获取请求获取并返回对应的用户身份信息和/或对数据签名请求对应的数据进行签名运算,并返回对应的数据签名值。
具体地,第一移动终端中安全模块在使用时首先需要对用户的身份信息进行验证,通过处理器调用第一驱动程序接收身份数据获取请求,并传递至安全模块,安全模块中存储有用户对应的身份信息,若验证通过,进行下一步操作,否则暂停与第一终端处理器进行通信。
此外,安全模块还可对用户的数据签名请求处理,通过处理器调用第一驱动程序接收数据签名请求,并传递至安全模块,以使安全模块对数据签名请求对应的数据进行不可逆签名运算,并返回对应的数据签名值。
在其中一个实施例中,第一移动终端为手机,手机中包括安全模块,安全模块包含安全芯片的网银盾或者U盾,U盾中存储有用户的私匙信息,第二终端为电脑,当电脑启动网银软件并进行网上交易时,会向第一移动终端发送时间字串、地址字串以及交易信息字串等组合数据,安全芯片利用私匙对上述组合数据进行不可逆的签名运算得到数据签名值等响应数据,并向处理器返回数据签名值。
在其中一个实施例中,如图5所示,还提供了一种安全认证装置,包括:
识别模块310,用于接收第二终端发送的获取描述信息的命令,根据命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向第二终端返回描述信息,以使第二终端根据描述信息将第一移动终端识别为安全工具。
数据请求与处理模块320,用于通过处理器调用第一驱动程序接收第二终端发送的数据请求,并传递至安全模块,以使安全模块对数据请求进行处理并返回响应数据。
数据返回模块330,用于通过处理器调用第一驱动程序将响应数据发送至第二终端。
在其中一个实施例中,如图6所示,上述装置还包括:
指纹信息获取模块340,用于获取输入的第一指纹信息。
判断模块350,用于判断第一指纹信息与预设的第二指纹信息是否一致,若一致,则进入数据请求与处理模块320,若不一致,则进入指纹信息获取模块310。
在其中一个实施例中,识别模块310还用于通过处理器调用第一驱动程序获取安全模块对应的描述信息,描述信息包括设备描述符信息、配置描述符信息以及字符串信息,向第二终端返回描述信息,以使第二终端根据描述信息,加载与描述信息相对应的第二驱动程序,并根据第二驱动程序将第一移动终端识别为安全工具。
在其中一个实施例中,数据请求包括身份数据获取请求以及数据签名请求的至少一种,数据请求与处理模块320还用于通过处理器调用第一驱动程序接收身份数据获取请求和/或数据签名请求,并传递至安全模块,以使安全模块根据身份数据获取请求获取并返回对应的用户身份信息和/或对数据签名请求对应的数据进行签名运算,并返回对应的数据签名值。
此外,如图7所示,还提供了一种移动终端400,包括安全模块410、对外通信接口420、驱动模块430以及处理器440,处理器440与对外通信接口420连接,与安全模块410通过总线连接,驱动模块430分别同对外通信接口420以及处理器440连接。
对外通信接口420,用于与外部设备进行通信。
处理器440用于通过驱动模块430控制对外通信接口420接收第二终端发送的获取描述信息的命令,根据命令,将驱动模块430返回的安全模块410对应的描述信息传输至第二终端,以及通过驱动模块430控制对外通信接口420接收第二终端发送的数据请求,并传递至安全模块410,并将安全模块410返回的响应数据发送至第二终端。
驱动模块430用于获取安全模块410对应的描述信息,并发送至处理器440,还用于控制对外通信接口420接收第二终端发送的获取描述信息的命令和数据请求,并传递至处理器440,以及接收处理器440发送的响应数据并通过控制对外通信接口420将响应数据发送至第二终端。
安全模块410,用于对数据请求进行处理并返回响应数据至处理器440。
在其中一个实施例中,如图8所示,移动终端400还包括指纹模块450,指纹模块450与处理器440连接,指纹模块450用于获取第一指纹信息,并发送给处理器440,处理器440还用于判断第一指纹信息与预设的第二指纹信息是否一致。
通过对用户输入的指纹信息进行验证,防止由于第一移动终端丢失导致安全模块所导致的安全隐患,进一步提高了产品整体的安全性。
在其中一个实施例中,总线包括串行外设接口总线SPI、通用输入或输出总线GIPO以及I2C总线中的至少一种。
在其中一个实施例中,对外通信接口420包括通用串行总线通信接口、蓝牙接口、无线网络WiFi通信接口以及红外通信接口的至少一种。
在其中一个实施例中,安全模块410包括经过国家密码安全管理局认证的安全芯片,该安全芯片支持国家密码安全管理局认证的算法。
上述移动终端400通过在充分利用日常移动通信设备的基础上,将安全模块410集成在移动终端内部,与处理器440总线连接,通过处理器440分别同第二终端以及安全模块410进行通信,利用处理器440直接进行数据的转发,使得整个第一移动终端在使用的过程中被第二终端识别为安全工具,用户不需要额外随身携带其它安全认证工具如U盾以及网银盾,克服了传统的安全认证工具需要随身携带的缺点。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述程序可存储于一计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机系统的存储介质中,并被该计算机系统中的至少一个处理器执行,以实现包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (13)

