CN114172649A - 一种基于智能ic卡安全认证的云密钥管理方法及系统 - Google Patents

一种基于智能ic卡安全认证的云密钥管理方法及系统 Download PDF

Info

Publication number
CN114172649A
CN114172649A CN202210126996.5A CN202210126996A CN114172649A CN 114172649 A CN114172649 A CN 114172649A CN 202210126996 A CN202210126996 A CN 202210126996A CN 114172649 A CN114172649 A CN 114172649A
Authority
CN
China
Prior art keywords
key
card
user
enterprise
encrypted data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210126996.5A
Other languages
English (en)
Other versions
CN114172649B (zh
Inventor
秦江君
杨君
杨春龙
张朝斌
刘兵
廖婷
钟怀军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Houpu Intelligent Iot Technology Co ltd
Original Assignee
Houpu Intelligent Iot Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Houpu Intelligent Iot Technology Co ltd filed Critical Houpu Intelligent Iot Technology Co ltd
Priority to CN202210126996.5A priority Critical patent/CN114172649B/zh
Publication of CN114172649A publication Critical patent/CN114172649A/zh
Application granted granted Critical
Publication of CN114172649B publication Critical patent/CN114172649B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于智能IC卡安全认证的云密钥管理方法及系统,该方法包括:生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn;对于注册用户,接收来自用户的制卡申请以及装载随机数SRDn;对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;利用下发的加密数据制作智能IC卡。本发明舍弃了硬件加密机降低了成本,云系统部署、接入、运维快捷且成本低,数据高度集中、共享,企业对制卡情况一目了然。有利于大规模推广和使用。

Description

一种基于智能IC卡安全认证的云密钥管理方法及系统
技术领域
本发明属于加密技术领域,尤其涉及一种基于智能IC卡安全认证的云密钥管理方法及系统。
背景技术
目前智能IC卡在各行业得到了广泛的普及推广使用,如:加油、加气、医疗、交通、社保卡、银行卡、ETC、商超等行业。但对于一些中小企业需要搭建自己的密钥管理系统难度较大、成本较高,不搭建自己的密钥管理系统的话又存在制卡周期长或批量采购制卡成本高的问题。智能IC卡的验证为离线验证,为迅速响应且满足客户需求、提高智能IC卡的使用安全,这就对密钥管理系统低成本部署、快捷实施应用来客户发展的需要提出了新的要求。
现有国内使用智能IC卡密钥管理系统方式多样,如:银行基本都是各大行自有私有密钥管理系统各省市级有区域密钥管理系统权限;同样中石油、中石化、中海油也几乎类似;大企业在密钥管理系统中心都采用了硬件加密机进行密钥的管理,成本较高对企业中心网络环境要求较高,实施成本高。中小型企业目前居多采用集中制卡、离线密钥管理,制卡周期长、且不安全。
发明内容
有鉴于此,本发明提供一种基于智能IC卡安全认证的云密钥管理方法及系统,其制卡快捷、安全、实施成本低且便于维护。
为解决以上技术问题,本发明提供一种基于智能IC卡安全认证的云密钥管理方法,包括:
生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn;
接收来自注册用户的制卡申请以及装载随机数SRDn;
对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
利用下发的加密数据制作智能IC卡。
作为一种改进,所述生成根密钥组并存储包括:
获取运营商级管理因子及保护密码;
根据保护密码在密钥因子矩阵中获取分散因子factor;
根据管理因子生成RSA公钥RPK以及私钥SSK;
根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
作为一种改进,所述根据注册用户发起的业务生成相应加密数据包括:
按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
将根密钥组中的护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
作为一种改进,所述利用下发的加密数据制作智能IC卡包括:
通过智能卡操作中间件对看门狗进行身份识别验证;
利用发卡中间件读取看门狗内的公钥CRPK;
将加密数据f与公钥CRPK进行RSA解密运算得到更新或装载密钥的指令fa;
利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
作为一种改进,对于未注册用户,接收来自用户的注册申请及申请资料;
对申请资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK。
作为一种进一步的改进,所述申请资料包括用户营业执照扫描件、入驻协议、使用终端数。
作为另一种更进一步的改进,所述对用户进行注册包括:
根据用户信息生成企业编号CNO、系统项目编号PNO;
根据企业编号CNO、系统项目编号PNO生成RSA公钥CRPK、私钥CSSK;
将公钥CRPK导入看门狗。
本发明还提供一种基于智能IC卡安全认证的云密钥管理系统,包括:
根密钥组生成存储模块,用于根据运营商级管理因子及保护密码生成根密钥组并进行存储;
用户注册模块,用于接收用户注册请求及注册资料并审核,审核对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK;
数据加密模块,用于接收注册用户的制卡请求及装载随机数SRDn,并对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
制卡模块,用于利用加密数据为用户制作智能IC卡。
作为一种改进,所述根密钥组生成存储模块包括:
根密钥组生成模块,用于获取运营商级管理因子及保护密码,根据保护密码在密钥因子矩阵中获取分散因子factor;根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
根密钥组存储模块,用于利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
作为一种改进,所述数据加密模块包括:
密钥UPKn生成模块,用于按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
加密数据M生成模块,用于将根密钥组中的护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
MAC字符串MAC1生成模块,用于将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
更新或装载密钥的指令fa生成模块,用于将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
加密数据f生成模块,用于利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
作为一种改进,所述制卡模块包括:
看门狗身份验证模块,用于对看门狗进行身份验证;
公钥CRPK读取模块,用于读取看门狗内的公钥CRPK;
解密模块,用于对加密数据f进行解密获得更新或装载密钥的指令fa;
智能IC卡烧录模块,用于利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
本发明的有益之处在于:
1、降低了企业硬件成本(服务器、加密机硬件成本);
2、降低了企业中心网络环境的高要求;
3、实施、扩展方便;
4、安全性高,进行双重加密验证
5、统一化部署、降低了运维成本、提高了工作效率;
6、数据高度集中、共享,企业对制卡情况一目了然。
附图说明
图1为本发明的原理流程图。
图2为本发明的业务流程图。
图3为本发明的结构原理图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合具体实施方式对本发明作进一步的详细说明。
如图1所示,本发明一种基于智能IC卡安全认证的云密钥管理方法,包括:
S1生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn。
S2对于未注册用户,接收来自用户的注册申请及申请资料。
S3对申请资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK。
S4接收来自注册用户的制卡申请以及装载随机数SRDn,所述装载随机数SRDn是从CPU卡中获取的一个随机数,用于数据加密时的MAC算法。
S5对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户。
S6利用下发的加密数据制作智能IC卡。
步骤S1中,云密钥管理系统运营商对云密钥管理系统进行云部署后进行系统初始化,生成云密钥管理系统运营商根密钥组并对应存储到密钥库,其具体包括:
S11获取运营商级管理因子及保护密码。
所谓管理因子即运营商高管输入的种子密钥,其为长度16字节的数据,由0~9,A~F组成。管理因子及保护密码均为2个。
S12根据保护密码在密钥因子矩阵中获取分散因子factor。
两个保护密码在密钥因子矩阵中生成一个坐标,通过该坐标获取分散因子factor。
S13根据管理因子生成RSA公钥RPK以及私钥SSK;
S14根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
S15利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
步骤S2中,未注册用户在申请使用云密钥管理系统制卡之前需要注册。未在云密钥管理系统中注册的中小型企业向云密钥管理系统发起注册申请并同时提交申请资料。所述申请资料具体包括用户营业执照扫描件、入驻协议、使用终端数等。而云密钥管理系统负责对注册申请和申请资料进行接收。
步骤S3中,云密钥管理系统在接收到未注册用户的注册申请和申请资料后,服务商在后台需要对资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量在云密钥管理系统进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK。如果审核不通过则反馈失败原因,用户按要求提交后再进行审核。
步骤S4中,对于已经注册的用户,密钥管理系统接收来自注册用户的制卡申请以及装载随机数SRDn,所述装载随机数SRDn是从CPU卡中获取的一个随机数,用于数据加密时的MAC算法。
步骤S5中,运营商对用户的身份进行审核,具体验证用户名、密码、看门狗等,以判断用户端的操作者是否合法。通过审核后才根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户的用户端上。如果审核不通过,则返回“非法使用”拒绝用户请求。
另外,所述根据注册用户发起的业务生成相应加密数据具体包括:
S51按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;用户卡号USNO来源于云密钥管理系统对企业的规划,制卡成功后USNO编号自动加1。
S52将根密钥组中的护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
S53将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
S54将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
S55利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
步骤S6为制卡过程,具体包括:
S611通过智能卡操作中间件对看门狗进行身份识别验证;
S612利用发卡中间件读取看门狗内的公钥CRPK;
S613将加密数据f与公钥CRPK进行RSA解密运算得到更新或装载密钥的指令fa;
S614利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。。
对于操作层面来说,制卡过程包括:
S621在用户终端上安装发卡中间件;
S622在用户终端上安装看门狗;
S623在用户终端上安装D8桌面读卡器;
S624将待烧录的智能IC卡放在D8桌面读卡器上;
S625设置卡序列号、卡使用有效期,点击制卡按钮进行烧录。
完成制卡后,交付使用。
如图3所示,本发明还提供一种基于智能IC卡安全认证的云密钥管理系统,包括:
根密钥组生成存储模块,用于根据运营商级管理因子及保护密码生成根密钥组并进行存储;
用户注册模块,用于接收用户注册请求及注册资料并审核,审核对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK;
数据加密模块,用于接收注册用户的制卡请求及装载随机数SRDn,并对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
制卡模块,用于利用加密数据为用户制作智能IC卡。
具体地,根密钥组生成存储模块包括:
根密钥组生成模块,用于获取运营商级管理因子及保护密码,根据保护密码在密钥因子矩阵中获取分散因子factor;根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
根密钥组存储模块,用于利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
数据加密模块包括:
密钥UPKn生成模块,用于按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
加密数据M生成模块,用于将根密钥组中的护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
MAC字符串MAC1生成模块,用于将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
更新或装载密钥的指令fa生成模块,用于将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
加密数据f生成模块,用于利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
制卡模块包括:
看门狗身份验证模块,用于对看门狗进行身份验证;
公钥CRPK读取模块,用于读取看门狗内的公钥CRPK;
解密模块,用于对加密数据f进行解密获得更新或装载密钥的指令fa;
智能IC卡烧录模块,用于利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
另外,图2展示了本发明的业务流程图。系统在初始化后,用户(一般为企业)向系统申请注册,系统对企业提交的注册资料进行审核。如果审核不通过则要求企业重新提交则料,如果通过则注册企业信息、分配企业权限、发放看门狗。注册后的企业向系统申请制卡、密钥认证,系统首先要判断企业的身份是否合法,如果不合法则拒绝请求,如何合法则通过云根密钥、企业因子生成相应企业密钥。随后进行制卡和完成密钥认证,最后交付用户使用。
本发明对数据的安全交互进行了双重加密认证,第一重,利用RSA算法对原始数据体进行加密,然后再利用智能IC卡COS传输密钥机制进行验证,进行了双重加密,提高了安全性,降低了再传输中获取数据进行破解的风险,系统舍弃了硬件加密机降低了成本,云系统部署、接入、运维快捷且成本低,数据高度集中、共享,企业对制卡情况一目了然。有利于大规模推广和使用。
以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (11)

1.一种基于智能IC卡安全认证的云密钥管理方法,其特征在于包括:
生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn;
对于注册用户,接收来自用户的制卡申请以及装载随机数SRDn;
对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
利用下发的加密数据制作智能IC卡。
2.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述生成根密钥组并存储包括:
获取运营商级管理因子及保护密码;
根据保护密码在密钥因子矩阵中获取分散因子factor;
根据管理因子生成RSA公钥RPK以及私钥SSK;
根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
3.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述根据注册用户发起的业务生成相应加密数据包括:
按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
将根密钥组中的护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
4.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述利用下发的加密数据制作智能IC卡包括:
通过智能卡操作中间件对看门狗进行身份识别验证;
利用发卡中间件读取看门狗内的公钥CRPK;
将加密数据f与公钥CRPK进行RSA解密运算得到更新或装载密钥的指令fa;
利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
5.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于:
对于未注册用户,接收来自用户的注册申请及申请资料;
对申请资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK。
6.据权利要求5所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述申请资料包括用户营业执照扫描件、入驻协议、使用终端数。
7.根据权利要求5所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册包括:
根据用户信息生成企业编号CNO、系统项目编号PNO;
根据企业编号CNO、系统项目编号PNO生成RSA公钥CRPK、私钥CSSK;
将公钥CRPK导入看门狗。
8.一种基于智能IC卡安全认证的云密钥管理系统,其特征在于包括:
根密钥组生成存储模块,用于根据运营商级管理因子及保护密码生成根密钥组并进行存储;
用户注册模块,用于接收用户注册请求及注册资料并审核,审核对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK;
数据加密模块,用于接收注册用户的制卡请求及装载随机数SRDn,并对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
制卡模块,用于利用加密数据为用户制作智能IC卡。
9.根据权利要求8所述的一种基于智能IC卡安全认证的云密钥管理系统,其特征在于所述根密钥组生成存储模块包括:
根密钥组生成模块,用于获取运营商级管理因子及保护密码,根据保护密码在密钥因子矩阵中获取分散因子factor;根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
根密钥组存储模块,用于利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
10.根据权利要求8所述的一种基于智能IC卡安全认证的云密钥管理系统,其特征在于所述数据加密模块包括:
密钥UPKn生成模块,用于按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
加密数据M生成模块,用于将根密钥组中的护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
MAC字符串MAC1生成模块,用于将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
更新或装载密钥的指令fa生成模块,用于将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
加密数据f生成模块,用于利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
11.根据权利要求8所述的一种基于智能IC卡安全认证的云密钥管理系统,其特征在于所述制卡模块包括:
看门狗身份验证模块,用于对看门狗进行身份验证;
公钥CRPK读取模块,用于读取看门狗内的公钥CRPK;
解密模块,用于对加密数据f进行解密获得更新或装载密钥的指令fa;
智能IC卡烧录模块,用于利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
CN202210126996.5A 2022-02-11 2022-02-11 一种基于智能ic卡安全认证的云密钥管理方法及系统 Active CN114172649B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210126996.5A CN114172649B (zh) 2022-02-11 2022-02-11 一种基于智能ic卡安全认证的云密钥管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210126996.5A CN114172649B (zh) 2022-02-11 2022-02-11 一种基于智能ic卡安全认证的云密钥管理方法及系统

