技術(shù)領(lǐng)域

本發(fā)明涉及一種安全認(rèn)證的技術(shù)領(lǐng)域，尤其涉及一種基于移動終端的安全認(rèn)證服務(wù) 平臺系統(tǒng)、裝置和方法。

背景技術(shù)

隨著計算機與網(wǎng)絡(luò)通信技術(shù)的發(fā)展，網(wǎng)絡(luò)化應(yīng)用已經(jīng)滲透到社會生活的各個領(lǐng)域， 包括網(wǎng)上銀行、網(wǎng)上購物、網(wǎng)絡(luò)游戲、網(wǎng)上電子政務(wù)等等，不一而足。然后，網(wǎng)絡(luò)的發(fā) 展，以及網(wǎng)絡(luò)應(yīng)用的深入，帶來最突出的問題就是安全問題，現(xiàn)實生活中，比較突出的 問題有銀行卡上的錢被盜、冒充他人進(jìn)行交易、網(wǎng)絡(luò)身份被盜用等，這些問題給用戶和 應(yīng)用提供商都帶來不少的麻煩和直接的經(jīng)濟損失。

現(xiàn)有技術(shù)中，通常采用通過安全認(rèn)證，包括嚴(yán)格的身份鑒別和數(shù)字簽名技術(shù)解決這 些現(xiàn)實中存在的問題。

目前安全認(rèn)證方法和系統(tǒng)有很多，包括有PIN/TAN、硬件令牌(硬件Token)安全 認(rèn)證方法和系統(tǒng)等，安全認(rèn)證的途徑主要是通過計算機來實現(xiàn)的，但是這種途徑的安全 認(rèn)證方法和系統(tǒng)存在諸多問題，主要是：

1)通過計算機系統(tǒng)實現(xiàn)數(shù)字簽名時，需要將個人私鑰存放在計算機中，或者智能 卡中，或者USBkey中。然而，私鑰存放在計算機中，并不安全，很容易被別人偷走； 而存放在智能卡上和USBkey上均需要額外的硬件設(shè)備支持，增加了額外的費用和開銷；

2)通過計算機系統(tǒng)實現(xiàn)安全認(rèn)證時，需要通過計算機鍵盤輸入私鑰密碼即#PIN碼， 很容易被網(wǎng)絡(luò)上的釣魚軟件截獲，存在很大的安全隱患。

為解決通過計算機實現(xiàn)所存在的缺陷，現(xiàn)有技術(shù)又提供通過移動電話的安全認(rèn)證方 法和系統(tǒng)，如基于短信的OTP。

這種方法和系統(tǒng)主要的硬件設(shè)備是GSM移動電話等，其能夠支持多種應(yīng)用和服務(wù)， 在使用中，只需攜帶移動電話，通過移動電話通信網(wǎng)絡(luò)和計算機網(wǎng)絡(luò)即可完成安全認(rèn)證 過程，而不需要額外支持，也不會產(chǎn)生更多的額外費用。

中國專利公開號CN101163011A的發(fā)明專利申請公開了一種網(wǎng)上銀行系統(tǒng)的安全認(rèn) 證方法，其采用手機動態(tài)認(rèn)證和數(shù)字證書的雙認(rèn)證安全模式，其中手機動態(tài)認(rèn)證是通過 用戶開戶時綁定的手機號碼，系統(tǒng)將隨機生成的動態(tài)認(rèn)證碼通過短信的形式發(fā)送給客戶 實現(xiàn)客戶身份的識別，數(shù)字證書是由權(quán)威公正的第三方機構(gòu)簽發(fā)的，以數(shù)字證書為核心 的加密技術(shù)，其可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證。該發(fā) 明的網(wǎng)上銀行系統(tǒng)安全認(rèn)證方法提高了網(wǎng)上銀行安全級別，有效降低風(fēng)險，為用戶提供 了一個安全高效的網(wǎng)上銀行系統(tǒng)。

但現(xiàn)有技術(shù)中的安全認(rèn)證方法和系統(tǒng)，都有較大的計算開銷和不方便性，存在著一 定的局限性。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于移動終端的安全認(rèn)證服務(wù)平臺系統(tǒng)、裝置和方法， 其為網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供安全認(rèn)證，確保網(wǎng)絡(luò)身份簽別的可靠性和網(wǎng)絡(luò)交易的不可否認(rèn) 性。

為實現(xiàn)本發(fā)明目的而提供的一種基于移動終端的安全認(rèn)證服務(wù)平臺系統(tǒng)，其包括移 動終端和網(wǎng)絡(luò)應(yīng)用系統(tǒng)，還包括安全認(rèn)證服務(wù)平臺裝置，用于接收來自網(wǎng)絡(luò)應(yīng)用系統(tǒng)的 安全認(rèn)證請求，對安全認(rèn)證請求者的身份進(jìn)行校驗，并對安全認(rèn)證內(nèi)容進(jìn)行驗證；在校 驗和驗證通過后將安全認(rèn)證請求提交給移動終端進(jìn)行數(shù)字簽名，并對移動終端數(shù)字簽名 進(jìn)行驗證；在驗證通過后將數(shù)字簽名結(jié)果和時間戳返回給網(wǎng)絡(luò)應(yīng)用系統(tǒng)。

較佳地，所述移動終端包括至少一簽名服務(wù)客戶端，用于根據(jù)安全認(rèn)證服務(wù)平臺裝 置的請求，利用安全認(rèn)證請求的內(nèi)容，在通過移動終端輸入私鑰密碼并判斷私鑰密碼無 誤后，利用其存儲的私鑰進(jìn)行數(shù)字簽名，并將簽名結(jié)果提交給安全認(rèn)證服務(wù)平臺裝置。

較佳地，所述網(wǎng)絡(luò)應(yīng)用系統(tǒng)包括至少一個接口模塊，用于向安全認(rèn)證服務(wù)裝置觸發(fā) 安全認(rèn)證服務(wù)請求獲取任務(wù)號，根據(jù)任務(wù)號向安全認(rèn)證服務(wù)裝置提交安全認(rèn)證服務(wù)請求 并偵測得到數(shù)字簽名的結(jié)果和時間戳，通知網(wǎng)絡(luò)應(yīng)用系統(tǒng)相應(yīng)的業(yè)務(wù)操作。

為實現(xiàn)本發(fā)明目的，還提供一種安全認(rèn)證服務(wù)裝置，包括簽名服務(wù)器，簽名服務(wù)應(yīng) 用網(wǎng)關(guān)，服務(wù)手機網(wǎng)關(guān)和CA認(rèn)證中心，其中：

所述簽名服務(wù)器，用于對安全認(rèn)證請求者的身份進(jìn)行校驗，并對安全認(rèn)證內(nèi)容進(jìn)行 驗證，以及對移動終端的數(shù)字簽名進(jìn)行驗證；

所述簽名服務(wù)應(yīng)用網(wǎng)關(guān)，是面向網(wǎng)絡(luò)應(yīng)用系統(tǒng)的接入網(wǎng)關(guān)，用于接收來自網(wǎng)絡(luò)應(yīng)用 系統(tǒng)的安全認(rèn)證請求，以及向網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供數(shù)字簽名的結(jié)果和時間戳；