CN105025007A - 基于cpk的手机应用间及与服务器间的安全通信方式 - Google Patents

基于cpk的手机应用间及与服务器间的安全通信方式 Download PDF

Info

Publication number
CN105025007A
CN105025007A CN201510312418.0A CN201510312418A CN105025007A CN 105025007 A CN105025007 A CN 105025007A CN 201510312418 A CN201510312418 A CN 201510312418A CN 105025007 A CN105025007 A CN 105025007A
Authority
CN
China
Prior art keywords
mobile phone
application
server
cpk
secure communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510312418.0A
Other languages
English (en)
Inventor
宗旭
王一磊
石晓彬
汤磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Flash Mdt Infotech Ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201510312418.0A priority Critical patent/CN105025007A/zh
Publication of CN105025007A publication Critical patent/CN105025007A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了基于CPK的手机应用间及与服务器间的安全通信方式,包括用户证书申请与安全通信,采用CPK认证技术,使得智能手机应用之间、智能手机应用于服务器之间能进行安全的加密通信,且不需要维护大数据量的数据库,运行的效率得到大大提高。

Description

基于CPK的手机应用间及与服务器间的安全通信方式
技术领域
本发明涉及信息安全技术,尤其涉及基于CPK的智能手机应用之间、手机应用于服务器之间的安全通信方式。
背景技术
随着互联网的发展,对计算机和网络安全的要求也越来越高,相应的加密算法和技术也在蓬勃发展。目前的加密技术可分为两类,即对称密钥技术和非对称密钥技术。其中非对称密钥技术由于可以避免通过网络传递解密密钥即私钥的需要而得到广泛的应用。
非对称密钥目前最为本领域技术人员所公知的技术为PKI(Public KeyInfrastructure)。PKI的运行靠两大部件:层次化的CA(Certification Authority)机构和庞大的证书库LDAP。PKI靠第三方公证来解决标识和密钥的捆绑。为此需要建立庞大的层次化的CA认证机构。PKI还要靠在线运行的证书库的支持,证书库的在线运行引发了大量的网络信息流量,例如一方为了获得通信对方的证书,就需要向CA层层认证。正因为基于PKI技术实现的认证***依靠数据库在线运行,其运行效率很低,处理能力不大。据美国国防部反映,PKI将引起信息***,美军将来的通信也很难满足PKI带宽需求,而且引起机构***,为支持200万张CAC卡,全军新增了2500个CA工作站,人员管理和经费已到不堪重负的程度。于是当今的各国学者,包括部分PKI公司在内,正在寻找一种新的出路。
另一种非常具有前景的机密技术是IBE(Identity Based Eneryption)。1984年,Shamir提出了基于标识的签名设想,并推测基于标识的密码体制(简称IBE:Identity BasedEneryption)的存在性,但是一直没有找到具体的实现方法。
2001年Don Boneh和Matthew Franklin根据Shamir的想法,提出了从Weil配对来实现基于标识的密码体制。与PKI技术相比较,IBE算法虽然取消了庞大的层次化CA机构,但需要保留用户相关的参数。基于IBE算法实现的认证***依靠数据库在线运行,其运行效率很低,处理能力并不大。因为参数是与各用户相关,所以参数量与用户量成正比。只要需要公布用户相关信息,就需要目录库(LDAP)等数据库的支持,进而也没有办法减少动态的在线维护量。
公众网的发展和应用,提出了构筑可信网络***的新的要求。认证***是可信网络***的核心技术,而在认证***的核心技术则是密钥技术。密钥技术中有两大难点:规模化和基于标识的密钥分发。CPK密钥技术正好解决了这两个难点,为实现规模化公众网上实现可信***创造了条件。
CPK算法与IBE算法一样,也是基于标识的公钥算法。CPK不需要数据库的在线支持,可用一个芯片实现,在规模化、经济性、可行性、运行效率上具有前述两种体制无法比拟的优势。
随着智能手机的普及,移动办公的趋势越发不可阻挡。然而企业能够放心的展开移动办公的前提,是手机端和企业内网的服务器端能够进行安全的加密通信。
通常的安全通信方式为SSL/TLS,但是它需要第三方认证机构,必须有在线运行的证书库的支持,且需要维护具有大数据量的数据库,占用大量的存储空间,运行时的效率也不高,处理速度很慢。
发明内容
本发明要解决的技术问题是克服现有的缺陷,采用CPK认证技术,提供了基于CPK的智能手机应用之间、手机应用与服务器之间的安全通信方式,它不需要维护大数据量的数据库,运行的效率得到大大提高。
为了解决上述技术问题,本发明提供了如下的技术方案:
基于CPK的手机应用间及与服务器间的安全通信方式,包括用户证书申请与安全通信,
用户证书申请包括:
种子卡生成中心KPC,根据CPK认证技术中选定的椭圆曲线参数,生成公私钥矩阵,并导入到密钥管理中心KMC用的种子秘钥卡中;
密钥管理中心KMC,根据自己的种子秘钥卡,以及用户的个人唯一用户标识,生成用户证书;
注册管理中心RMC,负责对用户证书申请进行身份审核,通过之后从密钥管理中心KMC获取生成的用户证书,灌入到用户手机APP;
手机端APP,利用用户证书进行通信密钥的协商;
安全通信包括以下步骤:
(1)手机应用发送自己支持的对称加密算法列表给另一手机应用或服务器,并带上一个随机数a;
(2)另一手机应用或服务器收到消息后,返回通信阶段要使用的加密算法,并带上一个随机数b;
(3)手机应用收到消息后,产生随机数c,由a,b,c生成通信阶段需要的对称加密密钥;
(4)手机应用用CPK私钥加密随机数c,附上自己的个人唯一用户标识一并发送给另一手机应用或服务器;
(5)另一手机应用或服务器用手机应用的个人唯一用户标识算出手机应用的公钥,并解密随机数c,同样由a,b,c生成通信阶段需要的对称密钥;
(6)如果手机应用需要认证另一手机应用或服务器,则另一手机应用或服务器发送CPK签名到手机应用,并由手机应用进行验签;如果另一手机应用或服务器需要认证手机应用,则手机应用发送CPK签名到另一手机应用或服务器,并由另一手机应用或服务器进行验签;
(7)手机应用和另一手机应用或服务器使用协商出来的加密算法和加密秘钥进行正式通信。
进一步地,个人唯一用户标识主要是CPK ID。
进一步地,用户证书主要是一对公私钥。
进一步地,注册管理中心RMC还提供用户证书的状态管理。
本发明基于CPK的手机应用间及与服务器间的安全通信方式,采用CPK认证技术,使得智能手机应用之间、智能手机应用于服务器之间能进行安全的加密通信,且不需要维护大数据量的数据库,运行的效率得到大大提高。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为用户证书申请总体时序图;
图2为安全通信时序图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
CPK是组合公钥(Combined Public Key)的简写。CPK密钥管理体制是离散对数难题型的基于标识(身份)的密钥生成与管理的体制。它依据离散对数难题的数学原理构建公开密钥与私有密钥矩阵,采用杂凑函数与密码表换将实体的标识映射为矩阵的行坐标与列坐标序列,用以对矩阵元素进行选取与组合,生成数量庞大的由公开密钥和私有密钥组成的公、私密钥对,从而实现基于标识的超大规模的密钥生产与分发。
CPK密钥算法利用离散对数、椭圆曲线密码理论、构造公、私钥对,以映射算法将公、私钥变量和用户标识绑定、从而解决基于标识的密钥管理。CPK的密钥管理采用密钥集中生产,统筹配发的集中式模式,具有可控制、可管理的优点,便于构建由上而下的网络信任体制。CPK的密钥管理采用了密钥分散存储、静态调用的运行模式,从而可以实现第三方和非在先认证。
基于CPK的手机应用间及与服务器间的安全通信方式,包括用户证书申请与安全通信,
如图1所示,用户证书申请包括:
种子卡生成中心KPC,根据CPK认证技术中选定的椭圆曲线参数,生成公私钥矩阵,并导入到密钥管理中心KMC用的种子秘钥卡中;
密钥管理中心KMC,根据自己的种子秘钥卡,以及用户的个人唯一用户标识(主要是CPKID),生成用户证书(主要是一对公私钥);
注册管理中心RMC,负责对用户证书申请进行身份审核,通过之后从密钥管理中心KMC获取生成的用户证书,灌入到用户手机APP;注册管理中心RMC还提供用户证书的状态管理,比如挂失、锁定、解锁等;
手机端APP,利用用户证书进行通信密钥的协商;
如图2所示,智能手机应用之间、智能手机应用和服务器之间的加密通信过程是相似的,以下假设A与B之间需要安全通信,包括以下步骤:
(1)A发送自己支持的对称加密算法列表给B,并带上一个随机数a;
(2)B收到消息后,返回通信阶段要使用的加密算法,并带上一个随机数b;
(3)A收到消息后,产生随机数c,由a,b,c生成通信阶段需要的对称加密密钥;
(4)A用CPK私钥加密随机数c,附上自己的CPK ID一并发送给B;
(5)B用A的CPK ID算出A的公钥,并解密随机数c,同样由a,b,c生成通信阶段需要的对称密钥;
(6)如果A(B)需要认证B(A),则B(A)发送CPK签名到A(B),并由A(B)进行验签;
(7)A和B使用协商出来的加密算法和加密秘钥进行正式通信。
本发明基于CPK的手机应用间及与服务器间的安全通信方式,采用CPK认证技术,使得智能手机应用之间、智能手机应用于服务器之间能进行安全的加密通信,且不需要维护大数据量的数据库,运行的效率得到大大提高。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.基于CPK的手机应用间及与服务器间的安全通信方式,其特征在于:所述安全通信方式包括用户证书申请与安全通信,所述用户证书申请包括:
种子卡生成中心KPC,根据CPK认证技术中选定的椭圆曲线参数,生成公私钥矩阵,并导入到密钥管理中心KMC用的种子秘钥卡中;
密钥管理中心KMC,根据自己的种子秘钥卡,以及用户的个人唯一用户标识,生成用户证书;
注册管理中心RMC,负责对用户证书申请进行身份审核,通过之后从密钥管理中心KMC获取生成的用户证书,灌入到用户手机APP;
手机端APP,利用用户证书进行通信密钥的协商;
所述安全通信包括以下步骤:
(1)手机应用发送自己支持的对称加密算法列表给另一手机应用或服务器,并带上一个随机数a;
(2)另一手机应用或服务器收到消息后,返回通信阶段要使用的加密算法,并带上一个随机数b;
(3)手机应用收到消息后,产生随机数c,由a, b, c生成通信阶段需要的对称加密密钥;
(4)手机应用用CPK私钥加密随机数c,附上自己的个人唯一用户标识一并发送给另一手机应用或服务器;
(5)另一手机应用或服务器用手机应用的个人唯一用户标识算出手机应用的公钥,并解密随机数c,同样由a, b, c生成通信阶段需要的对称密钥;
(6)如果手机应用需要认证另一手机应用或服务器,则另一手机应用或服务器发送CPK签名到手机应用,并由手机应用进行验签;如果另一手机应用或服务器需要认证手机应用,则手机应用发送CPK签名到另一手机应用或服务器,并由另一手机应用或服务器进行验签;
(7)手机应用和另一手机应用或服务器使用协商出来的加密算法和加密秘钥进行正式通信。
2.根据权利要求1所述的基于CPK的手机应用间及与服务器间的安全通信方式,其特征在于:所述个人唯一用户标识主要是CPK ID。
3.根据权利要求1所述的基于CPK的手机应用间及与服务器间的安全通信方式,其特征在于:所述用户证书主要是一对公私钥。
4.根据权利要求1所述的基于CPK的手机应用间及与服务器间的安全通信方式,其特征在于:所述注册管理中心RMC还提供用户证书的状态管理。
CN201510312418.0A 2015-06-09 2015-06-09 基于cpk的手机应用间及与服务器间的安全通信方式 Pending CN105025007A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510312418.0A CN105025007A (zh) 2015-06-09 2015-06-09 基于cpk的手机应用间及与服务器间的安全通信方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510312418.0A CN105025007A (zh) 2015-06-09 2015-06-09 基于cpk的手机应用间及与服务器间的安全通信方式

Publications (1)

Publication Number Publication Date
CN105025007A true CN105025007A (zh) 2015-11-04

Family

ID=54414712

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510312418.0A Pending CN105025007A (zh) 2015-06-09 2015-06-09 基于cpk的手机应用间及与服务器间的安全通信方式

Country Status (1)

Country Link
CN (1) CN105025007A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105282179A (zh) * 2015-11-27 2016-01-27 中国电子科技集团公司第五十四研究所 一种基于cpk的家庭物联网安全控制的方法
CN106713236A (zh) * 2015-11-17 2017-05-24 成都腾甲数据服务有限公司 一种基于cpk标识认证的端对端身份认证及加密方法
CN108012268A (zh) * 2017-12-08 2018-05-08 北京虎符信息技术有限公司 一种手机终端SIM卡及安全使用App的方法、介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859091A (zh) * 2006-06-06 2006-11-08 南相浩 一种基于cpk的可信连接安全认证***和方法
US20090097657A1 (en) * 2007-10-05 2009-04-16 Scheidt Edward M Constructive Channel Key
CN101150399B (zh) * 2007-10-12 2011-01-19 四川长虹电器股份有限公司 共享密钥生成方法
CN103618607A (zh) * 2013-11-29 2014-03-05 北京易国信科技发展有限公司 一种数据安全传输和密钥交换方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859091A (zh) * 2006-06-06 2006-11-08 南相浩 一种基于cpk的可信连接安全认证***和方法
US20090097657A1 (en) * 2007-10-05 2009-04-16 Scheidt Edward M Constructive Channel Key
CN101150399B (zh) * 2007-10-12 2011-01-19 四川长虹电器股份有限公司 共享密钥生成方法
CN103618607A (zh) * 2013-11-29 2014-03-05 北京易国信科技发展有限公司 一种数据安全传输和密钥交换方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
许照慧等: "基于CPK的终端软件安全管理***的研究", 《计算机工程与设计》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713236A (zh) * 2015-11-17 2017-05-24 成都腾甲数据服务有限公司 一种基于cpk标识认证的端对端身份认证及加密方法
CN105282179A (zh) * 2015-11-27 2016-01-27 中国电子科技集团公司第五十四研究所 一种基于cpk的家庭物联网安全控制的方法
CN105282179B (zh) * 2015-11-27 2018-12-25 中国电子科技集团公司第五十四研究所 一种基于cpk的家庭物联网安全控制的方法
CN108012268A (zh) * 2017-12-08 2018-05-08 北京虎符信息技术有限公司 一种手机终端SIM卡及安全使用App的方法、介质

Similar Documents

Publication Publication Date Title
CN106961336B (zh) 一种基于sm2算法的密钥分量托管方法和***
CN101039182B (zh) 基于标识的公钥密码认证***及标识证书发放方法
Song et al. Efficient Attribute‐Based Encryption with Privacy‐Preserving Key Generation and Its Application in Industrial Cloud
CN110807206B (zh) 一种基于区块链和属性密码的高校证书存储管理***
CN102088349B (zh) 一种智能卡个人化的方法及***
CN107733654B (zh) 一种基于组合密钥的智能设备固件更新和正式用户证书分发方法
AU2006205987A1 (en) Identifier-based private key generating method and device
CN101166088A (zh) 基于用户身份标识的加解密方法
Saxena et al. Hybrid Cloud Computing for Data Security System
Balamurugan et al. Extensive survey on usage of attribute based encryption in cloud
Zhao et al. Fuzzy identity-based dynamic auditing of big data on cloud storage
CN105025007A (zh) 基于cpk的手机应用间及与服务器间的安全通信方式
CN105530089A (zh) 属性基加密方法和装置
CN103490890A (zh) 一种基于圆锥曲线组合公钥认证密码方法
Wang et al. A distributed access control with outsourced computation in fog computing
Ding et al. Secure Multi‐Keyword Search and Access Control over Electronic Health Records in Wireless Body Area Networks
CN114640459A (zh) 一种变电站测控及pmu装置的信息安全防御方法
CN103746798A (zh) 一种数据访问控制方法及***
Ramesh et al. Comparative analysis of applications of identity-based cryptosystem in IoT
Silambarasan et al. Attribute-based convergent encryption key management for secure deduplication in cloud
EP4008086A1 (en) System and method of cryptographic key management in a plurality of blockchain based computer networks
CN116171555A (zh) 具有多个子网的分布式网络
Bai Comparative research on two kinds of certification systems of the public key infrastructure (PKI) and the identity based encryption (IBE)
Zhang et al. SV-DEMR: An Electronic Medical Record Data Sharing Scheme Based on Searchable and Verifiable Encryption via Consortium Blockchain
Zhang et al. Enabling Efficient Decentralized and Privacy Preserving Data Sharing in Mobile Cloud Computing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Zhang Li

Inventor after: Zong Xu

Inventor after: Wang Yilei

Inventor after: Ma Hong

Inventor after: Shi Xiaobin

Inventor after: Tang Lei

Inventor before: Zong Xu

Inventor before: Wang Yilei

Inventor before: Shi Xiaobin

Inventor before: Tang Lei

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20170322

Address after: Kewei road Shenzhen city Guangdong province 518000 Nanshan District science and Technology Park No. 4 Room 102

Applicant after: Zhang Li

Address before: 215000 Jiangsu, Suzhou high tech Zone, Chuk Yuen Road, No. 209 A5019

Applicant before: Wang Yilei

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20170517

Address after: Room 998, No. 5 building 401A Hangzhou city 311100 Zhejiang District of Yuhang province Wuchang Street West

Applicant after: Hangzhou flash Mdt InfoTech Ltd

Address before: Kewei road Shenzhen city Guangdong province 518000 Nanshan District science and Technology Park No. 4 Room 102

Applicant before: Zhang Li

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20151104