一種移動(dòng)互聯(lián)環(huán)境下敏感數(shù)據(jù)訪問安全方法

蔣明+方圓+蔡夢(mèng)臣

摘要：對(duì)于移動(dòng)客戶端與服務(wù)器端傳輸?shù)拿舾袛?shù)據(jù)，可使用對(duì)稱加密算法，在移動(dòng)客戶端加密，在服務(wù)器端解密，充分利用對(duì)稱加密算法加解密速度快、計(jì)算量小、效率高的優(yōu)點(diǎn)，可以在保證數(shù)據(jù)傳輸安全的基礎(chǔ)上，提高應(yīng)用系統(tǒng)的整體效率和性能。

關(guān)鍵詞：移動(dòng)終端；加密算法；信息安全

中圖分類號(hào)：TP311.13 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）05-0225-01

1 相關(guān)技術(shù)介紹

隨著移動(dòng)應(yīng)用在國(guó)家電網(wǎng)生產(chǎn)作業(yè)中的廣泛應(yīng)用，應(yīng)用的數(shù)據(jù)安全成為信息安全管理中的重點(diǎn)難點(diǎn)[1]。數(shù)據(jù)加密是保障電力生產(chǎn)敏感數(shù)據(jù)的重要方法[2]，在常用的數(shù)據(jù)對(duì)稱加密體制中，數(shù)據(jù)的發(fā)送方和接收方使用的密鑰是相同的，這個(gè)密鑰是對(duì)外保密的，且在安全通信之前要事先由數(shù)據(jù)發(fā)送方和接收方商定好。數(shù)據(jù)發(fā)送方將要發(fā)送的原始明文數(shù)據(jù)使用對(duì)稱加密算法進(jìn)行處理，得到密文數(shù)據(jù)。數(shù)據(jù)接收方在接收到發(fā)送方密文數(shù)據(jù)之后，借助于事先商定好的共享密鑰，使用相同的對(duì)稱加密算法對(duì)密文數(shù)據(jù)進(jìn)行解密，得到明文數(shù)據(jù)。對(duì)稱加密算法的安全性取決于密鑰的保密性，如果密鑰泄露，數(shù)據(jù)的保密性將很難得到保障。對(duì)稱加密算法具有加密速度快、效率高、計(jì)算量小等恃點(diǎn)，常見的對(duì)稱加密算法包括：DES算法[3]、3DES算法、AES算法、IDEA算法。

2 對(duì)稱加密共享密鑰的生成與分發(fā)

對(duì)于移動(dòng)客戶端與服務(wù)器端傳輸?shù)拿舾袛?shù)據(jù)，可使用對(duì)稱加密算法，在移動(dòng)客戶端加密，在服務(wù)器端解密，充分利用對(duì)稱加密算法加解密速度快、計(jì)算量小、效率高的優(yōu)點(diǎn)。非對(duì)稱加解密算法相對(duì)于對(duì)稱加解密算法的復(fù)雜度更高，其加密的速度遠(yuǎn)遠(yuǎn)慢于對(duì)稱加密算法。在本方案所基于的移動(dòng)互聯(lián)環(huán)境中，對(duì)于傳輸?shù)拿舾袛?shù)據(jù)，選擇使用對(duì)稱加密算法來實(shí)現(xiàn)數(shù)據(jù)的加密和解密操作，可在保證數(shù)據(jù)傳輸安全的基礎(chǔ)上，提高應(yīng)用系統(tǒng)的整體效率和性能。

2.1 移動(dòng)客戶端生成共享密鑰

在國(guó)網(wǎng)移動(dòng)互聯(lián)環(huán)境中，需要傳輸敏感數(shù)據(jù)時(shí)，對(duì)數(shù)據(jù)的加密采用的是對(duì)稱加密算法SM4。在對(duì)稱加密體制中，數(shù)據(jù)發(fā)送方與接收方使用相同的密鑰，即本文中所說的共享密鑰。在移動(dòng)互聯(lián)的移動(dòng)APP中，生成對(duì)稱加密所使用的共享密鑰，并進(jìn)行相關(guān)加密與簽名處理，最后將加密后的密文數(shù)據(jù)和簽名數(shù)據(jù)發(fā)送給服務(wù)器端。

2.2 共享密鑰的分發(fā)

對(duì)稱加密體制中數(shù)據(jù)傳輸?shù)陌踩饕Q于共享密鑰的安全，數(shù)據(jù)通信的雙方都要對(duì)共享密鑰的安全負(fù)責(zé)。在本方案中，移動(dòng)APP端負(fù)責(zé)生成其與服務(wù)器端通信所使用的對(duì)稱加密算法共享密鑰，在移動(dòng)客戶端通過使用ECIES算法借助于該移動(dòng)客戶端自身公鑰加密共享密鑰，將加密后的共享密鑰的密文保存到SQLite對(duì)應(yīng)的數(shù)據(jù)表中。為了保證共享密鑰能夠安全地傳輸給服務(wù)器端，在移動(dòng)客戶端使用非對(duì)稱加密體制中的橢圓曲線集成加密算法ECIES，借助于服務(wù)器端公鑰將共享密鑰進(jìn)行加密處理，然后對(duì)共享密鑰密文進(jìn)行簽名處理，將共享密鑰密文和簽名數(shù)據(jù)一同發(fā)送給服務(wù)器端。

服務(wù)器端接收到共享密鑰密文和簽名數(shù)據(jù)之后，使用該移動(dòng)客戶端的公鑰進(jìn)行簽名驗(yàn)證，如果簽名驗(yàn)證通過，則將共享密鑰密文使用服務(wù)器端私鑰進(jìn)行解密得到共享密鑰明文，使用ECIES算法借助于服務(wù)器公鑰將共享密鑰明文進(jìn)行加密處理，將加密后共享密鑰的密文保存到相對(duì)應(yīng)的MySQL數(shù)據(jù)表中。這樣，不但考慮了共享密鑰在移動(dòng)客戶端與Web服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩部紤]了共享密鑰在移動(dòng)客戶端和服務(wù)器端的存儲(chǔ)安全。

3 客戶端對(duì)敏感數(shù)據(jù)的處理

3.1 加密敏感數(shù)據(jù)

移動(dòng)客戶端與服務(wù)器之間交互的數(shù)據(jù)分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)兩種。對(duì)于非敏感數(shù)據(jù)，可以使用明文直接傳輸，這樣可以使整個(gè)過程具有較高的效率和性能。對(duì)于敏感數(shù)據(jù)，需要使用加密算法進(jìn)行處理，保證數(shù)據(jù)的安全性，使得數(shù)據(jù)即便在傳輸過程中被非法截獲，信息的截獲者也不能直接識(shí)別所截獲數(shù)據(jù)表示的真實(shí)內(nèi)容。例如在使用企信等APP時(shí)，會(huì)涉及到用戶身份、號(hào)碼、地址等信息，這些都是用戶的敏感信息。如果手機(jī)用戶所使用的各種類型的手機(jī)端應(yīng)用程序，對(duì)用戶的敏感數(shù)據(jù)沒有經(jīng)過加密處理而直接以明文形式傳輸?shù)脑?，一旦被不法分子截獲，經(jīng)過分析和處理得出很多用戶隱私信息，進(jìn)而會(huì)給該手機(jī)用戶生活和工作帶來麻煩，造成不必要的損失。因此，在不同的移動(dòng)互聯(lián)應(yīng)用中，需要根據(jù)具體項(xiàng)目中移動(dòng)客戶端與服務(wù)器之間數(shù)據(jù)交互的安全需求，選擇適當(dāng)安全強(qiáng)度的加密方案進(jìn)行數(shù)據(jù)加密處理。在本方案中對(duì)于傳輸敏感數(shù)據(jù)，使用對(duì)稱加密算法SM4，借助于對(duì)稱加密密鑰，來完成敏感數(shù)據(jù)的加密工作。

3.2 產(chǎn)生簽名數(shù)據(jù)

數(shù)字簽名需要綜合使用消息摘要算法和非對(duì)稱加密算法，使用消息摘要算法生成摘要信息之后，使用自身的私鑰對(duì)摘要信息加密形成簽名數(shù)據(jù)。本方案中，用戶發(fā)送信息經(jīng)過加密形成密文數(shù)據(jù)，使用消息摘要算法將密文數(shù)據(jù)生成摘要信息，移動(dòng)客戶端使用存儲(chǔ)在SQLite數(shù)據(jù)庫(kù)表AppJCeys中的私鑰對(duì)摘要信息進(jìn)行加密處理，形成簽名數(shù)據(jù)。然后將簽名數(shù)據(jù)和用戶注冊(cè)信息的密文數(shù)據(jù)一同傳送給Web服務(wù)器端。移動(dòng)客戶端對(duì)敏感數(shù)據(jù)處理的基本流程，如下面圖1所示。

4 服務(wù)器端對(duì)數(shù)據(jù)的處理

服務(wù)器端接收到移動(dòng)客戶端發(fā)送過來的json數(shù)據(jù)并進(jìn)行相關(guān)處理。如果服務(wù)器端接收到的是移動(dòng)客戶端敏感數(shù)據(jù)處理之后傳送過來的數(shù)據(jù)信息，則從中解析出密文數(shù)據(jù)和簽名數(shù)據(jù)。其中，密文數(shù)據(jù)是移動(dòng)客戶端使用對(duì)稱加密算法SM4借助于共享密鑰加密得到的，簽名數(shù)據(jù)是移動(dòng)客戶端經(jīng)過生成摘要與使用私鑰加密處理之后得到的。對(duì)于解析得到的密文數(shù)據(jù)，使用與移動(dòng)客戶端相同的消息摘要算法生成新的摘要信息，服務(wù)器端使用的消息摘要算法是SHA1。

參考文獻(xiàn)

[1]程帥.顏佳，電網(wǎng)企業(yè)移動(dòng)信息化安全防護(hù)策略研究[J].《吉林電力》，2016， 44（4）：19-22.

[2]李鑫.焦陽(yáng)，企業(yè)級(jí)移動(dòng)應(yīng)用數(shù)據(jù)安全防護(hù)技術(shù)研究[J].《信息通信》，2013（4）：111-112.

[3]李聯(lián)，信息安全中的DES加密算法[J].《現(xiàn)代電子技術(shù)》，2005，28（9）：118-120.endprint