一种基于商用密码的移动终端证书调用存储方法及系统与流程

本发明涉及信息，具体涉及一种基于商用密码的终端证书本地加密存储方法及系统。

背景技术：

1、移动终端的安全隐患主要存在于身份的盗用，非法用户的威胁，以及病毒对应用终端的破坏等。而对应用终端进行安全防范的有效方法就是针对各种不通的通信方式进行针对性的安全保护。

2、商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心，是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。在现有的商用密码应用环境中，尤其是在用户证书的申请或者更新过程中，存在信息获取的安全隐患问题，当用户通过移动终端申请或者更新用户证书时，一般都是通过简单的加密通信方式实现内容的获取，这很显然会造成用户证书的不安全性，此外，现有的加密过程中携带的用户身份信息也对信息传输的安全性提出更大调整，由此产生了在用户证书的传输过程中有极大的安全隐患。

技术实现思路

1、为解决上述技术问题，本发明提出了一种基于商用密码的终端证书本地加密存储方法及系统，通过商用密码加密算法，实现用户身份信息的加密过程，同时，在多次加解密的验证过程来实现用户证书获取的安全性。

2、根据本发明的目的，本发明提出了一种基于商用密码的移动终端证书调用存储方法，应用于移动终端和服务端，所述方法：

3、所述移动终端接收用户输入的证书调用请求消息，通过商用密码加密算法加密后生成第一加密消息；

4、所述服务端接收所述第一加密消息，并通过商用密码解密算法解密所述第一加密消息后，以提取出所述用户身份信息，并在身份验证通过后生成基于key的调用指令，根据所述调用指令生成第一响应消息，并将所述第一响应消息发送至所述移动终端；

5、所述移动终端基于所述第一响应消息生成第二加密消息，并将所述第二加密消息发送至所述服务端进行验证；

6、所述服务端对所述第二加密消息验证通过后向所述移动终端返回基于用户证书的第二响应消息；

7、所述移动终端解析所述第二响应消息提取出用户证书后进行存储。

8、优选的，所述服务端对用户身份进行验证的步骤包括：

9、所述服务端提取出用户身份信息后，与预先存储的身份信息进行匹配，匹配成功后通过商用密码算法对授权码和用户手机号码进行加密发送至短信网关；

10、所述短信网关提取出用户手机号码后将加密后的授权码发送至用户手机上；

11、所述用户通过所述移动终端向所述服务端发送授权码；

12、所述服务端接收到所述授权码后进行匹配以完成用户身份的验证过程。

13、优选的，所述生成基于key的调用指令，根据所述调用指令生成第一响应消息，并将所述第一响应消息发送至所述移动终端的步骤包括：

14、所述服务端在身份验证通过后生成基于key的调用指令，根据所述调用指令分别生成基于key的软key消息和基于移动key的密钥对消息；

15、通过商用密码算法对所述软key消息和密钥对消息进行加密生成第一响应消息，所述服务端将所述第一响应消息发送至所述移动终端。

16、优选的，所述移动终端基于所述第一响应消息生成第二加密消息，并将所述第二加密消息发送至所述服务端进行验证的步骤具体包括：

17、所述移动终端接收到所述第一响应消息后，接收用户输入的基于用户证书调用类型的内容消息，通过所述商用密码加密算法加密所述第一响应消息和所述内容消息以生成第二加密消息，并将所述第二加密消息发送至所述服务器端。

18、优选的，所述服务端对所述第二加密消息验证通过后向所述移动终端返回基于用户证书的第二响应消息的步骤具体包括：

19、所述服务端解密所述第二加密消息，并对所述软key以及所述密钥对进行验证，验证通过后，提取出用户证书调用类型的内容消息，调用基于所述内容消息的用户证书，通过商用密码算法对所述用户证书进行加密以生成第二响应消息。

20、优选的，所述用户证书调用类型包括基于申请的用户证书以及基于更新的用户证书。

21、优选的，所述方法还包括：所述移动终端定期对所存储的用户证书内容进行预处理，以判断用户证书内容是否过期，若已经过期，则所述移动终端向所述服务端发送用户证书更新请求，在更新完成后，实时注销过期的用户证书。

22、根据本发明的目的，本发明还提出了一种基于商用密码的移动终端证书调用存储系统，所述系统包括部署在移动终端的证书管理app、以及部署在服务端的空中发证服务器、ca系统、sdk服务器；其中，

23、所述证书管理app接收用户输入的证书调用请求消息，通过商用密码加密算法加密后生成第一加密消息；

24、所述空中发证服务器接收所述第一加密消息，并通过商用密码解密算法解密所述第一加密消息后，以提取出所述用户身份信息并在身份验证通过后生成基于key的调用指令；

25、所述ca系统用于生成基于key的调用指令的软key消息，所述sdk服务器用于生成基于key的调用指令的密钥对消息；

26、所述证书管理app接收到所述软key消息和所述密钥对消息后，向所述空中发证服务器发送验证请求，所述空中发证服务器验证通过后调用所述ca系统的用户证书内容，将所述用户证书调用至所述证书管理app并存储。

27、优选的，所述存储系统还包括短信网关，其中，所述空中发证服务器在验证用户身份信息时，通过将接收到的身份信息与预先存储的身份信息进行比对，当比对成功后，将授权码和用户手机号码发送至短信网关，所述短信网关将所述授权码发送至所述用户的手机号码上，所述用户通过所述证书管理app将所述授权码发送至所述空中发证服务器进行比对，以完成用户身份信息认证。

28、本发明提出了一种基于商用密码的移动终端证书调用存储方法及系统，通过商用密码加解密方法实现服务端对移动终端用户身份的验证，并生成基于软key和移动key的密钥对信息，来实现移动终端与服务端的二次验证过程，并在完成验证后调用与用户请求对应的用户证书，以实现用户申请用户证书或者更新用户证书的证书调用过程并在移动终端实现用户证书的存储过程。本发明通过基于商用密码的信息加解密过程实现用户证书的安全、可靠传输。

技术特征：

1.一种基于商用密码的移动终端证书调用存储方法，应用于移动终端和服务端，其特征在于，所述方法：

2.根据权利要求1所述的基于商用密码的移动终端证书调用存储方法，其特征在于，所述服务端对用户身份进行验证的步骤包括：

3.根据权利要求1所述的基于商用密码的移动终端证书调用存储方法，其特征在于，所述生成基于key的调用指令，根据所述调用指令生成第一响应消息，并将所述第一响应消息发送至所述移动终端的步骤包括：

4.根据权利要求1所述的基于商用密码的移动终端证书调用存储方法，其特征在于，所述移动终端基于所述第一响应消息生成第二加密消息，并将所述第二加密消息发送至所述服务端进行验证的步骤具体包括：

5.根据权利要求4所述的基于商用密码的移动终端证书调用存储方法，其特征在于，所述服务端对所述第二加密消息验证通过后向所述移动终端返回基于用户证书的第二响应消息的步骤具体包括：

6.根据权利要求5所述的基于商用密码的移动终端证书调用存储方法，其特征在于，所述用户证书调用类型包括基于申请的用户证书以及基于更新的用户证书。

7.根据权利要求1所述的基于商用密码的移动终端证书调用存储方法，其特征在于，所述方法还包括：所述移动终端定期对所存储的用户证书内容进行预处理，以判断用户证书内容是否过期，若已经过期，则所述移动终端向所述服务端发送用户证书更新请求，在更新完成后，实时注销过期的用户证书。

8.一种基于商用密码的移动终端证书调用存储系统，其特征在于，所述系统包括部署在移动终端的证书管理app、以及部署在服务端的空中发证服务器、ca系统、sdk服务器；其中，

9.根据权利要求8所述的基于商用密码的移动终端证书调用存储系统，其特征在于，所述存储系统还包括短信网关，其中，所述空中发证服务器在验证用户身份信息时，通过将接收到的身份信息与预先存储的身份信息进行比对，当比对成功后，将授权码和用户手机号码发送至短信网关，所述短信网关将所述授权码发送至所述用户的手机号码上，所述用户通过所述证书管理app将所述授权码发送至所述空中发证服务器进行比对，以完成用户身份信息认证。

技术总结
本发明提出了一种基于商用密码的移动终端证书调用存储方法及系统，通过商用密码加解密方法实现服务端对移动终端用户身份的验证，并生成基于软Key和移动Key的密钥对信息，来实现移动终端与服务端的二次验证过程，并在完成验证后调用与用户请求对应的用户证书，以实现用户申请用户证书或者更新用户证书的证书调用过程并在移动终端实现用户证书的存储过程。本发明通过基于商用密码的信息加解密过程实现用户证书的安全、可靠传输。

技术研发人员：黄晖,梁熙,张煜,卜哲,靳文京,张腾宇,郑学欣,刘岩蟠
受保护的技术使用者：浙江钧信保安服务有限公司
技术研发日：
技术公布日：2024/1/12