專利名稱:一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機(jī)和信息安全技術(shù)領(lǐng)域,具體涉及移動互聯(lián)網(wǎng)中對移動終端的認(rèn)證的方法����。
背景技術(shù):
移動互聯(lián)網(wǎng)發(fā)展迅速,安全問題面臨挑戰(zhàn)����,如何對移動終端進(jìn)行有效認(rèn)證是關(guān)注的焦點,當(dāng)前有幾種認(rèn)證方法:(I)使用短信����、驗證碼方式。這種方式雖然簡單易行���,但安全性弱�,發(fā)送的短信����、驗證碼等容易被竊取,更有SM的復(fù)制和假冒技術(shù)�,使得信息和通訊無秘密可言。(2)使用特殊硬件設(shè)備��,如帶運算功能的SD卡��,SM卡等,這種方式安全性高�,但用戶成本增加,并且對移動終端的兼容性有所限制����。
發(fā)明內(nèi)容
本發(fā)明為了解決移動無線應(yīng)用中對移動終端設(shè)備的唯一性認(rèn)證的方便性問題,而提供了一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法�,該方法能夠在不向移動終端增加硬件設(shè)備的情況下,使用軟件方法來使應(yīng)用服務(wù)器認(rèn)證移動終端��。為了達(dá)到上述目的�����,本發(fā)明采用如下技術(shù)方案:一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法����,所述認(rèn)證方法包括移動終端注冊部分和移動終端認(rèn)證部分;所述移動終端注冊包括如下步驟:(11)在移動終端中生成公私密鑰對���,并以移動終端設(shè)備信息(如無線號碼�����,設(shè)備序列號)作為請求項����,生成證書請求�����,然后將證書請求發(fā)送給應(yīng)用服務(wù)器進(jìn)行注冊�����;(12)應(yīng)用服務(wù)器收到證書請求進(jìn)行驗證����,驗證通過后,使用應(yīng)用服務(wù)器的私鑰簽發(fā)移動終端軟件數(shù)字證書���,并發(fā)送給移動終端�;(13)移動終端收到軟件數(shù)字證書�,將軟件數(shù)字證書驗證后進(jìn)行保存,完成移動終端設(shè)備的注冊�����;所述移動終端認(rèn)證包括如下步驟:(21)移動終端運行�,對環(huán)境驗證通過后����,向應(yīng)用服務(wù)發(fā)送連接請求�����;(22)應(yīng)用服務(wù)器向移動終端發(fā)送隨機(jī)信息�����;(23)移動終端使用私鑰對隨機(jī)信息簽名�,并發(fā)送給應(yīng)用服務(wù)器;(24)應(yīng)用服務(wù)器驗證簽名信息和證書信息��,驗證通過后獲取移動終端設(shè)備信息���。在本發(fā)明的移動終端注冊方案的最優(yōu)實施例中���,所述步驟(11)中生成的公私鑰包括但不限于RSA密鑰,ECC密鑰�����。進(jìn)一步的,所述步驟(11)中設(shè)備信息包括但不限于無線接入號碼��,設(shè)備序列號�,使用者身份信息���。進(jìn)一步的,所述步驟(11)中證書請求格式包括但不限于pkcslO格式的證書請求��。
進(jìn)一步的����,所述步驟(12)中證書請求驗證包括但不限于以下驗證手段:驗證請求中的公鑰與請求中簽名的私鑰是否匹配��;驗證請求中的請求項內(nèi)容是否被篡改�;驗證請求內(nèi)容中的設(shè)備信息是否與信息發(fā)送設(shè)備匹配,使用者身份是否正確����。進(jìn)一步的,所述步驟(12)中軟件數(shù)字證書包括但不限于符合X509格式的證書��。進(jìn)一步的���,所述步驟(13)中數(shù)字證書驗證包括但不限于以下驗證手段:驗證證書中的公鑰是否與本地的私鑰匹配�����;驗證證書主題信息是否與本移動終端設(shè)備信息匹配���;驗證證書的頒發(fā)者是否是信任的應(yīng)用服務(wù)器����。在本發(fā)明的移動終端認(rèn)證方案的最優(yōu)實施例中���,所述步驟(21)中環(huán)境驗證包括但不限于以下驗證手段:用戶需輸入認(rèn)證信息才能啟動客戶端�����;客戶端證書中的公鑰是否與私鑰匹配�����;客戶端驗證證書主題信息是否與本移動終端設(shè)備信息匹配���;客戶端驗證證書的頒發(fā)者是否是信任的應(yīng)用服務(wù)器。進(jìn)一步的��,所述步驟(22)中隨機(jī)信息包括但不限于數(shù)字��,字符串,圖片內(nèi)容信息���,時間信息����。進(jìn)一步的����,所述步驟(24)中簽名信息和證書信息驗證包括但不限于以下驗證手段:使用移動終端證書公鑰驗證簽名是否正確��;驗證移動終端證書是否本應(yīng)用服務(wù)簽發(fā)����,是否已經(jīng)被廢除;驗證證書主題內(nèi)容中的設(shè)備信息是否與信息發(fā)送設(shè)備匹配����,使用者身份是否正確。根據(jù)上述技術(shù)方案得到的本發(fā)明能夠很好對移動終端進(jìn)行驗證�����,在移動終端無需額外硬件設(shè)備的情況下���,采用數(shù)字證書體系認(rèn)證強(qiáng)度高��,不怕網(wǎng)絡(luò)數(shù)據(jù)被竊取���,而且在注冊時數(shù)字證書內(nèi)容與移動終端設(shè)備信息關(guān)聯(lián)并加入安全客戶端的保護(hù)設(shè)計����,使得安全客戶端以及數(shù)字證書被拷貝到其他的移動設(shè)備中無法使用��,保證了安全性���。
以下結(jié)合附圖和具體實施方式
來進(jìn)一步說明本發(fā)明�。
圖1為本發(fā)明實施時移動終端的示意圖�����。圖2為移動終端向服務(wù)端注冊示意過程���。圖3為服務(wù)器對移動終端的認(rèn)證示意過程����。
具體實施例方式為了使本發(fā)明實現(xiàn)的技術(shù)手段����、創(chuàng)作特征��、達(dá)成目的與功效易于明白了解���,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明����。本發(fā)明提供的基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法,其主要分為移動終端注冊部分和移動終端認(rèn)證部分����。
其中移動終端注冊包括如下步驟:(11)在移動終端中生成公私密鑰對��,并以移動終端設(shè)備信息作為請求項��,生成證書請求���,然后將證書請求發(fā)送給應(yīng)用服務(wù)器進(jìn)行注冊�。參見圖1��,該步驟的實施可以現(xiàn)在移動終端中安裝定制安全客戶端����,該安全客戶端生成公私密鑰對����。其中公私鑰為RSA密鑰����,ECC密鑰,但并不限于此��;設(shè)備信息包括但不限于無線接入號碼��,設(shè)備序列號��,使用者身份信息��;證書請求格式包括但不限于PkcslO格式的證書請求����。(12)應(yīng)用服務(wù)器收到證書請求進(jìn)行驗證,驗證通過后����,使用應(yīng)用服務(wù)器的私鑰簽發(fā)移動終端軟件數(shù)字證書,并發(fā)送給移動終端����。該步驟中證書請求驗證包括但不限于以下驗證手段:a�、驗證請求中的公鑰與請求中簽名的私鑰是否匹配����;b、驗證請求中的請求項內(nèi)容是否被篡改�;C、驗證請求內(nèi)容中的設(shè)備信息是否與信息發(fā)送設(shè)備匹配�����,使用者身份是否正確��。同時該步驟中簽發(fā)的軟件數(shù)字證書為X509格式的證書����,但并不限于此�����。(13)移動終端收到軟件數(shù)字證書�����,將軟件數(shù)字證書驗證后進(jìn)行保存,完成移動終端設(shè)備的注冊��;該步驟中數(shù)字證書驗證包括但不限于以下驗證手段:a����、驗證證書中的公鑰是否與本地的私鑰匹配;b����、驗證證書主題信息是否與本移動終端設(shè)備信息匹配;C�����、驗證證書的頒發(fā)者是否是信任的應(yīng)用服務(wù)器��。本發(fā)明中的移動終端認(rèn)證包括如下步驟:(21)移動終端運行�,對環(huán)境驗證通過后,向應(yīng)用服務(wù)發(fā)送連接請求���。該步驟中環(huán)境驗證包括但不限于以下驗證手段:用戶需輸入認(rèn)證信息才能啟動客戶端��;客戶端證書中的公鑰是否與私鑰匹配���;客戶端驗證證書主題信息是否與本移動終端設(shè)備信息匹配�����;客戶端驗證證書的頒發(fā)者是否是信任的應(yīng)用服務(wù)器�。(22)應(yīng)用服務(wù)器向移動終端發(fā)送隨機(jī)信息�����。該步驟中涉及的隨機(jī)信息包括數(shù)字�,字符串,圖片內(nèi)容信息��,時間信息�����,但并不限于此�。(23)移動終端使用私鑰對隨機(jī)信息簽名,并發(fā)送給應(yīng)用服務(wù)器����。(24)應(yīng)用服務(wù)器驗證簽名信息和證書信息���,驗證通過后獲取移動終端設(shè)備信息�。該步驟中的簽名信息和證書信息驗證包括但不限于以下驗證手段:使用移動終端證書公鑰驗證簽名是否正確;驗證移動終端證書是否本應(yīng)用服務(wù)簽發(fā)�,是否已經(jīng)被廢除;驗證證書主題內(nèi)容中的設(shè)備信息是否與信息發(fā)送設(shè)備匹配���,使用者身份是否正確�?����;谏鲜龇桨?,本發(fā)明的具體實施過程如下:移動終端中的安全客戶端必須向應(yīng)用服務(wù)進(jìn)行注冊,具體步驟如下(參見圖2):
(I)安全客戶端啟動注冊功能���,內(nèi)容包括:a)獲取移動終端無線號碼如13XXXXXXXXX��,獲取移動終端設(shè)備序列號如523846734��。b)生成1024位RSA密鑰對(公鑰Pubkey���,私鑰Privkey),私鑰使用密碼(如12345678)保護(hù)���。c)以無線號碼13XXXXXXXXX作為主題CN項�����,以移動終端設(shè)備序列號523846734作為主題L項,將Pubkey作為公鑰,使用Privkey進(jìn)行以上數(shù)據(jù)簽名����,生成證書請求Req(2)安全客戶端發(fā)送Req到應(yīng)用服務(wù)器。(3)應(yīng)用收到請求數(shù)據(jù)Req���,對數(shù)據(jù)進(jìn)行驗證��,并簽發(fā)證書Cert��,內(nèi)容包括:a)使用Pubkey驗證簽名信息是否正確��。b)驗證發(fā)送移動設(shè)備的無線號碼和序列號是否與請求中的無線號碼13XXXXXXXXX���,移動終端設(shè)備序列號523846734匹配。c)使用應(yīng)用服務(wù)器私鑰SPrivkey簽發(fā)主題CN項為13XXXXXXXXX���,主題L項為523846734���,公鑰為Pubkey的數(shù)字證書Cert�����。(4)應(yīng)用服務(wù)器將為移動終端簽發(fā)好的數(shù)字證書Cert發(fā)送給移動終端。(5)安全客戶端收到Cert后���,進(jìn)行驗證�,內(nèi)容包括:a)使用應(yīng)用服務(wù)器的SPubkey驗證證書簽名����,驗證是否是信任的應(yīng)用服務(wù)器簽發(fā)。b)驗證Cert中的Pubkey是否與本地的Privkey匹配��。c)檢驗Cert中的無線號碼與設(shè)備序列號是否與本移動設(shè)備匹配��。(6)安全客戶端將Cert與Prikey結(jié)合,作為移動終端的數(shù)字證書����。在實施本發(fā)明方法的過程中,應(yīng)用服務(wù)器對移動終端的認(rèn)證步驟如下(參見圖3):(I)安全客戶端啟動���,對運行環(huán)境進(jìn)行驗證�,具體內(nèi)容包括:a)用戶輸入密碼(如12345678)���,安全客戶端打開數(shù)字證書��。b)檢驗數(shù)字證書中的Pubkey和Privkey是否匹配�����。c)檢驗數(shù)字證書中的無線號碼與設(shè)備序列號是否與本移動設(shè)備匹配�����。d)檢驗數(shù)字證書是否為信任的應(yīng)用服務(wù)器簽發(fā)����。(2)安全客戶端向應(yīng)用服務(wù)器發(fā)送連接請求。(3)應(yīng)用服務(wù)器收到請求后向安全客戶端返回隨機(jī)信息,如saf24354gh��。(4)安全客戶端收到隨機(jī)信息�����,使用私鑰PrivKey對隨機(jī)信息進(jìn)行簽名��,將簽名數(shù)據(jù)發(fā)送給應(yīng)用服務(wù)器�。(5)應(yīng)用服務(wù)器收到簽名數(shù)據(jù)后,進(jìn)行驗證����,具體內(nèi)容包括:a)使用移動終端的數(shù)字證書的公鑰Pubkey驗證是否是PrivKey對隨機(jī)信息saf24354gh 的簽名��。b)驗證發(fā)送設(shè)備的無線號與設(shè)備序列號是否與此移動設(shè)備的數(shù)字證書中信息匹配��。c)使用SPubkey驗證此移動設(shè)備的數(shù)字證書中的簽名,判斷此證書是否由本應(yīng)用服務(wù)器簽發(fā)��,同時驗證此數(shù)字證書是否在有效期內(nèi)�����,是否已經(jīng)被廢除�。
(6)應(yīng)用服務(wù)器驗證通過后,向移動終端返回認(rèn)證成功信息��。由該實例可知�,本發(fā)明能夠很好對移動終端進(jìn)行驗證,在不增加硬件認(rèn)證設(shè)備基礎(chǔ)上增強(qiáng)了認(rèn)證的強(qiáng)度�����。以上顯示和描述了本發(fā)明的基本原理�、主要特征和本發(fā)明的優(yōu)點。本行業(yè)的技術(shù)人員應(yīng)該了解�����,本發(fā)明不受上述實施例的限制,上述實施例和說明書中描述的只是說明本發(fā)明的原理�����,在不脫離本發(fā)明精神和范圍的前提下��,本發(fā)明還會有各種變化和改進(jìn)��,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)�。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。
權(quán)利要求
1.一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法����,其特征在于,所述認(rèn)證方法包括移動終端注冊部分和移動終端認(rèn)證部分����; 所述移動終端注冊包括如下步驟: (11)在移動終端中生成公私密鑰對,并以移動終端設(shè)備信息(如無線號碼�����,設(shè)備序列號)作為請求項�����,生成證書請求,然后將證書請求發(fā)送給應(yīng)用服務(wù)器進(jìn)行注冊���; (12)應(yīng)用服務(wù)器收到證書請求進(jìn)行驗證�,驗證通過后�,使用應(yīng)用服務(wù)器的私鑰簽發(fā)移動終端軟件數(shù)字證書,并發(fā)送給移動終端�����; (13)移動終端收到軟件數(shù)字證書����,將軟件數(shù)字證書驗證后進(jìn)行保存�����,完成移動終端設(shè)備的注冊�����; 所述移動終端認(rèn)證包括如下步驟: (21)移動終端運行�,對環(huán)境驗證通過后��,向應(yīng)用服務(wù)發(fā)送連接請求�; (22)應(yīng)用服務(wù)器向移動終端發(fā)送隨機(jī)信息�; (23)移動終端使用私鑰對隨機(jī)信息簽名,并發(fā)送給應(yīng)用服務(wù)器�; (24)應(yīng)用服務(wù)器驗證簽名信息和證書信息,驗證通過后獲取移動終端設(shè)備信息��。
2.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法����,其特征在于,所述步驟(11)中生成的公私鑰包括但不限于RSA密鑰�,ECC密鑰。
3.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法�,其特征在于,所述步驟(11)中設(shè)備信息包括但不限于無線接入號碼�����,設(shè)備序列號��,使用者身份信肩����、O
4.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法�,其特征在于�,所述步驟(11)中證書請求格式包括但不限于PkcslO格式的證書請求。
5.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法�����,其特征在于�����,所述步驟(12)中證書請求驗證包括但不限于以下驗證手段: 驗證請求中的公鑰與請求中簽名的私鑰是否匹配�����; 驗證請求中的請求項內(nèi)容是否被篡改����; 驗證請求內(nèi)容中的設(shè)備信息是否與信息發(fā)送設(shè)備匹配���,使用者身份是否正確��。
6.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法����,其特征在于,所述步驟(12)中軟件數(shù)字證書包括但不限于符合X509格式的證書�。
7.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法,其特征在于���,所述步驟(13)中數(shù)字證書驗證包括但不限于以下驗證手段: 驗證證書中的公鑰是否與本地的私鑰匹配���; 驗證證書主題信息是否與本移動終端設(shè)備信息匹配; 驗證證書的頒發(fā)者是否是信任的應(yīng)用服務(wù)器���。
8.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法����,其特征在于����,所述步驟(21)中環(huán)境驗證包括但不限于以下驗證手段: 用戶需輸入認(rèn)證信息才能啟動客戶端; 客戶端證書中的公鑰是否與私鑰匹配����; 客戶端驗證證書主題信息是否與本移動終端設(shè)備信息匹配; 客戶端驗證證書的頒發(fā)者是否是信任的應(yīng)用服務(wù)器��。
9.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法,其特征在于�,所述步驟(22)中隨機(jī)信息包括但不限于數(shù)字,字符串���,圖片內(nèi)容信息�,時間信息��。
10.根據(jù)權(quán)利要求1所述的一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法��,其特征在于����,所述步驟(24)中簽名信息和證書信息驗證包括但不限于以下驗證手段: 使用移動終端證書公鑰驗證簽名是否正確; 驗證移動終端證書是否本應(yīng)用服務(wù)簽發(fā)����,是否已經(jīng)被廢除; 驗證證書主題內(nèi)容中的設(shè)備信 息是否與信息發(fā)送設(shè)備匹配����,使用者身份是否正確����。
全文摘要
本發(fā)明公開了一種基于軟件數(shù)字證書的移動終端唯一性認(rèn)證方法,屬于計算機(jī)和信息安全技術(shù)領(lǐng)域,具體如下(1)移動終端安裝安全客戶端����,生成與設(shè)備信息關(guān)聯(lián)的證書請求向服務(wù)端注冊。服務(wù)端給移動終端發(fā)放數(shù)字證書��,實現(xiàn)數(shù)字證書與設(shè)備的關(guān)聯(lián)�����。(2)使用時����,服務(wù)端向移動終端發(fā)送隨機(jī)信息,安全客戶端收到信息��,使用本機(jī)的數(shù)字證書私鑰對隨機(jī)信息簽名�����,將簽名數(shù)據(jù)發(fā)送到服務(wù)端��。應(yīng)用服務(wù)器使用數(shù)字證書公鑰驗證簽名�,確認(rèn)通訊對端身份。本發(fā)明能夠很好對移動終端進(jìn)行驗證�����,在不增加硬件認(rèn)證設(shè)備基礎(chǔ)上增強(qiáng)了認(rèn)證的強(qiáng)度。
文檔編號H04L9/32GK103167491SQ20111042116
公開日2013年6月19日 申請日期2011年12月15日 優(yōu)先權(quán)日2011年12月15日
發(fā)明者韓洪慧, 楊文山, 許俊, 任偉 申請人:上海格爾軟件股份有限公司