WO2012024872A1 - 移动互联网加密通讯的方法、系统及相关装置 - Google Patents

Abstract

本发明公开了一种移动互联网加密通讯的方法、系统及相关装置，其中方法包括：移动互联网服务器将终端标识与预先通过非对称加密算法生成的由公钥和私钥组成的密钥对进行关联，并将所述密钥对中的公钥发送给对应的终端进行保存；所述终端利用所述非对称加密算法和所述密钥对中的公钥进行加解密，所述移动互联网服务器利用所述非对称加密算法和所述密钥对中的私钥进行加解密；本发明通过使用非对称加密算法对移动终端与服务器端的网络通讯过程进行加解密，提高了移动网络通讯的安全性，并且不增加硬件成本。

Description

移动互联网加密通讯的方法、 系统及相关装置 技术领域

本发明涉及移动互联网中的加密技术， 尤其涉及一种移动互联网加密 通讯的方法、 系统及相关装置。 背景技术

在移动互联网时代， 随着用户越来越多， 移动互联网的安全性越来越 受到人们的重视。 在移动互联网的应用里， 其中很多是要注意安全保密的， 比如军网手机、 股票交易、 手机银行、 手机支付等。

目前， 移动网络通讯的安全性可能还不够完善， 信息传输不安全。 例 如券商的操作， 招商证券是直接拨打 95565这样的服务号码， 输入账户和 密码进行交易的， 有的手机银行则釆用电子口令和动态验证码的方式， 其 信息传输的过程还是明文的， 账号和密码可能会被截获， 不够安全； 又如 有的手机釆用 SSL ( Secure Socket Layer, 安全套接层 )安全协议进行高强 度的数据加密传输， 但不是每部手机都能支持 SSL协议； 有的使用特定的 加密设备， 例如中国移动的手机钱包就使用 RFID-SIM (射频识别-用户识 别模块）卡支持硬件 DES ( Data Encryption Standard, 数据加密标准）加密， 但这又成本高昂。 发明内容

有鉴于此， 本发明旨在提供一种移动互联网加密通讯的方法、 系统及 相关装置， 用以解决现有移动网络通讯中存在的安全性比较低或者加密硬 件成本高的问题。

本发明的目的主要是通过以下技术方案实现的： 本发明提供了一种移动互联网加密通讯的方法， 包括：

移动互联网服务器将终端标识与预先通过非对称加密算法生成的由公 钥和私钥组成的密钥对进行关联， 并将所述密钥对中的公钥发送给对应的 终端进行保存；

所述终端利用所述非对称加密算法和所述密钥对中的公钥进行加解 密， 所述移动互联网服务器利用所述非对称加密算法和所述密钥对中的私 钥进行加解密。

进一步地， 在执行所述方法之前还包括：

当终端要访问所述移动互联网服务器并发现所述终端本地没有加密所 用的公钥时， 将终端标识发送给所述移动互联网服务器， 请求获取所述公 钥。

进一步地， 所述终端利用所述非对称加密算法和所述密钥对中的公钥 进行加解密， 所述移动互联网服务器利用所述非对称加密算法和所述密钥 对中的私钥进行加解密的过程具体包括：

所述终端利用所述非对称加密算法和所述密钥对中的公钥对需要发送 的数据进行加密， 并将加密后的数据连同终端标识一起发送给移动互联网 服务器； 所述移动互联网服务器在收到所述终端发来的数据和终端标识时， 根据所述终端标识找到对应的密钥对， 利用所述非对称加密算法和所述密 钥对中的私钥对所述终端发送过来的数据进行解密；

或者，

所述移动互联网服务器利用所述非对称加密算法和所述密钥对中的私 钥对需要发送的数据进行加密， 并将加密后的数据发送给所述终端； 所述 终端利用所述非对称加密算法和所述密钥对中的公钥对所述移动互联网服 务器发送过来的数据进行解密。

其中， 所述终端标识为国际移动用户识别码。 本发明还提供了一种移动互联网加密通讯的系统， 包括： 移动互联网服务器， 用于将终端标识与预先通过非对称加密算法生成 的由公钥和私钥组成的密钥对进行关联， 并将所述密钥对中的公钥发送给 对应的终端进行保存； 所述移动互联网服务还用于利用所述非对称加密算 法和所述密钥对中的私钥进行加解密；

终端， 用于利用所述非对称加密算法和所述密钥对中的公钥进行加解 密。

进一步地， 所述终端还用于， 在其要访问所述移动互联网服务器并发 现所述终端本地没有加密所用的公钥时， 将终端标识发送给所述移动互联 网服务器， 请求获取所述公钥。

本发明还提供了一种移动互联网服务器， 包括：

关联模块， 用于将终端标识与预先通过非对称加密算法生成的由公钥 和私钥组成的密钥对进行关联， 并将所述密钥对中的公钥发送给对应的终 端进行保存；

加解密模块， 用于在收到终端发来的数据和终端标识时， 根据所述终 端标识找到对应的密钥对， 利用所述非对称加密算法和所述密钥对中的私 钥进行解密； 或者， 利用所述非对称加密算法和所述密钥对中的私钥对需 要发送的数据进行加密， 并将加密后的数据发送给所述终端。

本发明又提供了一种终端， 包括：

获取模块， 用于在终端要访问移动互联网服务器并发现所述终端本地 没有加密所用的公钥时， 将终端标识发送给所述移动互联网服务器， 请求 获取所述公钥；

加解密模块， 用于利用预定的非对称加密算法和获取到的所述公钥对 需要发送的数据进行加密， 并将加密后的数据连同终端标识一起发送给所 述移动互联网服务器； 或者， 利用所述非对称加密算法和获取到的所述公 钥对所述移动互联网服务器发送过来的数据进行解密。

本发明有益效果如下：

本发明通过使用非对称加密算法对移动终端与服务器端的网络通讯过 程进行加解密， 提高了移动网络通讯的安全性， 并且不增加硬件成本。 附图说明

图 1为本发明实施例所述方法中， 移动终端获取公钥的流程示意图； 图 2为本发明实施例所述方法中， 移动终端通过移动互联网进行加密 通讯的流程示意图；

图 3为本发明实施例所述系统的结构示意图；

图 4为本发明实施例所述移动互联网服务器的结构示意图；

图 5为本发明实施例所述移动终端的结构示意图。 具体实施方式

下面结合附图来具体描述本发明的优选实施例， 其中， 附图构成本申 请一部分， 并与本发明的实施例一起用于阐释本发明的原理。

首先结合图 1和图 2对本发明实施例所述移动互联网加密通讯的方法 进行详细说明。

如图 1所示， 终端获取公钥的流程具体可以包括如下步骤：

步骤 101 :移动互联网服务器通过非对称加密算法生成许多独一无二的 密钥对， 每个密钥对由一个公开密钥 （publickey, 公钥）和一个私有密钥 ( privatekey , 私钥） 组成； 并将这些密钥对与终端 SIM 卡的 IMSI ( International Mobile Subscriber Identity , 国际移动用户识别码， 国际上为 唯一识别一个移动用户所分配的号码 )存成密钥表， 每个 IMSI都对应一个 唯一的密钥对； 步骤 102: 当有终端要访问移动互联网服务器时， 如果该终端本地还没 有加密所用的公钥， 则发送一个请求消息到移动互联网服务器， 请求移动 互联网服务器为其分配公钥； 发送的请求需要包含终端 SIM卡的 IMSI, 请 求的格式可以为

"PZ IMSI=123456789012345"；

步骤 103 : 移动互联网服务器收到有终端发来的请求分配公钥的消息 后，找到一组尚未被分配的密钥对，将该终端的 IMSI与该密钥对进行关联， 然后将该密钥对的公钥发送到该终端上；

步骤 104: 该终端收到移动互联服务器发来的公钥后， 将自身的 IMSI 及其对应的公钥一起配套存储到终端的 NVRAM ( Non- Volatile Random Access Memory, 非易失性随机访问存储器） 中； 之所以配套存储， 是为了 方便终端更换不同 SIM卡之后也能安全使用， 同时保证不能用其他 SIM卡 的 IMSI冒充使用。

如图 2所示， 终端通过移动互联网进行加密通讯的流程具体可以包括 如下步骤：

步骤 201 : 当终端向移动互联网服务器发送请求消息时， 将发送请求的 数据按规定格式封装打包， 然后使用与移动互联网服务器相同的非对称加 密算法和与移动互联网服务器给其分配的密钥对中的公钥对需要发送请求 的数据进行加密，并将加密后的数据连同该终端的 IMSI—起携带在请求消 息中发送给移动互联网服务器；

