本發(fā)明涉及通信領(lǐng)域，尤其涉及一種安全認(rèn)證方法、設(shè)備以及服務(wù)器。

背景技術(shù)：

在網(wǎng)絡(luò)安全隱患日益嚴(yán)峻的情況下，誕生了KEY(智能密碼鑰匙)這一身份認(rèn)證產(chǎn)品，主要用于電子商務(wù)、電子政務(wù)等領(lǐng)域，如網(wǎng)上銀行、電子支付等，作為網(wǎng)絡(luò)用戶身份識(shí)別和數(shù)據(jù)保護(hù)的“智能密碼鑰匙”。KEY這種智能加密存儲(chǔ)設(shè)備結(jié)合了智能卡技術(shù)、公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)技術(shù)和通用串行總線(Universal Serial Bus，USB)接口技術(shù)，內(nèi)置智能卡芯片，有一定的安全存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書(shū)，利用智能卡芯片內(nèi)置的公鑰算法可以實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

隨著移動(dòng)支付及物聯(lián)網(wǎng)的發(fā)展，KEY的應(yīng)用領(lǐng)域不再局限于私人電腦(Personal Computer，PC)端，手機(jī)、平板電腦、銷售終端(Point Of Sale，POS)、智能網(wǎng)關(guān)、自動(dòng)取款機(jī)(Automatic Teller Machine，ATM)等終端設(shè)備同樣需要身份認(rèn)證產(chǎn)品的保護(hù)，由此誕生了通用串行總線(Universal Serial Bus，USB)KEY、音頻KEY、藍(lán)牙KEY、近距離無(wú)線通信(Near Field Communication，NFC)KEY等形式的KEY，極大拓展了智能密碼鑰匙的應(yīng)用領(lǐng)域。

現(xiàn)有技術(shù)中，受終端形態(tài)的限制，不同的終端需要適配不同形態(tài)的KEY，例如：手機(jī)適配音頻KEY，而PC端則適配USB KEY，藍(lán)牙設(shè)備適配藍(lán)牙KEY，NFC設(shè)備適配NFC KEY，。當(dāng)手機(jī)與銀行后臺(tái)服務(wù)器進(jìn)行數(shù)據(jù)交互，銀行后臺(tái)服務(wù)器需要驗(yàn)證用戶身份時(shí)，需要用戶預(yù)先將音頻KEY插入手機(jī)的音頻接口，手機(jī)識(shí)別該音頻KEY并下載安裝該音頻KEY對(duì)應(yīng)的驅(qū)動(dòng)程序以及管理軟件，以實(shí)現(xiàn)音頻KEY在手機(jī)端的運(yùn)行，再由手機(jī)向銀行后臺(tái)服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求，服務(wù)器接到此請(qǐng)求后將簽名報(bào)文發(fā)給手機(jī)，手機(jī)將簽名報(bào)文傳輸給與手機(jī)連接的音頻KEY，音頻KEY對(duì)簽名報(bào)文執(zhí)行簽名運(yùn)算后通過(guò)手機(jī)回發(fā)給銀行后臺(tái)服務(wù)器。上述過(guò)程中，音頻KEY與銀行后臺(tái)服務(wù)器的認(rèn)證通道，以及手機(jī)與銀行后臺(tái)服務(wù)器的業(yè)務(wù)通道都需要通過(guò)手機(jī)傳輸數(shù)據(jù)。同樣的，對(duì)PC端用戶進(jìn)行身份認(rèn)證時(shí)USB KEY與銀行后臺(tái)服務(wù)器之間的數(shù)據(jù)交互也需要用戶預(yù)先將USB KEY插入PC端的USB接口，并且在PC端下載安裝驅(qū)動(dòng)程序運(yùn)行該USB KEY，再通過(guò)PC端與銀行后臺(tái)服務(wù)器進(jìn)行數(shù)據(jù)交互，USB KEY同樣需要通過(guò)PC端傳輸數(shù)據(jù)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法、設(shè)備以及服務(wù)器，能夠直接與服務(wù)器進(jìn)行數(shù)據(jù)交互，避免了第二終端通過(guò)第一終端與服務(wù)器進(jìn)行數(shù)據(jù)交互的繁瑣過(guò)程。

有鑒于此，本發(fā)明第一方面提供了一種安全認(rèn)證方法，包括：

當(dāng)?shù)谝唤K端向服務(wù)器提交業(yè)務(wù)請(qǐng)求后，第二終端接收所述服務(wù)器發(fā)送的業(yè)務(wù)信息，所述業(yè)務(wù)信息由所述服務(wù)器根據(jù)所述業(yè)務(wù)請(qǐng)求生成；

所述第二終端根據(jù)所述業(yè)務(wù)信息生成第一簽名結(jié)果；

所述第二終端將所述第一簽名結(jié)果反饋至所述服務(wù)器，以使得所述服務(wù)器根據(jù)所述第一簽名結(jié)果處理所述業(yè)務(wù)請(qǐng)求。

結(jié)合本發(fā)明實(shí)施例的第一方面，在第一種可能的實(shí)現(xiàn)方式中，所述第二終端接收所述服務(wù)器發(fā)送的業(yè)務(wù)信息之前，所述方法還包括：

所述第二終端向所述服務(wù)器發(fā)送上線注冊(cè)請(qǐng)求，以使得所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式，在本發(fā)明第一方面的第二種可能的實(shí)現(xiàn)方式中，所述第二終端向所述服務(wù)器發(fā)送上線注冊(cè)請(qǐng)求，以使得所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求與所述第二終端建立通信連接包括：

所述第二終端接收所述服務(wù)器發(fā)送的挑戰(zhàn)碼，所述挑戰(zhàn)碼是由所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求生成的隨機(jī)數(shù)；

所述第二終端根據(jù)所述挑戰(zhàn)碼生成第二簽名結(jié)果；

所述第二終端將所述第二簽名結(jié)果發(fā)送至所述服務(wù)器，以使得所述服務(wù)器根據(jù)所述第二簽名結(jié)果確定與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第一方面、第一方面的第一種或第二種可能的實(shí)現(xiàn)方式，在本發(fā)明第一方面的第三種可能的實(shí)現(xiàn)方式中，所述第二終端根據(jù)所述挑戰(zhàn)碼生成第二簽名結(jié)果包括：

所述第二終端通過(guò)設(shè)備私鑰對(duì)所述挑戰(zhàn)碼進(jìn)行簽名生成所述第二簽名結(jié)果，所述設(shè)備私鑰由所述第二終端的設(shè)備頒發(fā)方在頒發(fā)所述第二終端時(shí)于所述第二終端內(nèi)部產(chǎn)生，并保存于所述第二終端中。

結(jié)合本發(fā)明實(shí)施例的第一方面、第一方面的第一種至第三種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第一方面的第四種可能的實(shí)現(xiàn)方式中，所述第二終端根據(jù)所述業(yè)務(wù)信息生成第一簽名結(jié)果包括：

所述第二終端顯示所述業(yè)務(wù)信息；

當(dāng)用戶操作所述第二終端時(shí)，所述第二終端接收所述用戶輸入的操作指令；

所述第二終端根據(jù)所述操作指令對(duì)所述業(yè)務(wù)信息進(jìn)行簽名生成所述第一簽名結(jié)果。

結(jié)合本發(fā)明實(shí)施例的第一方面、第一方面的第一種至第四種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第一方面的第五種可能的實(shí)現(xiàn)方式中，所述第二終端根據(jù)所述操作指令對(duì)所述業(yè)務(wù)信息進(jìn)行簽名生成所述第一簽名結(jié)果包括：

所述第二終端通過(guò)簽名私鑰對(duì)所述業(yè)務(wù)信息進(jìn)行簽名生成所述第一簽名結(jié)果，所述簽名私鑰由所述第二終端向證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)時(shí)于所述第二終端內(nèi)部生成，并保存在所述第二終端內(nèi)部。

本發(fā)明第二方面提供了一種安全認(rèn)證設(shè)備，包括：

第一接收模塊，用于當(dāng)?shù)谝唤K端向服務(wù)器提交業(yè)務(wù)請(qǐng)求后，接收所述服務(wù)器發(fā)送的業(yè)務(wù)信息，所述業(yè)務(wù)信息由所述服務(wù)器根據(jù)所述業(yè)務(wù)請(qǐng)求生成；

第一生成模塊，用于根據(jù)所述業(yè)務(wù)信息生成第一簽名結(jié)果；

反饋模塊，用于將所述第一簽名結(jié)果反饋至所述服務(wù)器，以使得所述服務(wù)器根據(jù)所述第一簽名結(jié)果處理所述業(yè)務(wù)請(qǐng)求。

結(jié)合本發(fā)明實(shí)施例的第二方面，在第一種可能的實(shí)現(xiàn)方式中，所述設(shè)備還包括：

第一發(fā)送模塊，用于向所述服務(wù)器發(fā)送上線注冊(cè)請(qǐng)求，以使得所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求與所述設(shè)備建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第二方面或第二方面的第一種可能的實(shí)現(xiàn)方式，在本發(fā)明第二方面的第二種可能的實(shí)現(xiàn)方式中，所述設(shè)備還包括：

第二接收模塊，用于接收所述服務(wù)器發(fā)送的挑戰(zhàn)碼，所述挑戰(zhàn)碼是由所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求生成的隨機(jī)數(shù)；

第二生成模塊，用于根據(jù)所述挑戰(zhàn)碼生成第二簽名結(jié)果；

第二發(fā)送模塊，用于將所述第二簽名結(jié)果發(fā)送至所述服務(wù)器，以使得所述服務(wù)器根據(jù)所述第二簽名結(jié)果確定與所述設(shè)備建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第二方面、第二方面的第一種或第二種可能的實(shí)現(xiàn)方式，在本發(fā)明第二方面的第三種可能的實(shí)現(xiàn)方式中，所述第二生成模塊具體用于

通過(guò)設(shè)備私鑰對(duì)所述挑戰(zhàn)碼進(jìn)行簽名生成所述第二簽名結(jié)果，所述設(shè)備私鑰由所述設(shè)備的設(shè)備頒發(fā)方在頒發(fā)所述設(shè)備時(shí)于所述設(shè)備內(nèi)部產(chǎn)生，并保存于所述設(shè)備中。

結(jié)合本發(fā)明實(shí)施例的第二方面、第二方面的第一種至第三種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第二方面的第四種可能的實(shí)現(xiàn)方式中，所述第一生成模塊具體用于

顯示所述業(yè)務(wù)信息；

當(dāng)用戶操作所述設(shè)備時(shí)，接收所述用戶輸入的操作指令；

根據(jù)所述操作指令對(duì)所述業(yè)務(wù)信息進(jìn)行簽名生成所述第一簽名結(jié)果。

結(jié)合本發(fā)明實(shí)施例的第二方面、第二方面的第一種至第四種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第二方面的第五種可能的實(shí)現(xiàn)方式中，所述第一生成模塊具體用于

通過(guò)簽名私鑰對(duì)所述業(yè)務(wù)信息進(jìn)行簽名生成所述第一簽名結(jié)果，所述簽名私鑰由所述設(shè)備向證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)時(shí)于所述設(shè)備內(nèi)部生成，并保存在所述設(shè)備內(nèi)部。

本發(fā)明第三方面提供了一種安全認(rèn)證方法，包括：

服務(wù)器接收第一終端提交的業(yè)務(wù)請(qǐng)求；

所述服務(wù)器根據(jù)所述業(yè)務(wù)請(qǐng)求向第二終端發(fā)送業(yè)務(wù)信息；

所述服務(wù)器接收所述第二終端反饋的第一簽名結(jié)果，所述第一簽名結(jié)果由所述第二終端根據(jù)所述業(yè)務(wù)信息生成；

所述服務(wù)器根據(jù)所述第一簽名結(jié)果處理所述業(yè)務(wù)請(qǐng)求。

結(jié)合本發(fā)明實(shí)施例的第三方面，在第一種可能的實(shí)現(xiàn)方式中，所述服務(wù)器根據(jù)所述業(yè)務(wù)請(qǐng)求向第二終端發(fā)送業(yè)務(wù)信息之前，所述方法還包括：

所述服務(wù)器接收所述第二終端發(fā)送的上線注冊(cè)請(qǐng)求；

所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求確定與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第三方面或第三方面的第一種可能的實(shí)現(xiàn)方式，在本發(fā)明第三方面的第二種可能的實(shí)現(xiàn)方式中，所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求確定與所述第二終端建立通信連接包括：

所述服務(wù)器根據(jù)所述上線注冊(cè)請(qǐng)求生成挑戰(zhàn)碼，所述挑戰(zhàn)碼為隨機(jī)數(shù)；

所述服務(wù)器將所述挑戰(zhàn)碼發(fā)送至所述第二終端；

所述服務(wù)器接收所述第二終端反饋的第二簽名結(jié)果，所述第二簽名結(jié)果由所述第二終端根據(jù)所述挑戰(zhàn)碼生成；

所述服務(wù)器根據(jù)所述第二簽名結(jié)果確定與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第三方面、第三方面的第一種或第二種可能的實(shí)現(xiàn)方式，在本發(fā)明第三方面的第三種可能的實(shí)現(xiàn)方式中，所述服務(wù)器根據(jù)所述第二簽名結(jié)果確定與所述第二終端建立通信連接包括：

所述服務(wù)器通過(guò)所述第二終端的設(shè)備公鑰對(duì)所述第二簽名結(jié)果進(jìn)行驗(yàn)簽，所述設(shè)備公鑰由所述第二終端的設(shè)備頒發(fā)方在頒發(fā)所述第二終端時(shí)于所述第二終端內(nèi)部產(chǎn)生，并保存至所述服務(wù)器；

當(dāng)所述第二簽名結(jié)果驗(yàn)簽通過(guò)時(shí)，所述服務(wù)器確定與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第三方面、第三方面的第一種至第三種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第三方面的第四種可能的實(shí)現(xiàn)方式中，所述服務(wù)器根據(jù)所述第一簽名結(jié)果處理所述業(yè)務(wù)請(qǐng)求包括：

所述服務(wù)器通過(guò)簽名公鑰對(duì)所述第一簽名結(jié)果進(jìn)行驗(yàn)簽，所述簽名公鑰由所述第二終端向證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)時(shí)于所述第二終端內(nèi)部生成并導(dǎo)出到所述證書(shū)頒發(fā)機(jī)構(gòu)，所述證書(shū)頒發(fā)機(jī)構(gòu)根據(jù)所述簽名公鑰產(chǎn)生數(shù)字證書(shū)，并保存在所述服務(wù)器；

所述服務(wù)器生成驗(yàn)簽結(jié)果，所述驗(yàn)簽結(jié)果包括：

當(dāng)所述第一簽名結(jié)果驗(yàn)簽通過(guò)時(shí)，所述服務(wù)器執(zhí)行所述第一終端的業(yè)務(wù)請(qǐng)求；

當(dāng)所述第一簽名結(jié)果驗(yàn)簽未通過(guò)時(shí)，所述服務(wù)器則不執(zhí)行所述第一終端業(yè)務(wù)請(qǐng)求。

結(jié)合本發(fā)明實(shí)施例的第三方面、第三方面的第一種至第四種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第三方面的第五種可能的實(shí)現(xiàn)方式中，所述方法還包括：

所述服務(wù)器向所述第一終端發(fā)送所述驗(yàn)簽結(jié)果，以使得所述第一終端顯示所述驗(yàn)簽結(jié)果。

本發(fā)明第四方面提供了一種認(rèn)證服務(wù)器，包括：

第一接收模塊，用于接收第一終端提交的業(yè)務(wù)請(qǐng)求；

第一發(fā)送模塊，用于根據(jù)所述業(yè)務(wù)請(qǐng)求向第二終端發(fā)送業(yè)務(wù)信息；

第二接收模塊，用于接收所述第二終端反饋的第一簽名結(jié)果，所述第一簽名結(jié)果由所述第二終端根據(jù)所述業(yè)務(wù)信息生成；

處理模塊，用于根據(jù)所述第一簽名結(jié)果處理所述業(yè)務(wù)請(qǐng)求。

結(jié)合本發(fā)明實(shí)施例的第四方面，在第一種可能的實(shí)現(xiàn)方式中，所述服務(wù)器還包括：

第三接收模塊，用于接收所述第二終端發(fā)送的上線注冊(cè)請(qǐng)求；

確定模塊，用于根據(jù)所述上線注冊(cè)請(qǐng)求確定與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第四方面或第四方面的第一種可能的實(shí)現(xiàn)方式，在本發(fā)明第四方面的第二種可能的實(shí)現(xiàn)方式中，所述確定模塊包括：

生成單元，用于根據(jù)所述上線注冊(cè)請(qǐng)求生成挑戰(zhàn)碼，所述挑戰(zhàn)碼為隨機(jī)數(shù)；

發(fā)送單元，用于將所述挑戰(zhàn)碼發(fā)送至所述第二終端；

接收單元，用于接收所述第二終端反饋的第二簽名結(jié)果，所述第二簽名結(jié)果由所述第二終端根據(jù)所述挑戰(zhàn)碼生成；

確定單元，用于根據(jù)所述第二簽名結(jié)果確定與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第四方面、第四方面的第一種或第二種可能的實(shí)現(xiàn)方式，在本發(fā)明第四方面的第三種可能的實(shí)現(xiàn)方式中，所述確定單元具體用于

通過(guò)所述第二終端的設(shè)備公鑰對(duì)所述第二簽名結(jié)果進(jìn)行驗(yàn)簽，所述設(shè)備公鑰由所述第二終端的設(shè)備頒發(fā)方在設(shè)備頒發(fā)所述第二終端時(shí)于所述第二終端設(shè)備內(nèi)部產(chǎn)生，由所述第二終端設(shè)備頒發(fā)機(jī)構(gòu)頒發(fā)并保存至所述服務(wù)器；

當(dāng)所述第二簽名結(jié)果驗(yàn)簽通過(guò)時(shí)，確定與所述第二終端建立通信連接。

結(jié)合本發(fā)明實(shí)施例的第四方面、第四方面的第一種至第三種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第四方面的第四種可能的實(shí)現(xiàn)方式中，所述處理模塊具體用于

通過(guò)簽名公鑰對(duì)所述第一簽名結(jié)果進(jìn)行驗(yàn)簽，所述簽名公鑰由所述第二終端設(shè)備向證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)時(shí)于所述第二終端設(shè)備內(nèi)部生成并導(dǎo)出到所述證書(shū)頒發(fā)機(jī)構(gòu)，所述證書(shū)頒發(fā)機(jī)構(gòu)根據(jù)所述簽名公鑰產(chǎn)生數(shù)字證書(shū)，并保存在所述服務(wù)器；

生成驗(yàn)簽結(jié)果，所述驗(yàn)簽結(jié)果包括：

當(dāng)所述第一簽名結(jié)果驗(yàn)簽通過(guò)時(shí)，執(zhí)行所述第一終端的業(yè)務(wù)請(qǐng)求；

當(dāng)所述第一簽名結(jié)果驗(yàn)簽未通過(guò)時(shí)，則不執(zhí)行所述第一終端業(yè)務(wù)請(qǐng)求。

結(jié)合本發(fā)明實(shí)施例的第四方面、第四方面的第一種至第四種可能的實(shí)現(xiàn)方式中的任意一種，在本發(fā)明第四方面的第五種可能的實(shí)現(xiàn)方式中，所述服務(wù)器還包括：

第二發(fā)送模塊，用于向所述第一終端發(fā)送所述驗(yàn)簽結(jié)果，以使得所述第一終端顯示所述驗(yàn)簽結(jié)果。

從以上技術(shù)方案可以看出，本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)：

本發(fā)明實(shí)施例中，當(dāng)?shù)谝唤K端向服務(wù)器提交業(yè)務(wù)請(qǐng)求時(shí)，第二終端接收服務(wù)器發(fā)送的業(yè)務(wù)信息，該業(yè)務(wù)信息由服務(wù)器根據(jù)業(yè)務(wù)請(qǐng)求生成；第二終端根據(jù)業(yè)務(wù)信息生成第一簽名信息；第二終端將該第一簽名信息反饋至服務(wù)器，以使得服務(wù)器根據(jù)該第一簽名信息處理業(yè)務(wù)請(qǐng)求。由于第二終端可以直接與服務(wù)器進(jìn)行數(shù)據(jù)交互，避免第二終端通過(guò)第一終端與服務(wù)器進(jìn)行數(shù)據(jù)交互的繁瑣過(guò)程，用戶不必在第一終端上安裝用于兩者連接的驅(qū)動(dòng)程序以及用于兩者數(shù)據(jù)交互的軟件，同時(shí)也消除了現(xiàn)有技術(shù)中服務(wù)器與第二終端必須通過(guò)第一終端進(jìn)行數(shù)據(jù)交互而帶來(lái)的安全隱患；且由于第二終端不直接和第一終端連接，第二終端不再受第一終端形態(tài)的影響，拓展了第二終端的應(yīng)用領(lǐng)域，不僅用于PC而且還可用于手機(jī)、平板電腦、POS、智能網(wǎng)關(guān)、ATM等多種形式的終端，增加了方案的靈活性。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例中安全認(rèn)證系統(tǒng)架構(gòu)圖；

圖2為本發(fā)明實(shí)施例中安全認(rèn)證方法一個(gè)實(shí)施例示意圖；

圖3為本發(fā)明實(shí)施例中安全認(rèn)證方法另一實(shí)施例示意圖；

圖4為本發(fā)明實(shí)施例中安全認(rèn)證設(shè)備一個(gè)實(shí)施例示意圖；

圖5為本發(fā)明實(shí)施例中認(rèn)證服務(wù)器一個(gè)實(shí)施例示意圖。

具體實(shí)施方式

本發(fā)明實(shí)施例提供了一種安全認(rèn)證方法、設(shè)備以及服務(wù)器，通過(guò)直接與服務(wù)器進(jìn)行數(shù)據(jù)交互，避免了第二終端通過(guò)第一終端與服務(wù)器進(jìn)行數(shù)據(jù)交互的繁瑣過(guò)程。

本發(fā)明的說(shuō)明書(shū)和權(quán)利要求書(shū)及上述附圖中的術(shù)語(yǔ)“第一”、“第二”、“第三”、“第四”等(如果存在)是用于區(qū)別類似的對(duì)象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的實(shí)施例能夠以除了在這里圖示或描述的內(nèi)容以外的順序?qū)嵤?。此外，術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

應(yīng)理解，本發(fā)明應(yīng)用于安全認(rèn)證系統(tǒng)，請(qǐng)參閱圖1，圖1為本發(fā)明實(shí)施例中安全認(rèn)證系統(tǒng)架構(gòu)圖。如圖1所示，該安全認(rèn)證系統(tǒng)中至少包含了一個(gè)第一終端、一個(gè)第二終端、一個(gè)服務(wù)器以及一個(gè)基站，其中，第一終端與服務(wù)器之間構(gòu)建有業(yè)務(wù)通道，所謂的業(yè)務(wù)通道即業(yè)務(wù)數(shù)據(jù)交互的通道；而第二終端、基站以及服務(wù)器三者之間構(gòu)建有認(rèn)證通道，所謂認(rèn)證通道即認(rèn)證數(shù)據(jù)交互的通道。當(dāng)用戶操作第一終端時(shí)，第一終端可以通過(guò)業(yè)務(wù)通道向服務(wù)器提交業(yè)務(wù)請(qǐng)求，而服務(wù)器可以通過(guò)認(rèn)證通道獲得第二終端對(duì)該業(yè)務(wù)請(qǐng)求的確認(rèn)，從而服務(wù)器可以對(duì)第一終端提交的業(yè)務(wù)請(qǐng)求進(jìn)行處理。其中，這里第二終端對(duì)該業(yè)務(wù)請(qǐng)求的確認(rèn)可以是由用戶操作第二終端的按鍵確認(rèn)產(chǎn)生的。

需要說(shuō)明的是，第一終端包括但不限于PC、手機(jī)、平板電腦、POS、智能網(wǎng)關(guān)、ATM等終端設(shè)備。

為便于理解，下面對(duì)本發(fā)明實(shí)施例中的安全認(rèn)證方法進(jìn)行介紹，需要說(shuō)明的是，在本發(fā)明實(shí)施例中，用戶操作第一終端所進(jìn)行的業(yè)務(wù)包括但不限于網(wǎng)上銀行的在線支付功能，本發(fā)明實(shí)施例以網(wǎng)上銀行的在線支付功能為例進(jìn)行說(shuō)明，請(qǐng)參閱圖2，本發(fā)明實(shí)施例中安全認(rèn)證方法一個(gè)實(shí)施例包括：

201、第一終端向服務(wù)器提交業(yè)務(wù)請(qǐng)求；

本實(shí)施例中，用戶可以操作第一終端進(jìn)行業(yè)務(wù)請(qǐng)求，具體地，用戶可以操作第一終端進(jìn)行網(wǎng)上銀行的在線支付功能。需要說(shuō)明的是，用戶可以選擇在線支付的方式為第二終端，其具體可以為，在第一終端顯示的在線支付的界面上顯示選擇第二終端為支付方式的按鈕。

第一終端接收用戶的選擇操作之后，可以通過(guò)互聯(lián)網(wǎng)向服務(wù)器提交業(yè)務(wù)請(qǐng)求，其中，在第一終端為手機(jī)時(shí)，可以通過(guò)基站無(wú)線接入互聯(lián)網(wǎng)；而第一終端為PC時(shí)，則可以通過(guò)有線的方式接入互聯(lián)網(wǎng)，具體此處不做限定。

202、服務(wù)器根據(jù)業(yè)務(wù)請(qǐng)求生成業(yè)務(wù)信息；

本實(shí)施例中，服務(wù)器可以接收第一終端提交的業(yè)務(wù)請(qǐng)求，并可以生成業(yè)務(wù)信息，具體地，當(dāng)?shù)谝唤K端提交的業(yè)務(wù)請(qǐng)求為在線支付請(qǐng)求時(shí)，服務(wù)器可以提取該在線支付請(qǐng)求中所攜帶的交易編號(hào)、付款賬戶、付款金額以及收款賬戶而生成該在線支付請(qǐng)求相對(duì)應(yīng)的業(yè)務(wù)信息，即在該業(yè)務(wù)信息中可以包含上述交易編號(hào)、付款賬戶、付款金額以及收款賬戶。需要說(shuō)明的是，上述付款賬戶可以與操作第一終端提交業(yè)務(wù)請(qǐng)求的用戶相關(guān)聯(lián)，即上述付款賬戶的信息中可以包含該用戶的身份信息。

服務(wù)器可以通過(guò)付款賬戶查找到用戶所綁定的第二終端的設(shè)備序列號(hào)，需要說(shuō)明的是，用戶可以在申請(qǐng)第二終端時(shí)，將用戶的賬戶，即上述付款賬戶與第二終端的設(shè)備序列號(hào)綁定，并且可以將綁定結(jié)果保存在服務(wù)器中。

本實(shí)施例中，服務(wù)器可以通過(guò)查找該設(shè)備序列號(hào)查找到用戶所綁定的第二終端，服務(wù)器可以將所生成的業(yè)務(wù)信息通過(guò)互聯(lián)網(wǎng)發(fā)送至第二終端。

需要說(shuō)明的是，服務(wù)器可以在檢測(cè)到該設(shè)備序列號(hào)有效，即通過(guò)該設(shè)備序列號(hào)查找到用戶所綁定的第二終端時(shí)，服務(wù)器可以生成待處理事務(wù)，該待處理事務(wù)可以是服務(wù)器向第二終端發(fā)送業(yè)務(wù)信息，并且，服務(wù)器可以將該待處理事務(wù)加入第二終端的待處理事務(wù)列表中。可以理解的是，該第二終端的待處理事務(wù)列表即服務(wù)器為歸類第二終端相關(guān)的待處理事務(wù)而設(shè)置的待處理事務(wù)列表。

需要說(shuō)明的是，服務(wù)器與第二終端可以預(yù)先建立起通信連接，該通信連接可以是由第二終端向服務(wù)器發(fā)起上線注冊(cè)請(qǐng)求，服務(wù)器接收該請(qǐng)求建立與第二終端的通信連接。

可以理解的是，在實(shí)際應(yīng)用中，服務(wù)器可以建立在線設(shè)備列表，當(dāng)?shù)诙K端向服務(wù)器發(fā)起上線注冊(cè)請(qǐng)求與服務(wù)器建立通信連接時(shí)，服務(wù)器可以將該第二終端加入該在線設(shè)備列表。并且，服務(wù)器可以輪詢?cè)撛诰€設(shè)備列表，當(dāng)?shù)诙K端在線，即第二終端與服務(wù)器建立了通信連接時(shí)，服務(wù)器可以處理向第二終端發(fā)送業(yè)務(wù)信息的事務(wù)；而第二終端不在線時(shí)，即第二終端未與服務(wù)器建立通信連接，服務(wù)器可以將向第二終端發(fā)送業(yè)務(wù)信息的事務(wù)掛起，即可以暫停處理該事務(wù)，直至第二終端上線。

應(yīng)理解，該通信連接可以是第二終端使用通用分組無(wú)線服務(wù)技術(shù)(General Packet Radio Service，GPRS)，如：全球移動(dòng)通信系統(tǒng)(Global System for Mobile Communication，GSM)、第三代移動(dòng)通信技術(shù)(the 3th Generation mobile communication technology，3G)、第四代移動(dòng)通信技術(shù)(the 4th Generation mobile communication technology，4G)網(wǎng)絡(luò)，通過(guò)基站接入電信網(wǎng)連接上服務(wù)器，并且，第二終端內(nèi)可以預(yù)先存儲(chǔ)有服務(wù)器的網(wǎng)絡(luò)協(xié)議(Internet Protocol，IP)地址，第二終端可以通過(guò)服務(wù)器的IP地址連接到該服務(wù)器。

203、第二終端接收服務(wù)器發(fā)送的業(yè)務(wù)信息；

本實(shí)施例中，第二終端可以接收到服務(wù)器發(fā)送的業(yè)務(wù)信息，第二終端可以在第二終端的顯示屏上顯示該業(yè)務(wù)信息。需要說(shuō)明的是，服務(wù)器發(fā)送給第二終端的業(yè)務(wù)信息可以為上述在線支付請(qǐng)求相對(duì)應(yīng)的業(yè)務(wù)信息，即該業(yè)務(wù)信息中可以包含交易編號(hào)、付款賬戶、付款金額以及收款賬戶，第二終端可以顯示上述信息。

204、第二終端根據(jù)業(yè)務(wù)信息生成第一簽名結(jié)果；

本實(shí)施例中，用戶可以查看第二終端顯示的業(yè)務(wù)信息，第二終端可以包含確認(rèn)鍵以及取消鍵，當(dāng)用戶點(diǎn)擊確認(rèn)鍵時(shí)，第二終端可以判定用戶確認(rèn)了該業(yè)務(wù)信息，即接收該業(yè)務(wù)信息；當(dāng)用戶點(diǎn)擊取消鍵時(shí)，第二終端可以判定用戶沒(méi)有確認(rèn)該業(yè)務(wù)信息，即拒絕該業(yè)務(wù)信息?？梢岳斫獾氖?，上述確認(rèn)鍵也可以是指紋確認(rèn)鍵，通過(guò)預(yù)先存儲(chǔ)的用戶指紋識(shí)別用戶是否點(diǎn)擊確認(rèn)。并且，若用戶超時(shí)未操作第二終端，第二終端也可以判定用戶拒絕該業(yè)務(wù)信息，該超時(shí)時(shí)長(zhǎng)可以是預(yù)先設(shè)置的時(shí)間。

需要說(shuō)明的是，當(dāng)用戶點(diǎn)擊確認(rèn)鍵接收該業(yè)務(wù)信息時(shí)，第二終端可以對(duì)該業(yè)務(wù)信息進(jìn)行簽名而生成第一簽名結(jié)果。應(yīng)理解，第二終端可以使用基于公共密鑰體系(Public Key Infrastructure，PKI)的認(rèn)證模式對(duì)業(yè)務(wù)信息進(jìn)行簽名，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。一個(gè)公共密鑰(公鑰，public key)以及一個(gè)私有密鑰(私鑰，private key)。其基本原理是：由一個(gè)密鑰進(jìn)行加密的信息內(nèi)容，只能由與之配對(duì)的另一個(gè)密鑰才能進(jìn)行解密。

本實(shí)施例中，第二終端可以使用簽名私鑰對(duì)該業(yè)務(wù)信息進(jìn)行簽名，該簽名私鑰即為上述私有密鑰，與之配對(duì)的公共密鑰為簽名公鑰。其中，簽名公鑰可以保存在與第二終端有通信連接的通信設(shè)備中，如服務(wù)器；而簽名私鑰則由第二終端私有保存。

需要說(shuō)明的是，該簽名私鑰以及簽名公鑰可以是由用戶在使用第二終端向證書(shū)授權(quán)中心(Certificate Authority，CA)申請(qǐng)證書(shū)時(shí)產(chǎn)生的，具體的，第二終端可以使用預(yù)置的生產(chǎn)公私密鑰對(duì)的程序生成一對(duì)公私鑰，即簽名私鑰和簽名公鑰，第二終端可以將生成的簽名私鑰寫(xiě)入第二終端的密鑰區(qū)，第二終端可以設(shè)置該密鑰區(qū)的簽名私鑰不可被導(dǎo)出，并且不允許外部訪問(wèn)以保障該簽名私鑰的安全性；第二終端可以將生成的簽名公鑰上傳到CA，CA可以使用CA的私鑰將CA唯一識(shí)別名、證書(shū)有效期、用戶識(shí)別名以及簽名公鑰進(jìn)行簽名生成數(shù)字證書(shū)，頒發(fā)給服務(wù)器，同時(shí)也可以下載到第二終端內(nèi)，而服務(wù)器可以預(yù)先保存有CA的公鑰，具體此處不做限定。

本實(shí)施例中，第二終端可以內(nèi)部訪問(wèn)簽名私鑰，并使用簽名私鑰對(duì)該業(yè)務(wù)信息進(jìn)行簽名得到第一簽名結(jié)果，其簽名的算法可以是RSA加密算法(RSA algorithm)以及消息摘要算法第五版(Message Digest Algorithm MD5)，其也還可以是除RSA加密算法和MD5消息摘要算法以外的其他算法，具體此處不做限定?？梢岳斫獾氖牵诙K端可以使用MD5消息摘要算法算得該業(yè)務(wù)信息的摘要，即壓縮該業(yè)務(wù)信息?？梢岳斫獾氖?，MD5消息摘要算法對(duì)于任意長(zhǎng)度的數(shù)據(jù)，算出的MD5值(也就是摘要)的長(zhǎng)度都是固定的，并且，對(duì)原數(shù)據(jù)進(jìn)行任何改動(dòng)，所得到的MD5值都將不同。第二終端使用MD5消息摘要算法算得業(yè)務(wù)信息的摘要之后，第二終端可以再通過(guò)RSA加密算法使用簽名私鑰加密該算得的摘要。

需要說(shuō)明的是，第二終端點(diǎn)擊取消鍵后可以生成取消操作指令反饋給服務(wù)器，該取消操作指令可以包含該業(yè)務(wù)信息，即該取消操作指令可以包含上述業(yè)務(wù)信息中的交易編號(hào)、付款賬戶、付款金額以及收款賬戶。可以理解的是，第二終端也可以使用RSA加密算法加密該取消操作指令。

服務(wù)器可以根據(jù)該取消操作指令拒絕處理第一終端提交的業(yè)務(wù)請(qǐng)求。可以理解的是，如果第二終端在規(guī)定操作時(shí)間范圍內(nèi)不進(jìn)行任何操作，或者是服務(wù)器在有效時(shí)間內(nèi)得不到第二終端的反饋，服務(wù)器同樣可以判定超時(shí)而取消操作，拒絕處理第一終端提交的業(yè)務(wù)請(qǐng)求，該規(guī)定操作時(shí)間可以由第二終端生廠商出廠預(yù)設(shè)，該服務(wù)器的有效時(shí)間可以由服務(wù)器的運(yùn)營(yíng)商依據(jù)運(yùn)營(yíng)需求設(shè)置，具體此處不做限定。

可選的，第二終端還可以含有上翻鍵以及下翻鍵以實(shí)現(xiàn)顯示屏的多頁(yè)顯示，用戶可以點(diǎn)擊上翻鍵或者下翻鍵查看到全部的業(yè)務(wù)信息。

可選的，第二終端還可以存儲(chǔ)接收到的業(yè)務(wù)信息，用戶可以通過(guò)上翻鍵或者下翻鍵調(diào)取查閱業(yè)務(wù)信息的歷史記錄。

205、第二終端將第一簽名結(jié)果反饋至服務(wù)器；

本實(shí)施例中，第二終端可以將第一簽名結(jié)果反饋至服務(wù)器，其反饋上傳服務(wù)器的通道可以上述第二終端與服務(wù)器之間建立的通信連接的通道。

需要說(shuō)明的是，若用戶操作第二終端查看業(yè)務(wù)信息時(shí)點(diǎn)擊取消鍵，第二終端也可以通過(guò)該通道將第二終端生成的取消操作的指令反饋給服務(wù)器。

206、服務(wù)器根據(jù)第一簽名結(jié)果處理業(yè)務(wù)請(qǐng)求；

本實(shí)施例中，服務(wù)器可以接收第二終端反饋的第一簽名結(jié)果，并可以依據(jù)該第一簽名結(jié)果處理上述業(yè)務(wù)請(qǐng)求。

具體地，服務(wù)器在接收到第二終端發(fā)送的第一簽名結(jié)果之后，使用簽名公鑰對(duì)該第一簽名結(jié)果進(jìn)行驗(yàn)簽，該簽名公鑰可以是服務(wù)器通過(guò)CA的公鑰驗(yàn)簽上述CA頒發(fā)給服務(wù)器的數(shù)字證書(shū)而獲得的，該服務(wù)器對(duì)第一簽名結(jié)果的驗(yàn)簽步驟可以使用簽名公鑰對(duì)該第一簽名結(jié)果進(jìn)行驗(yàn)簽，得到該第一簽名結(jié)果內(nèi)業(yè)務(wù)信息的摘要；服務(wù)器可以使用上述MD5消息摘要算法計(jì)算業(yè)務(wù)信息的摘要，并將計(jì)算得到的業(yè)務(wù)信息的摘要與驗(yàn)簽得到的業(yè)務(wù)信息的摘要進(jìn)行比對(duì)。可以理解的是，當(dāng)對(duì)比結(jié)果為二者摘要一致，服務(wù)器可以確認(rèn)驗(yàn)簽通過(guò)，服務(wù)器可以執(zhí)行第一終端發(fā)送的業(yè)務(wù)請(qǐng)求。

需要說(shuō)明的是，服務(wù)器在使用簽名公鑰對(duì)第一簽名結(jié)果驗(yàn)簽未通過(guò)，即服務(wù)器端計(jì)算的業(yè)務(wù)信息的摘要與驗(yàn)簽得到的業(yè)務(wù)信息的摘要未能比對(duì)成功，或者，服務(wù)器在接收到第二終端發(fā)送的取消操作指令，服務(wù)器可以拒絕執(zhí)行上述第一終端提交的業(yè)務(wù)請(qǐng)求。可以理解的是，服務(wù)器在超時(shí)未獲得第二終端的任何反饋時(shí)，也可以拒絕執(zhí)行該第一終端提交的業(yè)務(wù)請(qǐng)求。

207、服務(wù)器將驗(yàn)簽結(jié)果發(fā)送至第一終端。

本實(shí)施例中，服務(wù)器在對(duì)第一簽名結(jié)果進(jìn)行驗(yàn)簽時(shí)，可以生成驗(yàn)簽結(jié)果，并可以將驗(yàn)簽結(jié)果發(fā)送給第一終端，即服務(wù)器可以將處理第一終端提交的業(yè)務(wù)請(qǐng)求的結(jié)果告知第一終端，其結(jié)果中可以包括服務(wù)器執(zhí)行該業(yè)務(wù)請(qǐng)求，也可以包括服務(wù)器拒絕執(zhí)行該業(yè)務(wù)請(qǐng)求。

需要說(shuō)明的是，第一終端可以在接收到服務(wù)器發(fā)送的驗(yàn)簽結(jié)果時(shí)，可以將該驗(yàn)簽結(jié)果顯示在第一終端的顯示屏上，即在第一終端向服務(wù)器提交業(yè)務(wù)請(qǐng)求的頁(yè)面上顯示該驗(yàn)簽結(jié)果。

可選的，服務(wù)器還可以將驗(yàn)簽結(jié)果發(fā)送給第二終端，第二終端可以顯示接收到的驗(yàn)簽結(jié)果，使得用戶可以查看到服務(wù)器處理用戶操作第一終端提交的業(yè)務(wù)請(qǐng)求的結(jié)果。

上面介紹了本發(fā)明實(shí)施例中的安全認(rèn)證方法，下面對(duì)本發(fā)明實(shí)施例中第二終端與服務(wù)器之間構(gòu)建通信連接進(jìn)行介紹，請(qǐng)參閱圖3，本發(fā)明實(shí)施例中安全認(rèn)證方法另一實(shí)施例包括：

301、啟動(dòng)第二終端；

本實(shí)施例中，第二終端上可以包含一個(gè)啟動(dòng)按鈕，用戶可以通過(guò)按壓該啟動(dòng)按鈕啟動(dòng)該第二終端。需要說(shuō)明的是，該啟動(dòng)按鈕可以是指紋識(shí)別按鈕，還可以是虹膜識(shí)別按鈕，具體此處不做限定。

可以理解的是，第二終端還可以設(shè)置個(gè)人識(shí)別碼(Personal Identification Number，PIN)，該P(yáng)IN碼可以是由用戶設(shè)置的。

302、第二終端向服務(wù)器發(fā)送上線注冊(cè)請(qǐng)求；

本實(shí)施例中，第二終端可以向服務(wù)器發(fā)送上線注冊(cè)請(qǐng)求，該上線注冊(cè)請(qǐng)求中可以包含第二終端的設(shè)備序列號(hào)。需要說(shuō)明的是，第二終端可以使用通用分組無(wú)線服務(wù)技術(shù)(General Packet Radio Service，GPRS)，如：全球移動(dòng)通信系統(tǒng)(Global System for Mobile Communication，GSM)、第三代移動(dòng)通信技術(shù)(the 3th Generation mobile communication technology，3G)、第四代移動(dòng)通信技術(shù)(the 4th Generation mobile communication technology，4G)網(wǎng)絡(luò)，通過(guò)基站接入電信網(wǎng)連接上服務(wù)器，并且，第二終端內(nèi)可以預(yù)先存儲(chǔ)有服務(wù)器的網(wǎng)絡(luò)協(xié)議(Internet Protocol，IP)地址，第二終端可以通過(guò)服務(wù)器的IP地址向該服務(wù)器發(fā)送上線注冊(cè)請(qǐng)求。

303、服務(wù)器向第二終端反饋挑戰(zhàn)碼；

本實(shí)施例中，服務(wù)器可以通過(guò)第二終端發(fā)送的上線注冊(cè)請(qǐng)求中攜帶的設(shè)備序列號(hào)，檢測(cè)該設(shè)備序列號(hào)是否有效，即通過(guò)該設(shè)備序列號(hào)查找到該第二終端是否與用戶綁定，若是，服務(wù)器可以生成挑戰(zhàn)碼，該挑戰(zhàn)碼可以是服務(wù)器生成的隨機(jī)數(shù)，該隨機(jī)數(shù)還可以是32字節(jié)的字節(jié)串，具體此處不做限定。

需要說(shuō)明的是，在服務(wù)器檢測(cè)到第二終端上傳的設(shè)備序列號(hào)有效時(shí)，服務(wù)器可以查詢到該第二終端的設(shè)備公鑰，該設(shè)備公鑰是由第二終端設(shè)備頒發(fā)方在設(shè)備頒發(fā)時(shí)于第二終端設(shè)備內(nèi)部產(chǎn)生的，并將產(chǎn)生的設(shè)備私鑰保存在第二終端內(nèi)部，將設(shè)備公鑰保存至所述服務(wù)器；也可以是第二終端出廠前由第二終端內(nèi)部生成的設(shè)備公鑰和設(shè)備私鑰，設(shè)備私鑰保存在第二終端內(nèi)部，設(shè)備公鑰上傳到服務(wù)器；

304、第二終端根據(jù)挑戰(zhàn)碼生成第二簽名結(jié)果；

本實(shí)施例中，第二終端在接收到服務(wù)器發(fā)送的挑戰(zhàn)碼之后，可以根據(jù)該挑戰(zhàn)碼生成第二簽名結(jié)果，其生成第二簽名結(jié)果的步驟也可以是使用基于PKI的認(rèn)證模式對(duì)該挑戰(zhàn)碼進(jìn)行簽名，此處第二終端可以使用設(shè)備私鑰對(duì)該挑戰(zhàn)碼進(jìn)行簽名。可以理解的是，其簽名算法也可以是使用MD5消息摘要算法對(duì)該挑戰(zhàn)碼進(jìn)行計(jì)算得到該挑戰(zhàn)碼的摘要，使用RSA加密算法對(duì)該挑戰(zhàn)碼的摘要進(jìn)行加密運(yùn)算。

305、第二終端將第二簽名結(jié)果發(fā)送至服務(wù)器；

本實(shí)施例中，第二終端可以將上述生成的第二簽名結(jié)果發(fā)送給服務(wù)器，可以理解的是，第二終端也可以通過(guò)GPRS網(wǎng)絡(luò)將該第二簽名結(jié)果發(fā)送至服務(wù)器。

306、服務(wù)器驗(yàn)簽第二簽名結(jié)果；

本實(shí)施例中，服務(wù)器可以驗(yàn)簽該第二簽名結(jié)果，其驗(yàn)簽方式可以是使用第二終端的設(shè)備公鑰驗(yàn)簽該第二簽名結(jié)果，該設(shè)備公鑰可以是上述服務(wù)器通過(guò)設(shè)備序列號(hào)查詢到的。需要說(shuō)明的是，服務(wù)器驗(yàn)簽第二簽名結(jié)果的算法具體可以是，通過(guò)設(shè)備公鑰對(duì)該第二簽名結(jié)果進(jìn)行驗(yàn)簽，得到挑戰(zhàn)碼的摘要，再通過(guò)MD5消息摘要算法對(duì)挑戰(zhàn)碼計(jì)算得到摘要，服務(wù)器將計(jì)算得到的摘要與驗(yàn)簽得到的挑戰(zhàn)碼的摘要進(jìn)行比對(duì)，若對(duì)比結(jié)果為二者的摘要一致，則驗(yàn)簽成功。

需要說(shuō)明的是，若服務(wù)器使用設(shè)備公鑰驗(yàn)簽成功，，該服務(wù)器可以確認(rèn)第二終端提交的上線注冊(cè)請(qǐng)求，服務(wù)器可以與第二終端建立通信連接，該通信連接也可以是GPRS通信連接；若服務(wù)器使用設(shè)備公鑰驗(yàn)簽失敗，即對(duì)比失敗，該服務(wù)器可以拒絕該第二終端提交的上線注冊(cè)請(qǐng)求，從而不與第二終端建立通信連接。

307、服務(wù)器將驗(yàn)簽結(jié)果反饋給第二終端。

本實(shí)施例中，服務(wù)器可以在使用設(shè)備公鑰驗(yàn)簽成功時(shí)，生成驗(yàn)簽成功結(jié)果；或者，服務(wù)器可以在使用設(shè)備公鑰驗(yàn)簽失敗時(shí)，可以生成驗(yàn)簽失敗結(jié)果。服務(wù)器可以將該驗(yàn)簽成功結(jié)果反饋給第二終端，或者服務(wù)器可以將該驗(yàn)簽失敗結(jié)果反饋給第二終端。

可以理解的是，服務(wù)器也可以通過(guò)GPRS網(wǎng)絡(luò)將驗(yàn)簽成功結(jié)果或者驗(yàn)簽失敗結(jié)果反饋給第二終端。

可以理解的是，第二終端在接收到服務(wù)器反饋的驗(yàn)簽成功結(jié)果或者驗(yàn)簽失敗結(jié)果之后，可以第二終端的顯示屏上顯示該驗(yàn)簽成功結(jié)果，或者，顯示該驗(yàn)簽失敗結(jié)果。

上面對(duì)本發(fā)明實(shí)施例中的安全認(rèn)證方法進(jìn)行了描述，下面對(duì)本發(fā)明實(shí)施例中第二終端側(cè)的安全認(rèn)證設(shè)備進(jìn)行描述，請(qǐng)參閱圖4，本發(fā)明實(shí)施例中安全認(rèn)證設(shè)備一個(gè)實(shí)施例包括：

第一接收模塊401，用于當(dāng)?shù)谝唤K端向服務(wù)器提交業(yè)務(wù)請(qǐng)求后，接收服務(wù)器發(fā)送的業(yè)務(wù)信息，該業(yè)務(wù)信息由服務(wù)器根據(jù)業(yè)務(wù)請(qǐng)求生成；

第一生成模塊402，用于根據(jù)業(yè)務(wù)信息生成第一簽名結(jié)果；

反饋模塊403，用于將第一簽名結(jié)果反饋至服務(wù)器，以使得服務(wù)器根據(jù)第一簽名結(jié)果處理業(yè)務(wù)請(qǐng)求。

可選的，本實(shí)施例中安全認(rèn)證設(shè)備還可以包括：

第一發(fā)送模塊404，用于向服務(wù)器發(fā)送上線注冊(cè)請(qǐng)求，以使得服務(wù)器根據(jù)上線注冊(cè)請(qǐng)求與安全認(rèn)證設(shè)備建立通信連接。

可選的，本實(shí)施例中安全認(rèn)證設(shè)備還可以包括：

第二接收模塊405，用于接收服務(wù)器發(fā)送的挑戰(zhàn)碼，該挑戰(zhàn)碼是由服務(wù)器根據(jù)上線注冊(cè)請(qǐng)求生成的隨機(jī)數(shù)；

第二生成模塊406，用于根據(jù)挑戰(zhàn)碼生成第二簽名結(jié)果；

第二發(fā)送模塊407，用于將第二簽名結(jié)果發(fā)送至服務(wù)器，以使得服務(wù)器根據(jù)第二簽名結(jié)果確定與安全認(rèn)證設(shè)備建立通信連接。

可選的，本實(shí)施例中第二生成模塊406具體用于

通過(guò)設(shè)備私鑰對(duì)挑戰(zhàn)碼進(jìn)行簽名生成第二簽名結(jié)果，該設(shè)備私鑰由安全認(rèn)證設(shè)備的設(shè)備頒發(fā)方在頒發(fā)安全認(rèn)證設(shè)備時(shí)于安全認(rèn)證設(shè)備內(nèi)部產(chǎn)生，并保存于安全認(rèn)證設(shè)備中。

可選的，本實(shí)施例中第一生成模塊402具體用于

顯示業(yè)務(wù)信息；

當(dāng)用戶操作安全認(rèn)證設(shè)備時(shí)，接收用戶輸入的操作指令；

根據(jù)操作指令對(duì)業(yè)務(wù)信息進(jìn)行簽名生成第一簽名結(jié)果。

可選的，本實(shí)施例中第一生成模塊402具體用于

通過(guò)簽名私鑰對(duì)業(yè)務(wù)信息進(jìn)行簽名生成第一簽名結(jié)果，該簽名私鑰由安全認(rèn)證設(shè)備向證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)時(shí)于安全認(rèn)證設(shè)備內(nèi)部生成，并保存在安全認(rèn)證設(shè)備內(nèi)部。

下面對(duì)本發(fā)明實(shí)施例中服務(wù)器側(cè)的認(rèn)證服務(wù)器進(jìn)行描述，請(qǐng)參閱圖5，本發(fā)明實(shí)施例中認(rèn)證服務(wù)器一個(gè)實(shí)施例包括：

第一接收模塊501，用于接收第一終端提交的業(yè)務(wù)請(qǐng)求；

第一發(fā)送模塊502，用于根據(jù)業(yè)務(wù)請(qǐng)求向第二終端發(fā)送業(yè)務(wù)信息；

第二接收模塊503，用于接收第二終端反饋的第一簽名結(jié)果，該第一簽名結(jié)果由第二終端根據(jù)業(yè)務(wù)信息生成；

處理模塊504，用于根據(jù)第一簽名結(jié)果處理業(yè)務(wù)請(qǐng)求。

可選的，本實(shí)施例中認(rèn)證服務(wù)器還可以包括：

第三接收模塊505，用于接收第二終端發(fā)送的上線注冊(cè)請(qǐng)求；

確定模塊506，用于根據(jù)上線注冊(cè)請(qǐng)求確定與第二終端建立通信連接。

可選的，本實(shí)施例中確定模塊506可以包括：

生成單元5061，用于根據(jù)上線注冊(cè)請(qǐng)求生成挑戰(zhàn)碼，該挑戰(zhàn)碼為隨機(jī)數(shù)；

發(fā)送單元5062，用于將挑戰(zhàn)碼發(fā)送至第二終端；

接收單元5063，用于接收第二終端反饋的第二簽名結(jié)果，該第二簽名結(jié)果由第二終端根據(jù)挑戰(zhàn)碼生成；

確定單元5064，用于根據(jù)第二簽名結(jié)果確定與第二終端建立通信連接。

可選的，本實(shí)施例中確定單元5064具體用于

通過(guò)第二終端的設(shè)備公鑰對(duì)第二簽名結(jié)果進(jìn)行驗(yàn)簽，該設(shè)備公鑰由第二終端的設(shè)備頒發(fā)方在設(shè)備頒發(fā)第二終端時(shí)于第二終端設(shè)備內(nèi)部產(chǎn)生，由第二終端設(shè)備頒發(fā)機(jī)構(gòu)頒發(fā)并保存至該認(rèn)證服務(wù)器；

當(dāng)?shù)诙灻Y(jié)果驗(yàn)簽通過(guò)時(shí)，確定與第二終端建立通信連接。

可選的，本實(shí)施例中處理模塊504具體用于

通過(guò)簽名公鑰對(duì)第一簽名結(jié)果進(jìn)行驗(yàn)簽，該簽名公鑰由第二終端設(shè)備向證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)時(shí)于第二終端設(shè)備內(nèi)部生成并導(dǎo)出到證書(shū)頒發(fā)機(jī)構(gòu)，該證書(shū)頒發(fā)機(jī)構(gòu)根據(jù)簽名公鑰產(chǎn)生數(shù)字證書(shū)，并保存在該認(rèn)證服務(wù)器；

生成驗(yàn)簽結(jié)果，該驗(yàn)簽結(jié)果包括：

當(dāng)?shù)谝缓灻Y(jié)果驗(yàn)簽通過(guò)時(shí)，執(zhí)行第一終端的業(yè)務(wù)請(qǐng)求；

當(dāng)?shù)谝缓灻Y(jié)果驗(yàn)簽未通過(guò)時(shí)，則不執(zhí)行第一終端的業(yè)務(wù)請(qǐng)求。

可選的，本實(shí)施例中認(rèn)證服務(wù)器還包括：

第二發(fā)送模塊507，用于向第一終端發(fā)送驗(yàn)簽結(jié)果，以使得第一終端顯示驗(yàn)簽結(jié)果。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡(jiǎn)潔，上述描述的系統(tǒng)，裝置和單元的具體工作過(guò)程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程，在此不再贅述。

在本發(fā)明所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過(guò)其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：U盤(pán)、移動(dòng)硬盤(pán)、只讀存儲(chǔ)器(ROM，Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM，Random Access Memory)、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述，以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案，而非對(duì)其限制；盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。