一种基于无线终端的数字证书申请方法、系统及无线终端技术方案

本发明专利技术实施例提供一种基于无线终端的数字证书申请方法、系统及无线终端。所述方法包括：产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中。本发明专利技术实施例的技术方案采用将私钥和数字证书分开存储的方法，将私钥存储于ＳＩＭ卡而将数字证书存储于ＦＬＡＳＨ。由于数字证书中能证明用户身份的核心部分是私钥，这种存储方式能够提高私钥的安全性。

【技术实现步骤摘要】

本专利技术关于通信安全领域，特别涉及一种基于无线终端的数字证书申请方法、系统及无线终端。
技术介绍
计算机安全涉及到非常多的领域，但是最基本的安全问题就是访问权限的控制方式。在身份认证方面，目前主流的方式可以分为三种一是简单以用户名和密码结合来识别身份，这种方式比较原始，其特点是简单容易实现，但是其安全性比较低，此种方式构建的系统在网络中容易被黑客攻破，在涉及到安全级稍高的系统中基本不采用。二是利用生物识别技术来识别用户身份，此种方式实现成本比较高，对系统的硬件性能计算能力等都要求比较高，而且有识别失误的风险。三是以数字证书为身份认证的基础，再辅助以公钥基础设施(Public Key Infrastructure,简称PKI)禾口认证机构(Certification Authority,简称CA)进行身份识别的系统，这种方式需要有一个可信任的第三方CA。采用数字证书进行认证有以下的方式 把数字证书和私钥都存放到通用串行总线钥匙(USB Key)中，对私钥的访问采用专用接口，私钥采用USB Key个人身份号码(personal identification number,简称Pin码)进行保护，用户私钥不能出USB Key。但是USB Key的方式仅适用于固定网络，在固定网络不存在的时候会由于网络问题不方便使用。
技术实现思路
为了解决现有技术的缺陷，本专利技术实施例的目的是提供一种基于无线终端的数字证书申请方法、系统及无线终端，使得数字证书也可通过无线网络进行方便的申请，以便后续的安全认证，并能有效提高认证的安全级别。 为实现以上专利技术目的，本专利技术一实施例提供一种基于无线终端的认证方法，所述方法包括产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中。 为实现以上专利技术目的，本专利技术又一实施例提供一种无线终端，所述无线终端包括密钥生成单元，用于产生密钥对；用户识别模块，与所述密钥生成单元相连，用于存储所述密钥对的私钥；数字证书获取单元，与所述密钥生成单元和所述用户识别模块相连，用于将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器，并接收认证服务器下发的数字证书；非易失性存储单元，与所述数字证书获取单元相连，用于存储所述数字证书。 为实现以上专利技术目的，本专利技术又一实施例提供一种基于无线终端的数字证书申请系统，所述系统包括无线终端和认证服务器，所述无线终端，用于产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；并接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中；所述认证服务器，用于接收所述无线终端发送的所述申请证书信息，根据所述申请证书信息生成所述无线终端的数字证书，并将所述数字证书下发给所述无线终端。 本专利技术实施例的技术方案采用将私钥和数字证书分开存储的方法，将私钥存储于无线终端的用户识别模块中而将数字证书存储于FLASH。由于数字证书中能证明用户身份的核心部分是私钥，这种存储方式能够提高私钥的安全性，比把数字证书和私钥都存放在Flash中安全性更好。同时，将数字证书存放于FLASH而不是无线终端的用户识别模块中，节省了用户识别模块的存储空间，提高用户识别模块的空间效率和访问数字证书的时间效率。附图说明 图1为本专利技术实施例的系统示意图； 图2为本专利技术实施例的一种系统组网示意图； 图3为本专利技术实施例的一种无线终端的示意图； 图4为本专利技术实施例的另一种无线终端的示意图； 图5为本专利技术实施例无线终端的存储结构图； 图6为本专利技术实施例SIM卡的文件结构示意图； 图7为本专利技术实施例基于无线终端的认证方法的流程图； 图8为本专利技术实施例无线终端数字证书申请的流程图； 图9为本专利技术实施例无线终端进行数字签名的流程图； 图10为本专利技术实施例无线终端进行签名验证的流程图。具体实施例方式以下结合附图对本专利技术的具体实施方式进行详细说明。如图l所示，该系统包括无线终端10和认证服务器20。所述无线终端10，用于产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；并接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中。所述认证服务器20，用于接收所述无线终端发送的所述申请证书信息，根据所述申请证书信息生成所述无线终端的数字证书，并将所述数字证书下发给所述无线终端。 该系统的无线终端IO在申请数字证书时，采用将私钥和数字证书分开存储的方法，将私钥存储于SIM卡而将数字证书存储于非易失性存储器(如FLASH)。由于数字证书中能证明用户身份的核心部分是私钥，这种存储方式能够提高私钥的安全性。 如图2所示，本实施例采用客户端和服务器的组网模式，客户端为无线终端，服务器为数字证书认证服务器，客户端向服务器发送数字证书请求以获取数字证书。 在该实际的系统示意图中，无线接入终端为带SIM卡的USB调制解调器(USB-Modem)，私钥的硬件载体为SIM卡或UM卡，采用Pin码对私钥进行访问控制。数字证书通过无线OTA (Over The Air，空口 )下发给USB-Modem并保存到USB-Modem的Flash中。认证服务器采用通用的PC领域方案。该认证服务器又可细分为注册机构(Registration Authority,简称RA)，主要完成数字证书申请时的用户身份验证流程；认证机构(Certification Authority,简称CA)，如果RA验证通过则由CA生成数字证书；发布平台，用于发布该数字证书；轻量目录访问协议服务器(Lightweight Directory AccessProtocal，简称LDAP)，存储所注册的无线终端的数字证书，并提供数字证书的查询服务。 此外，对应于具体的业务流程，该系统还包括应用服务器(如银行的转帐服务器)以及数据库。为了完成具体的业务流程，该无线终端还连接有计算机，由计算机来完成具体的业务流程，无线终端则采用数字证书为计算机的数据传输提供安全保障。 图3为本专利技术实施例的一种无线终端的示意图。如图所示，无线终端10包括密钥生成单元101，用于产生密钥对；用户识别模块102，与所述密钥生成单元相连，用于存储所述密钥对的私钥；数字证书获取单元103，与所述密钥生成单元和所述用户识别模块相连，用于将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器，并接收认证服务器下发的数字证书；非易失性存储单元104，与所述数字证书获取单元相连，用于存储所述数字证书。 进一步的，该无线终端IO还可包括数字签名单元105，用于采用密码访问所述用户识别模块中的私钥，并采用所述私钥对所述无线终端传输的数据进行数字签名；数字签名验证单元106，用于接收数据发送方发送的签名数据，从所述认证服务器获取所述数据本文档来自技高网...

【技术保护点】
一种基于无线终端的数字证书申请方法，其特征在于，所述方法包括：产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中。

【技术特征摘要】
一种基于无线终端的数字证书申请方法，其特征在于，所述方法包括产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中。2. 根据权利要求1所述的方法，其特征在于，所述方法还包括 对所述申请证书信息进行哈希加密得到摘要信息； 用所述私钥对所述摘要信息进行加密得到密文； 将所述密文和所述公钥发送给所述认证服务器。3. 根据权利要求1所述的方法，其特征在于，将私钥存储于所述无线终端的用户识别 模块中，包括在所述用户识别模块的基础文件中增加密钥文件； 将所述私钥存储于所述密钥文件中。4. 根据权利要求2所述的方法，其特征在于，所述认证服务器包括注册机构和认证机构，所述密文由所述注册机构经所述公钥解密后，与由所述注册机构将所述申请证书信息 经哈希加密得到摘要信息进行比较；若解密后的密文与哈希加密后得到摘要信息相同，则由所述注册机构通知所述认证机 构，由所述认证机构将所述数字证书发送给所述无线终端。5. —种无线终端，其特征在于，所述无线终端包括 密钥生成单元，用于产生密钥对；用户识别模块，与所述密钥生成单元相连，用于存储所述密钥对的私钥； 数字证书获取单元，与所述密钥生成单元和所述用户识别模块相连，用于将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器，并接收认...

【专利技术属性】
技术研发人员：张万春，
申请(专利权)人：华为终端有限公司，
类型：发明
国别省市：94[中国|深圳]