CN117714058A - 金融业务设备加解密算法切换方法、装置和计算机设备 - Google Patents

金融业务设备加解密算法切换方法、装置和计算机设备 Download PDF

Info

Publication number
CN117714058A
CN117714058A CN202311496983.8A CN202311496983A CN117714058A CN 117714058 A CN117714058 A CN 117714058A CN 202311496983 A CN202311496983 A CN 202311496983A CN 117714058 A CN117714058 A CN 117714058A
Authority
CN
China
Prior art keywords
equipment
instruction
key
check
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311496983.8A
Other languages
English (en)
Inventor
宋春书
莫海涛
解敏
廖敏飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Construction Bank Corp
CCB Finetech Co Ltd
Original Assignee
China Construction Bank Corp
CCB Finetech Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Construction Bank Corp, CCB Finetech Co Ltd filed Critical China Construction Bank Corp
Priority to CN202311496983.8A priority Critical patent/CN117714058A/zh
Publication of CN117714058A publication Critical patent/CN117714058A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本公开涉及数据安全技术领域,具体公开了一种金融业务设备加解密算法切换方法、装置和计算机设备。所述方法包括:获取金融业务设备的应用标识和设备标识;根据应用标识和设备标识,生成设备标识密钥,将设备标识密钥发送至金融业务设备;接收金融业务设备返回的控制指令,从设备算法策略缓存数据库中确定设备算法策略;根据设备算法策略,生成指令凭证,将指令凭证发送至金融业务设备,以切换加解密算法。采用本方法能够基于设备算法策略对金融业务设备的加解密算法进行动态调整,进而实现金融业务设备的算力资源适配,保证金融业务设备对应的相关数据的信息安全,达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。

Description

金融业务设备加解密算法切换方法、装置和计算机设备
技术领域
本申请涉及数据安全技术领域,特别是涉及一种金融业务设备加解密算法切换方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着物联网技术的广泛应用,在金融科技领域中,金融业务相关的物联网设备安全系统需要建立起端到端网络信息的可信连接,从而保证物联网设备的稳定运行,避免物联网设备安全系统被网络攻击攻破,进而保障物联网设备安全系统中重要数据的信息安全。
由于物联网设备的设备资源状况彼此不同,物联网设备的算力等资源彼此之间也存在差异,传统技术往往忽略物联网设备的算力不统一情况,无法在适应每个物联网设备的算力资源的情况下,保证每个物联网设备的稳定运行,从而使得物联网设备易被攻击甚至攻破,进而影响物联网设备安全系统中重要数据的信息安全,不利于提高金融业务物联网设备相关的设备算法的切换效率。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高金融业务物联网设备相关的设备算法的切换效率的金融业务设备加解密算法切换方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种金融业务设备加解密算法切换方法,包括:
获取金融业务设备对应的应用标识和设备标识;所述应用标识用于表征所述金融业务设备的使用场景;所述设备标识用于表征所述金融业务设备的设备信息;
根据所述应用标识和所述设备标识,生成设备标识密钥,将所述设备标识密钥发送至所述金融业务设备;所述设备标识密钥用于控制所述金融业务设备在初始化完成的情况下生成控制指令;
接收所述金融业务设备返回的控制指令,在所述控制指令的解析结果通过验证的情况下,根据所述应用标识和所述设备标识,从预设的设备算法策略缓存数据库中确定所述金融业务设备对应的设备算法策略;
根据所述设备算法策略,生成指令凭证,将所述指令凭证发送至所述金融业务设备,以指示所述金融业务设备切换所述设备算法策略对应的加解密算法。
在其中一个实施例中,所述控制指令包括激活指令,所述接收所述金融业务设备返回的控制指令之后,所述方法还包括:
解析所述激活指令,得到激活指令解析结果;
在所述激活指令解析结果通过验证的情况下,根据所述设备标识密钥,组装目标密钥;所述目标密钥包括密钥保护密钥、设备签到密钥、数据安全密钥或指令安全密钥中的至少一种;
将所述目标密钥发送至所述金融业务设备,以使所述金融业务设备将所述目标密钥保存至预设的存储路径。
在其中一个实施例中,所述控制指令包括预签到指令,所述接收所述金融业务设备返回的控制指令之后,所述方法还包括:
解析所述预签到指令,得到预签到指令解析结果;
在所述预签到指令解析结果通过验证的情况下,从所述预设的设备算法策略缓存数据库中确定所述金融业务设备对应的签到策略;
根据所述预签到指令解析结果中的预签到随机数、所述设备签到密钥和所述签到策略,组装签到指令,将所述签到指令发送至所述金融业务设备,以指示所述金融业务设备切换针对所述签到策略的加解密算法。
在其中一个实施例中,所述根据所述预签到指令解析结果中的预签到随机数、所述设备签到密钥和所述签到策略,组装签到指令包括:
获取签到随机数,对所述预签到随机数和所述签到随机数进行异或运算,得到异或随机数;
根据所述设备签到密钥对所述签到随机数进行加密,得到预签到随机数密文,以及,根据所述设备签到密钥对所述异或随机数进行加密,得到异或随机数密文;
根据所述预签到随机数密文、所述异或随机数密文和所述签到策略,组装所述签到指令。
在其中一个实施例中,所述获取金融业务设备对应的应用标识和设备标识,包括:
获取针对所述金融业务设备对应的应用场景的场景随机数和所述金融业务设备对应的设备信息;
按照预设的签名算法,将所述场景随机数转换为第一摘要数据,将所述设备信息转换为第二摘要信息;
根据所述第一摘要数据,生成所述应用标识,根据所述第二摘要信息,生成所述设备标识。
在其中一个实施例中,所述方法还包括:
获取所述金融业务设备发送的密文解密指令;
根据所述设备标识密钥解析所述密文解密指令,得到针对所述密文解密指令的数据策略;所述数据策略包括数据解密策略;
根据所述数据策略,对所述密文解析指令对应的密文数据进行解密,得到所述密文数据对应的明文数据。
第二方面,本申请还提供了一种金融业务设备加解密算法切换装置,包括:
标识获取模块,用于获取金融业务设备对应的应用标识和设备标识;所述应用标识用于表征所述金融业务设备的使用场景;所述设备标识用于表征所述金融业务设备的设备信息;
密钥生成模块,用于根据所述应用标识和所述设备标识,生成设备标识密钥,将所述设备标识密钥发送至所述金融业务设备;所述设备标识密钥用于控制所述金融业务设备在初始化完成的情况下生成控制指令;
策略确定模块,用于接收所述金融业务设备返回的控制指令,在所述控制指令的解析结果通过验证的情况下,根据所述应用标识和所述设备标识,从预设的设备算法策略缓存数据库中确定所述金融业务设备对应的设备算法策略;
凭证生成模块,用于根据所述设备算法策略,生成指令凭证,将所述指令凭证发送至所述金融业务设备,以指示所述金融业务设备切换所述设备算法策略对应的加解密算法。
在其中一个实施例中,所述控制指令包括激活指令,所述装置还包括设备激活模块,所述设备激活模块用于解析所述激活指令,得到激活指令解析结果;在所述激活指令解析结果通过验证的情况下,根据所述设备标识密钥,组装目标密钥;所述目标密钥包括密钥保护密钥、设备签到密钥、数据安全密钥或指令安全密钥中的至少一种;将所述目标密钥发送至所述金融业务设备,以使所述金融业务设备将所述目标密钥保存至预设的存储路径。
在其中一个实施例中,所述控制指令包括预签到指令,所述装置还包括设备预签到模块,所述设备预签到模块用于解析所述预签到指令,得到预签到指令解析结果;在所述预签到指令解析结果通过验证的情况下,从所述预设的设备算法策略缓存数据库中确定所述金融业务设备对应的签到策略;根据所述预签到指令解析结果中的预签到随机数、所述设备签到密钥和所述签到策略,组装签到指令,将所述签到指令发送至所述金融业务设备,以指示所述金融业务设备切换针对所述签到策略的加解密算法。
在其中一个实施例中,所述设备预签到模块还用于获取签到随机数,对所述预签到随机数和所述签到随机数进行异或运算,得到异或随机数;根据所述设备签到密钥对所述签到随机数进行加密,得到预签到随机数密文,以及,根据所述设备签到密钥对所述异或随机数进行加密,得到异或随机数密文;根据所述预签到随机数、所述异或随机数密文和所述签到策略,组装所述签到指令。
在其中一个实施例中,所述标识获取模块还用于获取针对所述金融业务设备对应的应用场景的场景随机数和所述金融业务设备对应的设备信息;按照预设的签名算法,将所述场景随机数转换为第一摘要数据,将所述设备信息转换为第二摘要信息;根据所述第一摘要数据,生成所述应用标识,根据所述第二摘要信息,生成所述设备标识。
在其中一个实施例中,所述装置还包括密文解密模块,所述密文解密模块用于获取所述金融业务设备发送的密文解密指令;根据所述设备标识密钥解析所述密文解密指令,得到针对所述密文解密指令的数据策略;所述数据策略包括数据解密策略;根据所述数据策略,对所述密文解析指令对应的密文数据进行解密,得到所述密文数据对应的明文数据。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
上述金融业务设备加解密算法切换方法、装置、计算机设备、存储介质和计算机程序产品,通过获取金融业务设备对应的应用标识和设备标识,从而确定金融业务设备的应用场景和设备信息,实现对不同金融业务设备的应用场景的准确确定;根据应用标识和设备标识,生成设备标识密钥,将设备标识密钥发送至金融业务设备,从而使金融业务设备在初始化完成的情况下生成控制指令;接收金融业务设备返回的控制指令,在控制指令的解析结果通过验证的情况下,根据应用标识和设备标识,从预设的设备算法策略缓存数据库中确定金融业务设备对应的设备算法策略,从而对金融业务数据返回的控制指令进行验证,并基于应用标识和设备标识,从设备算法策略缓存数据库中确定金融业务设备对应的、准确的设备算法策略;根据设备算法策略,生成指令凭证,将指令凭证发送至金融业务设备,以指示金融业务设备切换设备算法策略对应的加解密算法,能够根据应用标识和设备标识确定金融业务设备对应的使用场景,从而结合使用场景和设备信息,生成设备标识密钥,利用设备标识密钥控制金融业务设备进行初始化并返回控制指令,进而在控制指令对应的解析结果通过验证后,利用应用标识和设备标识,从预设的设备算法策略缓存数据库中确定金融业务设备对应的设备算法策略,从而根据设备算法策略,生成用于指示金融业务设备进行加解密算法切换的指令凭证,实现结合金融业务设备的使用场景和金融业务设备的设备运行情况,从预设的设备算法策略缓存数据库中确定金融业务设备对应的、准确的设备算法策略,从而基于设备算法策略对金融业务设备的加解密算法进行动态调整,进而实现针对金融业务设备的算力资源适配,保证金融业务设备对应的相关数据的信息安全,达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一个实施例中一种金融业务设备加解密算法切换方法的应用环境图;
图2为一个实施例中一种金融业务设备加解密算法切换方法的流程示意图;
图3为一个实施例中一种设备激活的流程示意图;
图4为一个实施例中一种设备预签到的流程示意图;
图5为一个实施例中一种设备签到的流程示意图;
图6为一个实施例中一种上行数据加解密的流程示意图;
图7为一个实施例中一种下行指令加解密的流程示意图;
图8为一个实施例中一种金融业务设备加解密算法切换装置的结构框图;
图9为一个实施例中一种计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的金融业务设备加解密算法切换方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。服务器104获取金融业务设备对应的应用标识和设备标识;应用标识用于表征金融业务设备的使用场景;设备标识用于表征金融业务设备的设备信息;服务器104根据应用标识和设备标识,生成设备标识密钥,将设备标识密钥发送至金融业务设备;设备标识密钥用于控制金融业务设备在初始化完成的情况下生成控制指令;服务器104接收金融业务设备返回的控制指令,在控制指令的解析结果通过验证的情况下,根据应用标识和设备标识,从预设的设备算法策略缓存数据库中确定金融业务设备对应的设备算法策略;服务器104根据设备算法策略,生成指令凭证,将指令凭证发送至金融业务设备,以指示金融业务设备切换设备算法策略对应的加解密算法。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个示例性的实施例中,如图2所示,提供了一种金融业务设备加解密算法切换方法,本实施例以该方法应用于服务器(如物联网设备安全系统)为例进行说明,可以理解的是,该方法也可以应用于终端,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。本实施例中,该方法包括以下步骤:
步骤S202,获取金融业务设备对应的应用标识和设备标识。
其中,金融业务设备可以是指金融业务(如银行业务)相关的物联网设备。
其中,应用标识可以是指用于表征金融业务设备的使用场景的数据。
其中,设备标识可以是指用于表征金融业务设备的设备信息的数据。
作为一种示例,物联网设备安全系统获取用于描述金融业务设备的使用场景的场景描述信息,物联网设备安全系统根据场景描述信息确定上述金融业务设备对应的随机数A,物联网设备安全系统可以将该随机数A作为金融业务设备对应的应用标识,物联网设备安全系统从金融业务设备处获取金融业务设备的设备信息,物联网设备安全系统将设备信息拼接为数据串B,物联网设备安全系统可以将上述数据串B作为金融业务设备对应的设备标识。
步骤S204,根据应用标识和设备标识,生成设备标识密钥,将设备标识密钥发送至金融业务设备。
其中,设备标识密钥可以是指用于控制金融业务设备在初始化完成的情况下生成控制指令的数据,实际应用中,设备标识密钥可以包括将应用标识和设备标识按照预设的组合方式组合得到的数据。
作为一种示例,物联网设备安全系统按照预设的组合方式,对应用标识和设备标识进行组合,得到设备标识密钥,物联网设备安全系统将设备标识密钥发送至金融业务设备。
步骤S206,接收金融业务设备返回的控制指令,在控制指令的解析结果通过验证的情况下,根据应用标识和设备标识,从预设的设备算法策略缓存数据库中确定金融业务设备对应的设备算法策略。
其中,控制指令可以是指用于控制物联网设备安全系统执行特定操作的指令,实际应用中,控制指令可以包括激活指令和预签到指令,其中,激活指令用于控制物联网设备安全系统组装特定密钥,预签到指令用于控制物联网设备安全系统从预设的设备算法策略缓存数据库中获取金融业务设备对应的签到策略,具体地,控制指令可以包括金融业务设备对应的设备平台(安全SDK集成的设备操作系统,例如iOS,Windows,Linux,Android)+控制指令的指令版本(如果需要对现有的指令做升级,扩展改造,需要有个版本号方便维护指令文档或者代码)+功能操作码(表征金融业务设备需要执行的操作,如设备激活,签到,上行数据加密,下行指令加密等)+是否加密(默认00,即00表示不需要加密;01表示需要加密;具体地,金融业务设备执行设备激活操作时不需要加密)+加密算法[默认00,即00表示无加密算法;01表示三重数据加密算法(Triple Data Encryption Algorithm,3DES);02表示对称加密算法(Advanced Encryption Standard,AES);03表示分组密码算法SM4]+是否签名(默认01,即01表示需要签名,具体地,金融业务设备执行设备激活操作时需要签名)+签名算法(默认为03,03表示SM4 MAC;01表示3DES MAC;02表示AES MAC)+数据长度(应用标识和设备标识的16进制数据长度)+指令签名信息,其中,指令签名信息为金融业务设备(安全SDK)对应的、预设的内部保护密钥(protectkey)对激活指令对应的指令数据做SM4 MAC运行的结果,具体地,签名可以是指对应步骤使用不同的密钥对指令数据签名,防止数据中途被篡改,如设备激活过程,需要获取预先设置的金融业务设备(SDK)中的内部保护密钥对激活指令签名,并上行平台端(如物联网设备安全系统),平台端对签名数据验证后方可返回设备的一套密钥。
其中,控制指令的解析结果可以是指物联网设备安全系统利用金融业务设备对应的预设的内部保护密钥对控制指令进行解析后得到的信息。
其中,预设的设备算法策略缓存数据库可以是指预先设置的、用于存储各金融业务设备在不同使用场景下的设备算法策略的数据库,实际应用中,预设的设备算法策略缓存数据库中金融业务设备对应的使用场景与设备算法策略的之间的对应关系是实时更新的。
其中,设备算法策略可以是指用于描述金融业务设备针对不同操作(如签到操作、数据上传操作、数据解密操作、控制指令生成操作等)所采用的加密算法和解密算法的信息。
作为一种示例,物联网设备安全系统接收金融业务设备返回的控制指令,物联网设备安全系统对控制指令进行解析,在控制指令的解析结果通过验证的情况下,物联网设备安全系统根据应用标识和设备标识,从预设的设备算法策略缓存数据库中确定金融业务设备对应的设备算法策略。
步骤S208,根据设备算法策略,生成指令凭证,将指令凭证发送至金融业务设备,以指示金融业务设备切换设备算法策略对应的加解密算法。
其中,指令凭证可以是指用于控制金融业务设备执行特定操作的指令。
其中,加解密算法可以是指金融业务设备所执行的特定操作所采用的加密算法和解密算法。
作为一种示例,物联网设备安全系统根据设备算法策略,生成指令凭证,将指令凭证发送至金融业务设备,以指示金融业务设备切换设备算法策略对应的加解密算法。
上述金融业务设备加解密算法切换方法中,通过获取金融业务设备对应的应用标识和设备标识,从而确定金融业务设备的应用场景和设备信息,实现对不同金融业务设备的应用场景的准确确定;根据应用标识和设备标识,生成设备标识密钥,将设备标识密钥发送至金融业务设备,从而使金融业务设备在初始化完成的情况下生成控制指令;接收金融业务设备返回的控制指令,在控制指令的解析结果通过验证的情况下,根据应用标识和设备标识,从预设的设备算法策略缓存数据库中确定金融业务设备对应的设备算法策略,从而对金融业务数据返回的控制指令进行验证,并基于应用标识和设备标识,从设备算法策略缓存数据库中确定金融业务设备对应的、准确的设备算法策略;根据设备算法策略,生成指令凭证,将指令凭证发送至金融业务设备,以指示金融业务设备切换设备算法策略对应的加解密算法,能够根据应用标识和设备标识确定金融业务设备对应的使用场景,从而结合使用场景和设备信息,生成设备标识密钥,利用设备标识密钥控制金融业务设备进行初始化并返回控制指令,进而在控制指令对应的解析结果通过验证后,利用应用标识和设备标识,从预设的设备算法策略缓存数据库中确定金融业务设备对应的设备算法策略,从而根据设备算法策略,生成用于指示金融业务设备进行加解密算法切换的指令凭证,实现结合金融业务设备的使用场景和金融业务设备的设备运行情况,从预设的设备算法策略缓存数据库中确定金融业务设备对应的、准确的设备算法策略,从而基于设备算法策略对金融业务设备的加解密算法进行动态调整,进而实现针对金融业务设备的算力资源适配,保证金融业务设备对应的相关数据的信息安全,达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。
