专利名称:身份认证的方法和移动终端、服务器以及身份认证系统的制作方法
技术领域:
本发明涉及技术通信领域,尤其涉及一种身份认证的方法和移动终端、 服务器以及身份认证系统。
背景技术:
随着无线通信技术的飞速发展,基于无线网络的银行交易已经成为重要 的银行交易业务模式。为了保证此种交易的可靠性和安全性,基于对用户身份信息的认证成为网络银行交易业务中的核心问题。现有基于"USB Key" 的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采 用软石更件相结合、 一次一密的强双因子认证模式,很好地解决了安全性与易 用性之间的矛盾。现有的个人计算机(Personal Computer ;以下简称PC) 网银加密卡,基本上就是基于"USB Key"的身份认证方式办理网上银行业 务的高级别安全工具。PC网银力口密卡是一种通用串行总线(Universal Serial Bus;以下简称USB)接口的硬件设备,内置微型智能卡处理器,采用1024 位非对称密钥算法对网上数据进行加密、解密和数字签名,可以存储用户的 密钥或数字证书,利用"USB Key"内置的密码算法实现对用户身份的认证 确保网上交易的保密性、真实性、完整性和不可否认性。但是现有PC网银加密卡存在如下缺陷首先应用PC网银加密卡进行网 银交易时,用户必须同时拥有计算机、PC网银加密卡以及良好的网络环境等 条件,这就决定了用户不能随时随地的使用PC网银加密卡进行网银交易, 应用具有局限性。而且由于要用到计算机,因此需要确保登录网上银行的计 算机安全可靠,定期更新杀毒软件,及时下载补丁程序,不随便打开来路 不明的程序、游戏和邮件,保持良好的上网习惯等等,而且在加载PC网银加密卡时还要调整计算机的设置例如安装加密卡驱动等等,操作复杂。 发明内容本发明提供一种身份认证的方法和移动终端、服务器以及身份认证系统,用以解决现有技术中由于应用PC网银加密卡实现网银交易具有局限性、且操作复杂等缺陷,实现通过手机便可以安全、可靠地进行网银交易。本发明提供一种身份认证的方法,包括设置于移动终端中的数据存储卡接收所述移动终端转发的、远端服务器 发送的用于进行身份认证的认证字符串,所述数据存储卡应用所存储的用户 数字证书对所述认证字符串进行加密处理,获得第一加密字符串;所述数据存储卡将获得的所述第一加密字符串,通过所述移动终端返回 给所述远端服务器供所述远端服务器进行身份认证。本发明提供一种移动终端,包括移动终端主体以及设置在所述移动终端 主体中的数据存储卡,所述数据存储卡包括第一接收模块,用于接收所述移动终端主体转发的、远端服务器发送的 用于进行身份认证的认证字符串;加密处理模块,用于应用所存储的用户数字证书对所述认证字符串进行 加密处理,获得第一加密字符串;第一发送^^莫块,用于将获得的所述第一加密字符串,通过所述移动终端 主体返回给所述远端服务器供所述远端服务器进行身份认证。本发明提供一种服务器,包括第二发送模块,用于向移动终端发送用于身份认证的认证字符串; 第二接收模块,用于接收所述移动终端返回的第一加密字符串,所述第一加密字符串是所述移动终端中的数据存储卡应用所存储的用户数字证书对所述认证字符串进行加密处理而得到的;认证处理模块,用于应用自身存储的所述用户数字证书对所述认证字符串进行加密处理,获得第二加密字符串,并应用所述第二加密字符串和所述第 一 加密字符串对所述移动终端进行身份认证。本发明还提供一种包括上述的移动终端和服务器的身份认证系统。 本发明提供身份认证的方法和移动终端、服务器以及身份认证系统,通过在移动终端中的数据存储卡中存储用于进行用户身份认证所用的用户数字证书,实现用户的身份认证,使得用户应用手机进行网银交易更加安全和方便,而且操作简单;对于用户而言,用户可以随时随地应用手机进行网银交 易,提高服务质量。
图1为本发明身份认证的方法实施例流程图; 图2为本发明移动终端实施例结构示意图; 图3为本发明服务器实施例结构示意图; 图4为本发明身份认证系统实施例组成示意图。
具体实施方式
下面结合附图和具体实施例进一步说明本发明实施例的技术方案。 随着基于无线网络的银行交易业务模式技术的不断发展,"USBKey"的 身份认证方式已经成为现有普遍采用的网4艮交易认证方式。然而应用基于 "USBKey,,技术的PC网银加密卡进行身份认证具有一定的局限性,而且操 作复杂。本发明便针对上述现有技术的缺陷,提供一种解决方式即在保证手 机正常通信的基础上,通过在移动终端例如手机中的数据存储卡存储用户数 字证书,在进行网银交易时,可以通过银行远端服务器和手机进行交互,对 用户的身份进行认证,保证交易的可靠性和安全性。就硬件技术而言,随着电路集成化技术的飞速发展,目前完全可以用更 小的物理介质例如手机用数据存储卡来存储并处理"USB Key"中内置的算法程序、用户密钥或数字证书等等内容,数据存储卡包括现有常用的例如CF 卡、SD卡、SM卡、MMC卡或MMC微型存储卡等。而且经过近些年的发 展,手机已经成为用户必不可少的通信工具,手机上网成为手机的主流功能, 大量的用户可以通过手机使用手机银行无线应用协议(Wireless Application Protocol;以下简称WAP)服务和手机短信银行服务,为了使用户更安全的 使用手机WAP银行和手机短信银行,并提供更丰富的内容,有必要向用户 提供在手机上实现类似于在计算机上使用网银力。密卡进行身份认证的服务。图1为本发明身份认证的方法实施例流程图,如图1所示,包括步骤100,设置于移动终端中的数据存储卡接收所述移动终端转发的、 远端服务器发送的用于进行身份认证的认证字符串,所述数据存储卡应用所 存储的用户数字证书对所述认证字符串进行加密处理,获得第一加密字符串;本发明提供的实施例中,基于现有手机中大多具有数据存储卡扩展槽的 功能,应用数据存储卡实现数据加密功能,实现用户的身份认证。数据存储 卡不但具有数据存储功能,而且具有数据处理功能,例如数据存储卡中可以 设置处理单元进行数据处理。当用户尝试进行手机WAP银行或手机短信银行交易时,向银行的远端 服务器发送指示,然后远端服务器将向手机发送用于对该手机进行身份认证 的认证字符串,该认证字符串为由时间字串、地址字串、交易信息字串、防 重放攻击字串组合在一起进行加密后得到的字符串。手机通过天线接收认证 字符串后,将该认证字符串发向数据存储卡。数据存储卡对手机发送的信息 进行识别,若识别出该信息为认证字符串,则直接应用自身所存储的用户数 字证书对认证字符串进行加密处理,获得第一加密字符串。为了保证认证安 全,数据存储卡进行加密处理时可以作不可逆运算避免被攻击。数据存储卡 中存储有用户个人的用户数字证书,外部不可读取。同样,银行的远端服务 器中也记录着用户的用户数字证书。步骤101,所述数据存储卡将获得的所述第一加密字符串,通过所述移动终端返回给所述远端服务器供所述远端服务器进行身份认证。数据存储卡在应用用户数字证书对认证字符串进行加密处理获得第 一加密字符串后,将该第一加密字符串返回给手机,并通过手机的天线将该第一加密字符串发送给银行的远端服务器,远端服务器可以应用该第一加密字符串对用户的身份进行认证。远端服务器进行认证的过程具体为,由于远端服务器也存储有该用户的用户数字证书,在向该用户发送认证字符串后,远端服务器可以根据自身所第二加密字符串;在接收到手机返回的第一加密字符串后,远端服务器才艮据 第 一加密字符串和第二加密字符串对用户的身份进行认证,具体地远端服务 器将第二加密字符串与第一加密字符串进行比较,若相同,则认证成功,交 易便可以完成;若不相同,则认证失败,交易便会失败。理论上,不同的认证字符串不会得出相同的第一加密字符串,即一个认 证字符串对应一个唯一的第 一加密字符串;但是第 一加密字符串和认证字符 串无法得出用户的用户数字证书,而且设置手机中的数据存储卡具有不可读 取性,因此其他人都无法获行用户的用户数字证书。并且银行的远端服务器 每次都会发不同的防重放字串(随机字串)和时间字串,所以当一次交易完 成后,刚发出的认证字符串便不再有效,因此应用数据存储卡进行网银交易 是安全的。本发明提供的身份认证的方法,通过在手机中的数据存储卡中存储用户 数字证书,应用数据存储卡进行加密处理用于身份认证,使得用户应用手机 进行网银交易更加安全和方便,而且操作简单;对于用户而言,用户可以随 时随地应用手机进行网银交易,提高服务质量。图2为本发明移动终端实施例结构示意图,如图2所示,该移动终端包 括移动终端主体和设置在移动终端主体中的数据存储卡,其中移动终端主体 包括安装上SIM卡后能够正常使用的手机的全部功能模块,例如处理器、天线、显示屏和电池等等,当然移动终端主体上还具备用于插接数据存储卡的插槽和用于插入SIM卡的卡槽。本实施例提供的移动终端中还包括插接在插 槽内的数据存储卡。其中,数据存储卡包括第一接收模块11、加密处理才莫块 12和第一发送;f莫块13,其中第一4妄收冲莫块11用于接收移动终端主体转发的、 远端服务器发送的用于进行身份认证的认证字符串;加密处理模块12用于应 用所存储的用户数字证书对认证字符串进行力口密处理,获得第一加密字符串; 第一发送模块13用于将获得的第一加密字符串,通过移动终端主体返回给远 端服务器供远端服务器进行身份认证。具体地,当用户尝试进行手机WAP银行或手机短信银行交易时,向银 行的远端服务器发送指示,然后远端服务器将向移动终端即手机发送用于对 该手机进行身份认证的认证字符串,该认证字符串为由时间字串、地址字串、 交易信息字串、防重放攻击字串组合在一起进行加密后得到的字符串。手机 将该认证字符串发向数据存储卡,数据存储卡中的第一接收模块11对手机发 送的信息进行识别,若识别出该信息为认证字符串,则将认证字符串转给力口 密处理模块12;通过加密处理模块12对该认证字符串进行加密处理,具体 可是应用手机存储的用户数字证书对认证字符串进行不可逆运算得到第 一加 密字符串。加密处理模块12在应用用户数字证书对认证字符串进行加密处理 获得第一加密字符串后,通过第一发送模块13将该第一加密字符串返回给手 机,并通过手机的天线将该第一加密字符串发送^4艮行的远端服务器,远端 服务器可以应用该第一加密字符串对用户的身份进行认证。本实施例提供的移动终端中还包括第一存储模块14,与加密处理模块12 连接,用于存储用户的用户数字证书。加密处理模块12对认证字符串进行加 密处理时从第一存储模块14中获取用户数字证书。本发明提供的移动终端中在数据存储卡中存储用于进行身份认证的用户 数字证书,并应用该用户数字证书进行认证字符串的加密处理,使得用户应 用移动终端进行网银交易更加安全和方便,而且操作简单;对于用户而言,用户可以随时随地应用移动终端进行网银交易,提高服务质量。图3为本发明服务器实施例结构示意图,如图3所示,该服务器包括第 二发送模块21、第二接收模块22和认证处理模块23,其中第二发送模块21 用于向移动终端发送用于身份认证的认证字符串;第二接收模块22用于接收 移动终端返回的第 一加密字符串,第 一加密字符串是移动终端中的数据存储 卡应用所存储的用户数字证书对认证字符串进行加密处理而得到的;认证处 理模块23用于应用自身存储的用户数字证书对认证字符串进行加密处理,获 得第二加密字符串,并应用第二加密字符串和第一加密字符串对移动终端进行身份认证。本实施例提供的服务器设在银行端,通过与手机之间正常的业务通信进 行交互。具体地,当用户尝试进行手机WAP银行或手机短信银行交易时, 向银行的远端服务器发送指示,然后服务器中的第二发送模块21将向手机发 送用于对该手机进行身份认证的认证字符串,该认证字符串为由时间字串、 地址字串、交易信息字串、防重放攻击字串组合在一起进行加密后得到的字 符串。手机中的数据存储卡对该认证字符串进行加密处理具体为根据所存储 的用户数字证书对认证字符串进行不可逆运算后,向服务器返回经过加密处 理的第一加密字符串。服务器中的第二接收模块22接收第一加密字符串,然 后通过认证处理模块23对该移动终端进行身份认证。具体地,由于服务器也 存储有该用户的用户数字证书,在向该用户发送认证字符串后,远端服务器 可以根据自身所存储的用户数字证书对所发送的认证字符串进行相同的不可 逆运算,并获得第二加密字符串;在接收到手机返回的第一加密字符串后, 认证处理模块23根据第一加密字符串和第二加密字符串对用户的身份进行 认证,具体地认证处理模块23将第二加密字符串与第一加密字符串进行比 较,若相同,则认证成功,交易便可以完成;若不相同,则认证失败,交易 便会失败。本实施例提供的移动终端中还包括第二存储模块24,与认证处理模块23连接,用于存储用户的用户数字证书。认证处理模块23对认证字符串进行加 密处理时从第二存储模块24中获取用户数字证书。本实施例提供的服务器,通过与用户的手机交互实现基于手机的网银交 易,使得用户进行网银交易更加安全和方便,而且操作简单;对于用户而言, 用户可以随时随地应用移动终端进行网银交易,提高服务质量。图4为本发明身份认证系统实施例组成示意图,如图4所示,该身份认 证系统包括移动终端1和服务器2,在移动终端1中设置有数据存储卡3,服 务器2设置在银行端。移动终端1和服务器2在进行正常的移动终端通信功 能的同时,通过移动终端1中的数据存储卡3实现基于移动终端的网银交易。 本实施例系统中涉及的移动终端和服务器,可以采用上述各实施例提供的移 动终端和服务器,其具体结构和功能此处不再赘述。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其 限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行4务改,或 者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种身份认证的方法,其特征在于,包括设置于移动终端中的数据存储卡接收所述移动终端转发的、远端服务器发送的用于进行身份认证的认证字符串,所述数据存储卡应用所存储的用户数字证书对所述认证字符串进行加密处理,获得第一加密字符串;所述数据存储卡将获得的所述第一加密字符串,通过所述移动终端返回给所述远端服务器供所述远端服务器进行身份认证。
2、 根据权利要求1所述的身份认证的方法,其特征在于,所述认证字符 串为对时间字符串、地址字符串、交易信息字符串和防重放攻击字符串的组 合进行加密处理所获得的字符串。
3、 根据权利要求1或2所述的身份认证的方法,其特征在于,所述远端 服务器进行身份认证包括所述远端服务器应用自身存储的所述用户数字证书对所述认证字符串进 行加密处理,获得第二加密字符串,并将所述第二加密字符串与所述移动终 端返回的所述第一加密字符串进行比较,若相同,则认证成功;若不相同, 则认证失败。
4、 根据权利要求1所述的身份认证的方法,其特征在于,所述数据存储 卡为CF卡、SD卡、SM卡、MMC卡或MMC微型存储卡。
5、 一种移动终端,包括移动终端主体以及^L置在所述移动终端主体中的 数据存储卡,其特征在于,所述数据存储卡包括第一接收模块,用于接收所述移动终端主体转发的、远端服务器发送的 用于进行身份认证的认证字符串;加密处理模块,用于应用所存储的用户数字证书对所述认证字符串进行 加密处理,获得第一加密字符串;第一发送模块,用于将获得的所述第一加密字符串,通过所述移动终端
6、 根据权利要求5所述的移动终端,其特征在于,还包括 第一存储才莫块,与所述加密处理才莫块连接,用于存储所述用户数字证书。
7、 一种服务器,其特征在于,包括第二发送模块,用于向移动终端发送用于身份认证的认证字符串; 第二接收模块,用于接收所述移动终端返回的第一加密字符串,所述第所述认证字符串进行加密处理而得到的;认证处理模块,用于应用自身存储的所述用户数字证书对所述认证字符 串进行加密处理,获得第二加密字符串,并应用所述第二加密字符串和所述 第一加密字符串对所述移动终端进行身份认证。
8、 根据权利要求7所述的服务器,其特征在于,还包括 第二存储模块,与所述认证处理模块连接,用于存储所述用户数字证书。
9、 一种身份认证系统,包括如权利要求5或6所述的移动终端和如权利 要求7或8所述的服务器。
全文摘要
本发明提供一种身份认证的方法和移动终端、服务器以及身份认证系统。设置于移动终端中的数据存储卡接收所述移动终端转发的、远端服务器发送的用于进行身份认证的认证字符串,所述数据存储卡应用所存储的用户数字证书对所述认证字符串进行加密处理,获得第一加密字符串;所述数据存储卡将获得的所述第一加密字符串,通过所述移动终端返回给所述远端服务器供所述远端服务器进行身份认证。本发明通过在移动终端中的数据存储卡中存储用于进行用户身份认证所用的用户数字证书,实现用户的身份认证,使得用户应用手机进行网银交易更加安全和方便,而且操作简单;对于用户而言,用户可以随时随地应用手机进行网银交易,提高服务质量。
文档编号H04W12/06GK101605325SQ20091008800
公开日2009年12月16日 申请日期2009年6月29日 优先权日2009年6月29日
发明者孙江涛, 魏中华 申请人:钱袋网(北京)信息技术有限公司