本发明专利技术公开了一种手机终端访问云存储服务器的安全方法,涉及手机信息安全领域。该方法包括以下步骤:1)当MP需要访问CS时,MP发向CS发送访问请求分组;2)CS向MP发送访问响应分组;3)MP导出加密密钥和完整校验密钥,验证分组有效性、并向CS发送操作请求分组;4)CS收到计算校验码以校验分组有效性、并构造操作响应分组发送给MP;5)MP判断随机数的正确性并计算校验码校验分组有效性,无误后数据访问操作成功。本发明专利技术在认证过程无需实现对云服务器的认证,能够满足手机终端和云服务器之间的安全认证和密钥协商需求;不仅能够节约通信开销,而且能够在保证安全性的条件上显著提高计算性能。
【技术实现步骤摘要】
一种手机终端访问云存储服务器的安全方法
本专利技术涉及移动终端信息安全领域,具体涉及一种手机终端访问云存储服务器的安全方法。
技术介绍
随着无线网络科技和嵌入式技术的发展,移动智能手机终端已经成了人们日常生活不可缺少的一部分;随着网络融合技术的发展和网络带宽的增加,移动智能手机终端逐渐成长为人们消费数字内容、存储、处理日常数据的主要工具。因此,基于移动智能手机终端的数字内容产业,具有关阔的发展空间和应用前景。对于存储在智能手机终端的用户数据来说,通常会面临以下两个问题:(1)存储容量和处理能力的限制智能手机终端虽然为用户提供了存储空间,为用户存储、处理和管理用户日常数据;但是相对于PC(个人电脑)而言,智能手机终端对数据的存储和处理能力均具有一定的局限性。随着云计算技术的发展,在云服务器端为用户开辟一块自己的存储区域,并由云服务器代理处理和管理用户数据已经成为一种趋势。(2)将用户数据存储于智能手机终端面临的安全隐私问题智能手机终端使用时存在一定的安全隐患(例如手机病毒、恶意软件、无线网络固有的安全问题导致用户数据泄露等),进而严重威胁用户、内容提供商、运营商等的多方安全和利益,阻碍了基于智能终端的数字内容产业的发展。为了解决上述问题,需要研究智能手机终端的安全保护方法,防止智能卡数据的非法访问,实现移动智能终端系统的安全性和可信性,进而促进基于智能终端的服务业的健康,并维护用户存储、管理、处理日常隐私数据的安全环境。目前,常见的智能手机终端的安全保护方法一般为:将用户手机终端的数据存储于云服务器端,让云服务器代理用户实现对其日常数据的存储、处理和管理任务。但是,由于智能手机终端和云服务器之间通过无线网络信道关联;与有限以太网相比,无线网络的安全性能较差。因此,为了保证智能手机终端和云服务器的安全通信,必须有效地解决云服务器和手机终端之间的安全认证及密钥协商问题。现有的无线网络的安全协议一般为:(1)无线局域网IEEE802.11i,(2)无线城域网IEEE802.16e等安全方案。上述安全协议需要各实体(智能手机终端和云服务器)均拥有独立身份,但是云服务器端是一个公认的通用实体,一般不需要赋予身份标识。因此,现有的安全协议无法满足手机终端和云服务器之间的安全认证和密钥协商需求。
技术实现思路
针对现有技术中存在的缺陷,本专利技术的目的在于提供一种手机终端访问云存储服务器的安全方法,本专利技术的CS无需身份标识,认证过程无需实现对云服务器的认证,能够满足手机终端和云服务器之间的安全认证和密钥协商需求;不仅在认证过程中无须传送数字证书,节约通信开销,而且在协议过程中避免了椭圆曲线上的双线性对运行,能够在保证安全性的条件上显著提高计算性能。为达到以上目的,本专利技术提供的一种手机终端访问云存储服务器的安全方法,包括以下步骤:A、当智能手机终端MP需要访问云存储服务器CS时,MP向CS发送访问请求分组信息;请求分组信息包括MP的身份信息MPID和MP所选取的第一随机数N1,转到步骤B;B、CS返回访问响应分组信息至MP,访问响应分组信息包括N1、CS所选取的随机数N2、CS选取的会话密钥K的密文辅助信息CHelp;CS使用K导出完整性校验密钥IK、并通过IK对第一完整性校验码MIC1字段之前的所有字段求取的MIC1值,转到步骤C;C、MP收到访问响应分组信息后,判定访问响应分组信息中的N1为自身所选取的N1;MP重新计算K的值,使用K导出EK和IK,通过IK重新计算MIC1,判定重新计算的MIC1与访问响应分组信息中的MIC1相同,转到步骤D;D、MP向CS发送操作请求分组信息,操作请求分组信息包括MP所选取的第三随机数N3、N2、MP对CS的操作标识Flag、MP设置的用于索引数据信息的索引值InfoIndex、InfoIndex字段表示的新数据信息Info的标识字段CInfo1;MP通过IK对第二完整性校验码MIC2字段之前的所有字段求取MIC2的值,转到步骤E;E、CS收到MP的操作请求分组信息后,判定操作请求分组信息中的随机数N2为自身所选取的N2;CS通过IK重新计算MIC2,判定重新计算的MIC2与操作请求分组信息中的MIC2相同,转到步骤F;F、CS根据操作请求分组信息中的Flag字段值进行响应操作,将存储的InfoIndex和Info删除;CS向MP发送操作响应分组信息,操作响应分组信息包括N3、InfoIndex和CInfo2,CS通过IK对第三完整性校验码MIC3字段之前的所有字段求取MIC3的值,转到步骤G;G、MP收到操作响应分组信息后,判定操作响应分组信息中的N3为自身所选取的N3:MP通过IK重新计算MIC3,判断重新计算的MIC3与操作响应分组信息中的MIC3相同,数据访问操作成功,结束。在上述技术方案的基础上,步骤B中所述CHelp=r·P,其中r为CS选取的一个秘密随机数,P为G1的生成元,G1为可信第三方TTP选取的q阶加法循环群,q为TTP选取的大素数。在上述技术方案的基础上,步骤B中CS通过IK对MIC1字段之前的所有字段求取的MIC1值,具体包括以下步骤:定义K=r·QTTP·MPID,其中QTTP为TTP的公钥,QTTP=STTP·P∈G1;通过K导出加密密钥EK和IK;使用IK对MIC1字段之前的所有字段求取完整性校验码的值。在上述技术方案的基础上,步骤C中所述MP重新计算K的值的计算公式为:K=CHelp·MPKEY,其中MPKEY为MP的私钥,MPKEY=MPID·STTP。在上述技术方案的基础上,步骤D中所述CInfo1字段设定如下:当Flag取值为0时,CInfo1值为空;当Flag取值为1时,CInfo1字段值为根据InfoIndex索引到的数Info的密文,即EK对Info加密得到CInfo1;当Flag取值为2时,CInfo1字段值为空。在上述技术方案的基础上,步骤F中所述CS根据操作请求分组信息中的Flag字段值进行响应操作,具体包括以下步骤:当Flag取值为0时,表示存入索引为InfoIndex字段表示的新数据信息,若CS已经存储了信息索引等于InfoIndex字段值的数据,则使用新数据信息覆盖原有信息;CInfo2值等于InfoIndex字段表示的新数据信息Info的密文,即使用EK对Info加密得到CInfo2,使用EK解密CInfo2得到数据信息Info明文;当Flag取值为1时,表示读取索引为InfoIndex字段表示的数据信息,CInfo2字段值为空,根据InfoIndex字段,找到对应的Info信息;当Flag取值为2时,CInfo2字段值为空。在上述技术方案的基础上,步骤G中所述数据访问操作成功具体包括以下流程:当Flag取值为0时,表示数据写入成功,当Flag取值为1时,使用EK解密CInfo2得到Info明文,Info即为CS所要读取的对应于InfoIndex字段的数据信息;当Flag取值为2时,表示数据删除成功。在上述技术方案的基础上,步骤C中所述MP收到访问响应分组信息之后,还包括以下步骤:判定访问响应分组信息中的N1不为自身所选取的N1,验证无效,协议出错停止,结束;步骤C中所述通过IK重新计算MIC1之后,还包括以下步骤:判本文档来自技高网...
【技术保护点】
一种手机终端访问云存储服务器的安全方法,其特征在于,包括以下步骤:A、当智能手机终端MP需要访问云存储服务器CS时,MP向CS发送访问请求分组信息;请求分组信息包括MP的身份信息MPID和MP所选取的第一随机数N1,转到步骤B;B、CS返回访问响应分组信息至MP,访问响应分组信息包括N1、CS所选取的随机数N2、CS选取的会话密钥K的密文辅助信息CHelp;CS使用K导出完整性校验密钥IK、并通过IK对第一完整性校验码MIC1字段之前的所有字段求取的MIC1值,转到步骤C;C、MP收到访问响应分组信息后,判定访问响应分组信息中的N1为自身所选取的N1;MP重新计算K的值,使用K导出EK和IK,通过IK重新计算MIC1,判定重新计算的MIC1与访问响应分组信息中的MIC1相同,转到步骤D;D、MP向CS发送操作请求分组信息,操作请求分组信息包括MP所选取的第三随机数N3、N2、MP对CS的操作标识Flag、MP设置的用于索引数据信息的索引值InfoIndex、InfoIndex字段表示的新数据信息Info的标识字段CInfo1;MP通过IK对第二完整性校验码MIC2字段之前的所有字段求取MIC2的值,转到步骤E;E、CS收到MP的操作请求分组信息后,判定操作请求分组信息中的随机数N2为自身所选取的N2;CS通过IK重新计算MIC2,判定重新计算的MIC2与操作请求分组信息中的MIC2相同,转到步骤F;F、CS根据操作请求分组信息中的Flag字段值进行响应操作,将存储的InfoIndex和Info删除;CS向MP发送操作响应分组信息,操作响应分组信息包括N3、InfoIndex和CInfo2,CS通过IK对第三完整性校验码MIC3字段之前的所有字段求取MIC3的值,转到步骤G;G、MP收到操作响应分组信息后,判定操作响应分组信息中的N3为自身所选取的N3:MP通过IK重新计算MIC3,判断重新计算的MIC3与操作响应分组信息中的MIC3相同,数据访问操作成功,结束。...
【技术特征摘要】
1.一种手机终端访问云存储服务器的安全方法,其特征在于,包括以下步骤:A、当智能手机终端MP需要访问云存储服务器CS时,MP向CS发送访问请求分组信息;请求分组信息包括MP的身份信息MPID和MP所选取的第一随机数N1,转到步骤B;B、CS返回访问响应分组信息至MP,访问响应分组信息包括N1、CS所选取的随机数N2、CS选取的会话密钥K的密文辅助信息CHelp;CS使用K导出完整性校验密钥IK、并通过IK对第一完整性校验码MIC1字段之前的所有字段求取的MIC1值,转到步骤C;C、MP收到访问响应分组信息后,判定访问响应分组信息中的N1为自身所选取的N1;MP重新计算K的值,使用K导出EK和IK,通过IK重新计算MIC1,判定重新计算的MIC1与访问响应分组信息中的MIC1相同,转到步骤D;D、MP向CS发送操作请求分组信息,操作请求分组信息包括MP所选取的第三随机数N3、N2、MP对CS的操作标识Flag、MP设置的用于索引数据信息的索引值InfoIndex、InfoIndex字段表示的新数据信息Info的标识字段CInfo1;MP通过IK对第二完整性校验码MIC2字段之前的所有字段求取MIC2的值,转到步骤E;E、CS收到MP的操作请求分组信息后,判定操作请求分组信息中的随机数N2为自身所选取的N2;CS通过IK重新计算MIC2,判定重新计算的MIC2与操作请求分组信息中的MIC2相同,转到步骤F;F、CS根据操作请求分组信息中的Flag字段值进行响应操作,将存储的InfoIndex和Info删除;CS向MP发送操作响应分组信息,操作响应分组信息包括N3、InfoIndex和CInfo2,CS通过IK对第三完整性校验码MIC3字段之前的所有字段求取MIC3的值,转到步骤G;G、MP收到操作响应分组信息后,判定操作响应分组信息中的N3为自身所选取的N3:MP通过IK重新计算MIC3,判断重新计算的MIC3与操作响应分组信息中的MIC3相同,数据访问操作成功,结束;步骤B中所述CHelp=r·P,其中r为CS选取的一个秘密随机数,P为G1的生成元,G1为可信第三方TTP选取的q阶加法循环群,q为TTP选取的大素数;步骤B中CS通过IK对MIC1字段之前的所有字段求取的MIC1值,具体包括以下步骤:定义K=r·QTTP·MPID,其中QTTP为TTP的公钥,QTTP=STTP·P∈G1;通过K导出加密密钥EK和IK;使用IK对MIC1字段之前的所有字段求取完整性校验码的值;步骤C中所述MP重新计算K的值的计算公式为:K=CHelp·MPKEY,其中MPKEY为MP的私钥,MPKEY=MP...
【专利技术属性】
技术研发人员:裴庆祺,冷昊,李红宁,李子,马立川,王祥,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。