[发明专利]基于公私钥体制的远程验证移动设备合法性的系统和方法

说明书

技术领域

本发明涉及移动设备合法性的验证技术领域，具体为一种基于公私钥体制的远程验证移动设备合法性的方法。

背景技术

移动设备合法性的问题一直是困扰移动应用系统的一个问题，移动应用通常通过提取设备型号、硬件唯一标识码、hash、自行生成随机数等手段用于识别设备的合法性，然而这些手段都是通过系统接口实现的，容易被攻击者通过劫持相关接口的方式篡改，从而使得移动应用遭受到黑客的攻击。

有鉴于此，特提出本发明。

发明内容

本发明要解决的技术问题在于克服现有技术的不足，提供一种基于公私钥体制的远程验证移动设备合法性的方法，将移动设备身份凭证转化为公私钥形式，并将身份凭证和密钥保存在移动设备端，以避免移动设备身份合法性提取接口被劫持造成的安全风险；并且本发明还提供了实施该方法的系统。

为解决上述技术问题，本发明采用技术方案的基本构思是：

第一方面，本发明提供了一种基于公私钥体制的远程验证移动设备合法性的系统，包括：

移动设备：用于存储带有公钥的认证证书以及与该公钥对应的认证私钥；还用于在接收到设备认证服务器发送的验证请求报文后进行处理，对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文，发送给设备认证服务器；

设备认证服务器：用于存储签发认证证书的根证书，以及用于接收到移动应用服务器发起的移动设备合法性验证请求后，对所述移动设备发送验证请求报文；并在收到所述应答报文后通过根证书验证该报文中认证证书合法性，之后通过认证证书验证报文签名的合法性。

进一步的，上述基于公私钥体制的远程验证移动设备合法性的系统中，所述移动设备内的安全存储区域中存储用于将所述认证证书进行封装，并进行所述认证私钥的签名的可信应用。

第二方面，本发明提供了一种基于公私钥体制的远程验证移动设备合法性的方法，在设备认证服务器端，包括：

发出移动设备合法性验证的请求报文至移动设备；以及

存储签发移动设备中的认证证书的根证书，其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中；在收到移动设备发回的应答报文后通过根证书验证应答报文中包含的认证证书的合法性，再通过认证证书验证应答报文中被认证私钥签署的签名的合法性。

进一步的，上述基于公私钥体制的远程验证移动设备合法性的方法中，在设备认证服务器端还包括：

发出移动设备合法性验证的请求报文至移动设备的步骤，是在设备认证服务器接收到移动应用服务器发起的移动设备合法性验证请求进行的；且在完成移动设备的合法性校验后，将结果发送至移动应用服务器。

进一步的，上述基于公私钥体制的远程验证移动设备合法性的方法中，在设备认证服务器端还包括：生成带有随机数和挑战值的请求报文，将该报文发送给移动应用服务器，以使移动应用服务器通过网络将请求报文转发给移动设备端的移动应用，移动应用再通过系统接口将该报文转发给移动设备。

进一步的，上述基于公私钥体制的远程验证移动设备合法性的方法中，在设备认证服务器端还包括：在完成通过认证证书验证应答报文中被认证私钥签署的签名的合法性后，对接收到的所述应答报文中的随机数和挑战值应答串进行校验。

上述基于公私钥体制的远程验证移动设备合法性的方法在移动设备端，包括：

存储带有公钥的认证证书以及与该公钥对应的认证私钥；以及

在接收到设备认证服务器发送的验证请求报文后进行处理，对处理后的报文附加所述认证证书后封装并使用认证私钥对封装报文进行签名形成应答报文，发送给设备认证服务器，以使设备认证服务器收到所述应答报文后，通过设备认证服务器存储的签发认证证书的根证书验证应答报文中认证证书的合法性，再通过认证证书验证报文签名的合法性。

进一步的，上述基于公私钥体制的远程验证移动设备合法性的方法中，在移动设备端还包括：根据请求报文中读取的挑战值生成挑战值应答串，并将认证证书连同从请求报文中读取的随机数以及挑战值应答串信息封装在一起，并使用认证私钥对封装报文进行签名，签名附在应答报文的末尾。

第三方面本发明提供了构成上述系统的设备认证服务器，包括存储介质，存储介质中分别存储有程序和根证书，所述根证书为签发移动设备中的认证证书的根证书，其中签发的该认证证书带有公钥且与该公钥对应的认证私钥在所述移动设备中；所述程序被运行时执行以下步骤：

发出移动设备合法性验证的请求报文至移动设备；以及