本申請(qǐng)屬于信息通信數(shù)據(jù)處理技術(shù)領(lǐng)域，尤其涉及一種終端身份認(rèn)證方法、裝置及系統(tǒng)。

背景技術(shù)：

隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，各大服務(wù)商在為用戶提供服務(wù)時(shí)通常需要與用戶的終端設(shè)備進(jìn)行大量的信息交互。為了保障用戶的客戶端與服務(wù)商的服務(wù)端之間安全通信以及規(guī)范不同客戶端、服務(wù)商的交互方式、流程等，在不同的業(yè)務(wù)領(lǐng)域中通常會(huì)制定一定的行業(yè)標(biāo)準(zhǔn)，以規(guī)范和約束不同客戶端、服務(wù)商的行為，促進(jìn)行業(yè)發(fā)展。

然而，在很多業(yè)務(wù)領(lǐng)域中已經(jīng)存在的行業(yè)標(biāo)準(zhǔn)或者即將、正在推行的行業(yè)標(biāo)準(zhǔn)的實(shí)施過(guò)程中，會(huì)員之間的相互認(rèn)證始終是個(gè)棘手的問(wèn)題。例如某線上金融服務(wù)商正推廣一項(xiàng)涉及生物識(shí)別認(rèn)證的開(kāi)放標(biāo)準(zhǔn)，其中包括對(duì)手機(jī)廠商(客戶端)和服務(wù)商(服務(wù)端)分別有相應(yīng)的執(zhí)行標(biāo)準(zhǔn)的開(kāi)放標(biāo)準(zhǔn)。對(duì)于實(shí)現(xiàn)了該生物識(shí)別認(rèn)證的開(kāi)放標(biāo)準(zhǔn)的任一手機(jī)廠商可以自由選擇相應(yīng)的同樣實(shí)現(xiàn)了該生物識(shí)別認(rèn)證的開(kāi)發(fā)標(biāo)準(zhǔn)的服務(wù)商來(lái)進(jìn)行包括指紋、虹膜在內(nèi)的生物驗(yàn)證。然而，有些投機(jī)的廠商繞過(guò)開(kāi)放標(biāo)準(zhǔn)，按照公布出去的標(biāo)準(zhǔn)實(shí)現(xiàn)了一套方案，而不經(jīng)過(guò)開(kāi)放標(biāo)準(zhǔn)管理方的測(cè)試和授權(quán)，穩(wěn)定性和安全都得不到保證。為便于描述。這里可以假定所述的手機(jī)廠商為c，選擇的服務(wù)商為s。由于手機(jī)廠商c和服務(wù)商s均是使用上述開(kāi)放標(biāo)準(zhǔn)服務(wù)的會(huì)員，且分別實(shí)現(xiàn)了標(biāo)準(zhǔn)接口，手機(jī)廠商c和選擇的服務(wù)商s之間是可以正常通信的。而在開(kāi)放標(biāo)準(zhǔn)實(shí)施的過(guò)程中，對(duì)于手機(jī)廠商c而言，如何防止自己是在和一個(gè)偽造的服務(wù)商通信，相應(yīng)的，對(duì)于服務(wù)商s而言，如何識(shí)別出服務(wù)請(qǐng)求是否來(lái)自一個(gè)偽造的手機(jī)廠商的客戶端，這在推廣目前生物認(rèn)證領(lǐng)域開(kāi)放標(biāo)準(zhǔn)的是一個(gè)難題。

目前諸如fido(fastidentityonline，線上快速身份驗(yàn)證)等標(biāo)準(zhǔn)，為了推廣開(kāi)放標(biāo)準(zhǔn)時(shí)進(jìn)行會(huì)員之間的身份認(rèn)證，采用了一方面通過(guò)法律條文等來(lái)約束會(huì)員，另一方面采用將加入開(kāi)放標(biāo)準(zhǔn)的會(huì)員的信息通過(guò)官方渠道公布出去來(lái)達(dá)到防止身份偽造的目的。但按照目前大多數(shù)標(biāo)準(zhǔn)化組織的法律條文約束的方式在難以真正保障標(biāo)準(zhǔn)的實(shí)際運(yùn)作。過(guò)期會(huì)員或者非會(huì)員等非法用戶可以不顧及法律條文，繞過(guò)公布的開(kāi)放標(biāo)準(zhǔn)單獨(dú)實(shí)施一套方案或者是利用開(kāi)發(fā)標(biāo)準(zhǔn)偽造會(huì)員進(jìn)行非法活動(dòng)。這樣，不僅不利于標(biāo)準(zhǔn)的推廣和實(shí)施，造成行業(yè)標(biāo)準(zhǔn)混亂，而且會(huì)員之間沒(méi)有實(shí)際上的強(qiáng)制硬性身份認(rèn)證措施，開(kāi)放標(biāo)準(zhǔn)的穩(wěn)定性和安全性都得不到保 障，真正會(huì)員的利益也存在潛在風(fēng)險(xiǎn)。

現(xiàn)有技術(shù)中行業(yè)開(kāi)放標(biāo)準(zhǔn)的實(shí)施過(guò)程中通常采用通過(guò)標(biāo)準(zhǔn)化組織的法律條文或者信息公開(kāi)的方式來(lái)約束會(huì)員的行為，防止會(huì)員身份偽造的目的。但在實(shí)際的實(shí)施過(guò)程中這種方式很容易被繞開(kāi)和規(guī)避，難以真正實(shí)現(xiàn)保障會(huì)員之家的有效身份認(rèn)證、杜絕非法會(huì)員身份偽造的目的，使得開(kāi)放標(biāo)準(zhǔn)的安全性和穩(wěn)定性得不到保障，大大降低了會(huì)員用戶對(duì)行業(yè)開(kāi)放標(biāo)準(zhǔn)的服務(wù)使用感知。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)目的在于提供一種終端身份認(rèn)證方法、裝置及系統(tǒng)，可以采用多級(jí)證書(shū)驗(yàn)證消息是否來(lái)自授權(quán)的合法會(huì)員的終端設(shè)備，使接入行業(yè)開(kāi)放標(biāo)準(zhǔn)的終端設(shè)備進(jìn)行安全、有效、可靠的身份認(rèn)證，防止非法會(huì)員偽造身份，保障行業(yè)開(kāi)放標(biāo)準(zhǔn)整體的安全性和穩(wěn)定性，提高會(huì)員對(duì)行業(yè)開(kāi)放標(biāo)準(zhǔn)的服務(wù)使用感知。

本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證方法、裝置及系統(tǒng)是這樣實(shí)現(xiàn)的：

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法包括：

從開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員身份認(rèn)證的根證書(shū)派生出使用所述根證書(shū)進(jìn)行簽名的服務(wù)商根證書(shū)，將所述服務(wù)商根證書(shū)發(fā)送給相應(yīng)的服務(wù)商；

服務(wù)商的服務(wù)端利用所述服務(wù)商根證書(shū)的私鑰對(duì)下發(fā)給客戶端的消息進(jìn)行加簽，生成消息簽名；

所述服務(wù)端向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名；

客戶端接收到請(qǐng)求消息后，利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證；

所述客戶端根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法包括：

客戶端利用終端私鑰對(duì)上報(bào)給服務(wù)端的消息進(jìn)行加簽，生成終端消息簽名；其中所述終端私鑰在終端出廠前被固化在終端中，該終端的終端私鑰對(duì)應(yīng)的終端公鑰則存儲(chǔ)在認(rèn)證中心；

所述客戶端向服務(wù)端發(fā)送包括所述終端消息簽名的請(qǐng)求消息；

服務(wù)端接收到請(qǐng)求消息后，將所述請(qǐng)求消息中的終端消息簽名發(fā)送至所述認(rèn)證中心進(jìn)行驗(yàn)證；

所述服務(wù)端接收所述認(rèn)證中心的驗(yàn)證結(jié)果，根據(jù)所述驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端，所述驗(yàn)證結(jié)果包括所述認(rèn)證中心利用存儲(chǔ)的與客戶端對(duì)應(yīng)的終端公鑰對(duì)終端消息簽名進(jìn)行驗(yàn)證的驗(yàn)證結(jié)果信息。

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法包括：

獲取利用開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員認(rèn)證的根證書(shū)進(jìn)行加簽的服務(wù)商根證書(shū)；

利用所述服務(wù)商根證書(shū)對(duì)的私鑰對(duì)下發(fā)給客戶端的消息進(jìn)行加簽，生成消息簽名；

向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名。

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法包括：

接收服務(wù)端發(fā)送的包括服務(wù)商根證書(shū)和消息簽名的請(qǐng)求消息，利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證；

根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法包括：

獲取并存儲(chǔ)通過(guò)認(rèn)證的客戶端上傳的終端設(shè)備標(biāo)識(shí)和與預(yù)置在客戶端中的私鑰對(duì)應(yīng)的終端公鑰；其中所述終端私鑰在終端出廠前被固化在終端中；

接收服務(wù)端發(fā)送的終端消息簽名，利用與所述終端消息簽名對(duì)應(yīng)的客戶端的終端公鑰對(duì)所述終端消息簽名進(jìn)行驗(yàn)證；

將所述終端消息簽名的驗(yàn)證結(jié)果返回至相應(yīng)的服務(wù)端。

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置，所述裝置包括：

證書(shū)獲取模塊，用于獲取利用開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員認(rèn)證的根證書(shū)進(jìn)行加簽的服務(wù)商根證書(shū)；

消息簽名模塊，用于利用所述服務(wù)商根證書(shū)的私鑰對(duì)下發(fā)給客戶端的消息進(jìn)行加簽，生成消息簽名；

消息發(fā)送模塊，用于向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名。

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置，所述裝置包括：

消息接收模塊，用于接收服務(wù)端發(fā)送的包括服務(wù)商根證書(shū)和消息簽名的請(qǐng)求消息；

驗(yàn)證處理模塊，用于利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證；

第二驗(yàn)證結(jié)果確定模塊，用于根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定接收到 的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置，所述裝置包括：

密鑰存儲(chǔ)模塊，用于獲取并存儲(chǔ)通過(guò)認(rèn)證的客戶端上傳的終端設(shè)備標(biāo)識(shí)和與預(yù)置在客戶端中的終端私鑰對(duì)應(yīng)的終端公鑰；其中所述終端私鑰在終端出廠前被固化在終端中；

簽名驗(yàn)證模塊，用于接收服務(wù)端發(fā)送的終端消息簽名，利用與所述終端消息簽名對(duì)應(yīng)的客戶端的終端公鑰對(duì)所述終端消息簽名進(jìn)行驗(yàn)證；

驗(yàn)證結(jié)果反饋模塊，用于將所述終端消息簽名的驗(yàn)證結(jié)果發(fā)送至相應(yīng)的服務(wù)端。

一種終端身份認(rèn)證系統(tǒng)，所述系統(tǒng)包括：

客戶端，用于接收服務(wù)器發(fā)送的請(qǐng)求消息，解析獲取所述請(qǐng)求消息中服務(wù)器的服務(wù)商根證書(shū)和利用所述服務(wù)商根證書(shū)進(jìn)行加簽生成的消息簽名；還用于利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證；還用于根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端；

服務(wù)器，用于獲取利用開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員認(rèn)證的根證書(shū)進(jìn)行簽名的服務(wù)商根證書(shū)；還用于利用所述獲取的服務(wù)商根證書(shū)對(duì)發(fā)送給客戶端的消息進(jìn)行加簽，生成消息簽名；還用于向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名。

本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證方法、裝置及系統(tǒng)中，為實(shí)施的行業(yè)開(kāi)放標(biāo)準(zhǔn)部署一套多級(jí)證書(shū)體系，提供一種強(qiáng)制性的認(rèn)證方式。具體的可以設(shè)定實(shí)施的行業(yè)開(kāi)放標(biāo)準(zhǔn)的根證書(shū)，針對(duì)接入行業(yè)開(kāi)放標(biāo)準(zhǔn)的不同服務(wù)商，可以從所述根證書(shū)分別派生出相應(yīng)的服務(wù)商根證書(shū)，作為二級(jí)證書(shū)進(jìn)行服務(wù)端的身份驗(yàn)證。相應(yīng)的，客戶端一側(cè)可以利用設(shè)定的根證書(shū)來(lái)驗(yàn)證接收消息中的服務(wù)商根證書(shū)的合法性。這樣，可以通過(guò)根證書(shū)進(jìn)行簽名的服務(wù)商證書(shū)可以用于驗(yàn)證服務(wù)商是否為行業(yè)開(kāi)放標(biāo)準(zhǔn)認(rèn)證的合法會(huì)員一側(cè)的合法終端。本申請(qǐng)實(shí)施方案在服務(wù)端下發(fā)給客戶端的消息需要經(jīng)過(guò)自己的服務(wù)商根證書(shū)簽名，由于服務(wù)端進(jìn)行簽名使用的私鑰被設(shè)置成是與服務(wù)端的服務(wù)商根證書(shū)相對(duì)應(yīng)且是唯一的，因此，客戶端可以利用消息中的服務(wù)商根證書(shū)來(lái)驗(yàn)證消息中的消息簽名，可以有效保障客戶端接收到的消息是與消息中服務(wù)商根證書(shū)對(duì)應(yīng)的服務(wù)端發(fā)送而來(lái)。認(rèn)證處理過(guò)程中，若消息中的消息簽名和服務(wù)商根證書(shū)均通過(guò)驗(yàn)證，可以表示客戶端接收到的請(qǐng)求消息是根證書(shū)機(jī)構(gòu)授權(quán)下的合法服務(wù)端發(fā)送來(lái)的，可以信任。本申請(qǐng)?zhí)峁┝诵袠I(yè)開(kāi)放標(biāo)準(zhǔn)中終端進(jìn)行身份認(rèn)證的有效、可靠的實(shí)施方案，相比于依賴傳統(tǒng)的法律條文、信息公開(kāi)等軟性約束，可以有效的在服務(wù)端和客戶端上進(jìn)行相互認(rèn)證，防止非法會(huì)員的入侵，確保行業(yè)開(kāi)放標(biāo)準(zhǔn)整體實(shí)施的安全性和穩(wěn)定性，提高會(huì)員對(duì)行業(yè)開(kāi)放 標(biāo)準(zhǔn)的服務(wù)使用感知。

附圖說(shuō)明

為了更清楚地說(shuō)明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本申請(qǐng)中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證方法一種實(shí)施例的方法流程示意圖；

圖2是本申請(qǐng)所述服務(wù)商根證書(shū)一種證書(shū)數(shù)據(jù)結(jié)構(gòu)示意圖；

圖3是本申請(qǐng)ifaa開(kāi)放標(biāo)準(zhǔn)的實(shí)施例應(yīng)用場(chǎng)景中一種請(qǐng)求消息的數(shù)據(jù)格式示意圖；

圖4是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證方法一種實(shí)施例的方法流程示意圖；

圖5是本申請(qǐng)?zhí)峁┑乃鼋K端身份認(rèn)證方法的一種實(shí)施例的方法流程示意圖；

圖6是本申請(qǐng)?zhí)峁┑乃鼋K端身份認(rèn)證方法的另一種實(shí)施例的方法流程示意圖；

圖7是本申請(qǐng)?zhí)峁┑乃鼋K端身份認(rèn)證方法的一種實(shí)施例的方法流程示意圖；

圖8是本申請(qǐng)?zhí)峁┑乃鼋K端身份認(rèn)證方法的另一種實(shí)施例的方法流程示意圖；

圖9是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證裝置一種實(shí)施例的模塊結(jié)構(gòu)示意圖；

圖10是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證裝置另一種實(shí)施例的模塊結(jié)構(gòu)示意圖；

圖11是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證裝置一種實(shí)施例的模塊結(jié)構(gòu)示意圖；

圖12是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證裝置另一種實(shí)施例的模塊結(jié)構(gòu)示意圖；

圖13是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證裝置另一種實(shí)施例的模塊結(jié)構(gòu)示意圖；

圖14是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證系統(tǒng)一種實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本申請(qǐng)中的技術(shù)方案，下面將結(jié)合本申請(qǐng)實(shí)施例中的附圖，對(duì)本申請(qǐng)實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本申請(qǐng)一部分實(shí)施例，而不是全部的實(shí)施例?；诒旧暾?qǐng)中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本申請(qǐng)保護(hù)的范圍。

下面結(jié)合附圖對(duì)本申請(qǐng)?zhí)峁┑拈_(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法進(jìn)行詳細(xì)的說(shuō)明。圖1是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證方法一種實(shí)施例的方法流程圖。雖然本申請(qǐng)?zhí)峁┝巳鐚?shí)施例或流程圖所述的方法操作步驟，但基于常規(guī)或者無(wú)創(chuàng)造性的勞動(dòng)可以包括更多或者更少的操作步驟。實(shí)施例中列舉的步驟順序僅僅為眾多步驟執(zhí)行順序中的一種方式，不代表唯一的執(zhí) 行順序。在實(shí)際中的裝置或終端產(chǎn)品執(zhí)行時(shí)，可以按照實(shí)施例或者附圖所示的方法順序執(zhí)行或者并行執(zhí)行(例如并行處理器或者多線程處理的環(huán)境)。

具體的，本申請(qǐng)可以以ifaa(互聯(lián)網(wǎng)金融身份驗(yàn)證聯(lián)盟)發(fā)起的某項(xiàng)涉及生物識(shí)別認(rèn)證的行業(yè)開(kāi)放標(biāo)準(zhǔn)為實(shí)施例應(yīng)用場(chǎng)景進(jìn)行詳細(xì)的說(shuō)明，當(dāng)然，本申請(qǐng)?zhí)峁┑募夹g(shù)方案可以用于但不限于ifaa開(kāi)放標(biāo)準(zhǔn)的應(yīng)用場(chǎng)景中終端身份認(rèn)證的方案實(shí)施。如圖1所示，本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的一種實(shí)施例中，所述方法可以包括：

s1：從開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員身份認(rèn)證的根證書(shū)派生出使用所述根證書(shū)進(jìn)行簽名的服務(wù)商根證書(shū)，將所述服務(wù)商根證書(shū)發(fā)送給相應(yīng)的服務(wù)商。

在本申請(qǐng)以ifaa開(kāi)放標(biāo)準(zhǔn)為實(shí)施例進(jìn)行終端身份認(rèn)證的應(yīng)用場(chǎng)景中，可以預(yù)先確定實(shí)施ifaa開(kāi)放標(biāo)準(zhǔn)所使用的根證書(shū)。所述的根證書(shū)可以包括所述開(kāi)放標(biāo)準(zhǔn)的管理方針對(duì)全局會(huì)員身份合法性的認(rèn)證、控制、管理而選取的權(quán)威證書(shū)授權(quán)機(jī)構(gòu)(又或稱ca機(jī)構(gòu)，certificateauthority)的證書(shū)數(shù)據(jù)。所述的根證書(shū)可以用于ifaa開(kāi)放標(biāo)準(zhǔn)應(yīng)用中不同終端設(shè)備之間的終端身份認(rèn)證。具體的，本實(shí)施例中可以選取某項(xiàng)權(quán)威金融服務(wù)機(jī)構(gòu)作為設(shè)定的標(biāo)準(zhǔn)服務(wù)ifaa所使用的根證書(shū)授權(quán)機(jī)構(gòu)ca。針對(duì)不同的ifaa服務(wù)商，可以從所述根證書(shū)授權(quán)機(jī)構(gòu)ca分別派生出與所述服務(wù)商唯一對(duì)應(yīng)的具體的ifaa服務(wù)商根證書(shū)。

具體的實(shí)施過(guò)程中，可以對(duì)接入ifaa開(kāi)放標(biāo)準(zhǔn)ifaa服務(wù)商頒發(fā)服務(wù)商根證書(shū)，所述ifaa服務(wù)商可以在服務(wù)端存儲(chǔ)該服務(wù)商根證書(shū)。本實(shí)施例中頒發(fā)給每個(gè)服務(wù)商的服務(wù)商根證書(shū)均可以利用上述確定的根證書(shū)進(jìn)行簽名。如可以利用ifaa根證書(shū)的私鑰對(duì)所述服務(wù)商根證書(shū)進(jìn)行加密，同時(shí)可以提供給服務(wù)商相應(yīng)的服務(wù)商根證書(shū)公鑰。一般的，通常會(huì)對(duì)加入某項(xiàng)開(kāi)放標(biāo)準(zhǔn)是服務(wù)商進(jìn)行一定的測(cè)試，對(duì)通過(guò)測(cè)試基準(zhǔn)的廠商才可以允許接入開(kāi)放標(biāo)準(zhǔn)，為其頒發(fā)根證書(shū)簽名的服務(wù)商根證書(shū)。這樣，確定好ifaa開(kāi)放標(biāo)準(zhǔn)在進(jìn)行終端身份認(rèn)證時(shí)使用的根證書(shū)后，根證書(shū)授權(quán)機(jī)構(gòu)ca可以為接入ifaa開(kāi)放標(biāo)準(zhǔn)的服務(wù)商的服務(wù)端配置利用所述根證書(shū)對(duì)應(yīng)的私鑰進(jìn)行加簽的服務(wù)商根證書(shū)。

圖2是本申請(qǐng)所述服務(wù)商根證書(shū)一種證書(shū)數(shù)據(jù)結(jié)構(gòu)示意圖。如圖2所示，服務(wù)商根證書(shū)中可以包括證書(shū)頒發(fā)結(jié)構(gòu)的信息、授權(quán)的服務(wù)商信息、該服務(wù)商根證書(shū)的私鑰以及使用會(huì)員認(rèn)證的根證書(shū)進(jìn)行簽名的信息等。本實(shí)施例中所述的加簽通常是指在非對(duì)稱加密算法中利用私鑰對(duì)消息進(jìn)行簽名，例如rsa非對(duì)稱加密算法中采用私鑰加簽。當(dāng)然，本申請(qǐng)具體的可以根據(jù)需求自定義選擇相應(yīng)的加簽處理算法，包括但不限于rsa算法、dsa算法、ecc算法等。

本實(shí)施例中可以確定實(shí)施ifaa開(kāi)放標(biāo)準(zhǔn)中消息認(rèn)證時(shí)所使用的根證書(shū)，然后可以對(duì)接入所述ifaa開(kāi)放標(biāo)準(zhǔn)的服務(wù)商的服務(wù)端配置利用ifaa根證書(shū)進(jìn)行加簽的服務(wù)商根證書(shū)。

s2：服務(wù)商的服務(wù)端利用所述服務(wù)商根證書(shū)的私鑰對(duì)下發(fā)給客戶端的消息進(jìn)行加簽，生成消息簽名。

在本申請(qǐng)實(shí)施例中，所述ifaa服務(wù)商獲取的服務(wù)商根證書(shū)可以設(shè)置有一個(gè)與該服務(wù)商證書(shū)唯一對(duì)應(yīng)的私鑰。具體的實(shí)施過(guò)程中，ifaa服務(wù)端可以利用該服務(wù)端的服務(wù)商根證書(shū)的私鑰對(duì)下發(fā)給客戶端的消息進(jìn)行加簽，生成消息簽名。

需要說(shuō)明的，在申請(qǐng)實(shí)施例應(yīng)用場(chǎng)景中，接入ifaa開(kāi)放標(biāo)準(zhǔn)的服務(wù)商可以有一個(gè)或者多個(gè)服務(wù)端，具體的例如ifaa授權(quán)認(rèn)證的服務(wù)商s可以獲取ifaa授權(quán)認(rèn)證的該服務(wù)商s的服務(wù)商根證書(shū)。該服務(wù)商s下可以設(shè)置有分布在多個(gè)機(jī)房的服務(wù)端s1、服務(wù)端s2等，此時(shí)授權(quán)認(rèn)證的服務(wù)商s旗下的服務(wù)端s1、服務(wù)端s2均可以獲取利用服務(wù)商s的服務(wù)商根證書(shū)。

本實(shí)施例應(yīng)用場(chǎng)景中進(jìn)行消息簽名的私鑰是與服務(wù)端的服務(wù)商根證書(shū)唯一對(duì)應(yīng)的。本申請(qǐng)中所述的證書(shū)可以是被公開(kāi)的，但一般相應(yīng)的私鑰可以是保密的。所述的私鑰可以由ifaa會(huì)員的服務(wù)商私有保留，通常只有服務(wù)商的真實(shí)服務(wù)端才可以獲取該私鑰，用以加密下發(fā)的消息數(shù)據(jù)。這樣，本申請(qǐng)實(shí)施例中采用利用服務(wù)商的服務(wù)商根證書(shū)對(duì)下發(fā)給客戶端的消息進(jìn)行簽名，可以有效防止服務(wù)商的服務(wù)商根證書(shū)被盜用而進(jìn)行的服務(wù)端身份偽造。

所述服務(wù)端利用與所述服務(wù)端的服務(wù)商根證書(shū)的私鑰對(duì)發(fā)送給客戶端的消息進(jìn)行加簽，生成消息簽名。

s3：所述服務(wù)端向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名。

ifaa服務(wù)端可以利用自己的服務(wù)商根證書(shū)對(duì)待發(fā)的消息進(jìn)行簽名，生成消息簽名后，可以向客戶端如用戶移動(dòng)終端發(fā)送包括服務(wù)端的服務(wù)商根證書(shū)和所述消息簽名的請(qǐng)求消息。圖3是本申請(qǐng)ifaa開(kāi)放標(biāo)準(zhǔn)的實(shí)施例應(yīng)用場(chǎng)景中服務(wù)端發(fā)送的一種請(qǐng)求消息的數(shù)據(jù)格式示意圖。如圖3所示，iff服務(wù)端下發(fā)給客戶端的消息數(shù)據(jù)除可以包括消息體本身信息數(shù)據(jù)外，還可以攜帶下發(fā)該請(qǐng)求消息的服務(wù)端的服務(wù)商根證書(shū)，以及服務(wù)端利用自己的服務(wù)商根證書(shū)進(jìn)行簽名的消息簽名。當(dāng)然，所述的請(qǐng)求消息還可以根據(jù)設(shè)計(jì)需求包括其他的信息。

需要說(shuō)明的是，本實(shí)施例中所述的服務(wù)商根證書(shū)中可以包含該服務(wù)商根證書(shū)的公鑰。本實(shí)施例應(yīng)用場(chǎng)景中的領(lǐng)域技術(shù)人員在采用非對(duì)稱加密進(jìn)行證書(shū)簽名應(yīng)用場(chǎng)景中，所謂的證書(shū)從某種意義上也可以理解為證書(shū)本身可以包含公鑰。

所述服務(wù)端可以向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息中可以包括ifaa服務(wù)端的服務(wù) 商根證書(shū)和利用所述服務(wù)商根證書(shū)進(jìn)行簽名生成的消息簽名。

s4：所述客戶端接收到請(qǐng)求消息后，利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)。

在本申請(qǐng)實(shí)施例中，ifaa客戶端接收到請(qǐng)求消息后，可以分別對(duì)請(qǐng)求消息中的服務(wù)商根證書(shū)和消息簽名進(jìn)行驗(yàn)證，以確定接收到的請(qǐng)求消息是否來(lái)自ifaa合法會(huì)員的合法終端。

由于請(qǐng)求消息中的消息簽名是在服務(wù)端通過(guò)與服務(wù)商根證書(shū)對(duì)應(yīng)的私鑰進(jìn)行簽名的，因此，在本實(shí)施例實(shí)施方案中，客戶端可以利用請(qǐng)求消息中的服務(wù)商根證書(shū)來(lái)驗(yàn)證請(qǐng)求消息中的消息簽名，從而保證客戶端接收到的請(qǐng)求消息是與請(qǐng)求消息中包含的服務(wù)商根證書(shū)對(duì)應(yīng)的真實(shí)服務(wù)端發(fā)送來(lái)的。假如ifaa服務(wù)商的服務(wù)商根證書(shū)被偽造方竊取，這種情況下偽造方即使獲取了真實(shí)的服務(wù)商根證書(shū)，但沒(méi)有該服務(wù)商根證書(shū)對(duì)應(yīng)的私鑰。雖然偽造方可以自己生成一個(gè)私鑰，但顯然這個(gè)生成的私鑰和偽造方竊取的服務(wù)商根證書(shū)不是配套的。ifaa客戶端在在利用請(qǐng)求消息中的真實(shí)服務(wù)商根證書(shū)是不能解密偽造者利用自己生成的私鑰加密生成的消息簽名的，其結(jié)果是消息簽名不能通過(guò)驗(yàn)證。

當(dāng)然，其他的一些實(shí)施例中，本申請(qǐng)所述的對(duì)所述請(qǐng)求消息中的服務(wù)商根證書(shū)和消息簽名進(jìn)行驗(yàn)證可以包括：如果第一項(xiàng)驗(yàn)證沒(méi)有通過(guò)，那么可以設(shè)置不用再執(zhí)行第二項(xiàng)驗(yàn)證；或者，也可以設(shè)置為第一項(xiàng)驗(yàn)證沒(méi)有通過(guò)，仍然繼續(xù)執(zhí)行第二項(xiàng)驗(yàn)證。

當(dāng)然，本申請(qǐng)其他的實(shí)施例中并不排除采用設(shè)定驗(yàn)證方式對(duì)所述服務(wù)商根證書(shū)和消息簽名進(jìn)行驗(yàn)證的實(shí)施方案。本申請(qǐng)?zhí)峁┙K端身份認(rèn)證方法的一種實(shí)施例中，可以利用預(yù)置在客戶端的私鑰和所述請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的服務(wù)商根證書(shū)和消息簽名進(jìn)行驗(yàn)證。具體的，本申請(qǐng)所述一種終端身份認(rèn)證方法的另一種實(shí)施例中，所述利用所述請(qǐng)求消息中的服務(wù)商根證書(shū)和預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)對(duì)所述請(qǐng)求消息中的服務(wù)商根證書(shū)和消息簽名進(jìn)行驗(yàn)證包括采用下述中的任意一種實(shí)施方式可以包括采用下述中的任意一種實(shí)施方式：

s401：利用所述請(qǐng)求消息中所述服務(wù)商根證書(shū)包含的公鑰驗(yàn)證所述請(qǐng)求消息中的消息簽名；

若所述消息簽名驗(yàn)證通過(guò)，則使用預(yù)置在客戶端中所述會(huì)員身份認(rèn)證的根證書(shū)的公鑰驗(yàn)證所述請(qǐng)求消息中的服務(wù)商根證書(shū)的合法性；

s402：使用預(yù)置在客戶端中所述會(huì)員身份認(rèn)證的根證書(shū)的公鑰驗(yàn)證所述請(qǐng)求消息中的服務(wù)商根證書(shū)的合法性；

若所述服務(wù)商根證書(shū)的合法性驗(yàn)證通過(guò)，則利用所述請(qǐng)求消息中所述服務(wù)商根證書(shū)包含 的公鑰驗(yàn)證所述請(qǐng)求消息中的消息簽名。

在實(shí)際進(jìn)行服務(wù)商根證書(shū)和消息簽名驗(yàn)證時(shí)，可以根據(jù)設(shè)計(jì)或者應(yīng)用場(chǎng)景需求設(shè)定是先驗(yàn)證服務(wù)商根證書(shū)還是先驗(yàn)證消息簽名。本實(shí)施例在ifaa開(kāi)放標(biāo)準(zhǔn)的實(shí)施例應(yīng)用場(chǎng)景中，可以采用如s401所述的先對(duì)請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證，如果消息簽名驗(yàn)證通過(guò)，再使用預(yù)置在ifaa客戶端的ifaa根證書(shū)來(lái)驗(yàn)證服務(wù)商根證書(shū)的合法性。具體的以對(duì)消息簽名進(jìn)行驗(yàn)證為例來(lái)描述客戶端的簽名驗(yàn)證過(guò)程。服務(wù)端a首先可以對(duì)下發(fā)的請(qǐng)求消息通過(guò)一定的方式提取一個(gè)定長(zhǎng)的摘要，如md5。服務(wù)端a對(duì)該摘要應(yīng)用了一個(gè)簽名函數(shù)，并且利用自己服務(wù)商根證書(shū)的私鑰作為參數(shù)進(jìn)行計(jì)算，得到該請(qǐng)求消息的消息簽名。因?yàn)橹挥蟹?wù)商的服務(wù)端才知道自己服務(wù)商根證書(shū)的私鑰，所以正確的簽名可以說(shuō)明簽名者就是其所有者。計(jì)算出消息簽名后，可以將該消息簽名附加到下發(fā)給客戶端的請(qǐng)求消息中，將服務(wù)商根證書(shū)和消息簽名一同發(fā)給客戶端b。客戶端接收到請(qǐng)求消息后，會(huì)按照同樣的算法計(jì)算得出請(qǐng)求消息的摘要，然后利用請(qǐng)求消息中的服務(wù)商根證書(shū)的公鑰對(duì)消息簽名進(jìn)行解密，得到解密后的摘要。進(jìn)一步的，可以對(duì)客戶端計(jì)算得到的請(qǐng)求消息的摘要和利用公鑰解密得到的摘要進(jìn)行比較，如果兩個(gè)摘要的信息數(shù)據(jù)完全相同，則可以表示接收到的請(qǐng)求消息的內(nèi)容沒(méi)有被篡改，是由真實(shí)服務(wù)商根證書(shū)進(jìn)行簽名的消息。

如前所述，所述的服務(wù)商根證書(shū)中可以包含真實(shí)服務(wù)端進(jìn)行簽名使用的私鑰唯一對(duì)應(yīng)的公鑰。ifaa客戶端可以利用所述服務(wù)商根證書(shū)的公鑰對(duì)請(qǐng)求消息中的簽名進(jìn)行驗(yàn)證，如果驗(yàn)證通過(guò)，可以表示接收到的請(qǐng)求消息是與請(qǐng)求消息中包含的服務(wù)商根證書(shū)對(duì)應(yīng)的真實(shí)服務(wù)端發(fā)送來(lái)的，否則說(shuō)明該請(qǐng)求消息是來(lái)自非ifaa會(huì)員的終端設(shè)備。利用請(qǐng)求消息中的服務(wù)商根證書(shū)包含的公鑰對(duì)所述請(qǐng)求消息私鑰簽名生成的消息簽名進(jìn)行驗(yàn)證，可以在即使頒發(fā)給接入開(kāi)放標(biāo)準(zhǔn)的服務(wù)商的服務(wù)商根證書(shū)被竊取，在客戶端使用服務(wù)商根證書(shū)驗(yàn)證消息簽名的時(shí)候仍然是不能通過(guò)驗(yàn)證的，有效的保證了會(huì)員身份的安全、可靠認(rèn)證。

進(jìn)一步的可以對(duì)請(qǐng)求消息中包含的服務(wù)商根證書(shū)的合法性進(jìn)行驗(yàn)證，以確保該服務(wù)商根證書(shū)為ifaa根證書(shū)簽名的有效服務(wù)商根證書(shū)，防止服務(wù)端偽造服務(wù)商根證書(shū)或者使用過(guò)期的服務(wù)商根證書(shū)與客戶端進(jìn)行信息交互。

本申請(qǐng)的一種實(shí)施例的實(shí)施方式中，可以預(yù)先在接入開(kāi)放標(biāo)準(zhǔn)的客戶端中設(shè)置與所述根證書(shū)的私鑰對(duì)應(yīng)的公鑰。具體的在本實(shí)施例中應(yīng)用場(chǎng)景中，可以在客戶端中預(yù)置ifaa根證書(shū)。所述ifaa根證書(shū)本身可以包括其對(duì)服務(wù)商根證書(shū)進(jìn)行加密的私鑰對(duì)應(yīng)的公鑰。由于服務(wù)商根證書(shū)是由ifaa根證書(shū)的私鑰簽名的，在上述消息簽名驗(yàn)證通過(guò)后，可以使用預(yù)置在ifaa客戶端的ifaa根證書(shū)來(lái)驗(yàn)證服務(wù)商根證書(shū)的合法性。

客戶端接收到請(qǐng)求消息后，可以利用所述請(qǐng)求消息中的服務(wù)商根證書(shū)和預(yù)置在客戶端的 所述會(huì)員身份認(rèn)證的根證書(shū)對(duì)所述請(qǐng)求消息中的服務(wù)商根證書(shū)和消息簽名進(jìn)行驗(yàn)證。

s5：所述客戶端根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

在本申請(qǐng)實(shí)施例提供的開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的實(shí)施方案中，可以通過(guò)對(duì)接收到的請(qǐng)求消息中消息簽名進(jìn)行驗(yàn)證，以驗(yàn)證接收到的消息是否來(lái)自與請(qǐng)求中服務(wù)商根證書(shū)對(duì)應(yīng)的服務(wù)端，避免客戶端與利用真實(shí)服務(wù)商根證書(shū)的偽造服務(wù)端進(jìn)行信息交互。同時(shí)，還可以設(shè)置的對(duì)服務(wù)商根證書(shū)的合法性進(jìn)行驗(yàn)證，以保障接收到的消息是使用根證書(shū)進(jìn)行簽名的真實(shí)服務(wù)端的服務(wù)商根證書(shū)。在實(shí)際終端身份的處理過(guò)程中，如果請(qǐng)求消息中的消息簽名和服務(wù)商根證書(shū)中的任何一項(xiàng)驗(yàn)證不通過(guò)，則可以表示該請(qǐng)求消息來(lái)自非ifaa會(huì)員的終端設(shè)備。因此，本申請(qǐng)所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法具體的實(shí)施過(guò)程中，所述消息簽名和服務(wù)商根證書(shū)均通過(guò)驗(yàn)證時(shí)，所述客戶端接收到請(qǐng)求消息為驗(yàn)證通過(guò)。

在上述ifaa開(kāi)放標(biāo)準(zhǔn)的實(shí)施例應(yīng)用場(chǎng)景中，使用了根證書(shū)的私鑰加密的服務(wù)商根證書(shū)只能被預(yù)置在客戶端中的根證書(shū)進(jìn)行驗(yàn)證。另外，例如在一些應(yīng)用場(chǎng)景中，一些服務(wù)商因不遵守開(kāi)放標(biāo)準(zhǔn)而被去除會(huì)員資格，但這些被去除會(huì)員資格的服務(wù)商仍有可能私自保留服務(wù)商根證書(shū)，并利用服務(wù)商根證書(shū)進(jìn)行非法活動(dòng)。此時(shí)，可以通過(guò)更新預(yù)置在客戶端中所述根證書(shū)來(lái)避免服務(wù)商使用過(guò)期或者被除名或者被設(shè)置為無(wú)效的服務(wù)商根證書(shū)與客戶端進(jìn)行信息交互。因此，本申請(qǐng)所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的另一種實(shí)施例中，所述方法還可以包括：

s6：按照預(yù)設(shè)規(guī)則更新客戶端中的根證書(shū)。

客戶端可以根據(jù)設(shè)置的更新周期定時(shí)更新客戶端中根證書(shū)的，或者，當(dāng)認(rèn)證會(huì)員信息出現(xiàn)變動(dòng)時(shí)接收服務(wù)端主動(dòng)發(fā)來(lái)的更新后的根證書(shū)。當(dāng)然，會(huì)員認(rèn)證的根證書(shū)如果進(jìn)行了更新，通常會(huì)同時(shí)更新頒發(fā)給服務(wù)商的服務(wù)商根證書(shū)。所述的更新根證書(shū)包括重新接收證書(shū)授權(quán)結(jié)構(gòu)頒發(fā)的新的根證書(shū)，或者通過(guò)特定方式更新客戶端中預(yù)置的根證書(shū)的公鑰信息。

本申請(qǐng)上述實(shí)施例提供的開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，為行業(yè)開(kāi)放標(biāo)準(zhǔn)實(shí)施提供了一套硬性的終端身份實(shí)施方案，采用多級(jí)證書(shū)認(rèn)證，相比于依賴傳統(tǒng)的法律條文、信息公開(kāi)等軟性約束，可以有效的客戶端上進(jìn)行認(rèn)證，防止非法會(huì)員的入侵，確保行業(yè)開(kāi)放標(biāo)準(zhǔn)整體實(shí)施的安全性和穩(wěn)定性，提高會(huì)員對(duì)行業(yè)開(kāi)放標(biāo)準(zhǔn)的服務(wù)使用感知。

上述實(shí)施例描述了客戶端一側(cè)對(duì)接收到的服務(wù)端發(fā)送的請(qǐng)求消息進(jìn)行認(rèn)證的一些實(shí)施 方式。同樣，在ifaa開(kāi)發(fā)標(biāo)準(zhǔn)下，服務(wù)端同樣可以對(duì)客戶端上報(bào)的請(qǐng)求消息進(jìn)行認(rèn)證，以防止ifaa服務(wù)端和偽造的ifaa客戶端進(jìn)行通信。為此，本申請(qǐng)還提供一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，可以采用非對(duì)稱加密算法在每個(gè)認(rèn)證后客戶端中預(yù)置一個(gè)終端私鑰，相應(yīng)的公鑰保存在指定的認(rèn)證中心。所述認(rèn)證中心可以保存所有通過(guò)認(rèn)證的客戶端的設(shè)備id和對(duì)應(yīng)終端公鑰。具體的，圖4是本申請(qǐng)?zhí)峁┑囊环N可以用于開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法一種實(shí)施例的方法流程示意圖，如圖4所示，所述方法可以包括：

s11：在通過(guò)認(rèn)證的客戶端中預(yù)置終端私鑰，并將相應(yīng)的終端公鑰存儲(chǔ)在指定的認(rèn)證中心；其中所述終端私鑰在終端出廠前被固化在終端中，該終端的終端私鑰對(duì)應(yīng)的終端公鑰則存儲(chǔ)在認(rèn)證中心；

s22：客戶端利用所述終端私鑰對(duì)上報(bào)給服務(wù)端的消息進(jìn)行加簽，生成終端消息簽名；

s33：所述客戶端向服務(wù)端發(fā)送包括所述終端消息簽名的請(qǐng)求消息；

s44：服務(wù)端接收到請(qǐng)求消息后，將所述請(qǐng)求消息中的終端消息簽名發(fā)送至所述認(rèn)證中心進(jìn)行驗(yàn)證；

s55：所述服務(wù)端接收所述認(rèn)證中心的驗(yàn)證結(jié)果，根據(jù)所述驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端，所述驗(yàn)證結(jié)果包括所述認(rèn)證中心利用存儲(chǔ)的與客戶端對(duì)應(yīng)的終端公鑰對(duì)終端消息簽名進(jìn)行驗(yàn)證的驗(yàn)證結(jié)果信。

具體的，例如在本申請(qǐng)以ifaa開(kāi)放標(biāo)準(zhǔn)為實(shí)施例進(jìn)行終端身份的應(yīng)用場(chǎng)景中，可以在通過(guò)ifaa認(rèn)證的手機(jī)廠商c生產(chǎn)手機(jī)時(shí)，為每一部支持ifaa開(kāi)放標(biāo)準(zhǔn)的手機(jī)燒制一個(gè)私鑰，同時(shí)將與手機(jī)中的私鑰對(duì)應(yīng)的公鑰通過(guò)安全通道上傳至設(shè)置的ifaa認(rèn)證中心。所述的ifaa認(rèn)證中心可以保存有所有支持ifaa開(kāi)放標(biāo)準(zhǔn)的終端設(shè)備id和對(duì)應(yīng)的公鑰。

客戶端可以利用預(yù)置的私鑰對(duì)上傳給服務(wù)端的請(qǐng)求消息進(jìn)行簽名，生成終端消息簽名。請(qǐng)求消息到達(dá)ifaa服務(wù)端后，ifaa服務(wù)端可以將請(qǐng)求消息中的終端消息簽名發(fā)送至ifaa認(rèn)證中心來(lái)驗(yàn)證消息的真?zhèn)巍Ｓ捎趇faa認(rèn)證中心保存了所有認(rèn)證終端設(shè)備的公鑰，所有可以完成該驗(yàn)證操作。如果接收到的客戶端的請(qǐng)求消息中的終端消息簽名通過(guò)驗(yàn)證，可以表示接收到的請(qǐng)求消息是經(jīng)過(guò)ifaa授權(quán)的客戶端發(fā)送過(guò)來(lái)的，可以信任。否則，說(shuō)明服務(wù)端接收到的請(qǐng)求消息是偽造客戶端發(fā)送來(lái)的，可以拒絕訪問(wèn)。

上述實(shí)施例所述的終端身份認(rèn)證方法可以用于接入行業(yè)開(kāi)放標(biāo)準(zhǔn)包括但不限于客戶端(如移動(dòng)通信終端)、服務(wù)端(服務(wù)廠商的服務(wù)器)、認(rèn)證中心(鑒權(quán)、認(rèn)證中心或證書(shū)頒發(fā)機(jī)構(gòu)、開(kāi)放標(biāo)準(zhǔn)管理系統(tǒng))等多個(gè)終端進(jìn)行終端身份認(rèn)證的實(shí)施方式?；谏鲜鏊鼋K端身份方式的實(shí)施方式和多終端之間的消息交互，在具體的實(shí)施過(guò)程中，對(duì)于服務(wù)商的服務(wù)端 一側(cè)來(lái)說(shuō)，本申請(qǐng)?zhí)峁┮环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法可以包括：

s101：獲取利用開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員認(rèn)證的根證書(shū)進(jìn)行加簽的服務(wù)商根證書(shū)；

s102：利用所述服務(wù)商根證書(shū)對(duì)的私鑰對(duì)下發(fā)給客戶端的消息進(jìn)行加簽，生成消息簽名；

s103：向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名。

圖5是本申請(qǐng)?zhí)峁┑乃鼋K端身份認(rèn)證方法的一種實(shí)施例的方法流程示意圖。具體的如上ifaa開(kāi)放標(biāo)準(zhǔn)的應(yīng)用場(chǎng)景中，認(rèn)證中心(可以為設(shè)定的ifaa認(rèn)證、鑒權(quán)中心，根證書(shū)機(jī)構(gòu)，或ifaa開(kāi)放標(biāo)準(zhǔn)管理方等，在此統(tǒng)一稱為認(rèn)證中心)可以將利用ifaa根證書(shū)簽名的服務(wù)商根證書(shū)頒發(fā)給通過(guò)認(rèn)證的服務(wù)商。服務(wù)商的服務(wù)端可以獲取與該服務(wù)商唯一對(duì)應(yīng)的服務(wù)商根證書(shū)。ifaa服務(wù)端下發(fā)給客戶端的所有消息數(shù)據(jù)都可以使用自己的服務(wù)商根證書(shū)簽名，下發(fā)的消息可以如上述圖3所示，下發(fā)的請(qǐng)求消息中可以包括服務(wù)商根證書(shū)和經(jīng)過(guò)自己的服務(wù)商根證書(shū)的私鑰簽名生成的消息簽名。

當(dāng)然，所述服務(wù)端對(duì)于客戶端上報(bào)的消息數(shù)據(jù)同樣可以檢認(rèn)證，防止非法客戶端的介入。圖6是本申請(qǐng)?zhí)峁┑乃鲩_(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的另一種實(shí)施例的方法流程示意圖。具體的，上述實(shí)施例所述的方法還可以包括：

s111：接收客戶端發(fā)送的請(qǐng)求消息，將所述請(qǐng)求消息中的終端消息簽名發(fā)送至認(rèn)證中心進(jìn)行驗(yàn)證；

s112：接收所述認(rèn)證中心的驗(yàn)證結(jié)果，所述驗(yàn)證結(jié)果包括所述認(rèn)證中心利用存儲(chǔ)的與所述請(qǐng)求消息中客戶端對(duì)應(yīng)的終端公鑰對(duì)所述終端消息簽名進(jìn)行驗(yàn)證的驗(yàn)證結(jié)果信息；

s113：根據(jù)所述驗(yàn)證結(jié)果確定接收到的客戶端發(fā)送的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

服務(wù)端接收到客戶方發(fā)送的請(qǐng)求消息后，可以將請(qǐng)求消息中包含的終端消息簽名發(fā)送到指定的ifaa認(rèn)證中心來(lái)驗(yàn)證該請(qǐng)求消息是否來(lái)自ifaa授權(quán)的終端設(shè)備。由于ifaa認(rèn)證中心存儲(chǔ)了所有通過(guò)認(rèn)證的終端設(shè)備的公鑰和終端設(shè)備標(biāo)識(shí)，所有如果接收到的客戶端的請(qǐng)求消息中的消息簽名通過(guò)驗(yàn)證，可以表示接收到的請(qǐng)求消息是經(jīng)過(guò)ifaa授權(quán)的客戶端發(fā)送過(guò)來(lái)的，可以信任。否則，說(shuō)明服務(wù)端接收到的請(qǐng)求消息是偽造客戶端發(fā)送來(lái)的，可以拒絕訪問(wèn)。

相應(yīng)的，接入ifaa開(kāi)放標(biāo)準(zhǔn)的客戶端同樣可以驗(yàn)證服務(wù)端發(fā)送來(lái)的請(qǐng)求消息，判斷是否與通過(guò)認(rèn)證的ifaa真實(shí)服務(wù)端進(jìn)行通信。具體的，在開(kāi)發(fā)標(biāo)準(zhǔn)實(shí)施方案的客戶端一側(cè)，本申請(qǐng)?zhí)峁┮环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法可以包括：

s201：接收服務(wù)端發(fā)送的包括服務(wù)商根證書(shū)和消息簽名的請(qǐng)求消息，利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū) 對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證；

s202：根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

圖7是本申請(qǐng)?zhí)峁┑乃鲩_(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的一種實(shí)施例的方法流程示意圖。在本申請(qǐng)實(shí)施例中，客戶端可以通過(guò)對(duì)接收到的消息中的服務(wù)商根證書(shū)和消息簽名的驗(yàn)證來(lái)保障是與ifaa根證書(shū)授權(quán)的服務(wù)上的真實(shí)服務(wù)端進(jìn)行消息交互的，提高了消息交互的安全性。具體的，客戶端在進(jìn)行消息驗(yàn)證時(shí)可以預(yù)先設(shè)置先驗(yàn)證服務(wù)商根證書(shū)還是先驗(yàn)證消息簽名。一種實(shí)施例的實(shí)施方式中，如果第一項(xiàng)驗(yàn)證不通過(guò)，可以停止驗(yàn)證，直接判定接收到的請(qǐng)求消息驗(yàn)證不通過(guò)。當(dāng)然，另一種實(shí)施方式中，即使第一項(xiàng)驗(yàn)證不同，也可以進(jìn)行第二項(xiàng)驗(yàn)證。本申請(qǐng)?zhí)峁┧鲩_(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的另一種實(shí)施例中，所述利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證包括采用下述中的任意一種實(shí)施方式：

s2011：利用所述請(qǐng)求消息中所述服務(wù)商根證書(shū)包含的公鑰驗(yàn)證所述請(qǐng)求消息中的消息簽名，若所述消息簽名驗(yàn)證通過(guò)，則使用預(yù)置在客戶端中所述會(huì)員身份認(rèn)證的根證書(shū)的公鑰驗(yàn)證所述請(qǐng)求消息中服務(wù)商根證書(shū)的合法性；

s2012：使用預(yù)置在客戶端中所述會(huì)員身份認(rèn)證的根證書(shū)的私鑰驗(yàn)證所述請(qǐng)求消息中的服務(wù)商根證書(shū)的合法性，若所述服務(wù)商根證書(shū)的合法性驗(yàn)證通過(guò)，則利用所述請(qǐng)求消息中所述服務(wù)商根證書(shū)包含的公鑰驗(yàn)證所述請(qǐng)求消息中的消息簽。

本實(shí)施例實(shí)施過(guò)程中，所述請(qǐng)求消息中可以包括服務(wù)商根證書(shū)和消息簽名，具體的在本實(shí)施例中，ifaa客戶端接收到的請(qǐng)求消息中的服務(wù)器根證書(shū)包含了該證書(shū)進(jìn)行消息簽名的公鑰。

當(dāng)然，客戶端發(fā)送給服務(wù)端的消息可以進(jìn)行加密，以保障服務(wù)端可以識(shí)別認(rèn)證出真實(shí)的客戶端發(fā)送的請(qǐng)求消息。因此，上述所述方法還可以包括：

s203：利用預(yù)置在所述客戶端中的終端私鑰對(duì)上報(bào)給服務(wù)端的消息進(jìn)行加簽，生成終端消息簽名；其中所述終端私鑰在終端出廠前被固化在終端中，該終端的終端私鑰對(duì)應(yīng)的終端公鑰則存儲(chǔ)在認(rèn)證中心；

s204：向服務(wù)端發(fā)送包括所述終端消息簽名的請(qǐng)求消息。

圖8是本申請(qǐng)?zhí)峁┑乃鲩_(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的另一種實(shí)施例的方法流程示意圖。ifaa客戶端可以利用預(yù)置在ifaa客戶端中的私鑰對(duì)上傳給服務(wù)端的消息進(jìn)行簽名，保障服務(wù)端可以正確識(shí)別出該消息是來(lái)自ifaa授權(quán)認(rèn)證的終端設(shè)備發(fā)送而來(lái)的。

如前所述，在其他一些實(shí)施例中，可以通過(guò)更新預(yù)置在客戶端中所述根證書(shū)的第一解密 密鑰來(lái)避免服務(wù)商使用過(guò)期或者被除名或者被設(shè)置為無(wú)效的服務(wù)商根證書(shū)與客戶端進(jìn)行信息交互。因此，本申請(qǐng)所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的另一種實(shí)施例中，所述方法還可以包括：

s205：按照預(yù)設(shè)規(guī)則更新客戶端中的根證書(shū)。

客戶端可以根據(jù)設(shè)置的更新周期定時(shí)更新客戶端中的根證書(shū)，或者，當(dāng)認(rèn)證服務(wù)商會(huì)員信息出現(xiàn)變動(dòng)時(shí)接收證書(shū)授權(quán)機(jī)構(gòu)主動(dòng)發(fā)來(lái)的更新后的根證書(shū)。

本申請(qǐng)所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的一種應(yīng)用場(chǎng)景中，消息認(rèn)證中心可以實(shí)現(xiàn)對(duì)服務(wù)端發(fā)來(lái)的終端消息簽名進(jìn)行驗(yàn)證，并可以將認(rèn)證結(jié)果反饋給服務(wù)端。具體的，在消息認(rèn)證中心一側(cè)，本申請(qǐng)可以提供一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，所述方法可以包括：

s301：獲取并存儲(chǔ)通過(guò)認(rèn)證的客戶端上傳的終端設(shè)備標(biāo)識(shí)和與預(yù)置在客戶端中的中的私鑰對(duì)應(yīng)的終端公鑰；其中所述終端私鑰在終端出廠前被固化在終端中；

s302：接收服務(wù)端發(fā)送的終端消息簽名，利用與所述終端消息簽名對(duì)應(yīng)的客戶端的終端公鑰對(duì)所述終端消息簽名進(jìn)行驗(yàn)證；

s303：將所述終端消息簽名的驗(yàn)證結(jié)果返回至相應(yīng)的服務(wù)端。

上述實(shí)施例所述的開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法可以由專(zhuān)門(mén)設(shè)置的例如ifaa認(rèn)證中心來(lái)實(shí)現(xiàn)對(duì)消息簽名的認(rèn)證。所述的ifaa認(rèn)證中心也可以包括ifaa正式管理機(jī)構(gòu)，可以為設(shè)定的根證書(shū)機(jī)構(gòu)，用于管理ifaa服務(wù)商會(huì)員的服務(wù)商根證書(shū)。因此，上述所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法的另一種實(shí)施例中，所述方法還可以包括：

s304：確定實(shí)施開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員身份認(rèn)證所使用的根證書(shū)，為通過(guò)設(shè)置的測(cè)試基準(zhǔn)的服務(wù)商配置利用所述根證書(shū)進(jìn)行簽名的服務(wù)商根證書(shū)。

一般的，對(duì)于某個(gè)特定的服務(wù)器廠商，如果其實(shí)現(xiàn)了ifaa開(kāi)放標(biāo)準(zhǔn)并且通過(guò)了設(shè)定的測(cè)試基準(zhǔn)，可以將為其頒發(fā)第一個(gè)特定的服務(wù)商根證書(shū)。該服務(wù)商根證書(shū)將使用ifaa根證書(shū)進(jìn)行簽名。

本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，為實(shí)施的行業(yè)開(kāi)放標(biāo)準(zhǔn)部署一套多級(jí)證書(shū)體系，提供一種強(qiáng)制性的認(rèn)證方式。具體的可以設(shè)定實(shí)施的行業(yè)開(kāi)放標(biāo)準(zhǔn)的根證書(shū)，針對(duì)接入行業(yè)開(kāi)放標(biāo)準(zhǔn)的不同服務(wù)商，可以從所述根證書(shū)分別派生出相應(yīng)的服務(wù)商根證書(shū)，作為二級(jí)證書(shū)進(jìn)行服務(wù)端的身份驗(yàn)證。相應(yīng)的，客戶端一側(cè)可以利用設(shè)定的根證書(shū)來(lái)驗(yàn)證接收消息中的服務(wù)商根證書(shū)的合法性。這樣，可以通過(guò)根證書(shū)進(jìn)行簽名的服務(wù)商證書(shū)可以用于驗(yàn)證服務(wù)商是否為行業(yè)開(kāi)放標(biāo)準(zhǔn)認(rèn)證的合法會(huì)員的終端設(shè)備。本申請(qǐng)實(shí)施方案在服務(wù)端下發(fā)給客戶端的消息需要經(jīng)過(guò)自己的服務(wù)商根證書(shū)簽名，由于服務(wù)端進(jìn)行簽名使用的私鑰被設(shè)置 成是與服務(wù)端的服務(wù)商根證書(shū)相對(duì)應(yīng)且是唯一的，因此，客戶端可以利用消息中的服務(wù)商根證書(shū)來(lái)驗(yàn)證消息中的消息簽名，可以有效保障客戶端接收到的消息是與消息中服務(wù)商根證書(shū)對(duì)應(yīng)的服務(wù)端發(fā)送而來(lái)。認(rèn)證處理過(guò)程中，若消息中的消息簽名和服務(wù)商根證書(shū)均通過(guò)驗(yàn)證，可以表示客戶端接收到的請(qǐng)求消息是根證書(shū)機(jī)構(gòu)授權(quán)下的合法服務(wù)端發(fā)送來(lái)的，可以信任。本申請(qǐng)?zhí)峁┝诵袠I(yè)開(kāi)放標(biāo)準(zhǔn)中終端進(jìn)行身份認(rèn)證的有效、可靠的實(shí)施方案，相比于依賴傳統(tǒng)的法律條文、信息公開(kāi)等軟性約束，可以有效的在服務(wù)端和客戶端上進(jìn)行相互認(rèn)證，防止非法會(huì)員的入侵，確保行業(yè)開(kāi)放標(biāo)準(zhǔn)整體實(shí)施的安全性和穩(wěn)定性，提高會(huì)員對(duì)行業(yè)開(kāi)放標(biāo)準(zhǔn)的服務(wù)使用感知。

基于上述所述的開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法，本申請(qǐng)?zhí)峁┮环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置。所述終端身份認(rèn)證裝置可以用于接入行業(yè)標(biāo)準(zhǔn)的服務(wù)商的服務(wù)器驗(yàn)證接收到的消息是否為所述行業(yè)標(biāo)準(zhǔn)授權(quán)的終端設(shè)備發(fā)送的來(lái)的。圖9是本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置一種實(shí)施例的模塊結(jié)構(gòu)示意圖。如圖9所示，所述裝置可以包括：

證書(shū)獲取模塊101，可以用于獲取利用開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員認(rèn)證的根證書(shū)的私鑰進(jìn)行加簽的服務(wù)商根證書(shū)；

消息簽名模塊102，可以用于利用所述服務(wù)商根證書(shū)的私鑰對(duì)下發(fā)給客戶端的消息進(jìn)行加簽，生成消息簽名；

消息發(fā)送模塊103，可以用于向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名。

上述所述裝置的另一種實(shí)施例中，所述裝置還可以用于對(duì)接收到的客戶端的請(qǐng)求消息進(jìn)行驗(yàn)證，具體的可以將接收到的請(qǐng)求消息發(fā)送到指定的認(rèn)證中心進(jìn)行驗(yàn)證，并可以根據(jù)驗(yàn)證結(jié)果確定所述請(qǐng)求消息是為開(kāi)放標(biāo)準(zhǔn)授權(quán)的終端設(shè)備發(fā)送來(lái)的。圖10是本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置另一種實(shí)施例的模塊結(jié)構(gòu)示意圖。如圖10所示，所述裝置還可以包括：

消息請(qǐng)求驗(yàn)證模塊104，可以用于接收客戶端發(fā)送的請(qǐng)求消息，將所述請(qǐng)求消息中的終端消息簽名發(fā)送至指定的認(rèn)證中心進(jìn)行驗(yàn)證；

驗(yàn)證結(jié)果接收模塊105，可以用于接收所述認(rèn)證中心的驗(yàn)證結(jié)果，所述驗(yàn)證結(jié)果包括所述認(rèn)證中心利用存儲(chǔ)的與所述請(qǐng)求消息中客戶端對(duì)應(yīng)的終端公鑰對(duì)所述終端消息簽名進(jìn)行驗(yàn)證的驗(yàn)證結(jié)果信息；

第一驗(yàn)證結(jié)果確定模塊106，可以用于根據(jù)所述驗(yàn)證結(jié)果確定接收到的客戶端發(fā)送的請(qǐng) 求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

相應(yīng)的，本申請(qǐng)還提供另一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置。所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置可以用于行業(yè)開(kāi)放標(biāo)準(zhǔn)如ifaa開(kāi)放標(biāo)準(zhǔn)的認(rèn)證中心授權(quán)的客戶端來(lái)驗(yàn)證接收的到消息是否為接入行業(yè)標(biāo)準(zhǔn)的服務(wù)商會(huì)員的服務(wù)器發(fā)送來(lái)的。具體的，圖11是本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置一種實(shí)施例的模塊結(jié)構(gòu)示意圖。如圖11所示，所述裝置可以包括：

消息接收模塊201，可以用于接收服務(wù)端發(fā)送的包括服務(wù)商根證書(shū)和消息簽名的請(qǐng)求消息；

驗(yàn)證處理模塊202，可以用于利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證；

第二驗(yàn)證結(jié)果確定模塊203，可以用于根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定客戶端接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端。

所述的服務(wù)商根證書(shū)的私鑰，通?？梢杂煞?wù)商一側(cè)進(jìn)行保密管理。相應(yīng)的，下發(fā)的請(qǐng)求消息中的服務(wù)商根證書(shū)中可以包括所述服務(wù)商根證書(shū)。本申請(qǐng)上述實(shí)施例提供的開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置，為行業(yè)開(kāi)放標(biāo)準(zhǔn)實(shí)施提供了一套多級(jí)證書(shū)進(jìn)行終端身份實(shí)施方案，相比于依賴傳統(tǒng)的法律條文、信息公開(kāi)等軟性約束，可以有效的在客戶端上進(jìn)行相互認(rèn)證，防止非法會(huì)員的入侵，確保行業(yè)開(kāi)放標(biāo)準(zhǔn)整體實(shí)施的安全性和穩(wěn)定性，提高會(huì)員對(duì)行業(yè)開(kāi)放標(biāo)準(zhǔn)的服務(wù)使用感知。

所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置的具體的另一種實(shí)施方式中，所述驗(yàn)證處理模塊202可以包括下述中的至少一項(xiàng)：

第一方式處理模塊2021，可以用于利用所述請(qǐng)求消息中所述服務(wù)商根證書(shū)包含的公鑰驗(yàn)證所述請(qǐng)求消息中的消息簽名；還用于若所述消息簽名驗(yàn)證通過(guò)，則使用預(yù)置的會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證所述請(qǐng)求消息中服務(wù)商根證書(shū)的合法性；

第二方式處理模塊2022，可以用于使用預(yù)置的會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證所述請(qǐng)求消息中服務(wù)商根證書(shū)的合法性；還用于若所述服務(wù)商根證書(shū)的合法性驗(yàn)證通過(guò)，則利用所述請(qǐng)求消息中所述服務(wù)商根證書(shū)包含的公鑰驗(yàn)證所述請(qǐng)求消息中的消息簽名。

本實(shí)施例所述的裝置可以包括上述第一方式處理模塊2021、第二方式處理模塊2022中的任意一種，或者可以同時(shí)包括上述兩種處理模塊，在實(shí)際進(jìn)行服務(wù)商根證書(shū)和消息簽名驗(yàn) 證時(shí)，可以根據(jù)設(shè)計(jì)或者應(yīng)用場(chǎng)景需求確定是先驗(yàn)證服務(wù)商根證書(shū)還是先驗(yàn)證消息簽名，進(jìn)而可以選擇是使用第一方式處理模塊2021還是第二方式處理模塊2022來(lái)驗(yàn)證接收到的請(qǐng)求消息。當(dāng)然，其他的一些實(shí)施例中，上述第一方式處理模塊2021或第二方式處理模塊2022在驗(yàn)證消息簽名和服務(wù)商根證書(shū)時(shí)，如果第一項(xiàng)驗(yàn)證沒(méi)有通過(guò)，那么可以設(shè)置不用再執(zhí)行第二項(xiàng)驗(yàn)證；或者，也可以設(shè)置為第一項(xiàng)驗(yàn)證沒(méi)有通過(guò)，仍然繼續(xù)執(zhí)行第二項(xiàng)驗(yàn)證。

其他的實(shí)施方式中，所述的開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置也可以對(duì)發(fā)送的消息進(jìn)行簽名處理。圖12是本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置另一種實(shí)施例的模塊結(jié)構(gòu)示意圖。如圖12所示，所述裝置還可以包括：

第一消息處理模塊204，可以用于利用預(yù)置的終端私鑰對(duì)上報(bào)給服務(wù)端的消息進(jìn)行加簽，生成終端消息簽名；其中所述終端私鑰在終端出廠前被固化在終端中，該終端的終端私鑰對(duì)應(yīng)的終端公鑰則存儲(chǔ)在認(rèn)證中心；

第一消息發(fā)送模塊205，可以用于向服務(wù)端發(fā)送包括所述終端消息簽名的請(qǐng)求消息。

圖13是本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置另一種實(shí)施例的模塊結(jié)構(gòu)示意圖。如圖13所示，所述裝置還可以包括：

證書(shū)更新模塊206，可以用于按照預(yù)設(shè)規(guī)則更新預(yù)置的根證書(shū)。

本實(shí)施例應(yīng)用場(chǎng)景中，所述可以通過(guò)更新預(yù)置在裝置中的根證書(shū)來(lái)避免服務(wù)商使用過(guò)期或者被除名或者被設(shè)置為無(wú)效的服務(wù)商根證書(shū)與客戶端進(jìn)行信息交互。所述裝置可以根據(jù)設(shè)置的更新周期定時(shí)更新客戶端中的根證書(shū)，或者，當(dāng)認(rèn)證會(huì)員信息出現(xiàn)變動(dòng)時(shí)接收的更新后的根證書(shū)。

本申請(qǐng)還提供另一種開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置，所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置可以用于驗(yàn)證服務(wù)端發(fā)送來(lái)的客戶端的請(qǐng)求消息是否為實(shí)施的開(kāi)放標(biāo)準(zhǔn)授權(quán)的終端設(shè)備上報(bào)的。本實(shí)施例提供的開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置可以用于如ifaa開(kāi)放標(biāo)準(zhǔn)的認(rèn)證中心或者ifaa根證書(shū)授權(quán)機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)中。具體的，所述裝置可以包括：

密鑰存儲(chǔ)模塊301，可以用于獲取并存儲(chǔ)通過(guò)認(rèn)證的客戶端上傳的終端設(shè)備標(biāo)識(shí)和與預(yù)置在客戶端中的終端私鑰對(duì)應(yīng)的終端公鑰；其中所述終端私鑰在終端出廠前被固化在終端中；

簽名驗(yàn)證模塊302，可以用于接收服務(wù)端發(fā)送的終端消息簽名，利用與所述終端消息簽名對(duì)應(yīng)的客戶端的終端公鑰對(duì)所述終端消息簽名進(jìn)行驗(yàn)證；

驗(yàn)證結(jié)果反饋模塊303，可以用于將所述終端消息簽名的驗(yàn)證結(jié)果發(fā)送至相應(yīng)的服務(wù)端。

當(dāng)然，上述所述開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置的另一種實(shí)施例中，所述裝置還可以為接入開(kāi)放標(biāo)準(zhǔn)并通過(guò)測(cè)試基準(zhǔn)服務(wù)廠商頒發(fā)服務(wù)商根證書(shū)。這種實(shí)施方式可以用于服務(wù)商的服務(wù)商根證書(shū)頒發(fā)機(jī)構(gòu)和消息認(rèn)證中心為同一側(cè)的服務(wù)器的應(yīng)用場(chǎng)景中，如可以設(shè)置ifaa根證書(shū)機(jī)構(gòu)同時(shí)為ifaa認(rèn)證中心。具體的，本申請(qǐng)?zhí)峁┑囊环N開(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證裝置的另一種實(shí)施例中，所述裝置還可以包括：

證書(shū)頒發(fā)模塊304，可以用于獲取實(shí)施開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員身份認(rèn)證所使用的根證書(shū)，并為通過(guò)設(shè)置的測(cè)試基準(zhǔn)的服務(wù)商配置利用所述根證書(shū)進(jìn)行簽名的服務(wù)商根證書(shū)。

上述實(shí)施例所述的裝置可以用于接入開(kāi)放標(biāo)準(zhǔn)的客戶端、服務(wù)端、認(rèn)證中心的終端電子設(shè)備中，以保障開(kāi)放標(biāo)準(zhǔn)的會(huì)員之家可以相互認(rèn)證，防止身份偽造。具體的所述裝置的實(shí)施方式可以參照前述相應(yīng)所述方法的相關(guān)描述，在此不做贅述。這樣，采用本申請(qǐng)實(shí)施例所述裝置的客戶端、服務(wù)端，可以有效保障開(kāi)放標(biāo)準(zhǔn)會(huì)員消息交互的安全性，使得開(kāi)放標(biāo)準(zhǔn)的實(shí)施整體安全性和穩(wěn)定性得到保障，提供會(huì)員對(duì)開(kāi)放標(biāo)準(zhǔn)服務(wù)的體驗(yàn)。

如上所述，本申請(qǐng)?zhí)峁┑拈_(kāi)放標(biāo)準(zhǔn)中的終端身份認(rèn)證方法和裝置可以用于實(shí)施某種行業(yè)開(kāi)放標(biāo)準(zhǔn)時(shí)，客戶端、服務(wù)端對(duì)接收的消息進(jìn)行認(rèn)證，防止終端會(huì)員身份偽造，損害會(huì)員利益。所述的裝置可以用于終端電子設(shè)備的客戶端如移動(dòng)通信終端或服務(wù)商的服務(wù)器來(lái)實(shí)現(xiàn)接入行業(yè)開(kāi)放標(biāo)準(zhǔn)的會(huì)員之間身份認(rèn)證。因此，本申請(qǐng)還提供一種終端身份認(rèn)證系統(tǒng)。所述終端身份系統(tǒng)可以用于包括如上述ifaa開(kāi)放系統(tǒng)的多個(gè)終端設(shè)備之間的相互認(rèn)證，保障ifaa會(huì)員的終端設(shè)備之間消息交互安全，防止終端身份偽造。圖14是本申請(qǐng)?zhí)峁┑囊环N終端身份認(rèn)證系統(tǒng)一種實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖，如圖14所示，所述系統(tǒng)可以包括：

客戶端，可以用于接收服務(wù)端發(fā)送的請(qǐng)求消息，解析獲取所述請(qǐng)求消息中的服務(wù)端的服務(wù)商根證書(shū)和利用所述服務(wù)商根證書(shū)進(jìn)行加簽生成的消息簽名；還可以用于利用預(yù)置在客戶端的所述會(huì)員身份認(rèn)證的根證書(shū)驗(yàn)證服務(wù)商根證書(shū)合法性，并利用請(qǐng)求消息中的服務(wù)商根證書(shū)對(duì)所述請(qǐng)求消息中的消息簽名進(jìn)行驗(yàn)證；還可以用于根據(jù)所述消息簽名和服務(wù)商根證書(shū)的驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端；

服務(wù)器，可以用于獲取利用開(kāi)放標(biāo)準(zhǔn)中進(jìn)行會(huì)員認(rèn)證所使用的根證書(shū)進(jìn)行簽名的服務(wù)商根證書(shū)；還可以用于利用所述獲取的服務(wù)商根證書(shū)對(duì)發(fā)送給客戶端的消息進(jìn)行加簽，生成消息簽名；還可以用于向客戶端發(fā)送請(qǐng)求消息，所述請(qǐng)求消息包括所述服務(wù)商根證書(shū)、所述消息簽名。

當(dāng)然，如前所述，其他的實(shí)施例中，所述終端身份認(rèn)證系統(tǒng)的客戶端也可以對(duì)上報(bào)給服務(wù)端的消息進(jìn)行證書(shū)簽名，服務(wù)器可以將接收到的請(qǐng)求消息中的消息簽名發(fā)送到指定的認(rèn)證 中心進(jìn)行驗(yàn)證。因此，本申請(qǐng)?zhí)峁┑乃鲆环N終端身份認(rèn)證系統(tǒng)的另一種實(shí)施例中，

所述客戶端被設(shè)置成，

還可以用于利用預(yù)置的終端私鑰對(duì)上報(bào)給服務(wù)器的消息進(jìn)行加簽，生成終端消息簽名；以及用于向服務(wù)端發(fā)送包括所述終端消息簽名的請(qǐng)求消息；其中所述終端私鑰在終端出廠前被固化在終端中，該終端的終端私鑰對(duì)應(yīng)的終端公鑰則存儲(chǔ)在認(rèn)證中心；

所述服務(wù)器被設(shè)置成，

還可以用于接收客戶端發(fā)送的請(qǐng)求消息，將所述請(qǐng)求消息中的終端消息簽名發(fā)送至指定的認(rèn)證中心進(jìn)行驗(yàn)證；還用于接收所述認(rèn)證中心的驗(yàn)證結(jié)果，根據(jù)所述驗(yàn)證結(jié)果確定接收到的請(qǐng)求消息是否來(lái)自開(kāi)放標(biāo)準(zhǔn)中的合法終端，所述驗(yàn)證結(jié)果包括所述認(rèn)證中心利用存儲(chǔ)的與客戶端對(duì)應(yīng)的終端公鑰對(duì)終端消息簽名進(jìn)行驗(yàn)證的驗(yàn)證結(jié)果信息。

可選的實(shí)施方式中，所述的終端身份系統(tǒng)還可以包括認(rèn)證服務(wù)器(或鑒權(quán)中心、認(rèn)中心等)可以用來(lái)專(zhuān)門(mén)存儲(chǔ)例如ifaa授權(quán)的終端設(shè)備的設(shè)備標(biāo)識(shí)和私鑰信息，以及對(duì)服務(wù)器發(fā)送來(lái)的消息簽名進(jìn)行驗(yàn)證。甚至，在一些實(shí)施例中，所述的認(rèn)證服務(wù)器也可以與根證書(shū)機(jī)構(gòu)的服務(wù)器設(shè)置為同一個(gè)服務(wù)器中，實(shí)現(xiàn)對(duì)根證書(shū)、服務(wù)商根證書(shū)、客戶端設(shè)備標(biāo)識(shí)及相應(yīng)私鑰的統(tǒng)一分配、管理等。

上述實(shí)施例所述的裝置、客戶端、服務(wù)器及系統(tǒng)可以以使用某一種或多種計(jì)算機(jī)語(yǔ)言結(jié)合必要的硬件的方式實(shí)現(xiàn)，如存儲(chǔ)器、cpu、緩存、javascript、c#等，并不限定于特定的計(jì)算機(jī)語(yǔ)言、軟件或硬件。

本申請(qǐng)實(shí)施例中設(shè)計(jì)到的終端員身份認(rèn)證方法、裝置、客戶端、服務(wù)器及系統(tǒng)，為實(shí)施的行業(yè)開(kāi)放標(biāo)準(zhǔn)從技術(shù)上提供一種強(qiáng)制性的身份認(rèn)證方式。具體的可以設(shè)定實(shí)施的行業(yè)開(kāi)放標(biāo)準(zhǔn)的根證書(shū)，針對(duì)接入行業(yè)開(kāi)放標(biāo)準(zhǔn)的不同服務(wù)商，可以從所述根證書(shū)分別派生出相應(yīng)的服務(wù)商根證書(shū)，作為二級(jí)證書(shū)進(jìn)行服務(wù)端的身份驗(yàn)證。相應(yīng)的，客戶端一側(cè)可以利用設(shè)定的根證書(shū)來(lái)驗(yàn)證接收消息中的服務(wù)商根證書(shū)的合法性。這樣，可以通過(guò)根證書(shū)進(jìn)行簽名的服務(wù)商證書(shū)可以用于驗(yàn)證服務(wù)商是否為行業(yè)開(kāi)放標(biāo)準(zhǔn)認(rèn)證的合法會(huì)員的終端設(shè)備。本申請(qǐng)實(shí)施方案在服務(wù)端下發(fā)給客戶端的消息需要經(jīng)過(guò)自己的服務(wù)商根證書(shū)簽名，由于服務(wù)端進(jìn)行簽名使用的私鑰被設(shè)置成是與服務(wù)端的服務(wù)商根證書(shū)相對(duì)應(yīng)且是唯一的，因此，客戶端可以利用消息中的服務(wù)商根證書(shū)來(lái)驗(yàn)證消息中的消息簽名，可以有效保障客戶端接收到的消息是消息中與服務(wù)商根證書(shū)對(duì)應(yīng)的服務(wù)端發(fā)送而來(lái)。認(rèn)證處理過(guò)程中，若消息中的消息簽名和服務(wù)商根證書(shū)均通過(guò)驗(yàn)證，可以表示客戶端接收到的請(qǐng)求消息是設(shè)定的根證書(shū)授權(quán)下的合法服務(wù)端發(fā)送來(lái)的，可以信任。本申請(qǐng)?zhí)峁┑男袠I(yè)開(kāi)放標(biāo)準(zhǔn)中身份認(rèn)證的硬性實(shí)施方案，相比于依賴傳統(tǒng)的法律條文、信息公開(kāi)等軟性約束，可以有效的在服務(wù)端和客戶端上進(jìn)行相互認(rèn)證，防止 非法會(huì)員的入侵，確保行業(yè)開(kāi)放標(biāo)準(zhǔn)整體實(shí)施的安全性和穩(wěn)定性，提高會(huì)員對(duì)行業(yè)開(kāi)放標(biāo)準(zhǔn)的服務(wù)使用感知。

盡管本申請(qǐng)內(nèi)容中提到ifaa開(kāi)放標(biāo)準(zhǔn)、rsa的公鑰和私鑰、服務(wù)商根證書(shū)和請(qǐng)求消息的數(shù)據(jù)格式、消息發(fā)送和接收等的消息交互、以及javascript編程設(shè)計(jì)語(yǔ)言等行業(yè)標(biāo)準(zhǔn)之類(lèi)的描述，但是，本申請(qǐng)并不局限于必須是完全標(biāo)準(zhǔn)、或?qū)嵤├峒暗姆绞降臄?shù)據(jù)交互、處理的情況。本申請(qǐng)中各個(gè)實(shí)施例所涉及的上述描述僅是本申請(qǐng)中的一些實(shí)施例中的應(yīng)用，在某些標(biāo)準(zhǔn)、方法的基礎(chǔ)上略加修改后的處理方法也可以實(shí)行上述本申請(qǐng)各實(shí)施例的方案。當(dāng)然，在符合本申請(qǐng)上述各實(shí)施例的中所述的處理方法步驟的其他無(wú)創(chuàng)造性的變形，仍然可以實(shí)現(xiàn)相同的申請(qǐng)，在此不再贅述。

雖然本申請(qǐng)?zhí)峁┝巳鐚?shí)施例或流程圖所述的方法操作步驟，但基于常規(guī)或者無(wú)創(chuàng)造性的勞動(dòng)可以包括更多或者更少的操作步驟。實(shí)施例中列舉的步驟順序僅僅為眾多步驟執(zhí)行順序中的一種方式，不代表唯一的執(zhí)行順序。在實(shí)際中的裝置或終端產(chǎn)品執(zhí)行時(shí)，可以按照實(shí)施例或者附圖所示的方法順序執(zhí)行或者并行執(zhí)行(例如并行處理器或者多線程處理的環(huán)境)。

上述實(shí)施例闡明的裝置、模塊，具體可以由計(jì)算機(jī)芯片或?qū)嶓w實(shí)現(xiàn)，或者由具有某種功能的產(chǎn)品來(lái)實(shí)現(xiàn)。為了描述的方便，描述以上裝置時(shí)以功能分為各種模塊分別描述。當(dāng)然，在實(shí)施本申請(qǐng)時(shí)可以把各模塊的功能在同一個(gè)或多個(gè)軟件和/或硬件中實(shí)現(xiàn)。當(dāng)然，也可以將實(shí)現(xiàn)某功能的模塊由多個(gè)子模塊或子單元組合實(shí)現(xiàn)。

本申請(qǐng)中所述的方法、模塊、或裝置可以以可讀程序嵌入控制器的方式實(shí)現(xiàn)，所述控制器可以按具體要求實(shí)現(xiàn)。例如，控制器可以采取例如微處理器或處理器以及存儲(chǔ)可由該(微)處理器執(zhí)行的計(jì)算機(jī)可讀程序代碼(例如軟件或固件)的計(jì)算機(jī)可讀介質(zhì)、邏輯門(mén)、開(kāi)關(guān)、專(zhuān)用集成電路(applicationspecificintegratedcircuit，asic)、可編程邏輯控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：arc625d、atmelat91sam、microchippic18f26k20以及siliconelabsc8051f320，存儲(chǔ)器控制器還可以被實(shí)現(xiàn)為存儲(chǔ)器的控制邏輯的一部分。本領(lǐng)域技術(shù)人員也知道，除了以純計(jì)算機(jī)可讀程序代碼方式實(shí)現(xiàn)控制器以外，完全可以通過(guò)將方法步驟進(jìn)行邏輯編程來(lái)使得控制器以邏輯門(mén)、開(kāi)關(guān)、專(zhuān)用集成電路、可編程邏輯控制器和嵌入微控制器等的形式來(lái)實(shí)現(xiàn)相同功能。因此這種控制器可以被認(rèn)為是一種硬件部件，而對(duì)其內(nèi)部包括的用于實(shí)現(xiàn)各種功能的裝置也可以視為硬件部件內(nèi)的結(jié)構(gòu)?；蛘呱踔粒梢詫⒂糜趯?shí)現(xiàn)各種功能的裝置視為既可以是實(shí)現(xiàn)方法的軟件模塊又可以是硬件部件內(nèi)的結(jié)構(gòu)。

本申請(qǐng)所述裝置中的部分模塊、客戶端或服務(wù)器中的單元可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī) 可執(zhí)行指令的一般上下文中描述，例如程序模塊。一般地，程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類(lèi)型的例程、程序、對(duì)象、組件、數(shù)據(jù)結(jié)構(gòu)、類(lèi)等等。也可以在分布式計(jì)算環(huán)境中實(shí)踐本申請(qǐng)，在這些分布式計(jì)算環(huán)境中，由通過(guò)通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來(lái)執(zhí)行任務(wù)。在分布式計(jì)算環(huán)境中，程序模塊可以位于包括存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中。

通過(guò)以上的實(shí)施方式的描述可知，本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請(qǐng)可借助軟件加必需的硬件的方式來(lái)實(shí)現(xiàn)?；谶@樣的理解，本申請(qǐng)的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，也可以通過(guò)數(shù)據(jù)遷移的實(shí)施過(guò)程中體現(xiàn)出來(lái)。該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中，如rom/ram、磁碟、光盤(pán)等，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，終端儀表設(shè)備、服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。

本說(shuō)明書(shū)中的各個(gè)實(shí)施例采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同或相似的部分互相參見(jiàn)即可，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。本申請(qǐng)的全部或者部分可用于眾多通用或?qū)Ｓ玫挠?jì)算機(jī)系統(tǒng)環(huán)境或配置中。例如：個(gè)人計(jì)算機(jī)、手持設(shè)備或便攜式設(shè)備、基于微處理器的系統(tǒng)、可編程的電子設(shè)備、包括以上任何系統(tǒng)或設(shè)備的分布式計(jì)算環(huán)境等等。

雖然通過(guò)實(shí)施例描繪了本申請(qǐng)，本領(lǐng)域普通技術(shù)人員知道，本申請(qǐng)有許多變形和變化而不脫離本申請(qǐng)的精神，希望所附的權(quán)利要求包括這些變形和變化而不脫離本申請(qǐng)的精神。