身份认证方法
【专利摘要】本发明公开了一种安全认证方法,属身份认证领域。该方法包括:身份认证装置靠近身份认证移动终端通过NFC协议两者通信连接,从身份认证移动终端获取认证信息,并将认证信息显示在显示屏上;身份认证装置离开身份认证移动终端并断开与身份认证移动终端的通信连接,身份认证装置显示屏上显示的认证信息经用户确认后完成签名操作得到签名结果;得到签名结果的身份认证装置再次靠近身份认证移动终端通过NFC协议两者通信连接,将签名结果发送给身份认证移动终端以完成身份认证。该方法通过先联机、脱机确认、再次联机的方式,解决了基于NFC通信身份认证方式不方便操作,操作准确性不好,用户体验不佳的问题,其操作方便,操作准确性高,用户体验好。
【专利说明】身份认证方法
【技术领域】
[0001]本发明涉及身份认证领域,特别是涉及一种可在网银交易、电子政务、电子商务等领域使用的身份认证方法。
【背景技术】
[0002]目前随着智能手机的发展和普及,人们使用手机的频率和时间越来越多,大部分人基本是机不离身。越来越多用户的网购习惯从PC转移到了身份认证移动终端(如智能手机、智能移动终端等)上。身份认证移动终端的支付手段有支付宝、微信支付等纯软件方式,也有音频、蓝牙、苹果手机型的智能密码钥匙。纯软件方式的支付手段,安全性比较低,不适合大额消费、转账等操作;音频、蓝牙、苹果手机型的智能密码钥匙虽然安全性高,适合大额消费、转账等操作,但存在外形大,不便携带,交易操作也比较繁琐的缺点,用户体验较差,始终无法大规模使用。
[0003]基于NFC协议的设备越来越多,NFC功能已逐渐成为了移动终端的标配功能,因此基于NFC的产品也开始层出不穷。比如:基于NFC的门禁管理、基于NFC的近场支付、基于NFC的公交卡充值等。这些方案的身份认证方法通常是基于较为传统的身份认证方式,目前,尚未看到基于NFC技术的、所见即所签的认证方法。分析可能有以下原因:NFC技术的通信距离小于0.1m,身份认证移动终端的NFC天线通常是位于身份认证移动终端的背面。这两个问题致使:(I)安全产品与身份认证移动终端通信时,必须贴近身份认证移动终端的背面,否则通信失败。(2)安全产品放置身份认证移动终端背面,检查签名数据是否正确及按键确认这两个关键动作可操作性很差。由于存在以上问题,目前并没有由身份认证装置与身份认证移动终端NFC近距离通信协议实现身份认证的方法。
【发明内容】
[0004]基于上述现有技术所存在的问题,本发明提供一种操作方便,安全性高,可广泛应用于网银交易、电子政务、电子商务等领域的身份认证方法。
[0005]为解决上述技术问题,本发明提供一种安全认证方法,包括:
[0006]身份认证装置靠近身份认证移动终端通过NFC协议与所述身份认证移动终端通信连接,从所述身份认证移动终端获取认证信息,并将所述认证信息显示在该身份认证装置的显示屏上;
[0007]所述身份认证装置离开所述身份认证移动终端并断开与所述身份认证移动终端的通信连接,所述身份认证装置显示屏上显示的认证信息经用户确认后完成签名操作得到签名结果;
[0008]得到所述签名结果的所述身份认证装置再次靠近所述身份认证移动终端通过NFC协议与所述身份认证移动终端通信连接,将所述签名结果发送给所述身份认证移动终端以完成身份认证。
[0009]本发明的有益效果为:通过先联机、脱机确认、再次联机的方式,解决了基于NFC通信身份认证方式不方便操作,操作准确性不好,用户体验不佳的问题,该方法方便用户操作,提高操作准确性,提升用户体验,更加有利于基于NFC通信的身份认证产品推广。
【专利附图】
【附图说明】
[0010]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0011]图1为本发明实施例提供的认证方法流程图;
[0012]图2为本发明实施例提供的应用认证方法的系统示意图。
【具体实施方式】
[0013]下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
[0014]图1所示为本发明实施例提供的一种安全认证方法,用于由身份认证装置、身份认证移动终端和后台身份验证系统组成的系统中进行身份认证,其中,身份认证装置与身份认证移动终端能通过NFC协议以非接触方式通信连接,该方法包括以下步骤:
[0015]身份认证装置靠近身份认证移动终端通过NFC协议与身份认证移动终端通信连接,从身份认证移动终端获取认证信息,并将认证信息显示在该身份认证装置的显示屏上;
[0016]身份认证装置离开身份认证移动终端并断开与身份认证移动终端的通信连接,身份认证装置显示屏上显示的认证信息经用户确认后完成签名操作得到签名结果;
[0017]得到签名结果的身份认证装置再次靠近身份认证移动终端通过NFC协议与身份认证移动终端通信连接,将签名结果发送给身份认证移动终端以完成身份认证。
[0018]上述认证方法中,身份认证装置靠近身份认证移动终端为:身份认证装置根据身份认证移动终端的提示靠近身份认证移动终端。
[0019]上述认证方法中,确认后身份认证装置再次靠近身份认证移动终端为:身份认证装置根据身份认证移动终端的提示再次靠近身份认证移动终端。
[0020]上述认证方法中,身份认证装置从身份认证移动终端获取认证信息为:
[0021]身份认证装置接收身份认证移动终端发送的身份认证请求,解析身份认证请求得到身份认证数据作为认证信息。
[0022]上述认证方法中,将签名结果发送给身份认证移动终端以完成身份认证为:
[0023]身份认证移动终端接收签名结果,将签名结果携带身份验证请求中,向与该身份认证移动终端通信连接的后台身份验证系统发送;
[0024]并接收后台身份验证系统认证身份验证请求后回复的验证结果,来完成身份认证。
[0025]上述认证方法中,身份认证装置内设有经电池控制电路与各器件电连接的电池,所述电池控制电路能在所述身份认证装置离开所述身份认证移动终端时,控制接通所述电池为该身份认证装置的各器件供电的线路。
[0026]下面结合具体实施例对本发明的认证方法作进一步说明。
[0027]本发明介绍一种基于NFC技术的身份认证方法,该方法主要应用于由通信连接的身份认证装置、身份认证移动终端和后台身份验证系统构成的系统(如图2所示),其中,身份认证装置与身份认证移动终端能通过NFC协议以非接触方式通信连接。其针对NFC技术通信距离短、NFC天线通常处于身份认证移动终端后盖,认证时为确认身份认证装置显示的认证信息要翻转身份认证移动终端,导致身份认证体验差的问题,通过以联机、脱机确认、再联机的方式实现了身份认证操作,具有操作方便,安全性高的优点,可广泛应用于(但不限于)网银交易、电子政务、电子商务等领域进行身份认证。
[0028]该认证方法中,第一次联机是:身份认证装置根据身份认证移动终端的提示靠近身份认证移动终端,完成认证信息的采集工作;
[0029]脱机确认是:身份认证装置把采集到的、需要签名的信息显示到显示屏上供用户检查确认,并完成签名操作;此操作需要把身份认证装置从身份认证装置前端移开到用户方便的位置,以便完成检查和确认的动作;
[0030]再次联机:身份认证装置根据身份认证移动终端的提示再次靠近身份认证移动终端,把签名结果返回给身份认证移动终端,以使身份认证移动终端与后台身份验证系统完成身份认证过程。
[0031]通过以上三个步骤,可以方便地实现传统的所见即所签的签名效果。
[0032]本发明的身份验证方法所应用的系统中,各设备的作用如下:
[0033](I)身份认证移动终端:
[0034]身份认证移动终端可以是PC机、移动终端或者其他具有运算处理能力的设备。其具有与用户进行交互的能力、且可以与身份认证装置及后台身份验证系统进行通信的能力。其主要功能是:
[0035](11)与身份认证装置通信,向支持身份认证装置发起身份认证请求(如发起签名请求)、从身份认证装置端接收身份认证数据(如签名数据)。
[0036](12)与后台身份验证系统通信,向台退发送身份验证请求(如签名数据验证请求),接收后台身份验证系统验证结果。
[0037](2)身份认证装置:
[0038]支持NFC通信协议,有安全芯片、显示屏幕、按键、电池、电池控制电路及一些必要的外围电路组成。
[0039]电池控制电路连接在电池与各器件之间,能在该身份认证装置脱机状态下,为各器件供电。其控制方式可以为以下几种:(201)身份认证装置在用户确认,且移开身份认证装置前,由电池控制电路启动电池供电,身份认证装置在传送签名结果后,由电池控制电路切断电池供电,其余时间由NFC磁场供电,这种控制方式比较省电。(202)身份认证装置联机、脱机确认、再次联机的整个签名过程中,都由电池供电。因此,需要用户在使用身份认证装置之前,先通过按键启动电源或者其他方式触发电池供电,在签名交易结束后,用户主动关闭电源或者身份认证装置设定超时时间方式或者其他方式触发切断电源。(203)身份认证装置在用户确认,且移开身份认证装置前,由电池控制电路启动电池供电,身份认证装置在再次联机时,由电池控制电路切断电池供电,由NFC磁场供电,与(201)不同的是用户在脱机确认阶段身份认证装置只进行签名信息显示及确认单并不进行签名运算,而是在身份认证装置再次联机时再进行签名,签名计算过程由身份认证装置由NFC磁场供电,而非电池供电,进一步减少了脱机确认时电池的功耗。
[0040]身份认证装置具有运算处理能力及安全存储功能,主要用于存放非对称私钥及CA颁发的证书及数据签名操作。
[0041]身份认证装置的主要功能主要是完成所见即所签的签名操作,包括:
[0042](21)接收身份认证移动终端的身份认证请求,对身份认证数据进行解析,在显示屏上显示必要的信息,以供用户检查。
[0043](22)接受用户来自按键的响应;如果用户检查发现数据无误后,按下确认键,则对签名数据按签名的格式进行整理后进行签名(如直接签名或者计算HASH值后对HASH值进行签名)进行签名。
[0044](23)并把签名结果返回到身份认证移动终端。
[0045](3)后台身份验证系统:
[0046]设有后台服务器,可以验证身份验证前端设备发送过来的签名数据的正确性,并且根据需要完成相关业务的操作。其主要功能是:
[0047](31)与身份认证移动终端进行通信,接受来自身份认证移动终端的身份验证请求,身份验证请求数据有可能(但不限于)包括被签名的原始数据及签名数据,对签名数据进行验证签名;
[0048](32)完成验证签名对应的业务操作(比如网银交易的汇款操作);向身份认证前端设备返回验证结果。
[0049]以网银交易为例,对本发明的身份认证方法进行说明,具体流程为:
[0050](41)用户在身份认证移动终端输入金额、姓名、账号等交易信息,点击确认;
[0051](42)身份认证移动终端提示用户把身份认证装置贴到身份认证移动终端的后背,进行刷联机通信;
[0052](43)身份认证移动终端把交易信息以XML或者其它报文形式通过NFC接口发送到身份认证装置,即发起签名请求;
[0053](44)身份认证装置对XML格式或者其它格式的报文进行解析,得到显示数据,发送给显示屏显示,等待用户按确认键;
[0054](45)身份认证移动终端提示用户把身份认证装置拿开,并查看身份认证装置显示屏上的交易数据是否正确;
[0055](46)用户检查签名数据无问题后,按下确认键,身份认证装置对XML数据进行按签名的格式进行整理后进行签名(如直接签名或者计算HASH值后对HASH值进行签名);
[0056](47)用户把身份认证装置再放到身份认证移动终端后进行联机操作;
[0057](48)身份认证移动终端读取身份认证装置签名结果,并发送给银行后台身份验证系统;
[0058](49)银行后台身份验证系统对签名进行验证,并执行响应的业务操作,返回验证结果;
[0059](410)签名交易流程完毕。
[0060]通过上述使用本发明认证方法的网银交易可以看出,该认证方法用户对数据的确认操作是在脱机的环境下处理的,不需要翻转身份认证移动终端,也不需要身份认证装置一直贴着身份认证移动终端,可以分别的使身份认证装置从身份认证移动终端脱机进行确认,用户体验好,提高操作准确性,保证交易成功率。
[0061]本发明的认证方法,通过联机、脱机确认、再次联机的方式,解决了基于NFC通信身份认证方式不方便操作,操作准确性不好,用户体验不佳的问题,该方法方便用户操作,提高操作准确性,提升用户体验,使基于NFC通信的身份认证产品更加容易推广。
[0062]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本【技术领域】的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
【权利要求】
1.一种安全认证方法,其特征在于,包括: 身份认证装置靠近身份认证移动终端通过NFC协议与所述身份认证移动终端通信连接,从所述身份认证移动终端获取认证信息,并将所述认证信息显示在该身份认证装置的显示屏上; 所述身份认证装置离开所述身份认证移动终端并断开与所述身份认证移动终端的通信连接,所述身份认证装置显示屏上显示的认证信息经用户确认后完成签名操作得到签名结果; 得到所述签名结果的所述身份认证装置再次靠近所述身份认证移动终端通过NFC协议与所述身份认证移动终端通信连接,将所述签名结果发送给所述身份认证移动终端以完成身份认证。
2.根据权利要求1所述的安全认证方法,其特征在于,所述身份认证装置靠近身份认证移动终端为:所述身份认证装置根据所述身份认证移动终端的提示靠近所述身份认证移动终端。
3.根据权利要求1所述的安全认证方法,其特征在于,所述确认后所述身份认证装置再次靠近所述身份认证移动终端为:所述身份认证装置根据所述身份认证移动终端的提示再次靠近所述身份认证移动终端。
4.根据权利要求1至3任一项所述的安全认证方法,其特征在于,所述身份认证装置从所述身份认证移动终端获取认证信息为: 所述身份认证装置接收所述身份认证移动终端发送的身份认证请求,解析所述身份认证请求得到身份认证数据作为认证信息。
5.根据权利要求1至3任一项所述的安全认证方法,其特征在于,所述将所述签名结果发送给所述身份认证移动终端以完成身份认证为: 所述身份认证移动终端接收所述签名结果,将所述签名结果携带身份验证请求中,向与该身份认证移动终端通信连接的后台身份验证系统发送; 并接收所述后台身份验证系统认证所述身份验证请求后回复的验证结果,来完成身份认证。
6.根据权利要求1至3任一项所述的安全认证方法,其特征在于,所述身份认证装置内设有经电池控制电路与各器件电连接的电池,所述电池控制电路能在所述身份认证装置离开所述身份认证移动终端时,控制接通所述电池为该身份认证装置的各器件供电的线路。
【文档编号】H04L9/32GK104243170SQ201410543162
【公开日】2014年12月24日 申请日期:2014年10月14日 优先权日:2014年10月14日
【发明者】磨键琨 申请人:北京金玉衡科技有限责任公司