專利名稱:基于數字證書的移動終端身份認證系統的制作方法
技術領域:
本實用新型涉及移動互聯網的身份認證技術,更具體涉及一種通過數字證書對移動終端進行身份認證的系統。
背景技術:
隨著無線通訊技術的發展,以手機為代表的移動終端被廣泛應用于電子商務領域。在使用移動終端傳輸交易信息的過程中,必須保證信息傳輸的保密性、數據交換的完整性、發送信息的不可抵賴性和交易者身份的確定性。現有的無線數據傳輸協議缺乏對移動終端的身份認證機制,信息接收方只能通過手機號碼等標識識別移動終端,但無法確定移動終端持有人身份的真實性。這一問題的存在導致基于移動終端的交易活動面臨信息被篡改、交易主體身份被冒用等多種潛在風險, 極大地阻礙移動電子商務正常發展。盡管現行的數字證書認證服務體系支持受理個人證書申請,但其適用范圍局限在普通PC機,尚未提出一種專門用于包括手機在內各種移動終端的認證機制。
實用新型內容本實用新型目的在于提供一種通過數字證書對移動終端進行身份認證的系統,以解決移動互聯網環境下缺乏針對移動終端認證機制的技術問題。本實用新型技術解決方案一種基于數字證書的移動終端身份認證系統,其特殊之處在于它包括數字證書認證中心(CA認證中心),移動終端以及移動證書依賴方,所述數字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務單元,所述證書申請單元包括用于受理終端數字證書申請、提供終端身份標識信息和移動終端證書控件下載的申請受理單元和用于接收移動終端上傳的終端數字證書公鑰文件并使用CA根證書私鑰文件驗證后存入對外信息庫的證書簽發單元;CA根證書私鑰文件存儲在CA證書管理單元(通常保存于磁盤特定區域或移動存儲設備中)所述CA證書管理單元包括用于存放終端數字證書公鑰文件、終端身份標識信息、并向移動證書依賴方提供下載的對外信息庫;所述認證服務單元包括用于接收待認證簽名信息、發送已認證簽名信息的信息收發單元和根據待認證簽名信息中的終端身份標識信息從CA證書管理單元提取相應的終端數字證書公鑰文件,并對待認證簽名信息進行簽名驗證,在驗證成功信息上添加CA根證書私鑰文件簽名生成已認證簽名信息并將已認證簽名信息通過信息收發單元發至對應接收方的信息認證單元;所述移動終端包括用于根據移動終端證書控件生成終端數字證書的密鑰對,并使用CA根證書公鑰文件對終端數字證書公鑰文件加密,上傳至CA認證中心的證書生成單元、終端證書管理單元、數字簽名單元以及終端信息認證單元終端證書管理單元包括用于存放終端數字證書私鑰文件、CA根證書公鑰文件的終端數字證書庫;所述數字簽名單元包括作為移動終端使用終端數字證書私鑰文件對待發送原始信息和終端身份標識信息進行簽名并發送至認證服務單元的簽名單元和作為移動終端使用終端數字證書私鑰文件對待發送原始信息和終端身份標識信息進行加密并發送至認證服務單元的加密單元;所述移動證書依賴方包括依賴方證書管理單元和依賴方信息認證單元,所述依賴方證書管理單元包括用于存放依賴方身份識別數字證書私鑰文件和CA根證書公鑰文件的依賴方數字證書庫;所述依賴方信息認證單元包括接收CA認證中心發送的已認證簽名信息,將待驗證的簽名信息發送至CA認證中心的認證服務單元的依賴方信息收發單元和接收依賴方信·息收發單元發送的已認證簽名信息,使用CA根證書公鑰文件對已認證簽名信息簽名驗證,簽名驗證成功后將信息原始內容和終端身份標識信息呈現給依賴方的認證單元。上述CA證書管理單元還包括向移動證書依賴方提供終端數字證書吊銷列表查詢的證書吊銷單元。上述終端證書管理單元還包括用于向CA認證中心的對外信息庫查詢終端數字證書狀態并完成終端數字證書庫中的終端數字證書公鑰文件更新的終端證書更新單元。上述依賴方證書管理單元還包括用于向CA認證中心對外信息庫查詢并完成依賴方數字證書庫中CA根證書公鑰文件更新的依賴方證書更新單元。上述移動終端還包括終端信息認證單元,所述終端信息認證單元用于在移動終端收到由CA認證服務單元發送的已認證簽名信息后,使用CA根證書公鑰文件對已經通過CA中心認證的已認證簽名信息進行驗證,簽名驗證成功后將信息內容和發送方的身份標識信息呈現給移動終端所述的移動終端信息認證單元,本意是用來解決當移動終端充當證書依賴方時的信息認證問題。其工作機制與“依賴方信息認證單元”完全一致,但為了凸顯本系統中的移動終端既可以作為信息發送方,向證書依賴方發送認證信息、也可以作為證書依賴方接收其他移動終端發送的認證信息,即能夠認證和被認證。此處可理解為,對證書依賴方的一種特例的描述,即移動終端作為依賴方。一種基于短信數字證書的移動終端身份認證方法,供作為證書依賴方的移動終端的認證信息發送方身份,其特殊之處在于該方法包括以下步驟只有證書訂戶(證書申請和持有人)才擁有身份識別標識和證書私鑰,證書依賴方無身份標識和證書私鑰、只能下載證書訂戶上傳到CA對外信息庫的該訂戶證書公鑰來驗證簽名。此處詳細解釋移動終端作為證書訂戶是如何產生身份標識信息和證書公鑰、私鑰文件的,如果刪除的話,將無法說明移動終端在發送信息時,用什么工具在原始信息中添加身份標識信息和數字簽名。涉及到一種特殊情況移動終端也可能成為證書依賴方,而此時移動終端只需要利用CA根證書公鑰驗證CA認證服務單元發來的已認證簽名信息中的CA數字簽名,驗證成功后將信息內容和發送方身份標識信息(信息發送方擁有身份標識信息、持有數字證書私鑰文件)展示給作為依賴方的移動終端。傳統方案中,證書訂戶數量有限,證書依賴方可以下載全部證書公鑰文件用于簽名驗證,但移動終端作為證書訂戶時比較特殊證書依賴方全部下載和管理數以萬計的移動終端證書操作不便,因而提出本專利的解決方案。一種基于短信數字證書的移動終端身份認證方法,用于移動終端在收到已認證信息時驗證信息發送方的身 份,包括以下步驟ICA中心認證簽名信息1.11CA認證中心的認證服務單元接收到以移動終端為接收方的待認證信息;I. 2CA認證中心的認證服務單元根據待認證信息的發送方身份標識信息從對外信息庫中提取相應的發送方數字證書的公鑰文件,使用發送方數字證書的公鑰文件對待認證簽名信息的數字簽名信息進行驗證;如果驗證通過,則執行步驟I. 3如果驗證沒通過,則不對信息作任何處理,直接發送給移動終端;I. 3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;I. 4CA認證中心的認證服務單元根據通訊協議對已認證簽名信息進行格式轉換后按照已認證簽名信息中所包括的目標接收方地址發至目標移動終端;2移動終端的終端信息認證單元接收由CA認證中心發來的信息,根據是否攜帶CA認證中心簽名判斷該信息為已認證簽名信息或未通過認證信息;3移動終端接收已認證信息3. I移動終端的終端信息認證單元接收由CA認證中心發來的已認證簽名信息,并從數字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;3. 2如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取發送方身份標識信息和信息內容,完成身份認證;3. 3如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內容,并向移動終端提示該信息的發送方身份未得到認證;4移動終端接收未通過認證信息4. I移動終端的終端信息認證單元接收由CA認證中心發來的未通過認證簽名信息,從未通過認證簽名信息中提取信息內容,并向移動終端提示該信息的發送方身份未得到認證。一種基于短信數字證書的移動終端身份認證方法,供證書依賴方認證發送信息的移動終端的身份,其特征在于該方法包括以下步驟I生成終端數字證書I. I移動終端向CA認證中心的證書申請單元提交終端數字證書申請;I. 2證書申請單元受理申請后,生成唯一終端身份標識信息,并存儲終端身份標識信息在CA對外信息庫中;I. 3移動終端證書生成單元從CA認證中心的證書申請單元下載終端身份標識信息和移動終端證書控件并安裝,所述移動終端證書控件包括CA根證書公鑰文件;證書依賴方從CA認證中心下載CA根證書公鑰文件并保存在依賴方證書管理單元的數字證書庫中;[0047]I. 4移動終端的證書生成單元根據移動終端證書控件生成終端數字證書的密鑰對,將終端數字證書的私鑰文件存入移動終端的數字證書庫中;I. 5移動終端的證書生成單元使用CA根證書公鑰文件對終端身份標識信息和終端數字證書的公鑰文件進行加密,將加密后的移動終端證書公鑰文件發送到CA認證中心的證書申請單元;CA認證中心的證書申請單元在收到終端數字證書的公鑰文件后,使用CA根證書私鑰文件解密,解密后將終端數字證書的公鑰文件存入CA認證中心的對外信息庫;2移動終端發送簽名信息2. I移動終端產生待發送原始信息(持有人通過界面輸入信息內容和接收方地址(如,編輯短信內容并輸入接收人手機號碼)并將終端身份標識信息和待發送原始信息發送至數字簽名單元,所述待發送原始信息包括信息內容和目標接收方地址;2. 2數字簽名單元從數字證書庫中提取終端數字證書的私鑰文件,對終端身份標 識信息和待發送原始信息進行數字簽名,生成待認證的簽名信息;所述待認證的簽名信息包括終端身份標識信息、待發送原始信息和終端數字證書的私鑰文件的數字簽名2. 3移動終端的數字簽名單元根據通訊協議將待認證簽名信息進行格式轉換后發至CA認證中心的認證服務單元;3CA認證中心驗證簽名信息3. I
CA認證中心的認證服務單元接收到由移動終端發送的待認證簽名信息;3. 2CA認證中心的認證服務單元根據待認證信息的終端身份標識信息從對外信息庫中提取相應的終端數字證書的公鑰文件,使用終端數字證書的公鑰文件對待認證簽名信息的數字簽名信息進行驗證;如果驗證通過,則執行步驟3. 3,如果驗證沒通過,則執行步驟23. 3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;3. 4CA認證中心的認證服務單元根據通訊協議對已認證簽名信息進行格式轉換后按照已認證簽名信息中所包括的目標接收方地址發至目標接收方;4證書依賴方接收認證信息4. I證書依賴方的信息認證單元接收由CA認證中心發來的已認證簽名信息,并從數字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取終端身份標識信息和信息內容,完成身份認證; 如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內容,并向證書依賴方提示該信息的發送方身份未得到認證。還包括證書更新步驟所述移動終端根據安裝的移動終端證書控件定期向CA認證中心的查詢CA根證書的版本信息,如果CA根證書發生更新,則CA認證中心將通知移動終端重新下載移動終端證書控件。還包括證書吊銷步驟如果CA認證中心確認終端數字證書符合吊銷條件,則將符合吊銷的終端數字證書添加至證書吊銷單元,并通知移動終端其數終端數字證書被吊銷。當CA有證據表明終端數字證書訂戶的證書被非法第三方冒用等情況時,可根據電子認證服務規則確認吊銷證書。上述終端身份標識信息是手機號碼、IMEI或MSI。本實用新型所具有的優點I、適用于包括智能手機、平板電腦在內的各種帶有無線通訊功能的移動終端設備。2、終端數字證書的依賴方不需要下載和保存數量眾多的移動終端證書公鑰文件,只需要將待驗證的數字簽名發送至CA認證中心進行驗證即可,便于普及。
圖I為本實用新型的系統的結構示意圖;具體實施方式
一種基于數字證書的移動終端身份認證系統,它包括數字證書認證中心(CA認證中心),移動終端以及移動證書依賴方,數字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務單元,證書申請單元包括用于受理終端數字證書申請、提供終端身份標識信息和移動終端證書控件下載的申請受理單元和用于接收移動終端上傳的終端數字證書公鑰文件并使用CA根證書私鑰文件驗證后存入對外信息庫的證書簽發單元;CA根證書私鑰文件存儲在CA證書管理單元(通常保存于磁盤特定區域或移動存儲設備中)CA證書管理單元包括用于存放終端數字證書公鑰文件、終端身份標識信息、并向移動證書依賴方提供下載的對外信息庫;認證服務單元包括用于接收待認證簽名信息、發送已認證簽名信息的信息收發單元和根據待認證簽名信息中的終端身份標識信息從CA證書管理單元提取相應的終端數字證書公鑰文件,并對待認證簽名信息進行簽名驗證,在驗證成功信息上添加CA根證書私鑰文件簽名生成已認證簽名信息并將已認證簽名信息通過信息收發單元發至對應接收方的信息認證單元;移動終端包括用于根據移動終端證書控件生成終端數字證書的密鑰對,并使用CA根證書公鑰文件對終端數字證書公鑰文件加密,上傳至CA認證中心的證書生成單元、終端證書管理單元、數字簽名單元以及終端信息認證單元終端證書管理單元包括用于存放終端數字證書私鑰文件、CA根證書公鑰文件的終端數字證書庫;數字簽名單元包括作為移動終端使用終端數字證書私鑰文件對待發送原始信息和終端身份標識信息進行簽名并發送至認證服務單元的簽名單元和作為移動終端使用終端數字證書私鑰文件對待發送原始信息和終端身份標識信息進行加密并發送至認證服務單元的加密單元;移動證書依賴方包括依賴方證書管理單元和依賴方信息認證單元,依賴方證書管理單元包括用于存放依賴方身份識別數字證書私鑰文件和CA根證書公鑰文件的依賴方數字證書庫;依賴方信息認證單元包括接收CA認證中心發送的已認證簽名信息,將待驗證的簽名信息發送至CA認證中心的認證服務單元的依賴方信息收發單元和接收依賴方信息收發單元發送的已認證簽名信息,使用CA根證書公鑰文件對已認證簽名信息簽名驗證,簽名驗證成功后將信息原始內容和終端身份標識信息呈現給依賴方的認證單元。CA證書管理單元還包括向移動證書依賴方提供終端數字證書吊銷列表查詢的證書吊銷單兀。終端證書管理單元還包括用于向CA認證中心的對外信息庫查詢終端數字證書狀態并完成終端數字證書庫中的終端數字證書公鑰文件更新的終端證書更新單元。依賴方證書管理單元還包括用于向CA認證中心對外信息庫查詢并完成依賴方數字證書庫中CA根證書公鑰文件更新的依賴方證書更新單元。 移動終端還包括終端信息認證單元,終端信息認證單元用于在移動終端收到由CA認證服務單元發送的已認證簽名信息后,使用CA根證書公鑰文件對已經通過CA中心認證的已認證簽名信息進行驗證,簽名驗證成功后將信息內容和發送方的身份標識信息呈現給移動終端移動終端信息認證單元,本意是用來解決當移動終端充當證書依賴方時的信息認證問題。其工作機制與“依賴方信息認證單元”完全一致,但為了凸顯本系統中的移動終端既可以作為信息發送方,向證書依賴方發送認證信息、也可以作為證書依賴方接收其他移動終端發送的認證信息,即能夠認證和被認證。此處可理解為,對證書依賴方的一種特例的描述,即移動終端作為依賴方。一種基于短信數字證書的移動終端身份認證方法,供作為證書依賴方的移動終端的認證信息發送方身份,該方法包括以下步驟只有證書訂戶(證書申請和持有人)才擁有身份識別標識和證書私鑰,證書依賴方無身份標識和證書私鑰、只能下載證書訂戶上傳到CA對外信息庫的該訂戶證書公鑰來驗證簽名。此處詳細解釋移動終端作為證書訂戶是如何產生身份標識信息和證書公鑰、私鑰文件的,如果刪除的話,將無法說明移動終端在發送信息時,用什么工具在原始信息中添加身份標識信息和數字簽名。涉及到一種特殊情況移動終端也可能成為證書依賴方,而此時移動終端只需要利用CA根證書公鑰驗證CA認證服務單元發來的已認證簽名信息中的CA數字簽名,驗證成功后將信息內容和發送方身份標識信息(信息發送方擁有身份標識信息、持有數字證書私鑰文件)展示給作為依賴方的移動終端。傳統方案中,證書訂戶數量有限,證書依賴方可以下載全部證書公鑰文件用于簽名驗證,但移動終端作為證書訂戶時比較特殊證書依賴方全部下載和管理數以萬計的移動終端證書操作不便,因而提出本專利的解決方案。一種基于短信數字證書的移動終端身份認證方法,用于移動終端在收到已認證信息時驗證信息發送方的身份,包括以下步驟ICA中心認證簽名信息I. I
CA認證中心的認證服務單元接收到以移動終端為接收方的待認證信息;I. 2CA認證中心的認證服務單元根據待認證信息的發送方身份標識信息從對外信息庫中提取相應的發送方數字證書的公鑰文件,使用發送方數字證書的公鑰文件對待認證簽名信息的數字簽名信息進行驗證;如果驗證通過,則執行步驟I. 3如果驗證沒通過,則不對信息作任何處理,直接發送給移動終端;I. 3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;I. 4CA認證中心的認證服務單元根據通訊協議對已認證簽名信息進行格式轉換后按照已認證簽名信息中所包括的目標接收方地址發至目標移動終端;2移動終端的終端信息認證單元接收由CA認證中心發來的信息,根據是否攜帶CA認證中心簽名判斷該信息為已認證簽名信息或未通過認證信息;3移動終端接收已認證信息3. I移動終端的終端信息認證單元接收由CA認證中心發來的已認證簽名信息,并從數字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;3. 2如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取發送方身份標識信息和信息內容,完成身份認證;3. 3如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內容,并向移動終端提示該信息的發送方身份未得到認證;4移動終端接收未通過認證信息4. I移動終端的終端信息認證單元接收由CA認證中心發來的未通過認證簽名信息,從未通過認證簽名信息中提取信息內容,并向移動終端提示該信息的發送方身份未得到認證。一種基于短信數字證書的移動終端身份認證方法,供證書依賴方認證發送信息的移動終端的身份,該方法包括以下步驟I生成終端數字證書I. I移動終端向CA認證中心的證書申請單元提交終端數字證書申請;I. 2證書申請單元受理申請后,生成唯一終端身份標識信息,并存儲終端身份標識信息在CA對外信息庫中;1.3移動終端證書生成單元從CA認證中心的證書申請單元下載終端身份標識信息和移動終端證書控件并安裝,所述移動終端證書控件包括CA根證書公鑰文件;證書依賴方從CA認證中心下載CA根證書公鑰文件并保存在依賴方證書管理單元的數字證書庫中;I. 4移動終端的證書生成單元根據移動終端證書控件生成終端數字證書的密鑰對,將終端數字證書的私鑰文件存入移動終端的數字證書庫中;I. 5移動終端的證書生成單元使用CA根證書公鑰文件對終端身份標識信息和終端數字證書的公鑰文件進行加密,將加密后的移動終端證書公鑰文件發送到CA認證中心的證書申請單元;CA認證中心的證書申請單元在收到終端數字證書的公鑰文件后,使用CA根證書私鑰文件解密,解密后將終端數字證書的公鑰文件存入CA認證中心的對外信息庫;2移動終端發送簽名信息2. I移動終端產生待發送原始信息(持有人通過界面輸入信息內容和接收方地址(如,編輯短信內容并輸入接收人手機號碼)并將終端身份標識信息和待發送原始信息發送至數字簽名單元,所述待發送原始信息包括信息內容和目標接收方地址;2. 2數字簽名單元從數字證書庫中提取終端數字證書的私鑰文件,對終端身份標識信息和待發送原始信息進行數字簽名,生成待認證的簽名信息;所述待認證的簽名信息包括終端身份標識信息、待發送原始信息和終端數字證書的私鑰文件的數字簽名2. 3移動終端的數字簽名單元根據通訊協議將待認證簽名信息進行格式轉換后發至CA認證中心的認證服務單元;3CA認證中心驗證簽名信息3. IlCA認證中心的認證服務單元接收到由移動終端發送的待認證簽名信息;3. 2CA認證中心的認證服務單元根據待認證信息的終端身份標識信息從對外信息庫中提取相應的終端數字證書的公鑰文件,使用終端數字證書的公鑰文件對待認證簽名 信息的數字簽名信息進行驗證;如果驗證通過,則執行步驟3. 3,如果驗證沒通過,則執行步驟23. 3CA認證中心使用CA根證書私鑰文件對通過驗證的待認證簽名信息進行簽名,生成已認證簽名信息;3. 4CA認證中心的認證服務單元根據通訊協議對已認證簽名信息進行格式轉換后按照已認證簽名信息中所包括的目標接收方地址發至目標接收方;4證書依賴方接收認證信息4. I證書依賴方的信息認證單元接收由CA認證中心發來的已認證簽名信息,并從數字證書庫中提取CA根證書公鑰文件,對已認證簽名信息的CA根證書私鑰文件簽名進行驗證;如果已認證簽名信息的簽名驗證成功,則從已認證簽名信息中提取終端身份標識信息和信息內容,完成身份認證;如果已認證簽名信息的簽名驗證失敗,則只從已認證簽名信息中提取信息內容,并向證書依賴方提示該信息的發送方身份未得到認證。還包括證書更新步驟所述移動終端根據安裝的移動終端證書控件定期向CA認證中心的查詢CA根證書的版本信息,如果CA根證書發生更新,則CA認證中心將通知移動終端重新下載移動終端證書控件。還包括證書吊銷步驟如果CA認證中心確認終端數字證書符合吊銷條件,則將符合吊銷的終端數字證書添加至證書吊銷單元,并通知移動終端其數終端數字證書被吊銷。當CA有證據表明終端數字證書訂戶的證書被非法第三方冒用等情況時,可根據電子認證服務規則確認吊銷證書。上述終端身份標識信息是手機號碼、IMEI或MSI。實施例在實際操作中,由注冊中心(RA)完成訂戶身份材料確認工作,并由RA參與完成移動終端的證書申請,具體步驟如下I生成移動終端證書I. I由移動終端人向注冊中心RA提交終端數字證書申請;[0138]I. 2注冊中心RA受理申請后,以手機號碼作為移動終端的唯一終端身份標識信息;I. 3手機用戶通過下載安裝或預裝激活方式取得帶有手機號碼、CA根證書公鑰文件和RA證書公鑰的證書控件;I. 4證書生成單元根據證書生成程序產生終端數字證書的密鑰對,并將終端數字證書的私鑰文件存入終端數字證書庫中,證書生成單元使用預先植入的注冊中心RA證書公鑰對唯一終端身份標識信息和終端數字證書公鑰進行加密,將加密后的移動終端證書公鑰文件發送到注冊中心RA ;終端身份標識信息是手機號碼、頂EI或IMSI等能夠唯一標識移動終端的信息;I. 5注冊中心RA收到移動終端上傳的加密后的移動終端證書公鑰文件,使用RA證書私鑰文件解密,使用RA證書私鑰文件對解密后的移動終端上傳移動終端證書公鑰文件進行簽名,將簽名后的移動終端證書公鑰文件轉發至CA認證中心;·[0142]I. 6CA認證中心的證書申請單元在收到RA轉發的移動終端證書公鑰文件后,使用RA證書公鑰文件解密,解密成功后將終端證書公鑰文件存入對外信息庫。在實際實施中,可由運營商現有無線通訊基礎網絡完成移動終端發送待認證簽名信息的轉發與請求認證。2移動終端發送簽名信息2. I移動終端將手機號碼和待發送原始信息發送至證書控件的簽名加密單元;2. 2從數字證書庫中提取相應的終端證書私鑰文件,對手機號碼和原始信息進行數字簽名;信息收發單元向數字簽名單元請求對待發送信息進行數字簽名,簽名成功后得到包含簽名、信息內容、終端標識三項內容的待認證信息,將待認證信息發送至CA中心的認證服務單元。2. 3數字簽名單元將數字簽名附于待發送原始信息之后,生成一條待驗證的簽名信息;待驗證的簽名信息包括信息發送方手機號碼、待驗證的數字簽名和信息內容;2. 4移動終端按預定通訊協議將待發送的簽名信息首先發送至運營商的業務系統;3運營商接收移動終端發送信息,轉發至CA認證中心請求簽名驗證3. I運營商從待驗證的簽名信息中提取信息發送方手機號碼和待驗證的數字簽名;3. 2運營商從數字證書庫中提取相對應的終端身份識別證書私鑰文件,對發送方手機號碼和待驗證的數字簽名進行簽名,以表明待驗證的數字簽名所屬的信任鏈;3. 3添加運營商數字簽名的待驗證數字簽名發送至CA認證中心請求驗證;3. 4]CA認證中心收到運營商發送的待驗證簽名后,從對外信息庫中提取運營商的身份識別證書公鑰文件驗證運營商身份,如果驗證成功則提取發送方手機號碼和待驗證的數字簽名,如果驗證失敗則拒絕提供簽名驗證服務;3. 5CA認證中心根據發送方手機號碼從對外信息庫中提取相對應的終端數字證書公鑰文件,對待驗證的數字簽名進行驗證;如果驗證成功則將發送方數字簽名替換為CA根證書簽名,生成已認證簽名信息并發還運營商系統,運營商將已認證信息繼續傳輸至接收方(也就是證書依賴方),繼續進行步驟4如果驗證失敗則將通知運營商驗證失敗,運營商只將原始信息傳輸至接收方;4移動終端接收認證信息4. I作為依賴方的移動終端接收到由運營商發來的已認證信息;4. 2信息認證單元從已認證信息中提取CA認證中心的數字簽名;4. 3從數字證書庫中提取CA認證中心的CA根證書驗證數字簽名;4. 4顯示驗證結果;移動終端證書控件的各項功能可分別采用軟件、硬件兩種方式實現I、基于硬件的實施方案。·通過由大容量存儲單元和高速CPU為主要組成部分的手機智能SM卡實現證書控件全部功能,其特征如下I)將CA認證中心的CA根證書文件寫入SM卡存儲空間;2)通過SM卡的高速CPU完成終端數字證書密鑰對生成和公鑰文件上傳;3)通過SIM卡的高速CPU完成移動終端發送信息加密簽名和接收信息解密驗簽;2、基于軟件的實施方案。通過由證書生成單元、證書管理單元、數字簽名單元、信息認證單元組成的應用軟件完成證書控件全部功能,其特征如下I)將CA認證中心的根證書文件寫入數字證書庫,與證書控件應用程序一同以預裝激活或下載安裝方式在移動終端運行;2)通過證書生成單元完成終端數字證書密鑰對生成和證書公鑰上傳通過數字簽名單元完成發送信息的添加簽名;3)通過信息認證單元完成接收信息的簽名認證。
權利要求1.一種基于數字證書的移動終端身份認證系統,其特征在于它包括數字證書認證中心,移動終端以及移動證書依賴方, 所述數字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務單元, 所述證書申請單元包括用于受理終端數字證書申請、提供終端身份標識信息和移動終端證書控件下載的申請受理單元和用于接收移動終端上傳的終端數字證書公鑰文件并使用CA根證書私鑰文件驗證后存入對外信息庫的證書簽發單元; 所述CA證書管理單元包括用于存放終端數字證書公鑰文件、CA根證書私鑰文件、終端身份標識信息、并向移動證書依賴方提供下載的對外信息庫; 所述認證服務單元包括用于接收待認證簽名信息、發送已認證簽名信息的信息收發單元和根據待認證簽名信息中的終端身份標識信息從CA證書管理單元提取相應的終端數字證書公鑰文件,并對待認證簽名信息進行簽名驗證,在驗證成功信息上添加CA根證書私鑰文件簽名生成已認證簽名信息并將已認證簽名信息通過信息收發單元發至對應接收方的信息認證單元; 所述移動終端包括用于根據移動終端證書控件生成終端數字證書的密鑰對,并使用CA根證書公鑰文件對終端數字證書公鑰文件加密,上傳至CA認證中心的證書生成單元、終端證書管理單元、數字簽名單元 終端證書管理單元包括用于存放終端數字證書私鑰文件、CA根證書公鑰文件的終端數字證書庫; 所述數字簽名單元包括作為移動終端使用終端數字證書私鑰文件對待發送原始信息和終端身份標識信息進行簽名并發送至認證服務單元的簽名單元和作為移動終端使用終端數字證書私鑰文件對待發送原始信息和終端身份標識信息進行加密并發送至認證服務單元的加密單元; 所述移動證書依賴方包括依賴方證書管理單元和依賴方信息認證單元, 所述依賴方證書管理單元包括用于存放依賴方身份識別數字證書私鑰文件和CA根證書公鑰文件的依賴方數字證書庫; 所述依賴方信息認證單元包括接收CA認證中心發送的已認證簽名信息,將待驗證的簽名信息發送至CA認證中心的認證服務單元的依賴方信息收發單元和接收依賴方信息收發單元發送的已認證簽名信息,使用CA根證書公鑰文件對已認證簽名信息簽名驗證,簽名驗證成功后將信息原始內容和終端身份標識信息呈現給依賴方的認證單元。
2.根據權利要求I所述的基于數字證書的移動終端身份認證系統,其特征在于所述CA證書管理單元還包括向移動證書依賴方提供終端數字證書吊銷列表查詢的證書吊銷單J Li ο
3.根據權利要求I或2所述的基于數字證書的移動終端身份認證系統,其特征在于所述終端證書管理單元還包括用于向CA認證中心的對外信息庫查詢終端數字證書狀態并完成終端數字證書庫中的終端數字證書公鑰文件更新的終端證書更新單元。
4.根據權利要求3所述的基于數字證書的移動終端身份認證系統,其特征在于所述依賴方證書管理單元還包括用于向CA認證中心對外信息庫查詢并完成依賴方數字證書庫中CA根證書公鑰文件更新的依賴方證書更新單元。
專利摘要本實用新型涉及一種基于數字證書的移動終端身份認證系統,包括數字證書認證中心,移動終端以及移動證書依賴方,數字證書認證中心包括證書申請單元、CA證書管理單元以及認證服務單元,證書申請單元包括申請受理單元和證書簽發單元;CA證書管理單元包括對外信息庫;認證服務單元包括信息收發單元和信息認證單元;移動終端包括證書生成單元、終端證書管理單元和數字簽名單元終端證書管理單元包括終端數字證書庫。本實用新型解決了移動互聯網環境下缺乏針對移動終端認證機制的技術問題,終端數字證書的依賴方不需要下載和保存數量眾多的移動終端證書公鑰文件,只需要將待驗證的數字簽名發送至CA認證中心進行驗證即可,便于普及。
文檔編號H04W88/02GK202696901SQ201120206248
公開日2013年1月23日 申請日期2011年6月17日 優先權日2011年6月17日
發明者劉明晶, 張璐 申請人:深圳一卡通新技術有限公司