一种身份认证设备的多应用方法及系统与流程

本发明属于信息安全技术领域，具体涉及一种身份认证设备的多应用方法及系统。

背景技术：

身份认证设备(网银盾)作为个人身份认证和数字签名设备，已经被网银、电子政务等广泛用于终端认证产品。央行多次出台政策文件要求加强网银安全建设，包括采用网银盾等硬件作为网银交易安全保障的终端。近些年来，随着网银市场的蓬勃发展身份认证设备已经不仅仅广泛应用于各大银行，鉴于身份认证产品的安全性各种企业也纷纷使用该产品做为内部身份认证的工具。

目前现有的实现方案是每个应用如每个银行针对个人网银应用都对应一款设备，即使是同一个人在同一个银行拥有的不同网银账户也需要使用不用的网银盾产品，因此造成每个人拥有好多把网银盾的现状。这种现象在浪费资源的同时也增加了个人对网银盾管理的复杂度。

因此，有必要发明一种身份认证设备的多应用方法以解决上述问题。

技术实现要素：

针对现有技术中存在的缺陷，本发明的目的是提供一种身份认证设备的多应用方法，能让同一认证设备适用于不同的网银系统或不同认证终端，不仅能大大的减少个人或企业持有身份认证设备的数量、减少人们对身份认证产品管理的复杂度，还能通过认证终端的快速切换多种通信协议，减少用户操作的复杂度提升了用户体验。

为达到以上目的，本发明采用的技术方案是：

一种身份认证设备的多应用方法，所述方法包括以下步骤：

(1)将认证设备的通信协议设置为预设通信协议后，将认证设备通过接口模块与认证终端连接；

(2)认证终端利用用户管理工具根据预设通信协议枚举出所述认证设备支持的所有应用；

(3)用户在所述认证终端上选择所需应用，认证设备判断所述应用使用的通信协议与预设的通信协议是否相符；

(4)如果相符，应用管理模块将所述认证设备切换到所述应用下，用户在所述应用中操作。

进一步的，步骤(4)具体包括：

认证设备中通信接口模块将所述应用名称发送给应用管理模块，所述应用管理模块将处理响应发送给所述通信接口模块，最后所述通信接口模块将执行结果返回给所述认证终端。

进一步的，所述方法还包括：若不相符，则认证设备根据所述应用对应的通信协议标示将主控芯片复位，再重复步骤(2)和步骤(4)。

进一步的，所述认证设备中的应用相对独立，每个应用支持自己的认证密钥和证书，在不同应用的下拥有独立的安全状态。

进一步的，所述方法还包括：当用户需在满足应用创建和作废权限时可以通过应用管理模块添加新的应用或者删除旧的应用。

为达到以上目的，本发明采用的另一种技术方案是：一种身份认证设备的多应用系统，所述系统包括至少一个认证终端和认证设备；

所述认证终端中包括用户管理工具，所述用户管理工具用于当认证终端连接认证设备时，枚举认证设备支持的所有应用并将各种应用显示在认证终端的用户使用界面上；

认证设备包括：通信接口模块、应用管理模块和至少一个应用单元；

所述通信接口模块包括所有应用单元需要的接口；

所述应用管理模块用于根据用户选择将所述认证设备切换至对应的应用单元；

所述应用单元相对独立，支持自己的认证密钥和证书，在不同应用的下拥有独立的安全状态。

进一步的，所述通信接口模块包括：有线接口和无线接口。

进一步的，所述应用管理模块还用于管理所述认证设备中的应用单元，如应用的创建与作废、应用的选择与使用。

进一步的，所述认证设备支持多种usb协议，认证设备使用预设协议连接认证终端，所述用户管理工具使用预设的通信协议枚举出所述认证设备支持的所有应用。

进一步的，如果用户选择的应用使用的通信协议与预设的通信协议不符，认证设备根据所述应用对应的通信协议标识将主控芯片复位，所述认证终端重新识别枚举认证设备中的应用。

本发明的效果在于，本发明所述的方法及系统，能让同一认证设备适用于不同的网银系统或不同认证终端，不仅能大大的减少个人或企业持有身份认证设备的数量、减少人们对身份认证产品管理的复杂度，还能通过认证终端的快速切换多种通信协议，减少用户操作的复杂度提升了用户体验。

附图说明

图1为本发明所述方法的一实施例的流程示意图；

图2为本发明所述系统的一实施例的流程示意图。

具体实施方式

为使本发明解决的技术问题、采用的技术方案和达到的技术效果更加清楚，下面将结合附图对本发明实施例的技术方案作进一步的详细描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，均属于本发明保护的范围。

参阅图1，图1是本发明所述方法一实施例的流程示意图。

一种身份认证设备的多应用方法，包括以下步骤：

步骤101：将认证设备的通信协议设置为预设通信协议后，将认证设备通过接口模块与认证终端连接。

首先需要指出的是，为了能让同一认证设备适用于不同的网银系统或不同认证终端，同一认证设备包括至少一个应用。每个应用对应一个使用环境，比如当认证设备为网银盾时，一个网银盾上允许拥有建行的网银应用和中行的网银应用，也可能会存在工作电脑的域登录应用。每个应用相对独立，可以支持使用相同或不同的通信协议，同时每个应用支持自己的认证密钥和证书，在不同应用的下拥有独立的安全状态。

还需要指出的是，当认证设备中存在多中应用时，可能会涉及到多个通信协议，如msc、ccid和hid等等。为了实现不同通信协议间切换，在认证设备与认证终端连接前，先将认证设备的通信协议设置为预设通信协议，预设通信协议为上述通信协议中的一种。优选的，预设通信协议为所有应用中支持率最高的一种。至于具体为哪一种通信协议，在此不做限定。

步骤102：认证终端利用用户管理工具根据预设通信协议枚举出所述认证设备支持的所有应用。

当认证终端连接认证设备时，认证终端的用户管理工具开始枚举认证设备支持的所有应用并将各种应用显示在认证终端的用户使用界面上。

步骤103：用户在所述认证终端上选择所需应用，认证设备判断所述应用使用的通信协议与预设的通信协议是否相符。

步骤104：如果相符，应用管理模块将所述认证设备切换到所述应用下，用户在所述应用中操作。

如果相符，应用管理模块将所述认证设备切换到所述应用下，用户后续的使用将会限制在该应用下，如果用户需要使用其他应用需要重新选择。

具体的，认证设备中通信接口模块将所述应用名称发送给应用管理模块，所述应用管理模块将处理响应发送给所述通信接口模块，最后所述通信接口模块将执行结果返回给所述认证终端。

若不相符，则认证设备根据所述应用对应的通信协议标示将主控芯片复位，再重复步骤102和步骤104。

即若不相符，则认证设备将所选择应用对应的通信协议和应用标识记录在主控芯片中，同时将主控芯片复位。主控芯片复位后首先认证设备根据记录的通信标示和应用标示将认证设备切换到相应的通信协议和应用中，然后认证终端利用用户管理工具再次枚举出所述认证设备支持的所有应用。需要说明的是，上述关于认证设备内部实现的通信协议切换的过程用户本身不会有感知，所以用户不需要再次选择所需应用，不会影响用户体验。

用户还可以根据使用需求管理应用。具体的，当用户需在满足应用创建和作废权限时可以通过应用管理模块添加新的应用或者删除旧的应用。

区别于现有技术，本发明提供的一种身份认证设备的多应用方法，能让同一认证设备适用于不同的网银系统或不同认证终端，不仅能大大的减少个人或企业持有身份认证设备的数量、减少人们对身份认证产品管理的复杂度，还能通过认证终端的快速切换多种通信协议，减少用户操作的复杂度提升了用户体验。

参阅图2，图2为本发明所述系统的一实施例的流程示意图。

所述系统100包括至少一个认证终端101和认证设备102，这样能将同一认证设备102应用于不同的认证终端101中，从而大大的减少个人或企业持有身份认证设备的数量、减少人们对身份认证产品管理的复杂度。

所述认证终端101中包括用户管理工具1011，所述用户管理工具1011用于当认证终端101连接认证设备102时，枚举认证设备102支持的所有应用并将各种应用显示在认证终端101的用户使用界面上。

具体的，所述认证设备102支持多种usb协议，认证设备102使用预设协议连接认证终端101，所述用户管理工具1011使用预设的通信协议枚举出所述认证设备102支持的所有应用。

认证设备102包括：通信接口模块1021、应用管理模块1022和至少一个应用单元1023。

所述通信接口模块1021包括所有应用单元需要的接口。所述通信接口模块1021包括：有线接口和无线接口。具体的，通信接口模块1021做为认证设备102的一部分，用于连接认证设备102和认证终端101，是两者之间数据传输的通道。该通信接口模块1021包括常见的有线接口(如usb、7816、串口、spi等)和无线接口(如蓝牙、音频、红外、wifi、声波等)。

所述应用单元1023相对独立，支持自己的认证密钥和证书，在不同应用的下拥有独立的安全状态。

需要指出的是，为了能让同一认证设备102适用于不同的网银系统或不同认证终端101，同一认证设备102包括至少一个应用1023。每个应用1023对应一个使用环境，比如当认证设备102为网银盾时，一个网银盾上允许拥有建行的网银应用和中行的网银应用，也可能会存在工作电脑的域登录应用。每个应用1023相对独立，可以支持使用相同或不同的通信协议，例如，a应用标准的ccid协议，b应用使用hid协议。同时每个应用支持自己的认证密钥和证书，在不同应用的下拥有独立的安全状态。

为了实现不同通信协议间切换，在认证设备102与认证终端101连接前，先将认证设备102的通信协议设置为预设通信协议，预设通信协议为上述通信协议中的一种。优选的，预设通信协议为所有应用中支持率最高的一种。至于具体为哪一种通信协议，在此不做限定。

用户需要根据认证终端101中枚举的所有应用选择所需要使用的应用。在用户选择相应的应用后，认证设备102判断所述应用使用的通信协议与预设的通信协议是否相符。

如果用户选择的应用使用的通信协议与预设的通信协议相符，所述应用管理模块1022根据用户选择将认证设备102切换至对应的应用单元1023，后续用户操作将在该应用中执行。

如果用户选择的应用使用的通信协议与预设的通信协议不符，认证设备102根据所述应用对应的通信协议标识将主控芯片复位，所述认证终端101需要重新识别枚举认证设备102中的应用。具体的，若不相符，则认证设备102将所选择应用对应的通信协议和应用标识记录在主控芯片中，同时将主控芯片复位。主控芯片复位后首先认证设备102根据记录的通信标示和应用标示将认证设备102切换到相应的通信协议和应用中，然后认证终端101利用用户管理工具再次枚举出所述认证设备102支持的所有应用。需要说明的是，上述关于认证设备102内部实现的通信协议切换的过程用户本身不会有感知，所以用户不需要再次选择所需应用，不会影响用户体验。

所述应用管理模块1022还用于管理所述认证设备102中的应用单元1023，如应用的创建与作废、应用的选择与使用。需要说明的是，当用户满足应用创建和作废权限时，才可以添加新的应用或者删除旧的应用。

区别于现有技术，本发明提供的一种身份认证设备的多应用系统，能让同一认证设备适用于不同的网银系统或不同认证终端，不仅能大大的减少个人或企业持有身份认证设备的数量、减少人们对身份认证产品管理的复杂度，还能通过认证终端的快速切换多种通信协议，减少用户操作的复杂度提升了用户体验。

本领域技术人员应该明白，本发明所述的方法并不限于具体实施方式中所述的实施例，上面的具体描述只是为了解释本发明的目的，并非用于限制本发明。本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围，本发明的保护范围由权利要求及其等同物限定。