专利名称:电子授权状实现方法、智能终端、授权系统及验证终端的制作方法
技术领域:
本发明涉及智 能卡、信息安全领域,具体涉及一种基于终端存储的电子授权状实 现方法、智能终端、授权系统及验证终端。
背景技术:
以数码形式存在于网络、智能卡、智能终端,以特定的设备进行读取和验证的票据 称为电子票(或称服务凭证、电子授权状)。电子票可通过互联网、无线通信等方式进行发 放和传输,具有购买方便、出票和销售成本低等特点。而电子的安全性,是电子票大规模应 用的核心难点,所以采用安全性高的密码技术是非常重要的。而现代密码技术根据密钥的特点分为两类对称密码技术和非对称密码技术一 对称密码技术对称密码技术即解密密钥和加密密钥相同,在这种系统中,密钥的分发是应用中 的一个难点。二 非对称密码技术非对称密码技术又叫公钥密码技术,在公钥密码系统中,用户有两把钥匙,一把公 开(公钥),另一把用户私有(私钥),从一个难以推出另一个,通信双方无需事先交换密钥 就可建立保密通信。传统的公钥系统一般都采用证书机制实现用户的身份和用户的钥匙的 安全对应。证书机制一般都采用公钥基础设施(Public Key Infrastructure :PKI)技术。 它综合使用了数字摘要、数字签名等多项安全技术以及一套完整的证书管理机制来提供安 全服务。系统需建设有公信力的认证中心(Certification Authority :CA)鉴定用户身份, 然后为用户签发数字证书。数字证书安全地将用户身份和用户密钥绑定在一起。用户在业 务系统中先交换证书,然后使用公私钥完成用户的身份认证、访问控制、信息安全传递等操 作。为了降低公钥系统中密钥管理和使用的复杂性,Shamir在1984[S84]年提出了 基于标识的密码技术(Identity-Based Cryptography :IBC):即用户的标识就可以用做用 户的公钥(更加准确地说是用户的公钥可以从用户的标识和系统指定的一个方法计算得 出)。在这种情况下,用户不需要申请和交换证书,从而简化了密码系统管理的复杂性。用 户的私钥由系统中的一个受信任的第三方(密钥生成中心)使用标识私钥生成算法计算生 成。这样的系统具有天然的密码委托功能,适合于有监管的应用环境。但现有技术只是从用户的智能卡(或二维码)读取标识信息,缺乏用户对标识信 息使用的认证信息,安全性不够高,不能应用于强安全要求的或敏感的应用场合。因而,现有技术还有待改进和提高。
发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供一种基于终端存储的电子 授权状实现方法、智能终端、授权系统及验证终端,其增加了用户对标识信息使用的认证信息,提高了使用的安全性,使用简单方便,特别适用于强安全要求的或敏感的应用场合。为了达到上述目的,本发明采取了以下技术方案
一种基于终端存储的电子授权状实现方法,应用于电子管理系统,包括带用户标 识的智能终端、授权系统、用户管理中心和验证终端,其中,所述实现方法包括申请授权,所 述申请授权包括步骤所述带用户标识的智能终端接收并存储用户标识数据;所述智能终端将用户标识数据发送到授权系统申请授权状;所述授权系统接收所述用户标识数据;所述授权系统向用户管理中心提取与所述用户标识数据相对应的用户公钥数 据;所述授权系统生成并存储含有用户标识数据、用户公钥数据的授权状;所述授权系统通过短信将所述授权状的确认信息发送到所述智能终端;所述智能终端接收所述授权状的确认信息;所述验证终端从所述授权系统接收并存储含有用户标识数据、用户公钥数据的授 权状。所述的电子授权状实现方法,其中,其还包括使用授权,所述使用授权包括步骤所述验证终端发送读用户标识数据的命令;所述智能终端接收存储所述读用户标识数据的命令并产生随机数;所述移动终端将所述用户标识数据及随机数发送给所述验证终端;所述验证终端根据所述用户标识数据查找相对应的授权状;所述验证终端根据所查到的授权状中的用户公钥数据,将所述随机数加密成带有 身份认证的第一密文;所述验证终端将所述第一密文及一附加验证信息发送给所述智能终端;所述智能终端接收所述第一密文及所述附加验证信息,并解密所述第一密文及核 对所述第一密文内的随机数;所述智能终端以私钥签名把所述附加验证信息加密成有身份认证的第二密文;所述验证终端接收所述第二密文并验证所述签名;所述验证终端验证通过并执行授权及记录授权的用户签名数据。所述的电子授权状实现方法,其中,其还包括取消授权;所述取消授权包括步骤所述智能终端接收用户的取消授权状请求及用户私钥签名,并将所述取消授权状 请求及用户私钥签名发送到所述授权系统所述授权系统接收所述取消授权状请求及用户私钥签名,并核对所述用户私钥签 名;所述授权系统更新本地数据库;所述验证终端更新数据库;完成取消后,所述授权系统向所述智能终端发送取消授权状信息。所述的电子授权状实现方法,其中,所述附加验证信息为用户签名数据的终端日 期、时间、终端号。一种智能终端,其中,包括
第一接收及存储单元,用于接收并存储用户标识数据及公私密钥;第一发送单元,用于将所述用户标识数据发送到授权系统申请授权状; 第一接收单元,用于接收所述授权状的确认信息;第二接收及存储单元,用于接收读用户标识数据的命令并产生随机数;第二发送单元,用于将所述用户标识数据及随机数发送给验证终端;接收及解密单元,用于接收第一密文及一附加验证信息,并解密所述第一密文及 核对所述第一密文内的随机数;第二加密单元,用于以私钥签名数据加密成有身份认证的第二密文。所述的智能终端,其中,其还包括取消请求单元,用于接收用户的取消授权状请 求及用户私钥签名,并将所述取消授权状请求及用户私钥签名发送到所述授权系统。一种授权系统,其中,包括接收及验证单元,用于接收并验证用户标识数据;提取单元,用于向用户管理中心提取与用户标识数据相对应的用户公钥数据;授权状生成及存储单元,用于生成并存储含有用户标识数据、用户公钥数据的授 权状;授权信息发送单元,用于通过短信将所述授权状的确认信息发送到所述智能终 端;取消执行单元,用于接收智能终端发来的取消授权状请求及用户私钥签名,并核 对所述用户私钥签名,执行取消授权状,及时更新本地数据库。一种验证终端,其中,包括授权状接收及存储单元用于从授权系统接收并存储含有用户标识数据、用户公 钥数据的授权状;读标识发送单元,用于发送读用户标识数据的命令;授权状查找单元用于根据所述用户标识数据查找相对应的授权状;第一加密单元,用于根据所查到的授权状中的用户公钥数据,将随机数加密成带 有身份认证的第一密文;第一密文发送单元,用于将所述第一密文及一附加验证信息发送给智能终端;接收及验证单元,用于接收第二密文并验证用户签名数据;受权执行单元,用于验证通过并执行授权,以及记录授权的用户签名数据。所述的验证终端,其中,其还包括取消数据更新单元,用于及时更新用户取消的 授权状数据信息。本发明提供的一种基于终端存储的电子授权状实现方法、智能终端、授权系统及 验证终端,采用公钥密码技术实现所述电子授权状,授权状中有用户身份信息,验证终端通 过对用户的标识和签名进行验证,提高了使用的安全性;且用户通过短信就可以申请授权 状,及授权状存储在验证终端,用户持标识身份的智能卡,或内嵌智能卡的智能终端,(如手 机)使用授权状,使用简单方便。
图1是本发明实施例提供的基于终端存储的电子授权状实现方法中申请授权流程图;图2是本发明实施例提供的基于终端存储的电子授权状实现方法中使用授权流 程图;图3为本发明实施例提供的智能终端结构示意图;图4为本 发明实施例提供的授权系统结构示意图;
图5为本发明实施例提供的验证终端的结构示意图。
