一种基于智能卡的在线认证方法、智能卡及认证服务器与流程
本发明涉及通信技术领域,尤其涉及一种基于智能卡的在线认证方法、智能卡及认证服务器。
背景技术:
本申请发明人在实现本申请实施例技术方案的过程中,至少发现相关技术中存在如下技术问题:
随着互联网的发展以及物联网的出现,各种安全事件层出不穷。比如比较重大的网络安全事件,如携程网安全支付日志的漏洞、众多酒店客户数据泄露、山寨网银与山寨微信客户端、敲诈者病毒等一系列的不安全事件导致大量用户账号、身份信息、金融信息泄露。而在物联网领域,所有的设备都会被接入互联网,并相互通信,对于用户来说,一方面,用户即将进入效率和便利的智能家居时代;另一方面,当用户的智能家居,如冰箱、温控器或者家庭安全摄像头连接到网络后,它们会像电脑一样容易受到攻击,发生故障或中断。事实上,智能家居等物联网设备比传统计算设备(例如电脑、笔记本、手机或平板电脑)更容易受到攻击和破坏。
物联网还处于起步阶段,安全控制能力不够强,存在安全漏洞,容易被黑客攻击,对于大多数用户来说,当一切事物都连接到互联网时,虽然会为用户的生活提供便利,但是如果这些物联网相关应用的安全性不能得到保证,存在安全隐患,对用户来说,是非常危险的。
技术实现要素:
有鉴于此,本发明实施例希望提供一种基于智能卡的在线认证方法、智能卡及认证服务器备,至少解决了现有技术存在的问题,避免安全隐患,提高物 联网相关应用为用户提供服务的安全等级。
本发明实施例的技术方案是这样实现的:
本发明实施例的一种基于智能卡的在线认证方法,所述方法包括:
运行位于用户识别认证卡中的第一应用;
通过第一通道接收由当前终端用户直接传输至所述用户识别认证卡的认证请求信息或接收由当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息;
由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
通过所述第一通道将所述认证码发送给认证服务器进行验证;
通过所述第一通道接收所述认证服务器验证后反馈的认证结果,来判决所述当前终端用户是否为合法用户。
上述方案中,所述第一通道为OMA通道时,接收由所述当前终端用户直接传输至所述用户识别认证卡的认证请求信息。
上述方案中,所述第一通道为OTA通道时,接收由所述当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息。
上述方案中,所述由所述第一应用根据所述认证请求信息生成认证码,包括:
解析所述认证请求信息,得到待认证信息;
提取预设的认证逻辑,根据所述待认证信息和所述认证逻辑生成所述认证码。
本发明实施例的一种基于智能卡的在线认证方法,所述方法包括:
运行位于用户识别认证卡中的第一应用;
当前终端用户发起认证请求,通过第一通道直接将认证请求信息传输至所述用户识别认证卡中的所述第一应用;
由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
通过所述第一通道将所述认证码发送给认证服务器进行验证;
认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
上述方案中,所述第一通道为OMA通道。
上述方案中,所述方法还包括:
所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
上述方案中,所述认证服务器验证后,通过所述第一通道反馈认证结果,包括:
所述认证服务器将所述认证结果通过所述OMA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
本发明实施例的一种基于智能卡的在线认证方法,所述方法包括:
运行位于用户识别认证卡中的第一应用;
当前终端用户发起认证请求,通过第一通道将认证请求信息经认证服务器转发传输至所述用户识别认证卡中的所述第一应用;
由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
通过所述第一通道将所述认证码发送给认证服务器进行验证;
认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
上述方案中,所述第一通道为OTA通道。
上述方案中,所述方法还包括:
所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
上述方案中,所述认证服务器验证后,通过所述第一通道反馈认证结果, 包括:
所述认证服务器将所述认证结果通过所述OTA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
本发明实施例的一种智能卡,所述智能卡包括第一应用,所述智能卡包括:
运行单元,用于运行位于用户识别认证卡中的第一应用;
第一接收单元,用于通过第一通道接收由当前终端用户直接传输至所述用户识别认证卡的认证请求信息或接收由当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息;
认证码生成单元,用于由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
发送单元,用于通过所述第一通道将所述认证码发送给认证服务器进行验证;
第二接收单元,用于通过所述第一通道接收所述认证服务器验证后反馈的认证结果,来判决所述当前终端用户是否为合法用户。
上述方案中,所述第一接收单元,进一步用于所述第一通道为OMA通道时,接收由所述当前终端用户直接传输至所述用户识别认证卡的认证请求信息。
