CN114567470A - 一种基于sdk的多系统下密钥拆分验证系统及方法 - Google Patents
一种基于sdk的多系统下密钥拆分验证系统及方法 Download PDFInfo
- Publication number
- CN114567470A CN114567470A CN202210155929.6A CN202210155929A CN114567470A CN 114567470 A CN114567470 A CN 114567470A CN 202210155929 A CN202210155929 A CN 202210155929A CN 114567470 A CN114567470 A CN 114567470A
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- sdk
- phone shield
- management
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 title claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims abstract description 11
- 238000004364 calculation method Methods 0.000 claims abstract description 5
- 230000006870 function Effects 0.000 claims abstract description 5
- 238000004891 communication Methods 0.000 claims description 9
- 239000008358 core component Substances 0.000 claims description 9
- 230000003993 interaction Effects 0.000 claims description 5
- 238000004806 packaging method and process Methods 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 238000005538 encapsulation Methods 0.000 claims description 2
- 230000010354 integration Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明提出了一种基于SDK的多系统密钥拆分验证系统及方法,主要由手机盾SDK和手机盾服务端构成,是采用国密算法SM2、SM3、SM4进行数据的安全加密保护,并将私钥进行分散加密存储,计算时不会出现完整的私钥明文。通过手机盾服务端的移动密码终端服务平台实现数字信封的验证、解封与解密功能,得到用户密码原文。所述手机盾SDK中包括数据获取模块、数据加密模块和安全传输模块,并可为不同接口需求的APP提供不同接口,将私密信息通过接口发送至服务端。本发明采用SDK方式,既有着比账号密码、短信验证码更高的安全强度,又比U盾证书易于部署和实现。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于SDK的多系统下密钥拆分验证系统及方法。
背景技术
目前互联网技术快速发展,用户使用移动终端在网络环境中面临着资金被盗、隐私泄露等各种移动安全问题和威胁。在移动支付应用中,大量的个人敏感数据如银行卡信息、身份信息、密码信息等会从移动终端输入,从而暴露在不安全的环境中。现有的移动应用安全解决方案主要包括账号密码、短信验证码、U盾证书等。账号密码、短信验证码等虽然便捷等安全强度较弱,U盾证书安全强度高但存在携带不方便、成本高等问题。如何在移动终端上提供一种既安全又便捷的移动互联网安全产品成为移动互联网安全的一大挑战。
发明内容
本发明的目的在于针对移动支付应用中安全威胁的存在,为解决用户在移动支付时的安全问题,本发明提出了一种基于SDK的多系统下密钥拆分验证系统及方法,采用即时加密技术保证终端数据输入安全。实现每个键值输入即时加密,确保内存与存储中不出现用户密码原文。
根据本发明的实施例,本发明提出了一种基于SDK的多系统下密钥拆分验证系统,该系统包括:
手机盾SDK,包括基于Android终端版的手机盾SDK和基于IOS终端版的手机盾SDK;
手机盾服务端,包括基于CA申请及管理证书类别的硬件盒子和CA接入网关;
其中,所述手机盾SDK根据不同系统类别调用基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,基于预设的密钥拆分验证算法进行拆分,并在手机盾服务端实现对拆分的密钥进行验证。
作为本发明的优选方案,所述手机盾SDK包括:
核心组件算法库层,包括预先存储的国密算法和国密算法模型、PIN码管理模块,随机数产生和应用认证模块以及证书服务模块;
密码服务接口层SKF,用于为设备管理、应用管理、访问控制、容器管理、密码服务以及文件管理提供访问接口;
