国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于數(shù)字證書的移動終端身份認證系統(tǒng)及方法

      文檔序號:7697998閱讀:263來源:國知局
      專利名稱:基于數(shù)字證書的移動終端身份認證系統(tǒng)及方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及移動互聯(lián)網(wǎng)的身份認證技術(shù),更具體涉及一種通過數(shù)字證書對移動終端進行身份認證的系統(tǒng)及方法。
      背景技術(shù)
      隨著無線通訊技術(shù)的發(fā)展,以手機為代表的移動終端被廣泛應(yīng)用于電子商務(wù)領(lǐng)域。在使用移動終端傳輸交易信息的過程中,必須保證信息傳輸?shù)谋C苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可抵賴性和交易者身份的確定性?,F(xiàn)有的無線數(shù)據(jù)傳輸協(xié)議缺乏對移動終端的身份認證機制,信息接收方只能通過手機號碼等標識識別移動終端,但無法確定移動終端持有人身份的真實性。這一問題的存在導致基于移動終端的交易活動面臨信息被篡改、交易主體身份被冒用等多種潛在風險, 極大地阻礙移動電子商務(wù)正常發(fā)展。盡管現(xiàn)行的數(shù)字證書認證服務(wù)體系支持受理個人證書申請,但其適用范圍局限在普通PC機,尚未提出一種專門用于包括手機在內(nèi)各種移動終端的認證機制。

      發(fā)明內(nèi)容
      本發(fā)明目的在于提供一種通過數(shù)字證書對移動終端進行身份認證的系統(tǒng)及相應(yīng)的認證方法,以解決移動互聯(lián)網(wǎng)環(huán)境下缺乏針對移動終端認證機制的技術(shù)問題。本發(fā)明技術(shù)解決方案一種基于數(shù)字證書的移動終端身份認證系統(tǒng),其特殊之處在于它包括數(shù)字證書認證中心(CA認證中心),移動終端以及移動證書依賴方,所述數(shù)字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務(wù)單元,所述證書申請單元包括用于受理終端數(shù)字證書申請、提供終端身份標識信息和移動終端證書控件下載的申請受理單元和用于接收移動終端上傳的終端數(shù)字證書公鑰文件并使用CA根證書私鑰文件驗證后存入對外信息庫的證書簽發(fā)單元;CA根證書私鑰文件存儲在CA證書管理單元(通常保存于磁盤特定區(qū)域或移動存儲設(shè)備中)所述CA證書管理單元包括用于存放終端數(shù)字證書公鑰文件、終端身份標識信息、 并向移動證書依賴方提供下載的對外信息庫;所述認證服務(wù)單元包括用于接收待認證簽名信息、發(fā)送已認證簽名信息的信息收發(fā)單元和根據(jù)待認證簽名信息中的終端身份標識信息從CA證書管理單元提取相應(yīng)的終端數(shù)字證書公鑰文件,并對待認證簽名信息進行簽名驗證,在驗證成功信息上添加CA根證書私鑰文件簽名生成已認證簽名信息并將已認證簽名信息通過信息收發(fā)單元發(fā)至對應(yīng)接收方的信息認證單元;所述移動終端包括用于根據(jù)移動終端證書控件生成終端數(shù)字證書的密鑰對,并使用CA根證書公鑰文件對終端數(shù)字證書公鑰文件加密,上傳至CA認證中心的證書生成單元、終端證書管理單元、數(shù)字簽名單元以及終端信息認證單元終端證書管理單元包括用于存放終端數(shù)字證書私鑰文件、CA根證書公鑰文件的終端數(shù)字證書庫;所述數(shù)字簽名單元包括作為移動終端使用終端數(shù)字證書私鑰文件對待發(fā)送原始信息和終端身份標識信息進行簽名并發(fā)送至認證服務(wù)單元的簽名單元和作為移動終端使用終端數(shù)字證書私鑰文件對待發(fā)送原始信息和終端身份標識信息進行加密并發(fā)送至認證服務(wù)單元的加密單元;所述移動證書依賴方包括依賴方證書管理單元和依賴方信息認證單元,所述依賴方證書管理單元包括用于存放依賴方身份識別數(shù)字證書私鑰文件和CA 根證書公鑰文件的依賴方數(shù)字證書庫;所述依賴方信息認證單元包括接收CA認證中心發(fā)送的已認證簽名信息,將待驗證的簽名信息發(fā)送至CA認證中心的認證服務(wù)單元的依賴方信息收發(fā)單元和接收依賴方信息收發(fā)單元發(fā)送的已認證簽名信息,使用CA根證書公鑰文件對已認證簽名信息簽名驗證, 簽名驗證成功后將信息原始內(nèi)容和終端身份標識信息呈現(xiàn)給依賴方的認證單元。上述CA證書管理單元還包括向移動證書依賴方提供終端數(shù)字證書吊銷列表查詢的證書吊銷單元。上述終端證書管理單元還包括用于向CA認證中心的對外信息庫查詢終端數(shù)字證書狀態(tài)并完成終端數(shù)字證書庫中的終端數(shù)字證書公鑰文件更新的終端證書更新單元。上述依賴方證書管理單元還包括用于向CA認證中心對外信息庫查詢并完成依賴方數(shù)字證書庫中CA根證書公鑰文件更新的依賴方證書更新單元。上述移動終端還包括終端信息認證單元,所述終端信息認證單元用于在移動終端收到由CA認證服務(wù)單元發(fā)送的已認證簽名信息后,使用CA根證書公鑰文件對已經(jīng)通過CA中心認證的已認證簽名信息進行驗證,簽名驗證成功后將信息內(nèi)容和發(fā)送方的身份標識信息呈現(xiàn)給移動終端所述的移動終端信息認證單元,本意是用來解決當移動終端充當證書依賴方時的信息認證問題。其工作機制與“依賴方信息認證單元”完全一致,但為了凸顯本系統(tǒng)中的移動終端既可以作為信息發(fā)送方,向證書依賴方發(fā)送認證信息、也可以作為證書依賴方接收其他移動終端發(fā)送的認證信息,即能夠認證和被認證。此處可理解為,對證書依賴方的一種特例的描述,即移動終端作為依賴方。一種基于短信數(shù)字證書的移動終端身份認證方法,供作為證書依賴方的移動終端的認證信息發(fā)送方身份,其特殊之處在于該方法包括以下步驟只有證書訂戶(證書申請和持有人)才擁有身份識別標識和證書私鑰,證書依賴方無身份標識和證書私鑰、只能下載證書訂戶上傳到CA對外信息庫的該訂戶證書公鑰來驗證簽名。此處詳細解釋移動終端作為證書訂戶是如何產(chǎn)生身份標識信息和證書公鑰、私鑰文件的,如果刪除的話,將無法說明移動終端在發(fā)送信息時,用什么工具在原始信息中添加身份標識信息和數(shù)字簽名。涉及到一種特殊情況移動終端也可能成為證書依賴方,而此時移動終端只需要利用CA根證書公鑰驗證CA認證服務(wù)單元發(fā)來的已認證簽名信息中的CA數(shù)字簽名,驗證成功后將信息內(nèi)容和發(fā)送方身份標識信息(信息發(fā)送方擁有身份標識信息、持有數(shù)字證書私鑰文件)展示給作為依賴方的移動終端。傳統(tǒng)方案中,證書訂戶數(shù)量有限,證書依賴方可以下載全部證書公鑰文件用于簽名驗證,但移動終端作為證書訂戶時比較特殊證書依賴方全部下載和管理數(shù)以萬計的移動終端證書操作不便,因而提出本專利的解決方案。一種基于短信數(shù)字證書的移動終端身份認證方法,用于移動終端在收到已認證信息時驗證信息發(fā)送方的身份,包括以下步驟1CA中心認證簽名信息1.11CA認證中心的認證服務(wù)單元接收到以移動終端為接收方的待認證信息;1.2] CA認證中心的認證服務(wù)單元根據(jù)待認證信息的發(fā)送方身份標識信息從對外信息庫中提取相應(yīng)的發(fā)送方數(shù)字證書的公鑰文件,使用發(fā)送方數(shù)字證書的公鑰文件對待認證簽名信息的數(shù)字簽名信息進行驗證;如果驗證通過,則執(zhí)行步驟1. 3如果驗證沒通過, 則不對信息作任何處理,直接發(fā)送給移動終端;1.3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;1.4] CA認證中心的認證服務(wù)單元根據(jù)通訊協(xié)議對已認證簽名信息進行格式轉(zhuǎn)換后按照已認證簽名信息中所包括的目標接收方地址發(fā)至目標移動終端;2移動終端的終端信息認證單元接收由CA認證中心發(fā)來的信息,根據(jù)是否攜帶 CA認證中心簽名判斷該信息為已認證簽名信息或未通過認證信息;3移動終端接收已認證信息3. 1移動終端的終端信息認證單元接收由CA認證中心發(fā)來的已認證簽名信息, 并從數(shù)字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;3. 2如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取發(fā)送方身份標識信息和信息內(nèi)容,完成身份認證;3. 3如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內(nèi)容,并向移動終端提示該信息的發(fā)送方身份未得到認證;4移動終端接收未通過認證信息4. 1移動終端的終端信息認證單元接收由CA認證中心發(fā)來的未通過認證簽名信息,從未通過認證簽名信息中提取信息內(nèi)容,并向移動終端提示該信息的發(fā)送方身份未得到認證。一種基于短信數(shù)字證書的移動終端身份認證方法,供證書依賴方認證發(fā)送信息的移動終端的身份,其特征在于該方法包括以下步驟1生成終端數(shù)字證書1. 1移動終端向CA認證中心的證書申請單元提交終端數(shù)字證書申請;1. 2證書申請單元受理申請后,生成唯一終端身份標識信息,并存儲終端身份標識信息在CA對外信息庫中;1.3移動終端證書生成單元從CA認證中心的證書申請單元下載終端身份標識信息和移動終端證書控件并安裝,所述移動終端證書控件包括CA根證書公鑰文件;證書依賴方從CA認證中心下載CA根證書公鑰文件并保存在依賴方證書管理單元的數(shù)字證書庫中;
      1. 4移動終端的證書生成單元根據(jù)移動終端證書控件生成終端數(shù)字證書的密鑰對,將終端數(shù)字證書的私鑰文件存入移動終端的數(shù)字證書庫中;1. 5移動終端的證書生成單元使用CA根證書公鑰文件對終端身份標識信息和終端數(shù)字證書的公鑰文件進行加密,將加密后的移動終端證書公鑰文件發(fā)送到CA認證中心的證書申請單元;CA認證中心的證書申請單元在收到終端數(shù)字證書的公鑰文件后,使用CA 根證書私鑰文件解密,解密后將終端數(shù)字證書的公鑰文件存入CA認證中心的對外信息庫;2移動終端發(fā)送簽名信息2. 1移動終端產(chǎn)生待發(fā)送原始信息(持有人通過界面輸入信息內(nèi)容和接收方地址(如,編輯短信內(nèi)容并輸入接收人手機號碼)并將終端身份標識信息和待發(fā)送原始信息發(fā)送至數(shù)字簽名單元,所述待發(fā)送原始信息包括信息內(nèi)容和目標接收方地址;2. 2數(shù)字簽名單元從數(shù)字證書庫中提取終端數(shù)字證書的私鑰文件,對終端身份標識信息和待發(fā)送原始信息進行數(shù)字簽名,生成待認證的簽名信息;所述待認證的簽名信息包括終端身份標識信息、待發(fā)送原始信息和終端數(shù)字證書的私鑰文件的數(shù)字簽名2. 3移動終端的數(shù)字簽名單元根據(jù)通訊協(xié)議將待認證簽名信息進行格式轉(zhuǎn)換后發(fā)至CA認證中心的認證服務(wù)單元;3CA認證中心驗證簽名信息3. 1]CA認證中心的認證服務(wù)單元接收到由移動終端發(fā)送的待認證簽名信息;3. 2CA認證中心的認證服務(wù)單元根據(jù)待認證信息的終端身份標識信息從對外信息庫中提取相應(yīng)的終端數(shù)字證書的公鑰文件,使用終端數(shù)字證書的公鑰文件對待認證簽名信息的數(shù)字簽名信息進行驗證;如果驗證通過,則執(zhí)行步驟3. 3,如果驗證沒通過,則執(zhí)行步驟23. 3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;3. 4CA認證中心的認證服務(wù)單元根據(jù)通訊協(xié)議對已認證簽名信息進行格式轉(zhuǎn)換后按照已認證簽名信息中所包括的目標接收方地址發(fā)至目標接收方;4證書依賴方接收認證信息4. 1證書依賴方的信息認證單元接收由CA認證中心發(fā)來的已認證簽名信息,并從數(shù)字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取終端身份標識信息和信息內(nèi)容,完成身份認證;如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內(nèi)容, 并向證書依賴方提示該信息的發(fā)送方身份未得到認證。還包括證書更新步驟所述移動終端根據(jù)安裝的移動終端證書控件定期向CA認證中心的查詢CA根證書的版本信息,如果CA根證書發(fā)生更新,則CA認證中心將通知移動終端重新下載移動終端證書控件。還包括證書吊銷步驟如果CA認證中心確認終端數(shù)字證書符合吊銷條件,則將符合吊銷的終端數(shù)字證書添加至證書吊銷單元,并通知移動終端其數(shù)終端數(shù)字證書被吊銷。當CA有證據(jù)表明終端數(shù)字證書訂戶的證書被非法第三方冒用等情況時,可根據(jù)電子認證服務(wù)規(guī)則確認吊銷證書。上述終端身份標識信息是手機號碼、IMEI或IMSI。本發(fā)明所具有的優(yōu)點1、適用于包括智能手機、平板電腦在內(nèi)的各種帶有無線通訊功能的移動終端設(shè)備。2、終端數(shù)字證書的依賴方不需要下載和保存數(shù)量眾多的移動終端證書公鑰文件, 只需要將待驗證的數(shù)字簽名發(fā)送至CA認證中心進行驗證即可,便于普及。


      圖1為本發(fā)明的系統(tǒng)的結(jié)構(gòu)示意圖;圖2為本發(fā)明終端數(shù)字證書生成的過程示意圖;圖3為本發(fā)明發(fā)送簽名信息的過程示意圖;圖4為本發(fā)明驗證簽名信息的過程示意圖。具體實現(xiàn)方式一種基于數(shù)字證書的移動終端身份認證系統(tǒng),它包括數(shù)字證書認證中心(CA認證中心),移動終端以及移動證書依賴方,數(shù)字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務(wù)單元,證書申請單元包括用于受理終端數(shù)字證書申請、提供終端身份標識信息和移動終端證書控件下載的申請受理單元和用于接收移動終端上傳的終端數(shù)字證書公鑰文件并使用CA根證書私鑰文件驗證后存入對外信息庫的證書簽發(fā)單元;CA根證書私鑰文件存儲在CA證書管理單元(通常保存于磁盤特定區(qū)域或移動存儲設(shè)備中)CA證書管理單元包括用于存放終端數(shù)字證書公鑰文件、終端身份標識信息、并向移動證書依賴方提供下載的對外信息庫;認證服務(wù)單元包括用于接收待認證簽名信息、發(fā)送已認證簽名信息的信息收發(fā)單元和根據(jù)待認證簽名信息中的終端身份標識信息從CA證書管理單元提取相應(yīng)的終端數(shù)字證書公鑰文件,并對待認證簽名信息進行簽名驗證,在驗證成功信息上添加CA根證書私鑰文件簽名生成已認證簽名信息并將已認證簽名信息通過信息收發(fā)單元發(fā)至對應(yīng)接收方的信息認證單元;移動終端包括用于根據(jù)移動終端證書控件生成終端數(shù)字證書的密鑰對,并使用CA 根證書公鑰文件對終端數(shù)字證書公鑰文件加密,上傳至CA認證中心的證書生成單元、終端證書管理單元、數(shù)字簽名單元以及終端信息認證單元終端證書管理單元包括用于存放終端數(shù)字證書私鑰文件、CA根證書公鑰文件的終端數(shù)字證書庫;數(shù)字簽名單元包括作為移動終端使用終端數(shù)字證書私鑰文件對待發(fā)送原始信息和終端身份標識信息進行簽名并發(fā)送至認證服務(wù)單元的簽名單元和作為移動終端使用終端數(shù)字證書私鑰文件對待發(fā)送原始信息和終端身份標識信息進行加密并發(fā)送至認證服務(wù)單元的加密單元;移動證書依賴方包括依賴方證書管理單元和依賴方信息認證單元,依賴方證書管理單元包括用于存放依賴方身份識別數(shù)字證書私鑰文件和CA根證書公鑰文件的依賴方數(shù)字證書庫;依賴方信息認證單元包括接收CA認證中心發(fā)送的已認證簽名信息,將待驗證的簽名信息發(fā)送至CA認證中心的認證服務(wù)單元的依賴方信息收發(fā)單元和接收依賴方信息收發(fā)單元發(fā)送的已認證簽名信息,使用CA根證書公鑰文件對已認證簽名信息簽名驗證,簽名驗證成功后將信息原始內(nèi)容和終端身份標識信息呈現(xiàn)給依賴方的認證單元。CA證書管理單元還包括向移動證書依賴方提供終端數(shù)字證書吊銷列表查詢的證書吊銷單元。終端證書管理單元還包括用于向CA認證中心的對外信息庫查詢終端數(shù)字證書狀態(tài)并完成終端數(shù)字證書庫中的終端數(shù)字證書公鑰文件更新的終端證書更新單元。依賴方證書管理單元還包括用于向CA認證中心對外信息庫查詢并完成依賴方數(shù)字證書庫中CA根證書公鑰文件更新的依賴方證書更新單元。 移動終端還包括終端信息認證單元,終端信息認證單元用于在移動終端收到由CA認證服務(wù)單元發(fā)送的已認證簽名信息后,使用CA根證書公鑰文件對已經(jīng)通過CA中心認證的已認證簽名信息進行驗證,簽名驗證成功后將信息內(nèi)容和發(fā)送方的身份標識信息呈現(xiàn)給移動終端移動終端信息認證單元,本意是用來解決當移動終端充當證書依賴方時的信息認證問題。其工作機制與“依賴方信息認證單元”完全一致,但為了凸顯本系統(tǒng)中的移動終端既可以作為信息發(fā)送方,向證書依賴方發(fā)送認證信息、也可以作為證書依賴方接收其他移動終端發(fā)送的認證信息,即能夠認證和被認證。此處可理解為,對證書依賴方的一種特例的描述,即移動終端作為依賴方。一種基于短信數(shù)字證書的移動終端身份認證方法,供作為證書依賴方的移動終端的認證信息發(fā)送方身份,該方法包括以下步驟只有證書訂戶(證書申請和持有人)才擁有身份識別標識和證書私鑰,證書依賴方無身份標識和證書私鑰、只能下載證書訂戶上傳到CA對外信息庫的該訂戶證書公鑰來驗證簽名。此處詳細解釋移動終端作為證書訂戶是如何產(chǎn)生身份標識信息和證書公鑰、私鑰文件的,如果刪除的話,將無法說明移動終端在發(fā)送信息時,用什么工具在原始信息中添加身份標識信息和數(shù)字簽名。涉及到一種特殊情況移動終端也可能成為證書依賴方,而此時移動終端只需要利用CA根證書公鑰驗證CA認證服務(wù)單元發(fā)來的已認證簽名信息中的CA數(shù)字簽名,驗證成功后將信息內(nèi)容和發(fā)送方身份標識信息(信息發(fā)送方擁有身份標識信息、持有數(shù)字證書私鑰文件)展示給作為依賴方的移動終端。傳統(tǒng)方案中,證書訂戶數(shù)量有限,證書依賴方可以下載全部證書公鑰文件用于簽名驗證,但移動終端作為證書訂戶時比較特殊證書依賴方全部下載和管理數(shù)以萬計的移動終端證書操作不便,因而提出本專利的解決方案。一種基于短信數(shù)字證書的移動終端身份認證方法,用于移動終端在收到已認證信息時驗證信息發(fā)送方的身份,包括以下步驟
      1CA中心認證簽名信息1.11CA認證中心的認證服務(wù)單元接收到以移動終端為接收方的待認證信息;1. 2CA認證中心的認證服務(wù)單元根據(jù)待認證信息的發(fā)送方身份標識信息從對外信息庫中提取相應(yīng)的發(fā)送方數(shù)字證書的公鑰文件,使用發(fā)送方數(shù)字證書的公鑰文件對待認證簽名信息的數(shù)字簽名信息進行驗證;如果驗證通過,則執(zhí)行步驟1. 3如果驗證沒通過, 則不對信息作任何處理,直接發(fā)送給移動終端;1.3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;1. 4CA認證中心的認證服務(wù)單元根據(jù)通訊協(xié)議對已認證簽名信息進行格式轉(zhuǎn)換后按照已認證簽名信息中所包括的目標接收方地址發(fā)至目標移動終端;2移動終端的終端信息認證單元接收由CA認證中心發(fā)來的信息,根據(jù)是否攜帶 CA認證中心簽名判斷該信息為已認證簽名信息或未通過認證信息;3移動終端接收已認證信息3. 1移動終端的終端信息認證單元接收由CA認證中心發(fā)來的已認證簽名信息, 并從數(shù)字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;3. 2如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取發(fā)送方身份標識信息和信息內(nèi)容,完成身份認證;3. 3如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內(nèi)容,并向移動終端提示該信息的發(fā)送方身份未得到認證;4移動終端接收未通過認證信息4. 1移動終端的終端信息認證單元接收由CA認證中心發(fā)來的未通過認證簽名信息,從未通過認證簽名信息中提取信息內(nèi)容,并向移動終端提示該信息的發(fā)送方身份未得到認證。一種基于短信數(shù)字證書的移動終端身份認證方法,供證書依賴方認證發(fā)送信息的移動終端的身份,該方法包括以下步驟1生成終端數(shù)字證書1. 1移動終端向CA認證中心的證書申請單元提交終端數(shù)字證書申請;1. 2證書申請單元受理申請后,生成唯一終端身份標識信息,并存儲終端身份標識信息在CA對外信息庫中;1.3移動終端證書生成單元從CA認證中心的證書申請單元下載終端身份標識信息和移動終端證書控件并安裝,所述移動終端證書控件包括CA根證書公鑰文件;證書依賴方從CA認證中心下載CA根證書公鑰文件并保存在依賴方證書管理單元的數(shù)字證書庫中;1.4移動終端的證書生成單元根據(jù)移動終端證書控件生成終端數(shù)字證書的密鑰對,將終端數(shù)字證書的私鑰文件存入移動終端的數(shù)字證書庫中;1. 5移動終端的證書生成單元使用CA根證書公鑰文件對終端身份標識信息和終端數(shù)字證書的公鑰文件進行加密,將加密后的移動終端證書公鑰文件發(fā)送到CA認證中心的證書申請單元;CA認證中心的證書申請單元在收到終端數(shù)字證書的公鑰文件后,使用CA 根證書私鑰文件解密,解密后將終端數(shù)字證書的公鑰文件存入CA認證中心的對外信息庫;
      2移動終端發(fā)送簽名信息2. 1移動終端產(chǎn)生待發(fā)送原始信息(持有人通過界面輸入信息內(nèi)容和接收方地址(如,編輯短信內(nèi)容并輸入接收人手機號碼)并將終端身份標識信息和待發(fā)送原始信息發(fā)送至數(shù)字簽名單元,所述待發(fā)送原始信息包括信息內(nèi)容和目標接收方地址;2. 2數(shù)字簽名單元從數(shù)字證書庫中提取終端數(shù)字證書的私鑰文件,對終端身份標識信息和待發(fā)送原始信息進行數(shù)字簽名,生成待認證的簽名信息;所述待認證的簽名信息包括終端身份標識信息、待發(fā)送原始信息和終端數(shù)字證書的私鑰文件的數(shù)字簽名2. 3移動終端的數(shù)字簽名單元根據(jù)通訊協(xié)議將待認證簽名信息進行格式轉(zhuǎn)換后發(fā)至CA認證中心的認證服務(wù)單元;3CA認證中心驗證簽名信息3. 1]CA認證中心的認證服務(wù)單元接收到由移動終端發(fā)送的待認證簽名信息;3. 2CA認證中心的認證服務(wù)單元根據(jù)待認證信息的終端身份標識信息從對外信息庫中提取相應(yīng)的終端數(shù)字證書的公鑰文件,使用終端數(shù)字證書的公鑰文件對待認證簽名信息的數(shù)字簽名信息進行驗證;如果驗證通過,則執(zhí)行步驟3. 3,如果驗證沒通過,則執(zhí)行步驟23. 3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;3. 4CA認證中心的認證服務(wù)單元根據(jù)通訊協(xié)議對已認證簽名信息進行格式轉(zhuǎn)換后按照已認證簽名信息中所包括的目標接收方地址發(fā)至目標接收方;4證書依賴方接收認證信息4. 1證書依賴方的信息認證單元接收由CA認證中心發(fā)來的已認證簽名信息,并從數(shù)字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取終端身份標識信息和信息內(nèi)容,完成身份認證;如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內(nèi)容, 并向證書依賴方提示該信息的發(fā)送方身份未得到認證。還包括證書更新步驟所述移動終端根據(jù)安裝的移動終端證書控件定期向CA認證中心的查詢CA根證書的版本信息,如果CA根證書發(fā)生更新,則CA認證中心將通知移動終端重新下載移動終端證書控件。還包括證書吊銷步驟如果CA認證中心確認終端數(shù)字證書符合吊銷條件,則將符合吊銷的終端數(shù)字證書添加至證書吊銷單元,并通知移動終端其數(shù)終端數(shù)字證書被吊銷。當CA有證據(jù)表明終端數(shù)字證書訂戶的證書被非法第三方冒用等情況時,可根據(jù)電子認證服務(wù)規(guī)則確認吊銷證書。上述終端身份標識信息是手機號碼、IMEI或IMSI。 實施例
      在實際操作中,由注冊中心(RA)完成訂戶身份材料確認工作,并由RA參與完成移動終端的證書申請,具體步驟如下1生成移動終端證書1. 1由移動終端人向注冊中心RA提交終端數(shù)字證書申請;1. 2注冊中心RA受理申請后,以手機號碼作為移動終端的唯一終端身份標識信息;1.3手機用戶通過下載安裝或預裝激活方式取得帶有手機號碼、CA根證書公鑰文件和RA證書公鑰的證書控件;1. 4證書生成單元根據(jù)證書生成程序產(chǎn)生終端數(shù)字證書的密鑰對,并將終端數(shù)字證書的私鑰文件存入終端數(shù)字證書庫中,證書生成單元使用預先植入的注冊中心RA證書公鑰對唯一終端身份標識信息和終端數(shù)字證書公鑰進行加密,將加密后的移動終端證書公鑰文件發(fā)送到注冊中心RA ;終端身份標識信息是手機號碼、IMEI或IMSI等能夠唯一標識移動終端的信息;1. 5注冊中心RA收到移動終端上傳的加密后的移動終端證書公鑰文件,使用RA 證書私鑰文件解密,使用RA證書私鑰文件對解密后的移動終端上傳移動終端證書公鑰文件進行簽名,將簽名后的移動終端證書公鑰文件轉(zhuǎn)發(fā)至CA認證中心;1.6CA認證中心的證書申請單元在收到RA轉(zhuǎn)發(fā)的移動終端證書公鑰文件后,使用RA證書公鑰文件解密,解密成功后將終端證書公鑰文件存入對外信息庫。在實際實施中,可由運營商現(xiàn)有無線通訊基礎(chǔ)網(wǎng)絡(luò)完成移動終端發(fā)送待認證簽名信息的轉(zhuǎn)發(fā)與請求認證。2移動終端發(fā)送簽名信息2. 1移動終端將手機號碼和待發(fā)送原始信息發(fā)送至證書控件的簽名加密單元;2. 2從數(shù)字證書庫中提取相應(yīng)的終端證書私鑰文件,對手機號碼和原始信息進行數(shù)字簽名;信息收發(fā)單元向數(shù)字簽名單元請求對待發(fā)送信息進行數(shù)字簽名,簽名成功后得到包含簽名、信息內(nèi)容、終端標識三項內(nèi)容的待認證信息,將待認證信息發(fā)送至CA中心的認證服務(wù)單元。2. 3數(shù)字簽名單元將數(shù)字簽名附于待發(fā)送原始信息之后,生成一條待驗證的簽名信息;待驗證的簽名信息包括信息發(fā)送方手機號碼、待驗證的數(shù)字簽名和信息內(nèi)容;2. 4移動終端按預定通訊協(xié)議將待發(fā)送的簽名信息首先發(fā)送至運營商的業(yè)務(wù)系統(tǒng);3運營商接收移動終端發(fā)送信息,轉(zhuǎn)發(fā)至CA認證中心請求簽名驗證3. 1運營商從待驗證的簽名信息中提取信息發(fā)送方手機號碼和待驗證的數(shù)字簽名;3. 2運營商從數(shù)字證書庫中提取相對應(yīng)的終端身份識別證書私鑰文件,對發(fā)送方手機號碼和待驗證的數(shù)字簽名進行簽名,以表明待驗證的數(shù)字簽名所屬的信任鏈;3. 3添加運營商數(shù)字簽名的待驗證數(shù)字簽名發(fā)送至CA認證中心請求驗證;3. 4CA認證中心收到運營商發(fā)送的待驗證簽名后,從對外信息庫中提取運營商的身份識別證書公鑰文件驗證運營商身份,如果驗證成功則提取發(fā)送方手機號碼和待驗證的數(shù)字簽名,如果驗證失敗則拒絕提供簽名驗證服務(wù);
      3. 5CA認證中心根據(jù)發(fā)送方手機號碼從對外信息庫中提取相對應(yīng)的終端數(shù)字證書公鑰文件,對待驗證的數(shù)字簽名進行驗證;如果驗證成功則將發(fā)送方數(shù)字簽名替換為CA根證書簽名,生成已認證簽名信息并發(fā)還運營商系統(tǒng),運營商將已認證信息繼續(xù)傳輸至接收方(也就是證書依賴方),繼續(xù)進行步驟4如果驗證失敗則將通知運營商驗證失敗,運營商只將原始信息傳輸至接收方;4移動終端接收認證信息4. 1作為依賴方的移動終端接收到由運營商發(fā)來的已認證信息;4. 2信息認證單元從已認證信息中提取CA認證中心的數(shù)字簽名;4. 3從數(shù)字證書庫中提取CA認證中心的CA根證書驗證數(shù)字簽名;4. 4顯示驗證結(jié)果;移動終端證書控件的各項功能可分別采用軟件、硬件兩種方式實現(xiàn)1、基于硬件的實施方案。通過由大容量存儲單元和高速CPU為主要組成部分的手機智能SIM卡實現(xiàn)證書控件全部功能,其特征如下1)將CA認證中心的CA根證書文件寫入SIM卡存儲空間;2)通過SIM卡的高速CPU完成終端數(shù)字證書密鑰對生成和公鑰文件上傳;3)通過SIM卡的高速CPU完成移動終端發(fā)送信息加密簽名和接收信息解密驗簽;2、基于軟件的實施方案。通過由證書生成單元、證書管理單元、數(shù)字簽名單元、信息認證單元組成的應(yīng)用軟件完成證書控件全部功能,其特征如下1)將CA認證中心的根證書文件寫入數(shù)字證書庫,與證書控件應(yīng)用程序一同以預裝激活或下載安裝方式在移動終端運行;2)通過證書生成單元完成終端數(shù)字證書密鑰對生成和證書公鑰上傳通過數(shù)字簽名單元完成發(fā)送信息的添加簽名;3)通過信息認證單元完成接收信息的簽名認證。
      權(quán)利要求
      1.一種基于數(shù)字證書的移動終端身份認證系統(tǒng),其特征在于它包括數(shù)字證書認證中心(CA認證中心),移動終端以及移動證書依賴方,所述數(shù)字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務(wù)單元,所述證書申請單元包括用于受理終端數(shù)字證書申請、提供終端身份標識信息和移動終端證書控件下載的申請受理單元和用于接收移動終端上傳的終端數(shù)字證書公鑰文件并使用CA根證書私鑰文件驗證后存入對外信息庫的證書簽發(fā)單元;所述CA證書管理單元包括用于存放終端數(shù)字證書公鑰文件、CA根證書私鑰文件、終端身份標識信息、并向移動證書依賴方提供下載的對外信息庫;所述認證服務(wù)單元包括用于接收待認證簽名信息、發(fā)送已認證簽名信息的信息收發(fā)單元和根據(jù)待認證簽名信息中的終端身份標識信息從CA證書管理單元提取相應(yīng)的終端數(shù)字證書公鑰文件,并對待認證簽名信息進行簽名驗證,在驗證成功信息上添加CA根證書私鑰文件簽名生成已認證簽名信息并將已認證簽名信息通過信息收發(fā)單元發(fā)至對應(yīng)接收方的信息認證單元;所述移動終端包括用于根據(jù)移動終端證書控件生成終端數(shù)字證書的密鑰對,并使用CA 根證書公鑰文件對終端數(shù)字證書公鑰文件加密,上傳至CA認證中心的證書生成單元、終端證書管理單元、數(shù)字簽名單元終端證書管理單元包括用于存放終端數(shù)字證書私鑰文件、CA根證書公鑰文件的終端數(shù)字證書庫;所述數(shù)字簽名單元包括作為移動終端使用終端數(shù)字證書私鑰文件對待發(fā)送原始信息和終端身份標識信息進行簽名并發(fā)送至認證服務(wù)單元的簽名單元和作為移動終端使用終端數(shù)字證書私鑰文件對待發(fā)送原始信息和終端身份標識信息進行加密并發(fā)送至認證服務(wù)單元的加密單元;所述移動證書依賴方包括依賴方證書管理單元和依賴方信息認證單元,所述依賴方證書管理單元包括用于存放依賴方身份識別數(shù)字證書私鑰文件和CA根證書公鑰文件的依賴方數(shù)字證書庫;所述依賴方信息認證單元包括接收CA認證中心發(fā)送的已認證簽名信息,將待驗證的簽名信息發(fā)送至CA認證中心的認證服務(wù)單元的依賴方信息收發(fā)單元和接收依賴方信息收發(fā)單元發(fā)送的已認證簽名信息,使用CA根證書公鑰文件對已認證簽名信息簽名驗證,簽名驗證成功后將信息原始內(nèi)容和終端身份標識信息呈現(xiàn)給依賴方的認證單元。
      2.根據(jù)權(quán)利要求1所述的基于數(shù)字證書的移動終端身份認證系統(tǒng),其特征在于所述 CA證書管理單元還包括向移動證書依賴方提供終端數(shù)字證書吊銷列表查詢的證書吊銷單兀。
      3.根據(jù)權(quán)利要求1或2所述的基于數(shù)字證書的移動終端身份認證系統(tǒng),其特征在于 所述終端證書管理單元還包括用于向CA認證中心的對外信息庫查詢終端數(shù)字證書狀態(tài)并完成終端數(shù)字證書庫中的終端數(shù)字證書公鑰文件更新的終端證書更新單元。
      4.根據(jù)權(quán)利要求3所述的基于數(shù)字證書的移動終端身份認證系統(tǒng),其特征在于所述依賴方證書管理單元還包括用于向CA認證中心對外信息庫查詢并完成依賴方數(shù)字證書庫中CA根證書公鑰文件更新的依賴方證書更新單元。
      5.一種基于短信數(shù)字證書的移動終端身份認證方法,其特征在于該方法包括以下步驟.1生成終端數(shù)字證書.1. 1移動終端向CA認證中心的證書申請單元提交終端數(shù)字證書申請;.1. 2證書申請單元受理申請后,生成唯一終端身份標識信息,并存儲終端身份標識信息在CA對外信息庫中;.1. 3移動終端證書生成單元從CA認證中心的證書申請單元下載終端身份標識信息和移動終端證書控件并安裝,所述移動終端證書控件包括CA根證書公鑰文件;證書依賴方從 CA認證中心下載CA根證書公鑰文件并保存在依賴方證書管理單元的數(shù)字證書庫中;.1.4移動終端的證書生成單元根據(jù)移動終端證書控件生成終端數(shù)字證書的密鑰對,將終端數(shù)字證書的私鑰文件存入移動終端的數(shù)字證書庫中;.1.5移動終端的證書生成單元使用CA根證書公鑰文件對終端身份標識信息和終端數(shù)字證書的公鑰文件進行加密,將加密后的移動終端證書公鑰文件發(fā)送到CA認證中心的證書申請單元;CA認證中心的證書申請單元在收到終端數(shù)字證書的公鑰文件后,使用CA根證書私鑰文件解密,解密后將終端數(shù)字證書的公鑰文件存入CA認證中心的對外信息庫;.2移動終端發(fā)送簽名信息.2.1移動終端產(chǎn)生待發(fā)送原始信息并將終端身份標識信息和待發(fā)送原始信息發(fā)送至數(shù)字簽名單元,所述待發(fā)送原始信息包括信息內(nèi)容和目標接收方地址;.2. 2數(shù)字簽名單元從數(shù)字證書庫中提取終端數(shù)字證書的私鑰文件,對終端身份標識信息和待發(fā)送原始信息進行數(shù)字簽名,生成待認證的簽名信息;所述待認證的簽名信息包括終端身份標識信息、待發(fā)送原始信息和終端數(shù)字證書的私鑰文件的數(shù)字簽名;.2.3移動終端的數(shù)字簽名單元根據(jù)通訊協(xié)議將待認證簽名信息進行格式轉(zhuǎn)換后發(fā)至 CA認證中心的認證服務(wù)單元;.3CA認證中心驗證簽名信息.3.1CA認證中心的認證服務(wù)單元接收到由移動終端發(fā)送的待認證簽名信息;.3. 2CA認證中心的認證服務(wù)單元根據(jù)待認證信息的終端身份標識信息從對外信息庫中提取相應(yīng)的終端數(shù)字證書的公鑰文件,使用終端數(shù)字證書的公鑰文件對待認證簽名信息的數(shù)字簽名信息進行驗證;如果驗證通過,則執(zhí)行步驟3. 3,如果驗證沒通過,則執(zhí)行步驟 2.3. 3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;.3.4CA認證中心的認證服務(wù)單元根據(jù)通訊協(xié)議對已認證簽名信息進行格式轉(zhuǎn)換后按照已認證簽名信息中所包括的目標接收方地址發(fā)至目標接收方;.4證書依賴方接收認證信息.4.1證書依賴方的信息認證單元接收由CA認證中心發(fā)來的已認證簽名信息,并從數(shù)字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取終端身份標識信息和信息內(nèi)容,完成身份認證;如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內(nèi)容,并向證書依賴方提示該信息的發(fā)送方身份未得到認證。
      6.根據(jù)權(quán)利要求5所述的基于短信數(shù)字證書的移動終端身份認證方法,其特征在于 還包括證書更新步驟所述移動終端根據(jù)安裝的移動終端證書控件定期向CA認證中心的查詢CA根證書的版本信息,如果CA根證書發(fā)生更新,則CA認證中心將通知移動終端重新下載移動終端證書控件。
      7.根據(jù)權(quán)利要求5或6所述的基于短信數(shù)字證書的移動終端身份認證方法,其特征在于還包括證書吊銷步驟如果CA認證中心確認終端數(shù)字證書符合吊銷條件,則將符合吊銷的終端數(shù)字證書添加至證書吊銷單元,并通知移動終端其數(shù)終端數(shù)字證書被吊銷。
      8.根據(jù)權(quán)利要求7所述的基于短信數(shù)字證書的移動終端身份認證方法,其特征在于 所述終端身份標識信息是手機號碼、IMEI或IMSI。
      全文摘要
      本發(fā)明涉及一種基于數(shù)字證書的移動終端身份認證系統(tǒng),包括數(shù)字證書認證中心,移動終端以及移動證書依賴方,數(shù)字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務(wù)單元,證書申請單元包括申請受理單元和證書簽發(fā)單元;CA證書管理單元包括對外信息庫;認證服務(wù)單元包括信息收發(fā)單元和信息認證單元;移動終端包括證書生成單元、終端證書管理單元和數(shù)字簽名單元終端證書管理單元包括終端數(shù)字證書庫。本發(fā)明解決了移動互聯(lián)網(wǎng)環(huán)境下缺乏針對移動終端認證機制的技術(shù)問題,終端數(shù)字證書的依賴方不需要下載和保存數(shù)量眾多的移動終端證書公鑰文件,只需要將待驗證的數(shù)字簽名發(fā)送至CA認證中心進行驗證即可,便于普及。
      文檔編號H04W88/02GK102202307SQ201110164368
      公開日2011年9月28日 申請日期2011年6月17日 優(yōu)先權(quán)日2011年6月17日
      發(fā)明者劉明晶, 張璐 申請人:劉明晶
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1