CN113612607A - 终端密码能力共享的方法、装置、存储介质和电子设备 - Google Patents
终端密码能力共享的方法、装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN113612607A CN113612607A CN202110894855.3A CN202110894855A CN113612607A CN 113612607 A CN113612607 A CN 113612607A CN 202110894855 A CN202110894855 A CN 202110894855A CN 113612607 A CN113612607 A CN 113612607A
- Authority
- CN
- China
- Prior art keywords
- terminal
- service
- password
- cryptographic
- operation terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 111
- 230000006870 function Effects 0.000 claims description 68
- 238000004891 communication Methods 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 43
- 238000004590 computer program Methods 0.000 claims description 10
- 238000009795 derivation Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 10
- 230000004044 response Effects 0.000 description 9
- 239000003795 chemical substances by application Substances 0.000 description 6
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供一种终端密码能力共享的方法、装置、存储介质和电子设备,该方法包括:服务终端接收第一操作终端发送的密码功能请求报文;其中,第一操作终端为至少一个操作终端中任意一个操作终端,密码功能请求报文是由第一操作终端根据业务信息和事先协商好的密钥生成的;服务终端在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;服务终端向第一操作终端反馈密码操作结果。本申请实施例能够使得不具备密码操作条件的操作终端借用用户所拥有的其它服务共享终端的密码能力,为该服务需求终端上的业务提供保护。
Description
技术领域
本申请涉及密码技术领域,尤其涉及一种终端密码能力共享的方法、装置、存储介质和电子设备。
背景技术
密码技术是保护信息安全的重要手段,通常各种信息系统、互联网应用采用密码技术,进行用户的身份认证、数据加密解密和数字签名来保证业务所需要的身份真实性、消息完整性以及数据保密性。通常,在终端(例如,手机、平板和计算机等各类智能终端)会使用各种密码模块来提供所需要的密码服务。
在一些场景(例如,家庭场景)中,用户可具有多个终端,如果用户需要在多个终端访问网络应用,就需要在多个终端都安装密码模块,使得其能够支持与业务配套的密码保护机制。
但是,这种方式在目前业务终端快速发展并且异构化的情况下存在很多技术障碍。例如,对于手机终端来说,在没有单独硬件支持的情况下,密码能力不足,没有足够的产生随机数的能力,或者具有密码处理能力但是没有相应的密钥来完成所需操作等。
发明内容
本申请实施例的目的在于提供一种终端密码能力共享的方法、装置、存储介质和电子设备,以解决现有技术中存在着的不具备密码操作条件的终端无法实现密码操作的问题。
第一方面,本申请实施例提供了一种终端密码能力共享的方法,该方法应用于密码能力共享系统中的服务终端,密码能力共享终端包括至少一个操作终端和服务终端,至少一个操作终端中每个操作终端均存储有与服务终端事先协商好的密钥,服务终端配置有密码模块,方法包括:接收第一操作终端发送的密码功能请求报文;其中,第一操作终端为至少一个操作终端中任意一个操作终端,密码功能请求报文是由第一操作终端根据业务信息和事先协商好的密钥生成的;在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;向第一操作终端反馈密码操作结果。
因此,借助于上述技术方案,本申请实施例能够使得不具备密码操作条件的操作终端借用用户所拥有的其它服务终端的密码能力,为该操作终端的上的业务提供保护。此外,本申请实施例可使用操作终端和服务终端事先协商得到的密钥完成操作终端身份的鉴别、完整性保护和消息的机密性保护。
例如,在手机上安装了协同密码模块的情况下,该手机可以为计算机、平板电脑等提供密码功能。
也就是说,服务终端可见其密码操作接口,以网络服务形式提供给其他终端。此外,在业务过程中,因为密码能力不足或者缺少密钥操作其他要素的操作终端,当其需要密码操作时,能够通过短距离网络,以报文的形式,通过上述网络服务,能够完成密码调用。
这里需要说明的是,终端密码能力共享是指可以将服务终端具体的密码能力(例如,签名、加密和导入证书等)共享给操作终端。
在一个可能的实施例中,第一操作终端通过短距离通信网络和服务终端进行通信。
因此,本申请实施例中的第一操作终端和服务终端可采用短距离通信网络进行通信,从而使只有在一定距离内的终端才能够进行连接到服务终端所提供的网络服务上。服务终端通过带外方式,与操作终端协商用于对短距离通信网络中承载终端实体身份的鉴别以及通信的保护。
其中,目标服务进绑定在短距离通信网络(例如,蓝牙等),从而只有在一定距离内的终端才能够连接到服务终端所提供的网络服务上。
在一个可能的实施例中,事先协商好的密钥是通过对第一操作终端和服务终端共同知晓的秘密信息进行派生后生成的;其中,秘密信息的传递过程包括:生成并存储与第一操作终端对应的秘密信息;通过带外通道将秘密信息发送至第一操作终端,以便于第一操作终端存储秘密信息。
因此,本申请实施例中服务终端和第一操作终端共同知晓的秘密信息可用于在通信中鉴别第一操作终端的身份,以及还可保护服务终端和第一操作终端之间的通信数据。
在一个可能的实施例中,在确定第一操作终端为被许可共享的终端的情况下,服务终端中也存储有服务终端事先协商好的密钥,事先协商好的密钥包括用于身份鉴别的鉴别密钥和用于保护第一操作终端和服务终端之间的通信数据的加解密密钥;其中,事先协商好的密钥的生成过程包括:对秘密信息进行杂凑运算,获得杂凑值;选取杂凑值的部分比特作为鉴别密钥;选取杂凑值的除部分比特之外的剩余比特作为加解密密钥。
在一个可能的实施例中,在向第一操作终端反馈密码操作结果之后,方法还包括:对事先协商好的密钥和秘密信息进行删除处理。
第二方面,本申请实施例提供了一种终端密码能力共享的方法,方法应用于密码能力共享系统中的第一操作终端,密码能力共享终端包括至少一个操作终端和服务终端,第一操作终端为至少一个操作终端中任意一个操作终端,并且至少一个操作终端中每个操作终端均存储有与服务终端事先协商好的密钥,服务终端配置有密码模块,方法包括:获取业务信息;根据业务信息和事先协商好的密钥,生成密码功能请求报文;向服务终端发送密码功能请求报文,以便于服务终端在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;接收服务终端反馈的密码操作结果。
在一个可能的实施例中,第一操作终端通过短距离通信网络和服务终端进行通信。
在一个可能的实施例中,事先协商好的密钥是通过对第一操作终端和服务终端共同知晓的秘密信息进行派生后生成的;其中,秘密信息的传递过程包括:通过带外通道接收服务终端发送的秘密信息,并存储秘密信息。
在一个可能的实施例中,事先协商好的密钥包括用于身份鉴别的鉴别密钥和用于保护第一操作终端和服务终端之间的通信数据的加解密密钥;其中,事先协商好的密钥的生成过程包括:对秘密信息进行杂凑运算,获得杂凑值;选取杂凑值的部分比特作为鉴别密钥;选取杂凑值的除部分比特之外的剩余比特作为加解密密钥。
在一个可能的实施例中,在接收服务终端反馈的密码操作结果之后,方法还包括:对事先协商好的密钥和秘密信息进行删除处理。
第三方面,本申请实施例提供了一种终端密码能力共享的装置,装置应用于密码能力共享系统中的服务终端,密码能力共享终端包括至少一个操作终端和服务终端,至少一个操作终端中每个操作终端均存储有与服务终端事先协商好的密钥,服务终端配置有密码模块,装置包括:第一接收模块,用于接收第一操作终端发送的密码功能请求报文;其中,第一操作终端为至少一个操作终端中任意一个操作终端,密码功能请求报文是由第一操作终端根据业务信息和事先协商好的密钥生成的;操作模块,用于在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;反馈模块,用于向第一操作终端反馈密码操作结果。
第四方面,本申请实施例提供了一种终端密码能力共享的装置,装置应用于密码能力共享系统中的第一操作终端,密码能力共享终端包括至少一个操作终端和服务终端,第一操作终端为至少一个操作终端中任意一个操作终端,并且至少一个操作终端中每个操作终端均存储有与服务终端事先协商好的密钥,服务终端配置有密码模块,装置包括:获取模块,用于获取业务信息;第一生成模块,用于根据业务信息和事先协商好的密钥,生成密码功能请求报文;发送模块,用于向服务终端发送密码功能请求报文,以便于服务终端在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;第二接收模块,用于接收服务终端反馈的密码操作结果。
第五方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第六方面,本申请实施例提供了一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第二方面或第二方面的任一可选的实现方式所述的方法。
第七方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第一方面或第一方面的任一可选的实现方式所述的方法。
第八方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行第二方面或第二方面的任一可选的实现方式所述的方法。
第九方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
第十方面,本申请提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行第二方面或第二方面的任意可能的实现方式中的方法。
为使本申请实施例所要实现的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种密码能力共享系统的示意图;
图2示出了本申请实施例提供的一种秘密信息的传输方法的示意图;
图3示出了本申请实施例提供的一种终端密码能力共享的方法的流程图;
图4示出了本申请实施例提供的一种终端密码能力共享的装置的结构框图;
图5示出了本申请实施例提供的另一种终端密码能力共享的装置的结构框图;
图6示出了本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
目前,在一些场景中,用户具有多个终端,但是,并非每个终端上都配置有密码模块,使得没有配置密码模块的终端具有安全隐患。
因此,急需一种新的终端密码能力共享的方法,该方法能够使得具备条件的操作终端能够借用用户所拥有的其他终端(例如,服务终端)的密码能力,从而能够操作终端也能够实现密码相关操作,进而能够保障该操作终端和业务系统交互的安全。
请参见图1,图1示出了本申请实施例提供的一种密码能力共享系统的示意图。如图1所示,该密码能力共享系统包括通信连接的服务终端和操作终端。其中,该服务终端可设置有密码服务和密码模块,该操作终端可设置有业务应用模块和密码代理模块。
应理解,服务终端的具体设备和操作终端的具体设备均可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,服务终端可以为计算机,操作终端可以为手机。
还应理解,服务终端和操作终端的通信方式也可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,服务终端和操作终端可通过短距离通信网络进行通信,从而得服务终端和操作终端为同一用户持有的终端,进而能够保障系统的安全。其中,短距离通信网络是指通信距离小于预设通信距离的无线通信网络,例如,蓝牙和WIFI等。
还应理解,预设通信距离的具体距离可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,在预设通信距离的距离为10米的情况下,该无线通信网络可以为蓝牙网络。
还应理解,密码模块的具体模块以及密码模块和服务终端的配置方式等均可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,密码模块可以为硬件密码模块(例如,密码卡、USBKey和IC卡等),也可以为软件密码模块(例如,白盒密码和本地密钥分片等)。
也就是说,该密码模块可以是插接在终端的接口上的硬件密码模块,也可以是在终端上安装的软件密码模块。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
具体地,可在服务终端上启动一个可绑定在短距离通信网络上的密码服务,以及服务终端可为该操作终端产生一个短时有效的秘密信息,并可通过带外通道的方式将秘密信息发送给操作终端。其中,秘密信息的具体有效时间也可根据实际需求来进行设置,本申请实施例并不局限于此。例如,秘密信息的有效时间可以为30秒,也可以为5分钟,也可以为在进行一次密码能力共享过程后立即删除等。
以及,在操作终端上可安装有密码代理模块,该密码代理模块可使用秘密信息在短距离通信网络上连接服务终端提供的密码功能(或者密码服务),并且该服务终端可将操作终端请求的密码功能在独立的进程中完成,以及该服务终端还可将派生出的密钥存储在独立的进行空间中,其他进程无法直接访问,从而保障了密钥的安全。此外,在操作终端将操作终端请求发送给服务终端后,服务终端可执行与密码功能请求报文对应的密码操作,并可将密码操作结果反馈给操作终端。
因此,对于用户掌握的两个终端设备,在用户控制的短距离通信网络空间,可形成“客户端”和“服务器”的工作模式,作为服务端设备支持将密码功能以短距离网络上的网络服务形式提供,作为客户端设备将业务需要的密码功能转发给服务的设备实现。
应理解,虽然图1示出了具体的密码能力共享系统,但本领域的技术人员应当理解,该密码能力共享系统还可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,该密码能力共享系统可包括一个服务终端和多个操作终端,从而通过该服务终端可以为多个操作终端提供密码服务。
这里需要说明的是,为了便于理解本申请实施例,下面通过图2和图3来对终端密码能力共享的整体流程进行介绍。其中,图2是对服务终端和操作终端之间传输用于达成共识(或者共同知晓)的秘密信息的过程(或者说服务终端和操作终端的就绪过程)进行的介绍,图3是对在操作终端和服务终端达成共识(或者说,在操作终端和服务终端均准备就绪)之后的终端密码能力共享的流程进行的介绍。
请参见图2,图2示出了本申请实施例提供的一种秘密信息的传输方法的示意图。如图2所示的方法包括:
步骤S210,服务终端启动密码服务,并生成秘密信息,以及对秘密信息进行派生操作,获得密钥。
应理解,秘密信息可以称为明文数据,也可称为原始数据等。
为了便于理解本申请实施例,下面通过具体地实施例来进行描述。
具体地,服务终端可接收用户输入的第一口令,并根据第一口令,启动密码服务。同时,在启动密码服务时,可将密码服务绑定在短距离通信网络上(或者说,服务终端和第一操作终端均连接到短距离通信网络上)。其中,第一操作终端可以为与服务终端通信连接的至少一个操作终端中任意一个操作终端。随后,服务终端通过密码服务可生成秘密信息,并可对秘密信息进行派生操作,以获得密钥,并可将密钥保存到服务终端的内存中。其中,密钥包括用于身份鉴别的鉴别密钥和用于保护第一操作终端和服务终端之间的通信数据的加解密密钥。其中,第一口令和下文的第二口令可只有设备持有人持有,从而可防止非设备持有者在未被授权的情况下,占有终端设备进行操作。
应理解,秘密信息的生成方式可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,该秘密信息可以是随机生成的随机数。
还应理解,密钥的生成方式也可根据实际需求来进行设置,本申请实施例并不局限于此。
可选地,对秘密信息进行杂凑运算,获得杂凑值,随后选取杂凑值的部分比特作为鉴别密钥,并可选取杂凑值的除部分比特之外的剩余比特作为加解密密钥。
应理解,杂凑运算又可以称为哈希运算。对应地,杂凑值也可以称为哈希值。
还应理解,杂凑运算的具体算法可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,杂凑运算的具体运算可以为GB/T32907中规定的SM3算法。
还应理解,部分比特的具体比特数和除部分比特之外的剩余比特的具体比特数均可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,在杂凑值为256位比特的数据时,可选取杂凑值的前128位比特作为鉴别密钥,并可选取杂凑值的后128位比特作为加解密密钥。
步骤S220,服务终端通过带外通道将秘密信息发送给第一操作终端。
应理解,带外通道可以是指非在线传输的方式。
例如,邮件传输、二维码传输和图像传输等均属于带外通道的传输方式。
对应地,服务终端通过带外通道将秘密信息发送给第一操作终端的具体过程也可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,密码服务可利用秘密信息生成二维码。对应地,第一操作终端可通过扫码的方式获取秘密信息。
再例如,密码服务可对秘密信息进行加密,获得加密信息,并可利用加密信息生成二维码。对应地,第一操作终端可通过扫码的方式获取加密信息,并可对加密信息进行解密,获得秘密信息。
这里需要说明的是,在对秘密信息进行加密获得加密信息并且该加密信息可用于带外通道传输的情况下,可利用第一口令对秘密信息进行加密(或者说,第一口令可作为加密过程的加解密密钥)。对应地,可利用第二口令对加密信息进行解密(或者说,第二口令可作为加密信息的解密过程的解密密钥)。也就是说,第一口令和第二口令不仅可用于调用相关服务,也可用作密钥。
再例如,密码服务可利用秘密信息生成图片。对应地,第一操作终端可通过拍照的方式获取秘密信息。
再例如,密码服务可通过邮件的方式将秘密信息发送给第一操作终端。对应地,第一操作终端可通过收取邮件的方式获取秘密信息。
此外,在第一操作终端获取到第一加密信息并且该第一操作终端获取用户输入的第一口令的情况下,该第一操作终端可通过密码代理模块对第一加密信息进行解密,以获得秘密信息。
应理解,由于对第一加密信息进行解密的过程是利用第一口令对秘密信息进行加密的逆过程,以及利用第一口令对秘密信息进行加密的过程可根据实际需求来进行设置,从而对第一加密信息进行解密,以获得秘密信息的过程也可根据实际需求来进行设置,本申请实施例并不局限于此。
步骤S230,第一操作终端对秘密信息进行派生操作,获得密钥。其中,第一操作终端中的密钥和服务终端中的密钥是相同的(或者说,第一操作终端和服务终端中均存储有协商好的密钥),并且该密钥可包括用于身份鉴别的鉴别密钥和用于保护第一操作终端和服务终端之间的通信数据的加解密密钥。
应理解,该第一操作终端对秘密信息进行派生操作的具体过程与服务终端对秘密信息进行派生操作的具体过程是类似的,具体可参见服务终端对秘密信息进行派生操作的具体过程,在此不再重复赘述。
这里需要说明的是,虽然图2是以第一操作终端为例来进行描述的,但本领域的技术人员应当理解,图2所示的方法可适用于所有的操作终端。
继续参见图3,图3示出了本申请实施例提供的一种终端密码能力共享的方法的流程图。如图3所示的方法可应用于密码能力共享系统,密码能力共享系统包括至少一个操作终端和服务终端,至少一个操作终端中每个操作终端均存储有与服务终端事先协商好的密钥,服务终端配置有密码模块,该包括:
步骤S310,第一操作终端获取业务信息。其中,业务信息可包括待处理信息和需执行的密码操作(也可称为业务操作密码功能调用信息,其是为了便于告知服务终端执行何种密码操作)。
应理解,由于服务终端可共享的密码操作可包括加密、解密、数字签名、密码哈希、导出证书、导入证书、产生会话密钥和产生非易失性密钥中的至少一种操作,业务信息可以是请求执行上述相关操作的业务信息。
例如,业务信息可以是请求加密的业务,也可以是请求解密的业务,也可以是导出证书的业务,也可以是导入证书的业务等。
这里需要说明的是,服务终端可共享的密码操作对应的具体操作可根据实际需求来进行设置,本申请实施例并不局限于此。
为了便于理解本申请实施例,下面通过具体的实施例来进行描述。
具体地,响应于用户对第一操作终端的操作,该第一操作终端中的业务应用模块可获取业务信息。
步骤S320,第一操作终端根据业务信息和事先协商好的密钥,生成密码功能请求报文。
应理解,密码功能请求报文所包含的信息可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,该密码功能请求报文可包括待处理信息、第一操作终端的标识、需执行的密码操作和第一操作终端的接口参数。其中,第一操作终端的标识用于标识第一操作终端,以及可用于以记录密码功能调用的日志,从而便于服务终端根据第一操作终端的标识查找与第一操作终端对应的事先协商好的密钥,从而便于进行身份鉴别和数据保护等;需执行的密码操作用于告知服务终端执行何种密码操作;第一操作终端的接口参数可表示第一操作终端的接口,并且其可以是一组接口参数的数组,以及其可容纳数量可变的密码功能调用参数。
还应理解,第一操作终端根据业务信息和事先协商好的密钥,生成密码功能请求报文的具体过程可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,由于密码功能请求报文可包括待处理信息、第一操作终端的标识、需执行的密码操作和第一操作终端的接口参数中至少一个字段,该第一操作终端可利用上述至少一个字段生成密码功能请求报文。
此外,第一操作终端可将该密码功能请求报文封装成各种类型的接口(例如,PKCS#11或者JCE等)以供上层应用程序集成调用。
步骤S330,第一操作终端向服务终端发送密码功能请求报文。对应地,服务终端接收第一操作终端发送的密码功能请求报文。
应理解,在第一操作终端和服务终端交互的过程中,第一操作终端和服务终端之间的通信数据的保护过程可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,第一操作终端可利用加解密密钥对密码功能请求报文进行处理。对应的,服务终端可利用加解密密钥对接收到的密码功能请求报文进行相应逆处理。
这里需要说明的是,虽然上面是以对密码功能请求报文进行保护为例来进行描述的,但本领域的技术人员应当理解,其还可对第一操作终端和服务终端之间的其他数据进行保护,本申请实施例并不局限于此。
例如,在服务终端对第一操作终端进行身份鉴别的过程中,第一操作终端需要向服务终端发送响应数据,则第一操作终端也可利用加解密密钥对响应数据进行处理。对应的,服务终端可利用加解密密钥对接收到的响应数据进行逆处理。
这里需要说的是,在需要执行的操作是导出证书等无需对待处理信息进行处理的情况下,该密码功能请求报文可不包含待处理信息。
步骤S340,服务终端在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果。
应理解,在服务终端通过密码模块执行与密码功能请求报文对应的密码操作之前,服务终端可先对第一操作终端进行身份鉴别,并且该身份鉴别的具体过程可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,该身份鉴别的过程包括:第一操作终端可请求调用服务终端的密码功能。以及,服务终端可返回预设的挑战随机数。以及,第一操作终端可使用鉴别密钥对挑战随机数进行处理,获得处理结果。以及,第一操作终端可将处理结果作为相应返回给服务终端。以及,服务终端可使用同样的鉴别密钥对挑战随机数进行同样的处理,获得响应对比值。最后,服务终端可比对处理结果和响应对比值,若一致,则身份鉴别通过,若不一致,则身份鉴别失败。
