專(zhuān)利名稱(chēng):基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及移動(dòng)互聯(lián)網(wǎng)的身份認(rèn)證技術(shù),更具體涉及一種通過(guò)數(shù)字證書(shū)對(duì)移動(dòng)終端進(jìn)行身份認(rèn)證的系統(tǒng)。
背景技術(shù):
隨著無(wú)線(xiàn)通訊技術(shù)的發(fā)展,以手機(jī)為代表的移動(dòng)終端被廣泛應(yīng)用于電子商務(wù)領(lǐng)域。在使用移動(dòng)終端傳輸交易信息的過(guò)程中,必須保證信息傳輸?shù)谋C苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可抵賴(lài)性和交易者身份的確定性?,F(xiàn)有的無(wú)線(xiàn)數(shù)據(jù)傳輸協(xié)議缺乏對(duì)移動(dòng)終端的身份認(rèn)證機(jī)制,信息接收方只能通過(guò)手機(jī)號(hào)碼等標(biāo)識(shí)識(shí)別移動(dòng)終端,但無(wú)法確定移動(dòng)終端持有人身份的真實(shí)性。這一問(wèn)題的存在導(dǎo)致基于移動(dòng)終端的交易活動(dòng)面臨信息被篡改、交易主體身份被冒用等多種潛在風(fēng)險(xiǎn), 極大地阻礙移動(dòng)電子商務(wù)正常發(fā)展。盡管現(xiàn)行的數(shù)字證書(shū)認(rèn)證服務(wù)體系支持受理個(gè)人證書(shū)申請(qǐng),但其適用范圍局限在普通PC機(jī),尚未提出一種專(zhuān)門(mén)用于包括手機(jī)在內(nèi)各種移動(dòng)終端的認(rèn)證機(jī)制。
實(shí)用新型內(nèi)容本實(shí)用新型目的在于提供一種通過(guò)數(shù)字證書(shū)對(duì)移動(dòng)終端進(jìn)行身份認(rèn)證的系統(tǒng),以解決移動(dòng)互聯(lián)網(wǎng)環(huán)境下缺乏針對(duì)移動(dòng)終端認(rèn)證機(jī)制的技術(shù)問(wèn)題。本實(shí)用新型技術(shù)解決方案一種基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng),其特殊之處在于它包括數(shù)字證書(shū)認(rèn)證中心(CA認(rèn)證中心),移動(dòng)終端以及移動(dòng)證書(shū)依賴(lài)方,所述數(shù)字證書(shū)認(rèn)證中心包括證書(shū)申請(qǐng)單元、CA證書(shū)管理單元以及認(rèn)證服務(wù)單元,所述證書(shū)申請(qǐng)單元包括用于受理終端數(shù)字證書(shū)申請(qǐng)、提供終端身份標(biāo)識(shí)信息和移動(dòng)終端證書(shū)控件下載的申請(qǐng)受理單元和用于接收移動(dòng)終端上傳的終端數(shù)字證書(shū)公鑰文件并使用CA根證書(shū)私鑰文件驗(yàn)證后存入對(duì)外信息庫(kù)的證書(shū)簽發(fā)單元;CA根證書(shū)私鑰文件存儲(chǔ)在CA證書(shū)管理單元(通常保存于磁盤(pán)特定區(qū)域或移動(dòng)存儲(chǔ)設(shè)備中)所述CA證書(shū)管理單元包括用于存放終端數(shù)字證書(shū)公鑰文件、終端身份標(biāo)識(shí)信息、并向移動(dòng)證書(shū)依賴(lài)方提供下載的對(duì)外信息庫(kù);所述認(rèn)證服務(wù)單元包括用于接收待認(rèn)證簽名信息、發(fā)送已認(rèn)證簽名信息的信息收發(fā)單元和根據(jù)待認(rèn)證簽名信息中的終端身份標(biāo)識(shí)信息從CA證書(shū)管理單元提取相應(yīng)的終端數(shù)字證書(shū)公鑰文件,并對(duì)待認(rèn)證簽名信息進(jìn)行簽名驗(yàn)證,在驗(yàn)證成功信息上添加CA根證書(shū)私鑰文件簽名生成已認(rèn)證簽名信息并將已認(rèn)證簽名信息通過(guò)信息收發(fā)單元發(fā)至對(duì)應(yīng)接收方的信息認(rèn)證單元;所述移動(dòng)終端包括用于根據(jù)移動(dòng)終端證書(shū)控件生成終端數(shù)字證書(shū)的密鑰對(duì),并使用CA根證書(shū)公鑰文件對(duì)終端數(shù)字證書(shū)公鑰文件加密,上傳至CA認(rèn)證中心的證書(shū)生成單元、終端證書(shū)管理單元、數(shù)字簽名單元以及終端信息認(rèn)證單元終端證書(shū)管理單元包括用于存放終端數(shù)字證書(shū)私鑰文件、CA根證書(shū)公鑰文件的終端數(shù)字證書(shū)庫(kù);所述數(shù)字簽名單元包括作為移動(dòng)終端使用終端數(shù)字證書(shū)私鑰文件對(duì)待發(fā)送原始信息和終端身份標(biāo)識(shí)信息進(jìn)行簽名并發(fā)送至認(rèn)證服務(wù)單元的簽名單元和作為移動(dòng)終端使用終端數(shù)字證書(shū)私鑰文件對(duì)待發(fā)送原始信息和終端身份標(biāo)識(shí)信息進(jìn)行加密并發(fā)送至認(rèn)證服務(wù)單元的加密單元;所述移動(dòng)證書(shū)依賴(lài)方包括依賴(lài)方證書(shū)管理單元和依賴(lài)方信息認(rèn)證單元,所述依賴(lài)方證書(shū)管理單元包括用于存放依賴(lài)方身份識(shí)別數(shù)字證書(shū)私鑰文件和CA根證書(shū)公鑰文件的依賴(lài)方數(shù)字證書(shū)庫(kù);所述依賴(lài)方信息認(rèn)證單元包括接收CA認(rèn)證中心發(fā)送的已認(rèn)證簽名信息,將待驗(yàn)證的簽名信息發(fā)送至CA認(rèn)證中心的認(rèn)證服務(wù)單元的依賴(lài)方信息收發(fā)單元和接收依賴(lài)方信·息收發(fā)單元發(fā)送的已認(rèn)證簽名信息,使用CA根證書(shū)公鑰文件對(duì)已認(rèn)證簽名信息簽名驗(yàn)證,簽名驗(yàn)證成功后將信息原始內(nèi)容和終端身份標(biāo)識(shí)信息呈現(xiàn)給依賴(lài)方的認(rèn)證單元。上述CA證書(shū)管理單元還包括向移動(dòng)證書(shū)依賴(lài)方提供終端數(shù)字證書(shū)吊銷(xiāo)列表查詢(xún)的證書(shū)吊銷(xiāo)單元。上述終端證書(shū)管理單元還包括用于向CA認(rèn)證中心的對(duì)外信息庫(kù)查詢(xún)終端數(shù)字證書(shū)狀態(tài)并完成終端數(shù)字證書(shū)庫(kù)中的終端數(shù)字證書(shū)公鑰文件更新的終端證書(shū)更新單元。上述依賴(lài)方證書(shū)管理單元還包括用于向CA認(rèn)證中心對(duì)外信息庫(kù)查詢(xún)并完成依賴(lài)方數(shù)字證書(shū)庫(kù)中CA根證書(shū)公鑰文件更新的依賴(lài)方證書(shū)更新單元。上述移動(dòng)終端還包括終端信息認(rèn)證單元,所述終端信息認(rèn)證單元用于在移動(dòng)終端收到由CA認(rèn)證服務(wù)單元發(fā)送的已認(rèn)證簽名信息后,使用CA根證書(shū)公鑰文件對(duì)已經(jīng)通過(guò)CA中心認(rèn)證的已認(rèn)證簽名信息進(jìn)行驗(yàn)證,簽名驗(yàn)證成功后將信息內(nèi)容和發(fā)送方的身份標(biāo)識(shí)信息呈現(xiàn)給移動(dòng)終端所述的移動(dòng)終端信息認(rèn)證單元,本意是用來(lái)解決當(dāng)移動(dòng)終端充當(dāng)證書(shū)依賴(lài)方時(shí)的信息認(rèn)證問(wèn)題。其工作機(jī)制與“依賴(lài)方信息認(rèn)證單元”完全一致,但為了凸顯本系統(tǒng)中的移動(dòng)終端既可以作為信息發(fā)送方,向證書(shū)依賴(lài)方發(fā)送認(rèn)證信息、也可以作為證書(shū)依賴(lài)方接收其他移動(dòng)終端發(fā)送的認(rèn)證信息,即能夠認(rèn)證和被認(rèn)證。此處可理解為,對(duì)證書(shū)依賴(lài)方的一種特例的描述,即移動(dòng)終端作為依賴(lài)方。一種基于短信數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證方法,供作為證書(shū)依賴(lài)方的移動(dòng)終端的認(rèn)證信息發(fā)送方身份,其特殊之處在于該方法包括以下步驟只有證書(shū)訂戶(hù)(證書(shū)申請(qǐng)和持有人)才擁有身份識(shí)別標(biāo)識(shí)和證書(shū)私鑰,證書(shū)依賴(lài)方無(wú)身份標(biāo)識(shí)和證書(shū)私鑰、只能下載證書(shū)訂戶(hù)上傳到CA對(duì)外信息庫(kù)的該訂戶(hù)證書(shū)公鑰來(lái)驗(yàn)證簽名。此處詳細(xì)解釋移動(dòng)終端作為證書(shū)訂戶(hù)是如何產(chǎn)生身份標(biāo)識(shí)信息和證書(shū)公鑰、私鑰文件的,如果刪除的話(huà),將無(wú)法說(shuō)明移動(dòng)終端在發(fā)送信息時(shí),用什么工具在原始信息中添加身份標(biāo)識(shí)信息和數(shù)字簽名。涉及到一種特殊情況移動(dòng)終端也可能成為證書(shū)依賴(lài)方,而此時(shí)移動(dòng)終端只需要利用CA根證書(shū)公鑰驗(yàn)證CA認(rèn)證服務(wù)單元發(fā)來(lái)的已認(rèn)證簽名信息中的CA數(shù)字簽名,驗(yàn)證成功后將信息內(nèi)容和發(fā)送方身份標(biāo)識(shí)信息(信息發(fā)送方擁有身份標(biāo)識(shí)信息、持有數(shù)字證書(shū)私鑰文件)展示給作為依賴(lài)方的移動(dòng)終端。傳統(tǒng)方案中,證書(shū)訂戶(hù)數(shù)量有限,證書(shū)依賴(lài)方可以下載全部證書(shū)公鑰文件用于簽名驗(yàn)證,但移動(dòng)終端作為證書(shū)訂戶(hù)時(shí)比較特殊證書(shū)依賴(lài)方全部下載和管理數(shù)以萬(wàn)計(jì)的移動(dòng)終端證書(shū)操作不便,因而提出本專(zhuān)利的解決方案。一種基于短信數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證方法,用于移動(dòng)終端在收到已認(rèn)證信息時(shí)驗(yàn)證信息發(fā)送方的身 份,包括以下步驟ICA中心認(rèn)證簽名信息1.11CA認(rèn)證中心的認(rèn)證服務(wù)單元接收到以移動(dòng)終端為接收方的待認(rèn)證信息;I. 2CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)待認(rèn)證信息的發(fā)送方身份標(biāo)識(shí)信息從對(duì)外信息庫(kù)中提取相應(yīng)的發(fā)送方數(shù)字證書(shū)的公鑰文件,使用發(fā)送方數(shù)字證書(shū)的公鑰文件對(duì)待認(rèn)證簽名信息的數(shù)字簽名信息進(jìn)行驗(yàn)證;如果驗(yàn)證通過(guò),則執(zhí)行步驟I. 3如果驗(yàn)證沒(méi)通過(guò),則不對(duì)信息作任何處理,直接發(fā)送給移動(dòng)終端;I. 3CA認(rèn)證中心使用CA根證書(shū)私鑰文件對(duì)通過(guò)驗(yàn)證的待認(rèn)證簽名信息進(jìn)行簽名,生成已認(rèn)證簽名信息;I. 4CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)通訊協(xié)議對(duì)已認(rèn)證簽名信息進(jìn)行格式轉(zhuǎn)換后按照已認(rèn)證簽名信息中所包括的目標(biāo)接收方地址發(fā)至目標(biāo)移動(dòng)終端;2移動(dòng)終端的終端信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的信息,根據(jù)是否攜帶CA認(rèn)證中心簽名判斷該信息為已認(rèn)證簽名信息或未通過(guò)認(rèn)證信息;3移動(dòng)終端接收已認(rèn)證信息3. I移動(dòng)終端的終端信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的已認(rèn)證簽名信息,并從數(shù)字證書(shū)庫(kù)中提取CA根證書(shū)公鑰文件,對(duì)已認(rèn)證簽名信息的CA根證書(shū)私鑰文件簽名進(jìn)行驗(yàn)證;3. 2如果已認(rèn)證簽名信息的簽名驗(yàn)證成功,則從已認(rèn)證簽名信息中提取發(fā)送方身份標(biāo)識(shí)信息和信息內(nèi)容,完成身份認(rèn)證;3. 3如果已認(rèn)證簽名信息的簽名驗(yàn)證失敗,則只從已認(rèn)證簽名信息中提取信息內(nèi)容,并向移動(dòng)終端提示該信息的發(fā)送方身份未得到認(rèn)證;4移動(dòng)終端接收未通過(guò)認(rèn)證信息4. I移動(dòng)終端的終端信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的未通過(guò)認(rèn)證簽名信息,從未通過(guò)認(rèn)證簽名信息中提取信息內(nèi)容,并向移動(dòng)終端提示該信息的發(fā)送方身份未得到認(rèn)證。一種基于短信數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證方法,供證書(shū)依賴(lài)方認(rèn)證發(fā)送信息的移動(dòng)終端的身份,其特征在于該方法包括以下步驟I生成終端數(shù)字證書(shū)I. I移動(dòng)終端向CA認(rèn)證中心的證書(shū)申請(qǐng)單元提交終端數(shù)字證書(shū)申請(qǐng);I. 2證書(shū)申請(qǐng)單元受理申請(qǐng)后,生成唯一終端身份標(biāo)識(shí)信息,并存儲(chǔ)終端身份標(biāo)識(shí)信息在CA對(duì)外信息庫(kù)中;I. 3移動(dòng)終端證書(shū)生成單元從CA認(rèn)證中心的證書(shū)申請(qǐng)單元下載終端身份標(biāo)識(shí)信息和移動(dòng)終端證書(shū)控件并安裝,所述移動(dòng)終端證書(shū)控件包括CA根證書(shū)公鑰文件;證書(shū)依賴(lài)方從CA認(rèn)證中心下載CA根證書(shū)公鑰文件并保存在依賴(lài)方證書(shū)管理單元的數(shù)字證書(shū)庫(kù)中;[0047]I. 4移動(dòng)終端的證書(shū)生成單元根據(jù)移動(dòng)終端證書(shū)控件生成終端數(shù)字證書(shū)的密鑰對(duì),將終端數(shù)字證書(shū)的私鑰文件存入移動(dòng)終端的數(shù)字證書(shū)庫(kù)中;I. 5移動(dòng)終端的證書(shū)生成單元使用CA根證書(shū)公鑰文件對(duì)終端身份標(biāo)識(shí)信息和終端數(shù)字證書(shū)的公鑰文件進(jìn)行加密,將加密后的移動(dòng)終端證書(shū)公鑰文件發(fā)送到CA認(rèn)證中心的證書(shū)申請(qǐng)單元;CA認(rèn)證中心的證書(shū)申請(qǐng)單元在收到終端數(shù)字證書(shū)的公鑰文件后,使用CA根證書(shū)私鑰文件解密,解密后將終端數(shù)字證書(shū)的公鑰文件存入CA認(rèn)證中心的對(duì)外信息庫(kù);2移動(dòng)終端發(fā)送簽名信息2. I移動(dòng)終端產(chǎn)生待發(fā)送原始信息(持有人通過(guò)界面輸入信息內(nèi)容和接收方地址(如,編輯短信內(nèi)容并輸入接收人手機(jī)號(hào)碼)并將終端身份標(biāo)識(shí)信息和待發(fā)送原始信息發(fā)送至數(shù)字簽名單元,所述待發(fā)送原始信息包括信息內(nèi)容和目標(biāo)接收方地址;2. 2數(shù)字簽名單元從數(shù)字證書(shū)庫(kù)中提取終端數(shù)字證書(shū)的私鑰文件,對(duì)終端身份標(biāo) 識(shí)信息和待發(fā)送原始信息進(jìn)行數(shù)字簽名,生成待認(rèn)證的簽名信息;所述待認(rèn)證的簽名信息包括終端身份標(biāo)識(shí)信息、待發(fā)送原始信息和終端數(shù)字證書(shū)的私鑰文件的數(shù)字簽名2. 3移動(dòng)終端的數(shù)字簽名單元根據(jù)通訊協(xié)議將待認(rèn)證簽名信息進(jìn)行格式轉(zhuǎn)換后發(fā)至CA認(rèn)證中心的認(rèn)證服務(wù)單元;3CA認(rèn)證中心驗(yàn)證簽名信息3. I
CA認(rèn)證中心的認(rèn)證服務(wù)單元接收到由移動(dòng)終端發(fā)送的待認(rèn)證簽名信息;3. 2CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)待認(rèn)證信息的終端身份標(biāo)識(shí)信息從對(duì)外信息庫(kù)中提取相應(yīng)的終端數(shù)字證書(shū)的公鑰文件,使用終端數(shù)字證書(shū)的公鑰文件對(duì)待認(rèn)證簽名信息的數(shù)字簽名信息進(jìn)行驗(yàn)證;如果驗(yàn)證通過(guò),則執(zhí)行步驟3. 3,如果驗(yàn)證沒(méi)通過(guò),則執(zhí)行步驟23. 3CA認(rèn)證中心使用CA根證書(shū)私鑰文件對(duì)通過(guò)驗(yàn)證的待認(rèn)證簽名信息進(jìn)行簽名,生成已認(rèn)證簽名信息;3. 4CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)通訊協(xié)議對(duì)已認(rèn)證簽名信息進(jìn)行格式轉(zhuǎn)換后按照已認(rèn)證簽名信息中所包括的目標(biāo)接收方地址發(fā)至目標(biāo)接收方;4證書(shū)依賴(lài)方接收認(rèn)證信息4. I證書(shū)依賴(lài)方的信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的已認(rèn)證簽名信息,并從數(shù)字證書(shū)庫(kù)中提取CA根證書(shū)公鑰文件,對(duì)已認(rèn)證簽名信息的CA根證書(shū)私鑰文件簽名進(jìn)行驗(yàn)證;如果已認(rèn)證簽名信息的簽名驗(yàn)證成功,則從已認(rèn)證簽名信息中提取終端身份標(biāo)識(shí)信息和信息內(nèi)容,完成身份認(rèn)證; 如果已認(rèn)證簽名信息的簽名驗(yàn)證失敗,則只從已認(rèn)證簽名信息中提取信息內(nèi)容,并向證書(shū)依賴(lài)方提示該信息的發(fā)送方身份未得到認(rèn)證。還包括證書(shū)更新步驟所述移動(dòng)終端根據(jù)安裝的移動(dòng)終端證書(shū)控件定期向CA認(rèn)證中心的查詢(xún)CA根證書(shū)的版本信息,如果CA根證書(shū)發(fā)生更新,則CA認(rèn)證中心將通知移動(dòng)終端重新下載移動(dòng)終端證書(shū)控件。還包括證書(shū)吊銷(xiāo)步驟如果CA認(rèn)證中心確認(rèn)終端數(shù)字證書(shū)符合吊銷(xiāo)條件,則將符合吊銷(xiāo)的終端數(shù)字證書(shū)添加至證書(shū)吊銷(xiāo)單元,并通知移動(dòng)終端其數(shù)終端數(shù)字證書(shū)被吊銷(xiāo)。當(dāng)CA有證據(jù)表明終端數(shù)字證書(shū)訂戶(hù)的證書(shū)被非法第三方冒用等情況時(shí),可根據(jù)電子認(rèn)證服務(wù)規(guī)則確認(rèn)吊銷(xiāo)證書(shū)。上述終端身份標(biāo)識(shí)信息是手機(jī)號(hào)碼、IMEI或MSI。本實(shí)用新型所具有的優(yōu)點(diǎn)I、適用于包括智能手機(jī)、平板電腦在內(nèi)的各種帶有無(wú)線(xiàn)通訊功能的移動(dòng)終端設(shè)備。2、終端數(shù)字證書(shū)的依賴(lài)方不需要下載和保存數(shù)量眾多的移動(dòng)終端證書(shū)公鑰文件,只需要將待驗(yàn)證的數(shù)字簽名發(fā)送至CA認(rèn)證中心進(jìn)行驗(yàn)證即可,便于普及。
圖I為本實(shí)用新型的系統(tǒng)的結(jié)構(gòu)示意圖;具體實(shí)施方式
一種基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng),它包括數(shù)字證書(shū)認(rèn)證中心(CA認(rèn)證中心),移動(dòng)終端以及移動(dòng)證書(shū)依賴(lài)方,數(shù)字證書(shū)認(rèn)證中心包括證書(shū)申請(qǐng)單元、CA證書(shū)管理單元以及認(rèn)證服務(wù)單元,證書(shū)申請(qǐng)單元包括用于受理終端數(shù)字證書(shū)申請(qǐng)、提供終端身份標(biāo)識(shí)信息和移動(dòng)終端證書(shū)控件下載的申請(qǐng)受理單元和用于接收移動(dòng)終端上傳的終端數(shù)字證書(shū)公鑰文件并使用CA根證書(shū)私鑰文件驗(yàn)證后存入對(duì)外信息庫(kù)的證書(shū)簽發(fā)單元;CA根證書(shū)私鑰文件存儲(chǔ)在CA證書(shū)管理單元(通常保存于磁盤(pán)特定區(qū)域或移動(dòng)存儲(chǔ)設(shè)備中)CA證書(shū)管理單元包括用于存放終端數(shù)字證書(shū)公鑰文件、終端身份標(biāo)識(shí)信息、并向移動(dòng)證書(shū)依賴(lài)方提供下載的對(duì)外信息庫(kù);認(rèn)證服務(wù)單元包括用于接收待認(rèn)證簽名信息、發(fā)送已認(rèn)證簽名信息的信息收發(fā)單元和根據(jù)待認(rèn)證簽名信息中的終端身份標(biāo)識(shí)信息從CA證書(shū)管理單元提取相應(yīng)的終端數(shù)字證書(shū)公鑰文件,并對(duì)待認(rèn)證簽名信息進(jìn)行簽名驗(yàn)證,在驗(yàn)證成功信息上添加CA根證書(shū)私鑰文件簽名生成已認(rèn)證簽名信息并將已認(rèn)證簽名信息通過(guò)信息收發(fā)單元發(fā)至對(duì)應(yīng)接收方的信息認(rèn)證單元;移動(dòng)終端包括用于根據(jù)移動(dòng)終端證書(shū)控件生成終端數(shù)字證書(shū)的密鑰對(duì),并使用CA根證書(shū)公鑰文件對(duì)終端數(shù)字證書(shū)公鑰文件加密,上傳至CA認(rèn)證中心的證書(shū)生成單元、終端證書(shū)管理單元、數(shù)字簽名單元以及終端信息認(rèn)證單元終端證書(shū)管理單元包括用于存放終端數(shù)字證書(shū)私鑰文件、CA根證書(shū)公鑰文件的終端數(shù)字證書(shū)庫(kù);數(shù)字簽名單元包括作為移動(dòng)終端使用終端數(shù)字證書(shū)私鑰文件對(duì)待發(fā)送原始信息和終端身份標(biāo)識(shí)信息進(jìn)行簽名并發(fā)送至認(rèn)證服務(wù)單元的簽名單元和作為移動(dòng)終端使用終端數(shù)字證書(shū)私鑰文件對(duì)待發(fā)送原始信息和終端身份標(biāo)識(shí)信息進(jìn)行加密并發(fā)送至認(rèn)證服務(wù)單元的加密單元;移動(dòng)證書(shū)依賴(lài)方包括依賴(lài)方證書(shū)管理單元和依賴(lài)方信息認(rèn)證單元,依賴(lài)方證書(shū)管理單元包括用于存放依賴(lài)方身份識(shí)別數(shù)字證書(shū)私鑰文件和CA根證書(shū)公鑰文件的依賴(lài)方數(shù)字證書(shū)庫(kù);依賴(lài)方信息認(rèn)證單元包括接收CA認(rèn)證中心發(fā)送的已認(rèn)證簽名信息,將待驗(yàn)證的簽名信息發(fā)送至CA認(rèn)證中心的認(rèn)證服務(wù)單元的依賴(lài)方信息收發(fā)單元和接收依賴(lài)方信息收發(fā)單元發(fā)送的已認(rèn)證簽名信息,使用CA根證書(shū)公鑰文件對(duì)已認(rèn)證簽名信息簽名驗(yàn)證,簽名驗(yàn)證成功后將信息原始內(nèi)容和終端身份標(biāo)識(shí)信息呈現(xiàn)給依賴(lài)方的認(rèn)證單元。CA證書(shū)管理單元還包括向移動(dòng)證書(shū)依賴(lài)方提供終端數(shù)字證書(shū)吊銷(xiāo)列表查詢(xún)的證書(shū)吊銷(xiāo)單兀。終端證書(shū)管理單元還包括用于向CA認(rèn)證中心的對(duì)外信息庫(kù)查詢(xún)終端數(shù)字證書(shū)狀態(tài)并完成終端數(shù)字證書(shū)庫(kù)中的終端數(shù)字證書(shū)公鑰文件更新的終端證書(shū)更新單元。依賴(lài)方證書(shū)管理單元還包括用于向CA認(rèn)證中心對(duì)外信息庫(kù)查詢(xún)并完成依賴(lài)方數(shù)字證書(shū)庫(kù)中CA根證書(shū)公鑰文件更新的依賴(lài)方證書(shū)更新單元。 移動(dòng)終端還包括終端信息認(rèn)證單元,終端信息認(rèn)證單元用于在移動(dòng)終端收到由CA認(rèn)證服務(wù)單元發(fā)送的已認(rèn)證簽名信息后,使用CA根證書(shū)公鑰文件對(duì)已經(jīng)通過(guò)CA中心認(rèn)證的已認(rèn)證簽名信息進(jìn)行驗(yàn)證,簽名驗(yàn)證成功后將信息內(nèi)容和發(fā)送方的身份標(biāo)識(shí)信息呈現(xiàn)給移動(dòng)終端移動(dòng)終端信息認(rèn)證單元,本意是用來(lái)解決當(dāng)移動(dòng)終端充當(dāng)證書(shū)依賴(lài)方時(shí)的信息認(rèn)證問(wèn)題。其工作機(jī)制與“依賴(lài)方信息認(rèn)證單元”完全一致,但為了凸顯本系統(tǒng)中的移動(dòng)終端既可以作為信息發(fā)送方,向證書(shū)依賴(lài)方發(fā)送認(rèn)證信息、也可以作為證書(shū)依賴(lài)方接收其他移動(dòng)終端發(fā)送的認(rèn)證信息,即能夠認(rèn)證和被認(rèn)證。此處可理解為,對(duì)證書(shū)依賴(lài)方的一種特例的描述,即移動(dòng)終端作為依賴(lài)方。一種基于短信數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證方法,供作為證書(shū)依賴(lài)方的移動(dòng)終端的認(rèn)證信息發(fā)送方身份,該方法包括以下步驟只有證書(shū)訂戶(hù)(證書(shū)申請(qǐng)和持有人)才擁有身份識(shí)別標(biāo)識(shí)和證書(shū)私鑰,證書(shū)依賴(lài)方無(wú)身份標(biāo)識(shí)和證書(shū)私鑰、只能下載證書(shū)訂戶(hù)上傳到CA對(duì)外信息庫(kù)的該訂戶(hù)證書(shū)公鑰來(lái)驗(yàn)證簽名。此處詳細(xì)解釋移動(dòng)終端作為證書(shū)訂戶(hù)是如何產(chǎn)生身份標(biāo)識(shí)信息和證書(shū)公鑰、私鑰文件的,如果刪除的話(huà),將無(wú)法說(shuō)明移動(dòng)終端在發(fā)送信息時(shí),用什么工具在原始信息中添加身份標(biāo)識(shí)信息和數(shù)字簽名。涉及到一種特殊情況移動(dòng)終端也可能成為證書(shū)依賴(lài)方,而此時(shí)移動(dòng)終端只需要利用CA根證書(shū)公鑰驗(yàn)證CA認(rèn)證服務(wù)單元發(fā)來(lái)的已認(rèn)證簽名信息中的CA數(shù)字簽名,驗(yàn)證成功后將信息內(nèi)容和發(fā)送方身份標(biāo)識(shí)信息(信息發(fā)送方擁有身份標(biāo)識(shí)信息、持有數(shù)字證書(shū)私鑰文件)展示給作為依賴(lài)方的移動(dòng)終端。傳統(tǒng)方案中,證書(shū)訂戶(hù)數(shù)量有限,證書(shū)依賴(lài)方可以下載全部證書(shū)公鑰文件用于簽名驗(yàn)證,但移動(dòng)終端作為證書(shū)訂戶(hù)時(shí)比較特殊證書(shū)依賴(lài)方全部下載和管理數(shù)以萬(wàn)計(jì)的移動(dòng)終端證書(shū)操作不便,因而提出本專(zhuān)利的解決方案。一種基于短信數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證方法,用于移動(dòng)終端在收到已認(rèn)證信息時(shí)驗(yàn)證信息發(fā)送方的身份,包括以下步驟ICA中心認(rèn)證簽名信息I. I
CA認(rèn)證中心的認(rèn)證服務(wù)單元接收到以移動(dòng)終端為接收方的待認(rèn)證信息;I. 2CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)待認(rèn)證信息的發(fā)送方身份標(biāo)識(shí)信息從對(duì)外信息庫(kù)中提取相應(yīng)的發(fā)送方數(shù)字證書(shū)的公鑰文件,使用發(fā)送方數(shù)字證書(shū)的公鑰文件對(duì)待認(rèn)證簽名信息的數(shù)字簽名信息進(jìn)行驗(yàn)證;如果驗(yàn)證通過(guò),則執(zhí)行步驟I. 3如果驗(yàn)證沒(méi)通過(guò),則不對(duì)信息作任何處理,直接發(fā)送給移動(dòng)終端;I. 3CA認(rèn)證中心使用CA根證書(shū)私鑰文件對(duì)通過(guò)驗(yàn)證的待認(rèn)證簽名信息進(jìn)行簽名,生成已認(rèn)證簽名信息;I. 4CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)通訊協(xié)議對(duì)已認(rèn)證簽名信息進(jìn)行格式轉(zhuǎn)換后按照已認(rèn)證簽名信息中所包括的目標(biāo)接收方地址發(fā)至目標(biāo)移動(dòng)終端;2移動(dòng)終端的終端信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的信息,根據(jù)是否攜帶CA認(rèn)證中心簽名判斷該信息為已認(rèn)證簽名信息或未通過(guò)認(rèn)證信息;3移動(dòng)終端接收已認(rèn)證信息3. I移動(dòng)終端的終端信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的已認(rèn)證簽名信息,并從數(shù)字證書(shū)庫(kù)中提取CA根證書(shū)公鑰文件,對(duì)已認(rèn)證簽名信息的CA根證書(shū)私鑰文件簽名進(jìn)行驗(yàn)證;3. 2如果已認(rèn)證簽名信息的簽名驗(yàn)證成功,則從已認(rèn)證簽名信息中提取發(fā)送方身份標(biāo)識(shí)信息和信息內(nèi)容,完成身份認(rèn)證;3. 3如果已認(rèn)證簽名信息的簽名驗(yàn)證失敗,則只從已認(rèn)證簽名信息中提取信息內(nèi)容,并向移動(dòng)終端提示該信息的發(fā)送方身份未得到認(rèn)證;4移動(dòng)終端接收未通過(guò)認(rèn)證信息4. I移動(dòng)終端的終端信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的未通過(guò)認(rèn)證簽名信息,從未通過(guò)認(rèn)證簽名信息中提取信息內(nèi)容,并向移動(dòng)終端提示該信息的發(fā)送方身份未得到認(rèn)證。一種基于短信數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證方法,供證書(shū)依賴(lài)方認(rèn)證發(fā)送信息的移動(dòng)終端的身份,該方法包括以下步驟I生成終端數(shù)字證書(shū)I. I移動(dòng)終端向CA認(rèn)證中心的證書(shū)申請(qǐng)單元提交終端數(shù)字證書(shū)申請(qǐng);I. 2證書(shū)申請(qǐng)單元受理申請(qǐng)后,生成唯一終端身份標(biāo)識(shí)信息,并存儲(chǔ)終端身份標(biāo)識(shí)信息在CA對(duì)外信息庫(kù)中;1.3移動(dòng)終端證書(shū)生成單元從CA認(rèn)證中心的證書(shū)申請(qǐng)單元下載終端身份標(biāo)識(shí)信息和移動(dòng)終端證書(shū)控件并安裝,所述移動(dòng)終端證書(shū)控件包括CA根證書(shū)公鑰文件;證書(shū)依賴(lài)方從CA認(rèn)證中心下載CA根證書(shū)公鑰文件并保存在依賴(lài)方證書(shū)管理單元的數(shù)字證書(shū)庫(kù)中;I. 4移動(dòng)終端的證書(shū)生成單元根據(jù)移動(dòng)終端證書(shū)控件生成終端數(shù)字證書(shū)的密鑰對(duì),將終端數(shù)字證書(shū)的私鑰文件存入移動(dòng)終端的數(shù)字證書(shū)庫(kù)中;I. 5移動(dòng)終端的證書(shū)生成單元使用CA根證書(shū)公鑰文件對(duì)終端身份標(biāo)識(shí)信息和終端數(shù)字證書(shū)的公鑰文件進(jìn)行加密,將加密后的移動(dòng)終端證書(shū)公鑰文件發(fā)送到CA認(rèn)證中心的證書(shū)申請(qǐng)單元;CA認(rèn)證中心的證書(shū)申請(qǐng)單元在收到終端數(shù)字證書(shū)的公鑰文件后,使用CA根證書(shū)私鑰文件解密,解密后將終端數(shù)字證書(shū)的公鑰文件存入CA認(rèn)證中心的對(duì)外信息庫(kù);2移動(dòng)終端發(fā)送簽名信息2. I移動(dòng)終端產(chǎn)生待發(fā)送原始信息(持有人通過(guò)界面輸入信息內(nèi)容和接收方地址(如,編輯短信內(nèi)容并輸入接收人手機(jī)號(hào)碼)并將終端身份標(biāo)識(shí)信息和待發(fā)送原始信息發(fā)送至數(shù)字簽名單元,所述待發(fā)送原始信息包括信息內(nèi)容和目標(biāo)接收方地址;2. 2數(shù)字簽名單元從數(shù)字證書(shū)庫(kù)中提取終端數(shù)字證書(shū)的私鑰文件,對(duì)終端身份標(biāo)識(shí)信息和待發(fā)送原始信息進(jìn)行數(shù)字簽名,生成待認(rèn)證的簽名信息;所述待認(rèn)證的簽名信息包括終端身份標(biāo)識(shí)信息、待發(fā)送原始信息和終端數(shù)字證書(shū)的私鑰文件的數(shù)字簽名2. 3移動(dòng)終端的數(shù)字簽名單元根據(jù)通訊協(xié)議將待認(rèn)證簽名信息進(jìn)行格式轉(zhuǎn)換后發(fā)至CA認(rèn)證中心的認(rèn)證服務(wù)單元;3CA認(rèn)證中心驗(yàn)證簽名信息3. IlCA認(rèn)證中心的認(rèn)證服務(wù)單元接收到由移動(dòng)終端發(fā)送的待認(rèn)證簽名信息;3. 2CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)待認(rèn)證信息的終端身份標(biāo)識(shí)信息從對(duì)外信息庫(kù)中提取相應(yīng)的終端數(shù)字證書(shū)的公鑰文件,使用終端數(shù)字證書(shū)的公鑰文件對(duì)待認(rèn)證簽名 信息的數(shù)字簽名信息進(jìn)行驗(yàn)證;如果驗(yàn)證通過(guò),則執(zhí)行步驟3. 3,如果驗(yàn)證沒(méi)通過(guò),則執(zhí)行步驟23. 3CA認(rèn)證中心使用CA根證書(shū)私鑰文件對(duì)通過(guò)驗(yàn)證的待認(rèn)證簽名信息進(jìn)行簽名,生成已認(rèn)證簽名信息;3. 4CA認(rèn)證中心的認(rèn)證服務(wù)單元根據(jù)通訊協(xié)議對(duì)已認(rèn)證簽名信息進(jìn)行格式轉(zhuǎn)換后按照已認(rèn)證簽名信息中所包括的目標(biāo)接收方地址發(fā)至目標(biāo)接收方;4證書(shū)依賴(lài)方接收認(rèn)證信息4. I證書(shū)依賴(lài)方的信息認(rèn)證單元接收由CA認(rèn)證中心發(fā)來(lái)的已認(rèn)證簽名信息,并從數(shù)字證書(shū)庫(kù)中提取CA根證書(shū)公鑰文件,對(duì)已認(rèn)證簽名信息的CA根證書(shū)私鑰文件簽名進(jìn)行驗(yàn)證;如果已認(rèn)證簽名信息的簽名驗(yàn)證成功,則從已認(rèn)證簽名信息中提取終端身份標(biāo)識(shí)信息和信息內(nèi)容,完成身份認(rèn)證;如果已認(rèn)證簽名信息的簽名驗(yàn)證失敗,則只從已認(rèn)證簽名信息中提取信息內(nèi)容,并向證書(shū)依賴(lài)方提示該信息的發(fā)送方身份未得到認(rèn)證。還包括證書(shū)更新步驟所述移動(dòng)終端根據(jù)安裝的移動(dòng)終端證書(shū)控件定期向CA認(rèn)證中心的查詢(xún)CA根證書(shū)的版本信息,如果CA根證書(shū)發(fā)生更新,則CA認(rèn)證中心將通知移動(dòng)終端重新下載移動(dòng)終端證書(shū)控件。還包括證書(shū)吊銷(xiāo)步驟如果CA認(rèn)證中心確認(rèn)終端數(shù)字證書(shū)符合吊銷(xiāo)條件,則將符合吊銷(xiāo)的終端數(shù)字證書(shū)添加至證書(shū)吊銷(xiāo)單元,并通知移動(dòng)終端其數(shù)終端數(shù)字證書(shū)被吊銷(xiāo)。當(dāng)CA有證據(jù)表明終端數(shù)字證書(shū)訂戶(hù)的證書(shū)被非法第三方冒用等情況時(shí),可根據(jù)電子認(rèn)證服務(wù)規(guī)則確認(rèn)吊銷(xiāo)證書(shū)。上述終端身份標(biāo)識(shí)信息是手機(jī)號(hào)碼、IMEI或MSI。實(shí)施例在實(shí)際操作中,由注冊(cè)中心(RA)完成訂戶(hù)身份材料確認(rèn)工作,并由RA參與完成移動(dòng)終端的證書(shū)申請(qǐng),具體步驟如下I生成移動(dòng)終端證書(shū)I. I由移動(dòng)終端人向注冊(cè)中心RA提交終端數(shù)字證書(shū)申請(qǐng);[0138]I. 2注冊(cè)中心RA受理申請(qǐng)后,以手機(jī)號(hào)碼作為移動(dòng)終端的唯一終端身份標(biāo)識(shí)信息;I. 3手機(jī)用戶(hù)通過(guò)下載安裝或預(yù)裝激活方式取得帶有手機(jī)號(hào)碼、CA根證書(shū)公鑰文件和RA證書(shū)公鑰的證書(shū)控件;I. 4證書(shū)生成單元根據(jù)證書(shū)生成程序產(chǎn)生終端數(shù)字證書(shū)的密鑰對(duì),并將終端數(shù)字證書(shū)的私鑰文件存入終端數(shù)字證書(shū)庫(kù)中,證書(shū)生成單元使用預(yù)先植入的注冊(cè)中心RA證書(shū)公鑰對(duì)唯一終端身份標(biāo)識(shí)信息和終端數(shù)字證書(shū)公鑰進(jìn)行加密,將加密后的移動(dòng)終端證書(shū)公鑰文件發(fā)送到注冊(cè)中心RA ;終端身份標(biāo)識(shí)信息是手機(jī)號(hào)碼、頂EI或IMSI等能夠唯一標(biāo)識(shí)移動(dòng)終端的信息;I. 5注冊(cè)中心RA收到移動(dòng)終端上傳的加密后的移動(dòng)終端證書(shū)公鑰文件,使用RA證書(shū)私鑰文件解密,使用RA證書(shū)私鑰文件對(duì)解密后的移動(dòng)終端上傳移動(dòng)終端證書(shū)公鑰文件進(jìn)行簽名,將簽名后的移動(dòng)終端證書(shū)公鑰文件轉(zhuǎn)發(fā)至CA認(rèn)證中心;·[0142]I. 6CA認(rèn)證中心的證書(shū)申請(qǐng)單元在收到RA轉(zhuǎn)發(fā)的移動(dòng)終端證書(shū)公鑰文件后,使用RA證書(shū)公鑰文件解密,解密成功后將終端證書(shū)公鑰文件存入對(duì)外信息庫(kù)。在實(shí)際實(shí)施中,可由運(yùn)營(yíng)商現(xiàn)有無(wú)線(xiàn)通訊基礎(chǔ)網(wǎng)絡(luò)完成移動(dòng)終端發(fā)送待認(rèn)證簽名信息的轉(zhuǎn)發(fā)與請(qǐng)求認(rèn)證。2移動(dòng)終端發(fā)送簽名信息2. I移動(dòng)終端將手機(jī)號(hào)碼和待發(fā)送原始信息發(fā)送至證書(shū)控件的簽名加密單元;2. 2從數(shù)字證書(shū)庫(kù)中提取相應(yīng)的終端證書(shū)私鑰文件,對(duì)手機(jī)號(hào)碼和原始信息進(jìn)行數(shù)字簽名;信息收發(fā)單元向數(shù)字簽名單元請(qǐng)求對(duì)待發(fā)送信息進(jìn)行數(shù)字簽名,簽名成功后得到包含簽名、信息內(nèi)容、終端標(biāo)識(shí)三項(xiàng)內(nèi)容的待認(rèn)證信息,將待認(rèn)證信息發(fā)送至CA中心的認(rèn)證服務(wù)單元。2. 3數(shù)字簽名單元將數(shù)字簽名附于待發(fā)送原始信息之后,生成一條待驗(yàn)證的簽名信息;待驗(yàn)證的簽名信息包括信息發(fā)送方手機(jī)號(hào)碼、待驗(yàn)證的數(shù)字簽名和信息內(nèi)容;2. 4移動(dòng)終端按預(yù)定通訊協(xié)議將待發(fā)送的簽名信息首先發(fā)送至運(yùn)營(yíng)商的業(yè)務(wù)系統(tǒng);3運(yùn)營(yíng)商接收移動(dòng)終端發(fā)送信息,轉(zhuǎn)發(fā)至CA認(rèn)證中心請(qǐng)求簽名驗(yàn)證3. I運(yùn)營(yíng)商從待驗(yàn)證的簽名信息中提取信息發(fā)送方手機(jī)號(hào)碼和待驗(yàn)證的數(shù)字簽名;3. 2運(yùn)營(yíng)商從數(shù)字證書(shū)庫(kù)中提取相對(duì)應(yīng)的終端身份識(shí)別證書(shū)私鑰文件,對(duì)發(fā)送方手機(jī)號(hào)碼和待驗(yàn)證的數(shù)字簽名進(jìn)行簽名,以表明待驗(yàn)證的數(shù)字簽名所屬的信任鏈;3. 3添加運(yùn)營(yíng)商數(shù)字簽名的待驗(yàn)證數(shù)字簽名發(fā)送至CA認(rèn)證中心請(qǐng)求驗(yàn)證;3. 4]CA認(rèn)證中心收到運(yùn)營(yíng)商發(fā)送的待驗(yàn)證簽名后,從對(duì)外信息庫(kù)中提取運(yùn)營(yíng)商的身份識(shí)別證書(shū)公鑰文件驗(yàn)證運(yùn)營(yíng)商身份,如果驗(yàn)證成功則提取發(fā)送方手機(jī)號(hào)碼和待驗(yàn)證的數(shù)字簽名,如果驗(yàn)證失敗則拒絕提供簽名驗(yàn)證服務(wù);3. 5CA認(rèn)證中心根據(jù)發(fā)送方手機(jī)號(hào)碼從對(duì)外信息庫(kù)中提取相對(duì)應(yīng)的終端數(shù)字證書(shū)公鑰文件,對(duì)待驗(yàn)證的數(shù)字簽名進(jìn)行驗(yàn)證;如果驗(yàn)證成功則將發(fā)送方數(shù)字簽名替換為CA根證書(shū)簽名,生成已認(rèn)證簽名信息并發(fā)還運(yùn)營(yíng)商系統(tǒng),運(yùn)營(yíng)商將已認(rèn)證信息繼續(xù)傳輸至接收方(也就是證書(shū)依賴(lài)方),繼續(xù)進(jìn)行步驟4如果驗(yàn)證失敗則將通知運(yùn)營(yíng)商驗(yàn)證失敗,運(yùn)營(yíng)商只將原始信息傳輸至接收方;4移動(dòng)終端接收認(rèn)證信息4. I作為依賴(lài)方的移動(dòng)終端接收到由運(yùn)營(yíng)商發(fā)來(lái)的已認(rèn)證信息;4. 2信息認(rèn)證單元從已認(rèn)證信息中提取CA認(rèn)證中心的數(shù)字簽名;4. 3從數(shù)字證書(shū)庫(kù)中提取CA認(rèn)證中心的CA根證書(shū)驗(yàn)證數(shù)字簽名;4. 4顯示驗(yàn)證結(jié)果;移動(dòng)終端證書(shū)控件的各項(xiàng)功能可分別采用軟件、硬件兩種方式實(shí)現(xiàn)I、基于硬件的實(shí)施方案?!ねㄟ^(guò)由大容量存儲(chǔ)單元和高速CPU為主要組成部分的手機(jī)智能SM卡實(shí)現(xiàn)證書(shū)控件全部功能,其特征如下I)將CA認(rèn)證中心的CA根證書(shū)文件寫(xiě)入SM卡存儲(chǔ)空間;2)通過(guò)SM卡的高速CPU完成終端數(shù)字證書(shū)密鑰對(duì)生成和公鑰文件上傳;3)通過(guò)SIM卡的高速CPU完成移動(dòng)終端發(fā)送信息加密簽名和接收信息解密驗(yàn)簽;2、基于軟件的實(shí)施方案。通過(guò)由證書(shū)生成單元、證書(shū)管理單元、數(shù)字簽名單元、信息認(rèn)證單元組成的應(yīng)用軟件完成證書(shū)控件全部功能,其特征如下I)將CA認(rèn)證中心的根證書(shū)文件寫(xiě)入數(shù)字證書(shū)庫(kù),與證書(shū)控件應(yīng)用程序一同以預(yù)裝激活或下載安裝方式在移動(dòng)終端運(yùn)行;2)通過(guò)證書(shū)生成單元完成終端數(shù)字證書(shū)密鑰對(duì)生成和證書(shū)公鑰上傳通過(guò)數(shù)字簽名單元完成發(fā)送信息的添加簽名;3)通過(guò)信息認(rèn)證單元完成接收信息的簽名認(rèn)證。
權(quán)利要求1.一種基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng),其特征在于它包括數(shù)字證書(shū)認(rèn)證中心,移動(dòng)終端以及移動(dòng)證書(shū)依賴(lài)方, 所述數(shù)字證書(shū)認(rèn)證中心包括證書(shū)申請(qǐng)單元、CA證書(shū)管理單元以及認(rèn)證服務(wù)單元, 所述證書(shū)申請(qǐng)單元包括用于受理終端數(shù)字證書(shū)申請(qǐng)、提供終端身份標(biāo)識(shí)信息和移動(dòng)終端證書(shū)控件下載的申請(qǐng)受理單元和用于接收移動(dòng)終端上傳的終端數(shù)字證書(shū)公鑰文件并使用CA根證書(shū)私鑰文件驗(yàn)證后存入對(duì)外信息庫(kù)的證書(shū)簽發(fā)單元; 所述CA證書(shū)管理單元包括用于存放終端數(shù)字證書(shū)公鑰文件、CA根證書(shū)私鑰文件、終端身份標(biāo)識(shí)信息、并向移動(dòng)證書(shū)依賴(lài)方提供下載的對(duì)外信息庫(kù); 所述認(rèn)證服務(wù)單元包括用于接收待認(rèn)證簽名信息、發(fā)送已認(rèn)證簽名信息的信息收發(fā)單元和根據(jù)待認(rèn)證簽名信息中的終端身份標(biāo)識(shí)信息從CA證書(shū)管理單元提取相應(yīng)的終端數(shù)字證書(shū)公鑰文件,并對(duì)待認(rèn)證簽名信息進(jìn)行簽名驗(yàn)證,在驗(yàn)證成功信息上添加CA根證書(shū)私鑰文件簽名生成已認(rèn)證簽名信息并將已認(rèn)證簽名信息通過(guò)信息收發(fā)單元發(fā)至對(duì)應(yīng)接收方的信息認(rèn)證單元; 所述移動(dòng)終端包括用于根據(jù)移動(dòng)終端證書(shū)控件生成終端數(shù)字證書(shū)的密鑰對(duì),并使用CA根證書(shū)公鑰文件對(duì)終端數(shù)字證書(shū)公鑰文件加密,上傳至CA認(rèn)證中心的證書(shū)生成單元、終端證書(shū)管理單元、數(shù)字簽名單元 終端證書(shū)管理單元包括用于存放終端數(shù)字證書(shū)私鑰文件、CA根證書(shū)公鑰文件的終端數(shù)字證書(shū)庫(kù); 所述數(shù)字簽名單元包括作為移動(dòng)終端使用終端數(shù)字證書(shū)私鑰文件對(duì)待發(fā)送原始信息和終端身份標(biāo)識(shí)信息進(jìn)行簽名并發(fā)送至認(rèn)證服務(wù)單元的簽名單元和作為移動(dòng)終端使用終端數(shù)字證書(shū)私鑰文件對(duì)待發(fā)送原始信息和終端身份標(biāo)識(shí)信息進(jìn)行加密并發(fā)送至認(rèn)證服務(wù)單元的加密單元; 所述移動(dòng)證書(shū)依賴(lài)方包括依賴(lài)方證書(shū)管理單元和依賴(lài)方信息認(rèn)證單元, 所述依賴(lài)方證書(shū)管理單元包括用于存放依賴(lài)方身份識(shí)別數(shù)字證書(shū)私鑰文件和CA根證書(shū)公鑰文件的依賴(lài)方數(shù)字證書(shū)庫(kù); 所述依賴(lài)方信息認(rèn)證單元包括接收CA認(rèn)證中心發(fā)送的已認(rèn)證簽名信息,將待驗(yàn)證的簽名信息發(fā)送至CA認(rèn)證中心的認(rèn)證服務(wù)單元的依賴(lài)方信息收發(fā)單元和接收依賴(lài)方信息收發(fā)單元發(fā)送的已認(rèn)證簽名信息,使用CA根證書(shū)公鑰文件對(duì)已認(rèn)證簽名信息簽名驗(yàn)證,簽名驗(yàn)證成功后將信息原始內(nèi)容和終端身份標(biāo)識(shí)信息呈現(xiàn)給依賴(lài)方的認(rèn)證單元。
2.根據(jù)權(quán)利要求I所述的基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng),其特征在于所述CA證書(shū)管理單元還包括向移動(dòng)證書(shū)依賴(lài)方提供終端數(shù)字證書(shū)吊銷(xiāo)列表查詢(xún)的證書(shū)吊銷(xiāo)單J Li ο
3.根據(jù)權(quán)利要求I或2所述的基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng),其特征在于所述終端證書(shū)管理單元還包括用于向CA認(rèn)證中心的對(duì)外信息庫(kù)查詢(xún)終端數(shù)字證書(shū)狀態(tài)并完成終端數(shù)字證書(shū)庫(kù)中的終端數(shù)字證書(shū)公鑰文件更新的終端證書(shū)更新單元。
4.根據(jù)權(quán)利要求3所述的基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng),其特征在于所述依賴(lài)方證書(shū)管理單元還包括用于向CA認(rèn)證中心對(duì)外信息庫(kù)查詢(xún)并完成依賴(lài)方數(shù)字證書(shū)庫(kù)中CA根證書(shū)公鑰文件更新的依賴(lài)方證書(shū)更新單元。
專(zhuān)利摘要本實(shí)用新型涉及一種基于數(shù)字證書(shū)的移動(dòng)終端身份認(rèn)證系統(tǒng),包括數(shù)字證書(shū)認(rèn)證中心,移動(dòng)終端以及移動(dòng)證書(shū)依賴(lài)方,數(shù)字證書(shū)認(rèn)證中心包括證書(shū)申請(qǐng)單元、CA證書(shū)管理單元以及認(rèn)證服務(wù)單元,證書(shū)申請(qǐng)單元包括申請(qǐng)受理單元和證書(shū)簽發(fā)單元;CA證書(shū)管理單元包括對(duì)外信息庫(kù);認(rèn)證服務(wù)單元包括信息收發(fā)單元和信息認(rèn)證單元;移動(dòng)終端包括證書(shū)生成單元、終端證書(shū)管理單元和數(shù)字簽名單元終端證書(shū)管理單元包括終端數(shù)字證書(shū)庫(kù)。本實(shí)用新型解決了移動(dòng)互聯(lián)網(wǎng)環(huán)境下缺乏針對(duì)移動(dòng)終端認(rèn)證機(jī)制的技術(shù)問(wèn)題,終端數(shù)字證書(shū)的依賴(lài)方不需要下載和保存數(shù)量眾多的移動(dòng)終端證書(shū)公鑰文件,只需要將待驗(yàn)證的數(shù)字簽名發(fā)送至CA認(rèn)證中心進(jìn)行驗(yàn)證即可,便于普及。
文檔編號(hào)H04W88/02GK202696901SQ201120206248
公開(kāi)日2013年1月23日 申請(qǐng)日期2011年6月17日 優(yōu)先權(quán)日2011年6月17日
發(fā)明者劉明晶, 張璐 申請(qǐng)人:深圳一卡通新技術(shù)有限公司