基于外部認證模塊和個人密碼實現身份驗證的系統及方法技術方案

本發明專利技術涉及一種基于外部認證模塊和個人密碼實現身份驗證的系統，該系統包括認證管理客戶端、安全模塊和外部認證模塊；本發明專利技術還涉及一種基于外部認證模塊和個人密碼實現身份驗證的方法，認證管理客戶端根據安全模塊轉發的外部認證模塊得出的校驗結果選擇性地命令所述的安全模塊和外部認證模塊進行綁定、認證和解除綁定。采用本發明專利技術的基于外部認證模塊和個人密碼實現身份驗證的系統及方法，借助于外部認證模塊高強度的安全加密機制進行身份驗證，避免密碼被盜存在的安全風險，即使PIN碼被盜取，沒有異型智能卡也不能激活SE模塊，確保用戶的賬戶安全，為在移動設備上進行身份驗證提供了極大的便利，應用簡便，具有更廣泛的應用范圍。

【技術實現步驟摘要】
基于外部認證模塊和個人密碼實現身份驗證的系統及方法
本專利技術涉及信息安全領域，尤其涉及近場通信功能的設備上身份驗證領域，具體是指一種基于外部認證模塊和個人密碼實現身份驗證的方法。
技術介紹
隨著移動互聯網迅速發展和NFC(NearFieldCommunication，近場通訊)技術的成熟，智能移動通信終端，如智能手機等成為人們經常使用的近場支付工具。現有技術的移動支付業務大多遵循13.56MHZ的無線通信協議標準，為了適應不同用戶使用，芯片廠商開發了帶硬件安全模塊(SE模塊，SecurityModule)的NFC-SIM(SubscriberIdentityModule，用戶身份識別)卡或NFC全卡。現有移動支付終端設備的安全依賴于終端上的硬件安全模塊(SE模塊)，這種SE模塊可采用SIM(SubscriberIdentityModule，用戶身份識別)卡或嵌入終端主板上的獨立的安全芯片等形式。用戶使用帶有NFC功能的智能手機進行支付時手機上的SE模塊需要對用戶進行身份識別與驗證，目前流行的認證方式大都基于“whatyouknow”的認證方式，即用戶在APP(Application，應用程序)上輸入PIN碼(PersonalIdentificationNumber，個人識別號碼)或手勢密碼來進行認證用戶的身份，因為SE模塊一直處于激活狀態，一旦APP被劫持，黑客可以隨時轉移發起資金轉移，給用戶帶來損失。
技術實現思路
本專利技術的目的是克服了上述現有技術的缺點，提供了一種能夠實現借助于外部認證模塊高強度的安全加密機制進行身份驗證、避免密碼被盜存在的安全風險、確保用戶的賬戶安全、具有更廣泛應用范圍的基于外部認證模塊和個人密碼實現身份驗證的方法。為了實現上述目的，本專利技術的基于外部認證模塊和個人密碼實現身份驗證的系統及方法具有如下構成：該基于外部認證模塊和個人密碼實現身份驗證的系統，其主要特點是，所述的系統包括：認證管理客戶端，用以發送個人密碼驗證指令至安全模塊，并根據所述的安全模塊轉發的校驗結果選擇性地命令所述的安全模塊和外部認證模塊進行綁定、認證和解除綁定；安全模塊，用以將所述的個人密碼驗證指令轉發至外部認證模塊，并將所述的外部認證模塊反饋的校驗結果轉發至所述的認證管理客戶端；外部認證模塊，用以校驗所述的個人密碼驗證指令并將所述的校驗結果反饋至所述的安全模塊。進一步地，所述的外部認證模塊包括認證存儲單元、認證執行單元和認證通信單元，其中：所述的認證存儲單元，用以存儲用于認證的設備數字證書以及個人密碼；所述的認證執行單元，用以根據所述的存儲單元中的個人密碼校驗所述的個人密碼驗證指令，并根據所述的認證管理客戶端的認證指令與所述的安全模塊進行認證；所述的認證通信單元，用以與所述的安全模塊進行通信。進一步地，所述的安全模塊包括安全存儲單元、執行認證單元和安全通信單元，其中：所述的安全存儲單元，用以存儲所述的外部認證模塊發送的設備數字證書；所述的執行認證單元，用以根據所述的認證管理客戶端的認證指令與所述的外部認證模塊進行認證；所述的安全通信單元，用以與所述的外部認證模塊進行通信。進一步地，所述的認證管理客戶端包括信息獲取單元和界面顯示單元，其中：所述的信息獲取單元，用以獲取用戶輸入的個人密碼信息和認證界面操作信息；所述的界面顯示單元，用以顯示認證界面和各類提示。其中，所述的安全模塊和外部認證模塊之間通過NFC技術進行通信，所述的外部認證模塊為戒指形狀的異形卡。。此外，本專利技術還提供一種實現基于外部認證模塊和個人密碼的身份綁定方法，其主要特點是，所述的方法包括以下步驟：(1)所述的認證管理客戶端發送所述的個人密碼驗證指令至所述的安全模塊；(2)所述的安全模塊將所述的個人密碼驗證指令轉發至所述的外部認證模塊；(3)所述的外部認證模塊校驗所述的個人密碼驗證指令并將所述的校驗結果反饋至所述的安全模塊；(4)所述的安全模塊將所述的校驗結果轉發至所述的認證管理客戶端；(5)所述的認證管理客戶端根據所述的校驗結果選擇性地將所述的安全模塊和所述的外部認證模塊進行綁定。進一步地，所述的認證管理客戶端根據所述的校驗結果選擇性地將所述的安全模塊和所述的外部認證模塊進行綁定，包括以下步驟：(5.1)所述的認證管理客戶端判斷所述的校驗結果是否為個人密碼驗證失敗；(5.2)如果判斷結果是校驗結果為個人密碼驗證失敗，則繼續步驟(5.3)，否則繼續步驟(5.4)；(5.3)所述的認證管理客戶端顯示個人密碼輸入錯誤的提示信息；(5.4)所述的認證管理客戶端發送數字證書讀取指令至所述的安全模塊；(5.5)所述的安全模塊將所述的數字證書讀取指令轉發至所述的外部認證模塊；(5.6)所述的外部認證模塊將所述的讀取數字證書指令對應的設備數字證書的數據發送至所述的安全模塊；(5.7)所述的安全模塊將所述的設備數字證書的數據轉發至所述的認證管理客戶端；(5.8)所述的認證管理客戶端將所述的設備數字證書的數據寫入所述的安全模塊。另外，本專利技術還提供一種實現基于外部認證模塊和個人密碼的身份認證方法，其主要特點是，所述的方法包括以下步驟：(a)所述的認證管理客戶端發送所述的個人密碼驗證指令至所述的安全模塊；(b)所述的安全模塊將所述的個人密碼驗證指令轉發至所述的外部認證模塊；(c)所述的外部認證模塊校驗所述的個人密碼驗證指令并將所述的校驗結果反饋至所述的安全模塊；(d)所述的安全模塊將所述的校驗結果轉發至所述的認證管理客戶端；(e)所述的認證管理客戶端根據所述的校驗結果選擇性地命令所述的安全模塊與所述的外部認證模塊進行認證。進一步地，所述的認證管理客戶端根據所述的校驗結果選擇性地命令所述的安全模塊與所述的外部認證模塊進行認證，包括以下步驟：(e.1)所述的認證管理客戶端判斷所述的校驗結果是否為個人密碼驗證失敗；(e.2)如果判斷結果是校驗結果為個人密碼驗證失敗，則繼續步驟(e.3)，否則繼續步驟(e.4)；(e.3)所述的認證管理客戶端顯示個人密碼輸入錯誤的提示信息；(e.4)所述的認證管理客戶端發送認證指令至所述的安全模塊；(e.5)所述的安全模塊將所述的認證指令轉發至所述的外部認證模塊；(e.6)所述的外部認證模塊將所述的認證指令對應的認證數據發送至所述的安全模塊；(e.7)所述的安全模塊根據內部已綁定的設備數字證書校驗所述的認證數據；(e.8)所述的安全模塊根據校驗結果選擇性地激活安全支付功能。更進一步地，所述的安全模塊根據校驗結果選擇性地激活安全支付功能，包括以下步驟：(e.8.1)所述的安全模塊判斷所述的校驗結果是否為用戶認證成功，如果是，則繼續步驟(e.8.2)，否則繼續步驟(e.8.3)；(e.8.2)所述的安全模塊激活安全支付功能；(e.8.3)所述的安全模塊將用戶認證失敗的信息發送至所述的認證管理客戶端；(e.8.4)所述的認證管理客戶端顯示用戶認證失敗的提示信息。進一步地，所述的步驟(a)之前，還包括以下步驟：(0.a)所述的安全模塊判斷在默認范圍內是否存在所述的外部認證模塊，如果是則繼續步驟(0.b)，否則重復步驟(0.a)；(0.b)所述的安全模塊將顯示界面指令發送至所述的認證管理客戶端；(0.c)所述的認證管理客戶端顯示所述的認證界面。更進本文檔來自技高網...

