專利名稱:一種身份認證方法、設備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,尤其涉及一種身份認證方法����、設備及系統(tǒng)。
背景技術(shù):
無論是在傳統(tǒng)的互聯(lián)網(wǎng)Internet���、移動互聯(lián)網(wǎng)絡或者是現(xiàn)實生活中����,信息安全都面臨著多樣化的風險�����。 —方面���,互聯(lián)網(wǎng)與電子商務業(yè)務正在飛速發(fā)展����,而電子商務業(yè)務也正在走向成熟,但是與此同時�,網(wǎng)絡的虛擬性和匿名性使得網(wǎng)絡欺詐行為得以隨時隨地發(fā)生、甚囂塵上��,嚴重威脅著電子商務的發(fā)展�����。在猖獗的網(wǎng)絡欺詐�,網(wǎng)絡交易者隱身在電腦屏幕背后,身份難以識別的問題是其重要淵源����。網(wǎng)上交易身份認證對于建立電子商務業(yè)界的信用機制起著重要作用�����,因此如何確認網(wǎng)上交易者的身份便成為諸多電子商務網(wǎng)站迫切希望解決的問題��。
另一方面�,隨著經(jīng)濟、社會的發(fā)展,商務會員服務由于用戶基數(shù)大�、業(yè)務形態(tài)易于被用戶接受等營銷特點,已經(jīng)成為企業(yè)的品牌宣傳�����、保證用戶忠誠度���、提升經(jīng)驗業(yè)績的強有力手段����。但目前絕大部分會員業(yè)務的開展�����,僅僅是基于一張磁卡��,不僅保存不方便�����,更重要的是磁卡極容易被他人借用或者冒用�,導致了企業(yè)的大量用戶流失,無法做到精準營銷�。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明實施例提供了一種身份認證方法����、設備及系統(tǒng),通過調(diào)用移動終端SM卡中的安全證書進行安全認證��,實現(xiàn)了對用戶身份的認證�����,避免了因為身份假冒或替代等帶來的各種安全風險和損失��。 本發(fā)明實施例提供了一種身份認證方法�����,所述身份認證方法包括
從移動終端獲用戶標識�����; 從業(yè)務平臺獲取認證信息�,所述認證信息包括認證序列號和認證時間����;
向所述移動終端發(fā)送所述認證信息�����; 從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文��; 向業(yè)務平臺提交認證請求����,所述認證請求包括用戶標識����、所述認證信息以及所述認證信息密文; 獲取所述業(yè)務平臺返回的認證結(jié)果�。 相應地本發(fā)明實施例提供了一種身份認證設備,所述身份認證設備包括
用戶標識獲取單元�,用于從移動終端獲用戶標識; 認證信息獲取單元����,用于從業(yè)務平臺獲取認證信息,所述認證信息包括認證序列號和認證時間����; 簽名請求單元����,用于向所述移動終端發(fā)送所述認證信息��; 密文獲取單元��,用于從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文�����; 認證請求單元�����,用于向業(yè)務平臺提交認證請求�,所述認證請求包括用戶標識、所述認證信息以及所述認證信息密文����; 認證結(jié)果獲取單元,用于獲取所述業(yè)務平臺返回的認證結(jié)果�����。 相應地本發(fā)明實施例還提供了一種身份認證系統(tǒng),其特征在于���,所述身份認證系統(tǒng)包括移動終端、認證設備�、業(yè)務平臺以及認證鑒權(quán)服務平臺,其中 所述移動終端用于在SIM卡中內(nèi)置數(shù)字證書�����,所述數(shù)字證書包含私鑰�����,使用所述私鑰對所述認證設備發(fā)來的認證信息進行數(shù)字簽名����; 所述認證設備用于從移動終端獲用戶標識,從業(yè)務平臺獲取認證信息�����,所述認證信息包括認證序列號和認證時間�,向所述移動終端發(fā)送所述認證信息,從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文��,向業(yè)務平臺提交認證請求�,所述認證請求包括用戶標識���、所述認證信息以及所述認證信息密文,獲取所述業(yè)務平臺返回的認證結(jié)果���;
所述業(yè)務平臺用于生成所述認證信息���,向認證設備發(fā)送所述認證信息,獲取認證設備提交的所述認證請求�����,向所述認證鑒權(quán)服務平臺發(fā)送所述認證請求���,獲取認證鑒權(quán)服務平臺的鑒權(quán)結(jié)果��; 所述認證鑒權(quán)服務平臺用于從所述業(yè)務平臺獲取所述認證請求�����,對所述認證請求進行鑒權(quán)并向所述業(yè)務平臺返回鑒權(quán)結(jié)果�����。 本發(fā)明實施例通過調(diào)用移動終端SIM卡中的安全證書進行安全認證���,實現(xiàn)了對用戶身份的認證�����,避免了因為身份假冒或替代等帶來的各種安全風險和損失。
圖1為本發(fā)明實施例中
圖2為本發(fā)明實施例中
圖3為本發(fā)明實施例中
圖4為本發(fā)明實施例中
圖5為本發(fā)明實施例中
種身份認證系統(tǒng)的結(jié)構(gòu)組成示意圖���;種身份認證設備的結(jié)構(gòu)組成示意圖��;種身份認證方法的流程示意圖�;種互聯(lián)網(wǎng)身份認證方法的流程示意圖�;種現(xiàn)場身份認證方法的流程示意圖。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述����,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例����?����;诒景l(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍�����。 圖1為本發(fā)明實施例中一種身份認證系統(tǒng)的結(jié)構(gòu)組成示意圖�����,如圖所示該身份認證系統(tǒng)包括移動終端10���、認證設備20、業(yè)務平臺30以及認證鑒權(quán)服務平臺40���,其中
移動終端10用于在SIM(用戶身份識別模塊���,Subscriber Identity Module)卡中內(nèi)置數(shù)字證書���,所述數(shù)字證書包含私鑰,使用所述私鑰對所述認證設備發(fā)來的認證信息進行數(shù)字簽名����。具體地,所述移動終端可以為手機��、個人數(shù)碼助理(Personal DigitalAssistant, PDA)等包含SIM卡的移動終端�����,所述數(shù)字證書為數(shù)字認證機構(gòu)頒發(fā)授權(quán)并寫入SIM卡中的���,預先與用戶手機號碼、用戶實名信息進行綁定����,包括一個基于公鑰基礎設施(Public Key Infrastructure, PKI)技術(shù)的私鑰。進一步地�,所述移動終端支持外部設備對其SIM卡進行射頻識別(RadioFrequency, RF)訪問����。
認證設備20用于從移動終端10獲取用戶標識�����,從業(yè)務平臺30獲取認證信息����,所述認證信息包括認證序列號和認證時間���,向所述移動終端10發(fā)送所述認證信息���,從所述移動終端IO獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文,向業(yè)務平臺30提交認證請求����,所述認證請求包括用戶標識、所述認證信息以及所述認證信息密文�,獲取所述業(yè)務平臺30返回的認證結(jié)果。具體地�����,所述認證設備可以為個人電腦PC��,配合一個RF讀卡器與所述移動終端進行通訊以及對所述移動終端中的SIM卡的訪問��,也可以為內(nèi)嵌有非接觸RF訪問功能的銷售點終端(Point of sale,P0S)�。所述用戶標識可以為用戶手機號碼、用戶安全證書編號或用戶實名信息等能夠唯一確認用戶身份的標識信息中的任一種���。 業(yè)務平臺30用于生成所述認證信息�,向認證設備20發(fā)送所述認證信息����,獲取認證設備20提交的所述認證請求,向所述認證鑒權(quán)服務平臺40發(fā)送所述認證請求����,獲取認證鑒權(quán)服務平臺40的鑒權(quán)結(jié)果�。具體地,所述業(yè)務平臺實現(xiàn)在互聯(lián)網(wǎng)身份認證時可以為網(wǎng)站服務器����,實現(xiàn)在現(xiàn)場身份認證時可以為企業(yè)或公共事業(yè)的后臺應用服務器等需要對用戶進行身份認證的應用平臺。 認證鑒權(quán)服務平臺40用于從所述業(yè)務平臺30獲取所述認證請求���,對所述認證請求進行鑒權(quán)并向所述業(yè)務平臺30返回鑒權(quán)結(jié)果���。具體實現(xiàn)中�����,所述認證鑒權(quán)服務平臺儲存有用戶標識和與其對應的公鑰���,可以對經(jīng)過所述移動終端10數(shù)字簽名的密文進行解密。
圖2為本發(fā)明實施例中一種身份認證設備的結(jié)構(gòu)組成示意圖���,如圖所示該身份認證設備包括用戶標識獲取單元201��、認證信息獲取單元202�、簽名請求單元203���、密文獲取單元204�����、認證請求單元205以及認證結(jié)果獲取單元206���,其中 用戶標識獲取單元201用于從移動終端獲用戶標識。具體地����,用戶標識獲取單元201可以通過訪問所述移動終端的SIM卡獲取所述用戶標識�。所述用戶標識可以為用戶手機號碼����、用戶安全證書編號或用戶實名信息等能夠唯一確認用戶身份的標識信息中的任一種。 認證信息獲取單元202���,用于從業(yè)務平臺獲取認證信息���,所述認證信息包括認證序列號和認證時間。 簽名請求單元203用于向所述移動終端發(fā)送所述認證信息�。 密文獲取單元204用于從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文。具體實現(xiàn)中����,所述移動終端獲取到簽名請求單元203發(fā)來的認證信息后,調(diào)用SIM卡中的數(shù)字證書的私鑰對所述認證信息進行數(shù)字簽名�,得到所述認證信息密文����,返回給認證設備的所述密文獲取單元204。 認證請求單元205用于向業(yè)務平臺提交認證請求���,所述認證請求包括用戶標識��、所述認證信息以及所述認證信息密文���。進一步地���,所述認證請求還可以包括BPID電子商務網(wǎng)站編號,用于標識經(jīng)過認證鑒權(quán)服務平臺認證許可的電子商務網(wǎng)站���,BSID電子商務網(wǎng)站申請的互聯(lián)網(wǎng)身份認證請求編號���,用于標識本次電子商務網(wǎng)站發(fā)起的是互聯(lián)網(wǎng)身份認證請求。進一步地���,所述認證請求中的認證信息還可以先經(jīng)過BASE64編碼�����,避免用戶信息直接暴露�����。 認證結(jié)果獲取單元206用于獲取所述業(yè)務平臺返回的認證結(jié)果��。 所述身份認證設備可以通過USB接口與一個RF讀卡器相連��,通過該RF讀卡器實
現(xiàn)對移動終端的訪問�����,進一步也可以包括
射頻識別單元���,用于與所述移動終端進行無線雙向通訊���。 圖3為本發(fā)明實施例中一種身份認證方法的流程示意圖,如圖所示該方法流程包括 步驟S301��,從移動終端獲用戶標識�。具體實現(xiàn)中,用戶將移動終端靠近身份認證設
備進行刷卡�,所述身份認證設備通過外接的RF讀卡器或內(nèi)置的RF射頻識別單元訪問所述
移動終端的SIM卡,從而獲取用戶標識���。所述用戶標識可以為用戶手機號碼����、用戶安全證書
編號或用戶實名信息等能夠唯一確認用戶身份的標識信息中的任一種����。 步驟S302,從業(yè)務平臺獲取認證信息����,所述認證信息包括認證序列號和認證時間,
具體實現(xiàn)中���,所述身份認證設備接收所述移動終端刷卡后�����,向業(yè)務平臺請求所述認證信息�,
業(yè)務平臺生成認證信息后返回給所述身份認證設備�。所述業(yè)務平臺可以為網(wǎng)站后臺服務
器、企業(yè)后臺服務器�����、公共事業(yè)信息平臺服務器等需要對用戶身份認證后提供服務的業(yè)務平臺�。 步驟S303,向所述移動終端發(fā)送所述認證信息���。 步驟S304����,從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文。具體實現(xiàn)中�����,所述移動終端獲取所述認證信息后�,使用SIM卡中數(shù)字證書的私鑰對所述認證信息進行數(shù)字簽名,得到所述認證信息密文并向身份認證設備返回所述認證信息密文���。
步驟S305����,向業(yè)務平臺提交認證請求�����,所述認證請求包括用戶標識�����、所述認證信息以及所述認證信息密文���。具體實現(xiàn)中����,所述認證請求還可以包括BPID電子商務網(wǎng)站編號��,用于標識經(jīng)過認證鑒權(quán)服務平臺認證許可的電子商務網(wǎng)站�,BSID電子商務網(wǎng)站申請的互聯(lián)網(wǎng)身份認證請求編號,用于標識本次電子商務網(wǎng)站發(fā)起的是互聯(lián)網(wǎng)身份認證請求����。進一步地,所述認證請求中的認證信息還可以先經(jīng)過BASE64編碼�,避免用戶信息直接暴露。
步驟S306���,獲取所述業(yè)務平臺返回的認證結(jié)果���。具體實現(xiàn)中,所述業(yè)務平臺獲取到所述認證請求后�����,向認證鑒權(quán)服務平臺提交所述認證請求�����,所述認證鑒權(quán)服務平臺對所述認證請求進行鑒權(quán),包括 認證鑒權(quán)服務平臺根據(jù)所述認證請求中的用戶標識���,查找對應的公鑰��; 認證鑒權(quán)服務平臺使用查找到的公鑰對所述認證信息密文進行解密�����; 認證鑒權(quán)服務平臺將所述認證請求中的認證信息與所述使用查找到的公鑰對所
述認證信息密文進行解密的結(jié)果進行比對��,比對一致則鑒權(quán)成功��,并向所述業(yè)務平臺返回
鑒權(quán)結(jié)果�����。進一步地當所述認證請求中的認證信息經(jīng)過BASE64編碼����,則還需對所述編碼進
行BASE64解碼后才能進行比對�。所述業(yè)務平臺獲取認證鑒權(quán)服務平臺返回的鑒權(quán)結(jié)果后,
若鑒權(quán)成功則經(jīng)過邏輯處理后向所述身份認證設備返回認證結(jié)果�����。 圖4為本發(fā)明實施例中一種互聯(lián)網(wǎng)身份認證方法的流程示意圖,如圖所示����,該方法流程包括 S401,瀏覽器顯示登錄頁面�����。具體實現(xiàn)中�,瀏覽器為個人電腦中用于訪問網(wǎng)站的軟件程序��,個人電腦在這里作為身份認證設備��。用戶通過個人電腦瀏覽器登錄網(wǎng)站��,瀏覽器顯示登錄頁面���,用戶在登錄頁面選擇使用移動終端認證登錄����。 S402����,安全中間件彈出安全控件��,提示用戶將移動終端靠近RF非接觸讀頭����。所述安全中間件為RF讀頭安裝在個人電腦中的控件程序�,能夠?qū)F讀頭讀取到的SIM卡中的信息送交個人電腦應用軟件進行處理,為RF讀頭與個人電腦中軟件的連接橋梁�。所述RF讀頭用于訪問移動終端SIM卡的射頻讀頭,以USB形式插入電腦��,可通過非接觸方式讀取移動終端SIM卡完成的數(shù)字簽名��。對于不同的應用場應�,讀頭的物理形態(tài)可能有所不同。
S403�����,移動終端靠近RF讀頭���,移動終端SIM卡和RF讀頭之間建立通信連接��。
S404��,瀏覽器從網(wǎng)站后臺服務器獲取認證信息�,所述認證信息包括認證序列號和認證時間。 S405�����,瀏覽器向移動終端發(fā)送認證信息�,通過安全中間件、RF讀頭到達移動終端��。
S406���,移動終端對認證信息進行數(shù)字簽名。具體地����,移動終端調(diào)用SIM卡中數(shù)字證書的私鑰對所述認證信息進行數(shù)字簽名。 S407����,移動終端向瀏覽器返回經(jīng)過數(shù)字簽名的認證信息密文和用戶標識,經(jīng)過RF讀頭�����、安全中間件到達瀏覽器�����。具體地,所述用戶標識可以為用戶手機號碼�����、用戶安全證書編號或用戶實名信息等能夠唯一確認用戶身份的標識信息中的任一種�,也可以為S403之后、S407之前任意時間發(fā)送給安全中間件�����。 S40S����,瀏覽器向網(wǎng)站后臺服務器提交認證請求,所述認證請求包括用戶標識�����、所述認證信息以及所述認證信息密文����。具體實現(xiàn)中,所述認證請求還可以包括BPID電子商務網(wǎng)站編號,用于標識經(jīng)過認證鑒權(quán)服務平臺認證許可的電子商務網(wǎng)站����,BSID電子商務網(wǎng)站申請的互聯(lián)網(wǎng)身份認證請求編號,用于標識本次電子商務網(wǎng)站發(fā)起的是互聯(lián)網(wǎng)身份認證請求����。進一步地,所述認證請求中的認證信息還可以先經(jīng)過BASE64編碼�����,避免用戶信息直接暴露�����。 S409���,網(wǎng)站后臺服務器向認證鑒權(quán)服務平臺提交所述認證請求。 S410����,認證鑒權(quán)服務平臺對認證請求進行鑒權(quán)。具體可以包括認證鑒權(quán)服務平臺
根據(jù)所述認證請求中的用戶標識��,查找對應的公鑰; 認證鑒權(quán)服務平臺使用查找到的公鑰對所述認證信息密文進行解密���; 認證鑒權(quán)服務平臺將所述認證請求中的認證信息與所述使用查找到的公鑰對所
述認證信息密文進行解密的結(jié)果進行比對�����,比對一致則鑒權(quán)成功�。進一步地當所述認證請
求中的認證信息經(jīng)過BASE64編碼��,則還需對所述編碼進行BASE64解碼后才能進行比對�����。 S411�,認證鑒權(quán)服務平臺向網(wǎng)站后臺服務器返回認證結(jié)果。 S412�,網(wǎng)站后臺服務器向瀏覽器返回登錄結(jié)果。 本實施例可以實現(xiàn)在商業(yè)網(wǎng)站的各種電子商務認證服務中�,由于SIM卡中內(nèi)置國家法律規(guī)定承認法律效應的基于PKI技術(shù)的數(shù)字證書,能夠有效確認用戶身邊��,避免了為身份假冒或替代等帶來的各種安全風險和損失��。 圖5為本發(fā)明實施例中一種現(xiàn)場身份認證方法的流程示意圖����,如圖所示該方法流程包括 S501����,身份認證設備提示用戶將移動終端靠近��。本實施例中的身份認證設備為配套有RF讀頭的個人電腦或內(nèi)置RF讀卡器的銷售點終端POS�,身份認證設備在顯示屏幕上提示用戶將移動終端靠近讀頭或讀卡器有效區(qū)域。 S502��,移動終端靠近RF讀頭或讀卡器有效區(qū)域��,移動終端SM卡和身份認證設備之間建立通信連接�。 S503,身份認證設備從以業(yè)務平臺獲取認證信息��,所述認證信息包括認證序列號和認證時間��。所述業(yè)務平臺可以為企事業(yè)單位的后臺服務器�����、公共事業(yè)信息平臺服務器等�����。
S504����,身份認證設備從業(yè)務平臺獲取認證信息,認證信息包括認證序列號和認證時間���,并向移動終端發(fā)送所述認證信息. S505�����,移動終端對認證信息進行數(shù)字簽名���。具體地,移動終端調(diào)用SIM卡中數(shù)字證書的私鑰對所述認證信息進行數(shù)字簽名���。 S506���,移動終端向身份認證設備返回經(jīng)過數(shù)字簽名的認證信息密文和用戶標識。具體地�����,所述用戶標識可以為用戶手機號碼���、用戶安全證書編號或用戶實名信息等能夠唯一確認用戶身份的標識信息中的任一種�,可以為S502到S506之間任意時間發(fā)送給身份認證設備。 S507����,身份認證設備向業(yè)務平臺提交認證請求,所述認證請求包括用戶標識����、所述認證信息以及所述認證信息密文。具體實現(xiàn)中�,所述認證請求還可以包括BPID電子商務網(wǎng)站編號,用于標識經(jīng)過認證鑒權(quán)服務平臺認證許可的電子商務網(wǎng)站����,BSID電子商務網(wǎng)站申請的互聯(lián)網(wǎng)身份認證請求編號,用于標識本次電子商務網(wǎng)站發(fā)起的是互聯(lián)網(wǎng)身份認證請求����。進一步地,所述認證請求中的認證信息還可以先經(jīng)過BASE64編碼�,避免用戶信息直接暴露。 S508�,業(yè)務平臺向認證鑒權(quán)服務平臺提交所述認證請求�����。 S509,認證鑒權(quán)服務平臺對所述認證請求進行鑒權(quán)���,具體可以包括認證鑒權(quán)服務平臺根據(jù)所述認證請求中的用戶標識�����,查找對應的公鑰���; 認證鑒權(quán)服務平臺使用查找到的公鑰對所述認證信息密文進行解密; 認證鑒權(quán)服務平臺將所述認證請求中的認證信息與所述使用查找到的公鑰對所
述認證信息密文進行解密的結(jié)果進行比對��,比對一致則鑒權(quán)成功�����。進一步地當所述認證請
求中的認證信息經(jīng)過BASE64編碼���,則還需對所述編碼進行BASE64解碼后才能進行比對����。 S510�����,認證鑒權(quán)服務平臺向業(yè)務平臺返回認證結(jié)果。 S511�,業(yè)務平臺根據(jù)認證結(jié)果進行邏輯處理。 S512��,業(yè)務平臺根據(jù)認證結(jié)果向身份認證設備返回經(jīng)過邏輯處理的認證結(jié)果�����。
具體實現(xiàn)中�����,本實施例可以在商務會員認證���、公共事業(yè)信息查詢����、會議簽到或考勤打卡等場景中進行身份認證����,避免了因為身份假冒或替代等帶來的各種安全風險和損失。
通過上述實施例的描述����,本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例的全部或部分流程����,是可以通過計算機程序來指令相關(guān)的硬件來完成���,所述的程序可存儲于一計算機可讀取介質(zhì)中,該程序在執(zhí)行時���,可包括如上述各方法的實施例的的流程���。其中,所述的存儲介質(zhì)可為磁碟����、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等���。 以上所揭露的僅為本發(fā)明較佳實施例而已���,當然不能以此來限定本發(fā)明之權(quán)利范圍,因此依本發(fā)明權(quán)利要求所作的等同變化��,仍屬于發(fā)明所涵蓋的范圍。
權(quán)利要求
一種身份認證方法�,其特征在于,所述身份認證方法包括從移動終端獲用戶標識��;從業(yè)務平臺獲取認證信息����,所述認證信息包括認證序列號和認證時間;向所述移動終端發(fā)送所述認證信息���;從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文�����;向業(yè)務平臺提交認證請求���,所述認證請求包括用戶標識、所述認證信息以及所述認證信息密文����;獲取所述業(yè)務平臺返回的認證結(jié)果。
2. 如權(quán)利要求1所述的身份認證方法�,其特征在于,所述向移動終端發(fā)送所述認證信息后包括所述移動終端獲取到所述認證信息后,使用移動終端SM卡內(nèi)置的數(shù)字證書中的私鑰對所述認證信息進行數(shù)字簽名����,得到認證信息密文。
3. 如權(quán)利要求2所述的身份認證方法�,其特征在于,所述身份認證方法還包括所述業(yè)務平臺獲取到所述認證請求后����,向認證鑒權(quán)服務平臺提交所述認證請求�����;所述認證鑒權(quán)服務平臺對所述認證請求進行鑒權(quán)��,并向所述業(yè)務平臺返回鑒權(quán)結(jié)果�����。
4. 如權(quán)利要求3所述的身份認證方法�����,其特征在于����,所述認證鑒權(quán)服務平臺對所述認證請求進行鑒權(quán)包括根據(jù)所述認證請求中的用戶標識���,查找對應的公鑰;使用查找到的公鑰對所述認證信息密文進行解密�;將所述認證請求中的認證信息與所述使用查找到的公鑰對所述認證信息密文進行解密的結(jié)果進行比對,比對一致則鑒權(quán)成功����。
5. 如權(quán)利要求1-4中任一項所述的身份認證方法,其特征在于�,通過無線射頻識別方式與所述移動終端進行雙向通訊。
6. —種身份認證設備�,其特征在于,所述身份認證設備包括用戶標識獲取單元���,用于從移動終端獲用戶標識����;認證信息獲取單元��,用于從業(yè)務平臺獲取認證信息����,所述認證信息包括認證序列號和認證時間�����;簽名請求單元���,用于向所述移動終端發(fā)送所述認證信息;密文獲取單元�����,用于從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文�;認證請求單元����,用于向業(yè)務平臺提交認證請求,所述認證請求包括用戶標識���、所述認證信息以及所述認證信息密文����;認證結(jié)果獲取單元����,用于獲取所述業(yè)務平臺返回的認證結(jié)果。
7. 如權(quán)利要求6所述的身份認證設備,其特征在于����,所述身份認證設備還包括射頻識別單元,用于與所述移動終端進行無線雙向通訊�����。
8. —種身份認證系統(tǒng)�����,其特征在于��,所述身份認證系統(tǒng)包括移動終端��、認證設備����、業(yè)務平臺以及認證鑒權(quán)服務平臺,其中所述移動終端用于在SM卡中內(nèi)置數(shù)字證書�,所述數(shù)字證書包含私鑰,使用所述私鑰對所述認證設備發(fā)來的認證信息進行數(shù)字簽名���;所述認證設備用于從移動終端獲用戶標識�����,從業(yè)務平臺獲取認證信息��,所述認證信息包括認證序列號和認證時間����,向所述移動終端發(fā)送所述認證信息,從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文��,向業(yè)務平臺提交認證請求�,所述認證請求包括用戶標識、所述認證信息以及所述認證信息密文�����,獲取所述業(yè)務平臺返回的認證結(jié)果�����;所述業(yè)務平臺用于生成所述認證信息�,向認證設備發(fā)送所述認證信息���,獲取認證設備提交的所述認證請求�,向所述認證鑒權(quán)服務平臺發(fā)送所述認證請求,獲取認證鑒權(quán)服務平臺的鑒權(quán)結(jié)果�����;所述認證鑒權(quán)服務平臺用于從所述業(yè)務平臺獲取所述認證請求��,對所述認證請求進行鑒權(quán)并向所述業(yè)務平臺返回鑒權(quán)結(jié)果��。
全文摘要
本發(fā)明實施例提供了一種身份認證方法�,包括從移動終端獲用戶標識;從業(yè)務平臺獲取認證信息����,所述認證信息包括認證序列號和認證時間;向所述移動終端發(fā)送所述認證信息�;從所述移動終端獲取經(jīng)過移動終端數(shù)字簽名的認證信息密文;向業(yè)務平臺提交認證請求����,所述認證請求包括用戶標識、所述認證信息以及所述認證信息密文�����;獲取所述業(yè)務平臺返回的認證結(jié)果�����。相應地,本發(fā)明實施例還公開了一種身份認證設備和身份認證系統(tǒng)��。通過實施本發(fā)明����,實現(xiàn)了對用戶身份的認證,避免了因為身份假冒或替代等帶來的各種安全風險和損失�����。
文檔編號H04L9/32GK101778380SQ20091023961
公開日2010年7月14日 申請日期2009年12月31日 優(yōu)先權(quán)日2009年12月31日
發(fā)明者吳勇, 唐斌, 邢蔚 申請人:卓望數(shù)碼技術(shù)(深圳)有限公司