[发明专利]在能力开放系统中的终端安全性保护方法、装置及系统

权利要求书

1.一种在能力开放系统中的终端安全性保护方法，其特征在于，该方法包括：

能力开放系统网络侧接收终端中的安全中间件发送的初始化请求，携带采用初始密钥计算的第一消息验证码及采用初始密钥加密的终端标识及终端号码；

能力开放系统网络侧使用初始密钥对第一消息验证码进行验证，验证正确后，采用初始密钥解密获得终端标识和终端号码，生成该安全中间件的身份标识及密钥信息，绑定终端标识和终端号码存储；

能力开放系统网络侧将该安全中间件的身份标识、密钥信息、和采用初始密钥计算的第二消息验证码发送给该终端的安全中间件认证，认证通过后该终端中的安全中间件存储安全中间件的身份标识及密钥信息。

2.如权利要求1所述的方法，其特征在于，所述第一消息验证码还采用终端的安全中间件生成的随机数计算，且初始化请求中携带该随机数；

所述生成该安全中间件的身份标识及密钥信息是根据终端标识及随机数生成的。

3.如权利要求2所述的方法，其特征在于，所述生成该安全中间件的密钥信息为：

将该安全中间件的密钥信息加密后，加密为临时密钥信息；

将该密钥信息存储之前，采用临时密钥信息和随机数计算得到密钥信息。

4.如权利要求1所述的方法，其特征在于，所述发送初始化请求之前，该方法还包括：

终端设置安全中间件，或终端检测到自身的用户识别模块SIM更换、或终端已经设置安全中间件并且检测到该安全中间件没有初始化。

5.如权利要求1或4所述的方法，其特征在于，所述发送初始化请求之前，该方法还包括：

终端的安全中间件检测是否通过WAP网关与能力开放系统网络侧通信，如果是，则所述的初始化请求由WAP网关转发，在转发时，将终端标识填入到所述初始化请求中；如果否，安全中间件通过短信网关将终端号码及终端标识发送给能力开放系统网络侧，然后再发送初始化请求。

6.如权利要求1所述的方法，其特征在于，该方法还包括终端中的软件开发工具包SDK单元与终端中的安全中间件认证过程：SDK单元将从安全中间件获取到的随机数及应用密码生成第一应用消息验证码后，将第一应用消息验证码及应用信息发送给安全中间件；安全中间件采用由能力开放系统网络侧获得的应用密钥验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧。

7.如权利要求6所述的方法，其特征在于，所述安全中间件采用由能力开放系统网络侧获得的应用密钥验证第一应用消息验证码通过后，再将应用信息传输给能力开放系统网络侧的过程为：

安全中间件采用密钥信息、第一应用消息验证码、随机数及时间戳计算第二应用消息验证码，发送给能力开放系统网络侧；或者采用应用密码和随机数计算第二应用消息验证码，发送给能力开放系统网络侧；

能力开放系统网络侧验证第二应用消息验证码成功后，根据应用标识查找对应的应用密钥，然后根据应用密钥验证第一应用消息验证码，验证成功后加密应用密钥，并采用密钥信息、随机数及时间戳计算得到第三应用验证码后，发送第三应用验证码及加密的应用密钥给安全中间件；

安全中间件验证第三应用验证码，验证成功后解密应用密钥，存储应用标识及应用密钥的对应关系；

安全中间件采用应用密钥校验第一应用消息验证码的合法性，验证成功，则应用合法，与能力开放系统网络侧交互应用信息。