技術領域

本發明涉及通信網絡技術領域，尤其涉及一種移動終端認證方法、業務訪問方法及設備。

背景技術

隨著移動化時代的到來，企業移動化認證和接入的應用日益廣泛，目前，企業移動終端認證方案基本可以分為如下幾類：

1、通過用戶名和口令方式登錄認證。用戶在移動終端上輸入預先注冊的用戶名和口令，向認證服務器端發起登錄請求，認證服務器收到登錄請求后，通過將其中攜帶的用戶名和口令與數據庫比對進行認證。

2、通過動態口令認證。用戶在移動終端上輸入預先注冊的通信號碼（例如手機號碼），向認證服務器端發送動態口令請求；認證服務器端在判斷該請求中攜帶的通信號碼與數據庫中保存的注冊信息一致時，生成一組認證碼，通過短消息發送給移動終端，并將該認證碼暫時與核實后的用戶信息關聯；移動終端收到該短消息后，由人工將認證碼填入登錄界面，發送包含用戶名和認證碼的登錄請求；認證服務器收到登錄請求后，將其與之前暫存的用戶名和其關聯的認證碼進行比對，以進行認證。

3、通過設備唯一ID認證。用戶在移動終端上輸入預先注冊的用戶名和口令，應用程序讀取移動終端的IMSI（International Mobile Subscriber Identification Number，國際移動用戶識別碼）或IMEI（International Mobile Equipment Identity國際移動設備身份碼）等唯一ID，并上報給認證服務器；認證服務器將接收到的登錄請求中的用戶名、口令及設備ID等信息與數據庫中預先注冊的用戶名、口令及設備ID等信息進行比對，以進行認證。

4、通過設備預先內置的私鑰或證書認證。這種方式與方式3類似，在認證過程中采用非對稱加密進行認證過程中的數據交換。

在實現本發明的過程中，發明人發現現有移動終端認證方案至少存在以下問題：

1、不安全。例如，采用方式1容易泄露用戶名和口令，而且泄露不容易被察覺；方式2的動態口令一般通過明文以短消息形式發送給移動終端，而且由于需要手動輸入，動態口令通常不會太長，存在著被偷窺或截獲的危險；方式3的設備唯一ID一旦泄露會存在偽造虛假登錄信息的風險；方式4的私鑰和證書也存在可能泄露和被復制的安全隱患。

2、不便捷。采用方式1和方式2時，需要用戶輸入用戶名和口令信息，并需要預先進行注冊；采用方式3時，對于企業需要維護和管理員工所使用的移動終端的唯一設備ID，IMSI號和IMEI號對于用戶應用層面不可知，維護管理困難；采用方式4，需要對員工私鑰或證書進行頻繁的頒發和撤銷。

因此，亟需移動終端認證方案及業務訪問方案出現，用以解決上述技術問題。

發明內容

本發明實施例提供了一種移動終端認證方法設備，用以增強身份認證的安全性，提高移動終端認證的便捷性。

為了實現上述目的，本發明實施例采用以下技術手段：

本發明實施例提供一種移動終端認證方法，所述方法包括：

安全網關接收移動終端發送的第一次握手請求，解析出所述第一次握手請求中攜帶的公鑰，所述公鑰由所述移動終端生成；

所述安全網關根據所述第一次握手請求，從目錄服務器上查詢到相應的用戶信息后，生成通信密鑰，利用解析出的公鑰對生成的通信密鑰加密，并將加密的通信密鑰返回給所述移動終端；

所述安全網關接收所述移動終端發送的第二次握手請求，并利用自身生成的所述通信密鑰，解密所述第二次握手請求，并在解密成功后向所述移動終端返回認證成功響應；其中，所述第二次握手請求是所述移動終端利用與所述公鑰對應的私鑰對所述安全網關返回的加密的通信密鑰進行解密后，利用解密后的通信密鑰對第二次握手請求進行加密后發送的。

本發明實施例還提供一種移動終端認證方法，所述方法包括：

移動終端向安全網關發送第一次握手請求，所述第一次握手請求中攜帶有所述移動終端生成的公鑰；

所述移動終端接收所述安全網關返回的加密的通信密鑰，并利用與所述公鑰對應的私鑰，對所述加密的通信密鑰進行解密；其中，所述加密的通信密鑰是所述安全網關根據所述第一握手請求，從目錄服務器上查詢到相應的用戶信息后，生成通信密鑰并利用所述公鑰加密后得到的；

所述移動終端利用解密得到的通信密鑰，對第二次握手請求進行加密，并將加密的第二次握手請求發送給所述安全網關，以使所述安全網關對所述第二次握手請求進行認證。

本發明實施例還提供一種安全網關設備，包括：