[发明专利]一种基于参数的动态生成密钥的PKI私钥保护方法

说明书

技术领域

本发明涉及移动设备数据交互安全领域，尤其是指一种基于参数的动态生成密钥的PKI私钥保护方法。 

背景技术

众所周知，现有移动设备中涉及数据加密时，私钥的保护是基于PKI体系加解密及签名运算有效性的基础保证。而对于手机用户软证书来说，由于密钥是以文件的方式保存在手机设备端的存储介质上，所以私钥的安全问题则尤为突出。目前移动设备上的用户软证书私钥加密存储通常采用以下方法： 

1、以密钥文件的形式保存在存储器中，以一个固定的加密密钥进行加密存储，需要访问私钥时则使用加密密钥对该密钥文件进行解密后得到私钥； 

2、根据用户设置的PIN码为因子计算后得到加密密钥，该密钥作为软证书私钥文件的加密密钥，解密时也要求用户输入正确的PIN码，通过运算后得到与加密密钥相同的解密密钥后对软证书私钥文件进行解密，最终得到用户的私钥。

然而上述现有私钥的加密存储方法存在的不足： 

1、对于采用固定加密密钥进行软证书密钥文件加密的方式，一旦攻击者获得存储设备上的用户密钥文件后可以拷贝该密钥文件到其他手机终端上进行使用，同时固定加密密钥容易被破解；

2、私钥靠单一因子作为加密密钥加密存储在手机终端上，比如通过用户PIN码对私钥文件进行加密，这样攻击者只要获取了用户PIN码，就可以转移密钥文件到其他手机终端上使用，在安全上存在风险。

综上可见，在私钥保护中，若仅单纯采用基于单口令密码的方式对手机终端上的私钥进行加密存储的方法虽然较另一种方法来说更为可靠，但依然存在安全上的脆弱性。 

发明内容

本发明的目的在于克服了上述缺陷，提供一种基于参数的动态生成密钥的PKI私钥保护方法。 

本发明的目的是这样实现的：一种基于参数的动态生成密钥的PKI私钥保护方法，包括： 

私钥动态生成；

响应包含终端唯一标识的密钥因子获取请求，根据该终端唯一标识查询保存的终端信息，至少以终端信息对密钥因子进行加密后返回加密的密钥因子；以及，至少以获取的自身的终端信息对接收的加密的密钥因子进行解密，再根据终端唯一标识、自身的终端信息及解密的密钥因子动态生成私钥；其中密钥因子是随机生成，生成后固定保存的数值；

用户密钥对初始化；

随机生成密钥因子，根据该密钥因子、终端唯一标识及终端信息生成包括公钥、私钥的密钥对，将公钥保存；

私钥安全访问；

根据动态生成的私钥对交易数据通过算法进行签名形成签名数据，发送至少终端唯一标识与签名数据进行验证；

上述步骤中，至少以终端信息及图形验证码的答案对密钥因子进行加密后返回图形校验码的答案相对应的图形数据和加密的密钥因子；以及，至少以获取的自身的终端信息及根据展示图形校验码的图形数据后获取的用户图形校验码的答案的输入对接收的加密的密钥因子进行解密；

上述步骤中，所述终端信息包括用户PIN码；所述获取的自身的终端信息包括响应用户PIN码的输入后将其作为当下自身的终端信息的用户PIN码；所述终端唯一标识包括终端的IMSI号或IMEI号。

上述步骤中，所述响应包含终端唯一标识的密钥因子获取请求与生成私钥分别由终端外与终端自身执行。 

上述步骤中，私钥动态生成具体包括步骤， 

A）、于移动终端上获取终端唯一标识；

B）、于移动终端上发送终端唯一标识至移动终端外并请求获取图形验证码的图形数据和随机数；

上述步骤B中，于移动终端上进行数据加密后发送终端唯一标识至移动终端外并请求获取图形验证码的图形数据和随机数，移动终端外在收到后对移动终端身份进行验证，验证若不通过则返回错误，通过方继续步骤；

C）、于移动终端外根据传送来的终端唯一标识查找保存的对应移动终端信息，若无法查到则返回错误信息，查找到则选择一组图形验证码的答案及图形数据并根据移动终端信息中的用户PIN码和选择的图形验证码的答案加密随机数，然后将该图形验证码的图形数据及上述加密后的随机数一并返回至移动终端上；

D）、于移动终端上提示用户进行用户PIN码的输入并展示图形校验码的图形数据提示用户进行图形校验码的答案的输入；

E）、于移动终端上根据用户输入的PIN码及图形验证码的答案对加密后的随机数进行解密，解密不成功则返回错误信息，成功则继续步骤；

F）、于移动终端上根据终端唯一标识，用户PIN码，解密出的随机数动态生成私钥；