本發(fā)明涉及移動支付安全通信技術(shù)領(lǐng)域，具體涉及一種基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)及方法。

背景技術(shù)：

在互聯(lián)網(wǎng)金融迅猛發(fā)展的背景下，移動互聯(lián)網(wǎng)正滲透到各個行業(yè)領(lǐng)域。隨著手機(jī)及其它移動終端的普及、移動支付市場的日漸成熟，越來越多的用戶選擇在移動端辦理金融業(yè)務(wù)。與此同時，在移動終端辦理金融業(yè)務(wù)，用戶身份認(rèn)證及數(shù)據(jù)認(rèn)證則是保障金融應(yīng)用安全的第一道環(huán)節(jié)，是其他安全機(jī)制的基礎(chǔ)，這就使得移動端用戶身份識別及交易安全保護(hù)問題已經(jīng)成為移動互聯(lián)網(wǎng)金融亟待解決的關(guān)鍵性問題。

基于現(xiàn)有手機(jī)基帶芯片，大部分手機(jī)客戶端應(yīng)用均無法直接訪問SIM卡，并無法通過客戶現(xiàn)有SIM卡來實現(xiàn)交易簽名或驗簽?，F(xiàn)有手機(jī)客戶端主要通過手機(jī)短信驗證碼、動態(tài)密碼器、外接音頻盾/藍(lán)牙盾方式識別用戶身份。在小額支付領(lǐng)域，目前普遍采用的是手機(jī)短信驗證碼的身份認(rèn)證方式，這種方式的優(yōu)勢在于便利性高、成本低、易于推廣普及，但是這種方式存在很大安全隱患：因短信下發(fā)過程中未采用加密技術(shù)，易發(fā)生短信在途攻擊、惡意轉(zhuǎn)發(fā)、短信攔截、短信篡改等風(fēng)險，而且接收短信的客戶，無法保證就是客戶本人，一旦手機(jī)卡被復(fù)制或驗證短信被劫持轉(zhuǎn)發(fā)，則會導(dǎo)致用戶的手機(jī)銀行被非法盜用。對于手機(jī)外接音頻盾/藍(lán)牙盾實現(xiàn)身份認(rèn)證的方式安全性比較高，但是手機(jī)外接額外設(shè)備其便利性與適配性不高、總體成本高、不易于大規(guī)模推廣普及。與此同時，現(xiàn)有基于短信及專用動態(tài)密碼設(shè)備的身份驗證方式，在客戶端一般采用軟算法進(jìn)行簽名和加密，密鑰及密碼運算過程均存在數(shù)據(jù)泄露和惡意攻擊風(fēng)險，無法保證用戶所見即所簽。

技術(shù)實現(xiàn)要素：

針對上述技術(shù)問題，本發(fā)明提供了一種功能擴(kuò)展SIM卡、基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)及方法，主要應(yīng)用在交易的簽名驗證、登錄及交易過程中的實名身份認(rèn)證等領(lǐng)域，目的在于減少短信在途截獲及篡改攻擊的風(fēng)險，提升交易過程的安全性；與此同時，本發(fā)明無需額外設(shè)備投入，僅通過更換SIM卡即可低成本實現(xiàn)全部移動終端的通用性，在安全性得到明顯提升的同時，可實現(xiàn)低成本、快速接入現(xiàn)有手機(jī)銀行及移動互聯(lián)網(wǎng)金融應(yīng)用，因而這種方案具有安全性高、成本低、便利性高、通用性強(qiáng)的優(yōu)勢。

具體地，本發(fā)明提供了一種基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)，其特征在于，包括功能擴(kuò)展SIM卡、移動終端應(yīng)用程序、云端服務(wù)器，所述功能擴(kuò)展SIM卡包括安全芯片、蜂鳴器、指示燈，所述安全芯片由控制模塊與安全處理模塊集成，且所述功能擴(kuò)展SIM卡中安裝有基于JAVA平臺操作系統(tǒng)、認(rèn)證應(yīng)用、STK應(yīng)用和多應(yīng)用管理平臺，所述云端服務(wù)器包括認(rèn)證服務(wù)器、CA服務(wù)器、業(yè)務(wù)服務(wù)器；所述認(rèn)證服務(wù)器用于所述認(rèn)證應(yīng)用的管理，所述CA服務(wù)器用于證書的生成與管理，所述業(yè)務(wù)服務(wù)器用于銀行或需要認(rèn)證業(yè)務(wù)的第三方應(yīng)用的管理；所述基于JAVA平臺操作系統(tǒng)用于向所述認(rèn)證應(yīng)用、所述STK應(yīng)用及所述多應(yīng)用管理平臺提供運行環(huán)境及API接口，所述多應(yīng)用管理平臺用于所述認(rèn)證應(yīng)用和STK應(yīng)用的安全及管理，所述認(rèn)證應(yīng)用用于進(jìn)行簽名認(rèn)證，安裝于所述控制模塊中所述STK應(yīng)用用于所述功能擴(kuò)展SIM卡內(nèi)數(shù)據(jù)的輸入輸出，在交易過程中通過所述STK應(yīng)用進(jìn)行交易確認(rèn)和客戶身份驗證，并根據(jù)交易內(nèi)容產(chǎn)生相關(guān)控制指令，控制蜂鳴器的發(fā)聲，并通過指示燈指示所述功能擴(kuò)展SIM卡的工作狀態(tài)。

本發(fā)明還提供了一種基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的認(rèn)證方法，利用上述基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)進(jìn)行認(rèn)證，包括以下步驟：

步驟S101：用戶通過移動終端應(yīng)用程序發(fā)出數(shù)據(jù)認(rèn)證請求；

步驟S102：所述移動終端應(yīng)用程序校驗功能擴(kuò)展SIM卡的應(yīng)用下載狀態(tài)，移動終端應(yīng)用程序向功能擴(kuò)展SIM卡發(fā)送校驗是否下載認(rèn)證應(yīng)用指令，功能擴(kuò)展SIM卡返回當(dāng)前應(yīng)用狀態(tài)給移動終端應(yīng)用程序；

步驟S103：若認(rèn)證應(yīng)用已下載，轉(zhuǎn)入步驟s605，否則，轉(zhuǎn)入步驟S104；

步驟S104：移動終端應(yīng)用程序向云端服務(wù)器中認(rèn)證服務(wù)器發(fā)出認(rèn)證應(yīng)用下載申請，下載認(rèn)證應(yīng)用到功能擴(kuò)展SIM卡中；

步驟S105：移動終端應(yīng)用程序向功能擴(kuò)展SIM卡發(fā)送校驗證書狀態(tài)指令，功能擴(kuò)展SIM卡返回當(dāng)前用戶證書狀態(tài)，移動終端應(yīng)用程序校驗證書下載狀態(tài)，若已下載證書且證書有效，轉(zhuǎn)入步驟S107，否則，轉(zhuǎn)入步驟S106；

步驟S106：移動終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出用戶證書下載申請，下載用戶證書到功能擴(kuò)展SIM卡中；

步驟S107：移動終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出交易認(rèn)證請求；

步驟S108：認(rèn)證服務(wù)器產(chǎn)生身份驗證的動態(tài)驗證碼，并用服務(wù)器私鑰進(jìn)行簽名，然后將動態(tài)驗證碼、簽名數(shù)據(jù)及服務(wù)器證書一起通過功能擴(kuò)展SIM卡的安全傳輸通道以數(shù)據(jù)短信方式發(fā)送給功能擴(kuò)展SIM卡；

步驟S109：功能擴(kuò)展SIM卡接收到數(shù)據(jù)后，安全芯片中安全處理模塊使用安全芯片內(nèi)存儲的CA證書對服務(wù)器證書進(jìn)行驗證，若驗證通過，從服務(wù)器證書中讀取服務(wù)器公鑰，用服務(wù)器的公鑰對接收到的動態(tài)驗證碼數(shù)據(jù)進(jìn)行驗簽，驗證服務(wù)器的身份；

步驟S110：若驗證通過，功能擴(kuò)展SIM卡通過蜂鳴器給出驗證通過提示音，轉(zhuǎn)入步驟s611,否則，通過指示燈給出失敗提示顯示，轉(zhuǎn)入步驟S117；

步驟S111：功能擴(kuò)展SIM卡通過STK應(yīng)用將動態(tài)驗證碼及交易信息通知用戶；

步驟S112：用戶通過STK應(yīng)用確認(rèn)交易或客戶身份，用戶的確認(rèn)信息通過STK應(yīng)用輸入到認(rèn)證應(yīng)用程序；

步驟S113：功能擴(kuò)展SIM卡的安全處理模塊通過認(rèn)證應(yīng)用程序?qū)τ脩舻膭討B(tài)驗證碼用安全芯片中存儲的私鑰進(jìn)行簽名，然后將功能擴(kuò)展SIM卡的用戶證書及簽名數(shù)據(jù)基于移動通信網(wǎng)絡(luò)，并通過安全數(shù)據(jù)短信方式，發(fā)送給認(rèn)證服務(wù)器；

步驟S114：認(rèn)證服務(wù)器接收到數(shù)據(jù)后，先用服務(wù)器端CA證書對功能擴(kuò)展SIM卡的用戶證書進(jìn)行驗證，若驗證通過，從功能擴(kuò)展SIM卡的用戶證書中提取公鑰，用功能擴(kuò)展SIM卡用戶證書的公鑰對接收到的數(shù)據(jù)進(jìn)行驗簽，驗證客戶身份；

步驟S115：若驗證通過，轉(zhuǎn)入步驟S116,否則，轉(zhuǎn)入步驟S118；

步驟S116：認(rèn)證服務(wù)器返回驗證通過信息給移動終端應(yīng)用程序，移動終端應(yīng)用程序向業(yè)務(wù)服務(wù)器發(fā)出下一步交易請求，開始業(yè)務(wù)交易；

步驟S117：功能擴(kuò)展SIM卡返回驗證失敗信息給移動終端應(yīng)用程序；

步驟S118：認(rèn)證服務(wù)器返回驗證失敗信息給移動終端應(yīng)用程序；

步驟S119：移動終端應(yīng)用程序給出錯誤提示，數(shù)據(jù)認(rèn)證流程結(jié)束。

作為優(yōu)選，步驟S104中，下載認(rèn)證應(yīng)用到功能擴(kuò)展SIM卡中的步驟包括：

步驟S201：用戶通過移動終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出認(rèn)證應(yīng)用下載申請；

步驟S202：認(rèn)證服務(wù)器通過數(shù)據(jù)短信方式將認(rèn)證應(yīng)用下載到功能擴(kuò)展SIM卡；

步驟S203：在功能擴(kuò)展SIM卡上完成認(rèn)證應(yīng)用的下載安裝后，功能擴(kuò)展SIM卡通過數(shù)據(jù)短信方式響應(yīng)認(rèn)證應(yīng)用的下載與安裝結(jié)果；

步驟S204：移動終端應(yīng)用程序接收功能擴(kuò)展SIM卡返回的應(yīng)用下載安裝結(jié)果進(jìn)行判斷；

步驟S205：若認(rèn)證應(yīng)用安裝成功，跳轉(zhuǎn)到步驟S206,若安裝失敗，流程結(jié)束；

步驟S206：移動終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出應(yīng)用初始化申請。

作為優(yōu)選，步驟S106中，下載用戶證書到功能擴(kuò)展SIM卡中的步驟包括：

步驟S301：用戶通過移動終端應(yīng)用程序向認(rèn)證服務(wù)器發(fā)出證書下載申請；

步驟S302：認(rèn)證服務(wù)器向CA服務(wù)器發(fā)出用戶證書下載申請；

步驟S303：CA服務(wù)器生成用戶證書并將證書發(fā)送給認(rèn)證服務(wù)器；

步驟S304：認(rèn)證服務(wù)器通過數(shù)據(jù)短信方式將證書下載到功能擴(kuò)展SIM卡；

步驟S305：功能擴(kuò)展SIM卡通過數(shù)據(jù)短信方式響應(yīng)證書下載結(jié)果。

本發(fā)明技術(shù)方案，具有如下優(yōu)點：

本發(fā)明提供的基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的實現(xiàn)方案，創(chuàng)新的通過手機(jī)中的SIM卡來實現(xiàn)簽名與驗簽，充分發(fā)揮SIM卡硬件簽名安全機(jī)制，交易過程中服務(wù)器產(chǎn)生身份驗證的動態(tài)驗證碼，由SIM卡的安全數(shù)據(jù)通道傳輸，通過STK應(yīng)用通知直達(dá)用戶，提升交易安全。因無需額外設(shè)備只需更換SIM卡(換卡不換號)即可實現(xiàn)全部移動終端通用，在安全性得到明顯提升的同時，可實現(xiàn)低成本、快速接入手機(jī)銀行應(yīng)用，因而這種方案具有安全性高、成本低、便利性高、通用性強(qiáng)的優(yōu)勢，具體如下：

安全性高：基于云端+數(shù)據(jù)短信的方式實現(xiàn)與SIM卡的交互，基于SIM卡內(nèi)置SE數(shù)據(jù)短信通道，與服務(wù)器進(jìn)行雙向身份認(rèn)證，建立安全傳輸通道，充分發(fā)揮SIM卡的硬件簽名安全機(jī)制，實現(xiàn)SIM卡一對一、雙向?qū)嵜J(rèn)證，提升安全性，同時，服務(wù)器產(chǎn)生的動態(tài)驗證碼，通過SIM卡安全數(shù)據(jù)通道傳輸，極大的減少短信在途截獲及篡改攻擊的風(fēng)險，基于SE的安全運算功能及雙向確認(rèn)機(jī)制，通過引入TOKEN機(jī)制實現(xiàn)會話密鑰一次一協(xié)商，增強(qiáng)認(rèn)證安全性，另外，交易過程中引入STK程序進(jìn)行交易確認(rèn)和客戶身份驗證，交易報文信息與交易確認(rèn)、身份驗證信息傳輸通道分離提升安全性；

成本低：僅需更換SIM卡(換卡不換號)，無需更換移動終端或接入其它額外設(shè)備即可實現(xiàn)全部移動終端通用，實現(xiàn)成本很低；

便利性高，通用性強(qiáng)：交易過程中增加客戶短信確認(rèn)過程，與現(xiàn)有短信驗證方式客戶體驗基本不變；與此同時，因本方案可與市場上現(xiàn)有手機(jī)實現(xiàn)完全適配，兼容性好，在安全性得到明顯提升的同時，可實現(xiàn)低成本、快速接入現(xiàn)有移動互聯(lián)網(wǎng)應(yīng)用，通用、便利及安全“魚與熊掌兼得”。

附圖說明

為了更清楚地說明本發(fā)明具體實施方式或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對具體實施方式或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施方式，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明提供的一種基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)示意圖；

圖2為圖1中擴(kuò)展SIM卡的硬件結(jié)構(gòu)示意圖；

圖3為圖2中擴(kuò)展SIM卡的邏輯處理結(jié)構(gòu)示意圖；

圖4為本發(fā)明提供的一種基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證過程的認(rèn)證方法的流程示意圖；

圖5為圖4提供的認(rèn)證方法中應(yīng)用下載流程示意圖；

圖6為圖4提供的認(rèn)證方法中證書下載流程示意圖。

具體實施方式

下面將結(jié)合附圖對本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明提供了一種基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)，主要通過基于安全數(shù)據(jù)短信的方式實現(xiàn)與功能擴(kuò)展SIM卡的交互，基于功能擴(kuò)展SIM卡內(nèi)置安全芯片數(shù)據(jù)短信通道，與服務(wù)器端建立安全傳輸通道，充分發(fā)揮功能擴(kuò)展SIM卡硬件簽名安全機(jī)制。同時，在交易過程中引入STK程序進(jìn)行交易確認(rèn)和客戶身份驗證，交易報文信息與交易確認(rèn)、身份驗證信息傳輸通道分離提升安全性，交易過程中服務(wù)器產(chǎn)生身份驗證的動態(tài)驗證碼，由功能擴(kuò)展SIM卡的安全數(shù)據(jù)通道傳輸，通過STK應(yīng)用通知直達(dá)用戶，提升交易安全?；诎踩酒陌踩\算功能及雙向確認(rèn)機(jī)制，通過引入TOKEN機(jī)制實現(xiàn)雙向會話密鑰一次一協(xié)商，增強(qiáng)認(rèn)證安全性，基于云端服務(wù)器實現(xiàn)在線實時+實名掛失。

下面結(jié)合附圖對本發(fā)明技術(shù)方案進(jìn)行詳細(xì)說明。

如圖1所示，本實施例提供的基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的系統(tǒng)包括功能擴(kuò)展SIM卡11、移動終端應(yīng)用程序12、云端服務(wù)器13，所述云端服務(wù)器13包括認(rèn)證服務(wù)器130、CA服務(wù)器131、業(yè)務(wù)服務(wù)器132。

所述移動終端應(yīng)用程序12是安裝在移動終端例如手機(jī)上的一個應(yīng)用軟件程序，即APP，主要負(fù)責(zé)提供顯示界面及與功能擴(kuò)展SIM卡11和云端服務(wù)器13通信。移動終端應(yīng)用程序12通過數(shù)據(jù)短信方式與功能擴(kuò)展SIM卡11通信，通過無線網(wǎng)絡(luò)與云端服務(wù)器13通信。

所述云端服務(wù)器13是多臺服務(wù)器組成的一個資源池。其中，認(rèn)證服務(wù)器130主要功能是負(fù)責(zé)認(rèn)證應(yīng)用1104的管理、認(rèn)證應(yīng)用1104的下載安裝業(yè)務(wù)流程、交易的簽名認(rèn)證流程，產(chǎn)生手機(jī)動態(tài)驗證碼等。CA服務(wù)器131負(fù)責(zé)證書的生成與管理。業(yè)務(wù)服務(wù)器132負(fù)責(zé)銀行或需要認(rèn)證業(yè)務(wù)的第三方應(yīng)用的管理。所述云端服務(wù)器13通過移動終端應(yīng)用程序12可以與功能擴(kuò)展SIM卡11進(jìn)行雙向認(rèn)證，建立安全通道進(jìn)行安全通信。

如圖2所示，功能擴(kuò)展SIM卡11包括安全芯片110、蜂鳴器111及指示燈112。

所述安全芯片110，是整個產(chǎn)品的核心部件，由控制模塊1101與安全處理模塊1102集成。

所述安全處理模塊1102，是整個安全芯片110的核心，一方面，負(fù)責(zé)與移動終端設(shè)備之間的通信與數(shù)據(jù)傳輸；另一方面，負(fù)責(zé)存放和執(zhí)行軟件程序代碼，數(shù)據(jù)加解密、數(shù)據(jù)存儲及數(shù)據(jù)通信等安全操作，并將相關(guān)控制指傳發(fā)送至控制模塊1101。

所述控制模塊1101，發(fā)揮模塊通信及控制的功能，是功能擴(kuò)展SIM卡11內(nèi)各個模塊協(xié)同工作的通訊中心，可通過安全處理模塊1102發(fā)送的控制指令驅(qū)動和控制各個工作模塊執(zhí)行任務(wù)，主要包括蜂鳴器111及指示燈112的管理及控制，控制指令由安全處理模塊統(tǒng)一生成。

所述蜂鳴器111主要是用來為功能擴(kuò)展SIM卡11提供聲音提示，通過蜂鳴器的鳴叫可提示功能擴(kuò)展SIM卡11的當(dāng)前的工作狀態(tài)。

所述指示燈112主要是用來表示功能擴(kuò)展SIM卡11的當(dāng)前狀態(tài)，包括但不局限于通過指示燈的燈光顏色、燈光亮滅、燈光閃爍來表示功能擴(kuò)展SIM卡11的當(dāng)前工作狀態(tài)。

如圖3所示是功能擴(kuò)展SIM卡11的系統(tǒng)邏輯處理結(jié)構(gòu)示意圖。所述功能擴(kuò)展SIM卡11包括基于JAVA平臺操作系統(tǒng)1106、認(rèn)證應(yīng)用1104、STK應(yīng)用1103及多應(yīng)用管理平臺1105。其中，基于JAVA平臺操作系統(tǒng)1106是整個功能擴(kuò)展SIM卡11的操作系統(tǒng)平臺，基于JAVA平臺進(jìn)行構(gòu)建，提供應(yīng)用運行所需的JAVA虛擬機(jī)、JAVA運行環(huán)境及JAVA API，為認(rèn)證應(yīng)用1104、STK應(yīng)用1103及多應(yīng)用管理平臺1105提供運行環(huán)境及API接口。多應(yīng)用管理平臺1105負(fù)責(zé)功能擴(kuò)展SIM卡11的安全域管理及多應(yīng)用管理，可實現(xiàn)各應(yīng)用間的安全隔離及獨立管理，主要負(fù)責(zé)認(rèn)證應(yīng)用1104及STK應(yīng)用1103的安全及管理。認(rèn)證應(yīng)用1104是SIM卡11中的一個應(yīng)用，主要負(fù)責(zé)簽名認(rèn)證功能，可以在功能擴(kuò)展SIM卡11出廠和發(fā)行時預(yù)置認(rèn)證應(yīng)用1104,也可以通過云端服務(wù)器13將認(rèn)證應(yīng)用1104通過數(shù)據(jù)短信的方式下載到功能擴(kuò)展SIM卡11中。STK應(yīng)用1103是功能擴(kuò)展SIM卡11中的應(yīng)用程序，負(fù)責(zé)SIM卡11內(nèi)數(shù)據(jù)的輸入輸出，在交易過程中，可通過STK應(yīng)用1103程序進(jìn)行交易確認(rèn)和客戶身份驗證，同時，根據(jù)交易內(nèi)容產(chǎn)生相關(guān)控制指令，控制蜂鳴器111的發(fā)聲，并通過指示燈112指示功能擴(kuò)展SIM卡11的工作狀態(tài)。

如圖4所示，本發(fā)明還提供的一種基于安全介質(zhì)保密短信實現(xiàn)身份鑒別及數(shù)據(jù)認(rèn)證的認(rèn)證方法，包括以下步驟：

步驟S101：用戶通過移動終端應(yīng)用程序12發(fā)出數(shù)據(jù)認(rèn)證請求；

步驟S102：移動終端應(yīng)用程序12校驗功能擴(kuò)展SIM卡11的應(yīng)用下載狀態(tài)，移動終端應(yīng)用程序12向功能擴(kuò)展SIM卡11發(fā)送校驗是否下載認(rèn)證應(yīng)用指令，功能擴(kuò)展SIM卡11返回當(dāng)前應(yīng)用狀態(tài)給移動終端應(yīng)用程序12；

步驟S103：若認(rèn)證應(yīng)用已下載，轉(zhuǎn)入步驟S105，否則，轉(zhuǎn)入步驟S104；

步驟S104：移動終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出認(rèn)證應(yīng)用下載申請，按照圖5流程下載認(rèn)證應(yīng)用到功能擴(kuò)展SIM卡11中；

步驟S105：移動終端應(yīng)用程序12向功能擴(kuò)展SIM卡11發(fā)送校驗證書狀態(tài)指令，功能擴(kuò)展SIM卡11返回當(dāng)前用戶證書狀態(tài)，移動終端應(yīng)用程序12校驗證書下載狀態(tài)，若已下載證書且證書有效，轉(zhuǎn)入步驟S107，否則，轉(zhuǎn)入步驟S106；

步驟S106：移動終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出用戶證書下載申請，按照圖6流程下載用戶證書到功能擴(kuò)展SIM卡11中；

步驟S107：移動終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出交易認(rèn)證請求；

步驟S108：認(rèn)證服務(wù)器130產(chǎn)生身份驗證的動態(tài)驗證碼，并用服務(wù)器私鑰進(jìn)行簽名，然后將動態(tài)驗證碼、簽名數(shù)據(jù)及服務(wù)器證書一起通過功能擴(kuò)展SIM卡11的安全傳輸通道以數(shù)據(jù)短信方式發(fā)送給功能擴(kuò)展SIM卡11；

步驟S109：功能擴(kuò)展SIM卡11接收到數(shù)據(jù)后，功能擴(kuò)展SIM卡11的安全處理模塊1102使用安全芯片內(nèi)存儲的CA證書對服務(wù)器證書進(jìn)行驗證，若驗證通過，從服務(wù)器證書中讀取服務(wù)器公鑰，用服務(wù)器的公鑰對接收到的動態(tài)驗證碼數(shù)據(jù)進(jìn)行驗簽，驗證服務(wù)器的身份；

步驟S110：若驗證通過，功能擴(kuò)展SIM卡11通過蜂鳴器111給出驗證通過提示音，轉(zhuǎn)入步驟s611,否則，通過指示燈112給出失敗提示顯示，轉(zhuǎn)入步驟S117；

步驟S111：功能擴(kuò)展SIM卡11通過STK應(yīng)用1103將動態(tài)驗證碼及交易信息通知用戶；

步驟S112：用戶通過STK應(yīng)用1103確認(rèn)交易或客戶身份，用戶的確認(rèn)信息通過STK應(yīng)用1103輸入到認(rèn)證應(yīng)用程序；

步驟S113：功能擴(kuò)展SIM卡11的安全處理模塊1102通過認(rèn)證應(yīng)用程序?qū)τ脩舻拇_認(rèn)信息動態(tài)驗證碼用安全芯片中存儲的私鑰進(jìn)行簽名，然后將功能擴(kuò)展SIM卡11的用戶證書及簽名數(shù)據(jù)基于移動通信網(wǎng)絡(luò)，并通過安全數(shù)據(jù)短信方式，發(fā)送給認(rèn)證服務(wù)器130；

步驟S114：認(rèn)證服務(wù)器130接收到數(shù)據(jù)后，先用服務(wù)器端CA證書對功能擴(kuò)展SIM卡11的用戶證書進(jìn)行驗證，若驗證通過，從功能擴(kuò)展SIM卡11的用戶證書中提取公鑰，用功能擴(kuò)展SIM卡11用戶證書的公鑰對接收到的數(shù)據(jù)進(jìn)行驗簽，驗證客戶身份；

步驟S115：若驗證通過，轉(zhuǎn)入步驟S116,否則，轉(zhuǎn)入步驟S118；

步驟S116：認(rèn)證服務(wù)器130返回驗證通過信息給移動終端應(yīng)用程序12，移動終端應(yīng)用程序12向業(yè)務(wù)服務(wù)器132發(fā)出下一步交易請求，開始業(yè)務(wù)交易；

步驟S117：功能擴(kuò)展SIM卡11返回驗證失敗信息給移動終端應(yīng)用程序12；

步驟S118：認(rèn)證服務(wù)器130返回驗證失敗信息給移動終端應(yīng)用程序12；

步驟S119：移動終端應(yīng)用程序12給出錯誤提示，數(shù)據(jù)認(rèn)證流程結(jié)束。

圖5是應(yīng)用下載的流程示意圖。認(rèn)證應(yīng)用必須在安全環(huán)境下下載到功能擴(kuò)展SIM卡11中，可以采用預(yù)置的方式在功能擴(kuò)展SIM卡11出廠時由廠商預(yù)置到功能擴(kuò)展SIM卡11中，也可以在營業(yè)廳發(fā)行時下載到功能擴(kuò)展SIM卡11中。本實施例中的方式是用戶通過在線的方式從云端服務(wù)器13下載到功能擴(kuò)展SIM卡11中，此種在線下載應(yīng)用的方式要求密鑰提前預(yù)置到功能擴(kuò)展SIM卡11中，保證應(yīng)用下載的安全。應(yīng)用下載的流程如下：

步驟S201：用戶通過移動終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出認(rèn)證應(yīng)用1104下載申請；

步驟S202：認(rèn)證服務(wù)器130通過數(shù)據(jù)短信方式將認(rèn)證應(yīng)用1104下載到功能擴(kuò)展SIM卡11；

步驟S203：在功能擴(kuò)展SIM卡11上完成認(rèn)證應(yīng)用1104的下載安裝后，功能擴(kuò)展SIM卡11通過數(shù)據(jù)短信方式響應(yīng)認(rèn)證應(yīng)用1104的下載與安裝結(jié)果；

步驟S204：移動終端應(yīng)用程序12接收功能擴(kuò)展SIM卡11返回的應(yīng)用下載安裝結(jié)果進(jìn)行判斷；

步驟S205：若認(rèn)證應(yīng)用1104安裝成功，跳轉(zhuǎn)到步驟S206,若安裝失敗，流程結(jié)束；

步驟S206：移動終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出應(yīng)用初始化申請。

圖6是證書下載的流程示意圖,包括以下步驟：

步驟S301：用戶通過移動終端應(yīng)用程序12向認(rèn)證服務(wù)器130發(fā)出證書下載申請；

步驟S302：認(rèn)證服務(wù)器130向CA服務(wù)器131發(fā)出用戶證書下載申請；

步驟S303：CA服務(wù)器131生成用戶證書并將證書發(fā)送給認(rèn)證服務(wù)器130；

步驟S304：認(rèn)證服務(wù)器130通過數(shù)據(jù)短信方式將證書下載到功能擴(kuò)展SIM卡11；

步驟S305：功能擴(kuò)展SIM卡11通過數(shù)據(jù)短信方式響應(yīng)證書下載結(jié)果。

顯然，上述實施例僅僅是為清楚地說明所作的舉例，而并非對實施方式的限定。對于所屬領(lǐng)域的普通技術(shù)人員來說，在上述說明的基礎(chǔ)上還可以做出其它不同形式的變化或變動。這里無需也無法對所有的實施方式予以窮舉。而由此所引伸出的顯而易見的變化或變動仍處于本發(fā)明創(chuàng)造的保護(hù)范圍之中。