专利名称:一种身份认证方法、设备及系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种身份认证方法、设备及系统。
背景技术:
无论是在传统的互联网Internet、移动互联网络或者是现实生活中,信息安全都面临着多样化的风险。 —方面,互联网与电子商务业务正在飞速发展,而电子商务业务也正在走向成熟,但是与此同时,网络的虚拟性和匿名性使得网络欺诈行为得以随时随地发生、甚嚣尘上,严重威胁着电子商务的发展。在猖獗的网络欺诈,网络交易者隐身在电脑屏幕背后,身份难以识别的问题是其重要渊源。网上交易身份认证对于建立电子商务业界的信用机制起着重要作用,因此如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。
另一方面,随着经济、社会的发展,商务会员服务由于用户基数大、业务形态易于被用户接受等营销特点,已经成为企业的品牌宣传、保证用户忠诚度、提升经验业绩的强有力手段。但目前绝大部分会员业务的开展,仅仅是基于一张磁卡,不仅保存不方便,更重要的是磁卡极容易被他人借用或者冒用,导致了企业的大量用户流失,无法做到精准营销。
发明内容
有鉴于此,本发明实施例提供了一种身份认证方法、设备及系统,通过调用移动终端SM卡中的安全证书进行安全认证,实现了对用户身份的认证,避免了因为身份假冒或替代等带来的各种安全风险和损失。 本发明实施例提供了一种身份认证方法,所述身份认证方法包括
从移动终端获用户标识; 从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间;
向所述移动终端发送所述认证信息; 从所述移动终端获取经过移动终端数字签名的认证信息密文; 向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文; 获取所述业务平台返回的认证结果。 相应地本发明实施例提供了一种身份认证设备,所述身份认证设备包括
用户标识获取单元,用于从移动终端获用户标识; 认证信息获取单元,用于从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间; 签名请求单元,用于向所述移动终端发送所述认证信息; 密文获取单元,用于从所述移动终端获取经过移动终端数字签名的认证信息密文; 认证请求单元,用于向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文; 认证结果获取单元,用于获取所述业务平台返回的认证结果。 相应地本发明实施例还提供了一种身份认证系统,其特征在于,所述身份认证系统包括移动终端、认证设备、业务平台以及认证鉴权服务平台,其中 所述移动终端用于在SIM卡中内置数字证书,所述数字证书包含私钥,使用所述私钥对所述认证设备发来的认证信息进行数字签名; 所述认证设备用于从移动终端获用户标识,从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间,向所述移动终端发送所述认证信息,从所述移动终端获取经过移动终端数字签名的认证信息密文,向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文,获取所述业务平台返回的认证结果;
所述业务平台用于生成所述认证信息,向认证设备发送所述认证信息,获取认证设备提交的所述认证请求,向所述认证鉴权服务平台发送所述认证请求,获取认证鉴权服务平台的鉴权结果; 所述认证鉴权服务平台用于从所述业务平台获取所述认证请求,对所述认证请求进行鉴权并向所述业务平台返回鉴权结果。 本发明实施例通过调用移动终端SIM卡中的安全证书进行安全认证,实现了对用户身份的认证,避免了因为身份假冒或替代等带来的各种安全风险和损失。
图1为本发明实施例中
图2为本发明实施例中
图3为本发明实施例中
图4为本发明实施例中
图5为本发明实施例中
种身份认证系统的结构组成示意图;种身份认证设备的结构组成示意图;种身份认证方法的流程示意图;种互联网身份认证方法的流程示意图;种现场身份认证方法的流程示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 图1为本发明实施例中一种身份认证系统的结构组成示意图,如图所示该身份认证系统包括移动终端10、认证设备20、业务平台30以及认证鉴权服务平台40,其中
移动终端10用于在SIM(用户身份识别模块,Subscriber Identity Module)卡中内置数字证书,所述数字证书包含私钥,使用所述私钥对所述认证设备发来的认证信息进行数字签名。具体地,所述移动终端可以为手机、个人数码助理(Personal DigitalAssistant, PDA)等包含SIM卡的移动终端,所述数字证书为数字认证机构颁发授权并写入SIM卡中的,预先与用户手机号码、用户实名信息进行绑定,包括一个基于公钥基础设施(Public Key Infrastructure, PKI)技术的私钥。进一步地,所述移动终端支持外部设备对其SIM卡进行射频识别(RadioFrequency, RF)访问。
认证设备20用于从移动终端10获取用户标识,从业务平台30获取认证信息,所述认证信息包括认证序列号和认证时间,向所述移动终端10发送所述认证信息,从所述移动终端IO获取经过移动终端数字签名的认证信息密文,向业务平台30提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文,获取所述业务平台30返回的认证结果。具体地,所述认证设备可以为个人电脑PC,配合一个RF读卡器与所述移动终端进行通讯以及对所述移动终端中的SIM卡的访问,也可以为内嵌有非接触RF访问功能的销售点终端(Point of sale,P0S)。所述用户标识可以为用户手机号码、用户安全证书编号或用户实名信息等能够唯一确认用户身份的标识信息中的任一种。 业务平台30用于生成所述认证信息,向认证设备20发送所述认证信息,获取认证设备20提交的所述认证请求,向所述认证鉴权服务平台40发送所述认证请求,获取认证鉴权服务平台40的鉴权结果。具体地,所述业务平台实现在互联网身份认证时可以为网站服务器,实现在现场身份认证时可以为企业或公共事业的后台应用服务器等需要对用户进行身份认证的应用平台。 认证鉴权服务平台40用于从所述业务平台30获取所述认证请求,对所述认证请求进行鉴权并向所述业务平台30返回鉴权结果。具体实现中,所述认证鉴权服务平台储存有用户标识和与其对应的公钥,可以对经过所述移动终端10数字签名的密文进行解密。
图2为本发明实施例中一种身份认证设备的结构组成示意图,如图所示该身份认证设备包括用户标识获取单元201、认证信息获取单元202、签名请求单元203、密文获取单元204、认证请求单元205以及认证结果获取单元206,其中 用户标识获取单元201用于从移动终端获用户标识。具体地,用户标识获取单元201可以通过访问所述移动终端的SIM卡获取所述用户标识。所述用户标识可以为用户手机号码、用户安全证书编号或用户实名信息等能够唯一确认用户身份的标识信息中的任一种。 认证信息获取单元202,用于从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间。 签名请求单元203用于向所述移动终端发送所述认证信息。 密文获取单元204用于从所述移动终端获取经过移动终端数字签名的认证信息密文。具体实现中,所述移动终端获取到签名请求单元203发来的认证信息后,调用SIM卡中的数字证书的私钥对所述认证信息进行数字签名,得到所述认证信息密文,返回给认证设备的所述密文获取单元204。 认证请求单元205用于向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文。进一步地,所述认证请求还可以包括BPID电子商务网站编号,用于标识经过认证鉴权服务平台认证许可的电子商务网站,BSID电子商务网站申请的互联网身份认证请求编号,用于标识本次电子商务网站发起的是互联网身份认证请求。进一步地,所述认证请求中的认证信息还可以先经过BASE64编码,避免用户信息直接暴露。 认证结果获取单元206用于获取所述业务平台返回的认证结果。 所述身份认证设备可以通过USB接口与一个RF读卡器相连,通过该RF读卡器实
现对移动终端的访问,进一步也可以包括
射频识别单元,用于与所述移动终端进行无线双向通讯。 图3为本发明实施例中一种身份认证方法的流程示意图,如图所示该方法流程包括 步骤S301,从移动终端获用户标识。具体实现中,用户将移动终端靠近身份认证设
备进行刷卡,所述身份认证设备通过外接的RF读卡器或内置的RF射频识别单元访问所述
移动终端的SIM卡,从而获取用户标识。所述用户标识可以为用户手机号码、用户安全证书
编号或用户实名信息等能够唯一确认用户身份的标识信息中的任一种。 步骤S302,从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间,
具体实现中,所述身份认证设备接收所述移动终端刷卡后,向业务平台请求所述认证信息,
业务平台生成认证信息后返回给所述身份认证设备。所述业务平台可以为网站后台服务
器、企业后台服务器、公共事业信息平台服务器等需要对用户身份认证后提供服务的业务平台。 步骤S303,向所述移动终端发送所述认证信息。 步骤S304,从所述移动终端获取经过移动终端数字签名的认证信息密文。具体实现中,所述移动终端获取所述认证信息后,使用SIM卡中数字证书的私钥对所述认证信息进行数字签名,得到所述认证信息密文并向身份认证设备返回所述认证信息密文。
步骤S305,向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文。具体实现中,所述认证请求还可以包括BPID电子商务网站编号,用于标识经过认证鉴权服务平台认证许可的电子商务网站,BSID电子商务网站申请的互联网身份认证请求编号,用于标识本次电子商务网站发起的是互联网身份认证请求。进一步地,所述认证请求中的认证信息还可以先经过BASE64编码,避免用户信息直接暴露。
步骤S306,获取所述业务平台返回的认证结果。具体实现中,所述业务平台获取到所述认证请求后,向认证鉴权服务平台提交所述认证请求,所述认证鉴权服务平台对所述认证请求进行鉴权,包括 认证鉴权服务平台根据所述认证请求中的用户标识,查找对应的公钥; 认证鉴权服务平台使用查找到的公钥对所述认证信息密文进行解密; 认证鉴权服务平台将所述认证请求中的认证信息与所述使用查找到的公钥对所
述认证信息密文进行解密的结果进行比对,比对一致则鉴权成功,并向所述业务平台返回
鉴权结果。进一步地当所述认证请求中的认证信息经过BASE64编码,则还需对所述编码进
行BASE64解码后才能进行比对。所述业务平台获取认证鉴权服务平台返回的鉴权结果后,
若鉴权成功则经过逻辑处理后向所述身份认证设备返回认证结果。 图4为本发明实施例中一种互联网身份认证方法的流程示意图,如图所示,该方法流程包括 S401,浏览器显示登录页面。具体实现中,浏览器为个人电脑中用于访问网站的软件程序,个人电脑在这里作为身份认证设备。用户通过个人电脑浏览器登录网站,浏览器显示登录页面,用户在登录页面选择使用移动终端认证登录。 S402,安全中间件弹出安全控件,提示用户将移动终端靠近RF非接触读头。所述安全中间件为RF读头安装在个人电脑中的控件程序,能够将RF读头读取到的SIM卡中的信息送交个人电脑应用软件进行处理,为RF读头与个人电脑中软件的连接桥梁。所述RF读头用于访问移动终端SIM卡的射频读头,以USB形式插入电脑,可通过非接触方式读取移动终端SIM卡完成的数字签名。对于不同的应用场应,读头的物理形态可能有所不同。
S403,移动终端靠近RF读头,移动终端SIM卡和RF读头之间建立通信连接。
S404,浏览器从网站后台服务器获取认证信息,所述认证信息包括认证序列号和认证时间。 S405,浏览器向移动终端发送认证信息,通过安全中间件、RF读头到达移动终端。
S406,移动终端对认证信息进行数字签名。具体地,移动终端调用SIM卡中数字证书的私钥对所述认证信息进行数字签名。 S407,移动终端向浏览器返回经过数字签名的认证信息密文和用户标识,经过RF读头、安全中间件到达浏览器。具体地,所述用户标识可以为用户手机号码、用户安全证书编号或用户实名信息等能够唯一确认用户身份的标识信息中的任一种,也可以为S403之后、S407之前任意时间发送给安全中间件。 S40S,浏览器向网站后台服务器提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文。具体实现中,所述认证请求还可以包括BPID电子商务网站编号,用于标识经过认证鉴权服务平台认证许可的电子商务网站,BSID电子商务网站申请的互联网身份认证请求编号,用于标识本次电子商务网站发起的是互联网身份认证请求。进一步地,所述认证请求中的认证信息还可以先经过BASE64编码,避免用户信息直接暴露。 S409,网站后台服务器向认证鉴权服务平台提交所述认证请求。 S410,认证鉴权服务平台对认证请求进行鉴权。具体可以包括认证鉴权服务平台
根据所述认证请求中的用户标识,查找对应的公钥; 认证鉴权服务平台使用查找到的公钥对所述认证信息密文进行解密; 认证鉴权服务平台将所述认证请求中的认证信息与所述使用查找到的公钥对所
述认证信息密文进行解密的结果进行比对,比对一致则鉴权成功。进一步地当所述认证请
求中的认证信息经过BASE64编码,则还需对所述编码进行BASE64解码后才能进行比对。 S411,认证鉴权服务平台向网站后台服务器返回认证结果。 S412,网站后台服务器向浏览器返回登录结果。 本实施例可以实现在商业网站的各种电子商务认证服务中,由于SIM卡中内置国家法律规定承认法律效应的基于PKI技术的数字证书,能够有效确认用户身边,避免了为身份假冒或替代等带来的各种安全风险和损失。 图5为本发明实施例中一种现场身份认证方法的流程示意图,如图所示该方法流程包括 S501,身份认证设备提示用户将移动终端靠近。本实施例中的身份认证设备为配套有RF读头的个人电脑或内置RF读卡器的销售点终端POS,身份认证设备在显示屏幕上提示用户将移动终端靠近读头或读卡器有效区域。 S502,移动终端靠近RF读头或读卡器有效区域,移动终端SM卡和身份认证设备之间建立通信连接。 S503,身份认证设备从以业务平台获取认证信息,所述认证信息包括认证序列号和认证时间。所述业务平台可以为企事业单位的后台服务器、公共事业信息平台服务器等。
S504,身份认证设备从业务平台获取认证信息,认证信息包括认证序列号和认证时间,并向移动终端发送所述认证信息. S505,移动终端对认证信息进行数字签名。具体地,移动终端调用SIM卡中数字证书的私钥对所述认证信息进行数字签名。 S506,移动终端向身份认证设备返回经过数字签名的认证信息密文和用户标识。具体地,所述用户标识可以为用户手机号码、用户安全证书编号或用户实名信息等能够唯一确认用户身份的标识信息中的任一种,可以为S502到S506之间任意时间发送给身份认证设备。 S507,身份认证设备向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文。具体实现中,所述认证请求还可以包括BPID电子商务网站编号,用于标识经过认证鉴权服务平台认证许可的电子商务网站,BSID电子商务网站申请的互联网身份认证请求编号,用于标识本次电子商务网站发起的是互联网身份认证请求。进一步地,所述认证请求中的认证信息还可以先经过BASE64编码,避免用户信息直接暴露。 S508,业务平台向认证鉴权服务平台提交所述认证请求。 S509,认证鉴权服务平台对所述认证请求进行鉴权,具体可以包括认证鉴权服务平台根据所述认证请求中的用户标识,查找对应的公钥; 认证鉴权服务平台使用查找到的公钥对所述认证信息密文进行解密; 认证鉴权服务平台将所述认证请求中的认证信息与所述使用查找到的公钥对所
述认证信息密文进行解密的结果进行比对,比对一致则鉴权成功。进一步地当所述认证请
求中的认证信息经过BASE64编码,则还需对所述编码进行BASE64解码后才能进行比对。 S510,认证鉴权服务平台向业务平台返回认证结果。 S511,业务平台根据认证结果进行逻辑处理。 S512,业务平台根据认证结果向身份认证设备返回经过逻辑处理的认证结果。
具体实现中,本实施例可以在商务会员认证、公共事业信息查询、会议签到或考勤打卡等场景中进行身份认证,避免了因为身份假冒或替代等带来的各种安全风险和损失。
通过上述实施例的描述,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取介质中,该程序在执行时,可包括如上述各方法的实施例的的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。 以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
权利要求
一种身份认证方法,其特征在于,所述身份认证方法包括从移动终端获用户标识;从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间;向所述移动终端发送所述认证信息;从所述移动终端获取经过移动终端数字签名的认证信息密文;向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文;获取所述业务平台返回的认证结果。
2. 如权利要求1所述的身份认证方法,其特征在于,所述向移动终端发送所述认证信息后包括所述移动终端获取到所述认证信息后,使用移动终端SM卡内置的数字证书中的私钥对所述认证信息进行数字签名,得到认证信息密文。
3. 如权利要求2所述的身份认证方法,其特征在于,所述身份认证方法还包括所述业务平台获取到所述认证请求后,向认证鉴权服务平台提交所述认证请求;所述认证鉴权服务平台对所述认证请求进行鉴权,并向所述业务平台返回鉴权结果。
4. 如权利要求3所述的身份认证方法,其特征在于,所述认证鉴权服务平台对所述认证请求进行鉴权包括根据所述认证请求中的用户标识,查找对应的公钥;使用查找到的公钥对所述认证信息密文进行解密;将所述认证请求中的认证信息与所述使用查找到的公钥对所述认证信息密文进行解密的结果进行比对,比对一致则鉴权成功。
5. 如权利要求1-4中任一项所述的身份认证方法,其特征在于,通过无线射频识别方式与所述移动终端进行双向通讯。
6. —种身份认证设备,其特征在于,所述身份认证设备包括用户标识获取单元,用于从移动终端获用户标识;认证信息获取单元,用于从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间;签名请求单元,用于向所述移动终端发送所述认证信息;密文获取单元,用于从所述移动终端获取经过移动终端数字签名的认证信息密文;认证请求单元,用于向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文;认证结果获取单元,用于获取所述业务平台返回的认证结果。
7. 如权利要求6所述的身份认证设备,其特征在于,所述身份认证设备还包括射频识别单元,用于与所述移动终端进行无线双向通讯。
8. —种身份认证系统,其特征在于,所述身份认证系统包括移动终端、认证设备、业务平台以及认证鉴权服务平台,其中所述移动终端用于在SM卡中内置数字证书,所述数字证书包含私钥,使用所述私钥对所述认证设备发来的认证信息进行数字签名;所述认证设备用于从移动终端获用户标识,从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间,向所述移动终端发送所述认证信息,从所述移动终端获取经过移动终端数字签名的认证信息密文,向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文,获取所述业务平台返回的认证结果;所述业务平台用于生成所述认证信息,向认证设备发送所述认证信息,获取认证设备提交的所述认证请求,向所述认证鉴权服务平台发送所述认证请求,获取认证鉴权服务平台的鉴权结果;所述认证鉴权服务平台用于从所述业务平台获取所述认证请求,对所述认证请求进行鉴权并向所述业务平台返回鉴权结果。
全文摘要
本发明实施例提供了一种身份认证方法,包括从移动终端获用户标识;从业务平台获取认证信息,所述认证信息包括认证序列号和认证时间;向所述移动终端发送所述认证信息;从所述移动终端获取经过移动终端数字签名的认证信息密文;向业务平台提交认证请求,所述认证请求包括用户标识、所述认证信息以及所述认证信息密文;获取所述业务平台返回的认证结果。相应地,本发明实施例还公开了一种身份认证设备和身份认证系统。通过实施本发明,实现了对用户身份的认证,避免了因为身份假冒或替代等带来的各种安全风险和损失。
文档编号H04L9/32GK101778380SQ20091023961
公开日2010年7月14日 申请日期2009年12月31日 优先权日2009年12月31日
发明者吴勇, 唐斌, 邢蔚 申请人:卓望数码技术(深圳)有限公司