一种企业移动终端设备数字证书在线发放的方法

一种企业移动终端设备数字证书在线发放的方法
【专利摘要】本发明提出了一种企业移动终端设备数字证书在线发放的方法，所述移动终端设备接入企业移动化平台，所述方法包括如下步骤：企业员工向企业移动化平台输入企业员工的信息，并向所述企业移动化平台发送对移动终端设备的授权申请；所述企业移动化平台对所述企业员工的信息进行合法性校验，并确认合法后对其再次进行合法性校验，再次确认其是企业合法员工后对其授权；所述企业移动化平台针对所述企业合法员工的移动终端设备生成数字证书，并向所述移动终端设备返回对应的数字证书。实施本发明的企业移动终端设备数字证书在线发放的方法，具有以下有益效果：增强终端用户的体验、保证数字证书安全。
【专利说明】一种企业移动终端设备数字证书在线发放的方法
【技术领域】
[0001]本发明涉及终端设备身份认证领域，特别涉及一种企业移动终端设备数字证书在线发放的方法。
【背景技术】
[0002]数字证书是网络中标识个人身份的文件，对于数字证书的身份认证已经在互联网中得到广泛应用，特别是在电子政务与电子商务领域。随着移动互联网的迅猛发展，智能手机已不仅仅是属于一种通讯工具，更是个人信息的载体，智能手机的有关应用服务已经融入金融、商务和办公领域，数字证书在移动终端中的使用也越来越广泛。
[0003]数字证书的申请常常需要用户本人去CA (Certificate Authority,证书授权中心)办理，不够方便。移动终端有其独有的天然优势一移动性，适合在线发放数字证书，但是对数字证书的安全性、数字证书的更新提出了更高的要求和挑战。对于企业来说，对移动终端的身份认证、数字证书的安全管理有更高的要求。
[0004]目前有不少移动应用也使用数字证书，其数字证书的发放机制基本如下:移动终端设备通过短信上行的方式给服务器端(移动平台)发送短信，服务器端通过短信网关获取移动终端的手机号码，使用手机号码向CA中心申请数字证书并保存。移动终端设备再次发起数字证书的下载获取终端设备数字证书。其交互时序图如图1所示。也有的采用固定的数字证书方式，直接通过编译固定的数字证书打包在移动应用或者预制在出厂设备上。
[0005]针对现有的方案，主要存在如下一些问题:(1)需要通过短信网关获取设备标示来进行身份采集。其受限于短信网关，同时又需要通过短信的方式进行信息上报，容易引起终端用户的反感，影响终端用户的体验。(2)针对企业用户，移动终端设备的合法有效性无法得到认可和确认，会存在非企业用户访问企业数据的风险，造成数字证书的不安全性。

【发明内容】

[0006]本发明要解决的技术问题在于，针对现有技术的上述影响终端用户的体验、数字证书不安全的缺陷，提供一种增强终端用户的体验、保证数字证书安全的企业移动终端设备数字证书在线发放的方法。
[0007]本发明解决其技术问题所采用的技术方案是:构造一种企业移动终端设备数字证书在线发放的方法，所述移动终端设备接入企业移动化平台，所述方法包括如下步骤:
A)企业员工向企业移动化平台输入企业员工的信息，并向所述企业移动化平台发送对移动终端设备的授权申请；
B)所述企业移动化平台对所述企业员工的信息进行合法性校验，并确认合法后对其再次进行合法性校验，再次确认其是企业合法员工后对其授权；
C)所述企业移动化平台针对所述企业合法员工的移动终端设备生成数字证书，并向所述移动终端设备返回对应的数字证书。
[0008]在本发明所述的企业移动终端设备数字证书在线发放的方法中，在所述步骤C)之后还包括步骤:
D)所述移动终端设备检测本地数字证书的有效期，并在未达到过期期限时更新所述本地数字证书。
[0009]在本发明所述的企业移动终端设备数字证书在线发放的方法中，所述企业员工的信息包括企业代码和企业员工编码。
[0010]在本发明所述的企业移动终端设备数字证书在线发放的方法中，所述步骤B)进一步包括:
BI)所述企业移动化平台校验所述企业员工输入的企业代码和企业员工编码是否合法，如是，执行步骤B2);否则，禁止授权；
B2)随机生成一个设备授权码；
B3)所述企业移动化平台将所述设备授权码通过邮件的方式发送到企业员工的邮箱；所述邮箱的地址由企业管理员事先录入并存储；
B4)所述企业移动化平台将申请授权应答返回到移动终端设备，所述移动终端设备提示企业员工申请授权成功并将设备授权码发送至其邮箱；
B5)所述企业员工从其邮箱中查看所述设备授权码，并在移动终端门户上输入所述设备授权码再次申请授权；
B6)所述企业移动化平台校验所述企业员工输入的设备授权码是否合法，如是，将输入合法的企业员工的移动终端设备的信息保存到移动化平台；否则，禁止授权。
[0011]在本发明所述的企业移动终端设备数字证书在线发放的方法中，所述步骤C)进一步包括:
Cl)所述企业移动化平台针对移动终端设备生成数字证书；
C2)所述企业移动化平台向所述移动终端设备返回对应的设数字证书、设备私钥信息。
[0012]在本发明所述的企业移动终端设备数字证书在线发放的方法中，所述步骤Cl)进一步包括:
CiD为所述移动终端设备生成唯一的设备编号；
Cl2)获取所述移动设备的MAC地址和归属的企业代码；
C13)为所述移动设备生成1024位的RSA公私密钥对；
C14)使用设备编号、MAC地址和企业代码作为数字证书的主题；
C15)设置所述数字证书的过期期限；
C16)将RSA公钥设置为所述数字证书的公钥；
C17)为所述移动终端设备生成X509的数字证书；
C18)使用所述企业移动化平台的根证书私钥对生成的所述X509数字证书签名。
[0013]在本发明所述的企业移动终端设备数字证书在线发放的方法中，所述步骤D)进一步包括:
Dl)移动终端门户与所述企业移动化平台之间建立对应的SSL链路；
D2)所述移动终端门户向所述企业移动化平台发起数字证书更新请求；
D3)所述企业移动化平台查询对应的移动终端设备信息、设备的数字证书信息，并判断是否达到过期期限，如是，执行步骤D4);否则，对所述移动终端设备不更新设备的数字证书； D4)所述企业移动化平台基于移动终端设备信息重新生成新的数字证书，以更新数字证书的有效期；
D5)所述企业移动化平台将更新的数字证书返回给所述移动终端门户进行保存。
[0014]在本发明所述的企业移动终端设备数字证书在线发放的方法中，所述设备授权码的位数为6位。
[0015]在本发明所述的企业移动终端设备数字证书在线发放的方法中，在所述步骤A)之前还包括预处理步骤:
A0)企业管理员事先录入企业合法员工的信息和邮箱信息，并将所述企业合法员工的信息和邮箱信息存储到所述企业移动化平台。
[0016]实施本发明的企业移动终端设备数字证书在线发放的方法，具有以下有益效果:由于企业员工向企业移动化平台输入企业员工的信息，并向企业移动化平台发送对移动终端设备的授权申请，其不受限于短信网关，这样可增强终端用户的体验；同时企业移动化平台对企业员工的信息进行合法性校验，并确认合法后对其再次进行合法性校验，再次确认其是企业合法员工后对其授权，这样可使移动终端设备的合法有效性无法得到认可和确认；之后再针对企业合法员工的移动终端设备生成数字证书，并向移动终端设备返回对应的数字证书，所以其增强终端用户的体验、保证数据安全。
【专利附图】

【附图说明】
[0017]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0018]图1为【背景技术】中移动终端设备与移动平台交互的示意图；
图2为本发明企业移动终端设备数字证书在线发放的方法一个实施例中的流程图；
图3为所述实施例中企业移动化平台对企业员工的信息进行合法性校验，并确认合法后对其再次进行合法性校验，再次确认其是企业合法员工后对其授权的具体流程图；
图4是所述实施例中在企业管理员录入合法的企业员工信息后，合法授信的企业员工对移动终端设备进行授权的交互流程图；
图5是所述实施例中企业移动化平台针对企业合法员工的移动终端设备生成数字证书，并向移动终端设备返回对应的数字证书的具体流程图；
图6是所述实施例中企业移动化平台针对移动终端设备生成数字证书的具体流程图；图7是所述实施例中移动终端设备检测本地数字证书的有效期，并在未达到过期期限时更新本地数字证书的具体流程图；
图8是所述实施例中移动终端定期到企业移动化平台进行数字证书更新的交互流程图。
【具体实施方式】
[0019]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0020]在本发明企业移动终端设备数字证书在线发放的方法实施例中，移动终端设备需要接入企业移动化平台，必须要具备合法的设备身份，本发明通过为每个移动终端设备在线发放一个数字证书来标示移动终端设备的合法身份。该方法的流程图如图2所示。在进行本方法的步骤之前，包括一个预处理步骤:企业管理员事先录入企业合法员工的信息和邮箱信息，并将企业合法员工的信息和邮箱信息存储到企业移动化平台，这样便于后续进行合法性校验。
[0021]图2中，该方法包括:
步骤SOl企业员工向企业移动化平台输入企业员工的信息，并向企业移动化平台发送对移动终端设备的授权申请:本步骤中，企业员工向企业移动化平台输入企业员工的信息，并向企业移动化平台发送对移动终端设备的授权申请，本实施例中，该企业员工的信息包括企业代码和企业员工编码。换句话说，就是企业员工在移动终端门户App (应用)上输入合法的企业代码和企业员工编码，并向企业移动化平台申请对移动终端设备进行授权。
[0022]步骤S02企业移动化平台对企业员工的信息进行合法性校验，并确认合法后对其再次进行合法性校验，再次确认其是企业合法员工后对其授权:本步骤中，企业移动化平台对企业员工的信息进行合法性校验，并确认合法后对其再次进行合法性校验，再次确认其是企业合法员工后对其授权，具体就是将企业移动化平台将企业员工输入的企业员工的信息与企业管理员事先录入的企业合法员工的信息进行比较，如果两者信息一致，则认为输入的企业员工的信息合法，如果不一致，则认为输入的企业员工的信息不合法。
[0023]本实施例中，为了更进一步增加安全性，还要再对输入信息的企业员工进行二次合法性校验，确认企业员工合法后，对其进行授权。
[0024]步骤S03企业移动化平台针对企业合法员工的移动终端设备生成数字证书，并向移动终端设备返回对应的数字证书:本步骤中，企业移动化平台针对企业合法员工的移动终端设备生成数字证书，并向移动终端设备返回对应的数字证书。
[0025]在本实施例的一些情况下，为了保证数字证书的及时更新，该方法还包括:
步骤S04移动终端设备检测本地数字证书的有效期，并在未达到过期期限时更新本地数字证书:本步骤中，移动终端设备检测本地数字证书的有效期，并在未达到过期期限时更新本地数字证书。由于数字证书的生成具有一定的有效期限，因此移动终端设备在合法接入企业移动化平台后，需要检测本地数字证书的有效期，保证在还未到达过期期限时更新本地的数字证书，这样可防止数字证书失效。数字证书生成的有效期长度、距离失效时间多久需要更新证书均来至于企业移动化平台的设置。
[0026]对于本实施例而言，上述步骤S02还可进一步细化，其细化后的流程图如图3所示。图3中，上述步骤S02进一步包括:
步骤S21企业移动化平台校验企业员工输入的企业代码和企业员工编码是否合法:本步骤中，企业移动化平台校验企业员工输入的企业代码和企业员工编码是否合法，就是将企业员工输入的企业代码和企业员工编码与企业管理员事先录入的信息进行对比，如果企业管理员事先录入的信息中存在与上述企业代码和企业员工编码一致的信息，则认为上述输入的企业代码和企业员工编码合法。本步骤中，如果校验的结果为是，则执行步骤S23 ；否则，执行步骤S22。
[0027]步骤S22禁止授权:如果上述步骤S21的判断结果为否，则执行本步骤。本步骤中，禁止授权。
[0028]步骤S23随机生成一个设备授权码:如果上述步骤S21的判断结果为是，则执行本步骤。本步骤中，随机生成一个设备授权码,本实施例中，设备授权码的位数为6位。当然，在本实施例的另外一些情况下，设备授权码的位数可进行调整。执行完本步骤，执行步骤 S24。
[0029]步骤S24企业移动化平台将设备授权码通过邮件的方式发送到企业员工的邮箱:本步骤中，企业移动化平台将设备授权码通过邮件的方式发送到企业员工的邮箱(企业邮箱)，值得一提的是，邮箱的地址由企业管理员事先录入并存储，也就是邮箱的地址来源于企业管理员的员工信息录入。
[0030]步骤S25企业移动化平台将申请授权应答返回到移动终端设备，移动终端设备提示企业员工申请授权成功并将设备授权码发送至其邮箱:本步骤中，企业移动化平台将申请授权应答返回到移动终端设备，移动终端设备提示企业员工申请授权成功并将设备授权码发送至其邮箱。
[0031]步骤S26企业员工从其邮箱中查看设备授权码，并在移动终端门户上输入设备授权码再次申请授权:本步骤中，企业员工通过邮件查看渠道从邮箱中查看6位的设备授权码，企业员工在移动终端门户上输入6位的设备授权码，进行二次确认授权。
[0032]步骤S27企业移动化平台校验企业员工输入的设备授权码是否合法:本步骤中，企业移动化平台校验企业员工输入的设备授权码是否合法，如果校验的结果为是，则执行步骤S29 ;否则，执行步骤S28。
[0033]步骤S28禁止授权:如果上述步骤S27的判断结果为否，则执行本步骤。本步骤中，禁止授权。
[0034]步骤S29将输入合法的企业员工的移动终端设备的信息保存到移动化平台:如果上述步骤S27的校验结果为是，则执行本步骤。本步骤中，将输入合法的企业员工的移动终端设备的信息保存到移动化平台。通过进行两次合法性校验，进一步保证数字证书的安全性。
[0035]图4是本实施例中在企业管理员录入合法的企业员工信息后，合法授信的企业员工对移动终端设备进行授权的交互流程图。
[0036]对于本实施例而言，上述步骤S03还可进一步细化，其细化后的流程图如图5所示。图5中，上述步骤S03进一步包括:
步骤S31企业移动化平台针对移动终端设备生成数字证书:本步骤中，企业移动化平台针对移动终端设备生成数字证书。关于具体如何生成的数字证书，稍后会进行详细描述。
[0037]步骤S32企业移动化平台向移动终端设备返回对应的数字证书、设备私钥信息:本步骤中，企业移动化平台向移动终端设备返回对应的数字证书、设备私钥信息。值得一提的是，在后续的业务交互流程中，移动终端设备均需要给予其对应的数字证书建立链路，加密业务数据方可与企业移动化平台进行交互。
[0038]对于本实施例而言，上述步骤S31还可进一步细化，其细化后的流程图如图6所示。图6也是数字证书的生成规则流程图，上述步骤S31进一步包括: 步骤S311为移动终端设备生成唯一的设备编号:本步骤中，为移动终端设备生成唯一的设备编号。
[0039]步骤S312获取移动设备的MAC地址和归属的企业代码:本步骤中，获取移动设备的MAC地址和归属的企业代码。
[0040]步骤S313为移动设备生成1024位的RSA公私密钥对:本步骤中，为移动设备生成1024位的RSA公私密钥对，这样可增强安全性。
[0041]步骤S314使用设备编号、MAC地址和企业代码作为数字证书的主题:本步骤中，使用设备编号、MAC地址和企业代码作为数字证书的主题，现有技术中采用固定的数字证书或者使用手机号码生成数字证书，很容易完成对数字证书的拷贝和复制，而本实施例中采用移动终端设备的MAC地址作为数字证书的主题来生成数字证书，保证了数字证书与移动终端设备的唯一绑定，即使在移动终端设备端发生数字证书的拷贝和复制，也无法在非绑定的移动终端设备上使用该数字证书。由于现有技术中绑定的是设备手机号码，存在移动终端设备更换SIM卡的风险，而本发明就不存在这种问题。
[0042]步骤S315设置数字证书的过期期限:本步骤中，设置数字证书的过期期限。
[0043]步骤S316将RSA公钥设置为数字证书的公钥:本步骤中，将RSA公钥设置为数字证书的公钥，这样可增强数字证书的安全性。
[0044]步骤S317为移动终端设备生成X509的数字证书:本步骤中，为移动终端设备生成X509的数字证书。
[0045]步骤S318使用企业移动化平台的根证书私钥对生成的X509数字证书签名:本步骤中，使用企业移动化平台的根证书私钥对生成的X509数字证书签名。
[0046]对于本实施例而言，上述步骤S04还可进一步细化，其细化后的流程图如图7所示。图7中，上述步骤S04进一步包括:
步骤S41移动终端门户与企业移动化平台之间建立对应的SSL链路:本步骤中，移动终端门户与企业移动化平台之间建立对应的SSL链路。
[0047]步骤S42移动终端门户向企业移动化平台发起数字证书更新请求:本步骤中，移动终端门户向企业移动化平台发起数字证书更新请求。
[0048]步骤S43企业移动化平台查询对应的移动终端设备信息、设备的数字证书信息，并判断是否达到过期期限:本步骤中，企业移动化平台查询对应的移动终端设备信息、移动终端设备的数字证书信息，并判断是否达到过期期限，如果判断的结果为是，则执行步骤S45 ;否则，执行步骤S44。
[0049]步骤S44对移动终端设备不更新设备的数字证书:如果上述步骤S43的判断结果为否，则执行本步骤。本步骤中，对移动终端设备不更新设备的数字证书。
[0050]步骤S45企业移动化平台基于移动终端设备信息重新生成新的数字证书，以更新数字证书的有效期:如果上述步骤S43的判断结果为是，则执行本步骤。本步骤中，对于即将过期的数字证书，企业移动化平台基于移动终端设备信息重新生成新的数字证书，以更新数字证书的有效期(有效期限)。新的数字证书的生成规则与原有数字证书的生成规则相同，只是更新的数字证书的有效期。
[0051]步骤S46企业移动化平台将更新的数字证书返回给移动终端门户进行保存:本步骤中，企业移动化平台将更新的数字证书返回给移动终端门户进行保存。这样可保证数字证书得到及时更新，防止其失效。
[0052]图8是本实施例中移动终端定期到企业移动化平台进行数字证书更新的交互流程图。
[0053]总之，在本实施例中，移动终端设备想要获得合法的数字证书，需要具备如下条件:企业管理员需要录入企业合法的员工信息到企业移动化平台；移动终端设备需要经由企业合法的员工进行授权；该移动终端设备未被企业管理员锁定而禁止授权。具备上述条件的移动终端设备即可经由企业合法的员工进行授权，授权的移动终端设备可以从企业移动化平台获取到对应的数字证书，继而具备合法的设备身份接入企业移动化平台进行业务处理。由于移动终端设备接入时，需要输入有效的企业身份信息，这样确保了只有企业管理员授信许可用户方可授权移动终端接入企业移动化平台。本发明通过在线的方式动态发送数字证书用以标示移动终端设备的身份。只有具备合法身份的移动终端设备方可接入企业移动化平台。此外，数字证书的生成采用移动终端设备的MAC地址，这样可以有效的防止移动终端设备的数字证书的拷贝和复制。
[0054]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种企业移动终端设备数字证书在线发放的方法，其特征在于，所述移动终端设备接入企业移动化平台，所述方法包括如下步骤: A)企业员工向企业移动化平台输入企业员工的信息，并向所述企业移动化平台发送对移动终端设备的授权申请； B)所述企业移动化平台对所述企业员工的信息进行合法性校验，并确认合法后对其再次进行合法性校验，再次确认其是企业合法员工后对其授权； C)所述企业移动化平台针对所述企业合法员工的移动终端设备生成数字证书，并向所述移动终端设备返回对应的数字证书。
2.根据权利要求1所述的企业移动终端设备数字证书在线发放的方法，其特征在于，在所述步骤C)之后还包括步骤: D)所述移动终端设备检测本地数字证书的有效期，并在未达到过期期限时更新所述本地数字证书。
3.根据权利要求1或2所述的企业移动终端设备数字证书在线发放的方法，其特征在于，所述企业员工的信息包括企业代码和企业员工编码。
4.根据权利要求3所述的企业移动终端设备数字证书在线发放的方法，其特征在于，所述步骤B)进一步包括: BI)所述企业移动化平台校验所述企业员工输入的企业代码和企业员工编码是否合法，如是，执行步骤B2);否则，禁止授权； B2)随机生成一个设备授权码； B3)所述企业移动化平台将所述设备授权码通过邮件的方式发送到企业员工的邮箱；所述邮箱的地址由企业管理员事先录入并存储； B4)所述企业移动化平台将申请授权应答返回到移动终端设备，所述移动终端设备提示企业员工申请授权成功并将设备授权码发送至其邮箱； B5)所述企业员工从其邮箱中查看所述设备授权码，并在移动终端门户上输入所述设备授权码再次申请授权； B6)所述企业移动化平台校验所述企业员工输入的设备授权码是否合法，如是，将输入合法的企业员工的移动终端设备的信息保存到移动化平台；否则，禁止授权。
5.根据权利要求4所述的企业移动终端设备数字证书在线发放的方法，其特征在于，所述步骤C)进一步包括: Cl)所述企业移动化平台针对移动终端设备生成数字证书； C2)所述企业移动化平台向所述移动终端设备返回对应的数字证书、设备私钥信息。
6.根据权利要求5所述的企业移动终端设备数字证书在线发放的方法，其特征在于，所述步骤Cl)进一步包括: CiD为所述移动终端设备生成唯一的设备编号； C12)获取所述移动设备的MAC地址和归属的企业代码； C13)为所述移动设备生成1024位的RSA公私密钥对； C14)使用设备编号、MAC地址和企业代码作为数字证书的主题； C15)设置所述数字证书的过期期限； C16)将RSA公钥设置为所述数字证书的公钥；C17)为所述移动终端设备生成X509的数字证书； C18)使用所述企业移动化平台的根证书私钥对生成的所述X509数字证书签名。
7.根据权利要求6所述的企业移动终端设备数字证书在线发放的方法，其特征在于，所述步骤D)进一步包括: Dl)移动终端门户与所述企业移动化平台之间建立对应的SSL链路； D2)所述移动终端门户向所述企业移动化平台发起数字证书更新请求； D3)所述企业移动化平台查询对应的移动终端设备信息、设备的数字证书信息，并判断是否达到过期期限，如是，执行步骤D4);否则，对所述移动终端设备不更新设备的数字证书; D4)所述企业移动化平台基于移动终端设备信息重新生成新的数字证书，以更新数字证书的有效期； D5)所述企业移动化平台将更新的数字证书返回给所述移动终端门户进行保存。
8.根据权利要求4所述的企业移动终端设备数字证书在线发放的方法，其特征在于，所述设备授权码的位数为6位。
9.根据权利要求1所述的企业移动终端设备数字证书在线发放的方法，其特征在于，在所述步骤A)之前还包括 预处理步骤: AO)企业管理员事先录入企业合法员工的信息和邮箱信息，并将所述企业合法员工的信息和邮箱信息存储到所述企业移动化平台。
【文档编号】H04L29/06GK103701781SQ201310687561
【公开日】2014年4月2日 申请日期:2013年12月13日 优先权日:2013年12月13日
【发明者】邓福喜, 廖炳才, 施东荣, 余园, 王付国 申请人:深圳市迈桥科技有限公司