CN108121903A

CN108121903A - 一种基于逻辑加密卡的密码管理方法及数据加密表示方法

Info

Publication number: CN108121903A
Application number: CN201611085629.6A
Authority: CN
Inventors: 金启超; 崔得志; 王海兵; 顾纪铭; 谷晓南
Original assignee: Talent-Sci Co Ltd
Current assignee: Talent-Sci Co Ltd
Priority date: 2016-11-30
Filing date: 2016-11-30
Publication date: 2018-06-05
Anticipated expiration: 2036-11-30
Also published as: CN108121903B

Abstract

本发明涉及数据加密技术领域，尤其涉及一种基于逻辑加密卡的密码管理方法及数据加密表示方法，基于逻辑加密卡的密码管理方法，通过系统UKEY制作装置制作出有限数量的相同的系统UKEY，然后通过授权用卡终端授权UKEY生成装置制作出用卡终端授权装置使用的授权UKEY，接着通过用户密码卡制作授权UKEY生成装置制作出用户密码卡制作装置使用的授权UKEY，通过用户密码卡制作装置制作出用户密码卡，最后通过用卡终端授权装置使用的授权UKEY和用户密码卡，对用卡终端进行授权，授权信息被固化在用卡终端中。本发明旨在提高逻辑加密卡使用的安全性，通过数据加密表示方法使得逻辑加密卡具备了数据防篡改和防复制的功能。

Description

一种基于逻辑加密卡的密码管理方法及数据加密表示方法

技术领域

本发明涉及数据加密技术领域，尤其涉及一种基于逻辑加密卡的密码管理方法及数据加密表示方法。

背景技术

随着智能卡在各行业的广泛应用，人们对智能卡的卡片安全和数据安全的管理变得越加重视，智能卡中通常保存着重要的数据信息，一旦访问密码被泄露或其中数据被非法获取或改写，都会对用户造成不小的损失，因此卡密码安全和数据加密的需求越来越高。

逻辑加密卡(又称M1卡)，逻辑加密卡的集成电路具有加密逻辑和EEPROM(电可擦除可编程只读存储器)，逻辑加密卡曾经用于城市的公共交通自动收费系统以及各种门禁管理、身份证明和电子钱包场合，相比较智能卡(即CPU卡)来说，虽然被证实安全性较差(认证密码易被破解)，但具有成本低廉，使用简单的优点，对于不涉及到个人隐私信息的一些简单行业应用(如停车场自动发卡系统、地下水自助灌溉系统等)，逻辑加密卡仍然是被优先选择使用的卡种。

在普通应用场合，逻辑加密卡的安全性主要靠认证密码来保证，其中的应用数据通常采用明文方式存储，一旦认证密码被破解后，卡片很容易被复制或者数据信息被篡改。另外，针对一种应用或一个客户群体所使用到的卡片中的认证密码通常都是相同的，只要其中一个卡片的密码被破解，其它卡片的信息也同样出现安全风险。

发明内容

本发明的目的是针对现有技术的缺陷，提供一种基于逻辑加密卡的密码管理方法及数据加密表示方法，旨在提高逻辑加密卡使用的安全性。

为了实现本发明的目的，所采用的技术方案是：一种基于逻辑加密卡的密码管理方法，包括如下步骤：

1)通过系统UKEY制作装置制作出有限数量的相同的系统UKEY，系统UKEY包含通过随机算法生成的系统密码信息；

2)使用步骤1)中制作的系统UKEY，通过授权用卡终端授权UKEY生成装置制作出用卡终端授权装置使用的授权UKEY，所述用卡终端授权装置使用的授权UKEY包含步骤1)中的系统密码信息和用卡终端授权装置需要的授权信息；

3)使用步骤1)中制作的系统UKEY，通过用户密码卡制作授权UKEY生成装置制作出用户密码卡制作装置使用的授权UKEY，用户密码卡制作装置使用的授权UKEY包含步骤1)中的系统密码信息和用户密码卡制作装置需要的授权信息；

4)使用步骤3)中的用户密码卡制作装置使用的授权UKEY和空白的M1卡，通过用户密码卡制作装置制作出用户密码卡，所述的用户密码卡存储着用户的密码信息；

5)使用步骤2)中的用卡终端授权装置使用的授权UKEY和步骤4)制作的用户密码卡，通过用卡终端授权装置对用卡终端进行授权，授权信息被固化在用卡终端中。

作为本发明的优化方案，用卡终端具有能获得的唯一的标识信息。

作为本发明的优化方案，步骤4)中制作出用户密码卡具有备份卡。

作为本发明的优化方案，在步骤5)中，用卡终端授权装置根据用户密码卡中的用户密码信息和用卡终端的标识信息，通过可逆变换算法生成授权信息，并固化到用卡终端中。

作为本发明的优化方案，用卡终端在工作过程中，通过用卡终端的标识和固化的授权信息，利用可逆变换算法计算出用户密码，作为用卡终端对逻辑加密卡的访问密码。

为了实现本发明的目的，所采用的技术方案是：一种基于逻辑加密卡的数据加密表示方法，包括如下步骤：

a、逻辑加密卡包括若干扇区，将所有扇区的存取控制设置为08778F69H，使得逻辑加密卡中的A密码无写卡权限，B密码有读写权限，所述的B密码为用户的密码信息；

b、逻辑加密卡中有n+1个数据块，数据块0，数据块1，…，数据块n，每个数据块有16个字节的存储空间，使用时，在每个数据块中，取一个字节来保存通过校验算法对其余15个字节计算得到的校验码；

c、对于数据块1，…，数据块n来说，使用时未被用户数据填充的数据块，通过随机算法生成的随机数进行填充；

d、对于数据块1，…，数据块n，都通过加密算法将明文加密后进行存储；

e、选择数据块1，…，数据块n中的一个或两个数据块作为密钥信息块，密钥信息块用于存储采用随机算法生成的密钥信息，密钥信息块使用的加密密钥是通过数据块0中的序列号经过加密变换计算得出的。

作为本发明的优化方案，对于数据块0，数据块1，…，数据块n中，对除数据块0和密钥信息块外的数据块来说，数据加密的密钥取自密钥信息块中的密钥信息。

作为本发明的优化方案，步骤b中的校验算法为CRC算法或和校验算法。

作为本发明的优化方案，步骤d中的加密算法为DES或3DES或AES算法。

本发明具有积极的效果：1)本发明中逻辑加密卡的访问密码的生成全程无人为因素干扰，不会因为人的道德问题而导致密码泄露，提高系统密码管理安全性；

2)本发明中所涉及到的各种装置的使用都是受限可控的，能够避免人为滥用造成损失；

3)用户密码卡采用双备份，通过分别保管，可以避免卡片丢失造成后期维护使用不便问题；

4)面向不同客户，可以使用不同的用户密码卡对用卡终端进行授权，可以有效保证不同客户的各自利益；

5)便于更换用户密码；当发现用户密码出现不安全情况，只需要通过用户密码卡制作装置再制作一套新用户密码卡，对用卡终端重新授权，就完成了用户密码的更换；

6)本发明基于逻辑加密卡的数据加密表示方法使得应用数据安全性有了保障。逻辑加密卡中应用数据采用加密方式存储，并且每个卡片的密钥都不相同，使得卡内数据几乎无法被破解。即使能够破解其中一个卡，也不会影响到其它卡的信息安全，总体来讲，破解卡数据所付出成本会远远大于获得的利益；

7)逻辑加密卡具备了数据防篡改能力；由于应用数据的明文采用了校验机制，即使逻辑加密卡的访问密码被破解，可以任意去改写卡内的数据，用卡终端在读卡时也会因无法通过数据校验而识别到逻辑加密卡存在异常；

8)逻辑加密卡具有了防复制功能；逻辑加密卡的访问密码被破解后，即使能够读取数据来生成复制卡，由于应用数据加密的密钥与卡片的序列号有关，而每个卡的序列号都不一样，同样会被用卡终端识别为异常卡。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为UKEY制作装置的工作原理图；

图2为授权用卡终端授权UKEY生成装置的工作原理图；

图3为用户密码卡制作授权UKEY生成装置的工作原理图；

图4为用户密码卡制作装置的工作原理图；

图5为用卡终端授权装置的工作原理图。

具体实施方式

如图1-5所示，本发明公开了一种基于逻辑加密卡的密码管理方法，包括如下步骤：

2)使用步骤1)中制作的系统UKEY,通过授权用卡终端授权UKEY生成装置制作出用卡终端授权装置使用的授权UKEY，所述用卡终端授权装置使用的授权UKEY包含步骤1)中的系统密码信息和用卡终端授权装置需要的授权信息；

其中，用卡终端具有能获得的唯一的标识信息，用卡终端可以通过程序主动获取唯一的标识信息。不仅用卡终端本身可以获得唯一的标识信息，用卡终端授权装置也可以获得唯一的标识信息。

步骤4)中制作出用户密码卡具有备份卡，该备份卡可以是AB卡双备份方式或者其它的备份方式。

在步骤5)中，用卡终端授权装置根据用户密码卡中的用户密码信息和用卡终端的标识信息，通过可逆变换算法生成授权信息，并固化到用卡终端中。用卡终端在工作过程中，通过用卡终端的标识和固化的授权信息，利用可逆变换算法计算出用户密码，作为用卡终端对逻辑加密卡的访问密码。

本发明还公开了一种基于逻辑加密卡的数据加密表示方法，包括如下步骤：

a、逻辑加密卡包括若干扇区，将所有扇区的存取控制设置为08778F69H，使得逻辑加密卡中的A密码无写卡权限，B密码有读写权限，B密码为用户的密码信息；

其中，对于数据块0，数据块1，…，数据块n中，对除数据块0和密钥信息块外的数据块来说，数据加密的密钥取自密钥信息块中的密钥信息。步骤b中的校验算法为CRC算法或和校验算法。步骤d中的加密算法为DES或3DES或AES算法。

图1为UKEY制作装置的工作原理图，图1中UKEY制作装置制作出的系统UKEY以加密方式存储系统密码信息，同时UKEY制作装置能对所有生成过的系统密码进行历史存储，当需要制作新的系统UKEY时，首先通过随机算法生成系统密码信息，UKEY制作装置将新生成的系统密码信息与历史存储中的系统密码进行比较，如果存在相同的密码，则再次随机生成新的系统密码，直到确认新的系统密码不重复为止，此时，给UKEY制作装置启动计数器，依次在UKEY制作装置中插入固定数量的空白UKEY，制作出固定数量的相同的系统UKEY。

图2为授权用卡终端授权UKEY生成装置的工作原理图，授权用卡终端授权UKEY生成装置负责在插入的系统UKEY中增加用卡终端授权装置需要的授权信息，生成用卡终端授权装置使用的授权UKEY。

图3为用户密码卡制作授权UKEY生成装置的工作原理图，用户密码卡制作授权UKEY生成装置负责在插入的系统UKEY中增加用户密码卡制作装置需要的授权信息，生成用户密码卡制作装置使用的授权UKEY。

图4为用户密码卡制作装置的工作原理图，使用用户密码卡制作装置使用的授权UKEY和空白的M1卡，通过用户密码卡制作装置制作出用户密码卡，该用户密码卡存储着用户的密码信息。其中，用户的密码信息通过随机算法生成，并将用户的密码信息通过上述基于逻辑加密卡的数据加密表示方法写入到两张逻辑加密卡中，用户密码卡制作装置同样可以验证用户的密码信息的唯一性。

图5为用卡终端授权装置的工作原理图，用卡终端授权装置首先验证步骤2)中的用卡终端授权装置使用的授权UKEY的正确性，然后根据用户密码卡中的用户密码信息和用卡终端的唯一标识，利用可逆变换算法生成授权信息，通过用卡终端授权装置对用卡终端进行授权，授权信息被固化在用卡终端中。

其中，用卡终端授权装置的授权信息的变换函数为：

用卡终端授权装置生成的授权信息＝正变换算法(用户密码信息，用卡终端标识码)。

用卡终端在工作过程中，需要获得到逻辑加密卡的访问密码，根据用卡终端标识码和固化的授权信息，利用可逆变换算法计算得出用户密码，作为逻辑加密卡的访问密码来使用。

用户密码的变换函数为：

用户密码＝逆变换算法(用卡终端标识码，用卡终端固化的授权信息)。

应当理解，以上所描述的具体实施例仅用于解释本发明，并不用于限定本发明。由本发明的精神所引伸出的显而易见的变化或变动仍处于本发明的保护范围之中。

Claims

1.一种基于逻辑加密卡的密码管理方法，其特征在于：包括如下步骤：

1)通过系统UKEY制作装置制作出有限数量的相同的系统UKEY，所述的系统UKEY包含通过随机算法生成的系统密码信息；

3)使用步骤1)中制作的系统UKEY，通过用户密码卡制作授权UKEY生成装置制作出用户密码卡制作装置使用的授权UKEY，所述用户密码卡制作装置使用的授权UKEY包含步骤1)中的系统密码信息和用户密码卡制作装置需要的授权信息；

2.根据权利要求1所述的一种基于逻辑加密卡的密码管理方法，其特征在于：所述的用卡终端具有能获得的唯一的标识信息。

3.根据权利要求2所述的一种基于逻辑加密卡的密码管理方法，其特征在于：步骤4)中制作出用户密码卡具有备份卡。

4.根据权利要求2所述的一种基于逻辑加密卡的密码管理方法，其特征在于：在步骤5)中，用卡终端授权装置根据用户密码卡中的用户密码信息和用卡终端的标识信息，通过可逆变换算法生成授权信息，并固化到用卡终端中。

5.根据权利要求4所述的一种基于逻辑加密卡的密码管理方法，其特征在于：用卡终端在工作过程中，通过用卡终端的标识和固化的授权信息，利用可逆变换算法计算出用户密码，作为用卡终端对逻辑加密卡的访问密码。

6.一种基于逻辑加密卡的数据加密表示方法，其特征在于：包括如下步骤：

c、对于数据块1，….，数据块n来说，使用时未被用户数据填充的数据块，通过随机算法生成的随机数进行填充；

7.根据权利要求6所述的一种基于逻辑加密卡的数据加密表示方法，其特征在于：对于数据块0，数据块1，…，数据块n中，对除数据块0和密钥信息块外的数据块来说，数据加密的密钥取自密钥信息块中的密钥信息。

8.根据权利要求6所述的一种基于逻辑加密卡的数据加密表示方法，其特征在于：所述步骤b中的校验算法为CRC算法或和校验算法。

9.根据权利要求6所述的一种基于逻辑加密卡的数据加密表示方法，其特征在于：所述步骤d中的加密算法为DES或3DES或AES算法。