[发明专利]安全认证方法和系统以及用于安全认证的移动终端

权利要求书

1.一种安全认证方法，其特征在于，包括如下步骤：

S1、业务平台基于用户的业务请求生成交易确认码，并向安全服务平台发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求，同时将所述交易确认码返回给用户；

S2、安全服务平台基于所述安全认证请求向用户预先绑定的移动终端发送交易确认签名请求；

S3、移动终端基于所述交易确认签名请求接收用户输入的交易确认码，调用本地安全存储的用户私钥对所述交易确认码进行签名，并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台；

S4、安全服务平台根据所述用户身份信息获取本地存储的用户数字证书，使用所述用户数字证书对签名信息进行验证，并验证交易确认码，返回验证结果给业务平台。

2.根据权利要求1所述的安全认证方法，其特征在于，所述用户身份信息包括手机号码和/或移动终端硬件信息。

3.根据权利要求1所述的安全认证方法，其特征在于，所述方法在步骤S1之前还包括：

S0、所述移动终端预先在安全服务平台上注册，以由安全服务平台向第三方安全认证中心申请用户数字证书，并在安全服务平台上绑定所述移动终端和所述用户数字证书。

4.根据权利要求3所述的安全认证方法，其特征在于，所述步骤S0具体包括：

S01、所述移动终端接收用户的注册请求，携带用户输入的手机号码向安全服务平台获取短信验证码；

S02、安全服务平台生成短信验证码并发送给所述手机号码；

S03、所述移动终端接收用户输入的短信验证码，生成用户公私钥对并将用户私钥安全存储于本地，并获取移动终端硬件信息，向安全服务平台发送包 含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请；

S04、安全服务平台验证短信验证码，携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书；

S05、安全服务平台将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定。

5.根据权利要求4所述的安全认证方法，其特征在于，所述步骤S03中移动终端生成用户公私钥对进一步包括：采用国产密码算法生成用户公私钥对并将用户私钥安全存储于本地。

6.一种安全认证系统，其特征在于，包括通信连接的业务平台、安全服务平台和移动终端，其中：

业务平台用于基于用户的业务请求生成交易确认码，并向安全服务平台发送包含所述交易确认码以及用户身份信息、交易信息的安全认证请求，同时将所述交易确认码返回给用户；

安全服务平台用于基于所述安全认证请求向用户预先绑定的所述移动终端发送交易确认签名请求；

移动终端用于基于所述交易确认签名请求接收用户输入的交易确认码，调用本地安全存储的用户私钥对所述交易确认码进行签名，并将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台；

安全服务平台还用于根据所述用户身份信息获取本地存储的用户数字证书，使用所述用户数字证书对签名信息进行验证，并验证交易确认码，返回验证结果给业务平台。

7.根据权利要求6所述的安全认证系统，其特征在于，所述移动终端还用于预先在安全服务平台上注册，以由安全服务平台向第三方安全认证中心申请用户数字证书，并在安全服务平台上绑定所述移动终端和所述用户数字证书。

8.根据权利要求7所述的安全认证系统，其特征在于，所述移动终端还用于接收用户的注册请求，携带用户输入的手机号码向安全服务平台获取短信验证码，并接收用户输入的安全服务平台返回的短信验证码，生成用户公私钥 对并将用户私钥安全存储于本地，并获取移动终端硬件信息，向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请；

所述安全服务平台还用于验证短信验证码，携带所述手机号码和用户公钥向第三方安全认证中心申请用户数字证书，并将第三方安全认证中心签发的用户数字证书与所述手机号码、硬件信息绑定。

9.一种用于安全认证的移动终端，其特征在于，包括：

存储模块，用于安全存储用户私钥；

安全服务客户端模块，用于基于安全服务平台的交易确认签名请求，接收用户输入的交易确认码，调用存储模块内存储的用户私钥对所述交易确认码进行签名，然后将携带签名信息的交易确认码以及用户身份信息返回给安全服务平台。

10.根据权利要求9所述的移动终端，其特征在于，所述安全服务客户端模块还用于基于用户的注册请求，携带用户输入的手机号码向安全服务平台获取短信验证码，并接收用户输入的安全服务平台向该手机号码发送的短信验证码，生成用户公私钥对并将用户私钥安全存储于所述存储模块，并获取移动终端硬件信息，向安全服务平台发送包含所述短信验证码、用户公钥、手机号码、硬件信息的注册申请。