基于cpk的手機(jī)應(yīng)用間及與服務(wù)器間的安全通信方式的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù),尤其涉及基于CPK的智能手機(jī)應(yīng)用之間����、手機(jī)應(yīng)用于服務(wù)器之間的安全通信方式�����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展�,對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)安全的要求也越來(lái)越高��,相應(yīng)的加密算法和技術(shù)也在蓬勃發(fā)展����。目前的加密技術(shù)可分為兩類(lèi),即對(duì)稱密鑰技術(shù)和非對(duì)稱密鑰技術(shù)�����。其中非對(duì)稱密鑰技術(shù)由于可以避免通過(guò)網(wǎng)絡(luò)傳遞解密密鑰即私鑰的需要而得到廣泛的應(yīng)用���。
[0003]非對(duì)稱密鑰目前最為本領(lǐng)域技術(shù)人員所公知的技術(shù)為PKI (Public KeyInfrastructure)。PKI 的運(yùn)行靠?jī)纱蟛考?層次化的 CA (Certif icat1n Authority)機(jī)構(gòu)和龐大的證書(shū)庫(kù)LDAP��。PKI靠第三方公證來(lái)解決標(biāo)識(shí)和密鑰的捆綁���。為此需要建立龐大的層次化的CA認(rèn)證機(jī)構(gòu)�。PKI還要靠在線運(yùn)行的證書(shū)庫(kù)的支持�����,證書(shū)庫(kù)的在線運(yùn)行引發(fā)了大量的網(wǎng)絡(luò)信息流量,例如一方為了獲得通信對(duì)方的證書(shū)����,就需要向CA層層認(rèn)證。正因?yàn)榛赑KI技術(shù)實(shí)現(xiàn)的認(rèn)證系統(tǒng)依靠數(shù)據(jù)庫(kù)在線運(yùn)行�,其運(yùn)行效率很低,處理能力不大��。據(jù)美國(guó)國(guó)防部反映�����,PKI將引起信息爆炸����,美軍將來(lái)的通信也很難滿足PKI帶寬需求,而且引起機(jī)構(gòu)爆炸����,為支持200萬(wàn)張CAC卡,全軍新增了 2500個(gè)CA工作站�����,人員管理和經(jīng)費(fèi)已到不堪重負(fù)的程度。于是當(dāng)今的各國(guó)學(xué)者�,包括部分PKI公司在內(nèi),正在尋找一種新的出路�����。
[0004]另一種非常具有前景的機(jī)密技術(shù)是IBE(Identity Based Enerypt1n)�。1984年,Shamir提出了基于標(biāo)識(shí)的簽名設(shè)想�����,并推測(cè)基于標(biāo)識(shí)的密碼體制(簡(jiǎn)稱IBE JdentityBased Enerypt1n)的存在性����,但是一直沒(méi)有找到具體的實(shí)現(xiàn)方法。
[0005]2001 年 Don Boneh 和 Matthew Franklin 根據(jù) Shamir 的想法����,提出了從 Weil 配對(duì)來(lái)實(shí)現(xiàn)基于標(biāo)識(shí)的密碼體制����。與PKI技術(shù)相比較,IBE算法雖然取消了龐大的層次化CA機(jī)構(gòu)����,但需要保留用戶相關(guān)的參數(shù)�����?��;贗BE算法實(shí)現(xiàn)的認(rèn)證系統(tǒng)依靠數(shù)據(jù)庫(kù)在線運(yùn)行,其運(yùn)行效率很低����,處理能力并不大。因?yàn)閰?shù)是與各用戶相關(guān)���,所以參數(shù)量與用戶量成正比�����。只要需要公布用戶相關(guān)信息���,就需要目錄庫(kù)(LDAP)等數(shù)據(jù)庫(kù)的支持,進(jìn)而也沒(méi)有辦法減少動(dòng)態(tài)的在線維護(hù)量�����。
[0006]公眾網(wǎng)的發(fā)展和應(yīng)用,提出了構(gòu)筑可信網(wǎng)絡(luò)系統(tǒng)的新的要求�。認(rèn)證系統(tǒng)是可信網(wǎng)絡(luò)系統(tǒng)的核心技術(shù),而在認(rèn)證系統(tǒng)的核心技術(shù)則是密鑰技術(shù)��。密鑰技術(shù)中有兩大難點(diǎn):規(guī)?�;突跇?biāo)識(shí)的密鑰分發(fā)�����。CPK密鑰技術(shù)正好解決了這兩個(gè)難點(diǎn)����,為實(shí)現(xiàn)規(guī)模化公眾網(wǎng)上實(shí)現(xiàn)可信系統(tǒng)創(chuàng)造了條件���。
[0007]CPK算法與IBE算法一樣��,也是基于標(biāo)識(shí)的公鑰算法�。CPK不需要數(shù)據(jù)庫(kù)的在線支持���,可用一個(gè)芯片實(shí)現(xiàn),在規(guī)模化�����、經(jīng)濟(jì)性��、可行性���、運(yùn)行效率上具有前述兩種體制無(wú)法比擬的優(yōu)勢(shì)�����。
[0008]隨著智能手機(jī)的普及����,移動(dòng)辦公的趨勢(shì)越發(fā)不可阻擋����。然而企業(yè)能夠放心的展開(kāi)移動(dòng)辦公的前提,是手機(jī)端和企業(yè)內(nèi)網(wǎng)的服務(wù)器端能夠進(jìn)行安全的加密通信��。
[0009]通常的安全通信方式為SSL/TLS���,但是它需要第三方認(rèn)證機(jī)構(gòu)��,必須有在線運(yùn)行的證書(shū)庫(kù)的支持��,且需要維護(hù)具有大數(shù)據(jù)量的數(shù)據(jù)庫(kù)���,占用大量的存儲(chǔ)空間��,運(yùn)行時(shí)的效率也不高��,處理速度很慢����。
【發(fā)明內(nèi)容】
[0010]本發(fā)明要解決的技術(shù)問(wèn)題是克服現(xiàn)有的缺陷�����,采用CPK認(rèn)證技術(shù)��,提供了基于CPK的智能手機(jī)應(yīng)用之間�����、手機(jī)應(yīng)用與服務(wù)器之間的安全通信方式����,它不需要維護(hù)大數(shù)據(jù)量的數(shù)據(jù)庫(kù)����,運(yùn)行的效率得到大大提高��。
[0011]為了解決上述技術(shù)問(wèn)題����,本發(fā)明提供了如下的技術(shù)方案:
[0012]基于CPK的手機(jī)應(yīng)用間及與服務(wù)器間的安全通信方式���,包括用戶證書(shū)申請(qǐng)與安全通信���,
[0013]用戶證書(shū)申請(qǐng)包括:
[0014]種子卡生成中心KPC,根據(jù)CPK認(rèn)證技術(shù)中選定的橢圓曲線參數(shù)���,生成公私鑰矩陣,并導(dǎo)入到密鑰管理中心KMC用的種子秘鑰卡中��;
[0015]密鑰管理中心KMC��,根據(jù)自己的種子秘鑰卡�,以及用戶的個(gè)人唯一用戶標(biāo)識(shí),生成用戶證書(shū)���;
[0016]注冊(cè)管理中心RMC�,負(fù)責(zé)對(duì)用戶證書(shū)申請(qǐng)進(jìn)行身份審核,通過(guò)之后從密鑰管理中心KMC獲取生成的用戶證書(shū)����,灌入到用戶手機(jī)APP ;
[0017]手機(jī)端APP,利用用戶證書(shū)進(jìn)行通信密鑰的協(xié)商��;
[0018]安全通信包括以下步驟:
[0019](I)手機(jī)應(yīng)用發(fā)送自己支持的對(duì)稱加密算法列表給另一手機(jī)應(yīng)用或服務(wù)器��,并帶上一個(gè)隨機(jī)數(shù)a �;
[0020](2)另一手機(jī)應(yīng)用或服務(wù)器收到消息后,返回通信階段要使用的加密算法����,并帶上一個(gè)隨機(jī)數(shù)b ;
[0021](3)手機(jī)應(yīng)用收到消息后�,產(chǎn)生隨機(jī)數(shù)C,由a���,b���,c生成通信階段需要的對(duì)稱加密密鑰;
[0022](4)手機(jī)應(yīng)用用CPK私鑰加密隨機(jī)數(shù)C�,附上自己的個(gè)人唯一用戶標(biāo)識(shí)一并發(fā)送給另一手機(jī)應(yīng)用或服務(wù)器���;
[0023](5)另一手機(jī)應(yīng)用或服務(wù)器用手機(jī)應(yīng)用的個(gè)人唯一用戶標(biāo)識(shí)算出手機(jī)應(yīng)用的公鑰,并解密隨機(jī)數(shù)C���,同樣由a���,b, c生成通信階段需要的對(duì)稱密鑰����;
[0024](6)如果手機(jī)應(yīng)用需要認(rèn)證另一手機(jī)應(yīng)用或服務(wù)器,則另一手機(jī)應(yīng)用或服務(wù)器發(fā)送CPK簽名到手機(jī)應(yīng)用�����,并由手機(jī)應(yīng)用進(jìn)行驗(yàn)簽�����;如果另一手機(jī)應(yīng)用或服務(wù)器需要認(rèn)證手機(jī)應(yīng)用�����,則手機(jī)應(yīng)用發(fā)送CPK簽名到另一手機(jī)應(yīng)用或服務(wù)器��,并由另一手機(jī)應(yīng)用或服務(wù)器進(jìn)行驗(yàn)簽;
[0025](7)手機(jī)應(yīng)用和另一手機(jī)應(yīng)用或服務(wù)器使用協(xié)商出來(lái)的加密算法和加密秘鑰進(jìn)行正式通信����。
[0026]進(jìn)一步地,個(gè)人唯一用戶標(biāo)識(shí)主要是CPK ID0
[0027]進(jìn)一步地����,用戶證書(shū)主要是一對(duì)公私鑰。
[0028]進(jìn)一步地����,注冊(cè)管理中心RMC還提供用戶證書(shū)的狀態(tài)管理。
[0029]本發(fā)明基于CPK的手機(jī)應(yīng)用間及與服務(wù)器間的安全通信方式���,采用CPK認(rèn)證技術(shù)��,使得智能手機(jī)應(yīng)用之間���、智能手機(jī)應(yīng)用于服務(wù)器之間能進(jìn)行安全的加密通信,且不需要維護(hù)大數(shù)據(jù)量的數(shù)據(jù)庫(kù)���,運(yùn)行的效率得到大大提高�����。
【附圖說(shuō)明】
[0030]附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�,并且構(gòu)成說(shuō)明書(shū)的一部分,與本發(fā)明的實(shí)施例一起用于解釋本發(fā)明�,并不構(gòu)成對(duì)本發(fā)明的限制。在附圖中:
[0031]圖1為用戶證書(shū)申請(qǐng)總體時(shí)序圖�����;