[实用新型]移动邮箱多因子可信身份认证系统

说明书

技术领域

   本实用新型涉及移动邮箱领域，尤其涉及移动邮箱多因子可信身份认证系统。

背景技术

随着数字化通讯的不断发展，在具备常规互联网基础邮件服务功能的同时，充分发挥和利用移动终端的功能优势，让用户可以方便直接地通过短信、彩信、WAP上网等方式，随时随地获取和管理移动终端的邮件信息。当前，把利用手机等移动终端获取、管理邮件信息的邮箱称之为移动邮箱。移动邮箱不仅能实现与固定邮箱的信息同步，而且还能利用移动终端的方便性实现随时随地查看的功能，简而言之，移动邮箱能和用户全面打造一个用户的综合信息平台，实现移动终端与邮箱的双向、全面的高效互通功能。

即，移动办公的盛行使用户对借助移动终端（手机为例）收发邮件、登录企业邮箱系统的需求大大提高，这使得移动邮箱有着广泛的发展前景。

然而，移动设备的便携性致使丢失或被窃的情况严重，终端数据和应用程序的机密性、完整性受到严重威胁。人们对笔记本电脑、智能手机、便携式多媒体等移动设备的使用大大增加，特别是那些被CEO、公司高管、销售和顾问使用的移动设备，往往涉及极为敏感的公司资料或邮件。最新的移动设备具有更大的储存容量和更强的互联网访问功能，也使移动设备上的数据信息面临更大的风险。

而且，PC计算平台的安全威胁正愈演愈烈地发生在移动智能平台上，小的移动终端因为资源有限导致防护能力较低，其操作系统漏洞或安全应用未及时更新，很容易导致病毒入侵如手机病毒的出现。

总而言之，现有移动邮箱存在很大的安全问题：

1. 现有移动邮箱系统大多仅仅以用户名、密码作为用户登录依据，邮件服务器对用户进行认证时只认证身份（密码、身份证书等）；

2. 传统的身份认证仅仅解决了用户身份的信任问题，对用户所持设备是否可信不能保证，这样的认证机制既是一种静态认证又是一种不完全认证。例如用户可能是移动终端的合法用户，但是移动终端已经被病毒侵害，成为别有用心的人控制的傀儡。这种情况下，合法用户登录邮箱系统下载保存到本地的邮件或机密信息的安全就受到极大威胁。

也就是说，现在急需要一种具有更佳安全措施的移动邮箱认证流程，以保证移动邮箱的安全性。

实用新型内容

本实用新型的目的在于提供一种更为安全的移动邮箱多因子可信身份认证系统。

为了达到上述目的， 一种移动邮箱多因子可信身份认证系统，包括邮箱服务平台和若干移动终端，其中，

邮箱服务平台进一步包括存储器和服务器，

所述存储器包括；

用户和终端鉴别存储单元：用于存储每个用户身份识别信息、每个用户对应的终端鉴别信息；

完整性度量信息存储单元，用于存储移动终端邮箱可信度验证信息；

算法信息存储单元，用于存储包括验证的流程及各种算法密码信息在内的算法信息；

所述服务器进一步包括：

交互处理单元：用于建立与各个终端的交互；

身份验证处理单元：用于验证用户的身份信息及终端鉴别信息；

完整性度量处理单元：用于利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性；

所述移动终端进一步包括：

可信芯片：用于作为可信度量根，设置存储完整性度量值的若干PCR寄存储器，每一PCR寄存器保存一度量结果，其中至少有一个PCR寄存器存储邮箱系统的完整性度量计算值；

SDIO智能卡：用于存储为移动终端颁发的身份证书；

终端鉴别处理模块：用于从移动终端中获得包括SIM卡信息在内的鉴别信息；

可信度量模块硬件管理模块：用于获取可信度量根的可信度量报告；

硬件管理模块：用于实现与SDIO智能卡的交互，获得包括PIN码、身份证书在内的信息；

多因子可信身份认证代理模块：建立与邮箱服务平台的通信，从终端鉴别处理模块、可信度量模块硬件管理模块中获得的各类认证鉴别信息，并通过邮箱服务器平台的验证反馈中决定是否启动邮箱系统。

与现有技术相比，本实用新型提供了身份认证的过程，不仅有身份认证、终端的鉴别认证，还利用可信芯片技术实现更为安全的认证，大大提升了邮箱使用的安全性。

附图说明

图1为一种移动邮箱多因子可信身份认证系统的原理图；

图2为一种移动邮箱多因子可信身份认证系统中移动终端的一结构示例图；

图3为一种移动邮箱多因子可信身份认证方法的流程图。

具体实施方式