[发明专利]一种硬件数字证书载体的身份鉴别方法

说明书

本发明提供一种硬件数字证书载体的身份鉴别方法，包括：硬件数字证书载体和移动端，所述移动端具有一对私钥Da和公钥Pa以及签名结果S1，所述签名结果S1通过公钥Pa+随机数UAID经所述硬件数字证书载体签名后生成，以进行身份鉴别。本发明中依托移动端本身的身份鉴别机制和安全功能，通过使用硬件数字证书载体内部的设备密钥对进行授权，采用数字签名技术实现硬件数字证书载体的移动端身份鉴别功能，解决了在使用硬件数字证书载体时，每一次都需要输入硬件数字证书载体的PIN码进行验证的问题，简化了操作，在保证安全的前提下，提升了用户体验。

技术领域

本发明总体涉及移动支付技术领域，更具体地，涉及在移动端对硬件数字证书载体进行身份鉴别时，不需要输入证书密码(PIN码)的方法。

背景技术

近年来，随着互联网在中国的迅猛发展，越来越多的客户通过网上银行办理支付转账等业务。为了保证网银客户端的安全问题，银行方面采取了相应的防御措施，最常见的是使用身份认证技术来增加网银系统的安全系数。作为硬件数字证书载体，目前U盾类产品(USBKey)已广泛应用于国内的网上银行领域，是公认的较为安全的网银身份认证技术。

然而，每个硬件数字证书载体都有一个证书密码(PIN码)，用户结合移动终端应用(如手机网银)使用硬件数字证书载体时，需要输入PIN(Personal IdentificationNumber)码进行验证，此过程不仅操作起来比较繁琐，如果PIN码输入错误或用户忘记，就无法通过验证，如果是手机网银支付，就无法完成，影响用户体验。

发明内容

针对上述存在的问题，本发明的目的在于提供一种硬件数字证书载体的身份鉴别方法，以克服现有技术中使用硬件数字证书载体时，总是需要输入PIN码带来的操作繁琐问题。

本发明提供如下技术方案：一种硬件数字证书载体的身份鉴别方法，包括：硬件数字证书载体和移动端，所述移动端具有一对私钥Da和公钥Pa以及签名结果S1，所述签名结果S1通过公钥Pa+随机数UAID经所述硬件数字证书载体签名后生成，身份鉴别方法包含以下步骤：

步骤1(S41)，移动端申请鉴别随机数，并将发送S1||Pa至硬件数字证书载体；

步骤2(S42)，硬件数字证书载体对S1进行验证，验证成功后，生成随机数Rb，内部缓存Pa和Rb；

步骤3(S43)，硬件数字证书载体将Rb返回至移动端；

步骤4(S44)，移动端生成随机数Ra，使用私钥Da对Ra||Rb签名生成签名结果S2(Ra||Rb)；

步骤5(S45)，移动端发送鉴别数据Ra||Rb||S2(Ra||Rb)至硬件数字证书载体；

步骤6(S46)，硬件数字证书载体使用缓存的Pa和Rb对鉴别数据Ra||Rb||S2(Ra||Rb)进行验证；

步骤7(S47)，硬件数字证书载体将验证结果返回至移动端；

步骤8(S48)，移动端根据返回的验证结果进行相应的操作。

优选地，所述签名结果S1通过签名授权处理得到，所述签名授权处理包含以下步骤：

步骤11(S11)，用户在移动端的签名授权界面输入PIN码；

步骤12(S12)，移动端对输入的PIN码加密，生成加密的PIN码校验数据，并发送至硬件数字证书载体；

步骤13(S13)，硬件数字证书载体对移动端发送的加密的PIN码校验数据进行验证；

步骤14(S14)，硬件数字证书载体将验证结果返回至移动端；

步骤15(S15)，硬件数字证书载体验证成功后，移动端生成一对私钥Da和公钥Pa；