CN111954211B - 一种移动终端新型认证密钥协商系统 - Google Patents

一种移动终端新型认证密钥协商系统 Download PDF

Info

Publication number
CN111954211B
CN111954211B CN202010939612.2A CN202010939612A CN111954211B CN 111954211 B CN111954211 B CN 111954211B CN 202010939612 A CN202010939612 A CN 202010939612A CN 111954211 B CN111954211 B CN 111954211B
Authority
CN
China
Prior art keywords
authentication
mobile terminal
server
module
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010939612.2A
Other languages
English (en)
Other versions
CN111954211A (zh
Inventor
马睿
张倩茹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Computer Technology and Applications
Original Assignee
Beijing Institute of Computer Technology and Applications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Computer Technology and Applications filed Critical Beijing Institute of Computer Technology and Applications
Priority to CN202010939612.2A priority Critical patent/CN111954211B/zh
Publication of CN111954211A publication Critical patent/CN111954211A/zh
Application granted granted Critical
Publication of CN111954211B publication Critical patent/CN111954211B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明涉及一种移动终端新型认证密钥协商系统,包括移动终端数据采集模块用于采集终端用户选定的两种生物特征认证数据,并根据识别模型产生用户特征向量与特征值;服务器端数据采集模块用于在用户注册时采集终端用户选定的两种生物特征认证数据,并根据识别模型产生用户特征向量;移动终端加密模块用于加解密、签名验签以及完整性校验;移动终端统一管理模块用于对用户进行统一门户管理;移动终端认证与网关模块,用于移动终端与服务器端认证服务器和网关之间进行认证、密钥协商和安全数据传输,认证成功则允许访问移动网络,与网关协商出对称密钥进行安全传输加密保护;服务器端认证服务器与网关,用于与移动终端交互完成认证和安全数据传输。

Description

一种移动终端新型认证密钥协商系统
技术领域
本发明涉及移动终端加密技术,特别涉及一种移动终端新型认证密钥协商系统。
背景技术
智能终端的安全认证与本地数据安全存储隔离方法日益受到人们的重视。无论是认证还是移动终端本地加密存储都依赖于密钥。无线移动通信网中常用的认证密钥协商有两种方式,一种是基于预置对称密钥的认证密钥协商。另一种是基于可信第三方比如PKI体制的认证密钥协商。此两种方式都需要预先在终端侧占用存储空间保存密钥。而用于保护移动终端本地加密存储的加密密钥,也需要占用终端侧存储空间保存密钥。可见密钥在移动终端的安全存储关系着终端和服务端网络的边界安全。密钥在终端侧的存在形式通常分为硬件存储或软件存储两类。硬件存储方式将证书或管理密钥存储在连接或附加在智能终端上的硬件存储介质中,例如USBkey、SD卡、TF卡或硬件加密模块等设备。软件存储方式将证书或密钥以文件的形式存储在计算机存储设备,例如存储在终端可信环境TEE中或者操作系统指定的位置。在存储认证数字软证书时还会采用密钥分片技术实现私钥的两地存储,移动终端不留存完整的私钥。
硬件形式保存的密钥虽然安全性高,但具有一定的设备成本,且需要随身携带,经常发生丢失或用户密码遗忘的问题,同时也不利于隐藏使用。软件形式保存密钥则安全性降低,例如,密钥以软件形式保存在TEE区中,只能支持通用算法,不能满足特殊用户的需求。或者软件存储的多因子分片数字证书,由于分散因子多采用公开信息例如手机号、专用业务代码、城市代码、UID号等,而管理员在服务器端可以访问另外的分散因子。综上所述,在移动终端侧存在密钥被攻破,安全程度不足、容易出现被复制后非法使用的问题。因此有必要研究不保存私钥或者私钥分片,便于携带又安全性高的移动终端密钥管理方式。
中国专利“CN106850201A智能终端多因子认证方法、智能终端、认证服务器及系统”提供了一种智能终端多因子认证方法。此专利的认证过程中若用户身份验证通过,在安全环境中产生非对称密钥对,并使用本地智能终端中的认证设备私钥对所述非对称密钥对中的用户公钥进行签名,生成第二签名值;其中,所述安全环境至少包括:TEE、SE、SD卡。将所述第二签名值及经认证设备私钥签名的用户公钥上传至所述认证服务器,以使所述认证服务器使用认证设备公钥验证所述第二签名值是否有效。
发明内容
本发明的目的在于提供一种移动终端新型认证密钥协商系统,用于解决上述现有技术的问题。
本发明一种移动终端新型认证密钥协商系统,其中,包括移动终端数据采集模块、服务器端数据采集模块、移动终端认证与网关模块、移动终端加密模块、移动终端统一管理模块、服务器端认证服务器和网关;所述移动终端数据采集模块用于采集终端用户选定的两种生物特征认证数据,并根据识别模型产生用户特征向量与特征值;所述服务器端数据采集模块用于在用户注册时采集终端用户选定的两种生物特征认证数据,并根据识别模型产生用户特征向量;所述移动终端加密模块用于加解密、签名验签以及完整性校验;所述移动终端统一管理模块用于对用户进行统一门户管理,整合管理移动终端认证和网关模块,并管理终端沙箱的启动、挂起、删除、安全隔离以及安全存储;所述移动终端认证与网关模块,用于移动终端与服务器端认证服务器和网关之间进行认证、密钥协商和安全数据传输,认证成功则允许访问移动网络,与网关协商出对称密钥进行安全传输加密保护,认证失败则无权限访问移动网络;所述服务器端认证服务器与网关,用于与移动终端交互完成认证和安全数据传输。
对于本发明的系统的一实施例,其中,当用户在系统注册时,登记两种生物特征认证方式,并保存在服务器端认证服务器中,服务器端认证服务器与网关调用服务器端数据采集模块对用户进行数据采集,保留从数据中提取的用户固有特性,基于标识用户特性的算法和用户身份认证模型,产生两种用户特征向量,将用户特征向量1与用户特征向量2加权后形成认证特征值,并截取n位特征值在保留特征;认证特征值VS=left((特征向量1*权重||特征向量2*权重),n)。
对于本发明的系统的一实施例,其中,所述服务器端数据采集模块将认证特征值VS以及对应用户ID提交给服务器端认证服务器,保存在服务器端认证服务器中。
对于本发明的系统的一实施例,其中,当用户开始访问移动终端统一管理模块时,所述移动终端统一管理模块调动移动终端认证与网关模块,输入用户名和口令正确后,所述移动终端认证与网关模块从服务器端认证服务器获取用户注册时登记的两种生物特征认证方式,获得服务器端认证服务器的公钥,通知移动终端数据采集模块进行认证所需要的数据采集。
对于本发明的系统的一实施例,其中,所述移动终端数据采集模块接收到认证服务器的调用通知后,采集用户选定的两种生物特征认证数据,通过信号中断传输并记录在移动终端内,从数据中提取用户固有特性,基于标识用户特性的算法和用户身份认证模型,产生两种用户特征向量,将用户特征向量1与用户特征向量2加权后形成加密认证特征值,并截取n位特征值,加密认证特征值VC=left((特证向量1*权重||特证向量2*权重),n);移动终端数据采集模块将加密认证特征值结果提交给移动终端认证与网关模块。
对于本发明的系统的一实施例,其中,所述移动终端认证和网关模块调用移动终端加密模块,将认证特征值VC结合公开分散因子,进行杂凑运算获得哈希值,移动终端认证和网关模块调用移动终端加密模块,哈希值作为认证所需公钥,利用公钥算法计算出私钥,移动终端认证和网关模块将公私钥对临时保存在TEE安全存储区或内存中,并通知移动终端统一管理模块.
对于本发明的系统的一实施例,其中,所述移动终端认证和网关模块将公钥发送给服务端认证服务器和网关,所述移动终端认证和网关模块调用移动终端加密模块,W=用私钥加密认证特征值VC,再用服务器端认证服务器的公钥加密W,发送给服务端认证服务器和网关,所述服务器端认证服务器和网关利用自己的私钥解密W,服务器端认证服务器和网关使用从移动终端认证模块发送来的公钥解密收到的加密认证特征值VC,将加密认证特征值VC比对认证服务器中存储的认证特征值VS,如果VC=VS,用户认证成功,成功访问移动网络系统,与网关协商出共享密钥进行安全传输加密保护,认证系统按照设定时间对移动终端进行更新认证,认证失败则无权限访问移动网络系统,移动终端统一管理模块销毁认证特征值和公私钥对。
对于本发明的系统的一实施例,其中,移动终端统一管理模块调用移动终端密码服务模块,产生随机数作为应用沙箱存储密钥,移动终端统一管理模块存储的私钥作为管理密钥,加密应用沙箱存储密钥并保存在沙箱中。
对于本发明的系统的一实施例,其中,移动终端统一管理模块调动沙箱退出删除时,销毁应用密钥。
对于本发明的系统的一实施例,其中,移动终端统一管理模块退出时,认证系统退出,销毁认证特征值和公私钥对。
本发明既不需要预置密钥,也不需要PKI证书,认证密钥即用即产生,同时协商出后续通信和存储所需要的共享密钥,用后即销。用户终端不需存储密钥,也不需要因为查询证书而耗费时间。在移动终端上无根密钥,即不保存私钥或者私钥分片,采用了生物特征认证数据,并利用识别模型产生用户特征向量。将认证特征值结合公开分散因子,运算之后获得认证所需公私钥对,并获得移动终端沙箱存储密钥的保护密钥。实现移动终端不存私钥的安全认证与安全存储。在认证退出或认证失败后,及时销毁认证特征值和公私钥对。本发明在移动终端侧无需其他硬件,也无需在终端上为密钥预置存储空间。密钥即用即产生,同时协商出后续通信和存储所需要的共享密钥,用后即销。更具安全性。利用本发明,可以解决现有技术中存在的在移动终端侧存在密钥被攻破,安全程度不足、容易出现被复制后非法使用的问题,提高安全性.
附图说明
图1:描述了认证和密钥保护沙箱存储的流程
图2:描述了用户注册的流程。
图3:描述了用户认证和沙箱存储的流程。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
参照图1.本发明适用的移动终端认证与本地存储系统,包括用户移动设备和云端服务器。
用户移动设备包含:移动终端数据采集模块、、移动终端认证与网关模块、移动终端加密模块、移动终端统一管理模块四部分。
移动终端数据采集模块:采集认证数据并产生用户特征向量与特征值。
移动终端加密模块用于提供密码服务。
移动终端统一管理模块用于统一门户管理,沙箱安全存储等功能。
移动终端认证与网关模块,用于认证、密钥协商和安全数据传输。
服务器设备包含:服务器端数据采集模块、服务器端认证服务器和网关两部分。
服务器端认证服务器与网关,与移动终端完成认证和安全数据传输。
服务器端数据采集模块用于采集认证数据,并产生用户特征向量。
系统注册采集并计算用户认证特征值。
认证服务器保存认证特征值V_S,和对应的用户ID
当用户访问客户端时,终端从认证服务器获取用户注册时选定的生物特征认证方式。
终端采集两种生物特征数据并生成认证特征值V_C。
移动移动终端认证和网关模块调用移动终端加密模块将认证特征值V_C结合分散因子,计算出公私钥对,保存在内存中,并通知移动终端统一管理模块。
移动终端认证和网关模块调用移动终端加密模块将公钥、私钥加密认证特征值V_C加密传输到服务器端认证服务器和网关。
服务器端认证服务器和网关解密加密认证特征值V_C,通过验证V_C与V_S完整性完成认证。
认证失败则无权限访问移动网络系统,移动终端统一管理模块销毁认证特征值和公私钥对。
移动终端统一管理模块产生应用沙箱的存储密钥,调用私钥作为管理密钥,加密应用沙箱存储密钥。
移动终端统一管理模块调动沙箱退出删除时,销毁应用密钥。
移动终端统一管理模块退出时,认证系统退出,销毁认证特征值和公私钥对。
如图1至图3所示,本发明应用于无根密钥的移动终端认证与存储加密,本发明包括移动终端数据采集模块、服务器端数据采集模块、移动终端认证与网关模块、移动终端加密模块、移动终端统一管理模块、服务器端认证服务器和网关六部分。运行步骤如下:
步骤一、当用户在系统注册时,登记两种生物特征认证方式,并保存在认证服务器中。认证服务器与网关调用服务器端数据采集模块对用户进行数据采集,保留从数据中提取的用户固有特性,基于标识用户特性的算法和用户身份认证模型,产生两种用户特征向量。为减少隐式认证准确率低的风险,将用户特征向量1与用户特征向量2加权后形成认证特征值,并截取n位特征值在保留特征的同时具有一定容错率。认证特征值V_S=left((特征向量1*权重||特征向量2*权重),n)
步骤二、服务器端数据采集模块将认证特征值V_S、对应用户ID提交给认证服务器,保存在认证服务器中。
步骤三、当用户开始访问移动终端统一管理模块时,所述移动终端统一管理模块调动移动终端认证与网关模块,输入用户名和口令正确后,所述移动终端认证与网关模块从服务器端认证服务器获取用户注册时登记的两种生物特征认证方式,同时获得服务器端认证服务器的公钥。通知移动终端数据采集模块进行认证所需要的数据采集。
步骤四、移动终端数据采集模块接收到认证服务器的调用通知后,采用与服务器数据采集模块对用户注册时收集并生成认证特征值V_S相同的方式进行计算。采集用户选定的两种生物特征认证数据,包括显式认证例如人脸识别、声纹特征数据或者用户行为特征的隐式认证,通过信号中断传输并记录在移动终端内。从数据中提取用户固有特性,基于标识用户特性的算法和用户身份认证模型,产生两种用户特征向量。为减少隐式认证准确率低的风险,将用户特征向量1与用户特征向量2加权后形成认证特征值,并截取n位特征值在保留特征的同时具有容错率。
认证特征值V_C=left((特征向量1*权重||特征向量2*权重),n)
移动终端数据采集模块将结果提交给移动终端认证与网关模块。
步骤五、移动终端认证和网关模块调用移动终端加密模块,将认证特征值V_C结合公开分散因子,例如业务代码、城市代码、身份证号等进行杂凑运算获得哈希值,移动终端认证和网关模块调用移动终端加密模块,哈希值作为认证所需公钥,利用非对称算法计算出私钥。移动终端认证和网关模块将公私钥对临时保存在TEE安全存储区或内存中,并通知移动终端统一管理模块。
步骤六、移动终端认证和网关模块将公钥发送给服务端认证服务器。移动终端认证和网关模块调用移动终端加密模块,W=用私钥加密认证特征值V_C,再用服务器端认证服务器的公钥加密W,发送给服务端认证服务器和网关。
步骤七、服务器端认证服务器和网关利用自己的私钥解密W,服务器端认证服务器和网关使用步骤六中从移动终端认证模块发送来的公钥解密收到的加密认证特征值V_C,将V_C比对认证服务器中存储的认证特征值V_S。如果V_C=V_S,用户认证成功,成功访问移动网络系统,与网关协商出共享密钥进行安全传输加密保护。认证系统按照设定时间对移动终端进行更新认证。认证失败则无权限访问移动网络系统,移动终端统一管理模块销毁认证特征值和公私钥对。
步骤八、移动终端统一管理模块调用移动终端密码服务模块,产生随机数作为应用沙箱存储密钥,利用移动终端统一管理模块存储的私钥作为管理密钥,加密应用沙箱存储密钥并保存在沙箱中。
步骤九、移动终端统一管理模块调动沙箱退出删除时,销毁应用密钥。
步骤十、移动终端统一管理模块退出时,认证系统退出,销毁认证特征值和公私钥对。
参照图2,本发明系统分成两部分实施,第一部分用户注册系统。
1.用户向服务器端认证服务器与网关模块进行系统注册,
2.服务器端认证服务器与网关向服务器端数据采集模块发送采集特征数据指令。
3.服务器端数据采集模块与用户交互进行特征数据采集。
4.服务器端数据采集模块进行认证特征值计算。
5.服务器端数据采集模块服务器端认证服务器与网关模块返回认证特征值并保存。
参照图3,用户通过移动终端访问系统。
1.用户访问移动终端统一管理模块。
2.移动终端统一管理模块调动移动终端认证与网关模块,输入用户名和口令进行验证。
3.移动终端认证与网关模块向服务器端认证服务器与网关询问用户采用的生物特征认证方式和服务器端认证服务器的公钥。
4.服务器端认证服务器与网关模块向移动终端认证与网关模块返回结果。
5.移动终端认证与网关模块通知移动终端数据采集模块进行认证所需要的数据采集。
6.移动终端数据采集模块收集数据并利用生物特征认证人脸识别、声纹和隐士认证,根据算法生成认证特征值V_C。
7.移动终端数据采集模块将认证特征值V_C提交给移动终端认证与网关模块。
8.移动终端认证和网关模块调用移动终端加密模块,将认证特征值结合公开分散因子运算获得哈希值,并计算出公私钥对。
9.移动终端加密模块向移动终端认证与网关模块返回公私钥对。
10.移动终端认证和网关模块将公私钥对临时保存在TEE安全存储区或内存中,并通知移动终端统一管理模块。
11.移动终端认证和网关模块将公钥和加密认证特征值发送给服务端认证服务器。
12.服务器端认证服务器和网关利用自己的私钥解密并比较V_C与V_S进行认证。
13.服务器端认证服务器与网关将认证结果返回移动终端认证与网关模块。用户认证成功,成功访问移动网络系统,与网关协商出共享密钥进行安全传输加密保护。认证系统按照设定时间对移动终端进行更新认证。
认证失败则无权限访问移动网络系统,移动终端统一管理模块销毁认证特征值和公私钥对。
14.移动终端统一管理模块调用移动终端密码服务模块,产生随机数作为应用沙箱存储密钥,利用内存中的私钥作为管理密钥,加密应用沙箱存储密钥。
15.移动终端加密模块返回存储密钥和加密并保存在沙箱中。
16.移动终端统一管理模块和移动终端认证和网关模块退出时,销毁应用密钥、认证特征值和公私钥对。
本发明提供了一种移动终端新型认证密钥协商系统,在移动终端不保存私钥或者私钥分片的情况下,通过对移动终端多因子混合的密钥管理,实现移动终端的安全认证、安全传输和终端安全存储防护方式,达到保护移动终端数据安全的目的。本发明与传统认证密钥协商方式完全不同,既不需要预置密钥,也不需要公钥证书,认证密钥即用即产生,同时协商出后续通信和存储所需要的共享密钥,用后即销,用户终端不需存储密钥,也不需要因为查询证书而耗费时间。在用户注册系统时收集用户生物特征信息并储于认证服务器,当用户访问系统时,利用生物特征数据生成认证特征值以及公私钥对用于认证服务器进行认证和沙箱密钥的加密存储。所属系统包括移动终端数据采集模块、服务器端数据采集模块、移动终端认证与网关模块、移动终端加密模块、移动终端统一管理模块、服务器端认证服务器与网关六部分。
本发明提供了一种移动终端新型认证密钥协商系统,在移动终端不保存私钥或者私钥分片的情况下,通过对移动终端多因子混合的密钥管理,实现移动终端的安全认证、安全传输和终端安全存储防护方式,达到保护移动终端数据安全的目的。在用户注册系统时收集用户生物特征信息并储于认证服务器,当用户访问系统时,利用生物特征数据生成认证特征值以及公私钥对用于认证服务器进行认证和沙箱密钥的加密存储。本发明属于在移动终端不保存私钥或者私钥分片的情况下,通过对移动终端多因子混合的密钥管理,实现轻量化、隐藏式移动终端的安全认证、密钥协商、安全传输和终端安全存储防护,达到保护移动终端数据安全的目的。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (8)

1.一种移动终端新型认证密钥协商系统,其特征在于,包括移动终端数据采集模块、服务器端数据采集模块、移动终端认证与网关模块、移动终端加密模块、移动终端统一管理模块、服务器端认证服务器和网关;
所述移动终端数据采集模块用于采集终端用户选定的两种生物特征认证数据,并根据识别模型产生用户特征向量与特征值;
所述服务器端数据采集模块用于在用户注册时采集终端用户选定的两种生物特征认证数据,并根据识别模型产生用户特征向量;
所述移动终端加密模块用于加解密、签名验签以及完整性校验;
所述移动终端统一管理模块用于对用户进行统一门户管理,整合管理移动终端认证和网关模块,并管理终端沙箱的启动、挂起、删除、安全隔离以及安全存储;
所述移动终端认证与网关模块,用于移动终端与服务器端认证服务器和网关之间进行认证、密钥协商和安全数据传输,认证成功则允许访问移动网络,与网关协商出对称密钥进行安全传输加密保护,认证失败则无权限访问移动网络;
所述服务器端认证服务器与网关,用于与移动终端交互完成认证和安全数据传输;
其中,所述移动终端认证与网关模块,用于移动终端与服务器端认证服务器和网关之间进行认证、密钥协商和安全数据传输具体包括:
所述移动终端认证和网关模块调用移动终端加密模块,将认证特征值VC结合公开分散因子,进行杂凑运算获得哈希值,移动终端认证和网关模块调用移动终端加密模块,哈希值作为认证所需公钥,利用公钥算法计算出私钥,移动终端认证和网关模块将公私钥对临时保存在TEE安全存储区或内存中,并通知移动终端统一管理模块;
所述移动终端认证和网关模块将公钥发送给服务端认证服务器和网关,所述移动终端认证和网关模块调用移动终端加密模块,W=用私钥加密认证特征值VC,再用服务器端认证服务器的公钥加密W,发送给服务端认证服务器和网关,所述服务器端认证服务器和网关利用自己的私钥解密W,服务器端认证服务器和网关使用从移动终端认证模块发送来的公钥解密收到的加密认证特征值VC,将加密认证特征值VC比对认证服务器中存储的认证特征值VS,如果VC=VS,用户认证成功,成功访问移动网络系统,与网关协商出共享密钥进行安全传输加密保护,认证系统按照设定时间对移动终端进行更新认证,认证失败则无权限访问移动网络系统,移动终端统一管理模块销毁认证特征值和公私钥对。
2.根据权利要求1所述的系统,其特征在于,当用户在系统注册时,登记两种生物特征认证方式,并保存在服务器端认证服务器中,服务器端认证服务器与网关调用服务器端数据采集模块对用户进行数据采集,保留从数据中提取的用户固有特性,基于标识用户特性的算法和用户身份认证模型,产生两种用户特征向量,将用户特征向量1与用户特征向量2加权后形成认证特征值,并截取n位特征值在保留特征;
认证特征值VS=left((特征向量1*权重||特征向量2*权重),n)。
3.根据权利要求2所述的系统,其特征在于,所述服务器端数据采集模块将认证特征值VS以及对应用户ID提交给服务器端认证服务器,保存在服务器端认证服务器中。
4.根据权利要求1所述的系统,其特征在于,当用户开始访问移动终端统一管理模块时,所述移动终端统一管理模块调动移动终端认证与网关模块,输入用户名和口令正确后,所述移动终端认证与网关模块从服务器端认证服务器获取用户注册时登记的两种生物特征认证方式,获得服务器端认证服务器的公钥,通知移动终端数据采集模块进行认证所需要的数据采集。
5.根据权利要求4所述的系统,其特征在于,所述移动终端数据采集模块接收到认证服务器的调用通知后,采集用户选定的两种生物特征认证数据,通过信号中断传输并记录在移动终端内,从数据中提取用户固有特性,基于标识用户特性的算法和用户身份认证模型,产生两种用户特征向量,将用户特征向量1与用户特征向量2加权后形成加密认证特征值,并截取n位特征值,
加密认证特征值VC=left((特证向量1*权重||特证向量2*权重),n);
移动终端数据采集模块将加密认证特征值结果提交给移动终端认证与网关模块。
6.根据权利要求4所述的系统,其特征在于,移动终端统一管理模块调用移动终端密码服务模块,产生随机数作为应用沙箱存储密钥,移动终端统一管理模块存储的私钥作为管理密钥,加密应用沙箱存储密钥并保存在沙箱中。
7.根据权利要求6所述的系统,其特征在于,移动终端统一管理模块调动沙箱退出删除时,销毁应用密钥。
8.根据权利要求7所述的系统,其特征在于,移动终端统一管理模块退出时,认证系统退出,销毁认证特征值和公私钥对。
CN202010939612.2A 2020-09-07 2020-09-07 一种移动终端新型认证密钥协商系统 Active CN111954211B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010939612.2A CN111954211B (zh) 2020-09-07 2020-09-07 一种移动终端新型认证密钥协商系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010939612.2A CN111954211B (zh) 2020-09-07 2020-09-07 一种移动终端新型认证密钥协商系统

Publications (2)

Publication Number Publication Date
CN111954211A CN111954211A (zh) 2020-11-17
CN111954211B true CN111954211B (zh) 2023-05-02

Family

ID=73357153

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010939612.2A Active CN111954211B (zh) 2020-09-07 2020-09-07 一种移动终端新型认证密钥协商系统

Country Status (1)

Country Link
CN (1) CN111954211B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468477A (zh) * 2020-11-20 2021-03-09 中国建设银行股份有限公司 基于服务台网关的数据对接方法、装置及存储介质
CN112733065B (zh) * 2021-01-15 2022-10-04 海南金垦赛博信息科技有限公司 一种热带农业专家信息管理方法及系统
CN113132976B (zh) * 2021-05-11 2022-08-12 国网信息通信产业集团有限公司 一种分布式无线通信配电网差动保护方法及系统
CN115242553B (zh) * 2022-09-21 2023-01-06 航天宏图信息技术股份有限公司 一种支持安全多方计算的数据交换方法及系统
CN117255341B (zh) * 2023-11-17 2024-03-19 深圳市瀚威隆科技有限公司 基于mifi的数据加密传输保护方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
WO2016177052A1 (zh) * 2015-08-21 2016-11-10 中兴通讯股份有限公司 一种用户认证方法和装置
CN106850201A (zh) * 2017-02-15 2017-06-13 济南晟安信息技术有限公司 智能终端多因子认证方法、智能终端、认证服务器及系统
WO2017177435A1 (zh) * 2016-04-15 2017-10-19 深圳前海达闼云端智能科技有限公司 一种身份认证方法、终端及服务器
WO2017197974A1 (zh) * 2016-05-20 2017-11-23 中国银联股份有限公司 一种基于生物特征的安全认证方法、装置及电子设备
EP3379856A1 (en) * 2017-03-23 2018-09-26 Software602 a.s. Method of user authentication into third-party applications, using a mobile device
WO2019057231A1 (de) * 2017-09-19 2019-03-28 Apiida Ag Verfahren zum einrichten einer benutzer-authentifizierung an einem endgerät mittels eines mobilen endgeräts und zum anmelden eines benutzers an einem endgerät
CN109558340A (zh) * 2018-11-15 2019-04-02 北京计算机技术及应用研究所 一种基于可信认证的安全固态盘加密系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101198120B1 (ko) * 2010-05-28 2012-11-12 남궁종 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506534A (zh) * 2014-12-25 2015-04-08 青岛微智慧信息有限公司 安全通信密钥协商交互方案
WO2016177052A1 (zh) * 2015-08-21 2016-11-10 中兴通讯股份有限公司 一种用户认证方法和装置
WO2017177435A1 (zh) * 2016-04-15 2017-10-19 深圳前海达闼云端智能科技有限公司 一种身份认证方法、终端及服务器
WO2017197974A1 (zh) * 2016-05-20 2017-11-23 中国银联股份有限公司 一种基于生物特征的安全认证方法、装置及电子设备
CN106850201A (zh) * 2017-02-15 2017-06-13 济南晟安信息技术有限公司 智能终端多因子认证方法、智能终端、认证服务器及系统
EP3379856A1 (en) * 2017-03-23 2018-09-26 Software602 a.s. Method of user authentication into third-party applications, using a mobile device
WO2019057231A1 (de) * 2017-09-19 2019-03-28 Apiida Ag Verfahren zum einrichten einer benutzer-authentifizierung an einem endgerät mittels eines mobilen endgeräts und zum anmelden eines benutzers an einem endgerät
CN109558340A (zh) * 2018-11-15 2019-04-02 北京计算机技术及应用研究所 一种基于可信认证的安全固态盘加密系统及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种基于CPK的远程认证方案;陈亚茹等;《信息安全研究》;20181105(第11期);全文 *
基于信息安全等级保护要求的广播中心播出网安全防护设计;张瑞芝;《广播与电视技术》;20160115(第01期);全文 *

Also Published As

Publication number Publication date
CN111954211A (zh) 2020-11-17

Similar Documents

Publication Publication Date Title
CN111954211B (zh) 一种移动终端新型认证密钥协商系统
US10554393B2 (en) Universal secure messaging for cryptographic modules
CN106888084B (zh) 一种量子堡垒机系统及其认证方法
CA2551113C (en) Authentication system for networked computer applications
CN110489996B (zh) 一种数据库数据安全管理方法及系统
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN109361668A (zh) 一种数据可信传输方法
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN107733933B (zh) 一种基于生物识别技术的双因子身份认证的方法及系统
EP2414983B1 (en) Secure Data System
CN110225014B (zh) 基于指纹集中下发式的物联网设备身份认证方法
CN114282189A (zh) 一种数据安全存储方法、系统、客户端以及服务器
JP2024501326A (ja) アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
CA3172049A1 (en) Exporting remote cryptographic keys
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
WO2022042745A1 (zh) 一种密钥管理方法及装置
US20060053288A1 (en) Interface method and device for the on-line exchange of content data in a secure manner
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
WO2024139347A1 (zh) 敏感信息安全获取方法、系统、装置及电子设备
CN111538973A (zh) 基于国密算法的个人授权访问控制系统
CN115021927B (zh) 一种面向密码机集群的管理员身份管控方法及系统
CN116566663A (zh) 适用于工业控制系统的威胁数据动态处理与高效共享方法
CN116112234A (zh) 一种电子签收安全校验方法、系统、介质及设备
CN108345801B (zh) 一种面向密文数据库的中间件动态用户认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant