一种无线应用服务的安全认证系统及其注册和登录方法

专利名称：一种无线应用服务的安全认证系统及其注册和登录方法
技术领域：
本发明涉及信息安全认证技术领域，尤其是涉及一种移动通信终端安全 证书认证系统及其注册和登录方法。
背景技术：
中国专利《一种无线电子商务领域中进行交易的方法》，其
公开日为2002 年4月17'日，公开号为CN1345514，该专利主要技术'特点是
1. 系统需要包括一个具有根公共密钥证书的无线网络运营商认证机构和 至少一个具有独立于根公共密钥证书的数字证书的属性机构，属性机构可以 由 一个无线客户设备经过一个无线网络来访问；
2. 该方法需要数字证书从属性机构传送到无线设备；无线客户设备需要 预装载根公共密钥证书。
3. 无线客户设备需要使用无线客户设备中预装载的数字证书和跟公共密 钥证书对属性机构进行验i正。
缺陷在于
1 .现有的无线网络领域的安全证书方案主要是针对电子商务领域，而没 有面向所有的无线应用领^C
2.现有的方案需要一个具有根公共密钥证书的无线网络运营商认证机构 和至少一个具有独立于根公共密钥证书的数字证书的属性机构。而实际情况 中对于 一般的无线应用服务来说，获取具有根公共密钥证书的无线网络运营 商认证机构的服务支持，服务成本偏高；而且安全级别较高，不利于一般的 '安全性的服务的推广。
3. 现有的方案需要将数字证书从属性机构传输到无线设备，而在无线网
络中传输10K—-h几K的数字证书文件，对服务的效率和用户感受方面都有影响。
4. 现有的方案需要客户设备采用双证书对属性机构进行验证，而对于有 些应用来说，服务器属性是安全的，不需要验证，而安全认证的重点是针对 客户设备的访问。

发明内容
本发明所要解决的技术问题是提供一种无线应用服务的安全证书认证系
统，其提高了无线N络中应用服务的使用安全性。 '
为解决本发明的技术问题，本发明公开一种无线应用服务的安全认证系 统，包括依次通过无线网络或有线网络相互连接的移动通信终端、业务服务
器和CA证书服务器、以及连接到业务服务器的证书存储服务器；
所述移动通信终端用于生成并存储公钥和私钥，向业务服务器发送包含 注册信息的注册请求和登录请求，所述注册信息包括移动通信终端唯一标识 和所述/>钥；
所述业务服务器用于获取移动通信终端发送的注册信息转发到CA证书 服务器，并返回注册结果，存储所述注册信息；以及获取移动通信终端发送 的登录请求，向移动通信终端发送验证信息，获取移动通信终端返回结果信 息后，根据结果信息进行验证，并返回验证结果；
所述CA证书服务器用于根据业务服务器发送的注册信息生成唯一对应 的用户数字证书，返回给业务服务器；
所述证书存储服务器用于存储业务服务器获取的CA证书服务器根据注 册信息生成的用户数字证书。
其中，所述存^f渚于移动通信终端中的/>钥和私钥通过设置本地安全密码
来保护，并在发出登录请求时通过输入本地安全密码来读取^^钥和私钥。 其中，所述注册资料信息还包括用户名和/或用户资料。
其中，所述验证信息为业务服务器临时生成的一个随机数，所述结果信 息包括移动通信终端利用所述存储于移动通信终端中的私钥对所述随机数进 行加密生成的签名值和注册资料信息中的用户名；所述业务服务器通过根据 所述用户名调用对应的用户数字证书，通过用户数字证书中的公钥按照约定 的解密算法对所述签名值进行解密，并与所述业务服务器临时生成的随机数 进行对比来实现验证。
其中，所述公钥和私钥存储于移动通信终端的特定隐藏保护分区中。 本发明所要解决的另二技术问题是提供一种无线应用服务的安全"证系 统的注册方法，其提高了无线网络中应用服务的使用安全性。
一种无线应用服务的安全认证系统的注册方法，包括以下步骤
移动通信终端生成一对^^钥和私钥并存^f渚上述^^钥和私钥；
将包括移动通信终端唯一标识和所述公钥的注册信息打包发送到业务服
务器；
业务服务器将所述注册信息发送到CA证书服务器，请求一份用户数字
证书；
CA证书服务器根据业务服务器发送的注册信息生成唯一对应的用户数
字证书，返回给业务服务器；
业务服务器存储注册信息，并将上述获取的用户数字证书存储到证书存
储服务器中，向移动通信终端返回注册成功结果。
其中，所述注册资料信息包括用户名和/或用户资料。
其中，所述^^钥和私钥存储于移动通信终端的特定隐藏保护分区中。
本发明所要解决的又一技术问题是提供一种无线应用服务的安全认证系
统的登录方法，其提高了无线网络中应用服务的使用安全性。
一种无线应用服务的安全认证系统的登录方法，包括以下步骤
移动通信终端向业务服务器发送登录请求；
业务服务器向移动通信终端发送验证信息；
移动通信终端根据获取验证信息返回结果信息；'
业务服务器根据结果信息进行验证，并返回验证结果。 .
其中，所述4全证信息为业务服务器临时生成的一个随机数，所述结果信 息包括移动通信终端利用所述存储于移动通信终端中的私钥对所述随机数进 行加密生成的签名值和注册资料信息中的用户名；所述业务服务器通过根据 所述用户名调用对应的用户数字证书，通过用户数字证书中的公钥按照约定 的解密算法对所述签名值进行解密，'并与所述业务服务器临时生成的随机数 进行对比来实现验证。
其中，所述存储于移动通信终端中的公钥和私钥通过设置本地安全密码 来保护，并在发出登录请求时通过输入本地安全密码来读取^H月和私钥。
与现有技术相比，本发明具有如下有益效果本发明通过移动通信终端 生成公钥和私钥，并通过本地安全密码来保护公钥和私钥，由于本地安全密 码不在网络上传输，所以大大降低了公钥和私钥被获取的风险，从而提高了 无线网络中应用服务的使用安全性；另外，本发明采用业务服务器发送临时 随机数、移动通信终端用私钥加密做数字签名的登录方式，有效解决了通常 证书认证在无线网络中传输影响效率的问题，而且业务服务器通过对数字签 名随机数的验证来识别客户端设备的身份，加强了无线网络中应用服务的访 问安全性。


图1是本发明实施例的移动通信终端安全证书认证系统结构图2是本发明实施例的无线应用服务的安全认证系统的注册方法流程
图3是本发明第一实施例的无线应用服务的安全认证系统的登录方法流
程图4是本发明第二实施例的无线应用服务的安全认证系统的登录方法流程图。
具体实施例方式
下面结合附图和实施例，对本发明作进一步详细说明。
' 如图l所示，本发明实施例的移动通信终端安全证书认证系统，包括依 次通过无线网络或有线网络相互连接的移动通信终端、业务服务器和CA
(Certification Authority,认证中心)证书服务器、以及连接到业务服务器的 证书存储服务器；
其中移动通信终端主要用于生成并存储公钥和私钥，向业务服务器发送 包含注册信息的注册请求和登录请求，以及在注册成功后通过设置本地安全 密码来保护所述公钥和私钥，并在发出登录请求时通过本地安全密码读取公 钥和私钥。由于本地安全密码设置于移动通信终端本地，不在网络上传输， 大大降低了公钥和私钥被获取的风险。
为进一步加强公钥和私钥的安全性，在本实施例中，将公钥和私钥存储 在移动通信终端的特定隐藏保护分区中而不被其他程序直接读取。 在本实施例中，移动通信终端主要是指手机、PDA等。 业务服务器主要用于获取移动通信终端发送的注册信息转发到CA证书 服务器，并返回注册结果，存储所述注册信息；以及根据移动通信终端发送 的登录请求，向移动通信终端发送-睑证信息，获取移动通信终端返回结果信 息后，根据结果信息进行验证，并返回验证结果；其中，注册信息包括注册 资料信息、移动通信终端唯一标识和所述公钥；注册资料信息主要包括用户
名和/或用户资料。
CA证书服务器用于根据业务服务器发送的注册信息生成唯一对应的用
户数字证书，返回给业务服务器；CA证书服务器可以是任何一个获得证书发 放资质的CA认证机构，也可以是INTERNET有线领域的，而不需要是无线 网络运营商的认证机构。
证书存储服务器是用来存储业务服务器获取的CA证书服务器根据注册 信息生成的用户婆l字i正书；
如图2所示，本发明实施例的无线应用服务的安全认证系统的注册方法， 包括以下步骤
al、'移动通信终端生成一对^H月和私钥； '
a2、存储上述公钥和私钥；
a3、用户通过移动通信终端输入注册资料信息；
a4、移动通信终端将包括注册资料信息、移动通信终端唯一标识和所述 公钥的注册信息打包发送到业务服务器；
a5、业务服务器将注册信息发送到CA证书服务器，请求一份用户数字
证书；
a6、CA证书服务器根据业务服务器发送的注册信息生成唯一对应的用户 数字证书，返回给业务服务器；
a7、业务服务器存储注册信息，并将上述用户数字证书存储到证书存储 服务器中，向移动通信终端返回注册成功结果；
a8、移动通信终端设置本地安全密码来保护所述^^钥和私钥；
如图3所示，本发明第一实施例的无线应用服务的安全认证系统的登录 方法，包括以下步骤
bl、移动通信终端输入注册资料信息和本地安全密码，读取公钥和私钥， 携带注册资料信息向业务服务器发送登录请求； b2、业务服务器向移动通信终端发送验证信息；
b3 、移动通信终端根据获取验证信息返回结果信息；
b4、业务服务器根据结果信息进行验证，并返回验证结果。 ,在步骤a6中CA证书服务器主要是通过根密钥对注册信息进行数字签名 来生成唯一对应的用户数字证书。
本实施例通过移动通信终端生成^Ht月和私钥，并通过本地安全密码来保 护公钥和私钥，由于本地安全密码只存储于移动通信终端不在网络上传输， 所以大大降低了公钥和私钥被获取的风险，从而提高了无线网络中应用服务 的使用安全性；
如图4所示，'本发明第二实施例的无线应用服务的安全"证系统的登录 方法包括以下步骤
cl、用户通过移动通信终端输入用户名和本地安全密码，读取/>钥和私 钥，携带用户名，向业务服务器发送登录请求；
c2、业务服务器临时产生一随机数，向移动通信终端发送；
c3、移动通信终端利用私钥对所述随机数进行加密生成的签名值，并将 用户名和签到名值发送到业务服务器；
c4、业务服务器根据用户名调用对应的用户数字证书，将用户数字证书 中的公钥按照约定的解密算法对所述签名值进行解密，并与所述随机数进行 对比；
c5、判断上述对签到名值解密后的数据是否与随机数一致，若一致，则 c6、验证通过，丢弃随机数； 若不一致，贝寸
c7、验证失败，丢弃随机数，返回验证失败结果。 上述业务服务器向移动通信终端发送的- 验证信息为业务服务器临时生成 的一个随机数。由于随机数是临时性的，且只使用一次，防止了其他非法用
户的复制访问。
移动通信终端利用私钥对随机数进行加密生成签名值，加上用户名作为 结果信息一起返回给业务服务器。业务服务器通过根据用户名调用证书存储 器中对应的用户数字证书，将用户数字证书中的公钥按照约定的解密算法对 所述签名值进行解密，并与随机数进行对比，若一致，则验证通过，丟弃随 机数，用户登录系统；若不一致，则验证失败，丢弃随机数，返回验证失败 结果。在现有技术条件下，传输的签名值在一定期限内不会被破解，保证了 用户身份登录的安全性，又由于在本实施例中，用户验证过程只需要客户端 传输用户名和随机数的签名值，大大减少了数据传输量，节约了无线网络流
t , ,
本实施例采用业务服务器发送临时随机数、移动通信终端用私钥加密做 数字签名的登录方式，有效解决了通常证书认证在无线网络中传输影响效率 的问题，而且业务服务器通过对数字签名随机数的验证来识别客户端设备的 身份，加强了无线网络中应用服务的访问安全性。
权利要求
1、一种无线应用服务的安全认证系统，其特征在于包括依次通过无线网络或有线网络相互连接的移动通信终端、业务服务器和CA证书服务器、以及连接到业务服务器的证书存储服务器；所述移动通信终端用于生成并存储公钥和私钥，向业务服务器发送包含注册信息的注册请求和登录请求，所述注册信息包括移动通信终端唯一标识和所述公钥；所述业务服务器用于获取移动通信终端发送的注册信息转发到CA证书服务器，并返回注册结果，存储所述注册信息；以及获取移动通信终端发送的登录请求，向移动通信终端发送验证信息，获取移动通信终端返回结果信息后，根据结果信息进行验证，并返回验证结果；所述CA证书服务器用于根据业务服务器发送的注册信息生成唯一对应的用户数字证书，返回给业务服务器；所述证书存储服务器用于存储业务服务器获取的CA证书服务器根据注册信息生成的用户数字证书。
2、 如权利要求1所述的无线应用服务的安全认证系统，其特征在于所 述存储于移动通信终端中的公钥和私钥通过设置本地安全密码来保护，并在 发出登录请求时通过输入本地安全密码来读取公钥和私钥。
3、 如权利要求1所述的无线应用服务的安全认证系统，其特征在于所 述注册资料信息还包括用户名和/或用户资料。
4、 如权利要求3所述的无线应用服务的安全认证系统，其特征在于所 述验证信息为业务服务器临时生成的一个随机数，所述结果信息包括移动通 信终端利用所述存储于移动通信终端中的私钥对所述随机数进行加密生成的 签名值和注册资料信息中的用户名；所述业务服务器根据所述用户名调用对 应的用户数字证书，通过用户数字证书中的公钥按照约定的解密算法对所述签名值进行解密，并与所述业务服务器临时生成的随机数进行对比来实现验 证。
5、 如权利要求1至4中任一项所述的无线应用服务的安全认证系统，其 特征在于:'所述公钥和私钥存储于移动通信终端的特定隐藏保护分区中。
6、 一种无线应用服务的安全认证系统的注册方法，其特征在于包括以 下步骤 '移动通信终端生成一对公钥和私钥并存储上述公钥和私钥；将包括移动通信终端唯一标识和所述公钥的注册信息打包发送到业务服务器；业务服务器将所述注册信息发ii到CA证书服务器，请求一份用户数字证书；CA证书服务器才艮据业务服务器发送的注册信息生成唯一对应的用户数 字证书，返回给业务服务器；业务服务器存储注册信息，并将上述获取的用户数字证书存储到证书存 储服务器中，向移动通信终端返回注册成功结果。
7、 如权利要求6所述的无线应用服务的安全认证系统的注册方法，其特 征在于所述注册资料信息还包括用户名和/或用户资料。
8、 如权利要求6或7中任一项所述的无线应用服务的安全认证系统的注 册方法，其特征在于所述公钥和私钥存储于移动通信终端的特定隐藏保护 分区中。
9、 一种无线应用服务的安全认证系统的登录方法，其特征在于包括以 下步骤移动通信终端向业务服务器发送登录请求； 业务服务器向移动通信终端发送验证信息； 移动通信终端根据获取验证信息返回结果信息；业务服务器根据结果信息进行验证，并返回验证结果。
10、如权利要求9所述的无线应用服务的安全认证系统的登录方法，其特征在于所述验证信息为业务服务器临时生成的一个随机数，所述结果信 息包括移动通信终端利用所述存储于移动通信终端中的私钥对所述随机数进 行加密生成的签名值和注册资料信息中的用户名；所述业务服务器根据所述 用户名调用对应的用户数字证书，通过用户数字证书中的公钥按照约定的解 密算法对所述签名值进行解密，并与所述业务服务器临时生成的随机数进行 对比来实现^验证。
11 、如权利要求9或10所述的无线应用服务的安全认证系统的登录方法， ^特征在于所述存储于移动通信终端中的4钥和私钥通过设置本地安全密 码来保护，并在发出登录请求时通过输入本地安全密码来读取公钥和私钥。
全文摘要
本发明公开一种无线应用服务的安全认证系统及其注册和登录方法，该系统包括依次通过无线网络或有线网络相互连接的移动通信终端、业务服务器和CA证书服务器、以及连接到业务服务器的证书存储服务器；注册方法包括移动通信终端生成一对公钥和私钥，向业务服务器发出注册请求，业务服务器返回注册结果，OA证书服务器生成用户数字证书通过证书存储服务器存储；登录方法包括移动通信终端向业务服务器发送登录请求；业务服务器进行验证，返回验证结果。本发明通过移动通信终端生成公钥和私钥，并通过本地安全密码来保护公钥和私钥，由于本地安全密码不在网络上传输，所以大大降低了公钥和私钥被获取的风险，从而提高了无线网络中应用服务的使用安全性。
文档编号H04L9/08GK101183932SQ20071007746
公开日2008年5月21日 申请日期2007年12月3日 优先权日2007年12月3日
发明者张贤玮 申请人:宇龙计算机通信科技(深圳)有限公司