本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種實現(xiàn)安全認證的方法、裝置和系統(tǒng)。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的發(fā)展，目前出現(xiàn)了許多對安全性較為敏感的網(wǎng)絡(luò)業(yè)務(wù)，如支付或交易等網(wǎng)絡(luò)業(yè)務(wù)。在用戶使用這些網(wǎng)絡(luò)業(yè)務(wù)時，為了避免用戶密碼泄露的風(fēng)險，客戶端與服務(wù)器之間可以采用動態(tài)口令認證，以此來保證網(wǎng)絡(luò)業(yè)務(wù)的安全性。通常，動態(tài)口令認證采用軟件方式來實現(xiàn)。但以軟件方式實現(xiàn)的動態(tài)口令認證無法避免釣魚網(wǎng)站、偽造基站、竊取手機等非法手段對動態(tài)驗證碼的惡意獲取。

為了避免動態(tài)口令的泄露問題，目前一些網(wǎng)絡(luò)業(yè)務(wù)開始采用硬件方式實現(xiàn)動態(tài)口令認證。例如，在現(xiàn)有技術(shù)中，作為一種獨立的硬件設(shè)備，電子密碼器被用于在用戶使用網(wǎng)絡(luò)業(yè)務(wù)時實現(xiàn)客戶端與服務(wù)器之間的動態(tài)口令認證。但是，對于用戶使用的手機、平板電腦等移動終端來說，通過電子密碼器獲取的動態(tài)驗證碼需要用戶手動輸入到移動終端上的客戶端中，這導(dǎo)致了用戶操作不方便的問題。此外，在移動網(wǎng)絡(luò)的場景中，電子密碼器作為一種獨立于用戶移動終端的硬件設(shè)備需要用戶隨身攜帶，這樣用戶才能隨時隨地地使用網(wǎng)絡(luò)業(yè)務(wù)，因此，用戶需要攜帶的設(shè)備數(shù)量也有所增加。再此外，電子密碼器的成本也較高。

技術(shù)實現(xiàn)要素：

本申請實施例所要解決的技術(shù)問題是，提供一種實現(xiàn)安全認證的方法、裝置和系統(tǒng)，以避免現(xiàn)有技術(shù)采用電子密碼器來實現(xiàn)動態(tài)口令認證而導(dǎo)致的用戶攜帶不便、用戶操作不便以及成本高的缺陷。

第一方面，提供了一種實現(xiàn)安全認證的方法，應(yīng)用于IC卡端，包括：

接收移動終端通過近場通信NFC模塊發(fā)送的隨機數(shù)和業(yè)務(wù)信息，所述隨機數(shù)是服務(wù)器系統(tǒng)響應(yīng)于所述移動終端針對網(wǎng)絡(luò)業(yè)務(wù)發(fā)起的業(yè)務(wù)請求而返回給所述移動終端的，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊；

基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算，生成應(yīng)用密文；

通過所述NFC模塊向所述移動終端發(fā)送攜帶有所述應(yīng)用密文的驗證信息，以便所述服務(wù)器系統(tǒng)接收所述移動終端發(fā)送的攜帶有所述驗證信息的業(yè)務(wù)確認信息并對所述應(yīng)用密文進行驗證。

可選的，

所述基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算，生成應(yīng)用密文，包括：利用所述IC卡端的卡片密鑰和所述網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)分散出過程密鑰；基于過程密鑰，采用對稱密鑰算法對所述隨機數(shù)進行加密運算，生成所述應(yīng)用密文；

所述驗證信息還攜帶有所述IC卡采用的卡序號、分散密鑰索引DKI、密文版本號和算法標(biāo)識，以便所述服務(wù)器系統(tǒng)采用所述卡序號、所述DKI、所述密文版本號和所述算法標(biāo)識對所述應(yīng)用密文進行驗證。

可選的，還包括：

通過所述NFC模塊向所述移動終端發(fā)送所述IC卡端的卡號，以便所述移動終端在比較出所述IC卡端發(fā)送的卡號與所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的卡號相同的情況下通過所述NFC模塊向所述IC卡端發(fā)送所述隨機數(shù)和所述業(yè)務(wù)信息。

可選的，所述網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)，所述IC卡端配置在具備支付功能的支付卡上，所述服務(wù)器系統(tǒng)為用于為所述支付卡提供支付功能的網(wǎng)上支付系統(tǒng)。

第二方面，提供了一種實現(xiàn)安全認證的方法，應(yīng)用于移動終端，包括：

向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求；

接收所述服務(wù)器系統(tǒng)響應(yīng)于所述業(yè)務(wù)請求而返回的隨機數(shù)；

通過NFC模塊向IC卡端發(fā)送所述隨機數(shù)和業(yè)務(wù)信息，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊；

通過所述NFC模塊接收所述IC卡端發(fā)送的驗證信息；

向所述服務(wù)器系統(tǒng)發(fā)送攜帶有所述驗證信息的業(yè)務(wù)確認信息，以便所述服務(wù)器系統(tǒng)對應(yīng)用密文進行驗證；

其中，所述驗證信息攜帶有所述應(yīng)用密文，所述應(yīng)用密文是所述IC卡端基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算而生成的。

可選的，所述驗證信息還攜帶有所述IC卡的卡序號、分散密鑰索引DKI、密文版本號和所述對稱密鑰算法的算法標(biāo)識，以便所述服務(wù)器系統(tǒng)采用所述卡序號、所述DKI、所述密文版本號和所述算法標(biāo)識對所述應(yīng)用密文進行驗證；

其中，所述應(yīng)用密文具體是所述IC卡端利用所述IC卡端的卡片密鑰和所述網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)分散出過程密鑰并基于過程密鑰采用對稱密鑰算法對所述隨機數(shù)進行加密運算而生成的。

可選的，還包括：

在向所述服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)請求之后，接收所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的卡號；

通過所述NFC模塊接收所述IC卡端發(fā)送的卡號；

比較所述IC卡端發(fā)送的卡號與所述服務(wù)器系統(tǒng)返回的卡號是否相同；

在相同的情況下，執(zhí)行所述通過NFC模塊向IC卡端發(fā)送所述隨機數(shù)和業(yè)務(wù)信息。

可選的，還包括：

在接收到所述服務(wù)器系統(tǒng)返回的卡號之后，顯示所述服務(wù)器返回的卡號，以提示所述移動終端采集所述IC卡端發(fā)送的卡號。

可選的，還包括：

在向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后，接收所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的認證方式；

響應(yīng)于識別到所述認證方式為動態(tài)口令認證，執(zhí)行所述顯示所述服務(wù)器返回的卡號。

可選的，所述向所述服務(wù)器系統(tǒng)發(fā)送攜帶有所述驗證信息的業(yè)務(wù)確認信息，包括：

響應(yīng)于針對所述業(yè)務(wù)請求的確認操作，獲取在所述確認操作下輸入的業(yè)務(wù)確認碼；

基于所述驗證信息和所述業(yè)務(wù)確認碼生成所述業(yè)務(wù)確認信息；

向所述服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)確認信息。

可選的，所述網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)，所述IC卡端配置在具備支付功能的支付卡上，所述服務(wù)器系統(tǒng)為用于為所述支付卡提供支付功能的網(wǎng)上支付系統(tǒng)。

第三方面，提供了一種實現(xiàn)安全認證的裝置，配置于IC卡端，包括：

接收單元，用于接收移動終端通過近場通信NFC模塊發(fā)送的隨機數(shù)和業(yè)務(wù)信息，所述隨機數(shù)是服務(wù)器系統(tǒng)響應(yīng)于所述移動終端針對網(wǎng)絡(luò)業(yè)務(wù)發(fā)起的業(yè)務(wù)請求而返回給所述移動終端的，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊；

生成單元，用于基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算，生成應(yīng)用密文；

第一發(fā)送單元，用于通過所述NFC模塊向所述移動終端發(fā)送攜帶有所述應(yīng)用密文的驗證信息，以便所述服務(wù)器系統(tǒng)接收所述移動終端發(fā)送的攜帶有所述驗證信息的業(yè)務(wù)確認信息并對所述應(yīng)用密文進行驗證。

第四方面，提供了一種實現(xiàn)安全認證的裝置，配置于移動終端，包括：

第一發(fā)送單元，用于向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求；

第一接收單元，用于接收所述服務(wù)器系統(tǒng)響應(yīng)于所述業(yè)務(wù)請求而返回的隨機數(shù)；

第二發(fā)送單元，用于通過NFC模塊向IC卡端發(fā)送所述隨機數(shù)和業(yè)務(wù)信息，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊；

第二接收單元，用于通過所述NFC模塊接收所述IC卡端發(fā)送的驗證信息；

第二發(fā)送單元，用于向所述服務(wù)器系統(tǒng)發(fā)送攜帶有所述驗證信息的業(yè)務(wù)確認信息，以便所述服務(wù)器系統(tǒng)對應(yīng)用密文進行驗證；

其中，所述驗證信息攜帶有所述應(yīng)用密文，所述應(yīng)用密文是所述IC卡端基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算而生成的。

第五方面，提供了一種實現(xiàn)安全認證的系統(tǒng)，包括IC卡端、移動終端和服務(wù)器系統(tǒng)；

所述IC卡端配置有如前述第三方面提供的裝置，所述移動終端配置有如前述第四方面提供的裝置。

在本申請實施例中，在用戶使用網(wǎng)絡(luò)業(yè)務(wù)的過程中，移動終端與服務(wù)器系統(tǒng)之間的動態(tài)口令認證可以采用IC卡端來實現(xiàn)，其中，移動終端與IC卡端之間可以通過配置在移動終端上的近場通信(Near Field Communication，簡稱NFC)模塊實現(xiàn)信息交互。具體地，移動終端在向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后可以獲得服務(wù)器系統(tǒng)針對該業(yè)務(wù)請求返回隨機數(shù)。之后，移動終端可以通過NFC模塊向IC卡端發(fā)送該隨機數(shù)以及該網(wǎng)絡(luò)業(yè)務(wù)對應(yīng)的業(yè)務(wù)信息。IC卡端可以基于預(yù)置的密鑰和加密算法對該隨機數(shù)和該業(yè)務(wù)信息進行加密運算而生成應(yīng)用密文。再后，移動終端可以通過NFC模塊接收到IC卡端發(fā)送的攜帶有該應(yīng)用密文的驗證信息，并向服務(wù)器系統(tǒng)發(fā)送攜帶有該驗證信息的業(yè)務(wù)確認信息。這樣，服務(wù)器系統(tǒng)就可以通過對應(yīng)用密文的驗證，實現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的安全認證。由此可見，以IC卡端作為實現(xiàn)動態(tài)口令認證的硬件設(shè)備，對于用戶使用的手機、平板電腦等移動終端來說，移動終端上配置的NFC模塊可以用于實現(xiàn)移動終端與IC卡端之間的信息交互，因此，IC卡端與移動終端之間交互的信息就無需用戶手動輸入，從而使得用戶操作更加便捷。此外，相對于電子密碼器來說，IC卡更便于攜帶，并且成本也更低。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本申請中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例中一種實現(xiàn)安全認證的方法的流程示意圖；

圖2為本發(fā)明實施例中一種實現(xiàn)安全認證的方法的流程示意圖；

圖3為本發(fā)明實施例中一種實現(xiàn)安全認證的方法的流程示意圖；

圖4為本發(fā)明實施例中一種實現(xiàn)安全認證的裝置的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實施例中一種實現(xiàn)安全認證的裝置的結(jié)構(gòu)示意圖；

圖6為本發(fā)明實施例中一種實現(xiàn)安全認證的方法的結(jié)構(gòu)示意圖。

具體實施方式

發(fā)明人經(jīng)過研究發(fā)現(xiàn)，在通過移動終端進行支付或者交易等網(wǎng)絡(luò)業(yè)務(wù)時，為了交易安全，通常要進行動態(tài)口令認證，現(xiàn)有技術(shù)中通常會采用軟件的方式來實現(xiàn)，但軟件的方式實現(xiàn)無法避免釣魚網(wǎng)站、偽造基站、竊取手機等非法手段對動態(tài)驗證碼的惡意獲取。因此為了避免動態(tài)口令泄露，目前一些網(wǎng)絡(luò)業(yè)務(wù)開始采用了硬件的方式。例如，一些網(wǎng)絡(luò)業(yè)務(wù)目前采用了U盾、Ukey等形式的硬件密碼器，這種形式的密碼器需要通過USB接口連接到用戶終端，這對于PC、膝上型電腦等終端是適用的，但是，移動終端通常并沒有設(shè)置USB接口，因此，這種形式的密碼器并不適用于移動終端。除此之外目前還存在一種硬件的電子密碼器，應(yīng)用電子密碼器對進行動態(tài)口令認證時，需要用戶手動將電子密碼器上顯示的密碼輸入到移動終端上，這雖然避免了移動終端無法通過USB接口獲取密碼的問題，但卻為用戶的操作帶來了不便，并且，這種電子密碼器也不利于隨身攜帶。

為了解決上述問題，在本發(fā)明實施例中，通過配置有NFC模塊的移動終端與IC卡端之間進行信息交互來實現(xiàn)在移動終端上交易的安全認證，具體來說，移動終端在向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后可以獲得服務(wù)器系統(tǒng)針對該業(yè)務(wù)請求返回隨機數(shù)。之后，移動終端可以通過NFC模塊向IC卡端發(fā)送該隨機數(shù)以及網(wǎng)絡(luò)業(yè)務(wù)對應(yīng)的業(yè)務(wù)信息。IC卡端可以基于預(yù)置的密鑰和加密算法對該隨機數(shù)和該業(yè)務(wù)信息進行加密運算而生成應(yīng)用密文。再后，移動終端可以通過NFC模塊接收到IC卡端發(fā)送的攜帶有該應(yīng)用密文的驗證信息，并向服務(wù)器系統(tǒng)發(fā)送攜帶有該驗證信息的業(yè)務(wù)確認信息。基于此，服務(wù)器系統(tǒng)可以通過驗證應(yīng)用密文，實現(xiàn)對網(wǎng)絡(luò)業(yè)務(wù)的安全認證。由此可見，通過IC卡端進行交易時的動態(tài)口令的安全認證，不僅比純軟件的方式安全性高，而且，移動終端上配置的NFC模塊可以用于實現(xiàn)移動終端與IC卡端之間的信息交互，這樣IC卡端與移動終端之間交互的信息就無需用戶手動輸入，相比硬件的電子密碼器來說，更加便于用戶操作。此外，相對于電子密碼器來說，IC卡更便于攜帶，并且成本也更低。

下面結(jié)合附圖，通過實施例來詳細說明本發(fā)明實施例中一種實現(xiàn)安全認證的方法、裝置和系統(tǒng)的具體實現(xiàn)方式。

示例性方法

參考圖1，示出了本發(fā)明實施例中一種實現(xiàn)安全認證的方法的流程示意圖。該方法應(yīng)用于IC卡端，在本實施例中，所述方法例如可以包括以下步驟：

步驟101：接收移動終端通過近場通信NFC模塊發(fā)送的隨機數(shù)和業(yè)務(wù)信息，所述隨機數(shù)是服務(wù)器系統(tǒng)響應(yīng)與所述移動終端針對網(wǎng)絡(luò)業(yè)務(wù)發(fā)起的業(yè)務(wù)請求而返回給所述移動終端的，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊。

具體實現(xiàn)時，用戶可以在移動終端觸發(fā)網(wǎng)絡(luò)業(yè)務(wù)，移動終端響應(yīng)于用戶的觸發(fā)操作可以向該網(wǎng)絡(luò)業(yè)務(wù)對應(yīng)的服務(wù)器系統(tǒng)發(fā)起針對該網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求。服務(wù)器系統(tǒng)可以響應(yīng)于該業(yè)務(wù)請求，依據(jù)該網(wǎng)絡(luò)業(yè)務(wù)向移動終端反饋隨機數(shù)。移動終端在接收到服務(wù)器系統(tǒng)反饋的隨機數(shù)之后，可以將該隨機數(shù)和描述網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)信息發(fā)送給IC卡端?？梢岳斫獾氖牵诒緦嵤├?，移動終端上配置有NFC模塊，該NFC模塊能夠和IC卡端實現(xiàn)近場通信，即移動終端與IC卡端之間的信息交互可以通過移動終端上配置的NFC模塊實現(xiàn)。例如，在步驟101中，移動終端可以通過其NFC模塊向具備近場通信條件的IC卡端發(fā)送的所述隨機數(shù)和所述業(yè)務(wù)信息。

需要說明的是，本實施例提及的網(wǎng)絡(luò)業(yè)務(wù)可以是任意一種通過網(wǎng)絡(luò)提供的業(yè)務(wù)功能。例如，在一種應(yīng)用場景示例中，所述網(wǎng)絡(luò)業(yè)務(wù)可以為網(wǎng)上交易業(yè)務(wù)。具體地，所述網(wǎng)絡(luò)交易業(yè)務(wù)可以是轉(zhuǎn)賬業(yè)務(wù)、支付業(yè)務(wù)、查詢業(yè)務(wù)或理財業(yè)務(wù)等。另外，本實施例提及的業(yè)務(wù)信息表示用于對網(wǎng)絡(luò)業(yè)務(wù)進行描述的信息，換言之，業(yè)務(wù)信息可以是用戶觸發(fā)的網(wǎng)絡(luò)業(yè)務(wù)中包含的一些基本信息。例如，若所述網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)，則所述業(yè)務(wù)信息可以包括交易日期、交易金額和/或交易幣種等。

在本實施例中，隨機數(shù)是服務(wù)器系統(tǒng)依據(jù)移動終端發(fā)送的業(yè)務(wù)請求而動態(tài)生成的數(shù)據(jù)。其中，隨機數(shù)與業(yè)務(wù)請求之間具有唯一的對應(yīng)關(guān)系，即服務(wù)器系統(tǒng)為不同業(yè)務(wù)請求生成的隨機數(shù)必然是不同的。

可以理解的是，本實施例所涉及的設(shè)備具體可以有多種可能的實現(xiàn)方式。例如，觸發(fā)網(wǎng)絡(luò)業(yè)務(wù)的移動終端可以是手機、平板電腦等任意一種配置有NFC模塊并且能夠觸發(fā)網(wǎng)絡(luò)業(yè)務(wù)的移動終端。又如，IC卡端可以配置在具有支付功能的支付卡上。再如，服務(wù)器系統(tǒng)可以為用于所述支付卡提供支付功能的網(wǎng)上支付系統(tǒng)。

在一種應(yīng)用場景示例中，配置有IC卡端的支付卡可以是金融IC卡(如具有IC卡芯片的銀行卡)，服務(wù)器系統(tǒng)可以是金融業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)。配置有NFC模塊的移動終端可以安裝有金融業(yè)務(wù)的客戶端程序，該移動終端可以通過金融業(yè)務(wù)的客戶端程序與金融IC卡、金融業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)進行交互。

步驟102：基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算，生成應(yīng)用密文；

在本實施例中，IC卡端都設(shè)置了相對應(yīng)的密鑰，以用于為網(wǎng)絡(luò)業(yè)務(wù)提供應(yīng)用密文。其中，用于生成應(yīng)用密文的加密算法，例如可以是對稱加密算法，又如也可以是非對稱加密算法。

具體實現(xiàn)時，當(dāng)IC卡端接收到移動終端發(fā)送來的隨機數(shù)和業(yè)務(wù)信息后，IC卡端可以通過預(yù)置的密鑰和加密算法對隨機數(shù)和業(yè)務(wù)信息進行加密運算。具體的步驟102例如可以包括：利用所述IC卡端的卡片密鑰和所述網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)分散出過程密鑰；基于過程密鑰，采用對稱密鑰算法對所述隨機數(shù)進行加密運算，生成所述應(yīng)用密文。

需要說明的是，考慮到非對稱加密密鑰算法主要是用于脫機支付，而在聯(lián)機支付的情況下，非對稱加密密鑰算法可能會造成誤扣客戶卡片內(nèi)的電子現(xiàn)金的問題，因此，在網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)的情況下，對稱加密算法更適用于IC卡端生成應(yīng)用密文。

在本實施例的一些實施方式中，若網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)，IC卡端中可以設(shè)置有交易計數(shù)器，以用于對網(wǎng)絡(luò)業(yè)務(wù)進行計數(shù)。具體地，在每次接收到移動終端發(fā)送的業(yè)務(wù)信息后，IC卡端可以對交易的次數(shù)進行累計。當(dāng)IC卡端接收到移動終端發(fā)送的隨機數(shù)和業(yè)務(wù)信息后，利用IC卡端預(yù)設(shè)的卡片密鑰和應(yīng)用計數(shù)器對網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)結(jié)果分散出過程密鑰；再在過程密鑰的基礎(chǔ)上，采用對稱密鑰算法，對隨機數(shù)、業(yè)務(wù)信息和網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)結(jié)果進行加密運算，生成應(yīng)用密文。

步驟103：通過所述NFC模塊向所述移動終端發(fā)送攜帶有所述應(yīng)用密文的驗證信息，以便所述服務(wù)器系統(tǒng)接收所述移動終端發(fā)送的攜帶有所述驗證信息的業(yè)務(wù)確認信息并對所述應(yīng)用密文進行驗證。

在本實施例的一些實施方式中，所述驗證信息例如還可以攜帶有所述IC卡采用的卡序號、分散密鑰索引DKI、密文版本號和算法標(biāo)識，以便所述服務(wù)器系統(tǒng)采用所述卡序號、所述DKI、所述密文版本號和所述算法標(biāo)識對所述應(yīng)用密文進行驗證。

具體實現(xiàn)時，IC卡端生成應(yīng)用密文后，將攜帶有該應(yīng)用密文的驗證信息發(fā)送給移動終端。其中，驗證信息除了攜帶有應(yīng)用密文外，還可以包括：IC卡采用的卡序號、分散密鑰索引DKI、密文版本號、算法標(biāo)識等。然后，移動終端將攜帶有驗證信息的業(yè)務(wù)確認信息發(fā)送給服務(wù)器系統(tǒng)。服務(wù)器系統(tǒng)可以基于業(yè)務(wù)確認信息終端中的驗證信息，獲得所述應(yīng)用密文、所述卡序號、所述DKI、所述密文版本號和所述算法標(biāo)識，并可以采用所述卡序號、所述DKI、所述密文版本號和所述算法標(biāo)識對所述應(yīng)用密文進行驗證。

在本實施例的一些實施方式中，移動終端在接收到IC卡端發(fā)送的驗證信息后，還可以包括：在移動終端上顯示應(yīng)用密文，并提示客戶確認網(wǎng)絡(luò)業(yè)務(wù)并輸入進行網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)確認碼，其中，業(yè)務(wù)確認碼也可以理解成交易密碼。然后，移動終端將用戶輸入的業(yè)務(wù)確認碼及驗證信息發(fā)送給服務(wù)器系統(tǒng)。也就是說，服務(wù)器系統(tǒng)收到的業(yè)務(wù)確認信息除了包含驗證信息外還可以包含用戶輸入的業(yè)務(wù)確認碼。其中，業(yè)務(wù)確認碼可以是用戶在移動終端上確認執(zhí)行網(wǎng)絡(luò)業(yè)務(wù)時輸入的。例如，若網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)，業(yè)務(wù)確認碼可以是用戶輸入的交易密碼。

本實施例中，服務(wù)器系統(tǒng)對接收到的應(yīng)用密文進行驗證的過程例如可以包括：對用戶輸入的業(yè)務(wù)確認碼進行驗證，檢查IC卡是否掛失，檢查發(fā)卡行隨機數(shù)和IC卡號是否被篡改；若以上信息均驗證通過，再根據(jù)預(yù)設(shè)的發(fā)卡行密鑰、接收到的IC卡端的卡號和IC卡采用的卡序號分散出卡片密鑰，再利用卡片密鑰和交易計數(shù)器對網(wǎng)絡(luò)業(yè)務(wù)進行計算得到的計算結(jié)果分散出過程密鑰，再在過程密鑰的基礎(chǔ)上，采用對稱密鑰算法，將隨機數(shù)和業(yè)務(wù)信息生成應(yīng)用密文；將在IC卡端生成的應(yīng)用密文和在服務(wù)器系統(tǒng)生成的應(yīng)用密文進行匹配，若匹配成功，服務(wù)器系統(tǒng)再判斷是否能夠進行后續(xù)的網(wǎng)絡(luò)業(yè)務(wù)操作，若操作成功，向移動終端反饋提示信息，以提示用戶交易成功；若操作失敗，向移動終端反饋提示信息，以提示用戶交易失敗的原因。若匹配失敗，直接向移動終端反饋提示信息，以提示用戶動態(tài)口令驗證失敗。

可以理解的是，在網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)的情況下，在通過IC卡端與移動終端之間的信息交互來實現(xiàn)網(wǎng)上交易業(yè)務(wù)的安全認證之前，用戶可以通過柜臺、網(wǎng)銀或者電話等方式將銀行卡賬號與IC卡端綁定，以實現(xiàn)簽約IC卡端作為驗證交易的安全認證方式。

需要說明的是，在進行網(wǎng)絡(luò)業(yè)務(wù)時，當(dāng)用戶因為某些原因使用的是錯誤的IC卡，可能會造成網(wǎng)絡(luò)業(yè)務(wù)的執(zhí)行失敗，為此，在本實施例的一些實施方式中，移動終端先對IC卡端提供的卡號進行驗證再向IC卡端請求應(yīng)用密文，具體的，在步驟101之前還可以包括：通過所述NFC模塊向所述移動終端發(fā)送所述IC卡端的卡號，以便所述移動終端在比較出所述IC卡端發(fā)送的卡號與所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的卡號相同的情況下通過所述NFC模塊向所述IC卡端發(fā)送所述隨機數(shù)和所述業(yè)務(wù)信息。此外，若IC卡端發(fā)送的卡號與服務(wù)器系統(tǒng)針對業(yè)務(wù)請求返回的卡號不相同，移動終端可以反饋用于表示卡號錯誤的信息。

可以理解的是，在網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)的情況下，若在移動終端上從IC端獲取到卡號信息和從服務(wù)器系統(tǒng)獲取的卡號信息匹配成功，則表示該IC卡端是與進行交易銀行卡賬號簽約了的IC卡端。

需要說明的是，有時服務(wù)器系統(tǒng)為用戶提供了多種安全認證方式，若用戶預(yù)先在服務(wù)器系統(tǒng)中將認證方式設(shè)定成了IC卡端的動態(tài)口令認證，移動終端可以執(zhí)行IC卡端的安全認證流程。具體地，在本實施例的一些實施方式中，例如還可以包括：移動終端在向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后，接收所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的認證方式；移動終端響應(yīng)于識別到所述認證方式為動態(tài)口令認證，執(zhí)行所述顯示所述服務(wù)器返回的卡號。具體地，在網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)的情況下，用戶通過移動終端發(fā)起交易請求，移動終端將交易請求發(fā)送給服務(wù)器系統(tǒng)。服務(wù)器系統(tǒng)根據(jù)交易請求，判斷進行該交易的銀行卡賬號是否簽約了IC卡作為認證工具，若簽約了IC卡，則生成發(fā)卡行隨機數(shù)，其中所述發(fā)卡行隨機數(shù)也就是前文中提到的隨機數(shù)。服務(wù)器系統(tǒng)將簽約的IC卡號、發(fā)卡行隨機數(shù)和用于表示IC卡端動態(tài)口令認證的認證方式反饋給移動終端，以便移動終端在識別到認證方式為動態(tài)口令認證的情況下執(zhí)行IC卡端的安全認證流程。若未簽約IC卡號，服務(wù)器系統(tǒng)可以判斷用戶簽約了哪種形式的認證方式，并將用戶簽約的認證方式反饋給移動終端。

通過本實施例提供的方法，用戶在進行網(wǎng)絡(luò)業(yè)務(wù)的過程中，移動終端與服務(wù)器系統(tǒng)之間的動態(tài)口令認證采用的是IC卡端來實現(xiàn)，移動終端通過NFC模塊與IC卡端進行信息的交互，移動終端獲取IC卡端生成的應(yīng)用密文等信息，再通過服務(wù)器系統(tǒng)對IC卡端生成的應(yīng)用密文進行驗證。因此，采用IC卡作為實現(xiàn)動態(tài)口令的認證設(shè)備，相對于軟件的方式來說，安全性更高；相對于電子密碼器來說，操作更加便捷，成本也更低。

參考圖2，示出了本發(fā)明實施例中一種實現(xiàn)安全認證的方法的流程示意圖。該方法應(yīng)用于移動終端，在本實施例中，所述方法例如可以包括以下步驟：

步驟201：向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求。

步驟202：接收服務(wù)器系統(tǒng)響應(yīng)于所述隨機數(shù)和業(yè)務(wù)信息，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊。

步驟203：通過所述NFC模塊向IC卡端發(fā)送所述隨機數(shù)和業(yè)務(wù)信息，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)。

步驟204：通過所述NFC模塊接收所述IC卡端發(fā)送的驗證信息。

步驟205：向所述服務(wù)器系統(tǒng)發(fā)送攜帶有所述驗證信息的業(yè)務(wù)確認信息，以便所述服務(wù)器系統(tǒng)對應(yīng)用密文進行驗證。

其中，所述驗證信息攜帶有所述應(yīng)用密文，所述應(yīng)用密文是所述IC卡端基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算而生成的。

需要說明的是，本實施例所提及的網(wǎng)絡(luò)業(yè)務(wù)、業(yè)務(wù)信息、隨機數(shù)、移動終端、IC卡端和服務(wù)器系統(tǒng)，詳細介紹可參見前述圖1對應(yīng)的實施例，在此不再贅述。

在本實施例的一些實施方式中，移動終端例如可以是手機、平板電腦等任意一種配置有NFC模塊并且能夠觸發(fā)網(wǎng)絡(luò)業(yè)務(wù)的移動終端，IC卡端例如可以配置在具有支付功能的支付卡上，服務(wù)器系統(tǒng)例如可以為用于所述支付卡提供支付功能的網(wǎng)上支付系統(tǒng)。

在本實施例中，服務(wù)器系統(tǒng)對應(yīng)用密文進行驗證的過程可參見前述圖1對應(yīng)的實施例的介紹，在此不再贅述。

在本實施例的一些實施方式中，步驟205中向所述服務(wù)器系統(tǒng)發(fā)送攜帶有所述驗證信息的業(yè)務(wù)確認信息，具體可以包括：移動終端響應(yīng)于針對所述業(yè)務(wù)請求的確認操作，獲取在所述確認操作下輸入的業(yè)務(wù)確認碼；移動終端基于所述驗證信息和所述業(yè)務(wù)確認碼生成所述業(yè)務(wù)確認信息；移動終端向所述服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)確認信息?？梢岳斫獾氖?，當(dāng)移動終端接收到IC卡端發(fā)送的驗證信息后，移動終端可以提示用戶確認交易并輸入業(yè)務(wù)確認碼。在用戶執(zhí)行了確認操作并輸入業(yè)務(wù)確認碼之后，移動終端可以將驗證信息和業(yè)務(wù)確認碼作為業(yè)務(wù)確認信息發(fā)送給服務(wù)器系統(tǒng)。

需要說明的是，在網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)的情況下，業(yè)務(wù)確認碼例如可以是進行網(wǎng)絡(luò)業(yè)務(wù)的賬號的交易密碼。

在本實施例中，在步驟202之前，可以對IC卡端的卡號進行驗證，驗證與移動終端交互的IC卡端是否為該網(wǎng)絡(luò)業(yè)務(wù)相對應(yīng)的IC卡。具體的，在本實施例的一些實施方式中，還可以包括：在向所述服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)請求之后，移動終端接收所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的卡號；移動終端通過所述NFC模塊接收所述IC卡端發(fā)送的卡號；移動終端比較所述IC卡端發(fā)送的卡號與所述服務(wù)器系統(tǒng)返回的卡號是否相同；在相同的情況下，移動終端執(zhí)行步驟203。

更具體地，移動終端向服務(wù)器發(fā)送網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后，若簽約了IC卡作為動態(tài)口令的認證工具，服務(wù)器系統(tǒng)將簽約的IC卡的卡號反饋給移動終端，移動終端通過NFC模塊與IC卡端進行交互，獲取IC卡的卡號，將從服務(wù)器獲得的簽約的IC卡的卡號與從IC卡端獲得的IC卡的卡號進行對比，若二者的卡號相同，執(zhí)行步驟203。

需要說明的是，在網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)的情況下，服務(wù)器系統(tǒng)返回的卡號可以對應(yīng)于網(wǎng)上交易業(yè)務(wù)所涉及的銀行卡網(wǎng)絡(luò)業(yè)務(wù)的賬號綁定的IC卡。從IC卡端獲得的卡號是與移動終端進行信息交互的IC卡端的卡號。

在本實施例的又一些實施方式中，在移動終端驗證IC卡端的卡號的基礎(chǔ)上，還可以包括：移動終端在接收到所述服務(wù)器系統(tǒng)返回的卡號之后，顯示所述服務(wù)器返回的卡號，以提示所述移動終端采集所述IC卡端發(fā)送的卡號。

更具體地，移動終端向服務(wù)器系統(tǒng)發(fā)送網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后，若簽約了IC卡作為動態(tài)口令的認證工具，服務(wù)器系統(tǒng)將簽約的IC卡的卡號反饋給移動終端，在移動終端上顯示服務(wù)器返回的卡號，此時，用戶可以根據(jù)服務(wù)器上顯示的IC卡的卡號，選擇IC卡與移動終端進行交互，移動終端通過NFC模塊獲取與移動終端進行交互的IC卡號。

可以理解的是，在移動終端對IC卡端的卡號進行驗證，也可以是用戶進行比對，當(dāng)用戶確認比對成功時，可以手動觸發(fā)移動終端執(zhí)行步驟203。

在本實施例的又一些實施方式中，在服務(wù)器系統(tǒng)上也可以對IC端的卡號的驗證。具體的，當(dāng)移動終端采集到IC卡端卡號后，將該IC卡端的卡號作為業(yè)務(wù)確認信息中的一部分發(fā)送給服務(wù)器系統(tǒng)，服務(wù)器系統(tǒng)再對簽約的卡號和業(yè)務(wù)確認信息中的卡號進行比對，若比對成功，再對應(yīng)用密文進行驗證。

在本實施例中，服務(wù)器系統(tǒng)為網(wǎng)絡(luò)業(yè)務(wù)提供的認證方式可以有多種。例如，除了IC卡作為動態(tài)口令認證工具的認證方式還可以包括軟件密令的認證方式、電子密碼器作為動態(tài)口令認證工具的認證方式等任意一種或多種可用于移動終端上進行動態(tài)口令認證的方式。在服務(wù)器系統(tǒng)為網(wǎng)絡(luò)業(yè)務(wù)提供有多種認證方式的情況下，服務(wù)器在接收到業(yè)務(wù)請求之后，可以向移動終端反饋用戶預(yù)先設(shè)置的認證方式，這樣移動終端根據(jù)接收到的認證方式進行相應(yīng)的安全認證。具體的，在本實施例的一些實施方式中，在步驟201之后，還可以包括：在向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后，移動終端接收所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的認證方式；移動終端響應(yīng)于識別到所述認證方式為動態(tài)口令認證，執(zhí)行所述顯示所述服務(wù)器返回的卡號。

更具體地，移動終端向服務(wù)器系統(tǒng)發(fā)送了網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求后，服務(wù)器系統(tǒng)根據(jù)該業(yè)務(wù)請求確定用戶簽約的認證方式，并將該認證方式反饋給移動終端，若移動終端接收到的認證方式為IC卡的動態(tài)口令認證，在移動終端上顯示用戶簽約的IC卡的卡號。但是，若移動終端接收到的認證方式為除IC卡動態(tài)口令之外的其它認證方式，根據(jù)具體的認證方式，進行相應(yīng)的驗證操作。

通過本實施例提供的方法，用戶在進行網(wǎng)絡(luò)業(yè)務(wù)的過程中，移動終端與服務(wù)器系統(tǒng)之間的動態(tài)口令認證采用的是IC卡端來實現(xiàn)，移動終端通過NFC模塊與IC卡端進行信息的交互，移動終端獲取IC卡端生成的應(yīng)用密文等信息，再通過服務(wù)器系統(tǒng)對IC卡端生成的應(yīng)用密文進行驗證。因此，采用IC卡作為實現(xiàn)動態(tài)口令的認證設(shè)備，相對于軟件的方式來說，安全性更高；相對于電子密碼器來說，操作更加便捷，成本也更低。

參考圖3，示出了本發(fā)明實施例中一種實現(xiàn)安全認證的方法的流程示意圖。在本實施例中，所述方法例如可以包括：

步驟301：響應(yīng)于用戶的觸發(fā)操作，移動終端生成針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求。

步驟302：移動終端向服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)請求。

步驟303：服務(wù)器系統(tǒng)接收到所述業(yè)務(wù)請求后，判斷認證方式是否為IC卡動態(tài)口令認證。

本實施例中，動態(tài)口令的認證方式可以是IC卡的動態(tài)口令認證方式，也可以是電子密碼器的認證方式或者其它能夠?qū)崿F(xiàn)移動終端上交易的動態(tài)口令的認證方式。因此，當(dāng)服務(wù)器系統(tǒng)接收到所述業(yè)務(wù)請求后，需要判斷認證方式是否是IC卡動態(tài)口令認證。

步驟304：若認證方式是IC卡動態(tài)口令認證，在服務(wù)器系統(tǒng)生成隨機數(shù)，并將簽約IC端的卡號、認證方式和所述隨機數(shù)反饋給移動終端。

步驟305：移動終端響應(yīng)于所述IC卡動態(tài)口令認證，顯示所述IC卡端的卡號，以提示用戶選擇相應(yīng)的IC卡端與所述移動終端進行交互。

本實施例中，移動終端根據(jù)接收到的認證方式，判斷是否該認證方式是否為所述IC卡動態(tài)口令認證，若是，顯示所述移動終端的卡號，以提示用戶選擇相應(yīng)的IC卡與移動終端進行交互。

步驟306：移動終端將所述隨機數(shù)和業(yè)務(wù)信息發(fā)送給IC卡端。

步驟307：IC卡端基于預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算，生成應(yīng)用密文。

在本實施例中，每個IC卡都設(shè)置了相對應(yīng)的密鑰，用來對接收到的隨機數(shù)和業(yè)務(wù)信息進行加密。加密算法例如可以是對稱加密算法也可以是非對稱加密算法。

當(dāng)IC卡端接收到移動終端發(fā)送來的隨機數(shù)和業(yè)務(wù)信息后，通過IC卡端預(yù)置的密鑰和加密算法對隨機數(shù)和業(yè)務(wù)信息進行加密運算。具體的步驟307例如可以包括：利用所述IC卡端的卡片密鑰和所述網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)分散出過程密鑰；基于過程密鑰，采用對稱密鑰算法對所述隨機數(shù)進行加密運算，生成所述應(yīng)用密文。

步驟308：IC卡端將攜帶有應(yīng)用密文的驗證信息發(fā)送給所述移動終端。

本實施例中，所述驗證信息還攜帶有所述IC卡采用的卡序號、分散密鑰索引DKI、密文版本號和算法標(biāo)識，以便所述服務(wù)器系統(tǒng)采用所述卡序號、所述DKI、所述密文版本號和所述算法標(biāo)識對所述應(yīng)用密文進行驗證。

步驟309：移動終端將攜帶有驗證信息的業(yè)務(wù)確認信息發(fā)送給所述網(wǎng)絡(luò)服務(wù)器。

本實施例中，該步驟具體的實現(xiàn)方法包括：響應(yīng)于針對所述業(yè)務(wù)請求的確認操作，獲取在所述確認操作下輸入的業(yè)務(wù)確認碼；基于所述驗證信息和所述業(yè)務(wù)確認碼生成所述業(yè)務(wù)確認信息；向所述服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)確認信息。

本實施例中，當(dāng)移動終端接收到攜帶有應(yīng)用密文的驗證信息后，顯示驗證信息，并提示用戶輸入確認該網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)確認碼，并將所述業(yè)務(wù)確認碼和所述驗證信息作為業(yè)務(wù)確認信息發(fā)送給服務(wù)器系統(tǒng)。

步驟310：網(wǎng)絡(luò)服務(wù)器依據(jù)所述業(yè)務(wù)確認信息對所述應(yīng)用密文進行驗證。

本實施例中，網(wǎng)絡(luò)服務(wù)器在接收到業(yè)務(wù)確認信息后，依據(jù)接收到的IC卡端的卡號判斷所述IC卡是否掛失，對用戶輸入的業(yè)務(wù)確認碼進行驗證，檢查簽約的IC卡和隨機數(shù)是否被篡改。若所述IC卡未掛失、所述業(yè)務(wù)確認碼正確，簽約的IC卡號和隨機數(shù)未被篡改，根據(jù)預(yù)置的發(fā)卡行密鑰、所述IC卡端的卡號和所述IC卡端采用的卡序號分散出卡片密鑰，依據(jù)所述卡片密鑰和網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)分散出過程密鑰，再依據(jù)所述過程密鑰，采用對稱密鑰算法生成應(yīng)用密文，將在服務(wù)器系統(tǒng)生成的應(yīng)用密文和獲取的IC端生成的應(yīng)用密文進行匹配，若這兩個應(yīng)用密文相同，表示驗證成功。

步驟311：若驗證成功，服務(wù)器系統(tǒng)判斷是否執(zhí)行網(wǎng)絡(luò)業(yè)務(wù)，并將交易結(jié)果反饋給移動終端。

驗證成功后，服務(wù)器系統(tǒng)判斷是否執(zhí)行網(wǎng)絡(luò)業(yè)務(wù)，例如轉(zhuǎn)賬、支付等后續(xù)操作，并將最終的交易結(jié)果反饋給移動終端，以提示用戶交易是否成功。

通過本實施例提供的方法，采用IC卡作為實現(xiàn)動態(tài)口令的認證設(shè)備與移動終端進行交互，在交互的過程中，生成業(yè)務(wù)驗證信息，并通過服務(wù)器系統(tǒng)對業(yè)務(wù)驗證信息進行驗證。因此，采用IC卡作為實現(xiàn)動態(tài)口令的認證設(shè)備，相對于軟件的方式來說，安全性更高；相對于電子密碼器來說，操作更加便捷，成本也更低。

示例性設(shè)備

參考圖4，示出了本發(fā)明實施例中一種實現(xiàn)安全認證的裝置的結(jié)構(gòu)示意圖。該裝置配置于IC卡端，在本實施例中，所述裝置具體可以包括

接收單元401，用于接收移動終端通過近場通信NFC模塊發(fā)送的隨機數(shù)和業(yè)務(wù)信息，所述隨機數(shù)是服務(wù)器系統(tǒng)響應(yīng)于所述移動終端針對網(wǎng)絡(luò)業(yè)務(wù)發(fā)起的業(yè)務(wù)請求而返回給所述移動終端的，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊。

生成單元402，用于基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算，生成應(yīng)用密文。

第一發(fā)送單元403，用于通過所述NFC模塊向所述移動終端發(fā)送攜帶有所述應(yīng)用密文的驗證信息，以便所述服務(wù)器系統(tǒng)接收所述移動終端發(fā)送的攜帶有所述驗證信息的業(yè)務(wù)確認信息并對所述應(yīng)用密文進行驗證。

可選的，本實施例中，所述生成單元，包括：

分散子單元，用于利用所述IC卡端的卡片密鑰和所述網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)分散出過程密鑰。

生成子單元，用于基于過程密鑰，采用對稱密鑰算法對所述隨機數(shù)進行加密運算，生成所述應(yīng)用密文。

可選的，本實施例中，還包括：

第二發(fā)送單元，用于通過所述NFC模塊向所述移動終端發(fā)送所述IC卡端的卡號，以便所述移動終端在比較出所述IC卡端發(fā)送的卡號與所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的卡號相同的情況下通過所述NFC模塊向所述IC卡端發(fā)送所述隨機數(shù)和所述業(yè)務(wù)信息。

所述網(wǎng)絡(luò)業(yè)務(wù)為網(wǎng)上交易業(yè)務(wù)，所述IC卡端配置在具備支付功能的支付卡上，所述服務(wù)器系統(tǒng)為用于為所述支付卡提供支付功能的網(wǎng)上支付系統(tǒng)。

通過本實施例提供的裝置，用戶在進行網(wǎng)絡(luò)業(yè)務(wù)的過程中，移動終端與服務(wù)器系統(tǒng)之間的動態(tài)口令認證采用的是IC卡端來實現(xiàn)，移動終端通過NFC模塊與IC卡端進行信息的交互，移動終端獲取IC卡端生成的應(yīng)用密文等信息，再通過服務(wù)器系統(tǒng)對IC卡端生成的應(yīng)用密文進行驗證。因此，采用IC卡作為實現(xiàn)動態(tài)口令的認證設(shè)備，相對于軟件的方式來說，安全性更高；相對于電子密碼器來說，操作更加便捷，成本也更低。

參考圖5，示出了本發(fā)明實施例中一種實現(xiàn)安全認證裝置的示意圖。在本實施例中，所述裝置包括：

第一發(fā)送單元501，用于向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求；

第一接收單元502，用于接收所述服務(wù)器系統(tǒng)響應(yīng)于所述業(yè)務(wù)請求而返回的隨機數(shù)；

第二發(fā)送單元503，用于通過NFC模塊向IC卡端發(fā)送所述隨機數(shù)和業(yè)務(wù)信息，所述業(yè)務(wù)信息用于描述所述網(wǎng)絡(luò)業(yè)務(wù)，所述移動終端上配置有所述NFC模塊；

第二接收單元504，用于通過所述NFC模塊接收所述IC卡端發(fā)送的驗證信息；

第二發(fā)送單元505，用于向所述服務(wù)器系統(tǒng)發(fā)送攜帶有所述驗證信息的業(yè)務(wù)確認信息，以便所述服務(wù)器系統(tǒng)對應(yīng)用密文進行驗證；

其中，所述驗證信息攜帶有所述應(yīng)用密文，所述應(yīng)用密文是所述IC卡端基于所述IC卡端預(yù)置的密鑰和加密算法對所述隨機數(shù)和所述業(yè)務(wù)信息進行加密運算而生成的。

本實施例中，所述驗證信息還攜帶有所述IC卡的卡序號、分散密鑰索引DKI、密文版本號和所述對稱密鑰算法的算法標(biāo)識，以便所述服務(wù)器系統(tǒng)采用所述卡序號、所述DKI、所述密文版本號和所述算法標(biāo)識對所述應(yīng)用密文進行驗證；

其中，所述應(yīng)用密文具體是所述IC卡端利用所述IC卡端的卡片密鑰和所述網(wǎng)絡(luò)業(yè)務(wù)的計數(shù)分散出過程密鑰并基于過程密鑰采用對稱密鑰算法對所述隨機數(shù)進行加密運算而生成的。

本實施例中，所述第二發(fā)送單元具體包括：

獲取子單元，用于響應(yīng)于針對所述業(yè)務(wù)請求的確認操作，獲取在所述確認操作下輸入的業(yè)務(wù)確認碼；

生成子單元，用于基于所述驗證信息和所述業(yè)務(wù)確認碼生成所述業(yè)務(wù)確認信息；

第一發(fā)送子單元，用于向所述服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)確認信息。

本實施例中，還包括：

第二接收單元，用于在向所述服務(wù)器系統(tǒng)發(fā)送所述業(yè)務(wù)請求之后，接收所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的卡號。

第三接收單元，用于通過所述NFC模塊接收所述IC卡端發(fā)送的卡號。

比較單元，用于比較所述IC卡端發(fā)送的卡號與所述服務(wù)器系統(tǒng)返回的卡號是否相同。

第一執(zhí)行單元，用于在相同的情況下，執(zhí)行所述通過NFC模塊向IC卡端發(fā)送所述隨機數(shù)和業(yè)務(wù)信息。

顯示單元，用于在接收到所述服務(wù)器系統(tǒng)返回的卡號之后，顯示所述服務(wù)器返回的卡號，以提示所述移動終端采集所述IC卡端發(fā)送的卡號。

第四接收單元，用于在向服務(wù)器系統(tǒng)發(fā)送針對網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)請求之后，接收所述服務(wù)器系統(tǒng)針對所述業(yè)務(wù)請求返回的認證方式。

第二執(zhí)行單元，用于響應(yīng)于識別到所述認證方式為動態(tài)口令認證，執(zhí)行所述顯示所述服務(wù)器返回的卡號。

通過本實施例提供的設(shè)備，用戶在進行網(wǎng)絡(luò)業(yè)務(wù)的過程中，移動終端與服務(wù)器系統(tǒng)之間的動態(tài)口令認證采用的是IC卡端來實現(xiàn)，移動終端通過NFC模塊與IC卡端進行信息的交互，移動終端獲取IC卡端生成的應(yīng)用密文等信息，再通過服務(wù)器系統(tǒng)對IC卡端生成的應(yīng)用密文進行驗證。因此，采用IC卡作為實現(xiàn)動態(tài)口令的認證設(shè)備，相對于軟件的方式來說，安全性更高；相對于電子密碼器來說，操作更加便捷，成本也更低。

參考圖6，為本發(fā)明實施例中一種實現(xiàn)安全認證的系統(tǒng)的結(jié)構(gòu)示意圖。在本實施例中，所述系統(tǒng)包括：

IC卡端601、移動終端602和服務(wù)器系統(tǒng)603。

其中，所述IC卡端配置有如圖4對應(yīng)的實施例提供的裝置，所述移動終端配置有圖5對應(yīng)的實施例提供的裝置。

所述服務(wù)器系統(tǒng)，用來生成隨機數(shù)和對IC卡端生成的密文進行驗證。

本實施例中，移動終端觸發(fā)網(wǎng)絡(luò)業(yè)務(wù)的請求后，將網(wǎng)絡(luò)業(yè)務(wù)請求發(fā)送給服務(wù)器系統(tǒng)，服務(wù)器系統(tǒng)生成隨機數(shù)，并將隨機數(shù)反饋給移動終端，移動終端通過NFC模塊將所述隨機數(shù)和描述網(wǎng)絡(luò)業(yè)務(wù)的業(yè)務(wù)信息發(fā)送給IC卡端，IC卡端將所述隨機數(shù)和業(yè)務(wù)信息生成應(yīng)用密文，并將攜帶有應(yīng)用密文的驗證信息通過NFC模塊發(fā)送給移動終端，移動終端將攜帶有驗證信息的業(yè)務(wù)確認信息發(fā)送給服務(wù)器系統(tǒng)，服務(wù)器系統(tǒng)根據(jù)所述業(yè)務(wù)確認信息對所述應(yīng)用密文進行驗證。

通過本實施例提供的系統(tǒng)，用戶在進行網(wǎng)絡(luò)業(yè)務(wù)的過程中，移動終端與服務(wù)器系統(tǒng)之間的動態(tài)口令認證采用的是IC卡端來實現(xiàn)，移動終端通過NFC模塊與IC卡端進行信息的交互，移動終端獲取IC卡端生成的應(yīng)用密文等信息，再通過服務(wù)器系統(tǒng)對IC卡端生成的應(yīng)用密文進行驗證。因此，采用IC卡作為實現(xiàn)動態(tài)口令的認證設(shè)備，相對于軟件的方式來說，安全性更高；相對于電子密碼器來說，操作更加便捷，成本也更低。

本發(fā)明實施例中提到的“第一發(fā)送單元”、“第一接收單元”等名稱中的“第一”只是用來做名字標(biāo)識，并不代表順序上的第一。該規(guī)則同樣適用于“第二”等。

通過以上的實施方式的描述可知，本領(lǐng)域的技術(shù)人員可以清楚地了解到上述實施例方法中的全部或部分步驟可借助軟件加通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中，如只讀存儲器(英文：read-only memory，ROM)/RAM、磁碟、光盤等，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者諸如路由器等網(wǎng)絡(luò)通信設(shè)備)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于方法實施例和設(shè)備實施例而言，由于其基本相似于系統(tǒng)實施例，所以描述得比較簡單，相關(guān)之處參見系統(tǒng)實施例的部分說明即可。以上所描述的設(shè)備及系統(tǒng)實施例僅僅是示意性的，其中作為分離部件說明的模塊可以是或者也可以不是物理上分開的，作為模塊顯示的部件可以是或者也可以不是物理模塊，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

以上所述僅是本發(fā)明的優(yōu)選實施方式，并非用于限定本發(fā)明的保護范圍。應(yīng)當(dāng)指出，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明的前提下，還可以作出若干改進和潤飾，這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。