技術領域

本發明涉及電信技術及信息安全領域，尤其涉及一種移動安全認證終端及方法。

背景技術

隨著電信技術的逐漸發展，目前已出現了利用移動設備進行金融業務的銀行類服務，以此來提供較傳統銀行服務更為便利、高效和安全的服務方式。為了確保這種新型服務方式的安全性，目前的安全認證方式主要有以下幾類：

1、賬號/密碼鑒權方式：通過移動終端內安裝的客戶端輸入客戶的銀行帳號(或別名)以及密碼進行登錄鑒權，從而完成對客戶身份的認證；

2、WAP認證方式：用戶在開通銀行業務時將銀行賬號與手機號碼進行綁定，當用戶通過WAP方式訪問銀行系統時，銀行系統通過電信運營商的WAP網關獲取用戶的手機號碼，并將用戶登錄所用的手機號碼與該綁定的手機號碼進行對比校驗，從而驗證用戶身份；

3、動態口令方式：用戶需要更換專用的SIM卡，而該SIM卡可根據時間、使用次數等條件產生不斷變化的密碼，每個密碼只能使用一次，用戶在進行手機客戶端登錄鑒權及交易過程中需要輸入SIM卡產生的動態密碼用于驗證用戶身份。

以上三種方式均具有一定的安全性，且可以結合使用，但仍均存在一定的安全隱患，例如賬號密碼易于被盜取、發生孖卡現象以及被釣魚網站竊取動態密碼的可能。對于大額支付、轉賬、匯款等安全等級非常高的銀行業務，目前的這些安全認證方式尚不能滿足要求。

目前已出現了一種PKI?SIM卡，通過引入數字證書、數字簽名等非對稱安全算法可以提高銀行業務的安全等級，但目前移動終端只能支持手機客戶端訪問一些標準的機卡接口，例如讀取通信賬號信息、存儲卡內信息、存儲卡內電話簿等，而無法支持PKI?SIM卡所增加的對PKI能力訪問的機卡接口，導致無法實現客戶端對PKI?SIM卡的PKI能力的正常調用。

發明內容

本發明的目的是提出一種移動安全認證終端及方法，能夠調用PKI?SIM卡的PKI能力，滿足移動方式下銀行業務的更高級的安全需要。

為實現上述目的，本發明提供了一種移動安全認證終端，包括：

安全中間件，用于利用操作系統提供的AT指令通道將客戶端的PKI調用請求轉換為AT指令；

基帶芯片，用于根據所述AT指令獲得與所述客戶端的PKI調用請求對應的APDU指令，并將所述APDU指令發送到PKI?SIM卡；

PKI?SIM卡，作為安全模塊核心，提供PKI能力的APDU指令的支持。

進一步的，所述安全中間件還包括：

APDU轉換單元，用于將PKI調用請求轉換為APDU指令；

AT指令組裝單元，用于將轉換后的APDU指令作為AT指令的參數組裝到AT指令中。

進一步的，所述基帶芯片還用于對所述組裝的AT指令中的APDU指令的參數不做解析，直接提取該APDU指令，傳入所述PKISIK卡中。

進一步的，所述PKI?SIM卡包括：

安全標識檢查單元，用于檢查接收到的APDU指令中是否包含安全應用協議標識；

PKI操作單元，用于在確定接收到的APDU指令中包含安全應用協議標識時，根據所述APDU指令中包括的安全應用命令類型和安全應用命令參數的長度及內容執行相應的PKI操作。

進一步的，所述PKI調用請求包括：公私鑰對的生成操作、數字簽名、加解密運算或數字證書的保存/更新/讀取。

為實現上述目的，本發明提供了一種移動安全認證方法，包括：

移動安全認證終端中的安全中間件利用操作系統提供的AT指令通道將客戶端的PKI調用請求轉換為AT指令；

所述移動安全認證終端中的基帶芯片根據指令轉換表將所述AT指令轉換為APDU指令，并將所述APDU指令發送到安設在所述移動安全認證終端中的PKI?SIM卡；

所述PKI?SIM卡檢查接收到的APDU指令中是否包含安全應用協議標識，在確定接收到的APDU指令中包含安全應用協議標識時，根據所述APDU指令中包括的安全應用命令類型和安全應用命令參數的長度及內容執行相應的PKI操作。

進一步的，所述PKI調用請求包括：公私鑰對的生成操作、數字簽名、加解密運算或數字證書的保存/更新/讀取。

為實現上述目的，本發明還提供了另一種移動安全認證方法，包括：

移動安全認證終端中的安全中間件將客戶端的PKI調用請求轉換為APDU指令，并將轉換后的APDU指令作為AT指令的參數組裝到AT指令中；