[发明专利]一种终端身份验证和服务鉴权的方法、系统和终端

说明书

技术领域

本发明涉及移动通信系统中的信息安全技术领域，尤其涉及一种终端身份验证和服务鉴权的方法、系统和终端。

背景技术

传统的移动通信终端安全策略主要集中在单主机领域，也就是单个用户单一主机的移动通信终端安全策略，即：用户对个人持有的终端设备进行安全管理。上述安全策略主要包括：用户终端设备使用合法性，如：用户为终端设置开机密码，使得非法用户无法开机；功能使用权限管理，例如：限制浏览终端设备中所存储的信息，以及隐私信息加密，例如：对文档进行加密，等本地安全管理。这些安全策略不涉及用户信息的无线传递、用户身份识别和服务供应商对用户提交的服务进行鉴权等方面的内容。

目前，随着通信技术的发展，各种无线应用迅速增加，但因移动通信领域的信息安全性一直不够完善，所以终端用户的重要信息在无线传输过程中经常受到威胁，暴露出很多终端设备安全策略上的缺陷。而且，伴随着智能终端的普及和第三代移动通信技术(3G)网络的全面覆盖，经由3G网络为用户提供服务的应用越来越多，这种信息安全状况会更加令人担忧。

现有基于3G网络的服务均通过终端用户个人隐私信息的无线传输来判定服务是否可以执行，也就是服务供应商通过用户个人隐私信息来对终端进行身份验证。但是，网络黑客或恶意破坏者很容易在无线环境中截获用户个人隐私信息，给用户和服务供应商双方造成巨大的损失。

发明内容

有鉴于此，本发明的主要目的在于提供一种终端身份验证和服务鉴权的方法、系统和终端，使得终端用户个人隐私信息的安全性得到保证，防止在无线传输过程中被恶意拦截。

为达到上述目的，本发明的技术方案是这样实现的：

一种终端身份验证和服务鉴权的方法，该方法包括：

终端发起服务请求后，根据SIM卡中的用户特定信息生成用户唯一码，并将所述用户特定信息的名称加密后，与所述用户唯一码一同发送到可信云控制中心；

服务供应商根据自身的特定信息生成唯一码，并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心；

可信云控制中心根据唯一码对终端和服务供应商进行鉴权，确定两者鉴权均通过时，将通信码发送给终端和服务供应商，两者依据通信码进行通信以完成本次服务。

所述用户唯一码的生成过程为：终端采用散列算法对SIM卡中的用户特定信息进行计算，生成用户唯一码；所述SIM卡中的用户特定信息为：SIM卡内储存的各种用户特定信息集合的一个子集。

所述对用户特定信息的名称进行加密，为：利用个人识别码PIN对所述用户特定信息的名称进行加密。

所述可信云控制中心根据唯一码对终端和服务供应商进行鉴权，为：

可信云控制中心对终端所发的用户特定信息的名称进行解密，根据解密所得的用户特定信息的名称，从自身的存储服务器中找到相应的用户特定信息，并使用散列算法生成相应的字符串；将所述计算所得的字符串与终端所发的用户唯一码进行比较，如果比较结果相同，则表明终端鉴权通过；否则，鉴权未通过；

同样，可信云控制中心对根据解密得到的服务供应商的特定信息的名称采用散列算法生成相应的字符串，并将所述字符串与服务供应商所发的唯一码进行比较，如果比较结果相同，则表明鉴权通过；否则，鉴权未通过。

所述通信码包括：一次性密钥和数字证书。

所述方法还包括：本次服务完成后，终端通知服务供应商和可信云控制中心删除通信码和唯一码，即：通知服务供应商删除通信码和自身的唯一码；通知可信云控制中心删除通信码，以及终端和服务供应商的唯一码。

一种终端身份验证和服务鉴权的系统，该系统包括：终端、服务供应商和可信云控制中心；其中，

所述终端，用于发起服务请求后，根据SIM卡中的用户特定信息生成用户唯一码，并将所述用户特定信息的名称加密后，与所述用户唯一码一同发送到可信云控制中心；

所述服务供应商，用于根据自身的特定信息生成唯一码，并将加密后的自身特定信息的名称与生成的唯一码一同发送到可信云控制中心；

所述可信云控制中心，用于根据唯一码对终端和服务供应商进行鉴权，确定两者鉴权均通过时，将通信码发送给终端和服务供应商，两者依据通信码进行通信以完成本次服务。

所述终端，进一步用于本次服务完成后，通知服务供应商和可信云控制中心删除通信码和唯一码，即：通知服务供应商删除通信码和自身的唯一码，通知可信云控制中心删除通信码，以及终端和服务供应商的唯一码；相应的，