专利名称:一种基于软件数字证书的移动终端唯一性认证方法
技术领域:
本发明属于计算机和信息安全技术领域,具体涉及移动互联网中对移动终端的认证的方法。
背景技术:
移动互联网发展迅速,安全问题面临挑战,如何对移动终端进行有效认证是关注的焦点,当前有几种认证方法:(I)使用短信、验证码方式。这种方式虽然简单易行,但安全性弱,发送的短信、验证码等容易被窃取,更有SM的复制和假冒技术,使得信息和通讯无秘密可言。(2)使用特殊硬件设备,如带运算功能的SD卡,SM卡等,这种方式安全性高,但用户成本增加,并且对移动终端的兼容性有所限制。
发明内容
本发明为了解决移动无线应用中对移动终端设备的唯一性认证的方便性问题,而提供了一种基于软件数字证书的移动终端唯一性认证方法,该方法能够在不向移动终端增加硬件设备的情况下,使用软件方法来使应用服务器认证移动终端。为了达到上述目的,本发明采用如下技术方案:一种基于软件数字证书的移动终端唯一性认证方法,所述认证方法包括移动终端注册部分和移动终端认证部分;所述移动终端注册包括如下步骤:(11)在移动终端中生成公私密钥对,并以移动终端设备信息(如无线号码,设备序列号)作为请求项,生成证书请求,然后将证书请求发送给应用服务器进行注册;(12)应用服务器收到证书请求进行验证,验证通过后,使用应用服务器的私钥签发移动终端软件数字证书,并发送给移动终端;(13)移动终端收到软件数字证书,将软件数字证书验证后进行保存,完成移动终端设备的注册;所述移动终端认证包括如下步骤:(21)移动终端运行,对环境验证通过后,向应用服务发送连接请求;(22)应用服务器向移动终端发送随机信息;(23)移动终端使用私钥对随机信息签名,并发送给应用服务器;(24)应用服务器验证签名信息和证书信息,验证通过后获取移动终端设备信息。在本发明的移动终端注册方案的最优实施例中,所述步骤(11)中生成的公私钥包括但不限于RSA密钥,ECC密钥。进一步的,所述步骤(11)中设备信息包括但不限于无线接入号码,设备序列号,使用者身份信息。进一步的,所述步骤(11)中证书请求格式包括但不限于pkcslO格式的证书请求。
进一步的,所述步骤(12)中证书请求验证包括但不限于以下验证手段:验证请求中的公钥与请求中签名的私钥是否匹配;验证请求中的请求项内容是否被篡改;验证请求内容中的设备信息是否与信息发送设备匹配,使用者身份是否正确。进一步的,所述步骤(12)中软件数字证书包括但不限于符合X509格式的证书。进一步的,所述步骤(13)中数字证书验证包括但不限于以下验证手段:验证证书中的公钥是否与本地的私钥匹配;验证证书主题信息是否与本移动终端设备信息匹配;验证证书的颁发者是否是信任的应用服务器。在本发明的移动终端认证方案的最优实施例中,所述步骤(21)中环境验证包括但不限于以下验证手段:用户需输入认证信息才能启动客户端;客户端证书中的公钥是否与私钥匹配;客户端验证证书主题信息是否与本移动终端设备信息匹配;客户端验证证书的颁发者是否是信任的应用服务器。进一步的,所述步骤(22)中随机信息包括但不限于数字,字符串,图片内容信息,时间信息。进一步的,所述步骤(24)中签名信息和证书信息验证包括但不限于以下验证手段:使用移动终端证书公钥验证签名是否正确;验证移动终端证书是否本应用服务签发,是否已经被废除;验证证书主题内容中的设备信息是否与信息发送设备匹配,使用者身份是否正确。根据上述技术方案得到的本发明能够很好对移动终端进行验证,在移动终端无需额外硬件设备的情况下,采用数字证书体系认证强度高,不怕网络数据被窃取,而且在注册时数字证书内容与移动终端设备信息关联并加入安全客户端的保护设计,使得安全客户端以及数字证书被拷贝到其他的移动设备中无法使用,保证了安全性。
以下结合附图和具体实施方式
来进一步说明本发明。
图1为本发明实施时移动终端的示意图。图2为移动终端向服务端注册示意过程。图3为服务器对移动终端的认证示意过程。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。本发明提供的基于软件数字证书的移动终端唯一性认证方法,其主要分为移动终端注册部分和移动终端认证部分。
其中移动终端注册包括如下步骤:(11)在移动终端中生成公私密钥对,并以移动终端设备信息作为请求项,生成证书请求,然后将证书请求发送给应用服务器进行注册。参见图1,该步骤的实施可以现在移动终端中安装定制安全客户端,该安全客户端生成公私密钥对。其中公私钥为RSA密钥,ECC密钥,但并不限于此;设备信息包括但不限于无线接入号码,设备序列号,使用者身份信息;证书请求格式包括但不限于PkcslO格式的证书请求。(12)应用服务器收到证书请求进行验证,验证通过后,使用应用服务器的私钥签发移动终端软件数字证书,并发送给移动终端。该步骤中证书请求验证包括但不限于以下验证手段:a、验证请求中的公钥与请求中签名的私钥是否匹配;b、验证请求中的请求项内容是否被篡改;C、验证请求内容中的设备信息是否与信息发送设备匹配,使用者身份是否正确。同时该步骤中签发的软件数字证书为X509格式的证书,但并不限于此。(13)移动终端收到软件数字证书,将软件数字证书验证后进行保存,完成移动终端设备的注册;该步骤中数字证书验证包括但不限于以下验证手段:a、验证证书中的公钥是否与本地的私钥匹配;b、验证证书主题信息是否与本移动终端设备信息匹配;C、验证证书的颁发者是否是信任的应用服务器。本发明中的移动终端认证包括如下步骤:(21)移动终端运行,对环境验证通过后,向应用服务发送连接请求。该步骤中环境验证包括但不限于以下验证手段:用户需输入认证信息才能启动客户端;客户端证书中的公钥是否与私钥匹配;客户端验证证书主题信息是否与本移动终端设备信息匹配;客户端验证证书的颁发者是否是信任的应用服务器。(22)应用服务器向移动终端发送随机信息。该步骤中涉及的随机信息包括数字,字符串,图片内容信息,时间信息,但并不限于此。(23)移动终端使用私钥对随机信息签名,并发送给应用服务器。(24)应用服务器验证签名信息和证书信息,验证通过后获取移动终端设备信息。该步骤中的签名信息和证书信息验证包括但不限于以下验证手段:使用移动终端证书公钥验证签名是否正确;验证移动终端证书是否本应用服务签发,是否已经被废除;验证证书主题内容中的设备信息是否与信息发送设备匹配,使用者身份是否正确。基于上述方案,本发明的具体实施过程如下:移动终端中的安全客户端必须向应用服务进行注册,具体步骤如下(参见图2):
(I)安全客户端启动注册功能,内容包括:a)获取移动终端无线号码如13XXXXXXXXX,获取移动终端设备序列号如523846734。b)生成1024位RSA密钥对(公钥Pubkey,私钥Privkey),私钥使用密码(如12345678)保护。c)以无线号码13XXXXXXXXX作为主题CN项,以移动终端设备序列号523846734作为主题L项,将Pubkey作为公钥,使用Privkey进行以上数据签名,生成证书请求Req(2)安全客户端发送Req到应用服务器。(3)应用收到请求数据Req,对数据进行验证,并签发证书Cert,内容包括:a)使用Pubkey验证签名信息是否正确。b)验证发送移动设备的无线号码和序列号是否与请求中的无线号码13XXXXXXXXX,移动终端设备序列号523846734匹配。c)使用应用服务器私钥SPrivkey签发主题CN项为13XXXXXXXXX,主题L项为523846734,公钥为Pubkey的数字证书Cert。(4)应用服务器将为移动终端签发好的数字证书Cert发送给移动终端。(5)安全客户端收到Cert后,进行验证,内容包括:a)使用应用服务器的SPubkey验证证书签名,验证是否是信任的应用服务器签发。b)验证Cert中的Pubkey是否与本地的Privkey匹配。c)检验Cert中的无线号码与设备序列号是否与本移动设备匹配。(6)安全客户端将Cert与Prikey结合,作为移动终端的数字证书。在实施本发明方法的过程中,应用服务器对移动终端的认证步骤如下(参见图3):(I)安全客户端启动,对运行环境进行验证,具体内容包括:a)用户输入密码(如12345678),安全客户端打开数字证书。b)检验数字证书中的Pubkey和Privkey是否匹配。c)检验数字证书中的无线号码与设备序列号是否与本移动设备匹配。d)检验数字证书是否为信任的应用服务器签发。(2)安全客户端向应用服务器发送连接请求。(3)应用服务器收到请求后向安全客户端返回随机信息,如saf24354gh。(4)安全客户端收到随机信息,使用私钥PrivKey对随机信息进行签名,将签名数据发送给应用服务器。(5)应用服务器收到签名数据后,进行验证,具体内容包括:a)使用移动终端的数字证书的公钥Pubkey验证是否是PrivKey对随机信息saf24354gh 的签名。b)验证发送设备的无线号与设备序列号是否与此移动设备的数字证书中信息匹配。c)使用SPubkey验证此移动设备的数字证书中的签名,判断此证书是否由本应用服务器签发,同时验证此数字证书是否在有效期内,是否已经被废除。
(6)应用服务器验证通过后,向移动终端返回认证成功信息。由该实例可知,本发明能够很好对移动终端进行验证,在不增加硬件认证设备基础上增强了认证的强度。以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1.一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述认证方法包括移动终端注册部分和移动终端认证部分; 所述移动终端注册包括如下步骤: (11)在移动终端中生成公私密钥对,并以移动终端设备信息(如无线号码,设备序列号)作为请求项,生成证书请求,然后将证书请求发送给应用服务器进行注册; (12)应用服务器收到证书请求进行验证,验证通过后,使用应用服务器的私钥签发移动终端软件数字证书,并发送给移动终端; (13)移动终端收到软件数字证书,将软件数字证书验证后进行保存,完成移动终端设备的注册; 所述移动终端认证包括如下步骤: (21)移动终端运行,对环境验证通过后,向应用服务发送连接请求; (22)应用服务器向移动终端发送随机信息; (23)移动终端使用私钥对随机信息签名,并发送给应用服务器; (24)应用服务器验证签名信息和证书信息,验证通过后获取移动终端设备信息。
2.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(11)中生成的公私钥包括但不限于RSA密钥,ECC密钥。
3.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(11)中设备信息包括但不限于无线接入号码,设备序列号,使用者身份信肩、O
4.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(11)中证书请求格式包括但不限于PkcslO格式的证书请求。
5.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(12)中证书请求验证包括但不限于以下验证手段: 验证请求中的公钥与请求中签名的私钥是否匹配; 验证请求中的请求项内容是否被篡改; 验证请求内容中的设备信息是否与信息发送设备匹配,使用者身份是否正确。
6.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(12)中软件数字证书包括但不限于符合X509格式的证书。
7.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(13)中数字证书验证包括但不限于以下验证手段: 验证证书中的公钥是否与本地的私钥匹配; 验证证书主题信息是否与本移动终端设备信息匹配; 验证证书的颁发者是否是信任的应用服务器。
8.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(21)中环境验证包括但不限于以下验证手段: 用户需输入认证信息才能启动客户端; 客户端证书中的公钥是否与私钥匹配; 客户端验证证书主题信息是否与本移动终端设备信息匹配; 客户端验证证书的颁发者是否是信任的应用服务器。
9.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(22)中随机信息包括但不限于数字,字符串,图片内容信息,时间信息。
10.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法,其特征在于,所述步骤(24)中签名信息和证书信息验证包括但不限于以下验证手段: 使用移动终端证书公钥验证签名是否正确; 验证移动终端证书是否本应用服务签发,是否已经被废除; 验证证书主题内容中的设备信 息是否与信息发送设备匹配,使用者身份是否正确。
全文摘要
本发明公开了一种基于软件数字证书的移动终端唯一性认证方法,属于计算机和信息安全技术领域,具体如下(1)移动终端安装安全客户端,生成与设备信息关联的证书请求向服务端注册。服务端给移动终端发放数字证书,实现数字证书与设备的关联。(2)使用时,服务端向移动终端发送随机信息,安全客户端收到信息,使用本机的数字证书私钥对随机信息签名,将签名数据发送到服务端。应用服务器使用数字证书公钥验证签名,确认通讯对端身份。本发明能够很好对移动终端进行验证,在不增加硬件认证设备基础上增强了认证的强度。
文档编号H04L9/32GK103167491SQ20111042116
公开日2013年6月19日 申请日期2011年12月15日 优先权日2011年12月15日
发明者韩洪慧, 杨文山, 许俊, 任伟 申请人:上海格尔软件股份有限公司