CN111431719A - 一种移动终端密码保护模块、移动终端及密码保护方法 - Google Patents
一种移动终端密码保护模块、移动终端及密码保护方法 Download PDFInfo
- Publication number
- CN111431719A CN111431719A CN202010312384.6A CN202010312384A CN111431719A CN 111431719 A CN111431719 A CN 111431719A CN 202010312384 A CN202010312384 A CN 202010312384A CN 111431719 A CN111431719 A CN 111431719A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- password
- key
- service
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明属于移动终端密码保护领域,提供了一种移动终端密码保护模块、移动终端及密码保护方法。其中,移动终端密码保护模块包括生物识别服务接口,其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制;密码服务子模块,其接收并响应生物识别服务接口传送来的身份识别及访问请求;所述密码服务子模块包括安全区、核心层和接口层,安全区用于将密钥信息和用户信息处理后存在至可信执行环境;核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储;接口层用于实现基于核心层的密码服务SDK开发包,为第三方应用系统提供密码应用开发接口,以便实现第三方应用系统对移动终端密码服务的调用。
Description
技术领域
本发明属于移动终端密码保护领域,尤其涉及一种移动终端密码保护模块、移动终端及密码保护方法。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
随着互联网技术的不断发展和移动智能手机的普及,移动智能终端应用越来越多,人们使用手机、PDA等移动终端连接公共通信网络(CDMA/GPRS/WCDMA等)随时随地的工作、娱乐,极大丰富了人们的生活,同时也带来了新的安全威胁。如何保证在开放网络中保障移动终端用户身份和接入安全、数据保密性以及由于移动终端容易丢失,如何保证移动终端内存储数据的安全性,这些针对移动设备开放环境的安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者,移动运营商以及芯片厂商。
发明人发现,在公开密钥密码体制中,为了保障用户私钥的安全性,用户的私钥通常是存储在专门的密码硬件中使用,如存储在USB Key、SmartCard中使用,且私钥不能从密码硬件中导出。但是,手机等移动终端上使用USB Key不是很方便并且易于丢失。
发明内容
为了解决上述问题,本发明提供一种移动终端密码保护模块、移动终端及密码保护方法,其在目前移动终端安全芯片未普及的情况下,有效的解决移动终端密钥安全存储和密码运算安全的问题。
为了实现上述目的,本发明采用如下技术方案:
本发明的第一方面提供一种移动终端密码保护模块。
一种移动终端密码保护模块,包括:
生物识别服务接口,其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制;
密码服务子模块,其接收并响应生物识别服务接口传送来的身份识别及访问请求;所述密码服务子模块包括安全区、核心层和接口层,所述安全区用于将密钥信息和用户信息处理后存在至可信执行环境;
所述核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储;
所述接口层用于实现基于核心层的密码服务SDK开发包,为第三方应用系统提供密码应用开发接口,以便实现第三方应用系统对移动终端密码服务的调用。
本发明的第二方面提供一种移动终端。
一种移动终端,包括上述所述的移动终端密码保护模块。
本发明的第三方面提供一种移动终端的密码保护方法。
一种移动终端的密码保护方法,包括:
调取密码服务子模块,注册个人信息;
个人信息审核通过后,向服务端申请密钥/证书,证书请求审核通过由服务端颁发用户证书;
接收并响应生物识别服务接口传送来的身份识别及访问请求,正常使用密码运算服务。
本发明的有益效果是:
本发明的移动终端密码保护模块中的密码服务子模块接收并响应生物识别服务接口传送来的身份识别及访问请求,将密钥信息和用户信息处理后存在至可信执行环境,提高了信息存储的安全性;利用核心层实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储,实现基于核心层的密码服务SDK开发包,为第三方应用系统提供密码应用开发接,为用户提供移动终端、PC等全终端环境下的可信身份认证服务;
