专利名称:移动安全认证终端及方法
技术领域:
本发明涉及电信技术及信息安全领域,尤其涉及一种移动安全认证终端及方法。
背景技术:
随着电信技术的逐渐发展,目前已出现了利用移动设备进行金融业务的银行类服务,以此来提供较传统银行服务更为便利、高效和安全的服务方式。为了确保这种新型服务方式的安全性,目前的安全认证方式主要有以下几类1、账号/密码鉴权方式通过移动终端内安装的客户端输入客户的银行帐号(或别名)以及密码进行登录鉴权,从而完成对客户身份的认证;2、WAP认证方式用户在开通银行业务时将银行账号与手机号码进行绑定,当用户通过WAP方式访问银行系统时,银行系统通过电信运营商的WAP网关获取用户的手机号码,并将用户登录所用的手机号码与该绑定的手机号码进行对比校验,从而验证用户身份;3、动态口令方式用户需要更换专用的SIM卡,而该SIM卡可根据时间、使用次数等条件产生不断变化的密码,每个密码只能使用一次,用户在进行手机客户端登录鉴权及交易过程中需要输入SIM卡产生的动态密码用于验证用户身份。以上三种方式均具有一定的安全性,且可以结合使用,但仍均存在一定的安全隐患,例如账号密码易于被盗取、发生孖卡现象以及被钓鱼网站窃取动态密码的可能。对于大额支付、转账、汇款等安全等级非常高的银行业务,目前的这些安全认证方式尚不能满足要求。目前已出现了一种PKI SIM卡,通过引入数字证书、数字签名等非对称安全算法可以提高银行业务的安全等级,但目前移动终端只能支持手机客户端访问一些标准的机卡接口,例如读取通信账号信息、存储卡内信息、存储卡内电话簿等,而无法支持PKI SIM卡所增加的对PKI能力访问的机卡接口,导致无法实现客户端对PKI SIM卡的PKI能力的正常调用。
发明内容
本发明的目的是提出一种移动安全认证终端及方法,能够调用PKI SIM卡的PKI 能力,满足移动方式下银行业务的更高级的安全需要。为实现上述目的,本发明提供了一种移动安全认证终端,包括安全中间件,用于利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT指令;基带芯片,用于根据所述AT指令获得与所述客户端的PKI调用请求对应的APDU 指令,并将所述APDU指令发送到PKI SIM卡;PKI SIM卡,作为安全模块核心,提供PKI能力的APDU指令的支持。进一步的,所述安全中间件还包括
APDU转换单元,用于将PKI调用请求转换为APDU指令;AT指令组装单元,用于将转换后的APDU指令作为AT指令的参数组装到AT指令中。进一步的,所述基带芯片还用于对所述组装的AT指令中的APDU指令的参数不做解析,直接提取该APDU指令,传入所述PKISIK卡中。进一步的,所述PKI SIM卡包括安全标识检查单元,用于检查接收到的APDU指令中是否包含安全应用协议标识;PKI操作单元,用于在确定接收到的APDU指令中包含安全应用协议标识时,根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的 PKI操作。进一步的,所述PKI调用请求包括公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。为实现上述目的,本发明提供了一种移动安全认证方法,包括移动安全认证终端中的安全中间件利用操作系统提供的AT指令通道将客户端的 PKI调用请求转换为AT指令;所述移动安全认证终端中的基带芯片根据指令转换表将所述AT指令转换为APDU 指令,并将所述APDU指令发送到安设在所述移动安全认证终端中的PKI SIM卡;所述PKI SIM卡检查接收到的APDU指令中是否包含安全应用协议标识,在确定接收到的APDU指令中包含安全应用协议标识时,根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。进一步的,所述PKI调用请求包括公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。为实现上述目的,本发明还提供了另一种移动安全认证方法,包括移动安全认证终端中的安全中间件将客户端的PKI调用请求转换为APDU指令,并将转换后的APDU指令作为AT指令的参数组装到AT指令中;所述移动安全认证终端中的基带芯片对所述组装的AT指令中的APDU指令的参数不做解析,直接提取该APDU指令,并传入安设在所述移动安全认证终端中的PKI SIK卡中;PKI SIM卡根据接收到的APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。进一步的,对于非PKI调用请求的普通调用请求,所述安全中间件利用操作系统提供的AT指令通道将客户端的普通调用请求转换为AT指令,所述基带芯片在处理不包括 APDU指令的参数的AT指令时,将该AT指令转换为APDU指令,并将所述APDU指令发送到 PKI SIM 卡。进一步的,所述PKI调用请求包括公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。基于上述技术方案,本发明克服了现有手机终端只能支持标准集卡接口,而无法支持PKI SIM卡所提供的PKI能力访问的问题,通过支持新的APDU指令接口方式或扩展现有的机卡接口指令的方式,使得终端能够顺利的支持PKI SIM卡所提供的PKI能力访问,从满足移动方式下银行业务的业务申请、证书更新、登录鉴权以及业务交易等更高级的安全需要。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1为本发明移动安全认证终端的一实施例的结构示意图。图2为本发明移动安全认证终端的另一实施例的结构示意图。图3为本发明移动安全认证终端的又一实施例的结构示意图。图4为本发明移动安全认证方法的一实施例的流程示意图。图5为本发明移动安全认证方法的另一实施例的流程示意图。图6为本发明移动安全认证方法实施例的应用场景示意图。
具体实施例方式下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。如图1所示,为本发明移动安全认证终端的一实施例的结构示意图。在本实施例中,移动安全认证终端包括安全中间件1、基带芯片2和PKI SIM卡3。其中,安全中间件1 负责利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT指令。安全中间件1可以屏蔽手机操作系统、PKI SIM卡版本等的区别,为客户端提供统一的安全应用API 接口进行调用,而这里的客户端通常指与服务相关的业务客户端,例如手机银行客户端,通过调用安全中间件1所提供的API接口完成手机银行业务功能。手机中的操作系统要为AT指令提供通道支持,常用的操作系统接口层包括 JSR-177、Windows Mobile RIL 或 Android RIL 等。基带芯片2负责根据AT指令获得与客户端的PKI调用请求对应的APDU指令,并将APDU指令发送到PKI SIM卡3。PKI SIM卡3作为安全模块核心,提供PKI能力的APDU 指令的支持。PKI SIM卡3是一种专用的SIM卡,带有RSA硬件协处理器,可支持RSA的快速计算及公/私密钥对生成。卡内可存储一个或多个银行的公/私钥对及数字证书,为手机银行业务提供安全加密及数字签名功能。下一个实施例给出的是通过定义新的APDU指令接口方式来实现客户端对PKI SIM卡中的PKI能力的调用。如图2所示,为本发明移动安全认证终端的另一实施例的结构示意图。与上一实施例相比,本实施例中的安全中间件包括APDU转换单元11和AT指令组装单元12。其中APDU转换单元11负责将PKI调用请求转换为APDU指令。AT指令组装单元负责将转换后的APDU指令作为AT指令的参数组装到AT指令中。在本实施例中安全中间件除提供了 AT指令的接口之外,还提供了通用的APDU访问接口,例如采用 GSM07. 07 中 8. 17Generic SIMacccess+CSIM (通用 SIM访问+CSIM)协议, 此时就可以直接将PKI调用请求转换为APDU指令,并将该APDU指令作为AT指令中参数的一部分,利用AT指令通道发送给基带芯片,此时由于已存在APDU指令,基带芯片不再需要对这部分APDU指令进行转换,而是直接提取出该部分APDU指令,并传送到PKI SIM卡中。另外,也可以选择对现有的机卡接口指令进行扩展,这种方式避免对终端的硬软件进行较多的升级和修改。具体参见图3,该图为本发明移动安全认证终端的又一实施例的结构示意图。在本实施例中,PKI SIM卡包括安全标识检查单元31和PKI操作单元32。其中,安全标识检查单元31负责检查接收到的APDU指令中是否包含安全应用协议标识。PKI 操作单元32负责在确定接收到的APDU指令中包含安全应用协议标识时,根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。
以标准的更新卡短信内容的APDU指令格式为例,其格式如下
权利要求
1.一种移动安全认证终端,包括安全中间件,用于利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT 指令;基带芯片,用于根据所述AT指令获得与所述客户端的PKI调用请求对应的APDU指令, 并将所述APDU指令发送到PKI SIM卡;PKI SIM卡,作为安全模块核心,提供PKI能力的APDU指令的支持。
2.根据权利要求1所述的移动安全认证终端,其中所述安全中间件还包括 APDU转换单元,用于将PKI调用请求转换为APDU指令;AT指令组装单元,用于将转换后的APDU指令作为AT指令的参数组装到AT指令中。
3.根据权利要求2所述的移动安全认证终端,其中所述基带芯片还用于对所述组装的 AT指令中的APDU指令的参数不做解析,直接提取该APDU指令,传入所述PKI SIK 卡中。
4.根据权利要求1所述的移动安全认证终端,其中所述PKISIM卡包括安全标识检查单元,用于检查接收到的APDU指令中是否包含安全应用协议标识; PKI操作单元,用于在确定接收到的APDU指令中包含安全应用协议标识时,根据所述 APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI 操作。
5.根据权利要求1 4任一所述的移动安全认证终端,其中所述PKI调用请求包括 公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。
6.一种移动安全认证方法,包括移动安全认证终端中的安全中间件利用操作系统提供的AT指令通道将客户端的PKI 调用请求转换为AT指令;所述移动安全认证终端中的基带芯片根据指令转换表将所述AT指令转换为APDU指令,并将所述APDU指令发送到安设在所述移动安全认证终端中的PKI SIM卡;所述PKI SIM卡检查接收到的APDU指令中是否包含安全应用协议标识,在确定接收到的APDU指令中包含安全应用协议标识时,根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。
7.根据权利要求6所述的移动安全认证方法,其中所述PKI调用请求包括公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。
8.一种移动安全认证方法,包括移动安全认证终端中的安全中间件将客户端的PKI调用请求转换为APDU指令,并将转换后的APDU指令作为AT指令的参数组装到AT指令中;所述移动安全认证终端中的基带芯片对所述组装的AT指令中的APDU指令的参数不做解析,直接提取该APDU指令,并传入安设在所述移动安全认证终端中的PKI SIK卡中;PKI SIM卡根据接收到的APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。
9.根据权利要求8所述的移动安全认证方法,其中对于非PKI调用请求的普通调用请求,所述安全中间件利用操作系统提供的AT指令通道将客户端的普通调用请求转换为AT 指令,所述基带芯片在处理不包括APDU指令的参数的AT指令时,将该AT指令转换为APDU 指令,并将所述APDU指令发送到PKI SIM卡。
10.根据权利要求8或9所述的移动安全认证方法,其中所述PKI调用请求包括公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。
全文摘要
本发明涉及一种移动安全认证终端,包括安全中间件,用于利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT指令;基带芯片,用于根据所述AT指令获得与所述客户端的PKI调用请求对应的APDU指令,并将所述APDU指令发送到PKI SIM卡;PKI SIM卡,作为安全模块核心,提供PKI能力的APDU指令的支持。本发明还涉及一种移动安全认证方法。本发明克服了现有手机终端只能支持标准集卡接口,而无法支持PKI SIM卡所提供的PKI能力访问的问题,通过支持新的APDU指令接口方式或扩展现有的机卡接口指令的方式,使得终端能够顺利的支持PKI SIM卡所提供的PKI能力访问,从满足移动方式下银行业务的业务申请、证书更新、登录鉴权以及业务交易等更高级的安全需要。
文档编号H04W12/06GK102202306SQ20111015709
公开日2011年9月28日 申请日期2011年6月13日 优先权日2011年6月13日
发明者张文安, 张湘东, 谢云, 黄泽龙 申请人:中国电信股份有限公司