一种防止MITM攻击的方法及系统技术方案

本发明专利技术提供的一种防止MITM攻击的方法及系统，通过将服务端公钥证书存储于终端，而服务端存储相应的服务端私钥证书，在建立通信连接前先互相进行身份校验，即使信任了中间人证书，由于服务端在发送数据前需要一次校验，中间人没有服务端私钥证书，即使截获了数据也无法进行解密操作，另外由于终端使用的是本地存储的服务端公钥证书对服务端进行身份校验，中间人也无法绕过身份验证，从而无法得知通信内容，安全性高且能防止中间人攻击。

【技术实现步骤摘要】
一种防止MITM攻击的方法及系统
本专利技术涉及网络安全
，特别涉及一种防止MITM攻击的方法及系统。
技术介绍
中间人攻击(Man-in-the-MiddleAttack，简称“MITM攻击”)是一种由来已久的通信攻击手段，随着计算机网络通信技术的不断发展，移动应用取得了爆发式的增长，而MITM攻击也已经渗透到了移动应用中，并且攻击方式也越来越多。攻击者通过伪装让移动应用误以为是在跟自己的服务端进行通信，从而窃取到个人隐私或敏感信息，更有甚者，通过篡改通信数据造成服务端出现误操作造成用户财产损失。现有技术通常采用以下两种方法来防止MITM攻击，方法一，通过对通信数据加密的方式来防止MITM攻击，即移动应用使用一系列算法(如RSA、AES、加盐等)将数据进行加密处理后，传递到服务端，服务端对数据进行解密处理后将响应数据也按照约定的算法进行加密处理后传递给移动应用，移动应用对数据进行解密后得到原始数据。方法二，通过在移动应用与服务端通信前，先进行一次带自身身份信息的公私钥交换。移动应用向服务端发送通信请求，服务端传给移动应用带身份信息的服务端公钥证书，移动应用根据证书信任列表对服务端公钥证书进行验证，验证通过后保存服务身份信息，并使用服务端公钥加密移动应用密钥传递给服务端，服务端使用服务端私钥证书解密后获得移动应用密钥，当完成以上非对称加解密后通信连接成功，服务端使用移动应用的密钥对数据进行对称加密,与移动应用进行数据传输。方法一中由于攻击者截获到的仅仅是加密过的数据，方法一存在的缺点是：中间人可以通过重放请求攻击服务器。方法二存在的缺点是：无法抵御证书劫持的中间人攻击，中间人让移动应用信任中间人证书后，便可以劫持移动应用与服务端之间所有的通信内容，然后中间人伪装成移动应用与服务端进行通信，将移动应用发送给服务端的数据处理后发送给服务端，将服务端返回给移动应用的内容处理后发送给移动应用，伪装成服务端与移动应用进行通信，从而达到攻击的目的。因此，需要一种安全性更高，能克服上述缺点的方法及系统。
技术实现思路
本专利技术所要解决的技术问题是：提供一种安全性高的防止MITM攻击的方法及系统。为了解决上述技术问题，本专利技术采用的一种技术方案为：一种防止MITM攻击的方法，包括步骤：S1、终端将移动应用身份信息通过存储于本地的服务端公钥证书进行加密，得到第一数据，并将所述第一数据发送至服务端；S2、服务端接收所述第一数据，用服务端私钥证书对所述第一数据进行解密并校验所述移动应用身份信息，若校验成功，则通过所述服务端私钥证书对服务端身份信息进行签名，得到响应数据，并将所述响应数据返回至终端；S3、终端接收所述响应数据，通过所述服务端公钥证书对所述响应数据进行身份校验，若校验成功，则采用所述服务端公钥证书对移动应用密钥加密，得到第二数据，并将所述第二数据发送至服务端；S4、服务端接收所述第二数据，用服务端私钥证书对所述第二数据解密后得到所述移动应用密钥，保存所述移动应用密钥，并通过所述移动应用密钥对与所述终端进行交互的数据进行对称加密。为了解决上述技术问题，本专利技术采用的另一种技术方案为：一种防止MITM攻击的系统，包括终端和服务端，所述终端包括第一存储器、第一处理器及存储在第一存储器上并可在第一处理器上运行的第一计算机程序，所述服务端包括第二存储器、第二处理器及存储在第二存储器上并可在第二处理器上运行的第二计算机程序；所述第一处理器执行所述第一计算机程序时实现以下步骤：S1、将移动应用身份信息通过存储于本地的服务端公钥证书进行加密，得到第一数据，并将所述第一数据发送至服务端；S3、接收响应数据，通过所述服务端公钥证书对所述响应数据进行身份校验，若校验成功，则采用所述服务端公钥证书对移动应用密钥加密，得到第二数据，并将所述第二数据发送至服务端，所述响应数据为成功验证移动应用身份信息后，通过服务端私钥证书对服务端身份信息签名得到的；所述第二处理器执行所述第二计算机程序时实现以下步骤：S2、接收所述第一数据，用服务端私钥证书对所述第一数据进行解密并校验所述移动应用身份信息，若校验成功，则通过所述服务端私钥证书对服务端身份信息进行签名，得到响应数据，并将所述响应数据返回至终端；S4、接收所述第二数据，用服务端私钥证书对所述第二数据解密后得到所述移动应用密钥，保存所述移动应用密钥，并通过所述移动应用密钥对与所述终端进行交互的数据进行对称加密。本专利技术的有益效果在于：通过将服务端公钥证书存储于终端，而服务端存储相应的服务端私钥证书，在建立通信连接前先互相进行身份校验，即使信任了中间人证书，由于服务端在发送数据前需要一次校验，中间人没有服务端私钥证书，即使截获了数据也无法进行解密操作，另外由于终端使用的是本地存储的服务端公钥证书对服务端进行身份校验，中间人也无法绕过身份验证，从而无法得知通信内容，安全性高且能防止中间人攻击。附图说明图1为本专利技术实施例的防止MITM攻击的方法流程图；图2为本专利技术实施例的防止MITM攻击的系统的结构示意图；标号说明：1、防止MITM攻击的方法；2、控制端；3、第三存储器；4、第三处理器；5、服务端；6、第二存储器；7、第二处理器；8、终端；9、第一存储器；10、第一处理器。具体实施方式为详细说明本专利技术的
技术实现思路
、所实现目的及效果，以下结合实施方式并配合附图予以说明。本专利技术最关键的构思在于:服务端公钥证书存储于终端，而服务端存储相应的服务端私钥证书，在建立通信连接前先互相进行身份校验，中间人没有服务端私钥证书无法进行解密操作，且中间人无法进行解密操作，安全性高。请参照图1，一种防止MITM攻击的方法，包括步骤：S1、终端将移动应用身份信息通过存储于本地的服务端公钥证书进行加密，得到第一数据，并将所述第一数据发送至服务端；S2、服务端接收所述第一数据，用服务端私钥证书对所述第一数据进行解密并校验所述移动应用身份信息，若校验成功，则通过所述服务端私钥证书对服务端身份信息进行签名，得到响应数据，并将所述响应数据返回至终端；S3、终端接收所述响应数据，通过所述服务端公钥证书对所述响应数据进行身份校验，若校验成功，则采用所述服务端公钥证书对移动应用密钥加密，得到第二数据，并将所述第二数据发送至服务端；S4、服务端接收所述第二数据，用服务端私钥证书对所述第二数据解密后得到所述移动应用密钥，保存所述移动应用密钥，并通过所述移动应用密钥对与所述终端进行交互的数据进行对称加密。从上述描述可知，本专利技术的有益效果在于：通过将服务端公钥证书存储于终端，而服务端存储相应的服务端私钥证书，在建立通信连接前先互相进行身份校验，即使信任了中间人证书，由于服务端在发送数据前需要一次校验，中间人没有服务端私钥证书，即使截获了数据也无法进行解密操作，另外由于终端使用的是本地存储的服务端公钥证书对服务端进行身份校验，中间人也无法绕过身份验证，从而无法得知通信内容，安全性高且能防止中间人攻击。进一步的，步骤S1之前还包括：S01、控制端制作服务端公钥证书和对应的服务端私钥证书，将所述服务端公钥证书加密后以物理形式存储于终端，将所述服务端私钥证书存储于服务端。由上述描述可知，通过将服务端公钥证书加密后以物理形式存储于终端，而将所述服务端私钥证本文档来自技高网...

【技术保护点】
1.一种防止MITM攻击的方法，其特征在于，包括步骤：S1、终端将移动应用身份信息通过存储于本地的服务端公钥证书进行加密，得到第一数据，并将所述第一数据发送至服务端；S2、服务端接收所述第一数据，用服务端私钥证书对所述第一数据进行解密并校验所述移动应用身份信息，若校验成功，则通过所述服务端私钥证书对服务端身份信息进行签名，得到响应数据，并将所述响应数据返回至终端；S3、终端接收所述响应数据，通过所述服务端公钥证书对所述响应数据进行身份校验，若校验成功，则采用所述服务端公钥证书对移动应用密钥加密，得到第二数据，并将所述第二数据发送至服务端；S4、服务端接收所述第二数据，用服务端私钥证书对所述第二数据解密后得到所述移动应用密钥，保存所述移动应用密钥，并通过所述移动应用密钥对与所述终端进行交互的数据进行对称加密。

【技术特征摘要】
1.一种防止MITM攻击的方法，其特征在于，包括步骤：S1、终端将移动应用身份信息通过存储于本地的服务端公钥证书进行加密，得到第一数据，并将所述第一数据发送至服务端；S2、服务端接收所述第一数据，用服务端私钥证书对所述第一数据进行解密并校验所述移动应用身份信息，若校验成功，则通过所述服务端私钥证书对服务端身份信息进行签名，得到响应数据，并将所述响应数据返回至终端；S3、终端接收所述响应数据，通过所述服务端公钥证书对所述响应数据进行身份校验，若校验成功，则采用所述服务端公钥证书对移动应用密钥加密，得到第二数据，并将所述第二数据发送至服务端；S4、服务端接收所述第二数据，用服务端私钥证书对所述第二数据解密后得到所述移动应用密钥，保存所述移动应用密钥，并通过所述移动应用密钥对与所述终端进行交互的数据进行对称加密。2.根据权利要求1所述的防止MITM攻击的方法，其特征在于，步骤S1之前还包括：S01、控制端制作服务端公钥证书和对应的服务端私钥证书，将所述服务端公钥证书加密后以物理形式存储于终端，将所述服务端私钥证书存储于服务端。3.根据权利要求1所述的防止MITM攻击的方法，其特征在于，所述步骤S01之后还包括：S02、控制端制作备用的服务端公钥证书和对应的备用的服务端私钥证书，并存储于所述服务端的安全区域，且所述备用的服务端公钥证书和所述备用的服务端私钥证书的过期时间大于所述服务端公钥证书和服务端私钥证书。4.根据权利要求3所述的防止MITM攻击的方法，其特征在于，当终端使用当前的服务端公钥证书与服务端第一次校验成功时发送至服务端的第二数据包含向服务端获取与所述备用的服务端私钥证书对应的备用的服务端公钥证书的请求，以使得服务端将所述备用的服务端公钥证书发送至所述终端并存储。5.根据权利要求4所述的防止MITM攻击的方法，其特征在于，还包括步骤：S51、当服务端私钥证书过期或接收到更新服务端私钥证书的请求时，控制端将所述服务端私钥证书替换为所述备用的服务端私钥证书，以使得所述终端校验服务端身份信息失败后，将所述服务端公钥证书替换为与所述备用的服务端私钥证书对应的备用的服务端公钥证书，并执行步骤S1、S3；S52、执行步骤S02。6.一种防止MITM攻击的系统，包括终端和服务端，所述终端包括第一存储器、第一处理器及存储在第一存储器上并可在第一处理器上运行的第一计算机程序，所述服务端包括第二存储器、第二处理器及存储在第二存储器上并可在第二处理器上运行的第二计算机程序；所述第一处理器执行所述第一计算机程序时实现以...

【专利技术属性】
技术研发人员：刘德建，施文龙，郭玉湖，
申请(专利权)人：福建天泉教育科技有限公司，
类型：发明
国别省市：福建,35