CN112422293B - 密钥生成方法、装置和信息处理方法 - Google Patents
密钥生成方法、装置和信息处理方法 Download PDFInfo
- Publication number
- CN112422293B CN112422293B CN202011368695.0A CN202011368695A CN112422293B CN 112422293 B CN112422293 B CN 112422293B CN 202011368695 A CN202011368695 A CN 202011368695A CN 112422293 B CN112422293 B CN 112422293B
- Authority
- CN
- China
- Prior art keywords
- private key
- ciphertext
- key
- component
- smart card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种密钥生成方法、装置和信息处理方法,密钥生成方法应用于智能卡,所述智能卡中存储有特征数据,所述方法包括:向服务端发送所述特征数据;接收所述服务端基于所述特征数据返回的第一私钥分量;向移动端发送所述特征数据;接收所述移动端基于所述特征数据返回的第二私钥分量;基于所述第一私钥分量和所述第二私钥分量,生成新的私钥;根据所述新的私钥,生成与所述新的私钥对应的公钥,即使第一私钥或第二私钥被泄漏,新的私钥也不容易被破译,继而提高密钥对的安全性,从而提高信息传输的安全性。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种密钥生成方法、装置和信息处理方法。
背景技术
随着互联网的普及与应用,网络环境信息安全越来越受到重视。目前,网络环境中的信息通常会采用密文方式传输或存储。因此,用于对数据加密和解密等操作的各类算法被广泛使用。
国密算法,即由国家密码局认定的国产密码算法(商用密码算法),其中SM2(基于ECC)算法为非对称密码算法,可用于数据加密、解密和认证等操作。SM2算法的密钥对包括公钥(可公开的密钥)与私钥(作为机密数据存于安全区不公开)。现有技术中,密钥对可以由智能卡生成或通过第三方设备生成后导入该智能卡。
然而,在利用第三方设备生成密钥对后,通过第三方设备将该密钥对导入智能卡的情况下,若该密钥对在导入智能卡之前已被破解,则智能卡后续利用该密钥对来传输的信息将很容易被泄密。
发明内容
鉴于此,本申请实施例的目的在于提供一种密钥生成方法、装置和信息处理方法,以提高密钥对的安全性,继而提高信息安全性。
第一方面,本申请实施例提供一种密钥生成方法,应用于智能卡,所述智能卡中存储有特征数据,所述方法包括:向服务端发送所述特征数据;接收所述服务端基于所述特征数据返回的第一私钥分量;向移动端发送所述特征数据;接收所述移动端基于所述特征数据返回的第二私钥分量;基于所述第一私钥分量和所述第二私钥分量,生成新的私钥;根据所述新的私钥,生成与所述新的私钥对应的公钥。
在现有技术中,通常是由第三方直接将密钥对发送给智能卡,然而智能卡在接收到该密钥对之前,该密钥对很有可能就已经被破译,继而导致智能卡无法利用该密钥对进行比较安全的信息传输,因此,在上述实现过程中,根据从服务端获取的第一私钥分量和从移动端获取的第二私钥分量,得到新的私钥,并根据新的私钥,生成对应的公钥,在这种情况下,即使第一私钥或第二私钥被泄漏,新的私钥也不容易被破译,继而提高密钥对的安全性,从而提高信息传输的安全性。
基于第一方面,在一种可能的设计中,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述向服务端发送所述特征数据,包括:利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;将所述签名结果、所述签名源数据和所述芯片证书发送给服务端。
在上述实现过程中,利用证书私钥对特征数据进行签名后才发给服务端,以防止特征数据被篡改。
基于第一方面,在一种可能的设计中,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述接收所述服务端基于所述特征数据返回的第一私钥分量包括:接收所述服务端返回的所述第一私钥分量的密文和第一会话密钥的密文;其中,所述第一会话密钥的密文为所述服务端利用所述临时公钥对所述第一会话密钥进行加密后得到的密文;所述第一私钥分量的密文为所述服务端利用所述第一会话密钥对所述第一私钥分量进行加密后得到的密文;利用所述临时私钥对所述第一会话密钥的密文进行解密,得到所述第一会话密钥;利用所述第一会话密钥对所述第一私钥分量的密文进行解密,得到所述第一私钥分量。
在上述实现过程中,所述智能卡中还存储有临时公钥和临时私钥,为了提高第一私钥分量的安全性,智能卡还会将临时公钥发送给服务端,以使服务端利用第一会话密钥对第一私钥分量进行加密,并利用临时公钥对第一会话密钥进行加密,继而使得智能卡在接收到服务端返回的第一私钥分量的密文和第一会话密钥的密文之后,利用与临时公钥对应的临时私钥对第一会话密钥的密文进行解密,以准确地得到第一会话密钥,继而能够利用第一会话密钥对第一私钥分量的密文进行准确解密,并保证第一私钥分量传输的安全性。
基于第一方面,在一种可能的设计中,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述向移动端发送所述特征数据,包括:利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;将所述签名结果、所述签名源数据和所述芯片证书发送给移动端。
在上述实现过程中,利用证书私钥对特征数据进行签名后才发给移动端,以防止特征数据被篡改。
基于第一方面,在一种可能的设计中,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述接收所述移动端返回的第二私钥分量,包括:接收所述移动端返回的所述第二私钥分量的密文和第二会话密钥的密文;其中,所述第二会话密钥的密文为所述移动端利用所述临时公钥对所述第二会话密钥进行加密后得到的密文;所述第二私钥分量的密文为所述服务端利用所述第二会话密钥对所述第二私钥分量进行加密后得到的密文;利用所述临时私钥对所述第二会话密钥的密文进行解密,得到所述第二会话密钥;利用所述第二会话密钥对所述第二私钥分量的密文进行解密,得到所述第二私钥分量。
在上述实现过程中,所述智能卡中还存储有临时公钥和临时私钥,为了提高第二私钥分量的安全性,智能卡还会将临时公钥发送给移动端,以使移动端利用第二会话密钥对第二私钥分量进行加密,并利用临时公钥对第二会话密钥进行加密,继而使得智能卡在接收到服务端返回的第二私钥分量的密文和第二会话密钥的密文之后,利用与临时公钥对应的临时私钥对第二会话密钥的密文进行解密,以准确地得到第二会话密钥,继而能够利用第二会话密钥对第二私钥分量的密文进行准确解密,并保证第二私钥分量传输的安全性。
第二方面,本申请实施例提供一种信息处理方法,应用于服务端,所述方法包括:接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;根据所述特征数据,查找出与所述特征数据对应的第一私钥分量;利用预先确定的第一会话密钥对所述第一私钥分量进行加密,得到所述第一私钥分量的密文;利用所述临时公钥对所述第一会话密钥进行加密,得到所述第一会话密钥的密文;将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡。
在上述实现过程中,服务端在接收到智能卡发送的临时公钥和所述智能卡的特征数据之后,根据所述特征数据,准确地查找出与所述特征数据对应的第一私钥分量,并利用预先确定的第一会话密钥对所述第一私钥分量进行加密之后,发送给智能卡,以及利用所述临时公钥对所述第一会话密钥进行加密之后,发送给智能卡,提高第一会话密钥的安全性,继而提高第一私钥分量的安全性。
基于第二方面,在一种可能的设计中,所述将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡,包括:利用预先确定的第一私钥对所述第一私钥分量的密文和所述第一会话密钥的密文进行签名运算,得到第一签名结果;将所述第一签名结果、所述第一私钥分量的密文、所述第一会话密钥的密文,以及与所述第一私钥对应的第一公钥发送给所述智能卡。
在上述实现过程中,利用预先确定的第一私钥对第一私钥分量的密文和第一会话密钥的密文进行签名运算后发送给智能卡,以进一步提高第一私钥分量的安全性。
第三方面,本申请实施例提供一种信息处理方法,应用于移动端,所述方法包括:接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量;利用预先确定的第二会话密钥对所述第二私钥分量进行加密,得到所述第二私钥分量的密文;利用所述临时公钥对所述第二会话密钥进行加密,得到所述第二会话密钥的密文;将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡。
在上述实现过程中,移动端在接收到智能卡发送的临时公钥和所述智能卡的特征数据之后,在确定所述特征数据与预先存储的特征数据一致时,才获取第二私钥分量,以避免将第二私钥分量正确地发送给对应的智能卡,并利用预先确定的第二会话密钥对所述第二私钥分量进行加密之后,发送给智能卡,以及利用所述临时公钥对所述第二会话密钥进行加密之后,发送给智能卡,提高第二会话密钥的安全性,继而提高第二私钥分量的安全性。
基于第三方面,在一种可能的设计中,所述将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡,包括:利用预先确定的第二私钥对所述第二私钥分量的密文和所述第二会话密钥的密文进行签名运算,得到第二签名结果;将所述第二签名结果、所述第二私钥分量的密文、所述第二会话密钥的密文,以及与所述第二私钥对应的第二公钥发送给所述智能卡。
在上述实现过程中,利用预先确定的第二私钥对第二私钥分量的密文和第二会话密钥的密文进行签名运算后发送给智能卡,以进一步提高第二私钥分量的安全性。
第四方面,本申请实施例提供一种密钥生成装置,应用于智能卡,所述装置包括:第一发送单元,用于向服务端发送所述特征数据;第一私钥分量接收单元,用于接收所述服务端基于所述特征数据返回的第一私钥分量;第二发送单元,用于向移动端发送所述特征数据;第二私钥分量接收单元,用于接收所述移动端基于所述特征数据返回的第二私钥分量;私钥生成单元,用于基于所述第一私钥分量和所述第二私钥分量,生成新的私钥;公钥生成单元,用于根据所述新的私钥,生成与所述新的私钥对应的公钥。
基于第四方面,在一种可能的设计中,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述第一发送单元,具体用于利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;将所述签名结果、所述签名源数据和所述芯片证书发送给服务端。
基于第四方面,在一种可能的设计中,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述第一私钥分量接收单元,具体用于接收所述服务端返回的所述第一私钥分量的密文和第一会话密钥的密文;其中,所述第一会话密钥的密文为所述服务端利用所述临时公钥对所述第一会话密钥进行加密后得到的密文;所述第一私钥分量的密文为所述服务端利用所述第一会话密钥对所述第一私钥分量进行加密后得到的密文;以及利用所述临时私钥对所述第一会话密钥的密文进行解密,得到所述第一会话密钥;利用所述第一会话密钥对所述第一私钥分量的密文进行解密,得到所述第一私钥分量。
基于第四方面,在一种可能的设计中,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述第二发送单元,具体用于利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;以及将所述签名结果、所述签名源数据和所述芯片证书发送给移动端。
基于第四方面,在一种可能的设计中,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述第二私钥分量接收单元,具体用于接收所述移动端返回的所述第二私钥分量的密文和第二会话密钥的密文;其中,所述第二会话密钥的密文为所述移动端利用所述临时公钥对所述第二会话密钥进行加密后得到的密文;所述第二私钥分量的密文为所述服务端利用所述第二会话密钥对所述第二私钥分量进行加密后得到的密文;以及利用所述临时私钥对所述第二会话密钥的密文进行解密,得到所述第二会话密钥;利用所述第二会话密钥对所述第二私钥分量的密文进行解密,得到所述第二私钥分量。
第五方面,本申请实施例提供一种信息处理装置,应用于服务端,所述装置包括:第一接收单元,用于接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;查找单元,用于根据所述特征数据,查找出与所述特征数据对应的第一私钥分量;第一加密单元,用于利用预先确定的第一会话密钥对所述第一私钥分量进行加密,得到所述第一私钥分量的密文;第二加密单元,用于利用所述临时公钥对所述第一会话密钥进行加密,得到所述第一会话密钥的密文;第三发送单元,用于将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡。
基于第五方面,在一种可能的设计中,所述第三发送单元,具体用于利用预先确定的第一私钥对所述第一私钥分量的密文和所述第一会话密钥的密文进行签名运算,得到第一签名结果;将所述第一签名结果、所述第一私钥分量的密文、所述第一会话密钥的密文,以及与所述第一私钥对应的第一公钥发送给所述智能卡。
第六方面,本申请实施例提供一种信息处理装置,应用于移动端,所述装置包括:第二接收单元,用于接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;获取单元,用于在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量;第三加密单元,用于利用预先确定的第二会话密钥对所述第二私钥分量进行加密,得到所述第二私钥分量的密文;第四加密单元,用于利用所述临时公钥对所述第二会话密钥进行加密,得到所述第二会话密钥的密文;第四发送单元,用于将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡。
基于第六方面,在一种可能的设计中,所述第四发送单元,具体用于利用预先确定的第二私钥对所述第二私钥分量的密文和所述第二会话密钥的密文进行签名运算,得到第二签名结果;以及将所述第二签名结果、所述第二私钥分量的密文、所述第二会话密钥的密文,以及与所述第二私钥对应的第二公钥发送给所述智能卡。
第七方面,本申请实施例提供一种电子设备,包括处理器以及与所述处理器连接的存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述电子设备执行第一方面、第二方面或第三方面所述的方法。
第八方面,本申请实施例提供一种存储介质,所述存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行第一方面、第二方面或第三方面所述的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的密钥生成系统的结构示意图。
图2为本申请实施例提供的密钥生成方法的流程示意图。
图3为本申请实施例提供的密钥生成装置的结构示意图。
图4为本申请实施例提供的信息处理装置的结构示意图。
图5为本申请实施例提供的信息处理装置的另一种结构示意图。
图6为本申请实施例提供的电子设备的结构示意图。
图标:300-密钥生成装置;310-第一发送单元;320-第一私钥分量接收单元;330-第二发送单元;340-第二私钥分量接收单元;350-私钥生成单元;360-公钥生成单元;410-第一接收单元;420-查找单元;430-第一加密单元;440-第二加密单元;450-第三发送单元;510-第二接收单元;520-获取单元;530-第三加密单元;540-第四加密单元;550-第四发送单元;600-电子设备;601-处理器;602-存储器;603-通信接口。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1为本申请实施例提供的一种密钥生成系统的结构示意图,所述系统包括:服务端、智能卡和移动端,所述智能卡分别与所述服务端和所述移动端通信连接。
其中,在本实施例中,所述智能卡为教育卡实体卡,在其他实施例中,所述智能卡也可以为其他智能卡。
其中,所述移动端为虚拟的智能卡的载体,所述移动端一般为手机等可移动的电子设备,所述服务端一般为服务器等电子设备。
其中,所述智能卡中预先存储有特征数据,其中,在本实施例中,所述特征数据可以为表征所述智能卡身份的唯一标识,在其他实施例中,所述特征数据也可以为其他数据。
作为一种实施方式,所述智能卡中还可以预先存储有芯片证书和所述芯片证书的证书私钥。
作为一种实施方式,所述智能卡中还可以预先存储临时公钥和临时私钥。
请参照图2,图2为本申请实施例提供的一种密钥生成方法的流程图,所述方法应用于图1所述的系统,下面将对图2所示的流程进行详细阐述,所述方法包括步骤:S20、S21、S22、S23、S24、S25、S26、S27、S28和S29。
S20:智能卡向服务端发送所述特征数据。
S21:服务端根据所述特征数据,查找出与所述特征数据对应的第一私钥分量。
S22:服务端将所述第一私钥分量发送给智能卡。
S23:智能卡接收所述第一私钥分量。
S24:智能卡向移动端发送所述特征数据。
S25:移动端在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量。
S26:移动端将所述第二私钥分量发送给智能卡。
S27:智能卡接收所述第二私钥分量。
S28:智能卡基于所述第一私钥分量和所述第二私钥分量,生成新的私钥。
S29:智能卡根据所述新的私钥,生成与所述新的私钥对应的公钥。
下面对上述方法进行详细介绍。
作为一种实施方式,在S20之前,所述方法还包括:服务端向智能卡发送密钥生成请求。
S20:智能卡向服务端发送所述特征数据。
在实际实施过程中,S20可以按照如下方式实施,智能卡通过IC读卡器接收到所述密钥生成请求之后,智能卡通过IC卡读卡器将预先存储的特征数据发送给服务端。
S20还可以按照如下方式实施,智能卡主动通过IC卡读卡器将预先存储的特征数据发送给服务端。
其中,所述智能卡中预先存储有所述特征数据;其中,在本实施例中,所述特征数据可以为表征所述智能卡身份的唯一标识,在其他实施例中,所述特征数据也可以为其他数据。
可以理解的是,所述智能卡放置于IC读卡器中,所述智能卡与所述IC读卡器可插拔连接。
若所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,作为一种实施方式,S20包括步骤:A1和A2。
A1:智能卡利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据。
作为一种实施方式,若所述智能卡中还存储有临时公钥和临时私钥,则所述签名源数据中还包括:所述临时公钥,对应的,A1可以按照如下方式实施,智能卡利用所述证书私钥对所述特征数据和所述临时公钥进行签名运算,得到签名结果,其中,所述特征数据和所述临时公钥是作为一个整体被进行签名运算的。
在得到签名结果之后,执行步骤A2。
A2:智能卡将所述签名结果、所述签名源数据和所述芯片证书发送给服务端。
作为一种实施方式,A2包括:智能卡从所述芯片证书中提取出芯片证书公钥,并将所述签名结果、所述签名源数据和所述证书公钥发送给服务端。
在智能卡将特征数据发送给服务端之后,执行S21。
S21:服务端根据所述特征数据,查找出与所述特征数据对应的第一私钥分量。
其中,在本实施例中,所述第一私钥分量为分量长度为32字节的16进制编码数据,在其他实施例中,所述第一私钥分量的长度也可以为其他值。
若服务端只接收到智能卡发送的特征数据,则S21按照如下方式实施,服务端则根据所述特征数据,从预先存储的特征数据和私钥分量的对应关系中,查找出与所述特征数据对应的第一私钥分量。
为了提高密钥存储的安全性,服务端预先将第一私钥分量加密后存储,因此,作为一种实施方式,S21按照如下方式实施,服务端则根据所述特征数据,从预先存储的特征数据和加密分量的对应关系中,查找出与所述特征数据对应的第一加密分量,其中,所述第一加密分量为利用对称加密算法对所述第一私钥分量进行加密后所得到的信息,因此,在得到加密分量之后,利用与所述对称加密算法的逆算法对所述第一加密分量进行解密,得到所述第一私钥分量。其中,在本实施例中,所述对称加密算法为SM4算法,在其他实施例中,所述对称加密算法也可以为其他算法。
为了避免将第一私钥分量发送给密钥盗用方,作为一种实施方式,若所述服务端接收到所述芯片证书、所述签名结果和所述签名源数据,则S21可以按照如下方式,从所述芯片证书中提取出所述芯片证书的证书公钥,继而利用所述证书公钥对所述签名结果和所述签名源数据进行签名验证运算,在验证成功时,才会根据所述签名源数据中的特征数据,查找出与所述特征数据对应的第一私钥分量。
可以理解的是,在验证失败时,不会查找所述第一私钥分量,继而也不会执行步骤S22。
作为一种实施方式,若所述服务端接收到所述证书公钥、所述签名结果和所述签名源数据,则S21可以按照如下方式,直接利用所述证书公钥对所述签名结果和所述签名源数据进行签名验证运算,在验证成功时,才会根据所述签名源数据中的所述特征数据,查找出与所述特征数据对应的第一私钥分量。
可以理解的是,在验证失败时,不会查找所述第一私钥分量,继而也不会执行步骤S22。
其中,验签运算的具体实施方式为本领域熟知技术,因此,在此不再赘述。
S22:服务端将所述第一私钥分量发送给智能卡。
作为一种实施方式,S22包括步骤:B1、B2和B3。
B1:服务端利用预先确定的第一会话密钥对所述第一私钥分量进行加密,得到所述第一私钥分量的密文。
在实际实施过程中,B1可以按照如下方式实施,服务端在接收到所述第一私钥分量之后,生成第一会话密钥,并利用所述第一会话密钥对所述第一私钥分量进行加密,得到所述第一私钥分量的密文。
作为一种实施方式,步骤B1中的第一会话密钥也可以是服务端在接收到所述第一私钥分量之前,预先存储在所述服务端中的密钥。
B2:服务端利用所述临时公钥对所述第一会话密钥进行加密,得到所述第一会话密钥的密文。
服务端利用从智能卡发送的临时公钥对所述第一会话密钥进行加密,得到所述第一会话密钥的密文。
在服务端得到所述第一私钥分量的密文和所述第一会话密文之后,执行步骤B3。
B3:服务端将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡。
作为一种实施方式,B3包括步骤:B31和B32。
B31:服务端利用预先确定的第一私钥对所述第一私钥分量的密文和所述第一会话密钥的密文进行签名运算,得到第一签名结果。
服务端利用所述第一私钥对所述第一私钥分量的密文和所述第一会话密钥的密文进行签名运算,得到第一签名结果,其中,所述第一私钥分量的密文和所述第一会话密钥的密文是作为一个整体被进行签名运算的。
B32:服务端将所述第一签名结果、所述第一私钥分量的密文、所述第一会话密钥的密文,以及与所述第一私钥对应的第一公钥发送给所述智能卡。
S23:智能卡接收所述第一私钥分量。
在实际实施过程中,S23可以按照如下方式实施,智能卡将所述第一私钥分量写入安全存储区域,其中,该安全存储区域只支持写操作,不支持读操作,以保证第一私钥分量的安全性。
作为一种实施方式,S23包括步骤:C1、C2和C3。
C1:智能卡接收所述服务端返回的所述第一私钥分量的密文和第一会话密钥的密文。
作为一种实施方式,C1包括:智能卡接收服务端返回的所述第一签名结果、所述第一私钥分量的密文、所述第一会话密钥的密文,以及与所述第一私钥对应的第一公钥。
智能卡在接收到所述第一会话密钥的密文之后,执行步骤C2。
C2:智能卡利用所述临时私钥对所述第一会话密钥的密文进行解密,得到所述第一会话密钥。
若智能卡还接收到服务端返回的所述第一签名结果、以及所述第一公钥,作为一种实施方式,C2包括:智能卡利用所述第一公钥对所述第一签名结果、所述第一私钥分量的密文和所述第一会话密钥密文进行签名验证运算,在验证成功时,智能卡才利用所述临时私钥对所述第一会话密钥的密文进行解密,得到所述第一会话密钥。可以理解的是,在验证失败时,智能卡不会利用所述临时私钥对所述第一会话密钥的密文进行解密,继而也不会执行步骤C3。
在智能卡得到所述第一会话密钥之后,执行步骤C3。
C3:智能卡利用所述第一会话密钥对所述第一私钥分量的密文进行解密,得到所述第一私钥分量。
作为一种实施方式,在S24之前,所述方法还包括:移动端向智能卡发送密钥生成请求。
S24:智能卡向移动端发送所述特征数据。
其中,S24和S20相执行顺序不作限制。
若所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,作为一种实施方式,S24包括步骤:D1和D2。
D1:智能卡利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据。
作为一种实施方式,若所述智能卡中还存储有临时公钥和临时私钥,则所述签名源数据中还包括:所述临时公钥。
D2:智能卡将所述签名结果、所述签名源数据和所述芯片证书发送给移动端。
作为一种实施方式,D2包括:智能卡从所述芯片证书中提取出芯片证书公钥,并将所述签名结果、所述签名源数据和所述证书公钥发送给移动端。
其中,S24的具体实施方式和S20相同,因此,在此不再赘述。
S25:移动端在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量。
其中,在本实施例中,所述第二私钥分量为分量长度为32字节的16进制编码数据,在其他实施例中,所述第二私钥分量的长度也可以为其他值。
其中,所述第一私钥分量和所述第二私钥分量不同。
在实际实施过程中,S25可以按照如下方式实施,移动端在接收到所述特征数据之后,将所述特征数据与预先存储的特征数据进行比较,在所述特征数据和所述预先存储的特征数据一致时,获取预先存储的第二私钥分量。
为了提高密钥存储的安全性,移动端会将第二私钥分量加密后存储,因此,作为一种实施方式,S25按照如下方式实施,移动端在确定所述特征数据与预先存储的特征数据一致时,获取预先存储的第二加密分量,其中,所述第二加密分量为利用对称加密算法对所述第二私钥分量进行加密后所得到的信息,因此,在得到加密分量之后,利用与所述对称加密算法的逆算法对所述第二加密分量进行解密,得到所述第二私钥分量。
作为一种实施方式,若所述移动端还接收到所述芯片证书和所述签名结果,则S25可以按照如下方式,从所述芯片证书中提取出所述芯片证书的证书公钥,继而利用所述证书公钥对所述签名结果和所述签名源数据进行签名验证运算,在验证成功时,确定所述特征数据与预先存储的特征数据是否一致,在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量。
作为一种实施方式,若所述移动端接收到所述证书公钥、所述签名结果和所述签名源数据,则S25可以按照如下方式,直接利用所述证书公钥对所述签名结果和所起签名源数据进行签名验证运算,在验证成功时,移动端才会在确定所述签名源数据中的所述特征数据与预先存储的特征数据一致时,获取第二私钥分量。
S26:移动端将所述第二私钥分量发送给智能卡。
作为一种实施方式,S26包括步骤:E1、E2和E3。
E1:移动端利用预先确定的第二会话密钥对所述第二私钥分量进行加密,得到所述第二私钥分量的密文。
E2:移动端利用所述临时公钥对所述第二会话密钥进行加密,得到所述第二会话密钥的密文。
E3:移动端将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡。
作为一种实施方式,E3包括步骤:E31和E32。
E31:移动端利用预先确定的第二私钥对所述第二私钥分量的密文和所述第二会话密钥的密文进行签名运算,得到第二签名结果。
E32:移动端将所述第二签名结果、所述第二私钥分量的密文、所述第二会话密钥的密文,以及与所述第二私钥对应的第二公钥发送给所述智能卡。
S27:智能卡接收所述第二私钥分量。
在实际实施过程中,S27可以按照如下方式实施,智能卡将所述第二私钥分量写入安全存储区域,其中,该安全存储区域支持写操作,不支持读操作,以保证第二私钥分量的安全性。
作为一种实施方式,S27包括步骤:F1、F2和F3。
F1:智能卡接收所述移动端返回的所述第二私钥分量的密文和第二会话密钥的密文。
作为一种实施方式,F1包括:智能卡接收移动端返回的所述第二签名结果、所述第二私钥分量的密文、所述第二会话密钥的密文,以及与所述第二私钥对应的第二公钥。
F2:智能卡利用所述临时私钥对所述第二会话密钥的密文进行解密,得到所述第二会话密钥。
若智能卡还接收到移动端返回的所述第二签名结果、以及所述第二公钥,作为一种实施方式,F2包括:智能卡利用所述第二公钥对所述第二签名结果、所述第二私钥分量的密文和所述第二会话密钥的密文进行签名验证运算,在验证成功时,智能卡利用所述临时私钥对所述第二会话密钥的密文进行解密,得到所述第二会话密钥。
F3:智能卡利用所述第二会话密钥对所述第二私钥分量的密文进行解密,得到所述第二私钥分量。
其中,S26-S27的具体实施方式请参照步骤S22-S23,因此,在此不再赘述。
S28:智能卡基于所述第一私钥分量和所述第二私钥分量,生成新的私钥。
在实际实施过程中,S28可以按照如下方式实施,智能卡利用预先确定的密钥合成算法对所述第一私钥分量和所述第二私钥分量进行合成,得到新的私钥。其中,在本实施例中,所述密钥合成算法为SM2算法,在其他实施例中,所述密钥合成算法也可以为其他算法。
作为一种实施方式,S28可以按照如下方式实施,智能卡直接将所述第一私钥分量和所述第二私钥分量拼接成一个新的私钥。
作为一种实施方式,智能卡将所述新的私钥存储至安全存储区域,其中,该安全存储区域只支持写操作,不支持读操作,以保证新的私钥的安全性。
S29:智能卡根据所述新的私钥,生成与所述新的私钥对应的公钥。
其中,根据所述新的私钥,生成与所述新的私钥对应的公钥的具体实施方式为本领域熟知技术,因此,在此不再赘述。
请参照图3,图3是本申请实施例提供的一种密钥生成装置300的结构框图。所述装置应用于智能卡,下面将对图3所示的结构框图进行阐述,所示装置包括:
第一发送单元310,用于向服务端发送所述特征数据。
第一私钥分量接收单元320,用于接收所述服务端基于所述特征数据返回的第一私钥分量。
第二发送单元330,用于向移动端发送所述特征数据。
第二私钥分量接收单元340,用于接收所述移动端基于所述特征数据返回的第二私钥分量。
私钥生成单元350,用于基于所述第一私钥分量和所述第二私钥分量,生成新的私钥。
公钥生成单元360,用于根据所述新的私钥,生成与所述新的私钥对应的公钥。
作为一种实施方式,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述第一发送单元310,具体用于利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;将所述签名结果、所述签名源数据和所述芯片证书发送给服务端。
作为一种实施方式,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述第一私钥分量接收单元320,具体用于接收所述服务端返回的所述第一私钥分量的密文和第一会话密钥的密文;其中,所述第一会话密钥的密文为所述服务端利用所述临时公钥对所述第一会话密钥进行加密后得到的密文;所述第一私钥分量的密文为所述服务端利用所述第一会话密钥对所述第一私钥分量进行加密后得到的密文;以及利用所述临时私钥对所述第一会话密钥的密文进行解密,得到所述第一会话密钥;利用所述第一会话密钥对所述第一私钥分量的密文进行解密,得到所述第一私钥分量。
作为一种实施方式,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述第二发送单元330,具体用于利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;以及将所述签名结果、所述签名源数据和所述芯片证书发送给移动端。
作为一种实施方式,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述第二私钥分量接收单元340,具体用于接收所述移动端返回的所述第二私钥分量的密文和第二会话密钥的密文;其中,所述第二会话密钥的密文为所述移动端利用所述临时公钥对所述第二会话密钥进行加密后得到的密文;所述第二私钥分量的密文为所述服务端利用所述第二会话密钥对所述第二私钥分量进行加密后得到的密文;以及利用所述临时私钥对所述第二会话密钥的密文进行解密,得到所述第二会话密钥;利用所述第二会话密钥对所述第二私钥分量的密文进行解密,得到所述第二私钥分量。
请参照图4,图4是本申请实施例提供的一种信息处理装置的结构框图。所述装置应用于服务端,下面将对图4所示的结构框图进行阐述,所示装置包括:
第一接收单元410,用于接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据。
查找单元420,用于根据所述特征数据,查找出与所述特征数据对应的第一私钥分量。
第一加密单元430,用于利用预先确定的第一会话密钥对所述第一私钥分量进行加密,得到所述第一私钥分量的密文。
第二加密单元440,用于利用所述临时公钥对所述第一会话密钥进行加密,得到所述第一会话密钥的密文。
第三发送单元450,用于将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡。
作为一种实施方式,所述第三发送单元450,具体用于利用预先确定的第一私钥对所述第一私钥分量的密文和所述第一会话密钥的密文进行签名运算,得到第一签名结果;将所述第一签名结果、所述第一私钥分量的密文、所述第一会话密钥的密文,以及与所述第一私钥对应的第一公钥发送给所述智能卡。
请参照图5,图5是本申请实施例提供的一种信息处理装置的结构框图。所述装置应用于移动端,下面将对图5所示的结构框图进行阐述,所示装置包括:
第二接收单元510,用于接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据。
获取单元520,用于在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量。
第三加密单元530,用于利用预先确定的第二会话密钥对所述第二私钥分量进行加密,得到所述第二私钥分量的密文。
第四加密单元540,用于利用所述临时公钥对所述第二会话密钥进行加密,得到所述第二会话密钥的密文。
第四发送单元550,用于将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡。
作为一种实施方式,所述第四发送单元540,具体用于利用预先确定的第二私钥对所述第二私钥分量的密文和所述第二会话密钥的密文进行签名运算,得到第二签名结果;以及将所述第二签名结果、所述第二私钥分量的密文、所述第二会话密钥的密文,以及与所述第二私钥对应的第二公钥发送给所述智能卡。
本实施例对各功能单元实现各自功能的过程,请参见上述图2所示实施例中描述的内容,此处不再赘述。
请参照图6,图6为本申请实施例提供的一种电子设备600的结构示意图,电子设备600可以是上述实施中的智能卡、移动端或服务端。
电子设备600可以包括:存储器602、处理器601、通信接口603和通信总线,通信总线用于实现这些组件的连接通信。
若所述电子设备600为智能卡,所述存储器602用于存储本申请实施例提供的密钥生成方法和装置对应的计算程序指令等各种数据,其中,存储器602可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
若所述电子设备600为移动端,所述存储器602用于存储本申请实施例提供的信息处理方法和装置对应的计算程序指令等各种数据。
若所述电子设备600为服务端,所述存储器602用于存储本申请实施例提供的信息处理方法和装置对应的计算程序指令等各种数据。
若所述电子设备600为智能卡,则处理器601用于向服务端发送所述特征数据;接收所述服务端基于所述特征数据返回的第一私钥分量;向移动端发送所述特征数据;接收所述移动端基于所述特征数据返回的第二私钥分量;基于所述第一私钥分量和所述第二私钥分量,生成新的私钥;根据所述新的私钥,生成与所述新的私钥对应的公钥。
若所述电子设备600为服务端,则处理器601用于接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;根据所述特征数据,查找出与所述特征数据对应的第一私钥分量;利用预先确定的第一会话密钥对所述第一私钥分量进行加密,得到所述第一私钥分量的密文;利用所述临时公钥对所述第一会话密钥进行加密,得到所述第一会话密钥的密文;将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡。
若所述电子设备600为移动端,则处理器601用于接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量;利用预先确定的第二会话密钥对所述第二私钥分量进行加密,得到所述第二私钥分量的密文;利用所述临时公钥对所述第二会话密钥进行加密,得到所述第二会话密钥的密文;将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡。
其中,处理器601可能是一种集成电路芯片,具有信号的处理能力。上述的处理器301可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
通信接口603,用于接收或者发送数据。
此外,本申请实施例还提供了一种存储介质,在该存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行本申请任一项实施方式所提供的方法。
在现有技术中,通常是由第三方直接将密钥对发送给智能卡,然而智能卡在接收到该密钥对之前,该密钥对很有可能就已经被篡改,继而导致智能卡无法利用该密钥对进行比较安全的信息传输,因此,综上所述,本申请各实施例提出的密钥生成方法、装置和信息处理方法,智能卡根据从服务端获取的第一私钥分量和从移动端获取的第二私钥分量,得到新的私钥,并根据新的私钥,生成对应的公钥,在这种情况下,即使第一私钥或第二私钥被泄漏,新的私钥也不容易被篡改,继而提高密钥对的安全性,从而提高信息传输的安全性。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
Claims (10)
1.一种密钥生成方法,其特征在于,应用于智能卡,所述智能卡中存储有特征数据,所述方法包括:
向服务端发送所述特征数据;
接收所述服务端基于所述特征数据返回的第一私钥分量;
向移动端发送所述特征数据;
接收所述移动端基于所述特征数据返回的第二私钥分量;
基于所述第一私钥分量和所述第二私钥分量,生成新的私钥;
根据所述新的私钥,生成与所述新的私钥对应的公钥。
2.根据权利要求1所述的方法,其特征在于,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述向服务端发送所述特征数据,包括:
利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;
将所述签名结果、所述签名源数据和所述芯片证书发送给服务端。
3.根据权利要求2所述的方法,其特征在于,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述接收所述服务端基于所述特征数据返回的第一私钥分量包括:
接收所述服务端返回的所述第一私钥分量的密文和第一会话密钥的密文;其中,所述第一会话密钥的密文为所述服务端利用所述临时公钥对所述第一会话密钥进行加密后得到的密文;所述第一私钥分量的密文为所述服务端利用所述第一会话密钥对所述第一私钥分量进行加密后得到的密文;
利用所述临时私钥对所述第一会话密钥的密文进行解密,得到所述第一会话密钥;
利用所述第一会话密钥对所述第一私钥分量的密文进行解密,得到所述第一私钥分量。
4.根据权利要求1所述的方法,其特征在于,所述智能卡中还存储有芯片证书和所述芯片证书的证书私钥,所述向移动端发送所述特征数据,包括:
利用所述证书私钥对签名源数据进行签名运算,得到签名结果;其中,所述签名源数据包括:所述特征数据;
将所述签名结果、所述签名源数据和所述芯片证书发送给移动端。
5.根据权利要求4所述的方法,特征在于,所述智能卡中还存储有临时公钥和临时私钥;所述签名源数据中还包括:所述临时公钥;所述接收所述移动端返回的第二私钥分量,包括:
接收所述移动端返回的所述第二私钥分量的密文和第二会话密钥的密文;其中,所述第二会话密钥的密文为所述移动端利用所述临时公钥对所述第二会话密钥进行加密后得到的密文;所述第二私钥分量的密文为所述服务端利用所述第二会话密钥对所述第二私钥分量进行加密后得到的密文;
利用所述临时私钥对所述第二会话密钥的密文进行解密,得到所述第二会话密钥;
利用所述第二会话密钥对所述第二私钥分量的密文进行解密,得到所述第二私钥分量。
6.一种信息处理方法,其特征于,应用于服务端,所述方法包括:
接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;
根据所述特征数据,查找出与所述特征数据对应的第一私钥分量;
利用预先确定的第一会话密钥对所述第一私钥分量进行加密,得到所述第一私钥分量的密文;
利用所述临时公钥对所述第一会话密钥进行加密,得到所述第一会话密钥的密文;
将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡。
7.根据权利要求6所述的方法,其特征在于,所述将所述第一私钥分量的密文和所述第一会话密钥的密文发送给所述智能卡,包括:
利用预先确定的第一私钥对所述第一私钥分量的密文和所述第一会话密钥的密文进行签名运算,得到第一签名结果;
将所述第一签名结果、所述第一私钥分量的密文、所述第一会话密钥的密文,以及与所述第一私钥对应的第一公钥发送给所述智能卡。
8.一种信息处理方法,其特征于,应用于移动端,所述方法包括:
接收智能卡发送的签名源数据;其中,所述签名源数据包括:临时公钥和所述智能卡的特征数据;
在确定所述特征数据与预先存储的特征数据一致时,获取第二私钥分量;
利用预先确定的第二会话密钥对所述第二私钥分量进行加密,得到所述第二私钥分量的密文;
利用所述临时公钥对所述第二会话密钥进行加密,得到所述第二会话密钥的密文;
将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡。
9.根据权利要求8所述的方法,其特征在于,所述将所述第二私钥分量的密文和所述第二会话密钥的密文发送给所述智能卡,包括:
利用预先确定的第二私钥对所述第二私钥分量的密文和所述第二会话密钥的密文进行签名运算,得到第二签名结果;
将所述第二签名结果、所述第二私钥分量的密文、所述第二会话密钥的密文,以及与所述第二私钥对应的第二公钥发送给所述智能卡。
10.一种密钥生成装置,其特征在于,应用于智能卡,所述装置包括:
第一发送单元,用于向服务端发送特征数据;
第一私钥分量接收单元,用于接收所述服务端基于所述特征数据返回的第一私钥分量;
第二发送单元,用于向移动端发送所述特征数据;
第二私钥分量接收单元,用于接收所述移动端基于所述特征数据返回的第二私钥分量;
私钥生成单元,用于基于所述第一私钥分量和所述第二私钥分量,生成新的私钥;
公钥生成单元,用于根据所述新的私钥,生成与所述新的私钥对应的公钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011368695.0A CN112422293B (zh) | 2020-11-27 | 2020-11-27 | 密钥生成方法、装置和信息处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011368695.0A CN112422293B (zh) | 2020-11-27 | 2020-11-27 | 密钥生成方法、装置和信息处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112422293A CN112422293A (zh) | 2021-02-26 |
CN112422293B true CN112422293B (zh) | 2023-09-05 |
Family
ID=74828822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011368695.0A Active CN112422293B (zh) | 2020-11-27 | 2020-11-27 | 密钥生成方法、装置和信息处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112422293B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101268500B1 (ko) * | 2012-03-30 | 2013-06-04 | 이화여자대학교 산학협력단 | 신뢰구간을 이용한 키 결합 방식의 비밀키 공유 방법 및 시스템 |
CN108540486A (zh) * | 2018-04-23 | 2018-09-14 | 湖南东方华龙信息科技有限公司 | 云密钥的生成和使用方法 |
CN110166236A (zh) * | 2019-05-31 | 2019-08-23 | 北京中金国信科技有限公司 | 密钥处理方法、装置和系统及电子设备 |
CN111200502A (zh) * | 2020-01-03 | 2020-05-26 | 信安神州科技(广州)有限公司 | 协同数字签名方法和装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9705683B2 (en) * | 2014-04-04 | 2017-07-11 | Etas Embedded Systems Canada Inc. | Verifiable implicit certificates |
-
2020
- 2020-11-27 CN CN202011368695.0A patent/CN112422293B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101268500B1 (ko) * | 2012-03-30 | 2013-06-04 | 이화여자대학교 산학협력단 | 신뢰구간을 이용한 키 결합 방식의 비밀키 공유 방법 및 시스템 |
CN108540486A (zh) * | 2018-04-23 | 2018-09-14 | 湖南东方华龙信息科技有限公司 | 云密钥的生成和使用方法 |
CN110166236A (zh) * | 2019-05-31 | 2019-08-23 | 北京中金国信科技有限公司 | 密钥处理方法、装置和系统及电子设备 |
CN111200502A (zh) * | 2020-01-03 | 2020-05-26 | 信安神州科技(广州)有限公司 | 协同数字签名方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112422293A (zh) | 2021-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109347835B (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
US10951595B2 (en) | Method, system and apparatus for storing website private key plaintext | |
CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
CN110278080B (zh) | 数据传输的方法、系统及计算机可读存储介质 | |
CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
CN112688784A (zh) | 一种数字签名、验证方法、装置及系统 | |
CN112187544B (zh) | 固件升级方法、装置、计算机设备及存储介质 | |
CN109274644B (zh) | 一种数据处理方法、终端和水印服务器 | |
US20230368194A1 (en) | Encryption method and decryption method for payment key, payment authentication method, and terminal device | |
CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
CN113872770A (zh) | 一种安全性验证方法、系统、电子设备及存储介质 | |
CN115276978A (zh) | 一种数据处理方法以及相关装置 | |
CN113114654B (zh) | 一种终端设备接入安全认证方法、装置及系统 | |
CN111338841A (zh) | 数据处理方法、装置、设备和存储介质 | |
CN109768969B (zh) | 权限控制方法及物联网终端、电子设备 | |
CN112422293B (zh) | 密钥生成方法、装置和信息处理方法 | |
CN115442046A (zh) | 签名方法、装置、电子设备和存储介质 | |
CN112804678B (zh) | 设备注册、认证及数据传输方法和装置 | |
CN113806763B (zh) | 一种安全获取现场设备的数据的方法、安全服务器和系统 | |
CN113806749B (zh) | 一种升级方法、装置及存储介质 | |
CN116188009A (zh) | 一种国密软加密模式秘钥获取方法、系统、终端和可读存储介质 | |
KR101813069B1 (ko) | 키락 장치를 이용한 금융 서비스 제공 방법 | |
KR20160090556A (ko) | 오프라인 토큰의 안전성을 보장할 수 있는 온라인/오프라인 전자서명 방법 | |
CN115273281A (zh) | 车辆的蓝牙钥匙获取方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |