一種終端用戶的私鑰保護(hù)方法和系統(tǒng)技術(shù)方案

本發(fā)明專利技術(shù)公開了一種終端用戶的私鑰保護(hù)方法和系統(tǒng)。該終端用戶的私鑰保護(hù)方法包括初始化步驟及訪問步驟；其中，初始化步驟包括：終端根據(jù)終端標(biāo)識(shí)、PIN碼及隨機(jī)數(shù)生成密鑰對，并將公鑰、終端標(biāo)識(shí)、PIN碼及隨機(jī)數(shù)發(fā)送至服務(wù)端；訪問步驟包括：終端向服務(wù)端請求圖形驗(yàn)證碼和隨機(jī)數(shù)；服務(wù)端查詢所對應(yīng)的PIN碼和隨機(jī)數(shù)，并抽取一圖形驗(yàn)證碼及其答案，然后加密所查到的隨機(jī)數(shù)，并向終端返回圖形驗(yàn)證碼和加密后的隨機(jī)數(shù)；終端對隨機(jī)數(shù)進(jìn)行解密，并生成密鑰對；終端對交易數(shù)據(jù)進(jìn)行簽名，并向服務(wù)端發(fā)送終端標(biāo)識(shí)、圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)；服務(wù)端對圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)進(jìn)行驗(yàn)證。實(shí)施本發(fā)明專利技術(shù)的技術(shù)方案，使得私鑰不容易被竊取和破解。

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種終端用戶的私鑰保護(hù)方法和系統(tǒng)
本專利技術(shù)涉及互聯(lián)網(wǎng)信息安全領(lǐng)域，尤其涉及一種終端用戶的私鑰保護(hù)方法和系統(tǒng)。
技術(shù)介紹
眾所周知，用戶私鑰的保護(hù)是基于PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）體系加解密及簽名運(yùn)算有效性的基礎(chǔ)保證。而對于終端用戶軟證書來說，由于密鑰是以文件的方式保存在設(shè)備端的存儲(chǔ)介質(zhì)上，所以用戶私鑰的安全問題則尤為突出。目前用戶軟證書私鑰加密存儲(chǔ)通常采用以下方法：1、以密鑰文件的形式保存在存儲(chǔ)器中，以一個(gè)固定的加密密鑰進(jìn)行加密存儲(chǔ)，需要訪問私鑰時(shí)則使用加密密鑰對該密鑰文件進(jìn)行解密后得到用戶私鑰；2、將用戶設(shè)置的PIN碼作為因子計(jì)算后得到加密密鑰，該密鑰作為軟證書私鑰文件的加密密鑰，解密時(shí)也要求用戶輸入正確的PIN碼，通過運(yùn)算后得到與加密密鑰相同的解密密鑰后對軟證書私鑰文件進(jìn)行解密，最終得到用戶的私鑰。然而，現(xiàn)有私鑰加密存儲(chǔ)方法存在的不足：對于上述第一種方式，采用固定加密密鑰進(jìn)行軟證書密鑰文件加密，一旦攻擊者獲得存儲(chǔ)設(shè)備上的用戶密鑰文件后可以拷貝該密鑰文件到其它終端上進(jìn)行使用，同時(shí)固定加密密鑰容易被破解；對于上述第二種方式，私鑰靠單一因子作為加密密鑰加密存儲(chǔ)在終端上，比如通過用戶PIN碼對用戶私鑰文件進(jìn)行加密，這樣攻擊者只要獲取了用戶PIN碼，就可以轉(zhuǎn)移密鑰文件到其它終端上使用，在安全上存在風(fēng)險(xiǎn)。總之，單純采用基于單口令密碼的方式對終端上的用戶私鑰進(jìn)行加密存儲(chǔ)的方法存在安全上的脆弱性。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)要解決的技術(shù)問題在于，針對現(xiàn)有技術(shù)的上述用戶私鑰具有存儲(chǔ)安全和訪問安全上的脆弱性的缺陷，提供一種終端用戶的私鑰保護(hù)方法，使得私鑰不容易被竊取、破解。本專利技術(shù)解決其技術(shù)問題所采用的技術(shù)方案是：構(gòu)造一種終端用戶的私鑰保護(hù)方法，包括：初始化步驟；及訪問步驟；其中，所述初始化步驟包括：A1.終端根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及生成的隨機(jī)數(shù)生成密鑰對，所述密鑰對包括私鑰和公鑰，并將所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼及所述隨機(jī)數(shù)發(fā)送至服務(wù)端；A2.服務(wù)端保存所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼、所述隨機(jī)數(shù)及其對應(yīng)關(guān)系；所述訪問步驟包括：B1.終端向服務(wù)端發(fā)送終端標(biāo)識(shí)，并向服務(wù)端請求圖形驗(yàn)證碼和隨機(jī)數(shù)；B2.服務(wù)端根據(jù)所接收的終端標(biāo)識(shí)查詢所對應(yīng)的PIN碼和隨機(jī)數(shù)，并從圖形驗(yàn)證數(shù)據(jù)庫中抽取一圖形驗(yàn)證碼及其答案，然后使用所查到的PIN碼和所抽取的圖形驗(yàn)證碼的答案加密所查到的隨機(jī)數(shù)，并向終端返回圖形驗(yàn)證碼和加密后的隨機(jī)數(shù)；B3.終端接收用戶輸入的PIN碼及圖形驗(yàn)證碼的答案，并根據(jù)所接收的PIN碼及圖形驗(yàn)證碼的答案對所接收的隨機(jī)數(shù)進(jìn)行解密；B4.終端根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及解密后的隨機(jī)數(shù)生成密鑰對；B5.終端根據(jù)步驟B4中所生成的密鑰對中的私鑰對交易數(shù)據(jù)進(jìn)行簽名，并向服務(wù)端發(fā)送終端標(biāo)識(shí)、圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)；B6.服務(wù)端根據(jù)所接收的終端標(biāo)識(shí)及所存儲(chǔ)的公鑰，對圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)進(jìn)行驗(yàn)證。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)方法中，在所述步驟B2中，通過對稱加密算法加密所查到的隨機(jī)數(shù)。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)方法中，在所述步驟A1及步驟B4中，通過RSA算法或SM2算法生成密鑰對。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)方法中，終端與服務(wù)端之間通過安全通道加密且雙向認(rèn)證的方式實(shí)現(xiàn)數(shù)據(jù)傳輸。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)方法中，所述保護(hù)方法還包括：掛失步驟：服務(wù)端接收掛失請求，并根據(jù)所述掛失請求停止訪問步驟。本專利技術(shù)還構(gòu)造一種終端用戶的私鑰保護(hù)系統(tǒng)，包括終端和服務(wù)端，且所述終端包括密鑰對生成單元、請求單元、隨機(jī)數(shù)解密單元及簽名單元；所述服務(wù)端包括保存單元、隨機(jī)數(shù)加密單元及驗(yàn)證單元；其中，在初始化時(shí)，所述密鑰對生成單元，用于根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及生成的隨機(jī)數(shù)生成密鑰對，所述密鑰對包括私鑰和公鑰，并將所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼及所述隨機(jī)數(shù)發(fā)送至服務(wù)端；所述保存單元，用于保存所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼、所述隨機(jī)數(shù)及其對應(yīng)關(guān)系；在訪問時(shí)，所述請求單元，用于向服務(wù)端發(fā)送終端標(biāo)識(shí)，并向服務(wù)端請求圖形驗(yàn)證碼和隨機(jī)數(shù)；所述隨機(jī)數(shù)加密單元，用于根據(jù)所接收的終端標(biāo)識(shí)查詢所對應(yīng)的PIN碼和隨機(jī)數(shù)，并從圖形驗(yàn)證數(shù)據(jù)庫中抽取一圖形驗(yàn)證碼及其答案，然后使用所查到的PIN碼和所抽取的圖形驗(yàn)證碼的答案加密所查到的隨機(jī)數(shù)，并向終端返回圖形驗(yàn)證碼和加密后的隨機(jī)數(shù)；所述隨機(jī)數(shù)解密單元，用于接收用戶輸入的PIN碼及圖形驗(yàn)證碼的答案，并根據(jù)所接收的PIN碼及圖形驗(yàn)證碼的答案對所接收的隨機(jī)數(shù)進(jìn)行解密；所述密鑰對生成單元，還用于根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及解密后的隨機(jī)數(shù)生成密鑰對；所述簽名單元，還用于根據(jù)所生成的密鑰對中的私鑰對交易數(shù)據(jù)進(jìn)行簽名，并向服務(wù)端發(fā)送終端標(biāo)識(shí)、圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)；所述驗(yàn)證單元，用于根據(jù)所接收的終端標(biāo)識(shí)及所存儲(chǔ)的公鑰，對圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)進(jìn)行驗(yàn)證。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)系統(tǒng)中，所述隨機(jī)數(shù)加密單元通過對稱加密算法加密所查到的隨機(jī)數(shù)。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)系統(tǒng)中，所述密鑰對生成單元通過RSA算法或SM2算法生成密鑰對。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)系統(tǒng)中，所述終端與所述服務(wù)端之間通過安全通道加密且雙向認(rèn)證的方式實(shí)現(xiàn)數(shù)據(jù)傳輸。在本專利技術(shù)所述的終端用戶的私鑰保護(hù)系統(tǒng)中，所述服務(wù)端還包括：掛失單元，用于接收掛失請求，并根據(jù)所述掛失請求停止終端的訪問。實(shí)施本專利技術(shù)的技術(shù)方案，由于用戶的私鑰每次使用都是動(dòng)態(tài)生成的，而不是保存在終端側(cè)的，這樣便使得用戶私鑰不可能從終端竊取；而且，私鑰是根據(jù)PIN碼、終端標(biāo)識(shí)和保存在服務(wù)端的隨機(jī)數(shù)作為因子而生成的，而這三者同時(shí)獲取的難度非常大，因此用戶私鑰的破解難度非常大；另外，需要用戶提供圖形驗(yàn)證碼的答案、用戶PIN碼和終端標(biāo)識(shí)才能獲取服務(wù)端保存的隨機(jī)數(shù)，從而保證了服務(wù)端保存的隨機(jī)數(shù)的安全，進(jìn)而可防止服務(wù)端保存的隨機(jī)數(shù)被外部黑客程序通過模擬人的行為而對服務(wù)端的安全平臺(tái)進(jìn)行攻擊。附圖說明下面將結(jié)合附圖及實(shí)施例對本專利技術(shù)作進(jìn)一步說明，附圖中：圖1是本專利技術(shù)終端用戶的私鑰保護(hù)方法實(shí)施例一的流程圖；圖2是本專利技術(shù)終端用戶的私鑰保護(hù)方法中初始化步驟實(shí)施例一的流程圖；圖3是本專利技術(shù)終端用戶的私鑰保護(hù)方法中訪問步驟實(shí)施例一的流程圖；圖4是本專利技術(shù)終端用戶的私鑰保護(hù)系統(tǒng)實(shí)施例一的邏輯圖。具體實(shí)施方式如圖1所示，在本專利技術(shù)終端用戶的私鑰保護(hù)方法實(shí)施例一的流程圖中，該私鑰保護(hù)方法包括：A．初始化步驟；及B．訪問步驟，其中，步驟A進(jìn)一步包括：A1.終端根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及生成的隨機(jī)數(shù)生成密鑰對，所述密鑰對包括私鑰和公鑰，并將所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼及所述隨機(jī)數(shù)發(fā)送至服務(wù)端，在該步驟中，應(yīng)當(dāng)說明的是，在初始化時(shí)，終端可首先獲取終端標(biāo)識(shí)，例如，IMSI號(hào)或IMEI號(hào)，然后隨機(jī)生成一個(gè)用戶隨機(jī)數(shù)，最后提示用戶輸入PIN碼，經(jīng)用戶確認(rèn)后，終端根據(jù)所獲取的終端標(biāo)識(shí)、生成的隨機(jī)數(shù)與輸入的PIN碼生成密鑰對，優(yōu)選地，終端可通過采用RSA算法或SM2算法來生成密鑰對；A2.服務(wù)端保存所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼、所述隨機(jī)數(shù)及其對應(yīng)關(guān)系，以備后面訪問時(shí)用；步驟B進(jìn)一步包括：B1.終端向服務(wù)端發(fā)送終端標(biāo)識(shí)，并本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種終端用戶的私鑰保護(hù)方法，其特征在于，包括：初始化步驟；及訪問步驟；其中，所述初始化步驟包括：A1.終端根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及生成的隨機(jī)數(shù)生成密鑰對，所述密鑰對包括私鑰和公鑰，并將所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼及所述隨機(jī)數(shù)發(fā)送至服務(wù)端；A2.服務(wù)端保存所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼、所述隨機(jī)數(shù)及其對應(yīng)關(guān)系；所述訪問步驟包括：B1.終端向服務(wù)端發(fā)送終端標(biāo)識(shí)，并向服務(wù)端請求圖形驗(yàn)證碼和隨機(jī)數(shù)；B2.服務(wù)端根據(jù)所接收的終端標(biāo)識(shí)查詢所對應(yīng)的PIN碼和隨機(jī)數(shù)，并從圖形驗(yàn)證數(shù)據(jù)庫中抽取一圖形驗(yàn)證碼及其答案，然后使用所查到的PIN碼和所抽取的圖形驗(yàn)證碼的答案加密所查到的隨機(jī)數(shù)，并向終端返回圖形驗(yàn)證碼和加密后的隨機(jī)數(shù)；B3.終端接收用戶輸入的PIN碼及圖形驗(yàn)證碼的答案，并根據(jù)所接收的PIN碼及圖形驗(yàn)證碼的答案對所接收的隨機(jī)數(shù)進(jìn)行解密；B4.終端根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及解密后的隨機(jī)數(shù)生成密鑰對；B5.終端根據(jù)步驟B4中所生成的密鑰對中的私鑰對交易數(shù)據(jù)進(jìn)行簽名，并向服務(wù)端發(fā)送終端標(biāo)識(shí)、圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)；B6.服務(wù)端根據(jù)所接收的終端標(biāo)識(shí)及所存儲(chǔ)的公鑰，對圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)進(jìn)行驗(yàn)證。...

【技術(shù)特征摘要】
1.一種終端用戶的私鑰保護(hù)方法，包括：初始化步驟；及訪問步驟；其特征在于，所述初始化步驟包括：A1.終端根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及生成的隨機(jī)數(shù)生成密鑰對，所述密鑰對包括私鑰和公鑰，并將所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼及所述隨機(jī)數(shù)發(fā)送至服務(wù)端；A2.服務(wù)端保存所述公鑰、所述終端標(biāo)識(shí)、所述PIN碼、所述隨機(jī)數(shù)及其對應(yīng)關(guān)系；所述訪問步驟包括：B1.終端向服務(wù)端發(fā)送終端標(biāo)識(shí)，并向服務(wù)端請求圖形驗(yàn)證碼和隨機(jī)數(shù)；B2.服務(wù)端根據(jù)所接收的終端標(biāo)識(shí)查詢所對應(yīng)的PIN碼和隨機(jī)數(shù)，并從圖形驗(yàn)證數(shù)據(jù)庫中抽取一圖形驗(yàn)證碼及其答案，然后使用所查到的PIN碼和所抽取的圖形驗(yàn)證碼的答案加密所查到的隨機(jī)數(shù)，并向終端返回圖形驗(yàn)證碼和加密后的隨機(jī)數(shù)；B3.終端接收用戶輸入的PIN碼及圖形驗(yàn)證碼的答案，并根據(jù)所接收的PIN碼及圖形驗(yàn)證碼的答案對所接收的隨機(jī)數(shù)進(jìn)行解密；B4.終端根據(jù)終端標(biāo)識(shí)、用戶輸入的PIN碼及解密后的隨機(jī)數(shù)生成密鑰對；B5.終端根據(jù)步驟B4中所生成的密鑰對中的私鑰對交易數(shù)據(jù)進(jìn)行簽名，并向服務(wù)端發(fā)送終端標(biāo)識(shí)、圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)；B6.服務(wù)端根據(jù)所接收的終端標(biāo)識(shí)及所存儲(chǔ)的公鑰，對圖形驗(yàn)證碼的答案及簽名數(shù)據(jù)進(jìn)行驗(yàn)證。2.根據(jù)權(quán)利要求1所述的終端用戶的私鑰保護(hù)方法，其特征在于，在所述步驟B2中，通過對稱加密算法加密所查到的隨機(jī)數(shù)。3.根據(jù)權(quán)利要求1所述的終端用戶的私鑰保護(hù)方法，其特征在于，在所述步驟A1及步驟B4中，通過RSA算法或SM2算法生成密鑰對。4.根據(jù)權(quán)利要求1所述的終端用戶的私鑰保護(hù)方法，其特征在于，終端與服務(wù)端之間通過安全通道加密且雙向認(rèn)證的方式實(shí)現(xiàn)數(shù)據(jù)傳輸。5.根據(jù)權(quán)利要求1所述的終端用戶的私鑰保護(hù)方法，其特征在于，所述保護(hù)方法還包括：掛失步驟：服務(wù)端接收掛失請求，并根據(jù)所述掛失請求停止訪問步驟。6.一種終端用戶的私鑰保護(hù)系統(tǒng)，包括終端和服務(wù)端，其特征在于，所述終端包括密鑰對生...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：劉瓊玉，劉志誠，吳勇，王有為，袁勝，
申請(專利權(quán))人：卓望數(shù)碼技術(shù)深圳有限公司，
類型：發(fā)明
國別省市：廣東;44