一种移动终端密码保护模块、移动终端及密码保护方法技术

本发明专利技术属于移动终端密码保护领域，提供了一种移动终端密码保护模块、移动终端及密码保护方法。其中，移动终端密码保护模块包括生物识别服务接口，其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制；密码服务子模块，其接收并响应生物识别服务接口传送来的身份识别及访问请求；所述密码服务子模块包括安全区、核心层和接口层，安全区用于将密钥信息和用户信息处理后存在至可信执行环境；核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储；接口层用于实现基于核心层的密码服务SDK开发包，为第三方应用系统提供密码应用开发接口，以便实现第三方应用系统对移动终端密码服务的调用。

【技术实现步骤摘要】
一种移动终端密码保护模块、移动终端及密码保护方法
本专利技术属于移动终端密码保护领域，尤其涉及一种移动终端密码保护模块、移动终端及密码保护方法。
技术介绍
本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息，不必然构成在先技术。随着互联网技术的不断发展和移动智能手机的普及，移动智能终端应用越来越多，人们使用手机、PDA等移动终端连接公共通信网络(CDMA/GPRS/WCDMA等)随时随地的工作、娱乐，极大丰富了人们的生活，同时也带来了新的安全威胁。如何保证在开放网络中保障移动终端用户身份和接入安全、数据保密性以及由于移动终端容易丢失，如何保证移动终端内存储数据的安全性，这些针对移动设备开放环境的安全问题也越来越受到关注，不仅仅是终端用户，还包括服务提供者，移动运营商以及芯片厂商。专利技术人发现，在公开密钥密码体制中，为了保障用户私钥的安全性，用户的私钥通常是存储在专门的密码硬件中使用，如存储在USBKey、SmartCard中使用，且私钥不能从密码硬件中导出。但是，手机等移动终端上使用USBKey不是很方便并且易于丢失。
技术实现思路
为了解决上述问题，本专利技术提供一种移动终端密码保护模块、移动终端及密码保护方法，其在目前移动终端安全芯片未普及的情况下，有效的解决移动终端密钥安全存储和密码运算安全的问题。为了实现上述目的，本专利技术采用如下技术方案：本专利技术的第一方面提供一种移动终端密码保护模块。一种移动终端密码保护模块，包括：生物识别服务接口，其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制；密码服务子模块，其接收并响应生物识别服务接口传送来的身份识别及访问请求；所述密码服务子模块包括安全区、核心层和接口层，所述安全区用于将密钥信息和用户信息处理后存在至可信执行环境；所述核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储；所述接口层用于实现基于核心层的密码服务SDK开发包，为第三方应用系统提供密码应用开发接口，以便实现第三方应用系统对移动终端密码服务的调用。本专利技术的第二方面提供一种移动终端。一种移动终端，包括上述所述的移动终端密码保护模块。本专利技术的第三方面提供一种移动终端的密码保护方法。一种移动终端的密码保护方法，包括：调取密码服务子模块，注册个人信息；个人信息审核通过后，向服务端申请密钥/证书，证书请求审核通过由服务端颁发用户证书；接收并响应生物识别服务接口传送来的身份识别及访问请求，正常使用密码运算服务。本专利技术的有益效果是：本专利技术的移动终端密码保护模块中的密码服务子模块接收并响应生物识别服务接口传送来的身份识别及访问请求，将密钥信息和用户信息处理后存在至可信执行环境，提高了信息存储的安全性；利用核心层实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储，实现基于核心层的密码服务SDK开发包，为第三方应用系统提供密码应用开发接，为用户提供移动终端、PC等全终端环境下的可信身份认证服务；本专利技术在移动终端密码保护的过程中，采用软件方法来实现以下步骤：调取密码服务子模块，注册个人信息；个人信息审核通过后，向服务端申请密钥/证书，证书请求审核通过由服务端颁发用户证书；接收并响应生物识别服务接口传送来的身份识别及访问请求，正常使用密码运算服务，避免了手机等移动终端上使用USBKey不方便且易于丢失的问题，提高了移动终端密码保护的便捷性。附图说明构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。图1是本专利技术实施例的移动终端密码保护模块结构架构图；图2是本专利技术实施例的用户注册/登录流程图；图3是本专利技术实施例的密钥/证书申请流程图；图4是本专利技术实施例的第三方应用系统移动端APP签名流程图；图5是本专利技术实施例的第三方应用系统PC端扫码签名流程图；图6是本专利技术实施例的公众号/小程序推送签名流程图；图7是本专利技术实施例的第三方应用系统移动电子签章流程图；图8是本专利技术实施例的移动终端密码安全应用体系架构图。具体实施方式下面结合附图与实施例对本专利技术作进一步说明。应该指出，以下详细说明都是例示性的，旨在对本专利技术提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义。需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本专利技术的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。术语：SDK软件开发工具包一般都是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。为保证移动终端用户信息和用户密钥的安全，移动终端侧的移动终端密码保护模块架构设计如图1所示。本实施例的移动终端密码保护模块，包括：生物识别服务接口，其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制；密码服务子模块，其接收并响应生物识别服务接口传送来的身份识别及访问请求；所述密码服务子模块包括安全区、核心层和接口层，所述安全区用于将密钥信息和用户信息处理后存在至可信执行环境；采用基于国密SM2算法及其他国产密码算法的密钥分割技术，实现对密钥的存储安全和使用安全。所述核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储；所述接口层用于实现基于核心层的密码服务SDK开发包，为第三方应用系统提供密码应用开发接口，以便实现第三方应用系统对移动终端密码服务的调用。其中，所述核心层包括基于密钥分割技术的密码运算、基于密码运算的密码安全服务、基于终端生物识别技术的身份认证以及基于安全区安全存储技术的关键数据、信息的安全存储功能。移动终端安全架构设计中，使用到如下安全技术：密钥分割技术：该技术属于核心层重要组成部分，使用密钥分割算法(基于SM2算法及其他同类国产密码算法)和协同运算技术，实现密钥的分片存储。其主要过程描述如下：将移动终端用户私钥通过密钥分割算法分割成两份，每份称为秘密份额，然后将每份秘密份额存储到不同的计算装置中，一部分保存在服务器端，一部分保存在移动终端，保证密钥存储和使用的安全性；当密码应用程序、系统需要使用用户私钥进行密码运算时，服务端和移动终端分别使用自己的秘密份额进行密码协同运算，最后将双方计算的结果合并，形成使用用户最终私钥进行密码运算的结果。生物识别技术：使用移动终端指纹模块或人脸识别软件，通过指纹/人脸识别，实现对密钥信息和个人信息的身份识别和访问控制。安全存本文档来自技高网...

【技术保护点】
1.一种移动终端密码保护模块，其特征在于，包括：/n生物识别服务接口，其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制；/n密码服务子模块，其接收并响应生物识别服务接口传送来的身份识别及访问请求；所述密码服务子模块包括安全区、核心层和接口层，所述安全区用于将密钥信息和用户信息处理后存在至可信执行环境；/n所述核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储；/n所述接口层用于实现基于核心层的密码服务SDK开发包，为第三方应用系统提供密码应用开发接口，以便实现第三方应用系统对移动终端密码服务的调用。/n

【技术特征摘要】
1.一种移动终端密码保护模块，其特征在于，包括：
生物识别服务接口，其用于通过生物识别实现对密钥信息和个人信息进行身份识别和访问控制；
密码服务子模块，其接收并响应生物识别服务接口传送来的身份识别及访问请求；所述密码服务子模块包括安全区、核心层和接口层，所述安全区用于将密钥信息和用户信息处理后存在至可信执行环境；
所述核心层用于实现移动终端密码安全模块的核心算法、密码安全服务、身份认证和数据安全存储；
所述接口层用于实现基于核心层的密码服务SDK开发包，为第三方应用系统提供密码应用开发接口，以便实现第三方应用系统对移动终端密码服务的调用。


2.如权利要求1所述的移动终端密码保护模块，其特征在于，所述核心层还用于利用密钥分割和协同运算方法来实现密钥的分片存储。


3.如权利要求2所述的移动终端密码保护模块，其特征在于，在所述核心层中，密钥分片存储的过程为：
将移动终端用户私钥通过密钥分割算法分割成两份，每份称为秘密份额，然后将每份秘密份额存储到不同的计算装置中，一部分保存在服务器端，一部分保存在移动终端，保证密钥存储和使用的安全性；
当密码应用程序需要使用用户私钥进行密码运算时，服务端和移动终端分别使用自己的秘密份额进行密码协同运算，最后将双方计算的结果合并，形成使用用户最终私钥进行密码运算的结果。


4.如权利要求1所述的移动终端密码保护模块，其特征在于，在所述核心层中，通过二维码与数字签名的结合，实现基于二维码技术的身份认证和密码运算。


5.如权利要求1所述的移动终端密码保护模块，...

【专利技术属性】
技术研发人员：王立伟，王吉伟，刘伟，
申请(专利权)人：山东确信信息产业股份有限公司，
类型：发明
国别省市：山东;37