一种基于软件数字证书的移动终端唯一性认证方法技术

本发明专利技术公开了一种基于软件数字证书的移动终端唯一性认证方法，属于计算机和信息安全技术领域，具体如下：(1)移动终端安装安全客户端，生成与设备信息关联的证书请求向服务端注册。服务端给移动终端发放数字证书，实现数字证书与设备的关联。(2)使用时，服务端向移动终端发送随机信息，安全客户端收到信息，使用本机的数字证书私钥对随机信息签名，将签名数据发送到服务端。应用服务器使用数字证书公钥验证签名，确认通讯对端身份。本发明专利技术能够很好对移动终端进行验证，在不增加硬件认证设备基础上增强了认证的强度。

【技术实现步骤摘要】

本专利技术属于计算机和信息安全
，具体涉及移动互联网中对移动终端的认证的方法。
技术介绍
移动互联网发展迅速，安全问题面临挑战，如何对移动终端进行有效认证是关注的焦点，当前有几种认证方法:(I)使用短信、验证码方式。这种方式虽然简单易行，但安全性弱，发送的短信、验证码等容易被窃取，更有SM的复制和假冒技术，使得信息和通讯无秘密可言。(2)使用特殊硬件设备，如带运算功能的SD卡，SM卡等，这种方式安全性高，但用户成本增加，并且对移动终端的兼容性有所限制。
技术实现思路
本专利技术为了解决移动无线应用中对移动终端设备的唯一性认证的方便性问题，而提供了，该方法能够在不向移动终端增加硬件设备的情况下，使用软件方法来使应用服务器认证移动终端。为了达到上述目的，本专利技术采用如下技术方案:，所述认证方法包括移动终端注册部分和移动终端认证部分；所述移动终端注册包括如下步骤:(11)在移动终端中生成公私密钥对，并以移动终端设备信息(如无线号码，设备序列号)作为请求项，生成证书请求，然后将证书请求发送给应用服务器进行注册；(12)应用服务器收到证书请求进行验证，验证通过后，使用应用服务器的私钥签发移动终端软件数字证书，并发送给移动终端；(13)移动终端收到软件数字证书，将软件数字证书验证后进行保存，完成移动终端设备的注册；所述移动终端认证包括如下步骤:(21)移动终端运行，对环境验证通过后，向应用服务发送连接请求；(22)应用服务器向移动终端发送随机信息；(23)移动终端使用私钥对随机信息签名，并发送给应用服务器；(24)应用服务器验证签名信息和证书信息，验证通过后获取移动终端设备信息。在本专利技术的移动终端注册方案的最优实施例中，所述步骤(11)中生成的公私钥包括但不限于RSA密钥，ECC密钥。进一步的，所述步骤(11)中设备信息包括但不限于无线接入号码，设备序列号，使用者身份信息。进一步的,所述步骤(11)中证书请求格式包括但不限于pkcslO格式的证书请求。进一步的，所述步骤(12)中证书请求验证包括但不限于以下验证手段:验证请求中的公钥与请求中签名的私钥是否匹配；验证请求中的请求项内容是否被篡改；验证请求内容中的设备信息是否与信息发送设备匹配，使用者身份是否正确。进一步的，所述步骤(12)中软件数字证书包括但不限于符合X509格式的证书。进一步的，所述步骤(13)中数字证书验证包括但不限于以下验证手段:验证证书中的公钥是否与本地的私钥匹配；验证证书主题信息是否与本移动终端设备信息匹配；验证证书的颁发者是否是信任的应用服务器。在本专利技术的移动终端认证方案的最优实施例中，所述步骤(21)中环境验证包括但不限于以下验证手段:用户需输入认证信息才能启动客户端；客户端证书中的公钥是否与私钥匹配；客户端验证证书主题信息是否与本移动终端设备信息匹配；客户端验证证书的颁发者是否是信任的应用服务器。进一步的，所述步骤(22)中随机信息包括但不限于数字，字符串，图片内容信息，时间信息。进一步的，所述步骤(24)中签名信息和证书信息验证包括但不限于以下验证手段:使用移动终端证书公钥验证签名是否正确；验证移动终端证书是否本应用服务签发，是否已经被废除；验证证书主题内容中的设备信息是否与信息发送设备匹配，使用者身份是否正确。根据上述技术方案得到的本专利技术能够很好对移动终端进行验证，在移动终端无需额外硬件设备的情况下，采用数字证书体系认证强度高，不怕网络数据被窃取，而且在注册时数字证书内容与移动终端设备信息关联并加入安全客户端的保护设计，使得安全客户端以及数字证书被拷贝到其他的移动设备中无法使用，保证了安全性。以下结合附图和具体实施方式来进一步说明本专利技术。附图说明图1为本专利技术实施时移动终端的示意图。图2为移动终端向服务端注册示意过程。图3为服务器对移动终端的认证示意过程。具体实施例方式为了使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本专利技术。本专利技术提供的基于软件数字证书的移动终端唯一性认证方法，其主要分为移动终端注册部分和移动终端认证部分。其中移动终端注册包括如下步骤:(11)在移动终端中生成公私密钥对，并以移动终端设备信息作为请求项，生成证书请求，然后将证书请求发送给应用服务器进行注册。参见图1，该步骤的实施可以现在移动终端中安装定制安全客户端，该安全客户端生成公私密钥对。其中公私钥为RSA密钥，ECC密钥，但并不限于此；设备信息包括但不限于无线接入号码，设备序列号，使用者身份信息；证书请求格式包括但不限于PkcslO格式的证书请求。(12)应用服务器收到证书请求进行验证，验证通过后，使用应用服务器的私钥签发移动终端软件数字证书，并发送给移动终端。该步骤中证书请求验证包括但不限于以下验证手段:a、验证请求中的公钥与请求中签名的私钥是否匹配；b、验证请求中的请求项内容是否被篡改；C、验证请求内容中的设备信息是否与信息发送设备匹配，使用者身份是否正确。同时该步骤中签发的软件数字证书为X509格式的证书，但并不限于此。(13)移动终端收到软件数字证书，将软件数字证书验证后进行保存，完成移动终端设备的注册；该步骤中数字证书验证包括但不限于以下验证手段:a、验证证书中的公钥是否与本地的私钥匹配；b、验证证书主题信息是否与本移动终端设备信息匹配；C、验证证书的颁发者是否是信任的应用服务器。本专利技术中的移动终端认证包括如下步骤:(21)移动终端运行，对环境验证通过后，向应用服务发送连接请求。该步骤中环境验证包括但不限于以下验证手段:用户需输入认证信息才能启动客户端；客户端证书中的公钥是否与私钥匹配；客户端验证证书主题信息是否与本移动终端设备信息匹配；客户端验证证书的颁发者是否是信任的应用服务器。(22)应用服务器向移动终端发送随机信息。该步骤中涉及的随机信息包括数字，字符串，图片内容信息，时间信息，但并不限于此。(23)移动终端使用私钥对随机信息签名，并发送给应用服务器。(24)应用服务器验证签名信息和证书信息，验证通过后获取移动终端设备信息。该步骤中的签名信息和证书信息验证包括但不限于以下验证手段:使用移动终端证书公钥验证签名是否正确；验证移动终端证书是否本应用服务签发，是否已经被废除；验证证书主题内容中的设备信息是否与信息发送设备匹配，使用者身份是否正确。基于上述方案，本专利技术的具体实施过程如下:移动终端中的安全客户端必须向应用服务进行注册，具体步骤如下(参见图2):(I)安全客户端启动注册功能，内容包括:a)获取移动终端无线号码如13XXXXXXXXX，获取移动终端设备序列号如523846734。b)生成1024位RSA密钥对(公钥Pubkey，私钥Privkey)，私钥使用密码(如12345678)保护。c)以无线号码13XXXXXXXXX作为主题CN项，以移动终端设备序列号523846734作为主题L项,将Pubkey作为公钥,使用Privkey进行以上数据签名，生成证书请求Req(2)安全客户端发送Req到应用服务器。(3)应用收到请求数据Req，对数据进行验证，并签发证书Cert，内容包括:a)使用Pubkey验证签名信息是否正确。b)验证发送移动设备的无线号码和序列号是否与请求中的无线号码13XX本文档来自技高网...

【技术保护点】
一种基于软件数字证书的移动终端唯一性认证方法，其特征在于，所述认证方法包括移动终端注册部分和移动终端认证部分；所述移动终端注册包括如下步骤：(11)在移动终端中生成公私密钥对，并以移动终端设备信息(如无线号码，设备序列号)作为请求项，生成证书请求，然后将证书请求发送给应用服务器进行注册；(12)应用服务器收到证书请求进行验证，验证通过后，使用应用服务器的私钥签发移动终端软件数字证书，并发送给移动终端；(13)移动终端收到软件数字证书，将软件数字证书验证后进行保存，完成移动终端设备的注册；所述移动终端认证包括如下步骤：(21)移动终端运行，对环境验证通过后，向应用服务发送连接请求；(22)应用服务器向移动终端发送随机信息；(23)移动终端使用私钥对随机信息签名，并发送给应用服务器；(24)应用服务器验证签名信息和证书信息，验证通过后获取移动终端设备信息。

【技术特征摘要】
1.一种基于软件数字证书的移动终端唯一性认证方法，其特征在于，所述认证方法包括移动终端注册部分和移动终端认证部分； 所述移动终端注册包括如下步骤: (11)在移动终端中生成公私密钥对，并以移动终端设备信息(如无线号码，设备序列号)作为请求项，生成证书请求，然后将证书请求发送给应用服务器进行注册； (12)应用服务器收到证书请求进行验证，验证通过后，使用应用服务器的私钥签发移动终端软件数字证书，并发送给移动终端； (13)移动终端收到软件数字证书，将软件数字证书验证后进行保存，完成移动终端设备的注册； 所述移动终端认证包括如下步骤: (21)移动终端运行，对环境验证通过后，向应用服务发送连接请求； (22)应用服务器向移动终端发送随机信息； (23)移动终端使用私钥对随机信息签名，并发送给应用服务器； (24)应用服务器验证签名信息和证书信息，验证通过后获取移动终端设备信息。2.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法，其特征在于，所述步骤(11)中生成的公私钥包括但不限于RSA密钥，ECC密钥。3.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法，其特征在于，所述步骤(11)中设备信息包括但不限于无线接入号码，设备序列号，使用者身份信肩、O4.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法，其特征在于，所述步骤(11)中证书请求格式包括但不限于PkcslO格式的证书请求。5.根据权利要求1所述的一种基于软件数字证书的移动终端唯一性认证方法，其特征在于，所述步骤(12)中证书请求验证包括但不限于以...

【专利技术属性】
技术研发人员：韩洪慧，杨文山，许俊，任伟，
申请(专利权)人：上海格尔软件股份有限公司，
类型：发明
国别省市：