CN101860824B - 一种基于短消息的数字签名认证***及数字签名的方法 - Google Patents
一种基于短消息的数字签名认证***及数字签名的方法 Download PDFInfo
- Publication number
- CN101860824B CN101860824B CN201010164979.8A CN201010164979A CN101860824B CN 101860824 B CN101860824 B CN 101860824B CN 201010164979 A CN201010164979 A CN 201010164979A CN 101860824 B CN101860824 B CN 101860824B
- Authority
- CN
- China
- Prior art keywords
- certificate
- digital
- mobile terminal
- short message
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于短消息的数字签名认证***及数字签名的方法。该***业务请求终端和远程服务中心通过任意网络连接,远程服务中心与短消息网关之间、证书数据库、证书发行装置之间通过TCP协议连接,证书发行装置和移动终端之间通过近距离无线链路连接,移动终端和短消息网关之间通过移动通信链路连接。本发明将客户数字证书存入数字证书数据库,并以数字证书索引号索引。用户移动终端签名后,将数字签名连同数字证书索引号以短消息发送到短消息网关,短消息网关基于数字证书索引号检索数字证书数据库,获取相应的数字证书用于验证数字签名。本发明具有有效降低传输短消息数据量、操作简便的特点,适用电子交易和银行金融业务使用。
Description
技术领域
本发明属于涉及电讯通信技术领域,具体涉及一种基于短消息的数字签名认证***及数字签名的方法。
背景技术
随着移动通信的普及,移动终端已经成为使用最普遍的便携式计算平台。基于移动终端开展电子商务已经得到广泛的关注,也出现了许多基于移动终端对电子交易的安全进行保障的工作方式。特别是专利公开了一种远程服务***的认证方法,基于移动终端对请求的信息进行数字签名。该方法由业务请求终端向远程服务中心提交业务请求,远程服务中心将业务请求发送到移动终端,移动终端对业务请求签名后发回远程服务中心。
然而在实现过程中,如果基于短消息采用数字签名进行远程认证时存在以下问题,一是证书数据量大,而一条短信只能容纳140字节,在移动终端向远程服务中心返回签名时在短信中包含证书是不现实的。二是普通的短信在到达移动终端时,提示用户必须进入相应的界面才能浏览和处理,操作不便,影响用户的使用。
发明内容
本发明的目的是提供一种结构简单,使用方便,降低短消息传输数据量的一种基于短消息的数字签名认证***。
本发明的另一目的是提供认证***数字签名的方法。
为了克服现有技术的不足,本发明的技术方案是这样解决的:一种基于短消息的数字签名认证***,本发明的特殊之处在于该***由移动终端、证书发行装置、证书数据库或证书目录服务器、业务请求终端、远程服务中心、短消息网关组成;上述业务请求终端和远程服务中心通过任意网络连接,所述任意网络是指互联网、移动通信网或电话网,上述远程服务中心与短消息网关之间、短消息网关和证书数据库或证书目录服务器、证书发行装置和证书数据库或证书目录服务器之间通过TCP协议连接,证书发行装置和移动终端之间通过近距离无线链路连接,或通过安全模块安全介质交互信息,移动终端和短消息网关之间通过移动通信链路连接;
所述移动终端包括:
消息收发模块通过移动通信网络接收短信息网关发送的信息,并向短信息网关发送信息;
显示键盘模块接收用户通过键盘的输入信息并向用户显示信息;
安全功能模块对消息收发模块输入的信息进行加密、解密、数字签名和签名验证,并将加密、数字签名后的信息通过消息收发模块发送给远程服务中心。
一种所述认证***数字签名的方法,本发明的特殊之处在于将客户数字证书存入数字证书数据库,并以数字证书索引号索引,将用户私钥和数字证书索引号保存到用户移动终端的安全功能模块中。
所述移动终端的安全功能模块,利用保存的用户私钥对业务信息签名后,将数字签名连同数字证书索引号以短消息发送到短消息网关,短消息网关基于数字证书索引号检索数字证书数据库,获取相应的数字证书,将数字签名及相应的数字证书发送到远程服务中心。
所述移动终端的安全功能模块收到短消息后,以高优先级中断移动终端当前操作,自动显示业务信息并等待用户确认。
所述短消息网关通过点到点短消息将业务请求信息直接发送到移动终端的安全功能模块中。
本发明与现有技术相比,具有如下优点:
(1)由于在证书数据库E中存储数字证书,而非在移动终端存储数字证书,可以无需通过短消息传输该证书,只需要传输数字证书索引号。有效降低了短消息传输的数据量。
(2)通过点到点短消息将信息直接发送到安全功能模块,并通过产生高优先级中断直接在移动终端显示模块上显示业务请求内容,保证使用的方便性。
本发明特别适于电子交易和银行金融业务使用。
附图说明
图1为本发明***结构示意图;
图2为本发明认证***数字签名的方法流程图。
具体实施方式
附图为本发明的实施例。
下面结合附图对发明内容进一步详细说明:
参照图1所示,一种基于短消息的数字签名认证***,该***由移动终端C、证书发行装置D、证书数据库或证书目录服务器E、业务请求终端F、远程服务中心G、短消息网关H组成;上述业务请求终端F和远程服务中心G通过任意网络连接,所述任意网络是指互联网、移动通信网或电话网,上述远程服务中心G与短消息网关H之间、短消息网关H和证书数据库或证书目录服务器E、证书发行装置D和证书数据库或证书目录服务器E之间通过TCP协议连接,证书发行装置D和移动终端C之间通过近距离无线链路连接,或通过安全模块安全介质交互信息,移动终端C和短消息网关H之间通过移动通信链路连接;
所述移动终端C包括:
消息收发模块C1通过移动通信网络接收短信息网关H发送的信息,并向短信息网关H发送信息;
显示键盘模块C2接收用户通过键盘的输入信息并向用户显示信息;
安全功能模块C3对消息收发模块C1输入的信息进行加密、解密、数字签名和签名验证,并将加密、数字签名后的信息通过消息收发模块C1发送给远程服务中心G,业务请求终端F可以是电脑终端,手机,电话,自助终端,用户在业务请求终端上可以通过Web浏览器或者语音或者专门的客户端程序向远程服务中心G提交所需的业务请求,远程服务中心G是由一个或多个服务器以及运行在其上的服务程序和数据库组成的能够处理用户业务请求的信息***。
短消息网关H是一台服务器,其上运行有信息分发的服务程序,它分别与远程服务中心和证书数据库通过网络双向连接,也和移动运营商的短消息中心以相应的协议通过网络双向连接,可以将短信息通过移动运营商发送到移动终端,也可从移动运营商接收来自移动终端的短消息。
证书数据库E保存用户数字证书,用户数字证书中包含有用户的公钥,用户数字证书在数据库中以数字证书索引号索引,证书数据库可接受来自短消息网关或者其他被授权用户的证书查询,也可由证书发行装置D进行证书添加、撤销等操作。证书数据库E和短消息网关H通过网络双向连接。
证书发行装置D负责生成用户的证书,一种方式是证书发行装置产生用户的公钥和私钥对,将公钥和用户身份信息生成用户数字证书和数字证书索引号,将传递到证书数据库保存。同时将私钥和数字证书索引号通过读卡器等设备写入用户移动终端的安全功能模块C3。
另一种方式是用户移动终端的安全功能模块C3通过读卡器或者其他通信方式连接到证书发行装置D,由安全功能模块C3产生公钥和私钥,将公钥传递到证书发行装置D,将公钥和用户身份信息生成用户数字证书和数字证书索引号,将数字证书传递到证书数据库保存,同时将数字证书索引号写入用户移动终端的安全功能模块C3。
用户移动终端C中包含消息收发模块C1,显示键盘模块C2和安全功能模块C3;其中安全功能模块C3通过用户移动终端C的SIM卡接口连接在用户终端***平台和SIM卡之间,为一双界面卡,并可拆卸。
一种认证***数字签名的方法,该方法是将客户数字证书存入数字证书数据库,并以数字证书索引号索引;将用户私钥和数字证书索引号保存到用户移动终端的安全功能模块中。
所述移动终端的安全功能模块利用保存的用户私钥对业务信息签名后,将数字签名连同数字证书索引号以短消息发送到短消息网关,短消息网关基于数字证书索引号检索数字证书数据库,获取相应的数字证书,将数字签名及相应的数字证书发送到远程服务中心。
所述移动终端的安全功能模块收到短消息后,以高优先级中断移动终端当前操作,自动显示业务信息并等待用户确认。
所述短消息网关通过点到点短消息将业务请求信息直接发送到移动终端的安全功能模块中。
实施例1
参照图2所示,认证***数字签名的方法流程图,包括如下步骤:
1、将用户数字证书(即由权威机构发行提供身份验证的权威性电子文档,采用X.509V3国际标准,内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等),存入数字证书数据库或证书目录服务E,并以数字证书索引号(例如:用户手机号码)作为索引;
2、将用户私钥(即仅为用户本人所有的私有密钥)和数字证书索引号保存到移动终端C的安全功能模块C3中;
3.用户提交业务请求信息到远程服务中心G(即基于Internet或Intranet提供远程服务的应用程序,例如:网上银行、呼叫中心等);
4.远程服务中心G将业务请求信息转发给短消息网关H;
5.短消息网关H通过点到点短消息将业务请求信息直接发送到移动终端的安全功能模块C3中;
6.安全功能模块C3收到短消息后,以高优先级中断移动终端C当前操作,自动显示业务请求信息并等待用户确认;
7.用户确认业务请求信息无误后,移动终端C的安全功能模块C3利用保存的用户私钥对业务请求信息签名;
8.安全功能模块C3将业务请求信息的数字签名和其保存的数字证书索引号以短消息发送到短消息网关H;
9.短消息网关H基于数字证书索引号检索数字证书数据库或证书目录服务器E,获取相应的数字证书;
10.短消息网关H将业务请求信息的数字签名及相应的数字证书发送到远程服务中心G;
11.远程服务中心G验证证书的有效性、验证数字签名的有效性,处理业务请求。
实施例2
参照图1和图2,本发明给出了在网上银行应用中实现安全支付的***实例。本实例中,业务请求终端F是网上银行的客户终端(即,能够通过互联网或内联网,访问网上银行***的个人电脑);远程服务中心G是位于银行的网上银行***,该***实现银行业务信息的调度和银行业务功能的处理;移动终端C是嵌入了安全模块C3(即:银行Key)的用户手机;证书发行装置D是放置于银行网点的数字证书生成装置,其通过读卡器写入用户移动终端的安全功能模块C3;短消息网关H是采用CMPP协议实现与移动终端C的点到点短消息连接,同时采用TCP协议实现与网上银行***连接;
网上银行安全支付流程包括银行Key发行和签名认证过程,其中:银行Key发行过程是依据银行客户基本信息生成和保存数字证书,包括如下步骤:
1、在银行Key中,随机生成客户密钥对(包括:公钥和私钥);
2、通过银行Key读写器将生成的客户公钥传送到数字证书发行装置;
3、数字证书发行装置根据客户提供的基本资料和客户公钥生成客户数字证书;
4、将客户数字证书存入数字证书数据库,并以客户手机号构建索引;
基于短消息的签名认证过程是基于短消息实现关键业务数据的签名认证,包括如下步骤:
1、客户通过网上银行客户终端提交支付请求到网上银行***;
2、网上银行***将支付请求转发给短消息网关;
3、短消息网关通过短消息将支付请求转发到用户手机;
4、用户手机判断是否为支付短消息,如果是,则将该短消息直接交由Key处理;
5、Key收到短消息后,以高优先级中断用户手机当前操作显示支付信息并等待用户确认;
6、客户确认支付信息无误后,Key基于保存的用户私钥对支付信息签名;
7、用户手机将支付信息的数字签名以短消息回传短消息网关;
8、短消息网关从短消息中提取客户手机号码,并以该号码检索数字证书数据库,获取相应的数字证书;
9、短消息网关将业务信息的数字签名及相应的数字证书回传到网上银行***;
10、网上银行***验证证书的有效性、验证数字签名的有效性,实现安全支付请求;
综上所述的方法,移动终端计算签名后只需要传输用户数字证书的索引号,不需要传输整个数字证书,这样就减少了短消息传输的数据量,保证了基于短消息数字签名方法的可行性和经济性。显然任何人在了解了本发明的技术构思以后均可作出不同的实施方式,这些方式均在本发明的保护范围内。
Claims (5)
1.一种基于短消息的数字签名认证***,其特征在于该数字签名认证***由移动终端(C)、证书发行装置(D)、证书数据库或证书目录服务器(E)、业务请求终端(F)、远程服务中心(G)、短消息网关(H)组成;上述业务请求终端(F)和远程服务中心(G)通过任意网络连接,所述任意网络是指互联网、移动通信网或电话网,上述远程服务中心(G)与短消息网关(H)之间、短消息网关(H)和证书数据库或证书目录服务器(E)之间、证书发行装置(D)和证书数据库或证书目录服务器(E)之间通过TCP协议连接,证书发行装置(D)和移动终端(C)之间通过近距离无线链路连接,或通过安全模块安全介质交互信息,移动终端(C)和短消息网关(H)之间通过移动通信链路连接;在证书数据库或证书目录服务器(E)中保存用户数字证书,用户数字证书在证书数据库或证书目录服务器(E)中以数字索引号索引,在认证时只传输数字证书索引号;
所述移动终端(C)包括:
消息收发模块(C1),用于通过移动通信网络接收短信息网关(H)发送的信息,并向短信息网关(H)发送信息;
显示键盘模块(C2),用于接收用户通过键盘的输入信息并向用户显示信息;
安全功能模块(C3),用于对消息收发模块(C1)输入的信息进行加密、解密、数字签名和签名验证,并将加密、数字签名后的信息通过消息收发模块(C1)发送给短信息网关(H),再通过短信息网关(H)发送给远程服务中心(G)。
2.一种权利要求1所述认证***数字签名的方法,其特征在于该方法按下述步骤进行:
1)、将客户数字证书存入数字证书数据库,并以数字证书索引号索引;
2)、将用户私钥和数字证书索引号保存到用户移动终端的安全功能模块中;
3)、用户提交业务请求信息到远程服务中心G;
4)、远程服务中心G将业务请求信息转发给短消息网关H;
5)、短消息网关H通过点到点短消息将业务请求信息直接发送到移动终端的安全功能模块C3中;
6)、安全功能模块C3收到短消息后,以高优先级中断移动终端C当前操作,自动显示业务请求信息并等待用户确认;
7)、用户确认业务请求信息无误后,移动终端C的安全功能模块C3利用保存的用户私钥对业务请求信息签名;
8)、安全功能模块C3将业务请求信息的数字签名和其保存的数字证书索引号以短消息发送到短消息网关H;
9)、短消息网关H基于数字证书索引号检索数字证书数据库或证书目录服务器E,获取相应的数字证书;
10)、短消息网关H将业务请求信息的数字签名及相应的数字证书发送到远程服务中心G;
11)、远程服务中心G验证证书的有效性、验证数字签名的有效性,处理业务请求。
3.根据权利要求2所述认证***数字签名的方法,其特征在于所述移动终端的安全功能模块,安全功能模块通过利用保存的用户私钥对业务信息签名后,将数字签名连同数字证书索引号以短消息发送到短消息网关,短消息网关基于数字证书索引号检索数字证书数据库,获取相应的数字证书,将数字签名及相应的数字证书发送到远程服务中心。
4.根据权利要求2所述认证***数字签名的方法,其特征还在于所述移动终端的安全功能模块收到短消息后,以高优先级中断移动终端当前操作,自动显示业务信息并等待用户确认。
5.根据权利要求3所述认证***数字签名的方法,其特征还在于所述短消息网关通过点到点短消息将业务请求信息直接发送到移动终端的安全功能模块中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010164979.8A CN101860824B (zh) | 2010-05-06 | 2010-05-06 | 一种基于短消息的数字签名认证***及数字签名的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010164979.8A CN101860824B (zh) | 2010-05-06 | 2010-05-06 | 一种基于短消息的数字签名认证***及数字签名的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101860824A CN101860824A (zh) | 2010-10-13 |
| CN101860824B true CN101860824B (zh) | 2013-06-12 |
Family
ID=42946416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010164979.8A Active CN101860824B (zh) | 2010-05-06 | 2010-05-06 | 一种基于短消息的数字签名认证***及数字签名的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101860824B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102202307B (zh) * | 2011-06-17 | 2013-08-07 | 深圳一卡通新技术有限公司 | 基于数字证书的移动终端身份认证***及方法 |
| US10558879B2 (en) | 2014-10-30 | 2020-02-11 | Hewlett-Packard Development Company L.P. | Digital signature authentication |
| CN105763330A (zh) * | 2014-12-18 | 2016-07-13 | 中国科学院信息工程研究所 | 一种适用于电路域加密通信的轻量级证书及加密通信方法 |
| CN107026739B (zh) * | 2016-02-01 | 2019-11-19 | ***通信集团重庆有限公司 | 短信签名认证方法及装置 |
| CN108604988B (zh) * | 2016-05-03 | 2021-01-05 | 华为技术有限公司 | 一种证书通知方法及装置 |
| CN106790051A (zh) * | 2016-12-19 | 2017-05-31 | 杭州信雅达数码科技有限公司 | 一种基于mb连接的手机银行安全协议 |
| CN111177685B (zh) * | 2019-12-26 | 2022-12-16 | 深圳供电局有限公司 | 证书管理方法、装置、计算机设备和存储介质 |
| CN112202567B (zh) * | 2020-09-30 | 2024-03-15 | 北京百度网讯科技有限公司 | 一种证书发送方法、证书发送方法、云端以及终端设备 |
| CN116346396A (zh) * | 2022-12-15 | 2023-06-27 | 北京航星永志科技有限公司 | 数字证书分发方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030856A (zh) * | 2006-07-19 | 2007-09-05 | 王李琰 | 一种基于标识的密码技术的短消息认证及可靠分类传递方法 |
| CN201069581Y (zh) * | 2007-08-17 | 2008-06-04 | 潘铁军 | 一种基于分布式密钥的移动支付*** |
| CN101448001A (zh) * | 2008-11-19 | 2009-06-03 | 中国工商银行股份有限公司 | 一种实现wap手机银行交易安全控制的***及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009086845A1 (de) * | 2008-01-07 | 2009-07-16 | Siemens Enterprise Communications Gmbh & Co. Kg | Verfahren zum authentisieren einer schlüsselinformation zwischen endpunkten einer kommunikationsbeziehung |
| US20100070761A1 (en) * | 2008-09-17 | 2010-03-18 | Alcatel-Lucent | Reliable authentication of message sender's identity |
-
2010
- 2010-05-06 CN CN201010164979.8A patent/CN101860824B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030856A (zh) * | 2006-07-19 | 2007-09-05 | 王李琰 | 一种基于标识的密码技术的短消息认证及可靠分类传递方法 |
| CN201069581Y (zh) * | 2007-08-17 | 2008-06-04 | 潘铁军 | 一种基于分布式密钥的移动支付*** |
| CN101448001A (zh) * | 2008-11-19 | 2009-06-03 | 中国工商银行股份有限公司 | 一种实现wap手机银行交易安全控制的***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101860824A (zh) | 2010-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101860824B (zh) | 一种基于短消息的数字签名认证***及数字签名的方法 | |
| US20230124022A1 (en) | Security system for handheld wireless devices using time-variable encryption keys | |
| CN102737308B (zh) | 一种移动终端及其查询智能卡信息的方法和*** | |
| CN101615322B (zh) | 实现有磁支付功能的移动终端支付方法及*** | |
| CN107516196A (zh) | 一种移动支付***及其移动支付方法 | |
| CN103617532A (zh) | 一种移动终端的离线付款、收款方法及装置 | |
| CA2676848A1 (en) | Methods and a system for providing transaction related information | |
| CN102045715B (zh) | 一种移动签名实现方法、装置与*** | |
| CN101625779A (zh) | 移动终端及通过该移动终端进行***消费的方法 | |
| CN103186857A (zh) | 银行卡支付方法及*** | |
| CN104820944A (zh) | 一种银行自助终端认证方法、***及装置 | |
| CN101790166A (zh) | 基于手机智能卡的数字签名方法 | |
| CN201181942Y (zh) | 用于远程服务业务的数字签名认证*** | |
| CN102496125A (zh) | 基于移动终端的转账方法及*** | |
| CN103108277A (zh) | 基于手机客户端的空中业务实现方法及*** | |
| CN102567908A (zh) | 一种基于电子商务的数据处理方法及*** | |
| CN104636910A (zh) | 移动手持终端、支付***以及支付方法 | |
| CN105160531B (zh) | 交易数据信息处理方法及装置 | |
| CN201974884U (zh) | 车载*** | |
| RU2321060C1 (ru) | Способ осуществления платежей пользователями мобильной сотовой связи | |
| CN111212017A (zh) | 一种面向智能终端的安全传输方法及*** | |
| CN1112062C (zh) | 手持无线移动网络销售点终端***及其操作方法 | |
| CN1127033C (zh) | 无线移动网络销售点终端*** | |
| CN101867894A (zh) | 一种短信消费方法及服务器 | |
| KR20140125299A (ko) | 모바일 메시징 기반의 전자서명 인증을 통한 자동이체 서비스 제공 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180222 Address after: 201207 Shanghai City, Pudong New Area Chinese (Shanghai) free trade zone fanchun Road No. 400 Building 1 layer 3 Patentee after: Shanghai haijiye Information Technology Co., Ltd. Address before: 200030 Lingling Road, Xuhui District, Shanghai, room 521, room 583 Patentee before: Haijiye High Technology Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210113 Address after: Room 521, 583 Lingling Road, Xuhui District, Shanghai 200030 Patentee after: SHANGHAI HAIJIYE HIGH TECHNOLOGY Co.,Ltd. Address before: 201207 Pudong New Area, Shanghai, China (Shanghai) free trade trial area, No. 3, 1 1, Fang Chun road. Patentee before: Shanghai haijiye Information Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210205 Address after: Room 1-10705b, SOHO alliance, No.1 Jinye Road, high tech Zone, Xi'an, Shaanxi 710066 Patentee after: Shaanxi Haijiye High-tech Industrial Co.,Ltd. Address before: Room 521, 583 Lingling Road, Xuhui District, Shanghai 200030 Patentee before: SHANGHAI HAIJIYE HIGH TECHNOLOGY Co.,Ltd. |