CN102457374A - 一种移动终端的安全认证方法及*** - Google Patents
一种移动终端的安全认证方法及*** Download PDFInfo
- Publication number
- CN102457374A CN102457374A CN2010105115056A CN201010511505A CN102457374A CN 102457374 A CN102457374 A CN 102457374A CN 2010105115056 A CN2010105115056 A CN 2010105115056A CN 201010511505 A CN201010511505 A CN 201010511505A CN 102457374 A CN102457374 A CN 102457374A
- Authority
- CN
- China
- Prior art keywords
- portable terminal
- safety certification
- service end
- security service
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种移动终端的安全认证方法,包括:当接收到移动终端的特定业务请求时,安全服务端向所述移动终端发送安全认证指令;根据预存的移动终端的数字证书,安全服务端对所述移动终端在所述安全认证指令的控制下生成的待认证信息进行安全认证,并在认证通过后,向所述移动终端提供其所请求的特定业务。本发明实施例还公开了一种移动终端的安全认证***。采用本发明,可实现移动终端的安全认证,提高移动电子商务的安全性,提升用户对移动电子商务的体验。
Description
技术领域
本发明涉及移动终端技术领域,尤其涉及移动终端的安全认证方法及***。
背景技术
随着移动终端技术的发展,移动终端的功能越来越多,利用移动终端所进行的移动电子商务也得到了迅猛的发展,比如:人们可利用移动终端进行网上购物,利用移动终端进行网上转账等。为了保证移动电子商务的安全性,移动终端的安全认证也就成为至关重要的一个环节。
数字证书,是指在因特网上,用来标志和证明网络通信双方身份的数字信息文件。简单的说,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。常见的基于数字证书的安全认证方案主要应用于互联网中的PC(Personal Computer,个人计算机)机上,常用的安全认证方案为:基于USB-Key(Universal Serial BUS Key,通用串行总线密钥)数字证书,在USB-Key中内置智能芯片,并有专用安全区保存证书私钥,USB-Key证书私钥不能导出,因此备份的文件无法使用,从而可达到对PC机的安全保护。
发明人在实施本发明的过程中发现,现有的安全认证方案主要应用于PC机上,对移动终端并未有较好的安全认证策略。另外,由于大部分移动终端并不具备USB接口,因此,现有的基于USB-Key数字证书的安全认证方案无法满足移动终端上的身份和交易认证的需求。如何实现对移动终端的安全认证,以保证移动电子商务的安全性,成为一个亟待解决的技术问题。
发明内容
本发明实施例所要解决的技术问题在于,提供一种移动终端的安全认证方法及***,在移动终端进行特定业务时,对移动终端进行安全认证,可实现特定业务的交易安全,提高移动电子商务的安全性,提升用户对移动电子商务的体验。
为了解决上述技术问题,本发明实施例提供了一种移动终端的安全认证方法,包括:
当接收到移动终端的特定业务请求时,安全服务端向所述移动终端发送安全认证指令;
根据预存的移动终端的数字证书,安全服务端对所述移动终端在所述安全认证指令的控制下生成的待认证信息进行安全认证,并在认证通过后,向所述移动终端提供其所请求的特定业务。
其中,所述安全认证指令包括:数字签名指令;所述待认证信息包括:移动终端在所述安全服务端发送的安全认证指令控制下生成的数字签名信息。
其中,所述安全服务端向所述移动终端发送安全认证指令之后,还包括:
所述移动终端接收所述安全服务端发送的安全认证指令;
所述移动终端在所述安全认证指令的控制下,采用本端存储和管理的密钥对中的私钥,生成数字签名;
所述移动终端将所述数字签名返回至安全服务端。
其中,所述根据预存的移动终端的数字证书,安全服务端对所述移动终端在所述安全认证指令的控制下生成的待认证信息进行安全认证,包括:
安全服务端接收所述移动终端返回的数字签名;
安全服务端根据所述移动终端的号码查询对应的所述移动终端的数字证书,所述数字证书包括所述移动终端存储和管理的密钥对中的公钥;
安全服务端采用查询到的所述数字证书中的公钥,对所述移动终端的数字签名进行验签。
其中,所述当接收到移动终端的特定业务请求时,安全服务端向所述移动终端发送安全认证指令之前,还包括:安全服务端预先存储各移动终端的号码和各移动终端的数字证书;其中,所述各移动终端的号码与所述各移动终端的数字证书一一对应。
相应地,本发明实施例还提供了一种移动终端的安全认证***,包括:安全服务端和至少一个移动终端,
所述移动终端,用于向所述安全服务端发送特定业务请求,接收来自所述安全服务端的安全认证指令,并在所述安全认证指令的控制下生成待认证信息,将所述待认证信息返回给所述安全服务端;
所述安全服务端,用于当接收到所述移动终端的特定业务请求时,向所述移动终端发送安全认证指令,在接收到所述移动终端在所述安全认证指令的控制下生成的待认证信息时,根据预存的移动终端的数字证书对所述待认证信息进行安全认证,并在认证通过后,向所述移动终端提供其所请求的特定业务。
其中,所述安全服务端包括:业务平台、认证服务器和OTA(Over-the-AirTechnology,空中技术通信)服务器,
所述业务平台,用于接收移动终端的业务请求,并向所述移动终端提供其所请求的业务;
所述认证服务器,用于当所述业务平台接收到移动终端的特定业务请求时,向所述OTA服务器发送安全认证请求,接收所述OTA服务器返回的待认证信息,对所述待认证信息进行安全认证,并在认证通过后,触发所述业务平台向所述移动终端提供其所请求的特定业务;
所述OTA服务器,用于当接收到所述认证服务器的安全认证请求时,生成安全认证指令,将所述安全认证指令发送至所述移动终端,并将所述移动终端在所述安全认证指令的控制下生成的待认证信息返回至所述认证服务器进行安全认证。
其中,所述认证服务器包括:
存储单元,用于预先存储各移动终端的号码和各移动终端的数字证书,其中,所述各移动终端的号码与各移动终端的数字证书一一对应;
收发单元,用于当所述业务平台接收到移动终端的特定业务请求时,向所述OTA服务器发送安全认证请求,并接收所述OTA服务器返回的待认证信息;
认证单元,用于根据所述存储单元预存的各移动终端的数字证书,对所述收发单元接收的待认证信息进行安全认证;
触发单元,用于在所述认证单元认证通过后,触发所述业务平台向所述移动终端提供其所请求的特定业务。
其中所述认证单元包括:
查询单元,用于根据所述移动终端的号码,从所述存储单元中查询对应的所述移动终端的数字证书,所述数字证书包括所述移动终端存储和管理的密钥对中的公钥;
认证子单元,用于采用所述查询单元查询到的所述数字证书中的公钥,对所述移动终端的数字签名进行验签。
其中,所述移动终端包括:
密钥管理单元,用于生成密钥对,并存储和管理所述密钥对;
签名单元,用于在所述安全服务端发送的安全认证指令的控制下,采用所述密钥管理单元存储和管理的密钥对中的私钥,生成数字签名;
收发单元,用于接收所述安全服务端发送的安全认证指令,将所述安全认证指令提供给所述签名单元,并向所述安全服务端返回所述签名单元生成的数字签名。
实施本发明实施例,具有如下有益效果:
1、本发明实施例的安全服务端在接收到移动终端的特定业务请求时,向移动终端发送安全认证指令,根据移动终端的数字证书,对移动终端根据安全认证指令所生成的待认证信息进行安全认证,在认证通过后,提供移动终端请求的特定业务,保证了特定业务的交易安全,提高了移动电子商务的安全性,提升了用户对移动电子商务的体验;
2、本发明实施例的安全服务端利用移动终端的数字证书中的公钥,对移动终端采用私钥生成的数字签名进行验签,基于传统的不对称加解密算法实现对移动终端的安全认证,使安全认证更为方便、实用;
3、本发明实施例的移动终端自身生成密钥对,并对密钥对进行存储和管理,移动终端利用管理的密钥对实现移动终端的数字签名,从而使移动终端具备了实现交易安全的能力。
4、本发明实施例的安全服务端,由现有的业务平台、OTA服务器以及认证服务器构成,并不需要额外增加相应的设备,节约了成本,且架构简单实用,进一步提升了用户对移动电子商务的体验性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的移动终端的安全认证***的实施例的结构示意图;
图2为本发明的移动终端的实施例的结构示意图;
图3为本发明的安全服务端的实施例的结构示意图;
图4为本发明的认证服务器的实施例的结构示意图;
图5为图4所示的认证服务器的认证单元的实施例的结构示意图;
图6为本发明的移动终端的安全认证方法的第一实施例的流程图;
图7为本发明的移动终端的安全认证方法的第二实施例的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,为本发明的移动终端的安全认证***的实施例的结构示意图;所述***包括:安全服务端20和至少一个移动终端10(图中仅示出3个,且仅对其中一个进行标号,但在实际应用中,所述移动终端的安全认证***应当包括签约的所有移动终端)。
所述移动终端10,用于向所述安全服务端20发送特定业务请求,接收来自所述安全服务端20的安全认证指令,并在所述安全认证指令的控制下生成待认证信息,将所述待认证信息返回给所述安全服务端20;
具体实现中,所述特定业务为移动终端10在安全服务端20进行的所有需要进行安全认证的业务,包括但不限于以下业务中的任一种或多种:基于移动终端的网络购物、基于移动终端的网络交易(付款、转账等)、基于移动终端的聊天室业务等。其中,所述安全认证指令包括:数字签名指令;所述待认证信息包括:移动终端10在所述安全服务端20发送的安全认证指令控制下生成的数字签名信息。
所述安全服务端20,用于当接收到所述移动终端10的特定业务请求时,向所述移动终端10发送安全认证指令,在接收到所述移动终端10在所述安全认证指令的控制下生成的待认证信息时,根据预存的移动终端的数字证书对所述待认证信息进行安全认证,并在认证通过后,向所述移动终端10提供其所请求的特定业务。
具体实现中,所述安全服务端20主要由业务平台、认证服务器以及OTA服务器。其中,所述业务平台为安全服务端20与移动终端10的交互窗口,其包括一个用户界面,所述业务平台可在该用户界面上向移动终端10显示所提供的各种业务以及业务的交易过程和交易结果。所述认证服务器,用于对移动终端10进行安全认证,其主要基于数字证书对移动终端10的数字签名进行验签,并根据最终认证结果,触发业务平台的工作,具体为:若认证通过,所述认证服务器触发业务平台向移动终端10提供其请求的特定业务;若认证未通过,所述认证服务器则触发业务平台向移动终端10提供相应的提示信息,比如:“交易失败”的提示信息,或者“认证失败”的提示信息等。所述OTA服务器,用于对移动终端10所基于的空中通道进行管理,其根据认证服务器的安全认证请求,生成相应的安全认证指令,通过空中通道传输至移动终端10,以控制移动终端10根据该安全认证指令,生成相应的数字签名并返回至所述OTA服务器,所述OTA服务器再将移动终端10的数字签名返回至认证服务器进行验证。
需要说明的是,所述安全服务端20将其可以为移动终端10提供的所有业务分类,一类为特定业务,包括:所述安全服务端20为移动终端10提供的所有需要进行安全认证的业务;另一类为普通业务,包括:所述安全服务端20为移动终端10提供的普通的、不需要进行安全认证的业务,比如:通话业务、短信业务等;当移动终端10向业务平台请求莱业务时,业务平台会对所请求的业务进行判断,当判断为特定业务时,则通知认证服务器进行相应安全认证;当判断为普通业务时,则通知相应的业务服务器进行处理,此处普通业务的具体处理过程与现有的移动终端业务的处理过程类似,在此不赘述。
本发明实施例的安全服务端在接收到移动终端的特定业务请求时,向移动终端发送安全认证指令,根据移动终端的数字证书,对移动终端根据安全认证指令所生成的待认证信息进行安全认证,在认证通过后,提供移动终端请求的特定业务,保证了特定业务的交易安全,提高了移动电子商务的安全性,提升了用户对移动电子商务的体验。
为了更清楚的说明本发明,下面将对上述的移动终端的安全认证***中的移动终端10进行详细介绍。
请参见图2,为本发明的移动终端的实施例的结构示意图;所述移动终端10包括:
密钥管理单元101,用于生成密钥对,并存储和管理所述密钥对;
具体实现中,所述密钥管理单元101可以为移动终端10中的一个智能芯片,比如:其可以为移动终端10的SIM(Subscriber Identity Module,用户身份识别模块)智能卡,用于为移动终端10生成密钥对,存储生成的密钥对,并对该密钥对进行管理。具体地,为了进一步提高移动电子商务的安全性,所述密钥管理单元101还应当存储安全服务端20的业务平台的相应认证信息,当移动终端10向安全服务端20的业务平台请求业务时,同时对业务平台进行安全认证,并在认证通过后向该业务平台发送后续的请求或其他信息,这样,可防止一些非法业务平台对移动终端10的信息窃取,进一步提高移动电子商务的安全性。
签名单元102,用于在所述安全服务端20发送的安全认证指令的控制下,采用所述密钥管理单元101存储和管理的密钥对中的私钥,生成数字签名;
具体实现中,所述安全服务端20的OTA服务器所发送的安全认证指令包括数字签名指令。其中,所述签名单元102为一个加密单元,其用于在OTA服务器发送的安全认证指令的控制下,采用所述密钥管理单元101存储和管理的密钥对中的私钥,生成数字签名。具体地,为了防止非移动终端用户对移动终端10进行相应的数字签名,所述签名单元102还设置有相应的数字签名权限,当接收到OTA服务器发送的安全认证指令时,所述移动终端提示用户输入Pin码(SIM卡的个人识别密码),当用户输入正确的Pin码后,才可打开所述签名单元102的数字签名权限,然后由所述签名单元102在所述安全认证指令的控制下,完成数字签名。可以理解的是,所述签名单元102完成数字签名的过程实质上是一个加密的过程,该过程与现有的PC机上的利用加密算法进行加密的过程类似,在此不赘述。
收发单元103,用于接收所述安全服务端20发送的安全认证指令,将所述安全认证指令提供给所述签名单元102,并向所述安全服务端20返回所述签名单元102生成的数字签名。
具体实现中,所述收发单元103用于接收所述安全服务端20的OTA服务器发送的安全认证指令,将所述安全认证指令提供给所述签名单元102,并向所述安全服务端20的OTA服务器返回所述签名单元102生成的数字签名。
本发明实施例的移动终端自身生成密钥对,并对密钥对进行存储和管理,移动终端利用管理的密钥对实现移动终端的数字签名,从而使移动终端具备了实现交易安全的能力。
为了更清楚的说明本发明,下面将对本发明的移动终端的安全认证***中的安全服务端20进行详细介绍。
图3为本发明的安全服务端的实施例的结构示意图;所述安全服务端20包括:业务平台201、认证服务器202和OTA服务器203。
所述业务平台201,用于接收移动终端10的业务请求,并向所述移动终端10提供其所请求的业务;
具体实现中,所述业务平台201为安全服务端20与移动终端10的交互窗口,其包括一个用户界面,所述业务平台201可在该用户界面上向移动终端10显示所提供的各种业务以及业务的交易过程和交易结果。
所述认证服务器202,用于当所述业务平台201接收到移动终端10的特定业务请求时,向所述OTA服务器203发送安全认证请求,接收所述OTA服务器203返回的待认证信息,对所述待认证信息进行安全认证,并在认证通过后,触发所述业务平台201向所述移动终端10提供其所请求的特定业务;
具体实现中,如前述,所述认证服务器202,用于对移动终端10进行安全认证,其主要基于数字证书对移动终端10的数字签名进行验签,并根据最终认证结果,触发业务平台201的工作,具体为:若认证通过,所述认证服务器202触发业务平台201向移动终端10提供其请求的特定业务;若认证未通过,所述认证服务器则触发业务平台201向移动终端10提供相应的提示信息,比如:“交易失败”的提示信息,或者“认证失败”的提示信息等。可以理解的是,所述认证服务器202对移动终端10的数字签名的验签过程实质上是一个解密的过程,该解密过程与移动终端10的加密过程相对应,其采用移动终端10所管理的、预先存储于认证服务器202中的数字证书中的公钥来进行解密,该过程与现有的PC机上的利用解密算法进行解密的过程类似,在此不赘述。
所述OTA服务器203,用于当接收到所述认证服务器202的安全认证请求时,生成安全认证指令,将所述安全认证指令发送至所述移动终端10,并将所述移动终端10在所述安全认证指令的控制下生成的待认证信息返回至所述认证服务器202进行安全认证。
具体实现中,所述OTA服务器203用于对移动终端10所基于的空中通道进行管理,其根据认证服务器202的安全认证请求,生成相应的安全认证指令,通过空中通道传输至移动终端10,以控制移动终端10根据安全认证指令,生成相应的数字签名并返回至所述OTA服务器203,所述OTA服务器203再将移动终端10的数字签名返回至认证服务器202进行验证。
本发明实施例的安全服务端利用移动终端的数字证书中的公钥,对移动终端采用私钥生成的数字签名进行验签,基于传统的不对称加解密算法实现对移动终端的安全认证,使安全认证更为方便、实用;进一步,本发明实施例的安全服务端,由现有的业务平台、OTA服务器以及认证服务器构成,并不需要额外增加相应的设备,节约了成本,且架构简单实用,进一步提升了用户对移动电子商务的体验性。
为了更清楚的说明本发明,下面将对本发明的安全服务端20的认证服务器202进行详细介绍。
请参见图4,为本发明的认证服务器的实施例的结构示意图;所述认证服务器202包括:
存储单元221,用于预先存储各移动终端的号码和各移动终端的数字证书,其中,所述各移动终端的号码与各移动终端的数字证书一一对应;
具体实现中,如前述,本发明实施例所述的移动终端包括移动终端的安全认证***签约的所有移动终端,每一个移动终端对应唯一一个数字证书,所述存储单元221,则预先将各个移动终端的号码和对应的数字证书进行存储。此处将移动终端的号码与移动终端的数字证书一一对应存储,则可直接根据移动终端的号码对移动终端的数字证书进行查找,使查找更为方便、快捷。需要说明的是,此处移动终端的号码可以为移动终端本身的号码,比如:手机号码;其也可以为其他可唯一标识移动终端的标识号码,比如:移动终端在安全认证***中的签约序号,移动终端的安全认证***中的ID号等。
收发单元222,用于当所述业务平台201接收到移动终端10的特定业务请求时,向所述OTA服务器203发送安全认证请求,并接收所述OTA服务器203返回的待认证信息;
具体实现中,当所述业务平台201接收到来自移动终端10的特定业务请求时,所述认证服务器生成安全认证请求,所述安全认证请求包括:移动终端10所请求的特定业务的业务描述,需要移动终端10进行实际签名的内容,以及通信安全参数等信息。所述安全认证请求被所述收发单元222发送至所述OTA服务器203,以使所述OTA服务器203根据所述安全认证请求生成包括数字签名指令的安全认证指令,控制移动终端10包括数字签名信息的待认证信息。
认证单元223,用于根据所述存储单元221预存的各移动终端的数字证书,对所述收发单元222接收的待认证信息进行安全认证;
具体实现中,请一并参见图5为图4所示的认证服务器的认证单元的实施例的结构示意图;所述认证单元223包括:
查询单元31,用于根据所述移动终端10的号码,从所述存储单元221中查询对应的所述移动终端10的数字证书,所述数字证书包括所述移动终端10存储和管理的密钥对中的公钥;
认证子单元32,用于采用所述查询单元31查询到的所述数字证书中的公钥,对所述移动终端10的数字签名进行验签。
具体实现中,所述认证子单元32对移动终端10的数字签名的验签过程实质上是一个解密的过程,该解密过程与移动终端10的加密过程相对应,其采用移动终端10所管理的、预先存储于存储单元221中的数字证书中的公钥来进行解密,该过程与现有的PC机上的利用解密算法进行解密的过程类似,在此不赘述。
再请参见图4,所述认证服务器202还包括:
触发单元224,用于在所述认证单元223认证通过后,触发所述业务平台201向所述移动终端10提供其所请求的特定业务。
具体实现中,所述触发单元224根据所述认证单元223的最终认证结果,触发业务平台201的工作,具体为:若认证通过,所述触发单元224触发业务平台201向移动终端10提供其请求的特定业务;若认证未通过,所述触发单元224则触发业务平台201向移动终端10提供相应的提示信息,比如:“交易失败”的提示信息,或者“认证失败”的提示信息等。
本发明实施例的安全服务端在接收到移动终端的特定业务请求时,向移动终端发送安全认证指令,根据移动终端的数字证书,对移动终端根据安全认证指令所生成的待认证信息进行安全认证,在认证通过后,提供移动终端请求的特定业务,保证了特定业务的交易安全,提高了移动电子商务的安全性,提升了用户对移动电子商务的体验。
为了更清楚的说明本发明,下面将对本发明的移动终端的安全认证方法进行详细介绍,需要说明的是,本发明的移动终端的安全认证方法由所述移动终端的安全认证***中的各装置所执行。
请参见图6,为本发明的移动终端的安全认证方法的第一实施例的流程图;所述方法包括:
S101,当接收到移动终端的特定业务请求时,安全服务端向所述移动终端发送安全认证指令;
具体实现中,所述安全服务端将其可以为移动终端提供的所有业务分类,一类为特定业务,包括:所述安全服务端为移动终端提供的所有需要进行安全认证的业务;另一类为普通业务,包括:所述安全服务端为移动终端提供的普通的、不需要进行安全认证的业务,比如:通话业务、短信业务等;当移动终端向安全服务端请求某业务时,安全服务端会对所请求的业务进行判断,当判断为特定业务时,则执行S101,向所述移动终端发送安全认证指令。可以理解的是,若所述安全服务端判断为普通业务时,则通知相应的业务服务器进行处理,此处普通业务的具体处理过程与现有的移动终端业务的处理过程类似,在此不赘述。
S102,根据预存的移动终端的数字证书,安全服务端对所述移动终端在所述安全认证指令的控制下生成的待认证信息进行安全认证,并在认证通过后,向所述移动终端提供其所请求的特定业务。
具体实现中,所述安全服务端主要由业务平台、认证服务器以及OTA服务器。其中,所述业务平台为安全服务端与移动终端的交互窗口,其包括一个用户界面,所述业务平台可在该用户界面上向移动终端显示所提供的各种业务以及业务的交易过程和交易结果。所述认证服务器,用于对移动终端进行安全认证,其主要基于数字证书对移动终端的数字签名进行验签,并根据最终认证结果,触发业务平台的工作,具体为:若认证通过,所述认证服务器触发业务平台向移动终端提供其请求的特定业务;若认证未通过,所述认证服务器则触发业务平台向移动终端提供相应的提示信息,比如:“交易失败”的提示信息,或者“认证失败”的提示信息等。所述OTA服务器,用于对移动终端所基于的空中通道进行管理,其根据认证服务器的安全认证请求,生成相应的安全认证指令,通过空中通道传输至移动终端,以控制移动终端根据安全认证指令,生成相应的数字签名并返回至所述OTA服务器,所述OTA服务器再将移动终端的数字签名返回至认证服务器进行验证。
本发明实施例的安全服务端在接收到移动终端的特定业务请求时,向移动终端发送安全认证指令,根据移动终端的数字证书,对移动终端根据安全认证指令所生成的待认证信息进行安全认证,在认证通过后,提供移动终端请求的特定业务,保证了特定业务的交易安全,提高了移动电子商务的安全性,提升了用户对移动电子商务的体验。
请参见图7,为本发明的移动终端的安全认证方法的第二实施例的流程图;所述方法包括:
S201,认证服务器预先存储各移动终端的号码和各移动终端的数字证书,其中,所述各移动终端的号码与各移动终端的数字证书一一对应;
具体实现中,如前述,本发明实施例的移动终端包括移动终端的安全认证***签约的所有移动终端,每一个移动终端对应唯一一个数字证书,所述认证服务器则执行S201,预先将各个移动终端的号码和对应的数字证书进行存储。此处将移动终端的号码与移动终端的数字证书一一对应存储,则可直接根据移动终端的号码对移动终端的数字证书进行查找,使查找更为方便、快捷。需要说明的是,此处移动终端的号码可以为移动终端本身的号码,比如:手机号码;其也可以为其他可唯一标识移动终端的标识号码,比如:移动终端在安全认证***中的签约序号,移动终端的安全认证***中的ID号等。
S202,业务平台接收移动终端的特定业务请求;
具体实现中,所述特定业务可以为移动终端在安全服务端所进行的所有需要进行安全认证的业务,包括但不限于以下业务中的任一种或多种:基于移动终端的网络购物、基于移动终端的网络交易(付款、转账等)、基于移动终端的聊天室业务等。所述安全服务端将其可以为移动终端提供的所有业务分类,一类为特定业务,包括:所述安全服务端为移动终端提供的所有需要进行安全认证的业务;另一类为普通业务,包括:所述安全服务端为移动终端提供的普通的、不需要进行安全认证的业务,比如:通话业务、短信业务等;当移动终端向业务平台请求某业务时,业务平台会对所请求的业务进行判断,当判断为特定业务时,则通知认证服务器执行后续的安全认证流程;当判断为普通业务时,则通知相应的业务服务器进行处理,此处普通业务的具体处理过程与现有的移动终端业务的处理过程类似,在此不赘述。
S203,认证服务器向OTA服务器发送安全认证请求;
具体实现中,当所述S202中业务平台接收到移动终端的特定业务请求时,所述认证服务器生成安全认证请求,所述安全认证请求包括:移动终端所请求的特定业务的业务描述,需要移动终端进行实际签名的内容,以及通信安全参数等信息。所述安全认证服务器执行S203,将所述安全认证请求发送至所述OTA服务。
S204,OTA服务器根据所述认证服务器发送的安全认证请求,生成安全认证指令;
具体实现中,所述OTA服务器用于对移动终端所基于的空中通道进行管理,其根据认证服务器执行S203所发送的安全认证请求,生成相应的安全认证指令。其中,所述安全认证指令包括:数字签名指令。
S205,OTA服务器向移动终端发送所述安全认证指令;
具体实现中,OTA服务器执行S205,通过空中通道将安全认证指令传输至移动终端,以控制移动终端根据安全认证指令,生成相应的数字签名。
S206,所述移动终端生成密钥对,并存储和管理所述密钥对;
具体实现中,所述S206可以采用移动终端中的一个智能芯片,比如:其可以为移动终端的SIM智能卡,其用于为移动终端生成密钥对,存储生成的密钥对,并对该密钥对进行管理。具体地,为了进一步提高移动电子商务的安全性,所述SIM智能卡中还应当存储业务平台的相应认证信息,当移动终端向业务平台请求业务时,同时对业务平台进行安全认证,并在认证通过后向该业务平台发送后续的请求或其他信息,这样,可防止一些非法业务平台对移动终端的信息窃取,进一步提高移动电子商务的安全性。
S207,所述移动终端在所述OTA服务器发送的安全认证指令的控制下,采用本端存储和管理的所述密钥对中的私钥,生成数字签名;
具体实现中,所述S207可以采用一个加密单元,其用于在OTA服务器发送的安全认证指令的控制下,采用所述S206存储和管理的密钥对中的私钥,生成数字签名。具体地,为了防止非移动终端用户对移动终端进行相应的数字签名,所述加密单元还设置有相应的数字签名权限,当接收到OTA服务器发送的安全认证指令时,所述移动终端提示用户输入Pin码(SIM卡的个人识别密码),当用户输入正确的Pin码后,才可打开所述移动终端的数字签名权限,然后由所述S207在所述安全认证指令的控制下,完成数字签名。可以理解的是,所述S207完成数字签名的过程实质上是一个加密的过程,该过程与现有的PC机上的利用加密算法进行加密的过程类似,在此不赘述。
S208,所述移动终端向所述OTA服务器返回所述数字签名;
S209,所述OTA服务器将所述移动终端发送的数字签名返回给所述认证服务器;
S210,所述认证服务器根据所述移动终端的号码,查询对应的数字证书;
S211,所述认证服务器采用查询到的所述数字证书中的公钥,对所述移动终端的数字签名进行验签;
具体实现中,所述S211对移动终端的数字签名的验签过程实质上是一个解密的过程,该解密过程与移动终端的加密过程相对应,其采用移动终端所管理的、预先存储于认证服务器中的数字证书中的公钥来进行解密,该过程与现有的PC机上的利用解密算法进行解密的过程类似,在此不赘述。
S212,所述认证服务器向所述业务平台返回认证结果;
S213,所述业务平台根据所述认证服务器返回的认证结果,若所述认证结果为通过,则所述业务平台向所述移动终端提供其所请求的特定业务。
具体实现中,所述业务平台执行S213时根据S212的最终认证结果进行工作:若所述S212返回的认证结果为认证通过,所述S213中,业务平台向移动终端提供其请求的特定业务;若所述S212的认证结果为认证未通过,所述S213中,业务平台向移动终端提供相应的提示信息,比如:“交易失败”的提示信息,或者“认证失败”的提示信息等。
本发明实施例的安全服务端在接收到移动终端的特定业务请求时,向移动终端发送安全认证指令,根据移动终端的数字证书,对移动终端根据安全认证指令所生成的待认证信息进行安全认证,在认证通过后,提供移动终端请求的特定业务,保证了特定业务的交易安全,提高了移动电子商务的安全性,提升了用户对移动电子商务的体验。
通过上述实施例的描述,本发明实施例的安全服务端在接收到移动终端的特定业务请求时,向移动终端发送安全认证指令,根据移动终端的数字证书,对移动终端根据安全认证指令所生成的待认证信息进行安全认证,在认证通过后,提供移动终端请求的特定业务,保证了特定业务的交易安全,提高了移动电子商务的安全性,提升了用户对移动电子商务的体验;本发明实施例的安全服务端利用移动终端的数字证书中的公钥,对移动终端采用私钥生成的数字签名进行验签,基于传统的不对称加解密算法实现对移动终端的安全认证,使安全认证更为方便、实用;本发明实施例的移动终端自身生成密钥对,并对密钥对进行存储和管理,移动终端利用管理的密钥对实现移动终端的数字签名,从而使移动终端具备了实现交易安全的能力;本发明实施例的安全服务端,由现有的业务平台、OTA服务器以及认证服务器构成,并不需要额外增加相应的设备,节约了成本,且架构简单实用,进一步提升了用户对移动电子商务的体验性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccess Memory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (10)
1.一种移动终端的安全认证方法,其特征在于,包括:
当接收到移动终端的特定业务请求时,安全服务端向所述移动终端发送安全认证指令;
根据预存的移动终端的数字证书,安全服务端对所述移动终端在所述安全认证指令的控制下生成的待认证信息进行安全认证,并在认证通过后,向所述移动终端提供其所请求的特定业务。
2.如权利要求1所述的方法,其特征在于:
所述安全认证指令包括:数字签名指令;
所述待认证信息包括:移动终端在所述安全服务端发送的安全认证指令控制下生成的数字签名信息。
3.如权利要求2所述的方法,其特征在于,所述安全服务端向所述移动终端发送安全认证指令之后,还包括:
所述移动终端接收所述安全服务端发送的安全认证指令;
所述移动终端在所述安全认证指令的控制下,采用本端存储和管理的密钥对中的私钥,生成数字签名;
所述移动终端将所述数字签名返回至安全服务端。
4.如权利要求3所述的方法,其特征在于,所述根据预存的移动终端的数字证书,安全服务端对所述移动终端在所述安全认证指令的控制下生成的待认证信息进行安全认证,包括:
安全服务端接收所述移动终端返回的数字签名;
安全服务端根据所述移动终端的号码查询对应的所述移动终端的数字证书,所述数字证书包括所述移动终端存储和管理的密钥对中的公钥;
安全服务端采用查询到的所述数字证书中的公钥,对所述移动终端的数字签名进行验签。
5.如权利要求4所述的方法,其特征在于,所述当接收到移动终端的特定业务请求时,安全服务端向所述移动终端发送安全认证指令之前,还包括:
安全服务端预先存储各移动终端的号码和各移动终端的数字证书;
其中,所述各移动终端的号码与所述各移动终端的数字证书一一对应。
6.一种移动终端的安全认证***,包括安全服务端和至少一个移动终端,其特征在于:
所述移动终端,用于向所述安全服务端发送特定业务请求,接收来自所述安全服务端的安全认证指令,并在所述安全认证指令的控制下生成待认证信息,将所述待认证信息返回给所述安全服务端;
所述安全服务端,用于当接收到所述移动终端的特定业务请求时,向所述移动终端发送安全认证指令,在接收到所述移动终端在所述安全认证指令的控制下生成的待认证信息时,根据预存的移动终端的数字证书对所述待认证信息进行安全认证,并在认证通过后,向所述移动终端提供其所请求的特定业务。
7.如权利要求6所述的***,其特征在于,所述安全服务端包括:业务平台、认证服务器和OTA服务器,
所述业务平台,用于接收移动终端的业务请求,并向所述移动终端提供其所请求的业务;
所述认证服务器,用于当所述业务平台接收到移动终端的特定业务请求时,向所述OTA服务器发送安全认证请求,接收所述OTA服务器返回的待认证信息,对所述待认证信息进行安全认证,并在认证通过后,触发所述业务平台向所述移动终端提供其所请求的特定业务;
所述OTA服务器,用于当接收到所述认证服务器的安全认证请求时,生成安全认证指令,将所述安全认证指令发送至所述移动终端,并将所述移动终端在所述安全认证指令的控制下生成的待认证信息返回至所述认证服务器进行安全认证。
8.如权利要求7所述的***,其特征在于,所述认证服务器包括:
存储单元,用于预先存储各移动终端的号码和各移动终端的数字证书,其中,所述各移动终端的号码与各移动终端的数字证书一一对应;
收发单元,用于当所述业务平台接收到移动终端的特定业务请求时,向所述OTA服务器发送安全认证请求,并接收所述OTA服务器返回的待认证信息;
认证单元,用于根据所述存储单元预存的各移动终端的数字证书,对所述收发单元接收的待认证信息进行安全认证;
触发单元,用于在所述认证单元认证通过后,触发所述业务平台向所述移动终端提供其所请求的特定业务。
9.如权利要求8所述的***,其特征在于,所述认证单元包括:
查询单元,用于根据所述移动终端的号码,从所述存储单元中查询对应的所述移动终端的数字证书,所述数字证书包括所述移动终端存储和管理的密钥对中的公钥;
认证子单元,用于采用所述查询单元查询到的所述数字证书中的公钥,对所述移动终端的数字签名进行验签。
10.如权利要求6-9任一项所述的***,其特征在于,所述移动终端包括:
密钥管理单元,用于生成密钥对,并存储和管理所述密钥对;
签名单元,用于在所述安全服务端发送的安全认证指令的控制下,采用所述密钥管理单元存储和管理的密钥对中的私钥,生成数字签名;
收发单元,用于接收所述安全服务端发送的安全认证指令,将所述安全认证指令提供给所述签名单元,并向所述安全服务端返回所述签名单元生成的数字签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105115056A CN102457374A (zh) | 2010-10-18 | 2010-10-18 | 一种移动终端的安全认证方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105115056A CN102457374A (zh) | 2010-10-18 | 2010-10-18 | 一种移动终端的安全认证方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102457374A true CN102457374A (zh) | 2012-05-16 |
Family
ID=46040083
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105115056A Pending CN102457374A (zh) | 2010-10-18 | 2010-10-18 | 一种移动终端的安全认证方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102457374A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014110877A1 (zh) * | 2013-01-18 | 2014-07-24 | 深圳市华营数字商业有限公司 | 一种基于pki技术的移动终端设备及用户认证的方法 |
| CN109992949A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种设备认证方法、空中写卡方法及设备认证装置 |
| CN112654039A (zh) * | 2019-09-25 | 2021-04-13 | 北京紫光青藤微***有限公司 | 一种终端的合法性鉴别方法、装置及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证***及其注册和登录方法 |
| US20090215431A1 (en) * | 2005-03-31 | 2009-08-27 | Vodafone House, The Connection | Facilitating and authenticating transactions |
| CN101588573A (zh) * | 2009-06-29 | 2009-11-25 | 方秀芹 | 安全验证方法、***及移动终端、服务器 |
| CN101587458A (zh) * | 2009-06-30 | 2009-11-25 | 北京握奇数据***有限公司 | 智能存储卡的操作方法及装置 |
| CN101765108A (zh) * | 2009-07-01 | 2010-06-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台***、装置和方法 |
-
2010
- 2010-10-18 CN CN2010105115056A patent/CN102457374A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090215431A1 (en) * | 2005-03-31 | 2009-08-27 | Vodafone House, The Connection | Facilitating and authenticating transactions |
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证***及其注册和登录方法 |
| CN101588573A (zh) * | 2009-06-29 | 2009-11-25 | 方秀芹 | 安全验证方法、***及移动终端、服务器 |
| CN101587458A (zh) * | 2009-06-30 | 2009-11-25 | 北京握奇数据***有限公司 | 智能存储卡的操作方法及装置 |
| CN101765108A (zh) * | 2009-07-01 | 2010-06-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台***、装置和方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014110877A1 (zh) * | 2013-01-18 | 2014-07-24 | 深圳市华营数字商业有限公司 | 一种基于pki技术的移动终端设备及用户认证的方法 |
| CN109992949A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种设备认证方法、空中写卡方法及设备认证装置 |
| CN112654039A (zh) * | 2019-09-25 | 2021-04-13 | 北京紫光青藤微***有限公司 | 一种终端的合法性鉴别方法、装置及*** |
| CN112654039B (zh) * | 2019-09-25 | 2024-03-01 | 紫光同芯微电子有限公司 | 一种终端的合法性鉴别方法、装置及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161359B (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
| CN107358441B (zh) | 支付验证的方法、***及移动设备和安全认证设备 | |
| KR101451214B1 (ko) | 결제 방법, 이를 실행하는 결제 서버, 이를 저장한 기록 매체 및 이를 실행하는 시스템 | |
| CN102103778B (zh) | 移动支付***、移动终端及移动支付业务的实现方法 | |
| US20190165947A1 (en) | Signatures for near field communications | |
| US8781131B2 (en) | Key distribution method and system | |
| US20110280406A1 (en) | Key distribution method and system | |
| CN103793815A (zh) | 适用于银行卡和行业卡的移动智能终端收单***及方法 | |
| CN103914913B (zh) | 一种智能卡应用场景识别方法及*** | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN111787530A (zh) | 一种基于sim卡的区块链数字身份管理方法 | |
| CN102123027A (zh) | 信息安全处理方法和移动终端 | |
| CN103326862A (zh) | 电子签名方法及*** | |
| CN109063450B (zh) | 一种安全存储介质的控制方法、安全存储介质及*** | |
| CN105553654A (zh) | 密钥信息查询处理方法和装置、密钥信息管理*** | |
| CN103944729A (zh) | 数据安全交互方法 | |
| CN103037366A (zh) | 基于非对称密码技术的移动终端用户认证方法及移动终端 | |
| CN105376059A (zh) | 基于电子钥匙进行应用签名的方法和*** | |
| CN102056077A (zh) | 一种通过密钥进行智能卡应用的方法和装置 | |
| CN105704092A (zh) | 用户身份认证方法、装置和*** | |
| CN107609878B (zh) | 一种共享汽车的安全认证方法及*** | |
| CN105741116A (zh) | 一种快捷支付方法、装置及*** | |
| CN110321682B (zh) | 一种基于uaf和ibc的统一身份认证方法及装置 | |
| CN103944735A (zh) | 数据安全交互方法 | |
| CN105635164B (zh) | 安全认证的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120516 |