一種Web應(yīng)用中基于移動(dòng)終端的密碼數(shù)據(jù)處理與交互方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全技術(shù)領(lǐng)域��,特別是一種Web應(yīng)用中基于移動(dòng)終端的密碼數(shù)據(jù)處理與交互方法�����。
【背景技術(shù)】
[0002]在使用密碼技術(shù)的應(yīng)用中經(jīng)常遇到的一個(gè)問題是采用何種方案存儲(chǔ)和使用用戶密鑰�。目前用戶密鑰的存儲(chǔ)和使用通常有如下兩種方案���。
[0003]一種最簡單也是最常用的方案是將用戶密鑰存儲(chǔ)在用戶計(jì)算機(jī)中���,并通過軟件密碼模塊使用用戶密鑰對(duì)數(shù)據(jù)進(jìn)行密碼處理(包括加密、解密����、簽名、簽名驗(yàn)證)����。這種方案的問題在于:方案不適合于在公共計(jì)算機(jī)中采用;若用戶在不同計(jì)算機(jī)使用自己的密鑰�����,則需要在不同計(jì)算機(jī)之間復(fù)制密鑰�����、存儲(chǔ)密鑰����,這給用戶帶來了很大不便。
[0004]另一種方案是使用專門的密碼硬件裝置(如USB Key)存儲(chǔ)用戶密鑰并在密碼硬件裝置中使用用戶密鑰對(duì)數(shù)據(jù)進(jìn)行密碼處理�。這種方案的最大優(yōu)點(diǎn)是安全,且用戶可在不同計(jì)算機(jī)上使用自己的密鑰對(duì)數(shù)據(jù)進(jìn)行密碼處理����。這種方案的存在的問題是:使用密碼硬件裝置如USB Key會(huì)產(chǎn)生額外的費(fèi)用;在網(wǎng)吧��,許多計(jì)算機(jī)的USB接口被封存����,無法使用密碼硬件裝置。
[0005]目前��,幾乎所有用戶都擁有手機(jī)�����、平板電腦等移動(dòng)終端(移動(dòng)計(jì)算裝置),這些手機(jī)�、平板電腦可以用作密鑰存儲(chǔ)和進(jìn)行數(shù)據(jù)密碼處理的裝置。這種采用移動(dòng)終端的密鑰存儲(chǔ)和使用方案雖然沒有采用專門的密碼硬件裝置的方案安全性高�����,但在通常的應(yīng)用中這種方案的安全性已足夠(比如在非涉及錢財(cái)?shù)膽?yīng)用中����,或者在僅涉及小額錢財(cái)?shù)膽?yīng)用中這種方案的安全性已足夠)。如果采用移動(dòng)終端作為用戶密鑰的存儲(chǔ)和使用裝置��,這就有兩個(gè)問題需要解決:當(dāng)用戶在計(jì)算機(jī)上使用應(yīng)用客戶端與應(yīng)用系統(tǒng)進(jìn)行交互時(shí)�,如何將需要進(jìn)行密碼處理的數(shù)據(jù)傳送到移動(dòng)終端?應(yīng)用系統(tǒng)如何獲得移動(dòng)終端密碼處理后的數(shù)據(jù)��?
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的是針對(duì)Web應(yīng)用提出一種利用移動(dòng)終端作為用戶密鑰存儲(chǔ)和密碼運(yùn)算裝置實(shí)現(xiàn)密碼數(shù)據(jù)處理和交互的方法���。
[0007]為了實(shí)現(xiàn)上述目的��,本發(fā)明所采用的技術(shù)方案是:
[0008]一種Web應(yīng)用中基于移動(dòng)終端的密碼數(shù)據(jù)處理與交互方法����,其特點(diǎn)是���,所述方法如下:
[0009]在用戶的移動(dòng)終端中安裝一個(gè)密碼處理程序���,并將用戶的密鑰存放在移動(dòng)終端中;所述用戶密鑰包括對(duì)稱密鑰和/或非對(duì)稱密鑰��;所述移動(dòng)終端是訪問Web應(yīng)用系統(tǒng)的用戶所持有的移動(dòng)計(jì)算設(shè)備(如移動(dòng)通信終端和平板電腦)���;所述移動(dòng)終端有攝像頭和條碼掃描程序(動(dòng)態(tài)庫��、類庫和獨(dú)立運(yùn)行的程序)用于條碼掃描和條碼數(shù)據(jù)讀?���?;所述條碼掃描程序被密碼處理程序調(diào)用,用于獲取以條碼形式顯示的數(shù)據(jù)���;所述密碼處理程序是一個(gè)運(yùn)行在用戶移動(dòng)終端中的�����、對(duì)數(shù)據(jù)進(jìn)行密碼處理的程序(即APP);所述Web應(yīng)用系統(tǒng)是一個(gè)通過網(wǎng)絡(luò)向用戶提供功能服務(wù)的系統(tǒng)���,用戶通過運(yùn)行在計(jì)算機(jī)中的瀏覽器訪問Web應(yīng)用系統(tǒng);對(duì)于瀏覽器與Web應(yīng)用系統(tǒng)之間的會(huì)話連接,Web應(yīng)用系統(tǒng)分配有一個(gè)會(huì)話標(biāo)識(shí)符(Sess1n ID)��,Web應(yīng)用系統(tǒng)同瀏覽器之間通過傳遞會(huì)話標(biāo)識(shí)符來維護(hù)和識(shí)別會(huì)話連接��;所述會(huì)話連接是瀏覽器和Web應(yīng)用系統(tǒng)之間的邏輯連接���;
[0010]當(dāng)用戶使用瀏覽器與Web應(yīng)用系統(tǒng)進(jìn)行交互的過程中需要使用存放在移動(dòng)終端中的密鑰對(duì)待提交到Web應(yīng)用系統(tǒng)的數(shù)據(jù)或Web應(yīng)用系統(tǒng)返回的數(shù)據(jù)進(jìn)行密碼處理時(shí)����,用戶�����、瀏覽器或?yàn)g覽器調(diào)用的本地AP1��、密碼處理程序按如下方式對(duì)待密碼處理的數(shù)據(jù)進(jìn)行操作處理:
[0011]第一步:瀏覽器或?yàn)g覽器調(diào)用的本地API將待密碼處理的數(shù)據(jù)����、數(shù)據(jù)提交地址、瀏覽器與Web應(yīng)用系統(tǒng)之間會(huì)話連接的會(huì)話標(biāo)識(shí)數(shù)據(jù)以及會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式以條碼的形式顯示在瀏覽器上或?yàn)g覽器調(diào)用的本地API的人機(jī)界面上��,其中�,數(shù)據(jù)提交地址是將密碼處理后的數(shù)據(jù)提交到Web應(yīng)用系統(tǒng)的地址,會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式用于指明瀏覽器在提交HTTP請(qǐng)求時(shí)通過何種方式將包含會(huì)話標(biāo)識(shí)符的會(huì)話標(biāo)識(shí)數(shù)據(jù)提交或傳遞到Web應(yīng)用系統(tǒng)�����;
[0012]第二步:用戶使用運(yùn)行有密碼處理程序的移動(dòng)終端對(duì)瀏覽器或?yàn)g覽器調(diào)用的本地API顯示的條碼進(jìn)行掃描;
[0013]第三步:密碼處理程序從掃描的條碼中獲得待密碼處理的數(shù)據(jù)��、數(shù)據(jù)提交地址���、會(huì)話標(biāo)識(shí)數(shù)據(jù)以及會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式;
[0014]第四步:用戶通過密碼處理程序(調(diào)用密碼模塊)使用存儲(chǔ)在移動(dòng)終端中的密鑰對(duì)待密碼處理的數(shù)據(jù)進(jìn)行密碼處理���,形成密碼處理后的數(shù)據(jù)���;
[0015]第五步:密碼處理程序根據(jù)數(shù)據(jù)提交地址通過HTTP協(xié)議將密碼處理后的數(shù)據(jù)提交到Web應(yīng)用系統(tǒng),密碼處理程序提交密碼處理后的數(shù)據(jù)的同時(shí)��,按會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式指明的會(huì)話標(biāo)識(shí)數(shù)據(jù)提交或傳遞方式將會(huì)話標(biāo)識(shí)數(shù)據(jù)一并提交����。
[0016]對(duì)數(shù)據(jù)的密碼處理包括加密、解密�����、數(shù)字簽名����、簽名驗(yàn)證�����;所述數(shù)字簽名和簽名驗(yàn)證包括對(duì)稱密鑰數(shù)字簽名和簽名驗(yàn)證�,以及非對(duì)稱密鑰數(shù)字簽名和簽名驗(yàn)證��;若對(duì)數(shù)據(jù)的密碼處理是簽名驗(yàn)證�����,則密碼處理后的數(shù)據(jù)是簽名驗(yàn)證的結(jié)果(如成功或失敗)���。
[0017]若瀏覽器需要獲得密碼處理程序進(jìn)行密碼處理后的數(shù)據(jù)�,則瀏覽器從Web應(yīng)用系統(tǒng)獲取密碼處理程序提交的密碼處理后的數(shù)據(jù)��。
[0018]若瀏覽器調(diào)用的本地API需要獲得密碼處理程序進(jìn)行密碼處理后的數(shù)據(jù)�����,則瀏覽器調(diào)用的本地API通過HTTP請(qǐng)求從Web應(yīng)用系統(tǒng)獲取密碼處理程序提交的密碼處理后的數(shù)據(jù)�;瀏覽器調(diào)用的本地API提交HTTP請(qǐng)求,請(qǐng)求從Web應(yīng)用系統(tǒng)獲取密碼處理后的數(shù)據(jù)時(shí)�,按會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式指明的會(huì)話標(biāo)識(shí)數(shù)據(jù)提交或傳遞方式將會(huì)話標(biāo)識(shí)數(shù)據(jù)同獲取密碼處理后的數(shù)據(jù)的HTTP請(qǐng)求一并提交���。
[0019]通過以上描述可以看到,基于本發(fā)明的方法�,用戶可將移動(dòng)終端作為隨身攜帶的密鑰存儲(chǔ)和密碼處理裝置并通過移動(dòng)終端將密碼處理后的數(shù)據(jù)與Web應(yīng)用系統(tǒng)和/或?yàn)g覽器進(jìn)行交互,用戶無需使用專門的密碼硬件裝置�����,這對(duì)用戶而言�����,既操作使用方便���,又無需額外開銷,而且可在沒有USB接口的環(huán)境使用�。
【附圖說明】
[0020]圖1為本發(fā)明方法的示意圖。
【具體實(shí)施方式】
[0021]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的描述����。
[0022]實(shí)施本發(fā)明的一個(gè)關(guān)鍵部分是密碼處理程序與Web應(yīng)用系統(tǒng)之間如何傳遞會(huì)話標(biāo)識(shí)數(shù)據(jù)。目前的Web應(yīng)用系統(tǒng)傳遞會(huì)話標(biāo)識(shí)數(shù)據(jù)的方式包括Cookie�、URL編碼、隱藏Form表單(Hidden Form)�����。所謂Cookie方式,即Web應(yīng)用系統(tǒng)講會(huì)話標(biāo)識(shí)符以作為Cookie設(shè)置在用戶端瀏覽器�����,當(dāng)用戶瀏覽器每次提交HTTP請(qǐng)求時(shí)會(huì)自動(dòng)將作為Cookie的標(biāo)識(shí)符一并提交����。所謂URL編碼方式,即Web應(yīng)用系統(tǒng)在動(dòng)態(tài)生成的頁面時(shí)將會(huì)話標(biāo)識(shí)別符編碼在訪問Web應(yīng)用系統(tǒng)的URL鏈接中����;而URL編碼方式又分有兩種方式:一是將會(huì)話標(biāo)識(shí)符以虛擬路徑的方式編碼在URL的路徑中,二是將會(huì)話標(biāo)識(shí)符以Query String方式編碼在URL中����。所謂隱藏Form表單方式,即Web應(yīng)用系統(tǒng)將會(huì)話標(biāo)識(shí)符設(shè)置在頁面的隱藏Form表單中��,在用戶通過瀏覽器提交訪問請(qǐng)求時(shí)會(huì)話標(biāo)識(shí)符會(huì)作為Form表單數(shù)據(jù)被提交到Web應(yīng)用系統(tǒng)��。
[0023]若會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式是通過Cookie���,即Web應(yīng)用系統(tǒng)同瀏覽器之間通過Cookie傳遞會(huì)話標(biāo)識(shí)符����,則密碼處理程序提交會(huì)話標(biāo)識(shí)數(shù)據(jù)的實(shí)施方案如下:
[0024]瀏覽器或?yàn)g覽器調(diào)用的本地API通過條碼傳遞的會(huì)話標(biāo)識(shí)數(shù)據(jù)是一個(gè)以名字=值(Name = Value)形式出現(xiàn)的數(shù)據(jù),其中��,名字是會(huì)話標(biāo)識(shí)符采用Cookie傳遞時(shí)采用的Cookie名字���,值是會(huì)話標(biāo)識(shí)符存放在Cookie中的數(shù)據(jù)���,而密碼處理程序在將密碼處理后的數(shù)據(jù)提交到Web應(yīng)用系統(tǒng)的HTTP請(qǐng)求中,直接將名字=值出現(xiàn)的會(huì)話標(biāo)識(shí)數(shù)據(jù)放在HTTP請(qǐng)求的Cookie頭部中����。
[0025]若會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式是通過URL的虛擬路徑,即Web應(yīng)用系統(tǒng)同瀏覽器之間通過URL的虛擬路徑傳遞會(huì)話標(biāo)識(shí)符����,則密碼處理程序提交會(huì)話標(biāo)識(shí)數(shù)據(jù)的實(shí)施方案如下:
[0026]瀏覽器或?yàn)g覽器調(diào)用的本地API通過條碼傳遞的會(huì)話標(biāo)識(shí)數(shù)據(jù)是數(shù)據(jù)提交地址的一部分(即會(huì)話標(biāo)識(shí)數(shù)據(jù)是數(shù)據(jù)提交地址的URL路徑中的一部分)���,密碼處理程序無需處理會(huì)話標(biāo)識(shí)數(shù)據(jù)��。
[0027]若會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式是通過URL的Query String�����,即Web應(yīng)用系統(tǒng)同瀏覽器之間通過URL的Query String傳遞會(huì)話標(biāo)識(shí)符��,則密碼處理程序提交會(huì)話標(biāo)識(shí)數(shù)據(jù)的實(shí)施方案如下:
[0028]瀏覽器或?yàn)g覽器調(diào)用的本地API通過條碼顯示的會(huì)話標(biāo)識(shí)數(shù)據(jù)以Query String的方式編碼在數(shù)據(jù)提交地址中(即會(huì)話標(biāo)識(shí)數(shù)據(jù)是數(shù)據(jù)提交地址的一部分)���,密碼處理程序無需處理會(huì)話標(biāo)識(shí)數(shù)據(jù)����。
[0029]若會(huì)話標(biāo)識(shí)數(shù)據(jù)提交方式是通過URL的隱藏Form表單�����,即Web應(yīng)用系統(tǒng)同瀏覽器之間通過隱藏Form表單傳遞會(huì)話標(biāo)識(shí)符���,則密碼處理程序提交會(huì)話標(biāo)識(shí)數(shù)據(jù)的實(shí)施方案如下: