CN114172649B - 一种基于智能ic卡安全认证的云密钥管理方法及系统 - Google Patents
一种基于智能ic卡安全认证的云密钥管理方法及系统 Download PDFInfo
- Publication number
- CN114172649B CN114172649B CN202210126996.5A CN202210126996A CN114172649B CN 114172649 B CN114172649 B CN 114172649B CN 202210126996 A CN202210126996 A CN 202210126996A CN 114172649 B CN114172649 B CN 114172649B
- Authority
- CN
- China
- Prior art keywords
- key
- card
- user
- enterprise
- encrypted data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于智能IC卡安全认证的云密钥管理方法及系统,该方法包括:生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn;对于注册用户,接收来自用户的制卡申请以及装载随机数SRDn;对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;利用下发的加密数据制作智能IC卡。本发明舍弃了硬件加密机降低了成本,云系统部署、接入、运维快捷且成本低,数据高度集中、共享,企业对制卡情况一目了然。有利于大规模推广和使用。
Description
技术领域
本发明属于加密技术领域,尤其涉及一种基于智能IC卡安全认证的云密钥管理方法及系统。
背景技术
目前智能IC卡在各行业得到了广泛的普及推广使用,如:加油、加气、医疗、交通、社保卡、银行卡、ETC、商超等行业。但对于一些中小企业需要搭建自己的密钥管理系统难度较大、成本较高,不搭建自己的密钥管理系统的话又存在制卡周期长或批量采购制卡成本高的问题。智能IC卡的验证为离线验证,为迅速响应且满足客户需求、提高智能IC卡的使用安全,这就对密钥管理系统低成本部署、快捷实施应用来客户发展的需要提出了新的要求。
现有国内使用智能IC卡密钥管理系统方式多样,如:银行基本都是各大行自有私有密钥管理系统各省市级有区域密钥管理系统权限;同样中石油、中石化、中海油也几乎类似;大企业在密钥管理系统中心都采用了硬件加密机进行密钥的管理,成本较高对企业中心网络环境要求较高,实施成本高。中小型企业目前居多采用集中制卡、离线密钥管理,制卡周期长、且不安全。
发明内容
有鉴于此,本发明提供一种基于智能IC卡安全认证的云密钥管理方法及系统,其制卡快捷、安全、实施成本低且便于维护。
为解决以上技术问题,本发明提供一种基于智能IC卡安全认证的云密钥管理方法,包括:
生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn;
接收来自注册用户的制卡申请以及装载随机数SRDn;
对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
利用下发的加密数据制作智能IC卡。
作为一种改进,所述生成根密钥组并存储包括:
获取运营商级管理因子及保护密码;
根据保护密码在密钥因子矩阵中获取分散因子factor;
根据管理因子生成RSA公钥RPK以及私钥SSK;
根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
作为一种改进,所述根据注册用户发起的业务生成相应加密数据包括:
按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
将根密钥组中的保护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
作为一种改进,所述利用下发的加密数据制作智能IC卡包括:
通过智能卡操作中间件对看门狗进行身份识别验证;
利用发卡中间件读取看门狗内的公钥CRPK;
将加密数据f与公钥CRPK进行RSA解密运算得到更新或装载密钥的指令fa;
利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
作为一种改进,对于未注册用户,接收来自用户的注册申请及申请资料;
对申请资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK。
作为一种进一步的改进,所述申请资料包括用户营业执照扫描件、入驻协议、使用终端数。
作为另一种更进一步的改进,所述对用户进行注册包括:
根据用户信息生成企业编号CNO、系统项目编号PNO;
根据企业编号CNO、系统项目编号PNO生成RSA公钥CRPK、私钥CSSK;
将公钥CRPK导入看门狗。
本发明还提供一种基于智能IC卡安全认证的云密钥管理系统,包括:
根密钥组生成存储模块,用于根据运营商级管理因子及保护密码生成根密钥组并进行存储;
用户注册模块,用于接收用户注册请求及注册资料并审核,审核对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK;
数据加密模块,用于接收注册用户的制卡请求及装载随机数SRDn,并对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
制卡模块,用于利用加密数据为用户制作智能IC卡。
作为一种改进,所述根密钥组生成存储模块包括:
根密钥组生成模块,用于获取运营商级管理因子及保护密码,根据保护密码在密钥因子矩阵中获取分散因子factor;根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
根密钥组存储模块,用于利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
作为一种改进,所述数据加密模块包括:
密钥UPKn生成模块,用于按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
