移動終端中基于外部安全模塊實現身份驗證的系統及方法

移動終端中基于外部安全模塊實現身份驗證的系統及方法
【專利摘要】本發明涉及一種移動終端中基于外部安全模塊實現身份驗證的系統，其包括智能移動終端、智能IC卡和外部安全模塊，本發明還提供了一種移動終端中基于外部安全模塊實現身份驗證的方法，可以利用智能移動終端對外部安全模塊和智能IC卡進行初始化以及利用外部安全模塊代替PIN碼進行身份驗證，其中，外部安全模塊和智能IC卡之間以及智能IC卡和智能移動終端之間均通過無線通訊技術進行通訊。采用本發明的移動終端中基于外部安全模塊實現身份驗證的系統及方法，避免了黑客或釣魚軟件通過智能終端截獲PIN密碼，解決了PIN碼被移動終端上的木馬軟件或釣魚軟件泄露的技術問題，從而確保了用戶的賬戶安全，具有更廣泛的應用范圍。
【專利說明】移動終端中基于外部安全模塊實現身份驗證的系統及方法
【技術領域】
[0001]本發明涉及無線通信【技術領域】，尤其涉及支持近場通訊的智能移動終端的身份驗證領域，具體是指一種移動終端中基于外部安全模塊實現身份驗證的系統及方法。
【背景技術】
[0002]隨著移動互聯網的迅速發展和通訊技術的成熟，由飛利浦公司和索尼公司共同開發的NFC技術是一種非接觸式識別和互聯技術，可以在移動設備、消費類電子產品、PC和智能控件工具間進行近距離無線通信。NFC技術將非接觸讀卡器、非接觸卡和點對點功能整合進一塊單芯片，讓擁有內置NFC芯片的智能移動終端可以作為讀卡器進行讀取非接觸式智能IC卡，即人們常說的“刷卡”。用戶使用帶有NFC功能的智能移動終端進行“刷卡”時需要對用戶進行身份識別與驗證，目前流行的認證方式大都基于“what you know”的認證方式，即用戶通過應用程序在智能終端上使用軟鍵盤或手勢鍵盤輸入PIN碼來進行認證用戶的身份，針對智能移動終端的木馬和釣魚軟件的出現，很容易造成PIN碼泄露，給用戶帶來損失。為了防止PIN碼被第三方截獲，現有技術中出現了許多保護措施。例如在手機上出現的軟鍵盤隨機排放且每次都不相同；再比如，使用數據加密技術對PIN進行加密，和智能卡的通信的數據是加密了的，但是這兩種方法并不能從根本上保證PIN碼不被泄露。

【發明內容】

[0003]本發明的目的是克服了上述現有技術的缺點，提供了一種通過采用外部安全模塊代替個人密碼進行身份驗證實現了避免由于智能移動終端中PIN碼被截獲而引起的安全風險、結構簡單、通訊方便、易于實現、安全性強的移動終端中基于外部安全模塊實現身份驗證的系統及方法。
[0004]為了實現上述目的，本發明的移動終端中基于外部安全模塊實現身份驗證的系統及方法具有如下構成:
[0005]該移動終端中基于外部安全模塊實現身份驗證的系統，其主要特點是，所述的系統包括智能移動終端、外部安全模塊和智能IC卡。
[0006]所述的智能移動終端，用以在系統初始化中透傳加密算法和PIN碼至智能IC卡和外部安全模塊，以及在身份驗證時透傳智能IC卡和外部安全模塊之間的通訊信息；
[0007]所述的智能IC卡，用以在系統初始化中利用加密算法加密PIN碼并保存以及在身份驗證時產生隨機數、采用加密算法對外部安全模塊加密的密文進行解密并且通過保存的PIN碼與密文解密的PIN碼的比較進行身份驗證；
[0008]所述的外部安全模塊，用以在系統初始化中利用加密算法加密PIN碼并保存以及在身份驗證時利用加密算法將所述的隨機數和保存的PIN碼加密成密文。
[0009]該移動終端中基于外部安全模塊實現身份驗證的系統中，所述的加密技術為對稱加密或非對稱加密。所述的智能IC卡和外部安全模塊均是非接觸式的智能卡。
[0010]本發明還提供一種移動終端中基于外部安全模塊實現身份驗證的方法，該方法包括智能IC卡和外部安全模塊的初始化以及外部安全模塊的身份驗證。
[0011]所述的智能IC卡和外部安全模塊的初始化，包括以下步驟:
[0012](11)所述的智能移動終端獲取加密算法和用戶輸入的PIN碼；
[0013](12)所述的智能移動終端將所述的加密算法和PIN碼轉發至所述的智能IC卡和外部安全模塊；
[0014](13)所述的智能IC卡和外部安全模塊分別利用所述的加密算法加密PIN碼并保存；
[0015]所述的外部安全模塊的身份驗證，包括以下步驟:
[0016](21)所述的智能IC卡生成隨機數；