步骤 202: 移动互联网服务器端收到终端发送的请求消息后，根据其中 的 IMSI查找到与该终端对应的密钥对， 然后使用非对称加密算法和该密钥 对中的私钥对请求消息中的数据进行解密处理； 步骤 203: 移动互联网服务器对该终端发送应答消息，发送应答的数据 按规定格式封装打包， 然后使用非对称加密算法和该密钥对中的私钥对发 送应答的数据进行加密处理；

步骤 204: 终端收到移动互联网服务器发送的应答消息后， 直接使用非 对称加密算法和该密钥对中的公钥对应答消息中的数据进行解密处理。

需要说明的是， 作为本发明的一个优选实施例， 这里釆用了当终端请 求获取公钥时，移动互联网服务器选取一个密钥对与该终端的 IMSI进行关 联的方式； 本发明也可以由移动互联网服务器主动对已知 IMSI的终端预先 分配密钥对，将各个终端的 IMSI分别与一个唯一的密钥对进行关联并将密 钥对中的公钥发送给对应终端； 并且， 本发明所述方法中所提到的非对称 加密算法并不局限于某种特定的方法， 而是可以根据具体设计要求任意组 合。

接下来对本发明实施例所述移动互联网加密通讯的系统进行详细说 明。

如图 3 所示， 本发明实施例所述系统具体可以包括： 移动互联网服务 器和终端， 其中，

移动互联网服务器， 主要负责预先通过非对称加密算法生成许多独一 无二的密钥对， 每个密钥对包括一个公钥和一个私钥； 移动互联网服务器 将终端标识（例如 IMSI )与预先生成的密钥对进行关联， 并将密钥对中的 公钥发送给对应的终端进行保存；

终端， 在其要访问移动互联网服务器并发现终端本地没有加密所用的 公钥时， 将终端标识发送给移动互联网服务器， 请求互联网服务器为其分 配公钥。

终端发送请求消息时， 利用非对称加密算法和从移动互联网服务器获 取到的公钥对需要发送请求的数据进行加密， 并将加密后的数据连同终端 标识一起携带在请求消息中发送给移动互联网服务器； 移动互联网服务器 在收到终端发来的请求消息后， 根据请求消息中的终端标识找到对应的密 钥对， 利用非对称加密算法和该密钥对中的私钥对请求消息中的数据进行 解密。

移动互联网服务器对该终端发送应答消息时， 利用非对称加密算法和 该密钥对中的私钥对发送应答的数据进行加密， 并将加密后的数据发送给 该终端； 终端收到应答消息后， 利用非对称加密算法和从移动互联网服务 器获取到的公钥对应答消息中的数据进行解密。

最后结合图 4和图 5对本发明实施例所述相关装置进行详细说明。 如图 4所示， 本发明实施例所述移动互联网服务器具体可以包括： 关 联模块和加解密模块， 其中，

关联模块， 将终端标识与预先通过非对称加密算法生成的由公钥和私 钥组成的密钥对进行关联， 并将所述密钥对中的公钥发送给对应的终端进 行保存；

加解密模块， 在收到终端发来的数据和终端标识时， 根据所述终端标 识找到对应的密钥对， 利用所述非对称加密算法和所述密钥对中的私钥进 行解密； 或者， 利用所述非对称加密算法和所述密钥对中的私钥对需要发 送的数据进行加密， 并将加密后的数据发送给所述终端。

如图 5 所示， 本发明实施例所述终端具体可以包括： 获取模块和加解 密模块， 其中，

获取模块， 在终端要访问移动互联网服务器并发现所述终端本地没有 加密所用的公钥时， 将终端标识发送给所述移动互联网服务器， 请求获取 所述公钥；

加解密模块， 利用预定的非对称加密算法和获取到的所述公钥对需要 发送的数据进行加密， 并将加密后的数据连同终端标识一起发送给所述移 动互联网服务器； 或者， 利用所述非对称加密算法和获取到的所述公钥对 所述移动互联网服务器发送过来的数据进行解密。

综上所述， 本发明实施例提供了一种移动互联网加密通讯的方法、 系 统及相关装置， 为需要高度安全保证的移动通讯网络提供了加解密手段。 本发明实施例使用非对称加密算法对终端与服务器端的网络通讯过程进行 加解密， 且公开密钥与私有密钥是一对， 如果用公开密钥对数据进行加密， 只有用对应的私有密钥才能解密； 如果用私有密钥对数据进行加密， 那么 只有用对应的公开密钥才能解密。 由于终端和服务器端分别使用两个不同 的密钥， 使得网络通讯过程中传输的数据即使被截获也很难被破解， 就算 拿到终端也无法解密加密的数据， 大大提高了移动网络通讯的安全性。 并 且， 本发明实施例不需要额外的加密设备参与， 没有额外的硬件成本， 可 以应用于移动网络支付、 移动网络证券交易、 军网通讯等领域， 只要是具 有唯一标识的终端 （例如手机、 小灵通等）都可以支持。

以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围并 不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本 发明的保护范围应该以权利要求书的保护范围为准。

Claims

权利要求书

1、 一种移动互联网加密通讯的方法， 其特征在于， 包括：

移动互联网服务器将终端标识与预先通过非对称加密算法生成的由公 钥和私钥组成的密钥对进行关联， 并将所述密钥对中的公钥发送给对应的 终端进行保存；

所述终端利用所述非对称加密算法和所述密钥对中的公钥进行加解 密， 所述移动互联网服务器利用所述非对称加密算法和所述密钥对中的私 钥进行加解密。

2、 根据权利要求 1所述的方法， 其特征在于， 在执行所述方法之前还 包括：

当终端要访问所述移动互联网服务器并发现所述终端本地没有加密所 用的公钥时， 将所述终端的终端标识发送给所述移动互联网服务器， 请求 获取所述公钥。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述终端利用所述 非对称加密算法和所述密钥对中的公钥进行加解密， 所述移动互联网服务 器利用所述非对称加密算法和所述密钥对中的私钥进行加解密的过程具体 包括：

所述终端利用所述非对称加密算法和所述密钥对中的公钥对需要发送 的数据进行加密， 并将加密后的数据连同终端标识一起发送给移动互联网 服务器； 所述移动互联网服务器在收到所述终端发来的数据和终端标识时， 根据所述终端标识找到对应的密钥对， 利用所述非对称加密算法和所述密 钥对中的私钥对所述终端发送过来的数据进行解密；

或者，

所述移动互联网服务器利用所述非对称加密算法和所述密钥对中的私 钥对需要发送的数据进行加密， 并将加密后的数据发送给所述终端； 所述 终端利用所述非对称加密算法和所述密钥对中的公钥对所述移动互联网服 务器发送过来的数据进行解密。

4、 根据权利要求 1或 2所述的方法， 其特征在于， 所述终端标识为国 际移动用户识别码。

5、 一种移动互联网加密通讯的系统， 其特征在于， 包括：

移动互联网服务器， 用于将终端标识与预先通过非对称加密算法生成 的由公钥和私钥组成的密钥对进行关联， 并将所述密钥对中的公钥发送给 对应的终端进行保存； 所述移动互联网服务还用于利用所述非对称加密算 法和所述密钥对中的私钥进行加解密；

终端， 用于利用所述非对称加密算法和所述密钥对中的公钥进行加解 密。

6、 根据权利要求 5所述的系统， 其特征在于， 所述终端还用于， 在其 要访问所述移动互联网服务器并发现所述终端本地没有加密所用的公钥 时， 将所述终端的终端标识发送给所述移动互联网服务器， 请求获取所述 公钥。

7、 一种移动互联网服务器， 其特征在于， 包括：

关联模块， 用于将终端标识与预先通过非对称加密算法生成的由公钥 和私钥组成的密钥对进行关联， 并将所述密钥对中的公钥发送给对应的终 端进行保存；

加解密模块， 用于在收到终端发来的数据和终端标识时， 根据所述终 端标识找到对应的密钥对， 利用所述非对称加密算法和所述密钥对中的私 钥进行解密； 或者， 利用所述非对称加密算法和所述密钥对中的私钥对需 要发送的数据进行加密， 并将加密后的数据发送给所述终端。

8、 一种终端， 其特征在于， 包括：

获取模块， 用于在终端要访问移动互联网服务器并发现所述终端本地 没有加密所用的公钥时， 将终端标识发送给所述移动互联网服务器， 请求 获取所述公钥；

加解密模块， 用于利用预定的非对称加密算法和获取到的所述公钥对 需要发送的数据进行加密， 并将加密后的数据连同终端标识一起发送给所 述移动互联网服务器； 或者， 利用所述非对称加密算法和获取到的所述公 钥对所述移动互联网服务器发送过来的数据进行解密。