一种便携式密码系统的制作方法

一种便携式密码系统的制作方法
【技术领域】
[0001]本发明属于信息安全技术领域，特别是一种能够通过网络远程调用便携式密码装置的密码功能的密码系统。
【背景技术】
[0002]目前个人用户最常用的便携式密码硬件装置是USB Key、SmartCard。这些便携式密码硬件装置的主要功能包括密钥管理(如密钥生成及存储)和密码运算(如加密和解密，签名和签名验证、散列运算等)。
[0003]随着各种智能便携式装置的出现和发展，如移动通信终端、平板电脑、智能穿戴设备(智能眼镜、手表)，便携式密码硬件装置出现了一些新的发展趋势，比如，由智能便携式装置通过软件实施并提供密码功能，或者将密码硬件集成到智能便携式装置中使得智能便携式装置同时能作为一个便携式密码装置使用(智能便携式装置与密码装置的结合)。
[0004]但是，将智能便携式装置作为一个便携式密码装置使用时有一个问题需要解决，这就是用户计算机如何同智能便携式装置建立连接，以使得用户计算机中的各种密码应用程序(如安全电子邮件、在线安全订单程序、文件加密程序)能够调用智能便携式装置中的密码功能。对此，最常用的方式包括:用户计算机与智能便携式装置通过传输导线(如USB连接线等)连接，或者用户计算机与智能便携式装置之间通过近场无线通信方式(如W1-F1、Bluet00th、红外等)建立点对点的连接。但是，如果这些方式都不行怎办？比如，若用户未携带USB连接线，或者计算机没有USB连接口(网吧中的计算机有可能出现这种情况)，或者计算机没有近场无线通信功能(如台式电脑)，而这就是本发明要解决的问题。

【发明内容】

[0005]本发明的目的是提出一种密码应用程序能够通过网络，包括移动通信网、局域网和公共网络，调用便携式密码装置提供的密码功能的便携式密码系统，以便在用户计算机与便携式密码装置之间无法通过传输导线、或无线信道直接建立连接的情况下，用户密码应用程序能够调用便携式密码装置提供的密码功能。
[0006]为了实现上述目的，本发明所采用的技术方案是:
[0007]一种便携式密码系统，所述密码系统包括便携式密码装置、密码应用程序和密码服务器，其中:
[0008]所述便携式密码装置是一个提供密码功能的便携式计算装置；所述便携式密码装置是一个专门实施密码功能的装置，或者是一个在通用便携式计算装置(如移动通信终端、平盘电脑、智能穿戴设备)上实施密码功能的装置，或者是一个在通用便携式计算装置中集成了密码硬件的装置；所述便携式密码装置提供的密码功能包括密钥管理(如密钥生成、存储、导入、导出等)以及密码运算(如数据加密和解密，数字签名和签名验证，散列运算，动态口令生成等)；所述便携式密码装置具有人机交互界面以及连接数据网络(包括移动通信数据网、无线或有线局域网以及公共网络)的能力；所述便携式密码装置中运行有一个密码功能程序，用于通过数据网络向便携式密码装置以外的密码应用程序提供密码功能调用服务；所述便携式密码装置提供的密码功能由所述密码功能程序实施，或者由密码功能程序调用便携式密码装置中的密码模块实施；
[0009]所述密码服务器是一个在密码应用程序调用便携式密码装置的密码功能的过程中起桥梁作用的系统；
[0010]所述密码应用程序是一个通过调用便携式密码装置的密码功能实现预定的安全目标或目的的程序；密码应用程序运行所在计算装置是便携式密码装置以外的其他计算装置(如用户计算机)；
[0011]在所述密码应用程序调用所述便携式密码装置的密码功能前，便携式密码装置中的密码功能程序被用户或便携式密码装置启动，密码应用程序或密码功能程序使用用户的身份凭证(Credent ial)在密码服务器完成登录(logon)(密码应用程序和密码功能程序两个程序中只需一个程序在密码服务器完成登录即可，不必两个都登录)；所述身份凭证由用户标识信息及私密数据构成(如用户名、口令，数字证书及私钥，用户标识及基于标识生成的标识私钥等)；
[0012]密码功能程序在启动后，或者密码功能程序在密码服务器完成登录后，通过请求-响应标识数据在密码服务器查询、获取密码应用程序提交的密码功能调用请求(若是密码应用程序在密码服务器进行登录，则密码功能程序在启动后即进行此查询);所述请求-响应标识数据是密码应用程序和密码功能程序之间共享的、用于区分不同密码应用程序提交的密码功能调用请求及对应处理结果的标识性数据；
[0013]在密码应用程序或密码功能程序登录密码服务器后，需要调用密码功能的密码应用程序将密码功能调用请求提交到密码服务器，提交到密码服务器的密码功能调用请求通过密码应用程序和密码功能程序之间共享的请求-响应标识数据标识并包含密码功能指示以及功能调用所需参数；提交密码功能调用请求后，密码应用程序通过请求-响应标识数据标识从密码服务器查询、获取密码功能调用处理结果；
[0014]在密码应用程序向密码服务器提交密码功能调用请求后，密码功能程序通过请求-响应标识数据在密码服务器查询、获得密码应用程序提交的密码功能调用请求，然后在便携式密码装置中完成密码功能调用的处理，之后将密码功能调用处理结果返回到密码服务器；返回到密码服务器的密码功能调用处理结果通过密码应用程序和密码功能程序之间共享的请求-响应标识数据标识；
[0015]在密码功能程序向密码服务器返回密码功能调用处理结果后，密码应用程序通过请求-响应标识数据标识从密码服务器查询、获得密码功能调用处理结果；
[0016]在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和密码功能调用处理结果的过程中，密码服务器确保交换密码功能调用请求和密码功能调用处理结果的密码应用程序和密码功能程序两个程序中的一个程序已在密码服务器完成登录。
[0017]从以上
【发明内容】
可以看到，在用户计算机与便携式密码装置无法通过连接线或近场无线通信直接建立连接的情况下，用户计算机中的密码应用程序可以通过数据网络包括移动数据网、局域网或公共网络调用便携式密码装置提供的各种密码功能。
[0018]需指出的是本发明申请人在另一个专利申请“一种基于移动终端的密码系统”(专利受理号:201410407715.9)中也提出了一种基于移动终端的密码系统，本发明的方案与201410407715.9中的方案不同之处在于:1)本发明略去了密码模块这个组件，即密码应用程序直接通过密码服务器调用移动密码装置中的功能，而不是先调用本地的密码模块，然后再由密码模块通过密码服务器调用移动密码装置中的密码功能；省去密码模块这种方案的好处不仅仅是少了一个组件的问题，而是在很多情况能带来便利，比如，若密码应用程序是浏览器，则通过浏览器调用本地的密码模块(如Windows CSP)是非常困难的，一般需要通过控件或插件才能进行调用，而开发浏览器控件或插件不但麻烦，而且兼容性差(不同的浏览器、操作系统，控件或插件会不同);而采用本发明的方案，浏览器可直接用HTTP或Ajax等连接密码服务器，然后通过密码服务器调用移动密码装置中的密码功能，不存在兼容性问题；2)在本发明中，调用密码功能时，密码应用程序和密码功能程序之间无需在密码服务器建立逻辑连接(密码连接)，即是一种无连接的方案；相反地，在专利申请201410407715.9中，密码应用程序和密码功能程序之间需在密码服务器建立逻辑连接(密码连接)；无连接的方案使得密码服务器的实施更简单。
【附图说明】
[0019]图1为本发明的密码系统的示意图。
【具体实施方式】
[0020]下面结合附图对本发明作进一步的描述。
[0021]本发明首先涉及密码应用程序和密码功能程序之间共享的请求-响应标识数据的实施，密码应用程序和密码功能程序之间共享的请求-响应标识数据的【具体实施方式】包括:静态请求-响应标识数据和动态请求-响应标识数据。
[0022]所述静态请求-响应标识数据是指，从密码应用程序或密码功能程序登录密码服务器开始到登出密码服务器为止，请求-响应标识数据在密码应用程序和密码功能程序多次交换密码功能调用请求和密码功能调用处理结果过程中保持不变