[发明专利]一种终端身份认证方法、装置及系统

说明书

技术领域

本申请属于信息通信数据处理技术领域，尤其涉及一种终端身份认证方法、装置及系统。

背景技术

随着信息技术和互联网技术的迅速发展，各大服务商在为用户提供服务时通常需要与用户的终端设备进行大量的信息交互。为了保障用户的客户端与服务商的服务端之间安全通信以及规范不同客户端、服务商的交互方式、流程等，在不同的业务领域中通常会制定一定的行业标准，以规范和约束不同客户端、服务商的行为，促进行业发展。

然而，在很多业务领域中已经存在的行业标准或者即将、正在推行的行业标准的实施过程中，会员之间的相互认证始终是个棘手的问题。例如某线上金融服务商正推广一项涉及生物识别认证的开放标准，其中包括对手机厂商(客户端)和服务商(服务端)分别有相应的执行标准的开放标准。对于实现了该生物识别认证的开放标准的任一手机厂商可以自由选择相应的同样实现了该生物识别认证的开发标准的服务商来进行包括指纹、虹膜在内的生物验证。然而，有些投机的厂商绕过开放标准，按照公布出去的标准实现了一套方案，而不经过开放标准管理方的测试和授权，稳定性和安全都得不到保证。为便于描述。这里可以假定所述的手机厂商为C，选择的服务商为S。由于手机厂商C和服务商S均是使用上述开放标准服务的会员，且分别实现了标准接口，手机厂商C和选择的服务商S之间是可以正常通信的。而在开放标准实施的过程中，对于手机厂商C而言，如何防止自己是在和一个伪造的服务商通信，相应的，对于服务商S而言，如何识别出服务请求是否来自一个伪造的手机厂商的客户端，这在推广目前生物认证领域开放标准的是一个难题。

目前诸如FIDO(Fast Identity Online，线上快速身份验证)等标准，为了推广开放标准时进行会员之间的身份认证，采用了一方面通过法律条文等来约束会员，另一方面采用将加入开放标准的会员的信息通过官方渠道公布出去来达到防止身份伪造的目的。但按照目前大多数标准化组织的法律条文约束的方式在难以真正保障标准的实际运作。过期会员或者非会员等非法用户可以不顾及法律条文，绕过公布的开放标准单独实施一套方案或者是利用开发标准伪造会员进行非法活动。这样，不仅不利于标准的推广和实施，造成行业标准混乱，而且会员之间没有实际上的强制硬性身份认证措施，开放标准的稳定性和安全性都得不到保 障，真正会员的利益也存在潜在风险。

现有技术中行业开放标准的实施过程中通常采用通过标准化组织的法律条文或者信息公开的方式来约束会员的行为，防止会员身份伪造的目的。但在实际的实施过程中这种方式很容易被绕开和规避，难以真正实现保障会员之家的有效身份认证、杜绝非法会员身份伪造的目的，使得开放标准的安全性和稳定性得不到保障，大大降低了会员用户对行业开放标准的服务使用感知。

发明内容

本申请目的在于提供一种终端身份认证方法、装置及系统，可以采用多级证书验证消息是否来自授权的合法会员的终端设备，使接入行业开放标准的终端设备进行安全、有效、可靠的身份认证，防止非法会员伪造身份，保障行业开放标准整体的安全性和稳定性，提高会员对行业开放标准的服务使用感知。

本申请提供的一种终端身份认证方法、装置及系统是这样实现的：

一种开放标准中的终端身份认证方法，所述方法包括：

从开放标准中进行会员身份认证的根证书派生出使用所述根证书进行签名的服务商根证书，将所述服务商根证书发送给相应的服务商；

服务商的服务端利用所述服务商根证书的私钥对下发给客户端的消息进行加签，生成消息签名；

所述服务端向客户端发送请求消息，所述请求消息包括所述服务商根证书、所述消息签名；

客户端接收到请求消息后，利用预置在客户端的所述会员身份认证的根证书验证服务商根证书合法性，并利用请求消息中的服务商根证书对所述请求消息中的消息签名进行验证；

所述客户端根据所述消息签名和服务商根证书的验证结果确定接收到的请求消息是否来自开放标准中的合法终端。

一种开放标准中的终端身份认证方法，所述方法包括：

客户端利用终端私钥对上报给服务端的消息进行加签，生成终端消息签名；其中所述终端私钥在终端出厂前被固化在终端中，该终端的终端私钥对应的终端公钥则存储在认证中心；

所述客户端向服务端发送包括所述终端消息签名的请求消息；

服务端接收到请求消息后，将所述请求消息中的终端消息签名发送至所述认证中心进行验证；