CN110366183B - 短信安全防护方法及装置 - Google Patents
短信安全防护方法及装置 Download PDFInfo
- Publication number
- CN110366183B CN110366183B CN201910710288.4A CN201910710288A CN110366183B CN 110366183 B CN110366183 B CN 110366183B CN 201910710288 A CN201910710288 A CN 201910710288A CN 110366183 B CN110366183 B CN 110366183B
- Authority
- CN
- China
- Prior art keywords
- short message
- terminal
- encryption key
- certificate
- random factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供一种短信安全防护方法及装置,方法包括:根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求;接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器;接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密;本申请能够有效保证用户短信在从发送服务器到终端过程中的端到端安全,可以保证用户接收短信内容的一致性、完整性和安全性,进而可以保障用户使用移动支付产品时的信息安全和资金安全。
Description
技术领域
本申请涉及数据安全领域,具体涉及一种短信安全防护方法及装置。
背景技术
随着移动互联网的发展,基于开放平台智能手机的移动支付应用场景越来越多,在移动支付应用场景中短信主要存在两方面的应用,一是作为余额变动提醒,用于提醒用户对账户金额变动提醒;二是作为短信验证码,越来越多的应用采用手机短信验证码作为身份认证的安全因子。
现有技术中由于智能手机操作系统的开放平台特性,其接收的短信内容存在被劫持、篡改和转发的可能,手机收到的短信内容容易被第三方应用窃取/修改,导致客户的安全信息被泄露或者接收到错误的提醒信息;另一方面由于伪基站成本越来越低,犯罪分子容易通过伪基站对某一区域内的手机用户进行攻击,对用户接收的短信内容进行劫持或篡改,导致客户的安全信息被泄露或接收到错误的提醒信息。
发明内容
针对现有技术中的问题,本申请提供一种短信安全防护方法及装置,能够有效保证用户短信在从发送服务器到终端过程中的端到端安全,可以保证用户接收短信内容的一致性、完整性和安全性,进而可以保障用户使用移动支付产品时的信息安全和资金安全。
为了解决上述问题中的至少一个,本申请提供以下技术方案:
第一方面,本申请提供一种短信安全防护方法,包括:
根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书;
接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥;
接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
进一步地,所述以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书,包括:
所述短信网关对所述终端证书请求文件进行合法性验证,若验证结果为不通过,则返回证书生成失败结果。
第二方面,本申请提供一种短信安全防护方法,包括:
接收终端发送的终端安全证书、经过数字签名后的设备信息和随机因子;
根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证;
若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥,并将加密密钥发送给终端;
根据所述加密密钥对初始短信进行加密,得到加密短信,并将所述加密短信发送至所述终端以使所述终端采用所述加密密钥对所述加密短信进行解密。
进一步地,所述根据所述设备信息和所述随机因子生成加密密钥,包括:
根据所述设备信息对预设根密钥进行数据分散计算,得到第一加密密钥;
根据所述随机因子进行数据换算,得到第二加密密钥;
根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥。
进一步地,所述根据所述设备信息对预设根密钥进行数据分散计算,得到第一加密密钥,包括:
根据所述设备信息中的信息类型,对所述预设根密钥进行至少一次数据分散计算,得到第一加密密钥。
进一步地,在所述根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证之前,包括:
对所述终端安全证书进行合法性验证,若验证结果为不通过,则返回加密失败结果。
第三方面,本申请提供一种短信安全防护装置,包括:
证书请求模块,用于根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书;
数字签名模块,用于接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥;
短信解密模块,用于接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中,加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
进一步地,还包括:
请求文件验证单元,用于所述短信网关对所述终端证书请求文件进行合法性验证,若验证结果为不通过,则返回证书生成失败结果。
第四方面,本申请提供一种短信安全防护装置,包括:
信息接收模块,用于接收终端发送的终端安全证书、经过数字签名后的设备信息和随机因子;
签名验证模块,用于根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证;
密钥生成模块,用于若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥,并将加密密钥发送给终端;
短信加密模块,用于根据所述加密密钥对初始短信进行加密,得到加密短信,并将所述加密短信发送至所述终端以使所述终端采用所述加密密钥对所述加密短信进行解密。
进一步地,所述密钥生成模块包括:
分散计算单元,用于根据所述设备信息对预设根密钥进行数据分散计算,得到第一加密密钥;
数据换算单元,用于根据所述随机因子进行数据换算,得到第二加密密钥;
密钥生成单元,用于根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥。
进一步地,所述分散计算单元包括:
多次分散子单元,用于根据所述设备信息中的信息类型,对所述预设根密钥进行至少一次数据分散计算,得到第一加密密钥。
进一步地,还包括:
证书验证单元,用于对所述终端安全证书进行合法性验证,若验证结果为不通过,则返回加密失败结果。
第五方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的短信安全防护方法的步骤。
第六方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的短信安全防护方法的步骤。
由上述技术方案可知,本申请提供一种短信安全防护方法及装置,通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的短信安全防护方法的流程示意图之一;
图2为本申请实施例中的短信安全防护方法的流程示意图之二;
图3为本申请实施例中的短信安全防护方法的流程示意图之三;
图4为本申请实施例中的短信安全防护装置的结构图之一;
图5为本申请实施例中的短信安全防护装置的结构图之二;
图6为本申请实施例中的短信安全防护装置的结构图之三;
图7为本申请实施例中的短信安全防护装置的结构图之四;
图8为本申请实施例中的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
考虑到现有技术中由于智能手机操作系统的开放平台特性,其接收的短信内容存在被劫持、篡改和转发的可能,手机收到的短信内容容易被第三方应用窃取/修改,导致客户的安全信息被泄露或者接收到错误的提醒信息;另一方面由于伪基站成本越来越低,犯罪分子容易通过伪基站对某一区域内的手机用户进行攻击,对用户接收的短信内容进行劫持或篡改,导致客户的安全信息被泄露或接收到错误的提醒信息的问题,本申请提供一种短信安全防护方法及装置,通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
为了能够有效保证用户短信在从发送服务器到终端过程中的端到端安全,可以保证用户接收短信内容的一致性、完整性和安全性,进而可以保障用户使用移动支付产品时的信息安全和资金安全,本申请提供一种短信安全防护方法的实施例,执行主体为终端,参见图1,所述短信安全防护方法具体包含有如下内容:
步骤S101:根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书。
可以理解的是,所述终端可以是智能手机、PAD、移动PC、可穿戴设备等任何一种移动智能终端,该装置除了由按键、触摸屏、显示屏、CPU、存储芯片、主控电路板、电池、无线网络通讯模块等移动智能终端必需的基本硬件构成外,内部还可以集成TEE(Trust ExecuteEnvironment,可信执行环境)支持的可信执行模块。
具体地,TEE是一种集成于移动终端并与移动终端操作系统在硬件资源互相隔离的独立应用程序执行环境,TEE环境通过特定的硬件中断接管移动终端的硬件资源,实现硬件资源与移动终端系统的物理隔离,其CPU在内核设计时通过设计一个与手机操作系统相对隔离的运行环境,来实现对移动终端硬件资源的接管,移动终端设备通过采用该项技术可以提升移动设备安全。
可选地,所述设备信息包括但不限于手机号码和设备ID,所述终端可以在本地根据其自身特征信息生成所述终端公钥,或通过预先存储的方式在本地保存有所述终端公钥,根据所述设备信息和所述终端公钥通过现有证书请求文件的生成方法得到所述终端证书请求文件,用于向短信网关发送终端证书请求。
可选地,所述短信网关在接收到所述终端发送的终端证书请求文件后,可以先对该终端证书请求文件进行合法性验证,例如根据所述终端证书请求文件中的中所述终端利用终端公钥生成的自签名证书进行合法性验证,也可以采用其他现有的证书请求文件的验证方法进行合法性验证,本申请在此处不作具体限定,能够对证书请求文件进行合法性验证以提升系统整体安全性和可靠性即可。
可选地,所述短信网关可以从所述终端证书请求文件找那个恢复出所述终端的设备信息,例如手机号和设备ID,并登记到终端初始化信息表格中,所述短信网关可以根据自身的根证书结合设备信息和终端公钥进而生成终端安全证书,并返回给所述终端。
步骤S102:接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥。
可以理解的是,所述终端可以根据自身特征信息生成所述终端私钥,也可以预先存储有所述终端私钥,同时所述终端还可以通过现有随机算法得到随机因子(例如一个随机数),通过所述终端私钥可以对所述设备信息和所述随机因子进行数字签名,由于验证该数字签名只能依靠终端公钥,而所述终端安全证书中包含有所述终端公钥,因此可以将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器。
可以理解的是,所述短信服务器是支付服务提供商部署的短消息服务器,它通过在短信网关注册自身的可信短信端口号,如工行的95588,短信服务器通过该特定端口号,向用户终端发送短信;它还具备可信短信手机号注册、短信端口密钥分发、数据短信加密、文本/数据短信发送等功能,可通过短信网关发送加密数据短信,也可以通过移动通信网络的普通网关发送普通文本短信。不同支付服务提供商有不同的短信服务器,多个不同的短信服务器可以同时注册到短信网关并注册不同短信端口号。
可以理解的是,所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥。
可选地,所述短信服务器可以预存储有根密钥,根据不同的所述设备信息对所述根密钥进行数据分散计算,得到对应的第一加密密钥,其中,所述数据分散计算可以为现有的数学分散算法,同时,还可以对所述随机因子进行数据换算,例如按照一预设数据换算算法(累加、累乘)将一随机因子换算得到对应的第二加密密钥,同时,还可以根据所述第一加密密钥和所述第二加密密钥结合得到最终的加密密钥,例如进行相加或相减处理。
可选地,在对所述根密钥进行数据分散计算时,可以根据所述设备信息的信息类型进行至少一次计算,例如根据所述设备信息中的手机号进行一个数据分散计算,得到第一计算结果,然后根据所述设备信息中的设备ID和所述第一计算结果进行再一次数据分散计算,得到第二计算结果,经过的计算次数越多,生成的加密密钥越复杂越难以被破解,能够提高数据输出过程中的安全性。
步骤S103:接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
可以理解的是,所述短信服务器可以根据所述加密密钥对想要发送的初始短信进行加密处理,得到加密短信,并将所述加密短信发送至所述终端,所述终端在接收到所述加密短信时,由于本地已经存储有所述加密密钥,以此能够成功对所述加密短信进行解密,得到真实、完整和准确的短信内容。
从上述描述可知,本申请实施例提供的短信安全防护方法,能够通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
为了能够在短信网关端对终端发送来的证书请求文件进行合法性验证,在本申请的短信安全防护方法的一实施例中,还具体包含有如下内容:所述短信网关对所述终端证书请求文件进行合法性验证,例如对请求文件格式、文件头信息等的检查,若验证结果为不通过,则返回证书生成失败结果。
可以理解的是,
为了能够有效保证用户短信在从发送服务器到终端过程中的端到端安全,可以保证用户接收短信内容的一致性、完整性和安全性,进而可以保障用户使用移动支付产品时的信息安全和资金安全,本申请提供一种短信安全防护方法的实施例,执行主体为服务器,参见图2,所述短信安全防护方法具体包含有如下内容:
步骤S201:接收终端发送的终端安全证书、经过数字签名后的设备信息和随机因子。
可以理解的是,所述终端可以根据自身特征信息生成所述终端私钥,也可以预先存储有所述终端私钥,同时所述终端还可以通过现有随机算法得到随机因子(例如一个随机数),通过所述终端私钥可以对所述设备信息和所述随机因子进行数字签名,由于验证该数字签名只能依靠终端公钥,而所述终端安全证书中包含有所述终端公钥,因此可以将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器。
步骤S202:根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证。
步骤S203:若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥,并将加密密钥发送给终端。
可以理解的是,所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥。
步骤S204:根据所述加密密钥对初始短信进行加密,得到加密短信,并将所述加密短信发送至所述终端以使所述终端采用所述加密密钥对所述加密短信进行解密。
可以理解的是,所述短信服务器可以预存储有根密钥,根据不同的所述设备信息对所述根密钥进行数据分散计算,得到对应的第一加密密钥,其中,所述数据分散计算可以为现有的数学分散算法,同时,还可以对所述随机因子进行数据换算,例如按照一预设数据换算算法(累加、累乘)将一随机因子换算得到对应的第二加密密钥,同时,还可以根据所述第一加密密钥和所述第二加密密钥结合得到最终的加密密钥,例如进行相加或相减处理。
从上述描述可知,本申请实施例提供的短信安全防护方法,能够通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
为了能够提高加密密钥的复杂程度和破解难度,在本申请的短信安全防护方法的一实施例中,参见图3,还具体包含有如下内容:
步骤S301:根据所述设备信息对预设根密钥进行数据分散计算,得到第一加密密钥。
步骤S302:根据所述随机因子进行数据换算,得到第二加密密钥。
步骤S303:根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥。
可选地,所述短信服务器可以预存储有根密钥,根据不同的所述设备信息对所述根密钥进行数据分散计算,得到对应的第一加密密钥,其中,所述数据分散计算可以为现有的数学分散算法,同时,还可以对所述随机因子进行数据换算,例如按照一预设数据换算算法(累加、累乘)将一随机因子换算得到对应的第二加密密钥,同时,还可以根据所述第一加密密钥和所述第二加密密钥结合得到最终的加密密钥,例如进行相加或相减处理。
可选地,在对所述根密钥进行数据分散计算时,可以根据所述设备信息的信息类型进行至少一次计算,例如根据所述设备信息中的手机号进行一个数据分散计算,得到第一计算结果,然后根据所述设备信息中的设备ID和所述第一计算结果进行再一次数据分散计算,得到第二计算结果,经过的计算次数越多,生成的加密密钥越复杂越难以被破解,能够提高数据输出过程中的安全性。
为了能够进一步提高加密密钥的复杂程度和破解难度,在本申请的短信安全防护方法的一实施例中,还具体包含有如下内容:根据所述设备信息中的信息类型,对所述预设根密钥进行至少一次数据分散计算,得到第一加密密钥。
可选地,在对所述根密钥进行数据分散计算时,可以根据所述设备信息的信息类型进行至少一次计算,例如根据所述设备信息中的手机号进行一个数据分散计算,得到第一计算结果,然后根据所述设备信息中的设备ID和所述第一计算结果进行再一次数据分散计算,得到第二计算结果,经过的计算次数越多,生成的加密密钥越复杂越难以被破解,能够提高数据输出过程中的安全性。
为了能够提升系统整体可靠性和安全性,在本申请的短信安全防护方法的一实施例中,还具体包含有如下内容:对所述终端安全证书进行合法性验证,例如利用证书颁发机构的公钥对证书的签名信息进行验证,若验证结果为不通过,则返回加密失败结果。
为了能够有效保证用户短信在从发送服务器到终端过程中的端到端安全,可以保证用户接收短信内容的一致性、完整性和安全性,进而可以保障用户使用移动支付产品时的信息安全和资金安全,本申请提供一种用于实现所述短信安全防护方法的全部或部分内容的短信安全防护装置的实施例,执行主体为终端,参见图4,所述短信安全防护装置具体包含有如下内容:
证书请求模块10,用于根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书。
数字签名模块20,用于接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥。
短信解密模块30,用于接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中,加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
从上述描述可知,本申请实施例提供的短信安全防护装置,能够通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
为了能够在短信网关端对终端发送来的证书请求文件进行合法性验证,在本申请的短信安全防护装置的一实施例中,还具体包含有如下内容:请求文件验证单元81,用于所述短信网关对所述终端证书请求文件进行合法性验证,若验证结果为不通过,则返回证书生成失败结果。
为了能够有效保证用户短信在从发送服务器到终端过程中的端到端安全,可以保证用户接收短信内容的一致性、完整性和安全性,进而可以保障用户使用移动支付产品时的信息安全和资金安全,本申请提供一种用于实现所述短信安全防护方法的全部或部分内容的短信安全防护装置的实施例,执行主体为服务器,参见图5,所述短信安全防护装置具体包含有如下内容:
信息接收模块40,用于接收终端发送的终端安全证书、经过数字签名后的设备信息和随机因子。
签名验证模块50,用于根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证。
密钥生成模块60,用于若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥,并将加密密钥发送给终端。
短信加密模块70,用于根据所述加密密钥对初始短信进行加密,得到加密短信,并将所述加密短信发送至所述终端以使所述终端采用所述加密密钥对所述加密短信进行解密。
从上述描述可知,本申请实施例提供的短信安全防护装置,能够通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
为了能够提高加密密钥的复杂程度和破解难度,在本申请的短信安全防护装置的一实施例中,参见图6,所述密钥生成模块60包括:
分散计算单元61,用于根据所述设备信息对预设根密钥进行数据分散计算,得到第一加密密钥。
数据换算单元62,用于根据所述随机因子进行数据换算,得到第二加密密钥。
密钥生成单元63,用于根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥。
为了能够进一步提高加密密钥的复杂程度和破解难度,在本申请的短信安全防护装置的一实施例中,参见图7,所述分散计算单元61包括:多次分散子单元611,用于根据所述设备信息中的信息类型,对所述预设根密钥进行至少一次数据分散计算,得到第一加密密钥。
为了更进一步说明本方案,本申请还提供一种应用上述短信安全防护装置实现短信安全防护方法的具体应用实例,具体包含有如下内容:
一种可信短信端口手机号注册方法,包括如下步骤:
步骤A301:用户打开短信防劫持装置上安装的短信APP模块,点击短信APP模块的添加可信短信发送端口功能,短信APP模块从可信短信网关加载已注册的SP服务器列表。用户可以根据需要从提供SP服务器列表中,选择添加一个或多个SP服务器发送端口进行注册,如果选择多个可信短信发送端口注册则多次重复步骤A308~A311。
步骤A302:短信APP模块判断当前短信防劫持装置是否已经完成可信短信模块的安装和初始化,如果完成则继续A308步骤,否则继续执行A303步骤。
步骤A303:短信APP模块连接到可信短信网关服务器,下载可信短信模块的安装包。该可信短信模块的安装包由可信短信服务提供商打包签名,提交给可信执行模块管理者认证,可信执行模块管理者对可信短信模块安装包使用包括但不限于SHA-256/SM3中的任意一种算法计算产生Hash值、并使用包括但不限于SM2/RSA/ECC等非对称密钥算法的任意一种,对上述Hash值进行签名,并将签名数据和可信短信模块共同打包进安装包。
步骤A304:短信APP模块在下载完安装包后,启动可信短信模块的安装过程。该阶段短信APP模块通过系统中断唤起可信执行模块,向可信执行模块发送可信应用安装认证的初始化指令,短信APP模块将获得的可信执行模块的初始化信息,并通过话后台计算产生安全认证密文,并将上述密文发送给可信执行模块执行认证,认证通过后生成应用安装密钥并建立起安全通道。短信APP模块使用安装密钥对可信短信模块安装包进行加密,通过安全通道下载到可信执行模块,并通知其进行安装。可信执行模块在安装阶段,对可信短信模块的签名进行验证,确认收到的内容属于可信执行模块管理机构授权签名的可信应用,为该应用分配安全存储空间,执行应用安装。
步骤A305:可信短信模块安装完成后,短信APP模块执行对可信短信模块初始化处理,可信短信模块本地使用包括但不限于SM2/RSA/ECC等非对称密钥算法生成一对可信短信模块公私钥对证书请求文件,证书请求文件包括但不限于该短信防劫持装置的手机号、设备ID、申请时间等信息,向可信短信网关发起初始证书申请。
步骤A306:可信短信网关收到该证书请求申请,验证该证书请求文件的合法性,并从证书请求文件中恢复出可信短信模块的手机号、设备ID等信息,登记到短信防劫持装置初始化信息表,使用自身的根证书为该短信防劫持装置签发可信短信安全证书。
步骤A307:可信短信模块接收到该申请返回结果,将该安全证书安装到安全存储模块中,完成可信短信模块的初始化。
步骤A308:可信短信模块生成一个本地随机数,作为传输密钥因子,使用待申请注册的SP服务器可信短信端口号、手机号、设备ID、密钥交换算法、时间戳等信息组成一个可信短信端口注册请求报文,计算Hash值,并使用A305步骤生成的可信短信模块公私钥对中的私钥对上述Hash值进行签名,连同A306中经可信短信网关签发的可信短信安全证书一起发送给可信短信网关。
步骤A309:可信短信网关3收到该可信短信端口注册申请,检查该申请的短信防劫持装置和SP服务器可信短信端口号已经注册,则将注册请求转发SP服务器。
步骤A310:SP服务器验证该请求的可信短信安全证书的合法性,从可信短信安全证书中恢复出可信短信模块的公钥,验证注册申请中各传输要素签名一致性。签名验证通过,则从传输信息中恢复出手机号、设备ID、传输密钥因子、密钥交换算法等信息。SP服务器4将该手机号注册登记到可信短信服务注册手机号列表,并将可信短信加密密钥,按手机号、设备ID进行分散,生成可信短信加密密钥。使用传输密钥因子按照密钥交换算法生成传输密钥,使用该传输密钥对可信短信加密密钥进行加密,返回给可信短信模块。
并步骤A311:可信短信模块收到可信短信端口注册返回的信息,并将其中可信短信加密密钥恢复,并保存到安全存储模块中。
为了更进一步说明本方案,本申请还提供一种可信短信发送及显示方法,包括如下步骤:
步骤A401:当SP服务器收到其它系统发送的短信发送指令,发送数据短信内容到指定的手机号。
步骤A402:当SP服务器判断当前短信发送指令中发送的手机号是否在本地注册可信短信服务,如果手机号注册可信短信服务,则调用A403步骤发送密文短信,否则跳转到A413按照正常流程发送明文短信。
步骤A403:SP服务器查找到该短信防劫持装置1的手机号、设备ID等信息,使用加密密钥分散出该设备的数据短信加密密钥,并使用该短信ID分散生成该短信本次加密密钥。使用该加密密钥将短信明文内容对应二进制数据进行加密加密成密文,并将二进制数据使用base64编码连同URL头编码成可见字符串。
步骤A404:SP服务器调用可信短信网关,将加密数据短信内容按照加密数据短信格式发送给移动通信网络。
步骤A405:移动通信网络向用户持有的防劫持短信装置1对应手机号推送短信数据。
步骤A406:如果防劫持短信装置对应手机号未发生变更,则继续A408,如果手机号对应卡的接受设备发生变更,则在接收短信设备短信APP上收到的是一个URL提示,转到步骤A407。
步骤A407:如果手机号对应设备发生变更,用户手机短信APP收到该加密短信链接,链接URL指向用户进行可信手机迁移或注销操作提示指引,用户可以根据该指引提示进行可信短信手机迁移或者注销操作,该步骤结束。
步骤A408:如果防劫持短信装置与用户手机号绑定状态一致,则用户短信APP106上显示的是可信短信的图标。
步骤A409:用户点击可信短信图标,短信APP106将唤醒可信短信模块执行加密数据短信解密和显示处理,此时短信防劫持装置将CPU、内存、屏幕、移动通信模块等控制权将交由可信执行模块控制,可信执行模块执行可信短信模块的指令。
步骤A410:可信短信模块可选执行用户身份认证流程,该过程可以要求用户提供指纹、PIN码等验证手段,验证用户是否具备查看可信短信权限,进一步增加可信短信的私密性和安全性。
步骤A411:可信执行模块通过控制数据短信通道,从移动通讯模块获取加密的数据短信,可信执行模块通过从安全存储模块中获取可信短信模块注册的可信短信端口号和密钥。可信短信模块将该密钥使用短信ID进行分散,并使用分散后的短信加密密钥解密短信内容。
步骤A412:可信执行模块获取A411中可信短信模块解密的数据短信明文内容,并控制显示屏幕,在屏幕TUI绘制并展示短信的文本内容,整个步骤结束。
步骤A413:该步骤为如果手机未注册情况下,SP服务器按照普通流程发送短信明文内容。
本申请的实施例还提供能够实现上述实施例中的短信安全防护方法中全部步骤的一种电子设备的具体实施方式,参见图8,所述电子设备具体包括如下内容:
处理器(processor)601、存储器(memory)602、通信接口(CommunicationsInterface)603和总线604;
其中,所述处理器601、存储器602、通信接口603通过所述总线604完成相互间的通信;所述通信接口603用于实现短信安全防护装置、在线业务系统、客户端设备以及其他参与机构之间的信息传输;
所述处理器601用于调用所述存储器602中的计算机程序,所述处理器执行所述计算机程序时实现上述实施例中的短信安全防护方法中的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤S101:根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书。
步骤S102:接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥。
步骤S103:接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
从上述描述可知,本申请实施例提供的电子设备,能够通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
本申请的实施例还提供能够实现上述实施例中的短信安全防护方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的短信安全防护方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤S101:根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书。
步骤S102:接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息和所述随机因子生成加密密钥接收所述短信服务器返回的加密密钥。
步骤S103:接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
从上述描述可知,本申请实施例提供的计算机可读存储介质,能够通过根据自身设备信息和自身终端公钥生成终端证书请求文件,以向短信网关请求终端安全证书,并利用自身私钥对本地生成的随机因子和设备信息进行数字签名,同时将短信网关发放的终端安全证书和经过数字签名后的设备信息和随机因子一并发送至短信服务器,以使短信服务器在根据终端安全证书中包含的终端公钥对经过数字签名后的设备信息和随机因子进行签名验证后,即确定了设备信息和随机因子确实由终端发送后,根据设备信息和随机因子生成加密密钥,并发送至终端进行保存,当短信服务器端准备发送初始短信时,先利用加密密钥对初始短信进行加密,再将加密后的短信发送至终端,此时终端可通过本地存储的加密密钥对加密短信进行解密,有效保证用户短信在从发送服务器到终端过程中的端到端安全,以及保证用户接收短信内容的一致性、完整性和安全性,进而保障用户使用移动支付产品时的信息安全和资金安全。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于硬件+程序类实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
虽然本申请提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、车载人机交互设备、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。
本说明书实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书实施例。对于本领域技术人员来说,本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书实施例的权利要求范围之内。
Claims (10)
1.一种短信安全防护方法,其特征在于,所述方法包括:
根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书;
接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息中的信息类型,对预设根密钥进行至少一次数据分散计算,得到第一加密密钥,根据所述随机因子进行数据换算,得到第二加密密钥,根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥,接收所述短信服务器返回的加密密钥;
接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
2.根据权利要求1所述的短信安全防护方法,其特征在于,所述以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书,包括:
所述短信网关对所述终端证书请求文件进行合法性验证,若验证结果为不通过,则返回证书生成失败结果。
3.一种短信安全防护方法,其特征在于,所述方法包括:
接收终端发送的终端安全证书、经过数字签名后的设备信息和随机因子;
根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证;
若签名验证结果为通过,则根据所述设备信息中的信息类型,对预设根密钥进行至少一次数据分散计算,得到第一加密密钥,根据所述随机因子进行数据换算,得到第二加密密钥,根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥,并将加密密钥发送给终端;
根据所述加密密钥对初始短信进行加密,得到加密短信,并将所述加密短信发送至所述终端以使所述终端采用所述加密密钥对所述加密短信进行解密。
4.根据权利要求3所述的短信安全防护方法,其特征在于,在所述根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证之前,包括:
对所述终端安全证书进行合法性验证,若验证结果为不通过,则返回加密失败结果。
5.一种短信安全防护装置,其特征在于,包括:
证书请求模块,用于根据设备信息和终端公钥生成终端证书请求文件,并根据所述终端证书请求文件向短信网关发送终端证书请求,以使所述短信网关根据所述终端证书请求文件和自身根证书生成终端安全证书;
数字签名模块,用于接收所述短信网关发送的所述终端安全证书,根据终端私钥对所述设备信息和本地生成的随机因子进行数字签名,并将所述终端安全证书、经过数字签名后的所述设备信息和所述随机因子发送至短信服务器,以使所述短信服务器根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证,若签名验证结果为通过,则根据所述设备信息中的信息类型,对预设根密钥进行至少一次数据分散计算,得到第一加密密钥,根据所述随机因子进行数据换算,得到第二加密密钥,根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥,接收所述短信服务器返回的加密密钥;
短信解密模块,用于接收短信服务器发送的加密短信,并根据所述加密密钥对所述加密短信进行解密,其中,加密短信为短信服务器根据所述加密密钥对初始短信进行加密得到的加密短信。
6.根据权利要求5所述的短信安全防护装置,其特征在于,还包括:
请求文件验证单元,用于所述短信网关对所述终端证书请求文件进行合法性验证,若验证结果为不通过,则返回证书生成失败结果。
7.一种短信安全防护装置,其特征在于,包括:
信息接收模块,用于接收终端发送的终端安全证书、经过数字签名后的设备信息和随机因子;
签名验证模块,用于根据所述终端安全证书对经过数字签名后的所述设备信息和所述随机因子进行签名验证;
密钥生成模块,用于若签名验证结果为通过,则根据所述设备信息中的信息类型,对预设根密钥进行至少一次数据分散计算,得到第一加密密钥,根据所述随机因子进行数据换算,得到第二加密密钥,根据所述第一加密密钥和所述第二加密密钥,得到所述加密密钥,并将加密密钥发送给终端;
短信加密模块,用于根据所述加密密钥对初始短信进行加密,得到加密短信,并将所述加密短信发送至所述终端以使所述终端采用所述加密密钥对所述加密短信进行解密。
8.根据权利要求7所述的短信安全防护装置,其特征在于,还包括:
证书验证单元,用于对所述终端安全证书进行合法性验证,若验证结果为不通过,则返回加密失败结果。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至4任一项所述的短信安全防护方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至4任一项所述的短信安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910710288.4A CN110366183B (zh) | 2019-08-02 | 2019-08-02 | 短信安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910710288.4A CN110366183B (zh) | 2019-08-02 | 2019-08-02 | 短信安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110366183A CN110366183A (zh) | 2019-10-22 |
| CN110366183B true CN110366183B (zh) | 2023-01-24 |
Family
ID=68221854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910710288.4A Active CN110366183B (zh) | 2019-08-02 | 2019-08-02 | 短信安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110366183B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111246407B (zh) * | 2020-01-10 | 2022-09-02 | 北京智信通联信息技术有限公司 | 用于短信传输的数据加密、解密方法及装置 |
| CN111866011B (zh) * | 2020-07-29 | 2022-04-29 | 中国联合网络通信集团有限公司 | 一种车辆信息更新的方法和装置 |
| CN111787495A (zh) * | 2020-08-05 | 2020-10-16 | 童晓渝 | 一种实现rcs增强短信加密的系统和方法 |
| CN114756443B (zh) * | 2021-01-08 | 2023-04-14 | 星汉智能科技股份有限公司 | 一种usim卡远程文件操作的测试方法 |
| CN113810364A (zh) * | 2021-07-29 | 2021-12-17 | 北京中交国通智能交通系统技术有限公司 | 一种信息展示方法、装置、设备及存储介质 |
| CN115119150B (zh) * | 2022-07-26 | 2023-10-03 | 广东安创信息科技开发有限公司 | 一种短信加解密方法、装置、设备及存储介质 |
| CN117880762B (zh) * | 2024-03-12 | 2024-05-14 | 深圳市诚立业科技发展有限公司 | 基于无线通信的短信数据安全加密方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1304881A1 (de) * | 2001-10-15 | 2003-04-23 | Beta Research GmbH | Verfahren und Vorrichtung zum Bereitstellen von Daten |
| CN101741565A (zh) * | 2009-12-18 | 2010-06-16 | 北京握奇数据系统有限公司 | 一种ic卡应用数据传输的方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188496B (zh) * | 2007-12-10 | 2010-09-29 | 中兴通讯股份有限公司 | 一种短信加密传输方法 |
| CN104618093B (zh) * | 2015-01-16 | 2019-07-19 | 高新兴物联科技有限公司 | 数据加密方法和装置 |
| CN106027250B (zh) * | 2015-11-10 | 2019-07-30 | 天地融科技股份有限公司 | 一种身份证信息安全传输方法及系统 |
| CN106412862B (zh) * | 2016-10-13 | 2020-01-31 | 上海众人网络安全技术有限公司 | 一种短信加固方法、装置及系统 |
| CN108764912B (zh) * | 2018-06-21 | 2021-09-17 | 广东工业大学 | 一种基于短信验证码的支付方法及装置 |
| CN109547303B (zh) * | 2018-11-21 | 2021-06-25 | 北京华大智宝电子系统有限公司 | 控制方法及相关设备 |
-
2019
- 2019-08-02 CN CN201910710288.4A patent/CN110366183B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1304881A1 (de) * | 2001-10-15 | 2003-04-23 | Beta Research GmbH | Verfahren und Vorrichtung zum Bereitstellen von Daten |
| CN101741565A (zh) * | 2009-12-18 | 2010-06-16 | 北京握奇数据系统有限公司 | 一种ic卡应用数据传输的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110366183A (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110366183B (zh) | 短信安全防护方法及装置 | |
| CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
| WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| CN110492990B (zh) | 区块链场景下的私钥管理方法、装置及系统 | |
| CN107493291B (zh) | 一种基于安全元件se的身份认证方法和装置 | |
| EP2999189B1 (en) | Network authentication method for secure electronic transactions | |
| CN111683103B (zh) | 信息交互方法及装置 | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| US20150310427A1 (en) | Method, apparatus, and system for generating transaction-signing one-time password | |
| CN108200078B (zh) | 签名认证工具的下载安装方法及终端设备 | |
| CN108616352B (zh) | 基于安全元件的动态口令生成方法和系统 | |
| KR20190028787A (ko) | 그래픽 코드 정보를 제공 및 획득하기 위한 방법 및 디바이스, 그리고 단말 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN107566413B (zh) | 一种基于数据短信技术的智能卡安全认证方法及系统 | |
| CN116491098A (zh) | 使用后量子密码学的基于证书的安全性 | |
| CN113553572A (zh) | 资源信息获取方法、装置、计算机设备和存储介质 | |
| CN112765637A (zh) | 数据处理方法、密码服务装置和电子设备 | |
| CN108768655B (zh) | 动态口令生成方法和系统 | |
| CN113282951B (zh) | 一种应用程序的安全校验方法、装置及设备 | |
| CN113032753A (zh) | 身份验证的方法及装置 | |
| US20240113898A1 (en) | Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity | |
| CN114584299B (zh) | 数据处理方法、装置、电子设备和存储介质 | |
| CN116049802A (zh) | 应用单点登陆方法、系统、计算机设备和存储介质 | |
| CN114124440B (zh) | 安全传输方法、装置、计算机设备和存储介质 | |
| EP4123534A1 (en) | Transaction security techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |