基于可信计算的5G移动终端的数据安全加固方法和装置与流程

基于可信计算的5g移动终端的数据安全加固方法和装置
技术领域
1.本技术涉及信息安全领域，特别是涉及一种基于可信计算的5g移动终端的数据安全加固方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术：

2.工业领域的网络安全已经升级为影响国家国防层面的安全要素。我国在核电等清洁能源建设方面也加快了步伐，随着工业化和信息化深度融合，核电站生产效率和经济效益得到提升的同时，也出现了新的安全风险。
3.我国在核电等清洁能源建设方面也加快了步伐，随着工业化和信息化深度融合，网络逐渐进入核电站，5g网络与核电的深度融合能够减轻核电生产一线工人的工作负荷，提升核电厂生产安全管控水平，减少人因事故，降低辐射照剂量，提升核电运营业绩，促进核电行业安全、经济发展。同时5g 网络的接入，也给核电安全生产带来一定的安全风险。一些恶意攻击者会通过 5g终端向核电5g网络发起攻击进而达成破坏核电生产的目的。
4.目前，移动智能终端多基于soc(system on chip)芯片构建，为了采用可信计算技术对其进行安全加固，需要在其上增加移动可信模块(mobiletrusted module,mtm)提供可信服务，作为可信根。为了构建完整可靠的信任链，需要保证系统启动过程中从mtm、bootloader、系统内核再到第三方应用，每个步骤都经过完整性验证。然而，mtm是功能而非硬件实现，且有研究表明mtm会增加系统的功耗并降低加密功能的性能。因此，将mtm作为嵌入式系统的可信根不是一种理想的选择。

技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种基于可信计算的5g移动终端的数据安全加固方法、装置、计算机设备和计算机可读存储介质。
6.第一方面，本技术提供了一种基于可信计算的5g移动终端的数据安全加固方法。所述方法包括：
7.响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息生成验证码，基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息反馈至终端；
8.接收所述服务端反馈的所述第一签名信息；
9.使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码；
10.使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；
11.向服务端发送所述第二请求信息，服务端响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对所述对称密钥和会话编码
进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端；
12.接收服务端返回的所述第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥；
13.基于所述对称密钥对敏感信息进行加密，与所述服务端通信。
14.第二方面，本技术还提供了一种基于可信计算的5g移动终端的数据安全加固装置。所述装置包括：
15.发送模块，用于响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息生成验证码，基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息反馈至终端；
16.接收模块，用于接收所述服务端反馈的所述第一签名信息；
17.验证码获取模块，用于使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码；
18.加密模块，用于使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；
19.发送模块，还用于向服务端发送所述第二请求信息，服务端响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对所述对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端；
20.密钥处理模块，用于接收服务端返回的所述第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥；
21.通信模块，用于基于所述对称密钥对敏感信息进行加密，与所述服务端通信。
22.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
23.响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息生成验证码，基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息反馈至终端；
24.接收所述服务端反馈的所述第一签名信息；
25.使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码；
26.使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；
27.向服务端发送所述第二请求信息，服务端响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验
证码与存储的一致，生成对称密钥和会话编码，使用终端标识对所述对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端；
28.接收服务端返回的所述第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥；
29.基于所述对称密钥对敏感信息进行加密，与所述服务端通信。第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
30.响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息生成验证码，基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息反馈至终端；
31.接收所述服务端反馈的所述第一签名信息；
32.使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码；
33.使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；
34.向服务端发送所述第二请求信息，服务端响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对所述对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端；
35.接收服务端返回的所述第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥；
36.基于所述对称密钥对敏感信息进行加密，与所述服务端通信。第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
37.响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息生成验证码，基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息反馈至终端；
38.接收所述服务端反馈的所述第一签名信息；
39.使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码；
40.使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；
41.向服务端发送所述第二请求信息，服务端响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对所述对称密钥和会话编码
进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端；
42.接收服务端返回的所述第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥；
43.基于所述对称密钥对敏感信息进行加密，与所述服务端通信。
44.上述基于可信计算的5g移动终端的数据安全加固方法、装置、计算机设备和存储介质，响应于登录请求，终端和服务端基于服务器端公钥和私钥进行双向验证，得到本次通信所需的对称密钥，确保了每次通信所需的对称密钥是不同的，即一次一密，确保了通信的前向安全和后向安全。终端和服务端基于服务端器公钥和私钥进行双向验证的过程中，通过验证码、终端标识和用户信息等多个信息维度的验证，使得只有发出通信请求的终端才能解密得到通信密钥，保证了终端与服务器端的双向认证，使得终端和服务端间的通信更安全可靠。
附图说明
45.图1为一个实施例中基于可信计算的5g移动终端安全加固方法的应用环境图；
46.图2为一个实施例中基于可信计算的5g移动终端安全加固方法的流程示意图；
47.图3为一个实施例中基于可信计算的5g移动终端安全加固方法的流程示意图；
48.图4为一个实施例中终端获取验证码的示意图；
49.图5为一个实施例中认证与密钥交换的示意图；
50.图6为一个实施例中敏感数据密钥生成的示意图；
51.图7为另一个实施例中基于可信计算的5g移动终端安全加固方法的流程示意图；
52.图8为一个实施例中基于可信计算的5g移动终端安全加固方法的流程示意图；
53.图9为一个实施例中可信移动终端体系的示意图；
54.图10为一个实施例中可信软件基完整性度量机制的示意图；
55.图11为另一个实施例中基于可信计算的5g移动终端的安全加固方法的流程示意图；
56.图12为一个实施例中计算机设备的内部结构图。
具体实施方式
57.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅用以解释本技术，并不用于限定本技术。
58.本技术实施例提供的基于可信计算的5g移动终端安全加固方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务端104进行通信。数据存储系统可以存储服务端104需要处理的数据。数据存储系统可以集成在服务端104上，也可以放在云上或其他网络服务端上。终端102响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送第一请求信息，服务端104响应第一请求信息生成验证码，基于服务端公钥对应的服务端私钥解密第一请求信息，得到用户信息，基于服务端私钥对
用户信息和验证码进行处理，得到第一签名信息，将第一签名信息反馈至终端 102。接收服务端反馈的第一签名信息；使用服务端公钥对第一签名信息进行验证，获取验证码；使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；向服务端发送第二请求信息，服务端响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对第二用户验证信息进行签名，得到第二签名信息，将第二签名信息反馈至终端；接收服务端返回的第二签名信息，使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用终端标识解密第二用户验证信息，得到对称密钥；基于对称密钥对敏感信息进行加密，与服务端通信。其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务端 104可以用独立的服务端或者是多个服务端组成的服务端集来实现。
59.具体地，如图2和图3所示，提供了一种基于可信计算的5g移动终端安全加固方法的流程示意图，该方法应用于图1所示的应用环境，包括以下步骤：