1.一种安全认证方法,应用于第一移动终端上,所述方法包括:
接收第二终端发送的获取描述信息的命令,根据所述命令,通过处理器调用第一驱动程序获取安全模块对应的所述描述信息,并向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息将所述第一移动终端识别为安全工具;所述安全模块是指包含有经过国家密码管理局认证通过的安全芯片的安全设备;所述第一驱动程序中包含安全模块对应的描述信息;
通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并将所述数据请求以透明传输形式传递至所述安全模块,以使所述安全模块根据内部固件存储的与所述数据请求相对应的数据格式和协议,对所述数据请求进行处理,根据处理结果得到对应的响应数据并返回响应数据;
通过所述处理器调用所述第一驱动程序将所述响应数据发送至所述第二终端。
2.根据权利要求1所述的方法,其特征在于,所述通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并传递至所述安全模块,以使所述安全模块对所述数据请求进行处理并返回响应数据的步骤之前还包括:
获取输入的第一指纹信息;
判断所述第一指纹信息与预设的第二指纹信息是否一致,若一致,则进入通过处理器调用第一驱动程序接收所述第二终端发送的数据请求的步骤,否则进入获取输入的第一指纹信息的步骤。
3.根据权利要求1所述的方法,其特征在于,所述通过处理器调用第一驱动程序获取安全模块对应的描述信息,向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息将所述第一移动终端识别为安全工具的步骤包括:
通过处理器调用第一驱动程序获取安全模块对应的描述信息,所述描述信息包括所述设备描述符信息、配置描述符信息以及字符串信息;
向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息,加载与所述描述信息相对应的第二驱动程序,并根据所述第二驱动程序将所述第一移动终端识别为安全工具。
4.根据权利要求1所述的方法,其特征在于,数据请求包括身份数据获取请求以及数据签名请求至少一种,所述通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并传递至所述安全模块,以使所述安全模块对所述数据请求进行处理并返回响应数据的步骤包括:
通过所述处理器调用所述第一驱动程序接收所述身份数据获取请求和/或数据签名请求,并传递至所述安全模块,以使所述安全模块根据所述身份数据获取请求获取并返回对应的用户身份信息和/或对所述数据签名请求对应的数据进行签名运算,并返回对应的数据签名值。
5.一种安全认证装置,所述装置包括:
识别模块,用于接收第二终端发送的获取描述信息的命令,根据所述命令,通过处理器调用第一驱动程序获取安全模块对应的描述信息,并向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息将第一移动终端识别为安全工具;所述安全模块是指包含有经过国家密码管理局认证通过的安全芯片的安全设备;所述第一驱动程序中包含安全模块对应的描述信息;
数据请求与处理模块,用于通过所述处理器调用所述第一驱动程序接收所述第二终端发送的数据请求,并将所述数据请求以透明传输形式传递至所述安全模块,以使所述安全模块根据内部固件存储的与所述数据请求相对应的数据格式和协议,对所述数据请求进行处理,根据处理结果得到对应的响应数据并返回响应数据;
数据返回模块,用于通过所述处理器调用所述第一驱动程序将所述响应数据发送至所述第二终端。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
指纹信息获取模块,用于获取输入的第一指纹信息;
判断模块,用于判断所述第一指纹信息与预设的第二指纹信息是否一致,若一致,则进入数据请求与处理模块,否则进入指纹信息获取模块。
7.根据权利要求5所述的装置,其特征在于,所述识别模块还用于通过处理器调用第一驱动程序获取安全模块对应的描述信息,所述描述信息包括所述设备描述符信息、配置描述符信息以及字符串信息,向所述第二终端返回所述描述信息,以使所述第二终端根据所述描述信息,加载与所述描述信息相对应的第二驱动程序,并根据所述第二驱动程序将所述第一移动终端识别为安全工具。
8.根据权利要求5所述的装置,其特征在于,所述数据请求包括身份数据获取请求以及数据签名请求的至少一种,所述识别模块还用于通过所述处理器调用所述第一驱动程序接收所述身份数据获取请求和/或数据签名请求,并传递至所述安全模块,以使所述安全模块根据所述身份数据获取请求获取并返回对应的用户身份信息和/或对所述数据签名请求对应的数据进行签名运算,并返回对应的数据签名值。
9.一种移动终端,其特征在于,所述移动终端包括安全模块、对外通信接口、驱动模块以及处理器,所述处理器与所述对外通信接口连接,与所述安全模块通过总线连接,所述驱动模块分别同所述对外通信接口以及所述处理器连接;
所述对外通信接口,用于与外部设备进行通信;
所述处理器用于接收第二终端发送的获取描述信息的命令,根据所述命令,将所述驱动模块返回的安全模块对应的描述信息传输至所述第二终端,以及通过所述驱动模块控制所述对外通信接口接收所述第二终端发送的数据请求,并将所述数据请求以透明传输形式传递至所述安全模块,并将所述安全模块返回的响应数据发送至所述第二终端;所述安全模块是指包含有经过国家密码管理局认证通过的安全芯片的安全设备;所述描述信息为安全模块对应的描述信息;
所述驱动模块用于获取所述安全模块对应的描述信息,并发送至所述处理器,还用于控制所述对外通信接口接收所述第二终端发送的获取描述信息的命令和数据请求,并传递至所述处理器,以及接收所述处理器发送的响应数据并通过控制所述对外通信接口将所述响应数据发送至所述第二终端;
所述安全模块,用于根据内部固件存储的与所述数据请求相对应的数据格式和协议,对所述数据请求进行处理,根据处理结果得到对应的响应数据并返回响应数据至所述处理器。
10.根据权利要求9所述的移动终端,其特征在于,所述移动终端还包括指纹模块,所述指纹模块与所述处理器连接,所述指纹模块用于获取第一指纹信息,并发送给所述处理器,所述处理器还用于判断所述第一指纹信息与预设的第二指纹信息是否一致。
11.根据权利要求9所述的移动终端,其特征在于,所述总线包括串行外设接口总线SPI、通用输入或输出总线GIPO以及I2C总线中的至少一种。
12.根据权利要求9所述的移动终端,其特征在于,所述对外通信接口包括通用串行总线通信接口、蓝牙接口、无线网络WiFi通信接口以及红外通信接口的至少一种。
13.根据权利要求9所述的移动终端,其特征在于,所述安全模块包括经过国家密码安全管理局认证的安全芯片。
CN201710039595.5A 2017-01-19 2017-01-19 安全认证方法、装置以及对应的移动终端 Active CN108337209B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710039595.5A CN108337209B (zh) 2017-01-19 2017-01-19 安全认证方法、装置以及对应的移动终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710039595.5A CN108337209B (zh) 2017-01-19 2017-01-19 安全认证方法、装置以及对应的移动终端

