一種移動(dòng)設(shè)備安全通信平臺(tái)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于移動(dòng)互聯(lián)網(wǎng)技術(shù)領(lǐng)域��,具體涉及一種移動(dòng)設(shè)備安全通信平臺(tái)�����,可W實(shí) 現(xiàn)智能手機(jī)等移動(dòng)終端設(shè)備的安全通信���。
【背景技術(shù)】
[0002] 智能移動(dòng)終端借助功能豐富的應(yīng)用軟件,迅速深入到了人們生活中的方方面面, 特別是智能手機(jī)�。我們正處在智能手機(jī)時(shí)代,手機(jī)存儲(chǔ)的幾乎是一個(gè)用戶(hù)的一切信息:個(gè)人 檔案�����,銀行賬戶(hù)�����,網(wǎng)絡(luò)密碼�����,私密照片�,工作文檔,絕密錄音等等�����。由于智能手機(jī)天生就有連 接互聯(lián)網(wǎng)的需求�����,讓手機(jī)內(nèi)的用戶(hù)隱私及重要數(shù)據(jù)隨時(shí)處于一種可能泄露的危險(xiǎn)中�����,智能 手機(jī)已經(jīng)成為黑客新的重要攻擊目標(biāo)。然而由于當(dāng)前移動(dòng)平臺(tái)的開(kāi)放性����、使用場(chǎng)合的隨意 性W及其自身安全防護(hù)能力缺乏系統(tǒng)性,使得移動(dòng)平臺(tái)經(jīng)常成為攻擊的受害者���。
[0003] 目前在移動(dòng)安全領(lǐng)域還缺乏統(tǒng)一的安全標(biāo)準(zhǔn)���,也沒(méi)有強(qiáng)安全性的解決方案,業(yè)界 采用的比較多的還是基于軟件加密技術(shù)�����,像訪(fǎng)問(wèn)口令�,W及應(yīng)用于網(wǎng)絡(luò)通信中的S化技術(shù), 都是在如此��。而軟件加密技術(shù)存在加解密效率低�,安全級(jí)別不高,密鑰管理困難的固有問(wèn) 題�。因而����,引入硬件安全機(jī)制的支持也是業(yè)界目前努力的方向�,怎樣構(gòu)建成一套安全級(jí)別 高�,同時(shí)兼顧易用與高效的移動(dòng)安全應(yīng)用框架和安全通信平臺(tái),是迫切需要解決的問(wèn)題�����。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明針對(duì)上述問(wèn)題����,提供一種移動(dòng)設(shè)備安全通信平臺(tái),通過(guò)整合現(xiàn)有安全技術(shù)��, 將基于PKI的安全技術(shù)同基于IBE(Identitybasedcryptography)的安全技術(shù)創(chuàng)造性 地結(jié)合到一起�,為不同應(yīng)用場(chǎng)合提供更為自由的選擇方案,同時(shí)針對(duì)移動(dòng)平臺(tái)的平臺(tái)特點(diǎn)��, 形成一套完整的易于使用的安全接口����,為上層應(yīng)用程序提供所需的安全機(jī)制;并通過(guò)統(tǒng)一 的接口����,為開(kāi)發(fā)者提供標(biāo)準(zhǔn)的安全開(kāi)發(fā)流程��,提高開(kāi)發(fā)的效率��、降低對(duì)開(kāi)發(fā)者安全知識(shí)的要 求�����,同時(shí)保證了安全機(jī)制的合理有效使用��,確保上層應(yīng)用的安全性��。
[0005] 本發(fā)明采用的技術(shù)方案如下:
[0006] -種移動(dòng)設(shè)備安全通信平臺(tái)�����,采用分層結(jié)構(gòu)實(shí)現(xiàn)安全通信服務(wù)�����,各層之間通過(guò)服 務(wù)接口進(jìn)行交互���,下層服務(wù)為上層功能的實(shí)現(xiàn)提供支持;各層從上到下分別為:
[0007] 應(yīng)用層����,是需要安全技術(shù)支持的應(yīng)用程序�����;
[0008] API層,針對(duì)應(yīng)用層的安全需求���,對(duì)應(yīng)用層使用到的安全技術(shù)進(jìn)行聚合和系統(tǒng)化��, 通過(guò)封裝屏蔽不同安全應(yīng)用所需的底層安全技術(shù)細(xì)節(jié)�,為應(yīng)用開(kāi)發(fā)者提供簡(jiǎn)單明晰的應(yīng)用 接口�;
[0009] 安全功能庫(kù)層,針對(duì)數(shù)據(jù)存儲(chǔ)安全�����、數(shù)據(jù)讀取安全�����、網(wǎng)絡(luò)數(shù)據(jù)安全和移動(dòng)瀏覽器安 全所需的安全技術(shù)支持����,通過(guò)模塊化的設(shè)計(jì)方法對(duì)分散的技術(shù)點(diǎn)進(jìn)行分類(lèi)整合,形成針對(duì) 特定應(yīng)用需求的技術(shù)路徑�����,為API層的功能聚合提供具體的技術(shù)支持;
[0010] 硬件支撐層�,提供安全功能庫(kù)層對(duì)底層硬件的功能調(diào)用接口,為上層屏蔽底層安 全硬件設(shè)備的差異性從而提供最大程度的硬件無(wú)關(guān)性����;
[0011] 移動(dòng)OS層,在操作系統(tǒng)層提供對(duì)底層硬件的控制驅(qū)動(dòng)���;
[0012] 硬件層��,提供安全支持的硬件設(shè)備����。
[0013] 進(jìn)一步地��,所述硬件層采用的硬件設(shè)備為SD卡或SIM卡����,包含具有安全存儲(chǔ)區(qū)的 安全芯片,提供加密算法的硬件加速引擎�����,W及用于密鑰生成的隨機(jī)數(shù)發(fā)生器。
[0014] 進(jìn)一步地��,所述API層包括:
[0015] 數(shù)據(jù)存儲(chǔ)安全模塊�,為用戶(hù)提供安全的存儲(chǔ)數(shù)據(jù)的接口,利用數(shù)據(jù)加密技術(shù)和訪(fǎng) 問(wèn)控制技術(shù)將數(shù)據(jù)W加密的形式存儲(chǔ)在硬件層的硬件設(shè)備中���,并為存儲(chǔ)的數(shù)據(jù)設(shè)置訪(fǎng)問(wèn)權(quán) 限;
[0016] 數(shù)據(jù)讀取安全模塊����,用于對(duì)安全存儲(chǔ)的數(shù)據(jù)提供訪(fǎng)問(wèn)接口,并在用戶(hù)使用該接口 時(shí)驗(yàn)證用戶(hù)的訪(fǎng)問(wèn)權(quán)限����,實(shí)現(xiàn)硬件層的硬件設(shè)備中數(shù)據(jù)的正確解密;
[0017] 網(wǎng)絡(luò)通信安全模塊�����,用于在網(wǎng)絡(luò)通信過(guò)程中保證數(shù)據(jù)傳輸?shù)陌踩?�,利用?shù)據(jù)的 加解密和身份認(rèn)證技術(shù)��,確保數(shù)據(jù)正確地傳送到正確的目的地,并將重要信息加密存儲(chǔ)到 硬件層的硬件設(shè)備中��;
[0018] 移動(dòng)瀏覽器安全模塊����,用于檢測(cè)下載安全和網(wǎng)址安全,保護(hù)數(shù)據(jù)的私密性和完整 性���,并防止數(shù)據(jù)泄漏��。
[0019] 其中����,所述移動(dòng)瀏覽器安全模塊進(jìn)一步包括下載安全檢測(cè)子模塊和網(wǎng)址安全檢測(cè) 子模塊�����,其中下載安全檢測(cè)子模塊主要通過(guò)下載權(quán)限的控制保證數(shù)據(jù)的私有性����;網(wǎng)址安全 檢測(cè)子模塊采用黑白名單檢測(cè)、U化特征分析等方法檢測(cè)網(wǎng)址安全�����。
[0020] 進(jìn)一步地,所述安全功能庫(kù)層包括H個(gè)子層:
[0021] 第一子層��,包括隱私數(shù)據(jù)保護(hù)模塊�、數(shù)字信封處理模塊、下載安全檢測(cè)模塊和網(wǎng)址 安全檢測(cè)模塊�����,其中隱私數(shù)據(jù)保護(hù)模塊用于給API層的數(shù)據(jù)存儲(chǔ)模塊和數(shù)據(jù)讀取模塊提供 接口調(diào)用���,數(shù)字信封處理模塊為API層的網(wǎng)絡(luò)通信模塊提供接口調(diào)用����,下載安全檢測(cè)模塊 和網(wǎng)址安全檢測(cè)模塊為API層的移動(dòng)瀏覽器安全模塊提供接口調(diào)用(主要為了防范S化語(yǔ) 句注入和釣魚(yú)網(wǎng)址等入侵方式)���。
[0022] 第二子層,包括數(shù)字簽名模塊�����、數(shù)據(jù)加解密模塊�����、訪(fǎng)問(wèn)控制模塊和身份認(rèn)證模塊, 其中數(shù)字簽名模塊是對(duì)明文內(nèi)容的摘要進(jìn)行私鑰加密���,用于接收者驗(yàn)證發(fā)送者身份和數(shù)據(jù) 的完整性����;數(shù)字加解密模塊提供對(duì)數(shù)據(jù)的加密和解密功能�����,公鑰用于加密整個(gè)數(shù)字信封�����,單 鑰則對(duì)明文���、簽名和證書(shū)進(jìn)行加密�����;訪(fǎng)問(wèn)控制模塊實(shí)現(xiàn)移動(dòng)設(shè)備的當(dāng)前使用者對(duì)密鑰�����、證書(shū) 等的訪(fǎng)問(wèn)進(jìn)行權(quán)限檢查���,避免對(duì)該些敏感數(shù)據(jù)的非法訪(fǎng)問(wèn)�����;身份認(rèn)證模塊通過(guò)驗(yàn)證數(shù)字信 封里的數(shù)字簽名���,對(duì)發(fā)送者的身份進(jìn)行驗(yàn)證,確保數(shù)據(jù)源的可靠性�。
[0023] 第H子層,包括證書(shū)管理模塊��、密鑰管理模塊�、加密算法庫(kù)模塊、數(shù)據(jù)存取管理模 塊和權(quán)限管理模塊����,用于在硬件層�、硬件支撐層和移動(dòng)0S層的支持下對(duì)底層工作進(jìn)行抽 象,提供接口給上層����。
[0024] 進(jìn)一步地,所述證書(shū)管理模塊進(jìn)行證書(shū)存儲(chǔ)����、證書(shū)讀取和證書(shū)驗(yàn)證�����;所述密鑰管理 模塊進(jìn)行密鑰存儲(chǔ)�、密鑰讀取����、生成對(duì)稱(chēng)密鑰、生成簽名密鑰��、IBE系統(tǒng)參數(shù)獲取.�、公鑰合 成W及私鑰請(qǐng)求;所述加密算法庫(kù)模塊包含對(duì)稱(chēng)加密算法��、非對(duì)稱(chēng)加密算法���、哈希算法和 IBE加密算法����;所述數(shù)據(jù)存取管理模塊實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)讀?��?����;所述權(quán)限管理模塊具有 初始化文件權(quán)限���、修改文件權(quán)限��、判斷是否有權(quán)限讀取文件W及獲取文件權(quán)限的功能��。
[00巧]本發(fā)明通過(guò)整合現(xiàn)有安全技術(shù)��,針對(duì)移動(dòng)平臺(tái)應(yīng)用要求�����,創(chuàng)造性地引入基于身份 的加密技術(shù)(IBE)��,形成了一套完整的易于在移動(dòng)平臺(tái)上使用的安全接口�,為上層應(yīng)用程序 提供所需的安全機(jī)制���;并通過(guò)統(tǒng)一的接口,為開(kāi)發(fā)者提供標(biāo)準(zhǔn)的安全開(kāi)發(fā)流程���,提高開(kāi)發(fā)的 效率�、降低對(duì)開(kāi)發(fā)者安全知識(shí)的要求,同時(shí)保證了安全機(jī)制的合理有效使用�����,確保上層應(yīng)用 的安全性����。
[0026] 本發(fā)明的安全框架的設(shè)計(jì)所采用的具體技術(shù)基于安全領(lǐng)域多年發(fā)展的優(yōu)秀成果, 很多都在PC平臺(tái)上經(jīng)過(guò)長(zhǎng)久考驗(yàn)�����,具有很好的可靠性�����,同時(shí)也在充分考慮移動(dòng)平臺(tái)自身的 特殊限制���,嘗試加入更為前沿的安全技術(shù)一IBE技術(shù)���,它的無(wú)證書(shū)特性,使其更適合移動(dòng) 平臺(tái)�����,結(jié)合傳統(tǒng)PKI技術(shù)提供的相關(guān)支持,可W為移動(dòng)平臺(tái)提供更為個(gè)性化的安全服務(wù)��,該 是本發(fā)明主要的技術(shù)創(chuàng)新點(diǎn)���。通過(guò)分層的結(jié)構(gòu)設(shè)計(jì)�����,使各項(xiàng)相關(guān)技術(shù)可W系統(tǒng)有效地組合 在一起�,通過(guò)模塊化的功能設(shè)計(jì)���,使子安全系統(tǒng)能夠相互聯(lián)系�,而又相對(duì)獨(dú)立�����,形