具体实施例方式本发明实施例提供一种基于终端存储的电子授权状实现方法、智能终端、授权系 统及验证终端,采用公钥密码技术实现所述电子授权状,采用公钥密码技术实现授权状,授 权状存储在验证终端,用户持标识身份的智能卡,或内嵌智能卡的智能终端,(如手机)使 用授权状,使用简单方便。授权状实现方法包括申请授权、使用授权、取消授权等。为使本 发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本实用新型进一 步详细说明。本发明实施例提供一种基于终端存储的电子授权状实现方法,应用于电子管理系 统,包括带用户标识的智能终端、授权系统、用户管理中心和验证终端,其中,如图1所示, 所述申请授权包括步骤101、用户向用户管理中心领取或够买带用户标识信息的用户智能卡,或把智能卡 的装入智能终端(如手机)上。102、当用户要申请授权状时,所述智能终端将所述用户标识数据发送到授权系统 申请授权状。103、所述授权系统接收并验证所述用户标识数据,决定是否符合受权条件,如果 符合受权则执行步骤104 ;否则执行步骤108。104、所述授权系统向用户管理中心提取与用户标识数据相对应的用户公钥数据。105、所述授权系统生成并存储含有用户标识数据、用户公钥数据的授权状;并通 过短信将所述授权状的确认信息发送到所述智能终端,通知用户授权成功。106、所述验证终端从所述授权系统接收并存储含有用户标识数据、用户公钥数据 的授权状,将所述授权状下载到验证终端。107、所述智能终端接收所述授权状的确认信息(如申请授权成功等确认信息)。108、当用户申请授权不符合规定的条件时,做相应的失败处理。所述使用授权包括步骤如图2所示; 201、所述验证终端向用户智能终端发送读用户标识数据的命令。202、所述智能终端接收存储所述读用户标识数据的命令并产生随机数。203、所述移动终端将所述用户标识数据及随机数发送给所述验证终端。204、所述验证终端根据所述用户标识数据查找相对应的授权状,如果找到对应的 授权状,则执行步骤205 ;否则执行步骤210。205、所述验证终端根据所查到的授权状中的用户公钥数据,将所述随机数加密成 带有身份认证的第一密文,并将所述第一密文及一附加验证信息,如终端日期、时间、终端 号等发送给所述智能终端。
206、所述智能终端接收所述附加验证信息,并解密所述第一密文及核对所述第一 密文内的随机数,如果解密及核对正确,则执行步骤207 ;否则执行步骤210。207、所述智能终端以私钥签名把所述附加验证信息加密成有身份认证的第二密 文;并将所述第二密文发回给验证终端。208、所述验证终端接收所述第二密文并验证所述用户签名数据;如果验证正确, 则执 行步骤209,否则执行步骤210。209、所述验证终端验证通过并执行授权及记录授权的用户签名数据。210、做相应的失败处理。进一步的实施例,本发明的基于终端存储的电子授权状实现方法,当所述用户想 取消授权时,还包括取消授权,所述取消授权包括步骤A、用户向授权中心提出取消授权状要求,取消要求以用户私钥签名;B、授权中心核对签名,正确的,更新本地数据库,更新验证终端数据;C、通知用户取消成功。以下以订购电影票为优选实施例对本发明基于终端存储的电子授权状实现方法 进行详细描述第一步、用户在手机钱包STK菜单上选择“订购电影票”,选择影院、日期和影片, 手机将其按格式如“ 20090808F08 ”,通过短信发送到影院。第二步、影院确认票源,将票款及用户手机号发送给手机钱包中心,钱包中心通知 用户支付票款。第三步、用户收到支付信息,确认支付,手机钱包中心支付成功后,通知影院。第四步、影院收到票款支付确认后,从用户管理中心申请公钥,并生成以用户手机 号为标识包含用户公钥、日期、门厅、座位等信息的电影票授权状,短信通知用户“订票成 功”。第五步、电影票授权状下载到指定门厅的验票终端。第六步、用户进入影院,持手机在验票终端刷过,验票终端读出手机号和随机数, 查找手机号对应的电影票授权状,以授权状中公钥加密随时数,与终端日期、时间、终端号 发送手机。第七步、手机验证随机数后,以私钥加密终端日期、时间、终端号,返回终端。第八步、终端验证签名,正确的,授权通过,打开道闸,用户进入放映厅。基于上述方法,本发明实施例相应提供一种智能终端,如图3所示,其包括第一接收及存储单元301,用于接收并存储用户标识数据及公私密钥;第一发送单元302,用于将所述用户标识数据发送到授权系统申请授权状;第一接收单元303,用于接收所述授权状的确认信息;第二接收及存储单元304,用于接收存储读用户标识数据的命令并产生随机数;第二发送单元305,用于将所述用户标识数据及随机数发送给验证终端;接收及解密单元306,用于接收第一密文及终端日期、时间、终端号,并解密所述第 一密文及核对所述第一密文内的随机数;第二加密单元307,用于以私钥用户签名数据将所述终端日期、时间、终端号加密 成有身份认证的第二密文。
在进一步的实施例中,该智能终端还包括取消请求单元308,用于接收用户的取消授权状请求及用户私钥签名,并将所述取消授权状请求及用户私钥签名发送到所述授权 系统。基于上述方法,本发明实施例还提供一种授权系统,如图4所示,其包括接收及验证单元401,用于接收并验证用户标识数据;提取单元402,用于向用户管理中心提取与用户标识数据相对应的用户公钥数 据;授权状生成及存储单元403,用于生成并存储含有用户标识数据、用户公钥数据的 授权状;授权信息发送单元404,用于通过短信将所述授权状的确认信息发送到所述智能 终端;取消执行单元405,用于接收智能终端发来的取消授权状请求及用户私钥签名,并 核对所述用户私钥签名,执行取消授权状,及时更新本地数据库。基于上述方法,本发明实施例还提供一种验证终端,如图5所示,其包括授权状接收及存储单元501 用于从授权系统接收并存储含有用户标识数据、用 户公钥数据的授权状;读标识发送单元502,用于发送读用户标识数据的命令;授权状查找单元503 用于根据所述用户标识数据查找相对应的授权状;第一加密单元504,用于根据所查到的授权状中的用户公钥数据,将随机数加密成 带有身份认证的第一密文;第一密文发送单元505,用于将所述第一密文及终端日期、时间、终端号发送给智 能终端;接收及验证单元506,用于接收第二密文并验证用户签名数据;受权执行单元507,用于验证通过并执行授权,以及记录授权的用户签名数据。在进一步的实施例中,该验证终端,还包括取消数据更新单元508,用于及时更 新用户取消的授权状数据信息。本发明提供的一种基于终端存储的电子授权状实现方法、智能终端、授权系统及 验证终端,采用公钥密码技术实现所述电子授权状,授权状中有用户身份信息,验证终端通 过对用户的标识和签名进行验证,提高了使用的安全性;且用户通过短信就可以申请授权 状,及授权状存储在验证终端,用户持标识身份的智能卡,或内嵌智能卡的智能终端,(如手 机)使用授权状,使用简单方便。应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换, 而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
一种基于终端存储的电子授权状实现方法,应用于电子管理系统,包括带用户标识的智能终端、授权系统、用户管理中心和验证终端,其特征在于,所述实现方法包括申请授权,所述申请授权包括步骤所述带用户标识的智能终端存储用户标识数据;所述智能终端将用户标识数据发送到授权系统申请授权状;所述授权系统接收所述用户标识数据;所述授权系统向用户管理中心提取与所述用户标识数据相对应的用户公钥数据;所述授权系统生成并存储含有用户标识数据、用户公钥数据的授权状;所述授权系统通过短信将所述授权状的确认信息发送到所述智能终端;所述智能终端接收所述授权状的确认信息;所述验证终端从所述授权系统接收并存储含有用户标识数据、用户公钥数据的授权状。
2.根据权利要求1所述的电子授权状实现方法,其特征在于,其还包括使用授权,所述 使用授权包括步骤所述验证终端发送读用户标识数据的命令; 所述智能终端接收存储所述读用户标识数据的命令并产生随机数; 所述智能终端将所述用户标识数据及随机数发送给所述验证终端; 所述验证终端根据所述用户标识数据查找相对应的授权状;所述验证终端根据所查到的授权状中的用户公钥数据,将所述随机数加密成带有身份 认证的第一密文;所述验证终端将所述第一密文及一附加验证信息发送给所述智能终端; 所述智能终端接收所述第一密文及所述附加验证信息,并解密所述第一密文及核对所 述第一密文内的随机数;所述智能终端以私钥签名把所述附加验证信息加密成有身份认证的第二密文; 所述验证终端接收所述第二密文并验证所述签名; 所述验证终端验证通过并执行授权及记录授权的用户签名数据。
3.根据权利要求1所述的电子授权状实现方法,其特征在于,其还包括取消授权;所述 取消授权包括步骤所述智能终端接收用户的取消授权状请求及用户私钥签名,并将所述取消授权状请求 及用户私钥签名发送到所述授权系统所述授权系统接收所述取消授权状请求及用户私钥签名,并核对所述用户私钥签名; 所述授权系统更新本地数据库; 所述验证终端更新数据库;完成取消后,所述授权系统向所述智能终端发送取消授权状信息。
4.根据权利要求2所述的电子授权状实现方法,其特征在于,所述附加验证信息为用 户签名数据的终端日期、时间、终端号。
5.一种智能终端,其特征在于,包括第一接收及存储单元,用于接收并存储用户标识数据及公私密钥; 第一发送单元,用于将所述用户标识数据发送到授权系统申请授权状;第一接收单元,用于接收所述授权状的确认信息; 第二接收及存储单元,用于接收读用户标识数据的命令并产生随机数; 第二发送单元,用于将所述用户标识数据及随机数发送给验证终端; 接收及解密单元,用于接收第一密文及一附加验证信息,并解密所述第一密文及核对 所述第一密文内的随机数;第二加密单元,用于以私钥签名数据加密成有身份认证的第二密文。
6.根据权利要求5所述的智能终端,其特征在于,其还包括取消请求单元,用于接收 用户的取消授权状请求及用户私钥签名,并将所述取消授权状请求及用户私钥签名发送到 所述授权系统。
7.一种授权系统,其特征在于,包括接收及验证单元,用于接收并验证用户标识数据;提取单元,用于向用户管理中心提取与用户标识数据相对应的用户公钥数据; 授权状生成及存储单元,用于生成并存储含有用户标识数据、用户公钥数据的授权状;授权信息发送单元,用于通过短信将所述授权状的确认信息发送到所述智能终端; 取消执行单元,用于接收智能终端发来的取消授权状请求及用户私钥签名,并核对所 述用户私钥签名,执行取消授权状,及时更新本地数据库。
8.一种验证终端,其特征在于,包括授权状接收及存储单元用于从授权系统接收并存储含有用户标识数据、用户公钥数 据的授权状;读标识发送单元,用于发送读用户标识数据的命令; 授权状查找单元用于根据所述用户标识数据查找相对应的授权状; 第一加密单元,用于根据所查到的授权状中的用户公钥数据,将随机数加密成带有身 份认证的第一密文;第一密文发送单元,用于将所述第一密文及一附加验证信息发送给智能终端;接收及验证单元,用于接收第二密文并验证用户签名数据;受权执行单元,用于验证通过并执行授权,以及记录授权的用户签名数据。
9.根据权利要求8所述的验证终端,其特征在于,其还包括取消数据更新单元,用于 及时更新用户取消的授权状数据信息。
全文摘要
本发明提供一种电子授权状实现方法、智能终端、授权系统及验证终端,包括带用户标识的智能终端、授权系统、用户管理中心和验证终端,所述实现方法包括申请授权和使用授权。本发明提供的电子授权状实现方法、智能终端、授权系统及验证终端,采用公钥密码技术实现所述电子授权状,授权状中有用户身份信息,验证终端通过对用户的标识和签名进行验证,提高了使用的安全性;且用户通过短信就可以申请授权状,及授权状存储在验证终端,用户持标识身份的智能卡,或内嵌智能卡的智能终端,(如手机)使用授权状,使用简单方便。
文档编号H04L29/06GK101860525SQ20091019062
公开日2010年10月13日 申请日期2009年9月25日 优先权日2009年9月25日
发明者姚志文, 郝昌富, 饶俊峰 申请人:深圳市安捷信联科技有限公司