[发明专利]一种加密方法、计算机设备及存储介质

说明书

本发明公开了一种加密方法、计算机设备及存储介质，包括：在移动终端产生随机数R1；使用移动应用系统后台提供的公钥加密随机数R1后，上传移动应用系统后台；接收移动应用系统后台返回的密文和随机数R2；使用随机数R1和随机数R2异或产生会话主密钥R后，使用会话主密钥R解密密文得到工作密钥WK；使用工作密钥WK根据移动终端的设备唯一标识产生用户的加密密钥WK1；使用加密密钥WK1加密用户私钥和/或需要加密传输的信息。本发明实现了用户的一户一密，实现了用户手机的一机一密，使得加密存储的内容外部用户无法解密，加密文件拷贝到其它手机上也无法解密。从而保护了移动智能终端的信息安全。

技术领域

本发明涉及通信保密技术领域，特别涉及一种加密方法、计算机设备及存储介质。

背景技术

随着移动智能设备的快速普及，移动应用全方位地改变着网民的生活习惯，对人们的通信、社交、娱乐和购物等各方面产生重要影响。近年来，各类移动应用的用户规模和使用率均保持快速增长，电子商务类应用和娱乐类应用表现尤为突出，移动应用逐渐从碎片化的沟通、信息类应用向时长较长的娱乐、商务类应用发展，并通过打车、共享单车、地图和支付等应用加大对社会生活服务的渗透。

用户在享受移动支付、移动办公、移动娱乐等带来的巨大便利的同时，也面临着信息泄露、信息破坏、非法访问、窃听假冒、木马病毒等日益严重的安全威胁。日常生活中，由于移动智能设备安全问题导致信息泄露、财产受损的事例比比皆是。

纵观这些问题的根源，是密钥运行环境和密钥的安全问题。现代密码体系是唯密钥安全的安全架构，身份认证的基础依赖于传统PKI(Public Key Infrastructure，公钥基础设施)体系的私钥安全，存储在移动终端上的密钥就成为攻击者攻击整个安全系统的最主要的手段。其手段主要有：

一、基于安全元件(Secure Element)密钥保护技术

在传统的PC上，密钥通常都直接存储在硬盘上。随着移动支付的普及，这种密钥裸奔的方式逐渐的暴露出了各种问题，导致支付等应用屡屡出现问题，根本原因是：密钥需要存储在可信的安全的环境中。由于操作系统的复杂性，导致这杂种假设根本不成立，所以产生了第一代U盾产品，也就是国内比较早的安全元件的概念产品，既然操作系统很复杂，可以找个低复杂度的系统来完成运算，保证密钥不出U盾，从而保证了密钥的安全。但随着时间的推移，发现运行在Slave状态下的U盾非常容易受到欺骗，病毒程序可以随意欺骗U盾完成密码运算，所以，一代U盾就自然地过渡到了可显示、可确认的第二代U盾，即用户必须通过不能被操作系统软件控制的显示器和物理按键来完成密码计算，从而确保密码设备正确接受了真实的用户意愿。安全元件的安全不仅仅在于隔离，还需要考虑正确执行真实的用户意图问题。

随着移动互联网的发展，在移动终端上使用额外的安全元件会导致成本的提高，外置安全元件时会导致用户体验下降。迫切需要一种更为便捷易用和价格低廉的密钥保护技术。TEE的概念，正逐渐地重视起来。

二、基于TEE(Trusted Execution Environment，可信执行环境)的密钥保护技术

为了解决纯硬件安全防护在移动终端上部署不便的弊端，开放移动终端组织提出了TEE的概念和方案，即纯软件的环境和安全元件之间的折中方案。TEE旨在构建一个资源丰富的执行环境，从设备自身来提高安全性，能够进行各种各样的应用扩展，为用户使用和服务提供商的开发提供了更大的空间与自由度。

REE(Rich Execution Environment，普通执行环境)包括运行在通用的嵌入式处理器上的Rich OS(Rich Operating System，普通操作系统)及其上的客户端应用程序。尽管在REE中采取了很多诸如设备访问控制、设备数据加密机制、应用运行时的隔离机制、基于权限的访问控制等安全措施，但仍无法保证敏感数据的安全性。TEE是运行于普通操作系统之外的独立运行环境，其向一般操作系统提供安全服务并且与Rich OS隔离。Rich OS及其上的应用程序无法直接访问TEE的硬件和软件资源。