[发明专利]一种基于移动终端的密码数据处理和交换方法

说明书

技术领域

本发明属于信息安全技术领域，特别是一种基于移动终端的密码数据处理和交换方法。

背景技术

在使用密码技术的应用中经常遇到的一个问题是采用何种方案存储和使用用户密钥。目前用户密钥的存储和使用通常有如下两种方案。

一种最简单也是最常用的方案是将用户密钥存储在用户计算机中，并通过软件密码模块使用用户密钥对数据进行密码处理(包括加密、解密、签名、签名验证)。这种方案的问题在于：方案不适合于在公共计算机中采用；若用户在不同计算机使用自己的密钥，则需要在不同计算机之间复制密钥、存储密钥，这给用户带来了很大不便。

另一种方案是使用专门的密码硬件装置(如USB Key)存储用户密钥并在密码硬件装置中使用用户密钥对数据进行密码处理。这种方案的最大优点是安全，且用户可在不同计算机上使用自己的密钥对数据进行密码处理。这种方案的存在的问题是：使用密码硬件装置如USB Key会产生额外的费用；在网吧，许多计算机的USB接口被封存，无法使用密码硬件装置。

目前，几乎所有用户都拥有手机、平板电脑等移动终端(移动计算装置)，这些手机、平板电脑可以用作密钥存储和进行数据密码处理的装置。这种采用移动终端的密钥存储和使用方案虽然没有采用专门的密码硬件装置的方案安全性高，但在通常的应用中这种方案的安全性已足够(比如在非涉及钱财的应用中，或者在仅涉及小额钱财的应用中这种方案的安全性已足够)。如果采用移动终端作为用户密钥的存储和使用装置，这就有两个问题需要解决：当用户在计算机上使用应用客户端与应用系统进行交互时，如何将需要进行密码处理的数据传送到移动终端？应用系统如何获得移动终端密码处理后的数据？

发明内容

本发明的目的是针对采用专门的密码硬件装置存在的问题，提出以移动终端作为用户密钥存储和密码处理装置的密码数据处理和交换方案。

为了实现本发明的目的，本发明提出的技术方案是：

一种基于移动终端的密码数据处理和交换方法，所述方法如下：

在用户的移动终端中安装一个密码处理程序并将用户的密钥保存在移动终端中；所述移动终端是便携式移动计算设备(如移动通信终端和平板电脑)；用户的移动终端有摄像头和条码扫描程序(动态库、类库和独立运行的程序)用于条码扫描和条码数据读取；所述用户密钥包括对称密钥和/或非对称密钥；所述密码处理程序是一个运行在用户移动终端中的对数据进行密码处理的程序(即APP)；所述密码处理包括加密、解密、数字签名、签名验证；所述数字签名和签名验证包括对称密钥数字签名和签名验证，以及非对称密钥数字签名和签名验证；所述密码处理程序调用移动终端中的条码扫描程序获取以条码形式显示的数据；

用户使用运行在计算机中的应用客户端访问应用系统；

若应用客户端在与应用系统进行交互的过程中需要对数据进行密码处理，则应用客户端或应用客户端调用的API通过条码将待密码处理的数据以及对密码处理后的数据进行标识的数据传递给运行在用户移动终端中的密码处理程序；密码处理程序使用保存在移动终端中的用户密钥对待密码处理的数据进行密码处理；密码处理程序在完成数据的密码处理后，将密码处理后的数据以寄存数据包的形式提交到密码中介系统保存，而对密码处理后的数据进行标识的数据则被转化为寄存数据包的标识数据；应用客户端或应用客户端调用的API或应用系统依据寄存数据包的标识数据从密码中介系统获取密码处理程序提交的寄存数据包，从而获得密码处理后的数据；若密码处理后的数据是敏感的数据，则提交到密码中介系统的寄存数据包被密码处理程序加密，而应用客户端或应用客户端调用的API在通过条码将待密码处理的数据通过条码传递给密码处理程序的同时，将对密码处理后的数据进行加密处理的私密数据通过条码传递给密码处理程序；而应用客户端或应用客户端调用的API或应用系统获得密码处理程序提交的寄存数据包后，通过对密码处理后的数据进行加密处理的私密数据解密加密的寄存数据包；

所述应用客户端调用的API是被应用客户端调用对数据进行处理的API(应用编程接口)程序(如动态库、组件、类库等)，包括密码处理API；所述密码中介系统是一个作为数据传递桥梁的系统；所述密码中介系统是一个独立运行的系统或者是应用系统的一个组件；所述密码中介系统将接收到的寄存数据包在内存或数据库中保存一段预定的时间期限(如30秒)，超过预定的保存时间期限后，密码中介系统将保存的寄存数据包从内存或数据库中删除；或者在保存的寄存数据包被获取超过预定的次数后，密码中介系统将保存的寄存数据包从内存或数据库中删除。