一种用户终端认证云端的方法与流程

本发明涉及安全认证技术，具体涉及一种用户终端认证云端的方法。

背景技术：

随着移动互联网的快速发展,大量用户通过手机等终端向云端服务器(简称云端)发起请求获取数据。同时，很多公共场所如酒店，饭店，车站等也提供免费的wifi，方便用户上网。虽然方便了用户，但同时存在安全隐患。比如有些采取仿冒wifi，制造假热点，让用户连接上网。用户上网后，再将其重定向到钓鱼网站，通过钓鱼网站提供的钓鱼服务截取，收集用户相关信息。

因此，保证云端服务的安全性和可信性是互联网安全的重要组成。目前，行业保证云端服务安全的方式采用的是HTTPS协议，但这样相较与HTTP协议,其访问的效率低，其次云端服务器采用HTTPS协议增加了云端服务提供商证书购买，维护等费用。

技术实现要素：

本发明所要解决的技术问题是：提供了一种用户终端认证云端的方法，解决传统技术采用HTTPS协议来保证云端服务安全访问的方式存在的访问效率低、成本高的问题。

本发明解决其技术问题所采用的技术方案是：

一种用户终端认证云端的方法，所述终端的APP中嵌入了终端SDK接口，所述云端的服务应用中嵌入了云端SDK接口，包括以下步骤：

A、用户终端基于HTTP协议发送业务请求并请求验证云端平台；

B、云端平台调用云端SDK接口传入业务数据，并将业务数据分别进行对称加密和单向加密，并将业务数据用非对称加密算法和私钥进行签名后反馈给用户终端；

C、用户终端调用终端SDK接口对业务数据进行解密后再对解密数据进行单项加密，通过比对云端平台传送的单向加密数据进行验证，如果验证通过则进入步骤D，否则，说明书数据被篡改，不再进行后续业务操作；

D、用户终端对业务数据进行验签，若验签成功，则判定该云端平台为可信任平台，若验签不成功，则判定该云端平台为不可信任平台。

作为进一步优化，所述云端SDK接口提供的服务包括：

对称加密接口，包括：AES、BLOWFISH、TEA对称加密算法；

哈希散列单向加密算法接口，包括SHA256；

非对称算法接口，包括RSA、ECC算法；

签名接口；

保存签名用的私钥。

作为进一步优化，所述终端SDK接口提供的服务包括：

对称加密接口，包括：AES、BLOWFISH、TEA对称加密算法；

哈希散列单向加密算法接口，包括SHA256；

非对称算法接口，包括RSA、ECC算法；

验签接口；

保存验签用的公钥。

作为进一步优化，步骤C中，所述通过比对云端平台传送的单向加密数据进行验证是指：

将用户终端对解密数据进行单项加密获取的哈希值与云端平台传送的单向加密数据的哈希值进行比较，如果一致，则验证通过，如果不一致，则验证失败。

作为进一步优化，步骤C中，若验证失败，则不再进行后续业务操作的同时向用户反馈数据异常的消息，建议更换上网环境或联网方式。

作为进一步优化，步骤D中，在判定该云端平台为可信任平台后可接收业务数据进行处理，若判定该云端平台为不可信任平台，则停止对接收的业务数据进行下一步的业务处理，同时向用户反馈该平台为不可信任平台的消息，建议更换上网环境或联网方式。

本发明的有益效果是：为基于HTTP协议的轻量级方案，较HTTPS节省费用，服务器和终端也无需安装证书，方便，与业务松耦合，为保障终端用户信息安全提供了一种轻量级的解决方案。

附图说明

图1为本发明实施例中认证云端的方法流程图。

具体实施方式

本发明旨在提供一种用户终端认证云端的方法，解决传统技术采用HTTPS协议来保证云端服务安全访问的方式存在的访问效率低、成本高的问题。本发明采用基于HTTP协议的认证云端的方法，当终端向云端发起验证请求时，云端采取非对称算法和散列阵算法相结合的方式对一段数据进行单向加密和签名，发向终端。终端接收到数据后对数据进行验证，并验签。验证和验签通过后，终端即认定云端为安全的可信平台，可将其信息发送往该平台。

本发明在具体实现上需要云端SDK(软件开发工具包)和终端SDK的支持，云端SDK嵌入提供云服务的应用中，终端SDK嵌入终端APP中。云端调云端SDK接口获得加密数据和进行签名，终端调终端SDK接口进行数据验证和验签。

云端SDK提供的接口服务包括对称加密接口，如AES、BLOWFISH、TEA等对称加密算法；哈希散列单向加密算法接口，如SHA256；非对称算法接口，如RSA、ECC算法等；签名接口；保存签名用的私钥。

终端SDK提供的接口服务包括对称加密接口，如AES、BLOWFISH、TEA等对称加密算法；哈希散列单向加密算法接口，如SHA256；非对称算法接口，如RSA、ECC算法等；验签接口；保存验签用的公钥。

下面结合附图及实施例对本发明的方案作进一步的描述：

如图1所示，本实施例中的轻量级用户终端认证云端的方法，采用以下步骤实现：

1、用户终端在向云端平台请求业务数据时，要求验证云端平台，在验证请求中附带认证平台的标识。

2、平台调云端SDK接口，将业务数据分别进行对称加密和单向加密，并将业务数据用非对称加密算法和私钥进行签名，获取签名信息。对称加密采用AES、BLOWFISH、TEA等算法。单向加密采用SHA256，生成32位的哈希值。非对称加密算法采用RSA、ECC等方法。

3、平台将获取的加密数据返回给终端。

4、终端解析数据，先将业务数据进行解密，获取业务数据明文。再将业务数据明文进行SHA256单向加密，对比从云端获取的哈希散列值，如果不相同，说明数据已被篡改，不再进行后续业务操作。同时反馈用户数据异常，建议更换上网环境或联网方式。如果相同就将业务数据进行验签。

5、验签通过，终端判定该平台为可信任平台，可接收数据进行业务处理。如果验签不通过，终端判定该平台为不可信任平台，停止对接收的数据进行下一步的业务处理；同时反馈用户该平台为不可信任平台，建议更换上网环境或联网方式。

本发明应用于智慧家庭，智慧社区，智能电视，智能空调等云端服务和终端。这些系统和终端部署后，在发送较敏感的用户数据前进行平台认证。经测试，认证平台的效率较单向的HTTPS要高。同时，能有效防止钓鱼网站和平台数据被恶意篡改，平台无需部署HTTPS节省了维护费用。