一种用户认证方法和装置与流程

本发明涉及通信技术领域，特别是涉及一种用户认证方法和装置。

背景技术：

随着通信业和IT业高速发展，网络安全越来越重要，终端用户接入网络，如局域网，需要通过用户认证，但是，现有终端用户的用户认证方式是基于静态口令进行的，安全性低。

例如：移动办公凭借其便利性和高效性逐渐在越来越多企业内普及，为了保障企业网的信息安全，终端用户的安全接入已经开始得到企业重视，虽然现有的用户认证方式简单，但是，却难以抵抗口令猜测、重放、窃取等攻击手段，导致企业内部信息外泄等安全性问题的发生。

技术实现要素：

本发明提供一种用户认证方法和装置，用以解决现有的静态口令用户认证方式安全性低的问题。

针对上述技术问题，本发明是通过以下技术方案来解决的。

本发明提供了一种用户认证方法，在移动终端侧的步骤包括：在尝试登录应用服务器时，获取登录信息、以及获取TF卡中存储的个人数字证书；利用所述TF卡中存储的私钥对所述登录信息进行签名处理，得到登录信息签名；将所述个人数字证书、所述登录信息和所述登录信息签名发送到认证服务器，以便所述认证服务器基于所述个人数字证书、所述登录信息和所述登录信息签名执行用户认证；接收所述认证服务器反馈的认证结果，如果认证通过，则被 允许登录所述应用服务器。

其中，在移动终端侧的步骤还包括：在认证通过之后，接收所述认证服务器利用所述个人数字证书加密后的加密密钥；使用所述TF卡中存储的私钥对所述加密密钥进行解密处理；使用解密后的所述加密密钥对用户输入的应用密码进行加密；将加密后的所述应用密码发送到所述认证服务器，以便所述认证服务器对所述应用密码进行密码验证；接收所述认证服务器反馈的验证结果，如果验证通过，则被允许使用所述应用服务器提供的应用服务。

本发明还提供了一种用户认证方法，在认证服务器侧的步骤包括：接收来自移动终端的个人数字证书、登录信息和登录信息签名；其中，所述个人数字证书是所述移动终端从其TF卡中获取的，所述登录信息签名是所述移动终端利用所述TF中存储的私钥对所述登录信息进行签名处理得到的；基于所述个人数字证书、登录信息和登录信息签名，执行对所述移动终端的用户认证；将认证结果向所述移动终端发送。

其中，在认证服务器侧的步骤还包括：在所述认证结果为认证通过的情况下，生成加密密钥；利用所述个人数字证书，对所述加密密钥进行加密处理；将加密后的所述加密密钥向所述移动终端发送。

其中，在认证服务器侧的步骤还包括：在将加密后的所述加密密钥向所述移动终端发送之后，接收所述移动终端发送的、且使用所述加密密钥加密后的应用密码；对所述应用密码进行解密处理之后，执行对所述应用密码的密码验证；将密码验证结果向所述移动终端发送。

本发明还提供了一种用户认证方法，在CA中心侧的步骤包括：在连接TF卡之后，获取合法用户的用户信息；调用所述TF卡为所述合法用户在所述TF卡中生成密钥对；根据所述用户信息、以及所述密钥对中的公钥，生成个人数字证书；将所述个人数字证书存储到所述TF卡中，以便所述移动终端从插入其接口的所述TF卡中获取所述个人数字证书和所述密钥对，以进行用户认证。

本发明还提供了一种用户认证装置，设置在移动终端中的所述装置包括： 获取模块，用于在尝试登录应用服务器时，获取登录信息、以及获取TF卡中存储的个人数字证书；签名模块，用于利用所述TF卡中存储的私钥对所述登录信息进行签名处理，得到登录信息签名；第一发送模块，用于将所述个人数字证书、所述登录信息和所述登录信息签名发送到认证服务器，以便所述认证服务器基于所述个人数字证书、所述登录信息和所述登录信息签名执行用户认证；第一接收模块，用于接收所述认证服务器反馈的认证结果，如果认证通过，则被允许登录所述应用服务器。

其中，设置在移动终端中的所述装置还包括第一加解密模块；所述第一接收模块，还用于在认证通过之后，接收所述认证服务器利用所述个人数字证书加密后的加密密钥；所述第一加解密模块，用于使用所述TF卡中存储的私钥对所述加密密钥进行解密处理；使用解密后的所述加密密钥对用户输入的应用密码进行加密；所述第一发送模块，还用于将加密后的所述应用密码发送到所述认证服务器，以便所述认证服务器对所述应用密码进行密码验证；所述第一接收模块，还用于接收所述认证服务器反馈的验证结果，如果验证通过，则被允许使用所述应用服务器提供的应用服务。

本发明还提供了一种用户认证装置，设置在认证服务器中的所述装置包括：第二接收模块，用于接收来自移动终端的个人数字证书、登录信息和登录信息签名；其中，所述个人数字证书是所述移动终端从其TF卡中获取的，所述登录信息签名是所述移动终端利用所述TF中存储的私钥对所述登录信息进行签名处理得到的；认证模块，用于基于所述个人数字证书、登录信息和登录信息签名，执行对所述移动终端的用户认证；第二发送模块，用于将认证结果向所述移动终端发送。

其中，设置在认证服务器中的所述装置还包括：第一生成模块和第二加解密模块；所述第一生成模块，用于在所述认证结果为认证通过的情况下，生成加密密钥；所述第二加解密模块，用于利用所述个人数字证书，对所述加密密钥进行加密处理；所述第二发送模块，还用于将加密后的所述加密密钥向所述 移动终端发送。

其中，所述第二接收模块，还用于在将加密后的所述加密密钥向所述移动终端发送之后，接收所述移动终端发送的、且使用所述加密密钥加密后的应用密码；所述第二加解密模块，还用于对所述应用密码进行解密处理之后，执行对所述应用密码的密码验证；所述第二发送模块，还用于将密码验证结果向所述移动终端发送。

本发明还提供了一种用户认证装置，设置在CA中心中的所述装置包括：连接模块，用于在连接TF卡之后，获取合法用户的用户信息；调用模块，用于调用所述TF卡为所述合法用户在所述TF卡中生成密钥对；第二生成模块，用于根据所述用户信息、以及所述密钥对中的公钥，生成个人数字证书；存储模块，用于将所述个人数字证书存储到所述TF卡中，以便所述移动终端从插入其接口的所述TF卡中获取所述个人数字证书和所述密钥对，以进行用户认证。

本发明有益效果如下：

本发明事先通过CA中心在单独的TF卡中存储合法用户的密钥对(公钥和私钥)和个人数字证书，然后将TF卡插入移动终端，在进行用户认证时，在认证服务器侧基于已经插入移动终端的TF卡中的个人数字证书执行用户认证。通过本发明可以避免静态口令用户认证方式安全性低的问题，TF卡中存储的私钥无法被获取、仿冒和篡改，用户认证的安全性高。

附图说明

图1是根据本发明第一实施例的用户认证方法的流程图；

图2是根据本发明第二实施例的用户认证方法的流程图；

图3是根据本发明第三实施例的用户认证方法的流程图；

图4是根据本发明第四实施例的认证服务器侧的密码验证步骤的流程图；

图5是根据本发明第四实施例的移动终端侧的密码验证步骤的流程图；

图6是根据本发明第五实施例的用户认证系统的结构示意图；

图7是根据本发明第六实施例的用户认证装置的结构图；

图8是根据本发明第七实施例的用户认证装置的结构图；

图9是根据本发明第八实施例的用户认证装置的结构图。

具体实施方式

以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

实施例一

本实施例提供了一种用户认证方法，图1是根据本发明第一实施例的用户认证方法的流程图。本实施例在移动终端侧执行。

步骤S110，在尝试登录应用服务器时，获取登录信息、以及获取移动终端的TF卡中存储的个人数字证书，并利用TF卡中存储的私钥对登录信息进行签名处理，得到登录信息签名。

个人数字证书是合法用户的身份标志，用于代表一个合法用户。

个人数字证书包括：合法用户的用户信息、合法用户的公钥、合法用户的用户信息和公钥的签名、个人数字证书的有效期等。其中，用户信息和公钥的签名是：证书颁发机构(Certificate Authority，简称CA)中心使用其CA中心私钥对合法用户的用户信息和公钥进行签名处理，而得到的。

TF卡即Micro SD Card，TF卡为内置加密模块和存储模块的芯片，TF卡支持非对称、对称、以及hash算法，支持个人数字证书和密钥的存储，提供签名加密接口，该密码芯片的封装形式为TF。TF卡中的个人数字证书是在CA中心侧生成的，具体参照实施例三。

移动终端是支持TF(Trans-Flash)卡外设接口的手机、平板电脑、笔记本等便携式智能终端。可以将存储有个人数字证书的TF卡插入移动终端的TF卡接口中，使移动终端和TF卡的连接，实现从TF卡中获取个人数字证书。

为了提高用户认证的准确性，在尝试登录应用服务器时，还需要获取用户的登录信息，并生成登录信息签名。其中，登录信息包括：移动终端的互联网协议地址(Internet Protocol Address，简称IP)、媒体访问控制(Media Access Control，简称MAC)地址、以及本次尝试登录的时间。

移动终端在获取登录信息之后，调用TF卡的加密模块为登录信息签名，生成登录信息签名。进一步地，TF卡中还存储有合法用户的密钥对，该密钥对包括合法用户的公钥和私钥。该合法用户的公钥与个人数字证书中的公钥相同。TF卡的加密模块可以利用密钥对中的私钥对登录信息进行签名处理，得到登录信息签名。

步骤S120，将个人数字证书、登录信息和登录信息签名发送到认证服务器，以便认证服务器使用个人数字证书、登录信息和登录信息签名执行用户认证。

步骤S130，接收认证服务器反馈的认证结果，如果认证通过，则被允许登录所述应用服务器；否则，结束流程。

本实施例具体的，移动终端可以和应用服务器通信，应用服务器可以和认证服务器通信；移动终端通过应用服务器向认证服务器发送个人数字证书、登录信息和登录信息签名；认证服务器得出认证结果之后，通过应用服务器向移动终端发送认证结果，这样，用户身份是否通过认证，应用服务器都可以第一时间得知，如果用户身份通过认证，则允许移动终端登录应用服务器，反之，则拒绝移动终端登录。

实施例二

本实施例提供了一种用户认证方法，图2是根据本发明第二实施例的用户认证方法的流程图。本实施例在认证服务器侧执行。

步骤S210，接收来自移动终端的个人数字证书、登录信息和登录信息签名。

该个人数字证书是移动终端从其TF卡中获取的，登录信息签名是移动终端利用TF卡中合法用户的私钥对登录信息进行签名处理得到的。

步骤S220，基于个人数字证书、登录信息和登录信息签名，执行对该移动终端的用户认证。

具体的，轻量目录访问协议(Lightweight Directory Access Protocol，简称LDAP)服务器存储了合法用户相关的信息，包括：用户信息、个人数字证书、个人数字证书的吊销记录、CA中心公钥等。

将个人数字证书中包括的用户信息作为检索条件，从LDAP服务器中获取包含所述用户信息的个人数字证书A；基于来自移动终端的个人数字证书B、以及从LDAP服务器获取的个人数字证书A，执行用户认证。

根据从LDAP服务器获取的个人数字证书A，对来自移动终端的个人数字证书B进行有效性验证，如果有效性验证不通过，则认证不通过；如果有效性验证通过，则根据登录信息签名，对登录信息进行完整性验证，如果完整性验证不通过，则认证不通过，如果完整性验证通过，则认证通过。

有效性验证包括：判断个人数字证书A中的公钥和个人数字证书B中的公钥是否相同，如果否，则有效性验证不通过，如果是，则从LDAP服务器获取CA中心公钥，利用CA中心公钥对个人数字证书B中的用户信息和公钥的签名进行解签名，并进行签名验证，如果签名验证不通过，则有效性验证不通过；如果签名验证通过，则利用个人数字证书B中的有效期，判断个人数字证书B是否在有效期内，如果否，则有效性验证不通过，如果是，则从LDAP服务器中获取个人数字证书的吊销记录，判断个人数字证书B是否被吊销，如果是，则有效性验证不通过，如果否，则个人数字证书B是合法的，有效性验证通过。

签名验证例如是：判断解签名后的用户信息和公钥，是否分别和个人数字认证书B中的用户信息、以及合法用户的公钥相同，如果都相同，签名验证通过，否则，签名验证不通过。

完整性验证包括：使用个人数字证书A或B对登录信息签名进行解签名处理，即使用个人数字证书A或B中合法用户的公钥对登录信息签名进行解 签名处理，并进行登录信息签名验证。例如：根据获得解签名后的登录信息；判断解签名的登录信息和来自移动终端的登录信息是否相同，如果相同，则完整性验证通过，如果不同，则完整性验证不通过。

步骤S230，将认证结果向所述移动终端发送。

也即是说，认证服务器将认证通过的消息、或认证不通过的消息，通过应用服务器向移动终端发送。

实施例三

本实施例提供了一种用户认证方法，图3是根据本发明第三实施例的用户认证方法的流程图。本实施例在CA中心侧执行，且在用户认证之前进行。

步骤S310，在连接TF卡之后，获取合法用户的用户信息。

CA中心连接独立于移动终端的TF卡，根据合法用户的操作，获取合法用户的用户信息。

具体的，用户先在CA中心进行注册，注册通过，成为合法用户；合法用户将单独的TF卡插入CA中心提供的TF卡接口，实现TF卡和CA中心的连接；合法用户在CA中心输入用户信息以登录CA中心，CA中心获取该合法用户输入的用户信息。

步骤S320，调用TF卡为该合法用户在TF卡中生成密钥对。

CA中心调用TF卡中的加密模块为合法用户生成密钥对，所述密钥对包括合法用户的公钥和私钥。TF卡中的加密模块直接在TF卡中生成密钥对，保证了密钥对的安全性。

步骤S330，根据用户信息、以及密钥对中的公钥，生成个人数字证书。

CA中心使用CA中心私钥对用户信息和公钥进行签名处理，并根据用户信息、公钥、以及用户信息和公钥的签名，生成个人数字证书。当然，个人数字证书中还包括该个人数字证书的有效期。

步骤S340，将个人数字证书存储到TF卡中，以及将个人数字证书发送到 LDAP服务器。

在将个人数字证书存储到TF卡中之后，TF卡就包括个人数字证书和密钥对。将存储有个人数字证书和密钥对的TF卡插入移动终端提供的接口中，以便移动终端能够从插入其接口的该TF卡中获取所述个人数字证书、所述公钥和所述私钥，以在进行用户认证时使用。

本实施例可以在生成个人数字证书之后，直接将个人数字证书和密钥对存储在TF卡中，避免通信过程中造成的个人数字证书和密钥对安全性问题，并且使存储在TF卡中的私钥不能被获取、仿冒和篡改。CA中心作为可信任中心，安全度高，CA中心生成的个人数字证书也是不可仿造的，因此，个人数字证书的有效性验证的安全性较高。TF卡中存储的私钥不可读取，被该私钥签名的登录信息签名将无法被模仿，因此，登录信息完整性验证的安全性高。因此，本实施例的用户认证结果安全性高。

实施例四

可以为应用服务提供的应用服务设置应用密码，只有在输入正确的应用密码之后，才可以使用该应用服务。那么，在移动终端被允许登录应用服务器之后，还可以对移动终端进行进一步地的用户认证，该用户认证是对应用密码的密码验证。

图4是根据本发明第四实施例的认证服务器侧的密码验证步骤的流程图。

步骤S410，在认证结果为认证通过的情况下，生成加密密钥。

该加密密钥用于在移动终端侧加密用户输入的应用密码。与该加密密钥相对的解密密钥被存储在认证服务器。

应用密码与合法用户相对应，合法用户只有使用正确的应用密码才可以使用应用服务器提供的应用服务。进一步地，应用服务器可以为合法用户设置初始的应用密码，以便合法用户首次使用应用服务时使用，合法用户后续可以自行设置应用密码。应用密码被应用服务器通过认证服务器发送至LDAP服务器， 在LDAP服务器中应用密码和用户信息对应存储。

步骤S420，利用个人数字证书，对所述加密密钥进行加密处理。

为了保证加密密钥在传输过程中的安全性，在认证服务器侧，使用个人数字证书中合法用户的公钥对该加密密钥进行加密处理。

步骤S430，将加密后的所述加密密钥向移动终端发送。

认证服务器将加密后的所述加密密钥通过应用服务器向移动终端发送。

步骤S440，接收移动终端发送的、且使用加密密钥加密后的应用密码。

在移动终端侧，移动终端采集用户输入的应用密码，使用TF卡中合法用户的私钥解密该加密密钥，使用解密后的加密密钥对该应用密码进行加密处理。

步骤S450，对应用密码进行解密处理之后，执行对应用密码的密码验证。

使用与加密密钥相对的解密密钥对应用密码进行解密处理。

在合法用户通过实施例二的用户认证之后，认证服务器已经得到了该合法用户的个人数字证书中的用户信息，在进行密码验证时，认证服务器根据用户信息，在LDAP服务器中获取与该用户信息对应的应用密码，判断移动终端发送的应用密码是否和LDAP服务器中正确的应用密码相同，若是，则密码验证通过，若否，则密码验证不通过。

步骤S460，将密码验证结果向所述移动终端发送。

如果密码验证通过，则允许移动终端使用该应用密码对应的应用服务，反之，则拒绝移动终端使用该应用密码对应的应用服务。

图5是根据本发明第四实施例的移动终端侧的密码验证步骤的流程图。

步骤S510，接收认证服务器利用个人数字证书加密后的加密密钥。

进一步地，移动终端接收认证服务器通过应用服务器发送的加密密钥。

步骤S520，使用TF卡中存储的私钥对所述加密密钥进行解密处理。

TF卡中存储的私钥与个人数字证书中的公钥相对，因此，可以用于解密该加密密钥。

步骤S530，使用解密后的所述加密密钥对用户输入的应用密码进行加密。

在用户界面中提示用户输入应用密码，在用户输入应用密码的过程采集该应用密码，并使用解密后的加密密钥进行加密处理。

步骤S540，将加密后的应用密码发送到认证服务器，以便认证服务器对所述应用密码进行密码验证。

通过应用服务器将加密后的应用密码发送到认证服务器。

步骤S550，接收所述认证服务器反馈的验证结果，如果验证通过，则被允许使用所述应用服务器提供的应用服务，否则，结束流程。

实施例五

为了使本发明更加清楚，本实施例提供一种具体的用户认证系统，来描述本发明各端的交互过程。如图6所示，为根据本发明第五实施例的用户认证系统的结构示意图。

系统包括移动终端、LDAP服务器、认证服务器、CA中心和应用服务器。

认证服务器，用于执行用户用户认证。认证服务器可以进行个人数字证书的有效性验证、登录信息的完整性验证、应用密码的正确性验证等等。

LDAP服务器，用于存储合法用户的用户信息、个人数字证书、应用密码、CA中心公钥等等。

CA中心，用于为合法用户生成密钥对、颁发和维护个人数字证书。

应用服务器，用于提供应用服务，可以处理合法用户的业务数据。

基于上述系统，在用户认证之前，所述系统需要执行以下步骤：

步骤1，用户在CA中心注册用户信息，并提交个人数字证书申请。该用户信息包括用户名、用户ID等信息。进一步地，用户在CA中心终端上注册用户信息、提交个人数字证书申请。

步骤2，CA中心审核用户信息，如果审核通过，则批准用户的个人数字证书申请，否则拒绝用户的个人数字证书申请。

步骤3，在CA中心批准个人数字证书申请之后，用户将TF卡插入CA中心的接口中，利用用户信息登录CA中心；在登录CA中心之后，从CA中心获取个人数字证书和密钥对，例如点击获取按钮。CA中心为该用户生成个人数字证书，并调用TF卡为用户生成密钥对。因为该密钥对是在TF卡中生成的，已经存储在TF卡中，所以CA中心需要将该用户的个人数字证书存储在TF卡。CA中心还需要将该用户的个人数字证书发布到LDAP服务器。

若用户希望登录应用服务器，则需要通过用户认证，具体如下：

步骤1，将存储个人数字证书和密钥对的TF卡插入移动终端；移动终端尝试登录应用服务器时，将携带个人数字证书、登录信息和登录信息签名的用户认证请求发送到应用服务器。

步骤2，应用服务器收到用户认证请求之后，将其转发给认证服务器。

步骤3，认证服务器收到用户认证请求，从LDAP服务器中获取该用户的个人数字证书，对用户认证请求中的个人数字证书做有效性验证；如果有效性验证通过，则利用登录信息签名对登录信息进行完整性验证，如果完整性验证也通过，则认证通过；反之，则认证不通过，结束认证流程。

应用服务器提供的业务设置有应用密码，那么在用户使用应用服务器提供的业务之前，还要通过应用密码验证，具体如下：

步骤1，在用户认证通过之后，认证服务器生成加密密钥，并使用个人数字证书加密。认证服务器将加密后的加密密钥通过应用服务器发送给移动终端。

步骤2，移动终端收到加密密钥，提示用户输入应用密码，然后用TF卡中的私钥解密该加密密钥，使用解密后的加密密钥加密用户输入的应用密码，并发送到到应用服务器，由应用服务器转发到认证服务器，进行密码验证。

步骤3，认证服务器收到应用密码，利用预先生成的解密密钥，对该应用密码进行解密处理。从LDAP服务器获取该用户对应的应用密码，利用该正确的应用密码对解密后的应用密码进行密码验证，然后把验证结果通过应用服务器返回到移动终端，如果验证通过，则用户可以使用应用服务器提供的业务服 务，否则结束流程。

实施例六

本实施例提供了一种用户认证装置。图7为根据本发明第六实施例的用户认证装置的结构图。该装置被在移动终端中，可以作为移动终端中的客户端。

设置在移动终端中的所述装置包括：

获取模块710，用于在尝试登录应用服务器时，获取登录信息、以及获取TF卡中存储的个人数字证书。

签名模块720，用于利用TF中存储的私钥对登录信息进行签名处理，得到登录信息签名。

第一发送模块730，用于将个人数字证书、登录信息和登录信息签名发送到认证服务器，以便认证服务器使用个人数字证书、登录信息和登录信息签名进行用户认证。

第一接收模块740，用于接收认证服务器反馈的认证结果，如果认证通过，则被允许登录应用服务器；否则，结束流程。

设置在移动终端中的所述装置还包括第一加解密模块(未示出)。

第一接收模块740，还用于在认证通过之后，接收认证服务器利用个人数字证书加密后的加密密钥。

第一加解密模块，用于使用TF卡中存储的私钥对加密密钥进行解密处理；使用解密后的加密密钥对用户输入的应用密码进行加密。

第一发送模块730，还用于将加密后的应用密码发送到认证服务器，以便认证服务器对应用密码进行密码验证。

第一接收模块740，还用于接收认证服务器反馈的验证结果，如果验证通过，则被允许使用应用服务器提供的应用服务。

本实施例所述的装置的功能已经在图1、4、5所示的方法实施例中进行了描述，故本实施例的描述中未详尽之处，可以参见前述实施例中的相关说明， 在此不做赘述。

实施例七

本实施例提供了一种用户认证装置。图8为根据本发明第七实施例的用户认证装置的结构图。该装置被在认证服务器中。

设置在认证服务器中的所述装置包括：

第二接收模块810，用于接收来自移动终端的个人数字证书、登录信息和登录信息签名；其中，个人数字证书是移动终端从其TF卡中获取的，登录信息签名是移动终端利用TF卡中存储的私钥对登录信息进行签名处理得到的。

认证模块820，用于基于所述个人数字证书、登录信息和登录信息签名，执行对所述移动终端的用户认证。

第二发送模块830，用于将认证结果向所述移动终端发送。

设置在认证服务器中的所述装置还包括：第一生成模块(未示出)和第二加解密模块(未示出)。

第一生成模块，用于在认证结果为认证通过的情况下，生成加密密钥。

第二加解密模块，用于利用个人数字证书，对加密密钥进行加密处理。

第二发送模块830，还用于将加密后的所述加密密钥向所述移动终端发送。

第二接收模块810，还用于在将加密后的加密密钥向移动终端发送之后，接收移动终端发送的、且使用加密密钥加密后的应用密码。

第二加解密模块，还用于对应用密码进行解密处理之后，执行对应用密码的密码验证。

第二发送模块830，还用于将密码验证结果向所述移动终端发送。

本实施例所述的装置的功能已经在图2、4、5所示的方法实施例中进行了描述，故本实施例的描述中未详尽之处，可以参见前述实施例中的相关说明，在此不做赘述。

实施例八

本实施例提供了一种用户认证装置。图9为根据本发明第八实施例的用户认证装置的结构图。该装置被在CA中心侧。

设置在CA中心中的所述装置包括：

连接模块910，用于在连接TF卡之后，获取合法用户的用户信息。

调用模块920，用于调用TF卡为所述合法用户在所述TF卡中生成密钥对；所述密钥对包括公钥和私钥。

第二生成模块930，用于根据所述用户信息、以及所述密钥对中的公钥，生成个人数字证书。

存储模块940，用于将所述个人数字证书存储到所述TF卡中，以便所述移动终端从插入其接口的所述TF卡中获取所述个人数字证书和所述密钥对(公钥和私钥)，以进行用户认证。

本实施例所述的装置的功能已经在图1-5所示的方法实施例中进行了描述，故本实施例的描述中未详尽之处，可以参见前述实施例中的相关说明，在此不做赘述。

尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。