专利名称:基于数字证书的移动终端身份认证系统及方法
技术领域:
本发明涉及移动互联网的身份认证技术,更具体涉及一种通过数字证书对移动终端进行身份认证的系统及方法。
背景技术:
随着无线通讯技术的发展,以手机为代表的移动终端被广泛应用于电子商务领域。在使用移动终端传输交易信息的过程中,必须保证信息传输的保密性、数据交换的完整性、发送信息的不可抵赖性和交易者身份的确定性。现有的无线数据传输协议缺乏对移动终端的身份认证机制,信息接收方只能通过手机号码等标识识别移动终端,但无法确定移动终端持有人身份的真实性。这一问题的存在导致基于移动终端的交易活动面临信息被篡改、交易主体身份被冒用等多种潜在风险, 极大地阻碍移动电子商务正常发展。尽管现行的数字证书认证服务体系支持受理个人证书申请,但其适用范围局限在普通PC机,尚未提出一种专门用于包括手机在内各种移动终端的认证机制。
发明内容
本发明目的在于提供一种通过数字证书对移动终端进行身份认证的系统及相应的认证方法,以解决移动互联网环境下缺乏针对移动终端认证机制的技术问题。本发明技术解决方案一种基于数字证书的移动终端身份认证系统,其特殊之处在于它包括数字证书认证中心(CA认证中心),移动终端以及移动证书依赖方,所述数字证书认证中心包括证书申请单元、CA证书管理单元以及认证服务单元,所述证书申请单元包括用于受理终端数字证书申请、提供终端身份标识信息和移动终端证书控件下载的申请受理单元和用于接收移动终端上传的终端数字证书公钥文件并使用CA根证书私钥文件验证后存入对外信息库的证书签发单元;CA根证书私钥文件存储在CA证书管理单元(通常保存于磁盘特定区域或移动存储设备中)所述CA证书管理单元包括用于存放终端数字证书公钥文件、终端身份标识信息、 并向移动证书依赖方提供下载的对外信息库;所述认证服务单元包括用于接收待认证签名信息、发送已认证签名信息的信息收发单元和根据待认证签名信息中的终端身份标识信息从CA证书管理单元提取相应的终端数字证书公钥文件,并对待认证签名信息进行签名验证,在验证成功信息上添加CA根证书私钥文件签名生成已认证签名信息并将已认证签名信息通过信息收发单元发至对应接收方的信息认证单元;所述移动终端包括用于根据移动终端证书控件生成终端数字证书的密钥对,并使用CA根证书公钥文件对终端数字证书公钥文件加密,上传至CA认证中心的证书生成单元、终端证书管理单元、数字签名单元以及终端信息认证单元终端证书管理单元包括用于存放终端数字证书私钥文件、CA根证书公钥文件的终端数字证书库;所述数字签名单元包括作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行签名并发送至认证服务单元的签名单元和作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行加密并发送至认证服务单元的加密单元;所述移动证书依赖方包括依赖方证书管理单元和依赖方信息认证单元,所述依赖方证书管理单元包括用于存放依赖方身份识别数字证书私钥文件和CA 根证书公钥文件的依赖方数字证书库;所述依赖方信息认证单元包括接收CA认证中心发送的已认证签名信息,将待验证的签名信息发送至CA认证中心的认证服务单元的依赖方信息收发单元和接收依赖方信息收发单元发送的已认证签名信息,使用CA根证书公钥文件对已认证签名信息签名验证, 签名验证成功后将信息原始内容和终端身份标识信息呈现给依赖方的认证单元。上述CA证书管理单元还包括向移动证书依赖方提供终端数字证书吊销列表查询的证书吊销单元。上述终端证书管理单元还包括用于向CA认证中心的对外信息库查询终端数字证书状态并完成终端数字证书库中的终端数字证书公钥文件更新的终端证书更新单元。上述依赖方证书管理单元还包括用于向CA认证中心对外信息库查询并完成依赖方数字证书库中CA根证书公钥文件更新的依赖方证书更新单元。上述移动终端还包括终端信息认证单元,所述终端信息认证单元用于在移动终端收到由CA认证服务单元发送的已认证签名信息后,使用CA根证书公钥文件对已经通过CA中心认证的已认证签名信息进行验证,签名验证成功后将信息内容和发送方的身份标识信息呈现给移动终端所述的移动终端信息认证单元,本意是用来解决当移动终端充当证书依赖方时的信息认证问题。其工作机制与“依赖方信息认证单元”完全一致,但为了凸显本系统中的移动终端既可以作为信息发送方,向证书依赖方发送认证信息、也可以作为证书依赖方接收其他移动终端发送的认证信息,即能够认证和被认证。此处可理解为,对证书依赖方的一种特例的描述,即移动终端作为依赖方。一种基于短信数字证书的移动终端身份认证方法,供作为证书依赖方的移动终端的认证信息发送方身份,其特殊之处在于该方法包括以下步骤只有证书订户(证书申请和持有人)才拥有身份识别标识和证书私钥,证书依赖方无身份标识和证书私钥、只能下载证书订户上传到CA对外信息库的该订户证书公钥来验证签名。此处详细解释移动终端作为证书订户是如何产生身份标识信息和证书公钥、私钥文件的,如果删除的话,将无法说明移动终端在发送信息时,用什么工具在原始信息中添加身份标识信息和数字签名。涉及到一种特殊情况移动终端也可能成为证书依赖方,而此时移动终端只需要利用CA根证书公钥验证CA认证服务单元发来的已认证签名信息中的CA数字签名,验证成功后将信息内容和发送方身份标识信息(信息发送方拥有身份标识信息、持有数字证书私钥文件)展示给作为依赖方的移动终端。传统方案中,证书订户数量有限,证书依赖方可以下载全部证书公钥文件用于签名验证,但移动终端作为证书订户时比较特殊证书依赖方全部下载和管理数以万计的移动终端证书操作不便,因而提出本专利的解决方案。一种基于短信数字证书的移动终端身份认证方法,用于移动终端在收到已认证信息时验证信息发送方的身份,包括以下步骤1CA中心认证签名信息1.11CA认证中心的认证服务单元接收到以移动终端为接收方的待认证信息;1.2] CA认证中心的认证服务单元根据待认证信息的发送方身份标识信息从对外信息库中提取相应的发送方数字证书的公钥文件,使用发送方数字证书的公钥文件对待认证签名信息的数字签名信息进行验证;如果验证通过,则执行步骤1. 3如果验证没通过, 则不对信息作任何处理,直接发送给移动终端;1.3CA认证中心使用CA根证书私钥文件对通过验证的待认证签名信息进行签名,生成已认证签名信息;1.4] CA认证中心的认证服务单元根据通讯协议对已认证签名信息进行格式转换后按照已认证签名信息中所包括的目标接收方地址发至目标移动终端;2移动终端的终端信息认证单元接收由CA认证中心发来的信息,根据是否携带 CA认证中心签名判断该信息为已认证签名信息或未通过认证信息;3移动终端接收已认证信息3. 1移动终端的终端信息认证单元接收由CA认证中心发来的已认证签名信息, 并从数字证书库中提取CA根证书公钥文件,对已认证签名信息的CA根证书私钥文件签名进行验证;3. 2如果已认证签名信息的签名验证成功,则从已认证签名信息中提取发送方身份标识信息和信息内容,完成身份认证;3. 3如果已认证签名信息的签名验证失败,则只从已认证签名信息中提取信息内容,并向移动终端提示该信息的发送方身份未得到认证;4移动终端接收未通过认证信息4. 1移动终端的终端信息认证单元接收由CA认证中心发来的未通过认证签名信息,从未通过认证签名信息中提取信息内容,并向移动终端提示该信息的发送方身份未得到认证。一种基于短信数字证书的移动终端身份认证方法,供证书依赖方认证发送信息的移动终端的身份,其特征在于该方法包括以下步骤1生成终端数字证书1. 1移动终端向CA认证中心的证书申请单元提交终端数字证书申请;1. 2证书申请单元受理申请后,生成唯一终端身份标识信息,并存储终端身份标识信息在CA对外信息库中;1.3移动终端证书生成单元从CA认证中心的证书申请单元下载终端身份标识信息和移动终端证书控件并安装,所述移动终端证书控件包括CA根证书公钥文件;证书依赖方从CA认证中心下载CA根证书公钥文件并保存在依赖方证书管理单元的数字证书库中;
1. 4移动终端的证书生成单元根据移动终端证书控件生成终端数字证书的密钥对,将终端数字证书的私钥文件存入移动终端的数字证书库中;1. 5移动终端的证书生成单元使用CA根证书公钥文件对终端身份标识信息和终端数字证书的公钥文件进行加密,将加密后的移动终端证书公钥文件发送到CA认证中心的证书申请单元;CA认证中心的证书申请单元在收到终端数字证书的公钥文件后,使用CA 根证书私钥文件解密,解密后将终端数字证书的公钥文件存入CA认证中心的对外信息库;2移动终端发送签名信息2. 1移动终端产生待发送原始信息(持有人通过界面输入信息内容和接收方地址(如,编辑短信内容并输入接收人手机号码)并将终端身份标识信息和待发送原始信息发送至数字签名单元,所述待发送原始信息包括信息内容和目标接收方地址;2. 2数字签名单元从数字证书库中提取终端数字证书的私钥文件,对终端身份标识信息和待发送原始信息进行数字签名,生成待认证的签名信息;所述待认证的签名信息包括终端身份标识信息、待发送原始信息和终端数字证书的私钥文件的数字签名2. 3移动终端的数字签名单元根据通讯协议将待认证签名信息进行格式转换后发至CA认证中心的认证服务单元;3CA认证中心验证签名信息3. 1]CA认证中心的认证服务单元接收到由移动终端发送的待认证签名信息;3. 2CA认证中心的认证服务单元根据待认证信息的终端身份标识信息从对外信息库中提取相应的终端数字证书的公钥文件,使用终端数字证书的公钥文件对待认证签名信息的数字签名信息进行验证;如果验证通过,则执行步骤3. 3,如果验证没通过,则执行步骤23. 3CA认证中心使用CA根证书私钥文件对通过验证的待认证签名信息进行签名,生成已认证签名信息;3. 4CA认证中心的认证服务单元根据通讯协议对已认证签名信息进行格式转换后按照已认证签名信息中所包括的目标接收方地址发至目标接收方;4证书依赖方接收认证信息4. 1证书依赖方的信息认证单元接收由CA认证中心发来的已认证签名信息,并从数字证书库中提取CA根证书公钥文件,对已认证签名信息的CA根证书私钥文件签名进行验证;如果已认证签名信息的签名验证成功,则从已认证签名信息中提取终端身份标识信息和信息内容,完成身份认证;如果已认证签名信息的签名验证失败,则只从已认证签名信息中提取信息内容, 并向证书依赖方提示该信息的发送方身份未得到认证。还包括证书更新步骤所述移动终端根据安装的移动终端证书控件定期向CA认证中心的查询CA根证书的版本信息,如果CA根证书发生更新,则CA认证中心将通知移动终端重新下载移动终端证书控件。还包括证书吊销步骤如果CA认证中心确认终端数字证书符合吊销条件,则将符合吊销的终端数字证书添加至证书吊销单元,并通知移动终端其数终端数字证书被吊销。当CA有证据表明终端数字证书订户的证书被非法第三方冒用等情况时,可根据电子认证服务规则确认吊销证书。上述终端身份标识信息是手机号码、IMEI或IMSI。本发明所具有的优点1、适用于包括智能手机、平板电脑在内的各种带有无线通讯功能的移动终端设备。2、终端数字证书的依赖方不需要下载和保存数量众多的移动终端证书公钥文件, 只需要将待验证的数字签名发送至CA认证中心进行验证即可,便于普及。
图1为本发明的系统的结构示意图;图2为本发明终端数字证书生成的过程示意图;图3为本发明发送签名信息的过程示意图;图4为本发明验证签名信息的过程示意图。具体实现方式一种基于数字证书的移动终端身份认证系统,它包括数字证书认证中心(CA认证中心),移动终端以及移动证书依赖方,数字证书认证中心包括证书申请单元、CA证书管理单元以及认证服务单元,证书申请单元包括用于受理终端数字证书申请、提供终端身份标识信息和移动终端证书控件下载的申请受理单元和用于接收移动终端上传的终端数字证书公钥文件并使用CA根证书私钥文件验证后存入对外信息库的证书签发单元;CA根证书私钥文件存储在CA证书管理单元(通常保存于磁盘特定区域或移动存储设备中)CA证书管理单元包括用于存放终端数字证书公钥文件、终端身份标识信息、并向移动证书依赖方提供下载的对外信息库;认证服务单元包括用于接收待认证签名信息、发送已认证签名信息的信息收发单元和根据待认证签名信息中的终端身份标识信息从CA证书管理单元提取相应的终端数字证书公钥文件,并对待认证签名信息进行签名验证,在验证成功信息上添加CA根证书私钥文件签名生成已认证签名信息并将已认证签名信息通过信息收发单元发至对应接收方的信息认证单元;移动终端包括用于根据移动终端证书控件生成终端数字证书的密钥对,并使用CA 根证书公钥文件对终端数字证书公钥文件加密,上传至CA认证中心的证书生成单元、终端证书管理单元、数字签名单元以及终端信息认证单元终端证书管理单元包括用于存放终端数字证书私钥文件、CA根证书公钥文件的终端数字证书库;数字签名单元包括作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行签名并发送至认证服务单元的签名单元和作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行加密并发送至认证服务单元的加密单元;移动证书依赖方包括依赖方证书管理单元和依赖方信息认证单元,依赖方证书管理单元包括用于存放依赖方身份识别数字证书私钥文件和CA根证书公钥文件的依赖方数字证书库;依赖方信息认证单元包括接收CA认证中心发送的已认证签名信息,将待验证的签名信息发送至CA认证中心的认证服务单元的依赖方信息收发单元和接收依赖方信息收发单元发送的已认证签名信息,使用CA根证书公钥文件对已认证签名信息签名验证,签名验证成功后将信息原始内容和终端身份标识信息呈现给依赖方的认证单元。CA证书管理单元还包括向移动证书依赖方提供终端数字证书吊销列表查询的证书吊销单元。终端证书管理单元还包括用于向CA认证中心的对外信息库查询终端数字证书状态并完成终端数字证书库中的终端数字证书公钥文件更新的终端证书更新单元。依赖方证书管理单元还包括用于向CA认证中心对外信息库查询并完成依赖方数字证书库中CA根证书公钥文件更新的依赖方证书更新单元。 移动终端还包括终端信息认证单元,终端信息认证单元用于在移动终端收到由CA认证服务单元发送的已认证签名信息后,使用CA根证书公钥文件对已经通过CA中心认证的已认证签名信息进行验证,签名验证成功后将信息内容和发送方的身份标识信息呈现给移动终端移动终端信息认证单元,本意是用来解决当移动终端充当证书依赖方时的信息认证问题。其工作机制与“依赖方信息认证单元”完全一致,但为了凸显本系统中的移动终端既可以作为信息发送方,向证书依赖方发送认证信息、也可以作为证书依赖方接收其他移动终端发送的认证信息,即能够认证和被认证。此处可理解为,对证书依赖方的一种特例的描述,即移动终端作为依赖方。一种基于短信数字证书的移动终端身份认证方法,供作为证书依赖方的移动终端的认证信息发送方身份,该方法包括以下步骤只有证书订户(证书申请和持有人)才拥有身份识别标识和证书私钥,证书依赖方无身份标识和证书私钥、只能下载证书订户上传到CA对外信息库的该订户证书公钥来验证签名。此处详细解释移动终端作为证书订户是如何产生身份标识信息和证书公钥、私钥文件的,如果删除的话,将无法说明移动终端在发送信息时,用什么工具在原始信息中添加身份标识信息和数字签名。涉及到一种特殊情况移动终端也可能成为证书依赖方,而此时移动终端只需要利用CA根证书公钥验证CA认证服务单元发来的已认证签名信息中的CA数字签名,验证成功后将信息内容和发送方身份标识信息(信息发送方拥有身份标识信息、持有数字证书私钥文件)展示给作为依赖方的移动终端。传统方案中,证书订户数量有限,证书依赖方可以下载全部证书公钥文件用于签名验证,但移动终端作为证书订户时比较特殊证书依赖方全部下载和管理数以万计的移动终端证书操作不便,因而提出本专利的解决方案。一种基于短信数字证书的移动终端身份认证方法,用于移动终端在收到已认证信息时验证信息发送方的身份,包括以下步骤
1CA中心认证签名信息1.11CA认证中心的认证服务单元接收到以移动终端为接收方的待认证信息;1. 2CA认证中心的认证服务单元根据待认证信息的发送方身份标识信息从对外信息库中提取相应的发送方数字证书的公钥文件,使用发送方数字证书的公钥文件对待认证签名信息的数字签名信息进行验证;如果验证通过,则执行步骤1. 3如果验证没通过, 则不对信息作任何处理,直接发送给移动终端;1.3CA认证中心使用CA根证书私钥文件对通过验证的待认证签名信息进行签名,生成已认证签名信息;1. 4CA认证中心的认证服务单元根据通讯协议对已认证签名信息进行格式转换后按照已认证签名信息中所包括的目标接收方地址发至目标移动终端;2移动终端的终端信息认证单元接收由CA认证中心发来的信息,根据是否携带 CA认证中心签名判断该信息为已认证签名信息或未通过认证信息;3移动终端接收已认证信息3. 1移动终端的终端信息认证单元接收由CA认证中心发来的已认证签名信息, 并从数字证书库中提取CA根证书公钥文件,对已认证签名信息的CA根证书私钥文件签名进行验证;3. 2如果已认证签名信息的签名验证成功,则从已认证签名信息中提取发送方身份标识信息和信息内容,完成身份认证;3. 3如果已认证签名信息的签名验证失败,则只从已认证签名信息中提取信息内容,并向移动终端提示该信息的发送方身份未得到认证;4移动终端接收未通过认证信息4. 1移动终端的终端信息认证单元接收由CA认证中心发来的未通过认证签名信息,从未通过认证签名信息中提取信息内容,并向移动终端提示该信息的发送方身份未得到认证。一种基于短信数字证书的移动终端身份认证方法,供证书依赖方认证发送信息的移动终端的身份,该方法包括以下步骤1生成终端数字证书1. 1移动终端向CA认证中心的证书申请单元提交终端数字证书申请;1. 2证书申请单元受理申请后,生成唯一终端身份标识信息,并存储终端身份标识信息在CA对外信息库中;1.3移动终端证书生成单元从CA认证中心的证书申请单元下载终端身份标识信息和移动终端证书控件并安装,所述移动终端证书控件包括CA根证书公钥文件;证书依赖方从CA认证中心下载CA根证书公钥文件并保存在依赖方证书管理单元的数字证书库中;1.4移动终端的证书生成单元根据移动终端证书控件生成终端数字证书的密钥对,将终端数字证书的私钥文件存入移动终端的数字证书库中;1. 5移动终端的证书生成单元使用CA根证书公钥文件对终端身份标识信息和终端数字证书的公钥文件进行加密,将加密后的移动终端证书公钥文件发送到CA认证中心的证书申请单元;CA认证中心的证书申请单元在收到终端数字证书的公钥文件后,使用CA 根证书私钥文件解密,解密后将终端数字证书的公钥文件存入CA认证中心的对外信息库;
2移动终端发送签名信息2. 1移动终端产生待发送原始信息(持有人通过界面输入信息内容和接收方地址(如,编辑短信内容并输入接收人手机号码)并将终端身份标识信息和待发送原始信息发送至数字签名单元,所述待发送原始信息包括信息内容和目标接收方地址;2. 2数字签名单元从数字证书库中提取终端数字证书的私钥文件,对终端身份标识信息和待发送原始信息进行数字签名,生成待认证的签名信息;所述待认证的签名信息包括终端身份标识信息、待发送原始信息和终端数字证书的私钥文件的数字签名2. 3移动终端的数字签名单元根据通讯协议将待认证签名信息进行格式转换后发至CA认证中心的认证服务单元;3CA认证中心验证签名信息3. 1]CA认证中心的认证服务单元接收到由移动终端发送的待认证签名信息;3. 2CA认证中心的认证服务单元根据待认证信息的终端身份标识信息从对外信息库中提取相应的终端数字证书的公钥文件,使用终端数字证书的公钥文件对待认证签名信息的数字签名信息进行验证;如果验证通过,则执行步骤3. 3,如果验证没通过,则执行步骤23. 3CA认证中心使用CA根证书私钥文件对通过验证的待认证签名信息进行签名,生成已认证签名信息;3. 4CA认证中心的认证服务单元根据通讯协议对已认证签名信息进行格式转换后按照已认证签名信息中所包括的目标接收方地址发至目标接收方;4证书依赖方接收认证信息4. 1证书依赖方的信息认证单元接收由CA认证中心发来的已认证签名信息,并从数字证书库中提取CA根证书公钥文件,对已认证签名信息的CA根证书私钥文件签名进行验证;如果已认证签名信息的签名验证成功,则从已认证签名信息中提取终端身份标识信息和信息内容,完成身份认证;如果已认证签名信息的签名验证失败,则只从已认证签名信息中提取信息内容, 并向证书依赖方提示该信息的发送方身份未得到认证。还包括证书更新步骤所述移动终端根据安装的移动终端证书控件定期向CA认证中心的查询CA根证书的版本信息,如果CA根证书发生更新,则CA认证中心将通知移动终端重新下载移动终端证书控件。还包括证书吊销步骤如果CA认证中心确认终端数字证书符合吊销条件,则将符合吊销的终端数字证书添加至证书吊销单元,并通知移动终端其数终端数字证书被吊销。当CA有证据表明终端数字证书订户的证书被非法第三方冒用等情况时,可根据电子认证服务规则确认吊销证书。上述终端身份标识信息是手机号码、IMEI或IMSI。 实施例
在实际操作中,由注册中心(RA)完成订户身份材料确认工作,并由RA参与完成移动终端的证书申请,具体步骤如下1生成移动终端证书1. 1由移动终端人向注册中心RA提交终端数字证书申请;1. 2注册中心RA受理申请后,以手机号码作为移动终端的唯一终端身份标识信息;1.3手机用户通过下载安装或预装激活方式取得带有手机号码、CA根证书公钥文件和RA证书公钥的证书控件;1. 4证书生成单元根据证书生成程序产生终端数字证书的密钥对,并将终端数字证书的私钥文件存入终端数字证书库中,证书生成单元使用预先植入的注册中心RA证书公钥对唯一终端身份标识信息和终端数字证书公钥进行加密,将加密后的移动终端证书公钥文件发送到注册中心RA ;终端身份标识信息是手机号码、IMEI或IMSI等能够唯一标识移动终端的信息;1. 5注册中心RA收到移动终端上传的加密后的移动终端证书公钥文件,使用RA 证书私钥文件解密,使用RA证书私钥文件对解密后的移动终端上传移动终端证书公钥文件进行签名,将签名后的移动终端证书公钥文件转发至CA认证中心;1.6CA认证中心的证书申请单元在收到RA转发的移动终端证书公钥文件后,使用RA证书公钥文件解密,解密成功后将终端证书公钥文件存入对外信息库。在实际实施中,可由运营商现有无线通讯基础网络完成移动终端发送待认证签名信息的转发与请求认证。2移动终端发送签名信息2. 1移动终端将手机号码和待发送原始信息发送至证书控件的签名加密单元;2. 2从数字证书库中提取相应的终端证书私钥文件,对手机号码和原始信息进行数字签名;信息收发单元向数字签名单元请求对待发送信息进行数字签名,签名成功后得到包含签名、信息内容、终端标识三项内容的待认证信息,将待认证信息发送至CA中心的认证服务单元。2. 3数字签名单元将数字签名附于待发送原始信息之后,生成一条待验证的签名信息;待验证的签名信息包括信息发送方手机号码、待验证的数字签名和信息内容;2. 4移动终端按预定通讯协议将待发送的签名信息首先发送至运营商的业务系统;3运营商接收移动终端发送信息,转发至CA认证中心请求签名验证3. 1运营商从待验证的签名信息中提取信息发送方手机号码和待验证的数字签名;3. 2运营商从数字证书库中提取相对应的终端身份识别证书私钥文件,对发送方手机号码和待验证的数字签名进行签名,以表明待验证的数字签名所属的信任链;3. 3添加运营商数字签名的待验证数字签名发送至CA认证中心请求验证;3. 4CA认证中心收到运营商发送的待验证签名后,从对外信息库中提取运营商的身份识别证书公钥文件验证运营商身份,如果验证成功则提取发送方手机号码和待验证的数字签名,如果验证失败则拒绝提供签名验证服务;
3. 5CA认证中心根据发送方手机号码从对外信息库中提取相对应的终端数字证书公钥文件,对待验证的数字签名进行验证;如果验证成功则将发送方数字签名替换为CA根证书签名,生成已认证签名信息并发还运营商系统,运营商将已认证信息继续传输至接收方(也就是证书依赖方),继续进行步骤4如果验证失败则将通知运营商验证失败,运营商只将原始信息传输至接收方;4移动终端接收认证信息4. 1作为依赖方的移动终端接收到由运营商发来的已认证信息;4. 2信息认证单元从已认证信息中提取CA认证中心的数字签名;4. 3从数字证书库中提取CA认证中心的CA根证书验证数字签名;4. 4显示验证结果;移动终端证书控件的各项功能可分别采用软件、硬件两种方式实现1、基于硬件的实施方案。通过由大容量存储单元和高速CPU为主要组成部分的手机智能SIM卡实现证书控件全部功能,其特征如下1)将CA认证中心的CA根证书文件写入SIM卡存储空间;2)通过SIM卡的高速CPU完成终端数字证书密钥对生成和公钥文件上传;3)通过SIM卡的高速CPU完成移动终端发送信息加密签名和接收信息解密验签;2、基于软件的实施方案。通过由证书生成单元、证书管理单元、数字签名单元、信息认证单元组成的应用软件完成证书控件全部功能,其特征如下1)将CA认证中心的根证书文件写入数字证书库,与证书控件应用程序一同以预装激活或下载安装方式在移动终端运行;2)通过证书生成单元完成终端数字证书密钥对生成和证书公钥上传通过数字签名单元完成发送信息的添加签名;3)通过信息认证单元完成接收信息的签名认证。
权利要求
1.一种基于数字证书的移动终端身份认证系统,其特征在于它包括数字证书认证中心(CA认证中心),移动终端以及移动证书依赖方,所述数字证书认证中心包括证书申请单元、CA证书管理单元以及认证服务单元,所述证书申请单元包括用于受理终端数字证书申请、提供终端身份标识信息和移动终端证书控件下载的申请受理单元和用于接收移动终端上传的终端数字证书公钥文件并使用CA根证书私钥文件验证后存入对外信息库的证书签发单元;所述CA证书管理单元包括用于存放终端数字证书公钥文件、CA根证书私钥文件、终端身份标识信息、并向移动证书依赖方提供下载的对外信息库;所述认证服务单元包括用于接收待认证签名信息、发送已认证签名信息的信息收发单元和根据待认证签名信息中的终端身份标识信息从CA证书管理单元提取相应的终端数字证书公钥文件,并对待认证签名信息进行签名验证,在验证成功信息上添加CA根证书私钥文件签名生成已认证签名信息并将已认证签名信息通过信息收发单元发至对应接收方的信息认证单元;所述移动终端包括用于根据移动终端证书控件生成终端数字证书的密钥对,并使用CA 根证书公钥文件对终端数字证书公钥文件加密,上传至CA认证中心的证书生成单元、终端证书管理单元、数字签名单元终端证书管理单元包括用于存放终端数字证书私钥文件、CA根证书公钥文件的终端数字证书库;所述数字签名单元包括作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行签名并发送至认证服务单元的签名单元和作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行加密并发送至认证服务单元的加密单元;所述移动证书依赖方包括依赖方证书管理单元和依赖方信息认证单元,所述依赖方证书管理单元包括用于存放依赖方身份识别数字证书私钥文件和CA根证书公钥文件的依赖方数字证书库;所述依赖方信息认证单元包括接收CA认证中心发送的已认证签名信息,将待验证的签名信息发送至CA认证中心的认证服务单元的依赖方信息收发单元和接收依赖方信息收发单元发送的已认证签名信息,使用CA根证书公钥文件对已认证签名信息签名验证,签名验证成功后将信息原始内容和终端身份标识信息呈现给依赖方的认证单元。
2.根据权利要求1所述的基于数字证书的移动终端身份认证系统,其特征在于所述 CA证书管理单元还包括向移动证书依赖方提供终端数字证书吊销列表查询的证书吊销单兀。
3.根据权利要求1或2所述的基于数字证书的移动终端身份认证系统,其特征在于 所述终端证书管理单元还包括用于向CA认证中心的对外信息库查询终端数字证书状态并完成终端数字证书库中的终端数字证书公钥文件更新的终端证书更新单元。
4.根据权利要求3所述的基于数字证书的移动终端身份认证系统,其特征在于所述依赖方证书管理单元还包括用于向CA认证中心对外信息库查询并完成依赖方数字证书库中CA根证书公钥文件更新的依赖方证书更新单元。
5.一种基于短信数字证书的移动终端身份认证方法,其特征在于该方法包括以下步骤.1生成终端数字证书.1. 1移动终端向CA认证中心的证书申请单元提交终端数字证书申请;.1. 2证书申请单元受理申请后,生成唯一终端身份标识信息,并存储终端身份标识信息在CA对外信息库中;.1. 3移动终端证书生成单元从CA认证中心的证书申请单元下载终端身份标识信息和移动终端证书控件并安装,所述移动终端证书控件包括CA根证书公钥文件;证书依赖方从 CA认证中心下载CA根证书公钥文件并保存在依赖方证书管理单元的数字证书库中;.1.4移动终端的证书生成单元根据移动终端证书控件生成终端数字证书的密钥对,将终端数字证书的私钥文件存入移动终端的数字证书库中;.1.5移动终端的证书生成单元使用CA根证书公钥文件对终端身份标识信息和终端数字证书的公钥文件进行加密,将加密后的移动终端证书公钥文件发送到CA认证中心的证书申请单元;CA认证中心的证书申请单元在收到终端数字证书的公钥文件后,使用CA根证书私钥文件解密,解密后将终端数字证书的公钥文件存入CA认证中心的对外信息库;.2移动终端发送签名信息.2.1移动终端产生待发送原始信息并将终端身份标识信息和待发送原始信息发送至数字签名单元,所述待发送原始信息包括信息内容和目标接收方地址;.2. 2数字签名单元从数字证书库中提取终端数字证书的私钥文件,对终端身份标识信息和待发送原始信息进行数字签名,生成待认证的签名信息;所述待认证的签名信息包括终端身份标识信息、待发送原始信息和终端数字证书的私钥文件的数字签名;.2.3移动终端的数字签名单元根据通讯协议将待认证签名信息进行格式转换后发至 CA认证中心的认证服务单元;.3CA认证中心验证签名信息.3.1CA认证中心的认证服务单元接收到由移动终端发送的待认证签名信息;.3. 2CA认证中心的认证服务单元根据待认证信息的终端身份标识信息从对外信息库中提取相应的终端数字证书的公钥文件,使用终端数字证书的公钥文件对待认证签名信息的数字签名信息进行验证;如果验证通过,则执行步骤3. 3,如果验证没通过,则执行步骤 2.3. 3CA认证中心使用CA根证书私钥文件对通过验证的待认证签名信息进行签名,生成已认证签名信息;.3.4CA认证中心的认证服务单元根据通讯协议对已认证签名信息进行格式转换后按照已认证签名信息中所包括的目标接收方地址发至目标接收方;.4证书依赖方接收认证信息.4.1证书依赖方的信息认证单元接收由CA认证中心发来的已认证签名信息,并从数字证书库中提取CA根证书公钥文件,对已认证签名信息的CA根证书私钥文件签名进行验证;如果已认证签名信息的签名验证成功,则从已认证签名信息中提取终端身份标识信息和信息内容,完成身份认证;如果已认证签名信息的签名验证失败,则只从已认证签名信息中提取信息内容,并向证书依赖方提示该信息的发送方身份未得到认证。
6.根据权利要求5所述的基于短信数字证书的移动终端身份认证方法,其特征在于 还包括证书更新步骤所述移动终端根据安装的移动终端证书控件定期向CA认证中心的查询CA根证书的版本信息,如果CA根证书发生更新,则CA认证中心将通知移动终端重新下载移动终端证书控件。
7.根据权利要求5或6所述的基于短信数字证书的移动终端身份认证方法,其特征在于还包括证书吊销步骤如果CA认证中心确认终端数字证书符合吊销条件,则将符合吊销的终端数字证书添加至证书吊销单元,并通知移动终端其数终端数字证书被吊销。
8.根据权利要求7所述的基于短信数字证书的移动终端身份认证方法,其特征在于 所述终端身份标识信息是手机号码、IMEI或IMSI。
全文摘要
本发明涉及一种基于数字证书的移动终端身份认证系统,包括数字证书认证中心,移动终端以及移动证书依赖方,数字证书认证中心包括证书申请单元、CA证书管理单元以及认证服务单元,证书申请单元包括申请受理单元和证书签发单元;CA证书管理单元包括对外信息库;认证服务单元包括信息收发单元和信息认证单元;移动终端包括证书生成单元、终端证书管理单元和数字签名单元终端证书管理单元包括终端数字证书库。本发明解决了移动互联网环境下缺乏针对移动终端认证机制的技术问题,终端数字证书的依赖方不需要下载和保存数量众多的移动终端证书公钥文件,只需要将待验证的数字签名发送至CA认证中心进行验证即可,便于普及。
文档编号H04W88/02GK102202307SQ201110164368
公开日2011年9月28日 申请日期2011年6月17日 优先权日2011年6月17日
发明者刘明晶, 张璐 申请人:刘明晶