CN104717643B - 一种移动设备安全通信平台 - Google Patents
一种移动设备安全通信平台 Download PDFInfo
- Publication number
- CN104717643B CN104717643B CN201310681316.7A CN201310681316A CN104717643B CN 104717643 B CN104717643 B CN 104717643B CN 201310681316 A CN201310681316 A CN 201310681316A CN 104717643 B CN104717643 B CN 104717643B
- Authority
- CN
- China
- Prior art keywords
- module
- data
- layer
- security
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种移动设备安全通信平台,采用分层结构,从上到下分别为:应用层,为需要安全技术支持的应用程序;API层,对应用层使用到的安全技术进行聚合和系统化,为应用开发者提供简单明晰的应用接口;安全功能库层,用于具体实现数据存储安全、数据读取安全、网络数据安全和移动浏览器安全;硬件支撑层,提供安全功能库层对底层硬件的功能调用接口;移动OS层;硬件层。本发明将基于PKI的安全技术同基于IBE的安全技术创造性地结合到一起,为不同应用场合提供更为自由的选择方案,同时针对移动平台的平台特点,形成一套完整的易于使用的安全接口,为上层应用程序提供所需的安全机制,确保上层应用的安全性。
Description
技术领域
本发明属于移动互联网技术领域,具体涉及一种移动设备安全通信平台,可以实现智能手机等移动终端设备的安全通信。
背景技术
智能移动终端借助功能丰富的应用软件,迅速深入到了人们生活中的方方面面,特别是智能手机。我们正处在智能手机时代,手机存储的几乎是一个用户的一切信息:个人档案,银行账户,网络密码,私密照片,工作文档,绝密录音等等。由于智能手机天生就有连接互联网的需求,让手机内的用户隐私及重要数据随时处于一种可能泄露的危险中,智能手机已经成为黑客新的重要攻击目标。然而由于当前移动平台的开放性、使用场合的随意性以及其自身安全防护能力缺乏系统性,使得移动平台经常成为攻击的受害者。
目前在移动安全领域还缺乏统一的安全标准,也没有强安全性的解决方案,业界采用的比较多的还是基于软件加密技术,像访问口令,以及应用于网络通信中的SSL技术,都是在如此。而软件加密技术存在加解密效率低,安全级别不高,密钥管理困难的固有问题。因而,引入硬件安全机制的支持也是业界目前努力的方向,怎样构建成一套安全级别高,同时兼顾易用与高效的移动安全应用框架和安全通信平台,是迫切需要解决的问题。
发明内容
本发明针对上述问题,提供一种移动设备安全通信平台,通过整合现有安全技术,将基于PKI的安全技术同基于IBE(Identity based cryptography)的安全技术创造性地结合到一起,为不同应用场合提供更为自由的选择方案,同时针对移动平台的平台特点,形成一套完整的易于使用的安全接口,为上层应用程序提供所需的安全机制;并通过统一的接口,为开发者提供标准的安全开发流程,提高开发的效率、降低对开发者安全知识的要求,同时保证了安全机制的合理有效使用,确保上层应用的安全性。
本发明采用的技术方案如下:
一种移动设备安全通信平台,采用分层结构实现安全通信服务,各层之间通过服务接口进行交互,下层服务为上层功能的实现提供支持;各层从上到下分别为:
应用层,是需要安全技术支持的应用程序;
API层,针对应用层的安全需求,对应用层使用到的安全技术进行聚合和系统化,通过封装屏蔽不同安全应用所需的底层安全技术细节,为应用开发者提供简单明晰的应用接口;
安全功能库层,针对数据存储安全、数据读取安全、网络数据安全和移动浏览器安全所需的安全技术支持,通过模块化的设计方法对分散的技术点进行分类整合,形成针对特定应用需求的技术路径,为API层的功能聚合提供具体的技术支持;
硬件支撑层,提供安全功能库层对底层硬件的功能调用接口,为上层屏蔽底层安全硬件设备的差异性从而提供最大程度的硬件无关性;
移动OS层,在操作系统层提供对底层硬件的控制驱动;
硬件层,提供安全支持的硬件设备。
进一步地,所述硬件层采用的硬件设备为SD卡或SIM卡,包含具有安全存储区的安全芯片,提供加密算法的硬件加速引擎,以及用于密钥生成的随机数发生器。
进一步地,所述API层包括:
数据存储安全模块,为用户提供安全的存储数据的接口,利用数据加密技术和访问控制技术将数据以加密的形式存储在硬件层的硬件设备中,并为存储的数据设置访问权限;
数据读取安全模块,用于对安全存储的数据提供访问接口,并在用户使用该接口时验证用户的访问权限,实现硬件层的硬件设备中数据的正确解密;
网络通信安全模块,用于在网络通信过程中保证数据传输的安全性,利用数据的加解密和身份认证技术,确保数据正确地传送到正确的目的地,并将重要信息加密存储到硬件层的硬件设备中;
移动浏览器安全模块,用于检测下载安全和网址安全,保护数据的私密性和完整性,并防止数据泄漏。
其中,所述移动浏览器安全模块进一步包括下载安全检测子模块和网址安全检测子模块,其中下载安全检测子模块主要通过下载权限的控制保证数据的私有性;网址安全检测子模块采用黑白名单检测、URL特征分析等方法检测网址安全。
进一步地,所述安全功能库层包括三个子层:
第一子层,包括隐私数据保护模块、数字信封处理模块、下载安全检测模块和网址安全检测模块,其中隐私数据保护模块用于给API层的数据存储模块和数据读取模块提供接口调用,数字信封处理模块为API层的网络通信模块提供接口调用,下载安全检测模块和网址安全检测模块为API层的移动浏览器安全模块提供接口调用(主要为了防范SQL语句注入和钓鱼网址等入侵方式)。
第二子层,包括数字签名模块、数据加解密模块、访问控制模块和身份认证模块,其中数字签名模块是对明文内容的摘要进行私钥加密,用于接收者验证发送者身份和数据的完整性;数字加解密模块提供对数据的加密和解密功能,公钥用于加密整个数字信封,单钥则对明文、签名和证书进行加密;访问控制模块实现移动设备的当前使用者对密钥、证书等的访问进行权限检查,避免对这些敏感数据的非法访问;身份认证模块通过验证数字信封里的数字签名,对发送者的身份进行验证,确保数据源的可靠性。
第三子层,包括证书管理模块、密钥管理模块、加密算法库模块、数据存取管理模块和权限管理模块,用于在硬件层、硬件支撑层和移动OS层的支持下对底层工作进行抽象,提供接口给上层。
进一步地,所述证书管理模块进行证书存储、证书读取和证书验证;所述密钥管理模块进行密钥存储、密钥读取、生成对称密钥、生成签名密钥、IBE系统参数获取.、公钥合成以及私钥请求;所述加密算法库模块包含对称加密算法、非对称加密算法、哈希算法和IBE加密算法;所述数据存取管理模块实现数据存储和数据读取;所述权限管理模块具有初始化文件权限、修改文件权限、判断是否有权限读取文件以及获取文件权限的功能。
本发明通过整合现有安全技术,针对移动平台应用要求,创造性地引入基于身份的加密技术(IBE),形成了一套完整的易于在移动平台上使用的安全接口,为上层应用程序提供所需的安全机制;并通过统一的接口,为开发者提供标准的安全开发流程,提高开发的效率、降低对开发者安全知识的要求,同时保证了安全机制的合理有效使用,确保上层应用的安全性。
本发明的安全框架的设计所采用的具体技术基于安全领域多年发展的优秀成果,很多都在PC平台上经过长久考验,具有很好的可靠性,同时也在充分考虑移动平台自身的特殊限制,尝试加入更为前沿的安全技术——IBE技术,它的无证书特性,使其更适合移动平台,结合传统PKI技术提供的相关支持,可以为移动平台提供更为个性化的安全服务,这是本发明主要的技术创新点。通过分层的结构设计,使各项相关技术可以系统有效地组合在一起,通过模块化的功能设计,使子安全系统能够相互联系,而又相对独立,形成更加灵活的架构体系。这样的设计在很大程度上降低模块间的耦合性,用户可以更加灵活地选择自己需要的安全功能,而不必考虑过多复杂多样的底层技术。该安全框架最终以简单的API的形式提供给用户,大大降低了用户开发安全应用程序的门槛,用户不必纠结各项具体的安全技术的使用方法,降低了用户的学习成本。本发明为移动应用安全开发提供了简单有效的解决方案。
另一方面,针对移动平台的移动性、便携性的特点,以及无法提供像PC平台的U盾等这类外接的安全硬件模块,本发明使用了移动平台里十分常用的SD卡(或具有硬件安全模块的SIM卡)作为硬件安全基础,SD卡中集成的安全功能模块可以提供类似U盾这类安全硬件的功能,如此可以充分借鉴PC平台安全系统的设计经验,进一步保证本移动安全框架设计的可靠性和可用性。
附图说明
图1是本发明的移动设备安全通信平台的结构示意图。
图2是实施例中文档传输安全系统的示意图。
图3是实施例中文档数据安全存储系统的示意图。
具体实施方式
下面通过具体实施例和附图,对本发明做进一步说明。
本发明的移动设备安全通信平台主要针对移动浏览器安全、移动数据通信安全、移动设备数据存储安全和移动设备数据读取安全这几项安全应用方向,提供了完善的安全支持。
浏览器安全包括下载安全检测和网址安全检测,其中下载安全检测使用下载权限控制的方法,保证数据的私有性;网址安全检测使用黑白名单检测和URL特征分析的方法。
移动数据通信安全以PKI技术和IBE技术为基础,利用安全SD卡(或SIM卡)提供的安全存储和加密服务,综合应用了数字信封、数字签名、数字证书、密钥管理、数据加解密等技术,对数据源、传输通道和数据本身进行有效的保护,充分保障数据通信过程的安全性。
移动设备数据存储安全利用数据加密技术和访问控制技术来保证在存储数据的过程当中,数据是以加密的形式来存储在SD卡(或SIM卡)当中,并且每个文件都有读写的权限,只有文件的所有者和超级用户才能访问此文件。在加密的过程当中充分利用目前可用的硬件安全技术,实现对用户本地存储的数据的有效安全保护,对于非授权用户访问,由于数据是经过加密的,因而是无法获得其内容的。
移动设备数据读取安全对于经过安全存储的数据的访问,需要通过该接口进行,用户在使用该接口时需要提供相应的访问权限,这样从SD卡(或SIM卡)中读取的加密过的数据才可以得到正确解密,用户方可以获得真实内容。
图1是本发明的移动设备安全通信平台的结构示意图,采用分层模型来构建整个安全服务,层与层之间通过一定服务接口进行交互,下层服务为上层功能实现提供支持,层与层之间具有相对的独立性,体现分层模型的特点。如图1所示,该平台的安全框架从上到下分为:应用层、API层、安全功能库层、硬件支撑层、移动OS层和硬件层。其中硬件层采用的硬件设备为SD卡或SIM卡,下面主要以SD卡为例,分别对各层进行具体说明。
1.应用层
应用层即用户开发的需要安全技术支持的应用程序。
2.API层
API层为应用层可能用到的安全技术进行聚合和系统化,通过封装屏蔽不同安全应用所需的底层安全技术细节,为应用开发者提供简单明晰的应用接口。API层包括数据存储安全模块、数据读取安全模块、网络通信安全模块、移动浏览器安全模块。
数据存储安全模块为用户提供安全的存储数据的接口,数据存储安全模块利用数据加密技术和访问控制技术来保证在存储数据的过程当中,数据是以加密的形式来存储在SD卡当中,并且每个文件都有读写的权限,只有文件的所有者和超级用户才能访问此文件。在加密的过程当中充分利用目前可用的硬件安全技术,实现对用户本地存储的数据的有效安全保护,对于非授权用户访问,由于数据是经过加密的,因而是无法获得其内容的。
数据读取安全模块是对于经过安全存储的数据的访问,需要通过该接口进行,用户在使用该接口时需要提供相应的访问权限,这样从SD卡中读取的加密过的数据才可以得到正确解密,用户方可以获得真实内容。
网络通信安全模块主要保证了在网络通信的过程当中,密钥等重要信息会存储到安全的SD卡中加密存储,以及隐私信息不会被外人窃取。该模块以PKI技术和IBE技术为基础,参考现有的网络应用安全框架技术,同时考虑移动平台本身的特点,充分利用已有的成熟的安全技术,尽量做到安全性与可用性的平衡。这里主要针对两种应用场合分别提供基于PKI的解决方案和基于IBE的解决方案。在涉及外网通信的场合(互联网应用),采用基于PKI的解决方案,它与目前互联网中采用的安全技术方案可以实现完全的兼容,具有更好的通用性。目前网络通信中都会使用SSL技术,需要在本地存储私钥,私钥的安全关系到整个网络数据传输的安全性,因而次要安全性的重要性不言而喻。而在目前应用中,私钥一般还只是以软件加密的方式存储在一般存储器里,非常不利于通信系统的安全性。将私钥存储与SD卡的安全存储器中,通过硬件安全机制保证存储于其中数据的安全,这样充分保证了私钥的安全性,也使通信系统的安全性得到保障。而在仅涉及内网环境的场合(公司内网),采用基于IBE的解决方案则具有更好的可用性,基于IBE的安全加密系统由于公钥即是身份信息,就不需要CA提供的证书相关的服务,用户仅需维护一个PKG产生的认证的公开系统参数目录,因此各项开销要远低于传统的PKI系统,同时其公钥还可以结合时间因素,形成具有时效性的加密系统,具有更好的安全性。
