一种便携式UICC卡用户终端设备及其身份认证系统技术方案

本发明专利技术属于智能卡技术领域。本发明专利技术公开了一种便携式UICC卡用户终端设备及其身份认证方法和系统。通过充分利用UICC卡在用户身份认证中的安全性和无线通信在用户使用过程中的方便性，使得用户的身份认证在保持安全的同时，使用更为方便。用户在使用过程中不需要提供用户密码，也不需要把UICC卡提供给业务部门供查验。其身份认证的安全性和现有的接触式IC卡是等同的，还省略了读卡器设备。可以替代现有互联网中广泛使用的“用户名-密码”身份认证方式，在不需要用户密码的同时大大地提高了用户身份认证的安全性。可穿戴式的用户终端设备更进一步地加强了设备安全性和使用方便性。

【技术实现步骤摘要】
一种便携式UICC卡用户终端设备及其身份认证系统
本专利技术属于智能卡(也称芯片卡，UICC卡，IC卡)
。具体地说，本专利技术涉及一种使用方便并安全的用户身份认证设备及方法，同时也涉及适用于这种用户身份认证的网络云端系统及其身份认证鉴权协议。
技术介绍
目前,通用集成电路卡(UICC,UniversalIntegrated Circuit Card,简称 IC 卡)广泛应用于用户的身份认证系统。如移动通信系统的SIM卡和USIM卡，银行系统中用户帐户数据的金融IC卡，还包括各种社会保障卡如医保卡和公民的居民身份证系统。由于IC卡采用集成电路技术，使得其内部可以具有独立的CPU(中央处理器)，存储系统和通信接口，其安全性得到大大增强。同时，由于IC卡的标准化和小型化，也利于随身携带，其使用也更为方便。 根据IC卡和读卡器之间的信息交换方式，可以分为接触式IC卡和非接触式IC卡。然而，无论是接触式还是非接触式IC卡，都需要用户的IC卡和读卡器配合，才能完成用户的身份认证(非接触式IC卡和读卡器一般也需要5mm-10mm的距离)。例如，用户的银行账户的金融IC卡需要插入银行系统的读卡器，才能获得用户信息。这种用户身份标识IC卡和业务服务提供部门的读卡器之间需要物理地近距离接触的使用方式，给用户的使用带来一定程度的不方便。用户在使用业务时，需要前往业务服务提供部门，用专业的读卡器，读取用户的IC卡数据。这样，IC卡的安全性和用户的使用方便性不能很好的共存，也不能满足人们在不同应用场景的使用需求。 随着移动互联网和智能终端(如智能手机，平板电脑等)的发展，其应用也越来越深入人们生活的各个方面。例如手机钱包，使得人们可以随时随地完成移动支付而不需要使用现金，银行卡或者其他实体的支付凭证，给人们的日常生活带来极大的方便。作为用户的身份认证方式，在互联网系统中广泛使用的是“用户名-密码”的登陆方式，其唯一的用户身份标识就是登陆密码(用户名作为公开的信息可以很容易地获得)。也就是说，只要用户能够正确地输入密码，就认为该用户是真实的合法用户。 这种“用户名-密码”的身份认证方式有其固有的不安全性和使用的不方便性。一方面，如果用户的登陆密码被泄露，这种用户身份认证方式就毫无安全性可言，任何人都可以使用其密码而冒充真实的用户。另一方面，用户需要记住密码，使得每次使用的时候能够被正确地认证。安全性需要密码越复杂越好，但是用户对密码记忆的方便性却是越简单越好。安全的登陆密码的复杂性，难记忆性和用户使用的方便性成为了一对矛盾，不可能同时兼顾。用户在每次使用业务时，需要输入密码以供身份验证，这种多次地重复使用相同的密码也增加了密码泄露的风险。在不同业务系统中的不同用户密码也增加了用户记忆密码的难度。 尽管“用户名-密码”的身份认证方式有着天然的不安全性，但从实际的使用情况看来，人们往往选择了方便性，而忽略了安全性。使用简单的密码，方便地完成用户身份认证。这样的使用方式存在极大的安全隐患，特别和用户的个人金融等唯一身份认证信息相关联的时候，这种安全性就显得更为重要。所以，提供一种用户方便使用的，同时又具有充分安全性保障的用户身份认证方式就显得非常重要。 在现有市场中，有一种消除用户对“用户名-密码”身份认证的安全性顾虑的方式，即“用户资金安全保障”的附加保险。如果用户由于使用“用户名-密码”的方式使得其身份被盗用，使得其账户资金有损失，可以得到资金损失赔付。从用户的角度来看，好像足解决了其安全性问题。但足，这实际上只是一种风险转移，并没有解决其安全性问题，并且这种风险转移的成本最终还是由用户支付。 在现有市场中，还有一种利用用户的生物特征如指纹等作为用户身份认证的标识。这种身份认证方式很好的解决了用户身份认证的唯一性问题。但是，由于用户的生物特征是有变化的，这种身份认证方式就存在识别的准确性和确定性问题。在用户的生物特征发生变化时，就不能很好的识别用户。在以确定性为基础的计算机和网络系统中，需要一种确定的唯一身份标识。并且用户的生物特征如指纹等也有可能被复制，进而使用复制的身份数据，假冒真实的用户而使用用户的业务数据，存在安全性隐患。 本专利技术的核心功能就是公开了一种安全的，方便使用的用户身份认证设备，方法和系统。用户相关的具体业务信息，如用户在银行的账户信息，在医院的身体健康信息都存储在网络云端，而用户只需要提供唯一的，不可更改和复制的身份信息，就可以获得与此用户身份相关联的业务信息。用户不需要提供密码，也不需要把用于身份标识的IC卡提供给具体的业务部门(如银行等)供验证。大大地方便了用户的使用，也极大地提高了用户数据的安全性。
技术实现思路
本专利技术的关键之处在于综合利用IC卡在用户身份认证中的安全性和无线通信在用户使用中的方便性，为用户和具体的业务提供部门提供一种安全的，方便的用户身份认证设备，方法和系统。 本专利技术的用户身份认证系统包括如下部分: I)用户身份标识IC卡。主要是接触式IC卡，提供通信传输接口，其通信数据接口满足智能卡传输协议IS0-7816标准。在其内部的存储系统中，根据使用的需要，有一个或者多个存储区域，每一个存储区域存储有具体的与不同业务相关联的用户身份标识相关信息。每一个存储区域的数据访问受到安全控制，需要相应的业务授权才能访问。存储区域之间的数据互相访问也需要相应的授权。每一个存储区域的数据满足不同业务的数据格式标准，例如，用于移动通信的用户身份标识的SM/USM卡满足ETSI TS 102.211,3GPP TS31.101,3GPP TS11.11等标准；用于银行帐户的用户身份标识的金融IC卡满足金融IC卡的标准IS0-10202等。 2)用户IC卡接口设备。主要完成用户身份标识IC卡数据的读取和传输，有如下的功能模块: a)接触式IC卡读卡接口，使得用户身份标识IC卡能够插入该设备中，并能够读取IC卡的相关数据。其读卡接口满足IS0-7816传输协议标准。 b)无线通信模块，能够通过无线传输方式(或者无线和有线相结合的传输方式)把从用户身份标识IC卡读取的数据传送给网络云端服务器，也能够把网络云端服务器的数据传送给用户身份标识IC卡。 c)安全控制模块，主要是确保用户IC卡接口设备和网络云端服务器之间的通信安全性和用户身份标识IC卡数据的访问安全性。 d)能源供应模块如电池等，主要是使得用户IC卡接口设备成为一个移动设备而和用户随时随地同在，增加使用的方便性。 e)便于用户随身携带的配件如腕表式携带的表带等，成为可穿戴式设备而不容易被丢失，进一步加强设备的安全性。 3)网络接口设备。主要是连接网络云端服务器和用户IC卡接口设备，能够把云端服务器的数据转发给用户IC卡接口设备，也能够把用户IC卡接口设备的数据转发给网络云端服务器。有如下的功能模块: a)连接于用户身份认证服务器，该服务器能够完成对用户的身份认证。 b)连接于用户数据服务器，在需要的时候能够读取与用户身份相关联的业务数据。 c)无线通信模块，提供无线通信连接(或者无线通信和有线通信相结合)使得用户IC卡接口设备能够方便地连接于网络身份认证服务器，完成用户本文档来自技高网...

