CN109284615B - 移动设备数字资源安全管理方法 - Google Patents
移动设备数字资源安全管理方法 Download PDFInfo
- Publication number
- CN109284615B CN109284615B CN201810914213.3A CN201810914213A CN109284615B CN 109284615 B CN109284615 B CN 109284615B CN 201810914213 A CN201810914213 A CN 201810914213A CN 109284615 B CN109284615 B CN 109284615B
- Authority
- CN
- China
- Prior art keywords
- mobile equipment
- digital
- characteristic value
- digital resource
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的目的在于提供一种移动设备数字资源安全管理方法,能够使得移动设备通过安全方式从开发商处获取所需数字资源,并保护移动设备使用者和开发商各自的隐私以及保护数字资源不被非法用户获取。该方法包括数字资源发布端开发数字资源、验证服务器对数字资源加密及验证等过程,最后由验证服务器发送加密的数字资源给移动设备。
Description
技术领域
本发明涉及网络安全领域,具体来说涉及一种移动设备的数字资源安全管理方法。
背景技术
现行互联网构成了一个开放的数值计算、信息处理和信息交流的平台,加上目前移动设备的普及,无线网络的发展,使得网络环境变得异常庞大和复杂,在这个大平台上,大量数字和软件资源在不断地进行传播,这些资源可能被复制、下载或盗版,其中不安全的传播方式也非常容易实现。无论是个人、企业或出版机构,想在这个开放的环境中保护自己的资源以免被恶意使用和传播,都变得十分困难,要么牺牲系统的可用性和易用性,构造自己封闭的计算机环境,要么只能面临被非法拷贝或盗版的风险,继续发布和使用自己的数字内容。如何使得被授权的移动设备在安全的网络环境中获取安全许可的数字内容亟待解决。
在现有技术中,只通过用户名和密码来保护这些敏感资源已不能满足要求,实际上是越来越罕见。仅密码保护的主要缺点是任何人在任何地方任何时候只要知道单条重要信息,就可在未获授权的情况下对其想要保护的敏感数据进行存取。
因此单要素认证具有相对较弱的保护性,因为它仅依靠用户来保护自己的登录标识和密码信息。此外,已经出现了被称为“键记录”的软件,可作为“间谍软件”安装在计算机上,可记录用户在计算机键盘上的任何击键动作。这种间谍软件通常被犯罪分子悄悄安装在公共场所,例如网吧计算机上,允许第三方悄悄记录用户登录标识和密码并在后来使用它们对用户安全信息进行未获授权的存取。
而对于移动设备,例如用户的手机,因为假设了在用户和他/她手机之间存在一一对应的关系。为使用该技术,假定手机始终是归用户所有。短消息服务(SMS)消息现在是传递安全信息的优选方式,一般情况下将服务提供商(例如一家金融机构)发出的文本格式的消息发送至用户的手机上。消息一般包括一个单独的、独一无二的一次性PIN码(OTP),用户随后必须手动将该码与他/她的正常登陆信息一起输入到它想要使用的安全环境中,或者在进行安全交易前输入。虽然该技术增加了一个额外安全层级,但是通过某些技术,例如SIM卡克隆,仍然会使它受到滥用。它仍然需要用户通过手机将8位代码输入到网站上或者它想要执行的其它类型的安全交易中。
其它完全离线的解决方案也基于每次用户想要进行安全交易时通过移动数字设备随机生成安全钥匙的机理。一般来说安全钥匙是一串根据预先确定算法生成的无意义散数或者储存在设备上且安全环境可识别为它是由核准设备发出的私人密钥。该解决方法导致发行机构(大多数情况下为银行)需要承担初始硬件费用而用户被迫随身携带额外的硬件。此外,该技术在允许用户进行安全交易前,还需要用户输入往往冗长复杂的安全钥匙。从移动数字设备处誊写安全钥匙时发生错误将导致交易遭拒绝,这种情况一般会显著增加交易的延迟时间。但是该解决方法还受到各种不同安全威胁的影响。由于它是完全的离线解决方案,易使其在用户未知的情况下受滥用的影响。此外如果钥匙(OTP)生成设备被偷,窃贼将拥有生成合法OTP码的设备,窃贼所有需要的仅是合法用户名和密码,这些都可通过间谍软件或其它方式轻松获取。
因此现今申请者所熟知的用户认证系统使用单要素认证方式(用户名和密码)或者离线双要素认证方式(如前两段内容所述)来保护敏感信息。一般来说双要素认证(T-FA)指的是一种使用两种不同元素或要素来认证人员身份或者信息的系统。一般情况下双要素包括将要认证的人员在其拥有物(例如安全钥匙生成硬件设备或者上述例子中的手机)上的某些信息,以及他/她知道的信息(例如用户名和密码)。与单要素相比,使用双要素具有较高的认证完整性。任何使用了超过一种要素的认证类型一般都被称作强认证。
在此背景下,移动设备的用户如果想使用安全的方式来获得数字资源,并且保护开发商所销售的数字资源仅由指定用户所获取和使用是本发明所要解决的问题。
发明内容
本发明的目的在于提供一种移动设备数字资源安全管理方法,能够使得移动设备通过安全方式从开发商处获取所需数字资源,并保护移动设备使用者和开发商各自的隐私以及保护数字资源不被非法用户获取。
本发明的目的可通过以下的技术措施来实现:
一种移动设备数字资源安全管理方法,包括如下步骤:
A.数字资源发布端根据需求开发供特定移动设备独占使用的数字资源,并设定该数字资源由该移动设备使用时的管理特征值;利用管理特征值通过加密散列算法计算安全许可特征值并赋予给待发送的数字资源;
B.验证服务器通过网络连接数字资源发布端获取该数字资源,并验证该数字资源对网络和移动设备的使用和传输安全性;
C.验证服务器核实该数字资源的完整性和正确性并赋予完整验证特征值,设置该数字资源中包含身份许可特征值;其中,核实该数字资源的完整性和正确性是通过验证服务器中事先存储的专用密钥对应的公共密钥,该公共密钥是验证服务器从数字资源发布端和移动设备公认的仲裁机关申请获得;
D.验证服务器中记录被授权的移动设备ID,并事先授予被授权移动设备获取该数字资源的数字权利标记;验证服务器对安全许可特征值以及身份许可特征值进行比较验证,验证通过说明该数字资源与待发送移动设备端的业务请求正式建立;之后验证服务器将具有安全许可特征值、完整验证特征值以及身份许可特征值的数字资源进行加密组合并创建加密数字资源,并在其中加入DRM验证值,最后通过无线网络发送给移动设备;所述DRM验证值中包含被授权移动设备的移动设备ID及使用权限,该使用权限包括该数字资源被使用时复制、修改、使用规则的权限;
E.移动设备接收加密数字资源后通过使用公用密钥验证DRM验证值,验证通过后才能够通过解密算法获取原始数字资源内容以及安全许可特征值、完整验证特征值、身份许可特征值,移动设备端通过内置软件校验验证安全许可特征值、完整验证特征值、身份许可特征值的正确性,并自动设定该数字资源的使用权限。
本发明对比现有技术,有如下优点:本发明通过设置验证服务器对原始数字资源进行加密和验证,保证了网络传输安全,另外,通过验证服务器以及移动设置内置软件的安全验证保证即该数字资源在传输过程中被盗取也不会被非法利用,同时,能够为数字资源发布端所发布的数字资源提供有限的使用权限,为开发者提供可为指定用户开发的数字资源。
具体实施方式
本发明应用于无线网络中的数字资源发布端和移动设备之间,为数字资源的开发、传输和使用提供一种安全有效的管理方法,该管理方法包括如下步骤:
A.数字资源发布端根据需求开发供特定移动设备独占使用的数字资源,并设定该数字资源由该移动设备使用时的管理特征值;利用管理特征值通过加密散列算法计算安全许可特征值并赋予给待发送的数字资源;
B.验证服务器通过网络连接数字资源发布端获取该数字资源,并验证该数字资源对网络和移动设备的使用和传输安全性;
C.验证服务器核实该数字资源的完整性和正确性并赋予完整验证特征值,设置该数字资源中包含身份许可特征值;其中,核实该数字资源的完整性和正确性是通过验证服务器中事先存储的专用密钥对应的公共密钥,该公共密钥是验证服务器从数字资源发布端和移动设备公认的仲裁机关申请获得;
D.验证服务器中记录被授权的移动设备ID,并事先授予被授权移动设备获取该数字资源的数字权利标记;验证服务器对安全许可特征值以及身份许可特征值进行比较验证,验证通过说明该数字资源与待发送移动设备端的业务请求正式建立;之后验证服务器将具有安全许可特征值、完整验证特征值以及身份许可特征值的数字资源进行加密组合并创建加密数字资源,并在其中加入DRM验证值,最后通过无线网络发送给移动设备;所述DRM验证值中包含被授权移动设备的移动设备ID及使用权限,该使用权限包括该数字资源被使用时复制、修改、使用规则的权限;
E.移动设备接收加密数字资源后通过使用公用密钥验证DRM验证值,验证通过后才能够通过解密算法获取原始数字资源内容以及安全许可特征值、完整验证特征值、身份许可特征值,移动设备端通过内置软件校验验证安全许可特征值、完整验证特征值、身份许可特征值的正确性,并自动设定该数字资源的使用权限。
其中,数字资源发布端能够分发移动设备所需的数字资源,其中该移动设备可以通过移动设备ID进行标识。该数字资源发布端的各个组件可以由单一计算机平台或者多个不同计算机平台实现,类似的,该数字资源发布端可由多种通信方法中的任何一种来相互连接,包括无线网络、因特网等。此外,数字资源发布端中的一些或者任何一种均能够通过软件或者硬件等形式来设计和实现,可能通过人为干预来实现。其中包括数字资源创造者、后台开发程序等。数字资源创造者可以程序设计员或者是被训练的计算机程序来自动应用开发。
数字资源包括应用程序、图片、数据、音乐、视频等,典型的为应用程序,例如应用于移动设备上的小软件、日历程序、音乐视频软件等,可以通过各种开发语言来开发获得。该数字资源的使用权限可由数字资源发布端根据使用者的状态和身份来设定或者根据移动设备的硬件条件等进行设定,或者也可以由使用者自行设定。
验证服务器用于对数字资源进行验证和加密等处理,其中包含用于对数字资源进行加密的数字凭证,该数字凭证从数字资源发布端获得用于将具有安全许可特征值、完整验证特征值以及身份许可特征值的数字资源进行加密组合并创建加密数字资源,并在其中加入DRM验证值。数字凭证可使用市面上现有的各种签名验证技术中的任意一种,通过现有方式安全地在数字资源发布端和移动设备之间传递。其中的DRM验证值由DRM验证许可器产生,该DRM验证许可器可以是例如移动设备对该特定数字资源的特定访问权限值,可以通过移动设备的设备ID来授予这样的权利,从而通过设备ID确保了除了这个设备以为的其他设备即使获取到该数字资源也不会激活该数据的使用。此外,该DRM验证值还包括与管理特征值的验证匹配机制,通过验证服务器对此进行验证匹配进一步保证数据传输的安全。
本发明的实施方式不限于此,在本发明上述基本技术思想前提下,按照本领域的普通技术知识和惯用手段对本发明内容所做出其它多种形式的修改、替换或变更,均落在本发明权利保护范围之内。
Claims (1)
1.一种移动设备数字资源安全管理方法,其特征在于包括如下步骤:
A.数字资源发布端根据需求开发供特定移动设备独占使用的数字资源,并设定该数字资源由该移动设备使用时的管理特征值;利用管理特征值通过加密散列算法计算安全许可特征值并赋予给待发送的数字资源;
B.验证服务器通过网络连接数字资源发布端获取该数字资源,并验证该数字资源对网络和移动设备的使用和传输安全性;
C.验证服务器核实该数字资源的完整性和正确性并赋予完整验证特征值,设置该数字资源中包含身份许可特征值;其中,核实该数字资源的完整性和正确性是通过验证服务器中事先存储的专用密钥对应的公共密钥,该公共密钥是验证服务器从数字资源发布端和移动设备公认的仲裁机关申请获得;
D.验证服务器中记录被授权的移动设备ID,并事先授予被授权移动设备获取该数字资源的数字权利标记;验证服务器对安全许可特征值以及身份许可特征值进行比较验证,验证通过说明该数字资源与待发送移动设备端的业务请求正式建立;之后验证服务器将具有安全许可特征值、完整验证特征值以及身份许可特征值的数字资源进行加密组合并创建加密数字资源,并在其中加入DRM验证值,最后通过无线网络发送给移动设备;所述DRM验证值中包含被授权移动设备的移动设备ID及使用权限,该使用权限包括该数字资源被使用时复制、修改、使用规则的权限;
E.移动设备接收加密数字资源后通过使用公用密钥验证DRM验证值,验证通过后才能够通过解密算法获取原始数字资源内容以及安全许可特征值、完整验证特征值、身份许可特征值,移动设备端通过内置软件验证安全许可特征值、完整验证特征值、身份许可特征值设定该数字资源的使用权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810914213.3A CN109284615B (zh) | 2018-08-10 | 2018-08-10 | 移动设备数字资源安全管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810914213.3A CN109284615B (zh) | 2018-08-10 | 2018-08-10 | 移动设备数字资源安全管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109284615A CN109284615A (zh) | 2019-01-29 |
CN109284615B true CN109284615B (zh) | 2022-01-25 |
Family
ID=65182777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810914213.3A Active CN109284615B (zh) | 2018-08-10 | 2018-08-10 | 移动设备数字资源安全管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109284615B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4114050A1 (de) * | 2021-06-30 | 2023-01-04 | Siemens Aktiengesellschaft | Überprüfung einer lizenz für die nutzung mindestens eines leistungsmerkmals in einem internet der dinge (iot)-gerät |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1525682A (zh) * | 2003-02-25 | 2004-09-01 | 在数字权限管理系统中离线发布发行者使用许可证 | |
CN101833623A (zh) * | 2010-05-07 | 2010-09-15 | 华为终端有限公司 | 数字版权管理方法及系统 |
CN101977183A (zh) * | 2010-10-09 | 2011-02-16 | 南京博智软件科技有限公司 | 适用多类终端设备的高可信数字内容服务方法 |
CN102281300A (zh) * | 2011-08-24 | 2011-12-14 | 中国联合网络通信集团有限公司 | 数字版权管理许可证分发方法和系统、服务器及终端 |
CN102546660A (zh) * | 2012-02-21 | 2012-07-04 | 北京国泰信安科技有限公司 | 支持动态安全许可授权的数字版权保护方法 |
CN103971033A (zh) * | 2014-05-23 | 2014-08-06 | 武汉华亚兴通信息技术有限公司 | 一种应对非法拷贝的数字版权管理方法 |
CN104462874A (zh) * | 2013-09-16 | 2015-03-25 | 北大方正集团有限公司 | 一种支持离线共享数字资源的drm方法与系统 |
CN108038355A (zh) * | 2017-12-14 | 2018-05-15 | 安徽新华传媒股份有限公司 | 基于数据库系统在线认证的iptv数字版权管理系统及其方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070233601A1 (en) * | 2006-04-04 | 2007-10-04 | Nakada Mark W | Systems and methods for protecting digital content |
CN101174295B (zh) * | 2008-01-16 | 2010-09-01 | 北京飞天诚信科技有限公司 | 一种可离线的drm认证的方法及系统 |
-
2018
- 2018-08-10 CN CN201810914213.3A patent/CN109284615B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1525682A (zh) * | 2003-02-25 | 2004-09-01 | 在数字权限管理系统中离线发布发行者使用许可证 | |
CN101833623A (zh) * | 2010-05-07 | 2010-09-15 | 华为终端有限公司 | 数字版权管理方法及系统 |
CN101977183A (zh) * | 2010-10-09 | 2011-02-16 | 南京博智软件科技有限公司 | 适用多类终端设备的高可信数字内容服务方法 |
CN102281300A (zh) * | 2011-08-24 | 2011-12-14 | 中国联合网络通信集团有限公司 | 数字版权管理许可证分发方法和系统、服务器及终端 |
CN102546660A (zh) * | 2012-02-21 | 2012-07-04 | 北京国泰信安科技有限公司 | 支持动态安全许可授权的数字版权保护方法 |
CN104462874A (zh) * | 2013-09-16 | 2015-03-25 | 北大方正集团有限公司 | 一种支持离线共享数字资源的drm方法与系统 |
CN103971033A (zh) * | 2014-05-23 | 2014-08-06 | 武汉华亚兴通信息技术有限公司 | 一种应对非法拷贝的数字版权管理方法 |
CN108038355A (zh) * | 2017-12-14 | 2018-05-15 | 安徽新华传媒股份有限公司 | 基于数据库系统在线认证的iptv数字版权管理系统及其方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109284615A (zh) | 2019-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10671733B2 (en) | Policy enforcement via peer devices using a blockchain | |
CN106537403B (zh) | 用于从多个装置访问数据的系统 | |
US10771441B2 (en) | Method of securing authentication in electronic communication | |
CN112425114B (zh) | 受公钥-私钥对保护的密码管理器 | |
US8555075B2 (en) | Methods and system for storing and retrieving identity mapping information | |
JP6498358B2 (ja) | 使い捨て乱数を利用して認証する統合認証システム | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
CN113841145A (zh) | 抑制集成、隔离应用中的勒索软件 | |
US20140164762A1 (en) | Apparatus and method of online authentication | |
US10686771B2 (en) | User sign-in and authentication without passwords | |
Nysanbayeva et al. | Algorithm for generating temporary password based on the two-factor authentication model | |
US12034716B2 (en) | Exclusive self-escrow method and apparatus | |
CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
Kumar | Mitigating the authentication vulnerabilities in Web applications through security requirements | |
CN109284615B (zh) | 移动设备数字资源安全管理方法 | |
Kim et al. | Security analysis and bypass user authentication bound to device of windows hello in the wild | |
Lee et al. | A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services | |
Drake et al. | Designing a User-Experience-First, Privacy-Respectful, high-security mutual-multifactor authentication solution | |
KR102542840B1 (ko) | 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템 | |
Saini | Comparative analysis of top 5, 2-factor authentication solutions | |
Vachon | The Identity in Everyone's Pocket: Keeping users secure through their smartphones | |
Pilania et al. | ENCRYPTO: A Reliable and Efficient Mobile App for Password Management | |
Antoniou et al. | Authentication Methods | |
Merrill | Detecting and Correcting Client-Side Ballot Manipulation in Internet Voting Systems | |
CN116743460A (zh) | 内外网的数据交换隔离方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |