移动终端间的身份认证方法及系统与流程

本发明涉及无线通信技术领域，尤其涉及一种移动终端间的身份认证方法及系统。

背景技术：

随着科技的飞速发展，移动终端等电子消费类产品已经融入到人们的生活中，伴随着移动互联网络的高覆盖度、移动性、方便易用的特点，突破了传统通信意义上对空间和距离的限制，使得人们彼此之间的互联互动比以往更为频繁，如何自动确认移动终端的身份，困扰着移动终端的使用者。

目前，对移动终端的身份认证多采用网络侧服务器认证和安全网关认证等第三方认证的方式，移动终端与服务器或网关之间建立映射关系，移动终端用户彼此之间通过发送认证请求给服务器或网关，获取可信联系，如现有技术中公开的利用短消息实现的移动实体之间的认证和密钥协商方法属于移动网安全领域，其特征在于，经过可信认证中心(TAA)认证的移动终端和应用服务器之间，利用包含在互相发往对方的短消息之中的自己身份信息和包含经TAA公钥加密的哈希链的最后一个值作为双方的密钥进行认证的方式。但是，该方法提供的认证方式不是端到端的，需要部署网络侧认证设备，建造成本较高，且网络侧认证设备是安全的关键节点，一旦受到攻击，容易造成所有联系人之间的认证关系断裂；该方法的网络侧认证设备的性能是整个认证系统的瓶颈，可能对所有用户造成影响；该方法提供的认证方式需要第三方传递，无形中增加了认证过程中的时延；而且该方法的用户需要主动对移动终端的身份信息进行认证，对于拥有大量联系人信息的用户而言，用户体验有待改善。

鉴于此，如何实现移动终端间的身份认证，以提高认证的安全性 和可靠性，降低经济成本和时间成本成为当前需要解决的技术问题。

技术实现要素：

针对现有技术中的缺陷，本发明提供一种移动终端间的身份认证方法及系统，可实现移动终端间对彼此合法身份的认证，无第三方参与，提高了认证的安全性和可靠性，降低了经济成本和时间成本，且认证过程用户无感知，提升了用户的体验。

第一方面，本发明提供一种移动终端间的身份认证方法，包括：

在移动终端之间进行业务通信时，第一移动终端向第二移动终端发送证书请求消息，所述证书请求消息中携带所述第一移动终端的证书和请求信息，所述请求信息为请求获取所述第二移动终端的证书的信息；

所述第二移动终端在接收到所述证书请求消息后，对所述证书请求消息中携带的所述第一移动终端的证书进行第一身份认证，在第一身份认证后向所述第一移动终端发送与所述请求消息相应的应答消息；

所述第一移动终端接收所述应答消息，并对所述应答消息中携带的内容进行身份认证。

可选地，所述业务通信包括：通话、短消息或分组数据业务的通信；

相应地，所述证书请求消息包括用通话、短消息或分组数据业务的通道承载。

可选地，若第一身份认证通过，则所述应答消息中携带所述第二移动终端的证书；

若第一身份认证失败，则所述应答消息中携带认证失败原因信息。

可选地，所述第一移动终端接收所述应答消息，并对所述应答消息中携带的内容进行第二身份认证，包括：

所述第一移动终端接收所述应答消息，若所述应答消息中携带所 述第二移动终端的证书，则对所述第二移动终端的证书进行身份认证，若身份认证通过，则身份认证成功，所述第一移动终端与所述第二移动终端进行数据通信；若身份认证失败，则身份认证结束。

可选地，所述第一移动终端接收所述应答消息，并对所述应答消息中携带的内容进行第二身份认证，包括：

所述第一移动终端接收所述应答消息，若所述应答消息中携带认证失败原因信息，则身份认证结束。

第二方面，本发明提供一种移动终端间的身份认证系统，包括：第一移动终端和第二移动终端；

所述第一移动终端，包括：发送模块和第二认证模块；

所述发送模块，用于在移动终端之间进行业务通信时，向第二移动终端发送证书请求消息，所述证书请求消息中携带所述第一移动终端的证书和请求信息，所述请求信息为请求获取所述第二移动终端的证书的信息；

所述第二认证模块，用于接收所述第二移动终端发送的应答消息，并对所述应答消息中携带的内容进行第二身份认证。

所述第二移动终端，包括：接收模块和第一认证模块；

所述接收模块，用于接收所述证书请求消息；

所述第一认证模块，用于在接收到所述证书请求消息后，对所述证书请求消息中携带的所述第一移动终端的证书进行第一身份认证，在第一身份认证后向所述第一移动终端发送与所述请求消息相应的应答消息。

可选地，所述业务通信包括：通话、短消息或分组数据业务的通信；

相应地，所述证书请求消息包括用通话、短消息或分组数据业务的通道承载。

可选地，若第一身份认证通过，则所述应答消息中携带所述第二 移动终端的证书；

若第一身份认证失败，则所述应答消息中携带认证失败原因信息。

可选地，所述第二认证模块，具体用于

接收所述第二移动终端发送的应答消息，若所述应答消息中携带所述第二移动终端的证书，则对所述第二移动终端的证书进行身份认证，若身份认证通过，则身份认证成功，与所述第二移动终端进行数据通信；若身份认证失败，则身份认证结束。

可选地，所述第二认证模块，具体用于

接收所述第二移动终端发送的应答消息，若所述应答消息中携带认证失败原因信息，则身份认证结束。

由上述技术方案可知，本发明的移动终端间的身份认证方法及系统，在用户使用移动终端相关功能(如通话、短消息和分组数据业务等)的过程中，通过移动终端后台自动实现证书的交互认证，无需用户主动发起认证，达到提升用户体验的效果。另外，采用移动终端的端到端证书认证的方式，无需第三方(如网络侧认证设备等)参与，在提高认证安全性和可靠性的同时更降低了设备部署的成本和认证所需的时间。

附图说明

图1为本发明一实施例提供的一种移动终端间的身份认证方法的流程示意图；

图2为本发明一实施例提供的一种移动终端间的身份认证方法的信令原理示意图；

图3为本发明一实施例提供的一种移动终端间的身份认证系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、 完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例，都属于本发明保护的范围。

图1示出了本发明一实施例提供的一种移动终端间的身份认证方法的流程示意图，图2示出了本发明一实施例提供的一种移动终端间的身份认证方法的信令原理示意图，如图1及图2所示，本实施例的移动终端间的身份认证方法如下所述。

101、在移动终端之间进行业务通信时，第一移动终端(在后台)向第二移动终端发送证书请求消息，所述证书请求消息中携带所述第一移动终端的证书和请求信息，所述请求信息为请求获取所述第二移动终端的证书的信息。

在具体应用中，所述业务通信可以包括：通话、短消息或分组数据业务的通信等；

相应地，所述证书请求消息包括用通话、短消息或分组数据业务等的通道承载，但不限于这些承载方法。

102、所述第二移动终端在接收到所述证书请求消息后，对所述证书请求消息中携带的所述第一移动终端的证书进行第一身份认证，在第一身份认证后向所述第一移动终端发送与所述请求消息相应的应答消息。

在具体应用中，在本步骤102中，若第一身份认证通过，则所述应答消息中携带所述第二移动终端的证书；若第一身份认证失败，则所述应答消息中携带认证失败原因信息。

103、所述第一移动终端接收所述应答消息，并对所述应答消息中携带的内容进行第二身份认证。

在具体应用中，本步骤103可以具体包括：

所述第一移动终端接收所述应答消息，若所述应答消息中携带所 述第二移动终端的证书，则对所述第二移动终端的证书进行身份认证，若身份认证通过，则身份认证成功，所述第一移动终端与所述第二移动终端进行数据通信；若身份认证失败，则身份认证结束。

在具体应用中，本步骤103可以具体包括：

所述第一移动终端接收所述应答消息，若所述应答消息中携带认证失败原因信息，则身份认证结束。

应说明的是，本实施例的第一移动终端可根据实际情况，在后台再次发起本实施例所述方法的交互，或者可由用户主动发起本实施例所述方法的交互，但不限于这两种处理方式。

应说明的是，本实施例的移动终端间的身份认证方法基于证书请求消息和证书应答消息，可通过标识来进行区分，但不限于这种区分方法。

本实施例的移动终端间的身份认证方法，在用户使用移动终端相关功能(如通话、短消息和分组数据业务等)的过程中，通过移动终端后台自动实现证书的交互认证，无需用户主动发起认证，达到提升用户体验的效果；第一移动终端先将本端证书发送给第二移动终端，由第二移动终端先对其身份进行认证，确保第二移动终端的合法性，避免第二移动终端的证书被随意获取；另外，采用移动终端的端到端证书认证的方式，无需第三方(如网络侧认证设备等)参与，在提高认证安全性和可靠性的同时更降低了设备部署的成本和认证所需的时间。

图3示出了本发明一实施例提供的一种移动终端间的身份认证系统的结构示意图，如图3所示，本实施例的移动终端间的身份认证系统，包括：第一移动终端1和第二移动终端2；

所述第一移动终端1，包括：发送模块11和第二认证模块12；

所述发送模块11，用于在移动终端之间进行业务通信时，向第二移动终端发送证书请求消息，所述证书请求消息中携带所述第一移动 终端的证书和请求信息，所述请求信息为请求获取所述第二移动终端的证书的信息；

所述第二认证模块12，用于接收所述第二移动终端发送的应答消息，并对所述应答消息中携带的内容进行第二身份认证。

所述第二移动终端2，包括：接收模块21和第一认证模块22；

所述接收模块21，用于接收所述证书请求消息；

所述第一认证模块22，用于在接收到所述证书请求消息后，对所述证书请求消息中携带的所述第一移动终端的证书进行第一身份认证，在第一身份认证后向所述第一移动终端发送与所述请求消息相应的应答消息。

在具体应用中，本实施例所述业务通信可以包括：通话、短消息或分组数据业务等的通信；

相应地，所述证书请求消息可包括用通话、短消息或分组数据业务等的通道承载，但不限于这些承载方法。

在具体应用中，在本实施例中，若所述第一认证模块22的第一身份认证通过，则所述应答消息中携带所述第二移动终端2的证书；

若所述第一认证模块22的第一身份认证失败，则所述应答消息中携带认证失败原因信息。

在具体应用中，本实施例所述第二认证模块12，可具体用于

接收所述第二移动终端2发送的应答消息，若所述应答消息中携带所述第二移动终端2的证书，则对所述第二移动终端2的证书进行身份认证，若身份认证通过，则身份认证成功，与所述第二移动终端2进行数据通信；若身份认证失败，则身份认证结束。

在具体应用中，本实施例所述第二认证模块12，可具体用于

接收所述第二移动终端2发送的应答消息，若所述应答消息中携带认证失败原因信息，则身份认证结束。

应说明的是，本实施例的第一移动终端1可根据实际情况，在后 台再次发起本实施例所述方法的交互，或者可由用户主动发起本实施例所述方法的交互，但不限于这两种处理方式。

应说明的是，本实施例的移动终端间的身份认证方法基于证书请求消息和证书应答消息，可通过标识来进行区分，但不限于这种区分方法。

本实施例的移动终端间的身份认证系统，在用户使用移动终端相关功能(如通话、短消息和分组数据业务等)的过程中，通过移动终端后台自动实现证书的交互认证，无需用户主动发起认证，达到提升用户体验的效果；第一移动终端先将本端证书发送给第二移动终端，由第二移动终端先对其身份进行认证，确保第二移动终端的合法性，避免第二移动终端的证书被随意获取；另外，采用移动终端的端到端证书认证的方式，无需第三方(如网络侧认证设备等)参与，在提高认证安全性和可靠性的同时更降低了设备部署的成本和认证所需的时间。

本实施例的移动终端间的身份认证系统，可以用于执行前述图1及图2所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

在本实施方式中“第一”、“第二”等并不是对先后顺序做出规定，只是对名称做出区别，在本实施方式中，不做出任何的限定。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载 的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明权利要求所限定的范围。