CN107370598B - 以智能手机作为个人电脑电子密钥的方法 - Google Patents
以智能手机作为个人电脑电子密钥的方法 Download PDFInfo
- Publication number
- CN107370598B CN107370598B CN201710579208.7A CN201710579208A CN107370598B CN 107370598 B CN107370598 B CN 107370598B CN 201710579208 A CN201710579208 A CN 201710579208A CN 107370598 B CN107370598 B CN 107370598B
- Authority
- CN
- China
- Prior art keywords
- personal computer
- key
- smart phone
- connection
- mobile phone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Abstract
本发明公开了一种以智能手机作为个人电脑电子密钥的方法,包括两部分:一、智能手机与个人电脑的连接过程及密钥协商过程,包括IP地址和端口的显示过程、IP地址和端口的扫描获取过程、网络直连的尝试过程、NAT穿透连接的尝试过程、中转服务器中转通信的尝试过程;密钥协商过程主要包括密钥协商密钥对的产生过程、公钥的扫码读取过程、会话密钥及报文认证密钥的产生及交换过程、报文加密及完整性认证过程;二、个人电脑调用手机安全芯片的调用堆栈过程,包括PC端的调用堆栈、手机端的调用堆栈。本发明使得手机上的电子密钥,能映射到个人电脑上,从而实现用户手机证书的一证多用,节省设备成本、管理成本和使用成本。
Description
技术领域
本发明涉及信息安全中间件领域,具体涉及一种以智能手机作为个人电脑电子密钥的方法。
背景技术
目前在电子金融、电子商务和电子政务等领域,已普遍使用USB电子密匙或智能卡作为用户身份认证、电子签名、数据加解密介质,伴随着智能终端及4G网络的普及,移动应用高速发展,对于安全性的要求越来越高,开始使用SIM卡电子密钥、SD卡电子密钥、手机安全芯片等作为用户身份认证、电子签名、数据加解密介质,但该种技术要求用户在个人电脑应用和移动应用上,需要分别持有电子密钥介质,向第三方的可信任机构-认证中心CA(Certificate Authority)申请两个不同的公钥数字证书,这样不利于节省设备成本、服务成本和管理成本;同时,在电子金融、电子商务、电子政务等应用服务端,也需要为用户账户绑定两个公钥数字证书,不利于降低安全风险和节省服务成本、管理成本。
目前有个别的应用或方案,通过短信或二维码的方式把个人电脑上需要签名或解密的数据推送到手机上,利用手机证书进行签名或解密,以解决上面一证多用的问题,但这种方案由于缺乏长效连接机制,每次签名或解密操作均需重新扫描二维码,操作便利性差,也无法兼容个人电脑上通用的应用如Adobe Reader、IE、Outlook等软件。
考虑到智能手机终端一般提供多种网络连接媒介,如4G、WiFi、蓝牙、USB、NFC等,为手机连接PC提供了多种可选途径,本发明把智能手机和个人电脑通过多种媒介连接起来,利用智能手机上的安全芯片进行安全存储及密码运算,使得智能手机成为了除智能卡和USB电子密匙外,广义上的电子密钥介质。利用智能手机上的公钥数字证书来表明用户身份,进行电子签名、数据加密等,运用到电子金融、电子商务、电子政务等领域,以解决强身份认证、数据保密传输、网上行为的不可抵赖、电子签名的法律有效等需求。
发明内容
本发明的目的是针对上述现有技术的不足,提供了一种以智能手机作为个人电脑电子密钥的方法,所述方法以智能手机终端作为个人电脑电子密钥介质,能兼容个人电脑通用软件,实现手机证书的一证多用,达到了节省设备成本、服务成本和管理成本、降低安全风险、提高操作便利性的目的。
本发明的目的可以通过如下技术方案实现:
一种以智能手机作为个人电脑电子密钥的方法,所述方法包括两部分:智能手机与个人电脑的连接及通信密钥协商过程和个人电脑调用手机安全芯片的调用堆栈过程;智能手机通过多种网络连接途径连接到个人电脑,以电子密钥虚拟设备的形式映射到个人电脑上,供个人电脑进行个人密钥对和数字证书管理、加密和解密操作、签名和验证操作和PIN码的修改操作。
进一步地,智能手机与个人电脑的连接及通信密钥协商过程同时支持网络直连、基于NAT穿透的P2P连接和基于中转服务器的中转通信,所述网络直连包括USB线、蓝牙、WiFi方式的网络直连。
进一步地,智能手机与个人电脑的连接及通信密钥协商过程中,个人电脑通过二维码显示通信地址和初始密码,智能手机通过扫描二维码获取个人电脑的通信地址、初始密码并进行连接。
