CN111709747A - 智能终端认证方法及系统 - Google Patents

智能终端认证方法及系统 Download PDF

Info

Publication number
CN111709747A
CN111709747A CN202010521658.2A CN202010521658A CN111709747A CN 111709747 A CN111709747 A CN 111709747A CN 202010521658 A CN202010521658 A CN 202010521658A CN 111709747 A CN111709747 A CN 111709747A
Authority
CN
China
Prior art keywords
human body
body chip
random number
intelligent terminal
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010521658.2A
Other languages
English (en)
Other versions
CN111709747B (zh
Inventor
胡文涛
漆英
黄剑文
张先刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202010521658.2A priority Critical patent/CN111709747B/zh
Publication of CN111709747A publication Critical patent/CN111709747A/zh
Application granted granted Critical
Publication of CN111709747B publication Critical patent/CN111709747B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/352Contactless payments by cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3827Use of message hashing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明提供了一种智能终端认证方法及系统,所述方法应用于智能终端,包含:获取业务请求,根据所述业务请求向人体芯片发送认证请求;根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片;接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密后的明文通过预定算法生成第二报文摘要;将所述第二报文摘要和所述第一报文摘要进行比对验证,当验证通过后,将所述用户信息及签名信息和所述业务请求上传至金融机构处理装置进行业务处理。

Description

智能终端认证方法及系统
技术领域
本发明涉及智能交互领域,尤指一种智能终端认证方法及系统。
背景技术
现有用户使用智能终端(比如未来物联网下的金融智能IC卡、智能手机)存在安全系数不够的问题,若智能终端遗失,则容易被盗刷。并且需要大部分场景存在输入密码、生物识别、电子签名等等步骤,对于尊贵客户的体验性不够。
人体芯片目前发展如下:
1、已支持RFID标签以在门禁、公交领域已应用;
2、已应用于医疗领域(如美国有源芯片“数字天使”模型以及量产的无源芯片“verichip”),比如检测患者体征、定位使用者位置、发送给医院管理系统患者警报等等功能;
3、已用于特定场景的支付领域,目前人体芯片支持近场感应(比如掌上扫描设备)下的支付,也会存在被恶意靠近从而盗刷的问题;而智能终端的支付是在用户主动验证的场景下(比如插入IC卡,进入手机对应支付功能流程),可避免恶意靠近扫描感应,但却存在遗失后被盗用盗刷的缺点;
从技术实现层面,目前人体芯片作为RFID标签门禁的实现,只是在某个特定单位(公司)范围内进行加密、制作芯片和认证,技术架构上无法扩展到更广阔的认证领域,比如支持验证多家不同金融机构发行的智能IC卡、或者挂在智能手机中的不同机构的支付账户等等。
为此,业内亟需一种安全快捷的人体芯片使用方案。
发明内容
本发明目的在于提供结合智能终端和人体芯片,以提供更为便利的认证方案,从而实现双重验证,来防止智能终端或人体芯片单一使用而出现的遗失被盗刷的问题。
为达上述目的,本发明所提供的智能终端认证方法,所述方法应用于智能终端,包含:获取业务请求,根据所述业务请求向人体芯片发送认证请求;根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片;接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密后的明文通过预定算法生成第二报文摘要;将所述第二报文摘要和所述第一报文摘要进行比对验证,当验证通过后,将所述用户信息及签名信息和所述业务请求上传至金融机构处理装置进行业务处理。
在上述智能终端认证方法中,优选的,根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片包含:根据所述人体芯片反馈的第一随机数触发生成第二随机数,将所述第二随机数存储至本地;通过人体芯片密钥对所述第一随机数和所述第二随机数加密生成验证请求;将所述验证请求发送至所述人体芯片。
在上述智能终端认证方法中,优选的,接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密生成第二报文摘要包含:接收并解析人体芯片反馈的携带有用户信息及签名信息、第二随机数和第一报文摘要的加密数据包,将解析获得的第二随机数与本地存储的第二随机数比对,根据比对结果与所述人体芯片完成认证。
本发明还提供一种智能终端认证方法,所述方法应用于人体芯片,所述人体芯片预存有人体芯片公私密钥对、用户信息及签名信息,包含:接收认证请求并根据所述认证请求生成第一随机数,将所述第一随机数反馈至所述认证请求发送端;根据所述第一随机数验证接收到的验证请求;当验证通过后,根据所述用户信息及签名信息生成第一报文摘要,将所述第一报文摘要、所述用户信息及签名信息加密生成加密数据包,将所述加密数据包反馈至验证请求发送端。
在上述智能终端认证方法中,优选的,所述方法还包含:获得所述验证请求中的第二随机数,将所述第二随机数随所述第一报文摘要、所述用户信息及签名信息一同加密至所述加密数据包后反馈至验证请求发送端。
本发明还提供一种智能终端认证系统,所述系统包含人体芯片、金融机构处理装置和一个或多个智能终端;所述人体芯片存储外部写入的人体芯片公私密钥对、用户信息及签名信息;所述智能终端获取业务请求,根据所述业务请求向人体芯片发送认证请求;所述人体芯片接收认证请求并根据所述认证请求生成第一随机数,将所述第一随机数反馈至所述智能终端;所述智能终端根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片;所述人体芯片根据所述第一随机数验证接收到的验证请求,当验证通过后,根据所述用户信息及签名信息生成第一报文摘要,将所述第一报文摘要、所述用户信息及签名信息加密生成加密数据包,将所述加密数据包反馈至所述智能终端;所述智能终端接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密后的明文通过预定算法生成第二报文摘要;以及,将所述第二报文摘要和所述第一报文摘要进行比对验证,当验证通过后,将所述用户信息及签名信息和所述业务请求上传至金融机构处理装置;所述金融机构处理装置将接收到的所述用户信息及签名信息与本地存储的认证信息进行比较;当比较通过后,根据所述业务请求执行对应的业务处理。
在上述智能终端认证系统中,优选的,所述系统还包含:所述智能终端根据所述人体芯片反馈的第一随机数触发生成第二随机数,将所述第二随机数存储至本地;以及,通过人体芯片密钥对所述第一随机数和所述第二随机数加密生成验证请求;将所述验证请求发送至所述人体芯片;所述人体芯片获得所述验证请求中的第二随机数,将所述第二随机数随所述第一报文摘要、所述用户信息及签名信息一同加密至所述加密数据包后反馈至所述智能终端;所述智能终端接收并解析人体芯片反馈的携带有用户信息及签名信息、第二随机数和第一报文摘要的加密数据包,将解析获得的第二随机数与本地存储的第二随机数比对,根据比对结果与所述人体芯片完成认证。
在上述智能终端认证系统中,优选的,所述用户信息包含用户签名和用户生物特征信息;所述预定算法为国密SM3 HASH算法。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
本发明的有益技术效果在于:将用户的智能终端和人体芯片通过事先注入的密钥、证书建立N:1的绑定关系,使用时进行交互验证,防止遗失智能终端(包括ic卡等)后被盗刷,同时也可省略输入密码等环节,并同时人体芯片带有生物识别和手写签名信息,可直接上送对应贵宾客户的生物识别信息和手写签名信息,节约操作步骤,提高客户体验。将人体芯片的使用者身份验证和智能终端的支付确认环节结合起来,以进一步提高安全系数。提供了一个全新的体验:只有身份的主体确实身在现场,并且主动进行一个验证的动作,才会通过的身份验证方式。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1为本发明一实施例所提供的智能终端认证方法的流程示意图;
图2为本发明一实施例所提供的智能终端认证方法的流程示意图;
图3为本发明一实施例所提供的智能终端认证系统的逻辑示意图;
图4为本发明一实施例所提供的智能终端认证系统的结构示意图;
图5为本发明一实施例所提供的智能终端认证系统的应用流程示意图;
图6为本发明一实施例所提供的电子设备的结构示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
请参考图1所示,本发明所提供的一种智能终端认证方法,所述方法应用于智能终端,包含:
S101获取业务请求,根据所述业务请求向人体芯片发送认证请求;
S102根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片;
S103接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密后的明文通过预定算法生成第二报文摘要;
S104将所述第二报文摘要和所述第一报文摘要进行比对验证,当验证通过后,将所述用户信息及签名信息和所述业务请求上传至金融机构处理装置进行业务处理。
其中,所述用户信息包含用户签名和用户生物特征信息;所述预定算法为国密SM3HASH算法。
在本发明一实施例中,根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片包含:根据所述人体芯片反馈的第一随机数触发生成第二随机数,将所述第二随机数存储至本地;通过人体芯片密钥对所述第一随机数和所述第二随机数加密生成验证请求;将所述验证请求发送至所述人体芯片。实际工作中,智能终端激活时,即可通过近场通信得到人体芯片公钥,利用该公钥完成后续通信过程必要的加解密操作;由此,后续接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密生成第二报文摘要可包含:接收并解析人体芯片反馈的携带有用户信息及签名信息、第二随机数和第一报文摘要的加密数据包,将解析获得的第二随机数与本地存储的第二随机数比对,根据比对结果与所述人体芯片完成认证。从而利用所述第二随机数实现验证闭环,智能终端与所述人体芯片完成双向验证,保证从人体芯片授权智能终端,由智能终端与金融机构通信完成相关业务处理。
请参考图2所示,本发明还提供一种智能终端认证方法,所述方法应用于人体芯片,所述人体芯片预存有人体芯片公私密钥对、用户信息及签名信息,包含:
S201接收认证请求并根据所述认证请求生成第一随机数,将所述第一随机数反馈至所述认证请求发送端;
S202根据所述第一随机数验证接收到的验证请求;
S203当验证通过后,根据所述用户信息及签名信息生成第一报文摘要,将所述第一报文摘要、所述用户信息及签名信息加密生成加密数据包,将所述加密数据包反馈至验证请求发送端。
其中,所述用户信息包含用户签名和用户生物特征信息;所述预定算法为国密SM3HASH算法。在上述实施例中,所述方法还包含:获得所述验证请求中的第二随机数,将所述第二随机数随所述第一报文摘要、所述用户信息及签名信息一同加密至所述加密数据包后反馈至验证请求发送端。
实际工作中,人体芯片的ca中心同金融机构的ca中心建立交叉验证的信任关系,在为用户供有传统人体芯片之外的功能,加入用户对应的指纹人脸等生物信息、签名信息。制作的时候,由人体芯片密钥体系(加密机、ca中心、密钥管理系统等等的统称)生成对应公私密钥对并写入,人体芯片RFID模块可选用CPU型,有专用核心处理器和存储区,保存密钥、客户生物识别等信息。智能终端,包括并不限于IC卡、智能手机等用户专有设备,提供独立运算单元、RFID感应器、发送接收单元。假设该客户有多个智能终端,均由金融机构密钥体系生成写入金融机构证书,并同时写入对应的人体芯片的证书、交叉验证证书。在使用过程中,智能终端发送认证请求,双方认证报文都包含随机数,由于智能终端与人体芯片是N:1的关系,非母子关系,无法认证通过。两者之间的认证过程,人体芯片只使用人体芯片用户私钥,智能终端只使用对应的公钥进行非对称加解密。验证通过后,人体芯片将客户相关信息加密并数字签名处理,回传给智能终端。智能终端解密后传回后台业务处理装置进一步校验客户身份,并可直接用客户的签名进行印章管理、金融机构后督等操作。由于智能终端与人体芯片间是少量数据交换,对保密性和密钥管理便利性要求很高,所以直接采用不对称加密算法国密sm2算法,在数字签名部分采用国密SM3算法。如果智能终端遗失,则可选择性更新人体芯片对应所有智能终端上对应的人体芯片证书和相关密钥,以防止最极端的情况:盗窃者支付时恶意接近贵宾客户感应人体芯片。
当然,在实际工作中智能终端与人体芯片如需要保持长连接多重对话以传输大量数据,也可再采用数据信封和SSL套接层,使用人体芯片公钥作为人体芯片以及智能终端之间的对称加密机制的密钥进行交换信息。所述的数据信封和SSL套接层可利用现有技术予以实现,为此,本发明在此就不再一一详述。
为便于更清楚的理解本发明上述实施例所描述人体芯片的ca中心同金融机构的ca中心建立交叉认证的详细流程,请参考图3所示,实际工作中人体芯片的ca中心与金融机构的ca中心的交互流程如下:
1.人体芯片ca中心同金融机构ca中心建立信任关系,安全交换签名公钥,利用自己的签名私钥为对方签发数字证书,这样双方分别握有交叉验证证书A1\A2。
2.人体芯片密钥体系生成人体芯片公私密钥对,并将其同用户生物识别信息和签名信息注入人体芯片,用户信息可当做多种应用场景下的特定身份标识。
3.人体芯片ca中心将人体芯片用户公钥、人体芯片用户信息用人体芯片密钥体系签名私钥进行签名,生成人体芯片证书B,并和交叉验证证书A1传递给智能终端。
其中人体芯片证书B格式可如下表1所示:
表1
人体芯片用户公钥 人体芯片用户信息 人体芯片ca中心名称 签名(摘要算法结果
4.金融机构密钥体系ca中心将金融机构加密公钥、智能终端用户信息用金融机构密钥体系签名私钥加密后生成签名,生成金融机构证书C,将证书C和金融机构密钥体系签名公钥一起注入用户智能终端。
其中金融机构证书C格式可如下表2所示:
表2
金融机构加密公钥 智能终端用户信息 金融ca中心名称 签名(摘要算法结果)
5.用户智能终端激活的时候,利用金融机构密钥体系签名公钥校验交叉验证证书A1,以决定该验证证书是否可信,如果验证通过则用从证书A1中得到的人体芯片密钥体系签名公钥校验人体芯片证书B,校验通过得到人体芯片用户公钥。
6.继5的步骤,用户智能终端激活的时候,利用金融机构密钥体系签名公钥校验金融机构证书C,校验通过得到金融机构加密公钥。这样智能终端上存在人体芯片公钥、金融机构加密公钥。其中人体芯片公钥用以人体芯片验证流程,金融机构加密公钥用以同金融机构业务处理装置交互。
值得说明的是,上述密钥、证书分发均采用离线分发的形式,即不能从用户端(人体芯片、智能终端)发起密钥、证书的更新策略;密钥系统包括:ca中心、密钥管理系统以及对应加密机等功能部件。
请参考图4所示,本发明还提供一种智能终端认证系统,所述系统包含人体芯片、金融机构处理装置和一个或多个智能终端;所述人体芯片存储外部写入的人体芯片公私密钥对、用户信息及签名信息;所述智能终端获取业务请求,根据所述业务请求向人体芯片发送认证请求;所述人体芯片接收认证请求并根据所述认证请求生成第一随机数,将所述第一随机数反馈至所述智能终端;所述智能终端根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片;所述人体芯片根据所述第一随机数验证接收到的验证请求,当验证通过后,根据所述用户信息及签名信息生成第一报文摘要,将所述第一报文摘要、所述用户信息及签名信息加密生成加密数据包,将所述加密数据包反馈至所述智能终端;所述智能终端接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密后的明文通过预定算法生成第二报文摘要;以及,将所述第二报文摘要和所述第一报文摘要进行比对验证,当验证通过后,将所述用户信息及签名信息和所述业务请求上传至金融机构处理装置;所述金融机构处理装置将接收到的所述用户信息及签名信息与本地存储的认证信息进行比较;当比较通过后,根据所述业务请求执行对应的业务处理。其中,所述用户信息包含用户签名和用户生物特征信息;所述预定算法为国密SM3 HASH算法。
在上述实施例中,所述系统还可包含:所述智能终端根据所述人体芯片反馈的第一随机数触发生成第二随机数,将所述第二随机数存储至本地;以及,通过人体芯片密钥对所述第一随机数和所述第二随机数加密生成验证请求;将所述验证请求发送至所述人体芯片;所述人体芯片获得所述验证请求中的第二随机数,将所述第二随机数随所述第一报文摘要、所述用户信息及签名信息一同加密至所述加密数据包后反馈至所述智能终端;所述智能终端接收并解析人体芯片反馈的携带有用户信息及签名信息、第二随机数和第一报文摘要的加密数据包,将解析获得的第二随机数与本地存储的第二随机数比对,根据比对结果与所述人体芯片完成认证。
为便于理解本发明所提供的智能终端认证系统的实际应用流程,以下请参考图4和图5所示,对本发明所提供的智能终端认证系统做一实例说明:
在以下流程前,会有发起终端(比如pos机等)向智能终端发起业务请求,携带业务信息指令。业务信息指令触发以下流程:
1.智能终端通过RFID读写器向人体芯片上的RFID电子标签发送认证请求;
2.RFID电子标签收到请求后向读写器发送随机数B;
3.读写器收到随机数B后发送以国密SM2算法用要验证的密钥(人体芯片公钥)加密B的数据包,并包括了自身生成的随机数A;
4.RFID电子标签使用自身的人体芯片私钥进行解密,验证随机数B是否与之前发出的一致;
5.验证通过,则通知人体芯片处理核心单元将用户生物识别信息、签名信息返回RFID电子标签进行加密处理;
6.RFID电子标签按照以下表3格式组织信息,并将明文通过国密SM3 HASH算法转换成报文摘要,报文摘要用人体芯片私钥加密后与明文一起传送给智能终端:
表3
信息名称 说明
用户指纹 二进制格式
用户人脸信息 二进制格式
用户签名 用户的手写签名,二进制格式
随机数A 智能终端在“3.”步骤传过来的
信息摘要 以上字段属于“明文”,摘要是HASH运算的结果
7.智能终端使用人体芯片公钥解密数据包,将解密后的明文通过国密SM3HASH算法产生新的报文摘要与发送方的报文摘要,比较结果一致,则代表明文没有被篡改或是来自期望的发送方;同时验证之前发出的随机数A是否一致,以完成双方的密钥(身份)认证闭环。智能终端将用户信息(包括用户签名、用户指纹、用户人脸等),以及自身之前的业务信息指令一起通过广域网等传输方式上送金融机构业务处理装置。
8.业务信息指令用金融机构加密公钥加密,此金融机构可以是银联也可以是一般金融机构。由于在前面设计中,智能终端作为独立运算单元持有金融机构根ca发行的证书,所以拥有对应业务权限,从而能发送对应业务信息指令。
9.业务处理装置校验用户生物识别信息(指纹,人脸)与之前用户登记在金融机构业务处理装置中的是否一致;并对用户签名信息直接用以电子签章、后督等机构本身的业务处理。
在该实施例中,用户信息集中在人体芯片上存储,方便扩展到更广泛场景,比如:签订商户协议的时候,感应人体芯片,即可将该客户签名值直接用以电子签名确认;用户只需要使用人体芯片感应下即可完成目前在诸多场景下需要用指纹仪、摄像头等验证身份的操作。
本发明的有益技术效果在于:将用户的智能终端和人体芯片通过事先注入的密钥、证书建立N:1的绑定关系,使用时进行交互验证,防止遗失智能终端(包括ic卡等)后被盗刷,同时也可省略输入密码等环节,并同时人体芯片带有生物识别和手写签名信息,可直接上送对应贵宾客户的生物识别信息和手写签名信息,节约操作步骤,提高客户体验。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
如图6所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理单元130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图6中所示的所有部件;此外,电子设备600还可以包括图6中没有示出的部件,可以参考现有技术。
如图6所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机110。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)110还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种智能终端认证方法,其特征在于,所述方法应用于智能终端,包含:
获取业务请求,根据所述业务请求向人体芯片发送认证请求;
根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片;
接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密后的明文通过预定算法生成第二报文摘要;
将所述第二报文摘要和所述第一报文摘要进行比对验证,当验证通过后,将所述用户信息及签名信息和所述业务请求上传至金融机构处理装置进行业务处理。
2.根据权利要求1所述的智能终端认证方法,其特征在于,根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片包含:
根据所述人体芯片反馈的第一随机数触发生成第二随机数,将所述第二随机数存储至本地;
通过人体芯片密钥对所述第一随机数和所述第二随机数加密生成验证请求;
将所述验证请求发送至所述人体芯片。
3.根据权利要求2所述的智能终端认证方法,其特征在于,接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密生成第二报文摘要包含:
接收并解析人体芯片反馈的携带有用户信息及签名信息、第二随机数和第一报文摘要的加密数据包,将解析获得的第二随机数与本地存储的第二随机数比对,根据比对结果与所述人体芯片完成认证。
4.一种智能终端认证方法,其特征在于,所述方法应用于人体芯片,所述人体芯片预存有人体芯片公私密钥对、用户信息及签名信息,包含:
接收认证请求并根据所述认证请求生成第一随机数,将所述第一随机数反馈至所述认证请求发送端;
根据所述第一随机数验证接收到的验证请求;
当验证通过后,根据所述用户信息及签名信息生成第一报文摘要,将所述第一报文摘要、所述用户信息及签名信息加密生成加密数据包,将所述加密数据包反馈至验证请求发送端。
5.根据权利要求4所述的智能终端认证方法,其特征在于,所述方法还包含:获得所述验证请求中的第二随机数,将所述第二随机数随所述第一报文摘要、所述用户信息及签名信息一同加密至所述加密数据包后反馈至验证请求发送端。
6.一种智能终端认证系统,其特征在于,所述系统包含人体芯片、金融机构处理装置和一个或多个智能终端;
所述人体芯片存储外部写入的人体芯片公私密钥对、用户信息及签名信息;
所述智能终端获取业务请求,根据所述业务请求向人体芯片发送认证请求;
所述人体芯片接收认证请求并根据所述认证请求生成第一随机数,将所述第一随机数反馈至所述智能终端;
所述智能终端根据所述人体芯片反馈的第一随机数生成验证请求,将所述验证请求发送至所述人体芯片;
所述人体芯片根据所述第一随机数验证接收到的验证请求,当验证通过后,根据所述用户信息及签名信息生成第一报文摘要,将所述第一报文摘要、所述用户信息及签名信息加密生成加密数据包,将所述加密数据包反馈至所述智能终端;
所述智能终端接收人体芯片反馈的携带有用户信息及签名信息和第一报文摘要的加密数据包,对所述加密数据包解密后的明文通过预定算法生成第二报文摘要;以及,将所述第二报文摘要和所述第一报文摘要进行比对验证,当验证通过后,将所述用户信息及签名信息和所述业务请求上传至金融机构处理装置;
所述金融机构处理装置将接收到的所述用户信息及签名信息与本地存储的认证信息进行比较;当比较通过后,根据所述业务请求执行对应的业务处理。
7.根据权利要求6所述的智能终端认证系统,其特征在于,所述系统还包含:
所述智能终端根据所述人体芯片反馈的第一随机数触发生成第二随机数,将所述第二随机数存储至本地;以及,通过人体芯片密钥对所述第一随机数和所述第二随机数加密生成验证请求;将所述验证请求发送至所述人体芯片;
所述人体芯片获得所述验证请求中的第二随机数,将所述第二随机数随所述第一报文摘要、所述用户信息及签名信息一同加密至所述加密数据包后反馈至所述智能终端;
所述智能终端接收并解析人体芯片反馈的携带有用户信息及签名信息、第二随机数和第一报文摘要的加密数据包,将解析获得的第二随机数与本地存储的第二随机数比对,根据比对结果与所述人体芯片完成认证。
8.根据权利要求6或7所述的智能终端认证系统,其特征在于,所述用户信息包含用户签名和用户生物特征信息;所述预定算法为国密SM3 HASH算法。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至5任一所述方法的计算机程序。
CN202010521658.2A 2020-06-10 2020-06-10 智能终端认证方法及系统 Active CN111709747B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010521658.2A CN111709747B (zh) 2020-06-10 2020-06-10 智能终端认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010521658.2A CN111709747B (zh) 2020-06-10 2020-06-10 智能终端认证方法及系统

Publications (2)

Publication Number Publication Date
CN111709747A true CN111709747A (zh) 2020-09-25
CN111709747B CN111709747B (zh) 2023-08-18

Family

ID=72539555

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010521658.2A Active CN111709747B (zh) 2020-06-10 2020-06-10 智能终端认证方法及系统

Country Status (1)

Country Link
CN (1) CN111709747B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112417424A (zh) * 2020-12-02 2021-02-26 中国电力科学研究院有限公司 一种电力终端的认证方法及系统
CN114786177A (zh) * 2022-04-07 2022-07-22 武汉联影医疗科技有限公司 边缘节点接入处理方法、移动终端和边缘节点

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103854180A (zh) * 2012-12-05 2014-06-11 中国银联股份有限公司 信用凭证生成方法及其系统、应用授权方法及其系统
CN106487511A (zh) * 2015-08-27 2017-03-08 阿里巴巴集团控股有限公司 身份认证方法及装置
CN107248075A (zh) * 2017-05-19 2017-10-13 飞天诚信科技股份有限公司 一种实现智能密钥设备双向认证和交易的方法及装置
US20180205557A1 (en) * 2015-09-14 2018-07-19 Alibaba Group Holding Limited Identity authentication using a wearable device
CN110290102A (zh) * 2019-04-26 2019-09-27 武汉众邦银行股份有限公司 基于应用的业务安全系统及方法
CN110933109A (zh) * 2019-12-17 2020-03-27 中国建设银行股份有限公司 小程序动态认证方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103854180A (zh) * 2012-12-05 2014-06-11 中国银联股份有限公司 信用凭证生成方法及其系统、应用授权方法及其系统
CN106487511A (zh) * 2015-08-27 2017-03-08 阿里巴巴集团控股有限公司 身份认证方法及装置
US20180205557A1 (en) * 2015-09-14 2018-07-19 Alibaba Group Holding Limited Identity authentication using a wearable device
CN107248075A (zh) * 2017-05-19 2017-10-13 飞天诚信科技股份有限公司 一种实现智能密钥设备双向认证和交易的方法及装置
CN110290102A (zh) * 2019-04-26 2019-09-27 武汉众邦银行股份有限公司 基于应用的业务安全系统及方法
CN110933109A (zh) * 2019-12-17 2020-03-27 中国建设银行股份有限公司 小程序动态认证方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112417424A (zh) * 2020-12-02 2021-02-26 中国电力科学研究院有限公司 一种电力终端的认证方法及系统
CN114786177A (zh) * 2022-04-07 2022-07-22 武汉联影医疗科技有限公司 边缘节点接入处理方法、移动终端和边缘节点
CN114786177B (zh) * 2022-04-07 2023-05-30 武汉联影医疗科技有限公司 边缘节点接入处理方法、移动终端和边缘节点

Also Published As

Publication number Publication date
CN111709747B (zh) 2023-08-18

Similar Documents

Publication Publication Date Title
US10595201B2 (en) Secure short message service (SMS) communications
US11102007B2 (en) Contactless card emulation system and method
US11776348B2 (en) Contactless card personal identification system
US20210258166A1 (en) Systems and methods for cryptographic authentication of contactless cards
CN112602104A (zh) 用于非接触卡的密码认证的系统和方法
CN103036681B (zh) 一种密码安全键盘装置及系统
JP2022502901A (ja) 非接触カードの暗号化認証のためのシステムおよび方法
US20200396078A1 (en) Systems and methods for cryptographic authentication of contactless cards
CN113168631A (zh) 用于非接触卡的密码认证的系统和方法
US20200266993A1 (en) Systems and methods for cryptographic authentication of contactless cards
CN111709747B (zh) 智能终端认证方法及系统
US11562346B2 (en) Contactless card with multiple rotating security keys
JP2022501861A (ja) 非接触カードの暗号化認証のためのシステムおよび方法
KR102076313B1 (ko) 무선단말의 유심기반 전자서명 처리 방법
CN103839018A (zh) 基于音频输入输出接口的数据传递方法与装置
KR102358598B1 (ko) 비접촉 매체를 이용한 2채널 인증 방법
KR102078319B1 (ko) 통신사의 유심기반 전자서명 처리 방법
KR102149313B1 (ko) 유심기반 전자서명 처리 방법
KR20150023144A (ko) 유심을 이용한 전자서명 처리 방법
CN114048246A (zh) 客户尽职调查数据的处理方法、装置及系统
KR102149315B1 (ko) 금융사의 유심기반 전자서명 처리 방법
CN116015627A (zh) 一种基于对称算法的人脸识别防篡改方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant