[发明专利]移动终端软件安全元器件系统及用于该系统的密钥系统

权利要求书

1.一种移动终端软件安全元器件系统，其特征在于，包括：

移动终端，移动终端内具有安全SDK，所述安全SDK具有用于与软件安全元器件进行交互的安全逻辑模块和对移动终端的文件存储和运行进行安全保护的软件安全元器件；

软件安全元器件管理平台，能够与软件安全元器件通信，并能够存储、管理和验证软件安全元器件使用的密钥；

所述移动终端需要调用软件安全元器件时，其安全SDK中的安全逻辑模块需要与软件安全元器件进行交互并完成指纹校验；

所述安全SDK与软件安全元器件管理平台和软件安全元器件在建立通讯时需要进行基于密钥的双向认证及工作密钥的协商，协商成功后安全SDK和软件安全元器件之间的数据传输使用通信密钥进行加密保护；

所述软件安全元器件包括能够确保调用软件安全元器件方合法性的访问控制及管理模块、能够对移动终端内存储的数据文件加密的存储管理模块、对软件安全元器件密钥进行安全算法保护和管理的白盒算法模块、对软件安全元器件代码进行安全保护的软件安全元器件保护模块和对移动终端物理内存进行虚拟化使安全元器件具有反调试功能的虚拟化管理模块；

其中，所述存储管理模块、软件安全元器件保护模块和白盒算法模块协同合作能够使移动终端内存储的数据文件进行安全保护；

所述虚拟化管理模块和白盒算法模块协同合作能够使移动终端内存得到保护；所述安全SDK中的安全逻辑模块包括接口单元和AC管理单元，所述软件安全元器件的访问控制及管理模块包括接口单元、AC管理单元和完整性校验单元；其中，所述完整性校验单元包括能够校验安全逻辑模块指纹与软件安全元器件指纹是否一致的校验算法次单元和管理及存储指纹信息的指纹管理次单元；

安全逻辑模块中的接口单元与软件安全元器件的接口单元功能对应，安全逻辑模块的AC管理单元与软件安全元器件的AC管理单元功能对应，他们与完整性校验单元配合实现安全SDK对软件安全元器件的交互、指纹验证以及后续可能的调用；所述存储管理模块包括策略配置单元和透明加密单元；

策略配置单元对移动终端内存储的数据文件做出存储加密的配置；

透明加密单元使用软件安全元器件密钥对策略配置单元配置的数据文件进行透明加密；

所述白盒算法模块包括算法逻辑单元和密钥管理单元；

算法逻辑单元具有具体算法过程；

密钥管理单元可以调用算法逻辑单元中的算法管理和存储软件安全元器件密钥；所述软件安全元器件保护模块包括数据变化单元、分支保护单元、差异化单元和控制流变换单元；

所述数据变化单元能将移动终端代码中的常量数值和常量字符串定义转化为用函数生产对应数值和字符；

所述分支保护单元能增加移动终端代码中的无用程序分支；

所述控制流变换单元能将移动终端代码中的控制变量值转换为函数变换；

所述差异化处理单元能随机增加移动终端代码中的无用变量、空指令函数；

所述虚拟化管理模块包括内存虚拟单元和指令虚拟单元；

内存虚拟单元能够虚拟出部分独立的移动终端物理内存，使其用于安全元器件的运行；

指令虚拟单元可以虚拟出部分系统指令，用于直接从软件底层获取移动终端的信息。

2.根据权利要求1所述的系统，其特征在于：所述指纹校验过程中，安全逻辑模块的指纹是基于SDK类信息、版本信息和指纹因子1通过安全散列算法得出的，软件安全元器件的指纹是基于软件安全元器件的文件大小、文件时间、版本信息和指纹因子2通过安全散列算法得出的。

安全

3.一种用于权利要求1-2任一项中所述的移动终端软件安全元器件系统的密钥系统，其特征在于，包括：

主密钥,是软件安全元器件预置的密钥，用于软件安全元器件个人化以生成下述工作密钥和存储密钥，可以被白盒算法加密后存储于软件安全元器件中；

工作密钥，其通过安全SDK软件安全元器件和软件安全元器件管理平台三方密钥交换时生成，用于软件安全元器件对其调用方合法性的认证；

会话密钥，其由软件安全元器件管理平台生成，安全SDK发布时其在安全SDK内预置，用于保证软件安全元器件、安全SDK和软件安全元器件管理平台之间的安全通信；

存储密钥，其由软件安全元器件生成并与移动终端唯一绑定，用于移动终端内存储数据文件的加密。