CN108809936A - 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 - Google Patents

Abstract

本发明涉及一种基于混合加密算法的智能移动终端身份验证方法及其实现系统，本发明通过基于RAS+AES+时间戳的混合加密方法对数据信息进行加密传输，可以用于多种客户端的身份验证和信息传输。客户端与服务器端之间的发送及返回数据流均为密文传输且很难被暴力破解，每次传输能做到一次一密无密钥丢失风险，从而降低了用户数据信息在传输过程中被窃取的风险，提高了身份认证系统的安全性和可靠性。

Description

一种基于混合加密算法的智能移动终端身份验证方法及其实 现系统

技术领域

本发明涉及一种基于混合加密算法的智能移动终端身份验证方法及其实现系统，属于智能终端信息安全技术领域。

背景技术

随着移动智能终端的快速发展，越来越多的用户将私密数据信息存储在网络应用上。用户隐私数据被盗将会对用户带来并造成巨大的风险和损失。在信息安全问题层出不穷的今天，无论是个人用户还是公司机构都对信息安全及隐私保护给予了前所未有的重视。传统的数据信息安全方案面临着诸多问题与挑战。

用户个人数据的访问离不开对用户身份的验证，对用户访问身份合法性验证是守护用户信息安全的第一道大门。目前大多数移动应用用户身份验证主要依赖于三种方案：对用户信息进行MD5加密(Message Digest Algorithm MD5)、使用DES及AES加密算法加密或者使用RSA加密算法。但对于这几种方案而言，MD5算法存在被暴力破解的风险，不适合安全性要求高的领域。DES/AES作为对称加密算法密钥完全依赖于信道传递，密钥一旦在传输中被截获暴露，整个身份验证系统的安全性将无从保证。而非对称加密算法RSA虽然密钥传输与保存方便，但是加密过程复杂，不适合对较大的数据量进行加密。由此可见，上述几种传统方案在移动智能时代的终端用户身份验证中面临着巨大风险和挑战。

发明内容

针对现有技术的不足，本发明提供了一种基于混合加密算法的智能移动终端身份验证方法；

本发明还提供了一种基于混合加密算法的智能移动终端身份验证系统。

本发明的技术方案为：

一种基于混合加密算法的智能移动终端身份验证方法，应用于客户端与服务器端，所述客户端为PC端或移动客户端，包括对PC端进行身份验证、对移动客户端进行身份认证：

对PC端进行身份验证，包括：

(1)计算出一个RSA公钥，在工程开发中RSA密钥对(包括加密用的公钥与解密用的私钥)的获取均可通过java编程创建KeyPairGenerator对象获得，RSA公钥用于数据加密并保存在PC端，计算该RSA公钥对应的私钥，私钥用于数据解密并保存在服务器端；

(2)由PC端生成固定的终端识别符pc_identifier、随机AES密钥aes_pc_key；通过步骤(1)保存的RSA公钥对终端识别符pc_identifier、随机AES密钥aes_pc_key加密，加密后的密文为：RSA<pc_identifier，aes_pc_key>，将加密后的密文信息生成QR二维码供PC端获取；进入步骤(3)；

(3)PC端扫描步骤(2)生成的QR二维码，获得密文RSA<pc_identifier，aes_pc_key>；

(4)PC端生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个PC端AES密钥aes_mp_key；

使用步骤(1)中保存在PC端的RSA公钥加密用户身份数据data、当前时间戳信息参数time_stamp、步骤(3)获得的PC端密文信息RSA<pc_identifier，aes_pc_key>以及AES密钥aes_mp_key；加密后的密文为：RSA<data，time_stamp，RSA<pc_identifier，aes_pc_key>，null>；

(5)服务器端接收到步骤(4)传来的加密后的密文，通过步骤(1)中保存的私钥解密收到步骤(4)传来的加密后的密文，得到明文数据：data，time_stamp，pc_identifier，aes_pc_key；

(6)服务器端验证data和time_stamp的合法性与有效性，验证参数pc_identifier是否为空，，data和time_stamp的合法性与有效性验证通过，并且参数pc_identifier不为空，则通过步骤(5)获得的aes_pc_key对需要返回pc端的数据re_data加密，密文表示为AES<re_data>，返回PC端；

根据本发明优选的，所述步骤(6)，服务器端验证data和time_stamp的合法性与有效性，并根据参数pc_identifier识别符鉴别PC端类型，包括：

a、服务器端查询用户保存在数据库中的身份信息，验证手机端请求信息data是否合法；

b、通过参数time_stamp对比当前时间验证请求是否过期；

c、服务器端验证参数pc_identifier是否为空，pc_identifier不为空，即表示请求来源于PC端，否则，即表示请求不来源于PC端。

(7)PC端收到步骤(6)返回的密文AES<re_data>，利用步骤(2)生成的AES密钥aes_pc_key解密AES<re_data>，获得从服务器段返回的明文数据re_data；

对移动客户端进行身份认证，包括：

A、开发中通过java编程创建KeyPairGenerator对象计算出一个RSA公钥，该RSA公钥用于数据加密并保存在移动客户端，计算该RSA公钥对应的私钥，该私钥用于数据解密并保存在服务器端；

B、移动客户端生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个移动客户端AES密钥aes_mp_key；

使用步骤A中保存在移动客户端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp加密；加密后的密文为：RSA<data，time_stamp，null，aes_mp_key>；

C、服务器端接收到步骤B传来的加密后的密文，通过步骤A中保存的私钥解密收到步骤B传来的加密后的密文，得到解明文数据：aes_mp_key；

D、通过步骤C获得的aes_mp_key对需要返回移动客户端的数据re_data加密，密文表示为AES<re_data>，返回移动客户端；

E、移动客户端收到步骤D返回的密文AES<re_data>，利用步骤B生成的AES密钥aes_mp_key解密AES<re_data>，获得从服务器段返回的明文数据re_data。

上述智能移动终端身份验证方法的实现系统，包括PC端处理模块，移动终端处理模块，服务器处理模块；

所述PC端处理模块用于：生成固定的终端识别符pc_identifier、随机AES密钥aes_pc_key；通过步骤(1)保存的RSA公钥对终端识别符pc_identifier、随机AES密钥aes_pc_key加密，加密后的密文为：RSA<pc_identifier，aes_pc_key>，将加密后的密文信息生成QR二维码供移动客户端获取；即上述步骤(2)；

或者，生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个移动客户端AES密钥aes_mp_key；

使用步骤A中保存在移动客户端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp加密；加密后的密文为：RSA<data，time_stamp，null，aes_mp_key>；即上述步骤B；

所述移动终端处理模块用于：扫描步骤(2)生成的QR二维码，获得密文RSA<pc_identifier，aes_pc_key>；

使用步骤(1)中保存在PC端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp、步骤(3)获得的PC端密文信息RSA<pc_identifier，aes_pc_key>、AES密钥aes_mp_key加密；加密后的密文为：RSA<data，time_stamp，RSA<pc_identifier，aes_pc_key>，null>；并发送至服务器端；即上述步骤(3)、步骤(4)。

所述服务器处理模块用于：

通过步骤(1)中保存的私钥解密收到步骤(4)传来的加密后的密文，得到明文数据：data，time_stamp，pc_identifier，aes_pc_key；

服务器端验证data和time_stamp的合法性与有效性，并根据参数pc_identifier识别符鉴别客户端类型，通过步骤(5)获得的aes_pc_key对需要返回pc端的数据re_data加密，密文表示为AES<re_data>，返回PC端；

不同类型客户端收到步骤(6)返回的密文AES<re_data>，利用步骤(2)生成的AES密钥aes_pc_key解密AES<re_data>，获得从服务器段返回的明文数据re_data；即上述步骤(5)、步骤(6)、步骤(7)。

或者，通过步骤A中保存的私钥解密收到步骤B传来的加密后的密文，得到解明文数据：aes_mp_key；

通过步骤C获得的aes_mp_key对需要返回移动客户端的数据re_data加密，密文表示为AES<re_data>，返回移动客户端；

不同类型客户端收到步骤D返回的密文AES<re_data>，利用步骤B生成的AES密钥aes_mp_key解密AES<re_data>，获得从服务器段返回的明文数据re_data。即上述步骤C、步骤D、步骤E。

根据本发明优选的，所述PC端处理模块计算机；所述移动端处理模块为手机。

PC端处理模块包括为带有计算与存储功能的个人计算机及对应的PC端软件；移动端处理模块为移动智能终端包括搭载Android或IOS系统的手机及对应的移动客户端软件，服务器处理模块包括服务器处理程序与数据库。

本发明的有益效果为：

本发明针对现有的移动网络客户端身份信息数据验证方法进行了改进及优化。通过基于RAS+AES+时间戳的混合加密方法对数据信息进行加密传输，可以用于多种客户端的身份验证和信息传输。客户端与服务器端之间的发送及返回数据流均为密文传输且很难被暴力破解，每次传输能做到一次一密无密钥丢失风险，从而降低了用户数据信息在传输过程中被窃取的风险，提高了身份认证系统的安全性和可靠性。

附图说明

图1为本发明中对PC端进行身份验证的流程示意图；

图2为本发明中对移动客户端进行身份认证的流程示意图；

图3为本发明智能移动终端身份验证方法的实现系统的结构图。

具体实施方式

下面结合说明书附图和实施例对本发明进一步限定，但不限于此。

实施例1

一种基于混合加密算法的智能移动终端身份验证方法，应用于客户端与服务器端，客户端为PC端或移动客户端，包括对PC端进行身份验证、对移动客户端进行身份认证：

对PC端进行身份验证，如图1所示，包括：

(1)计算出一个RSA公钥，在工程开发中RSA密钥对(包括加密用的公钥与解密用的私钥)的获取均可通过java编程创建KeyPairGenerator对象获得，RSA公钥用于数据加密并保存在PC端，计算该RSA公钥对应的私钥，私钥用于数据解密并保存在服务器端；

(2)由PC端生成固定的终端识别符pc_identifier、随机AES密钥aes_pc_key；通过步骤(1)保存的RSA公钥对终端识别符pc_identifier、随机AES密钥aes_pc_key加密，加密后的密文为：RSA<pc_identifier，aes_pc_key>，将加密后的密文信息生成QR二维码供PC端获取；进入步骤(3)；

(3)PC端扫描步骤(2)生成的QR二维码，获得密文RSA<pc_identifier，aes_pc_key>；

(4)PC端生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个PC端AES密钥aes_mp_key；

使用步骤(1)中保存在PC端的RSA公钥加密用户身份数据data、当前时间戳信息参数time_stamp、步骤(3)获得的PC端密文信息RSA<pc_identifier，aes_pc_key>以及AES密钥aes_mp_key；加密后的密文为：RSA<data，time_stamp，RSA<pc_identifier，aes_pc_key>，null>；

(5)服务器端接收到步骤(4)传来的加密后的密文，通过步骤(1)中保存的私钥解密收到步骤(4)传来的加密后的密文，得到明文数据：data，time_stamp，pc_identifier，aes_pc_key；

(6)服务器端验证data和time_stamp的合法性与有效性，验证参数pc_identifier是否为空，，data和time_stamp的合法性与有效性验证通过，并且参数pc_identifier不为空，则通过步骤(5)获得的aes_pc_key对需要返回pc端的数据re_data加密，密文表示为AES<re_data>，返回PC端；

步骤(6)中，服务器端验证data和time_stamp的合法性与有效性，并根据参数pc_identifier识别符鉴别PC端类型，包括：

a、服务器端查询用户保存在数据库中的身份信息，验证手机端请求信息data是否合法；

b、通过参数time_stamp对比当前时间验证请求是否过期；

c、服务器端验证参数pc_identifier是否为空，pc_identifier不为空，即表示请求来源于PC端，否则，即表示请求不来源于PC端。

(7)PC端收到步骤(6)返回的密文AES<re_data>，利用步骤(2)生成的AES密钥aes_pc_key解密AES<re_data>，获得从服务器段返回的明文数据re_data；

对移动客户端进行身份认证，如图2所示，包括：

A、开发中通过java编程创建KeyPairGenerator对象计算出一个RSA公钥，该RSA公钥用于数据加密并保存在移动客户端，计算该RSA公钥对应的私钥，该私钥用于数据解密并保存在服务器端；

B、移动客户端生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个移动客户端AES密钥aes_mp_key；

使用步骤A中保存在移动客户端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp加密；加密后的密文为：RSA<data，time_stamp，null，aes_mp_key>；

C、服务器端接收到步骤B传来的加密后的密文，通过步骤A中保存的私钥解密收到步骤B传来的加密后的密文，得到解明文数据：aes_mp_key；

D、通过步骤C获得的aes_mp_key对需要返回移动客户端的数据re_data加密，密文表示为AES<re_data>，返回移动客户端；

E、移动客户端收到步骤D返回的密文AES<re_data>，利用步骤B生成的AES密钥aes_mp_key解密AES<re_data>，获得从服务器段返回的明文数据re_data。

实施例2

实施例1所述的智能移动终端身份验证方法的实现系统，如图3所示，包括PC端处理模块，移动终端处理模块，服务器处理模块；

PC端处理模块用于：生成固定的终端识别符pc_identifier、随机AES密钥aes_pc_key；通过步骤(1)保存的RSA公钥对终端识别符pc_identifier、随机AES密钥aes_pc_key加密，加密后的密文为：RSA<pc_identifier，aes_pc_key>，将加密后的密文信息生成QR二维码供移动客户端获取；即上述步骤(2)；

或者，生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个移动客户端AES密钥aes_mp_key；

使用步骤A中保存在移动客户端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp加密；加密后的密文为：RSA<data，time_stamp，null，aes_mp_key>；即上述步骤B；

移动终端处理模块用于：扫描步骤(2)生成的QR二维码，获得密文RSA<pc_identifier，aes_pc-_key>；

使用步骤(1)中保存在PC端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp、步骤(3)获得的PC端密文信息RSA<pc_identifier，aes_pc_key>、AES密钥aes_mp_key加密；加密后的密文为：RSA<data，time_stamp，RSA<pc_identifier，aes_pc_key>，null>；并发送至服务器端；即上述步骤(3)、步骤(4)。

服务器处理模块用于：

通过步骤(1)中保存的私钥解密收到步骤(4)传来的加密后的密文，得到明文数据：data，time_stamp，pc_identifier，aes_pc_key；

服务器端验证data和time_stamp的合法性与有效性，并根据参数pc_identifier识别符鉴别客户端类型，通过步骤(5)获得的aes_pc_key对需要返回pc端的数据re_data加密，密文表示为AES<re_data>，返回PC端；

不同类型客户端收到步骤(6)返回的密文AES<re_data>，利用步骤(2)生成的AES密钥aes_pc_key解密AES<re_data>，获得从服务器段返回的明文数据re_data；即上述步骤(5)、步骤(6)、步骤(7)。

或者，通过步骤A中保存的私钥解密收到步骤B传来的加密后的密文，得到解明文数据：aes_mp_key；

通过步骤C获得的aes_mp_key对需要返回移动客户端的数据re_data加密，密文表示为AES<re_data>，返回移动客户端；

不同类型客户端收到步骤D返回的密文AES<re_data>，利用步骤B生成的AES密钥aes_mp_key解密AES<re_data>，获得从服务器段返回的明文数据re_data。即上述步骤C、步骤D、步骤E。

PC端处理模块计算机；移动端处理模块为手机。

PC端处理模块包括为带有计算与存储功能的个人计算机及对应的PC端软件；移动端处理模块为移动智能终端包括搭载Android或IOS系统的手机及对应的移动客户端软件，服务器处理模块包括服务器处理程序与数据库。

Claims (4)

1.一种基于混合加密算法的智能移动终端身份验证方法，其特征在于，应用于客户端与服务器端，所述客户端为PC端或移动客户端，包括对PC端进行身份验证、对移动客户端进行身份认证：

对PC端进行身份验证，包括：

(1)计算出一个RSA公钥，RSA公钥用于数据加密并保存在PC端，计算该RSA公钥对应的私钥，私钥用于数据解密并保存在服务器端；

(2)由PC端生成固定的终端识别符pc_identifier、随机AES密钥aes_pc_key；通过步骤(1)保存的RSA公钥对终端识别符pc_identifier、随机AES密钥aes_pc_key加密，加密后的密文为：RSA<pc_identifier，aes_pc_key>，将加密后的密文信息生成QR二维码供PC端获取；进入步骤(3)；

(3)PC端扫描步骤(2)生成的QR二维码，获得密文RSA<pc_identifier，aes_pc_key>；

(4)PC端生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个PC端AES密钥aes_mp_key；

使用步骤(1)中保存在PC端的RSA公钥加密用户身份数据data、当前时间戳信息参数time_stamp、步骤(3)获得的PC端密文信息RSA<pc_identifier，aes_pc_key>以及AES密钥aes_mp_key；加密后的密文为：RSA<data，time_stamp，RSA<pc_identifier，aes_pc_key>，null>；

(5)服务器端接收到步骤(4)传来的加密后的密文，通过步骤(1)中保存的私钥解密收到步骤(4)传来的加密后的密文，得到明文数据：data，time_stamp，pc_identifier，aes_pc_key；

(6)服务器端验证data和time_stamp的合法性与有效性，验证参数pc_identifier是否为空，，data和time_stamp的合法性与有效性验证通过，并且参数pc_identifier不为空，则通过步骤(5)获得的aes_pc_key对需要返回pc端的数据re_data加密，密文表示为AES<re_data>，返回PC端；

(7)PC端收到步骤(6)返回的密文AES<re_data>，利用步骤(2)生成的AES密钥aes_pc_key解密AES<re_data>，获得从服务器段返回的明文数据re_data；

对移动客户端进行身份认证，包括：

A、计算出一个RSA公钥，该RSA公钥用于数据加密并保存在移动客户端，计算该RSA公钥对应的私钥，该私钥用于数据解密并保存在服务器端；

B、移动客户端生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个移动客户端AES密钥aes_mp_key；

使用步骤A中保存在移动客户端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp加密；加密后的密文为：RSA<data，time_stamp，null，aes_mp_key>；

C、服务器端接收到步骤B传来的加密后的密文，通过步骤A中保存的私钥解密收到步骤B传来的加密后的密文，得到解明文数据：aes_mp_key；

D、通过步骤C获得的aes_mp_key对需要返回移动客户端的数据re_data加密，密文表示为AES<re_data>，返回移动客户端；

E、移动客户端收到步骤D返回的密文AES<re_data>，利用步骤B生成的AES密钥aes_mp_key解密AES<re_data>，获得从服务器段返回的明文数据re_data。

2.根据权利要求1所述的一种基于混合加密算法的智能移动终端身份验证方法，其特征在于，所述步骤(6)，服务器端验证data和time_stamp的合法性与有效性，并根据参数pc_identifier识别符鉴别PC端类型，包括：

a、服务器端查询用户保存在数据库中的身份信息，验证手机端请求信息data是否合法；

b、通过参数time_stamp对比当前时间验证请求是否过期；

c、服务器端验证参数pc_identifier是否为空，pc_identifier不为空，即表示请求来源于PC端，否则，即表示请求不来源于PC端。

3.权利要求1或2所述的智能移动终端身份验证方法的实现系统，其特征在于，包括PC端处理模块、移动终端处理模块、服务器处理模块；

所述PC端处理模块用于：生成固定的终端识别符pc_identifier、随机AES密钥aes_pc_key；通过步骤(1)保存的RSA公钥对终端识别符pc_identifier、随机AES密钥aes_pc_key加密，加密后的密文为：RSA<pc_identifier，aes_pc_key>，将加密后的密文信息生成QR二维码供移动客户端获取；

或者，生成一个当前时间戳信息参数time_stamp，用于有效期验证，并随机生成一个移动客户端AES密钥aes_mp_key；

使用步骤A中保存在移动客户端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp加密；加密后的密文为：RSA<data，time_stamp，null，aes_mp_key>；

所述移动终端处理模块用于：扫描步骤(2)生成的QR二维码，获得密文RSA<pc_identifier，aes_pc_key>；

使用步骤(1)中保存在PC端的RSA公钥将需要加密发送的用户身份数据data、当前时间戳信息参数time_stamp、步骤(3)获得的PC端密文信息RSA<pc_identifier，aes_pc_key>、AES密钥aes_mp_key加密；加密后的密文为：RSA<data，time_stamp，RSA<pc_identifier，aes_pc_key>，null>；并发送至服务器端；

所述服务器处理模块用于：

通过步骤(1)中保存的私钥解密收到步骤(4)传来的加密后的密文，得到明文数据：data，time_stamp，pc_identifier，aes_pc_key；

服务器端验证data和time_stamp的合法性与有效性，并根据参数pc_identifier识别符鉴别客户端类型，通过步骤(5)获得的aes_pc_key对需要返回pc端的数据re_data加密，密文表示为AES<re_data>，返回PC端；

不同类型客户端收到步骤(6)返回的密文AES<re_data>，利用步骤(2)生成的AES密钥aes_pc_key解密AES<re_data>，获得从服务器段返回的明文数据re_data；

或者，通过步骤A中保存的私钥解密收到步骤B传来的加密后的密文，得到解明文数据：aes_mp_key；

通过步骤C获得的aes_mp_key对需要返回移动客户端的数据re_data加密，密文表示为AES<re_data>，返回移动客户端；

不同类型客户端收到步骤D返回的密文AES<re_data>，利用步骤B生成的AES密钥aes_mp_key解密AES<re_data>，获得从服务器段返回的明文数据re_data。

4.根据权利要求3所述的智能移动终端身份验证方法的实现系统，其特征在于，所述PC端处理模块计算机；所述移动端处理模块为手机。