本發明涉及一種移動終端新型認證密鑰協商系統，包括移動終端數據采集模塊用于采集終端用戶選定的兩種生物特征認證數據，并根據識別模型產生用戶特征向量與特征值；服務器端數據采集模塊用于在用戶注冊時采集終端用戶選定的兩種生物特征認證數據，并根據識別模型產生用戶特征向量；移動終端加密模塊用于加解密、簽名驗簽以及完整性校驗；移動終端統一管理模塊用于對用戶進行統一門戶管理；移動終端認證與網關模塊，用于移動終端與服務器端認證服務器和網關之間進行認證、密鑰協商和安全數據傳輸，認證成功則允許訪問移動網絡，與網關協商出對稱密鑰進行安全傳輸加密保護；服務器端認證服務器與網關，用于與移動終端交互完成認證和安全數據傳輸。

技術領域

本發明涉及移動終端加密技術，特別涉及一種移動終端新型認證密鑰協商系統。

背景技術

智能終端的安全認證與本地數據安全存儲隔離方法日益受到人們的重視。無論是認證還是移動終端本地加密存儲都依賴于密鑰。無線移動通信網中常用的認證密鑰協商有兩種方式，一種是基于預置對稱密鑰的認證密鑰協商。另一種是基于可信第三方比如PKI體制的認證密鑰協商。此兩種方式都需要預先在終端側占用存儲空間保存密鑰。而用于保護移動終端本地加密存儲的加密密鑰，也需要占用終端側存儲空間保存密鑰。可見密鑰在移動終端的安全存儲關系著終端和服務端網絡的邊界安全。密鑰在終端側的存在形式通常分為硬件存儲或軟件存儲兩類。硬件存儲方式將證書或管理密鑰存儲在連接或附加在智能終端上的硬件存儲介質中，例如USBkey、SD卡、TF卡或硬件加密模塊等設備。軟件存儲方式將證書或密鑰以文件的形式存儲在計算機存儲設備，例如存儲在終端可信環境TEE中或者操作系統指定的位置。在存儲認證數字軟證書時還會采用密鑰分片技術實現私鑰的兩地存儲，移動終端不留存完整的私鑰。

硬件形式保存的密鑰雖然安全性高，但具有一定的設備成本，且需要隨身攜帶，經常發生丟失或用戶密碼遺忘的問題，同時也不利于隱藏使用。軟件形式保存密鑰則安全性降低，例如，密鑰以軟件形式保存在TEE區中，只能支持通用算法，不能滿足特殊用戶的需求。或者軟件存儲的多因子分片數字證書，由于分散因子多采用公開信息例如手機號、專用業務代碼、城市代碼、UID號等，而管理員在服務器端可以訪問另外的分散因子。綜上所述，在移動終端側存在密鑰被攻破，安全程度不足、容易出現被復制后非法使用的問題。因此有必要研究不保存私鑰或者私鑰分片，便于攜帶又安全性高的移動終端密鑰管理方式。

中國專利“CN106850201A智能終端多因子認證方法、智能終端、認證服務器及系統”提供了一種智能終端多因子認證方法。此專利的認證過程中若用戶身份驗證通過，在安全環境中產生非對稱密鑰對，并使用本地智能終端中的認證設備私鑰對所述非對稱密鑰對中的用戶公鑰進行簽名，生成第二簽名值；其中，所述安全環境至少包括：TEE、SE、SD卡。將所述第二簽名值及經認證設備私鑰簽名的用戶公鑰上傳至所述認證服務器，以使所述認證服務器使用認證設備公鑰驗證所述第二簽名值是否有效。

發明內容

本發明的目的在于提供一種移動終端新型認證密鑰協商系統，用于解決上述現有技術的問題。

本發明一種移動終端新型認證密鑰協商系統，其中，包括移動終端數據采集模塊、服務器端數據采集模塊、移動終端認證與網關模塊、移動終端加密模塊、移動終端統一管理模塊、服務器端認證服務器和網關；所述移動終端數據采集模塊用于采集終端用戶選定的兩種生物特征認證數據，并根據識別模型產生用戶特征向量與特征值；所述服務器端數據采集模塊用于在用戶注冊時采集終端用戶選定的兩種生物特征認證數據，并根據識別模型產生用戶特征向量；所述移動終端加密模塊用于加解密、簽名驗簽以及完整性校驗；所述移動終端統一管理模塊用于對用戶進行統一門戶管理，整合管理移動終端認證和網關模塊，并管理終端沙箱的啟動、掛起、刪除、安全隔離以及安全存儲；所述移動終端認證與網關模塊，用于移動終端與服務器端認證服務器和網關之間進行認證、密鑰協商和安全數據傳輸，認證成功則允許訪問移動網絡，與網關協商出對稱密鑰進行安全傳輸加密保護，認證失敗則無權限訪問移動網絡；所述服務器端認證服務器與網關，用于與移動終端交互完成認證和安全數據傳輸。