一种手机客户端口令统一认证方法及系统的利记博彩app

一种手机客户端口令统一认证方法及系统的利记博彩app
【专利摘要】本发明公开了一种手机客户端口令统一认证方法及系统，方法为：进入手机客户端；在手机访问SE的安全控件中输入PIN码；手机访问SE的安全控件请求SE进行用户认证；SE验证输入的PIN码，生成用户认证令牌；将用户认证令牌通过SE访问安全控件返回给手机客户端；手机客户端提交用户信息和SE生成的用户认证令牌，并请求登录业务系统；业务系统请求统一认证系统进行用户身份验证；统一认证系统根据用户信息生成令牌，并检验令牌，向业务系统反馈认证接口，业务系统根据认证接口返回登录响应。使用本发明的方法可完成多种业务的处理；可以防止黑客盗取口令；能有效防止钓鱼客户端的使用，保证了登录或交易操作安全。
【专利说明】一种手机客户端口令统一认证方法及系统
【技术领域】
[0001]本发明涉及互联网安全领域，特别是一种手机客户端口令统一认证方法及系统。【背景技术】
[0002]互联网时代，众多手机应用都需要对用户的身份进行验证，其中最常用的简单身份认证方式是通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。
[0003]用户使用手机客户端软件进行交易或购物时，有被攻击者钓鱼的风险。所谓钓鱼风险，即攻击者制作伪装的手机客户端从合法用户处获取登陆口令，黑客使用盗取的登陆信息登陆银行盗取金钱。
[0004]网络身份虚假，对社会造成欺诈等不良影响。虽然很多网站声明用户身份实名认证，但是都以用户输入身份证信息进行实名认证，无法有效的技术手段，仍有造假可能。
[0005]业务系统存在口令明文保存或在日志文件中记录，存在被泄漏的风险。不久前，多个网站的登录口令被泄漏并在网络上流传。
[0006]用户通常在手机终端中使用多个客户端软件，每个应用登陆时候都需要输入用户名和口令。如果所以客户端使用同一个口令，按照木桶原理，安全性决定于最差的客户端，易于造成口令的泄露，同时设置同一密钥也容易被恶意客户端或钓鱼客户端获取所有客户端的口令；如果每个客户端设立单独口令，过多的口令用户难以记清，这给用户造成了极大的不便。

【发明内容】

[0007]本发明所要解决的技术问题是，针对现有技术不足，提供一种手机客户端口令统一认证方法及系统，实现多个客户端登录验证，降低口令被钓鱼及被泄漏的风险，保证登录操作安全。
[0008]为解决上述技术问题，本发明所采用的技术方案是:一种手机客户端口令统一认证方法，该方法主要实现过程为:在手机访问SE的安全控件中输入PIN码；手机访问SE的安全控件请求SE进行用户认证；将SE生成的用户认证令牌通过SE访问安全控件返回给手机客户端；手机客户端提交用户信息和SE生成的用户认证令牌，并请求后台业务系统处理业务。
[0009]SE为具有硬加解密功能的安全芯片，可以存在于接收方身份识别模块(SM卡)，也可以存在于SD卡，也可以存在于手机终端内部。
[0010]在手机访问SE的安全控件中输入PIN码前，进行如下处理:
1)进入手机客户端；
2)手机客户纟而启动手机访问SE的安全控件。
[0011]手机访问SE的安全控件请求SE进行用户认证后，SE验证输入的PIN码，若输入的PIN码正确，则SE生成用户认证令牌；若输入的PIN码不正确，则结束。[0012]手机客户端提交用户信息和SE生成的用户认证令牌，并请求后台业务系统处理业务后，进行如下处理:
1)业务系统请求统一认证系统进行用户身份验证；
2)统一认证系统根据用户信息生成令牌，检验SE生成的用户认证令牌与统一认证系统生成的令牌是否相同，若相同，统一认证系统向业务系统反馈认证结果，业务系统根据认证结果返回业务处理响应；否则，结束。
[0013]本发明还提供了一种手机客户端口令认证系统，包括:
手机客户端:用于启动手机访问SE的安全控件，并在手机访问SE的安全控件中输入PIN码，提交用户信息和SE生成的用户认证令牌，并请求登录业务系统；
手机访问SE的安全控件:用于请求SE进行用户认证，将SE生成的用户认证令牌返回给手机客户;
SE:用于验证输入的PIN码，并在输入的PIN码正确时生成用户认证令牌；
业务系统:用于请求统一认证系统进行用户身份验证，根据统一认证系统反馈的认证结果返回登录响应；
统一认证系统:用于根据用户信息生成令牌，检验SE生成的用户认证令牌与统一认证系统生成的令牌是否相同，并在相同时向业务系统反馈认证结果。
[0014]与现有技术相比，本发明所具有的有益效果为:使用本发明的方法，用户只需要记住统一 口令，即可完成多种业务的登陆；PIN本地验证，不在空中传输，防止黑客盗取口令；只有合法客户端才可以调用SE访问安全控件，防止钓鱼客户端的使用，有效地保证了登录操作安全。
【专利附图】

【附图说明】
[0015]图1为本发明认证系统结构示意图；
图2为本发明方法流程图；
图3为业务平台用户身份认证的流程。
【具体实施方式】
[0016]如图1所示，本发明认证系统包括业务系统、统一认证系统、手机客户端、手机访问SE的安全控件以及SE (安全元件)。
[0017]其中手机客户端和业务系统为统一认证的服务使用方；访问SE安全控件、认证Applet及统一认证系统为统一认证的服务提供方。
[0018]手机客户端和访问SE安全控件都是手机上的程序，访问SE安全控件提供程序接口，授权手机客户端调用，以便安全输入认证Applet的PIN,进行登录认证。认证Applet的PIN即为用户认证的统一口令。
[0019]SE上的认证Applet中保存认证的密钥，根据用户信息，计算出认证的TOKEN (令牌)。为了安全起见，在SE上设置访问控制规则，仅访问SE控件可以访问认证Applet，访问控制规则设置及使用可参照GlobalPlatform的定义。
[0020]SE包括多种形态,可以米用全终端(即安全芯片嵌入终端)、SD卡(Secure DigitalMemory Card)、SIM 卡(Subscriber Identity Module)以及 HCE(Hosted Card Emulator)坐寸O
[0021]业务系统为手机客户端提供登录接口，并在登录时将用户信息及TOKEN提交统一认证系统进行校验。
[0022]统一认证系统是统一认证服务的核心，为业务系统提供用户校验功能。统一认证系统为每个SE上的认证Applet分散并共享认证密钥及认证算法。
[0023]由统一认证平台集中用户身份认证流程如图2所示:
1.用户点击进入业务客户端；
2.业务客户端启动通用的访问SE控件；
3.用户在访问SE控件中输入PIN码；
4.访问SE控件请求SE进行用户认证；
5.SE验证用户输入的PIN码；
6.若PIN码正确，生成用户认证TOKEN;否则流程终止；
7.SE将生成的TOKEN通过访问SE控件返回给业务客户端；
8.业务客户端提交用户信息、TOKEN，请求登录业务系统；
9.业务系统请求统一认证系统进行用户身份验证；
10.统一认证系统根据用户信息生成TOKEN，并检验TOKEN值；
11.统一认证系统向业务系统反馈认证结果，业务系统根据认证结果返回登录响应。
[0024]由业务平台用户身份认证的流程如图3所示:
1.用户点击进入业务客户端；
2.业务客户端启动通用的访问SE控件；
3.用户在访问SE控件中输入PIN码；
4.访问SE控件请求SE进行用户认证；
5.SE验证用户输入的PIN码；
6.若PIN码正确，生成用户认证TOKEN;否则流程终止；
7.SE将生成的TOKEN通过访问SE控件返回给业务客户端；
8.业务客户端提交用户信息、TOKEN，请求登录业务系统；
9.业务系统根据用户信息生成TOKEN并检验TOKEN值；
10.业务系统根据认证结果返回登录响应。
[0025]本发明可应用于使用手机钱包客户端登录系统的应用场景。
[0026]用户使用手机客户端登录网上商城、社交或支付系统等，客户端登录页面提供统一登录按钮。用户点击统一登录按钮，客户端调用访问SE的控件，由用户输入SE的保护PIN码，输入PIN后，访问SE的控件调用SE生成硬件加密的登录TOKEN，客户端将TOKEN返回给网上商城、社交或支付的后台系统，后台系统将TOKEN提交到统一认证平台进行验证，验证结果通过后将结果返回网上商城、社交或支付的后台系统，后台系统再将结果返回给客户端并允许用户登录。用户仅需记住SE的PIN，用户ID不需用户记忆或输入，由SE标识。
【权利要求】
1.一种手机客户端口令统一认证方法，其特征在于，该方法主要实现过程为:在手机访问SE的安全控件中输入PIN码；手机访问SE的安全控件请求SE进行用户认证；将SE生成的用户认证令牌通过SE访问安全控件返回给手机客户端；手机客户端提交用户信息和SE生成的用户认证令牌，并请求后台业务系统处理业务。
2.根据权利要求1所述的手机客户端口令统一认证方法，其特征在于，在手机访问SE的安全控件中输入PIN码前，进行如下处理: 1)进入手机客户端； 2)手机客户纟而启动手机访问SE的安全控件。
3.根据权利要求2所述的手机客户端口令统一认证方法，其特征在于，手机访问SE的安全控件请求SE进行用户认证后，SE验证输入的PIN码，若输入的PIN码正确，则SE生成用户认证令牌；若输入的PIN码不正确，则结束。
4.根据权利要求3所述的手机客户端口令统一认证方法，其特征在于，手机客户端提交用户信息和SE生成的用户认证令牌，并请求后台业务系统处理业务后，进行如下处理: 1)业务系统请求统一认证系统进行用户身份验证； 2)统一认证系统根据用户信息生成令牌，检验SE生成的用户认证令牌与统一认证系统生成的令牌是否相同，若相同，统一认证系统向业务系统反馈认证结果，业务系统根据认证结果返回业务处理响应；否则，结束。
5.一种手机客户端口令认证系统，其特征在于，包括: 手机客户端:用于启动手机访问SE的安全控件，并在手机访问SE的安全控件中输入PIN码，提交用户信息和SE生成的用户认证令牌，并请求登录业务系统； 手机访问SE的安全控件:用于请求SE进行用户认证，将SE生成的用户认证令牌返回给手机客户; SE:用于验证输入的PIN码，并在输入的PIN码正确时生成用户认证令牌； 业务系统:用于请求统一认证系统进行用户身份验证，根据统一认证系统反馈的认证结果返回登录响应； 统一认证系统:用于根据用户信息生成令牌，检验SE生成的用户认证令牌与统一认证系统生成的令牌是否相同，并向业务系统反馈认证结果。
【文档编号】H04L9/32GK103929310SQ201410170018
【公开日】2014年7月16日 申请日期:2014年4月25日 优先权日:2014年4月25日
【发明者】邹海涛 申请人:长沙市梦马软件有限公司