CN104468562B - 一种面向移动应用透明的数据安全保护便携式终端 - Google Patents
一种面向移动应用透明的数据安全保护便携式终端 Download PDFInfo
- Publication number
- CN104468562B CN104468562B CN201410725572.6A CN201410725572A CN104468562B CN 104468562 B CN104468562 B CN 104468562B CN 201410725572 A CN201410725572 A CN 201410725572A CN 104468562 B CN104468562 B CN 104468562B
- Authority
- CN
- China
- Prior art keywords
- encryption
- file
- decryption
- client component
- decryption module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000003860 storage Methods 0.000 claims abstract description 10
- 239000000306 component Substances 0.000 claims description 65
- 230000006870 function Effects 0.000 claims description 35
- 230000000739 chaotic effect Effects 0.000 claims description 18
- 238000012360 testing method Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 11
- 239000008358 core component Substances 0.000 claims description 10
- 238000000034 method Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000008878 coupling Effects 0.000 claims description 2
- 238000010168 coupling process Methods 0.000 claims description 2
- 238000005859 coupling reaction Methods 0.000 claims description 2
- 230000009467 reduction Effects 0.000 claims description 2
- 230000004044 response Effects 0.000 claims description 2
- 239000000725 suspension Substances 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000005265 energy consumption Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 208000020442 loss of weight Diseases 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000009993 protective function Effects 0.000 description 1
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 1
- 238000013517 stratification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种面向移动应用透明的数据安全保护便携式终端,该终端主要分为二个部分:数据加解密模块部分,该部分使用TPM(可信赖平台模块)和支持国际标准加密算法的芯片,实现了高速硬件数据加解密运算,通过蓝牙或无线网络向外提供文件加解密服务,同时该部分基于可信计算架构,实现了用户、本发明终端、移动设备的三方可信认证;移动设备客户端部分,该部分基于蓝牙或无线网络调用本发明加解密模块提供的数据加解密服务,同时实现了一个本地的远程文件系统服务,向移动应用提供数据文件存取服务,存储的数据由该部分调用加解密服务予以加密,取出的数据则由该部分予以解密,从而实现了面向移动应用的透明加解密。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种面向移动应用透明的数据安全保护便携式终端。
