CN105678179B - 一种ic卡互联网终端发行方法及管理系统 - Google Patents
一种ic卡互联网终端发行方法及管理系统 Download PDFInfo
- Publication number
- CN105678179B CN105678179B CN201410667709.7A CN201410667709A CN105678179B CN 105678179 B CN105678179 B CN 105678179B CN 201410667709 A CN201410667709 A CN 201410667709A CN 105678179 B CN105678179 B CN 105678179B
- Authority
- CN
- China
- Prior art keywords
- terminal
- key
- terminal device
- certificate
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种IC卡互联网终端发行方法,该方法包括:A、授权过程,基于互联网平台向行业电子认证系统申请一个平台根密钥和一个平台根证书;B、生产过程,对终端设备生产密钥、写入临时证书和初始化;C、注册过程,用户首次使用终端设备时,IC卡互联网终端管理系统自动启动终端设备的注册过程。本发明通过行业临时证书的工厂预置、正式证书的联网更新,实现对IC卡互联网终端发行管控和行业应用支持,支持国产密码算法的硬件实现,为行业IC卡的应用提供个人端的受理环境,解决了在金融标准设备的基础上进行大规模行业应用的安全技术融合与发行管理难题,从而填补了该项管理工作的国内空白。
Description
技术领域
本发明涉及IC卡发行方法及管理系统,尤其涉及一种IC卡互联网终端发行方法及管理系统。
背景技术
目前,金融领域IC卡互联网终端作为中国银联的专控产品,采取预置数字证书,并在首次使用时激活使用,更新正式证书的方式,实现对IC卡互联网终端的发行管理,保障产品在金融领域使用的数据安全。金融数据安全体系完善,稳定可靠,有完善的技术规范和丰富的产品支撑,完全能够实现IC卡互联网终端的金融应用。
对于行业应用而言,以社会保障互联网应用为例,社保卡也需要互联网终端,而现有的IC卡互联网终端主要是金融支付终端,以认证、交易和支付安全为主,遵照金融行业标准设计和使用,在行业应用方面难以考虑到社保卡的特性和行业需求。
现有的行业数字证书发行一般采用标准的CA、RA模式,将数字证书导出为文件或存储于USB-KEY,尚未出现针对互联网终端设备的发行模式,因此无法同时满足金融和行业发行需要,难以实现对IC卡互联网终端发行管控和行业应用支持。
发明内容
本发明要解决的技术问题在于提供一种能同时满足金融和行业发行需要、实现对IC卡互联网终端发行管控和行业应用支持、支持国产密码算法的硬件实现、为行业IC卡的应用提供个人端的受理环境的IC卡互联网终端发行方法及管理系统。
为解决上述技术问题,本发明采用如下技术方案。
一种IC卡互联网终端发行方法,该方法包括:A、授权过程,基于互联网平台向行业电子认证系统申请一个平台根密钥和一个平台根证书;B、生产过程,对终端设备生产密钥、写入临时证书和初始化;C、注册过程,用户首次使用终端设备时,IC卡互联网终端管理系统自动启动终端设备的注册过程,所述注册过程包括:(1)终端设备进行状态检查,通过散列值验证出厂信息设置完整性以防篡改;(2)终端设备使用临时证书提交到行业电子认证系统认证,确保临时证书是电子认证系统签发的,并且有效;(3)调用加密机并采用国密算法生成一个密钥对,将密钥对中的私钥保存,将密钥对中的公钥、终端批次信息和终端序列号发送到IC卡互联网终端管理系统,由平台根证书签发成终端设备的正式证书,正式证书保留所发送的公钥,行业电子认证系统数据库记录了与终端设备批次信息相对应的公钥和设备序列号;(4)将正式证书写入终端设备中;(5)终端设备使用正式证书进行验证;(6)验证通过后,通过正式证书的密钥对,行业电子认证系统利用非对称算法数字信封传递正式证书的密钥给终端设备,终端设备替换生产密钥;(7)系统注册终端设备信息并修改终端设备状态,注册完成。
优选地,所述授权过程中,平台根密钥是符合行业分级密钥管理体系的对称密钥,用于终端设备的安全模块初始化,平台根证书是符合公钥基础设施的非对称数字证书,用于行业电子认证系统对互联网终端设备颁发设备证书,平台根证书包含平台的基本信息、颁发者信息、颁发者签名和平台公钥。
优选地,所述生产过程中,生产密钥由平台根密钥按设备批次信息分散而来,临时证书由平台根证书按设备批次信息签发。
一种IC卡互联网终端发行管理系统,其包括有:一终端设备,用于对IC卡读写;一客户端插件,所述客户端插件工作于浏览器的网页页面内,用于驱动和控制终端设备,并向网页提供应用接口;一服务端接口,所述服务端接口用于和客户端插件进行网络通信,以网络方式支持终端设备的发行管理和使用;一前置系统,所述前置系统用于向服务接口提供加密机访问及控制,实现安全算法的硬件执行;一管理模块,所述管理模块用于平台运营并对终端发行进行管理,提供包括制造商登记、发行计划、临时证书申请和导出、制造商数据回盘等功能;一RA系统,所述的RA系统是证书注册管理中心,结合本地CA或远端CA系统,完成证书的申请、颁发、查询和相关安全操作;一加密机,所述的加密机是按照密码管理规范和行业应用规范,对核心密钥和数字证书进行使用,采用硬件方式完成对数据的安全操作;一数据库,所述数据库为行业电子证系统数据库,用于对终端发行管理信息进行记录。
优选地,所述终端设备包括有安全模块和主控程序,安全模块通过智能卡保存关键数据,数据访问严格按照权限进行限制,主控程序为客户端插件的调度提供设备操作的基础功能,执行和完成相关发行动作。
本发明公开的IC卡互联网终端发行方法及管理系统,通过行业临时证书的工厂预置、正式证书的联网更新,实现对IC卡互联网终端发行管控和行业应用支持,支持国产密码算法的硬件实现,为行业IC卡的应用提供个人端的受理环境,解决了在金融标准设备的基础上进行大规模行业应用的安全技术融合与发行管理难题,从而填补了该项管理工作的国内空白。
附图说明
图1为本发明IC卡互联网终端发行方法的流程图。
图2为本发明IC卡互联网终端发行管理系统的结构框图。
图3为终端设备的结构框图。
具体实施方式
下面结合附图和实施例对本发明作更加详细的描述。
本发明公开了一种IC卡互联网终端发行方法,如图1所示,该方法包括:
A、授权过程,基于互联网平台向行业电子认证系统申请一个平台根密钥和一个平台根证书,其中,平台根密钥是符合行业分级密钥管理体系的对称密钥,用于终端设备的安全模块初始化,平台根证书是符合公钥基础设施的非对称数字证书,用于电子认证系统对互联网终端设备颁发设备证书,平台根证书包含平台的基本信息、颁发者信息、颁发者签名和平台公钥;
B、生产过程,对终端设备生产密钥、写入临时证书和初始化,该过程中,生产密钥由平台根密钥按设备批次信息分散而来,临时证书由平台根证书按设备批次信息签发;
C、注册过程,用户首次使用终端设备时,IC卡互联网终端管理系统自动启动终端设备的注册过程,所述注册过程包括:
(1)终端设备进行状态检查,通过散列值验证出厂信息设置完整性以防篡改;
(2)终端设备使用临时证书提交到行业电子认证系统认证,确保临时证书是电子认证系统签发的,并且有效;
(3)调用加密机并采用国密算法生成一个密钥对,将密钥对中的私钥保存,将密钥对中的公钥、终端批次信息和终端序列号发送到IC卡互联网终端管理系统,由平台根证书签发成终端设备的正式证书,正式证书保留所发送的公钥,行业电子认证系统数据库记录了与终端设备批次信息相对应的公钥和设备序列号;
(4)将正式证书写入终端设备中;
(5)终端设备使用正式证书进行验证;
(6)验证通过后,通过正式证书的密钥对,行业电子认证系统利用非对称算法数字信封传递正式证书的密钥给终端设备,终端设备替换生产密钥;
(7)系统注册终端设备信息并修改终端设备状态,注册完成。
上述IC卡互联网终端发行方法中,行业电子认证系统是按照PKI标准建立的行业认证中心,其实质是证书签发(CA)与证书注册审核管理(RA)中心,该IC卡互联网终端发行方法通过行业临时证书的工厂预置、正式证书的联网更新,实现对IC卡互联网终端发行管控和行业应用支持,支持国产密码算法的硬件实现,为行业IC卡的应用提供个人端的受理环境,解决了在金融标准设备的基础上进行大规模行业应用的安全技术融合与发行管理难题,从而填补了该项管理工作的国内空白。
本发明还公开一种IC卡互联网终端发行管理系统,如图2所示,其包括有一终端设备、一客户端插件、一服务端接口、一前置系统、一管理模块、一RA系统、一RA系统、一加密机及一数据库,其中:
所述终端设备用于对IC卡读写;
所述客户端插件工作于浏览器的网页页面内,用于驱动和控制终端设备,并向网页提供应用接口;
所述服务端接口用于和客户端插件进行网络通信,以网络方式支持终端设备的发行管理和使用;
所述前置系统用于向服务接口提供加密机访问及控制,实现安全算法的硬件执行;
所述管理模块用于平台运营并对终端发行进行管理,提供包括制造商登记、发行计划、临时证书申请和导出、制造商数据回盘等功能;
所述的RA系统是证书注册管理中心,结合本地CA或远端CA系统,完成证书的申请、颁发、查询和相关安全操作;
所述的加密机是按照密码管理规范和行业应用规范,对核心密钥和数字证书进行使用,采用硬件方式完成对数据的安全操作;
所述数据库为行业电子认证系统数据库,用于对终端发行管理信息进行记录。
结合图2和图3所示,所述终端设备包括有安全模块和主控程序,安全模块通过智能卡保存关键数据,数据访问严格按照权限进行限制,主控程序为客户端插件的调度提供设备操作的基础功能,执行和完成相关发行动作。
上述IC卡互联网终端管理系统以行业发行管理为主,兼顾金融发行,所述兼顾金融发行是指本发明提供的IC卡互联网终端管理系统,在处理设备的金融发行(对应金融数字证书)时,采取与行业发行(对应行业应用数字证书)并列的方式。这种并列的实现主要由设备实现,包括:
主控程序,所述主控程序支持金融发行和行业应用发行两种模式,两种模式互相独立,并且同一时刻只能处于其中一种模式。根据金融应用或行业应用的发行要求,支持金融插件或客户端插件的调度,分别按照金融规范或行业规范调用金融功能、行业功能。主控程序同时还负责向服务端接口报告金融发行状态,以便服务器端在管理功能实现对终端设备的金融应用进行管理。
安全模块,安全模块是一种焊接于设备电路板上的不可拆卸芯片,具有足够的存取空间,支持金融应用和行业应用的数据隔离,并保证金融功能和行业功能能够互相独立、互不干扰地存取。
金融功能,金融功能是终端设备遵循金融行业标准的智能卡功能实现部分。
行业应用功能,行业应用功能是终端设备遵循社保、卫生等应用行业标准的智能卡功能实现部分。
金融插件,金融插件是遵循金融行业标准的软件模块,主要用于驱动和控制终端设备,并向网页提供金融应用接口。
本发明公开的IC卡互联网终端发行方法及管理系统,可带来如下技术效果:a、通过整体技术方案,实现了终端设备同时具备金融功能和行业应用功能,能独立地支持金融发行和行业应用发行。b、通过整体技术方案,重点解决了行业应用中对设备的安全控制,即面向终端设备的行业数字证书的发行、控制与使用。c、通过终端设备主控程序、客户端插件、服务段接口与加密机等模块,完成了完整的证书应用体系,能够支持非对称数字证书应用,尤其是采用硬件IP核的国产密码算法(如SM2),即终端设备硬件和加密机硬件作为两端,以硬件方式完成国密算法运算,主控程序、客户端插件和服务段接口做通信链路的联接和加密信息的传递。d、通过算法设计,保证了终端设备可以按批次大规模发行与应用,严格按照PKI(公开密钥基础设施)规范展开证书应用,并且同时具备金融与行业应用功能,此过程对用户透明,用户不需要进行额外的设置操作。
以上所述只是本发明较佳的实施例,并不用于限制本发明,凡在本发明的技术范围内所做的修改、等同替换或者改进等,均应包含在本发明所保护的范围内。
Claims (5)
1.一种IC卡互联网终端发行方法,其特征在于,该方法包括:
A、授权过程,基于互联网平台向行业电子认证系统申请一个平台根密钥和一个平台根证书;
B、生产过程,对终端设备生产密钥、写入临时证书和初始化;
C、注册过程,用户首次使用终端设备时,IC卡互联网终端管理系统自动启动终端设备的注册过程,所述注册过程包括:
(1)终端设备进行状态检查,通过散列值验证出厂信息设置完整性以防篡改;
(2)终端设备使用临时证书提交到行业电子认证系统认证,确保临时证书是电子认证系统签发的,并且有效;
(3)调用加密机并采用国密算法生成一个密钥对,将密钥对中的私钥保存,将密钥对中的公钥、终端批次信息和终端序列号发送到IC卡互联网终端管理系统,由平台根证书签发成终端设备的正式证书,正式证书保留所发送的公钥,行业电子认证系统数据库记录了与终端设备批次信息相对应的公钥和设备序列号;
(4)将正式证书写入终端设备中;
(5)终端设备使用正式证书进行验证;
(6)验证通过后,通过正式证书的密钥对,行业电子认证系统利用非对称算法数字信封传递正式证书的密钥给终端设备,终端设备替换生产密钥;
(7)系统注册终端设备信息并修改终端设备状态,注册完成。
2.如权利要求1所述的IC卡互联网终端发行方法,其特征在于,所述授权过程中,平台根密钥是符合行业分级密钥管理体系的对称密钥,用于终端设备的安全模块初始化,平台根证书是符合公钥基础设施的非对称数字证书,用于行业电子认证系统对互联网终端设备颁发设备证书,平台根证书包含平台的基本信息、颁发者信息、颁发者签名和平台公钥。
3.如权利要求1所述的IC卡互联网终端发行方法,其特征在于,所述生产过程中,生产密钥由平台根密钥按设备批次信息分散而来,临时证书由平台根证书按设备批次信息签发。
4.一种IC卡互联网终端发行管理系统,其特征在于包括有:
一终端设备,用于对IC卡读写;
一客户端插件,所述客户端插件工作于浏览器的网页页面内,用于驱动和控制终端设备,并向网页提供应用接口;
一服务端接口,所述服务端接口用于和客户端插件进行网络通信,以网络方式支持终端设备的发行管理和使用;
一前置系统,所述前置系统用于向服务接口提供加密机访问及控制,实现安全算法的硬件执行;
一管理模块,所述管理模块用于平台运营并对终端发行进行管理,提供包括制造商登记、发行计划、临时证书申请和导出、制造商数据回盘的功能;
一RA系统,所述的RA系统是证书注册管理中心,结合本地CA或远端CA系统,完成证书的申请、颁发、查询和相关安全操作;
一加密机,所述的加密机是按照密码管理规范和行业应用规范,对核心密钥和数字证书进行使用,采用硬件方式完成对数据的安全操作;
一数据库,所述数据库为行业电子认证数据库,用于对终端发行管理信息进行记录。
5.如权利要求4所述的IC卡互联网终端发行管理系统,其特征在于,所述终端设备包括有安全模块和主控程序,安全模块通过智能卡保存关键数据,数据访问严格按照权限进行限制,主控程序为客户端插件的调度提供设备操作的基础功能,执行和完成相关发行动作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410667709.7A CN105678179B (zh) | 2014-11-20 | 2014-11-20 | 一种ic卡互联网终端发行方法及管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410667709.7A CN105678179B (zh) | 2014-11-20 | 2014-11-20 | 一种ic卡互联网终端发行方法及管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105678179A CN105678179A (zh) | 2016-06-15 |
| CN105678179B true CN105678179B (zh) | 2018-11-13 |
Family
ID=56957860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410667709.7A Expired - Fee Related CN105678179B (zh) | 2014-11-20 | 2014-11-20 | 一种ic卡互联网终端发行方法及管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105678179B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3291502B1 (en) * | 2016-09-01 | 2021-07-28 | Roche Diagnostics GmbH | Method for authenticating an instrument for processing a biological sample or reagent, and system comprising an instrument for processing a biological sample or reagent |
| CN106997533B (zh) * | 2017-04-01 | 2020-10-13 | 福建实达电脑设备有限公司 | 一种pos终端产品安全生产授权管理系统及方法 |
| CN108134675B (zh) * | 2017-12-18 | 2020-11-10 | 北京特立信电子技术股份有限公司 | 基于sdn网络的控制、数据平面设备及其认证方法与系统 |
| EP3624413A1 (de) * | 2018-09-13 | 2020-03-18 | Siemens Aktiengesellschaft | Automatisiertes zertifikatsmanagement für automatisierungsanlagen |
| CN110635900B (zh) * | 2019-09-10 | 2022-05-20 | 北京中电华大电子设计有限责任公司 | 一种适用于物联网系统的密钥管理方法及系统 |
| CN111479259B (zh) * | 2020-05-07 | 2021-08-17 | 深圳杰睿联科技有限公司 | Sim卡配置分发方法及系统 |
| CN111756549A (zh) * | 2020-06-23 | 2020-10-09 | 重庆长安汽车股份有限公司 | 一种数字证书的颁发系统及方法 |
| CN112364330B (zh) * | 2020-11-13 | 2022-04-19 | 公安部交通管理科学研究所 | 一种安全控制装置及权限授权方法和电子标签识读方法 |
| CN112436937B (zh) * | 2020-11-25 | 2022-01-18 | 公安部交通管理科学研究所 | 一种射频标签初始化密钥分发系统及方法 |
| CN113542226B (zh) * | 2021-06-18 | 2023-09-26 | 深圳数字电视国家工程实验室股份有限公司 | 多媒体数据保护方法、装置及计算机可读存储介质 |
| CN113676330B (zh) * | 2021-08-10 | 2023-08-01 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1288205A (zh) * | 1999-09-14 | 2001-03-21 | 珠海市攀登科技有限公司 | 一种全兼容的互联网电子商贸和支付系统 |
| CN1725682A (zh) * | 2004-07-23 | 2006-01-25 | 招商银行股份有限公司 | 移动证书中使用临时数字证书的方法 |
| CN102064939A (zh) * | 2009-11-13 | 2011-05-18 | 福建联迪商用设备有限公司 | Pos文件认证的方法及认证证书的维护方法 |
| CN102299793A (zh) * | 2010-06-22 | 2011-12-28 | 清大安科(北京)科技有限公司 | 一种基于可信计算密码支撑平台的证书认证系统 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
-
2014
- 2014-11-20 CN CN201410667709.7A patent/CN105678179B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1288205A (zh) * | 1999-09-14 | 2001-03-21 | 珠海市攀登科技有限公司 | 一种全兼容的互联网电子商贸和支付系统 |
| CN1725682A (zh) * | 2004-07-23 | 2006-01-25 | 招商银行股份有限公司 | 移动证书中使用临时数字证书的方法 |
| CN102064939A (zh) * | 2009-11-13 | 2011-05-18 | 福建联迪商用设备有限公司 | Pos文件认证的方法及认证证书的维护方法 |
| CN102299793A (zh) * | 2010-06-22 | 2011-12-28 | 清大安科(北京)科技有限公司 | 一种基于可信计算密码支撑平台的证书认证系统 |
| CN102970682A (zh) * | 2012-12-10 | 2013-03-13 | 北京航空航天大学 | 一种应用于可信移动终端平台的直接匿名证明方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105678179A (zh) | 2016-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105678179B (zh) | 一种ic卡互联网终端发行方法及管理系统 | |
| US9948624B2 (en) | Key downloading method, management method, downloading management method, device and system | |
| CN103701610B (zh) | 一种传输密钥tk的采集方法及系统 | |
| CN105391840B (zh) | 自动创建目标应用程序 | |
| CN105790938B (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
| CA2766491C (en) | A method and system for securely and automatically downloading a master key in a bank card payment system | |
| CN103955733B (zh) | 电子身份证芯片卡、读卡器、电子身份证验证系统和方法 | |
| CN105491077B (zh) | 一种身份认证的系统 | |
| CN105027153A (zh) | 用于安全配置、传送和验证支付数据的方法、装置和系统 | |
| CN104380652A (zh) | 用于nfc使能设备的多发行商安全元件分区架构 | |
| CN106067205B (zh) | 一种门禁鉴权方法和装置 | |
| CN107358441A (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN101009556A (zh) | 一种智能卡与u盘复合设备及其基于双向认证机制以提高访问安全性的方法 | |
| CN109257328A (zh) | 一种现场运维数据的安全交互方法及装置 | |
| CN102622642B (zh) | 空白智能卡发行系统 | |
| CN105427106A (zh) | 电子现金数据的授权处理方法、支付处理方法及虚拟卡 | |
| CN109547208A (zh) | 金融电子设备主密钥在线分发方法及系统 | |
| CN107209884A (zh) | 存储不同区域中的安全凭据信息 | |
| CN109379360A (zh) | 审计方法、电子装置及计算机可读存储介质 | |
| CN106296177A (zh) | 基于银行移动应用的数据处理方法和设备 | |
| CN108460597A (zh) | 一种密钥管理系统及方法 | |
| CN107341405A (zh) | 一种数据传输过程的加密方法 | |
| CN102752308A (zh) | 通过网络提供数字证书综合业务系统及其实现方法 | |
| CN105743855B (zh) | 一种互联网应用设备的安全控制系统及其发行、应用方法 | |
| CN113486323B (zh) | 一种电动自行车电子标识个性化发行方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181113 Termination date: 20191120 |