一种基于移动终端的密码数据处理和交换方法
【技术领域】
[0001]本发明属于信息安全技术领域,特别是一种基于移动终端的密码数据处理和交换方法。
【背景技术】
[0002]在使用密码技术的应用中经常遇到的一个问题是采用何种方案存储和使用用户密钥。目前用户密钥的存储和使用通常有如下两种方案。
[0003]一种最简单也是最常用的方案是将用户密钥存储在用户计算机中,并通过软件密码模块使用用户密钥对数据进行密码处理(包括加密、解密、签名、签名验证)。这种方案的问题在于:方案不适合于在公共计算机中采用;若用户在不同计算机使用自己的密钥,则需要在不同计算机之间复制密钥、存储密钥,这给用户带来了很大不便。
[0004]另一种方案是使用专门的密码硬件装置(如USB Key)存储用户密钥并在密码硬件装置中使用用户密钥对数据进行密码处理。这种方案的最大优点是安全,且用户可在不同计算机上使用自己的密钥对数据进行密码处理。这种方案的存在的问题是:使用密码硬件装置如USB Key会产生额外的费用;在网吧,许多计算机的USB接口被封存,无法使用密码硬件装置。
[0005]目前,几乎所有用户都拥有手机、平板电脑等移动终端(移动计算装置),这些手机、平板电脑可以用作密钥存储和进行数据密码处理的装置。这种采用移动终端的密钥存储和使用方案虽然没有采用专门的密码硬件装置的方案安全性高,但在通常的应用中这种方案的安全性已足够(比如在非涉及钱财的应用中,或者在仅涉及小额钱财的应用中这种方案的安全性已足够)。如果采用移动终端作为用户密钥的存储和使用装置,这就有两个问题需要解决:当用户在计算机上使用应用客户端与应用系统进行交互时,如何将需要进行密码处理的数据传送到移动终端?应用系统如何获得移动终端密码处理后的数据?
【发明内容】
[0006]本发明的目的是针对采用专门的密码硬件装置存在的问题,提出以移动终端作为用户密钥存储和密码处理装置的密码数据处理和交换方案。
[0007]为了实现本发明的目的,本发明提出的技术方案是:
[0008]一种基于移动终端的密码数据处理和交换方法,所述方法如下:
[0009]在用户的移动终端中安装一个密码处理程序并将用户的密钥保存在移动终端中;所述移动终端是便携式移动计算设备(如移动通信终端和平板电脑);用户的移动终端有摄像头和条码扫描程序(动态库、类库和独立运行的程序)用于条码扫描和条码数据读取;所述用户密钥包括对称密钥和/或非对称密钥;所述密码处理程序是一个运行在用户移动终端中的对数据进行密码处理的程序(即APP);所述密码处理包括加密、解密、数字签名、签名验证;所述数字签名和签名验证包括对称密钥数字签名和签名验证,以及非对称密钥数字签名和签名验证;所述密码处理程序调用移动终端中的条码扫描程序获取以条码形式显示的数据;
[0010]用户使用运行在计算机中的应用客户端访问应用系统;
[0011]若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则应用客户端或应用客户端调用的API通过条码将待密码处理的数据以及对密码处理后的数据进行标识的数据传递给运行在用户移动终端中的密码处理程序;密码处理程序使用保存在移动终端中的用户密钥对待密码处理的数据进行密码处理;密码处理程序在完成数据的密码处理后,将密码处理后的数据以寄存数据包的形式提交到密码中介系统保存,而对密码处理后的数据进行标识的数据则被转化为寄存数据包的标识数据;应用客户端或应用客户端调用的API或应用系统依据寄存数据包的标识数据从密码中介系统获取密码处理程序提交的寄存数据包,从而获得密码处理后的数据;若密码处理后的数据是敏感的数据,则提交到密码中介系统的寄存数据包被密码处理程序加密,而应用客户端或应用客户端调用的API在通过条码将待密码处理的数据通过条码传递给密码处理程序的同时,将对密码处理后的数据进行加密处理的私密数据通过条码传递给密码处理程序;而应用客户端或应用客户端调用的API或应用系统获得密码处理程序提交的寄存数据包后,通过对密码处理后的数据进行加密处理的私密数据解密加密的寄存数据包;
[0012]所述应用客户端调用的API是被应用客户端调用对数据进行处理的API (应用编程接口)程序(如动态库、组件、类库等),包括密码处理API ;所述密码中介系统是一个作为数据传递桥梁的系统;所述密码中介系统是一个独立运行的系统或者是应用系统的一个组件;所述密码中介系统将接收到的寄存数据包在内存或数据库中保存一段预定的时间期限(如30秒),超过预定的保存时间期限后,密码中介系统将保存的寄存数据包从内存或数据库中删除;或者在保存的寄存数据包被获取超过预定的次数后,密码中介系统将保存的寄存数据包从内存或数据库中删除。
[0013]通过以上描述可以看到,基于本发明的方法,用户可将移动终端作为随身携带的密钥存储和密码处理装置,并通过密码中介系统将密码处理后的数据传递给应用客户端或应用系统,用户无需专门的密码硬件装置,这对用户而言,既操作使用方便,又无需额外开销,而且可在没有USB接口的环境使用。
【附图说明】
[0014]图1为本发明实施例一或实施例二的流程示意图。
[0015]图2为本发明实施例三或实施例四的流程示意图。
【具体实施方式】
[0016]下面结合附图和实施例对本发明作进一步的描述。
[0017]本发明针对经密码处理后的数据是敏感的、需要保密的还是不敏感、不需要保密的,以及密码处理后的数据的直接获取实体是应用系统还是应用客户端的不同情况,有如下四种具体实施方案。
[0018]实施例一:
[0019]若密码处理后的数据是敏感的、需要保密的,密码处理后的数据的直接获取实体是应用系统,则所述方法的实施如下:
[0020]若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理,则用户、应用客户端或应用客户端调用的AP1、密码处理程序以及密码中介系统按如下方式对待密码处理的数据进行操作处理:
[0021]第一步:应用客户端或应用客户端调用的API将待密码处理的数据和数据交换密钥以条码的形式显示;所述数据交换密钥既是对密码处理后的数据进行加密处理的私密数据,同时也作为对密码处理后的数据进行标识的数据;
[0022]第二步:用户使用运行有密码处理程序的移动终端对用户计算机上显示的条码进行扫描;
[0023]第三步:密码处理程序从扫描的条码中获得待密码处理的数据和数据交换密钥;
[0024]第四步:密码处理程序使用存储在移动终端中的用户密钥对待密码处理的数据进行密码处理,形成密码处理后的数据;
[0025]第五步:密码处理程序使用从条码中获得的数据交换密钥或者由数据交换密钥导出的密钥对密码处理后的数据进行加密形成寄存数据包;密码处理程序采用单向不可逆函数对从条码中获得的数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码,将带有标识码的寄存数据包提交到密码中介系统;
[0026]第六步:密码中介系统将接收到的寄存数据包保存在内存或数据库中;
[0027]第七步:应用客户端或应用客户端调用的API采用同样的单向不可逆函数对数据交换密钥进行处理,以处理后生成的数据作为寄存数据包的标识码从密码中介系统获得具有对应(即同样)标识码的寄存数据包;应用客户端或应用客户端调用的API使用数据交换密钥或者由数据交换密钥导出的密钥对获得的寄存数据包进行解密,获得密码处理后的数据;
[0028]若应用客户端需要将密码处理后的数据提交到应用系统,则执行第八步;否则,结束密码处理执行;
[0029]第八步:应用客户端将获得的密