上述方案中,所述第一接收单元,进一步用于所述第一通道为OTA通道时,接收由所述当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息。
上述方案中,所述认证码生成单元,进一步用于解析所述认证请求信息,得到待认证信息;提取预设的认证逻辑,根据所述待认证信息和所述认证逻辑生成所述认证码。
本发明实施例的一种认证系统,所述系统包括:
运行单元,用于运行位于用户识别认证卡中的第一应用;
传输单元,用于当前终端用户发起认证请求,通过第一通道直接将认证请求信息传输至所述用户识别认证卡中的所述第一应用;
认证码生成单元,用于由所述第一应用根据所述认证请求信息生成认证码, 所述认证码用于识别所述当前终端用户是否为合法用户;
发送单元,用于通过所述第一通道将所述认证码发送给认证服务器进行验证;
反馈单元,用于认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
上述方案中,所述第一通道为OMA通道。
上述方案中,所述系统还包括交互单元,用于所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
上述方案中,所述反馈单元,进一步用于所述认证服务器将所述认证结果通过所述OMA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
本发明实施例的一种认证系统,所述系统包括:
运行单元,用于运行位于用户识别认证卡中的第一应用;
传输单元,用于当前终端用户发起认证请求,通过第一通道将认证请求信息经认证服务器转发传输至所述用户识别认证卡中的所述第一应用;
认证码生成单元,用于由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
发送单元,用于通过所述第一通道将所述认证码发送给认证服务器进行验证;
反馈单元,用于认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
上述方案中,所述第一通道为OTA通道。
上述方案中,所述系统还包括交互单元,用于所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
上述方案中,所述反馈单元,进一步用于所述认证服务器将所述认证结果 通过所述OTA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
本发明实施例的一种基于智能卡的在线认证方法,所述方法包括:运行位于用户识别认证卡中的第一应用;通过第一通道接收由当前终端用户直接传输至所述用户识别认证卡的认证请求信息或接收由当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息;由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;通过所述第一通道将所述认证码发送给认证服务器进行验证;通过所述第一通道接收所述认证服务器验证后反馈的认证结果,来判决所述当前终端用户是否为合法用户。
采用本发明实施例,由于第一通道是专门的安全通道,认证请求信息是在第一通道上传输至用户识别认证卡中的认证应用进行身份认证识别,相应的,在第一应用与认证服务器之间进行交互,通过认证服务器认证后反馈认证结果来确定当前终端用户是否为合法用户,因此,避免了安全隐患,也提高了物联网相关应用为用户提供服务的安全等级。
附图说明
图1为本发明实施例的实现流程示意图;
图2为本发明实施例的智能卡中单元组成结构示意图;
图3为本发明实施例认证系统的组成结构示意图;
图4为应用本发明实施例的应用实例一的基于OMA通道下的在线认证示意图;
图5为应用本发明实施例的应用实例二的基于OTA通道下的在线认证示意图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
本发明实施例的一种基于智能卡的在线认证方法,如图1所示,所述方法包括:
步骤101、运行位于用户识别认证卡中的第一应用;
这里,所述用户识别认证卡可以为智能卡,所述第一应用可以为认证应用;
步骤102、通过第一通道接收由当前终端用户直接传输至所述用户识别认证卡的认证请求信息或接收由当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息;
这里,所述第一通道可以为安全通道,包括OMA通道和OTA通道;
步骤103、由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
步骤104、通过所述第一通道将所述认证码发送给认证服务器进行验证;
步骤105、通过所述第一通道接收所述认证服务器验证后反馈的认证结果,来判决所述当前终端用户是否为合法用户。
在本发明实施例一实施方式中,所述第一通道为OMA通道时,接收由所述当前终端用户直接传输至所述用户识别认证卡的认证请求信息。
在本发明实施例一实施方式中,所述第一通道为OTA通道时,接收由所述当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息。
在本发明实施例一实施方式中,所述由所述第一应用根据所述认证请求信息生成认证码,包括:
解析所述认证请求信息,得到待认证信息;
提取预设的认证逻辑,根据所述待认证信息和所述认证逻辑生成所述认证码。
本发明实施例的一种基于智能卡的在线认证方法,所述方法包括:
运行位于用户识别认证卡中的第一应用;