[0017](22)所述的智能移動終端轉發所述的隨機數至所述的外部安全模塊；
[0018](23)所述的外部安全模塊加密所述的隨機數和加密后的PIN碼的混合體形成密文，并發送至所述的智能移動終端；
[0019](24)所述的智能移動終轉發所述的密文至所述的智能IC卡；
[0020](25)所述的智能IC卡利用所述的加密算法解密密文得到PIN碼并判斷解密得到的PIN碼與本地保存的PIN碼是否相同，如果是，則身份驗證通過，否則身份驗證失敗。
[0021]該移動終端中基于外部安全模塊實現身份驗證的方法中，所述的智能移動終端從所述的智能IC卡的發卡機構獲取發卡機構選擇的加密算法和用戶輸入的PIN碼，所述的智能移動終端設置為讀卡器模式，所述的外部安全模塊和所述的智能IC卡之間以及所述的智能IC卡和智能移動終端之間均通過NFC技術進行通訊。
[0022]采用了移動終端中基于外部安全模塊實現身份驗證的系統，通過利用外部安全模塊代替PIN碼進行智能移動終端的身份驗證，避免了黑客或釣魚軟件通過智能終端截獲PIN密碼而引起的安全風險，解決了 PIN碼被移動終端上的木馬軟件或釣魚軟件泄露的技術問題，從而確保了用戶的賬戶安全，具有更廣泛的應用范圍。
【專利附圖】

【附圖說明】
[0023]圖1為本發明的移動終端中基于外部安全模塊實現身份驗證的系統的結構示意圖。
[0024]圖2為本發明的移動終端中基于外部安全模塊實現身份驗證的方法的總流程圖。
[0025]圖3為本發明的移動終端中基于外部安全模塊實現身份驗證的方法的智能IC卡和外部安全模塊初始化流程圖。
[0026]圖4為本發明的移動終端中基于外部安全模塊實現身份驗證的方法的外部安全模塊身份驗證流程圖。
【具體實施方式】
[0027]為了能夠更清楚地描述本發明的技術內容，下面結合具體實施例來進行進一步的描述。
[0028]請參閱圖1所示，本發明的移動終端中基于外部安全模塊實現身份驗證的系統的結構示意圖。
[0029]在一種實施方式中，該移動終端中基于外部安全模塊實現身份驗證的系統包括智能移動終端、智能IC卡和外部安全模塊。
[0030]所述的智能IC卡，用以在系統初始化中利用加密算法加密PIN碼并保存以及在身份驗證時產生隨機數、采用加密算法對外部安全模塊加密的密文進行解密并且通過保存的PIN碼與密文解密的PIN碼的比較進行身份驗證。
[0031]所述的智能IC卡，用以在系統初始化中利用加密算法加密PIN碼并保存以及在身份驗證時產生隨機數、采用加密算法對外部安全模塊加密的密文進行解密并且通過保存的PIN碼與密文解密的PIN碼的比較進行身份驗證。
[0032]所述的外部安全模塊，用以在系統初始化中利用加密算法加密PIN碼并保存以及在身份驗證時利用加密算法將所述的隨機數和保存的PIN碼加密成密文。
[0033]其中，所述的加密算法為對稱加密或非對稱加密算法。
[0034]移動終端中基于外部安全模塊實現身份驗證的方法，如圖2所示，所述的方法包括智能IC卡和外部安全模塊的初始化以及外部安全模塊的身份驗證。
[0035]所述的智能IC卡和外部安全模塊的初始化，如圖3所示，包括以下步驟:
[0036](11)所述的智能移動終端獲取加密算法和用戶輸入的PIN碼；
[0037](12)所述的智能移動終端將所述的加密算法和PIN碼轉發至所述的智能IC卡和外部安全模塊；
[0038](13)所述的智能IC卡和外部安全模塊分別利用所述的加密算法加密PIN碼并保存；
[0039]所述的外部安全模塊的身份驗證，如圖4所示，包括以下步驟:
[0040](21)所述的智能IC卡生成隨機數；
[0041](22)所述的智能移動終端轉發所述的隨機數至所述的外部安全模塊；
[0042](23)所述的外部安全模塊加密所述的隨機數和加密后的PIN碼的混合體形成密文，并發送至所述的智能移動終端；
[0043](24)所述的智能移動終轉發所述的密文至所述的智能IC卡；
[0044](25)所述的智能IC卡利用加密算法解密密文得到PIN碼并判斷解密得到的PIN碼與本地保存的PIN碼是否相同，如果是，則身份驗證通過，否則身份驗證失敗。
