一种在移动终端中保护密钥安全的方法和装置制造方法及图纸

本申请公开了一种在移动终端中保护密钥安全的方法和装置，其中所述移动终端包括存储卡，所述方法包括：在所述存储卡里划分独立的密钥存储区域并将密钥保存于所述存储区域中；在移动终端系统中增加一个独立的密钥访问用户和组；将所述密钥存储区域挂载到所述移动终端的文件系统中，并设置所述密钥存储区域只能由所述密钥访问用户进行读和/或写；在所述移动终端的系统中建立以所述密钥访问用户身份运行的服务；及在所述服务中实现密钥相关算法并提供应用层接口。本发明专利技术可在移动终端内部实现密钥的安全存储和使用，而不需要外部设备。

Method and device for protecting key safety in mobile terminal

The invention discloses a method and a device for the protection of key security in the mobile terminal, wherein the mobile terminal includes a memory card, wherein the method comprises the following steps: key storage area partition independent in the storage card and the encryption key is stored in the storage area; the mobile terminal adds an independent key access to users and groups in the system; the key storage area to mount the mobile terminal in the file system, and set the key storage area only by the key to access the user to read and / or write; mobile access user running with the key establishment terminal system services in the in the service; and the realization of key algorithm and application layer interface. The invention can realize the safe storage and use of the key in the mobile terminal, without external equipment.

【技术实现步骤摘要】

本申请涉及电数字数据处理领域，尤其涉及一种在移动终端中保护密钥安全的方法和装置。
技术介绍
为了解决智能密码钥匙在手机上的应用，目前在市面上的手机智能密钥(key)，大多采用音频、SD卡、USB接口等外加附属设备的方案。这样的方案需要用户额外购置key，导致用户成本增加。另外，用户需要多携带这些智能密码钥匙，并且需要将智能密码钥匙联接到手机上，使用并不方便。此外，在手机端CPK(组合公钥体系)应用中，公私钥矩阵安全保存也一直没有很好的方法。
技术实现思路
本申请的目标在于提供一种在移动终端内部实现密钥安全存储、使用的方法和装置，从而不需要外置设备。本申请的目标由一种在移动终端中保护密钥安全的方法实现，其中所述移动终端包括存储卡，该方法包括：在所述存储卡里划分独立的密钥存储区域并将密钥保存于所述存储区域中；在移动终端系统中增加一个独立的密钥访问用户和组；将所述密钥存储区域挂载到所述移动终端的文件系统中，并设置所述密钥存储区域只能由所述密钥访问用户进行读和/或写；在所述移动终端的系统中建立以所述密钥访问用户身份运行的服务；及在所述服务中实现密钥相关算法并提供应用层接口。本申请的目标还由一种在移动终端中保护密钥安全的装置实现，其中所述移动终端包括存储卡，该装置包括：密钥存储区域形成单元，用于在所述存储卡里划分独立的密钥存储区域并将密钥保存于所述存储区域中；用户建立单元，用于在移动终端系统中增加一个独立的密钥访问用户和组；挂载单元，用于将所述密钥存储区域挂载到所述移动终端的文件系统中，并设置所述密钥存储区域只能由所述密钥访问用户进行读和/或写；服务建立单元，用于在所述移动终端的系统中建立以所述密钥访问用户身份运行的服务；及算法实现单元，用于在所述服务中实现密钥相关算法并提供应用层接口。本专利技术方法在手机存储卡中专门划分出独立的密钥如公私钥矩阵、私钥等的存储区，配合系统服务进行权限限制，达到安全存储CPK公私钥矩阵或在手机内部实现自带key的目的。本专利技术方法和装置具有下述优点：不需要外置设备，降低了成本，并且方便用户使用；以独立的特殊用户管理key存储区，使其他进程不能访问key存储区；及以独立的服务实现算法，封装了密钥API，禁止密钥导出，从而确保了密钥安全。除非明确指出，在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解，说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件，但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。除非明确指出，在此公开的任何方法的步骤不必精确按照所公开的顺序执行。附图说明本专利技术将在下面参考附图并结合优选实施例进行更完全地说明。图1为根据本专利技术方法的一实施例的流程图。图2为根据本专利技术方法的另一实施例的流程图。图3为根据本专利技术方法的另一实施例的流程图。图4为根据本专利技术装置的一实施例的结构示意图。图5为根据本专利技术装置的另一实施例的结构示意图。为清晰起见，这些附图均为示意性及简化的图，它们只给出了对于理解本专利技术所必要的细节，而省略其他细节。具体实施方式通过下面给出的详细描述，本专利技术的适用范围将显而易见。然而，应当理解，在详细描述和具体例子表明本专利技术优选实施例的同时，它们仅为说明目的给出。图1示出了本专利技术方法应用于CPK应用的一实施例，其用于在移动终端如手机中保护公私钥矩阵，手机包括存储卡如eMMC卡或其他非易失性存储介质，该实施例的方法开始于步骤S10，在eMMC卡里划分独立的分区，该区域刷机时不可更改其中内容，将公私钥矩阵保存于该区域中。换言之，在刷机时不删除该独立区域的内容。之后，处理进行到步骤S20，在手机系统中增加一个独立用户和组，例如cpkadmin，并且设置此用户不能有登陆shell(用户交互界面)。之后，处理进行到步骤S30，将划分的独立分区挂载到文件系统中，例如/cpkcontainer，挂载时设置只能由前述独立用户cpkadmin进行读写，其他用户不允许有访问权限。之后，处理进行到步骤S40，在系统中建立一个服务，例如cpkmanagerd，以使操作系统能够为上层应用提供相应的API，并且能够控制不同应用对API的调用权限。此外，让此服务以独立用户cpkadmin身份运行。之后，处理进行到步骤S50，在服务中实现CPK公钥矩阵算法，并提供应用层接口，对于公私钥矩阵不允许导出和拷贝。该实施例的方法使得不需要外置设备；以独立的特殊用户管理公私钥矩阵存储区，使其他进程不能访问公私钥矩阵存储区；并以独立的服务实现算法，封装了CPK公私钥矩阵API，禁止公私钥矩阵导出，从而确保了CPK公私钥矩阵的安全存储。在其他实施例中，在服务中可实现其他密钥相关算法如SM2签名/验签算法、SM4加密/解密算法、ECC相关算法、RSA相关算法等。图2示出了本专利技术方法的另一实施例，除包括图1所示实施例的所有步骤之外，图2的实施例还包括步骤S60，将所有运行期数据加密存储到/cpkcontainer，以防止拆机、直接用设备读取出里面的内容而暴力破解。图3示出了本专利技术方法应用于智能密码钥匙应用的一实施例，其用于在移动终端如手机中保护私钥，手机包括eMMC卡，该实施例的方法开始于步骤S10’，在手机EMMC里划分出独立的分区，此区域刷机时不可更改其中内容。之后，处理进行到步骤S20’，在手机系统中增加一个独立用户和组，例如keyadmin，并且设置此用户不能有登陆shell。之后，处理进行到步骤S30’，将划分的独立分区挂载到文件系统中，例如/keycontainer，挂载时设置只能由keyadmin进行读写，其他用户不允许有访问权限。之后，处理进行到步骤S40’，在系统中建立一个服务，例如keymanagerd，让此服务以keyadmin身份运行。之后，处理进行到步骤S50’，在服务中实现智能密码钥匙相关算法，并提供应用层接口，对于私钥不允许导出和拷贝。之后，处理进行到步骤S60’，所有运行期数据加密存储到/keycontainer，防止拆机暴力破解。本专利技术方法的上述实施例的步骤并非必须按给出的顺序执行，而是可以交换部分步骤的顺序，例如步骤S10和S20可交换顺序。图4示出了本发本文档来自技高网...

【技术保护点】
一种在移动终端中保护密钥安全的方法，其中所述移动终端包括存储卡，所述方法包括：在所述存储卡里划分独立的密钥存储区域并将密钥保存于所述存储区域中；在移动终端系统中增加一个独立的密钥访问用户和组；将所述密钥存储区域挂载到所述移动终端的文件系统中，并设置所述密钥存储区域只能由所述密钥访问用户进行读和/或写；在所述移动终端的系统中建立以所述密钥访问用户身份运行的服务；及在所述服务中实现密钥相关算法并提供应用层接口。

【技术特征摘要】
1.一种在移动终端中保护密钥安全的方法，其中所述移动终端包括存储
卡，所述方法包括：
在所述存储卡里划分独立的密钥存储区域并将密钥保存于所述存储区域中；
在移动终端系统中增加一个独立的密钥访问用户和组；
将所述密钥存储区域挂载到所述移动终端的文件系统中，并设置所述密钥
存储区域只能由所述密钥访问用户进行读和/或写；
在所述移动终端的系统中建立以所述密钥访问用户身份运行的服务；及
在所述服务中实现密钥相关算法并提供应用层接口。
2.根据权利要求1所述的方法，其特征在于，所述方法还包括：
使所述密钥存储区域中的内容在刷机时不可更改。
3.根据权利要求1所述的方法，其特征在于，所述密钥访问用户没有登
录用户交互界面。
4.根据权利要求1所述的方法，其特征在于，所述方法还包括：
将所有运行期数据加密存储到挂载所述密钥存储区域的文件系统中。
5.根据权利要求1所述的方法，其特征在于，在实现密钥相关算法时不
允许导出和/或拷贝密钥。
6.根据权利要求1所述的方法，其特征在于，所述密钥包括公私钥矩阵
...

【专利技术属性】
技术研发人员：杨玉奇，
申请(专利权)人：北京元心科技有限公司，
类型：发明
国别省市：北京;11