进一步地,智能手机与个人电脑的连接及通信密钥协商过程中采用长效连接、心跳探测技术,使智能手机和个人电脑只需做一次连接,即可持续进行后续的加密解密、签名验证操作,以保证操作的便利性。
进一步地,智能手机与个人电脑的连接及通信密钥协商过程中,个人电脑通过二维码显示密钥协商公钥数据,智能手机通过扫码二维码获取个人电脑的密钥协商公钥数据,用于后面的会话密钥加密。
进一步地,智能手机与个人电脑的连接及通信密钥协商过程中,采用非对称加密算法进行密钥交换,对称加密算法进行数据报文加密,利用带加密的哈希算法进行报文认证,以保证手机终端和个人电脑通信报文的保密性和完整性。
进一步地,所述个人电脑调用手机安全芯片的调用堆栈过程中,按照操作系统Windows的加密中间件标准CSP,在第三方应用软件调用堆栈上层提供CSP接口,实现对Windows操作系统的对接,与电子密钥的对接采用PKCS#11软件接口,以支持多个厂家不同型号的电子密钥。
进一步地,所述个人电脑调用手机安全芯片的调用堆栈过程中,个人电脑调用智能手机端电子密钥的PKCS#11通信代理设计,把PC端的PKCS#11调用转换成一套RPC通信报文,并发往智能手机端解释,再调用智能手机端真实的PKCS#11中间件,最终调用智能手机端的电子密钥。
本发明与现有技术相比,具有如下优点和有益效果:
1、本发明通过蓝牙、WiFi方式的网络直连,或者NAT穿透的P2P连接,还可以用基于中转服务器的中转通信,从而保障智能手机能和个人电脑建立起最可靠的通信路径。
2、本发明采用长效连接,心跳探测技术,使得智能手机和个人电脑只需做一次连接,即可持续进行后续的加密解密、签名验证操作,保证操作的便利性。
3、本发明采用非对称加密技术、对称加密及报文认证技术,从而保障手机终端和个人电脑通信报文的保密性和完整性。
4、本发明通过手机与个人电脑的连接,使得手机上的电子密钥,能映射到个人电脑上,从而实现用户手机证书的一证多用,节省设备成本、管理成本和服务成本;
5、在智能手机广泛普及的现在,本发明可以让智能手机发挥更大的作用,代替传统的USB电子密钥,对手机安全芯片的使用也有很大推进作用。
6、同类发明中,多数只能解决手机证书用作PC应用的身份认证的应用需求,与同类发明不同的是,本发明通过通用的PKI中间件技术,可以支持PC应用的数字证书身份认证、数据加解密、签名与验证等更广泛的应用场景,对第三方软件应用的支持也成为可能。
附图说明
图1为本发明实施例智能手机与个人电脑的连接初始化过程流程图。
图2为本发明实施例智能手机与个人电脑的局域网直接连接过程流程图。
图3为本发明实施例智能手机与个人电脑的局域网NAT穿透连接过程流程图。
图4为本发明实施例智能手机与个人电脑的局域网中转服务器连接过程流程图。
图5为本发明实施例个人电脑调用手机安全芯片的调用堆栈过程流程图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例:
本实施例提供了一种以智能手机作为个人电脑电子密钥的方法,所述方法包括两部分:智能手机与个人电脑的连接及通信密钥协商过程和个人电脑调用手机安全芯片的调用堆栈过程;智能手机通过多种网络连接途径连接到个人电脑,以电子密钥虚拟设备的形式映射到个人电脑上,供个人电脑进行个人密钥对和数字证书管理、加密和解密操作、签名和验证操作和PIN码的修改操作。
智能手机与个人电脑的连接及通信密钥协商过程包括IP地址和端口的显示过程、IP地址和端口的扫描获取过程、网络直连的尝试过程、NAT穿透连接的尝试过程、中转服务器中转通信的尝试过程;所述智能手机与个人电脑的通信密钥协商过程主要包括密钥协商密钥对的产生过程、公钥的扫码读取过程、会话密钥及报文认证密钥的产生及交换过程、报文加密及完整性认证过程;所述个人电脑调用手机安全芯片的调用堆栈过程包括PC端的调用堆栈、手机端的调用堆栈。
其中,智能手机与个人电脑的连接及通信密钥协商过程同时支持局域网络直连、基于NAT穿透的P2P连接和基于中转服务器的中转通信,所述网络直连包括USB线、蓝牙、WiFi方式的网络直连;这三种连接方式均先经过连接初始化过程。
所述智能手机与个人电脑的连接初始化过程如图1,包括以下步骤:
步骤1、个人电脑打开UDP通信端口;
步骤2、个人电脑向中转服务器查询本PC来路地址RIPP;
步骤3、中转服务器得到PC端来路地址RIPP;
步骤4、中转服务器返回PC端来路地址和服务器地址;
步骤5、个人电脑产生临时密钥对PSk,用于给手机加密会话密钥,并创建UI线程;
步骤6、个人电脑通过二维码显示本机局域网地址LIPP、来路地址RIPP、服务器地址SIPP、PSk公钥和PC信息;
步骤7、个人电脑等待手机连接,接收手机密钥协商消息;
步骤8、智能手机扫描二维码得到对端网络地址;
步骤9、智能手机产生会话密钥Sk,用PSk公钥加密Sk得到ESk,用Sk对报文进行运算得到HMac。
进一步地,步骤6中,所述二维码的内容格式为JSON格式:
proxyp11://{lipp:["C0A86E6F:2F70","0A6E646F:2F70"],ripp:"DE6FDE6F:4D2",sipp:"CACACACA:22B8",psk:"BBMEmHiYLbOdu4aBoEu2TUzc0FvRuaoElRvj2oMeMhocIcPyqvmZR0/QKdZKSfVZlYSyHPwWvIbWkttjHRZ6AGw=",devname:"hollywood-pc",devtype:"windows10"}
lipp是PC本地IP和端口。要包含PC所有网口的IP。IP和端口均采用16进制显示,以节省字符串长度。
ripp是PC的公网IP和端口。从中转服务器查询得到。显示方式和lipp相同。
sipp是中转服务器的IP和端口。显示方式和lipp相同。
psk是PC端随机产生的预共享密钥公钥再进行Base64编码的PSk公钥。
devname是PC机器名字。
devtype是PC系统类型。
所述三种连接方式的具体链接过程分别为:
一、所述智能手机与个人电脑的局域网或互联网直接连接过程如图2,包括以下步骤:
步骤10、智能手机尝试局域网或互联网发送ESk和HMac;
步骤11、个人电脑用PSk私钥解密ESk得到Sk,再验证报文的HMac;
步骤12、个人电脑返回密钥协商成功消息;
步骤13、智能手机发送连接完成消息;
步骤14、个人电脑置连接成功状态,记录下手机端IP和端口,关闭UI;
以后智能手机与个人电脑开始定时互发心跳包。
二、所述智能手机与个人电脑的NAT穿透连接过程如图3,包括以下步骤:
步骤10、智能手机尝试网络直连失败;
步骤11、智能手机向中转服务器发送PC RIPP、ESk和HMac;
步骤12、中转服务器得到手机来路地址RIPP;
步骤13、中转服务器根据PC RIPP中转消息,发送手机RIPP、ESk和HMac;
步骤14、个人电脑收到数据,用PSk私钥解密ESk得到Sk,再验证报文的HMac;
步骤15、个人电脑根据手机端RIPP,返回密钥协商成功消息;
步骤16、智能手机发送连接完成消息;
步骤17、个人电脑置连接成功状态,记录下手机端IP和端口,关闭UI;
以后智能手机与个人电脑开始定时互发心跳包。
三、当智能手机与个人电脑的NAT穿透连接过程不成功时,通过中转服务器的方式进行连接,所述智能手机与个人电脑的中转服务器连接过程如图4,包括以下步骤:
步骤15、个人电脑根据手机端RIPP,返回密钥协商成功消息,但发送不成功;
步骤16、个人电脑向中转服务器发送密钥协商成功中转消息以及手机RIPP;
步骤17、中转服务器得到PC的来路IP和端口即RIPP;
步骤18、中转服务器根据手机RIPP,发送密钥协商成功消息以及PC的RIPP至手机;
步骤19、智能手机发送连接完成中转消息以及PC RIPP至中转服务器;
步骤20、中转服务器得到手机RIPP;
步骤21、中转服务器根据PC RIPP,发送连接完成中转消息以及手机的RIPP至PC;
步骤22、个人电脑置连接成功状态,记录下手机端IP和端口,关闭UI;
以后智能手机与个人电脑开始定时互发中转心跳包。
其中,所述个人电脑调用手机安全芯片的调用堆栈过程如图5,包括以下步骤:
步骤201、PC端的通用应用如IE、AdobeReader、OutLook等调用操作系统的API;
步骤202、Windows操作系统调用密码服务提供者接口(CSP);
步骤203、把CSP的调用,转换成PKCS#11接口的调用,因为PKCS#11是更通用的电子密钥软件接口;
步骤204、把PKCS#11接口的调用,转化成JSON-RPC通信报文,按步骤1-8的方式,建立起与手机端的通信连接,向手机端发送通信报文;
步骤205、蓝牙、WiFi、移动网络等通信媒介,把数据报文发往手机端;
步骤206、手机端的通信代理,接收到JSON-RPC通信报文,并调用被用户选中的电子密钥PKCS#11软件接口;
步骤207、电子密钥PKCS#11软件接口把上层调用转化成ISO-7816卡指令,调用被用户选中的SIMKey、SDKey等安全芯片;
步骤208、安全芯片接收到卡指令,对数据进行加密/解密、签名/验证等操作。
进一步地,步骤204中,所述JSON-RPC通信报文格式如:
请求格式:{"version":"1.0","method":"C_Initialize","paramstype":["java.lang.Object"],"params":[null]}
version暂时定为1.0;
method为调用移动端的方法名;
paramstype为参数的类型;
params为参数
响应格式:{"version":"1.0","resulttype":"void"}
resulttype为响应数据类型
异常响应:{"version":"1.0","error":{"exception":"iaik.pkcs.pkcs11.wrapper.PKCS11Exception","code":401,"message":"0x00000191"}}
Exception为异常类型
Code为错误码
Message为错误信息
以上所述,仅为本发明专利较佳的实施例,但本发明专利的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明专利所公开的范围内,根据本发明专利的技术方案及其发明专利构思加以等同替换或改变,都属于本发明专利的保护范围。
Claims (5)
1.一种以智能手机作为个人电脑电子密钥的方法,其特征在于,所述方法包括两部分:智能手机与个人电脑的连接及通信密钥协商过程和基于通用的PKI中间件的个人电脑调用手机安全芯片的调用堆栈过程,个人电脑调用手机安全芯片的调用堆栈过程包括PC端的调用堆栈和手机端的调用堆栈;智能手机通过多种连接途径连接到个人电脑,以电子密钥虚拟设备的形式映射到个人电脑上,让智能手机代替传统的个人电脑USB电子密钥,供个人电脑进行个人密钥对和数字证书管理、加密和解密操作、签名和验证操作和PIN码的修改操作;
其中,智能手机与个人电脑的连接及通信密钥协商过程同时支持网络直连、基于NAT穿透的P2P连接和基于中转服务器的中转通信,所述网络直连包括USB线、蓝牙和WiFi方式的网络直连;智能手机与个人电脑的连接及通信密钥协商过程按如下步骤进行:
第一、智能手机与个人电脑的连接初始化过程:
步骤1、个人电脑打开UDP通信端口;
步骤2、个人电脑向中转服务器查询本PC来路地址RIPP;
步骤3、中转服务器得到PC端来路地址RIPP;
步骤4、中转服务器返回PC端来路地址和服务器地址;
步骤5、个人电脑产生临时密钥对PSk,用于给手机加密会话密钥,并创建UI线程;
步骤6、个人电脑通过二维码显示本机局域网地址LIPP、来路地址RIPP、服务器地址SIPP、PSk公钥和PC信息;其中,RIPP是指PC的公网IP和端口,PC信息是指PC机器名字和PC系统类型;
步骤7、个人电脑等待手机连接,接收手机密钥协商消息;
步骤8、智能手机扫描二维码得到对端网络地址;
步骤9、智能手机产生会话密钥Sk,用PSk公钥加密Sk得到ESk,用Sk对报文进行运算得到HMac;
第二、智能手机与个人电脑的局域网或互联网直接连接过程:
步骤10-1、智能手机尝试局域网或互联网发送ESk和HMac;
步骤11-1、个人电脑用PSk私钥解密ESk得到Sk,再验证报文的HMac;
步骤12-1、报文的HMac通过验证之后,个人电脑返回密钥协商成功消息;
步骤13-1、智能手机发送连接完成消息;
步骤14-1、个人电脑置连接成功状态,记录下手机端IP和端口,关闭UI;
第三、当智能手机与个人电脑的局域网或互联网直接连接过程不成功时,通过NAT穿透连接的方式进行连接,智能手机与个人电脑的NAT穿透连接过程如下:
步骤10-2、智能手机尝试网络直连失败;
步骤11-2、智能手机向中转服务器发送PC RIPP、ESk和HMac;
步骤12-2、中转服务器得到手机来路地址RIPP;
步骤13-2、中转服务器根据PC RIPP中转消息,发送手机RIPP、ESk和HMac;
步骤14-2、个人电脑收到数据,用PSk私钥解密ESk得到Sk,再验证报文的HMac;
步骤15-2、报文的HMac通过验证之后,个人电脑根据手机端RIPP,返回密钥协商成功消息;
步骤16-2、智能手机发送连接完成消息;
步骤17-2、个人电脑置连接成功状态,记录下手机端IP和端口,关闭UI;
第四、当智能手机与个人电脑的NAT穿透连接过程不成功时,通过中转服务器的方式进行连接,智能手机与个人电脑的中转服务器连接过程如下:
步骤15-3、个人电脑根据手机端RIPP,返回密钥协商成功消息,但发送不成功;
步骤16-3、个人电脑向中转服务器发送密钥协商成功中转消息以及手机RIPP;
步骤17-3、中转服务器得到PC的RIPP;
步骤18-3、中转服务器根据手机RIPP,发送密钥协商成功消息以及PC的RIPP至手机;
步骤19-3、智能手机发送连接完成中转消息以及PC RIPP至中转服务器;
步骤20-3、中转服务器得到手机RIPP;
步骤21-3、中转服务器根据PC RIPP,发送连接完成中转消息以及手机的RIPP至PC;
步骤22-3、个人电脑置连接成功状态,记录下手机端IP和端口,关闭UI。
2.根据权利要求1所述的一种以智能手机作为个人电脑电子密钥的方法,其特征在于:智能手机与个人电脑的连接及通信密钥协商过程中采用长效连接和心跳探测技术,使智能手机和个人电脑只需做一次连接,即可持续进行后续的加密解密和签名验证操作,以保证操作的便利性。
3.根据权利要求1所述的一种以智能手机作为个人电脑电子密钥的方法,其特征在于:智能手机与个人电脑的连接及通信密钥协商过程中,个人电脑通过二维码显示密钥协商公钥数据,智能手机通过扫码二维码获取个人电脑的密钥协商公钥数据,用于后面的会话密钥加密;
二维码的内容格式为JSON格式:
proxyp11://{lipp:["C0A86E6F:2F70","0A6E646F:2F70"],ripp:"DE6FDE6F:4D2",sipp:"CACACACA:22B8",psk:"BBMEmHiYLbOdu4aBoEu2TUzc0FvRuaoElRvj2oMeMhocIcPyqvmZR0/QKdZKSfVZlYSyHPwWvIbWkttjHRZ6AGw=",devname:"hollywood-pc",devtype:"windows10"};
其中,lipp是PC本地IP和端口,包含PC所有网口的IP,IP和端口均采用16进制显示,以节省字符串长度;
ripp是PC的公网IP和端口,从中转服务器查询得到,显示方式和lipp相同;
sipp是中转服务器的IP和端口,显示方式和lipp相同;
psk是PC端随机产生的预共享密钥公钥再进行Base64编码得到的PSk公钥;
devname是PC机器名字;
devtype是PC系统类型。
4.根据权利要求1所述的一种以智能手机作为个人电脑电子密钥的方法,其特征在于:所述个人电脑调用手机安全芯片的调用堆栈过程中,按照操作系统Windows的加密中间件标准CSP,在第三方应用软件调用堆栈上层提供CSP接口,实现对Windows操作系统的对接,与电子密钥的对接采用PKCS#11软件接口,以支持多个厂家不同型号的电子密钥。
5.根据权利要求1所述的一种以智能手机作为个人电脑电子密钥的方法,其特征在于:所述个人电脑调用手机安全芯片的调用堆栈过程中,个人电脑调用智能手机端电子密钥的PKCS#11通信代理设计,把PC端的PKCS#11调用转换成一套RPC通信报文,并发往智能手机端解释,再调用智能手机端真实的PKCS#11中间件,最终调用智能手机端的电子密钥;
通信报文格式如下:
请求格式:{"version":"1.0","method":"C_Initialize","paramstype":["java.lang.Object"],"params":[null]};
其中,version定为1.0;
method为调用移动端的方法名;
paramstype为参数的类型;
params为参数;
响应格式:{"version":"1.0","resulttype":"void"};
其中,resulttype为响应数据类型;
异常响应:{"version":"1.0","error":{"exception":"iaik.pkcs.pkcs11.wrapper.PKCS11Exception","code":401,"message":"0x00000191"}};
exception为异常类型;
code为错误码;
message为错误信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710579208.7A CN107370598B (zh) | 2017-07-17 | 2017-07-17 | 以智能手机作为个人电脑电子密钥的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710579208.7A CN107370598B (zh) | 2017-07-17 | 2017-07-17 | 以智能手机作为个人电脑电子密钥的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107370598A CN107370598A (zh) | 2017-11-21 |
CN107370598B true CN107370598B (zh) | 2021-01-19 |
Family
ID=60308458
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710579208.7A Active CN107370598B (zh) | 2017-07-17 | 2017-07-17 | 以智能手机作为个人电脑电子密钥的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107370598B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108881300A (zh) * | 2018-08-02 | 2018-11-23 | 中国科学院信息工程研究所 | 一种支持手机端安全协作的文件加密和共享方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101304569A (zh) * | 2008-04-24 | 2008-11-12 | 中山大学 | 一种基于智能手机的移动认证系统 |
CN104980928B (zh) * | 2014-04-03 | 2018-12-07 | 华为终端(东莞)有限公司 | 一种用于建立安全连接的方法、设备及系统 |
CN105163339B (zh) * | 2015-08-28 | 2019-06-07 | 上海斐讯数据通信技术有限公司 | 一种网络接入设备缓冲的非对称长连接方法及系统 |
CN105263194A (zh) * | 2015-09-18 | 2016-01-20 | 北京金山安全软件有限公司 | 移动设备与固定设备之间通信连接的建立方法及装置 |
CN105554028A (zh) * | 2016-01-22 | 2016-05-04 | 合肥学院 | 基于二维码的移动手持设备间的安全通信通道建立方法 |
-
2017
- 2017-07-17 CN CN201710579208.7A patent/CN107370598B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN107370598A (zh) | 2017-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
CN107277061B (zh) | 基于iot设备的端云安全通信方法 | |
US9848320B2 (en) | Encrypted communications method and encrypted communications system | |
RU2542911C2 (ru) | Установление однорангового сеанса с малым временем ожидания | |
CN102916869B (zh) | 即时通信方法和系统 | |
CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
WO2016107321A1 (zh) | 安全通信系统 | |
CN103237305B (zh) | 面向移动终端上的智能卡密码保护方法 | |
CN110912686B (zh) | 一种安全通道的密钥的协商方法及系统 | |
US20180262352A1 (en) | Secure Authentication of Remote Equipment | |
US10419212B2 (en) | Methods, systems, apparatuses, and devices for securing network communications using multiple security protocols | |
WO2023241176A1 (zh) | 通信方法、装置、设备、存储介质及程序产品 | |
CN109040059B (zh) | 受保护的tcp通信方法、通信装置及存储介质 | |
CN108040071B (zh) | 一种VoIP音视频加密密钥动态切换方法 | |
CN111614596B (zh) | 一种基于IPv6隧道技术的远程设备控制方法及系统 | |
CN103973543A (zh) | 即时通信方法及装置 | |
CN101483863A (zh) | 即时消息的传送方法、系统及wapi终端 | |
CN102480473A (zh) | 基于fsk的安全性信息交互系统及方法 | |
CN107370598B (zh) | 以智能手机作为个人电脑电子密钥的方法 | |
US8646066B2 (en) | Security protocol control apparatus and security protocol control method | |
CN109474667B (zh) | 一种基于tcp和udp的无人机通信方法 | |
CN201479154U (zh) | Bgp路由系统和设备 | |
CN115225389A (zh) | 通信加密的方法、装置、设备及存储介质 | |
CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
CN114707158A (zh) | 基于tee的网络通信认证方法以及网络通信认证系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |