[发明专利]一种基于移动终端的便携式密码装置

说明书

技术领域

本发明属于信息安全技术领域，特别是一种基于移动终端的便携式密码装置。

背景技术

使用过网银的人都有这样的经历，当你在银行开通一个网银帐户时,银行往往会给你一个通过USB接口向计算机提供密码功能的密码硬件,这个密码硬件被称为USB Key(USB密码钥匙)。USB Key中存放有公钥数字证书及其私钥，用于用户登录网银帐户时的身份鉴别和/或网上交易支付或资金转账的安全保护(支付或转账的签名)。USB Key的功能主要包括密钥生成、存储以及密码运算。

使用USB Key的主要原因一是保护密钥(私钥)的安全，将密钥保存在专门的密码硬件中可以有效防止他人对密钥的盗用；二是提供使用方便性，用户可随身携带USB Key在不同电脑、不同地方使用数字证书及其私钥实现安全保护功能。但USB Key在实际应用中的情况却与其提供使用方便性的初衷相违背，这是因为:一是用户可能需要携带和使用多个针对不同应用的、来自不同厂家的USB Key，比如由不同银行发放的、来自不同生产厂家的USB Key，且各种不同的USB Key有各自不同的管理和操作方式，这些给用户携带和使用USB Key带来很大的不便；二是USB Key很小，容易丢失，丢失后重新申请或购买USB Key比较麻烦；三是很多情况下用户需要支付费用购置USB Key(银行通常会为其网银客户免费发放USB Key，但丢失后补办通常需要交费；而对其他应用情况，用户通常是要为USB Key支付费用的)。正是这些不方便性的问题，导致用户宁可使用不安全的用户名、口令或者使用相对安全的动态口令包括手机短信，也不愿意使用安全的USB Key(我们知道动态口令包括手机短信实际上也不很安全，已出现了使用动态口令、手机短信的网游用户、银行用户帐户被盗用、造成重大损失的情况)。

除了USB Key外，还有一种便携式密码装置，密码智能卡(Smart Card)。密码智能卡的密码用途同USB Key一样，但需要使用专门的读卡设备，因此，除了在特别的场合使用外(如社保卡、医保卡、银行卡)，密码智能卡在日常生活和工作中使用得并不普遍，且密码智能卡在携带和使用过程中存在与USB Key同样的问题。

发明内容

本发明的目的是提供一种利用手机、平板电脑等移动终端实现密码功能的基于移动终端的便携式密码装置，以克服现有技术的不足。

为了实现上述目的，本发明所采用的技术方案是：

一种基于移动终端的便携式密码装置，所述密码装置包括如下组件:

移动终端:一种用户可随身携带的具有程序执行和计算能力的装置(如移动手机、平板电脑)；所述移动终端具有通过点对点(Point to Point)通信方式与其它计算装置(如台式计算机、便携式计算机)进行数据交换的能力；

密码功能程序：一个运行在移动终端上提供密码功能的软件组件；所述密码功能包括密钥管理和密码运算；

密码模块驻桩(Stub)：位于密码应用程序所在计算装置、向密码应用程序提供密码功能调用的软件组件(如动态库、COM组件等)；所述密码应用程序是使用密码功能实现安全目的的程序；所述密码模块驻桩所在计算装置不是密码功能程序运行所在的移动终端；所述密码模块驻桩所在计算装置具有通过点对点通信方式与密码功能程序运行所在移动终端进行数据交换的能力；

当一个密码应用程序(通过接口)调用所述密码模块驻桩的密码功能时，所述密码模块驻桩通过点对点通信方式将密码功能调用请求提交到所述密码功能程序，由密码功能程序完成密码功能调用的处理并将处理结果返回到密码模块驻桩，然后由密码模块驻桩将处理结果返回到密码应用程序。

针对移动终端的密码功能的一种安全保护方案是，在所述密码模块驻桩通过通信方式请求调用所述密码功能程序提供的密码功能前，密码模块驻桩与密码功能程序之间先建立安全会话，安全会话的建立需要获得密码功能程序所在移动终端的用户的参与或确认。

针对存储在所述移动终端中的密钥(包括私钥或对称密钥)的一种安全保护方案是，在所述密码模块驻桩通过通信方式调用所述密码功能程序提供的密码功能使用存储在移动终端中的一个密钥时(如使用私钥解密数据或进行数字签名)，所述密码功能程序提示用户一个计算装置中的密码应用程序正在使用密钥并通过让用户确认是否允许使用密钥的方式来对密钥进行安全保护(密码模块驻桩可以把密码应用程序的名字传递给密码功能程序，并显示给用户)。

针对密码功能的安全保护方案和针对密钥的安全保护方案可同时实施，也可以仅实施其中一个。