CN104144256A - 一种基于移动终端的便携式密码装置 - Google Patents
一种基于移动终端的便携式密码装置 Download PDFInfo
- Publication number
- CN104144256A CN104144256A CN201410340474.0A CN201410340474A CN104144256A CN 104144256 A CN104144256 A CN 104144256A CN 201410340474 A CN201410340474 A CN 201410340474A CN 104144256 A CN104144256 A CN 104144256A
- Authority
- CN
- China
- Prior art keywords
- cryptographic function
- program
- cryptographic
- mobile terminal
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims abstract description 4
- 238000012790 confirmation Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 description 53
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 229910052709 silver Inorganic materials 0.000 description 4
- 239000004332 silver Substances 0.000 description 4
- 238000000034 method Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明涉及一种基于移动终端的便携式密码装置,该密码装置包括具有点对点通信能力的移动终端,运行在移动终端中提供密码功能的密码功能程序,位于密码应用程序所在的计算设备中的密码模块驻桩,其中密码应用程序所在的计算设备具有通过点对点通信与移动终端进行数据交换的能力;当一个密码应用程序调用密码模块驻桩的密码功能时,密码模块驻桩通过点对点通信方式将密码功能调用请求提交到密码功能程序,由密码功能程序完成密码功能调用的处理并将处理结果返回;所述密码装置通过在密码模块驻桩与密码功能程序之间建立安全会话的方式或者采用口令保护的方式对存储在移动终端中的密钥的使用进行安全保护。
Description
技术领域
本发明属于信息安全技术领域,特别是一种基于移动终端的便携式密码装置。
背景技术
使用过网银的人都有这样的经历,当你在银行开通一个网银帐户时,银行往往会给你一个通过USB接口向计算机提供密码功能的密码硬件,这个密码硬件被称为USB Key(USB密码钥匙)。USB Key中存放有公钥数字证书及其私钥,用于用户登录网银帐户时的身份鉴别和/或网上交易支付或资金转账的安全保护(支付或转账的签名)。USBKey的功能主要包括密钥生成、存储以及密码运算。
使用USB Key的主要原因一是保护密钥(私钥)的安全,将密钥保存在专门的密码硬件中可以有效防止他人对密钥的盗用;二是提供使用方便性,用户可随身携带USB Key在不同电脑、不同地方使用数字证书及其私钥实现安全保护功能。但USB Key在实际应用中的情况却与其提供使用方便性的初衷相违背,这是因为:一是用户可能需要携带和使用多个针对不同应用的、来自不同厂家的USB Key,比如由不同银行发放的、来自不同生产厂家的USB Key,且各种不同的USBKey有各自不同的管理和操作方式,这些给用户携带和使用USB Key带来很大的不便;二是USB Key很小,容易丢失,丢失后重新申请或购买USB Key比较麻烦;三是很多情况下用户需要支付费用购置USBKey(银行通常会为其网银客户免费发放USB Key,但丢失后补办通常需要交费;而对其他应用情况,用户通常是要为USB Key支付费用的)。正是这些不方便性的问题,导致用户宁可使用不安全的用户名、口令或者使用相对安全的动态口令包括手机短信,也不愿意使用安全的USB Key(我们知道动态口令包括手机短信实际上也不很安全,已出现了使用动态口令、手机短信的网游用户、银行用户帐户被盗用、造成重大损失的情况)。
除了USB Key外,还有一种便携式密码装置,密码智能卡(SmartCard)。密码智能卡的密码用途同USB Key一样,但需要使用专门的读卡设备,因此,除了在特别的场合使用外(如社保卡、医保卡、银行卡),密码智能卡在日常生活和工作中使用得并不普遍,且密码智能卡在携带和使用过程中存在与USB Key同样的问题。
发明内容
本发明的目的是提供一种利用手机、平板电脑等移动终端实现密码功能的基于移动终端的便携式密码装置,以克服现有技术的不足。
为了实现上述目的,本发明所采用的技术方案是:
一种基于移动终端的便携式密码装置,所述密码装置包括如下组件:
移动终端:一种用户可随身携带的具有程序执行和计算能力的装置(如移动手机、平板电脑);所述移动终端具有通过点对点(Pointto Point)通信方式与其它计算装置(如台式计算机、便携式计算机)进行数据交换的能力;
密码功能程序:一个运行在移动终端上提供密码功能的软件组件;所述密码功能包括密钥管理和密码运算;
密码模块驻桩(Stub):位于密码应用程序所在计算装置、向密码应用程序提供密码功能调用的软件组件(如动态库、COM组件等);所述密码应用程序是使用密码功能实现安全目的的程序;所述密码模块驻桩所在计算装置不是密码功能程序运行所在的移动终端;所述密码模块驻桩所在计算装置具有通过点对点通信方式与密码功能程序运行所在移动终端进行数据交换的能力;
当一个密码应用程序(通过接口)调用所述密码模块驻桩的密码功能时,所述密码模块驻桩通过点对点通信方式将密码功能调用请求提交到所述密码功能程序,由密码功能程序完成密码功能调用的处理并将处理结果返回到密码模块驻桩,然后由密码模块驻桩将处理结果返回到密码应用程序。
针对移动终端的密码功能的一种安全保护方案是,在所述密码模块驻桩通过通信方式请求调用所述密码功能程序提供的密码功能前,密码模块驻桩与密码功能程序之间先建立安全会话,安全会话的建立需要获得密码功能程序所在移动终端的用户的参与或确认。
针对存储在所述移动终端中的密钥(包括私钥或对称密钥)的一种安全保护方案是,在所述密码模块驻桩通过通信方式调用所述密码功能程序提供的密码功能使用存储在移动终端中的一个密钥时(如使用私钥解密数据或进行数字签名),所述密码功能程序提示用户一个计算装置中的密码应用程序正在使用密钥并通过让用户确认是否允许使用密钥的方式来对密钥进行安全保护(密码模块驻桩可以把密码应用程序的名字传递给密码功能程序,并显示给用户)。
针对密码功能的安全保护方案和针对密钥的安全保护方案可同时实施,也可以仅实施其中一个。
基于本发明的方法,人们常用的移动终端成为了替代USB Key、智能卡等密码硬件的便携式密码装置,且一个基于移动终端的便携式密码装置可以存储针对不同安全应用的密钥包括公钥数字证书和私钥,且用户无需支付额外的硬件费用,这一方面给用户带来了极大的方便,另一方面又为用户节省了使用安全密码的成本。
附图说明
图1为本发明的密码装置的示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的描述。
要实施本发明的方案,移动终端必须具有通过点对点通信方式与运行密码应用程序的计算设备进行数据交换的能力。下面以基于Android的移动终端(包括手机、平板电脑)作为实施密码功能的移动终端、以PC计算机(包括台式和便携PC计算机)作为密码应用程序运行的计算设备为例对本发明的具体实施方式加以说明。
基于Android的移动终端大多支持USB(Universal Serial Bus)通信与外部进行数据交换(点对点通信),而目前的PC计算机(包括台式和便携式PC计算机)几乎全都支持USB通信方式,因此,Android移动终端同PC计算机间的通信可采用USB通信方式。如何在Android移动终端同PC计算机之间实现USB通信在公开的资料包括网络论坛、博客中都有介绍,在此不再叙述。
另外,基于Android的移动终端大多支持蓝牙(Bluetooth)通信方式与外部进行数据交互(蓝牙可构建点对点对等网),而几乎所有的便携式PC计算机都支持蓝牙通信方式,故Android移动终端同便携式PC计算机间的通信也可采用蓝牙。在Android移动终端同PC计算机之间如何实现蓝牙通信的技术方案在公开的资料包括网络论坛、博客中都有介绍,其中,密码功能程序可采用J2ME开发,并使用针对蓝牙技术的JSR82API(JABWT)开发,在此不多介绍。
密码功能程序可采用J2ME开发。在具体实施中,密码功能程序既可以作为一个服务器程序(Server)实施,也可以作为一个客户端程序实施(Client)。
若所述密码功能程序是作为一个服务器程序实施,则其是一个运行在移动终端后台监听服务密码功能调用请求的程序,它可以一直运行在移动终端后台,或者在用户使用密码应用程序时由用户启动,而密码模块驻桩是密码功能程序的一个客户端程序。
若所述密码功能程序是作为一个客户端程序实施,则还需在密码模块驻桩所在计算机中实施一个中介服务程序;在用户使用密码应用程序时,密码功能程序作为中介服务程序的客户端程序被用户启动并连接中介服务程序,此时,密码模块驻桩也是作为中介服务程序的客户端程序;在密码应用程序调用密码模块驻桩的过程中,密码模块驻桩经中介服务程序通过通信方式与密码功能程序进行数据交互。中介服务程序可采用C/C++开发或其它合适的技术开发。
密码模块驻桩可采用与密码应用程序相适应的程序语言开发,如C/C++、COM等。
密码模块驻桩与密码功能程序之间的安全会话的建立,一种方案是采用向用户提示确认的方案,另一种方案是采用口令认证的方案。
对于安全会话建立的用户提示确认方案,具体实施如下:
密码模块驻桩在调用密码功能程序的密码功能前,密码模块驻桩先请求与密码功能程序建立安全会话,密码功能程序通过移动终端提示用户一台计算设备中的密码应用程序请求使用移动终端中的密码功能(密码模块驻桩可以把密码应用程序的名字传递给密码功能程序,并显示给用户),询问用户是否允许,若用户确认允许,则密码功能程序返回一个会话标识(Session ID),之后密码模块驻桩提交的密码功能调用请求中都包含此会话标识。密码模块驻桩可通过操作***提供的函数获取调用密码模块驻桩的应用程序的名字。
对于安全会话建立的口令认证方案,具体实施如下:
移动终端的密码功能受用户口令保护。当密码模块驻桩在调用密码功能程序的密码功能前,密码模块驻桩先要求用户输入密码功能的保护口令,用户输入口令后,密码模块驻桩将用户输入的口令提交到密码功能程序,请求建立安全会话,密码功能程序验证用户的口令,口令验证通过后返回一个会话标识,之后密码模块驻桩提交的密码功能调用请求中都包含此会话标识。
对于其它具有通过通信方式与其它计算设备进行数据交换能力的移动终端,其实施原理是一样的,只是不同的移动终端提供的开发工具包括通信驱动会有所不同。
其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
Claims (6)
1.一种基于移动终端的便携式密码装置,其特征是:所述密码装置包括如下组件:
移动终端:一种用户可随身携带的具有程序执行和计算能力的装置;所述移动终端具有通过点对点通信方式与其它计算装置进行数据交换的能力;
密码功能程序:一个运行在移动终端上提供密码功能的软件组件;所述密码功能包括密钥管理和密码运算;
密码模块驻桩:位于密码应用程序所在计算装置、向密码应用程序提供密码功能调用的软件组件;所述密码应用程序是使用密码功能实现安全目的的程序;所述密码模块驻桩所在计算装置不是密码功能程序运行所在的移动终端;所述密码模块驻桩所在计算装置具有通过点对点通信方式与密码功能程序运行所在移动终端进行数据交换的能力;
当一个密码应用程序调用所述密码模块驻桩的密码功能时,所述密码模块驻桩通过点对点通信方式将密码功能调用请求提交到所述密码功能程序,由密码功能程序完成密码功能调用的处理并将处理结果返回到密码模块驻桩,然后由密码模块驻桩将处理结果返回到密码应用程序。
2.根据权利要求1所述的基于移动终端的便携式密码装置,其特征是:针对移动终端的密码功能的安全保护方案是,在所述密码模块驻桩通过通信方式请求调用所述密码功能程序提供的密码功能前,密码模块驻桩与密码功能程序之间先建立安全会话,安全会话的建立有密码功能程序所在移动终端的用户的参与或确认。
3.根据权利要求1所述的基于移动终端的便携式密码装置,其特征是:针对存储在所述移动终端中的密钥的安全保护方案是,在所述密码模块驻桩通过通信方式调用所述密码功能程序提供的密码功能并使用存储在移动终端中的一个密钥时,所述密码功能程序提示用户一个计算装置中的密码应用程序正在使用密钥并通过让用户确认是否允许使用密钥的方式来对密钥进行安全保护。
4.根据权利要求1所述的基于移动终端的便携式密码装置,其特征是:
所述密码功能程序是一个服务器程序或客户端程序;
若所述密码功能程序是一个服务器程序,则其一直运行在移动终端后台监听密码功能调用的服务请求,或者在用户使用密码应用程序时由用户启动,然后监听密码功能调用的服务请求,向密码模块驻桩提供密码功能调用;
若所述密码功能程序是一个客户端程序,则所述密码模块驻桩所在计算装置中运行有一个中介服务程序,在用户使用密码应用程序时,所述密码功能程序作为中介服务程序的客户端程序被用户启动并连接中介服务程序,而密码模块驻桩也作为中介服务程序的客户端程序经中介服务程序通过通信方式调用密码功能程序提供的密码功能。
5.根据权利要求2所述的基于移动终端的便携式密码装置,其特征是:密码模块驻桩与密码功能程序之间建立安全会话的具体方法如下:
密码模块驻桩在调用密码功能程序的密码功能前,密码模块驻桩先请求与密码功能程序建立安全会话,密码功能程序通过移动终端提示用户一台计算设备中的密码应用程序请求使用移动终端中的密码功能,询问用户是否允许,若用户确认允许,则密码功能程序返回一个会话标识,之后密码模块驻桩提交的密码功能调用请求中都包含此会话标识。
6.根据权利要求2所述的基于移动终端的便携式密码装置,其特征是:密码模块驻桩与密码功能程序之间建立安全会话的具体方法如下:
当密码模块驻桩在调用密码功能程序的密码功能前,密码模块驻桩先要求用户输入密码功能的保护口令,用户输入口令后,密码模块驻桩将用户输入的口令提交到密码功能程序,请求建立安全会话,密码功能程序验证用户的口令,口令验证通过后返回一个会话标识,之后密码模块驻桩提交的密码功能调用请求中都包含此会话标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410340474.0A CN104144256B (zh) | 2014-07-17 | 2014-07-17 | 一种基于移动终端的便携式密码装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410340474.0A CN104144256B (zh) | 2014-07-17 | 2014-07-17 | 一种基于移动终端的便携式密码装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104144256A true CN104144256A (zh) | 2014-11-12 |
| CN104144256B CN104144256B (zh) | 2017-03-08 |
Family
ID=51853321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410340474.0A Expired - Fee Related CN104144256B (zh) | 2014-07-17 | 2014-07-17 | 一种基于移动终端的便携式密码装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104144256B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105281916A (zh) * | 2015-11-05 | 2016-01-27 | 武汉理工大学 | 一种便携式密码*** |
| CN106506152A (zh) * | 2016-11-16 | 2017-03-15 | 武汉理工大学 | 一种密码装置的共享使用方法 |
| CN107622395A (zh) * | 2017-09-28 | 2018-01-23 | 杭州恒生数据安全技术有限公司 | 支付密码生成的方法、终端、服务器、计算模块及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5794139A (en) * | 1994-08-29 | 1998-08-11 | Sony Corporation | Automatic generation of private authentication key for wireless communication systems |
| CN101325774A (zh) * | 2008-07-30 | 2008-12-17 | 青岛海信移动通信技术股份有限公司 | 一种加、解密方法及其移动终端 |
-
2014
- 2014-07-17 CN CN201410340474.0A patent/CN104144256B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5794139A (en) * | 1994-08-29 | 1998-08-11 | Sony Corporation | Automatic generation of private authentication key for wireless communication systems |
| CN101325774A (zh) * | 2008-07-30 | 2008-12-17 | 青岛海信移动通信技术股份有限公司 | 一种加、解密方法及其移动终端 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105281916A (zh) * | 2015-11-05 | 2016-01-27 | 武汉理工大学 | 一种便携式密码*** |
| CN105281916B (zh) * | 2015-11-05 | 2018-09-25 | 武汉理工大学 | 一种便携式密码*** |
| CN106506152A (zh) * | 2016-11-16 | 2017-03-15 | 武汉理工大学 | 一种密码装置的共享使用方法 |
| CN107622395A (zh) * | 2017-09-28 | 2018-01-23 | 杭州恒生数据安全技术有限公司 | 支付密码生成的方法、终端、服务器、计算模块及*** |
| CN107622395B (zh) * | 2017-09-28 | 2020-09-01 | 杭州恒生数据安全技术有限公司 | 支付密码生成的方法、终端、服务器及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104144256B (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102044747B1 (ko) | 블록체인 기반 사용자 인증서비스 제공방법 | |
| US9934502B1 (en) | Contacts for misdirected payments and user authentication | |
| WO2020107233A1 (zh) | 基于区块链的钱包***及钱包使用方法、以及存储介质 | |
| CA2936810A1 (en) | Device, system and method of mobile identity verification | |
| CN101221641B (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| CN103164792A (zh) | 无线终端上的支付服务提供方法及相关设备和*** | |
| CN102195932A (zh) | 一种基于两个隔离设备实现网络身份认证的方法和*** | |
| CN110210207A (zh) | 授权方法及设备 | |
| CN104618116A (zh) | 一种协同数字签名***及其方法 | |
| AU2018213955B9 (en) | Contacts for misdirected payments and user authentication | |
| CN105391678A (zh) | 具有单键快速安全登录功能之计算机网络*** | |
| CN104021473A (zh) | 一种可视金融卡的安全支付方法 | |
| CN102867255A (zh) | 多操作***平台和移动支付设备的网银u盾及其工作方法 | |
| CN104200359A (zh) | 应用于移动设备的支付加密硬件的应用方法 | |
| CN105635168A (zh) | 一种脱机交易装置及其安全密钥的使用方法 | |
| CN102780561A (zh) | 一种使用移动终端实现用户知情数字签名的方法和*** | |
| CN103268436A (zh) | 移动支付中一种基于触摸屏的图形化密码验证方法与*** | |
| CN101335754A (zh) | 一种利用远程服务器进行信息验证的方法 | |
| WO2017076270A1 (zh) | 一种具有动态令牌otp功能的智能卡及其工作方法 | |
| CN104636917A (zh) | 一种具备安全支付功能的移动支付***及方法 | |
| KR101494838B1 (ko) | 거래연동 오티피를 이용한 계좌 이체 방법 및 시스템 | |
| CN104301288A (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与*** | |
| CN104144256A (zh) | 一种基于移动终端的便携式密码装置 | |
| US20160342809A1 (en) | System and method of authentication of a first party respective of a second party aided by a third party | |
| CN104935550A (zh) | 智能化电子商务用户管理***技术及运行方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170308 |