专利名称:业务订购方法及系统、业务权限认证方法、终端设备的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种业务订购方法及系统、业务权限认证方法、终端设备。
背景技术:
现有技术中,业务提供商为了限制业务的使用,会对终端使用业务的权限进行设置,终端只有通过了权限认证才能使用业务,进行相应的业务处理。对终端使用业务的权限进行认证的方法主要包括下述三种1、传统终端认证方法,用户预先设置静态密码,在使用业务时,输入设置的静态密码,终端将用户输入的密码发送到网络侧,网络侧对输入的密码进行鉴权,若鉴权通过,则认为该用户是合法的,即具有使用业务的权限。采用上述第I种方式进行权限认证时,由于密码的每次输入都由用户手工进行,因此会导致密码泄露,且在用户输入密码的过程中,密码也可能被终端中的木马程序截获,因此安全性较差。2、基于认证硬件的终端认证方法,这种方法需要使用独立的认证硬件,例如通用串行总线锁(USB Key, Universal Serial BUS Key)和智能卡,其中USB Key是一种USB接口的硬件设备,它内置有单片机或智能卡芯片,具备一定的存储空间,可以存储用户的鉴权证书,后续利用该鉴权证书实现权限的认证,USB Key由用户随身携带,使用它进行权限认证时,必须将USB Key连接到终端中,由终端中的驱动软件来进行驱动;
`
智能卡是一种内置集成电路的芯片,芯片中存有与用户的相关信息,后续利用存储的相关信息进行权限认证,智能卡由用户随身携带,使用它进行权限认证时,必须将智能卡插入与终端相连的专用读卡器中,终端通过读卡器来读取用户相关信息,然而由于每次从智能卡中读取的信息是静态的,终端中的木马程序通过内存扫描或网络监听等技术,很容易截获用户的相关信息,因此存在较大的安全隐患。采用上述第2种方式进行权限认证时,用户除了要具备终端外,还需要具备认证硬件(USB Key或智能卡)、识别硬件(读卡器)以及相应的驱动软件,部署和操作相当复杂,且认证硬件和识别硬件容易遗失,从而造成人为的安全隐患。
发明内容
本发明实施例提供一种业务订购方法及系统、业务权限认证方法、终端设备,用以解决现有技术对终端使用业务的权限进行认证时,认证的安全性较低的问题。一种业务订购方法,包括终端针对要订购的业务,向鉴权证书生成服务器发送业务订购请求;以及获得所述鉴权证书生成服务器在接收到所述业务订购请求后为所述终端分配的、用于对终端使用所述业务的权限进行认证的鉴权证书;所述终端将获得的鉴权证书存储在自身的虚拟机中。
一种终端设备,包括虚拟机;订购请求发送模块,用于针对要订购的业务,向鉴权证书生成服务器发送业务订购请求;鉴权证书获得模块,用于获得所述鉴权证书生成服务器在接收到所述业务订购请求后为所述终端设备分配的、用于对终端设备使用所述业务的权限进行认证的鉴权证书,并将获得的鉴权证书存储在所述虚拟机中。一种业务订购系统,包括终端设备和鉴权证书生成服务器,其中终端设备,用于针对要订购的业务,向所述鉴权证书生成服务器发送业务订购请求,在获得所述鉴权证书生成服务器分配的鉴权证书后,将获得的鉴权证书存储在自身的虚拟机中;鉴权证书生成服务器,用于接收到所述业务订购请求后,为所述终端设备分配用于对终端设备使用所述业务的权限进行认证的鉴权证书,并将分配的鉴权证书发送给所述终端设备。一种业务权限认证方法,包括终端要使用业务时,在自身的虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书;并在所述虚拟机中,根据查找到的鉴权证书对使用所述业务的权限进行认证。一种终端设备,包括虚拟机,存储有所述终端使用各业务时的鉴权证书;鉴权证书查找模块,用于在使用业务时,在所述虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书;认证模块,用于在所述虚拟机中,根据鉴权证书查找模块查找到的鉴权证书对使用所述业务的权限进行认证。 本发明实施例技术方案中,终端要订购业务时,针对要订购的业务,向鉴权证书生成服务器发送业务订购请求,鉴权证书生成服务器在接收到所述业务订购请求后,为所述终端分配用于对终端使用所述业务的权限进行认证的鉴权证书,终端获得该鉴权证书后,存储在自身的虚拟机中,由于虚拟机是通过软件模拟的、具有完整硬件系统功能、运行在一个完全隔离环境中的完整计算机系统,因此终端中的木马程序就不能窃取存储在虚拟机中的鉴权证书,后续终端要使用业务时,先在自身的虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书,然后在所述虚拟机中,根据查找到的鉴权证书对使用所述业务的权限进行认证,也就是说,根据鉴权证书进行权限认证的过程在虚拟机中执行,那么终端中的木马程序就无法通过内存扫描或网络监听的方式窃取到鉴权证书,因此有效地提高了权限认证的安全性,此外,进行权限认证时,用户无需具备认证硬件(USB Key或智能卡)、识别硬件(读卡器)以及相应的驱动软件,只要具备终端即可,因此简化了认证操作流程,避免了认证硬件和识别硬件遗失造成的安全隐患。
图1为本发明实施例一中,业务订购系统结构示意图;图2为本发明实施例二中,业务订购方法流程示意图;图3为本发明实施例三中,终端设备结构示意图;图4为本发明实施例四中,业务权限认证方法流程示意图;图5为本发明实施例五中,终端设备结构示意图;图6为本发明实施例六中,业务订购及权限认证方法具体实现流程示意图。
具体实施例方式为了提高对终端使用业务的权限进行认证的安全性,本发明实施例提出一种业务订购方法以及业务权限认证方法,终端要订购业务时,针对要订购的业务,向鉴权证书生成服务器发送业务订购请求,鉴权证书生成服务器在接收到所述业务订购请求后,为所述终端分配用于对终端使用所述业务的权限进行认证的鉴权证书,终端获得该鉴权证书后,存储在自身的虚拟机中,由于虚拟机是通过软件模拟的、具有完整硬件系统功能、运行在一个完全隔离环境中的完整计算机系统,因此终端中的木马程序就不能窃取存储在虚拟机中的鉴权证书,后续终端要使用业务时,先在自身的虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书,然后在所述虚拟机中,根据查找到的鉴权证书对使用所述业务的权限进行认证,也就是说,根据鉴权证书进行权限认证的过程在虚拟机中执行,那么终端中的木马程序就无法通过内存扫描或网络监听的方式窃取到鉴权证书,因此有效地提高了权限认证的安全性,此外,进行权限认证时,用户无需具备认证硬件(USB Key或智能卡)、识别硬件(读卡器)以及相应的驱动软件,只要具备终端即可,因此简化了认证操作流程,避免了认证硬件和识别硬件遗失造成的安全隐患。下面结合各个附图对本发明实施例技术方案的主要实现原理具体实施方式
及其对应能够达到的有益效果进行详细地阐述。实施例一本发明实施例一提出一种业务订购系统,如图1所示,包括终端设备11、鉴权证书生成服务器12、认证服务器(AuS,Authentication Server) 13、密钥数据库14、密钥管理中心15,其中终端设备11,用于针对要订购的业务,向鉴权证书生成服务器12发送业务订购请求,在获得所述鉴权证书生成服务器12分配的鉴权证书后,将获得的鉴权证书存储在自身的虚拟机中;鉴权证书生成服务器12,用于接收到所述业务订购请求后,为所述终端设备11分配用于对终端设备11使用所述业务的权限进行认证的鉴权证书,并将分配的鉴权证书发送给所述终端设备11。
其中,所述鉴权证书生成服务器可以但不限于为数据/业务服务器(DS/AS,DataServer/Application Server)。鉴权证书生成服务器12在接收到业务订购请求之后,可以直接为终端设备11分配用于对终端设备11使用所述业务的权限进行认证的鉴权证书,然后将分配的鉴权证书发送给终端设备11 ;此外,鉴权证书生成服务器12也可以存储为各终端设备11分配的鉴权证书,若鉴权证书生成服务器12已经为终端设备11分配了鉴权证书,则表明该业务针对该终端设备11的业务开通状态为已开通,为了节省处理资源,鉴权证书生成服务器12可以直接将该鉴权证书发送给终端设备11,而无需重新分配,因此鉴权证书生成服务器12在为终端设备11分配鉴权证书之前,可以先在自身存储的该终端设备11的各鉴权证书中,查找所述业务对应的鉴权证书,若查找结果为查找到,则将查找到的鉴权证书发送给所述终端设备11,若查找结果为未查找到,则执行为所述终端设备分配鉴权证书的操作。终端设备11接收到鉴权证书生成服务器12发送的鉴权证书后,将鉴权证书存储到自身的虚拟机中,本发明实施例一中,终端设备11中的虚拟机是通过软件模拟的、具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,虚拟机的运行空间与终端操作系统相互独立,终端中的木马程序无法通过内存扫描或网络监听等方式窃取虚拟机中存储的数据以及虚拟机运行时的数据,因此终端中的木马程序就不能窃取存储在虚拟机中的鉴权证书,从而有效提高了权限认证的安全性。为了提高鉴权证书在传输过程中的安全性,本发明实施例一提出,将鉴权证书进行加密后发送给终端设备11,具体的鉴权证书生成服务器12为终端设备11分配鉴权证书之后,将分配的鉴权证书发送给AuS13,AuS13从密钥数据库14中提取出该终端设备11的第一加密密钥,其中,密钥数据库14中存储有各终端设备11预先设置的第一加密密钥,AuS13根据提取出的第一加密密钥,对接收到的鉴权证书进行加密处理,得到对应的业务密码,然后将得到的业务密码发送给鉴权证书生成服务器12,鉴权证书生成服务器12将接收到的业务密码发送给终端设备11,终端设备11在自身的虚拟机中,根据预先存储在所述虚拟机中的第二加密密钥,对接收到的业务密码进行解密,得到对应的鉴权证书,并将解密得到的鉴权证书存储在上述虚拟机中。鉴权证书生成服务器12在接收到AuS13发送的业务密码后,在转发给终端设备11的同时,自身也可以进行存储,若鉴权证书生成服务器12中存储有为终端设备11分配的鉴权证书对应的业务密码,则表明该业务针对该终端设备11的业务开通状态为已开通,为了节省处理资源,鉴权证书生成服务器12可以直接将存储的该业务密码发送给终端设备11,而无需重新分配鉴权证书,也无需AuS13重新对鉴权证书进行加密,因此鉴权证书生成服务器12在接收到业务订购请求之后,在为终端设备11分配鉴权证书之前,可以先在自身存储的该终端设备11的各业务密码中,查找所述业务对应的业务密码,若查找结果为查找至IJ,则将查找到的业务密码发送给所述终端设备11,若查找结果为未查找到,则执行为所述终端设备分配鉴权证书的操作。采用现有技术的基于认证硬件的终端认证方法进行权限认证时,每个终端都可以使用同一认证硬件进行权限认证,例如用户可以在终端I上使用USBKey进行权限认证来使用相应的业务,还可以在终端2上使用该USB Key进行权限认证来使用相同的业务,因此该方法不适合只能在某些终端上使用某业务的情况,从而导致对权限进行控制的灵活性较低。而本发明实施例 一中,由于终端设备11接收到的不再是鉴权证书,而是根据该终端设备11预设的第一加密密钥进行加密后得到的业务密码,要想获得对应的鉴权证书,就必须使用对应的第二加密密钥进行解密,而第二加密密钥是存储在终端设备11的虚拟机中的,他人无法窃取,因此该业务密码只能被该终端设备11识别,即使他人窃取到该业务密码,也无法解密出鉴权证书,从而无法使用业务,因此适用于只能在某些终端上使用某业务的情况,能够灵活的对终端设备11使用业务的权限进行控制。其中,上述第一加密密钥可以但不限于为终端设备11预先设置的公钥,那么第二加密密钥就为对应的私钥。本发明实施例一中,密钥管理中心15主要用于维护密钥数据库,负责用户密钥的签发、更新,作废等管理。实施例二基于上述业务订购系统,本发明实施例二提出一种业务订购方法,如图2所示,其具体处理流程如下步骤21,终端针对要订购的业务,向鉴权证书生成服务器发送业务订购请求,所述鉴权证书生成服务器可以但不限于为DS/AS ;
本发明实施例二中提到的业务可以但不限于为数据文件或业务应用,当为数据文件时,终端通过网络或其它途径获得数据文件,由于数据文件提供商为了获得盈利或限制流通,可能对数据文件进行加密,因此终端需要通过权限认证对数据文件进行解密,才能顺利使用该数据文件;当为业务应用时,该业务应用的提供商可能会对使用该业务应用的终端设置相应的权限,终端需要通过权限认证才能合法使用该业务应用。
当终端要使用业务时,先在自身的虚拟机存储的各业务对应的鉴权证书中,查找要处理的业务对应的鉴权证书,若未查找到,则表明终端并未订购此业务,那么终端可以向鉴权证书生成服务器发送业务订购请求,若查找到,则表明终端已订购此业务,因此终端可以直接根据查找到的鉴权证书进行认证。
具体的
当终端要使用业务时,先将要使用的业务的业务标识发送给自身的虚拟机,虚拟机中存储有终端已订购的各业务的业务标识与鉴权证书之间的对应关系,如表I所示
表1:
权利要求
1.一种业务订购方法,其特征在于,包括终端针对要订购的业务,向鉴权证书生成服务器发送业务订购请求;以及获得所述鉴权证书生成服务器在接收到所述业务订购请求后为所述终端分配的、用于对终端使用所述业务的权限进行认证的鉴权证书;所述终端将获得的鉴权证书存储在自身的虚拟机中。
2.如权利要求1所述的方法,其特征在于,终端向鉴权证书生成服务器发送业务订购请求之前,还包括终端要使用业务时,在自身的虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书;并确认查找结果为未查找到。
3.如权利要求1所述的方法,其特征在于,获得所述鉴权证书生成服务器在接收到所述业务订购请求后为所述终端分配的、用于对终端使用所述业务的权限进行认证的鉴权证书,具体包括所述终端接收所述鉴权证书生成服务器发送的业务密码,所述业务密码为认证服务器 AuS根据所述终端的第一加密密钥,对鉴权证书生成服务器为所述终端分配的鉴权证书进行加密处理后生成的,并通过所述鉴权证书生成服务器发送的;所述终端在自身的虚拟机中,根据虚拟机中存储的第二加密密钥,对接收到的业务密码进行解密,得到用于对所述终端使用所述业务的权限进行认证的鉴权证书。
4.如权利要求3所述的方法,其特征在于,所述第一加密密钥为所述终端预设的公钥, 所述第二加密密钥为与所述公钥对应的私钥。
5.一种终端设备,其特征在于,包括虚拟机;订购请求发送模块,用于针对要订购的业务,向鉴权证书生成服务器发送业务订购请求;鉴权证书获得模块,用于获得所述鉴权证书生成服务器在接收到所述业务订购请求后为所述终端设备分配的、用于对终端设备使用所述业务的权限进行认证的鉴权证书,并将获得的鉴权证书存储在所述虚拟机中。
6.如权利要求5所述的终端设备,其特征在于,还包括鉴权证书查找模块,用于在订购请求发送模块向鉴权证书生成服务器发送业务订购请求之前,在所述虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书;查找结果确认模块,用于确认鉴权证书查找模块的查找结果为未查找到。
7.如权利要求5所述的终端设备,其特征在于,鉴权证书获得模块具体包括接收所述鉴权证书生成服务器发送的业务密码,所述业务密码为认证服务器AuS根据所述终端设备的第一加密密钥,对鉴权证书生成服务器为所述终端设备分配的鉴权证书进行加密处理后生成的,并通过所述鉴权证书生成服务器发送的;解密子模块,用于在所述虚拟机中,根据所述虚拟机中存储的第二加密密钥,对业务密码接收子模块接收到的业务密码进行解密,得到用于对所述终端设备使用所述业务的权限进行认证的鉴权证书。
8.—种业务订购系统,其特征在于,包括终端设备和鉴权证书生成服务器,其中终端设备,用于针对要订购的业务,向所述鉴权证书生成服务器发送业务订购请求,在获得所述鉴权证书生成服务器分配的鉴权证书后,将获得的鉴权证书存储在自身的虚拟机中;鉴权证书生成服务器,用于接收到所述业务订购请求后,为所述终端设备分配用于对终端设备使用所述业务的权限进行认证的鉴权证书,并将分配的鉴权证书发送给所述终端设备。
9.如权利要求8所述的系统,其特征在于,还包括认证服务器AuS;所述鉴权证书生成服务器,具体用于将分配的鉴权证书发送给所述AuS,以及将所述 AuS发送的业务密码发送给所述终端设备;所述AuS,用于根据所述终端设备的第一加密密钥,对所述鉴权证书生成服务器发送的鉴权证书进行加密处理,得到对应的业务密码,并将得到的业务密码发送给所述鉴权证书生成服务器;所述终端设备,具体用于接收到所述鉴权证书生成服务器发送的业务密码后,在自身的虚拟机中,根据所述虚拟机中存储的第二加密密钥,对接收到的业务密码进行解密,得到用于对所述终端设备使用所述业务的权限进行认证的鉴权证书。
10.如权利要求9所述的系统,其特征在于,所述第一加密密钥为所述终端设备预设的公钥,所述第二加密密钥为与所述公钥对应的私钥。
11.如权利要求9所述的系统,其特征在于,所述鉴权证书生成服务器,还用于存储所述AuS发送的业务密码。
12.如权利要求11所述的系统,其特征在于,所述鉴权证书生成服务器,还用于在为所述终端设备分配用于对终端设备使用所述业务的权限进行认证的鉴权证书之前,在自身存储的该终端设备的各业务密码中,查找所述业务对应的业务密码,若查找结果为查找到,则将查找到的业务密码发送给所述终端设备,若查找结果为未查找到,则执行为所述终端设备分配用于对终端设备使用所述业务的权限进行认证的鉴权证书的操作。
13.如权利要求8所述的系统,其特征在于,所述鉴权证书生成服务器,还用于存储为各终端设备分配的鉴权证书。
14.如权利要求13所述的系统,其特征在于,所述鉴权证书生成服务器,还用于在为所述终端设备分配用于对终端设备使用所述业务的权限进行认证的鉴权证书之前,在自身存储的该终端设备的各鉴权证书中,查找所述业务对应的鉴权证书,若查找结果为查找到,则将查找到的鉴权证书发送给所述终端设备,若查找结果为未查找到,则执行为所述终端设备分配用于对终端设备使用所述业务的权限进行认证的鉴权证书的操作。
15.一种业务权限认证方法,其特征在于,包括终端要使用业务时,在自身的虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书;并在所述虚拟机中,根据查找到的鉴权证书对使用所述业务的权限进行认证。
16.如权利要求15所述的方法,其特征在于,在所述虚拟机中,根据查找到的鉴权证书对使用所述业务的权限进行认证,具体包括在所述虚拟机中,根据查找到的鉴权证书,对所述业务的业务数据进行解密,得到解密后的业务数据。
17.一种终端设备,其特征在于,包括虚拟机,存储有所述终端使用各业务时的鉴权证书;鉴权证书查找模块,用于在使用业务时,在所述虚拟机存储的各业务对应的鉴权证书中,查找所述业务对应的鉴权证书;认证模块,用于在所述虚拟机中,根据鉴权证书查找模块查找到的鉴权证书对使用所述业务的权限进行认证。
18.如权利要求17所述的终端设备,其特征在于,认证模块,具体用于在所述虚拟机中,根据鉴权证书查找模块查找到的鉴权证书,对所述业务的业务数据进行解密,得到解密后的业务数据。
全文摘要
本发明公开了一种业务订购方法及系统、业务权限认证方法、终端设备,业务订购方法包括终端针对要订购的业务,向鉴权证书生成服务器发送业务订购请求;以及获得所述鉴权证书生成服务器在接收到所述业务订购请求后为所述终端分配的、用于对终端使用所述业务的权限进行认证的鉴权证书;所述终端将获得的鉴权证书存储在自身的虚拟机中。采用本发明技术方案,解决了现有技术对终端使用业务的权限进行认证时,认证的安全性较低的问题。
文档编号H04L29/06GK103036854SQ20111029776
公开日2013年4月10日 申请日期2011年9月30日 优先权日2011年9月30日
发明者何申, 周建明, 欧阳聪星, 常嘉岳, 李遥, 彭华熹 申请人:中国移动通信集团公司