本发明专利技术提供一种基于硬件加密的密码保险箱系统及应用方法,所述系统包括移动终端、安全芯片和服务系统,其中:所述移动终端包括安装在移动终端的程序端;UKey装置,与移动终端通过USB‑HID连接;所述服务系统,包括密码机、密钥管理系统和UKey生产管理系统,其中,UKey生产管理系统用于对UKey生产及日常管理的支持后端系统;密钥管理系统,部署在服务器后端,需要密码机支撑,向UKey生产管理系统提供服务。本发明专利技术的有益效果是:用户密码的加密传输、保存至安全芯片再提取及自动输入到目标密码框,并且能做到保护密钥无法获取或泄露。
【技术实现步骤摘要】
一种基于硬件加密的密码保险箱系统及应用方法
本专利技术涉及信息、数据安全
,具体地,涉及一种基于硬件加密的密码保险箱系统及应用方法。
技术介绍
在互联网及移动互联网的快速发展下,超来超多的移动应用软件的出现,而几乎每款应用软件都是需要用户的密码作为保护,这也给用户带来记住多个密码的烦恼。密码是用户重要且极为敏感隐私信息,所以用户需要记住更多个密码的助手软件市场现有的类似密码助手软件存在一些明显的安全隐患及不足,其主要的表现在于:软件本身只依靠软加密方式采用固定密钥直接对用户输入的密码明文进行简单的加密存储,且加解密的密钥本身是固定在软件本身或者存在于系统存储设备中,这非常容易受到劫持软件或者本马的截获以及通过软件本身的反编译处理,提取解密密钥,对密码密文进行外部解密,造成密码泄露。
技术实现思路
针对现有技术的缺陷,本专利技术的目的是通过集成在UKey上的安全芯片结合软件APP进行安全通讯,利用国密算法通过硬件加密构建一个基于硬件加密的密码传输、存储、HID键盘输入,并且密码的对称保护密钥及传输公私钥是在初始化及设置时随机产生的,生产管理系统只对UKey本身的管理密钥进行管理。最终能达到对用户密码的加密传输、保存至UKey的安全芯片再安全提取及安全自动输入到目标密码框,并且能做到保护密钥是该软件开发人员无法获取或泄露。是通过如下技术方案实现的。本专利技术提供了一种基于硬件加密保护的移动智能密码保险箱系统,系统包括了集成安全芯片的UKey和密码保险箱APP、密钥管理系统、硬件密码机、UKey生产管理系统组成。密钥管理系统需要硬件密码机作为UKey及系统的管理密钥的存储计算,通过UKey生产管理系统与密管系统的交互初始化UKey的唯一的管理密钥,包括对称及非对称密钥,对UKey安全芯片进行初始化生产。UKey有支持手机类型的USB接口可接入手机端,用户通过密码保险箱APP对UKey进行设置安全密码或指纹等用户身份确认方式后设置用户需要保护的密码,并通过UKey安全芯片内部随机的非对称公钥方式保护传输至UKey装置的安全芯片内部转为对称密钥加密处理后存储。用户在需要提取指定密码时,需要确认用户身份正确后,才可由安全芯片内部解密后,通过HID键盘输入方式输入目标框完成密码提取。一种基于硬件加密的密码保险箱系统,包括移动终端、安全芯片和服务系统,其中:所述移动终端,包括安装在移动终端的程序端,所述程序端用于初始化及管理用户的安全密码及UKey装置的功能,同时绑定了移动终端对UKey的插入时服务监听处理及浮动窗口;UKey装置,用于安装安全芯片,与移动终端通过USB-HID连接;所述服务系统,包括密码机、密钥管理系统和UKey生产管理系统,其中,UKey生产管理系统用于对UKey生产及日常管理的支持后端系统;密钥管理系统,部署在服务器后端,需要密码机支撑,向UKey生产管理系统提供服务。优选方案是,所述UKey装置所生产的密钥包括工作密钥及管理密钥,所述工作密钥是UKey装置用于传输用户所设置的密码及内部加密保存密码的工作密钥,工作密钥的由安全芯片内部所产生,且不能导出,管理密钥是用于对UKey装置的合法性鉴别及UKey装置的维护、安全密码维护。优选方案是,所述工作密钥包括用于密码传输的非对称密钥、用于密码保护的对称密钥以及UKey公钥列表,其中:非对称密钥是用于传输用户所设置密码,非对称密钥的私钥由安全芯片内部撑控,其公钥部分可导出,非对称密钥所生产的是一次性的临时公私钥对,当UKey装置掉电或重置即丢失;对称密钥的密码内部的保存的密钥,由非对称密钥的私钥解密后转为该对称密钥加密再冷保存,对称密钥是在初始化时产生的,且永久保存到安全芯片内部直至UKey装置销毁。优选方案是,所述管理密钥包括:身份认证非对称公私钥、UKey装置维护对称密钥及安全密码维护对称密钥,其中:身份认证非对称公私钥是在生产时,由UKey装置内部产生,登记入生产管理系统并建立对应关系供后续合法性鉴别使用;UKey装置维护对称密钥是根据UKey装置序列号派生再写入UKey装置,用于更新或写入时保护安全密码维护对称密钥;安全密码维护对称密钥是在用户更新安全密码或设置安全密码时,加密保护密码的密钥,由密钥管理系统根据UKey装置序列号派生再写入UKey装置。优选方案是,所述UKey公钥列表,是对已发布UKey登记入库的公钥和序列号的对应关系表。一种密码保险箱系统的应用方法,所述应用方法包括设置密码的方法,包括以下步骤:步骤1、安全芯片与移动终端连接后,程序端提示:输入密码;步骤2、安全芯片验证身份,通过则进入步骤3,不通过则结束流程;步骤3、验证通过后,安全芯片随机产生“临时非对称公私钥”,响应公钥数据;步骤4、程序端提示:输入“密码标识”、“密码描述信息”及“密码”,使用由安全芯片响应的公钥对以上信息进行加密并发送至安全芯片;步骤5、安全芯片内部使用临时非对称公私钥对加密的信息解密,并检查数据格式有效性,通过则进入步骤6,不通过则结束流程;步骤6、通过后,安全芯片提取加密的信息,由“密码保护对称密钥”加密后冷存储;步骤7、安全芯片用“密码”产生哈希sha1数据,与“密码标识”一并响应;步骤8、程序端收到相应后,检查哈希sha1数据与“密码标识”根据结果提示用户并结束流程。优选方案是,上述应用方法还包括提取“密码”用于目标应用的密码输入的方法,包括以下步骤:步骤1、移动终端接入安全芯片时,程序段出发绑定的浮动窗口,浮动窗口提示输入“安全密码”或“指纹密码”;步骤2、安全芯片验证通过则开启身份验证通的权限标识;步骤3、浮动窗口显示读取安全芯片内部“密码标识”列表并显示;步骤4、由浮动窗口根据用户选择,组织提取该“密码标识”的密码数据;步骤5、安全芯片检查权限通过后,内部解密对应“密码”数据;步骤6、安全芯片开启USB-HID输入数据模式,移动终端接收密码输入,完成目标应用的密码输入及确认验证,结束本流程。本专利技术的有益效果是:利用安全芯片、密码机等硬件密码设备,通过国密对称和非对称算法结合,用于内部存储加解密用户“密码”的对称密钥是随机生成,用于设定时的传输是采用非对称公钥加密,公私钥是临时一次性的,故并不会被软件开发人员预先所知。数据通信过程采用非对称算法加密,可防止中间人攻击和重放攻击,保证通信的机密性、完整性和抗抵赖性,解决密码的安全传输。在用户提取“密码”时,用户只需插入UKey,浮动窗口自动弹出,验用用户身份后使用USB-HID输入密码,不需要用户手动输入。附图说明图1是本专利技术实施例的保险箱系统结构框图。图2是本专利技术实施例的保险箱所需密钥及关系结构图。图3是本专利技术实施例的UKey装置的安全芯片在UKey生产系统的生产过程功能图。图4是本专利技术实施例的程序端对UKe本文档来自技高网...
【技术保护点】
1.一种基于硬件加密的密码保险箱系统,其特征在于,包括移动终端、安全芯片和服务系统,其中:/n所述移动终端,包括安装在移动终端的程序端,所述程序端用于初始化及管理用户的安全密码及UKey装置的功能,同时绑定了移动终端对UKey的插入时服务监听处理及浮动窗口;/nUKey装置,用于安装安全芯片,与移动终端通过USB-HID连接;/n所述服务系统,包括密码机、密钥管理系统和UKey生产管理系统,其中,UKey生产管理系统用于对UKey生产及日常管理的支持后端系统;/n密钥管理系统,部署在服务器后端,需要密码机支撑,向UKey生产管理系统提供服务。/n
【技术特征摘要】
1.一种基于硬件加密的密码保险箱系统,其特征在于,包括移动终端、安全芯片和服务系统,其中:
所述移动终端,包括安装在移动终端的程序端,所述程序端用于初始化及管理用户的安全密码及UKey装置的功能,同时绑定了移动终端对UKey的插入时服务监听处理及浮动窗口;
UKey装置,用于安装安全芯片,与移动终端通过USB-HID连接;
所述服务系统,包括密码机、密钥管理系统和UKey生产管理系统,其中,UKey生产管理系统用于对UKey生产及日常管理的支持后端系统;
密钥管理系统,部署在服务器后端,需要密码机支撑,向UKey生产管理系统提供服务。
2.根据权利要求1所述的密码保险箱系统,其特征在于,所述UKey装置所生产的密钥包括工作密钥及管理密钥,所述工作密钥是UKey装置用于传输用户所设置的密码及内部加密保存密码的工作密钥,工作密钥由安全芯片内部所产生,且不能导出,管理密钥是用于对UKey装置的合法性鉴别及UKey装置的维护、安全密码维护。
3.根据权利要求2所述的密码保险箱系统,其特征在于,所述工作密钥包括用于密码传输的非对称密钥、用于密码保护的对称密钥以及UKey公钥列表,其中:
非对称密钥是用于传输用户所设置密码,非对称密钥的私钥由安全芯片内部撑控,其公钥部分可导出,非对称密钥所生产的是一次性的临时公私钥对,当UKey装置掉电或重置即丢失;
对称密钥的密码内部的保存的密钥,由非对称密钥的私钥解密后转为该对称密钥加密再冷保存,对称密钥是在初始化时产生的,且永久保存到安全芯片内部直至UKey装置销毁。
4.根据权利要求2所述的密码保险系统,其特征在于,所述管理密钥包括:身份认证非对称公私钥、UKey装置维护对称密钥及安全密码维护对称密钥,其中:
身份认证非对称公私钥是在生产时,由UKey装置内部产生,登记入生产管理系统并建立对应关系供后续合法性鉴别使用;
UKey装置维护对称密钥是根据UKey装置序列号派生再写入UKey装置,用于更新或写入时保护安全密码维护对称密钥;
安全密码维护对称密钥是在用户更新安全密码或...
【专利技术属性】
技术研发人员:刘俊,刘睿,荆鸿远,
申请(专利权)人:中易通科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。