一种新型安全性IC卡和认证系统及方法技术方案

本发明专利技术涉及金融安全领域，具体涉及一种新型安全性IC卡和认证系统及方法。通过在金融IC卡内集成用户安全信息应用，内置客户PKI数字证书和密钥，可与手机端电脑端进行安全通讯，并进行证书认证和数据安全通讯，从而完成用户身份认证和交易认证；在现有的金融IC卡中，加载U‑key应用(APP)，用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互，完成客户身份认证、交易认证等功能。

【技术实现步骤摘要】
一种新型安全性IC卡和认证系统及方法
本专利技术涉及金融安全领域，具体涉及一种新型安全性IC卡和认证系统及方法。
技术介绍
随着互联网的迅速发展，电子交易越来越普及。电子交易的应用包括：电子银行(网上银行、ATM应用、POS应用、电话银行、手机银行、卡支付)、网上证券、第三方支付、电子商城等。各种电子渠道应用对安全性需求都具有共性，都有对用户认证、交易认证的需求；有日志的需求、有访问授权的需求、有风险监控和防范的需求。为了更好地支持各种电子渠道的业务发展和融合，金融机构通常建立了一套适合于所有电子渠道的统一认证平台，来统一处理用户的认证、交易的认证、风险监控和防范、统一的日志等。统一身份认证平台在用户身份认证方式上主要支持：静态口令、动态令牌、证书、生物识别、地理信息、短信认证等认证方式，并支持其他认证方式的扩展。1、统一身份认证平台功能特性①作为认证基础设施，为多种电子渠道提供认证服务，如网上银行、手机银行、ATM、POS、电话银行、卡支付等；②用户的认证工具可以是不同厂商的令牌、USBKEY、刮刮卡、手机短信、静态密码、软件令牌、手机令牌等，可以随着认证技术的发展，不断扩展；③一种认证工具可以支持多种渠道应用，如动态令牌可以支持手机银行、网上银行、卡支付、ATM、POS以及OA应用等；④认证服务可以是身份认证、交易认证；⑤平台的伸缩性结构和扩展模式，可以很好地解决性能升级和灾备的需要；⑥统一的基于认证的日志管理、归档和分析并保证其安全性；⑦应用和认证的分离，并利用已有的认证基础设施保证安全性；⑧为电子渠道应用提供安全认证、授权、交易鉴别和日志的统一管理；2、移动支付安全解决方案与产品方案一：移动端数字证书安全解决方案移动端数字证书安全解决方案(俗称手机银行“软证书”)，让客户的手机“变”UKey。进行大额转账操作时，安全验证方式选择手机软证书，录入短信验证码+证书PIN码(如有)，传送银行后台认证平台验证通过后，输入账户密码后即完成该笔交易。方案二：手机音频盾安全解决方案音频U盾用于在网络环境和手机环境里识别身份的数字证书的硬件载体，也是目前网上银行及手机银行客户端安全级别最高的一种设备。除了适用于电脑，还可连接手机使用，日累计交易额高达500万元，全面保障电脑和手机支付双重安全。交易前，系统将校验U盾内数字证书，证书校验通过后才能继续汇款操作，然后弹出密码输入框，输入密码后并点击“确定”按钮，密码输入正确，校验成功后弹出U盾签名页面，此时音频U盾显示屏上显示交易信息，用户核对交易信息正确无误后按下音频U盾的OK键，签名成功交易完成。方案三：安全芯片+手机盾安全解决方案只要搭载了麒麟960、970等芯片的手机，都自带手机盾，例如：华为P9、P10，Mate9、Mate10等。彻底实现在手机端一站式、无实物盾介质的移动支付。通过在手机安全芯片中开辟出了防篡改、防攻击的独立安全区域，并将客户的移动数字证书存放至这个独立安全区域中。虽然看不见摸不到，却在用“芯”保障交易安全。在安全级别上相当于有物理介质的U-key，相比之下，在证书领取、交易安全校验等方面有着更为突出的便捷性优势。