一種基于協(xié)商密鑰的數(shù)據(jù)處理方法
【專利摘要】本發(fā)明提供了一種基于協(xié)商密鑰的數(shù)據(jù)處理方法,包括:手機(jī)安全模塊驗證用戶身份識別卡證書合法���,生成第二隨機(jī)因子���,并生成手機(jī)安全模塊端的協(xié)商密鑰;手機(jī)安全模塊對第一隨機(jī)因子以及第二隨機(jī)因子進(jìn)行加密���,對第一密文信息進(jìn)行簽名,將第二認(rèn)證信息發(fā)送至用戶身份識別卡�����,用戶身份識別卡驗證手機(jī)安全模塊證書合法,驗證第一簽名信息正確�,解密獲得第一隨機(jī)因子以及第二隨機(jī)因子,驗證第一隨機(jī)因子正確�,根據(jù)第一隨機(jī)因子以及第二隨機(jī)因子生成用戶身份識別卡端的協(xié)商密鑰;二者通過協(xié)商密鑰進(jìn)行信息的安全傳輸�����。由此��,可以使手機(jī)能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機(jī)密信息傳輸�����。
【專利說明】一種基于協(xié)商密鑰的數(shù)據(jù)處理方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】���,尤其涉及一種基于協(xié)商密鑰的數(shù)據(jù)處理方法��。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的迅速發(fā)展給人們帶來的極大便利�,人們越來越依賴于網(wǎng)絡(luò)進(jìn)行各種活動���,例如網(wǎng)絡(luò)文件的傳輸���、網(wǎng)上銀行交易均已逐漸成為人們生活��、工作中不可缺少的一部分�。由于網(wǎng)絡(luò)畢竟是一個虛擬的環(huán)境���,存在著太多不安全的因素��,而在網(wǎng)絡(luò)環(huán)境中必然會進(jìn)行數(shù)據(jù)交互的網(wǎng)絡(luò)活動���,尤其是像網(wǎng)上銀行業(yè)務(wù)和機(jī)密信息的傳輸這樣的網(wǎng)絡(luò)活動,對網(wǎng)絡(luò)的安全提出了很高的要求��,因此人們開始大力發(fā)展網(wǎng)絡(luò)信息安全技術(shù)����。
[0003]然而,隨著現(xiàn)今手機(jī)技術(shù)的飛速發(fā)展���,手機(jī)終端越來越多的被用來替代計算機(jī)使用��,但現(xiàn)今并沒有一種手機(jī)終端能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機(jī)密信息傳輸?shù)慕鉀Q方案�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明旨在解決手機(jī)終端無法安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機(jī)密信息傳輸?shù)膯栴}���。
[0005]本發(fā)明的主要目的在于提供一種基于協(xié)商密鑰的數(shù)據(jù)處理方法。
[0006]為達(dá)到上述目的���,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的:
[0007]本發(fā)明一方面提供了一種基于協(xié)商密鑰的數(shù)據(jù)處理方法�����,包括:
[0008]用戶身份識別卡將第一認(rèn)證信息發(fā)送至手機(jī)安全模塊�����,其中���,所述第一認(rèn)證信息至少包括:第一隨機(jī)因子以及用戶身份識別卡證書;
[0009]所述手機(jī)安全模塊接收到所述第一認(rèn)證信息后���,驗證所述用戶身份識別卡證書的合法性����;
[0010]如果所述手機(jī)安全模塊驗證所述用戶身份識別卡證書合法���,則所述手機(jī)安全模塊生成第二隨機(jī)因子���,并根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述手機(jī)安全模塊端的協(xié)商密鑰�;
[0011]所述手機(jī)安全模塊通過所述用戶身份識別卡證書中攜帶的所述用戶身份識別卡的公鑰至少對所述第一隨機(jī)因子以及第二隨機(jī)因子進(jìn)行加密�,獲得第一密文信息;
[0012]所述手機(jī)安全模塊對所述第一密文信息進(jìn)行簽名���,獲得第一簽名信息�����;
[0013]所述手機(jī)安全模塊將第二認(rèn)證信息發(fā)送至所述用戶身份識別卡���,其中,所述第二認(rèn)證信息至少包括:所述第一密文信息���、所述第一簽名信息以及所述手機(jī)安全模塊證書�����;
[0014]所述用戶身份識別卡接收到所述第二認(rèn)證信息后��,驗證所述手機(jī)安全模塊證書的合法性�����;
[0015]如果所述用戶身份識別卡驗證所述手機(jī)安全模塊證書合法�,則所述用戶身份識別卡驗證所述第一簽名信息的正確性�����;
[0016]如果所述用戶身份識別卡驗證所述第一簽名信息正確�����,則所述用戶身份識別卡解密所述第一密文信息�����,獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子��;
[0017]所述用戶身份識別卡在獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子后����,驗證所述第一隨機(jī)因子的正確性;
[0018]如果所述用戶身份識別卡驗證所述第一隨機(jī)因子正確�����,則所述用戶身份識別卡根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述用戶身份識別卡端的協(xié)商密鑰;
[0019]所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸�。
[0020]本發(fā)明一方面還提供了一種基于協(xié)商密鑰的數(shù)據(jù)處理方法,包括:
[0021]手機(jī)安全模塊將第一認(rèn)證信息發(fā)送至用戶身份識別卡����,其中,所述第一認(rèn)證信息至少包括:第一隨機(jī)因子以及手機(jī)安全模塊證書�����;
[0022]所述用戶身份識別卡接收到所述第一認(rèn)證信息后�,驗證所述手機(jī)安全模塊證書的合法性;
[0023]如果所述用戶身份識別卡驗證所述手機(jī)安全模塊證書合法�,則所述用戶身份識別卡生成第二隨機(jī)因子,并根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述用戶身份識別卡端的協(xié)商密鑰�����;
[0024]所述用戶身份識別卡通過所述手機(jī)安全模塊證書中攜帶的所述手機(jī)安全模塊的公鑰至少對所述第一隨機(jī)因子以及第二隨機(jī)因子進(jìn)行加密�,獲得第一密文信息;
[0025]所述用戶身份識別卡對所述第一密文信息進(jìn)行簽名��,獲得第一簽名信息����;
[0026]所述用戶身份識別卡將第二認(rèn)證信息發(fā)送至所述手機(jī)安全模塊�����,其中�,所述第二認(rèn)證信息至少包括:所述第一密文信息�、所述第一簽名信息以及所述用戶身份識別卡證書;
[0027]所述手機(jī)安全模塊接收到所述第二認(rèn)證信息后,驗證所述用戶身份識別卡證書的合法性��;
[0028]如果所述手機(jī)安全模塊驗證所述用戶身份識別卡證書合法�,則所述手機(jī)安全模塊驗證所述第一簽名信息的正確性���;
[0029]如果所述手機(jī)安全模塊驗證所述第一簽名信息正確����,則所述手機(jī)安全模塊解密所述第一密文信息�,獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子;
[0030]所述手機(jī)安全模塊在獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子后�����,驗證所述第一隨機(jī)因子的正確性�����;
[0031]如果所述手機(jī)安全模塊驗證所述第一隨機(jī)因子正確,則所述手機(jī)安全模塊根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述手機(jī)安全模塊端的協(xié)商密鑰���;
[0032]所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸��。
[0033]此外�����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括:
[0034]所述手機(jī)安全模塊獲取待傳輸信息��;
[0035]所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行加密�����,獲得第二密文信息���;
[0036]所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡,其中�����,所述第一處理信息至少包括:所述第二密文信息�;
[0037]所述用戶身份識別卡接收到所述第一處理信息后,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密,獲得待傳輸信息����;
[0038]所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名,獲得第二簽名信息�����;
[0039]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行加密����,獲得第三密文信息;
[0040]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊���,其中,所述第二處理信息至少包括:所述第三密文信息�;
[0041]所述手機(jī)安全模塊接收到所述第二處理信息后,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第三密文信息進(jìn)行解密�����,獲得所述第二簽名信息�����;
[0042]所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)。
[0043]此外����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括:
[0044]所述手機(jī)安全模塊獲取待傳輸信息;
[0045]所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行校驗計算�,獲得第一校驗信息;
[0046]所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡�,其中,所述第一處理信息至少包括:所述待傳輸信息和所述第一校驗信息��;
[0047]所述用戶身份識別卡接收到所述第一處理信息后�����,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進(jìn)行驗證��;
[0048]如果所述用戶身份識別卡對所述第一處理信息驗證通過��,則所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名�����,獲得第二簽名信息���;
[0049]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行校驗計算�,獲得第二校驗信息��;
[0050]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊,其中,所述第二處理信息至少包括:所述第二簽名信息和所述第二校驗信息;
[0051]所述手機(jī)安全模塊接收到所述第二處理信息后�����,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二處理信息進(jìn)行驗證;
[0052]如果所述手機(jī)安全模塊對所述第二處理信息驗證通過��,則所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)�����。
[0053]此外���,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括:
[0054]所述手機(jī)安全模塊獲取待傳輸信息;
[0055]所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行加密��,獲得第二密文信息�����,以及對所述第二密文信息進(jìn)行校驗計算�����,獲得第一校驗信息;
[0056]所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡,其中�����,所述第一處理信息至少包括:所述第二密文信息和所述第一校驗信息;
[0057]所述用戶身份識別卡接收到所述第一處理信息后�,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進(jìn)行驗證�����;[0058]如果所述用戶身份識別卡對所述第一處理信息驗證通過���,則所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密,獲得所述待傳輸信息�����;
[0059]所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名����,獲得第二簽名信息�����;
[0060]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行加密�����,獲得第三密文信息,以及對所述第三密文信息進(jìn)行校驗計算�,獲得第二校驗信息�;
[0061]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊��,其中����,所述第二處理信息至少包括:所述第三密文信息和所述第二校驗信息;
[0062]所述手機(jī)安全模塊接收到所述第二處理信息后����,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二處理信息進(jìn)行驗證;
[0063]如果所述手機(jī)安全模塊對所述第二處理信息驗證通過�,則通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第三密文信息進(jìn)行解密,獲得所述第二簽名信息�;
[0064]所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)。
[0065]此外���,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括:
[0066]所述手機(jī)安全模塊獲取待傳輸信息�����;
[0067]所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行加密�����,獲得第二密文信息�����;
[0068]所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡��,其中�����,所述第一處理信息至少包括:所述第二密文信息���;
[0069]所述用戶身份識別卡接收到所述第一處理信息后����,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密��,獲得待傳輸信息��;
[0070]所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名���,獲得第二簽名信息;
[0071]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行校驗計算��,獲得第一校驗信息��;
[0072]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊,其中�,所述第二處理信息至少包括:所述第二簽名信息和所述第一校驗信息;
[0073]所述手機(jī)安全模塊接收到所述第二處理信息后�,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二處理信息進(jìn)行驗證;
[0074]如果所述手機(jī)安全模塊對所述第二處理信息驗證通過���,則所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)�����。
[0075]此外�����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括:
[0076]所述手機(jī)安全模塊獲取待傳輸信息�;
[0077]所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行校驗計算���,獲得第一校驗信息����;
[0078]所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡�,其中,所述第一處理信息至少包括:所述待傳輸信息和所述第一校驗信息����;[0079]所述用戶身份識別卡接收到所述第一處理信息后����,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進(jìn)行驗證���;
[0080]如果所述用戶身份識別卡對所述第一處理信息驗證通過���,則所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名,獲得第二簽名信息�����;
[0081]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行加密�,獲得第二密文信息;
[0082]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊�����,其中��,所述第二處理信息至少包括:所述第二密文信息��;
[0083]所述手機(jī)安全模塊接收到所述第二處理信息后����,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密,獲得所述第二簽名信息����;
[0084]所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)。
[0085]此外�,在所述手機(jī)安全模塊獲取待傳輸信息的步驟之后,在所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟之前�����,所述方法還包括:
[0086]所述手機(jī)安全模塊提取所述待傳輸信息中的關(guān)鍵信息���;
[0087]所述手機(jī)安全模塊控制手機(jī)顯示屏顯示所述提取出的待傳輸信息中的關(guān)鍵信息����;
[0088]所述手機(jī)安全模塊接收手機(jī)鍵盤輸出的確認(rèn)指令��;
[0089]在所述手機(jī)安全模塊接收到所述手機(jī)鍵盤輸出的確認(rèn)指令后�,執(zhí)行所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟。
[0090]此外���,所述第二隨機(jī)因子為根據(jù)所述第一隨機(jī)因子生成的�,或者所述第三隨機(jī)因子是隨機(jī)生成的。
[0091]此外�����,所述手機(jī)安全模塊為獨立于手機(jī)CPU之外的模塊��,或者所述手機(jī)安全模塊設(shè)置在所述手機(jī)CPU中的安全區(qū)域�����。
[0092]由上述本發(fā)明提供的技術(shù)方案可以看出���,通過本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法����,可以使手機(jī)能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機(jī)密信息傳輸��。
【專利附圖】
【附圖說明】
[0093]為了更清楚地說明本發(fā)明實施例的技術(shù)方案�����,下面將對實施例描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領(lǐng)域的普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他附圖���。
[0094]圖1為本發(fā)明實施例1提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖��;
[0095]圖2為本發(fā)明實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖��。
【具體實施方式】
[0096]下面結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述����,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例�����,而不是全部的實施例?����;诒景l(fā)明的實施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明的保護(hù)范圍��。[0097]在本發(fā)明的描述中�,需要理解的是,術(shù)語“中心”���、“縱向”�、“橫向”����、“上”、“下”����、“前”、“后”�����、“左”、“右”���、“豎直”、“水平”��、“頂”����、“底”、“內(nèi)”����、“外”等指示的方位或位置關(guān)系為基于
附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明和簡化描述���,而不是指示或暗示所指的裝置或元件必須具有特定的方位��、以特定的方位構(gòu)造和操作�,因此不能理解為對本發(fā)明的限制�����。此外,術(shù)語“第一”���、“第二”僅用于描述目的����,而不能理解為指示或暗示相對重要性或數(shù)量或位置����。
[0098]在本發(fā)明的描述中,需要說明的是��,除非另有明確的規(guī)定和限定�,術(shù)語“安裝”、“相連”����、“連接”應(yīng)做廣義理解,例如�,可以是固定連接,也可以是可拆卸連接��,或一體地連接���;可以是機(jī)械連接���,也可以是電連接���;可以是直接相連,也可以通過中間媒介間接相連���,可以是兩個元件內(nèi)部的連通。對于本領(lǐng)域的普通技術(shù)人員而言�,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。
[0099]下面將結(jié)合附圖對本發(fā)明實施例作進(jìn)一步地詳細(xì)描述��。
[0100]本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法是基于手機(jī)實現(xiàn)的���,該手機(jī)至少包括一個具備安全功能的用戶身份識別卡�,以及一個手機(jī)安全模塊�。其中:
[0101]用戶身份識別卡可以為如下任一種卡片:SIM (Subscriber Identity Module,客戶識別模塊)卡、UIM (User Identity Module)卡��、USIM卡�、PIM卡等,以上的卡片均在現(xiàn)有的功能的基礎(chǔ)上���,拓展了安全功能��,以配合本發(fā)明的手機(jī)安全模塊實現(xiàn)本發(fā)明的功能����。
[0102]該手機(jī)安全模塊可以設(shè)置為獨立于手機(jī)CPU之外的單獨的模塊,也可以設(shè)置為在手機(jī)CPU中的安全區(qū)域�����,以保證該手機(jī)安全模塊可以實現(xiàn)的獨立的安全功能���,例如:手機(jī)安全模塊可以獨立進(jìn)行安全的身份認(rèn)證功能�����,以及進(jìn)行顯示的安全控制�,保證顯示內(nèi)容的真實性等�。
[0103]此外,第三方CA可以對用戶身份識別卡頒發(fā)了經(jīng)過CA認(rèn)證的證書�����,同時第三方CA還可以對手機(jī)安全模塊也頒發(fā)了經(jīng)過CA認(rèn)證的證書�����,以保證雙方可以驗證對方身份的合法性,提高安全性�。
[0104]實施例1
[0105]圖1出示了本發(fā)明實施例1提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖,參見圖1��,本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法�,包括:
[0106]步驟S101,用戶身份識別卡將第一認(rèn)證信息發(fā)送至手機(jī)安全模塊���,其中���,第一認(rèn)證信息至少包括:第一隨機(jī)因子以及用戶身份識別卡證書�;
[0107]具體的,用戶身份識別卡預(yù)先生成一個第一隨機(jī)因子����,將生成的隨機(jī)因子和CA頒發(fā)給用戶身份識別卡的證書一并發(fā)送給手機(jī)安全模塊。發(fā)送第一隨機(jī)因子以保證每次發(fā)送的信息均是不同的�,防止重放攻擊,提高安全性����。該第一隨機(jī)因子可以為用戶身份識別卡生成的一個或一串隨機(jī)數(shù),或者可以為一個或一串隨機(jī)字符�,或者一串隨機(jī)數(shù)和隨機(jī)組合的任意組合�。
[0108]步驟S102��,手機(jī)安全模塊接收到第一認(rèn)證信息后�����,驗證用戶身份識別卡證書的合法性��;
[0109]具體的��,手機(jī)安全模塊接收到用戶身份識別卡證書后���,對該證書的合法性進(jìn)行驗證�����。例如:采用CA頒發(fā)的CA的公鑰對用戶身份識別卡證書中CA私鑰進(jìn)行簽名的部分進(jìn)行驗簽���,只有在驗簽通過后,才驗證用戶身份識別卡證書合法���。[0110]步驟S103���,如果手機(jī)安全模塊驗證用戶身份識別卡證書合法����,則手機(jī)安全模塊生成第二隨機(jī)因子�,并根據(jù)第一隨機(jī)因子以及第二隨機(jī)因子生成手機(jī)安全模塊端的協(xié)商密鑰;
[0111]具體的�����,手機(jī)安全模塊驗證用戶身份識別卡證書合法后�,生成第二隨機(jī)因子,并根據(jù)第一隨機(jī)因子和第二隨機(jī)因子共同生成手機(jī)安全模塊端的協(xié)商密鑰����。其中,該第二隨機(jī)因子可以為手機(jī)安全模塊根據(jù)第一隨機(jī)因子生成的�,或者該第二隨機(jī)因子是手機(jī)安全模塊隨機(jī)生成的�����。同時�,該第二隨機(jī)因子也可以為一個或一串隨機(jī)數(shù),或者可以為一個或一串隨機(jī)字符���,或者一串隨機(jī)數(shù)和隨機(jī)組合的任意組合���。由此�,生成了手機(jī)安全模塊端的協(xié)商密鑰���,以便后續(xù)根據(jù)該協(xié)商密鑰與用戶身份識別卡進(jìn)行信息的安全傳輸���。
[0112]步驟S104,手機(jī)安全模塊通過用戶身份識別卡證書中攜帶的用戶身份識別卡的公鑰至少對第一隨機(jī)因子以及第二隨機(jī)因子進(jìn)行加密��,獲得第一密文信息�����;
[0113]具體的�,通過用戶身份識別卡發(fā)來的用戶身份識別卡證書中攜帶的用戶身份識別卡的公鑰對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密,由此保證第一隨機(jī)因子和第二隨機(jī)因子傳輸?shù)陌踩浴?br>
[0114]步驟S105��,手機(jī)安全模塊對第一密文信息進(jìn)行簽名��,獲得第一簽名信息��;
[0115]具體的����,在手機(jī)安全模塊對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行加密獲得第一密文信息后�����,還至少利用手機(jī)安全模塊的私鑰對第一密文信息進(jìn)行簽名���,以保證第一密文信息傳輸?shù)耐暾院筒豢傻仲囆浴?br>
[0116]當(dāng)然,本發(fā)明并不局限于手機(jī)安全模塊對第一密文信息進(jìn)行簽名���,手機(jī)安全模塊還可以對第一隨機(jī)因子和第二隨機(jī)因子直接進(jìn)行簽名����,獲得第一簽名信息��,由此��,可以保證第一隨機(jī)因子和第二隨機(jī)因子本身的完整性和不可抵賴性��。
[0117]本發(fā)明中���,優(yōu)選選擇手機(jī)安全模塊對第一密文信息進(jìn)行簽名的方案,以保證第一隨機(jī)因子和第二隨機(jī)因子的不透明傳輸����。
[0118]步驟S106�,手機(jī)安全模塊將第二認(rèn)證信息發(fā)送至用戶身份識別卡����,其中,第二認(rèn)證信息至少包括:第一密文信息��、第一簽名信息以及手機(jī)安全模塊證書�;
[0119]步驟S107,用戶身份識別卡接收到第二認(rèn)證信息后����,驗證手機(jī)安全模塊證書的合法性;
[0120]具體的�����,用戶身份識別卡接收到手機(jī)安全模塊證書后����,對該證書的合法性進(jìn)行驗證。例如:采用CA頒發(fā)的CA的公鑰對手機(jī)安全模塊證書中CA私鑰進(jìn)行簽名的部分進(jìn)行驗簽�,只有在驗簽通過后,才驗證手機(jī)安全模塊證書合法�。
[0121]步驟S108�����,如果用戶身份識別卡驗證手機(jī)安全模塊證書合法����,則用戶身份識別卡驗證第一簽名信息的正確性�����;
[0122]具體的�����,在用戶身份識別卡驗證手機(jī)安全模塊證書合法后����,還驗證第一簽名信息的正確性。此時����,用戶身份識別卡直接根據(jù)接收到的第一密文信息和手機(jī)安全模塊證書中的手機(jī)安全模塊的公鑰來驗證第一簽名信息的正確性。
[0123]當(dāng)然����,如果手機(jī)安全模塊是對第一隨機(jī)因子和第二隨機(jī)因子進(jìn)行簽名��,那么用戶身份識別卡則先行解密第一密文信息,獲得第一隨機(jī)因子和第二隨機(jī)因子�����,從而再根據(jù)解密出的第一隨機(jī)因子和第二隨機(jī)因子以及手機(jī)安全模塊證書中的手機(jī)安全模塊的公鑰來驗證第一簽名信息的正確性�。[0124]本發(fā)明中,優(yōu)選采用根據(jù)第一密文信息和手機(jī)安全模塊的公鑰來驗證第一簽名信息的正確性����。
[0125]步驟S109,如果用戶身份識別卡驗證第一簽名信息正確���,則用戶身份識別卡解密第一密文信息����,獲得第一隨機(jī)因子以及第二隨機(jī)因子�����;
[0126]具體的�,用戶身份識別卡在驗證第一簽名信息正確后,通過用戶身份識別卡的私鑰對第一密文信息進(jìn)行解密���,獲得第一隨機(jī)因子和第二隨機(jī)因子��。由此可以在第一密文信息未被篡改的前提下解密第一密文信息��,從而保證獲得真實的第一隨機(jī)因子和第二隨機(jī)因子��。
[0127]步驟S110���,用戶身份識別卡在獲得第一隨機(jī)因子以及第二隨機(jī)因子后���,驗證第一隨機(jī)因子的正確性;
[0128]具體的���,只有用戶身份識別卡在解密了真實的第一隨機(jī)因子和第二隨機(jī)因子后�,才驗證解密出的第一隨機(jī)因子是否與用戶身份識別卡之前生成的第一隨機(jī)因子是否一致��,如果一致��,則驗證出第一隨機(jī)因子正確���。
[0129]步驟S111�,如果用戶身份識別卡驗證第一隨機(jī)因子正確,則用戶身份識別卡根據(jù)第一隨機(jī)因子以及第二隨機(jī)因子生成用戶身份識別卡端的協(xié)商密鑰����;
[0130]具體的,用戶身份識別卡在獲得真實的第一隨機(jī)因子和第二隨機(jī)因子后��,根據(jù)該第一隨機(jī)因子和第二隨機(jī)因子生成用戶身份識別卡端的協(xié)商密鑰���,以便后續(xù)根據(jù)該協(xié)商密鑰與手機(jī)安全模塊進(jìn)行信息的安全傳輸。
[0131]步驟S112����,手機(jī)安全模塊與用戶身份識別卡之間通過手機(jī)安全模塊端的協(xié)商密鑰以及用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸。
[0132]具體的��,在手機(jī)安全模塊生成了手機(jī)安全模塊端的協(xié)商密鑰��,以及用戶身份識別卡生成了用戶身份識別卡端的協(xié)商密鑰后�,手機(jī)安全模塊與用戶身份識別卡之間通過兩端的協(xié)商密鑰進(jìn)行信息的安全傳輸。
[0133]此時�����,可以通過如下方式之一實現(xiàn)信息的安全傳輸:
[0134]方式一:
[0135]步驟SI 13a��,手機(jī)安全模塊獲取待傳輸信息�����;
[0136]具體的,手機(jī)安全模塊獲取待傳輸信息�,該待傳輸信息可以為需要安全傳輸?shù)臋C(jī)密信息,也可以為網(wǎng)銀中待交易的交易信息����。
[0137]如果本發(fā)明應(yīng)用于機(jī)密信息安全傳輸中,則待傳輸信息可以為手機(jī)需要輸出的機(jī)密信息��,例如:手機(jī)從手機(jī)的安全存儲區(qū)域內(nèi)獲取的機(jī)密信息等����;
[0138]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中,則待傳輸信息可以為待執(zhí)行交易的交易信息���,例如:手機(jī)通過網(wǎng)上銀行客戶端獲取到的交易賬號��、交易金額等交易信息����。
[0139]步驟S114a����,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密���,獲得第二密文信息;
[0140]具體的���,手機(jī)安全模塊通過其生成的手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密�����,從而使得待傳輸信息進(jìn)行不透明傳輸,保證傳輸?shù)陌踩?���。此時,協(xié)商密鑰至少包括一個加密密鑰�。
[0141]步驟S115a,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡����,其中,第一處理信息至少包括:第二密文信息��;[0142]步驟S116a����,用戶身份識別卡接收到第一處理信息后�����,通過用戶身份識別卡端的協(xié)商密鑰對第二密文信息進(jìn)行解密���,獲得待傳輸信息;
[0143]具體的�����,由于待傳輸信息通過手機(jī)安全模塊端的協(xié)商密鑰進(jìn)行了加密�����,此時���,用戶身份識別卡接收到第二密文信息后�����,通過用戶身份識別卡中的協(xié)商密鑰進(jìn)行解密�,從而獲得真實的待傳輸信息���。
[0144]步驟S117a����,用戶身份識別卡對待傳輸信息進(jìn)行簽名,獲得第二簽名信息���;
[0145]具體的�����,用戶身份識別卡在獲得了真實的待傳輸信息后�,對該待傳輸信息進(jìn)行簽名��,以保證待傳輸信息的完整性和不可抵賴性��。
[0146]步驟S118a����,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密�,獲得第三密文信息;
[0147]具體的�,用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密,從而保證第二簽名信息的不透明傳輸��,提高安全性。
[0148]步驟S119a���,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊����,其中��,第二處理信息至少包括:第三密文信息�;
[0149]步驟S120a,手機(jī)安全模塊接收到第二處理信息后�����,通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行解密���,獲得第二簽名信息����;
[0150]具體的�����,手機(jī)安全模塊接收到第三密文信息后����,還通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行解密���,獲得真實的第二簽名信息。由此���,手機(jī)安全模塊與用戶身份識別卡之間完成了一次安全的信息交互��。
[0151]步驟S121a��,手機(jī)安全模塊至少將第二簽名信息外發(fā)���。
[0152]具體的,手機(jī)安全模塊將對待傳輸信息進(jìn)行了簽名后的第二簽名信息外發(fā)����。
[0153]如果本發(fā)明應(yīng)用于機(jī)密信息安全傳輸中,則將簽名后的機(jī)密信息外發(fā)至機(jī)密信息提取的裝置中等�����;
[0154]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中��,則將簽名后的交易信息發(fā)送至網(wǎng)上銀行服務(wù)
翌坐-nfr ο
[0155]方式二:
[0156]步驟SI 13b��,手機(jī)安全模塊獲取待傳輸信息��;
[0157]具體的���,手機(jī)安全模塊獲取待傳輸信息����,該待傳輸信息可以為需要安全傳輸?shù)臋C(jī)密信息�����,也可以為網(wǎng)銀中待交易的交易信息���。
[0158]如果本發(fā)明應(yīng)用于機(jī)密信息安全傳輸中���,則待傳輸信息可以為手機(jī)需要輸出的機(jī)密信息,例如:手機(jī)從手機(jī)的安全存儲區(qū)域內(nèi)獲取的機(jī)密信息等�����;
[0159]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中��,則待傳輸信息可以為待執(zhí)行交易的交易信息��,例如:手機(jī)通過網(wǎng)上銀行客戶端獲取到的交易賬號、交易金額等交易信息����。
[0160]步驟S114b,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行校驗計算�,獲得第一校驗信息;
[0161]具體的�,手機(jī)安全模塊通過其生成的手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行校驗計算,從而保證待傳輸信息的完整性���。此時�,協(xié)商密鑰至少包括一個校驗計算密鑰�,該校驗計算可以為計算MAC值等任一校驗方式。
[0162]步驟S115b����,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡,其中�,第一處理信息至少包括:待傳輸信息和第一校驗信息;
[0163]步驟S116b���,用戶身份識別卡接收到第一處理信息后,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進(jìn)行驗證�;
[0164]具體的�,由于待傳輸信息通過手機(jī)安全模塊端的協(xié)商密鑰進(jìn)行了校驗計算�,此時,用戶身份識別卡接收到待傳輸信息和第一校驗信息后���,通過用戶身份識別卡中的協(xié)商密鑰對待傳輸信息同樣進(jìn)行校驗計算�����,并與第一校驗信息進(jìn)行比較���,并在比較一致后,驗證通過��,從而確保獲得的待傳輸信息未經(jīng)篡改��。
[0165]步驟S117b���,如果用戶身份識別卡對第一處理信息驗證通過�����,則用戶身份識別卡對待傳輸信息進(jìn)行簽名����,獲得第二簽名信息;
[0166]具體的����,用戶身份識別卡在獲得了真實的待傳輸信息后,對該待傳輸信息進(jìn)行簽名����,以保證待傳輸信息的完整性和不可抵賴性。
[0167]步驟S118b��,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行校驗計算���,獲得第二校驗信息���;
[0168]具體的,用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行校驗計算����,從而保證第二簽名信息的完整性。
[0169]步驟S119b��,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊�����,其中,第二處理信息至少包括:第二簽名信息和第二校驗信息�;
[0170]步驟S120b�,手機(jī)安全模塊接收到第二處理信息后,通過手機(jī)安全模塊端的協(xié)商密鑰對第二處理信息進(jìn)行驗證�����;
[0171]具體的�,手機(jī)安全模塊接收到第二簽名信息和第二校驗信息后,還通過手機(jī)安全模塊端的協(xié)商密鑰對第二簽名信息進(jìn)行校驗計算���,并與第二校驗信息進(jìn)行比較����,并在比較一致后����,驗證通過,從而確保獲得的第二簽名信息未經(jīng)篡改�。由此,手機(jī)安全模塊與用戶身份識別卡之間完成了 一次安全的信息交互�����。
[0172]步驟S121b,如果手機(jī)安全模塊對第二處理信息驗證通過�����,則手機(jī)安全模塊至少將第二簽名信息外發(fā)��。
[0173]具體的�,手機(jī)安全模塊將對待傳輸信息進(jìn)行了簽名后的第二簽名信息外發(fā)。
[0174]如果本發(fā)明應(yīng)用于機(jī)密信息安全傳輸中�����,則將簽名后的機(jī)密信息外發(fā)至機(jī)密信息提取的裝置中等���;
[0175]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中���,則將簽名后的交易信息發(fā)送至網(wǎng)上銀行服務(wù)
吳坐-nfr ο
[0176]方式三:
[0177]步驟SI 13c,手機(jī)安全模塊獲取待傳輸信息����;
[0178]具體的,手機(jī)安全模塊獲取待傳輸信息��,該待傳輸信息可以為需要安全傳輸?shù)臋C(jī)密信息,也可以為網(wǎng)銀中待交易的交易信息���。
[0179]如果本發(fā)明應(yīng)用于機(jī)密信息安全傳輸中��,則待傳輸信息可以為手機(jī)需要輸出的機(jī)密信息����,例如:手機(jī)從手機(jī)的安全存儲區(qū)域內(nèi)獲取的機(jī)密信息等�����;
[0180]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中�����,則待傳輸信息可以為待執(zhí)行交易的交易信息��,例如:手機(jī)通過網(wǎng)上銀行客戶端獲取到的交易賬號�、交易金額等交易信息�����。
[0181]步驟S114C��,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密,獲得第二密文信息��,以及對第二密文信息進(jìn)行校驗計算��,獲得第一校驗信息��;
[0182]具體的�����,手機(jī)安全模塊通過其生成的手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密���,從而使得待傳輸信息進(jìn)行不透明傳輸���,保證傳輸?shù)陌踩浴?br>
[0183]手機(jī)安全模塊通過其生成的手機(jī)安全模塊端的協(xié)商密鑰對第二密文信息進(jìn)行校驗計算,從而保證第二密文信息的完整性���。該校驗計算可以為計算MAC值等任一校驗方式�����。
[0184]此時�,協(xié)商密鑰至少包括一個加密密鑰一個校驗計算密鑰�����。
[0185]步驟S115C,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡�����,其中�,第一處理信息至少包括:第二密文信息和第一校驗信息;
[0186]步驟S116C�,用戶身份識別卡接收到第一處理信息后,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進(jìn)行驗證����;
[0187]具體的���,由于第二密文信息通過手機(jī)安全模塊端的協(xié)商密鑰進(jìn)行了校驗計算����,此時�����,用戶身份識別卡接收到第二密文信息和第一校驗信息后��,通過用戶身份識別卡中的協(xié)商密鑰對第二密文信息同樣進(jìn)行校驗計算,并與第一校驗信息進(jìn)行比較��,并在比較一致后���,驗證通過����,從而確保獲得的第二密文信息未經(jīng)篡改����。
[0188]步驟S117C,如果用戶身份識別卡對第一處理信息驗證通過��,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二密文信息進(jìn)行解密���,獲得待傳輸信息��;
[0189]具體的��,由于待傳輸信息通過手機(jī)安全模塊端的協(xié)商密鑰進(jìn)行了加密��,此時���,用戶身份識別卡接收到真實的第二密文信息后���,通過用戶身份識別卡中的協(xié)商密鑰進(jìn)行解密,從而獲得真實的待傳輸信息�。
[0190]步驟S118C,用戶身份識別卡對待傳輸信息進(jìn)行簽名��,獲得第二簽名信息�����;
[0191]具體的����,用戶身份識別卡在獲得了真實的待傳輸信息后,對該待傳輸信息進(jìn)行簽名����,以保證待傳輸信息的完整性和不可抵賴性�����。
[0192]步驟S119C�����,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密,獲得第三密文信息��,以及對第三密文信息進(jìn)行校驗計算�,獲得第二校驗信息;
[0193]具體的�,用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密,從而保證第二簽名信息的不透明傳輸����,提高安全性。
[0194]用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進(jìn)行校驗計算��,從而保證第三密文信息的完整性�。
[0195]步驟S120c,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊�,其中,第二處理信息至少包括:第三密文信息和第二校驗信息��;
[0196]步驟S121C����,手機(jī)安全模塊接收到第二處理信息后,通過手機(jī)安全模塊端的協(xié)商密鑰對第二處理信息進(jìn)行驗證����;
[0197]具體的�,手機(jī)安全模塊接收到第三密文信息和第二校驗信息后��,還通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行校驗計算����,并與第二校驗信息進(jìn)行比較,并在比較一致后��,驗證通過�,從而確保獲得的第三密文信息未經(jīng)篡改。
[0198]步驟S122C����,如果手機(jī)安全模塊對第二處理信息驗證通過,則通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行解密�,獲得第二簽名信息;
[0199]具體的���,手機(jī)安全模塊在獲得了真實的第三密文信息后,還通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行解密�����,獲得真實的第二簽名信息。[0200]由此�,手機(jī)安全模塊與用戶身份識別卡之間完成了一次安全的信息交互。
[0201]步驟S123C���,手機(jī)安全模塊至少將第二簽名信息外發(fā)��。
[0202]具體的�,手機(jī)安全模塊將對待傳輸信息進(jìn)行了簽名后的第二簽名信息外發(fā)�。
[0203]如果本發(fā)明應(yīng)用于機(jī)密信息安全傳輸中,則將簽名后的機(jī)密信息外發(fā)至機(jī)密信息提取的裝置中等����;
[0204]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中,則將簽名后的交易信息發(fā)送至網(wǎng)上銀行服務(wù)
翌坐-nfr ο
[0205]方式四:
[0206]步驟SI 13d���,手機(jī)安全模塊獲取待傳輸信息���;
[0207]步驟S114d,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密�����,獲得第二密文信息�����,以及對第二密文信息進(jìn)行校驗計算,獲得第一校驗信息��;
[0208]步驟S115d���,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡�,其中�����,第一處理信息至少包括:第二密文信息和第一校驗信息�����;
[0209]步驟S116d�,用戶身份識別卡接收到第一處理信息后,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息 進(jìn)行驗證����;
[0210]步驟S117d,如果用戶身份識別卡對第一處理信息驗證通過�,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二密文信息進(jìn)行解密,獲得待傳輸信息�;
[0211]步驟S118d,用戶身份識別卡對待傳輸信息進(jìn)行簽名����,獲得第二簽名信息;
[0212]步驟S119d���,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密����,獲得第三密文信息���;
[0213]步驟S120d����,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊����,其中,第二處理?目息至少包括:第二密文?目息���;
[0214]步驟S121d��,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行解密���,獲得第二簽名信息����;
[0215]步驟S122d����,手機(jī)安全模塊至少將第二簽名信息外發(fā)。
[0216]方式五:
[0217]步驟SI 13e����,手機(jī)安全模塊獲取待傳輸信息;
[0218]步驟S114e����,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密,獲得第二密文信息��,以及對第二密文信息進(jìn)行校驗計算��,獲得第一校驗信息�;
[0219]步驟S115e,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡��,其中���,第一處理信息至少包括:第二密文信息和第一校驗信息�����;
[0220]步驟S116e��,用戶身份識別卡接收到第一處理信息后����,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進(jìn)行驗證����;
[0221]步驟S117e,如果用戶身份識別卡對第一處理信息驗證通過����,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二密文信息進(jìn)行解密,獲得待傳輸信息���;
[0222]步驟S118e����,用戶身份識別卡對待傳輸信息進(jìn)行簽名����,獲得第二簽名信息���;
[0223]步驟S119e,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行校驗計算����,獲得第二校驗信息;
[0224]步驟S120e�����,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊�����,其中�����,第二處理信息至少包括:第二簽名信息和第二校驗信息;
[0225]步驟S121e,手機(jī)安全模塊接收到第二處理信息后���,通過手機(jī)安全模塊端的協(xié)商密鑰對第二處理信息進(jìn)行驗證���;
[0226]步驟S122e,如果手機(jī)安全模塊對第二處理信息驗證通過��,則手機(jī)安全模塊至少將第二簽名信息外發(fā)����。
[0227]方式六:
[0228]步驟S113f�����,手機(jī)安全模塊獲取待傳輸信息��;
[0229]步驟S114f��,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密�����,獲得第二密文信息����;
[0230]步驟S115f�,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡�����,其中����,第一處理信息至少包括:第二密文信息;
[0231]步驟S116f���,用戶身份識別卡接收到第一處理信息后���,通過用戶身份識別卡端的協(xié)商密鑰對第二密文信息進(jìn)行解密,獲得待傳輸信息���;
[0232]步驟S117f�����,用戶身份識別卡對待傳輸信息進(jìn)行簽名����,獲得第二簽名信息;
[0233]步驟SllSf�,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密,獲得第三密文信息��,以及對第三密文信息進(jìn)行校驗計算��,獲得第一校驗信息���;
[0234]步驟S119f��,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊�����,其中,第二處理信息至少包括:第三密文信息和第一校驗信息�����;
[0235]步驟S120f����,手機(jī)安全模塊接收到第二處理信息后,通過手機(jī)安全模塊端的協(xié)商密鑰對第二處理信息進(jìn)行驗證����;
[0236]步驟S121f�����,如果手機(jī)安全模塊對第二處理信息驗證通過����,則通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行解密����,獲得第二簽名信息;
[0237]步驟S122f�,手機(jī)安全模塊至少將第二簽名信息外發(fā)。
[0238]方式七:
[0239]步驟S113g���,手機(jī)安全模塊獲取待傳輸信息��;
[0240]步驟S114g�����,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行校驗計算�����,獲得第一校驗信息���;
[0241]步驟S115g��,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡�,其中����,第一處理信息至少包括:待傳輸信息和第一校驗信息;
[0242]步驟S116g�,用戶身份識別卡接收到第一處理信息后,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進(jìn)行驗證;
[0243]步驟S117g�,如果用戶身份識別卡對第一處理信息驗證通過��,則用戶身份識別卡對待傳輸信息進(jìn)行簽名�����,獲得第二簽名信息;
[0244]步驟S118g�����,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密�����,獲得第二密文信息����,以及對第二密文信息進(jìn)行校驗計算,獲得第二校驗信息����;
[0245]步驟S119g,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊�����,其中����,第二處理信息至少包括:第二密文信息和第二校驗信息;
[0246]步驟S120g����,手機(jī)安全模塊接收到第二處理信息后,通過手機(jī)安全模塊端的協(xié)商密鑰對第二處理信息進(jìn)行驗證;[0247]步驟S121g,如果手機(jī)安全模塊對第二處理信息驗證通過���,則通過手機(jī)安全模塊端的協(xié)商密鑰對第二密文信息進(jìn)行解密�����,獲得第二簽名信息�;
[0248]步驟S122g�,手機(jī)安全模塊至少將第二簽名信息外發(fā)����。
[0249]方式八:
[0250]步驟S113h,手機(jī)安全模塊獲取待傳輸信息;
[0251]步驟S114h,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加
密,獲得第二密文信息��;
[0252]步驟S115h�,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡���,其中,第一處理信息至少包括:第二密文信息����;
[0253]步驟S116h����,用戶身份識別卡接收到第一處理信息后�����,通過用戶身份識別卡端的協(xié)商密鑰對第二密文信息進(jìn)行解密,獲得待傳輸信息�;
[0254]步驟S117h�,用戶身份識別卡對待傳輸信息進(jìn)行簽名,獲得第二簽名信息��;
[0255]步驟S118h�,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行校驗計算,獲得第一校驗信息��;
[0256]步驟S119h��,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊�����,其中�,第二處理信息至少包括:第二簽名信息和第一校驗信息�����;
[0257]步驟S120h�,手機(jī)安全模塊接收到第二處理信息后�����,通過手機(jī)安全模塊端的協(xié)商密鑰對第二處理信息進(jìn)行驗證���;
[0258]步驟S121h,如果手機(jī)安全模塊對第二處理信息驗證通過���,則手機(jī)安全模塊至少將第二簽名信息外發(fā)�����。
[0259]方式九:
[0260]步驟SI 13i����,手機(jī)安全模塊獲取待傳輸信息���;
[0261]步驟S114i��,手機(jī)安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對待傳輸信息進(jìn)行加密��,獲得第二密文信息�,以及對第二密文信息進(jìn)行校驗計算,獲得第一校驗信息�����;
[0262]步驟S115i��,手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡����,其中,第一處理信息至少包括:第二密文信息和第一校驗信息���;
[0263]步驟S116i���,用戶身份識別卡接收到第一處理信息后,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進(jìn)行驗證�����;
[0264]步驟S117i�����,如果用戶身份識別卡對第一處理信息驗證通過,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二密文信息進(jìn)行解密���,獲得待傳輸信息�;
[0265]步驟S118i����,用戶身份識別卡對待傳輸信息進(jìn)行簽名,獲得第二簽名信息��;
[0266]步驟S119i���,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進(jìn)行加密,獲得第三密文信息�����;
[0267]步驟S120i��,用戶身份識別卡將第二處理信息發(fā)送至手機(jī)安全模塊���,其中���,第二處理?目息至少包括:第二密文?目息���;
[0268]步驟S121i,手機(jī) 安全模塊通過手機(jī)安全模塊端的協(xié)商密鑰對第三密文信息進(jìn)行解密�����,獲得第二簽名信息��;
[0269]步驟S122i�����,手機(jī)安全模塊至少將第二簽名信息外發(fā)��。
[0270]當(dāng)然�,以上方式一至方式九中,對于對每個對密文信息進(jìn)行校驗計算的步驟����,均可以采用對密文信息的原文進(jìn)行校驗計算來替代,在獲得校驗信息和密文信息后��,均先行解密獲得密文信息的原文���,再進(jìn)行校驗信息的驗證�����。只要可以保證密文信息或者密文信息的原文無法被篡改即可���。
[0271]由此可見�����,通過本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法����,可以使得手機(jī)能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機(jī)密信息傳輸�。
[0272]另外,在上述任一方式中��,在手機(jī)安全模塊獲取待傳輸信息的步驟之后��,在手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡的步驟之前�����,基于協(xié)商密鑰的數(shù)據(jù)處理方法還包括如下步驟:
[0273]步驟SI 131����,手機(jī)安全模塊提取待傳輸信息中的關(guān)鍵信息;
[0274]具體的���,手機(jī)安全模塊將會提取待傳輸信息中的關(guān)鍵信息��,以顯示給用戶確認(rèn)是否是該息�����。例如:
[0275]如果本發(fā)明應(yīng)用于機(jī)密信息安全傳輸中�����,則手機(jī)安全模塊可以提取機(jī)密信息中的文件名等關(guān)鍵信息�,以便用戶確認(rèn)是否需要提取該機(jī)密文件進(jìn)行安全輸出�����;
[0276]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中��,則手機(jī)安全模塊可以提取交易信息中的關(guān)鍵信息��,例如交易賬號和交易金額等關(guān)鍵信息,以便用戶確認(rèn)該筆交易是否為真實的交易���。
[0277]步驟S1132��,手機(jī)安全模塊控制手機(jī)顯示屏顯示提取出的待傳輸信息中的關(guān)鍵信息���;
[0278]具體的,手機(jī)安全模塊控制手機(jī)的顯示屏顯示提取出來的關(guān)鍵信息��,以便用戶確認(rèn)關(guān)鍵信息的真實性����,從而保證待傳輸信息的真實性。另外��,通過手機(jī)安全模塊控制手機(jī)的顯示屏顯示提取出的關(guān)鍵信息�,還可以防止通過手機(jī)CPU控制手機(jī)顯示屏顯示關(guān)鍵信息可能被篡改的問題,保證通過手機(jī)安全模塊控制顯示的內(nèi)容為真實的內(nèi)容��,提高安全性����。
[0279]步驟S1133,手機(jī)安全模塊接收手機(jī)鍵盤輸出的確認(rèn)指令���;
[0280]具體的�,當(dāng)用戶確認(rèn)手機(jī)顯示屏顯示的關(guān)鍵信息無誤后����,按下手機(jī)上的確認(rèn)鍵,該確認(rèn)鍵可以為手機(jī)上設(shè)置的硬件按鍵���,也可以為觸屏手機(jī)的虛擬按鍵����,在手機(jī)安全模塊接收到手機(jī)鍵盤輸出的確認(rèn)指令后���,確認(rèn)待傳輸信息的真實性���,做好后續(xù)安全傳輸?shù)臏?zhǔn)備。
[0281]步驟S1134�,在手機(jī)安全模塊接收到手機(jī)鍵盤輸出的確認(rèn)指令后,執(zhí)行手機(jī)安全模塊將第一處理信息發(fā)送至用戶身份識別卡的步驟��。
[0282]具體的���,只有經(jīng)過用戶按鍵確認(rèn)的待傳輸信息才被認(rèn)為是真實的待傳輸信息����,保證了待傳輸信息的真實性,從而提高了機(jī)密信息輸出的真實性�,和交易信息輸出的安全性。
[0283]當(dāng)然���,本發(fā)明實施例1還可以提供一種手機(jī)��,該手機(jī)采用實施例1提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法�����,本發(fā)明實施例1的手機(jī)至少包括:手機(jī)安全模塊以及用戶身份識別卡��;其中���,手機(jī)安全模塊和用戶身份識別卡均可以劃分為收發(fā)單元、加解密單元����、生成單元、驗證單元�、簽名單元等模塊以完成相應(yīng)的功能,在此不再一一贅述��。
[0284]實施例2
[0285]本實施例2與實施例1的區(qū)別在于手機(jī)安全模塊與用戶身份識別卡之間的認(rèn)證過程以及密鑰生成過程為相反的過程,在此不再一一贅述�,僅對本實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法進(jìn)行簡單說明��。
[0286]圖2出示本發(fā)明實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖�,參見圖2,本發(fā)明實施例2的基于協(xié)商密鑰的數(shù)據(jù)處理方法�����,包括:[0287]步驟S201���,手機(jī)安全模塊將第一認(rèn)證信息發(fā)送至用戶身份識別卡��,其中�����,第一認(rèn)證信息至少包括:第一隨機(jī)因子以及手機(jī)安全模塊證書����;
[0288]步驟S202�,用戶身份識別卡接收到第一認(rèn)證信息后,驗證手機(jī)安全模塊證書的合法性����;
[0289]步驟S203����,如果用戶身份識別卡驗證手機(jī)安全模塊證書合法���,則用戶身份識別卡生成第二隨機(jī)因子���,并根據(jù)第一隨機(jī)因子以及第二隨機(jī)因子生成用戶身份識別卡端的協(xié)商密鑰;
[0290]步驟S204��,用戶身份識別卡通過手機(jī)安全模塊證書中攜帶的手機(jī)安全模塊的公鑰至少對第一隨機(jī)因子以及第二隨機(jī)因子進(jìn)行加密�����,獲得第一密文信息�����;
[0291]步驟S205�,用戶身份識別卡對第一密文信息進(jìn)行簽名,獲得第一簽名信息�;
[0292]步驟S206,用戶身份識別卡將第二認(rèn)證信息發(fā)送至手機(jī)安全模塊�����,其中,第二認(rèn)證信息至少包括:第一密文信息�、第一簽名信息以及用戶身份識別卡證書;
[0293]步驟S207��,手機(jī)安全模塊接收到第二認(rèn)證信息后���,驗證用戶身份識別卡證書的合法性;
[0294]步驟S208�,如果手機(jī)安全模塊驗證用戶身份識別卡證書合法,則手機(jī)安全模塊驗證第一簽名信息的正確性�;
[0295]步驟S209,如果手機(jī)安全模塊驗證第一簽名信息正確���,則手機(jī)安全模塊解密第一密文信息���,獲得第一隨機(jī)因子以及第二隨機(jī)因子;
[0296]步驟S210�,手機(jī)安全模塊在獲得第一隨機(jī)因子以及第二隨機(jī)因子后,驗證第一隨機(jī)因子的正確性���;
[0297]步驟S211�����,如果手機(jī)安全模塊驗證第一隨機(jī)因子正確�����,則手機(jī)安全模塊根據(jù)第一隨機(jī)因子以及第二隨機(jī)因子生成手機(jī)安全模塊端的協(xié)商密鑰��;
[0298]步驟S212��,手機(jī)安全模塊與用戶身份識別卡之間通過手機(jī)安全模塊端的協(xié)商密鑰以及用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸�����。
[0299]由此可見���,通過本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法��,可以使得手機(jī)能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機(jī)密信息傳輸���。
[0300]其中,在步驟S212中��,手機(jī)安全模塊與用戶身份識別卡之間通過手機(jī)安全模塊端的協(xié)商密鑰以及用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)倪^程與實施例1相同��,在此不再贅述。
[0301]當(dāng)然�,本發(fā)明實施例2也可以提供一種手機(jī),該手機(jī)采用實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法���,本發(fā)明實施例2的手機(jī)至少包括:手機(jī)安全模塊以及用戶身份識別卡���;其中,手機(jī)安全模塊和用戶身份識別卡均可以劃分為收發(fā)單元����、加解密單元�����、生成單元���、驗證單元����、簽名單元等模塊以完成相應(yīng)的功能����,在此不再一一贅述���。
[0302]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊�����、片段或部分����,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn),其中可以不按所示出或討論的順序��,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序���,來執(zhí)行功能�����,這應(yīng)被本發(fā)明的實施例所屬【技術(shù)領(lǐng)域】的技術(shù)人員所理解��。
[0303]應(yīng)當(dāng)理解�����,本發(fā)明的各部分可以用硬件���、軟件��、固件或它們的組合來實現(xiàn)���。在上述實施方式中,多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)��。例如���,如果用硬件來實現(xiàn)�,和在另一實施方式中一樣��,可用本領(lǐng)域公知的下列技術(shù)中的任一項或他們的組合來實現(xiàn):具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路��,具有合適的組合邏輯門電路的專用集成電路�����,可編程門陣列(PGA)����,現(xiàn)場可編程門陣列(FPGA)等。
[0304]本【技術(shù)領(lǐng)域】的普通技術(shù)人員可以理解實現(xiàn)上述實施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成���,所述的程序可以存儲于一種計算機(jī)可讀存儲介質(zhì)中����,該程序在執(zhí)行時�����,包括方法實施例的步驟之一或其組合��。
[0305]此外���,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理模塊中�����,也可以是各個單元單獨物理存在���,也可以兩個或兩個以上單元集成在一個模塊中。上述集成的模塊既可以采用硬件的形式實現(xiàn)���,也可以采用軟件功能模塊的形式實現(xiàn)��。所述集成的模塊如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時���,也可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中�����。
[0306]上述提到的存儲介質(zhì)可以是只讀存儲器����,磁盤或光盤等��。
[0307]在本說明書的描述中�,參考術(shù)語“一個實施例”、“一些實施例”�����、“示例”��、“具體示例”�、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征���、結(jié)構(gòu)��、材料或者特點包含于本發(fā)明的至少一個實施例或示例中�����。在本說明書中�,對上述術(shù)語的示意性表述不一定指的是相同的實施例或示例。而且�,描述的具體特征、結(jié)構(gòu)�����、材料或者特點可以在任何的一個或多個實施例或示例中以合適的方式結(jié)合���。
[0308]盡管上面已經(jīng)示出和描述了本發(fā)明的實施例����,可以理解的是�����,上述實施例是示例性的�,不能理解為對本發(fā)明的限制,本領(lǐng)域的普通技術(shù)人員在不脫離本發(fā)明的原理和宗旨的情況下在本發(fā)明的范圍內(nèi)可以對上述實施例進(jìn)行變化��、修改、替換和變型��。本發(fā)明的范圍由所附權(quán)利要求及其等同限定�。
【權(quán)利要求】
1.一種基于協(xié)商密鑰的數(shù)據(jù)處理方法,其特征在于�,包括: 用戶身份識別卡將第一認(rèn)證信息發(fā)送至手機(jī)安全模塊,其中�����,所述第一認(rèn)證信息至少包括:第一隨機(jī)因子以及用戶身份識別卡證書����; 所述手機(jī)安全模塊接收到所述第一認(rèn)證信息后,驗證所述用戶身份識別卡證書的合法性�����; 如果所述手機(jī)安全模塊驗證所述用戶身份識別卡證書合法��,則所述手機(jī)安全模塊生成第二隨機(jī)因子�����,并根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述手機(jī)安全模塊端的協(xié)商密鑰����; 所述手機(jī)安全模塊通過所述用戶身份識別卡證書中攜帶的所述用戶身份識別卡的公鑰至少對所述第一隨機(jī)因子以及第二隨機(jī)因子進(jìn)行加密,獲得第一密文信息�; 所述手機(jī)安全模塊對所述第一密文信息進(jìn)行簽名,獲得第一簽名信息�����; 所述手機(jī)安全模塊將第二認(rèn)證信息發(fā)送至所述用戶身份識別卡��,其中,所述第二認(rèn)證信息至少包括:所述第一密文信息���、所述第一簽名信息以及所述手機(jī)安全模塊證書�; 所述用戶身份識別卡接收到所述第二認(rèn)證信息后��,驗證所述手機(jī)安全模塊證書的合法性; 如果所述用戶身份識別卡驗證所述手機(jī)安全模塊證書合法�,則所述用戶身份識別卡驗證所述第一簽名信息的正確性�����; 如果所述用戶身份識別卡驗證所述第一簽名信息正確,則所述用戶身份識別卡解密所述第一密文信息����,獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子���; 所述用戶身份識別卡在獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子后���,驗證所述第一隨機(jī)因子的正確性���; 如果所述用戶身份識別卡驗證所述第一隨機(jī)因子正確��,則所述用戶身份識別卡根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述用戶身份識別卡端的協(xié)商密鑰; 所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸��。
2.一種基于協(xié)商密鑰的數(shù)據(jù)處理方法����,其特征在于����,包括: 手機(jī)安全模塊將第一認(rèn)證信息發(fā)送至用戶身份識別卡����,其中��,所述第一認(rèn)證信息至少包括:第一隨機(jī)因子以及手機(jī)安全模塊證書; 所述用戶身份識別卡接收到所述第一認(rèn)證信息后���,驗證所述手機(jī)安全模塊證書的合法性�; 如果所述用戶身份識別卡驗證所述手機(jī)安全模塊證書合法���,則所述用戶身份識別卡生成第二隨機(jī)因子�,并根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述用戶身份識別卡端的協(xié)商密鑰; 所述用戶身份識別卡通過所述手機(jī)安全模塊證書中攜帶的所述手機(jī)安全模塊的公鑰至少對所述第一隨機(jī)因子以及第二隨機(jī)因子進(jìn)行加密��,獲得第一密文信息; 所述用戶身份識別卡對所述第一密文信息進(jìn)行簽名�����,獲得第一簽名信息�����; 所述用戶身份識別卡將第二認(rèn)證信息發(fā)送至所述手機(jī)安全模塊�,其中,所述第二認(rèn)證信息至少包括:所述第一密文信息���、所述第一簽名信息以及所述用戶身份識別卡證書�; 所述手機(jī)安全模塊接收到所述第二認(rèn)證信息后,驗證所述用戶身份識別卡證書的合法性��; 如果所述手機(jī)安全模塊驗證所述用戶身份識別卡證書合法�����,則所述手機(jī)安全模塊驗證所述第一簽名信息的正確性�����; 如果所述手機(jī)安全模塊驗證所述第一簽名信息正確���,則所述手機(jī)安全模塊解密所述第一密文信息,獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子��; 所述手機(jī)安全模塊在獲得所述第一隨機(jī)因子以及所述第二隨機(jī)因子后�,驗證所述第一隨機(jī)因子的正確性; 如果所述手機(jī)安全模塊驗證所述第一隨機(jī)因子正確�����,則所述手機(jī)安全模塊根據(jù)所述第一隨機(jī)因子以及所述第二隨機(jī)因子生成所述手機(jī)安全模塊端的協(xié)商密鑰��; 所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸����。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括: 所述手機(jī)安全模塊獲取待傳輸信息����; 所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行加密,獲得第二密文信息�; 所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡,其中���,所述第一處理信息至少包括:所述第二密文信息����; 所述用戶身份識別卡接收到所述第一處理信息后����,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密,獲得待傳輸信息����; 所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名����,獲得第二簽名信息����; 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行加密,獲得第三密文信息�; 所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊,其中����,所述第二處理信息至少包括:所述第三密文信息; 所述手機(jī)安全模塊接收到所述第二處理信息后�,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第三密文信息進(jìn)行解密��,獲得所述第二簽名信息���; 所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)��。
4.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于�����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括: 所述手機(jī)安全模塊獲取待傳輸信息; 所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行校驗計算�,獲得第一校驗信息; 所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡���,其中���,所述第一處理信息至少包括:所述待傳輸信息和所述第一校驗信息; 所述用戶身份識別卡接收到所述第一處理信息后��,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進(jìn)行驗證�����;如果所述用戶身份識別卡對所述第一處理信息驗證通過�����,則所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名�����,獲得第二簽名信息����; 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行校驗計算�,獲得第二校驗信息��; 所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊����,其中,所述第二處理信息至少包括:所述第二簽名信息和所述第二校驗信息����; 所述手機(jī)安全模塊接收到所述第二處理信息后,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二處理信息進(jìn)行驗證���; 如果所述手機(jī)安全模塊對所述第二處理信息驗證通過��,則所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)��。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括: 所述手機(jī)安全模塊獲取待傳輸信息����; 所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行加密�,獲得第二密文信息����,以及對所述第二密文信息進(jìn)行校驗計算,獲得第一校驗信息���; 所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡����,其中����,所述第一處理信息至少包括:所述第二密文信息和所述第一校驗信息; 所述用戶身份識別卡接收到所述第一處理信息后��,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息 進(jìn)行驗證��; 如果所述用戶身份識別卡對所述第一處理信息驗證通過��,則所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密�,獲得所述待傳輸信息;所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名���,獲得第二簽名信息����; 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行加密,獲得第三密文信息���,以及對所述第三密文信息進(jìn)行校驗計算�,獲得第二校驗信息����;所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊,其中��,所述第二處理信息至少包括:所述第三密文信息和所述第二校驗信息�����; 所述手機(jī)安全模塊接收到所述第二處理信息后�����,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二處理信息進(jìn)行驗證�; 如果所述手機(jī)安全模塊對所述第二處理信息驗證通過�����,則通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第三密文信息進(jìn)行解密,獲得所述第二簽名信息����; 所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)。
6.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括: 所述手機(jī)安全模塊獲取待傳輸信息; 所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行加密�,獲得第二密文信息; 所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡���,其中�,所述第一處理信息至少包括:所述第二密文信息�; 所述用戶身份識別卡接收到所述第一處理信息后,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密�,獲得待傳輸信息; 所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名��,獲得第二簽名信息; 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行校驗計算�,獲得第一校驗信息; 所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊����,其中,所述第二處理信息至少包括:所述第二簽名信息和所述第一校驗信息�����; 所述手機(jī)安全模塊接收到所述第二處理信息后����,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二處理信息進(jìn)行驗證; 如果所述手機(jī)安全模塊對所述第二處理信息驗證通過�����,則所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)�。
7.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�����,所述手機(jī)安全模塊與所述用戶身份識別卡之間通過所述手機(jī)安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進(jìn)行信息的安全傳輸?shù)牟襟E包括: 所述手機(jī)安全模塊獲取待傳輸信息�����; 所述手機(jī)安全模塊通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述待傳輸信息進(jìn)行校驗計算���,獲得第一校驗信息����; 所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡�,其中,所述第一處理信息至少包括:所述待傳輸信息和所述第一校驗信息���; 所述用戶身份識別卡接收到所述第一處理信息后�,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進(jìn)行驗證�; 如果所述用戶身份識別卡對所述第一處理信息驗證通過,則所述用戶身份識別卡對所述待傳輸信息進(jìn)行簽名��,獲得第二簽名信息��; 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進(jìn)行加密�����,獲得第二密文信息�����; 所述用戶身份識別卡將第二處理信息發(fā)送至所述手機(jī)安全模塊,其中�,所述第二處理信息至少包括:所述第二密文信息; 所述手機(jī)安全模塊接收到所述第二處理信息后���,通過所述手機(jī)安全模塊端的協(xié)商密鑰對所述第二密文信息進(jìn)行解密�����,獲得所述第二簽名信息���; 所述手機(jī)安全模塊至少將所述第二簽名信息外發(fā)。
8.根據(jù)權(quán)利要求3至7任一項所述的方法��,其特征在于�,在所述手機(jī)安全模塊獲取待傳輸信息的步驟之后,在所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟之前�,所述方法還包括: 所述手機(jī)安全模塊提取所述待傳輸信息中的關(guān)鍵信息; 所述手機(jī)安全模塊控制手機(jī)顯示屏顯示所述提取出的待傳輸信息中的關(guān)鍵信息�����; 所述手機(jī)安全模塊接收手機(jī)鍵盤輸出的確認(rèn)指令����; 在所述手機(jī)安全模塊 接收到所述手機(jī)鍵盤輸出的確認(rèn)指令后�����,執(zhí)行所述手機(jī)安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟。
9.根據(jù)權(quán)利要求1至8任一項所述的方法���,其特征在于���,所述第二隨機(jī)因子為根據(jù)所述第一隨機(jī)因子生成的,或者所述第三隨機(jī)因子是隨機(jī)生成的���。
10.根據(jù)權(quán)利要求1至9任一項所述的方法���,其特征在于,所述手機(jī)安全模塊為獨立于手機(jī)CPU之外的模塊 ���,或者所述手機(jī)安全模塊設(shè)置在所述手機(jī)CPU中的安全區(qū)域����。
【文檔編號】H04W12/06GK103813333SQ201410060548
【公開日】2014年5月21日 申請日期:2014年2月21日 優(yōu)先權(quán)日:2014年2月21日
【發(fā)明者】李東聲 申請人:天地融科技股份有限公司