CN117648709A - 一种基于nfc芯片技术的数据加解密实现方法 - Google Patents

一种基于nfc芯片技术的数据加解密实现方法 Download PDF

Info

Publication number
CN117648709A
CN117648709A CN202311700759.6A CN202311700759A CN117648709A CN 117648709 A CN117648709 A CN 117648709A CN 202311700759 A CN202311700759 A CN 202311700759A CN 117648709 A CN117648709 A CN 117648709A
Authority
CN
China
Prior art keywords
file
encryption
card
decryption
chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311700759.6A
Other languages
English (en)
Inventor
庄浩贤
陶青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Taiwoo Iot Technology Co ltd
Original Assignee
Shenzhen Taiwoo Iot Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Taiwoo Iot Technology Co ltd filed Critical Shenzhen Taiwoo Iot Technology Co ltd
Priority to CN202311700759.6A priority Critical patent/CN117648709A/zh
Publication of CN117648709A publication Critical patent/CN117648709A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10009Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
    • G06K7/10237Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves the reader and the record carrier being capable of selectively switching between reader and record carrier appearance, e.g. in near field communication [NFC] devices where the NFC device may function as an RFID reader or as an RFID tag
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Toxicology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Electromagnetism (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于NFC芯片技术的数据加解密实现方法,涉及数据加解密技术领域;包括如下步骤:NFC加密卡制作,制作的同一批次的卡根据卡的授权相互对文件进行加解密,卡制作包括各类密钥的生成和安全保存,以及卡的各类授权参数设定;这些信息写入至芯片受密码保护的专有文件存储区。本发明采用软硬件结合的方式来实现外发文件的AES256加解密,通过新型NFC芯片技术和软件技术多重保护“文件加解密密钥”,确保密钥的安全性和便携性,有效防止秘钥外泄;通过对NFC芯片卡片的使用权限设定和用户口令保护,可有效的管控持卡人权限外泄和防止非授权使用,极大提升了安全性。

Description

一种基于NFC芯片技术的数据加解密实现方法
技术领域
本发明涉及数据加解密技术领域,尤其涉及一种基于NFC芯片技术的数据加解密实现方法。
背景技术
数据文件是每个企事业单位的核心资产,为保护企业数据防止外泄,各企业都采取了各种安全措施保护数据,以防止数据文件外泄给企业带来不可挽回的损失,例如采用企业内部文件加密系统,应对企业内数据文件的安全。但当涉及文件外发时,则大多采用明文文件外发,或是为了保证文件的安全性和隐私性,会采用压缩文件,并设置打开密码的方式来确保文件的安全,告知接收端密码进行解压缩方式获得原始文件。这种方式还是存在较大的安全风险,可以通过使用解压软件清除已有密码、使用解压缩密码破解工具、使用暴力破解等方式获得原始文件;同时解压密码的人与人的传播方式,也面临密码管理和外泄的巨大风险,使得压缩文件在任何人、任何地方、任何时间都有可能被解压获取,文件安全性也难得到保障;更一步来说,当文件需要外发给多个接收端时,尤其涉及异地团队、不同公司之间项目协作时的文件多点传输,随着文件传播面扩大,接触人员增多,文件的管理风险和密码外泄风险都会大幅度递增。因此我们急需一种可以解决外发文件更安全的加解密手段,便于实现长期多点使用的加解密授权,同时不依赖加解密密码人与人外部传播和管理的方式,来确保异地项目团队和不同公司间的数据文件外发的安全管理。
现有利用压缩软件设置打开密码的方式放破解能力弱;同时解密口令的对外传播容易外泄,也难于实现对解密口令的安全管理;授权的解密对象无法有效控制,授权加密和解密权限也无法控制;加解密授权时效性和次数无法限制等等;这些都是现有技术的不足。尽管也有些企业采用的文件加密系统来控制,采用数据加密和安全通道技术,保障文件在传输过程中的安全性,防止文件被截获和泄露,但这种方式实施成本高,也不适合在不同公司间推行,因此,亟需一种基于NFC芯片技术的数据加解密实现方法,来解决上述问题。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种基于NFC芯片技术的数据加解密实现方法。
为了实现上述目的,本发明采用了如下技术方案:
一种基于NFC芯片技术的数据加解密实现方法,包括如下步骤:
S1:NFC加密卡制作,制作的同一批次的卡根据卡的授权相互对文件进行加解密,制卡信息写入至芯片受密码保护的专有文件存储区;
S2:NFC加密卡的发放,把卡和相应的使用口令发放到授权使用的单位及个人,持卡人的使用口令可以在加解密客户端系统进行修改;
S3:使用NFC加密卡对文件加密,使用人员基于使用口令验证和授权验证后,启动芯片及系统的多重解密,并剔除混淆信息后,获得NFC加密卡中的文件加解密密钥,实现对指定文件的加密;加密方式为使用加解密秘钥对文件进行对称加密,形成加密文件,加密后的文件可发给拥有同一批次卡的人员进行解密;
S4:使用NFC加密卡对文件解密,操作人员基于使用口令验证和授权验证后,通过芯片及系统的多重解密,获得NFC加密卡中的文件加解密密钥,实现对指定加密文件的解密,获得原始文件。
优选的:所述S1中:制卡前,在制卡客户端系统中定义本批次卡的相关技术参数,并随机生成文件加解密密钥和随机生成对加解密秘钥进行保护的管理密钥;管理秘钥对加解密秘钥进行加密,得到的密文与生成的随机信息进行混淆,在制卡系统对芯片进行初始化时,保存到NFC芯片专有文件存储区的密文区之中。
优选的:所述S1中:在初始化NFC芯片时,把管理密钥配置到芯片的NDEF开放文件区的动态加密参数的原始值中,让加解密系统通过读取芯片的动态加密参数,通过芯片级的解密,获取管理密钥,避免管理秘钥外泄;
所述S1中:系统依据NFC芯片的唯一UID编号,通过数学变换和字符置换的方式,得到芯片专有文件存储区的读写秘钥,由制卡系统把该秘钥配置到NFC芯片中形成一卡一密。
优选的:所述S1中:数学变换的方式为,通过对UID二进制数进行设定规则的多次变换处理,得到新的二进制数,从中提取信息,得到设定长度的字符,作为芯片专有文件存储区的读写秘钥,在制卡系统对芯片进行初始化时,把对NFC芯片专有文件存储区的读写秘钥配置到NFC芯片中。
优选的:所述S1中:基于字符置换表进行字符置换,具体如下:
配置文件中保存多套置换方案,每套字符相互置换方案是有系统自动随机生成的字符置换一一配对;
配置文件进行加密处理,需要解密后才能获得置换表;
在制卡时基于UID编号的数学变换和设定的算法,从而找到多套置换方案中的第N套置换表;采用第N套置换表的规则进行置换,得到芯片专有文件存储区的读写秘钥。
优选的:所述S1中,文件加解密密钥需要芯片携带的管理秘钥才能解密获得,而管理密钥是芯片的NDEF开放文件区的动态加密参数的原始值;客户端系统读取NDEF开放文件区的动态加密参数,需要通过芯片级解密,才能获取管理密钥,通过该密钥解密专有文件区的密文存放区中剔除随机数后的密文,才能获得文件加解密密钥。
优选的:所述专有文件存储区分为两部分,一部分为控制区,以明文形式存放,另一部分为密文存放区,采用随机字符与文件加解密秘钥的密文进行混合方式进行保存;
其中,所述专有文件存储区的密文存放区,随机字符插入方式采用随机字符插入被分为若干段的密文之中,插入位置以数学换算出的标记位插入。
优选的:所述S1中,在制作NFC加密卡时,同一批次的卡片制作多张,使用相同的文件加解密秘钥,同一批次的卡片使用相同的制卡批次号,制卡批次号写入到NFC芯片的专有文件存储区的控制区中,同一批次的卡片可以对相互之间的文件进行加解密;并在制卡时进行加解密授权、用户口令、使用日期、使用次数,NFC芯片卡的控制权限进行配置;并所述数学变换的方式,配置NFC芯片卡的专有文件存储区的读写秘钥;并把随机生成的所述管理密钥作为NDEF开放文件区的动态加密参数的原始值进行保存,使控制信息、控制权限、控制密钥都植入NFC芯片卡中,便于用户携带和认证;只有授权用户,通过加解密客户端系统各项芯片及系统级的解密,才能获取使用权利,实现对文件的加解密。
优选的:所述S3具体包括如下步骤:
S31:打开加解密客户端系统,系统驱动读卡器读取NFC芯片卡的UID信息,通过设定的规则进行运算,从而得到用于打开芯片专有文件存储区的读写秘钥,进一步获得NFC芯片专有文件存储区的控制区中的卡的可用状态、有效期、最大使用次数、读写权限、卡的用户口令信息,进一步验证NFC芯片卡的上述状态是否可用,如卡的上述状态验证不通过,则提示卡已失效,返回失效原因,并禁止使用;如卡的上述状态都验证通过,则进行下一步;
S32:持卡人输入用户口令,该口令与控制区存储的卡的用户口令进行比对,比对失败提示用户口令错误,并判断用户口令连续错误次数是否超出系统设定阀值,如果超过了则系统把控制区存储的卡的可用状态置为不可用,以防止非授权用户猜测用户口令,被禁用的卡只能交由制卡单位进行修复;如果用户口令比对成功,则可进行下一步;
S33:获得专有文件存储区加密区中存储的密文,按随机字符插入方式的逆向方法,剔除密文中的混淆信息,得到加解密秘钥的密文;并读取NFC芯片的NDEF开放文件区的的动态加密参数,通过芯片级的解密,从获得原始的管理秘钥,使用管理秘钥对文件加解密秘钥的密文进行解密,得到真实的文件加解密秘钥;
S34:用户通过加解密系统选择待加密文件,系统记录文件长度后,使用文件加解密秘钥对待加密文件进行加密,得到加密后的文件数据;
S35:取NFC芯片专有文件存储区的控制区存储的卡片的批次号与S34获取的待加密的文件长度,构成加密文件的文件头,并与S34加密后的文件数据进行组合,形成加密文件,并保存。
优选的:所述S4具体包括如下步骤:
S41:打开加解密客户端系统,系统驱动读卡器读取NFC芯片卡的UID信息,通过设定的规则进行运算,得到用于打开芯片专有文件存储区的读写秘钥,进一步获得NFC芯片专有文件存储区的控制区中的卡的可用状态、有效期、最大使用次数、读写权限、卡的用户口令信息,进一步验证NFC芯片卡的上述状态是否可用,如卡的上述状态验证不通过,则提示卡已失效,返回失效原因,并禁止使用;如卡的上述状态都验证通过,则进行下一步;
S42:持卡人输入用户口令,该口令与控制区存储的卡的用户口令进行比对,比对失败提示用户口令错误,并判断用户口令连续错误次数是否超出系统设定阀值,如果超过了则系统把控制区存储的卡的可用状态置为不可用,以防止非授权用户猜测用户口令,被禁用的卡交由制卡单位进行修复;如果用户口令比对成功,则可进行下一步;
S43:获得专有文件存储区加密区中存储的密文,按随机字符插入方式所述的逆向方法,剔除密文中的混淆信息,得到文件加解密秘钥的密文;并读取NFC芯片的NDEF开放文件区的的动态加密参数,通过芯片级的解密,从动态参数中获得受保护的管理秘钥,使用管理秘钥对文件加解密秘钥的密文进行解密,得到真实的文件加解密秘钥;
S44:用户通过加解密系统选择待解密文件,系统取保存在文件头的批次号与保存在芯片专有文件存储区的控制区的卡的批次号进行比对,比对不通过,则表示读卡器上的NFC芯片卡不能解密该加密文件,并反馈拒绝解密信息给用户;对比通过,则表示读卡器上的NFC芯片卡中保存的文件加解密秘钥可以对加密文件进行解密,系统使用文件加解密秘钥对解密文件执行解密,得到解密后的原始文件;
S45:取解密后的原始文件的长度,与保存在待解密文件的文件头的文件长度进行对比,二者相等提示解密成功,并保存解密后的原始文件到磁盘;对比不上,则提示解密失败,并清除内存中保存的解密后的原始文件。
此外,上述基于NFC芯片技术的数据加解密实现方法,除了用于加密卡的制作,还可以应用于在对信息、数据、文件进行加密、解密,以及安全防护中;以及对信息、数据、文件进行通讯传输中的数字安全处理。
本发明的有益效果为:
1.本发明的技术优势是采用软硬件结合的方式来实现外发文件的加解密,通过新型NFC芯片技术和软件技术多重保护“文件加解密密钥”,确保密钥的安全性和便携性,有效防止秘钥外泄;通过对NFC芯片卡片的使用权限设定和用户口令保护,可有效的管控持卡人权限外泄和防止非授权使用,极大提升了安全性。
2.本发明提供的制卡系统和读卡器,可实现NFC加密卡的制作,可按不同项目组制作不同批次的NFC加密卡进行加解密管理;同批次制作的NFC加密卡,可根据制卡时的授权,实现相互之间的文件加解密操作,确保相互间收发文件的保密性和安全性。
3.本发明可通过NFC加密卡控制操作人员的加解密授权,通过NFC加密卡的发放和管理,可以便捷的控制加解密人员及数量;通过回收NFC加密卡,即可回收所有人员的加解密权利;进一步可通过NFC加密卡的内部计数器控制使用卡片的次数;通过在芯片内写入失效日期,控制卡的时效性;通过芯片内写入用户口令,控制NFC加密卡的用户使用权利;通过芯片内的批次号,控制可以相互进行加解密的文件;通过NFC芯片卡的权限控制,授权NFC芯片卡的操作人员是否有加密的权限和解密权限,从而便捷的通过NFC芯片卡进行加解密的人员及权限管理。
4.本发明采用“文件加解密密钥”由NFC加密卡携带和多重加密保护。使用NFC芯片卡的受密码保护的“专有文件存储区”,对“文件加解密密钥”加密后的密文进行保存,保存前还进一步对密文进行随机数插入混淆,从而实现芯片对“文件加解密密钥”的安全存储及保护,避免了密钥的暴露、外泄和传播的可能,只有拥有该卡使用权限的用户,且是同批次的NFC芯片卡,才能在安装有加解密系统客户端和读卡器的PC上完成数据文件的加解密操作。
