本发明专利技术涉及安全认证方法和系统以及用于安全认证的移动终端。所述方法包括:S1、业务平台基于用户的业务请求生成交易确认码,并向安全服务平台发送包含交易确认码、用户身份信息、交易信息的安全认证请求,同时将交易确认码返回给用户;S2、安全服务平台基于安全认证请求向预先绑定的移动终端发送交易确认签名请求;S3、移动终端接收用户输入的交易确认码,调用本地安全存储的用户私钥对交易确认码进行签名,并将携带签名信息的交易确认码、用户身份信息返回给安全服务平台;S4、安全服务平台获取本地存储的用户数字证书对签名信息进行验证,并验证交易确认码,返回验证结果给业务平台。本发明专利技术解决了手机终端用户身份认证中的安全性及易用性问题。
【技术实现步骤摘要】
安全认证方法和系统以及用于安全认证的移动终端
本专利技术涉及互联网安全认证技术,更具体地说,涉及一种安全认证方法和系统以及用于安全认证的移动终端。
技术介绍
目前在PC上进行交易付款时,现有技术的用户身份认证分为硬件实现及软件实现两种方式:1、硬件实现:要求插入硬件usbkey(如银行U盾),利用usbkey里面存储的数字证书进行用户身份确认,二代key还要求用户在key上进行二次确认。2、软件实现:采用向预留的手机号码发送短信验证码方式进行安全认证。硬件方式安全性较高,但是牺牲了用户的操作便利性。用户需要随时携带及保管硬件usbkey。同时,现有技术方案需要用户在浏览器上下载安装第三方控件及usbkey驱动,目前操作系统和浏览器种类繁多,控件的兼容性及可用性降低了用户体验。短信验证码的方式安全性较低,现在的智能终端安全软件基本可以屏蔽及拦截短信,或者第三方软件进行短信模拟发送,存在第三方攻击风险。
技术实现思路
本专利技术要解决的技术问题在于,针对现有技术的上述缺陷,提供一种既有硬件方式认证的安全性、同时兼顾用户使用便利性的安全认证方法和系统以及用于安全认证的移动终端。本专利技术为解决其技术问题在第一方面提出一种安全认证方法,包括如下步骤:S1、业务平台基于用户的业务请求生成交易确认码,并向安全服务平台发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求,同时将所述交易确认码返回给用户;S2、安全服务平台基于所述安全认证请求向用户预先绑定的移动终端发送交易确认签名请求;S3、移动终端基于所述交易确认签名请求接收用户输入的交易确认码,调用本地安全存储的用户私钥对所述交易确认码进行签名,并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台;S4、安全服务平台根据所述用户身份信息获取本地存储的用户数字证书,使用所述用户数字证书对签名信息进行验证,并验证交易确认码,返回验证结果给业务平台。根据本专利技术第一方面的一个实施例中,所述用户身份信息包括手机号码和/或移动终端硬件信息。根据本专利技术第一方面的一个实施例中,所述方法在步骤S1之前还包括:S0、所述移动终端预先在安全服务平台上注册,以由安全服务平台向第三方安全认证中心申请用户数字证书,并在安全服务平台上绑定所述移动终端和所述用户数字证书。根据本专利技术第一方面的一个实施例中,所述步骤S0具体包括:S01、所述移动终端接收用户的注册请求,携带用户输入的手机号码向安全服务平台获取短信验证码;S02、安全服务平台生成短信验证码并发送给所述手机号码;S03、所述移动终端接收用户输入的短信验证码,生成用户公私钥对并将用户私钥安全存储于本地,并获取移动终端硬件信息,向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请;S04、安全服务平台验证短信验证码,携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书;S05、安全服务平台将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定。根据本专利技术第一方面的一个实施例中,所述步骤S03中移动终端生成用户公私钥对进一步包括:采用国产密码算法生成用户公私钥对并将用户私钥安全存储于本地。本专利技术为解决其技术问题在第二方面提出一种安全认证系统,包括通信连接的业务平台、安全服务平台和移动终端,其中:业务平台用于基于用户的业务请求生成交易确认码,并向安全服务平台发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求,同时将所述交易确认码返回给用户;安全服务平台用于基于所述安全认证请求向用户预先绑定的所述移动终端发送交易确认签名请求;移动终端用于基于所述交易确认签名请求接收用户输入的交易确认码,调用本地安全存储的用户私钥对所述交易确认码进行签名,并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台;安全服务平台还用于根据所述用户身份信息获取本地存储的用户数字证书,使用所述用户数字证书对签名信息进行验证,并验证交易确认码,返回验证结果给业务平台。根据本专利技术第二方面的一个实施例中,所述移动终端还用于预先在安全服务平台上注册,以由安全服务平台向第三方安全认证中心申请用户数字证书,并在安全服务平台上绑定所述移动终端和所述用户数字证书。根据本专利技术第二方面的一个实施例中,所述移动终端还用于接收用户的注册请求,携带用户输入的手机号码向安全服务平台获取短信验证码,并接收用户输入的安全服务平台返回的短信验证码,生成用户公私钥对并将用户私钥安全存储于本地,并获取移动终端硬件信息,向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请;所述安全服务平台还用于验证短信验证码,携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书,并将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定。