本發(fā)明涉及無線通信技術領域，尤其涉及一種移動終端間的身份認證方法及系統(tǒng)。

背景技術：

隨著科技的飛速發(fā)展，移動終端等電子消費類產(chǎn)品已經(jīng)融入到人們的生活中，伴隨著移動互聯(lián)網(wǎng)絡的高覆蓋度、移動性、方便易用的特點，突破了傳統(tǒng)通信意義上對空間和距離的限制，使得人們彼此之間的互聯(lián)互動比以往更為頻繁，如何自動確認移動終端的身份，困擾著移動終端的使用者。

目前，對移動終端的身份認證多采用網(wǎng)絡側(cè)服務器認證和安全網(wǎng)關認證等第三方認證的方式，移動終端與服務器或網(wǎng)關之間建立映射關系，移動終端用戶彼此之間通過發(fā)送認證請求給服務器或網(wǎng)關，獲取可信聯(lián)系，如現(xiàn)有技術中公開的利用短消息實現(xiàn)的移動實體之間的認證和密鑰協(xié)商方法屬于移動網(wǎng)安全領域，其特征在于，經(jīng)過可信認證中心(TAA)認證的移動終端和應用服務器之間，利用包含在互相發(fā)往對方的短消息之中的自己身份信息和包含經(jīng)TAA公鑰加密的哈希鏈的最后一個值作為雙方的密鑰進行認證的方式。但是，該方法提供的認證方式不是端到端的，需要部署網(wǎng)絡側(cè)認證設備，建造成本較高，且網(wǎng)絡側(cè)認證設備是安全的關鍵節(jié)點，一旦受到攻擊，容易造成所有聯(lián)系人之間的認證關系斷裂；該方法的網(wǎng)絡側(cè)認證設備的性能是整個認證系統(tǒng)的瓶頸，可能對所有用戶造成影響；該方法提供的認證方式需要第三方傳遞，無形中增加了認證過程中的時延；而且該方法的用戶需要主動對移動終端的身份信息進行認證，對于擁有大量聯(lián)系人信息的用戶而言，用戶體驗有待改善。

鑒于此，如何實現(xiàn)移動終端間的身份認證，以提高認證的安全性 和可靠性，降低經(jīng)濟成本和時間成本成為當前需要解決的技術問題。

技術實現(xiàn)要素：

針對現(xiàn)有技術中的缺陷，本發(fā)明提供一種移動終端間的身份認證方法及系統(tǒng)，可實現(xiàn)移動終端間對彼此合法身份的認證，無第三方參與，提高了認證的安全性和可靠性，降低了經(jīng)濟成本和時間成本，且認證過程用戶無感知，提升了用戶的體驗。

第一方面，本發(fā)明提供一種移動終端間的身份認證方法，包括：

在移動終端之間進行業(yè)務通信時，第一移動終端向第二移動終端發(fā)送證書請求消息，所述證書請求消息中攜帶所述第一移動終端的證書和請求信息，所述請求信息為請求獲取所述第二移動終端的證書的信息；

所述第二移動終端在接收到所述證書請求消息后，對所述證書請求消息中攜帶的所述第一移動終端的證書進行第一身份認證，在第一身份認證后向所述第一移動終端發(fā)送與所述請求消息相應的應答消息；

所述第一移動終端接收所述應答消息，并對所述應答消息中攜帶的內(nèi)容進行身份認證。

可選地，所述業(yè)務通信包括：通話、短消息或分組數(shù)據(jù)業(yè)務的通信；

相應地，所述證書請求消息包括用通話、短消息或分組數(shù)據(jù)業(yè)務的通道承載。

可選地，若第一身份認證通過，則所述應答消息中攜帶所述第二移動終端的證書；

若第一身份認證失敗，則所述應答消息中攜帶認證失敗原因信息。

可選地，所述第一移動終端接收所述應答消息，并對所述應答消息中攜帶的內(nèi)容進行第二身份認證，包括：

所述第一移動終端接收所述應答消息，若所述應答消息中攜帶所 述第二移動終端的證書，則對所述第二移動終端的證書進行身份認證，若身份認證通過，則身份認證成功，所述第一移動終端與所述第二移動終端進行數(shù)據(jù)通信；若身份認證失敗，則身份認證結(jié)束。

可選地，所述第一移動終端接收所述應答消息，并對所述應答消息中攜帶的內(nèi)容進行第二身份認證，包括：

所述第一移動終端接收所述應答消息，若所述應答消息中攜帶認證失敗原因信息，則身份認證結(jié)束。

第二方面，本發(fā)明提供一種移動終端間的身份認證系統(tǒng)，包括：第一移動終端和第二移動終端；

所述第一移動終端，包括：發(fā)送模塊和第二認證模塊；

所述發(fā)送模塊，用于在移動終端之間進行業(yè)務通信時，向第二移動終端發(fā)送證書請求消息，所述證書請求消息中攜帶所述第一移動終端的證書和請求信息，所述請求信息為請求獲取所述第二移動終端的證書的信息；

所述第二認證模塊，用于接收所述第二移動終端發(fā)送的應答消息，并對所述應答消息中攜帶的內(nèi)容進行第二身份認證。

所述第二移動終端，包括：接收模塊和第一認證模塊；

所述接收模塊，用于接收所述證書請求消息；

所述第一認證模塊，用于在接收到所述證書請求消息后，對所述證書請求消息中攜帶的所述第一移動終端的證書進行第一身份認證，在第一身份認證后向所述第一移動終端發(fā)送與所述請求消息相應的應答消息。

可選地，所述業(yè)務通信包括：通話、短消息或分組數(shù)據(jù)業(yè)務的通信；

相應地，所述證書請求消息包括用通話、短消息或分組數(shù)據(jù)業(yè)務的通道承載。

可選地，若第一身份認證通過，則所述應答消息中攜帶所述第二 移動終端的證書；

若第一身份認證失敗，則所述應答消息中攜帶認證失敗原因信息。

可選地，所述第二認證模塊，具體用于

接收所述第二移動終端發(fā)送的應答消息，若所述應答消息中攜帶所述第二移動終端的證書，則對所述第二移動終端的證書進行身份認證，若身份認證通過，則身份認證成功，與所述第二移動終端進行數(shù)據(jù)通信；若身份認證失敗，則身份認證結(jié)束。

可選地，所述第二認證模塊，具體用于

接收所述第二移動終端發(fā)送的應答消息，若所述應答消息中攜帶認證失敗原因信息，則身份認證結(jié)束。

由上述技術方案可知，本發(fā)明的移動終端間的身份認證方法及系統(tǒng)，在用戶使用移動終端相關功能(如通話、短消息和分組數(shù)據(jù)業(yè)務等)的過程中，通過移動終端后臺自動實現(xiàn)證書的交互認證，無需用戶主動發(fā)起認證，達到提升用戶體驗的效果。另外，采用移動終端的端到端證書認證的方式，無需第三方(如網(wǎng)絡側(cè)認證設備等)參與，在提高認證安全性和可靠性的同時更降低了設備部署的成本和認證所需的時間。

附圖說明

圖1為本發(fā)明一實施例提供的一種移動終端間的身份認證方法的流程示意圖；

圖2為本發(fā)明一實施例提供的一種移動終端間的身份認證方法的信令原理示意圖；

圖3為本發(fā)明一實施例提供的一種移動終端間的身份認證系統(tǒng)的結(jié)構(gòu)示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、 完整的描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他的實施例，都屬于本發(fā)明保護的范圍。

圖1示出了本發(fā)明一實施例提供的一種移動終端間的身份認證方法的流程示意圖，圖2示出了本發(fā)明一實施例提供的一種移動終端間的身份認證方法的信令原理示意圖，如圖1及圖2所示，本實施例的移動終端間的身份認證方法如下所述。

101、在移動終端之間進行業(yè)務通信時，第一移動終端(在后臺)向第二移動終端發(fā)送證書請求消息，所述證書請求消息中攜帶所述第一移動終端的證書和請求信息，所述請求信息為請求獲取所述第二移動終端的證書的信息。

在具體應用中，所述業(yè)務通信可以包括：通話、短消息或分組數(shù)據(jù)業(yè)務的通信等；

相應地，所述證書請求消息包括用通話、短消息或分組數(shù)據(jù)業(yè)務等的通道承載，但不限于這些承載方法。

102、所述第二移動終端在接收到所述證書請求消息后，對所述證書請求消息中攜帶的所述第一移動終端的證書進行第一身份認證，在第一身份認證后向所述第一移動終端發(fā)送與所述請求消息相應的應答消息。

在具體應用中，在本步驟102中，若第一身份認證通過，則所述應答消息中攜帶所述第二移動終端的證書；若第一身份認證失敗，則所述應答消息中攜帶認證失敗原因信息。

103、所述第一移動終端接收所述應答消息，并對所述應答消息中攜帶的內(nèi)容進行第二身份認證。

在具體應用中，本步驟103可以具體包括：

所述第一移動終端接收所述應答消息，若所述應答消息中攜帶所 述第二移動終端的證書，則對所述第二移動終端的證書進行身份認證，若身份認證通過，則身份認證成功，所述第一移動終端與所述第二移動終端進行數(shù)據(jù)通信；若身份認證失敗，則身份認證結(jié)束。

在具體應用中，本步驟103可以具體包括：

所述第一移動終端接收所述應答消息，若所述應答消息中攜帶認證失敗原因信息，則身份認證結(jié)束。

應說明的是，本實施例的第一移動終端可根據(jù)實際情況，在后臺再次發(fā)起本實施例所述方法的交互，或者可由用戶主動發(fā)起本實施例所述方法的交互，但不限于這兩種處理方式。

應說明的是，本實施例的移動終端間的身份認證方法基于證書請求消息和證書應答消息，可通過標識來進行區(qū)分，但不限于這種區(qū)分方法。

本實施例的移動終端間的身份認證方法，在用戶使用移動終端相關功能(如通話、短消息和分組數(shù)據(jù)業(yè)務等)的過程中，通過移動終端后臺自動實現(xiàn)證書的交互認證，無需用戶主動發(fā)起認證，達到提升用戶體驗的效果；第一移動終端先將本端證書發(fā)送給第二移動終端，由第二移動終端先對其身份進行認證，確保第二移動終端的合法性，避免第二移動終端的證書被隨意獲取；另外，采用移動終端的端到端證書認證的方式，無需第三方(如網(wǎng)絡側(cè)認證設備等)參與，在提高認證安全性和可靠性的同時更降低了設備部署的成本和認證所需的時間。

圖3示出了本發(fā)明一實施例提供的一種移動終端間的身份認證系統(tǒng)的結(jié)構(gòu)示意圖，如圖3所示，本實施例的移動終端間的身份認證系統(tǒng)，包括：第一移動終端1和第二移動終端2；

所述第一移動終端1，包括：發(fā)送模塊11和第二認證模塊12；

所述發(fā)送模塊11，用于在移動終端之間進行業(yè)務通信時，向第二移動終端發(fā)送證書請求消息，所述證書請求消息中攜帶所述第一移動 終端的證書和請求信息，所述請求信息為請求獲取所述第二移動終端的證書的信息；

所述第二認證模塊12，用于接收所述第二移動終端發(fā)送的應答消息，并對所述應答消息中攜帶的內(nèi)容進行第二身份認證。

所述第二移動終端2，包括：接收模塊21和第一認證模塊22；

所述接收模塊21，用于接收所述證書請求消息；

所述第一認證模塊22，用于在接收到所述證書請求消息后，對所述證書請求消息中攜帶的所述第一移動終端的證書進行第一身份認證，在第一身份認證后向所述第一移動終端發(fā)送與所述請求消息相應的應答消息。

在具體應用中，本實施例所述業(yè)務通信可以包括：通話、短消息或分組數(shù)據(jù)業(yè)務等的通信；

相應地，所述證書請求消息可包括用通話、短消息或分組數(shù)據(jù)業(yè)務等的通道承載，但不限于這些承載方法。

在具體應用中，在本實施例中，若所述第一認證模塊22的第一身份認證通過，則所述應答消息中攜帶所述第二移動終端2的證書；

若所述第一認證模塊22的第一身份認證失敗，則所述應答消息中攜帶認證失敗原因信息。

在具體應用中，本實施例所述第二認證模塊12，可具體用于

接收所述第二移動終端2發(fā)送的應答消息，若所述應答消息中攜帶所述第二移動終端2的證書，則對所述第二移動終端2的證書進行身份認證，若身份認證通過，則身份認證成功，與所述第二移動終端2進行數(shù)據(jù)通信；若身份認證失敗，則身份認證結(jié)束。

在具體應用中，本實施例所述第二認證模塊12，可具體用于

接收所述第二移動終端2發(fā)送的應答消息，若所述應答消息中攜帶認證失敗原因信息，則身份認證結(jié)束。

應說明的是，本實施例的第一移動終端1可根據(jù)實際情況，在后 臺再次發(fā)起本實施例所述方法的交互，或者可由用戶主動發(fā)起本實施例所述方法的交互，但不限于這兩種處理方式。

應說明的是，本實施例的移動終端間的身份認證方法基于證書請求消息和證書應答消息，可通過標識來進行區(qū)分，但不限于這種區(qū)分方法。

本實施例的移動終端間的身份認證系統(tǒng)，在用戶使用移動終端相關功能(如通話、短消息和分組數(shù)據(jù)業(yè)務等)的過程中，通過移動終端后臺自動實現(xiàn)證書的交互認證，無需用戶主動發(fā)起認證，達到提升用戶體驗的效果；第一移動終端先將本端證書發(fā)送給第二移動終端，由第二移動終端先對其身份進行認證，確保第二移動終端的合法性，避免第二移動終端的證書被隨意獲??；另外，采用移動終端的端到端證書認證的方式，無需第三方(如網(wǎng)絡側(cè)認證設備等)參與，在提高認證安全性和可靠性的同時更降低了設備部署的成本和認證所需的時間。

本實施例的移動終端間的身份認證系統(tǒng)，可以用于執(zhí)行前述圖1及圖2所示方法實施例的技術方案，其實現(xiàn)原理和技術效果類似，此處不再贅述。

在本實施方式中“第一”、“第二”等并不是對先后順序做出規(guī)定，只是對名稱做出區(qū)別，在本實施方式中，不做出任何的限定。

本領域普通技術人員可以理解：實現(xiàn)上述各方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成。前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中。該程序在執(zhí)行時，執(zhí)行包括上述各方法實施例的步驟；而前述的存儲介質(zhì)包括：ROM、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

最后應說明的是：以上各實施例僅用以說明本發(fā)明的技術方案，而非對其限制；盡管參照前述各實施例對本發(fā)明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載 的技術方案進行修改，或者對其中部分或者全部技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質(zhì)脫離本發(fā)明權利要求所限定的范圍。