一种基于无线终端的数字证书申请方法、系统及无线终端

技术领域

本发明关于通信安全领域，特别涉及一种基于无线终端的数字证书申请方法、系统及无线终端。

背景技术

计算机安全涉及到非常多的领域，但是最基本的安全问题就是访问权限的控制方式。在身份认证方面，目前主流的方式可以分为三种：一是简单以用户名和密码结合来识别身份，这种方式比较原始，其特点是简单容易实现，但是其安全性比较低，此种方式构建的系统在网络中容易被黑客攻破，在涉及到安全级稍高的系统中基本不采用。二是利用生物识别技术来识别用户身份，此种方式实现成本比较高，对系统的硬件性能计算能力等都要求比较高，而且有识别失误的风险。三是以数字证书为身份认证的基础，再辅助以公钥基础设施(Public Key Infrastructure，简称PKI)和认证机构(Certification Authority，简称CA)进行身份识别的系统，这种方式需要有一个可信任的第三方CA。采用数字证书进行认证有以下的方式：

把数字证书和私钥都存放到通用串行总线钥匙(USB Key)中，对私钥的访问采用专用接口，私钥采用USB Key个人身份号码(personal identification number，简称Pin码)进行保护，用户私钥不能出USB Key。但是USB Key的方式仅适用于固定网络，在固定网络不存在的时候会由于网络问题不方便使用。

发明内容

为了解决现有技术的缺陷，本发明实施例的目的是提供一种基于无线终端的数字证书申请方法、系统及无线终端，使得数字证书也可通过无线网络进行方便的申请，以便后续的安全认证，并能有效提高认证的安全级别。

为实现以上发明目的，本发明一实施例提供一种基于无线终端的认证方法，所述方法包括：产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中。

为实现以上发明目的，本发明又一实施例提供一种无线终端，所述无线终端包括：密钥生成单元，用于产生密钥对；用户识别模块，与所述密钥生成单元相连，用于存储所述密钥对的私钥；数字证书获取单元，与所述密钥生成单元和所述用户识别模块相连，用于将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器，并接收认证服务器下发的数字证书；非易失性存储单元，与所述数字证书获取单元相连，用于存储所述数字证书。

为实现以上发明目的，本发明又一实施例提供一种基于无线终端的数字证书申请系统，所述系统包括：无线终端和认证服务器，所述无线终端，用于产生密钥对，将所述密钥 对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；并接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中；所述认证服务器，用于接收所述无线终端发送的所述申请证书信息，根据所述申请证书信息生成所述无线终端的数字证书，并将所述数字证书下发给所述无线终端。

本发明实施例的技术方案采用将私钥和数字证书分开存储的方法，将私钥存储于无线终端的用户识别模块中而将数字证书存储于FLASH。由于数字证书中能证明用户身份的核心部分是私钥，这种存储方式能够提高私钥的安全性，比把数字证书和私钥都存放在Flash中安全性更好。同时，将数字证书存放于FLASH而不是无线终端的用户识别模块中，节省了用户识别模块的存储空间，提高用户识别模块的空间效率和访问数字证书的时间效率。

附图说明

图1为本发明实施例的系统示意图；

图2为本发明实施例的一种系统组网示意图；

图3为本发明实施例的一种无线终端的示意图；

图4为本发明实施例的另一种无线终端的示意图；

图5为本发明实施例无线终端的存储结构图；

图6为本发明实施例SIM卡的文件结构示意图；

图7为本发明实施例基于无线终端的认证方法的流程图；

图8为本发明实施例无线终端数字证书申请的流程图；

图9为本发明实施例无线终端进行数字签名的流程图；

图10为本发明实施例无线终端进行签名验证的流程图。

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。

如图1所示，该系统包括：无线终端10和认证服务器20。所述无线终端10，用于产生密钥对，将所述密钥对中的私钥存储于所述无线终端的用户识别模块中；将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；并接收认证服务器下发的数字证书，将所述数字证书存储于所述无线终端的非易失性存储器中。所述认证服务器20，用于接收所述无线终端发送的所述申请证书信息，根据所述申请证书信息生成所述无线终端的数字证书，并将所述数字证书下发给所述无线终端。

该系统的无线终端10在申请数字证书时，采用将私钥和数字证书分开存储的方法，将私钥存储于SIM卡而将数字证书存储于非易失性存储器(如FLASH)。由于数字证书中能证明用户身份的核心部分是私钥，这种存储方式能够提高私钥的安全性。

如图2所示，本实施例采用客户端和服务器的组网模式，客户端为无线终端，服务器为数字证书认证服务器，客户端向服务器发送数字证书请求以获取数字证书。

在该实际的系统示意图中，无线接入终端为带SIM卡的USB调制解调器(USB-Modem)，私钥的硬件载体为SIM卡或UIM卡，采用Pin码对私钥进行访问控制。数 字证书通过无线OTA(Over The Air，空口)下发给USB-Modem并保存到USB-Modem的Flash中。认证服务器采用通用的PC领域方案。该认证服务器又可细分为：注册机构(Registration Authority，简称RA)，主要完成数字证书申请时的用户身份验证流程；认证机构(Certification Authority，简称CA)，如果RA验证通过则由CA生成数字证书；发布平台，用于发布该数字证书；轻量目录访问协议服务器(Lightweight Directory Access Protocal，简称LDAP)，存储所注册的无线终端的数字证书，并提供数字证书的查询服务。

此外，对应于具体的业务流程，该系统还包括应用服务器(如银行的转帐服务器)以及数据库。为了完成具体的业务流程，该无线终端还连接有计算机，由计算机来完成具体的业务流程，无线终端则采用数字证书为计算机的数据传输提供安全保障。

图3为本发明实施例的一种无线终端的示意图。如图所示，无线终端10包括：密钥生成单元101，用于产生密钥对；用户识别模块102，与所述密钥生成单元相连，用于存储所述密钥对的私钥；数字证书获取单元103，与所述密钥生成单元和所述用户识别模块相连，用于将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器，并接收认证服务器下发的数字证书；非易失性存储单元104，与所述数字证书获取单元相连，用于存储所述数字证书。

进一步的，该无线终端10还可包括：数字签名单元105，用于采用密码访问所述用户识别模块中的私钥，并采用所述私钥对所述无线终端传输的数据进行数字签名；数字签名验证单元106，用于接收数据发送方发送的签名数据，从所述认证服务器获取所述数据发送方的数字证书，根据所述数据发送方的数字证书对所述签名数据进行验证。

图3所示的无线终端将私钥存储于SIM卡，将数字证书存储于非易失性存储单元，提高了私钥的安全性。并且该无线终端还能采用SIM卡内的私钥进行数字签名以及对接收的数据进行数字签名的验证。私钥的安全性提高也能够保证后续签名数据的安全传输。终端可以通过无线网络参与安全的电子商务活动，比如网上交易，签订网上商务合同，网上银行支付，网上证券交易等。

图4为本发明实施例的另一种无线终端的示意图。所述数字证书获取单元103还包括：发送单元1031，用于将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；接收单元1032，用于接收下发的数字证书。进一步的，所述无线终端10还包括：加密单元107，用于对所述申请证书信息进行哈希加密得到摘要信息，并用所述私钥对所述摘要信息进行加密得到密文；所述发送单元1031，还用于将所述密文和所述公钥发送给所述认证服务器。

图4所示的无线终端在申请数字证书时，将申请证书信息进行哈希加密以及私钥加密后得到密文，并将申请证书信息、公钥以及该密文发送给认证服务器，该方法使认证服务器能够通过公钥解密该密文来对申请证书信息进行验证，是一种可靠的无线终端身份的验证方式。

图5为本发明实施例无线终端的存储结构图。无线终端内部存储器主要由Flash构成，其中专门划出一个分区用来存储数字证书，一个标准的CA数字证书大小约2k左右。本实施例的数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件，最简单的数字证书包含一个公开密钥、证书所有人名称以及证书授权中心的数字签名。本实施例的数字证书中还包括密钥的有效时间，发证机关(证书授权中心)的 名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。私钥存储于无线终端的SIM卡内部，目前通用的SIM卡内部空间一般为8k，32k，64k，128k等，私钥的大小一般为128Byte或256Byte，存储私钥完全足够。

图6为本发明实施例SIM卡的文件结构图。SIM卡存储的数据包括：短信、电话本、协议数据、运营商数据、STK程序数据以及密码数据等，这些数据都是根据标准的协议规范定义的。本发明实施例将私钥当成密钥文件来存储。根据SIM卡标准协议，可在SIM/UIM卡内部实现存储接口，利用智能卡标准接口对主文件(Master File，简称MF)、专门文件(Dedicated File，简称DF)和基础文件(Elementary File，简称EF)等进行合理规划。DF文件又可以包括DF_TELECOM、DF_GSM、DF_CDMA等对应于不同类型通信网络的文件。

利用SIM卡接口命令，可方便实现对EF密钥文件的定位、新增、读、更新等操作。终端产品软件可支持这些接口，计算机要进行数字签名或加解密时把数据传送给终端设备，终端设备读取SIM卡私钥加工完成后把加工后的结果返回计算机，私钥内容不出无线终端，所以其安全性与USB Key相同。

图7为本发明实施例基于无线终端的认证方法的流程图。如图所示，

步骤S701，本发明实施例的无线终端首先利用加密算法产生密钥对，把私钥保存到SIM卡中；

步骤S702，将包括所述密钥对中的公钥、用户识别模块号码和用户信息的申请证书信息发送给认证服务器；

步骤S703，无线终端通过OTA空口接收数字证书，并保存于FLASH，这样私钥存储于SIM卡，而数字证书是存储于FLASH某一预定分区；

步骤S704，当无线终端需要对发送的数据进行数字签名时，先通过密码访问SIM卡内私钥，采用所述私钥对要发送的数据进行数字签名。如，可以采用SIM卡自身提供PIN码保护机制进行访问，当密码挑战次数超过有限次数(如3次)，SIM卡自动锁死。防止该无线终端被人利用字典攻击攻破而非法利用身份信息；

步骤S705，当无线终端接收到数据发送方法送的签名数据时，从认证服务器端获取数据发送的数字证书；

步骤S706，根据该数字证书对收到的签名数据进行验证。

图8为本发明实施例无线终端数字证书申请的流程图，该流程所采用的具体加密算法仅用于说明本方案，而不是用户限定权利要求的保护范围。如图所示：

步骤S801，无线终端申请数字证书开户激活；

步骤S802，利用RSA加密算法产生密钥对，把私钥Ks保存于SIM卡中，同时将“公钥Kg、SIM卡的国际移动设备身份码(International Mobile Equipment Identity，简称IMEI)/紧急服务号码(Emergency Service Number，简称ESN)、用户个人信息”形成数字证书申请信息；

步骤S803，无线终端对形成的数字证书申请信息用安全哈希算法(SecureHash Algorithem，简称SHA1)进行运算得到摘要信息D1，用私钥Ks对D1加密得到D1的密文D2；

步骤S804，将数字证书申请信息、D2和Kg通过OTA发送给RA；

步骤S805，RA采用公钥Kg解密D2得到D11，RA对数字证书申请信息采用SHA1进行运算得到D12；

步骤S806，判断D12是否等于D11；

步骤S807，如果不相等则通过OTA向无线终端发送验证失败信息，表示数字证书申请失败；

步骤S808，如果D12与D11相同则将验证结果提交给CA，由CA生成数字证书；

步骤S809，CA将包含公钥的数字证书通过OTA发送给无线终端，同时发布证书信息到LDAP；

步骤S810，无线终端的FLASH存储该数字证书；

步骤S811，数字证书申请流程结束。

图9为本发明实施例无线终端进行数字签名的流程。如图所示：

步骤S901，无线终端连接PC；

PC通过连接无线终端可以无线上网，同时，该无线终端由于申请了数字证书，可以通过无线网络参与安全的电子商务活动，比如网上交易、签订网上商务合同、网上银行支付以及网上证券交易等。PC或笔记本利用无线终端进行数字签名就是通过SIM卡的Pin码校验利用SIM卡内私钥进行签名，同时无线网络对SIM卡身份校验。

步骤S902，无线终端访问SIM卡内的私钥，由于SIM有PIN码保护机制，需要输入PIN码来获取私钥信息；

步骤S903，判断PIN码验证是否成功；

步骤S904，如果在设定的次数内pin码验证不成功，则锁住SIM卡，以防止恶意访问；

步骤S905，如果访问成功，则无线终端获得SIM内私钥的访问权限；

步骤S906，PC调用无线终端的签名加密接口，对PC文本进行哈希运算和私钥签名后发送，由于加密均在无线终端内部完成，PC无法直接访问到私钥；

步骤S907，签名完成。

图10为本发明实施例无线终端进行签名验证的一种详细流程。无线终端的一方发送数字签名的文档，另一方通过无线终端接收该文档，进行数字签名的验证。签名验证的具体流程为：

步骤S1001，无线终端连接PC，对从PC接收的数据进行签名验证；

步骤S1002，无线终端通过网络接收方送方信息和签名数据；

步骤S1003，无线终端访问认证服务器查发送方的数字证书。采用数字证书的公钥对签名数据进行验证；

步骤S1004，判断验证是否成功；

步骤S1005，如果验证失败则提示签名失败；

步骤S1006，如果验证成功则提示签名成功，可以确认身份。由于采用数字证书对签名数据进行验证已经为本领域技术人员所公知，此处不再详细描述。

本发明实施例的无线终端如数据卡等通过无线线网络CA数字证书的体系进行电子商务，提高了安全级别。并且，无线终端的数字证书和私钥分离存储，私钥(一般为128Byte/256Byte)存储于SIM卡，而且有SIM卡的PIN进行保护，数字证书存储于FLASH。将私钥存储于SIM卡能提高网络的安全性，将数字证书存放于FLASH，节省了SIM卡存储空间，能提高SIM卡的空间效率和访问数字证书的时间效率。

本方案的无线终端可以是无线数据卡、无线USB-Modem、无线通信终端等，无线终端可以作为PC机的登陆安全密钥，与PC机的连接方式可以采用USB接口、PC机内存卡国际协会(Personal Computer Memory Card International Association，简称PCMCIA)接口或Express接口(PCMCIA卡的新标准接口)，同时也可以是IEEE 1394的硬件接口。无线接入的网络制式可以是无线接入的EDGE，WCDMA，TD-SCDMA，HSDPA，WiMAX等。

本发明实施例无线终端的身份验证采用无线终端接入鉴权认证和CA身份验证的双认证体系，提高了安全认证的级别。同时由于可以接入无线网络，系统使用更方便。并且本发明实施例的无线终端还能提供标准的数字证书签名接口函数和数字签章接口，使得数字证书业务在有线网络和无线网络环境下都可以正常使用。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。