[发明专利]基于数字证书的移动终端身份认证系统及方法

说明书

技术领域

本发明涉及移动互联网的身份认证技术，更具体涉及一种通过数字证书对移动终端进行身份认证的系统及方法。

背景技术

随着无线通讯技术的发展，以手机为代表的移动终端被广泛应用于电子商务领域。在使用移动终端传输交易信息的过程中，必须保证信息传输的保密性、数据交换的完整性、发送信息的不可抵赖性和交易者身份的确定性。

现有的无线数据传输协议缺乏对移动终端的身份认证机制，信息接收方只能通过手机号码等标识识别移动终端，但无法确定移动终端持有人身份的真实性。这一问题的存在导致基于移动终端的交易活动面临信息被篡改、交易主体身份被冒用等多种潜在风险，极大地阻碍移动电子商务正常发展。

尽管现行的数字证书认证服务体系支持受理个人证书申请，但其适用范围局限在普通PC机，尚未提出一种专门用于包括手机在内各种移动终端的认证机制。

发明内容

本发明目的在于提供一种通过数字证书对移动终端进行身份认证的系统及相应的认证方法，以解决移动互联网环境下缺乏针对移动终端认证机制的技术问题。

本发明技术解决方案：

一种基于数字证书的移动终端身份认证系统，其特殊之处在于：它包括数字证书认证中心(CA认证中心)，移动终端以及移动证书依赖方，

所述数字证书认证中心包括证书申请单元、CA证书管理单元以及认证服务单元，

所述证书申请单元包括用于受理终端数字证书申请、提供终端身份标识信息和移动终端证书控件下载的申请受理单元和用于接收移动终端上传的终端数字证书公钥文件并使用CA根证书私钥文件验证后存入对外信息库的证书签发单元；

CA根证书私钥文件存储在CA证书管理单元(通常保存于磁盘特定区域或移动存储设备中)

所述CA证书管理单元包括用于存放终端数字证书公钥文件、终端身份标识信息、并向移动证书依赖方提供下载的对外信息库；

所述认证服务单元包括用于接收待认证签名信息、发送已认证签名信息的信息收发单元和根据待认证签名信息中的终端身份标识信息从CA证书管理单元提取相应的终端数字证书公钥文件，并对待认证签名信息进行签名验证，在验证成功信息上添加CA根证书私钥文件签名生成已认证签名信息并将已认证签名信息通过信息收发单元发至对应接收方的信息认证单元；

所述移动终端包括用于根据移动终端证书控件生成终端数字证书的密钥对，并使用CA根证书公钥文件对终端数字证书公钥文件加密，上传至CA认证中心的证书生成单元、终端证书管理单元、数字签名单元以及终端信息认证单元：

终端证书管理单元包括用于存放终端数字证书私钥文件、CA根证书公钥文件的终端数字证书库；

所述数字签名单元包括作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行签名并发送至认证服务单元的签名单元和作为移动终端使用终端数字证书私钥文件对待发送原始信息和终端身份标识信息进行加密并发送至认证服务单元的加密单元；

所述移动证书依赖方包括依赖方证书管理单元和依赖方信息认证单元，

所述依赖方证书管理单元包括用于存放依赖方身份识别数字证书私钥文件和CA根证书公钥文件的依赖方数字证书库；

所述依赖方信息认证单元包括接收CA认证中心发送的已认证签名信息，将待验证的签名信息发送至CA认证中心的认证服务单元的依赖方信息收发单元和接收依赖方信息收发单元发送的已认证签名信息，使用CA根证书公钥文件对已认证签名信息签名验证，签名验证成功后将信息原始内容和终端身份标识信息呈现给依赖方的认证单元。

上述CA证书管理单元还包括向移动证书依赖方提供终端数字证书吊销列表查询的证书吊销单元。

上述终端证书管理单元还包括用于向CA认证中心的对外信息库查询终端数字证书状态并完成终端数字证书库中的终端数字证书公钥文件更新的终端证书更新单元。

上述依赖方证书管理单元还包括用于向CA认证中心对外信息库查询并完成依赖方数字证书库中CA根证书公钥文件更新的依赖方证书更新单元。

上述移动终端还包括终端信息认证单元，

所述终端信息认证单元用于在移动终端收到由CA认证服务单元发送的已认证签名信息后，使用CA根证书公钥文件对已经通过CA中心认证的已认证签名信息进行验证，签名验证成功后将信息内容和发送方的身份标识信息呈现给移动终端