[发明专利]一种硬件数字证书载体的身份鉴别方法

权利要求书

1.一种硬件数字证书载体的身份鉴别方法，其特征在于，包括：硬件数字证书载体和移动端，

所述移动端具有一对私钥Da和公钥Pa以及签名结果S1，所述签名结果S1通过公钥Pa+随机数UAID经所述硬件数字证书载体签名后生成，身份鉴别方法包含以下步骤：

步骤1，移动端申请鉴别随机数，并将S1||Pa发送至硬件数字证书载体；

步骤2，硬件数字证书载体对所述签名结果S1进行验证，验证成功后，生成随机数Rb，内部缓存公钥Pa和随机数Rb；

步骤3，硬件数字证书载体将所述随机数Rb返回至移动端；

步骤4，移动端生成随机数Ra，使用私钥Da对Ra||Rb签名生成签名结果S2；

步骤5，移动端发送鉴别数据Ra||Rb||S2至硬件数字证书载体；

步骤6，硬件数字证书载体使用缓存的公钥Pa和随机数Rb对所述鉴别数据Ra||Rb||S2进行验证；

步骤7，硬件数字证书载体将验证结果返回至移动端；

步骤8，移动端根据返回的验证结果进行相应的操作，

其中，

所述签名结果S1通过签名授权处理得到，所述签名授权处理包含以下步骤：

步骤11，用户在移动端的签名授权界面输入PIN码；

步骤12，移动端对输入的PIN码加密，生成加密的PIN码校验数据，并发送至硬件数字证书载体；

步骤13，硬件数字证书载体对移动端发送的加密的PIN码校验数据进行验证；

步骤14，硬件数字证书载体将验证结果返回至移动端；

步骤15，在硬件数字证书载体验证成功后，移动端生成一对私钥Da和公钥Pa；

步骤16，移动端向硬件数字证书载体发送其鉴别密钥的公钥Pa；

步骤17，硬件数字证书载体对公钥Pa+随机数UAID签名，生成签名结果S1；

步骤18，硬件数字证书载体将签名结果S1返回至移动端；

步骤19，移动端保存签名结果S1。

2.根据权利要求1所述的方法，其特征在于，所述硬件数字证书载体具有验证PIN码的功能，所述硬件数字证书载体内部保存有PIN码，所述硬件数字证书载体利用内部保存的PIN码对接收的加密的PIN码校验数据进行验证。

3.根据权利要求1或2所述的方法，其特征在于，所述移动端使用移动端本身的内部安全存储功能，生成一对私钥Da和公钥Pa。

4.根据权利要求1或2所述的方法，其特征在于，所述随机数UAID为硬件数字证书载体的应用过程ID。

5.根据权利要求4所述的方法，其特征在于，所述随机数UAID在每次解锁PIN码或硬件数字证书载体初始化后重新生成。

6.根据权利要求1或2所述的方法，其特征在于，所述硬件数字证书载体使用硬件数字证书载体本身的设备密钥对公钥Pa+随机数UAID进行签名。

7.根据权利要求1所述的方法，其特征在于，移动端具有移动端本身的身份鉴别机制，在步骤1之前，还包括，通过身份鉴别机制对用户完成鉴别后进入步骤1。

8.根据权利要求1所述的方法，其特征在于，移动端具有移动端本身的身份鉴别机制，在步骤11之前，还包括，通过身份鉴别机制对用户完成鉴别后进入步骤11。

9.根据权利要求7或8所述的方法，其特征在于，所述移动端的身份鉴别机制包括锁屏图案、指纹、人脸中的至少一种。