60.步骤202，响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送第一请求信息，服务端响应第一请求信息生成验证码，基于服务端公钥对应的服务端私钥解密第一请求信息，得到用户信息，基于服务端私钥对用户信息和验证码进行处理，得到第一签名信息，将第一签名信息反馈至终端。
61.服务端存有密钥对，密钥对包括服务端公钥pk和服务端私钥sk。服务端公钥是密钥对中公开的部分，终端存有服务端公钥，该公钥由敏感数据密钥采用对称加密算法加密后存储在终端设备的安全区域中。而服务端私钥是非公开的部分，即只有服务端拥有私钥。可以利用服务端公钥和服务端私钥实现终端和服务端之间的敏感信息通信，敏感信息可以包括密钥对，以及终端自身的敏感信息，如用户数据等。
62.具体地，如图4所示，用户基于终端触发初始登录请求，依据分发的初始验证码进行初始登录，登录成功后，获取终端存储的服务端公钥，使用服务端公钥对用户信息(例如用户名)加密得到第一请求信息e
pk
(user)，发送第一请求信息至服务端，服务端响应第一请求信息，生成终端的验证码password。使用服务端用公钥对应的服务端私钥解密第一请求信息e
pk
(user)，得到用户信息user。基于用户名加密终端的验证码后，用服务端私钥对其进行签名，得到第一签名信息sig
sk
(e
user
(password))，并将第一签名信息发送至终端。
63.步骤204，接收服务端反馈的第一签名信息，使用服务端公钥对第一签名信息进行验证，获取验证码。
64.其中，服务端公钥和服务端私钥都可以用于加解密操作，用服务端公钥加密的数据只能由服务端私钥解密，用服务端私钥签名的数据只能由服务端公钥验证。
65.具体地，终端接收服务端反馈的第一签名信息后，使用服务端公钥对第一签名信息进行验证，验证后得到用户名加密的验证码。对用户名加密的验证码解密，得到验证码。
66.本实施例中，通过上述步骤，能够使得服务端生成验证码，并将该验证码通过加密的方式返回至终端，终端再使用服务端公钥对加密的验证码进行解密，使得终端安全地获得验证码。
67.步骤206，使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息。
68.具体地，终端标识可以为终端设备的通用唯一识别码uuid，使用服务端公钥pk对用户名user、验证码password，和终端设备的通用唯一识别码 uuid进行加密，得到第二请求信息e
pk
(user,password,uuid)。
69.步骤208，向服务端发送第二请求信息，服务端响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用户名、验证码和终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对第二用户验证信息进行签名，得到第二签名信息，将第二签名信息反馈至终端。
70.具体地，如图5所示，服务端接收第二请求信息e
pk
(user,password,uuid)后，使用服务端公钥对应的服务端私钥解密第二请求信息，得到用户名user、验证码password和终端标识，其中终端标识可以为终端设备的通用唯一识别码uuid。服务端验证用户名user和验证码password与存储的信息是否一致。若信息一致，则验证成功。验证成功后，服务端生成一个对称密钥key和会话编码sessionid，用终端的通用唯一识别码uuid对对称密钥key和会话编码sessionid进行加密操作，得到第二用户验证信息e
uuid
(key,sessionid)，再用服务端的私钥对第二用户验证信息进行签名，得到第二签名信息sig
sk
(e
uuid
(key,sessionid))，将第二签名信息 sig
sk
(e
uuid
(key,,sessionid))反馈至终端。
71.本实施例中，服务端对终端发送的第二请求信息进行了验证，实现了服务端对终端的认证。服务端用通用唯一识别码加密对称密钥后用自己的私钥进行签名是考虑到所有的终端都拥有服务端的公钥，所以其他的终端也可以对签名进行验证得到对称密钥，这样的通信是不安全的，因为只需要下载一个应用就可以截获其他应用与服务端的通信密钥。所以，需要用通用唯一识别码对密钥进行加密，这样只有发出通信请求的终端才能用通用唯一识别码解密得到通信密钥，即需要终端对服务端进行认证，认证通过后才能解密得到通信密钥。因此，保证了终端与服务器端的双向认证，保证了通信密钥的安全。
72.步骤210，接收服务端返回的第二签名信息，使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用终端标识解密第二用户验证信息，得到对称密钥。
73.具体地，终端接收第二签名信息sig
sk
(e
uuid
(key,sessionid))，并使用服务端私钥对应的服务端公钥对第二签名信息sig
sk
(e
uuid
(key,sessionid))进行验证，得到第二用户验证信息e
uuid
(key,sessionid)，使用终端的通用唯一识别码uuid对第二用户验证信息e
uuid
(key,essionid)进行解密，得到对称密钥key和会话编码 essionid。如此，终端获得服务端生成的对称密钥，用于后续终端与服务端之间的通信，对称密钥的获得经过了双重验证，即先用服务端私钥对应的服务端公钥对第二签名信息进行验证，再用终端的通用唯一识别码对第二用户验证信息进行解密，使得对称密钥具有可靠性。
74.步骤212，基于对称密钥对敏感信息进行加密，与服务端通信。
75.具体地，终端和服务端通信时，使用对称密钥key对传递的敏感信息进行加密得到加密的敏感信息c＝en
key
(message)，并将加密的敏感信息c发送至接收端，接收端接收加密的敏感信息c后，采用对称密钥key进行解密，得到传递的敏感信息。即message＝dec
key
(en
key
(massage))。
76.上述基于可信计算的5g移动终端的数据安全加固方法，响应于登录请求，终端和服务端基于服务端公钥和私钥进行双向验证，得到本次通信所需的对称密钥，确保了每次
