本发明专利技术提出了一种基于公钥算法的云密钥认证系统,包括:终端设备对用户进行身份认证,在认证通过后转发业务请求;密钥及证书管理子系统位于云服务器上,存储用户密钥和数字证书;业务子系统将用户鉴别结果和风险鉴别结果,对用户鉴别结果和风险鉴别结果进行分析;密钥及证书管理子系统在接收到响应指令时,向终端设备提供该用户对应的用户密钥和数字证书;终端设备接收并存储用户密钥和数字证书,并利用用户密钥和数字证书与业务系统进行支付交易。本发明专利技术使用生物识别模块鉴别用户身份,采用业务服务方的风险鉴定和生物信息鉴别,可根据业务服务方的风险判定和生物信息鉴别结果终止高风险交易,避免损失。
【技术实现步骤摘要】
本专利技术涉及移动互联网和云计算
,特别涉及一种基于公钥算法的云密钥认证系统。
技术介绍
随着智能手机、平板电脑等移动互联网设备的普及,当前消费者需要频繁在移动智能设备上进行消费支付、转账(如微信红包)、理财等个人金融交易。手机上进行支付、转账等金融交易时,缺少使用数字签名技术的身份认证和抗抵赖的有效手段。蓝牙、音码和NFC等智能密码钥匙、智能IC卡设备,虽然理论上可用于上述场景,但是受限于手机型号种类繁多,兼容性差,个人携带和使用繁琐,导致用户体验很差,并没有推广开。将PKI技术和商用密码芯片与可穿戴设备结合,虽然可以减少个人携带的不便性,但是在使用时,仍然会面临和手机兼容适配,以及操作步骤繁多的问题。目前在手机、平板电脑等个人设备上使用公钥算法和数字认证技术有以下四种方式:(1)使用文件方式保存数字证书和密钥。使用文件证书可以采用本地加密存储,或者分割之后,在手机和应用系统后台服务器分散加密存储,并在手机端或者服务器合成进行运算。该方案的缺点是用户的私钥以密文的方式保存在手机和后台数据中,被复制之后,可以无法限制攻击者对私钥密文进行破解。集中存储在密钥管理系统的用户私钥,会因密钥数据库被拖库,将所有用户的私钥置于被窃取盗用的风险。(2)使用音码型、USBOTG和Dock/Lightning等接触式通讯方式,或者使用蓝牙型和NFC等非接触通讯方式,与智能手机对接的传统可视按键型智能密码钥匙。该方案的安全<br>性最高,便利性和兼容性最差。智能密码钥匙产品本身的使用寿命在5年以上,而手机与附件通讯技术的迭代升级周期远远小于3年,各品牌智能手机本身对采用的通讯协议也有一定取舍,所以智能密码钥匙要达到适配和兼容市场上智能手机,需要配置通讯硬件成本已经大大超出了智能密码钥匙本身的成本。(3)使用NFC和智能IC卡贴卡认证。带有NFC模块的手机,可以通过14443协议与支持NFC的金融IC卡通讯,利用IC卡内置的芯片模块进行身份认证。没有NFC模块的手机不能采用该方案,同时使用起来的便利性也差,因此国内商业银行也在使用HCE技术来代替金融IC卡,应用在消费支付等高频率小额度低风险业务。(4)使用手机自带安全模块(SE)。支持TrustZone/TEE(trustedexecutionenvironment)技术的手机,可以利用TrustZone作为本机的SE(SecurityElement),存储用户私钥。该技术方案的安全风险在于智能手机本身被劫持之后,获得Root权限的恶意程序,可以盗用TrustZone里的用户私钥。
技术实现思路
本专利技术的目的旨在至少解决所述技术缺陷之一。为此,本专利技术的目的在于提出一种基于公钥算法的云密钥认证系统,使用生物识别模块鉴别用户身份,采用业务服务方的风险鉴定和生物信息鉴别,可根据业务服务方的风险判定和生物信息鉴别结果终止高风险交易,避免损失。为了实现上述目的,本专利技术的实施例提供一种基于公钥算法的云密钥认证系统,包括:终端设备、密钥及证书管理子系统和业务子系统,所述终端设备用于接收用户的业务请求时,对所述用户进行身份认证,在认证通过后,转发所述业务请求;所述密钥及证书管理子系统位于云服务器上,用于存储用户密钥和数字证书,并在接收到所述业务请求后,向所述业务系统发送针对所述用户的用户鉴别请求和风险鉴别请求;所述业务子系统用于在接收到所述用户鉴别请求和风险鉴别请求后,采集用户的生物识别信息,并将所述生物识别信息与预设信息进行比对以生成用户鉴别结果,以及根据当前系统数据对本次交易进行风险评估鉴定以生成风险鉴别结果,将所述用户鉴别结果和风险鉴别结果,对所述用户鉴别结果和风险鉴别结果进行分析,如果判断所述用户鉴别结果和风险鉴别结果所述用户均符合预设标准,则向所述密钥及证书管理子系统发送响应指令,否则发送拒绝指令;所述密钥及证书管理子系统在接收到所述响应指令时,向所述终端设备提供该用户对应的用户密钥和数字证书,在接收到所述拒绝指令时,终止向所述终端设备提供该用户对应的用户密钥和数字证书;所述终端设备还用于接收并存储所述用户密钥和数字证书,并利用所述用户密钥和数字证书与所述业务系统进行支付交易。进一步,所述终端设备包括:生物识别模块,用于采用指纹认证方式或虹膜认证方式对所述用户进行身份认证。进一步,所述业务子系统包括:生物信息识别单元和风险控制单元,其中,生物信息识别单元用于采集用户的生物识别信息,并将所述生物识别信息与预设信息进行比对以生成用户鉴别结果;所述风险控制单元用于根据当前系统数据对本次交易进行风险评估鉴定以生成风险鉴别结果。进一步,所述生物信息识别单元采用人脸识别和/或声纹识别方式,采用所述用户的人脸信息和/或声纹信息进行识别。进一步,所述终端设备采用可信执行环境TEE模块存储所述用户密钥和数字证书。进一步,所述密钥及证书管理子系统采用椭圆曲线公钥密码SM2算法或非对称加密RSA算法生成所述用户密钥。进一步,所述密钥及证书管理子系统包括密码芯片集群,所述密码芯片集群包括多个密码芯片,每个所述密码芯片用于存储一个或多个用户的密钥。进一步,所述终端设备为手机或平板电脑。根据本专利技术实施例的基于公钥算法的云密钥认证系统,采用云端设备取代传统USBKEY等设备,实现云KEY认证系统,将用于数字签名的用户私钥采用商用密码芯片作为载体,私钥在密码芯片内产生、存储和运算,可以确保在密钥生命周期内私钥不可复制,防止用户私钥泄漏;使用集群技术集中管理装载了用户密钥的商密芯片,确保系统的高可用、高冗余、高负载、高并发和高扩展,满足面向移动互联网的海量用户需求;交易签名时,使用手机的生物识别模块鉴别用户身份,采用业务服务方的风险鉴定和生物信息鉴别,可根据业务服务方的风险判定和生物信息鉴别结果终止高风险交易,避免损失;统一管理可直接对第三方接数字认证服务,或通过注册代理服务机构对接,支持2048RSA算法和SM2/3/4算法。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:图1为根据本专利技术实施例的基于公钥算法的云密钥认证系统的结构图;图2为根据本专利技术实施例的基于公钥算法的云密钥认证系统的示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终本文档来自技高网...
【技术保护点】
一种基于公钥算法的云密钥认证系统,其特征在于,包括:终端设备、密钥及证书管理子系统和业务子系统,所述终端设备用于接收用户的业务请求时,对所述用户进行身份认证,在认证通过后,转发所述业务请求;所述密钥及证书管理子系统位于云服务器上,用于存储用户密钥和数字证书,并在接收到所述业务请求后,向所述业务系统发送针对所述用户的用户鉴别请求和风险鉴别请求;所述业务子系统用于在接收到所述用户鉴别请求和风险鉴别请求后,采集用户的生物识别信息,并将所述生物识别信息与预设信息进行比对以生成用户鉴别结果,以及根据当前系统数据对本次交易进行风险评估鉴定以生成风险鉴别结果,将所述用户鉴别结果和风险鉴别结果,对所述用户鉴别结果和风险鉴别结果进行分析,如果判断所述用户鉴别结果和风险鉴别结果所述用户均符合预设标准,则向所述密钥及证书管理子系统发送响应指令,否则发送拒绝指令;所述密钥及证书管理子系统在接收到所述响应指令时,向所述终端设备提供该用户对应的用户密钥和数字证书,在接收到所述拒绝指令时,终止向所述终端设备提供该用户对应的用户密钥和数字证书;所述终端设备还用于接收并存储所述用户密钥和数字证书,并利用所述用户密钥和数字证书与所述业务系统进行支付交易。...
【技术特征摘要】
1.一种基于公钥算法的云密钥认证系统,其特征在于,包括:终端设备、密钥及证书
管理子系统和业务子系统,
所述终端设备用于接收用户的业务请求时,对所述用户进行身份认证,在认证通过后,
转发所述业务请求;
所述密钥及证书管理子系统位于云服务器上,用于存储用户密钥和数字证书,并在接
收到所述业务请求后,向所述业务系统发送针对所述用户的用户鉴别请求和风险鉴别请求;
所述业务子系统用于在接收到所述用户鉴别请求和风险鉴别请求后,采集用户的生物
识别信息,并将所述生物识别信息与预设信息进行比对以生成用户鉴别结果,以及根据当
前系统数据对本次交易进行风险评估鉴定以生成风险鉴别结果,将所述用户鉴别结果和风
险鉴别结果,对所述用户鉴别结果和风险鉴别结果进行分析,如果判断所述用户鉴别结果
和风险鉴别结果所述用户均符合预设标准,则向所述密钥及证书管理子系统发送响应指令,
否则发送拒绝指令;
所述密钥及证书管理子系统在接收到所述响应指令时,向所述终端设备提供该用户对
应的用户密钥和数字证书,在接收到所述拒绝指令时,终止向所述终端设备提供该用户对
应的用户密钥和数字证书;
所述终端设备还用于接收并存储所述用户密钥和数字证书,并利用所述用户密钥和数
字证书与所述业务系统进行支付交易。
2.如权利要求1所述的基于公钥算法的云密钥认证系统,其特征在于,所述终端设备
包括:生物...
【专利技术属性】
技术研发人员:杨海波,徐志国,
申请(专利权)人:北京金科联信数据科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。