[0045]本發明在具體實現時，如圖1所示，可以將所述的外部安全模塊封裝于非接觸式智能卡中，所述的智能IC卡為非接觸式智能卡，所述的智能移動終端設置為讀卡器模式，所述的外部安全模塊和所述的智能IC卡之間以及所述的智能IC卡和智能移動終端之間均通過NFC技術進行通訊。另外，所述的智能移動終端是從所述的智能IC卡的發卡機構獲取發卡機構選擇的加密算法和用戶輸入的PIN碼。
[0046]本發明的上述方法，為了避免PIN碼被盜存在的安全風險，將智能移動終端中的安全模塊移出作為外部安全模塊，從而代替PIN碼進行身份驗證，抵擋了智能移動終端的木馬和釣魚軟件的假冒攻擊和重放攻擊。只需將外部安全模塊于便攜式異形卡中，就可以隨時隨地進行驗證身份，為了能夠有效抵抗假冒攻擊和重放攻擊，本發明采用了挑戰應答機制。
[0047]采用了本發明的基于外部安全模塊的智能移動終端身份驗證系統，通過利用外部安全模塊代替PIN碼進行智能移動終端的身份驗證，避免了黑客或釣魚軟件通過智能終端截獲PIN密碼而引起的安全風險，解決了 PIN碼被移動終端上的木馬軟件或釣魚軟件泄露的技術問題，從而確保了用戶的賬戶安全，具有更廣泛的應用范圍。
[0048]在此說明書中，本發明已參照其特定的實施例作了描述。但是，很顯然仍可以作出各種修改和變換而不背離本發明的精神和范圍。因此，說明書和附圖應被認為是說明性的而非限制性的。
【權利要求】
1.一種移動終端中基于外部安全模塊實現身份驗證的系統，其特征在于，所述的系統包括: 智能移動終端，用以在系統初始化中透傳加密算法和PIN碼至智能IC卡和外部安全模塊，以及在身份驗證時透傳智能IC卡和外部安全模塊之間的通訊信息； 智能IC卡，用以在系統初始化中利用加密算法加密PIN碼并保存以及在身份驗證時產生隨機數、采用加密算法對外部安全模塊加密的密文進行解密并且通過保存的PIN碼與密文解密的PIN碼的比較進行身份驗證； 外部安全模塊，用以在系統初始化中利用加密算法加密PIN碼并保存以及在身份驗證時利用加密算法將所述的隨機數和保存的PIN碼加密成密文。
2.根據權利要求1所述的移動終端中基于外部安全模塊實現身份驗證的系統，其特征在于，所述的加密算法為對稱加密或非對稱加密。
3.根據權利要求1所述的移動終端中基于外部安全模塊實現身份驗證的系統，其特征在于，所述的智能IC卡和外部安全模塊均為非接觸式的智能卡。
4.一種通過權利要求1所述的系統在移動終端中基于外部安全模塊實現身份驗證的方法，其特征在于，所述的方法包括智能IC卡和外部安全模塊的初始化以及外部安全模塊的身份驗證； 所述的智能IC卡和外部安全模塊的初始化，包括以下步驟: (11)所述的智能移動終端獲取加密算法和用戶輸入的PIN碼； (12)所述的智能移動終端將所述的加密算法和PIN碼轉發至所述的智能IC卡和外部安全模塊； (13)所述的智能IC卡和外部安全模塊分別利用所述的加密算法加密PIN碼并保存； 所述的外部安全模塊的身份驗證，包括以下步驟: (21)所述的智能IC卡生成隨機數； (22)所述的智能移動終端轉發所述的隨機數至所述的外部安全模塊； (23)所述的外部安全模塊加密所述的隨機數和加密后的PIN碼的混合體形成密文，并發送至所述的智能移動終端； (24)所述的智能移動終轉發所述的密文至所述的智能IC卡； (25)所述的智能IC卡利用加密算法解密密文得到PIN碼并判斷解密得到的PIN碼與本地保存的PIN碼是否相同，如果是，則身份驗證通過，否則身份驗證失敗。
5.根據權利要求4所述的移動終端中基于外部安全模塊實現身份驗證的方法，其特征在于，所述的智能移動終端獲取加密算法和用戶輸入的PIN碼，具體為: 所述的智能移動終端從所述的智能IC卡的發卡機構獲取發卡機構選擇的加密算法和用戶輸入的PIN碼。
6.根據權利要求4所述的移動終端中基于外部安全模塊實現身份驗證的方法，其特征在于，所述的步驟(11)和(12)之間，還包括以下步驟: (111)將所述的智能移動終端設置為讀卡器工作模式。
7.根據權利要求4所述的基于外部安全模塊的智能移動終端身份驗證的方法，其特征在于，所述的外部安全模塊和所述的智能IC卡之間以及所述的智能IC卡和智能移動終端之間均通過NFC技術進行通訊。
【文檔編號】H04W12/06GK103945381SQ201410174712
【公開日】2014年7月23日 申請日期:2014年4月28日 優先權日:2014年4月28日
【發明者】胡永濤, 屈新春, 胥怡心, 曹書文 申請人:公安部第三研究所