移动浏览器安全模块包括下载安全检测子模块和网址安全检测子模块。其中下载安全检测中用到的主要方法为下载权限的控制,保证数据的私有性;网址安全检测包括黑白名单检测、URL特征分析等方法。移动浏览器安全模块设计的主要目的是为了防范SQL注入攻击和钓鱼网站的检测,增加浏览器的安全系数,保护数据的私密性和完整性并防止数据泄漏。
3.安全功能库层
安全功能库层是整个安全框架的核心,它实现了当前主要的安全应用技术,通过模块化的设计方法,对分散的技术点进行分类整合,形成一条条针对特定应用需求的技术路径,以具有系统性功能模块的形式构成安全功能库。
安全功能库当中包含了数据存储安全、数据读取安全、网络数据安全和移动浏览器安全模块的具体实现。安全功能库主要包括三个子层,其中每层都调用了下层的函数库,第三子层则是直接调用硬件层、硬件支撑层或操作系统的函数来完成操作。下面分层来阐述每层模块的主要目的和功能。
1>第一子层
第一子层包括隐私数据保护模块、数字信封处理模块、下载安全检测模块和网址安全检测模块。隐私数据保护模块主要是给API层的数据存储模块和数据读取模块提供接口调用。数字信封处理模块为API层的网络通信模块提供接口调用。下载安全检测模块和网址安全检测模块为API层的移动浏览器安全模块提供接口调用,主要为了防范SQL语句注入和钓鱼网址等入侵方式。
2>第二子层
第二子层包括数字签名模块、数据加解密模块、访问控制模块和身份认证模块。
数字签名模块是对明文内容的摘要进行私钥加密,用于接收者验证发送者身份和数据的完整性。
数据加解密模块提供对数据的加密和解密功能,基于PKI的公钥,用于加解密数字信封,单钥则对明文、签名和证书进行加解密,而基于IBE的公钥可以直接对明文进行加密,不需要单钥加密。
访问控制模块实现设备的当前使用者对密钥、证书等的访问进行权限检查,避免对这些敏感数据的非法访问。
身份认证模块通过验证数字信封里的数字签名,对发送者的身份进行验证,确保数据源的可靠性。
3>第三子层
第三子层包括证书管理模块、密钥管理模块、加密算法库模块、数据存取管理模块和权限管理模块共五个模块,这些模块都是需要和硬件层、硬件支撑层或者OS层的支持的。第三层主要的工作是对这些底层的工作进行抽象,提供接口给上层。下面分别介绍每个模块的具体功能如表1所示。
表1模块具体功能表
1)证书管理模块
在证书管理模块中,存储证书模块需要将证书存储到安全的SD卡当中,使用硬件的加密库来对证书加密后再存储到SD卡当中并且设置该数据的访问权限。读取证书模块则需要验证用户权限,读取加密数据并且通过硬件的解密库来解密。证书验证主要是在通信的过程当中,为了保证证书的有效性,需要向CA来验证证书的真伪。
2)密钥管理模块
密钥管理中,必要的两个模块是密钥存储和读取,密钥存储模块需要将密钥存储到安全的SD卡当中,使用硬件的加密库来对密钥加密,然后后再存储到SD卡当中并且设置该数据的访问权限。读取密钥模块则需要验证用户权限,读取加密数据并且通过硬件的解密库来解密获取密钥。
生成对称密钥模块利用硬件提供的功能来生成对称密钥,利用该密钥加密大量数据,然后再把此对称密钥用非对称密钥加密传给接收者。
生成签名密钥模块同样需要利用硬件提供的功能来生成签名密钥,此密钥用在数字签名的过程当中。
3)加密算法库模块
加密算法库当中主要包含了一些常用的加密算法,这些加密算法都是需要硬件来支持的。包括对称加密DES、AES等,非对称加密RSA、ECC等,哈希算法:MD5等,此外还有针对IBE技术实现的两套加密算法:Boneh-Franklin算法和Boneh-Boyen算法。加密算法库主要是为其他模块提供加密支持。
4)数据存取管理模块
数据存储完成的功能比较简单,仅仅是将数据存放到SD卡中,当取出时需要从SD卡中读取数据。此项模块需要操作系统的支持。
5)权限管理模块
权限管理部分主要包括初始化文件权限、修改文件权限、判断是否有权限读取文件、获取文件权限。初始化文件权限用来在文件创建开始赋给文件访问读写权限。修改权限是对文件的权限进行修改。对于访问控制模块,只需要调用判断权限模块就能获取用户是否有权限来访问文件,在判断模块当中用到了获取文件权限模块。
4.硬件支撑层
提供上层安全功能库对底层安全硬件模块,即安全SD卡的功能调用接口,它的接口设计符合PKCS#11标准,可以为上层屏蔽底层安全硬件设备的差异性,从而提供最大程度的硬件无关性,使本安全框架具有很好的兼容性和可移植性。
对于移动设备安全模块,一般会遵循PKCS#11(Public Key CryptographyStandard#11,公钥加密标准),它为移动平台安全设备所应提供的安全机制进行规定,并对相应的访问接口进行了标准化,对于遵循该标准的硬件设备提供统一的访问方式,从而可以避免硬件的兼容性问题。
安全硬件设备厂商一般都会实现遵循PKCS#11标准的访问接口,并在内部提供相应的硬件支持(硬件算法引擎、真随机数发生器等),我们可以称之为一个PKCS#11Module。这些实现了标准接口的软件类似于该硬件的驱动器,可作为硬件的支撑层,通过利用移动平台的OS内核所提供的硬件驱动模块,可实现对安全硬件的操作。当用户需要使用相应的硬件安全功能(加解密等),只需要使用标准的接口,传入相应参数即可。即使更换了硬件,只要都是符合PKCS#11标准的,则都不需要更改软件设置。
5.移动OS层
移动OS层在操作系统层提供对安全SD卡的控制驱动。
6.硬件层
提供安全支持的硬件设备,优选使用安全SD卡,它在其内部包含一个高性能安全芯片,芯片提供一定的安全存储区,可用于存储密钥、密码、证书等,同时提供常用加密算法的硬件加速引擎,此外也会提供一些硬件的随机数发生器,可用于密钥的生成,这些硬件功能很好地满足了上层安全技术对硬件功能的需求,同时因为有硬件的支持,基础信息的安全性得到了有力保障,从而使整个安全框架的可靠性有了坚实的基础。
下面提供一个应用实例。
移动办公也称为3A办公,作为一种新型的办公模式,越来越受到企业的重视。通过移动办公,办公人员不但可以突破时间和空间的限制来进行办公,而且能提高工作效率继和协同办公的强度,同时能轻松的处理紧急事务。移动办公的优势可以帮助企业提高员工的办事效率,还能帮助企业从根本上降低营运的成本,进一步推动企业的发展。然而,由于企业办公应用涉及很多商业秘密、用户隐私等敏感数据的文档资料,如果没有有效的安全防护机制,极易遭到恶意篡改、窥探和拷贝等,从而造成难以挽回的损失。
我们希望在日趋普及的智能移动平台上建立一个安全可靠易用的文档数据保护系统,利用先进的加密技术,保障移动平台文档数据传输及存储的安全,为移动办公提供有效的安全保障。
本应用针对智能移动平台文档数据传输和存储的安全问题,提供一套功能完整的并且安全易用的文档数据安全管理系统,利用基于身份的加密技术和基于安全SD卡的对称加密技术,充分保障文档数据的传输和存储安全。
图2是本应用实例的文档传输安全系统的示意图,其中A为发送方,B为接收方。发送方以接收方的公钥即其身份信息对发送数据进行加密,通过网络传输,接收方在接收到密文后,以自己的身份信息向PKG请求自己的私钥,PKG利用用户的身份信息ID,通过密钥提取过程生成该用户的私钥,整个通信过程利用基于PKI技术的安全通信方案来保证数据传输的安全。用户获得了自己的私钥之后即可完成对密文的解密,获取明文数据。
在这里针对被保护文档数据可能具有的时效性特性,设计作为ID的公钥时,将时间因素作为ID的组成元素之一,这样PKG生成的私钥就有了相应的有效期,这样对于一段加密的密文,只可以在指定的日期范围内被解密,也就是说私钥的有效性是有时间限制的,进一步避免因私钥的无意泄露,而导致的后续数据被恶意窃取。
图3是本应用实例的文档数据安全存储系统的示意图。移动平台上基于PKCS#11加密标准的文档数据安全存储系统采用传统的对称加密技术。对称加密技术即加密解密使用同一把密钥,该加密方式具有加密强度高,计算复杂性低的优点,但在发送方和接收方不能直接接触的场合存在密钥分发的难题。而在本系统中对称加密仅用于本地文档数据的加解密处理,不存在密钥分发问题,因此是非常适合的实现方案。对于加密算法,根据加密强度要求,提供了多种可选方法,有AES,DES,DES-3等,用户可以根据自己的需求进行选择。通过实现PKCS#11规定的标准接口,进行加解密操作,以及密钥的安全存储。系统会采用一块带硬件加密模块的SD卡,提供高效的硬件加密引擎,以及带有硬件安全支持的存储器,适合存储密钥等高机密数据。
本应用创造性地将基于PKCS#11的对称加密方法和基于IBE的加密方法巧妙地结合到一起,利用两种方法各自的优势,分别应用于移动平台文档数据的本地安全存储和网络安全传输,在灵活性和可用性方面都得到极大的提高。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (7)
1.一种移动设备安全通信平台,其特征在于,采用分层结构实现安全通信服务,各层之间通过服务接口进行交互,下层服务为上层功能的实现提供支持;各层从上到下分别为:
应用层,为需要安全技术支持的应用程序;
API层,针对应用层的安全需求,对应用层使用到的安全技术进行聚合和系统化,通过封装屏蔽不同安全应用所需的底层安全技术细节,为应用开发者提供简单明晰的应用接口;
安全功能库层,针对数据存储安全、数据读取安全、网络数据安全和移动浏览器安全所需的安全技术支持,通过模块化的设计方法对分散的技术点进行分类整合,形成针对特定应用需求的技术路径,为API层的功能聚合提供具体的技术支持;
硬件支撑层,提供安全功能库层对底层硬件的功能调用接口,为上层屏蔽底层安全硬件设备的差异性从而提供最大程度的硬件无关性;
移动OS层,在移动OS层提供对底层硬件的控制驱动;
硬件层,提供安全支持的硬件设备;
所述API层包括:
数据存储安全模块,为用户提供安全的存储数据的接口,利用数据加密技术和访问控制技术将数据以加密的形式存储在硬件层的硬件设备中,并为存储的数据设置访问权限;
数据读取安全模块,用于对安全存储的数据提供访问接口,并在用户使用该接口时验证用户的访问权限,实现硬件层的硬件设备中数据的正确解密;
网络通信安全模块,用于在网络通信过程中保证数据传输的安全性,利用数据的加解密和身份认证技术,确保数据正确地传送到正确的目的地,并将重要信息加密存储到硬件层的硬件设备中;
移动浏览器安全模块,用于检测下载安全和网址安全,保护数据的私密性和完整性,并防止数据泄漏;
所述网络通信安全模块以PKI技术和IBE技术为基础,在涉及外网通信的场合基于PKI技术实现安全通信,在仅涉及内网环境的场合基于IBE技术实现安全通信。
2.如权利要求1所述的移动设备安全通信平台,其特征在于:所述硬件层采用的硬件设备为SD卡或SIM卡,包含具有安全存储区的安全芯片,提供加密算法的硬件加速引擎,以及用于密钥生成的随机数发生器。
3.如权利要求1所述的移动设备安全通信平台,其特征在于:所述移动浏览器安全模块包括下载安全检测子模块和网址安全检测子模块,其中下载安全检测子模块通过下载权限的控制保证数据的私有性;网址安全检测子模块采用黑白名单检测方法或者URL特征分析方法检测网址安全。
4.如权利要求1或2所述的移动设备安全通信平台,其特征在于,所述安全功能库层包括三个子层:
第一子层,包括隐私数据保护模块、数字信封处理模块、下载安全检测模块和网址安全检测模块,其中隐私数据保护模块用于给API层的数据存储安全模块和数据读取安全模块提供接口调用,数字信封处理模块为API层的网络通信安全模块提供接口调用,下载安全检测模块和网址安全检测模块为API层的移动浏览器安全模块提供接口调用;
第二子层,包括数字签名模块、数据加解密模块、访问控制模块和身份认证模块,其中数字签名模块是对明文内容的摘要进行私钥加密,用于接收者验证发送者身份和数据的完整性;数字加解密模块提供对数据的加密和解密功能;访问控制模块实现移动设备的当前使用者对密钥、证书的访问进行权限检查,避免对这些敏感数据的非法访问;身份认证模块通过验证数字信封里的数字签名,对发送者的身份进行验证,确保数据源的可靠性;
第三子层,包括证书管理模块、密钥管理模块、加密算法库模块、数据存取管理模块和权限管理模块,用于在硬件层、硬件支撑层和移动OS层的支持下对底层工作进行抽象,提供接口给上层。
5.如权利要求4所述的移动设备安全通信平台,其特征在于:所述第二子层的数据加解密模块中,基于PKI的公钥用于加解密数字信封,单钥则对明文、签名和证书进行加解密;基于IBE的公钥直接对明文进行加密,不需要单钥加密。
6.如权利要求4所述的移动设备安全通信平台,其特征在于:所述第三子层中,所述证书管理模块进行证书存储、证书读取和证书验证;所述密钥管理模块进行密钥存储、密钥读取、生成对称密钥、生成签名密钥、IBE系统参数获取、公钥合成以及私钥请求;所述加密算法库模块包含对称加密算法、非对称加密算法、哈希算法和IBE加密算法;所述数据存取管理模块实现数据存储和数据读取;所述权限管理模块具有初始化文件权限、修改文件权限、判断是否有权限读取文件以及获取文件权限的功能。
7.如权利要求1或2所述的移动设备安全通信平台,其特征在于:所述硬件支撑层的接口设计符合PKCS#11标准。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310681316.7A CN104717643B (zh) | 2013-12-12 | 2013-12-12 | 一种移动设备安全通信平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310681316.7A CN104717643B (zh) | 2013-12-12 | 2013-12-12 | 一种移动设备安全通信平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104717643A CN104717643A (zh) | 2015-06-17 |
| CN104717643B true CN104717643B (zh) | 2019-05-21 |
Family
ID=53416503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310681316.7A Active CN104717643B (zh) | 2013-12-12 | 2013-12-12 | 一种移动设备安全通信平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104717643B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105740725B (zh) * | 2016-01-29 | 2018-08-28 | 北京大学 | 一种文件保护方法与系统 |
| CN106250113A (zh) * | 2016-07-18 | 2016-12-21 | 百富计算机技术(深圳)有限公司 | 一种应用开发平台 |
| CN107040528A (zh) * | 2017-03-31 | 2017-08-11 | 合肥民众亿兴软件开发有限公司 | 一种通信网络系统 |
| CN108335105B (zh) * | 2018-01-18 | 2022-09-09 | 中国建设银行股份有限公司 | 数据处理方法及相关设备 |
| CN109313678B (zh) * | 2018-09-05 | 2021-11-09 | 福建联迪商用设备有限公司 | 一种调用api的方法及终端 |
| CN111783078A (zh) * | 2020-07-14 | 2020-10-16 | 大唐终端技术有限公司 | Android平台安全芯片控制系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043335A (zh) * | 2007-03-12 | 2007-09-26 | 中国建设银行股份有限公司 | 一种信息安全控制系统 |
| CN101304569A (zh) * | 2008-04-24 | 2008-11-12 | 中山大学 | 一种基于智能手机的移动认证系统 |
| CN101430747A (zh) * | 2008-09-26 | 2009-05-13 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
| WO2011150450A1 (en) * | 2010-06-02 | 2011-12-08 | Idondemand, Inc | Method and system for providing continued access to authentication and encryption services |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
-
2013
- 2013-12-12 CN CN201310681316.7A patent/CN104717643B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043335A (zh) * | 2007-03-12 | 2007-09-26 | 中国建设银行股份有限公司 | 一种信息安全控制系统 |
| CN101304569A (zh) * | 2008-04-24 | 2008-11-12 | 中山大学 | 一种基于智能手机的移动认证系统 |
| CN101430747A (zh) * | 2008-09-26 | 2009-05-13 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
| WO2011150450A1 (en) * | 2010-06-02 | 2011-12-08 | Idondemand, Inc | Method and system for providing continued access to authentication and encryption services |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104717643A (zh) | 2015-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111191286B (zh) | Hyperledger Fabric区块链隐私数据存储与访问系统及其方法 | |
| CN104717643B (zh) | 一种移动设备安全通信平台 | |
| US9253167B2 (en) | Device and system for facilitating communication and networking within a secure mobile environment | |
| CN101897211B (zh) | 计算机秘密的迁移 | |
| US10819521B2 (en) | Providing low risk exceptional access | |
| CN100458810C (zh) | 保护蓝牙设备的方法及系统 | |
| CN103327002B (zh) | 基于属性的云存储访问控制系统 | |
| CN1708942B (zh) | 设备特定安全性数据的安全实现及利用 | |
| US10820198B2 (en) | Providing low risk exceptional access with verification of device possession | |
| US7992006B2 (en) | Smart card data protection method and system thereof | |
| CN101510888B (zh) | 一种SaaS应用下提高数据安全性的方法、装置及系统 | |
| Mashima et al. | Enhancing accountability of electronic health record usage via patient-centric monitoring | |
| CN112825520B (zh) | 用户隐私数据处理方法、装置、系统及存储介质 | |
| CN104468562B (zh) | 一种面向移动应用透明的数据安全保护便携式终端 | |
| CN103246850A (zh) | 文件处理方法和装置 | |
| CN111885196B (zh) | 用于访问物联网云平台的设备数据的方法、装置及系统 | |
| CN103686716A (zh) | 安卓系统机密性完整性增强访问控制系统 | |
| CN102831359A (zh) | 一种便携式移动存储设备的加密文件系统 | |
| CN107066885A (zh) | 跨平台可信中间件的实现系统及实现方法 | |
| Cooijmans et al. | Secure key storage and secure computation in Android | |
| Thilakanathan et al. | Secure multiparty data sharing in the cloud using hardware-based TPM devices | |
| CN103577763A (zh) | 具数据保护功能的移动终端设备及数据保护方法 | |
| CN115758396B (zh) | 基于可信执行环境的数据库安全访问控制技术 | |
| CN102831360B (zh) | 个人电子文件安全管理系统及其管理方法 | |
| CN115242382A (zh) | 一种多租户模型的数据加解密方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |