CN104915607A - 一种基于移动终端的密码数据处理和交换方法 - Google Patents
一种基于移动终端的密码数据处理和交换方法 Download PDFInfo
- Publication number
- CN104915607A CN104915607A CN201510214649.8A CN201510214649A CN104915607A CN 104915607 A CN104915607 A CN 104915607A CN 201510214649 A CN201510214649 A CN 201510214649A CN 104915607 A CN104915607 A CN 104915607A
- Authority
- CN
- China
- Prior art keywords
- data
- applications client
- cipher processing
- key
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明涉及一种基于移动终端的密码数据处理和交换方法,所述方法是:若应用客户端与应用系统进行交互的过程中需要对数据进行密码处理,则应用客户端或其调用的API将待密码处理数据以条码的形式显示;用户使用移动终端扫描显示的条码;用户运行在移动终端中的密码处理程序从条码中获得待密码处理的数据,使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,根据密码处理后的数据是否敏感将密码处理后的数据以加密或非加密的寄存数据包的形式提交到的密码中介系统;应用客户端或其调用的API或应用系统从密码中介系统或取寄存数据包,从而获得密码处理后的数据。所述方法使得移动终端可以作为密码装置用于数据的密码处理。
Description
技术领域
本发明属于信息安全技术领域,特别是一种基于移动终端的密码数据处理和交换方法。
背景技术
在使用密码技术的应用中经常遇到的一个问题是采用何种方案存储和使用用户密钥。目前用户密钥的存储和使用通常有如下两种方案。
一种最简单也是最常用的方案是将用户密钥存储在用户计算机中,并通过软件密码模块使用用户密钥对数据进行密码处理(包括加密、解密、签名、签名验证)。这种方案的问题在于:方案不适合于在公共计算机中采用;若用户在不同计算机使用自己的密钥,则需要在不同计算机之间复制密钥、存储密钥,这给用户带来了很大不便。
另一种方案是使用专门的密码硬件装置(如USB Key)存储用户密钥并在密码硬件装置中使用用户密钥对数据进行密码处理。这种方案的最大优点是安全,且用户可在不同计算机上使用自己的密钥对数据进行密码处理。这种方案的存在的问题是:使用密码硬件装置如USB Key会产生额外的费用;在网吧,许多计算机的USB接口被封存,无法使用密码硬件装置。
目前,几乎所有用户都拥有手机、平板电脑等移动终端(移动计算装置),这些手机、平板电脑可以用作密钥存储和进行数据密码处理的装置。这种采用移动终端的密钥存储和使用方案虽然没有采用专门的密码硬件装置的方案安全性高,但在通常的应用中这种方案的安全性已足够(比如在非涉及钱财的应用中,或者在仅涉及小额钱财的应用中这种方案的安全性已足够)。如果采用移动终端作为用户密钥的存储和使用装置,这就有两个问题需要解决:当用户在计算机上使用应用客户端与应用系统进行交互时,如何将需要进行密码处理的数据传送到移动终端?应用系统如何获得移动终端密码处理后的数据?
发明内容
本发明的目的是针对采用专门的密码硬件装置存在的问题,提出以移动终端作为用户密钥存储和密码处理装置的密码数据处理和交换方案。
为了实现本发明的目的,本发明提出的技术方案是:
一种基于移动终端的密码数据处理和交换方法,所述方法如下:
在用户的移动终端中安装一个密码处理程序并将用户的密钥保存在移动终端中;所述移动终端是便携式移动计算设备(如移动通信终端和平板电脑);用户的移动终端有摄像头和条码扫描程序(动态库、类库和独立运行的程序)用于条码扫描和条码数据读取;所述用户密钥包括对称密钥和/或非对称密钥;所述密码处理程序是一个运行在用户移动终端中的对数据进行密码处理的程序(即APP);所述密码处理包括加密、解密、数字签名、签名验证;所述数字签名和签名验证包括对称密钥数字签名和签名验证,以及非对称密钥数字签名和签名验证;所述密码处理程序调用移动终端中的条码扫描程序获取以条码形式显示的数据;
用户使用运行在计算机中的应用客户端访问应用系统;
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则应用客户端或应用客户端调用的API通过条码将待密码处理的数据以及对密码处理后的数据进行标识的数据传递给运行在用户移动终端中的密码处理程序;密码处理程序使用保存在移动终端中的用户密钥对待密码处理的数据进行密码处理;密码处理程序在完成数据的密码处理后,将密码处理后的数据以寄存数据包的形式提交到密码中介系统保存,而对密码处理后的数据进行标识的数据则被转化为寄存数据包的标识数据;应用客户端或应用客户端调用的API或应用系统依据寄存数据包的标识数据从密码中介系统获取密码处理程序提交的寄存数据包,从而获得密码处理后的数据;若密码处理后的数据是敏感的数据,则提交到密码中介系统的寄存数据包被密码处理程序加密,而应用客户端或应用客户端调用的API在通过条码将待密码处理的数据通过条码传递给密码处理程序的同时,将对密码处理后的数据进行加密处理的私密数据通过条码传递给密码处理程序;而应用客户端或应用客户端调用的API或应用系统获得密码处理程序提交的寄存数据包后,通过对密码处理后的数据进行加密处理的私密数据解密加密的寄存数据包;
所述应用客户端调用的API是被应用客户端调用对数据进行处理的API(应用编程接口)程序(如动态库、组件、类库等),包括密码处理API;所述密码中介系统是一个作为数据传递桥梁的系统;所述密码中介系统是一个独立运行的系统或者是应用系统的一个组件;所述密码中介系统将接收到的寄存数据包在内存或数据库中保存一段预定的时间期限(如30秒),超过预定的保存时间期限后,密码中介系统将保存的寄存数据包从内存或数据库中删除;或者在保存的寄存数据包被获取超过预定的次数后,密码中介系统将保存的寄存数据包从内存或数据库中删除。
通过以上描述可以看到,基于本发明的方法,用户可将移动终端作为随身携带的密钥存储和密码处理装置,并通过密码中介系统将密码处理后的数据传递给应用客户端或应用系统,用户无需专门的密码硬件装置,这对用户而言,既操作使用方便,又无需额外开销,而且可在没有USB接口的环境使用。
附图说明
图1为本发明实施例一或实施例二的流程示意图。
图2为本发明实施例三或实施例四的流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的描述。
本发明针对经密码处理后的数据是敏感的、需要保密的还是不敏感、不需要保密的,以及密码处理后的数据的直接获取实体是应用系统还是应用客户端的不同情况,有如下四种具体实施方案。
实施例一:
若密码处理后的数据是敏感的、需要保密的,密码处理后的数据的直接获取实体是应用系统,则所述方法的实施如下:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据交换密钥以条码的形式显示;所述数据交换密钥既是对密码处理后的数据进行加密处理的私密数据,同时也作为对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据交换密钥;
第四步:密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,形成密码处理后的数据;
第五步:密码处理程序使用从条码中获得的数据交换密钥或者由数据交换密钥导出的密钥对密码处理后的数据进行加密形成寄存数据包;密码处理程序采用单向不可逆函数对从条码中获得的数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码,将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用客户端或应用客户端调用的API采用同样的单向不可逆函数对数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码从密码中介系统获得具有对应(即同样)标识码的寄存数据包;应用客户端或应用客户端调用的API使用数据交换密钥或者由数据交换密钥导出的密钥对获得的寄存数据包进行解密,获得密码处理后的数据;
若应用客户端需要将密码处理后的数据提交到应用系统,则执行第八步;否则,结束密码处理执行;
第八步:应用客户端将获得的密码处理后的数据提交到应用系统。
实施例二:
若密码处理后的数据是不敏感的、不需要保密的,密码处理后的数据的直接获取实体是应用系统,所述方法的具体实施如下:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据标识码以条码的形式显示;所述数据标识码是对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据标识码;
第四步:密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,并将密码处理后的数据形成寄存数据包;
第五步:密码处理程序将从条码中获得的数据标识码或者由数据标识码导出的数据作为寄存数据包的标识码,并将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用客户端或应用客户端调用的API以数据标码码或者由数据标识码(采用同样方法)导出的数据作为寄存数据包的标识码从密码中介系统获得具有对应(即同样)标识码的寄存数据包,从而获得密码处理后的数据;
若应用客户端需要将密码处理后的数据提交到应用系统,则执行第八步;否则,结束密码处理执行;
第八步:应用客户端将获得的密码处理后的数据提交到应用系统。
实施例三:
若密码处理后的数据是敏感的、需要保密的,密码处理后的数的直接获取实体是应用客户端,则所述方法的具体实施如下:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据交换密钥以条码的形式显示;所述数据交换密钥既是对密码处理后的数据进行加密处理的私密数据,同时也作为对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据交换密钥;
第四步:密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,形成密码处理后的数据;
第五步:密码处理程序使用从条码中获得的数据交换密钥或者由数据交换密钥导出的密钥对密码处理后的数据进行加密形成寄存数据包;密码处理程序采用单向不可逆函数对从条码中获得的数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码,将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用系统对数据交换密钥采用同样的单向不可逆函数进行处理,以处理后生成的数据作为寄存数据包的标识码从密码中介系统获得具有对应(即同样)标识码的寄存数据包;
若应用系统需要使用密码处理后的数据,则执行第八步,否则,转入第九步执行;
第八步:应用系统使用数据交换密钥或者由数据交换密钥导出的密钥对获得的寄存数据包进行解密,获得密码处理后的数据;
若应用客户端或应用客户端调用的API需要使用密码处理后的数据,则继续,执行第九步,否则,结束密码处理执行;
第九步:应用客户端或应用客户端调用的API从应用系统获得寄存数据包;应用客户端使用数据交换密钥或者由数据交换密钥导出的密钥对获得的寄存数据包进行解密,获得密码处理后的数据。
实施例四:
若密码处理后的数据是不敏感的、不需要保密的,密码处理后的直接获取实体是应用客户端,则所述方法的具体实施如下:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据标识码以条码的形式显示;所述数据标识码是对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据标识码;
第四步:用户通过密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,并将密码处理后的数据形成寄存数据包;
第五步:密码处理程序以从条码中获得的数据标识码或者由数据标识码导出的数据作为寄存数据包的标识码,将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用系统以数据标识码或者由数据标识码(采用同样方法)导出的数据作为寄存数据包的标识码作为寄存数据包的标识码从密码中介系统获得具有对应(即相同)标识符的寄存数据包,并获得密码处理后的数据;
若应用客户端或应用客户端调用的API需要使用密码处理后的数据,则执行第八步;否则,结束密码处理执行;
第八步:应用客户端或应用客户端调用的API从应用系统获得密码处理后的数据。
实施例一和实施例三中的数据交换密钥可按如下方式生成:
将随机生成的字串同用户标识符(如帐户名)或者同应用客户端所在计算机的网络MAC地址合并后所生成的数据作为数据交换密钥,或者将随机生成的字串同用户标识符或者同应用客户端所在计算机的网络MAC地址合并后经单向不可逆函数运算处理后所生成的数据作为数据交换密钥,或者将应用客户端与应用系统之间会话连接的会话标识符作为数据交换密钥。
实施例三中的数据交换密钥由应用客户端或应用客户端调用的API生成(即在客户端生成),或者由应用系统生成(即在服务器端生成);若数据交换密钥由应用客户端或应用客户端调用的API生成,则在应用系统从密码中介系统获取寄存数据包前(经用户操作或自动)由应用客户端将数据交换密钥提交到应用系统;若数据交换密钥由应用系统生成,则在应用客户端或应用客户端调用的API以条码形式显示数据交换密钥前,由应用系统将数据交换密钥返回到应用客户端。
实施例二或实施例四中的数据标识码可按如下方式生成:
将随机生成的字串同用户标识符(如帐户名)或者同应用客户端所在计算机的网络MAC地址合并后所生成的数据作为数据标识码,将随机生成的字串同用户标识符或者同应用客户端所在计算机的网络MAC地址合并后经单向不可逆函数运算处理后所生成的数据作为数据标识码,或者将应用客户端与应用系统之间会话连接的会话标识符作为数据标识码。
实施例四中的数据标识码可以由应用客户端或应用客户端调用的API生成(即在客户端生成),或者由应用系统生成(即在服务器端生成);若数据标识码由应用客户端或应用客户端调用的API生成,则在应用系统从密码中介系统获取寄存数据包前(经用户操作或自动)由应用客户端将数据标识码提交到应用系统;若数据标识码由应用系统生成,则在应用客户端或应用客户端调用的API以条码形式显示数据标识码前,由应用系统将数据标识码返回到应用客户端。
在实施例三或实施例四中,若应用系统是Web应用系统,而应用客户端(即浏览器)调用的API需要从应用系统获取密码处理后的数据,则应用客户端调用API时将应用客户端与应用系统之间会话连接的会话标识符传递给被调用的API,而应用客户端调用的API从应用系统获取寄存数据包或密码处理后的数据时,将应用客户端与应用系统之间会话连接的会话标识按应用客户提交会话标识符的方式提交到应用系统。对于条码,可以采用二维码。二维码的生成目前已是成熟的技术。二维码图片既可以在服务器端由应用系统生成,也可以在客户端由应用客户端生成;若是应用客户端调用本地API对数据进行密码处理,则还可以由应用客户端端调用的本地API生成。无论在何处生成,有许多工具包括免费工具可使用(可从网络获得)。
对于单向不可逆函数,可以采用散列函数(HASH函数)。
由数据交换密钥导出用于对密码处理后的数据进行加密的密钥的方式可以用一个单向不可逆函数如散列函数对数据交换密钥进行处理,从处理后生成的数据得到密钥。同样地,由数据标识码导出寄存数据包的标识码方式可以用一个单向不可逆函数如散列函数对数据标识码进行处理,将处理后生成的数据作为寄存数据包的标识码。
密码处理程序可使用适合于用户所用移动终端的开发技术开发,比如对安卓移动终端可使用J2ME开发;对iOS终端可使用Objective-C开发。目前的移动终端(包括手机、平板电脑)都有摄像头。目前有很多适用于移动终端的条码扫描APP或动态库、类库,密码处理程序可直接利用这些条码扫描APP,或使用各种条码扫描、识别的动态库、类库(甚至自己开发)。
密码处理程序通常是通过密码模块来使用存储在移动终端中的用户密钥并进行数据的密码处理的。故在移动终端中需要实施一个密码模块,这个密码模块负责密钥管理,包括密钥生成、存储和删除,以及数据的密码处理,包括加密、解密,数字签名及签名验证。
密码中介系统可采用任何信息系统开发技术,如C/C++、J2EE、ASP.NET,以及数据库技术,如MySQL、SQL Server、Oracle等开发。如果寄存数据包的存储,可以采用内存存储和数据库存储相结合的方案:优先将寄存数据包存放在内存中,若内存中存放的寄存数据包及数据超过一定的数量,则将寄存数据包存放在数据库中。寄存数据包以标识码索引。
密码处理程序、应用客户端、应用系统与密码中介系统的交互协议,可以自己定义。
其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
Claims (10)
1.一种基于移动终端的密码数据处理和交换方法,其特征是:
在用户的移动终端中安装一个密码处理程序并将用户的密钥保存在移动终端中;所述移动终端是便携式移动计算设备;用户的移动终端有摄像头和条码扫描程序用于条码扫描和条码数据读取;所述用户密钥包括对称密钥和/或非对称密钥;所述密码处理程序是一个运行在用户移动终端中的对数据进行密码处理的程序;所述密码处理包括加密、解密、数字签名、签名验证;所述数字签名和签名验证包括对称密钥数字签名和签名验证,以及非对称密钥数字签名和签名验证;所述密码处理程序调用移动终端中的条码扫描程序获取以条码形式显示的数据;
用户使用运行在计算机中的应用客户端访问应用系统;
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则应用客户端或应用客户端调用的API通过条码将待密码处理的数据以及对密码处理后的数据进行标识的数据传递给运行在用户移动终端中的密码处理程序;密码处理程序使用保存在移动终端中的用户密钥对待密码处理的数据进行密码处理;密码处理程序在完成数据的密码处理后,将密码处理后的数据以寄存数据包的形式提交到密码中介系统保存,而对密码处理后的数据进行标识的数据则被转化为寄存数据包的标识数据;应用客户端或应用客户端调用的API或应用系统依据寄存数据包的标识数据从密码中介系统获取密码处理程序提交的寄存数据包,从而获得密码处理后的数据;若密码处理后的数据是敏感的数据,则提交到密码中介系统的寄存数据包被密码处理程序加密,而应用客户端或应用客户端调用的API在将待密码处理的数据通过条码传递给密码处理程序的同时,将对密码处理后的数据进行加密处理的私密数据通过条码传递给密码处理程序;而应用客户端或应用客户端调用的API或应用系统获得密码处理程序提交的寄存数据包后,通过对密码处理后的数据进行加密处理的私密数据解密加密的寄存数据包;
所述应用客户端调用的API是被应用客户端调用对数据进行处理的API程序,包括密码处理API;所述密码中介系统是一个作为数据传递桥梁的系统;所述密码中介系统是一个独立运行的系统或者是应用系统的一个组件;所述密码中介系统将接收到的寄存数据包在内存或数据库中保存一段预定的时间期限,超过预定的保存时间期限后,密码中介系统将保存的寄存数据包从内存或数据库中删除;或者在保存的寄存数据包被获取超过预定的次数后,密码中介系统将保存的寄存数据包从内存或数据库中删除。
2.根据权利要求1所述的基于移动终端的密码数据处理和交换方法,其特征是:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据交换密钥以条码的形式显示;所述数据交换密钥既是对密码处理后的数据进行加密处理的私密数据,同时也作为对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据交换密钥;
第四步:密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,形成密码处理后的数据;
第五步:密码处理程序使用从条码中获得的数据交换密钥或者由数据交换密钥导出的密钥对密码处理后的数据进行加密形成寄存数据包;密码处理程序采用单向不可逆函数对从条码中获得的数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码,将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用客户端或应用客户端调用的API采用同样的单向不可逆函数对数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码从密码中介系统获得具有对应标识码的寄存数据包;应用客户端或应用客户端调用的API使用数据交换密钥或者由数据交换密钥导出的密钥对获得的寄存数据包进行解密,获得密码处理后的数据;
若应用客户端需要将密码处理后的数据提交到应用系统,则执行第八步;否则,结束密码处理执行;
第八步:应用客户端将获得的密码处理后的数据提交到应用系统。
3.根据权利要求1所述的基于移动终端的密码数据处理和交换方法,其特征是:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据标识码以条码的形式显示;所述数据标识码是对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据标识码;
第四步:密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,并将密码处理后的数据形成寄存数据包;
第五步:密码处理程序将从条码中获得的数据标识码或者由数据标识码导出的数据作为寄存数据包的标识码,并将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用客户端或应用客户端调用的API以数据标码码或者由数据标识码导出的数据作为寄存数据包的标识码从密码中介系统获得具有对应标识码的寄存数据包,从而获得密码处理后的数据;
若应用客户端需要将密码处理后的数据提交到应用系统,则执行第八步;否则,结束密码处理执行;
第八步:应用客户端将获得的密码处理后的数据提交到应用系统。
4.根据权利要求1所述的基于移动终端的密码数据处理和交换方法,其特征是:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据交换密钥以条码的形式显示;所述数据交换密钥既是对密码处理后的数据进行加密处理的私密数据,同时也作为对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据交换密钥;
第四步:密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,形成密码处理后的数据;
第五步:密码处理程序使用从条码中获得的数据交换密钥或者由数据交换密钥导出的密钥对密码处理后的数据进行加密形成寄存数据包;密码处理程序采用单向不可逆函数对从条码中获得的数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码,将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用系统对数据交换密钥采用同样的单向不可逆函数进行处理,以处理后生成的数据作为寄存数据包的标识码从密码中介系统获得具有对应标识码的寄存数据包;
若应用系统需要使用密码处理后的数据,则执行第八步,否则,转入第九步执行;
第八步:应用系统使用数据交换密钥或者由数据交换密钥导出的密钥对获得的寄存数据包进行解密,获得密码处理后的数据;
若应用客户端或应用客户端调用的API需要使用密码处理后的数据,则继续,执行第九步,否则,结束密码处理执行;
第九步:应用客户端或应用客户端调用的API从应用系统获得寄存数据包;应用客户端使用数据交换密钥或者由数据交换密钥导出的密钥对获得的寄存数据包进行解密,获得密码处理后的数据。
5.根据权利要求1所述的基于移动终端的密码数据处理和交换方法,其特征是:
若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的API、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据标识码以条码的形式显示;所述数据标识码是对密码处理后的数据进行标识的数据;
第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据标识码;
第四步:用户通过密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,并将密码处理后的数据形成寄存数据包;
第五步:密码处理程序以从条码中获得的数据标识码或者由数据标识码导出的数据作为寄存数据包的标识码,将带有标识码的寄存数据包提交到密码中介系统;
第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
第七步:应用系统以数据标识码或者由数据标识码导出的数据作为寄存数据包的标识码作为寄存数据包的标识码从密码中介系统获得具有对应标识符的寄存数据包,并获得密码处理后的数据;
若应用客户端或应用客户端调用的API需要使用密码处理后的数据,则执行第八步;否则,结束密码处理执行;
第八步:应用客户端或应用客户端调用的API从应用系统获得密码处理后的数据。
6.根据权利要求2或4所述的基于移动终端的密码数据处理和交换方法,其特征是:
所述数据交换密钥是将随机生成的字串同用户标识符或者同应用客户端所在计算机的网络MAC地址合并后所生成的数据,或者是将随机生成的字串同用户标识符或者同应用客户端所在计算机的网络MAC地址合并后经单向不可逆函数运算处理后所生成的数据,或者是应用客户端与应用系统之间会话连接的会话标识符。
7.根据权利要求4所述的基于移动终端的密码数据处理和交换方法,其特征是:
所述数据交换密钥由应用客户端或应用客户端调用的API生成,或者由应用系统生成;若所述数据交换密钥由应用客户端或应用客户端调用的API生成,则在应用系统从密码中介系统获取寄存数据包前由应用客户端将数据交换密钥提交到应用系统;若所述数据交换密钥由应用系统生成,则在应用客户端或应用客户端调用的API以条码形式显示数据交换密钥前,由应用系统将数据交换密钥返回到应用客户端。
8.根据权利要求3或5所述的基于移动终端的密码数据处理和交换方法,其特征是:
所述数据标识码是将随机生成的字串同用户标识符或者同应用客户端所在计算机的网络MAC地址合并后所生成的数据,或者是将随机生成的字串同用户标识符或者同应用客户端所在计算机的网络MAC地址合并后经单向不可逆函数运算处理后所生成的数据,或者是应用客户端与应用系统之间会话连接的会话标识符。
9.根据权利要求5所述的基于移动终端的密码数据处理和交换方法,其特征是:
所述数据标识码由应用客户端或应用客户端调用的API生成,或者由应用系统生成;若所述数据标识码由应用客户端或应用客户端调用的API生成,则在应用系统从密码中介系统获取寄存数据包前由应用客户端将数据标识码提交到应用系统;若所述数据标识码由应用系统生成,则在应用客户端或应用客户端调用的API以条码形式显示数据标识码前,由应用系统将数据标识码返回到应用客户端。
10.根据权利要求4或5所述的基于移动终端的密码数据处理和交换方法,其特征是:
若应用系统是Web应用系统,而应用客户端调用的API需要从应用系统获取密码处理后的数据,则应用客户端调用API时将应用客户端与应用系统之间会话连接的会话标识符传递给被调用的API,而应用客户端调用的API从应用系统获取寄存数据包或密码处理后的数据时,将应用客户端与应用系统之间会话连接的会话标识按应用客户提交会话标识符的方式提交到应用系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510214649.8A CN104915607B (zh) | 2015-04-28 | 2015-04-28 | 一种基于移动终端的密码数据处理和交换方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510214649.8A CN104915607B (zh) | 2015-04-28 | 2015-04-28 | 一种基于移动终端的密码数据处理和交换方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104915607A true CN104915607A (zh) | 2015-09-16 |
| CN104915607B CN104915607B (zh) | 2018-02-09 |
Family
ID=54084667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510214649.8A Active CN104915607B (zh) | 2015-04-28 | 2015-04-28 | 一种基于移动终端的密码数据处理和交换方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104915607B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105281916A (zh) * | 2015-11-05 | 2016-01-27 | 武汉理工大学 | 一种便携式密码系统 |
| WO2017198155A1 (zh) * | 2016-05-18 | 2017-11-23 | 中兴通讯股份有限公司 | 一种启动adb调试的方法及终端 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103647869A (zh) * | 2013-11-14 | 2014-03-19 | 深圳创维数字技术股份有限公司 | 一种终端的配对方法、终端及系统 |
| CN103685557A (zh) * | 2013-12-26 | 2014-03-26 | 金蝶软件(中国)有限公司 | 文件上传、下载的方法和装置 |
| CN103679114A (zh) * | 2014-01-06 | 2014-03-26 | 武汉瑞普思信息技术有限公司 | 一种基于二维码的移动信息获取方法及系统 |
| CN104079404A (zh) * | 2014-07-07 | 2014-10-01 | 北京深思数盾科技有限公司 | 敏感数据安全交换方法及系统 |
| CN104142994A (zh) * | 2014-07-30 | 2014-11-12 | 腾讯科技(深圳)有限公司 | 一种数据列表获取的方法、终端及系统 |
| CN104202163A (zh) * | 2014-08-19 | 2014-12-10 | 武汉理工大学 | 一种基于移动终端的密码系统 |
-
2015
- 2015-04-28 CN CN201510214649.8A patent/CN104915607B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103647869A (zh) * | 2013-11-14 | 2014-03-19 | 深圳创维数字技术股份有限公司 | 一种终端的配对方法、终端及系统 |
| CN103685557A (zh) * | 2013-12-26 | 2014-03-26 | 金蝶软件(中国)有限公司 | 文件上传、下载的方法和装置 |
| CN103679114A (zh) * | 2014-01-06 | 2014-03-26 | 武汉瑞普思信息技术有限公司 | 一种基于二维码的移动信息获取方法及系统 |
| CN104079404A (zh) * | 2014-07-07 | 2014-10-01 | 北京深思数盾科技有限公司 | 敏感数据安全交换方法及系统 |
| CN104142994A (zh) * | 2014-07-30 | 2014-11-12 | 腾讯科技(深圳)有限公司 | 一种数据列表获取的方法、终端及系统 |
| CN104202163A (zh) * | 2014-08-19 | 2014-12-10 | 武汉理工大学 | 一种基于移动终端的密码系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105281916A (zh) * | 2015-11-05 | 2016-01-27 | 武汉理工大学 | 一种便携式密码系统 |
| CN105281916B (zh) * | 2015-11-05 | 2018-09-25 | 武汉理工大学 | 一种便携式密码系统 |
| WO2017198155A1 (zh) * | 2016-05-18 | 2017-11-23 | 中兴通讯股份有限公司 | 一种启动adb调试的方法及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104915607B (zh) | 2018-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021003980A1 (zh) | 黑名单共享方法、装置、计算机设备和存储介质 | |
| CN105681039A (zh) | 用于生成密钥及对应解密的方法和设备 | |
| US10659226B2 (en) | Data encryption method, decryption method, apparatus, and system | |
| CN107786331B (zh) | 数据处理方法、装置、系统及计算机可读存储介质 | |
| US10425388B2 (en) | Protecting sensitive data security | |
| CN103378971B (zh) | 一种数据加密系统及方法 | |
| CN105515783A (zh) | 身份认证方法、服务器及认证终端 | |
| WO2021003977A1 (zh) | 违约信息查询方法、装置、计算机设备和存储介质 | |
| CN112469036B (zh) | 一种消息加解密方法、装置、移动终端和存储介质 | |
| CN101627390A (zh) | 用于程序状态数据在电子设备中的安全存储的方法 | |
| CN106452771B (zh) | Jce调用密码卡实现内置rsa密钥运算的方法及装置 | |
| CN113691502A (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
| CN110851800B (zh) | 代码保护方法、装置、系统及可读存储介质 | |
| CN110637301A (zh) | 减少虚拟机中敏感数据的泄密 | |
| CN107196907A (zh) | 一种安卓so文件的保护方法及装置 | |
| CN106992851A (zh) | 基于TrustZone的数据库文件口令加解密方法、装置及终端设备 | |
| CN113572743A (zh) | 数据加密、解密方法、装置、计算机设备和存储介质 | |
| CN109697370A (zh) | 数据库数据加解密方法、装置、计算机设备和存储介质 | |
| CN113553572A (zh) | 资源信息获取方法、装置、计算机设备和存储介质 | |
| CN109510702B (zh) | 一种基于计算机特征码的密钥存储及使用的方法 | |
| CN104901951A (zh) | 一种Web应用中基于移动终端的密码数据处理与交互方法 | |
| CN101924734A (zh) | 一种基于Web表单的身份认证方法及认证装置 | |
| US20170200020A1 (en) | Data management system, program recording medium, communication terminal, and data management server | |
| CN104915607A (zh) | 一种基于移动终端的密码数据处理和交换方法 | |
| JP2016111440A (ja) | 情報処理装置、及びコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211125 Address after: Room 401a, building 4, yard 7, Shangdi 8th Street, Haidian District, Beijing 100085 Patentee after: ITRUSCHINA CO.,LTD. Address before: 430070 Hubei Province, Wuhan city Hongshan District Luoshi Road No. 122 Patentee before: WUHAN University OF TECHNOLOGY |
|
| TR01 | Transfer of patent right |