CN110417554A - 一种验证终端设备身份的方法及装置 - Google Patents

一种验证终端设备身份的方法及装置 Download PDF

Info

Publication number
CN110417554A
CN110417554A CN201810386533.6A CN201810386533A CN110417554A CN 110417554 A CN110417554 A CN 110417554A CN 201810386533 A CN201810386533 A CN 201810386533A CN 110417554 A CN110417554 A CN 110417554A
Authority
CN
China
Prior art keywords
certificate
terminal device
application
csr
mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810386533.6A
Other languages
English (en)
Inventor
许汝波
丁国峰
姚辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201810386533.6A priority Critical patent/CN110417554A/zh
Publication of CN110417554A publication Critical patent/CN110417554A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • H04M1/72406User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality by software upgrading or downloading
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一种验证终端设备身份的方法及装置,涉及终端技术领域,其中该方法包括:终端设备在接收用于请求安装第一应用的安装请求之后,根据该第一应用的标识,生成该第一应用对应的CSR,然后向证书分发系统发送该CSR,并接收证书分发系统根据该CSR返回的第一证书。其中,该CSR用于向证书分发系统请求第一应用对应的第一证书,第一证书用于提供给第一应用的服务器来验证终端设备的身份。这种技术方案有助于提高验证终端设备身份的安全性,同时有助于在一定程度上避免设备商或用户隐私数据的泄露。

Description

一种验证终端设备身份的方法及装置
技术领域
本申请涉及终端技术领域,特别涉及一种验证终端设备身份的方法及装置。
背景技术
近年来,随着移动通信技术的飞速发展,以手机为典型代表的终端设备通过运行不同的应用(application,APP)以方便人们的日常生活。对安全要求非常高的移动支付应用(如支付宝、微信等),为了保证支付安全,应用服务器需要对终端设备的身份进行验证,从而有助于提高终端设备的真实性和合法性的可信度。
现有技术中,应用服务器是基于手机的国际移动设备识别码(internationalmobile equipment identity,IMEI)来对手机的身份进行验证的。而手机的IMEI需要事先由设备商提供给应用服务提供商,在一个手机对应一个IMEI的情况下,容易泄露设备商的生产敏感数据,而对于同一型号的手机或者同一批次的手机对应一个IMEI的情况下,若一台终端设备的设备私钥被破解,则影响相同型号或者同一批的终端设备针对该应用的业务流程的消息的安全性。
综上所述,目前验证终端设备身份的方法的安全性较差。
发明内容
本申请实施例提供一种验证终端设备身份的方法及装置,有助于提高验证终端设备身份的安全性,同时有助于在一定程度上避免设备商或用户隐私数据的泄露。
第一方面,本申请实施例的一种验证终端设备身份的方法,包括:
终端设备在接收用于请求安装第一应用的安装请求之后,根据该第一应用的标识,生成该第一应用对应的签名证书请求(certificate signing request,CSR)。然后,终端设备向证书分发系统发送该CSR,并接收证书分发系统根据该CSR返回的第一证书。其中,该CSR用于向证书分发系统请求第一应用对应的第一证书,第一证书用于提供给第一应用的服务器来验证终端设备的身份。
本申请实施例中由于第一应用的服务器是基于第一证书来验证终端设备的身份的,而第一证书是证书分发系统根据第一应用的标识生成的,因而与现有技术相比,在一定程度上有助于提高验证终端设备身份的安全性,同时有助于在一定程度上避免设备商或用户隐私数据的泄露。
在一种可能的设计中,终端设备根据第一应用的标识,生成第一证书的通用名,并根据第一证书的通用名,生成第一应用对应的CSR。其中,CSR包括第一证书的通用名。
通过上述技术方案,使得对于不同的应用得到的证书是不同的,提高了验证终端设备身份的安全性,同时,在一定程度上降低了生成CSR的复杂性。
在一种可能的设计中,终端设备根据随机数和第一应用的标识,生成第一证书的通用名。通过上述技术方案,有助于使得得到的不同应用的证书的通用名是不同的。
在一种可能的设计中,终端设备向第一应用的服务器发送第一证书及第一证书的签名,第一证书及第一证书的签名用于验证终端设备的身份。通过上述技术方案,有助于提高验证终端设备身份的可靠性。
在一种可能的设计中,终端设备在接收第一应用的服务器发送的第一身份验证通知后,向第一应用的服务器发送第一应用对应的业务流程证书或公钥。其中,第一身份验证通知用于指示终端设备的身份验证通过。通过上述技术方案,有助于提高第一应用的服务器与终端设备之间通信的安全性。
在一种可能的设计中,所述终端设备向证书分发系统发送设备证书及设备证书的签名。其中,设备证书的通用名是根据终端设备的IMEI生成的;设备证书及设备证书的签名用于证书分发系统验证终端设备的身份。通过上述技术方案,有助于使得证书分发系统能够对终端设备的身份进行验证,从而进一步提高验证终端设备身份的可靠性。
在一种可能的设计中,终端设备在接收到证书分发系统发送的第二身份验证通知后,向证书分发系统发送第一应用对应的CSR。其中,第二身份验证通知用于指示终端设备身份验证通过。通过上述技术方案,有助于进一步提高验证终端设备身份的可靠性。
需要说明的是,本申请实施例中终端设备还可以向证书分发系统同时发送设备证书、设备证书的签名以及第一应用对应的CSR。当证书分发系统根据设备证书及设备证书的签名对终端设备的身份验证通过后,根据第一应用对应的CSR,生成第一应用对应的第一证书,然后将第一证书发送给终端设备。通过上述方案,证书分发系统无需在对终端设备的身份验证通过后,向终端设备发送身份验证通知,用以通知终端设备的身份验证通过,简化了交互的流程的同时,提高了验证终端设备身份的可靠性。
第二方面,本申请实施例的一种验证终端设备身份的方法,包括:
证书分发系统在接收终端设备发送的第一应用对应的CSR之后,根据CSR,生成第一应用对应的第一证书,然后,向终端设备发送该第一应用对应第一证书。其中,CSR是根据第一应用的标识生成的,第一证书用于提供给第一应用的服务器来验证终端设备的身份。
在一种可能的设计中,CSR包括第一证书的通用名,第一证书的通用名是根据第一应用的标识得到的。
在一种可能的设计中,第一证书的通用名是根据第一应用的标识和随机数得到的。
在一种可能的设计中,证书分发系统接收终端设备发送的设备证书及设备证书的签名,并在根据设备证书及设备证书的签名,验证终端设备的身份通过之后,根据第一应用对应的CSR,生成第一应用对应的第一证书。其中,设备证书的通用名是根据终端设备的IMEI生成的。
在一种可能的设计中,证书分发系统向终端设备发送身份验证通知。其中,身份验证通知用于指示终端设备身份验证通过。可选的,终端设备在接收到身份验证通知,确定验证通知用于指示终端设备身份验证通过后,向证书分发系统发送第一应用对应的CSR。
第三方面,本申请实施例的一种装置,包括输入单元、处理单元、接收单元和发送单元。其中,输入单元用于接收用于请求安装第一应用的安装请求。处理单元用于在输入单元接收到安装请求之后,根据第一应用的标识,生成第一应用对应的CSR。发送单元用于向证书分发系统发送CSR。接收单元用于接收证书分发系统根据CSR返回的第一证书。CSR用于向证书分发系统请求第一应用对应的第一证书。第一证书用于提供给第一应用的服务器来验证终端设备的身份。
在一种可能的设计中,处理单元用于根据第一应用的标识,生成第一证书的通用名,并根据第一证书的通用名,生成第一应用对应的CSR。其中,CSR包括第一证书的通用名。
在一种可能的设计中,处理单元用于根据第一应用的标识和随机数,生成第一证书的通用名。
在一种可能的设计中,发送单元还用于向第一应用的服务器发送第一证书及第一证书的签名。其中,第一证书及第一证书的签名用于验证终端设备的身份。
在一种可能的设计中,接收单元还用于接收第一应用的服务器发送的第一身份验证通知。发送单元还用于向第一应用的服务器发送第一应用对应的业务流程证书或公钥。其中,第一身份验证通知用于指示终端设备的身份验证通过。
在一种可能的设计中,发送单元还用于向证书分发系统发送设备证书及设备证书的签名。其中,设备证书的通用名是根据终端设备的IMEI生成的。设备证书及设备证书的签名用于证书分发系统验证终端设备的身份。
在一种可能的设计中,处理单元还用于在检测到接收单元接收到证书分发系统发送的第二身份验证通知之后,根据第一应用的标识,生成第一应用对应的CSR。其中,第二身份验证通知用于指示终端设备身份验证通过。
在一种可能的设计中,该装置为终端设备,或者该装置为芯片。
在该装置为终端设备时,可选的,处理单元对应的硬件实现方式为处理器,输入单元可以为输入装置(如触摸屏),接收单元对应的硬件实现方式为接收器,发送单元对应的硬件实现方式为发送器,其中,接收器的功能和发送器功能可以集成在一个硬件模块中,统称为收发器,接收器和发送器也可以分别为独立的硬件单元。
在该装置为芯片时,可选的,处理单元的硬件实现方式可以为芯片上的处理器,输入单元的硬件实现方式可以为芯片上与输入装置(如触摸屏)对应的接口,接收单元的硬件实现方式可以为芯片上与接收器对应的接口,发送单元的硬件实现方式可以为芯片上与发送器对应的接口。
第四方面,本申请实施例的一种装置,包括处理单元、接收单元和发送单元。其中,接收单元用于接收终端设备发送的第一应用对应的CSR。处理单元用于根据CSR,生成第一应用对应的第一证书。发送单元用于向终端设备发送第一证书。其中,CSR是根据第一应用的标识生成的。第一证书用于提供给第一应用的服务器来验证终端设备的身份。
在一种可能的设计中,CSR包括第一证书的通用名,第一证书的通用名是根据第一应用的标识得到的。
在一种可能的设计中,第一证书的通用名是根据第一应用的标识和随机数得到的。
在一种可能的设计中,接收单元还用于在处理单元根据CSR生成第一应用对应的第一证书之前,接收终端设备发送的设备证书及设备证书的签名。处理单元还用于根据设备证书及设备证书的签名,验证终端设备的身份通过。设备证书的通用名是根据终端设备的IMEI生成的。
在一种可能的设计中,发送单元还用于向终端设备发送身份验证通知。其中,身份验证通知用于指示终端设备身份验证通过。
在一种可能的设计中,该装置为证书分发系统,或者该装置为芯片。
第五方面,本申请实施例的一种计算机存储介质,该计算机存储介质存储有程序,当所述程序在电子设备上运行时,使得电子设备执行第一方面以及第一方面任意一种可能的设计的方法。
第六方面,本申请实施例的一种计算机存储介质,该计算机存储介质存储有程序,当所述程序在电子设备上运行时,使得所述电子设备执行第二方面以及第二方面任意一种可能的设计的方法。
第七方面,本申请实施例的一种计算机程序产品,当所述计算机程序产品在电子设备上运行时,使得所述电子设备执行第一方面以及第一方面任意一种可能的设计的方法。
第八方面,本申请实施例的一种计算机程序产品,当所述计算机程序产品在电子设备上运行时,使得所述电子设备执行第二方面以及第二方面任意一种可能的设计的方法。
第九方面,本申请实施例的一种终端,包括:处理器、存储器和收发器。所述存储器用于存储计算机执行指令,所述处理器与所述存储器和所述收发器耦接,当所述终端运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述终端执行第一方面以及第一方面任意一种可能的设计的方法。
第十方面,本申请实施例的一种系统,包括:处理器、存储器和收发器。所述存储器用于存储计算机执行指令,所述处理器与所述存储器和所述收发器耦接,当所述系统运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述系统执行第二方面以及第二方面任意一种可能的设计的方法。
需要说明的是,本申请中各个实施例所涉及的藕接是指两个部件彼此直接或间接的连接。这种连接可以允许两个部件之间进行通信。
另外,第二方面至第十方面中任一种可能设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
附图说明
图1为本申请实施例适用的一种终端设备的结构示意图;
图2为本申请实施例提供的一种验证终端设备身份的方法的流程图;
图3为本申请实施例提供的一种界面示意图;
图4为本申请实施例提供的一种用于生成CSR的配置信息的模板示意图;
图5为本申请实施例提供的一种界面示意图;
图6为本申请实施例提供的另一种可能的界面示意图;
图7为本申请实施例的一种装置的示意图;
图8为本申请实施例的另一种装置的示意图。
具体实施方式
本申请实施例可以应用于终端设备。其中,终端设备又可称之为终端或者用户设备(user equipment,UE)等。例如,终端设备可以为手机、平板电脑(pad)、笔记本电脑、个人数字助理(personal digital assistant,PDA)、销售终端(point of sales,POS)、车载电脑、智能音箱、机顶盒、增强现实(augmented reality,AR)设备或者虚拟现实(virtualreality,VR)等,对此不作限定。
如图1所示,为本申请实施例适用的一种终端设备的结构示意图。具体的,终端设备100包括处理器101、显示设备102、存储器103和输入设备104。
其中,处理器101用于读取计算机程序,然后执行计算机程序定义的方法。例如处理器101从存储器103中读取应用程序的安装包,从而在该终端设备100上安装应用,并在显示设备102上显示应用的图标。例如,应用为微信,则处理器102读取微信的安装包,然后在终端设备100上安装微信,在显示设备102上显示微信的图标。处理器101可以包括一个或多个通用处理器,还可以包括一个或多个DSP(digital signal processor,数字信号处理器),用于执行相关操作,以实现本申请实施例所提供的技术方案。
显示设备102包括显示面板1021,用于显示由用户输入的信息或提供给用户的信息以及终端设备100的各种操作界面等。可选的,本申请实施例中可以采用LCD(liquidcrystal display,液晶显示器)、OLED(organic light-emitting diode,有机发光二极管)或者有源矩阵有机发光二极管(active matrix organic light emitting diode,AMOLED)等形式来配置显示面板1021。
存储器103一般包括内存和外存。内存可以为随机存储器(random accessmemory,RAM)、只读存储器(read only memory,ROM)或者高速缓存(cache)等。外存可以为硬盘、光盘、通用串行总线(universal serial bus,USB)、软盘或磁带机等。存储器103用于存储计算机程序和其他数据1033。该计算机程序包括操作系统1032和应用程序1031等。其他数据1033可包括操作系统1032或应用程序1031被运行后产生的数据。该数据包括系统数据(例如操作系统的配置参数)和用户数据。例如设备证书、第一证书等。
输入设备104用于接收输入的数字信息、字符信息或接触式触摸操作/非接触式手势,以及产生与终端设备100的用户设置以及功能控制有关的信号输入等。具体地,本申请实施例中,该输入设备104可以包括触控面板1041。触控面板1041也可以称为触摸屏,可用于收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1041上或在触控面板1041的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板1041可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器。触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器101,并能接收处理器101发来的命令并加以执行。触控面板1041可以采用电阻式、电容式、红外线以及表面声波等多种类型实现。应理解,在本申请实施例中,触控面板1041可覆盖显示面板1021上,形成触摸显示屏。除了触控面板1041,输入设备104还可以包括其他输入设备1042。其他输入设备1042可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键、home键等)、轨迹球、鼠标、操作杆等中的一种或多种。
除以上之外,终端设备100还可以包括用于给其他模块供电的电源105以及用于拍摄照片或视频的摄像头106。终端设备100还可以包括一个或多个传感器107,例如加速度传感器、光传感器、压力传感器等。因此,本申请实施例触发退出应用的界面的方式还可以为在特定区域检测到压力等。
终端设备100还可以包括无线射频(radio frequency,RF)电路108,用于与无线网络设备进行网络通信。此外,终端设备100还可以包括音频电路109、麦克风1091和扬声器1092,可提供用户与终端设备100之间的音频接口。此外,终端设备100还包括无线保真(wireless fidelity,WiFi)模块,用于与其他WiFi设备进行通信。
尽管未示出,终端设备100还可以包括闪光灯等,在此不再赘述。
用户为了满足自身的需求,可以在终端设备上安装各种应用,例如支付宝、微信、优酷等。而对于支付宝、微信等对安全要求高的移动支付应用来说,为了提高支付的安全性,应用服务器需要对终端设备的身份进行验证。
需要说明的是,本申请实施例中涉及的对终端设备的身份验证的方法可以应用于各种应用的业务流程中,不仅限于安全要求高的移动支付应用。
为了避免泄露设备商的生产敏感数据,以及提高终端设备针对应用的业务流程中消息的安全性,可选的,应用服务器可以通过证书分发系统为终端设备签发的、且与应用对应的第一证书来实现对终端设备身份的验证。其中,应理解,本申请实施例证书分发系统用于管理证书。可选的,证书分发系统还能够提供设备身份验证的功能或者其它功能,对此不作限定。此外,为了保证设备身份认证的安全性,需要保证证书分发系统是安全的。作为一个示例,本申请实施例证书分发系统可以为公钥基础设施(public key infrastructure,PKI)系统。其中,PKI系统是用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。
下面以证书分发系统为PKI系统为例对本申请实施例验证终端设备身份的方法进行详细说明。
具体的,如图2所示,本申请实施例验证终端设备身份的方法,包括以下步骤。
步骤201,终端设备在检测到应用A被安装时,生成应用A对应的CSR。其中,应用A对应的CSR用于向PKI系统请求应用A对应的第一证书。
本申请实施例中终端设备可以通过下列方式检测应用A是否被安装:
终端设备接收到用于请求安装应用A的安装请求。例如,以应用A为微信为例,终端设备的触摸控制器检测到用户在图3所示的应用商店的界面上触摸或点击图标300,触发向处理器发送用于请求安装应用A的安装请求。可选的,终端设备可以在下载应用A之前,生成应用A对应的CSR。例如,终端设备可以在从应用A的服务器下载应用A的安装包之前,生成应用A对应的CSR,并在应用A的服务器对终端设备的身份验证通过后,才能下载应用A的安装包。再例如,终端设备还可以在下载应用A的安装包的过程中或者下载应用A的安装包之后,生成应用A对应的CSR,然后在应用A的服务器对终端设备的身份的验证通过之后,终端设备才能安装应用A。
应理解的是,本申请实施例中第一证书还可以称为设备开放证书、开放设备证书等,本申请实施例对此不做限定。
在具体实现时,一种可选的终端设备生成应用A对应的CSR的方式为:终端设备根据应用A的标识,生成应用A对应的CSR。其中,应用A的标识可以为应用A的名称,也可以为用于唯一识别应用A的标识。以应用A为微信为例,微信的标识可以为微信,也可以为wechat,还以为其它自定义的标识等,只要能唯一的标识微信即可。
例如,终端设备生成应用A对应的CSR可以包括以下步骤:步骤一、终端设备生成128bit的随机数。示例的,终端设备可以根据应用A的名称,生成128bit的随机数。再示例的,终端设备随机生成128bit的随机数。步骤二、终端设备根据应用A的名称和生成的128bit的随机数,得到256bit的哈希值。步骤三、终端设备根据256bit的哈希值,生成128bit的开放应用标识(open application ID)。步骤四、终端设备基于open applicationID,生成CSR。示例的,基于open application ID来构造应用A对应的第一证书的通用名(common name,CN),然后基于第一证书的CN,生成CSR。例如,以open application ID作为第一证书的CN。再例如,以open application ID和应用A的名称作为第一证书的CN。对此不作限定,只要第一证书的CN中包括open application ID即可。
示例的,一种可选的生成open application ID的方式为:终端设备从256bit的哈希值中选择高64位和低64位,得到128bit的open application ID。例如,终端设备可以使用Java通用唯一识别码(universally unique identifie,UUID)类中getMostSignificantBits()获取哈希值中的高64位。使用getLeastSignificantBits()获取哈希值中的低64位。使用newUUID(mostSignificantBits,leastSignificantBits)得到open application ID。
需要说明的是,在上述终端设备生成应用A对应的CSR的具体实现方式中,涉及到的随机数、哈希值以及open application ID的位数可以根据实际情况需要进行相应的设定,上述仅为举例说明,对此不作限定。
例如,以CN为应用A的名称+open application ID为例,如图4所示为一种可能的用于生成CSR的配置信息的模板示意图,终端设备将应用A的名称+open application ID配置到CN对应的输入框300中。此外,如图4所示,终端设备生成CSR还需要配置组织、国家/地区、省份、城市、邮箱、密钥算法、密钥长度以及签名算法。其中组织、国家/地区、省份、城市、邮箱、密钥算法、密钥长度以及签名算法这些信息可以由设备商预先配置在终端设备中,也可以由设备商预先配置相应的算法得到这些信息,以城市为例,终端设备可以通过全球定位系统(global positioning system,GPS)得到终端设备的所在的城市。
需要说明的是,上述仅以图4所示的配置信息为例来生成针对应用A的CSR,但是不限于上述涉及的配置信息,可以包括更多或更少的配置信息,对此不作限定。但是,终端设备生成应用A对应的CSR中配置CN时,是基于应用A的标识进行配置的。例如,第一证书的CN可以为应用A的标识,也可以为根据应用A的标识得到的,如open application ID等。应理解,本申请实施例中还可以在考虑应用A的标识的基础上,还可以考虑其他的元素,如随机数、设备的名称、应用的版本号等来得到第一证书的CN,对此本申请实施例不做限定。
步骤202,终端设备向PKI系统发送应用A对应的CSR。
步骤203,PKI系统在接收到应用A对应的CSR后,根据应用A对应的CSR,生成应用A对应的第一证书。其中,第一证书的CN为CSR中包括的CN。例如,应用A对应的CSR中包括的CN为open application ID,则第一证书的CN为open application ID。
需要说明的是,本申请实施例中为了进一步确保终端设备身份的合法性,可选的,PKI系统对终端设备的身份进行验证。在PKI系统对终端设备的身份验证通过后,根据应用A对应的CSR,生成应用A对应的第一证书。
为了便于实现,在一种可能的实现方式中,PKI系统根据终端设备发送的设备证书及设备证书的签名,对终端设备的身份进行验证。其中设备证书的CN是基于终端设备的IMEI得到的。例如设备证书的CN为终端设备的IMEI,或者设备证书的CN包括终端设备的IMEI。
需要说明的是,在具体实现时,可选的,终端设备在可信执行环境(trustedexecution environment,TEE)中存储设备证书以及第一私钥,其中设备证书上包括第一公钥,第一公钥和第一私钥互为一对非对称秘钥。设备证书的签名指的是使用第一私钥对信息的签名,例如被第一私钥签名的信息可以为公钥、序列、或者数字等,对此不做限定。其中被第一私钥签名的信息为公钥时,该公钥可以为终端设备生成的任一非对称秘钥对中的公钥,也可以为第一公钥。
PKI系统根据设备证书及其签名验证终端设备的身份的方式可以参见现有技术中根据证书及其签名验证设备身份的方式。例如,PKI系统根据第一根证书,对设备证书进行验证。其中第一根证书为设备证书的根证书。若PKI系统验证设备证书通过,则根据设备证书,对其签名进行验证。若PKI系统验证其签名通过,则对终端设备的身份验证通过。若PKI系统对终端设备的身份验证不通过,则向终端设备发送身份认证失败的通知。终端设备在接收到身份认证失败的通知后,确定应用A安装失败。可选的,终端设备触发显示应用A安装失败的通知。例如,如图5所示,在安装应用A的界面上显示应用A安装失败的通知。但是本申请实施例对显示应用A安装失败的通知的显示形式不作限定。此外,进一步为了使得用户了解安装失败的原因,可选的,终端设备还可显示应用A安装失败的原因为PKI系统对终端设备的身份认证失败。例如如图6所示,在安装应用A的界面上显示应用A安装失败的原因。但是本申请实施例对显示应用A安装失败的原因的显示形式不作限定。
需要说明的是,本申请实施例中的设备证书是终端设备出厂之前PKI系统签发给终端设备的,由终端设备存储到TEE中。其中,用于签发应用A对应的第一证书的PKI系统和用于签发设备证书的PKI系统可以为一个PKI系统,也可以为不同的PKI系统,对此不作限定。例如,如图2所示,PKI系统包括一级认证机构(certificate authority,CA)、两个二级CA(第一二级CA和第二二级CA),其中第一二级CA用于生成和签发设备证书,第二二级CA用于生成和签发第一证书。例如请求安装的应用为微信时,第二二级CA可以用于生成和签发微信对应的第一证书。再例如,请求安装的应用为支付宝时,第二二级CA还可以用于生成和签发支付宝对应的第一证书等。又例如,请求安装的应用为掌上生活时,第二二级CA又可以用于生成和签发掌上生活对应的第一证书等,对此不做限定。即第二二级CA生成和签发的第一证书所对应的应用为请求安装的应用。可选的,为了便于实现,第一二级CA和第二二级CA可以是基于同一个根证书构造的。
需要说明的是,本申请实施例中的PKI系统还可以只包括一个CA,也可以包括三级或者更多级的CA,对此不作限定。例如,PKI系统包括一个一级CA,两个二级CA,5个三级CA。无论PKI系统包括几级CA,验证终端设备身份的方法与PKI系统包括一级CA、第一二级CA和第二二级CA时验证终端设备的身份的方法类似,在此不再赘述。
步骤204,PKI系统向终端设备发送应用A对应的第一证书。
步骤205,终端设备在接收到PKI系统发送的应用A对应的第一证书后,向应用A的服务器发送应用A对应的第一证书及第一证书的签名。
为了保证第一证书的安全性和重复使用,可选的,终端设备将应用A对应的第一证书存储到终端设备的TEE中。
需要说明的是,在具体实现时,可选的,终端设备在生成应用A对应的CSR的同时生成第二私钥,第二私钥与第二公钥互为一对非对称秘钥,其中第二公钥位于PKI系统根据应用A对应的CSR生成的第一证书上。第一证书的签名指的是使用第二私钥对信息的签名,例如被第二私钥签名的信息可以为公钥、序列、或者数字等,对此不做限定。其中被第二私钥签名的信息为公钥时,该公钥可以为终端设备生成的任一非对称秘钥对中的公钥,也可以为第二公钥。
步骤206,应用A的服务器在接收到应用A对应的第一证书及其签名后,根据应用A对应的第一证书及其签名,对终端设备的身份进行验证。
为了便于实现,应用A的服务器根据应用A对应的第一证书及其签名验证终端设备的身份的方式可以参见现有技术中根据证书及其签名验证设备身份的方式。例如,应用A服务器根据第二根证书,对应用A对应的第一证书进行验证。其中第二根证书为第一证书的根证书。第二根证书是预先存储在应用A的服务器的。例如,可以由PKI系统预先发送给应用A的服务器,也可以预先配置在应用服务器等。对此不作限定。
若应用A的服务器验证应用A对应的第一证书通过,则根据第一证书,对第一证书的签名进行验证。若应用A的服务器验证其签名通过,则对终端设备的身份验证通过,执行步骤207。若应用A的服务器对终端设备的身份验证不通过,则向终端设备发送身份认证失败的通知。终端设备在接收到身份认证失败的通知后,确定应用A安装失败,以及触发显示应用A安装失败的通知。此外,可选的,终端设备还可显示应用A安装失败的原因为应用服务器对终端设备的身份认证失败。
步骤207,应用A的服务器在对终端设备的身份验证通过后,向终端设备发送终端设备的身份验证通过的通知信息。
步骤208,终端设备在接收到身份验证通过的通知信息后,向应用A的服务器发送应用A对应的业务流程证书或公钥。
其中,终端设备向应用A的服务器发送的应用A的业务流程的证书或公钥可以由终端设备生成,也可以由其他设备(如PKI系统)通知给终端设备的,对此不作限定。以终端设备向应用A的服务器发送的应用A对应的公钥为例,其中应用A对应的公钥为针对应用A的业务流程的公钥。可选的,终端设备针对应用A的业务流程,生成非对称秘钥对。其中针对应用A的业务流程的非对称秘钥对包括公钥和私钥。终端设备保存针对应用A的业务流程的私钥,将针对应用A的业务流程的公钥发送给应用A的服务器。
后续终端设备针对应用A可以和应用A的服务器之间通过针对应用A的业务流程的证书或公私钥保证业务流程的完整性和抗抵赖性。
另外,需要说明的是,本申请实施例涉及的设备开放证书和设备证书可以为一种数字证书,用于对信息进行签名以保证信息的不可否认性。本申请实施例中的设备开放证书和设备证书可以符合X.509标准,也可以符合其他标准对此不作限定。
本申请的各实施方式可以任意进行组合,以实现不同的技术效果。
上述本申请提供的实施例中,从终端设备、PKI系统和应用服务器作为执行主体的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,终端设备可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
基于相同的构思,图7所示为本申请的一种装置700,该装置700可以是终端设备,也可以是能够实现图2涉及的方法中终端设备的功能的芯片。具体的,装置700包括输入单元704、处理单元701、接收单元702和发送单元703。
其中,输入单元704用于接收用于请求安装第一应用的安装请求。处理单元701用于在输入单元接收到安装请求之后,根据第一应用的标识,生成第一应用对应的CSR。发送单元703用于向证书分发系统发送CSR。接收单元702用于接收证书分发系统根据CSR返回的第一证书。CSR用于向证书分发系统请求第一应用对应的第一证书。第一证书用于提供给第一应用的服务器来验证终端设备的身份。
可选的,处理单元701用于根据第一应用的标识,生成第一证书的通用名,并根据第一证书的通用名,生成第一应用对应的CSR。其中,CSR包括第一证书的通用名。
可选的,处理单元701用于根据第一应用的标识和随机数,生成第一证书的通用名。
可选的,发送单元703还用于向第一应用的服务器发送第一证书及第一证书的签名。其中,第一证书及第一证书的签名用于验证终端设备的身份。
可选的,接收单元702还用于接收第一应用的服务器发送的第一身份验证通知。发送单元703还用于向第一应用的服务器发送第一应用对应的业务流程证书或公钥。其中,第一身份验证通知用于指示终端设备的身份验证通过。
可选的,发送单元703还用于向证书分发系统发送设备证书及设备证书的签名。其中,设备证书的通用名是根据终端设备的IMEI生成的。设备证书及设备证书的签名用于证书分发系统验证终端设备的身份。
可选的,处理单元701还用于在检测到接收单元接收到证书分发系统发送的第二身份验证通知之后,根据第一应用的标识,生成第一应用对应的CSR。其中,第二身份验证通知用于指示终端设备身份验证通过。
需要说明的时,在装置700为终端设备时,可选的,处理单元701对应的硬件实现方式为处理器,输入单元704可以为输入装置(如触摸屏),接收单元702对应的硬件实现方式为接收器,发送单元703对应的硬件实现方式为发送器,其中,接收器的功能和发送器功能可以集成在一个硬件模块中,统称为收发器,接收器和发送器也可以分别为独立的硬件单元。
在装置700为芯片时,可选的,处理单元701的硬件实现方式可以为芯片上的一个或多个处理器,输入单元704的硬件实现方式可以为芯片上与输入装置(如触摸屏)对应的接口,接收单元702的硬件实现方式可以为芯片上与接收器对应的接口,发送单元703的硬件实现方式可以为芯片上与发送器对应的接口。
基于相同的构思,图8所示为本申请的一种装置800,该装置800可以是证书分发系统,也可以是能够实现图2涉及的方法中证书分发系统的功能的芯片。具体的,装置800包括处理单元801、接收单元802和发送单元803。其中,接收单元802用于接收终端设备发送的第一应用对应的CSR。处理单元801用于根据CSR,生成第一应用对应的第一证书。发送单元803用于向终端设备发送第一证书。其中,CSR是根据第一应用的标识生成的。第一证书用于提供给第一应用的服务器来验证终端设备的身份。
可选的,CSR包括第一证书的通用名,第一证书的通用名是根据第一应用的标识得到的。
可选的,第一证书的通用名是根据第一应用的标识和随机数得到的。
可选的,接收单元802还用于在处理单元801根据CSR生成第一应用对应的第一证书之前,接收终端设备发送的设备证书及设备证书的签名。处理单元801还用于根据设备证书及设备证书的签名,验证终端设备的身份通过。设备证书的通用名是根据终端设备的IMEI生成的。
可选的,发送单元803还用于向终端设备发送身份验证通知。其中,身份验证通知用于指示终端设备身份验证通过。
需要说明的时,在装置800为证书分发系统时,可选的,处理单元801对应的硬件实现方式为一个或多个处理器,接收单元802对应的硬件实现方式为接收器,发送单元803对应的硬件实现方式为发送器,其中,接收器的功能和发送器功能可以集成在一个硬件模块中,统称为收发器,接收器和发送器也可以分别为独立的硬件单元。
在装置800为芯片时,可选的,处理单元801的硬件实现方式可以为芯片上的处理器,接收单元802的硬件实现方式可以为芯片上与接收器对应的接口,发送单元803的硬件实现方式可以为芯片上与发送器对应的接口。
上述各个实施例中涉及处理器可以是通用处理器、数字信号处理器(digitalsignal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read-only memory,ROM)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的指令,结合其硬件完成上述方法的步骤。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内,因此本申请的保护范围应以权利要求的保护范围为准。

Claims (32)

1.一种验证终端设备身份的方法,其特征在于,所述方法包括:
终端设备接收用于请求安装第一应用的安装请求;
所述终端设备接收到所述安装请求之后,根据所述第一应用的标识,生成所述第一应用对应的签名证书请求CSR,所述CSR用于向证书分发系统请求所述第一应用对应的第一证书,所述第一证书用于提供给所述第一应用的服务器来验证所述终端设备的身份;
所述终端设备向所述证书分发系统发送所述CSR;
所述终端设备接收所述证书分发系统根据所述CSR返回的所述第一证书。
2.如权利要求1所述的方法,其特征在于,所述终端设备根据所述第一应用的标识,生成所述第一应用对应的CSR,包括:
所述终端设备根据所述第一应用的标识,生成所述第一证书的通用名;
所述终端设备根据所述第一证书的通用名,生成所述第一应用对应的CSR,所述CSR包括所述第一证书的通用名。
3.如权利要求2所述的方法,其特征在于,所述终端设备根据所述第一应用的标识,生成所述第一证书的通用名,包括:
所述终端设备根据随机数和所述第一应用的标识,生成所述第一证书的通用名。
4.如权利要求1至3任一所述的方法,其特征在于,所述方法还包括:
所述终端设备向所述第一应用的服务器发送所述第一证书及所述第一证书的签名,所述第一证书及所述第一证书的签名用于验证所述终端设备的身份。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述第一应用的服务器发送的第一身份验证通知,所述第一身份验证通知用于指示所述终端设备的身份验证通过;
所述终端设备向所述第一应用的服务器发送所述第一应用对应的业务流程证书或公钥。
6.如权利要求1至5任一所述的方法,其特征在于,所述终端设备根据所述第一应用的标识,生成所述第一应用对应的CSR之前,所述方法还包括:
所述终端设备向所述证书分发系统发送设备证书及所述设备证书的签名,所述设备证书的通用名是根据所述终端设备的国际移动设备识别码IMEI生成的;所述设备证书及所述设备证书的签名用于所述证书分发系统验证所述终端设备的身份。
7.如权利要求6所述的方法,其特征在于,所述终端设备根据所述第一应用的名称,生成所述第一应用对应的CSR之前,所述方法还包括:
所述终端设备接收到所述证书分发系统发送的第二身份验证通知,所述第二身份验证通知用于指示所述终端设备身份验证通过。
8.一种验证终端设备身份的方法,其特征在于,所述方法包括:
证书分发系统接收终端设备发送的第一应用对应的签名证书请求CSR,所述CSR是根据所述第一应用的标识生成的;
所述证书分发系统根据所述CSR,生成所述第一应用对应的第一证书,所述第一证书用于提供给所述第一应用的服务器来验证所述终端设备的身份;
所述证书分发系统向所述终端设备发送所述第一证书。
9.如权利要求8所述的方法,其特征在于,所述CSR包括所述第一证书的通用名,所述第一证书的通用名是根据所述第一应用的标识得到的。
10.如权利要求9所述的方法,其特征在于,
所述第一证书的通用名是根据所述第一应用的标识和随机数得到的。
11.如权利要求8至10任一所述的方法,其特征在于,所述证书分发系统根据所述CSR,生成所述第一应用对应的第一证书之前,所述方法还包括:
所述证书分发系统接收所述终端设备发送的设备证书及所述设备证书的签名,所述设备证书的通用名是根据所述终端设备的国际移动设备识别码IMEI生成的;
所述证书分发系统根据所述设备证书及所述设备证书的签名,验证所述终端设备的身份通过。
12.如权利要求11所述的方法,其特征在于,所述证书分发系统接收终端设备发送的所述第一应用对应的CSR之前,所述方法还包括:
所述证书分发系统向所述终端设备发送身份验证通知,所述身份验证通知用于指示终端设备身份验证通过。
13.一种装置,其特征在于,包括输入单元、处理单元、接收单元和发送单元;
所述输入单元,用于接收用于请求安装第一应用的安装请求;
所述处理单元,用于在所述输入单元接收到所述安装请求之后,根据所述第一应用的标识,生成所述第一应用对应的签名证书请求CSR,所述CSR用于向证书分发系统请求所述第一应用对应的第一证书,所述第一证书用于提供给所述第一应用的服务器来验证所述终端设备的身份;
所述发送单元,用于向所述证书分发系统发送所述CSR;
所述接收单元,用于接收所述证书分发系统根据所述CSR返回的所述第一证书。
14.如权利要求13所述的装置,其特征在于,所述处理单元用于根据所述第一应用的标识,生成所述第一应用对应的CSR,具体包括:
所述处理单元,用于根据所述第一应用的标识,生成所述第一证书的通用名,并根据所述第一证书的通用名,生成所述第一应用对应的CSR,所述CSR包括所述第一证书的通用名。
15.如权利要求14所述的装置,其特征在于,所述处理单元用于根据所述第一应用的标识,生成所述第一证书的通用名,具体包括:
所述处理单元,用于根据所述第一应用的标识和随机数,生成所述第一证书的通用名。
16.如权利要求13至15任一所述的装置,其特征在于,所述发送单元,还用于向所述第一应用的服务器发送所述第一证书及所述第一证书的签名,所述第一证书及所述第一证书的签名用于验证所述终端设备的身份。
17.如权利要求13至15任一所述的装置,其特征在于,
所述接收单元,还用于接收所述第一应用的服务器发送的第一身份验证通知,所述第一身份验证通知用于指示所述终端设备的身份验证通过;
所述发送单元,还用于向所述第一应用的服务器发送所述第一应用对应的业务流程证书或公钥。
18.如权利要求13至17任一所述的装置,其特征在于,所述发送单元,还用于向所述证书分发系统发送设备证书及所述设备证书的签名,所述设备证书的通用名是根据所述终端设备的国际移动设备识别码IMEI生成的;所述设备证书及所述设备证书的签名用于所述证书分发系统验证所述终端设备的身份。
19.如权利要求18所述的装置,其特征在于,所述处理单元,还用于在检测到所述接收单元接收到所述证书分发系统发送的第二身份验证通知之后,根据所述第一应用的标识,生成所述第一应用对应的CSR,所述第二身份验证通知用于指示所述终端设备身份验证通过。
20.如权利要求13至19任一所述的装置,其特征在于,所述装置为终端设备,或者所述装置为芯片。
21.一种装置,其特征在于,包括处理单元、接收单元和发送单元;
所述接收单元,用于接收终端设备发送的第一应用对应的签名证书请求CSR,所述CSR是根据所述第一应用的标识生成的;
所述处理单元,用于根据所述CSR,生成所述第一应用对应的第一证书,所述第一证书用于提供给所述第一应用的服务器来验证所述终端设备的身份;
所述发送单元,用于向所述终端设备发送所述第一证书。
22.如权利要求21所述的装置,其特征在于,所述CSR是根据所述第一应用的标识生成的,包括:
所述CSR包括所述第一证书的通用名,所述第一证书的通用名是根据所述第一应用的标识得到的。
23.如权利要求22所述的装置,其特征在于,所述第一证书的通用名是根据所述第一应用的标识得到的,包括:
所述第一证书的通用名是根据所述第一应用的标识和随机数得到的。
24.如权利要求21至23任一所述的装置,其特征在于,
所述接收单元,还用于在所述处理单元根据所述CSR生成所述第一应用对应的第一证书之前,接收所述终端设备发送的设备证书及所述设备证书的签名,所述设备证书的通用名是根据所述终端设备的国际移动设备识别码IMEI生成的;
所述处理单元,还用于根据所述设备证书及所述设备证书的签名,验证所述终端设备的身份通过。
25.如权利要求24所述的装置,其特征在于,所述发送单元,还用于在所述接收单元接收终端设备发送的所述第一应用对应的CSR之前,向所述终端设备发送身份验证通知,所述身份验证通知用于指示终端设备身份验证通过。
26.如权利要求21至25任一所述的装置,其特征在于,所述装置为证书分发系统,或者所述装置为芯片。
27.一种计算机存储介质,其特征在于,所述计算机存储介质存储有程序,当所述程序在电子设备上运行时,使得所述电子设备执行如权利要求1至7任一所述的方法。
28.一种计算机存储介质,其特征在于,所述计算机存储介质存储有程序,当所述程序在电子设备上运行时,使得所述电子设备执行如权利要求8至12任一所述的方法。
29.一种计算机程序产品,其特征在于,当所述计算机程序产品在电子设备上运行时,使得所述电子设备执行如权利要求1至7任一所述的方法。
30.一种计算机程序产品,其特征在于,当所述计算机程序产品在电子设备上运行时,使得所述电子设备执行如权利要求8至12任一所述的方法。
31.一种终端,其特征在于,包括:处理器、存储器和收发器;
所述存储器用于存储计算机执行指令,所述处理器与所述存储器和所述收发器耦接,当所述终端运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述终端执行如权利要求1至7任一所述的方法。
32.一种系统,其特征在于,包括:处理器、存储器和收发器;
所述存储器用于存储计算机执行指令,所述处理器与所述存储器和所述收发器耦接,当所述系统运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述系统执行如权利要求8至12任一所述的方法。
CN201810386533.6A 2018-04-26 2018-04-26 一种验证终端设备身份的方法及装置 Pending CN110417554A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810386533.6A CN110417554A (zh) 2018-04-26 2018-04-26 一种验证终端设备身份的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810386533.6A CN110417554A (zh) 2018-04-26 2018-04-26 一种验证终端设备身份的方法及装置

Publications (1)

Publication Number Publication Date
CN110417554A true CN110417554A (zh) 2019-11-05

Family

ID=68345737

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810386533.6A Pending CN110417554A (zh) 2018-04-26 2018-04-26 一种验证终端设备身份的方法及装置

Country Status (1)

Country Link
CN (1) CN110417554A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111461720A (zh) * 2020-04-15 2020-07-28 Oppo广东移动通信有限公司 基于区块链的身份验证方法、装置、存储介质及电子设备
US11516020B2 (en) * 2018-06-06 2022-11-29 Tencent Technology (Shenzhen) Company Limited Key management method, apparatus, and system, storage medium, and computer device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685727A (zh) * 2011-03-11 2012-09-19 中国移动通信有限公司 一种应用程序发送、运行方法、系统、服务器和终端
CN102981879A (zh) * 2012-12-03 2013-03-20 中国联合网络通信集团有限公司 应用软件安装包提供方法、获取方法、设备及处理系统
US20130144755A1 (en) * 2011-12-01 2013-06-06 Microsoft Corporation Application licensing authentication
CN103390122A (zh) * 2012-05-09 2013-11-13 中国移动通信集团公司 应用程序发送方法、应用程序运行方法、服务器和终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685727A (zh) * 2011-03-11 2012-09-19 中国移动通信有限公司 一种应用程序发送、运行方法、系统、服务器和终端
US20130144755A1 (en) * 2011-12-01 2013-06-06 Microsoft Corporation Application licensing authentication
CN103390122A (zh) * 2012-05-09 2013-11-13 中国移动通信集团公司 应用程序发送方法、应用程序运行方法、服务器和终端
CN102981879A (zh) * 2012-12-03 2013-03-20 中国联合网络通信集团有限公司 应用软件安装包提供方法、获取方法、设备及处理系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11516020B2 (en) * 2018-06-06 2022-11-29 Tencent Technology (Shenzhen) Company Limited Key management method, apparatus, and system, storage medium, and computer device
CN111461720A (zh) * 2020-04-15 2020-07-28 Oppo广东移动通信有限公司 基于区块链的身份验证方法、装置、存储介质及电子设备
CN111461720B (zh) * 2020-04-15 2024-03-22 Oppo广东移动通信有限公司 基于区块链的身份验证方法、装置、存储介质及电子设备

Similar Documents

Publication Publication Date Title
CN109472166B (zh) 一种电子签章方法、装置、设备及介质
TWI713855B (zh) 憑證管理方法及系統
CN109600223B (zh) 验证方法、激活方法、装置、设备及存储介质
US8782401B2 (en) Enhanced privacy ID based platform attestation
US10078599B2 (en) Application access control method and electronic apparatus implementing the same
WO2017041599A1 (zh) 业务处理方法及电子设备
US9264419B1 (en) Two factor authentication with authentication objects
WO2019052281A1 (zh) 基于区块链的移动终端认证管理方法、装置及相应的移动终端
AU2015323425B2 (en) Systems and methods for identifying mobile devices
US9071422B2 (en) Access authentication method for multiple devices and platforms
US10200201B2 (en) Method for application installation, electronic device, and certificate system
CN102016865A (zh) 基于可用权利来授权执行软件代码的系统和方法
CN102016867A (zh) 基于至少一个已安装的简档来授权执行软件代码的系统和方法
WO2015035936A1 (zh) 身份验证方法、身份验证装置和身份验证系统
KR20140050322A (ko) 사용자 디바이스의 고유 식별자 제공 방법 및 장치
US20200084050A1 (en) Factory data storage and recovery
US20180035293A1 (en) Authenticating a device utilizing a secure display
CN107682160A (zh) 一种生产设备的认证方法及装置、电子设备
CN112968971A (zh) 会话连接建立的方法、装置、电子设备和可读存储介质
CN110572268B (zh) 一种匿名认证方法和装置
US10897355B2 (en) Electronic device and method for operating the same
CN110417554A (zh) 一种验证终端设备身份的方法及装置
US20150220720A1 (en) Electronic device and method for controlling access to given area thereof
EP3926992B1 (en) Electronic device, and authentication method in electronic device
CN115706993A (zh) 认证方法、可读介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191105

RJ01 Rejection of invention patent application after publication