基于软件环境的密码管理方法、系统、设备及存储介质技术方案

本申请涉及一种基于软件环境的密码管理方法、系统、设备及存储介质。所述方法包括：密码软件模块接收第三方应用发送的密码服务请求，密码管理模块验证请求对应的身份信息，当验证通过时密码功能模块验证第三方应用的授权信息，当通过验证时，再验证密码功能模块的合法性，当密码功能模块的合法性通过验证时，控制第三方应用从密码功能模块中获取与密码服务请求对应的密钥，其中，密码软件模块可以嵌入至第三方应用，也可以单独作为一个应用与第三方应用交互。本申请通过将密码软件模块与第三方应用的功能独立出来，在软件形态下完成密码功能与业务功能的隔离，减少了因第三方应用的实现不当造成密码功能安全性受影响的可能。能。能。

【技术实现步骤摘要】
基于软件环境的密码管理方法、系统、设备及存储介质


[0001]本申请涉及信息安全
，尤其涉及一种基于软件环境的密码管理方法、系统、设备及存储介质。

技术介绍

[0002]密码功能可以保证数据的机密性、完整性和不可否认性，这些性质可基于多种密码算法实现。例如：使用SM3、SHA系列算法对数据进行哈希运算，使用公钥密码算法实现数字签名和数据的加解密，使用对称密码算法也可实现数据的加解密保证数据的机密性。这些密码算法往往经过了专业人员或权威机构的充分验证，确保算法具备特定安全假设下的安全强度，此外密码算法的运算过程公开。因此在实际应用中，密钥及随机数等敏感信息的存储和生成对密码功能的安全性起到了决定性作用。
[0003]基于硬件的密码功能服务安全性较高，通过将敏感信息存储在特定硬件产品中，实现了密码功能与具体业务功能的分离。例如：将密钥等信息和密码算法放在USBKey中，需要调用密码服务时通过外插USBKey，将需要进行密码保护的信息传输给USBKey，在USBKey完成加密等运算后只将运算结果返回给具体业务功能模块。也可以在特定硬件设备中集成密码硬件组件，即密码硬件组件在设备出厂时即集成在设备上。
[0004]虽然基于硬件的密码功能服务中，敏感信息、密码算法运算过程均在硬件隔离的环境中进行，可以降低敏感信息的泄漏的风险。但是硬件密码功能服务与业务完全隔离，对不同业务提供无差别密码功能，不具备灵活性。此外，基于硬件的密码功能往往依赖于硬件设备制造厂商，门槛较高，且基于硬件的密码功能出现问题不能及时进行修复。
[0005]除基于硬件的密码功能服务外，手机APP、电脑端应用程序会在程序内部集成业务功能所必需的密码功能，但是密码功能的开发要求较高，不当的软件实现会影响密码功能的安全性。
[0006]因此，基于软件型态环境提供可靠的密码服务是本专利技术旨在解决的技术问题。

技术实现思路

[0007]鉴于以上内容，本申请提供一种基于软件环境的密码管理方法、系统、设备及存储介质，其目的在于实现基于软件形态环境提供可靠的密码服务。
[0008]第一方面，本申请提供一种基于软件环境的密码管理方法，应用于电子设备，所述电子设备安装有密码软件模块，所述密码软件模块包括密码管理模块与密码功能模块，所述密码软件模块作为独立的应用与第三方应用进行交互，或者所述密码软件模块嵌入至第三方应用与第三方应用进行交互，所述方法包括：
[0009]所述密码软件模块接收第三方应用发送的密码服务请求，所述密码管理模块验证所述密码服务请求对应的身份信息；
[0010]当所述密码服务请求对应的身份信息通过验证时，所述密码功能模块验证所述第三方应用的授权信息；
[0011]当所述第三方应用的授权信息通过验证时，验证所述密码功能模块的合法性；
[0012]当所述密码功能模块的合法性通过验证时，控制所述第三方应用从所述密码功能模块中获取与所述密码服务请求对应的密码对象，以使所述第三方应用基于所述密码对象执行所述密码服务请求对应的操作。
[0013]优选的，在所述密码软件模块接收第三方应用发送的密码服务请求之前，所述方法还包括：
[0014]预先为所述密码功能模块定义密钥管理类接口、密钥使用类接口及应用管理类接口。
[0015]优选的，所述密码管理模块验证所述密码服务请求对应的身份信息，包括：
[0016]所述密码管理模块验证所述密码服务请求对应的申请证书的签名信息，及验证所述密码服务请求对应的用户身份信息。
[0017]优选的，所述密码服务请求对应的身份信息通过验证，包括：
[0018]所述密码服务请求对应的申请证书的签名信息通过验证，且所述密码服务请求对应的用户身份信息通过验证。
[0019]优选的，在所述密码管理模块验证所述密码服务请求对应的身份信息之后，所述方法还包括：
[0020]当所述密码服务请求对应的身份信息未通过验证时，拒绝所述密码服务请求并反馈预设提示信息。
[0021]优选的，所述验证所述密码功能模块的合法性，包括：
[0022]获取所述密码功能模块中预先写入的第一私钥哈希值，及获取当前签名的第二私钥哈希值，判断所述第一私钥哈希值与所述第二私钥哈希值是否相同，若是，则所述密码功能模块的合法性通过验证。
[0023]优选的，在验证所述密码功能模块的合法性之后，所述方法还包括：
[0024]当所述密码功能模块的合法性未通过验证时，销毁所述密码软件模块。
[0025]第二方面，本申请提供一种基于软件环境的密码管理系统，所述系统安装有密码软件模块，所述密码软件模块包括密码管理模块与密码功能模块，所述密码软件模块作为独立的应用与第三方应用进行交互，或者所述密码软件模块嵌入至第三方应用与第三方应用进行交互，所述系统包括：
[0026]接收单元：用于所述密码软件模块接收第三方应用发送的密码服务请求，所述密码管理模块验证所述密码服务请求对应的身份信息；
[0027]第一验证单元：用于当所述密码服务请求对应的身份信息通过验证时，所述密码功能模块验证所述第三方应用的授权信息；
[0028]第二验证单元：用于当所述第三方应用的授权信息通过验证时，验证所述密码功能模块的合法性；
[0029]控制单元：用于当所述密码功能模块的合法性通过验证时，控制所述第三方应用从所述密码功能模块中获取与所述密码服务请求对应的密码对象，以使所述第三方应用基于所述密码对象执行所述密码服务请求对应的操作。
[0030]第三方面，本申请提供一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；
[0031]存储器，用于存放计算机程序；
[0032]处理器，用于执行存储器上所存放的程序时，实现第一方面任一项实施例所述的基于软件环境的密码管理方法的步骤。
[0033]第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面任一项实施例所述的基于软件环境的密码管理方法的步骤。
[0034]本申请提出的基于软件环境的密码管理方法、系统、设备及存储介质与现有技术相比具有如下优点：
[0035]密码软件模块不与硬件设备绑定，可兼容不同厂商的硬件设备；从而为用户或应用提供方更高自由度选择功能更完善的密码功能模块；
[0036]密码功能对于业务安全、用户数据非常重要，软件型态的密码模块比硬件密码模块的升级更加快速和方便；
[0037]将密码功能统一分配给安全性高的密码软件模块比各种第三方应用及各业务提供方各自进行密码模块的研发和维护更加合理分配资源，减少敏感信息泄漏、业务安全遭受威胁的可能性；
[0038]将密码功能统一分配给专门的密码软件模块，能够将应用的业务功能与密码功能实现更合理的相互独立性；
[0039]本申请结合了硬件密码模块中密码功能本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于软件环境的密码管理方法，应用于电子设备，其特征在于，所述电子设备安装有密码软件模块，所述密码软件模块包括密码管理模块与密码功能模块，所述密码软件模块作为独立的应用与第三方应用进行交互，或者所述密码软件模块嵌入至第三方应用与第三方应用进行交互，所述方法包括：所述密码软件模块接收第三方应用发送的密码服务请求，所述密码管理模块验证所述密码服务请求对应的身份信息；当所述密码服务请求对应的身份信息通过验证时，所述密码功能模块验证所述第三方应用的授权信息；当所述第三方应用的授权信息通过验证时，验证所述密码功能模块的合法性；当所述密码功能模块的合法性通过验证时，控制所述第三方应用从所述密码功能模块中获取与所述密码服务请求对应的密码对象，以使所述第三方应用基于所述密码对象执行所述密码服务请求对应的操作。2.如权利要求1所述的基于软件环境的密码管理方法，其特征在于，在所述密码软件模块接收第三方应用发送的密码服务请求之前，所述方法还包括：预先为所述密码功能模块定义密钥管理类接口、密钥使用类接口及应用管理类接口。3.如权利要求1所述的基于软件环境的密码管理方法，其特征在于，所述密码管理模块验证所述密码服务请求对应的身份信息，包括：所述密码管理模块验证所述密码服务请求对应的申请证书的签名信息，及验证所述密码服务请求对应的用户身份信息。4.如权利要求3所述的基于软件环境的密码管理方法，其特征在于，所述密码服务请求对应的身份信息通过验证，包括：所述密码服务请求对应的申请证书的签名信息通过验证，且所述密码服务请求对应的用户身份信息通过验证。5.如权利要求1所述的基于软件环境的密码管理方法，其特征在于，在所述密码管理模块验证所述密码服务请求对应的身份信息之后，所述方法还包括：当所述密码服务请求对应的身份信息未通过验证时，拒绝所述密码服务请求并反馈预设提示信息。6.如权利要求1所述的基于软件环境的密码管...

【专利技术属性】
技术研发人员：宗瑞，陈曼，
申请(专利权)人：微位深圳网络科技有限公司，
类型：发明
国别省市：