Publications (2)

Publication Number Publication Date
CN108337209A CN108337209A (zh) 2018-07-27
CN108337209B true CN108337209B (zh) 2021-05-04

Family

ID=62921884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710039595.5A Active CN108337209B (zh) 2017-01-19 2017-01-19 安全认证方法、装置以及对应的移动终端

Country Status (1)

Country Link
CN (1) CN108337209B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113127839B (zh) * 2021-03-26 2023-05-30 东信和平科技股份有限公司 基于se的安全访问方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102638397A (zh) * 2012-03-21 2012-08-15 华为终端有限公司 一种usb设备通信传输方法、设备及系统
CN102737003A (zh) * 2011-04-01 2012-10-17 中兴通讯股份有限公司 一种模拟usb设备的方法及装置
CN103942484A (zh) * 2014-04-24 2014-07-23 刘宏伟 一种以手机为载体的安全辅助设备及身份认证方法
CN105094880A (zh) * 2014-05-23 2015-11-25 中兴通讯股份有限公司 通用串行总线的驱动方法、计算机及复合设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9298907B2 (en) * 2014-04-01 2016-03-29 Snowshoefood, Inc. Methods for enabling real-time digital object and tangible object interactions

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102737003A (zh) * 2011-04-01 2012-10-17 中兴通讯股份有限公司 一种模拟usb设备的方法及装置
CN102638397A (zh) * 2012-03-21 2012-08-15 华为终端有限公司 一种usb设备通信传输方法、设备及系统
CN103942484A (zh) * 2014-04-24 2014-07-23 刘宏伟 一种以手机为载体的安全辅助设备及身份认证方法
CN105094880A (zh) * 2014-05-23 2015-11-25 中兴通讯股份有限公司 通用串行总线的驱动方法、计算机及复合设备

Also Published As

Publication number Publication date
CN108337209A (zh) 2018-07-27

Similar Documents

Publication Publication Date Title
US10225089B2 (en) Per-device authentication
US10194318B2 (en) Systems and methods for NFC access control in a secure element centric NFC architecture
US11882509B2 (en) Virtual key binding method and system
JP2015507267A (ja) ユーザ認証を管理するための方法、デバイス、及びシステム
WO2019236470A1 (en) Blockchain-embedded secure digital camera system to verify audiovisual authenticity
CN107766713B (zh) 人脸模板数据录入控制方法及相关产品
US20220150243A1 (en) Authentication server, and non-transitory storage medium
CN111585987A (zh) 身份认证方法、装置、电子设备及计算机可读存储介质
JP2017102842A (ja) 本人認証システム、本人認証用情報出力システム、認証サーバー、本人認証方法、本人認証用情報出力方法及びプログラム
CN108337209B (zh) 安全认证方法、装置以及对应的移动终端
CN111615096B (zh) 建立无线通信连接的方法和系统
KR101255204B1 (ko) 보안 기능을 갖는 저장 장치 리더기 및 이를 이용한 보안 방법
CN113849799A (zh) 用于远程地认证外围设备的系统、装置和方法
WO2017197727A1 (zh) 数据备份的方法及移动终端
KR102010764B1 (ko) 스마트폰 인증 기능을 이용한 컴퓨터 보안 시스템 및 방법
US20100122323A1 (en) Storage device management systems and methods
US11516215B2 (en) Secure access to encrypted data of a user terminal
CN106603237B (zh) 一种安全支付方法及装置
CN108537036B (zh) 安全认证方法、装置以及对应的移动终端
RU2633186C1 (ru) Персональное устройство аутентификации и защиты данных
CN106817222B (zh) 用于光模块的阿里斯塔认证方法、认证装置和光模块
JP7280338B1 (ja) 情報処理システム、トークン発行装置、情報処理方法、及びプログラム
KR102454862B1 (ko) 집단 검증에 기반하는 부분 데이터 검증 방법
TWI772868B (zh) 安全元件、運算裝置及用於回應使用敏感資訊之一請求的方法
EP2996368A1 (en) Mobile electronic device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant