安全通信密鑰協(xié)商交互方案的制作方法
【專利摘要】本發(fā)明提供的一種移動(dòng)終端上的應(yīng)用與網(wǎng)絡(luò)服務(wù)器進(jìn)行安全通信的方法,利用密碼技術(shù)��,將用戶與服務(wù)器的共享秘密與移動(dòng)智能終端設(shè)備的標(biāo)識(shí)碼���、用戶手機(jī)號(hào)碼進(jìn)行疊加綁定�,然后應(yīng)用到身份認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)客戶端的認(rèn)證�����,利用數(shù)字證書和數(shù)字簽名機(jī)制實(shí)現(xiàn)對(duì)服務(wù)器的認(rèn)證,利用Differ-Hellman密鑰協(xié)商協(xié)議�,與網(wǎng)絡(luò)服務(wù)器建立會(huì)話密鑰,進(jìn)而進(jìn)行安全的數(shù)據(jù)通信��。其特征在于將共享秘密與機(jī)器標(biāo)識(shí)碼����,用戶手機(jī)號(hào)碼進(jìn)行疊加綁定�,共享秘密定期更新,即使信息被攻擊者竊取��,也不會(huì)對(duì)系統(tǒng)造成影響�。用戶不僅需要提供登錄密碼,同時(shí)還需要在指定設(shè)備上才能使用系統(tǒng)��。該方法可以保障用戶通過(guò)移動(dòng)設(shè)備在互聯(lián)網(wǎng)上與服務(wù)器進(jìn)行安全通信�。
【專利說(shuō)明】安全通信密鑰協(xié)商交互方案
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息化移動(dòng)辦公【技術(shù)領(lǐng)域】,特別涉及移動(dòng)終端安全通信的技術(shù)��。提供了一種移動(dòng)終端上的應(yīng)用與網(wǎng)絡(luò)服務(wù)器安全通信的方法��。
【背景技術(shù)】
[0002]智能移動(dòng)終端是一種多功能設(shè)備�,不僅具有通訊功能���,而且在安裝應(yīng)用程序后能夠進(jìn)行電子商務(wù),移動(dòng)辦公等業(yè)務(wù)�����,終端與計(jì)算機(jī)聯(lián)成網(wǎng)絡(luò)后����,可根據(jù)接收到的指令完成信息處理和交互,為用戶提供方便快捷的信息交互媒介���。智能移動(dòng)終端設(shè)備作為一種移動(dòng)設(shè)備具有“小巧輕便”及“通訊便捷”的特點(diǎn)�����,用戶更多是通過(guò)觸控操作設(shè)備����,小巧輕便的特點(diǎn)使得移動(dòng)設(shè)備一般不去執(zhí)行大量的復(fù)雜運(yùn)算��,設(shè)備外設(shè)接口簡(jiǎn)單���,通過(guò)無(wú)線方式和其他設(shè)備進(jìn)行交互�����。隨著智能移動(dòng)終端越來(lái)越多的參與各項(xiàng)網(wǎng)絡(luò)應(yīng)用����,針對(duì)移動(dòng)應(yīng)用的安全攻擊越來(lái)越多,許多惡意應(yīng)用竊取用戶存儲(chǔ)在終端上的私有數(shù)據(jù)�����,攻擊終端與服務(wù)器的通信��。
[0003]現(xiàn)有的終端應(yīng)用程序與服務(wù)器安全通信大多采用SSL技術(shù)�。SSL利用了基于證書的身份認(rèn)證���、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制��,可以為應(yīng)用層之間的通信建立安全連接�。但由于SSL是基于Web瀏覽器的���,可以很好的支持B/S應(yīng)用�,但對(duì)于C/S的應(yīng)用支持不完善,由于很多企業(yè)C/S應(yīng)用比較多�����,SSL的使用受到了很大程度的限制�����。另外移動(dòng)終端不具備安全保存私鑰的條件����,如果數(shù)字證書和密鑰泄露,就存在被攻擊��、篡改與偽造的可能性�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供的一種移動(dòng)終端上的應(yīng)用與網(wǎng)絡(luò)服務(wù)器進(jìn)行安全通信的方法��,利用密碼技術(shù)��,將用戶與服務(wù)器的共享秘密與移動(dòng)智能終端設(shè)備的標(biāo)識(shí)碼�、用戶手機(jī)號(hào)碼進(jìn)行疊加綁定,然后應(yīng)用到身份認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)客戶端的認(rèn)證���,利用數(shù)字證書和數(shù)字簽名機(jī)制實(shí)現(xiàn)對(duì)服務(wù)器的認(rèn)證����,利用Differ-Hellman密鑰協(xié)商協(xié)議,建立安全的通信密鑰���,進(jìn)而進(jìn)行安全的數(shù)據(jù)通信����。其特征在于將共享秘密與機(jī)器標(biāo)識(shí)碼�,用戶手機(jī)號(hào)碼進(jìn)行疊加綁定,共享秘密定期更新����,即使信息被攻擊者竊取����,也不會(huì)對(duì)系統(tǒng)造成影響。用戶不僅需要提供登錄密碼���,同時(shí)還需要在指定設(shè)備上才能使用系統(tǒng)��。該方法可以保障用戶通過(guò)移動(dòng)設(shè)備在互聯(lián)網(wǎng)上安全通信��。
[0005]本發(fā)明是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)的:實(shí)現(xiàn)本發(fā)明目標(biāo)的技術(shù)解決方案為一種智能移動(dòng)終端上的應(yīng)用與網(wǎng)絡(luò)服務(wù)器之間的安全通信技術(shù)���,其特征在于:該系統(tǒng)的組成包括移動(dòng)終端����,網(wǎng)絡(luò)服務(wù)器和終端應(yīng)用軟件�����。網(wǎng)絡(luò)服務(wù)器擁有權(quán)威機(jī)構(gòu)頒發(fā)的證書和私鑰���,私鑰保存在服務(wù)器端安全設(shè)備里面�����,數(shù)字證書隨應(yīng)用程序一起分發(fā)�����,并且用戶可以從網(wǎng)絡(luò)上下載證書和查詢證書狀態(tài)�����。用戶使用應(yīng)用系統(tǒng)前需要注冊(cè)����,用戶移動(dòng)終端軟件提供人機(jī)接口,接收用戶輸入的信息��,提取設(shè)備的特征碼和硬件信息�����,然后進(jìn)行運(yùn)算����,提交到網(wǎng)絡(luò)服務(wù)器,網(wǎng)絡(luò)服務(wù)器對(duì)終端提交的認(rèn)證信息進(jìn)行驗(yàn)證����,完成身份認(rèn)證和密鑰交換,然后利用共享的密鑰進(jìn)行數(shù)據(jù)加密和認(rèn)證����。
[0006]利用上述的安全通信方法��,在于:
[0007](I)用戶注冊(cè)時(shí)提供手機(jī)號(hào)碼���,服務(wù)器通過(guò)短信驗(yàn)證碼的方式對(duì)手機(jī)號(hào)碼進(jìn)行確認(rèn)�,注冊(cè)時(shí)服務(wù)器獲得用戶的手機(jī)號(hào)碼,移動(dòng)終端的標(biāo)識(shí)碼����,WLANMAC, BLUETOOTHMACo用戶和服務(wù)器共享短信驗(yàn)證碼和登錄密碼兩個(gè)秘密;
[0008](2)用戶移動(dòng)終端軟件對(duì)手機(jī)號(hào)碼����,短信驗(yàn)證碼進(jìn)行計(jì)算生成一個(gè)認(rèn)證用的終端通行證碼保存在用戶終端,短信驗(yàn)證碼����,登錄密碼,用戶手機(jī)號(hào)碼等敏感信息無(wú)需保存在終端����。網(wǎng)絡(luò)服務(wù)器做同樣的運(yùn)算生成終端通行證碼并保存;
[0009](3)用戶在使用移動(dòng)終端時(shí)���,登錄密碼���,終端獲取認(rèn)證用的終端通行證碼和終端MEI號(hào),硬件信息和登錄密碼等進(jìn)行運(yùn)算���,然后把運(yùn)算結(jié)果發(fā)送到服務(wù)器端進(jìn)行認(rèn)證����,登錄密碼無(wú)需保存和發(fā)送,可以保證登錄密碼的安全性�。如果本地認(rèn)證用的終端通行證碼丟失,則需要通過(guò)短信驗(yàn)證碼認(rèn)證的方式重新生成該代碼��。
[0010](4)用戶端軟件通過(guò)應(yīng)用程序的數(shù)字證書和服務(wù)器端數(shù)字簽字對(duì)服務(wù)器進(jìn)行身份認(rèn)證����,可以確保服務(wù)器身份的真實(shí)性。
[0011](5)用戶端和服務(wù)器端雙向認(rèn)證時(shí)基于Differ-Hellman密鑰協(xié)商協(xié)議協(xié)商會(huì)話密鑰�,然后進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)認(rèn)證操作,保障通信安全�。
[0012]優(yōu)點(diǎn)及效果:
[0013]本發(fā)明提供一種智能移動(dòng)終端的身份認(rèn)證和密鑰協(xié)商的方法,利用密碼技術(shù)����,數(shù)字證書,短信相結(jié)合實(shí)現(xiàn)了一種安全的認(rèn)證方式����,基于移動(dòng)終端的私有屬性和安全的認(rèn)證和Differ-Hellman密鑰協(xié)商協(xié)議提供了一種安全的通信技術(shù)。
[0014]本技術(shù)的特點(diǎn):
[0015](I)基于移動(dòng)終端的私有屬性�,利用密碼技術(shù)把用戶的手機(jī)號(hào)碼��,移動(dòng)終端IMEI號(hào),短信驗(yàn)證碼�����,登錄密碼進(jìn)行綁定����,實(shí)現(xiàn)對(duì)移動(dòng)終端應(yīng)用的身份認(rèn)證,用戶不僅要提供正確的登錄口令�,同時(shí)所用設(shè)備也必須是在系統(tǒng)注冊(cè)過(guò)的,這種綁定可以確保即使用戶登錄密碼或設(shè)備丟失��,只要不是二者同時(shí)被竊��,都可以保證用戶端的安全����;
[0016](2)網(wǎng)絡(luò)服務(wù)器擁有權(quán)威機(jī)構(gòu)頒發(fā)的數(shù)字證書和私鑰,移動(dòng)終端通過(guò)數(shù)字證書和數(shù)字簽名實(shí)現(xiàn)對(duì)服務(wù)器的認(rèn)證����。
[0017](3)基于DifTer-Hellman密鑰協(xié)商協(xié)議協(xié)商會(huì)話密鑰,會(huì)話密鑰定期更換�����,利用密鑰實(shí)現(xiàn)加密和認(rèn)證,確保了網(wǎng)絡(luò)通信的安全性�����。
【專利附圖】
【附圖說(shuō)明】
[0018]圖1用戶和終端注冊(cè)流程圖�����。
[0019]圖2身份認(rèn)證及密鑰協(xié)商流程圖����。
[0020]圖3數(shù)據(jù)加密流程圖。
[0021]圖4數(shù)據(jù)解密流程圖����。
[0022]圖5數(shù)據(jù)認(rèn)證流程圖。
[0023]圖6數(shù)據(jù)驗(yàn)證流程圖����。
【具體實(shí)施方式】
[0024]下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步詳細(xì)描述:
[0025]1、根據(jù)圖1所描述�����,用戶和終端注冊(cè)流程如下:
[0026]1.1用戶首先在智能移動(dòng)終端安裝應(yīng)用軟件,應(yīng)用軟件啟動(dòng)后����,首先檢查是否有網(wǎng)絡(luò)服務(wù)器的證書�����,如果沒(méi)有證書則自動(dòng)從預(yù)置網(wǎng)站下載證書��。用戶首先進(jìn)行注冊(cè)����,注冊(cè)時(shí)輸入:用戶名,登錄密碼�����,用戶手機(jī)號(hào)碼�,然后請(qǐng)求手機(jī)驗(yàn)證碼;
[0027]1.2服務(wù)器接收到用戶的手機(jī)驗(yàn)證碼請(qǐng)求后����,根據(jù)用戶輸入的用戶名,手機(jī)號(hào)碼與已登記信息比對(duì)����,如果用戶名已存在���,說(shuō)明用戶已經(jīng)注冊(cè)過(guò),這時(shí)手機(jī)號(hào)必須為該用戶已注冊(cè)過(guò)的手機(jī)號(hào)碼���,如果用戶名不存在����,說(shuō)明是新注冊(cè)用戶��,手機(jī)號(hào)必須為新的號(hào)碼����。確認(rèn)成功后發(fā)送短信驗(yàn)證碼到手機(jī)號(hào);
[0028]1.3用戶輸入接收到的短信驗(yàn)證碼��,系統(tǒng)發(fā)送注冊(cè)請(qǐng)求到服務(wù)器��,內(nèi)容包括:用戶名���,手機(jī)號(hào)碼����,移動(dòng)終端頂EI號(hào),WLANMAC, BLUETOOTHMAC,登錄密碼����,HASH (用戶名,手機(jī)號(hào)����,移動(dòng)終端MEI號(hào)�,WLANMAC, BLUETOOTHMAC,登錄密碼,短信驗(yàn)證碼����,時(shí)間戳),以上內(nèi)容使用服務(wù)器證書生成數(shù)字信封進(jìn)行保護(hù):
[0029]隨機(jī)生成密鑰K�,利用K使用對(duì)稱加密算法(比如AES)對(duì)注冊(cè)請(qǐng)求進(jìn)行加密,表示如下:
[0030]EncK(用戶名��,手機(jī)號(hào)�,終端 MEI 號(hào),WLANMAC, BLUETOOTHMAC,登錄密碼���,HASH(用戶名�����,手機(jī)號(hào)���,終端MEI號(hào)�����,WLANMAC, BLUETOOTHMAC,登錄密碼��,短信驗(yàn)證碼))���。
[0031]然后利用服務(wù)器證書里面的公鑰PubK對(duì)密鑰K進(jìn)行加密,表示如下:
[0032]EncpubK (K)�����。
[0033]以上密碼結(jié)果使用符合PKCS語(yǔ)法的數(shù)字信封格式進(jìn)行封裝��。
[0034]1.4服務(wù)器接收注冊(cè)請(qǐng)求�����,首先利用私鑰解密數(shù)字信封��,然后服務(wù)器端生成HASH(用戶名�,手機(jī)號(hào)��,終端MEI號(hào)�,WLANMAC, BLUETOOTHMAC,登錄密碼��,短信驗(yàn)證碼)��,與接收到的HASH進(jìn)行比較���,如果一樣則企業(yè)用戶注冊(cè)成功���;
[0035]1.5服務(wù)器生成Differ-Hellman協(xié)議所需的大素?cái)?shù)n (1024bit)��,g(160bit)����,其中g(shù)為模η的本原元,生成注冊(cè)成功消息返回用戶端����,消息使用密鑰K進(jìn)行加密:
[0036]ENCk(用戶名,成功信息���,n���,g�,Hash (成功信息�,n,g+短信驗(yàn)證碼))服務(wù)器保存用戶名�����,手機(jī)號(hào)�����,終端MEI號(hào)�,WLANMAC, BLUETOOTHMAC,登錄密碼,短信驗(yàn)證碼����,密鑰K,n�����,g等信息��。
[0037]1.6終端接收服務(wù)器的消息����,使用密鑰K解密消息���,驗(yàn)證Hash值,判斷注冊(cè)是否成功����。若成功,終端HAl = HASH(手機(jī)號(hào)�����,短信驗(yàn)證碼)作為終端通行證碼保存到移動(dòng)終端��,終端保存服務(wù)器發(fā)送過(guò)來(lái)的n��,g用于Differ-Hellman協(xié)議�,保存Hash (登錄密碼)用于本地登錄驗(yàn)證�,無(wú)需保存手機(jī)號(hào),登錄口令等敏感信息�����。
[0038]1.7只有注冊(cè)過(guò)的終端才能連接到服務(wù)器進(jìn)行數(shù)據(jù)通信���,同一個(gè)用戶可以注冊(cè)多個(gè)終端�,使用Hash(MEI)作為終端編號(hào)代表終端,需要保證用戶名和密碼一致��。
[0039]2����、機(jī)器碼與共享秘密的疊加綁定:終端系統(tǒng)進(jìn)行Hash (終端通行證碼+終端MEI號(hào)+登錄密碼)運(yùn)算,生成一個(gè)登錄認(rèn)證碼��,用于身份認(rèn)證�����,這個(gè)認(rèn)證碼綁定了用戶��,用戶手機(jī)號(hào)碼����,用戶手機(jī)設(shè)備。
[0040]3�、圖2描述了終端與服務(wù)器之間進(jìn)行身份認(rèn)證和密鑰協(xié)商的流程,主要步驟如下
[0041]3.1注冊(cè)的用戶打開系統(tǒng)軟件時(shí)����,需要輸入登錄密碼�����,然后系統(tǒng)采集終端MEI號(hào)�����,WLANMAC, BLUETOOTHMAC等硬件信息��,基于當(dāng)前時(shí)間t生成一個(gè)Se s s i on ID�����,生成隨機(jī)數(shù)x(192bit)��,計(jì)算X = gx mod n�����,發(fā)送以下信息到服務(wù)器:
[0042]Sess1nID���,User ID, X�,Hash (IMEI),HASH (Sess1nID�,User ID, X�,IMEI�,WLANMAC, BLUETOOTHMA, HAl,登錄密碼)-----> 服務(wù)器
[0043]3.2服務(wù)器接收用戶的認(rèn)證和密鑰協(xié)商請(qǐng)求信息,服務(wù)器根據(jù):USerID�����,Hash(IMEI)�,獲取用戶和終端的注冊(cè)信息,計(jì)算HASH (Sess1nID, UserID, X���,IMEI,WLANMAC, BLUETOOTHMA, HAl,登錄密碼)���,與終端發(fā)送的登錄認(rèn)證碼比對(duì),如果一致則表明用戶身份正確且終端已注冊(cè)�。服務(wù)器生成隨機(jī)數(shù)y (192bit),
[0044]計(jì)算Y = gy mod n�,K = Xy mod η,
[0045]K就是客戶端和服務(wù)器共享的密鑰。服務(wù)器利用K加密Sess1nID����,UserID得到Enck(Sess1nID,UserID),然后發(fā)送注冊(cè)成功消息給終端����,注冊(cè)成功消息使用服務(wù)器的私鑰進(jìn)行數(shù)字簽名�����,結(jié)果如下:
[0046]Sigpri (Enck (Sess1nID, UserID), Y)----> 終端
[0047]3.3終端接收服務(wù)器返回的注冊(cè)成功消息�,首先使用服務(wù)器的證書驗(yàn)證服務(wù)器的數(shù)字簽名��,驗(yàn)證成功之后�,計(jì)算K' =Yx mod η,使用K'解密Enck (Sess1nID,UserlD)�,如果解密結(jié)果和終端發(fā)送的Sess1nID,UserID —致說(shuō)明密鑰協(xié)商成功���,即K' = K,為雙方共享密鑰���。否則密鑰協(xié)商失敗。
[0048]4�、圖3描述使用共享密鑰進(jìn)行數(shù)據(jù)加密的流程,主要步驟如下:
[0049]4.1加密進(jìn)程首先獲取共享密鑰K���。
[0050]4.2生成數(shù)據(jù)加密專用密鑰:Kenc = Hash (K+WLANMAC),即使用共享密鑰K和終端的WLANMAC —起Hash運(yùn)算�,運(yùn)算結(jié)果即為數(shù)據(jù)加密專用密鑰��。
[0051 ] 4.3使用該數(shù)據(jù)加密密鑰對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算����,加密后的結(jié)果即為密文,可以在互聯(lián)網(wǎng)上傳輸����。
[0052]5、圖4描述了使用共享密鑰進(jìn)行數(shù)據(jù)解密的流程�����,主要步驟和數(shù)據(jù)加密流程類似�。
[0053]6、圖5描述了使用共享密鑰進(jìn)行數(shù)據(jù)認(rèn)證的流程�,主要步驟如下:
[0054]6.1認(rèn)證進(jìn)程首先獲取共享密鑰K。
[0055]6.2生成數(shù)據(jù)認(rèn)證專用密鑰:Kauth = Hash (IMEI+K),即使用共享密鑰K和終端的IMEI號(hào)一起Hash運(yùn)算�,運(yùn)算結(jié)果即為數(shù)據(jù)認(rèn)證專用密鑰。
[0056]6.3使用該數(shù)據(jù)認(rèn)證專用密鑰和要認(rèn)證的數(shù)據(jù)一起進(jìn)行Hash運(yùn)算�����,所得結(jié)果即為數(shù)據(jù)的認(rèn)證碼��,可以在互聯(lián)網(wǎng)和數(shù)據(jù)一起傳輸�����,實(shí)現(xiàn)對(duì)數(shù)據(jù)的認(rèn)證。
[0057]7����、圖5描述了使用共享密鑰進(jìn)行數(shù)據(jù)驗(yàn)證的流程,主要步驟和數(shù)據(jù)認(rèn)證流程類似�。
[0058]本發(fā)明利用密碼技術(shù),數(shù)字證書和短信相結(jié)合實(shí)現(xiàn)了一種安全的認(rèn)證和密鑰分配方式����,基于移動(dòng)終端的私有屬性和安全的認(rèn)證協(xié)議提供了一種安全便捷的認(rèn)證技術(shù)。利用Differ-Hellmen密鑰協(xié)商協(xié)議定期更新會(huì)話密鑰����,利用會(huì)話密鑰可以進(jìn)行數(shù)據(jù)加密和數(shù)字認(rèn)證,提高通信安全性��。
【權(quán)利要求】
1.一種安全通信密鑰協(xié)商交互方案����,其特征在于:該系統(tǒng)的組成包括移動(dòng)終端,網(wǎng)絡(luò)服務(wù)器和終端應(yīng)用軟件��。網(wǎng)絡(luò)服務(wù)器擁有權(quán)威機(jī)構(gòu)頒發(fā)的證書和私鑰�����,私鑰保存在服務(wù)器端安全設(shè)備里面,數(shù)字證書隨應(yīng)用程序一起分發(fā)�,并且用戶從網(wǎng)絡(luò)上下載證書和查詢證書狀態(tài)����,利用密碼技術(shù),將用戶與服務(wù)器的共享秘密與移動(dòng)智能終端設(shè)備的標(biāo)識(shí)碼�、用戶手機(jī)號(hào)碼進(jìn)行疊加綁定,然后應(yīng)用到身份認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)客戶端的認(rèn)證�,利用數(shù)字證書和數(shù)字簽名機(jī)制實(shí)現(xiàn)對(duì)服務(wù)器的認(rèn)證,利用01打61-? 11111811密鑰協(xié)商協(xié)議���,建立安全的通信密鑰�����,進(jìn)而進(jìn)行安全的數(shù)據(jù)通信����。
2.根據(jù)權(quán)利要求1所述的安全通信密鑰協(xié)商交互方案�,其特征在于將共享秘密與機(jī)器標(biāo)識(shí)碼,用戶手機(jī)號(hào)碼進(jìn)行疊加綁定���,共享秘密定期更新�,即使信息被攻擊者竊取,也不會(huì)對(duì)系統(tǒng)造成影響��。用戶不僅需要提供登錄密碼��,同時(shí)還需要在指定設(shè)備上才能使用系統(tǒng)����。該方法保障用戶通過(guò)移動(dòng)設(shè)備在互聯(lián)網(wǎng)上安全通信。
3.根據(jù)權(quán)利要求1所述的安全通信密鑰協(xié)商交互方案���,其特征在于: (1)用戶注冊(cè)時(shí)提供手機(jī)號(hào)碼�����,服務(wù)器通過(guò)短信驗(yàn)證碼的方式對(duì)手機(jī)號(hào)碼進(jìn)行確認(rèn)��,注冊(cè)時(shí)服務(wù)器獲得用戶的手機(jī)號(hào)碼�����,移動(dòng)終端的標(biāo)識(shí)碼�����,81^1001^0,用戶和服務(wù)器共享短信驗(yàn)證碼和登錄密碼兩個(gè)秘密��; (2)用戶移動(dòng)終端軟件對(duì)手機(jī)號(hào)碼���,短信驗(yàn)證碼進(jìn)行撤3?計(jì)算生成一個(gè)認(rèn)證用的終端通行證碼保存在用戶終端���,短信驗(yàn)證碼,登錄密碼�����,用戶手機(jī)號(hào)碼等敏感信息無(wú)需保存在終端��。 (3)用戶在使用移動(dòng)終端時(shí)��,提供登錄密碼�����,終端獲取終端通行證碼和終端頂£1號(hào)����,硬件信息和登錄密碼等進(jìn)行運(yùn)算�����,然后把運(yùn)算結(jié)果發(fā)送到服務(wù)器端進(jìn)行認(rèn)證,登錄密碼無(wú)需保存和發(fā)送��,可以保證登錄密碼的安全性���,如果本地認(rèn)證用的終端通行證碼丟失���,則需要通過(guò)短信驗(yàn)證碼認(rèn)證的方式重新生成該代碼。 (4)用戶端軟件通過(guò)服務(wù)器的數(shù)字證書和數(shù)字簽字對(duì)服務(wù)器進(jìn)行身份認(rèn)證��,確保服務(wù)器身份的真實(shí)性����。 (5)用戶端和服務(wù)器端雙向認(rèn)證時(shí)基于01打61-06111112111密鑰協(xié)商協(xié)議協(xié)商會(huì)話密鑰,然后進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)認(rèn)證操作����,保障通信安全。
4.根據(jù)權(quán)利要求1所述的安全通信密鑰協(xié)商交互方案����,其特征在于包括如下步驟: 用戶和終端注冊(cè)步驟如下: 步驟1:用戶首先在智能移動(dòng)終端安裝應(yīng)用軟件,應(yīng)用軟件啟動(dòng)后,首先檢查是否有網(wǎng)絡(luò)服務(wù)器的證書���,如果沒(méi)有證書則自動(dòng)從預(yù)置網(wǎng)站下載證書�����,用戶首先進(jìn)行注冊(cè)���,注冊(cè)時(shí)輸入:用戶名,登錄密碼��,用戶手機(jī)號(hào)碼���,然后請(qǐng)求手機(jī)驗(yàn)證碼; 步驟2:服務(wù)器接收到用戶的手機(jī)驗(yàn)證碼請(qǐng)求后�����,根據(jù)用戶輸入的用戶名����,手機(jī)號(hào)碼與已登記信息比對(duì),如果用戶名已存在��,說(shuō)明用戶已經(jīng)注冊(cè)過(guò),這時(shí)手機(jī)號(hào)必須為該用戶已注冊(cè)過(guò)的手機(jī)號(hào)碼��,如果用戶名不存在��,說(shuō)明是新注冊(cè)用戶�����,手機(jī)號(hào)必須為新的號(hào)碼���。確認(rèn)成功后發(fā)送短信驗(yàn)證碼到手機(jī)號(hào)��; 步驟3:用戶輸入接收到的短信驗(yàn)證碼����,系統(tǒng)發(fā)送注冊(cè)請(qǐng)求到服務(wù)器����,內(nèi)容包括:用戶名,手機(jī)號(hào)碼���,移動(dòng)終端頂£1號(hào)��,孔八圓^�����,81^1001^0,登錄密碼��,撤3? (用戶名�,手機(jī)號(hào),移動(dòng)終端頂£1號(hào)�����,圓81^1001^0,登錄密碼��,短信驗(yàn)證碼�,時(shí)間戳),以上內(nèi)容使用服務(wù)器證書生成數(shù)字信封進(jìn)行保護(hù): 隨機(jī)生成密鑰X���,利用1(使用對(duì)稱加密算法(比如仙3)對(duì)注冊(cè)請(qǐng)求進(jìn)行加密�����,表示如下用戶名,手機(jī)號(hào)��,終端頂£1號(hào)��,登錄密碼,擬3?(用戶名�����,手機(jī)號(hào)��,終端頂£1號(hào)�����,圓81^1001^0,登錄密碼��,短信驗(yàn)證碼))���。然后利用服務(wù)器證書里面的公鑰[11)31(對(duì)密鑰X進(jìn)行加密��,表示如下:
2110��?11151�? (1()���; 以上密碼結(jié)果使用符合語(yǔ)法的數(shù)字信封格式進(jìn)行封裝��; 步驟4:服務(wù)器接收注冊(cè)請(qǐng)求���,首先利用私鑰解密數(shù)字信封�,然后服務(wù)器端生成^811(用戶名���,手機(jī)號(hào)����,終端頂£1號(hào)�����,81^1001^0,登錄密碼��,短信驗(yàn)證碼)�,與接收到的撤別進(jìn)行比較,如果一樣則企業(yè)用戶注冊(cè)成功����; 步驟5:服務(wù)器生成01打61~-!1611腦11協(xié)議所需的大素?cái)?shù)11 (1024611:)���,8(1601^11:),其中.8為模II的本原元���,生成注冊(cè)成功消息返回用戶端��,消息使用密鑰X進(jìn)行加密: 跳“用戶名�,成功信息,II�����,8����,成功信息,II��,8+短信驗(yàn)證碼)) 服務(wù)器保存用戶名����,手機(jī)號(hào),終端頂£1號(hào)��,81^1001^0,登錄密碼�����,短信驗(yàn)證碼����,密鑰X���,II,8等信息����; 步驟6:終端接收服務(wù)器的消息,使用密鑰1(解密消息�,驗(yàn)證他也值,判斷注冊(cè)是否成功����。若成功,終端撤1 =撤311(手機(jī)號(hào)����,短信驗(yàn)證碼)作為終端通行證碼保存到移動(dòng)終端,終端保存服務(wù)器發(fā)送過(guò)來(lái)的II��,8用于協(xié)議�,保存他也(登錄密碼)用于本地登錄驗(yàn)證,無(wú)需保存手機(jī)號(hào)�����,登錄口令等敏感信息。 只有注冊(cè)過(guò)的終端才能連接到服務(wù)器進(jìn)行數(shù)據(jù)通信�,同一個(gè)用戶可以注冊(cè)多個(gè)終端����,使用頂£1)作為終端編號(hào)代表終端,需要保證用戶名和密碼一致����。 終端與服務(wù)器之間進(jìn)行身份認(rèn)證和密鑰協(xié)商的步驟如下: 步驟1:注冊(cè)的用戶打開系統(tǒng)軟件時(shí),需要輸入登錄密碼���,然后系統(tǒng)采集終端1腿1號(hào)�,.81^100X^0等硬件信息����,基于當(dāng)前時(shí)間七生成一個(gè)3688101110,生成隨機(jī)數(shù)X (192611:)��,計(jì)算X = ^0(1 11��,發(fā)送以下信息到服務(wù)器: .8688101111), ^861-10,(1121) ,(8688101111), ^ 8 6 I 0��,X����,112 I�����,
.8⑶£1001'腿八�,擬1����,登錄密碼)。 步驟2:服務(wù)器接收用戶的認(rèn)證和密鑰協(xié)商請(qǐng)求信息�,服務(wù)器根據(jù)山861~10, 頂£1)���,獲取用戶和終端的注冊(cè)信息����,計(jì)算擬311(3688101110486110, X���, .81^21001腿八����,撤1,登錄密碼)�����,與終端發(fā)送的登錄認(rèn)證碼比對(duì)����,如果一致則表明用戶身份正確且終端已注冊(cè)��。服務(wù)器生成隨機(jī)數(shù)7 (19261七)��,
.1 十畠 I = #1110(1 II��,1( = ^^1110(1 II�����, X就是客戶端和服務(wù)器共享的密鑰�。服務(wù)器利用1(加密3688101110,“61*10得到^0,(868810^11), ^861-10),然后發(fā)送注冊(cè)成功消息給終端��,注冊(cè)成功消息使用服務(wù)器的私鑰進(jìn)行數(shù)字簽名���,發(fā)送以下信息到終端:
(1-- (8688101111), 1)861-10)����,1) 步驟3:終端接收服務(wù)器返回的注冊(cè)成功消息,首先使用服務(wù)器的證書驗(yàn)證服務(wù)器的數(shù)字簽名����,驗(yàn)證成功之后,計(jì)算尺' =^1110(1 II����,使用仄' 解密£11(^(3688101110,1186:^10),如果解密結(jié)果和終端發(fā)送的3688101110���,“61*10 —致說(shuō)明密鑰協(xié)商成功����,即= X��,為雙方共享密鑰����。否則密鑰協(xié)商失敗。 共享密鑰進(jìn)行數(shù)據(jù)加密的流程�,主要步驟如下: 步驟1:加密進(jìn)程首先獲取共享密鑰X ;步驟2:生成數(shù)據(jù)加密專用密鑰:1(6110 =即使用共享密鑰X和終端的一起他吐運(yùn)算�����,運(yùn)算結(jié)果即為數(shù)據(jù)加密專用密鑰; 步驟3:使用該數(shù)據(jù)加密密鑰對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算��,加密后的結(jié)果即為密文��,可以在互聯(lián)網(wǎng)上傳輸�。 數(shù)據(jù)認(rèn)證的流程,主要步驟如下: 步驟1:認(rèn)證進(jìn)程首先獲取共享密鑰X ����; 步驟2:生成數(shù)據(jù)認(rèn)證專用密鑰#£111訪=即使用共享密鑰1(和終端的.1121號(hào)一起他吐運(yùn)算���,運(yùn)算結(jié)果即為數(shù)據(jù)認(rèn)證專用密鑰�; 步驟3:使用該數(shù)據(jù)認(rèn)證專用密鑰和要認(rèn)證的數(shù)據(jù)一起進(jìn)行他也運(yùn)算�����,所得結(jié)果即為數(shù)據(jù)的認(rèn)證碼��,可以在互聯(lián)網(wǎng)和數(shù)據(jù)一起傳輸���,實(shí)現(xiàn)對(duì)數(shù)據(jù)的認(rèn)證�。
【文檔編號(hào)】H04L9/08GK104506534SQ201410821841
【公開日】2015年4月8日 申請(qǐng)日期:2014年12月25日 優(yōu)先權(quán)日:2014年12月25日
【發(fā)明者】張衛(wèi)海, 趙軍, 李傳松, 孫文浩, 趙長(zhǎng)江, 劉培順, 戴洪尚, 任傳祥 申請(qǐng)人:青島微智慧信息有限公司