CN109560932A - 身份数据的识别方法、装置及系统 - Google Patents
身份数据的识别方法、装置及系统 Download PDFInfo
- Publication number
- CN109560932A CN109560932A CN201710875797.3A CN201710875797A CN109560932A CN 109560932 A CN109560932 A CN 109560932A CN 201710875797 A CN201710875797 A CN 201710875797A CN 109560932 A CN109560932 A CN 109560932A
- Authority
- CN
- China
- Prior art keywords
- verified
- data
- client
- private key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种身份数据的识别方法、装置及系统,涉及终端应用技术领域,主要目的在于通过验证数据发送方(移动终端)身份的方式,维护移动终端的数据安全。本发明的技术方案包括:方法应用于移动终端中,移动终端中包含安全认证装置以及客户端,包括:安全认证装置接收客户端发送的待验证数据以及数字签名;利用第一私钥对应的公钥、待验证数据对数字签名进行验签;若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至客户端,以便客户端将加密后的待验证数据发送至服务器,由服务器对加密后的待验证数据和/或预设安全信息执行身份数据识别。
Description
技术领域
本发明涉及移动终端应用技术领域,特别是涉及一种身份数据的识别方法、装置及系统。
背景技术
伴随着终端的迅猛发展及使用的爆炸式增长,人们对终端中应用数据的安全越来越重视,例如,通过从硬件认证设备端(如USB Key)入手,通过确认用户身份的方式确保用户数据的安全。
为解决终端运行环境的不安全问题,利用USB Key完成身份的验证、数据的传输,其中,USB Key一种USB接口的硬件设备,能够通过USB接口与个人计算机(personalcomputer,PC)进行连接,可存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。现有USB Key客户端的技术实现了从硬件认证设备端入手,考虑现有PC端操作系统应用环境的兼容性和便利性,避免对平台及交易环境的改变,从而能够解决终端交易环境不安全带来的“交易伪造”和“交易劫持”等问题。
随着移动终端给人们生活带来的便利性,越来越多的用户将数据操作转移至移动终端。但是,发明人在实现上述发明过程中,发现现有技术中USB Key只能识别PC端中用户身份,但是无法将USB Key应用于移动终端,因而无法维护移动终端的数据安全。
发明内容
有鉴于此,本发明提供的一种身份数据的识别方法、装置及系统,主要目的在于通过验证数据发送方(移动终端)身份的方式,维护移动终端的数据安全。
依据本发明一个方面,本发明提供了一种身份数据的识别方法,所述方法应用于移动终端中,所述移动终端中包含安全认证装置以及客户端,所述方法包括:
所述安全认证装置接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签;
若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据和/或预设安全信息执行身份数据识别,其中,所述第二私钥为所述安全认证装置私钥,所述预设安全信息由所述安全认证装置触发。
可选的,在将加密后的待验证数据发送至所述客户端之后,所述方法还包括:
向所述移动终端发送待验证数据的确认处理/取消处理的提示,若所述移动终端接收到确定处理的触发指令,则将所述确认处理的触发指令发送至所述客户端,以便所述客户端根据所述确认处理的触发指令继续执行将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据进行验证;
或者,向所述服务器发送随机验证码,以便所述服务器根据所述随机验证码及所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
可选的,在经由所述SIM卡向所述服务器发送随机验证码之前,所述方法还包括:
将验签后的所述待验证数据发送至所述客户端,以便客户端用户对所述待验证数据确认;
若接收到对所述待验证数据的确认指令,则根据接收到所述确认指令的当前系统时间生成所述随机验证码,并将所述随机验证码发送至所述服务器。
可选的,在所述安全认证装置接收所述客户端发送的待验证数据以及数字签名之前,所述方法还包括:
接收所述客户端发送的安全认证装置的PIN码;
若所述PIN码验证成功,则所述安全认证装置自动激活。
第二方面,本发明提供了一种身份数据的识别方法,所述方法应用于移动终端中,所述移动终端中包含安全认证装置、及客户端,所述方法包括:
所述客户端向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,其中,所述第二私钥为安全认证装置私钥;
按照预定发送格式,将所述加密后的待验证数据发送至所述服务器,以便所述服务器基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
可选的,所述方法还包括:
接收所述安全认证装置发送的确认所述待验证数据的请求信息,并向所述安全认证装置发送对所述待验证数据的确认指令;
记录发送所述确认指令的当前系统时间;
所述按照预定发送格式将所述加密后的待验证数据发送至所述服务器,包括:
将所述当前系统时间及加密后的待验证数据按照预定发送格式发送至所述服务器,以便所述服务器根据所述当前系统时间对所述随机验证码进行验证,其中,所述随机验证码为所述安全认证装置根据接收到所述确认指令的当前系统时间生成的验证码。
可选的,在按照预定发送格式,将所述加密后的待验证数据发送至所述服务器之前,所述方法还包括:
检测是否接收到所述移动终端发送的确认处理/取消处理的触发指令;
若接收到所述移动终端发送的取消处理的触发指令,则终止身份数据的识别;
所述按照预定发送格式,将所述加密后的待验证数据发送至所述服务器,还包括:
若接收到所述移动终端发送的确认处理的触发指令,则按照预定发送格式,将所述加密后的待验证数据发送至所述服务器。
第三方面,本发明提供了一种安全认证装置,所述安全认证装置应用于移动终端中,所述移动终端中包含安全认证装置以及客户端,所述安全认证装置包括:
第一接收单元,用于接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
验证单元,用于利用所述第一私钥对应的公钥、所述待验证数据对所述第一接收单元接收到的所述数字签名进行验签;
加密单元,用于当所述验证单元验签成功时,利用第二私钥对验签后的待验证数据进行加密;
第一发送单元,用于将所述加密单元加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据和/或预设安全信息执行身份数据识别,其中,所述第二私钥为所述安全认证装置私钥,所述预设安全信息由所述安全认证装置触发。
可选的,所述装置还包括:
第二发送单元,用于在所述第一发送单元将加密后的待验证数据发送至所述客户端之后,向所述移动终端发送待验证数据的确认处理/取消处理的提示,若所述移动终端接收到确定处理的触发指令,则将所述确认处理的触发指令发送至所述客户端,以便所述客户端根据所述确认处理的触发指令继续执行将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据进行验证;
第三发送单元,用于向所述服务器发送随机验证码,以便所述服务器根据所述随机验证码及所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
可选的,所述安全认证装置还包括:
第四发送单元,用于在所述第三发送单元向所述服务器发送随机验证码之前,将验签后的所述待验证数据发送至所述客户端,以便客户端用户对所述待验证数据确认;
生成单元,用于当接收到对所述待验证数据的确认指令时,根据接收到所述确认指令的当前系统时间生成所述随机验证码;
第五发送单元,用于将所述生成单元生成的所述随机验证码发送至所述服务器。
第四方面,本发明提供了一种客户端,所述客户端应用于移动终端中,所述移动终端中包含安全认证装置、及客户端,所述客户端包括:
第一发送单元,用于向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
第一接收单元,用于在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,其中,所述第二私钥为安全认证装置私钥;
第二发送单元,用于按照预定发送格式,将所述第一接收单元接收到的所述加密后的待验证数据发送至所述服务器,以便所述服务器基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
可选的,所述客户端还包括:
第二接收单元,用于接收所述安全认证装置发送的确认所述待验证数据的请求信息;
第三发送单元,用于向所述安全认证装置发送对所述待验证数据的确认指令;
记录单元,用于记录发送所述确认指令的当前系统时间;
所述第二发送单元,还用于将所述记录单元记录的所述当前系统时间及加密后的待验证数据按照预定发送格式发送至所述服务器,以便所述服务器根据所述当前系统时间对所述随机验证码进行验证,其中,所述随机验证码为所述安全认证装置根据接收到所述确认指令的当前系统时间生成的验证码。
可选的,所述装置还包括:
检测单元,用于在所述第二发送单元按照预定发送格式,将所述加密后的待验证数据发送至所述服务器之前,检测是否接收到所述移动终端发送的确认处理/取消处理的触发指令;
终止单元,用于当是检测单元检测到接收到所述移动终端发送的取消处理的触发指令时,终止身份数据的识别;
所述第二发送单元,还包括当所述检测单元检测到接收到所述移动终端发送的确认处理的触发指令时,按照预定发送格式,将所述加密后的待验证数据发送至所述服务器。
第五方面,本发明提供了一种身份数据的识别系统,所述系统应用于移动终端中,所述移动终端中包含安全认证装置、客户端、客户识别模块SIM卡及服务器,所述系统包括:
所述客户端,用于向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
所述安全认证装置,用于接收所述客户端发送的待验证数据以及数字签,利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签,若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端,其中,所述第二私钥为所述安全认证装置私钥;
所述客户端,还用于在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,按照预定发送格式,将所述加密后的待验证数据发送至所述服务器;
所述安全认证装置,还用于经由所述SIM卡向所述服务器发送随机验证码,以便所述服务器根据所述随机验证码及所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
借由上述技术方案,本发明提供的身份数据的识别方法、装置及系统,主要通过验证移动终端的身份确保用户数据安全,安全认证装置接收客户端发送的待验证数据以及数字签名,其中,安全认证装置及客户端已通过服务器的安全身份认证,数字签名为客户端使用第一私钥对待验证数据进行签名得到,第一私钥为客户端私钥;利用第一私钥对应的公钥、待验证数据对数字签名进行验签;若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至客户端,以便客户端将加密后的待验证数据发送至服务器,其中,第二私钥为安全认证装置私钥;本发明中,服务器通过“双重验证”的方式,即服务器同时验证客户端发送的加密后的待验证数据、以及安全认证装置触发的预设安全信息,在识别用户安全身份后,会完成待验证数据的传输,进而确保了移动终端的数据安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种贴膜key的组成示意图;
图2示出了本发明实施例提供的第一种身份数据的识别方法的流程图;
图3示出了本发明实施例提供的第二种身份数据的识别方法的流程图;
图4示出了本发明实施例提供的第三种身份数据的识别方法的流程图;
图5示出了本发明实施例提供的第四种身份数据的识别方法的流程图;
图6示出了本发明实施例提供的第五种身份数据的识别方法的流程图;
图7示出了本发明实施例提供的一种安全认证装置的组成框图;
图8示出了本发明实施例提供的另一种安全认证装置的组成框图;
图9示出了本发明实施例提供的一种客户端的组成框图;
图10示出了本发明实施例提供的另一种客户端的组成框图;
图11示出了本发明实施例提供的一种安全认证系统的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供第一种身份数据的识别方法,该方法应用于维护移动终端中的数据安全,所述移动终端中包含安全认证装置以及客户端,其中,安全认证装置为一个独立的硬件设备,其可以独立生产且独立运行,也可独立生产但不能独立运行,对于安全认证装置能够独立运行的情景,包括:安全认证装置是eSIM、嵌入式SIM,其中,eSIM即虚拟SIM卡,它是一种写入在电子设备内部的SIM通信体系,理论上,用户可以在激活电子设备的同时,选择需要入网的运营商和套餐,从而实现电子设备平台的4G连接,eSIM卡是将传统SIM卡直接嵌入到电子设备芯片上,而不是作为独立体单独配备。eSIM技术更加安全,eSIM卡内所包含的安全信息,可用来帮助完成身份验证;所述嵌入式SIM为在移动终端生产时已经将SIM卡内嵌于移动终端中,该嵌入式SIM卡自带身份安全验证功能,以及普通电话接打、短信收发功能。对于安全认证装置不能够独立运行的情景,即安全认证装置贴附于SIM卡中,也可叫做“贴膜key”,那么本发明实施例所述的安全认证装置是贴膜key与SIM卡的结合,其具有安全认证作用,还同时具有电话拨打、短信收费的功能。为了便于表述,后续实施例中会以安全认证装置为贴膜key与SIM卡的结合为例进行说明,但是应该明确的是,该种说明方式并非已在限定安全认证装置的具体类型。