【技术保护点】
一种基于通用集成电路卡(UICC卡，IC卡)的用户身份认证系统，其特征在于：上述用户身份认证系统包括如下功能模块：1)用户身份标识IC卡，2)具有无线通信功能的可穿戴式的用户IC卡接口设备，3)网络接口设备，4)用户身份认证服务器，5)用户数据服务器。

【技术特征摘要】
1.一种基于通用集成电路卡(ncc卡，IC卡)的用户身份认证系统，其特征在于:上述用户身份认证系统包括如下功能模块: 1)用户身份标识IC卡， 2)具有无线通信功能的可穿戴式的用户IC卡接口设备， 3)网络接口设备， 4)用户身份认证服务器， 5)用户数据服务器。2.根据权利要求1所述的用户IC卡接口设备，其特征在于:上述用户IC卡接口设备具有如下功能1?块: 1)接触式IC卡读卡接口，使得用户身份标识IC卡能够插入该设备中，并能够读取IC卡的相关数据， 2)无线通信模块，能够通过无线传输方式(或者通过无线通信和其它有线通信相结合的传输方式)把从用户身份标识IC卡读取的数据传送给网络云端服务器，也能够把网络云端服务器的数据传送给用户身份标识IC卡， 3)安全控制模块，能够提供用户IC卡接口设备和网络云端服务器的通信安全性和用户身份标识IC卡内部数据的访问安全性， 4)能源供应模块如电池等，使得用户IC卡接口设备成为一个移动设备而可以独立工作， 5)便于用户随身携带的配件如腕表式携带的表带等，成为可穿戴式设备而和用户随时随地同在，加强设备本身的安全性。3.根据权利要求1所述的网络接口设备，其特征在于:上述网络接口设备具有如下功能模块: 1)无线通信模块，提供无线通信连接于用户IC卡接口设备，使得用户IC卡接口设备能够方便地连接于网络身份认证服务器，完成用户身份认证过程， 2)连接于用户身份认证服务器，能够把用户身份认证服务器的数据转发给用户IC卡接口设备，也能够把用户IC卡接口设备的数据转发给用户身份认证服务器， 3)连接于用户数据服务器，在需要的时候能够读取与用户身份相关联的业务数据。4.根据权利要求1所述的用户身份认证系统，其特征在于:上述用户身份认证系统中的用户身份标识IC卡和用户身份认证服务器有一个用户数据的初始化过程，在用户开始使用用户身份标识IC卡之前就需要完成所述用户数据的初始化过程，上述初始化过程包括: 1)在用户身份标识IC卡和用户身份认证服务器中都写入一个唯一的用户身份号码，用户ID号，这个用户ID号不需要保密，是公开的，任何第三方在需要的时候，获得适当的授权后就可以获得， 2)在用户身份标识IC卡和用户身份认证服务器中都写入一个能够标识业务服务提供部门的业务ID号，该业务ID号不需要保密，是公开的， 3)在用户身份标识IC卡和用户身份认证服务器中都写入一个由业务服务提供部门提供的，唯一的，高度保密的身份认证密码Kw，Kw只能在用户身份认证服务器内部被用户身份认证服务器读取，或者在用户身份标识IC卡内部被用户身份标识IC卡读取，任何第三方都不能读取， 4)在用户身份标识IC卡和用户身份认证服务器中都写入一个由用户提供的，唯一的，高度保密的身份认证密码Ky，Ky只能在用户身份认证服务器内部被用户身份认证服务器读取，或者在用户身份标识IC卡内部被用户身份标识IC卡读取，任何第三方都不能读取， 5)在用户身份标识IC卡和用户身份认证服务器中都写入一个由业务服务提供部门提供的，高度保密的加密算法Am，Am只能在用户身份认证服务器内部被用户身份认证服务器读取，或者在用户身份标识IC卡内部被用户身份标识IC卡读取，任何第三方都不能读取，Am的输入数据包括Kw，Ky和一个在使用的时候才生成的,一次性使用的随机数序列Ri,而其输出的数据则是一个身份认证鉴权数据序列Si。5.根据权利要求4所述的用户数据的初始化过程，其特征在于:上述用户数据的初始化数据的写入只能在特定的地点，用特定的设备写入需要保密的数据，包括身份认证密码Kw, Ky和加密算法Am，任何第三方都不能改写这些数据，也不能读取这些数据，这种安全性保障是通过用户身份标识IC卡和用户身份认证服务器设备本身提供的。6.根据权利要求1所述的用户身份认证系统，其特征在于:上述用户身份认证系统通过如下的步骤完成对用户的身份认证鉴权过程: 1)用户IC卡接口设备读取存储在用户身份标识IC卡中的用户ID号，并通过网络接口设备，把用户ID号传送给用户身份认证服...

【专利技术属性】
技术研发人员：王家城，
申请(专利权)人：王家城，
类型：发明
国别省市：北京;11