一种安全验证方法和系统与流程
本发明涉及电子技术领域,尤其涉及一种安全验证方法和系统。
背景技术:
目前,智能手机等智能终端设备被广泛普及,用户在第一次使用这些智能终端的应用软件时,通常需要先进行注册,注册成功才能正常使用,有些智能终端的应用软件对安全性的要求较高,例如通过安全加密芯片进行通信的应用软件,但现有的注册过程安全验证机制不完善,若智能终端设备中的用户身份识别卡被非法盗用后非法用户也能够非法使用这些应用软件,造成了越来越多的智能终端的安全事件发生,因此使得用户使用智能终端进行通信的安全无法保障,存在安全隐患。
技术实现要素:
本发明实施例提供一种安全验证方法和系统,可以实现智能终端和SIM卡唯一对应,提升了对智能终端用户合法性的验证能力,保证用户合法使用智能终端进行通信。
第一方面,本发明实施例提供了一种安全验证方法,该方法包括:
客户端若检测到包含用户输入的注册号码的注册请求,则获取注册信息,其中,所述注册信息包括安全芯片的序列号、用户身份识别卡的标识码和所述用户身份识别卡对应的通信号码;
所述客户端使用所述注册号码和所述注册信息,向所述服务器申请将所述注册号码对应的用户身份识别卡与所述客户端进行绑定;
所述客户端若检测到所述用户触发通过所述安全芯片进行通信的操作,则实时获取注册信息,并将所述注册信息发送到所述服务器;
所述服务器根据接收到的所述注册信息,验证所述注册信息标识的所述用户身份识别卡与所述客户端是否被合法绑定,并将验证结果返回给所述客户端;
所述客户端接收到所述服务器发送的验证结果,若所述验证结果为验证成功,则允许所述用户通过所述安全芯片进行通信。
另一方面,本发明实施例提供了一种安全验证系统,该系统包括客户端和服务器,所述客户端和所述服务器通过网络进行连接;
所述客户端包括:
注册请求单元,用于若检测到包含用户输入的注册号码的注册请求,则获取注册信息,其中,所述注册信息包括安全芯片的序列号、用户身份识别卡的标识码和所述用户身份识别卡对应的通信号码;
绑定请求单元,用于使用所述注册号码和所述注册信息,向所述服务器申请将所述注册号码对应的用户身份识别卡与所述客户端进行绑定;
实时获取单元,用于若检测到所述用户触发通过所述安全芯片进行通信的操作,则实时获取注册信息,并将所述注册信息发送到所述服务器;
验证成功单元,用于接收所述服务器发送的验证结果,若所述验证结果为验证成功,则允许所述用户通过所述安全芯片进行通信;
所述服务器用于:
处理所述客户端将所述注册号码对应的用户身份识别卡与所述客户端进行绑定的申请;
根据接收到的所述注册信息,验证所述注册信息标识的所述用户身份识别卡与所述客户端是否被合法绑定,并将验证结果返回给所述客户端。
本发明实施例在客户端检测到包含用户输入的注册号码的注册请求时,向服务器申请将注册号码对应的用户身份识别卡与客户端进行绑定,以使用户身份识别卡与客户端唯一对应,当客户端检测到用户触发通过安全芯片进行通信的操作时,实时获取注册信息,并将注册信息发送到服务器进行验证,判断该注册信息标识的用户身份识别卡与客户端是否被合法绑定,若验证成功,则允许用户通过安全芯片进行通信,通过本发明实施例提供的安全验证方法,可以实现用户身份识别卡和客户端唯一对应,提升了对智能终端用户合法性的验证能力,保证用户合法使用智能终端进行通信。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种安全验证方法的示意流程图;
图2是本发明实施例二提供的一种安全验证方法的示意流程图;
图3是本发明实施例三提供的一种安全验证系统的示意性框图;
图4是本发明实施例四提供的一种安全验证系统终端示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
具体实现中,本发明实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,所述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
在接下来的讨论中,描述了包括显示器和触摸敏感表面的终端。然而,应当理解的是,终端可以包括诸如物理键盘、鼠标和/或控制杆的一个或多个其它物理用户接口设备。
终端支持各种应用程序,例如以下中的一个或多个:绘图应用程序、演示应用程序、文字处理应用程序、网站创建应用程序、盘刻录应用程序、电子表格应用程序、游戏应用程序、电话应用程序、视频会议应用程序、电子邮件应用程序、即时消息收发应用程序、锻炼支持应用程序、照片管理应用程序、数码相机应用程序、数字摄影机应用程序、web浏览应用程序、数字音乐播放器应用程序和/或数字视频播放器应用程序。
可以在终端上执行的各种应用程序可以使用诸如触摸敏感表面的至少一个公共物理用户接口设备。可以在应用程序之间和/或相应应用程序内调整和/或改变触摸敏感表面的一个或多个功能以及终端上显示的相应信息。这样,终端的公共物理架构(例如,触摸敏感表面)可以支持具有对用户而言直观且透明的用户界面的各种应用程序。
实施例一:
请参阅图1,图1是本发明实施例一提供的一种安全验证方法的示意流程图,本实施例的执行主体包括客户端和服务器,其中,客户端可以是终端,其具体可以是手机或者其他智能终端等设备。图1所示的安全验证方法可以包括以下步骤:
S101、客户端若检测到包含用户输入的注册号码的注册请求,则获取注册信息,其中,该注册信息包括安全芯片的序列号、用户身份识别卡的标识码和该用户身份识别卡对应的通信号码。
用户在使用客户端的应用软件之前需要先进行注册,对于通过安全芯片进行加密通信的APP而言,用户通过第一次使用之前的注册过程将注册号码对应的用户身份识别卡与客户端进行绑定,使得客户端和用户身份识别卡唯一对应,保证只有在客户端唯一对应的用户身份识别卡插入到该客户端中才能通过安全芯片进行加密通信。
用户身份识别卡具体可以是客户识别模块(Subscriber Identification Module,SIM)卡,用户输入的注册号码即SIM卡对应的通信号码,每个SIM卡都带有唯一的标识码。
具体地,客户端若检测到包含注册号码的注册请求,则获取注册信息,该注册信息包括安全芯片的序列号、SIM卡的标识码和SIM卡对应的通信号码。
安全芯片通过采用固定的商用密码算法,实现对数据的加密和解密,例如,安全芯片可以使用国产A3芯片。带有安全芯片的终端能够对通信过程进行加密,保证通信安全。每个安全芯片在出厂时都带有唯一的序列号。
S102、客户端使用注册号码和注册信息,向服务器申请将该注册号码对应的用户身份识别卡与客户端进行绑定。
具体地,客户端使用用户输入的注册号码和获取到的注册信息,向服务器申请将该注册号码对应的SIM卡与本客户端进行绑定。服务器对注册号码、安全芯片的序列号、SIM卡的标识码和SIM卡对应的通信号码进行分析,确认该SIM卡和该客户端之前没有被绑定,并且是合法的SIM卡和客户端,则将SIM卡与客户端进行绑定。
需要说明的是,客户端和安全芯片唯一对应,因此注册号码对应的SIM卡与客户端的绑定实际上也即是注册号码、SIM卡的标识码和客户端的安全芯片的序列号唯一对应。
注册信息还可以包括中央处理器(Central Processing Unit,CPU)标识码,由于每个客户端也对应唯一的CPU,因此注册号码对应的SIM卡与客户端的绑定也可以是注册号码、SIM卡的标识码和客户端的CPU标识码唯一对应。
S103、客户端若检测到用户触发通过安全芯片进行通信的操作,则实时获取注册信息,并将该注册信息发送到服务器。
具体地,在服务器通过步骤S102将注册号码对应的SIM卡与客户端绑定成功后,用户可以继续完成注册,注册成功后,用户可以开始使用该APP。若该APP可以使用安全芯片进行通信,则当客户端检测到用户触发通过安全芯片进行通信的操作时,客户端实时获取当前的注册信息,并将该注册信息发送到服务器进行验证。
S104、服务器根据接收到的注册信息,验证该注册信息标识的用户身份识别卡与客户端是否被合法绑定,并将验证结果返回给客户端。
具体地,服务器接收到客户端发送的注册信息后,根据在步骤S102中建立的绑定关系,验证该注册信息标识的SIM卡与客户端是否被合法绑定,即验证该注册信息中的安全芯片的序列号、SIM卡的标识码和该SIM卡对应的通信号码是否是唯一对应关系,并将验证结果返回给客户端。
S105、客户端接收到服务器发送的验证结果,若该验证结果为验证成功,则允许用户通过安全芯片进行通信。
具体地,客户端接收到服务器发送的步骤S104的验证结果,判断如果该验证结果为验证成功,即客户端中的SIM卡与该客户端已经被合法绑定,则允许用户通过客户端中的安全芯片进行通信;如果验证结果为验证失败,即本客户端中的SIM卡与该客户端没有被合法绑定,则不允许用户通过安全芯片进行通信,从而防止注册号码的SIM卡被非法用于安全芯片的加密通信。
从上述图1示例的安全验证方法可知,本实施例中,在客户端检测到包含用户输入的注册号码的注册请求时,向服务器申请将注册号码对应的SIM卡与客户端进行绑定,以使SIM卡与客户端唯一对应,当客户端检测到用户触发通过安全芯片进行通信的操作时,实时获取注册信息,并将该注册信息发送到服务器进行验证,判断该注册信息标识的SIM卡与客户端是否被合法绑定,若验证成功,则允许用户通过安全芯片进行通信,通过本发明实施例提供的安全验证方法,可以实现SIM卡和客户端唯一对应,防止SIM卡被非法用于安全芯片的加密通信,从而提升了对智能终端用户合法性的验证能力,保证用户合法使用智能终端进行通信。
实施例二:
请参阅图2,图2是本发明实施例二提供的一种安全验证方法的示意流程图,本实施例的执行主体包括客户端和服务器,其中,客户端可以是终端,其具体可以是手机或者其他智能终端等设备。图2所示的安全验证方法可以包括以下步骤:
S201、客户端若检测到包含用户输入的注册号码的注册请求,则获取注册信息,其中,该注册信息包括安全芯片的序列号、用户身份识别卡的标识码和该用户身份识别卡对应的通信号码。
用户在使用客户端的应用软件之前需要先进行注册,对于通过安全芯片进行加密通信的APP而言,用户通过第一次使用之前的注册过程将注册号码对应的用户身份识别卡与客户端进行绑定,使得客户端和用户身份识别卡唯一对应,保证只有在客户端唯一对应的用户身份识别卡插入到该客户端中才能通过安全芯片进行加密通信。
用户身份识别卡具体可以是SIM卡,用户输入的注册号码即SIM卡对应的通信号码,每个SIM卡都带有唯一的标识码。
具体地,客户端若检测到包含注册号码的注册请求,则获取注册信息,该注册信息包括安全芯片的序列号、SIM卡的标识码和SIM卡对应的通信号码。
安全芯片通过采用固定的商用密码算法,实现对数据的加密和解密,例如,安全芯片可以使用国产A3芯片。带有安全芯片的终端能够对通信过程进行加密,保证通信安全。每个安全芯片在出厂时都带有唯一的序列号。
S202、客户端将注册号码通过网络消息发送给服务器,并对注册信息进行加密后以短信方式发送给服务器。
具体地,客户端将用户输入的注册号码通过网络消息的方式发送给服务器,例如可以通过IP(Internet Protocol,网络协议)消息进行发送,也可以通过其他网络消息信息发送,此处不做限制;同时,客户端对步骤S201获取到的注册信息进行加密,并将加密后的注册消息以短信方式发送给服务器。
需要说明的是,客户端采用网络消息和短信两种发送方式,其目的是可以通过服务器验证网络消息发送的注册号码和短信的发送号码是否相同,加强消息传递过程的安全性。
进一步地,服务器可以包括密管服务器和身份验证服务器,其中,密管服务器主要用于完成加密解密的过程和对密钥的管理,身份验证服务器主要用于完成绑定和验证的过程。
需要说明的是,服务器实现的功能可以拆分为由密管服务器和身份验证服务器分别执行对应的功能,也可以全部由服务器执行,具体可根据实际应用的需要进行设置。在本实施例的方法中服务器执行的功能将细分为由密管服务器和身份验证服务器来分别执行对应的功能。
具体地,客户端将注册号码通过网络消息发送给服务器,并对注册信息进行加密后以短信方式发送给服务器的具体过程可以通过步骤S2021至步骤S2025完成,详细说明如下:
S2021、客户端生成注册号码对应的密钥对,其中,该密钥对包括客户端公钥和客户端私钥。
具体地,注册信息采用不对称加密方式,首先生成客户端公钥和客户端私钥。
S2022、客户端使用该注册号码和客户端公钥向密管服务器申请身份证书和密管公钥。
