一種用於通訊及便攜設備的信息防護方法及裝置的製作方法

2023-05-25 16:40:26 2

專利名稱：一種用於通訊及便攜設備的信息防護方法及裝置的製作方法
技術領域：
本發明涉及通信技術領域，更具體地說，涉及一種用於通訊及便攜設備的信息防護方法及裝置。
背景技術：
通訊及便攜設備(如手機、掌上電腦、平板電腦等)的安全性一直以來不受重視，一方面是由於通訊及便攜設備的通信接口少，例如非智慧型手機往往只具有語音和簡訊功能；另一方面是由於通訊及便攜設備的作業系統為封閉系統，對外公布接口少，較難提取內部信息。
隨著科技的進步，通訊及便攜設備的作業系統由原來的非智能作業系統，往智能作業系統方向發展，使得該類設備的功能性、易用性增加，越來越多的關鍵信息被使用者保存至設備中。而系統功能的不斷增強也帶來了更多的安全隱患，攻擊者們可以輕易獲取設備的ROOT權限，或者通過網際網路連接的方式進行重要數據竊取，進而獲取設備內的關鍵信
肩、O因此，具有類似Android、iOS、WP等作業系統的通訊及便攜設備的系統安全問題越來越受重視，且急需一種增強型加解密方式用於這類通訊及便攜設備的關鍵信息安全防護。

發明內容
本發明要解決的技術問題在於，針對現有技術的上述缺陷，提供一種用於通訊及便攜設備的信息防護方法及裝置。本發明解決其技術問題所採用的技術方案是構造一種用於通訊及便攜設備的信息防護方法，其中，包括存儲卡初始化過程產生讀密鑰及寫密鑰，並將所述讀密鑰及寫密鑰寫入具有全球唯一卡號的存儲卡的所有控制扇區，產生並寫入所述存儲卡的所有數據扇區的三重數據加密算法密鑰包，包括K1、K2、K3，將所述存儲卡的卡號及所有扇區的寫密鑰傳輸至密鑰認證伺服器內；加密過程對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區，記為SECNUM，客戶端與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取用於讀取所述存儲卡對應扇區的讀密鑰，根據所述讀密鑰與所述存儲卡通信，獲取加密所需的K1、K2、K3，對文件進行加密；解密過程客戶端與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取需解密的文件名所對應的SECNUM及用於讀取所述存儲卡對應扇區的讀密鑰，根據所述讀密鑰與所述存儲卡通信，獲取解密所需的Kl、K2、K3，對文件進行解密。本發明所述的信息防護方法，其中，所述加密過程中，對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區的步驟具體包括獲取待加密文件的文件名及文件大小，進行哈希計算，取得哈希值，記為HASHl ；對待加密文件本身進行哈希計算，取得哈希值，記為HASH2 ；對所述HASHl和HASH2進行拼接、取模，得到對應的存儲卡密鑰存儲扇區，記為SECNUMo本發明所述的信息防護方法，其中，所述加密過程和所述解密過程中，與密鑰認證伺服器建立SSL安全連接的步驟具體包括客戶端向密碼認證伺服器傳送通訊所需信息；
密碼認證伺服器向客戶端傳送通訊所需信息及伺服器證書；客戶端利用密碼認證伺服器傳過來的信息驗證密碼認證伺服器的合法性，如果合法性驗證沒有通過，通訊將斷開，如果合法性驗證通過，則繼續進行下一步；客戶端隨機產生一個用於通訊的對稱密碼，然後用密碼驗證伺服器的公鑰對其加密，然後將加密後的預主密碼傳給密碼驗證伺服器；如果密碼驗證伺服器要求客戶端的身份認證，客戶端則建立一個隨機數然後對其進行數據籤名，將這個含有籤名的隨機數和客戶端自己的證書以及加密過的預主密碼一起傳給密碼驗證伺服器；密碼驗證伺服器檢驗客戶端證書和籤名隨機數的合法性，如果驗證沒有通過，通訊立刻中斷，如果驗證通過，密碼驗證伺服器用自己的私鑰解開加密的預主密碼，然後產生主通訊密碼；密碼驗證伺服器和客戶端用相同的主通訊密碼進行通訊；客戶端向密碼驗證伺服器端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知密碼驗證伺服器客戶端的握手過程結束；密碼驗證伺服器向客戶端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知客戶端密碼驗證伺服器端的握手過程結束；客戶端和密碼驗證伺服器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊數據完整性的檢驗。本發明所述的信息防護方法，其中，所述加密過程和所述解密過程中，所述根據所述讀密鑰與所述存儲卡通信，獲取加密或解密所需的K1、K2、K3，對文件進行加密或解密步驟具體包括提示用戶進行存儲卡刷卡操作；由參數傳入所要讀取的扇區號SECNUM、該扇區對應的讀密鑰RK ；與存儲卡通信，傳入所要讀取的扇區號SECNUM和該扇區對應的讀密鑰RK，進行密鑰驗證；密鑰驗證成功後，讀取存儲卡中的塊，並格式化為所需K1、K2、K3。本發明所述的信息防護方法，其中，所述加密過程和所述解密過程中，對文件進行加密方法為使用Kl為密鑰進行DES加密，再用Κ2為密鑰進行DES「解密」，最後以Κ3進行DES加密；對文件進行解密的方法為
