安全通信密钥协商交互方案制造技术

本发明专利技术提供的一种移动终端上的应用与网络服务器进行安全通信的方法，利用密码技术，将用户与服务器的共享秘密与移动智能终端设备的标识码、用户手机号码进行叠加绑定，然后应用到身份认证系统实现对客户端的认证，利用数字证书和数字签名机制实现对服务器的认证，利用Differ-Hellman密钥协商协议，与网络服务器建立会话密钥，进而进行安全的数据通信。其特征在于将共享秘密与机器标识码，用户手机号码进行叠加绑定，共享秘密定期更新，即使信息被攻击者窃取，也不会对系统造成影响。用户不仅需要提供登录密码，同时还需要在指定设备上才能使用系统。该方法可以保障用户通过移动设备在互联网上与服务器进行安全通信。

【技术实现步骤摘要】
安全通信密钥协商交互方案
本专利技术涉及信息化移动办公
，特别涉及移动终端安全通信的技术。提供了一种移动终端上的应用与网络服务器安全通信的方法。
技术介绍
智能移动终端是一种多功能设备，不仅具有通讯功能，而且在安装应用程序后能够进行电子商务，移动办公等业务，终端与计算机联成网络后，可根据接收到的指令完成信息处理和交互，为用户提供方便快捷的信息交互媒介。智能移动终端设备作为一种移动设备具有“小巧轻便”及“通讯便捷”的特点，用户更多是通过触控操作设备，小巧轻便的特点使得移动设备一般不去执行大量的复杂运算，设备外设接口简单，通过无线方式和其他设备进行交互。随着智能移动终端越来越多的参与各项网络应用，针对移动应用的安全攻击越来越多，许多恶意应用窃取用户存储在终端上的私有数据，攻击终端与服务器的通信。现有的终端应用程序与服务器安全通信大多采用SSL技术。SSL利用了基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。但由于SSL是基于Web浏览器的，可以很好的支持B/S应用，但对于C/S的应用支持不完善，由于很多企业C/S应用比较多，SSL的使用受到了很大程度的限制。另外移动终端不具备安全保存私钥的条件，如果数字证书和密钥泄露，就存在被攻击、篡改与伪造的可能性。
技术实现思路
本专利技术提供的一种移动终端上的应用与网络服务器进行安全通信的方法，利用密码技术，将用户与服务器的共享秘密与移动智能终端设备的标识码、用户手机号码进行叠加绑定，然后应用到身份认证系统实现对客户端的认证，利用数字证书和数字签名机制实现对服务器的认证，利用Differ-Hellman密钥协商协议，建立安全的通信密钥，进而进行安全的数据通信。其特征在于将共享秘密与机器标识码，用户手机号码进行叠加绑定，共享秘密定期更新，即使信息被攻击者窃取，也不会对系统造成影响。用户不仅需要提供登录密码，同时还需要在指定设备上才能使用系统。该方法可以保障用户通过移动设备在互联网上安全通信。本专利技术是通过以下技术方案来实现的：实现本专利技术目标的技术解决方案为一种智能移动终端上的应用与网络服务器之间的安全通信技术，其特征在于：该系统的组成包括移动终端，网络服务器和终端应用软件。网络服务器拥有权威机构颁发的证书和私钥，私钥保存在服务器端安全设备里面，数字证书随应用程序一起分发，并且用户可以从网络上下载证书和查询证书状态。用户使用应用系统前需要注册，用户移动终端软件提供人机接口，接收用户输入的信息，提取设备的特征码和硬件信息，然后进行运算，提交到网络服务器，网络服务器对终端提交的认证信息进行验证，完成身份认证和密钥交换，然后利用共享的密钥进行数据加密和认证。利用上述的安全通信方法，在于：(1)用户注册时提供手机号码，服务器通过短信验证码的方式对手机号码进行确认，注册时服务器获得用户的手机号码，移动终端的标识码，WLANMAC,BLUETOOTHMAC。用户和服务器共享短信验证码和登录密码两个秘密；(2)用户移动终端软件对手机号码，短信验证码进行计算生成一个认证用的终端通行证码保存在用户终端，短信验证码，登录密码，用户手机号码等敏感信息无需保存在终端。网络服务器做同样的运算生成终端通行证码并保存；(3)用户在使用移动终端时，登录密码，终端获取认证用的终端通行证码和终端IMEI号，硬件信息和登录密码等进行运算，然后把运算结果发送到服务器端进行认证，登录密码无需保存和发送，可以保证登录密码的安全性。如果本地认证用的终端通行证码丢失，则需要通过短信验证码认证的方式重新生成该代码。(4)用户端软件通过应用程序的数字证书和服务器端数字签字对服务器进行身份认证，可以确保服务器身份的真实性。(5)用户端和服务器端双向认证时基于Differ-Hellman密钥协商协议协商会话密钥，然后进行数据加密和数据认证操作，保障通信安全。优点及效果：本专利技术提供一种智能移动终端的身份认证和密钥协商的方法，利用密码技术，数字证书，短信相结合实现了一种安全的认证方式，基于移动终端的私有属性和安全的认证和Differ-Hellman密钥协商协议提供了一种安全的通信技术。本技术的特点：(1)基于移动终端的私有属性，利用密码技术把用户的手机号码，移动终端IMEI号，短信验证码，登录密码进行绑定，实现对移动终端应用的身份认证,用户不仅要提供正确的登录口令，同时所用设备也必须是在系统注册过的，这种绑定可以确保即使用户登录密码或设备丢失，只要不是二者同时被窃，都可以保证用户端的安全；(2)网络服务器拥有权威机构颁发的数字证书和私钥，移动终端通过数字证书和数字签名实现对服务器的认证。(3)基于Differ-Hellman密钥协商协议协商会话密钥，会话密钥定期更换，利用密钥实现加密和认证，确保了网络通信的安全性。附图说明图1用户和终端注册流程图。图2身份认证及密钥协商流程图。图3数据加密流程图。图4数据解密流程图。图5数据认证流程图。图6数据验证流程图。具体实施方式下面结合附图对本专利技术做进一步详细描述：1、根据图1所描述，用户和终端注册流程如下：1.1用户首先在智能移动终端安装应用软件，应用软件启动后，首先检查是否有网络服务器的证书，如果没有证书则自动从预置网站下载证书。用户首先进行注册，注册时输入：用户名，登录密码，用户手机号码，然后请求手机验证码；1.2服务器接收到用户的手机验证码请求后，根据用户输入的用户名，手机号码与已登记信息比对，如果用户名已存在，说明用户已经注册过，这时手机号必须为该用户已注册过的手机号码，如果用户名不存在，说明是新注册用户，手机号必须为新的号码。确认成功后发送短信验证码到手机号；1.3用户输入接收到的短信验证码，系统发送注册请求到服务器，内容包括：用户名，手机号码，移动终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，HASH(用户名，手机号，移动终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，短信验证码，时间戳)，以上内容使用服务器证书生成数字信封进行保护：随机生成密钥K，利用K使用对称加密算法(比如AES)对注册请求进行加密，表示如下：EncK(用户名，手机号，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，HASH(用户名，手机号，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，短信验证码))。然后利用服务器证书里面的公钥PubK对密钥K进行加密，表示如下：EncPubK(K)。以上密码结果使用符合PKCS语法的数字信封格式进行封装。1.4服务器接收注册请求，首先利用私钥解密数字信封，然后服务器端生成HASH(用户名，手机号，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，短信验证码)，与接收到的HASH进行比较，如果一样则企业用户注册成功；1.5服务器生成Differ-Hellman协议所需的大素数n(1024bit)，g(160bit)，其中g为模n的本原元，生成注册成功消息返回用户端，消息使用密钥K进行加密：ENCK(用户名，成功信息，n，g，Hash(成功信息，n，g+短信验证码))服务器保存用户名，手机号，终端IMEI号，WLANMAC,BL本文档来自技高网...

【技术保护点】
一种安全通信密钥协商交互方案，其特征在于：该系统的组成包括移动终端，网络服务器和终端应用软件。网络服务器拥有权威机构颁发的证书和私钥，私钥保存在服务器端安全设备里面，数字证书随应用程序一起分发，并且用户从网络上下载证书和查询证书状态，利用密码技术，将用户与服务器的共享秘密与移动智能终端设备的标识码、用户手机号码进行叠加绑定，然后应用到身份认证系统实现对客户端的认证，利用数字证书和数字签名机制实现对服务器的认证，利用Differ‑Hellman密钥协商协议，建立安全的通信密钥，进而进行安全的数据通信。

【技术特征摘要】
1.一种安全通信密钥协商交互方法，其特征在于：用于移动终端上的应用软件与网络服务器之间的通信，网络服务器拥有权威机构颁发的证书和私钥，私钥保存在服务器端安全设备里面，数字证书随应用程序一起分发，并且用户从网络上下载证书和查询证书状态，利用密码技术，将用户与服务器的共享秘密与移动终端设备的标识码、用户手机号码进行叠加绑定，然后应用到身份认证系统实现对客户端的认证，利用数字证书和数字签名机制实现对服务器的认证，利用Differ-Hellman密钥协商协议，建立安全的通信密钥，进而进行安全的数据通信；所述共享秘密定期更新，用户提供登录密码，指定设备上使用，保证用户通过移动终端设备在互联网上的安全通信；具体方法如下：(1)用户注册时提供手机号码，服务器通过短信验证码的方式对手机号码进行确认，注册时服务器获得用户的手机号码，移动终端设备的标识码，WLANMAC,BLUETOOTHMAC，用户和服务器共享短信验证码和登录密码两个秘密；(2)用户移动终端软件对手机号码，短信验证码进行HASH计算生成一个认证用的终端通行证码保存在用户移动终端，短信验证码，登录密码，用户手机号码信息无需保存在移动终端；(3)用户在使用移动终端时，提供登录密码，移动终端获取终端通行证码和终端IMEI号、硬件信息和登录密码进行运算，然后把运算结果发送到服务器端进行认证，登录密码无需保存和发送，可以保证登录密码的安全性，如果本地认证用的终端通行证码丢失，则需要通过短信验证码认证的方式重新生成终端通行码；(4)用户移动终端软件通过服务器的数字证书和数字签字对服务器进行身份认证，确保服务器身份的真实性；(5)用户移动终端和服务器端双向认证时基于Differ-Hellman密钥协商协议协商会话密钥，然后进行数据加密和数据认证操作，保障通信安全。2.根据权利要求1所述的安全通信密钥协商交互方法，其特征在于，用户和移动终端注册步骤如下：(1)用户首先在移动终端安装应用软件，应用软件启动后，首先检查是否有网络服务器的证书，如果没有证书则自动从预置网站下载证书，用户首先进行注册，注册时输入：用户名，登录密码，用户手机号码，然后请求手机验证码；(2)服务器接收到用户的手机验证码请求后，根据用户输入的用户名，手机号码与已登记信息比对，如果用户名已存在，说明用户已经注册过，这时手机号必须为该用户已注册过的手机号码，如果用户名不存在，说明是新注册用户，手机号必须为新的号码；确认成功后发送短信验证码到手机号；(3)用户输入接收到的短信验证码，系统发送注册请求到服务器，内容包括：用户名，手机号码，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，HASH(用户名，手机号，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，短信验证码，时间戳)，以上内容使用服务器证书生成数字信封进行保护：随机生成密钥K，利用密钥K使用对称加密算法对注册请求进行加密，表示如下：EncK(用户名，手机号，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，HASH(用户名，手机号，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，短信验证码))；然后利用服务器证书里面的公钥PubK对密钥K进行加密，表示如下：EncPubK(K)；以上密码结果使用符合PKCS语法的数字信封格式进行封装；(4)服务器接收注册请求，首先利用私钥解密数字信封，然后服务器端生成HASH(用户名，手机号，终端IMEI号，WLANMAC,BLUETOOTHMAC,登录密码，短信验证码)，与接收到的HASH进行比较，如果一样则企业用户注册成功；(5)服务器生成Differ-Hellma...

【专利技术属性】
技术研发人员：张卫海，赵军，李传松，孙文浩，赵长江，刘培顺，戴洪尚，任传祥，
申请(专利权)人：青岛微智慧信息有限公司，
类型：发明
国别省市：山东;37