基于外部认证模块和个人密码实现身份验证的系统及方法技术方案

本发明专利技术涉及一种基于外部认证模块和个人密码实现身份验证的系统，该系统包括认证管理客户端、安全模块和外部认证模块；本发明专利技术还涉及一种基于外部认证模块和个人密码实现身份验证的方法，认证管理客户端根据安全模块转发的外部认证模块得出的校验结果选择性地命令所述的安全模块和外部认证模块进行绑定、认证和解除绑定。采用本发明专利技术的基于外部认证模块和个人密码实现身份验证的系统及方法，借助于外部认证模块高强度的安全加密机制进行身份验证，避免密码被盗存在的安全风险，即使PIN码被盗取，没有异型智能卡也不能激活SE模块，确保用户的账户安全，为在移动设备上进行身份验证提供了极大的便利，应用简便，具有更广泛的应用范围。

【技术实现步骤摘要】
基于外部认证模块和个人密码实现身份验证的系统及方法
本专利技术涉及信息安全领域，尤其涉及近场通信功能的设备上身份验证领域，具体是指一种基于外部认证模块和个人密码实现身份验证的方法。
技术介绍
随着移动互联网迅速发展和NFC(NearFieldCommunication，近场通讯)技术的成熟，智能移动通信终端，如智能手机等成为人们经常使用的近场支付工具。现有技术的移动支付业务大多遵循13.56MHZ的无线通信协议标准，为了适应不同用户使用，芯片厂商开发了带硬件安全模块(SE模块，SecurityModule)的NFC-SIM(SubscriberIdentityModule，用户身份识别)卡或NFC全卡。现有移动支付终端设备的安全依赖于终端上的硬件安全模块(SE模块)，这种SE模块可采用SIM(SubscriberIdentityModule，用户身份识别)卡或嵌入终端主板上的独立的安全芯片等形式。用户使用带有NFC功能的智能手机进行支付时手机上的SE模块需要对用户进行身份识别与验证，目前流行的认证方式大都基于“whatyouknow”的认证方式，即用户在APP(Application，应用程序)上输入PIN码(PersonalIdentificationNumber，个人识别号码)或手势密码来进行认证用户的身份，因为SE模块一直处于激活状态，一旦APP被劫持，黑客可以随时转移发起资金转移，给用户带来损失。
技术实现思路
本专利技术的目的是克服了上述现有技术的缺点，提供了一种能够实现借助于外部认证模块高强度的安全加密机制进行身份验证、避免密码被盗存在的安全风险、确保用户的账户安全、具有更广泛应用范围的基于外部认证模块和个人密码实现身份验证的方法。为了实现上述目的，本专利技术的基于外部认证模块和个人密码实现身份验证的系统及方法具有如下构成：该基于外部认证模块和个人密码实现身份验证的系统，其主要特点是，所述的系统包括：认证管理客户端，用以发送个人密码验证指令至安全模块，并根据所述的安全模块转发的校验结果选择性地命令所述的安全模块和外部认证模块进行绑定、认证和解除绑定；安全模块，用以将所述的个人密码验证指令转发至外部认证模块，并将所述的外部认证模块反馈的校验结果转发至所述的认证管理客户端；外部认证模块，用以校验所述的个人密码验证指令并将所述的校验结果反馈至所述的安全模块。进一步地，所述的外部认证模块包括认证存储单元、认证执行单元和认证通信单元，其中：所述的认证存储单元，用以存储用于认证的设备数字证书以及个人密码；所述的认证执行单元，用以根据所述的存储单元中的个人密码校验所述的个人密码验证指令，并根据所述的认证管理客户端的认证指令与所述的安全模块进行认证；所述的认证通信单元，用以与所述的安全模块进行通信。进一步地，所述的安全模块包括安全存储单元、执行认证单元和安全通信单元，其中：所述的安全存储单元，用以存储所述的外部认证模块发送的设备数字证书；所述的执行认证单元，用以根据所述的认证管理客户端的认证指令与所述的外部认证模块进行认证；所述的安全通信单元，用以与所述的外部认证模块进行通信。