一种基于移动终端的电子认证方法及装置

本发明涉及通信技术领域，尤其涉及一种基于移动终端的电子认证方法及装置。

随着移动技术的普及，移动终端已经成为人们工作和生活必备品，移动办公、移动 金融业务也成为潮流，但是无论在移动办公文件签署还是移动金融交易中，都需要通过数 字签名技术进行电子认证以保证信息安全性。在我国的商用密码体系中，出于安全考虑，要 求商用密码采用基于SM2的硬实现方式，虽然用户拥有合规的SM2硬件证书，但是由于大部 分终端并不具备SM2密码模块，且不具备可与硬件密码钥匙进行交互的特定接口，无法实现 文件或者数据的基于SM2证书签名和验签，局限了我国商用密码算法的推广和使用。在移动 终端上多使用软介质证书(如RSA证书)进行签名，或采用硬介质证书在具有USB接口的设备 上签名。移动终端上的文件和数据无法以一种安全的方式转换成基于硬介质证书(如SM2) 的签名文件，并且移动终端上用RSA进行数字签名的用户和采用SM2证书进行签名的用户， 虽然在现实中是一个实体，但是由于证书格式不同，无法互通和互认。

为解决上述技术问题，本发明提供了一种基于移动终端的电子认证方法及装置。 本发明实施例一方面提供了一种基于移动终端的电子认证方法，所述电子认证方法包括：

接收用户在移动终端发起的证书申请请求；

根据所述证书申请请求中的用户端信息判断本地是否存储有所述移动终端的硬 介质证书；

若本地存储有所述移动终端的硬介质证书，根据所述硬介质证书及所述证书申请 请求获取软介质证书并发送给所述移动终端，以使所述移动终端利用软介质证书对待签名 文件进行签名；

利用所述软介质证书对已签名的文件进行验签，并根据所述用户端信息对所述移 动终端进行认证；

当所述文件验签通过并且所述移动终端认证通过时，利用所述硬介质证书对已签 名的文件进行重新签名；

对经过所述硬介质证书重新签名的文件进行验证并将验证结果反馈给所述移动 终端。

本发明实施例另一方面还提供了一种基于移动终端的电子认证装置，所述电子认 证装置包括：

证书申请接收单元，用于接收用户在移动终端发起的证书申请请求；

判断单元，用于根据所述证书申请请求中的用户端信息判断本地是否存储有所述 移动终端的硬介质证书；

软介质证书申请单元，用于根据所述硬介质证书及所述证书申请请求获取软介质 证书并发送给所述移动终端，以使所述移动终端利用软介质证书对待签名文件进行签名；

验签及认证单元，用于利用所述软介质证书对已签名的文件进行验签，并根据所 述用户端信息对所述移动终端进行认证；

签名更新单元，用于利用所述硬介质证书对已签名的文件进行重新签名；

签名验证单元，用于对经过所述硬介质证书重新签名的文件进行验证并将验证结 果反馈给所述移动终端。

本发明通过一种基于移动终端和使用者特征的方式实现硬介质证书和软介质证 书关联，生成基于硬介质证书的签名文件，实现同一用户的信息互联互通，解决了软介质证 书易被盗用的问题，并实现了硬介质证书和软介质证书在移动终端的互用，满足了用户需 要硬介质证书签名的需求。将文件或数据通过软介质证书签名并传输，保证了信息的完整 性和不可抵赖性，同时以安全的方式传递证书关联信息用于匹配硬介质证书，并确认用户 身份的真实性，最终通过硬介质证书签名以获得具有更安全的数字签名文件。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本 发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以 根据这些附图获得其他的附图。

图1为本发明实施例基于移动终端的电子认证方法的流程示意图；

图2为本发明实施例的基于移动终端的电子认证装置的结构示意图；

图3为本发明实施例的证书申请及下载流程示意图；

图4为本发明实施例的数字签名流程示意图；

图5为本发明实施例签名验证流程示意图；

图6为本发明实施例的认证装置与用户端及电子认证服务机构的连接示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。

图1位本发明实施例基于移动终端的电子认证方法的流程示意图，如图1所示，该 方法主要包括以下步骤：

步骤S1、接收用户在移动终端发起的证书申请请求。通常的，该证书申请请求中包 括发起请求的用户端信息和用户需求信息。用户端信息例如可以为移动终端的身份信息及 使用者信息，移动终端包括手机，但不仅限于手机，本发明仅以手机为例进行说明，并非是 对本发明的限制。当移动终端为手机时，其身份信息可以是手机的国际移动设备身份码 (IMEI，International Mobile Equipment Identity)，使用者信息可以是手机SIM卡上的 国际移动用户识别码(IMSI，International Mobile Subscriber Identification Number)。用户需求信息通常包括申请证书所用的常规信息，例如证书类型(个人或企业)、 用户信息(姓名、公司、电话、地址等)及证书模板(双证书模板、签名证书模板、加密证书模 板)等证书申请相关信息。

步骤S2、根据证书申请请求中的用户端信息判断本地是否存储有所述移动终端的 硬介质证书。

硬介质证书是指具有专门硬件存储介质的证书，例如利用国密算法生成的SM2证 书就是一种硬介质证书，其需要专门的密码模块来保存，例如用户在办理网银业务时，为了 防止证书的丢失，SM2证书只能下载到类似U盘的U-Key硬件设备中。

步骤S3、若本地存储有所述移动终端的硬介质证书，则根据所述硬介质证书及所 述证书申请请求获取软介质证书并发送给所述移动终端，以使所述移动终端利用软介质证 书对待签名文件进行签名。

步骤S4、利用所述软介质证书对已签名的文件进行验签，并根据所述用户端信息 对所述移动终端进行认证。

步骤S5、当所述文件验签通过并且所述移动终端认证通过时，利用所述硬介质证 书对已签名的文件进行重新签名。

步骤S6、对经过所述硬介质证书重新签名的文件进行验证并将验证结果反馈给所 述移动终端。

本发明实施解决了软介质证书易被盗用的问题，并实现了硬介质证书和软介质证 书在移动终端的互用，满足了用户需要硬介质证书签名的需求。

当步骤S2的判断结果为否时，说明所述移动终端没有硬介质证书，那么需要根据 上述证书申请请求中的用户需求信息去申请硬介质证书(步骤S7)，其中，该用户需求信息 包括申请证书类型、用户信息及证书模板等。

在一实施例中，利用步骤S7获取硬应介质证书时，通常是将用户需求信息发送至 电子认证服务机构(Certificate Authority，CA)来申请硬介质证书，CA机构根据用户需求 信息颁发的硬介质证书，获取CA机构根据上述用户需求信息生成的硬介质证书后存储至密 码模块而不发送给用户的移动终端。

在一实施例中，利用步骤S3获取所述移动终端的软介质证书时，需要先将该移动 终端的硬介质证书的指纹信息与该移动终端的用户端信息(终端ID及使用者信息)关联，得 到证书关联数据，然后将该证书关联数据与用户需求信息发送至CA机构申请软介质证书， 此处的用户需求信息与申请硬介质证书时所用的信息可以相同，也可以不同，视用户的实 际需求而定。待获取到CA机构根据上述关联数据和用户需求信息生成的软介质证书后发送 给对应的用户移动终端，至此，完成证书申请及下载的过程。

当接收到移动终端利用其申请到的软介质证书签名的数据或文件后，需要利用上 述软介质证书对该数据或文件进行验签，并且根据这个终端的ID及使用者信息对移动终端 分别进行终端认证及使用者认证，只有当验签通过并且终端认证、使用者认证通过时，再用 该移动终端的硬介质证书将上述数据或文件上软介质证书的签名替换掉，完成硬介质证书 的签名。

在一实施例中，利用步骤S6对经过所述硬介质证书重新签名的文件进行验证时， 需要取得CA机构的公钥证书，利用该公钥证书对经过上述硬介质证书重新签名的数据或文 件进行数字签名认证。

本发明实施例解决了软介质证书易被盗用的问题，并实现了硬介质证书和软介质 证书在移动终端的互用，即本发明实施例既解决了软介质证书的安全性不高的问题，也满 足用户对硬介质证书签名的需求。

基于与图1所示的基于移动终端的电子认证方法相同的发明构思，本发明实施例 还提供了一种基于移动终端的电子认证装置，如下面实施例所述。由于该基于移动终端的 电子认证装置解决问题的原理与基于移动终端的电子认证方法相似，因此该基于移动终端 的电子认证装置的实施可以参见基于移动终端的电子认证方法的实施，重复之处不再赘 述。

图2为本发明实施例的基于移动终端的电子认证装置的结构示意图，如图4所示， 该认证装置主要包括：证书申请接收单元1、判断单元2、软介质证书申请单元3、验签及认证 单元4、签名更新单元5及签名验证单元6。其中，证书申请接收单元1用于接收用户在移动终 端发起的证书申请请求；判断单元2用于根据所述证书申请请求中的用户端信息判断本地 是否存储有所述移动终端的硬介质证书；软介质证书申请单元3用于根据所述硬介质证书 及所述证书申请请求获取软介质证书并发送给所述移动终端，以使所述移动终端利用软介 质证书对待签名文件进行签名；验签及认证单元4用于利用所述软介质证书对已签名的文 件进行验签，并根据所述用户端信息对所述移动终端进行认证；签名更新单元5用于利用所 述硬介质证书对已签名的文件进行重新签名；签名验证单元6用于对经过所述硬介质证书 重新签名的文件进行验证并将验证结果反馈给所述移动终端。

本发明实施例解决了软介质证书易被盗用的问题，并实现了硬介质证书和软介质 证书在移动终端的互用。

在一实施例中，软介质证书申请单元3通常包括关联模块、发送模块及接收模块。 其中，关联模块用于将所述硬介质证书的指纹信息与所述用户端信息关联，得到证书关联 数据；发送模块用于将所述证书关联数据与第二用户需求信息发送至电子认证服务机构申 请软介质证书；接收模块用于获取电子认证服务机构根据所述证书关联数据与第二用户需 求信息生成的软介质证书。

在一实施例中，签名验证单元6包括一公钥获取模块及一签名验证模块，公钥获取 模块用于获取电子认证服务机构的公钥证书，签名验证模块用于利用所述公钥证书对经过 所述硬介质证书重新签名的文件进行数字签名验证。

在一实施例中，上述的认证装置还包括一硬介质证书申请单元7及密码模块8。其 中，硬介质证书申请单元7用于根据所述证书申请请求中的第一用户需求信息获取硬介质 证书，所述第一用户需求信息包括申请证书类型、用户信息及证书模板；密码模块8用于存 储所述应介质证书。

通常地，硬介质证书申请单元7包括一发送模块及一接收模块，发送模块用于将所 述第一用户需求信息发送至电子认证服务机构申请硬介质证书，接收模块用于获取电子认 证服务机构根据所述第一用户需求信息生成的硬介质证书。

本发明实施例通过提供一种的基于移动终端的电子认证方法及装置，解决了软介 质证书易被盗用的问题，并实现了硬介质证书和软介质证书在移动终端的互用。

为了更好地理解本发明实施例的基于移动终端的电子认证方法及装置的有益效 果，下面结合具体的例子进行说明。

图3为利用本发明实施例进行证书申请及下载流程示意图。具体实现时，本发明实 施例的电子认证装置可以制作成证书认证平台的形式，如图3所示，用户在移动终端上发起 证书申请请求时，证书认证平台接收到包含数据1和数据2的申请请求(步骤①)，其中数据1 包含终端的IMEI号和用户SIM卡上的IMSI号，数据2主要包括申请证书时CA机构所需要用户 提供的常规信息，例如整数类型、用户、证书模板等信息。证书认证平台将数据2以 安全的方式发送给CA机构(步骤②)，用来申请硬介质证书(如SM2证书)。CA机构颁发硬介质 证书后，证书认证平台将该证书存储在本地的密码模块，并获取该证书的指纹信息，将该指 纹信息与数据1关联生成证书关联数据，将证书关联信息与数据2一同作为申请信息(步骤 ③)，以安全方式发送至CA机构，申请软介质证书。待收到CA机构颁发的软介质证书后，证书 认证平台再将该软介质证书以安全方式发送至移动终端(步骤④)，完成证书申请及下载的 过程。如用户的移动终端已有硬介质证书，那么只需按照图3所示步骤③及步骤④使终端获 取软介质证书即可。

图4为利用本发明实施例进行数字签名的流程示意图。如图4所示，当有数据或文 件需要移动终端签名时，移动终端利用其所获得的软介质证书对待签名数据或文件进行签 名，然后证书认证平台根据获取的数据1对终端和使用者进行认证并利用软介质证书对对 已签名的数据或文件进行验签，判断证书与终端是否匹配，若验签通过且终端和人的认证 通过，通过平台采用硬介质证书将软介质证书签名替换。

终端在对数据进行签名时，认证软介质证书对文件或数据进行签名，可以保证信 息的安全性，由于软介质证书通常存储在移动介质中，其可以随意复制传播，无法保证证书 持有者的真实身份，数据1即认证证书持有者的真实身份，将软介质证书与终端和人的身份 绑定，以保证安全性。

图5为利用本发明实施例进行签名验证的流程示意图。如图5所示，在利用图4所示 流程完成硬介质证书签名后，证书认证平台的签名验证模块还需要从CA机构处获取公钥证 书，对用硬介质证书签名的数据或文件进行数字签名验证，并将验证结果返回给移动终端。 可选地，上述签名验证模块可以独立于本实施例中的证书认证平台而设，本发明实施例仅 以证书认证平台包含签名验证模块为例进行说明，并非作为对本发明的限制。

图6为本发明实施例的认证装置与用户端及电子认证服务机构的连接示意图。如 图6所示，移动终端的用户是证书或者数字签名的需求方，为保证证书认证平台的安全性， 所有传输的数据无论是证书申请数据还是签名数据都需要通过杀毒服务器进行简单的病 毒扫描，在检测未见异常的情况下才将数据传送至证书认证平台。证书认证平台通过传来 的数据进行证书申请或者签名替换作业。若是证书申请操作，证书认证平台与CA机构进行 交互，申请硬介质证书和/或软介质证书。若进行数字签名操作，证书认证平台完成签名替 换工作，并将完成签名的数据返回至移动终端。若进行已签名文件或数据的签名验证操作， 已签名文件和数据通过签名验证模块进行验签操作，并确认用户的证书状态(生效、冻结、 吊销)，若用户证书为生效状态且验签通过，返回验证成功结果，否则为验签失败。

本发明实施例通过提供一种的基于移动终端的电子认证方法及装置，解决了软介 质证书易被盗用的问题，并实现了硬介质证书和软介质证书在移动终端的互用。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序 产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实 施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产 品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程 图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流 程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序 指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产 生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实 现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特 定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指 令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或 多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计 算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或 其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一 个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例 的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员， 依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内 容不应理解为对本发明的限制。