一種基于移動終端應(yīng)用程序安全應(yīng)用的開發(fā)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于移動終端應(yīng)用程序安全應(yīng)用的開發(fā)方法及系統(tǒng),該系統(tǒng)包括:發(fā)送終端,安全SDK,服務(wù)器,接收終端;該方法包括:發(fā)送終端向服務(wù)器請求隨機數(shù),在接收到請求的隨機數(shù)后,調(diào)用發(fā)送終端私鑰對該隨機數(shù)進行簽名,并將簽名結(jié)果和簽名公鑰證書發(fā)送至所述服務(wù)器;身份認證成功后,調(diào)用安全SDK,使用對稱密鑰對接收的所述數(shù)據(jù)信息進行加密,采用所述接收終端公鑰對該對稱密鑰進行加密,將經(jīng)加密的對稱密鑰和數(shù)據(jù)信息發(fā)送給接收終端;所述接收終端調(diào)用所述安全SDK解密密文數(shù)據(jù);通過本發(fā)明避免了數(shù)據(jù)信息安全的相關(guān)問題,包括身份認證、數(shù)據(jù)外泄、設(shè)備管控等。
【專利說明】一種基于移動終端應(yīng)用程序安全應(yīng)用的開發(fā)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種移動終端數(shù)據(jù)安全領(lǐng)域,尤其涉及一種基于移動終端應(yīng)用程序安全應(yīng)用的開發(fā)方法及系統(tǒng)。
【背景技術(shù)】
[0002]PKI:Public Key Infrastructure,即公鑰基礎(chǔ)設(shè)施,是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它能夠為所有信息安全應(yīng)用提供加解密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。
[0003]證書SDK:Software Development Kit,基于PKI體系,一個可以提供安全支撐的開發(fā)平臺,內(nèi)部對不同類型,不同介質(zhì),不同規(guī)范的證書操作進行統(tǒng)一接口封裝,用戶無需要關(guān)心復(fù)雜的安全細節(jié),只需調(diào)用相應(yīng)接口得到自己相要的結(jié)果數(shù)據(jù)(如Pl,P7簽驗,數(shù)據(jù)信封,對稱加解密,HASH等等)。本SDK要支持跨平臺,支持主流的CSP,P11,國密規(guī)范,支持軟硬證書。
[0004]HMAC:Hash-based Message Authentication Code,是密鑰相關(guān)的哈希運算消息認證碼,HMAC運算利用哈希算法,以一個密鑰和一個消息為輸入,生成一個消息摘要作為輸出。
[0005]隨著信息時代的進步和發(fā)展,移動智能手機得到了迅速的普及,移動終端應(yīng)用作為智能手機的核心,不計其數(shù)、種類繁多的移動終端應(yīng)用程序占領(lǐng)了移動應(yīng)用市場,這些應(yīng)用滿足了用戶不同方面的需求。從用戶交互形式上可以分為:用戶登錄、用戶注冊、用戶認證等,從文本數(shù)據(jù)信息傳輸上可以分為:云電話、郵件、查看文檔、文件存儲。從信息展示展示上可以分為:通訊錄、郵件、瀏覽器等應(yīng)用;移動終端應(yīng)用提供信息展示、傳輸以及存儲的功能,而沒有考慮到利用加密技術(shù)進行封裝,保證數(shù)據(jù)全生命周期的安全管理。
[0006]現(xiàn)有使用比較廣泛的一些系統(tǒng)都是以口令、域認證以及密碼鎖作為身份認證,并且對于數(shù)據(jù)的傳輸全部采用明文方式;數(shù)據(jù)都是以明文存儲到本地;
[0007]
【權(quán)利要求】
1.一種基于移動終端應(yīng)用程序安全應(yīng)用的開發(fā)方法,該方法包括如下步驟: 1)發(fā)送終端向服務(wù)器請求隨機數(shù),在接收到請求的隨機數(shù)后,調(diào)用發(fā)送終端私鑰對該隨機數(shù)進行簽名,并將簽名結(jié)果和簽名公鑰證書發(fā)送至所述服務(wù)器,該服務(wù)器進行證書有效性驗證并驗簽,返回認證結(jié)果,如果驗證通過,跳至步驟2); 2)發(fā)送終端調(diào)用安全SDK,并向所述SDK發(fā)送用戶信息及數(shù)據(jù)信息,所述安全SDK根據(jù)所述用戶信息獲取接收終端公鑰,然后在本地產(chǎn)生對稱密鑰,并使用該對稱密鑰對接收的所述數(shù)據(jù)信息進行加密,采用所述接收終端公鑰對該對稱密鑰進行加密,將經(jīng)加密的對稱密鑰和數(shù)據(jù)信息拼裝成數(shù)字信封,最后將該數(shù)字信封返回到發(fā)送終端; 3)發(fā)送終端向接收終端發(fā)送上述數(shù)字信封; 4)所述接收終端接收到所述數(shù)字信封后,調(diào)用所述安全SDK,該安全SDK解析所述數(shù)字信封,解析出密文對稱密鑰和密文數(shù)據(jù),使用接收終端私鑰解密密文對稱密鑰,使用明文對稱密鑰解密密文數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的方法,所述步驟I)中,發(fā)送終端在接收到請求的隨機數(shù)后,進行枚舉設(shè)備、打開設(shè)備、枚舉證書,然后驗證PIN碼,如果驗證失敗,則結(jié)束驗證流程,如果驗證成功,才繼續(xù)后續(xù)的驗證步驟。
3.根據(jù)權(quán)利要求1所述的方法,所述步驟2)中所述安全SDK根據(jù)所述用戶信息獲取所述接收終端公鑰包括:所述安全SDK根據(jù)所述用戶信息在本地查找所述接收終端公鑰,如果本地不存在,則將所述用戶信息發(fā)送到服務(wù)器,從所述服務(wù)器接收所述接收終端公鑰。
4.根據(jù)權(quán)利要求1所述的方法,所述發(fā)送終端和接收終端分別為發(fā)送郵件終端和接收郵件終端,所述服務(wù)器包括郵件安全管理平臺和郵件服務(wù)器,所述發(fā)送郵件終端通過該郵件服務(wù)器向所述接收郵件終端發(fā)送郵件。
5.根據(jù)權(quán)利要求4所述的方法,所述步驟2)中發(fā)送郵件終端調(diào)用所述安全SDK,并向所述安全SDK發(fā)送明文的E-mail、郵件接收者列表,所述安全SDK根據(jù)該郵件接收者列表獲取接收郵件終端公鑰,并驗證該公鑰的有效性,驗證通過后,對郵件簽名。
6.根據(jù)權(quán)利要求5所述的方法,所述步驟4)中使用明文對稱密鑰解密密文數(shù)據(jù)后,需要驗證接收郵件終端公鑰的有效性。
7.一種基于移動終端應(yīng)用程序安全應(yīng)用的開發(fā)系統(tǒng),該系統(tǒng)包括:發(fā)送終端,安全SDK,服務(wù)器,接收終端; 發(fā)送終端向服務(wù)器請求隨機數(shù),在接收到請求的隨機數(shù)后,調(diào)用發(fā)送終端私鑰對該隨機數(shù)進行簽名,并將簽名結(jié)果和簽名公鑰證書發(fā)送至所述服務(wù)器,該服務(wù)器進行證書有效性驗證并驗簽,返回認證結(jié)果;發(fā)送終端在身份認證成功后,調(diào)用安全SDK,并向所述SDK發(fā)送用戶信息及數(shù)據(jù)信息,所述安全SDK根據(jù)所述用戶信息獲取接收終端公鑰,然后在本地產(chǎn)生對稱密鑰,并使用該對稱密鑰對接收的所述數(shù)據(jù)信息進行加密,采用所述接收終端公鑰對該對稱密鑰進行加密,將經(jīng)加密的對稱密鑰和數(shù)據(jù)信息拼裝成數(shù)字信封,最后將該數(shù)字信封返回到發(fā)送終端,發(fā)送終端向接收終端發(fā)送上述數(shù)字信封;所述接收終端接收到所述數(shù)字信封后,調(diào)用所述安全SDK,該安全SDK解析所述數(shù)字信封,解析出密文對稱密鑰和密文數(shù)據(jù),使用接收終端私鑰解密密文對稱密鑰,使用明文對稱密鑰解密密文數(shù)據(jù)。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),發(fā)送終端在接收到請求的隨機數(shù)后,進行枚舉設(shè)備、打開設(shè)備、枚舉證書,然后驗證PIN碼,如果驗證失敗,則結(jié)束驗證流程,如果驗證成功,才繼續(xù)后續(xù)的驗證步驟。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),所述安全SDK根據(jù)所述用戶信息獲取所述接收終端公鑰包括:所述安全SDK根據(jù)所述用戶信息在本地查找所述接收終端公鑰,如果本地不存在,則將所述用戶信息發(fā)送到服務(wù)器,從所述服務(wù)器接收所述接收終端公鑰。
10.根據(jù)權(quán)利要求7所述的系統(tǒng),所述發(fā)送終端和接收終端分別為發(fā)送郵件終端和接收郵件終端,所述服務(wù)器包括郵件安全管理平臺和郵件服務(wù)器,所述發(fā)送郵件終端通過該郵件服務(wù)器向所述接收郵件終端發(fā)送郵件。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),所述發(fā)送郵件終端調(diào)用所述安全SDK,并向所述安全SDK發(fā)送明文的E-mail、郵件接收者列表,所述安全SDK根據(jù)該郵件接收者列表獲取接收郵件終端公鑰,并驗證該公鑰的有效性,驗證通過后,對郵件簽名。
12.根據(jù)權(quán)利要求10所述的系統(tǒng),所述安全SDK使用明文對稱密鑰解密密文數(shù)據(jù)后,需要驗證接收郵件終端公鑰的有效性。
13.根據(jù)權(quán)利要求7所述的系統(tǒng),該系統(tǒng)還包括一數(shù)據(jù)庫,用于針對sqlite3的頁面文件進行加密和解密。1 4.根據(jù)權(quán)利要求13所述的系統(tǒng),該系統(tǒng)還包括一移動管理控制臺,提供一個UI操作界面,對移動終端行為以及用戶進行管控,包括用戶管理、策略配置、日志審計。
【文檔編號】H04L29/06GK103812871SQ201410062383
【公開日】2014年5月21日 申請日期:2014年2月24日 優(yōu)先權(quán)日:2014年2月24日
【發(fā)明者】張帥, 咸赫男, 喻波, 王志華 申請人:北京明朝萬達科技有限公司