认证方法、移动终端、管理系统及蓝牙IC卡与流程

本发明涉及通信技术领域，特别是指一种认证方法、移动终端、管理系统及蓝牙ic卡。

背景技术：

随着技术的发展，通过在标准金融集成电路ic卡中集成低功耗蓝牙通讯模块等相关部件，建立了传统金融ic卡与手机、平板等移动智能终端之间的数据通道，使金融ic卡具备联网能力，从线下延伸到线上。这种面向移动互联网和移动支付领域推出的创新型产品即为蓝牙ic卡，一方面具备传统金融ic卡所有的线下支付功能；另一方面通过蓝牙通讯接口与移动智能终端相连，为持卡人提供线上有卡支付、空中充值、空中下载等功能。

其中，为了保证蓝牙ic卡的使用安全性，在移动终端与蓝牙ic卡进行通讯前，需对移动终端与蓝牙ic卡的蓝牙连接进行认证，必须在认证通过后才能够进行数据的传输。然而，现有的移动终端与蓝牙ic卡连接的认证过程，缺少数据处理的保护措施，存在较高的信息泄露风险，对用户造成了一定的安全隐患。

技术实现要素：

本发明的目的是提供一种认证方法、移动终端、管理系统及蓝牙ic卡，通过增加对认证过程中的数据处理的保护，降低了信息泄露的风险，提升了移动终端的安全性。

为达到上述目的，本发明的实施例提供一种认证方法，包括：

获取蓝牙集成电路ic卡的认证密钥以及认证信息；

根据所述认证密钥，在移动终端的安全区域对所述认证信息加密，得到加密认证信息；

将所述加密认证信息发送至蓝牙ic卡，进行认证。

其中，获取蓝牙集成电路ic卡的认证密钥以及认证信息的步骤，包括：

获取蓝牙ic卡的第一身份标识信息；

根据所述第一身份标识信息，获取蓝牙ic卡的认证密钥；

建立与所述蓝牙ic卡的蓝牙连接，并接收所述蓝牙ic卡发送的认证信息。

其中，获取蓝牙ic卡的第一身份标识信息的步骤，包括：

检测蓝牙ic卡在移动终端中的预存信息；

提取所述预存信息中，所述蓝牙ic卡的第一身份标识信息。

其中，根据所述第一身份标识信息，获取蓝牙ic卡的认证密钥的步骤，包括：

根据所述第一身份标识信息，在移动终端的安全区域中查询所述蓝牙ic卡的认证密钥；

若未在所述安全区域中查询到所述认证密钥，向管理系统发起认证密钥查询，获得所述蓝牙ic卡的认证密钥。

其中，向管理系统发起认证密钥查询，获得所述蓝牙ic卡的认证密钥的步骤，包括：

发送认证密钥查询请求至管理系统，所述认证密钥查询请求包括所述第一身份标识信息和所述移动终端的第二身份标识信息；

接收所述管理系统反馈的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

基于所述移动终端的私钥，对所述加密的认证密钥进行解密，获得所述蓝牙ic卡的认证密钥。

其中，在获取蓝牙ic卡的认证密钥的步骤之后，还包括：

若所述安全区域中未存储有所述蓝牙ic卡的认证密钥，则将所述蓝牙ic卡的第一身份标识信息和所述认证密钥存储在所述安全区域中。

为达到上述目的，本发明的实施例提供一种认证方法，包括：

接收移动终端发送的认证密钥查询请求；

根据所述认证密钥查询请求，获取蓝牙ic卡的认证密钥；

将所述认证密钥发送至所述移动终端。

其中，所述认证密钥查询请求包括：所述蓝牙ic卡的第一身份标识信息，以及所述移动终端的第二身份标识信息；

根据所述认证密钥查询请求，获取蓝牙ic卡的认证密钥的步骤，包括：

根据所述第一身份标识信息和所述第二身份标识信息，在管理系统的自身存储信息中查询所述蓝牙ic卡的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

若未查询到所述加密的认证密钥，向所述蓝牙ic卡发起认证密钥生成，并获得所述蓝牙ic卡反馈的加密的认证密钥。

其中，向所述蓝牙ic卡发起认证密钥生成，并获得所述蓝牙ic卡反馈的加密的认证密钥的步骤，包括：

发送认证密钥生成请求至所述蓝牙ic卡，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；

接收所述蓝牙ic卡反馈的加密的认证密钥。

其中，在获得所述蓝牙ic卡反馈的加密的认证密钥的步骤之后，还包括：

将所述蓝牙ic卡的第一身份标识信息、所述移动终端的第二身份标识信息和所述加密的认证密钥进行存储。

为达到上述目的，本发明的实施例提供一种认证方法，包括：

建立与移动终端的蓝牙连接后，发送认证信息至所述移动终端；

接收所述移动终端发送的加密认证信息；

基于自身的认证密钥，对所述加密认证信息进行解密；

根据解密后的信息和所述认证信息进行认证。

其中，根据解密后的信息和所述认证信息进行认证的步骤，包括：

将解密后的信息与所述认证信息进行比对，得到一比对结果；

若所述比对结果表示解密后的信息与所述认证信息相同，则认证通过；

若所述比对结果表示所述解密后的信息与所述认证信息不同，则认证失败，断开与所述移动终端的蓝牙连接。

其中，所述方法还包括：

接收管理系统发送的认证密钥生成请求，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；

根据所述认证密钥生成指令生成一认证密钥；

基于所述公钥对所述认证密钥进行加密，将加密的认证密钥反馈至所述管理系统。

其中，在根据所述认证密钥生成指令生成一认证密钥的步骤之前，包括：

根据所述公钥查询是否存在对应所述公钥的加密的认证密钥；

若存在，发送所述加密的认证密钥至所述管理系统；

若不存在，执行根据所述认证密钥生成指令生成一认证密钥的步骤。

为达到上述目的，本发明的实施例提供一种移动终端，包括处理器和收发器，其中，

所述处理器用于获取蓝牙集成电路ic卡的认证密钥以及认证信息；根据所述认证密钥，在移动终端的安全区域对所述认证信息加密，得到加密认证信息；

所述收发器用于将所述加密认证信息发送至蓝牙ic卡，进行认证。

其中，所述处理器还用于获取蓝牙ic卡的第一身份标识信息；根据所述第一身份标识信息，获取蓝牙ic卡的认证密钥；

所述收发器还用于建立与所述蓝牙ic卡的蓝牙连接，并接收所述蓝牙ic卡发送的认证信息。

其中，所述处理器还用于检测蓝牙ic卡在移动终端中的预存信息；提取所述预存信息中，所述蓝牙ic卡的第一身份标识信息。

其中，所述处理器还用于根据所述第一身份标识信息，在移动终端的安全区域中查询所述蓝牙ic卡的认证密钥；

所述收发器还用于若未在所述安全区域中查询到所述认证密钥，向管理系统发起认证密钥查询，获得所述蓝牙ic卡的认证密钥。

其中，所述收发器还用于发送认证密钥查询请求至管理系统，所述认证密钥查询请求包括所述第一身份标识信息和所述移动终端的第二身份标识信息；接收所述管理系统反馈的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

所述处理器还用于基于所述移动终端的私钥，对所述加密的认证密钥进行解密，获得所述蓝牙ic卡的认证密钥。

其中，所述处理器还用于若所述安全区域中未存储有所述蓝牙ic卡的认证密钥，则将所述蓝牙ic卡的第一身份标识信息和所述认证密钥存储在所述安全区域中。

为达到上述目的，本发明的实施例提供一种管理系统，包括处理器和收发器，其中，

所述收发器用于接收移动终端发送的认证密钥查询请求；

所述处理器用于根据所述认证密钥查询请求，获取蓝牙ic卡的认证密钥；

所述收发器还用于将所述认证密钥发送至所述移动终端。

其中，所述认证密钥查询请求包括：所述蓝牙ic卡的第一身份标识信息，以及所述移动终端的第二身份标识信息；

所述处理器还用于根据所述第一身份标识信息和所述第二身份标识信息，在管理系统的自身存储信息中查询所述蓝牙ic卡的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

所述收发器还用于若未查询到所述加密的认证密钥，向所述蓝牙ic卡发起认证密钥生成，并获得所述蓝牙ic卡反馈的加密的认证密钥。

其中，所述收发器还用于发送认证密钥生成请求至所述蓝牙ic卡，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；接收所述蓝牙ic卡反馈的加密的认证密钥。

其中，所述处理器还用于将所述蓝牙ic卡的第一身份标识信息、所述移动终端的第二身份标识信息和所述加密的认证密钥进行存储。

为达到上述目的，本发明的实施例提供一种蓝牙ic卡，包括处理器和收发器，其中，

所述收发器用于建立与移动终端的蓝牙连接后，发送认证信息至所述移动终端；接收所述移动终端发送的加密认证信息；

所述处理器用于基于自身的认证密钥，对所述加密认证信息进行解密；根据解密后的信息和所述认证信息进行认证。

其中，所述处理器还用于将解密后的信息与所述认证信息进行比对，得到一比对结果；若所述比对结果表示解密后的信息与所述认证信息相同，则认证通过；若所述比对结果表示所述解密后的信息与所述认证信息不同，则认证失败，断开与所述移动终端的蓝牙连接。

其中，所述收发器还用于接收管理系统发送的认证密钥生成请求，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；

所述处理器还用于根据所述认证密钥生成指令生成一认证密钥；

所述收发器还用于基于所述公钥对所述认证密钥进行加密，将加密的认证密钥反馈至所述管理系统。

其中，所述处理器还用于根据所述公钥查询是否存在对应所述公钥的加密的认证密钥；

所述收发器还用于若存在，发送所述加密的认证密钥至所述管理系统；若不存在，执行根据所述认证密钥生成指令生成一认证密钥的步骤。

为达到上述目的，本发明的实施例提供一种移动终端，包括收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；所述处理器执行所述计算机程序时实现如上应用于移动终端的认证方法。

为达到上述目的，本发明的实施例提供一种管理系统，包括收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；所述处理器执行所述计算机程序时实现如上应用于管理系统的认证方法。

为达到上述目的，本发明的实施例提供一种蓝牙ic卡，包括收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序；所述处理器执行所述计算机程序时实现如上应用于蓝牙ic卡的认证方法。

为达到上述目的，本发明的实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上应用于移动终端的认证方法中的步骤。

为达到上述目的，本发明的实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上应用于管理系统的认证方法中的步骤。

为达到上述目的，本发明的实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上应用于蓝牙ic卡的认证方法中的步骤。

本发明的上述技术方案的有益效果如下：

本发明实施例的认证方法，将通过获取蓝牙ic卡的认证密钥以及认证信息，根据该认证密钥在安全区域对该认证信息加密，得到一加密认证信息，之后将该加密认证信息发送至蓝牙ic卡进行认证，不仅完成了移动终端与蓝牙ic卡之间建立连接的认证，且由于使用蓝牙ic卡的认证密钥对认证信息进行加密的过程是在安全区域中完成的，对认证信息的加密过程进行了更有效的保护，降低了信息泄露的风险，提升了移动终端的安全性。

附图说明

图1为本发明实施例的应用于移动终端的认证方法的流程图之一；

图2为本发明实施例的应用于移动终端的认证方法的流程图之二；

图3为本发明实施例的应用于移动终端的认证方法的流程图之三；

图4为本发明实施例的认证方法的应用流程图；

图5为图4中各设备的连接示意图；

图6为本发明实施例的应用于管理系统的认证方法的流程图；

图7为本发明实施例的应用于蓝牙ic卡的认证方法的流程图；

图8为本发明实施例的移动终端的结构图；

图9为本发明实施例的管理系统的结构图；

图10为本发明实施例的蓝牙ic卡的结构图；

图11为本发明另一实施例的移动终端的结构图；

图12为本发明另一实施例的管理系统的结构图；

图13为本发明另一实施例的蓝牙ic卡的结构图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明针对现有的移动终端与蓝牙卡连接的认证过程，缺少数据处理的保护措施，存在较高的信息泄露风险，对用户造成了一定的安全隐患的问题，提供了一种认证方法，通过增加对认证过程中的数据处理的保护，降低了信息泄露的风险，提升了移动终端的安全性。

如图1所示，本发明实施例的一种认证方法，包括：

步骤101，获取蓝牙集成电路ic卡的认证密钥以及认证信息；

步骤102，根据所述认证密钥，在移动终端的安全区域对所述认证信息加密，得到加密认证信息；

步骤103，将所述加密认证信息发送至蓝牙ic卡，进行认证。

在该实施例中，移动终端的安全区域是与正常的应用运行环境ree(richexecutionenvironment)逻辑隔离的，由于其中保存的敏感数据(如密钥，用户隐私数据)是不会向ree侧开放的，即使通过api(applicationprogramminginterface，应用程序编程接口)也不能被取到，保证了加载到其中的代码和数据的安全性、机密性以及完整性。同时，而且安全区域提供了一个隔离的执行环境，提供的安全特征包含：隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。所以，本发明实施例的认证方法，经步骤101-步骤103，将通过获取该蓝牙ic卡的认证密钥以及认证信息，根据该认证密钥在安全区域对该认证信息加密，得到一加密认证信息，之后将该加密认证信息发送至蓝牙ic卡进行认证，不仅完成了移动终端与蓝牙ic卡之间建立连接的认证，且由于使用蓝牙ic卡的认证密钥对认证信息进行加密的过程是在安全区域中完成的，对认证信息的加密过程进行了更有效的保护，降低了信息泄露的风险，提升了移动终端的安全性。

优选的，安全区域为移动终端主处理器上的可信执行环境tee(trustedexecutionenvironment)，为认证信息的加密提供一个隔离的执行环境。而认证密钥为对称密钥，以便于移动终端侧的加密和蓝牙ic卡侧的解密。

其中，如图2所示，步骤101包括：

步骤1011，获取蓝牙ic卡的第一身份标识信息；

步骤1012，根据所述第一身份标识信息，获取蓝牙ic卡的认证密钥；

步骤1013，建立与所述蓝牙ic卡的蓝牙连接，并接收所述蓝牙ic卡发送的认证信息。

这里，通过上述步骤1011-步骤1013，将首先获取该蓝牙ic卡的第一身份标识信息，由于该第一身份标识信息作为与该蓝牙ic卡对应的唯一标识，之后，就能够根据该第一身份标识信息完成该蓝牙ic卡的认证密钥的获取，然后，建立与该蓝牙ic卡的蓝牙连接，并接收该蓝牙ic卡发送的认证信息，以便后续的处理。

其中，蓝牙ic卡的第一身份标识信息可以是蓝牙ic卡的卡序列号cardid，或者集成电路卡识别码iccid，在此不再一一列举。而认证信息可以是蓝牙ic卡在蓝牙连接成功后，该蓝牙ic卡生成的一组随机数或者字符串等。

在本发明的实施例中，为减少认证过程的频繁操作，优选的，蓝牙ic卡的认证密钥对应一移动终端是唯一不变的，所以，在步骤1012之后，还包括：

若所述安全区域中未存储有所述蓝牙ic卡的认证密钥，则将所述蓝牙ic卡的第一身份标识信息和所述认证密钥存储在所述安全区域中。

因tee的数据是存储在移动设备芯片中，这些数据实现了与外界完全隔离，避免了泄露的发生。故，在了解到安全区域中未存储获取到的认证密钥时，就会将其存储在安全区域中，当然，为便于查询和应用，会将蓝牙ic卡的第一身份标识信息和认证密钥关联存储在安全区域中，这样，在后续处理中即可直接查询到所需的内容，减化了处理流程，提高了处理效率。

应该知道的是，该蓝牙ic卡的第一身份标识信息，可以通过弹出对应的输入框，由用户主动输入，但是，人为输入方式往往具有较高的错误率，所以，具体的，步骤1011包括：

检测蓝牙ic卡在移动终端中的预存信息；

提取所述预存信息中，所述蓝牙ic卡的第一身份标识信息。

这里，通过检测蓝牙ic卡在移动终端中的预先信息，将从该预存信息中提取出该蓝牙ic卡的第一身份标识信息，由于无需用户输入，降低了错误率，而且使得认证过程不需额外的交互，对用户是无感知的，提升了移动终端的使用效果。

在获取到蓝牙ic卡的第一身份标识信息后，如图1所示，就将根据该第一身份标识信息，获取蓝牙ic卡的认证密钥。具体的，步骤102包括：

根据所述第一身份标识信息，在移动终端的安全区域中查询所述蓝牙ic卡的认证密钥；

若未在所述安全区域中查询到所述认证密钥，向管理系统发起认证密钥查询，获得所述蓝牙ic卡的认证密钥。

由上述内容可知，移动终端的安全区域中存储有已获取到的认证密钥，因此，这里，将根据该第一身份标识信息，在安全区域中查询该蓝牙ic卡的认证密钥，若查询到该蓝牙ic卡的认证密钥，就能够使用该认证密钥继续后续步骤；若未查询到该认证密钥，就要向管理系统发起认证密钥查询，来获得该蓝牙ic卡的认证密钥。

本发明的实施例中，移动终端出厂前都将预设一组非对称密钥：公钥和私钥，其中私钥存储在移动终端的tee中，公钥将上传到管理系统。用于移动终端与蓝牙ic卡的认证的管理系统，存储有：移动终端出厂预设的公钥和该移动终端对应的身份标识信息，蓝牙ic卡的身份标识信息和接收到的该蓝牙ic卡对应一移动终端的认证密钥。其中，管理系统中的认证密钥优选的，是该认证密钥基于移动终端的公钥进行加密处理后得到的，提高了该管理系统中认证密钥的安全性。

因此，进一步具体的，如图3所示，在上述步骤中，向管理系统发起认证密钥查询，获得所述蓝牙ic卡的认证密钥的步骤，包括：

步骤301，发送认证密钥查询请求至管理系统，所述认证密钥查询请求包括所述第一身份标识信息和所述移动终端的第二身份标识信息；

步骤302，接收所述管理系统反馈的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

步骤303，基于所述移动终端的私钥，对所述加密的认证密钥进行解密，获得所述蓝牙ic卡的认证密钥。

这里，如步骤301，将发送包括有第一身份标识信息(蓝牙ic卡的身份标识信息)和第二身份标识信息(移动终端的身份标识信息)的认证密钥查询请求至管理系统，使得管理系统能够由该第一身份标识信息和第二身份标识信息，将该蓝牙ic卡的加密的认证密钥反馈至该移动终端，其中，该加密的认证密钥是基于移动终端的公钥对蓝牙ic卡的认证密钥进行加密得到的。之后，如步骤302，移动终端就能够接收到该管理系统反馈的加密的认证密钥。然后，如步骤303，移动终端基于其自身私钥，即可对该加密的认证密钥进行解密，最终得到该蓝牙ic卡的认证密钥，以用于后续对认证信息的加密。

其中，第二身份标识信息也就是移动终端的身份标识信息，可以是设备序号deciceid或者国际移动用户识别码imsi等能够用户唯一标识该移动终端的信息，在此不再一一列举。

还应该知道的是，该实施例中的管理系统，其存储的对应一移动终端的认证密钥是由蓝牙ic卡发送的，因此，若仅由该管理系统内存储的内容来反馈移动终端所需的认证密钥，将存在无法反馈的问题，就需要蓝牙ic卡提供。该管理系统在接收到认证密钥查询请求后，获取蓝牙ic卡的认证密钥以反馈该移动终端的步骤具体包括：

根据第一身份标识信息和第二身份标识信息，在管理系统的自身存储信息中查询蓝牙ic卡的加密的认证密钥；若未查询到认证密钥，向蓝牙ic卡发起认证密钥生成，并获得蓝牙ic卡反馈的加密的认证密钥。

管理系统首先能够由第一身份标识信息和第二身份标识信息，在其自身的存储信息中查询，若查询到该蓝牙ic卡的加密的认证密钥，就能够直接将其反馈至移动终端；若未查询到，就需要向蓝牙ic卡发起认证密钥生成，从而，获得蓝牙ic卡反馈的加密的认证密钥。

管理系统将发送认证密钥生成请求至该蓝牙ic卡，由于该认证密钥生成请求包括认证密钥生成指令和该移动终端的公钥，蓝牙ic卡接收到认证密钥生成请求后，就能够根据认证密钥生成指令生成一认证密钥，并基于公钥对该认证密钥进行加密，将加密后的认证密钥反馈至管理系统。

一般而言，蓝牙ic卡针对同一移动终端，仅会生成一认证密钥，所以，在接收到认证密钥生成请求后，会先查询是否已存在对应该公钥的加密的认证密钥，若存在则直接进行反馈；若不存在，就要先在安全单元se中生成认证密钥，然后基于公钥对该认证密钥进行加密，将加密的认证密钥进行反馈。

其中，为保证传输时数据的安全性，管理系统与蓝牙ic卡之间传输的数据将基于协商的密钥，进行加密传输。具体的，管理系统将对认证密钥生成请求进行传输加密后再发送，之后蓝牙ic卡解密该认证密钥生成请求，完成认证密钥的生成以及基于移动终端公钥的加密后，会将加密的认证密钥进行传输加密后再发送，管理系统接收蓝牙ic卡发送的数据，需进行传输解密后才能够得到加密的认证密钥。

下面结合图4和图5说明本发明实施例的认证方法的应用：

s401，移动终端获取蓝牙ic卡的cardid，查询tee中是否存在该cardid对应的认证密钥，如不存在执行s402，存在执行s411；

s402，发送认证密钥查询请求至管理系统，该认证密钥查询请求包括该移动终端的deciceid和cardid；

s403，管理系统查询该deciceid和cardid对应的使用该移动终端公钥pub_dev加密的认证密钥是否存在，如不存在执行s404，存在执行s409；

s404，发送加密的认证密钥生成请求至蓝牙ic卡，该认证密钥生成请求包括认证密钥生成指令和该移动终端的公钥；

s405，蓝牙ic卡解密认证密钥生成请求，查询是否已生成对应该公钥的加密的认证密钥，若未生成执行s406，已生成执行s407；

s406，在se中生成认证密钥，并使用移动终端的公钥对认证密钥加密；

s407，对加密的认证密钥进行传输加密后，发送至管理系统；

s408，管理系统对接收到的数据解密，保存deciceid、cardid和加密的认证密钥；

s409，管理系统将加密的认证密钥发送至该移动终端；

s410，移动终端接收到加密的认证密钥后，在tee中使用该移动终端的私钥对其解密，获得认证密钥，并将cardid和认证密钥保存在tee中；

s411，移动终端发起蓝牙连接请求；

s412，蓝牙ic卡与移动终端建立蓝牙连接成功，返回认证随机数给移动终端；

s413，移动终端收到认证随机数后，在tee中使用该cardid对应的认证密钥对该认证随机数加密，发送至蓝牙ic卡；

s414，蓝牙ic卡收到加密的认证随机数后，使用自身的认证密钥解密，若解密后的信息与之前生成的认证随机数相同则认证通过，移动终端可与蓝牙ic卡通过建立的蓝牙连接传输数据；否则认证失败，蓝牙ic卡主动断开蓝牙连接。

这样，在移动终端与蓝牙ic卡蓝牙连接的认证过程中，认证密钥是在se中生成，并以密文形式存储在管理系统，且在移动终端中，认证密钥是存储在tee中，基于认证密钥对认证随机数的加密处理也是在tee中进行，有效避免了信息泄露。

综上所述，本发明实施例的认证方法，将通过获取蓝牙ic卡的认证密钥以及认证信息，根据该认证密钥在安全区域对该认证信息加密，得到一加密认证信息，之后将该加密认证信息发送至蓝牙ic卡进行认证，不仅完成了移动终端与蓝牙ic卡之间建立连接的认证，且由于使用蓝牙ic卡的认证密钥对认证信息进行加密的过程是在安全区域中完成的，对认证信息的加密过程进行了更有效的保护，降低了信息泄露的风险，提升了移动终端的安全性。

如图6所示，本发明的实施例还提供了一种认证方法，包括：

步骤601，接收移动终端发送的认证密钥查询请求；

步骤602，根据所述认证密钥查询请求，获取蓝牙ic卡的认证密钥；

步骤603，将所述认证密钥发送至所述移动终端。

由上一实施例可知，在移动终端的安全区域中，若未查询到蓝牙ic卡的认证密钥，就要向管理系统发起认证密钥查询，来获得该蓝牙ic卡的认证密钥。因此，按照上述步骤601-步骤603，管理系统将接收移动终端发送的认证密钥查询请求，然后根据该认证密钥查询请求去获取蓝牙ic卡的认证密钥，最终将该认证密钥发送至该移动终端，以使得移动终端能够基于蓝牙ic卡的认证密钥完成对认证信息的加密，从而实现认证。

该实施例中的管理系统存储有：移动终端出厂预设的公钥和该移动终端对应的身份标识信息，蓝牙ic卡的身份标识信息和接收到的该蓝牙ic卡对应一移动终端的认证密钥。其中，管理系统中的认证密钥优选的，是该认证密钥基于移动终端的公钥进行加密处理后得到的，提高了该管理系统中认证密钥的安全性。故，本发明实施例中，所述认证密钥查询请求包括：所述蓝牙ic卡的第一身份标识信息，以及所述移动终端的第二身份标识信息；

步骤602，包括：

根据所述第一身份标识信息和所述第二身份标识信息，在管理系统的自身存储信息中查询所述蓝牙ic卡的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

若未查询到所述加密的认证密钥，向所述蓝牙ic卡发起认证密钥生成，并获得所述蓝牙ic卡反馈的加密的认证密钥。

这里，第一身份标识信息是蓝牙ic卡的身份标识信息，第二身份标识信息是移动终端的身份标识信息。所以，在接收到认证密钥查询请求后，即由其内的第一身份标识信息和第二身份标识信息，先在管理系统中查询该蓝牙ic卡的加密的认证密钥，若查询到该蓝牙ic卡的加密的认证密钥，就能够直接将其反馈至移动终端；若未查询到，就需要向蓝牙ic卡发起认证密钥生成，从而，获得蓝牙ic卡反馈的加密的认证密钥。

具体的，向所述蓝牙ic卡发起认证密钥生成，并获得所述蓝牙ic卡反馈的加密的认证密钥的步骤，包括：

发送认证密钥生成请求至所述蓝牙ic卡，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；

接收所述蓝牙ic卡反馈的加密的认证密钥。

这里，管理系统将发送认证密钥生成请求至该蓝牙ic卡，由于该认证密钥生成请求包括认证密钥生成指令和该移动终端的公钥，蓝牙ic卡接收到认证密钥生成请求后，就能够根据认证密钥生成指令生成一认证密钥，并基于公钥对该认证密钥进行加密，将加密后的认证密钥反馈至管理系统。

而为简化处理流程，在上述实施例的基础上，在获得所述蓝牙ic卡反馈的加密的认证密钥的步骤之后，还包括：

将所述蓝牙ic卡的第一身份标识信息、所述移动终端的第二身份标识信息和所述加密的认证密钥进行存储。

这样，该移动终端在管理系统请求该蓝牙ic卡加密的认证密钥时，就能够在其自身存储信息中的关联存储查询到所需的加密的认证密钥。

综上，本发明实施例的认证方法，应用于管理系统，能够接收移动终端发送的认证密钥查询请求，然后根据该认证密钥查询请求去获取蓝牙ic卡的认证密钥，最终将该认证密钥发送至该移动终端，以使得移动终端基于蓝牙ic卡的认证密钥完成对认证信息的加密，从而实现认证，且有效避免了过程中的信息泄露。

如图7所示，本发明的实施例还提供了一种认证方法，包括：

步骤701，建立与移动终端的蓝牙连接后，发送认证信息至所述移动终端；

步骤702，接收所述移动终端发送的加密认证信息；

步骤703，基于自身的认证密钥，对所述加密认证信息进行解密；

步骤704，根据解密后的信息和所述认证信息进行认证。

本发明实施例的认证方法，应用于蓝牙ic卡，在建立与移动终端的蓝牙连接后，发送认证信息至移动终端，通过接收该移动终端发送的加密认证信息，基于自身的认证密钥，对该加密认证信息进行解密，并根据解密后的信息和发送的认证信息进行认证。这样，蓝牙ic卡就能够实现与移动终端的连接认证，且有效避免了过程中的信息泄露。

其中，步骤704，包括：

将解密后的信息与所述认证信息进行比对，得到一比对结果；

若所述比对结果表示解密后的信息与所述认证信息相同，则认证通过；

若所述比对结果表示所述解密后的信息与所述认证信息不同，则认证失败，断开与所述移动终端的蓝牙连接。

通过上述步骤，蓝牙ic卡在接收到加密认证信息并进行解密后，会将解密后的信息与之前生成并发送的认证信息进行比对，得到一比对结果，然后由该比对结果，在比对结果表示解密后的信息与认证信息相同时，认证通过；在比对结果表示解密后的信息与认证信息不同时，认证失败，断开与移动终端的蓝牙连接。

此外，由上述应用于管理系统的认证方法的实施例中，可以了解到的是，管理系统在其自身的存储信息中未查询到该蓝牙ic卡的加密的认证密钥时，会向蓝牙ic卡发起认证密钥生成，从而，获得蓝牙ic卡反馈的加密的认证密钥。所以，在上述实施例的基础上，该实施例中，还包括：

接收管理系统发送的认证密钥生成请求，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；

根据所述认证密钥生成指令生成一认证密钥；

基于所述公钥对所述认证密钥进行加密，将加密的认证密钥反馈至所述管理系统。

这样，蓝牙ic卡将在接收到管理系统发送的认证密钥生成请求后，由该认证密钥生成请求的认证密钥生成指令生成一认证密钥，并基于认证密钥生成请求的公钥对该认证密钥进行加密，将加密后的认证密钥反馈至管理系统，由管理系统转发至移动终端，以完成后续的认证。

一般而言，蓝牙ic卡针对同一移动终端，仅会生成一认证密钥，所以，在根据所述认证密钥生成指令生成一认证密钥的步骤之前，包括：

根据所述公钥查询是否存在对应所述公钥的加密的认证密钥；

若存在，发送所述加密的认证密钥至所述管理系统；

若不存在，执行根据所述认证密钥生成指令生成一认证密钥的步骤。

这里，通过根据公钥来查询是否存在对应该公钥的加密的认证密钥，将能够在对应该公钥的加密的认证密钥存在时，经其直接发送至管理系统；在不存在时，才执行认证密钥的生成及加密步骤，实现简化流程的目的。

综上，本发明实施例的认证方法，蓝牙ic卡在建立与移动终端的蓝牙连接后，将发送认证信息至移动终端，通过接收该移动终端发送的加密认证信息，基于自身的认证密钥，对该加密认证信息进行解密，并根据解密后的信息和发送的认证信息进行认证。这样，蓝牙ic卡就能够实现与移动终端的连接认证，且有效避免了过程中的信息泄露。

如图8所示，本发明实施例的一种移动终端800，包括处理器810和收发器820，其中，

所述处理器用于获取蓝牙集成电路ic卡的认证密钥以及认证信息；根据所述认证密钥，在移动终端的安全区域对所述认证信息加密，得到加密认证信息；

所述收发器用于将所述加密认证信息发送至蓝牙ic卡，进行认证。

其中，所述处理器还用于获取蓝牙ic卡的第一身份标识信息；根据所述第一身份标识信息，获取蓝牙ic卡的认证密钥；

所述收发器还用于建立与所述蓝牙ic卡的蓝牙连接，并接收所述蓝牙ic卡发送的认证信息。

其中，所述处理器还用于检测蓝牙ic卡在移动终端中的预存信息；提取所述预存信息中，所述蓝牙ic卡的第一身份标识信息。

其中，所述处理器还用于根据所述第一身份标识信息，在移动终端的安全区域中查询所述蓝牙ic卡的认证密钥；

所述收发器还用于若未在所述安全区域中查询到所述认证密钥，向管理系统发起认证密钥查询，获得所述蓝牙ic卡的认证密钥。

其中，所述收发器还用于发送认证密钥查询请求至管理系统，所述认证密钥查询请求包括所述第一身份标识信息和所述移动终端的第二身份标识信息；接收所述管理系统反馈的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

所述处理器还用于基于所述移动终端的私钥，对所述加密的认证密钥进行解密，获得所述蓝牙ic卡的认证密钥。

其中，所述处理器还用于若所述安全区域中未存储有所述蓝牙ic卡的认证密钥，则将所述蓝牙ic卡的第一身份标识信息和所述认证密钥存储在所述安全区域中。

该实施例的移动终端，将通过获取蓝牙ic卡的认证密钥以及认证信息，根据该认证密钥在安全区域对该认证信息加密，得到一加密认证信息，之后将该加密认证信息发送至蓝牙ic卡进行认证，不仅完成了移动终端与蓝牙ic卡之间建立连接的认证，且由于使用蓝牙ic卡的认证密钥对认证信息进行加密的过程是在安全区域中完成的，对认证信息的加密过程进行了更有效的保护，降低了信息泄露的风险，提升了移动终端的安全性。

如图9所示，本发明实施例的管理系统900，包括处理器910和收发器920，其中，

所述收发器用于接收移动终端发送的认证密钥查询请求；

所述处理器用于根据所述认证密钥查询请求，获取蓝牙ic卡的认证密钥；

所述收发器还用于将所述认证密钥发送至所述移动终端。

其中，所述认证密钥查询请求包括：所述蓝牙ic卡的第一身份标识信息，以及所述移动终端的第二身份标识信息；

所述处理器还用于根据所述第一身份标识信息和所述第二身份标识信息，在管理系统的自身存储信息中查询所述蓝牙ic卡的加密的认证密钥，所述加密的认证密钥是基于所述移动终端的公钥对所述蓝牙ic卡的认证密钥进行加密得到的；

所述收发器还用于若未查询到所述加密的认证密钥，向所述蓝牙ic卡发起认证密钥生成，并获得所述蓝牙ic卡反馈的加密的认证密钥。

其中，所述收发器还用于发送认证密钥生成请求至所述蓝牙ic卡，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；接收所述蓝牙ic卡反馈的加密的认证密钥。

其中，所述处理器还用于将所述蓝牙ic卡的第一身份标识信息、所述移动终端的第二身份标识信息和所述加密的认证密钥进行存储。

该实施例中的管理系统，能够接收移动终端发送的认证密钥查询请求，然后根据该认证密钥查询请求去获取蓝牙ic卡的认证密钥，最终将该认证密钥发送至该移动终端，以使得移动终端基于蓝牙ic卡的认证密钥完成对认证信息的加密，从而实现认证，且有效避免了过程中的信息泄露。

如图10所示，本发明的实施例还提供了一种蓝牙ic卡1000，包括处理器1010和收发器1020，其中，

所述收发器用于建立与移动终端的蓝牙连接后，发送认证信息至所述移动终端；接收所述移动终端发送的加密认证信息；

所述处理器用于基于自身的认证密钥，对所述加密认证信息进行解密；根据解密后的信息和所述认证信息进行认证。

其中，所述处理器还用于将解密后的信息与所述认证信息进行比对，得到一比对结果；若所述比对结果表示解密后的信息与所述认证信息相同，则认证通过；若所述比对结果表示所述解密后的信息与所述认证信息不同，则认证失败，断开与所述移动终端的蓝牙连接。

其中，所述收发器还用于接收管理系统发送的认证密钥生成请求，所述认证密钥生成请求包括认证密钥生成指令和所述移动终端的公钥；

所述处理器还用于根据所述认证密钥生成指令生成一认证密钥；

所述收发器还用于基于所述公钥对所述认证密钥进行加密，将加密的认证密钥反馈至所述管理系统。

其中，所述处理器还用于根据所述公钥查询是否存在对应所述公钥的加密的认证密钥；

所述收发器还用于若存在，发送所述加密的认证密钥至所述管理系统；若不存在，执行根据所述认证密钥生成指令生成一认证密钥的步骤。

该实施例的蓝牙ic卡，在建立与移动终端的蓝牙连接后，将发送认证信息至移动终端，通过接收该移动终端发送的加密认证信息，基于自身的认证密钥，对该加密认证信息进行解密，并根据解密后的信息和发送的认证信息进行认证。这样，蓝牙ic卡就能够实现与移动终端的连接认证，且有效避免了过程中的信息泄露。

本发明另一实施例的一种移动终端，如图11所示，包括收发机1110、存储器1120、处理器1100及存储在所述存储器1120上并可在所述处理器1100上运行的计算机程序；所述处理器1100执行所述计算机程序时实现上述应用于移动终端的认证方法。

所述收发机1110，用于在处理器1100的控制下接收和发送数据。

其中，在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1110可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口1130还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。

处理器1100负责管理总线架构和通常的处理，存储器1120可以存储处理器1100在执行操作时所使用的数据。

本发明另一实施例的管理系统，如图12所示，包括收发机1210、存储器1220、处理器1200及存储在所述存储器1220上并可在所述处理器1200上运行的计算机程序；所述处理器1200执行所述计算机程序时实现上述应用于管理系统的认证方法。

所述收发机1210，用于在处理器1200的控制下接收和发送数据。

其中，在图12中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1200代表的一个或多个处理器和存储器1220代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1210可以是多个元件，即包括发送机和收发机，提供用于在传输介质上与各种其他装置通信的单元。处理器1200负责管理总线架构和通常的处理，存储器1220可以存储处理器1200在执行操作时所使用的数据。

本发明另一实施例的蓝牙ic卡，如图13所示，包括收发机1310、存储器1320、处理器1300及存储在所述存储器1320上并可在所述处理器1300上运行的计算机程序；所述处理器1300执行所述计算机程序时实现如上应用于蓝牙ic卡的认证方法。

在图13中，总线架构(用总线1330来代表)，总线1330可以包括任意数量的互联的总线和桥，总线1330将包括由处理器1300代表的一个或多个处理器和存储器1320代表的存储器的各种电路链接在一起。总线1330还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口1340在总线1330和收发机1310之间提供接口。收发机1310可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器1300处理的数据通过天线1350在无线介质上进行传输，进一步，天线1350还接收数据并将数据传送给处理器1300。

处理器1300负责管理总线1330和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器1320可以被用于存储处理器1300在执行操作时所使用的数据。

可选的，处理器1300可以是cpu、asic、fpga或cpld。

本发明实施例的一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上应用于移动终端的认证方法中的步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(read-onlymemory，简称rom)、随机存取存储器(randomaccessmemory，简称ram)、磁碟或者光盘等。

本发明实施例的一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上应用于管理系统的认证方法中的步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(read-onlymemory，简称rom)、随机存取存储器(randomaccessmemory，简称ram)、磁碟或者光盘等。

本发明实施例的一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上应用于蓝牙ic卡的认证方法中的步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(read-onlymemory，简称rom)、随机存取存储器(randomaccessmemory，简称ram)、磁碟或者光盘等。

进一步需要说明的是，此说明书中所描述的终端包括但不限于智能手机、平板电脑等，且所描述的许多功能部件都被称为模块，以便更加特别地强调其实现方式的独立性。

本发明实施例中，模块可以用软件实现，以便由各种类型的处理器执行。举例来说，一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块，举例来说，其可以被构建为对象、过程或函数。尽管如此，所标识模块的可执行代码无需物理地位于一起，而是可以包括存储在不同位里上的不同的指令，当这些指令逻辑上结合在一起时，其构成模块并且实现该模块的规定目的。

实际上，可执行代码模块可以是单条指令或者是许多条指令，并且甚至可以分布在多个不同的代码段上，分布在不同程序当中，以及跨越多个存储器设备分布。同样地，操作数据可以在模块内被识别，并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集，或者可以分布在不同位置上(包括在不同存储设备上)，并且至少部分地可以仅作为电子信号存在于系统或网络上。

在模块可以利用软件实现时，考虑到现有硬件工艺的水平，所以可以以软件实现的模块，在不考虑成本的情况下，本领域技术人员都可以搭建对应的硬件电路来实现对应的功能，所述硬件电路包括常规的超大规模集成(vlsi)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备，诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。

上述范例性实施例是参考该些附图来描述的，许多不同的形式和实施例是可行而不偏离本发明精神及教示，因此，本发明不应被建构成为在此所提出范例性实施例的限制。更确切地说，这些范例性实施例被提供以使得本发明会是完善又完整，且会将本发明范围传达给那些熟知此项技术的人士。在该些图式中，组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的，并无意成为限制用。如在此所使用地，除非该内文清楚地另有所指，否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时，表示所述特征、整数、步骤、操作、构件及/或组件的存在，但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示，陈述时，一值范围包含该范围的上下限及其间的任何子范围。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。