还应理解,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果的具体过程可根据实际需求来进行设置,本申请实施例并不局限于此。
例如,由于密码功能请求报文可包括待处理信息和需执行的密码操作,则密码模块可对待处理信息执行与需执行的密码操作对应的操作(例如,加密或者签名等)。
再例如,由于密码功能请求报文可包括需执行的密码操作,则密码模块可执行相应的操作(例如,导出证书等)。
这里需要说明的是,为了提高安全性,可对第一操作终端能够共享获得的密码操作的权限进行设置(例如,第一操作终端的某些密码操作是被允许的,而第一操作终端的另外一些密码操作是不被允许的)。
从而,在确定第一操作终端为被许可共享的终端的情况下,服务终端中的密码服务可需执行的密码操作是否是被允许的密码操作。若密码服务可通过查询记录有所有操作终端被允许的密码操作的表格,确定需执行的密码操作是不被允许的密码操作,则可停止相关操作,并可向第一操作终端反馈提示信息;若通过查询确定需执行的密码操作是被允许的密码操作,密码模块可执行相应的密码操作,并获得密码操作结果。
步骤S350,服务终端向第一操作终端发送密码操作结果。对应地,第一操作终端接收服务终端发送的密码操作结果。
具体地,服务终端中的密码模块可将密码操作结果发送给密码服务。随后,密码服务将密码操作结果发送给第一操作终端中的密码代理模块。随后,密码代理模块将密码操作结果发送给业务应用模块。
这里需要说的是,在服务终端向第一操作终端发送密码操作结果之后,服务终端可对事先协商好的密钥和秘密信息进行删除处理。
例如,服务终端在完成一次密码操作后,或者按照指定的策略(例如,第N次密码操作,N为大于等于2的正整数),销毁所保存的秘密信息和密钥。
对应地,在接收服务终端反馈的密码操作结果之后,第一操作终端也可对事先协商好的密钥和秘密信息进行删除处理。
这里需要说明的是,虽然上面是以服务终端和第一操作终端对事先协商好的密钥和秘密信息进行删除处理为例来进行描述的,但本领域的技术人员应当理解,除了上述技术方案之外,还可通过其他的方案来保障安全控制的作用,本申请实施例并不局限于此。
例如,服务终端在生成秘密信息时,可设置秘密信息的有效时间或者最大使用次数。从而在确定第一操作终端为被许可共享的终端的情况下,服务终端可确定第一终端对应的秘密信息是否处于有效时间或者其使用次数是否小于等于最大使用次数,若秘密信息处于有效时间内或者秘密信息的使用次数小于等于最大使用次数,则可通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;若秘密信息未处于有效时间内或者秘密信息的使用次数大于最大使用次数,则可向第一操作终端反馈提醒消息,以提醒用户第一操作终端中的秘密信息无效。
因此,借助于上述技术方案,本申请实施例能够使得不具备密码操作条件的终端(例如,其不具备密码模块,但具有计算能力;再例如,其具备密码模块,但是操作私钥在别的终端设备上;再例如,其具备的密码模块的级别较低,不满足密码操作的安全要求)借用其所属用户所拥有的其它终端的密码能力,为该终端的上的业务提供保护。
这里还需要说明的是,虽然上面是以服务终端为操作终端提供密码服务为例来进行描述的,但本领域的技术人员应当理解,在操作终端具有密码模块的情况下,其也可以为服务终端提供密码服务,本申请实施例并不局限于此。
此外,借助于上述技术方案,本申请实施例可以实现如下场景:
第一终端上具有可用的密码模块,那么该用户拥有的未安装密码模块的第二终端就可借助第一终端上密码模块的能力,为第二终端上的业务提供密码保护;
第一终端具有更高级别的密码模块,第二终端仅具有低安全级别的密码模块,当第二终端想要进行更高安全级别的密码功能操作时,则可以借用第一终端上的密码模块能力,为第二终端上的业务提供密码保护;
完成某个操作的密钥在第一终端上,但因为某种原因业务需要在第二终端上完成,此时第二终端虽然有符合要求的密码模块,但没有相应的密钥完成操作,则可以借用第一终端上的密钥完成密码操作。
应理解,上述方法实施例仅是示例性的,本领域技术人员根据上述的方法可以进行各种变形,修改或变形之后的内容也在本申请保护范围内。
请参见图4,图4示出了本申请实施例提供的一种终端密码能力共享的装置400的结构框图。应理解,该装置400与上述方法实施例中的服务终端侧对应,能够执行上述方法实施例中服务终端侧涉及的各个步骤,该装置400具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置400包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置400的操作系统(operating system,OS)中的软件功能模块。该装置400应用于密码能力共享系统中的服务终端,密码能力共享终端包括至少一个操作终端和服务终端,至少一个操作终端中每个操作终端均存储有与服务终端事先协商好的密钥,服务终端配置有密码模块,该装置400包括:
第一接收模块410,用于接收第一操作终端发送的密码功能请求报文;其中,第一操作终端为至少一个操作终端中任意一个操作终端,密码功能请求报文是由第一操作终端根据业务信息和事先协商好的密钥生成的;
操作模块420,用于在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;
反馈模块430,用于向第一操作终端反馈密码操作结果。
在一个可能的实施例中,第一操作终端通过短距离通信网络和服务终端进行通信。
在一个可能的实施例中,事先协商好的密钥是通过对第一操作终端和服务终端共同知晓的秘密信息进行派生后生成的;其中,该装置400还包括:第二生成模块(未示出),用于生成并存储与第一操作终端对应的秘密信息;反馈模块430,还用于通过带外通道将秘密信息发送至第一操作终端,以便于第一操作终端存储秘密信息。
在一个可能的实施例中,在确定第一操作终端为被许可共享的终端的情况下,服务终端中也存储有服务终端事先协商好的密钥,事先协商好的密钥包括用于身份鉴别的鉴别密钥和用于保护第一操作终端和服务终端之间的通信数据的加解密密钥;其中,该装置400还包括:第一杂凑运算模块(未示出),用于对秘密信息进行杂凑运算,获得杂凑值;第一选取模块(未示出),用于选取杂凑值的部分比特作为鉴别密钥;第一选取模块,还用于选取杂凑值的除部分比特之外的剩余比特作为加解密密钥。
在一个可能的实施例中,该装置400还包括:第一删除模块(未示出),用于在向第一操作终端反馈密码操作结果之后,对事先协商好的密钥和秘密信息进行删除处理。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
请参见图5,图5示出了本申请实施例提供的另一种终端密码能力共享的装置500的结构框图。应理解,该装置500与上述方法实施例中的第一操作终端侧对应,能够执行上述方法实施例中第一操作终端侧涉及的各个步骤,该装置500具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置500包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置500的操作系统(operating system,OS)中的软件功能模块。该装置500应用于应用于密码能力共享系统中的第一操作终端,密码能力共享终端包括至少一个操作终端和服务终端,第一操作终端为至少一个操作终端中任意一个操作终端,并且至少一个操作终端中每个操作终端均存储有与服务终端事先协商好的密钥,服务终端配置有密码模块,该装置500包括:
获取模块510,用于获取业务信息;
第一生成模块520,用于根据业务信息和事先协商好的密钥,生成密码功能请求报文;
发送模块530,用于向服务终端发送密码功能请求报文,以便于服务终端在确定第一操作终端为被许可共享的终端的情况下,通过密码模块执行与密码功能请求报文对应的密码操作,并获得密码操作结果;
第二接收模块540,用于接收服务终端反馈的密码操作结果。
在一个可能的实施例中,第一操作终端通过短距离通信网络和服务终端进行通信。
在一个可能的实施例中,事先协商好的密钥是通过对第一操作终端和服务终端共同知晓的秘密信息进行派生后生成的;第二接收模块540,还用于通过带外通道接收服务终端发送的秘密信息,并存储秘密信息。
在一个可能的实施例中,事先协商好的密钥包括用于身份鉴别的鉴别密钥和用于保护第一操作终端和服务终端之间的通信数据的加解密密钥;其中,该装置500还包括:第二杂凑运算模块(未示出),用于对秘密信息进行杂凑运算,获得杂凑值;第二选取模块(未示出),用于选取杂凑值的部分比特作为鉴别密钥;第二选取模块,还用于选取杂凑值的除部分比特之外的剩余比特作为加解密密钥。
在一个可能的实施例中,该装置500还包括:第二删除模块(未示出),用于在接收服务终端反馈的密码操作结果之后,对事先协商好的密钥和秘密信息进行删除处理。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
请参见图6,图6示出了本申请实施例提供的一种电子设备600的结构框图。如图6所示。电子设备600可以包括处理器610、通信接口620、存储器630和至少一个通信总线640。其中,通信总线640用于实现这些组件直接的连接通信。其中,本申请实施例中的通信接口620用于与其他设备进行信令或数据的通信。处理器610可以是一种集成电路芯片,具有信号的处理能力。上述的处理器610可以是通用处理器,包括中央处理器(CentralProcessing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器610也可以是任何常规的处理器等。
存储器630可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器630中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器610执行时,电子设备600可以执行上述方法实施例中对应终端侧涉及的各个步骤。
电子设备600还可以包括存储控制器、输入输出单元、音频单元、显示单元。
所述存储器630、存储控制器、处理器610、外设接口、输入输出单元、音频单元、显示单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线640实现电性连接。所述处理器610用于执行存储器630中存储的可执行模块。
输入输出单元用于提供给用户输入数据实现用户与所述服务器(或本地终端)的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
音频单元向用户提供音频接口,其可包括一个或多个麦克风、一个或者多个扬声器以及音频电路。
显示单元在所述电子设备与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,所述显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。
可以理解,图6所示的结构仅为示意,所述电子设备600还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。
本申请还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行方法实施例所述的方法。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (14)
1.一种终端密码能力共享的方法,其特征在于,所述方法应用于密码能力共享系统中的服务终端,所述密码能力共享终端包括至少一个操作终端和所述服务终端,所述至少一个操作终端中每个操作终端均存储有与所述服务终端事先协商好的密钥,所述服务终端配置有密码模块,所述方法包括:
接收第一操作终端发送的密码功能请求报文;其中,所述第一操作终端为所述至少一个操作终端中任意一个操作终端,所述密码功能请求报文是由所述第一操作终端根据业务信息和所述事先协商好的密钥生成的;
在确定所述第一操作终端为被许可共享的终端的情况下,通过所述密码模块执行与所述密码功能请求报文对应的密码操作,并获得密码操作结果;
向所述第一操作终端反馈所述密码操作结果。
2.根据权利要求1所述的方法,其特征在于,所述第一操作终端通过短距离通信网络和所述服务终端进行通信。
3.根据权利要求1或2所述的方法,其特征在于,所述事先协商好的密钥是通过对所述第一操作终端和所述服务终端共同知晓的秘密信息进行派生后生成的;
其中,所述秘密信息的传递过程包括:
生成并存储与所述第一操作终端对应的秘密信息;
通过带外通道将所述秘密信息发送至所述第一操作终端,以便于所述第一操作终端存储所述秘密信息。
4.根据权利要求3所述的方法,其特征在于,在确定所述第一操作终端为被许可共享的终端的情况下,所述服务终端中也存储有所述服务终端事先协商好的密钥,所述事先协商好的密钥包括用于身份鉴别的鉴别密钥和用于保护所述第一操作终端和所述服务终端之间的通信数据的加解密密钥;
其中,所述事先协商好的密钥的生成过程包括:
对所述秘密信息进行杂凑运算,获得杂凑值;
选取所述杂凑值的部分比特作为所述鉴别密钥;
选取所述杂凑值的除所述部分比特之外的剩余比特作为所述加解密密钥。
5.根据权利要求4所述的方法,其特征在于,在所述向所述第一操作终端反馈所述密码操作结果之后,所述方法还包括:
对所述事先协商好的密钥和所述秘密信息进行删除处理。
6.一种终端密码能力共享的方法,其特征在于,所述方法应用于密码能力共享系统中的第一操作终端,所述密码能力共享终端包括至少一个操作终端和服务终端,所述第一操作终端为所述至少一个操作终端中任意一个操作终端,并且所述至少一个操作终端中每个操作终端均存储有与所述服务终端事先协商好的密钥,所述服务终端配置有密码模块,所述方法包括:
获取业务信息;
根据所述业务信息和所述事先协商好的密钥,生成密码功能请求报文;
向所述服务终端发送所述密码功能请求报文,以便于所述服务终端在确定所述第一操作终端为被许可共享的终端的情况下,通过所述密码模块执行与所述密码功能请求报文对应的密码操作,并获得密码操作结果;
接收所述服务终端反馈的密码操作结果。
7.根据权利要求6所述的方法,其特征在于,所述第一操作终端通过短距离通信网络和所述服务终端进行通信。
8.根据权利要求6或7所述的方法,其特征在于,所述事先协商好的密钥是通过对所述第一操作终端和所述服务终端共同知晓的秘密信息进行派生后生成的;
其中,所述秘密信息的传递过程包括:
通过带外通道接收所述服务终端发送的秘密信息,并存储所述秘密信息。
9.根据权利要求8所述的方法,其特征在于,所述事先协商好的密钥包括用于身份鉴别的鉴别密钥和用于保护所述第一操作终端和所述服务终端之间的通信数据的加解密密钥;
其中,所述事先协商好的密钥的生成过程包括:
对所述秘密信息进行杂凑运算,获得杂凑值;
选取所述杂凑值的部分比特作为所述鉴别密钥;
选取所述杂凑值的除所述部分比特之外的剩余比特作为所述加解密密钥。
10.根据权利要求9所述的方法,其特征在于,在所述接收所述服务终端反馈的密码操作结果之后,所述方法还包括:
对所述事先协商好的密钥和所述秘密信息进行删除处理。
11.一种终端密码能力共享的装置,其特征在于,所述装置应用于密码能力共享系统中的服务终端,所述密码能力共享终端包括至少一个操作终端和所述服务终端,所述至少一个操作终端中每个操作终端均存储有与所述服务终端事先协商好的密钥,所述服务终端配置有密码模块,所述装置包括:
第一接收模块,用于接收第一操作终端发送的密码功能请求报文;其中,所述第一操作终端为所述至少一个操作终端中任意一个操作终端,所述密码功能请求报文是由所述第一操作终端根据业务信息和所述事先协商好的密钥生成的;
操作模块,用于在确定所述第一操作终端为被许可共享的终端的情况下,通过所述密码模块执行与所述密码功能请求报文对应的密码操作,并获得密码操作结果;
反馈模块,用于向所述第一操作终端反馈所述密码操作结果。
12.一种终端密码能力共享的装置,其特征在于,所述装置应用于密码能力共享系统中的第一操作终端,所述密码能力共享终端包括至少一个操作终端和服务终端,所述第一操作终端为所述至少一个操作终端中任意一个操作终端,并且所述至少一个操作终端中每个操作终端均存储有与所述服务终端事先协商好的密钥,所述服务终端配置有密码模块,所述装置包括:
获取模块,用于获取业务信息;
第一生成模块,用于根据所述业务信息和所述事先协商好的密钥,生成密码功能请求报文;
发送模块,用于向所述服务终端发送所述密码功能请求报文,以便于所述服务终端在确定所述第一操作终端为被许可共享的终端的情况下,通过所述密码模块执行与所述密码功能请求报文对应的密码操作,并获得密码操作结果;
第二接收模块,用于接收所述服务终端反馈的密码操作结果。
13.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-10任一所述的终端密码能力共享的方法。
14.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1-10任一所述的终端密码能力共享的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110894855.3A CN113612607B (zh) | 2021-08-05 | 2021-08-05 | 终端密码能力共享的方法、装置、存储介质和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110894855.3A CN113612607B (zh) | 2021-08-05 | 2021-08-05 | 终端密码能力共享的方法、装置、存储介质和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113612607A true CN113612607A (zh) | 2021-11-05 |
CN113612607B CN113612607B (zh) | 2024-04-09 |
Family
ID=78306997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110894855.3A Active CN113612607B (zh) | 2021-08-05 | 2021-08-05 | 终端密码能力共享的方法、装置、存储介质和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113612607B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080133905A1 (en) * | 2006-11-30 | 2008-06-05 | David Carroll Challener | Apparatus, system, and method for remotely accessing a shared password |
CN104618120A (zh) * | 2015-03-04 | 2015-05-13 | 青岛微智慧信息有限公司 | 一种移动终端密钥托管数字签名方法 |
CN107086984A (zh) * | 2017-03-17 | 2017-08-22 | 深圳市金立通信设备有限公司 | 一种获取和生成验证码的方法、终端及服务器 |
CN109743696A (zh) * | 2018-12-29 | 2019-05-10 | 努比亚技术有限公司 | 验证码加密方法、系统及可读存储介质 |
CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
CN112818332A (zh) * | 2021-01-29 | 2021-05-18 | 西安得安信息技术有限公司 | 一种面向智能制造的密码管理服务平台 |
-
2021
- 2021-08-05 CN CN202110894855.3A patent/CN113612607B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080133905A1 (en) * | 2006-11-30 | 2008-06-05 | David Carroll Challener | Apparatus, system, and method for remotely accessing a shared password |
CN104618120A (zh) * | 2015-03-04 | 2015-05-13 | 青岛微智慧信息有限公司 | 一种移动终端密钥托管数字签名方法 |
CN107086984A (zh) * | 2017-03-17 | 2017-08-22 | 深圳市金立通信设备有限公司 | 一种获取和生成验证码的方法、终端及服务器 |
CN109743696A (zh) * | 2018-12-29 | 2019-05-10 | 努比亚技术有限公司 | 验证码加密方法、系统及可读存储介质 |
CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
CN112818332A (zh) * | 2021-01-29 | 2021-05-18 | 西安得安信息技术有限公司 | 一种面向智能制造的密码管理服务平台 |
Also Published As
Publication number | Publication date |
---|---|
CN113612607B (zh) | 2024-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109471844B (zh) | 文件共享方法、装置、计算机设备和存储介质 | |
CN109104276B (zh) | 一种基于密钥池的云存储安全控制方法和系统 | |
CN102077213B (zh) | 用于确保通信的认证和完整性的技术 | |
CN108111497B (zh) | 摄像机与服务器相互认证方法和装置 | |
CN109150897B (zh) | 一种端到端的通信加密方法及装置 | |
CN110311787B (zh) | 授权管理方法、系统、设备及计算机可读存储介质 | |
WO2017202025A1 (zh) | 终端文件加密方法、终端文件解密方法和终端 | |
CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
CN109768979B (zh) | 数据加密传输方法、装置、计算机设备和存储介质 | |
CN111641630B (zh) | 一种加密传输方法、装置、电子设备和存储介质 | |
CN112434336A (zh) | 基于区块链的电子病历共享方法、装置、系统及存储介质 | |
CN111294203B (zh) | 信息传输方法 | |
CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
CN111132150A (zh) | 一种保护数据的方法、装置、存储介质和电子设备 | |
CN112861148B (zh) | 数据处理方法、服务端、客户端及加密机 | |
CN113553572A (zh) | 资源信息获取方法、装置、计算机设备和存储介质 | |
CN112003697A (zh) | 密码模块加解密方法、装置、电子设备及计算机存储介质 | |
CN110417740B (zh) | 用户数据的处理方法、智能终端、服务器及存储介质 | |
JP2020513169A (ja) | 装置認証キーを利用したデータ暗号化方法およびシステム | |
CN107919958B (zh) | 一种数据加密的处理方法、装置及设备 | |
KR102171377B1 (ko) | 로그인 제어 방법 | |
CN115941328A (zh) | 一种可分享的用户数据的加密处理方法、装置及系统 | |
JP2017108237A (ja) | システム、端末装置、制御方法、およびプログラム | |
CN107707611B (zh) | 电力数据云处理方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |