CN107277020A - 基于公私钥体制的远程验证移动设备合法性的系统和方法 - Google Patents
基于公私钥体制的远程验证移动设备合法性的系统和方法 Download PDFInfo
- Publication number
- CN107277020A CN107277020A CN201710487832.4A CN201710487832A CN107277020A CN 107277020 A CN107277020 A CN 107277020A CN 201710487832 A CN201710487832 A CN 201710487832A CN 107277020 A CN107277020 A CN 107277020A
- Authority
- CN
- China
- Prior art keywords
- certification
- mobile device
- message
- certificate
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明提供一种基于公私钥体制的远程验证移动设备合法性的系统,包括:移动设备:用于存储带有公钥的认证证书以及与该公钥对应的认证私钥;还用于在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器;设备认证服务器:用于存储签发认证证书的根证书,以及用于接收到移动应用服务器发起的移动设备合法性验证请求后,对所述移动设备发送验证请求报文;并在收到所述应答报文后通过根证书验证该报文中认证证书合法性,之后通过认证证书验证报文签名的合法性。其安全性高,且本发明还提供了基于系统实现的方法。
Description
技术领域
本发明涉及移动设备合法性的验证技术领域,具体为一种基于公私钥体制的远程验证移动设备合法性的方法。
背景技术
移动设备合法性的问题一直是困扰移动应用系统的一个问题,移动应用通常通过提取设备型号、硬件唯一标识码、hash、自行生成随机数等手段用于识别设备的合法性,然而这些手段都是通过系统接口实现的,容易被攻击者通过劫持相关接口的方式篡改,从而使得移动应用遭受到黑客的攻击。
有鉴于此,特提出本发明。
发明内容
本发明要解决的技术问题在于克服现有技术的不足,提供一种基于公私钥体制的远程验证移动设备合法性的方法,将移动设备身份凭证转化为公私钥形式,并将身份凭证和密钥保存在移动设备端,以避免移动设备身份合法性提取接口被劫持造成的安全风险;并且本发明还提供了实施该方法的系统。
为解决上述技术问题,本发明采用技术方案的基本构思是:
第一方面,本发明提供了一种基于公私钥体制的远程验证移动设备合法性的系统,包括:
移动设备:用于存储带有公钥的认证证书以及与该公钥对应的认证私钥;还用于在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器;
设备认证服务器:用于存储签发认证证书的根证书,以及用于接收到移动应用服务器发起的移动设备合法性验证请求后,对所述移动设备发送验证请求报文;并在收到所述应答报文后通过根证书验证该报文中认证证书合法性,之后通过认证证书验证报文签名的合法性。
进一步的,上述基于公私钥体制的远程验证移动设备合法性的系统中,所述移动设备内的安全存储区域中存储用于将所述认证证书进行封装,并进行所述认证私钥的签名的可信应用。
第二方面,本发明提供了一种基于公私钥体制的远程验证移动设备合法性的方法,在设备认证服务器端,包括:
发出移动设备合法性验证的请求报文至移动设备;以及
存储签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;在收到移动设备发回的应答报文后通过根证书验证应答报文中包含的认证证书的合法性,再通过认证证书验证应答报文中被认证私钥签署的签名的合法性。
进一步的,上述基于公私钥体制的远程验证移动设备合法性的方法中,在设备认证服务器端还包括:
发出移动设备合法性验证的请求报文至移动设备的步骤,是在设备认证服务器接收到移动应用服务器发起的移动设备合法性验证请求进行的;且在完成移动设备的合法性校验后,将结果发送至移动应用服务器。
进一步的,上述基于公私钥体制的远程验证移动设备合法性的方法中,在设备认证服务器端还包括:生成带有随机数和挑战值的请求报文,将该报文发送给移动应用服务器,以使移动应用服务器通过网络将请求报文转发给移动设备端的移动应用,移动应用再通过系统接口将该报文转发给移动设备。
进一步的,上述基于公私钥体制的远程验证移动设备合法性的方法中,在设备认证服务器端还包括:在完成通过认证证书验证应答报文中被认证私钥签署的签名的合法性后,对接收到的所述应答报文中的随机数和挑战值应答串进行校验。
上述基于公私钥体制的远程验证移动设备合法性的方法在移动设备端,包括:
存储带有公钥的认证证书以及与该公钥对应的认证私钥;以及
在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器,以使设备认证服务器收到所述应答报文后,通过设备认证服务器存储的签发认证证书的根证书验证应答报文中认证证书的合法性,再通过认证证书验证报文签名的合法性。
进一步的,上述基于公私钥体制的远程验证移动设备合法性的方法中,在移动设备端还包括:根据请求报文中读取的挑战值生成挑战值应答串,并将认证证书连同从请求报文中读取的随机数以及挑战值应答串信息封装在一起,并使用认证私钥对封装报文进行签名,签名附在应答报文的末尾。
第三方面本发明提供了构成上述系统的设备认证服务器,包括存储介质,存储介质中分别存储有程序和根证书,所述根证书为签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;所述程序被运行时执行以下步骤:
发出移动设备合法性验证的请求报文至移动设备;以及
存储签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;在收到移动设备发回的应答报文后通过根证书验证应答报文中包含的认证证书的合法性,再通过认证证书验证应答报文中被认证私钥签署的签名的合法性。
进一步的,上述设备认证服务器中,程序被运行时还执行:
接收到移动应用服务器发起的移动设备合法性验证请求后,发出移动设备合法性验证的请求报文至移动设备;以及完成移动设备的合法性校验后,将结果发送至移动应用服务器。
进一步的,上述设备认证服务器中,程序被运行时还执行:生成带有随机数和挑战值的所述请求报文,将该报文发送给移动应用服务器以使移动应用服务器通过网络将请求报文转发给移动设备端的移动应用,移动应用再通过系统接口将该报文转发给移动设备的可信应用程序。
本发明还提供了构成上述系统的移动设备,包括存储介质,存储介质中分别存储有程序和带有公钥的认证证书以及与该公钥对应的认证私钥;该程序被运行时执行以下步骤:
在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器,以使设备认证服务器收到所述应答报文后,通过设备认证服务器存储的签发认证证书的根证书验证应答报文中认证证书的合法性,再通过认证证书验证报文签名的合法性。
进一步的,上述移动设备中,该程序封装报文时:根据请求报文中读取的挑战值生成挑战值应答串,并将认证证书连同从请求报文中读取的随机数以及挑战值应答串等信息封装在一起,并使用认证私钥对封装报文进行签名,签名附在应答报文的末尾。
采用上述技术方案后,本发明与现有技术相比具有以下有益效果:
提供一种基于公私钥体制的远程验证移动设备合法性的方法,将移动设备身份凭证转化为公私钥的形式,并将私钥保存于移动设备端的安全环境中,设备认证服务器仅存储签发设备证书的根证书,安全性更高,避免移动设备相关接口被劫持进行恶意篡改设备数据造成的安全风险,且即便移动设备端相关接口被恶意劫持,由于本发明方法中认证服务器端验证移动设备的认证措施(如根证书)不在网络上传输(即避免被劫持和篡改),且其签发的证书带有的公钥与私钥签名作为第二重验证,使得接口被劫持后也不会出现将非法设备转化合法设备的效果,有效地降低了安全风险,大大降低了设备认证系统的风险水平。
并且本发明还提供了实现该方法的系统,成本低,安全性高,兼容性好。
附图说明
图1是本发明提供的一种基于公私钥体制的远程验证移动设备合法性的系统的结构示意图;
图2是本发明提供的基于公私钥体制的远程验证移动设备合法性的方法在系统上实施的示意图;
图3是本发明系统中设备认证服务器的结构示意框图;
图4是本发明系统中移动设备的结构示意框图;
具体实施方式
下面结合附图和具体实施例,对本发明作进一步说明,以助于理解本发明的内容。
如图1-2所示,一种基于公私钥体制的远程验证移动设备合法性的系统,包括:
移动设备1:用于安全存储带有公钥的认证证书(Attestation证书)以及与该公钥对应的认证私钥(Attestation私钥);还用于在接收到设备认证服务器3发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器3;
设备认证服务器3:用于存储签发认证证书的根证书,以及用于接收到移动应用服务器2发起的移动设备1合法性验证请求后,对所述移动设备1发送验证请求报文;并在收到所述应答报文后通过根证书验证该报文中认证证书合法性,之后通过认证证书验证报文签名的合法性。
移动设备1上的移动应用进行一些敏感操作(如交易或授权等))时需要验证移动设备的合法性,则移动应用服务器2为移动应用向设备认证服务器3发起对移动设备的合法性验证请求,以通知设备认证服务器3发起移动设备1的合法性验证操作;所述设备认证服务器3在发起移动设备合法性验证操作后,发送请求报文(Request Message):具体的,首先将该请求报文发送给移动应用服务器,移动应用服务器通过网络将请求报文转发给移动设备端的移动应用,移动应用再通过系统接口将该请求报文转发给移动设备内可信执行环境(TEE)或可信模块(SE)或可信平台模块(TPM)等安全区域中的可信应用程序。其中该安全区域中存储上述带有公钥的Attestation证书和Attestation私钥作为移动设备的身份凭证,这些移动设备凭证仅存放在移动设备的安全区域中,不会存放于设备认证服务器端,而签发所述Attestation证书的根证书(Root Certificate)存储在设备认证服务器上。
设备认证服务器在接收到移动设备发送的应答报文后,首先通过根证书验证报文中Attestation证书的合法性,在通过Attestation证书验证应答报文中签名的合法性,因为Attestation证书包含公钥,该公钥与所述认证私钥为一对非对称密钥,能互为加解密,应答报文被认证私钥签名,故而用Attestation证书对应答报文的签名的合法性进行验证,最终完成移动设备的合法性校验后,将结果传递给移动应用服务器。
本发明验证系统中移动设备身份凭证转化为公私钥形式,将私钥保存于移动设备端的安全环境中,公钥附在认证证书中也安全保存在移动设备端,在设备认证服务器中仅存储签发设备证书的根证书,通过根证书验证认证证书合法,则证书中的公钥可验证移动设备私钥合法,相对于传统识别识别合法性的手段(提取硬件唯一识别码、hash、自动生成随机数等),可有效地避免移动设备身份合法性提取接口被劫持造成的安全风险;其中所述移动设备可以是手机、笔记本、平板或可穿戴设备等,都可以基于本发明认证系统完成合法性校验。
对本发明上述系统,本发明还提供了一种通过该系统实施的基于公私钥体制的远程验证移动设备合法性的方法,参考图1-2,该方法在设备认证服务端,包括
接收移动应用服务器发起的移动设备合法性验证请求,并发出移动设备合法性验证的请求报文至移动设备;以及
存储签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;在收到移动设备发回的应答报文后通过根证书验证应答报文中包含的认证证书的合法性,再通过认证证书验证应答报文中被认证私钥签署的签名的合法性;
完成移动设备的合法性校验后,将结果发送至移动应用服务器。
具体的,本发明方法是在移动应用需要验证移动设备合法性时,通过移动应用服务器发起移动设备合法性验证流程后实施的,标准的设备认证服务器收到移动应用服务器发起的移动设备合法性验证的通知后,发起移动设备的认证:设备认证服务器生成带有随机数和挑战值等安全措施的请求报文(Request Message),将该报文发送给移动应用服务器;移动应用服务器通过网络将请求报文转发给移动设备端的移动应用,移动应用再通过系统接口将该报文转发给移动设备。
移动设备向设备认证服务器返回一个应答报文,其中封装有被上述根证书签发的带有公钥的认证证书(Attestation证书),以及封装有从请求报文读取出的随机数和对所述挑战值生成的挑战值应答串;且应答报文末尾附有被移动设备中的认证私钥(Attestation私钥)签署的签名;故设备认证服务器收到该应答报文后,首先通过根证书验证认证证书的合法性,若该Attestation证书合法,再通过认证证书验证应答报文签名的合法性,因为应答报文的签名由Attestation私钥完成,则已验证合法的Attestation证书中的公钥可对该签名验证合法性;如果签名合法,而后再校验随机数、挑战值应答串等安全手段,校验完毕后,将结果发送给移动应用服务器。
故本发明上述基于公私钥体制的远程验证移动设备合法性的方法在在移动设备端,还包括:
安全存储带有公钥的认证证书(Attestation证书)以及与该公钥对应的认证私钥(Attestation私钥);
在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器,以使设备认证服务器收到所述应答报文后,通过设备认证服务器存储的签发认证证书的根证书验证应答报文中认证证书的合法性,再通过认证证书验证报文签名的合法性。
其中,移动设备内集成可信执行环境(TEE)或可信模块(SE)等安全措施,在可信执行环境或可信模块中由移动设备厂商通过安全手段预置认证证书(Attestation证书)和认证私钥(Attestation私钥),其中Attestation证书带有与该Attestation私钥对应的公钥;厂商对Attestation证书和密钥的下发方式是本领域成熟技术,本发明不做唯一限定。
移动应用通过系统接口将设备认证服务器发送的所述请求报文转发给移动设备后,对请求报文进行解析处理,以读取报文数据,此处理步骤为本领域成熟技术,本发明不做特殊限定;根据请求报文中读取的挑战值生成挑战值应答串,并将认证证书连同从请求报文中读取的随机数以及挑战值应答串等信息封装在一起,并使用认证私钥对封装报文进行签名Sig,其中签名Sig附在应答报文的末尾,组成应答报文(Response Message):
Response Message=Process(Request Message)…|Attestation证书|Sig
Sig=SignAttestation私钥(Process(Request Message)…|Attestation证书)
将应答报文层层转发至设备认证服务器中进行合法性验证过程。
设备认证服务器端收到应答报文后进行的上述验证过程如下:
a).Request Message自带的安全机制如挑战值应答、随机数等判断ResponseMessage的合法性;
b).通过根证书(Root Certificate)验证Attestation证书的合法性;
c).通过Attestation证书验证Sig签名合法性;
判断移动设备合法性的结果告知移动应用服务器,移动应用服务器接收到设备认证服务器报告的验证结果,进行后续的逻辑操作。
本发明验证方法,将移动设备身份凭证转化为公私钥的形式,并将私钥保存于移动设备端的安全环境中,设备认证服务器仅存储签发设备证书的根证书,安全性更高,避免移动设备相关接口被劫持进行恶意篡改设备数据造成的安全风险,且即便移动设备端相关接口被恶意劫持,由于本发明方法中认证服务器端验证移动设备的认证措施(如根证书)不在网络上传输(即避免被劫持和篡改),且其签发的证书带有的公钥与私钥签名作为第二重验证,使得接口被劫持后也不会出现将非法设备转化合法设备的效果,有效地降低了安全风险,大大降低了设备认证系统的风险水平。
第三方面,本发明还提供了构成上述系统且实施上述方法的设备认证服务器3,如图3所示的,该设备认证服务器包括存储介质301,存储介质301中分别存储有程序和根证书,所述根证书为签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;所述程序被运行时执行以下步骤:
接收移动应用服务器发起的移动设备合法性验证请求,并发出移动设备合法性验证的请求报文至移动设备;以及在收到移动设备发回的应答报文后通过根证书验证应答报文中包含的认证证书的合法性,再通过认证证书验证应答报文中被认证私钥签署的签名的合法性;
完成移动设备的合法性校验后,将结果发送至移动应用服务器。
具体的该程序执行生成请求报文的步骤:生成带有随机数和挑战值等安全措施的请求报文(Request Message),将该报文发送给移动应用服务器以使移动应用服务器通过网络将请求报文转发给移动设备端的移动应用,移动应用再通过系统接口将该报文转发给移动设备的可信应用程序。
因此本发明进一步还提供了构成上述系统且实施上述方法的移动设备1,如图4所示的,包括存储介质101,存储介质101中存储有程序,且移动设备中安全存储带有公钥的认证证书(Attestation证书)以及与该公钥对应的认证私钥(Attestation私钥);该程序被运行时执行以下步骤:
在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器,以使设备认证服务器收到所述应答报文后,通过设备认证服务器存储的签发认证证书的根证书验证应答报文中认证证书的合法性,再通过认证证书验证报文签名的合法性。
该程序存储在可信执行环境(TEE)或可信模块(SE)或可信平台模块(TPM)等安全区域中作为可信应用程序,程序封装报文时:根据请求报文中读取的挑战值生成挑战值应答串,并将认证证书连同从请求报文中读取的随机数以及挑战值应答串等信息封装在一起,并使用认证私钥对封装报文进行签名Sig,其中签名Sig附在应答报文的末尾,组成应答报文(Response Message):
Response Message=Process(Request Message)…|Attestation证书|Sig
Sig=SignAttestation私钥(Process(Request Message)…|Attestation证书)
将应答报文层层转发至设备认证服务器中进行合法性验证过程。
本发明移动设备将执行程序安全存储在可信执行环境/可信模块中保护,安全性高;移动设备上的移动应用无须自己考虑验证设备合法性的方法,调用相关接口即可,移动设备通过设备认证服务器验证,成本低,且用户体验好,移动设备身份凭证对用户透明;兼容性好,基于与本发明设备认证服务器交互验证,无论何种设备(手机、笔记本、平板、可穿戴设备),都可以使用相同的认证协议完成设备合法性校验。
本文中应用了具体个例对发明构思进行了详细阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离该发明构思的前提下,所做的任何显而易见的修改、等同替换或其他改进,均应包含在本发明的保护范围之内。
Claims (13)
1.一种基于公私钥体制的远程验证移动设备合法性的系统,其特征在于:包括:
移动设备:用于存储带有公钥的认证证书以及与该公钥对应的认证私钥;还用于在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器;
设备认证服务器:用于存储签发认证证书的根证书,以及用于接收到移动应用服务器发起的移动设备合法性验证请求后,对所述移动设备发送验证请求报文;并在收到所述应答报文后通过根证书验证该报文中认证证书合法性,之后通过认证证书验证报文签名的合法性。
2.根据权利要求1所述的基于公私钥体制的远程验证移动设备合法性的系统,其特征在于:所述移动设备内的安全存储区域中存储用于将所述认证证书进行封装、并进行所述认证私钥的签名的可信应用。
3.一种基于公私钥体制的远程验证移动设备合法性的方法,其特征在于:在设备认证服务器端,包括:
发出移动设备合法性验证的请求报文至移动设备;以及
存储签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;在收到移动设备发回的应答报文后通过根证书验证应答报文中包含的认证证书的合法性,再通过认证证书验证应答报文中被认证私钥签署的签名的合法性。
4.根据权利要求3所述的的方法,其特征在于:在设备认证服务器端还包括:
发出移动设备合法性验证的请求报文至移动设备的步骤,是在设备认证服务器接收到移动应用服务器发起的移动设备合法性验证请求进行的;且在完成移动设备的合法性校验后,将结果发送至移动应用服务器。
5.根据权利要求3所述的方法,其特征在于:在设备认证服务器端还包括:生成带有随机数和挑战值的请求报文,将该报文发送给移动应用服务器,以使移动应用服务器通过网络将请求报文转发给移动设备端的移动应用,移动应用再通过系统接口将该报文转发给移动设备。
6.根据权利要求5所述的方法,其特征在于:在设备认证服务器端还包括:在完成通过认证证书验证应答报文中被认证私钥签署的签名的合法性后,对接收到的所述应答报文中的随机数和挑战值应答串进行校验。
7.一种基于公私钥体制的远程验证移动设备合法性的方法,其特征在于:在移动设备端,包括:
存储带有公钥的认证证书以及与该公钥对应的认证私钥;以及
在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器,以使设备认证服务器收到所述应答报文后,通过设备认证服务器存储的签发认证证书的根证书验证应答报文中认证证书的合法性,再通过认证证书验证报文签名的合法性。
8.根据权利要求7所述的方法,其特征在于:在移动设备端还包括:根据请求报文中读取的挑战值生成挑战值应答串,并将认证证书连同从请求报文中读取的随机数以及挑战值应答串信息封装在一起,并使用认证私钥对封装报文进行签名,签名附在应答报文的末尾。
9.一种设备认证服务器,包括存储介质,其特征在于:存储介质中分别存储有程序和根证书,所述根证书为签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;所述程序被运行时执行以下步骤:
发出移动设备合法性验证的请求报文至移动设备;以及
存储签发移动设备中的认证证书的根证书,其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中;在收到移动设备发回的应答报文后通过根证书验证应答报文中包含的认证证书的合法性,再通过认证证书验证应答报文中被认证私钥签署的签名的合法性。
10.根据权利要求9所述的的设备认证服务器,其特征在于:程序被运行时还执行:
接收到移动应用服务器发起的移动设备合法性验证请求后,发出移动设备合法性验证的请求报文至移动设备;以及完成移动设备的合法性校验后,将结果发送至移动应用服务器。
11.根据权利要求9所述的的设备认证服务器,其特征在于:程序被运行时还执行:生成带有随机数和挑战值的所述请求报文,将该报文发送给移动应用服务器以使移动应用服务器通过网络将请求报文转发给移动设备端的移动应用,移动应用再通过系统接口将该报文转发给移动设备的可信应用程序。
12.移动设备,包括存储介质,其特征在于:存储介质中分别存储有程序和带有公钥的认证证书以及与该公钥对应的认证私钥;该程序被运行时执行以下步骤:
在接收到设备认证服务器发送的验证请求报文后进行处理,对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文,发送给设备认证服务器,以使设备认证服务器收到所述应答报文后,通过设备认证服务器存储的签发认证证书的根证书验证应答报文中认证证书的合法性,再通过认证证书验证报文签名的合法性。
13.根据权利要求12所述的移动设备,其特征在于:该程序封装报文时:根据请求报文中读取的挑战值生成挑战值应答串,并将认证证书连同从请求报文中读取的随机数以及挑战值应答串等信息封装在一起,并使用认证私钥对封装报文进行签名,签名附在应答报文的末尾。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710487832.4A CN107277020A (zh) | 2017-06-23 | 2017-06-23 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710487832.4A CN107277020A (zh) | 2017-06-23 | 2017-06-23 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107277020A true CN107277020A (zh) | 2017-10-20 |
Family
ID=60068396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710487832.4A Pending CN107277020A (zh) | 2017-06-23 | 2017-06-23 | 基于公私钥体制的远程验证移动设备合法性的系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107277020A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109861947A (zh) * | 2017-11-30 | 2019-06-07 | 腾讯科技(武汉)有限公司 | 一种网络劫持处理方法及装置、电子设备 |
WO2019223751A1 (zh) * | 2018-05-25 | 2019-11-28 | 华为技术有限公司 | 一种基于多容器的可信应用程序的处理方法及相关设备 |
CN110798475A (zh) * | 2019-11-05 | 2020-02-14 | 北谷电子有限公司上海分公司 | 一种安全认证方法、装置、设备和存储介质 |
WO2020088108A1 (zh) * | 2018-10-31 | 2020-05-07 | 阿里巴巴集团控股有限公司 | 基于区块链的数据存证方法及装置、电子设备 |
CN111726782A (zh) * | 2020-05-22 | 2020-09-29 | 浙江吉利汽车研究院有限公司 | 一种安全认证方法及系统 |
CN113162772A (zh) * | 2021-05-08 | 2021-07-23 | 国民认证科技(北京)有限公司 | Pin码身份认证方法及系统 |
CN114245375A (zh) * | 2020-09-09 | 2022-03-25 | 华为技术有限公司 | 一种密钥跨设备分发方法及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101394395A (zh) * | 2007-09-18 | 2009-03-25 | 华为技术有限公司 | 一种认证方法和系统、及装置 |
US20110271109A1 (en) * | 2010-05-01 | 2011-11-03 | Tor Anumana, Inc. | Systems and methods of remote device authentication |
CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
US20160191526A1 (en) * | 2014-12-27 | 2016-06-30 | Airwatch Llc | Peer to peer enterprise file sharing |
CN105871867A (zh) * | 2016-04-27 | 2016-08-17 | 腾讯科技(深圳)有限公司 | 身份认证方法、系统及设备 |
-
2017
- 2017-06-23 CN CN201710487832.4A patent/CN107277020A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
CN101394395A (zh) * | 2007-09-18 | 2009-03-25 | 华为技术有限公司 | 一种认证方法和系统、及装置 |
US20110271109A1 (en) * | 2010-05-01 | 2011-11-03 | Tor Anumana, Inc. | Systems and methods of remote device authentication |
CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
CN103237235A (zh) * | 2013-03-18 | 2013-08-07 | 中国科学院信息工程研究所 | 一种面向云电视终端身份认证实现方法及系统 |
US20160191526A1 (en) * | 2014-12-27 | 2016-06-30 | Airwatch Llc | Peer to peer enterprise file sharing |
CN105871867A (zh) * | 2016-04-27 | 2016-08-17 | 腾讯科技(深圳)有限公司 | 身份认证方法、系统及设备 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109861947B (zh) * | 2017-11-30 | 2022-03-22 | 腾讯科技(武汉)有限公司 | 一种网络劫持处理方法及装置、电子设备 |
CN109861947A (zh) * | 2017-11-30 | 2019-06-07 | 腾讯科技(武汉)有限公司 | 一种网络劫持处理方法及装置、电子设备 |
WO2019223751A1 (zh) * | 2018-05-25 | 2019-11-28 | 华为技术有限公司 | 一种基于多容器的可信应用程序的处理方法及相关设备 |
CN110532766A (zh) * | 2018-05-25 | 2019-12-03 | 华为技术有限公司 | 一种基于多容器的可信应用程序的处理方法及相关设备 |
US11429719B2 (en) | 2018-05-25 | 2022-08-30 | Huawei Technologies Co., Ltd. | Multi-container-based trusted application processing method and related device |
EP3686762A4 (en) * | 2018-05-25 | 2021-06-09 | Huawei Technologies Co., Ltd. | MULTIPLE CONTAINER BASED TRUSTED APPLICATION PROCESSING METHOD AND ASSOCIATED DEVICE |
WO2020088108A1 (zh) * | 2018-10-31 | 2020-05-07 | 阿里巴巴集团控股有限公司 | 基于区块链的数据存证方法及装置、电子设备 |
CN110798475A (zh) * | 2019-11-05 | 2020-02-14 | 北谷电子有限公司上海分公司 | 一种安全认证方法、装置、设备和存储介质 |
CN111726782A (zh) * | 2020-05-22 | 2020-09-29 | 浙江吉利汽车研究院有限公司 | 一种安全认证方法及系统 |
CN111726782B (zh) * | 2020-05-22 | 2023-12-29 | 浙江吉利汽车研究院有限公司 | 一种安全认证方法及系统 |
CN114245375A (zh) * | 2020-09-09 | 2022-03-25 | 华为技术有限公司 | 一种密钥跨设备分发方法及电子设备 |
CN113162772A (zh) * | 2021-05-08 | 2021-07-23 | 国民认证科技(北京)有限公司 | Pin码身份认证方法及系统 |
CN113162772B (zh) * | 2021-05-08 | 2023-02-03 | 国民认证科技(北京)有限公司 | Pin码身份认证方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107277020A (zh) | 基于公私钥体制的远程验证移动设备合法性的系统和方法 | |
US7362869B2 (en) | Method of distributing a public key | |
US20190165947A1 (en) | Signatures for near field communications | |
US7409552B2 (en) | Method for securing communications between a terminal and an additional user equipment | |
ES2951585T3 (es) | Autenticación de transacciones usando un identificador de dispositivo móvil | |
Chen et al. | Mobile device integration of a fingerprint biometric remote authentication scheme | |
KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
CN104579649B (zh) | 身份识别方法和系统 | |
CN101170407B (zh) | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 | |
US20090287921A1 (en) | Mobile device assisted secure computer network communication | |
Mannan et al. | Leveraging personal devices for stronger password authentication from untrusted computers | |
CN106533687A (zh) | 一种身份认证方法和设备 | |
CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
CN107786550A (zh) | 一种自助设备的安全通信方法、安全通信系统及自助设备 | |
US11403633B2 (en) | Method for sending digital information | |
KR100939725B1 (ko) | 모바일 단말기 인증 방법 | |
Yeh et al. | A robust mobile payment scheme with smart contract-based transaction repository | |
CN107135206A (zh) | 一种互联网环境下接口调用的安全防范方法和系统 | |
US8601270B2 (en) | Method for the preparation of a chip card for electronic signature services | |
CN110278084B (zh) | eID建立方法、相关设备及系统 | |
CN101222334B (zh) | 一种采用图片干扰的密码令牌安全认证方法 | |
CN104767740A (zh) | 用于来自用户平台的可信认证和接入的方法 | |
CN108768650B (zh) | 一种基于生物特征的短信验证系统 | |
CN109522689A (zh) | 移动办公环境下的多因子强身份认证方法 | |
Ortiz-Yepes | Enhancing Authentication in eBanking with NFC-enabled mobile phones |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171020 |