安全通信密鑰協商交互方案的製作方法

2023-05-03 12:06:01 2

安全通信密鑰協商交互方案的製作方法
【專利摘要】本發明提供的一種移動終端上的應用與網絡伺服器進行安全通信的方法，利用密碼技術，將用戶與伺服器的共享秘密與移動智能終端設備的標識碼、用戶手機號碼進行疊加綁定，然後應用到身份認證系統實現對客戶端的認證，利用數字證書和數字籤名機制實現對伺服器的認證，利用Differ-Hellman密鑰協商協議，與網絡伺服器建立會話密鑰，進而進行安全的數據通信。其特徵在於將共享秘密與機器標識碼，用戶手機號碼進行疊加綁定，共享秘密定期更新，即使信息被攻擊者竊取，也不會對系統造成影響。用戶不僅需要提供登錄密碼，同時還需要在指定設備上才能使用系統。該方法可以保障用戶通過行動裝置在網際網路上與伺服器進行安全通信。
【專利說明】安全通信密鑰協商交互方案

【技術領域】
[0001]本發明涉及信息化移動辦公【技術領域】，特別涉及移動終端安全通信的技術。提供了一種移動終端上的應用與網絡伺服器安全通信的方法。

【背景技術】
[0002]智能移動終端是一種多功能設備，不僅具有通訊功能，而且在安裝應用程式後能夠進行電子商務，移動辦公等業務，終端與計算機聯成網絡後，可根據接收到的指令完成信息處理和交互，為用戶提供方便快捷的信息交互媒介。智能移動終端設備作為一種行動裝置具有「小巧輕便」及「通訊便捷」的特點，用戶更多是通過觸控操作設備，小巧輕便的特點使得行動裝置一般不去執行大量的複雜運算，設備外設接口簡單，通過無線方式和其他設備進行交互。隨著智能移動終端越來越多的參與各項網絡應用，針對移動應用的安全攻擊越來越多，許多惡意應用竊取用戶存儲在終端上的私有數據，攻擊終端與伺服器的通信。
[0003]現有的終端應用程式與伺服器安全通信大多採用SSL技術。SSL利用了基於證書的身份認證、數據加密和消息完整性驗證機制，可以為應用層之間的通信建立安全連接。但由於SSL是基於Web瀏覽器的，可以很好的支持B/S應用，但對於C/S的應用支持不完善，由於很多企業C/S應用比較多，SSL的使用受到了很大程度的限制。另外移動終端不具備安全保存私鑰的條件，如果數字證書和密鑰洩露，就存在被攻擊、篡改與偽造的可能性。


【發明內容】

[0004]本發明提供的一種移動終端上的應用與網絡伺服器進行安全通信的方法，利用密碼技術，將用戶與伺服器的共享秘密與移動智能終端設備的標識碼、用戶手機號碼進行疊加綁定，然後應用到身份認證系統實現對客戶端的認證，利用數字證書和數字籤名機制實現對伺服器的認證，利用Differ-Hellman密鑰協商協議，建立安全的通信密鑰，進而進行安全的數據通信。其特徵在於將共享秘密與機器標識碼，用戶手機號碼進行疊加綁定，共享秘密定期更新，即使信息被攻擊者竊取，也不會對系統造成影響。用戶不僅需要提供登錄密碼，同時還需要在指定設備上才能使用系統。該方法可以保障用戶通過行動裝置在網際網路上安全通信。
[0005]本發明是通過以下技術方案來實現的:實現本發明目標的技術解決方案為一種智能移動終端上的應用與網絡伺服器之間的安全通信技術，其特徵在於:該系統的組成包括移動終端，網絡伺服器和終端應用軟體。網絡伺服器擁有權威機構頒發的證書和私鑰，私鑰保存在伺服器端安全設備裡面，數字證書隨應用程式一起分發，並且用戶可以從網絡上下載證書和查詢證書狀態。用戶使用應用系統前需要註冊，用戶移動終端軟體提供人機接口，接收用戶輸入的信息，提取設備的特徵碼和硬體信息，然後進行運算，提交到網絡伺服器，網絡伺服器對終端提交的認證信息進行驗證，完成身份認證和密鑰交換，然後利用共享的密鑰進行數據加密和認證。
[0006]利用上述的安全通信方法，在於:
[0007](I)用戶註冊時提供手機號碼，伺服器通過簡訊驗證碼的方式對手機號碼進行確認，註冊時伺服器獲得用戶的手機號碼，移動終端的標識碼，WLANMAC, BLUETOOTHMACo用戶和伺服器共享簡訊驗證碼和登錄密碼兩個秘密；
[0008](2)用戶移動終端軟體對手機號碼，簡訊驗證碼進行計算生成一個認證用的終端通行證碼保存在用戶終端，簡訊驗證碼，登錄密碼，用戶手機號碼等敏感信息無需保存在終端。網絡伺服器做同樣的運算生成終端通行證碼並保存；
[0009](3)用戶在使用移動終端時，登錄密碼，終端獲取認證用的終端通行證碼和終端MEI號，硬體信息和登錄密碼等進行運算，然後把運算結果發送到伺服器端進行認證，登錄密碼無需保存和發送，可以保證登錄密碼的安全性。如果本地認證用的終端通行證碼丟失，則需要通過簡訊驗證碼認證的方式重新生成該代碼。
[0010](4)用戶端軟體通過應用程式的數字證書和伺服器端數字籤字對伺服器進行身份認證，可以確保伺服器身份的真實性。
[0011](5)用戶端和伺服器端雙向認證時基於Differ-Hellman密鑰協商協議協商會話密鑰，然後進行數據加密和數據認證操作，保障通信安全。
[0012]優點及效果:
[0013]本發明提供一種智能移動終端的身份認證和密鑰協商的方法，利用密碼技術，數字證書，簡訊相結合實現了一種安全的認證方式，基於移動終端的私有屬性和安全的認證和Differ-Hellman密鑰協商協議提供了一種安全的通信技術。
[0014]本技術的特點:
[0015](I)基於移動終端的私有屬性，利用密碼技術把用戶的手機號碼，移動終端IMEI號，簡訊驗證碼，登錄密碼進行綁定，實現對移動終端應用的身份認證，用戶不僅要提供正確的登錄口令，同時所用設備也必須是在系統註冊過的，這種綁定可以確保即使用戶登錄密碼或設備丟失，只要不是二者同時被竊，都可以保證用戶端的安全；
[0016](2)網絡伺服器擁有權威機構頒發的數字證書和私鑰，移動終端通過數字證書和數字籤名實現對伺服器的認證。
[0017](3)基於DifTer-Hellman密鑰協商協議協商會話密鑰，會話密鑰定期更換，利用密鑰實現加密和認證，確保了網絡通信的安全性。

【專利附圖】

【附圖說明】
[0018]圖1用戶和終端註冊流程圖。
[0019]圖2身份認證及密鑰協商流程圖。
[0020]圖3數據加密流程圖。
[0021]圖4數據解密流程圖。
[0022]圖5數據認證流程圖。
[0023]圖6數據驗證流程圖。

【具體實施方式】
[0024]下面結合附圖對本發明做進一步詳細描述:
[0025]1、根據圖1所描述，用戶和終端註冊流程如下:
[0026]1.1用戶首先在智能移動終端安裝應用軟體，應用軟體啟動後，首先檢查是否有網絡伺服器的證書，如果沒有證書則自動從預置網站下載證書。用戶首先進行註冊，註冊時輸入:用戶名，登錄密碼，用戶手機號碼，然後請求手機驗證碼；
[0027]1.2伺服器接收到用戶的手機驗證碼請求後，根據用戶輸入的用戶名，手機號碼與已登記信息比對，如果用戶名已存在，說明用戶已經註冊過，這時手機號必須為該用戶已註冊過的手機號碼，如果用戶名不存在，說明是新註冊用戶，手機號必須為新的號碼。確認成功後發送簡訊驗證碼到手機號；
[0028]1.3用戶輸入接收到的簡訊驗證碼，系統發送註冊請求到伺服器，內容包括:用戶名，手機號碼，移動終端頂EI號，WLANMAC, BLUETOOTHMAC,登錄密碼，HASH (用戶名，手機號，移動終端MEI號，WLANMAC, BLUETOOTHMAC,登錄密碼，簡訊驗證碼，時間戳)，以上內容使用伺服器證書生成數字信封進行保護:
[0029]隨機生成密鑰K，利用K使用對稱加密算法(比如AES)對註冊請求進行加密，表示如下:
[0030]EncK(用戶名，手機號，終端 MEI 號，WLANMAC, BLUETOOTHMAC,登錄密碼，HASH(用戶名，手機號，終端MEI號，WLANMAC, BLUETOOTHMAC,登錄密碼，簡訊驗證碼))。
[0031]然後利用伺服器證書裡面的公鑰PubK對密鑰K進行加密，表示如下:
[0032]EncpubK (K)。
[0033]以上密碼結果使用符合PKCS語法的數字信封格式進行封裝。
[0034]1.4伺服器接收註冊請求，首先利用私鑰解密數字信封，然後伺服器端生成HASH(用戶名，手機號，終端MEI號，WLANMAC, BLUETOOTHMAC,登錄密碼，簡訊驗證碼)，與接收到的HASH進行比較，如果一樣則企業用戶註冊成功；
[0035]1.5伺服器生成Differ-Hellman協議所需的大素數n (1024bit)，g(160bit)，其中g為模η的本原元，生成註冊成功消息返回用戶端，消息使用密鑰K進行加密:
[0036]ENCk(用戶名，成功信息，n，g，Hash (成功信息，n，g+簡訊驗證碼))伺服器保存用戶名，手機號，終端MEI號，WLANMAC, BLUETOOTHMAC,登錄密碼，簡訊驗證碼，密鑰K，n，g等信息。
[0037]1.6終端接收伺服器的消息，使用密鑰K解密消息，驗證Hash值，判斷註冊是否成功。若成功，終端HAl = HASH(手機號，簡訊驗證碼)作為終端通行證碼保存到移動終端，終端保存伺服器發送過來的n，g用於Differ-Hellman協議，保存Hash (登錄密碼)用於本地登錄驗證，無需保存手機號，登錄口令等敏感信息。
[0038]1.7隻有註冊過的終端才能連接到伺服器進行數據通信，同一個用戶可以註冊多個終端，使用Hash(MEI)作為終端編號代表終端，需要保證用戶名和密碼一致。
[0039]2、機器碼與共享秘密的疊加綁定:終端系統進行Hash (終端通行證碼+終端MEI號+登錄密碼)運算，生成一個登錄認證碼，用於身份認證，這個認證碼綁定了用戶，用戶手機號碼，用戶手機設備。
[0040]3、圖2描述了終端與伺服器之間進行身份認證和密鑰協商的流程，主要步驟如下
[0041]3.1註冊的用戶打開系統軟體時，需要輸入登錄密碼，然後系統採集終端MEI號，WLANMAC, BLUETOOTHMAC等硬體信息，基於當前時間t生成一個Se s s i on ID，生成隨機數x(192bit)，計算X = gx mod n，發送以下信息到伺服器:
[0042]Sess1nID，User ID, X，Hash (IMEI)，HASH (Sess1nID，User ID, X，IMEI，WLANMAC, BLUETOOTHMA, HAl,登錄密碼)-----> 伺服器
[0043]3.2伺服器接收用戶的認證和密鑰協商請求信息，伺服器根據:USerID，Hash(IMEI)，獲取用戶和終端的註冊信息，計算HASH (Sess1nID, UserID, X，IMEI,WLANMAC, BLUETOOTHMA, HAl,登錄密碼)，與終端發送的登錄認證碼比對，如果一致則表明用戶身份正確且終端已註冊。伺服器生成隨機數y (192bit)，
[0044]計算Y = gy mod n，K = Xy mod η,
[0045]K就是客戶端和伺服器共享的密鑰。伺服器利用K加密Sess1nID，UserID得到Enck(Sess1nID，UserID),然後發送註冊成功消息給終端，註冊成功消息使用伺服器的私鑰進行數字籤名，結果如下:
[0046]Sigpri (Enck (Sess1nID, UserID), Y)----> 終端
[0047]3.3終端接收伺服器返回的註冊成功消息，首先使用伺服器的證書驗證伺服器的數字籤名，驗證成功之後，計算K' =Yx mod η,使用K'解密Enck (Sess1nID，UserlD)，如果解密結果和終端發送的Sess1nID，UserID —致說明密鑰協商成功，即K' = K,為雙方共享密鑰。否則密鑰協商失敗。
[0048]4、圖3描述使用共享密鑰進行數據加密的流程，主要步驟如下:
[0049]4.1加密進程首先獲取共享密鑰K。
[0050]4.2生成數據加密專用密鑰:Kenc = Hash (K+WLANMAC),即使用共享密鑰K和終端的WLANMAC —起Hash運算，運算結果即為數據加密專用密鑰。
[0051 ] 4.3使用該數據加密密鑰對數據進行加密運算，加密後的結果即為密文，可以在網際網路上傳輸。
[0052]5、圖4描述了使用共享密鑰進行數據解密的流程，主要步驟和數據加密流程類似。
[0053]6、圖5描述了使用共享密鑰進行數據認證的流程，主要步驟如下:
[0054]6.1認證進程首先獲取共享密鑰K。
[0055]6.2生成數據認證專用密鑰:Kauth = Hash (IMEI+K),即使用共享密鑰K和終端的IMEI號一起Hash運算，運算結果即為數據認證專用密鑰。
[0056]6.3使用該數據認證專用密鑰和要認證的數據一起進行Hash運算，所得結果即為數據的認證碼，可以在網際網路和數據一起傳輸，實現對數據的認證。
[0057]7、圖5描述了使用共享密鑰進行數據驗證的流程，主要步驟和數據認證流程類似。
[0058]本發明利用密碼技術，數字證書和簡訊相結合實現了一種安全的認證和密鑰分配方式，基於移動終端的私有屬性和安全的認證協議提供了一種安全便捷的認證技術。利用Differ-Hellmen密鑰協商協議定期更新會話密鑰，利用會話密鑰可以進行數據加密和數字認證，提高通信安全性。
【權利要求】
1.一種安全通信密鑰協商交互方案，其特徵在於:該系統的組成包括移動終端，網絡伺服器和終端應用軟體。網絡伺服器擁有權威機構頒發的證書和私鑰，私鑰保存在伺服器端安全設備裡面，數字證書隨應用程式一起分發，並且用戶從網絡上下載證書和查詢證書狀態，利用密碼技術，將用戶與伺服器的共享秘密與移動智能終端設備的標識碼、用戶手機號碼進行疊加綁定，然後應用到身份認證系統實現對客戶端的認證，利用數字證書和數字籤名機制實現對伺服器的認證，利用01打61-? 11111811密鑰協商協議，建立安全的通信密鑰，進而進行安全的數據通信。
2.根據權利要求1所述的安全通信密鑰協商交互方案，其特徵在於將共享秘密與機器標識碼，用戶手機號碼進行疊加綁定，共享秘密定期更新，即使信息被攻擊者竊取，也不會對系統造成影響。用戶不僅需要提供登錄密碼，同時還需要在指定設備上才能使用系統。該方法保障用戶通過行動裝置在網際網路上安全通信。
3.根據權利要求1所述的安全通信密鑰協商交互方案，其特徵在於: (1)用戶註冊時提供手機號碼，伺服器通過簡訊驗證碼的方式對手機號碼進行確認，註冊時伺服器獲得用戶的手機號碼，移動終端的標識碼，81^1001^0,用戶和伺服器共享簡訊驗證碼和登錄密碼兩個秘密； (2)用戶移動終端軟體對手機號碼，簡訊驗證碼進行撤3?計算生成一個認證用的終端通行證碼保存在用戶終端，簡訊驗證碼，登錄密碼，用戶手機號碼等敏感信息無需保存在終端。 (3)用戶在使用移動終端時，提供登錄密碼，終端獲取終端通行證碼和終端頂￡1號，硬體信息和登錄密碼等進行運算，然後把運算結果發送到伺服器端進行認證，登錄密碼無需保存和發送，可以保證登錄密碼的安全性，如果本地認證用的終端通行證碼丟失，則需要通過簡訊驗證碼認證的方式重新生成該代碼。 (4)用戶端軟體通過伺服器的數字證書和數字籤字對伺服器進行身份認證，確保伺服器身份的真實性。 (5)用戶端和伺服器端雙向認證時基於01打61-06111112111密鑰協商協議協商會話密鑰，然後進行數據加密和數據認證操作，保障通信安全。
4.根據權利要求1所述的安全通信密鑰協商交互方案，其特徵在於包括如下步驟: 用戶和終端註冊步驟如下: 步驟1:用戶首先在智能移動終端安裝應用軟體，應用軟體啟動後，首先檢查是否有網絡伺服器的證書，如果沒有證書則自動從預置網站下載證書，用戶首先進行註冊，註冊時輸入:用戶名，登錄密碼，用戶手機號碼，然後請求手機驗證碼； 步驟2:伺服器接收到用戶的手機驗證碼請求後，根據用戶輸入的用戶名，手機號碼與已登記信息比對，如果用戶名已存在，說明用戶已經註冊過，這時手機號必須為該用戶已註冊過的手機號碼，如果用戶名不存在，說明是新註冊用戶，手機號必須為新的號碼。確認成功後發送簡訊驗證碼到手機號； 步驟3:用戶輸入接收到的簡訊驗證碼，系統發送註冊請求到伺服器，內容包括:用戶名，手機號碼，移動終端頂￡1號，孔八圓^，81^1001^0,登錄密碼，撤3? (用戶名，手機號，移動終端頂￡1號，圓81^1001^0,登錄密碼，簡訊驗證碼，時間戳)，以上內容使用伺服器證書生成數字信封進行保護: 隨機生成密鑰X，利用1(使用對稱加密算法(比如仙3)對註冊請求進行加密，表示如下用戶名，手機號，終端頂￡1號，登錄密碼，擬3?(用戶名，手機號，終端頂￡1號，圓81^1001^0,登錄密碼，簡訊驗證碼))。然後利用伺服器證書裡面的公鑰[11)31(對密鑰X進行加密，表示如下:
2110？11151？ (1； 以上密碼結果使用符合語法的數字信封格式進行封裝； 步驟4:伺服器接收註冊請求，首先利用私鑰解密數字信封，然後伺服器端生成^811(用戶名，手機號，終端頂￡1號，81^1001^0,登錄密碼，簡訊驗證碼)，與接收到的撤別進行比較，如果一樣則企業用戶註冊成功； 步驟5:伺服器生成01打61~-！1611腦11協議所需的大素數11 (1024611:)，8(1601^11:)，其中.8為模II的本原元，生成註冊成功消息返回用戶端，消息使用密鑰X進行加密: 跳「用戶名，成功信息，II，8，成功信息，II，8+簡訊驗證碼)) 伺服器保存用戶名，手機號，終端頂￡1號，81^1001^0,登錄密碼，簡訊驗證碼，密鑰X，II，8等信息； 步驟6:終端接收伺服器的消息，使用密鑰1(解密消息，驗證他也值，判斷註冊是否成功。若成功，終端撤1 =撤311(手機號，簡訊驗證碼)作為終端通行證碼保存到移動終端，終端保存伺服器發送過來的II，8用於協議，保存他也(登錄密碼)用於本地登錄驗證，無需保存手機號，登錄口令等敏感信息。 只有註冊過的終端才能連接到伺服器進行數據通信，同一個用戶可以註冊多個終端，使用頂￡1)作為終端編號代表終端，需要保證用戶名和密碼一致。 終端與伺服器之間進行身份認證和密鑰協商的步驟如下: 步驟1:註冊的用戶打開系統軟體時，需要輸入登錄密碼，然後系統採集終端1腿1號，.81^100X^0等硬體信息，基於當前時間七生成一個3688101110，生成隨機數X (192611:)，計算X = ^0(1 11，發送以下信息到伺服器: .8688101111), ^861-10,(1121) ,(8688101111), ^ 8 6 I 0，X，112 I，
.8⑶￡1001'腿八，擬1，登錄密碼)。 步驟2:伺服器接收用戶的認證和密鑰協商請求信息，伺服器根據山861~10， 頂￡1)，獲取用戶和終端的註冊信息，計算擬311(3688101110486110, X， .81^21001腿八，撤1，登錄密碼)，與終端發送的登錄認證碼比對，如果一致則表明用戶身份正確且終端已註冊。伺服器生成隨機數7 (19261七)，
.1 十畠 I = #1110(1 II，1( = ^^1110(1 II， X就是客戶端和伺服器共享的密鑰。伺服器利用1(加密3688101110，「61*10得到^0,(868810^11), ^861-10),然後發送註冊成功消息給終端，註冊成功消息使用伺服器的私鑰進行數字籤名，發送以下信息到終端:
(1-- (8688101111), 1)861-10)，1) 步驟3:終端接收伺服器返回的註冊成功消息，首先使用伺服器的證書驗證伺服器的數字籤名，驗證成功之後，計算尺' =^1110(1 II，使用仄' 解密￡11(^(3688101110,1186:^10)，如果解密結果和終端發送的3688101110，「61*10 —致說明密鑰協商成功，即= X，為雙方共享密鑰。否則密鑰協商失敗。 共享密鑰進行數據加密的流程，主要步驟如下: 步驟1:加密進程首先獲取共享密鑰X ；步驟2:生成數據加密專用密鑰:1(6110 =即使用共享密鑰X和終端的一起他吐運算，運算結果即為數據加密專用密鑰； 步驟3:使用該數據加密密鑰對數據進行加密運算，加密後的結果即為密文，可以在網際網路上傳輸。 數據認證的流程，主要步驟如下: 步驟1:認證進程首先獲取共享密鑰X ； 步驟2:生成數據認證專用密鑰#￡111訪=即使用共享密鑰1(和終端的.1121號一起他吐運算，運算結果即為數據認證專用密鑰； 步驟3:使用該數據認證專用密鑰和要認證的數據一起進行他也運算，所得結果即為數據的認證碼，可以在網際網路和數據一起傳輸，實現對數據的認證。
【文檔編號】H04L9/08GK104506534SQ201410821841
【公開日】2015年4月8日 申請日期:2014年12月25日 優先權日:2014年12月25日
【發明者】張衛海, 趙軍, 李傳松, 孫文浩, 趙長江, 劉培順, 戴洪尚, 任傳祥 申請人:青島微智慧信息有限公司