一种基于协商密钥的数据处理方法和手机技术

本发明专利技术提供了一种基于协商密钥的数据处理方法和手机，方法包括：手机安全模块验证用户身份识别卡证书的合法性，合法至少对第一随机因子和第二随机因子加密，并签名发送至用户身份识别卡，用户身份识别卡验证手机安全模块证书的合法性，并验证签名，正确解密获得第一随机因子和第二随机因子，验证第一随机因子，正确生成第三随机因子，并生成用户身份识别卡端的协商密钥，并至少加密第二随机因子和第三随机因子后签名发送至手机安全模块，手机安全模块验签正确后解密并生成手机安全模块端的协商密钥；二者之间通过协商密钥进行信息的安全传输。由此，可以使手机能够安全执行网上银行业务和/或机密信息传输。

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种基于协商密钥的数据处理方法和手机。
技术介绍
随着网络的迅速发展给人们带来的极大便利，人们越来越依赖于网络进行各种活动，例如网络文件的传输、网上银行交易均已逐渐成为人们生活、工作中不可缺少的一部分。由于网络毕竟是一个虚拟的环境，存在着太多不安全的因素，而在网络环境中必然会进行数据交互的网络活动，尤其是像网上银行业务和机密信息的传输这样的网络活动，对网络的安全提出了很高的要求，因此人们开始大力发展网络信息安全技术。然而，随着现今手机技术的飞速发展，手机终端越来越多的被用来替代计算机使用，但现今并没有一种手机终端能够安全执行网上银行业务和/或机密信息传输的解决方案。
技术实现思路
本专利技术旨在解决手机终端无法安全执行网上银行业务和/或机密信息传输的问题。本专利技术的主要目的在于提供一种基于协商密钥的数据处理方法；本专利技术的另一目的在于提供一种手机。为达到上述目的，本专利技术的技术方案具体是这样实现的：本专利技术一方面提供了一种基于协商密钥的数据处理方法，包括：用户身份识别卡将第一认证信息发送至手机安全模块，其中，所述第一认证信息至少包括：第一随机因子以及用户身份识别卡证书；所述手机安全模块接收到所述第一认证信息后，验证所述用户身份识别卡证书的合法性；如果所述手机安全模块验证所述用户身份识别卡证书合法，则所述手机安全模块通过所述用户身份识别卡证书中携带的所述用户身份识别卡的公钥至少对所述第一随机因子以及第二随机因子进行加密，获得第一密文信息；所述手机安全模块对所述第一密文信息进行签名，获得第一签名信息；所述手机安全模块将第二认证信息发送至所述用户身份识别卡，其中，所述第二认证信息至少包括：所述第一密文信息、所述第一签名信息以及所述手机安全模块证书；所述用户身份识别卡接收到所述第二认证信息后，验证所述手机安全模块证书的合法性；如果所述用户身份识别卡验证所述手机安全模块证书合法，则所述用户身份识别卡验证所述第一签名信息的正确性；如果所述用户身份识别卡验证所述第一签名信息正确，则所述用户身份识别卡解密所述第一密文信息，获得所述第一随机因子以及所述第二随机因子；所述用户身份识别卡在获得所述第一随机因子以及所述第二随机因子后，验证所述第一随机因子的正确性；如果所述用户身份识别卡验证所述第一随机因子正确，则所述用户身份识别卡生成第三随机因子，并根据所述第二随机因子以及所述第三随机因子生成所述用户身份识别卡端的协商密钥；所述用户身份识别卡通过所述手机安全模块证书中携带的所述手机安全模块的公钥至少对所述第二随机因子以及所述第三随机因子进行加密，获得第二密文信息；所述用户身份识别卡对所述第二密文信息进行签名，获得第二签名信息；所述用户身份识别卡将第三认证信息发送至所述手机安全模块，其中，所述第三认证信息至少包括：所述第二密文信息以及所述第二签名信息；所述手机安全模块接收到所述第三认证信息后，验证所述第二签名信息的正确性；如果所述手机安全模块验证所述第二签名信息正确，则所述手机安全模块解密所述第二密文信息，获得所述第二随机因子以及所述第三随机因子；所述手机安全模块根据所述第二随机因子以及所述第三随机因子生成所述手机安全模块端的协商密钥；所述手机安全模块与所述用户身份识别卡之间通过所述手机安全模块端的协商密钥以及所述用户身份识别卡端的协商密钥进行信息的安全传输。本专利技术一方面还提供了一种基于协商密钥的数据处理方法，包括：手机安全模块将第一认证信息发送至用户身份识别卡，其中，所述第一认证信息至少包括：第一随机因子以及手机安全模块证书；所述用户身份识别卡接收到所述第一认证信息后，验证所述手机安全模块证书的合法性；如果所述用户身份识别卡验证所述手机安全模块证书合法，则所述用户身份识别卡通过所述手机安全模块证书中携带的所述手机安全模块的公钥至少对所述第一随机因子以及第二随机因子进行加密，获得第一密文信息；所述用户身份识别卡对所述第一密文信息进行签名，获得第一签名信息；所述用户身份识别卡将第二认证信息发送至所述手机安全模块，其中，所述第二认证信息至少包括：所述第一密文信息、所述第一签名信息以及所述用户身份识别卡证书；所述手机安全模块接收到所述第二认证信息后，验证所述用户身份识别卡证书的合法性；如果所述手机安全模块验证所述用户身份识别卡证书合法，则所述手机安全模块验证所述第一签名信息的正确性；如果所述手机安全模块验证所述第一签名信息正确，则所述手机安全模块解密所述第一密文信息，获得所述第一随机因子以及所述第二随机因子；所述手机安全模块在获得所述第一随机因子以及所述第二随机因子后，验证所述第一随机因子的正确性；如果所述手机安全模块验证所述第一随机因子正确，则所述手机安全模块生成第三随机因子，并根据所述第二随机因子以及所述第三随机因子生成所述手机安全模块端的协商密钥；所述手机安全模块通过所述用户身份识别卡证书中携带的所述用户身份识别卡的公钥至少对所述第二随机因子以及所述第三随机因子进行加密，获得第二密文信息；所述手机安全模块对所述第二密文信息进行签名，获得第二签名信息；所述手机安全模块将第三认证信息发送至所述用户身份识别卡，其中，所述第三认证信息至少包括：所述第二密文信息以及所述第二签名信息；所述用户身份识别卡接收到所述第三认证信息后，验证所述第二签名信息的正确性；如果所述用户身份识别卡验证所述第二签名信息正确，则所述用户身份识别卡解密所述第二密文信息，获得所述第二随机因子以及所述第三随机因子；所述用户身份识别卡根据所述第二随机因子以及所述第三随机因子生成所述用户身份识别卡端的协商密钥；所述手机安全模块与所述用户身份识别卡之间通过所述手机安全模块端的协商密钥以及所述用户身份识别卡端的协商密钥进行信息的安全传输。此外，所述手机安全模块与所述用户身份识别卡之间通过所述手机安全模块端的协商密钥以及所述用户身份识别卡端的协商密钥进行信息的安全传输的步骤包括：所述手机安全模块获取待传输信息；所述手机安全模块通过所述手机安全模块端的协商密钥对所述待传输信息进行加密，获得第三密文信息；所述手机安全模块将第一处理信息发送至所述用户身份识别卡，其中，所述第一处理信息至少包括：所述第三密文信息；所述用户身份识别卡接收到所述第一处理信息后，通过所述用户身份识别卡端的协商密钥对所述第三密文信息进行解密，获得待传输信息；所述用户身份识本文档来自技高网...

【技术保护点】
一种基于协商密钥的数据处理方法，其特征在于，包括：用户身份识别卡将第一认证信息发送至手机安全模块，其中，所述第一认证信息至少包括：第一随机因子以及用户身份识别卡证书；所述手机安全模块接收到所述第一认证信息后，验证所述用户身份识别卡证书的合法性；如果所述手机安全模块验证所述用户身份识别卡证书合法，则所述手机安全模块通过所述用户身份识别卡证书中携带的所述用户身份识别卡的公钥至少对所述第一随机因子以及第二随机因子进行加密，获得第一密文信息；所述手机安全模块对所述第一密文信息进行签名，获得第一签名信息；所述手机安全模块将第二认证信息发送至所述用户身份识别卡，其中，所述第二认证信息至少包括：所述第一密文信息、所述第一签名信息以及所述手机安全模块证书；所述用户身份识别卡接收到所述第二认证信息后，验证所述手机安全模块证书的合法性；如果所述用户身份识别卡验证所述手机安全模块证书合法，则所述用户身份识别卡验证所述第一签名信息的正确性；如果所述用户身份识别卡验证所述第一签名信息正确，则所述用户身份识别卡解密所述第一密文信息，获得所述第一随机因子以及所述第二随机因子；所述用户身份识别卡在获得所述第一随机因子以及所述第二随机因子后，验证所述第一随机因子的正确性；如果所述用户身份识别卡验证所述第一随机因子正确，则所述用户身份识别卡生成第三随机因子，并根据所述第二随机因子以及所述第三随机因子生成所述用户身份识别卡端的协商密钥；所述用户身份识别卡通过所述手机安全模块证书中携带的所述手机安全模块的公钥至少对所述第二随机因子以及所述第三随机因子进行加密，获得第二密文信息；所述用户身份识别卡对所述第二密文信息进行签名，获得第二签名信息；所述用户身份识别卡将第三认证信息发送至所述手机安全模块，其中，所述第三认证信息至少包括：所述第二密文信息以及所述第二签名信息；所述手机安全模块接收到所述第三认证信息后，验证所述第二签名信息的正确性；如果所述手机安全模块验证所述第二签名信息正确，则所述手机安全模块解密所述第二密文信息，获得所述第二随机因子以及所述第三随机因子；所述手机安全模块根据所述第二随机因子以及所述第三随机因子生成所述手机安全模块端的协商密钥；所述手机安全模块与所述用户身份识别卡之间通过所述手机安全模块端的协商密钥以及所述用户身份识别卡端的协商密钥进行信息的安全传输。...

【技术特征摘要】
1.一种基于协商密钥的数据处理方法，其特征在于，包括：
用户身份识别卡将第一认证信息发送至手机安全模块，其中，所述第一认证信息至少包
括：第一随机因子以及用户身份识别卡证书；
所述手机安全模块接收到所述第一认证信息后，验证所述用户身份识别卡证书的合法性；
如果所述手机安全模块验证所述用户身份识别卡证书合法，则所述手机安全模块通过所
述用户身份识别卡证书中携带的所述用户身份识别卡的公钥至少对所述第一随机因子以及第
二随机因子进行加密，获得第一密文信息；
所述手机安全模块对所述第一密文信息进行签名，获得第一签名信息；
所述手机安全模块将第二认证信息发送至所述用户身份识别卡，其中，所述第二认证信
息至少包括：所述第一密文信息、所述第一签名信息以及所述手机安全模块证书；
所述用户身份识别卡接收到所述第二认证信息后，验证所述手机安全模块证书的合法性；
如果所述用户身份识别卡验证所述手机安全模块证书合法，则所述用户身份识别卡验证
所述第一签名信息的正确性；
如果所述用户身份识别卡验证所述第一签名信息正确，则所述用户身份识别卡解密所述
第一密文信息，获得所述第一随机因子以及所述第二随机因子；
所述用户身份识别卡在获得所述第一随机因子以及所述第二随机因子后，验证所述第一
随机因子的正确性；
如果所述用户身份识别卡验证所述第一随机因子正确，则所述用户身份识别卡生成第三
随机因子，并根据所述第二随机因子以及所述第三随机因子生成所述用户身份识别卡端的协
商密钥；
所述用户身份识别卡通过所述手机安全模块证书中携带的所述手机安全模块的公钥至少
对所述第二随机因子以及所述第三随机因子进行加密，获得第二密文信息；
所述用户身份识别卡对所述第二密文信息进行签名，获得第二签名信息；
所述用户身份识别卡将第三认证信息发送至所述手机安全模块，其中，所述第三认证信
息至少包括：所述第二密文信息以及所述第二签名信息；
所述手机安全模块接收到所述第三认证信息后，验证所述第二签名信息的正确性；
如果所述手机安全模块验证所述第二签名信息正确，则所述手机安全模块解密所述第二
密文信息，获得所述第二随机因子以及所述第三随机因子；
所述手机安全模块根据所述第二随机因子以及所述第三随机因子生成所述手机安全模块
端的协商密钥；
所述手机安全模块与所述用户身份识别卡之间通过所述手机安全模块端的协商密钥以及
所述用户身份识别卡端的协商密钥进行信息的安全传输。
2.一种基于协商密钥的数据处理方法，其特征在于，包括：
手机安全模块将第一认证信息发送至用户身份识别卡，其中，所述第一认证信息至少包
括：第一随机因子以及手机安全模块证书；
所述用户身份识别卡接收到所述第一认证信息后，验证所述手机安全模块证书的合法性；
如果所述用户身份识别卡验证所述手机安全模块证书合法，则所述用户身份识别卡通过
所述手机安全模块证书中携带的所述手机安全模块的公钥至少对所述第一随机因子以及第二
随机因子进行加密，获得第一密文信息；
所述用户身份识别卡对所述第一密文信息进行签名，获得第一签名信息；
所述用户身份识别卡将第二认证信息发送至所述手机安全模块，其中，所述第二认证信
息至少包括：所述第一密文信息、所述第一签名信息以及所述用户身份识别卡证书；
所述手机安全模块接收到所述第二认证信息后，验证所述用户身份识别卡证书的合法性；
如果所述手机安全模块验证所述用户身份识别卡证书合法，则所述手机安全模块验证所
述第一签名信息的正确性；
如果所述手机安全模块验证所述第一签名信息正确，则所述手机安全模块解密所述第一
密文信息，获得所述第一随机因子以及所述第二随机因子；
所述手机安全模块在获得所述第一随机因子以及所述第二随机因子后，验证所述第一随
机因子的正确性；
如果所述手机安全模块验证所述第一随机因子正确，则所述手机安全模块生成第三随机
因子，并根据所述第二随机因子以及所述第三随机因子生成所述手机安全模块端的协商密钥；
所述手机安全模块通过所述用户身份识别卡证书中携带的所述用户身份识别卡的公钥至
少对所述第二随机因子以及所述第三随机因子进行加密，获得第二密文信息；
所述手机安全模块对所述第二密文信息进行签名，获得第二签名信息；
所述手机安全模块将第三认证信息发送至所述用户身份识别卡，其中，所述第三认证信
息至少包括：所述第二密文信息以及所述第二签名信息；
所述用户身份识别卡接收到所述第三认证信息后，验证所述第二签名信息的正确性；
如果所述用户身份识别卡验证所述第二签名信息正确，则所述用户身份识别卡解密所述

\t第二密文信息，获得所述第二随机因子以及所述第三随机因子；
所述用户身份识别卡根据所述第二随机因子以及所述第三随机因子生成所述用户身份识
别卡端的协商密钥；
所述手机安全模块与所述用户身份识别卡之间通过所述手机安全模块端的协商密钥以及
所述用户身份识别卡端的协商密钥进行信息的安全传输。
3.根据权利要求1或2所述的方法，其特征在于，所述手机安全模块与所述用户身份识
别卡之间通过所述手机安全模块端的协商密钥以及所述用户身份识别卡端的协商密钥进行信
息的安全传输的步骤包括：
所述手机安全模块获取待传输信息；
所述手机安全模块通过所述手机安全模块端的协商密钥对所述待传输信息进行加密，获
得第三密文信息；
所述手机安全模块将第一处理信息发送至所述用户身份识别卡，其中，所述第一处理信
息至少包括：所述第三密文信息；
所述用户身份识别卡接收到所述第一处理信息后，通过所述用户身份识别卡端的协商密
钥对所述第三密文信息进行解密，获得待传输信息；
所述用户身份识别卡对所述待传输信息进行签名，获得第三签名信息；
所述用户身份识别卡通过所述用户身份识别卡端的协商密钥对所述第三签名信息进行加
密，获得第四密文信息；
所述用户身份识别卡将第二处理信息发送至所述手机安全模块，其中，所述第二处理信
息至少包括：所述第四密文信息；
所述手机安全模块接收到所述第二处理信息后，通过所述手机安全模块端的协商密钥对
所述第四密文信息进行解密，获得所述第三签名信息；
所述手机安全模块至少将所述第三签名信息外发。
4.根据权利要求1或2所述的方法，其特征在于，所述手机安全模块与所述用户身份识
别卡之间通过所述手机安全模块端的协商密钥以及所述用户身份识别卡端的协商密钥进行信
息的安全传输的步骤包括：
所述手机安全模块获取待传输信息；
所述手机安全模块通过所述手机安全模块端的协商密钥对所述待传输信息进行校验计
算，获得第一校验信息；
所述手机安全模块将第一处理信息发送至所述用户身份识别卡，其中，所述第一处理信

\t息至少包括：所述待传输信息和所述第一校验信息；
所述用户身份识别卡接收到所述第一处理信息后，通过所述用户身份识别卡端的协商密
钥对所述第一处理信息进行验证；
如果所述用户身份识别卡对所述第一处理信息验证通过，则所述用户身份识别卡对所述
待传输信息进行签名，获得第三签名信息；
所述用户身份识别卡通过所述用户身份识别卡端的协商密钥对所述第三签名信息进行校
验计算，获得第二校验信息；
所述用户身份识别卡将第二处理信息发送至所述手机安全模块，其中，所述第二处理信
息至少包括：所述第三签名信息和所述第二校验信息；
所述手机安全模块接收到所述第二处理信息后，通过所述手机安全模块端的协商密钥对
所述第二处理信息进行验证；
如果所述手机安全模块对所述第二处理信息验证通过，则所述手机安全模块至少将所述
第三签名信息外发。
5.根据权利要求1或2所述的方法，其特征在于，所述手机安全模块与所述用户身份识
别卡之间通过所述手机安全模块端的协商密钥以及所述用户身份识别卡端的协商密钥进行信
息的安全传输的步骤包括：
所述手机安全模块获取待传输信息；
所述手机安全模块通过所述手机安全模块端的协商密钥对所述待传输信息进行加密，获
得第三密文信息，以及对所述第三密文信息进行校验计算，获得第一校验信息；
所述手机安全模块将第一处理信息发送至所述用户身份识别卡，其中，所述第一处理信
息至少包括：所述第三密文信息和所述第一校验信息；
所述用户身份识别卡接收到所述第一处理信息后，通过所述用户身份识别卡端的协商密
钥对所述第一处理信息进行验证；
如果所述用户身份识别卡对所述第一处理信息验证通过，则所述用户身份识别卡通过所
述用户身份识别卡端的协商密钥对所述第三密文信息进行解密，获得所述待传输信息；
所述用户身份识别卡对所述待传输信息进行签名，获得第三签名信息；
所述用户身份识别卡通过所述用户身份识别卡端的协商密钥对所述第三签名信息进行加
密，获得第四密文信息，以及对所述第四密文信息进行校验计算，获得第二校验信息；
所述用户身份识别卡将第二处理信息发送至所述手机安全模块，其中，所述第二处理信
息至少包括：所述第四密文信息和所述第二校验信息；
所述手机安全模块接收到所述第二处理信息后，通过所述手机安全模块端的协商密钥对
所述第二处理信息进行验证；
如果所述手机安全模块对所述第二处理信息验证通过，则通过所述手机安全模块端的协
商密钥对所述第四密文信息进行解密，获得所述第三签名信息；
所述手机安全模块至少将所述第三签名信息外发。
6.根据权利要求3至5任一项所述的方法，其特征在于，在所述手机安全模块获取待传
输信息的步骤之后，在所述手机安全模块将第一处理信息发送至所述用户身份识别卡的步骤
之前，所述方法还包括：
所述手机安全模块提取所述待传输信息中的关键信息；
所述手机安全模块控制手机显示屏显示所述提取出的待传输信息中的关键信息；
所述手机安全模块接收手机键盘输出的确认指令；
在所述手机安全模块接收到所述手机键盘输出的确认指令后，执行所述手机安全模块将
第一处理信息发送至所述用户身份识别卡的步骤。
7.根据权利要求1至6任一项所述的方法，其特征在于，所述第三随机因子为所述用户
身份识别卡根据所述第一随机因子和所述第二随机因子生成的，或者所述第三随机因子是所
述用户身份识别卡随机生成的。
8.根据权利要求1至7任一项所述的方法，其特征在于，所述手机安全模块为独立于手
机CPU之外的模块，或者所述手机安全模块设置在所述手机CPU中的安全区域。
9.一种手机，其特征在于，包括：用户身份识别卡以及手机安全模块；其中，
所述用户身份识别卡中的第二收发单元，用于将第一认证信息发送至手机安全模块，其
中，所述第一认证信息至少包括：第一随机因子以及用户身份识别卡证书；
所述手机安全模块中第一收发单元，用于接收所述第一认证信息；
所述手机安全模块中的第一验证单元，用于在所述第一收发单元接收到所述第一认证信
息后，验证所述用户身份识别卡证书的合法性；
所述手机安全模块中的第一加密单元，用于在所述第一验证单元验证所述用户身份识别
卡证书合法后，通过所述用户身份识别卡证书中携带的所述用户身份识别卡的公钥至少对所
述第一随机因子以及第二随机因子进行加密，获得第一密文信息；
所述手机安全模块中的第一签名单元，用于对所述第一加密单元获得的所述第一密文信
息进行签名，获得第一签名信息；
所述手机安全模块中的所述第一收发单元，还用于将第二认证信息发送至所述用户身份

\t识别卡，其中，所述第二认证信息至少包括：所述第一密文信息、所述第一签名信息以及所
述手机安全模块证书；
所述用户身份识别卡中的所述第二收发单元，还用于接收所述第二认证信息；
所述用户身份识别卡中的第二验证单元，用于在所述第二收发单元接收到所述第二认证
信息后，验证所述手机安全模块证书的合法性；
所述用户身份识别卡中的所述第二验证单元，还用于在验证所述手机安全模块证书合法
后，验证所述第一签名信息的正确性；
所述用户身份识别卡中的所述第二解密单元，用于在所述第二验证单元验证所述第一签
名信息正确后，解密所述第一密文信息，获得所述第一随机因子以及所述第二随机因子；
所述用户身份识别卡中的所述第二验证单元，还用于在所述第二解密单元获得所述第一
随机因子以及所述第二随机因子后，验...

【专利技术属性】
技术研发人员：李东声，
申请(专利权)人：天地融科技股份有限公司，
类型：发明
国别省市：