CN107645726A - 一种用于移动终端用户身份认证的方法和系统 - Google Patents

一种用于移动终端用户身份认证的方法和系统 Download PDF

Info

Publication number
CN107645726A
CN107645726A CN201610576587.XA CN201610576587A CN107645726A CN 107645726 A CN107645726 A CN 107645726A CN 201610576587 A CN201610576587 A CN 201610576587A CN 107645726 A CN107645726 A CN 107645726A
Authority
CN
China
Prior art keywords
mobile terminal
verification code
sent
digital certificate
random verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610576587.XA
Other languages
English (en)
Inventor
宁红宙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aisino Corp
Original Assignee
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aisino Corp filed Critical Aisino Corp
Priority to CN201610576587.XA priority Critical patent/CN107645726A/zh
Publication of CN107645726A publication Critical patent/CN107645726A/zh
Pending legal-status Critical Current

Links

Abstract

本发明公开了一种用于移动终端用户身份认证的方法,所述方法包括如下步骤:由移动终端生成密钥对,根据密钥对生成数字证书申请文件,并发送给数字证书授权服务器。移动终端获取授权随机验证码,利用授权随机验证码来获取数字证书。移动终端向应用服务器发起业务发送数字证书。移动终端获取所述应用服务器发送的应用随机验证码后,使用私钥对应用随机验证码进行签名,并发送给应用服务器。移动终端成功获得应用服务器的验证后,移动终端与应用服务器建立业务通信连接。本发明提高移动终端用户使用数字证书进行身份认证的安全性,最大限度的杜绝用户数字证书和私钥在不安全的环境下被冒用的风险,提高移动终端网络身份认证的安全性。

Description

一种用于移动终端用户身份认证的方法和系统
技术领域
[0001 ]本发明涉及身份认证领域,更具体地,涉及一种用于移动终端用户身份认证的方 法和系统。
背景技术
[0002]随着移动互联网络技术的发展、智能终端及移动APP的应用,越来越多的网络应用 逐步向移动终端迀移,如移动办公系统、网购系统、网银系统等。这种发展极大地方便了移 动一族的随时随地移动办公、网购、网银汇款等需求。但当前网络系统中的木马攻击、账号 密码被盗等问题屡见不鲜,因而移动终端用户身份认证的网络风险管理问题,已成为一个 需要迫切解决的问题。
[0003]传统互联网络中的电脑终端如同当前移动互联网络中的移动终端,其应用早期也 同样存在用户身份认证的风险问题。随着诸如X. 509数字证书的数字证书的推广及使用,目 前网络身份认证可采用基于数字证书的密码计算来实现,以达到高可靠、高安全的用户网 络身份认证。由于数字证书存在一个与其对应的私钥来实现身份认证中的密码计算,因此 私钥的安全保存和使用成为用户身份认证的关键。
[0004]传统的电脑终端通常配备一个智能密码钥匙(UsbKey)来实现对私钥的保存和身 份认证过程的密码计算,以保障私钥的安全。而给移动终端配备一个智能密码钥匙或者类 似的密码硬件设备,目前从技术上来讲还存在着诸多兼容性不够好,使用不够方便的问题, 同时也会增加移动终端用户的使用成本,这对某些移动应用,如支付宝等,是很不现实的。 因此目前通常的做法是把数字证书和私钥保存在移动终端的存储卡中。这样会存在如下安 全问题:
[0005] 1 •移动终端中的恶意程序会使用用户数字证书进行身份认证,冒用用户身份和权 益。
[0006] 2.移动终端中的恶意程序会把用户证书和私钥发送给攻击者,攻击者可以在任意 移动终端或电脑终端中使用用户数字证书,冒用用户身份。
[0007]因此,在不增加硬件设备和用户成本的前提下,最大限度的杜绝数字证书被冒用, 提高移动终端用户身份认证的安全性,是当前迫切需要解决的问题。
发明内容
[0008]为了解决上述问题,本发明提供了一种方法,所述方法包括如下步骤:
[0009]由移动终端生成密钥对,所述密钥对包括公钥和私钥;
[0010]所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文件发 送给数字证书授权服务器;
[0011]所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述 授权随机验证码来获取所述数字证书授权服务器所生成的数字证书;
[0012]所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数字证 书;
[0013] 所述移动终端获取所述应用服务器发送的应用随机验证码后,使用所述私钥对所 述应用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器;以及
[0014] 所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用服务 器建立业务通信连接,以进行业务数据交换。
[0015] 优选地,所述移动终端生成的数字证书申请文件包括:公钥、用户身份识别码、终 端用户认证信息以及使用所述私钥对所述公钥、用户身份识别码、终端用户认证信息进行 处理所得到的数字签名。
[0016] 优选地,所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并 利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书包括:
[0017] 所述移动终端获取所述数字证书授权服务器发送的授权随机验证码;
[0018] 所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器;
[0019] 当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验 证后,从所述数字证书授权服务器获取数字证书下载提示信息;以及
[0020] 所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证 书安装在所述移动终端上。
[0021] 优选地,所述移动终端通过短信接收授权随机验证码和应用随机验证码,或所述 移动终端通过应用程序接收授权随机验证码和应用随机验证码。
[0022] 优选地,所述业务请求为双向SSL协议业务请求。
[0023] 基于本发明的又一实施例,本发明提供一种用于移动终端用户身份认证的装置, 所述装置包括:
[0024]用于由移动终端生成密钥对的部件,所述密钥对包括公钥和私钥;
[0025] 用于所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文 件发送给数字证书授权服务器的部件;
[0026] 用于所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用 所述授权随机验证码来获取所述数字证书授权服务器所生成的数字证书的部件;
[0027] 用于所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数 字证书的部件;
[0028] 用于所述移动终端获取所述应用服务器发送的应用随机验证码后,使用所述私钥 对所述应用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器的 部件;以及
[0029] 用于所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用 服务器建立业务通信连接,以进行业务数据交换的部件。
[0030] 基于本发明的又一实施例,本发明提供一种移动终端,所述移动终端包括:
[0031] 密钥生成单元,用于生成密钥对,所述密钥对包括公钥和私钥;
[0032] 申请文件生成单元,用于根据密钥对生成数字证书申请文件;
[0033] 发送单元,将所述数字证书申请文件发送给数字证书授权服务器;向应用服务器 发送业务请求,并向所述应用服务器发送数字证书;将签名后的应用随机验证码发送给所 述应用服务器;
[0034]接收单元,获取所述数字证书授权服务器发送的授权随机验证码;获取所述应用 服务器发送的应用随机验证码;
[0035]数字证书获取单元,利用所述授权随机验证码获取所述数字证书授权服务器生成 的数字证书;
[0036]身份认证单元,使用所述私钥对所述应用随机验证码进行签名;
[0037]数据交互单元,用于在获得所述应用服务器的验证后,所述移动终端与所述应用 服务器建立业务通信连接,以进行业务数据交换。//移动终端装置独权,应用服务器不发送 随机数
[0038]基于本发明的又一实施例,本发明提供一种系统,所述系统包括:
[0039]移动终端,用于生成密钥对,其中所述密钥对包括公钥和私钥;生成数字证书申请 文件,并将所述数字证书申请文件发送给数字证书授权服务器;根据数字证书授权服务器 发送的授权随机验证码来获取数字证书授权服务器所生成的数字证书;向应用服务器发起 业务请求,并向所述应用服务器发送数字证书;使用所述私钥对从所述应用服务器接收的 应用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器;在获得 所述应用服务器的验证后,与所述应用服务器建立业务通信,以进行业务数据交换;
[0040] 数字证书授权服务器,用于接收并验证所述移动终端发送的数字证书申请文件, 并且当所述数字证书申请通过验证后生成数字证书和授权随机验证码,能够将授权随机验 证码和数字证书提供给所述移动终端;以及
[0041] 应用服务器,用于验证所述移动终端发送的数字证书,当所述移动终端发送的数 字证书通过验证后,生成应用随机验证码并且发送给移动终端;对移动终端提交的经签名 的应用随机码进行验证,并且当经签名的应用随机码通过验证后与移动终端建立业务通 信,以进行业务数据交换。
[0042] 优选地,所述数字证书申请文件包括:公钥、用户身份识别码、终端用户认证信息 以及使用私钥对所述公钥、用户身份识别码、终端用户认证信息进行处理所得到的数字签 名。
[0043] 优选地,所述移动终端根据数字证书授权服务器发送的授权随机验证码来获取数 字证书授权服务器所生成的数字证书包括:
[0044] 所述移动终端获取所述数字证书授权服务器发送的授权随机验证码;
[0045] 所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器;
[0046] 当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验 证后,从所述数字证书授权服务器获取数字证书下载提示信息;以及
[0047] 所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证 书安装在所述移动终纟而上。
[0048] 优选地,所述移动终端通过短信接收授权随机验证码和应用随机验证码,或移动 终端通过应用程序接收授权随机验证码和应用随机验证码。
[0049] 优选地,所述业务请求为双向SSL协议业务请求。
[0050] 本发明在不增加用户硬件成本的情况下,提高移动终端用户使用数字证书进行身 份认证的安全性,最大限度的杜绝用户数字证书和私钥在不安全的环境下被冒用的风险, 提高移动终端网络身份认证的安全性。
附图说明
[0051]通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
[0052]图1为根据本发明实施方式的移动终端用户身份认证的方法流程图;
[0053]图2为根据本发明实施方式的移动终端用户身份认证的方法用户初始化环节流程 图;
[0054]图3为根据本发明实施方式的移动终端用户身份认证的方法身份认证环节流程 图;以及
[0055]图4为根据本发明实施方式的移动终端用户身份认证的系统结构图。
具体实施方式
[0056]现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形 式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开 本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示 例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附 图标记。
[0057]除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有 通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其 相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
[0058]图1为根据本发明实施方式的移动终端用户身份认证的方法流程图。如图丨所示, 认证方法用于移动终端的用户身份认证,移动终端身份认证由移动终端用户初始化环节和 移动终端用户身份认证环节组成。本发明移动终端用户初始化环节和用户身份认证环节的 方法包括步骤,步骤110:移动终端生成密钥对,密钥对包括公钥和私钥。步骤120:移动终端 根据密钥对生成数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。 步骤13〇:移动终端获取数字证书授权服务器发送的授权随机验证码,并利用授权随机验证 码下载和安装数字证书授权服务器生成的数字证书。步骤140:移动终端向应用服务器发起 业务请求,并向应用服务器发送数字证书。步骤150:移动终端获取所述应用服务器发送的 应,随机验证码后,使用私钥对应用随机验证码进行签名,并将签名后的应用随机验证码 发送给应用服务器。步骤160:移动终端成功获得应用服务器的验证后,移动终端与应用服 务器建3:业务通信,进行业务数据交换。本发明在不增加用户硬件成本的情况下,通过移动 终端用户在获取数字证书时进行身份验证,以及在移动终端用户在发起业务请求时进行身 份随机验证、,有^效地杜绝数字证书在不安全情况下被盗用的可能,提高了移动终端用户使 用数字证书进行身份认证的安全性。本发明可用于任何移动终端应用需要进行网络身份认 证的场景中。
[0059]优选地,在移动终端用户初始化环节中,步骤110:移动终端生成密钥对,密钥对包 括公钥和私钥。移动终端可以为手机,ipd,笔记本电脑,?〇3机,以及车载电脑等。公钥用于 发送给数字证书授权服务器,私钥对移动终端认证信息进行处理签名。步骤12〇:移动终端 根据密钥对生成数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。 优选地,用户在移动终端中生成数字证书申请文件,其中数字证书申请文件中包含了公钥、 用户手机号、终端用户认证,以及使用私钥对公钥、用户手机号、移动终端认证信息进行处 理得到的签名。优选地,用户标识包括用户手机号、移动终端用户应用程序登陆账号,通过 用户手机号、移动终端应用程序登陆账号对用户身份进行识别。用户手机号是经过实名登 记的,手机号对应惟一的使用用户,并且可以根据手机号码查询或验证对应的使用用户信 息。通过已经进行实名制登记的手机号申请数字证书,可以有效的防止数字证书被冒领和 冒用。或者,优选地,用户在移动终端中生成数字证书申请文件,其中数字证书申请文件中 包含了公钥、移动终端用户应用程序登陆账号、终端用户认证,以及使用私钥对公钥、移动 终端用户应用程序登陆账号、移动终端认证信息进行处理得到的签名,移动终端用户应用 程序登陆账号是经过实名登记的,应用程序登陆账号对应惟一的使用用户,并且可以根据 应用程序登陆账号查询或验证对应的使用用户信息。通过已经进行实名制登记的登陆账号 登陆应用程序申请数字证书,可以有效的防止数字证书被冒领和冒用。步骤i 30:移动终端 获取数字证书授权服务器发送的授权随机验证码,并利用授权随机验证码下载和安装所述 数字证书授权服务器生成的数字证书。优选地,数字证书授权服务器对数字证书申请文件 进行验证,验证过程包括对私钥对移动终端认证信息进行处理得到的签名进行验证,以及 对申请文件中信息完整合法性进行验证。例如,验证申请文件信息中是否包括公钥,或是否 包括用户手机号、或应用程序登陆账号等,以及对手机号、或应用程序登陆账号是否进行实 名认证进行验证。优选地,数字证书授权服务器对移动终端提交的数字证书申请文件验证 通过后,为移动终端用户生成数字证书和授权随机验证码,以及数字证书下载提示信息。数 字证书中包括用户手机号、或应用程序登陆账号等。优选地,授权随机验证码可以通过用户 申请文件中提供的用户手机号以短信形式发送,或通过应用程序以及时消息或邮件形式发 送。移动终端用户接收数字证书授权服务器发送的授权随机验证码。如数字证书授权服务 器对移动终端提交的数字证书申请文件验证失败,则提示错误信息并结束。移动终端用户 按数字证书授权服务器提不的登陆网址信息,利用授权随机验证码向数字证书授权服务器 申请下载数字证书身份认证,并提交授权随机验证码,在获得数字证书授权服务器认证通 过后,移动终端用户可下载数字证书,并在移动终端中安装下载的数字证书。如果移动终端 用户向数字证书授权服务器提供的授权随机验证码没有通过身份认证,则提示错误并结束 验证。数字证书保存在移动终端中,在数字证书的有效期内,只需下载一次即可。
[0060]优选地,移动终端用户身份认证环节包括步骤140,移动终端向应用服务器发起业 务请求,并向应用服务器发送数字证书。应用服务器验证移动终端用户的数字证书的可靠 性,验证成功,进行下一步;验证失败,提示错误信息并结束。根据本发明又一实施例,移动 终端用户向应用服务器发起双向SSL协议请求,应用服务器通过SSL协议验证移动终端用户 数字证书的可靠性,验证成功,应用服务器建立安全通信通道;验证失败,提示错误信息并 结束。步骤150,移动终端获取应用服务器发送的应用随机验证码后,使用私钥对应用随机 验证码进行签名,并将签名后的应用随机验证码发送给应用服务器。优选地,根据本发明的 一实施例,应用服务器生成应用随机验证码,生成的应用随机验证码可以以手机短信形式 发明,或通过应用程序以及时消息或邮件形式发送。移动终端用户通过获取应用随机验证 码后,利用移动终端输入应用随机验证码,并利用私钥对应用随机码进行签名,将签名后的 应用随机码提交给应用服务器。应用服务器提供应用随机码,移动终端对应用随机码进行 签名并提交给应用服务器的过程,保证了移动终端每次向服务器发送业务请求时,都有效 地进行了身份认证,防止存储在移动终端的数字证书被恶意程序冒用进行身份认证,造成 网络用户的安全隐患。步骤160,移动终端成功获得应用服务器的验证后,移动终端与应用 服务器建立业务通信,进行业务数据交换。业务数据交换完成后,此次移动终端用户与应用 服务器建立的通信链接断开,当移动终端用户与服务器需要再次建立业务请求时,返回至 步骤140。
[0061] 图2为本发明实施方式的移动终端用户身份认证的方法用户初始化流程图。本发 明移动终端用户初始化环节:移动终端生成密钥对,密钥对包括公钥和私钥。移动终端根据 密钥对生成数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。移动 终端获取数字证书授权服务器发送的授权随机验证码,并利用授权随机验证码下载和安装 数字证书授权服务器生成的数字证书。本发明在不增加用户硬件成本的前提下,对能够验 证身份信息的用户提供数字证书,杜绝移动终端用户身份的冒用,保证了网络中移动终端 用户的安全性。
[0062] 优选地,在移动终端210用户初始化环节中,移动终端210生成密钥对211,密钥对 包括公钥和私钥。移动终端210可以为手机,ipd,笔记本电脑,p〇s机,以及车载电脑等。公钥 用于发送给数字证书授权服务器220,私钥对移动终端210认证信息进行处理签名。移动终 端210根据密钥对生成数字证书申请文件212,并将数字证书申请文件发送给数字证书授权 服务器220。优选地,用户在移动终端210中生成数字证书申请文件,其中数字证书申请文件 中包含了公钥、用户手机号、终端用户认证,以及使用私钥对公钥、用户手机号、移动终端 210认证信息进行处理得到的签名。优选地,用户手机号是经过实名登记的,手机号对应惟 一的使用用户,并且可以根据手机号码查询或验证对应的使用用户信息。通过已经进行实 名制登记的手机号申请数字证书,可以有效的防止数字证书被冒领和冒用。或者,优选地, 用户在移动终端210中生成数字证书申请文件,其中数字证书申请文件中包含了公钥、移动 终端210用户应用程序登陆账号、终端用户认证,以及使用私钥对公钥、移动终端21〇用户应 用程序登陆账号、移动终端210认证信息进行处理得到的签名,移动终端21〇用户应用程序 登陆账号是经过实名登记的,应用程序登陆账号对应惟一的使用用户,并且可以根据应用 程序登陆账号查询或验证对应的使用用户信息。通过已经进行实名制登记的登陆账号登陆 应用程序申请数字证书,可以有效的防止数字证书被冒领和冒用。移动终端21〇获取数字证 书授权服务器22〇发送的授权随机验证码,并利用授权随机验证码下载和安装所述数字证 书授权服务器22〇生成的数字证书2¾。优选地,数字证书授权服务器220对数字证书申请文 件进行验证221,验证过程包括对私钥对移动终端2丨〇认证信息进行处理得到的签名进行验 证,以及对申请文件中信息完整合法性进行验证。例如,验证申请文件信息中是否包括公 钥,或是否包括用户手机号、或应用程序登陆账号等,以及对手机号、或应用程序登陆账号 是否进行实名认证进行验证。优选地,数字证书授权服务器220对移动终端210提交的数字 证书申请文件验证通过后,为移动终端210用户生成数字证书和授权随机验证码222,以及 数字证书下载提示信息。数字证书中包括用户手机号、或应用程序登陆账号等。优选地,授 权随机验证码可以通过用户申请文件中提供的用户手机号以短信形式发送,或通过应用程 序以及时消息或邮件形式发送。移动终端210用户接收数字证书授权服务器220发送的授权 随机验证码213。如数字证书授权服务器22〇对移动终端2丨〇提交的数字证书申请文件验证 失败,则提示错误信息并结束。移动终端210用户按数字证书授权服务器220提示的登陆网 址信息,利用授权随机验证码向数字证书授权服务器220申请下载数字证书身份认证,并提 交授权随机验证码214,在获得数字证书授权服务器MO认证通过后223,移动终端210用户 可下载数字证书224,并在移动终端210中安装下载的数字证书215。如果移动终端210用户 向数字证书授权服务器22〇提供的授权随机验证码没有通过身份认证,则提示错误并结束 验证。数字证书保存在移动终端210中,在数字证书的有效期内,只需下载一次即可。
[0063]图3为根据本发明实施方式的移动终端用户身份认证的方法身份认证流程图。移 动终端向应用服务器发起业务请求,并向应用服务器发送数字证书。移动终端获取应用服 务器发送的应用随机验证码后,并用私钥对应用随机验证码进行签名,并将签名后的应用 随机验证码发送给应用服务器。移动终端成功获得应用服务器的验证后,移动终端与应用 服务器建立业务通信,进行业务数据交换。移动终端用户向应用服务器发送请求过程,通过 向应用服务器发送数字书,通过应用服务器验证后,对获取应用服务器发送的随机验证码 进行答签名,将签名数据发送给应用服务器。通过本发明的实施例对用户身份进行认证,可 以有效的防止数字证书被冒用,有效地维护网络用户的安全。
[00M]优选地,移动终端用户身份认证环节包括,移动终端310向应用服务器320发起业 务请求,并向应用服务器32〇发送数字证书:311。应用服务器320验证移动终端用户的数字证 书的可靠性321,验证成功,进行下一步;验证失败,提示错误信息并结束。根据本发明一实 施例,移动终端用户向应用服务器320发起双向SSL协议请求,应用服务器320通过SSL协议 验证移动终端用户数字证书的可靠性,验证成功,应用服务器320建立安全通信通道;验证 失败,提示错误信息并结束。移动终端获取应用服务器320发送的应用随机验证码后,使用 私钥对应用随机验证码进行签名,并将签名后的应用随机验证码发送给应用服务器。移动 终端成功获得应用服务器320的验证后323,移动终端与应用服务器320建立业务通信,进行 业务数据交换。业务数据交换完成后,此次移动终端用户与应用服务器320建立的通信链接 断开,当移动终端用户与服务器需要再次建立业务请求时,返回至步骤311。
[0065]图4为根据本发明实施方式的移动终端用户身份认证的系统结构图。本发明提供 一种用于移动终端用户身份认证的系统,系统移动终端410、数字证书授权服务器420、应用 服务器430。移动终端用于生成密钥对,密钥对包括公钥和私钥。移动终端根据密钥对生成 数字证书申请文件,并将数字证书申请文件发送给数字证书授权服务器。移动终端获取数 字证书授权服务器发送的授权随机验证码,并利用授权随机验证码下载和安装所述数字证 书授权服务器生成的数字证书。移动终端向应用服务器发起业务请求,并向所述应用服务 器发送数字证书。移动终端获取所述应用服务器发送的应用随机验证码后,使用私钥对应 用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器。移动终端 成功获得所述应用服务器的验证后,移动终端与应用服务器建立业务通信,进行业务数据 交换。本发明在不增加用户硬件成本的情况下,通过移动终端用户在获取数字证书时进行 身份验证,以及在移动终端用户在发起业务请求时进行身份随机验证,有效地杜绝数字证 书在不安全情况下被盗用的可能,提高了移动终端用户使用数字证书进行身份认证的安全 性。本发明可用于任何移动终端应用需要进行网络身份认证的场景中。移动终端用户身份 认证的系统与方法特征相对应,在此不作赘述。
[0066]已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如 附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的 范围内。
[0067]通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解 释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地 解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的 步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (12)

1. 一种用于移动终端用户身份认证的方法,所述方法包括如下步骤: 由移动终端生成密钥对,所述密钥对包括公钥和私钥; 所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文件发送给 数字证书授权服务器; 所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述授权 随机验证码来获取所述数字证书授权服务器所生成的数字证书; 所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数字证书; 所述移动终端获取所述应用服务器发送的应用随机验证码后,使用所述私钥对所述应 用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器;以及 所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用服务器建 立业务通信连接,以进行业务数据交换。
2. 根据权利要求1所述的方法,所述移动终端生成的数字证书申请文件包括:公钥、用 户身份识别码、终端用户认证信息以及使用所述私钥对所述公钥、用户身份识别码、终端用 户认证信息进行处理所得到的数字签名。
3. 根据权利要求1所述的方法,所述移动终端获取所述数字证书授权服务器发送的授 权随机验证码,并利用所述授权随机验证码来获取所述数字证书授权服务器所生成的数字 证书包括: 所述移动终端获取所述数字证书授权服务器发送的授权随机验证码; 所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器; 当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验证 后,从所述数字证书授权服务器获取数字证书下载提示信息;以及 所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证书安 装在所述移动终端上。
4. 根据权利要求1所述的方法,所述移动终端通过短信接收授权随机验证码和应用随 机验证码,或所述移动终端通过应用程序接收授权随机验证码和应用随机验证码。
5. 根据权利要求1所述的方法,所述业务请求为双向SSL协议业务请求。
6.—种用于移动终端用户身份认证的装置,所述装置包括: 用于由移动终端生成密钥对的部件,所述密钥对包括公钥和私钥; 用于所述移动终端根据密钥对生成数字证书申请文件,并将所述数字证书申请文件发 送给数字证书授权服务器的部件; 用于所述移动终端获取所述数字证书授权服务器发送的授权随机验证码,并利用所述 授权随机验证码来获取所述数字证书授权服务器所生成的数字证书的部件; 用于所述移动终端向应用服务器发起业务请求,并向所述应用服务器发送所述数字证 书的部件; 用于所述移动终端获取所述应用服务器发送的应用随机验证码后,使用所述私钥对所 述应用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器的部 件;以及 用于所述移动终端成功获得所述应用服务器的验证后,所述移动终端与所述应用服务 器建立业务通信连接,以进行业务数据交换的部件。
7. —种移动终端,所述移动终端包括: 密钥生成单元,用于生成密钥对,所述密钥对包括公钥和私钥; 申请文件生成单元,用于根据密钥对生成数字证书申请文件; 发送单元,将所述数字证书申请文件发送给数字证书授权服务器;向应用服务器发送 业务请求,并向所述应用服务器发送数字证书;将签名后的应用随机验证码发送给所述应 用服务器; 接收单元,获取所述数字证书授权服务器发送的授权随机验证码;获取所述应用服务 器发送的应用随机验证码; 数字证书获取单元,利用所述授权随机验证码获取所述数字证书授权服务器生成的数 字证书; 身份认证单元,使用所述私钥对所述应用随机验证码进行签名; 数据交互单元,用于在获得所述应用服务器的验证后,所述移动终端与所述应用服务 器建立业务通信连接,以进行业务数据交换。//移动终端装置独权,应用服务器不发送随机 数。
8. —种用于用户身份认证的系统,所述系统包括: 移动终端,用于生成密钥对,其中所述密钥对包括公钥和私钥;生成数字证书申请文 件,并将所述数字证书申请文件发送给数字证书授权服务器;根据数字证书授权服务器发 送的授权随机验证码来获取数字证书授权服务器所生成的数字证书;向应用服务器发起业 务请求,并向所述应用服务器发送数字证书;使用所述私钥对从所述应用服务器接收的应 用随机验证码进行签名,并将签名后的应用随机验证码发送给所述应用服务器;在获得所 述应用服务器的验证后,与所述应用服务器建立业务通信,以进行业务数据交换; 数字证书授权服务器,用于接收并验证所述移动终端发送的数字证书申请文件,并且 当所述数字证书申请通过验证后生成数字证书和授权随机验证码,能够将授权随机验证码 和数字证书提供给所述移动终端;以及 应用服务器,用于验证所述移动终端发送的数字证书,当所述移动终端发送的数字证 书通过验证后,生成应用随机验证码并且发送给移动终端;对移动终端提交的经签名的应 用随机码进行验证,并且当经签名的应用随机码通过验证后与移动终端建立业务通信,以 进行业务数据交换。
9.根据权利要求8所述的系统,所述数字证书申请文件包括:公钥、用户身份识别码、 终端用户认证信息以及使用私钥对所述公钥、用户身份识别码、终端用户认证信息进行处 理所得到的数字签名。
10.根据权利要求8所述的系统,所述移动终端根据数字证书授权服务器发送的授权随 机验证码来获取数字证书授权服务器所生成的数字证书包括: 所述移动终端获取所述数字证书授权服务器发送的授权随机验证码; 所述移动终端将所述授权随机验证码发送给所述数字证书授权服务器; 当所述移动终端发送的所述授权随机验证码通过所述数字证书授权服务器的验证后, 从所述数字证书授权服务器获取数字证书下载提示信息;以及 所述移动终端利用所述数字证书下载提示信息下载数字证书并且将所述数字证书安 装在所述移动终端上。
11. 根据权利要求8所述的系统,所述移动终端通过短信接收授权随机验证码和应用随 机验证码,或移动终端通过应用程序接收授权随机验证码和应用随机验证码。
12. 根据权利要求8所述的系统,所述业务请求为双向SSL协议业务请求。
CN201610576587.XA 2016-07-20 2016-07-20 一种用于移动终端用户身份认证的方法和系统 Pending CN107645726A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610576587.XA CN107645726A (zh) 2016-07-20 2016-07-20 一种用于移动终端用户身份认证的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610576587.XA CN107645726A (zh) 2016-07-20 2016-07-20 一种用于移动终端用户身份认证的方法和系统

Publications (1)

Publication Number Publication Date
CN107645726A true CN107645726A (zh) 2018-01-30

Family

ID=61109131

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610576587.XA Pending CN107645726A (zh) 2016-07-20 2016-07-20 一种用于移动终端用户身份认证的方法和系统

Country Status (1)

Country Link
CN (1) CN107645726A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106936759A (zh) * 2015-12-29 2017-07-07 航天信息股份有限公司 一种单点登录方法、服务器及客户端

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183932A (zh) * 2007-12-03 2008-05-21 宇龙计算机通信科技(深圳)有限公司 一种无线应用服务的安全认证系统及其注册和登录方法
CN101212291A (zh) * 2006-12-28 2008-07-02 中国移动通信集团公司 数字证书分发方法及服务器
CN101222488A (zh) * 2007-01-10 2008-07-16 华为技术有限公司 控制客户端访问网络设备的方法和网络认证服务器
CN102255925A (zh) * 2011-08-30 2011-11-23 公安部第三研究所 一种数字证书申请快速审核方法
CN103167491A (zh) * 2011-12-15 2013-06-19 上海格尔软件股份有限公司 一种基于软件数字证书的移动终端唯一性认证方法
WO2016053184A1 (en) * 2014-10-02 2016-04-07 Huawei International Pte. Ltd. Key generation method and device
CN105490815A (zh) * 2015-12-11 2016-04-13 北京奇虎科技有限公司 短信验证码获取方法及装置、登录方法、装置及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212291A (zh) * 2006-12-28 2008-07-02 中国移动通信集团公司 数字证书分发方法及服务器
CN101222488A (zh) * 2007-01-10 2008-07-16 华为技术有限公司 控制客户端访问网络设备的方法和网络认证服务器
CN101183932A (zh) * 2007-12-03 2008-05-21 宇龙计算机通信科技(深圳)有限公司 一种无线应用服务的安全认证系统及其注册和登录方法
CN102255925A (zh) * 2011-08-30 2011-11-23 公安部第三研究所 一种数字证书申请快速审核方法
CN103167491A (zh) * 2011-12-15 2013-06-19 上海格尔软件股份有限公司 一种基于软件数字证书的移动终端唯一性认证方法
WO2016053184A1 (en) * 2014-10-02 2016-04-07 Huawei International Pte. Ltd. Key generation method and device
CN105490815A (zh) * 2015-12-11 2016-04-13 北京奇虎科技有限公司 短信验证码获取方法及装置、登录方法、装置及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106936759A (zh) * 2015-12-29 2017-07-07 航天信息股份有限公司 一种单点登录方法、服务器及客户端

Similar Documents

Publication Publication Date Title
CN106664208B (zh) 使用安全传输协议建立信任的系统和方法
US8898749B2 (en) Method and system for generating one-time passwords
US7697920B1 (en) System and method for providing authentication and authorization utilizing a personal wireless communication device
EP1833219B1 (en) Methods, apparatus and software for using a token to calculate time-limited password within cellular telephone
EP1807966B1 (en) Authentication method
CN105306490B (zh) 支付验证系统、方法及装置
US8438620B2 (en) Portable device for clearing access
US7690027B2 (en) Method for registering and enabling PKI functionalities
US20040097217A1 (en) System and method for providing authentication and authorization utilizing a personal wireless communication device
JP5844471B2 (ja) インターネットベースのアプリケーションへのアクセスを制御する方法
KR20080033541A (ko) 확장된 일회용 암호 방법 및 장치
US20060095290A1 (en) System and method for authenticating users for secure mobile electronic gaming
EP3208732A1 (en) Method and system for authentication
CN107645471A (zh) 一种用于移动终端用户身份认证的方法和系统
US10050791B2 (en) Method for verifying the identity of a user of a communicating terminal and associated system
CN104660417B (zh) 验证方法、验证装置和电子设备
US20090220075A1 (en) Multifactor authentication system and methodology
CN104023032A (zh) 基于可信执行环境技术的应用受限卸载方法、服务器和终端
CN106161475A (zh) 用户鉴权的实现方法和装置
WO2012004640A1 (en) Transaction authentication
CN107113613B (zh) 服务器、移动终端、网络实名认证系统及方法
US8601270B2 (en) Method for the preparation of a chip card for electronic signature services
CN107645726A (zh) 一种用于移动终端用户身份认证的方法和系统
US9124571B1 (en) Network authentication method for secure user identity verification
CN109784024A (zh) 一种基于多认证器多因子的快速在线身份认证fido方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination