CN109274500A - 一种密钥下载方法、客户端、密码设备及终端设备 - Google Patents
一种密钥下载方法、客户端、密码设备及终端设备 Download PDFInfo
- Publication number
- CN109274500A CN109274500A CN201811195466.6A CN201811195466A CN109274500A CN 109274500 A CN109274500 A CN 109274500A CN 201811195466 A CN201811195466 A CN 201811195466A CN 109274500 A CN109274500 A CN 109274500A
- Authority
- CN
- China
- Prior art keywords
- ciphertext
- server
- identity
- background server
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000012795 verification Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 18
- 238000003860 storage Methods 0.000 claims description 14
- 238000012546 transfer Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims 2
- 238000004519 manufacturing process Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 15
- 230000006870 function Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000032258 transport Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种密钥下载方法、客户端、密码设备及终端设备,其中,客户端发送初始密钥下载请求至后台服务器,并接收后台服务器下发的服务器身份证书转发至密码设备;客户端获取密码设备反馈的设备身份密文发送至后台服务器;客户端获取后台服务器生成的服务器身份密文以及初始密钥密文,并将服务器身份密文发送至密码设备;客户端在密码设备对后台服务器的身份验证成功后,将初始密钥密文下发至密码设备。本发明中,密码设备、客户端和后台服务器三者通过加密的方法实现互相之间的身份验证,可以在生产环境中安全地下载初始密钥到密码设备中,对操作地点并无限制,减少了人员管理成本,提高了密钥下载的安全性和时效性。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种密钥下载方法、客户端、密码设备及终端设备。
背景技术
POS(point of sale)设备在被部署到商户环境之前需要注入初始密钥,该数据将作用于后续密钥下载、设备安全初始化等操作活动。
基于密钥和设备的安全考虑,初始密钥下载操作通常需要在安全屋内进行。目前现有实现方案是:设备在生产线组装装配完成后,运输到安全屋,进入安全屋进行初始密钥下载。操作员通过双重钥匙或密码验证之后将设备带入安全屋进行初始密钥下载操作。
所以,现有技术中存在操作地点受限的问题,需要投入更多人工成本。
发明内容
有鉴于此,本发明实施例提供了一种密钥下载方法、客户端、密码设备及终端设备,以解决现有技术中存在的操作地点受限导致人工成本高的问题。
本发明实施例的第一方面提供了一种密钥下载方法,应用于客户端,所述密钥下载方法包括:
通过用户连接的密保设备,与后台服务器进行双向验证;
在所述双向验证通过后,查询密码设备的设备信息,将所述设备信息上传至所述后台服务器,并发送初始密钥下载请求至所述后台服务器;
接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书,并将所述服务器身份证书转发至所述密码设备;
获取所述密码设备反馈的设备身份密文,并将所述设备身份密文发送至所述后台服务器,其中,所述设备身份密文为所述密码设备在对所述服务器身份证书进行验证成功后生成的;
获取所述后台服务器使用所述设备身份密文生成的服务器身份密文,以及所述后台服务器对初始密钥进行加密生成的初始密钥密文,并将所述服务器身份密文发送至所述密码设备,其中,所述服务器身份密文用于指示所述密码设备验证所述后台服务器的身份;
在所述密码设备基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,将所述初始密钥密文下发至所述密码设备。
本发明实施例的第二方面提供了一种客户端,包括:
双向验证模块,用于通过用户连接的密保设备,与后台服务器进行双向验证;
密钥请求模块,用于在所述双向验证通过后,查询密码设备的设备信息,将所述设备信息上传至所述后台服务器,并发送初始密钥下载请求至所述后台服务器;
服务器证书传递模块,用于接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书,并将所述服务器身份证书转发至所述密码设备;
设备密文传递模块,用于获取所述密码设备反馈的设备身份密文,并将所述设备身份密文发送至所述后台服务器,其中,所述设备身份密文为所述密码设备在对所述服务器身份证书进行验证成功后生成的;
服务器密文传递模块,用于获取所述后台服务器使用所述设备身份密文生成的服务器身份密文,以及所述后台服务器对初始密钥进行加密生成的初始密钥密文,并将所述服务器身份密文发送至所述密码设备,其中,所述服务器身份密文用于指示所述密码设备验证所述后台服务器的身份;
初始密钥传递模块,用于在所述密码设备基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,将所述初始密钥密文下发至所述密码设备。
本发明实施例的第三方面提供了一种密钥下载方法,应用于密码设备,所述密钥下载方法包括:
通过客户端将所述密码设备的设备信息和初始密钥下载请求上传至后台服务器;
通过所述客户端接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书;
验证所述服务器身份证书,在该证书验证通过后,生成设备身份密文,并将所述设备身份密文通过所述客户端发送至所述后台服务器;
通过所述客户端接收所述后台服务器使用所述设备身份密文生成的服务器身份密文;
在基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,通过所述客户端获取所述后台服务器生成的初始密钥密文,并对所述初始密钥密文进行解密得到初始密钥。
本发明实施例的第四方面提供了一种密码设备,包括:
密钥下载请求模块,用于通过客户端将所述密码设备的设备信息和初始密钥下载请求上传至后台服务器;
服务器证书获取模块,用于通过所述客户端接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书;
设备密文生成模块,用于验证所述服务器身份证书,在该证书验证通过后,生成设备身份密文,并将所述设备身份密文通过所述客户端发送至所述后台服务器;
服务器密文获取模块,用于通过所述客户端接收所述后台服务器使用所述设备身份密文生成的服务器身份密文;
初始密钥获取模块,用于在基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,通过所述客户端获取所述后台服务器生成的初始密钥密文,并对所述初始密钥密文进行解密得到初始密钥。
本发明实施例的第五方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上第一方面中所述的密钥下载方法的步骤或者如上第三方面中所述的密钥下载方法的步骤。
本发明实施例的第六方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上第一方面中所述的密钥下载方法的步骤或者如上第三方面中所述的密钥下载方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:密码设备、客户端和后台服务器三者之间通过加密验证的方法实现相互之间的身份验证,并在身份验证通过之后,完成后台服务器将初始密钥下发至密码设备,可以在生产环境中安全地下载初始密钥到密码设备中,密码设备不需进入安全屋便能安全地完成初始密钥下载,对操作地点并无限制,减少了人员管理成本,提高了密钥下载的安全性和时效性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一个实施例提供的密钥下载系统的结构示意图;
图2是本发明的一个实施例提供的密钥下载方法的流程示意图;
图3是本发明的一个实施例提供的客户端的结构示意图;
图4是本发明的另一个实施例提供的密钥下载方法的流程示意图;
图5是本发明的一个实施例提供的密码设备的结构示意图;
图6是本发明的一个实施例提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
本发明的说明书和权利要求书及上述附图中的术语“包括”以及其他任何变形,是指“包括但不限于”,意图在于覆盖不排他的包含。例如包含一系列步骤或单元的过程、方法或系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。此外,术语“第一”、“第二”和“第三”等是用于区别不同对象,而非用于描述特定顺序。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
如图1所示,本方案基于一种密钥下载系统实现,该密钥下载系统包括:密码设备100、客户端200、密保设备300和后台服务器400,另外,该系统还需要基于CA(CertificateAuthority)中心500实现。其中,各个设备之间的连接关系和信息交互关系为:
后台服务器400,布放在安全屋内,用于存储初始密钥,可以完成密钥管理、密钥下载请求处理以及密码设备100的设备信息的存储与管理功能。后台服务器400内部预存有两对数字证书和私钥,分别为:服务器身份证书和对应的私钥、服务器TLS(Transport LayerSecurity,安全传输层协议)证书和对应的私钥。服务器身份证书和对应的私钥用于密码设备100验证后台服务器400的身份并约定传输密钥。服务器TLS证书和对应的私钥用于客户端200通过密保设备300与后台服务器400之间进行双向认证并建立安全通道。
客户端200,为运行在PC等终端设备上的具有人机交互界面的程序,与后台服务器400相对应。用户通过客户端200进行密钥下载等操作,以实现将后台服务器400中存有的初始密钥下载到密码设备100中。客户端200通过远程网络通信的方式与后台服务器400进行通信,例如局域网、互联网等;客户端200通过近距离点对点通信的方式与密码设备100进行通信,客户端200和密码设备100之间可以通过有线或无线的通信线路连接,例如USB、串口、蓝牙等通信线路;客户端200作为中间节点,实现后台服务器400与密码设备100之间的数据传输。
密保设备300,可以是U盾等安全工具,用于接入客户端200以实现用户的登录,内部预存有一对用户身份证书和对应的私钥。
密码设备100,可以是POS设备等销售终端设备,还可以是其他种类的需要提供加密和/或更新信息等密码服务的终端设备。
CA中心500,为第三方可信机构,用于为公钥做认证并生成数字证书,上述的服务器身份证书、服务器TLS证书和用户身份证书都是由同一个CA中心500签发的。密码设备100、密保设备300和后台服务器400中都存管着同一个CA公钥。
实施例1:
图2示出了本发明实施例1所提供的一种密钥下载方法的实现流程,本实施例的流程执行主体可以是客户端,其过程详述如下:
步骤S101,通过用户连接的密保设备,与后台服务器进行双向验证。
步骤S102,在所述双向验证通过后,查询密码设备的设备信息,将所述设备信息上传至后台服务器,并发送初始密钥下载请求至所述后台服务器;
本实施例中,客户端将设备信息上传至后台服务器,以实现后台服务器对不同的密码设备的管理。
设备信息,可以包括设备序列号,用于后台服务器区分不同的密码设备,并分别记录每个密码设备的加密过程和加密结果。
初始密钥下载请求,用于客户端请求后台服务器将初始密钥发送至对应的密码设备,并指示密码设备对初始密钥进行下载。
本实施例中,客户端查询密码设备的设备信息,客户端将所述设备信息上传至后台服务器。客户端获取到设备信息后,发送初始密钥下载请求至所述后台服务器,以请求后台服务器实现下载初始密钥至密码设备。
步骤S103,接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书,并将所述服务器身份证书转发至所述密码设备;
本实施例中,后台服务器接收到步骤S102中的初始密钥下载请求后,将服务器身份证书下发至客户端,客户端将服务器身份证书转发至密码设备,以使密码设备对服务器身份证书进行验证。
步骤S104,获取所述密码设备反馈的设备身份密文,并将所述设备身份密文发送至所述后台服务器,其中,所述设备身份密文为所述密码设备在对所述服务器身份证书进行验证成功后生成的;
在本实施例中,密码设备对步骤S103中的服务器身份证书进行验证,在证书验证通过后,密码设备生成设备身份密文,客户端将设备身份密文转发至后台服务器。
在一个实施例中,步骤S104中,密码设备对服务器身份证书进行验证的过程包括:密码设备使用本地预存的CA公钥,验证所述后台服务器发送的所述服务器身份证书中的数字签名,若验证成功,则判定所述服务器身份证书验证通过,若验证失败,则停止执行后续步骤并告知客户端验证失败。
可选的,在另一个实施例中,步骤S103中后台服务器还下发吊销列表,密码设备通过客户端接收吊销列表。步骤S104中,密码设备验证服务器身份证书并检查该证书是否被列入吊销列表,若服务器身份证书验证失败或者该证书已吊销,则终止后续步骤。
步骤S105,获取所述后台服务器使用所述设备身份密文生成的服务器身份密文,以及所述后台服务器对初始密钥进行加密生成的初始密钥密文,并将所述服务器身份密文发送至所述密码设备,其中,所述服务器身份密文用于指示所述密码设备验证所述后台服务器的身份;
本实施例中,后台服务器接收到步骤S104中客户端转发的设备身份密文后,生成服务器身份密文。客户端获取服务器身份密文,并将其转发至密码设备。
步骤S106,在所述密码设备基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,将所述初始密钥密文下发至所述密码设备。
本实施例中,所述初始密钥用于所述密码设备进行密码服务。
在一个实施例中,密码设备在验证后台服务器可信后,获取客户端中的初始密钥密文,从而获得初始密钥,并反馈密钥下载成功的结果至客户端。若密码设备验证后台服务器失败,则终止向客户端请求初始密钥,并反馈验证失败的结果至客户端。
本发明实施例中,可以在生产环境中(例如,厂房内的生产线上)安全地下载初始密钥到密码设备中,密码设备不需进入安全屋便能安全地完成初始密钥下载,实现了在安全屋以外的环境中下载初始密钥的需求,减少了人员管理成本,提高了密钥下载的安全性和时效性。
在本发明的一个实施例中,在步骤S101具体包括:
步骤a,通过用户连接的密保设备,利用SSL(Secure Sockets Layer,安全套接层)/TLS双向认证规则,与所述后台服务器进行双向验证,所述密保设备中预存用户身份证书和对应的私钥;
步骤b,在所述双向验证通过后,使用所述密保设备登录所述后台服务器。
本实施例中,采用密保设备,密保设备内置了用户身份证书和数字签名,客户端利用密保设备接入后台服务器进行用户身份验证,验证通过后,用户操作客户端与后台服务器之间建立安全通道,用以密钥传输,通过这种双重控制方式验证用户的身份进而确保了密码设备的合法性。
本实施例实现了客户端与后台服务器之间建立安全连接,并验证用户的身份,只允许符合安全权限的人员操作,提高了安全性。
在一个实施例中,步骤a包括:
1)在连接上所述密保设备后,发送用户登录请求至所述后台服务器;
2)接收所述后台服务器按照所述用户登录请求反馈的服务器TLS证书和数字签名;
3)验证所述服务器TLS证书和数字签名的合法性,在验证其合法后,使用所述服务器TLS证书中的公钥对随机数进行加密生成第一握手密文,计算所述第一握手密文的摘要,并将所述第一握手密文及其摘要发送至所述后台服务器;
4)接收所述后台服务器在验证并确认所述第一握手密文可信后反馈的第二握手密文;
5)验证所述第二握手密文是否可信,若可信,则确认所述后台服务器和所述用户均为合法对象,并判定所述用户登录所述后台服务成功。
在一个实施例中,后台服务器验证第一握手密文是否可信的过程包括:
后台服务器利用自身私钥对第一握手密文进行解密,得到第一握手信息,计算第一握手信息的摘要并与接收的客户端发来的摘要进行比较,若两个摘要一致,则判定第一握手密文为可信的。
在本发明的一个实施例中,在步骤S104中,所述设备身份密文为:所述密码设备在对所述服务器身份证书进行验证成功后,使用所述服务器身份证书中的公钥,对临时传输密钥和身份鉴别令牌进行加密,生成的密文;
其中,所述临时传输密钥和所述身份鉴别令牌均为所述密码设备随机产生的。
所述设备身份密文,用于所述后台服务器使用所述设备身份密文生成所述服务器身份密文,以便于所述密码设备对所述后台服务器的身份进行验证。
本实施例中,密码设备在对服务器身份证书验证通过后,密码设备随机产生临时传输密钥和身份鉴别令牌,密码设备使用服务器身份证书中的公钥,对临时传输密钥和身份鉴别令牌进行加密,生成设备身份密文。设备身份密文通过客户端上送至后台服务器。
可选的,在另一个实施例中,密码设备随机产生一对公私钥对,分别为密码设备的公钥和私钥,通过客户端上送至后台服务器。
在本发明的一个实施例中,在步骤S105中,所述服务器身份密文为:所述后台服务器使用对应的私钥对所述设备身份密文进行解密,得到设备密钥和设备身份信息,并使用所述设备密钥对所述设备身份信息进行加密后生成的密文;
本实施例中,后台服务器使用服务器私钥对设备身份密文进行解密,得到设备密钥和设备身份信息,并使用所述设备密钥对所述设备身份信息进行加密后生成的服务器身份密文。
基于上文中所说的,密码设备将临时传输密钥和身份鉴别令牌进行加密生成设备身份密文。
后台服务器对设备身份密文进行解密,得到设备密钥和设备身份信息。
若后台服务器和密码设备均为可信对象,则设备密钥应当与临时传输密钥一致,设备身份信息应当与身份鉴别令牌一致。
在本发明的一个实施例中,在步骤S105中,所述服务器身份密文,用于:所述密码设备对所述服务器身份密文进行解密得到明文,所述密码设备将其预存的身份鉴别令牌与所述明文进行对比,并在验证二者一致后,判定所述后台服务器的身份验证成功;
基于上述分析,密码设备对服务器身份密文进行解密得到明文,如果后台服务器和密码设备均可信,那么,该明文应当包括身份鉴别令牌。
本实施例中,密码设备将其预存的身份鉴别令牌与所述明文进行对比,在验证二者一致后,判定所述后台服务器的身份验证成功。验证成功即为判定其可信。至此,密码设备完成了对后台服务器的身份认证。
在本发明的一个实施例中,在步骤S105中,所述初始密钥密文为:所述后台服务器使用所述设备密钥或者所述密码设备的公钥对预存的初始密钥进行加密后生成的;
所述初始密钥密文,用于:所述密码设备对所述初始密钥密文进行解密,得到所述初始密钥。
本实施例中,密码设备的公钥为密码设备生成的公钥。
当后台服务器使用设备密钥对初始密钥进行加密生成初始密钥密文时,密码设备利用临时传输密钥对初始密钥密文进行解密,得到初始密钥。
当后台服务器使用密码设备的公钥对初始密钥进行加密生成初始密钥密文时,密码设备利用其公钥对初始密钥密文进行解密,得到初始密钥。
本实施例中,后台服务器生成加密的初始密钥密文发送至客户端,客户端将初始密钥密文下发至密码设备。密码设备对初始密钥密文进行解密,得到初始密钥。密码设备将初始密钥写入密钥存储区,从而完成对初始密钥的下载。
本发明实施例中,简化了密码设备对初始密钥的下载流程,下载过程可以在安全屋以外进行,减少了密码设备的转运、打包、拆包等环节的开支;并且,可以将密码设备的初始密钥下载流程布置在产线,可以提高生产效率;进而,实现了安全屋的位置不限制于密码设备的生产区域或存储区,可以更灵活地安排和布置。
实施例2:
如图3所示,本发明实施例2所提供的客户端200,用于执行图2所对应的实施例中的方法步骤,其包括:
双向验证模块210,用于通过用户连接的密保设备,与后台服务器进行双向验证;
密钥请求模块220,用于在所述双向验证通过后,查询密码设备的设备信息,将所述设备信息上传至所述后台服务器,并发送初始密钥下载请求至所述后台服务器;
服务器证书传递模块230,用于接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书,并将所述服务器身份证书转发至所述密码设备;
设备密文传递模块240,用于获取所述密码设备反馈的设备身份密文,并将所述设备身份密文发送至所述后台服务器,其中,所述设备身份密文为所述密码设备在对所述服务器身份证书进行验证成功后生成的;
服务器密文传递模块250,用于获取所述后台服务器使用所述设备身份密文生成的服务器身份密文,以及所述后台服务器对初始密钥进行加密生成的初始密钥密文,并将所述服务器身份密文发送至所述密码设备,其中,所述服务器身份密文用于指示所述密码设备验证所述后台服务器的身份;
初始密钥传递模块260,用于在所述密码设备基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,将所述初始密钥密文下发至所述密码设备。
在本发明的一个实施例中,双向验证模块210包括:
用户验证模块,用于通过用户连接的密保设备,利用SSL/TLS双向认证规则,与所述后台服务器进行双向验证,所述密保设备中预存用户身份证书和对应的私钥;
登录模块,用于在所述双向验证通过后,使用所述密保设备登录所述后台服务器。
在一个实施例中,客户端200还包括其他功能模块/单元,用于实现实施例1中各实施例的方法步骤。
实施例3:
图4示出了本发明实施例3所提供的一种密钥下载方法的实现流程,本实施例的流程执行主体可以是密码设备,其过程详述如下:
步骤S201,通过客户端将所述密码设备的设备信息和初始密钥下载请求上传至后台服务器;
步骤S202,通过所述客户端接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书;
步骤S203,验证所述服务器身份证书,在该证书验证通过后,生成设备身份密文,并将所述设备身份密文通过所述客户端发送至所述后台服务器;
步骤S204,通过所述客户端接收所述后台服务器使用所述设备身份密文生成的服务器身份密文。
步骤S205,在基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,通过所述客户端获取所述后台服务器生成的初始密钥密文,并对所述初始密钥密文进行解密得到初始密钥。
实施例4:
如图5所示,本发明实施例4所提供的密码设备100,用于执行图4所对应的实施例中的方法步骤,其包括:
密钥下载请求模块110,用于通过客户端将所述密码设备的设备信息和初始密钥下载请求上传至后台服务器;
服务器证书获取模块120,用于通过所述客户端接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书;
设备密文生成模块130,用于验证所述服务器身份证书,在该证书验证通过后,生成设备身份密文,并将所述设备身份密文通过所述客户端发送至所述后台服务器;
服务器密文获取模块140,用于通过所述客户端接收所述后台服务器使用所述设备身份密文生成的服务器身份密文。
初始密钥获取模块150,用于在基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,通过所述客户端获取所述后台服务器生成的初始密钥密文,并对所述初始密钥密文进行解密得到初始密钥。
在一个实施例中,密码设备100还包括其他功能模块/单元,用于实现实施例1中各实施例的方法步骤。
实施例5:
图6是本发明一实施例提供的终端设备的示意图。如图6所示,该实施例的终端设备6包括:处理器60、存储器61以及存储在所述存储器61中并可在所述处理器60上运行的计算机程序62。所述处理器60执行所述计算机程序62时实现如实施例1中所述的各实施例中的步骤,例如图2所示的步骤S101至S105。或者,所述处理器60执行所述计算机程序62时实现如实施例3中所述的各实施例中的步骤,例如图4所示的步骤S201至S205。
所述终端设备6是指具有数据处理能力的终端,包括但不限于POS设备、计算机、工作站,甚至是一些性能优异的智能手机、掌上电脑、平板电脑、个人数字助理(PDA)、智能电视(Smart TV)等。终端设备上一般都安装有操作系统,包括但不限于:Windows操作系统、LINUX操作系统、安卓(Android)操作系统、Symbian操作系统、Windows mobile操作系统、以及iOS操作系统等等。以上详细罗列了终端设备6的具体实例,本领域技术人员可以意识到,终端设备并不限于上述罗列实例。
所述终端设备可包括,但不仅限于,处理器60、存储器61。本领域技术人员可以理解,图6仅仅是终端设备6的示例,并不构成对终端设备6的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备6还可以包括输入输出设备、网络接入设备、总线等。
所称处理器60可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器61可以是所述终端设备6的内部存储单元,例如终端设备6的硬盘或内存。所述存储器61也可以是所述终端设备6的外部存储设备,例如所述终端设备6上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器61还可以既包括所述终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储所述计算机程序以及所述终端设备6所需的其他程序和数据。所述存储器61还可以用于暂时地存储已经输出或者将要输出的数据。
实施例6:
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如实施例1中所述的各实施例中的步骤,例如图2所示的步骤S101至S105。或者,所述计算机程序被处理器执行时实现如实施例3中所述的各实施例中的步骤,例如图4所示的步骤S201至S205。
所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应理解,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即所述客户端200或密码设备100的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述客户端200或密码设备100中模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
应理解,在上述实施例中,对各个实施例的描述都各有侧重,实施例1至4可以任意组合,组合后形成的新的实施例也在本申请的保护范围之内。某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的终端设备和方法,可以通过其它的方式实现。例如,以上所描述的系统/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种密钥下载方法,其特征在于,应用于客户端,所述密钥下载方法包括:
通过用户连接的密保设备,与后台服务器进行双向验证;
在所述双向验证通过后,查询密码设备的设备信息,将所述设备信息上传至所述后台服务器,并发送初始密钥下载请求至所述后台服务器;
接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书,并将所述服务器身份证书转发至所述密码设备;
获取所述密码设备反馈的设备身份密文,并将所述设备身份密文发送至所述后台服务器,其中,所述设备身份密文为所述密码设备在对所述服务器身份证书进行验证成功后生成的;
获取所述后台服务器使用所述设备身份密文生成的服务器身份密文,以及所述后台服务器对初始密钥进行加密生成的初始密钥密文,并将所述服务器身份密文发送至所述密码设备,其中,所述服务器身份密文用于指示所述密码设备验证所述后台服务器的身份;
