基于遠近場數據交互的用戶身份安全認證設備及認證方法技術

本發明專利技術涉及遠近程通信及數據安全技術，旨在解決現有技術很難保障遠近程數據交互的安全性問題，提出一種基于用戶身份的安全認證而實現的移動支付和虛擬號免漫游及多號多信道提升網速的方法。本發明專利技術通過更換集成本系統認證功能的Micro-sd或U/SIM卡以增強手機對木馬的抵抗力并使得智能手機可全面POS化。近場支付，本系統服務器向手機POS下發認證數據，并由手機POS向服務器中轉支付手機的限時反饋認證數據，所傳回數據與服務器的數據相同才能通過身份認證；遠程支付，通過本系統對用戶身份碼的兩次認證防堵遠端盜取用戶數據的途徑，同時提出一套對虛擬號碼遠端鑒權的安全保障流程，從而實現虛擬號碼的免漫游應用和多虛擬號多載波的網速提升。

【技術實現步驟摘要】

本專利技術涉及身份安全認證全技術，特別涉及一種基于遠近場數據交互的用戶身份安全認證技術。
技術介紹
隨著全球經濟的蓬勃發展及各類活動的國際化、扁平化，使得國內外交流也日益頻繁，但隨之而來的移動通信漫游費也大幅增長，同時用戶對數據業務的暴發式需求，迫切期望有更快的移動網速。另一方面，隨著智能手機普及和移動網絡快速發展的今天，互聯網金融風聲水起、方興未艾，來自權威數據：2014年商業銀行體系的移動支付金額23萬億元，第三方支付機構移動支付金額達8萬余億元，但同時也面臨POS機數量短缺、受理環境不足以及頻遭木馬病毒盜竊賬戶資金的困境。
技術實現思路
本專利技術的目的是為了解決現有的手機支付安全性不高、POS數量不足以及異地漫游費高和網速欠佳的問題。為達到上述目的，本專利技術提供一種基于遠近場數據交互的用戶身份安全認證方法，其特征在于，包括如下步驟：A.第一終端以業務碼向服務器發起認證請求，認證請求中包括第一終端的身份碼，服務器根據所述第一終端的身份碼對第一終端進行認證，所述第一終端的身份碼為唯一標識第一終端身份的標識信息，所述身份碼與第一終端內置的若干身份密鑰對應，一個身份密鑰對應一個密鑰編號；B.服務器對第一終端身份碼驗證通過后生成隨機碼，然后選取第一終端身份碼對應的任一身份密鑰及其對應加密算法，并以所述身份密鑰及加密算法與所述隨機碼運算后得到第一加密數據，其后將所述第一加密數據和所述身份密鑰對應的密鑰編號以及本次第二終端的動態鑒權次數n發送給第一終端，同時備份所述隨機碼及第一加密數據和動態鑒權次數n，記錄所述隨機碼與第一終端身份碼的對應關系；C.第二終端隨機生成接入碼，當第一終端通過非接觸方式采集所述接入碼后，便觸發第一終端根據接收到的所述密鑰編號查找對應的內置身份密鑰，并利用內置解密算法及所述內置身份密鑰對接收的第一加密數據進行解密運算獲得所述隨機碼，隨后依據所述接入碼通過近場通信將所述隨機碼及動態鑒權運算次數n發送給第二終端，與此同時觸發對第二終端認證數據返回時間的計時或計數；D.第二終端將接收的動態鑒權運算次數的數字n與第二終端內置身份密鑰經其內置鑒權算法運算得到本次變型身份密鑰，然后第二終端根據接收的所述隨機碼與所述變型身份密鑰經所述內置鑒權算法進行第一次鑒權運算得到第一鑒權響應值，隨后再以所述第一鑒權響應與所述變型身份密鑰經所述內置鑒權算法進行第二次鑒權運算得到第二鑒權響應值，再以此第二鑒權響應值與所述變型身份密鑰經所述內置鑒權算法進行第三次鑒權運算得到第三鑒權響應值，以次類推以完成n次鑒權運算后得到第n個鑒權響應值，其后將所述第n個鑒權響應值和第二終端的身份碼發送給第一終端，所述第二終端的身份碼為唯一標識第二終端身份的標識信息，所述身份碼與第二終端的內置身份密鑰唯一對應，第二終端只有一個唯一的內置身份密鑰；E.第一終端任選一內置身份密鑰并以內置加密算法對第二終端返回認證數據的時間或期間的計數脈沖進行加密得到第二加密數據，然后將所述的第n個鑒權響應值、第一終端的身份碼、第二終端的身份碼以及第二加密數據和第二加密數據密鑰對應的密鑰編號發送給服務器；F.服務器接收第一終端發送的數據，服務器根據接收數據中第一終端的身份碼查詢本次第二終端的動態鑒權次數n，同時將接收數據中第二終端身份碼查詢對應的身份密鑰及鑒權算法與所述數字n進行運算得到本次變型身份密鑰，然后將發送給第一終端身份碼的所述備份隨機碼與所述變型身份密鑰經鑒權算法進行第一次鑒權運算得到第一鑒權響應值，再將所述第一鑒權響應值與所述變型身份密鑰經鑒權算法進行第二次鑒權運算得到第二鑒權響應值，又以此第二鑒權響應值與所述變型身份密鑰經鑒權算法進行第三次鑒權運算得到第三鑒權響應值，以次類推以完成n次鑒權運算后得到第n個鑒權響應值，然后將第一終端發送數據中的第一終端身份碼及其密鑰編號查詢的身份密鑰及解密算法與所述第二加密數據進行解密運算得到第二終端的身份認證時間或計數脈沖，若第一終端發送數據中的所述第n個鑒權響應值與服務器經n次鑒權運算后獲得的所述第n個鑒權響應值相同，且對第二加密數據解密得到所述n次動態鑒權對應的時間或計數脈沖小于規定值，則通過對第一終端及第二終端的認證。作為本專利技術的一種應用，所述第一終端為收款終端，所述第二終端為付款終端，服務器向收款終端發送所述第一加密數據時，步驟B中，服務器選取收款終端任一身份密鑰及其算法對隨機碼進行加密得到第一加密數據之后對所述隨機碼及第一加密數據進行備份，同時在收款終端收到釋放近場通信設備及掃描設備閉鎖指令后開啟其數據采集功能，并在采集到接入碼后將其近場通信設備及無線數據通信設備鎖定，以使其不被其他進程修改或關閉，步驟C中，收款終端對服務器發送的第一加密數據備份，步驟E中，收款終端向服務器發送的數據包括交易金額，收款終端完成向服務器發送認證數據后關閉其近場通信設備及掃描設備的數據采集功能，步驟F中，服務器完成對收款終端及付款終端身份認證后，從付款終端綁定的銀行卡中向收款終端綁定的銀行卡或信用卡中劃付交易對應的金額。將本專利技術的方案應用于手機收付款，手機除作為付款終端外還可以作收款終端，有效解決了POS數量不足的問題。進一步地，步驟D中，第二終端在所述接入碼的近場通信中僅能收到一個所述的隨機碼,否則結束進程；步驟F中，交易完成后，服務器以所述備份的第一加密數據作為短信驗證碼向第一終端發送交易回執的短信通知，第一終端將收到所述短信的驗證碼與其備份的第一加密數據進行比對，若兩者不一致，則提示用戶本條短信信息為造假信息。以上的方案主要用于近場通信，理所當然，第一終端及第二終端都必須具備近場通信的功能，常用的近場通信包括NFC、藍牙、wifi及聲波、光波。除支付功能外，本專利技術的方法還可以應用于公交、地鐵刷卡及智能門禁。對應于上述近場數據交互，本專利技術提供的基于遠近場數據交互的用戶身份安全認證第一終端，其特征在于，包括：認證請求模塊，向服務器發起認證請求，認證請求中包括第一終端的身份碼，所述第一終端的身份碼為唯一標識第一終端身份的標識信息，所述身份碼與第一終端內置的若干身份密鑰對應，一個身份密鑰對應一個密鑰編號；解碼模塊，用于對收到數據中的第一加密數據進行備份，同時僅當第一終端掃描設備采集到第二終端的接入碼后，第一終端才對接收到的所述密鑰編號查找其內置身份密鑰，并利用內置解碼算法及所述身份密鑰對收到的第一加密數據進行解碼運算獲得所述隨機碼；終端數據設備鎖定模塊，用于第一終端在采集接入碼后將其本文檔來自技高網...

【技術保護點】
基于遠近場數據交互的用戶身份安全認證方法，其特征在于，包括如下步驟：A.第一終端以業務碼向服務器發起認證請求，認證請求中包括第一終端的身份碼，服務器根據所述第一終端的身份碼對第一終端進行認證，所述第一終端的身份碼為唯一標識第一終端身份的標識信息，所述身份碼與第一終端內置的若干身份密鑰對應，一個身份密鑰對應一個密鑰編號；B.服務器對第一終端身份碼驗證通過后生成隨機碼，然后選取第一終端身份碼對應的任一身份密鑰及其對應加密算法，并以所述身份密鑰及加密算法與所述隨機碼運算后得到第一加密數據，其后將所述第一加密數據和所述身份密鑰對應的密鑰編號以及本次第二終端的動態鑒權次數n發送給第一終端，同時備份所述隨機碼及第一加密數據和動態鑒權次數n，記錄所述隨機碼與第一終端身份碼的對應關系；C.第二終端隨機生成接入碼，當第一終端通過非接觸方式采集所述接入碼后，便觸發第一終端根據接收到的所述密鑰編號查找對應的內置身份密鑰，并利用內置解密算法及所述內置身份密鑰對接收的第一加密數據進行解密運算獲得所述隨機碼，隨后依據所述接入碼通過近場通信將所述隨機碼及動態鑒權運算次數n發送給第二終端，與此同時觸發對第二終端認證數據返回時間的計時或計數；D.第二終端將接收的動態鑒權運算次數的數字n與第二終端內置身份密鑰經其內置鑒權算法運算得到本次變型身份密鑰，然后第二終端根據接收的所述隨機碼與所述變型身份密鑰經所述內置鑒權算法進行第一次鑒權運算得到第一鑒權響應值，隨后再以所述第一鑒權響應值與變型身份密鑰經所述內置鑒權算法進行第二次鑒權運算得到第二鑒權響應值，再以此第二鑒權響應值與所述變型身份密鑰經所述內置鑒權算法進行第三次鑒權運算得到第三鑒權響應值，以次類推以完成n次鑒權運算后得到第n個鑒權響應值，其后將所述第n個鑒權響應值和第二終端的身份碼發送給第一終端，所述第二終端的身份碼為唯一標識第二終端身份的標識信息，所述身份碼與第二終端的內置身份密鑰唯一對應，第二終端只有一個唯一的內置身份密鑰；E.第一終端任選一內置身份密鑰并以內置加密算法對第二終端返回認證數據的時間或期間的計數脈沖進行加密得到第二加密數據，然后將所述的第n個鑒權響應值、第一終端的身份碼、第二終端的身份碼以及第二加密數據和第二加密數據密鑰對應的密鑰編號發送給服務器；F.服務器接收第一終端發送的數據，服務器根據接收數據中第一終端的身份碼查詢本次對第二終端的動態鑒權次數n，同時將接收數據中第二終端身份碼查詢的對應身份密鑰及鑒權算法與所述數字n進行運算得到本次變型身份密鑰，然后將發送給第一終端身份碼的所述備份隨機碼與所述變型身份密鑰經所述鑒權算法進行第一次鑒權運算得到第一鑒權響應值，再將所述第一鑒權響應值與所述變型身份密鑰經所述鑒權算法進行第二次鑒權運算得到第二鑒權響應值，又以此第二鑒權響應值與所述變型身份密鑰經所述鑒權算法進行第三次鑒權運算得到第三鑒權響應值，以次類推以完成n次鑒權運算后得到第n個鑒權響應值，然后將所接收數據中的第一終端身份碼及其密鑰編號查詢的身份密鑰及解密算法與所述第二加密數據進行解密運算得到第二終端的身份認證時間或計數脈沖，若所接收數據中的所述第n個鑒權響應值與服務器經n次鑒權運算后獲得的所述第n個鑒權響應值相同，且對第二加密數據解密后得到所述n次動態鑒權對應的時間或計數脈沖小于規定值，則通過對第一終端及第二終端的認證。...

【技術特征摘要】
1.基于遠近場數據交互的用戶身份安全認證方法，其特征在于，包括如下步驟：
A.第一終端以業務碼向服務器發起認證請求，認證請求中包括第一終端的身份碼，服務
器根據所述第一終端的身份碼對第一終端進行認證，所述第一終端的身份碼為唯一標識第一
終端身份的標識信息，所述身份碼與第一終端內置的若干身份密鑰對應，一個身份密鑰對應
一個密鑰編號；
B.服務器對第一終端身份碼驗證通過后生成隨機碼，然后選取第一終端身份碼對應的任
一身份密鑰及其對應加密算法，并以所述身份密鑰及加密算法與所述隨機碼運算后得到第一
加密數據，其后將所述第一加密數據和所述身份密鑰對應的密鑰編號以及本次第二終端的動
態鑒權次數n發送給第一終端，同時備份所述隨機碼及第一加密數據和動態鑒權次數n，記
錄所述隨機碼與第一終端身份碼的對應關系；
C.第二終端隨機生成接入碼，當第一終端通過非接觸方式采集所述接入碼后，便觸發第
一終端根據接收到的所述密鑰編號查找對應的內置身份密鑰，并利用內置解密算法及所述內
置身份密鑰對接收的第一加密數據進行解密運算獲得所述隨機碼，隨后依據所述接入碼通過
近場通信將所述隨機碼及動態鑒權運算次數n發送給第二終端，與此同時觸發對第二終端認
證數據返回時間的計時或計數；
D.第二終端將接收的動態鑒權運算次數的數字n與第二終端內置身份密鑰經其內置鑒權
算法運算得到本次變型身份密鑰，然后第二終端根據接收的所述隨機碼與所述變型身份密鑰
經所述內置鑒權算法進行第一次鑒權運算得到第一鑒權響應值，隨后再以所述第一鑒權響應
值與變型身份密鑰經所述內置鑒權算法進行第二次鑒權運算得到第二鑒權響應值，再以此第
二鑒權響應值與所述變型身份密鑰經所述內置鑒權算法進行第三次鑒權運算得到第三鑒權響
應值，以次類推以完成n次鑒權運算后得到第n個鑒權響應值，其后將所述第n個鑒權響應
值和第二終端的身份碼發送給第一終端，所述第二終端的身份碼為唯一標識第二終端身份的
標識信息，所述身份碼與第二終端的內置身份密鑰唯一對應，第二終端只有一個唯一的內置
身份密鑰；
E.第一終端任選一內置身份密鑰并以內置加密算法對第二終端返回認證數據的時間或期
間的計數脈沖進行加密得到第二加密數據，然后將所述的第n個鑒權響應值、第一終端的身
份碼、第二終端的身份碼以及第二加密數據和第二加密數據密鑰對應的密鑰編號發送給服務
器；
F.服務器接收第一終端發送的數據，服務器根據接收數據中第一終端的身份碼查詢本次
對第二終端的動態鑒權次數n，同時將接收數據中第二終端身份碼查詢的對應身份密鑰及鑒

\t權算法與所述數字n進行運算得到本次變型身份密鑰，然后將發送給第一終端身份碼的所述
備份隨機碼與所述變型身份密鑰經所述鑒權算法進行第一次鑒權運算得到第一鑒權響應值，
再將所述第一鑒權響應值與所述變型身份密鑰經所述鑒權算法進行第二次鑒權運算得到第二
鑒權響應值，又以此第二鑒權響應值與所述變型身份密鑰經所述鑒權算法進行第三次鑒權運
算得到第三鑒權響應值，以次類推以完成n次鑒權運算后得到第n個鑒權響應值，然后將所
接收數據中的第一終端身份碼及其密鑰編號查詢的身份密鑰及解密算法與所述第二加密數據
進行解密運算得到第二終端的身份認證時間或計數脈沖，若所接收數據中的所述第n個鑒權
響應值與服務器經n次鑒權運算后獲得的所述第n個鑒權響應值相同，且對第二加密數據解
密后得到所述n次動態鑒權對應的時間或計數脈沖小于規定值，則通過對第一終端及第二終
端的認證。
2.如權利要求1所述的基于遠近場數據交互的用戶身份安全認證方法，其特征在于，所
述第一終端為收款終端，所述第二終端為付款終端，服務器向收款終端發送所述第一加密數
據時，步驟B中，服務器選取收款終端任一身份密鑰及其算法對隨機碼進行加密運算得到第
一加密數據之后對所述隨機碼及第一加密數據進行備份，同時在收款終端收到釋放近場通信
設備及掃描設備閉鎖指令后開啟其數據采集功能，并在采集到接入碼后將其近場通信設備及
無線數據通信設備鎖定，以使其不被其他進程修改或關閉，步驟C中，收款終端對服務器發
送的第一加密數據備份，步驟E中，收款終端向服務器發送的數據包括交易金額，收款終端
完成向服務器發送認證數據后關閉其近場通信設備及掃描設備的數據采集功能，步驟F中，
服務器完成對收款終端及付款終端身份認證后，從付款終端綁定的銀行卡中向收款終端綁定
的銀行卡或信用卡中劃付交易對應的金額。
3.如權利要求2所述的基于遠近場數據交互的用戶身份安全認證方法，其特征在于，步
驟D中，第二終端在所述接入碼的近場通信中僅能收到一個所述的隨機碼,否則結束進程；
步驟F中，交易完成后，服務器以所述備份的第一加密數據作為短信驗證碼向第一終端發送
交易回執的短信通知，第一終端將收到所述短信的驗證碼與其備份的第一加密數據進行比對，
若兩者不一致，則提示用戶本條短信信息為造假信息。
4.基于遠近場數據交互的用戶身份安全認證方法，其特征在于，包括如下步驟：
A.移動終端以業務碼向服務器發起認證請求，認證請求信息包括移動終端的身份碼，所
述移動終端的身份碼為唯一標識移動終端身份的標識信息，所述身份碼與移動終端內置身份
密鑰唯一對應，移動終端內置唯一的身份密鑰；
B.服務器在接收認證請求后，生成第一隨機碼并發送給移動終端，同時服務器查詢移動
終端身份碼對應的身份密鑰及其鑒權算法，并以所述身份密鑰及鑒權算法與第一隨機碼進行
運算得到第一鑒權響應值；
C.移動終端將接收的第一隨機碼與其內置身份密鑰及鑒權算法進行運算得到第二鑒權響
應值并發送給服務器，同時啟動步驟E；所述第一次鑒權運算與第二次鑒權運算使用相同的
算法；
D.服務器將所述第一鑒權響應值與接收的第二鑒權響應值進行對比，若兩者一致，則記
錄步驟C移動終端發送第二鑒權響應值時的IP地址，然后進入步驟F，否則結束本次認證流
程；
E.移動終端生成第二隨機碼發往服務器；
F.服務器收到所述第二隨機碼后記錄移動終端的IP地址，并回復移動終端信息已收到；
G.移動終端在收到服務器回復后，將所述第二隨機碼與其內置身份密鑰及鑒權算法進行
運算得到第三鑒權響應值并發送給服務器；
H.若移動終端不能成功地向服務器發送所述第三鑒權響應值，則移動終端向服務器發送
認證失敗短信，移動終端結束本次認證流程；
I.服務器沒有收到移動終端發送認證失敗短信，則進入步驟J，否則結束本次認證進程；
J.服務器將收到的第二隨機碼與所述移動終端身份碼對應的身份密鑰及鑒權算法進行運
算得到第四鑒權響應值；
k.服務器將步驟D與步驟F的IP地址進行對比，若兩者一致，則進入步驟L，若不一
致，則結束本次認證進程；
L.服務器將第三鑒權響應值與第四鑒權鑒權響應值進行對比，若兩者相，則移動終端通
過認證，若不相同，則結束本次認證進程。
5.如權利要求4所述的基于遠近場數據交互的用戶身份安全認證方法，其特征在于，所
述移動終端為移動手機，所述手機內插有物理U/SIM卡及存有若干與之關聯的IMSI號碼，服
務器建立并存儲所述IMSI號碼與移動手機的身份碼唯一的歸屬關系，所述IMSI號系服務器
依據其與移動手機身份碼的歸屬關系向移動手機發送，服務器中內置有與所述IMSI號碼唯一
對應的物理U/SIM卡；
步驟A中，所述認證請求信息還包括IMSI號碼，步驟L之后還包括，服務器根據IMSI
號碼查找該IMSI對應或歸屬的身份碼，若所查找到的身份碼與認證通過的移動終端的身份碼
一致，則IMSI號碼通過服務器的認證。
6.如權利要求5所述的基于遠近場數據交互的用戶身份安全認證方法，其特征在于，移
動網絡對所述若干個IMSI號碼完成鑒權后，所述IMSI號碼連接服務器以便服務器記錄移動
網絡為所述IMSI號碼分配的IP地址，移動終端向服務器發送數據傳輸時，包括以下步驟：
移動終端將數據按照IMSI號的個數進行等量分割成若干個數據塊；
在各個數據塊中插入業務特征碼，對各個數據塊分配級聯號；
將數據塊分配給相應的IMSI號在移動網絡中傳輸；
服務器接收各個數據塊后根據業務特征碼及級聯號對各個數據塊進行組裝還原并發往
PDN網或互聯網；
服務器接收PDN網或互聯網的數據后向移動終端發送時，包括以下步驟：
服務器按照移動終端身份碼所轄的IMSI號，將數據按照IMSI號的個數進行等量分割成
各個數據塊；
在各個數據...

【專利技術屬性】
技術研發人員：熊文俊，楊盛麟，
申請(專利權)人：熊文俊，
類型：發明
國別省市：四川;51