一種軟密鑰系統(tǒng)及實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于智能移動終端或PC的軟密鑰的設(shè)計方法,適用于金融,交通、商業(yè)、酒店、旅游、航空等領(lǐng)域,或者其他需要使用加密和認(rèn)證的領(lǐng)域。
【背景技術(shù)】
[0002]隨著經(jīng)濟(jì)的不斷發(fā)展,科技的不斷進(jìn)步,特別是IC行業(yè)的飛速發(fā)展和通訊技術(shù)的日新月異,互聯(lián)網(wǎng)技術(shù)得到極大的普及,遍及人們?nèi)粘9ぷ骱蜕畹母鱾€領(lǐng)域,于此同時互聯(lián)網(wǎng)金融服務(wù)得到了爆炸式的發(fā)展。與此同時,不得不面臨一個新的問題,如何確?;ヂ?lián)網(wǎng)信息的安全,特別是涉及資金以及個人信息的互聯(lián)網(wǎng)金融安全?;ヂ?lián)網(wǎng)是一個開放的網(wǎng)絡(luò),通過普通的技術(shù)手段,很容易獲得個人信息以及資金信息。對于新興的移動互聯(lián)網(wǎng),這個問題更加明顯,因?yàn)橐苿踊ヂ?lián)網(wǎng)不可能采用專線的方式與金融機(jī)構(gòu)對接,現(xiàn)有的加密方式基本上都是軟件加密,終端實(shí)際應(yīng)用中,會被無意中植入大量的APP(Applicat1n第三方應(yīng)用軟件),這些APP的安全等級良莠不齊,很容易被木馬病毒利用,從而獲取個人信息以及資金信息,并且有可能會出現(xiàn)一些資金竊取和泄漏隱私行為。
[0003]目前在互聯(lián)網(wǎng)金融領(lǐng)域,保護(hù)個人信息和資金安全最常用最有效的方法是使用U盾,即存有客戶密鑰證書的USBkey,客戶密鑰證書內(nèi)容包括證書編號,有效期,密鑰,加解密算法描述,數(shù)字簽名算法描述以及證書的數(shù)字簽名認(rèn)證等。USBkey除了存放客戶密鑰證書,還具有加、解密,數(shù)字簽名和驗(yàn)簽功能。由于USBkey的密鑰只能在USBkey內(nèi)部使用,不能被外部設(shè)備讀取,因此具有很好的安全性和保密性。但是傳統(tǒng)的U盾,即USB硬Key在新興的基于個人智能移動終端的互聯(lián)網(wǎng)金融業(yè)務(wù)中應(yīng)用很少,主要原因是在移動互聯(lián)網(wǎng)場景下,U盾的攜帶和使用非常不便,用戶使用手機(jī)進(jìn)行線下或線上的交易時,需要同時插USBkey,很不方便。但如果完全使用軟件對互聯(lián)網(wǎng)傳遞的信息進(jìn)行加、解密和數(shù)字簽名與簽名驗(yàn)證存在的最大問題是密鑰如何存放,一旦密鑰被木馬之類的程序竊取,信息的安全性就無從談起了。
【發(fā)明內(nèi)容】
[0004]基于上述需求,本發(fā)明提出了一種軟密鑰系統(tǒng)及實(shí)現(xiàn)方法,通過軟件實(shí)現(xiàn)U盾功能同時又保證客戶密鑰證書內(nèi)容安全。
[0005]為達(dá)上述的目的及功效,本發(fā)明采用以下技術(shù)內(nèi)容:
[0006]一種軟密鑰系統(tǒng),包括如下功能組塊:
[0007]一個密鑰證書管理子系統(tǒng):負(fù)責(zé)下載、隨機(jī)存儲和讀取用戶密鑰證書,其中用戶密鑰證書存放用戶在密鑰系統(tǒng)中的標(biāo)識、密鑰、有效期、加解密算法描述、數(shù)字簽名算法描述以及證書的數(shù)字簽名認(rèn)證;用戶密鑰證書使用口令或者指紋加密;所述密鑰證書管理子系統(tǒng)包括密鑰證書保密存儲模塊和密鑰證書讀取模塊;
[0008]所述密鑰證書保密存儲模塊:負(fù)責(zé)在應(yīng)用程序下載用戶密鑰證書之后將證書保密存儲;包括將一個完整的證書文件拆分為多個文件,并在每個文件的頭部和尾部插入隨機(jī)數(shù)量的隨機(jī)比特做為干擾,將上述文件隨機(jī)存放于flash或磁盤的多個目錄中;
[0009]所述密鑰證書讀取模塊:負(fù)責(zé)在上層應(yīng)用需要調(diào)用用戶密鑰證書進(jìn)行加、解密和數(shù)字簽名產(chǎn)生和驗(yàn)證時讀取保密存儲的密鑰證書;
[0010]一個密鑰子系統(tǒng):負(fù)責(zé)對口令或者指紋加密的密鑰證書使用用戶口令或者指紋解密、驗(yàn)證密鑰證書數(shù)字簽名、提取密鑰證書的私鑰、獲得通信對方的公鑰;
[0011]一個加解密算法子系統(tǒng):負(fù)責(zé)根據(jù)密鑰子系統(tǒng)輸出的本方私鑰和對方公鑰,實(shí)現(xiàn)保密通信中的各種非對稱加、解密和數(shù)字簽名、驗(yàn)簽工作;一旦本方私鑰完成使用,立刻在存放私鑰內(nèi)存中寫入隨機(jī)數(shù)并將其釋放。
[0012]本發(fā)明另采用以下技術(shù)內(nèi)容來達(dá)到上述的目的及功效:
[0013]一種軟密鑰的實(shí)現(xiàn)方法,包括如下步驟:
[0014]I)對密鑰證書進(jìn)行保密存儲,包括步驟1-1?1-12 ;1_1)讀取上層應(yīng)用程序提供的口令或者指紋加密后的用戶密鑰證書;1_2)使用操作系統(tǒng)自帶的隨機(jī)數(shù)發(fā)生器產(chǎn)生一個隨機(jī)數(shù),作為模塊內(nèi)部偽隨機(jī)序列的種子;1-3)將用戶密鑰證書文件拆分成相等長度的N個文件,N取5?10 ;1-4)使用模塊內(nèi)部偽隨機(jī)序列和步驟1-2中得到的種子,產(chǎn)生2XN個偽隨機(jī)數(shù),將2XN個偽隨機(jī)數(shù)對MaxRandByteLength取模得到在N個密鑰證書文件內(nèi)容的頭和尾插入用于干擾的隨機(jī)比特數(shù)量RandByteLength[2N] ;1_5)使用操作系統(tǒng)自帶的隨機(jī)數(shù)發(fā)生器,隨機(jī)產(chǎn)生2 X N組長度分別為RandByteLength [η] (η= I?2Ν)的隨機(jī)Byte ;1-6)將2ΧΝ組隨機(jī)Byte插入N個用戶密鑰證書文件的頭和尾作為干擾比特;1_7)使用模塊內(nèi)部偽隨機(jī)序列產(chǎn)生N個隨機(jī)數(shù)作為隨機(jī)密鑰,將加干擾比特后的N個用戶密鑰證書文件使用N個隨密鑰進(jìn)行加密;1-8)使用模塊內(nèi)部偽隨機(jī)序列,再產(chǎn)生N個隨機(jī)數(shù),將這N個隨機(jī)數(shù)映射為字母和數(shù)字,將這N組隨機(jī)字母與數(shù)字的組合作為N個戶密鑰證書文件的文件名;1_9)收集可存放N個加擾后的密鑰證書文件的目錄,搜索操作系統(tǒng)目錄格式,找到系統(tǒng)目錄所在位置;1_10)使用模塊內(nèi)部偽隨機(jī)序列,再產(chǎn)生N個隨機(jī)數(shù),將這N個隨機(jī)數(shù)映射為N個文件存放目錄,這些文件存放目錄取自步驟1-9 ;1-11)將N個加干擾比特和加密后的密鑰證書文件使用步驟1-8產(chǎn)生的隨機(jī)文件名依次命名,并根據(jù)步驟1-10產(chǎn)生的路徑將這些證書文件依次存放;1_12)將步驟1-2得到的內(nèi)部偽隨機(jī)序列種子使用用戶口令或者指紋加密后以文件形式保存在本地目錄;
[0015]2)對密鑰證書進(jìn)行讀取,包括步驟2-1?2-9 ;2_1)使用用戶口令或者指紋解密本地存儲的偽隨機(jī)序列種子;2-2)使用模塊內(nèi)部偽隨機(jī)序列和2-1中得到的種子,產(chǎn)生2 X N個偽隨機(jī)數(shù),將2 X N個偽隨機(jī)數(shù)對MaxRandByteLength取模得到在N個密鑰證書文件內(nèi)容的頭和尾插入的隨機(jī)干擾比特的數(shù)量RandByteLength[2N] ;2_3)使用模塊內(nèi)部偽隨機(jī)序列產(chǎn)生N個隨機(jī)數(shù)得到密鑰證書文件的加密密鑰;2-4)使用模塊內(nèi)部偽隨機(jī)序列產(chǎn)生N個隨機(jī)數(shù),映射字母和數(shù)字得到密鑰證書文件的文件名;2-5)使用模塊內(nèi)部偽隨機(jī)序列產(chǎn)生N個隨機(jī)數(shù),映射目錄得到密鑰證書文件的依次存放目錄;2-6)使用步驟2-4得到的密鑰證書文件名和步驟2-5得到的密鑰證書文件存放目錄讀出密鑰證書文件;2-7)使用步驟2-3得到密鑰對拆散的密鑰證書文件解密;2-8)使用步驟2-2得到RandByteLength [2N]去除拆散的密鑰證書文件中頭和尾的干擾比特;2-9)將拆散的密鑰證書復(fù)原提交給密鑰子系統(tǒng);
[0016]3)獲取密鑰,包括步驟3-1?3-3 ;3_1)使用用戶口令或者指紋解密密鑰證書;3-2)對密鑰證書數(shù)字簽名和有效期進(jìn)行驗(yàn)證;3-3)讀取本方的私鑰,如果是類似對稱或者非對稱系統(tǒng)的公、私鑰非對稱加密系統(tǒng),則根據(jù)通信對方的標(biāo)識從第三方CA中心或直接由公鑰矩陣映射得到對方的公鑰;
[0017]4)對密鑰進(jìn)行加解密:根據(jù)密鑰子系統(tǒng)輸出的本方私鑰和對方公鑰,實(shí)現(xiàn)保密通信中的非對稱加、解密和數(shù)字簽名、驗(yàn)簽工作;一旦本方私鑰完成使用,立刻在存放私鑰內(nèi)存中寫入隨機(jī)數(shù)并將其釋放。
[0018]本發(fā)明至少具有以下有益效果:
[0019]本發(fā)明在使用時作為后臺軟件運(yùn)行,相對常用的U盾“硬密鑰”,無需外插硬件,具有使用便捷,成本低廉的特點(diǎn),同時通過對密鑰證書的拆分、隨機(jī)加干擾比特、隨機(jī)加密和隨機(jī)命名存放的方法,確保了密鑰證書的安全性,通過使用防反匯編竊取源碼技術(shù)基本杜絕了在軟件運(yùn)行時通過內(nèi)存獲取密鑰證書中私鑰的可能性。
[0020]本發(fā)明的其他目的和優(yōu)點(diǎn)可以從本發(fā)明所揭露的技術(shù)內(nèi)容得到進(jìn)一步的了解。為了讓本發(fā)明的上述和其他目的、特征和優(yōu)點(diǎn)能更明顯易懂,下文特舉實(shí)施例并配合所附圖式作詳細(xì)說明如下。
【附圖說明】
[0021]圖1是本發(fā)明中的軟密鑰系統(tǒng)的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0022]本發(fā)明揭示之內(nèi)容涉及一種通過軟件實(shí)現(xiàn)的密鑰系統(tǒng),其主要技術(shù)特點(diǎn)在于,相對于U盾方案需要使用額外硬件即“硬密鑰”,本發(fā)明可稱為“軟密鑰”。本發(fā)明通過軟件實(shí)現(xiàn),成本低廉;使用時終端無需鏈接