Publications (2)

Publication Number Publication Date
CN114172649A true CN114172649A (zh) 2022-03-11
CN114172649B CN114172649B (zh) 2022-05-13

Family

ID=80489723

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210126996.5A Active CN114172649B (zh) 2022-02-11 2022-02-11 一种基于智能ic卡安全认证的云密钥管理方法及系统

Country Status (1)

Country Link
CN (1) CN114172649B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114423006A (zh) * 2022-03-31 2022-04-29 芯电智联(北京)科技有限公司 一种nfc标签的密钥管理方法
CN117201197A (zh) * 2023-11-07 2023-12-08 贵州通利数字科技有限公司 一种个人通信网络加密方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070095927A1 (en) * 2005-11-02 2007-05-03 Nokia Corporation Method for issuer and chip specific diversification
CN102693455A (zh) * 2012-05-04 2012-09-26 武汉天喻信息产业股份有限公司 一种基于金融ic卡的数据准备全自动化系统及方法
CN104463016A (zh) * 2014-12-22 2015-03-25 厦门大学 一种适用于ic卡及二维码的数据安全存储方法
CN105634730A (zh) * 2015-12-29 2016-06-01 中国建设银行股份有限公司 一种金融ic卡密钥管理系统
CN106971124A (zh) * 2017-02-24 2017-07-21 南方城墙信息安全科技有限公司 用于批量发卡的写卡写证设备和方法
CN106997533A (zh) * 2017-04-01 2017-08-01 福建实达电脑设备有限公司 一种pos终端产品安全生产授权管理系统及方法
CN107230068A (zh) * 2016-03-25 2017-10-03 中国人民银行印制科学技术研究所 使用可视数字货币芯片卡支付数字货币的方法和系统
CN108923921A (zh) * 2018-07-24 2018-11-30 上海声联网络科技有限公司 一种根密钥的密钥因子生成方法
US20190052464A1 (en) * 2017-08-14 2019-02-14 Nxp B.V. Method for generating a public/private key pair and public key certificate for an internet of things device

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070095927A1 (en) * 2005-11-02 2007-05-03 Nokia Corporation Method for issuer and chip specific diversification
CN102693455A (zh) * 2012-05-04 2012-09-26 武汉天喻信息产业股份有限公司 一种基于金融ic卡的数据准备全自动化系统及方法
CN104463016A (zh) * 2014-12-22 2015-03-25 厦门大学 一种适用于ic卡及二维码的数据安全存储方法
CN105634730A (zh) * 2015-12-29 2016-06-01 中国建设银行股份有限公司 一种金融ic卡密钥管理系统
CN107230068A (zh) * 2016-03-25 2017-10-03 中国人民银行印制科学技术研究所 使用可视数字货币芯片卡支付数字货币的方法和系统
CN106971124A (zh) * 2017-02-24 2017-07-21 南方城墙信息安全科技有限公司 用于批量发卡的写卡写证设备和方法
CN106997533A (zh) * 2017-04-01 2017-08-01 福建实达电脑设备有限公司 一种pos终端产品安全生产授权管理系统及方法
US20190052464A1 (en) * 2017-08-14 2019-02-14 Nxp B.V. Method for generating a public/private key pair and public key certificate for an internet of things device
CN108923921A (zh) * 2018-07-24 2018-11-30 上海声联网络科技有限公司 一种根密钥的密钥因子生成方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
AO BIAO ET AL.: ""Key Management System of IC Card based on information security"", 《2010 INTERNATIONAL CONFERENCE ON COMPUTER APPLICATION AND SYSTEM MODELING (ICCASM 2010)》 *
陈勇: "金融IC卡的密钥管理", 《中国信用卡》 *
龚敏等: "基于城市通卡的发卡与密钥管理研究", 《福建电脑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114423006A (zh) * 2022-03-31 2022-04-29 芯电智联(北京)科技有限公司 一种nfc标签的密钥管理方法
CN114423006B (zh) * 2022-03-31 2022-06-14 芯电智联(北京)科技有限公司 一种nfc标签的密钥管理方法
CN117201197A (zh) * 2023-11-07 2023-12-08 贵州通利数字科技有限公司 一种个人通信网络加密方法
CN117201197B (zh) * 2023-11-07 2023-12-29 贵州通利数字科技有限公司 一种个人通信网络加密方法

Also Published As

Publication number Publication date
CN114172649B (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
US20220231857A1 (en) Hash-based data verification system
CN114172649B (zh) 一种基于智能ic卡安全认证的云密钥管理方法及系统
JP3622433B2 (ja) アクセス資格認証装置および方法
US11949791B2 (en) Hash contract generation and verification system
US8065718B2 (en) Secure authentication using hardware token and computer fingerprint
US7676430B2 (en) System and method for installing a remote credit card authorization on a system with a TCPA complaint chipset
US6868406B1 (en) Auditing method and system for an on-line value-bearing item printing system
US7216110B1 (en) Cryptographic module for secure processing of value-bearing items
US7302703B2 (en) Hardware token self enrollment process
CN116842483A (zh) 验证数字资产完整性的方法和系统
US20150149782A1 (en) Integrity protected smart card transaction
US20020112164A1 (en) System and method for providing customized secure access to shared documents
GB2446484A (en) Environment based access control to encryption keys
US20070150420A1 (en) Establishing mutual authentication and secure channels in devices without previous credentials
GB2328047A (en) Protected storage of core data secrets
WO2001029775A1 (en) Cryptographic module for secure processing of value-bearing items
WO2001013574A1 (en) A digital signature service
CA2623556C (en) Method for the authenticated transmission of a personalized data set or program to a hardware security module in particular of a franking machine.
CN101925910A (zh) 许可证认证系统以及认证方法
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及系统
EP1252560B1 (en) Hardware token self enrollment process
CN111444482A (zh) 一种基于电子公证的安全电子印章管理方法
CN106161027A (zh) 一种手机准数字证书子系统及其系统及其方法
CN100574191C (zh) 局域网内Direct Client系统认证的方法
CN116436660A (zh) 一种应用于云服务的企业数字证书存储和使用方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant