[发明专利]一种移动终端认证方法、业务访问方法及设备

说明书

技术领域

本发明涉及通信网络技术领域，尤其涉及一种移动终端认证方法、业务访问方法及设备。

背景技术

随着移动化时代的到来，企业移动化认证和接入的应用日益广泛，目前，企业移动终端认证方案基本可以分为如下几类：

1、通过用户名和口令方式登录认证。用户在移动终端上输入预先注册的用户名和口令，向认证服务器端发起登录请求，认证服务器收到登录请求后，通过将其中携带的用户名和口令与数据库比对进行认证。

2、通过动态口令认证。用户在移动终端上输入预先注册的通信号码（例如手机号码），向认证服务器端发送动态口令请求；认证服务器端在判断该请求中携带的通信号码与数据库中保存的注册信息一致时，生成一组认证码，通过短消息发送给移动终端，并将该认证码暂时与核实后的用户信息关联；移动终端收到该短消息后，由人工将认证码填入登录界面，发送包含用户名和认证码的登录请求；认证服务器收到登录请求后，将其与之前暂存的用户名和其关联的认证码进行比对，以进行认证。

3、通过设备唯一ID认证。用户在移动终端上输入预先注册的用户名和口令，应用程序读取移动终端的IMSI（International Mobile Subscriber Identification Number，国际移动用户识别码）或IMEI（International Mobile Equipment Identity国际移动设备身份码）等唯一ID，并上报给认证服务器；认证服务器将接收到的登录请求中的用户名、口令及设备ID等信息与数据库中预先注册的用户名、口令及设备ID等信息进行比对，以进行认证。

4、通过设备预先内置的私钥或证书认证。这种方式与方式3类似，在认证过程中采用非对称加密进行认证过程中的数据交换。

在实现本发明的过程中，发明人发现现有移动终端认证方案至少存在以下问题：

1、不安全。例如，采用方式1容易泄露用户名和口令，而且泄露不容易被察觉；方式2的动态口令一般通过明文以短消息形式发送给移动终端，而且由于需要手动输入，动态口令通常不会太长，存在着被偷窥或截获的危险；方式3的设备唯一ID一旦泄露会存在伪造虚假登录信息的风险；方式4的私钥和证书也存在可能泄露和被复制的安全隐患。

2、不便捷。采用方式1和方式2时，需要用户输入用户名和口令信息，并需要预先进行注册；采用方式3时，对于企业需要维护和管理员工所使用的移动终端的唯一设备ID，IMSI号和IMEI号对于用户应用层面不可知，维护管理困难；采用方式4，需要对员工私钥或证书进行频繁的颁发和撤销。

因此，亟需移动终端认证方案及业务访问方案出现，用以解决上述技术问题。

发明内容

本发明实施例提供了一种移动终端认证方法设备，用以增强身份认证的安全性，提高移动终端认证的便捷性。

为了实现上述目的，本发明实施例采用以下技术手段：

本发明实施例提供一种移动终端认证方法，所述方法包括：

安全网关接收移动终端发送的第一次握手请求，解析出所述第一次握手请求中携带的公钥，所述公钥由所述移动终端生成；

所述安全网关根据所述第一次握手请求，从目录服务器上查询到相应的用户信息后，生成通信密钥，利用解析出的公钥对生成的通信密钥加密，并将加密的通信密钥返回给所述移动终端；

所述安全网关接收所述移动终端发送的第二次握手请求，并利用自身生成的所述通信密钥，解密所述第二次握手请求，并在解密成功后向所述移动终端返回认证成功响应；其中，所述第二次握手请求是所述移动终端利用与所述公钥对应的私钥对所述安全网关返回的加密的通信密钥进行解密后，利用解密后的通信密钥对第二次握手请求进行加密后发送的。

本发明实施例还提供一种移动终端认证方法，所述方法包括：

移动终端向安全网关发送第一次握手请求，所述第一次握手请求中携带有所述移动终端生成的公钥；

所述移动终端接收所述安全网关返回的加密的通信密钥，并利用与所述公钥对应的私钥，对所述加密的通信密钥进行解密；其中，所述加密的通信密钥是所述安全网关根据所述第一握手请求，从目录服务器上查询到相应的用户信息后，生成通信密钥并利用所述公钥加密后得到的；

所述移动终端利用解密得到的通信密钥，对第二次握手请求进行加密，并将加密的第二次握手请求发送给所述安全网关，以使所述安全网关对所述第二次握手请求进行认证。

本发明实施例还提供一种安全网关设备，包括：