CN108122108A - 移动设备认证***和移动设备认证方法 - Google Patents
移动设备认证***和移动设备认证方法 Download PDFInfo
- Publication number
- CN108122108A CN108122108A CN201611081754.XA CN201611081754A CN108122108A CN 108122108 A CN108122108 A CN 108122108A CN 201611081754 A CN201611081754 A CN 201611081754A CN 108122108 A CN108122108 A CN 108122108A
- Authority
- CN
- China
- Prior art keywords
- server
- certification
- user
- mobile
- person identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种移动设备认证***和认证方法,能够方便且安全地对移动设备进行认证。本发明的认证***包括:移动设备(101)、认证用模块(111)和服务器(121),在服务器(121)中将基于设备信息生成的设备标识和个人标识与用户个人信息对应起来存储,用户登录移动客户端时,认证用模块(111)的信息获取部(112)获取移动设备的设备信息和存储的个人标识并将它们发送到服务器(121),标识生成部(123)基于接收到的设备信息生成待认证的设备标识,认证部(124)对生成的设备标识和发送来的个人标识与作为认证基准的设备标识和个人标识进行比对来判断移动设备是否合法,并将判断结果发回给认证用模块(111)。
Description
技术领域
本发明涉及一种移动设备认证***和移动设备认证方法,特别是涉及服务器对移动设备进行认证的移动设备认证***和移动设备认证方法。
背景技术
近年来,基于以手机为代表的移动设备的业务办理正在快速增长,而移动支付等业务是银行等金融机构的一项重要业务。由于移动支付需要高安全性,所以银行等金融机构采取了各种安全措施,例如有如下所述的用于移动支付的认证方法。
现有技术中的第一种用于移动支付的认证方法是软件层面的认证方法。即由用户注册帐号并设置密码,将注册好的帐号与该用户在金融机构开户的帐户信息、例如银行***进行绑定。在用户办理移动支付等业务时,通过帐号和密码登录金融机构的服务器,服务器向用户发送手机短信等来让用户输入一个随机验证码来验证用户合法,对输入了服务器发送的随机验证码的用户允许其办理业务。
此外,也有金融机构采取了硬件层面的安全措施,例如向用户发放用来生成动态口令(One-time Password)的动态令牌。动态令牌生成的动态口令是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次。用户进行认证的时候,除输入账号和静态密码之外,要求必须输入动态口令,只有通过了***验证,才可以正常登录或者交易,从而有效保证用户身份的合法性和唯一性。动态令牌最大的优点在于,用户每次使用的口令都不相同,使得不法分子无法仿冒合法用户的身份。
作为硬件层面的安全措施,例如还有向用户发放移动数字证书的例子。当用户尝试进行在线交易时,金融机构会向用户发送由时间字串、地址字串、交易信息字串、防重放攻击字串组合在一起进行加密后而得到的字串A,移动数字证书根据用户的个人证书对字串A进行不可逆运算得到字串B,并将字串B发送给金融机构,金融机构也同时进行该不可逆运算,如果金融机构的运算结果和用户的运算结果一致便认为用户合法,便可进行交易,如果不一致则认为用户不合法,交易失败。
发明内容
利用上述现有技术中的第一种用于移动支付的认证方法能够在一定程度上保证交易的安全等级,但是该用于移动支付的认证方法仅在软件层面保证交易的安全等级,容易被复制,所以无法区分是合法设备还是复制的非法(恶意)设备。
如上所述的动态令牌和移动数字证书是硬件层面的安全措施,也能够提高交易的安全等级,但是需要用户到金融机构验明身份后领取动态令牌和移动数字证书,并且需要随身携带以实现移动支付。因此存在领取麻烦且使用不方便的问题。
鉴于此,本发明提供一种移动设备认证***和移动设备认证方法,用户能够方便地加入本发明的移动设备认证***,并且能够实现安全的认证来保证该移动设备办理业务的安全。
本发明的第一方面是一种对移动设备进行认证的移动设备认证***,包括:用户持有的安装有移动客户端的移动设备;具有信息获取部、通信部和存储部的认证用模块;和具有标识生成部和认证部的服务器,在所述服务器中将由所述标识生成部基于所述移动设备的设备信息生成的设备标识和用户的个人标识与事先登记于所述服务器的用户个人信息对应起来存储,当所述用户登录所述移动客户端时,所述信息获取部获取所述移动设备的设备信息和事先存储在所述存储部中的、由所述标识生成部生成的个人标识,并由所述通信部将获取到的设备信息和个人标识发送到所述服务器,所述标识生成部基于所述服务器接收到的设备信息生成待认证的设备标识,所述认证部对生成的待认证的设备标识和所述服务器接收到的个人标识与存储在所述服务器中的作为认证基准的设备标识和个人标识分别进行比对来判断用户用来登录移动客户端的移动设备是否合法,并将判断结果发回给所述认证用模块。
本发明的第二方面的移动设备认证***是在第一方面的移动设备认证***中,在用户首次登录安装于移动设备的移动客户端时,所述信息获取部获取该移动设备的设备信息,并由所述通信部将获取到的设备信息发送到所述服务器,所述标识生成部基于所述服务器接收到的设备信息生成设备标识和个人标识并将生成的设备标识和个人标识与所述用户个人信息对应起来存储在所述服务器中,所述服务器将生成的个人标识发送给所述认证用模块,并由所述认证用模块存储在其存储部中。
本发明的第三方面的移动设备认证***是在第一或第二方面的移动设备认证***中,所述服务器通过检索所述通信部发送来的个人标识所对应的用户个人信息来提取存储在所述服务器中的作为认证基准的设备标识和个人标识。
本发明的第四方面的移动设备认证***是在第一至第三方面的移动设备认证***中,设备信息包括移动设备的IMEI和MAC地址。
本发明的第五方面是一种由安装有移动客户端的移动设备、认证用模块和服务器构成的移动设备认证***对移动设备进行认证的移动设备认证方法,包括:用户用移动设备登录移动客户端的步骤;所述认证用模块获取该移动设备的设备信息和事先存储于所述认证用模块的、由服务器生成的移动设备的用户的个人标识的步骤;将获取到的设备信息和个人标识发送到所述服务器的步骤;所述服务器基于接收到的设备信息生成待认证的设备标识的步骤;所述服务器对生成的待认证的设备标识和接收到的个人标识与存储在所述服务器中的作为认证基准的设备标识和个人标识分别进行比对来判断用户用来登录移动客户端的移动设备是否合法的步骤;和将判断结果发回给所述认证用模块的步骤。
本发明的第六方面的移动设备认证方法是在第五方面的移动设备认证方法中,在用户首次登录安装于移动设备的移动客户端时进行以下步骤:获取移动设备的设备信息并将获取到的设备信息发送到所述服务器的步骤;所述服务器基于接收到的设备信息生成设备标识和个人标识并将生成的设备标识和个人标识与所述用户个人信息对应起来存储在所述服务器中的步骤;所述服务器将生成的个人标识发送给所述认证用模块并由所述认证用模块进行存储的步骤。
本发明的第七方面的移动设备认证方法是在第五或第六方面的移动设备认证方法中,当所述服务器接收到发送来的设备标识和个人标识时,基于接收到的个人标识所对应的用户个人信息提取事先与该用户个人信息对应地存储于所述服务器的、用作认证基准的设备标识和个人标识,其中所述用户个人信息事先登记于所述服务器。
本发明的第八方面的移动设备认证方法是在第五至第七方面的移动设备认证方法中,设备信息包括移动设备的IMEI和MAC地址。
发明效果
根据本发明的移动设备认证***和移动设备认证方法,用户能够方便地加入本发明的移动设备认证***,并且能够实现安全的认证来保证该移动设备办理业务的安全。
附图说明
图1是表示本发明的移动设备认证***的结构框图。
图2是表示本发明的移动设备认证***对移动设备和服务器进行绑定的流程图。
图3是表示本发明的移动设备认证***对移动设备和服务器进行绑定的示意图。
图4是表示本发明的移动设备认证***中服务器对移动设备进行认证的流程图。
图5是表示本发明的实施例1的移动设备认证***的示意图。
图6是表示本发明的实施例2的移动设备认证***的示意图。
图7是表示本发明的实施例3的移动设备认证***的示意图。
具体实施方式
以下参照图1说明本发明的移动设备认证***的结构。
如图1所示,本发明的移动设备认证***包括移动设备101、认证用模块111和服务器121。其中,认证用模块111可以是内置于移动设备101的功能部件,或者是可与移动设备101连接的外置硬件,或者是安装于移动设备101的应用软件。
移动设备101是用户所持有的移动设备,事先安装有用于办理业务的客户端(应用程序),可用于用户办理移动支付等业务,其具有硬件本身的设备信息102,而设备信息102又包括唯一属性103和非唯一属性104。
唯一属性103是该移动设备101所唯一具有的属性,例如有IMEI(InternationalMobile Equipment Identity:国际移动设备身份码)、物理地址MAC(Media AccessControl)等。
非唯一属性104是该移动设备101所具有的一般属性,例如有设备型号、OS(Operating System:操作***)类型等。
通过唯一属性103能够唯一确定该移动设备101,通过非唯一属性104无法唯一确定该移动设备101,但非唯一属性104也是能够用于确定该移动设备101的因子。
认证用模块111用于移动设备101与服务器121之间的认证,包括信息获取部112、通信部113和存储部114。
其中,信息获取部112用于从移动设备101获取包括唯一属性103和非唯一属性104在内的设备信息102。
通信部113用于与移动设备101和服务器121之间的通信。将移动设备101的设备信息102发送给服务器121,并接收来自服务器121的信息。
存储部114用来存储后述的个人标识以防止设备被伪造。
服务器121包括:进行与认证用模块111的通信部113和/或移动设备101的通信的用户接口部122;经由用户接口部122接收认证用模块111发送来的设备信息102,生成用于对移动设备101进行认证的设备标识和个人标识的标识生成部123;对由用户发送来的设备信息102计算出的设备标识和事先存储在服务器123中的设备标识进行比对,来判断用户是否合法的认证部124;和以建立相互关系的方式存储由标识生成部123计算出的设备标识、个人标识和事先取得的个人信息的存储器125。其中事先取得的个人信息包括个人身份证件号、手机号、银行***等信息。
在初次使用本发明的移动设备认证***的情况下,要进行移动设备的绑定。以下参照图2具体说明绑定的流程。
首先,用户注册帐号。用户可通过认证用模块111或者通过认证用模块111与移动设备两者或者通过金融机构的营业厅进行注册。注册可以使用用户的手机号、用户的银行***、用户的身份证件号、用户自定义的帐号名等。
在用户通过注册获得帐号并登录之后,即可通过认证用模块111进行移动设备的绑定。具体绑定流程如下。
如图2所示,在步骤S201中,认证用模块111的信息获取部112获取移动设备的设备信息102。具体而言,认证用模块111的信息获取部112获取包括唯一属性103和非唯一属性104的设备信息102,例如可获取移动设备的IMEI(International Mobile EquipmentIdentity:国际移动设备身份码)、物理地址MAC(Media Access Control)、设备型号、OS(Operating System:操作***)类型等。获取的设备信息102不限于上述属性,还可以有其它属性。
接着,在步骤S202中,认证用模块111的通信部113将获取到的信息发送给服务器121。
在步骤S203中,服务器121的用户接口部122接收到认证用模块111的通信部113发送来的设备信息102,由标识生成部123根据现有的算法或独有的算法生成设备标识和个人标识这两种类型的标识,即完成对设备信息102的加密过程。使用哪种公知的或者独有的算法仅服务器端知晓。对于生成的设备标识和个人标识,标识生成部123将其与事先存储在存储器125中的用户个人信息建立对应关系来存储。由此在服务器端完成了用户的移动设备101与帐号的绑定。
在此说明上述设备标识和个人标识。服务器121的标识生成部123基于用户的设备信息(例如IMEI、MAC地址、设备型号等)生成设备标识和个人标识。其中设备标识是通过对多个因子(设备信息)进行加密来描述设备特征的标识,在步骤S203中生成设备标识来确定要绑定的移动设备101,以便在之后认证时通过以同样方法生成的设备标识与绑定的设备标识的对比来判断待认证的设备是否是绑定的设备。个人标识是将设备信息与用户的个人信息关联而生成的,在之后认证时服务器能够从移动设备发送来的个人标识中读取个人信息,因此能够根据个人标识检索存储在服务器中的个人信息,由此获得与个人信息对应地存储在服务器中的设备标识和个人标识,将移动设备发送来的个人标识与存储在服务器中的个人标识进行比对,来作为判断待移认证的移动设备是否是绑定的移动设备的一个标准。
之后,在步骤S204中,服务器121通过用户接口部122将生成的个人标识发送给认证用模块111,认证用模块111的通信部113接收到来自服务器121的个人标识后,将其存储在存储部114中。
图3示意地表示图2所示的移动设备的绑定过程。
通过以上步骤,完成了移动设备101、认证用模块111和服务器121的绑定。绑定是通过采集移动设备101的至少一个、优选多个设备信息作为加密因子来进行的,所以提高了认证移动设备101时的安全性。并且由于绑定时使用了移动设备101的设备信息,所以进行了绑定的用户帐号只有在进行了绑定的移动设备101上才能够使用,非法用户使用合法用户的帐号在非绑定的移动设备上登录将无法使用,由此避免了非法用户在取得了合法用户的帐号后在非绑定的移动设备上使用的可能。
以下参照图4说明用户使用移动设备登录进行了绑定的帐号来办理业务的流程。
首先,在步骤S301中,当用户要办理业务而登录帐号时,认证用模块111获取移动设备101的设备信息102和存储在存储部114中的、来自服务器121的个人标识,即本地个人标识。如果因为某种原因无法获取个人标识(例如个人标识被误删除),则提示用户业务不可用,需要通过打电话认证或回答用户设定的提问等方式让用户再次进行绑定过程。
接着,在步骤S302中,认证用模块111的通信部113将获取到的设备信息102和本地个人标识发送给服务器121。
之后,在步骤S303中,服务器121的用户接口部122接收到认证用模块111的通信部113发送来的设备信息102和本地个人标识之后,根据本地个人标识所对应的个人信息,从存储器125中提取该个人信息所对应的设备标识和个人标识。
接着,在步骤S304中,服务器121基于接收到的设备信息102,利用与绑定时算法相同的算法计算设备标识。
之后,在步骤S305中,服务器121的认证部124比对本次计算出的设备标识、本次接收到的本地用户标识和本次从存储器125中提取出的设备标识与个人标识,在完全一致的情况下认为发送消息的移动设备101合法,在不完全一致或不一致的情况下认为发送消息的移动设备101非法。
最后,在步骤S306中,服务器121将认证的结果返回给认证用模块111,在认证的结果为移动设备101合法的情况下,允许用户使用移动设备101办理所有业务,在认证的结果为移动设备101非法的情况下,不允许用户使用移动设备101办理任何业务或者仅允许用户使用移动设备101办理部分业务,例如仅允许用户进行查看帐号余额等不会改变帐号的状态的操作。
实施例1
以下说明本发明的实施例1。在本实施例中,移动设备101是用户使用的智能手机,智能手机中安装有银行客户端app(应用程序)。认证用模块111是银行发放给用户的作为硬件的认证用终端。如图5所示,该认证用终端例如是具有耳机插头的类似于手机刷卡器的硬件,其能够通过***智能手机音频孔来与智能手机连接。当然,本实施例中认证用终端与智能手机的连接不限于通过耳机插头,也可以通过数据线连接或无线连接。与用户的智能手机连接后即能够与智能手机之间进行信息的收发。服务器121是银行的服务器。
用户在将认证用终端与其所持有的智能手机连接之后,首先进行移动设备的绑定。以下具体说明绑定的流程。
首先,用户可以通过智能手机中的银行客户端app或者通过个人计算机等信息终端自定义用户名来注册帐号,在注册的帐号中绑定银行***来完成账户注册。或者,用户也可以利用银行***、身份证件号或者手机号等用户独有的信息来注册帐号,这样注册的帐号由于与银行***对应,所以可以直接调用银行的帐户而省去了用户找到银行***来绑定的过程。此步骤与现有技术中注册手机银行账号的过程相同。
在用户通过注册获得帐号并进行登录时,即可通过认证用终端进行该智能手机的绑定。具体绑定流程如下。
首先,认证用终端自己或者通过银行客户端app获取智能手机的设备信息。获取的设备信息包括智能手机的IMEI、物理地址MAC、设备型号、OS类型等。
接着,通过智能手机或者认证用终端自有的无线网络将认证用终端获取到的设备信息发送给银行服务器。
银行服务器接收到用户的智能手机或认证用终端发送来的设备信息之后,根据现有的算法或独有的算法生成设备标识和个人标识这两种类型的标识,即完成对设备信息的加密过程。使用哪种公知的或者独有的算法仅银行知晓。
接着,银行服务器将成生的设备标识和个人标识这两种标识与用户信息(例如用户帐号、银行***、身份证件号等)建立对应关系存储在银行服务器的存储器中,由此在银行服务器端将用户的帐号与用户所持有的智能手机进行了绑定。
之后,银行服务器将生成的个人标识发送给用户的认证用终端,认证用终端在接收到来自服务器的个人标识后,将其存储在智能手机的规定位置和/或认证用终端的存储部中。
通过以上步骤,完成了智能手机、银行帐号和银行服务器的绑定。
以下说明用户使用智能手机登录进行了绑定的帐号来办理业务的流程。
首先,用户要办理业务而通过认证用终端登录帐号时,认证用终端获取智能手机的硬件信息和已存储在智能手机或认证用终端中的银行服务器发送来的个人标识。
接着,通过智能手机或认证用终端将获取到的硬件信息和个人标识发送给银行服务器。
银行服务器接收到智能手机或认证用终端发送来的设备信息和个人标识之后,根据个人标识所对应的个人信息,从存储器中提取该个人信息所对应的设备标识和个人标识。
并且,服务器基于接收到的设备信息,利用与绑定时算法相同的算法计算设备标识。
之后,服务器比对本次计算出的设备标识、本次接收到的用户标识和本次从存储器中提取出的设备标识与用户标识,在完全一致的情况下认为发送消息的智能手机合法,在不完全一致或不一致的情况下认为发送消息的智能手机非法。
最后,银行服务器将认证的结果返回给认证用终端,在认证的结果为智能手机合法的情况下,允许用户使用智能手机办理所有业务,而在认证的结果为智能手机非法的情况下,不允许用户使用智能手机办理任何业务或者仅允许用户使用智能手机办理部分业务,例如仅允许用户查看帐户余额、查看当日汇率、使用贷款计算器等不会改变帐户状态的业务,而不允许用户办理转账、购买理财产品等会改变帐户状态的业务。
在本实施例中,用户利用多个设备信息即多因子通过作为硬件的认证用终端来绑定智能手机和银行帐号,由此,能够获得至少与现有技术中的动态令牌和移动数字证书相同的安全效果。并且,本实施例中的认证用终端能够方便地与作为移动设备的智能手机等进行连接,在与移动设备的匹配性方面优于动态令牌和移动数字证书。
实施例2
以下说明本发明的实施例2。在本实施例中,移动设备101是用户使用的不带移动网络的平板电脑,该平板电脑中安装有银行客户端app。认证用终端111是银行发放给用户的作为硬件的认证用终端,认证用终端能够连接移动网络并通过作为热点而使得用户的平板电脑能够连接移动网络,即具有作为随身Wi-Fi的功能,当然也具有如上述实施例1那样的用于认证的功能。本实施例的认证用终端的一例如图6所示,其中服务器121是银行的服务器。
认证用终端通过内置SIM卡或USIM卡而能够连接移动网络,连接到移动网络的认证用终端作为热点而使得用户的平板电脑能够连接到认证用终端和移动网络。用户在将所持有的平板电脑连接认证用终端之后,首先进行移动设备的绑定。以下具体说明绑定的流程。
首先,用户可以通过平板电脑中的银行客户端app或者通过个人计算机等信息终端自定义用户名来注册帐号,在注册的帐号中绑定银行***来完成账户注册。或者,用户也可以利用身份证件号或者手机号等用户独有的信息来注册帐号,这样注册的帐号由于与银行***对应,所以可以直接调用银行的帐户而省去了用户找到银行***来绑定的过程。此步骤与现有技术中注册手机银行账号的过程相同。
在用户通过注册获得帐号并进行登录时,即可通过认证用终端进行该平板电脑的绑定。具体绑定流程如下。
首先,认证用终端自己或者通过银行客户端app获取平板电脑的设备信息。获取的设备信息包括平板电脑的IMEI、物理地址MAC、设备型号、OS类型等。
接着,通过认证用终端自有的无线网络将认证用终端获取到的设备信息发送给银行服务器。
银行服务器接收到用户的认证用终端发送来的设备信息之后,根据公知的算法或独有的算法生成设备标识和个人标识这两种类型的标识。即完成对设备的加密过程。使用哪种公知的或者独有的算法仅银行知晓。
接着,银行服务器将成生的设备标识和个人标识这两种标识与用户信息(例如用户帐号、银行***、身份证件号等)建立对应关系存储在银行服务器的存储器中,由此在银行服务器端将用户的帐号与用户所持有的平板电脑进行了绑定。
之后,银行服务器将生成的个人标识发送给用户的认证用终端,认证用终端在接收到来自服务器的个人标识后,将其存储在平板电脑的规定位置和/或认证用终端的存储部中。
通过以上步骤,完成了平板电脑、银行帐号和银行服务器的绑定。
以下说明用户使用平板电脑登录进行了绑定的帐号来办理业务的流程。
首先,用户要办理业务而通过认证用终端登录帐号时,认证用终端获取平板电脑的硬件信息和已存储在平板电脑或认证用终端中的银行服务器发送来的个人标识。
接着,通过认证用终端将获取到的硬件信息和个人标识发送给银行服务器。
银行服务器接收到认证用终端发送来的设备信息和个人标识之后,根据个人标识所对应的个人信息,从存储器中提取该个人信息所对应的设备标识和个人标识。
并且,服务器基于接收到的设备信息,利用与绑定时算法相同的算法计算设备标识。
之后,服务器比对本次计算出的设备标识、本次接收到的用户标识和本次从存储器中提取出的设备标识与用户标识,在完全一致的情况下认为作为消息来源的平板电脑合法,在不完全一致或不一致的情况下认为作为消息来源的平板电脑非法。
最后,银行服务器将认证的结果返回给认证用终端,在认证的结果为平板电脑合法的情况下,允许用户使用平板电脑办理所有业务,而在认证的结果为平板电脑非法的情况下,不允许用户使用平板电脑办理任何业务或者仅允许用户使用平板电脑办理部分业务,例如仅允许用户查看帐户余额、查看当日汇率、使用贷款计算器等不会改变帐户状态的业务,而不允许用户办理转账、购买理财产品等会改变帐户状态的业务。
在本实施例中,用户通过作为硬件的认证用终端来绑定平板电脑和银行帐号,由此,能够获得至少与现有技术中的动态令牌和移动数字证书相同的安全效果。并且,本实施例中的认证用终端能够用作随身Wi-Fi,使得无法连接到移动网络的平板电脑能够作为能够连网的移动设备用于办理银行业务。这样的认证用终端对于仅持有无法连接到移动网络的移动设备的用户来说是必要的硬件,所以不会增加用户携带时的负担。
实施例3
在实施例1和实施例2中采用硬件的认证用终端作为认证用模块111,由于用户通过移动设备使用银行业务时需要随身携带认证用终端,存在便携性方面的不足。在实施例2中所述的用户需要携带作为随身Wi-Fi的认证用终端,但是大多数用户都持有本身能够连接无线网络的移动设备,例如智能手机,因此对于大多数用户来说,携带作为随身Wi-Fi的认证用终端是多余的。所以在下述的实施例3中,移动设备101是通过连接移动网络的智能手机,服务器121例如是运营商的服务器,安装在该智能手机中的运营商客户端app本身即具有作为认证用模块111的功能。图7是表示本实施例3的示意图。
用户在其所持有的智能手机中安装运营商客户端app之后,首先进行移动设备的绑定。以下具体说明绑定的流程。
首先,用户可以自定义用户名来注册帐号,在注册的帐号中绑定手机号来完成账户注册。或者,用户也可以利用身份证件号等用户独有的信息来注册帐号,这样注册的帐号由于与手机号对应,所以也与手机号注册具有相同的效果。此步骤与现有技术中注册运营商客户端app账号的过程相同。
在用户通过注册获得帐号并登录时,即可通过运营商客户端app进行该智能手机的绑定。具体绑定流程如下。
首先,运营商客户端app获取智能手机的设备信息。获取的设备信息包括智能手机的IMEI、物理地址MAC、设备型号、OS类型等。
接着,运营商客户端app通过无线网络将获取到的设备信息发送给运营商服务器。
运营商服务器接收到用户的智能手机发送来的设备信息之后,根据公知的算法或独有的算法生成设备标识和个人标识这两种类型的标识。即完成对设备的加密过程。使用哪种公知的或者独有的算法仅运营商知晓。
接着,运营商服务器对用户信息(例如用户帐号、手机号、身份证件号等)和在生成的两种类型的标识进行绑定,由此在运营商服务器端将用户的帐号与用户所持有的智能手机进行了绑定。
之后,运营商服务器将生成的个人标识发送给用户智能手机上安装的运营商客户端app,运营商客户端app接收到来自服务器的个人标识后,将其存储在智能手机的规定位置,例如运营商客户端app所在的文件夹中。
通过以上步骤,完成了智能手机、运营商帐号和运营商服务器的绑定。
以下说明用户使用智能手机登录进行了绑定的帐号来办理业务的流程。
首先,用户要办理业务而通过运营商客户端app登录帐号时,运营商客户端app获取已存储在智能手机中的硬件信息和运营商服务器发送来的存储在智能手机中的个人标识。
接着,运营商客户端app将获取到的设备信息和个人标识发送给运营商服务器。
运营商服务器接收到运营商客户端app发送来的设备信息和个人标识之后,根据个人标识所对应的个人信息,从存储器中提取该个人信息所对应的设备标识和个人标识。
并且,运营商服务器基于接收到的设备信息,利用与绑定时算法相同的算法计算设备标识。
之后,运营商服务器比对本次计算出的设备标识、本次接收到的用户标识和本次从存储器中提取出的设备标识与用户标识,在完全一致的情况下认为发送信息的智能手机合法,在不完全一致或不一致的情况下认为发送信息的智能手机非法。
最后,运营商服务器将认证的结果返回给运营商客户端app,在认证的结果为智能手机合法的情况下,允许用户使用智能手机办理所有业务,而在认证的结果为智能手机非法的情况下,不允许用户使用智能手机办理任何业务或者仅允许用户使用智能手机办理部分业务,例如仅允许用户查看帐户余额、历史账单、问卷调查等不会改变帐户状态的业务,而不允许用户办理查看通话详单、购买流量包等涉及用户隐私或者要改变帐户状态的业务。
在本实施例中,安装在智能手机中的运营商客户端app用作认证用终端,所以用户安装运营商客户端app并注册即能够方便地加入到本发明的认证***中,并且用户只需携带安装有运营商客户端app并进行了绑定的智能手机即可完成认证,从而能够保证利用该智能手机办理业务的安全。
在上述3个实施例中,例示了智能手机和平板电脑作为移动设备101,但是本发明的移动设备101不限于智能手机和平板电脑,例如也可以是掌上游戏机、警用身份证件验证器等自身或者通过无线网络能够联网的其它移动设备。另外,作为认证用模块111,实施例中例示的是银行发放的认证用终端和运营商的客户端,用来办理银行和运营商的业务,但是本发明的认证用模块111不限于用于银行和运营商,可以在支付宝、微信支付那样的金融机构用于购买服务或产品时的移动支付,也可以在超市的会员使用该超市发行的电子储值卡时使用。只要是涉及业务办理、特别是需要移动支付的业务办理的场景中都可以使用本发明的移动设备认证***和移动设备认证方法。
以上所述仅是本发明的优选的实施例,应当指出,对于本领域的技术人员来说,在不脱离本发明原理和基础的前提下,还可以做出若干改进、润饰、更换步骤组合等,这些改进、润饰、更换步骤组合等也应该是本发明的保护范围。本领域技术人员应明白,本发明能够提供为***、方法或计算机程序产品。本发明能够完全由硬件实现、完全由软件实现、或结合软件和硬件来实现。
Claims (8)
1.一种对移动设备进行认证的移动设备认证***,其特征在于,包括:
用户持有的安装有移动客户端的移动设备;
具有信息获取部、通信部和存储部的认证用模块;和
具有标识生成部和认证部的服务器,在所述服务器中将由所述标识生成部基于所述移动设备的设备信息生成的设备标识和用户的个人标识与事先登记于所述服务器的用户个人信息对应起来存储,
当所述用户登录所述移动客户端时,所述信息获取部获取所述移动设备的设备信息和事先存储在所述存储部中的、由所述标识生成部生成的个人标识,并由所述通信部将获取到的设备信息和个人标识发送到所述服务器,
所述标识生成部基于所述服务器接收到的设备信息生成待认证的设备标识,
所述认证部对生成的待认证的设备标识和所述服务器接收到的个人标识与存储在所述服务器中的作为认证基准的设备标识和个人标识分别进行比对来判断用户用来登录移动客户端的移动设备是否合法,并将判断结果发回给所述认证用模块。
2.如权利要求1所述的移动设备认证***,其特征在于:
在用户首次登录安装于移动设备的移动客户端时,所述信息获取部获取该移动设备的设备信息,并由所述通信部将获取到的设备信息发送到所述服务器,
所述标识生成部基于所述服务器接收到的设备信息生成设备标识和个人标识并将生成的设备标识和个人标识与所述用户个人信息对应起来存储在所述服务器中,
所述服务器将生成的个人标识发送给所述认证用模块,并由所述认证用模块存储在其存储部中。
3.如权利要求1或2所述的移动设备认证***,其特征在于:
所述服务器通过检索所述通信部发送来的个人标识所对应的用户个人信息来提取存储在所述服务器中的作为认证基准的设备标识和个人标识。
4.如权利要求1至3中任一项所述的移动设备认证***,其特征在于:
设备信息包括移动设备的IMEI和MAC地址。
5.一种由安装有移动客户端的移动设备、认证用模块和服务器构成的移动设备认证***对移动设备进行认证的移动设备认证方法,其特征在于,包括:
用户用移动设备登录移动客户端的步骤;
所述认证用模块获取该移动设备的设备信息和事先存储于所述认证用模块的、由服务器生成的移动设备的用户的个人标识的步骤;
将获取到的设备信息和个人标识发送到所述服务器的步骤;
所述服务器基于接收到的设备信息生成待认证的设备标识的步骤;
所述服务器对生成的待认证的设备标识和接收到的个人标识与存储在所述服务器中的作为认证基准的设备标识和个人标识分别进行比对来判断用户用来登录移动客户端的移动设备是否合法的步骤;和
将判断结果发回给所述认证用模块的步骤。
6.如权利要求5所述的移动设备认证方法,其特征在于:
在用户首次登录安装于移动设备的移动客户端时进行以下步骤:
获取移动设备的设备信息并将获取到的设备信息发送到所述服务器的步骤;
所述服务器基于接收到的设备信息生成设备标识和个人标识并将生成的设备标识和个人标识与所述用户个人信息对应起来存储在所述服务器中的步骤;
所述服务器将生成的个人标识发送给所述认证用模块并由所述认证用模块进行存储的步骤。
7.如权利要求5或6所述的移动设备认证方法,其特征在于:
当所述服务器接收到发送来的设备标识和个人标识时,基于接收到的个人标识所对应的用户个人信息提取事先与该用户个人信息对应地存储于所述服务器的、用作认证基准的设备标识和个人标识,其中所述用户个人信息事先登记于所述服务器。
8.如权利要求5至7中任一项所述的移动设备认证方法,其特征在于:
设备信息包括移动设备的IMEI和MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611081754.XA CN108122108A (zh) | 2016-11-30 | 2016-11-30 | 移动设备认证***和移动设备认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611081754.XA CN108122108A (zh) | 2016-11-30 | 2016-11-30 | 移动设备认证***和移动设备认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108122108A true CN108122108A (zh) | 2018-06-05 |
Family
ID=62226128
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611081754.XA Pending CN108122108A (zh) | 2016-11-30 | 2016-11-30 | 移动设备认证***和移动设备认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108122108A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641718A (zh) * | 2020-06-01 | 2020-09-08 | 北京弘远博学科技有限公司 | 一种手机端app身份认证的方法 |
| CN112712402A (zh) * | 2020-12-23 | 2021-04-27 | 航天信息股份有限公司 | 一种电子***开具时的身份认证*** |
| CN113469698A (zh) * | 2021-06-30 | 2021-10-01 | 深圳市商汤科技有限公司 | 注册方法、***、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428699A (zh) * | 2013-07-16 | 2013-12-04 | 李锦风 | 一种基于手机硬件特征信息的注册绑定和身份认证的方法 |
| CN105450416A (zh) * | 2014-09-01 | 2016-03-30 | 阿里巴巴集团控股有限公司 | 一种安全身份验证方法和设备 |
| US20160277382A1 (en) * | 2010-11-17 | 2016-09-22 | Invysta Technology Group | Validation database resident on a network server and containing specified distinctive identifiers of local/mobile computing devices may be used as a digital hardware key in the process of gaining authorized access to a users online website account such as, but not limited to, e-Commerce website accounts, online financial accounts and online email accounts |
-
2016
- 2016-11-30 CN CN201611081754.XA patent/CN108122108A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160277382A1 (en) * | 2010-11-17 | 2016-09-22 | Invysta Technology Group | Validation database resident on a network server and containing specified distinctive identifiers of local/mobile computing devices may be used as a digital hardware key in the process of gaining authorized access to a users online website account such as, but not limited to, e-Commerce website accounts, online financial accounts and online email accounts |
| CN103428699A (zh) * | 2013-07-16 | 2013-12-04 | 李锦风 | 一种基于手机硬件特征信息的注册绑定和身份认证的方法 |
| CN105450416A (zh) * | 2014-09-01 | 2016-03-30 | 阿里巴巴集团控股有限公司 | 一种安全身份验证方法和设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641718A (zh) * | 2020-06-01 | 2020-09-08 | 北京弘远博学科技有限公司 | 一种手机端app身份认证的方法 |
| CN111641718B (zh) * | 2020-06-01 | 2023-06-20 | 北京弘远博学科技有限公司 | 一种手机端app身份认证的方法 |
| CN112712402A (zh) * | 2020-12-23 | 2021-04-27 | 航天信息股份有限公司 | 一种电子***开具时的身份认证*** |
| CN113469698A (zh) * | 2021-06-30 | 2021-10-01 | 深圳市商汤科技有限公司 | 注册方法、***、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI716056B (zh) | 身份認證、號碼保存和發送、綁定號碼方法、裝置及設備 | |
| US9646296B2 (en) | Mobile-to-mobile transactions | |
| CN100492966C (zh) | 基于智能卡和动态密码的身份认证*** | |
| US20090172402A1 (en) | Multi-factor authentication and certification system for electronic transactions | |
| CN106157025A (zh) | 基于身份证的移动终端安全支付方法及*** | |
| CN106161359A (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
| CN106416189A (zh) | 用于改进的认证的***、设备和方法 | |
| US20120102551A1 (en) | System for Two Way Authentication | |
| CN202210326U (zh) | 一种带键盘的个人支付终端 | |
| CN104320779A (zh) | 基于u/sim卡鉴权响应及限时反馈近场通信认证方法 | |
| CN103929425B (zh) | 一种身份注册、身份认证的方法、设备和*** | |
| CN107231331A (zh) | 获取、下发电子证件的实现方法和装置 | |
| CN104967553B (zh) | 消息交互方法和相关装置及通信*** | |
| CN107609877A (zh) | 一种生物识别的兑换方法和*** | |
| CN104125230B (zh) | 一种短信认证服务***以及认证方法 | |
| CN106411950A (zh) | 基于区块链交易id的认证方法、装置及*** | |
| CN110290134A (zh) | 一种身份认证方法、装置、存储介质及处理器 | |
| CN105550928A (zh) | 一种商业银行网络远程开户的***及其方法 | |
| CN107122977A (zh) | 一种基于生物识别的支付*** | |
| KR102574524B1 (ko) | 원격 거래 시스템, 방법 및 포스단말기 | |
| CN104778579A (zh) | 基于电子身份识别载体的感应支付方法及相应装置 | |
| US20180204214A1 (en) | Systems and methods for transaction authentication using dynamic wireless beacon devices | |
| CN109242666A (zh) | 基于区块链获取个人征信方法、装置及计算机设备 | |
| CN103957217A (zh) | 一种面向互联网电子业务办理的方法及*** | |
| US20100175120A1 (en) | Multi-layer data mapping authentication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180605 |
|
| RJ01 | Rejection of invention patent application after publication |