如图1所示,图1示出了本发明实施例提供的一种贴膜key的组成示意图,贴膜key通过SCD端口与移动终端进行数据通讯,通过SCC端口可以与客户识别模块(SubscriberIdentity Module,SIM)进行数据通讯。还包括,但不局限于以下内容:贴膜卡芯片平台及驱动、卡上操作系统(COS)、数字证书应用、STK应用,用于完成贴膜key设备端的相关功能。其中:
贴膜卡芯片平台及驱动是搭建在卡上的操作系统的基础架构,完成芯片内存空间分配、数据读写操作及防拔机制、指令分发处理等;
卡上操作系统在芯片平台基础上建立了文件系统、密钥管理机制、算法调用机制等;
数字证书应用实现了数字证书的申请、签名和认证;
STK应用实现了短消息发送功能。
客户端(实为一个应用程序客户端)应用层包含设备供应商封装的设备访问接口,在此接口之上封装的数据加密接口。也可以在设备访问接口和数据加密接口之上开发一些自定义接口的功能库、插件或控件,用以配合上层应用程序完成相关功能。
本发明实施例提供的身份数据的识别方法基于图1所示的框架,如图2所示,所述方法包括:
101、安全认证装置接收所述客户端发送的待验证数据以及数字签名。
在进行安全身份认证之前,即在执行图2所示方法之前,首先,用户使用客户端(实为应用程序(Application,APP)),向服务器发起证书申请交易。该操作为用户使用贴膜key的第一个应用操作。APP生成并发送生成公私钥对操作的指令到贴膜key。贴膜key生成数字证书对应的公私钥对,将公钥返回给APP,私钥保留在贴膜key内的存储区。APP向服务器发送请求签发证书的报文,服务器完成相关证书授权处理后,签发生成的数字证书返回给APP,APP将数字证书写入贴膜key内,完成客户端APP与贴膜key之间的安全身份认证。
完成安全身份认证后,用户基于APP上的程序操作界面,调用预设函数,例如:OrgAndSendMSG函数,生成待验证数据,本发明实施例中,以待验证数据为交易数据(支付账户、交易金额等)为例进行说明,但是应当明确的是,待验证数据还可以为其他敏感数据,如公司的机密数据等等。APP使用APP端的第一私钥对待验证数据(交易数据)进行数字签名,并将数字签名及待验证数据(交易数据)发送至贴膜key,以便贴膜key验证数据传输过程中,是否被恶意篡改。
其中,有关数字签名的实现方式,请参考现有技术的详细描述,本发明实施例在此不再进行一一赘述。
102、安全认证装置利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签。
由于APP与贴膜key预先通过安全身份认证,因此,贴膜key中会存储有APP中第一私钥对应的公钥。当贴膜key接收到发送的数字签名及待验证数据后,利用第一私钥对应的公钥对待验证数据进行验签。验签大体流程过程如下:贴膜key利用APP的公钥对加密的摘要信息进行解密,然后用HASH函数对收到的原文(待验证数据)生成一个摘要信息,并与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,待验证数据在传输过程中没有被修改,进行执行步骤103;如果不相同,则说明待验证数据在传输过程中被恶意修改,则拒绝本次交易。
103、若验签成功,则安全认证装置利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端。
验签成功后,说明APP本次传输的数据未被恶意篡改,贴膜key会利用贴膜key的私钥(即第二私钥)对待验证数据进行加密,以便所述客户端将加密后的待验证数据发送至所述服务器。在实际应用中,贴膜key的加密方式可以是对称加密方式,也可以为非对称加密方式,对称加密算法不限于DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES等等;非对称加密算法不限于RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)等等,具体的,本发明实施例不做限定。
由于APP中未存储有贴膜key的私钥,即APP中未存储第二私钥,因此,能够确保在将加密后的待验证数据发送至APP后,不会被用户破解,在此步骤中,APP起的作用是将加密后的待验证数据进行转发,若服务器最终判定待验证数据被恶意篡改,则说明该恶意篡改发生在APP向服务器传输数据过程中。
需要说明的是,在本发明实施例中服务器的作用的对客户端发送的加密后的待验证数据进行身份识别,为了增强身份识别的正确性,服务器在验证加密后的待验证数据时,还会结合预设安全信息进行同步验证,本发明实施例中,所述预设安全信息为安全认证装置中的SIM卡触发的安全信息,包括经由SIM直接向服务器发送随机验证码,该种预设安全信息触发模式下,服务器需要同时验证加密后的待验证数据及预设安全信息;所述预设安全信息还包括:经由所述SIM卡向所述移动终端发送待验证数据的确认处理/取消处理的提示,只有当客户端接收到确认处理的触发指令后,客户端才会执行后续身份数据识别流程,即执行加密后的待验证数据发送至所述服务器,该种预设安全模式下,服务器只验证加密后的待验证数据即可。
本发明实施例提供的身份数据的识别方法,主要通过验证移动终端的身份确保用户数据安全,安全认证装置接收客户端发送的待验证数据以及数字签名,其中,安全认证装置及客户端已通过服务器的安全身份认证,数字签名为客户端使用第一私钥对待验证数据进行签名得到,第一私钥为客户端私钥;利用第一私钥对应的公钥、待验证数据对数字签名进行验签;若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至客户端,以便客户端将加密后的待验证数据发送至服务器,其中,第二私钥为安全认证装置私钥;本发明中,服务器通过“双重验证”的方式,即服务器同时验证客户端发送的加密后的待验证数据、以及安全认证装置触发的预设安全信息,在识别用户安全身份后,会完成待验证数据的传输,进而确保了移动终端的数据安全。
作为对上述实施例的细化及扩展,本发明实施例提供第二种身份数据的识别方法,如图3所示,所述方法包括:
201、接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥(同步骤101)。
202、利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签(同步骤102)。
203、若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据和/或预设安全信息执行身份数据识别,其中,所述第二私钥为所述安全认证装置私钥,所述预设安全信息由所述SIM卡触发(同步骤103)。
204、经由所述SIM卡向所述移动终端发送待验证数据的确认处理/取消处理的提示。
验签成功后,贴膜key利用STK应用实现了短消息发送功能,即通过短信通道与SIM卡发送验证成功的指令,以便SIM卡向其载体移动终端发送待验证数据的确认处理/取消处理的提示,执行本步骤的目的在于,让用户确定其发起的交易数据是否正确。若用户通过显示界面触发确认处理,所述移动终端会接收到确定处理的触发指令,移动终端会直接将所述确认处理的触发指令发送至所述客户端,以便所述客户端根据所述确认处理的触发指令继续执行将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据进行验证;若用户通过移动终端的显示界面触发取消处理,则代表要终止本次数据交易。
需要说明的是,该发明实施例中经由SIM卡发送的确认处理/取消处理,需要用户的手动辅助操作。在执行用户身份识别时,有两个关键点,一个是贴膜key的验签,另一个是经由SIM卡发送给移动终端发送待验证数据的确认处理/取消处理的提示,只有满足贴膜key的验签成功,并且用户通过短信通道触发确认处理的指令后,才会在客户端中继续执行下一步的操作,即将加密后的待验证数据发送至所述服务器,服务器对加密后的待处理数据进行身份识别即可;若验签失败,不会执行步骤204。
本发明实施例还提供第三种身份数据的识别方法,如图4所示,所述方法包括:
301、安全认证装置接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥(同步骤101)。
302、安全认证装置利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签(同步骤102)。
303、若验签成功,则安全认证装置利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据和/或预设安全信息执行身份数据识别,其中,所述第二私钥为所述安全认证装置私钥,所述预设安全信息由所述SIM卡触发(同步骤103)。
304、安全认证装置经由所述SIM卡向所述服务器发送随机验证码,以便所述服务器根据所述随机验证码及所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
为了增强安全身份信息验证的准确性,贴膜key验签成功后,经由所述SIM卡向所述服务器发送随机验证码,只有当服务器验证随机验证码及加密后的待验证数据均成功后,才能确保用户身份的安全,若随机验证码和/或加密后的待验证数据验证不通过,则说明待验证数据被恶意篡改。
需要说明的是,该实施例中经由SIM卡向服务器发送随机验证码时,不涉及用户层面的辅助,而是在系统内部完成。在执行用户身份识别时,有两个关键点,一个是贴膜key的验签成功,另一个是经由SIM卡向服务器发送随机验证码,服务器需要同时对加密后的待处理数据以及随机验证码同步执行处理。
需要强调的是,为了进一步增强安全身份信息验证的准确性,经由SIM卡向服务器发送随机码时,需要将随机验证码进行加密,以确保随机验证码传输过程中不被恶意篡改。
作为对上述实施例的细化及扩展,本发明实施例还提供第四种身份数据的识别方法,如图5所示,所述方法包括:
401、贴膜key接收所述客户端发送的安全认证装置的PIN码。
本步骤中,在用户启动APP,并预执行身份识别的同时,输出显示输入贴膜key的PIN码的提示信息,目的在于确保本次操作是由用户本人或者知情用户执行的,在一定程度上维护移动终端的数据安全。
贴膜key接收APP发送的PIN码,并对PIN码进行验证,若验证成功,则执行步骤402;若验证失败,则说明用户输入错误,或者,本次PIN码为恶意用户输入,在实际应用中,当验证失败后,会向APP返回输入错误的提示信息,并在提示重新输入PIN码,当错误次数到达上限后,拒绝本次身份识别。
402、若所述PIN码验证成功,则贴膜key被自动激活。
上述实施例已说明,贴膜key贴附于SIM卡中,其不能作为独立的设备在移动终端中运行,在贴膜key未被激活之前,移动终端中相当于没有贴膜key,只有SIM卡在起作用,即移动终端不具备身份识别的能力,只有当贴膜key被激活之后,才能通过身份识别的方式,进而维护移动终端数据的安全性。
403、贴膜key接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥。
请参考步骤101的详细说明,本步骤对此不再进行一一赘述。
404、贴膜key利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签。
请参考步骤102的详细说明,本步骤对此不再进行一一赘述。
405、贴膜key将验签后的所述待验证数据发送至所述客户端,以便客户端用户对所述待验证数据确认。
验签成功后,说明待验证数据在向贴膜传输过程中,没被修改,本步骤是将明文的待验证数据(一般为交易金额)发送至APP的显示界面,在APP显示界面中既包含有明文的交易金额,还包含两个按键,一个是确定按键,一个是取消按键。
406、若验签成功,则贴膜key利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,其中,所述第二私钥为所述安全认证装置私钥。
请参考步骤103的详细说明,本步骤对此不再进行一一赘述。
407、若接收到对所述待验证数据的确认指令,则贴膜key基于预设接口与所述SIM卡建立数据连接。
基于步骤405中所述的APP显示界面的显示内容,若用户触发取消按键,则贴膜key接收的就是取消指令,贴膜key放弃本地身份识别;若用户触发确认按键,则贴膜key接收的就是确认指令,通过SCC端口与SIM卡建立数据连接,进行数据通讯。
408、贴膜key根据接收到所述确认指令的当前系统时间生成所述随机验证码,并将所述随机验证码发送至所述SIM卡。
在具体实施过程中,在生成随机验证码时,除了依赖于贴膜key接收确认指令的当前系统时间外,还可以包含但不局限于卡片序列号、商户名称等等,增加随机验证码的复杂程度,进一步增强身份验证的正确性。
生成随机验证码后,经由步骤407的数据连接通道,将随机验证码发送至SIM卡。
作为本发明实施例的一种可选方式,在生成随机验证码之后,贴膜key也可基于STK应用,通过发送短消息的方式,将随机验证码发送至服务器,具体的本发明实施例对发送随机验证码的方式不作限定。
409、贴膜key经由所述SIM卡向所述服务器发送随机验证码,以便所述服务器根据所述随机验证码及所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
SIM卡可通过短信通道随机验证码发送至服务器。
在此需要说明的是,服务器在验证时,需要通过两个通道分别获取APP发送的加密后的报文数据,获取贴膜key生成的随机验证码,两者同时获取,并验证成功后,才能确定用户的安全身份信息。验证两种不同的数据起到功能增强的作用。
本发明实施例还提供一种身份数据的识别方法,该方法应用于移动终端中,所述移动终端中包含安全认证装置、及客户端,如图6所示,所述方法包括:
501、所述客户端向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥。
502、所述客户端在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,其中,所述第二私钥为安全认证装置私钥。
503、所述客户端按照预定发送格式,将所述加密后的待验证数据发送至所述服务器,以便所述服务器基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
本发明实施例所述的预定发送格式,为数据传输过程中规定报文的格式规定,本发明实施例对报文格式不作赘述。
本发明实施例提供的身份数据的识别方法,主要通过验证移动终端的身份确保用户数据安全,安全认证装置接收客户端发送的待验证数据以及数字签名,其中,安全认证装置及客户端已通过服务器的安全身份认证,数字签名为客户端使用第一私钥对待验证数据进行签名得到,第一私钥为客户端私钥;利用第一私钥对应的公钥、待验证数据对数字签名进行验签;若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至客户端,以便客户端将加密后的待验证数据发送至服务器,其中,第二私钥为安全认证装置私钥;经由安全认证装置向服务器发送随机验证码,以便服务器根据随机验证码及第二私钥对应的公钥对加密后的待验证数据进行验证,本发明中,服务器通过“双重验证”的方式,即服务器同时验证客户端发送的加密后的待验证数据、安全认证装置经由安全认证装置发送的随机验证码,在识别用户安全身份后,会完成待验证数据的传输,进而确保了移动终端的数据安全。
在步骤502执行之前,贴膜key将明文待验证数据通过请求信息的方式发送至APP,以便用户再次确认待验证数据(交易数据)的正确性,客户端接收贴膜key发送的确认待验证数据的请求信息,并向贴膜key发送对待验证数据的确认指令。
发送确认指令后,记录发送确认指令的当前系统时间,并将当前系统时间作为一种属性,添加于向服务器发送的报文中,其目的在于,以便于服务器通过发送确认指令的当前系统时间,去验证随机验证码的真伪。在实际应用中,APP发送确认指令的当前系统时间,可能会由于网络延迟,导致与贴膜key接收到确认指令的当前系统时间不一致,在服务器对随机验证码中包含的当前系统时间进行验证时,可以设置一个误差,例如,误差为1秒,示例性的,若APP发送确认指令的当前系统时间为5:23:52:14,随机验证码中包含的当前系统时间5:23:52:25,则时间差在1秒的误差上限范围内,说明随机验证码正确。
作为本发明实施例的另一种身份识别的可实现方式,在按照预定发送格式,将所述加密后的待验证数据发送至所述服务器之前,所述方法还包括:检测是否接收到所述移动终端发送的确认处理/取消处理的触发指令;若接收到所述移动终端发送的取消处理的触发指令,则终止身份数据的识别;若接收到所述移动终端发送的确认处理的触发指令,则按照预定发送格式,将所述加密后的待验证数据发送至所述服务器。
进一步的,作为对上述实施例所示方法的实现,本发明另一实施例还提供了一种安全认证装置。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
本发明实施例还提供一种安全认证装置,如图7所示,所述安全认证装置应用于移动终端中,所述移动终端中包含安全认证装置以及客户端,所述安全认证装置包括:
第一接收单元61,用于接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
验证单元62,用于利用所述第一私钥对应的公钥、所述待验证数据对所述第一接收单元61接收到的所述数字签名进行验签;
加密单元63,用于当所述验证单元验签成功时,对验签后的待验证数据进行加密;
第一发送单元64,用于将所述加密单元63加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据和/或预设安全信息执行身份数据识别,其中,所述第二私钥为所述安全认证装置私钥,所述预设安全信息由所述安全认证装置触发;
进一步的,如图8所示,所述装置还包括:
第二发送单元65,用于在所述第一发送单元64将加密后的待验证数据发送至所述客户端之后,向所述移动终端发送待验证数据的确认处理/取消处理的提示,若所述移动终端接收到确定处理的触发指令,则将所述确认处理的触发指令发送至所述客户端,以便所述客户端根据所述确认处理的触发指令继续执行将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据进行验证;
第三发送单元66,用于向所述服务器发送随机验证码,以便所述服务器根据所述随机验证码及所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
进一步的,如图8所示,所述安全认证装置还包括:
第四发送单元67,用于在所述第三发送单元65经由所述SIM卡向所述服务器发送随机验证码之前,将验签后的所述待验证数据发送至所述客户端,以便客户端用户对所述待验证数据确认;
生成单元68,用于当接收到对所述待验证数据的确认指令时,根据接收到所述确认指令的当前系统时间生成所述随机验证码;
第五发送单元69,用于将所述生成单元69生成的所述随机验证码发送至所述服务器。
进一步的,如图8所示,所述安全认证装置还包括:
第二接收单元610,用于在所述第一接收单元61接收所述客户端发送的待验证数据以及数字签名之前,接收所述客户端发送的安全认证装置的PIN码;
激活单元611,用于当所述第二接收单元610接收到的所述PIN码验证成功后,所述安全认证装置自动激活。
本发明实施例还提供一种客户端,如图9所示,所述客户端应用于移动终端中,所述移动终端中包含安全认证装置、及客户端,所述客户端包括:
第一发送单元71,用于向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
第一接收单元72,用于在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,其中,所述第二私钥为安全认证装置私钥;
第二发送单元73,用于按照预定发送格式,将所述第一接收单元72接收到的所述加密后的待验证数据发送至所述服务器,以便所述服务器基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
进一步的,如图10所示,所述客户端还包括:
第二接收单元74,用于接收所述安全认证装置发送的确认所述待验证数据的请求信息;
第三发送单元75,用于向所述安全认证装置发送对所述待验证数据的确认指令;
记录单元76,用于记录发送所述确认指令的当前系统时间;
所述发送单元73,还用于将所述记录单元76记录的所述当前系统时间及加密后的待验证数据按照预定发送格式发送至所述服务器,以便所述服务器根据所述当前系统时间对所述随机验证码进行验证,其中,所述随机验证码为所述安全认证装置根据接收到所述确认指令的当前系统时间生成的验证码。
进一步的,如图10所示,所述装置还包括:
检测单元77,用于在所述第二发送单元73按照预定发送格式,将所述加密后的待验证数据发送至所述服务器之前,检测是否接收到所述移动终端发送的确认处理/取消处理的触发指令;
终止单元78,用于当是检测单元77检测到接收到所述移动终端发送的取消处理的触发指令时,终止身份数据的识别;
所述发送单元73,还包括当所述检测单元77检测到接收到所述移动终端发送的确认处理的触发指令时,按照预定发送格式,将所述加密后的待验证数据发送至所述服务器。
本发明实施例还提供一种身份数据的识别系统,如图11所示,所述系统应用于移动终端中,所述移动终端中包含客户端81、安全认证装置82、客户识别模块SIM卡83及服务器84,所述系统包括:
所述客户端81,用于向所述安全认证装置82发送待验证数据以及数字签名,其中,所述客户端81及安全认证装置82已通过服务器84的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
所述安全认证装置82,用于接收所述客户端81发送的待验证数据以及数字签,利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签,若验签成功,则对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端81,其中,所述第二私钥为所述安全认证装置私钥;
所述客户端81,还用于在所述安全认证装置82基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置82基于第二私钥加密后的待验证数据,按照预定发送格式,将所述加密后的待验证数据发送至所述服务器84;
所述安全认证装置82,还用于经由所述SIM卡83向所述服务器84发送随机验证码;
所述服务器84,用于接收所述随机验证码及加密后的待验证数据,基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证,对所述随机验证码进行验证。
本发明实施例提供的身份数据的识别装置及系统,主要通过验证移动终端的身份确保用户数据安全,安全认证装置接收客户端发送的待验证数据以及数字签名,其中,安全认证装置及客户端已通过服务器的安全身份认证,数字签名为客户端使用第一私钥对待验证数据进行签名得到,第一私钥为客户端私钥;利用第一私钥对应的公钥、待验证数据对数字签名进行验签;若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至客户端,以便客户端将加密后的待验证数据发送至服务器,其中,第二私钥为安全认证装置私钥;经由安全认证装置向服务器发送随机验证码,以便服务器根据随机验证码及第二私钥对应的公钥对加密后的待验证数据进行验证,本发明实施例中,服务器通过“双重验证”的方式,即服务器同时验证客户端发送的加密后的待验证数据、安全认证装置经由安全认证装置发送的随机验证码,在识别用户安全身份后,会完成待验证数据的传输,进而确保了移动终端的数据安全。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的身份数据的识别方法、装置及系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种身份数据的识别方法,其特征在于,所述方法应用于移动终端中,所述移动终端中包含安全认证装置以及客户端,所述方法包括:
所述安全认证装置接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签;
若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据和/或预设安全信息执行身份数据识别,其中,所述第二私钥为所述安全认证装置私钥,所述预设安全信息由所述安全认证装置触发。
2.根据权利要求1所述的方法,其特征在于,在将加密后的待验证数据发送至所述客户端之后,所述方法还包括:
向所述移动终端发送待验证数据的确认处理/取消处理的提示,若所述移动终端接收到确定处理的触发指令,则将所述确认处理的触发指令发送至所述客户端,以便所述客户端根据所述确认处理的触发指令继续执行将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据进行验证;
或者,向所述服务器发送随机验证码,以便所述服务器根据所述随机验证码及所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
3.根据权利要求2所述的方法,其特征在于,在向所述服务器发送随机验证码之前,所述方法还包括:
将验签后的所述待验证数据发送至所述客户端,以便客户端用户对所述待验证数据确认;
若接收到对所述待验证数据的确认指令,则根据接收到所述确认指令的当前系统时间生成所述随机验证码,并将所述随机验证码发送至所述服务器。
4.根据权利要求1-3中任一项所述的方法,其特征在于,在所述安全认证装置接收所述客户端发送的待验证数据以及数字签名之前,所述方法还包括:
接收所述客户端发送的安全认证装置的PIN码;
若所述PIN码验证成功,则所述安全认证装置自动激活。
5.一种身份数据的识别方法,其特征在于,所述方法应用于移动终端中,所述移动终端中包含安全认证装置、及客户端,所述方法包括:
所述客户端向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,其中,所述第二私钥为安全认证装置私钥;
按照预定发送格式,将所述加密后的待验证数据发送至所述服务器,以便所述服务器基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述安全认证装置发送的确认所述待验证数据的请求信息,并向所述安全认证装置发送对所述待验证数据的确认指令;
记录发送所述确认指令的当前系统时间;
所述按照预定发送格式将所述加密后的待验证数据发送至所述服务器,包括:
将所述当前系统时间及加密后的待验证数据按照预定发送格式发送至所述服务器,以便所述服务器根据所述当前系统时间对所述随机验证码进行验证,其中,所述随机验证码为所述安全认证装置根据接收到所述确认指令的当前系统时间生成的验证码。
7.根据权利要求5所述的方法,其特征在于,在按照预定发送格式,将所述加密后的待验证数据发送至所述服务器之前,所述方法还包括:
检测是否接收到所述移动终端发送的确认处理/取消处理的触发指令;
若接收到所述移动终端发送的取消处理的触发指令,则终止身份数据的识别;
所述按照预定发送格式,将所述加密后的待验证数据发送至所述服务器,还包括:
若接收到所述移动终端发送的确认处理的触发指令,则按照预定发送格式,将所述加密后的待验证数据发送至所述服务器。
8.一种安全认证装置,其特征在于,所述安全认证装置应用于移动终端中,所述移动终端中包含安全认证装置以及客户端,所述安全认证装置包括:
第一接收单元,用于接收所述客户端发送的待验证数据以及数字签名,其中,所述安全认证装置及客户端已通过服务器的安全身份认证,所述数字签名为所述客户端使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
验证单元,用于利用所述第一私钥对应的公钥、所述待验证数据对所述第一接收单元接收到的所述数字签名进行验签;
加密单元,用于当所述验证单元验签成功时,对验签后的待验证数据进行加密;
第一发送单元,用于将所述加密单元加密后的待验证数据发送至所述客户端,以便所述客户端将加密后的待验证数据发送至所述服务器,由所述服务器对所述加密后的待验证数据和/或预设安全信息执行身份数据识别其中,所述第二私钥为所述安全认证装置私钥,所述预设安全信息由所述安全认证装置触发。
9.一种客户端,其特征在于,所述客户端应用于移动终端中,所述移动终端中包含安全认证装置、及客户端,所述客户端包括:
第一发送单元,用于向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
第一接收单元,用于在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,其中,所述第二私钥为安全认证装置私钥;
第二发送单元,用于按照预定发送格式,将所述第一接收单元接收到的所述加密后的待验证数据发送至所述服务器,以便所述服务器基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证。
10.一种身份数据的识别系统,其特征在于,所述系统应用于移动终端中,所述移动终端中包含安全认证装置、客户端以及服务器,所述系统包括:
所述客户端,用于向所述安全认证装置发送待验证数据以及数字签名,其中,所述客户端及安全认证装置已通过服务器的安全身份认证,所述数字签名为使用第一私钥对所述待验证数据进行签名得到,所述第一私钥为客户端私钥;
所述安全认证装置,用于接收所述客户端发送的待验证数据以及数字签,利用所述第一私钥对应的公钥、所述待验证数据对所述数字签名进行验签,若验签成功,则利用第二私钥对验签后的待验证数据进行加密,并将加密后的待验证数据发送至所述客户端,其中,所述第二私钥为所述安全认证装置私钥;
所述客户端,还用于在所述安全认证装置基于第一私钥对应的公钥、所述待验证数据对所述数字签名验证成功后,接收所述安全认证装置基于第二私钥加密后的待验证数据,按照预定发送格式,将所述加密后的待验证数据发送至所述服务器;
所述安全认证装置,还用于向所述服务器发送随机验证码;
所述服务器,用于接收所述随机验证码及加密后的待验证数据,基于所述第二私钥对应的公钥对所述加密后的待验证数据进行验证,对所述随机验证码进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710875797.3A CN109560932A (zh) | 2017-09-25 | 2017-09-25 | 身份数据的识别方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710875797.3A CN109560932A (zh) | 2017-09-25 | 2017-09-25 | 身份数据的识别方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109560932A true CN109560932A (zh) | 2019-04-02 |
Family
ID=65862041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710875797.3A Withdrawn CN109560932A (zh) | 2017-09-25 | 2017-09-25 | 身份数据的识别方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109560932A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110119639A (zh) * | 2019-05-13 | 2019-08-13 | 上海英恒电子有限公司 | 一种车辆充电设备防伪认证方法、装置及系统 |
| CN112565282A (zh) * | 2020-12-14 | 2021-03-26 | 中国科学院信息工程研究所 | 一种数据加密方法、终端设备及电子设备 |
| CN112818306A (zh) * | 2021-02-01 | 2021-05-18 | 长沙市到家悠享网络科技有限公司 | 信息处理方法及装置、服务器 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222333A (zh) * | 2007-12-24 | 2008-07-16 | 北京握奇数据系统有限公司 | 一种数据交易处理方法及设备 |
| CN101729537A (zh) * | 2009-11-26 | 2010-06-09 | 浙商银行股份有限公司 | 一种基于手机sim卡贴片的银行业务移动认证方法 |
| CN102054258A (zh) * | 2010-12-16 | 2011-05-11 | 中国建设银行股份有限公司 | 一种基于移动设备的电子银行安全认证方法及系统 |
| CN102547688A (zh) * | 2012-02-13 | 2012-07-04 | 江苏博智软件科技有限公司 | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 |
| CN103186805A (zh) * | 2011-12-27 | 2013-07-03 | 国民技术股份有限公司 | 智能卡及基于智能卡的签名认证方法 |
| US20140337528A1 (en) * | 2011-10-11 | 2014-11-13 | Citrix Systems, Inc. | Policy-based application management |
| CN104184892A (zh) * | 2014-08-12 | 2014-12-03 | 桂林微网半导体有限责任公司 | 基于移动终端智能卡的数据传输方法及移动终端 |
| CN104348952A (zh) * | 2013-07-24 | 2015-02-11 | 北京握奇数据系统有限公司 | 一种卡片应用管理系统的控制方法 |
| WO2016092286A1 (en) * | 2014-12-08 | 2016-06-16 | Cryptomathic Ltd | System and method for enabling secure authentication |
| CN106209383A (zh) * | 2016-07-13 | 2016-12-07 | 广东商联支付网络技术有限公司 | 一种移动支付安全认证的方法及装置 |
| CN106657032A (zh) * | 2016-12-05 | 2017-05-10 | 北京博惠城信息科技有限公司 | 基于安全介质保密短信实现身份鉴别及数据认证的系统及方法 |
| CN107113613A (zh) * | 2015-11-03 | 2017-08-29 | 国民技术股份有限公司 | 服务器、移动终端、网络实名认证系统及方法 |
-
2017
- 2017-09-25 CN CN201710875797.3A patent/CN109560932A/zh not_active Withdrawn
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222333A (zh) * | 2007-12-24 | 2008-07-16 | 北京握奇数据系统有限公司 | 一种数据交易处理方法及设备 |
| CN101729537A (zh) * | 2009-11-26 | 2010-06-09 | 浙商银行股份有限公司 | 一种基于手机sim卡贴片的银行业务移动认证方法 |
| CN102054258A (zh) * | 2010-12-16 | 2011-05-11 | 中国建设银行股份有限公司 | 一种基于移动设备的电子银行安全认证方法及系统 |
| US20140337528A1 (en) * | 2011-10-11 | 2014-11-13 | Citrix Systems, Inc. | Policy-based application management |
| CN103186805A (zh) * | 2011-12-27 | 2013-07-03 | 国民技术股份有限公司 | 智能卡及基于智能卡的签名认证方法 |
| CN102547688A (zh) * | 2012-02-13 | 2012-07-04 | 江苏博智软件科技有限公司 | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 |
| CN104348952A (zh) * | 2013-07-24 | 2015-02-11 | 北京握奇数据系统有限公司 | 一种卡片应用管理系统的控制方法 |
| CN104184892A (zh) * | 2014-08-12 | 2014-12-03 | 桂林微网半导体有限责任公司 | 基于移动终端智能卡的数据传输方法及移动终端 |
| WO2016092286A1 (en) * | 2014-12-08 | 2016-06-16 | Cryptomathic Ltd | System and method for enabling secure authentication |
| CN107113613A (zh) * | 2015-11-03 | 2017-08-29 | 国民技术股份有限公司 | 服务器、移动终端、网络实名认证系统及方法 |
| CN106209383A (zh) * | 2016-07-13 | 2016-12-07 | 广东商联支付网络技术有限公司 | 一种移动支付安全认证的方法及装置 |
| CN106657032A (zh) * | 2016-12-05 | 2017-05-10 | 北京博惠城信息科技有限公司 | 基于安全介质保密短信实现身份鉴别及数据认证的系统及方法 |
Non-Patent Citations (5)
| Title |
|---|
| GYORGY KALMAN; JOSEF NOLL: ""SIM as Secure Key Storage in Communication Networks"", 《2007 THIRD INTERNATIONAL CONFERENCE ON WIRELESS AND MOBILE COMMUNICATIONS (ICWMC"07)》 * |
| XUE YIN; JUNWEI ZOU: ""An Improved Dynamic Identity Authentication Scheme Based on PKI-SIM Card"", 《2009 5TH INTERNATIONAL CONFERENCE ON WIRELESS COMMUNICATIONS, NETWORKING AND MOBILE COMPUTING》 * |
| 任子荣: ""基于移动终端和PKI技术的第三方身份认证服务系统"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 徐立杰: ""网络信息安全技术在手机银行系统中的应用与研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 杨光; 张文安: ""基于智能卡的手机远程支付技术方案研究"", 《电信技术》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110119639A (zh) * | 2019-05-13 | 2019-08-13 | 上海英恒电子有限公司 | 一种车辆充电设备防伪认证方法、装置及系统 |
| CN112565282A (zh) * | 2020-12-14 | 2021-03-26 | 中国科学院信息工程研究所 | 一种数据加密方法、终端设备及电子设备 |
| CN112818306A (zh) * | 2021-02-01 | 2021-05-18 | 长沙市到家悠享网络科技有限公司 | 信息处理方法及装置、服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102382474B1 (ko) | 보안 전송 프로토콜을 사용하여 신뢰를 설정하기 위한 시스템 및 방법 | |
| CN105207774B (zh) | 验证信息的密钥协商方法及装置 | |
| US20230351356A1 (en) | Systems and method for payment transaction processing with payment application driver | |
| CN105207775B (zh) | 验证信息的读取方法及装置 | |
| US20160189135A1 (en) | Virtual chip card payment | |
| US10045210B2 (en) | Method, server and system for authentication of a person | |
| CN109525400A (zh) | 安全处理方法、系统和电子设备 | |
| CN101221641B (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| CN110290102A (zh) | 基于应用的业务安全系统及方法 | |
| EP3394788B1 (en) | Method and system for enhancing the security of a transaction | |
| US9065806B2 (en) | Internet based security information interaction apparatus and method | |
| CN104992082B (zh) | 软件授权方法、装置及电子设备 | |
| CN104871186A (zh) | 用于移动支付的应用程序系统和用于提供并使用移动支付工具的方法 | |
| CN112953970A (zh) | 一种身份认证方法及身份认证系统 | |
| JP7449952B2 (ja) | 顧客サポート呼の事前認証のためのシステムおよび方法 | |
| CN110493229B (zh) | 业务请求处理方法、装置及系统 | |
| JP2016539605A (ja) | ネットワークセキュリティにおける方法及びネットワークセキュリティにおけるシステム | |
| CN109560932A (zh) | 身份数据的识别方法、装置及系统 | |
| Filimonov et al. | Breaking unlinkability of the ICAO 9303 standard for e-passports using bisimilarity | |
| CN109714297A (zh) | 安全验证方法、系统及用户终端和应用平台 | |
| CN105743651B (zh) | 芯片安全域的卡应用使用方法、装置和应用终端 | |
| CN104835038A (zh) | 一种联网支付装置及方法 | |
| CN106888448B (zh) | 应用下载方法、安全元件及终端 | |
| CN111404706A (zh) | 应用下载方法、安全元件、客户端设备及服务管理设备 | |
| CN103559430B (zh) | 基于安卓系统的应用账号管理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190402 |