技術(shù)領(lǐng)域

本發(fā)明涉及移動(dòng)設(shè)備數(shù)據(jù)交互安全領(lǐng)域，尤其是指一種基于參數(shù)的動(dòng)態(tài)生成密鑰的PKI私鑰保護(hù)方法。?

背景技術(shù)

眾所周知，現(xiàn)有移動(dòng)設(shè)備中涉及數(shù)據(jù)加密時(shí)，私鑰的保護(hù)是基于PKI體系加解密及簽名運(yùn)算有效性的基礎(chǔ)保證。而對(duì)于手機(jī)用戶軟證書(shū)來(lái)說(shuō)，由于密鑰是以文件的方式保存在手機(jī)設(shè)備端的存儲(chǔ)介質(zhì)上，所以私鑰的安全問(wèn)題則尤為突出。目前移動(dòng)設(shè)備上的用戶軟證書(shū)私鑰加密存儲(chǔ)通常采用以下方法：?

1、以密鑰文件的形式保存在存儲(chǔ)器中，以一個(gè)固定的加密密鑰進(jìn)行加密存儲(chǔ)，需要訪問(wèn)私鑰時(shí)則使用加密密鑰對(duì)該密鑰文件進(jìn)行解密后得到私鑰；?

2、根據(jù)用戶設(shè)置的PIN碼為因子計(jì)算后得到加密密鑰，該密鑰作為軟證書(shū)私鑰文件的加密密鑰，解密時(shí)也要求用戶輸入正確的PIN碼，通過(guò)運(yùn)算后得到與加密密鑰相同的解密密鑰后對(duì)軟證書(shū)私鑰文件進(jìn)行解密，最終得到用戶的私鑰。

然而上述現(xiàn)有私鑰的加密存儲(chǔ)方法存在的不足：?

1、對(duì)于采用固定加密密鑰進(jìn)行軟證書(shū)密鑰文件加密的方式，一旦攻擊者獲得存儲(chǔ)設(shè)備上的用戶密鑰文件后可以拷貝該密鑰文件到其他手機(jī)終端上進(jìn)行使用，同時(shí)固定加密密鑰容易被破解；

2、私鑰靠單一因子作為加密密鑰加密存儲(chǔ)在手機(jī)終端上，比如通過(guò)用戶PIN碼對(duì)私鑰文件進(jìn)行加密，這樣攻擊者只要獲取了用戶PIN碼，就可以轉(zhuǎn)移密鑰文件到其他手機(jī)終端上使用，在安全上存在風(fēng)險(xiǎn)。

綜上可見(jiàn)，在私鑰保護(hù)中，若僅單純采用基于單口令密碼的方式對(duì)手機(jī)終端上的私鑰進(jìn)行加密存儲(chǔ)的方法雖然較另一種方法來(lái)說(shuō)更為可靠，但依然存在安全上的脆弱性。?

發(fā)明內(nèi)容

本發(fā)明的目的在于克服了上述缺陷，提供一種基于參數(shù)的動(dòng)態(tài)生成密鑰的PKI私鑰保護(hù)方法。?

本發(fā)明的目的是這樣實(shí)現(xiàn)的：一種基于參數(shù)的動(dòng)態(tài)生成密鑰的PKI私鑰保護(hù)方法，包括：?

私鑰動(dòng)態(tài)生成；

響應(yīng)包含終端唯一標(biāo)識(shí)的密鑰因子獲取請(qǐng)求，根據(jù)該終端唯一標(biāo)識(shí)查詢保存的終端信息，至少以終端信息對(duì)密鑰因子進(jìn)行加密后返回加密的密鑰因子；以及，至少以獲取的自身的終端信息對(duì)接收的加密的密鑰因子進(jìn)行解密，再根據(jù)終端唯一標(biāo)識(shí)、自身的終端信息及解密的密鑰因子動(dòng)態(tài)生成私鑰；其中密鑰因子是隨機(jī)生成，生成后固定保存的數(shù)值；

用戶密鑰對(duì)初始化；

隨機(jī)生成密鑰因子，根據(jù)該密鑰因子、終端唯一標(biāo)識(shí)及終端信息生成包括公鑰、私鑰的密鑰對(duì)，將公鑰保存；

私鑰安全訪問(wèn)；

根據(jù)動(dòng)態(tài)生成的私鑰對(duì)交易數(shù)據(jù)通過(guò)算法進(jìn)行簽名形成簽名數(shù)據(jù)，發(fā)送至少終端唯一標(biāo)識(shí)與簽名數(shù)據(jù)進(jìn)行驗(yàn)證；

上述步驟中，至少以終端信息及圖形驗(yàn)證碼的答案對(duì)密鑰因子進(jìn)行加密后返回圖形校驗(yàn)碼的答案相對(duì)應(yīng)的圖形數(shù)據(jù)和加密的密鑰因子；以及，至少以獲取的自身的終端信息及根據(jù)展示圖形校驗(yàn)碼的圖形數(shù)據(jù)后獲取的用戶圖形校驗(yàn)碼的答案的輸入對(duì)接收的加密的密鑰因子進(jìn)行解密；

上述步驟中，所述終端信息包括用戶PIN碼；所述獲取的自身的終端信息包括響應(yīng)用戶PIN碼的輸入后將其作為當(dāng)下自身的終端信息的用戶PIN碼；所述終端唯一標(biāo)識(shí)包括終端的IMSI號(hào)或IMEI號(hào)。

上述步驟中，所述響應(yīng)包含終端唯一標(biāo)識(shí)的密鑰因子獲取請(qǐng)求與生成私鑰分別由終端外與終端自身執(zhí)行。?

上述步驟中，私鑰動(dòng)態(tài)生成具體包括步驟，?

A）、于移動(dòng)終端上獲取終端唯一標(biāo)識(shí)；

B）、于移動(dòng)終端上發(fā)送終端唯一標(biāo)識(shí)至移動(dòng)終端外并請(qǐng)求獲取圖形驗(yàn)證碼的圖形數(shù)據(jù)和隨機(jī)數(shù)；

上述步驟B中，于移動(dòng)終端上進(jìn)行數(shù)據(jù)加密后發(fā)送終端唯一標(biāo)識(shí)至移動(dòng)終端外并請(qǐng)求獲取圖形驗(yàn)證碼的圖形數(shù)據(jù)和隨機(jī)數(shù)，移動(dòng)終端外在收到后對(duì)移動(dòng)終端身份進(jìn)行驗(yàn)證，驗(yàn)證若不通過(guò)則返回錯(cuò)誤，通過(guò)方繼續(xù)步驟；

C）、于移動(dòng)終端外根據(jù)傳送來(lái)的終端唯一標(biāo)識(shí)查找保存的對(duì)應(yīng)移動(dòng)終端信息，若無(wú)法查到則返回錯(cuò)誤信息，查找到則選擇一組圖形驗(yàn)證碼的答案及圖形數(shù)據(jù)并根據(jù)移動(dòng)終端信息中的用戶PIN碼和選擇的圖形驗(yàn)證碼的答案加密隨機(jī)數(shù)，然后將該圖形驗(yàn)證碼的圖形數(shù)據(jù)及上述加密后的隨機(jī)數(shù)一并返回至移動(dòng)終端上；

D）、于移動(dòng)終端上提示用戶進(jìn)行用戶PIN碼的輸入并展示圖形校驗(yàn)碼的圖形數(shù)據(jù)提示用戶進(jìn)行圖形校驗(yàn)碼的答案的輸入；

E）、于移動(dòng)終端上根據(jù)用戶輸入的PIN碼及圖形驗(yàn)證碼的答案對(duì)加密后的隨機(jī)數(shù)進(jìn)行解密，解密不成功則返回錯(cuò)誤信息，成功則繼續(xù)步驟；

F）、于移動(dòng)終端上根據(jù)終端唯一標(biāo)識(shí)，用戶PIN碼，解密出的隨機(jī)數(shù)動(dòng)態(tài)生成私鑰；