因此，“手机盾”能够在大大提升客户交易体验的同时，加强账户安全认证等级，满足客户移动端大额资金交易需求。3、存在的问题与不足在安全级别上，移动数字证书非常安全，因为只要不丢失是万无一失的；而手机动态口令、移动口令牌等也很安全，但容易被偷窥；生物识别安全等级最高，但目前尚未全面推广开来。基于主流的安全支付产品与方案特点，可以看出：现有的电子银行支付安全产品与解决方案存在的主要问题与不足，具体体现在：安全性差异不大：无论是手机音频盾，还是安全芯片手机盾，都属于物理介质U-key解决方案，整体安全性依赖于外部的硬件设备。成本优势不明显：U盾、手机音频盾，都需要客户在银行花钱单独购买，代价不菲，而专用的安全芯片手机盾提高了手机用户的使用门槛。便捷性差、体验不好：客户个人安全信息载体在硬件U-key内，交易时用户必须随身单独携带设备，使用中仍有不便。通用性差：U盾主要用在网上银行身份认证与交易场景；音频盾主要用于手机支付身份验证环节，产品在支撑场景应用上缺乏通用性。
技术实现思路
专利技术的目的：为了提供一种效果更好的新型安全性IC卡和系统及方法，具体目的见具体实施部分的多个实质技术效果。为了达到如上目的，本专利技术采取如下技术方案：一种新型安全性IC卡，其特征在于，通过在金融IC卡内集成用户安全信息应用，内置客户PKI数字证书和密钥，可与手机端电脑端进行安全通讯，并进行证书认证和数据安全通讯，从而完成用户身份认证和交易认证；在现有的金融IC卡中，加载U-key应用(APP)，用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互，完成客户身份认证、交易认证等功能。本专利技术进一步技术方案在于，在卡片式本体结构上集成了用于数据交互的NFC模块、安全芯片和用于身份认证的UKey应用模块等；所属安全芯片包括用于存储用户身份认证信息的UKey信息存储区、用于身份信息加解密处理的UKey应用算法区和用于身份信息处理的UKey应用执行区。本专利技术进一步技术方案在于，在金融IC卡原有的金融应用和行业应用基础上，创建一个新的安全应用(UKey应用)，存放由银行签发的客户个人PKI数字证书、密钥和用户设置的PIN口令等。安全应用与借贷记金融应用共存于一张IC卡中，所有应用采用Applet方式实现，各应用之间相互独立，互不干扰，在应用内部各自遵循自定义的应用流程和安全机制，真正意义上实现了金融IC卡的“一卡多用”。本专利技术进一步技术方案在于，所述的IC卡包含射频接口部分、数字电路部分和存储器部分。本专利技术进一步技术方案在于，所述的IC卡的安全芯片，所述的安全芯片包含双向无法访问的金融IC卡模块和UKey应用模块，所述的金融IC卡模块包含金融IC数据存储区、金融IC卡执行区、金融应用算法区；其中的金融IC卡执行区能够调用金融应用算法区；UKey应用模块包含UKey应用算法区、UKey应用执行区、UKey信息存储区；UKey应用执行区能够调用UKey应用算法区，UKey应用执行区用来验证数字身份信息，UKey信息存储区能够用来发卡写入数字身份信息。IC卡集成UKey应用的方法，其特征在于，开始后，卡片认证是发起APDU指令认证请求和金融IC卡双向认证，金融IC卡能返回认证结果；卡片认证后进入UKey应用Applet注册，发起APDU指令应用注册请求，金融IC卡的安全芯片注册Applet并授权，随后返回注册结果；UKey应用Applet注册后进入UKey应用写入卡片，发起APDU指令应用创建请求，金融IC卡的安全芯片创建Applet，返回创建结果；安全芯片创建Applet后建立UKey信息本文档来自技高网...

【技术保护点】
1.一种新型安全性IC卡，其特征在于，通过在金融IC卡内集成用户安全信息应用，内置客户PKI数字证书和密钥，可与手机端电脑端进行安全通讯，并进行证书认证和数据安全通讯，从而完成用户身份认证和交易认证；/n在现有的金融IC卡中，加载U-key应用(APP)，用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互，完成客户身份认证、交易认证等功能。/n

【技术特征摘要】
1.一种新型安全性IC卡，其特征在于，通过在金融IC卡内集成用户安全信息应用，内置客户PKI数字证书和密钥，可与手机端电脑端进行安全通讯，并进行证书认证和数据安全通讯，从而完成用户身份认证和交易认证；
在现有的金融IC卡中，加载U-key应用(APP)，用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互，完成客户身份认证、交易认证等功能。


2.如权利要求1所述的一种新型安全性IC卡，其特征在于，在卡片式本体结构上集成了用于数据交互的NFC模块、安全芯片和用于身份认证的UKey应用模块等；所属安全芯片包括用于存储用户身份认证信息的UKey信息存储区、用于身份信息加解密处理的UKey应用算法区和用于身份信息处理的UKey应用执行区。


3.如权利要求1所述的一种新型安全性IC卡，其特征在于，在金融IC卡原有的金融应用和行业应用基础上，创建一个新的安全应用(UKey应用)，存放由银行签发的客户个人PKI数字证书、密钥和用户设置的PIN口令等；安全应用与借贷记金融应用共存于一张IC卡中，所有应用采用Applet方式实现，各应用之间相互独立，互不干扰，在应用内部各自遵循自定义的应用流程和安全机制，真正意义上实现了金融IC卡的“一卡多用”。


4.如权利要求1所述的一种新型安全性IC卡，其特征在于，所述的IC卡包含射频接口部分、数字电路部分和存储器部分。


5.如权利要求1所述的一种新型安全性IC卡，其特征在于，所述的IC卡的安全芯片，所述的安全芯片包含双向无法访问的金融IC卡模块和UKey应用模块，所述的金融IC卡模块包含金融IC数据存储区、金融IC卡执行区、金融应用算法区；其中的金融IC卡执行区能够调用金融应用算法区；UKey应用模块包含UKey应用算法区、UKey应用执行区、UKey信息存储区；UKey应用执行区能够调用UKey应用算法区，UKey应用执行区用来验证数字身份信息，UKey信息存储区能够用来发卡写入数字身份信息。


6.IC卡集成UKey应用的方法，其特征在于，开始后，卡片认证是发起APDU指令认证请求和金融IC卡双向认证，金融IC卡能返回认证结果；
卡片认证后进入UKey应用Applet注册，发起APDU指令应用注册请求，金融IC卡的安全芯片注册Applet并授权，随后返回注册结果；
UKey应用Applet注册后进入UKey应用写入卡片，发起APDU指令应用创建请求，金融IC卡的安全芯片创建Applet，返回创建结果；
安全芯片创建Applet后建立UKey信息存储区、算法区和执行区，灌入UKey算法；结束。


7.如权利要求6所述的IC卡集成UKey应用的方法，其特征在于，还包含如下设计：
7.1应用扩展功能：



7.2认证后台功能设计：
◆接入层模块功能设计
通讯接入：接收受理渠道发起的交易请求，报文格式如下：






报文解析解密；对报文进行解密，对报文协议和数据进行转换；
策略检查：调用策略管理模块接口，获取要执行的策略信息；策略信息包括IP策略、时间策略等；如果策略检查未通过，则返回具体错误信息响应报文；
访问控制检查：检查报文发起对象是否已在身份认证系统注册并开通业务，如果没开通，则流程结束，返回具体错误信息响应报文给受理渠道；
交易转发：交易转发给签约绑定处理模块处理；
◆安全服务模块功能设计：
检查IC卡介质签约是否绑定：获取介质签约绑定信息，如果记录不存在，则流程结束，返回具体错误信息响应报文给受理渠道；
检查证书状态：获取证书状态和有效性，如果证书状态非正常，则流程结束，返回具体错误信息响应报文给受理渠道；
身份认证：调用基础服务调度模块签名验证接口，进行验签，如果验签不成功，则流程结束，返回具体错误信息响应报文给受理渠道；
日志处理：调用审计监控模块存储身份信息比对相关日志信息；返回信息加密签名，签名...

【专利技术属性】
技术研发人员：陆权，靳浩春，王永建，冷广玲，
申请(专利权)人：青岛信安智融科技有限公司，
类型：发明
国别省市：山东;37