询其对应的身份密钥与所述第一随机码经鉴权算法得到第一鉴权响应并存储。手机将收到的第一随机码与内置的身份密钥经其鉴权算法运算得到第二鉴权响应并回复服务器,服务器记录该手机的IP地址。其后服务器将第一鉴权响应值与第二鉴权响应值进行比对,若不同,则拒绝为该手机提供服务若相同,则进行防堵智能远端盗号木马的第二次身份认证。手机在运算第二鉴权响应值时便触发向服务器发起第二次认证的流程,手机向服务器发送第二随机码以发起第二次身份认证,服务器收到第二随机码并回复手机,同时记录该手机的^地址。手机收到服务器回复后,便将所述第二随机与其内置的身份密钥经鉴权算法运算得到的第三鉴权响应值发往本服务器,若手机不能成功地向服务器发送第三鉴权响应,则发送认证失败短信并结束手机认证流程。当然,若此时该主用U/S頂已通过认证并上网通信,则本服务器不理会对相同身份码的认证申请。相应地,若服务器没收到认证失败短信,则在查询该手机身份码对应的身份密钥后,将收到的该第二随机码与查得的所述身份密钥经鉴权算法运算得到第四鉴权响应,随后服务器作如下判定:i >将该手机身份码第一次身份认证时应的IP地址与其第二次身份认证时的^地址进行比对,若不同,则服务器停止对该手机身份码提供服务;ii >若相同,则将第三鉴权响应与第四鉴权响应值进行比对,如果相同,则该手机身份码通过服务器的认证,若不同,则拒绝对该手机身份码的服务;若收到认证失败短信,则直接拒绝对该手机身份码的服务。在手机身份码通过本服务器认证后,随后查验所述IMSI与该手机身份码的归属关系,若验证通过,则当所述頂SI向移动网络申请注册并被移动网络要求鉴权时,手机通过主用U/S頂与服务器已建立的通道将移动网络下发的鉴权参数,如rand或rand、AUTN或Kasme传与服务器,并由服务器调用读卡器读取该MSI号对应U/SIM卡参与鉴权,随后经该通道将所需的鉴权响应值Sres返回手机并由手机回复移动网络进行鉴权;若验证没通过,则拒绝对该该IMSI号的鉴权服务。若该頂SI号码通过其归属的移动网络鉴权,则该虚拟号码便可以当地资费进行通信。若IMSI号被盗用,一方面由于该頂SI号在非归属手机身份码的关系链的上使用,其不能通过服务器对手机身份码归属关系链的成员认证,另一方面由于手机位置的移动,为其服务的基站或扇区可能变化,因此手机因联合位置更新或周期性联合位置更新而被要求重新鉴权,故即使IMSI号被盗也不能使用。鉴于已鉴权的IMSI号占用基站同扇区同频点的不同时隙,因此主号、副号能同时待机。
[0142]四、网络提速
[0143]为既能大幅度地提升网速,又能降低建设投入及节省更换手机的成本,用户通过更换有两次认证流程的本系统功能载体U/S頂或Micro-sd卡以实现对手机网速的提升。本系统服务器充当互联网或PDN网代理服务器的角色,将手机通信数据在移动网络与互联网络间转出、转入。以移动网络的PS域数据业务为例,流程如下:
[0144]如上所述,首先用户需在服务上注册以成为本系统的成员,并建立以手机身份码为链首的多MSI号的归属关系链。当用户手机切换为提速模式时,服务器通过如上流程对手机身份码进行两次认证,同时查验IMSI号与该手机身份码的归属关系,完成对各頂SI的辅助鉴权。若手机的各MSI通过了移动网络的对其鉴权,则服务器利用该些頂SI需与服务器激活的契机获取移动网络为其分配的IP地址。手机在提速模式下共享手机原有的资料、资源,其上传的数据包前缀IP地址全部指向本系统服务器,若用户以单IMSI号发送数据,则手机直接将数据发往移动网络并通过网络的PS域SGSN/GGSN或S/P-GW关口设备发往服务器,服务器依数据包头的业务特征码将该数据传送到TON网或互联网;若通过已在服务器激活的多号码上传数据,则手机在上传数据前根据激活的IMSI号数量将该数据拆分为等量的数据子块,并在各子块插入业务特征码及配置各子块级联号和加入冗余校验码后以该些頂SI号上传至移动网络。服务器收到移动网络PS域传送的该些数据后,根据数据包头的业务特征码以数据子块的级联号将该些分散的数据子块组装还原后发往TON网或互联网。同理,本服务器收到TON网或互联网传送的数据后,依数据包头IP地址对应的手机身份码及该身份码关系链所辖的IMSI号,将收到的该TON网或互联网数据拆分成与頂SI号码个数相等的子数据块,并对各子块插入级联业务特征码并配置级联号和加入冗余校验码后,依该些MSI号对应的IP地址将数据发往移动网络。手机收到移动网络对多MSI号下发的数据后,根据该数据携带的业务特征码和级联编号将该些分散的数据子块组装还原为完整的数据。本技术通过手机多个MSI号向基站申请与其主用U/S頂卡同频点的多个正交子载波及不同时隙,对于副号与主号码注册在不同运营商或不同制式网络或不同基站扇区及不同频点情况,部分手机的射频模块可能不支持本业务,或需升级手机基带ROM。
【主权项】
1.基于远近场数据交互的用户身份安全认证方法,其特征在于,包括如下步骤: A.第一终端以业务码向服务器发起认证请求,认证请求中包括第一终端的身份码,月艮务器根据所述第一终端的身份码对第一终端进行认证,所述第一终端的身份码为唯一标识第一终端身份的标识信息,所述身份码与第一终端内置的若干身份密钥对应,一个身份密钥对应一个密钥编号; B.服务器对第一终端身份码验证通过后生成随机码,然后选取第一终端身份码对应的任一身份密钥及其对应加密算法,并以所述身份密钥及加密算法与所述随机码运算后得到第一加密数据,其后将所述第一加密数据和所述身份密钥对应的密钥编号以及本次第二终端的动态鉴权次数η发送给第一终端,同时备份所述随机码及第一加密数据和动态鉴权次数η,记录所述随机码与第一终端身份码的对应关系; C.第二终端随机生成接入码,当第一终端通过非接触方式采集所述接入码后,便触发第一终端根据接收到的所述密钥编号查找对应的内置身份密钥,并利用内置解密算法及所述内置身份密钥对接收的第一加密数据进行解密运算获得所述随机码,随后依据所述接入码通过近场通信将所述随机码及动态鉴权运算次数η发送给第二终端,与此同时触发对第二终端认证数据返回时间的计时或计数; D.第二终端将接收的动态鉴权运算次数的数字η与第二终端内置身份密钥经其内置鉴权算法运算得到本次变型身份密钥,然后第二终端根据接收的所述随机码与所述变型身份密钥经所述内置鉴权算法进行第一次鉴权运算得到第一鉴权响应值,随后再以所述第一鉴权响应值与变型身份密钥经所述内置鉴权算法进行第二次鉴权运算得到第二鉴权响应值,再以此第二鉴权响应值与所述变型身份密钥经所述内置鉴权算法进行第三次鉴权运算得到第三鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,其后将所述第η个鉴权响应值和第二终端的身份码发送给第一终端,所述第二终端的身份码为唯一标识第二终端身份的标识信息,所述身份码与第二终端的内置身份密钥唯一对应,第二终端只有一个唯一的内置身份密钥; Ε.第一终端任选一内置身份密钥并以内置加密算法对第二终端返回认证数据的时间或期间的计数脉冲进行加密得到第二加密数据,然后将所述的第η个鉴权响应值、第一终端的身份码、第二终端的身份码以及第二加密数据和第二加密数据密钥对应的密钥编号发送给服务器; F.服务器接收第一终端发送的数据,服务器根据接收数据中第一终端的身份码查询本次对第二终端的动态鉴权次数η,同时将接收数据中第二终端身份码查询的对应身份密钥及鉴权算法与所述数字η进行运算得到本次变型身份密钥,然后将发送给第一终端身份码的所述备份随机码与所述变型身份密钥经所述鉴权算法进行第一次鉴权运算得到第一鉴权响应值,再将所述第一鉴权响应值与所述变型身份密钥经所述鉴权算法进行第二次鉴权运算得到第二鉴权响应值,又以此第二鉴权响应值与所述变型身份密钥经所述鉴权算法进行第三次鉴权运算得到第三鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,然后将所接收数据中的第一终端身份码及其密钥编号查询的身份密钥及解密算法与所述第二加密数据进行解密运算得到第二终端的身份认证时间或计数脉冲,若所接收数据中的所述第η个鉴权响应值与服务器经η次鉴权运算后获得的所述第η个鉴权响应值相同,且对第二加密数据解密后得到所述η次动态鉴权对应的时间或计数脉冲小于规定值,则通过对第一终端及第二终端的认证。2.如权利要求1所述的基于远近场数据交互的用户身份安全认证方法,其特征在于,所述第一终端为收款终端,所述第二终端为付款终端,服务器向收款终端发送所述第一加密数据时,步骤B中,服务器选取收款终端任一身份密钥及其算法对随机码进行加密运算得到第一加密数据之后对所述随机码及第一加密数据进行备份,同时在收款终端收到释放近场通信设备及扫描设备闭锁指令后开启其数据采集功能,并在采集到接入码后将其近场通信设备及无线数据通信设备锁定,以使其不被其他进程修改或关闭,步骤C中,收款终端对服务器发送的第一加密数据备份,步骤E中,收款终端向服务器发送的数据包括交易金额,收款终端完成向服务器发送认证数据后关闭其近场通信设备及扫描设备的数据采集功能,步骤F中,服务器完成对收款终端及付款终端身份认证后,从付款终端绑定的银行卡中向收款终端绑定的银行卡或信用卡中划付交易对应的金额。3.如权利要求2所述的基于远近场数据交互的用户身份安全认证方法,其特征在于,步骤D中,第二终端在所述接入码的近场通信中仅能收到一个所述的随机码,否则结束进程;步骤F中,交易完成后,服务器以所述备份的第一加密数据作为短信验证码向第一终端发送交易回执的短信通知,第一终端将收到所述短信的验证码与其备份的第一加密数据进行比对,若两者不一致,则提示用户本条短信信息为造假信息。4.基于远近场数据交互的用户身份安全认证方法,其特征在于,包括如下步骤: A.移动终端以业务码向服务器发起认证请求,认证请求信息包括移动终端的身份码,所述移动终端的身份码为唯一标识移动终端身份的标识信息,所述身份码与移动终端内置身份密钥唯一对应,移动终端内置唯一的身份密钥; B.服务器在接收认证请求后,生成第一随机码并发送给移动终端,同时服务器查询移动终端身份码对应的身份密钥及其鉴权算法,并以所述身份密钥及鉴权算法与第一随机码进行运算得到第一鉴权响应值; C.移动终端将接收的第一随机码与其内置身份密钥及鉴权算法进行运算得到第二鉴权响应值并发送给服务器,同时启动步骤E ;所述第一次鉴权运算与第二次鉴权运算使用相同的算法; D.服务器将所述第一鉴权响应值与接收的第二鉴权响应值进行对比,若两者一致,则记录步骤C移动终端发送第二鉴权响应值时的IP地址,然后进入步骤F,否则结束本次认证流程; E.移动终端生成第二随机码发往服务器; F.服务器收到所述第二随机码后记录移动终端的IP地址,并回复移动终端信息已收到; G.移动终端在收到服务器回复后,将所述第二随机码与其内置身份密钥及鉴权算法进行运算得到第三鉴权响应值并发送给服务器; H.若移动终端不能成功地向服务器发送所述第三鉴权响应值,则移动终端向服务器发送认证失败短信,移动终端结束本次认证流程; 1.服务器没有收到移动终端发送认证失败短信,则进入步骤J,否则结束本次认证进程;