CN109412795A - 一种虚拟智能密码钥匙 - Google Patents
一种虚拟智能密码钥匙 Download PDFInfo
- Publication number
- CN109412795A CN109412795A CN201811080216.8A CN201811080216A CN109412795A CN 109412795 A CN109412795 A CN 109412795A CN 201811080216 A CN201811080216 A CN 201811080216A CN 109412795 A CN109412795 A CN 109412795A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- encryption key
- algorithm
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明公开了一种虚拟智能密码钥匙,其特征在于:包括安全设计和逻辑设计,所述安全设计工作过程如下:先由安全插件生成随机数,通过算法分散出数据加密密钥;需要加密的数据或文件结合加密密钥进行加密,形成数据密文,终端存储随机数和数据密文;解密时,根据随机数和设备信息,数据密文结合数据加密密钥通过上述对称算法逆运算得到解密后的原文件;所述逻辑设计可以分为以下几个模块:初始化、权限控制、设备管理、应用管理、容器管理、文件管理和密码安全服务。本发明作为移动端敏感数据,安全存储也同样重要,采用多因子动态生成的加密密钥进行加密保护,用户即使将密码钥匙的文件泄露,其他人也无法解密,保障了存储的安全性。
Description
技术领域
本发明属于一种密码钥匙技术领域,具体涉及一种虚拟智能密码钥匙。
背景技术
在当前移动互联网日益普及的社会背景下,智能手机已渗透到我们生活的方方面面,但是传统智能密码钥匙需要硬件设备支持,不能应用于移动端,因此存在很大局限性,虚拟智能密码钥匙是为解决移动端无法插入硬件设备的不足而开发设计的,可广泛应用于移动端网上银行、CA应用、电子政务、电子签章、安全邮件、VPN访问和电子商务等领域。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足提供一种虚拟智能密码钥匙,其操作简单,成本低,强度高且稳定性好,现场切割方便快捷。
为实现上述技术目的,本发明采取的技术方案为:
一种虚拟智能密码钥匙,其特征在于:包括安全设计和逻辑设计,
所述安全设计工作过程如下:
先由安全插件生成随机数,根据设备信息,通过算法分散出数据加密密钥;
需要加密的数据或文件结合加密密钥通过对称算法(如国密对称算法)进行加密,形成数据密文,终端存储随机数和数据密文;
解密时,根据随机数和设备信息,通过Z算法分散出数据加密密钥,数据密文结合数据加密密钥通过上述对称算法逆运算得到解密后的原文件;
每次使用完数据或文件再次存储时,更新随机数,从而更新加密密钥,重新生成数据密文;
所述逻辑设计可以分为以下几个模块:
初始化:用户调用初始化接口,下载安全插件和虚拟智能密码设备,并安装在移动端安全区域;
权限控制:包括用户在使用虚拟设备的关键接口时要进行登录即口令码保护,提升安全等级,同时用户也可以进行修改口令码的操作,如果用户在登录时输入口令码错误的次数超过最大次数,将不再被允许登录;
设备管理:包括获取设备信息,连接设备,断开设备等;
应用管理:包括创建删除应用,打开应用,关闭应用等,其中创建应用时会检测该应用是否存在,如果已经存在会创建失败并提醒用户,删除应用时需要验证用户是否登录,防止误删。每一台设备支持多个应用;
容器管理:支持创建和删除容器的操作,存储加密密钥对和签名密钥对,存储签名证书和加密证书。其中公钥可以导出,证书也可以进行导入和导出,导入证书时验证证书公钥是与容器中的公钥相符,如果不相符,导入失败;
文件管理:用户可以根据应用属性中的创建文件的权限对应用中的文件进行创建、删除、读写等操作。每一个应用下可以有多个文件;
密码安全服务:包括SM2、RSA非对称密钥的生成,安全存储;SM2、RSA算法的加解密,签名、验签,签名前会对其进行登录验证;对称算法的加密解密,如国密算法SM4的CBC和ECB的两种加密模式;支持SHA1、MD5、SM3等摘要算法。
本发明为移动端提供认证、加密解密、签名验签、消息摘要等安全密码服务,保证用户数据等机密性、真实性和完整性。接口设计符合国家密码管理局颁布的《智能密码钥匙密码应用接口规范。主要实现的功能有:X509数字签名证书和加密证书的存储;口令认证、修改、解锁等操作;SM2/RSA非对称密钥的生成,安全存储;非对称加密算法的加密、解密,签名、验签;支持多种对称算法;支持多种哈希算法。对虚拟智能密码钥匙进行安全存储采用的算法专为移动端信息存储设计,使用移动设备信息,用户个人信息,时间信息,随机数等多因子,依据可重构计算的数学原理动态生成加密密钥,采用软件方式解决移动设备中存储数据的关键性问题,显著特征是每个用户采用基于自身信息生成的加解密算法,保证了算法的唯一性。
本发明的优点在于以下几点:操作简单,成本低,强度高且稳定性好,现场切割方便快捷。
附图说明
图1是本发明的安全设计的工作流程图;
图2是本发明的逻辑设计的工作流程图。
具体实施方式
下面结合附图对本发明的具体实施方式作出进一步说明:
一种虚拟智能密码钥匙,其特征在于:包括安全设计和逻辑设计,
所述安全设计工作过程如下:
先由安全插件生成随机数,根据设备信息,通过算法分散出数据加密密钥;
需要加密的数据或文件结合加密密钥通过对称算法(如国密对称算法)进行加密,形成数据密文,终端存储随机数和数据密文;
解密时,根据随机数和设备信息,通过Z算法分散出数据加密密钥,数据密文结合数据加密密钥通过上述对称算法逆运算得到解密后的原文件;
每次使用完数据或文件再次存储时,更新随机数,从而更新加密密钥,重新生成数据密文;
所述逻辑设计可以分为以下几个模块:
初始化:用户调用初始化接口,下载安全插件和虚拟智能密码设备,并安装在移动端安全区域;
权限控制:包括用户在使用虚拟设备的关键接口时要进行登录即口令码保护,提升安全等级,同时用户也可以进行修改口令码的操作,如果用户在登录时输入口令码错误的次数超过最大次数,将不再被允许登录;
设备管理:包括获取设备信息,连接设备,断开设备等;
应用管理:包括创建删除应用,打开应用,关闭应用等,其中创建应用时会检测该应用是否存在,如果已经存在会创建失败并提醒用户,删除应用时需要验证用户是否登录,防止误删。每一台设备支持多个应用;
容器管理:支持创建和删除容器的操作,存储加密密钥对和签名密钥对,存储签名证书和加密证书。其中公钥可以导出,证书也可以进行导入和导出,导入证书时验证证书公钥是与容器中的公钥相符,如果不相符,导入失败;
文件管理:用户可以根据应用属性中的创建文件的权限对应用中的文件进行创建、删除、读写等操作。每一个应用下可以有多个文件;
密码安全服务:包括SM2、RSA非对称密钥的生成,安全存储;SM2、RSA算法的加解密,签名、验签,签名前会对其进行登录验证;对称算法的加密解密,如国密算法SM4的CBC和ECB的两种加密模式;支持SHA1、MD5、SM3等摘要算法。
以上仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,应视为本发明的保护范围。
Claims (1)
1.一种虚拟智能密码钥匙,其特征在于:包括安全设计和逻辑设计,
所述安全设计工作过程如下:
先由安全插件生成随机数,根据设备信息,通过算法分散出数据加密密钥;
需要加密的数据或文件结合加密密钥通过对称算法(如国密对称算法)进行加密,形成数据密文,终端存储随机数和数据密文;
解密时,根据随机数和设备信息,通过Z算法分散出数据加密密钥,数据密文结合数据加密密钥通过上述对称算法逆运算得到解密后的原文件;
每次使用完数据或文件再次存储时,更新随机数,从而更新加密密钥,重新生成数据密文;
所述逻辑设计可以分为以下几个模块:
初始化:用户调用初始化接口,下载安全插件和虚拟智能密码设备,并安装在移动端安全区域;
权限控制:包括用户在使用虚拟设备的关键接口时要进行登录即口令码保护,提升安全等级,同时用户也可以进行修改口令码的操作,如果用户在登录时输入口令码错误的次数超过最大次数,将不再被允许登录;
设备管理:包括获取设备信息,连接设备,断开设备等;
应用管理:包括创建删除应用,打开应用,关闭应用等,其中创建应用时会检测该应用是否存在,如果已经存在会创建失败并提醒用户,删除应用时需要验证用户是否登录,防止误删。每一台设备支持多个应用;
容器管理:支持创建和删除容器的操作,存储加密密钥对和签名密钥对,存储签名证书和加密证书。其中公钥可以导出,证书也可以进行导入和导出,导入证书时验证证书公钥是与容器中的公钥相符,如果不相符,导入失败;
文件管理:用户可以根据应用属性中的创建文件的权限对应用中的文件进行创建、删除、读写等操作。每一个应用下可以有多个文件;
密码安全服务:包括SM2、RSA非对称密钥的生成,安全存储;SM2、RSA算法的加解密,签名、验签,签名前会对其进行登录验证;对称算法的加密解密,如国密算法SM4的CBC和ECB的两种加密模式;支持SHA1、MD5、SM3等摘要算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811080216.8A CN109412795A (zh) | 2018-09-17 | 2018-09-17 | 一种虚拟智能密码钥匙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811080216.8A CN109412795A (zh) | 2018-09-17 | 2018-09-17 | 一种虚拟智能密码钥匙 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109412795A true CN109412795A (zh) | 2019-03-01 |
Family
ID=65464796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811080216.8A Pending CN109412795A (zh) | 2018-09-17 | 2018-09-17 | 一种虚拟智能密码钥匙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109412795A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474768A (zh) * | 2019-08-22 | 2019-11-19 | 上海豆米科技有限公司 | 一种有群组解密权限控制的信息安全传递系统及方法 |
| CN112134849A (zh) * | 2020-08-28 | 2020-12-25 | 国电南瑞科技股份有限公司 | 一种智能变电站的动态可信加密通信方法及系统 |
| CN112560058A (zh) * | 2020-12-17 | 2021-03-26 | 山东华芯半导体有限公司 | 基于智能密码钥匙的ssd分区加密存储系统及其实现方法 |
| CN115062330A (zh) * | 2022-08-18 | 2022-09-16 | 麒麟软件有限公司 | 基于tpm的智能密码钥匙密码应用接口的实现方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031255A1 (en) * | 2008-07-14 | 2010-02-04 | Gary Douglas Huber | Modular Virtual Machine Server |
| US20100257602A1 (en) * | 2009-04-01 | 2010-10-07 | Kevin Kettler | Method And Apparatus To Secure Contents On A Consumer Vital Appliance |
| CN102194063A (zh) * | 2010-03-12 | 2011-09-21 | 北京路模思科技有限公司 | 一种基于虚拟机技术安全管理使用密钥证书的方法和系统 |
| CN105071927A (zh) * | 2015-07-17 | 2015-11-18 | 上海众人网络安全技术有限公司 | 一种移动设备数据本地存储方法 |
| CN105447394A (zh) * | 2015-11-23 | 2016-03-30 | 浪潮集团有限公司 | 一种带本地数据加密功能的智能密码钥匙 |
-
2018
- 2018-09-17 CN CN201811080216.8A patent/CN109412795A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031255A1 (en) * | 2008-07-14 | 2010-02-04 | Gary Douglas Huber | Modular Virtual Machine Server |
| US20100257602A1 (en) * | 2009-04-01 | 2010-10-07 | Kevin Kettler | Method And Apparatus To Secure Contents On A Consumer Vital Appliance |
| CN102194063A (zh) * | 2010-03-12 | 2011-09-21 | 北京路模思科技有限公司 | 一种基于虚拟机技术安全管理使用密钥证书的方法和系统 |
| CN105071927A (zh) * | 2015-07-17 | 2015-11-18 | 上海众人网络安全技术有限公司 | 一种移动设备数据本地存储方法 |
| CN105447394A (zh) * | 2015-11-23 | 2016-03-30 | 浪潮集团有限公司 | 一种带本地数据加密功能的智能密码钥匙 |
Non-Patent Citations (2)
| Title |
|---|
| 国密局: "接口函数、设备的安全要求", 《智能 IC卡及智能密码钥匙密码应用接口规范》 * |
| 张亚飞: "基于可信执行环境的智能密码钥匙设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110474768A (zh) * | 2019-08-22 | 2019-11-19 | 上海豆米科技有限公司 | 一种有群组解密权限控制的信息安全传递系统及方法 |
| CN112134849A (zh) * | 2020-08-28 | 2020-12-25 | 国电南瑞科技股份有限公司 | 一种智能变电站的动态可信加密通信方法及系统 |
| CN112560058A (zh) * | 2020-12-17 | 2021-03-26 | 山东华芯半导体有限公司 | 基于智能密码钥匙的ssd分区加密存储系统及其实现方法 |
| CN112560058B (zh) * | 2020-12-17 | 2022-12-30 | 山东华芯半导体有限公司 | 基于智能密码钥匙的ssd分区加密存储系统及其实现方法 |
| CN115062330A (zh) * | 2022-08-18 | 2022-09-16 | 麒麟软件有限公司 | 基于tpm的智能密码钥匙密码应用接口的实现方法 |
| CN115062330B (zh) * | 2022-08-18 | 2022-11-11 | 麒麟软件有限公司 | 基于tpm的智能密码钥匙密码应用接口的实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rezaeighaleh et al. | New secure approach to backup cryptocurrency wallets | |
| CN109412795A (zh) | 一种虚拟智能密码钥匙 | |
| Pant et al. | Three step data security model for cloud computing based on RSA and steganography | |
| CN102567688B (zh) | 一种安卓操作系统上的文件保密系统及其保密方法 | |
| CN103580855A (zh) | 一种基于共享技术的UsbKey秘钥管理方案 | |
| CN110233729B (zh) | 一种基于puf的加密固态盘密钥管理方法 | |
| CN110224816A (zh) | 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备 | |
| Thilakanathan et al. | Secure multiparty data sharing in the cloud using hardware-based TPM devices | |
| CN113918982B (zh) | 一种基于标识信息的数据处理方法及系统 | |
| CN107911221A (zh) | 固态盘数据安全存储的密钥管理方法 | |
| CN103607273A (zh) | 一种基于时间期限控制的数据文件加解密方法 | |
| CN112787996B (zh) | 一种密码设备管理方法及系统 | |
| Hu | Study of file encryption and decryption system using security key | |
| CN114866228A (zh) | 一种实现软密码模块的方法、系统、存储介质及终端 | |
| CN110048920B (zh) | 基于密钥卡的抗量子计算智能家庭近距离节能通信方法和系统 | |
| CN114244509A (zh) | 使用移动终端进行sm2一次一密双向认证开锁的方法 | |
| CN106211108A (zh) | 一种基于rsa公钥的短信加密方法 | |
| Ahmet et al. | Cryptography challenges of cloud computing for e-government services | |
| EP4062582A1 (en) | Wrapped keys with access control predicates | |
| Sawle et al. | Survey on data classification and data encryption techniques used in cloud computing | |
| Karani et al. | Secure File Storage Using Hybrid Cryptography | |
| Badacho | A Solution for Privacy-Preserving and Security in Cloud for Document Oriented Data (By Using NoSQL Database)[J] | |
| JP2013127647A (ja) | 通信装置 | |
| Alnasser et al. | Encryption Algorithms Modeling in Detecting Man in the Middle Attack in Medical Organizations | |
| CN109840423B (zh) | 一种数据关系的记录方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190301 |
|
| RJ01 | Rejection of invention patent application after publication |