專利名稱:一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)及其注冊(cè)和登錄方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全認(rèn)證技術(shù)領(lǐng)域���,尤其是涉及一種移動(dòng)通信終端安全 證書(shū)認(rèn)證系統(tǒng)及其注冊(cè)和登錄方法���。
背景技術(shù):
中國(guó)專利《一種無(wú)線電子商務(wù)領(lǐng)域中進(jìn)行交易的方法》�����,其
公開(kāi)日為2002 年4月17'日�����,公開(kāi)號(hào)為CN1345514�,該專利主要技術(shù)'特點(diǎn)是
1. 系統(tǒng)需要包括一個(gè)具有根公共密鑰證書(shū)的無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)商認(rèn)證機(jī)構(gòu)和 至少一個(gè)具有獨(dú)立于根公共密鑰證書(shū)的數(shù)字證書(shū)的屬性機(jī)構(gòu),屬性機(jī)構(gòu)可以 由 一個(gè)無(wú)線客戶設(shè)備經(jīng)過(guò)一個(gè)無(wú)線網(wǎng)絡(luò)來(lái)訪問(wèn)��;
2. 該方法需要數(shù)字證書(shū)從屬性機(jī)構(gòu)傳送到無(wú)線設(shè)備�;無(wú)線客戶設(shè)備需要 預(yù)裝載根公共密鑰證書(shū)。
3. 無(wú)線客戶設(shè)備需要使用無(wú)線客戶設(shè)備中預(yù)裝載的數(shù)字證書(shū)和跟公共密 鑰證書(shū)對(duì)屬性機(jī)構(gòu)進(jìn)行驗(yàn)i正����。
缺陷在于
1 .現(xiàn)有的無(wú)線網(wǎng)絡(luò)領(lǐng)域的安全證書(shū)方案主要是針對(duì)電子商務(wù)領(lǐng)域,而沒(méi) 有面向所有的無(wú)線應(yīng)用領(lǐng)^C
2.現(xiàn)有的方案需要一個(gè)具有根公共密鑰證書(shū)的無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng)商認(rèn)證機(jī)構(gòu) 和至少一個(gè)具有獨(dú)立于根公共密鑰證書(shū)的數(shù)字證書(shū)的屬性機(jī)構(gòu)�。而實(shí)際情況 中對(duì)于 一般的無(wú)線應(yīng)用服務(wù)來(lái)說(shuō),獲取具有根公共密鑰證書(shū)的無(wú)線網(wǎng)絡(luò)運(yùn)營(yíng) 商認(rèn)證機(jī)構(gòu)的服務(wù)支持�����,服務(wù)成本偏高;而且安全級(jí)別較高���,不利于一般的 '安全性的服務(wù)的推廣���。
3. 現(xiàn)有的方案需要將數(shù)字證書(shū)從屬性機(jī)構(gòu)傳輸?shù)綗o(wú)線設(shè)備,而在無(wú)線網(wǎng)
絡(luò)中傳輸10K—-h幾K的數(shù)字證書(shū)文件���,對(duì)服務(wù)的效率和用戶感受方面都有影響��。
4. 現(xiàn)有的方案需要客戶設(shè)備采用雙證書(shū)對(duì)屬性機(jī)構(gòu)進(jìn)行驗(yàn)證����,而對(duì)于有 些應(yīng)用來(lái)說(shuō)���,服務(wù)器屬性是安全的�,不需要驗(yàn)證��,而安全認(rèn)證的重點(diǎn)是針對(duì) 客戶設(shè)備的訪問(wèn)�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種無(wú)線應(yīng)用服務(wù)的安全證書(shū)認(rèn)證系
統(tǒng),其提高了無(wú)線N絡(luò)中應(yīng)用服務(wù)的使用安全性��。 '
為解決本發(fā)明的技術(shù)問(wèn)題���,本發(fā)明公開(kāi)一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系 統(tǒng)��,包括依次通過(guò)無(wú)線網(wǎng)絡(luò)或有線網(wǎng)絡(luò)相互連接的移動(dòng)通信終端、業(yè)務(wù)服務(wù)
器和CA證書(shū)服務(wù)器�、以及連接到業(yè)務(wù)服務(wù)器的證書(shū)存儲(chǔ)服務(wù)器;
所述移動(dòng)通信終端用于生成并存儲(chǔ)公鑰和私鑰����,向業(yè)務(wù)服務(wù)器發(fā)送包含 注冊(cè)信息的注冊(cè)請(qǐng)求和登錄請(qǐng)求,所述注冊(cè)信息包括移動(dòng)通信終端唯一標(biāo)識(shí) 和所述/>鑰�;
所述業(yè)務(wù)服務(wù)器用于獲取移動(dòng)通信終端發(fā)送的注冊(cè)信息轉(zhuǎn)發(fā)到CA證書(shū) 服務(wù)器,并返回注冊(cè)結(jié)果�����,存儲(chǔ)所述注冊(cè)信息����;以及獲取移動(dòng)通信終端發(fā)送 的登錄請(qǐng)求,向移動(dòng)通信終端發(fā)送驗(yàn)證信息�����,獲取移動(dòng)通信終端返回結(jié)果信 息后,根據(jù)結(jié)果信息進(jìn)行驗(yàn)證�����,并返回驗(yàn)證結(jié)果��;
所述CA證書(shū)服務(wù)器用于根據(jù)業(yè)務(wù)服務(wù)器發(fā)送的注冊(cè)信息生成唯一對(duì)應(yīng) 的用戶數(shù)字證書(shū)�,返回給業(yè)務(wù)服務(wù)器;
所述證書(shū)存儲(chǔ)服務(wù)器用于存儲(chǔ)業(yè)務(wù)服務(wù)器獲取的CA證書(shū)服務(wù)器根據(jù)注 冊(cè)信息生成的用戶數(shù)字證書(shū)�。
其中,所述存^f渚于移動(dòng)通信終端中的/>鑰和私鑰通過(guò)設(shè)置本地安全密碼
來(lái)保護(hù)���,并在發(fā)出登錄請(qǐng)求時(shí)通過(guò)輸入本地安全密碼來(lái)讀取^^鑰和私鑰�����。 其中���,所述注冊(cè)資料信息還包括用戶名和/或用戶資料。
其中�����,所述驗(yàn)證信息為業(yè)務(wù)服務(wù)器臨時(shí)生成的一個(gè)隨機(jī)數(shù),所述結(jié)果信 息包括移動(dòng)通信終端利用所述存儲(chǔ)于移動(dòng)通信終端中的私鑰對(duì)所述隨機(jī)數(shù)進(jìn) 行加密生成的簽名值和注冊(cè)資料信息中的用戶名���;所述業(yè)務(wù)服務(wù)器通過(guò)根據(jù) 所述用戶名調(diào)用對(duì)應(yīng)的用戶數(shù)字證書(shū)��,通過(guò)用戶數(shù)字證書(shū)中的公鑰按照約定 的解密算法對(duì)所述簽名值進(jìn)行解密�����,并與所述業(yè)務(wù)服務(wù)器臨時(shí)生成的隨機(jī)數(shù) 進(jìn)行對(duì)比來(lái)實(shí)現(xiàn)驗(yàn)證����。
其中���,所述公鑰和私鑰存儲(chǔ)于移動(dòng)通信終端的特定隱藏保護(hù)分區(qū)中。 本發(fā)明所要解決的另二技術(shù)問(wèn)題是提供一種無(wú)線應(yīng)用服務(wù)的安全"證系 統(tǒng)的注冊(cè)方法��,其提高了無(wú)線網(wǎng)絡(luò)中應(yīng)用服務(wù)的使用安全性�。
一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的注冊(cè)方法,包括以下步驟
移動(dòng)通信終端生成一對(duì)^^鑰和私鑰并存^f渚上述^^鑰和私鑰��;
將包括移動(dòng)通信終端唯一標(biāo)識(shí)和所述公鑰的注冊(cè)信息打包發(fā)送到業(yè)務(wù)服
務(wù)器��;
業(yè)務(wù)服務(wù)器將所述注冊(cè)信息發(fā)送到CA證書(shū)服務(wù)器���,請(qǐng)求一份用戶數(shù)字
證書(shū)�;
CA證書(shū)服務(wù)器根據(jù)業(yè)務(wù)服務(wù)器發(fā)送的注冊(cè)信息生成唯一對(duì)應(yīng)的用戶數(shù)
字證書(shū),返回給業(yè)務(wù)服務(wù)器�;
業(yè)務(wù)服務(wù)器存儲(chǔ)注冊(cè)信息,并將上述獲取的用戶數(shù)字證書(shū)存儲(chǔ)到證書(shū)存
儲(chǔ)服務(wù)器中��,向移動(dòng)通信終端返回注冊(cè)成功結(jié)果���。
其中���,所述注冊(cè)資料信息包括用戶名和/或用戶資料。
其中�,所述^^鑰和私鑰存儲(chǔ)于移動(dòng)通信終端的特定隱藏保護(hù)分區(qū)中。
本發(fā)明所要解決的又一技術(shù)問(wèn)題是提供一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系
統(tǒng)的登錄方法�,其提高了無(wú)線網(wǎng)絡(luò)中應(yīng)用服務(wù)的使用安全性。
一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的登錄方法����,包括以下步驟
移動(dòng)通信終端向業(yè)務(wù)服務(wù)器發(fā)送登錄請(qǐng)求;
業(yè)務(wù)服務(wù)器向移動(dòng)通信終端發(fā)送驗(yàn)證信息��;
移動(dòng)通信終端根據(jù)獲取驗(yàn)證信息返回結(jié)果信息����;'
業(yè)務(wù)服務(wù)器根據(jù)結(jié)果信息進(jìn)行驗(yàn)證��,并返回驗(yàn)證結(jié)果��。 .
其中��,所述4全證信息為業(yè)務(wù)服務(wù)器臨時(shí)生成的一個(gè)隨機(jī)數(shù)�����,所述結(jié)果信 息包括移動(dòng)通信終端利用所述存儲(chǔ)于移動(dòng)通信終端中的私鑰對(duì)所述隨機(jī)數(shù)進(jìn) 行加密生成的簽名值和注冊(cè)資料信息中的用戶名����;所述業(yè)務(wù)服務(wù)器通過(guò)根據(jù) 所述用戶名調(diào)用對(duì)應(yīng)的用戶數(shù)字證書(shū)��,通過(guò)用戶數(shù)字證書(shū)中的公鑰按照約定 的解密算法對(duì)所述簽名值進(jìn)行解密����,'并與所述業(yè)務(wù)服務(wù)器臨時(shí)生成的隨機(jī)數(shù) 進(jìn)行對(duì)比來(lái)實(shí)現(xiàn)驗(yàn)證��。
其中��,所述存儲(chǔ)于移動(dòng)通信終端中的公鑰和私鑰通過(guò)設(shè)置本地安全密碼 來(lái)保護(hù)�,并在發(fā)出登錄請(qǐng)求時(shí)通過(guò)輸入本地安全密碼來(lái)讀取^H月和私鑰。
與現(xiàn)有技術(shù)相比�����,本發(fā)明具有如下有益效果本發(fā)明通過(guò)移動(dòng)通信終端 生成公鑰和私鑰,并通過(guò)本地安全密碼來(lái)保護(hù)公鑰和私鑰�����,由于本地安全密 碼不在網(wǎng)絡(luò)上傳輸�����,所以大大降低了公鑰和私鑰被獲取的風(fēng)險(xiǎn)���,從而提高了 無(wú)線網(wǎng)絡(luò)中應(yīng)用服務(wù)的使用安全性����;另外��,本發(fā)明采用業(yè)務(wù)服務(wù)器發(fā)送臨時(shí) 隨機(jī)數(shù)��、移動(dòng)通信終端用私鑰加密做數(shù)字簽名的登錄方式�,有效解決了通常 證書(shū)認(rèn)證在無(wú)線網(wǎng)絡(luò)中傳輸影響效率的問(wèn)題,而且業(yè)務(wù)服務(wù)器通過(guò)對(duì)數(shù)字簽 名隨機(jī)數(shù)的驗(yàn)證來(lái)識(shí)別客戶端設(shè)備的身份�����,加強(qiáng)了無(wú)線網(wǎng)絡(luò)中應(yīng)用服務(wù)的訪 問(wèn)安全性。
圖1是本發(fā)明實(shí)施例的移動(dòng)通信終端安全證書(shū)認(rèn)證系統(tǒng)結(jié)構(gòu)圖2是本發(fā)明實(shí)施例的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的注冊(cè)方法流程
圖3是本發(fā)明第一實(shí)施例的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的登錄方法流
程圖4是本發(fā)明第二實(shí)施例的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的登錄方法流程圖��。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例�,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。
' 如圖l所示����,本發(fā)明實(shí)施例的移動(dòng)通信終端安全證書(shū)認(rèn)證系統(tǒng),包括依 次通過(guò)無(wú)線網(wǎng)絡(luò)或有線網(wǎng)絡(luò)相互連接的移動(dòng)通信終端�����、業(yè)務(wù)服務(wù)器和CA
(Certification Authority,認(rèn)證中心)證書(shū)服務(wù)器�����、以及連接到業(yè)務(wù)服務(wù)器的 證書(shū)存儲(chǔ)服務(wù)器����;
其中移動(dòng)通信終端主要用于生成并存儲(chǔ)公鑰和私鑰��,向業(yè)務(wù)服務(wù)器發(fā)送 包含注冊(cè)信息的注冊(cè)請(qǐng)求和登錄請(qǐng)求���,以及在注冊(cè)成功后通過(guò)設(shè)置本地安全 密碼來(lái)保護(hù)所述公鑰和私鑰�,并在發(fā)出登錄請(qǐng)求時(shí)通過(guò)本地安全密碼讀取公 鑰和私鑰。由于本地安全密碼設(shè)置于移動(dòng)通信終端本地���,不在網(wǎng)絡(luò)上傳輸���, 大大降低了公鑰和私鑰被獲取的風(fēng)險(xiǎn)。
為進(jìn)一步加強(qiáng)公鑰和私鑰的安全性����,在本實(shí)施例中,將公鑰和私鑰存儲(chǔ) 在移動(dòng)通信終端的特定隱藏保護(hù)分區(qū)中而不被其他程序直接讀取�。 在本實(shí)施例中,移動(dòng)通信終端主要是指手機(jī)���、PDA等���。 業(yè)務(wù)服務(wù)器主要用于獲取移動(dòng)通信終端發(fā)送的注冊(cè)信息轉(zhuǎn)發(fā)到CA證書(shū) 服務(wù)器,并返回注冊(cè)結(jié)果�,存儲(chǔ)所述注冊(cè)信息;以及根據(jù)移動(dòng)通信終端發(fā)送 的登錄請(qǐng)求�����,向移動(dòng)通信終端發(fā)送-瞼證信息�,獲取移動(dòng)通信終端返回結(jié)果信 息后��,根據(jù)結(jié)果信息進(jìn)行驗(yàn)證�����,并返回驗(yàn)證結(jié)果���;其中,注冊(cè)信息包括注冊(cè) 資料信息�、移動(dòng)通信終端唯一標(biāo)識(shí)和所述公鑰;注冊(cè)資料信息主要包括用戶
名和/或用戶資料�����。
CA證書(shū)服務(wù)器用于根據(jù)業(yè)務(wù)服務(wù)器發(fā)送的注冊(cè)信息生成唯一對(duì)應(yīng)的用
戶數(shù)字證書(shū)����,返回給業(yè)務(wù)服務(wù)器;CA證書(shū)服務(wù)器可以是任何一個(gè)獲得證書(shū)發(fā) 放資質(zhì)的CA認(rèn)證機(jī)構(gòu)�����,也可以是INTERNET有線領(lǐng)域的�,而不需要是無(wú)線 網(wǎng)絡(luò)運(yùn)營(yíng)商的認(rèn)證機(jī)構(gòu)�。
證書(shū)存儲(chǔ)服務(wù)器是用來(lái)存儲(chǔ)業(yè)務(wù)服務(wù)器獲取的CA證書(shū)服務(wù)器根據(jù)注冊(cè) 信息生成的用戶婆l字i正書(shū)����;
如圖2所示�����,本發(fā)明實(shí)施例的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的注冊(cè)方法�����, 包括以下步驟
al��、'移動(dòng)通信終端生成一對(duì)^H月和私鑰���; '
a2�、存儲(chǔ)上述公鑰和私鑰����;
a3、用戶通過(guò)移動(dòng)通信終端輸入注冊(cè)資料信息����;
a4、移動(dòng)通信終端將包括注冊(cè)資料信息、移動(dòng)通信終端唯一標(biāo)識(shí)和所述 公鑰的注冊(cè)信息打包發(fā)送到業(yè)務(wù)服務(wù)器����;
a5、業(yè)務(wù)服務(wù)器將注冊(cè)信息發(fā)送到CA證書(shū)服務(wù)器���,請(qǐng)求一份用戶數(shù)字
證書(shū)�;
a6����、CA證書(shū)服務(wù)器根據(jù)業(yè)務(wù)服務(wù)器發(fā)送的注冊(cè)信息生成唯一對(duì)應(yīng)的用戶 數(shù)字證書(shū),返回給業(yè)務(wù)服務(wù)器�;
a7、業(yè)務(wù)服務(wù)器存儲(chǔ)注冊(cè)信息�����,并將上述用戶數(shù)字證書(shū)存儲(chǔ)到證書(shū)存儲(chǔ) 服務(wù)器中����,向移動(dòng)通信終端返回注冊(cè)成功結(jié)果;
a8��、移動(dòng)通信終端設(shè)置本地安全密碼來(lái)保護(hù)所述^^鑰和私鑰�;
如圖3所示��,本發(fā)明第一實(shí)施例的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的登錄 方法�,包括以下步驟
bl�����、移動(dòng)通信終端輸入注冊(cè)資料信息和本地安全密碼����,讀取公鑰和私鑰���, 攜帶注冊(cè)資料信息向業(yè)務(wù)服務(wù)器發(fā)送登錄請(qǐng)求�; b2��、業(yè)務(wù)服務(wù)器向移動(dòng)通信終端發(fā)送驗(yàn)證信息��;
b3 ��、移動(dòng)通信終端根據(jù)獲取驗(yàn)證信息返回結(jié)果信息��;
b4�、業(yè)務(wù)服務(wù)器根據(jù)結(jié)果信息進(jìn)行驗(yàn)證,并返回驗(yàn)證結(jié)果����。 ,在步驟a6中CA證書(shū)服務(wù)器主要是通過(guò)根密鑰對(duì)注冊(cè)信息進(jìn)行數(shù)字簽名 來(lái)生成唯一對(duì)應(yīng)的用戶數(shù)字證書(shū)�。
本實(shí)施例通過(guò)移動(dòng)通信終端生成^Ht月和私鑰����,并通過(guò)本地安全密碼來(lái)保 護(hù)公鑰和私鑰,由于本地安全密碼只存儲(chǔ)于移動(dòng)通信終端不在網(wǎng)絡(luò)上傳輸�����, 所以大大降低了公鑰和私鑰被獲取的風(fēng)險(xiǎn)��,從而提高了無(wú)線網(wǎng)絡(luò)中應(yīng)用服務(wù) 的使用安全性�;
如圖4所示,'本發(fā)明第二實(shí)施例的無(wú)線應(yīng)用服務(wù)的安全"證系統(tǒng)的登錄 方法包括以下步驟
cl��、用戶通過(guò)移動(dòng)通信終端輸入用戶名和本地安全密碼�,讀取/>鑰和私 鑰,攜帶用戶名���,向業(yè)務(wù)服務(wù)器發(fā)送登錄請(qǐng)求�����;
c2���、業(yè)務(wù)服務(wù)器臨時(shí)產(chǎn)生一隨機(jī)數(shù)����,向移動(dòng)通信終端發(fā)送�����;
c3���、移動(dòng)通信終端利用私鑰對(duì)所述隨機(jī)數(shù)進(jìn)行加密生成的簽名值,并將 用戶名和簽到名值發(fā)送到業(yè)務(wù)服務(wù)器��;
c4��、業(yè)務(wù)服務(wù)器根據(jù)用戶名調(diào)用對(duì)應(yīng)的用戶數(shù)字證書(shū)�����,將用戶數(shù)字證書(shū) 中的公鑰按照約定的解密算法對(duì)所述簽名值進(jìn)行解密���,并與所述隨機(jī)數(shù)進(jìn)行 對(duì)比�����;
c5����、判斷上述對(duì)簽到名值解密后的數(shù)據(jù)是否與隨機(jī)數(shù)一致,若一致��,則 c6��、驗(yàn)證通過(guò)��,丟棄隨機(jī)數(shù)�; 若不一致,貝寸
c7�、驗(yàn)證失敗,丟棄隨機(jī)數(shù)�,返回驗(yàn)證失敗結(jié)果。 上述業(yè)務(wù)服務(wù)器向移動(dòng)通信終端發(fā)送的- 驗(yàn)證信息為業(yè)務(wù)服務(wù)器臨時(shí)生成 的一個(gè)隨機(jī)數(shù)�����。由于隨機(jī)數(shù)是臨時(shí)性的�����,且只使用一次����,防止了其他非法用
戶的復(fù)制訪問(wèn)�。
移動(dòng)通信終端利用私鑰對(duì)隨機(jī)數(shù)進(jìn)行加密生成簽名值���,加上用戶名作為 結(jié)果信息一起返回給業(yè)務(wù)服務(wù)器��。業(yè)務(wù)服務(wù)器通過(guò)根據(jù)用戶名調(diào)用證書(shū)存儲(chǔ) 器中對(duì)應(yīng)的用戶數(shù)字證書(shū)����,將用戶數(shù)字證書(shū)中的公鑰按照約定的解密算法對(duì) 所述簽名值進(jìn)行解密�����,并與隨機(jī)數(shù)進(jìn)行對(duì)比��,若一致����,則驗(yàn)證通過(guò)�����,丟棄隨 機(jī)數(shù)����,用戶登錄系統(tǒng)�����;若不一致�����,則驗(yàn)證失敗���,丟棄隨機(jī)數(shù),返回驗(yàn)證失敗 結(jié)果����。在現(xiàn)有技術(shù)條件下,傳輸?shù)暮灻翟谝欢ㄆ谙迌?nèi)不會(huì)被破解�,保證了 用戶身份登錄的安全性,又由于在本實(shí)施例中���,用戶驗(yàn)證過(guò)程只需要客戶端 傳輸用戶名和隨機(jī)數(shù)的簽名值�����,大大減少了數(shù)據(jù)傳輸量����,節(jié)約了無(wú)線網(wǎng)絡(luò)流
t , ,
本實(shí)施例采用業(yè)務(wù)服務(wù)器發(fā)送臨時(shí)隨機(jī)數(shù)、移動(dòng)通信終端用私鑰加密做 數(shù)字簽名的登錄方式���,有效解決了通常證書(shū)認(rèn)證在無(wú)線網(wǎng)絡(luò)中傳輸影響效率 的問(wèn)題���,而且業(yè)務(wù)服務(wù)器通過(guò)對(duì)數(shù)字簽名隨機(jī)數(shù)的驗(yàn)證來(lái)識(shí)別客戶端設(shè)備的 身份,加強(qiáng)了無(wú)線網(wǎng)絡(luò)中應(yīng)用服務(wù)的訪問(wèn)安全性�。
權(quán)利要求
1、一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)����,其特征在于包括依次通過(guò)無(wú)線網(wǎng)絡(luò)或有線網(wǎng)絡(luò)相互連接的移動(dòng)通信終端、業(yè)務(wù)服務(wù)器和CA證書(shū)服務(wù)器����、以及連接到業(yè)務(wù)服務(wù)器的證書(shū)存儲(chǔ)服務(wù)器��;所述移動(dòng)通信終端用于生成并存儲(chǔ)公鑰和私鑰�����,向業(yè)務(wù)服務(wù)器發(fā)送包含注冊(cè)信息的注冊(cè)請(qǐng)求和登錄請(qǐng)求,所述注冊(cè)信息包括移動(dòng)通信終端唯一標(biāo)識(shí)和所述公鑰���;所述業(yè)務(wù)服務(wù)器用于獲取移動(dòng)通信終端發(fā)送的注冊(cè)信息轉(zhuǎn)發(fā)到CA證書(shū)服務(wù)器�,并返回注冊(cè)結(jié)果�����,存儲(chǔ)所述注冊(cè)信息�;以及獲取移動(dòng)通信終端發(fā)送的登錄請(qǐng)求,向移動(dòng)通信終端發(fā)送驗(yàn)證信息��,獲取移動(dòng)通信終端返回結(jié)果信息后�����,根據(jù)結(jié)果信息進(jìn)行驗(yàn)證��,并返回驗(yàn)證結(jié)果�;所述CA證書(shū)服務(wù)器用于根據(jù)業(yè)務(wù)服務(wù)器發(fā)送的注冊(cè)信息生成唯一對(duì)應(yīng)的用戶數(shù)字證書(shū),返回給業(yè)務(wù)服務(wù)器���;所述證書(shū)存儲(chǔ)服務(wù)器用于存儲(chǔ)業(yè)務(wù)服務(wù)器獲取的CA證書(shū)服務(wù)器根據(jù)注冊(cè)信息生成的用戶數(shù)字證書(shū)����。
2、 如權(quán)利要求1所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)�,其特征在于所 述存儲(chǔ)于移動(dòng)通信終端中的公鑰和私鑰通過(guò)設(shè)置本地安全密碼來(lái)保護(hù),并在 發(fā)出登錄請(qǐng)求時(shí)通過(guò)輸入本地安全密碼來(lái)讀取公鑰和私鑰��。
3��、 如權(quán)利要求1所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)�,其特征在于所 述注冊(cè)資料信息還包括用戶名和/或用戶資料。
4����、 如權(quán)利要求3所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng),其特征在于所 述驗(yàn)證信息為業(yè)務(wù)服務(wù)器臨時(shí)生成的一個(gè)隨機(jī)數(shù)����,所述結(jié)果信息包括移動(dòng)通 信終端利用所述存儲(chǔ)于移動(dòng)通信終端中的私鑰對(duì)所述隨機(jī)數(shù)進(jìn)行加密生成的 簽名值和注冊(cè)資料信息中的用戶名;所述業(yè)務(wù)服務(wù)器根據(jù)所述用戶名調(diào)用對(duì) 應(yīng)的用戶數(shù)字證書(shū)�,通過(guò)用戶數(shù)字證書(shū)中的公鑰按照約定的解密算法對(duì)所述簽名值進(jìn)行解密,并與所述業(yè)務(wù)服務(wù)器臨時(shí)生成的隨機(jī)數(shù)進(jìn)行對(duì)比來(lái)實(shí)現(xiàn)驗(yàn) 證��。
5�����、 如權(quán)利要求1至4中任一項(xiàng)所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)���,其 特征在于:'所述公鑰和私鑰存儲(chǔ)于移動(dòng)通信終端的特定隱藏保護(hù)分區(qū)中��。
6��、 一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的注冊(cè)方法�����,其特征在于包括以 下步驟 '移動(dòng)通信終端生成一對(duì)公鑰和私鑰并存儲(chǔ)上述公鑰和私鑰����;將包括移動(dòng)通信終端唯一標(biāo)識(shí)和所述公鑰的注冊(cè)信息打包發(fā)送到業(yè)務(wù)服務(wù)器�����;業(yè)務(wù)服務(wù)器將所述注冊(cè)信息發(fā)ii到CA證書(shū)服務(wù)器�����,請(qǐng)求一份用戶數(shù)字證書(shū)��;CA證書(shū)服務(wù)器才艮據(jù)業(yè)務(wù)服務(wù)器發(fā)送的注冊(cè)信息生成唯一對(duì)應(yīng)的用戶數(shù) 字證書(shū)���,返回給業(yè)務(wù)服務(wù)器��;業(yè)務(wù)服務(wù)器存儲(chǔ)注冊(cè)信息�,并將上述獲取的用戶數(shù)字證書(shū)存儲(chǔ)到證書(shū)存 儲(chǔ)服務(wù)器中,向移動(dòng)通信終端返回注冊(cè)成功結(jié)果�����。
7�����、 如權(quán)利要求6所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的注冊(cè)方法�����,其特 征在于所述注冊(cè)資料信息還包括用戶名和/或用戶資料����。
8、 如權(quán)利要求6或7中任一項(xiàng)所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的注 冊(cè)方法�����,其特征在于所述公鑰和私鑰存儲(chǔ)于移動(dòng)通信終端的特定隱藏保護(hù) 分區(qū)中���。
9���、 一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的登錄方法,其特征在于包括以 下步驟移動(dòng)通信終端向業(yè)務(wù)服務(wù)器發(fā)送登錄請(qǐng)求�; 業(yè)務(wù)服務(wù)器向移動(dòng)通信終端發(fā)送驗(yàn)證信息; 移動(dòng)通信終端根據(jù)獲取驗(yàn)證信息返回結(jié)果信息�;業(yè)務(wù)服務(wù)器根據(jù)結(jié)果信息進(jìn)行驗(yàn)證,并返回驗(yàn)證結(jié)果��。
10�����、如權(quán)利要求9所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的登錄方法�,其特征在于所述驗(yàn)證信息為業(yè)務(wù)服務(wù)器臨時(shí)生成的一個(gè)隨機(jī)數(shù),所述結(jié)果信 息包括移動(dòng)通信終端利用所述存儲(chǔ)于移動(dòng)通信終端中的私鑰對(duì)所述隨機(jī)數(shù)進(jìn) 行加密生成的簽名值和注冊(cè)資料信息中的用戶名�����;所述業(yè)務(wù)服務(wù)器根據(jù)所述 用戶名調(diào)用對(duì)應(yīng)的用戶數(shù)字證書(shū)���,通過(guò)用戶數(shù)字證書(shū)中的公鑰按照約定的解 密算法對(duì)所述簽名值進(jìn)行解密����,并與所述業(yè)務(wù)服務(wù)器臨時(shí)生成的隨機(jī)數(shù)進(jìn)行 對(duì)比來(lái)實(shí)現(xiàn)^驗(yàn)證���。
11 �、如權(quán)利要求9或10所述的無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)的登錄方法, ^特征在于所述存儲(chǔ)于移動(dòng)通信終端中的4鑰和私鑰通過(guò)設(shè)置本地安全密 碼來(lái)保護(hù)��,并在發(fā)出登錄請(qǐng)求時(shí)通過(guò)輸入本地安全密碼來(lái)讀取公鑰和私鑰���。
全文摘要
本發(fā)明公開(kāi)一種無(wú)線應(yīng)用服務(wù)的安全認(rèn)證系統(tǒng)及其注冊(cè)和登錄方法��,該系統(tǒng)包括依次通過(guò)無(wú)線網(wǎng)絡(luò)或有線網(wǎng)絡(luò)相互連接的移動(dòng)通信終端����、業(yè)務(wù)服務(wù)器和CA證書(shū)服務(wù)器�����、以及連接到業(yè)務(wù)服務(wù)器的證書(shū)存儲(chǔ)服務(wù)器�;注冊(cè)方法包括移動(dòng)通信終端生成一對(duì)公鑰和私鑰,向業(yè)務(wù)服務(wù)器發(fā)出注冊(cè)請(qǐng)求�����,業(yè)務(wù)服務(wù)器返回注冊(cè)結(jié)果��,OA證書(shū)服務(wù)器生成用戶數(shù)字證書(shū)通過(guò)證書(shū)存儲(chǔ)服務(wù)器存儲(chǔ)��;登錄方法包括移動(dòng)通信終端向業(yè)務(wù)服務(wù)器發(fā)送登錄請(qǐng)求;業(yè)務(wù)服務(wù)器進(jìn)行驗(yàn)證���,返回驗(yàn)證結(jié)果。本發(fā)明通過(guò)移動(dòng)通信終端生成公鑰和私鑰��,并通過(guò)本地安全密碼來(lái)保護(hù)公鑰和私鑰����,由于本地安全密碼不在網(wǎng)絡(luò)上傳輸,所以大大降低了公鑰和私鑰被獲取的風(fēng)險(xiǎn)�����,從而提高了無(wú)線網(wǎng)絡(luò)中應(yīng)用服務(wù)的使用安全性���。
文檔編號(hào)H04L9/08GK101183932SQ20071007746
公開(kāi)日2008年5月21日 申請(qǐng)日期2007年12月3日 優(yōu)先權(quán)日2007年12月3日
發(fā)明者張賢瑋 申請(qǐng)人:宇龍計(jì)算機(jī)通信科技(深圳)有限公司