一种基于无线信号的安全环境核身方法及系统

技术领域

本发明属于数据安全领域，具体涉及一种基于无线信号的安全环境核身方法及系统。

背景技术

随着企业数字化趋势的推进，越来越多的企业开始在网络办公，同时网络安全问题也越来越突出。例如企业的支付宝账号、微博账号等等，一般都是由企业的某些员工代为管理，这种使用方式给企业带来便利的同时也带来了安全风险。

具体来说，当员工的账号丢失或者被盗，由于员工是企业账号的操作员，可以在任何地方操作企业账号，这就会导致企业账号处于风险中。另外，当员工离职后如果没有及时删除授权关系，也会导致员工使用自己的账号仍然可以操作企业账号，导致企业账号处于风险中。

目前为了提高网络安全性，通常采用外置硬件Usbkey(硬件盾)。Usbkey是通过将数字证书安装到U盘安全区的外置安全设备，其要求用户购买设备后将证书写到usb的安全环境中，后续验证时通过插入usb进行证书加签，来实现安全环境核身，即对用户进行身份识别或认证。这种方法的缺点在于：1、这种方式无法解决办公地点的要求，员工可以很方便的带走usbkey设备。2、这种方式一次只能一个用户使用，使用方式和体验欠佳。

鉴于上述现状，为了提高安全性和改善使用体验，需要一种新的安全环境核身方法。

发明内容

本发明的目的在于提供一种基于无线信号的安全环境核身方法及系统，以提高安全性和改善使用体验。

为了实现上述目的，本发明提供一种基于无线信号的安全环境核身方法，其应用于客户端，所述客户端位于一安全设备的网络覆盖范围中，所述安全设备为具有安全存储环境和网络覆盖范围的无线网络接入设备，所述核身方法包括：

响应于用户的操作，得到应用信息，并与安全设备建立连接或维持连接；

将应用信息作为原始数据发送给安全设备，以使安全设备利用安全设备的私钥对原始数据进行加签；

接收来自安全设备的加签结果；

将加签结果发送给服务端，以使服务端利用安全设备的公钥对加签结果进行验签并在验签结果为验签通过时根据应用信息来实现应用功能。

优选地，与安全设备建立连接或维持连接，具体包括：通过预提交应用信息的方式向服务端询问是否需要进行核身，在询问结果为需要进行核身时与安全设备建立连接或维持连接。

优选地，所述客户端包括应用前端和核身SDK；

得到应用信息，具体包括：利用应用前端得到应用信息；

与安全设备建立连接或维持连接，具体包括：利用应用前端调用核身SDK，利用核身SDK来与安全设备建立连接或维持连接；

将应用信息作为原始数据发送给安全设备，具体包括：利用核身SDK将应用信息作为原始数据发送给安全设备；

将加签结果发送给服务端，具体包括：利用核身SDK将加签结果发送给服务端。

优选地，所述服务端包括核身服务端和应用服务端；

将加签结果发送给服务端，以使服务端利用安全设备的公钥对加签结果进行验签并在验签结果为验签通过时根据应用信息来实现应用功能，具体包括：

将加签结果发送给核身服务端，以使核身服务端利用安全设备的公钥对加签结果进行验签；

接收来自核身服务端的验签结果；

在接收的验签结果为验签通过时，将应用信息提交到应用服务端，以使应用服务端根据所述应用信息实现应用功能。

优选地，所述验签结果包括验签是否通过以及核身校验号；

将应用信息提交到应用服务端，以使应用服务端根据所述应用信息实现应用功能，具体包括：

将应用信息和核身校验号提交到应用服务端，以使应用服务端调用核身服务端、接收来自核身服务端的二次确认结果、以及在二次确认结果为验签通过时根据所述应用信息实现应用功能；其中，二次确认结果由核身服务端利用核身校验号二次确认验签是否已经通过来得到。

优选地，在使服务端根据所述应用信息实现应用功能之后，还包括：

接收服务端在实现应用功能后发送的执行结果。

优选地，所述安全设备为具有安全存储环境和网络覆盖范围的无线网络接入设备，所述核身方法包括：

接收来自客户端的原始数据，其中，所述客户端位于安全设备的网络覆盖范围中且与安全设备处于连接状态，所述原始数据为客户端响应于用户的操作所得到的应用信息；

利用安全设备的私钥对原始数据进行加签，得到加签结果；

将加签结果返回给客户端，以便客户端将加签结果发送给服务端，由服务端利用安全设备的公钥对加签结果进行验签并在验签结果为验签通过时由服务端根据所述应用信息实现应用功能。

优选地，在接收来自客户端的原始数据之前，还包括：响应于用户的激活操作，利用安全存储环境存储安全设备的私钥，且使服务端存储安全设备的公钥。

优选地，利用安全存储环境存储安全设备的私钥，且使服务端存储安全设备的公钥，具体包括：

响应于用户的激活操作，请求服务端进行设备激活，以使服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书、接收来自证书提供方的安全设备的私钥、公钥和证书、以及存储安全设备的公钥；所述安全设备的私钥和公钥由证书提供方生成，所述安全设备的证书由证书提供方根据安全设备的公钥制作；

接收服务端发送的安全设备的私钥和证书；或

响应于用户的激活操作，生成该安全设备的私钥和公钥；

请求服务端进行设备激活，以使服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书和发送安全设备的公钥、接收来自证书提供方的安全设备的证书、以及存储安全设备的公钥；所述安全设备的证书由证书提供方根据安全设备的公钥制作；

接收服务端发送的安全设备的证书。

优选地，所述服务端包括核身服务端和应用服务端；

客户端将加签结果发送给服务端，由服务端利用安全设备的公钥对加签结果进行验签并在验签结果为验签通过时由服务端根据所述应用信息实现应用功能，具体包括：

客户端将加签结果发送给核身服务端，以使核身服务端利用安全设备的公钥对加签结果进行验签，得到验签结果；

客户端接收来自核身服务端的验签结果；

客户端在接收的验签结果为验签通过时，将应用信息提交到应用服务端，由应用服务端根据所述应用信息实现应用功能。

优选地，所述验签结果包括验签是否通过以及核身校验号；

将应用信息提交到应用服务端，由应用服务端根据所述应用信息实现应用功能，具体包括：

将应用信息和核身校验号提交到应用服务端，以使应用服务端调用核身服务端、接收来自核身服务端的二次确认结果、在二次确认结果为验签通过时根据所述应用信息实现应用功能；其中，二次确认结果由核身服务端利用核身校验号二次确认验签是否已经通过来得到。

另一方面，本发明一种基于无线信号的安全环境核身系统，其包括：

安全设备，其为具有安全存储环境和网络覆盖范围的无线网络接入设备，其设置为：接收原始数据，利用安全设备的私钥对原始数据进行加签，得到加签结果并发送；

客户端，其位于安全设备的网络覆盖范围中，其设置为：响应于用户的操作，得到应用信息，并与安全设备建立连接或维持连接；将应用信息作为原始数据发送给安全设备；接收来自安全设备的加签结果；发送加签结果；以及

服务端，其设置为：接收来自客户端的加签结果，利用安全设备的公钥对加签结果进行验签，得到验签结果，在验签结果为验签通过时根据应用信息来实现应用功能。

优选地，与安全设备建立连接或维持连接，具体包括：通过预提交应用信息的方式向服务端询问是否需要进行核身，在询问结果为需要进行核身时与安全设备建立连接或维持连接。

优选地，所述客户端包括应用前端和核身SDK；

得到应用信息，具体包括：利用应用前端得到应用信息；

与安全设备建立连接或维持连接，具体包括：利用应用前端调用核身SDK，利用核身SDK来与安全设备建立连接或维持连接；

将应用信息作为原始数据发送给安全设备，具体包括：利用核身SDK将应用信息作为原始数据发送给安全设备；

发送加签结果，具体包括：利用核身SDK发送加签结果；

接收验签结果，具体包括：利用核身SDK接收验签结果，并利用应用前端接收核身SDK回调通知的验签结果。

优选地，所述客户端还设置为：接收验签结果，在接收的验签结果为验签通过时，提交应用信息；

所述服务端包括：

核身服务端，其设置为：接收来自客户端的加签结果，利用安全设备的公钥对加签结果进行验签，得到验签结果，将验签结果发送给所述客户端；以及

应用服务端，其设置为：接收客户端提交的应用信息，根据所述应用信息实现应用功能。

优选地，所述验签结果包括验签是否通过以及核身校验号；

接收客户端提交的应用信息，根据所述应用信息实现应用功能，具体包括：接收应用信息和核身校验号，调用核身服务端，接收来自核身服务端的二次确认结果，在二次确认结果为验签通过时，根据所述应用信息实现应用功能；且

所述核身服务端还设置为利用核身校验号二次确认验签是否已经通过来得到二次确认结果。

优选地，所述安全设备还设置为：在接收来自客户端的原始数据之前，响应于用户的激活操作，利用安全存储环境存储安全设备的私钥，且使服务端存储安全设备的公钥。

优选地，所述的基于无线信号的安全环境核身系统，还包括证书提供方；其中，

所述证书提供方设置为生成安全设备的私钥和公钥，根据安全设备的公钥制作安全设备的证书；

所述安全设备具体设置为：响应于用户的激活操作，请求服务端进行设备激活，以使服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书、接收来自证书提供方的安全设备的私钥、公钥和证书、以及存储安全设备的公钥；接收服务端发送的安全设备的私钥和证书；

或者，所述证书提供方设置为根据安全设备的公钥制作安全设备的证书；

所述安全设备具体设置为：响应于用户的激活操作，生成该安全设备的私钥和公钥；请求服务端进行设备激活，以使服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书和发送安全设备的公钥、接收来自证书提供方的安全设备的证书、以及存储安全设备的公钥；接收服务端发送的安全设备的证书。

另一方面，本发明提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机作为客户端执行如上文所述的方法。

另一方面，本发明提供了一种计算设备，其包括存储器和处理器，存储器中存储有可执行代码，当所述处理器执行可执行代码时，其执行如上文所述的方法。

本发明的基于无线信号的安全环境核身方法通过安全设备安装到指定的场所，并且安全设备利用其私钥来加签，使得用户在进行操作时必须在指定场所连接到安全设备来通过验证，可以严格要求用户处于指定位置，从而实现了安全可信的网络环境。

本发明的基于无线信号的安全环境核身方法使得在同一个办公环境下能搜索到安全设备无线信号的多种客户端设备(如手机、笔记本电脑、pad、台式机等安装有蓝牙或wifi装置的设备)都可以同时连接到安全设备上以进行加签，且一次连接后后续的所有操作可以通过无感知认证的方式自动连接和加签，实现无感核身。

附图说明

图1是根据本发明的第一实施例的一种基于无线信号的安全环境核身方法的安全设备激活时序图。

图2是根据本发明的第一实施例的一种基于无线信号的安全环境核身方法的利用安全设备验证的时序图。

图3是根据本发明的第二实施例的一种基于无线信号的安全环境核身方法的流程图。

图4是根据本发明的第三实施例的一种基于无线信号的安全环境核身方法的流程图。

具体实施方式

以下结合具体实施例，对本发明做进一步说明。应理解，以下实施例仅用于说明本发明而非用于限制本发明的范围。

第一实施例一种基于无线信号的安全环境核身方法

如图1和图2所示，根据本发明的第一实施例的一种基于无线信号的安全环境核身方法主要包括以下步骤：

100：在需要安全环境的场所(如企业的办公场所)安装一个安全设备，该安全设备为具有安全存储环境的无线网络接入设备，因此具有网络覆盖范围；

由此，安全设备能够通过其安全存储环境来保护私钥和证书安全。

其中，无线网络接入设备采用蓝牙或路由器设备。

110：在安全设备的安全存储环境中存储安全设备的私钥，且在核身服务端上存储该安全设备的公钥；

其中，响应于用户对安全设备进行激活的操作，由证书提供方生成安全设备的证书，在安全设备的安全存储环境中存储安全设备的私钥和证书，并在核身服务端上存储该安全设备的公钥。

在本实施例中，步骤110具体包括：

111：响应于用户对安全设备进行激活的操作，安全设备请求核身服务端进行设备激活；

112：核身服务端判断安全设备是否已经激活，若是，由于激活过的安全设备不能重复激活，结束所述基于无线信号的安全环境核身方法的流程；若否，继续步骤113；

113：核身服务端向证书提供方请求颁发安全设备的证书；

114：响应于颁发的请求，证书提供方生成该安全设备的私钥和公钥并根据安全设备的公钥制作安全设备的证书；

115：证书提供方将安全设备的私钥、公钥和证书发送给核身服务端；

116：核身服务端存储安全设备的公钥；

117：核身服务端将安全设备的私钥和证书发送给安全设备。

由此，通过上述步骤114-步骤117完成了证书颁发流程。

118：安全设备将安全设备的私钥和证书保存到其安全存储环境中。

由此，完成了激活流程。

在另一实施例中，步骤110具体包括：

111’：响应于用户对安全设备进行激活的操作，安全设备生成该安全设备的私钥和公钥，随后请求核身服务端进行设备激活并将安全设备的公钥发送给核身服务端；

112’：核身服务端判断安全设备是否已经激活，若是，由于激活过的安全设备不能重复激活，结束所述基于无线信号的安全环境核身方法的流程；若否，继续步骤113’；

113’：核身服务端向证书提供方请求颁发安全设备的证书，且将安全设备的公钥发送给证书提供方；

114’：响应于颁发的请求，证书提供方根据安全设备的公钥制作安全设备的证书；

115’：证书提供方将安全设备的证书发送给核身服务端；

116’：核身服务端存储安全设备的公钥，随后将安全设备的证书发送给安全设备；在一些实施例中，在核身服务端存储安全设备的公钥之后，还包括存储安全设备的证书。

由此，通过上述步骤114’-步骤116’完成了证书颁发流程。

117’：安全设备将安全设备的私钥和证书保存到其安全存储环境中。

由此，完成了激活流程。在激活时，安全设备向核身服务端(如支付宝服务端)进行申请安全设备的证书，并将私钥和证书安装到安全设备的安全存储环境中，以实现证书保护。

120：提供位于安全设备的网络覆盖范围中的客户端，所述客户端包括应用前端和核身SDK；

130：响应于用户对客户端的操作，客户端的应用前端得到应用信息，并与安全设备建立连接或维持连接；

客户端与安全设备建立连接或维持连接，具体包括：判断与安全设备是否已连接，若已连接则与安全设备维持连接，若未连接则通过无感知认证的方式与安全设备建立连接。与安全设备建立连接或维持连接，具体包括：利用应用前端调用核身SDK，利用核身SDK来与安全设备建立连接或维持连接。

通过无感知认证的方式将客户端与安全设备连接的具体方式与目前手机连接无线网络的方式类似，即只有首次连接需要进行用户前端的认证，后续再次连接时就不需要再输入连接密码来认证。

通过无感知认证的方式使客户端与安全设备建立连接，具体包括：

131：客户端的核身SDK向安全设备发出连接请求；

132：安全设备向客户端的核身SDK返回连接认证请求；

133：若客户端的核身SDK内存储有连接密码，则核身SDK向安全设备发送带有连接密码的连接认证响应；否则，响应于用户输入的连接密码，核身SDK存储连接密码，并向安全设备发送带有连接密码的连接认证响应；

134：安全设备验证连接密码；

135：在验证通过时，客户端与安全设备完成连接，安全设备将客户端与安全设备完成连接的结果发送给核身SDK。

客户端与安全设备建立连接或维持连接，具体包括：

客户端通过预提交应用信息的方式向应用服务端询问是否需要进行核身，等待接收询问结果，在询问结果为需要进行核身时，与安全设备建立连接或维持连接。在本实施例中，需要进行核身的询问结果由一个核身ID表示，所述核身ID由应用服务端在需要进行核身时从核身服务端获取。核身ID用于客户端调用核身SDK从而发起核身过程，具体来说，客户端利用核身ID调用核身SDK的渲染接口来渲染核身页面。

因此，客户端与安全设备建立连接或维持连接具体包括：

1301：客户端的应用前端向应用服务端预提交应用信息以询问是否需要进行核身，使得应用服务端根据应用信息来确认是否需要进行核身；

1302：在需要进行核身时，应用服务端向核身服务端发送核身初始化的请求；

1303：核身服务端响应于核身初始化的请求，向应用服务端返回核身ID，由核身ID表示需要进行核身的询问结果；

1304：应用服务端将需要进行核身的询问结果发送给客户端，客户端的应用前端接收询问结果；

1305：在询问结果为需要进行核身时，利用客户端的应用前端和核身ID调用所述核身SDK。

1306：通过调用的核身SDK，渲染核身页面。

140：客户端的核身SDK将应用信息作为原始数据发送给安全设备，安全设备利用安全设备的私钥对原始数据进行加签并将加签结果返回给客户端的核身SDK。

在本实施例中，所述原始数据为客户端响应于用户的操作所得到的应用信息，如应用的执行内容、提交时间等等。

步骤140具体包括：

141：客户端的核身SDK向安全设备发送原始数据，以发起加签请求；

142：安全设备利用安全设备的私钥对原始数据和安全设备id进行加签，得到加签结果；由于对原始数据和安全设备id进行加签，因此加签结果包括安全设备id。

143：安全设备将加签结果返回给客户端的核身SDK。

150：客户端的核身SDK将加签结果发送给核身服务端，核身服务端利用安全设备的公钥对加签结果进行验签，并将验签结果返回给客户端的核身SDK，使得核身SDK将所述验签结果回调通知给客户端的应用前端；

其中，验签结果包括验签是否通过以及核身校验号(verifyId)。

在验签通过时，代表应用信息的核身通过，应用信息是在安全环境下操作的；否则，说明受到攻击。

所述步骤150具体包括：

151：客户端的核身SDK将加签结果发送给核身服务端，以请求验证设备验签；

152：核身服务端利用加签结果中的安全设备id检索到安全设备的公钥，利用安全设备的公钥对加签结果进行验签，得到验签结果；

153：核身服务端将验签结果返回给客户端的核身SDK；

154：客户端的核身SDK将所述验签结果回调通知给客户端的应用前端。

160：在客户端的应用前端收到的验签结果为验签通过时，客户端的应用前端将应用信息提交到应用服务端，应用服务端根据所述应用信息实现应用功能(即，应用服务端执行所述应用信息)。

其中，客户端的应用前端将应用信息提交到应用服务端，应用服务端根据所述应用信息实现应用功能，具体包括：客户端的应用前端将应用信息和核身校验号(verifyId)提交到应用服务端，应用服务端调用核身服务端；核身服务端利用核身校验号二次确认验签是否已经通过，并将二次确认结果发送给应用服务端；应用服务端在二次确认结果为验签通过时根据所述应用信息实现应用功能，否则拒绝根据应用信息实现应用功能。

由此，实现了验签结果的二次确认。

相应地，步骤160具体包括：

161：在客户端收到的验签结果为通过时，客户端将应用信息和核身校验号(verifyId)提交到应用服务端；

162：应用服务端向核身服务端发送核身校验号，以请求检查本次的应用信息是否完成验签；

163：核身服务端利用核身校验号查询验签结果；

164：核身服务端向应用服务端返回二次确认结果；

165：应用服务端在二次确认结果为验签通过时，根据所述应用信息实现应用功能，否则拒绝根据应用信息实现应用功能。

170(可选)：应用服务端在实现应用功能后将执行结果同步到客户端。

本发明的基于无线信号的安全环境核身方法通过安全设备安装到指定的场所，并且安全设备利用其私钥来加签，使得用户在进行操作时必须在指定场所连接到安全设备来通过验证，可以严格要求用户处于指定位置，从而实现了安全可信的环境。

本发明的基于无线信号的安全环境核身方法使得在同一个办公环境下能搜索到安全设备无线信号的多种客户端设备(如手机、笔记本电脑、pad、台式机等安装有蓝牙或wifi装置的设备)都可以同时连接到安全设备上以进行加签，且一次连接后后续的所有操作可以通过无感知认证的方式自动连接和加签，实现无感核身。

第二实施例一种基于无线信号的安全环境核身方法

根据本发明的第二实施例的一种基于无线信号的安全环境核身方法，其应用于客户端，所述客户端位于一安全设备的网络覆盖范围中，所述安全设备为具有安全存储环境和网络覆盖范围的无线网络接入设备。

如图3所示，基于无线信号的安全环境核身方法应用于客户端，具体包括：

210：响应于用户的操作，得到应用信息，并与安全设备建立连接或维持连接；

其中，与安全设备建立连接或维持连接，具体包括：判断与安全设备是否已连接，若已连接则与安全设备维持连接，若未连接则通过无感知认证的方式与安全设备建立连接。

与安全设备建立连接或维持连接，具体包括：通过预提交应用信息的方式向应用服务端询问是否需要进行核身，在询问结果为需要进行核身时与安全设备建立连接或维持连接。

其中，所述客户端包括应用前端和核身SDK。

在本实施例中，需要进行核身的询问结果由一个核身ID表示，所述核身ID由应用服务端在需要进行核身时从核身服务端获取。核身ID用于客户端调用核身SDK从而发起核身过程，具体来说，客户端利用核身ID调用核身SDK的渲染接口来渲染核身页面。

得到应用信息，具体包括：利用应用前端得到应用信息。

与安全设备建立连接或维持连接，具体包括：利用应用前端调用核身SDK，利用核身SDK来与安全设备建立连接或维持连接。

220：将应用信息作为原始数据发送给安全设备，以使安全设备利用安全设备的私钥对原始数据进行加签；

将应用信息作为原始数据发送给安全设备，具体包括：利用核身SDK将应用信息作为原始数据发送给安全设备。

230：接收来自安全设备的加签结果；

240：将加签结果发送给核身服务端，以使核身服务端利用安全设备的公钥对加签结果进行验签，得到验签结果；

其中，所述加签结果包括安全设备id，且核身服务端利用加签结果中的安全设备id来检索到安全设备的公钥。

其中，将加签结果发送给核身服务端，具体包括：利用核身SDK将加签结果发送给核身服务端。

250：接收来自核身服务端的验签结果；

其中，接收来自核身服务端的验签结果，具体包括：利用核身SDK接收来自核身服务端的验签结果，并利用应用前端接收核身SDK回调通知的验签结果。

260：在接收的验签结果为验签通过时，将应用信息提交到应用服务端，以使应用服务端根据所述应用信息实现应用功能。

其中，上文所述的验签结果包括验签是否通过以及核身校验号；相应地，将应用信息提交到应用服务端，以使应用服务端根据所述应用信息实现应用功能，具体包括：

261：将应用信息和核身校验号提交到应用服务端，以使应用服务端调用核身服务端、接收来自核身服务端的二次确认结果、以及在二次确认结果为验签通过时根据所述应用信息实现应用功能；其中，二次确认结果由核身服务端利用核身校验号二次确认验签是否已经通过来得到。

262：在将应用信息提交到应用服务端，以使应用服务端根据所述应用信息实现应用功能之后，还包括：接收应用服务端在实现应用功能后发送的执行结果。

在某些实施例中，可以采用同一个服务端来同时起到上述的应用服务端和核身服务端的作用，因此，所述步骤240～步骤260可以替换为：将加签结果发送给服务端，以使服务端利用安全设备的公钥对加签结果进行验签并在验签结果为验签通过时根据应用信息来实现应用功能。

第三实施例一种基于无线信号的安全环境核身方法

根据本发明的第三实施例的一种基于无线信号的安全环境核身方法，其应用于安全设备，所述安全设备为具有安全存储环境和网络覆盖范围的无线网络接入设备。

如图4所示，基于无线信号的安全环境核身方法应用于安全设备应用于安全设备，具体包括：

300：响应于用户的激活操作，利用安全存储环境存储安全设备的私钥，且使服务端存储安全设备的公钥；

其中，利用安全存储环境存储安全设备的私钥，且使服务端存储安全设备的公钥，具体包括：

301：响应于用户的激活操作，请求服务端进行设备激活，以使服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书、接收来自证书提供方的安全设备的私钥、公钥和证书、以及存储安全设备的公钥；所述安全设备的私钥和公钥由证书提供方生成，所述安全设备的证书由证书提供方根据安全设备的公钥制作；

302：接收服务端发送的安全设备的私钥和证书；或

301’：响应于用户的激活操作，生成该安全设备的私钥和公钥；

请求服务端进行设备激活，以使服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书和发送安全设备的公钥、接收来自证书提供方的安全设备的证书、以及存储安全设备的公钥；所述安全设备的证书由证书提供方根据安全设备的公钥制作；

302’：接收服务端发送的安全设备的证书。

310：接收来自客户端的原始数据；

其中，所述客户端位于安全设备的网络覆盖范围中且与安全设备处于连接状态，所述原始数据为客户端响应于用户的操作所得到的应用信息。具体来说，所述客户端判断与安全设备是否已连接，若已连接则与安全设备维持连接，若未连接则通过无感知认证的方式与安全设备建立连接，以此与安全设备处于连接状态。

320：利用安全设备的私钥对原始数据进行加签，得到加签结果；

利用安全设备的私钥对原始数据进行加签，具体包括：利用安全设备的私钥对原始数据和安全设备id进行加签，使得加签结果包括安全设备id。

330：将加签结果返回给客户端，以便客户端将加签结果发送给服务端，由服务端利用安全设备的公钥对加签结果进行验签并在验签结果为验签通过时由服务端根据所述应用信息实现应用功能。

其中，核身服务端利用加签结果中的安全设备id来检索到安全设备的公钥。

在本实施例中，服务端包括核身服务端和应用服务端，其中核身服务端存储安全设备的公钥。

相应地，客户端将加签结果发送给服务端，由服务端利用安全设备的公钥对加签结果进行验签并在验签结果为验签通过时由服务端根据所述应用信息实现应用功能，具体包括：

331：客户端将加签结果发送给核身服务端，以使核身服务端利用安全设备的公钥对加签结果进行验签，得到验签结果；

332：客户端接收来自核身服务端的验签结果；

333：客户端在接收的验签结果为验签通过时，将应用信息提交到应用服务端，由应用服务端根据所述应用信息实现应用功能。

所述验签结果包括验签是否通过以及核身校验号；

将应用信息提交到应用服务端，由应用服务端根据所述应用信息实现应用功能，具体包括：

将应用信息和核身校验号提交到应用服务端，以使应用服务端调用核身服务端、接收来自核身服务端的二次确认结果、在二次确认结果为验签通过时根据所述应用信息实现应用功能；其中，二次确认结果由核身服务端利用核身校验号二次确认验签是否已经通过来得到。

第四实施例一种基于无线信号的安全环境核身系统

参见图1和图2，根据本发明的第四实施例的一种基于无线信号的安全环境核身系统，其包括：

安全设备，其为具有安全存储环境和网络覆盖范围的无线网络接入设备，其设置为：接收原始数据，利用安全设备的私钥对原始数据进行加签，得到加签结果并发送；

客户端，其位于安全设备的网络覆盖范围中，其设置为：响应于用户的操作，得到应用信息，并与安全设备建立连接或维持连接；将应用信息作为原始数据发送给安全设备；接收来自安全设备的加签结果；发送加签结果；

服务端，其设置为：接收来自客户端的加签结果，利用安全设备的公钥对加签结果进行验签，得到验签结果，在验签结果为验签通过时根据应用信息来实现应用功能。

其中，与安全设备建立连接或维持连接，具体包括：通过预提交应用信息的方式向应用服务端询问是否需要进行核身，在询问结果为需要进行核身时与安全设备建立连接或维持连接。

与安全设备建立连接或维持连接，具体包括：判断与安全设备是否已连接，若已连接则与安全设备维持连接，若未连接则通过无感知认证的方式与安全设备建立连接。

利用安全设备的私钥对原始数据进行加签，具体包括：利用安全设备的私钥对原始数据和安全设备id进行加签，使得所述加签结果包括安全设备id；且核身服务端还设置为：利用加签结果中的安全设备id来检索到安全设备的公钥。

所述客户端包括应用前端和核身SDK。相应地，得到应用信息，具体包括：利用应用前端得到应用信息；与安全设备建立连接或维持连接，具体包括：利用应用前端调用核身SDK，利用核身SDK来与安全设备建立连接或维持连接；将应用信息作为原始数据发送给安全设备，具体包括：利用核身SDK将应用信息作为原始数据发送给安全设备；发送加签结果，具体包括：利用核身SDK发送加签结果；接收验签结果，具体包括：利用核身SDK接收验签结果，并利用应用前端接收核身SDK回调通知的验签结果。

所述服务端包括核身服务端和应用服务端。相应地，所述客户端还设置为：接收验签结果，在接收的验签结果为验签通过时，提交应用信息。所述核身服务端设置为：接收来自客户端的加签结果，利用安全设备的公钥对加签结果进行验签，得到验签结果，将验签结果发送给所述客户端。所述应用服务端设置为：接收客户端提交的应用信息，根据所述应用信息实现应用功能。

其中，所述验签结果包括验签是否通过以及核身校验号。相应地，接收客户端提交的应用信息，根据所述应用信息实现应用功能，具体包括：接收应用信息和核身校验号，调用核身服务端，接收来自核身服务端的二次确认结果，在二次确认结果为验签通过时，根据所述应用信息实现应用功能；且所述核身服务端还设置为利用核身校验号二次确认验签是否已经通过来得到二次确认结果。

本发明的基于无线信号的安全环境核身系统包括证书提供方。

在本实施例中，所述证书提供方设置为生成安全设备的私钥和公钥，根据安全设备的公钥制作安全设备的证书。相应地，所述安全设备具体设置为：响应于用户的激活操作，请求核身服务端进行设备激活，以使核身服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书、接收来自证书提供方的安全设备的私钥、公钥和证书、以及存储安全设备的公钥；接收核身服务端发送的安全设备的私钥和证书。

在其他实施例中，所述证书提供方设置为根据安全设备的公钥制作安全设备的证书。相应地，所述安全设备具体设置为：响应于用户的激活操作，生成该安全设备的私钥和公钥；请求核身服务端进行设备激活，以使核身服务端判断安全设备是否已经激活、在没有激活时向证书提供方请求颁发安全设备的证书和发送安全设备的公钥、接收来自证书提供方的安全设备的证书、以及存储安全设备的公钥；接收核身服务端发送的安全设备的证书。

本发明的第五实施例提供了一种计算机可读存储介质，其上存储有计算机程序，当计算机程序在计算机中执行时，令计算机作为客户端执行本发明的上述第二实施例中的所执行的步骤。由于其执行的步骤与上文所述的客户端执行的步骤相同，故在此不再重复描述。

本发明的第六实施例提供了一种计算设备，其包括存储器和处理器，存储器中存储有可执行代码，当处理器执行可执行代码时，其作为客户端执行本发明的上述第二实施例中的步骤。由于其执行的步骤与上文所述所述的客户端执行的步骤相同，故在此不再重复描述。

以上所述的，仅为本发明的较佳实施例，并非用以限定本发明的范围，本发明的上述实施例还可以做出各种变化。凡是依据本发明申请的权利要求书及说明书内容所作的简单、等效变化与修饰，皆落入本发明专利的权利要求保护范围。本发明未详尽描述的均为常规技术内容。