移动办公身份认证方法、平台和系统以及移动终端

本发明涉及通讯技术领域，更具体地说，涉及一种移动办公身份认证方法、 平台和系统以及移动终端。

现有的移动办公大部分采用用户名口令的方式对用户身份进行认证。用户 登录时输入用户名、密码，然后明文传输到后台，后台获取用户名密码，通过 数据库比对用户名密码的一致性进行用户身份验证。

现有的这种传统用户名密码登录的方式容易被猜测。登录时，用户名和密 码明文传递到后台，在传递过程中容易被盗取，导致用户身份被冒用。另外， 在进行非法操作时，无法提供有效的证据，追究其责任。

本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种能够 避免用户身份被猜测及盗用、增强数据传输安全性并为事后追责提供依据的移 动办公身份认证方法、移动办公身份认证平台和移动办公身份认证系统以及一 种移动终端。

本发明解决其技术问题所采用的技术方案是：提出一种移动办公身份认证 方法，包括如下步骤：

S1、接收并解析移动终端发出的用户身份证书申请请求；

S2、基于从移动终端获取的手机号码和终端硬件标识向证书颁发平台申请 用户身份证书；

S3、保存从证书颁发平台获得的用户身份证书，并将其返回给所述移动终 端；

S4、基于移动办公平台在用户以手机号码进行登录时发送的用户身份验证 请求进行用户身份验证，并返回验证结果，其中，所述用户身份验证请求包含 有基于所述手机号码、终端硬件标识和用户身份证书创建的身份凭证。

根据本发明所述的移动办公身份认证方法中，在移动终端本机有SIM卡 时，所述方法在步骤S1之前还包括：

接收移动终端以上行短信方式发送的本机手机号码和终端硬件标识。

根据本发明所述的移动办公身份认证方法中，在移动终端本机无SIM卡 时，所述方法在步骤S1之前还包括：

接收移动终端发出的包含用户手机号码的短信验证码申请，生成短信验证 码并以下行短信的方式发送至用户手机号码；

所述步骤S1进一步包括：

解析移动终端发出的包含所述短信验证码和终端硬件标识的用户身份证 书申请请求，验证所述短信验证码。

本发明为解决其技术问题还提出一种移动办公身份认证平台，包括：

解析模块，用于接收并解析移动终端发出的用户身份证书申请请求；

证书申请模块，用于基于从移动终端获取的手机号码和终端硬件标识向证 书颁发平台申请用户身份证书；

证书保存模块，用于保存从证书颁发平台获得的用户身份证书，并将其返 回给所述移动终端；

验证模块，用于基于移动办公平台在用户以手机号码进行登录时发送的用 户身份验证请求进行用户身份验证，并返回验证结果，其中，所述用户身份验 证请求包含有基于所述手机号码、终端硬件标识和用户身份证书创建的身份凭 证。

一个实施例中，根据本发明所述的移动办公身份认证平台还包括：信息接 收模块，用于在移动终端本机有SIM卡时，接收移动终端以上行短信方式发 送的本机手机号码和终端硬件标识。

一个实施例中，根据本发明所述的移动办公身份认证平台还包括：

短信验证码模块，用于在移动终端本机无SIM卡时，接收移动终端发出 的包含用户手机号码的短信验证码申请，生成短信验证码并以下行短信的方式 发送至用户手机号码；

所述解析模块进一步用于解析移动终端发出的包含所述短信验证码和终 端硬件标识的用户身份证书申请请求，验证所述短信验证码。

本发明为解决其技术问题还提出一种移动办公身份认证系统，包括移动终 端、移动办公身份认证平台、移动办公平台和证书颁发平台，其中：

所述移动终端用于向移动办公身份认证平台发出用户身份证书申请请求， 接收移动办公身份认证平台返回的用户身份证书，根据手机号码、终端硬件标 识和用户身份证书创建身份凭证，并以所述身份凭证登录移动办公平台；

所述移动办公身份认证平台用于解析移动终端发出的用户身份证书申请 请求，基于从所述移动终端获取的手机号码和终端硬件标识向证书颁发平台申 请用户身份证书，保存该用户身份证书并将其返回给所述移动终端，并基于移 动办公平台在移动终端进行登录时发送的用户身份验证请求进行用户身份验 证，返回验证结果；

所述证书颁发平台用于向所述移动办公身份认证平台颁发基于所述手机 号码和终端硬件标识的用户身份证书；

所述移动办公平台用于在所述移动终端以身份凭证进行登录时，发送包含 有所述身份凭证的用户身份验证请求至所述移动办公身份认证平台，并根据所 述移动办公身份认证平台返回的验证结果进行业务处理。

本发明为解决其技术问题还提出一种移动终端，包括：

用户身份证书申请模块，用于向移动办公身份认证平台发出用户身份证书 申请请求，并接收移动办公身份认证平台返回的基于手机号码和终端硬件标识 的用户身份证书；

身份凭证创建模块，用于根据手机号码、终端硬件标识和所述用户身份证 书创建身份凭证；

登录模块，用于接收用户登录输入的手机号码，并以基于所述手机号码从 所述身份凭证创建模块获得的身份凭证登录移动办公平台。

一个实施例中，根据本发明所述的移动终端还包括：

信息发送模块，用于在所述移动终端本机有SIM卡时，以上行短信方式 将本机手机号码和终端硬件标识发送给移动办公身份认证平台。

一个实施例中，根据本发明所述的移动终端还包括：

短信验证码申请模块，用于在所述移动终端本机无SIM卡时，接收用户 输入的用户手机号码，向移动办公身份认证平台发出包含该手机号码的短信验 证码申请，并接收用户输入的通过用户手机号码接收到的短信验证码；

所述用户身份证书申请模块进一步用于向移动办公身份认证平台发出包 含所述短信验证码和终端硬件标识的用户身份证书申请请求。

实施本发明，具有以下有益效果：本发明以手机号码为标示，以公钥基础 设施(PKI)技术为基础，将用户手机号码、终端硬件、用户身份证书捆绑在 一起，形成移动办公身份凭证；身份凭证与终端硬件绑定，采用PKI和数字 证书进行保护，避免用户身份被猜测及盗用，保障用户身份安全；与后台通讯 时加入数字签名技术，保证传输数据的完整性、不可否认性，并为事后责任追 溯提供了依据。

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明一个实施例的移动办公身份认证系统的结构示意图；

图2是图1所示的移动办公身份认证系统的交互过程的示意图；

图3是本发明一个实施例的移动办公身份认证方法的流程图；

图4是本发明另一实施例的移动办公身份认证方法的流程图；

图5是本发明一个实施例的移动办公身份认证平台的逻辑结构图；

图6是本发明一个实施例的移动终端的逻辑结构图。

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实 施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅 仅用以解释本发明，并不用于限定本发明。

本发明提供了一种基于手机号码和终端硬件标识的移动办公身份认证机 制，有效防止了简单用户名密码容易被猜测及盗用的风险，保障了用户身份安 全。图1示出了本发明一个实施例的移动办公身份认证系统的结构示意图。如 图1所示，该移动办公身份认证系统主要由移动终端10、移动办公平台20、 移动办公身份认证平台30和证书颁发平台40构成。移动终端10用于向移动 办公身份认证平台30发出用户身份证书申请请求，接收移动办公身份认证平 台30返回的用户身份证书，根据手机号码、终端硬件标识和用户身份证书创 建身份凭证。移动终端10还用于在用户输入手机号码进行移动办公登录时， 获取对应的身份凭证登录移动办公平台20。移动办公身份认证平台30用于解 析移动终端10发出的用户身份证书申请请求，基于从移动终端10获取的手机 号码和终端硬件标识向证书颁发平台40申请用户身份证书，保存该用户身份 证书并将其返回给移动终端10。移动办公身份认证平台30还用于在用于通过 移动终端10登录移动办公平台20时，基于移动办公平台20发送的用户身份 验证请求进行用户身份验证，返回验证结果给移动办公平台20。证书颁发平 台40用于向移动办公身份认证平台30颁发基于手机号码和终端硬件标识的用 户身份证书。移动办公平台20用于在用户通过移动终端10进行登录时，发送 包含有身份凭证的用户身份验证请求至移动办公身份认证平台30进行用户身 份验证，并根据移动办公身份认证平台30返回的验证结果进行业务处理，然 后返回登录结果给移动终端10。

图1所示的移动办公身份认证系统的各部分之间的交互过程如图2所示。 首先，移动终端10初始化，向移动办公身份认证平台20发出用户身份证书申 请请求。具体来说，移动终端10在初始化时会检测本机是否有SIM卡，并针 对有SIM卡和无SIM卡两种情况执行不同的操作。当移动终端10检测本机有 SIM卡时，发送上行短信至移动办公身份认证平台30，该上行短信中包含了 移动终端10的本机手机号码和终端硬件标识。当移动终端10检测到本机无 SIM卡时，移动终端10接收用户输入的用户手机号码，基于该用户手机号码 向移动办公身份认证平台30发出短信验证码申请，移动办公身份认证平台基 于该申请生成的验证码会通过下行短信的方式发送至用户手机号码，然后由用 户将接收到额短信验证码输入给移动终端10。初始化完成后，移动终端10生 成密钥对，向移动办公身份认证平台30发出用户身份证书申请请求。然后步 骤S2中，移动办公身份认证平台30解析该用户身份证书申请请求，获得移动 终端10的终端硬件标识。在移动终端无SIM卡的情况下，步骤S2中移动办 公身份认证平台30还会对用户身份证书申请请求中所携带的短信验证码进行 验证，短信验证码验证正确，才会执行下一步骤。随后步骤S3中，移动办公 身份认证平台30基于从移动终端10获得的手机号码和终端硬件标识向证书颁 发平台40申请用户身份证书。随后步骤S4中，证书颁发平台40基于手机号 码和终端硬件标识生成用户身份证书并返回给移动办公身份认证平台30。随 后步骤S5中，移动办公身份认证平台30保存该用户身份证书，然后步骤S6 中，移动办公身份认证平台30将该用户身份证书发送给移动终端10。随后步 骤S7中，移动终端10根据手机号码、终端硬件标识和用户身份证书创建身份 凭证。至此，基于手机号码和终端硬件标识的移动办公身份凭证被生成。随后 步骤S8中，当用户需要登录移动办公平台20时，由移动终端10接收用户输 入的手机号码，向移动办公平台20进行登录。此时，移动终端10基于用户输 入的手机号码获取身份凭证，并进行登录签名，然后以该身份凭证登录移动办 公平台20。随后步骤S9中，移动办公平台20在收到移动终端10的登录请求 后，基于移动终端10传送的身份凭证向移动办公身份认证平台30申请用户身 份验证。随后步骤S10中，移动办公身份认证平台30解析该身份凭证，获得 用户身份证书，并将其与移动办公身份认证平台30保存的用户身份证书进行 验证。随后步骤S11中，移动办公身份认证平台30将验证结果返回给移动办 公平台20。随后步骤S12中，移动办公平台20根据验证结果进行业务处理。 然后步骤S13中，移动办公平台20向移动终端10返回登录结果。若用户身份 验证成功，则移动办公平台20向移动终端10返回登录成功的结果，若用户身 份验证失败，则移动办公平台20向移动终端10返回登录失败的结果。至此， 移动办公用户身份认证过程完成。

基于以上所介绍的移动办公身份认证系统，本申请提出一种移动办公身份 认证方法。图3示出了根据本发明一个实施例中在移动终端本机具有SIM卡 的情况下的移动办公身份认证方法100的流程图。如图3所示，该方法100 包括如下步骤：

首先步骤S110中，接收移动终端以上行短信方式发送的本机手机号码和 终端硬件标识。

随后步骤S120中，接收移动终端发出的用户身份证书申请请求，解析该 请求，获得终端硬件标识。

随后步骤S130中，基于从移动终端获取的手机号码和终端硬件标识向证 书颁发平台申请用户身份证书。

随后步骤S140中，保存从证书颁发平台获得的用户身份证书，并将其返 回给所述移动终端。

随后步骤S150中，基于移动办公平台在用户以手机号码进行登录时发送 的用户身份验证请求进行用户身份验证，并返回验证结果，其中，所述用户身 份验证请求包含有基于所述手机号码、终端硬件标识和用户身份证书创建的身 份凭证。具体示例中，该步骤解析该身份凭证，获得用户身份证书，并将其与 本地保存的用户身份证书进行验证。若用户身份证书正确，则向移动办公平台 返回用户身份验证成功的结果，以便移动办公平台进行登录处理，完成用户登 录。若用户身份证书错误，则向移动办公平台返回用户身份验证失败的结果， 以便移动办公平台向用户返回登录失败。

图4示出了根据本发明另一实施例中在移动终端本机没有SIM卡的情况 下的移动办公身份认证方法200的流程图。如图4所示，该方法200包括如下 步骤：

首先步骤S210中，接收移动终端发出的包含用户手机号码的短信验证码 申请，生成短信验证码并以下行短信的方式发送至用户手机号码。

随后步骤S220中，解析移动终端发出的包含短信验证码和终端硬件标识 的用户身份证书申请请求，获得短信验证码和终端硬件标识。

随后步骤S230中，验证短信验证码是否正确，若正确，则执行下一步骤 S240，若错误，则返回步骤S220。

随后步骤S240中，基于从移动终端获取的手机号码和终端硬件标识向证 书颁发平台申请用户身份证书。

随后步骤S250中，保存从证书颁发平台获得的用户身份证书，并将其返 回给所述移动终端。

随后步骤S260中，基于移动办公平台在用户以手机号码进行登录时发送 的用户身份验证请求进行用户身份验证，并返回验证结果，其中，所述用户身 份验证请求包含有基于所述手机号码、终端硬件标识和用户身份证书创建的身 份凭证。具体示例中，该步骤解析该身份凭证，获得用户身份证书，并将其与 本地保存的用户身份证书进行验证。若用户身份证书正确，则向移动办公平台 返回用户身份验证成功的结果，以便移动办公平台进行登录处理，完成用户登 录。若用户身份证书错误，则向移动办公平台返回用户身份验证失败的结果， 以便移动办公平台向用户返回登录失败。

基于以上所介绍的移动办公身份认证系统，本申请还提出一种移动办公身 份认证平台。图5示出了根据本发明一个实施例的移动办公身份认证平台300 的逻辑框图。如图5所示，该移动办公身份认证平台300主要由解析模块310、 证书申请模块320、证书保存模块330和验证模块340构成。解析模块310用 于接收并解析移动终端发出的用户身份证书申请请求。证书申请模块320用于 基于从移动终端获取的手机号码和终端硬件标识向证书颁发平台申请用户身 份证书。证书保存模块330用于保存从证书颁发平台获得的用户身份证书，并 将其返回给所述移动终端。验证模块340用于基于移动办公平台在用户以手机 号码进行登录时发送的用户身份验证请求进行用户身份验证，并返回验证结 果。其中，所述用户身份验证请求包含有基于所述手机号码、终端硬件标识和 用户身份证书创建的身份凭证，验证模块340解析该身份凭证，获得用户身份 证书，并将其与证书保存模块330保存的用户身份证书进行验证。

一个具体实施例中，该移动办公身份认证平台300还包括信息接收模块 350，用于在移动终端本机有SIM卡时，接收移动终端以上行短信方式发送的 本机手机号码和终端硬件标识。

一个具体实施例中，该移动办公身份认证平台300还包括短信验证码模块 360，用于在移动终端本机无SIM卡时，接收移动终端发出的包含用户手机号 码的短信验证码申请，生成短信验证码并以下行短信的方式发送至用户手机号 码.。此时，解析模块340还用于解析移动终端发出的包含所述短信验证码和 终端硬件标识的用户身份证书申请请求，验证所述短信验证码。只有短信验证 码验证成功，才由证书申请模块320向证书颁发平台申请用户身份证书。

基于以上所介绍的移动办公身份认证系统，本申请还提出一种移动终端。 图6示出了根据本发明一个实施例的移动终端400的逻辑框图。如图6所示， 该移动终端400主要由用户身份证书申请模块410、身份凭证创建模块420和 登录模块430构成。用户身份证书申请模块410用于向移动办公身份认证平台 发出用户身份证书申请请求，并接收移动办公身份认证平台返回的基于手机号 码和终端硬件标识的用户身份证书。身份凭证创建模块420用于根据手机号 码、终端硬件标识和所述用户身份证书创建身份凭证。登录模块430用于接收 用户登录输入的手机号码，并以基于所述手机号码从所述身份凭证创建模块获 得的身份凭证登录移动办公平台。

一个具体实施例中，移动终端400还包括信息发送模块440，用于在移动 终端400本机有SIM卡时，以上行短信方式将本机手机号码和终端硬件标识 发送给移动办公身份认证平台。

一个具体实施例中，移动终端400还包括短信验证码申请模块450，用于 在移动终端400本机无SIM卡时，接收用户输入的用户手机号码，向移动办 公身份认证平台发出包含该手机号码的短信验证码申请，并接收用户输入的通 过用户手机号码接收到的短信验证码。此时，用户身份证书申请模块410进一 步用于向移动办公身份认证平台发出包含所述短信验证码和终端硬件标识的 用户身份证书申请请求。只有短信验证码验证成功，才由收到移动办公身份认 证平台返回的用户身份证书。

本发明的移动办公身份认证方法、平台和系统以及移动终端将用户手机号 码、终端硬件标识、用户身份证书捆绑在一起，形成移动办公身份凭证，避免 用户身份被猜测及盗用，保障用户身份安全，并保证传输数据的完整性、不可 否认性，为事后责任追溯提供了依据。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明 的保护范围之内。