【技術保護點】
一種基于外部認證模塊和個人密碼實現身份驗證的系統，其特征在于，所述的系統包括：認證管理客戶端，用以發送個人密碼驗證指令至安全模塊，并根據所述的安全模塊轉發的校驗結果選擇性地命令所述的安全模塊和外部認證模塊進行綁定、認證和解除綁定；安全模塊，用以將所述的個人密碼驗證指令轉發至外部認證模塊，并將所述的外部認證模塊反饋的校驗結果轉發至所述的認證管理客戶端；外部認證模塊，用以校驗所述的個人密碼驗證指令并將所述的校驗結果反饋至所述的安全模塊。

【技術特征摘要】
1.一種基于外部認證模塊和個人密碼實現身份驗證的系統，其特征在于，所述的系統包括：認證管理客戶端，用以發送個人密碼驗證指令至安全模塊，并根據所述的安全模塊轉發的校驗結果選擇性地命令所述的安全模塊和外部認證模塊進行綁定、認證和解除綁定；安全模塊，用以將所述的個人密碼驗證指令轉發至外部認證模塊，并將所述的外部認證模塊反饋的校驗結果轉發至所述的認證管理客戶端；外部認證模塊，用以校驗所述的個人密碼驗證指令并將所述的校驗結果反饋至所述的安全模塊，所述的安全模塊包括安全存儲單元、執行認證單元和安全通信單元，其中：所述的安全存儲單元，用以存儲所述的外部認證模塊發送的設備數字證書；所述的執行認證單元，用以根據所述的認證管理客戶端的認證指令與所述的外部認證模塊進行認證；所述的安全通信單元，用以與所述的外部認證模塊進行通信。2.根據權利要求1所述的基于外部認證模塊和個人密碼實現身份驗證的系統，其特征在于，所述的外部認證模塊包括認證存儲單元、認證執行單元和認證通信單元，其中：所述的認證存儲單元，用以存儲用于認證的設備數字證書以及個人密碼；所述的認證執行單元，用以根據所述的認證存儲單元中的個人密碼校驗所述的個人密碼驗證指令，并根據所述的認證管理客戶端的認證指令與所述的安全模塊進行認證；所述的認證通信單元，用以與所述的安全模塊進行通信。3.根據權利要求1所述的基于外部認證模塊和個人密碼實現身份驗證的系統，其特征在于，所述的認證管理客戶端包括信息獲取單元和界面顯示單元，其中：所述的信息獲取單元，用以獲取用戶輸入的個人密碼信息和認證界面操作信息；所述的界面顯示單元，用以顯示認證界面和各類提示。4.根據權利要求1至3中任一項所述的基于外部認證模塊和個人密碼實現身份驗證的系統，其特征在于，所述的安全模塊和外部認證模塊之間通過NFC技術進行通信。5.根據權利要求4所述的基于外部認證模塊和個人密碼實現身份驗證的系統，其特征在于，所述的外部認證模塊為戒指形狀的異形卡。6.一種利用權利要求1至3中任一項所述的系統實現基于外部認證模塊和個人密碼的身份綁定方法，其特征在于，所述的方法包括以下步驟：(1)所述的認證管理客戶端發送所述的個人密碼驗證指令至所述的安全模塊；(2)所述的安全模塊將所述的個人密碼驗證指令轉發至所述的外部認證模塊；(3)所述的外部認證模塊校驗所述的個人密碼驗證指令并將所述的校驗結果反饋至所述的安全模塊；(4)所述的安全模塊將所述的校驗結果轉發至所述的認證管理客戶端；(5)所述的認證管理客戶端根據所述的校驗結果選擇性地將所述的安全模塊和所述的外部認證模塊進行綁定。7.根據權利要求6所述的實現基于外部認證模塊和個人密碼的身份綁定方法，其特征在于，所述的認證管理客戶端根據所述的校驗結果選擇性地將所述的安全模塊和所述的外部認證模塊進行綁定，包括以下步驟：(5.1)所述的認證管理客戶端判斷所述的校驗結果是否為個人密碼驗證失敗；(5.2)如果判斷結果是校驗結果為個人密碼驗證失敗，則繼續步驟(5.3)，否則繼續步驟(5.4)；(5.3)所述的認證管理客戶端顯示個人密碼輸入錯誤的提示信息；(5.4)所述的認證管理客戶端發送數字證書讀取指令至所述的安全模塊；(5.5)所述的安全模塊將所述的數字證書讀取指令轉發至所述的外部認證模塊；(5.6)所述的外部認證模塊將所述的數字證書讀取指令對應的設備數字證書的...

【專利技術屬性】
技術研發人員：胥怡心，胡永濤，屈新春，
申請(專利權)人：公安部第三研究所，
類型：發明
國別省市：上海;31