[发明专利]网络应用用户身份验证系统、方法和移动通信终端

权利要求书

1.一种网络应用用户身份验证系统，其特征在于，包括：

密钥及用户管理子系统，用于生成并保存用户使用网络应用的身份数字证书；在接收到包含身份数字证书的验证请求时，根据该验证请求生成随机信息并输出，以及利用设定算法生成在设定时长内有效的用户验证口令信息并输出，所述用户验证口令信息的计算参数包括：验证请求中包含的身份数字证书和根据该验证请求生成的随机信息；

移动通信终端，用于从密钥及用户管理子系统获得用户的身份数字证书，并在用户进行网络应用的身份验证时，将该身份数字证书输出给网络应用及验证子系统；接收用户输入的所述密钥及用户管理子系统生成的随机信息，利用所述设定算法生成用户鉴权口令，所述用户鉴权口令的计算参数包括：用户输入的随机信息和保存的身份数字证书；

网络应用及验证子系统，用于在用户请求进行网络应用的身份验证时，从移动通信终端获得身份数字证书，生成所述验证请求并发送给密钥及用户管理子系统；接收所述密钥及用户管理子系统输出的随机信息，接收用户输入的用户鉴权口令，接收所述密钥及用户管理子系统输出的用户验证口令信息，以及根据所述用户鉴权口令和用户验证口令信息获得验证结果。

2.如权利要求1所述的系统，其特征在于，所述网络应用及验证子系统具体包括：

网络服务器，用于提供网络应用及验证子系统的交互界面并在用户通过该交互界面请求进行网络应用的身份验证时，与所述移动通信终端建立通信连接并通过所述通信连接从移动通信终端获得身份数字证书，生成所述验证请求并转发；接收所述随机信息并通过网络应用及验证子系统的交互界面显示给用户，接收用户通过网络应用及验证子系统的交互界面输入的用户鉴权口令并转发，以及接收验证结果；

动态口令验证服务器，用于接收所述网络服务器输出的验证请求并转发给密钥及用户管理子系统，接收所述密钥及用户管理子系统输出的随机信息并转发给网络服务器；接收所述网络服务器转发的用户鉴权口令和密钥及用户管理子系统输出的用户验证口令信息，以及根据所述用户鉴权口令和用户验证口令信息获得验证结果，并将所述验证结果发送给网络服务器。

3.如权利要求2所述的系统，其特征在于：

所述密钥及用户管理子系统还用于接收用户通过密钥及用户管理子系统交互界面输入的用户密码并对应用户的身份数字证书进行保存；并且在利用所述设定算法生成在设定时长内有效的用户验证口令信息时，所述用户验证口令信息的计算参数还包括用户输入的用户密码；以及

所述移动通信终端还用于接收用户通过移动通信终端交互界面输入的用户密码，并且在利用所述设定算法生成用户鉴权口令时，所述用户鉴权口令的计算参数还包括用户输入的用户密码。

4.如权利要求2或3所述的系统，其特征在于：

所述密钥及用户管理子系统还用于根据设定规则维护标识用户验证次数累计值的第一序列号，并且在利用所述设定算法生成在设定时长内有效的用户验证口令信息时，所述用户验证口令信息的计算参数还包括：所述第一序列号；以及

所述移动通信终端还用于根据设定规则维护标识用户请求验证次数累计值的第二序列号，并且在利用所述设定算法生成用户鉴权口令时，所述用户鉴权口令的计算参数还包括：所述第二序列号。

5.如权利要求4所述的系统，其特征在于，所述密钥及用户管理子系统利用所述设定算法生成的在设定时长内有效的用户验证口令信息包括：利用包括所述第一序列号当前值的设定个数个第一序列号值中的每一个，分别对应生成的一组用户验证口令；以及

所述动态口令验证服务器根据所述用户鉴权口令和用户验证口令信息，当用户鉴权口令和一组用户验证口令中的任一个一致时，获得验证通过的结果，反之获得验证失败的结果。

6.如权利要求1、2或3任一所述的系统，其特征在于，所述移动通信终端与网络应用及验证子系统通过建立通信连接传输用户的身份数字证书，所述建立通信连接具体包括：

通过USB接口建立的有线连接；或者

通过蓝牙建立的无线连接；或者

通过红外线仿真串口建立的无线连接。