基于移动终端的多方认证系统、方法及组件技术方案

本发明专利技术提出了一种基于移动终端的多方认证系统及方法，其中充分利用移动终端的便携性，绑定一个或多个移动终端以提供认证信息确认功能，使得能够对同一操作提供多方确认，进一步提升安全性，特别是对于电信诈骗等行为有非常好的安全防护效果；并且，通过将移动终端作为便携式安全设备与客户端配合使用，允许安全设备提供认证信息确认功能以改善安全性的同时，还能够允许为客户端和服务端之间提供通信信道，从而扩展客户端的应用范围，进一步提升认证系统的应用性。同时还公开了用于实现该多方认证系统和方法的移动终端、客户端及服务端等组件。端等组件。端等组件。

【技术实现步骤摘要】
基于移动终端的多方认证系统、方法及组件


[0001]本专利技术涉及安全通信领域，尤其涉及一种基于移动终端的多方认证系统及方法，以及用于该多方认证系统的移动终端、客户端和服务端等组件。

技术介绍

[0002]在现有安全认证体系中，一般都需要物理U盾等身份认证设备，使用U盾进行身份认证后才可以安全地登录到业务系统中。
[0003]为提升U盾等身份认证设备的随身特性，现有技术还提出在手机内置U盾等身份认证设备以用于手机自身业务的认证，或者将内置有安全认证模块的手机作为U盾，为PC等其他设备提供安全认证服务，例如图1所示。
[0004]图2示出了现有技术中的一种集成有多种安全认证的系统，其提出在智能终端中设置PKI技术模块，接收安全校验通过的用户发送的随机信息，调取与用户匹配的私钥进行数字签名，并将数字签名后的随机信息发送给服务器端。服务器端调用公钥对数字签名进行验证，由此实现用户身份的安全验证。
[0005]图3示出了现有技术中的一种安全认证装置及方法，其提出在手机等移动终端中设置网银盾或U盾，通过与电脑进行数据通信以为其提供安全认证，从而克服需要额外携带安全认证工具的缺点。
[0006]图4示出了现有技术中的移动终端，其中内嵌有U盾，从而克服需要额外携带安全认证工具的缺点，同时还能够为在移动终端中进行的支付行为提供安全保障。
[0007]然而，随着电信诈骗方式变得越来越复杂，目前单一依靠普通U盾用于进行身份认证提供安全保护的认证方案存在一定的安全漏洞，例如不能在用户受骗时提供额外的安全保障等，并且现有的认证方案在为认证流程提供安全保证时并未充分利用手机的网络特性、随身特性等。

技术实现思路

[0008]针对现有技术存在的上述问题，本专利技术提出了一种基于移动终端的多方认证系统及方法，充分利用移动终端的便携性，绑定一个或多个移动终端以提供认证信息确认功能，使得能够对同一操作提供多方确认，进一步提升安全性，特别是对于电信诈骗等行为有非常好的安全防护效果；并且，通过将移动终端作为便携式安全设备与客户端配合使用，允许安全设备提供认证信息确认功能以改善安全性的同时，还能够允许为客户端和服务端之间提供通信信道，从而扩展客户端的应用范围，进一步提升认证系统的应用性。同时还公开了用于该多方认证系统的移动终端、客户端及服务端等组件。
[0009]本专利技术的第一方面涉及一种基于移动终端的多方认证系统，其包括客户端、服务端、安全设备及一个或多个移动终端，其中，所述移动终端经服务提供商认证；
[0010]所述客户端被设置用于发起安全认证申请，且能够与所述服务端开展业务通信；
[0011]所述服务端被设置用于根据所述安全认证申请下发认证数据，并基于返回的身份
认证信息进行身份认证；以及，根据身份认证结果直接向移动终端下发待确认的认证信息，并根据预设策略，基于返回的确认结果生成并反馈认证结果；
[0012]所述安全设备用于借助近端连接与所述客户端形成数据通信，以及基于所述认证数据生成所述身份认证信息；
[0013]所述移动终端被设置用于对所述认证信息进行确认，并直接向所述服务端返回所述确认结果。
[0014]可选地，所述安全设备为U盾，且被设置成从所述客户端获取所述认证数据，并将所述身份认证信息返回给所述客户端；
[0015]所述客户端被设置成直接与所述服务端进行数据通信，以获取所述认证数据和认证结果，并将所述身份认证信息返回给所述服务端。
[0016]可选地，所述安全设备为移动终端，且进一步被设置用于对所述认证信息进行确认，并直接向所述服务端返回所述确认结果；
[0017]所述客户端被设置成直接与所述服务端进行数据通信以获取所述认证数据和认证结果，以及向所述安全设备提供所述认证数据和接收所述身份认证信息，并将所述身份认证信息返回给所述服务端；或者，
[0018]所述客户端被设置成借助所述安全设备与所述服务端进行数据通信，所述安全设备直接与所述服务端进行数据通信以获取所述认证数据并返回所述身份认证信息。
[0019]进一步地，所述移动终端还被设置成对其操作者进行操作用户认证，并在操作用户认证通过时允许生成所述身份认证信息，以及/或者对所述认证信息进行确认。可选地，所述移动终端通过输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现所述操作用户认证。
[0020]进一步地，所述移动终端和服务端存储有共享量子密钥；并且，
[0021]所述服务端被设置成利用所述共享量子密钥对所述认证信息进行加密，所述移动终端被设置成利用所述共享量子密钥对加密的所述认证信息进行计算，以获得所述认证信息；以及/或者，
[0022]当所述安全设备为移动终端时，所述安全设备还被设置成利用所述共享量子密钥生成所述身份认证信息或者对所述身份认证信息进行加密。
[0023]更进一步地，所述服务端被设置用于根据所述移动终端提出的量子密钥请求，以加密的方式向所述移动终端下发所述共享量子密钥；以及/或者，所述共享量子密钥以一业一密的方式进行使用。
[0024]更进一步地，所述服务端包括量子安全服务平台和认证功能模块；
[0025]所述量子安全服务平台被设置用于向所述移动终端分发所述共享量子密钥，以及利用所述共享量子密钥计算生成身份认证信息，和/或对所述认证信息进行加密；
[0026]所述认证功能模块被设置用于基于所述身份认证信息进行身份认证，以及根据所述确认结果生成并反馈所述认证结果。
[0027]进一步地，所述认证数据包括认证方式和认证用信息，且所述认证方式包括数字签名算法或者身份认证码算法，所述认证用信息包括随机数；以及/或者，
[0028]所述认证信息包括身份信息和业务操作信息；以及/或者，
[0029]所述近端连接借助USB、蓝牙、WiFi、红外中的一种或多种来实现。
[0030]本专利技术的第二方面涉及一种基于移动终端的多方认证方法，其包括身份认证步骤和认证信息确认步骤；
[0031]在所述身份认证步骤中，由服务端基于客户端发起的安全认证申请下发认证数据，由安全设备基于所述认证数据生成身份认证信息，并由所述服务端基于所述身份认证信息进行身份认证，其中，所述安全设备通过近端连接与所述客户端形成数据通信；
[0032]在所述认证信息确认步骤中，由所述服务端根据身份认证结果直接向一个或多个移动终端下发认证信息，由所述移动终端对所述认证信息进行确认以生成确认结果并直接返回给所述服务端，由所述服务端依据预设策略，根据所述确认结果生成并反馈认证结果。
[0033]进一步地，当所述安全设备为移动终端时，在所述认证信息确认步骤中，所述服务端还根据身份认证结果直接向所述安全设备下发认证信息，由所述安全设备对所述认证信息进行确认以生成确认结果并直接返回给所述服务端。
[0034]更进一步地，在所述认证信息确认步骤中，由移动终端对其操作者进行操作用户认证，并在所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于移动终端的多方认证系统，其包括客户端、服务端、安全设备及一个或多个移动终端，其中，所述移动终端经服务提供商认证；所述客户端被设置用于发起安全认证申请，且能够与所述服务端开展业务通信；所述服务端被设置用于根据所述安全认证申请下发认证数据，并基于返回的身份认证信息进行身份认证；以及，根据身份认证结果直接向移动终端下发待确认的认证信息，并根据预设策略，基于返回的确认结果生成并反馈认证结果；所述安全设备用于借助近端连接与所述客户端形成数据通信，以及基于所述认证数据生成所述身份认证信息；所述移动终端被设置用于对所述认证信息进行确认，并直接向所述服务端返回所述确认结果。2.如权利要求1所述的多方认证系统，其中，所述安全设备为U盾，且被设置成从所述客户端获取所述认证数据，并将所述身份认证信息返回给所述客户端；所述客户端被设置成直接与所述服务端进行数据通信，以获取所述认证数据和认证结果，并将所述身份认证信息返回给所述服务端。3.如权利要求1所述的多方认证系统，其中，所述安全设备为移动终端，且进一步被设置用于对所述认证信息进行确认，并直接向所述服务端返回所述确认结果；所述客户端被设置成直接与所述服务端进行数据通信以获取所述认证数据和认证结果，以及向所述安全设备提供所述认证数据和接收所述身份认证信息，并将所述身份认证信息返回给所述服务端；或者，所述客户端被设置成借助所述安全设备与所述服务端进行数据通信，所述安全设备直接与所述服务端进行数据通信以获取所述认证数据并返回所述身份认证信息。4.如权利要求3所述的多方认证系统，其中，所述移动终端还被设置成对其操作者进行操作用户认证，并在操作用户认证通过时允许生成所述身份认证信息，以及/或者对所述认证信息进行确认。5.如权利要求4所述的多方认证系统，其中，所述移动终端通过输入密码、指纹识别、面部识别、声音识别、虹膜识别中的一种或多种来实现所述操作用户认证。6.如权利要求1
‑
3中任一项所述的多方认证系统，其中，所述移动终端和服务端存储有共享量子密钥；并且，所述服务端被设置成利用所述共享量子密钥对所述认证信息进行加密，所述移动终端被设置成利用所述共享量子密钥对加密的所述认证信息进行计算，以获得所述认证信息；以及/或者，当所述安全设备为移动终端时，所述安全设备还被设置成利用所述共享量子密钥生成所述身份认证信息或者对所述身份认证信息进行加密。7.如权利要求6所述的多方认证系统，其中，所述服务端被设置用于根据所述移动终端提出的量子密钥请求，以加密的方式向所述移动终端下发所述共享量子密钥；以及/或者，所述共享量子密钥以一业一密的方式进行使用。8.如权利要求6所述的多方认证系统，其中，所述服务端包括量子安全服务平台和认证功能模块；所述量子安全服务平台被设置用于向所述移动终端分发所述共享量子密钥，以及利用
所述共享量子密钥计算生成身份认证信息，和/或对所述认证信息进行加密；所述认证功能模块被设置用于基于所述身份认证信息进行身份认证，以及根据所述确认结果生成并反馈所述认证结果。9.如权利要求1所述的多方认证系统，其中：所述认证数据包括认证方式和认证用信息，且所述认证方式包括数字签名算法或者身份认证码算法，所述认证用信息包括随机数；以及/或者，所述认证信息包括身份信息和业务操作信息；以及/或者，所述近端连接借助USB、蓝牙、WiFi、红外中的一种或多种来实现。10.一种基于移动终端的多方认证方法，其包括身份认证步骤和认证信息确认步骤；在所述身份认证步骤中，由服务端基于客户端发起的安全认证申请下发认证数据，由安全设备基于所述认证数据生成身份认证信息，并由所述服务端基于所述身份认证信息进行身份认证，其中，所述安全设备通过近端连接与所述客户端形成数据通信；在所述认证信息确认步骤中，由所述服务端根据身份认证结果直接向一个或多个移动终端下发认证信息，由所述移动终端对所述认证信息进行确认以生成确认结果并直接返回给所述服务端，由所述服务端依据预设策略，根据所述确认结果生成并反馈认证结果。11.如权利要求10所述的多方认证方法，其中，当所述安全设备为移动终端时，在所述认证信息确认步骤中，所述服务端还根据身份认证结果直接向所述安全设备下发认证信息，由所述安全设备对所述认证信息进行确认以生成确认结果并直接返回给所述服务端。12.如权利要求10或11所述的多方认证方法，其中，在所述认证信息确认步骤中，由移动终端对其操作者进行操作用户认证，并在所述操作用户认证通过时允许对所述认证信息进行确认；以及/或者，在所述身份认证步骤中，当所述安全设备为移动终端时，由所述安全设备对其操作者进行操作用户认证，并在所述操作用户认证通过时允许生成所述身份认证信息。13.如权利要求10所述的多方认证方法，其还包括所述服务端基于所述移动终端发起的量子密钥请求，向所述移动终端下发共享量子密钥的步骤。14.如权利要求13所述的多方认证方法，其中：在所述认证信息确认步骤中，由所述服务端利用所述共享量子密钥对所述认证信息进行加密，并由所述移动终端利用所述共享量子密钥对加密的所述认证信息进行计算以获取所述认证信息；并且/或者，在所述身份认证步骤中，当所述安全设备为移动终端时，由所述安全设备利用所述共享量子密钥生...

【专利技术属性】
技术研发人员：王学富，张如通，杨国梁，
申请(专利权)人：山东量子科学技术研究院有限公司，
类型：发明
国别省市：