本发明在移动终端密码保护的过程中,采用软件方法来实现以下步骤:调取密码服务子模块,注册个人信息;个人信息审核通过后,向服务端申请密钥/证书,证书请求审核通过由服务端颁发用户证书;接收并响应生物识别服务接口传送来的身份识别及访问请求,正常使用密码运算服务,避免了手机等移动终端上使用USB Key不方便且易于丢失的问题,提高了移动终端密码保护的便捷性。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是本发明实施例的移动终端密码保护模块结构架构图;
图2是本发明实施例的用户注册/登录流程图;
图3是本发明实施例的密钥/证书申请流程图;
图4是本发明实施例的第三方应用系统移动端APP签名流程图;
图5是本发明实施例的第三方应用系统PC端扫码签名流程图;
图6是本发明实施例的公众号/小程序推送签名流程图;
图7是本发明实施例的第三方应用系统移动电子签章流程图;
图8是本发明实施例的移动终端密码安全应用体系架构图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
术语:SDK软件开发工具包一般都是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。
为保证移动终端用户信息和用户密钥的安全,移动终端侧的移动终端密码保护模块架构设计如图1所示。
本实施例的移动终端密码保护模块,包括:
生物识别服务接口,其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制;
密码服务子模块,其接收并响应生物识别服务接口传送来的身份识别及访问请求;所述密码服务子模块包括安全区、核心层和接口层,所述安全区用于将密钥信息和用户信息处理后存在至可信执行环境;采用基于国密SM2算法及其他国产密码算法的密钥分割技术,实现对密钥的存储安全和使用安全。
所述核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储;
所述接口层用于实现基于核心层的密码服务SDK开发包,为第三方应用系统提供密码应用开发接口,以便实现第三方应用系统对移动终端密码服务的调用。
其中,所述核心层包括基于密钥分割技术的密码运算、基于密码运算的密码安全服务、基于终端生物识别技术的身份认证以及基于安全区安全存储技术的关键数据、信息的安全存储功能。
移动终端安全架构设计中,使用到如下安全技术:
密钥分割技术:该技术属于核心层重要组成部分,使用密钥分割算法(基于SM2算法及其他同类国产密码算法)和协同运算技术,实现密钥的分片存储。其主要过程描述如下:将移动终端用户私钥通过密钥分割算法分割成两份,每份称为秘密份额,然后将每份秘密份额存储到不同的计算装置中,一部分保存在服务器端,一部分保存在移动终端,保证密钥存储和使用的安全性;当密码应用程序、系统需要使用用户私钥进行密码运算时,服务端和移动终端分别使用自己的秘密份额进行密码协同运算,最后将双方计算的结果合并,形成使用用户最终私钥进行密码运算的结果。
生物识别技术:使用移动终端指纹模块或人脸识别软件,通过指纹/人脸识别,实现对密钥信息和个人信息的身份识别和访问控制。
安全存储技术:基于移动设备主处理器之上的硬件信任根,在主处理器上构筑一个与移动操作系统并行且隔离的TEE(Trusted Execution Environment)可信执行环境,通过对设备资源的特权访问,为授权的应用程序提供安全的存储和运行环境,防止敏感应用及数据收到来自开放操作系统端恶意软件的攻击,保护应用及数据的安全。本系统中将密钥信息、用户信息经过安全处理里,存储于移动终端的TEE(可信执行环境)中,保证密钥信息和个人用户信息的安全性,防止第三方应用对其非法使用。
二维码技术:该技术属于核心层,通过二维码技术与数字签名技术的结合,实现基于二维码技术的身份认证(扫码登录)和密码运算(扫码签名)。
基于上述移动终端密码保护模块,本实施例还提供了一种移动终端。
可以理解的是,此处的移动终端可为手机或PC机等终端。
本实施例的移动终端的密码保护方法,包括:
调取密码服务子模块,注册个人信息;
个人信息审核通过后,向服务端申请密钥/证书,证书请求审核通过由服务端颁发用户证书;
接收并响应生物识别服务接口传送来的身份识别及访问请求,正常使用密码运算服务。
具体地,基于移动终端密码保护模块的移动终端进行密码保护的应用流程包括用户注册/登录、密钥/证书申请、数字签名、验证签名、手写签名采集、移动电子签章等。
移动终端用户首先需要在移动密码服务APP中注册个人信息,服务端用户审核通过后,移动用户可通过登录APP进行密钥/证书申请,服务端证书请求审核通过并颁发用户证书后,移动终端用户即可正常使用数字签名、验证签名、手写签名采集、移动电子签章等密码运算服务。具体流程如下:
(1)用户注册/登录
如图2所示,第三方应用系统审核注册用户身份,将用户信息录入应用系统中;
第三方应用系统转发用户信息至移动终端密码安全服务平台,开通移动终端证书权限;
用户下载并安装移动终端APP,注册移动端APP,获取激活码;
密码安全服务平台发送短信激活码至移动终端APP;
移动终端APP输入获取的激活码,完成注册;
注册完成后,用户可设置口令、指纹等身份识别信息。
(2)密钥/证书申请
如图3所示,移动终端用户首次登录成功后,进入密钥和证书申请页面,确定信息无误后,提交密钥和证书申请;
移动终端与服务端协同运算,生成移动端密钥片段和服务端密钥片段,移动端密钥通过加密处理后,存储于移动端TEE环境中,服务端密钥通过加密处理后存储在服务端数据库中;
服务端根据服务端配置的证书策略和模板,向第三方CA认证机构发起证书申请请求,CA自动审核通过后,返回服务端证书信息和加密密钥;
服务端返回移动端密钥/证书申请成功状态信息,移动端用户也可通过证书查看功能,查看证书详细信息。
(3)数字签名
根据具体使用场景和使用方式不同,该发明数字签名方式分为三种,具体如下:
(3.1)移动端第三方APP数字签名
如图4所示,第三方APP请求数字签名,APP服务端生成待签名数据,调用移动端密码服务接口,发送待签名数据或签名挑战信息至移动端密码服务;
移动端密码服务子模块接收到数字签名请求,判断密码服务子模块APP是否已经登录,如未登录,通过口令/指纹/人脸进行认证登录,如已经登录,略过登录步骤。接收到数字签名请求后,弹出认证PIN码输入框,输入正确的PIN码后,请求与后台服务端进行协同签名;
服务端接收到移动端协同运算请求后,与移动端进行通信,对待签名数据信息进行协同签名,得到签名值;
移动端将签名值发送至第三方APP服务器,服务器接收到签名值后,将挑战信息和签名值发送至移动终端密码安全服务器进行验证签名,并将验签结果返回给第三方APP服务器;
(3.2)PC终端第三方应用系统的数字签名
如图5所示,PC端用户使用浏览器登录应用系统,应用系统服务端生成待签名数据,向免服务终端安全服务系统发送数字签名请求,应用系统认证通过后,推送二维码至客户端浏览器;
移动端密码服务APP如未登录,通过口令/指纹/人脸进行认证登录,如已经登录,略过登录步骤。使用APP扫码功能,扫描二维码,弹出认证PIN码输入框,输入正确的PIN码后,请求与后台服务端进行协同签名;
移动安全服务端接收到移动端协同运算请求后,与移动端进行通信,对待签名信息进行协同签名,得到签名值;
移动安全服务端将签名值发送至应用系统服务器,应用系统服务器接收到签名值;
(3.3)公众号/小程序推送签名
如图6所示,公众号/小程序服务端生成带签名数据,携带用户基本信息,发送签名请求至移动终端密码安全服务器;
移动终端密码安全服务器接收到签名请求,根据用户信息,与该用户移动终端密码服务APP进行通信;
移动终端密码服务APP接收到服务端发来的签名请求,APP如未登录,通过口令/指纹/人脸进行认证登录,如已经登录,略过登录步骤。服务端接收到移动端协同运算请求后,与移动端进行通信,对待签名数据信息进行协同签名,得到签名值;
移动终端密码安全服务器推送签名值至微信公众号/小程序服务端。
(4)验证签名
应用系统服务端发送签名者唯一ID、签名的原文、签名值至移动终端密码安全服务器;
移动终端密码服务接收到验证请求,根据签名者唯一ID,获取对应的公钥证书信息;
移动终端密码服务根据获得的公钥证书、签名原文、签名值,对签名进行验证;
移动终端密码服务返回签名验证结果至应用系统服务器;
(5)手写签名采集
登录移动终端密码服务APP;
使用签名采集功能,通过手机手写方式采集个人签名图片;
对个人签名图片,使用持有人所持有的密钥进行加密处理,存储于移动终端TEE可信执行环境中。
(6)移动电子签章
如图7所示,第三方移动终端应用发起移动签章请求,发送待签章文件数据(PDF格式文件)、签章人唯一ID、签章信息(包括签章种类、位置坐标、签章图片等)至移动密码安全服务器;
移动密码安全服务器接收到移动签章请求信息,根据用户信息,与移动端密码安全服务APP进行通信;
移动终端密码服务APP接收到服务端发来的签名请求,APP如未登录,通过口令/指纹/人脸进行认证登录,如已经登录,略过登录步骤。服务端与移动端对待签名数据信息进行协同签名,得到签名值;
根据签名值、签章信息对待签名PDF格式文件数据进行处理,按照签章请求要求,插入签章数据信息;
返回签章后的PDF文件数据至第三方服务端,第三方移动终端应用展示签章效果。
下面详细以移动终端为例,给出了移动终端密码安全应用体系架构图,如图8所示。在图8中,移动终端密码安全应用体系分为密码算法层、密码支撑层、密码服务层和应用层。
其中,密码算法层主要为密码支撑层提供算法支持,密码支撑层通过基于国际和国内通用密码算法的硬件实现,实现对数据的签名、验签、加解密等密码运算;
密码服务层基于密码支撑层的密码硬件设备,通过调用密码支撑层密码运算接口进行数据交互,完成相应数据密码运算功能,实现基于移动终端的密码服务,密码服务层的平台侧和终端侧之间数据通信通过链路加密传输,保证数据传输安全性;
应用层主要通过调用密码服务层提供的密码服务接口,对密码服务层密码服务进行调用,实现基于密码服务层的数据签名、验签、加解密等,保证应用层数据安全。
密码算法层:主要包括分对称算法、对称算法等算法实现,可基于密码算法芯片,也可基于软件算法实现,此系统中主要是指基于公钥算法的密钥分割算法和对称算法;
密码支撑层:主要分为平台侧和终端侧,平台侧主要包括密码服务设备、加密卡/机作为密码支撑,终端侧则依赖移动终端密码芯片、TEE可信执行环境和keychain作为密码服务支撑;
密码服务层:分为平台侧和终端侧,平台侧主要包括系统的配置管理、用户管理、访问控制、密钥管理等。终端侧包括身份认证、身份管理、签名验签、加密解密和电子签章等;
应用层:主要指第三方应用系统,包括银行支付系统、办公系统等。
本实施例的移动终端密码保护模块中的密码服务子模块接收并响应生物识别服务接口传送来的身份识别及访问请求,将密钥信息和用户信息处理后存在至可信执行环境,提高了信息存储的安全性;利用核心层实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储,实现基于核心层的密码服务SDK开发包,为第三方应用系统提供密码应用开发接,为用户提供移动终端、PC等全终端环境下的可信身份认证服务;
本实施例在移动终端密码保护的过程中,采用软件方法来实现以下步骤:调取密码服务子模块,注册个人信息;个人信息审核通过后,向服务端申请密钥/证书,证书请求审核通过由服务端颁发用户证书;接收并响应生物识别服务接口传送来的身份识别及访问请求,正常使用密码运算服务,避免了手机等移动终端上使用USB Key不方便且易于丢失的问题,提高了移动终端密码保护的便捷性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种移动终端密码保护模块,其特征在于,包括:
生物识别服务接口,其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制;
密码服务子模块,其接收并响应生物识别服务接口传送来的身份识别及访问请求;所述密码服务子模块包括安全区、核心层和接口层,所述安全区用于将密钥信息和用户信息处理后存在至可信执行环境;
所述核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储;
所述接口层用于实现基于核心层的密码服务SDK开发包,为第三方应用系统提供密码应用开发接口,以便实现第三方应用系统对移动终端密码服务的调用。
2.如权利要求1所述的移动终端密码保护模块,其特征在于,所述核心层还用于利用密钥分割和协同运算方法来实现密钥的分片存储。
3.如权利要求2所述的移动终端密码保护模块,其特征在于,在所述核心层中,密钥分片存储的过程为:
将移动终端用户私钥通过密钥分割算法分割成两份,每份称为秘密份额,然后将每份秘密份额存储到不同的计算装置中,一部分保存在服务器端,一部分保存在移动终端,保证密钥存储和使用的安全性;
当密码应用程序需要使用用户私钥进行密码运算时,服务端和移动终端分别使用自己的秘密份额进行密码协同运算,最后将双方计算的结果合并,形成使用用户最终私钥进行密码运算的结果。
4.如权利要求1所述的移动终端密码保护模块,其特征在于,在所述核心层中,通过二维码与数字签名的结合,实现基于二维码技术的身份认证和密码运算。
5.如权利要求1所述的移动终端密码保护模块,其特征在于,所述生物识别服务接口包括指纹传感器接口、图像采集传感器接口和声音采集传感器接口。
6.一种移动终端,其特征在于,包括如权利要求1-5中任一项所述的移动终端密码保护模块。
7.一种如权利要求6所述的移动终端的密码保护方法,其特征在于,包括:
调取密码服务子模块,注册个人信息;
个人信息审核通过后,向服务端申请密钥/证书,证书请求审核通过由服务端颁发用户证书;
接收并响应生物识别服务接口传送来的身份识别及访问请求,正常使用密码运算服务。
8.如权利要求7所述的移动终端的密码保护方法,其特征在于,向服务端申请密钥/证书的过程为:
移动终端用户首次登录成功后,进入密钥和证书申请页面,确定信息无误后,提交密钥和证书申请;
移动终端与服务端协同运算,生成移动端密钥片段和服务端密钥片段,移动端密钥通过加密处理后,存储于移动端的可信执行环境中,服务端密钥通过加密处理后存储在服务端数据库中;
服务端根据预先配置的证书策略和模板,向第三方CA认证机构发起证书申请请求,第三方CA认证机构自动审核通过后,返回服务端证书信息和加密密钥;
服务端返回移动端密钥/证书申请成功状态信息。
9.如权利要求7所述的移动终端的密码保护方法,其特征在于,所述密码运算服务包括数字签名、验证签名、手写签名采集和移动电子签章。
10.如权利要求9所述的移动终端的密码保护方法,其特征在于,所述数字签名包括移动端第三方APP数字签名、PC终端第三方应用系统的数字签名和公众号/小程序推送签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010312384.6A CN111431719A (zh) | 2020-04-20 | 2020-04-20 | 一种移动终端密码保护模块、移动终端及密码保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010312384.6A CN111431719A (zh) | 2020-04-20 | 2020-04-20 | 一种移动终端密码保护模块、移动终端及密码保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111431719A true CN111431719A (zh) | 2020-07-17 |
Family
ID=71554808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010312384.6A Pending CN111431719A (zh) | 2020-04-20 | 2020-04-20 | 一种移动终端密码保护模块、移动终端及密码保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431719A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411209A (zh) * | 2021-05-31 | 2021-09-17 | 中国电力科学研究院有限公司 | 一种分布式的密码服务全链路检测系统及方法 |
| CN113746636A (zh) * | 2021-08-27 | 2021-12-03 | 上海浦东发展银行股份有限公司 | 统一数字安全服务方法、装置、电子设备、及存储介质 |
| CN113922958A (zh) * | 2021-12-15 | 2022-01-11 | 深圳市财富趋势科技股份有限公司 | 基于生物识别和sm2协同密码算法的密码保护方法及装置 |
| CN114021187A (zh) * | 2021-11-04 | 2022-02-08 | 海南南海云控股股份有限公司 | 一种数据处理系统、方法及电子设备 |
| CN114338035A (zh) * | 2021-12-15 | 2022-04-12 | 南京壹证通信息科技有限公司 | 一种基于密钥协同签名的移动端pdf电子签章方法及系统 |
| CN114385248A (zh) * | 2020-10-22 | 2022-04-22 | 四零四科技股份有限公司 | 处理信任链的计算系统及装置 |
| CN114520723A (zh) * | 2020-11-19 | 2022-05-20 | 上海铠射信息科技有限公司 | 一种新型的手写电子签名可靠性保障方法和装置 |
| CN114692113A (zh) * | 2020-12-31 | 2022-07-01 | 成都鼎桥通信技术有限公司 | 解密方法、装置、移动终端和可读存储介质 |
| CN114915432A (zh) * | 2021-02-09 | 2022-08-16 | 龙芯中科(合肥)技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN115134423A (zh) * | 2022-06-28 | 2022-09-30 | 北京东进华安技术有限公司 | 密码卡通信系统及方法 |
| CN115529140A (zh) * | 2022-09-15 | 2022-12-27 | 北京天威诚信电子商务服务有限公司 | 一种基于微信小程序的数字签名协同生成方法及系统 |
| CN115632778A (zh) * | 2022-12-20 | 2023-01-20 | 四川省数字证书认证管理中心有限公司 | 一种多端加解密互通方法 |
| CN116827542A (zh) * | 2023-08-29 | 2023-09-29 | 江苏省国信数字科技有限公司 | 一种智能设备的数字证书管理方法及系统 |
| CN117040768A (zh) * | 2023-10-10 | 2023-11-10 | 确信信息股份有限公司 | 基于密码安全扫码实现pc端人员电子签名的方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970299A (zh) * | 2012-11-27 | 2013-03-13 | 西安电子科技大学 | 文件安全保护系统及其方法 |
| CN103812871A (zh) * | 2014-02-24 | 2014-05-21 | 北京明朝万达科技有限公司 | 一种基于移动终端应用程序安全应用的开发方法及系统 |
| CN105516180A (zh) * | 2015-12-30 | 2016-04-20 | 北京金科联信数据科技有限公司 | 基于公钥算法的云密钥认证系统 |
| CN205725829U (zh) * | 2015-12-30 | 2016-11-23 | 北京金科联信数据科技有限公司 | 云密钥认证装置 |
| CN107342862A (zh) * | 2017-08-28 | 2017-11-10 | 北京信任度科技有限公司 | 一种云加端三权分立实现密钥生成和保护的方法及系统 |
| CN107370601A (zh) * | 2017-09-18 | 2017-11-21 | 山东确信信息产业股份有限公司 | 一种集成多种安全认证的智能终端、系统及方法 |
| CN108712382A (zh) * | 2018-04-17 | 2018-10-26 | 新大陆(福建)公共服务有限公司 | 一种基于安全二维码的数字身份的认证方法以及系统 |
| CN109412812A (zh) * | 2018-08-29 | 2019-03-01 | 中国建设银行股份有限公司 | 数据安全处理系统、方法、装置和存储介质 |
-
2020
- 2020-04-20 CN CN202010312384.6A patent/CN111431719A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970299A (zh) * | 2012-11-27 | 2013-03-13 | 西安电子科技大学 | 文件安全保护系统及其方法 |
| CN103812871A (zh) * | 2014-02-24 | 2014-05-21 | 北京明朝万达科技有限公司 | 一种基于移动终端应用程序安全应用的开发方法及系统 |
| CN105516180A (zh) * | 2015-12-30 | 2016-04-20 | 北京金科联信数据科技有限公司 | 基于公钥算法的云密钥认证系统 |
| CN205725829U (zh) * | 2015-12-30 | 2016-11-23 | 北京金科联信数据科技有限公司 | 云密钥认证装置 |
| CN107342862A (zh) * | 2017-08-28 | 2017-11-10 | 北京信任度科技有限公司 | 一种云加端三权分立实现密钥生成和保护的方法及系统 |
| CN107370601A (zh) * | 2017-09-18 | 2017-11-21 | 山东确信信息产业股份有限公司 | 一种集成多种安全认证的智能终端、系统及方法 |
| CN108712382A (zh) * | 2018-04-17 | 2018-10-26 | 新大陆(福建)公共服务有限公司 | 一种基于安全二维码的数字身份的认证方法以及系统 |
| CN109412812A (zh) * | 2018-08-29 | 2019-03-01 | 中国建设银行股份有限公司 | 数据安全处理系统、方法、装置和存储介质 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114385248A (zh) * | 2020-10-22 | 2022-04-22 | 四零四科技股份有限公司 | 处理信任链的计算系统及装置 |
| CN114385248B (zh) * | 2020-10-22 | 2024-04-23 | 四零四科技股份有限公司 | 处理信任链的计算系统及装置 |
| CN114520723A (zh) * | 2020-11-19 | 2022-05-20 | 上海铠射信息科技有限公司 | 一种新型的手写电子签名可靠性保障方法和装置 |
| CN114692113B (zh) * | 2020-12-31 | 2024-02-13 | 成都鼎桥通信技术有限公司 | 解密方法、装置、移动终端和可读存储介质 |
| CN114692113A (zh) * | 2020-12-31 | 2022-07-01 | 成都鼎桥通信技术有限公司 | 解密方法、装置、移动终端和可读存储介质 |
| CN114915432A (zh) * | 2021-02-09 | 2022-08-16 | 龙芯中科(合肥)技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN113411209A (zh) * | 2021-05-31 | 2021-09-17 | 中国电力科学研究院有限公司 | 一种分布式的密码服务全链路检测系统及方法 |
| CN113746636A (zh) * | 2021-08-27 | 2021-12-03 | 上海浦东发展银行股份有限公司 | 统一数字安全服务方法、装置、电子设备、及存储介质 |
| CN113746636B (zh) * | 2021-08-27 | 2024-04-12 | 上海浦东发展银行股份有限公司 | 统一数字安全服务方法、装置、电子设备、及存储介质 |
| CN114021187A (zh) * | 2021-11-04 | 2022-02-08 | 海南南海云控股股份有限公司 | 一种数据处理系统、方法及电子设备 |
| CN114021187B (zh) * | 2021-11-04 | 2023-02-28 | 云海链控股股份有限公司 | 一种数据处理系统、方法及电子设备 |
| CN114338035A (zh) * | 2021-12-15 | 2022-04-12 | 南京壹证通信息科技有限公司 | 一种基于密钥协同签名的移动端pdf电子签章方法及系统 |
| CN113922958B (zh) * | 2021-12-15 | 2022-03-11 | 深圳市财富趋势科技股份有限公司 | 基于生物识别和sm2协同密码算法的密码保护方法及装置 |
| CN113922958A (zh) * | 2021-12-15 | 2022-01-11 | 深圳市财富趋势科技股份有限公司 | 基于生物识别和sm2协同密码算法的密码保护方法及装置 |
| CN115134423A (zh) * | 2022-06-28 | 2022-09-30 | 北京东进华安技术有限公司 | 密码卡通信系统及方法 |
| CN115529140A (zh) * | 2022-09-15 | 2022-12-27 | 北京天威诚信电子商务服务有限公司 | 一种基于微信小程序的数字签名协同生成方法及系统 |
| CN115632778A (zh) * | 2022-12-20 | 2023-01-20 | 四川省数字证书认证管理中心有限公司 | 一种多端加解密互通方法 |
| CN116827542B (zh) * | 2023-08-29 | 2023-11-07 | 江苏省国信数字科技有限公司 | 一种智能设备的数字证书管理方法及系统 |
| CN116827542A (zh) * | 2023-08-29 | 2023-09-29 | 江苏省国信数字科技有限公司 | 一种智能设备的数字证书管理方法及系统 |
| CN117040768A (zh) * | 2023-10-10 | 2023-11-10 | 确信信息股份有限公司 | 基于密码安全扫码实现pc端人员电子签名的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| US10516538B2 (en) | System and method for digitally signing documents using biometric data in a blockchain or PKI | |
| CN107079034B (zh) | 一种身份认证的方法、终端设备、认证服务器及电子设备 | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| JP5601729B2 (ja) | 移動無線機の移動無線網へのログイン方法 | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| CN110290134B (zh) | 一种身份认证方法、装置、存储介质及处理器 | |
| CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| JP2018038068A (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
| JP2018504789A (ja) | 決済認証システム、方法及び装置 | |
| EP3080946A2 (en) | Near field communication authentication mechanism | |
| CN109145628B (zh) | 一种基于可信执行环境的数据采集方法及系统 | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN109495268B (zh) | 一种二维码认证方法、装置及计算机可读存储介质 | |
| CN111800377B (zh) | 一种基于安全多方计算的移动终端身份认证系统 | |
| CN111541713A (zh) | 基于区块链和用户签名的身份认证方法及装置 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| CN113763621A (zh) | 一种基于区块链的门禁授权方法、管理客户端和系统 | |
| KR101792220B1 (ko) | 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램 | |
| CN111062059A (zh) | 用于业务处理的方法和装置 | |
| CN112039857B (zh) | 一种公用基础模块的调用方法和装置 | |
| CN114584324B (zh) | 一种基于区块链的身份授权方法和系统 | |
| CN2914498Y (zh) | 基于通用串行总线人机交互类设备的信息安全设备 | |
| CN113297563B (zh) | 访问片上系统特权资源的方法、装置及片上系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |