[发明专利]基于移动终端的安全认证服务平台系统、装置和方法

说明书

技术领域

本发明涉及一种安全认证的技术领域，尤其涉及一种基于移动终端的安全认证服务 平台系统、装置和方法。

背景技术

随着计算机与网络通信技术的发展，网络化应用已经渗透到社会生活的各个领域， 包括网上银行、网上购物、网络游戏、网上电子政务等等，不一而足。然后，网络的发 展，以及网络应用的深入，带来最突出的问题就是安全问题，现实生活中，比较突出的 问题有银行卡上的钱被盗、冒充他人进行交易、网络身份被盗用等，这些问题给用户和 应用提供商都带来不少的麻烦和直接的经济损失。

现有技术中，通常采用通过安全认证，包括严格的身份鉴别和数字签名技术解决这 些现实中存在的问题。

目前安全认证方法和系统有很多，包括有PIN/TAN、硬件令牌(硬件Token)安全 认证方法和系统等，安全认证的途径主要是通过计算机来实现的，但是这种途径的安全 认证方法和系统存在诸多问题，主要是：

1)通过计算机系统实现数字签名时，需要将个人私钥存放在计算机中，或者智能 卡中，或者USBkey中。然而，私钥存放在计算机中，并不安全，很容易被别人偷走； 而存放在智能卡上和USBkey上均需要额外的硬件设备支持，增加了额外的费用和开销；

2)通过计算机系统实现安全认证时，需要通过计算机键盘输入私钥密码即#PIN码， 很容易被网络上的钓鱼软件截获，存在很大的安全隐患。

为解决通过计算机实现所存在的缺陷，现有技术又提供通过移动电话的安全认证方 法和系统，如基于短信的OTP。

这种方法和系统主要的硬件设备是GSM移动电话等，其能够支持多种应用和服务， 在使用中，只需携带移动电话，通过移动电话通信网络和计算机网络即可完成安全认证 过程，而不需要额外支持，也不会产生更多的额外费用。

中国专利公开号CN101163011A的发明专利申请公开了一种网上银行系统的安全认 证方法，其采用手机动态认证和数字证书的双认证安全模式，其中手机动态认证是通过 用户开户时绑定的手机号码，系统将随机生成的动态认证码通过短信的形式发送给客户 实现客户身份的识别，数字证书是由权威公正的第三方机构签发的，以数字证书为核心 的加密技术，其可以对网络上传输的信息进行加密和解密、数字签名和签名验证。该发 明的网上银行系统安全认证方法提高了网上银行安全级别，有效降低风险，为用户提供 了一个安全高效的网上银行系统。

但现有技术中的安全认证方法和系统，都有较大的计算开销和不方便性，存在着一 定的局限性。

发明内容

本发明的目的在于提供一种基于移动终端的安全认证服务平台系统、装置和方法， 其为网络应用系统提供安全认证，确保网络身份签别的可靠性和网络交易的不可否认 性。

为实现本发明目的而提供的一种基于移动终端的安全认证服务平台系统，其包括移 动终端和网络应用系统，还包括安全认证服务平台装置，用于接收来自网络应用系统的 安全认证请求，对安全认证请求者的身份进行校验，并对安全认证内容进行验证；在校 验和验证通过后将安全认证请求提交给移动终端进行数字签名，并对移动终端数字签名 进行验证；在验证通过后将数字签名结果和时间戳返回给网络应用系统。

较佳地，所述移动终端包括至少一签名服务客户端，用于根据安全认证服务平台装 置的请求，利用安全认证请求的内容，在通过移动终端输入私钥密码并判断私钥密码无 误后，利用其存储的私钥进行数字签名，并将签名结果提交给安全认证服务平台装置。

较佳地，所述网络应用系统包括至少一个接口模块，用于向安全认证服务装置触发 安全认证服务请求获取任务号，根据任务号向安全认证服务装置提交安全认证服务请求 并侦测得到数字签名的结果和时间戳，通知网络应用系统相应的业务操作。

为实现本发明目的，还提供一种安全认证服务装置，包括签名服务器，签名服务应 用网关，服务手机网关和CA认证中心，其中：

所述签名服务器，用于对安全认证请求者的身份进行校验，并对安全认证内容进行 验证，以及对移动终端的数字签名进行验证；

所述签名服务应用网关，是面向网络应用系统的接入网关，用于接收来自网络应用 系统的安全认证请求，以及向网络应用系统提供数字签名的结果和时间戳；