CN110796446B - 密钥注入方法、装置、电子设备及计算机可读存储介质 - Google Patents
密钥注入方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110796446B CN110796446B CN201910994589.4A CN201910994589A CN110796446B CN 110796446 B CN110796446 B CN 110796446B CN 201910994589 A CN201910994589 A CN 201910994589A CN 110796446 B CN110796446 B CN 110796446B
- Authority
- CN
- China
- Prior art keywords
- public key
- server
- certificate
- key
- key certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及信息安全技术领域,特别是涉及一种密钥注入方法、装置、电子设备及计算机可读存储介质。该方法包括:终端设备接收服务器发送的密钥数据包;当预存随机数与第一随机数匹配时,根据服务器公钥证书对应的公钥对服务器签名数据进行解密,得到第一摘要数据;对第一摘要数据和第二摘要数据进行比对;根据终端设备公钥证书对应的私钥对第一加密密钥块进行解密处理,得到保护密钥;根据保护密钥对第二加密密钥块进行解密,得到参数数据;提取参数数据中的交易密钥;根据密钥块头中的注入参数将交易密钥注入到对应的密钥容器中。本申请中,实现了对密钥的远程便捷注入,且通过与服务器的配合,保证了密钥注入的安全性。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种密钥注入方法、装置、电子设备及计算机可读存储介质。
背景技术
密钥注入一直是金融行业的关注焦点,远程密钥注入更是一种密钥注入和更新的方法。现有的远程密钥注入,通过在终端的生产阶段导入固定的保护密钥,在终端出厂后需要注入或更新交易密钥时通过生产阶段导入的保护密钥对交易密钥进行加密来注入或更新交易密钥。如果更新保护密钥,则需要返厂重新进行生产阶段,且一般不支持保护密钥的更新。且由于远程密钥注入涉及到网络传输,容易产生风险,怎么保证远程密钥注入的安全性就成了当前亟待解决的技术问题。
发明内容
本申请提供了一种密钥注入方法、装置、电子设备及计算机可读存储介质,以实现对密钥的远程便捷注入,且通过与服务器的配合,保证密钥注入的安全性。
第一方面,提供了一种密钥注入方法,该方法包括如下步骤:
终端设备获取服务器对应的服务器公钥证书,确定所述服务器公钥证书对应的公钥;
所述终端设备接收所述服务器发送的密钥数据包,其中,所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成;
所述终端设备基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配;
当所述预存随机数与所述第一随机数匹配时,所述终端设备根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密,得到第一摘要数据;对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算,得到第二摘要数据;对所述第一摘要数据和所述第二摘要数据进行比对;若相同,确定对所述服务器签名数据验签通过;否则,验签失败;
当所述终端设备对所述服务器签名数据验签通过时,所述终端设备根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理,得到保护密钥;
所述终端设备根据所述保护密钥对所述第二加密密钥块进行解密,得到相应的参数数据;
所述终端设备确定所述参数数据是否正确;
当确定所述参数数据正确时,所述终端设备提取所述参数数据中的交易密钥;
所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。
在一个可能地实现方式中,所述终端设备获取服务器对应的服务器公钥证书,确定所述服务器公钥证书对应的公钥,包括:
所述终端设备接收所述服务器发送的服务器公钥证书及对应的指示标志位,所述指示标志位用于表征所述服务器公钥证书的当前级数状态;
所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数;当所述服务器公钥证书的个数为1个时,确定所述服务器公钥证书对应的公钥;当所述服务器公钥证书的个数为至少2个时,所述终端设备确定最后一级的服务器公钥证书,并获取最后一级的服务器公钥证书对应的公钥,所述最后一级的服务器公钥证书为所述服务器各按级排列的服务器公钥证书中位于最后一级的公钥证书。
在一个可能地实现方式中,所述终端设备获取服务器对应的服务器公钥证书之前,还包括:
所述终端设备将自身的终端设备公钥证书向所述服务器发送,以使所述服务器对接收到的终端设备公钥证书进行验证;
当所述服务器对所述终端设备公钥证书验证通过后,所述终端设备获取服务器对应的服务器公钥证书。
在一个可能地实现方式中,所述终端设备确定最后一级的服务器公钥证书,包括:
所述终端设备获取当前服务器公钥证书的公钥;接收所述服务器对应的下一级服务器公钥证书及对应的指示标志位;基于所述当前服务器公钥证书的公钥对所述下一级服务器公钥证书进行校验,并在校验通过后,基于所述下一级服务器公钥证书对应的指示标志位确定所述下一级服务器公钥证书是否为最后一级的服务器公钥证书;当确定所述下一级服务器公钥证书为最后一级的服务器公钥证书时,获取所述下一级服务器公钥证书对应的公钥;否则,重复执行上述获取所述服务器公钥证书的公钥的相关处理,直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。
在一个可能地实现方式中,所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数之前,包括:
所述终端设备基于预存的服务器的校验证书对所述服务器公钥证书进行合法校验,确定所述服务器公钥证书是否合法;
当所述终端设备确定服务器公钥证书合法时,执行根据所述指示标志位确定所述服务器公钥证书的个数的处理;否则,进行报错,结束流程。
在一个可能地实现方式中,所述终端设备接收所述服务器发送的密钥数据包,包括:
所述终端设备向所述服务器发送终端设备的预存随机数,以使所述服务器基于所述预存随机数构建密钥数据包;
所述终端设备接收所述服务器发送的密钥数据包。
在一个可能地实现方式中,所述密钥数据包还由证书吊销列表构成,所述终端设备接收所述服务器发送的密钥数据包之后,还包括:
所述终端设备对所述密钥数据包的证书吊销列表进行查找,确定所述证书吊销列表中是否包含有所述服务器公钥证书对应的序列号;当所述证书吊销列表中未包含有所述服务器公钥证书对应的序列号时,确定所述服务器公钥证书未被吊销。
在一个可能地实现方式中,所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中之后,还包括:
所述终端设备根据所述交易密钥构建校验值,并将所述校验值携带于密钥注入成功指令中发送给所述服务器,以使所述服务器对所述校验值进行校验。
第二方面,提供了一种密钥注入装置,包括:
第一处理模块,用于获取服务器对应的服务器公钥证书,确定所述服务器公钥证书对应的公钥;
第二处理模块,用于接收所述服务器发送的密钥数据包,其中,所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成;
第三处理模块,用于基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配;当所述预存随机数与所述第一随机数匹配时,根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密,得到第一摘要数据;对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算,得到第二摘要数据;对所述第一摘要数据和所述第二摘要数据进行比对;若相同,确定对所述服务器签名数据验签通过;否则,验签失败;对所述服务器签名数据验签通过时,根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理,得到保护密钥;
第四处理模块,用于根据所述保护密钥对所述第二加密密钥块进行解密,得到相应的参数数据;确定所述参数数据是否正确;当确定所述参数数据正确时,提取所述参数数据中的交易密钥;
第五处理模块,用于根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。
在一个可能地实现方式中,所述第一处理模块,用于接收所述服务器发送的服务器公钥证书及对应的指示标志位,所述指示标志位用于表征所述服务器公钥证书的当前级数状态;根据所述指示标志位确定所述服务器公钥证书的个数;当所述服务器公钥证书的个数为1个时,确定所述服务器公钥证书对应的公钥;当所述服务器公钥证书的个数为至少2个时,确定最后一级的服务器公钥证书,并获取最后一级的服务器公钥证书对应的公钥,所述最后一级的服务器公钥证书为所述服务器各按级排列的服务器公钥证书中位于最后一级的公钥证书。
在一个可能地实现方式中,还包括:
第六处理模块,用于将自身的终端设备公钥证书向所述服务器发送,以使所述服务器对接收到的终端设备公钥证书进行验证;当所述服务器对所述终端设备公钥证书验证通过后,获取服务器对应的服务器公钥证书。
在一个可能地实现方式中,所述第一处理模块,用于获取当前服务器公钥证书的公钥;接收所述服务器对应的下一级服务器公钥证书及对应的指示标志位;基于所述当前服务器公钥证书的公钥对所述下一级服务器公钥证书进行校验,并在校验通过后,基于所述下一级服务器公钥证书对应的指示标志位确定所述下一级服务器公钥证书是否为最后一级的服务器公钥证书;当确定所述下一级服务器公钥证书为最后一级的服务器公钥证书时,获取所述下一级服务器公钥证书对应的公钥;否则,重复执行上述获取所述服务器公钥证书的公钥的相关处理,直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。
在一个可能地实现方式中,所述第一处理模块,还用于基于预存的服务器的校验证书对所述服务器公钥证书进行合法校验,确定所述服务器公钥证书是否合法;当确定服务器公钥证书合法时,执行根据所述指示标志位确定所述服务器公钥证书的个数的处理;否则,进行报错,结束流程。
在一个可能地实现方式中,所述第二处理模块,用于向所述服务器发送终端设备的预存随机数,以使所述服务器基于所述预存随机数构建密钥数据包;接收所述服务器发送的密钥数据包。
在一个可能地实现方式中,所述密钥数据包还由证书吊销列表构成,还包括:
第七处理模块,用于对所述密钥数据包的证书吊销列表进行查找,确定所述证书吊销列表中是否包含有所述服务器公钥证书对应的序列号;当所述证书吊销列表中未包含有所述服务器公钥证书对应的序列号时,确定所述服务器公钥证书未被吊销。
在一个可能地实现方式中,还包括:
第八处理模块,用于根据所述交易密钥构建校验值,并将所述校验值携带于密钥注入成功指令中发送给所述服务器,以使所述服务器对所述校验值进行校验。
第三方面,提供了一种电子设备,包括:处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行上述的密钥注入方法。
第四方面,提供了一种计算机可读存储介质,所述计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机可以执行上述的密钥注入方法。
借由上述技术方案,本申请提供的技术方案至少具有下列优点:
本申请中,实现了对密钥的远程便捷注入,且通过与服务器的配合,保证了密钥注入的安全性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明实施例的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本申请提供的密钥注入方法的流程示意图;
图2为本申请提供的密钥注入方法的一种可能实现方式的具体处理流程示意图;
图3为本申请提供的密钥注入装置的结构示意图;
图4为本申请提供的密钥注入方法的电子设备的结构示意图。
具体实施方式
本申请提出一种密钥注入方法、装置、电子设备及计算机可读存储介质,下面结合附图,对本申请具体实施方式进行详细说明。
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本申请的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
如图1所示,为本申请提供的密钥注入方法的流程示意图,该方法包括如下步骤:
步骤S101,终端设备获取服务器对应的服务器公钥证书,确定服务器公钥证书对应的公钥;
步骤S102,终端设备接收服务器发送的密钥数据包;
其中,密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成;
步骤S103,终端设备基于终端设备的预存随机数与密钥数据包中的第一随机数进行匹配;
步骤S104,当预存随机数与第一随机数匹配时,终端设备对第一摘要数据和第二摘要数据进行比对;
其中,终端设备根据服务器公钥证书对应的公钥对服务器签名数据进行解密,得到第一摘要数据;对第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算,得到第二摘要数据;对第一摘要数据和第二摘要数据进行比对;若相同,确定对服务器签名数据验签通过;否则,验签失败;
步骤S105,当终端设备对服务器签名数据验签通过时,终端设备根据终端设备的终端设备公钥证书对应的私钥对第一加密密钥块进行解密处理,得到保护密钥;
步骤S106,终端设备根据保护密钥对第二加密密钥块进行解密,得到相应的参数数据和交易密钥;
步骤S107,终端设备确定参数数据是否正确;
步骤S108,当确定参数数据正确时,终端设备提取参数数据中的交易密钥;
步骤S109,终端设备根据密钥块头中的注入参数将交易密钥注入到终端设备对应的密钥容器中。
本申请中,实现了对密钥的远程便捷注入,且通过与服务器的配合,保证了密钥注入的安全性。
基于上述本申请所提供的技术方案,下面对该技术方案进行详尽阐释,如图2所示,为本申请提供的密钥注入方法的一个可能地实现方式的具体处理流程图。
对于本申请,在一个可能地实现方式中,前述步骤S101的处理具体包括下述步骤S201~步骤S205的处理。
步骤S201,终端设备向服务器发送终端设备公钥证书。
在一个可能地实现方式中,在进行密钥注入之前,需要预先进行终端设备与服务器间的证书交换。该证书交换过程可以包括:终端设备将自身的终端设备公钥证书向服务器发送,从而使得服务器对该终端设备公钥证书进行验证。
对于上述服务器对终端设备公钥证书的验证过程,可以包括:
终端设备将终端设备公钥证书发送到服务器,服务器对该终端设备公钥证书进行验证;验证通过后,服务器将该终端设备公钥证书对应的公钥进行提取保存。
步骤S202,服务器将服务器公钥证书及对应的指示标志位发送给终端设备。
在一个可能地实现方式中,服务器在对终端设备公钥证书验证通过后,会将自身的服务器公钥证书及对应的指示标志位发送给终端设备,其中,该指示标志位用于表征服务器公钥证书的当前级数状态。如服务器公钥证书一共有5级,若当前服务器公钥证书为1-4级中任一级服务器公钥证书时,其对应的当前级数状态均可以表示为“Middle”;若当前服务器公钥证书为5服务器公钥证书时,其对应的当前级数状态可以表示为“Final”。
步骤S203,终端设备基于预存的服务器的校验证书对服务器公钥证书进行合法校验。
在一个可能地实现方式中,终端设备在接收到服务器发送的服务器公钥证书后,首先需求确定该服务器公钥证书的合法性,当终端设备确定服务器公钥证书合法时,转到步骤S204,执行确定服务器公钥证书的个数的处理;否则,进行报错,结束流程。
步骤S204,终端设备根据指示标志位确定服务器公钥证书的个数。
在一个可能地实现方式中,终端设备会根据接收到的指示标志位确定服务器公钥证书的个数。当服务器公钥证书的个数为1个时,终端设备可以直接确定该服务器公钥证书对应的公钥;当服务器公钥证书的个数为至少2个时,终端设备需要先确定最后一级的服务器公钥证书,最后一级的服务器公钥证书为服务器各按级排列的服务器公钥证书中位于最后一级的公钥证书。
步骤S205,终端设备获取最后一级的服务器公钥证书对应的公钥。
在一个可能地实现方式中,当服务器公钥证书的个数为1个时,终端设备直接提取该服务器公钥证书对应的公钥作为目标的公钥。
当服务器公钥证书的个数为至少2个时,终端设备确定最后一级的服务器公钥证书,并获取最后一级的服务器公钥证书对应的公钥的处理,可以包括如下处理步骤:
终端设备获取当前服务器公钥证书的公钥;接收服务器对应的下一级服务器公钥证书及对应的指示标志位;基于前述获取的当前服务器公钥证书的公钥对下一级服务器公钥证书进行校验,并在校验通过后,基于下一级服务器公钥证书对应的指示标志位确定下一级服务器公钥证书是否为最后一级的服务器公钥证书;当确定下一级服务器公钥证书为最后一级的服务器公钥证书时,获取下一级服务器公钥证书对应的公钥;否则,重复执行上述获取当前服务器公钥证书的公钥的相关处理,直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。
对于本申请,在一个可能地实现方式中,前述步骤S102~步骤S109的处理具体包括下述步骤S206~步骤S207的处理。
步骤S206,服务器构建密钥数据包。
在一个可能地实现方式中,在终端设备得到最后一级的服务器公钥证书对应的公钥后,终端设备向服务器发送终端设备的预存随机数,从而使得服务器可以根据该预存随机数来构建密钥数据包。具体地,服务器构建密钥数据包的过程可以包括:
服务器生成交易密钥(由服务器根据自身生成的随机数构成该交易密钥)和保护密钥,构建密钥块头(该密钥块头中包含有服务器预先配置的注入参数),利用存储的终端设备公钥证书的公钥对保护密钥进行非对称RSA加密,得到第一加密密钥块,其填充模式可以为OAEP或PKCS_V15;再利用保护密钥对密钥数据包中的参数数据进行加密,得到第二加密密钥块;之后利用最后一级的服务器公钥证书对应的私钥对待验签数据(密钥块头、预存随机数、第一加密密钥块、第二加密密钥块)进行签名处理,得到服务器签名数据;并在服务器自身存储的数据中取出相应的证书吊销列表,根据前述得到的预存随机数、密钥块头、第一加密密钥块、第二加密密钥块、服务器签名数据以及证书吊销列表构建密钥数据包。
步骤S207,终端设备对服务器构建的密钥数据包进行校验。
在一个可能地实现方式中,服务器在将密钥数据包构建完成后,将该密钥数据包发送给终端设备,由终端设备对该密钥数据包进行相应的校验处理。
在一具体实施例中,上述密钥数据包中数据具体包括:
F2DD12D7A3E2441AC5BE85640582C49A
42303032344430544E303045303130304B53303830313130
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
3118DA4872FC57E08BCC305A8E87333E0F9E7390BE3757ECE2A9DA99C0D338D5B1E1384DBCD4FE3A271E7DE7D8AD476E119F1BDC96663EE7AABF0FD93FE31E06AD36C1ABA22E4EA3
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
终端设备在对该密钥数据包进行校验处理之前,通过解析得到该密钥数据包的结构包括第一随机数、密钥块头、第一加密密钥块、第二加密密钥块、服务器签名数据和证书吊销列表六部分构成。
在一具体实施例中,终端设备对密钥数据包解析后得到的上述六部分对应的数据可以为:
第一随机数D:
F2DD12D7A3E2441AC5BE85640582C49A
密钥块头H:
42303032344430544E303045303130304B53303830313130
第一加密密钥块E:
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
第二加密密钥块B:
3118DA4872FC57E08BCC305A8E87333E0F9E7390BE3757ECE2A9DA99C0D338D5B1E1384DBCD4FE3A271E7DE7D8AD476E119F1BDC96663EE7AABF0FD93FE31E06AD36C1ABA22E4EA3
服务器签名数据S:
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
证书吊销列表C:
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
具体地,上述校验处理包括:
步骤A1:终端设备对密钥数据包的证书吊销列表进行查找,确定证书吊销列表中是否包含有服务器公钥证书对应的序列号;当证书吊销列表中未包含有服务器公钥证书对应的序列号时,确定该服务器公钥证书未被吊销;则继续执行A2的处理;
在一具体实施例中,在上述证书吊销列表里查询是否有服务器公钥证书对应的序列号,包括:
在前述的证书吊销列表中查询是否有1129F80D6EDAE2F9390A34F1B44B9001C2199C78,确定未含有,继续执行步骤A2处理。
步骤A2:终端设备基于终端设备的预存随机数与密钥数据包中的第一随机数进行匹配;当预存随机数与第一随机数匹配时,转到步骤A3;否则,报错处理,结束流程。
在一具体实施例中,预存随机数为F2DD12D7A3E2441AC5BE85640582C49A,第一随机数为F2DD12D7A3E2441AC5BE85640582C49A,通过匹配,确认一致,继续执行步骤A3处理。
步骤A3:终端设备根据服务器公钥证书对应的公钥对服务器签名数据进行验签处理;当终端设备对服务器签名数据验签通过时,转到步骤A4;否则,报错处理,结束流程。
上述验签处理,具体包括如下处理流程:
终端设备根据服务器公钥证书对应的公钥对服务器签名数据基于RSA算法进行解密,得到第一摘要数据;对第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行SHA256算法计算,得到第二摘要数据;对第一摘要数据和第二摘要数据进行比对;若相同,确定对对服务器签名数据验签通过;否则,验签失败。
在一具体实施例中,通过对前述的服务器签名数据进行解密,得到解密数据:
0001FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0050A3B5F652AA05A3A92ADC58DFB0AF5838DF46D4639D9BBF8A8CE3244574EBDA
基于RSA算法进行处理,得到第一摘要数据:
50A3B5F652AA05A3A92ADC58DFB0AF5838DF46D4639D9BBF8A8CE3244574EBDA
对第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行SHA256算法计算,得到第二摘要数据:
50A3B5F652AA05A3A92ADC58DFB0AF5838DF46D4639D9BBF8A8CE3244574EBDA
通过对上述第一摘要数据和第二摘要数据的比对,确认两个数据一致,继续执行步骤A4处理。
步骤A4:终端设备根据终端设备的终端设备公钥证书对应的私钥对第一加密密钥块进行解密处理,得到保护密钥;
在一具体实施例中,在终端设备对第一加密密钥块解密后,得到的保护密钥为:66666666666666666666666666666666
步骤A5:终端设备根据保护密钥对第二加密密钥块进行解密,得到相应的参数数据和交易密钥;
在一具体实施例中,终端设备在根据上述的保护密钥进行解密后,得到的参数数据包括:V||IC||K||H;分别对应的数据为:
V:00000001
IC:1129F80D6EDAE2F9390A34F1B44B9001C2199C78
K:73383B327F71BC6308BB73C49356294A49996C9B4BF2842D
H:42303032344430544E303045303130304B53303830313130
步骤A6:终端设备确定前述的参数数据是否正确;当参数数据正确时,转到步骤A7;否则,报错处理,结束流程。
在一具体实施例中,根据预存随机数和密钥块头对参数数据中的IC和H进行匹配,确认一致,继续执行步骤A7的处理。
步骤A7:终端设备提取交易密钥。
在一具体实施例中,终端在上述参数数据中提取得到交易密钥K:73383B327F71BC6308BB73C49356294A49996C9B4BF2842D。
步骤A8:终端设备提取密钥块头中的注入参数。
步骤A9:终端设备根据密钥块头中的注入参数将交易密钥注入到终端设备对应的密钥容器中。
在一具体实施例中,终端设备根据密钥块头中的注入参数Key usage:4430、Alg:54、以及option block data中得到的密钥索引:30313130将交易密码K:73383B327F71BC6308BB73C49356294A49996C9B4BF2842D注入到密钥容器中。
其中,对于上述校验处理,并不仅局限于如步骤A1~A9的处理顺序,还可以将步骤A1的证书吊销列表查找处理过程调整到步骤A2处理之后。当然,对于本申请实施例而言,上述步骤A1~A9的处理顺序可以根据所需进行任意调换。
对于本申请,在一个可能地实现方式中,还包括下述步骤S208的处理。
步骤S208,终端设备向服务器发送密钥注入成功指令。
在一个可能地实现方式中,终端设备在获取到交易密钥后,根据该交易密钥构建校验值,并将该校验值携带于密钥注入成功指令中发送给服务器,由服务器对校验值进行相应的校验处理。
本申请中,实现了对密钥的远程便捷注入,且通过终端服务器的配合,保证了密钥注入的安全性。
基于上述本申请所提供的密钥注入方法的技术方案,本申请对应提供了密钥注入装置的结构示意图,如图3所示,本申请的密钥注入装置30可以包括:第一处理模块31、第二处理模块32、第三处理模块33、第四处理模块34、第五处理模块35、第六处理模块36、第七处理模块37及第八处理模块38。
第一处理模块31,用于获取服务器对应的服务器公钥证书,确定服务器公钥证书对应的公钥;
第二处理模块32,用于接收服务器发送的密钥数据包,其中,密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成;
第三处理模块33,用于基于终端设备的预存随机数与密钥数据包中的第一随机数进行匹配;当预存随机数与第一随机数匹配时,根据服务器公钥证书对应的公钥对服务器签名数据进行解密,得到第一摘要数据;对第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算,得到第二摘要数据;对第一摘要数据和第二摘要数据进行比对;若相同,确定对服务器签名数据验签通过;否则,验签失败;对服务器签名数据验签通过时,根据终端设备的终端设备公钥证书对应的私钥对第一加密密钥块进行解密处理,得到保护密钥;
第四处理模块34,用于根据保护密钥对第二加密密钥块进行解密,得到相应的参数数据;确定参数数据是否正确;当确定参数数据正确时,提取参数数据中的交易密钥;
第五处理模块35,用于根据密钥块头中的注入参数将交易密钥注入到终端设备对应的密钥容器中。
在一个可能地实现方式中,第一处理模块31,用于接收服务器发送的服务器公钥证书及对应的指示标志位,指示标志位用于表征服务器公钥证书的当前级数状态;根据指示标志位确定服务器公钥证书的个数;当服务器公钥证书的个数为1个时,确定服务器公钥证书对应的公钥;当服务器公钥证书的个数为至少2个时,确定最后一级的服务器公钥证书,并获取最后一级的服务器公钥证书对应的公钥,最后一级的服务器公钥证书为服务器各按级排列的服务器公钥证书中位于最后一级的公钥证书。
在一个可能地实现方式中,还包括:
第六处理模块36,用于将自身的终端设备公钥证书向服务器发送,以使服务器对接收到的终端设备公钥证书进行验证;当服务器对终端设备公钥证书验证通过后,获取服务器对应的服务器公钥证书。
在一个可能地实现方式中,第一处理模块31,用于获取当前服务器公钥证书的公钥;接收服务器对应的下一级服务器公钥证书及对应的指示标志位;基于当前服务器公钥证书的公钥对下一级服务器公钥证书进行校验,并在校验通过后,基于下一级服务器公钥证书对应的指示标志位确定下一级服务器公钥证书是否为最后一级的服务器公钥证书;当确定下一级服务器公钥证书为最后一级的服务器公钥证书时,获取下一级服务器公钥证书对应的公钥;否则,重复执行上述获取服务器公钥证书的公钥的相关处理,直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。
在一个可能地实现方式中,第一处理模块31,还用于基于预存的服务器的校验证书对服务器公钥证书进行合法校验,确定服务器公钥证书是否合法;当确定服务器公钥证书合法时,执行根据指示标志位确定服务器公钥证书的个数的处理;否则,进行报错,结束流程。
在一个可能地实现方式中,第二处理模块32,用于向服务器发送终端设备的预存随机数,以使服务器基于预存随机数构建密钥数据包;接收服务器发送的密钥数据包。
在一个可能地实现方式中,密钥数据包还由证书吊销列表构成,还包括:
第七处理模块37,用于对密钥数据包的证书吊销列表进行查找,确定证书吊销列表中是否包含有服务器公钥证书对应的序列号;当证书吊销列表中未包含有服务器公钥证书对应的序列号时,确定服务器公钥证书未被吊销。
在一个可能地实现方式中,还包括:
第八处理模块38,用于根据交易密钥构建校验值,并将校验值携带于密钥注入成功指令中发送给服务器,以使服务器对校验值进行校验。
本申请中,实现了对密钥的远程便捷注入,且通过终端服务器的配合,保证了密钥注入的安全性。
下面参考图4,其示出了适于用来实现本申请实施例的电子设备(例如图1中的终端设备)400的结构示意图。本申请实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM402被安装。在该计算机程序被处理装置401执行时,执行本申请实施例的方法中限定的上述功能。
需要说明的是,本申请上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取至少两个网际协议地址;向节点评价设备发送包括所述至少两个网际协议地址的节点评价请求,其中,所述节点评价设备从所述至少两个网际协议地址中,选取网际协议地址并返回;接收所述节点评价设备返回的网际协议地址;其中,所获取的网际协议地址指示内容分发网络中的边缘节点。
或者,上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:接收包括至少两个网际协议地址的节点评价请求;从所述至少两个网际协议地址中,选取网际协议地址;返回选取出的网际协议地址;其中,接收到的网际协议地址指示内容分发网络中的边缘节点。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
本申请提供的电子设备,适用于上述的密钥设备登录验证方法的任一实施例,在此不再赘述。
本申请中,实现了对密钥的远程便捷注入,且通过终端服务器的配合,保证了密钥注入的安全性。
本申请提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,计算机指令使计算机执行上述实施例所示的密钥设备登录验证方法。
本申请提供的计算机可读存储介质,适用于上述的密钥设备登录验证方法的任一实施例,在此不再赘述。
本申请中,实现了对密钥的远程便捷注入,且通过终端服务器的配合,保证了密钥注入的安全性。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本申请公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
其中,本申请装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本申请的几个具体实施例,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (18)
1.一种密钥注入方法,其特征在于,该方法包括如下步骤:
终端设备获取服务器对应的服务器公钥证书,确定所述服务器公钥证书对应的公钥;
所述终端设备接收所述服务器发送的密钥数据包,其中,所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成;
所述终端设备基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配;
当所述预存随机数与所述第一随机数匹配时,所述终端设备根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密,得到第一摘要数据;对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算,得到第二摘要数据;对所述第一摘要数据和所述第二摘要数据进行比对;若相同,所述终端设备对所述服务器签名数据验签通过;否则,验签失败;
当所述终端设备对所述服务器签名数据验签通过时,所述终端设备根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理,得到保护密钥;
所述终端设备根据所述保护密钥对所述第二加密密钥块进行解密,得到相应的参数数据;
所述终端设备确定所述参数数据是否正确;
当确定所述参数数据正确时,所述终端设备提取所述参数数据中的交易密钥;
所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。
2.如权利要求1所述的方法,其特征在于,所述终端设备获取服务器对应的服务器公钥证书,确定所述服务器公钥证书对应的公钥,包括:
所述终端设备接收服务器发送的服务器公钥证书及对应的指示标志位,所述指示标志位用于表征所述服务器公钥证书的当前级数状态;
所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数;当所述服务器公钥证书的个数为1个时,确定所述服务器公钥证书对应的公钥;当所述服务器公钥证书的个数为至少2个时,所述终端设备确定最后一级的服务器公钥证书,并获取最后一级的服务器公钥证书对应的公钥,所述最后一级的服务器公钥证书为所述服务器的服务器公钥证书中级数状态位于最后一级的服务器公钥证书。
3.如权利要求2所述的方法,其特征在于,所述终端设备获取服务器对应的服务器公钥证书之前,还包括:
所述终端设备将自身的终端设备公钥证书向所述服务器发送,以使所述服务器对接收到的终端设备公钥证书进行验证;
当所述服务器对所述终端设备公钥证书验证通过后,所述终端设备获取服务器对应的服务器公钥证书。
4.如权利要求2所述的方法,其特征在于,所述终端设备确定最后一级的服务器公钥证书,包括:
所述终端设备获取当前服务器公钥证书的公钥;接收所述服务器对应的下一级服务器公钥证书及对应的指示标志位;基于所述当前服务器公钥证书的公钥对所述下一级服务器公钥证书进行校验,并在校验通过后,基于所述下一级服务器公钥证书对应的指示标志位确定所述下一级服务器公钥证书是否为最后一级的服务器公钥证书;当确定所述下一级服务器公钥证书为最后一级的服务器公钥证书时,获取所述下一级服务器公钥证书对应的公钥;否则,重复执行上述获取所述服务器公钥证书的公钥的相关处理,直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。
5.如权利要求2所述的方法,其特征在于,所述终端设备根据所述指示标志位确定所述服务器公钥证书的个数之前,包括:
所述终端设备基于预存的服务器的校验证书对所述服务器公钥证书进行合法校验,确定所述服务器公钥证书是否合法;
当所述终端设备确定服务器公钥证书合法时,执行根据所述指示标志位确定所述服务器公钥证书的个数的处理;否则,进行报错,结束流程。
6.如权利要求1所述的方法,其特征在于,所述终端设备接收所述服务器发送的密钥数据包,包括:
所述终端设备向所述服务器发送终端设备的预存随机数,以使所述服务器基于所述预存随机数构建密钥数据包;
所述终端设备接收所述服务器发送的密钥数据包。
7.如权利要求1所述的方法,其特征在于,所述密钥数据包还由证书吊销列表构成,所述终端设备接收所述服务器发送的密钥数据包之后,还包括:
所述终端设备对所述密钥数据包的证书吊销列表进行查找,确定所述证书吊销列表中是否包含有所述服务器公钥证书对应的序列号;当所述证书吊销列表中未包含有所述服务器公钥证书对应的序列号时,确定所述服务器公钥证书未被吊销。
8.如权利要求1所述的方法,其特征在于,所述终端设备根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中之后,还包括:
所述终端设备根据所述交易密钥构建校验值,并将所述校验值携带于密钥注入成功指令中发送给所述服务器,以使所述服务器对所述校验值进行校验。
9.一种密钥注入装置,其特征在于,包括:
第一处理模块,用于获取服务器对应的服务器公钥证书,确定所述服务器公钥证书对应的公钥;
第二处理模块,用于接收所述服务器发送的密钥数据包,其中,所述密钥数据包由第一随机数、密钥块头、第一加密密钥块、第二加密密钥块和服务器签名数据构成;
第三处理模块,用于基于终端设备的预存随机数与所述密钥数据包中的第一随机数进行匹配;当所述预存随机数与所述第一随机数匹配时,根据所述服务器公钥证书对应的公钥对所述服务器签名数据进行解密,得到第一摘要数据;对所述第一随机数、密钥块头、第一加密密钥块和第二加密密钥块进行计算,得到第二摘要数据;对所述第一摘要数据和所述第二摘要数据进行比对;若相同,对所述服务器签名数据验签通过;否则,验签失败;对所述服务器签名数据验签通过时,根据所述终端设备的终端设备公钥证书对应的私钥对所述第一加密密钥块进行解密处理,得到保护密钥;
第四处理模块,用于根据所述保护密钥对所述第二加密密钥块进行解密,得到相应的参数数据;确定所述参数数据是否正确;当确定所述参数数据正确时,提取所述参数数据中的交易密钥;
第五处理模块,用于根据所述密钥块头中的注入参数将所述交易密钥注入到所述终端设备对应的密钥容器中。
10.如权利要求9所述的装置,其特征在于,所述第一处理模块,用于接收服务器发送的服务器公钥证书及对应的指示标志位,所述指示标志位用于表征所述服务器公钥证书的当前级数状态;根据所述指示标志位确定所述服务器公钥证书的个数;当所述服务器公钥证书的个数为1个时,确定所述服务器公钥证书对应的公钥;当所述服务器公钥证书的个数为至少2个时,确定最后一级的服务器公钥证书,并获取最后一级的服务器公钥证书对应的公钥,所述最后一级的服务器公钥证书为所述服务器的服务器公钥证书中级数状态位于最后一级的服务器公钥证书。
11.如权利要求10所述的装置,其特征在于,还包括:
第六处理模块,用于将自身的终端设备公钥证书向所述服务器发送,以使所述服务器对接收到的终端设备公钥证书进行验证;当所述服务器对所述终端设备公钥证书验证通过后,获取服务器对应的服务器公钥证书。
12.如权利要求10所述的装置,其特征在于,所述第一处理模块,用于获取当前服务器公钥证书的公钥;接收所述服务器对应的下一级服务器公钥证书及对应的指示标志位;基于所述当前服务器公钥证书的公钥对所述下一级服务器公钥证书进行校验,并在校验通过后,基于所述下一级服务器公钥证书对应的指示标志位确定所述下一级服务器公钥证书是否为最后一级的服务器公钥证书;当确定所述下一级服务器公钥证书为最后一级的服务器公钥证书时,获取所述下一级服务器公钥证书对应的公钥;否则,重复执行上述获取所述服务器公钥证书的公钥的相关处理,直到当前的服务器公钥证书为最后一级的服务器公钥证书时获取其所对应的公钥为止。
13.如权利要求10所述的装置,其特征在于,所述第一处理模块,还用于基于预存的服务器的校验证书对所述服务器公钥证书进行合法校验,确定所述服务器公钥证书是否合法;当确定服务器公钥证书合法时,执行根据所述指示标志位确定所述服务器公钥证书的个数的处理;否则,进行报错,结束流程。
14.如权利要求9所述的装置,其特征在于,所述第二处理模块,用于向所述服务器发送终端设备的预存随机数,以使所述服务器基于所述预存随机数构建密钥数据包;接收所述服务器发送的密钥数据包。
15.如权利要求9所述的装置,其特征在于,所述密钥数据包还由证书吊销列表构成,还包括:
第七处理模块,用于对所述密钥数据包的证书吊销列表进行查找,确定所述证书吊销列表中是否包含有所述服务器公钥证书对应的序列号;当所述证书吊销列表中未包含有所述服务器公钥证书对应的序列号时,确定所述服务器公钥证书未被吊销。
16.如权利要求9所述的装置,其特征在于,还包括:
第八处理模块,用于根据所述交易密钥构建校验值,并将所述校验值携带于密钥注入成功指令中发送给所述服务器,以使所述服务器对所述校验值进行校验。
17.一种电子设备,其特征在于,包括:处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行上述权利要求1至权利要求8中任一项所述的密钥注入方法。
18.一种计算机可读存储介质,其特征在于,所述计算机存储介质用于存储计算机指令,当其在计算机上运行时,使得计算机执行上述权利要求1至权利要求8中任一项所述的密钥注入方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910994589.4A CN110796446B (zh) | 2019-10-18 | 2019-10-18 | 密钥注入方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910994589.4A CN110796446B (zh) | 2019-10-18 | 2019-10-18 | 密钥注入方法、装置、电子设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110796446A CN110796446A (zh) | 2020-02-14 |
CN110796446B true CN110796446B (zh) | 2022-05-03 |
Family
ID=69439383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910994589.4A Active CN110796446B (zh) | 2019-10-18 | 2019-10-18 | 密钥注入方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110796446B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112564898B (zh) * | 2020-11-30 | 2022-06-14 | 南京晓庄学院 | 一种书籍安全存储方法、装置以及存储介质 |
CN113037467B (zh) * | 2021-05-24 | 2021-08-24 | 杭州海康威视数字技术股份有限公司 | 视频物联网设备密钥证书管理方法、装置和系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103338185A (zh) * | 2013-05-31 | 2013-10-02 | 飞天诚信科技股份有限公司 | 一种文件共享的方法及系统 |
CN106656488A (zh) * | 2016-12-07 | 2017-05-10 | 百富计算机技术(深圳)有限公司 | 一种pos终端的密钥下载方法和装置 |
WO2017197974A1 (zh) * | 2016-05-20 | 2017-11-23 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法、装置及电子设备 |
CN107888381A (zh) * | 2017-11-09 | 2018-04-06 | 飞天诚信科技股份有限公司 | 一种密钥导入的实现方法、装置及系统 |
WO2018113362A1 (zh) * | 2016-12-20 | 2018-06-28 | 百富计算机技术(深圳)有限公司 | 密钥远程获取方法、销售终端和存储介质 |
-
2019
- 2019-10-18 CN CN201910994589.4A patent/CN110796446B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103338185A (zh) * | 2013-05-31 | 2013-10-02 | 飞天诚信科技股份有限公司 | 一种文件共享的方法及系统 |
WO2017197974A1 (zh) * | 2016-05-20 | 2017-11-23 | 中国银联股份有限公司 | 一种基于生物特征的安全认证方法、装置及电子设备 |
CN106656488A (zh) * | 2016-12-07 | 2017-05-10 | 百富计算机技术(深圳)有限公司 | 一种pos终端的密钥下载方法和装置 |
WO2018103166A1 (zh) * | 2016-12-07 | 2018-06-14 | 百富计算机技术(深圳)有限公司 | 一种 pos 终端的密钥下载方法和装置 |
WO2018113362A1 (zh) * | 2016-12-20 | 2018-06-28 | 百富计算机技术(深圳)有限公司 | 密钥远程获取方法、销售终端和存储介质 |
CN107888381A (zh) * | 2017-11-09 | 2018-04-06 | 飞天诚信科技股份有限公司 | 一种密钥导入的实现方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110796446A (zh) | 2020-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108322469B (zh) | 信息处理系统、方法和装置 | |
CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
CN108923925B (zh) | 应用于区块链的数据存储方法和装置 | |
US20150312036A1 (en) | Generation and management of multiple base keys based on a device generated key | |
CN110796446B (zh) | 密钥注入方法、装置、电子设备及计算机可读存储介质 | |
US20090083739A1 (en) | Network resource access control methods and systems using transactional artifacts | |
CN112149168B (zh) | 一种文件数据加密方法、装置及电子设备 | |
CN111245811A (zh) | 信息加密方法、装置及电子设备 | |
CN107332833B (zh) | 校验方法及装置 | |
CN112512048A (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
CN116633582A (zh) | 安全通信方法、装置、电子设备及存储介质 | |
CN111130805B (zh) | 安全传输方法、电子设备及计算机可读存储介质 | |
CN110602700B (zh) | 种子密钥处理方法、装置及电子设备 | |
CN116015900B (zh) | 数据自存储自验证方法、装置、设备及存储介质 | |
CN115296807B (zh) | 用于预防工控网络病毒的密钥生成方法、装置、设备 | |
US8327148B2 (en) | Mobile system, service system, and key authentication method to manage key in local wireless communication | |
CN111130791A (zh) | 数据签名方法、电子设备及计算机可读存储介质 | |
CN110602075A (zh) | 一种加密访问控制的文件流处理的方法、装置及系统 | |
CN114301597B (zh) | 密钥验证方法、设备及可读存储介质 | |
CN110232570A (zh) | 一种信息监管方法及装置 | |
CN116204903A (zh) | 一种财务数据安全管理方法、装置、电子设备及存储介质 | |
CN114117388A (zh) | 设备注册方法、设备注册装置、电子设备以及存储介质 | |
CN111753289A (zh) | 口令认证方法及装置、电子设备、计算机可读存储介质 | |
CN116028979B (zh) | 密钥安全管理方法、装置、电子设备和计算机可读介质 | |
CN112926076B (zh) | 一种数据处理的方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |