一种利用手机自动完成认证的方法

专利名称：一种利用手机自动完成认证的方法
技术领域：
本发明涉及电子商务领域，尤其涉及电子商务的安全交易领域。
背景技术：
1.背景在电子商务中，用户认证是保证安全性的重要处理，特别是涉及大金额的交易时候，由于网络的匿名性隐蔽性，对交易安全带来了不安全因素。在电子商交易中，为了增加交易的安全性，服务提供商通常采用外接式电子钥匙Token (—种基于PKI的，通过利用私钥的证明书)，通常情况下，以USB Key为媒体，但是这种外接式电子钥匙，非常不便于携带。同时，这些电子钥匙，需要消费者本人到营业窗口去领取，繁琐的手续阻碍了潜在需要者成为真正的用户。而且不同的服务需要不同的电子钥匙，这样管理保存一堆电子钥匙，反而给最终用户带来了新的安全隐患。在网络安全领域，为提高安全性，RSA SecurID提供的一次性密码也是常用的方式，但是这种方式和上述方法同样，需要ID和秘密钥匙，所述钥匙和ID具有上述相同的问题。同样，还有软件的生成的一次性密码来增强安全性，但是一次性密码只能保证密码的安全，却无法保证使用者的真实可靠性。在电子商交易中，为了增加交易的安全性，服务提供商还采用手机的短信/语言的回复Callback方法,通过Callback来确认用户的真实可靠性。然而Callback处理无法满足最终用户对即时性的要求，同时也为服务商增加了运营的成本。另一方面，近年智能手机的普及，使得手机能够代替PC完成电子商的交易。手机相对于PC具有更强的个人隐秘性，因此具有更牢固的安全性；但同时手机相对于PC具有输入困难、外接困难问题。因此目前的方法无法利用手机的长处，相反制约了手机参与大金额交易的电子商交易。2.课题使用智能手机的特征和特性,保证电子上交易中，认证的真实性authenticity和机密性Confidentiality,实现一种利用手机完成认证的方法。比较于现有方法，该方法的成本低于Call Back方式，同时能解决USB Key，和RSA SecurID的以下问题:
1.提供一种安全的ID和秘密钥匙的发行方法，以解决需要到窗口领取的问题。
2.提供一种安全的ID和秘密钥匙的保存方法，以解决不同服务需要不同的ID和钥匙，以及USB Key, RSA SecurID硬件本身的不便于携带的问题，和不能直接使用在PC以外的地方。
3.提供基于所述发行/保存方法的一种安全的ID认证方法，以保操作便利的同时，认证的安全性等不低于现有方法。3.发明目标基于以上课题，本发明提出新处理方法，通过以下方式完成在智能手机中，安全利用认证1.使用有信用力的第三方机构发行ID和非对称钥匙中的加密用钥匙，发行方法保证ID无法被篡改、伪装、否认；
2.1D和秘密钥匙保存于智能手机中具有IC加密功能的芯片中，保存方法保证ID无法被篡改，盗窃
3.使用部署于IC芯片中的ICapplet程序，和部署于智能手机OS中的程序结合，自动完成制ID认证处理，保证使用的便利性

发明内容
导入独立于服务提供商的第三方ID管理机构，在第三方ID管理机构的服务器的管理下，生成提供下载的ID/秘密钥匙，并通过网络，提供个人信息化的处理(Personalization),由 ID 管理机构保证 ID 的真正性 Authenticity。在手机中，利用手机中的SM，或者加密SD等IC芯片作为保存ID/秘密钥匙的媒体。在所述保存ID媒体的芯片上，部署IC applet程序，通过程序，自动处理ID的下载、参照、销毁。所述IC applet的程序，管理I到复数个ID，提供单一，或者不同的服务提供商的ID认证服务。所述IC applet的程序，同时管理用户的密码、生日、姓名、电子邮箱等个人信息本发明的进步性在于:
1.用户无需记忆，无需手动输入ID和高强度密码，
2.无需携带其他USB钥匙等其他装置，
3.自动进行认证处理提供用户良好体验，并保证进行安全交易。


图1概要2智能手机结构3IC程序运行环境构成4ID发行方法图5IC数据生成方法流程6IC程序数据保存结构7ID认证步骤图8ID认证处理方法
具体实施例方式目前 SM 采用 IS0/IEC7816 规格，专门名称为 UICC (Universal IntegratedCircuit Card)。由于IS0/IEC7816规格所 提供数据交换的手段为APDU指令，因此一般OS不提供直接访问API ;又因为SIM可以被加密，因此一般OS和技术者，无法读取其中的数据。由于上述原因，智能手机中的SIM卡，是保存机密性ID和秘密钥匙的理想媒体。然而，SIM卡有很大部分依存于移动运营商。而不同的运营商，采用不同的标准制式，而不同国家又采用不同的标准制式，因此服务提供商集约这些不同制式的SIM，在技术上有相当困难。而不同服务商同时保有植入SIM的技术和设备，将是巨大的投资。因此本发明提出，通过独立的第三方，提供ID、秘密钥匙发行、导入和认证服务，来降低系统服务整体成本。这样的优点是，服务提供商可以专注于服务本身。同时，对于有实力的服务提供商，也同样可以按照本发明说明，完成其专属的ID发行认证机构。符合IS0/IEC7816规格的芯片具有上述SM同样的特征，因此可以采用同样的方法实现所述功能。1.结构
基于上述背景，本发明的系统结构，采用如下图所述结构:图1概要图
本发明提供的服务由用户(10)、服务提供商(20)和第三方ID管理机构(30)，三方组成，其系统构成为
1.智能手机1，用以保存ID，部署应用程序，用户10通过应用程序获得ID，并和服务器交互，进行ID认证
2.服务提供商服务器2，提供电子商务的服务
3.1D管理机构服务器3，提供将ID写入智能手机的方法，并提供ID认证处理图2智能手机结构图
如图所示，本发明的手机结构如下
1.标准硬件装置11，包括CPU、存储、显示装置、通信装置
2.0S (13)，为市场提供的Android ，iOS 等操作系统
3.1C芯片12，符合IS0/IEC7816规格的IC芯片，通常可使用标准WCC的SM，作为同等替代可以使用具有加密功能的SD形态的IC芯片，也可以使用其他IC芯片同等替换。
4.部署于0S(13)中的应用程序14。通过应用程序，实现和服务提供商服务器连接，提供用户服务界面。
5.部署于IC(13)中的ID管理程序15。通过ID管理程序，实现ID的写入、读取、删除，管理ID。IC中的ID管理程序运行环境结构，如下图所示图3 IC程序运行环境构成图
如图所示，适用IC芯片的运行环境包括以下单元
1.由IC芯片制造商提供的，管理处理器、存储器、输入输入、加密/解密电路的操作系统 151。
2.在IC芯片制造商提供的操作系统上,部署javaCardVirtual Machine虚拟机152,以下称JavaCard VM,由于JavaCard技术的国际标准化，IC芯片提供商也会预先安装根据IS07816 定义的 JavaCard VM。
3.由JavaCard VM提供JavaCard的运行环境153
4.JavaCard的API，以及芯片发行商提供的API (154)，移动运营商会安装一些基本服务，并提供基本服务的API,
5.1C applet的ID管理程序，为本发明的构成内容。ID的发行、保存、管理方法，在以下章节说明。2.程序部署方法IC芯片中程序，由ID管理机构开发，通过和移动运营商合作，采用移动运营商提供的服务器(TSM)，进行远程发布(OTA)，也可以在MNO的营业窗口，通过SM写入装置，写入ICApplet。IC Applet被保存于IC,保存方法在后续章节详述。在保存的同时，IC Applet被赋予钥匙，并获得读写管理领域的数据。
服务商服务器2中的程序为WEB程序，由服务提供商20开发，部署，
第三方ID管理机构30服务器3中的WEB程序，采用例如Enterprise Java的开发方法，使用EJB, Severlet等中等水平技术,实现本发明所述方法。3.1D发行方法
ID发行步骤，如下如图所示，:图4 ID发行方法
0用户提交服务申请。申请方法分为1.基于html的WEB申请画面，2.智能手机中应用程序中的指定画面，任意一种。所述服务申请，包括提供服务所需要的个人信息，如，用户名(具有一义性的用户识别名unique)、姓名、性别、住址、电话号码、电子邮箱，手机号码等。所述用户名为公开信息。
il服务提供商20的部署于服务器中2的程序，根据用户申请信息，进行新用户生成处理，并生成新用户的业务数据，保存于服务器。所述业务数据，包括系统识别ID，所述ID不对外公开。
2服务器中2的 程序，生成的业务数据，传给ID管理机构，
13ID管理机构30，通过部署于服务器3中的程序，编辑数据格式，并生成非对称钥匙(asymmetric key),其中秘密钥匙(private key)作为解密钥匙,公开钥匙(public key)作为加密钥匙，生成方法在后续章节叙述。
14ID管理机构30返回处理结果
5服务提供商，返回处理结果，启动手机I中下载功能
6所生成的智能手机处理数据，通过SSL等加密方式，传送于智能手机。
7所生成的智能手机处理数据，传送于智能手机。
8智能手机，通过部署于OS (13)的应用程序14，调用部署于IC (12)中的ID管理程序15，将所述数据写入1C。
为详细说明i3中的格式编辑和加密处理流程，结合以下数据生成方法流程5 IC数据生成方法流程图 如图所示，IC数据生成步骤如下
30验证服务提供商，其方法可以采用数字签名，或者其他同等替换方法 31验证业务数据，如果获得的业务数据中有错误，则返回错误结果 32结果正常的情况下，继续:
33根据用户申请信息，判断处理类型，具体为，根据手机型号，uid等信息，判断手机和运营商的类型
34按照类型，编辑生成所需要的数据，理由是nCC虽然按照IS07816设计，但是不同厂商会有微小的差异，本步骤可以解决这些微小差异，
35对生成数据，使用和部署于手机I中的应用程序14的共同钥匙，对数据进行加密。由于下载要求可以通过HTTPs或者TLS，因此对数据加密的步骤也可以根据安全等级取消。
上述，发行方法为同期型发行。作为同等替换，在处理能力或者服务需求中，如果需要审核用户等长时间的处理的话，还可以采用非同期发行方法。非同期发行方法，采用PUSH Notification 方式，代替 request-response 方式。
发行步骤，可以模型化为:
Ui用户信息
pw,加密用钥匙
PWi1和加密用钥匙相对的解密用钥匙
IDi用户的ID
BI:用户业务数据
SC用户的IC芯片中保存的内容
51手机
52服务运营商的服务器
53第三方ID管理机构的服务器
h(*)具有不可逆特征的哈希函数，可以是MD5，或者SHA系列
1.取得Ui，
2.S2 生成 BIi，所述 BIi,= { IDi, Ui }
3.S2将BIi i传送到S3
4.S3 生成 Pwi, pw^1 ,并生成 SCi 所述 SCi,= { IDi, PwijUi }
5.S3将SCi传送S1
6.手机I中的应用程序14，将SCi写入IC卡
所述非对称钥匙(asymmetric key),常用方式是利用SSH KeyGen命令,作为参考,在服务器端可以使用JAVA代码实现生成。
public CryptKeyPair generate(String keyAigorithm, int keyLength) { try {
KeyPairGenerator generator = KeyPairGenerator.get Instance (keyA Igor ithm);
SecureRandom random = SecureRandom.get Instance CshAIPRNG")； if (seed !二 null ) { random.setSeed (seed); } generator, initialize(keyLength, random)；
KeyPair keyPai r = generator.generateKeyPa i r();
所述加密方法(keyAlgorithm)，选择RSA，DSA，ECDSA或者其他同等置换。钥匙的长度，可以根据服务安全等级需要而决定。程序的结果是生非对称钥匙。
所述 IC Applet,实装中使用 javacard.framework.Applet 提供的方法(Method),
权利要求
1.一种利用手机自动完成认证的系统，其特征在于所述认证系统，包含 (1)用户手机， (2)服务提供商的服务器， (3)第三方ID管理机构的服务器。
所述用户手机，其特征在于，包含IS07816规格的标准IC芯片。
2.一种利用手机自动完成认证的，ID发行方法，其特征在于所述ID发行方法包含步骤: (1)取得用户信息 (2)服务提供商的服务器，生成业务数据 (3)服务提供商，将所述业务数据，传送到第三方ID管理机构 (4)第三方ID管理机构生成钥匙，并生成写入IC的数据 (5)第三方ID管理机构将所述IC数据传给用户手机 (6)用户手机，将所述IC数据写入手机中的IC芯片。
3.一种利用手机自动完成认证的，ID认证方法，其特征在于所述于所述ID认证方法包含步骤: (I)手机获得所述IC数据 (2 )手机自动生成认证电文，发送第三方ID管理机构 (3)ID管理机构进行认证处理，将结果通知服务商。
4.如权利要求2所述ID发行方法，其特征在于所述ID保存于手机中。
5.如权利要求3所述ID认证方法，其特征在于所述认证电文在传送中，经过加密处理。
全文摘要
一种利用手机自动完成认证的方法，使用手机中装载的SIM等IC芯片，保存电子商等服务的ID。由于SIM制造商在遵守标准的同时，具有微小差异，吸收这样的差异对服务运营商来说，产生了相当大的成本。本发明提出独立的ID管理机构，1. 吸收所有IC芯片的差异，2. 提供ID的OTA发行方法，3. 代理服务运营商完成安全等级高的ID认证。所有处理自动完成，用户无需记忆、输入ID和高强度的password。本发明采用的认证方法保证认证信息中不包含ID和密码，保证认证信息安全。
文档编号H04L9/32GK103152177SQ20131003983
公开日2013年6月12日 申请日期2013年1月31日 优先权日2013年1月31日
发明者郁晓东 申请人:郁晓东