[发明专利]移动安全认证终端及方法

说明书

技术领域

本发明涉及电信技术及信息安全领域，尤其涉及一种移动安全认证终端及方法。

背景技术

随着电信技术的逐渐发展，目前已出现了利用移动设备进行金融业务的银行类服务，以此来提供较传统银行服务更为便利、高效和安全的服务方式。为了确保这种新型服务方式的安全性，目前的安全认证方式主要有以下几类：

1、账号/密码鉴权方式：通过移动终端内安装的客户端输入客户的银行帐号(或别名)以及密码进行登录鉴权，从而完成对客户身份的认证；

2、WAP认证方式：用户在开通银行业务时将银行账号与手机号码进行绑定，当用户通过WAP方式访问银行系统时，银行系统通过电信运营商的WAP网关获取用户的手机号码，并将用户登录所用的手机号码与该绑定的手机号码进行对比校验，从而验证用户身份；

3、动态口令方式：用户需要更换专用的SIM卡，而该SIM卡可根据时间、使用次数等条件产生不断变化的密码，每个密码只能使用一次，用户在进行手机客户端登录鉴权及交易过程中需要输入SIM卡产生的动态密码用于验证用户身份。

以上三种方式均具有一定的安全性，且可以结合使用，但仍均存在一定的安全隐患，例如账号密码易于被盗取、发生孖卡现象以及被钓鱼网站窃取动态密码的可能。对于大额支付、转账、汇款等安全等级非常高的银行业务，目前的这些安全认证方式尚不能满足要求。

目前已出现了一种PKI SIM卡，通过引入数字证书、数字签名等非对称安全算法可以提高银行业务的安全等级，但目前移动终端只能支持手机客户端访问一些标准的机卡接口，例如读取通信账号信息、存储卡内信息、存储卡内电话簿等，而无法支持PKI SIM卡所增加的对PKI能力访问的机卡接口，导致无法实现客户端对PKI SIM卡的PKI能力的正常调用。

发明内容

本发明的目的是提出一种移动安全认证终端及方法，能够调用PKI SIM卡的PKI能力，满足移动方式下银行业务的更高级的安全需要。

为实现上述目的，本发明提供了一种移动安全认证终端，包括：

安全中间件，用于利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT指令；

基带芯片，用于根据所述AT指令获得与所述客户端的PKI调用请求对应的APDU指令，并将所述APDU指令发送到PKI SIM卡；

PKI SIM卡，作为安全模块核心，提供PKI能力的APDU指令的支持。

进一步的，所述安全中间件还包括：

APDU转换单元，用于将PKI调用请求转换为APDU指令；

AT指令组装单元，用于将转换后的APDU指令作为AT指令的参数组装到AT指令中。

进一步的，所述基带芯片还用于对所述组装的AT指令中的APDU指令的参数不做解析，直接提取该APDU指令，传入所述PKISIK卡中。

进一步的，所述PKI SIM卡包括：

安全标识检查单元，用于检查接收到的APDU指令中是否包含安全应用协议标识；

PKI操作单元，用于在确定接收到的APDU指令中包含安全应用协议标识时，根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。

进一步的，所述PKI调用请求包括：公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。

为实现上述目的，本发明提供了一种移动安全认证方法，包括：

移动安全认证终端中的安全中间件利用操作系统提供的AT指令通道将客户端的PKI调用请求转换为AT指令；

所述移动安全认证终端中的基带芯片根据指令转换表将所述AT指令转换为APDU指令，并将所述APDU指令发送到安设在所述移动安全认证终端中的PKI SIM卡；

所述PKI SIM卡检查接收到的APDU指令中是否包含安全应用协议标识，在确定接收到的APDU指令中包含安全应用协议标识时，根据所述APDU指令中包括的安全应用命令类型和安全应用命令参数的长度及内容执行相应的PKI操作。

进一步的，所述PKI调用请求包括：公私钥对的生成操作、数字签名、加解密运算或数字证书的保存/更新/读取。

为实现上述目的，本发明还提供了另一种移动安全认证方法，包括：

移动安全认证终端中的安全中间件将客户端的PKI调用请求转换为APDU指令，并将转换后的APDU指令作为AT指令的参数组装到AT指令中；