进一步地，所述的认证管理客户端包括信息获取单元和界面显示单元，其中：所述的信息获取单元，用以获取用户输入的个人密码信息和认证界面操作信息；所述的界面显示单元，用以显示认证界面和各类提示。其中，所述的安全模块和外部认证模块之间通过NFC技术进行通信，所述的外部认证模块为戒指形状的异形卡。。此外，本专利技术还提供一种实现基于外部认证模块和个人密码的身份绑定方法，其主要特点是，所述的方法包括以下步骤：(1)所述的认证管理客户端发送所述的个人密码验证指令至所述的安全模块；(2)所述的安全模块将所述的个人密码验证指令转发至所述的外部认证模块；(3)所述的外部认证模块校验所述的个人密码验证指令并将所述的校验结果反馈至所述的安全模块；(4)所述的安全模块将所述的校验结果转发至所述的认证管理客户端；(5)所述的认证管理客户端根据所述的校验结果选择性地将所述的安全模块和所述的外部认证模块进行绑定。进一步地，所述的认证管理客户端根据所述的校验结果选择性地将所述的安全模块和所述的外部认证模块进行绑定，包括以下步骤：(5.1)所述的认证管理客户端判断所述的校验结果是否为个人密码验证失败；(5.2)如果判断结果是校验结果为个人密码验证失败，则继续步骤(5.3)，否则继续步骤(5.4)；(5.3)所述的认证管理客户端显示个人密码输入错误的提示信息；(5.4)所述的认证管理客户端发送数字证书读取指令至所述的安全模块；(5.5)所述的安全模块将所述的数字证书读取指令转发至所述的外部认证模块；(5.6)所述的外部认证模块将所述的读取数字证书指令对应的设备数字证书的数据发送至所述的安全模块；(5.7)所述的安全模块将所述的设备数字证书的数据转发至所述的认证管理客户端；(5.8)所述的认证管理客户端将所述的设备数字证书的数据写入所述的安全模块。另外，本专利技术还提供一种实现基于外部认证模块和个人密码的身份认证方法，其主要特点是，所述的方法包括以下步骤：(a)所述的认证管理客户端发送所述的个人密码验证指令至所述的安全模块；(b)所述的安全模块将所述的个人密码验证指令转发至所述的外部认证模块；(c)所述的外部认证模块校验所述的个人密码验证指令并将所述的校验结果反馈至所述的安全模块；(d)所述的安全模块将所述的校验结果转发至所述的认证管理客户端；(e)所述的认证管理客户端根据所述的校验结果选择性地命令所述的安全模块与所述的外部认证模块进行认证。进一步地，所述的认证管理客户端根据所述的校验结果选择性地命令所述的安全模块与所述的外部认证模块进行认证，包括以下步骤：(e.1)所述的认证管理客户端判断所述的校验结果是否为个人密码验证失败；(e.2)如果判断结果是校验结果为个人密码验证失败，则继续步骤(e.3)，否则继续步骤(e.4)；(e.3)所述的认证管理客户端显示个人密码输入错误的提示信息；(e.4)所述的认证管理客户端发送认证指令至所述的安全模块；(e.5)所述的安全模块将所述的认证指令转发至所述的外部认证模块；(e.6)所述的外部认证模块将所述的认证指令对应的认证数据发送至所述的安全模块；(e.7)所述的安全模块根据内部已绑定的设备数字证书校验所述的认证数据；(e.8)所述的安全模块根据校验结果选择性地激活安全支付功能。更进一步地，所述的安全模块根据校验结果选择性地激活安全支付功能，包括以下步骤：(e.8.1)所述的安全模块判断所述的校验结果是否为用户认证成功，如果是，则继续步骤(e.8.2)，否则继续步骤(e.8.3)；(e.8.2)所述的安全模块激活安全支付功能；(e.8.3)所述的安全模块将用户认证失败的信息发送至所述的认证管理客户端；(e.8.4)所述的认证管理客户端显示用户认证失败的提示信息。进一步地，所述的步骤(a)之前，还包括以下步骤：(0.a)所述的安全模块判断在默认范围内是否存在所述的外部认证模块，如果是则继续步骤(0.b)，否则重复步骤(0.a)；(0.b)所述的安全模块将显示界面指令发送至所述的认证管理客户端；(0.c)所述的认证管理客户端显示所述的认证界面。更进本文档来自技高网...

【技术保护点】
一种基于外部认证模块和个人密码实现身份验证的系统，其特征在于，所述的系统包括：认证管理客户端，用以发送个人密码验证指令至安全模块，并根据所述的安全模块转发的校验结果选择性地命令所述的安全模块和外部认证模块进行绑定、认证和解除绑定；安全模块，用以将所述的个人密码验证指令转发至外部认证模块，并将所述的外部认证模块反馈的校验结果转发至所述的认证管理客户端；外部认证模块，用以校验所述的个人密码验证指令并将所述的校验结果反馈至所述的安全模块。

【技术特征摘要】
1.一种基于外部认证模块和个人密码实现身份验证的系统，其特征在于，所述的系统包括：认证管理客户端，用以发送个人密码验证指令至安全模块，并根据所述的安全模块转发的校验结果选择性地命令所述的安全模块和外部认证模块进行绑定、认证和解除绑定；安全模块，用以将所述的个人密码验证指令转发至外部认证模块，并将所述的外部认证模块反馈的校验结果转发至所述的认证管理客户端；外部认证模块，用以校验所述的个人密码验证指令并将所述的校验结果反馈至所述的安全模块，所述的安全模块包括安全存储单元、执行认证单元和安全通信单元，其中：所述的安全存储单元，用以存储所述的外部认证模块发送的设备数字证书；所述的执行认证单元，用以根据所述的认证管理客户端的认证指令与所述的外部认证模块进行认证；所述的安全通信单元，用以与所述的外部认证模块进行通信。2.根据权利要求1所述的基于外部认证模块和个人密码实现身份验证的系统，其特征在于，所述的外部认证模块包括认证存储单元、认证执行单元和认证通信单元，其中：所述的认证存储单元，用以存储用于认证的设备数字证书以及个人密码；所述的认证执行单元，用以根据所述的认证存储单元中的个人密码校验所述的个人密码验证指令，并根据所述的认证管理客户端的认证指令与所述的安全模块进行认证；所述的认证通信单元，用以与所述的安全模块进行通信。3.根据权利要求1所述的基于外部认证模块和个人密码实现身份验证的系统，其特征在于，所述的认证管理客户端包括信息获取单元和界面显示单元，其中：所述的信息获取单元，用以获取用户输入的个人密码信息和认证界面操作信息；所述的界面显示单元，用以显示认证界面和各类提示。4.根据权利要求1至3中任一项所述的基于外部认证模块和个人密码实现身份验证的系统，其特征在于，所述的安全模块和外部认证模块之间通过NFC技术进行通信。5.根据权利要求4所述的基于外部认证模块和个人密码实现身份验证的系统，其特征在于，所述的外部认证模块为戒指形状的异形卡。6.一种利用权利要求1至3中任一项所述的系统实现基于外部认证模块和个人密码的身份绑定方法，其特征在于，所述的方法包括以下步骤：(1)所述的认证管理客户端发送所述的个人密码验证指令至所述的安全模块；(2)所述的安全模块将所述的个人密码验证指令转发至所述的外部认证模块；(3)所述的外部认证模块校验所述的个人密码验证指令并将所述的校验结果反馈至所述的安全模块；(4)所述的安全模块将所述的校验结果转发至所述的认证管理客户端；(5)所述的认证管理客户端根据所述的校验结果选择性地将所述的安全模块和所述的外部认证模块进行绑定。7.根据权利要求6所述的实现基于外部认证模块和个人密码的身份绑定方法，其特征在于，所述的认证管理客户端根据所述的校验结果选择性地将所述的安全模块和所述的外部认证模块进行绑定，包括以下步骤：(5.1)所述的认证管理客户端判断所述的校验结果是否为个人密码验证失败；(5.2)如果判断结果是校验结果为个人密码验证失败，则继续步骤(5.3)，否则继续步骤(5.4)；(5.3)所述的认证管理客户端显示个人密码输入错误的提示信息；(5.4)所述的认证管理客户端发送数字证书读取指令至所述的安全模块；(5.5)所述的安全模块将所述的数字证书读取指令转发至所述的外部认证模块；(5.6)所述的外部认证模块将所述的数字证书读取指令对应的设备数字证书的...

【专利技术属性】
技术研发人员：胥怡心，胡永涛，屈新春，
申请(专利权)人：公安部第三研究所，
类型：发明
国别省市：上海;31