專利名稱:iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法
技術領域:
本發(fā)明涉及信息安全領域��,特別涉及互聯(lián)網(wǎng)賬戶身份認證信息安全保護技術領域��,具體是指一種iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法��。
背景技術:
蘋果公司iOS操作系統(tǒng)軟件高級副總裁Scott Forstall在WffDC大會上表示���,迄今為止蘋果已經(jīng)售出2億臺iOS設備。隨著iOS用戶群體越來越龐大,用戶通過App Store����、iTunes等渠道的下載量越來越大��,Apple賬戶受到攻擊的次數(shù)也越來越多,常見的賬戶安全問題如下:
(I)惡意軟件泄漏隱私:雖然具備嚴格審核機制的App Store可以使iOS用戶獲得安全的軟件����,但是App Store以外的軟件來源就顯得不那么可靠,用戶一旦使用內(nèi)置惡意代碼的軟件��,極易導致本地保存的賬戶信息泄露��,甚至造成經(jīng)濟損失�。(2)釣魚攻擊:釣魚攻擊通常用偽造網(wǎng)頁的形式完成,即利用與目標站點高度相似的頁面欺騙用戶���,甚至通過偽造地址欄來混淆視聽����,讓用戶無從分辨真?zhèn)?�,自動把賬戶信息泄露給攻擊者����。(3)賬號遺失:由于Web站點受到攻擊泄露用戶賬戶信息的事件時有發(fā)生,用戶使用統(tǒng)一用戶名密碼組合登錄注冊多個站點不再可?�?��;另一方面����,有些Web站點出于安全考慮,要求用戶每隔一段時間就更換一次密碼��,同時對密碼的復雜性也做出要求��,以上這些都使得用戶同時擁有大量賬戶����,如果沒有有效的保管方式,用戶很容易遺忘用戶名或密碼����,導致賬戶無法使用。現(xiàn)有技術中�����,當前保護賬戶安全有多種解決方案���,比如基于軟件的方案有��,設置安全問題���、備用郵箱審核等等,但并非所有Web站點在注冊時都有這些要求����,同時也帶來了每次操作過于繁瑣的問題;基于硬件的方案�����,如采用手機銀行的密碼保護設備提升賬戶安全�����,但這種設備同樣不具有普適性�����,除特定站點以外無法使用���。
發(fā)明內(nèi)容
本發(fā)明的目的是克服了上述現(xiàn)有技術中的缺點�,提供一種在開放的����、不安全的網(wǎng)絡環(huán)境中為iOS用戶提供安全便捷的Web站點登錄�、無須特別訂制安全設備�����、有效提高賬戶安全性��、工作性能穩(wěn)定可靠�����、適用范圍較為廣泛的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法���。為了實現(xiàn)上述的目的���,本發(fā)明的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法如下:該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法,裝載有iOS操作系統(tǒng)的電子設備中的應用程序通過讀卡器與所述的智能卡相連接��,其主要特點是����,所述的方法包括對稱密鑰生成處理操作、用戶賬戶信息添加處理操作和Web站點訪問控制處理操作���,所述的對稱密鑰生成處理操作��,包括以下步驟:
(11)所述的應用程序獲取所述的智能卡的唯一標識UID信息�;(12)所述的應用程序檢查是否有與該智能卡的唯一標識UID信息相匹配的登錄信息文件;(13)如果有����,則結(jié)束該處理操作�����;如果無�,則新建所述的登錄信息文件,并繼續(xù)以下步驟(14)����;(14)所述的智能卡產(chǎn)生隨機數(shù)作為對稱密鑰,并以非對稱算法加密該對稱密鑰得到密文對稱密鑰���,并送至所述的應用程序��;(15)所述的應用程序把所述的密文對稱密鑰寫入所述的登錄信息文件中����;所述的用戶賬戶信息添加處理操作,包括以下步驟:(21)系統(tǒng)根據(jù)用戶操作�,啟動所述的應用程序,并與所述的智能卡相連接��;(22)所述的應用程序獲取該智能卡的唯一標識WD信息���;(23)所述的應用程序從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰�����,并送至所述的智能卡中�����;(24)所述的智能卡通過私鑰解密所述的密文對稱密鑰并得到明文對稱密鑰�����,并送至所述的應用程序����;(25)所述的應用程序加載Web站點列表�����,并根據(jù)用戶的選擇操作對被操作站點添加對應的用戶賬戶信息;(26)所述的應用程序以所述的明文對稱密鑰加密所添加的用戶賬戶信息����,并得到用戶賬戶密文后寫入所述的登錄信息文件中;所述的Web站點訪問控制處理操作��,包括以下步驟:(31)系統(tǒng)根據(jù)用戶操作����,啟動所述的應用程序,并與所述的智能卡相連接��;(32)所述的應用程序獲取該智能卡的唯一標識UID信息�;(33)所述的應用程序從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰���,并送至所述的智能卡中�;(34)所述的智能卡通過私鑰解密所述的密文對稱密鑰并得到明文對稱密鑰����,并送至所述的應用程序;(35)所述的應用程序以所述的明文對稱密鑰解密所述的賬戶信息�����,并加載相應的賬戶列表;(36)所述的應用程序根據(jù)用戶的選擇操作得到對應的賬戶信息�,并與Web站點服務器交互得到登錄頁面代碼,解析后根據(jù)所述的賬戶信息自動填入相應的登錄信息�;(37)所述的應用程序根據(jù)用戶操作提交相應的登錄信息至Web站點服務器。該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的登錄信息文件包括密文對稱密鑰數(shù)據(jù)域和賬戶信息密文數(shù)據(jù)域��。
該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的賬戶信息密文數(shù)據(jù)域包括數(shù)條以所述的對稱密鑰加密的登錄信息�。該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的登錄信息包括Web站點ID信息、用戶名和密碼���。該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的登錄信息文件的名稱為智能卡的唯一標識WD����。
該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的登錄信息文件與智能卡的唯一標識UID信息相匹配����,具體為:所述的登錄信息文件的文件名與所述的智能卡的唯一標識UID相同。該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的用戶賬戶信息包括用戶名和密碼�����。采用了該發(fā)明的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法��,由于其采用帶有PKI功能的智能卡作為保護設備�����,在開放的、不安全的網(wǎng)絡環(huán)境中為iOS用戶提供安全的�、便捷的Web站點登錄方法,而且不需要特別訂制安全設備�,從而實現(xiàn)了在開放的網(wǎng)絡環(huán)境中采用智能卡作為硬件基礎為Apple iOS用戶提供安全、可靠的身份管理與密碼保護���,有效提高了賬戶安全性���,適用于各種Web站點,工作性能穩(wěn)定可靠�����、適用范圍較為廣泛��。相應的有益效果具體如下:(I)便捷性一在本地保存賬戶信息����,用戶只需在初始化時手動輸入用戶名和密碼��,使用中Web站點登錄表單由本發(fā)明自動填寫�����,使用便捷;(2)安全性——加密保存賬戶信息��,只能通過用戶持有的智能卡得到解密密鑰����,能夠保證賬戶信息不泄露;另一方面��,用戶通過本發(fā)明保存的URL訪問Web站點�����,可以避免虛假釣魚網(wǎng)站���;(3)普適性一對一般需要登錄的Web站點都適用�����,同時智能卡也無需特別訂制���,只需帶有PKI功能即可。
圖1為本發(fā)明的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的生成對稱密鑰的時序關系示意圖�。 圖2為本發(fā)明的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的用戶添加賬戶信息的時序關系示意圖���。圖3為本發(fā)明的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法中的用戶訪問Web站點的時序關系不意圖。
具體實施例方式為了能夠更清楚地理解本發(fā)明的技術內(nèi)容����,特舉以下實施例詳細說明。請參閱圖1至圖3所示�����,該iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法�����,裝載有iOS操作系統(tǒng)的電子設備中的應用程序通過讀卡器與所述的智能卡相連接�,其中該方法包括對稱密鑰生成處理操作、用戶賬戶信息添加處理操作和Web站點訪問控制處理操作�,所述的對稱密鑰生成處理操作,包括以下步驟:(11)所述的應用程序獲取所述的智能卡的唯一標識UID信息�;(12)所述的應用程序檢查是否有與該智能卡的唯一標識UID信息相匹配的登錄信息文件��;該登錄信息文件包括密文對稱密鑰數(shù)據(jù)域和賬戶信息密文數(shù)據(jù)域��,該賬戶信息密文數(shù)據(jù)域包括數(shù)條以所述的對稱密鑰加密的登錄信息�����,該登錄信息包括Web站點ID信息、用戶名和密碼�,該登錄信息文件的名稱為智能卡的唯一標識UID,且所述的登錄信息文件與智能卡的唯一標識WD信息相匹配�����,具體為:
所述的登錄信息文件的文件名與所述的智能卡的唯一標識UID相同�;(13)如果有,則結(jié)束該處理操作��;如果無�����,則新建所述的登錄信息文件��,并繼續(xù)以下步驟(14)���;( 14)所述的智能卡產(chǎn)生隨機數(shù)作為對稱密鑰���,并以非對稱算法加密該對稱密鑰得到密文對稱密鑰,并送至所述的應用程序;(15)所述的應用程序把所述的密文對稱密鑰寫入所述的登錄信息文件中�����;所述的用戶賬戶信息添加處理操作����,包括以下步驟:(21)系統(tǒng)根據(jù)用戶操作,啟動所述的應用程序��,并與所述的智能卡相連接��;(22)所述的應用程序獲取該智能卡的唯一標識UID信息���;(23)所述的應用程序從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰�����,并送至所述的智能卡中�;(24)所述的智能卡通過私鑰解密所述的密文對稱密鑰并得到明文對稱密鑰�����,并送至所述的應用程序����;(25)所述的應用程序加載Web站點列表,并根據(jù)用戶的選擇操作對被操作站點添加對應的用戶賬戶信息�;
(26)所述的應用程序以所述的明文對稱密鑰加密所添加的用戶賬戶信息,并得到用戶賬戶密文后寫入所述的登錄信息文件中����;該用戶賬戶信息包括用戶名和密碼;所述的Web站點訪問控制處理操作��,包括以下步驟:(31)系統(tǒng)根據(jù)用戶操作����,啟動所述的應用程序,并與所述的智能卡相連接����;(32)所述的應用程序獲取該智能卡的唯一標識UID信息;(33)所述的應用程序從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰����,并送至所述的智能卡中;(34)所述的智能卡通過私鑰解密所述的密文對稱密鑰并得到明文對稱密鑰����,并送至所述的應用程序;(35)所述的應用程序以所述的明文對稱密鑰解密所述的賬戶信息,并加載相應的賬戶列表�;(36)所述的應用程序根據(jù)用戶的選擇操作得到對應的賬戶信息,并與Web站點服務器交互得到登錄頁面代碼�,解析后根據(jù)所述的賬戶信息自動填入相應的登錄信息;(37)所述的應用程序根據(jù)用戶操作提交相應的登錄信息至Web站點服務器����。在實際使用當中,本發(fā)明使用智能卡對iOS用戶的網(wǎng)絡賬戶進行保護����,核心操作為安裝在iOS上的應用程序通過讀卡器與用戶持有的智能卡進行交互,實現(xiàn)加密保存賬戶
息和自動填寫登錄息�����。賬戶信息加密保護方法具體如下:( I)賬戶信息保護方法賬戶信息包括賬戶所屬的Web站點信息以及登錄用戶名和密碼��,本發(fā)明使用對稱算法保護賬戶信息����,并使用非對稱算法保護對稱密鑰。(a)保護賬戶信息本發(fā)明以對稱密鑰加解密賬戶信息�����,其中由智能卡隨機產(chǎn)生對稱密鑰,由應用程序?qū)~戶信息進行加密����。
—般的���,智能卡都帶有硬件實現(xiàn)的隨機數(shù)發(fā)生器���,可以得到固定長度的隨機數(shù),而任意長度的隨機數(shù)可以通過重復取隨機數(shù)拼接剪切得到����。以AES算法為例,智能卡產(chǎn)生128bit隨機數(shù)Keyplain作為密鑰�,賬戶信息明文為Infoplain,密文為Infoeiphe,�����,Eaes O表示加密�����,Daes O表示解密����,則有如下加解密過程:Infocipher — Eaes (Infoplain, Keyplain)Infoplain — Daes (Infocipher, Keyplain)賬戶信息以密文形式與加密密鑰一起保存在本地�����,顯然加密密鑰也必須以密文形式保存才能保證賬戶信息安全�����。(b)保護加密賬戶信息的對稱密鑰智能卡以加密公私鑰對加解密對稱密鑰��。智能卡中的加密公私鑰對由第三方權威數(shù)字認證機構(gòu)CA簽發(fā)并托管�,保證各智能卡中的公私鑰對互不相同���;私鑰由CA產(chǎn)生��,并由CA或其它可信管理機構(gòu)負責寫入�,然后將對應公鑰的證書發(fā)布出來���,寫入的私鑰對外界不可讀�����。以RSA算法為例�,設n=pq,用n��、e代表加密公鑰�����,p���、q和d代表加密私鑰,對稱密鑰明文為Keyplain ���,密文為Keycdphw, EesaO表示加密�,DesaO表示解密�����,則有如下加解密過程:Keycipher = Eesa (Keyplain) = (Keyplain)e mod ηKeyplain = Drsa (Keycipher) = (Keycipher)d mod n以上加解密過 程都在內(nèi)存中進行����,明文數(shù)據(jù)不會在本地殘留,而密文數(shù)據(jù)即使被惡意竊取也無法解密獲取有效信息�����,實現(xiàn)了保護賬戶信息安全的目的。(2)賬戶信息保存方法賬戶信息保存在Web站點信息文件和登錄信息文件中����,位于應用程序?qū)傥募A內(nèi)。Web站點信息文件為應用程序固有的只讀文件�����,文件由若干條站點信息組成����,每條站點信息包括四個數(shù)據(jù)項,即ID��、URL���、名稱和登錄表單屬性����,具體請參閱下表I所示�。表1.Web站點信息
權利要求
1.一種iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法,裝載有iOS操作系統(tǒng)的電子設備中的應用程序通過讀卡器與所述的智能卡相連接��,其特征在于��,所述的方法包括對稱密鑰生成處理操作、用戶賬戶信息添加處理操作和Web站點訪問控制處理操作�����,所述的對稱密鑰生成處理操作�����,包括以下步驟: (11)所述的應用程序獲取所述的智能卡的唯一標識WD信息����; (12)所述的應用程序檢查是否有與該智能卡的唯一標識UID信息相匹配的登錄信息文件�����; (13)如果有�����,則結(jié)束該處理操作�;如果無,則新建所述的登錄信息文件����,并繼續(xù)以下步驟(14)�; (14)所述的智能卡產(chǎn)生隨機數(shù)作為對稱密鑰����,并以非對稱算法加密該對稱密鑰得到密文對稱密鑰,并送至所述的應用程序�����; (15)所述的應用程序把所述的密文對稱密鑰寫入所述的登錄信息文件中����; 所述的用戶賬戶信息添加處理操作,包括以下步驟: (21)系統(tǒng)根據(jù)用戶操作��,啟動所述的應用程序��,并與所述的智能卡相連接���; (22)所述的應用程序獲取該智能卡的唯一標識WD信息�����; (23)所述的應用程序從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰����,并送至所述的智能卡中; (24)所述的智能卡通過私鑰解密所述的密文對稱密鑰并得到明文對稱密鑰�,并送至所述的應用程序; (25)所述的應用程序加載Web站點列表���,并根據(jù)用戶的選擇操作對被操作站點添加對應的用戶賬戶信息��; (26)所述的應用程序以所述的明文對稱密鑰加密所添加的用戶賬戶信息�����,并得到用戶賬戶密文后寫入所述的登錄信息文件中��; 所述的Web站點訪問控制處理操作,包括以下步驟: (31)系統(tǒng)根據(jù)用戶操作��,啟動所述的應用程序,并與所述的智能卡相連接��; (32)所述的應用程序獲取該智能卡的唯一標識UID信息��; (33)所述的應用程序從與該唯一標識UID信息相匹配的登錄信息文件中讀取所述的密文對稱密鑰�,并送至所述的智能卡中; (34)所述的智能卡通過私鑰解密所述的密文對稱密鑰并得到明文對稱密鑰����,并送至所述的應用程序����; (35)所述的應用程序以所述的明文對稱密鑰解密所述的賬戶信息���,并加載相應的賬戶列表�; (36)所述的應用程序根據(jù)用戶的選擇操作得到對應的賬戶信息����,并與Web站點服務器交互得到登錄頁面代碼,解析后根據(jù)所述的賬戶信息自動填入相應的登錄信息�; (37)所述的應用程序根據(jù)用戶操作提交相應的登錄信息至Web站點服務器。
2.根據(jù)權利要求1所述的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法����,其特征在于,所述的登錄信息文件包括密文對稱密鑰數(shù)據(jù)域和賬戶信息密文數(shù)據(jù)域��。
3.根據(jù)權利要求2所述的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法����,其特征在于,所述的賬戶信息密文數(shù)據(jù)域包括數(shù)條以所述的對稱密鑰加密的登錄信息�����。
4.根據(jù)權利要求3所述的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法,其特征在于��,所述的登錄信息包括Web站點ID信息�、用戶名和密碼。
5.根據(jù)權利要求2所述的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法��,其特征在于�,所述的登錄信息文件的名稱為智能卡的唯一標識WD。
6.根據(jù)權利要求5所述的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法����,其特征在于,所述的登錄信息文件與智能卡的唯一標識WD信息相匹配�����,具體為: 所述的登錄信息文件的文件名與所述的智能卡的唯一標識UID相同���。
7.根據(jù)權利要求1至6中任一項所述的iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法��,其特 征在于,所述的用戶賬戶信息包括用戶名和密碼����。
全文摘要
本發(fā)明涉及一種iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法���,裝載有iOS操作系統(tǒng)的電子設備中的應用程序通過讀卡器與所述的智能卡相連接,其中該方法包括對稱密鑰生成處理操作����、用戶賬戶信息添加處理操作和Web站點訪問控制處理操作。采用該種iOS操作系統(tǒng)中基于智能卡實現(xiàn)網(wǎng)絡賬戶保護控制的方法�����,其采用帶有PKI功能的智能卡作為保護設備��,在開放的���、不安全的網(wǎng)絡環(huán)境中為iOS用戶提供安全的����、便捷的Web站點登錄方法�,而且不需要特別訂制安全設備,從而實現(xiàn)了在開放的網(wǎng)絡環(huán)境中采用智能卡作為硬件基礎為Apple iOS用戶提供安全�����、可靠的身份管理與密碼保護,有效提高了賬戶安全性���,適用于各種Web站點����,工作性能穩(wěn)定可靠��、適用范圍較為廣泛���。
文檔編號H04L29/06GK103235910SQ201310103238
公開日2013年8月7日 申請日期2013年3月27日 優(yōu)先權日2013年3月27日
發(fā)明者胡永濤, 楊明慧, 戴聰 申請人:公安部第三研究所