通信所需的对称密钥是不同，即一次一密，确保了通信的前向安全和后向安全。终端和服务端基于服务端公钥和私钥进行双向验证的过程中，通过验证码、终端的通用唯一识别码和用户信息等多个信息维度的验证，使得只有发出通信请求的终端才能解密得到通信密钥，保证了终端与服务端的双向认证，使得终端和服务端间的通信更安全可靠。
77.在另一个实施例中，响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送第一请求信息，包括：使用服务端公钥对用户名和第一时间戳加密，生成第一请求信息；向服务端发送第一请求信息，服务端响应第一请求信息，生成验证码和第二时间戳，根据服务端公钥对应的服务端私钥解密第一请求信息，获得第一时间戳和用户名，保存用户名和验证码，使用用户名加密验证码和第二时间戳，得到加密的用户验证信息，使用服务端私钥对加密的用户验证信息进行签名，得到第一签名信息。终端接收第一签名信息，对其时间戳进行验证。
78.具体地，终端依据分发的初始验证码进行初始登录，登录成功后，访问终端安全区域存储的敏感信息以获取服务端公钥pk。终端使用服务端公钥对用户名user和第一时间戳加密timestamp1，生成第一请求信息e
pk
(user,timestamp1)。
79.将第一请求信息e
pk
(user,timestamp1)发送至服务端，服务端响应第一请求信息e
pk
(user,timestamp1)，生成验证码password和第二时间戳timestamp2。服务端使用服务端私钥对第一请求信息e
pk
(user,timestamp1)进行解密，得到用户名 user和第一时间戳timestamp1。保存用户名和验证码，并用用户名加密验证码 password和第二时间戳timestamp2生成e
user
(password,timestamp2)，用服务端私钥签名得到第一签名信息sig
sk
(e
user
(password,timestamp2))，并将第一签名信息发送至终端。
80.终端接收第一签名信息sig
sk
(e
user
(password,timestamp2))后，使用服务端私钥对应的服务端公钥对第一签名信息进行验证，验证后得到用户名加密的验证码和第二时间戳。对用户名加密的验证码和第二时间戳解密，得到验证码和第二时间戳。对时间戳的新鲜性进行验证，若第二时间戳和第一时间戳的差值小于预设时间值时，则验证成功，将验证码保存起来。
81.本实施例中，使用服务端公钥对用户名和第一时间戳加密，则加密的数据只能被服务端的私钥解密，因此，可以保证服务端公钥加密的数据的安全，避免加密的数据在传输过程被篡改。在终端和服务端的认证过程中，为了防止重放攻击，在验证信息中加入了时间戳，通过检验时间戳来确保信息的时效性。
82.在一个实施例中，获取服务端公钥的方式，包括：访问终端安全区域存储的加密服务端公钥，加密服务端公钥预先根据终端密钥生成；调用密钥生成服务基于终端的数字指纹生成对称密钥，根据终端对称密钥和终端标识生成敏感数据密钥；根据敏感数据密钥对加密服务端公钥解密，得到服务端公钥。
83.其中，数字指纹是物理不可克隆函数puf，是由特殊物理系统决定的一种单向函数，具有随机性和不可克隆性两个重要属性,其不可克隆性来源于物理设备生产过程中随机引入的不确定因素。采用cpu片内静态随机存储器sram为物理介质的puf，终端在制造商生产阶段中随机选取的一段具有唯一性的比特串s，sram特定区域利用物理特性将s存储，s仅在每次正常加电启动时被从sram puf组件中重现出来，并在安全区域内的密钥管理器安全缓存。
84.敏感数据密钥的生成流程如图6所示，系统加电启动sram，比特串s被重组。
85.比特串s作为输入，利用可信服务的密钥管理器的密钥生成函数kdf(keyderivationfunction)生成密钥k，即k
←
kdf(s)
86.利用密钥k和终端标识(终端标识可以为终端设备的通用唯一识别码uuid)异或生成敏感数据密钥k
data
，即
87.由敏感数据密钥k
data
采用对称加密算法aes加密得到存储在终端设备的安全区域中，因此，终端初始登录时，通过手机分发的验证码进行登录，终端登录成功后，通过访问终端安全区域存储的敏感信息m，调用敏感数据密钥生成的流程生成敏感数据密钥k
data
，来获取服务端公钥pk。
88.本实施例中，基于puf特性为敏感数据提供可信安全存储，并通过调用敏感数据密钥生成的流程得到敏感数据密钥k
data
，根据敏感数据密钥对敏感信息m解密，即对敏感数据密钥加密的服务端公钥解密，得到服务端公钥。
89.在一个实施例中，加密服务端密钥的方式，包括：响应于终端的启动指令，调用密钥生成服务基于终端的数字指纹生成终端密钥，根据终端密钥和终端标识生成敏感数据密钥；根据敏感数据密钥对服务端公钥进行加密，生成加密服务端公钥，将加密服务端公钥存储在终端设备的安全区域。
90.具体地，加密服务端公钥由敏感数据密钥k
data
对服务端公钥进行对称加密，得到将加密服务端公钥m存储在终端设备的安全区域中。
91.在本实施例中，用敏感数据密钥对服务端公钥进行加密，并将加密的公钥存储在安全区域，确保加密的服务端公钥在终端的安全，避免服务端公钥被盗。
92.在一个实施例中，使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息，包括：生成第三时间戳，使用服务端公钥对用户名、验证码、终端标识和第三时间戳加密，生成第二请求信息。
93.终端产生第三时间戳timestamp3，用服务器的公钥加密用户名、验证码、终端标识(如可以为通用唯一识别码)和第三时间戳生成第二请求信息e
pk
(user,password,uuid,timestamp3)，并将第二请求信息作为请求发送给服务器端。
94.服务端接收到第二请求信息时，响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，且第三时间戳有效，则生成对称密钥和会话编码。
95.具体地，服务端使用服务端私钥sk解密第二请求信息e
pk
(user,password,uuid,timestamp3)，得到用户名、验证码、终端标识和第三时间戳(user,password,uuid,timestamp3)，对比接收到的用户名、验证码与服务端存储的信息，若正确，对第三时间戳的新鲜性进行验证，若第三时间戳与第二时间戳的差值小于预设时间，则验证成功，服务端生成对称密钥和会话编码。
96.在本实施例中，使用服务端公钥加密得到的第二请求信息被服务端接收后，使用服务端私钥进行解密，保证了加密的信息只能由持有私钥的服务端得到，即通过服务端公钥安全地将用户名、验证码和终端标识发送至服务端，使得服务端可以使用终端标识对通信数据进行加密。服务端对解密得到的用户名和验证码进行验证，来实现服务端对终端身
份的验证。再对第三时间戳进行验证，以确保通信数据的时效性，来抵御重放攻击。
97.在一个实施例中，接收服务端返回的第二签名信息，使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用终端标识解密第二用户验证信息，得到对称密钥，包括：接收服务端的签名信息，使用服务端公钥对签名信息进行验证，提取加密的用户验证信息，解码加密的用户验证信息，得到对称密钥和第四时间戳；若第四时间戳有效，则存储对称密钥。
98.其中，第二签名信息是使用服务端私钥对第二用户验证信息签名的信息，即sig
sk
(e
uuid
(key,timestamp4,sessionid))。具体地，终端接收第二签名信息 sig
sk
(e
uuid
(key,timestamp4,sessionid))，使用服务端私钥sk对应的服务端公钥pk 对第二签名信息sig
sk
(e
uuid
(key,timestamp4,sessionid))进行验证，得到第二用户验证信息e
uuid
(key,timestamp4,sessiionid)，使用终端标识(终端标识可以为终端的通用唯一识别码uuid)解密第二用户验证信息e
uuid
(key,timestamp4,sessionid)，得到对称密钥key，若第四时间戳有效，即第四时间戳与第三时间戳的差值在预设范围内，则存储对称密钥。
99.本实施例中，使用服务端私钥对应的服务端公钥对第二签名信息进行验证，实现了对第二签名信息的发送者身份的验证。再使用终端的通用唯一识别码解密第二用户验证信息，使得其他持有服务端公钥的终端无法解密第二用户验证信息，保证第二用户验证信息只能由发出通信请求的终端解密，因此，只有发出通信请求的终端可以获取对称密钥。同时对加入的时间戳进行验证保证了通信的时效性，可以抵御重放攻击。
100.在一个实施例中，基于对称密钥对敏感信息进行加密，与服务端通信，包括：基于对称密钥对敏感信息进行加密，得到加密敏感信息；将加密敏感信息发送至服务端，服务端使用对称密钥对加密敏感信息进行解密，得到敏感信息。
101.具体地，敏感信息message，用对称密钥key加密后，得到加密敏感信息c＝ en
key
(message)。服务端使用对称密钥key解密加密敏感信息c，得到敏感信息message。
102.在本实施例中，利用对称密钥对敏感信息进行加密，使得终端与服务端之间可以安全传输敏感信息，有效避免敏感信息被盗用。
103.在一个实施例中，一种基于可信计算的5g移动终端的数据安全加固方法，如图7和图8所示，包括：
104.步骤702，构建可信移动终端体系。
105.trustzone技术是最具有特的是硬件隔离机制，将cpu内核隔离为安全和普通两个区域，trustzone安全区域能够为白名单系统核心模块提供隔离执行环境，具有对系统内存、外设的强大控制能力，能够对系统行为进行实时监控.它是在尽量不影响原有处理器设计的情况下提高了系统的安全性， trustzone技术目前广泛运用于移动嵌入式设备。
106.如图9所示，trustzone硬件架构包括两个虚拟处理器核：处理器核1用于处理安全区域，处理器核2用于处理普通区域。安全区域的软件资源和硬件资源与普通区域的软件资源和硬件资源隔离，普通区域的组件无法访问安全区域的软硬件资源。
107.安全区域和普通区域的切换由监控模式完成，监控模式的监控器相当于安全区域和普通区域的一个安全网关，确保切换时能安全地保存处理器切换前的环境，并且能够使切换后的环境正确地恢复系统运行。安全区域通过写程序状态寄存器可以直接进入监控模式；而普通区域要进入监控模式，需要中断、外部中断或调用smc指令。普通区域的进程只能
获得安全区域的服务，但不能访问安全区域的数据。
108.步骤704，建立可信软件基完整性度量机制。
109.把可信计算的信任关系从局部拓展到整个5g移动终端系统的信任链传递技术，是5g移动终端可信安全加固的主要技术，能大大提高终端系统的可信度。信任链的传递可以分为两个主要阶段，第一个阶段从终端的加电开始到操作系统装载完毕，第二阶段从操作系统开始运行以及应用程序的运行。在本发明中，为了构建完整可靠的信任链，需要在系统上电复位后，先从安全区域 bootloader开始执行，安全区域会对普通的bootloader进行验证，确保普通区域执行的代码经过授权而没有被篡改过，然后普通区域的bootloader会加载安全区域的操作系统，最后加载第三方应用，完成5g终端的启动。
110.如图10所示，从安全区域bootloader、普通区域bootloader、系统内核再到第三方应用，每个步骤都经过完整性验证，一级度量一级，一级确认一级，确保硬件和软件处于可信状态，实现5g移动终端整体可信。
111.步骤706，响应于登录请求，基于服务端公钥对用户信息和第一时间戳进行加密，得到第一请求信息，并向服务端发送第一请求信息，服务端响应第一请求信息生成验证码和第二时间戳，基于服务端公钥对应的服务端私钥解密第一请求信息，得到用户信息和第一时间戳，基于服务端私钥对用户信息、验证码和第二时间戳进行处理，得到第一签名信息，将第一签名信息反馈至终端。
112.步骤708，接收服务端反馈的第一签名信息，使用服务端公钥对第一签名信息进行验证，获取验证码和第二时间戳；对第二时间戳进行验证，若第二时间戳有效，则保存验证码。
113.步骤710，生成第三时间戳，使用服务端公钥对用户名、验证码、终端标识和第三时间戳加密，得到第二请求信息。
114.步骤712，向服务端发送第二请求信息，服务端响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用户名、验证码、终端标识和和第三时间戳，若接收到的用户名和验证码与存储的一致，且第三时间戳有效，生成对称密钥、会话编码和第四时间戳，使用终端标识对对称密钥、会话编码和第四时间戳进行加密，得到第二用户验证信息，使用服务端私钥对第二用户验证信息进行签名，得到第二签名信息，将第二签名信息反馈至终端。
115.步骤714，接收服务端返回的第二签名信息，使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用终端标识解密第二用户验证信息，得到对称密钥和第四时间戳；对第四时间戳进行验证，若第四时间戳有效，则保存对称密钥。
116.步骤716，基于对称密钥对敏感信息进行加密，与服务端通信。
117.在本实施例中，基于trustzone技术实现了5g终端的tcm可信密码模块，从构建可信移动终端体系、建立可信软件基完整性度量机制这两方面，保障终端的硬件安全。基于puf特性为敏感数据提供可信安全存储与通信，保障终端与服务端间的通信安全。
118.对应地，如图11所示，还提供了一种基于可信计算的5g移动终端的数据安全加固方法，应用于服务端，包括以下步骤：
119.步骤1102，接收终端发送的第一请求信息，第一请求信息由终端响应于登录请求，基于服务端公钥对用户信息进行加密得到；响应第一请求信息生成验证码；
120.步骤1104，基于服务端公钥对应的服务端私钥解密第一请求信息，得到用户信息，基于服务端私钥对用户信息和验证码进行处理，得到第一签名信息，将第一签名信息反馈至终端；由终端使用服务端公钥对第一签名信息进行验证，获取验证码，使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息，并将第二请求信息发送至服务端；
121.步骤1106，接收终端发送的第二请求信息；响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识；
122.步骤1108，若接收到的用户名和验证码与存储的一致，则生成对称密钥和会话编码；
123.步骤1110，使用终端标识对对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对第二用户验证信息进行签名，得到第二签名信息，将第二签名信息反馈至终端，由终端使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用终端标识解密第二用户验证信息，得到对称密钥；
124.步骤1112，基于对称密钥对敏感信息进行加密，与服务端通信。
125.应该理解的是，虽然上述的各实施例涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述的各实施例涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
126.基于同样的发明构思，本技术还提供了一种基于可信计算的5g移动终端的安全加固装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供一种基于可信计算的5g移动终端的安全加固装置实施例中的具体限定可以参见上文中对于基于可信计算的5g移动终端的安全加固方法的限定，在此不再赘述。
127.在一个实施例中，提供了基于可信计算的5g移动终端的安全加固装置，包括：发送模块、接收模块、验证码获取模块、加密模块、发送模块、密钥处理模块、通信模块，其中：
128.发送模块，用于响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送第一请求信息，服务端响应第一请求信息生成验证码，基于服务端公钥对应的服务端私钥解密第一请求信息，得到用户信息，基于服务端私钥对用户信息和验证码进行处理，得到第一签名信息，将第一签名信息反馈至终端。
129.接收模块，用于接收服务端反馈的第一签名信息。
130.验证码获取模块，用于使用服务端公钥对第一签名信息进行验证，获取验证码。
131.加密模块，用于使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息。
132.发送模块，还用于向服务端发送第二请求信息，服务端响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对第二用户验证信息进行签名，得到第二签名信息，将第二签名信息反馈至终端。
133.密钥处理模块，用于接收服务端返回的第二签名信息，使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用终端标识解密第二用户验证信息，得到对称密钥。
134.通信模块，用于基于对称密钥对敏感信息进行加密，与服务端通信。
135.在另一个实施例中，发送模块，用于使用服务端公钥对用户名和第一时间戳加密，生成第一请求信息；
136.向服务端发送第一请求信息，服务端响应第一请求信息，生成验证码和第二时间戳，根据服务端公钥对应的服务端私钥解密第一请求信息，获得第一时间戳和用户名，存储用户名和验证码，使用用户名加密验证码和第二时间戳，得到加密的用户验证信息，使用服务端私钥对加密的用户验证信息进行签名，得到第一签名信息。
137.在另一个实施例中，发送模块，还用于访问终端安全区域存储的加密服务端公钥，加密服务端公钥预先根据终端密钥生成；调用密钥生成服务基于终端的数字指纹生成密钥，根据终端密钥和终端标识生成敏感数据密钥；根据敏感数据密钥对加密服务端公钥解密，得到服务端公钥。
138.在另一个实施例中，发送模块，还用于响应于终端的启动指令，调用密钥生成服务基于终端的数字指纹生成终端密钥，根据终端密钥和终端标识生成敏感数据密钥；根据敏感数据密钥对服务端公钥进行加密，生成加密服务端公钥，将加密服务端公钥存储在终端设备的安全区域。
139.在另一个实施例中，加密模块，用于服务端接收到第二请求信息时，响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，且第三时间戳有效，则生成对称密钥和会话编码。
140.在另一个实施例中，密钥处理模块，用于接收服务端的第二签名消息信息，使用服务端公钥对第二签名消息信息进行验证，提取加密的第二用户验证信息，解码加密的第二用户验证信息，得到对称密钥和第四时间戳；若第四时间戳有效，则存储对称密钥验证码。
141.在另一个实施例中，通信模块，用于基于对称密钥对敏感信息进行加密，得到加密敏感信息；将加密敏感信息发送至服务端，服务端使用对称密钥对加密敏感信息进行解密，得到敏感信息。
142.对应地，还提供了一种基于可信计算的5g移动终端的数据安全加固方法装置，应用于服务端，包括：接收模块、发送模块、接收模块、解密模块、接收模块、密钥处理模块、通信模块，其中
143.接收模块，用于接收终端发送的第一请求信息，第一请求信息由终端响应于登录请求，基于服务端公钥对用户信息进行加密得到；响应第一请求信息生成验证码。
144.发送模块，用于基于服务端公钥对应的服务端私钥解密第一请求信息，得到用户信息，基于服务端私钥对用户信息和验证码进行处理，得到第一签名信息，将第一签名信息反馈至终端；由终端使用服务端公钥对第一签名信息进行验证，获取验证码，使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息，并将第二请求信息发送至服务端。
145.接收模块，接收终端发送的第二请求信息。
146.解密模块，响应第二请求信息，使用服务端私钥对第二请求信息进行解密，得到用
户名、验证码的终端标识。
147.密钥处理模块，用于若接收到的用户名和验证码与存储的一致，则生成对称密钥和会话编码；使用终端标识对对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对第二用户验证信息进行签名，得到第二签名信息，将第二签名信息反馈至终端，由终端使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用终端标识解密第二用户验证信息，得到对称密钥。
148.通信模块，用于基于对称密钥对敏感信息进行加密，与服务端通信。
149.上述控制基于可信计算的5g移动终端的安全加固装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
150.在一个实施例中，提供了一种计算机设备，该计算机设备可以是控制器，其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口和显示屏。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、 nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种基于可信计算的5g移动终端安全加固方法。该计算机设备的显示屏可以是液晶显示屏或电子墨水显示屏。
151.本领域技术人员可以理解，图12中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
152.在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各实施例中的基于可信计算的5g移动终端的数据安全加固方法的步骤。
153.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述各实施例中的基于可信计算的5g移动终端的数据安全加固方法的步骤。
154.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各实施例中的基于可信计算的5g移动终端的数据安全加固方法的步骤。
155.本领域普通技术人员可以理解实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器 (reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器
(ferroelectric random access memory，fram)、相变存储器 (phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(staticrandom access memory，sram)或动态随机存取存储器(dynamic randomaccess memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
156.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
157.以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：

1.一种基于可信计算的5g移动终端的数据安全加固方法，所述方法包括：响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息生成验证码，基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息反馈至终端；接收所述服务端反馈的所述第一签名信息；使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码；使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；向服务端发送所述第二请求信息，服务端响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对所述对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端；接收服务端返回的所述第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥；基于所述对称密钥对敏感信息进行加密，与所述服务端通信。2.根据权利要求1所述的方法，其特征在于，所述响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，包括：使用所述服务端公钥对用户名和第一时间戳加密，生成第一请求信息；向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息，生成验证码和第二时间戳，根据所述服务端公钥对应的服务端私钥解密所述第一请求信息，获得所述第一时间戳和用户名，存储所述用户名和验证码，使用用户名加密验证码和第二时间戳，得到加密的用户验证信息，使用服务端私钥对所述加密的用户验证信息进行签名，得到第一签名信息。3.根据权利要求1或2所述的方法，其特征在于，获取所述服务端公钥的方式，包括：访问终端安全区域存储的加密服务端公钥，所述加密服务端公钥预先根据终端密钥生成；调用密钥生成服务基于终端的数字指纹生成密钥，根据所述终端密钥和终端标识生成敏感数据密钥；根据所述敏感数据密钥对所述加密服务端公钥解密，得到服务端公钥。4.根据权利要求3所述的方法，其特征在于，加密所述服务端密钥的方式，包括：响应于终端的启动指令，调用密钥生成服务基于终端的数字指纹生成终端密钥，根据所述终端密钥和终端标识生成敏感数据密钥；根据所述敏感数据密钥对服务端公钥进行加密，生成加密服务端公钥，将所述加密服务端公钥存储在终端设备的安全区域。5.根据权利要求1所述的方法，其特征在于，所述使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息，包括：生成第三时间戳，使用服务端公钥对用户名、验证码、终端标识和所述第三时间戳加
密，生成第二请求信息；所述服务端接收到所述第二请求信息时，响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，且所述第三时间戳有效，则生成对称密钥和会话编码。6.根据权利要求2所述的方法，其特征在于，所述接收服务端返回的第二签名信息，使用服务端公钥对第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥，包括：接收服务端的第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取加密的第二用户验证信息，解码所述加密的第二用户验证信息，得到对称密钥和第四时间戳；若所述第四时间戳有效，则存储所述对称密钥。7.根据权利要求1所述的方法，其特征在于，所述基于所述对称密钥对敏感信息进行加密，与所述服务端通信，包括：基于所述对称密钥对敏感信息进行加密，得到加密敏感信息；将所述加密敏感信息发送至服务端，所述服务端使用所述对称密钥对所述加密敏感信息进行解密，得到所述敏感信息。8.一种基于可信计算的5g移动终端的数据安全加固方法，其特征在于，所述方法包括：接收终端发送的第一请求信息，所述第一请求信息由终端响应于登录请求，基于服务端公钥对用户信息进行加密得到；响应所述第一请求信息生成验证码；基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息反馈至终端；由所述终端使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码，使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息，并将所述第二请求信息发送至所述服务端；接收终端发送的所述第二请求信息；响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识；若接收到的用户名和验证码与存储的一致，则生成对称密钥和会话编码；使用终端标识对所述对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端，由所述终端使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥，基于所述对称密钥对敏感信息进行加密，与所述服务端通信。9.一种基于可信计算的5g移动终端的数据安全加固装置，所述装置包括：发送模块，用于响应于登录请求，基于服务端公钥对用户信息进行加密，得到第一请求信息，并向服务端发送所述第一请求信息，所述服务端响应所述第一请求信息生成验证码，基于所述服务端公钥对应的服务端私钥解密所述第一请求信息，得到用户信息，基于所述服务端私钥对所述用户信息和验证码进行处理，得到第一签名信息，将所述第一签名信息
反馈至终端；接收模块，用于接收所述服务端反馈的所述第一签名信息；验证码获取模块，用于使用所述服务端公钥对所述第一签名信息进行验证，获取所述验证码；加密模块，用于使用服务端公钥对用户名、验证码和终端标识加密，得到第二请求信息；发送模块，还用于向服务端发送所述第二请求信息，服务端响应所述第二请求信息，使用所述服务端私钥对第二请求信息进行解密，得到用户名、验证码的终端标识，若接收到的用户名和验证码与存储的一致，生成对称密钥和会话编码，使用终端标识对所述对称密钥和会话编码进行加密，得到第二用户验证信息，使用服务端私钥对所述第二用户验证信息进行签名，得到第二签名信息，将所述第二签名信息反馈至终端；密钥处理模块，用于接收服务端返回的所述第二签名信息，使用所述服务端公钥对所述第二签名信息进行验证，提取第二用户验证信息，使用所述终端标识解密所述第二用户验证信息，得到对称密钥；通信模块，用于基于所述对称密钥对敏感信息进行加密，与所述服务端通信。10.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。

技术总结

本申请涉及一种基于可信计算的5G移动终端安全加固方法、装置、计算机设备、存储介质和计算机程序产品。该方法响应于登录请求，终端和服务端基于服务端公钥和服务端私钥进行双向验证，得到本次通信所需的对称密钥，确保了每次通信所需的对称密钥是不同的，即一次一密，确保了通信的前向安全和后向安全。终端和服务端基于服务端器公钥和私钥进行双向验证的过程中，通过验证码、终端标识和用户信息等多个信息维度的验证，使得只有发出通信请求的终端才能解密得到通信密钥，保证了终端与服务器端的双向认证，使得终端和服务端间的通信更安全可靠。安全可靠。安全可靠。