远程管理移动终端数字证书的系统和方法

专利名称：远程管理移动终端数字证书的系统和方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种基于OTA ( Over the Air Technology,空中下载技术)技术远程管理移动终端数字证书的系统 和方法。
背景技术：
目前，随着移动通讯技术的发展和移动通信终端的广泛普及，移 动通信终端以手机为例，手机在人们生活中日益重要，功能也日益丰 富。为了配合手机电视，数字版权管理(Digital rights management, DRM2.0等技术的应用，数字证书在手机中的应用也愈加广泛。
然而，如何提供一种方便灵活的途径对手机上存在的数字证书进 行管理成为运营商和手机用户共同关注的问题。
手机内置的数字证书往往是在手机生成的时候下载进去，如果需 要变更，就要通过生产工具重新下载，非常不方便。
目前， 一些厂商提出了让用户通过网站来下数字证书进行更新的 方式，得到较多的应用。但是此方式存在如下弊端
首先，用户不能够随时随地的上网，而且运营商不能够主动发起 更新服务，灵活性比较差；其次，用户容易受到虚假网站的欺骗，下 载虚假的数字证书，安全性不够。
而OTA技术的出现，为用户和运营商提供一种便捷的对终端上 的特定文件进行更新的方式。不过，当前远程管理主要依赖于OTA 系统的介质访问控制子层协议(MediaAccess Control, MAC)校验和同 步计数的机制来保证文件更新的可靠性。此机制对于数字证书这种比 较重要的文件是远远不够的。

发明内容
本发明所要解决的技术问题是针对上网获取数字证书灵活性较差、安全性不够的问题，提出了一种远程管理移动终端数字证书的系 统和方法。
为解决上述技术问题，本发明提供了 一种远程管理移动终端数字 证书的系统，包括移动终端和服务器，所述移动终端包括第一数字证 书，所述服务器包括第二数字证书。
所述服务器，用于对第二数字证书进行预定算法的计算，并把计 算产生的第一个值发送到所述移动终端，并在所述移动终端接收所述 第 一个值和反馈可进行数字证书更新的操作的消息之后，将所述第二
数字证书发送给所述移动终端；
所述移动终端，用于保存所述第 一个值、接收所述第二数字证书， 并对所述第二数字证书进行相同的所述预定算法的计算，得到第二个 值，判断所述第一个值与所述第二个值是否相等，若相等，将所述第 一数字证书替换为所述第二数字证书。
进一步地，在上述系统中，所述移动终端，还用于通过短消息网 关向所述服务器发送数字证书更新的请求；所述服务器包括数据处理 模块，所述数据处理模块用于对所述移动终端发送的数字证书更新请 求进行合法性和完整性验证，在验证通过时，所述服务器再对所述第 二数字证书进行预定算法的计算。
进一步地，在上述系统中，所述移动终端包括还包括镜像区，所 述镜像区用于保存所述第一数字证书的备份，在所述第一数字证书替 换为所述第二数字证书失败时，利用所述备份对所述第一数字证书进 行恢复。
进一步地，在上述系统中，所述移动终端，还用于将所述第一数 字证书替换为所述第二数字证书成功或失败的消息通知所述服务器； 所述服务器包括日志模块，所述日志模块用于记录所述移动终端发送 的所述第 一数字证书替换为所述第二数字证书成功或失败的消息以 及可进行数字证书更新的操作的消息。
进一步地，在上述系统中，所述服务器包括安全散列模块，所述 安全散列模块用于对所述第二数字证书进行预定算法的计算。
为了解决上述技术问题，本发明还提供一种远程管理移动终端数
6字i正书的方法，包括
服务器对第二数字证书进行预定算法计算，并把计算产生的第一
个值发送到移动终端；
所述移动终端接收和保存所述第一个值，并向所述服务器反馈可 进行数字证书更新的操作的消息；
所述服务器接收所述反馈消息，将所述第二数字证书发送给所述 移动终端；
所述移动终端接收所述第二数字证书，并对所述第二数字证书进 行相同的所述预定算法计算，得到第二个值，判断所述第一个值与所 述第二个值是否相等，若相等，将所述第一数字证书替换为所述第二 数字证书。
进一步地，在上述方法中，还包括
若所述第一个值与所述第二个值不相等，所述移动终端保留所述 第一数字证书，并向所述服务器发送数字证书更新失败消息； 所述服务器接收所述更新失败消息，并写入日志。 进一步地，在上述方法中，还包括
所述移动终端通过短消息网关向所述服务器发送数字证书更新 的请求；
所述服务器对所述移动终端发送的数字证书更新请求进行合法 性和完整性验证，在验证通过时，所述服务器再对所述第二数字证书 进行预定算法的计算。
进一步地，在上述方法中，还包括
在将所述第一数字证书替换为所述第二数字证书时，所述移动终 端对所述第 一数字证书进行备份；
在替换失败时，利用所述备份对所述第一数字证书进行恢复。 进一步地，在上述方法中，还包括 所述移动终端为手机。
采用本发明的系统和方法，采用远程管理进行数字证书的更新灵 活性较强，利用预定算法进行计算和校验，增加了安全性和可靠性， 对于用户和运营商都非常方便灵活，较小的投入就能够实现，市场前景较好。


图1是本发明远程管理移动终端数字证书的系统示意图； 图2是本发明远程管理移动终端数字证书的方法流程示意图。
具体实施例方式
下面结合附图对本发明远程管理移动终端数字证书的系统和方 法进4亍i兌明。
请参阅图1，其是本发明远程管理移动终端数字证书的系统示意图。
本发明远程管理移动终端数字证书的系统包括移动终端、短消息 中心、短消息网关和OTA服务器。在本实施例中，移动终端以手积』 为例。手机通过通信网络向短消息中心发送短消息，再由短消息中心 将该短信经短消息网关发送到OTA服务器。根据接收到的短消息， OTA服务器根据该短消息，反馈相应指令或数据，依次通过短消息 网关、短消息中心和通信网络，传送到手机。
手机包括SIM卡，存储在SIM卡的第一数字证书和镜像区。镜 像区用于保存第一数字证书的备份，即第一数字证书的镜像数据。
OTA服务器包括第二数字证书、安全散列模块和日志模块。
OTA服务器，用于通过安全散列模块对第二数字证书进行预定 算法的HASH计算，并把计算产生的第一个HASH值发送到手机， 并在手机接收第一个HASH值和反馈可进行数字证书更新的操作的 消息之后，将该反馈消息由日志模块写入日志，同时将第二数字证书 发送给手机；
手机，用于在SIM卡保存第一个HASH值，再接收第二数字i正 书，并对第二数字证书进行相同的预定算法的HASH计算，得到第 二个HASH值，判断第一个HASH值与第二个HASH值是否相等， 若相等，将第一数字证书替换为第二数字证书，若不相等，手机保留 第一数字证书，并向OTA服务器发送数字证书更新失败消息。
8本发明远程管理移动终端数字证书的系统工作原理如下
首先，OTA服务器通过安全散列模块对第二数字证书进行预定 算法的HASH计算，并把计算产生的第一个HASH值发送到手机；
其次，手机接收和在SIM卡保存第一个HASH值，并反馈可进 行数字证书更新的操作的消息；
接着，OTA服务器判断是否在预定的时间内接收该反馈消息， 若是，将该反馈消息由日志模块写入日志，同时将第二数字证书发送 给手机，否则通知手机按照一定的时间间隔重新发起该反馈消息；
然后，手机接收第二数字证书，并对第二数字证书进行相同的预 定算法的HASH计算，得到第二个HASH值，判断第一个HASH值 与第二个HASH值是否相等，若相等，将第一数字证书替换为第二 数字证书，若不相等，手机保留第一数字证书，并向OTA服务器发 送数字证书更新失败消息；
最后，OTA服务器接收更新失败消息，并由日志模块写入日志。
另夕卜，在进行第一数字证书替换为第二数字证书时，若替换成功， 手机将第一数字证书替换为第二数字证书成功的消息发送到OTA服 务器；若替换失败，比如可能存在手机突然没电的情况，此时，手机 将第一数字证书替换为第二数字证书失败的消息发送到OTA服务 器。OTA服务器的日志模块将手机发送的第一数字证书替换为第二 数字证书成功或失败的消息写入日志。
上述本发明远程管理手机数字证书的系统实施例，是OTA服务 器主动发起对手机内数字证书进行更新操作。如果是由手机发起数字 证书更新请求时，那么，手机还用于通过短消息网关向OTA服务器 发送数字证书更新的请求；OTA服务器包括数据处理模块，数据处 理模块用于对请求进行合法性和完整性验证，在验证通过时，OTA 服务器再对第二数字证书进行预定算法的HASH计算，在验证不通 过时，结束数字证书更新进程。
请参阅图2,其是本发明远程管理移动终端数字^t书的方法流程 示意图。
本发明远程管理移动终端数字证书的方法包括如下步骤步骤一、OTA服务器对第二数字证书进行预定算法的HASH计 算，并把计算产生的第一个HASH值发送到手机；
通过OTA服务器的安全散列模块对第二数字证书进行预定算法 的HASH计算。
步骤二、手机接收和保存第一个HASH值，并向OTA服务器反 馈可进行数字证书更新的操作的消息；
步骤三、OTA服务器接收反馈消息，将第二数字证书发送给手
机；
OTA服务器判断是否在预定的时间内接收该反馈消息，若是， 将该反馈消息由日志模块写入日志，同时将第二数字证书发送给手 机，否则通知手机按照一定的时间间隔重新发起该反馈消息。
步骤四、手机接收第二数字证书，并对第二数字证书进行相同的 预定算法的HASH计算，得到第二个HASH值，判断第一个HASH 值与第二个HASH值是否相等，若相等，将第一数字证书替换为第 二数字证书。
在将第一数字证书替换为第二数字证书时，手机对第一数字证书 进行备份。若替换成功，手机将第一数字证书替换为第二数字证书成 功的消息发送到OTA服务器；若替换失败，手机利用备份对第一数 字证书进行恢复，并且将第 一数字证书替换为第二数字证书失败的消 息发送到OTA服务器。OTA服务器的日志模块将手机发送的第一数 字证书替换为第二数字证书成功或失败的消息写入日志。
另外，若第一个HASH值与第二个HASH值不相等，手机保留 第一数字证书，并向OTA服务器发送数字证书更新失败消息；OTA 服务器接收更新失败消息，并由日志模块写入日志。
上述本发明远程管理手机数字证书的方法实施例，是OTA服务 器主动发起对手机内数字证书进行更新操作。如果是由手机发起数字 证书更新请求时，那么，在步骤S1之前，还包括以下步骤
手机通过短消息网关向OTA服务器发送数字证书更新的请求；
OTA服务器对请求进行合法性和完整性验证，在验证通过时， OTA服务器再对第二数字证书进行预定算法的HASH计算。在验证不通过时，结束数字证书更新进程。
与现有技术相比较，本发明提供一种远程管理移动终端数字证书 的系统和方法，采用远程管理进行数字证书的更新灵活性较强，用预
定算法计算第一个HASH值和第二个HASH值，增加了安全性，适 合更新数字证书这种比较敏感的文件的操作，并且通过比较第一个 HASH值和第二个HASH值是否相等，再进行是否进行数字证书更 新的操作，增加了可靠性。此外，考虑到数字证书的重要性，若更新 失败，不能立即恢复就会影响用户的使用，采用在移动终端的SIM 卡上建立备份，为证书数据更新的意外失败提供了可靠的恢复手段。 本发明对于用户和运营商都非常方便灵活，较小的投入就能够实现， 市场前景4支好。
以上仅为本发明的优选实施案例而已，并不用于限制本发明，对 于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发 明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包 含在本发明的保护范围之内。
ii
权利要求
1、一种远程管理移动终端数字证书的系统，包括移动终端和服务器，所述移动终端包括第一数字证书，所述服务器包括第二数字证书，其特征在于，所述服务器，用于对第二数字证书进行预定算法的计算，并把计算产生的第一个值发送到所述移动终端，并在所述移动终端接收所述第一个值和反馈可进行数字证书更新的操作的消息之后，将所述第二数字证书发送给所述移动终端；所述移动终端，用于保存所述第一个值、接收所述第二数字证书，并对所述第二数字证书进行相同的所述预定算法的计算，得到第二个值，判断所述第一个值与所述第二个值是否相等，若相等，将所述第一数字证书替换为所述第二数字证书。
2、 才艮据权利要求1所述的系统，其特征在于， 所述移动终端，还用于通过短消息网关向所述服务器发送数字证书更新的请求；所述服务器包括数据处理模块，所述数据处理模块用于对所述移 动终端发送的数字证书更新请求进行合法性和完整性验证，在验证通 过时，所述服务器再对所述第二数字证书进行预定算法的计算。
3、 才艮据权利要求1所述的系统，其特征在于， 所述移动终端包括还包括镜像区，所述镜像区用于保存所述第一数字证书的备份，在所述第一数字证书替换为所述第二数字证书失败 时，利用所述备份对所述第 一数字证书进行恢复。
4、 根据权利要求l所述的系统，其特征在于， 所述移动终端，还用于将所述第一数字证书替换为所述第二数字证书成功或失败的消息通知所述服务器；所述服务器包括日志模块，所述日志模块用于记录所述移动终端 发送的所述第一数字证书替换为所述第二数字证书成功或失败的消息以及可进行数字证书更新的操作的消息。
5、 根据权利要求1所述的系统，其特征在于，所述服务器包括安全散列模块，所述安全散列模块用于对所述第 二数字证书进行预定算法的计算。
6、 一种远程管理移动终端数字证书的方法，其特征在于，包括服务器对第二数字证书进行预定算法计算，并把计算产生的第一个值发送到移动终端；所述移动终端接收和保存所述第一个值，并向所述服务器反馈可 进行数字证书更新的操作的消息；所述服务器接收所述反馈消息，将所述第二数字证书发送给所述 移动终端；所述移动终端接收所述第二数字证书，并对所述第二数字证书进 行相同的所述预定算法计算，得到第二个值，判断所述第一个值与所 述第二个值是否相等，若相等，将所述第一数字证书替换为所述第二 数字证书。
7、 根据权利要求6所述的方法，其特征在于，还包括 若所述第一个值与所述第二个值不相等，所述移动终端保留所述第一数字证书，并向所述服务器发送数字证书更新失败消息； 所述服务器接收所述更新失败消息，并写入日志。
8、 根据权利要求6所述的方法，其特征在于，还包括 所述移动终端通过短消息网关向所述服务器发送数字证书更新的请求；所述服务器对所述移动终端发送的数字证书更新请求进行合法 性和完整性验证，在验证通过时，所述服务器再对所述第二数字证书 进行预定算法的计算。
9、 根据权利要求6所述的方法，其特征在于，还包括在将所述第一数字证书替换为所述第二数字证书时，所述移动终端对所述第 一数字证书进行备份；在替换失败时，利用所述备份对所述第一数字证书进行恢复。
10、 根据权利要求6至9任一项所述的方法，其特征在于，所述 移动终端为手机。
全文摘要
本发明公开了一种远程管理移动终端数字证书的方法，包括服务器对第二数字证书进行预定算法计算，并把计算产生的第一个值发送到移动终端；移动终端接收和保存第一个值，并向服务器反馈可进行数字证书更新的操作的消息；服务器接收到反馈消息后，将第二数字证书发送给移动终端；移动终端接收第二数字证书，并对第二数字证书进行相同的预定算法计算，得到第二个值，判断第一个值与第二个值是否相等，若相等，将第一数字证书替换为第二数字证书。本发明还公开了一种远程管理移动终端数字证书的系统。采用本发明的方法和系统，数字证书的更新灵活性较强，并且增加了安全性和可靠性。
文档编号H04W8/22GK101521877SQ200910106470
公开日2009年9月2日 申请日期2009年3月31日 优先权日2009年3月31日
发明者原 薛 申请人:中兴通讯股份有限公司