本發明的目的在于提供一種移動設備數字資源安全管理方法，能夠使得移動設備通過安全方式從開發商處獲取所需數字資源，并保護移動設備使用者和開發商各自的隱私以及保護數字資源不被非法用戶獲取。該方法包括數字資源發布端開發數字資源、驗證服務器對數字資源加密及驗證等過程，最后由驗證服務器發送加密的數字資源給移動設備。

技術領域

本發明涉及網絡安全領域，具體來說涉及一種移動設備的數字資源安全管理方法。

背景技術

現行互聯網構成了一個開放的數值計算、信息處理和信息交流的平臺，加上目前移動設備的普及，無線網絡的發展，使得網絡環境變得異常龐大和復雜，在這個大平臺上，大量數字和軟件資源在不斷地進行傳播，這些資源可能被復制、下載或盜版，其中不安全的傳播方式也非常容易實現。無論是個人、企業或出版機構，想在這個開放的環境中保護自己的資源以免被惡意使用和傳播，都變得十分困難，要么犧牲系統的可用性和易用性，構造自己封閉的計算機環境，要么只能面臨被非法拷貝或盜版的風險，繼續發布和使用自己的數字內容。如何使得被授權的移動設備在安全的網絡環境中獲取安全許可的數字內容亟待解決。

在現有技術中，只通過用戶名和密碼來保護這些敏感資源已不能滿足要求，實際上是越來越罕見。僅密碼保護的主要缺點是任何人在任何地方任何時候只要知道單條重要信息，就可在未獲授權的情況下對其想要保護的敏感數據進行存取。

因此單要素認證具有相對較弱的保護性，因為它僅依靠用戶來保護自己的登錄標識和密碼信息。此外，已經出現了被稱為“鍵記錄”的軟件，可作為“間諜軟件”安裝在計算機上，可記錄用戶在計算機鍵盤上的任何擊鍵動作。這種間諜軟件通常被犯罪分子悄悄安裝在公共場所，例如網吧計算機上，允許第三方悄悄記錄用戶登錄標識和密碼并在后來使用它們對用戶安全信息進行未獲授權的存取。

而對于移動設備，例如用戶的手機，因為假設了在用戶和他/她手機之間存在一一對應的關系。為使用該技術，假定手機始終是歸用戶所有。短消息服務(SMS)消息現在是傳遞安全信息的優選方式，一般情況下將服務提供商(例如一家金融機構)發出的文本格式的消息發送至用戶的手機上。消息一般包括一個單獨的、獨一無二的一次性PIN碼(OTP)，用戶隨后必須手動將該碼與他/她的正常登陸信息一起輸入到它想要使用的安全環境中，或者在進行安全交易前輸入。雖然該技術增加了一個額外安全層級，但是通過某些技術，例如SIM卡克隆，仍然會使它受到濫用。它仍然需要用戶通過手機將8位代碼輸入到網站上或者它想要執行的其它類型的安全交易中。

其它完全離線的解決方案也基于每次用戶想要進行安全交易時通過移動數字設備隨機生成安全鑰匙的機理。一般來說安全鑰匙是一串根據預先確定算法生成的無意義散數或者儲存在設備上且安全環境可識別為它是由核準設備發出的私人密鑰。該解決方法導致發行機構(大多數情況下為銀行)需要承擔初始硬件費用而用戶被迫隨身攜帶額外的硬件。此外，該技術在允許用戶進行安全交易前，還需要用戶輸入往往冗長復雜的安全鑰匙。從移動數字設備處謄寫安全鑰匙時發生錯誤將導致交易遭拒絕，這種情況一般會顯著增加交易的延遲時間。但是該解決方法還受到各種不同安全威脅的影響。由于它是完全的離線解決方案，易使其在用戶未知的情況下受濫用的影響。此外如果鑰匙(OTP)生成設備被偷，竊賊將擁有生成合法OTP碼的設備，竊賊所有需要的僅是合法用戶名和密碼，這些都可通過間諜軟件或其它方式輕松獲取。

因此現今申請者所熟知的用戶認證系統使用單要素認證方式(用戶名和密碼)或者離線雙要素認證方式(如前兩段內容所述)來保護敏感信息。一般來說雙要素認證(T-FA)指的是一種使用兩種不同元素或要素來認證人員身份或者信息的系統。一般情況下雙要素包括將要認證的人員在其擁有物(例如安全鑰匙生成硬件設備或者上述例子中的手機)上的某些信息，以及他/她知道的信息(例如用戶名和密碼)。與單要素相比，使用雙要素具有較高的認證完整性。任何使用了超過一種要素的認證類型一般都被稱作強認證。

在此背景下，移動設備的用戶如果想使用安全的方式來獲得數字資源，并且保護開發商所銷售的數字資源僅由指定用戶所獲取和使用是本發明所要解決的問題。

發明內容