[发明专利]一种基于PKI技术的移动终端设备及用户认证的方法

说明书

技术领域

本发明涉及移动通讯数据业务领域，尤其是指一种基于PKI技术的移动终端设备及用户认证的方法。

背景技术

随着智能终端设备的日益普及，随之而来的各类移动电子商务也层出不穷。但在移动电子商务中，如何认证用户身份存在着技术难题。

目前在智能终端的应用层主要用到的身份认证方式有以下几种：

1、WAP认证

用户的智能手机终端通过WAP上网，移动运营商能够得到用户手机号码，并以此作为后续用户认证、计费的依据。

2、账号+口令认证

在后台将用户账号与用户智能终端的唯一身份信息（如手机号码，设备号等）相绑定，用户在智能终端上输入账号和口令，认证通过后，后台提取与账号绑定的智能终端唯一身份信息，进行扣费等操作。

然而上述两种技术在实际使用时均存在一定问题。第一种通过WAP方式认证用户的方法，存在较大的局限性，由于通过WAP获取用户手机号码必须WAP网络本身支持，因此通常只有移动运营商自身的WAP网络（如CMWAP）方可可以获得用户手机号码，但在其他网络环境下，如CMNET、WLAN无法获得用户身份信息。且此种方法只能针对具备手机号码的只能终端进行认证，使用上收到诸多限制。而第二种的通过账号+口令方式，难以避免账号多人共用的问题，更不利于有效解决由于帐号共用带来的纠纷。因此，现下行业内亟需一种新的认证方式，能够在各类网络环境下实现对用户的身份认证。

发明内容

本发明的目的在于克服了上述缺陷，提供一种基于PKI技术的移动终端设备及用户认证的方法。

本发明的目的是这样实现的：一种基于PKI技术的移动终端设备及用户认证的方法，它包括初始化及业务使用认证的步骤；

初始化：

1)、通过移动终端向移动运营商的认证系统提交包含终端信息的注册请求；

较佳的，本步骤1的提交注册请求方式包括：

a)、对应移动终端处于移动运营商自身的WAP网络环境时，通过CMWAP提交终端信息；

b)、移动终端不在移动运营商自身的WAP网络环境时，向认证系统发送携带终端信息的上行短信；

2)、认证系统收到注册请求后，提取其中的终端信息并通过终端的提交方式获取其手机号码；

3)、移动终端上生成RSA密钥对；所述RSA密钥对包括公钥和私钥；

较佳的，本步骤具体为，检测移动终端中是否有安全组件， 

a)、若有，则在安全组件内部生成RSA密钥对；

b)、若无，则在移动终端管理的安全区域内生成RSA密钥对；

较佳的，本步骤中采用终端信息对RSA密钥对中的私钥进行加密；所述终端信息为终端的硬件特征，它包括移动终端的IMEI、IMSI和/或MAC。

4)、移动终端向移动运营商的认证系统提交数字证书申请信息；所述数字证书申请信息包括终端信息及RSA密钥对的公钥；

5)、认证系统对提交的数字证书申请信息中的终端信息与步骤2提取的终端信息进行比较，若两者吻合向移动终端颁发数字证书，并保存对应的终端信息； 

业务使用认证：

1)、移动终端访问移动运营商的业务系统；

2)、业务系统向移动终端返回认证要求；

3)、移动终端对认证信息进行签名；

4)、移动终端将签名前、后的认证信息一并提交至移动运营商的业务系统；

5)、业务系统向认证系统申请终端认证，将移动终端提交的签名前、后的认证信息送给认证系统；

6)、认证系统通过比对签名前、后的认证信息验证终端身份，将验证是否通过的结果返回给业务系统，若验证通过则同时还将该终端信息一并返回给业务系统；

7)、业务系统根据验证是否通过的结果进行不同的处理，若验证不通过则向移动终端返回错误，验证通过则根据终端信息进行需使用业务的后续使用；

上述方法中，较佳的，所述初始化的步骤1通过移动终端上的安全组件向移动运营商的认证系统提交包含终端信息的注册请求；所述业务使用认证的步骤3移动终端调用安全组件，对认证信息进行签名；

上述方法中，较佳的，初始化的步骤2中，认证系统为移动终端设定一个身份标识；所述数字证书申请信息还包括身份标识；所述初始化的步骤5中，认证系统通过数字证书申请信息中的身份标识作为索引找寻步骤2提取的终端信息后与提交的数字证书申请信息中的终端信息进行比较；