技術領域

本發明涉及身份認證技術領域，更具體的，涉及一種運用智能識別碼及手機安全模塊以實現手機用戶身份認證的系統和方法。

背景技術

當今社會，隨著電腦和網絡的普及，人們已經接受并習慣于利用網絡的便捷處理個人事情：網絡社交、上網購物、上網預訂酒店及機票、通過網上銀行辦理轉賬付款繳費等。越來越多的事務是通過數字信息的傳遞而完成。

而另一方面，在我國，手機的廣泛早已達到人手一機并且隨時隨地隨身攜帶的程度。特別是近來隨著智能機及3G網絡的推出，使得手機的多應用成為可能。手機必將突破打電話這個單一的功能，不久的將來，手機刷卡乘坐公交，手機下載電影票、優惠券、會員卡、公園年票，手機刷POS機完成支付代替錢包，手機代替門禁卡和鑰匙等都會成為普遍的用途。

不論是電腦還是手機，人們愿意使用上述應用都有一個最大的前提，就是安全性。而身份認證則是所有信息系統安全的基礎。身份認證，就是要確保操作者的數字身份與物理身份一一對應，或者說，要保證操作者本人就是這個數字身份的合法擁有者。

至今為止，目前的身份認證技術主要是基于電腦的應用。在用戶和所使用的系統之間，針對多個潛在攻擊點，包括鍵盤掃描、內存駐留木馬、線路偵聽、通信數據收集解剖等等，人們發展出多種身份認證技術。常用的認證手段主要是：1、用戶名加密碼，這是大家最熟悉的；2、生物技術特征識別技術，比如指紋識別；3數字證書，一般開通過網上銀行的用戶都會使用到；4、動態口令。

如果將這些技術直接照搬應用到手機用戶，就會出現新的問題。例如電腦網上銀行普遍使用了數字證書和動態密碼技術，但是這兩種技術應用到手機上以后的一個大問題是，很難防范可能駐留在手機中的木馬程序。

在電腦上，數字證書一般不會以電腦文件的形式存放在硬盤里，因為那樣很容易被惡意程序獲得。一種安全手段是將數字證書和簽名加密等操作都放在單獨的智能卡，也就是網盾或U盾里完成，。但是，這樣不能完全避免木馬的攻擊。如果運行在電腦中木馬程序偵聽到用戶啟用網盾的pin碼，則完全可以在用戶毫不知情的情形下使用這個pin碼，操作網盾進行銀行交易，前提是此時網盾還插在電腦上。因此，及時拔出網盾，會在很大程度上減小風險。

與電腦可以外插網盾不同，手機在使用以智能卡為核心的安全模塊時，該安全模塊通常是一直連接的，相當于說網盾是一直插在電腦上的。相比之下，手機的安全風險就大了很多。

如果說以前手機僅僅作為通訊工具，身份認證的問題還不那么迫切，但是在不久的將來，智能手機被賦予更多的應用功能，比如手機支付，那末，身份認證就是一個不能不解決的問題。

發明內容

本發明要解決的技術問題是為手機用戶提供一種安全且經濟的用戶身份認證系統和方法。

為實現上述目的，根據本發明的一個方面，提供了一種手機用戶身份認證系統，包括手機安全模塊、手機終端、后臺應用主機。

所述手機安全模塊，是一個獨立的信息處理裝置，內含微處理器和安全數據存儲空間，用于存放手機用戶的安全信息，并能夠安全地在模塊內部處理用戶信息。所述手機安全模塊中運行手機安全應用和智能識別碼處理器。

所述手機終端包括系統控制模塊、主機通信模塊。其中，所述系統控制模塊中運行手機應用界面和智能識別中間件，并控制主機通信模塊與后臺應用主機通信。

上述系統中，所述手機安全應用是運行于手機安全模塊中，對用戶安全信息進行處理的應用。

上述系統中，所述智能識別碼處理器是產生智能識別碼，并驗證識別結果的應用。

上述系統中，所述手機應用界面是運行于手機終端的系統控制模塊中，處理人機界面和通信的應用。

上述系統中，所述智能識別中間件是配合智能識別碼處理器，將智能識別碼安全地傳遞給用戶界面的程序。

上述系統中，所述安全模塊是在手機主板上的智能卡芯片，或是集成在手機終端的SIM/UIM卡中，或是與手機終端通信的單獨模塊中的智能卡芯片。

上述系統中，安全模塊是符合JavaCard標準的智能卡。

上述系統中，所述智能識別碼是圖形碼。

上述系統中，智能識別中間件與用戶界面集成為一體。

根據本發明的另一方面，還提供了一種基于上述系統的手機用戶身份認證方法，包括下列步驟：

當手機安全應用需要驗證手機用戶身份時，先由手機安全模塊中的智能識別碼處理器產生智能識別碼；然后傳遞給智能識別中間件；

智能識別中間件通過手機應用界面提供給手機用戶進行識別；