一种集成加密算法的方法和系统的制作方法
【专利摘要】本申请公开了一种集成加密算法的方法和系统,其中所述方法包括:在移动设备存储区划分独立分区并使所述分区在刷机时不可更改其中的内容;在移动设备操作系统中增加一个独立用户和组,并设置所述独立用户不能有登录shell;将所述独立分区挂载到文件系统中,并设置所述独立分区只能由所述独立用户进行读写;在移动设备操作系统中建立提供加密算法实现并存储加密算法相关数据的服务,使所述服务以所述独立用户的身份运行;在操作系统SDK中为应用层提供加密算法相关API接口,所述接口为需要调用加密算法的应用提供所需的函数。本发明方法或系统使得各类需要使用加密算法如CPK的应用可以直接使用操作系统提供的加密算法服务,而不需要各自实现相应加密算法。
【专利说明】
一种集成加密算法的方法和系统
技术领域
[0001]本申请涉及电数字数据处理领域,尤其涉及一种集成加密算法的方法和系统。
【背景技术】
[0002]随着证书密码体系的发展,CPK组合公钥体制逐步在实际的企业环境中得到应用和部署,在移动手机端,也就诞生了很多使用CPK算法的应用。但是,在操作系统上,一直还没有一种在系统中集成了CPK算法的移动操作系统诞生。现有的应用都是自己调用CPK相关算法库,导致每个应用都得包含一套CPK算法,增加了应用的代码量,也无法保证应用自己实现的CPK代码的正确性和一致性。另外,由于每个应用自己维护CPK私钥,所以即使这些应用都使用的是一个CPK私钥,也迫使它们都必须分别向CPK服务器去请求私钥,导致重复操作。
【发明内容】
[0003]本申请的目标在于提供一种集成加密算法的方法或系统,其使得各类需要使用加密算法如CPK的应用可以直接使用操作系统提供的加密算法服务,而不需要各自实现相应加密算法。
[0004]本申请的目标由一种集成加密算法的方法实现,该方法包括:
[0005]在移动设备存储区划分独立分区并使所述分区在刷机时不可更改其中的内容;
[0006]在移动设备操作系统中增加一个独立用户和组,并设置所述独立用户不能有登录shell;
[0007]将所述独立分区挂载到文件系统中,并设置所述独立分区只能由所述独立用户进行读写;
[0008]在移动设备操作系统中建立提供加密算法实现并存储加密算法相关数据的服务,使所述服务以所述独立用户的身份运行;
[0009]在操作系统SDK中为应用层提供加密算法相关API接口,所述接口为需要调用加密算法的应用提供所需的函数。
[0010]本申请的目标还由一种集成加密算法的系统实现,该系统包括:
[0011]独立分区设置模块,用于在移动设备存储区划分独立分区并使所述分区在刷机时不可更改其中的内容;
[0012]独立用户设置模块,用于在移动设备操作系统中增加一个独立用户和组,并设置所述独立用户不能有登录Shell;
[0013]独立分区挂载模块,用于将所述独立分区挂载到文件系统中,并设置所述独立分区只能由所述独立用户进行读写;
[0014]服务建立模块,用于在移动设备操作系统中建立提供加密算法实现并存储加密算法相关数据的服务,使所述服务以所述独立用户的身份运行;
[0015]接口提供模块,用于在操作系统SDK中为应用层提供加密算法相关API接口,所述接口为需要调用加密算法的应用提供所需的函数。
[0016]通过本发明方法或系统,由于在操作系统中集成了加密算法如CPK算法,其他需要使用CPK算法的应用不需要自己再实现该算法,可以直接通过系统API实现这些功能,所以可以减少应用开发和测试的工作量,降低开发成本,并且可以减少开发完毕的应用的大小。此外,由于系统提供了成熟可靠的CPK算法,应用不需要自己再实现,可以提高应用的质量。由于系统提供了统一的CPK算法,所以对于应用来说,这提高了他们在算法上的一致性,减少了不同应用和服务间由于协商不一致导致的冲突。再者,由于在系统中提供了CPK服务,所以可以在应用间共享CPK私钥。
【附图说明】
[0017]本发明将在下面参考附图并结合优选实施例进行更完全地说明。
[0018]图1为根据本发明方法的一实施例的流程图。
[0019]图2为根据本发明系统的一实施例的结构示意图。
[0020]为清晰起见,这些附图均为示意性及简化的图,它们只给出了对于理解本发明所必要的细节,而省略其他细节。
【具体实施方式】
[0021]通过下面给出的详细描述,本发明的适用范围将显而易见。然而,应当理解,在详细描述和具体例子表明本发明优选实施例的同时,它们仅为说明目的给出。
[0022]图1示出了根据本发明实施例的用于集成加密算法的方法的流程图,在此以加密算法为CPK算法为例。该方法开始于步骤S10,在移动设备如手机存储区里划分出独立分区,此区域刷机时不可更改其中内容。在步骤S20,在手机系统中增加一个独立用户和组,例如:cpkadmin;并且设置此用户不能有登录shelK登录壳)。在步骤S30,将划分的独立分区挂载到文件系统中,例如:/cpkcontainer ;挂载时设置只能由独立用户cpkadmin进行读写,其他用户不允许有访问权限。在步骤S40,在系统中建立一个服务,例如:cpkmanagerd,让此服务以独立用户cpkadmin的身份运行,该服务提供具体的CPK算法实现,并且存储CPK相关数据,例如:公钥矩阵、用户的私钥。之后,在步骤S50,在操作系统SDK(System Development Kit,系统开发工具包)中,为应用层提供CPK相关API接口,该接口为需要调用CPK的应用提供所需的函数。在实施例中,所有运行期数据加密存储到/cpkcontainer,防止拆机暴力破解。对于公私钥矩阵和私钥不允许导出和拷贝,确保加密算法的安全性。
[0023]在其它实施例中,还在cpkmanagerd里按CPK私钥服务器域名划分隔离区域,如果应用对应的CPK私钥服务器是相同的,那么它们可以共享该私钥。当然,应用是否共享私钥可以由应用自己通过API来单独设置。
[0024]该实施例的方法通过在移动操作系统中内置了CPK系统服务,为整个操作系统提供CPK算法支持,并且为应用层实现了可供开发者调用的CPK相关API。这样各类需要使用CPK的应用就可以直接使用操作系统提供的CPK算法服务,而不必自己再包含CPK算法模块,可以减少各个应用的大小,同时由系统来保证CPK算法的正确性,提高了各个应用的质量。另外,系统集成的CPK服务,可以为相关CPK应用提供共享的私钥,只要有一个应用成果下载了 CPK私钥,其他应用都可以使用,减少了应用的操作。
[0025]图2示出了根据本发明实施例的用于集成加密算法的系统的示意图,该系统包括:独立分区设置模块10,用于在移动设备存储区划分独立分区并使所述分区在刷机时不可更改其中的内容;独立用户设置模块20,用于在移动设备操作系统中增加一个独立用户和组,并设置所述独立用户不能有登录shell;独立分区挂载模块30,用于将所述独立分区挂载到文件系统中,并设置所述独立分区只能由所述独立用户进行读写;服务建立模块40,用于在移动设备操作系统中建立提供加密算法实现并存储加密算法相关数据的服务,使所述服务以所述独立用户的身份运行;接口提供模块50,用于在操作系统SDK中为应用层提供加密算法相关API接口,所述接口为需要调用加密算法的应用提供所需的函数;隔离区域划分模块60,用于响应于所述加密算法为CPK算法,在所述服务里按CPK私钥服务器域名划分隔离区域;私钥共享模块70,用于响应于多个应用对应的CPK私钥服务器相同,所述多个应用共享私钥。
[0026]除非明确指出,在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解,说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件,但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。除非明确指出,在此公开的任何方法的步骤不必精确按照所公开的顺序执行。
[0027]—些优选实施例已经在前面进行了说明,但是应当强调的是,本发明不局限于这些实施例,而是可以本发明主题范围内的其它方式实现。
【主权项】
1.一种集成加密算法的方法,其特征在于,所述方法包括: 在移动设备存储区划分独立分区并使所述分区在刷机时不可更改其中的内容; 在移动设备操作系统中增加一个独立用户和组,并设置所述独立用户不能有登录shell; 将所述独立分区挂载到文件系统中,并设置所述独立分区只能由所述独立用户进行读与; 在移动设备操作系统中建立提供加密算法实现并存储加密算法相关数据的服务,使所述服务以所述独立用户的身份运行; 在操作系统SDK中为应用层提供加密算法相关API接口,所述接口为需要调用加密算法的应用提供所需的函数。2.根据权利要求1所述的方法,其特征在于,所述方法还包括: 使得加密算法运行期数据加密存储到所述文件系统中。3.根据权利要求1所述的方法,其特征在于,所述方法还包括: 使得所述加密算法相关数据不允许导出和拷贝。4.根据权利要求1所述的方法,其特征在于,所述加密算法相关数据存储于所述独立分区中。5.根据权利要求1-4任一所述的方法,其特征在于,所述加密算法为CPK算法。6.根据权利要求5所述的方法,其特征在于,所述方法还包括: 在所述服务里按CPK私钥服务器域名划分隔离区域。7.根据权利要求6所述的方法,其特征在于,所述方法还包括: 响应于多个应用对应的CPK私钥服务器相同,所述多个应用共享私钥。8.一种集成加密算法的系统,其特征在于,所述系统包括: 独立分区设置模块,用于在移动设备存储区划分独立分区并使所述分区在刷机时不可更改其中的内容; 独立用户设置模块,用于在移动设备操作系统中增加一个独立用户和组,并设置所述独立用户不能有登录shell; 独立分区挂载模块,用于将所述独立分区挂载到文件系统中,并设置所述独立分区只能由所述独立用户进行读写; 服务建立模块,用于在移动设备操作系统中建立提供加密算法实现并存储加密算法相关数据的服务,使所述服务以所述独立用户的身份运行; 接口提供模块,用于在操作系统SDK中为应用层提供加密算法相关API接口,所述接口为需要调用加密算法的应用提供所需的函数。9.根据权利要求8所述的系统,其特征在于,所述系统还包括: 隔离区域划分模块,用于响应于所述加密算法为CPK算法,在所述服务里按CPK私钥服务器域名划分隔离区域。10.根据权利要求9所述的系统,其特征在于,所述系统还包括: 私钥共享模块,用于响应于多个应用对应的CPK私钥服务器相同,所述多个应用共享私钥。
【文档编号】G06F21/12GK105844120SQ201610292486
【公开日】2016年8月10日
【申请日】2016年5月5日
【发明人】杨玉奇
【申请人】北京元心科技有限公司