CN107645471A - 一种用于移动终端用户身份认证的方法和系统 - Google Patents
一种用于移动终端用户身份认证的方法和系统 Download PDFInfo
- Publication number
- CN107645471A CN107645471A CN201610577316.6A CN201610577316A CN107645471A CN 107645471 A CN107645471 A CN 107645471A CN 201610577316 A CN201610577316 A CN 201610577316A CN 107645471 A CN107645471 A CN 107645471A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- verification code
- digital certificate
- sent
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种用于移动终端用户身份认证的方法,所述方法包括如下步骤:由移动终端生成密钥对,根据密钥对生成数字证书申请文件,并发送给数字证书授权服务器。移动终端获取授权随机验证码,利用授权随机验证码来获取数字证书。移动终端向应用服务器发起业务发送数字证书。移动终端获取所述应用服务器发送的应用随机验证码和随机数后,使用私钥对应用随机验证码和随机数进行签名,并发送给应用服务器。移动终端成功获得应用服务器的验证后,移动终端与应用服务器建立业务通信连接。本发明提高移动终端用户使用数字证书进行身份认证的安全性,有效地杜绝用户数字证书和私钥在不安全的环境下被冒用的风险,提高移动终端网络身份认证的安全性。
Description
技术领域
本发明涉及身份认证领域,更具体地,涉及一种用于移动终端用户身份认证的方法和系统。
背景技术
随着移动互联网络技术的发展、智能终端及移动APP的应用,越来越多的网络应用逐步向移动终端迁移,如移动办公系统、网购系统、网银系统等。这种发展极大地方便了移动一族的随时随地移动办公、网购、网银汇款等需求。但当前网络系统中的木马攻击、账号密码被盗等问题屡见不鲜,因而移动终端用户身份认证的网络风险管理问题,已成为一个需要迫切解决的问题。
传统互联网络中的电脑终端如同当前移动互联网络中的移动终端,其应用早期也同样存在用户身份认证的风险问题。随着诸如X.509数字证书的数字证书的推广及使用,目前网络身份认证可采用基于数字证书的密码计算来实现,以达到高可靠、高安全的用户网络身份认证。由于数字证书存在一个与其对应的私钥来实现身份认证中的密码计算,因此私钥的安全保存和使用成为用户身份认证的关键。
传统的电脑终端通常配备一个智能密码钥匙(UsbKey)来实现对私钥的保存和身份认证过程的密码计算,以保障私钥的安全。而给移动终端配备一个智能密码钥匙或者类似的密码硬件设备,目前从技术上来讲还存在着诸多兼容性不够好,使用不够方便的问题,同时也会增加移动终端用户的使用成本,这对某些移动应用,如支付宝等,是很不现实的。因此目前通常的做法是把数字证书和私钥保存在移动终端的存储卡中。这样会存在如下安全问题:
1.移动终端中的恶意程序会使用用户数字证书进行身份认证,冒用用户身份和权益。
2.移动终端中的恶意程序会把用户证书和私钥发送给攻击者,攻击者可以在任意移动终端或电脑终端中使用用户数字证书,冒用用户身份。
因此,在不增加硬件设备和用户成本的前提下,最大限度的杜绝数字证书被冒用,提高移动终端用户身份认证的安全性,是当前迫切需要解决的问题。
发明内容
为了解决上述问题,本发明提供了一种方法,所述方法包括如下步骤:
由移动终端生成密钥对,所述密钥对包括公钥和私钥;
所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文件发送给数字证书授权服务器;
所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书;
所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数字证书;
所述移动终端获取所述应用服务器发送的应用随机验证码和随机数后,使用所述私钥对所述应用随机验证码和所述随机数进行签名,并将签名后的应用随机验证码和随机数发送给所述应用服务器;以及
所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用服务器建立业务通信连接,以进行业务数据交换。
优选地,所述随机数为包含多个随机数的随机数组。
优选地,所述移动终端生成的数字证书申请文件包括:公钥、用户身份识别码、终端用户认证信息以及使用所述私钥对公钥、用户身份识别码、终端用户认证信息进行数字签名。
优选地,所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书包括:
所述移动终端获取所述数字证书授权服务器发送的授权随机验证码;
所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器;
当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验证后,从所述数字证书授权服务器获取数字证书下载提示信息;以及
所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证书安装在所述移动终端上。
优选地,所述移动终端通过短信接收授权随机验证码和应用随机验证码,或所述移动终端通过应用程序接收授权随机验证码和应用随机验证码。
优选地,所述业务请求为双向SSL协议业务请求。
基于本发明提供的另一实施例,本发明提供一种用于移动终端用户身份认证的装置,所述装置包括:
用于由移动终端生成密钥对的部件,所述密钥对包括公钥和私钥;
用于所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文件发送给数字证书授权服务器的部件;
用于所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书的部件;
用于所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数字证书的部件;
用于所述移动终端获取所述应用服务器发送的应用随机验证码和随机数后,使用所述私钥对所述应用随机验证码和所述随机数进行签名,并将签名后的应用随机验证码发送给所述应用服务器的部件;以及
用于所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用服务器建立业务通信连接,以进行业务数据交换的部件。
优选地,所述移动终端包括:
密钥生成单元,用于生成密钥对,所述密钥对包括公钥和私钥;
申请文件生成单元,用于根据密钥对生成数字证书申请文件;
发送单元,将所述数字证书申请文件发送给数字证书授权服务器;向应用服务器发送业务请求,并向所述应用服务器发送数字证书;将签名后的应用随机验证码发送给所述应用服务器;
接收单元,获取所述数字证书授权服务器发送的授权随机验证码;获取所述应用服务器发送的应用随机验证码和随机数;
数字证书获取单元,利用所述授权随机验证码获取所述数字证书授权服务器生成的数字证书;
身份认证单元,使用所述私钥对所述应用随机验证码和随机数进行签名;
数据交互单元,用于在获得所述应用服务器的验证后,所述移动终端与所述应用服务器建立业务通信连接,以进行业务数据交换。
基于本发明的又一实施例,本发明提供一种系统,所述系统包括:
移动终端,用于生成密钥对,其中所述密钥对包括公钥和私钥;生成数字证书申请文件,并将所述数字证书申请文件发送给数字证书授权服务器;根据数字证书授权服务器发送的授权随机验证码来获取数字证书授权服务器所生成的数字证书;向应用服务器发起业务请求,并向所述应用服务器发送数字证书;使用所述私钥对从所述应用服务器接收的应用随机验证码和随机数进行签名,并将签名后的应用随机验证码和随机数发送给所述应用服务器;在获得所述应用服务器的验证后,与所述应用服务器建立业务通信,以进行业务数据交换;
数字证书授权服务器,用于接收并验证所述移动终端发送的数字证书申请文件,并且当所述数字证书申请通过验证后生成数字证书和授权随机验证码,能够将授权随机验证码和数字证书提供给所述移动终端;以及
应用服务器,用于验证所述移动终端发送的数字证书,当所述移动终端发送的数字证书通过验证后,生成应用随机验证码和随机数发送给移动终端;对移动终端提交的经签名的应用随机码和随机数进行验证,并且当经签名的应用随机码和随机数通过验证后与移动终端建立业务通信,以进行业务数据交换。
优选地,所述随机数为包含多个随机数的随机数组。
优选地,所述数字证书申请文件包括:公钥、用户身份识别码、终端用户认证信息以及使用私钥对所述公钥、用户身份识别码、终端用户认证信息进行处理所得到的数字签名。
优选地,所述移动终端根据数字证书授权服务器发送的授权随机验证码来获取数字证书授权服务器所生成的数字证书包括:
所述移动终端获取所述数字证书授权服务器发送的授权随机验证码;
所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器;
当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验证后,从所述数字证书授权服务器获取数字证书下载提示信息;以及
所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证书安装在所述移动终端上。
优选地,所述移动终端通过短信接收授权随机验证码和应用随机验证码,或移动终端通过应用程序接收授权随机验证码和应用随机验证码。
优选地,所述业务请求为双向SSL协议业务请求。
本发明在不增加用户硬件成本的情况下,提高移动终端用户使用数字证书进行身份认证的安全性,最大限度的杜绝用户数字证书和私钥在不安全的环境下被冒用的风险,提高移动终端网络身份认证的安全性。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明实施方式的移动终端用户身份认证的方法流程图;
图2为根据本发明实施方式的移动终端用户身份认证的方法用户初始化环节流程图;
图3为根据本发明实施方式的移动终端用户身份认证的方法身份认证环节流程图;以及
图4为根据本发明实施方式的移动终端用户身份认证的系统结构图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明实施方式的移动终端用户身份认证的方法流程图。如图1所示,认证方法用于移动终端的用户身份认证,移动终端身份认证由移动终端用户初始化环节和移动终端用户身份认证环节组成。本发明移动终端用户初始化环节和用户身份认证环节的方法包括步骤,步骤110:移动终端生成密钥对,密钥对包括公钥和私钥。步骤120:移动终端根据密钥对生成数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。步骤130:移动终端获取数字证书授权服务器发送的授权随机验证码,并利用授权随机验证码下载和安装数字证书授权服务器生成的数字证书。步骤140:移动终端向应用服务器发起业务请求,并向应用服务器发送数字证书。步骤150:移动终端获取所述应用服务器发送的应用随机验证码和随机数后,使用私钥对应用随机验证码和随机数进行签名,并将签名后的应用随机验证码和随机数发送给应用服务器。步骤160:移动终端成功获得应用服务器的验证后,移动终端与应用服务器建立业务通信,进行业务数据交换。本发明在不增加用户硬件成本的情况下,通过移动终端用户在获取数字证书时进行身份验证,以及在移动终端用户在发起业务请求时进行身份随机验证,有效地杜绝数字证书在不安全情况下被盗用的可能,提高了移动终端用户使用数字证书进行身份认证的安全性。本发明可用于任何移动终端应用需要进行网络身份认证的场景中。
优选地,在移动终端用户初始化环节中,步骤110:移动终端生成密钥对,密钥对包括公钥和私钥。移动终端可以为手机,ipd,笔记本电脑,POS机,以及车载电脑等。公钥用于发送给数字证书授权服务器,私钥对移动终端认证信息进行处理签名。步骤120:移动终端根据密钥对生成数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。优选地,用户在移动终端中生成数字证书申请文件,其中数字证书申请文件中包含了公钥、用户手机号、终端用户认证,以及使用私钥对公钥、用户手机号、移动终端认证信息进行处理得到的签名。优选地,用户标识包括用户手机号、移动终端用户应用程序登陆账号,通过用户手机号、移动终端应用程序登陆账号对用户身份进行识别。用户手机号是经过实名登记的,手机号对应惟一的使用用户,并且可以根据手机号码查询或验证对应的使用用户信息。通过已经进行实名制登记的手机号申请数字证书,可以有效的防止数字证书被冒领和冒用。或者,优选地,用户在移动终端中生成数字证书申请文件,其中数字证书申请文件中包含了公钥、移动终端用户应用程序登陆账号、终端用户认证,以及使用私钥对公钥、移动终端用户应用程序登陆账号、移动终端认证信息进行处理得到的签名,移动终端用户应用程序登陆账号是经过实名登记的,应用程序登陆账号对应惟一的使用用户,并且可以根据应用程序登陆账号查询或验证对应的使用用户信息。通过已经进行实名制登记的登陆账号登陆应用程序申请数字证书,可以有效的防止数字证书被冒领和冒用。步骤130:移动终端获取数字证书授权服务器发送的授权随机验证码,并利用授权随机验证码下载和安装所述数字证书授权服务器生成的数字证书。优选地,数字证书授权服务器对数字证书申请文件进行验证,验证过程包括对私钥对移动终端认证信息进行处理得到的签名进行验证,以及对申请文件中信息完整合法性进行验证。例如,验证申请文件信息中是否包括公钥,或是否包括用户手机号、或应用程序登陆账号等,以及对手机号、或应用程序登陆账号是否进行实名认证进行验证。优选地,数字证书授权服务器对移动终端提交的数字证书申请文件验证通过后,为移动终端用户生成数字证书和授权随机验证码,以及数字证书下载提示信息。数字证书中包括用户手机号、或应用程序登陆账号等。优选地,授权随机验证码可以通过用户申请文件中提供的用户手机号以短信形式发送,或通过应用程序以及时消息或邮件形式发送。移动终端用户接收数字证书授权服务器发送的授权随机验证码。如数字证书授权服务器对移动终端提交的数字证书申请文件验证失败,则提示错误信息并结束。移动终端用户按数字证书授权服务器提示的登陆网址信息,利用授权随机验证码向数字证书授权服务器申请下载数字证书身份认证,并提交授权随机验证码,在获得数字证书授权服务器认证通过后,移动终端用户可下载数字证书,并在移动终端中安装下载的数字证书。如果移动终端用户向数字证书授权服务器提供的授权随机验证码没有通过身份认证,则提示错误并结束验证。数字证书保存在移动终端中,在数字证书的有效期内,只需下载一次即可。
优选地,移动终端用户身份认证环节包括步骤140,移动终端向应用服务器发起业务请求,并向应用服务器发送数字证书。应用服务器验证移动终端用户的数字证书的可靠性,验证成功,进行下一步;验证失败,提示错误信息并结束。根据本发明又一实施例,移动终端用户向应用服务器发起双向SSL协议请求,应用服务器通过SSL协议验证移动终端用户数字证书的可靠性,验证成功,应用服务器建立安全通信通道;验证失败,提示错误信息并结束。步骤150,移动终端获取应用服务器发送的应用随机验证码和随机数后,使用私钥对应用随机验证码和随机数进行签名,并将签名后的应用随机验证码和随机数发送给应用服务器。优选地,根据本发明的另一实施例,移动终端获取应用服务器发送的应用随机验证码和随机数后,并用私钥对应用随机验证码和随机数进行签名,并将签名后的应用随机验证码和随机数发送给应用服务器。应用服务器生成随机数和应用随机验证码,并把随机数返回给移动终端用户,生成的应用随机验证码可以手机短信形式发送,或通过应用程序以及时消息或邮件形式发送。应用服务器提供应用随机码和随机数,移动终端对应用随机码进行和随机数签名并将签名后的应用随机码和随机数提交给应用服务器的过程,保证了移动终端每次向服务器发送业务请求时,都有效地进行了身份认证,防止存储在移动终端的数字证书被恶意程序冒用进行身份认证,造成网络用户的安全隐患。优选地,应用随机验证码可以以手机短信形式发送,或通过应用程序以及时消息或邮件形式发送,移动终端的手机号码或应用程序,均是通过实名制身份认证的,本发明的实施例,可以保证应用随机验证码的接收对象为数字证书所对应的用户,避免了移动终端的恶意程序把用户的数字证书和私钥发送给攻击者,攻击者利用数字证书和私钥冒充终端用户身份的可能性。优选地,应用服务器发送随机数给移动终端,移动终端在利用私钥对随机数签名后,提交签名后的随机数给应用服务器。对每一次移动终端向应用服务器发送的业务请求利用随机数进行验证,有效防止移动终端的数字证书被恶意程序调用,发送虚假业务请求。为提高随机数的安全性,应用服务器可以生成多于1个的随机数,形成随机数组,以提高随机数的安全性。步骤160,移动终端成功获得应用服务器的验证后,移动终端与应用服务器建立业务通信,进行业务数据交换。业务数据交换完成后,此次移动终端用户与应用服务器建立的通信链接断开,当移动终端用户与服务器需要再次建立业务请求时,返回至步骤140。
图2为本发明实施方式的移动终端用户身份认证的方法用户初始化流程图。本发明移动终端用户初始化环节:移动终端生成密钥对,密钥对包括公钥和私钥。移动终端根据密钥对生成数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。移动终端获取数字证书授权服务器发送的授权随机验证码,并利用授权随机验证码下载和安装数字证书授权服务器生成的数字证书。本发明在不增加用户硬件成本的前提下,对能够验证身份信息的用户提供数字证书,杜绝移动终端用户身份的冒用,保证了网络中移动终端用户的安全性。
优选地,在移动终端210用户初始化环节中,移动终端210生成密钥对211,密钥对包括公钥和私钥。移动终端210可以为手机,ipd,笔记本电脑,POS机,以及车载电脑等。公钥用于发送给数字证书授权服务器220,私钥对移动终端210认证信息进行处理签名。移动终端210根据密钥对生成数字证书申请文件212,并将数字证书申请文件发送给数字证书授权服务器220。优选地,用户在移动终端210中生成数字证书申请文件,其中数字证书申请文件中包含了公钥、用户手机号、终端用户认证,以及使用私钥对公钥、用户手机号、移动终端210认证信息进行处理得到的签名。优选地,用户手机号是经过实名登记的,手机号对应惟一的使用用户,并且可以根据手机号码查询或验证对应的使用用户信息。通过已经进行实名制登记的手机号申请数字证书,可以有效的防止数字证书被冒领和冒用。或者,优选地,用户在移动终端210中生成数字证书申请文件,其中数字证书申请文件中包含了公钥、移动终端210用户应用程序登陆账号、用户终端认证,以及使用私钥对移动终端210认证信息进行处理得到的签名,移动终端210用户应用程序登陆账号是经过实名登记的,应用程序登陆账号对应惟一的使用用户,并且可以根据应用程序登陆账号查询或验证对应的使用用户信息。通过已经进行实名制登记的登陆账号登陆应用程序申请数字证书,可以有效的防止数字证书被冒领和冒用。移动终端210获取数字证书授权服务器220发送的授权随机验证码,并利用授权随机验证码下载和安装所述数字证书授权服务器220生成的数字证书224。优选地,数字证书授权服务器220对数字证书申请文件进行验证221,验证过程包括对私钥对移动终端210认证信息进行处理得到的签名进行验证,以及对申请文件中信息完整合法性进行验证。例如,验证申请文件信息中是否包括公钥,或是否包括用户手机号、或应用程序登陆账号等,以及对手机号、或应用程序登陆账号是否进行实名认证进行验证。优选地,数字证书授权服务器220对移动终端210提交的数字证书申请文件验证通过后,为移动终端210用户生成数字证书和授权随机验证码222,以及数字证书下载提示信息。数字证书中包括用户手机号、或应用程序登陆账号等。优选地,授权随机验证码可以通过用户申请文件中提供的用户手机号以短信形式发送,或通过应用程序以及时消息或邮件形式发送。移动终端210用户接收数字证书授权服务器220发送的授权随机验证码213。如数字证书授权服务器220对移动终端210提交的数字证书申请文件验证失败,则提示错误信息并结束。移动终端210用户按数字证书授权服务器220提示的登陆网址信息,利用授权随机验证码向数字证书授权服务器220申请下载数字证书身份认证,并提交授权随机验证码214,在获得数字证书授权服务器220认证通过后223,移动终端210用户可下载数字证书224,并在移动终端210中安装下载的数字证书215。如果移动终端210用户向数字证书授权服务器220提供的授权随机验证码没有通过身份认证,则提示错误并结束验证。数字证书保存在移动终端210中,在数字证书的有效期内,只需下载一次即可。
图3为根据本发明实施方式的移动终端用户身份认证的方法身份认证流程图。移动终端向应用服务器发起业务请求,并向应用服务器发送数字证书。移动终端获取应用服务器发送的应用随机验证码和随机数后,并用私钥对应用随机验证码和随机数进行签名,并将签名后的应用随机验证码和随机数发送给应用服务器。移动终端成功获得应用服务器的验证后,移动终端与应用服务器建立业务通信,进行业务数据交换。移动终端用户向应用服务器发送请求过程,通过向应用服务器发送数字书,通过应用服务器验证后,对获取应用服务器发送的随机验证码和随机数进行答签名,将签名数据发送给应用服务器。通过本发明的实施例对用户身份进行认证,可以有效的防止数字证书被冒用,有效地维护网络用户的安全。
优选地,移动终端用户身份认证环节包括,移动终端向应用服务器320发起业务请求,并向应用服务器320发送数字证书311。应用服务器320验证移动终端用户的数字证书的可靠性321,验证成功,进行下一步;验证失败,提示错误信息并结束。根据本发明一实施例,移动终端用户向应用服务器320发起双向SSL协议请求,应用服务器320通过SSL协议验证移动终端用户数字证书的可靠性,验证成功,应用服务器320建立安全通信通道;验证失败,提示错误信息并结束。优选地,根据本发明的另一实施例,移动终端获取应用服务器320发送的应用随机验证码312和随机数后313,向应用服务器320提交应用随机验证码314,并用私钥对应用随机验证码和随机数进行签名315,并将签名后的应用随机验证码和随机数发送给应用服务器320。应用服务器320生成随机数和应用随机验证码,并把随机数返回给移动终端用户,生成的应用随机验证码可以以手机短信形式发送,或通过应用程序以及时消息或邮件形式发送。应用服务器320提供应用随机码322和随机数323,移动终端接收并对应用随机码进行和随机数签名并将签名后的应用随机码和随机数提交给应用服务器320的过程,保证了移动终端每次向服务器发送业务请求时,都有效地进行了身份认证,防止存储在移动终端的数字证书被恶意程序冒用进行身份认证,造成网络用户的安全隐患。移动终端成功获得应用服务器320的验证后324,移动终端与应用服务器320建立业务通信,进行业务数据交换。业务数据交换完成后,此次移动终端用户与应用服务器320建立的通信链接断开,当移动终端用户与服务器需要再次建立业务请求时,返回至步骤311。
图4为根据本发明实施方式的移动终端用户身份认证的系统结构图。本发明提供一种用于移动终端用户身份认证的系统,系统移动终端410、数字证书授权服务器420、应用服务器430。移动终端用于生成密钥对,密钥对包括公钥和私钥。移动终端根据密钥对生成数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。移动终端获取数字证书授权服务器发送的授权随机验证码,并利用授权随机验证码下载和安装所述数字证书授权服务器生成的数字证书。移动终端向应用服务器发起业务请求,并向所述应用服务器发送数字证书。移动终端获取所述应用服务器发送的应用随机验证码后,使用私钥对应用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器。移动终端成功获得所述应用服务器的验证后,移动终端与应用服务器建立业务通信,进行业务数据交换。本发明在不增加用户硬件成本的情况下,通过移动终端用户在获取数字证书时进行身份验证,以及在移动终端用户在发起业务请求时进行身份随机验证,有效地杜绝数字证书在不安全情况下被盗用的可能,提高了移动终端用户使用数字证书进行身份认证的安全性。本发明可用于任何移动终端应用需要进行网络身份认证的场景中。移动终端用户身份认证的系统与方法特征相对应,在此不作赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (14)
1.一种用于移动终端用户身份认证的方法,所述方法包括如下步骤:
由移动终端生成密钥对,所述密钥对包括公钥和私钥;
所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文件发送给数字证书授权服务器;
所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书;
所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数字证书;
所述移动终端获取所述应用服务器发送的应用随机验证码和随机数后,使用所述私钥对所述应用随机验证码和所述随机数进行签名,并将签名后的应用随机验证码和随机数发送给所述应用服务器;以及
所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用服务器建立业务通信连接,以进行业务数据交换。
2.根据权利要求1所述的方法,所述随机数为包含多个随机数的随机数组。
3.根据权利要求1所述的方法,所述移动终端生成的数字证书申请文件包括:公钥、用户身份识别码、终端用户认证信息以及使用所述私钥对所述公钥、用户身份识别码、终端用户认证信息进行处理所得到的数字签名。
4.根据权利要求1所述的方法,所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书包括:
所述移动终端获取所述数字证书授权服务器发送的授权随机验证码;
所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器;
当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验证后,从所述数字证书授权服务器获取数字证书下载提示信息;以及
所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证书安装在所述移动终端上。
5.根据权利要求1所述的方法,所述
移动终端通过短信接收授权随机验证码和应用随机验证码,或所述移动终端通过应用程序接收授权随机验证码和应用随机验证码。
6.根据权利要求1所述的方法,所述业务请求为双向SSL协议业务请求。
7.一种用于移动终端用户身份认证的装置,所述装置包括:
用于由移动终端生成密钥对的部件,所述密钥对包括公钥和私钥;
用于所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文件发送给数字证书授权服务器的部件;
用于所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书的部件;
用于所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数字证书的部件;
用于所述移动终端获取所述应用服务器发送的应用随机验证码和随机数后,使用所述私钥对所述应用随机验证码和所述随机数进行签名,并将签名后的应用随机验证码发送给所述应用服务器的部件;以及
用于所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用服务器建立业务通信连接,以进行业务数据交换的部件。
8.一种移动终端,所述移动终端包括:
密钥生成单元,用于生成密钥对,所述密钥对包括公钥和私钥;
申请文件生成单元,用于根据密钥对生成数字证书申请文件;
发送单元,将所述数字证书申请文件发送给数字证书授权服务器;向应用服务器发送业务请求,并向所述应用服务器发送数字证书;将签名后的应用随机验证码发送给所述应用服务器;
接收单元,获取所述数字证书授权服务器发送的授权随机验证码;获取所述应用服务器发送的应用随机验证码和随机数;
数字证书获取单元,利用所述授权随机验证码获取所述数字证书授权服务器生成的数字证书;
身份认证单元,使用所述私钥对所述应用随机验证码和随机数进行签名;
数据交互单元,用于在获得所述应用服务器的验证后,所述移动终端与所述应用服务器建立业务通信连接,以进行业务数据交换。
9.一种用于用户身份认证的系统,所述系统包括:
移动终端,用于生成密钥对,其中所述密钥对包括公钥和私钥;生成数字证书申请文件,并将所述数字证书申请文件发送给数字证书授权服务器;根据数字证书授权服务器发送的授权随机验证码来获取数字证书授权服务器所生成的数字证书;向应用服务器发起业务请求,并向所述应用服务器发送数字证书;使用所述私钥对从所述应用服务器接收的应用随机验证码和随机数进行签名,并将签名后的应用随机验证码和随机数发送给所述应用服务器;在获得所述应用服务器的验证后,与所述应用服务器建立业务通信,以进行业务数据交换;
数字证书授权服务器,用于接收并验证所述移动终端发送的数字证书申请文件,并且当所述数字证书申请通过验证后生成数字证书和授权随机验证码,能够将授权随机验证码和数字证书提供给所述移动终端;以及
应用服务器,用于验证所述移动终端发送的数字证书,当所述移动终端发送的数字证书通过验证后,生成应用随机验证码和随机数发送给移动终端;对移动终端提交的经签名的应用随机码和随机数进行验证,并且当经签名的应用随机码和随机数通过验证后与移动终端建立业务通信,以进行业务数据交换。
10.根据权利要求9所述的系统,所述随机数为包含多个随机数的随机数组。
11.根据权利要求9所述的系统,所述数字证书申请文件包括:公钥、用户身份识别码、终端用户认证信息以及使用私钥对所述公钥、用户身份识别码、终端用户认证信息进行处理所得到的数字签名。
12.根据权利要求9所述的系统,所述移动终端根据数字证书授权服务器发送的授权随机验证码来获取数字证书授权服务器所生成的数字证书包括:
所述移动终端获取所述数字证书授权服务器发送的授权随机验证码;
所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器;
当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验证后,从所述数字证书授权服务器获取数字证书下载提示信息;以及
所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证书安装在所述移动终端上。
13.根据权利要求9所述的系统,所述移动终端通过短信接收授权随机验证码和应用随机验证码,或移动终端通过应用程序接收授权随机验证码和应用随机验证码。
14.根据权利要求9所述的系统,所述业务请求为双向SSL协议业务请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610577316.6A CN107645471A (zh) | 2016-07-20 | 2016-07-20 | 一种用于移动终端用户身份认证的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610577316.6A CN107645471A (zh) | 2016-07-20 | 2016-07-20 | 一种用于移动终端用户身份认证的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107645471A true CN107645471A (zh) | 2018-01-30 |
Family
ID=61107934
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610577316.6A Pending CN107645471A (zh) | 2016-07-20 | 2016-07-20 | 一种用于移动终端用户身份认证的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107645471A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936759A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种单点登录方法、服务器及客户端 |
| CN108429621A (zh) * | 2018-03-12 | 2018-08-21 | 北京奇艺世纪科技有限公司 | 一种身份验证方法及装置 |
| CN111046443A (zh) * | 2019-12-24 | 2020-04-21 | 合肥大唐存储科技有限公司 | 一种硬盘防伪的实现方法、硬盘及ca服务器 |
| CN111931164A (zh) * | 2020-06-28 | 2020-11-13 | 航天信息股份有限公司 | 一种用于确定密码安全等级的方法及系统 |
| CN112487397A (zh) * | 2020-12-10 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种验证方法及装置 |
| CN112566121A (zh) * | 2020-12-09 | 2021-03-26 | 北京深思数盾科技股份有限公司 | 一种防止攻击的方法及服务器、电子设备、存储介质 |
| CN112910826A (zh) * | 2019-12-03 | 2021-06-04 | 中国移动通信有限公司研究院 | 一种初始配置方法及终端设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN101212291A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 数字证书分发方法及服务器 |
| CN101222488A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
| CN102255925A (zh) * | 2011-08-30 | 2011-11-23 | 公安部第三研究所 | 一种数字证书申请快速审核方法 |
| CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
| WO2016053184A1 (en) * | 2014-10-02 | 2016-04-07 | Huawei International Pte. Ltd. | Key generation method and device |
| CN105490815A (zh) * | 2015-12-11 | 2016-04-13 | 北京奇虎科技有限公司 | 短信验证码获取方法及装置、登录方法、装置及系统 |
-
2016
- 2016-07-20 CN CN201610577316.6A patent/CN107645471A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212291A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 数字证书分发方法及服务器 |
| CN101222488A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN102255925A (zh) * | 2011-08-30 | 2011-11-23 | 公安部第三研究所 | 一种数字证书申请快速审核方法 |
| CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
| WO2016053184A1 (en) * | 2014-10-02 | 2016-04-07 | Huawei International Pte. Ltd. | Key generation method and device |
| CN105490815A (zh) * | 2015-12-11 | 2016-04-13 | 北京奇虎科技有限公司 | 短信验证码获取方法及装置、登录方法、装置及系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936759A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种单点登录方法、服务器及客户端 |
| CN108429621A (zh) * | 2018-03-12 | 2018-08-21 | 北京奇艺世纪科技有限公司 | 一种身份验证方法及装置 |
| CN108429621B (zh) * | 2018-03-12 | 2021-07-20 | 北京奇艺世纪科技有限公司 | 一种身份验证方法及装置 |
| CN112910826A (zh) * | 2019-12-03 | 2021-06-04 | 中国移动通信有限公司研究院 | 一种初始配置方法及终端设备 |
| WO2021109967A1 (zh) * | 2019-12-03 | 2021-06-10 | 中国移动通信有限公司研究院 | 初始配置方法及终端设备 |
| CN112910826B (zh) * | 2019-12-03 | 2022-08-23 | 中国移动通信有限公司研究院 | 一种初始配置方法及终端设备 |
| AU2020396746B2 (en) * | 2019-12-03 | 2023-06-22 | China Mobile Communication Co., Ltd Research Institute | Provisioning method and terminal device |
| CN111046443A (zh) * | 2019-12-24 | 2020-04-21 | 合肥大唐存储科技有限公司 | 一种硬盘防伪的实现方法、硬盘及ca服务器 |
| CN111046443B (zh) * | 2019-12-24 | 2022-10-14 | 合肥大唐存储科技有限公司 | 一种硬盘防伪的实现方法、硬盘及ca服务器 |
| CN111931164A (zh) * | 2020-06-28 | 2020-11-13 | 航天信息股份有限公司 | 一种用于确定密码安全等级的方法及系统 |
| CN112566121A (zh) * | 2020-12-09 | 2021-03-26 | 北京深思数盾科技股份有限公司 | 一种防止攻击的方法及服务器、电子设备、存储介质 |
| CN112487397A (zh) * | 2020-12-10 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种验证方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9992194B2 (en) | System and method of notifying mobile devices to complete transactions | |
| CN107645471A (zh) | 一种用于移动终端用户身份认证的方法和系统 | |
| US11706212B2 (en) | Method for securing electronic transactions | |
| US8151328B1 (en) | Accessing secure network areas by utilizing mobile-device authentication | |
| CA2724297C (en) | System and method for authenticating transactions through a mobile device | |
| EP1833219B1 (en) | Methods, apparatus and software for using a token to calculate time-limited password within cellular telephone | |
| US8438620B2 (en) | Portable device for clearing access | |
| US20060095290A1 (en) | System and method for authenticating users for secure mobile electronic gaming | |
| CN106664208A (zh) | 使用安全传输协议建立信任的系统和方法 | |
| US20190386830A1 (en) | Authentication and fraud prevention architecture | |
| CN105959287A (zh) | 一种基于生物特征的安全认证方法及装置 | |
| CN105357186B (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
| US11403633B2 (en) | Method for sending digital information | |
| CN109308416B (zh) | 业务服务数据处理方法、装置、系统、存储介质和设备 | |
| CN107113613A (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| US20120303534A1 (en) | System and method for a secure transaction | |
| WO2014006618A1 (en) | System and method for authenticating a transaction over a data network | |
| US20140330689A1 (en) | System and Method for Verifying Online Banking Account Identity Using Real-Time Communication and Digital Certificate | |
| CN109784024A (zh) | 一种基于多认证器多因子的快速在线身份认证fido方法和系统 | |
| CN108604990A (zh) | 终端中本地授权凭证的使用方法及装置 | |
| WO2012004640A1 (en) | Transaction authentication | |
| CN107645726A (zh) | 一种用于移动终端用户身份认证的方法和系统 | |
| CN106911725A (zh) | 一种多因子认证方法及装置 | |
| CN107196914A (zh) | 身份认证方法及装置 | |
| CN109496443A (zh) | 移动认证方法和用于其的系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180130 |
|
| RJ01 | Rejection of invention patent application after publication |