当前终端用户发起认证请求,通过第一通道直接将认证请求信息传输至所述用户识别认证卡中的所述第一应用;
由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别 所述当前终端用户是否为合法用户;
通过所述第一通道将所述认证码发送给认证服务器进行验证;
认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
在本发明实施例一实施方式中,所述第一通道为OMA通道。
在本发明实施例一实施方式中,所述方法还包括:
所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
在本发明实施例一实施方式中,所述认证服务器验证后,通过所述第一通道反馈认证结果,包括:
所述认证服务器将所述认证结果通过所述OMA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
本发明实施例的一种基于智能卡的在线认证方法,所述方法包括:
运行位于用户识别认证卡中的第一应用;
当前终端用户发起认证请求,通过第一通道将认证请求信息经认证服务器转发传输至所述用户识别认证卡中的所述第一应用;
由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
通过所述第一通道将所述认证码发送给认证服务器进行验证;
认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
在本发明实施例一实施方式中,所述第一通道为OTA通道。
在本发明实施例一实施方式中,所述方法还包括:
所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
在本发明实施例一实施方式中,所述认证服务器验证后,通过所述第一通道反馈认证结果,包括:
所述认证服务器将所述认证结果通过所述OTA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
本发明实施例的一种智能卡,如图2所示,所述智能卡包括第一应用,所述智能卡包括:
运行单元11,用于运行位于用户识别认证卡中的第一应用;
第一接收单元12,用于通过第一通道接收由当前终端用户直接传输至所述用户识别认证卡的认证请求信息或接收由当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息;
认证码生成单元13,用于由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
发送单元14,用于通过所述第一通道将所述认证码发送给认证服务器进行验证;
第二接收单元15,用于通过所述第一通道接收所述认证服务器验证后反馈的认证结果,来判决所述当前终端用户是否为合法用户。
在本发明实施例一实施方式中,所述第一接收单元,进一步用于所述第一通道为OMA通道时,接收由所述当前终端用户直接传输至所述用户识别认证卡的认证请求信息。
在本发明实施例一实施方式中,所述第一接收单元,进一步用于所述第一通道为OTA通道时,接收由所述当前终端用户经认证服务器转发传输至所述用户识别认证卡的认证请求信息。
在本发明实施例一实施方式中,所述认证码生成单元,进一步用于解析所述认证请求信息,得到待认证信息;提取预设的认证逻辑,根据所述待认证信息和所述认证逻辑生成所述认证码。
本发明实施例的一种认证系统,如图3所示,所述系统包括:
运行单元21,用于运行位于用户识别认证卡中的第一应用;
传输单元22,用于当前终端用户发起认证请求,通过第一通道直接将认证请求信息传输至所述用户识别认证卡中的所述第一应用;
认证码生成单元23,用于由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
发送单元24,用于通过所述第一通道将所述认证码发送给认证服务器进行验证;
认证单元25,用于认证服务器对所述认证码进行验证;
反馈单元26,用于认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
上述系统的组成单元中,运行单元21、传输单元22、认证码生成单元23、发送单元24可以位于所述智能卡中;认证单元25、反馈单元26可以位于认证服务器中;当前终端用户所使用的终端分别与所述智能卡及应用管理平台通信交互,所述应用管理平台分别与智能卡及所述认证服务器交互。
在本发明实施例一实施方式中,所述第一通道为OMA通道。
在本发明实施例一实施方式中,所述系统还包括交互单元,用于所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
在本发明实施例一实施方式中,所述反馈单元,进一步用于所述认证服务器将所述认证结果通过所述OMA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
本发明实施例的一种认证系统,如图3所示,所述系统包括:
运行单元21,用于运行位于用户识别认证卡中的第一应用;
传输单元22,用于当前终端用户发起认证请求,通过第一通道将认证请求信息经认证服务器转发传输至所述用户识别认证卡中的所述第一应用;
认证码生成单元23,用于由所述第一应用根据所述认证请求信息生成认证码,所述认证码用于识别所述当前终端用户是否为合法用户;
发送单元24,用于通过所述第一通道将所述认证码发送给认证服务器进行 验证;
认证单元25,用于认证服务器对所述认证码进行验证;
反馈单元26,用于认证服务器验证后,通过所述第一通道反馈认证结果;所述认证结果用于表征所述当前终端用户是否为合法用户。
上述系统的组成单元中,运行单元21、传输单元22、认证码生成单元23、发送单元24可以位于所述智能卡中;认证单元25、反馈单元26可以位于认证服务器中;当前终端用户所使用的终端分别与所述智能卡及应用管理平台通信交互,所述应用管理平台分别与智能卡及所述认证服务器交互。
在本发明实施例一实施方式中,所述第一通道为OTA通道。
在本发明实施例一实施方式中,所述系统还包括交互单元,用于所述当前终端用户发起认证请求后,应用管理平台接收到所述认证请求,生成包括认证请求序列号在内的相关认证请求信息并返回给所述当前终端用户。
在本发明实施例一实施方式中,所述反馈单元,进一步用于所述认证服务器将所述认证结果通过所述OTA通道反馈给所述应用管理平台,由所述应用管理平台转发给所述当前终端用户。
以一个现实应用场景为例对本发明实施例阐述如下:
本应用场景为基于智能卡的在线认证场景,为了解决终端设备在当今物联网应用环境下的安全性问题,避免安全隐患,提高安全等级,本应用场景应用本发明实施例,是一种基于智能卡的在线认证方案,所述方法主要包括:认证请求获取方式是指将认证请求信息传递给负责认证的移动终端或者智能卡认证户卡应用。由终端直接或通过认证服务器将认证请求传递给用户卡上的认证应用,如Applet。这种情况下,是一种在线认证方式,即认证过程需要本地与远端的认证服务器相互配合完成身份校验,而且身份校验信息一般需要经过网络进行传递的认证方法。还有一种本地认证方式,即认证过程是在终端本地完成的认证,可以由用户灵活地设置采用何种方式,如免本地认证、本地个人码、指纹认证等等。用户设置的本地认证方式只存在智能手机的用户卡中,不向外传递,保证了本地认证验证方式的安全性。
应用实例一:
在线认证的方式,且基于OMA安全通道来传输信息,如图4所示,该方法包括以下步骤;
步骤201、终端发起认证请求,由应用平台返回认证请求序列号等相关的认证请求信息;
步骤202、认证请求经OMA通道直接从终端发送至智能卡认证应用。
步骤203、智能卡认证应用选择认证请求的相应认证方法进行运算,产生认证码。
步骤204、认证码经OMA通道传送给认证服务器,
步骤205、经认证服务器验算后,将认证结果返回应用平台。
步骤206、应用平台将结果转送给终端。
应用实例二:
在线认证的方式,且基于OTA安全通道来传输信息,如图5所示,该方法包括以下步骤;
步骤301、终端发起认证请求,应用平台将应用认证请求信息发送至认证服务器。
步骤302、认证服务器将认证请求信息以OTA短信形式发送至智能卡认证应用。
步骤303、智能卡认证应用选择认证请求的相应认证方法进行运算,产生认证码。
步骤304、认证码经OTA通道传送给认证服务器,
步骤305、经认证服务器验算后,将认证结果返回应用平台。
步骤306、应用平台将结果转送给终端。
相应的,对应上述应用实例,本方案提供的一种在线认证系统的具体实例,主要包括:智能卡认证应用(位于智能卡中)、安全通道以及认证服务器。认证卡应用主要存储认证信息与认证运算逻辑,接收到认证请求后根据约定认证方法生成认证身份码,然后通过安全通道送至服务器进行验证。认证服务器负责 提供认证身份码的验证、认证授权、云端能力开放、安全策略与规则等等。安全通道主要包括OTA通道以及OMA(Open Mobile API)机卡通道。OMA通道传输速率较高,可以用于大量数据的传送,而OTA短信传送的容量受到限制而且有一定的时延,仅适用于少量信息的传送。
相应的,对应上述应用实例,本方案提供的一种在线认证系统的另一个具体实例主要包括:应用管理平台、智能卡、安全通道以及认证服务器。认证卡应用位于认于智能卡中,主要存储认证信息与认证运算逻辑,并在接收到认证请求后根据约定认证方法生成认证身份码,然后通过安全通道送至服务器进行验证。认证服务器负责提供认证身份码的验证、认证授权、云端能力开放、安全策略与规则等等。安全通道主要包括空中下载(OTA,Over-the-Air Technology)通道以及开放手机应用程序接口(OMA,Open Mobile API)机卡通道。OMA通道传输速率较高,用于大量数据的传送,而OTA短信传送的容量受到限制而且有一定的时延,仅适用于少量信息的传送。
这里需要指出的是,智能卡认证应用可以通过预装或者空中下载至智能卡中,完成必要的信息同步如会话密钥同步、PKI密钥对的生成等,然后经过与物联网应用进行绑定后,可以开始进行业务认证。
综上所述,采用本发明实施例及上述具体实例的优点主要体现在以下几个方面:
(1)智能卡的安全性。目前的UICC卡具备较高的安全性,它具有严密的安全访问控制机制,任何应用要访问智能卡必须符合安全访问规则,由此对卡内信息和算法提供了目前前最高等级的安全防护。
(2)通道的安全性。OMA安全通道只有符合安全规则的应用才可以打开;OTA短信是由服务器送至智能卡上,使用会话密钥对传送内容加密,难以被终端应用截获。同时这两类通道的访问权限都严格掌握在运营商手中,保证了通道传送的安全性。
(3)算法的灵活性和安全性。使用存储在智能卡内的独特的静态卡信息以及其他动态信息,通过现有先进的算法生成认证码或使用基于PKI的非对称密 钥算法。实际使用时可根据该物联网应用的安全等级要求,采用相应的算法,具有较高的灵活性。
本发明实施例所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
相应的,本发明实施例还提供一种计算机存储介质,其中存储有计算机程序,该计算机程序用于执行本发明实施例的一种基于智能卡的在线认证方法。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!