本发明专利技术提供了基于CPK的手机应用间及与服务器间的安全通信方式,包括用户证书申请与安全通信,采用CPK认证技术,使得智能手机应用之间、智能手机应用于服务器之间能进行安全的加密通信,且不需要维护大数据量的数据库,运行的效率得到大大提高。
【技术实现步骤摘要】
本专利技术涉及信息安全技术,尤其涉及基于CPK的智能手机应用之间、手机应用于服务器之间的安全通信方式。
技术介绍
随着互联网的发展,对计算机和网络安全的要求也越来越高,相应的加密算法和技术也在蓬勃发展。目前的加密技术可分为两类,即对称密钥技术和非对称密钥技术。其中非对称密钥技术由于可以避免通过网络传递解密密钥即私钥的需要而得到广泛的应用。非对称密钥目前最为本领域技术人员所公知的技术为PKI (Public KeyInfrastructure)。PKI 的运行靠两大部件:层次化的 CA (Certif icat1n Authority)机构和庞大的证书库LDAP。PKI靠第三方公证来解决标识和密钥的捆绑。为此需要建立庞大的层次化的CA认证机构。PKI还要靠在线运行的证书库的支持,证书库的在线运行引发了大量的网络信息流量,例如一方为了获得通信对方的证书,就需要向CA层层认证。正因为基于PKI技术实现的认证系统依靠数据库在线运行,其运行效率很低,处理能力不大。据美国国防部反映,PKI将引起信息爆炸,美军将来的通信也很难满足PKI带宽需求,而且引起机构爆炸,为支持200万张CAC卡,全军新增了 2500个CA工作站,人员管理和经费已到不堪重负的程度。于是当今的各国学者,包括部分PKI公司在内,正在寻找一种新的出路。另一种非常具有前景的机密技术是IBE(Identity Based Enerypt1n)。1984年,Shamir提出了基于标识的签名设想,并推测基于标识的密码体制(简称IBE JdentityBased Enerypt1n)的存在性,但是一直没有找到具体的实现方法。2001 年 Don Boneh 和 Matthew Franklin 根据 Shamir 的想法,提出了从 Weil 配对来实现基于标识的密码体制。与PKI技术相比较,IBE算法虽然取消了庞大的层次化CA机构,但需要保留用户相关的参数。基于IBE算法实现的认证系统依靠数据库在线运行,其运行效率很低,处理能力并不大。因为参数是与各用户相关,所以参数量与用户量成正比。只要需要公布用户相关信息,就需要目录库(LDAP)等数据库的支持,进而也没有办法减少动态的在线维护量。公众网的发展和应用,提出了构筑可信网络系统的新的要求。认证系统是可信网络系统的核心技术,而在认证系统的核心技术则是密钥技术。密钥技术中有两大难点:规模化和基于标识的密钥分发。CPK密钥技术正好解决了这两个难点,为实现规模化公众网上实现可信系统创造了条件。CPK算法与IBE算法一样,也是基于标识的公钥算法。CPK不需要数据库的在线支持,可用一个芯片实现,在规模化、经济性、可行性、运行效率上具有前述两种体制无法比拟的优势。随着智能手机的普及,移动办公的趋势越发不可阻挡。然而企业能够放心的展开移动办公的前提,是手机端和企业内网的服务器端能够进行安全的加密通信。通常的安全通信方式为SSL/TLS,但是它需要第三方认证机构,必须有在线运行的证书库的支持,且需要维护具有大数据量的数据库,占用大量的存储空间,运行时的效率也不高,处理速度很慢。
技术实现思路
本专利技术要解决的技术问题是克服现有的缺陷,采用CPK认证技术,提供了基于CPK的智能手机应用之间、手机应用与服务器之间的安全通信方式,它不需要维护大数据量的数据库,运行的效率得到大大提高。为了解决上述技术问题,本专利技术提供了如下的技术方案:基于CPK的手机应用间及与服务器间的安全通信方式,包括用户证书申请与安全通信,用户证书申请包括:种子卡生成中心KPC,根据CPK认证技术中选定的椭圆曲线参数,生成公私钥矩阵,并导入到密钥管理中心KMC用的种子秘钥卡中;密钥管理中心KMC,根据自己的种子秘钥卡,以及用户的个人唯一用户标识,生成用户证书;注册管理中心RMC,负责对用户证书申请进行身份审核,通过之后从密钥管理中心KMC获取生成的用户证书,灌入到用户手机APP ;手机端APP,利用用户证书进行通信密钥的协商;安全通信包括以下步骤:(I)手机应用发送自己支持的对称加密算法列表给另一手机应用或服务器,并带上一个随机数a ;(2)另一手机应用或服务器收到消息后,返回通信阶段要使用的加密算法,并带上一个随机数b ;(3)手机应用收到消息后,产生随机数C,由a,b,c生成通信阶段需要的对称加密密钥;(4)手机应用用CPK私钥加密随机数C,附上自己的个人唯一用户标识一并发送给另一手机应用或服务器;(5)另一手机应用或服务器用手机应用的个人唯一用户标识算出手机应用的公钥,并解密随机数C,同样由a,b, c生成通信阶段需要的对称密钥;(6)如果手机应用需要认证另一手机应用或服务器,则另一手机应用或服务器发送CPK签名到手机应用,并由手机应用进行验签;如果另一手机应用或服务器需要认证手机应用,则手机应用发送CPK签名到另一手机应用或服务器,并由另一手机应用或服务器进行验签;(7)手机应用和另一手机应用或服务器使用协商出来的加密算法和加密秘钥进行正式通信。进一步地,个人唯一用户标识主要是CPK ID0进一步地,用户证书主要是一对公私钥。进一步地,注册管理中心RMC还提供用户证书的状态管理。本专利技术基于CPK的手机应用间及与服务器间的安全通信方式,采用CPK认证技术,使得智能手机应用之间、智能手机应用于服务器之间能进行安全的加密通信,且不需要维护大数据量的数据库,运行的效率得到大大提高。【附图说明】附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中:图1为用户证书申请总体时序图;当前第1页1 2 本文档来自技高网...
【技术保护点】
基于CPK的手机应用间及与服务器间的安全通信方式,其特征在于:所述安全通信方式包括用户证书申请与安全通信,所述用户证书申请包括:种子卡生成中心KPC,根据CPK认证技术中选定的椭圆曲线参数,生成公私钥矩阵,并导入到密钥管理中心KMC用的种子秘钥卡中;密钥管理中心KMC,根据自己的种子秘钥卡,以及用户的个人唯一用户标识,生成用户证书;注册管理中心RMC,负责对用户证书申请进行身份审核,通过之后从密钥管理中心KMC获取生成的用户证书,灌入到用户手机APP;手机端APP,利用用户证书进行通信密钥的协商;所述安全通信包括以下步骤:(1)手机应用发送自己支持的对称加密算法列表给另一手机应用或服务器,并带上一个随机数a;(2)另一手机应用或服务器收到消息后,返回通信阶段要使用的加密算法,并带上一个随机数b;(3)手机应用收到消息后,产生随机数c,由a, b, c生成通信阶段需要的对称加密密钥;(4)手机应用用CPK私钥加密随机数c,附上自己的个人唯一用户标识一并发送给另一手机应用或服务器;(5)另一手机应用或服务器用手机应用的个人唯一用户标识算出手机应用的公钥,并解密随机数c,同样由a, b, c生成通信阶段需要的对称密钥;(6)如果手机应用需要认证另一手机应用或服务器,则另一手机应用或服务器发送CPK签名到手机应用,并由手机应用进行验签;如果另一手机应用或服务器需要认证手机应用,则手机应用发送CPK签名到另一手机应用或服务器,并由另一手机应用或服务器进行验签;(7)手机应用和另一手机应用或服务器使用协商出来的加密算法和加密秘钥进行正式通信。...
【技术特征摘要】
【专利技术属性】
技术研发人员:宗旭,王一磊,石晓彬,汤磊,
申请(专利权)人:王一磊,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。