本发明涉及安全,尤其涉及一种身份认证方法、安全模组、sim卡及系统。
背景技术:
1、目前数字身份核验场景下的用户的实人认证均需由后台系统完成,且数据加解密由终端软件或后台完成,其加解密密钥存储在终端或后台,数字身份实人核验业务需要完成用户生物特征信息比对及身份数据解析,传输数据量大,将数据传输至后台系统需要对大量数据进行加解密,且数据经后台流转导致业务耗时较长,用户体验差。同时数据上传时,由终端软件完成数据加解密的方案安全级别低,可以通过软件攻破、图像信息截取等方式进行信息盗用,且终端软件更新时可能导致加解密密钥被擦除,重新写入密钥的过程会造成新的密钥泄露风险。由云端或服务器完成数据加解密和实人比对的方案在实际使用时必须连接网络,无法适用于离线场景,且相应的隐私数据经多方存储及流转,信息安全无法保障。
技术实现思路
1、本发明的主要目的在于提供一种身份认证方法、安全模组、sim卡及系统,旨在解决现有技术中无法进行数字身份离线认证且认证过程中安全级别较低的技术问题。
2、为实现上述目的,本发明提供了一种身份认证方法,应用于安全模组,所述身份认证方法,包括:
3、根据加密初始指令中的第一随机数和sim卡反馈的解密数据中的第二随机数进行安全运算,得到身份认证密钥;
4、根据所述身份认证密钥对身份数据读取指令进行加密,确定加密读取指令;
5、发送所述加密读取指令至所述sim卡,以使所述sim卡对所述加密读取指令中的消息认证码进行验证,在验证通过时反馈身份加密数据;
6、根据所述身份加密数据和目标用户的生物特征值进行身份认证。
7、可选地,所述根据加密初始指令中的第一随机数和sim卡反馈的解密数据中的第二随机数进行安全运算,得到身份认证密钥之前,还包括:
8、在接收到身份初始指令时,根据所述身份初始指令中的第一随机数对预设密钥进行分散,得到过程密钥;
9、根据所述过程密钥对所述身份初始指令进行加密,生成加密初始指令;
10、发送所述加密初始指令至sim卡,以使所述sim卡对所述加密初始指令中的消息认证码进行验证,在验证通过时,反馈初始加密数据;
11、根据所述初始加密数据中的消息认证码进行验证,在验证通过时对所述初始加密数据进行解密,得到解密数据。
12、可选地,所述根据所述身份加密数据和目标用户的生物特征值进行身份认证,包括:
13、对所述身份加密数据进行解密,得到用户身份数据;
14、获取认证终端通过spi接口发送的目标用户的生物特征值,所述生物特征值是所述认证终端对采集到所述目标用户的生物信息进行转换得到的;
15、将所述生物特征值和所述用户身份数据进行比对;
16、根据比对结果完成所述目标用户的身份认证。
17、可选地,所述根据比对结果完成所述目标用户的身份认证之后,还包括:
18、在身份认证通过时,对用户身份数据进行解密,得到身份明文信息;
19、发送所述身份明文信息至所述认证终端,以使所述认证终端根据所述身份明文信息确定认证结束。
20、此外,为实现上述目的,本发明还提供了一种身份认证方法,应用于sim卡,所述身份认证方法,包括:
21、在接收到安全模组发送的加密初始指令时,根据所述加密初始指令中的消息认证码进行验证;
22、在验证通过时,根据所述加密初始指令中的过程密钥对第二随机数进行加密,生成初始加密数据;
23、发送所述初始加密数据至所述安全模组,以使所述安全模组对所述初始加密数据进行解密,得到解密数据,根据所述加密初始指令中的第一随机数和所述解密数据中的第二随机数生成身份认证密钥,根据所述身份认证密钥对身份数据读取指令进行加密,确定加密读取指令并反馈;
24、根据所述加密读取指令中的消息认证码进行验证;
25、在验证通过时,根据所述身份认证密钥生成身份加密数据,并发送所述身份加密数据至所述安全模组,以使所述安全模组根据所述身份加密数据和目标用户的生物特征值进行身份认证。
26、可选地,所述根据所述加密初始指令中的消息认证码进行验证,包括:
27、获取当前密钥版本;
28、根据所述初始加密指令中的第一随机数和所述当前密钥版本进行认证码计算,确定计算认证码;
29、将所述计算认证码和所述加密初始指令中的消息认证码进行比对,根据比对结果确定是否验证通过。
30、可选地,所述根据所述身份认证密钥生成身份加密数据,包括:
31、根据所述加密读取指令确定读取模式;
32、根据所述读取模式进行数据组织,确定读取身份数据;
33、根据所述身份认证密钥对所述读取身份数据进行加密,生成身份加密数据。
34、此外,为实现上述目的,本发明还提出一种安全模组,所述一种安全模组包括:
35、运算模块,用于根据加密初始指令中的第一随机数和sim卡反馈的解密数据中的第二随机数进行安全运算,得到身份认证密钥;
36、加密模块,用于根据所述身份认证密钥对身份数据读取指令进行加密,确定加密读取指令;
37、发送模块,用于发送所述加密读取指令至所述sim卡,以使所述sim卡对所述加密读取指令中的消息认证码进行验证,在验证通过时反馈身份加密数据;
38、认证模块,用于根据所述身份加密数据和目标用户的生物特征值进行身份认证。
39、此外,为实现上述目的,本发明还提出一种sim卡,所述sim卡包括:
40、发送模块,用于发送所述初始加密数据至所述安全模组,以使所述安全模组对所述初始加密数据进行解密,得到解密数据,根据所述加密初始指令中的第一随机数和所述解密数据中的第二随机数生成身份认证密钥,根据所述身份认证密钥对身份数据读取指令进行加密,确定加密读取指令并反馈;
41、所述验证模块,还用于根据所述加密读取指令中的消息认证码进行验证;
42、生成模块,用于在验证通过时,根据所述身份认证密钥生成身份加密数据,并发送所述身份加密数据至所述安全模组,以使所述安全模组根据所述身份加密数据和目标用户的生物特征值进行身份认证。
43、此外,为实现上述目的,本发明还提出一种身份认证系统,所述身份认证系统包括如上文所述的安全模组和如上文所述的sim卡。
44、本发明应用于安全模组,所述安全模组由带有spi接口的安全芯片构成,所述spi接口中包含int控制引脚,所述身份认证方法包括:根据加密初始指令中的第一随机数和sim卡反馈的解密数据中的第二随机数进行安全运算,得到身份认证密钥;根据所述身份认证密钥对身份数据读取指令进行加密,确定加密读取指令;发送所述加密读取指令至所述sim卡,以使所述sim卡对所述加密读取指令中的消息认证码进行验证,在验证通过时反馈身份加密数据;根据所述身份加密数据和目标用户的生物特征值进行身份认证。通过上述方式,根据加密初始指令中的第一随机数和sim卡反馈的解密数据中的第二随机数进行安全运算,基于身份认证密钥对身份数据读取指令进行加密,发送加密读取指令至sim卡,sim卡进行安全验证,在验证通过时反馈加密数据,安全模组基于身份加密数据和目标用户的生物特征值进行身份认证,不仅缩短了业务耗时时间和身份认证时间,同时保证了身份认证的安全性,并实现了数字身份离线实人认证,提升了用户体验感受。
1.一种身份认证方法,其特征在于,应用于安全模组,所述安全模组由带有spi接口的安全芯片构成,所述spi接口中包含int控制引脚,所述身份认证方法包括:
2.如权利要求1所述的身份认证方法,其特征在于,所述根据加密初始指令中的第一随机数和sim卡反馈的解密数据中的第二随机数进行安全运算,得到身份认证密钥之前,还包括:
3.如权利要求1所述的身份认证方法,其特征在于,所述根据所述身份加密数据和目标用户的生物特征值进行身份认证,包括:
4.如权利要求3中所述的身份认证方法,其特征在于,所述根据比对结果完成所述目标用户的身份认证之后,还包括:
5.一种身份认证方法,其特征在于,应用于sim卡,所述身份认证方法包括:
6.如权利要求5所述的身份认证方法,其特征在于,所述根据所述加密初始指令中的消息认证码进行验证,包括:
7.如权利要求5所述的身份认证方法,其特征在于,所述根据所述身份认证密钥生成身份加密数据,包括:
8.一种安全模组,其特征在于,所述安全模组包括:
9.一种sim卡,其特征在于,所述sim卡包括:
10.一种身份认证系统,其特征在于,所述身份认证系统包括如权利要求8所述的安全模组和如权利要求9所述的sim卡。