在一个示例性的实施例中,控制指令包括激活指令,接收金融业务设备返回的控制指令之后,上述方法还包括:解析激活指令,得到激活指令解析结果;在激活指令解析结果通过验证的情况下,根据设备标识密钥,组装目标密钥;将目标密钥发送至金融业务设备,以使金融业务设备将目标密钥保存至预设的存储路径。
其中,激活指令可以是指用于控制物联网设备安全系统组装特定密钥的指令。
其中,激活指令解析结果可以是指物联网设备安全系统对激活指令进行解析后得到的信息(如签名)。
其中,目标密钥可以是指用于组装特定操作(如激活指令、签到指令等)时需要用到的数据,实际应用中,目标密钥包括密钥保护密钥、设备签到密钥、数据安全密钥或指令安全密钥中的至少一种,具体地,密钥保护密钥、设备签到密钥、数据安全密钥和指令安全密钥可以构成设备标识密钥,密钥保护密钥可以是指保护设备签到密钥、数据安全密钥和指令安全密钥从物联网设备安全系统下发到金融业务设备本地的安全传输密钥,设备签到密钥可以是指金融业务设备执行签到操作时,用于安全认证的密钥,数据安全密钥可以是指用于对金融业务设备的上行数据进行加解密操作的密钥,指令安全密钥是用于对金融业务设备的下行指令进行加解密操作的密钥。
其中,密钥保护密钥生成方法可以包括物联网设备安全系统使用设备根密钥(rootkey)根据子密钥离散因子进行SM4 MAC运算计算得到的子密钥,其中,子密钥离散因子可以是指能代表密钥保护密钥的一个常量做SM3摘要后截取后32位的数据串,其中,设备根密钥需首先预制并存储在安全介质(如加密机等)中,设备根密钥离散子密钥需把分量送进加密机进行离散,确保根密钥不出加密机;然后物联网设备安全系统对应用标识(appid)、设备标识(devid)和密钥的版本号(长度为6位,设备第一次注册时为000001)进行拼接并对拼接后的数据串做SM3摘要,截取后32位为密钥保护密钥的生成因子,然后使用设备根密钥的子密钥对密钥保护密钥生成因子做SM4 MAC运算计算出设备密钥保护密钥,并使用金融业务设备的内部保护密钥(protectkey)加密存储,具体地,密钥的版本号在设备两次注册之间的时间内会发生变化,可以理解的是,设备签到密钥,数据安全密钥和指令安全密钥的生成方法可以采用与上述密钥保护密钥生成方法相同的方法。
其中,预设的存储路径可以是指表征金融业务设备中用于存储目标密钥的存储位置的数据。
作为一种示例,如图3所示,提供了一种设备激活的流程示意图,金融业务设备(设备端)集成安全SDK并根据物联网设备安全系统发送的应用标识(appid)和设备标识符(devid),结合预先设置的密钥存储路径初始化安全SDK,安全SDK检查金融业务设备的运行环境是否正常,根据预设的密钥存储路径检查设备本地是否有目标密钥对应的密钥文件,如果有,说明设备已经做过激活并下发过设备标识密钥,此时安全SDK会跳过激活直接做设备签到,如果没有,则安全SDK发起激活,获取设备标识密钥,安全SDK组装激活指令,安全SDK上送激活指令到物联网设备安全系统,物联网设备安全系统对激活指令进行解析,得到签名信息(激活指令对应的解析结果),物联网设备安全系统使用内部保护密钥(protectkey)对激活指令对应的指令数据进行签名,并跟激活指令上送的签名信息比对是否一致,如果一致,则签名验证通过,物联网设备安全系统解析设备信息,验证金融业务设备是否注册,具体地,物联网设备安全系统根据应用标识和设备标识检验金融业务设备是否注册,如果设备已注册过,则物联网设备安全系统根据应用标识和设备标识获取设备标识密钥对应的密钥保护密钥、设备签到密钥、数据安全密钥,指令安全密钥,根据预设的指令组装规则,物联网设备安全系统组装每一把密钥(密钥保护密钥、设备签到密钥、数据安全密钥,指令安全密钥)组装密钥指令并使用SM4 MAC计算签名返回给安全SDK,安全SDK接收到物联网设备安全系统返回的密钥指令,验证每一条密钥指令的签名信息,并解析指令内容,安全SDK根据预设的指令规则使用内部保护密钥(protectkey)解密下发的密钥保护密钥,得到密钥保护密钥的明文,再使用密钥保护密钥解密设备签到密钥,数据安全密钥,指令安全密钥,安全SDK获取设备基本信息(如主板型号,cpu信息,mac地址)生成设备指纹(设备信息)并作为内部保护密钥(protectkey)的离散因子,内部保护密钥对离散因子做SM4 MAC得到设备指纹密钥,使用SM4加密密钥保护密钥、设备签到密钥、数据安全密钥、指令安全密钥并以文件的形式保存到指定路径。
本实施例中,通过解析激活指令,得到激活指令解析结果;在激活指令解析结果通过验证的情况下,根据设备标识密钥,组装目标密钥;将目标密钥发送至金融业务设备,以使金融业务设备将目标密钥保存至预设的存储路径,能够对激活指令进行解析,并在激活指令解析结果通过验证时,将组装的目标密钥存储于预设的存储路径,实现对金融业务设备的激活操作,从而建立物联网设备安全系统与金融业务设备之间的有效连接,为后续切换金融业务设备的加解密算法提供基础,进而达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。
在一些实施例中,控制指令包括预签到指令,接收金融业务设备返回的控制指令之后,上述方法还包括:解析预签到指令,得到预签到指令解析结果;在预签到指令解析结果通过验证的情况下,从预设的设备算法策略缓存数据库中确定金融业务设备对应的签到策略;根据预签到指令解析结果中的预签到随机数、设备签到密钥和签到策略,组装签到指令,将签到指令发送至金融业务设备,以指示金融业务设备切换针对签到策略的加解密算法。
其中,预签到指令可以是指用于控制物联网设备安全系统从预设的设备算法策略缓存数据库中获取金融业务设备对应的签到策略的指令。
其中,预签到指令解析结果可以是指物联网设备安全系统对预签到指令进行解析后得到的信息(如签名)。
其中,签到策略可以是指表征金融业务设备的签到操作中所采用的加解密算法的信息。
其中,预签到指令解析结果中的预签到随机数可以是指组装预签到指令过程中采用的随机数。
其中,签到指令可以是指用于控制金融业务设备切换针对签到策略的加解密算法的指令。
作为一种示例,如图4所示,提供了一种设备预签到的流程示意图,金融业务设备对应的安全SDK产生一个32位随机数R1,将随机数R1缓存后组装预签到指令,指令包含金融业务设备对应的设备平台(安全SDK集成的设备操作系统,例如iOS,Windows,Linux,Android)+控制指令的指令版本(如果需要对现有的指令做升级,扩展改造,需要有个版本号方便维护指令文档或者代码)+功能操作码(表征金融业务设备需要执行的操作,如设备激活,签到,上行数据加密,下行指令加密等)+是否加密(默认00,即00表示不需要加密;01表示需要加密;具体地,金融业务设备执行设备激活操作时不需要加密)+加密算法[默认00,即00表示无加密算法;01表示三重数据加密算法(Triple Data EncryptionAlgorithm,3DES);02表示对称加密算法(Advanced Encryption Standard,AES);03表示分组密码算法SM4]+是否签名(默认01,即01表示需要签名,具体地,金融业务设备执行设备激活操作时需要签名)+签名算法(默认为03,03表示SM4 MAC;01表示3DES MAC;02表示AESMAC)+数据长度(应用标识,设备标识和随机数R1拼接的16进制数据长度)+指令签名信息,其中,指令签名信息为金融业务设备(安全SDK)对应的、预设的内部保护密钥(protectkey)对激活指令对应的指令数据做SM4 MAC运行的结果,安全SDK上送预签到指令到物联网设备安全系统,物联网设备安全系统解析预签到指令,得到预签到指令对应的解析结果(签名信息),物联网设备安全系统根据设备标识密钥(或应用标识和设备标识)获取设备签到密钥,并对预签到指令对应的指令数据签名,物联网设备安全系统将预签到指令上送的签名信息和对预签到指令对应的指令数据签名后得到的信息进行比对,如果一致,则判断签名验证通过,物联网设备安全系统解析预签到指令获取随机数R1和加密算法,使用签到密钥对该随机数R1进行加密,具体地,物联网设备安全系统产生一个32位的随机数R2并缓存,后将R1与R2异或后得到R3,使用设备签到密钥加密R3,此时物联网设备安全系统根据应用标识(appid)和设备标识(devid)从预设的设备算法策略缓存数据表中获取金融业务设备的算法策略信息,具体地,设备算法策略分别为签到策略,数据策略和指令策略,每一种算法策略分为加密算法和签名算法(或加密算法和解密算法),金融业务设备第一次执行签到操作时,对应下发的算法策略默认为签到加密算法(03)+签到签名算法(03)+数据加密算法(03)+数据签名算法(03)+指令加密算法(03)+指令签名算法(03),其中,算法标志为01表示3DES算法,02 表示AES算法,03 表示SM4算法,物联网设备安全系统组装指令并计算签名信息,指令包含金融业务设备对应的设备平台(安全SDK集成的设备操作系统,例如iOS,Windows,Linux,Android)+控制指令的指令版本(如果需要对现有的指令做升级,扩展改造,需要有个版本号方便维护指令文档或者代码)+功能操作码(表征金融业务设备需要执行的操作,如设备激活,签到,上行数据加密,下行指令加密等)+是否加密(默认00,即00表示不需要加密;01表示需要加密;具体地,金融业务设备执行设备激活操作时不需要加密)+加密算法[默认00,即00表示无加密算法;01表示三重数据加密算法(Triple Data EncryptionAlgorithm,3DES);02表示对称加密算法(Advanced Encryption Standard,AES);03表示分组密码算法SM4]+是否签名(默认01,即01表示需要签名,具体地,金融业务设备执行设备激活操作时需要签名)+签名算法(默认为03,03表示SM4 MAC;01表示3DES MAC;02表示AESMAC)+数据长度(加密后的R1密文+加密后的R3密文+设备算法策略拼接的16进制数据长度)+指令签名信息,其中,指令签名信息为金融业务设备(安全SDK)对应的、预设的内部保护密钥(protectkey)对激活指令对应的指令数据做SM4 MAC运行的结果,安全SDK接收到物联网设备安全系统下发的签到指令,解析签到指令获取签名算法,使用设备签到密钥验证签名信息,如果签名验证通过,获取物联网设备安全系统返回的R1密文,R3密文,并使用设备签到密钥依次解密得到对应明文,物联网设备安全系统首先将加密后的R1明文和金融业务设备缓存的R1随机数进行比较,若一致,则验证通过,物联网设备安全系统将R1随机数与解密后的R3明文异或,异或后得到系统下发的R2随机数,而后物联网设备安全系统继续解析设备算法策略(如签到策略、数据策略、指令策略等),依次更新安全SDK(金融业务设备)针对设备签到操作、上行数据加解密操作、下行指令加解密操作的算法标识,实现加解密算法的切换,进一步地,如图5所示,提供了一种设备签到的流程示意图,当金融业务设备的预签到完成后,需要进行设备签到,安全SDK使用签到密钥加密R2后组装签到请求指令,指令包含金融业务设备对应的设备平台(安全SDK集成的设备操作系统,例如iOS,Windows,Linux,Android)+控制指令的指令版本(如果需要对现有的指令做升级,扩展改造,需要有个版本号方便维护指令文档或者代码)+功能操作码(表征金融业务设备需要执行的操作,如设备激活,签到,上行数据加密,下行指令加密等)+是否加密(默认00,即00表示不需要加密;01表示需要加密;具体地,金融业务设备执行设备激活操作时不需要加密)+加密算法[默认00,即00表示无加密算法;01表示三重数据加密算法(Triple Data EncryptionAlgorithm,3DES);02表示对称加密算法(Advanced Encryption Standard,AES);03表示分组密码算法SM4]+是否签名(默认01,即01表示需要签名,具体地,金融业务设备执行设备激活操作时需要签名)+签名算法(默认为03,03表示SM4 MAC;01表示3DES MAC;02表示AESMAC)+数据长度(随机数R2密文+系统下发的算法策略拼接的16进制数据长度)+指令签名信息,其中,指令签名信息为金融业务设备(安全SDK)对应的、预设的内部保护密钥(protectkey)对激活指令对应的指令数据做SM4 MAC运行的结果,安全SDK上送签到请求指令到物联网设备安全系统,物联网设备安全系统解析签到请求指令得到签名信息,物联网设备安全系统根据应用标识和设备标识获取设备签到密钥对指令数据签名,并与签到凭证指令上送的签名信息比对是否一致,若一致,则签名验证通过,物联网设备安全系统解析指令获取随机数R2密文和加密算法,使用设备签到密钥对该随机数R2密文进行解密得到明文,将系统缓存的R2随机数比对是否一致,若一致,则验证成功,物联网设备安全系统更新金融业务设备当前时间对应的设备算法策略缓存信息数据表,从而记录当前时间金融业务设备的设备算法策略,具体地,如果需要在数据加解密时将数据策略由3DES修改为SM4,只需更新设备算法策略缓存信息数据表设备对应的数据策略,设备重新签到即可更新数据加解密的算法,进一步地,可以结合金融业务设备的设备端运行日志,实时分析金融业务设备的数据加解密情况,进而对设备算法策略缓存信息数据表进行动态更新。
本实施例中,通过解析预签到指令,得到预签到指令解析结果;在预签到指令解析结果通过验证的情况下,从预设的设备算法策略缓存数据库中确定金融业务设备对应的签到策略;根据预签到指令解析结果中的预签到随机数、设备签到密钥和签到策略,组装签到指令,将签到指令发送至金融业务设备,以指示金融业务设备切换针对签到策略的加解密算法,能够通过对预签到指令进行解析,并在解析结果通过验证时,基于设备算法策略缓存数据库,组装用于指示金融业务设备更新加解密算法的签到指令,实现在考虑金融业务设备运行状态的情况下,对金融业务设备的设备算法策略进行及时更新和切换,确保金融业务设备的算法与算力资源适配,保证金融业务设备对应的相关数据的信息安全,达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。
在一些实施例中,根据预签到指令解析结果中的预签到随机数、设备签到密钥和签到策略,组装签到指令包括:获取签到随机数,对预签到随机数和签到随机数进行异或运算,得到异或随机数;根据设备签到密钥对签到随机数进行加密,得到预签到随机数密文,以及,根据设备签到密钥对异或随机数进行加密,得到异或随机数密文;根据预签到随机数密文、异或随机数密文和签到策略,组装签到指令。
其中,异或随机数可以是指对预签到随机数和签到随机数进行异或运算后得到的数据。
其中,预签到随机数密文可以是指对预签到随机数进行加密后得到的数据。
其中,异或随机数密文可以是指对异或随机数进行加密后得到的数据。
作为一种示例,物联网设备安全系统对预签到指令进行解析,得到预签到随机数R1,物联网设备安全系统生成签到随机数R2,物联网设备安全系统对预签到随机数R1和签到随机数R2进行异或运算,得到异或随机数R3,物联网设备安全系统根据设备签到密钥对预签到随机数R1和异或随机数R3进行加密,得到预签到随机数密文和异或随机数密文,物联网设备安全系统根据预签到随机数密文、异或随机数密文和签到策略,组装签到指令。
本实施例中,通过获取签到随机数,对预签到随机数和签到随机数进行异或运算,得到异或随机数;根据设备签到密钥对签到随机数进行加密,得到预签到随机数密文,以及,根据设备签到密钥对异或随机数进行加密,得到异或随机数密文;根据预签到随机数密文、异或随机数密文和签到策略,组装签到指令,能够基于预签到随机数和签到随机数,结合签到策略,组装签到指令,保证签到指令的准确有效,为后续金融业务设备利用签到指令切换加解密算法提供数据支撑,达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。
在一些实施例中,获取金融业务设备对应的应用标识和设备标识,包括:获取针对金融业务设备对应的应用场景的场景随机数和金融业务设备对应的设备信息;按照预设的签名算法,将场景随机数转换为第一摘要数据,将设备信息转换为第二摘要信息;根据第一摘要数据,生成应用标识,根据第二摘要信息,生成设备标识。
其中,金融业务设备对应的应用场景可以是指表征金融业务设备的算力等设备资源的数据。
其中,金融业务设备对应的设备信息可以是指表征金融业务设备的身份信息和设备参数的数据,实际应用中,金融业务设备的设备信息可以包括型号,制造商,固件版本,网卡,MAC地址,设备序列号,IMEI号等。
其中,场景随机数可以是指物联网设备安全系统随机产生的、针对金融业务设备的应用场景的数据。
其中,第一摘要数据可以是指按照预设的签名算法,对场景随机数进行转换后得到的数据。
其中,第二摘要信息可以是指按照预设的签名算法,对设备信息进行转换后得到的数据。
作为一种示例,物联网设备安全系统根据金融业务设备的应用场景随机产生一个安全且较大的第一随机数,并对该随机数做SM3摘要,将生成的64位摘要数据截取后32位最为应用标识(appid),物联网设备安全系统从金融业务设备处获取设备信息,物联网设备安全系统将设备信息的数据项拼接成一个数据串,并对上述数据串做SM3摘要,将生成的64位摘要数据截取后32位作为设备标识(devid),进一步地,然后物联网设备安全系统可以根据应用标识(appid)和设备标识(devid)生成设备标识密钥并安全存储。
本实施例中,通过获取针对金融业务设备对应的应用场景的场景随机数和金融业务设备对应的设备信息;按照预设的签名算法,将场景随机数转换为第一摘要数据,将设备信息转换为第二摘要信息;根据第一摘要数据,生成应用标识,根据第二摘要信息,生成设备标识,能够根据场景随机数,确定能够表征金融业务设备的应用场景的应用标识,并根据设备信息,确定设备标识,从而为后续针对每个金融业务设备确定对应应用场景下的设备算法策略提供数据基础,达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。
在一些实施例中,上述方法还包括:获取金融业务设备发送的密文解密指令;根据设备标识密钥解析密文解密指令,得到针对密文解密指令的数据策略;根据数据策略,对密文解析指令对应的密文数据进行解密,得到密文数据对应的明文数据。
其中,密文解密指令可以是指金融业务设备发送的、用于控制物联网设备安全系统对特定数据进行解密的指令。
其中,数据策略可以是指表征数据加解密算法的信息,实际应用中,数据策略可以包括数据解密策略和数据加密策略。
其中,密文解析指令对应的密文数据可以是指需要按照密文解析指令进行加密的数据,实际应用中,密文解析指令对应的密文数据可以包括密文解析指令对应的待解密数据。
其中,密文数据对应的明文数据可以是指对密文数据进行解密后得到的数据。
作为一种示例,如图6所示,提供了一种上行数据加解密的流程示意图,金融业务设备采集数据上行数据并调用安全SDK数据加密接口,安全SDK从本地密钥文件中获取数据安全密钥,并根据金融业务设备缓存的数据算法策略加密数据,组装密文解密指令,上送物联网设备安全系统,物联网设备安全系统获取金融业务设备发送的密文解密指令,物联网设备安全系统响应于密文解密指令,根据设备标识密钥(应用标识和设备标识)获取金融业务设备的数据安全密钥,解析密文解密指令,得到数据加解密算法标识(表征数据策略的信息),物联网设备安全系统根据预设的算法验证签名,物联网设备安全系统根据数据加解密算法标识表征的数据策略,对密文解析指令对应的密文数据进行解密,得到密文数据对应的明文数据,进一步地,如图7所示,提供了一种下行指令加解密的流程示意图,物联网设备安全系统获取待加密指令明文(操作设备指令明文),根据应用标识和设备标识获取指令安全密钥,并从算法策略缓存表中获取对应的算法策略,进而加密下行指令,计算签名,组装指令,推送至金融业务设备,金融业务设备收到下行指令密文数据,解析指令,根据指令解析算法,从本地密钥文件获取指令安全密钥验证签名,解密下限指令的密文,得到物联网设备安全系统控制金融业务设备的下行指令的明文,完成下行指令密文解密操作。
本实施例中,通过获取金融业务设备发送的密文解密指令;根据设备标识密钥解析密文解密指令,得到针对密文解密指令的数据策略;根据数据策略,对密文解析指令对应的密文数据进行解密,得到密文数据对应的明文数据,能够金融业务设备与物联网设备安全系统之间按照数据安全策略和指令安全策略进行数据或指令的加密和验证,保证金融业务设备对应的相关数据的信息安全,达到提高金融业务物联网设备相关的设备算法的切换效率的有益效果。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的金融业务设备加解密算法切换方法的金融业务设备加解密算法切换装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个金融业务设备加解密算法切换装置实施例中的具体限定可以参见上文中对于金融业务设备加解密算法切换方法的限定,在此不再赘述。
在一个示例性的实施例中,如图8所示,提供了一种金融业务设备加解密算法切换装置,包括:标识获取模块802、密钥生成模块804、策略确定模块806和凭证生成模块808,其中:
标识获取模块802,用于获取金融业务设备对应的应用标识和设备标识;所述应用标识用于表征所述金融业务设备的使用场景;所述设备标识用于表征所述金融业务设备的设备信息;
密钥生成模块804,用于根据所述应用标识和所述设备标识,生成设备标识密钥,将所述设备标识密钥发送至所述金融业务设备;所述设备标识密钥用于控制所述金融业务设备在初始化完成的情况下生成控制指令;
策略确定模块806,用于接收所述金融业务设备返回的控制指令,在所述控制指令的解析结果通过验证的情况下,根据所述应用标识和所述设备标识,从预设的设备算法策略缓存数据库中确定所述金融业务设备对应的设备算法策略;
凭证生成模块808,用于根据所述设备算法策略,生成指令凭证,将所述指令凭证发送至所述金融业务设备,以指示所述金融业务设备切换所述设备算法策略对应的加解密算法。
在一个示例性实施例中,所述控制指令包括激活指令,上述装置还包括设备激活模块,所述设备激活模块用于解析所述激活指令,得到激活指令解析结果;在所述激活指令解析结果通过验证的情况下,根据所述设备标识密钥,组装目标密钥;所述目标密钥包括密钥保护密钥、设备签到密钥、数据安全密钥或指令安全密钥中的至少一种;将所述目标密钥发送至所述金融业务设备,以使所述金融业务设备将所述目标密钥保存至预设的存储路径。
在一个示例性实施例中,所述控制指令包括预签到指令,上述装置还包括设备预签到模块,所述设备预签到模块用于解析所述预签到指令,得到预签到指令解析结果;在所述预签到指令解析结果通过验证的情况下,从所述预设的设备算法策略缓存数据库中确定所述金融业务设备对应的签到策略;根据所述预签到指令解析结果中的预签到随机数、所述设备签到密钥和所述签到策略,组装签到指令,将所述签到指令发送至所述金融业务设备,以指示所述金融业务设备切换针对所述签到策略的加解密算法。
在一个示例性实施例中,上述设备预签到模块还用于获取签到随机数,对所述预签到随机数和所述签到随机数进行异或运算,得到异或随机数;根据所述设备签到密钥对所述签到随机数进行加密,得到预签到随机数密文,以及,根据所述设备签到密钥对所述异或随机数进行加密,得到异或随机数密文;根据所述预签到随机数密文、所述异或随机数密文和所述签到策略,组装所述签到指令。
在一个示例性实施例中,上述标识获取模块802还用于获取针对所述金融业务设备对应的应用场景的场景随机数和所述金融业务设备对应的设备信息;按照预设的签名算法,将所述场景随机数转换为第一摘要数据,将所述设备信息转换为第二摘要信息;根据所述第一摘要数据,生成所述应用标识,根据所述第二摘要信息,生成所述设备标识。
在一个示例性实施例中,上述装置还包括密文解密模块,所述密文解密模块用于获取所述金融业务设备发送的密文解密指令;根据所述设备标识密钥解析所述密文解密指令,得到针对所述密文解密指令的数据策略;所述数据策略包括数据解密策略;根据所述数据策略,对所述密文解析指令对应的密文数据进行解密,得到所述密文数据对应的明文数据。
上述金融业务设备加解密算法切换装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个示例性的实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图9所示。该计算机设备包括处理器、存储器、输入/输出接口、通信接口、显示单元和输入装置。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口、显示单元和输入装置通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种金融业务设备加解密算法切换方法。该计算机设备的显示单元用于形成视觉可见的画面,可以是显示屏、投影装置或虚拟现实成像装置。显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要符合相关规定。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (15)

1.一种金融业务设备加解密算法切换方法,其特征在于,所述方法包括:
获取金融业务设备对应的应用标识和设备标识;所述应用标识用于表征所述金融业务设备的使用场景;所述设备标识用于表征所述金融业务设备的设备信息;
根据所述应用标识和所述设备标识,生成设备标识密钥,将所述设备标识密钥发送至所述金融业务设备;所述设备标识密钥用于控制所述金融业务设备在初始化完成的情况下生成控制指令;
接收所述金融业务设备返回的控制指令,在所述控制指令的解析结果通过验证的情况下,根据所述应用标识和所述设备标识,从预设的设备算法策略缓存数据库中确定所述金融业务设备对应的设备算法策略;
根据所述设备算法策略,生成指令凭证,将所述指令凭证发送至所述金融业务设备,以指示所述金融业务设备切换所述设备算法策略对应的加解密算法。
2.根据权利要求1所述的方法,其特征在于,所述控制指令包括激活指令,所述接收所述金融业务设备返回的控制指令之后,所述方法还包括:
解析所述激活指令,得到激活指令解析结果;
在所述激活指令解析结果通过验证的情况下,根据所述设备标识密钥,组装目标密钥;所述目标密钥包括密钥保护密钥、设备签到密钥、数据安全密钥或指令安全密钥中的至少一种;
将所述目标密钥发送至所述金融业务设备,以使所述金融业务设备将所述目标密钥保存至预设的存储路径。
3.根据权利要求2所述的方法,其特征在于,所述控制指令包括预签到指令,所述接收所述金融业务设备返回的控制指令之后,所述方法还包括:
解析所述预签到指令,得到预签到指令解析结果;
在所述预签到指令解析结果通过验证的情况下,从所述预设的设备算法策略缓存数据库中确定所述金融业务设备对应的签到策略;
根据所述预签到指令解析结果中的预签到随机数、所述设备签到密钥和所述签到策略,组装签到指令,将所述签到指令发送至所述金融业务设备,以指示所述金融业务设备切换针对所述签到策略的加解密算法。
4.根据权利要求3所述的方法,其特征在于,所述根据所述预签到指令解析结果中的预签到随机数、所述设备签到密钥和所述签到策略,组装签到指令包括:
获取签到随机数,对所述预签到随机数和所述签到随机数进行异或运算,得到异或随机数;
根据所述设备签到密钥对所述预签到随机数进行加密,得到预签到随机数密文,以及,根据所述设备签到密钥对所述异或随机数进行加密,得到异或随机数密文;
根据所述预签到随机数密文、所述异或随机数密文和所述签到策略,组装所述签到指令。
5.根据权利要求1所述的方法,其特征在于,所述获取金融业务设备对应的应用标识和设备标识,包括:
获取针对所述金融业务设备对应的应用场景的场景随机数和所述金融业务设备对应的设备信息;
按照预设的签名算法,将所述场景随机数转换为第一摘要数据,将所述设备信息转换为第二摘要信息;
根据所述第一摘要数据,生成所述应用标识,根据所述第二摘要信息,生成所述设备标识。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述金融业务设备发送的密文解密指令;
根据所述设备标识密钥解析所述密文解密指令,得到针对所述密文解密指令的数据策略;所述数据策略包括数据解密策略;
根据所述数据策略,对所述密文解析指令对应的密文数据进行解密,得到所述密文数据对应的明文数据。
7.一种金融业务设备加解密算法切换装置,其特征在于,所述装置包括:
标识获取模块,用于获取金融业务设备对应的应用标识和设备标识;所述应用标识用于表征所述金融业务设备的使用场景;所述设备标识用于表征所述金融业务设备的设备信息;
密钥生成模块,用于根据所述应用标识和所述设备标识,生成设备标识密钥,将所述设备标识密钥发送至所述金融业务设备;所述设备标识密钥用于控制所述金融业务设备在初始化完成的情况下生成控制指令;
策略确定模块,用于接收所述金融业务设备返回的控制指令,在所述控制指令的解析结果通过验证的情况下,根据所述应用标识和所述设备标识,从预设的设备算法策略缓存数据库中确定所述金融业务设备对应的设备算法策略;
凭证生成模块,用于根据所述设备算法策略,生成指令凭证,将所述指令凭证发送至所述金融业务设备,以指示所述金融业务设备切换所述设备算法策略对应的加解密算法。
8.根据权利要求7所述的装置,其特征在于,所述控制指令包括激活指令,所述装置还包括设备激活模块,所述设备激活模块用于解析所述激活指令,得到激活指令解析结果;在所述激活指令解析结果通过验证的情况下,根据所述设备标识密钥,组装目标密钥;所述目标密钥包括密钥保护密钥、设备签到密钥、数据安全密钥或指令安全密钥中的至少一种;将所述目标密钥发送至所述金融业务设备,以使所述金融业务设备将所述目标密钥保存至预设的存储路径。
9.根据权利要求8所述的装置,其特征在于,所述控制指令包括预签到指令,所述装置还包括设备预签到模块,所述设备预签到模块用于解析所述预签到指令,得到预签到指令解析结果;在所述预签到指令解析结果通过验证的情况下,从所述预设的设备算法策略缓存数据库中确定所述金融业务设备对应的签到策略;根据所述预签到指令解析结果中的预签到随机数、所述设备签到密钥和所述签到策略,组装签到指令,将所述签到指令发送至所述金融业务设备,以指示所述金融业务设备切换针对所述签到策略的加解密算法。
10.根据权利要求9所述的装置,其特征在于,所述设备预签到模块还用于获取签到随机数,对所述预签到随机数和所述签到随机数进行异或运算,得到异或随机数;根据所述设备签到密钥对所述签到随机数进行加密,得到预签到随机数密文,以及,根据所述设备签到密钥对所述异或随机数进行加密,得到异或随机数密文;根据所述预签到随机数密文、所述异或随机数密文和所述签到策略,组装所述签到指令。
11.根据权利要求7所述的装置,其特征在于,所述标识获取模块还用于获取针对所述金融业务设备对应的应用场景的场景随机数和所述金融业务设备对应的设备信息;按照预设的签名算法,将所述场景随机数转换为第一摘要数据,将所述设备信息转换为第二摘要信息;根据所述第一摘要数据,生成所述应用标识,根据所述第二摘要信息,生成所述设备标识。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括密文解密模块,所述密文解密模块用于获取所述金融业务设备发送的密文解密指令;根据所述设备标识密钥解析所述密文解密指令,得到针对所述密文解密指令的数据策略;所述数据策略包括数据解密策略;根据所述数据策略,对所述密文解析指令对应的密文数据进行解密,得到所述密文数据对应的明文数据。
13.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
15.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202311496983.8A 2023-11-10 2023-11-10 金融业务设备加解密算法切换方法、装置和计算机设备 Pending CN117714058A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311496983.8A CN117714058A (zh) 2023-11-10 2023-11-10 金融业务设备加解密算法切换方法、装置和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311496983.8A CN117714058A (zh) 2023-11-10 2023-11-10 金融业务设备加解密算法切换方法、装置和计算机设备

Publications (1)

Publication Number Publication Date
CN117714058A true CN117714058A (zh) 2024-03-15

Family

ID=90161356

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311496983.8A Pending CN117714058A (zh) 2023-11-10 2023-11-10 金融业务设备加解密算法切换方法、装置和计算机设备

Country Status (1)

Country Link
CN (1) CN117714058A (zh)

Similar Documents

Publication Publication Date Title
CN107689869B (zh) 用户口令管理的方法和服务器
CN108241517B (zh) 一种软件升级方法、客户端及电子设备
US8495383B2 (en) Method for the secure storing of program state data in an electronic device
CN111708991A (zh) 服务的授权方法、装置、计算机设备和存储介质
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
KR102013983B1 (ko) 애플리케이션 무결성 인증 방법 및 인증 서버
CN112187803A (zh) 使用服务器的tpm的远程密码服务
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
US20130019110A1 (en) Apparatus and method for preventing copying of terminal unique information in portable terminal
CN110445840B (zh) 一种基于区块链技术的文件存储和读取的方法
WO2012072001A1 (zh) 一种安全发卡方法、发卡设备和系统
US11783091B2 (en) Executing entity-specific cryptographic code in a cryptographic coprocessor
CN115348107A (zh) 物联网设备安全登陆方法、装置、计算机设备和存储介质
CN111585995A (zh) 安全风控信息传输、处理方法、装置、计算机设备及存储介质
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
CN109960935B (zh) 确定tpm可信状态的方法、装置及存储介质
CN116049802B (zh) 应用单点登陆方法、系统、计算机设备和存储介质
KR101473656B1 (ko) 모바일 데이터 보안 장치 및 방법
CN115001864B (zh) 智能家具的通信认证方法、装置、计算机设备和存储介质
CN111914270A (zh) 基于区块链技术的可编程认证服务方法和系统
CN114553557B (zh) 密钥调用方法、装置、计算机设备和存储介质
CN114244565B (zh) 密钥分发方法、装置、设备及存储介质
CN116132041A (zh) 密钥处理方法、装置、存储介质及电子设备
CN116264505A (zh) 密钥管理系统和方法、电子设备和计算机可读存储介质
CN117714058A (zh) 金融业务设备加解密算法切换方法、装置和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination