J.服务器将收到的第二随机码与所述移动终端身份码对应的身份密钥及鉴权算法进行运算得到第四鉴权响应值; k.服务器将步骤D与步骤F的IP地址进行对比,若两者一致,则进入步骤L,若不一致,则结束本次认证进程; L.服务器将第三鉴权响应值与第四鉴权鉴权响应值进行对比,若两者相,则移动终端通过认证,若不相同,则结束本次认证进程。5.如权利要求4所述的基于远近场数据交互的用户身份安全认证方法,其特征在于,所述移动终端为移动手机,所述手机内插有物理U/S頂卡及存有若干与之关联的頂SI号码,服务器建立并存储所述MSI号码与移动手机的身份码唯一的归属关系,所述頂SI号系服务器依据其与移动手机身份码的归属关系向移动手机发送,服务器中内置有与所述MSI号码唯一对应的物理U/S頂卡; 步骤A中,所述认证请求信息还包括頂SI号码,步骤L之后还包括,服务器根据頂SI号码查找该IMSI对应或归属的身份码,若所查找到的身份码与认证通过的移动终端的身份码一致,则MSI号码通过服务器的认证。6.如权利要求5所述的基于远近场数据交互的用户身份安全认证方法,其特征在于,移动网络对所述若干个MSI号码完成鉴权后,所述頂SI号码连接服务器以便服务器记录移动网络为所述MSI号码分配的IP地址,移动终端向服务器发送数据传输时,包括以下步骤: 移动终端将数据按照MSI号的个数进行等量分割成若干个数据块; 在各个数据块中插入业务特征码,对各个数据块分配级联号; 将数据块分配给相应的MSI号在移动网络中传输; 服务器接收各个数据块后根据业务特征码及级联号对各个数据块进行组装还原并发往roN网或互联网; 服务器接收ton网或互联网的数据后向移动终端发送时,包括以下步骤: 服务器按照移动终端身份码所辖的msi号,将数据按照頂si号的个数进行等量分割成各个数据块; 在各个数据块中插入业务特征码,对各个数据块分配级联号; 将数据块分配给MSI号对应的IP地址通道在移动网络中传输; 移动终端接收各个数据块后根据业务特征码及级联号对各个数据块进行组装还原。7.基于远近场数据交互的用户身份安全认证移动终端,其特征在于,包括: 认证请求发起模块,用于向服务器发起认证请求,认证请求信息包括移动终端的身份码,所述移动终端的身份码为唯一标识移动终端身份的标识信息,所述身份码与移动终端内置身份密钥唯一对应,移动终端内置唯一的身份密钥; 第一认证模块,用于将服务器发送的第一随机码与自身身份密钥及鉴权算法进行运算得到的第二鉴权响应值发送给服务器; 第二认证模块,用于将自身生成的第二随机码与自身身份密钥及鉴权算法进行运算得到的第三鉴权响应值发送给服务器; 发送失败短信模块,用于不能成功地向服务器发送所述第三鉴权响应值时,移动终端向服务器发送认证失败短信。8.如权利要求7所述的基于远近场数据交互的用户身份安全认证移动终端,其特征在于,还包括: 虚拟手机号码鉴权模块,用于向服务器申请对虚拟手机号码辅助鉴权; 数据拆分级联模块,用于移动终端将数据按照已通过网络鉴权的MSI号码个数进行等量划分成相应的数据块,在各个数据块中插入业务特征码,对各个数据块分配级联号,将数据块分配给所述的IMSI号码在移动网络中传输;还包括用于移动终端接收服务器发送的各个数据块后,根据业务特征码及级联号对各个数据块进行组装还原。9.基于远近场数据交互的用户身份安全认证服务器,包括服务器通信模块,用于进行数据传输,其特征在于,还包括: 移动终端身份认证模块,用于接收移动终端认证请求后,生成第一随机码并发送给移动终端,同时服务器利用移动终端的身份码对应的身份密钥及鉴权算法对第一随机码进行运算得到第一鉴权响应值,将第一鉴权响应值与接收移动终端发送的第二鉴权响应值进行对比,若相同且服务器没有收到移动终端发送认证失败短信,则服务器将移动终端发送第二鉴权响应值和发送第二随机码时的两个IP地址进行对比,若两者一致,利用移动终端身份码对应的身份密钥及鉴权算法对移动终端发送的第二随机码进行运算得到第四鉴权响应值,并将移动终端发送的第三鉴权响应值与所述第四鉴权鉴权响应值进行对比,若两者相同,则移动终端身份通过认证,若不同,则结束本次认证流程;若收到移动终端发送认证失败短信,则直接结束本次认证流程; 身份认证失败短信模块,用于接收移动终端认证失败短信。10.如权利要求9所述的基于远近场数据交互的用户身份安全认证服务器,其特征在于,还包括MSI号码认证模块,用于在完成对移动终端身份码的认证后,对移动终端发送的頂SI号有效性进行认证,服务器根据建立并存储所述頂SI号码与移动手机的身份码唯一的归属关系表,以所述IMS号查找其对应或归属的身份码,若所查找到的身份码与认证通过的移动终端的身份码一致,则MSI号认证通过。11.如权利要求10所述的基于远近场数据交互的用户身份安全认证服务器,其特征在于,还包括数据拆分级联模块,用于记录已通过网络鉴权的IMSI号码告知服务器时的其IP地址,还用于服务器接收移动终端发送的各个数据块后,根据数据块的业务特征码及级联号对各个数据块进行组装还原并发往roN网或互联网,还用于服务器按照移动终端身份码所辖的MSI号,将收到的PDN网或互联网数据按照頂SI号的个数等量分割为若干数据块,在各个数据块中插入业务特征码,对各个数据块分配级联号,将数据块分配给所述IMSI号对应的IP地址通道通过移动网络发往移动终端。12.基于远近场数据交互的用户身份安全认证第一终端,其特征在于,包括: 认证请求模块,向服务器发起认证请求,认证请求中包括第一终端的身份码,所述第一终端的身份码为唯一标识第一终端身份的标识信息,所述身份码与第一终端内置的若干身份密钥对应,一个身份密钥对应一个密钥编号; 解码模块,用于对收到数据中的第一加密数据进行备份,同时仅当第一终端扫描设备采集到第二终端的接入码后,第一终端才对接收到的所述密钥编号查找其的内置身份密钥,并利用内置解码算法及所述身份密钥对收到的第一加密数据进行解密运算以获得所述随机码; 终端数据设备锁定模块,用于第一终端在采集到接入码后将其近场通信设备及无线数据通信设备锁定,以使其不被其他进程修改或关闭; 身份鉴权计时或计数模块,用于在第一终端在向第二终端发送认证数据后,开始对第二终端认证数据返回时间的计时或计数; 近场通信模块,用于与第二终端进行近场数据传输; 加密模块,用于任选第一终端内置身份密钥并以内置加密算法对第二终端返回认证数据的时间或期间的计数脉冲进行加密得到第二加密数据,然后将第二终端的第η个鉴权响应值、第二终端的身份码及第一终端的身份码、第二加密数据和第二加密数据密钥对应的密钥编号发送给服务器; 存储模块,用于存储第一终端的身份码与第一终端内置的若干身份密钥及身份密钥与密钥编号的对应关系数据; 数据采集解锁及闭锁模块,用于第一终端收到服务器解锁指令后,开启近场通信设备及扫描设备的数据采集功能,并在第一终端完成向服务器发送认证数据后,关闭近场通信设备及扫描设备的数据采集功能; 短信信息验证模块,用于将收到的短信嵌入的第一加密数据与本机存留的第一加密数据进行比对,若两者不一致,则提示用户本条短信信息为造假信息。13.基于远近场数据交互的用户身份安全认证第二终端,其特征在于,包括: 接入码产生模块,用于随机生成接入码,用于近场通信终端间的通道接入; 随机码个数鉴别模块,用于第二终端在一次身份认证进程中鉴别收到随机码的个数,在所述接入码的近场通信中,第二终端只能且仅允许收到一个随机码,否则结束认证进程; 身份鉴权及次数识别模块,用于第二终端根据接收并辨识动态鉴权运算的次数η,以及根据所述数字η与第二终端内置身份密钥经其内置鉴权算法运算得到本次变型身份密钥,然后根据接收的所述随机码与所述变型身份密钥经其内置鉴权算法进行第一次鉴权运算得到第一鉴权响应值,再以所述第一鉴权响应值与所述变型身份密钥经其内置鉴权算法进行第二次鉴权运算得到第二鉴权响应值,又以此第二鉴权响应值与所述变型身份密钥经其内置鉴权算法进行第三次鉴权运算得到第三鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,其后将所述第η个鉴权响应值和第二终端的身份码发送给第一终端,所述第二终端的身份码为唯一标识第二终端身份的标识信息,所述身份码与第二终端的内置身份密钥唯一对应,第二终端只有一个唯一的内置身份密钥; 存储模块,用于存储第二终端的身份码与第二终端的内置身份密钥及内置鉴权算法数据。14.基于远近场数据交互的用户身份安全认证服务器,其特征在于,包括: 加密模块,用于对第一终端身份码验证通过后生成随机码,选取第一终端身份码对应的任一身份密钥及其对应加密算法,并以所述身份密钥及加密算法与所述随机码运算后得到第一加密数据,将所述第一加密数据连同所述身份密钥对应的密钥编号及本次对第二终端的动态鉴权次数η发送给第一终端; 第一终端、第二终端身份认证模块,用于服务器根据接收数据中第一终端的身份码查询本次第二终端的动态鉴权次数η,同时将接收数据中的第二终端身份码查询其对应的身份密钥及鉴权算法与所述数字η进行运算得到本次变型身份密钥,然后将第一终端身份码对应的所述备份随机码与所述变型身份密钥经鉴权算法进行第一次鉴权运算得到第一鉴权响应值,再将所述第一鉴权响应值与所述变型身份密钥经所述鉴权算法进行第二次鉴权运算得到第二鉴权响应值,又以此第二鉴权响应值与所述变型身份密钥经所述鉴权算法进行第三次鉴权运算得到第三鉴权响应值,以次类推以完成η次鉴权运算后得到第η个鉴权响应值,其后将收到数据中的第一终端身份码及其密钥编号查询对应的身份密钥及解密算法与所述第二加密数据进行解密运算获得第二终端的身份认证时间或计数脉冲,若其收到数据中的所述第η个鉴权响应值与服务器经η次鉴权运算后获得的所述第η个鉴权响应值相同,且对第二加密数据解密后得到所述η次动态鉴权对应的时间或计数脉冲小于规定值,则完成对第一终端及第二终端的认证; 数据备份模块,用于对所述随机码及所述第一加密数据进行备份。
【专利摘要】本发明涉及远近程通信及数据安全技术,旨在解决现有技术很难保障远近程数据交互的安全性问题,提出一种基于用户身份的安全认证而实现的移动支付和虚拟号免漫游及多号多信道提升网速的方法。本发明通过更换集成本系统认证功能的Micro-sd或U/SIM卡以增强手机对木马的抵抗力并使得智能手机可全面POS化。近场支付,本系统服务器向手机POS下发认证数据,并由手机POS向服务器中转支付手机的限时反馈认证数据,所传回数据与服务器的数据相同才能通过身份认证;远程支付,通过本系统对用户身份码的两次认证防堵远端盗取用户数据的途径,同时提出一套对虚拟号码远端鉴权的安全保障流程,从而实现虚拟号码的免漫游应用和多虚拟号多载波的网速提升。
【IPC分类】G06Q20/40, G06Q20/38, G06Q20/20, G06Q20/32
【公开号】CN105373919
【申请号】CN201510705976
【发明人】熊文俊, 杨盛麟
【申请人】熊文俊
【公开日】2016年3月2日
【申请日】2015年10月27日