技術(shù)領(lǐng)域

本發(fā)明涉及移動設(shè)備合法性的驗證技術(shù)領(lǐng)域，具體為一種基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法。

背景技術(shù)

移動設(shè)備合法性的問題一直是困擾移動應(yīng)用系統(tǒng)的一個問題，移動應(yīng)用通常通過提取設(shè)備型號、硬件唯一標(biāo)識碼、hash、自行生成隨機(jī)數(shù)等手段用于識別設(shè)備的合法性，然而這些手段都是通過系統(tǒng)接口實現(xiàn)的，容易被攻擊者通過劫持相關(guān)接口的方式篡改，從而使得移動應(yīng)用遭受到黑客的攻擊。

有鑒于此，特提出本發(fā)明。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題在于克服現(xiàn)有技術(shù)的不足，提供一種基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法，將移動設(shè)備身份憑證轉(zhuǎn)化為公私鑰形式，并將身份憑證和密鑰保存在移動設(shè)備端，以避免移動設(shè)備身份合法性提取接口被劫持造成的安全風(fēng)險；并且本發(fā)明還提供了實施該方法的系統(tǒng)。

為解決上述技術(shù)問題，本發(fā)明采用技術(shù)方案的基本構(gòu)思是：

第一方面，本發(fā)明提供了一種基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的系統(tǒng)，包括：

移動設(shè)備：用于存儲帶有公鑰的認(rèn)證證書以及與該公鑰對應(yīng)的認(rèn)證私鑰；還用于在接收到設(shè)備認(rèn)證服務(wù)器發(fā)送的驗證請求報文后進(jìn)行處理，對處理后的報文附加所述認(rèn)證證書后封裝并使用認(rèn)證私鑰對封裝報文進(jìn)行簽名形成應(yīng)答報文，發(fā)送給設(shè)備認(rèn)證服務(wù)器；

設(shè)備認(rèn)證服務(wù)器：用于存儲簽發(fā)認(rèn)證證書的根證書，以及用于接收到移動應(yīng)用服務(wù)器發(fā)起的移動設(shè)備合法性驗證請求后，對所述移動設(shè)備發(fā)送驗證請求報文；并在收到所述應(yīng)答報文后通過根證書驗證該報文中認(rèn)證證書合法性，之后通過認(rèn)證證書驗證報文簽名的合法性。

進(jìn)一步的，上述基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的系統(tǒng)中，所述移動設(shè)備內(nèi)的安全存儲區(qū)域中存儲用于將所述認(rèn)證證書進(jìn)行封裝，并進(jìn)行所述認(rèn)證私鑰的簽名的可信應(yīng)用。

第二方面，本發(fā)明提供了一種基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法，在設(shè)備認(rèn)證服務(wù)器端，包括：

發(fā)出移動設(shè)備合法性驗證的請求報文至移動設(shè)備；以及

存儲簽發(fā)移動設(shè)備中的認(rèn)證證書的根證書，其中簽發(fā)的該認(rèn)證證書帶有公鑰且與該公鑰對應(yīng)的認(rèn)證私鑰在所述移動設(shè)備中；在收到移動設(shè)備發(fā)回的應(yīng)答報文后通過根證書驗證應(yīng)答報文中包含的認(rèn)證證書的合法性，再通過認(rèn)證證書驗證應(yīng)答報文中被認(rèn)證私鑰簽署的簽名的合法性。

進(jìn)一步的，上述基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法中，在設(shè)備認(rèn)證服務(wù)器端還包括：

發(fā)出移動設(shè)備合法性驗證的請求報文至移動設(shè)備的步驟，是在設(shè)備認(rèn)證服務(wù)器接收到移動應(yīng)用服務(wù)器發(fā)起的移動設(shè)備合法性驗證請求進(jìn)行的；且在完成移動設(shè)備的合法性校驗后，將結(jié)果發(fā)送至移動應(yīng)用服務(wù)器。

進(jìn)一步的，上述基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法中，在設(shè)備認(rèn)證服務(wù)器端還包括：生成帶有隨機(jī)數(shù)和挑戰(zhàn)值的請求報文，將該報文發(fā)送給移動應(yīng)用服務(wù)器，以使移動應(yīng)用服務(wù)器通過網(wǎng)絡(luò)將請求報文轉(zhuǎn)發(fā)給移動設(shè)備端的移動應(yīng)用，移動應(yīng)用再通過系統(tǒng)接口將該報文轉(zhuǎn)發(fā)給移動設(shè)備。

進(jìn)一步的，上述基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法中，在設(shè)備認(rèn)證服務(wù)器端還包括：在完成通過認(rèn)證證書驗證應(yīng)答報文中被認(rèn)證私鑰簽署的簽名的合法性后，對接收到的所述應(yīng)答報文中的隨機(jī)數(shù)和挑戰(zhàn)值應(yīng)答串進(jìn)行校驗。

上述基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法在移動設(shè)備端，包括：

存儲帶有公鑰的認(rèn)證證書以及與該公鑰對應(yīng)的認(rèn)證私鑰；以及

在接收到設(shè)備認(rèn)證服務(wù)器發(fā)送的驗證請求報文后進(jìn)行處理，對處理后的報文附加所述認(rèn)證證書后封裝并使用認(rèn)證私鑰對封裝報文進(jìn)行簽名形成應(yīng)答報文，發(fā)送給設(shè)備認(rèn)證服務(wù)器，以使設(shè)備認(rèn)證服務(wù)器收到所述應(yīng)答報文后，通過設(shè)備認(rèn)證服務(wù)器存儲的簽發(fā)認(rèn)證證書的根證書驗證應(yīng)答報文中認(rèn)證證書的合法性，再通過認(rèn)證證書驗證報文簽名的合法性。

進(jìn)一步的，上述基于公私鑰體制的遠(yuǎn)程驗證移動設(shè)備合法性的方法中，在移動設(shè)備端還包括：根據(jù)請求報文中讀取的挑戰(zhàn)值生成挑戰(zhàn)值應(yīng)答串，并將認(rèn)證證書連同從請求報文中讀取的隨機(jī)數(shù)以及挑戰(zhàn)值應(yīng)答串信息封裝在一起，并使用認(rèn)證私鑰對封裝報文進(jìn)行簽名，簽名附在應(yīng)答報文的末尾。

第三方面本發(fā)明提供了構(gòu)成上述系統(tǒng)的設(shè)備認(rèn)證服務(wù)器，包括存儲介質(zhì)，存儲介質(zhì)中分別存儲有程序和根證書，所述根證書為簽發(fā)移動設(shè)備中的認(rèn)證證書的根證書，其中簽發(fā)的該認(rèn)證證書帶有公鑰且與該公鑰對應(yīng)的認(rèn)證私鑰在所述移動設(shè)備中；所述程序被運(yùn)行時執(zhí)行以下步驟：

發(fā)出移動設(shè)備合法性驗證的請求報文至移動設(shè)備；以及