本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種身份認(rèn)證方法和系統(tǒng)。

背景技術(shù)：

目前，智能手機(jī)等智能終端設(shè)備被廣泛普及，用戶在使用這些智能終端設(shè)備進(jìn)行通信的過程中，通信內(nèi)容容易被惡意軟件監(jiān)聽和竊取。而現(xiàn)有的加密通信方式通常都是采用軟件加密算法或硬件加密算法，在主叫和被叫建立通話的過程中的交互消息中直接包含密鑰信息，這種方式很容易造成密鑰信息被竊取，使得雙方的通話過程容易受到中間人攻擊(Man-in-the-Middle Attack,MITM)，導(dǎo)致加密的通話內(nèi)容被破解，篡改和嗅探，給用戶帶來安全隱患。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種身份認(rèn)證方法和系統(tǒng)，可以對智能終端的通信雙方的身份進(jìn)行合法性認(rèn)證，保證通信內(nèi)容的安全傳輸。

第一方面，本發(fā)明實(shí)施例提供了一種身份認(rèn)證的方法，該方法包括：

終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對；

所述終端使用所述簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，其中，所述加密密鑰對包括加密公鑰和加密私鑰；

所述終端在與對端設(shè)備的建立通話的過程中，使用所述簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的所述第一交互消息發(fā)送給所述對端設(shè)備；

所述終端若接收到所述對端設(shè)備發(fā)送的第二交互消息，則通過所述服務(wù)器使用所述對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽；

若所述驗(yàn)簽通過，則所述終端確認(rèn)所述對端設(shè)備的身份合法。

另一方面，本發(fā)明實(shí)施例提供了一種身份認(rèn)證的系統(tǒng)，該系統(tǒng)包括終端和服務(wù)器；

所述終端包括：

密鑰生成單元，用于隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對；

證書申請單元，用于使用所述簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，其中，所述加密密鑰對包括加密公鑰和加密私鑰；

簽名單元，用于在與對端設(shè)備的建立通話的過程中，使用所述簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的所述第一交互消息發(fā)送給所述對端設(shè)備；

驗(yàn)簽單元，用于若接收到所述對端設(shè)備發(fā)送的第二交互消息，則通過所述服務(wù)器使用所述對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽；

驗(yàn)簽成功單元，用于若所述驗(yàn)簽通過，則所述終端確認(rèn)所述對端設(shè)備的身份合法；

所述服務(wù)器包括：

證書申請?zhí)幚韱卧?，用于處理所述終端的數(shù)字證書和加密密鑰對的申請；

驗(yàn)簽處理單元，用于使用所述對端設(shè)備的數(shù)字證書對所述第二交互消息進(jìn)行驗(yàn)簽

本發(fā)明實(shí)施例通過終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對，并使用簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，終端在與對端設(shè)備建立通話的過程中，使用簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備，若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽，通過這種簽名和驗(yàn)簽的過程可以驗(yàn)證通話雙方的身份合法性，從而防止中間人攻擊，并且避免了在交互消息中直接攜帶密鑰信息可能導(dǎo)致的安全隱患，保證通信內(nèi)容的安全傳輸。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例技術(shù)方案，下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明實(shí)施例一提供的一種身份認(rèn)證的方法的示意流程圖；

圖2是本發(fā)明實(shí)施例二提供的一種身份認(rèn)證的方法的示意流程圖；

圖3是本發(fā)明實(shí)施例二提供的一種身份認(rèn)證的方法中建立通話的過程中驗(yàn)證身份合法性的示意性框圖；

圖4是本發(fā)明實(shí)施例三提供的一種身份認(rèn)證的系統(tǒng)的示意性框圖；

圖5是本發(fā)明實(shí)施例四提供的一種身份認(rèn)證的系統(tǒng)的示意性框圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

應(yīng)當(dāng)理解，當(dāng)在本說明書和所附權(quán)利要求書中使用時，術(shù)語“包括”和“包含”指示所描述特征、整體、步驟、操作、元素和/或組件的存在，但并不排除一個或多個其它特征、整體、步驟、操作、元素、組件和/或其集合的存在或添加。

還應(yīng)當(dāng)理解，在此本發(fā)明說明書中所使用的術(shù)語僅僅是出于描述特定實(shí)施例的目的而并不意在限制本發(fā)明。如在本發(fā)明說明書和所附權(quán)利要求書中所使用的那樣，除非上下文清楚地指明其它情況，否則單數(shù)形式的“一”、“一個”及“該”意在包括復(fù)數(shù)形式。

還應(yīng)當(dāng)進(jìn)一步理解，在本發(fā)明說明書和所附權(quán)利要求書中使用的術(shù)語“和/或”是指相關(guān)聯(lián)列出的項(xiàng)中的一個或多個的任何組合以及所有可能組合，并且包括這些組合。

如在本說明書和所附權(quán)利要求書中所使用的那樣，術(shù)語“如果”可以依據(jù)上下文被解釋為“當(dāng)...時”或“一旦”或“響應(yīng)于確定”或“響應(yīng)于檢測到”。類似地，短語“如果確定”或“如果檢測到[所描述條件或事件]”可以依據(jù)上下文被解釋為意指“一旦確定”或“響應(yīng)于確定”或“一旦檢測到[所描述條件或事件]”或“響應(yīng)于檢測到[所描述條件或事件]”。

具體實(shí)現(xiàn)中，本發(fā)明實(shí)施例中描述的終端包括但不限于諸如具有觸摸敏感表面(例如，觸摸屏顯示器和/或觸摸板)的移動電話、膝上型計算機(jī)或平板計算機(jī)之類的其它便攜式設(shè)備。還應(yīng)當(dāng)理解的是，在某些實(shí)施例中，所述設(shè)備并非便攜式通信設(shè)備，而是具有觸摸敏感表面(例如，觸摸屏顯示器和/或觸摸板)的臺式計算機(jī)。

在接下來的討論中，描述了包括顯示器和觸摸敏感表面的終端。然而，應(yīng)當(dāng)理解的是，終端可以包括諸如物理鍵盤、鼠標(biāo)和/或控制桿的一個或多個其它物理用戶接口設(shè)備。

終端支持各種應(yīng)用程序，例如以下中的一個或多個：繪圖應(yīng)用程序、演示應(yīng)用程序、文字處理應(yīng)用程序、網(wǎng)站創(chuàng)建應(yīng)用程序、盤刻錄應(yīng)用程序、電子表格應(yīng)用程序、游戲應(yīng)用程序、電話應(yīng)用程序、視頻會議應(yīng)用程序、電子郵件應(yīng)用程序、即時消息收發(fā)應(yīng)用程序、鍛煉支持應(yīng)用程序、照片管理應(yīng)用程序、數(shù)碼相機(jī)應(yīng)用程序、數(shù)字?jǐn)z影機(jī)應(yīng)用程序、web瀏覽應(yīng)用程序、數(shù)字音樂播放器應(yīng)用程序和/或數(shù)字視頻播放器應(yīng)用程序。

可以在終端上執(zhí)行的各種應(yīng)用程序可以使用諸如觸摸敏感表面的至少一個公共物理用戶接口設(shè)備。可以在應(yīng)用程序之間和/或相應(yīng)應(yīng)用程序內(nèi)調(diào)整和/或改變觸摸敏感表面的一個或多個功能以及終端上顯示的相應(yīng)信息。這樣，終端的公共物理架構(gòu)(例如，觸摸敏感表面)可以支持具有對用戶而言直觀且透明的用戶界面的各種應(yīng)用程序。

實(shí)施例一：

請參閱圖1，圖1是本發(fā)明實(shí)施例一提供的一種身份認(rèn)證的方法的示意流程圖，本實(shí)施例的執(zhí)行主體包括終端和服務(wù)器，其中，終端可以是智能手機(jī)或者其他智能終端等設(shè)備。圖1所示的身份認(rèn)證方法可以包括以下步驟：

S101、終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對。

具體地，終端隨機(jī)生成的簽名密鑰對用于進(jìn)行數(shù)字簽名和對數(shù)字簽名的驗(yàn)簽。

S102、終端使用簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，其中，該加密密鑰對包括加密公鑰和加密私鑰。

具體地，服務(wù)器包含證書授權(quán)(Certificate Authority，CA)功能，能夠?qū)崿F(xiàn)簽發(fā)證書、認(rèn)證證書和管理已頒發(fā)證書等功能。終端可以將包含簽名公鑰和終端標(biāo)識信息的請求消息發(fā)送給服務(wù)器，服務(wù)器根據(jù)接收到的請求信息，生成終端對應(yīng)的合法的數(shù)字證書和加密密鑰對，并將數(shù)字證書和加密密鑰對下發(fā)給終端。

數(shù)字證書是經(jīng)服務(wù)器數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，數(shù)字證書可以包含簽名公鑰、加密公鑰、證書名稱以及服務(wù)器的數(shù)字簽名等，數(shù)字證書還有一個重要的特征就是只在特定的時間段內(nèi)有效。

終端申請到合法的數(shù)字證書和加密密鑰對后，即可使用數(shù)字簽名、加密密鑰對和簽名密鑰對，對傳輸信息進(jìn)行簽名和驗(yàn)簽，以及加密和解密的處理，從而提高傳輸信息的安全性，防止被非法盜用和攻擊。

需要說明的是，步驟S101至步驟S102申請數(shù)字證書和加密密鑰對的過程可以在終端與對端設(shè)備建立通話之前進(jìn)行，具體可以在終端開機(jī)時或者第一次使用終端上對應(yīng)的專用通信應(yīng)用軟件進(jìn)行注冊時進(jìn)行，此處不做限制。

S103、終端在與對端設(shè)備建立通話的過程中，使用簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備。

具體地，第一交互消息可以是終端發(fā)送給對端設(shè)備的交互消息，其具體可以是通話建立請求消息，終端使用步驟S101生成的簽名私鑰對第一交互消息進(jìn)行簽名后，將第一交互消息發(fā)送給對端設(shè)備。

對端設(shè)備接收到第一交互消息，通過服務(wù)器使用終端的數(shù)字證書對該第一交互消息進(jìn)行驗(yàn)簽，判斷該第一交互消息是否是終端發(fā)送的，從而確認(rèn)終端身份的合法性。

S104、終端若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽。

具體地，第二交互消息可以是終端接收到的對端設(shè)備發(fā)送的交互消息，其具體可以是通話建立請求響應(yīng)消息。對端設(shè)備在向終端發(fā)送第二交互消息時，采用與步驟S103相同的方法，使用對端設(shè)備的簽名私鑰對第二交互消息進(jìn)行簽名，并將簽名后的第二交互消息發(fā)送給終端。終端將第二交互消息發(fā)送到服務(wù)器，服務(wù)器根據(jù)對端設(shè)備的數(shù)字證書，使用對端設(shè)備的簽名公鑰對第二交互消息進(jìn)行驗(yàn)簽，判斷該第二交互消息是否是對端設(shè)備發(fā)送的，從而確認(rèn)對端設(shè)備的合法性。

由于驗(yàn)簽的過程是在服務(wù)器進(jìn)行，終端和對端設(shè)備均不需要將相關(guān)的密鑰發(fā)送給對方，因此避免了在交互消息中直接攜帶密鑰信息可能導(dǎo)致的安全隱患。

S105、若驗(yàn)簽通過，則終端確認(rèn)對端設(shè)備的身份合法。

具體地，服務(wù)器將步驟S104中使用對端設(shè)備的數(shù)字證書對第二交互消息進(jìn)行驗(yàn)簽的結(jié)果返回給終端，若結(jié)果為驗(yàn)簽通過，則終端確認(rèn)對端設(shè)備的身份合法。

若驗(yàn)簽未通過，則終端確認(rèn)對端設(shè)備的身份不合法，拒絕與對端設(shè)備建立通話鏈接，從而避免中間人攻擊。

對端設(shè)備也通過同樣的過程確認(rèn)終端的身份合法，若終端和對端設(shè)備均確認(rèn)對方的身份合法，則雙方建立合法的通話鏈接。

需要說明的是，對端設(shè)備實(shí)現(xiàn)與終端相同的功能，本發(fā)明實(shí)施例中對終端實(shí)現(xiàn)的功能的描述也同樣適用于對端設(shè)備。

從上述圖1示例的身份認(rèn)證的方法可知，本實(shí)施例中，終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對，并使用簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，終端在與對端設(shè)備建立通話的過程中，使用簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備，若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽，通過這種簽名和驗(yàn)簽的過程可以驗(yàn)證通話雙方的身份合法性，從而防止中間人攻擊，并且避免了在交互消息中直接攜帶密鑰信息可能導(dǎo)致的安全隱患，保證通信內(nèi)容的安全傳輸。

實(shí)施例二：

請參閱圖2，圖2是本發(fā)明實(shí)施例二提供的一種身份認(rèn)證的方法的示意流程圖，本實(shí)施例的執(zhí)行主體包括終端和服務(wù)器，其中，終端可以是智能手機(jī)或者其他智能終端等設(shè)備。圖2所示的身份認(rèn)證方法可以包括以下步驟：

S201、終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對。

具體地，終端隨機(jī)生成的簽名密鑰對用于進(jìn)行數(shù)字簽名和對數(shù)字簽名的驗(yàn)簽。

S202、終端向服務(wù)器發(fā)送包含簽名公鑰的數(shù)字證書申請請求。

具體地，服務(wù)器包含CA功能，能夠?qū)崿F(xiàn)簽發(fā)證書、認(rèn)證證書和管理已頒發(fā)證書等功能。終端將包含簽名公鑰和終端標(biāo)識信息的數(shù)字證書申請請求發(fā)送給服務(wù)器

進(jìn)一步地，終端向服務(wù)器發(fā)送包含簽名公鑰的數(shù)字證書申請請求的具體過程可以通過步驟S2021至步驟S2022完成，詳述如下：

S2021、終端生成包含簽名公鑰的證書請求文件。

具體地，終端可以生成采用PKCS#10文件格式的證書請求文件，該證書請求文件中包含終端的簽名公鑰。

PKCS(The Public-Key Cryptography Standards)是由美國RSA數(shù)據(jù)安全公司及其合作伙伴制定的一組公鑰密碼學(xué)標(biāo)準(zhǔn)，其中包括證書申請、證書更新、證書作廢表發(fā)布、擴(kuò)展證書內(nèi)容以及數(shù)字簽名、數(shù)字信封的格式等方面的一系列相關(guān)協(xié)議，其中，PKCS#10標(biāo)準(zhǔn)用于描述證書請求語法。

在本實(shí)施例中，證書請求文件采用PKCS#10文件格式，在其他實(shí)施例中證書請求文件還可以采用其他語法規(guī)則的文件格式，此處不做限制。

S2022、終端將證書請求文件發(fā)送給服務(wù)器。

具體地，終端將生成的包含終端的簽名公鑰的證書請求文件發(fā)送給服務(wù)器。

S203、服務(wù)器根據(jù)數(shù)字證書申請請求，生成終端對應(yīng)的數(shù)字證書和加密密鑰對，該加密密鑰對包括加密公鑰和加密私鑰，該數(shù)字證書包括簽名證書和加密證書，該加密證書包含加密公鑰，該簽名證書包含簽名公鑰。

具體地，服務(wù)器接收到終端通過步驟S202發(fā)送的包含簽名公鑰的數(shù)字證書申請請求，生成終端對應(yīng)的PKCS#10文件格式的數(shù)字證書，同時生成終端對應(yīng)的加密密鑰對，其中，數(shù)字證書包括簽名證書和加密證書，加密證書包含加密公鑰，簽名證書包含簽名公鑰。

S204、服務(wù)器將數(shù)字證書和加密私鑰下發(fā)給終端。

具體地，服務(wù)器將數(shù)字證書和加密私鑰寫入到證書請求文件中，并將該證書請求文件返回給終端。

進(jìn)一步地，服務(wù)器將數(shù)字證書和加密私鑰下發(fā)給終端的具體過程可以通過步驟S2041至步驟S2042完成，詳述如下：

S2041、服務(wù)器使用終端的簽名公鑰對加密私鑰進(jìn)行加密，并將數(shù)字證書和加密后的加密私鑰發(fā)送給終端。

具體地，服務(wù)器使用終端的簽名公鑰對生成的加密私鑰進(jìn)行加密，將數(shù)字證書和加密后的加密私鑰寫入到證書請求文件中，并將該證書請求文件發(fā)送給終端。

S2042、終端使用簽名私鑰對加密私鑰進(jìn)行解密后，將數(shù)字證書、加密私鑰和簽名密鑰對保存在安全芯片中。

具體地，終端從服務(wù)器返回的證書請求文件中獲取數(shù)字證書和加密后的加密私鑰，使用自己的簽名私鑰對該加密私鑰進(jìn)行解密。

終端將數(shù)字證書、解密后的加密私鑰以及簽名密鑰對保存在安全芯片中。

安全芯片通過采用固定的商用密碼算法，實(shí)現(xiàn)對數(shù)據(jù)的加密和解密，例如，安全芯片可以使用國產(chǎn)A3芯片。帶有安全芯片的終端能夠?qū)νㄐ胚^程進(jìn)行加密，保證通信安全，同時保存在安全芯片中的數(shù)據(jù)安全性更高，不易被竊取。每個安全芯片在出廠時都帶有唯一的序列號。

S205、終端在與對端設(shè)備的建立通話的過程中，使用簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備。

具體地，第一交互消息可以是終端發(fā)送給對端設(shè)備的交互消息，其具體可以是通話建立請求消息，終端使用步驟S101生成的簽名私鑰對第一交互消息進(jìn)行簽名后，將第一交互消息發(fā)送給對端設(shè)備。

對端設(shè)備接收到第一交互消息，通過服務(wù)器使用終端的數(shù)字證書對該第一交互消息進(jìn)行驗(yàn)簽，判斷該第一交互消息是否是終端發(fā)送的，從而確認(rèn)終端身份的合法性。

S206、終端若接收到對端設(shè)備發(fā)送的第二交互消息，則將該第二交互消息發(fā)送給服務(wù)器，其中，該第二交互消息由對端設(shè)備使用對端設(shè)備的簽名私鑰進(jìn)行簽名。

具體地，第二交互消息可以是終端接收到的對端設(shè)備發(fā)送的交互消息，其具體可以是通話建立請求響應(yīng)消息。對端設(shè)備在向終端發(fā)送第二交互消息時，采用與步驟S205相同的方法，使用對端設(shè)備的簽名私鑰對第二交互消息進(jìn)行簽名，并將簽名后的第二交互消息發(fā)送給終端。

終端將第二交互消息和對端設(shè)備的標(biāo)識發(fā)送給服務(wù)器，其中，對端設(shè)備的標(biāo)識可以是對端設(shè)備的電話號碼或者其他能夠唯一標(biāo)識對端設(shè)備的標(biāo)識信息。

S207、服務(wù)器使用對端設(shè)備的數(shù)字證書對第二交互消息進(jìn)行驗(yàn)簽，并將驗(yàn)簽結(jié)果返回給終端。

具體地，服務(wù)器根據(jù)對端設(shè)備的標(biāo)識獲取對端設(shè)備對應(yīng)的數(shù)字證書，并根據(jù)對端設(shè)備的數(shù)字證書，使用對端設(shè)備的簽名公鑰對第二交互消息進(jìn)行驗(yàn)簽，判斷該第二交互消息是否是對端設(shè)備發(fā)送的，從而確認(rèn)對端設(shè)備的合法性，并將驗(yàn)簽結(jié)果返回給終端。

S208、若驗(yàn)簽通過，則終端確認(rèn)對端設(shè)備的身份合法。

具體地，服務(wù)器將步驟S207中使用對端設(shè)備的數(shù)字證書對第二交互消息進(jìn)行驗(yàn)簽的結(jié)果返回給終端，若結(jié)果為驗(yàn)簽通過，則終端確認(rèn)對端設(shè)備的身份合法。

若驗(yàn)簽未通過，則終端確認(rèn)對端設(shè)備的身份不合法，拒絕與對端設(shè)備建立通話鏈接，從而避免中間人攻擊。

需要說明的是，對端設(shè)備實(shí)現(xiàn)與終端相同的功能，本發(fā)明實(shí)施例中對終端實(shí)現(xiàn)的功能的描述也同樣適用于對端設(shè)備。

為了更好地理解本發(fā)明實(shí)施例，舉例說明如下：

圖3為終端301和終端302在建立通話的過程中進(jìn)行身份驗(yàn)證的過程。其中，終端301是主叫方，終端302是被叫方，終端301和終端302均向服務(wù)器303申請了數(shù)字證書和加密私鑰，并將申請到的數(shù)字證書和加密私鑰，以及生成的簽名密鑰對保存在自己的安全芯片中。

當(dāng)終端301需要向終端302發(fā)起建立通話的請求消息時，終端301使用自己的簽名私鑰對該請求消息進(jìn)行簽名，并將簽名后的請求消息發(fā)送給終端302；

終端302接收到請求消息后，通過服務(wù)器303驗(yàn)證終端301的身份合法性，服務(wù)器303使用終端301的數(shù)字證書對該請求消息進(jìn)行驗(yàn)簽，并將驗(yàn)簽結(jié)果返回給終端302；

終端302判斷驗(yàn)簽結(jié)果為驗(yàn)簽成功，則使用自己的簽名私鑰對請求響應(yīng)消息進(jìn)行簽名，并將簽名后的請求響應(yīng)消息返回給終端301，同意建立通話；

終端301接收到請求響應(yīng)消息后，通過服務(wù)器303驗(yàn)證終端302的身份合法性，服務(wù)器303使用終端302的數(shù)字證書對該請求響應(yīng)消息進(jìn)行驗(yàn)簽，并將驗(yàn)簽結(jié)果返回給終端301；

終端301判斷驗(yàn)簽結(jié)果為驗(yàn)簽通過，則與終端302建立合法的通話鏈接。

從上述圖2示例的身份認(rèn)證的方法可知，本實(shí)施例中，終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對，并使用簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，服務(wù)器生成終端對應(yīng)的數(shù)字證書和加密密鑰對后，使用終端的簽名公鑰對加密私鑰進(jìn)行加密，并將數(shù)字證書和加密后的加密私鑰通過證書請求文件下發(fā)給終端，這種申請方式保證了數(shù)字證書的合法生成，以及數(shù)字證書和加密私鑰在傳輸過程中的安全性；終端在與對端設(shè)備建立通話的過程中，使用簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備，若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽，通過這種簽名和驗(yàn)簽的過程可以驗(yàn)證通話雙方的身份合法性，從而防止中間人攻擊，并且避免了在交互消息中直接攜帶密鑰信息可能導(dǎo)致的安全隱患，保證通信內(nèi)容的安全傳輸。

實(shí)施例三：

請參閱圖4，圖4是本發(fā)明實(shí)施例三提供的一種身份認(rèn)證的系統(tǒng)的示意框圖。為了便于說明，僅示出了與本發(fā)明實(shí)施例相關(guān)的部分。圖4示例的身份認(rèn)證的系統(tǒng)300可以是前述實(shí)施例一提供的一種身份認(rèn)證的方法的執(zhí)行主體。圖4示例的身份認(rèn)證的系統(tǒng)300主要包括包括終端31和服務(wù)器32，詳細(xì)說明如下：

終端31包括：

密鑰生成單元311，用于隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對；

證書申請單元312，用于使用密鑰生成單元311生成的簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，其中，該加密密鑰對包括加密公鑰和加密私鑰；

簽名單元313，用于在與對端設(shè)備建立通話的過程中，使用密鑰生成單元311生成的簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備；

驗(yàn)簽單元314，用于若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽；

驗(yàn)簽成功單元315，用于若驗(yàn)簽單元314的驗(yàn)簽通過，則終端確認(rèn)對端設(shè)備的身份合法；

服務(wù)器32包括：

證書申請?zhí)幚韱卧?21，用于處理終端31的證書申請單元312的數(shù)字證書和加密密鑰對的申請；

驗(yàn)簽處理單元322，用于根據(jù)驗(yàn)簽單元314的請求，使用對端設(shè)備的數(shù)字證書對第二交互消息進(jìn)行驗(yàn)簽。

本實(shí)施例提供的身份認(rèn)證的系統(tǒng)300中終端31和服務(wù)器32的各單元實(shí)現(xiàn)各自功能的過程，具體可參考前述圖1所示實(shí)施例的描述，此處不再贅述。

從上述圖3示例的身份認(rèn)證的系統(tǒng)300可知，本實(shí)施例中，終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對，并使用簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，終端在與對端設(shè)備建立通話的過程中，使用簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備，若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽，通過這種簽名和驗(yàn)簽的過程可以驗(yàn)證通話雙方的身份合法性，從而防止中間人攻擊，并且避免了在交互消息中直接攜帶密鑰信息可能導(dǎo)致的安全隱患，保證通信內(nèi)容的安全傳輸。

實(shí)施例四：

請參閱圖5，圖5是本發(fā)明實(shí)施例四提供的一種身份認(rèn)證的系統(tǒng)的示意框圖。為了便于說明，僅示出了與本發(fā)明實(shí)施例相關(guān)的部分。圖5示例的身份認(rèn)證的系統(tǒng)400可以是前述實(shí)施例二提供的一種身份認(rèn)證的方法的執(zhí)行主體。圖5示例的身份認(rèn)證的系統(tǒng)400主要包括包括終端41和服務(wù)器42，詳細(xì)說明如下：

終端41包括：

密鑰生成單元411，用于隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對；

證書申請單元412，用于使用密鑰生成單元411生成的簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，其中，該加密密鑰對包括加密公鑰和加密私鑰；

簽名單元413，用于在與對端設(shè)備建立通話的過程中，使用密鑰生成單元411生成的簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備；

驗(yàn)簽單元414，用于若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽；

驗(yàn)簽成功單元415，用于若驗(yàn)簽單元414的驗(yàn)簽通過，則終端確認(rèn)對端設(shè)備的身份合法；

服務(wù)器42包括：

證書申請?zhí)幚韱卧?21，用于處理終端41的證書申請單元412的數(shù)字證書和加密密鑰對的申請；

驗(yàn)簽處理單元422，用于根據(jù)驗(yàn)簽單元414的請求，使用對端設(shè)備的數(shù)字證書對第二交互消息進(jìn)行驗(yàn)簽。

進(jìn)一步地，證書申請單元412包括：

請求發(fā)送單元4121，用于向服務(wù)器42發(fā)送包含簽名公鑰的數(shù)字證書申請請求；

證書申請?zhí)幚韱卧?21包括：

證書生成單元4211，用于根據(jù)請求發(fā)送單元4121發(fā)送的數(shù)字證書申請請求，生成所述終端對應(yīng)的數(shù)字證書和加密密鑰對，加密密鑰對包括加密公鑰和加密私鑰，數(shù)字證書包括簽名證書和加密證書，加密證書包含加密公鑰，簽名證書包含簽名公鑰；

證書發(fā)送單元4212，用于將證書生成單元4211生成的數(shù)字證書和加密私鑰下發(fā)給終端41；

證書申請單元412還包括：

證書接收單元4122，用于接收服務(wù)器42的證書發(fā)送單元4212下發(fā)的數(shù)字證書和加密私鑰。

進(jìn)一步地，證書發(fā)送單元4212，還用于使用簽名公鑰對證書生成單元4211生成的加密私鑰進(jìn)行加密，并將數(shù)字證書和加密后的加密私鑰發(fā)送給終端41；

證書接收單元4122，還用于使用簽名私鑰對證書發(fā)送單元4212發(fā)送的加密私鑰進(jìn)行解密后，將數(shù)字證書、加密私鑰和簽名密鑰對保存在安全芯片中。

進(jìn)一步地，請求發(fā)送單元4121還用于：

生成包含簽名公鑰的證書請求文件；

將證書請求文件發(fā)送給服務(wù)器42。

進(jìn)一步地，驗(yàn)簽單元414，還用于若接收到對端設(shè)備發(fā)送的第二交互消息，則將第二交互消息發(fā)送給服務(wù)器42，其中，第二交互消息由對端設(shè)備使用對端設(shè)備的簽名私鑰進(jìn)行簽名；

驗(yàn)簽處理單元422，還用于使用對端設(shè)備的數(shù)字證書對第二交互消息進(jìn)行驗(yàn)簽，并將驗(yàn)簽結(jié)果返回給終端41。

本實(shí)施例提供的身份認(rèn)證的系統(tǒng)400中終端41和服務(wù)器42的各單元實(shí)現(xiàn)各自功能的過程，具體可參考前述圖2所示實(shí)施例的描述，此處不再贅述。

從上述圖5示例的身份認(rèn)證的系統(tǒng)400可知，本實(shí)施例中，終端隨機(jī)生成包括簽名公鑰和簽名私鑰的簽名密鑰對，并使用簽名公鑰向服務(wù)器申請數(shù)字證書和加密密鑰對，服務(wù)器生成終端對應(yīng)的數(shù)字證書和加密密鑰對后，使用終端的簽名公鑰對加密私鑰進(jìn)行加密，并將數(shù)字證書和加密后的加密私鑰通過證書請求文件下發(fā)給終端，這種申請方式保證了數(shù)字證書的合法生成，以及數(shù)字證書和加密私鑰在傳輸過程中的安全性；終端在與對端設(shè)備建立通話的過程中，使用簽名私鑰對第一交互消息進(jìn)行簽名，并將簽名后的第一交互消息發(fā)送給對端設(shè)備，若接收到對端設(shè)備發(fā)送的第二交互消息，則通過服務(wù)器使用對端設(shè)備的數(shù)字證書進(jìn)行驗(yàn)簽，通過這種簽名和驗(yàn)簽的過程可以驗(yàn)證通話雙方的身份合法性，從而防止中間人攻擊，并且避免了在交互消息中直接攜帶密鑰信息可能導(dǎo)致的安全隱患，保證通信內(nèi)容的安全傳輸。

本領(lǐng)域普通技術(shù)人員可以意識到，結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為了描述的方便和簡潔，上述描述的【系統(tǒng)】、終端和單元的具體工作過程，可以參考前述方法實(shí)施例中的對應(yīng)過程，在此不再贅述。

在本申請所提供的幾個實(shí)施例中，應(yīng)該理解到，所揭露的【系統(tǒng)】、終端和方法，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口、裝置或單元的間接耦合或通信連接，也可以是電的，機(jī)械的或其它的形式連接。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本發(fā)明實(shí)施例方案的目的。

另外，在本發(fā)明各個實(shí)施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨(dú)物理存在，也可以是兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時，可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分，或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實(shí)施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機(jī)存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到各種等效的修改或替換，這些修改或替換都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。