背景技术
伴随着手机、PAD等移动设备性能的大幅提升,移动应用也成为飞速发展的新兴计算模式,同时移动应用涉及的范围也呈现出快速的扩张趋势。移动应用不仅包括即时通讯,娱乐等方面,还包括移动支付、移动办公、数据存储、远程数据访问等方面的应用,且这些方面的应用大多会涉及到高价值具有隐私性的数据。移动设备存储的此类数据面临着特殊的安全风险,如:移动终端易于丢失、被窃、被盗用等。由于移动终端在计算资源与能力上有限,现有信息安全防范技术难以应用在移动平台下。
信息安全一直是信息社会关注的焦点,信息泄密或被窃取会给用户或社会造成严重的财产损失。特别是伴随着移动应用的发展,使用移动设备的用户面临着越来越大的信息安全风险。这方面的原因在于:
1.移动设备一般都含有个人重要的隐私数据,比如照片,个人通讯录,存储的个人文档等,这些信息泄密或失窃会给用户造成严重的困扰;
2.移动设备与传统计算机不同,在计算资源,能耗方面有限制,运算能力也有限,容易被盗用,窃取和丢失,每年都有用户因手机丢失而造成信息泄密。
因此,传统计算机平台中安全防护技术,如杀毒软件不完全适应于移动应用平台,而普通的加解密软件,必须要通过人工操作手工加密和解密,会影响移动应用的使用。
发明内容
本发明的目的是:为了解决移动应用环境中数据面临的安全威胁,本发明提出一种面向移动应用透明的数据安全保护便携式终端,通过该终端提供的专用加解密芯片实现高速高强度的远程数据加解密,同时利用本发明实现的位于移动设备的客户端组件实现远程文件系统服务作为中介,结合本发明实现的加解密模块,向上层移动应用提供远程文件访问服务,基于该服务实现面向移动应用透明的数据加解密服务。本发明还借助加解密模块实现了用户、设备、终端模块三方的可信身份认证,解决了移动设备遗失、盗用等情况下造成数据泄密问题。
本发明的技术方案是:一种面向移动应用透明的数据安全保护便携式终端,包括二个部 分,一部分是独立的电子设备即本系统中的加解密模块,另一部分是位于移动设备的客户端组件;实现基于可信计算的三方身份认证,所述三方为用户身份、移动设备和加解密模块;具体认证方法如下:
(1)加解密模块加电自检,通过自检后,开启认证服务端口,等待客户端组件认证;
(2)客户端组件启动,要求用户输入认证密码,同时收集移动设备核心部件ID标识,组成移动设备认证信息块,与用户认证密码、认证时间戳、随机数合并形成认证请求数据块;再使用客户端组件初始化时获取的终端模块的TPM公钥予以加密,发送至加解密模块认证服务端口;
(3)加解密模块接收到认证请求数据块后,使用TPM私钥予以解密,并获取初始化时设置的用户密码和设备核心部件ID标识,与解密后的认证请求数据块中的用户认证密码和设备核心部件ID标识进行对比,无误后,更新当前客户端时间戳,并将认证时间戳与随机数使用TPM私钥加密后发回客户端组件;
(4)客户端组件接受到加密后的认证返回信息后,使用TPM公钥进行解密,核对随机数与时间戳无误后,完成用户身份、移动设备、加解密模块的可信三方认证,启动客户端组件的本地远程文件系统服务,实现移动设备本地的应用访问由客户端组件加密的文件。
进一步的,所述移动设备本地的应用访问由客户端组件加密的密文时,需对加密的文件进行数据透明解密,具体步骤如下:
步骤1、客户端组件响应移动应用发送的远程文件访问请求,查询其远程文件系统服务中是否存在有被请求的文件,若有,则将远程文件访问请求暂时挂起;
步骤2、客户端组件扫描被请求文件的加密头、加密尾,结合组件存储的移动设备认证信息块,本地时间戳,由加解密模块的TPM公钥加密后,向加解密模块发送文件解密请求;
步骤3、加解密模块接受到文件解密请求后,利用自身TPM私钥解密,解密后,先对时间戳进行判断,若本次解密请求与上次解密请求认证时间间隔超过预定值,则再次进行三方身份认证,若否,则对移动设备认证信息块进行认证,认证通过,根据文件加密头信息,在文件加密信息表中查找对应的混沌函数参数;
步骤4、加解密模块使用混沌函数参数,实现对加密尾还原,获取其中保存的文件对称加密密钥,向客户端组件发送加密文件解密命令;
步骤5、客户端组件再接收到加密文件解密命令后,向加解密模块发送被请求文件,由加解密模块解密后发回;
步骤6、客户端组件获得明文后,返回移动应用的远程文件访问请求,在后继应用中将 其移动应用对文件的访问重定向到解密后的明文,同时实现对远程文件访问的监控。
进一步的,步骤3中所述的文件加密信息表,是由加解密模块中保存的加密文件信息,包括加密文件头,加密文件尾使用的混沌函数参数,其中加密文件头为256位的随机二进制数,混沌函数参数是混沌函数的初值。
进一步的,所述加密的文件进行数据透明解密后需对其进行数据加密,及所述的远程文件访问监控,具体步骤如下:
步骤1、利用客户端组件中存储的远程文件访问记录,监控上层移动应用对文件的访问活动情况;
步骤2、当在设定的时间段范围内,存在有某个被打开已解密的文件没有被再次访问,则将其明文存储后,向加解密模块发送文件加密请求,包括被解密文件的加密文件头、移动设备认证信息块、本地时间戳,由加解密模块的TPM公钥加密后发送至加解密模块;
步骤3、加解密模块接收请求,解密后,通过对移动设备的认证,获取加密文件头,生成新的加密密钥以及混沌函数参数,重置其加密信息表中的相关信息,向客户端组件发送加密明文命令;
步骤4、客户端组件再接收到命令后,将待加密的明文及其文件加密头传送到加解密模块,加解密模块通过查询文件加密头获得其新的加密密钥,对文件内容进行对称加密;
步骤5、加密完成后,将其对称密钥使用混沌函数混沌后形成加密文件尾,再将其加密文件头,文件体和文件尾,合并成加密文件,发回终端模块;
步骤6、客户端组件再接收加密的密文之后则会直接删除其明文,完成透明解密;
步骤7、对于上层移动应用新生成的明文文件,则在客户端组件监控下超过一段时间范围内未被访问,则由客户端组件生成加密文件头,再如上述步骤2发送文件加密请求,随后步骤与上述步骤3、4、5、6一致。
进一步的,步骤1中所述的远程文件访问记录,记录客户端组件实现的远程文件系统中各文件被远程访问的时间、该文件的加密头、该文件的明文路径,实现各文件被访问的时间间隔统计,以及远程文件访问重定向。
进一步的,所述的客户端组件向加解密模块发送加密与解密请求有任一次未满足条件,则客户端组件会删除其远程文件服务系统中所有的正在使用的重定向的明文;同理,客户端组件会在每次启动中,删除所有的重写向明文。
进一步的,所述三方身份认证由位于加解密模块之上的TPM芯片实现,所述TPM芯片中存储有一对不可改写的非对称加密密钥,其中私钥由芯片电路保护无法读取,并具有非对称 加密算法。
进一步的,步骤(1)中所述加解密模块加电自检,包括:
根据权利要求1所述的一种面向移动应用透明的数据安全保护便携式终端,其特征在于:步骤(1)中所述加解密模块加电自检,包括:
(1)测试TPM芯片的公私钥有无修改;若无,则进行步骤(2);若有,则说明便携式终端已被破坏,清空终端存储的所有数据;
(2)测试预存的用户口令与移动设备核心部件标识是否完整;若完整,则可进入步骤(3);若不完整,则发出警报信息,提示用户口令出错或非匹配移动设备;
(3)测试保存的文件加密信息表中信息是否完整;若完整,则正常启动;若不完整,则警报文件加密信息被破坏,请用户注意。
本发明的有益效果如下:
1.实现了一种新的移动应用数据安全保护模式
本发明实现一个新的移动应用数据安全保护模式,与其它类似的移动安全防护软件不一样,本发明采用基于可信计算的框架实现用户、移动设备与本发明终端的三方可信身份认证。由此,即使是用户的移动设备与本发明终端一起丢失,失窃,也会因为无用户口令通不过身份认证,不会造成对移动设备内应用数据的泄密。这种数据安全保护模式是仅通过加解密软件或杀病毒软件是无法实现的。
2.实现了面向移动应用透明的数据加解密技术
本发明实现了面向移动应用功能无关的数据加解密技术,由于本发明客户端组件采用远程文件系统服务的方式来提供文件访问服务,在系统内部实现文件的加解密与访问重定向,由此,使得本发明终端能兼容现有各类移动应用,不会干扰上层移动应用对数据的正常使用。
3.解决移动设备在数据安全保护方面的资源限制
本发明实现的终端采用远程加解密服务的方式,不需要使用移动设备的计算资源和能源,同时使用专用的加解密芯片,具有高速高强度的加解密运算能力,因此本发明解决了移动设备在数据安全保护方面的计算资源与能耗限制,实现高强度的数据加密安全保护。
4.实现传统计算机安防软件不具备的扩展功能
由于本发明采用软硬件结合的终端模块方式来实现对移动应用数据的保护,将保护功能转换成远程访问的数据安全服务,由此可以通过对本发明模块添加不同硬件资源,扩展数据安全保护服务的方式实现对本发明终端的保护功能进行扩展,满足不同移动应用场景的数据保护需求,这也是传统计算机安防软件所不具备的。
附图说明
图1本发明加解密模块硬件组成示意图。
图2是可信三方认证流程图。
图3是与应用无关的加解密操作流程图。
具体实施方式
下面结合附图对本发明做进一步的说明。
本发明具体的实施方式分成二个部分,一部分是硬件设备,一部分是软件,其中本发明的硬件架构如图1所示,包括:
1.主控芯片为嵌入式ARM系列芯片,以满足项目功能对运算能力的需求。
2.可信赖芯片TPM以及加密芯片Enc,这两部分芯片实现本发明的可信推理支持,其中TPM采用的是专用的芯片,内存一密钥包括相应的加解密计算能力,由特殊的芯片电路保护不被非法窃取,ENC芯片是通用的加解密芯片,提供本发明终端所需的各类加密计算支持。
3.内存芯片及FLASH存储:其中FLASH芯片主要是用于终端的持久存储器,主要是用以存储TPM加密过的用户指纹或口令、移动终端唯一认证信息以及文件加密表,由于本发明终端需要对大数据量进行加解密,因此需要扩展一定的内存满足大数据量运算需求。
4.通讯接口:本发明终端支持二种数据通讯,一种是BLUETOOTH,用于终端与移动设备的数据交互,选择蓝牙作为数据交互的通讯接口是因为蓝牙有一定的距离限制,可以限定绑定的移动终端与本项目产品的距离,另一方面是蓝牙功率较低可以降低数据交互带来的能耗。另外一种是USB主要是用于充电以及与计算机的数据交互接口;
5.其它电路模块主要有电源模块以及显示与控制电路,分别用于电源管理以及手动命令与状态显示功能。
本发明的软件架构主要分成以下模块,层次化构建实现有:
1.数据加解密库:基于专用的加解密芯片接口,实现的包含多类国际通用标准数据加解密算法类库。
2.底层通讯接口模块,主要是实现本发明终端的加解密模块与客户端组件之间的无线通讯;
3.远程文件系统服务模块,该模块主要是实现客户端组件提供的远程文件系统访问服务,通过挂载到本地文件系统,向上层移动应用提供远程文件访问服务,并在服务过程中实现透明加解密。
4.远程文件访问监控管理模块,该模块主要实现移动设备本地应用对远程文件系统中明 文的访问监控,长期未使用的明文将会在被保存加密后删除。
5.远程加解密服务模块,该模块实现的本发明终端的加解密模块向外提供的远程加解密服务,通过响应移动设备的客户端组件的加解密请求,实现对移动应用数据的加解密保护。
6.三方身份认证模块,该模块由本发明客户端组件与加解密模块配合实现三方可信身份认证。
具体的:一种面向移动应用透明的数据安全保护便携式终端,包括二个部分,一部分是加解密模块,另一部分是位于移动设备的客户端组件;
所述加解密模块包括:
a.远程加解密服务功能,所述远程加解密服务功能实现了基于无线通讯接口访问的数据加解密服务,由二个模块分层次组成:
(a1)底层的加解密运算功能是通过位于加解密模块之上的专用加密芯片实现的,所述专用加密芯片可实现多种的国际标准加密算法;
(a2)中层是基于专用加密芯片调用接口实现的国际标准的加解密算法如,DES,RSA等,这些算法组成软件包,提供向上层的数据加解密功能;
b.远程文件加解密服务如图3所示,所述远程文件加解密服务调用中层提供的数据加解密功能,以及加解密模块的无线通讯接口,向外提供远程可访问的数据文件加解密服务,具体步骤如下:
(b1)客户端组件向加解密模块发送数据文件加解密服务请求,请求中包括移动设备的核心部件标识、待加密或解密文件加密头、文件加密尾、当前时间戳,使用加解密模块的TPM公钥将数据文件加解密服务请求加密;
(b2)加解密模块在接受到请求之后,使用TPM私钥解密,验证设备核心部件标识通过之后,再验证请求时间,若距离上次请求时间超过预定值,则返回重新请求认证消息;若否,则返回加解密请求允许消息,进入步骤(b3);
(b3)若是加密请求,则进入步骤(b4);若是解密请求,则进入步骤(b5);
(b4)若是加密请求,加解密模块生成新的混沌函数参数,再根据文件加密头,查找文件加密信息表中有无该文件,若有则更新该文件对应的混沌函数参数,若无则插入新的纪录,包括该文件加密头以及对应的混沌函数参数,再对待加密文件加密,对加密后的密文,加上文件加密头,文件加密尾,添加在密文后,发回客户端组件;
(b5)若是解密请求,加解密模块根据文件加密头,查找文件加密信息表,获取该文件对应的混沌函数参数,使用混沌函数参数还原文件加密尾,获得其对称加密密钥,对待解密 文件进行解密后,发回客户端组件;
c.基于可信计算的三方身份认证如图2所示,所述三方身份认证可实现用户、移动设备和加解密模块的三方身份认证,确保合法的用户通过位于合法的移动设备来使用合法的加解密模块的数据保护功能,具体步骤如下:
(c1)身份认证的校验功能由位于加解密模块之上的TPM芯片实现,TPM芯片中存储有一对不可改写的非对称加密密钥,其中私钥由芯片电路保护无法读取,并具有非对称加密算法;
(c2)加解密模块在完成自检后,等待客户端组件发出验证请求,在验证请求中包括客户端获取的用户密码、客户端所在移动平台的核心部件标识,以及随机数与当前时间戳,并通过初始化时获取的TPM公钥将验证请求加密后,发送至加解密模块身份验证端口;
(c3)加解密模块在接得验证请求信息之后,使用自身的TPM私钥解密,获得待认证的用户口令和待认证的移动设备核心部件标识,并加以验证,验证通过后,更新当前客户端时间戳,并将随机数使用自身的私钥加密后发回客户端组件;
(c4)客户端组件在使用TPM公钥解开被加密的验证返回消息,核对随机数,核对无误,完成验证。
d.加解密模块自检功能,该部分功能是实现加解密模块在上电后对自身内保存的加密信息表,用户与设备认证信息的完整性校验,保护加解密模块的自身安全性:
(d1)上电自检后,测试TPM芯片的公私钥有无修改;若无,则进行步骤(2);若有,则说明便携式终端已被破坏,清空终端存储的所有数据;
(d2)测试预存的用户口令与移动设备核心部件标识是否完整;若完整,则可进入步骤(3);若不完整,则发出警报信息,提示用户口令出错或非匹配移动设备;
(d3)测试保存的文件加密信息表中信息是否完整;若完整,则正常启动;若不完整,则警报文件加密信息被破坏,请用户注意。
所述移动设备客户端组件包括:
a.远程文件系统服务,所述远程文件系统服务功能实现移动设备本地的应用通过远程文件系统访问端口来访问由客户端组件加密的密文,在该文件系统服务中,客户端组件一方面实现对密文访问的监管,另一方面在系统内部实现文件的透明加解密,具体步骤如下:
(a1)客户端组件打开远程文件系统服务挂载至移动设备文件系统中,接受上层移动应用发送的远程文件系统访问请求;
(a2)客户端组件接受到远程文件系统访问请求后,验证为本地设备移动应用请求后, 在文件监控表中查找是否有请求对应的文件;
(a3)若有,则获取其对应的密文的文件路径,获取密文加密文件头,加密文件尾,以及当前系统时间,存储的移动设备核心部件标识,使用加解密模块的TPM公钥加密后发送至加解密模块;
(a4)接收加解密模块返回的服务允许消息,发送密文或明文至加解密模块,由加解密模块加密或解密后,获得加密后的密文或解密后的密文;
(a5)返回上层移动应用的远程文件服务请求;
b.文件使用监控,所述文件使用监控功能实现了当前客户端管理的远程文件系统服务内被打开的明文管理,及时删除长时间未被使用的明文,以保存明文数据安全;
(b1)在客户端启动初始,删除所有远程文件系统服务中存储的明文;
(b2)客户端组件周期性的扫描文件使用表,若文件使用表中存在有明文的访问时间超过预定值,则保存该明文,向加解密模块发出加密请求;
(b3)获得加密后的密文,更新其密文路径,后删除明文;
c.基于可信计算的三方身份认证功能,所述三方身份认证功能实现向加解密模块发出用户与设备认证请求,同时认证加解密模块的身份,实现的过程如上加解密模块的三方身份认证实现。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (7)
1.一种面向移动应用透明的数据安全保护便携式终端,其特征在于:包括二个部分,一部分是加解密模块,另一部分是位于移动设备的客户端组件;实现基于可信计算的三方身份认证,所述三方为用户身份、移动设备和加解密模块;具体认证方法如下:
(1)加解密模块加电自检,通过自检后,开启认证服务端口,等待客户端组件认证;
(2)客户端组件启动,要求用户输入认证密码,同时收集移动设备核心部件ID标识,组成移动设备认证信息块,与用户认证密码、认证时间戳、随机数合并形成认证请求数据块;再使用客户端组件初始化时获取的终端模块的TPM公钥予以加密,发送至加解密模块认证服务端口;
(3)加解密模块接收到认证请求数据块后,使用TPM私钥予以解密,并获取初始化时设置的用户密码和设备核心部件ID标识,与解密后的认证请求数据块中的用户认证密码和设备核心部件ID标识进行对比,无误后,更新当前客户端时间戳,并将认证时间戳与随机数使用TPM私钥加密后发回客户端组件;
(4)客户端组件接受到加密后的认证返回信息后,使用TPM公钥进行解密,核对随机数与时间戳无误后,完成用户身份、移动设备、加解密模块的可信三方认证,启动客户端组件的本地远程文件系统服务,实现移动设备本地的应用访问由客户端组件加密的文件,具体步骤如下:
步骤1、客户端组件响应移动应用发送的远程文件访问请求,查询其远程文件系统服务中是否存在有被请求的文件,若有,则将远程文件访问请求暂时挂起;
步骤2、客户端组件扫描被请求文件的加密头、加密尾,结合组件存储的移动设备认证信息块,本地时间戳,由加解密模块的TPM公钥加密后,向加解密模块发送文件解密请求;
步骤3、加解密模块接受到文件解密请求后,利用自身TPM私钥解密,解密后,先对时间戳进行判断,若本次解密请求与上次解密请求认证时间间隔超过预定值,则再次进行三方身份认证,若否,则对移动设备认证信息块进行认证,认证通过,根据文件加密头信息,在文件加密信息表中查找对应的混沌函数参数;
步骤4、加解密模块使用混沌函数参数,实现对加密尾还原,获取其中保存的文件对称加密密钥,向客户端组件发送加密文件解密命令;
步骤5、客户端组件在接收到加密文件解密命令后,向加解密模块发送被请求文件,由加解密模块解密后发回;
步骤6、客户端组件获得明文后,返回移动应用的远程文件访问请求,在后继应用中将其移动应用对文件的访问重定向到解密后的明文,同时实现对远程文件访问的监控。
2.根据权利要求1所述的一种面向移动应用透明的数据安全保护便携式终端,其特征在于:步骤3中所述的文件加密信息表,是加解密模块中保存的加密文件信息,包括加密文件头,加密文件尾使用的混沌函数参数,其中加密文件头为256位的随机二进制数,混沌函数参数是混沌函数的初值。
3.根据权利要求2所述的一种面向移动应用透明的数据安全保护便携式终端,其特征在于:所述加密的文件进行数据透明解密后需对其进行数据加密,及所述的远程文件访问监控,具体步骤如下:
1)、利用客户端组件中存储的远程文件访问记录,监控上层移动应用对文件的访问活动情况;
2)、当在设定的时间段范围内,存在有某个被打开已解密的文件没有被再次访问,则将其明文存储后,向加解密模块发送文件加密请求,包括被解密文件的加密文件头、移动设备认证信息块、本地时间戳,由加解密模块的TPM公钥加密后发送至加解密模块;
3)、加解密模块接收请求,解密后,通过对移动设备的认证,获取加密文件头,生成新的加密密钥以及混沌函数参数,重置其加密信息表中的相关信息,向客户端组件发送加密明文命令;
4)、客户端组件在接收到命令后,将待加密的明文及其文件加密头传送到加解密模块,加解密模块通过查询文件加密头获得其新的加密密钥,对文件内容进行对称加密;
5)、加密完成后,将其对称密钥使用混沌函数混沌后形成加密文件尾,再将其加密文件头,文件体和文件尾,合并成加密文件,发回客户端组件;
6)、客户端组件再接收加密的密文之后则会直接删除其明文,完成透明解密;
7)、对于上层移动应用新生成的明文文件,则在客户端组件监控下超过一段时间范围内未被访问,则由客户端组件生成加密文件头,再如上述步骤2)发送文件加密请求,随后步骤与上述步骤3)、4)、5)、6)一致。
4.根据权利要求3所述的一种面向移动应用透明的数据安全保护便携式终端,其特征在于:步骤1中所述的远程文件访问记录,记录客户端组件实现的远程文件系统中各文件被远程访问的时间、该文件的加密头、该文件的明文路径,实现各文件被访问的时间间隔统计,以及远程文件访问重定向。
5.根据权利要求1或3所述的一种面向移动应用透明的数据安全保护便携式终端,其特征在于:所述的客户端组件向加解密模块发送加密与解密请求有任一次未满足条件,则客户端组件会删除其远程文件服务系统中所有的正在使用的重定向的明文;同理,客户端组件会在每次启动中,删除所有的重写向明文。
6.根据权利要求1所述的一种面向移动应用透明的数据安全保护便携式终端,其特征在于:所述三方身份认证由位于加解密模块之上的TPM芯片实现,所述TPM芯片中存储有一对不可改写的非对称加密密钥,其中私钥由芯片电路保护无法读取,并具有非对称加密算法。
7.根据权利要求1所述的一种面向移动应用透明的数据安全保护便携式终端,其特征在于:步骤(1)中所述加解密模块加电自检,包括:
(1-1)测试TPM芯片的公私钥有无修改;若无,则进行步骤(1-2);若有,则说明便携式终端已被破坏,清空终端存储的所有数据;
(1-2)测试预存的用户口令与移动设备核心部件标识是否完整;若完整,则可进入步骤(1-3);若不完整,则发出警报信息,提示用户口令出错或非匹配移动设备;
(1-3)测试保存的文件加密信息表中信息是否完整;若完整,则正常启动;若不完整,则警报文件加密信息被破坏,请用户注意。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410725572.6A CN104468562B (zh) | 2014-12-03 | 2014-12-03 | 一种面向移动应用透明的数据安全保护便携式终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410725572.6A CN104468562B (zh) | 2014-12-03 | 2014-12-03 | 一种面向移动应用透明的数据安全保护便携式终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104468562A CN104468562A (zh) | 2015-03-25 |
| CN104468562B true CN104468562B (zh) | 2017-12-15 |
Family
ID=52913934
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410725572.6A Expired - Fee Related CN104468562B (zh) | 2014-12-03 | 2014-12-03 | 一种面向移动应用透明的数据安全保护便携式终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104468562B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067749A (zh) * | 2018-08-13 | 2018-12-21 | 深信服科技股份有限公司 | 一种信息处理方法、设备及计算机可读存储介质 |
| CN110879713B (zh) * | 2018-09-06 | 2023-06-20 | 山东华软金盾软件股份有限公司 | 一种android端强加密插件热更新管理方法 |
| CN109218307A (zh) * | 2018-09-13 | 2019-01-15 | 中通国脉物联科技南京有限公司 | 一种客户端身份认证的方法 |
| CN109670325B (zh) * | 2018-12-21 | 2023-03-28 | 北京思源理想控股集团有限公司 | 一种配置文件加解密的装置及其方法 |
| CN110059466B (zh) * | 2019-04-03 | 2023-04-18 | 超越科技股份有限公司 | 一种安全可信卡的实现方法,安全可信卡及系统 |
| CN110598429B (zh) * | 2019-08-30 | 2021-07-13 | 百富计算机技术(深圳)有限公司 | 数据加密存储和读取的方法、终端设备及存储介质 |
| CN111475832B (zh) * | 2020-06-24 | 2021-01-12 | 腾讯科技(深圳)有限公司 | 一种数据管理的方法以及相关装置 |
| CN113747429B (zh) * | 2021-08-30 | 2023-11-24 | 国网江苏省电力有限公司无锡供电分公司 | 一种继电保护装置无线数据加解密系统及其方法 |
| CN114553594B (zh) * | 2022-03-24 | 2024-05-14 | 浙江网商银行股份有限公司 | 保护数据安全的方法以及装置 |
| CN115208620B (zh) * | 2022-05-27 | 2024-03-29 | 福建汇思博数字科技有限公司 | 一种文件加密方法与设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1592197A (zh) * | 2003-09-01 | 2005-03-09 | 台均实业有限公司 | 用户端设备与本地客户端应用或远程网络服务间鉴权的方法 |
| WO2007088273A2 (fr) * | 2006-01-31 | 2007-08-09 | Thomson Licensing | Methode de gravure et de distribution de donnees numeriques et dispositif associe |
| CN102082660A (zh) * | 2010-11-17 | 2011-06-01 | 北京曙光天演信息技术有限公司 | 一种在加密卡上实现网络通信的方法和一种具有网络接口的加密卡 |
-
2014
- 2014-12-03 CN CN201410725572.6A patent/CN104468562B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1592197A (zh) * | 2003-09-01 | 2005-03-09 | 台均实业有限公司 | 用户端设备与本地客户端应用或远程网络服务间鉴权的方法 |
| WO2007088273A2 (fr) * | 2006-01-31 | 2007-08-09 | Thomson Licensing | Methode de gravure et de distribution de donnees numeriques et dispositif associe |
| CN102082660A (zh) * | 2010-11-17 | 2011-06-01 | 北京曙光天演信息技术有限公司 | 一种在加密卡上实现网络通信的方法和一种具有网络接口的加密卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104468562A (zh) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104468562B (zh) | 一种面向移动应用透明的数据安全保护便携式终端 | |
| CN107959567B (zh) | 数据存储方法、数据获取方法、装置及系统 | |
| CN111448779B (zh) | 用于混合秘密共享的系统、设备和方法 | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
| US9317708B2 (en) | Hardware trust anchors in SP-enabled processors | |
| EP3337088B1 (en) | Data encryption method, decryption method, apparatus, and system | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| CN105812332A (zh) | 数据保护方法 | |
| CN104618096B (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN113541935B (zh) | 一种支持密钥托管的加密云存储方法、系统、设备、终端 | |
| CN110061983A (zh) | 一种数据处理方法及系统 | |
| CN109995530B (zh) | 一种适用于移动定位系统的安全分布式数据库交互系统 | |
| CN101917710A (zh) | 移动互联网加密通讯的方法、系统及相关装置 | |
| US20210157939A1 (en) | Secure storage of passwords | |
| CN105022966A (zh) | 数据库数据加密解密方法和系统 | |
| CN103152322A (zh) | 数据加密保护方法及系统 | |
| CN109981275A (zh) | 数据传输方法、装置、系统、设备以及存储介质 | |
| CN111191217A (zh) | 一种密码管理方法及相关装置 | |
| CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
| CN115967941A (zh) | 电力5g终端认证方法及认证系统 | |
| CN103944721A (zh) | 一种基于web的保护终端数据安全的方法和装置 | |
| KR100594886B1 (ko) | 데이터베이스 보안 시스템 및 방법 | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
| CN111343421B (zh) | 一种基于白盒加密的视频共享方法和系统 | |
| CN107819751A (zh) | 一种安全的自动登录管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171215 |