WO2015165325A1

WO2015165325A1 - 终端安全认证方法、装置及系统

Info

Publication number: WO2015165325A1
Application number: PCT/CN2015/075986
Authority: WO
Inventors: 杜宗鹏; 薛莉
Original assignee: 华为技术有限公司
Priority date: 2014-04-28
Filing date: 2015-04-07
Publication date: 2015-11-05
Also published as: CN105101194A; CN105101194B

Abstract

本发明实施例提供一种终端安全认证方法、装置及系统。本发明终端安全认证方法，包括：获取运营商服务器分发的用户身份识别信息，所述用户身份识别信息包括唯一标识用户身份的序列号和密钥；向接入服务器发送接入认证请求；根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互；接收所述接入服务器发送的接入认证成功信息，并通过所述接入服务器接入网络并使用所述网络提供的网络服务。本发明实施例实现终端标识与用户标识双重认证，解决使用软件用户身份识别信息的终端接入认证过于依赖于终端的操作系统的安全能力的问题。

Description

终端安全认证方法、装置及系统

本申请要求于2014年4月28日提交中国专利局、申请号为CN201410175826.1、发明名称为“终端安全认证方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及通信技术，尤其涉及一种终端安全认证方法、装置及系统。

背景技术

第二代全球移动通信系统(Global System for Mobile Communication，简称GSM)手机和用户身份识别卡(Subscriber Identity Module，简称SIM)的出现使得用户不必再像机卡一体时代那样频繁地的更换手机或更换号码，也使得手机技术飞速发展，样式层出不穷，同时移动通信网络运营商借助机卡分离技术，灵活的扩展了SIM卡发行渠道，保障了网络基础密钥的安全使用，带来了今天的手机用户规模和丰富的移动业务，并沿用到第三代手机终端中。而在物联网应用中，由于终端对使用环境的特殊要求，以及终端集成和发行流程多样化，传统硬件SIM卡已不能满足除手机外其它终端的需求，此时在终端中放置软SIM可能更加适合，GSM协会和第三代合作伙伴计划(3rd Generation Partnership Project，简称3GPP)都有关于软SIM的标准化工作，最大的问题在于硬件SIM卡使用了特殊的硬件加工方式，保证了私钥部分不可读出，软SIM不具备上述功能要保证密钥的安全性比较困难。

现有技术是通过终端的操作系统提供的安全环境来保证软SIM的安全分发和使用，这种安全环境由操作系统级别的驱动或者虚拟机来提供，不对外提供软SIM的密钥等信息，保证了该软SIM不可复制。但是这种方法过于依赖终端的操作系统的安全能力，而目前操作系统的绝对安全还不能证明已实现。

发明内容

本发明实施例提供一种终端安全认证方法、装置及系统，以解决使用软件用户身份识别信息的终端接入认证过于依赖于终端的操作系统的安全能力的问题。

第一方面，本发明实施例提供一种终端安全认证方法，包括：

获取运营商服务器分发的用户身份识别信息，所述用户身份识别信息包括唯一标识用户身份的序列号和密钥；

向接入服务器发送接入认证请求；

根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互；

接收所述接入服务器发送的接入认证成功信息，并通过所述接入服务器接入网络并使用所述网络提供的网络服务。

结合第一方面，在第一方面的第一种可能的实现方式中，所述根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互，包括：

接收所述接入服务器发送的标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；

根据所述标识请求信息，通过所述数字证书对应的私钥对数据包进行签名，得到数字签名，所述数据包包括所述序列号和所述安全认证字串；

向所述接入服务器发送所述数据包和数字签名。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述向所述接入服务器发送所述数据包和数字签名之后，还包括：

接收所述接入服务器发送的数字证书请求消息；

向所述接入服务器发送所述数字证书。

结合第一方面，在第一方面的第三种可能的实现方式中，所述获取运营商服务器分发的用户身份识别信息之前，还包括：

接收所述运营商服务器发送的数字证书请求消息；

向所述运营商服务器发送所述数字证书；

所述获取运营商服务器分发的用户身份识别信息，包括：

接收所述运营商服务器发送的所述序列号和加密后的所述密钥。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互，包括：：

接收所述接入服务器发送的标识请求信息；

根据所述标识请求信息向所述接入服务器发送所述序列号；

接收所述接入服务器发送的认证消息，所述认证消息包括随机字串和鉴权码；

通过所述数字证书对应的私钥对所述加密后的所述密钥进行解密，并根据解密后的密钥和所述随机字串执行预设算法生成会话密钥，用所述会话密钥校验所述消息鉴权码。

第二方面，本发明实施例提供一种终端安全认证方法，包括：

接收终端发送的接入认证请求；

根据所述接入认证请求，获取所述终端的验证信息；

根据所述验证信息向运营商认证服务器请求进行用户身份验证；

在所述用户身份验证通过后，向所述终端发送接入认证成功信息。

结合第二方面，在第二方面的第一种可能的实现方式中，所述根据所述接入认证请求，获取所述终端的验证信息，包括：

向所述终端发送标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；

接收所述终端发送的所述验证信息，所述验证信息包括数据包和所述终端的数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号；

所述根据所述验证信息向运营商认证服务器请求进行用户身份验证，包括：

根据所述序列号和所述数字签名向所述运营商认证服务器请求进行用户身份验证。

结合第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述根据所述序列号和所述数字签名向所述运营商认证服务器请求进行用户身份验证之后，还包括：

接收所述运营商认证服务器发送的数字证书请求消息，并将所述数字证书请求消息发送给所述终端；

接收所述终端发送的所述数字证书，并将所述数字证书发送给所述运营商认证服务器。

结合第二方面，在第二方面的第三种可能的实现方式中，所述根据所述接入认证请求，获取所述终端的验证信息，包括：

向所述终端发送标识请求信息；

接收所述终端发送的所述验证信息，所述验证信息包括用户身份识别信息中的所述序列号，所述用户身份识别信息包括密钥和所述序列号；

所述根据所述验证信息向运营商认证服务器请求用户身份验证，包括：

根据所述序列号从所述运营商认证服务器获取认证消息，所述认证消息包括随机字串和鉴权码。

结合第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述根据所述序列号从所述运营商认证服务器获取认证消息之后，还包括：

向所述终端发送所述认证消息。

第三方面，本发明实施例提供一种终端安全认证方法，包括：

接收接入服务器发送的用户身份验证请求，所述用户身份验证请求包括终端发送的数据包和数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号，所述安全认证字串包括时间字串和随机字串，所述数字签名为所述终端通过所述数字证书对应的私钥对所述数据包进行的签名；

根据所述用户身份验证请求获取所述终端的数字证书；

根据所述数字证书验证所述数字签名，验证通过后与所述接入服务器进行信息交互以完成接入认证。

结合第三方面，在第三方面的第一种可能的实现方式中，所述根据所述身份验证请求获取所述终端的数字证书，包括：

向用户数据库发送所述序列号；

获取与所述序列号绑定的所述数字证书。

结合第三方面，在第三方面的第二种可能的实现方式中，所述根据所述身份验证请求获取所述终端的数字证书，包括：

向用户数据库发送所述序列号；

接收所述用户数据库发送的数字证书请求消息；

将所述数字证书请求消息转发给接入服务器；

接收所述接入服务器发送的所述数字证书；

根据从数字证书管理机构获取到的根证书验证所述数字证书。

第四方面，本发明实施例提供一种终端安全认证方法，包括：

接收运营商认证服务器发送的终端的用户身份识别信息中的序列号，所述用户身份识别信息包括密钥和所述序列号；

判断所述序列号是否已经绑定数字证书；

若是，则向所述运营商认证服务器发送与所述序列号绑定的数字证书。

结合第四方面，在第四方面的第一种可能的实现方式中，所述判断所述序列号是否已经绑定数字证书之后，还包括：

若否，则向所述运营商认证服务器发送数字证书请求消息；

接收所述运营商认证服务器上传的所述序列号和所述数字证书，并保存所述序列号和所述数字证书的绑定关系。

第五方面，本发明实施例提供一种终端，包括：

信息获取模块，用于获取运营商服务装置分发的用户身份识别信息，所述用户身份识别信息包括序列号和密钥；

请求发送模块，用于向接入服务装置发送接入认证请求；

认证交互模块，用于根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务装置进行用于实现接入认证的信息交互；

接入模块，用于接收所述接入服务装置发送的接入认证成功信息，并通过所述接入服务装置接入网络并使用所述网络提供的网络服务。

结合第五方面，在第五方面的第一种可能的实现方式中，所述认证交互模块，具体用于接收所述接入服务装置发送的标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；根据所述标识请求信息，通过所述数字证书对应的私钥对数据包进行签名，得到数字签名，所述数据包包括所述序列号和所述安全认证字串；向所述接入服务装置发送所述数据包和数字签名。

结合第五方面的第一种可能的实现方式，在第五方面的第二种可能的实现方式中，还包括：

第一数字证书处理模块，用于接收所述接入服务装置发送的数字证书请求消息；向所述接入服务装置发送所述数字证书。

结合第五方面，在第五方面的第三种可能的实现方式中，还包括：

第二数字证书处理模块，用于接收所述运营商服务装置发送的数字证书请求消息；向所述运营商服务装置发送所述数字证书；

所述信息获取模块，具体用于接收所述运营商服务装置发送的所述序列号和加密后的所述密钥。

结合第五方面的第三种可能的实现方式，在第五方面的第四种可能的实现方式中，所述认证交互模块，具体用于接收所述接入服务装置发送的标识请求信息；根据所述标识请求信息向所述接入服务装置发送所述序列号；接收所述接入服务装置发送的认证消息，所述认证消息包括随机字串和鉴权码；通过所述数字证书对应的私钥对所述加密后的所述密钥进行解密，并根据解密后的密钥和所述随机字串执行预设算法生成会话密钥，用所述会话密钥校验所述消息鉴权码。

第六方面，本发明实施例提供一种接入服务装置，包括：

接收模块，用于接收终端发送的接入认证请求；

验证信息获取模块，用于根据所述接入认证请求，获取所述终端的验证信息；

验证模块，用于根据所述验证信息向运营商认证服务装置请求进行用户身份验证；

接入模块，用于在所述用户身份验证通过后，向所述终端发送接入认证成功信息。

结合第六方面，在第六方面的第一种可能的实现方式中，所述验证信息获取模块，具体用于向所述终端发送标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；接收所述终端发送的所述验证信息，所述验证信息包括数据包和所述终端的数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号；

所述验证模块，具体用于根据所述序列号和所述数字签名向所述运营商认证服务装置请求进行用户身份验证。

结合第六方面的第一种可能的实现方式，在第六方面的第二种可能的实现方式中，还包括：

数字证书转发模块，用于接收所述运营商认证服务装置发送的数字证书请求消息，并将所述数字证书请求消息发送给所述终端；接收所述终端发送的所述数字证书，并将所述数字证书发送给所述运营商认证服务装置。

结合第六方面，在第六方面的第三种可能的实现方式中，所述验证信息获取模块，具体用于向所述终端发送标识请求信息；接收所述终端发送的所述验证信息，所述验证信息包括用户身份识别信息中的所述序列号，所述用户身份识别信息包括密钥和所述序列号；

所述验证模块，具体用于根据所述序列号从所述运营商认证服务装置获取认证消息，所述认证消息包括随机字串和鉴权码。

结合第六方面的第三种可能的实现方式，在第六方面的第四种可能的实现方式中，还包括：

认证反馈模块，用于向所述终端发送所述认证消息。

第七方面，本发明实施例提供一种运营商认证服务装置，包括：

接收模块，用于接收接入服务装置发送的用户身份验证请求，所述用户身份验证请求包括终端发送的数据包和数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号，所述安全认证字串包括时间字串和随机字串，所述数字签名为所述终端通过所述数字证书对应的私钥对所述数据包进行的签名；

证书获取模块，用于根据所述用户身份验证请求获取所述终端的数字证书；

验证模块，用于根据所述数字证书验证所述数字签名，验证通过后与所述接入服务装置进行信息交互以完成接入认证。

结合第七方面，在第七方面的第一种可能的实现方式中，所述证书获取模块，具体用于向用户数据库发送所述序列号；获取与所述序列号绑定的所述数字证书。

结合第七方面，在第七方面的第二种可能的实现方式中，所述证书获取模块，具体用于向用户数据库发送所述序列号；接收所述用户数据库发送的数字证书请求消息；将所述数字证书请求消息转发给接入服务装置；接收所述接入服务装置发送的所述数字证书；根据从数字证书管理机构获取到的根证书验证所述数字证书。

第八方面，本发明实施例提供一种用户数据库，包括：

接收模块，用于接收运营商认证服务装置发送的终端的用户身份识别信息中的序列号，所述用户身份识别信息包括密钥和所述序列号；

判断模块，用于判断所述序列号是否已经绑定数字证书；

证书处理模块，用于若所述判断模块判断所述序列号已经绑定数字证书，则向所述运营商认证服务装置发送与所述序列号绑定的数字证书。

结合第八方面，在第八方面的第一种可能的实现方式中，所述证书处理模块，还用于若所述判断模块判断所述序列号没有经绑定数字证书，则向所述运营商认证服务装置发送数字证书请求消息；接收所述运营商认证服务装置上传的所述序列号和所述数字证书，并保存所述序列号和所述数字证书的绑定关系。

第九方面，本发明实施例提供一种终端安全认证系统，包括：终端、接入服务装置、运营商认证服务装置、用户数据库以及运营商服务装置，其中，所述终端采用第五方面、第五方面的第一种至第四种中任一种可能的实现方式中所述的终端，所述接入服务装置采用第六方面、第六方面的第一种至第四种中任一种可能的实现方式中所述的装置，所述运营商认证服务装置采用第七方面、第七方面的第一种至第二种中任一种可能的实现方式中所述的装置；所述用户数据库采用第八方面或第八方面的第一种可能的是实现方式中所述的装置；

所述运营商服务装置，用于向所述终端分发所述用户身份识别信息。

本发明实施例终端安全认证方法、装置及系统，终端通过数字证书和用户身份识别信息进行接入认证，实现终端标识与用户标识双重认证，以数字证书保证即使用户身份识别信息被复制或更换终端都无法认证通过，使接入认证不再依赖于终端的操作系统的安全能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明终端安全认证方法实施例一的流程图；

图2为本发明终端安全认证方法实施例二的流程图；

图3为本发明终端安全认证方法实施例三的流程图；

图4为本发明终端安全认证方法实施例四的流程图；

图5为本发明终端安全认证方法实施例五的流程图；

图6为本发明终端安全认证方法实施例六的流程图；

图7为本发明终端安全认证方法实施例七的流程图；

图8为本发明终端安全认证方法实施例八的流程图；

图9为本发明终端实施例一的结构示意图；

图10为本发明终端实施例二的结构示意图；

图11为本发明终端实施例三的结构示意图；

图12为本发明接入服务装置实施例一的结构示意图；

图13为本发明接入服务装置实施例二的结构示意图；

图14为本发明接入服务装置实施例三的结构示意图；

图15为本发明运营商认证服务装置实施例的结构示意图；

图16为本发明用户数据库实施例的结构示意图；

图17为本发明终端实施例四的结构示意图；

图18为本发明终端安全认证系统实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的终端接入认证过程以EAP-SIM认证流程为框架，在此基础上增加本发明中与数字证书和用户身份识别信息相关的交互信息或交互流程。

图1为本发明终端安全认证方法实施例一的流程图，如图1所示，本实施例的方法可以包括：

步骤101、获取运营商服务器分发的用户身份识别信息；

本实施例的执行主体可以是终端，该终端可以是任意一个能够接入网络的终端，例如手机、平板电脑、个人电脑等。终端需要从运营商服务器获取用户身份识别信息，现有技术中，用户的手机入网要先从运营商获取客户识别模块(Subscriber Identity Module，简称SIM)，在SIM卡中包含了一个国际移动用户识别码(International Mobile Subscriber Identification Number，简称IMSI)，用于唯一标识该用户。本发明中的用户身份识别信息可以是软件SIM，而该软件SIM比SIM卡可以支持更多样的终端形式，可以适应于没有SIM卡卡槽的终端，在软件SIM中也包括一个用于唯一标识用户的序列号，还包括用户进行接入认证需要的相关信息，即密钥。

步骤102、向接入服务器发送接入认证请求；

本实施例中，终端有一个由数字证书认证中心(Certificate Authority，简称CA)分发的用于签名的数字证书，该数字证书可以是内置在设备中的，也可以是设置在通过通用串行总线(Universal Serial Bus，简称USB)接口连接终端上的外部设备上的，数字证书的密钥部分由硬件加工工艺进行安全保护，不可读出、修改、更新或删除，终端在出厂的时候就携带有数字证书，数字证书是终端的唯一标识，终端支持通过数字证书签名的功能。终端向接入服务器发送接入认证请求需要用到数字证书和用户身份识别信息(软件SIM)，通常情况下，终端初次激活软件SIM或者终端重启都需要向接入服务器发送接入认证请求，认证通过后才可以使用网络服务。

步骤103、根据终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互；

本实施例中，终端根据数字证书和用户身份识别信息与接入服务器进行接入认证的信息交互，这个过程可以采用可扩展身份验证协议(Extensible Authentication Protocol，简称EAP)EAP-SIM认证流程，此处不做详细描述。

步骤104、接收所述接入服务器发送的接入认证成功信息，并通过所述接入服务器接入网络并使用所述网络提供的网络服务。

本实施例中，终端的数字证书和用户身份识别信息被接入服务器认证通过后，接收接入服务器发送的认证成功信息，例如EAP-Success，终端即可在后续上线操作完成后通过接入服务器接入网络并使用网络提供的网络服务。

本实施例，终端通过数字证书和用户身份识别信息进行接入认证，实现终端标识与用户标识双重认证，以数字证书保证即使用户身份识别信息被复制或更换终端都无法认证通过，使接入认证不再依赖于终端的操作系统的安全能力。

图2为本发明终端安全认证方法实施例二的流程图，如图2所示，本实施例的方法可以包括：

步骤201、获取运营商服务器分发的用户身份识别信息；

本实施例中，终端获取运营商服务器分发的用户身份识别信息，具体的实现方法可以是：通过外部存储设备拷贝所述运营商服务器分发的所述用户身份识别信息；或者，通过登录所述运营商服务器的指定网页获取所述用户身份识别信息。

具体来讲，终端可以使用外部存储设备，例如USB闪存驱动器(U盘)，拷贝用户身份识别信息(软件SIM)，或者直接用USB数据线连接运营商提供的相关设备下载用户身份识别信息(软件SIM)。可选的，终端由于还没有进行接入认证，因此终端如果想要使用网络服务一定会被重定向至运营商的指定网页，终端登录该网页下载用户身份识别信息(软件SIM)。

步骤202、向接入服务器发送接入认证请求；

本实施例中，终端可以向接入服务器发送EAPoL-Start以发起接入认证或者在接入服务器的要求下发起接入认证，终端根据预存的数字证书和所述用户身份识别信息向接入服务器发起接入认证的过程与上述方法实施例的步骤102类似，此处不再赘述。

步骤203、接收所述接入服务器发送的标识请求信息和安全认证字串；

本实施例中，安全认证字串包括时间字串和随机字串，接入服务器根据终端发送的EAPoL-Start或者其他方式触发接入认证，在本地随机生成一个随机字串，在向终端回复标识请求信息时携带上该随机字串及时间字串，以保证终端每次的数字签名都是不一样的，标识请求信息可以是EAP-SIM认证流程中的EAP-Request/Identity。

步骤204、根据所述标识请求信息，通过数字证书对应的私钥对数据包进行签名，得到数字签名；

本实施例中，数据包包括用户身份识别信息中的序列号和安全认证字串，终端收到接入服务器的标识请求信息后，用本地保存的数字证书对应的私钥对由用户身份识别信息中的序列号、随机字串、时间字串组成的数据包进行签名，该签名过程现有技术中已存在，此处不再赘述。

步骤205、向所述接入服务器发送所述数据包和数字签名；

本实施例中，终端把数据包和数字签名都发送给接入服务器，接入服务器根据数据包中的用户身份识别信息中的序列号向运营商认证服务器请求用户身份验证，并使得运营商认证服务器从用户数据库获取与用户身份识别信息中的序列号绑定的数字证书，根据数字证书验证所述数字签名。接入服务器将用户身份识别信息中的序列号和安全认证字串一起封装在远程认证拨号用户服务(Remote Authentication Dial In User Service，简称RADIUS)消息中发送给运营商认证服务器，运营商认证服务器则根据用户身份识别信息中的序列号查询用户数据库，获取与用户身份识别信息中的序列号绑定的数字证书，用户数据库支持数字证书的发送，运营商认证服务器用数字证书中的公钥验证终端的数字签名。

步骤206、根据所述数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互；

本实施例中，这个过程可以采用EAP-SIM认证流程，此处不做详细描述。

步骤207、接收所述接入服务器发送的接入认证成功信息，并通过所述接入服务器接入网络并使用所述网络提供的网络服务。

本实施例中，终端接收所述接入服务器发送的接入认证成功信息，并通过所述接入服务器接入网络并使用所述网络提供的网络服务的过程与上述方法实施例的步骤104类似，此处不再赘述。

进一步的，上述方法实施例的步骤205中，若运营商认证服务器没有从用户数据库获取到与用户身份识别信息中的序列号绑定的数字证书，表示这是终端的初次接入认证，因此用户数据库中没有存储终端的数字证书与用户身份识别信息中的序列号的绑定信息，因此终端向所述接入服务器发送所述数据包和数字签名后，还包括：接收所述接入服务器发送的数字证书请求消息；向所述接入服务器发送所述数字证书，以使所述接入服务器将所述数字证书发送给所述运营商认证服务器，并使得所述运营商认证服务器根据从数字证书管理机构获取到的根证书验证所述数字证书，对所述数字证书验证通过后再根据所述数字证书验证所述数字签名，对所述数字签名验证通过后将所述数字证书上传给所述用户数据库以绑定所述用户身份识别信息中的所述序列号和所述数字证书。

具体来讲，运营商认证服务器没有从用户数据库获取到与用户身份识别信息中的序列号绑定的数字证书，则运营商认证服务器向接入服务器发送数字证书请求消息，接入服务器将该数字证书请求消息转发给终端，终端将自己的数字证书发送给接入服务器，接入服务器再将该数字证书转发给运营商认证服务器，运营商认证服务器存储了从数字证书管理机构获取到的根证书，用根证书验证终端的数字证书，验证通过后在用数字证书中的公钥验证终端的数字签名，再次验证通过后，运营商认证服务器将数字证书上传给用户数据库以绑定用户身份识别信息中的序列号和数字证书。

进一步的，运营商将用户身份识别信息中的序列号和数字证书的绑定的方法，除了上述的通过终端的初次接入网络认证触发绑定用户身份识别信息中的序列号和数字证书以外，运营商服务器也可以通过用户数据库直接在后台绑定用户身份识别信息中的序列号和数字证书，例如运营商服务器在下发用户身份识别信息时，根据从终端获取到的数字证书或数字证书的编号进行绑定(只有编号时需要去下载对应的数字证书)。可选的，运营商直接出售已经绑定用户身份识别信息的终端，在出售前先绑定用户身份识别信息中的序列号和数字证书。可选的，运营商也可以使用附图7中的流程绑定用户的数字证书和用户身份识别信息，此时终端可以有两个数字证书，一个用于签名(绑定时与该数字证书绑定)，一个用于加密(用户身份识别信息下发时使用该数字证书)。运营商服务器还可以对用户身份识别信息中的序列号和数字证书绑定关系进行管理，例如进行绑定、解绑定，或者改变绑定对象等。

前述方案中，终端的数字证书与用户身份识别信息为1：1绑定，或者1：n绑定。如果用户申请了一机多号的业务，运营商确认之后，还支持将用户身份识别信息中的序列号与多个终端的数字证书绑定，为客户提供一号多机的业务。另外，终端中预存的数字证书，除了进行接入网络认证，还可以使用在网上购物或者移动办公等场景中，用于确定用户的身份。

图3为本发明终端安全认证方法实施例三的流程图，如图3所示，本实施例的方法可以包括：

步骤301、接收运营商服务器发送的数字证书请求消息；

本实施例中，为了保证用户身份识别信息(软件SIM)的安全性，运营商服务器在分发用户身份识别信息的时候，要求终端提供数字证书，运营商服务器将用户身份识别信息中的密钥用数字证书的公钥加密，再发给用户，因此终端一开始就是接收运营商服务器发送的数字证书请求消息。

步骤302、向所述运营商服务器发送数字证书；

本实施例中，终端向运营商服务器提供自己的数字证书，或者用户提供自己的数字证书的编号，运营商服务器从数字证书管理机构下载对应的数字证书。运营商服务器根据本地存储的根证书验证终端的数字证书，验证通过后携带数字证书向用户数据库请求用户身份识别信息，用户数据库在收到数字证书后先绑定数字证书和用户身份识别信息中的序列号，并用数字证书的公钥对用户身份识别信息中的密钥加密，再将加密后的用户身份识别信息发给运营商服务器。

步骤303、接收所述运营商服务器发送的所述序列号和加密后的所述密钥；

本实施例中，到这一个步骤为止，终端获取到运营商服务器发送的用户身份识别信息，该用户身份识别信息中的密钥已经用数字证书中的公钥加密过。

步骤304、向接入服务器发送接入认证请求；

本实施例中，终端根据预存的数字证书和所述用户身份识别信息向接入服务器发起接入认证的过程与上述方法实施例的步骤102类似，此处不再赘述。

步骤305、接收所述接入服务器发送的标识请求信息；

步骤306、根据所述标识请求信息向所述接入服务器发送所述序列号；

本实施例中，终端把用户身份识别信息中的序列号发送给接入服务器，接入服务器根据该序列号从运营商认证服务器获取认证消息，该认证消息包括运营商认证服务器生成的随机字串和消息鉴权码。

步骤307、接收所述接入服务器发送的认证消息；

步骤308、通过所述数字证书对应的私钥对所述加密后的所述密钥进行解密，并根据解密后的密钥和所述随机字串执行预设算法生成会话密钥，用所述会话密钥校验所述消息鉴权码；

本实施例中，终端先用数字证书对应的私钥对步骤303中获取的用户身份识别信息中的加密后的密钥解密，再根据解密后的密钥和认证消息中的随机字串执行预设算法生成会话密钥，并用会话密钥校验认证消息中的消息鉴权码。

步骤309、根据所述数字证书和所述用户身份识别信息与所述接入服务器进行接入认证的信息交互；

步骤310、接收所述接入服务器发送的接入认证成功信息，并通过所述接入服务器接入网络并使用所述网络提供的网络服务。

本实施例，终端通过数字证书从运营商服务器获取加密的用户身份识别信息，并通过用户身份识别信息中的密钥进行接入认证，实现终端标识与用户标识双重认证，以数字证书保证即使用户身份识别信息被复制或更换终端都无法认证通过，使接入认证不再依赖于终端的操作系统的安全能力。

图4为本发明终端安全认证方法实施例四的流程图，如图4所示，本实施例的方法可以包括：

步骤401、接收终端发送的接入认证请求；

本实施例的执行主体可以是接入服务器。接入服务器接收终端发送的接入认证请求，例如EAPoL-Start。

步骤402、根据所述接入认证请求，获取所述终端的验证信息；

步骤403、根据所述验证信息向运营商认证服务器请求进行用户身份验证；

本实施例中，接入服务器与运营商认证服务器之间采用RADIUS格式的消息进行交互，因此接入服务器在获取到终端的数字证书或用户身份识别信息后将其封装在RADIUS消息中转发给运营商认证服务器，以使运营商认证服务器对数字证书或用户身份识别信息进行用户身份验证。接入服务器根据验证信息与运营商认证服务器进行用户身份验证。

步骤404、在所述用户身份验证通过后，向所述终端发送接入认证成功信息。

本实施例中，接入服务器根据运营商认证服务器的认证结果，在验证通过后向终端发送接入认证成功信息，以使终端接入网络并使用所述网络提供的网络服务。

本实施例，接入服务器根据终端的数字证书和用户身份识别信息对终端进行接入认证，实现终端标识与用户标识双重认证，以数字证书保证即使用户身份识别信息被复制或更换终端都无法认证通过，使接入认证不再依赖于终端的操作系统的安全能力。

进一步的，上述方法实施例的步骤402根据所述接入认证请求，获取所述终端的验证信息，具体的实现方法可以是：向所述终端发送标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；接收所述终端发送的所述验证信息，所述验证信息包括数据包和所述终端的数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号。上述方法实施例的步骤403根据所述验证信息向运营商认证服务器请求进行用户身份验证，具体的实现方法可以是：根据所述序列号和所述数字签名向所述运营商认证服务器请求进行用户身份验证。

具体来讲，接入服务器在收到终端的接入认证请求后，即给终端返回一个标识请求信息，例如EAP-Request/Identity，同时该信息中还可以携带一个安全认证字串，该安全认证字串中包括时间字串和随机字串，随机字串是接入服务器随机生成的，目的是为了保证终端每次签名都不一样，终端收到标识请求信息后，将自己的用户身份识别信息中的序列号、时间字串和随机字串组成数据包，用自己的数字证书对应的私钥对数据包进行签名并把数据包和数字签名发送给接入服务器。接入服务器根据以用户身份识别信息中的序列号和数字签名向运营商认证服务器请求用户身份验证，运营商认证服务器根据该序列号从用户数据库获取到该终端的数字证书，并用该数字证书中的公钥验证数字签名。

进一步的，上述过程若运营商认证服务器没有从用户数据库获取到与用户身份识别信息中的序列号绑定的数字证书，说明这是终端的初次接入认证，则接入服务器会接收到运营商认证服务器请求终端的数字证书的消息，具体的实现方法可以是，接收所述运营商认证服务器发送的数字证书请求消息，并将所述数字证书请求消息发送给所述终端；接收所述终端发送的所述数字证书，并将所述数字证书发送给所述运营商认证服务器。。

具体来讲，接入服务器把收到的运营商认证服务器发送的数字证书请求消息转发给终端，终端将自己的数字证书返回给接入服务器，接入服务器再将该数字证书封装在RADIUS消息中转发给运营商认证服务器，运营商认证服务器先用本地的根证书验证终端的数字证书，根证书是运营商认证服务器从数字证书管理机构获取到的，验证通过后在用数字证书中的公钥对终端的数字签名进行验证，验证通过后将数字证书上传给用户数据库以绑定用户身份识别信息中的序列号和数字证书。

进一步的，上述方法实施例的步骤402根据所述接入认证请求，获取所述终端的验证信息，具体的实现方法可以是：向所述终端发送标识请求信息；接收所述终端发送的所述验证信息，所述验证信息包括用户身份识别信息中的所述序列号，所述用户身份识别信息包括密钥和所述序列号。上述方法实施例的步骤403根据所述验证信息向运营商认证服务器请求进行用户身份验证，具体的实现方法可以是：根据所述序列号从所述运营商认证服务器获取认证消息，所述认证消息包括随机字串和鉴权码。在此之后，还包括：向所述终端发送所述认证消息。

具体来讲，接入服务器向终端发送标识请求信息(EAP-Request/Identity)，接收终端发送的用户身份识别信息中的序列号，将该序列号发送给运营商认证服务器以获取认证消息，该认证消息包括运营商认证服务器生成的随机字串和鉴权码，还可以包括用户的签约信息。接入服务器将认证消息发送给终端，终端先用数字证书对应的私钥对用户身份识别信息中的加密后的密钥解密，在生成会话密钥后对鉴权码进行验证。

图5为本发明终端安全认证方法实施例五的流程图，如图5所示，本实施例的方法可以包括：

步骤501、接收接入服务器发送的用户身份验证请求；

本实施例的执行主体可以是运营商认证服务器，用户身份验证请求包括终端发送的数据包和数字签名，数据包包括用户身份识别信息中的序列号和安全认证字串，安全认证字串包括时间字串和接入服务器随机生成的随机字串，数字签名为终端通过数字证书对应的私钥对数据包进行的签名。运营商认证服务器接收接入服务器发送的RADIUS消息，即身份验证请求。

步骤502、根据所述用户身份验证请求获取所述终端的数字证书；

本实施例中，运营商认证服务器根据用户身份识别信息中的序列号向用户数据库请求终端的数字证书，若可以获取到用户数据库返回的数字证书，则表示该终端不是初次验证，反之，如果运营商认证服务器没有从用户数据库获取到数字证书，则表示该终端是初次验证。

步骤503、根据所述数字证书验证所述数字签名，验证通过后与所述接入服务器进行信息交互以完成接入认证。

本实施例中，运营商认证服务器从用户数据库获取到终端的数字证书，并用该证书中的公钥验证终端的数字签名。

本实施例，运营商认证服务器根据终端的数字证书和用户身份识别信息对终端进行接入认证，实现终端标识与用户标识双重认证，以数字证书保证即使用户身份识别信息被复制或更换终端都无法认证通过，使接入认证不再依赖于终端的操作系统的安全能力。

进一步的，上述方法实施例的步骤502根据所述用户身份验证请求获取所述终端的数字证书，具体的实现方法可以是：向用户数据库发送所述序列号；获取与所述序列号绑定的所述数字证书。还可以是：向用户数据库发送所述序列号；接收所述用户数据库发送的数字证书请求消息；将所述数字证书请求消息转发给接入服务器；接收所述接入服务器发送的所述数字证书；根据从数字证书管理机构获取到的根证书验证所述数字证书。

具体来讲，运营商认证服务器从用户数据库库获取终端的数字证书，若是终端的初次接入网认证，则用户数据库中没有需要的数字证书，运营商认证服务器接收用户数据库发送的数字证书请求消息，再向接入服务器发送数字证书请求消息以获取终端的数字证书。若不是终端的初次接入网认证，则用户数据库中有需要的数字证书，运营商认证服务器可以直接从用户数据库获取到数字证书。运营商认证服务器收到数字证书后，先用本地的根证书验证数字证书，即验证该数字证书是否是其信任的数字证书管理机构颁发的，验证通过后，再用数字证书中的公钥验证终端的数字签名，通过后将数字证书上传给用户数据库以绑定用户身份识别信息中的序列号和数字证书，然后再与接入服务器进行信息交互以完成接入认证，这个过程可以采用EAP-SIM认证流程，此处不做详细描述。

图6为本发明终端安全认证方法实施例六的流程图，如图6所示，本实施例的方法可以包括：

步骤601、接收运营商认证服务器发送的终端的用户身份识别信息中的序列号；

本实施例的执行主体可以是用户数据库，用户身份识别信息包括密钥和所述序列号。

步骤602、判断所述序列号是否已经绑定数字证书；

本实施例中，用户数据库判断用户身份识别信息中的序列号是否已经与数字证书绑定，即查询是否有与序列号关联的数字证书。

步骤603、若是，则向所述运营商认证服务器发送与所述序列号绑定的数字证书。

本实施例中，如果用户数据库找到与序列号绑定的数字证书，则直接将该数字证书发送给运营商认证服务器，以使运营商认证服务器根据该数字证书进行用户身份验证。

本实施例，用户数据库存储终端的数字证书，并保存序列号和数字证书的绑定关系，避免终端重复接入时数字证书的频发收发，提高终端的数字证书的安全性。

进一步的，上述方法实施例的步骤602之后，还包括：若用户数据库没有找到与序列号绑定的数字证书，则向所述运营商认证服务器发送数字证书请求消息；接收所述运营商认证服务器上传的所述序列号和所述数字证书，并保存所述序列号和所述数字证书的绑定关系。

具体来讲，如果终端是初次接入认证，则用户数据库中还没有该终端的信息记录，因此无法超找到与序列号绑定的数字证书，因此用户数据库向运营商认证服务器发送数字证书请求消息，接收到运营商认证服务器上传的序列号和数字证书，并保存序列号和数字证书的绑定关系。

下面采用两个具体的实施例，对图1～图6中任一个方法实施例的技术方案进行详细说明。

图7为本发明终端安全认证方法实施例七的流程图，如图7所示，本实施例的方法可以包括：

s601、终端获取运营商服务器分发的用户身份识别信息；

本实施例中，所述用户身份识别信息包括序列号和密钥。

s602、终端向接入服务器发送接入认证请求；

s603、接入服务器向终端发送标识请求信息和安全认证字串；

本实施例中，所述安全认证字串包括随机字串，所述安全认证字串还可以进一步包括时间字串。

s604、终端通过终端的数字证书对应的私钥对数据包进行签名，得到数字签名；

本实施例中，所述数据包括所述序列号和所述安全认证字串，所述数字签名可以被携带在所述数据包中。

s605、终端向接入服务器发送所述数据包和所述数字签名；

s606、接入服务器根据所述序列号和所述数字签名向运营商认证服务器请求进行用户身份验证；

s607、运营商认证服务器向用户数据库发送所述序列号；

s608、用户数据库判断该序列号是否已经绑定数字证书，若否，则转去s609，若是，则转去s617；

s609、用户数据库向运营商认证服务器发送数字证书请求消息；

本实施例中，用户数据库还可以向运营商认证服务器发送一些和用户认证相关的信息，例如认证向量和用户签约信息等。

s610、运营商认证服务器向接入服务器发送数字证书请求消息；

s611、接入服务器将数字证书请求消息发送给终端；

s612、接入服务器接收终端发送的数字证书；

s613、接入服务器将数字证书发送给运营商认证服务器；

s614、运营商认证服务器根据从数字证书管理机构获取到的根证书验证所述数字证书，并且在验证通过后再根据所述数字证书验证数字签名；

s615、若验证通过，则运营商认证服务器将所述序列号和所述数字证书上传给用户数据库；

s616、用户数据库保存所述序列号和所述数字证书的绑定关系，转去s619；

s617、运营商认证服务器根据所述序列号从用户数据库获取与所述序列号绑定的数字证书；

本实施例中，运营商认证服务器还可以根据所述序列号获取所述和用户认证相关的信息；

s618、运营商认证服务器根据数字证书验证数字签名，如果通过验证，则执行s619；

s619、终端、接入服务器以及运营商认证服务器进行接入网认证的信息交互；

s620、终端接收接入服务器发送的接入认证成功信息，并通过接入服务器接入网络并使用网络提供的网络服务。

本实施例的各步骤的详细过程和原理在上述方法实施例中均有说明，此处不再赘述。

图8为本发明终端安全认证方法实施例八的流程图，如图8所示，本实施例的方法可以包括：

s701、终端连接到运营商服务器申请软SIM，并接收运营商服务器发送的数字证书请求消息；

s702、终端向运营商服务器发送终端的数字证书；

s703、运营商服务器根据根证书验证数字证书；

s704、运营商服务器验证通过后，向用户数据库发送用于请求用户身份识别信息的请求消息；

本实施例中，所述用于请求用户身份识别信息的请求消息携带数字证书；

s705、用户数据库在收到所述用于请求用户身份识别信息的请求消息后，分配用户身份识别信息，并用数字证书的公钥对用户身份识别信息中的密钥加密，得到经过加密的密钥；

本实施例中，用户数据库还可以将数字证书和用户身份识别信息中的序列号绑定，以便用户数据库保存分发的软SIM和终端的数字证书的绑定关系，从而支持用户重复申请提示、用户丢失软SIM后的重发、被盗终端识别、一号多机管理等。

s706、用户数据库将所述序列号和所述经过加密的密钥发给运营商服务器；

s707、终端接收运营商服务器发送的所述序列号和所述经过加密的密钥；

s708、终端向接入服务器发送接入认证请求；

s709、接入服务器向终端发送标识请求信息；

s710、终端向接入服务器发送所述序列号；

s711、接入服务器将所述序列号转发给运营商认证服务器；

s712、运营商认证服务器根据所述序列号从用户数据库获取和用户认证相关的信息；

本实施例中，和用户认证相关的信息，例如可以是认证向量和用户签约信息等。

s713、运营商认证服务器将认证消息发送给接入服务器；

s714、终端接收接入服务器发送的认证消息；

本实施例中，所述认证消息包括随机字串和鉴权码。

s715、终端通过数字证书对应的私钥对所述经过加密的密钥进行解密，并根据解密后的密钥和随机字串执行预设算法生成会话密钥，用会话密钥校验消息鉴权码；

s716、终端、接入服务器以及运营商认证服务器进行接入网认证的信息交互；

s717、终端接收接入服务器发送的网络接入认证成功信息，并通过接入服务器接入网络并使用网络提供的网络服务。

图9为本发明终端实施例一的结构示意图，如图9所示，本实施例的装置可以包括：信息获取模块11、请求发送模块12、认证交互模块13以及接入模块14，其中，信息获取模块11，用于获取运营商服务装置分发的用户身份识别信息，所述用户身份识别信息包括序列号和密钥；请求发送模块12，用于向接入服务装置发送接入认证请求；认证交互模块13，用于根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务装置进行用于实现接入认证的信息交互；接入模块14，用于接收所述接入服务装置发送的接入认证成功信息，并通过所述接入服务装置接入网络并使用所述网络提供的网络服务。

本实施例的装置，可以用于执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图10为本发明终端实施例二的结构示意图，如图10所示，本实施例的装置在图9所示装置结构的基础上，进一步地，还可以包括：第一数字证书处理模块15。认证交互模块13，具体用于接收所述接入服务装置发送的标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；根据所述标识请求信息，通过所述数字证书对应的私钥对数据包进行签名，得到数字签名，所述数据包包括所述序列号和所述安全认证字串；向所述接入服务装置发送所述数据包和数字签名；第一数字证书处理模块15，用于接收所述接入服务装置发送的数字证书请求消息；向所述接入服务装置发送所述数字证书。

本实施例的装置，可以用于执行图1、图2或图7所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图11为本发明终端实施例三的结构示意图，如图11所示，本实施例的装置在图9所示装置结构的基础上，进一步地，还可以包括：第二数字证书处理模块16，用于接收所述运营商服务装置发送的数字证书请求消息；向所述运营商服务装置发送所述数字证书。信息获取模块11，具体用于接收所述运营商服务装置发送的所述序列号和加密后的所述密钥；认证交互模块13，具体用于接收所述接入服务装置发送的标识请求信息；根据所述标识请求信息向所述接入服务装置发送所述序列号；接收所述接入服务装置发送的认证消息，所述认证消息包括随机字串和鉴权码；通过所述数字证书对应的私钥对所述加密后的所述密钥进行解密，并根据解密后的密钥和所述随机字串执行预设算法生成会话密钥，用所述会话密钥校验所述消息鉴权码。

本实施例的装置，可以用于执行图1、图3或图8所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图12为本发明接入服务装置实施例一的结构示意图，如图12所示，本实施例的装置可以包括：接收模块21、验证信息获取模块22、验证模块23、以及接入模块24，其中，接收模块21，用于接收终端发送的接入认证请求；验证信息获取模块22，用于根据所述接入认证请求，获取所述终端的验证信息；验证模块23，用于根据所述验证信息向运营商认证服务装置请求进行用户身份验证；接入模块24，用于在所述用户身份验证通过后，向所述终端发送接入认证成功信息。

本实施例的装置，可以用于执行图4所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图13为本发明接入服务装置实施例二的结构示意图，如图13所示，本实施例的装置在图12所示装置结构的基础上，进一步地，还可以包括：数字证书转发模块25。验证信息获取模块22，具体向所述终端发送标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；接收所述终端发送的所述验证信息，所述验证信息包括数据包和所述终端的数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号；验证模块23，具体用于根据所述序列号和所述数字签名向所述运营商认证服务装置请求进行用户身份验证；数字证书转发模块25，用于接收所述运营商认证服务装置发送的数字证书请求消息，并将所述数字证书请求消息发送给所述终端；接收所述终端发送的所述数字证书，并将所述数字证书发送给所述运营商认证服务装置。

本实施例的装置，可以用于执行图4或图7所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图14为本发明接入服务装置实施例三的结构示意图，如图14所示，本实施例的装置在图12所示装置结构的基础上，进一步地，还可以包括：认证反馈模块26。验证信息获取模块22，具体用于向所述终端发送标识请求信息；接收所述终端发送的所述验证信息，所述验证信息包括用户身份识别信息中的所述序列号，所述用户身份识别信息包括密钥和所述序列号；验证模块23，具体用于根据所述序列号从所述运营商认证服务装置获取认证消息，所述认证消息包括随机字串和鉴权码；认证反馈模块26，用于向所述终端发送所述认证消息。

本实施例的装置，可以用于执行图4或图8所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图15为本发明运营商认证服务装置实施例的结构示意图，如图15所示，本实施例的装置可以包括：接收模块31、证书获取模块32以及验证模块33，其中，接收模块31，用于接收接入服务装置发送的用户身份验证请求，所述用户身份验证请求包括终端发送的数据包和数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号，所述安全认证字串包括时间字串和随机字串，所述数字签名为所述终端通过所述数字证书对应的私钥对所述数据包进行的签名；证书获取模块32，用于根据所述用户身份验证请求获取所述终端的数字证书；验证模块33，用于根据所述数字证书验证所述数字签名，验证通过后与所述接入服务装置进行信息交互以完成接入认证。

本实施例的装置，可以用于执行图5、图7或图8所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

进一步的，上述证书获取模块32，具体用于向用户数据库发送所述序列号；获取与所述序列号绑定的所述数字证书。

进一步的，上述证书获取模块32，具体用于向用户数据库发送所述序列号；接收所述用户数据库发送的数字证书请求消息；将所述数字证书请求消息转发给接入服务装置；接收所述接入服务装置发送的所述数字证书；根据从数字证书管理机构获取到的根证书验证所述数字证书。

图16为本发明用户数据库实施例的结构示意图，如图16所示，本实施例的装置可以包括：接收模块41、判断模块42以及证书处理模块43，其中，接收模块41，用于接收运营商认证服务装置发送的终端的用户身份识别信息中的序列号，所述用户身份识别信息包括密钥和所述序列号；判断模块42，用于判断所述序列号是否已经绑定数字证书；证书处理模块43，用于若所述判断模块判断所述序列号已经绑定数字证书，则向所述运营商认证服务装置发送与所述序列号绑定的数字证书。

本实施例的装置，可以用于执行图6、图7或图8所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

进一步的，上述证书处理模块43，还用于若所述判断模块判断所述序列号没有经绑定数字证书，则向所述运营商认证服务装置发送数字证书请求消息；接收所述运营商认证服务装置上传的所述序列号和所述数字证书，并保存所述序列号和所述数字证书的绑定关系。

图17为本发明终端实施例四的结构示意图，如图17所示，本实施例的设备可以包括：接口51，存储器52和处理器53。其中，接口51，存储器52和处理器53之间通过总线连接。

接口51可以为以下一种或多种：提供有线接口的网络接口控制器(英文： network interface controller，缩写：NIC)，例如以太网NIC；提供无线接口的NIC，例如无线局域网(英文：wireless local area network，缩写：WLAN)NIC。

存储器52，存储程序代码，并将存储的程序代码传输给处理器53。

存储器52，可以是易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：RAM)；或者非易失性存储器(英文：non-volatile memory)，例如快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)；或者上述种类的存储器的组合。

处理器53，获得存储器52中存储的程序代码，并按照获得的程序代码执行图1～图3、图7～图8中任一方法实施例的技术方案。

处理器53可以是中央处理器(英文：central processing unit，缩写：CPU)，或者是CPU和硬件芯片的组合。上述硬件芯片可以是专用集成电路(英文：application-specific integrated circuit，缩写：ASIC)，可编程逻辑器件(英文：programmable logic device，缩写：PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：CPLD)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：FPGA)，通用阵列逻辑(英文：generic array logic，缩写：GAL)或其组合。

进一步的，接入服务器、运营商认证服务器以及用户数据库都可以采用图17上述的硬件结构，区别在于存储器52中存储的程序代码不同。另外，接入服务器的处理器53获得存储器52中存储的程序代码，并按照获得的程序代码执行图4、图7～图8中任一方法实施例的技术方案；运营商认证服务器的处理器53获得存储器52中存储的程序代码，并按照获得的程序代码执行图5、图7～图8中任一方法实施例的技术方案；用户数据库的处理器53获得存储器52中存储的程序代码，并按照获得的程序代码执行图6～图8中任一方法实施例的技术方案。

图18为本发明终端安全认证系统实施例的结构示意图，如图18所示，本实施例的系统包括：终端61、接入服务器62、运营商认证服务器63、用户数据库64以及运营商服务器65，均可以采用图17所示的硬件结构。终端61可以执行图1～图3、图7～图8中任一方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述；接入服务器62可以执行图4、图7～图8中任一方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述；运营商认证服务器63可以执行图5、图7～图8中任一方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述；用户数据库64可以执行图6～图8中任一方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述；运营商服务器65，用于向所述终端分发所述用户身份识别信息。本实施例的系统可以作为图7或图8所示的方法实施例的应用场景。

可选的，终端61可以是PC、手机、平板电脑、机顶盒等。终端61接入网络可以通过固网或移动网络，因此在终端61和接入服务器62之间还可以设置住宅网关(Residential Gateway，简称RG)、接入点(Access Point，简称AP)、数字用户线路接入复用器(Digital Subscriber Line Access Multiplexer，简称DSLAM)、光线路终端(Optical Line Terminal，简称OLT)等设备。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种终端安全认证方法，其特征在于，包括：

获取运营商服务器分发的用户身份识别信息，所述用户身份识别信息包括序列号和密钥；

向接入服务器发送接入认证请求；

根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互；

接收所述接入服务器发送的接入认证成功信息，并通过所述接入服务器接入网络并使用所述网络提供的网络服务。
根据权利要求1所述的方法，其特征在于，所述根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互，包括：

接收所述接入服务器发送的标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；

根据所述标识请求信息，通过所述数字证书对应的私钥对数据包进行签名，得到数字签名，所述数据包包括所述序列号和所述安全认证字串；

向所述接入服务器发送所述数据包和数字签名。
根据权利要求2所述的方法，其特征在于，所述向所述接入服务器发送所述数据包和数字签名之后，还包括：

接收所述接入服务器发送的数字证书请求消息；

向所述接入服务器发送所述数字证书。
根据权利要求1所述的方法，其特征在于，所述获取运营商服务器分发的用户身份识别信息之前，还包括：

接收所述运营商服务器发送的数字证书请求消息；

向所述运营商服务器发送所述数字证书；

所述获取运营商服务器分发的用户身份识别信息，包括：

接收所述运营商服务器发送的所述序列号和加密后的所述密钥。
根据权利要求4所述的方法，其特征在于，所述根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务器进行用于实现接入认证的信息交互，包括：：

接收所述接入服务器发送的标识请求信息；

根据所述标识请求信息向所述接入服务器发送所述序列号；

接收所述接入服务器发送的认证消息，所述认证消息包括随机字串和鉴权码；

通过所述数字证书对应的私钥对所述加密后的所述密钥进行解密，并根据解密后的密钥和所述随机字串执行预设算法生成会话密钥，用所述会话密钥校验所述消息鉴权码。
一种终端安全认证方法，其特征在于，包括：

接收终端发送的接入认证请求；

根据所述接入认证请求，获取所述终端的验证信息；

根据所述验证信息向运营商认证服务器请求进行用户身份验证；

在所述用户身份验证通过后，向所述终端发送接入认证成功信息。
根据权利要求6所述的方法，其特征在于，所述根据所述接入认证请求，获取所述终端的验证信息，包括：

向所述终端发送标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；

接收所述终端发送的所述验证信息，所述验证信息包括数据包和所述终端的数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号；

所述根据所述验证信息向运营商认证服务器请求进行用户身份验证，包括：

根据所述序列号和所述数字签名向所述运营商认证服务器请求进行用户身份验证。
根据权利要求7所述的方法，其特征在于，所述根据所述序列号和所述数字签名向所述运营商认证服务器请求进行用户身份验证之后，还包括：

接收所述运营商认证服务器发送的数字证书请求消息，并将所述数字证书请求消息发送给所述终端；

接收所述终端发送的所述数字证书，并将所述数字证书发送给所述运营商认证服务器。
根据权利要求6所述的方法，其特征在于，所述根据所述接入认证请求，获取所述终端的验证信息，包括：

向所述终端发送标识请求信息；

接收所述终端发送的所述验证信息，所述验证信息包括用户身份识别信息中的所述序列号，所述用户身份识别信息包括密钥和所述序列号；

所述根据所述验证信息向运营商认证服务器请求用户身份验证，包括：

根据所述序列号从所述运营商认证服务器获取认证消息，所述认证消息包括随机字串和鉴权码。
根据权利要求9所述的方法，其特征在于，所述根据所述序列号从所述运营商认证服务器获取认证消息之后，还包括：

向所述终端发送所述认证消息。
一种终端安全认证方法，其特征在于，包括：

接收接入服务器发送的用户身份验证请求，所述用户身份验证请求包括终端发送的数据包和数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号，所述安全认证字串包括时间字串和随机字串，所述数字签名为所述终端通过所述数字证书对应的私钥对所述数据包进行的签名；

根据所述用户身份验证请求获取所述终端的数字证书；

根据所述数字证书验证所述数字签名，验证通过后与所述接入服务器进行信息交互以完成接入认证。
根据权利要求11所述的方法，其特征在于，所述根据所述身份验证请求获取所述终端的数字证书，包括：

向用户数据库发送所述序列号；

获取与所述序列号绑定的所述数字证书。
根据权利要求11所述的方法，其特征在于，所述根据所述身份验证请求获取所述终端的数字证书，包括：

向用户数据库发送所述序列号；

接收所述用户数据库发送的数字证书请求消息；

将所述数字证书请求消息转发给接入服务器；

接收所述接入服务器发送的所述数字证书；

根据从数字证书管理机构获取到的根证书验证所述数字证书。
一种终端安全认证方法，其特征在于，包括：

接收运营商认证服务器发送的终端的用户身份识别信息中的序列号，所述用户身份识别信息包括密钥和所述序列号；

判断所述序列号是否已经绑定数字证书；

若是，则向所述运营商认证服务器发送与所述序列号绑定的数字证书。
根据权利要求14所述的方法，其特征在于，所述判断所述序列号是否已经绑定数字证书之后，还包括：

若否，则向所述运营商认证服务器发送数字证书请求消息；

接收所述运营商认证服务器上传的所述序列号和所述数字证书，并保存所述序列号和所述数字证书的绑定关系。
一种终端，其特征在于，包括：

信息获取模块，用于获取运营商服务装置分发的用户身份识别信息，所述用户身份识别信息包括序列号和密钥；

请求发送模块，用于向接入服务装置发送接入认证请求；

认证交互模块，用于根据所述终端的数字证书和所述用户身份识别信息，与所述接入服务装置进行用于实现接入认证的信息交互；

接入模块，用于接收所述接入服务装置发送的接入认证成功信息，并通过所述接入服务装置接入网络并使用所述网络提供的网络服务。
根据权利要求16所述的终端，其特征在于，所述认证交互模块，具体用于接收所述接入服务装置发送的标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；根据所述标识请求信息，通过所述数字证书对应的私钥对数据包进行签名，得到数字签名，所述数据包包括所述序列号和所述安全认证字串；向所述接入服务装置发送所述数据包和数字签名。
根据权利要求17所述的终端，其特征在于，还包括：

第一数字证书处理模块，用于接收所述接入服务装置发送的数字证书请求消息；向所述接入服务装置发送所述数字证书。
根据权利要求16所述的终端，其特征在于，还包括：

第二数字证书处理模块，用于接收所述运营商服务装置发送的数字证书请求消息；向所述运营商服务装置发送所述数字证书；

所述信息获取模块，具体用于接收所述运营商服务装置发送的所述序列号和加密后的所述密钥。
根据权利要求19所述的终端，其特征在于，所述认证交互模块，具体用于接收所述接入服务装置发送的标识请求信息；根据所述标识请求信息向所述接入服务装置发送所述序列号；接收所述接入服务装置发送的认证消息，所述认证消息包括随机字串和鉴权码；通过所述数字证书对应的私钥对所述加密后的所述密钥进行解密，并根据解密后的密钥和所述随机字串执行预设算法生成会话密钥，用所述会话密钥校验所述消息鉴权码。
一种接入服务装置，其特征在于，包括：

接收模块，用于接收终端发送的接入认证请求；

验证信息获取模块，用于根据所述接入认证请求，获取所述终端的验证信息；

验证模块，用于根据所述验证信息向运营商认证服务装置请求进行用户身份验证；

接入模块，用于在所述用户身份验证通过后，向所述终端发送接入认证成功信息。
根据权利要求21所述的装置，其特征在于，所述验证信息获取模块，具体用于向所述终端发送标识请求信息和安全认证字串，所述安全认证字串包括时间字串和随机字串；接收所述终端发送的所述验证信息，所述验证信息包括数据包和所述终端的数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号；

所述验证模块，具体用于根据所述序列号和所述数字签名向所述运营商认证服务装置请求进行用户身份验证。
根据权利要求22所述的装置，其特征在于，还包括：

数字证书转发模块，用于接收所述运营商认证服务装置发送的数字证书请求消息，并将所述数字证书请求消息发送给所述终端；接收所述终端发送的所述数字证书，并将所述数字证书发送给所述运营商认证服务装置。
根据权利要求21所述的装置，其特征在于，所述验证信息获取模块，具体用于向所述终端发送标识请求信息；接收所述终端发送的所述验证信息，所述验证信息包括用户身份识别信息中的所述序列号，所述用户身份识别信息包括密钥和所述序列号；

所述验证模块，具体用于根据所述序列号从所述运营商认证服务装置获取认证消息，所述认证消息包括随机字串和鉴权码。
根据权利要求24所述的装置，其特征在于，还包括：

认证反馈模块，用于向所述终端发送所述认证消息。
一种运营商认证服务装置，其特征在于，包括：

接收模块，用于接收接入服务装置发送的用户身份验证请求，所述用户身份验证请求包括终端发送的数据包和数字签名，所述数据包包括用户身份识别信息中的序列号和安全认证字串，所述用户身份识别信息包括密钥和所述序列号，所述安全认证字串包括时间字串和随机字串，所述数字签名为所述终端通过所述数字证书对应的私钥对所述数据包进行的签名；

证书获取模块，用于根据所述用户身份验证请求获取所述终端的数字证书；

验证模块，用于根据所述数字证书验证所述数字签名，验证通过后与所述接入服务装置进行信息交互以完成接入认证。
根据权利要求26所述的装置，其特征在于，所述证书获取模块，具体用于向用户数据库发送所述序列号；获取与所述序列号绑定的所述数字证书。
根据权利要求26所述的装置，其特征在于，所述证书获取模块，具体用于向用户数据库发送所述序列号；接收所述用户数据库发送的数字证书请求消息；将所述数字证书请求消息转发给接入服务装置；接收所述接入服务装置发送的所述数字证书；根据从数字证书管理机构获取到的根证书验证所述数字证书。
一种用户数据库，其特征在于，包括：

接收模块，用于接收运营商认证服务装置发送的终端的用户身份识别信息中的序列号，所述用户身份识别信息包括密钥和所述序列号；

判断模块，用于判断所述序列号是否已经绑定数字证书；

证书处理模块，用于若所述判断模块判断所述序列号已经绑定数字证书，则向所述运营商认证服务装置发送与所述序列号绑定的数字证书。
根据权利要求29所述的装置，其特征在于，所述证书处理模块，还用于若所述判断模块判断所述序列号没有经绑定数字证书，则向所述运营商认证服务装置发送数字证书请求消息；接收所述运营商认证服务装置上传的所述序列号和所述数字证书，并保存所述序列号和所述数字证书的绑定关系。
一种终端安全认证系统，其特征在于，包括：终端、接入服务装置、运营商认证服务装置、用户数据库以及运营商服务装置，其中，所述终端采用权利要求16～20中任一项所述的终端，所述接入服务装置采用权利要求21～25中任一项所述的装置，所述运营商认证服务装置采用权利要求26～28中任一项所述的装置；所述用户数据库采用权利要求29或30所述的装置；

所述运营商服务装置，用于向所述终端分发所述用户身份识别信息。