一種移動設備使用者身份認證系統(tǒng)及方法

文檔序號：7803739閱讀：382來源：國知局

一種移動設備使用者身份認證系統(tǒng)及方法
【專利摘要】本發(fā)明涉及一種移動設備使用者身份認證系統(tǒng)及實施該系統(tǒng)的方法，所述系統(tǒng)包括移動設備、通用計算機、認證中心和認證設備，認證中心通過通用計算機和認證設備來確認操作者身份，之后由所述移動設備從認證中心獲取身份憑證并通過認證憑證保護模塊通過設置密碼的方式來保護認證憑證，從而確保了移動設備使用者的身份。
【專利說明】一種移動設備使用者身份認證系統(tǒng)及方法
【技術領域】
[0001]本發(fā)明涉及安全認證領域，具體涉及一種移動設備使用者身份認證系統(tǒng)及方法?！颈尘凹夹g】
[0002]如今手機應用越來越普及,手機應用涉及的范圍越來越廣，已不僅僅作為通信設備，還應用在包括諸如游戲軟件下載、手機支付、預約掛號、車票預定等方面，然而很多手機在應用時需要進行身份認證，以此來避免很多不必要的麻煩，特別是進行手機消費等涉及支付安全方面的應用。
[0003]認證，是由可以充分信任的第三方證實某一經鑒定的產品或服務符合特定標準或規(guī)范性文件的活動。身份認證是在計算機網絡中確認操作者身份的過程。身份認證可分為用戶與主機間的認證和主機與主機之間的認證，用戶與主機之間的認證可以基于如下一個或幾個因素:用戶所知道的東西:例如口令、密碼等，用戶擁有的東西，例如印章、智能卡(如信用卡等)；用戶所具有的生物特征:例如指紋、聲音、視網膜、簽字、筆跡等。
[0004]電腦上的身份認證目前已經很完善了，特別是銀行的動態(tài)口令、U盾的普及，大大加強了在網上支付方面的安全性，然而其它移動設備如搜集身份認證卻存在很大缺點，只有確保移動設備的身份，才能更加有效將各種移動設備投入的生產應用中。

【發(fā)明內容】

[0005]為解決上述問題，本發(fā)明首先涉及了一種移動設備使用者身份認證系統(tǒng)，包括移動設備和認證中心，所述認證中心用于向所述移動設備提供認證憑證，所述移動設備安裝有認證憑證應用模塊，用于對所述認證憑證進行獲取、存儲和保護。
[0006]優(yōu)選的是，所述移動設備通過通用計算機來獲取認證憑證。
[0007]在上述任一方案中優(yōu)選的是，所述通用計算機通過認證設備來獲取認證中心的認證。
[0008]在上述任一方案中優(yōu)選的是，所述認證設備為安裝有移動證書的USB設備。
[0009]在上述任一方案中優(yōu)選的是，所述認證設備為動態(tài)口令令牌。
[0010]在上述任一方案中優(yōu)選的是，所述認證設備為二代身份證。
[0011]在上述任一方案中優(yōu)選的是，所述認證設備為IC卡。
[0012]在上述任一方案中優(yōu)選的是，所述認證憑證應用模塊包括認證憑證獲取模塊、認證憑證存儲模塊和認證憑證保護模塊。
[0013]在上述任一方案中優(yōu)選的是，所述移動設備通過所述認證憑證獲取模塊從所述通用計算機來獲取認證憑證。
[0014]在上述任一方案中優(yōu)選的是，所述通用計算機獲取移動設備硬件識別號并提供給認證中心。
[0015]在上述任一方案中優(yōu)選的是，所述認證中心以所述硬件識別號為認證憑證加密。
[0016]在上述任一方案中優(yōu)選的是，所述認證憑證獲取模塊通過掃描二維碼來獲取通用計算機上的認證憑證。
[0017]在上述任一方案中優(yōu)選的是，所述移動設備應用在需要確認設備操作者個人身份信息的領域時從認證憑證存儲模塊調用認證憑證。
[0018]在上述任一方案中優(yōu)選的是，所述需要確認設備操作者個人身份信息的領域為手機支付。
[0019]在上述任一方案中優(yōu)選的是，所述需要確認設備操作者個人身份信息的領域為預約掛號。
[0020]在上述任一方案中優(yōu)選的是，從所述認證憑證存儲模塊調用認證憑證時需輸入密碼。
[0021]在上述任一方案中優(yōu)選的是，所述密碼在移動設備首次獲取認證憑證時進行設置并由所述認證憑證保護模塊進行存儲和保護。
[0022]在上述任一方案中優(yōu)選的是，所述移動設備獲取認證憑證為加密認證憑證，以移動設備的硬件識別號解密。
[0023]在上述任一方案中優(yōu)選的是，解密與讀取識別號在同一方法中實現。
[0024]在上述任一方案中優(yōu)選的是，所述認證憑證保護模塊在特定次數內輸入密碼錯誤的情況下刪除所述認證憑證。
[0025]在上述任一方案中優(yōu)選的是，所述特定次數由所述認證憑證保護模塊進行設定。
[0026]在上述任一方案中優(yōu)選的是，所述認證中心為能確認個人身份的機構。
[0027]在上述任一方案中優(yōu)選的是，所述能確認個人身份的機構包括銀行、CA中心、政府機構和公安部門。
[0028]在上述任一方案中優(yōu)選的是，所述通用計算機通過靜態(tài)密碼方式來獲取認證中心的認證。
[0029]在上述任一方案中優(yōu)選的是，所述移動設備通過認證設備來獲取認證中心的認證。
[0030]在上述任一方案中優(yōu)選的是，所述移動設備通過靜態(tài)密碼方式來獲取認證中心的認證。
[0031]本發(fā)明另一個方面涉及了一種移動設備使用者身份認證方法，實施該方法的系統(tǒng)包括移動設備、和認證中心，具體包括以下步驟:
51、移動設備獲取認證憑證；
52、設置身份憑證使用密碼；
53、通過認證憑證保護模塊對認證憑證進行保護。
[0032]優(yōu)選的是，在所述步驟SI中，移動設備通過通用計算機來獲取認證憑證，之后移動設備從通用計算機處獲取所述認證憑證。
[0033]在上述任一方案中優(yōu)選的是，移動設備通過掃描二維碼的形式從通用計算機處獲取所述認證憑證，具體包括以下步驟:
Al、移動設備提供硬件識別號給通用計算機；
A2、由通用計算機向認證中心發(fā)送硬件識別號；
A3、由認證中心以硬件識別號做為密碼為認證憑證加密；
A4、移動設備獲取加密后的認證憑證； A5、移動設備以硬件識別號對認證憑證解密。
[0034]在上述任一方案中優(yōu)選的是，在所述步驟A5中，解密與讀取識別號在同一方法中實現。
[0035]在上述任一方案中優(yōu)選的是，在所述步驟S2中，由認證憑證保護模塊設置密碼來對認證憑證進行保護。
[0036]在上述任一方案中優(yōu)選的是，在所述步驟S3中，在設定次數內輸入密碼錯誤時，由所述認證憑證保護模塊刪除移動設備內的認證憑證。
[0037]在上述任一方案中優(yōu)選的是，所述認證憑證銷毀后，由所述移動設備重新從認證中心獲取。
[0038]在上述任一方案中優(yōu)選的是，所述通用計算機通過認證設備來獲得認證中心認證。
[0039]在上述任一方案中優(yōu)選的是，所述通用計算機通過靜態(tài)密碼方式來獲得認證中心認證。
[0040]在上述任一方案中優(yōu)選的是，在所述步驟SI中，移動設備通過認證設備來獲得認證憑證。
[0041]在上述任一方案中優(yōu)選的是，在所述步驟SI中，移動設備通過靜態(tài)密碼方式獲得認證憑證。
【專利附圖】

【附圖說明】
[0042]圖1為按照本發(fā)明的移動設備使用者身份認證方法的一優(yōu)選實施例的示意圖。
[0043]圖2為按照本發(fā)明的移動設備使用者身份認證方法的另一優(yōu)選實施例的移動設備與認證中心直接通訊流程圖。
【具體實施方式】
[0044]下面結合附圖和優(yōu)選的實施方式對本發(fā)明作進一步的詳細描述。
[0045]實施例1:
為解決上述問題，本發(fā)明首先涉及一種移動設備使用者身份認證系統(tǒng)，包括移動設備，所述認證中心用于向所述移動設備提供認證憑證，所述移動設備安裝有認證憑證應用模塊，用于對所述認證憑證進行獲取、存儲和保護。
[0046]在本實施例中，所述移動設備使用者身份認證系統(tǒng)還包括一臺通用計算機，所述移動設備通過該計算機來獲取身份憑證。
[0047]所述通用計算機通過認證設備來獲取認證中心的認證，所述認證設備如U盾或者動態(tài)口令。
[0048]在本實施例中，所述認證憑證應用模塊包括認證憑證獲取模塊、認證憑證存儲模塊和認證憑證保護模塊，所述移動設備通過所述認證憑證獲取模塊從所述通用計算機來獲取認證憑證。
[0049]在本實施例中，移動設備首先向通用計算機提供移動設備的硬件識別號，并申請認證憑證，通用計算機在獲取信息后，想認證中心發(fā)送硬件識別號以及申請認證憑證，由認證中心提供認證憑證并以獲取的移動設備硬件識別號為密碼對此認證憑證加密，之后提供給通用計算機，通用計算機將加密后的認證憑證提供給移動設備，移動設備將解密程序與讀取識別號設置在同一個方法中實現，以移動設備的硬件識別號對加密認證憑證進行解
LU O
[0050]在本實施例中，所述認證憑證獲取模塊通過掃描二維碼來獲取通用計算機上的認證憑證。
[0051]所述移動設備應用在需要確認設備操作者個人身份信息的領域時從認證憑證存儲模塊調用認證憑證，比如手機支付、預約掛號、車票預訂等方面。
[0052]在本實施例中，認證中心為能確認個人身份的機構，包括銀行、CA中心、政府機構和公安部門，個人認證設備包括U盾、證書、口令卡。
[0053]或者為為二代身份證、IC卡。
[0054]在本實施例中，移動設備在獲取認證憑證后，由認證憑證保護模塊提示用戶設置密碼，之后保存該密碼，用以對認證憑證進行保護。
[0055]密碼的作用在于，用戶每次使用認證憑證時，都會被要求輸入密碼，在密碼輸入正確時，移動設備的認證憑證應用模塊讀取認證憑證并進行應用，如果密碼多次輸入錯誤則刪除該認證憑證，這里的多次由用戶進行設定。
[0056]認證憑證在刪除后，可以由移動設備從新進行認證憑證的獲取。
[0057]本發(fā)明另一個方面涉及一種移動設備使用者身份認證方法，實施該方法的系統(tǒng)包括移動設備，包括以下步驟:
51、移動設備獲取認證憑證；
52、設置身份憑證使用密碼；
53、通過認證憑證保護模塊對認證憑證進行保護。
[0058]在所述步驟SI中，移動設備通過通用計算機來獲取認證憑證，之后移動設備從通用計算機處獲取所述認證憑證，如圖1所示，具體包括以下步驟:
Al、移動設備提供硬件識別號給通用計算機；
A2、由通用計算機向認證中心發(fā)送硬件識別號；
A3、由認證中心以硬件識別號做為密碼為認證憑證加密；
A4、移動設備獲取加密后的認證憑證；
A5、移動設備以硬件識別號對認證憑證解密。
[0059]在所述步驟A5中，解密與讀取識別號在同一方法中實現。
[0060]認證憑證以二維碼的形式發(fā)送到通用計算機端，之后由移動設備通過掃描二維碼的形式從通用計算機處獲取所述認證憑證。
[0061]獲取認證憑證的同時，由認證憑證保護模塊設置密碼來對認證憑證進行保護，并規(guī)定在設定次數內輸入密碼錯誤時，由所述認證憑證保護模塊刪除移動設備內的認證憑證，所述認證憑證銷毀后，由所述移動設備重新從認證中心獲取。
[0062]在本實施例中，所述通用計算機通過認證設備來獲得認證中心認證。
[0063]在本實施例中，所述身份憑證為二維碼或字符串，在所述步驟S3中，設置身份憑證使用密碼后，使用該憑證時需要輸入密碼。并且在有效次數內輸入密碼錯誤時，銷毀身份憑證，所述身份憑證銷毀后，由所述移動設備重新從認證中心獲取，所述有效次數為三次。
[0064]以手機支付為例，所述移動設備為手機，對于通過電腦進行消費的用戶，電腦因為安裝有安全認證軟件或安全認證設備，所以其消費支付是相對安全的，然而手機卻不能像電腦一樣在消費的時候進行安全認證，同時攜帶安全設備也不方便，因此很有必要將手機提前進行設備身份認證，便于支付。
[0065]計算機通過安裝安全認證軟件或帶有安全認證設備來獲得支付中心的身份認證，比如手機短信認證、網銀安全檢查、u盾等，具體如下。
[0066]手機短信認證:是指客戶在使用身份確認工具進行交易確認過程中，用手機短信配合驗證的一種交易確認方式。當客戶開通手機短信認證功能后，在進行對外支付時，電子銀行口令卡客戶將收到口令坐標，U盾客戶將收到驗證碼。為客戶提供自助開通手機短信驗證、更改短信驗證手機號、撤銷手機短信驗證、設置手機短信驗證最低限額等功能。
[0067]工行為網上銀行為客戶提供的小e安全檢測，協(xié)助客戶在線查殺可能影響其安全使用網上銀行的計算機間諜軟件的服務，采用國際先進的安全引擎，利用微軟ActiveX技術，通過IE瀏覽器下載小e安全檢測控件和病毒特征碼的方式，實現查殺網上銀行間諜軟件、檢測電腦漏洞等功能。
[0068]工行推出并獲得國家專利的客戶證書USBkey，即U盾，是工行為客戶提供的辦理網上銀行業(yè)務的高級別安全工具，用于網上銀行電子簽名和數字認證的工具，它內置微型智能卡處理器，采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名，確保網上交易的保密性、真實性、完整性和不可否認性。
[0069]電子銀行口令卡:是指以矩陣形式印有若干字符串的卡片，每個字符串對應一個唯一的坐標，是工行為了滿足廣大電子銀行用戶的要求，綜合考慮安全性與成本因素而推出了一款全新的電子銀行安全工具。
[0070]動態(tài)口令，目前最為安全的身份認證方式，，也是一種動態(tài)密碼。
[0071]動態(tài)口令牌是客戶手持用來生成動態(tài)密碼的終端，主流的是基于時間同步方式的,每60秒變換一次動態(tài)口令，口令一次有效，它產生6位動態(tài)數字進行一次一密的方式認證。
[0072]還有支一些支付商提供的支付盾、支付控件等。
[0073]手機支付前身份認證的具體流程如下:
首先通用計算機安裝有個人認證設備，如U盾、口令卡、證書等，在這里，認證，是由可以充分信任的第三方證實某一經鑒定的產品或服務符合特定標準或規(guī)范性文件的活動，據此認證中心包括銀行、政府機構、公安系統(tǒng)等，之后，通用計算機向認證中心發(fā)起認證請求，認證中心通過認證設備來確認操作者身份信息，再然后認證中心向通用計算機提供身份認證憑證，所述認證憑證可以是二維碼或字符串，最后由移動設備來獲取該身份憑證。在這里，移動設備可以直接獲得上述字符串或掃描二維碼等。
[0074]在本實施例中，移動設備獲得身份憑證后即刻需要設置身份憑證使用密碼，用以保護該憑證，在應用時，即本實施例的手機支付時，需要輸入使用密碼，即可向支付中心證明個人身份信息。
[0075]同時，密碼保護方面也得到了加強，在多次輸入使用密碼錯誤時，則銷毀該憑證，這里的多次輸入為密碼錯誤有效次數，可以由用戶設定，也可以由認證中心規(guī)定。
[0076]在本實施例中，通過認證設備認證移動設備是基于認證設備作為計算機的認證工具的原理而設置的，個人認證設備為一種內置集成電路的芯片，芯片中存有與用戶身份相關的數據，智能卡由專門的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。