身份证书即数字证书,是经密管服务器数字签名的包含公开密钥拥有者信息以及公开密钥的文件,身份证书可以包含客户端公钥、证书名称以及密管服务器的数字签名等,身份证书还有一个重要的特征就是只在特定的时间段内有效。
具体地,客户端使用该注册号码和客户端公钥向密管服务器申请身份证书和密管公钥可以通过如下步骤a)至步骤d)实现,详细说明如下:
a)客户端将该注册号码和客户端公钥发送给密管服务器。
具体地,客户端将客户输入的注册号码和生成的客户端公钥发送给密管服务器,用于制作身份证书。
b)密管服务器根据接收到的注册号码和客户端公钥生成对应的身份证书、密管公钥和密管私钥。
具体地,密管服务器在核实了注册号码的合法性后,根据注册号码和客户端公钥生成该注册号码对应的身份证书,以及该注册号码对应的密管公钥和密管私钥,其中,密管公钥用于客户端进行加密,密管私钥用于密管系统进行对应的解密。
c)密管服务器将身份证书和密管公钥发送给客户端。
d)客户端将密钥对、身份证书和密管公钥保存在安全芯片中。
S2023、客户端将该注册号码通过网络消息发送给身份验证服务器。
具体地,客户端将用户输入的注册号码通过网络消息发送给身份验证服务器,例如可以通过IP(Internet Protocol,网络协议)消息进行发送,也可以通过其他网络消息信息发送,此处不做限制。
S2024、客户端使用客户端私钥对注册信息进行签名,并使用密管公钥对签名后的注册信息进行加密形成密文。
具体地,客户端使用注册号码对应的客户端私钥对获取的注册信息进行数字签名,建立在公钥密码技术上的数字签名方法有很多,例如RSA签名和DSA(Digital Signature Algorithm)签名等等,具体可根据实际应用的需要选择合适的数字签名方法,此处不做限制。客户端对注册信息进行数字签名后,使用密管公钥对签名后的注册信息进行加密形成密文。
S2025、客户端将密文以短信的方式发送给身份验证服务器。
S203、服务器对接收到的注册信息进行解密,判断解密后的注册信息中包含的通信号码、接收到的短信的发送号码和接收到的注册号码是否相同,若相同则确认该注册号码对应的用户身份识别卡和客户端绑定成功,并保存绑定信息,其中,该绑定信息包括注册信息和绑定关系,该绑定关系为安全芯片的序列号、用户身份识别卡的标识码和用户身份识别卡对应的通信号码之间唯一对应关系。
具体地,本步骤的内容可以通过如下步骤S2031至步骤S2035完成,详细说明如下:
S2031、身份验证服务器将接收到的注册号码和密文发送给密管服务器。
具体地,客户端在步骤S2023将注册号码通过网络消息发送给身份验证服务器,并且在步骤S2025将密文以短信的方式发送给身份验证服务器后,身份验证服务器将接收到的注册号码和密文发送给密管服务器进行解密。
S2032、密管服务器使用密管私钥对接收到的密文进行解密。
具体地,由于密文是客户端使用密管公钥进行的加密,因此密管服务器使用在步骤S2022的b)中生成的密管私钥对密文进行解密。
S2033、密管服务器根据身份证书中的客户端公钥对解密后的密文进行验签。
具体地,由于客户端使用客户端私钥对注册信息进行的签名,因此密管服务器将密文解密后,使用注册号码对应的身份证书中的客户端公钥对解密后的密文验证签名,如果验证签名通过即验签成功,则确定密文是由进行签名的客户端发送的。
如果验证签名不通过即验签失败,则确定该密文不是由进行签名的客户端发送的,通过签名和验签的过程可以加强注册信息传输的保密性和安全性等。
S2034、密管服务器若验签成功,则将解密后的密文发送给身份验证服务器。
S2035、身份验证服务器根据接收到的解密后的密文,判断解密后的密文中包含的通信号码、接收到的短信的发送号码和接收到的注册号码是否相同,若相同则确认该注册号码对应的用户身份识别卡和客户端绑定成功,并保存绑定信息。
具体地,解密后的密文中包含了安全芯片的序列号、SIM卡的标识码和SIM卡对应的通信号码。身份验证服务器判断密文中的通信号码、客户端发送的短信的发送号码以及客户端通过网络消息发送的注册号码三者是否相同,若相同则确认该注册号码对应的SIM卡和该客户端绑定成功,同时将对应的绑定信息保存在身份验证服务器的数据库中,并标注绑定成功,其中,绑定信息可以包括注册信息和对应的绑定关系,该绑定关系可以为安全芯片的序列号、SIM卡的标识码和SIM卡对应的通信号码之间唯一对应关系。
绑定成功后,身份验证服务器确认该注册号码对应的SIM卡和客户端被绑定使用。
若身份验证服务器判断密文中的通信号码、客户端发送的短信的发送号码以及客户端通过网络消息发送的注册号码三者至少有一个不相同,则确认该注册号码对应的SIM卡和该客户端绑定失败,身份验证服务器可以将绑定失败的信息返回给客户端,通知用户绑定失败,并可提示用户重新进行注册。
S204、客户端若检测到用户触发通过安全芯片进行通信的操作,则实时获取注册信息,并将该注册信息发送到服务器。
具体地,在步骤S2035将注册号码对应的SIM卡与客户端绑定成功后,用户可以继续完成注册,注册成功后,用户可以开始使用该APP。若该APP可以使用安全芯片进行通信,则当客户端检测到用户触发通过安全芯片进行通信的操作时,客户端实时获取当前的注册信息,并将该注册信息发送到身份验证服务器进行验证。
S205、服务器根据接收到的注册信息,验证该注册信息中的标识码对应的用户身份识别卡与客户端是否被合法绑定,并将验证结果返回给客户端。
具体地,身份验证服务器接收到客户端发送的注册信息后,根据在步骤S2035中建立的绑定关系,验证该注册信息标识的SIM卡与客户端是否被合法绑定,即验证该注册信息中的安全芯片的序列号、SIM卡的标识码和该SIM卡对应的通信号码是否是唯一对应关系,并将验证结果返回给客户端。
S206、客户端接收到服务器发送的验证结果,若该验证结果为验证成功,则允许用户通过安全芯片进行通信。
具体地,客户端接收到身份验证服务器发送的验证结果,判断如果该验证结果为验证成功,即客户端中的SIM卡与该客户端已经被合法绑定,则允许用户通过客户端中的安全芯片进行通信;如果验证结果为验证失败,即本客户端中的SIM卡与该客户端没有被合法绑定,则不允许用户通过安全芯片进行通信,从而防止注册号码的SIM卡被非法用于安全芯片的加密通信。
从上述图2示例的安全验证方法可知,本实施例中的服务器包括密管服务器和身份验证服务器,客户端在检测到包含用户输入的注册号码的注册请求时,获取注册信息,生成注册号码对应的客户端公钥和客户端私钥,使用注册号码和客户端公钥向密管服务器申请身份证书和密管公钥后,客户端将注册号码通过网络消息发送给身份验证服务器,同时使用客户端私钥对注册信息进行签名,并使用密管公钥对签名后的注册信息进行加密形成密文后,将密文以短信的方式发送给身份验证服务器,身份验证服务器将接收到的注册号码和密文发送给密管服务器,密管服务器使用注册号码对应的密管私钥对密文进行解密,并使用注册号码对应的客户端公钥对解密后的密文进行验签,验签成功后,将解密后的密文发送给身份验证服务器,身份验证服务器判断解密后的密文中包含的通信号码、接收到的短信的发送号码和接收到的注册号码三者是否相同,若相同则确认该注册号码对应的SIM卡和客户端绑定成功,并保存绑定信息,将安全芯片的序列号、SIM卡的标识码和SIM卡对应的通信号码三者唯一对应,以使SIM卡与客户端唯一对应,在本发明实施例的这种绑定过程中,通过对注册信息的加密和签名,以及通过身份验证服务器和密管服务器的配合实现对注册信息的解密和验签,有效的保证了注册信息在传输过程中的保密性和安全性,避免注册信息被非法篡改和盗用带来的非法绑定隐患;当客户端检测到用户触发通过安全芯片进行通信的操作时,实时获取注册信息,并将该注册信息发送到身份验证服务器进行验证,判断该注册信息标识的SIM卡与客户端是否被合法绑定,若验证成功,则允许用户通过安全芯片进行通信,通过本实施例提供的这种验证方法,可以实现SIM卡和客户端唯一对应,防止SIM卡被非法用于安全芯片的加密通信,从而提升了对智能终端用户合法性的验证能力,保证用户合法使用智能终端进行通信。
实施例三:
请参阅图3,图3是本发明实施例三提供的一种安全验证系统示意框图。为了便于说明,仅示出了与本发明实施例相关的部分。图3示例的安全验证系统300可以是前述实施例一提供的一种安全验证方法的执行主体。图3示例的安全验证系统300主要包括包括客户端31和服务器32,客户端31和服务器32通过网络进行连接。
客户端31主要包括:注册请求单元311、绑定请求单元312、实时获取单元313和验证成功单元314。各单元详细说明如下:
注册请求单元311,用于若检测到包含用户输入的注册号码的注册请求,则获取注册信息,其中,该注册信息包括安全芯片的序列号、用户身份识别卡的标识码和该用户身份识别卡对应的通信号码;
绑定请求单元312,用于使用注册请求单元311获取到的注册号码和注册信息,向服务器32申请将该注册号码对应的用户身份识别卡与客户端31进行绑定;
实时获取单元313,用于若检测到用户触发通过安全芯片进行通信的操作,则实时获取注册信息,并将该注册信息发送到服务器32;
验证成功单元314,用于接收服务器32发送的验证结果,若该验证结果为验证成功,则允许用户通过安全芯片进行通信。
服务器32用于:
处理客户端31的绑定请求单元312将注册号码对应的用户身份识别卡与客户端31进行绑定的申请;
根据接收到的实时获取单元313发送的注册信息,验证该注册信息标识的用户身份识别卡与客户端31是否被合法绑定,并将验证结果返回给客户端31。
本实施例提供的安全验证系统300中客户端31的各单元和服务器32实现各自功能的过程,具体可参考前述图1所示实施例的描述,此处不再赘述。
从上述图3示例的安全验证系统300可知,本实施例中,在客户端检测到包含用户输入的注册号码的注册请求时,向服务器申请将注册号码对应的SIM卡与客户端进行绑定,以使SIM卡与客户端唯一对应,当客户端检测到用户触发通过安全芯片进行通信的操作时,实时获取注册信息,并将该注册信息发送到服务器进行验证,判断该注册信息标识的SIM卡与客户端是否被合法绑定,若验证成功,则允许用户通过安全芯片进行通信,通过本发明实施例提供的安全验证方法,可以实现SIM卡和客户端唯一对应,防止SIM卡被非法用于安全芯片的加密通信,从而提升了对智能终端用户合法性的验证能力,保证用户合法使用智能终端进行通信。
实施例四:
请参阅图4,图4是本发明实施例四提供的一种安全验证系统示意框图。为了便于说明,仅示出了与本发明实施例相关的部分。图4示例的安全验证系统400可以是前述实施例二提供的一种安全验证方法的执行主体。图4示例的安全验证系统400主要包括包括客户端41和服务器42,客户端41和服务器42通过网络进行连接。
客户端41主要包括:注册请求单元411、绑定请求单元412、实时获取单元413和验证成功单元414。各单元详细说明如下:
注册请求单元411,用于若检测到包含用户输入的注册号码的注册请求,则获取注册信息,其中,该注册信息包括安全芯片的序列号、用户身份识别卡的标识码和该用户身份识别卡对应的通信号码;
绑定请求单元412,用于使用注册请求单元411获取到的注册号码和注册信息,向服务器42申请将该注册号码对应的用户身份识别卡与客户端41进行绑定;
实时获取单元413,用于若检测到用户触发通过安全芯片进行通信的操作,则实时获取注册信息,并将该注册信息发送到服务器42;
验证成功单元414,用于接收服务器42发送的验证结果,若该验证结果为验证成功,则允许用户通过安全芯片进行通信。
服务器42用于:
处理客户端41的绑定请求单元412将注册号码对应的用户身份识别卡与客户端41进行绑定的申请;
根据接收到的实时获取单元413发送的注册信息,验证该注册信息标识的用户身份识别卡与客户端41是否被合法绑定,并将验证结果返回给客户端41。
进一步地,绑定请求单元412,还用于将注册号码通过网络消息发送给服务器42,并对注册信息进行加密后以短信方式发送给服务器42;
服务器42,还用于对接收到的绑定请求单元412发送的注册信息进行解密,判断解密后的注册信息中包含的通信号码、接收到的短信的发送号码和接收到的注册号码是否相同,若相同则确认该注册号码对应的用户身份识别卡和客户端41绑定成功,并保存绑定信息,其中,该绑定信息包括注册信息和绑定关系,该绑定关系为安全芯片的序列号、用户身份识别卡的标识码和该用户身份识别卡对应的通信号码之间唯一对应关系。
进一步地,服务器42包括密管服务器421和身份验证服务器422;
绑定请求单元412包括:
密钥对生成单元4121,用于生成注册号码对应的密钥对,其中,该密钥对包括客户端公钥和客户端私钥;
证书申请单元4122,用于使用注册号码和客户端公钥向密管服务器421申请身份证书和密管公钥;
号码发送单元4123,用于将注册号码通过网络消息发送给身份验证服务器422;
信息加密单元4124,用于使用密钥对生成单元4121生成的客户端私钥对注册信息进行签名,并使用证书申请单元4122申请到的密管公钥对签名后的注册信息进行加密形成密文;
信息发送单元4125,用于将信息加密单元4124得到的密文以短信的方式发送给身份验证服务器422。
进一步地,证书申请单元4122还用于:
将注册号码和客户端公钥发送给密管服务器421;
将密钥对、身份证书和密管公钥保存在安全芯片中;
密管服务器421包括:
证书生成单元4211,用于根据接收到的注册号码和客户端公钥生成对应的身份证书、密管公钥和密管私钥;
证书发送单元4212,用于将证书生成单元4211生成的身份证书和密管公钥发送给客户端41。
进一步地,身份验证服务器422包括:
解密申请单元4221,用于将接收到的注册号码和密文发送给密管服务器421;
验证单元4222,用于根据接收到的解密后的密文,判断解密后的密文中包含的通信号码、短信的发送号码和接收到的注册号码是否相同,若相同则确认该注册号码对应的用户身份识别卡和客户端41绑定成功,并保存绑定信息;
密管服务器421还包括:
解密单元4213,用于使用密管私钥对解密申请单元4221发送的密文进行解密;
验签单元4214,用于根据身份证书中的客户端公钥对解密单元4213解密后的密文进行验签;
验签成功单元4215,用于若验签单元4214进行的验签成功,则将解密后的密文发送给身份验证服务器422。
本实施例提供的安全验证系统400中客户端41的各单元和服务器42的各单元实现各自功能的过程,具体可参考前述图2所示实施例的描述,此处不再赘述。
从上述图4示例的安全验证系统400可知,本实施例中的服务器包括密管服务器和身份验证服务器,客户端在检测到包含用户输入的注册号码的注册请求时,获取注册信息,生成注册号码对应的客户端公钥和客户端私钥,使用注册号码和客户端公钥向密管服务器申请身份证书和密管公钥后,客户端将注册号码通过网络消息发送给身份验证服务器,同时使用客户端私钥对注册信息进行签名,并使用密管公钥对签名后的注册信息进行加密形成密文后,将密文以短信的方式发送给身份验证服务器,身份验证服务器将接收到的注册号码和密文发送给密管服务器,密管服务器使用注册号码对应的密管私钥对密文进行解密,并使用注册号码对应的客户端公钥对解密后的密文进行验签,验签成功后,将解密后的密文发送给身份验证服务器,身份验证服务器判断解密后的密文中包含的通信号码、接收到的短信的发送号码和接收到的注册号码三者是否相同,若相同则确认该注册号码对应的SIM卡和客户端绑定成功,并保存绑定信息,将安全芯片的序列号、SIM卡的标识码和SIM卡对应的通信号码三者唯一对应,以使SIM卡与客户端唯一对应,在本发明实施例的这种绑定过程中,通过对注册信息的加密和签名,以及通过身份验证服务器和密管服务器的配合实现对注册信息的解密和验签,有效的保证了注册信息在传输过程中的保密性和安全性,避免注册信息被非法篡改和盗用带来的非法绑定隐患;当客户端检测到用户触发通过安全芯片进行通信的操作时,实时获取注册信息,并将该注册信息发送到身份验证服务器进行验证,判断该注册信息标识的SIM卡与客户端是否被合法绑定,若验证成功,则允许用户通过安全芯片进行通信,通过这种安全验证方法,可以实现SIM卡和客户端唯一对应,防止SIM卡被非法用于安全芯片的加密通信,从而提升了对智能终端用户合法性的验证能力,保证用户合法使用智能终端进行通信。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、客户端、服务器和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例终端中的单元可以根据实际需要进行合并、划分和删减。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!