使用K3為密鑰進行DES解密，再用Κ2為密鑰進行DES加密，最後以Kl進行DES解密。本發明還提供了一種用於通訊及便攜設備的信息防護裝置，其中，包括具有全球唯一卡號的存儲卡，還包括密鑰生成伺服器，用於產生讀密鑰及寫密鑰，並將所述讀密鑰及寫密鑰寫入所述存儲卡的所有控制扇區，產生並寫入所述存儲卡的所有數據扇區的三重數據加密算法密鑰包，包括Κ1、Κ2、Κ3，將所述存儲卡的卡號及所有扇區的寫密鑰傳輸至密鑰認證伺服器內；客戶端，用於對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區，記為SECNUM，再與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取用於讀取所述存儲卡對應扇區的讀密鑰，再通過近距離無線通信模塊根據所述讀密鑰與所述存儲卡通信，獲取加密所需的Κ1、Κ2、Κ3，對文件進行加密，或者， 用於與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取需解密的文件名所對應的SECNUM及用於讀取所述存儲卡對應扇區的讀密鑰，再通過近距離無線通信模塊根據所述讀密鑰與所述存儲卡通信，獲取解密所需的K1、K2、K3，對文件進行解密；密鑰認證伺服器，用於存儲所述存儲卡的卡號及所有扇區的寫密鑰，並與客戶端進行通信；近距離無線通信模塊，用於與所述存儲卡進行通信，獲取加密或解密所需的Κ1、Κ2、Κ3，並發送給所述客戶端。本發明所述的信息防護裝置，其中，所述客戶端中，對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區的過程如下獲取待加密文件的文件名及文件大小，進行哈希計算，取得哈希值，記為HASHl ；對待加密文件本身進行哈希計算，取得哈希值，記為HASH2 ;對所述HASHl和HASH2進行拼接、取模，得到對應的存儲卡密鑰存儲扇區，記為SECNUM。本發明所述的信息防護裝置，其中，所述客戶端中，與密鑰認證伺服器建立SSL安全連接的過程如下客戶端向密碼認證伺服器傳送通訊所需信息；密碼認證伺服器向客戶端傳送通訊所需信息及伺服器證書；客戶端利用密碼認證伺服器傳過來的信息驗證密碼認證伺服器的合法性，如果合法性驗證沒有通過，通訊將斷開，如果合法性驗證通過，則繼續進行下一步；客戶端隨機產生一個用於通訊的對稱密碼，然後用密碼驗證伺服器的公鑰對其加密，然後將加密後的預主密碼傳給密碼驗證伺服器；如果密碼驗證伺服器要求客戶端的身份認證，客戶端則建立一個隨機數然後對其進行數據籤名，將這個含有籤名的隨機數和客戶端自己的證書以及加密過的預主密碼一起傳給密碼驗證伺服器；密碼驗證伺服器檢驗客戶端證書和籤名隨機數的合法性，如果驗證沒有通過，通訊立刻中斷，如果驗證通過，密碼驗證伺服器用自己的私鑰解開加密的預主密碼，然後產生主通訊密碼；密碼驗證伺服器和客戶端用相同的主通訊密碼進行通訊；
客戶端向密碼驗證伺服器端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知密碼驗證伺服器客戶端的握手過程結束；密碼驗證伺服器向客戶端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知客戶端密碼驗證伺服器端的握手過程結束；客戶端和密碼驗證伺服器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊數據完整性的檢驗。本發明所述的信息防護裝置，其中，所述近距離無線通信模塊包括提示單元，用於提示用戶進行存儲卡刷卡操作；參數傳輸單元，用於傳入所要讀取的扇區號SECNUM、該扇區對應的讀密鑰RK ；通信單元，用於與存儲卡通信，傳入所要讀取的扇區號SECNUM和該扇區對應的讀 密鑰RK,進行密鑰驗證；密鑰獲取單元，用於在密鑰驗證成功後，讀取存儲卡中的塊，並格式化為所需K1、K2、K3。本發明所述的信息防護裝置，其中，所述客戶端中，對文件進行加密過程為使用Kl為密鑰進行DES加密，再用Κ2為密鑰進行DES 「解密」，最後以Κ3進行DES加密；對文件進行解密過程為使用Κ3為密鑰進行DES解密，再用Κ2為密鑰進行DES加密，最後以Kl進行DES解密。本發明的有益效果在於通過採用三重數據加密算法進行文件加密及解密，並在數據通訊中建立SSL安全連接來確保數據在傳輸過程中的安全性和完整性，且所有通訊及便攜設備通過存儲卡形成安全配套，存儲卡作為第二道安全認證，大幅度提高用戶密碼認證的安全不確定性。本發明方案適合於對通訊和便攜設備使用需求較高，但又需要確保通訊及便攜設備上數據安全性的行業領域內的所有用戶。


下面將結合附圖及實施例對本發明作進一步說明，附圖中圖I是本發明較佳實施例的用於通訊及便攜設備的信息防護方法中存儲卡初始化過程流程圖；圖2是本發明較佳實施例的用於通訊及便攜設備的信息防護方法中加密過程流程圖；圖3是本發明較佳實施例的用於通訊及便攜設備的信息防護方法中解密過程流程圖；圖4是本發明較佳實施例的用於通訊及便攜設備的信息防護裝置原理框圖。
具體實施例方式本發明較佳實施例的用於通訊及便攜設備的信息防護方法包括存儲卡初始化過程、加密過程和解密過程。其中，通訊及便攜設備包括具有Android、iOS、WP等系統的手機、掌上電腦、平板電腦等。存儲卡優選採用非接觸式IC卡(Mifare I)，簡稱Ml卡，該存儲卡分為16個扇區，每個扇區4塊(塊O 3),共64塊,按塊號編址為O 63。第O扇區的塊O (即絕對地址O塊)用於存放廠商代碼，已經固化，不可更改。其他各扇區的塊O、塊I、塊2為數據塊，用於存貯數據；塊3為控制塊，存放密碼A、存取控制、密碼B。下述 各實施例的步驟中，所建立的SSL安全連接中的SSL是Secure socket Layer英文縮寫，它的中文意思是安全套接層協議，指使用公鑰和私鑰技術組合的安全網絡通訊協議。SSL協議指定了一種在應用程式協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制，它為TCP/IP連接提供數據加密、伺服器認證、消息完整性以及可選的客戶機認證，主要用於提高應用程式之間數據的安全性，對傳送的數據進行加密和隱藏，確保數據在傳送中不被改變，即確保數據的完整性。SSL以對稱密碼技術和公開密碼技術相結合，可以實現如下三個通信目標(I)、秘密性SSL客戶機和伺服器之間傳送的數據都經過了加密處理，網絡中的非法竊聽者所獲取的信息都將是無意義的密文信息；(2)、完整性SSL利用密碼算法和散列(HASH)函數，通過對傳輸信息特徵值的提取來保證信息的完整性，確保要傳輸的信息全部到達目的地，可以避免伺服器和客戶機之間的信息受到破壞；(3)、認證性利用證書技術和可信的第三方認證，可以讓客戶機和伺服器相互識別對方的身份。為了驗證證書持有者是其合法用戶(而不是冒名用戶)，SSL要求證書持有者在握手時相互交換數字證書，通過驗證來保證對方身份的合法性。上述方法的存儲卡初始化過程包括產生讀密鑰及寫密鑰，並將讀密鑰及寫密鑰寫入具有全球唯一卡號的存儲卡的所有控制扇區，產生並寫入存儲卡的所有數據扇區的三重數據加密算法密鑰包，包括K1、K2、K3，將存儲卡的卡號及所有扇區的寫密鑰傳輸至密鑰認證伺服器內。詳細流程如圖I所示，具體包括步驟S11、讀取Ml卡的全球唯一序列號(卡號)；步驟S12、由物理隔離開的密鑰生成伺服器以Ml卡的全球唯一序列號為參數，通過隨機生成算法，輸出與每個區塊對應的讀寫密鑰；步驟S13、再由密鑰生成伺服器，以Ml卡的全球唯一序列號為參數，通過隨機生成算法，輸出每個區塊對應的3DES的密鑰K1、K2、K3 ；步驟S14、將讀寫密鑰及3DES密鑰寫入Ml卡；步驟S15、判斷是否初始化成功；步驟S16、如果失敗則進行異常處理；步驟S17、如果成功，則將Ml卡全球唯一卡號及Ml的所有扇區的RK信息通過相應的數據安全方式傳輸至密鑰認證伺服器內。其中，3DES(或稱為Triple DES)是三重數據加密算法(TDEA，Triple DataEncryption Algorithm)塊密碼的通稱。它相當於是對每個數據塊應用三次DES加密算法。由於計算機運算能力的增強，原版DES密碼的密鑰長度變得容易被暴力破解；3DES即是設計用來提供一種相對簡單的方法，即通過增加DES的密鑰長度來避免類似的攻擊，而不是設計一種全新的塊密碼算法。3DES使用「密鑰包」，其包含3個DES密鑰K1，K2和K3，均為56位(除去奇偶校驗位)。上述方法的加密過程如圖2所示，具體包括步驟S21、對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區，記為 SECNUM ；步驟S22、客戶端與密鑰認證伺服器建立SSL安全連接；步驟S23、與密碼認證伺服器協商，通過SSL安全連接獲取用於讀取存儲卡對應扇區的讀密鑰；協商過程中、伺服器負責驗證、記錄以下信息本次登錄的用戶名及密碼對應HASH值(伺服器端僅可驗證密碼正確與否)、用戶使用的Ml卡全球唯一卡號、本設備的網絡設備MAC地址(可選)、本設備的電話號碼(可選)、本設備的IMSI號碼(可選)、伺服器記錄該文件對應的SECNUM、本次獲取密鑰發生時間；還包括根據讀密鑰與存儲卡通信，獲取加密所需的K1、K2、K3，對文件進行加密；具體為，步驟S24、使用讀密鑰RK讀取Ml卡對應的K1、K2、K3，步驟S25、驗證RK的正確性，步驟S26、判斷是否認證成功，是則執行步驟S27、返回數據，取得所需Κ1、Κ2、Κ3對目標文件進行3DES加密，清理現場程序並返回成功，否則執行步驟S28、進行異常處理。上述加密過程中，對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區的步驟具體包括獲取待加密文件的文件名及文件大小，進行哈希計算，取得哈希值，記為HASHl ;對待加密文件本身進行哈希計算，取得哈希值，記為HASH2 ;對HASHl和HASH2進行拼接、取模，得到對應的存儲卡密鑰存儲扇區，記為SECNUM。上述方法的解密過程包括客戶端與密鑰認證伺服器建立SSL安全連接，並與密碼認證伺服器協商，通過安全連接獲取需解密的文件名所對應的SECNUM及用於讀取存儲卡對應扇區的讀密鑰，根據讀密鑰與存儲卡通信，獲取解密所需的K1、K2、K3，對文件進行解密。具體流程如圖3所示，包括步驟S31、讀取待解密文件相關信息；步驟S32、與遠端密鑰 認證伺服器協商建立SSL安全連接；步驟S33、通過SSL安全連接向密鑰認證伺服器獲取該文件對應Ml卡的扇區號，以及用於讀取Ml卡對應扇區的讀密鑰；步驟S34、使用讀密鑰讀取Ml卡對應的Κ1、Κ2、Κ3 ;步驟S35、驗證讀密鑰的正確性；步驟S36、判斷是否認證成功；步驟S37、如果認證成功則返回數據，取得所需Κ1、Κ2、Κ3對目標文件進行3DES解密，清理現場程序返回成功；步驟S38、否則進行異常處理。其中，協商過程中，伺服器負責驗證、記錄以下信息本次登錄的用戶名及密碼對應HASH值(伺服器端僅可驗證密碼正確與否)、用戶使用的Ml卡全球唯一卡號、本設備的網絡設備MAC地址(可選)本設備的電話號碼(可選)、本設備的IMSI號碼(可選)、本次獲取密鑰發生時間；優選地，上述加密過程和解密過程中，與密鑰認證伺服器建立SSL安全連接的步驟具體包括(I)、客戶端向密碼認證伺服器傳送通訊所需信息，包括客戶端SSL協議的版本號，加密算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種信息；(2)、密碼認證伺服器向客戶端傳送通訊所需信息，包括SSL協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時伺服器還將向客戶端傳送自己的伺服器證書;(3)、客戶端利用密碼認證伺服器傳過來的信息驗證密碼認證伺服器的合法性，其中伺服器的合法性包括證書是否過期，發行伺服器證書的CA是否可靠，發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字籤名」，伺服器證書上的域名是否和伺服器的實際域名相匹配；如果合法性驗證沒有通過，通訊將斷開，如果合法性驗證通過，則繼續進行下一步⑷；(4)、客戶端隨機產生一個用於通訊的對稱密碼，然後用密碼驗證伺服器的公鑰對其加密，然後將加密後的預主密碼傳給密碼驗證伺服器，其中公鑰是從密碼認證伺服器向客戶端傳送通訊所需信息中獲得；(5)、選擇密碼驗證伺服器是否要求客戶端進行身份認證，如果密碼驗證伺服器要求客戶端的身份認證，客戶端則建立一個隨機數然後對其進行數據籤名，將這個含有籤名的隨機數和客戶端自己的證書以及加密過的預主密碼一起傳給密碼驗證伺服器；￠)、密碼驗證伺服器檢驗客戶端證書和籤名隨機數的合法性，如果驗證沒有通過，通訊立刻中斷，如果驗證通過，密碼驗證伺服器用自己的私鑰解開加密的預主密碼，然後產生主通訊密碼；其中，具體的合法性驗證過程包括客戶的證書使用日期是否有效，為客戶提供證書的公司(CA)是否可靠，發行CA的公鑰能否正確解開客戶證書的發行CA的數字籤名，檢查客戶的證書是否在證書廢止列表(CRL)中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，伺服器將用自己的私鑰解開加密的「預主密碼」，然後執行一系列步驟來產生主通訊密碼(客戶端也將通過同樣的方法產生相同的主通訊密碼)；(7)、密碼驗證伺服器和客戶端用相同的主通訊密碼(即通話密碼)進行通訊；(8)、客戶端向密碼驗證伺服器端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知密碼驗證伺服器客戶端的握手過程結束；(9)、密碼驗證伺服器向客戶端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知客戶端密碼驗證伺服器端的握手過程結束； (10)、客戶端和密碼驗證伺服器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊數據完整性的檢驗。優選地，上述加密過程和解密過程中，根據讀密鑰與存儲卡通信，獲取加密或解密所需的K1、K2、K3，對文件進行加密或解密步驟具體包括提示用戶進行存儲卡刷卡操作；由參數傳入所要讀取的扇區號SECNUM、該扇區對應的讀密鑰RK ;由近距離無線通信模塊與存儲卡通信，傳入所要讀取的扇區號SECNUM和該扇區對應的讀密鑰RK，進行密鑰驗證；密鑰驗證成功後，讀取存儲卡中的塊，並格式化為所需K1、K2、K3。還可包括異常情況處理，提示用戶異常信息及解決辦法等步驟。其中，優選採用近場通信(Near Field Communication, NFC)技術與存儲卡進行通信，NFC技術又稱近距離技術，是一種短距離的高頻無線通信技術，其允許電子設備之間進行非接觸式點對點數據傳輸(在十釐米內)交換數據。這個技術由免接觸式射頻識別(RFID)演變而來，並向下兼容射頻識別(Radio Frequency Identification, RFID)技術，因此近場通訊具有天然的安全性。優選地，上述加密過程和解密過程中，對文件進行加密算法為密文=EK3 (DK2 (EKl (平文)))。即，使用Kl為密鑰進行DES加密，再用K2為密鑰進行DES「解密」，最後以K3進行DES加密；對文件進行解密的算法為平文=DK1(EK2(DK3(密文)))。BP,使用K3為密鑰進行DES解密，再用K2為密鑰進行DES加密，最後以Kl進行DES解密。在本發明的另一實施例中，還提供了一種用於通訊及便攜設備的信息防護裝置，其大致原理框圖參見附圖4，其中包括具有全球唯一卡號的存儲卡10，還包括密鑰生成伺服器(未圖示)、客戶端30、密鑰認證伺服器40及近距離無線通信模塊20。其中，密鑰生成伺服器，用於產生讀密鑰及寫密鑰，並將讀密鑰及寫密鑰寫入存儲卡10的所有控制扇區，產生並寫入存儲卡10的所有數據扇區的三重數據加密算法(3DES)密鑰包，包括K1、K2、K3，將存儲卡10的卡號及所有扇區的寫密鑰傳輸至密鑰認證伺服器40內。客戶端30，用於對待加密文件進行哈希取模處理，得到對應的存儲卡10密鑰存儲扇區，記為SECNUM，再與密鑰認證伺服器40建立安全連接，並與密碼認證伺服器協商，通過安全連接獲取用於讀取存儲卡10對應扇區的讀密鑰，再通過近距離無線通信模塊20根據讀密鑰與存儲卡10通信，獲取加密所需的Kl、K2、K3，對文件進行加密，或者，用於與密鑰認證伺服器40建立安全連接，並與密碼認證伺服器協商，通過安全連接獲取需解密的文件名所對應的SECNUM及用於讀取存儲卡10對應扇區的讀密鑰，再通過近距離無線通信模塊20根據讀密鑰與存儲卡10通信，獲取解密所需的Κ1、Κ2、Κ3，對文件進行解密。密鑰認證伺服器40，用於存儲Ml卡(即存儲卡10)的卡號及所有扇區的寫密鑰，並與客戶端30進行通信；近距離無線通信模塊20，用於與存儲卡10進行通信，獲取加密或解密所需的Κ1、Κ2、Κ3，並發送給客戶端30。上述實施例中，客戶端30可以以硬體或軟體，或軟硬體結合的方式固化於通訊及便攜設備中，如固化於手機、掌上電腦、平板電腦等手持終端中。上述實施例的客戶端30中，對待加密文件進行哈希取模處理、得到對應的存儲卡10密鑰存儲扇區的過程如下獲取待加密文件的文件名及文件大小，進行哈希計算，取得哈希值，記為HASHl ;對待加密文件本身進行哈希計算，取得哈希值，記為HASH2 ;對HASHl和HASH2進行拼接、取模，得到對應的存儲卡10密鑰存儲扇區，記為SECNUM。
上述實施例的客戶端30中，與密鑰認證伺服器40建立SSL安全連接的過程如下(I)、客戶端向密碼認證伺服器傳送通訊所需信息，包括客戶端SSL協議的版本號，加密算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種信息；(2)、密碼認證伺服器向客戶端傳送通訊所需信息，包括SSL協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時伺服器還將向客戶端傳送自己的伺服器證書；(3)、客戶端利用密碼認證伺服器傳過來的信息驗證密碼認證伺服器的合法性，其中伺服器的合法性包括證書是否過期，發行伺服器證書的公司是否可靠，發行者證書的公鑰能否正確解開伺服器證書的「發行者的數字籤名」，伺服器證書上的域名是否和伺服器的實際域名相匹配；如果合法性驗證沒有通過，通訊將斷開，如果合法性驗證通過，則繼續進行下一步(4) ;(4)、客戶端隨機產生一個用於通訊的對稱密碼，然後用密碼驗證伺服器的公鑰對其加密，然後將加密後的預主密碼傳給密碼驗證伺服器，其中公鑰是從密碼認證伺服器向客戶端傳送通訊所需信息中獲得；(5)、選擇密碼驗證伺服器是否要求客戶端進行身份認證，如果密碼驗證伺服器要求客戶端的身份認證，客戶端則建立一個隨機數然後對其進行數據籤名，將這個含有籤名的隨機數和客戶端自己的證書以及加密過的預主密碼一起傳給密碼驗證伺服器；
(6)、密碼驗證伺服器檢驗客戶端證書和籤名隨機數的合法性，如果驗證沒有通過，通訊立刻中斷，如果驗證通過，密碼驗證伺服器用自己的私鑰解開加密的預主密碼，然後產生主通訊密碼；其中，具體的合法性驗證過程包括客戶的證書使用日期是否有效，為客戶提供證書的CA是否可靠，發行CA的公鑰能否正確解開客戶證書的發行CA的數字籤名，檢查客戶的證書是否在證書廢止列表(CRL)中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，伺服器將用自己的私鑰解開加密的「預主密碼」，然後執行一系列步驟來產生主通訊密碼(客戶端也將通過同樣的方法產生相同的主通訊密碼)；(7)、密碼驗證伺服器和客戶端用相同的主通訊密碼(即通話密碼)進行通訊；(8)、客戶端向密碼驗證伺服器端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知密碼驗證伺服器客戶端的握手過程結束；(9)、密碼驗證伺服器向客戶端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知客戶端密碼驗證伺服器端的握手過程結束；(10)、客戶端和密碼驗證伺服器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊數據完整性的檢驗。上述實施例的近距離無線通信模塊20中採用近場通信(Near FieldCommunication, NFC)技術與存儲卡進行通信,包括提示單元,用於提示用戶進行存儲卡10刷卡操作；參數傳輸單元，用於傳入所要讀取的扇區號SECNUM、該扇區對應的讀密鑰RK ；通信單元，用於與存儲卡10通信，傳入所要讀取的扇區號SECNUM和該扇區對應的讀密鑰RK，進行密鑰驗證；密鑰獲取單元，用於在密鑰驗證成功後，讀取存儲卡10中的塊，並格式化為所需K1、K2、K3。上述實施例的客戶端30中，對文件進行加密算法為密文=EK3(DK2(EK1 (平文)))。即，使用Kl為密鑰進行DES加密，再用K2為密鑰進行DES 「解密」，最後以K3進行DES加密；對文件進行解密的算法為平文=DK1(EK2(DK3(密文)))。即，使用K3為密鑰進行DES解密，再用K2為密鑰進行DES加密，最後以Kl進行DES解密。採用本發明的用於通訊及便攜設備的信息防護方法及裝置，可確保所有通訊及便攜設備的數據在訪問網際網路或通過本機存儲、傳輸、交換數據的安全性。其中，所有通訊及便攜設備通過Ml卡形成安全配套，Ml卡作為第二道安全認證，大幅度提高用戶密碼認證的安全性。 本發明技術方案非常適合於對通訊和便攜設備使用需求較高、但又需要確保通訊及便攜設備上數據安全性的行業領域內的所有用戶。該技術方案為此類潛在用戶提供了高可靠的身份認證方法、高效的密鑰安全傳輸機制、加密強度高的通訊與便攜設備的重要數據。只需要在各通訊與便攜設備中安裝包含本技術發明所涉及的APP應用，即可實現重要關鍵信息的安全存儲、傳輸管理。應當理解的是，對本領域普通技術人員來說，可以根據上述說明加以改進或變換，而所有這些改進和變換都應屬於本發明所附權利要求的保護範圍。
權利要求
1.一種用於通訊及便攜設備的信息防護方法，其特徵在於，包括 存儲卡初始化過程產生讀密鑰及寫密鑰，並將所述讀密鑰及寫密鑰寫入具有全球唯一卡號的存儲卡的所有控制扇區，產生並寫入所述存儲卡的所有數據扇區的三重數據加密算法密鑰包，包括Kl、K2、K3，將所述存儲卡的卡號及所有扇區的寫密鑰傳輸至密鑰認證伺服器內； 加密過程對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區，記為SECNUM,客戶端與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取用於讀取所述存儲卡對應扇區的讀密鑰，根據所述讀密鑰與所述存儲卡通信，獲取加密所需的Kl、K2、K3，對文件進行加密； 解密過程客戶端與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取需解密的文件名所對應的SECNUM及用於讀取所述存儲卡對應扇區的讀密鑰，根據所述讀密鑰與所述存儲卡通信，獲取解密所需的K1、K2、K3，對文件進行解密。
2.根據權利要求I所述的信息防護方法，其特徵在於，所述加密過程中，對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區的步驟具體包括 獲取待加密文件的文件名及文件大小，進行哈希計算，取得哈希值，記為HASHl ； 對待加密文件本身進行哈希計算，取得哈希值，記為HASH2 ； 對所述HASHl和HASH2進行拼接、取模，得到對應的存儲卡密鑰存儲扇區，記為SECNUM。
3.根據權利要求I所述的信息防護方法，其特徵在於，所述加密過程和所述解密過程中，與密鑰認證伺服器建立SSL安全連接的步驟具體包括 客戶端向密碼認證伺服器傳送通訊所需信息； 密碼認證伺服器向客戶端傳送通訊所需信息及伺服器證書； 客戶端利用密碼認證伺服器傳過來的信息驗證密碼認證伺服器的合法性，如果合法性驗證沒有通過，通訊將斷開，如果合法性驗證通過，則繼續進行下一步； 客戶端隨機產生一個用於通訊的對稱密碼，然後用密碼驗證伺服器的公鑰對其加密，然後將加密後的預主密碼傳給密碼驗證伺服器； 如果密碼驗證伺服器要求客戶端的身份認證，客戶端則建立一個隨機數然後對其進行數據籤名，將這個含有籤名的隨機數和客戶端自己的證書以及加密過的預主密碼一起傳給密碼驗證伺服器； 密碼驗證伺服器檢驗客戶端證書和籤名隨機數的合法性，如果驗證沒有通過，通訊立刻中斷，如果驗證通過，密碼驗證伺服器用自己的私鑰解開加密的預主密碼，然後產生主通訊密碼； 密碼驗證伺服器和客戶端用相同的主通訊密碼進行通訊； 客戶端向密碼驗證伺服器端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知密碼驗證伺服器客戶端的握手過程結束； 密碼驗證伺服器向客戶端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知客戶端密碼驗證伺服器端的握手過程結束； 客戶端和密碼驗證伺服器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊數據完整性的檢驗。
4.根據權利要求I所述的信息防護方法，其特徵在於，所述加密過程和所述解密過程中，所述根據所述讀密鑰與所述存儲卡通信，獲取加密或解密所需的K1、K2、K3，對文件進行加密或解密步驟具體包括 提示用戶進行存儲卡刷卡操作； 由參數傳入所要讀取的扇區號SECNUM、該扇區對應的讀密鑰RK ； 與存儲卡通信，傳入所要讀取的扇區號SECNUM和該扇區對應的讀密鑰RK，進行密鑰驗證； 密鑰驗證成功後，讀取存儲卡中的塊，並格式化為所需Kl、K2、K3。
5.根據權利要求I所述的信息防護方法，其特徵在於，所述加密過程和所述解密過程中，對文件進行加密方法為 使用Kl為密鑰進行DES加密，再用K2為密鑰進行DES 「解密」，最後以K3進行DES加密； 對文件進行解密的方法為 使用K3為密鑰進行DES解密，再用K2為密鑰進行DES加密，最後以Kl進行DES解密。
6.一種用於通訊及便攜設備的信息防護裝置，其特徵在於，包括具有全球唯一卡號的存儲卡,還包括 密鑰生成伺服器，用於產生讀密鑰及寫密鑰，並將所述讀密鑰及寫密鑰寫入所述存儲卡的所有控制扇區，產生並寫入所述存儲卡的所有數據扇區的三重數據加密算法密鑰包，包括Kl、K2、K3，將所述存儲卡的卡號及所有扇區的寫密鑰傳輸至密鑰認證伺服器內； 客戶端，用於對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區，記為SECNUM,再與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取用於讀取所述存儲卡對應扇區的讀密鑰，再通過近距離無線通信模塊根據所述讀密鑰與所述存儲卡通信，獲取加密所需的Kl、K2、K3，對文件進行加密，或者， 用於與所述密鑰認證伺服器建立SSL安全連接，並與所述密碼認證伺服器協商，通過安全連接獲取需解密的文件名所對應的SECNUM及用於讀取所述存儲卡對應扇區的讀密鑰，再通過近距離無線通信模塊根據所述讀密鑰與所述存儲卡通信，獲取解密所需的K1、K2、K3，對文件進行解密； 密鑰認證伺服器，用於存儲所述存儲卡的卡號及所有扇區的寫密鑰，並與客戶端進行通信； 近距離無線通信模塊，用於與所述存儲卡進行通信，獲取加密或解密所需的K1、K2、K3，並發送給所述客戶端。
7.根據權利要求6所述的信息防護裝置，其特徵在於，所述客戶端中，對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區的過程如下 獲取待加密文件的文件名及文件大小，進行哈希計算，取得哈希值，記為HASHl ;對待加密文件本身進行哈希計算，取得哈希值，記為HASH2 ;對所述HASHl和HASH2進行拼接、取模，得到對應的存儲卡密鑰存儲扇區，記為SECNUM。
8.根據權利要求6所述的信息防護裝置，其特徵在於，所述客戶端中，與密鑰認證伺服器建立SSL安全連接的過程如下 客戶端向密碼認證伺服器傳送通訊所需信息；密碼認證伺服器向客戶端傳送通訊所需信息及伺服器證書； 客戶端利用密碼認證伺服器傳過來的信息驗證密碼認證伺服器的合法性，如果合法性驗證沒有通過，通訊將斷開，如果合法性驗證通過，則繼續進行下一步； 客戶端隨機產生一個用於通訊的對稱密碼，然後用密碼驗證伺服器的公鑰對其加密，然後將加密後的預主密碼傳給密碼驗證伺服器； 如果密碼驗證伺服器要求客戶端的身份認證，客戶端則建立一個隨機數然後對其進行數據籤名，將這個含有籤名的隨機數和客戶端自己的證書以及加密過的預主密碼一起傳給密碼驗證伺服器； 密碼驗證伺服器檢驗客戶端證書和籤名隨機數的合法性，如果驗證沒有通過，通訊立刻中斷，如果驗證通過，密碼驗證伺服器用自己的私鑰解開加密的預主密碼，然後產生主通訊密碼； 密碼驗證伺服器和客戶端用相同的主通訊密碼進行通訊； 客戶端向密碼驗證伺服器端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知密碼驗證伺服器客戶端的握手過程結束； 密碼驗證伺服器向客戶端發出信息，指明後面的數據通訊將使用的主通訊密碼為對稱密鑰，同時通知客戶端密碼驗證伺服器端的握手過程結束； 客戶端和密碼驗證伺服器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊數據完整性的檢驗。
9.根據權利要求6所述的信息防護裝置，其特徵在於，所述近距離無線通信模塊包括 提示單元，用於提示用戶進行存儲卡刷卡操作； 參數傳輸單元，用於傳入所要讀取的扇區號SECNUM、該扇區對應的讀密鑰RK ； 通信單元，用於與存儲卡通信，傳入所要讀取的扇區號SECNUM和該扇區對應的讀密鑰RK,進行密鑰驗證； 密鑰獲取單元，用於在密鑰驗證成功後，讀取存儲卡中的塊，並格式化為所需Kl、K2、K3。
10.根據權利要求6所述的信息防護裝置，其特徵在於，所述客戶端中，對文件進行加密過程為使用Kl為密鑰進行DES加密，再用K2為密鑰進行DES 「解密」，最後以K3進行DES加密； 對文件進行解密過程為使用K3為密鑰進行DES解密，再用K2為密鑰進行DES加密，最後以Kl進行DES解密。
全文摘要
本發明涉及一種用於通訊及便攜設備的信息防護方法及裝置，其中信息防護方法包括產生讀密鑰及寫密鑰，並將讀密鑰及寫密鑰寫入存儲卡的所有控制扇區，產生並寫入存儲卡的所有數據扇區的三重數據加密算法密鑰包；對待加密文件進行哈希取模處理，得到對應的存儲卡密鑰存儲扇區，記為SECNUM，客戶端與密鑰認證伺服器建立安全連接，並與密碼認證伺服器協商，通過安全連接獲取用於讀取存儲卡對應扇區的讀密鑰，根據讀密鑰與存儲卡通信，獲取加密或解密所需的三重數據加密算法密鑰包，包括K1、K2、K3，對文件進行加密或解密。採用本發明可確保所有通訊及便攜設備的數據在訪問網際網路或通過本機存儲、傳輸、交換數據的安全性。
文檔編號H04L29/06GK102801730SQ20121029086
公開日2012年11月28日 申請日期2012年8月16日 優先權日2012年8月16日
發明者蘭軼倫, 林青山 申請人:廈門市美亞柏科信息股份有限公司