[发明专利]数字证书生成方法、用户密钥获取方法、移动终端及设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种数字证书生成方法、用户密钥获取方 法、移动终端及网络设备。

背景技术

移动终端设备在电子商务安全环节需要保障的安全范围包括：身份认证、 机密性、完整性、抗抵赖。公钥基础设施(Public Key Infrastructure，PKI)技术 通过数字签名和数字信封等，可以实现身份认证、机密性、完整性、抗抵赖的 保障。由于移动终端设备分为SIM卡和移动终端，而现阶段的SIM卡或者不具 备智能芯片不能实现PKI功能，或者具备智能芯片，可以实现PKI功能，却由 于机卡通信协议、手机操作系统的问题不能实现机卡通信，因而移动终端不能 实现对SIM卡内PKI功能的调用。目前移动终端一般采用基于文件方式的PKI 功能，即通过文件存储方式存储用户密钥，调用PKI功能时从该文件种获取用 户密钥，然而通过文件存储方式存储用户密钥存在用户密钥容易丢失或被恶意 窃取的风险。

发明内容

鉴于现有技术存在的问题，本发明实施例提出一种数字证书生成方法、用 户密钥获取方法移动终端及网络设备，可以保障用户私钥的安全性，降低用户 私钥的丢失或被窃取的安全风险。

鉴于现有技术的缺陷，本发明实施例提出一种数字证书生成方法，包括：

接收移动终端发送的申请数字证书的请求信息，该请求信息携带有用户标 识及初始计数器数值；

登记所述用户标识，并为该用户生成相应的用户公钥和用户私钥；

根据所述用户标识及初始计数器数值生成动态密钥，并利用该动态密钥加 密所述用户私钥，生成加密后的用户私钥；

根据所述用户标识及所述用户公钥生成用户公钥数字证书；

所述根据所述用户标识及初始计数器数值生成动态密钥为根据如下公式计 算生成：

HOTP(K，C)＝Truncate(HMAC-SHA-1(K，C))，其中：

HOTP(K，C)为生成的动态密钥；

K为种子，K＝MD5(IMEI+IMSI)；

C为用户身份识别模块的计数器；

Truncate(HMAC-SHA-1(K，C))为动态密钥生成算法。

相应地，本发明实施例还提出一种用户密钥获取方法，包括：

向网络侧发送用户密钥获取请求，该用户密钥获取请求中携带有用户标识；

根据所述用户标识从所述网络侧查询获取利用动态密钥加密后的用户私 钥，并将该加密后的用户私钥缓存在移动终端内存中；

根据所述用户标识及初始计数器数值生成动态密钥，并利用该动态密钥解 密所述用户私钥，获取解密后的用户私钥，并将该解密后的用户私钥缓存在内 存中；

所述根据所述用户标识及初始计数器数值生成动态密钥为根据如下公式计 算生成：

HOTP(K，C)＝Truncate(HMAC-SHA-1(K，C))，其中：

HOTP(K，C)为生成的动态密钥；

K为种子，K＝MD5(IMEI+IMSI)；

C为用户身份识别模块的计数器；

Truncate(HMAC-SHA-1(K，C))为动态密钥生成算法。

相应地，本发明实施例还提出一种网络设备，包括：

接收模块，用于接收移动终端发送的申请数字证书的请求信息，该请求信 息携带有用户标识及初始计数器数值；

用户密钥生成模块，用于登记所述接收模块接收的用户标识，并为该用户 生成相应的用户公钥和用户私钥；

用户密钥加密模块，用于根据所述接收模块接收到的用户标识及初始计数 器数值生成动态密钥，并利用该动态密钥加密所述用户密钥生成模块生成的用 户私钥，生成加密后的用户私钥；

数字证书生成模块，用于根据所述接收模块接收到得用户标识信息与所述 用户密钥生成模块生成的用户公钥生成用户公钥数字证书；

所述根据所述接收模块接收到的用户标识及初始计数器数值生成动态密钥 为根据如下公式计算生成：

HOTP(K，C)＝Truncate(HMAC-SHA-1(K，C))，其中：

HOTP(K，C)为生成的动态密钥；

K为种子，K＝MD5(IMEI+IMSI)；

C为用户身份识别模块的计数器；