CN103945374A

CN103945374A - 一种基于pki技术的移动终端设备及用户认证的方法

Info

Publication number: CN103945374A
Application number: CN201310027077.3A
Authority: CN
Inventors: 颜志超
Original assignee: SHENZHEN HUAYING DIGITAL BUSINESS Co Ltd
Current assignee: SHENZHEN HUAYING DIGITAL BUSINESS Co Ltd
Priority date: 2013-01-18
Filing date: 2013-01-18
Publication date: 2014-07-23
Also published as: WO2014110877A1

Abstract

本发明涉及一种基于PKI技术的移动终端设备及用户认证的方法，方法采用了PKI技术，结合数字证书与移动终端绑定，使得认证适用于各类网络环境，且一个用户身份只能在一个移动终端上有效，从而避免了账号多人共用的问题，且本方法能够面向第三方业务系统开放身份认证服务，使得各类业务系统能够方便快捷安全的获取到用户的身份，为移动电子商务以及各类增值服务提供了有力的支撑。

Description

一种基于PKI技术的移动终端设备及用户认证的方法

技术领域

本发明涉及移动通讯数据业务领域，尤其是指一种基于PKI技术的移动终端设备及用户认证的方法。

背景技术

随着智能终端设备的日益普及，随之而来的各类移动电子商务也层出不穷。但在移动电子商务中，如何认证用户身份存在着技术难题。

目前在智能终端的应用层主要用到的身份认证方式有以下几种：

1、WAP认证

用户的智能手机终端通过WAP上网，移动运营商能够得到用户手机号码，并以此作为后续用户认证、计费的依据。

2、账号+口令认证

在后台将用户账号与用户智能终端的唯一身份信息（如手机号码，设备号等）相绑定，用户在智能终端上输入账号和口令，认证通过后，后台提取与账号绑定的智能终端唯一身份信息，进行扣费等操作。

然而上述两种技术在实际使用时均存在一定问题。第一种通过WAP方式认证用户的方法，存在较大的局限性，由于通过WAP获取用户手机号码必须WAP网络本身支持，因此通常只有移动运营商自身的WAP网络（如CMWAP）方可可以获得用户手机号码，但在其他网络环境下，如CMNET、WLAN无法获得用户身份信息。且此种方法只能针对具备手机号码的只能终端进行认证，使用上收到诸多限制。而第二种的通过账号+口令方式，难以避免账号多人共用的问题，更不利于有效解决由于帐号共用带来的纠纷。因此，现下行业内亟需一种新的认证方式，能够在各类网络环境下实现对用户的身份认证。

发明内容

本发明的目的在于克服了上述缺陷，提供一种基于PKI技术的移动终端设备及用户认证的方法。

本发明的目的是这样实现的：一种基于PKI技术的移动终端设备及用户认证的方法，它包括初始化及业务使用认证的步骤；

初始化：

1)、通过移动终端向移动运营商的认证系统提交包含终端信息的注册请求；

较佳的，本步骤1的提交注册请求方式包括：

a)、对应移动终端处于移动运营商自身的WAP网络环境时，通过CMWAP提交终端信息；

b)、移动终端不在移动运营商自身的WAP网络环境时，向认证系统发送携带终端信息的上行短信；

2)、认证系统收到注册请求后，提取其中的终端信息并通过终端的提交方式获取其手机号码；

3)、移动终端上生成RSA密钥对；所述RSA密钥对包括公钥和私钥；

较佳的，本步骤具体为，检测移动终端中是否有安全组件，

a)、若有，则在安全组件内部生成RSA密钥对；

b)、若无，则在移动终端管理的安全区域内生成RSA密钥对；

较佳的，本步骤中采用终端信息对RSA密钥对中的私钥进行加密；所述终端信息为终端的硬件特征，它包括移动终端的IMEI、IMSI和/或MAC。

4)、移动终端向移动运营商的认证系统提交数字证书申请信息；所述数字证书申请信息包括终端信息及RSA密钥对的公钥；

5)、认证系统对提交的数字证书申请信息中的终端信息与步骤2提取的终端信息进行比较，若两者吻合向移动终端颁发数字证书，并保存对应的终端信息；

业务使用认证：

1)、移动终端访问移动运营商的业务系统；

2)、业务系统向移动终端返回认证要求；

3)、移动终端对认证信息进行签名；

4)、移动终端将签名前、后的认证信息一并提交至移动运营商的业务系统；

5)、业务系统向认证系统申请终端认证，将移动终端提交的签名前、后的认证信息送给认证系统；

6)、认证系统通过比对签名前、后的认证信息验证终端身份，将验证是否通过的结果返回给业务系统，若验证通过则同时还将该终端信息一并返回给业务系统；

7)、业务系统根据验证是否通过的结果进行不同的处理，若验证不通过则向移动终端返回错误，验证通过则根据终端信息进行需使用业务的后续使用；

上述方法中，较佳的，所述初始化的步骤1通过移动终端上的安全组件向移动运营商的认证系统提交包含终端信息的注册请求；所述业务使用认证的步骤3移动终端调用安全组件，对认证信息进行签名；

上述方法中，较佳的，初始化的步骤2中，认证系统为移动终端设定一个身份标识；所述数字证书申请信息还包括身份标识；所述初始化的步骤5中，认证系统通过数字证书申请信息中的身份标识作为索引找寻步骤2提取的终端信息后与提交的数字证书申请信息中的终端信息进行比较；

较佳的，所述身份标识是由认证系统为移动终端分配的唯一身份标识；对应的所述初始化的步骤2中，认证系统为移动终端分配了身份标识后反馈给移动终端；

较佳的，所述身份标识是是移动终端自带的唯一身份标识。

本发明的有益效果在于提供了一种基于PKI技术实现移动终端用户认证的方法，通过采用PKI技术，结合数字证书与移动终端绑定，使得认证适用于各类网络环境，且一个用户身份只能在一个移动终端上有效，从而避免了账号多人共用的问题，且本方法能够面向第三方业务系统开放身份认证服务，使得各类业务系统能够方便快捷安全的获取到用户的身份，为移动电子商务以及各类增值服务提供了有力的支撑。

【附图说明】

下面结合附图详述本发明的具体结构

图1为本发明的初始化步骤流程图；

图2为本发明的业务使用认证步骤流程图；

图3为采用本发明方法的硬件构成具体实施示意图。

【具体实施方式】

下面结合附图对本发明具体实施例进行详细阐述。

本发明涉及一种基于PKI技术的移动终端设备及用户认证的方法，它包括初始化及业务使用认证的步骤。

参见图1，初始化包括步骤：

根据不同的情况，实际移动终端在执行本步骤时可采用的提交注册请求方式包括：

b)、移动终端不在移动运营商自身的WAP网络环境时，向认证系统发送携带终端信息的上行短信。

为了进一步增强安全性，可在移动终端内设置专门的安全组件，从而本步骤则对应为通过移动终端上的安全组件向移动运营商的认证系统提交包含终端信息的注册请求。

2)、认证系统收到注册请求后，提取其中的终端信息并通过终端的提交方式获取其手机号码。

较佳的，认证系统为移动终端设定一个身份标识，该身份标识即可以是由认证系统为移动终端分配的唯一身份标识、也可以移动终端自带的唯一身份标识。此处设定身份标识的作用主要是可以作为该移动终端的一个索引，方便后续流程的快速找寻。

若对应身份标识是由认证系统为移动终端分配的唯一身份标识；对应的所述初始化的步骤2中，认证系统为移动终端分配了身份标识后反馈给移动终端。

如上述，若移动终端通过CMWAP提交的，则可通过网络获取其手机号码，而弱势短信上行方式，也可直接根据收信号码获取手机号码。

3)、移动终端上生成RSA密钥对；所述RSA密钥对包括公钥和私钥。

较佳的，本步骤具体为，检测移动终端中是否有安全组件，

a)、若有，则在安全组件内部生成RSA密钥对；

b)、若无，则在移动终端管理的安全区域内生成RSA密钥对；

借由安全组件的情况下可确保整个生成RSA密钥过程不受外界影响和非法影响，过程更安全。

最佳的，此步骤中采用终端信息对RSA密钥对中的私钥进行加密；所述终端信息为终端的硬件特征，它包括移动终端的IMEI、IMSI和/或MAC。

4)、移动终端向移动运营商的认证系统提交数字证书申请信息，数字证书申请信息包括终端信息及RSA密钥对的公钥。

5)、认证系统对提交的数字证书申请信息中的终端信息与步骤2提取的终端信息进行比较，若两者吻合向移动终端颁发数字证书，并保存对应的终端信息。此处由于移动终端提交的终端信息前后是异步的，因此进一步对比前后提交的终端信息是否一致，以确保证书发放的正确、有效性。

若在步骤2时为移动终端设定了身份标识，则此步骤中认证系统通过数字证书申请信息中的身份标识作为索引找寻步骤2提取的终端信息后与提交的数字证书申请信息中的终端信息进行比较。

参见图2，业务使用认证步骤包括：

1)、移动终端访问移动运营商的业务系统；

2)、业务系统向移动终端返回认证要求；

3)、移动终端对认证信息进行签名。此步骤中认证信息可以是随机的一个信息，本步骤主要是移动终端对这个信息通过私钥进行签名，以供后续比对确认。

对应移动终端设置了安全组件的情况下，本步骤则是移动终端调用安全组件，对认证信息进行签名。

4)、移动终端将签名前、后的认证信息（即加密信息和原始的明文）一并提交至移动运营商的业务系统；

6)、认证系统通过初始化获取的公钥对签名后的认证信息进行验证，从而比对签名前、后的认证信息是否一致，打到验证终端身份的目的，在验证后，认证系统会将验证是否通过的结果返回给业务系统，若验证通过则同时还将该终端信息一并返回给业务系统；

7)、业务系统根据验证是否通过的结果进行不同的处理，若验证不通过则向移动终端返回错误，验证通过则根据终端信息进行需使用业务的后续使用。

参见图3为采用了上述放发的一种硬件示意图，其核心组件是部署在用户移动终端上的安全芯片（硬件）、安全组件（软件）以及后台的认证系统组成。

具体说明如下：

安全组件，功能如下：

a）、生成并维护以PKI技术为核心的数字证书及其私钥，在用户移动终端上安全保存。

b）、对外部业务客户端提供身份认证的开放接口

认证系统

a）、接收安全组件的数字证书签发请求，管理用户的数字证书

b）、对外部业务系统提供身份认证服务：接入认证请求，返回用户的真实身份、手机号码。

综上可见，本发明方法采用的是一种基于PKI技术实现移动终端用户认证的，其通过移动终端与后台认证系统的配合，实现认证用户的目的。与现有技术相比较具备下述优点：

1、通过PKI技术，解决了传统认证方式的不足，适用于各类网络环境（包括无运营商2G/3G信号的情况）同时也有效避免了账号多人共用的问题。提供了安全、方便、快捷的用户认证方案。

2、基于WAP的认证只适用于WAP环境，不适用于其他环境，如WLAN。而本申请提案适用于所有网络环境。

3、基于账号和口令的认证，无法避免多人公用账号问题，对有人公用账号导致的纠纷也无法解决。而本申请提案通过安全组件将数字证书与移动终端进行了绑定，一个用户身份只能在一个移动终端上有效。从而避免了前述问题。

4、同时，本申请专利能够面向第三方业务系统开放身份认证服务，使得各类业务系统能够方便快捷安全的获取到用户的身份，为移动电子商务以及各类增值服务提供了有力的支撑。

需要指出的是，本发明不限于上述实施方式，任何熟悉本专业的技术人员在基于本发明技术方案内对上述实施例所作的任何简单修改、等同变化与修饰，均属于本发明的保护范围内。

Claims

1.一种基于PKI技术的移动终端设备及用户认证的方法，其特征在于：它包括初始化及业务使用认证的步骤；

初始化：

业务使用认证：

1)、移动终端访问移动运营商的业务系统；

2)、业务系统向移动终端返回认证要求；

3)、移动终端对认证信息进行签名；

2.如权利要求1所述的基于PKI技术的移动终端设备及用户认证的方法，其特征在于：所述初始化的步骤1的提交注册请求方式包括：

3.如权利要求1所述的基于PKI技术的移动终端设备及用户认证的方法，其特征在于：所述初始化的步骤3具体为，

检测移动终端中是否有安全组件，

a)、若有，则在安全组件内部生成RSA密钥对；

b)、若无，则在移动终端管理的安全区域内生成RSA密钥对。

4.如权利要求1所述的基于PKI技术的移动终端设备及用户认证的方法，其特征在于：所述初始化的步骤3采用终端信息对RSA密钥对中的私钥进行加密；所述终端信息为终端的硬件特征，它包括移动终端的IMEI、IMSI和/或MAC。

5.如权利要求1-4任意一项所述的基于PKI技术的移动终端设备及用户认证的方法，其特征在于：所述初始化的步骤1通过移动终端上的安全组件向移动运营商的认证系统提交包含终端信息的注册请求；

所述业务使用认证的步骤3移动终端调用安全组件，对认证信息进行签名。

6.如权利要求1-4任意一项所述的基于PKI技术的移动终端设备及用户认证的方法，其特征在于：所述初始化的步骤2中，认证系统为移动终端设定一个身份标识；所述数字证书申请信息还包括身份标识；所述初始化的步骤5中，认证系统通过数字证书申请信息中的身份标识作为索引找寻步骤2提取的终端信息后与提交的数字证书申请信息中的终端信息进行比较。

7.如权利要求6所述的基于PKI技术的移动终端设备及用户认证的方法，其特征在于：所述身份标识是由认证系统为移动终端分配的唯一身份标识；对应的所述初始化的步骤2中，认证系统为移动终端分配了身份标识后反馈给移动终端。

8.如权利要求6所述的基于PKI技术的移动终端设备及用户认证的方法，其特征在于：所述身份标识是是移动终端自带的唯一身份标识。