专利名称:可应用于移动通讯设备的可信计算平台芯片及其认证方法
技术领域:
本发明涉及信息安全领域和移动支付领域以及生物识别领域,尤其是一种可应用 于移动通讯设备的可信计算平台芯片及其认证方法,通过把三种领域内的技术融合,而实 现一个创新性产品,可以广泛应用于移动支付和安全电脑场合。
背景技术:
移动支付是现代电子支付的表现形式之一,它是通过手机提供支付服务的移动增 值服务。通过移动支付能完成银行转账、缴费和购物等商业活动。移动支付包括在线远程 移动支付和非接触式移动支付。非接触式移动支付指用户在消费现场使用手机和POS终端 通过近现场通信技术,采用非接触的方式来完成支付。在线远程移动支付,主要是通过网络 来实现和远程服务器的交互来实现转账,支付等操作。非接触式移动支付技术是通过SIM卡和近现场通信技术结合来实现的,目前的近 现场通信技术主要有三种,DI (双界面卡),RF (射频)和NFC (近距离通信)。DI和NFC工 作在13. 56MHz, RF工作在2. 4GHz。这三种技术因为都只是在现有的SIM卡上增加了近距 离传输功能,功能有限,安全性不高,只具备基本的安全属性,一般只用于小额支付的情况, 缺乏对高安全环境的支持,尤其对银行支付类产品的支持。TPM安全芯片,是一种符合TPM(可信平台模块)安全标准的芯片,用来保护计算机 设备不受入侵。是一种高安全的芯片,支持目前安全体系中最高的安全等级。TPM安全标准 由TCG (可信计算组织)制定,其宗旨是从硬件和软件两方面,建立跨平台、跨操作环境的安 全、可信赖的硬件运算平台。目前最新的TPM规范为VI. 2版本。TPM安全芯片拥有内部处 理器和存储单元,可以独立生成密钥、存储密钥和特征数据、进行加解密运算,既是密钥生 成器、又是密钥管理器件,还提供了统一的编程接口(即TPM软件与TPM芯片进行交流的底 层端口),为计算机提供加密和安全认证服务。TPM芯片模组结构如图1所示,主要包括如下功能模块1、基于PKI体系的密钥生成,其中包括真随机数(Cl),RSA密钥对的生成和运算 (C3)。2、通信安全机制,包括MAC运算和HASH算法(C2)等。3、数据高速加密解密引擎(C6),一般至少支持硬件DES/3DES运算。4、数据安全存储,内部可以存放密钥对等重要数据(C8,C9,C4)。5、芯片物理防护技术,防探测、防解剖,具有极强的抗攻击能力(C7)。6、通过LPC接口和主机通信。主机可以是电脑,也可以是其它安全设备。指纹和TPM技术结合的芯片现在已经出现,在TPM芯片中植入了指纹运算引擎,用 指纹信息取代密码,以指纹的唯一性、不可替代性,增强TPM芯片的抗攻击能力。增加了指 纹功能的TPM芯片的模组结构如图2所示。为了实现上述目的所采取的技术方案是1、在同一个芯片内部实现TPM和指纹技 术,在TPM内植入指纹引擎,此指纹引擎负责指纹采集、录入和比对。并且所有工作都在TPM芯片内执行。2、增加片内易失性存储(用于运算)和非易失性存储(存储指纹模版)空间, 以适应额外开销。3、在命令执行单元中把以前基于密码系统的权限控制,修改为基于指纹 的权限控制。4、修改设置密码和比对密码流程为指纹录入和比对流程。现有移动支付方式安全性低,只能用于小额支付,没使用PKI技术,不能进行远程 支付。移动支付在安全性上的提高需要依赖于整个SIM芯片安全性的提高。TPM支持PKI 技术,芯片本身的安全性足够,因此把TPM芯片应用于SIM卡市场是安全可行的,同时在移 动支付平台还没有和指纹结合的方案,通过指纹的唯一性和随身性,可以把以前以物为主 的认证方式,修改为以人为主,提高整个系统的安全性,随着WAP2. 0的使用,远程支付也变 得指日可待。
发明内容
本发明要解决上述现有技术的缺点,提供一种可应用于移动通讯设备的可信计算 平台芯片及其认证方法,把TPM技术和指纹识别技术结合,把TPM技术和移动支付结合,通 过近距离通信技术,在一个芯片内实现TPM和移动现场支付功能,同时指纹技术的加入使 得交易的安全性提高,通过和WAP2. 0技术的结合,实现远程支付。本发明解决其技术问题采用的技术方案这种可应用于移动通讯设备的可信计算 平台芯片,设有基于PKI体系的密钥生成模块、数据高速加密解密引擎模块、数据安全存储 模块、芯片物理防护模块以及指纹处理引擎模块、支持SIM卡操作的SCSI接口模块和近距 离传输模块,指纹处理引擎模块、SCSI接口模块和近距离传输模块均与通信总线相连接,芯 片封装成SIM卡形式或TPM形式。进一步的,所述近距离传输模块是RF、DI或NFC。进一步的,封装成SIM卡形式的所述芯片设有作为天线的C4和C8两个触点。进一步的,所述芯片还包括有通信安全机制。本发明所述的可应用于移动通讯设备的可信计算平台芯片的认证方法,步骤如 下(1)、在进行移动支付前,手机端生成一对公私钥及对应的由CA颁发的证书,用户 拥有了自己的证书后,进行后续的手机支付操作,在用户每次登陆移动支付业务系统前,需 要进行对用户的身份认证;(2)、在身份认证通过后,用户使用支付系统进行移动支付;当近现场支付时,和现 有的移动支付方式相同,当大额支付或远程支付时,则需要身份认证;(3)、在以上基于PKI的操作中,每次请求之前都需要指纹的介入,由指纹处理引 擎模块实现指纹特征的录入和指纹的比对,主控芯片采集好指纹图像后导入到SIM卡芯片 中提取特征并搜索比对,比对通过才进行后续操作。进一步的,手机端公私钥及证书的生成过程具体如下(1)、用户发送认证请求,请求中携带用户信息;(2)、CA服务器通过运营商的BOSS系统对用户身份进行认证;(3)、认证通过后,向手机返回确认;(4)、手机端的密钥生成模块生成一对公私钥对(SK,PK);(5)、手机将生成的公钥PK及用户信息用CA的公钥进行加密,发送给CA服务器,请求生成证书;(6)、CA服务器接受到请求后,生成用户证书,并将生成的证书发送给手机端,证书 中有CA服务器的签名;(7)、手机收到证书后,用CA服务器的公钥验证签名,如果验证通过,即说明该证 书已成功生成,将其保存。进一步的,身份认证过程如下(1)、手机发送接入请求,请求中包含用户信息;(2)、支付系统生成随机数R,并用该用户的公钥进行加密ER = Enc (R, PK) JfER 发送给手机端;(3)、手机收到经过加密的随机数ER,用自己的私钥SK对ER进行解密获得R,并将 解密后的随机数用支付系统的公钥加密DER = Enc (R,PK),返回给支付系统;(4)、支付系统收到DER后,用自己的私钥解密,验证得到的随机数R’是否等于R, 如果是,则通过对用户的身份认证。进一步的,数字签名支付过程如下(1)、用户用自己的私钥SK将购买信息的指令TxT进行签名SignedTXT = Sign (TxT, SK),将其发送给支付系统,同时发送的还有用户基本信息;(2)、支付系统根据用户信息找到用户的证书,验证证书的有效期信息;(3)、支付系统再用用户证书中的公钥PK对SignedTXT进行解密,验证用户的签名 是否正确;(4)、验证通过后,进行后续的支付操作。进一步的,在移动支付过程中,在会话之前需要建立安全通道,安全通道的建立涉 及到公钥体系中的加解密过程,流程如下(1)、服务器生成随机数R作为手机与服务器之间的会话密钥,并用用户的公钥PK 对R进行加密ER = Enc (R,PK);(2)、服务器用R加密需要加密的会话内容TXT,CyberTXT = Enc (TXT, R);(3)、服务器将ER与CyberTXT发送给手机。(4)、手机收到后,用私钥解密ER,获得会话密钥R ;(5)、手机用 R 解密 CyberTXT,获得 TXT。本发明有益的效果是1. TPM和SIM卡技术结合,实现SIM卡的高安全性。2. SIM 卡和指纹结合,实现用指纹来开启SIM卡的支付功能,实现高安全性。3.实现SIM卡的远程 支付功能。4.指纹操作都在芯片内完成,保证系统的安全。5. TPM和指纹结合,实现TPM芯 片生物认证的安全性。6.芯片中集成近距离通信模块,实现移动现场支付。7.通过不同的 封装形式,同一个芯片可以工作在TPM模式,也可以工作在SIM模式。8. SIM卡支持PKI功 能,实现证书和签名功能。
图1是现有技术1的TPM芯片模组结构示意图;图2是现有技术2的指纹TPM芯片模组结构示意图;图3是本发明的系统方框结构示意图4是本发明SIM卡封装图;图5是本发明指纹录入流程示意图;图6是本发明指纹比对流程示意图;图7是本发明SIM卡方式指纹认证示意图;图8是本发明手机申请证书流程示意图;图9是本发明身份认证过程示意图;图10是本发明数字签名过程示意图;图11是本发明安全通道的建立示意图。
具体实施例方式下面结合附图和实施例对本发明作进一步说明如图3所示,这种可应用于移动通讯设备的可信计算平台芯片,把TPM的高安全性 和近距离传输技术结合,指纹技术的加入,使得设备和人进行绑定,大大加强了 SIM卡的安 全性。本发明的重点是在普通TPM芯片上增加指纹处理引擎模块、支持SIM卡操作的SCSI 接口模块和近距离传输模块。指纹处理引擎模块、SCSI接口模块和近距离传输模块均与通 信总线相连接,芯片封装成SIM卡形式或TPM形式,并且同时支持接触式和非接触式操作。 现在常见的近距离传输模块为RF,DI和NFC。作为SIM卡时,PIN封装如图4所示根据IS0/IEC7816标准,SIM卡通常有8个 触点CfC8,普通SIM卡通常只用到了其中的Cl、C2、C3、C5、C7共5个触点,对于增加了近 距离传输模块的卡,还需要用到其中的C4和C8两个触点作为天线。管脚定义如下表1移动支付SIM卡管脚定义
权利要求
一种可应用于移动通讯设备的可信计算平台芯片,其特征在于所述芯片设有基于PKI体系的密钥生成模块、数据高速加密解密引擎模块、数据安全存储模块、芯片物理防护模块以及指纹处理引擎模块、支持SIM卡操作的SCSI接口模块和近距离传输模块,所述指纹处理引擎模块、SCSI接口模块和近距离传输模块均与通信总线相连接,所述芯片封装成SIM卡形式或TPM形式。
2.根据权利要求1所述的可应用于移动通讯设备的可信计算平台芯片,其特征是所 述近距离传输模块是RF、DI或NFC。
3.根据权利要求1所述的可应用于移动通讯设备的可信计算平台芯片,其特征是封 装成SIM卡形式的所述芯片设有作为天线的C4和C8两个触点。
4.根据权利要求1所述的可应用于移动通讯设备的可信计算平台芯片,其特征是所 述芯片还包括有通信安全机制。
5.一种采用权利要求1所述的可应用于移动通讯设备的可信计算平台芯片的认证方 法,其特征在于(1)、在进行移动支付前,手机端生成一对公私钥及对应的由CA颁发的证书,用户拥有 了自己的证书后,进行后续的手机支付操作,在用户每次登陆移动支付业务系统前,需要进 行对用户的身份认证;(2)、在身份认证通过后,用户使用支付系统进行移动支付;当近现场支付时,和现有的 移动支付方式相同,当大额支付或远程支付时,则需要身份认证;(3)、在以上基于PKI的操作中,每次请求之前都需要指纹的介入,由指纹处理引擎模 块实现指纹特征的录入和指纹的比对,主控芯片采集好指纹图像后导入到SIM卡芯片中提 取特征并搜索比对,比对通过才进行后续操作。
6.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法,其 特征在于手机端公私钥及证书的生成过程具体如下(1)、用户发送认证请求,请求中携带用户信息;(2)、CA服务器通过运营商的BOSS系统对用户身份进行认证;(3)、认证通过后,向手机返回确认;(4)、手机端的密钥生成模块生成一对公私钥对(SK,PK);(5)、手机将生成的公钥PK及用户信息用CA的公钥进行加密,发送给CA服务器,请求 生成证书;(6)、CA服务器接受到请求后,生成用户证书,并将生成的证书发送给手机端,证书中有 CA服务器的签名;(7)、手机收到证书后,用CA服务器的公钥验证签名,如果验证通过,即说明该证书已 成功生成,将其保存。
7.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法,其 特征在于身份认证过程如下(1)、手机发送接入请求,请求中包含用户信息;(2)、支付系统生成随机数R,并用该用户的公钥进行加密ER= Enc (R,PK),将ER发送 给手机端;(3)、手机收到经过加密的随机数ER,用自己的私钥SK对ER进行解密获得R,并将解密后的随机数用支付系统的公钥加密DER = Enc (R,PK),返回给支付系统;(4)、支付系统收到DER后,用自己的私钥解密,验证得到的随机数R’是否等于R,如果 是,则通过对用户的身份认证。
8.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法,其 特征在于数字签名支付过程如下(1)、用户用自己的私钥SK将购买信息的指令TxT进行签名SignedTXT= Sign (TxT, SK),将其发送给支付系统,同时发送的还有用户基本信息;(2)、支付系统根据用户信息找到用户的证书,验证证书的有效期信息;(3)、支付系统再用用户证书中的公钥PK对SignedTXT进行解密,验证用户的签名是否 正确;(4)、验证通过后,进行后续的支付操作。
9.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法,其 特征在于在移动支付过程中,在会话之前需要建立安全通道,安全通道的建立涉及到公钥 体系中的加解密过程,流程如下(1)、服务器生成随机数R作为手机与服务器之间的会话密钥,并用用户的公钥PK对R 进行加密 ER = Enc (R,PK);(2)、服务器用R加密需要加密的会话内容TXT,CyberTXT= Enc (TXT, R);(3)、服务器将ER与CyberTXT发送给手机。(4)、手机收到后,用私钥解密ER,获得会话密钥R;(5)、手机用R解密CyberTXT,获得TXT。
全文摘要
本发明涉及一种可应用于移动通讯设备的可信计算平台芯片及其认证方法,设有基于PKI体系的密钥生成模块、数据高速加密解密引擎模块、数据安全存储模块、芯片物理防护模块以及指纹处理引擎模块、支持SIM卡操作的SCSI接口模块和近距离传输模块,指纹处理引擎模块、SCSI接口模块和近距离传输模块均与通信总线相连接,芯片封装成SIM卡形式或TPM形式。本发明有益的效果是把TPM技术和指纹识别技术结合,把TPM技术和移动支付结合,通过近距离通信技术,在一个芯片内实现TPM和移动现场支付功能,同时指纹技术的加入使得交易的安全性提高,通过和WAP2.0技术的结合,实现远程支付。
文档编号H04L29/06GK101986641SQ20101051680
公开日2011年3月16日 申请日期2010年10月20日 优先权日2010年10月20日
发明者贺晓明, 邱柏云 申请人:杭州晟元芯片技术有限公司