0032]数据备份模块,用于对所述随机码及所述第一加密数据进行备份。
[0033]考虑到日常生活中,较多地利用手机进行远程登录操作以及异地漫游通信和频繁上网的数据业务,本发明还提供一种基于远近场数据交互的用户身份安全认证方法,其特征在于,包括如下步骤:
[0034]Α.移动终端以业务码向服务器发起认证请求,认证请求信息包括移动终端的身份码,所述移动终端的身份码为唯一标识移动终端身份的标识信息,所述身份码与移动终端内置身份密钥唯一对应,移动终端内置唯一的身份密钥;
[0035]Β.服务器在接收认证请求后,生成第一随机码并发送给移动终端,同时服务器查询移动终端身份码对应的身份密钥及其鉴权算法,并以所述身份密钥及鉴权算法与第一随机码进行运算得到第一鉴权响应值;
[0036]C.移动终端将接收的第一随机码与其内置身份密钥及鉴权算法进行运算得到第二鉴权响应值并发送给服务器,同时启动步骤Ε ;所述第一次鉴权运算与第二次鉴权运算使用相同的算法;
[0037]D.服务器将所述第一鉴权响应值与接收的第二鉴权响应值进行对比,若两者一致,则记录步骤C移动终端发送第二鉴权响应值时的IP地址,然后进入步骤F,否则结束本次认证流程;
[0038]E.移动终端生成第二随机码发往服务器;
[0039]F.服务器收到所述第二随机码后记录移动终端的IP地址,并回复移动终端信息已收;
[0040]G.移动终端在收到服务器回复后,再将所述第二随机码与其内置身份密钥及鉴权算法进行运算得到第三鉴权响应值并发送给服务器;
[0041]Η.若移动终端不能向服务器成功发送所述第三鉴权响应值,则移动终端向服务器发送认证失败短信,移动终端结束本次认证流程;
[0042]1.服务器没有收到移动终端发送认证失败短信,则进入步骤J,否则结束本次认证进程;
[0043]J.服务器将收到的第二随机码与所述移动终端身份码对应的身份密钥及鉴权算法进行运算得到第四鉴权响应值;
[0044]k.服务器将步骤D与步骤F的IP地址进行对比,若两者一致,则进入步骤L,若不一致,则结束本次认证进程;
[0045]L.服务器将第三鉴权响应值与第四鉴权鉴权响应值进行对比,若两者相同,则移动终端通过认证,若不相同,则结束本次认证进程。
[0046]具体地,所述移动终端为移动手机,所述手机内插有物理U/S頂卡及存有若干与之关联的MSI号码,服务器建立并存储所述頂SI号码与移动手机的身份码唯一的归属关系,所述IMSI号系服务器依据其与移动手机身份码的归属关系向移动手机发送,服务器中内置有与所述MSI号码唯一对应的物理U/S頂卡;
[0047]步骤A中,所述认证请求信息还包括頂SI号码,步骤L之后还包括,服务器根据IMSI号码查找其对应或归属的身份码,若所查找到的身份码与认证通过的移动终端的身份码一致,则MSI号码通过服务器的认证。
[0048]具体地,移动网络对所述若干个頂SI号码完成鉴权后,所述頂SI号码连接服务器以便服务器记录移动网络为所述MSI号码分配的IP地址,移动终端向服务器发送数据传输时,包括以下步骤:
[0049]移动终端将数据按照頂SI号的个数进行等量分割成若干个数据块;
[0050]在各个数据块中插入业务特征码,对各个数据块分配级联号;
[0051]将数据块分配给相应的頂SI号在移动网络中传输;
[0052]服务器接收各个数据块后根据业务特征码及级联号对各个数据块进行组装还原并发往TON网或互联网;
[0053]服务器接收TON网或互联网的数据后向移动终端发送时,包括以下步骤:
[0054]服务器按照接收数据的IP地址查询对应移动终端身份码及其所辖的頂SI号,将所述数据按照MSI号的个数进行等量分割成各个数据块;
[0055]在各个数据块中插入业务特征码,对各个数据块分配级联号;
[0056]将数据块分配给頂SI号对应的IP地址通道在移动网络中传输;
[0057]移动终端接收各个数据块后根据业务特征码及级联号对各个数据块进行组装还原。
[0058]将无线数据分拆传输并在目标点合并还原以提高数据传输效率,这也是目前世界各大通信运营商寻求的目标,通过本发明的方法,在保证号码安全的同时也使得数据传输更加快捷。
[0059]对应于上述远程数据交互,本发明提供的一种基于远近场数据交互的用户身份安全认证终端,其特征在于,包括:
[0060]认证请求发起模块,用于向服务器发起认证请求,认证请求信息包括移动终端的身份码,所述移动终端的身份码为唯一标识移动终端身份的标识信息,所述身份码与移动终端内置身份密钥唯一对应,移动终端内置唯一的身份密钥;
[0061]第一认证模块,用于将根据服务器发送的第一随机码与自身身份密钥及鉴权算法进行运算得到的第二鉴权响应值发送给服务器;
[0062]第二认证模块,用于将自身生成的第二随机码与自身身份密钥及鉴权算法进行运算得到的第三鉴权响应值发送给服务器。
[0063]进一步地,还包括:
[0064]虚拟手机号码鉴权模块,用于向服务器申请对虚拟手机号码辅助鉴权;
[0065]数据拆分级联模块,用于移动终端将数据按照已通过网络鉴权的頂SI号码个数进行等量划分成相应的数据块,在各个数据块中插入业务特征码,对各个数据块分配级联号,将数据块分配给所述的MSI号码在移动网络中传输;还包括用于移动终端接收服务器发送的各个数据块后,根据业务特征码及级联号对各个数据块进行组装还原。
[0066]对应上述近场应用的终端,本发明提供的一种基于远近场数据交互的用户身份安全认证服务器,包括服务器通信模块,用于进行数据传输,其特征在于,还包括:
[0067]移动终端身份认证模块,用于接收移动终端认证请求后,生成第一随机码并发送给移动终端,同时服务器利用移动终端的身份码对应的身份密钥及鉴权算法对第一随机码进行运算得到第一鉴权响应值,将第一鉴权响应值与接收移动终端发送的第二鉴权响应值进行对比,若结果相同且服务器没有收到移动终端发送认证失败短信,则利用移动终端身份码对应的身份密钥及鉴权算法对移动终端发送的第二随机码进行运算得到第四鉴权响应值,服务器将移动终端发送第二鉴权响应值和发送第二随机码时的两个IP地址进行对比,若两者一致,则将移动终端发送的第三鉴权响应值与所述第四鉴权鉴权响应值进行对比,若两者相同,则该移动终端身份通过认证,若不同,则结束认证流程;若收到移动终端发送的认证失败短信,则直接结束本次认证流程;
[0068]身份认证失败短信模块,用于接收移动终端认证失败短信。
[0069]进一步地,该服务器还包括:
[0070]頂SI号码认证模块,用于在完成对移动终端身份码的认证后,对移动终端发送的IMSI号有效性进行认证,服务器根据建立并存储所述頂SI号码与移动手机的身份码唯一的归属关系表,以所述MS号查找其对应或归属的身份码,若所查找到的身份码与认证通过的移动终端的身份码一致,则MSI号认证通过。
[0071]进一步地,还包括数据拆分级联模块,用于记录已通过网络鉴权的頂SI号码告知服务器时的其IP地址,还用于将数据按照所述IMSI号码个数进行等量划分成相应的数据块,在各个数据块中插入业务特征码,对各个数据块分配级联号,将数据块分配给所述的頂SI对应的IP地址通过移动网络传输给移动终端,还用于服务器接收移动终端发送的各个数据块后,根据数据块的业务特征码及级联号对各个数据块进行组装还原;还用于从移动网络接收各个数据块后,根据业务特征码及级联号对各个数据块进行组装还原后发往PDN网或互联网,还用于按照移动终端身份码所辖的頂SI号,将收到的PDN网或互联网数据按照IMSI号的个数进行等量分割成各个数据块,各个数据块中插入业务特征码,对各个数据块分配级联号将数据块分配给所述IMSI号对应的IP地址通道通过移动网络发往移动终端。
[0072]在本发明涉及的移动终端、第一终端及第二终端中,具备其相应认证流程的功能载体可以为单独的一个硬件模块或卡式插件,在具体应用时,需要将该硬件模块与移动终端进行物理连接,例如应用于移动通信的U/S頂卡,或者具备存储功能的Micro-sd存储卡。除此之外,具备相应功能的功能载体还可以直接置入移动终端,在移动终端生产时即予以集成。
[0073]本发明的有益效果是:通过本发明提供的安全认证方法,用户仅需通过更换具有本系统功能的U/SIM或Micro-sd卡就能很好地解决用户身份的认证问题,降低了木马对敏感数据的威胁,保障了信息通信的安全,实现了网络业务免密码地一键认证,同时极大地扩展了支付业务的P0S数量及应用环境,也为用户提供了免漫游费及高网速业务。
[0074]以下结合实施例的【具体实施方式】对本发明的技术方案作进一步详细描述,应当注意的是,实施例仅仅是为了帮助读者更好地理解本发明的技术构思,并不用以限定本发明的保护范围。
【附图说明】
[0075]图1为实施例的利用本发明的基于远近场数据交互的用户身份安全认证方法进行近场交易支付的流程图;
[0076]图2为实施例的利用本发明的基于远近场数据交互的用户身份安全认证方法进行远程登录身份认证的流程图。
【具体实施方式】
[0077]本发明针对现有的手机支付过程中,收款的P0S数量不足及支付过程中身份认证方案不够安全的问题,分别提供了一种用于近场交互的安全认证方法及远程交互安全认证方法。以下分别通过具体实施例对本发明的技术方案进行详细说明。
[0078]本发明提供的一种基于远近场数据交互的用户身份安全认证方法,具体方案如下。
[0079]步骤一.第一终端以业务码向服务器发起认证请求,认证请求中包括第一终端的身份码,服务器根据所述第一终端的身份码对第一终端进行认证,所述第一终端的身份码为唯一标识第一终端身份的标识信息,所述身份码与第一终端内置的若干身份密钥对应,一个身份密钥对应一个密钥编号;
[0080]步骤二.服务器对第一终端身份码验证通过后生成随机码,然后选取第一终端身份码对应的任一身份密钥及其对应加密算法,并以所述身份密钥及加密算法与所述随机码运算后得到第一加密数据,其后将所述第一加密数据及所述身份密钥对应的密钥编号以及本次第二终端的动态鉴权次数η发送给第一终端,同时备份所述随机码及第一加密数据和动态鉴权次数η,记录所述随机码与第一终端身份码的对应关系;
[0081]步骤三.第二终端随机生成接入码,当第一终端通过非接触方式采集所述接入码后便触发第一终端根据接收到的所述密钥编号查找对应的内置身份密钥,并利用内置解密算法及所述内置身份密钥对接收的第一加密数据进行解密运算得所述随机码,随后依据所述接入码通过近场通信将所述随机码及动态鉴权运算次数η发送给第二终端,与此同时触发对第二终端认证数据返回时间的计时或计数;<