專利名稱：一種動態保護用戶隱私數據的方法及系統的制作方法
技術領域：
本發明涉及數字密鑰領域，尤其涉及一種動態保護用戶隱私數據的方法及系統。
背景技術：
現有的技術中對用戶隱私數據的保護主要包括以下兩種:其一，用戶隱私數據保存在服務器端，在需要使用時對用戶進行鑒權，鑒權通過后從服務器端讀取。該保護方法中，用戶隱私數據保存在服務器端，安全性上達到了要求，但是目前用戶移動終端設備網絡帶寬較低、訪問不穩當、通道不安全，在用戶鑒權通過后，對用戶隱私數據的訪問存在速度慢、訪問不穩定的情況，另外一方面，通道的不安全因素導致用戶隱私數據的安全性降低；其二，用戶隱私數據保存在用戶終端上，使用加密的方法保存，在需要使用時對用戶進行鑒權，鑒權通過后從服務器端獲得密鑰，然后對加密的用戶隱私數據解密后使用。該保護方法中，該用戶隱私數據加密保存在用戶終端上時，訪問速度慢、訪問不穩定的情況得到了解決，但是通道的不安全導致用戶的加密密鑰會泄露，降低了用戶隱私數據保護的安全性。

發明內容
本發明要解決的技術問題在于針對現有技術中用戶隱私數據加密保存在用戶終端上時，會因為數據傳輸通道的不安全引發用戶密鑰泄露，使用戶隱私數據安全性降低的缺陷，提供一種動態保護用戶隱私數據的方法及系統。本發明解決其技術問題所采用的技術方案是:提供一種動態保護用戶隱私數據的方法，包括步驟:接收用戶請求訪問隱私數據的訪問請求信息；根據所述訪問請求信息，在用戶終端生成非對稱的固定密鑰對以及臨時密鑰對；用戶終端根據所述固定密鑰對中的公鑰、所述臨時密鑰對中的公鑰以及設備標識生成動態保護密鑰的請求，并發送給服務器端；服務器端接收用戶終端發送的請求，并根據請求中的所述固定密鑰對中的公鑰和設備標識查找舊密鑰，同時生成新密鑰，且使用所述臨時密鑰對中的公鑰加密所述舊密鑰和所述新密鑰生成動態保護密鑰，并將所述動態保護密鑰發送給用戶終端；用戶終端接收所述動態保護密鑰，并使用所述臨時密鑰對中的私鑰解密所述動態保護密鑰得到所述舊密鑰和所述新密鑰；用戶終端使用所述舊密鑰解密得到所述固定密鑰對中的私鑰，并使用該私鑰得到用戶隱私數據以供用戶調用；用戶終端使用所述新密鑰和所述設備標識重新加密所述固定密鑰對中的私鑰并保存。本發明所述的方法中，所述臨時密鑰對的長度小于所述固定密鑰對的長度。
本發明所述的方法中，所述固定密鑰對為2048位的非對稱的密鑰對，所述臨時密鑰對為512位的非對稱的密鑰對。本發明所述的方法中，每次根據所述訪問請求信息生成的所述臨時密鑰對均不相同。本發明所述的方法中，所述新密鑰與所述固定密鑰對中的公鑰和所述設備標識相關聯。本發明解決其技術問題所采用的另一技術方案是:提供一種動態保護用戶隱私數據的系統，包括用戶終端和服務器端，所述用戶終端包括安全組件，該安全組件包括:訪問請求信息接收模塊，用于接收用戶請求訪問隱私數據的訪問請求信息；密鑰對生成模塊，用于根據所述訪問請求信息生成非對稱的固定密鑰對以及臨時密鑰對；動態保護密鑰請求生成模塊，用于根據所述固定密鑰對中的公鑰、所述臨時密鑰對中的公鑰以及設備標識生成動態保護密鑰請求；請求發送模塊，用于將所述動態保護密鑰的請求發送給所述服務器端；所述服務器端包括:請求接收模塊，用于接收所述動態保護密鑰請求；動態保護密鑰生成模塊，用于根據所述動態保護密鑰請求中的所述固定密鑰對中的公鑰和設備標識查找舊密鑰，同時生成新密鑰，且使用所述臨時密鑰對中的公鑰加密所述舊密鑰和所述新密鑰生成動態保護密鑰；發送模塊，用于將所述動態保護密鑰發送給所述用戶終端；所述安全組件還包括:動態保護密鑰接收模塊，用于接收所述服務器端發送的所述動態保護密鑰；解密模塊，用于使用所述臨時密鑰對中的私鑰解密所述動態保護密鑰得到所述舊密鑰和所述新密鑰；使用所述舊密鑰和設備標識解密得到所述固定密鑰對中的私鑰，并使用該私鑰得到用戶隱私數據以供用戶調用；加密模塊，用于使用所述新密鑰和所述設備標識重新加密所述固定密鑰對中的私鑰并保存。本發明所述的系統中，所述臨時密鑰對的長度小于所述固定密鑰對的長度。本發明所述的系統中，所述固定密鑰對為2048位的非對稱的密鑰對，所述臨時密鑰對為512位的非對稱的密鑰對。本發明所述的系統中，所述密鑰對生成模塊每次根據所述訪問請求信息生成的所述臨時密鑰對均不相同。本發明所述的系統中，所述動態保護密鑰生成模塊生成的所述新密鑰與所述固定密鑰對中的公鑰和所述設備標識相關聯。本發明產生的有益效果是:本發明在用戶終端生成非對稱的固定密鑰對以及臨時密鑰對，通過固定密鑰對中的私鑰加密用戶隱私數據，而該私鑰又通過服務器端生成的動態保護密鑰進行加密，根據用戶終端的請求，每次生成的動態保護密鑰都不一樣，所生成的動態保護密鑰通過臨時密鑰對中的公鑰進行加密傳輸，保證了數據傳輸通道的安全性，同時提高了用戶終端上的用戶隱私數據的安全性。


下面將結合附圖及實施例對本發明作進一步說明，附圖中:圖1是本發明實施例動態保護用戶隱私數據的方法流程圖；圖2是本發明實施例動態保護用戶隱私數據系統的結構示意圖。
具體實施例方式為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅用以解釋本發明，并不用于限定本發明。如圖1所示，本發明實施例動態保護用戶隱私數據的方法主要包括步驟:S1、用戶終端接收用戶請求訪問隱私數據的訪問請求信息；本發明實施例中用戶的隱私數據保存在用戶終端，由于是隱私數據故對其進行了加密，以保證其安全性。用戶可以通過發送請求信息進行訪問。S2、根據訪問請求信息，在用戶終端生成非對稱的固定密鑰對以及臨時密鑰對；在本發明實施例中生成基于PKI的非對稱的密鑰對，采用固定密鑰對中的私鑰對用戶隱私數據進行加密。固定密鑰對第一次生成后就不再生成，且不會改變，其公鑰會保存在服務器端，而臨時密鑰對則每次根據用戶的訪問請求都會生成，且每一次生成的密鑰對均不一樣。S3、用戶終端根據固定密鑰對中的公鑰、臨時密鑰對中的公鑰以及設備標識生成動態保護密鑰的請求，并發送給服務器端。固定密鑰對中的公鑰和設備標識對應唯一的用戶。設備標識包括但不限于ME1、MAC等。S4、服務器端接收用戶終端發送的請求，并根據請求中的固定密鑰對中的公鑰和設備標識查找舊密鑰，同時生成新密鑰，且使用臨時密鑰對中的公鑰加密舊密鑰和新密鑰生成動態保護密鑰，并將動態保護密鑰發送給用戶終端。利用臨時密鑰對中的公鑰加密動態保護密鑰，而每次生成的臨時密鑰對又不相同，增加了破解的難度，從而提高了動態保護密鑰在傳輸過程中的安全性。在本發明的一個實施例中，所生成的新密鑰與固定密鑰對中的公鑰和設備標識相關聯。服務器端根據固定密鑰對中的公鑰和設備標識可以快速查找到對應的密鑰。S5、用戶終端接收動態保護密鑰，并使用臨時密鑰對中的私鑰解密動態保護密鑰得到舊密鑰和新密鑰；S6、用戶終端使用舊密鑰和設備標識解密得到固定密鑰對中的私鑰，并使用該私鑰得到解密后的用戶隱私數據以供用戶調用；S7、用戶終端使用新密鑰和設備標識重新加密固定密鑰對中的私鑰并保存。由于使用了設備標識進行加密，所以當設備變更時就無法解密，更有效地保證了固定密鑰對中的私鑰的安全性。在用戶第一次請求動態保護密鑰時，服務器端并不存在舊密鑰，服務器端可以直接保存固定密鑰對中的公鑰和設備標識之間的關系，同時生成新密鑰，并返回給用戶終端，并利用該新密鑰加密固定密鑰對中的私鑰。在用戶終端使用固定密鑰對中的私鑰加密用戶隱私數據，相當于在用戶終端先進行初始化。初始化后，在用戶請求訪問隱私數據時則進行如圖1中的步驟。在本發明實施例中，臨時密鑰對的長度小于固定密鑰對的長度，在本發明實施例中每次生成的臨時密鑰對均不相同，在兼顧安全和效率的情況下，臨時密鑰對的長度并不是越長越好。在本發明的一個優選實施例中，固定密鑰對為2048位的非對稱的密鑰對，臨時密鑰對為512位的非對稱的密鑰對。長度較短的輕量臨時密鑰對生成時間相對較短，利用其公鑰加密動態保護密鑰的時間也較短，但又能保證動態保護密鑰傳輸的安全性。如圖2所示，本發明實施例動態保護用戶隱私數據的系統主要包括用戶終端10和服務器端20，用戶終端包括安全組件，該安全組件主要用于保護用戶的隱私數據，安全組件包括訪問請求信息接收模塊11、密鑰對生成模塊12、動態保護密鑰請求生成模塊13、請求發送模塊14、動態保護密鑰接收模塊15、解密模塊16和加密模塊17，其中，訪問請求信息接收模塊11，用于接收用戶請求訪問隱私數據的訪問請求信息；密鑰對生成模塊12，用于根據訪問請求信息生成非對稱的固定密鑰對以及臨時密鑰對；在本發明的實施例中密鑰對生成模塊12每次根據訪問請求信息生成的臨時密鑰對均不相同。動態保護密鑰請求生成模塊13，用于根據固定密鑰對中的公鑰、臨時密鑰對中的公鑰以及設備標識生成動態保護密鑰請求；由于每次生成的臨時密鑰對均不相同，則利用其公鑰加密生成的動態保護密鑰的安全性也較高，提高了動態保護密鑰在傳輸通道中的安全性。請求發送模塊14，用于將動態保護密鑰的請求發送給服務器端20 ；服務器端20包括請求接收模塊21、動態保護密鑰生成模塊22和發送模塊23。請求接收模塊21，用于接收請求發送模塊14發送的動態保護密鑰請求；動態保護密鑰生成模塊22，用于根據動態保護密鑰請求中的固定密鑰對中的公鑰和設備標識查找舊密鑰，同時生成新密鑰，且使用臨時密鑰對中的公鑰加密舊密鑰和新密鑰生成動態保護密鑰；服務器端20還可以包括一存儲模塊用于保存固定密鑰對中的公鑰和設備標識，以及動態保護密鑰生成模塊22所生成的密鑰。發送模塊23，用于將動態保護密鑰生成模塊22生成的動態保護密鑰發送給用戶終端10。安全組件中的動態保護密鑰接收模塊15，用于接收服務器端20的發送模塊23發送的動態保護密鑰；解密模塊16，用于使用臨時密鑰對中的私鑰解密動態保護密鑰得到舊密鑰和新密鑰；使用舊密鑰解密和設備標識進行解密得到固定密鑰對中的私鑰，并使用該私鑰解密得到用戶隱私數據以供用戶調用；加密模塊17，用于使用新密鑰和設備標識重新加密固定密鑰對中的私鑰并保存。在本發明實施例中臨時密鑰對的長度小于固定密鑰對的長度，本發明的一個優選實施例中固定密鑰對為2048位的非對稱的密鑰對，臨時密鑰對為512位的非對稱的密鑰對，長度較短的輕量臨時密鑰對生成時間相對較短，利用其公鑰加密動態保護密鑰的時間也較短，但又能保證動態保護密鑰傳輸的安全性。在本發明的實施例中，動態保護密鑰生成模塊22生成的新密鑰與固定密鑰對中的公鑰和設備標識相關聯，固定密鑰對中的公鑰和設備標識對應唯一的用戶，服務器端20根據固定密鑰對中的公鑰和設備標識可以快速查找到上一次生成的密鑰。應當理解的是，對本領域普通技術人員來說，可以根據上述說明加以改進或變換，而所有這些改進和變換都應屬于本發明所附權利要求的保護范圍。
權利要求
1.一種動態保護用戶隱私數據的方法，其特征在于，包括步驟: 接收用戶請求訪問隱私數據的訪問請求信息； 根據所述訪問請求信息，在用戶終端生成非對稱的固定密鑰對以及臨時密鑰對； 用戶終端根據所述固定密鑰對中的公鑰、所述臨時密鑰對中的公鑰以及設備標識生成動態保護密鑰的請求，并發送給服務器端； 服務器端接收用戶終端發送的請求，并根據請求中的所述固定密鑰對中的公鑰和設備標識查找舊密鑰，同時生成新密鑰，且使用所述臨時密鑰對中的公鑰加密所述舊密鑰和所述新密鑰生成動態保護密鑰，并將所述動態保護密鑰發送給用戶終端； 用戶終端接收所述動態保護密鑰，并使用所述臨時密鑰對中的私鑰解密所述動態保護密鑰得到所述舊密鑰和所述新密鑰； 用戶終端使用所述舊密鑰解密得到所述固定密鑰對中的私鑰，并使用該私鑰得到用戶隱私數據以供用戶調用； 用戶終端使用所述新密鑰和所述設備標識重新加密所述固定密鑰對中的私鑰并保存。
2.根據權利要求1所述的方法，其特征在于，所述臨時密鑰對的長度小于所述固定密鑰對的長度。
3.根據權利要求2所述的方法，其特征在于，所述固定密鑰對為2048位的非對稱的密鑰對，所述臨時密鑰對為512位的非對稱的密鑰對。
4.根據權利要求1所述的方法，其特征在于，每次根據所述訪問請求信息生成的所述臨時密鑰對均不相同。
5.根據權利要求1-4中任一項所述的方法，其特征在于，所述新密鑰與所述固定密鑰對中的公鑰和所述設備標識相關聯。
6.一種動態保護用戶隱私數據的系統，包括用戶終端和服務器端，其特征在于， 所述用戶終端包括安全組件，該安全組件包括: 訪問請求信息接收模塊，用于接收用戶請求訪問隱私數據的訪問請求信息； 密鑰對生成模塊，用于根據所述訪問請求信息生成非對稱的固定密鑰對以及臨時密鑰對； 動態保護密鑰請求生成模塊，用于根據所述固定密鑰對中的公鑰、所述臨時密鑰對中的公鑰以及設備標識生成動態保護密鑰請求； 請求發送模塊，用于將所述動態保護密鑰的請求發送給所述服務器端； 所述服務器端包括: 請求接收模塊，用于接收所述動態保護密鑰請求； 動態保護密鑰生成模塊，用于根據所述動態保護密鑰請求中的所述固定密鑰對中的公鑰和設備標識查找舊密鑰，同時生成新密鑰，且使用所述臨時密鑰對中的公鑰加密所述舊密鑰和所述新密鑰生成動態保護密鑰； 發送模塊，用于將所述動態保護密鑰發送給所述用戶終端； 所述安全組件還包括: 動態保護密鑰接收模塊，用于接收所述服務器端發送的所述動態保護密鑰； 解密模塊，用于使用所述臨時密鑰對中的私鑰解密所述動態保護密鑰得到所述舊密鑰和所述新密鑰；使用所述舊密鑰和設備標識解密得到所述固定密鑰對中的私鑰，并使用該私鑰得到用戶隱私數據以供用戶調用； 加密模塊，用于使用所述新密鑰和所述設備標識重新加密所述固定密鑰對中的私鑰并保存。
7.根據權利要求6所述的系統，其特征在于，所述臨時密鑰對的長度小于所述固定密鑰對的長度。
8.根據權利要求7所述的系統，其特征在于，所述固定密鑰對為2048位的非對稱的密鑰對，所述臨時密鑰對為512位的非對稱的密鑰對。
9.根據權利要求6所述的系統，其特征在于，所述密鑰對生成模塊每次根據所述訪問請求信息生成的所述臨時密鑰對均不相同。
10.根據權利要求6-9中任一項所述的系統，其特征在于，所述動態保護密鑰生成模塊生成的所述新密鑰與所述固定密鑰對中的公 鑰和所述設備標識相關聯。
全文摘要
本發明公開了一種動態保護用戶隱私數據的方法及系統，本發明在用戶終端生成非對稱的固定密鑰對以及臨時密鑰對，通過固定密鑰對中的私鑰加密用戶隱私數據，而該私鑰又通過服務器端生成的動態保護密鑰進行加密，根據用戶終端的請求，每次生成的動態保護密鑰都不一樣，所生成的動態保護密鑰通過臨時密鑰對中的公鑰進行加密傳輸，保證了數據傳輸通道的安全性，同時提高了用戶終端上的用戶隱私數據的安全性。
文檔編號H04L9/08GK103166757SQ201110426218
公開日2013年6月19日 申請日期2011年12月19日 優先權日2011年12月19日
發明者唐軼賢, 郝振宇, 張嘯雄, 王巍, 關學功 申請人:卓望數碼技術(深圳)有限公司