5.本发明采用新型NFC芯片与系统的多重加密技术,实现对“文件加解密密钥”的深度保护。首先“文件加解密密钥”存放在NFC芯片的受保护的“专有文件存储区”,获取这个区域的读写控制权限,需要芯片内“专有文件存储区”的读写秘钥,该读写秘钥依据NFC芯片的唯一UID编号,通过制卡系统的数学变换和配置文件中的字符置换,形成的无序的、非开放的一卡一密,具有高度的安全级别。其次,存放在“专有文件存储区”的“文件加解密密钥”采用了两种安全手段进行保护,第一种是对“文件加解密密钥”进行了加密处理,以密文形式进行保存;第二种是加密后的密文会与系统的随机数据进行数学混淆,然后在保存在芯片的“专有文件存储区”内。因此要获取“文件加解密密钥”就必须从“专有文件存储区”找出正确的密文,在用对密文进行逆向解密才能获取正确的“文件加解密密钥”。其三,对密文进行逆向解密需要从芯片的NDEF开放文件区的动态加密参数找出“管理秘钥”;而“管理秘钥”通过新型NFC芯片提供的加密技术转换成密文保存在NDEF开放文件区域的动态参数中,该参数每次读取都会发生改变,使用一次即失效,这种新型NFC芯片特性可以有效避免信息通讯过程中的外泄问题,从而保护芯片通讯信息的安全。系统需要通过芯片级的专用解密算法,才能获取该“管理秘钥”,正确获取“管理秘钥”后,才能把“专有文件区域”保存的密文还原成正确的“文件加解密密钥”。
附图说明
图1为本发明提出的一种基于NFC芯片技术的数据加解密实现方法的流程图;
图2为本发明提出的一种基于NFC芯片技术的数据加解密实现方法中加密卡制作的流程图;
图3为本发明提出的一种基于NFC芯片技术的数据加解密实现方法中专有文件存储区的示意图;
图4为本发明提出的一种基于NFC芯片技术的数据加解密实现方法中使用NFC加密卡加密文件的流程图;
图5为本发明提出的一种基于NFC芯片技术的数据加解密实现方法中使用NFC加密卡解密文件的流程图。
具体实施方式
下面结合具体实施方式对本发明的技术方案作进一步详细地说明。
实施例1:
一种基于NFC芯片技术的数据加解密实现方法,包括如下步骤:
S1:NFC加密卡制作,制作的同一批次的卡可以根据卡的授权相互对文件进行加解密,卡制作包括各类密钥的生成和安全保存,以及卡的各类授权参数设定;这些信息写入至芯片受密码保护的“专有文件存储区”;
S2:NFC加密卡的发放,制卡部门,根据管理需要,把卡发放到授权使用的单位及个人,并告知卡的初始使用口令,使用人可以在加解密系统中修改使用口令;
S3:使用NFC加密卡对文件加密,使用人员开启加解密系统,把NFC加密卡置于读卡器上,通过使用口令验证和授权验证后,启动芯片及系统的多重解密,获得NFC加密卡中的“文件加解密密钥”,实现对指定文件的AES256加密,加密后的文件可发给拥有同一批次卡的人员进行解密;
S4:使用NFC加密卡对文件解密,操作人员使用加解密系统,需要把NFC加密卡置于读卡器上,通过使用口令验证和授权验证后,通过芯片及系统的多重解密,获得NFC加密卡中的“文件加解密密钥”,实现对指定加密文件进行AES256解密,获得原始文件。
其中,所述S1中:制卡前,在制卡客户端系统中定义本批次卡的相关内容:包括定义NFC卡的可用状态、NFC卡的使用有效日期,NFC芯片卡的最大使用次数,用户使用口令、加解密权限、制卡批次等相关内容,并随机生成256位用于AES256加解密的“文件加解密密钥”和随机生成256位用于对“文件加解密密钥”进行加解密保护的“管理密钥”;把二个随机数进行AES256加密得到的256位的密文,并与不低于256位的随机数进行混合,得到的混合数据,在制卡系统对芯片进行初始化时,保存到NFC芯片“专有文件存储区”的密文区之中。
其中,所述S1中:为实现NFC芯片卡安全携带“管理密钥”,便于用户在加解密时能够通过NFC芯片卡获取到“管理密钥”,进一步对“文件加解密密钥”进行加解密,在初始化NFC芯片时,还需要把“管理密钥”配置到芯片的NDEF开放文件区的动态加密参数的原始值中,让加解密系统通过读取芯片的动态加密参数,通过芯片级的解密,获取“管理密钥”。
其中,所述S1中:系统依据NFC芯片的唯一UID编号,通过制卡系统的数学变换和配置文件中的字符置换,得到芯片“专有文件存储区”的读写秘钥,由制卡系统把该秘钥配置到NFC芯片中形成一卡一密。
其中,所述S1中:数学变换采用UID编号的数学变换,具体方式如下:
取芯片的7字节UID二进制数,循环移位3位得到移位后的7字节二进制数(MOV_UID),在与原始UID进行异或,得到新的7字节的二进制数XOR_UID;让MOV_UID与XOR_UID进行拉链式插入形成14字节的二进制数MOV_XOR_UID,并对14字节的二进制数MOV_XOR_UID进行BASE64运算,得到20个BASE64字符,取掉5、10、15、20位置的字符,得到16个BASE64字符,该字符经过“配置文件”中的匹配的置换表,进行字符置换后,得到新的16个字符就作为芯片“专有文件存储区”的读写秘钥,在制卡系统对芯片进行初始化时,把对NFC芯片“专有文件存储区”的读写秘钥配置到NFC芯片中。
其中,所述S1中:基于字符置换表进行字符置换,具体如下:
配置文件中可以保存100套以上的BASE64字符相互置换方案(为方便说明以100套为例),每套字符相互置换方案是有系统自动随机生成的字符置换一一配对,如:A1,mI,6z......等等,表示的是遇到字符A会置换成1,遇到字符1则会置换成字符A;后续的配对同理。
为确保配置文件的使用安全,配置文件进行加密处理,需要解密后才能获得置换表;根据下述算法选择置换表中的置换方案:在制卡时通过“UID编号的数学变换”所述20个BASE64字符的ASCII十进制值进行累加得到累计值ALL_SUM,根据求余算法N=MOD(ALL_SUM,100),从而找到100套中的第N套置换表;采用第N套置换表对“UID编号的数学变换”所述的16个BASE64字符进行置换,得到芯片“专有文件存储区”的读写秘钥;不同的制卡单位可以生成不同的配置文件,配置文件以加密形式保存,以确保各制卡单位执行的置换文件的安全性和独立性。
其中,为确保制卡安全,所述“专有文件存储区”的读写秘钥不开放给制卡者,系统通过上述数学变换和配置文件的字符置换双重安全解密获取;为进一步保证安全,配置文件中的字符置换表的由系统随机匹配生成,可以存在多套,并以加密形式保存在配置文件中,只有通过制卡系统正确找到正确的置换表后,获取正确“专有文件存储区”的读写秘钥,才能获得NFC芯片的“专有文件存储区”的控制权;对“专有文件存储区”的密文区的密文解密的“管理密钥”保存在NFC芯片的NDEF开放文件区的动态加密参数的原始值中,随卡加密携带,只有授权用户,通过加解密客户端系统经过芯片级的解密才能获取使用。
其中,所述S1中,制卡初始化NFC芯片时,“文件加解密密钥”以密文形式存放在NFC芯片的专有文件区域;“文件加解密密钥”需要芯片携带的“管理秘钥”才能解密获得,而“管理密钥”通过芯片提供的加密技术转换成密文保存在NDEF开放文件区域的动态参数中,客户端系统需要通过芯片级解密,才能获取“管理密钥”,通过该密钥实现对专有文件区域的“文件加解密密钥”的加密和解密;芯片的NDEF开放文件区域的动态参数的生成,是依据芯片的UID、芯片存储区的读取次数等芯片内部信息与芯片的“管理秘钥”进行芯片级加密,生成的密文形成芯片NDEF开放区的动态参数,该参数与芯片读取次数有关,每次从芯片读取的参数密文值都不一样,可更好的保护“管理秘钥”,只有通过NFC芯片的动态参数逆向解密,才能获得正确的“管理密钥”;系统获取“管理密钥”后,方能解密芯片的专用文件存储区的“文件加解密密钥”。
其中,所述专有文件存储区分为两部分,一部分为控制区,以明文形式存放,主要用于放置NFC芯片卡的可用状态、NFC卡的使用有效日期、NFC芯片卡的最大使用次数、卡的批次号、用户使用口令、加解密权限等相关内容;另一部分为密文存放区,主要采用随机字符与“文件加解密秘钥”的密文进行混合方式进行保存。
其中,所述专有文件存储区的密文存放区,“随机字符插入方式”采用随机字符插入被分为若干段的密文之中,插入位置以数学换算出的标记位插入;数学换算方式采用UID编号的数学变换,所述16个BASE64字符的ASCII十进制值相邻两个字符相加,最后一位字符与首位字符相加,两者之和除以8取余数,可以得到16组0到8的余数,“文件加解密秘钥”的密文为32个字节256位;均分为32等份,一份长度为1字节8位,从第一份开始插入不低于1字节的随机数(以1字节位例),插入位置为上述对应次序的余数指定位置,使用完16个余数,在次从第一个余数重复使用二次,完成32等份的随机数插入,形成对密文的混合。
其中,所述S1中,在制作NFC加密卡时,同一批次的卡片可以制作多张,使用相同的“文件加解密秘钥”,同一批次的卡片使用相同的制卡批次号(由制卡单位编号和卡的制作批次号构成),制卡批次号写入到NFC芯片的“专有文件存储区”的控制区中,同一批次的卡片可以对相互之间的文件进行加解密;并在制卡时进行加解密授权、用户口令、使用日期、使用次数等NFC芯片卡的控制权限进行配置;并配置NFC芯片卡的“专有文件存储区”的读写秘钥;并把随机生成的256位“管理密钥”保存在NFC芯片的NDEF开放文件区的动态加密参数的原始值中,使控制信息、控制权限、控制密钥都植入NFC芯片卡中,便于用户携带和认证;只有授权用户,通过加解密客户端系统各项芯片及系统级的解密,才能获取使用权利,实现对文件的加解密。
其中,所述S3具体包括如下步骤:
S31:打开加解密客户端系统,系统驱动读卡器读取NFC芯片卡的UID信息,通过所述“UID编号的数学变换”方法,得到16个BASE64字符,该字符经过“字符置换表”所述的字符置换方法,得到的16个字符用于打开芯片“专有文件存储区”,获得NFC芯片“专有文件存储区”的控制区存储的“卡的可用状态”、“有效期”、“最大使用次数”、“读写权限”、“卡的用户口令”等信息,进一步验证NFC芯片卡的上述状态是否可用,如卡的上述状态验证不通过,则提示“卡已失效”,返回失效原因,并禁止使用;如卡的上述状态都验证通过,则进行下一步;
S32:持卡人输入用户口令,该口令与控制区存储的“卡的用户口令”进行比对,比对失败提示用户口令错误,并判断用户口令连续错误次数是否超出系统设定阀值,如果超过了则系统把控制区存储的“卡的可用状态”置为不可用,以防止非授权用户猜测用户口令,被禁用的卡只能交由制卡单位进行修复;如果用户口令比对成功,则可进行下一步;
S33:获得“专有文件存储区”加密区中存储的密文,按“随机字符插入方式”所述的逆向方法,剔除密文中的随机数,得到32个字节256位“文件加解密秘钥”的密文;并读取NFC芯片的NDEF开放文件区的信息,获得读取到的动态参数,通过芯片级的解密,从动态参数中获得受保护的“管理秘钥”,使用“管理秘钥”对“文件加解密秘钥”的密文进行AES256解密,得到真实的“文件加解密秘钥”;
S34:用户通过加解密系统选择待加密文件,系统记录文件长度后,使用“文件加解密秘钥”对待加密文件进行AES256加密,得到加密后的文件数据;
S35:取NFC芯片“专有文件存储区”的控制区存储的卡片批次号与S34获取的待加密的文件长度,构成文件头信息,与S34加密后的文件数据进行组合,形成可外发的加密文件,并保存。
其中,所述S4具体包括如下步骤:
S41:打开加解密客户端系统,系统驱动读卡器读取NFC芯片卡的UID信息,通过所述“UID编号的数学变换”方法,得到16个BASE64字符,该字符经过“字符置换表”所述的字符置换方法,得到的16个字符用于打开芯片“专有文件存储区”,获得NFC芯片“专有文件存储区”的控制区存储的“卡的可用状态”、“有效期”、“最大使用次数”、“读写权限”、“卡的用户口令”等信息,进一步验证NFC芯片卡的上述状态是否可用,如卡的上述状态验证不通过,则提示“卡已失效”,返回失效原因,并禁止使用;如卡的上述状态都验证通过,则进行下一步。
S42:持卡人输入用户口令,该口令与控制区存储的“卡的用户口令”进行比对,比对失败提示用户口令错误,并判断用户口令连续错误次数是否超出系统设定阀值,如果超过了则系统把控制区存储的“卡的可用状态”置为不可用,以防止非授权用户猜测用户口令,被禁用的卡只能交由制卡单位进行修复;如果用户口令比对成功,则可进行下一步;
S43:获得“专有文件存储区”加密区中存储的密文,按“随机字符插入方式”所述的逆向方法,剔除密文中的随机数,得到32个字节256位“文件加解密秘钥”的密文;并读取NFC芯片的NDEF开放文件区的信息,获得读取到的动态参数,通过芯片级的解密,从动态参数中获得受保护的“管理秘钥”,使用“管理秘钥”对“文件加解密秘钥”的密文进行AES256解密,得到真实的“文件加解密秘钥”;
S44:用户通过加解密系统选择待解密文件,系统取保存在文件头的批次号与保存在芯片“专有文件存储区”的控制区的卡的批次号进行比对,比对不通过,则表示读卡器上的NFC芯片卡不能解密该加密文件,并反馈拒绝解密信息给用户;对比通过,则表示读卡器上的NFC芯片卡中保存的“文件加解密秘钥”可以对加密文件进行解密,系统使用“文件加解密秘钥”对解密文件执行AES256解密,得到解密后的原始文件;
S45:取解密后的原始文件的长度,与保存在待解密文件的文件头的文件长度进行对比,二者相等提示解密成功,并保存解密后的原始文件到磁盘;对比不上,则提示解密失败,并清除内存中保存的解密后的原始文件。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种基于NFC芯片技术的数据加解密实现方法,其特征在于,包括如下步骤:
S1:NFC加密卡制作,制作的同一批次的卡根据卡的授权相互对文件进行加解密,制卡信息写入至芯片受密码保护的专有文件存储区;
S2:NFC加密卡的发放,把卡和相应的使用口令发放到授权使用的单位及个人,持卡人的使用口令可以在加解密客户端系统进行修改;
S3:使用NFC加密卡对文件加密,使用人员基于使用口令验证和授权验证后,启动芯片及系统的多重解密,并剔除混淆信息后,获得NFC加密卡中的文件加解密密钥,实现对指定文件的加密;加密方式为使用加解密秘钥对文件进行对称加密,形成加密文件,加密后的文件可发给拥有同一批次卡的人员进行解密;
S4:使用NFC加密卡对文件解密,操作人员基于使用口令验证和授权验证后,通过芯片及系统的多重解密,获得NFC加密卡中的文件加解密密钥,实现对指定加密文件的解密,获得原始文件。
2.根据权利要求1所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S1中:制卡前,在制卡客户端系统中定义本批次卡的相关技术参数,并随机生成文件加解密密钥和随机生成对加解密秘钥进行保护的管理密钥;管理秘钥对加解密秘钥进行加密,得到的密文与生成的随机信息进行混淆,在制卡系统对芯片进行初始化时,保存到NFC芯片专有文件存储区的密文区之中。
3.根据权利要求2所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S1中:在初始化NFC芯片时,把管理密钥配置到芯片的NDEF开放文件区的动态加密参数的原始值中,让加解密系统通过读取芯片的动态加密参数,通过芯片级的解密,获取管理密钥,避免管理秘钥外泄;
所述S1中:系统依据NFC芯片的唯一UID编号,通过数学变换和字符置换的方式,得到芯片专有文件存储区的读写秘钥,由制卡系统把该秘钥配置到NFC芯片中形成一卡一密。
4.根据权利要求3所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S1中:数学变换的方式为,通过对UID二进制数进行设定规则的多次变换处理,得到新的二进制数,从中提取信息,得到设定长度的字符,作为芯片专有文件存储区的读写秘钥,在制卡系统对芯片进行初始化时,把对NFC芯片专有文件存储区的读写秘钥配置到NFC芯片中。
5.根据权利要求4所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S1中:基于字符置换表进行字符置换,具体如下:
配置文件中保存多套置换方案,每套字符相互置换方案是有系统自动随机生成的字符置换一一配对;
配置文件进行加密处理,需要解密后才能获得置换表;
在制卡时基于UID编号的数学变换和设定的算法,从而找到多套置换方案中的第N套置换表;采用第N套置换表的规则进行置换,得到芯片专有文件存储区的读写秘钥。
6.根据权利要求5所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S1中,文件加解密密钥需要芯片携带的管理秘钥才能解密获得,而管理密钥是芯片的NDEF开放文件区的动态加密参数的原始值;客户端系统读取NDEF开放文件区的动态加密参数,需要通过芯片级解密,才能获取管理密钥,通过该密钥解密专有文件区的密文存放区中剔除随机数后的密文,才能获得文件加解密密钥;
所述专有文件存储区分为两部分,一部分为控制区,以明文形式存放,另一部分为密文存放区,采用随机字符与文件加解密秘钥的密文进行混合方式进行保存;
其中,所述专有文件存储区的密文存放区,随机字符插入方式采用随机字符插入被分为若干段的密文之中,插入位置以数学换算出的标记位插入。
7.根据权利要求6所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S1中,在制作NFC加密卡时,同一批次的卡片制作多张,使用相同的文件加解密秘钥,同一批次的卡片使用相同的制卡批次号,制卡批次号写入到NFC芯片的专有文件存储区的控制区中,同一批次的卡片可以对相互之间的文件进行加解密;并在制卡时进行加解密授权、用户口令、使用日期、使用次数,NFC芯片卡的控制权限进行配置;并所述数学变换的方式,配置NFC芯片卡的专有文件存储区的读写秘钥;并把随机生成的所述管理密钥作为NDEF开放文件区的动态加密参数的原始值进行保存,使控制信息、控制权限、控制密钥都植入NFC芯片卡中,便于用户携带和认证;只有授权用户,通过加解密客户端系统各项芯片及系统级的解密,才能获取使用权利,实现对文件的加解密。
8.根据权利要求7所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S3具体包括如下步骤:
S31:打开加解密客户端系统,系统驱动读卡器读取NFC芯片卡的UID信息,通过设定的规则进行运算,从而得到用于打开芯片专有文件存储区的读写秘钥,进一步获得NFC芯片专有文件存储区的控制区中的卡的可用状态、有效期、最大使用次数、读写权限、卡的用户口令信息,进一步验证NFC芯片卡的上述状态是否可用,如卡的上述状态验证不通过,则提示卡已失效,返回失效原因,并禁止使用;如卡的上述状态都验证通过,则进行下一步;
S32:持卡人输入用户口令,该口令与控制区存储的卡的用户口令进行比对,比对失败提示用户口令错误,并判断用户口令连续错误次数是否超出系统设定阀值,如果超过了则系统把控制区存储的卡的可用状态置为不可用,以防止非授权用户猜测用户口令,被禁用的卡只能交由制卡单位进行修复;如果用户口令比对成功,则可进行下一步;
S33:获得专有文件存储区加密区中存储的密文,按随机字符插入方式的逆向方法,剔除密文中的混淆信息,得到加解密秘钥的密文;并读取NFC芯片的NDEF开放文件区的的动态加密参数,通过芯片级的解密,从获得原始的管理秘钥,使用管理秘钥对文件加解密秘钥的密文进行解密,得到真实的文件加解密秘钥;
S34:用户通过加解密系统选择待加密文件,系统记录文件长度后,使用文件加解密秘钥对待加密文件进行加密,得到加密后的文件数据;
S35:取NFC芯片专有文件存储区的控制区存储的卡片的批次号与S34获取的待加密的文件长度,构成加密文件的文件头,并与S34加密后的文件数据进行组合,形成加密文件,并保存。
9.根据权利要求8所述的一种基于NFC芯片技术的数据加解密实现方法,其特征在于,所述S4具体包括如下步骤:
S41:打开加解密客户端系统,系统驱动读卡器读取NFC芯片卡的UID信息,通过设定的规则进行运算,得到用于打开芯片专有文件存储区的读写秘钥,进一步获得NFC芯片专有文件存储区的控制区中的卡的可用状态、有效期、最大使用次数、读写权限、卡的用户口令信息,进一步验证NFC芯片卡的上述状态是否可用,如卡的上述状态验证不通过,则提示卡已失效,返回失效原因,并禁止使用;如卡的上述状态都验证通过,则进行下一步;
S42:持卡人输入用户口令,该口令与控制区存储的卡的用户口令进行比对,比对失败提示用户口令错误,并判断用户口令连续错误次数是否超出系统设定阀值,如果超过了则系统把控制区存储的卡的可用状态置为不可用,以防止非授权用户猜测用户口令,被禁用的卡交由制卡单位进行修复;如果用户口令比对成功,则可进行下一步;
S43:获得专有文件存储区加密区中存储的密文,按随机字符插入方式所述的逆向方法,剔除密文中的混淆信息,得到文件加解密秘钥的密文;并读取NFC芯片的NDEF开放文件区的的动态加密参数,通过芯片级的解密,从动态参数中获得受保护的管理秘钥,使用管理秘钥对文件加解密秘钥的密文进行解密,得到真实的文件加解密秘钥;
S44:用户通过加解密系统选择待解密文件,系统取保存在文件头的批次号与保存在芯片专有文件存储区的控制区的卡的批次号进行比对,比对不通过,则表示读卡器上的NFC芯片卡不能解密该加密文件,并反馈拒绝解密信息给用户;对比通过,则表示读卡器上的NFC芯片卡中保存的文件加解密秘钥可以对加密文件进行解密,系统使用文件加解密秘钥对解密文件执行解密,得到解密后的原始文件;
S45:取解密后的原始文件的长度,与保存在待解密文件的文件头的文件长度进行对比,二者相等提示解密成功,并保存解密后的原始文件到磁盘;对比不上,则提示解密失败,并清除内存中保存的解密后的原始文件。
10.一种根据权利要求1-9任一项所述的基于NFC芯片技术的数据加解密实现方法,在如下任一项的应用:
①在对信息、数据、文件进行加密、解密,以及安全防护中的应用;
②在对信息、数据、文件进行通讯传输中的数字安全处理。
CN202311700759.6A 2023-12-11 2023-12-11 一种基于nfc芯片技术的数据加解密实现方法 Pending CN117648709A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311700759.6A CN117648709A (zh) 2023-12-11 2023-12-11 一种基于nfc芯片技术的数据加解密实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311700759.6A CN117648709A (zh) 2023-12-11 2023-12-11 一种基于nfc芯片技术的数据加解密实现方法

Publications (1)

Publication Number Publication Date
CN117648709A true CN117648709A (zh) 2024-03-05

Family

ID=90044983

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311700759.6A Pending CN117648709A (zh) 2023-12-11 2023-12-11 一种基于nfc芯片技术的数据加解密实现方法

Country Status (1)

Country Link
CN (1) CN117648709A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117997537A (zh) * 2024-04-03 2024-05-07 四川杰通瑞联科技有限公司 具有通用性的数据加密和解密的方法及存储装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117997537A (zh) * 2024-04-03 2024-05-07 四川杰通瑞联科技有限公司 具有通用性的数据加密和解密的方法及存储装置
CN117997537B (zh) * 2024-04-03 2024-06-11 四川杰通瑞联科技有限公司 具有通用性的数据加密和解密的方法及存储装置

Similar Documents

Publication Publication Date Title
EP0403656B1 (en) Communication equipment
CN101950347B (zh) 一种对数据进行加密的方法和系统
US4386233A (en) Crytographic key notarization methods and apparatus
US20060204006A1 (en) Cryptographic key split combiner
CN101227275A (zh) 随机加密和穷举法解密相结合的加密方法
US20080165965A1 (en) Method of two strings private key (symmetric) encryption and decryption algorithm
CN105656621A (zh) 一种密码设备安全管理方法
CN109543434B (zh) 区块链信息加密方法、解密方法、存储方法及装置
CN103095452A (zh) 需要采用穷举法解密的随机加密方法
CN117648709A (zh) 一种基于nfc芯片技术的数据加解密实现方法
CN110298186B (zh) 一种基于动态可重构密码芯片的无密钥数据加解密方法
CN104219044A (zh) 一种用于加密存储装置的密钥保密方法
CN103701596A (zh) 文件访问及响应文件访问请求的方法、系统和设备
JP2024511236A (ja) コンピュータファイルのセキュリティ暗号化方法、復号化方法および読み取り可能な記憶媒体
TWI476629B (zh) Data security and security systems and methods
CN112787996B (zh) 一种密码设备管理方法及系统
CN105634729A (zh) 基于蓝牙设备的手机加密及解密方法
CN102270182B (zh) 基于同步用户和主机认证的加密可移动存储设备
JPH04247737A (ja) 暗号化装置
CN114866317B (zh) 多方的数据安全计算方法、装置、电子设备和存储介质
JPH04245368A (ja) 電子ファイルキャビネットシステム
JPH0231290A (ja) Icカード装置
Rahim et al. Security Enhancement with USB Flash Disk as Key using AES Algorithm
CN100486157C (zh) 一种分布式数据加密方法
CN111010386B (zh) 一种基于共享账本的隐私保护与数据监管控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination