移动终端的密码安全隔离防护系统的制作方法

1.本技术涉及通信安全防护技术领域，特别是涉及一种移动终端的密码安全隔离防护系统。


背景技术：

2.随着信息化网络时代的全面建立，现有的企业、政府及民营行业，都使用互联网，进行无线网络通信的传输及收发信号的处理，结合集成电路技术的成熟发展，移动终端的处理能力日益增加，变为一个能够处理综合信息的平台，与此同时，移动终端在通信数据交换过程中，容易发生信息泄露、病毒入侵、黑客篡改及不法分子盗取机密的问题，由此，出现了对移动终端的防护系统。
3.现有的移动终端防护系统是结合智能加密的技术手段，对移动终端通信数据进行加密防护处理，但是，目前智能加密手段单一，模块间隔离效果不好，导致移动终端收发数据时，速度慢，进而影响企业通信效率。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够提高移动终端通讯效率的移动终端的密码安全隔离防护系统。
5.本技术提供了一种移动终端的密码安全隔离防护系统，所述系统包括：证书服务模块、应用服务模块、密码安全服务模块、分割内存独储模块、密码安全隔离模块、密码监测管理模块、通信协议模块和移动终端处理器模块；
6.所述证书服务模块，用于所述移动终端传输通信信号数据时，建立信任和信任验证的数字证书，所述数字证书用于验证所述移动终端的用户身份信息；
7.所述应用服务模块，用于为所述移动终端提供目标软件，基于所述目标软件的功能服务，协同所述移动终端进行防护；
8.所述密码安全服务模块，用于对所述移动终端的用户身份信息进行加密处理、加密算法的执行运算、安全密钥管理、智能随机编辑及安全级保护的过程；
9.所述分割内存独储模块，用于与所述移动终端处理器进行数据处理，并独立存储数据处理中的数据信息；
10.所述密码安全隔离模块，用于网络空间中对所述移动终端用户身份信息进行验证，和所述数据信息的信号加密服务进行安全隔离；
11.所述通信协议模块，用于为所述移动终端提供本地至企业网络的宽带连接；
12.所述移动终端处理器模块，用于与所述证书服务模块、所述应用服务模块、所述密码安全服务模块、所述分割内存独储模块、所述密码安全隔离模块、所述密码监测管理模块，所述通信协议模块相连接。
13.在其中一个实施例中，所述证书服务模块、所述应用服务模块和所述密码安全服务模块通过软件形式，利用网络下载安装到所述移动终端上，并通过协议受控于所述移动
终端处理器模块进行协同作用；
14.所述分割内存独储模块、所述密码监测管理模块和所述密码安全隔离模块通过总线与所述移动终端处理器模块进行通信连接，并传输所述通信信号数据；
15.所述通信协议模块通过串口协议与所述移动终端进行连接。
16.在其中一个实施例中，所述应用服务模块包括sdk开发程序单元、移动终端漏洞修复单元和移动终端异己拦截单元；
17.所述sdk开发程序单元用于开发软件，为所述移动终端进行软件设计和程序编辑；
18.所述移动终端漏洞修复单元，用于对所述sdk开发程序单元开发的软件，进行漏洞修复、更新、升级；
19.所述移动终端异己拦截单元，用于检测分析到异己终端的入侵，开启拦截模式排除异己侵入，以及调用陷阱层使异己终端获取错误信息。
20.在其中一个实施例中，所述密码安全服务模块包括：信息认证单元和加密单元；
21.所述信息认证单元，用于传输通信信号数据时进行登录身份信息的验证，以及对用户发送信号进行加密计算并对该加密算法对应的公共密钥信息进行认证处理；其中，所述信息认证单元包括所述移动终端的用户身份信息和所述加密算法的密钥信息；
22.所述加密单元，用于采用加密算法和密钥使用，将传输通信信号数据变换成不可理解的乱码密文进行传送。
23.在其中一个实施例中，所述密码安全服务模块还包括：随机加密程序单元和智能安全级拓展单元；
24.所述随机加密程序单元，用于利用c语言编写的随机加密函数程序，将所述随机加密函数程序插入所述移动终端中，对所述移动终端传输的所述通信信号数据进行随机加密处理；
25.所述智能安全级拓展单元，用于按照模块接口、密码算法、信号鉴别、身份鉴别及入侵式攻击缓解的顺序设定安全级别的递进式安全机制。
26.在其中一个实施例中，所述通信协议模块，包括ca协议端口单元、vpn通信通道单元及api单元；
27.所述ca协议端口单元，用于开启ca协议的使用端口，连接证书服务模块进行通信协议的配置；
28.所述vpn通信通道单元，用于在vpn网关和对端网关建立基础上建立vpn通信通道，在私有网络中使用移动终端连接网络加密通信传输到外部idc中；
29.所述api单元，用于根据预先定义的函数，通过编程接口提供应用程序与所述sdk开发程序单元的所述开发软件链接。
30.在其中一个实施例中，所述密码安全隔离模块包括：密码运算单元；
31.所述密码运算单元，用于对所述加密单元中的加密算法的类型进行密码运算，其中，加密算法的类型包括des算法、rc2算法、rc4算法、idea算法那、aes对称算法、rsa的非对称算法、sha算法、dsa数字签名的算法；
32.所述随机加密程序单元，还用于随机函数加密选择加密单元中的加密算法类型，并通过密码运算单元进行计算。
33.在其中一个实施例中，所述密码安全隔离模块还包括：密钥管理单元和安全隔离
处理单元；
34.所述密钥管理单元，用于将加密、解密的密钥集存储到所述密码安全隔离模块中，进行集中管理；
35.所述安全隔离处理单元，用于将所述密码安全隔离模块从所述移动终端的物理空间与所述密码安全服务模块进行隔开，通过隔离出所述分割内存独储模块的存储单元进行密码运算和密钥管理。
36.在其中一个实施例中，所述密码监测管理模块，用于对所述数据信息的信号进行加密类型、安全功能以及密码边界的维度的管理。
37.在其中一个实施例中，所述通信协议模块，还用于将打包后所述密钥和所述通信信号发送至所述企业网络。
38.上述移动终端的密码安全隔离防护系统，通过搭建证书服务模块、应用服务模块、密码安全服务模块、分割内存独储模块、密码安全隔离模块、密码监测管理模块、通信协议模块和移动终端处理器模块，首先证书服务模块建立信任和信任验证的数字证书，然后，密码安全隔离模块与密码安全服务模块数据处理过程和结果单独发送至分割内存独储模块，有效保证了模块之间的隔离效果，应用服务模块为移动终端提供目标软件，用户通过目标软件可以进行数据编辑，最后，通过通信协议模块为移动终端的提供数据收发接口。该系统，通过各个模块之间协同作用，在保证各模块之间隔离效果的前提下，提高了移动终端的通信效率。
附图说明
39.图1为一个实施例中移动终端的密码安全隔离防护系统的结构框图；
40.图2为一个实施例中应用服务模块的结构框图；
41.图3为一个实施例中密码安全服务模块的结构框图；
42.图4为一个实施例中随机加密的方法的流程示意图；
43.图5为一个实施例中通信协议模块的结构框图；
44.图6为一个实施例中密码安全隔离模块的结构框图。
具体实施方式
45.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
46.随着信息化网络时代的发展，现有的企业、政府和民营企业都使用互联网进行无线网络通信的传输以及收发信号的处理，结合集成电路技术的成熟发展，移动终端的处理能力日益增加，变为一个能够处理综合信息的平台，但同时，移动终端(手机、笔记本、电脑、pos机等)在通信数据交换过程中，容易发生病毒入侵、黑客篡改，造成机密内容出现泄露。
47.现有的移动终端防护系统是结合智能加密的技术手段，对移动终端通信数据进行加密防护处理，采取修复漏洞的程序对移动终端进行监测维修，保护移动终端的安全，以及采取对应接口协议通信通道，经过搭建无线专属通道进行数据信号传输，增加系统运行的稳定性和可靠性。
48.有鉴于此，在一个实施例中，如图1所示，提供了一种移动终端的密码安全隔离防护系统，包括：证书服务模块102、应用服务模块104、密码安全服务模块106、分割内存独储模块108、密码安全隔离模块110、密码监测管理模块112、通信协议模块114和移动终端处理器模块116。
49.证书服务模块102，用于移动终端传输通信信号数据时，建立信任和信任验证的数字证书，数字证书用于验证移动终端的用户身份信息。
50.其中，证书是移动终端在网上信息交流、交易认证及传播信号的身份证明。具体的，证书可以是数字证书，数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
51.证书服务模块102又称ca(certificate authority，证书授权)服务模块。
52.其中，建立信任和信任验证的数字证书指建立用户属性客观真实性和证书的真实性一致。
53.具体地，ca服务模块可以根据预先建立的注册审核体系，为目标用户分发用户专属的数字证书，分发证书的同时检查核实进行证书申请的目标用户身份和各项相关信息，可以理解的，ca服务模块通过向目标用户分发数字证书，使网上交易或网络通讯的用户属性客观真实性和证书的真实性一致。
54.其中，ca服务模块可以通过向移动终端用户分发数字证书，来实现审核验证移动终端用户身份，保证了移动终端用户的身份信息客观真实。
55.应用服务模块104，用于为移动终端提供目标软件，基于目标软件的功能服务，协同移动终端进行防护。
56.其中，目标软件可以是移动终端从网络下载安装的应用软件app，根据应用软件app的具体功能，协同应用终端进行防护。
57.具体地，目标软件包括开发维度、修复维度和拦截维度。
58.其中，目标软件的开发维度指对目标软件进行开发时需要考虑防护病毒程序侵入的开发包，目标软件的修复维度指对在目标软件的开发维度中需要加入对目标软件漏洞修复、更新、升级以及加强修复移动终端的程序，目标软件的拦截维度指对在目标软件的开发维度中需要加入对目标软件的拦截模式，排除异己终端的入侵。拦截模式可以根据移动终端预设的保密等级高低进行设置，可以根据实际情况进行灵活选择，在此不做限定。
59.密码安全服务模块106，用于对移动终端的用户身份信息进行加密处理、加密算法的执行运算、安全密钥管理、智能随机编辑及安全级保护的过程。
60.其中，密码安全服务模块106包括信息认证层、加密层、随机加密层和安全拓展层。
61.其中，信息认证层指对移动终端的用户身份信息进行加密处理之前的判断，根据移动终端的数字证书的匹配结果得到移动终端的用户身份信息的认证结果，若认证结果为通过，则对移动终端的用户身份信息进行加密处理。
62.加密层，指对用户身份信息进行加密处理，例如，使用具体的加密算法对移动终端的数据信息、身份信息等信息进行加密，以及保存加密后的信息对应的密钥。
63.随机加密层，指对移动终端的数据信息、身份信息等信息进行随机加密，按照一定优先级，对各类信息进行加密处理。
64.安全拓展层，指对移动终端的数据信息、身份信息等信息划分优先级，按照信息对
应的按安全级别从高至低划分不同安全级别，例如，将移动终端的身份信息的优先级设置为第一优先级，其他信息划分为第二优先级。
65.分割内存独储模块108，用于与移动终端处理器进行数据处理，并独立存储数据处理中的数据信息。
66.其中，分割内存独储模块108可以是移动终端的内存管理模块。
67.具体地，分割内存独储模块108将移动的内存划分为多个独立的存储空间，以便完成各模块之间的隔离。
68.密码安全隔离模块110，用于网络空间中对移动终端用户身份信息进行验证，和数据信息的信号加密服务进行安全隔离。
69.其中，在网络空间中用于对移动终端的用户身份识别验证和数据信息信号加密服务进行安全隔离，起到安全保密性、完整性及抗抵赖性的作用。其中，抗抵赖性指信息的不可否认性，传统的方法中是靠手写签名加盖印章来实现信息的不可否认性(抗抵赖性)。在互联网电子环境下，可以通过数字证书机制得到数字签名和时间戳，保证信息的抗抵赖性。
70.通信协议模块114，用于为移动终端提供本地至企业网络的宽带连接。
71.其中，让移动终端用户利用本地可用的高速宽带网连接到企业网络，并保证数据的安全传输过程。
72.移动终端处理器模块116，用于与证书服务模块102、应用服务模块104、密码安全服务模块106、分割内存独储模块108、密码安全隔离模块110、密码监测管理模块112，通信协议模块114相连接。
73.本实施例中，通过搭建证书服务模块、应用服务模块、密码安全服务模块、分割内存独储模块、密码安全隔离模块、密码监测管理模块、通信协议模块和移动终端处理器模块，首先证书服务模块建立信任和信任验证的数字证书，然后，密码安全隔离模块与密码安全服务模块数据处理过程和结果单独发送至分割内存独储模块，有效保证了模块之间的隔离效果，应用服务模块为移动终端提供目标软件，用户通过目标软件可以进行数据编辑，最后，通过通信协议模块为移动终端的提供数据收发接口。该系统，通过各个模块之间协同作用，在保证各模块之间隔离效果的前提下，提高了移动终端的通信效率。
74.在一个实施例中，如图1所示，证书服务模块、应用服务模块和密码安全服务模块通过软件形式，利用网络下载安装到移动终端上，并通过协议受控于移动终端处理器模块进行协同作用；分割内存独储模块、密码监测管理模块和密码安全隔离模块通过总线与移动终端处理器模块进行通信连接，并传输通信信号数据；通信协议模块通过串口协议与移动终端进行连接。
75.其中，软件形式，指通过软件安装包的形式，将证书服务模块、应用服务模块和密码安全服务模块从网络下载安装到移动终端上，并通过协议受控于移动终端处理器模块进行协同作用。
76.总线指移动终端的数据总线、地址总线和控制总线，分别用来传输数据、数据地址和控制信号。具体地，总线形式，指利用连接线，将分割内存独储模块、密码监测管理模块和密码安全隔离模块通过总线与移动终端处理器模块进行通信连接。
77.串口，又称串行端口串行接口简称串口，也称串行通信接口或串行通讯接口，是采用串行通信方式的扩展接口，串行接口是指数据一位一位地顺序传送，只要一对传输线就
可以实现双向通信。
78.串口形式，代表通信协议模块通过串口协议与移动终端进行连接。
79.本实施例中，通过采用软件形式、总线形式和串口形式将各个模块连接实现各模块之间信号相互控制和制约。
80.在一个实施例中，如图2所示，应用服务模块包括sdk开发程序单元1042、移动终端漏洞修复单元1044和移动终端异己拦截单元1046；sdk开发程序单元1042用于开发软件，为移动终端进行软件设计和程序编辑；移动终端漏洞修复单元1044，用于对sdk开发程序单元1042开发的软件，进行漏洞修复、更新、升级；移动终端异己拦截单元1046，用于检测分析到异己终端的入侵，开启拦截模式排除异己侵入，以及调用陷阱层使异己终端获取错误信息。
81.其中，sdk开发程序单元1042是开发软件的工具单元，为建立移动终端防护系统的软件进行设计及程序编辑。
82.具体地，sdk开发程序单元1042提供保护移动终端设备并修复漏洞的app软件及防护病毒程序侵入的开发包，并且与通信协议模块中的进行连接执行程序的命令
83.其中，移动终端漏洞修复单元1044是利用sdk开发程序单元1042，开发出的修复软件，进行漏洞修复、更新、升级及加强修复移动终端的过程。具体地，移动终端漏洞修复单元1044修复漏洞的步骤包括：挖掘威胁漏洞、检测提取漏洞、攻击分析、修复漏洞及启动缓解防御机制。
84.其中，移动终端异己拦截单元1046是智能移动终端检测分析到异己终端的入侵，开启拦截模式排除异己侵入，以及调用陷阱层让异己终端获取错误信息。
85.本实施例中，通过对软件漏洞进行定期修复，以及对异己终端的入侵进行拦截，提高了移动终端的安全性。
86.在一个实施例中，如图3所示，密码安全服务模块106包括：信息认证单元1062和加密单元1064；信息认证单元1062，用于传输通信信号数据时进行登录身份信息的验证，以及对用户发送信号进行加密计算并对该加密算法对应的公共密钥信息进行认证处理；其中，信息认证单元1062包括移动终端的用户身份信息和加密算法的密钥信息；加密单元1064，用于采用加密算法和密钥使用，将传输通信信号数据变换成不可理解的乱码密文进行传送。
87.其中，信息认证单元1062包括移动终端用户身份信息和加密算法的密钥信息，其通过建立数字电子文件存储在分割内存独储模块中的存储单元内，当移动终端接入局域网时，传输信号数据时进行登录身份信息的验证，以及对用户发送信号进行加密计算并对该加密算法对应的公共密钥信息进行认证处理。
88.其中，加密单元1064是采用加密算法和密钥使用，将传输的数据信号变换成不可理解的乱码密文进行传送，其中，加密算法是将移动终端编辑传输的明文信息与一串数字结合形成密文的过程；密钥是用来对数据进行编码和解密的一种算法；加密算法包括des算法、3des算法、rc2算法、rc4算法、idea算法、aes的对称算法、rsa的非对称算法、sha算法、dsa数字签名算法。
89.其中，对称算法是加密和解密使用同一个密钥，而非对称算法的加密和解密是使用公钥和私钥两个不同密钥，sha算法是一个密码散列函数算法，能计算出一个数字消息所对应到长度固定的字符串的算法，dsa数字签名是采用数学概念，将模幂运算公式和离散对
数进行算法计算的数字加密，该密钥是计算结果的密码值。
90.本实施例中，通过加密单元对通过信息认证后的移动终端的信息进行加密，提高了移动终端的信息安全性。
91.在一个实施例中，如图3所示，密码安全服务模块还包括：随机加密程序单元1066和智能安全级拓展单元1068；随机加密程序单元1066，用于利用c语言编写的随机加密函数程序，将随机加密函数程序插入移动终端中，对移动终端传输的通信信号数据进行随机加密处理；智能安全级拓展单元1068，用于按照模块接口、密码算法、信号鉴别、身份鉴别及入侵式攻击缓解的顺序设定安全级别的递进式安全机制。
92.其中，随机加密程序单元1066是利用c语言编写的随机加密函数程序，并把程序插入移动终端的随机加密程序单元1066中，通过随机选取加密单元中若干种加密算法对移动终端传输的信息进行随机加密处理。
93.其中，如图4所示，随机加密的方法，包括：
94.s402，定义随机函数。
95.其中，通过简单的几个乘法和除法对随机函数进行赋值，并建立随机函数的赋值和加密算法类型的映射关系表。
96.s404，获取定义后的随机函数所对应的加密算法类型。
97.其中，加密算法类型包括：des算法、3des算法、rc2算法、rc4算法、idea算法、aes的对称算法、rsa的非对称算法、sha算法、dsa数字签名算法等。
98.s406，随机替换加密算法。
99.其中，随机替换加密算法，代表按照随机函数的赋值所在的区间，选取一个或多个随机函数，比如，赋值在1至10的随机函数，得到随机函数对应的加密算法。
100.s408，基于替换后的加密算法，对移动终端传输的信息进行加密，得到加密结果。
101.其中，智能安全级拓展单元1068是将密码安全服务模块按照模块接口、密码算法、信号鉴别、身份鉴别及入侵式攻击缓解的顺序设定安全级别的递进式安全机制，对密码安全隔离模块移动终端防护系统的运行环境进行安全级别的操作流程，提供全面深层次的安全防护措施。
102.其中，代表数据来源于哪个模块接口，模块接口包括证书服务模块、应用服务模块、密码安全服务模块、分割内存独储模块、密码安全隔离模块、密码监测管理模块、通信协议模块和移动终端处理器模块中的至少一种。
103.密码算法指，des算法、3des算法、rc2算法、rc4算法、idea算法、aes的对称算法、rsa的非对称算法、sha算法、dsa数字签名算法等中的至少一种。
104.信号鉴别，指密码算法的类型。
105.身份鉴别，指移动终端和其他终端的操作者。
106.入侵式攻击缓解的顺序，指移动终端遭遇异己终端或其他方式的入侵，移动终端执行预设的受攻击后缓解顺序。
107.具体地，可以对模块接口、密码算法、信号鉴别、身份鉴别及入侵式攻击缓解的顺序赋予权重，得到递进式安全机制的评分，根据移动终端预设的安全级别匹配合适递进式安全机制的评分等级，例如，移动终端预设的安全级别为一级，匹配的递进式安全机制的评分为90分，评分等级为第一等级。
108.本实施例中，对移动终端进行随机加密保证了移动终端的安全性，将密码安全服务模块按照模块接口、密码算法、信号鉴别、身份鉴别及入侵式攻击缓解的顺序设定安全级别的递进式安全机制，对密码安全隔离模块移动终端防护系统的运行环境进行安全级别的操作流程，提供全面深层次的安全防护措施。
109.在一个实施例中，通信协议模块114，包括ca协议端口单元1142、vpn通信通道单元1144及api单元1146；ca协议端口单元1142，用于开启ca协议的使用端口，连接证书服务模块进行通信协议的配置；vpn通信通道单元1144，用于在vpn网关和对端网关建立基础上建立vpn通信通道，在私有网络中使用移动终端连接网络加密通信传输到外部idc中；api单元1146，用于根据预先定义的函数，通过编程接口提供应用程序与sdk开发程序单元的开发软件链接。
110.其中，ca协议端口单元1142是开启ca协议使用端口，连接证书服务模块进行通信协议的配置端口单元。
111.其中，vpn通信通道单元1144是在vpn网关和对端网关建立基础上建立vpn通信通道，在私有网络中使用移动终端连接网络加密通信传输到外部idc中。
112.vpn网关是私有网络的ipsecvpn网关，与对端网关，即用户idc侧的ipsecvpn服务网关配合使用，主要用于私有网络和用户的idc之间建立安全可靠的加密网络通信对端网关。
113.对端网关是指用户idc机房的ipsecvpn服务网关在私有网络内的映射，对端网关需与vpn网关配合使用，一个vpn网关可与多个对端网关建立带有加密的vpn网络通道，vpn通信通道是加密的公网ipsecvpn通道，用于私有网络和用户的dc之间的加密通信。
114.其中，api单元1146，是预先定义的函数，通过编程接口提供应用程序与sdk开发软件的，以访问一组例程的能力，而又无需访问源码，api是一组定义、程序及协议的集合，实现app软件与移动终端防护系统的通信功能，并且给证书服务模块提供数据信息。
115.本实施例中，通过通信协议模块对移动终端的经过加密后的数据进行收发，基于vpn网关和对端网关配合使用，达到快速收发数据的效果，提高企业通信效率。
116.在一个实施例中，如图6所示，密码安全隔离模块110包括：密码运算单元1102；密码运算单元1102，用于对加密单元中的加密算法的类型进行密码运算，其中，加密算法的类型包括des算法、rc2算法、rc4算法、idea算法那、aes对称算法、rsa的非对称算法、sha算法、dsa数字签名的算法；随机加密程序单元，还用于随机函数加密选择加密单元中的加密算法类型，并通过密码运算单元1102进行计算。
117.其中，密码运算单元1102是对加密单元中的加密算法的类型进行密码运算，其中，以加密算法为des算法为例进行说明，des算法运算过程为：初始置换ip、生成16个48位的子密钥k、16轮feistel结构迭代及逆初始置换ip-1，所述16轮feistel结构迭代包括扩展置换e、s盒代换及置换p；feistel结构把任何函数转换为一个置换；子密钥k的生成是经过置换选择pc1、循环左移及置换选择pc-2。
118.其中，对加密单元中的加密算法的类型进行密码运算的结果可以是子密钥。至于rc2算法、rc4算法、idea算法及aes的对称算法、rsa的非对称算法、sha算法、dsa数字签名的算法运算过程均是在密码运算单元1102，在此不做赘述。
119.其中，密码安全服务模块的随机加密程序单元，还用于随机函数加密选择加密单
元中的加密算法类型，并通过密码运算单元1102进行计算。
120.本实施例中，通过对加密算法进行具体运算，得到加密后的移动终端数据，提高了数据传输过程的安全性。
121.在一个实施例中，如图6所示，密码安全隔离模块110还包括：密钥管理单元1104和安全隔离处理单元1106；密钥管理单元1104，用于将加密、解密的密钥集存储到密码安全隔离模块110中，进行集中管理；安全隔离处理单元1106，用于将密码安全隔离模块110从移动终端的物理空间与密码安全服务模块进行隔开，通过隔离出分割内存独储模块的存储单元进行密码运算和密钥管理。
122.其中，密钥管理单元1104是将加密、解密的密钥集存储到密码安全隔离模块1106中，进行集中管理，管理密钥包括密钥生成、密钥存储、密钥分发、密钥撤销、密钥归档、密钥恢复及安全管理，密钥管理单元1104提供加密、解密、转加密、获取密钥、密钥更新、计算数据mac等密码服务功能，用于安全防护移动终端系统通信的使用环境。
123.其中，安全隔离处理单元1106是将密码安全隔离模块110从移动终端的物理空间与密码安全服务模块进行隔开，通过隔离出独储的存储单元进行密码运算和密钥管理，安全隔离处理单元1106决定了密码在网络空间中身份识别、安全隔离、完整性保护、信息加密和抗抵赖性。
124.本实施例中，通过将密码安全隔离模块和密码安全服务模块从移动终端的物理层面隔开，增强了移动终端在网络空间中身份识别、安全隔离、完整性保护、信息加密和抗抵赖性。
125.在一个实施例中，密码监测管理模块，用于对数据信息的信号进行加密类型、安全功能以及密码边界的维度的管理。
126.其中，加密类型指对数据信息的信号进行加密的方式，具体为密码安全隔离模块和密码安全服务模块所采用的加密算法类型。
127.安全功能指移动终端的软件功能。
128.密码边界指密码模块的屋里和/或逻辑边界，并包括了密码模块的所有硬件、软件和/或固件部件。
129.具体地，加密类型的维度指移动终端的数据进行细节处理的维度，安全功能维度指对移动终端的数据从业务层面进行处理的维度，密码边界的维度指对移动终端的数据从进行整体处理的维度。
130.本实施例中，通过对数据信息的信号进行加密类型、安全功能以及密码边界的维度的管理，从不同维度对加密过程进行监测，保证了加密效果的同时提高了移动终端的稳定性。
131.在一个实施例中，通信协议模块，还用于将打包后密钥和通信信号发送至企业网络。
132.其中，移动终端在对数据进行加密后得到打包好的密钥和通信信号，通信协议模块将打包后密钥和通信信号发送至企业网络。通信协议模块将打包后的密钥和通信信号发送至企业网络，即，视为移动终端完成一次数据发送。
133.本实施例中，通过通信协议模块对打包后的密钥和通信信号进行发送，能够
134.应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头
的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
135.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
136.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
137.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
138.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种移动终端的密码安全隔离防护系统，其特征在于，所述系统包括：证书服务模块、应用服务模块、密码安全服务模块、分割内存独储模块、密码安全隔离模块、密码监测管理模块、通信协议模块和移动终端处理器模块；所述证书服务模块，用于所述移动终端传输通信信号数据时，建立信任和信任验证的数字证书，所述数字证书用于验证所述移动终端的用户身份信息；所述应用服务模块，用于为所述移动终端提供目标软件，基于所述目标软件的功能服务，协同所述移动终端进行防护；所述密码安全服务模块，用于对所述移动终端的用户身份信息进行加密处理、加密算法的执行运算、安全密钥管理、智能随机编辑及安全级保护的过程；所述分割内存独储模块，用于与所述移动终端处理器进行数据处理，并独立存储数据处理中的数据信息；所述密码安全隔离模块，用于网络空间中对所述移动终端用户身份信息进行验证，和所述数据信息的信号加密服务进行安全隔离；所述通信协议模块，用于为所述移动终端提供本地至企业网络的宽带连接；所述移动终端处理器模块，用于与所述证书服务模块、所述应用服务模块、所述密码安全服务模块、所述分割内存独储模块、所述密码安全隔离模块、所述密码监测管理模块，所述通信协议模块相连接。2.根据权利要求1所述的系统，其特征在于，所述证书服务模块、所述应用服务模块和所述密码安全服务模块通过软件形式，利用网络下载安装到所述移动终端上，并通过协议受控于所述移动终端处理器模块进行协同作用；所述分割内存独储模块、所述密码监测管理模块和所述密码安全隔离模块通过总线与所述移动终端处理器模块进行通信连接，并传输所述通信信号数据；所述通信协议模块通过串口协议与所述移动终端进行连接。3.根据权利要求1或2所述的系统，其特征在于，所述应用服务模块包括sdk开发程序单元、移动终端漏洞修复单元和移动终端异己拦截单元；所述sdk开发程序单元用于开发软件，为所述移动终端进行软件设计和程序编辑；所述移动终端漏洞修复单元，用于对所述sdk开发程序单元开发的软件，进行漏洞修复、更新、升级；所述移动终端异己拦截单元，用于检测分析到异己终端的入侵，开启拦截模式排除异己侵入，以及调用陷阱层使异己终端获取错误信息。4.根据权利要求1或2所述的系统，其特征在于，所述密码安全服务模块包括：信息认证单元和加密单元；所述信息认证单元，用于传输通信信号数据时进行登录身份信息的验证，以及对用户发送信号进行加密计算并对该加密算法对应的公共密钥信息进行认证处理；其中，所述信息认证单元包括所述移动终端的用户身份信息和所述加密算法的密钥信息；所述加密单元，用于采用加密算法和密钥使用，将传输通信信号数据变换成不可理解的乱码密文进行传送。5.根据权利要求4所述的系统，其特征在于，所述密码安全服务模块还包括：随机加密程序单元和智能安全级拓展单元；
所述随机加密程序单元，用于利用c语言编写的随机加密函数程序，将所述随机加密函数程序插入所述移动终端中，对所述移动终端传输的所述通信信号数据进行随机加密处理；所述智能安全级拓展单元，用于按照模块接口、密码算法、信号鉴别、身份鉴别及入侵式攻击缓解的顺序设定安全级别的递进式安全机制。6.根据权利要求3所述的系统，其特征在于，所述通信协议模块，包括ca协议端口单元、vpn通信通道单元及api单元；所述ca协议端口单元，用于开启ca协议的使用端口，连接证书服务模块进行通信协议的配置；所述vpn通信通道单元，用于在vpn网关和对端网关建立基础上建立vpn通信通道，在私有网络中使用移动终端连接网络加密通信传输到外部idc中；所述api单元，用于根据预先定义的函数，通过编程接口提供应用程序与所述sdk开发程序单元的所述开发软件链接。7.根据权利要求5所述的系统，其特征在于，所述密码安全隔离模块包括：密码运算单元；所述密码运算单元，用于对所述加密单元中的加密算法的类型进行密码运算，其中，加密算法的类型包括des算法、rc2算法、rc4算法、idea算法那、aes对称算法、rsa的非对称算法、sha算法、dsa数字签名的算法；所述随机加密程序单元，还用于随机函数加密选择加密单元中的加密算法类型，并通过密码运算单元进行计算。8.根据权利要求7所述的系统，其特征在于，所述密码安全隔离模块还包括：密钥管理单元和安全隔离处理单元；所述密钥管理单元，用于将加密、解密的密钥集存储到所述密码安全隔离模块中，进行集中管理；所述安全隔离处理单元，用于将所述密码安全隔离模块从所述移动终端的物理空间与所述密码安全服务模块进行隔开，通过隔离出所述分割内存独储模块的存储单元进行密码运算和密钥管理。9.根据权利要求1或2所述的系统，其特征在于，所述密码监测管理模块，用于对所述数据信息的信号进行加密类型、安全功能以及密码边界的维度的管理。10.根据权利要求4所述的系统，其特征在于，所述通信协议模块，还用于将打包后所述密钥和所述通信信号发送至所述企业网络。

技术总结
本申请涉及一种移动终端的密码安全隔离防护系统。系统包括证书服务模块、应用服务模块、密码安全服务模块、分割内存独储模块、密码安全隔离模块、密码监测管理模块、通信协议模块和移动终端处理器模块；密码安全服务模块，用于对移动终端的用户身份信息进行加密处理、加密算法的执行运算、安全密钥管理、智能随机编辑及安全级保护的过程；分割内存独储模块，用于与移动终端处理器进行数据处理，并独立存储数据处理中的数据信息；密码安全隔离模块，用于网络空间中对移动终端用户身份信息进行验证，和数据信息的信号加密服务进行安全隔离。该系统，通过各个模块之间协同作用，在保证各模块之间隔离效果的前提下，提高了移动终端的通信效率。的通信效率。的通信效率。


技术研发人员：刘威 邓巍 黄建华 张健 黄志伟 庞宁
受保护的技术使用者：深圳供电局有限公司
技术研发日：2023.01.06
技术公布日：2023/7/11