[发明专利]一种手机用户身份认证系统和方法

说明书

技术领域

本发明涉及身份认证技术领域，更具体的，涉及一种运用智能识别码及手机安全模块以实现手机用户身份认证的系统和方法。

背景技术

当今社会，随着电脑和网络的普及，人们已经接受并习惯于利用网络的便捷处理个人事情：网络社交、上网购物、上网预订酒店及机票、通过网上银行办理转账付款缴费等。越来越多的事务是通过数字信息的传递而完成。

而另一方面，在我国，手机的广泛早已达到人手一机并且随时随地随身携带的程度。特别是近来随着智能机及3G网络的推出，使得手机的多应用成为可能。手机必将突破打电话这个单一的功能，不久的将来，手机刷卡乘坐公交，手机下载电影票、优惠券、会员卡、公园年票，手机刷POS机完成支付代替钱包，手机代替门禁卡和钥匙等都会成为普遍的用途。

不论是电脑还是手机，人们愿意使用上述应用都有一个最大的前提，就是安全性。而身份认证则是所有信息系统安全的基础。身份认证，就是要确保操作者的数字身份与物理身份一一对应，或者说，要保证操作者本人就是这个数字身份的合法拥有者。

至今为止，目前的身份认证技术主要是基于电脑的应用。在用户和所使用的系统之间，针对多个潜在攻击点，包括键盘扫描、内存驻留木马、线路侦听、通信数据收集解剖等等，人们发展出多种身份认证技术。常用的认证手段主要是：1、用户名加密码，这是大家最熟悉的；2、生物技术特征识别技术，比如指纹识别；3数字证书，一般开通过网上银行的用户都会使用到；4、动态口令。

如果将这些技术直接照搬应用到手机用户，就会出现新的问题。例如电脑网上银行普遍使用了数字证书和动态密码技术，但是这两种技术应用到手机上以后的一个大问题是，很难防范可能驻留在手机中的木马程序。

在电脑上，数字证书一般不会以电脑文件的形式存放在硬盘里，因为那样很容易被恶意程序获得。一种安全手段是将数字证书和签名加密等操作都放在单独的智能卡，也就是网盾或U盾里完成，。但是，这样不能完全避免木马的攻击。如果运行在电脑中木马程序侦听到用户启用网盾的pin码，则完全可以在用户毫不知情的情形下使用这个pin码，操作网盾进行银行交易，前提是此时网盾还插在电脑上。因此，及时拔出网盾，会在很大程度上减小风险。

与电脑可以外插网盾不同，手机在使用以智能卡为核心的安全模块时，该安全模块通常是一直连接的，相当于说网盾是一直插在电脑上的。相比之下，手机的安全风险就大了很多。

如果说以前手机仅仅作为通讯工具，身份认证的问题还不那么迫切，但是在不久的将来，智能手机被赋予更多的应用功能，比如手机支付，那末，身份认证就是一个不能不解决的问题。

发明内容

本发明要解决的技术问题是为手机用户提供一种安全且经济的用户身份认证系统和方法。

为实现上述目的，根据本发明的一个方面，提供了一种手机用户身份认证系统，包括手机安全模块、手机终端、后台应用主机。

所述手机安全模块，是一个独立的信息处理装置，内含微处理器和安全数据存储空间，用于存放手机用户的安全信息，并能够安全地在模块内部处理用户信息。所述手机安全模块中运行手机安全应用和智能识别码处理器。

所述手机终端包括系统控制模块、主机通信模块。其中，所述系统控制模块中运行手机应用界面和智能识别中间件，并控制主机通信模块与后台应用主机通信。

上述系统中，所述手机安全应用是运行于手机安全模块中，对用户安全信息进行处理的应用。

上述系统中，所述智能识别码处理器是产生智能识别码，并验证识别结果的应用。

上述系统中，所述手机应用界面是运行于手机终端的系统控制模块中，处理人机界面和通信的应用。

上述系统中，所述智能识别中间件是配合智能识别码处理器，将智能识别码安全地传递给用户界面的程序。

上述系统中，所述安全模块是在手机主板上的智能卡芯片，或是集成在手机终端的SIM/UIM卡中，或是与手机终端通信的单独模块中的智能卡芯片。

上述系统中，安全模块是符合JavaCard标准的智能卡。

上述系统中，所述智能识别码是图形码。

上述系统中，智能识别中间件与用户界面集成为一体。

根据本发明的另一方面，还提供了一种基于上述系统的手机用户身份认证方法，包括下列步骤：

当手机安全应用需要验证手机用户身份时，先由手机安全模块中的智能识别码处理器产生智能识别码；然后传递给智能识别中间件；

智能识别中间件通过手机应用界面提供给手机用户进行识别；