移动终端中基于外部安全模块实现身份验证的系统及方法

移动终端中基于外部安全模块实现身份验证的系统及方法
【专利摘要】本发明涉及一种移动终端中基于外部安全模块实现身份验证的系统，其包括智能移动终端、智能IC卡和外部安全模块，本发明还提供了一种移动终端中基于外部安全模块实现身份验证的方法，可以利用智能移动终端对外部安全模块和智能IC卡进行初始化以及利用外部安全模块代替PIN码进行身份验证，其中，外部安全模块和智能IC卡之间以及智能IC卡和智能移动终端之间均通过无线通讯技术进行通讯。采用本发明的移动终端中基于外部安全模块实现身份验证的系统及方法，避免了黑客或钓鱼软件通过智能终端截获PIN密码，解决了PIN码被移动终端上的木马软件或钓鱼软件泄露的技术问题，从而确保了用户的账户安全，具有更广泛的应用范围。
【专利说明】移动终端中基于外部安全模块实现身份验证的系统及方法
【技术领域】
[0001]本发明涉及无线通信【技术领域】，尤其涉及支持近场通讯的智能移动终端的身份验证领域，具体是指一种移动终端中基于外部安全模块实现身份验证的系统及方法。
【背景技术】
[0002]随着移动互联网的迅速发展和通讯技术的成熟，由飞利浦公司和索尼公司共同开发的NFC技术是一种非接触式识别和互联技术，可以在移动设备、消费类电子产品、PC和智能控件工具间进行近距离无线通信。NFC技术将非接触读卡器、非接触卡和点对点功能整合进一块单芯片，让拥有内置NFC芯片的智能移动终端可以作为读卡器进行读取非接触式智能IC卡，即人们常说的“刷卡”。用户使用带有NFC功能的智能移动终端进行“刷卡”时需要对用户进行身份识别与验证，目前流行的认证方式大都基于“what you know”的认证方式，即用户通过应用程序在智能终端上使用软键盘或手势键盘输入PIN码来进行认证用户的身份，针对智能移动终端的木马和钓鱼软件的出现，很容易造成PIN码泄露，给用户带来损失。为了防止PIN码被第三方截获，现有技术中出现了许多保护措施。例如在手机上出现的软键盘随机排放且每次都不相同；再比如，使用数据加密技术对PIN进行加密，和智能卡的通信的数据是加密了的，但是这两种方法并不能从根本上保证PIN码不被泄露。

【发明内容】

[0003]本发明的目的是克服了上述现有技术的缺点，提供了一种通过采用外部安全模块代替个人密码进行身份验证实现了避免由于智能移动终端中PIN码被截获而引起的安全风险、结构简单、通讯方便、易于实现、安全性强的移动终端中基于外部安全模块实现身份验证的系统及方法。
[0004]为了实现上述目的，本发明的移动终端中基于外部安全模块实现身份验证的系统及方法具有如下构成:
[0005]该移动终端中基于外部安全模块实现身份验证的系统，其主要特点是，所述的系统包括智能移动终端、外部安全模块和智能IC卡。
[0006]所述的智能移动终端，用以在系统初始化中透传加密算法和PIN码至智能IC卡和外部安全模块，以及在身份验证时透传智能IC卡和外部安全模块之间的通讯信息；
[0007]所述的智能IC卡，用以在系统初始化中利用加密算法加密PIN码并保存以及在身份验证时产生随机数、采用加密算法对外部安全模块加密的密文进行解密并且通过保存的PIN码与密文解密的PIN码的比较进行身份验证；
[0008]所述的外部安全模块，用以在系统初始化中利用加密算法加密PIN码并保存以及在身份验证时利用加密算法将所述的随机数和保存的PIN码加密成密文。
[0009]该移动终端中基于外部安全模块实现身份验证的系统中，所述的加密技术为对称加密或非对称加密。所述的智能IC卡和外部安全模块均是非接触式的智能卡。
[0010]本发明还提供一种移动终端中基于外部安全模块实现身份验证的方法，该方法包括智能IC卡和外部安全模块的初始化以及外部安全模块的身份验证。
[0011]所述的智能IC卡和外部安全模块的初始化，包括以下步骤:
[0012](11)所述的智能移动终端获取加密算法和用户输入的PIN码；
[0013](12)所述的智能移动终端将所述的加密算法和PIN码转发至所述的智能IC卡和外部安全模块；
[0014](13)所述的智能IC卡和外部安全模块分别利用所述的加密算法加密PIN码并保存；
[0015]所述的外部安全模块的身份验证，包括以下步骤:
[0016](21)所述的智能IC卡生成随机数；
[0017](22)所述的智能移动终端转发所述的随机数至所述的外部安全模块；
[0018](23)所述的外部安全模块加密所述的随机数和加密后的PIN码的混合体形成密文，并发送至所述的智能移动终端；
[0019](24)所述的智能移动终转发所述的密文至所述的智能IC卡；
[0020](25)所述的智能IC卡利用所述的加密算法解密密文得到PIN码并判断解密得到的PIN码与本地保存的PIN码是否相同，如果是，则身份验证通过，否则身份验证失败。
[0021]该移动终端中基于外部安全模块实现身份验证的方法中，所述的智能移动终端从所述的智能IC卡的发卡机构获取发卡机构选择的加密算法和用户输入的PIN码，所述的智能移动终端设置为读卡器模式，所述的外部安全模块和所述的智能IC卡之间以及所述的智能IC卡和智能移动终端之间均通过NFC技术进行通讯。
[0022]采用了移动终端中基于外部安全模块实现身份验证的系统，通过利用外部安全模块代替PIN码进行智能移动终端的身份验证，避免了黑客或钓鱼软件通过智能终端截获PIN密码而引起的安全风险，解决了 PIN码被移动终端上的木马软件或钓鱼软件泄露的技术问题，从而确保了用户的账户安全，具有更广泛的应用范围。
【专利附图】

【附图说明】
[0023]图1为本发明的移动终端中基于外部安全模块实现身份验证的系统的结构示意图。
[0024]图2为本发明的移动终端中基于外部安全模块实现身份验证的方法的总流程图。
[0025]图3为本发明的移动终端中基于外部安全模块实现身份验证的方法的智能IC卡和外部安全模块初始化流程图。
[0026]图4为本发明的移动终端中基于外部安全模块实现身份验证的方法的外部安全模块身份验证流程图。
【具体实施方式】
[0027]为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。
[0028]请参阅图1所示，本发明的移动终端中基于外部安全模块实现身份验证的系统的结构示意图。
[0029]在一种实施方式中，该移动终端中基于外部安全模块实现身份验证的系统包括智能移动终端、智能IC卡和外部安全模块。
[0030]所述的智能IC卡，用以在系统初始化中利用加密算法加密PIN码并保存以及在身份验证时产生随机数、采用加密算法对外部安全模块加密的密文进行解密并且通过保存的PIN码与密文解密的PIN码的比较进行身份验证。
[0031]所述的智能IC卡，用以在系统初始化中利用加密算法加密PIN码并保存以及在身份验证时产生随机数、采用加密算法对外部安全模块加密的密文进行解密并且通过保存的PIN码与密文解密的PIN码的比较进行身份验证。
[0032]所述的外部安全模块，用以在系统初始化中利用加密算法加密PIN码并保存以及在身份验证时利用加密算法将所述的随机数和保存的PIN码加密成密文。
[0033]其中，所述的加密算法为对称加密或非对称加密算法。
[0034]移动终端中基于外部安全模块实现身份验证的方法，如图2所示，所述的方法包括智能IC卡和外部安全模块的初始化以及外部安全模块的身份验证。
[0035]所述的智能IC卡和外部安全模块的初始化，如图3所示，包括以下步骤:
[0036](11)所述的智能移动终端获取加密算法和用户输入的PIN码；
[0037](12)所述的智能移动终端将所述的加密算法和PIN码转发至所述的智能IC卡和外部安全模块；
[0038](13)所述的智能IC卡和外部安全模块分别利用所述的加密算法加密PIN码并保存；
[0039]所述的外部安全模块的身份验证，如图4所示，包括以下步骤:
[0040](21)所述的智能IC卡生成随机数；
[0041](22)所述的智能移动终端转发所述的随机数至所述的外部安全模块；
[0042](23)所述的外部安全模块加密所述的随机数和加密后的PIN码的混合体形成密文，并发送至所述的智能移动终端；
[0043](24)所述的智能移动终转发所述的密文至所述的智能IC卡；
[0044](25)所述的智能IC卡利用加密算法解密密文得到PIN码并判断解密得到的PIN码与本地保存的PIN码是否相同，如果是，则身份验证通过，否则身份验证失败。
[0045]本发明在具体实现时，如图1所示，可以将所述的外部安全模块封装于非接触式智能卡中，所述的智能IC卡为非接触式智能卡，所述的智能移动终端设置为读卡器模式，所述的外部安全模块和所述的智能IC卡之间以及所述的智能IC卡和智能移动终端之间均通过NFC技术进行通讯。另外，所述的智能移动终端是从所述的智能IC卡的发卡机构获取发卡机构选择的加密算法和用户输入的PIN码。
[0046]本发明的上述方法，为了避免PIN码被盗存在的安全风险，将智能移动终端中的安全模块移出作为外部安全模块，从而代替PIN码进行身份验证，抵挡了智能移动终端的木马和钓鱼软件的假冒攻击和重放攻击。只需将外部安全模块于便携式异形卡中，就可以随时随地进行验证身份，为了能够有效抵抗假冒攻击和重放攻击，本发明采用了挑战应答机制。
[0047]采用了本发明的基于外部安全模块的智能移动终端身份验证系统，通过利用外部安全模块代替PIN码进行智能移动终端的身份验证，避免了黑客或钓鱼软件通过智能终端截获PIN密码而引起的安全风险，解决了 PIN码被移动终端上的木马软件或钓鱼软件泄露的技术问题，从而确保了用户的账户安全，具有更广泛的应用范围。
[0048]在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。
【权利要求】
1.一种移动终端中基于外部安全模块实现身份验证的系统，其特征在于，所述的系统包括: 智能移动终端，用以在系统初始化中透传加密算法和PIN码至智能IC卡和外部安全模块，以及在身份验证时透传智能IC卡和外部安全模块之间的通讯信息； 智能IC卡，用以在系统初始化中利用加密算法加密PIN码并保存以及在身份验证时产生随机数、采用加密算法对外部安全模块加密的密文进行解密并且通过保存的PIN码与密文解密的PIN码的比较进行身份验证； 外部安全模块，用以在系统初始化中利用加密算法加密PIN码并保存以及在身份验证时利用加密算法将所述的随机数和保存的PIN码加密成密文。
2.根据权利要求1所述的移动终端中基于外部安全模块实现身份验证的系统，其特征在于，所述的加密算法为对称加密或非对称加密。
3.根据权利要求1所述的移动终端中基于外部安全模块实现身份验证的系统，其特征在于，所述的智能IC卡和外部安全模块均为非接触式的智能卡。
4.一种通过权利要求1所述的系统在移动终端中基于外部安全模块实现身份验证的方法，其特征在于，所述的方法包括智能IC卡和外部安全模块的初始化以及外部安全模块的身份验证； 所述的智能IC卡和外部安全模块的初始化，包括以下步骤: (11)所述的智能移动终端获取加密算法和用户输入的PIN码； (12)所述的智能移动终端将所述的加密算法和PIN码转发至所述的智能IC卡和外部安全模块； (13)所述的智能IC卡和外部安全模块分别利用所述的加密算法加密PIN码并保存； 所述的外部安全模块的身份验证，包括以下步骤: (21)所述的智能IC卡生成随机数； (22)所述的智能移动终端转发所述的随机数至所述的外部安全模块； (23)所述的外部安全模块加密所述的随机数和加密后的PIN码的混合体形成密文，并发送至所述的智能移动终端； (24)所述的智能移动终转发所述的密文至所述的智能IC卡； (25)所述的智能IC卡利用加密算法解密密文得到PIN码并判断解密得到的PIN码与本地保存的PIN码是否相同，如果是，则身份验证通过，否则身份验证失败。
5.根据权利要求4所述的移动终端中基于外部安全模块实现身份验证的方法，其特征在于，所述的智能移动终端获取加密算法和用户输入的PIN码，具体为: 所述的智能移动终端从所述的智能IC卡的发卡机构获取发卡机构选择的加密算法和用户输入的PIN码。
6.根据权利要求4所述的移动终端中基于外部安全模块实现身份验证的方法，其特征在于，所述的步骤(11)和(12)之间，还包括以下步骤: (111)将所述的智能移动终端设置为读卡器工作模式。
7.根据权利要求4所述的基于外部安全模块的智能移动终端身份验证的方法，其特征在于，所述的外部安全模块和所述的智能IC卡之间以及所述的智能IC卡和智能移动终端之间均通过NFC技术进行通讯。
【文档编号】H04W12/06GK103945381SQ201410174712
【公开日】2014年7月23日 申请日期:2014年4月28日 优先权日:2014年4月28日
【发明者】胡永涛, 屈新春, 胥怡心, 曹书文 申请人:公安部第三研究所