专利名称:智能手机数字证书的应用方法和系统的制作方法
技术领域:
本发明涉及通信安全技术,特别涉及一种智能手机数字证书的应用方法和系统。
背景技术:
随着国内3G行业的发展,越来越多的智能手机应用不断出现,其中很多应用都会涉及到用户及终端的身份鉴权问题,只有通过身份鉴权后,用户才能成功登录系统并使用相关的业务。现有技术中,智能手机应用的身份鉴权技术主要是用户名和密码鉴权,但是由于该技术中的关键信息容易被篡改、复制,使得该技术安全性低。基于数字证书的认证方式安全性较高,但是,如果将数字证书应用于智能手机,则必须通过智能手机的浏览器完成,即数字证书认证技术在智能手机上只能支持B/S架构的系统。但是,目前发展迅速的应用于智能手机上的第三方应用程序,是无法使用手机浏览器功能完成基于数字证书的身份认证的,因为手机浏览器实质上也是智能手机上的一个应用程序,虽然这个应用程序可以完成基于数字证书的身份认证,但是它并没有将这个功能以API的形式提供出来供其他应用程序使用,手机浏览器使用的数字证书一般都是通过数据线等方式导入到智能手机上,即,基于数字证书的高安全级别的身份鉴权技术难以应用在智能手机上;此外,数字证书的安装一般都需要通过数据线导入,该方式存在证书信息被窃取的安全隐患。
发明内容
本发明的目的是提供一种智能手机数字证书的应用方法和系统,以支持第三方数字证书的使用,克服手机浏览器的限制,且提高证书使用的安全度。本发明提供一种智能手机数字证书的应用方法,包括证书管理模块向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;所述证书管理模块接收CA系统返回的数字证书响应消息,所述数字证书响应消息中包括所述数字证书的证书下载码;并将所述证书下载码反馈至智能手机用户,以使得所述智能手机用户使用智能手机根据证书下载码由CA系统下载所述数字证书。本发明提供一种智能手机数字证书的应用系统,包括证书管理模块,用于向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;以及,将所述CA系统返回的证书下载码反馈至智能手机用户;CA系统,用于向所述证书管理模块返回数字证书响应消息,所述数字证书响应消息中包括所述数字证书的证书下载码;智能手机,用于根据证书下载码由CA系统下载所述数字证书。本发明的智能手机数字证书的应用方法和系统,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,智能手机用户采用该下载码从CA系统下载数字证书,大大提高了证书使用的安全性;且现了对第三方数字证书的支持。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明智能手机数字证书的应用系统实施例的结构示意图;图2为本发明智能手机数字证书的应用方法实施例一的流程示意图;图3为本发明智能手机数字证书的应用方法实施例一中的证书审核信令图;图4为本发明智能手机数字证书的应用方法实施例一中的证书激活信令图;图5为本发明智能手机数字证书的应用方法实施例二的信令示意图;图6为本发明智能手机数字证书的应用方法实施例三的信令示意图;图7为本发明智能手机数字证书的应用方法实施例四的信令示意图;图8为本发明智能手机数字证书的应用方法实施例五的信令示意图;图9为本发明智能手机数字证书的应用方法实施例六的信令示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明提供了一种智能手机数字证书的应用方法和系统,使得智能手机可以与证书颁发机构(Certificate Authority,简称CA)系统进行在线交互,获取证书下载码;可以基于数字软证书的使用,实现在业务管理平台中面向智能手机操作系统的手机终端进行真实身份的识别。下面通过附图和具体实施例,对本发明的技术方案做进一步的详细描述。实施例一图1为本发明智能手机数字证书的应用系统实施例的结构示意图,本实施例提供了一种可以在智能手机上进行基于数字证书的用户终端身份识别的应用系统,如图1所示,该数字证书的应用系统可以包括证书管理模块11、CA系统12和智能手机13。其中,证书管理模块11,用于向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;CA系统12,用于向所述证书管理模块返回数字证书响应消息,所述数字证书响应消息中包括所述数字证书的证书下载码;此时,证书管理模块11可以将所述CA系统返回的证书下载码反馈至智能手机用户,例如以邮件或其他安全方式通知至智能手机用户;智能手机13,用于根据证书下载码由CA系统下载所述数字证书。通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下
5载码,智能手机用户采用该下载码从CA系统下载数字证书,相对于现有技术中的数据线导入方式,大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。其中,证书管理模块11可以设置在业务管理平台上,负责为管理员提供操作界面,以实现证书申请信息的审核。CA系统12负责完成相应的证书审核签发、存储软证书、反馈证书下载码、反馈证书当前状态、更新证书吊销列表(Certificate Revocation List,简称CRL)等操作。智能手机13上的客户端软件负责根据证书下载码完成软证书的下载,并实现数字证书的分离、根证书的导入、私钥的存储、口令的管理、以及签名、验签等功能。例如,关于证书的状态,软证书生命周期具有申请、签发、可用、损毁、过期、退出服务6个状态。终端客户填写信息,发出证书申请,经审核流程通过后签发软证书,审核未通过拒绝申请。软证书经过激活流程转入可用状态。修改密码、签名加密流程不改变软证书可用状态。软证书超过有效期即进入过期状态,过期状态经过重签流程进入签发状态,软证书损毁遗失即进入损毁状态,损毁状态经过重载流程进入签发状态,可用状态经过吊销流程进入退出服务状态,退出服务状态不可逆。例如,关于证书的管理,数字软证书文件遵从X. 509V3标准,P12格式。证书的管理包括对证书格式及内容的要求、证书的部署、证书状态的流转、私钥保护口令、业务绑定、 在线更新等。绝大多数证书相关操作均由CA系统12实现,证书管理模块11侧的企业管理员仅在证书申请、审核、吊销环节进行管理;智能手机13侧的终端客户在签名、设置私钥保护口令、查询证书信息环节参与管理。此外,数字证书至少支持RSAlOM运算,支持签名、验签、数字信封,对称密钥算法为DES/3DES,或客户指定算法,随机数调用系统能力产生,散列算法为SHA-I。进一步的,所述证书管理模块,还用于获取智能手机业务信息,并将所述智能手机业务信息设置在数字证书申请消息中发送至CA系统;所述CA系统,还用于将所述智能手机业务信息设置在所述数字证书中。进一步的,所述智能手机,还用于向CA系统发送证书下载请求,所述证书下载请求中包括更新的证书下载码;所述CA系统,还用于根据所述更新的证书下载码,将更新后的数字证书发送至所述智能手机。进一步的,所述证书管理模块,还用于将智能手机终端信息与数字证书进行绑定。本实施例的智能手机数字证书的应用系统,通过设置证书管理模块和CA系统等, 由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,智能手机用户采用该下载码从CA系统下载数字证书,相对于现有技术中的数据线导入方式,大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。实施例二图2为本发明智能手机数字证书的应用方法实施例一的流程示意图,本实施例的数字证书的应用方法可以是由本发明任意实施例所述的智能手机数字证书的应用系统所执行。如图2所示,该应用方法可以包括以下步骤步骤201、证书管理模块向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;
其中,证书管理模块可以设置在业务管理平台上。该证书管理模块可以为管理员提供操作界面,接收智能手机用户的证书注册信息;例如,该证书注册信息可以包括用户的姓名、身份证号码、手机号码等。该证书管理模块可以对证书注册信息进行审核;在审核通过后,可以分批或者零星方式向CA系统提交数字证书申请消息,并将证书注册信息也携带在数字证书申请消息中一并发送至CA系统。步骤202、证书管理模块接收CA系统返回的数字证书响应消息,该响应消息中包括数字证书的证书下载码,并将下载码反馈至智能手机用户。其中,CA系统接收证书管理模块发送的数字证书申请消息,并对证书注册信息进行验证;在验证通过后则可以签发数字证书,并且CA系统可以针对每一个验证通过的数字证书生成一个随机的证书下载码,将证书下载码设置在数字证书响应消息中回送至证书管理模块。该证书管理模块可以使用较为安全的方式,将由CA系统得到的证书下载码反馈至智能手机用户。智能手机用户可以根据该证书下载码从CA系统下载数字证书。此外,该下载码可以为一次性码,一旦用户使用该下载码成功下载证书后,该下载码就会失效,以防止因下载码遗失造成的安全隐患。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,智能手机用户采用该下载码从CA系统下载数字证书,相对于现有技术中的数据线导入方式,大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。在此基础上,以下通过多个实施例分别对智能手机数字证书应用的各个分流程以及具体使用方法进行详细说明。实施例三图3为本发明智能手机数字证书的应用方法实施例一中的证书审核信令图,本实施例对智能手机数字证书的审核流程进行说明,该审核流程可以适用于首次申请或者重签。如图3所示,本实施例的证书审核流程可以包括以下步骤步骤301、智能手机用户将证书注册信息提交至证书管理模块;例如,证书注册信息可以包括用户的个人信息,例如,姓名、部门、身份证号码、邮箱地址和手机号码等。证书管理模块可以设置在企业的业务管理平台中,由企业管理员负责管理。步骤302、证书管理模块对证书注册信息进行审核;例如,企业管理员可以判断用户是否在册;如果不在册,则结束流程;否则继续判断用户提交的注册信息是否正确。如果注册信息不正确,可以提醒用户重新填写,用户填写完毕后将重新提交注册信息;如果注册信息正确,则继续判断是否是首次申请数字证书。如果不是首次申请数字证书,则判断原证书是否有效。如果有效,则转入原数字证书的吊销流程;如果无效,则继续本次数字证书申请的流程。如果是首次申请数字证书,则证书管理模块可以获取智能手机业务信息,例如可以包括企业代码和用户标识,还可以设置业务绑定,并对审核通过的证书注册信息进行签名,继续执行步骤303。
例如,业务绑定是由业务管理平台中的证书管理模块负责,将智能手机终端信息与智能手机数字证书进行绑定,其中的智能手机终端信息可以包括IMEI、手机号码等信息。 设置业务绑定指的是,为进一步提高后续数字证书使用中的业务鉴权的安全性,在业务管理平台上可以将智能手机终端的多种信息与数字证书进行绑定,以便将用户的数字证书限制在特定的手机终端上使用。在业务鉴权时智能手机客户端获取终端信息后将其与用户数字证书的信息一起发送业务管理平台,由业务管理平台判断终端及证书信息是否与先前的设置匹配,只有判断通过后才允许使用特定的业务。具体的,可用的绑定信息可以包括手机号码(网络)、ICCID、IMSI(SIM卡)、IMEI (终端)、用户名密码(应用系统)等。业务绑定可以根据用户需求,由企业管理员设置、修改、取消具体的绑定信息项目(如选择捆绑手机号码,则需要事先输入用户手机号码),可以进行动态绑定、解绑。在审核流程中,由企业管理员依据用户要求为其进行业务绑定的设置。证书逾期、损毁失效、吊销时该绑定失效。步骤303、证书管理模块在审核通过后,向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;步骤304、CA系统对证书注册信息进行审核;例如,CA系统在接收到证书管理模块发送的证书注册信息后,将首先验证证书管理模块的签名是否有效。如果签名无效,则回送错误代码至证书管理模块,向企业管理员提示错误信息。如果签名有效,则继续判断用户是否为首次申请数字证书。如果不是首次申请数字证书,则判断原证书是否有效。如果原证书依然有效,则回送错误代码至证书管理模块,向企业管理员提示错误信息;如果原证书已经失效,则继续本次数字证书申请流程。如果是首次申请数字证书,则验证数据有效性,该验证具体指的是对提交的注册信息的有效性进行判断,例如在注册信息中所要求的必填信息是否都提供了, 身份证号码是否正确等。如果数据无效,则回送错误代码至证书管理模块,向企业管理员提示错误信息;如果数据有效,则签发证书,生成证书下载码。 例如,在该步骤中,CA系统在完成审核过程且审核通过后,还可以将步骤302中证书管理模块获取的企业代码、终端客户标识等智能手机业务信息设置在数字证书中。本实施例对数字证书的格式进行了扩展,例如可以用证书的标准扩展项“策略映射”来限定证书的用途范围;可以定义证书的私有扩展项,将步骤302中获取的企业代码、终端客户标识等智能手机业务信息设置入该证书的私有扩展项中,其中企业代码可以为9位10进制数字, 终端客户标识可以为15位10进制数字,适配服务器代码可以为9为10进制数字。通过扩展证书格式,可以支持在证书中进行多种信息的组合绑定,提高了证书使用的安全级别。步骤305、CA系统向证书管理模块发送数字证书响应消息,该数字证书响应消息中包括证书下载码。步骤306、证书管理模块以较安全的方式将证书下载码反馈至智能手机用户。证书管理模块可以采用邮件或者其他安全的方式将证书下载码反馈至智能手机用户。例如,负责管理证书管理模块的企业管理员可以通过企业邮箱将下载码告诉用户,或者企业管理员将每个用户的下载码打印出来,当面交给用户,或者通过短信的形式发到用户手机等。具体采用什么方案,可以取决于用户的选择。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,相对于现有技术中的数据线导入方式,
8大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。实施例四图4为本发明智能手机数字证书的应用方法实施例一中的证书激活信令图,本实施例对智能手机数字证书的激活流程进行说明,如图4所示,本实施例的证书激活流程可以包括以下步骤步骤401、智能手机的客户端软件检查数字证书的安装状态,并获取证书下载码;例如,智能手机用户在下载安装用于通信的客户端软件后,启动该软件进行初始化操作。之后客户端软件可以判断是否安装根证书,证书验证采用证书链,根证书(支持第三方证书)可以内置于客户端软件,需要在客户端软件安装时提前导入。如果未安装,则导入根证书;如果导入失败,则记录状态退出;如果根证书已经导入成功,则提示用户下载软证书即数字证书。如果用户选择不下载,则记录状态退出;如果用户选择下载,则提示用户输入证书下载码。步骤402、智能手机的客户端软件向CA系统发送证书下载请求,该证书下载请求中包括有证书下载码;步骤403、CA系统判断证书下载码和数据的有效性;例如,CA系统与客户端软件建立安全信息通道后,判断证书下载码是否有效。如果无效,则回送错误代码,客户端提示错误信息退出;如果有效,则继续验证数据的有效性, 该验证指的是,下载请求中不仅包含了证书下载码,还包含了一些根证书的信息,例如CA 机构的信息;CA系统要判断请求中的机构信息是否与自身匹配,以判断是否继续响应该请求。如果数据有误,则回送错误代码,客户端提示错误信息退出;如果数据正确,则继续执行步骤404。步骤404、CA系统向客户端软件发送证书下载响应,其中包括CA系统返回的数字证书;步骤405、智能手机的客户端软件安装数字证书。例如,客户端软件在收到证书后,可以提示用户输入修改私钥保护口令,并导入软证书。如果软证书导入失败,则提示错误信息退出;如果软证书导入成功,则软证书处于可用状态,结束流程。其中,CA系统批量生成软证书,初始私钥保护口令可以由申请人(企业管理员) 设置。私钥保护口令编码规则如下位长8-16位英文字母数字混合字符串,大小写不敏感。 用户在下载安装软证书时,需要重新设置私钥保护口令。用户进行签名操作,调用私钥前必须输入私钥保护口令,验证通过后方可签名。可以定期提醒用户修改保护口令;例如可以累计6次输入错误,私钥保护口令锁死,累计未超过6次输入错误,输入正确,输入错误次数清零。锁死不可逆,锁死与私钥保护口令遗失均视为软证书损毁。也可以由业务管理平台随机生成初始私钥保护口令,与证书序列号一一对应。该证书序列号通常为一数字串,是用户在CA系统申请数字证书时,CA系统为数字证书生成的,每一数字证书都对应有唯一的证书序列号。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,相对于现有技术中的数据线导入方式, 大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。实施例五图5为本发明智能手机数字证书的应用方法实施例二的信令示意图,本实施例对智能手机数字证书的更新流程进行说明,在线更新即签发并下载新证书,吊销旧证书,激活新证书的流程。证书更新的前提条件是原有证书处于可用状态,不涉及信息更新,用户亦为有效状态。例如在原证书有效期到达前一个月内可行,并在线提醒客户。涉及到如下情况的不适应在线更新用户信息更新、原证书逾期重新签发,原证书损毁遗失。如图5所示,本实施例可以包括以下步骤步骤501、智能手机获取更新的证书下载码;例如,终端用户运行客户端软件,并选择软证书在线更新操作后,客户端软件执行初始化,并判断软证书是否有效。如果无效,则转入证书激活流程;如果有效,则获取更新的证书下载码,该证书下载码可以从企业管理员处获得,管理员可以自己选择使用他认为最为安全的方式告诉用户。步骤502、智能手机向CA系统发送证书下载请求,该请求中包括更新的证书下载码;步骤503、CA系统进行信息审核;例如,CA系统建立与客户端软件的信息通道后,判断证书下载码是否有效。如果无效,则回送错误代码,客户端软件提示错误信息退出;如果有效,则验证数据的有效性,该验证指的是,下载请求中不仅包含了证书下载码,还包含了一些根证书的信息,例如CA机构的信息;CA系统要判断请求中的机构信息是否与自身匹配,以判断是否继续响应该请求。 如果数据无效,则回送错误代码,客户端软件提示错误信息退出;如果数据有效,则继续执行步骤504。步骤504、CA系统根据所述更新的证书下载码,向智能手机发送证书下载响应,将更新后的数字证书发送至所述智能手机;步骤505、智能手机安装更新后的数字证书。例如,客户端软件收到软证书后,提示终端用户输入并修改私钥保护口令,并导入新的软证书。如果导入失败,则提示错误信息退出;如果导入成功,则转入旧证书的吊销流程,结束流程。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,相对于现有技术中的数据线导入方式, 大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。实施例六图6为本发明智能手机数字证书的应用方法实施例三的信令示意图,本实施例对智能手机数字证书的吊销流程进行说明,如图6所示,本实施例可以包括以下步骤步骤601、证书管理模块接收证书吊销请求,该证书吊销请求中包括智能手机用户的证书注册信息;
例如,终端用户可以向证书管理模块发送证书吊销请求,并将证书注册信息一并设置在证书吊销请求中发送至证书管理模块。其中,证书注册信息中包括用户的个人信息, 该个人信息例如包括姓名、部门、身份证号码、邮箱地址、手机号码和吊销原因等信息。步骤602、证书管理模块获取所要吊销证书的证书序列号;证书管理模块的企业管理员可以对用户的个人信息及证书有效性等进行审核。例如,判断终端用户是否在册;如果不在册,则结束流程;如果在册,则判断提交的信息是否正确。如果信息不正确,则提醒终端用户重新填写,终端用户重新填写后再提交给企业管理员;如果信息正确,则判断证书是否有效。如果证书无效,判断是否存在业务绑定。如果无业务绑定,则结束流程;如果有业务绑定,则先解除业务绑定后,向终端用户返回吊销结果。如果证书有效,则获取证书序列号,并将信息签名。步骤603、证书管理模块向CA系统发送证书吊销请求,所述证书吊销请求中包括所述数字证书的证书序列号,以及所获取的终端用户注册信息;步骤604、CA系统根据所述证书序列号吊销所述数字证书;例如,CA系统首先判断签名的有效性。如果签名无效,则回送错误代码,向企业管理员提示信息错误;如果签名有效,则判断证书序列号的有效性。如果证书序列号无效,则回送错误代码,向企业管理员提示信息错误;如果证书序列号有效,则判断原证书即所要吊销的证书是否有效。如果原证书无效,则回送错误代码,向企业管理员提示信息错误;如果原证书有效,则继续验证数据的有效性。如果数据无效,则回送错误代码,向企业管理员提示信息错误;如果数据有效,则吊销证书。步骤605、CA系统向证书管理模块发送证书吊销响应,回送吊销结果;步骤606、证书管理模块将吊销结果反馈至终端用户。例如,证书管理模块的企业管理员在接收到CA系统的吊销结果后,解除业务绑定,向终端用户返回吊销结果,结束流程。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,相对于现有技术中的数据线导入方式, 大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。实施例七图7为本发明智能手机数字证书的应用方法实施例四的信令示意图,本实施例对智能手机数字证书使用中的业务鉴权流程进行说明,以业务管理平台的应用下载为例,如图7所示,本实施例可以包括以下步骤步骤701、智能手机向业务管理平台发送业务寻址请求;例如,智能手机的终端用户输入企业标识,客户端软件向业务管理平台发出业务寻址请求。步骤702、业务管理平台对用户信息进行审核;例如,业务管理平台判断企业标识的有效性,如果无效,则客户端软件显示企业标识无效;如果有效,则继续判断证书是否有效。如果证书无效,则客户端提示证书无效;如
11果证书有效,则继续判断用户是否有效,即判断该用户是否已经在业务管理平台上注册,该用户是否处于激活状态等。如果用户无效,则客户端提示用户无效;如果用户有效,则继续判断是否有业务绑定,即判断业务管理平台是否开启与终端信息的多重校验。如果未开启业务绑定,则继续判断是否超过签约数量;如果开启了业务绑定,则继续执行步骤703。步骤703、业务管理平台向智能手机发送获取绑定信息请求,请求获取绑定信息;步骤704、智能手机的客户端软件向业务管理平台发送绑定信息;步骤705、业务管理平台审核通过后,转入应用下载流程。例如,业务管理平台在从智能手机终端获取绑定信息后,判断业务绑定信息是否匹配。如果绑定信息不匹配,则客户端显示绑定不匹配的提示,结束流程;如果绑定信息匹配,则继续判断是否超过签约数量。如果超过签约数量,则客户端显示超过签约数量,结束流程;如果未超过签约数量,则转入应用下载流程。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,相对于现有技术中的数据线导入方式, 大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。实施例八图8为本发明智能手机数字证书的应用方法实施例五的信令示意图,本实施例对智能手机数字证书使用中的证书应用认证流程进行说明,如图8所示,本实施例可以包括以下步骤步骤801、智能手机在需要进行证书应用认证时,获取私钥保护口令;证书应用认证指的是,企业的OA、ERP等内部办公系统登录时,需要使用证书进行身份认证,就像有些网银登录时一样。例如,智能手机运行客户端软件,执行初始化操作后,判断是否需要进行软证书应用认证。如果不需要,则转入其他应用认证流程;如果需要,则继续判断证书的有效性。如果证书无效,则转入软证书激活流程;如果证书有效,则提示用户输入私钥保护口令,并继续执行步骤802。步骤802、智能手机向企业应用系统发送应用登陆请求;例如,企业应用系统指企业内部的办公自动化(Office Automation,简称0A)、企业资源规划(Enterprise Resourse Planning,简称ERP)等内部办公系统。步骤803、企业应用系统对证书进行审核;例如,企业应用系统首先与客户端建立可信通道,而后判断证书是否有效。如果证书无效,则回送错误代码给客户端,客户端向用户提示错误信息;如果证书有效,则继续判断用户是否有效。如果用户无效,则回送错误代码给客户端,客户端向用户提示错误信息;如果用户有效,则判断业务绑定是否有效。如果业务绑定判断的结果为无效,则回送错误代码给客户端,客户端向用户提示错误信息;如果业务绑定判断的结果为有效,则审核通过,可以成功登陆,执行步骤804。
步骤804、企业应用系统向智能手机发送应用登陆响应,通知登陆成功;步骤805、智能手机登陆企业应用系统。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,相对于现有技术中的数据线导入方式, 大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。实施例九图9为本发明智能手机数字证书的应用方法实施例六的信令示意图,本实施例通过远程控制流程说明在客户端上使用数字证书对控制指令进行验签,以保证指令来源的真实有效性的过程。如图9所示,本实施例可以包括以下步骤步骤901、证书管理模块接收远程控制请求;例如,企业管理员向业务管理平台的证书管理模块发送远程控制请求,提请远程控制智能手机终端。证书管理模块判断该企业管理员是否有权限执行此操作,如果没有权限,则显示错误提示信息;如果有权限,则执行步骤902。步骤902、证书管理模块向适配服务器发送远程控制指令,并在该指令上签名;步骤903、适配服务器将远程控制指令进行格式转换;例如,适配服务器收到指令执行初始化后,判断所要控制的智能手机终端是否在线。如果不在线,则反馈给证书管理模块相关信息,证书管理模块记录状态;如果在线,则判断该指令是否有效。如果指令无效,则显示错误提示信息;如果指令有效,则将指令转换为智能手机的客户端软件可以识别的格式,并使用数字证书对指令进行签名。步骤904、适配服务器通过与智能手机的客户端软件建立的可信通道,将远程控制指令发送至智能手机;步骤905、智能手机使用数字证书对远程控制指令进行验签审核,在审核通过后, 执行所述远程控制指令;例如,客户端软件收到指令后,首先要使用数字证书判断指令签名的有效性。如果无效,则回送错误代码,如果有效,则继续判断指令是否与终端匹配。如果不匹配,则回送错误代码,如果匹配,则执行指令,并判断指令是否执行成功。如果不成功,则回送错误代码, 如果成功,则执行步骤906。步骤906、智能手机返回操作成功结果。例如,智能手机的客户端软件向适配服务器返回成功结果,适配服务器提示操作成功,证书管理模块提示远程控制操作成功,结束流程。本实施例的智能手机数字证书的应用方法,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,相对于现有技术中的数据线导入方式, 大大提高了证书使用的安全性;并且该方式不需要使用手机浏览器,克服了现有技术中所存在的手机浏览器的限制,实现了对第三方数字证书的支持。其中,综合上述的几种数字证书应用的方法实施例,在证书申请时,提交的信息至少包括用户详细信息(姓名、身份证号、邮箱地址、手机号码等)、终端客户标识、企业代码、企业管理员审核标识;原证书序列号(可选);返回的信息至少包括证书下载码、证书序列号、申请结果。在证书状态查询时,提交的信息至少包括终端客户标识、证书序列号 (可选)、用户信息(可选);返回的信息至少包括证书当前状态、证书序列号、历史信息。 在证书下载时,提交的信息至少包括证书下载码、证书序列号;返回的信息至少包括软证书和验证结果。在证书吊销时,提交的信息至少包括用户详细信息(姓名、身份证号码、 邮箱地址、手机号码等)、证书序列号、终端客户标识、企业代码、企业管理员审核标识;返回的信息包括证书吊销结果。实施例十在具体实施中,根据智能手机操作系统的不同,对于数字证书的安装部署也有区别。本实施例以常用的几种手机操作系统为例,对数字证书的安装部署方案进行分别说明。 其中,智能手机所用的客户端软件架构中包括通信功能模块、数据管理模块等,数字证书在智能手机上的安装部署是客户端软件架构中的一个功能模块。下面的说明是针对不同的智能手机操作系统,说明客户端软件架构中中的数字证书安装部署模块所使用的接口函数。 例如,iOS手机系统系统提供简单的安全服务函数集,设置了专用私钥存储空间,不支持第三方数字证书,不支持硬证书,无软证书私钥保护口令操作。为克服上述iOS系统的限制,客户端软件自身维护证书库,负责根证书的管理,下载的P12证书导入到iOS的密钥库管理系统,但是私钥口令的保护功能(修改,定期修改提醒等)由客户端软件实现。其中用到的API接口包括操作证书库和使用证书库;操作证书库如下
SecKeychainCreate Il 创建证书库
SecKeychainDelete // 删除证书库 SecKeychainOpen // 打开证书库 SecKeychainGetPath //获取证书库地址 SecKeychainItemExport // 证书的导出 SecKeychainItemImport Il 证书 勺导人
SecKeychainItemCreateCopy // Copies a keychain item from one keychain to another
S ecKeychainltemDelete
SecKeychainItemModifyContent //Updates an existing keychain item after
changing its attributes and/or data.使用证书库如下
权利要求
1.一种智能手机数字证书的应用方法,其特征在于,包括证书管理模块向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;所述证书管理模块接收CA系统返回的数字证书响应消息,所述数字证书响应消息中包括所述数字证书的证书下载码;并将所述证书下载码反馈至智能手机用户,以使得智能手机根据证书下载码由CA系统下载数字证书。
2.根据权利要求1所述的智能手机数字证书的应用方法,其特征在于,还包括所述证书管理模块获取智能手机业务信息,并将所述智能手机业务信息设置在数字证书申请消息中发送至CA系统;所述CA系统将所述智能手机业务信息设置在所述数字证书中。
3.根据权利要求1所述的智能手机数字证书的应用方法,其特征在于,还包括所述智能手机向CA系统发送证书下载请求,所述证书下载请求中包括更新的证书下载码;所述CA系统根据所述更新的证书下载码,将更新后的数字证书发送至所述智能手机。
4.根据权利要求1所述的智能手机数字证书的应用方法,其特征在于,还包括 所述证书管理模块向CA系统发送证书吊销请求,所述证书吊销请求中包括所述数字证书的证书序列号;所述CA系统根据所述证书序列号吊销所述数字证书。
5.根据权利要求1所述的智能手机数字证书的应用方法,其特征在于,还包括 所述证书管理模块将智能手机终端信息与所述数字证书进行绑定。
6.根据权利要求1所述的智能手机数字证书的应用方法,其特征在于,还包括 所述证书管理模块向适配服务器发送远程控制指令;所述适配服务器将所述远程控制指令进行格式转换后发送至所述智能手机,以使得所述智能手机执行所述远程控制指令,实现所述证书管理模块对所述智能手机的远程控制。
7.一种智能手机数字证书的应用系统,其特征在于,包括证书管理模块,用于向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;以及,将所述CA系统返回的证书下载码反馈至智能手机用户;CA系统,用于向所述证书管理模块返回数字证书响应消息,所述数字证书响应消息中包括所述数字证书的证书下载码;智能手机,用于根据证书下载码由CA系统下载所述数字证书。
8.根据权利要求7所述的智能手机数字证书的应用系统,其特征在于,所述证书管理模块,还用于获取智能手机业务信息,并将所述智能手机业务信息设置在数字证书申请消息中发送至CA系统;所述CA系统,还用于将所述智能手机业务信息设置在所述数字证书中。
9.根据权利要求7所述的智能手机数字证书的应用系统,其特征在于,还包括 所述智能手机,还用于向CA系统发送证书下载请求,所述证书下载请求中包括更新的证书下载码;所述CA系统,还用于根据所述更新的证书下载码,将更新后的数字证书发送至所述智能手机。
10.根据权利要求7所述的智能手机数字证书的应用系统,其特征在于, 所述证书管理模块,还用于将智能手机终端信息与数字证书进行绑定。
全文摘要
本发明提供一种智能手机数字证书的应用方法和系统,其中方法包括证书管理模块向CA系统发送数字证书申请消息,所述数字证书申请消息中包括智能手机用户的证书注册信息;所述证书管理模块接收CA系统返回的数字证书响应消息,所述数字证书响应消息中包括所述数字证书的证书下载码;并将所述证书下载码反馈至智能手机用户,以使得智能手机根据证书下载码由CA系统下载所述数字证书。本发明的智能手机数字证书的应用方法和系统,通过由证书管理模块直接与CA系统进行在线交互,并接收CA系统下发的证书下载码,智能手机用户采用该下载码从CA系统下载数字证书,大大提高了证书使用的安全性;实现了对第三方数字证书的支持。
文档编号H04W12/06GK102215488SQ20111014040
公开日2011年10月12日 申请日期2011年5月27日 优先权日2011年5月27日
发明者姚韬, 王炳辉, 范勇杰 申请人:中国联合网络通信集团有限公司, 中网威信电子安全服务有限公司