在所述密码设备基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,将所述初始密钥密文下发至所述密码设备。
2.如权利要求1所述的密钥下载方法,其特征在于,
所述设备身份密文为:所述密码设备在对所述服务器身份证书进行验证成功后,使用所述服务器身份证书中的公钥,对临时传输密钥和身份鉴别令牌进行加密,生成的密文;
其中,所述临时传输密钥和所述身份鉴别令牌均为所述密码设备随机产生的;
所述设备身份密文,用于所述后台服务器使用所述设备身份密文生成所述服务器身份密文,以便于所述密码设备对所述后台服务器的身份进行验证。
3.如权利要求1所述的密钥下载方法,其特征在于,
所述服务器身份密文为:所述后台服务器使用对应的私钥对所述设备身份密文进行解密,得到设备密钥和设备身份信息,并使用所述设备密钥对所述设备身份信息进行加密后生成的密文;
所述服务器身份密文,用于:所述密码设备对所述服务器身份密文进行解密得到明文,所述密码设备将其预存的身份鉴别令牌与所述明文进行对比,并在验证二者一致后,判定所述后台服务器的身份验证成功。
4.如权利要求3所述的密钥下载方法,其特征在于,
所述初始密钥密文为:所述后台服务器使用所述设备密钥或者所述密码设备的公钥对预存的初始密钥进行加密后生成的;
所述初始密钥密文,用于:所述密码设备对所述初始密钥密文进行解密,得到所述初始密钥。
5.如权利要求1至4任一项所述的密钥下载方法,其特征在于,所述通过用户连接的密保设备,与后台服务器进行双向验证,包括:
通过用户连接的密保设备,利用SSL/TLS双向认证规则,与所述后台服务器进行双向验证,所述密保设备中预存用户身份证书和对应的私钥;
在所述双向验证通过后,使用所述密保设备登录所述后台服务器。
6.一种客户端,其特征在于,包括:
双向验证模块,用于通过用户连接的密保设备,与后台服务器进行双向验证;
密钥请求模块,用于在所述双向验证通过后,查询密码设备的设备信息,将所述设备信息上传至所述后台服务器,并发送初始密钥下载请求至所述后台服务器;
服务器证书传递模块,用于接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书,并将所述服务器身份证书转发至所述密码设备;
设备密文传递模块,用于获取所述密码设备反馈的设备身份密文,并将所述设备身份密文发送至所述后台服务器,其中,所述设备身份密文为所述密码设备在对所述服务器身份证书进行验证成功后生成的;
服务器密文传递模块,用于获取所述后台服务器使用所述设备身份密文生成的服务器身份密文,以及所述后台服务器对初始密钥进行加密生成的初始密钥密文,并将所述服务器身份密文发送至所述密码设备,其中,所述服务器身份密文用于指示所述密码设备验证所述后台服务器的身份;
初始密钥传递模块,用于在所述密码设备基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,将所述初始密钥密文下发至所述密码设备。
7.一种密钥下载方法,其特征在于,应用于密码设备,所述密钥下载方法包括:
通过客户端将所述密码设备的设备信息和初始密钥下载请求上传至后台服务器;
通过所述客户端接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书;
验证所述服务器身份证书,在该证书验证通过后,生成设备身份密文,并将所述设备身份密文通过所述客户端发送至所述后台服务器;
通过所述客户端接收所述后台服务器使用所述设备身份密文生成的服务器身份密文;
在基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,通过所述客户端获取所述后台服务器生成的初始密钥密文,并对所述初始密钥密文进行解密得到初始密钥。
8.一种密码设备,其特征在于,包括:
密钥下载请求模块,用于通过客户端将所述密码设备的设备信息和初始密钥下载请求上传至后台服务器;
服务器证书获取模块,用于通过所述客户端接收所述后台服务器基于所述初始密钥下载请求下发的服务器身份证书;
设备密文生成模块,用于验证所述服务器身份证书,在该证书验证通过后,生成设备身份密文,并将所述设备身份密文通过所述客户端发送至所述后台服务器;
服务器密文获取模块,用于通过所述客户端接收所述后台服务器使用所述设备身份密文生成的服务器身份密文;
初始密钥获取模块,用于在基于所述服务器身份密文对所述后台服务器的身份进行验证成功后,通过所述客户端获取所述后台服务器生成的初始密钥密文,并对所述初始密钥密文进行解密得到初始密钥。
9.一种终端设备,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的密钥下载方法的步骤或者如权利要求7所述的密钥下载方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的密钥下载方法的步骤或者如权利要求7所述的密钥下载方法的步骤。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811195466.6A CN109274500B (zh) | 2018-10-15 | 2018-10-15 | 一种密钥下载方法、客户端、密码设备及终端设备 |
PCT/CN2019/109896 WO2020078225A1 (zh) | 2018-10-15 | 2019-10-08 | 一种密钥下载方法、客户端、密码设备及终端设备 |
US17/770,131 US20230353389A1 (en) | 2018-10-15 | 2019-10-08 | Method for downloading key, client, password device, and terminal device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811195466.6A CN109274500B (zh) | 2018-10-15 | 2018-10-15 | 一种密钥下载方法、客户端、密码设备及终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109274500A true CN109274500A (zh) | 2019-01-25 |
CN109274500B CN109274500B (zh) | 2020-06-02 |
Family
ID=65196671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811195466.6A Active CN109274500B (zh) | 2018-10-15 | 2018-10-15 | 一种密钥下载方法、客户端、密码设备及终端设备 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230353389A1 (zh) |
CN (1) | CN109274500B (zh) |
WO (1) | WO2020078225A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110816089A (zh) * | 2019-10-15 | 2020-02-21 | 佛山普瑞威尔科技有限公司 | 一种打印程序安全烧录方法、芯片和打印耗材 |
WO2020078225A1 (zh) * | 2018-10-15 | 2020-04-23 | 百富计算机技术(深圳)有限公司 | 一种密钥下载方法、客户端、密码设备及终端设备 |
CN111125726A (zh) * | 2019-11-26 | 2020-05-08 | 广州羊城通有限公司 | 一种显示设备的初始化方法及装置 |
CN112769546A (zh) * | 2021-01-27 | 2021-05-07 | 艾体威尔电子技术(北京)有限公司 | 一种终端设备注入密钥方法及系统 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111768193A (zh) * | 2020-06-19 | 2020-10-13 | 中信银行股份有限公司 | Atm终端的主密钥灌装方法、服务器、终端及系统 |
CN117560224B (zh) * | 2024-01-08 | 2024-04-26 | 深圳高新区信息网有限公司 | 一种密码治理系统和方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220270A (zh) * | 2013-03-15 | 2013-07-24 | 福建联迪商用设备有限公司 | 密钥下载方法、管理方法、下载管理方法及装置和系统 |
CN103237005A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥管理方法及系统 |
CN106712939A (zh) * | 2016-12-27 | 2017-05-24 | 百富计算机技术(深圳)有限公司 | 密钥离线传输方法和装置 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040003247A1 (en) * | 2002-03-11 | 2004-01-01 | Fraser John D. | Non-centralized secure communication services |
US8429712B2 (en) * | 2006-06-08 | 2013-04-23 | Quest Software, Inc. | Centralized user authentication system apparatus and method |
CN103237004A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥下载方法、管理方法、下载管理方法及装置和系统 |
CN103220271A (zh) * | 2013-03-15 | 2013-07-24 | 福建联迪商用设备有限公司 | 密钥下载方法、管理方法、下载管理方法及装置和系统 |
CN103716153B (zh) * | 2013-03-15 | 2017-08-01 | 福建联迪商用设备有限公司 | 终端主密钥tmk安全下载方法及系统 |
US9887975B1 (en) * | 2016-08-03 | 2018-02-06 | KryptCo, Inc. | Systems and methods for delegated cryptography |
CN108702617B (zh) * | 2017-02-10 | 2021-01-12 | 华为技术有限公司 | 一种更新证书颁发者公钥的方法、相关设备及系统 |
CN113411780B (zh) * | 2017-06-07 | 2022-09-09 | 华为技术有限公司 | 鉴权更新eUICC固件版本的方法及相关装置 |
CN107888379A (zh) * | 2017-10-25 | 2018-04-06 | 百富计算机技术(深圳)有限公司 | 一种安全连接的方法、pos终端及密码键盘 |
CN109274500B (zh) * | 2018-10-15 | 2020-06-02 | 百富计算机技术(深圳)有限公司 | 一种密钥下载方法、客户端、密码设备及终端设备 |
-
2018
- 2018-10-15 CN CN201811195466.6A patent/CN109274500B/zh active Active
-
2019
- 2019-10-08 WO PCT/CN2019/109896 patent/WO2020078225A1/zh active Application Filing
- 2019-10-08 US US17/770,131 patent/US20230353389A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220270A (zh) * | 2013-03-15 | 2013-07-24 | 福建联迪商用设备有限公司 | 密钥下载方法、管理方法、下载管理方法及装置和系统 |
CN103237005A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥管理方法及系统 |
CN106712939A (zh) * | 2016-12-27 | 2017-05-24 | 百富计算机技术(深圳)有限公司 | 密钥离线传输方法和装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020078225A1 (zh) * | 2018-10-15 | 2020-04-23 | 百富计算机技术(深圳)有限公司 | 一种密钥下载方法、客户端、密码设备及终端设备 |
CN110816089A (zh) * | 2019-10-15 | 2020-02-21 | 佛山普瑞威尔科技有限公司 | 一种打印程序安全烧录方法、芯片和打印耗材 |
CN110816089B (zh) * | 2019-10-15 | 2021-11-05 | 佛山普瑞威尔科技有限公司 | 一种打印程序安全烧录方法、芯片和打印耗材 |
CN111125726A (zh) * | 2019-11-26 | 2020-05-08 | 广州羊城通有限公司 | 一种显示设备的初始化方法及装置 |
CN112769546A (zh) * | 2021-01-27 | 2021-05-07 | 艾体威尔电子技术(北京)有限公司 | 一种终端设备注入密钥方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109274500B (zh) | 2020-06-02 |
WO2020078225A1 (zh) | 2020-04-23 |
US20230353389A1 (en) | 2023-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108512846B (zh) | 一种终端与服务器之间的双向认证方法和装置 | |
CN109274500A (zh) | 一种密钥下载方法、客户端、密码设备及终端设备 | |
US9838205B2 (en) | Network authentication method for secure electronic transactions | |
CN101527633B (zh) | 智能密钥设备获取数字证书的方法 | |
CN102546171B (zh) | 用于安全元件认证的方法 | |
CN101828357B (zh) | 用于证书提供的方法和装置 | |
US9231925B1 (en) | Network authentication method for secure electronic transactions | |
CN110177354A (zh) | 一种车辆的无线控制方法及系统 | |
US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
CN104639534A (zh) | 网站安全信息的加载方法和浏览器装置 | |
CN105072125B (zh) | 一种http通信系统及方法 | |
CN108964922A (zh) | 移动终端令牌激活方法、终端设备及服务器 | |
CN104486343A (zh) | 一种双因子双向认证的方法及系统 | |
CN107743067A (zh) | 数字证书的颁发方法、系统、终端以及存储介质 | |
CN1921395B (zh) | 提高网络软件安全性的方法 | |
CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
CN104683107B (zh) | 数字证书保管方法和装置、数字签名方法和装置 | |
CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
CN107994995A (zh) | 一种低安全介质的交易方法、系统及终端设备 | |
CN102694782A (zh) | 基于互联网的安全性信息交互设备及方法 | |
CN112769574B (zh) | 密钥注入方法和系统、密钥管理系统、设备及机器可读介质 | |
CN108352982B (zh) | 通信装置、通信方法及记录介质 | |
CN106712939A (zh) | 密钥离线传输方法和装置 | |
JP2008535427A (ja) | データ処理デバイスとセキュリティモジュールとの間のセキュア通信 | |
CN110278083A (zh) | 身份认证请求处理方法和装置、设备重置方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |