基于非对称密码技术的移动终端用户认证方法及移动终端

摘要

本发明公开了基于非对称密码技术的移动终端用户认证方法及移动终端，其中认证方法包括：生成激活信息并向认证系统提交该激活信息，激活信息包括硬件信息；生成非对称密钥对，并根据密钥对中的公钥和硬件信息生成数字证书申请信息；向认证系统提交数字证书申请信息；接收认证系统发送的数字证书，数字证书为认证系统核实了激活信息和数字证书申请信息一致后，向移动终端发送的、与该移动终端绑定的数字证书。本发明实现了数字证书与移动终端自身的绑定，使得一个用户身份只能在一个移动终端上有效；且本发明可使得各类业务系统能够方便快捷安全的获取到用户的身份。

说明书

技术领域

本发明涉及移动通信技术及移动电子商务领域，尤其涉及一种基于非对称 密码技术的移动终端用户认证方法及移动终端。

背景技术

随着智能手机的日益流行，各类移动电子商务层出不穷。但在移动电子商 务中，如何认证用户的身份存在着技术难题。

目前主要有以下几种应用方式：

WAP认证，通过WAP上网，移动运营商能够得到用户手机号码，并以此作 为后续用户认证、计费的依据。但是通过WAP方式认证，存在较大的局限性： 例如通过CMWAP上网，可以获得用户手机号码，但在其他网络环境下，如CMNET、 WLAN无法获得用户身份信息。

账号+口令认证，在后台将用户账号与用户手机号码相绑定，用户在手机 上输入账号和口令，认证通过后，后台提取与账号绑定的手机号码，进行扣费 等操作。但是通过账号+口令方式，无法避免账号多人共用的问题，并且无法 有效解决由此带来的纠纷。

发明内容

本发明要解决的技术问题在于针对现有技术中缺少通用有效的移动终端 用户的认证方法和无法避免账号多人共用的缺陷，提供一种可在包括移动通信 网络在内的各种网络实现认证、且账号唯一绑定的基于非对称密码技术的移动 终端用户认证方法及移动终端。

本发明要解决的技术问题在于针对现有技术中缺少通用有效的移动用户 的认证方法实现第三方业务系统的身份认证服务的缺陷，提供一种可面向第三 方业务系统开放的身份认证服务的基于非对称密码技术的移动终端用户认证 方法。

本发明解决其技术问题所采用的技术方案是：

提供一种基于非对称密码技术的移动终端用户认证方法，包括以下步骤：

S1、生成激活信息并向认证系统提交该激活信息，所述激活信息包括硬件 信息；

S2、生成非对称密钥对，并根据所述密钥对中的公钥和所述硬件信息生成 数字证书申请信息；

S3、向所述认证系统提交所述数字证书申请信息；

S4、接收所述认证系统发送的数字证书，所述数字证书为所述认证系统核 实了所述激活信息和所述数字证书申请信息一致后，向移动终端发送的、与该 移动终端绑定的数字证书。

本发明所述的认证方法中，所述密钥对为根据非对称密钥算法RSA生成的 密钥对。

本发明所述的认证方法中，步骤S1中，当在可以获取用户手机号码的网 络环境时，通过该网络提交所述激活信息；当所在网络环境无法获取用户手机 号码时，向所述认证系统发送携带所述激活信息的上行短信。

本发明所述的认证方法中，所述激活信息还包括所述移动终端随机产生的 序列号，所述数字证书申请信息中也包括该序列号。

本发明解决其技术问题所采用的另一技术方案是：

构造一种移动终端，包括安全组件，所述安全组件具体包括：

激活信息生成单元，用于生成激活信息，所述激活信息包括硬件信息；

信息提交单元，用于向认证系统提交激活信息；

密钥对生成单元，用于生成密钥对；

数字证书申请信息生成单元，用于根据所述密钥对中的公钥和所述硬件信 息生成数字证书申请信息，并通过所述信息提交单元提交给所述认证系统；

接收单元，用于接收所述认证系统发送的数字证书，所述数字证书为所述 认证系统核实了所述激活信息和所述数字证书申请信息一致后，向移动终端发 送的、与该移动终端绑定的数字证书。

本发明所述的移动终端中，所述安全组件还包括短信生成单元，用于在所 在网络环境无法获取用户手机号码时，生成携带所述激活信息的上行短信，并 通过所述信息提交单元发送给所述认证系统。

本发明所述的移动终端中，所述移动终端为安装了所述安全组件的手机、 电脑或者PDA，在所述移动终端为手机时，所述激活信息还包括IMSI。

本发明所述的移动终端中，所述激活信息生成单元还用于在所述激活信息 中加入随机产生的序列号；所述数字证书申请信息生成单元还用于将该序列号 加入生成的所述数字证书申请信息中。

本发明所述的移动终端中，所述密钥对生成单元采用非对称密钥算法生成 密钥对，并采用所述硬件信息，或者所述硬件信息和用户输入的PIN对所述密 钥对中的私钥进行加密。

本发明解决其技术问题所采用的另一技术方案是：

提供一种基于非对称密码技术的移动终端用户认证方法，包括以下步骤：

业务客户端向业务系统发送请求访问的请求信息，所述业务客户端为运行 在上文所述的移动终端的客户端；

所述业务系统向所述业务客户端返回要求其进行认证的认证信息；

所述业务客户端调用安全组件，采用密钥对中的私钥对所述认证信息进行 数字签名，并将签名后的认证信息发送给所述业务系统；

所述业务系统向所述认证系统申请用户认证，并向所述认证系统提交所述 签名后的认证信息；

所述认证系统接收所述签名后的认证信息，并对该认证信息进行验证，在 验证通过后，将认证结果以及用户身份返回给所述业务系统；

所述业务系统得到所述用户身份后，进行相应的业务逻辑处理。

本发明产生的有益效果是：本发明中的移动终端在进行激活和申请数字证 书时提交了本身的硬件信息，实现了数字证书与移动终端自身的绑定，使得一 个用户身份只能在一个移动终端上有效；且本发明的移动终端通过安全组件可 以面向第三方业务系统开放身份认证服务，使得各类业务系统能够方便快捷安 全的获取到用户的身份，为移动电子商务以及各类增值服务提供了有力的支 撑。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例移动终端的结构示意图；

图2是本发明实施例基于非对称密码技术的移动终端用户认证方法的流 程图；

图3是本发明实施例具体业务中认证方法的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实 施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅 用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例移动终端，主要包括安全组件10，该安全组 件10主要用于生成并维护以非对称密码技术为核心的数字证书及其私钥，在 用户移动终端上安全保存，同时在对外业务中，通过其对外进行身份认证。

安全组件10具体包括激活信息生成单元11、信息提交单元12、密钥对生 成单元13、数字证书申请信息生成单元14和接收单元15；其中，

激活信息生成单元11，用于生成激活信息，激活信息包括硬件信息，硬 件信息包括但不限于IMEI、MAC等，当然也可以是经过处理(如保密处理)后 的IMEI或者MAC。若移动终端中还存在SIM卡，如该移动终端为手机时，则 激活信息还包括IMSI(移动用户识别码)，认证系统20可以通过移动通信网 络得到用户的手机号码，这样就实现了手机号码、手机和SIM卡的绑定，避免 了账号多人共用的问题。在用户的手机遗失时，如果被他人换了SIM，则其也 无法通过该手机进行认证；如果未换SIM卡，则手机丢失用户可以通过挂失来 阻止他人的使用。

信息提交单元12，用于向认证系统20提交激活信息，认证系统20接收 到该激活信息后，可以从中提取有用的信息，如手机号码或者硬件信息等。当 然激活信息也可以通过移动终端的收发单元进行发送。认证系统20是基于非 对称密码技术的认证系统。

密钥对生成单元13，用于生成密钥对；该密钥对可以基于不同的非对称 算法生成，如RSA、ECC等。

数字证书申请信息生成单元14，用于根据密钥对中的公钥和硬件信息生 成数字证书申请信息，并通过信息提交单元12(也可以通过移动终端的收发 单元)提交给认证系统20；

接收单元15，用于接收认证系统20发送的数字证书，认证系统核实了激 活信息和数字证书申请信息一致后，通过认证中心(CA)生成数字证书，再通 过认证系统10发送给安全组件10。数字证书内包含用户信息和公钥信息，同 时还附有认证中心的签名信息等，其中用户信息包括如手机号码、终端的硬件 信息等，从而使得数字证书和移动终端实现了绑定，一个用户身份只能在一个 移动终端上有效。安全组件10还包括一存储单元，用于将数字证书、私钥、 密钥算法等进行安全存储。

本发明实施例移动终端中，安全组件10还包括短信生成单元(图中未示 出)，短信生成单元连接激活信息生成单元11和信息提交单元12，用于在无 法获取用户手机号码的网络环境时(如CMNET)中时，生成携带激活信息的上 行短信，并通过信息提交单元发送给认证系统，这样可以通过发送上行短信的 方式与认证系统20通信，认证系统20从上行短信中获取移动终端用户的身份 信息，完成激活，发给移动终端用户数字证书，从而在包括移动通信网络在内 的各种网络环境下，认证系统20仍可顺利地获取用户的身份信息，实现对用 户的身份认证。

本发明实施例中移动终端为安装了安全组件10的手机、电脑或者PDA， 在移动终端为手机时，激活信息还包括IMSI。

本发明实施例中，激活信息生成单元11还用于在激活信息中加入随机产 生的序列号，在生成激活信息时，自动生成一随机的序列号作为标识。数字证 书申请信息生成单元14也会将该序列号加入生成的数字证书申请信息中，作 为该数字证书申请信息的标识，以增加认证系统20进行身份核实时的依据， 加强了认证过程的安全性。

本发明的一个实施例中，安全组件10采用非对称密钥算法生成密钥对。 安全组件10可以通过由软件、硬件、固件或软硬件的结合实现，如设计一独 立的安全芯片来实现安全组件10的功能，则只需要在安全芯片内部生成非对 称密钥对，就可以保证私钥的安全性；若没有安全芯片，则密钥对生成单元 13在安全组件10管理的安全区域内采用非对称密钥算法生成非对称密钥对， 并采用硬件信息或者硬件信息和用户输入的PIN，对非对称密钥对中的私钥 进行加密，以提高私钥的安全性。

如图2所示，本发明实施例基于非对称密码技术的移动终端用户认证方法 主要包括以下步骤：

S1、移动终端可以通过其内部的安全组件或者安全芯片生成激活信息并向 认证系统提交该激活信息，激活信息包括硬件信息，硬件信息包括但不限于 IMEI、MAC等，当然也可以是经过处理(如保密处理)后的IMEI或者MAC。若 移动终端中还存在SIM卡，如该移动终端为手机时，则激活信息还包括IMSI， 认证系统可以通过移动通信网络得到用户的手机号码，这样就实现了手机号 码、手机和SIM卡的绑定，避免了账号多人共用的问题。

S2、移动终端生成密钥对，并根据密钥对中的公钥和硬件信息生成数字证 书申请信息；

S3、移动终端向认证系统提交数字证书申请信息；

S4、移动终端接收认证系统发送的数字证书，数字证书为认证系统核实了 激活信息和数字证书申请信息一致后，向移动终端发送的、与该移动终端唯一 绑定的数字证书，数字证书内包含用户信息和公钥信息，同时还附有认证中心 的签名信息等，其中用户信息包括如手机号码、终端的硬件信息等，从而使得 数字证书和移动终端实现了绑定，一个用户身份只能在一个移动终端上有效。

进一步地，在步骤S1中，当在可以获取用户手机号码的网络环境(如 CMWAP)中时，通过该网络提交激活信息；当在无法获取用户手机号码时(如 CMNET)的网络环境时，向认证系统发送携带激活信息的上行短信。认证系统 20从上行短信中获取移动终端用户的身份信息，完成激活，发给移动终端用 户数字证书，从而实现了包括移动通信网络在内的各种网络环境下，认证系统 20仍可顺利地获取用户的身份信息，实现对用户的身份认证。

为了加强认证过程的安全性，在生成激活信息时，自动生成一随机的序列 号作为标识根，即激活信息还包括在移动终端随机产生的序列号，数字证书申 请信息中也包括该序列号。在数字证书申请信息生成时也会将该序列号加入， 作为该数字证书申请信息的标识，以增加认证系统20进行身份核实时的依据， 加强了认证过程的安全性。

移动终端运用安全组件，并通过认证系统实现用户的身份认证，该认证方 法可以运用到具体的业务系统中，如电子商务系统、各类增值服务系统等，如 图3所示，为本发明实施例基于非对称密码技术的移动终端用户认证方法应用 到具体业务中的认证流程，主要包括以下步骤：

在步骤302中，业务客户端向业务系统发送请求访问的请求信息，业务客 户端为上文所描述的移动终端；步骤304中，业务系统向业务客户端返回要求 其进行认证的认证信息；步骤306中，业务客户端调用安全组件，安全组件采 用密钥对中的私钥对认证信息进行数字签名；如果业务客户端是通过安全芯片 实现安全组件的功能，则通过安全芯片对认证信息进行签名；步骤308中，通 过安全组件或者安全芯片返回签名的认证信息；步骤310中，业务客户端将签 名后的认证信息提交给业务系统；步骤312中，业务系统将业务客户端提交的 认证信息发送给认证系统，申请对用户进行认证；步骤314中，认证系统接收 认证信息并对其进行验证；步骤316中，在验证通过后，认证系统将认证结果 以及用户身份返回给业务系统；步骤316中，业务系统得到用户身份后，进行 相应的业务逻辑处理。通过本实施例的方法可以实现面向第三方业务系统开放 的身份认证服务。

本发明中的移动终端用户可以在包括移动通信网络在内的各种网络环境 中通过认证系统进行身份认证，从认证系统获取的数字证书与移动终端自身实 现了绑定，一个用户身份只能在一个移动终端上有效；且本发明的认证方法可 以为第三方业务系统开放身份认证服务，使得各类业务系统能够方便快捷安全 的获取到用户的身份，为移动电子商务以及各类增值服务提供了有力的支撑。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进 或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。