高层密码服务接口层HSKF,用于以对象模式进行设备管理、应用管理、访问控制、容器管理、密码服务以及文件管理的访问接口封装转换;
证书应用综合服务接口层SOF,用于提供证书服务、签名、对称/非对称加密服务、数字信封服务的SOF接口;
高层证书密码服务接口层HSOF,用于初始化手机盾SDK、证书申请/更新、密钥对的生成/加密秘以及PIN管理。
作为本发明的优选方案,所述核心组件算法库层用于与后台通信,那个进行PIN码管理的统一化封装以及SM1算法和SM2算法的实现。
作为本发明的优选方案,所述密码服务接口层SKF和所述高层密码服务接口层HSKF不与后台进行通信。
作为本发明的优选方案,所述证书应用综合服务接口层SOF和所述高层证书密码服务接口层HSOF,被配置为具有公共的通信模块为所述HSOF和所述SOF提供与后台通信能力,以完成信息同步、证书申请、证书更新、操作日志同步。
作为本发明的优选方案,手机盾服务端,包括基于CA申请及管理证书类别的硬件盒子和CA接入网关,具体为,若手机盾服务端使用内部CA申请及管理证书,则手机盾服务端只包含硬件盒子,硬件盒子部署手机盾后台;若手机盾接入外部第三方CA申请及管理证书,则手机盾服务端包含硬件盒子以及CA接入网关。
作为本发明的优选方案,所述手机盾服务端硬件盒子,用于提供应用管理、软密码设备管理、用户管理、证书管理、系统管理。
作为本发明的优选方案,所述手机盾SDK根据不同系统类别调用基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,基于预设的密钥拆分验证算法进行拆分,并在手机盾服务端实现对拆分的密钥进行验证,具体为,识别出不同系统类型,并基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,进行设备信息和随机因子的处理,按照密钥拆分算法生成拆分形式的SM2算法密钥对,密钥不完整出现,存储在应用路径下,后台适用SDK预置设备私钥封装完整的数字信封,内容包括设备公钥和设备ID标识,并使用设备私钥封装完整的数字信封发送至手机盾服务端,所述手机盾服务端收到数字信封先进行验证,再进行解封,最后解密得到用户密码原文。
根据本发明的实施例,本发明还提出了一种基于SDK的多系统下密钥拆分验证方法,所述方法应用于如前所述的手机盾SDK和手机盾服务端,
所述手机盾SDK包括数据获取模块,数据加密模块和安全传输模块,由数据获取模块获取加密数据,数据加密模块进行加密保护,由安全传输模块将密文发送至手机盾服务端,
其中,所述数据获取模块采用SM3算法,完成对终端输入数据的获取以及摘要值的计算,防止用户信息被篡改;
所述的数据加密模块完成逐字实时加密,在数据层获取到每个输入数据后,采用SM4算法,使用随机生成的对称密钥进行实时加密保护;
所述安全传输模块采用SM2算法,包括生成设备密钥对和数字信封,该安全传输模块提取设备信息,通过密钥拆分算法生成完整的SM2算法私钥数据和公钥数据作为设备密钥对,将通信消息封装成完整的数字信封发送至手机盾服务端;
所述手机盾服务端收到数字信封要先验证再解封最后解密得到用户密码原文。
作为本发明的优选方案,所述手机盾SDK还用于实时监听系统通知,在发生截屏时清空键盘数据,关闭交互层功能,并提示用户,防止用户信息被窃取。
本发明具有以下有益效果:
(1)采用即时加密技术保证终端数据输入安全。实现每个键值输入即时加密,确保内存与存储中不出现用户密码原文。
(2)本地存储的密钥拆分存储,计算中不出现完整密钥。
(3)采用数字信封技术保证密码在传输过程中的安全。
(4)所有密码运算均采用国产密码算法,包括SM2,SM3,SM4,从算法上保证了安全性。
(5)客户端采用SDK方式易于部署和实现。
附图说明
图1为本发明提出的一种基于SDK的多系统下密钥拆分验证系统一实施例图;
图2为本发明提出的一种基于SDK的多系统下密钥拆分验证系统手机端SDK架构图;
图3为本发明提出的一种基于SDK的多系统下密钥拆分验证方法示意图。
具体实施方式
为便于理解,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1-2所示,本发明提出了一种基于SDK的多系统下密钥拆分验证系统,该系统包括:
手机盾SDK,包括基于Android终端版的手机盾SDK和基于IOS终端版的手机盾SDK;
手机盾服务端,包括基于CA申请及管理证书类别的硬件盒子和CA接入网关;
其中,所述手机盾SDK根据不同系统类别调用基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,基于预设的密钥拆分验证算法进行拆分,并在手机盾服务端实现对拆分的密钥进行验证。
在本发明中手机盾SDK支持Android和IOS系统。
手机盾SDK逻辑上包括五个层次:核心组件算法库层、密码服务接口层(SKF)、高层密码服务接口层(HSKF)、证书应用综合服务接口层(SOF)、高层证书密码服务接口层(HSOF)。业务APP可自主选择使用SKF、HSKF、SOF、HSOF中的任何一层接口。
核心组件算法库层,包括预先存储的国密算法和国密算法模型、PIN码管理模块,随机数产生和应用认证模块以及证书服务模块;
密码服务接口层SKF,用于为设备管理、应用管理、访问控制、容器管理、密码服务以及文件管理提供访问接口;
高层密码服务接口层HSKF,用于以对象模式进行设备管理、应用管理、访问控制、容器管理、密码服务以及文件管理的访问接口封装转换;
证书应用综合服务接口层SOF,用于提供证书服务、签名、对称/非对称加密服务、数字信封服务的SOF接口;
高层证书密码服务接口层HSOF,用于初始化手机盾SDK、证书申请/更新、密钥对的生成/加密秘以及PIN管理。
核心组件算法库层用于与后台通信,那个进行PIN码管理的统一化封装以及SM1算法和SM2算法的实现。
密码服务接口层SKF和所述高层密码服务接口层HSKF不与后台进行通信。
证书应用综合服务接口层SOF和所述高层证书密码服务接口层HSOF,被配置为具有公共的通信模块为所述HSOF和所述SOF提供与后台通信能力,以完成信息同步、证书申请、证书更新、操作日志同步。
手机盾硬件盒子部署手机盾平台,手机盾平台包括接口服务和业务管理服务。接口服务负责处理与手机盾SDK、业务平台、CA接入网关的接入和业务逻辑处理。业务管理服务负责应用管理、终端设备管理、用户管理、证书管理、系统管理等。
CA接入网关对内负责接入手机盾硬件盒子,对外负责接入外部CA。
在本发明中,手机盾SDK中核心组件算法库、SOF、HSOF与手机盾平台进行通信,核心组件算法库与后台通信完成二代算法交互、二代算法PIN管理交互等,SOF、HSOF与后台通信完成信息同步、申请证书、更新证书等交互,SKF和HSKF层不与平台通信。手机盾服务端,包括基于CA申请及管理证书类别的硬件盒子和CA接入网关,具体为,若手机盾服务端使用内部CA申请及管理证书,则手机盾服务端只包含硬件盒子,硬件盒子部署手机盾后台;若手机盾接入外部第三方CA申请及管理证书,则手机盾服务端包含硬件盒子以及CA接入网关。
所述手机盾服务端硬件盒子,用于提供应用管理、软密码设备管理、用户管理、证书管理、系统管理。
手机盾SDK根据不同系统类别调用基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,基于预设的密钥拆分验证算法进行拆分,并在手机盾服务端实现对拆分的密钥进行验证,具体为,识别出不同系统类型,并基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,进行设备信息和随机因子的处理,按照密钥拆分算法生成拆分形式的SM2算法密钥对,密钥不完整出现,存储在应用路径下,后台适用SDK预置设备私钥封装完整的数字信封,内容包括设备公钥和设备ID标识,并使用设备私钥封装完整的数字信封发送至手机盾服务端,所述手机盾服务端收到数字信封先进行验证,再进行解封,最后解密得到用户密码原文。
根据本发明的实施例,本发明还提出了一种基于SDK的多系统下密钥拆分验证方法,如图3所示,所述方法应用于如前所述的手机盾SDK和手机盾服务端,
所述手机盾SDK包括数据获取模块,数据加密模块和安全传输模块,由数据获取模块获取加密数据,数据加密模块进行加密保护,由安全传输模块将密文发送至手机盾服务端,
其中,所述数据获取模块采用SM3算法,完成对终端输入数据的获取以及摘要值的计算,防止用户信息被篡改;
所述的数据加密模块完成逐字实时加密,在数据层获取到每个输入数据后,采用SM4算法,使用随机生成的对称密钥进行实时加密保护;
所述安全传输模块采用SM2算法,包括生成设备密钥对和数字信封,该安全传输模块提取设备信息,通过密钥拆分算法生成完整的SM2算法私钥数据和公钥数据作为设备密钥对,将通信消息封装成完整的数字信封发送至手机盾服务端;
所述手机盾服务端收到数字信封要先验证再解封最后解密得到用户密码原文。
作为本发明的优选方案,所述手机盾SDK还用于实时监听系统通知,在发生截屏时清空键盘数据,关闭交互层功能,并提示用户,防止用户信息被窃取。
对于本领域技术人员而言,显然本发明实施例不限于上述示范性实施例的细节,而且在不背离本发明实施例的精神或基本特征的情况下,能够以其他的具体形式实现本发明实施例。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明实施例的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施方式仅用以说明本发明实施例的技术方案而非限制,尽管参照以上较佳实施方式对本发明实施例进行了详细说明,本领域的普通技术人员应当理解,可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。
Claims (10)
1.一种基于SDK的多系统下密钥拆分验证系统,其特征在于,所述系统包括:
手机盾SDK,包括基于Android终端版的手机盾SDK和基于IOS终端版的手机盾SDK;
手机盾服务端,包括基于CA申请及管理证书类别的硬件盒子和CA接入网关;
其中,所述手机盾SDK根据不同系统类别调用基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,基于预设的密钥拆分验证算法进行拆分,并在手机盾服务端实现对拆分的密钥进行验证。
2.根据权利要求1所述的基于SDK的多系统密钥拆分验证系统,其特征在于,所述手机盾SDK包括:
核心组件算法库层,包括预先存储的国密算法和国密算法模型、PIN码管理模块,随机数产生和应用认证模块以及证书服务模块;
密码服务接口层SKF,用于为设备管理、应用管理、访问控制、容器管理、密码服务以及文件管理提供访问接口;
高层密码服务接口层HSKF,用于以对象模式进行设备管理、应用管理、访问控制、容器管理、密码服务以及文件管理的访问接口封装转换;
证书应用综合服务接口层SOF,用于提供证书服务、签名、对称/非对称加密服务、数字信封服务的SOF接口;
高层证书密码服务接口层HSOF,用于初始化手机盾SDK、证书申请/更新、密钥对的生成/加密秘以及PIN管理。
3.根据权利要求2所述的基于SDK的多系统密钥拆分验证系统,其特征在于,所述核心组件算法库层用于与后台通信,那个进行PIN码管理的统一化封装以及SM1算法和SM2算法的实现。
4.根据权利要求2所述的基于SDK的多系统密钥拆分验证系统,其特征在于,所述密码服务接口层SKF和所述高层密码服务接口层HSKF不与后台进行通信。
5.根据权利要求2所述的基于SDK的多系统密钥拆分验证系统,其特征在于,所述证书应用综合服务接口层SOF和所述高层证书密码服务接口层HSOF,被配置为具有公共的通信模块为所述HSOF和所述SOF提供与后台通信能力,以完成信息同步、证书申请、证书更新、操作日志同步。
6.根据权利要求1所述的基于SDK的多系统密钥拆分验证系统,其特征在于,手机盾服务端,包括基于CA申请及管理证书类别的硬件盒子和CA接入网关,具体为,若手机盾服务端使用内部CA申请及管理证书,则手机盾服务端只包含硬件盒子,硬件盒子部署手机盾后台;若手机盾接入外部第三方CA申请及管理证书,则手机盾服务端包含硬件盒子以及CA接入网关。
7.根据权利要求6所述的基于SDK的多系统密钥拆分验证系统,其特征在于,所述手机盾服务端硬件盒子,用于提供应用管理、软密码设备管理、用户管理、证书管理、系统管理。
8.根据权利要求2或7所述的基于SDK的多系统密钥拆分验证系统,其特征在于,所述手机盾SDK根据不同系统类别调用基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,基于预设的密钥拆分验证算法进行拆分,并在手机盾服务端实现对拆分的密钥进行验证,具体为,识别出不同系统类型,并基于Android终端版的手机盾SDK或基于IOS终端版的手机盾SDK获取输入的数据,进行设备信息和随机因子的处理,按照密钥拆分算法生成拆分形式的SM2算法密钥对,密钥不完整出现,存储在应用路径下,后台适用SDK预置设备私钥封装完整的数字信封,内容包括设备公钥和设备ID标识,并使用设备私钥封装完整的数字信封发送至手机盾服务端,所述手机盾服务端收到数字信封先进行验证,再进行解封,最后解密得到用户密码原文。
9.一种基于SDK的多系统下密钥拆分验证方法,其特征在于,所述方法应用于如权利要求1-8任一项所述的手机盾SDK和手机盾服务端,
所述手机盾SDK包括数据获取模块,数据加密模块和安全传输模块,由数据获取模块获取加密数据,数据加密模块进行加密保护,由安全传输模块将密文发送至手机盾服务端,
其中,所述数据获取模块采用SM3算法,完成对终端输入数据的获取以及摘要值的计算,防止用户信息被篡改;
所述的数据加密模块完成逐字实时加密,在数据层获取到每个输入数据后,采用SM4算法,使用随机生成的对称密钥进行实时加密保护;
所述安全传输模块采用SM2算法,包括生成设备密钥对和数字信封,该安全传输模块提取设备信息,通过密钥拆分算法生成完整的SM2算法私钥数据和公钥数据作为设备密钥对,将通信消息封装成完整的数字信封发送至手机盾服务端;
所述手机盾服务端收到数字信封要先验证再解封最后解密得到用户密码原文。
10.根据权利要求9所述的基于SDK的多系统密钥拆分验证方法,其特征在于,所述手机盾SDK还用于实时监听系统通知,在发生截屏时清空键盘数据,关闭交互层功能,并提示用户,防止用户信息被窃取。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210155929.6A CN114567470B (zh) | 2022-02-21 | 2022-02-21 | 一种基于sdk的多系统下密钥拆分验证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210155929.6A CN114567470B (zh) | 2022-02-21 | 2022-02-21 | 一种基于sdk的多系统下密钥拆分验证系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114567470A true CN114567470A (zh) | 2022-05-31 |
| CN114567470B CN114567470B (zh) | 2024-01-30 |
Family
ID=81714078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210155929.6A Active CN114567470B (zh) | 2022-02-21 | 2022-02-21 | 一种基于sdk的多系统下密钥拆分验证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114567470B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115062330A (zh) * | 2022-08-18 | 2022-09-16 | 麒麟软件有限公司 | 基于tpm的智能密码钥匙密码应用接口的实现方法 |
| CN116827542A (zh) * | 2023-08-29 | 2023-09-29 | 江苏省国信数字科技有限公司 | 一种智能设备的数字证书管理方法及系统 |
| CN117914628A (zh) * | 2024-03-18 | 2024-04-19 | 三未信安科技股份有限公司 | 一种pin码设备认证管理方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180212762A1 (en) * | 2017-01-25 | 2018-07-26 | Salesforce.Com, Inc. | Secure internal user authencation leveraging public key cryptography and key splitting |
| CN110708161A (zh) * | 2018-09-27 | 2020-01-17 | 安徽省电子认证管理中心有限责任公司 | 移动设备签名的方法 |
| WO2020088323A1 (zh) * | 2018-11-01 | 2020-05-07 | 华为技术有限公司 | 一种能力开放方法及装置 |
| CN111212429A (zh) * | 2019-12-11 | 2020-05-29 | 全球能源互联网研究院有限公司 | 一种移动终端的安全接入系统及方法 |
| CN111404696A (zh) * | 2020-03-31 | 2020-07-10 | 中国建设银行股份有限公司 | 协同签名方法、安全服务中间件、相关平台及系统 |
| CN111915290A (zh) * | 2019-05-07 | 2020-11-10 | 北京创原天地科技有限公司 | 一种iOS系统下基于密钥拆分保护的移动支付密码键盘及其实现方法 |
| CN112260820A (zh) * | 2019-12-18 | 2021-01-22 | 刘辛越 | 一种Android系统下基于密钥拆分保护的移动支付密码键盘及其实现方法 |
-
2022
- 2022-02-21 CN CN202210155929.6A patent/CN114567470B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180212762A1 (en) * | 2017-01-25 | 2018-07-26 | Salesforce.Com, Inc. | Secure internal user authencation leveraging public key cryptography and key splitting |
| CN110708161A (zh) * | 2018-09-27 | 2020-01-17 | 安徽省电子认证管理中心有限责任公司 | 移动设备签名的方法 |
| WO2020088323A1 (zh) * | 2018-11-01 | 2020-05-07 | 华为技术有限公司 | 一种能力开放方法及装置 |
| CN111915290A (zh) * | 2019-05-07 | 2020-11-10 | 北京创原天地科技有限公司 | 一种iOS系统下基于密钥拆分保护的移动支付密码键盘及其实现方法 |
| CN111212429A (zh) * | 2019-12-11 | 2020-05-29 | 全球能源互联网研究院有限公司 | 一种移动终端的安全接入系统及方法 |
| CN112260820A (zh) * | 2019-12-18 | 2021-01-22 | 刘辛越 | 一种Android系统下基于密钥拆分保护的移动支付密码键盘及其实现方法 |
| CN111404696A (zh) * | 2020-03-31 | 2020-07-10 | 中国建设银行股份有限公司 | 协同签名方法、安全服务中间件、相关平台及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 豆敏娟: "移动支付中基于区块链的身份认证机制", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》, no. 2021, pages 138 - 57 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115062330A (zh) * | 2022-08-18 | 2022-09-16 | 麒麟软件有限公司 | 基于tpm的智能密码钥匙密码应用接口的实现方法 |
| CN115062330B (zh) * | 2022-08-18 | 2022-11-11 | 麒麟软件有限公司 | 基于tpm的智能密码钥匙密码应用接口的实现方法 |
| CN116827542A (zh) * | 2023-08-29 | 2023-09-29 | 江苏省国信数字科技有限公司 | 一种智能设备的数字证书管理方法及系统 |
| CN116827542B (zh) * | 2023-08-29 | 2023-11-07 | 江苏省国信数字科技有限公司 | 一种智能设备的数字证书管理方法及系统 |
| CN117914628A (zh) * | 2024-03-18 | 2024-04-19 | 三未信安科技股份有限公司 | 一种pin码设备认证管理方法及装置 |
| CN117914628B (zh) * | 2024-03-18 | 2024-05-17 | 三未信安科技股份有限公司 | 一种pin码设备认证管理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114567470B (zh) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10595201B2 (en) | Secure short message service (SMS) communications | |
| US8499156B2 (en) | Method for implementing encryption and transmission of information and system thereof | |
| CN114567470B (zh) | 一种基于sdk的多系统下密钥拆分验证系统及方法 | |
| CN107833317A (zh) | 蓝牙门禁控制系统和方法 | |
| CN103036681B (zh) | 一种密码安全键盘装置及系统 | |
| CN109412812A (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| CN108319857B (zh) | 可信应用的加解锁方法和系统 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN112653553B (zh) | 物联网设备身份管理系统 | |
| CN113595985A (zh) | 一种基于国密算法安全芯片的物联网安全云平台实现方法 | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| CN112436936B (zh) | 一种具备量子加密功能的云存储方法及系统 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN110519238B (zh) | 一种基于密码技术的物联网安全系统和通信方法 | |
| US20060053288A1 (en) | Interface method and device for the on-line exchange of content data in a secure manner | |
| CA2407288A1 (fr) | Procede et dispositif de controle d'habilitation d'un appareil electrique connecte a un reseau | |
| CN112995204B (zh) | ProtonMail加密邮件的安全读取方法、装置、设备及存储介质 | |
| CN112260820A (zh) | 一种Android系统下基于密钥拆分保护的移动支付密码键盘及其实现方法 | |
| US20240106633A1 (en) | Account opening methods, systems, and apparatuses | |
| CN109492359B (zh) | 一种用于身份认证的安全网络中间件及其实现方法和装置 | |
| CN111915290A (zh) | 一种iOS系统下基于密钥拆分保护的移动支付密码键盘及其实现方法 | |
| CN113676446B (zh) | 通信网络安全防误控制方法、系统、电子设备及介质 | |
| CN202978979U (zh) | 一种密码安全键盘装置及系统 | |
| CN114117471A (zh) | 机密数据管理方法、电子设备、存储介质及程序产品 | |
| CN114095156B (zh) | 一种轨道交通移动终端数据保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |