一種基于協(xié)商密鑰的數(shù)據(jù)處理方法
【專利摘要】本發(fā)明提供了一種基于協(xié)商密鑰的數(shù)據(jù)處理方法��,包括:手機安全模塊獲取用戶身份識別卡的標識信息計算得到用戶身份識別卡的公鑰�����,獲取第一隨機因子���,根據(jù)第一隨機因子生成手機安全模塊端的協(xié)商密鑰��,對第一隨機因子進行加密計算�、簽名后發(fā)送至用戶身份識別卡;用戶身份識別卡獲取手機安全模塊的標識信息計算得到手機安全模塊的公鑰����,對第一簽名信息進行驗證,對第一密文信息進行解密�����,獲得第一隨機因子�����,根據(jù)第一隨機因子生成用戶身份識別卡端的協(xié)商密鑰��;手機安全模塊與用戶身份識別卡之間通過手機安全模塊端的協(xié)商密鑰以及用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸�。通過本發(fā)明可以使手機能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機密信息傳輸。
【專利說明】一種基于協(xié)商密鑰的數(shù)據(jù)處理方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】��,尤其涉及一種基于協(xié)商密鑰的數(shù)據(jù)處理方法����。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的迅速發(fā)展給人們帶來的極大便利,人們越來越依賴于網(wǎng)絡(luò)進行各種活動����,例如網(wǎng)絡(luò)文件的傳輸����、網(wǎng)上銀行交易均已逐漸成為人們生活�、工作中不可缺少的一部分。由于網(wǎng)絡(luò)畢竟是一個虛擬的環(huán)境���,存在著太多不安全的因素�,而在網(wǎng)絡(luò)環(huán)境中必然會進行數(shù)據(jù)交互的網(wǎng)絡(luò)活動���,尤其是像網(wǎng)上銀行業(yè)務(wù)和機密信息的傳輸這樣的網(wǎng)絡(luò)活動,對網(wǎng)絡(luò)的安全提出了很高的要求�����,因此人們開始大力發(fā)展網(wǎng)絡(luò)信息安全技術(shù)��。
[0003]然而�����,隨著現(xiàn)今手機技術(shù)的飛速發(fā)展���,手機終端越來越多的被用來替代計算機使用�����,但現(xiàn)今并沒有一種手機終端能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機密信息傳輸?shù)慕鉀Q方案��。
【發(fā)明內(nèi)容】
[0004]本發(fā)明旨在解決手機終端無法安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機密信息傳輸?shù)膯栴}��。
[0005]本發(fā)明的主要目的在于提供一種基于協(xié)商密鑰的數(shù)據(jù)處理方法��。
[0006]為達到上述目的��,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的:
[0007]本發(fā)明一方面提供了一種基于協(xié)商密鑰的數(shù)據(jù)處理方法�,包括:
[0008]手機安全模塊獲取所述用戶身份識別卡的標識信息;
[0009]所述手機安全模塊在獲取到所述用戶身份識別卡的標識信息后���,根據(jù)預(yù)設(shè)的第一公鑰計算算法以及所述用戶身份識別卡的標識信息計算得到用戶身份識別卡的公鑰���;
[0010]所述手機安全模塊獲取第一隨機因子,根據(jù)所述第一隨機因子生成所述手機安全模塊端的協(xié)商密鑰��;
[0011]所述手機安全模塊在獲取到所述第一隨機因子后�,根據(jù)所述用戶身份識別卡的公鑰對所述第一隨機因子進行加密計算,獲得第一密文信息����;
[0012]所述手機安全模塊在獲得所述第一密文信息后�����,根據(jù)所述手機安全模塊的私鑰對所述第一密文信息進行簽名��,獲得第一簽名信息�����,并將所述第一簽名信息發(fā)送至用戶身份識別卡��;
[0013]所述用戶身份識別卡獲取所述手機安全模塊的標識信息�����;
[0014]所述用戶身份識別卡在獲取到所述手機安全模塊的標識信息后,根據(jù)預(yù)設(shè)的第二公鑰計算算法以及所述手機安全模塊的標識信息計算得到手機安全模塊的公鑰���;
[0015]所述用戶身份識別卡在接收到所述第一簽名信息后����,根據(jù)所述手機安全模塊的公鑰對所述第一簽名信息進行驗證���;
[0016]所述用戶身份識別卡在驗證所述第一簽名信息通過后���,根據(jù)所述用戶身份識別卡的私鑰對所述第一密文信息進行解密����,獲得所述第一隨機因子�;[0017]所述用戶身份識別卡根據(jù)所述第一隨機因子生成所述用戶身份識別卡端的協(xié)商密鑰;
[0018]所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸��。
[0019]本發(fā)明一方面還提供了一種基于協(xié)商密鑰的數(shù)據(jù)處理方法����,包括:
[0020]用戶身份識別卡獲取所述手機安全模塊的標識信息;
[0021]所述用戶身份識別卡在獲取到所述手機安全模塊的標識信息后�����,根據(jù)預(yù)設(shè)的第一公鑰計算算法以及所述手機安全模塊的標識信息計算得到手機安全模塊的公鑰���;
[0022]所述用戶身份識別卡獲取第一隨機因子����,根據(jù)所述第一隨機因子生成所述用戶身份識別卡端的協(xié)商密鑰����;
[0023]所述用戶身份識別卡在獲取到所述第一隨機因子后���,根據(jù)所述手機安全模塊的公鑰對所述第一隨機因子進行加密計算,獲得第一密文信息����;
[0024]所述用戶身份識別卡在獲得所述第一密文信息后,根據(jù)所述用戶身份識別卡的私鑰對所述第一密文信息進行簽名���,獲得第一簽名信息�����,并將所述第一簽名信息發(fā)送至手機安全模塊�����;
[0025]所述手機安全模塊獲取所述用戶身份識別卡的標識信息;
[0026]所述手機安全模塊在獲取到所述用戶身份識別卡的標識信息后�,根據(jù)預(yù)設(shè)的第二公鑰計算算法以及所述用戶身份識別卡的標識信息計算得到用戶身份識別卡的公鑰;
[0027]所述手機安全模塊在接收到所述第一簽名信息后��,根據(jù)所述用戶身份識別卡的公鑰對所述第一簽名信息進行驗證����;
[0028]所述手機安全模塊在驗證所述第一簽名信息通過后�����,根據(jù)手機安全模塊的私鑰對所述第一密文信息進行解密�����,獲得所述第一隨機因子���;
[0029]所述手機安全模塊根據(jù)所述第一隨機因子生成所述手機安全模塊端的協(xié)商密鑰;
[0030]所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸����。
[0031]此外,所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸?shù)牟襟E包括:
[0032]所述手機安全模塊獲取待傳輸信息�;
[0033]所述手機安全模塊通過所述手機安全模塊端的協(xié)商密鑰對所述待傳輸信息進行加密,獲得第二密文息�;
[0034]所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡,其中���,所述第一處理信息至少包括:所述第三密文信息����;
[0035]所述用戶身份識別卡接收到所述第一處理信息后,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第三密文信息進行解密�,獲得待傳輸信息;
[0036]所述用戶身份識別卡對所述待傳輸信息進行簽名����,獲得第二簽名信息。
[0037]此外����,所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸?shù)牟襟E包括:
[0038]所述手機安全模塊獲取待傳輸信息;[0039]所述手機安全模塊通過所述手機安全模塊端的協(xié)商密鑰對所述待傳輸信息進行校驗計算�����,獲得第一校驗信息����;
[0040]所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡,其中�,所述第一處理信息至少包括:所述待傳輸信息和所述第一校驗信息;
[0041]所述用戶身份識別卡接收到所述第一處理信息后����,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進行驗證�����;
[0042]如果所述用戶身份識別卡對所述第一處理信息驗證通過,則所述用戶身份識別卡對所述待傳輸信息進行簽名���,獲得第二簽名信息��。
[0043]此外���,所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸?shù)牟襟E包括:
[0044]所述手機安全模塊獲取待傳輸信息;
[0045]所述手機安全模塊通過所述手機安全模塊端的協(xié)商密鑰對所述待傳輸信息進行加密���,獲得第三密文信息�����,以及對所述第三密文信息進行校驗計算���,獲得第一校驗信息;
[0046]所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡��,其中��,所述第一處理信息至少包括:所述第三密文信息和所述第一校驗信息�;
[0047]所述用戶身份識別卡接收到所述第一處理信息后,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進行驗證;
[0048]如果所述用戶身份識別卡對所述第一處理信息驗證通過�,則所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第三密文信息進行解密,獲得所述待傳輸信息�����;
[0049]所述用戶身份識別卡對所述待傳輸信息進行簽名����,獲得第二簽名信息。
[0050]此外���,在所述用戶身份識別卡對所述待傳輸信息進行簽名����,獲得第二簽名信息的步驟之后���,所述方法還包括:
[0051]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進行加密�,獲得第四密文信息�;
[0052]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機安全模塊,其中�����,所述第二處理信息至少包括:所述第四密文信息;
[0053]所述手機安全模塊接收到所述第二處理信息后���,通過所述手機安全模塊端的協(xié)商密鑰對所述第四密文信息進行解密,獲得所述第二簽名信息��;
[0054]所述手機安全模塊至少將所述第二簽名信息外發(fā)�;或者
[0055]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進行校驗計算,獲得第二校驗信息����;
[0056]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機安全模塊,其中���,所述第二處理信息至少包括:所述第二簽名信息和所述第二校驗信息�����;
[0057]所述手機安全模塊接收到所述第二處理信息后����,通過所述手機安全模塊端的協(xié)商密鑰對所述第二處理信息進行驗證����;
[0058]如果所述手機安全模塊對所述第二處理信息驗證通過��,則所述手機安全模塊至少將所述第二簽名信息外發(fā)�;或者
[0059]所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進行加密���,獲得第四密文信息����,以及對所述第四密文信息進行校驗計算���,獲得第二校驗信息��;
[0060]所述用戶身份識別卡將第二處理信息發(fā)送至所述手機安全模塊�����,其中��,所述第二處理信息至少包括:所述第四密文信息和所述第二校驗信息��;
[0061]所述手機安全模塊接收到所述第二處理信息后��,通過所述手機安全模塊端的協(xié)商密鑰對所述第二處理信息進行驗證�����;
[0062]如果所述手機安全模塊對所述第二處理信息驗證通過�,則通過所述手機安全模塊端的協(xié)商密鑰對所述第四密文信息進行解密,獲得所述第二簽名信息���;
[0063]所述手機安全模塊至少將所述第二簽名信息外發(fā)。
[0064]此外��,在所述手機安全模塊獲取待傳輸信息的步驟之后���,在所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟之前�����,所述方法還包括:
[0065]所述手機安全模塊提取所述待傳輸信息中的關(guān)鍵信息����;
[0066]所述手機安全模塊控制手機顯示屏顯示所述提取出的待傳輸信息中的關(guān)鍵信息���;
[0067]所述手機安全模塊接收手機鍵盤輸出的確認指令����;
[0068]在所述手機安全模塊接收到所述手機鍵盤輸出的確認指令后��,執(zhí)行所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟。
[0069]此外����,所述手機安全模塊為獨立于手機CPU之外的模塊,或者所述手機安全模塊設(shè)置在所述手機CPU中的安全區(qū)域��。
[0070]此外���,所述第一公鑰計算算法與第二公鑰計算算法相同����。
[0071]此外���,如果解密所述第一密文信息錯誤�����,則返回第一錯誤信息�;
[0072]如果解密所述第二密文信息錯誤��,則返回第二錯誤信息�����。
[0073]由上述本發(fā)明提供的技術(shù)方案可以看出,通過本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法���,可以使手機能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機密信息傳輸����。
【專利附圖】
【附圖說明】
[0074]為了更清楚地說明本發(fā)明實施例的技術(shù)方案���,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域的普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他附圖�。
[0075]圖1為本發(fā)明實施例1提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖;
[0076]圖2為本發(fā)明實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖����。
【具體實施方式】
[0077]下面結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述�,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例�����,而不是全部的實施例��?��;诒景l(fā)明的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明的保護范圍。
[0078]在本發(fā)明的描述中��,需要理解的是���,術(shù)語“中心”�����、“縱向”��、“橫向”���、“上”���、“下”、“前”�����、“后”�、“左”、“右”�����、“豎直”��、“水平”��、“頂”��、“底”���、“內(nèi)”、“外”等指示的方位或位置關(guān)系為基于
附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明和簡化描述��,而不是指示或暗示所指的裝置或元件必須具有特定的方位�、以特定的方位構(gòu)造和操作,因此不能理解為對本發(fā)明的限制��。此外����,術(shù)語“第一”、“第二”僅用于描述目的�,而不能理解為指示或暗示相對重要性或數(shù)量或位置。
[0079]在本發(fā)明的描述中��,需要說明的是����,除非另有明確的規(guī)定和限定,術(shù)語“安裝”��、“相連”���、“連接”應(yīng)做廣義理解�����,例如�����,可以是固定連接�,也可以是可拆卸連接,或一體地連接�;可以是機械連接,也可以是電連接��;可以是直接相連�,也可以通過中間媒介間接相連,可以是兩個元件內(nèi)部的連通�����。對于本領(lǐng)域的普通技術(shù)人員而言�,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。
[0080]下面將結(jié)合附圖對本發(fā)明實施例作進一步地詳細描述�����。
[0081]本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法是基于手機實現(xiàn)的�����,該手機至少包括一個具備安全功能的用戶身份識別卡�����,以及一個手機安全模塊�。其中:
[0082]用戶身份識別卡可以為如下任一種卡片:SIM(Subscriber Identity Module,客戶識別模塊)卡、UIM(User Identity Module)卡�、USIM卡、PIM卡等��,以上的卡片均在現(xiàn)有的功能的基礎(chǔ)上����,拓展了安全功能,以配合本發(fā)明的手機安全模塊實現(xiàn)本發(fā)明的功能���。
[0083]該手機安全模塊可以設(shè)置為獨立于手機CPU之外的單獨的模塊�,也可以設(shè)置為在手機CPU中的安全區(qū)域��,以保證該手機安全模塊可以實現(xiàn)的獨立的安全功能���,例如:手機安全模塊可以獨立進行安全的身份認證功能�,以及進行顯示的安全控制�����,保證顯示內(nèi)容的真實性等。
[0084]此外�����,第三方CA可以對用戶身份識別卡頒發(fā)了經(jīng)過CA認證的證書����,同時第三方CA還可以對手機安全模塊也頒發(fā)了經(jīng)過CA認證的證書,以保證雙方可以驗證對方身份的合法性���,提高安全性��。
[0085]實施例1
[0086]圖1出示了本發(fā)明實施例1提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖�����,參見圖1�,本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法�,包括:
[0087]步驟S101,手機安全模塊獲取用戶身份識別卡的標識信息�;
[0088]具體的�,用戶身份識別卡的標識信息為唯一的標識信息�����,包括但不限于:用戶身份識別卡序列號��、用戶號碼�����、MAC地址等�。該用戶身份識別卡的標識信息可以為手機安全模塊預(yù)先存儲的����,也可以為用戶身份識別卡發(fā)送給手機安全模塊的。
[0089]手機安全模塊獲取到用戶身份識別卡的標識信息�,可以利用該唯一標識信息進行密鑰的生成。
[0090]步驟S102���,手機安全模塊在獲取到用戶身份識別卡的標識信息后�����,根據(jù)預(yù)設(shè)的第一公鑰計算算法以及用戶身份識別卡的標識信息計算得到用戶身份識別卡的公鑰��;
[0091]具體的���,手機安全模塊預(yù)設(shè)第一公鑰計算算法�����,可以根據(jù)用戶身份識別卡的標識信息計算出用戶身份識別卡的公鑰�,該用戶身份識別卡的公鑰可以用于后續(xù)與用戶身份識別卡進行交互時加密傳輸信息�,以便用戶身份識別卡的私鑰可以對加密信息進行解密。
[0092]步驟S103��,手機安全模塊獲取第一隨機因子�����,根據(jù)第一隨機因子生成手機安全模塊端的協(xié)商密鑰�����;[0093]具體的����,該第一隨機因子可以為該手機安全模塊直接生成的,或者該第一隨機因子可以為用戶身份識別卡生成�����,并發(fā)送給手機安全模塊而獲得的。當然���,通過手機安全模塊直接生成更加安全;通過用戶身份識別卡生成發(fā)送至手機安全模塊可以減少手機安全模塊的處理����,提高處理效率。該第一隨機因子可以為一個或一串隨機數(shù)����,或者可以為一個或一串隨機字符,或者一串隨機數(shù)和隨機組合的任意組合�����。
[0094]獲取該第一隨機因子后���,手機安全模塊可以使用該第一隨機因子生成協(xié)商密鑰����。當然�����,手機安全模塊使用該第一隨機因子生成協(xié)商密鑰的步驟,除了在獲取第一隨機因子之后執(zhí)行�,還可以在后續(xù)其他任一步驟的同時執(zhí)行,只要最終生成了手機安全模塊端的協(xié)商密鑰即可��。
[0095]步驟S104����,手機安全模塊在獲取到第一隨機因子后,根據(jù)用戶身份識別卡的公鑰對第一隨機因子進行加密計算��,獲得第一密文信息���;
[0096]具體的���,手機安全模塊根據(jù)計算出的用戶身份識別卡的公鑰對第一隨機因子進行加密,從而保證第一隨機因子傳輸?shù)陌踩浴?br>
[0097]步驟S105����,手機安全模塊在獲得第一密文信息后,根據(jù)手機安全模塊的私鑰對第一密文信息進行簽名�,獲得第一簽名信息,并將第一簽名信息發(fā)送至用戶身份識別卡�;
[0098]步驟S106,用戶身份識別卡獲取手機安全模塊的標識信息;
[0099]具體的���,手機安全模塊的標識信息為唯一的標識信息�,包括但不限于:手機CPU的序列號����、手機CPU的MAC地址等�。該手機安全模塊的標識信息可以為用戶身份識別卡預(yù)先存儲的,也可以為手機安全模塊發(fā)送給用戶身份識別卡的�。
[0100]用戶身份識別卡獲取到手機安全模塊的標識信息,可以利用該唯一標識信息進行手機安全模塊的公鑰的生成�����。
[0101]步驟S107���,用戶身份識別卡在獲取到手機安全模塊的標識信息后����,根據(jù)預(yù)設(shè)的第二公鑰計算算法以及手機安全模塊的標識信息計算得到手機安全模塊的公鑰�����;
[0102]具體的,用戶身份識別卡預(yù)設(shè)第二公鑰計算算法��,可以根據(jù)手機安全模塊的標識信息計算出手機安全模塊的公鑰���,該手機安全模塊的公鑰可以用于后續(xù)與手機安全模塊進行交互時加密傳輸信息��。
[0103]當然�����,該第二公鑰計算算法可以與第一公鑰計算算法相同�����,由此簡化處理流程�����;該第二公鑰計算算法也可以與第一公鑰計算算法不同��,由此防止暴力破解���,提高安全性。
[0104]步驟S108�,用戶身份識別卡在接收到第一簽名信息后����,根據(jù)手機安全模塊的公鑰對第一簽名信息進行驗證����;
[0105]具體的,用戶身份識別卡還使用生成的手機安全模塊的公鑰對第一簽名信息進行驗證���,保證信息傳輸?shù)陌踩院托畔碓吹暮戏ㄐ浴?br>
[0106]步驟S109����,用戶身份識別卡在驗證第一簽名信息通過后�,根據(jù)用戶身份識別卡的私鑰對第一密文信息進行解密�����,獲得第一隨機因子���;
[0107]具體的���,用戶身份識別卡中預(yù)設(shè)了用戶身份識別卡的私鑰,用戶身份識別卡可以根據(jù)用戶身份識別卡的私鑰解密手機安全模塊發(fā)送的第一密文信息���,獲得第一隨機因子�����,由此可以保證第一隨機因子傳輸?shù)陌踩?�,在用戶身份識別卡中獲取到的為真實的第一隨機因子�。
[0108]此外,如果此時解密第一密文信息錯誤�,則返回第一錯誤信息,并且重新執(zhí)行步驟S101�,以便重新獲取隨機因子,當然���,重新執(zhí)行步驟SlOl后���,該該隨機因子可以為第一隨機因子,也可以為另一個不同于第一隨機因子的隨機因子�����,以提高安全性�,防止重放攻擊。
[0109]步驟S110��,用戶身份識別卡根據(jù)第一隨機因子生成用戶身份識別卡端的協(xié)商密鑰;
[0110]具體的����,用戶身份識別卡生成協(xié)商密鑰的方式應(yīng)與手機安全模塊生成協(xié)商密鑰的方式相同,以保證用戶身份識別卡與手機安全模塊之間可以通過該協(xié)商密鑰進行信息交互��。
[0111]步驟S111�����,手機安全模塊與用戶身份識別卡之間通過手機安全模塊端的協(xié)商密鑰以及用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸�����。
[0112]具體的�����,在手機安全模塊生成了手機安全模塊端的協(xié)商密鑰��,以及用戶身份識別卡生成了用戶身份識別卡端的協(xié)商密鑰后���,手機安全模塊與用戶身份識別卡之間通過兩端的協(xié)商密鑰進行信息的安全傳輸。
[0113]此時�����,可以通過如下方式之一實現(xiàn)信息的安全傳輸:
[0114]步驟SI 12a,手機安全模塊獲取待傳輸信息�����;
[0115]具體的�����,手機安全模塊獲取待傳輸信息���,該待傳輸信息可以為需要安全傳輸?shù)臋C密信息�����,也可以為網(wǎng)銀中待交易的交易信息�。
[0116]如果本發(fā)明應(yīng)用于機密信息安全傳輸中��,則待傳輸信息可以為手機需要輸出的機密信息���,例如:手機從手機的安全存儲區(qū)域內(nèi)獲取的機密信息等��;
[0117]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中����,則待傳輸信息可以為待執(zhí)行交易的交易信息,例如:手機通過網(wǎng)上銀行客戶端獲取到的交易賬號�����、交易金額等交易信息����。
[0118]步驟S113a,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加密�����,獲得第三密文信息��;
[0119]具體的���,手機安全模塊通過其生成的手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加密��,從而使得待傳輸信息進行不透明傳輸,保證傳輸?shù)陌踩?�。此時���,協(xié)商密鑰至少包括一個加密密鑰��。
[0120]步驟S114a���,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡�,其中����,第一處理信息至少包括:第三密文信息;
[0121]步驟S115a����,用戶身份識別卡接收到第一處理信息后,通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進行解密�����,獲得待傳輸信息���;
[0122]具體的�,由于待傳輸信息通過手機安全模塊端的協(xié)商密鑰進行了加密���,此時�,用戶身份識別卡接收到第三密文信息后,通過用戶身份識別卡中的協(xié)商密鑰進行解密����,從而獲得真實的待傳輸信息。
[0123]步驟S116a��,用戶身份識別卡對待傳輸信息進行簽名����,獲得第二簽名信息;
[0124]具體的����,用戶身份識別卡在獲得了真實的待傳輸信息后,對該待傳輸信息進行簽名�����,以保證待傳輸信息的完整性和不可抵賴性�。
[0125]步驟S117a,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密�����,獲得第四密文信息����;
[0126]具體的,用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密��,從而保證第二簽名信息的不透明傳輸�,提高安全性。[0127]步驟S118a����,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊,其中��,第二處理信息至少包括:第四密文信息���;
[0128]步驟S119a����,手機安全模塊接收到第二處理信息后�,通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密,獲得第二簽名信息�����;
[0129]具體的,手機安全模塊接收到第四密文信息后���,還通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密��,獲得真實的第二簽名信息�����。由此�����,手機安全模塊與用戶身份識別卡之間完成了一次安全的信息交互����。
[0130]步驟S120a�����,手機安全模塊至少將第二簽名信息外發(fā)���。
[0131]具體的���,手機安全模塊將對待傳輸信息進行了簽名后的第二簽名信息外發(fā)��。
[0132]如果本發(fā)明應(yīng)用于機密信息安全傳輸中��,則將簽名后的機密信息外發(fā)至機密信息提取的裝置中等���;
[0133]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中���,則將簽名后的交易信息發(fā)送至網(wǎng)上銀行服務(wù)
-nfr ο
[0134]方式二:
[0135]步驟SI 12b�,手機安全模塊獲取待傳輸信息��;
[0136]具體的�,手機安全模塊獲取待傳輸信息,該待傳輸信息可以為需要安全傳輸?shù)臋C密信息����,也可以為網(wǎng)銀中待交易的交易信息。
[0137]如果本發(fā)明應(yīng)用于機密信息安全傳輸中����,則待傳輸信息可以為手機需要輸出的機密信息,例如:手機從手機的安全存儲區(qū)域內(nèi)獲取的機密信息等�;
[0138]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中,則待傳輸信息可以為待執(zhí)行交易的交易信息�����,例如:手機通過網(wǎng)上銀行客戶端獲取到的交易賬號、交易金額等交易信息���。
[0139]步驟S113b�,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行校驗計算�,獲得第一校驗信息;
[0140]具體的�,手機安全模塊通過其生成的手機安全模塊端的協(xié)商密鑰對待傳輸信息進行校驗計算,從而保證待傳輸信息的完整性�����。此時�����,協(xié)商密鑰至少包括一個校驗計算密鑰���,該校驗計算可以為計算MAC值等任一校驗方式�。
[0141]步驟S114b�����,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡,其中�,第一處理信息至少包括:待傳輸信息和第一校驗信息;
[0142]步驟S115b�����,用戶身份識別卡接收到第一處理信息后�,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進行驗證;
[0143]具體的����,由于待傳輸信息通過手機安全模塊端的協(xié)商密鑰進行了校驗計算��,此時���,用戶身份識別卡接收到待傳輸信息和第一校驗信息后���,通過用戶身份識別卡中的協(xié)商密鑰對待傳輸信息同樣進行校驗計算,并與第一校驗信息進行比較��,并在比較一致后�����,驗證通過,從而確保獲得的待傳輸信息未經(jīng)篡改�。
[0144]步驟S116b,如果用戶身份識別卡對第一處理信息驗證通過����,則用戶身份識別卡對待傳輸信息進行簽名,獲得第二簽名信息���;
[0145]具體的��,用戶身份識別卡在獲得了真實的待傳輸信息后�����,對該待傳輸信息進行簽名���,以保證待傳輸信息的完整性和不可抵賴性。
[0146]步驟S117b�,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行校驗計算,獲得第二校驗信息�����;
[0147]具體的��,用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行校驗計算,從而保證第二簽名信息的完整性�。
[0148]步驟S118b,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊�,其中,第二處理信息至少包括:第二簽名信息和第二校驗信息��;
[0149]步驟S119b���,手機安全模塊接收到第二處理信息后�����,通過手機安全模塊端的協(xié)商密鑰對第二處理信息進行驗證;
[0150]具體的�����,手機安全模塊接收到第二簽名信息和第二校驗信息后���,還通過手機安全模塊端的協(xié)商密鑰對第二簽名信息進行校驗計算�,并與第二校驗信息進行比較�����,并在比較一致后,驗證通過���,從而確保獲得的第二簽名信息未經(jīng)篡改�����。由此�����,手機安全模塊與用戶身份識別卡之間完成了 一次安全的信息交互�����。
[0151]步驟S120b���,如果手機安全模塊對第二處理信息驗證通過,則手機安全模塊至少將第二簽名信息外發(fā)�����。
[0152]具體的��,手機安全模塊將對待傳輸信息進行了簽名后的第二簽名信息外發(fā)。
[0153]如果本發(fā)明應(yīng)用于機密信息安全傳輸中��,則將簽名后的機密信息外發(fā)至機密信息提取的裝置中等����;
[0154]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中,則將簽名后的交易信息發(fā)送至網(wǎng)上銀行服務(wù)
翌坐-nfr ο
[0155]方式三:
[0156]步驟SI 12c�,手機安全模塊獲取待傳輸信息;
[0157]具體的���,手機安全模塊獲取待傳輸信息�,該待傳輸信息可以為需要安全傳輸?shù)臋C密信息���,也可以為網(wǎng)銀中待交易的交易信息�。
[0158]如果本發(fā)明應(yīng)用于機密信息安全傳輸中�,則待傳輸信息可以為手機需要輸出的機密信息,例如:手機從手機的安全存儲區(qū)域內(nèi)獲取的機密信息等���;
[0159]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中,則待傳輸信息可以為待執(zhí)行交易的交易信息��,例如:手機通過網(wǎng)上銀行客戶端獲取到的交易賬號�、交易金額等交易信息。
[0160]步驟S113C,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加密�����,獲得第三密文信息���,以及對第三密文信息進行校驗計算����,獲得第一校驗信息����;
[0161]具體的,手機安全模塊通過其生成的手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加密����,從而使得待傳輸信息進行不透明傳輸,保證傳輸?shù)陌踩浴?br>
[0162]手機安全模塊通過其生成的手機安全模塊端的協(xié)商密鑰對第三密文信息進行校驗計算�,從而保證第三密文信息的完整性。該校驗計算可以為計算MAC值等任一校驗方式�。
[0163]此時,協(xié)商密鑰至少包括一個加密密鑰一個校驗計算密鑰����。
[0164]步驟S114c����,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡��,其中���,第一處理信息至少包括:第三密文信息和第一校驗信息�����;
[0165]步驟S115c����,用戶身份識別卡接收到第一處理信息后��,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進行驗證���;
[0166]具體的�����,由于第三密文信息通過手機安全模塊端的協(xié)商密鑰進行了校驗計算,此時��,用戶身份識別卡接收到第三密文信息和第一校驗信息后,通過用戶身份識別卡中的協(xié)商密鑰對第三密文信息同樣進行校驗計算����,并與第一校驗信息進行比較,并在比較一致后�,驗證通過,從而確保獲得的第三密文信息未經(jīng)篡改�����。
[0167]步驟S116C��,如果用戶身份識別卡對第一處理信息驗證通過�����,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進行解密���,獲得待傳輸信息��;
[0168]具體的��,由于待傳輸信息通過手機安全模塊端的協(xié)商密鑰進行了加密���,此時���,用戶身份識別卡接收到真實的第三密文信息后,通過用戶身份識別卡中的協(xié)商密鑰進行解密����,從而獲得真實的待傳輸信息。
[0169]步驟S117C�,用戶身份識別卡對待傳輸信息進行簽名,獲得第二簽名信息�����;
[0170]具體的�,用戶身份識別卡在獲得了真實的待傳輸信息后,對該待傳輸信息進行簽名��,以保證待傳輸信息的完整性和不可抵賴性���。
[0171]步驟S118c�����,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密�����,獲得第四密文信息���,以及對第四密文信息進行校驗計算,獲得第二校驗信息��;
[0172]具體的�,用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密,從而保證第二簽名信息的不透明傳輸�,提高安全性。
[0173]用戶身份識別卡還通過用戶身份識別卡端的協(xié)商密鑰對第四密文信息進行校驗計算�,從而保證第四密文信息的完整性。
[0174]步驟S119C����,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊,其中����,第二處理信息至少包括:第四密文信息和第二校驗信息;
[0175]步驟S120c���,手機安全模塊接收到第二處理信息后���,通過手機安全模塊端的協(xié)商密鑰對第二處理信息進行驗證�����;
[0176]具體的��,手機安全模塊接收到第四密文信息和第二校驗信息后�����,還通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行校驗計算����,并與第二校驗信息進行比較���,并在比較一致后�����,驗證通過����,從而確保獲得的第四密文信息未經(jīng)篡改�����。
[0177]步驟S121C,如果手機安全模塊對第二處理信息驗證通過���,則通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密��,獲得第二簽名信息;
[0178]具體的�����,手機安全模塊在獲得了真實的第四密文信息后����,還通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密,獲得真實的第二簽名信息�。
[0179]由此,手機安全模塊與用戶身份識別卡之間完成了一次安全的信息交互�。
[0180]步驟S122C,手機安全模塊至少將第二簽名信息外發(fā)����。
[0181]具體的,手機安全模塊將對待傳輸信息進行了簽名后的第二簽名信息外發(fā)�。
[0182]如果本發(fā)明應(yīng)用于機密信息安全傳輸中,則將簽名后的機密信息外發(fā)至機密信息提取的裝置中等�;
[0183]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中�,則將簽名后的交易信息發(fā)送至網(wǎng)上銀行服務(wù)
翌坐-nfr ο
[0184]方式四:
[0185]步驟SI 12d����,手機安全模塊獲取待傳輸信息;
[0186]步驟S113d�����,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加密�,獲得第三密文信息,以及對第三密文信息進行校驗計算�����,獲得第一校驗信息��;
[0187]步驟S114d�,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡,其中��,第一處理信息至少包括:第三密文信息和第一校驗信息��;
[0188]步驟S115d���,用戶身份識別卡接收到第一處理信息后���,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進行驗證���;
[0189]步驟S116d,如果用戶身份識別卡對第一處理信息驗證通過���,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進行解密��,獲得待傳輸信息;
[0190]步驟S117d�����,用戶身份識別卡對待傳輸信息進行簽名,獲得第二簽名信息;
[0191]步驟S118d�����,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密�����,獲得第四密文信息����;
[0192]步驟S119d,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊��,其中���,第二處理信息至少包括:第四密文信息�����;
[0193]步驟S120d��,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密����,獲得第二簽名信息�����;
[0194]步驟S121d��,手機安全模塊至少將第二簽名信息外發(fā)�����。
[0195]方式五:
[0196]步驟SI 12e,手機安全模塊獲取待傳輸信息����;
[0197]步驟S113e,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加密����,獲得第三密文信息,以及對第三密文信息進行校驗計算���,獲得第一校驗信息�����;
[0198]步驟S114e,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡��,其中�,第一處理信息至少包括:第三密文信息和第一校驗信息;
[0199]步驟S115e��,用戶身份識別卡接收到第一處理信息后����,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進行驗證����;
[0200]步驟S116e�,如果用戶身份識別卡對第一處理信息驗證通過,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進行解密�����,獲得待傳輸信息���;
[0201]步驟S117e�,用戶身份識別卡對待傳輸信息進行簽名���,獲得第二簽名信息�����;
[0202]步驟S118e��,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行校驗計算�,獲得第二校驗信息�;
[0203]步驟S119e,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊����,其中��,第二處理信息至少包括:第二簽名信息和第二校驗信息�;
[0204]步驟S120e���,手機安全模塊接收到第二處理信息后���,通過手機安全模塊端的協(xié)商密鑰對第二處理信息進行驗證;
[0205]步驟S121e���,如果手機安全模塊對第二處理信息驗證通過�,則手機安全模塊至少將第二簽名信息外發(fā)��。
[0206]方式六:
[0207]步驟S112f����,手機安全模塊獲取待傳輸信息��;
[0208]步驟S113f�����,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加
密,獲得第三密文信息���;
[0209]步驟S114f�����,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡����,其中�����,第一處理信息至少包括:第三密文信息�;
[0210]步驟S115f,用戶身份識別卡接收到第一處理信息后���,通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進行解密�,獲得待傳輸信息����;
[0211]步驟S116f,用戶身份識別卡對待傳輸信息進行簽名����,獲得第二簽名信息��;
[0212]步驟S117f���,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密,獲得第四密文信息��,以及對第四密文信息進行校驗計算���,獲得第一校驗信息�;
[0213]步驟S118f���,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊�,其中�,第二處理信息至少包括:第四密文信息和第一校驗信息;
[0214]步驟S119f���,手機安全模塊接收到第二處理信息后����,通過手機安全模塊端的協(xié)商密鑰對第二處理信息進行驗證�����;
[0215]步驟S120f���,如果手機安全模塊對第二處理信息驗證通過��,則通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密���,獲得第二簽名信息;
[0216]步驟S121f����,手機安全模塊至少將第二簽名信息外發(fā)。
[0217]方式七:
[0218]步驟SI 12g����,手機安全模塊獲取待傳輸信息;
[0219]步驟S113g����,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行校驗計算,獲得第一校驗信息�����;
[0220]步驟S114g,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡���,其中�,第一處理信息至少包括:待傳輸信息和第一校驗信息��;
[0221]步驟S115g��,用戶身份識別卡接收到第一處理信息后�,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進行驗證;
[0222]步驟S116g���,如果用戶身份識別卡對第一處理信息驗證通過�����,則用戶身份識別卡對待傳輸信息進行簽名�����,獲得第二簽名信息��;
[0223]步驟S117g�,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密,獲得第四密文信息��,以及對第四密文信息進行校驗計算����,獲得第二校驗信息����;
[0224]步驟S118g,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊�����,其中����,第二處理信息至少包括:第四密文信息和第二校驗信息;
[0225]步驟S119g���,手機安全模塊接收到第二處理信息后��,通過手機安全模塊端的協(xié)商密鑰對第二處理信息進行驗證�;
[0226]步驟S120g����,如果手機安全模塊對第二處理信息驗證通過����,則通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密�����,獲得第二簽名信息�;
[0227]步驟S121g,手機安全模塊至少將第二簽名信息外發(fā)��。
[0228]方式八:
[0229]步驟S112h�,手機安全模塊獲取待傳輸信息;
[0230]步驟S113h�����,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加
密�,獲得第三密文信息;
[0231]步驟S114h�����,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡����,其中����,第一處理信息至少包括:第三密文信息���;
[0232]步驟S115h�,用戶身份識別卡接收到第一處理信息后���,通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進行解密,獲得待傳輸信息�;
[0233]步驟S116h,用戶身份識別卡對待傳輸信息進行簽名��,獲得第二簽名信息����;[0234]步驟S117h,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行校驗計算����,獲得第一校驗信息;
[0235]步驟S118h����,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊����,其中����,第二處理信息至少包括:第二簽名信息和第一校驗信息;
[0236]步驟S119h���,手機安全模塊接收到第二處理信息后���,通過手機安全模塊端的協(xié)商密鑰對第二處理信息進行驗證;
[0237]步驟S120h����,如果手機安全模塊對第二處理信息驗證通過,則手機安全模塊至少將第二簽名信息外發(fā)��。
[0238]方式九:
[0239]步驟SI 12i����,手機安全模塊獲取待傳輸信息;
[0240]步驟S113i���,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對待傳輸信息進行加密���,獲得第三密文信息���,以及對第三密文信息進行校驗計算,獲得第一校驗信息��;
[0241]步驟S114i�����,手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡�,其中��,第一處理信息至少包括:第三密文信息和第一校驗信息����;
[0242]步驟S115i,用戶身份識別卡接收到第一處理信息后�,通過用戶身份識別卡端的協(xié)商密鑰對第一處理信息進行驗證;
[0243]步驟S116i���,如果用戶身份識別卡對第一處理信息驗證通過����,則用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第三密文信息進行解密,獲得待傳輸信息���;
[0244]步驟S117i����,用戶身份識別卡對待傳輸信息進行簽名����,獲得第二簽名信息;
[0245]步驟S118i��,用戶身份識別卡通過用戶身份識別卡端的協(xié)商密鑰對第二簽名信息進行加密�����,獲得第四密文信息���;
[0246]步驟S119i�����,用戶身份識別卡將第二處理信息發(fā)送至手機安全模塊��,其中��,第二處理信息至少包括:第四密文信息���;
[0247]步驟S120i�,手機安全模塊通過手機安全模塊端的協(xié)商密鑰對第四密文信息進行解密�,獲得第二簽名信息;
[0248]步驟S121i�,手機安全模塊至少將第二簽名信息外發(fā)。
[0249]當然����,以上方式一至方式九中,對于對每個對密文信息進行校驗計算的步驟�����,均可以采用對密文信息的原文進行校驗計算來替代�����,在獲得校驗信息和密文信息后�,均先行解密獲得密文信息的原文�����,再進行校驗信息的驗證。只要可以保證密文信息或者密文信息的原文無法被篡改即可�����。
[0250]由此可見����,通過本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法,可以使得手機能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機密信息傳輸���。
[0251]另外���,在上述任一方式中,在手機安全模塊獲取待傳輸信息的步驟之后���,在手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡的步驟之前���,基于協(xié)商密鑰的數(shù)據(jù)處理方法還包括如下步驟:
[0252]步驟SI 121,手機安全模塊提取待傳輸信息中的關(guān)鍵信息�����;
[0253]具體的,手機安全模塊將會提取待傳輸信息中的關(guān)鍵信息�����,以顯示給用戶確認是否是該息����。例如:
[0254]如果本發(fā)明應(yīng)用于機密信息安全傳輸中,則手機安全模塊可以提取機密信息中的文件名等關(guān)鍵信息�����,以便用戶確認是否需要提取該機密文件進行安全輸出�����;
[0255]如果本發(fā)明應(yīng)用于網(wǎng)上銀行業(yè)務(wù)中����,則手機安全模塊可以提取交易信息中的關(guān)鍵信息,例如交易賬號和交易金額等關(guān)鍵信息�����,以便用戶確認該筆交易是否為真實的交易���。
[0256]步驟S1122���,手機安全模塊控制手機顯示屏顯示提取出的待傳輸信息中的關(guān)鍵信息;
[0257]具體的��,手機安全模塊控制手機的顯示屏顯示提取出來的關(guān)鍵信息�����,以便用戶確認關(guān)鍵信息的真實性�����,從而保證待傳輸信息的真實性����。另外,通過手機安全模塊控制手機的顯示屏顯示提取出的關(guān)鍵信息�,還可以防止通過手機CPU控制手機顯示屏顯示關(guān)鍵信息可能被篡改的問題,保證通過手機安全模塊控制顯示的內(nèi)容為真實的內(nèi)容���,提高安全性�。
[0258]步驟S1123,手機安全模塊接收手機鍵盤輸出的確認指令�����;
[0259]具體的��,當用戶確認手機顯示屏顯示的關(guān)鍵信息無誤后�,按下手機上的確認鍵,該確認鍵可以為手機上設(shè)置的硬件按鍵����,也可以為觸屏手機的虛擬按鍵,在手機安全模塊接收到手機鍵盤輸出的確認指令后�,確認待傳輸信息的真實性,做好后續(xù)安全傳輸?shù)臏蕚洹?br>
[0260]步驟SI 124��,在手機安全模塊接收到手機鍵盤輸出的確認指令后��,執(zhí)行手機安全模塊將第一處理信息發(fā)送至用戶身份識別卡的步驟����。
[0261]具體的,只有經(jīng)過用戶按鍵確認的待傳輸信息才被認為是真實的待傳輸信息�����,保證了待傳輸信息的真實性��,從而提高了機密信息輸出的真實性���,和交易信息輸出的安全性���。
[0262]當然,本發(fā)明實施例1還可以提供一種手機�����,該手機采用實施例1提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法��,本發(fā)明實施例1的手機至少包括:手機安全模塊以及用戶身份識別卡����;其中,手機安全模塊和用戶身份識別卡均可以劃分為收發(fā)單元�、加解密單元、計算單元�����、生成單元����、簽名單元等模塊的任意模塊和/或任意組合以完成相應(yīng)的功能�,在此不再一一贅述��。
[0263]實施例2
[0264]本實施例2與實施例1的區(qū)別在于手機安全模塊與用戶身份識別卡之間的認證過程以及密鑰生成過程為相反的過程�����,在此不再一一贅述��,僅對本實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法進行簡單說明�。
[0265]圖2出示本發(fā)明實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法的流程圖,參見圖2�����,本發(fā)明實施例2的基于協(xié)商密鑰的數(shù)據(jù)處理方法���,包括:
[0266]步驟S201���,用戶身份識別卡獲取手機安全模塊的標識信息;
[0267]步驟S202�,用戶身份識別卡在獲取到手機安全模塊的標識信息后,根據(jù)預(yù)設(shè)的第一公鑰計算算法以及手機安全模塊的標識信息計算得到手機安全模塊的公鑰����;
[0268]步驟S203���,用戶身份識別卡獲取第一隨機因子�,根據(jù)第一隨機因子生成用戶身份識別卡端的協(xié)商密鑰;
[0269]步驟S204���,用戶身份識別卡在獲取到第一隨機因子后���,根據(jù)手機安全模塊的公鑰對第一隨機因子進行加密計算,獲得第一密文信息��;
[0270]步驟S205����,用戶身份識別卡在獲得第一密文信息后,根據(jù)用戶身份識別卡的私鑰對第一密文信息進行簽名��,獲得第一簽名信息�,并將第一簽名信息發(fā)送至手機安全模塊;
[0271]步驟S206��,手機安全模塊獲取用戶身份識別卡的標識信息��;
[0272]步驟S207,手機安全模塊在獲取到用戶身份識別卡的標識信息后���,根據(jù)預(yù)設(shè)的第二公鑰計算算法以及用戶身份識別卡的標識信息計算得到用戶身份識別卡的公鑰����;
[0273]步驟S208��,手機安全模塊在接收到第一簽名信息后�����,根據(jù)用戶身份識別卡的公鑰對第一簽名信息進行驗證��;
[0274]步驟S209��,手機安全模塊在驗證第一簽名信息通過后����,根據(jù)手機安全模塊的私鑰對第一密文信息進行解密,獲得第一隨機因子��;
[0275]步驟S210���,手機安全模塊根據(jù)第一隨機因子生成手機安全模塊端的協(xié)商密鑰�����;
[0276]步驟S211���,手機安全模塊與用戶身份識別卡之間通過手機安全模塊端的協(xié)商密鑰以及用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸�����。
[0277]由此可見,通過本發(fā)明的基于協(xié)商密鑰的數(shù)據(jù)處理方法����,可以使得手機能夠安全執(zhí)行網(wǎng)上銀行業(yè)務(wù)和/或機密信息傳輸。
[0278]其中���,在步驟S211中�,手機安全模塊與用戶身份識別卡之間通過手機安全模塊端的協(xié)商密鑰以及用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸?shù)倪^程與實施例1相同��,在此不再贅述��。
[0279]當然�����,本發(fā)明實施例2也可以提供一種手機,該手機采用實施例2提供的基于協(xié)商密鑰的數(shù)據(jù)處理方法�����,本發(fā)明實施例2的手機至少包括:手機安全模塊以及用戶身份識別卡�;其中,手機安全模塊和用戶身份識別卡均可以劃分為收發(fā)單元�、加解密單元、計算單元��、生成單元���、簽名單元等模塊的任意模塊和/或任意組合以完成相應(yīng)的功能�����,在此不再一一贅述�。
[0280]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為�,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分����,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn),其中可以不按所示出或討論的順序,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序��,來執(zhí)行功能����,這應(yīng)被本發(fā)明的實施例所屬【技術(shù)領(lǐng)域】的技術(shù)人員所理解。
[0281]應(yīng)當理解���,本發(fā)明的各部分可以用硬件�����、軟件��、固件或它們的組合來實現(xiàn)。在上述實施方式中����,多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)。例如�,如果用硬件來實現(xiàn),和在另一實施方式中一樣��,可用本領(lǐng)域公知的下列技術(shù)中的任一項或他們的組合來實現(xiàn):具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路���,具有合適的組合邏輯門電路的專用集成電路��,可編程門陣列(PGA)��,現(xiàn)場可編程門陣列(FPGA)等�����。
[0282]本【技術(shù)領(lǐng)域】的普通技術(shù)人員可以理解實現(xiàn)上述實施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成�����,所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中�,該程序在執(zhí)行時,包括方法實施例的步驟之一或其組合�。
[0283]此外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理模塊中��,也可以是各個單元單獨物理存在����,也可以兩個或兩個以上單元集成在一個模塊中。上述集成的模塊既可以采用硬件的形式實現(xiàn)�����,也可以采用軟件功能模塊的形式實現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時�����,也可以存儲在一個計算機可讀取存儲介質(zhì)中����。
[0284]上述提到的存儲介質(zhì)可以是只讀存儲器,磁盤或光盤等����。
[0285]在本說明書的描述中,參考術(shù)語“一個實施例”���、“一些實施例”����、“示例”����、“具體示例”����、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點包含于本發(fā)明的至少一個實施例或示例中���。在本說明書中��,對上述術(shù)語的示意性表述不一定指的是相同的實施例或示例���。而且,描述的具體特征��、結(jié)構(gòu)����、材料或者特點可以在任何的一個或多個實施例或示例中以合適的方式結(jié)合。
[0286]盡管上面已經(jīng)示出和描述了本發(fā)明的實施例���,可以理解的是�����,上述實施例是示例性的�����,不能理解為對本發(fā)明的限制��,本領(lǐng)域的普通技術(shù)人員在不脫離本發(fā)明的原理和宗旨的情況下在本發(fā)明的范圍內(nèi)可以對上述實施例進行變化��、修改�����、替換和變型�。本發(fā)明的范圍由所附權(quán)利要求及其等同限定。
【權(quán)利要求】
1.一種基于協(xié)商密鑰的數(shù)據(jù)處理方法��,其特征在于���,包括: 手機安全模塊獲取所述用戶身份識別卡的標識信息���; 所述手機安全模塊在獲取到所述用 戶身份識別卡的標識信息后,根據(jù)預(yù)設(shè)的第一公鑰計算算法以及所述用戶身份識別卡的標識信息計算得到用戶身份識別卡的公鑰��; 所述手機安全模塊獲取第一隨機因子��,根據(jù)所述第一隨機因子生成所述手機安全模塊端的協(xié)商密鑰����; 所述手機安全模塊在獲取到所述第一隨機因子后����,根據(jù)所述用戶身份識別卡的公鑰對所述第一隨機因子進行加密計算����,獲得第一密文信息�; 所述手機安全模塊在獲得所述第一密文信息后,根據(jù)所述手機安全模塊的私鑰對所述第一密文信息進行簽名���,獲得第一簽名信息�,并將所述第一簽名信息發(fā)送至用戶身份識別卡; 所述用戶身份識別卡獲取所述手機安全模塊的標識信息�; 所述用戶身份識別卡在獲取到所述手機安全模塊的標識信息后,根據(jù)預(yù)設(shè)的第二公鑰計算算法以及所述手機安全模塊的標識信息計算得到手機安全模塊的公鑰�; 所述用戶身份識別卡在接收到所述第一簽名信息后,根據(jù)所述手機安全模塊的公鑰對所述第一簽名信息進行驗證�; 所述用戶身份識別卡在驗證所述第一簽名信息通過后,根據(jù)所述用戶身份識別卡的私鑰對所述第一密文信息進行解密��,獲得所述第一隨機因子�; 所述用戶身份識別卡根據(jù)所述第一隨機因子生成所述用戶身份識別卡端的協(xié)商密鑰; 所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸��。
2.一種基于協(xié)商密鑰的數(shù)據(jù)處理方法�,其特征在于,包括: 用戶身份識別卡獲取所述手機安全模塊的標識信息����; 所述用戶身份識別卡在獲取到所述手機安全模塊的標識信息后��,根據(jù)預(yù)設(shè)的第一公鑰計算算法以及所述手機安全模塊的標識信息計算得到手機安全模塊的公鑰�����; 所述用戶身份識別卡獲取第一隨機因子���,根據(jù)所述第一隨機因子生成所述用戶身份識別卡端的協(xié)商S鑰; 所述用戶身份識別卡在獲取到所述第一隨機因子后�,根據(jù)所述手機安全模塊的公鑰對所述第一隨機因子進行加密計算,獲得第一密文信息�����; 所述用戶身份識別卡在獲得所述第一密文信息后��,根據(jù)所述用戶身份識別卡的私鑰對所述第一密文信息進行簽名�����,獲得第一簽名信息�����,并將所述第一簽名信息發(fā)送至手機安全模塊; 所述手機安全模塊獲取所述用戶身份識別卡的標識信息���; 所述手機安全模塊在獲取到所述用戶身份識別卡的標識信息后,根據(jù)預(yù)設(shè)的第二公鑰計算算法以及所述用戶身份識別卡的標識信息計算得到用戶身份識別卡的公鑰���; 所述手機安全模塊在接收到所述第一簽名信息后��,根據(jù)所述用戶身份識別卡的公鑰對所述第一簽名信息進行驗證�����; 所述手機安全模塊在驗證所述第一簽名信息通過后����,根據(jù)手機安全模塊的私鑰對所述第一密文信息進行解密���,獲得所述第一隨機因子��; 所述手機安全模塊根據(jù)所述第一隨機因子生成所述手機安全模塊端的協(xié)商密鑰���;所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于����,所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸?shù)牟襟E包括: 所述手機安全模塊獲取待傳輸信息; 所述手機安全模塊通過所述手機安全模塊端的協(xié)商密鑰對所述待傳輸信息進行加密���, 獲得第二密文息�����; 所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡�,其中����,所述第一處理信息至少包括:所述第三密文信息; 所述用戶身份識別卡接收到所述第一處理信息后���,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第三密文信息進行解密���,獲得待傳輸信息; 所述用戶身份識別卡對所述待傳輸信息進行簽名����,獲得第二簽名信息。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于�����,所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸?shù)牟襟E包括: 所述手機安全模塊獲取待傳輸信息�����; 所述手機安全模塊通過所述手機安全模塊端的協(xié)商密鑰對所述待傳輸信息進行校驗計算�,獲得第一校驗信息��; 所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡����,其中,所述第一處理信息至少包括:所述待傳輸信息和所述第一校驗信息�; 所述用戶身份識別卡接收到所述第一處理信息后,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進行驗證�����; 如果所述用戶身份識別卡對所述第一處理信息驗證通過��,則所述用戶身份識別卡對所述待傳輸信息進行簽名�����,獲得第二簽名信息。
5.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述手機安全模塊與所述用戶身份識別卡之間通過所述手機安全模塊端的協(xié)商密鑰以及所述用戶身份識別卡端的協(xié)商密鑰進行信息的安全傳輸?shù)牟襟E包括: 所述手機安全模塊獲取待傳輸信息��; 所述手機安全模塊通過所述手機安全模塊端的協(xié)商密鑰對所述待傳輸信息進行加密�����,獲得第三密文信息��,以及對所述第三密文信息進行校驗計算��,獲得第一校驗信息���; 所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡��,其中�,所述第一處理信息至少包括:所述第三密文信息和所述第一校驗信息�; 所述用戶身份識別卡接收到所述第一處理信息后,通過所述用戶身份識別卡端的協(xié)商密鑰對所述第一處理信息進行驗證���; 如果所述用戶身份識別卡對所述第一處理信息驗證通過����,則所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第三密文信息進行解密,獲得所述待傳輸信息���;所述用戶身份識別卡對所述待傳輸信息進行簽名����,獲得第二簽名信息�。
6.根據(jù)權(quán)利要求3至5任一項所述的方法���,其特征在于�����,在所述用戶身份識別卡對所述待傳輸信息進行簽名���,獲得第二簽名信息的步驟之后,所述方法還包括: 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進行加密��,獲得第四密文信息���; 所述用戶身份識別卡將第二處理信息發(fā)送至所述手機安全模塊��,其中��,所述第二處理信息至少包括:所述第四密文信息�; 所述手機安全模塊接收到所述第二處理信息后,通過所述手機安全模塊端的協(xié)商密鑰對所述第四密文信息進行解密�,獲得所述第二簽名信息; 所述手機安全模塊至少將所述第二簽名信息外發(fā)����;或者 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進行校驗計算,獲得第二校驗信息�����; 所述用戶身份識別卡將第二處理信息發(fā)送至所述手機安全模塊���,其中����,所述第二處理信息至少包括:所述第二簽名信息和所述第二校驗信息����; 所述手機安全模塊接收到所述第二處理信息后���,通過所述手機安全模塊端的協(xié)商密鑰對所述第二處理信息進行驗證; 如果所述手機安全模塊對所述第二處理信息驗證通過�,則所述手機安全模塊至少將所述第二簽名信息外發(fā);或者 所述用戶身份識別卡通過所述用戶身份識別卡端的協(xié)商密鑰對所述第二簽名信息進行加密����,獲得第四密文信息,以及對所述第四密文信息進行校驗計算��,獲得第二校驗信息���;所述用戶身份識別卡將第二處理信息發(fā)送至所述手機安全模塊�,其中�����,所述第二處理信息至少包括:所述第四密文信息和所述第二校驗信息���; 所述手機安全模塊接收到所述第二處理信息后,通過所述手機安全模塊端的協(xié)商密鑰對所述第二處理信息進行驗證�����; 如果所述手機安全模塊對所述第二處理信息驗證通過,則通過所述手機安全模塊端的協(xié)商密鑰對所述第四密文信息進行解密�,獲得所述第二簽名信息; 所述手機安全模塊至少將所述第二簽名信息外發(fā)����。
7.根據(jù)權(quán)利要求3至6任一項所述的方法,其特征在于���,在所述手機安全模塊獲取待傳輸信息的步驟之后����,在所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟之前�����,所述方法還包括: 所述手機安全模塊提取所述待傳輸信息中的關(guān)鍵信息��; 所述手機安全模塊控制手機顯示屏顯示所述提取出的待傳輸信息中的關(guān)鍵信息�; 所述手機安全模塊接收手機鍵盤輸出的確認指令; 在所述手機安全模塊接收到所述手機鍵盤輸出的確認指令后���,執(zhí)行所述手機安全模塊將第一處理信息發(fā)送至所述用戶身份識別卡的步驟����。
8.根據(jù)權(quán)利要求1至7任一項所述的方法,其特征在于�,所述手機安全模塊為獨立于手機CPU之外的模塊,或者所述手機安全模塊設(shè)置在所述手機CPU中的安全區(qū)域�����。
9.根據(jù)權(quán)利要求1至8任一項所述的方法����,其特征在于,所述第一公鑰計算算法與第二公鑰計算算法相同����。
10.根據(jù)權(quán)利要求1至9任一項所述的方法,其特征在于�����,如果解密所述第一密文信息錯誤��,則返回第一錯誤信息�;如果解密所述第二密文信息錯誤��,則返回第二錯誤信息�。
【文檔編號】H04L9/32GK103944715SQ201410171107
【公開日】2014年7月23日 申請日期:2014年4月25日 優(yōu)先權(quán)日:2014年4月25日
【發(fā)明者】李東聲 申請人:天地融科技股份有限公司