基于远近场数据交互的用户身份安全认证设备及认证方法
【技术领域】
[0001]本发明涉及身份安全认证全技术,特别涉及一种基于远近场数据交互的用户身份安全认证技术。
【背景技术】
[0002]随着全球经济的蓬勃发展及各类活动的国际化、扁平化,使得国内外交流也日益频繁,但随之而来的移动通信漫游费也大幅增长,同时用户对数据业务的暴发式需求,迫切期望有更快的移动网速。另一方面,随着智能手机普及和移动网络快速发展的今天,互联网金融风声水起、方兴未艾,来自权威数据:2014年商业银行体系的移动支付金额23万亿元,第三方支付机构移动支付金额达8万余亿元,但同时也面临P0S机数量短缺、受理环境不足以及频遭木马病毒盗窃账户资金的困境。
【发明内容】
[0003]本发明的目的是为了解决现有的手机支付安全性不高、P0S数量不足以及异地漫游费高和网速欠佳的问题。
[0004]为达到上述目的,本发明提供一种基于远近场数据交互的用户身份安全认证方法,其特征在于,包括如下步骤:
[0005]A.第一终端以业务码向服务器发起认证请求,认证请求中包括第一终端的身份码,服务器根据所述第一终端的身份码对第一终端进行认证,所述第一终端的身份码为唯一标识第一终端身份的标识信息,所述身份码与第一终端内置的若干身份密钥对应,一个身份密钥对应一个密钥编号;
[0006]B.服务器对第一终端身份码验证通过后生成随机码,然后选取第一终端身份码对应的任一身份密钥及其对应加密算法,并以所述身份密钥及加密算法与所述随机码运算后得到第一加密数据,其后将所述第一加密数据和所述身份密钥对应的密钥编号以及本次第二终端的动态鉴权次数η发送给第一终端,同时备份所述随机码及第一加密数据和动态鉴权次数η,记录所述随机码与第一终端身份码的对应关系;
[0007]C.第二终端随机生成接入码,当第一终端通过非接触方式采集所述接入码后,便触发第一终端根据接收到的所述密钥编号查找对应的内置身份密钥,并利用内置解密算法及所述内置身份密钥对接收的第一加密数据进行解密运算获得所述随机码,随后依据所述接入码通过近场通信将所述随机码及动态鉴权运算次数η发送给第二终端,与此同时触发对第二终端认证数据返回时间的计时或计数;
[0008]D.第二终端将接收的动态鉴权运算次数的数字η与第二终端内置身份密钥经其内置鉴权算法运算得到本次变型身份密钥,然后第二终端根据接收的所述随机码与所述变型身份密钥经所述内置鉴权算法进行第一次鉴权运算得到第一鉴权响应值,随后再以所述第一鉴权响应与所述变型身份密钥经所述内置鉴权算法进行第二次鉴权运算得到第二鉴权响应值,再以此第二鉴权响应值与所述变型身份密钥经所述内置鉴权算法进行第三次鉴权运算得到第三鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,其后将所述第η个鉴权响应值和第二终端的身份码发送给第一终端,所述第二终端的身份码为唯一标识第二终端身份的标识信息,所述身份码与第二终端的内置身份密钥唯一对应,第二终端只有一个唯一的内置身份密钥;
[0009]Ε.第一终端任选一内置身份密钥并以内置加密算法对第二终端返回认证数据的时间或期间的计数脉冲进行加密得到第二加密数据,然后将所述的第η个鉴权响应值、第一终端的身份码、第二终端的身份码以及第二加密数据和第二加密数据密钥对应的密钥编号发送给服务器;
[0010]F.服务器接收第一终端发送的数据,服务器根据接收数据中第一终端的身份码查询本次第二终端的动态鉴权次数η,同时将接收数据中第二终端身份码查询对应的身份密钥及鉴权算法与所述数字η进行运算得到本次变型身份密钥,然后将发送给第一终端身份码的所述备份随机码与所述变型身份密钥经鉴权算法进行第一次鉴权运算得到第一鉴权响应值,再将所述第一鉴权响应值与所述变型身份密钥经鉴权算法进行第二次鉴权运算得到第二鉴权响应值,又以此第二鉴权响应值与所述变型身份密钥经鉴权算法进行第三次鉴权运算得到第三鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,然后将第一终端发送数据中的第一终端身份码及其密钥编号查询的身份密钥及解密算法与所述第二加密数据进行解密运算得到第二终端的身份认证时间或计数脉冲,若第一终端发送数据中的所述第η个鉴权响应值与服务器经η次鉴权运算后获得的所述第η个鉴权响应值相同,且对第二加密数据解密得到所述η次动态鉴权对应的时间或计数脉冲小于规定值,则通过对第一终端及第二终端的认证。
[0011 ] 作为本发明的一种应用,所述第一终端为收款终端,所述第二终端为付款终端,服务器向收款终端发送所述第一加密数据时,步骤Β中,服务器选取收款终端任一身份密钥及其算法对随机码进行加密得到第一加密数据之后对所述随机码及第一加密数据进行备份,同时在收款终端收到释放近场通信设备及扫描设备闭锁指令后开启其数据采集功能,并在采集到接入码后将其近场通信设备及无线数据通信设备锁定,以使其不被其他进程修改或关闭,步骤C中,收款终端对服务器发送的第一加密数据备份,步骤Ε中,收款终端向服务器发送的数据包括交易金额,收款终端完成向服务器发送认证数据后关闭其近场通信设备及扫描设备的数据采集功能,步骤F中,服务器完成对收款终端及付款终端身份认证后,从付款终端绑定的银行卡中向收款终端绑定的银行卡或信用卡中划付交易对应的金额。将本发明的方案应用于手机收付款,手机除作为付款终端外还可以作收款终端,有效解决了P0S数量不足的问题。
[0012]进一步地,步骤D中,第二终端在所述接入码的近场通信中仅能收到一个所述的随机码,否则结束进程;步骤F中,交易完成后,服务器以所述备份的第一加密数据作为短信验证码向第一终端发送交易回执的短信通知,第一终端将收到所述短信的验证码与其备份的第一加密数据进行比对,若两者不一致,则提示用户本条短信信息为造假信息。
[0013]以上的方案主要用于近场通信,理所当然,第一终端及第二终端都必须具备近场通信的功能,常用的近场通信包括NFC、蓝牙、wifi及声波、光波。除支付功能外,本发明的方法还可以应用于公交、地铁刷卡及智能门禁。
[0014]对应于上述近场数据交互,本发明提供的基于远近场数据交互的用户身份安全认证第一终端,其特征在于,包括:
[0015]认证请求模块,向服务器发起认证请求,认证请求中包括第一终端的身份码,所述第一终端的身份码为唯一标识第一终端身份的标识信息,所述身份码与第一终端内置的若干身份密钥对应,一个身份密钥对应一个密钥编号;
[0016]解码模块,用于对收到数据中的第一加密数据进行备份,同时仅当第一终端扫描设备采集到第二终端的接入码后,第一终端才对接收到的所述密钥编号查找其内置身份密钥,并利用内置解码算法及所述身份密钥对收到的第一加密数据进行解码运算获得所述随机码;
[0017]终端数据设备锁定模块,用于第一终端在采集接入码后将其近场通信设备及无线数据通信设备锁定,以使其不被其他进程修改或关闭;
[0018]身份鉴权计时或计数模块,用于在第一终端在向第二终端发送认证数据后,便开始对第二终端认证数据返回时间的计时或计数;
[0019]近场通信模块,用于与第二终端进行近场数据传输;
[0020]加密模块,用于任选第一终端内置身份密钥并以内置加密算法对第二终端返回认证数据的时间或期间的计数脉冲进行加密得到第二加密数据,然后将第二终端的第η个鉴权响应值、第二终端的身份码及第一终端的身份码、第二加密数据和第二加密数据密钥对应的密钥编号发送给服务器;
[0021]存储模块,用于存储第一终端的身份码与第一终端内置的若干身份密钥及身份密钥与密钥编号的对应关系数据;
[0022]数据采集解锁及闭锁模块,用于第一终端收到服务器解锁指令后,开启近场通信设备及扫描设备的数据采集功能,并在第一终端完成向服务器发送认证数据后,关闭近场通信设备及扫描设备的数据采集功能;
[0023]短信信息验证模块,用于将收到的短信嵌入的第一加密数据与本机存留的第一加密数据进行比对,若两者不一致,则提示用户本条短信信息为造假信息。
[0024]基于远近场数据交互的用户身份安全认证第二终端,其特征在于,包括:
[0025]接入码产生模块,用于随机生成接入码,用于近场通信终端间的通道接入;
[0026]随机码个数鉴别模块,用于第二终端在一次身份认证进程中鉴别收到随机码的个数,在所述接入码的近场通信中,第二终端只能且仅允许收到一个随机码,否则结束认证进程;
[0027]身份鉴权及次数识别模块,用于第二终端根据接收并辨识动态鉴权运算的次数η,以及根据所述数字η与第二终端内置身份密钥经其内置鉴权算法运算得到本次变型身份密钥,然后根据接收的所述随机码与所述变型身份密钥经其内置鉴权算法进行第一次鉴权运算得到第一鉴权响应值,再以所述第一鉴权响应值与所述变型身份密钥经其内置鉴权算法进行第二次鉴权运算得到第二鉴权响应值,又以此第二鉴权响应值与所述变型身份密钥经其内置鉴权算法进行第三次鉴权运算得到第三鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,其后将所述第η个鉴权响应值和第二终端的身份码发送给第一终端,所述第二终端的身份码为唯一标识第二终端身份的标识信息,所述身份码与第二终端的内置身份密钥唯一对应,第二终端只有一个唯一的内置身份密钥;
[0028]存储模块,用于存储第二终端的身份码与第二终端的内置身份密钥及内置鉴权算法数据。
[0029]基于远近场数据交互的用户身份安全认证服务器,其特征在于,包括:
[0030]加密模块,用于对第一终端身份码验证通过后生成随机码,选取第一终端身份码对应的任一身份密钥及其对应加密算法,并以所述身份密钥及加密算法与所述随机码运算后得到第一加密数据,将所述第一加密数据连同所述身份密钥对应的密钥编号及本次对第二终端的动态鉴权次数η发送给第一终端;
[0031]第一终端、第二终端身份认证模块,用于服务器根据接收数据中第一终端的身份码查询本次第二终端的动态鉴权次数η,同时将接收数据中的第二终端身份码查询其对应的身份密钥及鉴权算法与所述数字η进行运算得到本次变型身份密钥,然后将第一终端身份码对应的所述备份随机码与所述变型身份密钥经鉴权算法进行第一次鉴权运算得到第一鉴权响应值,再将所述第一鉴权响应值与所述变型身份密钥经所述鉴权算法进行第二次鉴权运算得到第二鉴权响应值,又以此第二鉴权响应值与所述变型身份密钥经所述鉴权算法进行第二次鉴权运算得到第二鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,其后将收第一终端发送数据中的第一终端身份码及其密钥编号查询对应的身份密钥及解密算法与所述第二加密数据进行解密运算获得第二终端的身份认证时间或计数脉冲,若第一终端发送数据中的所述第η个鉴权响应值与服务器经η次鉴权运算后获得的第η个鉴权响应值相同,且对第二加密数据解密后得到所述η次动态鉴权对应的时间或计数脉冲小于规定值,则完成对第一终端及第二终端的认证;
[