一种客户端的安全认证方法、设备及系统的制作方法
【技术领域】
[0001]本发明涉及无线通信领域的安全认证技术,尤其涉及一种客户端的安全认证方法、设备及系统。
【背景技术】
[0002]目前,对移动终端客户端进行安全鉴权的方式为:将传统的WEB端的电子商务认证授权机构(Certificate Authority, CA)认证移植至移动终端客户端,这种方式有两个前提条件:
[0003]I)在移动终端上安装特定的超小型大容量移动存储(Tran Flash,TF)卡,该TF卡内含用户认证信息;
[0004]2)在移动终端系统中安装特定的CA软件。
[0005]具体实现安全性鉴权的流程如下:
[0006]步骤1:启动移动终端某款应用客户端;
[0007]步骤2:自动启动安装在移动终端系统中的CA软件;
[0008]步骤3:CA软件通过虚拟专用网络(Virtual Private Network, VPN)拨号至指定的CA认证服务器;
[0009]步骤4:认证通过后再转向应用服务器,执行相关业务操作;认证失败将拒绝登录系统。
[0010]现有客户端的安全性鉴权的技术方案,要求在应用客户端中嵌入鉴权应用软件;或者,在启动应用客户端时自动启动第三方鉴权应用软件,根据第三方鉴权应用软件的返回信息判断鉴权是否通过,以决定是否允许使用应用客户端;同时为了保证鉴权的有效性,需要独立部署鉴权服务器,将应用客户端的应用服务端置在鉴权服务器后端,通过VPN方式访问,可以有效地保证应用服务端的信息安全。
[0011]发明人在实现本发明的过程中,发现现有的客户端的安全鉴权方案至少存在以下缺陷:
[0012]I)需要安装特定的含有用户认证信息的TF卡或其他硬件设备,操作繁琐;
[0013]2)不同的应用客户端需要部署特定的CA认证服务器,成本比较高;
[0014]3)不能保证移动终端丢失等情况下,移动终端客户端的信息安全;
[0015]4)访问CA认证服务端需要通过VPN中转,降低了移动终端的访问效率。
【发明内容】
[0016]有鉴于此,本发明实施例的主要目的在于提供一种客户端的安全认证方法、设备及系统,不仅能对移动终端的客户端进行安全认证,而且无需移动终端外接设备或改变移动终端内部软件。
[0017]为达到上述目的,本发明的技术方案是这样实现的:
[0018]本发明实施例提供了一种客户端的安全认证方法,该方法包括:
[0019]获取对所述客户端进行安全认证的鉴权信息;
[0020]将所述鉴权信息发送给认证中心;
[0021]接收到所述认证中心返回的第一响应报文时,重新获取鉴权信息并将重新获取的鉴权信息再次发送给认证中心,由所述认证中心根据所述重新获取的鉴权信息对所述客户端进行安全认证。
[0022]上述方案中,所述鉴权信息包括用户登陆号码、国际移动设备身份码頂E1、国际移动用户识别码頂SI ;
[0023]所述获取对所述客户端进行安全认证的鉴权信息之前,所述方法还包括:
[0024]根据与用户登陆号码绑定的移动终端的号码,获取短信验证码;
[0025]通过短信验证码对登陆用户的身份进行验证;
[0026]验证通过后获取用于对所述客户端进行安全认证的用户登陆号码、IMEI, MSI。
[0027]上述方案中,所述第一响应报文携带所述认证中心根据指纹信息生成的证书;
[0028]所述重新获取鉴权信息并将所述鉴权信息再次发送给认证中心,包括:
[0029]重新获取鉴权信息;
[0030]根据所述证书确定重新获取的鉴权信息的有效性;
[0031]确定所述重新获取的鉴权信息有效时,将所述重新获取的鉴权信息携再次发送给认证中心。
[0032]上述方案中,所述方法还包括:
[0033]接收所述认证中心发送的第二响应报文,所述第二响应报文中携带认证结果;
[0034]根据所述认证结果确定对所述客户端的安全性认证是否通过,确定认证通过时,启动所述客户端;确定认证未通过时,根据设置的安全级别执行相应的操作。
[0035]本发明实施例提供了另一种客户端的安全认证方法,该方法包括:
[0036]接收移动终端发送的鉴权信息;
[0037]根据所述鉴权信息以及本地存储的用户登陆号码记录,确定所述移动终端的客户端执行的操作是否为注册;
[0038]确定所述客户端执行的操作为注册时,利用从当前接收到的鉴权信息生成指纹信息,将生成的指纹信息存储于指纹数据库中,并将第一响应报文返回给所述移动终端;
[0039]确定所述客户端执行的操作为登陆时,利用从当前接收到的鉴权信息生成指纹信息,根据当前生成的指纹信息与指纹库中的指纹信息,对所述客户端进行安全认证。
[0040]上述方案中,所述鉴权信息包括用户登陆号码、IMEI, IMSI ;
[0041]所述根据所述鉴权信息以及本地存储的用户登陆号码记录,确定所述客户端执行的操作是否为注册,包括:
[0042]根据所述用户登录号码查询存储的用户登陆号码记录;
[0043]若所述存储的用户登陆号码记录中不存在所述用户登录号码,则确定所述客户端执行的操作为注册;
[0044]若所述存储的用户登陆号码记录中存在所述用户登录号码,则确定所述客户端执行的操作为登陆。
[0045]上述方案中,所述第一响应报文携带根据所述指纹信息生成的证书。
[0046]上述方案中,所述方法还包括:
[0047]将认证结果携带于第二响应报文中发送给所述移动终端,由所述移动终端根据认证结果执行相应的操作。
[0048]本发明实施例提供了一种移动终端,该移动终端包括:获取模块、第一发送模块、第一接收模块;其中,
[0049]所述获取模块,用于获取对所述移动终端客户端进行安全认证的鉴权信息;在所述第一接收模块接收到所述认证中心返回的第一报文时,重新获取鉴权信息;
[0050]所述第一发送模块,用于将所述鉴权信息发送给认证中心;在所述获取模块重新获取鉴权信息后,将重新获取的鉴权信息再次发送给认证中心,由所述认证中心根据所述重新获取的鉴权信息对所述客户端进行安全认证;
[0051]所述第一接收模块,用于接收所述认证中心返回的第一响应报文。
[0052]上述方案中,所述鉴权信息包括用户登陆号码、IMEI, IMSI ;
[0053]所述移动终端还包括:
[0054]验证模块,用于根据与用户登陆号码绑定的移动终端的号码,获取短信验证码;通过短信验证码对登陆用户的身份进行验证;验证通过后获取用于对所述客户端进行安全认证的用户登陆号码、IMEI, MSI。
[0055]上述方案中,所述第一响应报文携带所述认证中心根据指纹信息生成的证书;
[0056]所述获取模块具体用于,重新获取鉴权信息;根据所述证书确定重新获取的鉴权信息的有效性;
[0057]所述第一发送模块具体用于,确定所述重新获取的鉴权信息有效时,将所述重新获取的鉴权信息再次发送给认证中心。
[0058]上述方案中,所述第一接收模块还用于,接收所述认证中心发送的第二响应报文,所述第二响应报文中携带认证结果;
[0059]所述移动终端还包括:
[0060]执行模块,用于根据所述认证结果确定对所述客户端的安全性认证是否通过,确定认证通过时,启动所述客户端;确定认证未通过时,根据设置的安全级别执行相应的操作。
[0061]本发明实施例提供了一种认证中心,该认证中心包括:第二接收模块、确定模块、指纹生成模块、认证模块、第二发送模块;其中,
[0062]所述第二接收模块,用于接收移动终端发送的鉴权信息;
[0063]所述确定模块,用于根据所述鉴权信息以及本地存储的用户登陆号码记录,确定所述移动终端的客户端执行的操作是否为注册;
[0064]所述指纹生成模块,用于在所述确定模块确定所述客户端执行的操作为注册时,利用当前收到的鉴权信息生成指纹信息,将生成的指纹信息存储于指纹数据库中;
[0065]所述第二发送模块,用于将第一响应报文返回给所述移动终端;
[0066]所述认证模块,用于在所述确定模块确定所述客户端执行的操作为登陆时,利用当前收到的鉴权信息生成指纹信息,根据当前生成的指纹信息与指纹库中的指纹信息,对所述客户端进行安全认证。
[0067]上述方案中,所述鉴权信息包括用户登陆号码、IMEI, IMSI ;
[0068]所述确定单元具体用于:根据所述用户登录号码查询存储的用户登陆号码记录;若所述存储的用户登陆号码记录中不存在所述用户登录号码,则确定所述客户端执行的操作为注册;若所述存储的用户登陆号码记录中存在所述用户登录号码,则确定所述客户端执行的操作为登陆。
[0069]上述方案中,所述第一响应报文携带根据所述指纹信息生成的证书。
[0070]上述方案中,所述第二发送模块还用于,将认证结果携带于第二响应报文中发送给所述移动终端,由所述移动终端根据认证结果执行相应的操作。
[0071]本发明实施例还提供了一种客户端的安全认证系统,该系统包括:如上述移动终端、如上述认证中心;其中,
[0072]所述移动终端与所述认证中心通过建立基于超文本传输协议HTTP的通信接口进行通信。
[0073]本发明实施例中,获取对客户端进行