本专利技术为解决其技术问题在第三方面提出一种用于安全认证的移动终端,包括:存储模块,用于安全存储用户私钥;安全服务客户端模块,用于基于安全服务平台的交易确认签名请求,接收用户输入的交易确认码,调用存储模块内存储的用户私钥对所述交易确认码进行签名,然后将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台。根据本专利技术第三方面的一个实施例中,所述安全服务客户端模块还用于基于用户的注册请求,携带用户输入的手机号码向安全服务平台获取短信验证码,并接收用户输入的安全服务平台向该手机号码发送的短信验证码,生成用户公私钥对并将用户私钥安全存储于所述存储模块,并获取移动终端硬件信息,向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请。本专利技术的安全认证方法和系统,由业务平台通过安全服务平台将交易确认信息发送给用户绑定的移动终端,在该移动终端进行用户交易确认,在安全服务平台进行用户身份验证,用户身份验证通过后,完成交易过程。本专利技术使用移动终端作为用户私钥存储介质,采用国产密码算法进行安全存储,在兼顾usbkey安全性的同时,提供了用户使用便利性,不再需要单独对usbkey进行携带保存。同时,本专利技术在移动终端上使用服务方式提供安全能力,避免安装浏览器控件导致的兼容性问题,同时解决通过短信方式下发身份验证码的安全及不稳定问题。附图说明下面将结合附图及实施例对本专利技术作进一步说明,附图中:图1是本专利技术一个实施例的安全认证系统的逻辑框图;图2是图1所示的系统中移动终端向安全服务平台注册的交互过程示意图;图3是图1所示的系统进行安全认证的交互过程的示意图;图4是本专利技术一个实施例的安全认证方法的流程图;图5是图4所示的安全认证方法中移动终端预先向安全服务平台注册的流程图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。图1示出了根据本专利技术一个实施例的安全认证系统100的逻辑框图。如图1所示,该安全认证系统100主要包括通信连接的业务平台130、安全服务平台110和移动终端120。其中,业务平台130作为实际业务本身的业务数据和逻辑处理部分,不在本专利申请的保护范围内。本申请中,业务平台130用于接收用户的业务请求,基于本文档来自技高网...
【技术保护点】
一种安全认证方法,其特征在于,包括如下步骤:S1、业务平台基于用户的业务请求生成交易确认码,并向安全服务平台发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求,同时将所述交易确认码返回给用户;S2、安全服务平台基于所述安全认证请求向用户预先绑定的移动终端发送交易确认签名请求;S3、移动终端基于所述交易确认签名请求接收用户输入的交易确认码,调用本地安全存储的用户私钥对所述交易确认码进行签名,并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台;S4、安全服务平台根据所述用户身份信息获取本地存储的用户数字证书,使用所述用户数字证书对签名信息进行验证,并验证交易确认码,返回验证结果给业务平台。
【技术特征摘要】
1.一种安全认证方法,其特征在于,包括如下步骤:S1、业务平台基于用户的业务请求生成交易确认码,并向安全服务平台发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求,同时将所述交易确认码返回给用户;S2、安全服务平台基于所述安全认证请求向用户预先绑定的移动终端发送交易确认签名请求;S3、移动终端基于所述交易确认签名请求接收用户输入的交易确认码,调用本地安全存储的用户私钥对所述交易确认码进行签名,并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台;S4、安全服务平台根据所述用户身份信息获取本地存储的用户数字证书,使用所述用户数字证书对签名信息进行验证,并验证交易确认码,返回验证结果给业务平台。2.根据权利要求1所述的安全认证方法,其特征在于,所述用户身份信息包括手机号码和/或移动终端硬件信息。3.根据权利要求1所述的安全认证方法,其特征在于,所述方法在步骤S1之前还包括:S0、所述移动终端预先在安全服务平台上注册,以由安全服务平台向第三方安全认证中心申请用户数字证书,并在安全服务平台上绑定所述移动终端和所述用户数字证书。4.根据权利要求3所述的安全认证方法,其特征在于,所述步骤S0具体包括:S01、所述移动终端接收用户的注册请求,携带用户输入的手机号码向安全服务平台获取短信验证码;S02、安全服务平台生成短信验证码并发送给所述手机号码;S03、所述移动终端接收用户输入的短信验证码,生成用户公私钥对并将用户私钥安全存储于本地,并获取移动终端硬件信息,向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请;S04、安全服务平台验证短信验证码,携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书;S05、安全服务平台将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定。5.根据权利要求4所述的安全认证方法,其特征在于,所述步骤S03中移动终端生成用户公私钥对进一步包括:采用国产密码算法生成用户公私钥对并将用户私钥安全存储于本地。6.一种安全认证系统,其特征在于,包括通信连接的业务平台、安全服务平台和移动终端,其中:业务平台用于基于用户的业务请求生成交易确认码,并向安全服务平...
【专利技术属性】
技术研发人员:彭涛,王巍,刘志诚,霍要峰,
申请(专利权)人:卓望数码技术深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。