[0077]智能卡認證是通過智能卡硬件不可復制來保證用戶身份不會被仿冒。
[0078]實施例2:
與實施例1相似，所不同是，本實施例中認證中心通過通用計算來確認移動設備操作者身份并未通過個人認證設備，而僅僅是通過用戶密碼或身份證來直接認證。
[0079]在本實施例中，以車票預定為例，具體包括以下步驟:
首先通用計算機安裝有個人身份證數字證書，認證，是由可以充分信任的第三方證實某一經鑒定的產品或服務符合特定標準或規(guī)范性文件的活動，本實施例中的認證中心公安系統(tǒng)，之后，通用計算機向公安系統(tǒng)發(fā)起認證請求，公安系統(tǒng)通過讀取用戶的身份證信息來確認操作者身份信息，再然后向通用計算機提供身份認證憑證，所述認證憑證可以是二維碼或字符串，最后由移動設備來獲取該身份憑證。在這里，移動設備可以直接獲得上述字符串或掃描二維碼等。
[0080]在本實施例中，同實施例1，移動設備獲得身份憑證后即刻需要設置身份憑證使用密碼，用以保護該憑證，在應用時，即本實施例的手機支付時，需要輸入使用密碼，即可向支付中心證明個人身份信息。
[0081]同時，密碼保護方面也得到了加強，在多次輸入使用密碼錯誤時，則銷毀該憑證，這里的多次輸入為密碼錯誤有效次數，可以由用戶設定，也可以由認證中心規(guī)定。
[0082]在本實施例中，通過身份證或用戶密碼來認證設備是基于互聯(lián)網的身份認證系統(tǒng)，VIEID是互聯(lián)網身份認證的工具之一，也是未來互聯(lián)網基礎設施的基本構成之一。VIEID即是俗稱的網絡身份證，互聯(lián)網絡信息世界中標識用戶身份的工具，用于在網絡通訊中識別通訊各方的身份及表明我們的身份或某種資格。用戶的密碼是由用戶自己設定的。在網絡登錄時輸入正確的密碼，計算機就認為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態(tài)的數據，在驗證過程中需要在計算機內存中和傳輸過程可能會被木馬程序或網絡中截獲。因此，靜態(tài)密碼機制無論是使用還是部署都非常簡單。
[0083]實施例3:
與實施例1相似，所不同的是，移動通信設備直接向認證中心發(fā)起認證請求，經認證中心認證后，發(fā)放身份憑證，如圖2所示。
[0084]在本實施例中，移動設備安裝有個人認證設備，如U盾、口令卡、證書等，之后，移動設備不經過計算機而直接向認證中心發(fā)起認證請求，認證中心通過認證設備來確認操作者身份信息，再然后認證中心向移動設備提供身份認證憑證，所述認證憑證可以是二維碼或字符串。
[0085]在本實施例中，同實施例1，移動設備獲得身份憑證后即刻需要設置身份憑證使用密碼，用以保護該憑證，在應用時，即本實施例的手機支付時，需要輸入使用密碼，即可向支付中心證明個人身份信息。
[0086]同時，密碼保護方面也得到了加強，在多次輸入使用密碼錯誤時，則銷毀該憑證，這里的多次輸入為密碼錯誤有效次數，可以由用戶設定，也可以由認證中心規(guī)定。憑證銷毀后移動設備可以再次向認證中心發(fā)起認證請求，來獲取身份憑證。
[0087]實施例4:
與實施例1、2、3相似，所不同的是，所述移動設備未安裝個人認證設備，也未通過通用計算機，而直接向認證中心發(fā)起認證請求，來獲取身份憑證，如實施例2中的身份證信息，該信息可以直接作為個人身份信息發(fā)送到認證中心，由認證中心進行身份認證，提供身份認證憑證。
[0088]認證是指由認證機構證明產品、服務、管理體系符合相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準的合格評定活動。
[0089]認證包括體系認證和產品認證兩大類，移動設備認證為產品認證，體系認證一般的企業(yè)都可以做,也是一個讓客戶對自己的企業(yè)或公司放心的認證，比如說IS09001質量體系認證，一般價格以企業(yè)或公司人數的多少來決定；產品認證相對來說比較廣泛，各種不同規(guī)格的產品和不同的產品認證價格都不一樣，當然他們的用途也不一樣，比如說CCC國家強制性認證和CE歐盟安全認證。
[0090]如果認證中心對發(fā)來的身份證認證口令信息核對無誤，則向該移動設備提供身份憑證，之后由移動設備進行設置身份憑證使用密碼。
[0091]同實施例1，如果在有效次數內輸入的賬號及密碼不對，憑證即被銷毀，此時的解決辦法仍為從新通過實施例1、2、3或本實施例的途徑來獲得身份證認證口令來對移動設備重新認證。
[0092]移動設備通過計算機或通過認證設備或直接進行身份認證，從而對移動設備進行身份綁定，更加有效、安全的促進設備的使用，方便了個人、企業(yè)的管理。
[0093]需要說明的是，按照本發(fā)明的移動設備使用者身份認證系統(tǒng)及方法包括上述實施例中的任何一項及其任意組合，但上面所述的實施例僅僅是對本發(fā)明的優(yōu)選實施方式進行描述，并非對本發(fā)明范圍進行限定，在不脫離本發(fā)明設計精神前提下，本領域普通工程技術人員對本發(fā)明的技術方案作出的各種變形和改進，均應落入本發(fā)明的權利要求書確定的保護范圍內。
【權利要求】
1.一種移動設備使用者身份認證系統(tǒng)，包括移動設備，其特征在于:還包括認證中心，用于向所述移動設備提供認證憑證，所述移動設備安裝有認證憑證應用模塊，用于對所述認證憑證進行獲取、存儲、保護和使用。
2.如權利要求1所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述移動設備通過通用計算機來獲取認證憑證。
3.如權利要求2所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述通用計算機通過認證設備來獲取認證中心的認證。
4.如權利要求3所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述認證設備為安裝有數字證書的USB設備。
5.如權利要求3所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述認證設備為動態(tài)口令令牌。
6.如權利要求3所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述認證設備為二代身份證。
7.如權利要求3所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述認證設備為IC卡。
8.如權利要求7所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述認證憑證應用模塊包括認證憑證獲取模塊、認證憑證存儲模塊和認證憑證保護模塊。
9.如權利要求8所述的移動設備使用者身份認證系統(tǒng)，其特征在于:所述移動設備通過所述認證憑證獲取模塊從所述通用計算機來獲取認證憑證。
10.一種移動設備使用者身份認證方法，實施該方法的系統(tǒng)包括移動設備、和認證中心，其特征在于包括以下步驟: S1、移動設備獲取認證憑證； S2、設置身份憑證使用密碼； S3、通過認證憑證保護模塊對認證憑證進行保護。
【文檔編號】H04W12/06GK104010306SQ201410202442
【公開日】2014年8月27日申請日期:2014年5月14日優(yōu)先權日:2014年5月14日
【發(fā)明者】寇锘申請人:寇锘

完整全部詳細技術資料下載