专利名称:一种智能密钥装置和身份认证方法
技术领域:
本发明涉及通讯领域,尤其涉及一种新型智能密钥装置以及利用该智能密钥装置进行身份认证的认证方法。
背景技术:
在目前的日常生活中,随着网上银行的发展及安全意识的普及,KEY (智能密钥)作为一种操作员身份认证的数字证书存储介质,正广泛使用在银行系统网上银行的用户身份认证、企业财务人员网上报税、网上企业电子付税等多领域的身份确认。伴随着通讯业的发展,移动终端逐渐成为人们必备的随身物品之一。这样网银用户在日常生活中必须同时携带USB智能密钥以及移动终端,才能完成网上银行交易。这就增加了网银用户进行操作时的复杂性以及成本。并且,目前市面上的USB身份认证装置必须与电脑配合才能完成网银交易,由于开放式互联网存在诸多不安全因素,使用者通过互联网进行网上交易时,就降低了金融应用的安全性,而且现有的网银交易无法直观地向用户展示交易的流程与细节,使用者缺乏参与性与可操作性,逐渐无法满足人们的要求。
发明内容
本发明的目的在于提供一种使用便捷、操作安全系数高的智能密钥装置、以及利用该装置进行认证的方法。作为本发明技术方案的一方面,提供一种智能密钥装置,包括短距离通信模块、第一 SIM卡接口、第二 SIM卡接口、CPU、安全组件、储存器,
所述CPU分别与所述短距离通信模块、所述第一 SIM卡接口、所述第二 SIM卡接口、所述安全组件、和所述储存器相连;
所述第一 SIM卡接口与所述智能密钥装置外部的移动终端进行通信;所述第二 SIM卡接口与所述移动终端内的SIM卡进行通信;所述短距离通信模块实现本智能密钥装置的短距离无线通信;所述安全组件对智能密钥装置使用者的操作信息进行数字签名和\或加
Γ t [ O进一步地,所述短距离通信模块还具有通信距离控制功能,用于控制所述短距离通信模块进行无线通信的距离。进一步地,所述短距离通信模块为2. 4GHz RFID、蓝牙、红外、Zigbee、WIFI通信模块中的一种或多种。进一步地,所述操作信息包括转账账号、转账金额、转账时间。进一步地,所述智能密钥装置上设置有至少一个容纳腔,所述SIM卡装配入所述容纳腔。作为本发明技术方案的另一方面,还提供一种身份认证方法,上述智能密钥装置装配入移动终端,按照以下步骤进行身份认证
步骤一,所述智能密钥装置通过第二 SIM卡接口和/或短距离通信模块与外部服务器之间建立通信;
步骤二,所述智能密钥装置读取其内部储存器内保存的合法的使用者身份信息,对经由所述移动终端输入的使用者身份信息进行使用者身份认证;
步骤三,所述智能密钥装置的第一 SIM卡接口接收所述移动终端发送来的操作信息, 并将接收到的所述操作信息通过所述第一 SIM卡接口返回至所述移动终端确认; 步骤四,所述智能密钥装置等待接收所述移动终端返回确认信息; 步骤五,所述智能密钥装置接收到所述移动终端返回的确认信息后,由安全组件对所述操作信息进行数字签名和加密,并通过所述第二 SIM卡接口和/或所述短距离通信模块发送至所述服务器进行操作认证。进一步地,在所述步骤一中,所述智能密钥装置内部的所述第二 SIM卡接口通过所述移动终端内的SIM卡与所述服务器建立通信。进一步地,在所述步骤一中,所述智能密钥装置内部的所述短距离通信模块,通过无线通信装置和网络终端与所述服务器建立通信;
所述无线通信装置包括第一接口、第二接口、信号转换模块,所述信号转换模块分别与所述第一接口和所述第二接口相连;
所述第一接口与所述网络终端相连,所述第二接口接收所述智能密钥装置发送来的加密后的操作信息,经所述信号转换模块和所述第一接口发送至所述网络终端,由所述网络终端发送至所述服务器进行操作认证。进一步地,所述第一接口为USB接口、SD接口、MMC接口中的一种或多种;和/或, 所述第一接口为2. 4GHz RFID、蓝牙、红外、Zigbee、WIFI接口中的一种或多种;
所述第二接口为2. 4GHz RFID、蓝牙、红外、Zigbee、WIFI接口中的一种或多种。进一步地,所述步骤二中,所述使用者身份信息为PIN码。进一步地,所述移动终端接收所述智能密钥装置返回的所述操作信息,通过STK 菜单或者具有界面显示功能的软件向操作者显示,由操作者进行确认。本发明的有益效果是提供了一种以无线通信方式对网上交易进行身份认证的智能密钥装置及认证方法,这样,不仅在移动终端具备上网功能时可完成网上交易的身份认证,在移动终端不具备上网功能或上网功能受限时,同样可利用本发明的智能密钥装置完成网上交易的身份认证。此外,利用本发明技术方案进行身份认证时,还可通过移动终端实时地向操作者显示操作细节及操作详情,增强了身份认证过程中操作者的参与性以及安全性。
图1为本发明智能密钥装置的外形结构示意图; 图2为本发明智能密钥装置的构成示意图3为本发明中的无线通信装置的构成示意图; 图4为本发明身份认证方法的第一种流程示意图; 图5为本发明身份认证方法的第二种流程示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。作为本发明技术方案的一方面,提供了一种智能密钥装置12,其外形结构图如图 1所示,智能密钥装置12上设置有一容纳腔20,微型SIM卡30嵌入容纳腔20内,与智能密钥装置12共同装配入移动终端(例如手机)内,与移动终端相配合完成身份认证。其中,智能密钥装置12的外形及大小可与标准SIM卡(例如ID-I卡)的外形和大小相同;容纳腔20 的外形与尺寸应与待装配的微型SIM卡30的形状及尺寸相匹配,可参考Micro SIM卡等相关产品的要求来设计。下面对本发明的智能密钥装置12进行详细介绍,如图2所示,智能密钥装置11包括第一 SIM卡接口 100、第二 SIM卡接口 200、CPU300、安全组件400、储存器500、短距离通信模块。CPU300分别与第一 SIM卡接口 100、第二 SIM卡接口 200、安全组件400、储存器 500、短距离通信模块相连。第二 SIM卡接口 200与智能密钥装置12外部的移动终端内的 SIM卡相连,第二 SIM卡接口 200通过移动终端内的SIM卡与外部服务器进行通信。短距离通信模块,用于实现智能密钥装置与服务器之间的通信。当智能密钥装置12装配入移动终端时,第一 SIM卡接口 100接收移动终端发送的使用者身份信息和操作信息第一 SIM卡接口 100将接收的使用者身份信息发送至CPU300进行使用者身份认证;第一 SIM卡接口 100 将操作信息发送至移动终端确认后,再将操作信息发送至安全组件400进行数字签名和加密,发送至服务器进行操作认证。其中,安全组件400,用于根据CPU300的控制,对操作信息进行数字签名和加密,并将加密后的操作信息经由CPU300发送至第二 SIM卡接口 200和 /或短距离通信模块。储存器500,用于保存合法的使用者身份信息,配合CPU300进行使用者身份认证。第二 SIM卡接口 200与第一 SIM卡接口 100之间的数据还通过CPU300透传。 本发明的智能密钥装置12不仅可在移动终端具备上网功能时完成网上交易的身份认证, 也可在移动终端不具备上网功能或上网功能受限时完成网上交易的身份认证。从使用者身份认证、操作确认、操作认证三方面对进行网上交易的操作者的身份进行认证,并最终完成网上交易的相关操作动作。进一步地,短距离通信模块600为2. 4GHz RFID、蓝牙、红外、Zigbee、WIFI通信模块中的一种或多种。进一步,短距离通信模块600还具有通信距离控制功能,用于控制短距离通信模块600进行无线通信的距离。为了提高本发明带短距离通信功能智能密钥装置12进行网上交易的安全性,通过限定智能密钥装置12的通信距离,来保障网上交易的安全性。作为本发明技术方案的另一方面,还提供一种身份认证方法,上述智能密钥装置装配入移动终端,按照以下步骤进行身份认证,
步骤一,智能密钥装置与外部服务器之间建立通信;
步骤二,智能密钥装置读取其内部保存的合法的使用者身份信息,对经由移动终端输入的使用者身份信息进行使用者身份认证;
步骤三,智能密钥装置接收移动终端发送来的操作信息,并将接收到的操作信息返回至移动终端确认;
步骤四,智能密钥装置等待接收移动终端返回确认信息;
步骤五,智能密钥装置接收到移动终端返回的确认信息后,对操作信息进行数字签名和加密,发送至服务器进行操作认证。上述身份认证方法的步骤一,智能密钥装置与外部服务器之间建立通信可采用以下两种方式实现
第一种实现方式为智能密钥装置内部的第二 SIM卡接口通过移动终端内的SIM卡与服务器之间建立通信。采用本方式建立通信,并进而进行网上交易的身份认证时,移动终端必须具备上网功能。第二种实现方式为智能密钥装置内部的短距离通信模块,通过无线通信装置和网络终端与服务器建立通信。当移动终端不具备上网功能或者因网络受限不能进行网上操作时,智能密钥装置12装配入移动终端,无线通信装置800与网络终端900相连,无线通信装置800通过网络终端900与服务器进行通信,无线通信装置800还与智能密钥装置12进行无线通信。从而实现智能密钥装置12与服务器之间的数据传递。如图3所示,无线通信装置800包括第一接口 801、第二接口 803、信号转换模块 802,信号转换模块802分别与第一接口 801和第二接口 803相连。第一接口 801与网络终端900相连,第二接口 803接收智能密钥装置12发送来的加密后的操作信息,经信号转换模块802和第一接口 801发送至网络终端900,由网络终端900发送至服务器进行操作认证。使用者通过移动终端输入用户身份信息(例如用户的账号、账号密码等)后,智能密钥装置12则等待接收外部再次经由移动终端输入的使用者身份信息,并由智能密钥装置12完成对使用者身份的认证后,再将移动终端接收的外部输入的操作信息发送至智能密钥装置12,为了防止某些恶意侵犯用户利益的病毒篡改操作信息,智能密钥装置12在接收到操作信息之后,还将该操作信息反馈回移动终端进行确认。只有在接收到移动终端输入的确认信息之后,智能密钥装置12才将用操作信息进行数字签名和加密,并以无线通信的方式发送至无线通信装置800。无线通信装置800的第二接口 803接收上述加密后操作信息,经由信号转换模块 802进行协议转换后,通过第一接口 801以有线通信方式或者无线通信方式发送至网络终端900,进而由网络终端900将加密后操作信息发送至服务器,由服务器完成操作认证,并进而完成操作信息相应的操作动作。无线通信装置800的第一接口 801为可实现连接式通信的USB接口、SD接口、MMC 接口中的一种或多种;和/或,无线通信装置800的第一接口 801为可实现非连接式通信的 2. 4GHz RFID、蓝牙、红外、Zigbee、WIFI接口中的一种或多种。无线通信装置800的第二接口 803可为2.4GHz RFID、蓝牙、红外、Zigbee、WIFI接口中的一种或多种。进一步地,使用者身份信息可为PIN码,即移动终端接收外部输入的PIN码,通过验证PIN码完成使用者身份认证。操作信息包括转账账号、转账金额、转账时间,即服务器通过对操作信息的上述几方面进行验证实现对操作者的操作认证。下面以网上购物支付为例,对利用本发明智能密钥装置进行身份认证的过程进行简单介绍。主要包括以下两种身份认证方法,
如图4所示,在移动终端具备上网功能时,本发明的智能密钥装置12进行身份认证的过程如下
首先,操作者通过移动终端输入自己的用户身份信息,例如用户的账号、账号密码等,然后等待利用本发明技术方案进行身份认证,进而完成转账支付操作。其次,操作者通过移动终端输入PIN码,并经由第一 SIM卡接口 100发送至 CPU300,CPU300调用储存器500内保存的合法PIN码,对输入的PIN码进行比对,若PIN码认证合格,则向移动终端返回认证合格的信息,由移动终端向操作者显示。若PIN码认证不合格,则终止本次转账操作。接着,操作者接收到PIN码认证合格的信息后,则再通过移动终端输入操作信息 (如转账账号、转账金额、转账时间);智能密钥装置12接收到上述操作信息后,为了防止涉及到操作者利益的信息被恶意篡改,智能密钥装置12将接收到的操作信息返回移动终端进行显示确认。移动终端接收到智能密钥装置返回的操作信息后,可通过STK菜单或者其它具有界面显示功能的软件向操作者显示,等待操作者进行确认。最后,智能密钥装置12在接收到移动终端返回的确认信息后,其内部的安全运算模块则根据CPU300发送的控制信号,对操作信息进行数字签名和数据加密;再将加密后的操作信息通过CPU300和第二 SIM卡接口 200发送至移动终端内的SIM卡,进而通过移动网络将加密后的操作信息发送至相关运营商后台服务器;由后台服务器对加密后的用户身份信息进行解密,并对其合法性进行认证,若操作认证合格,则后台服务器根据发送来的操作信息完成相关购买支付操作动作(例如自操作者指定的银行进行网上划账、确认订单完成等操作动作),至此完成本次网上交易。若操作认证不合格,则终止本次转账操作。如图5所示,在移动终端无法实现上网功能时,本发明的智能密钥装置进行身份认证的过程如下
本实现方式中,移动终端根据STK菜单或者其它具有界面显示功能的软件的提示启动智能密钥装置12的无线通信功能,即通过短距离通信模块600与无线通信装置800建立无线通信通道,从而利用无线通信装置800和网络终端900 (例如电脑)与服务器进行通信, 完成网上转账交易。在建立通信通道后,本认证方法中的具体工作过程与智能密钥装置12 进行第一种身份认证的过程相同。本方法中,由于移动终端内的智能密钥装置12无法直接通过网络与服务器进行通信,故通过设置无线通信装置800以及网络终端900的方法实现智能密钥装置12与服务器间的通信。其中,无线通信装置800可以接触式连接或者无线连接两种方式与网络终端900 (例如电脑)相连并通信。通过无线通信装置800与智能密钥装置12间的无线通信方式实现操作认证信息的传递,并最终按照智能密钥装置12第一种进行身份认证的方法,完成网上转账交易,此处不再赘述。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种智能密钥装置,其特征在于,包括短距离通信模块、第一 SIM卡接口、第二 SIM卡接口、CPU、安全组件、储存器,所述CPU分别与所述短距离通信模块、所述第一 SIM卡接口、所述第二 SIM卡接口、所述安全组件、和所述储存器相连;所述第一 SIM卡接口与所述智能密钥装置外部的移动终端进行通信;所述第二 SIM卡接口与所述移动终端内的SIM卡进行通信;所述短距离通信模块实现本智能密钥装置的短距离无线通信;所述安全组件对智能密钥装置使用者的操作信息进行数字签名和\或加Γ t [ O
2.按照权利要求1所述的智能密钥装置,其特征在于,所述短距离通信模块还具有通信距离控制功能,用于控制所述短距离通信模块进行无线通信的距离。
3.按照权利要求1所述的智能密钥装置,其特征在于,所述短距离通信模块为2.4GHz RFID、蓝牙、红外、Zigbee、WIFI通信模块中的一种或多种。
4.按照权利要求1所述的智能密钥装置,其特征在于,所述操作信息包括转账账号、转账金额、转账时间。
5.按照权利要求1所述的智能密钥装置,其特征在于,所述智能密钥装置上设置有至少一个容纳腔,所述SIM卡装配入所述容纳腔。
6.一种身份认证方法,其特征在于,将权利要求1至5任一所述的智能密钥装置装配入移动终端,按照以下步骤进行身份认证步骤一,所述智能密钥装置通过第二 SIM卡接口和/或短距离通信模块与外部服务器之间建立通信;步骤二,所述智能密钥装置读取其内部储存器内保存的合法的使用者身份信息,对经由所述移动终端输入的使用者身份信息进行使用者身份认证;步骤三,所述智能密钥装置的第一 SIM卡接口接收所述移动终端发送来的操作信息, 并将接收到的所述操作信息通过所述第一 SIM卡接口返回至所述移动终端确认;步骤四,所述智能密钥装置等待接收所述移动终端返回确认信息;步骤五,所述智能密钥装置接收到所述移动终端返回的确认信息后,由安全组件对所述操作信息进行数字签名和加密,并通过所述第二 SIM卡接口和/或所述短距离通信模块发送至所述服务器进行操作认证。
7.按照权利要求6所述的身份认证方法,其特征在于,在所述步骤一中,所述智能密钥装置内部的所述第二 SIM卡接口通过所述移动终端内的SIM卡与所述服务器建立通信。
8.按照权利要求6所述的身份认证方法,其特征在于,在所述步骤一中,所述智能密钥装置内部的所述短距离通信模块,通过无线通信装置和网络终端与所述服务器建立通信;所述无线通信装置包括第一接口、第二接口、信号转换模块,所述信号转换模块分别与所述第一接口和所述第二接口相连;所述第一接口与所述网络终端相连,所述第二接口接收所述智能密钥装置发送来的加密后的操作信息,经所述信号转换模块和所述第一接口发送至所述网络终端,由所述网络终端发送至所述服务器进行操作认证。
9.按照权利要求8所述的身份认证方法,其特征在于,所述第一接口为USB接口、SD接口、MMC接口中的一种或多种;和/或,所述第一接口为2.4GHz RFID、蓝牙、红外、Zigbee, WIFI接口中的一种或多种;所述第二接口为2. 4GHz RFID、蓝牙、红外、Zigbee、WIFI接口中的一种或多种。
10.按照权利要求6所述的身份认证方法,其特征在于,所述步骤二中,所述使用者身份信息为PIN码。
11.按照权利要求6、7、8或9所述的身份认证方法,其特征在于,所述移动终端接收所述智能密钥装置返回的所述操作信息,通过STK菜单或者具有界面显示功能的软件向操作者显示,由操作者进行确认。
全文摘要
本发明提供一种智能密钥装置,包括短距离通信模块、第一SIM卡接口、第二SIM卡接口、CPU、安全组件、储存器。CPU分别与短距离通信模块、第一SIM卡接口、第二SIM卡接口、安全组件、储存器相连。该密钥装置与带上网功能的移动终端相配合完成网银交易的身份认证。或者该智能密钥装置与移动终端、无线通信装置、网络终端和服务器配合完成网银交易的身份认证。利用本发明技术方案进行身份认证时,还可通过移动终端实时地向操作者显示操作细节及操作详情,增强了身份认证过程中操作者的参与性以及安全性。
文档编号H04W12/00GK102547681SQ201110029349
公开日2012年7月4日 申请日期2011年1月27日 优先权日2010年12月31日
发明者洪填义 申请人:国民技术股份有限公司