加密数据M生成模块,用于将根密钥组中的保护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
MAC字符串MAC1生成模块,用于将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
更新或装载密钥的指令fa生成模块,用于将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
加密数据f生成模块,用于利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
作为一种改进,所述制卡模块包括:
看门狗身份验证模块,用于对看门狗进行身份验证;
公钥CRPK读取模块,用于读取看门狗内的公钥CRPK;
解密模块,用于对加密数据f进行解密获得更新或装载密钥的指令fa;
智能IC卡烧录模块,用于利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
本发明的有益之处在于:
1、降低了企业硬件成本(服务器、加密机硬件成本);
2、降低了企业中心网络环境的高要求;
3、实施、扩展方便;
4、安全性高,进行双重加密验证
5、统一化部署、降低了运维成本、提高了工作效率;
6、数据高度集中、共享,企业对制卡情况一目了然。
附图说明
图1为本发明的原理流程图。
图2为本发明的业务流程图。
图3为本发明的结构原理图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合具体实施方式对本发明作进一步的详细说明。
如图1所示,本发明一种基于智能IC卡安全认证的云密钥管理方法,包括:
S1生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn。
S2对于未注册用户,接收来自用户的注册申请及申请资料。
S3对申请资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK。
S4接收来自注册用户的制卡申请以及装载随机数SRDn,所述装载随机数SRDn是从CPU卡中获取的一个随机数,用于数据加密时的MAC算法。
S5对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户。
S6利用下发的加密数据制作智能IC卡。
步骤S1中,云密钥管理系统运营商对云密钥管理系统进行云部署后进行系统初始化,生成云密钥管理系统运营商根密钥组并对应存储到密钥库,其具体包括:
S11获取运营商级管理因子及保护密码。
所谓管理因子即运营商高管输入的种子密钥,其为长度16字节的数据,由0~9,A~F组成。管理因子及保护密码均为2个。
S12根据保护密码在密钥因子矩阵中获取分散因子factor。
两个保护密码在密钥因子矩阵中生成一个坐标,通过该坐标获取分散因子factor。
S13根据管理因子生成RSA公钥RPK以及私钥SSK;
S14根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
S15利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
步骤S2中,未注册用户在申请使用云密钥管理系统制卡之前需要注册。未在云密钥管理系统中注册的中小型企业向云密钥管理系统发起注册申请并同时提交申请资料。所述申请资料具体包括用户营业执照扫描件、入驻协议、使用终端数等。而云密钥管理系统负责对注册申请和申请资料进行接收。
步骤S3中,云密钥管理系统在接收到未注册用户的注册申请和申请资料后,服务商在后台需要对资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量在云密钥管理系统进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK。如果审核不通过则反馈失败原因,用户按要求提交后再进行审核。
步骤S4中,对于已经注册的用户,密钥管理系统接收来自注册用户的制卡申请以及装载随机数SRDn,所述装载随机数SRDn是从CPU卡中获取的一个随机数,用于数据加密时的MAC算法。
步骤S5中,运营商对用户的身份进行审核,具体验证用户名、密码、看门狗等,以判断用户端的操作者是否合法。通过审核后才根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户的用户端上。如果审核不通过,则返回“非法使用”拒绝用户请求。
另外,所述根据注册用户发起的业务生成相应加密数据具体包括:
S51按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;用户卡号USNO来源于云密钥管理系统对企业的规划,制卡成功后USNO编号自动加1。
S52将根密钥组中的保护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
S53将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
S54将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
S55利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
步骤S6为制卡过程,具体包括:
S611通过智能卡操作中间件对看门狗进行身份识别验证;
S612利用发卡中间件读取看门狗内的公钥CRPK;
S613将加密数据f与公钥CRPK进行RSA解密运算得到更新或装载密钥的指令fa;
S614利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
对于操作层面来说,制卡过程包括:
S621在用户终端上安装发卡中间件;
S622在用户终端上安装看门狗;
S623在用户终端上安装D8桌面读卡器;
S624将待烧录的智能IC卡放在D8桌面读卡器上;
S625设置卡序列号、卡使用有效期,点击制卡按钮进行烧录。
完成制卡后,交付使用。
如图3所示,本发明还提供一种基于智能IC卡安全认证的云密钥管理系统,包括:
根密钥组生成存储模块,用于根据运营商级管理因子及保护密码生成根密钥组并进行存储;
用户注册模块,用于接收用户注册请求及注册资料并审核,审核对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK;
数据加密模块,用于接收注册用户的制卡请求及装载随机数SRDn,并对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;
制卡模块,用于利用加密数据为用户制作智能IC卡。
具体地,根密钥组生成存储模块包括:
根密钥组生成模块,用于获取运营商级管理因子及保护密码,根据保护密码在密钥因子矩阵中获取分散因子factor;根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
根密钥组存储模块,用于利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
数据加密模块包括:
密钥UPKn生成模块,用于按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;
加密数据M生成模块,用于将根密钥组中的保护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;
MAC字符串MAC1生成模块,用于将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;
更新或装载密钥的指令fa生成模块,用于将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;
加密数据f生成模块,用于利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f。
制卡模块包括:
看门狗身份验证模块,用于对看门狗进行身份验证;
公钥CRPK读取模块,用于读取看门狗内的公钥CRPK;
解密模块,用于对加密数据f进行解密获得更新或装载密钥的指令fa;
智能IC卡烧录模块,用于利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
另外,图2展示了本发明的业务流程图。系统在初始化后,用户(一般为企业)向系统申请注册,系统对企业提交的注册资料进行审核。如果审核不通过则要求企业重新提交则料,如果通过则注册企业信息、分配企业权限、发放看门狗。注册后的企业向系统申请制卡、密钥认证,系统首先要判断企业的身份是否合法,如果不合法则拒绝请求,如何合法则通过云根密钥、企业因子生成相应企业密钥。随后进行制卡和完成密钥认证,最后交付用户使用。
本发明对数据的安全交互进行了双重加密认证,第一重,利用RSA算法对原始数据体进行加密,然后再利用智能IC卡COS传输密钥机制进行验证,进行了双重加密,提高了安全性,降低了在传输中获取数据进行破解的风险,系统舍弃了硬件加密机降低了成本,云系统部署、接入、运维快捷且成本低,数据高度集中、共享,企业对制卡情况一目了然。有利于大规模推广和使用。
以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (6)
1.一种基于智能IC卡安全认证的云密钥管理方法,其特征在于包括:
生成根密钥组并存储,所述根密钥组包括导出密钥EPKn、保护密钥PPKn、传输密钥TPKn;
对于未注册用户,接收来自用户的注册申请及申请资料;对申请资料进行审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK;
对于注册用户,接收来自用户的制卡申请以及装载随机数SRDn;
对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;所述根据注册用户发起的业务生成相应加密数据包括:按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;将根密钥组中的保护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f;
利用下发的加密数据制作智能IC卡,包括:通过智能卡操作中间件对看门狗进行身份识别验证;利用发卡中间件读取看门狗内的公钥CRPK;将加密数据f与公钥CRPK进行RSA解密运算得到更新或装载密钥的指令fa;利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
2.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述生成根密钥组并存储包括:
获取运营商级管理因子及保护密码;
根据保护密码在密钥因子矩阵中获取分散因子factor;
根据管理因子生成RSA公钥RPK以及私钥SSK;
根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
3.据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述申请资料包括用户营业执照扫描件、入驻协议、使用终端数。
4.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法,其特征在于所述对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册包括:
根据用户信息生成企业编号CNO、系统项目编号PNO;
根据企业编号CNO、系统项目编号PNO生成RSA公钥CRPK、私钥CSSK;
将公钥CRPK导入看门狗。
5.一种基于智能IC卡安全认证的云密钥管理系统,其特征在于包括:
根密钥组生成存储模块,用于根据运营商级管理因子及保护密码生成根密钥组并进行存储;
用户注册模块,用于接收用户注册请求及注册资料并审核,审核通过后对用户企业基础信息、企业初始管理员权限、发放企业额定的看门狗数量进行注册,生成企业编号CNO、系统项目编号PNO、RSA公钥CRPK、私钥CSSK;
数据加密模块,用于接收注册用户的制卡请求及装载随机数SRDn,并对申请制卡的注册用户的身份进行审核,审核通过后根据注册用户发起的业务生成相应加密数据,并将加密数据下发至用户;数据加密模块具体包括:密钥UPKn生成模块,用于按照用户的企业编号CNO、系统项目编号PNO、用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥EPKn进行分散序列密钥组,生成密钥UPKn;加密数据M生成模块,用于将根密钥组中的保护密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M;MAC字符串MAC1生成模块,用于将装载随机数SRDn作为MAC计算默认数据,并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1;更新或装载密钥的指令fa生成模块,用于将加密数据M与MAC字符串MAC1相加得到更新或装载密钥的指令fa;加密数据f生成模块,用于利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据f;
制卡模块,用于利用加密数据为用户制作智能IC卡;制卡模块具体包括:看门狗身份验证模块,用于对看门狗进行身份验证;公钥CRPK读取模块,用于读取看门狗内的公钥CRPK;解密模块,用于对加密数据f进行解密获得更新或装载密钥的指令fa;智能IC卡烧录模块,用于利用更新或装载密钥的指令fa设置卡序列号、卡使用日期。
6.根据权利要求5所述的一种基于智能IC卡安全认证的云密钥管理系统,其特征在于所述根密钥组生成存储模块包括:
根密钥组生成模块,用于获取运营商级管理因子及保护密码,根据保护密码在密钥因子矩阵中获取分散因子factor;根据管理因子生成RSA公钥RPK以及私钥SSK;根据管理因子生成分散密钥DPK,再将分散密钥DPK与分散因子factor分散生成根密钥组;
根密钥组存储模块,用于利用RSA公钥RPK对根密钥组进行加密导出备份后存储到密钥库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210126996.5A CN114172649B (zh) | 2022-02-11 | 2022-02-11 | 一种基于智能ic卡安全认证的云密钥管理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210126996.5A CN114172649B (zh) | 2022-02-11 | 2022-02-11 | 一种基于智能ic卡安全认证的云密钥管理方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114172649A CN114172649A (zh) | 2022-03-11 |
CN114172649B true CN114172649B (zh) | 2022-05-13 |
Family
ID=80489723
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210126996.5A Active CN114172649B (zh) | 2022-02-11 | 2022-02-11 | 一种基于智能ic卡安全认证的云密钥管理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114172649B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114423006B (zh) * | 2022-03-31 | 2022-06-14 | 芯电智联(北京)科技有限公司 | 一种nfc标签的密钥管理方法 |
CN117201197B (zh) * | 2023-11-07 | 2023-12-29 | 贵州通利数字科技有限公司 | 一种个人通信网络加密方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102693455A (zh) * | 2012-05-04 | 2012-09-26 | 武汉天喻信息产业股份有限公司 | 一种基于金融ic卡的数据准备全自动化系统及方法 |
CN104463016A (zh) * | 2014-12-22 | 2015-03-25 | 厦门大学 | 一种适用于ic卡及二维码的数据安全存储方法 |
CN105634730A (zh) * | 2015-12-29 | 2016-06-01 | 中国建设银行股份有限公司 | 一种金融ic卡密钥管理系统 |
CN106971124A (zh) * | 2017-02-24 | 2017-07-21 | 南方城墙信息安全科技有限公司 | 用于批量发卡的写卡写证设备和方法 |
CN106997533A (zh) * | 2017-04-01 | 2017-08-01 | 福建实达电脑设备有限公司 | 一种pos终端产品安全生产授权管理系统及方法 |
CN107230068A (zh) * | 2016-03-25 | 2017-10-03 | 中国人民银行印制科学技术研究所 | 使用可视数字货币芯片卡支付数字货币的方法和系统 |
CN108923921A (zh) * | 2018-07-24 | 2018-11-30 | 上海声联网络科技有限公司 | 一种根密钥的密钥因子生成方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7699233B2 (en) * | 2005-11-02 | 2010-04-20 | Nokia Corporation | Method for issuer and chip specific diversification |
US10505732B2 (en) * | 2017-08-14 | 2019-12-10 | Nxp B.V. | Method for generating a public/private key pair and public key certificate for an internet of things device |
-
2022
- 2022-02-11 CN CN202210126996.5A patent/CN114172649B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102693455A (zh) * | 2012-05-04 | 2012-09-26 | 武汉天喻信息产业股份有限公司 | 一种基于金融ic卡的数据准备全自动化系统及方法 |
CN104463016A (zh) * | 2014-12-22 | 2015-03-25 | 厦门大学 | 一种适用于ic卡及二维码的数据安全存储方法 |
CN105634730A (zh) * | 2015-12-29 | 2016-06-01 | 中国建设银行股份有限公司 | 一种金融ic卡密钥管理系统 |
CN107230068A (zh) * | 2016-03-25 | 2017-10-03 | 中国人民银行印制科学技术研究所 | 使用可视数字货币芯片卡支付数字货币的方法和系统 |
CN106971124A (zh) * | 2017-02-24 | 2017-07-21 | 南方城墙信息安全科技有限公司 | 用于批量发卡的写卡写证设备和方法 |
CN106997533A (zh) * | 2017-04-01 | 2017-08-01 | 福建实达电脑设备有限公司 | 一种pos终端产品安全生产授权管理系统及方法 |
CN108923921A (zh) * | 2018-07-24 | 2018-11-30 | 上海声联网络科技有限公司 | 一种根密钥的密钥因子生成方法 |
Non-Patent Citations (2)
Title |
---|
基于城市通卡的发卡与密钥管理研究;龚敏等;《福建电脑》;20120525(第05期);全文 * |
金融IC卡的密钥管理;陈勇;《中国信用卡》(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114172649A (zh) | 2022-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109074462B (zh) | 使用分布式散列表和点对点分布式分类账验证数字资产所有权的方法和系统 | |
JP3622433B2 (ja) | アクセス資格認証装置および方法 | |
CN114172649B (zh) | 一种基于智能ic卡安全认证的云密钥管理方法及系统 | |
US8065718B2 (en) | Secure authentication using hardware token and computer fingerprint | |
US7676430B2 (en) | System and method for installing a remote credit card authorization on a system with a TCPA complaint chipset | |
US7299502B2 (en) | System and method for providing customized secure access to shared documents | |
US6868406B1 (en) | Auditing method and system for an on-line value-bearing item printing system | |
US7216110B1 (en) | Cryptographic module for secure processing of value-bearing items | |
US10558961B2 (en) | System and method for secure communication in a retail environment | |
US20030097567A1 (en) | Device and method for authenticating user's access rights to resources | |
GB2446484A (en) | Environment based access control to encryption keys | |
GB2328047A (en) | Protected storage of core data secrets | |
EP1224627A1 (en) | Cryptographic module for secure processing of value-bearing items | |
WO2001013574A1 (en) | A digital signature service | |
ZA200400093B (en) | Method for verifying the validity of digital franking notes. | |
CA2623556C (en) | Method for the authenticated transmission of a personalized data set or program to a hardware security module in particular of a franking machine. | |
CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
CN101925910A (zh) | 许可证认证系统以及认证方法 | |
CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
CN1146250A (zh) | 认证系统和使用认证系统的事务处理系统 | |
EP1252560B1 (en) | Hardware token self enrollment process | |
JP2001202332A (ja) | 認証プログラム管理システム | |
CN111444482A (zh) | 一种基于电子公证的安全电子印章管理方法 | |
CN106161027A (zh) | 一种手机准数字证书子系统及其系统及其方法 | |
CN107800536A (zh) | 安全进程模仿检测 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |