技術領域

本發明涉及信息安全技術，尤其涉及基于CPK的智能手機應用之間、手機應用于服務器之間的安全通信方式。

背景技術

隨著互聯網的發展，對計算機和網絡安全的要求也越來越高，相應的加密算法和技術也在蓬勃發展。目前的加密技術可分為兩類，即對稱密鑰技術和非對稱密鑰技術。其中非對稱密鑰技術由于可以避免通過網絡傳遞解密密鑰即私鑰的需要而得到廣泛的應用。

非對稱密鑰目前最為本領域技術人員所公知的技術為PKI(Public?Key?Infrastructure)。PKI的運行靠兩大部件：層次化的CA(Certification?Authority)機構和龐大的證書庫LDAP。PKI靠第三方公證來解決標識和密鑰的捆綁。為此需要建立龐大的層次化的CA認證機構。PKI還要靠在線運行的證書庫的支持，證書庫的在線運行引發了大量的網絡信息流量，例如一方為了獲得通信對方的證書，就需要向CA層層認證。正因為基于PKI技術實現的認證系統依靠數據庫在線運行，其運行效率很低，處理能力不大。據美國國防部反映，PKI將引起信息爆炸，美軍將來的通信也很難滿足PKI帶寬需求，而且引起機構爆炸，為支持200萬張CAC卡，全軍新增了2500個CA工作站，人員管理和經費已到不堪重負的程度。于是當今的各國學者，包括部分PKI公司在內，正在尋找一種新的出路。

另一種非常具有前景的機密技術是IBE(Identity?Based?Eneryption)。1984年，Shamir提出了基于標識的簽名設想，并推測基于標識的密碼體制(簡稱IBE：Identity?Based?Eneryption)的存在性，但是一直沒有找到具體的實現方法。

2001年Don?Boneh和Matthew?Franklin根據Shamir的想法，提出了從Weil配對來實現基于標識的密碼體制。與PKI技術相比較，IBE算法雖然取消了龐大的層次化CA機構，但需要保留用戶相關的參數。基于IBE算法實現的認證系統依靠數據庫在線運行，其運行效率很低，處理能力并不大。因為參數是與各用戶相關，所以參數量與用戶量成正比。只要需要公布用戶相關信息，就需要目錄庫(LDAP)等數據庫的支持，進而也沒有辦法減少動態的在線維護量。

公眾網的發展和應用，提出了構筑可信網絡系統的新的要求。認證系統是可信網絡系統的核心技術，而在認證系統的核心技術則是密鑰技術。密鑰技術中有兩大難點：規模化和基于標識的密鑰分發。CPK密鑰技術正好解決了這兩個難點，為實現規模化公眾網上實現可信系統創造了條件。

CPK算法與IBE算法一樣，也是基于標識的公鑰算法。CPK不需要數據庫的在線支持，可用一個芯片實現，在規模化、經濟性、可行性、運行效率上具有前述兩種體制無法比擬的優勢。

隨著智能手機的普及，移動辦公的趨勢越發不可阻擋。然而企業能夠放心的展開移動辦公的前提，是手機端和企業內網的服務器端能夠進行安全的加密通信。

通常的安全通信方式為SSL/TLS，但是它需要第三方認證機構，必須有在線運行的證書庫的支持，且需要維護具有大數據量的數據庫，占用大量的存儲空間，運行時的效率也不高，處理速度很慢。

發明內容

本發明要解決的技術問題是克服現有的缺陷，采用CPK認證技術，提供了基于CPK的智能手機應用之間、手機應用與服務器之間的安全通信方式，它不需要維護大數據量的數據庫，運行的效率得到大大提高。

為了解決上述技術問題，本發明提供了如下的技術方案：

基于CPK的手機應用間及與服務器間的安全通信方式，包括用戶證書申請與安全通信，

用戶證書申請包括：

種子卡生成中心KPC，根據CPK認證技術中選定的橢圓曲線參數，生成公私鑰矩陣，并導入到密鑰管理中心KMC用的種子秘鑰卡中；

密鑰管理中心KMC，根據自己的種子秘鑰卡，以及用戶的個人唯一用戶標識，生成用戶證書；

注冊管理中心RMC，負責對用戶證書申請進行身份審核，通過之后從密鑰管理中心KMC獲取生成的用戶證書，灌入到用戶手機APP；

手機端APP，利用用戶證書進行通信密鑰的協商；

安全通信包括以下步驟：

(1)手機應用發送自己支持的對稱加密算法列表給另一手機應用或服務器，并帶上一個隨機數a；

(2)另一手機應用或服務器收到消息后，返回通信階段要使用的加密算法，并帶上一個隨機數b；

(3)手機應用收到消息后，產生隨機數c，由a,b,c生成通信階段需要的對稱加密密鑰；