iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法

2023-07-13 14:10:11 1

專利名稱：iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法
技術領域：
本發明涉及信息安全領域，特別涉及網際網路帳戶身份認證信息安全保護技術領域，具體是指一種iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法。
背景技術：
蘋果公司iOS作業系統軟體高級副總裁Scott Forstall在WffDC大會上表示，迄今為止蘋果已經售出2億臺iOS設備。隨著iOS用戶群體越來越龐大,用戶通過App Store、iTunes等渠道的下載量越來越大，Apple帳戶受到攻擊的次數也越來越多，常見的帳戶安全問題如下:
(I)惡意軟體洩漏隱私:雖然具備嚴格審核機制的App Store可以使iOS用戶獲得安全的軟體，但是App Store以外的軟體來源就顯得不那麼可靠，用戶一旦使用內置惡意代碼的軟體，極易導致本地保存的帳戶信息洩露，甚至造成經濟損失。(2)釣魚攻擊:釣魚攻擊通常用偽造網頁的形式完成，即利用與目標站點高度相似的頁面欺騙用戶，甚至通過偽造地址欄來混淆視聽，讓用戶無從分辨真偽，自動把帳戶信息洩露給攻擊者。(3)帳號遺失:由於Web站點受到攻擊洩露用戶帳戶信息的事件時有發生，用戶使用統一用戶名密碼組合登錄註冊多個站點不再可取；另一方面，有些Web站點出於安全考慮，要求用戶每隔一段時間就更換一次密碼，同時對密碼的複雜性也做出要求，以上這些都使得用戶同時擁有大量帳戶，如果沒有有效的保管方式，用戶很容易遺忘用戶名或密碼，導致帳戶無法使用。現有技術中，當前保護帳戶安全有多種解決方案，比如基於軟體的方案有，設置安全問題、備用郵箱審核等等，但並非所有Web站點在註冊時都有這些要求，同時也帶來了每次操作過於繁瑣的問題；基於硬體的方案，如採用手機銀行的密碼保護設備提升帳戶安全，但這種設備同樣不具有普適性，除特定站點以外無法使用。

發明內容
本發明的目的是克服了上述現有技術中的缺點，提供一種在開放的、不安全的網絡環境中為iOS用戶提供安全便捷的Web站點登錄、無須特別訂製安全設備、有效提高帳戶安全性、工作性能穩定可靠、適用範圍較為廣泛的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法。為了實現上述的目的，本發明的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法如下:該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，裝載有iOS作業系統的電子設備中的應用程式通過讀卡器與所述的智慧卡相連接，其主要特點是，所述的方法包括對稱密鑰生成處理操作、用戶帳戶信息添加處理操作和Web站點訪問控制處理操作，所述的對稱密鑰生成處理操作，包括以下步驟:
(11)所述的應用程式獲取所述的智慧卡的唯一標識UID信息；(12)所述的應用程式檢查是否有與該智慧卡的唯一標識UID信息相匹配的登錄信息文件；(13)如果有，則結束該處理操作；如果無，則新建所述的登錄信息文件，並繼續以下步驟(14)；(14)所述的智慧卡產生隨機數作為對稱密鑰，並以非對稱算法加密該對稱密鑰得到密文對稱密鑰，並送至所述的應用程式；(15)所述的應用程式把所述的密文對稱密鑰寫入所述的登錄信息文件中；所述的用戶帳戶信息添加處理操作，包括以下步驟:(21)系統根據用戶操作，啟動所述的應用程式，並與所述的智慧卡相連接；(22)所述的應用程式獲取該智慧卡的唯一標識WD信息；(23)所述的應用程式從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰，並送至所述的智慧卡中；(24)所述的智慧卡通過私鑰解密所述的密文對稱密鑰並得到明文對稱密鑰，並送至所述的應用程式；(25)所述的應用程式加載Web站點列表，並根據用戶的選擇操作對被操作站點添加對應的用戶帳戶信息；(26)所述的應用程式以所述的明文對稱密鑰加密所添加的用戶帳戶信息，並得到用戶帳戶密文後寫入所述的登錄信息文件中；所述的Web站點訪問控制處理操作，包括以下步驟:(31)系統根據用戶操作，啟動所述的應用程式，並與所述的智慧卡相連接；(32)所述的應用程式獲取該智慧卡的唯一標識UID信息；(33)所述的應用程式從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰，並送至所述的智慧卡中；(34)所述的智慧卡通過私鑰解密所述的密文對稱密鑰並得到明文對稱密鑰，並送至所述的應用程式；(35)所述的應用程式以所述的明文對稱密鑰解密所述的帳戶信息，並加載相應的帳戶列表；(36)所述的應用程式根據用戶的選擇操作得到對應的帳戶信息，並與Web站點伺服器交互得到登錄頁面代碼，解析後根據所述的帳戶信息自動填入相應的登錄信息；(37)所述的應用程式根據用戶操作提交相應的登錄信息至Web站點伺服器。該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的登錄信息文件包括密文對稱密鑰數據域和帳戶信息密文數據域。

該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的帳戶信息密文數據域包括數條以所述的對稱密鑰加密的登錄信息。該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的登錄信息包括Web站點ID信息、用戶名和密碼。該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的登錄信息文件的名稱為智慧卡的唯一標識WD。
該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的登錄信息文件與智慧卡的唯一標識UID信息相匹配，具體為:所述的登錄信息文件的文件名與所述的智慧卡的唯一標識UID相同。該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的用戶帳戶信息包括用戶名和密碼。採用了該發明的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，由於其採用帶有PKI功能的智慧卡作為保護設備，在開放的、不安全的網絡環境中為iOS用戶提供安全的、便捷的Web站點登錄方法，而且不需要特別訂製安全設備，從而實現了在開放的網絡環境中採用智慧卡作為硬體基礎為Apple iOS用戶提供安全、可靠的身份管理與密碼保護，有效提高了帳戶安全性，適用於各種Web站點，工作性能穩定可靠、適用範圍較為廣泛。相應的有益效果具體如下:(I)便捷性一在本地保存帳戶信息，用戶只需在初始化時手動輸入用戶名和密碼，使用中Web站點登錄表單由本發明自動填寫，使用便捷；(2)安全性——加密保存帳戶信息，只能通過用戶持有的智慧卡得到解密密鑰，能夠保證帳戶信息不洩露；另一方面，用戶通過本發明保存的URL訪問Web站點，可以避免虛假釣魚網站；(3)普適性一對一般需要登錄的Web站點都適用，同時智慧卡也無需特別訂製，只需帶有PKI功能即可。


圖1為本發明的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的生成對稱密鑰的時序關係示意圖。 圖2為本發明的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的用戶添加帳戶信息的時序關係示意圖。圖3為本發明的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法中的用戶訪問Web站點的時序關係不意圖。
具體實施例方式為了能夠更清楚地理解本發明的技術內容，特舉以下實施例詳細說明。請參閱圖1至圖3所示，該iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，裝載有iOS作業系統的電子設備中的應用程式通過讀卡器與所述的智慧卡相連接，其中該方法包括對稱密鑰生成處理操作、用戶帳戶信息添加處理操作和Web站點訪問控制處理操作，所述的對稱密鑰生成處理操作，包括以下步驟:(11)所述的應用程式獲取所述的智慧卡的唯一標識UID信息；(12)所述的應用程式檢查是否有與該智慧卡的唯一標識UID信息相匹配的登錄信息文件；該登錄信息文件包括密文對稱密鑰數據域和帳戶信息密文數據域，該帳戶信息密文數據域包括數條以所述的對稱密鑰加密的登錄信息，該登錄信息包括Web站點ID信息、用戶名和密碼，該登錄信息文件的名稱為智慧卡的唯一標識UID，且所述的登錄信息文件與智慧卡的唯一標識WD信息相匹配，具體為:
所述的登錄信息文件的文件名與所述的智慧卡的唯一標識UID相同；(13)如果有，則結束該處理操作；如果無，則新建所述的登錄信息文件，並繼續以下步驟(14)；( 14)所述的智慧卡產生隨機數作為對稱密鑰，並以非對稱算法加密該對稱密鑰得到密文對稱密鑰，並送至所述的應用程式；(15)所述的應用程式把所述的密文對稱密鑰寫入所述的登錄信息文件中；所述的用戶帳戶信息添加處理操作，包括以下步驟:(21)系統根據用戶操作，啟動所述的應用程式，並與所述的智慧卡相連接；(22)所述的應用程式獲取該智慧卡的唯一標識UID信息；(23)所述的應用程式從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰，並送至所述的智慧卡中；(24)所述的智慧卡通過私鑰解密所述的密文對稱密鑰並得到明文對稱密鑰，並送至所述的應用程式；(25)所述的應用程式加載Web站點列表，並根據用戶的選擇操作對被操作站點添加對應的用戶帳戶信息；

(26)所述的應用程式以所述的明文對稱密鑰加密所添加的用戶帳戶信息，並得到用戶帳戶密文後寫入所述的登錄信息文件中；該用戶帳戶信息包括用戶名和密碼；所述的Web站點訪問控制處理操作，包括以下步驟:(31)系統根據用戶操作，啟動所述的應用程式，並與所述的智慧卡相連接；(32)所述的應用程式獲取該智慧卡的唯一標識UID信息；(33)所述的應用程式從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰，並送至所述的智慧卡中；(34)所述的智慧卡通過私鑰解密所述的密文對稱密鑰並得到明文對稱密鑰，並送至所述的應用程式；(35)所述的應用程式以所述的明文對稱密鑰解密所述的帳戶信息，並加載相應的帳戶列表；(36)所述的應用程式根據用戶的選擇操作得到對應的帳戶信息，並與Web站點伺服器交互得到登錄頁面代碼，解析後根據所述的帳戶信息自動填入相應的登錄信息；(37)所述的應用程式根據用戶操作提交相應的登錄信息至Web站點伺服器。在實際使用當中，本發明使用智慧卡對iOS用戶的網絡帳戶進行保護，核心操作為安裝在iOS上的應用程式通過讀卡器與用戶持有的智慧卡進行交互，實現加密保存帳戶
息和自動填寫登錄息。帳戶信息加密保護方法具體如下:( I)帳戶信息保護方法帳戶信息包括帳戶所屬的Web站點信息以及登錄用戶名和密碼，本發明使用對稱算法保護帳戶信息，並使用非對稱算法保護對稱密鑰。(a)保護帳戶信息本發明以對稱密鑰加解密帳戶信息，其中由智慧卡隨機產生對稱密鑰，由應用程式對帳戶信息進行加密。
—般的，智慧卡都帶有硬體實現的隨機數發生器，可以得到固定長度的隨機數，而任意長度的隨機數可以通過重複取隨機數拼接剪切得到。以AES算法為例，智慧卡產生128bit隨機數Keyplain作為密鑰，帳戶信息明文為Infoplain，密文為Infoeiphe,，Eaes O表示加密，Daes O表示解密，則有如下加解密過程:Infocipher — Eaes (Infoplain, Keyplain)Infoplain — Daes (Infocipher, Keyplain)帳戶信息以密文形式與加密密鑰一起保存在本地，顯然加密密鑰也必須以密文形式保存才能保證帳戶信息安全。(b)保護加密帳戶信息的對稱密鑰智慧卡以加密公私鑰對加解密對稱密鑰。智慧卡中的加密公私鑰對由第三方權威數字認證機構CA籤發並託管，保證各智慧卡中的公私鑰對互不相同；私鑰由CA產生，並由CA或其它可信管理機構負責寫入，然後將對應公鑰的證書發布出來，寫入的私鑰對外界不可讀。以RSA算法為例，設n=pq，用n、e代表加密公鑰，p、q和d代表加密私鑰，對稱密鑰明文為Keyplain ，密文為Keycdphw, EesaO表示加密，DesaO表示解密，則有如下加解密過程:Keycipher = Eesa (Keyplain) = (Keyplain)e mod ηKeyplain = Drsa (Keycipher) = (Keycipher)d mod n以上加解密過 程都在內存中進行，明文數據不會在本地殘留，而密文數據即使被惡意竊取也無法解密獲取有效信息，實現了保護帳戶信息安全的目的。(2)帳戶信息保存方法帳戶信息保存在Web站點信息文件和登錄信息文件中，位於應用程式專屬文件夾內。Web站點信息文件為應用程式固有的只讀文件，文件由若干條站點信息組成，每條站點信息包括四個數據項，即ID、URL、名稱和登錄表單屬性，具體請參閱下表I所示。表1.Web站點信息
權利要求
1.一種iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，裝載有iOS作業系統的電子設備中的應用程式通過讀卡器與所述的智慧卡相連接，其特徵在於，所述的方法包括對稱密鑰生成處理操作、用戶帳戶信息添加處理操作和Web站點訪問控制處理操作，所述的對稱密鑰生成處理操作，包括以下步驟: (11)所述的應用程式獲取所述的智慧卡的唯一標識WD信息； (12)所述的應用程式檢查是否有與該智慧卡的唯一標識UID信息相匹配的登錄信息文件； (13)如果有，則結束該處理操作；如果無，則新建所述的登錄信息文件，並繼續以下步驟(14)； (14)所述的智慧卡產生隨機數作為對稱密鑰，並以非對稱算法加密該對稱密鑰得到密文對稱密鑰，並送至所述的應用程式； (15)所述的應用程式把所述的密文對稱密鑰寫入所述的登錄信息文件中； 所述的用戶帳戶信息添加處理操作，包括以下步驟: (21)系統根據用戶操作，啟動所述的應用程式，並與所述的智慧卡相連接； (22)所述的應用程式獲取該智慧卡的唯一標識WD信息； (23)所述的應用程式從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰，並送至所述的智慧卡中； (24)所述的智慧卡通過私鑰解密所述的密文對稱密鑰並得到明文對稱密鑰，並送至所述的應用程式； (25)所述的應用程式加載Web站點列表，並根據用戶的選擇操作對被操作站點添加對應的用戶帳戶信息； (26)所述的應用程式以所述的明文對稱密鑰加密所添加的用戶帳戶信息，並得到用戶帳戶密文後寫入所述的登錄信息文件中； 所述的Web站點訪問控制處理操作,包括以下步驟: (31)系統根據用戶操作，啟動所述的應用程式，並與所述的智慧卡相連接； (32)所述的應用程式獲取該智慧卡的唯一標識UID信息； (33)所述的應用程式從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰，並送至所述的智慧卡中； (34)所述的智慧卡通過私鑰解密所述的密文對稱密鑰並得到明文對稱密鑰，並送至所述的應用程式； (35)所述的應用程式以所述的明文對稱密鑰解密所述的帳戶信息，並加載相應的帳戶列表； (36)所述的應用程式根據用戶的選擇操作得到對應的帳戶信息，並與Web站點伺服器交互得到登錄頁面代碼，解析後根據所述的帳戶信息自動填入相應的登錄信息； (37)所述的應用程式根據用戶操作提交相應的登錄信息至Web站點伺服器。
2.根據權利要求1所述的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，其特徵在於，所述的登錄信息文件包括密文對稱密鑰數據域和帳戶信息密文數據域。
3.根據權利要求2所述的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，其特徵在於，所述的帳戶信息密文數據域包括數條以所述的對稱密鑰加密的登錄信息。
4.根據權利要求3所述的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，其特徵在於，所述的登錄信息包括Web站點ID信息、用戶名和密碼。
5.根據權利要求2所述的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，其特徵在於，所述的登錄信息文件的名稱為智慧卡的唯一標識WD。
6.根據權利要求5所述的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，其特徵在於，所述的登錄信息文件與智慧卡的唯一標識WD信息相匹配，具體為: 所述的登錄信息文件的文件名與所述的智慧卡的唯一標識UID相同。
7.根據權利要求1至6中任一項所述的iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，其特 徵在於，所述的用戶帳戶信息包括用戶名和密碼。
全文摘要
本發明涉及一種iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，裝載有iOS作業系統的電子設備中的應用程式通過讀卡器與所述的智慧卡相連接，其中該方法包括對稱密鑰生成處理操作、用戶帳戶信息添加處理操作和Web站點訪問控制處理操作。採用該種iOS作業系統中基於智慧卡實現網絡帳戶保護控制的方法，其採用帶有PKI功能的智慧卡作為保護設備，在開放的、不安全的網絡環境中為iOS用戶提供安全的、便捷的Web站點登錄方法，而且不需要特別訂製安全設備，從而實現了在開放的網絡環境中採用智慧卡作為硬體基礎為Apple iOS用戶提供安全、可靠的身份管理與密碼保護，有效提高了帳戶安全性，適用於各種Web站點，工作性能穩定可靠、適用範圍較為廣泛。
文檔編號H04L29/06GK103235910SQ201310103238
公開日2013年8月7日 申請日期2013年3月27日 優先權日2013年3月27日
發明者胡永濤, 楊明慧, 戴聰 申請人:公安部第三研究所