防止中间人攻击的通信方法及系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,具体涉及一种防止中间人攻击的通信方法及系统。
【背景技术】
[0002]移动终端的通信传输建立在无线通信的基础之上,人们通过移动终端的通信功能交流的各种信息中,相当数量涉及到个人隐私或敏感的信息,由于移动通信的开放性和移动终端的智能化,通信内容容易被恶意的第三方非法截取和窃听。针对不同的移动通信体制,可以通过加密通信来保护用户的信息安全。
[0003]对于进行加密通信的合法用户Alice和Bob,如果攻击者Lucifer具备通信的插入能力,就可以伪装成合法用户Bob与Alice进行通信,同时也可以伪装成合法用户Alice与Bob进行通信,S卩攻击者Lucifer串接在通信双方Alice和Bob的信道上而不被发现,只要攻击者Lucifer具备一个合法的身份(如通过内部人员获取等),就可以实现中间人攻击,从而窃取A1 ice和Bob的通信内容(见图1和图2),无法实现加密信息的效果。
[0004]针对中间人攻击的安全问题,在互联网领域,目前有多种安全增强措施。例如其中一种处理方式为:发送方将加密后的ARP数据包发送给接收方主机,接收方主机接收到ARP数据包后,向网络中可信任主机发送携带发送方的MAC地址和IP地址的加密密钥查询请求,可信任主机根据发送方的MAC地址和IP地址查询主机信息数据表获取对应的加密密钥,将对应的加密密钥返回给接收方主机,接收方主机用加密密钥对ARP数据包进行解密。该方法通过网络中的可信主机存储各终端的加密密钥,发送方使用本端的加密密钥对信息进行加密,将密文及本端的身份信息(MAC地址和IP地址)发送给接收方。接收方收到消息后,将发送方的身份信息发送给可信主机,由可信主机对发送方身份的合法性进行判断,若合法则将发送方的加密密钥发送给接收方,若不合法,则中止通信。
[0005]现有的防止中间人攻击的方案大多针对计算机和互联网系统,通过增加新的专用设备用于用户身份的合法性认证并为通信双方分发通信密钥,从而达到有效避免中间人攻击的目的,但这类方案在增加硬件成本的同时也降低了数据传输的性能,在实际应用时,要受到一些条件的制约。
[0006]在现有端到端移动通信加密解决方案中,移动终端一般通过可信证书机构(CA)的公钥信息验证所接收到的对方证书的合法性来判定对方是否为可以通信的合法用户。
[0007]然而此类证书的内容中通常不包括移动终端的身份信息,使得该证书并不具备鉴别移动终端身份合法性的条件。目前没有针对此类解决方案中所面临的中间人攻击的有效方法。
【发明内容】
[0008]针对现有技术中的缺陷,本发明提供一种防止中间人攻击的通信方法及系统,以有效避免端到端加密系统中的中间人攻击的安全风险。
[0009 ]为解决上述技术问题,本发明提供以下技术方案:
[0010]第一方面,本发明提供了一种防止中间人攻击的通信方法,包括:
[0011 ]在第一终端和第二终端建立通信连接后以及进行加密通信前,第一终端和第二终端通过建立的通信连接分别获取并保存对方的身份信息;
[0012]第一终端和第二终端分别向对方发送包含有自身身份信息的公钥证书;
[0013]第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则第一终端和第二终端开始进行数据通信,否则,第一终端和第二终端中止通信。
[0014]进一步地,在第一终端和第二终端建立通信连接之前,所述方法还包括:
[0015]为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
[0016]为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
[0017]进一步地,在第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息之前,所述方法还包括:
[0018]第一终端和第二终端分别判断接收到的公钥证书的合法性;在第一终端和第二终端分别确定接收到的公钥证书为合法证书时,第一终端和第二终端分别从接收到的公钥证书中获取对方的身份信息。
[0019]进一步地,第一终端和第二终端分别判断接收到的公钥证书的合法性,包括:
[0020]第一终端和第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
[0021]进一步地,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。
[0022]第二方面,本发明还提供了一种防止中间人攻击的通信系统,包括:第一终端和第二终端;
[0023]所述第一终端和所述第二终端,用于在与对方建立通信连接后以及进行加密通信之前,通过建立的通信连接分别获取并保存对方的身份信息;
[0024]所述第一终端和所述第二终端分别向对方发送包含有自身身份信息的公钥证书;
[0025]所述第一终端和所述第二终端分别从接收到的公钥证书中获取对方的身份信息,并将获取的对方的身份信息与之前保存的对方的身份信息进行比较,若所述第一终端确定从接收到的公钥证书中获取的第二终端的身份信息与之前保存的第二终端的身份信息一致,且所述第二终端确定从接收到的公钥证书中获取的第一终端的身份信息与之前保存的第一终端的身份信息一致,则第一终端和第二终端开始进行数据通信,否则,第一终端和第二终端中止通信。
[0026]进一步地,所述系统还包括:第三终端;
[0027]所述第三终端,用于为所述第一终端制作公钥证书,在该公钥证书中添加第一终端的身份信息,使用CA私钥对第一终端的公钥和第一终端的身份信息一起进行签名,产生第一终端的公钥证书,并将第一终端的公钥和第一终端的公钥证书发送给第一终端;
[0028]所述第三终端,还用于为所述第二终端制作公钥证书,在该公钥证书中添加第二终端的身份信息,使用CA私钥对第二终端的公钥和第二终端的身份信息一起进行签名,产生第二终端的公钥证书,并将第二终端的公钥和第二终端的公钥证书发送给第二终端。
[0029]进一步地,所述第一终端和所述第二终端还用于判断接收到的公钥证书的合法性;在所述第一终端和所述第二终端分别确定接收到的公钥证书为合法证书时,所述第一终端和所述第二终端分别从接收到的公钥证书中获取对方的身份信息。
[0030]进一步地,所述第一终端和所述第二终端分别使用相应的CA公钥验证对方公钥证书中签名的合法性。
[0031]进一步地,所述身份信息为终端的号码或网络中表示该终端的唯一身份识别码。
[0032]由上述技术方案可知,本发明提供的防止中间人攻击的通信方法,在终端用户所使用的公钥证书中增加终端的身份信息,且该身份信息不能被篡改,在加密通信前通过比对终端的身份和公钥证书中的终端身份是否一致,判定其是否为合法的用户,从而有效避免端到端加密系统中的中间人攻击的安全风险。本发明所述的防止中间人攻击的通信方法,解决了端到端移动通信加密方案中所面临的中间人攻击安全问题。
【附图说明】
[0033]为了