一種基于短消息的數字簽名認證系統及數字簽名的方法

專利名稱：一種基于短消息的數字簽名認證系統及數字簽名的方法
技術領域：
本發明屬于涉及電訊通信技術領域，具體涉及一種基于短消息的數字簽名認證系 統及數字簽名的方法。
背景技術：
隨著移動通信的普及，移動終端已經成為使用最普遍的便攜式計算平臺。基于移 動終端開展電子商務已經得到廣泛的關注，也出現了許多基于移動終端對電子交易的安全 進行保障的工作方式。特別是專利公開了一種遠程服務系統的認證方法，基于移動終端對 請求的信息進行數字簽名。該方法由業務請求終端向遠程服務中心提交業務請求，遠程服 務中心將業務請求發送到移動終端，移動終端對業務請求簽名后發回遠程服務中心。然而在實現過程中，如果基于短消息采用數字簽名進行遠程認證時存在以下問 題，一是證書數據量大，而一條短信只能容納140字節，在移動終端向遠程服務中心返回簽 名時在短信中包含證書是不現實的。二是普通的短信在到達移動終端時，提示用戶必須進 入相應的界面才能瀏覽和處理，操作不便，影響用戶的使用。

發明內容
本發明的目的是提供一種結構簡單，使用方便，降低短消息傳輸數據量的一種基 于短消息的數字簽名認證系統。本發明的另一目的是提供認證系統數字簽名的方法。為了克服現有技術的不足，本發明的技術方案是這樣解決的一種基于短消息的 數字簽名認證系統，本發明的特殊之處在于該系統由移動終端、證書發行裝置、證書數據庫 或證書目錄服務器、業務請求終端、遠程服務中心、短消息網關組成；上述業務請求終端和 遠程服務中心通過任意網絡連接，所述任意網絡是指互聯網、移動通信網或電話網，上述遠 程服務中心與短消息網關之間、短消息網關和證書數據庫或證書目錄服務器、證書發行裝 置和證書數據庫或證書目錄服務器之間通過TCP協議連接，證書發行裝置和移動終端之間 通過近距離無線鏈路連接，或通過安全模塊安全介質交互信息，移動終端和短消息網關之 間通過移動通信鏈路連接；所述移動終端包括消息收發模塊通過移動通信網絡接收短信息網關發送的信息，并向短信息網關發 送信息；顯示鍵盤模塊接收用戶通過鍵盤的輸入信息并向用戶顯示信息；安全功能模塊對消息收發模塊輸入的信息進行加密、解密、數字簽名和簽名驗證，并將加密、數字簽名后的信息通過消息收發模塊發送給遠程服務中心。 一種所述認證系統數字簽名的方法，本發明的特殊之處在于將客戶數字證書存入 數字證書數據庫，并以數字證書索引號索引，將用戶私鑰和數字證書索引號保存到用戶移 動終端的安全功能模塊中。
所述移動終端的安全功能模塊，利用保存的用戶私鑰對業務信息簽名后，將數字簽名連同數字證書索引號以短消息發送到短消息網關，短消息網關基于數字證書索引號檢 索數字證書數據庫，獲取相應的數字證書，將數字簽名及相應的數字證書發送到遠程服務 中心。所述移動終端的安全功能模塊收到短消息后，以高優先級中斷移動終端當前操 作，自動顯示業務信息并等待用戶確認。所述短消息網關通過點到點短消息將業務請求信息直接發送到移動終端的安全 功能模塊中。本發明與現有技術相比，具有如下優點(1)由于在證書數據庫E中存儲數字證書，而非在移動終端存儲數字證書，可以無 需通過短消息傳輸該證書，只需要傳輸數字證書索引號。有效降低了短消息傳輸的數據量。(2)通過點到點短消息將信息直接發送到安全功能模塊，并通過產生高優先級中 斷直接在移動終端顯示模塊上顯示業務請求內容，保證使用的方便性。本發明特別適于電子交易和銀行金融業務使用。


圖1為本發明系統結構示意圖；圖2為本發明認證系統數字簽名的方法流程圖。
具體實施例方式附圖為本發明的實施例。下面結合附圖對發明內容進一步詳細說明參照圖1所示，一種基于短消息的數字簽名認證系統，該系統由移動終端C、證書 發行裝置D、證書數據庫或證書目錄服務器E、業務請求終端F、遠程服務中心G、短消息網關 H組成；上述業務請求終端F和遠程服務中心G通過任意網絡連接，所述任意網絡是指互聯 網、移動通信網或電話網，上述遠程服務中心G與短消息網關H之間、短消息網關H和證書 數據庫或證書目錄服務器E、證書發行裝置D和證書數據庫或證書目錄服務器E之間通過 TCP協議連接，證書發行裝置D和移動終端C之間通過近距離無線鏈路連接，或通過安全模 塊安全介質交互信息，移動終端C和短消息網關H之間通過移動通信鏈路連接；所述移動終端C包括消息收發模塊Cl通過移動通信網絡接收短信息網關H發送的信息，并向短信息網 關H發送信息；顯示鍵盤模塊C2接收用戶通過鍵盤的輸入信息并向用戶顯示信息；安全功能模塊C3對消息收發模塊Cl輸入的信息進行加密、解密、數字簽名和簽名 驗證，并將加密、數字簽名后的信息通過消息收發模塊Cl發送給遠程服務中心G，業務請求 終端F可以是電腦終端，手機，電話，自助終端，用戶在業務請求終端上可以通過Web瀏覽 器或者語音或者專門的客戶端程序向遠程服務中心G提交所需的業務請求，遠程服務中心 G是由一個或多個服務器以及運行在其上的服務程序和數據庫組成的能夠處理用戶業務請 求的信息系統。
短消息網關H是一臺服務器，其上運行有信息分發的服務程序，它分別與遠程服 務中心和證書數據庫通過網絡雙向連接，也和移動運營商的短消息中心以相應的協議通過 網絡雙向連接，可以將短信息通過移動運營商發送到移動終端，也可從移動運營商接收來 自移動終端的短消息。證書數據庫E保存用戶數字證書，用戶數字證書中包含有用戶的公鑰，用戶數字 證書在數據庫中以數字證書索引號索引，證書數據庫可接受來自短消息網關或者其他被授 權用戶的證書查詢，也可由證書發行裝置D進行證書添加、撤銷等操作。證書數據庫E和短 消息網關H通過網絡雙向連接。證書發行裝置D負責生成用戶的證書，一種方式是證書發行裝置產生用戶的公鑰 和私鑰對，將公鑰和用戶身份信息生成用戶數字證書和數字證書索引號，將傳遞到證書數 據庫保存。同時將私鑰和數字證書索引號通過讀卡器等設備寫入用戶移動終端的安全功能 模塊C3。另一種方式是用戶移動終端的安全功能模塊C3通過讀卡器或者其他通信方式連 接到證書發行裝置D，由安全功能模塊C3產生公鑰和私鑰，將公鑰傳遞到證書發行裝置D， 將公鑰和用戶身份信息生成用戶數字證書和數字證書索引號，將數字證書傳遞到證書數據 庫保存，同時將數字證書索引號寫入用戶移動終端的安全功能模塊C3。 用戶移動終端C中包含消息收發模塊Cl，顯示鍵盤模塊C2和安全功能模塊C3 ；其 中安全功能模塊C3通過用戶移動終端C的SIM卡接口連接在用戶終端系統平臺和SIM卡 之間，為一雙界面卡，并可拆卸。一種認證系統數字簽名的方法，該方法是將客戶數字證書存入數字證書數據庫， 并以數字證書索引號索引；將用戶私鑰和數字證書索引號保存到用戶移動終端的安全功能 模塊中。所述移動終端的安全功能模塊利用保存的用戶私鑰對業務信息簽名后，將數字簽 名連同數字證書索引號以短消息發送到短消息網關，短消息網關基于數字證書索引號檢索 數字證書數據庫，獲取相應的數字證書，將數字簽名及相應的數字證書發送到遠程服務中 心。所述移動終端的安全功能模塊收到短消息后，以高優先級中斷移動終端當前操 作，自動顯示業務信息并等待用戶確認。所述短消息網關通過點到點短消息將業務請求信息直接發送到移動終端的安全 功能模塊中。實施例1參照圖2所示，認證系統數字簽名的方法流程圖，包括如下步驟1、將用戶數字證書(即由權威機構發行提供身份驗證的權威性電子文檔，采用 X. 509V3國際標準，內容包括證書序列號、證書持有者名稱、證書頒發者名稱、證書有效期、 公鑰、證書頒發者的數字簽名等)，存入數字證書數據庫或證書目錄服務E，并以數字證書 索引號(例如用戶手機號碼)作為索引；2、將用戶私鑰(即僅為用戶本人所有的私有密鑰)和數字證書索引號保存到移動 終端C的安全功能模塊C3中；3.用戶提交業務請求信息到遠程服務中心G(即基于Internet或Intranet提供遠程服務的應用程序，例如網上銀行、呼叫中心等)；4.遠程服務中心G將業務請求信息轉發給短消息網關H ；5.短消息網關H通過點到點短消息將業務請求信息直接發送到移動終端的安全 功能模塊C3中；6.安全功能模塊C3收到短消息后，以高優先級中斷移動終端C當前操作，自動顯 示業務請求信息并等待用戶確認；7.用戶確認業務請求信息無誤后，移動終端C的安全功能模塊C3利用保存的用戶 私鑰對業務請求信息簽名；8.安全功能模塊C3將業務請求信息的數字簽名和其保存的數字證書索引號以短 消息發送到短消息網關H;9.短消息網關H基于數字證書索引號檢索數字證書數據庫或證書目錄服務器E， 獲取相應的數字證書；10.短消息網關H將業務請求信息的數字簽名及相應的數字證書發送到遠程服務 中心G ；11.遠程服務中心G驗證證書的有效性、驗證數字簽名的有效性，處理業務請求。實施例2參照圖1和圖2，本發明給出了在網上銀行應用中實現安全支付的系統實例。本實 例中，業務請求終端F是網上銀行的客戶終端(即，能夠通過互聯網或內聯網，訪問網上銀 行系統的個人電腦)；遠程服務中心G是位于銀行的網上銀行系統，該系統實現銀行業務信 息的調度和銀行業務功能的處理；移動終端C是嵌入了安全模塊C3(即銀行Key)的用戶 手機；證書發行裝置D是放置于銀行網點的數字證書生成裝置，其通過讀卡器寫入用戶移 動終端的安全功能模塊C3 ；短消息網關H是采用CMPP協議實現與移動終端C的點到點短 消息連接，同時采用TCP協議實現與網上銀行系統連接；網上銀行安全支付流程包括銀行Key發行和簽名認證過程，其中銀行Key發行過 程是依據銀行客戶基本信息生成和保存數字證書，包括如下步驟1、在銀行Key中，隨機生成客戶密鑰對(包括公鑰和私鑰)；2、通過銀行Key讀寫器將生成的客戶公鑰傳送到數字證書發行裝置；3、數字證書發行裝置根據客戶提供的基本資料和客戶公鑰生成客戶數字證書；4、將客戶數字證書存入數字證書數據庫，并以客戶手機號構建索引；基于短消息的簽名認證過程是基于短消息實現關鍵業務數據的簽名認證，包括如 下步驟1、客戶通過網上銀行客戶終端提交支付請求到網上銀行系統；2、網上銀行系統將支付請求轉發給短消息網關；3、短消息網關通過短消息將支付請求轉發到用戶手機；4、用戶手機判斷是否為支付短消息，如果是，則將該短消息直接交由Key處理；5、Key收到短消息后，以高優先級中斷用戶手機當前操作顯示支付信息并等待用 戶確認；6、客戶確認支付信息無誤后，Key基于保存的用戶私鑰對支付信息簽名；7、用戶手機將支付信息的數 字簽名以短消息回傳短消息網關；
8、短消息網關從短消息中提取客戶手機號碼，并以該號碼檢索數字證書數據庫， 獲取相應的數字證書；9、短消息網關將業務信息的數字簽名及相應的數字證書回傳到網上銀行系統；10、網上銀行系統驗證證書的有效性、驗證數字簽名的有效性，實現安全支付請 求；綜上所述的方法，移動終端計算簽名后只需要傳輸用戶數字證書的索引號，不需要傳輸整個數字證書，這樣就減少了短消息傳輸的數據量，保證了基于短消息數字簽名方 法的可行性和經濟性。顯然任何人在了解了本發明的技術構思以后均可作出不同的實施方 式，這些方式均在本發明的保護范圍內。
權利要求
一種基于短消息的數字簽名認證系統，其特征在于該數字簽名認證系統由移動終端(C)、證書發行裝置(D)、證書數據庫或證書目錄服務器(E)、業務請求終端(F)、遠程服務中心(G)、短消息網關(H)組成；上述業務請求終端(F)和遠程服務中心(G)通過任意網絡連接，所述任意網絡是指互聯網、移動通信網或電話網，上述遠程服務中心(G)與短消息網關(H)之間、短消息網關(H)和證書數據庫或證書目錄服務器(E)、證書發行裝置(D)和證書數據庫或證書目錄服務器(E)之間通過TCP協議連接，證書發行裝置(D)和移動終端(C)之間通過近距離無線鏈路連接，或通過安全模塊安全介質交互信息，移動終端(C)和短消息網關(H)之間通過移動通信鏈路連接；所述移動終端(C)包括消息收發模塊(C1)通過移動通信網絡接收短信息網關(H)發送的信息，并向短信息網關(H)發送信息；顯示鍵盤模塊(C2)接收用戶通過鍵盤的輸入信息并向用戶顯示信息；安全功能模塊(C3)對消息收發模塊(C1)輸入的信息進行加密、解密、數字簽名和簽名驗證，并將加密、數字簽名后的信息通過消息收發模塊(C1)發送給短信息網關(H)，再通過短信息網關(H)發送給遠程服務中心(G)。
2.—種權利要求1所述認證系統數字簽名的方法，其特征在于將客戶數字證書存入數 字證書數據庫，并以數字證書索引號索引，將用戶私鑰和數字證書索引號保存到用戶移動 終端的安全功能模塊中。
3.根據權利要求2所述認證系統數字簽名的方法，其特征在于所述移動終端的安全功 能模塊，安全功能模塊通過利用保存的用戶私鑰對業務信息簽名后，將數字簽名連同數字 證書索引號以短消息發送到短消息網關，短消息網關基于數字證書索引號檢索數字證書數 據庫，獲取相應的數字證書，將數字簽名及相應的數字證書發送到遠程服務中心。
4.根據權利要求2所述認證系統數字簽名的方法，其特征還在于所述移動終端的安全 功能模塊收到短消息后，以先級中斷移動終端當前操作，自動顯示業務信息并等待用戶確 認。
5.根據權利要求3所述認證系統數字簽名的方法，其特征還在于所述短消息網關通過 點到點短消息將業務請求信息直接發送到移動終端的安全功能模塊中。
全文摘要
本發明公開了一種基于短消息的數字簽名認證系統及數字簽名的方法。該系統業務請求終端和遠程服務中心通過任意網絡連接，遠程服務中心與短消息網關之間、證書數據庫、證書發行裝置之間通過TCP協議連接，證書發行裝置和移動終端之間通過近距離無線鏈路連接，移動終端和短消息網關之間通過移動通信鏈路連接。本發明將客戶數字證書存入數字證書數據庫，并以數字證書索引號索引。用戶移動終端簽名后，將數字簽名連同數字證書索引號以短消息發送到短消息網關，短消息網關基于數字證書索引號檢索數字證書數據庫，獲取相應的數字證書用于驗證數字簽名。本發明具有有效降低傳輸短消息數據量、操作簡便的特點，適用電子交易和銀行金融業務使用。
文檔編號H04W12/06GK101860824SQ201010164979
公開日2010年10月13日 申請日期2010年5月6日 優先權日2010年5月6日
發明者呂萌, 朱旭東, 李暉, 肖成生, 肖杰 申請人:上海海基業高科技有限公司