本發(fā)明涉及移動(dòng)支付安全通信技術(shù)領(lǐng)域，具體涉及一種基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)及方法。

背景技術(shù)：

在互聯(lián)網(wǎng)金融迅猛發(fā)展的背景下，移動(dòng)互聯(lián)網(wǎng)正滲透到各個(gè)行業(yè)領(lǐng)域。隨著手機(jī)及其它移動(dòng)終端的普及、移動(dòng)支付市場(chǎng)的日漸成熟，越來(lái)越多的用戶選擇在移動(dòng)端辦理金融業(yè)務(wù)。與此同時(shí)，在移動(dòng)終端辦理金融業(yè)務(wù)，用戶身份認(rèn)證及數(shù)據(jù)認(rèn)證則是保障金融應(yīng)用安全的第一道環(huán)節(jié)，是其他安全機(jī)制的基礎(chǔ)，這就使得移動(dòng)端用戶身份識(shí)別及交易安全保護(hù)問(wèn)題已經(jīng)成為移動(dòng)互聯(lián)網(wǎng)金融亟待解決的關(guān)鍵性問(wèn)題。

基于現(xiàn)有手機(jī)基帶芯片，大部分手機(jī)客戶端應(yīng)用均無(wú)法直接訪問(wèn)SIM卡，并無(wú)法通過(guò)客戶現(xiàn)有SIM卡來(lái)實(shí)現(xiàn)交易簽名或驗(yàn)簽。現(xiàn)有手機(jī)客戶端主要通過(guò)手機(jī)短信驗(yàn)證碼、動(dòng)態(tài)密碼器、外接音頻盾/藍(lán)牙盾方式識(shí)別用戶身份。在小額支付領(lǐng)域，目前普遍采用的是手機(jī)短信驗(yàn)證碼的身份認(rèn)證方式，這種方式的優(yōu)勢(shì)在于便利性高、成本低、易于推廣普及，但是這種方式存在很大安全隱患：因短信下發(fā)過(guò)程中未采用加密技術(shù)，易發(fā)生短信在途攻擊、惡意轉(zhuǎn)發(fā)、短信攔截、短信篡改等風(fēng)險(xiǎn)，而且接收短信的客戶，無(wú)法保證就是客戶本人，一旦手機(jī)卡被復(fù)制或驗(yàn)證短信被劫持轉(zhuǎn)發(fā)，則會(huì)導(dǎo)致用戶的手機(jī)銀行被非法盜用。對(duì)于手機(jī)外接音頻盾/藍(lán)牙盾實(shí)現(xiàn)身份認(rèn)證的方式安全性比較高，但是手機(jī)外接額外設(shè)備其便利性與適配性不高、總體成本高、不易于大規(guī)模推廣普及。與此同時(shí)，現(xiàn)有基于短信及專用動(dòng)態(tài)密碼設(shè)備的身份驗(yàn)證方式，在客戶端一般采用軟算法進(jìn)行簽名和加密，密鑰及密碼運(yùn)算過(guò)程均存在數(shù)據(jù)泄露和惡意攻擊風(fēng)險(xiǎn)，無(wú)法保證用戶所見即所簽。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述技術(shù)問(wèn)題，本發(fā)明提供了一種功能擴(kuò)展SIM卡、基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)及方法，主要應(yīng)用在交易的簽名驗(yàn)證、登錄及交易過(guò)程中的實(shí)名身份認(rèn)證等領(lǐng)域，目的在于減少短信在途截獲及篡改攻擊的風(fēng)險(xiǎn)，提升交易過(guò)程的安全性；與此同時(shí)，本發(fā)明無(wú)需額外設(shè)備投入，僅通過(guò)更換SIM卡即可低成本實(shí)現(xiàn)全部移動(dòng)終端的通用性，在安全性得到明顯提升的同時(shí)，可實(shí)現(xiàn)低成本、快速接入現(xiàn)有手機(jī)銀行及移動(dòng)互聯(lián)網(wǎng)金融應(yīng)用，因而這種方案具有安全性高、成本低、便利性高、通用性強(qiáng)的優(yōu)勢(shì)。

具體地，本發(fā)明提供了一種基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)，其特征在于，包括功能擴(kuò)展SIM卡、移動(dòng)終端應(yīng)用程序、云端服務(wù)器，所述功能擴(kuò)展SIM卡包括安全芯片、蜂鳴器、指示燈，所述安全芯片由控制模塊與安全處理模塊集成，且所述功能擴(kuò)展SIM卡中安裝有基于JAVA平臺(tái)操作系統(tǒng)、認(rèn)證應(yīng)用、STK應(yīng)用和多應(yīng)用管理平臺(tái)，所述云端服務(wù)器包括認(rèn)證服務(wù)器、CA服務(wù)器、業(yè)務(wù)服務(wù)器；所述認(rèn)證服務(wù)器用于所述認(rèn)證應(yīng)用的管理，所述CA服務(wù)器用于證書的生成與管理，所述業(yè)務(wù)服務(wù)器用于銀行或需要認(rèn)證業(yè)務(wù)的第三方應(yīng)用的管理；所述基于JAVA平臺(tái)操作系統(tǒng)用于向所述認(rèn)證應(yīng)用、所述STK應(yīng)用及所述多應(yīng)用管理平臺(tái)提供運(yùn)行環(huán)境及API接口，所述多應(yīng)用管理平臺(tái)用于所述認(rèn)證應(yīng)用和STK應(yīng)用的安全及管理，所述認(rèn)證應(yīng)用用于進(jìn)行簽名認(rèn)證，安裝于所述控制模塊中所述STK應(yīng)用用于所述功能擴(kuò)展SIM卡內(nèi)數(shù)據(jù)的輸入輸出，在交易過(guò)程中通過(guò)所述STK應(yīng)用進(jìn)行交易確認(rèn)和客戶身份驗(yàn)證，并根據(jù)交易內(nèi)容產(chǎn)生相關(guān)控制指令，控制蜂鳴器的發(fā)聲，并通過(guò)指示燈指示所述功能擴(kuò)展SIM卡的工作狀態(tài)。

本發(fā)明還提供了一種基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的認(rèn)證方法，利用上述基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)進(jìn)行認(rèn)證，包括以下步驟：

步驟S101：用戶通過(guò)移動(dòng)終端應(yīng)用程序發(fā)出數(shù)據(jù)認(rèn)證請(qǐng)求；

步驟S102：所述移動(dòng)終端應(yīng)用程序校驗(yàn)功能擴(kuò)展SIM卡的應(yīng)用下載狀態(tài)，移動(dòng)終端應(yīng)用程序向功能擴(kuò)展SIM卡發(fā)送校驗(yàn)是否下載認(rèn)證應(yīng)用指令，功能擴(kuò)展SIM卡返回當(dāng)前應(yīng)用狀態(tài)給移動(dòng)終端應(yīng)用程序；

步驟S103：若認(rèn)證應(yīng)用已下載，轉(zhuǎn)入步驟s605，否則，轉(zhuǎn)入步驟S104；

步驟S104：移動(dòng)終端應(yīng)用程序向云端服務(wù)器中認(rèn)證服務(wù)器發(fā)出認(rèn)證應(yīng)用下載申請(qǐng)，下載認(rèn)證應(yīng)用到功能擴(kuò)展SIM卡中；

步驟S105：移動(dòng)終端應(yīng)用程序向功能擴(kuò)展SIM卡發(fā)送校驗(yàn)證書狀態(tài)指令，功能擴(kuò)展SIM卡返回當(dāng)前用戶證書狀態(tài)，移動(dòng)終端應(yīng)用程序校驗(yàn)證書下載狀態(tài)，若已下載證書且證書有效，轉(zhuǎn)入步驟S107，否則，轉(zhuǎn)入步驟S106；

步驟S106：移動(dòng)終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出用戶證書下載申請(qǐng)，下載用戶證書到功能擴(kuò)展SIM卡中；

步驟S107：移動(dòng)終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出交易認(rèn)證請(qǐng)求；

步驟S108：認(rèn)證服務(wù)器產(chǎn)生身份驗(yàn)證的動(dòng)態(tài)驗(yàn)證碼，并用服務(wù)器私鑰進(jìn)行簽名，然后將動(dòng)態(tài)驗(yàn)證碼、簽名數(shù)據(jù)及服務(wù)器證書一起通過(guò)功能擴(kuò)展SIM卡的安全傳輸通道以數(shù)據(jù)短信方式發(fā)送給功能擴(kuò)展SIM卡；

步驟S109：功能擴(kuò)展SIM卡接收到數(shù)據(jù)后，安全芯片中安全處理模塊使用安全芯片內(nèi)存儲(chǔ)的CA證書對(duì)服務(wù)器證書進(jìn)行驗(yàn)證，若驗(yàn)證通過(guò)，從服務(wù)器證書中讀取服務(wù)器公鑰，用服務(wù)器的公鑰對(duì)接收到的動(dòng)態(tài)驗(yàn)證碼數(shù)據(jù)進(jìn)行驗(yàn)簽，驗(yàn)證服務(wù)器的身份；

步驟S110：若驗(yàn)證通過(guò)，功能擴(kuò)展SIM卡通過(guò)蜂鳴器給出驗(yàn)證通過(guò)提示音，轉(zhuǎn)入步驟s611,否則，通過(guò)指示燈給出失敗提示顯示，轉(zhuǎn)入步驟S117；

步驟S111：功能擴(kuò)展SIM卡通過(guò)STK應(yīng)用將動(dòng)態(tài)驗(yàn)證碼及交易信息通知用戶；

步驟S112：用戶通過(guò)STK應(yīng)用確認(rèn)交易或客戶身份，用戶的確認(rèn)信息通過(guò)STK應(yīng)用輸入到認(rèn)證應(yīng)用程序；

步驟S113：功能擴(kuò)展SIM卡的安全處理模塊通過(guò)認(rèn)證應(yīng)用程序?qū)τ脩舻膭?dòng)態(tài)驗(yàn)證碼用安全芯片中存儲(chǔ)的私鑰進(jìn)行簽名，然后將功能擴(kuò)展SIM卡的用戶證書及簽名數(shù)據(jù)基于移動(dòng)通信網(wǎng)絡(luò)，并通過(guò)安全數(shù)據(jù)短信方式，發(fā)送給認(rèn)證服務(wù)器；

步驟S114：認(rèn)證服務(wù)器接收到數(shù)據(jù)后，先用服務(wù)器端CA證書對(duì)功能擴(kuò)展SIM卡的用戶證書進(jìn)行驗(yàn)證，若驗(yàn)證通過(guò)，從功能擴(kuò)展SIM卡的用戶證書中提取公鑰，用功能擴(kuò)展SIM卡用戶證書的公鑰對(duì)接收到的數(shù)據(jù)進(jìn)行驗(yàn)簽，驗(yàn)證客戶身份；

步驟S115：若驗(yàn)證通過(guò)，轉(zhuǎn)入步驟S116,否則，轉(zhuǎn)入步驟S118；

步驟S116：認(rèn)證服務(wù)器返回驗(yàn)證通過(guò)信息給移動(dòng)終端應(yīng)用程序，移動(dòng)終端應(yīng)用程序向業(yè)務(wù)服務(wù)器發(fā)出下一步交易請(qǐng)求，開始業(yè)務(wù)交易；

步驟S117：功能擴(kuò)展SIM卡返回驗(yàn)證失敗信息給移動(dòng)終端應(yīng)用程序；

步驟S118：認(rèn)證服務(wù)器返回驗(yàn)證失敗信息給移動(dòng)終端應(yīng)用程序；

步驟S119：移動(dòng)終端應(yīng)用程序給出錯(cuò)誤提示，數(shù)據(jù)認(rèn)證流程結(jié)束。

作為優(yōu)選，步驟S104中，下載認(rèn)證應(yīng)用到功能擴(kuò)展SIM卡中的步驟包括：

步驟S201：用戶通過(guò)移動(dòng)終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出認(rèn)證應(yīng)用下載申請(qǐng)；

步驟S202：認(rèn)證服務(wù)器通過(guò)數(shù)據(jù)短信方式將認(rèn)證應(yīng)用下載到功能擴(kuò)展SIM卡；

步驟S203：在功能擴(kuò)展SIM卡上完成認(rèn)證應(yīng)用的下載安裝后，功能擴(kuò)展SIM卡通過(guò)數(shù)據(jù)短信方式響應(yīng)認(rèn)證應(yīng)用的下載與安裝結(jié)果；

步驟S204：移動(dòng)終端應(yīng)用程序接收功能擴(kuò)展SIM卡返回的應(yīng)用下載安裝結(jié)果進(jìn)行判斷；

步驟S205：若認(rèn)證應(yīng)用安裝成功，跳轉(zhuǎn)到步驟S206,若安裝失敗，流程結(jié)束；

步驟S206：移動(dòng)終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出應(yīng)用初始化申請(qǐng)。

作為優(yōu)選，步驟S106中，下載用戶證書到功能擴(kuò)展SIM卡中的步驟包括：

步驟S301：用戶通過(guò)移動(dòng)終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出證書下載申請(qǐng)；

步驟S302：認(rèn)證服務(wù)器向CA服務(wù)器發(fā)出用戶證書下載申請(qǐng)；

步驟S303：CA服務(wù)器生成用戶證書并將證書發(fā)送給認(rèn)證服務(wù)器；

步驟S304：認(rèn)證服務(wù)器通過(guò)數(shù)據(jù)短信方式將證書下載到功能擴(kuò)展SIM卡；

步驟S305：功能擴(kuò)展SIM卡通過(guò)數(shù)據(jù)短信方式響應(yīng)證書下載結(jié)果。

本發(fā)明技術(shù)方案，具有如下優(yōu)點(diǎn)：

本發(fā)明提供的基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的實(shí)現(xiàn)方案，創(chuàng)新的通過(guò)手機(jī)中的SIM卡來(lái)實(shí)現(xiàn)簽名與驗(yàn)簽，充分發(fā)揮SIM卡硬件簽名安全機(jī)制，交易過(guò)程中服務(wù)器產(chǎn)生身份驗(yàn)證的動(dòng)態(tài)驗(yàn)證碼，由SIM卡的安全數(shù)據(jù)通道傳輸，通過(guò)STK應(yīng)用通知直達(dá)用戶，提升交易安全。因無(wú)需額外設(shè)備只需更換SIM卡(換卡不換號(hào))即可實(shí)現(xiàn)全部移動(dòng)終端通用，在安全性得到明顯提升的同時(shí)，可實(shí)現(xiàn)低成本、快速接入手機(jī)銀行應(yīng)用，因而這種方案具有安全性高、成本低、便利性高、通用性強(qiáng)的優(yōu)勢(shì)，具體如下：

安全性高：基于云端+數(shù)據(jù)短信的方式實(shí)現(xiàn)與SIM卡的交互，基于SIM卡內(nèi)置SE數(shù)據(jù)短信通道，與服務(wù)器進(jìn)行雙向身份認(rèn)證，建立安全傳輸通道，充分發(fā)揮SIM卡的硬件簽名安全機(jī)制，實(shí)現(xiàn)SIM卡一對(duì)一、雙向?qū)嵜J(rèn)證，提升安全性，同時(shí)，服務(wù)器產(chǎn)生的動(dòng)態(tài)驗(yàn)證碼，通過(guò)SIM卡安全數(shù)據(jù)通道傳輸，極大的減少短信在途截獲及篡改攻擊的風(fēng)險(xiǎn)，基于SE的安全運(yùn)算功能及雙向確認(rèn)機(jī)制，通過(guò)引入TOKEN機(jī)制實(shí)現(xiàn)會(huì)話密鑰一次一協(xié)商，增強(qiáng)認(rèn)證安全性，另外，交易過(guò)程中引入STK程序進(jìn)行交易確認(rèn)和客戶身份驗(yàn)證，交易報(bào)文信息與交易確認(rèn)、身份驗(yàn)證信息傳輸通道分離提升安全性；

成本低：僅需更換SIM卡(換卡不換號(hào))，無(wú)需更換移動(dòng)終端或接入其它額外設(shè)備即可實(shí)現(xiàn)全部移動(dòng)終端通用，實(shí)現(xiàn)成本很低；

便利性高，通用性強(qiáng)：交易過(guò)程中增加客戶短信確認(rèn)過(guò)程，與現(xiàn)有短信驗(yàn)證方式客戶體驗(yàn)基本不變；與此同時(shí)，因本方案可與市場(chǎng)上現(xiàn)有手機(jī)實(shí)現(xiàn)完全適配，兼容性好，在安全性得到明顯提升的同時(shí)，可實(shí)現(xiàn)低成本、快速接入現(xiàn)有移動(dòng)互聯(lián)網(wǎng)應(yīng)用，通用、便利及安全“魚與熊掌兼得”。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明具體實(shí)施方式或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)具體實(shí)施方式或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施方式，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明提供的一種基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)示意圖；

圖2為圖1中擴(kuò)展SIM卡的硬件結(jié)構(gòu)示意圖；

圖3為圖2中擴(kuò)展SIM卡的邏輯處理結(jié)構(gòu)示意圖；

圖4為本發(fā)明提供的一種基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證過(guò)程的認(rèn)證方法的流程示意圖；

圖5為圖4提供的認(rèn)證方法中應(yīng)用下載流程示意圖；

圖6為圖4提供的認(rèn)證方法中證書下載流程示意圖。

具體實(shí)施方式

下面將結(jié)合附圖對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明提供了一種基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)，主要通過(guò)基于安全數(shù)據(jù)短信的方式實(shí)現(xiàn)與功能擴(kuò)展SIM卡的交互，基于功能擴(kuò)展SIM卡內(nèi)置安全芯片數(shù)據(jù)短信通道，與服務(wù)器端建立安全傳輸通道，充分發(fā)揮功能擴(kuò)展SIM卡硬件簽名安全機(jī)制。同時(shí)，在交易過(guò)程中引入STK程序進(jìn)行交易確認(rèn)和客戶身份驗(yàn)證，交易報(bào)文信息與交易確認(rèn)、身份驗(yàn)證信息傳輸通道分離提升安全性，交易過(guò)程中服務(wù)器產(chǎn)生身份驗(yàn)證的動(dòng)態(tài)驗(yàn)證碼，由功能擴(kuò)展SIM卡的安全數(shù)據(jù)通道傳輸，通過(guò)STK應(yīng)用通知直達(dá)用戶，提升交易安全?；诎踩酒陌踩\(yùn)算功能及雙向確認(rèn)機(jī)制，通過(guò)引入TOKEN機(jī)制實(shí)現(xiàn)雙向會(huì)話密鑰一次一協(xié)商，增強(qiáng)認(rèn)證安全性，基于云端服務(wù)器實(shí)現(xiàn)在線實(shí)時(shí)+實(shí)名掛失。

下面結(jié)合附圖對(duì)本發(fā)明技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。

如圖1所示，本實(shí)施例提供的基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)包括功能擴(kuò)展SIM卡11、移動(dòng)終端應(yīng)用程序12、云端服務(wù)器13，所述云端服務(wù)器13包括認(rèn)證服務(wù)器130、CA服務(wù)器131、業(yè)務(wù)服務(wù)器132。

所述移動(dòng)終端應(yīng)用程序12是安裝在移動(dòng)終端例如手機(jī)上的一個(gè)應(yīng)用軟件程序，即APP，主要負(fù)責(zé)提供顯示界面及與功能擴(kuò)展SIM卡11和云端服務(wù)器13通信。移動(dòng)終端應(yīng)用程序12通過(guò)數(shù)據(jù)短信方式與功能擴(kuò)展SIM卡11通信，通過(guò)無(wú)線網(wǎng)絡(luò)與云端服務(wù)器13通信。

所述云端服務(wù)器13是多臺(tái)服務(wù)器組成的一個(gè)資源池。其中，認(rèn)證服務(wù)器130主要功能是負(fù)責(zé)認(rèn)證應(yīng)用1104的管理、認(rèn)證應(yīng)用1104的下載安裝業(yè)務(wù)流程、交易的簽名認(rèn)證流程，產(chǎn)生手機(jī)動(dòng)態(tài)驗(yàn)證碼等。CA服務(wù)器131負(fù)責(zé)證書的生成與管理。業(yè)務(wù)服務(wù)器132負(fù)責(zé)銀行或需要認(rèn)證業(yè)務(wù)的第三方應(yīng)用的管理。所述云端服務(wù)器13通過(guò)移動(dòng)終端應(yīng)用程序12可以與功能擴(kuò)展SIM卡11進(jìn)行雙向認(rèn)證，建立安全通道進(jìn)行安全通信。

如圖2所示，功能擴(kuò)展SIM卡11包括安全芯片110、蜂鳴器111及指示燈112。

所述安全芯片110，是整個(gè)產(chǎn)品的核心部件，由控制模塊1101與安全處理模塊1102集成。

所述安全處理模塊1102，是整個(gè)安全芯片110的核心，一方面，負(fù)責(zé)與移動(dòng)終端設(shè)備之間的通信與數(shù)據(jù)傳輸；另一方面，負(fù)責(zé)存放和執(zhí)行軟件程序代碼，數(shù)據(jù)加解密、數(shù)據(jù)存儲(chǔ)及數(shù)據(jù)通信等安全操作，并將相關(guān)控制指?jìng)靼l(fā)送至控制模塊1101。

所述控制模塊1101，發(fā)揮模塊通信及控制的功能，是功能擴(kuò)展SIM卡11內(nèi)各個(gè)模塊協(xié)同工作的通訊中心，可通過(guò)安全處理模塊1102發(fā)送的控制指令驅(qū)動(dòng)和控制各個(gè)工作模塊執(zhí)行任務(wù)，主要包括蜂鳴器111及指示燈112的管理及控制，控制指令由安全處理模塊統(tǒng)一生成。

所述蜂鳴器111主要是用來(lái)為功能擴(kuò)展SIM卡11提供聲音提示，通過(guò)蜂鳴器的鳴叫可提示功能擴(kuò)展SIM卡11的當(dāng)前的工作狀態(tài)。

所述指示燈112主要是用來(lái)表示功能擴(kuò)展SIM卡11的當(dāng)前狀態(tài)，包括但不局限于通過(guò)指示燈的燈光顏色、燈光亮滅、燈光閃爍來(lái)表示功能擴(kuò)展SIM卡11的當(dāng)前工作狀態(tài)。

如圖3所示是功能擴(kuò)展SIM卡11的系統(tǒng)邏輯處理結(jié)構(gòu)示意圖。所述功能擴(kuò)展SIM卡11包括基于JAVA平臺(tái)操作系統(tǒng)1106、認(rèn)證應(yīng)用1104、STK應(yīng)用1103及多應(yīng)用管理平臺(tái)1105。其中，基于JAVA平臺(tái)操作系統(tǒng)1106是整個(gè)功能擴(kuò)展SIM卡11的操作系統(tǒng)平臺(tái)，基于JAVA平臺(tái)進(jìn)行構(gòu)建，提供應(yīng)用運(yùn)行所需的JAVA虛擬機(jī)、JAVA運(yùn)行環(huán)境及JAVA API，為認(rèn)證應(yīng)用1104、STK應(yīng)用1103及多應(yīng)用管理平臺(tái)1105提供運(yùn)行環(huán)境及API接口。多應(yīng)用管理平臺(tái)1105負(fù)責(zé)功能擴(kuò)展SIM卡11的安全域管理及多應(yīng)用管理，可實(shí)現(xiàn)各應(yīng)用間的安全隔離及獨(dú)立管理，主要負(fù)責(zé)認(rèn)證應(yīng)用1104及STK應(yīng)用1103的安全及管理。認(rèn)證應(yīng)用1104是SIM卡11中的一個(gè)應(yīng)用，主要負(fù)責(zé)簽名認(rèn)證功能，可以在功能擴(kuò)展SIM卡11出廠和發(fā)行時(shí)預(yù)置認(rèn)證應(yīng)用1104,也可以通過(guò)云端服務(wù)器13將認(rèn)證應(yīng)用1104通過(guò)數(shù)據(jù)短信的方式下載到功能擴(kuò)展SIM卡11中。STK應(yīng)用1103是功能擴(kuò)展SIM卡11中的應(yīng)用程序，負(fù)責(zé)SIM卡11內(nèi)數(shù)據(jù)的輸入輸出，在交易過(guò)程中，可通過(guò)STK應(yīng)用1103程序進(jìn)行交易確認(rèn)和客戶身份驗(yàn)證，同時(shí)，根據(jù)交易內(nèi)容產(chǎn)生相關(guān)控制指令，控制蜂鳴器111的發(fā)聲，并通過(guò)指示燈112指示功能擴(kuò)展SIM卡11的工作狀態(tài)。

如圖4所示，本發(fā)明還提供的一種基于安全介質(zhì)保密短信實(shí)現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的認(rèn)證方法，包括以下步驟：

步驟S101：用戶通過(guò)移動(dòng)終端應(yīng)用程序12發(fā)出數(shù)據(jù)認(rèn)證請(qǐng)求；

步驟S102：移動(dòng)終端應(yīng)用程序12校驗(yàn)功能擴(kuò)展SIM卡11的應(yīng)用下載狀態(tài)，移動(dòng)終端應(yīng)用程序12向功能擴(kuò)展SIM卡11發(fā)送校驗(yàn)是否下載認(rèn)證應(yīng)用指令，功能擴(kuò)展SIM卡11返回當(dāng)前應(yīng)用狀態(tài)給移動(dòng)終端應(yīng)用程序12；

步驟S103：若認(rèn)證應(yīng)用已下載，轉(zhuǎn)入步驟S105，否則，轉(zhuǎn)入步驟S104；

步驟S104：移動(dòng)終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出認(rèn)證應(yīng)用下載申請(qǐng)，按照?qǐng)D5流程下載認(rèn)證應(yīng)用到功能擴(kuò)展SIM卡11中；

步驟S105：移動(dòng)終端應(yīng)用程序12向功能擴(kuò)展SIM卡11發(fā)送校驗(yàn)證書狀態(tài)指令，功能擴(kuò)展SIM卡11返回當(dāng)前用戶證書狀態(tài)，移動(dòng)終端應(yīng)用程序12校驗(yàn)證書下載狀態(tài)，若已下載證書且證書有效，轉(zhuǎn)入步驟S107，否則，轉(zhuǎn)入步驟S106；

步驟S106：移動(dòng)終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出用戶證書下載申請(qǐng)，按照?qǐng)D6流程下載用戶證書到功能擴(kuò)展SIM卡11中；

步驟S107：移動(dòng)終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出交易認(rèn)證請(qǐng)求；

步驟S108：認(rèn)證服務(wù)器130產(chǎn)生身份驗(yàn)證的動(dòng)態(tài)驗(yàn)證碼，并用服務(wù)器私鑰進(jìn)行簽名，然后將動(dòng)態(tài)驗(yàn)證碼、簽名數(shù)據(jù)及服務(wù)器證書一起通過(guò)功能擴(kuò)展SIM卡11的安全傳輸通道以數(shù)據(jù)短信方式發(fā)送給功能擴(kuò)展SIM卡11；

步驟S109：功能擴(kuò)展SIM卡11接收到數(shù)據(jù)后，功能擴(kuò)展SIM卡11的安全處理模塊1102使用安全芯片內(nèi)存儲(chǔ)的CA證書對(duì)服務(wù)器證書進(jìn)行驗(yàn)證，若驗(yàn)證通過(guò)，從服務(wù)器證書中讀取服務(wù)器公鑰，用服務(wù)器的公鑰對(duì)接收到的動(dòng)態(tài)驗(yàn)證碼數(shù)據(jù)進(jìn)行驗(yàn)簽，驗(yàn)證服務(wù)器的身份；

步驟S110：若驗(yàn)證通過(guò)，功能擴(kuò)展SIM卡11通過(guò)蜂鳴器111給出驗(yàn)證通過(guò)提示音，轉(zhuǎn)入步驟s611,否則，通過(guò)指示燈112給出失敗提示顯示，轉(zhuǎn)入步驟S117；

步驟S111：功能擴(kuò)展SIM卡11通過(guò)STK應(yīng)用1103將動(dòng)態(tài)驗(yàn)證碼及交易信息通知用戶；

步驟S112：用戶通過(guò)STK應(yīng)用1103確認(rèn)交易或客戶身份，用戶的確認(rèn)信息通過(guò)STK應(yīng)用1103輸入到認(rèn)證應(yīng)用程序；

步驟S113：功能擴(kuò)展SIM卡11的安全處理模塊1102通過(guò)認(rèn)證應(yīng)用程序?qū)τ脩舻拇_認(rèn)信息動(dòng)態(tài)驗(yàn)證碼用安全芯片中存儲(chǔ)的私鑰進(jìn)行簽名，然后將功能擴(kuò)展SIM卡11的用戶證書及簽名數(shù)據(jù)基于移動(dòng)通信網(wǎng)絡(luò)，并通過(guò)安全數(shù)據(jù)短信方式，發(fā)送給認(rèn)證服務(wù)器130；

步驟S114：認(rèn)證服務(wù)器130接收到數(shù)據(jù)后，先用服務(wù)器端CA證書對(duì)功能擴(kuò)展SIM卡11的用戶證書進(jìn)行驗(yàn)證，若驗(yàn)證通過(guò)，從功能擴(kuò)展SIM卡11的用戶證書中提取公鑰，用功能擴(kuò)展SIM卡11用戶證書的公鑰對(duì)接收到的數(shù)據(jù)進(jìn)行驗(yàn)簽，驗(yàn)證客戶身份；

步驟S115：若驗(yàn)證通過(guò)，轉(zhuǎn)入步驟S116,否則，轉(zhuǎn)入步驟S118；

步驟S116：認(rèn)證服務(wù)器130返回驗(yàn)證通過(guò)信息給移動(dòng)終端應(yīng)用程序12，移動(dòng)終端應(yīng)用程序12向業(yè)務(wù)服務(wù)器132發(fā)出下一步交易請(qǐng)求，開始業(yè)務(wù)交易；

步驟S117：功能擴(kuò)展SIM卡11返回驗(yàn)證失敗信息給移動(dòng)終端應(yīng)用程序12；

步驟S118：認(rèn)證服務(wù)器130返回驗(yàn)證失敗信息給移動(dòng)終端應(yīng)用程序12；

步驟S119：移動(dòng)終端應(yīng)用程序12給出錯(cuò)誤提示，數(shù)據(jù)認(rèn)證流程結(jié)束。

圖5是應(yīng)用下載的流程示意圖。認(rèn)證應(yīng)用必須在安全環(huán)境下下載到功能擴(kuò)展SIM卡11中，可以采用預(yù)置的方式在功能擴(kuò)展SIM卡11出廠時(shí)由廠商預(yù)置到功能擴(kuò)展SIM卡11中，也可以在營(yíng)業(yè)廳發(fā)行時(shí)下載到功能擴(kuò)展SIM卡11中。本實(shí)施例中的方式是用戶通過(guò)在線的方式從云端服務(wù)器13下載到功能擴(kuò)展SIM卡11中，此種在線下載應(yīng)用的方式要求密鑰提前預(yù)置到功能擴(kuò)展SIM卡11中，保證應(yīng)用下載的安全。應(yīng)用下載的流程如下：

步驟S201：用戶通過(guò)移動(dòng)終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出認(rèn)證應(yīng)用1104下載申請(qǐng)；

步驟S202：認(rèn)證服務(wù)器130通過(guò)數(shù)據(jù)短信方式將認(rèn)證應(yīng)用1104下載到功能擴(kuò)展SIM卡11；

步驟S203：在功能擴(kuò)展SIM卡11上完成認(rèn)證應(yīng)用1104的下載安裝后，功能擴(kuò)展SIM卡11通過(guò)數(shù)據(jù)短信方式響應(yīng)認(rèn)證應(yīng)用1104的下載與安裝結(jié)果；

步驟S204：移動(dòng)終端應(yīng)用程序12接收功能擴(kuò)展SIM卡11返回的應(yīng)用下載安裝結(jié)果進(jìn)行判斷；

步驟S205：若認(rèn)證應(yīng)用1104安裝成功，跳轉(zhuǎn)到步驟S206,若安裝失敗，流程結(jié)束；

步驟S206：移動(dòng)終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出應(yīng)用初始化申請(qǐng)。

圖6是證書下載的流程示意圖,包括以下步驟：

步驟S301：用戶通過(guò)移動(dòng)終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出證書下載申請(qǐng)；

步驟S302：認(rèn)證服務(wù)器130向CA服務(wù)器131發(fā)出用戶證書下載申請(qǐng)；

步驟S303：CA服務(wù)器131生成用戶證書并將證書發(fā)送給認(rèn)證服務(wù)器130；

步驟S304：認(rèn)證服務(wù)器130通過(guò)數(shù)據(jù)短信方式將證書下載到功能擴(kuò)展SIM卡11；

步驟S305：功能擴(kuò)展SIM卡11通過(guò)數(shù)據(jù)短信方式響應(yīng)證書下載結(jié)果。

顯然，上述實(shí)施例僅僅是為清楚地說(shuō)明所作的舉例，而并非對(duì)實(shí)施方式的限定。對(duì)于所屬領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在上述說(shuō)明的基礎(chǔ)上還可以做出其它不同形式的變化或變動(dòng)。這里無(wú)需也無(wú)法對(duì)所有的實(shí)施方式予以窮舉。而由此所引伸出的顯而易見的變化或變動(dòng)仍處于本發(fā)明創(chuàng)造的保護(hù)范圍之中。