安全认证方法和系统以及用于安全认证的移动终端与流程

本发明涉及互联网安全认证技术，更具体地说，涉及一种安全认证方法和系统以及用于安全认证的移动终端。

背景技术：

目前在pc上进行交易付款时，现有技术的用户身份认证分为硬件实现及软件实现两种方式：

1、硬件实现：要求插入硬件usbkey(如银行u盾)，利用usbkey里面存储的数字证书进行用户身份确认，二代key还要求用户在key上进行二次确认。

2、软件实现：采用向预留的手机号码发送短信验证码方式进行安全认证。

硬件方式安全性较高，但是牺牲了用户的操作便利性。用户需要随时携带及保管硬件usbkey。同时，现有技术方案需要用户在浏览器上下载安装第三方控件及usbkey驱动，目前操作系统和浏览器种类繁多，控件的兼容性及可用性降低了用户体验。

短信验证码的方式安全性较低，现在的智能终端安全软件基本可以屏蔽及拦截短信，或者第三方软件进行短信模拟发送，存在第三方攻击风险。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种既有硬件方式认证的安全性、同时兼顾用户使用便利性的安全认证方法和系统以及用于安全认证的移动终端。

本发明为解决其技术问题在第一方面提出一种安全认证方法，包括如下步骤：

s1、业务平台基于用户的业务请求生成交易确认码，并向安全服务平台 发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求，同时将所述交易确认码返回给用户；

s2、安全服务平台基于所述安全认证请求向用户预先绑定的移动终端发送交易确认签名请求；

s3、移动终端基于所述交易确认签名请求接收用户输入的交易确认码，调用本地安全存储的用户私钥对所述交易确认码进行签名，并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台；

s4、安全服务平台根据所述用户身份信息获取本地存储的用户数字证书，使用所述用户数字证书对签名信息进行验证，并验证交易确认码，返回验证结果给业务平台。

根据本发明第一方面的一个实施例中，所述用户身份信息包括手机号码和/或移动终端硬件信息。

根据本发明第一方面的一个实施例中，所述方法在步骤s1之前还包括：

s0、所述移动终端预先在安全服务平台上注册，以由安全服务平台向第三方安全认证中心申请用户数字证书，并在安全服务平台上绑定所述移动终端和所述用户数字证书。

根据本发明第一方面的一个实施例中，所述步骤s0具体包括：

s01、所述移动终端接收用户的注册请求，携带用户输入的手机号码向安全服务平台获取短信验证码；

s02、安全服务平台生成短信验证码并发送给所述手机号码；

s03、所述移动终端接收用户输入的短信验证码，生成用户公私钥对并将用户私钥安全存储于本地，并获取移动终端硬件信息，向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请；

s04、安全服务平台验证短信验证码，携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书；

s05、安全服务平台将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定。

根据本发明第一方面的一个实施例中，所述步骤s03中移动终端生成用 户公私钥对进一步包括：采用国产密码算法生成用户公私钥对并将用户私钥安全存储于本地。

本发明为解决其技术问题在第二方面提出一种安全认证系统，包括通信连接的业务平台、安全服务平台和移动终端，其中：

业务平台用于基于用户的业务请求生成交易确认码，并向安全服务平台发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求，同时将所述交易确认码返回给用户；

安全服务平台用于基于所述安全认证请求向用户预先绑定的所述移动终端发送交易确认签名请求；

移动终端用于基于所述交易确认签名请求接收用户输入的交易确认码，调用本地安全存储的用户私钥对所述交易确认码进行签名，并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台；

安全服务平台还用于根据所述用户身份信息获取本地存储的用户数字证书，使用所述用户数字证书对签名信息进行验证，并验证交易确认码，返回验证结果给业务平台。

根据本发明第二方面的一个实施例中，所述移动终端还用于预先在安全服务平台上注册，以由安全服务平台向第三方安全认证中心申请用户数字证书，并在安全服务平台上绑定所述移动终端和所述用户数字证书。

根据本发明第二方面的一个实施例中，所述移动终端还用于接收用户的注册请求，携带用户输入的手机号码向安全服务平台获取短信验证码，并接收用户输入的安全服务平台返回的短信验证码，生成用户公私钥对并将用户私钥安全存储于本地，并获取移动终端硬件信息，向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请；

所述安全服务平台还用于验证短信验证码，携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书，并将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定。

本发明为解决其技术问题在第三方面提出一种用于安全认证的移动终端，包括：

存储模块，用于安全存储用户私钥；

安全服务客户端模块，用于基于安全服务平台的交易确认签名请求，接收用户输入的交易确认码，调用存储模块内存储的用户私钥对所述交易确认码进行签名，然后将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台。

根据本发明第三方面的一个实施例中，所述安全服务客户端模块还用于基于用户的注册请求，携带用户输入的手机号码向安全服务平台获取短信验证码，并接收用户输入的安全服务平台向该手机号码发送的短信验证码，生成用户公私钥对并将用户私钥安全存储于所述存储模块，并获取移动终端硬件信息，向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请。

本发明的安全认证方法和系统，由业务平台通过安全服务平台将交易确认信息发送给用户绑定的移动终端，在该移动终端进行用户交易确认，在安全服务平台进行用户身份验证，用户身份验证通过后，完成交易过程。本发明使用移动终端作为用户私钥存储介质，采用国产密码算法进行安全存储，在兼顾usbkey安全性的同时，提供了用户使用便利性，不再需要单独对usbkey进行携带保存。同时，本发明在移动终端上使用服务方式提供安全能力，避免安装浏览器控件导致的兼容性问题，同时解决通过短信方式下发身份验证码的安全及不稳定问题。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明一个实施例的安全认证系统的逻辑框图；

图2是图1所示的系统中移动终端向安全服务平台注册的交互过程示意图；

图3是图1所示的系统进行安全认证的交互过程的示意图；

图4是本发明一个实施例的安全认证方法的流程图；

图5是图4所示的安全认证方法中移动终端预先向安全服务平台注册的流 程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1示出了根据本发明一个实施例的安全认证系统100的逻辑框图。如图1所示，该安全认证系统100主要包括通信连接的业务平台130、安全服务平台110和移动终端120。其中，业务平台130作为实际业务本身的业务数据和逻辑处理部分，不在本专利申请的保护范围内。本申请中，业务平台130用于接收用户的业务请求，基于用户的业务请求生成交易确认码，并向安全服务平台110发送包含该交易确认码以及用户身份信息、交易信息的安全认证请求，同时将该交易确认码返回给用户。业务平台130还接收安全服务平台110返回的验证结果和用户身份信息，据此完成业务操作，并将操作结果返回给用户。安全服务平台110分别与业务平台130和移动终端120通信连接，主要用于接收业务平台130的安全认证请求，然后转发给移动终端120进行用户交易确认和用户身份验证，并将结果返回给业务平台130。具体来说，安全服务平台110先基于业务平台130发送的安全认证请求向用户绑定的移动终端120发送交易确认签名请求。移动终端120接收到安全服务平台110发送的交易确认签名请求后，接收用户输入的交易确认码，调用本地安全存储的用户私钥对该交易确认码进行签名，然后将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台110。安全服务平台110根据移动终端120返回的用户身份信息获取本地存储的与该用户身份信息绑定的用户数字证书，使用该用户数字证书对签名信息进行验证，即验证用户公私钥的匹配性，以确认用户身份。安全服务平台110还验证移动终端120返回的交易确认码，以对用户交易进行确认。最后，安全服务平台110将验证结果返回给业务平台130，以便业务平台130完成业务操作。

具体如图1所示，移动终端120进一步包括存储模块121和安全服务客户 端模块122。其中，存储模块121用于安全存储用户私钥。该用户私钥在移动终端120向安全服务平台110进行注册和绑定时预先生成。具体在后续将给出详细介绍。安全服务客户端模块122用于接收安全服务平台110发送的交易确认签名请求，基于该交易确认签名请求接收用户输入的交易确认码，调用存储模块121内存储的用户私钥对该交易确认码进行签名，然后将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台110。

如前所述，移动终端120可预先向安全服务平台110进行注册和绑定。图2示出了根据本发明的一个具体实施例中移动终端120向安全服务平台110注册的交互过程示意图。如图2所示，该注册流程包括：

步骤s201，用户启动移动终端上的安全服务客户端122，提交注册请求；

步骤s202，安全服务客户端122提示用户输入手机号码；

步骤s203，用户输入手机号码，申请获取验证码；

步骤s204，安全服务客户端122携带用户输入的手机号码向安全服务平台110获取短信验证码；

步骤s205，安全服务平台110生成短信验证码，并通过短信网关发送给该手机号码；

步骤s206，用户将收到的短信验证码输入给安全服务客户端122；

步骤s207，安全服务客户端122生成用户公私钥对；具体实现中，安全服务客户端122采用国产密码算法例如sm2\3\4算法生成用户公私钥对，并将用户私钥安全存储与本地。以sm2算法为例，sm2算法具有可以使用任意整数作为私钥数据的特性，适合密钥分割技术的实现，利用该sm2算法的特点，能够保证在不重现完整私钥的前提下，完成数字签名、加密等操作，这样就规避了私钥被恶意程序直接跟踪截取的风险。

步骤s208，安全服务客户端122获取本地的硬件信息，例如imsi(国际移动用户识别码)、imei(国际移动设备标识)等；

步骤s209，安全服务客户端122向安全服务平台110发送包含短信验证码、用户公钥、手机号码、硬件信息等信息的注册申请；

步骤s210，安全服务平台110收到安全服务客户端122发送的注册申请 后，先验证短信验证码；

步骤s211，安全服务平台110在短信验证码验证通过后，向第三方安全认证(ca)中心申请用户数字证书，携带所述手机号码、用户公钥等信息；

步骤s212，第三方ca中心签发用户数字证书；

步骤s213，第三方ca中心将用户数字证书返回给安全服务平台110；

步骤s214，安全服务平台110将用户数字证书与前述手机号码、硬件信息等绑定，完成注册；

步骤s215，安全服务平台110返回注册成功的信息给安全服务客户端122。

基于以上流程，用户私钥采用国产密码算法安全存储在移动终端120内，用户数字证书保存在安全服务平台110内并与移动终端120绑定。用户通过业务平台发起交易的安全认证请求时，在该绑定的移动终端进行用户交易确认，在安全服务平台进行用户身份验证，用户身份验证通过后，完成交易过程。

图3示出了根据本发明一个具体实施例的安全认证系统进行安全认证的交互过程的示意图。该实施例以用户在业务平台130上请求进行支付为例。用户可以通过多种途径例如通过pc、绑定的移动终端120或另一移动终端来访问业务平台130。如图3所示，该安全认证的交互过程包括：

步骤s301，用户向业务平台130请求进行支付；

步骤s302，业务平台130基于用户的支付请求生成支付确认码；

步骤s303，业务平台130向安全服务平台110发送安全认证请求，该安全认证请求包含支付确认码以及用户身份信息(例如手机号码)和交易信息等相关信息；

步骤s304，业务平台130同时还将支付确认码返回给发起支付请求的用户；

步骤s305，安全服务平台110收到业务平台130的安全认证请求后，向用户预先绑定的移动终端120上的安全服务客户端122发送支付确认签名请求，该请求可携带用户身份信息和交易信息等相关信息；

步骤s306，安全服务客户端122收到安全服务平台110发送的支付确认签名请求后，用户向安全服务客户端122输入支付确认码，进行支付确认；

步骤s307，安全服务客户端122调用本地安全存储的用户私钥对该支付确认码进行签名；

步骤s308，安全服务客户端122将携带签名信息的支付确认码以及用户身份信息例如手机号码和移动终端硬件信息返回给安全服务平台110；

步骤s309，安全服务平台110根据安全服务客户端122返回的用户身份信息获取本地存储的与之绑定的用户数字证书；

步骤s310，安全服务平台110使用用户数字证书对安全服务客户端122返回的签名信息进行验证，也即验证用户私钥和用户公钥的匹配性，以确认用户身份。

步骤s311，用户身份验证通过后，安全服务平台110进一步验证支付确认码，完成支付确认；

步骤s312，安全服务平台110将验证结果和用户身份信息返回给业务平台110；

步骤s313，业务平台110基于该验证结果对用户账户进行支付交易，完成用户的支付请求；

步骤s314，业务平台110将支付结果返回给用户。

基于本发明以上所介绍的安全认证系统，本发明还提出一种安全认证方法。图4示出了根据本发明一个实施例的安全认证方法400的流程图。如图4所示，该安全认证方法400包括如下步骤：

步骤s410，业务平台基于用户的业务请求生成交易确认码，并向安全服务平台发送包含所述交易确认码以及用户身份信息(例如手机号码)、交易信息的安全认证请求，同时将所述交易确认码返回给用户。

随后步骤s420，安全服务平台基于所述安全认证请求向用户预先绑定的移动终端发送交易确认签名请求。

随后步骤s430，移动终端基于所述交易确认签名请求接收用户输入的交易确认码，调用本地安全存储的用户私钥对所述交易确认码进行签名，并将携带签名信息的交易确认码以及用户身份信息(例如手机号码和/或移动终端硬件信息)返回给安全服务平台。

随后步骤s440，安全服务平台根据所述用户身份信息获取本地存储的用户数字证书，使用所述用户数字证书对签名信息进行验证，并验证交易确认码，返回验证结果给业务平台。

此后，业务平台便可根据安全服务平台返回的验证结果完成业务操作，例如完成支付交易，返回支付结果给用户。

上述步骤s430中移动终端使用的用户私钥，上述步骤s440中安全服务平台使用的用户数字证书，可预先在移动终端向安全服务平台进行注册绑定时获得。根据本发明一个具体实施例的安全认证方法中移动终端预先向安全服务平台注册的流程500如图5所示，包括如下步骤：

步骤s510，移动终端接收用户的注册请求，携带用户输入的手机号码向安全服务平台获取短信验证码。

随后步骤s520，安全服务平台生成短信验证码并发送给所述手机号码。

随后步骤s530，移动终端接收用户输入的短信验证码，生成用户公私钥对并将用户私钥安全存储于本地，并获取移动终端硬件信息，向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请。此步骤中，如前所述，移动终端可采用国产密码算法例如sm2\3\4算法生成用户公私钥对，并将用户私钥安全存储与本地。以sm2算法为例，sm2算法具有可以使用任意整数作为私钥数据的特性，适合密钥分割技术的实现，利用该sm2算法的特点，能够保证在不重现完整私钥的前提下，完成数字签名、加密等操作，这样就规避了私钥被恶意程序直接跟踪截取的风险。

随后步骤s540，安全服务平台验证短信验证码，携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书。

随后步骤s550，安全服务平台将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定，完成移动终端的注册。

本发明的安全认证方法和系统使用移动终端作为用户私钥存储介质，采用国产密码算法进行安全存储，在兼顾usbkey安全性的同时，提供了用户使用便利性，不再需要单独对usbkey进行携带保存。同时，本发明在移动终端上使用服务方式提供安全能力，避免安装浏览器控件导致的兼容性问题，同时解 决通过短信方式下发身份验证码的安全及不稳定问题。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。