[发明专利]可应用于移动通讯设备的可信计算平台芯片及其认证方法

权利要求书

1.一种可应用于移动通讯设备的可信计算平台芯片，其特征在于：所述芯片设有基于PKI体系的密钥生成模块、数据高速加密解密引擎模块、数据安全存储模块、芯片物理防护模块以及指纹处理引擎模块、支持SIM卡操作的SCSI接口模块和近距离传输模块，所述指纹处理引擎模块、SCSI接口模块和近距离传输模块均与通信总线相连接，所述芯片封装成SIM卡形式或TPM形式。

2.根据权利要求1所述的可应用于移动通讯设备的可信计算平台芯片，其特征是：所述近距离传输模块是RF、DI或NFC。

3.根据权利要求1所述的可应用于移动通讯设备的可信计算平台芯片，其特征是：封装成SIM卡形式的所述芯片设有作为天线的C4和C8两个触点。

4.根据权利要求1所述的可应用于移动通讯设备的可信计算平台芯片，其特征是：所述芯片还包括有通信安全机制。

5.一种采用权利要求1所述的可应用于移动通讯设备的可信计算平台芯片的认证方法，其特征在于：

(1)、在进行移动支付前，手机端生成一对公私钥及对应的由CA颁发的证书，用户拥有了自己的证书后，进行后续的手机支付操作，在用户每次登陆移动支付业务系统前，需要进行对用户的身份认证；

(2)、在身份认证通过后，用户使用支付系统进行移动支付；当近现场支付时，和现有的移动支付方式相同，当大额支付或远程支付时，则需要身份认证；

(3)、在以上基于PKI的操作中，每次请求之前都需要指纹的介入，由指纹处理引擎模块实现指纹特征的录入和指纹的比对，主控芯片采集好指纹图像后导入到SIM卡芯片中提取特征并搜索比对，比对通过才进行后续操作。

6.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法，其特征在于：手机端公私钥及证书的生成过程具体如下：

(1)、用户发送认证请求，请求中携带用户信息；

(2)、CA服务器通过运营商的BOSS系统对用户身份进行认证；

(3)、认证通过后，向手机返回确认；

(4)、手机端的密钥生成模块生成一对公私钥对(SK，PK)；

(5)、手机将生成的公钥PK及用户信息用CA的公钥进行加密，发送给CA服务器，请求生成证书；

(6)、CA服务器接受到请求后，生成用户证书，并将生成的证书发送给手机端，证书中有CA服务器的签名；

(7)、手机收到证书后，用CA服务器的公钥验证签名，如果验证通过，即说明该证书已成功生成，将其保存。

7.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法，其特征在于：身份认证过程如下：

(1)、手机发送接入请求，请求中包含用户信息；

(2)、支付系统生成随机数R，并用该用户的公钥进行加密ER＝Enc(R，PK)，将ER发送给手机端；

(3)、手机收到经过加密的随机数ER，用自己的私钥SK对ER进行解密获得R，并将解密后的随机数用支付系统的公钥加密DER＝Enc(R，PK)，返回给支付系统；

(4)、支付系统收到DER后，用自己的私钥解密，验证得到的随机数R’是否等于R，如果是，则通过对用户的身份认证。

8.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法，其特征在于：数字签名支付过程如下：

(1)、用户用自己的私钥SK将购买信息的指令TxT进行签名SignedTXT＝Sign(TxT，SK)，将其发送给支付系统，同时发送的还有用户基本信息；

(2)、支付系统根据用户信息找到用户的证书，验证证书的有效期信息；

(3)、支付系统再用用户证书中的公钥PK对SignedTXT进行解密，验证用户的签名是否正确；

(4)、验证通过后，进行后续的支付操作。

9.根据权利要求5所述的可应用于移动通讯设备的可信计算平台芯片的认证方法，其特征在于：在移动支付过程中，在会话之前需要建立安全通道，安全通道的建立涉及到公钥体系中的加解密过程，流程如下：

(1)、服务器生成随机数R作为手机与服务器之间的会话密钥，并用用户的公钥PK对R进行加密ER＝Enc(R，PK)；

(2)、服务器用R加密需要加密的会话内容TXT，CyberTXT＝Enc(TXT，R)；

(3)、服务器将ER与CyberTXT发送给手机。

(4)、手机收到后，用私钥解密ER，获得会话密钥R；

(5)、手机用R解密CyberTXT，获得TXT。