更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0034]图1是合法用户的正常加密通信方式示意图;
[0035]图2是有中间攻击人的加密通信方式示意图;
[0036]图3是本发明实施例一提供的防止中间人攻击的通信方法的流程图;
[0037]图4是本发明实施例二提供的防止中间人攻击的通信方法的流程图;
[0038]图5是本发明实施例三提供的防止中间人攻击的通信方法的流程图;
[0039]图6是本发明实施例四提供的防止中间人攻击的通信系统的结构示意图;
[0040]图7是本发明实施例五提供的防止中间人攻击的通信系统的结构示意图。
【具体实施方式】
[0041]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0042]本发明针对现有技术中存在的问题,提出了一种针对端到端移动通信加密信息的抗中间人攻击的方法,通信过程中无需移动通信系统核心网设备或者可信证书机构(CA)的参与,通过确保通信双方在通信前能够有效的确认拟通信的对方的身份,从而识别并避免中间人攻击的安全风险。
[0043]图3是本发明实施例一提供的防止中间人攻击的通信方法的流程图,参见图3,本实施例一提供了一种防止中间人攻击的通信方法,包括如下步骤:
[0044]步骤101:在第一终端和第二终端建立通信连接后以及进行加密通信前,第一终端和第二终端通过建立的通信连接分别获取并保存对方的身份信息。
[0045]在本实施例中,第一终端和第二终端为移动通信系统中的终端,所述移动通信系统可以为2G、3G、4G、集群及未来可能出现的通信系统。
[0046]步骤102:第一终端和第二终端分别向对方发送包含有自身身份信息的公钥证书。
[0047]在本步骤中,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。例如,身份信息为终端的号码如186***,或者也可以是网络中表示该终端的唯一身份识别码,如国际移动用户识别码IMSI(Internat1nal Mobile Subscriber Identificat1nNumber,IMSI)。
[0048]其中,本步骤中终端的身份信息要和后面步骤中的公钥证书中的身份信息保持一致,例如,当本步骤中的身份信息指终端的号码时,公钥证书中的身份信息也应该为终端的号码。当本步骤中的身份信息指网络中表示该终端的唯一身份识别码时,公钥证书中的身份信息也应该为网络中表示该终端的唯一身份识别码,否则后边步骤无法进行比较。
[0049]步骤103:第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较。
[0050]步骤104:第一终端和第二终端分别判断从接收到的公钥证书中获取的对方的身份信息与之前保存的对方的身份信息是否一致,若第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则执行步骤104a;否则,执行步骤104b。
[0051 ]步骤104a:第一终端和第二终端开始进行数据通信。
[0052]步骤104b:第一终端和第二终端中止通信。
[0053]本实施例所述的防止中间人攻击的通信方法,在移动终端用户所使用的公钥证书中增加与移动终端的身份信息,且该身份信息不能被篡改,在加密通信前通过比对移动终端身份和公钥证书中的移动终端身份是否一致,判定其是否为合法的用户,从而有效避免端到端加密系统中的中间人攻击的安全风险。本实施例所述的防止中间人攻击的通信方法,解决了端到端移动通信加密方案中所面临的中间人攻击安全问题。
[0054]本实施例所述的防止中间人攻击的通信方法,适用于移动通信体制(包括2G、3G、4G、集群及未来可能出现的通信体制)、移动终端和无移动通信系统专用设备参与的端到端加密方案。
[0055]在本发明的实施例二中,在第一终端和第二终端建立通信连接之前,参见图4,所述方法还包括步骤101’。
[0056]步骤101’:为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
[0057]为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
[0058]在本实施例中,具有制作和颁发公钥证书的其他终端会为第一终端和第二终端制作公钥证书。其中,通过本步骤制作好的公钥证书中携带有相应终端的身份信息,且该公钥证书中的身份信息不能被篡改。这样使得第一终端和第二终端在进行加密通信前,先通过建立的通信连接获取对方的身份信息,然后再通过从对方接收的公钥证书中获取对方的身份信息,最后将这两个身份信息进行比较,若一致,则判定对方为合法用户,若不一致,则判定对方为非法用户。其中,只有当第一终端和第二终端均判定对方为合法用户时,才能进行加密通信。只要有一方判定对方为非法用户,则双方的通信中止,从而有效避免了端到端加密系统中的中间人攻击的安全风险。
[0059]在本发明的实施例三中,在上述步骤103之前,参见图5,所述方法还包括步骤103,。
[0060]步骤103’:第一终端和第二终端分别判断接收到的公钥证书的合法性;在第一终端和第二终端分别确定接收到的公钥证书为合法证书时,第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息。
[0061]在本步骤中,第一终端和第二终端分别判断接收到的公钥证书的合法性,包括:第一终端和第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
[0062]本实施例增加了判断公钥证书合法性的步骤,这是因为假如第一终端和/或第二终端接收到的公钥证书为非法证书,那么判断公钥证书中携带的身份信息是没有意义的,因为非法证书很有可能被修改过,里面的信息有可能是伪装后的信息。因此当第一终端和第二终端中的任何一方判断出接收到的公钥证书为非法证书时,第一终端和第二终端将会中止通信,以避免数据泄露。
[0063]图6是本发明实施例四提供的防止中间人攻击的通信系统的结构示意图,参见图6,本实施例四提供的防止中间人攻击的通信系统,包括:第一终端100和第二终端200;
[0064]所述第一终端100和所述第二终端200,用于在与对方建立通信连接后以及进行加密通信之前,通过建立的通信连接分别获取并保存对方的身份信息;
[0065]其中,所述身份信息包括终端的号码或网络中表示该终端的唯一身份识别码。
[0066]所述第一终端100和所述第二终端200分别向对方发送包含有自身身份信息的公钥证书;
[0067]所述第一终端100和所述第二终端200分别从接收到的公钥证书中获取对方的身份信息,并将获取