[发明专利]基于CPK的手机应用间及与服务器间的安全通信方式

说明书

技术领域

本发明涉及信息安全技术，尤其涉及基于CPK的智能手机应用之间、手机应用于服务器之间的安全通信方式。

背景技术

随着互联网的发展，对计算机和网络安全的要求也越来越高，相应的加密算法和技术也在蓬勃发展。目前的加密技术可分为两类，即对称密钥技术和非对称密钥技术。其中非对称密钥技术由于可以避免通过网络传递解密密钥即私钥的需要而得到广泛的应用。

非对称密钥目前最为本领域技术人员所公知的技术为PKI(Public Key Infrastructure)。PKI的运行靠两大部件：层次化的CA(Certification Authority)机构和庞大的证书库LDAP。PKI靠第三方公证来解决标识和密钥的捆绑。为此需要建立庞大的层次化的CA认证机构。PKI还要靠在线运行的证书库的支持，证书库的在线运行引发了大量的网络信息流量，例如一方为了获得通信对方的证书，就需要向CA层层认证。正因为基于PKI技术实现的认证系统依靠数据库在线运行，其运行效率很低，处理能力不大。据美国国防部反映，PKI将引起信息爆炸，美军将来的通信也很难满足PKI带宽需求，而且引起机构爆炸，为支持200万张CAC卡，全军新增了2500个CA工作站，人员管理和经费已到不堪重负的程度。于是当今的各国学者，包括部分PKI公司在内，正在寻找一种新的出路。

另一种非常具有前景的机密技术是IBE(Identity Based Eneryption)。1984年，Shamir提出了基于标识的签名设想，并推测基于标识的密码体制(简称IBE：Identity Based Eneryption)的存在性，但是一直没有找到具体的实现方法。

2001年Don Boneh和Matthew Franklin根据Shamir的想法，提出了从Weil配对来实现基于标识的密码体制。与PKI技术相比较，IBE算法虽然取消了庞大的层次化CA机构，但需要保留用户相关的参数。基于IBE算法实现的认证系统依靠数据库在线运行，其运行效率很低，处理能力并不大。因为参数是与各用户相关，所以参数量与用户量成正比。只要需要公布用户相关信息，就需要目录库(LDAP)等数据库的支持，进而也没有办法减少动态的在线维护量。

公众网的发展和应用，提出了构筑可信网络系统的新的要求。认证系统是可信网络系统的核心技术，而在认证系统的核心技术则是密钥技术。密钥技术中有两大难点：规模化和基于标识的密钥分发。CPK密钥技术正好解决了这两个难点，为实现规模化公众网上实现可信系统创造了条件。

CPK算法与IBE算法一样，也是基于标识的公钥算法。CPK不需要数据库的在线支持，可用一个芯片实现，在规模化、经济性、可行性、运行效率上具有前述两种体制无法比拟的优势。

随着智能手机的普及，移动办公的趋势越发不可阻挡。然而企业能够放心的展开移动办公的前提，是手机端和企业内网的服务器端能够进行安全的加密通信。

通常的安全通信方式为SSL/TLS，但是它需要第三方认证机构，必须有在线运行的证书库的支持，且需要维护具有大数据量的数据库，占用大量的存储空间，运行时的效率也不高，处理速度很慢。

发明内容

本发明要解决的技术问题是克服现有的缺陷，采用CPK认证技术，提供了基于CPK的智能手机应用之间、手机应用与服务器之间的安全通信方式，它不需要维护大数据量的数据库，运行的效率得到大大提高。

为了解决上述技术问题，本发明提供了如下的技术方案：

基于CPK的手机应用间及与服务器间的安全通信方式，包括用户证书申请与安全通信，

用户证书申请包括：

种子卡生成中心KPC，根据CPK认证技术中选定的椭圆曲线参数，生成公私钥矩阵，并导入到密钥管理中心KMC用的种子秘钥卡中；

密钥管理中心KMC，根据自己的种子秘钥卡，以及用户的个人唯一用户标识，生成用户证书；

注册管理中心RMC，负责对用户证书申请进行身份审核，通过之后从密钥管理中心KMC获取生成的用户证书，灌入到用户手机APP；

手机端APP，利用用户证书进行通信密钥的协商；

安全通信包括以下步骤：

(1)手机应用发送自己支持的对称加密算法列表给另一手机应用或服务器，并带上一个随机数a；

(2)另一手机应用或服务器收到消息后，返回通信阶段要使用的加密算法，并带上一个随机数b；

(3)手机应用收到消息后，产生随机数c，由a,b,c生成通信阶段需要的对称加密密钥；