WO2022100658A1

WO2022100658A1 - 一种更改安全模块中密钥的方法及系统

Info

Publication number: WO2022100658A1
Application number: PCT/CN2021/130021
Authority: WO
Inventors: 刘超; 杨文伟; 康卫昌
Original assignee: 杭州海康威视数字技术股份有限公司
Priority date: 2020-11-16
Filing date: 2021-11-11
Publication date: 2022-05-19
Also published as: CN112422281B; EP4246873A4; CN112422281A; EP4246873A1

Abstract

本申请实施例提供了一种更改安全模块中密钥的方法及系统，该方法应用于安装有安全模块的智能设备。包括：建立密钥更改设备与智能设备的连接后，获取密钥更改设备发送的密钥更改指令；验证智能设备是否具有从密钥更改设备读取新密钥及对安全模块中的目标密钥进行更改的权限；若是，则读取密钥更改设备内存储的新密钥，并将安全模块中指定目录下的目标密钥更改为新密钥。本申请实施例中，在不需要将安全模块从智能设备拆卸下来的情况下，实现了对安全模块中所存储的密钥的更改，大大简化了安全模块中密钥更改操作，并且通过验证智能设备是否具备从密钥更改设备读取密钥以及更改安全模块中的目标密钥的权限，还保证了安全模块中密钥的安全性。

Description

一种更改安全模块中密钥的方法及系统

本申请要求于2020年11月16日提交中国专利局、申请号为202011282164.X发明名称为“一种更改安全模块中密钥的方法及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及安全技术领域，尤其涉及一种更改安全模块中密钥方法及系统。

背景技术

安全模块(Secure Element，SE)具有对称及非对称加解密运算、安全存储和身份认证等功能，并且SE还具有体积小和安装方便等特点，因此，SE被广泛的应用在各种场景中，例如，可以将SE应用于门禁设备、移动支付设备和金融卡等场景中。

在各种场景下应用SE时，需要将SE焊接在相应的设备上，以使用SE来存储用户的数据以及密钥等文件。大多数情况下，在安装有SE的设备出厂之前，需要通过特定卡片将密钥烧录至SE中。但是对于设备的使用者而言，为了保证安全性，在初次使用设备时可能需要对SE中所存储的密钥进行更改，或者在设备使用过程中，定期对SE中所存储的密钥进行定期更新。

由于在将密钥烧录至设备上的SE中时需要使用特定卡片，但是，对于该设备而言，其上可能并不存在该特定卡片。因此，在更改SE中所存储的密钥时，需要将SE从设备上拆卸下，这样无疑增加了密钥更改的操作复杂性。

由此可知，利用相关技术对SE中存储的密钥进行更改时，需要改动设备结构，操作比较复杂。

发明内容

本申请实施例采用下述技术方案：

第一方面，本申请实施例提供一种更改安全模块中密钥的方法，该方法应用于安装有所述安全模块的智能设备，该方法包括：

在建立密钥更改设备与所述智能设备之间的连接后，获取所述密钥更改设备发送的对所述安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

验证所述智能设备是否具有从所述密钥更改设备读取新密钥的第一权限，以及，验证所述智能设备是否具有对所述安全模块中的所述目标密钥进行更改的第二权限；

若验证结果指示所述智能设备具有所述第一权限和所述第二权限，则读取所述密钥更改设备内存储的新密钥；其中，所述新密钥为通过发卡器预先写入所述密钥更改设备的；

将所述安全模块中所述指定目录下的所述目标密钥更改为所述新密钥。

可选地，所述验证所述智能设备是否具有从所述密钥更改设备读取数据的第一权限，包括：

对所述密钥更改设备进行外部认证；若所述密钥更改设备的外部认证通过，则确定所述智能设备具有从所述密钥更改设备读取数据的第一权限。

可选地，所述对所述密钥更改设备进行外部认证，包括：

基于所述安全模块中所存储的加密密钥，对所述密钥更改设备所产生的第一随机数进行加密，得到所述第一随机数所对应的第一密文数据；

将所述第一密文数据携带在外部认证指令中发送给所述密钥更改设备，以使所述密钥更改设备基于所述第一密文数据进行外部认证，以及在外部认证通过时，将新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值；其中，所述第一状态值表征所述新密钥所属目录下的所述新密钥可被读取。

可选地，所述验证所述智能设备是否具有对所述安全模块中的密钥进行更改的第二权限，包括：

对所述安全模块进行外部认证；若所述安全模块的外部认证通过，则确定所述智能设备具有对所述安全模块中的密钥进行更改的第二权限。

可选地，所述对所述安全模块进行外部认证，包括：

将所述安全模块所产生的第二随机数发送给所述密钥更改设备，以使所述密钥更改设备基于其所存储的认证密钥，对所述第二随机数进行加密，得到所述第二随机数所对应的第二密文数据；

获取所述密钥更改设备所产生的所述第二密文数据，将所述第二密文数据携带在外部认证指令中发送给所述安全模块，以使所述安全模块基于所述第二密文数据进行外部认证，以及在外部认证通过时，将所述指定目录所对应的安全状态寄存器的状态值修改为第二状态值；其中，所述第二状态值表征所述指定目录下的所述目标密钥可被更改。

可选地，所述密钥更改设备为中央处理器(Central Processing Unit，CPU)卡。

第二方面，本申请实施例提供了一种更改安全模块中密钥的系统，所述系统包括密钥更改设备和安装有所述安全模块的智能设备；

所述密钥更改设备，用于在建立与所述智能设备之间的连接后，向所述智能设备发送对所述安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

所述智能设备，用于接收所述密钥更改指令，验证所述智能设备是否具有从所述密钥更改设备读取新密钥的第一权限，以及，验证所述智能设备是否具有对所述安全模块中的所述目标密钥进行更改的第二权限；若验证结果指示所述智能设备具有所述第一权限和所述第二权限，则读取所述密钥更改设备内存储的新密钥；将所述安全模块中所述指定目录下的所述目标密钥更改为所述新密钥；其中，所述新密钥为通过发卡器预先写入所述密钥更改设备的。

可选地，所述智能设备，具体用于：

基于所述安全模块中所存储的加密密钥，对所述密钥更改设备所产生的第一随机数进行加密，得到所述第一随机数所对应的第一密文数据；将所述第一密文数据携带在外部认证指令中发送给所述密钥更改设备；

所述密钥更改设备还用于，接收所述第一密文数据，基于所述第一密文数据进行外部认证，以及在外部认证通过时，将新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值；其中，所述第一状态值表征所述新密钥所属目录下的所述新密钥可被读取。

可选地，所述智能设备，具体用于：

可选地，所述智能设备，还用于将所述安全模块所产生的第二随机数发送给所述密钥更改设备；

所述密钥更改设备，还用于基于其所存储的认证密钥，对所述第二随机数进行加密，得到所述第二随机数所对应的第二密文数据；

所述智能设备，还用于获取所述密钥更改设备所产生的所述第二密文数据，将所述第二密文数据携带在外部认证指令中发送给所述安全模块，以使所述安全模块基于所述第二密文数据进行外部认证，以及在外部认证通过时，将所述指定目录所对应的安全状态寄存器的状态值修改为第二状态值；其中，所述第二状态值表征所述指定目录下的所述目标密钥可被更改。

可选地，所述密钥更改设备为CPU卡。

第三方面，本申请实施例提供了一种更改安全模块中密钥的装置，应用于安装有所述安全模块的智能设备，所述装置包括：

获取单元，用于在建立密钥更改设备与所述智能设备之间的连接后，获取所述密钥更改设备发送的对所述安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

验证单元，用于验证所述智能设备是否具有从所述密钥更改设备读取新密钥的第一权限，以及，验证所述智能设备是否具有对所述安全模块中的所述目标密钥进行更改的第二权限；

读取单元，用于若验证结果指示所述智能设备具有所述第一权限和所述第二权限，则读取所述密钥更改设备内存储的新密钥；其中，所述新密钥为通过发卡器预先写入所述密钥更改设备的；

更改单元，用于将所述安全模块中所述指定目录下的所述目标密钥更改为所述新密钥。

第四方面，本申请实施例提供了一种计算机设备，包括处理器、通信接口、存储器和通信总线；其中，所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信；所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存放的程序，实现第一方面提供的任一所述的方法步骤。

第五方面，本申请实施例提供了一种计算机可读存储介质，所述存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面提供的任一所述的方法步骤。

第六方面，本申请实施例提供了一种计算机程序，所述计算机程序被处理器执行时实现第一方面提供的任一所述的方法步骤。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

采用本申请实施例提供的技术方案，预先在密钥更改设备中写入需要更改的目标密钥所对应的新密钥，并建立密钥更改设备与智能设备之间的连接。这样，智能设备可以获取到密钥更改设备触发的对安全模块中指定目录下的目标密钥进行更改的密钥更改指令，在验证智能设备具有从密钥更改设备读取新密钥的第一权限，以及智能设备具有对安全模块中指定目录下的目标密钥进行更改的第二权限后，则基于密钥更改设备内存储的新密钥对安全模块中的密钥进行更改。

通过本申请实施例提供的方法，在不需要将安全模块从智能设备上拆卸下来的情况下，实现了对安全模块中所存储的密钥的更改，大大简化了安全模块中密钥更改操作。并且本申请实施例提供的方法中，通过验证智能设备是否具备从密钥更改设备读取密钥的权限，以及验证智能设备是否具备更改安全模块中的目标密钥的权限，还保证了安全模块中密钥的安全性。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的更改安全模块中密钥的方法的应用场景示意图；

图2为本申请实施例提供的更改安全模块中密钥的方法的第一种流程示意图；

图3(a)为本申请实施例提供的更改安全模块中密钥的方法中密钥更改设备的一种目录结构示意图；

图3(b)为本申请实施例提供的更改安全模块中密钥的方法中安全模块的一种目录结构示意图；

图4为本申请实施例提供的更改安全模块中密钥的方法的第二种流程示意图；

图5为本申请实施例提供的更改安全模块中密钥的系统的结构示意图；

图6为本申请实施例提供的计算机设备的模块组成示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

图1示出了本申请实施例提供的更新安全模块中密钥的方法的应用场景示意图，如图1所示，该应用场景包括密钥更改设备和安装有SE的智能设备。其中，该智能设备可以为门禁设备或移动支付设备等任意应用SE的设备。其中，密钥更改设备中存储有SE中的原密钥需要更改为的新密钥。密钥更改设备中所存储的新密钥可以为通过发卡器写入密钥更改设备中。也可以理解为，发卡器将新密钥写入密钥更改设备中。

这样，当需要对安装在智能设备上的SE中的密钥进行更改时，建立密钥更改设备与智能设备之间的连接。针对图1所示场景，则以密钥更改设备为中央处理器(Central Processing Unit，CPU)卡为例进行示例性说明，在SE中的更改密钥时，用户可以将CPU卡贴在智能设备的卡片识别区域，以建立CPU卡与智能设备之间的连接。在建立了CPU 卡与智能设备之间的连接后，智能设备验证智能设备是否具备从CPU卡读取新密钥的权限，以及验证智能设备是否具备对安全模块中的密钥进行更改的权限；若验证结果指示智能设备具备上述两种权限，则智能设备读取CPU卡中所存储的新密钥，并将SE中的密钥更改为该新密钥。

另外，上述图1只是示例性介绍本申请实施例所提供方法的一种可能的应用场景示意图，并不构成对本申请实施例的限定。

可选的，在SE中可能会存储有多种密钥，如内部认证密钥、外部认证密钥、主控密钥、加密密钥、解密密钥、和应用维护密钥等等。在具体实施时，可以依据实际需求采用本申请实施例提供的方法对SE中所存储的某一种或者几种密钥进行更改。多种密钥存储在密钥文件中。

可选的，在一种可选的实施方式中，本申请实施例提供的更改安全模块中密钥方法可以设计为：一个密钥更改设备用于更改安全模块中的同一个子目录下的一个或者多个密钥。

本申请实施例中，当需要对安全模块中的多个密钥进行更改时，可以使用多个密钥更改设备来完成密钥的更改，也可以使用一个密钥更改设备来完成密钥的更改，对此不进行限定。

其中，本申请实施例中所提及到的安全模块可以为安全模块(Secure Element，SE)芯片。

本申请实施例提供了一种更改安全模块中密钥的方法，该方法应用于安装有安全模块的智能设备，也即，该方法的执行主体为安装有安全模块的智能设备。可选的，该方法的执行主体可以为安装在该智能设备上的更改安全模块中密钥的装置。其中，本申请实施例中所提及到的智能设备可以为门禁设备、或移动支付设备等。

图2为本申请实施例提供的更改安全模块中密钥的方法的第一种流程示意图，如图2所示，该方法至少包括如下步骤：

步骤202，在建立密钥更改设备与智能设备之间的连接后，获取密钥更改设备发送的对安全模块中的指定目录下的目标密钥进行更改的密钥更改指令。

步骤202可以为：在建立密钥更改设备与智能设备之间的连接后，密钥更改设备向智能设备发送密钥更改指令，该密钥更改指令用于对安全模块中指定目录下的目标密钥进行更改；智能设备接收密钥更改设备发送的密钥更改指令。

其中，密钥更改设备可以为CPU卡。CPU卡相当于一台微型计算机，CPU卡内的集成电路中带有微型处理器CPU、存储单元以及芯片操作系统等。密钥更改设备具有数据存储功能、命令处理以及数据安全保护等功能。

上述密钥更改设备可以理解为独立的设备。发卡器预先将需要更改的密钥所对应的新密钥写入该密钥更改设备的某个目录下。这样，智能设备就可以基于密钥更改设备对智能设备的安全模块中的目标密钥进行更改。

可选的，在一种实施方式中，若密钥更改设备为CPU卡，则用户可以将CPU卡贴在智能设备的卡片识别区域，从而建立密钥更改设备与智能设备之间的射频连接。

在上述步骤202中，智能设备可以通过智能设备中的射频模块读取密钥更改设备触发的密钥更改指令。

步骤204，验证该智能设备是否具有从密钥更改设备读取新密钥的第一权限，以及，验证该智能设备是否具有对安全模块中的目标密钥进行更改的第二权限；若是，则执行步骤206；否则，结束。

可选的，在一种实施方式中，智能设备可以采用对密钥更改设备进行外部认证的方式，验证智能设备是否具有上述第一权限。

可选的，在一种实施方式中，智能设备可以采用对安全模块进行外部认证的方式，验证智能设备是否具有上述第二权限。

其中，智能设备需要同时具备上述第一权限和第二权限，才可以执行对安全模块中的密钥进行更改的操作。其余情况，如智能设备只具备第一权限，或者只具备第二权限，或者既不具备第一权限，也不具备第二权限，则智能设备均不能执行对安全模块中的密钥进行更改的操作。

步骤206，读取密钥更改设备内存储的新密钥。

其中，上述新密钥为通过发卡器预先写入密钥更改设备的。

步骤208，将安全模块中指定目录下的目标密钥更改为上述新密钥。

本申请实施例提供的更改安全模块中密钥的方法，预先在密钥更改设备中写入需要更改的目标密钥所对应的新密钥，并建立密钥更改设备与智能设备之间的连接。这样，智能设备可以获取到密钥更改设备触发的对安全模块中指定目录下的目标密钥进行更改的密钥更改指令，在验证智能设备具有从密钥更改设备读取新密钥的第一权限，以及智能设备具有对安全模块中指定目录下的目标密钥进行更改的第二权限后，则基于密钥更改设备内存储的新密钥对安全模块中的密钥进行更改。

为便于理解本申请实施例提供的方法，下述将一一介绍上述各个步骤的具体实现过程。

可选的，在一种实施方式中，上述步骤204中，验证智能设备是否具有从密钥更改设备读取数据的第一权限，可以包括如下过程：

对密钥更改设备进行外部认证；若密钥更改设备的外部认证通过，则确定智能设备具有上述第一权限。

可选的，上述对密钥更改设备进行外部认证，可以通过如下过程实现：

基于安全模块中所存储的加密密钥，对密钥更改设备所产生的第一随机数进行加密，得到第一随机数所对应的第一密文数据；

将第一密文数据携带在外部认证指令中发送给密钥更改设备，以使密钥更改设备基于第一密文数据进行外部认证，以及在外部认证通过时，将新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值；其中，第一状态值表征新密钥所属目录下的新密钥可被读取。

可选的，在一种实施方式中，当需要对密钥更改设备进行外部认证时，密钥更改设备产生一个随机数。在本申请实施例中，为便于与安全模块产生的随机数进行区分，将密钥更改设备所产生的随机数记为第一随机数。

密钥更改设备在产生了第一随机数后，一方面将第一随机数临时保存在密钥更改设备内，另外一方面将第一随机数发送给智能设备，实现智能设备从密钥更改设备中获取第一随机数。

智能设备获取安全模块中所存储的加密密钥；利用所获取的加密密钥，对第一随机数进行加密，得到第一随机数所对应的第一密文数据；向密钥更改设备发送外部认证指令，该外部认证指令携带第一密文数据。

密钥更改设备接收外部认证指令，从外部认证指令中获取第一密文数据，对第一密文数据进行解密，得到第一明文数据；若第一明文数据与第一随机数相同，则确定外部认证通过；若第一明文数据与第一随机数不同，则确定外部认证未通过。

在外部认证通过时，密钥更改设备将新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值。

可选的，在一种实施方式中，当需要对密钥更改设备进行外部认证时，密钥更改设备会产生一个随机数。在本申请实施例中，为便于与安全模块产生的随机数进行区分，将密钥更改设备所产生的随机数记为第一随机数。

密钥更改设备在产生了第一随机数后，一方面将第一随机数临时保存在密钥更改设备内，另外一方面将第一随机数发送给智能设备，由智能设备将第一随机数发送给安全模块，以使安全模块基于其所存储的加密密钥对第一随机数进行加密，得到第一随机数所对应的第一密文数据。

安全模块将第一密文数据返回给智能设备。智能设备向密钥更改设备发送外部认证指令，该外部认证指令中携带有第一密文数据。

密钥更改设备在接收到外部认证指令后，基于新密钥所属目录下的外部认证密钥，对第一随机数进行加密，得到第一随机数所对应的密文数据。密钥更改设备将自身加密得到的密文数据与第一密文数据进行比对。若两者相同，则密钥更改设备确定密钥更改设备外部认证通过。这时，密钥更改设备将新密钥所属目录所对应的安全状态寄存器的状态值更改为第一状态值。当该安全状态寄存器的状态值为第一状态值时，表征新密钥所属目录下的文件可被读取。这种情况下，若接收到智能设备发送的新密钥读取指令后，则密钥更改设备允许智能设备读取该新密钥所属目录下所存储的新密钥。

若密钥更改设备加密得到的密文数据与第一密文数据不同，则密钥更改设备确定密钥更改设备外部认证未通过。

本申请实施例中，密钥更改设备中的目录可以分为主目录和子目录。对于密钥更改设备而言，可以一个主目录对应一个安全状态寄存器，也可以一个子目录对应一个安全状态寄存器。

例如，在一种实施方式中，密钥更改设备所对应的目录结构如图3(a)所示，在图3 (a)所示目录结构下，用于对安全模块中的目标密钥进行更改的新密钥存储在子目录1下的二进制文件中。

针对该种情况，密钥更改设备在对第一随机数进行加密时，则使用子目录1所对应的外部认证密钥对第一随机数进行加密。另外，针对图3(a)所示情况，在密钥更改设备外部认证通过后，将子目录1所对应的安全状态寄存器的状态值更改为第一状态值。这样，智能设备可以读取子目录1下所存储的新密钥。

本申请实施例中，对于密钥更改设备而言，一个子目录对应一个安全状态寄存器。这样，在使用某个子目录所对应的外部认证密钥，对密钥更改设备进行外部认证通过后，密钥更改设备只能修改该子目录所对应的安全状态寄存器的状态值，其他子目录所对应的安全状态寄存器的状态值保持不变，从而保证了其他子目录下的文件的安全性。

可选的，在一种实施方式中，上述步骤204中，验证智能设备是否具有对安全模块中的密钥进行更改的第二权限，可以包括如下过程：

对安全模块进行外部认证；若安全模块的外部认证通过，则确定智能设备具有上述第二权限。

可选的，智能设备可以通过如下过程，对安全模块进行外部认证：

将安全模块所产生的第二随机数发送给密钥更改设备，以使密钥更改设备基于其所存储的认证密钥对第二随机数进行加密，得到第二随机数所对应的第二密文数据；获取密钥更改设备所产生的第二密文数据，将第二密文数据携带在外部认证指令中发送给安全模块，以使安全模块基于第二密文数据进行外部认证，以及在外部认证通过时，将指定目录所对应的安全状态寄存器的值修改为第二状态值；其中，第二状态值表征该指定目录下的目标密钥可被更改。

可选的，在一种实施方式中，当需要对安全模块进行外部认证时，安全模块会产生一个随机数。在本申请实施例中，为便于与密钥更改设备所产生的随机数进行区分，将安全模块所产生的随机数记为第二随机数。安全模块在产生了第二随机数后，一方面将第二随机数临时保存在安全模块中，另一方面将第二随机数发送给智能设备。

密钥更改设备接收到第二随机数，基于其所存储的认证密钥，对第二随机数进行加密，得到第二随机数所对应的第二密文数据。智能设备从密钥更改设备中获取第二密文数据，向安全模块发送外部认证指令，该外部认证指令携带第二密文数据。

安全模块从外部认证指令中获取第二密文数据；安全模块可以对第二密文数据进行解密，得到第二明文数据；若第二明文数据与第二随机数相同，则确定外部认证通过；若第二明文数据与第二随机数不同，则确定外部认证未通过。

在外部认证通过时，安全模块将指定目录所对应的安全状态寄存器的状态值修改为第二状态值。

可选的，在一种实施方式中，当需要对安全模块进行外部认证时，安全模块会产生一个随机数。在本申请实施例中，为便于与密钥更改设备所产生的随机数进行区分，将安全模块所产生的随机数记为第二随机数。安全模块在产生了第二随机数后，一方面将第二随机数临时保存在安全模块中，另一方面将第二随机数发送给智能设备，由智能设备将第二随机数发送给密钥更改设备。

密钥更改设备基于其所存储的内部认证密钥对第二随机数进行加密，得到第二随机数所对应的第二密文数据；密钥更改设备将第二密文数据返回给智能设备。

智能设备向安全模块发送外部认证指令，该外部认证指令中携带有第二密文数据。安全模块在接收到外部认证指令后，基于指定目录所对应的外部认证密钥对该第二随机数进行加密，将自身加密得到的密文数据与第二密文数据进行比对。

若两者相同，则安全模块确定安全模块外部认证通过。这时，安全模块将指定目录所对应的安全状态寄存器的状态值更改为第二状态值。当该安全状态寄存器的状态值为第二状态值时，表征该指定目录下的密钥可被更改。这时，若安全模块接收到智能设备发送的密钥更改指令后，则安全模块允许对该指定目录下的目标密钥进行更改。

若安全模块加密得到的密文数据与第二密文数据不同，则安全模块确定安全模块外部认证未通过。

本申请实施例中，安全模块中的目录可以分为主目录和子目录。对于安全模块而言，可以一个主目录对应一个安全状态寄存器，也可以一个子目录对应一个安全状态寄存器。

例如，在一种实施方式中，安全模块所对应的目录结构如图3(b)所示，主目录下包括子目录1-3。在本申请实施例中，则需要对安全模块所对应目录中的子目录2下的主控密钥进行更改。在这种情况下，安全模块在对第二随机数进行加密时，则使用子目录2所对应的外部认证密钥对第二随机数进行加密。

针对图3(b)所示的情况，在安全模块外部认证通过后，将子目录2所对应的安全状态寄存器的状态值更改为第二状态值。这样，智能设备可以对子目录2下所存储的主控密钥进行更改。

对于安全模块而言，一个子目录对应一个安全状态寄存器。这样，在使用某个子目录所对应的外部认证密钥，对安全模块进行外部认证通过后，安全模块只能修改该子目录所对应的安全状态寄存器的状态值，其他子目录所对应的安全状态寄存器的状态值保持不变，从而保证了其他子目录下的密钥的安全性。

在本申请实施例中，安全状态寄存器用于表征其所对应卡片(安全模块或者密钥更改设备)的安全状态。在一种实施方式中，安全状态寄存器可以对应16种安全状态，各个安全状态所对应的状态值可以为0XF0～0XFF。一种状态值对应一种权限，例如，可以将从密钥更改设备的子目录1下读取新密钥的权限所对应的状态值为0XF2，则只有密钥更改设备中子目录1所对应的安全状态寄存器的状态值为0XF2时，智能设备才可以读取子目录1下的新密钥。

为便于理解本申请实施例提供的方法，下述将以更改某门禁设备的SE芯片内的子目录2下的主控密钥为例，介绍本申请实施例提供的方法，且所采用的密钥更改设备为CPU卡，CPU卡中的新密钥存储在CPU卡的子目录1下。图4为本申请实施例提供的更改安全模块中密钥的方法的第二种流程示意图，如图4所示，该方法可以包括如下步骤：

步骤402，门禁设备读取贴在门禁设备的卡片识别区域内的CPU卡触发的对门禁设备的SE芯片中子目录2下的主控密钥进行更改的密钥更改指令。

本申请实施例中，CPU卡贴在门禁设备的卡片识别区域内，CPU卡触发对SE芯片中子目录2下的主控密钥进行更改的密钥更改指令。

步骤402可以为：门禁设备读取CPU卡触发的密钥更改指令。

步骤404，门禁设备从CPU卡读取第一随机数。

步骤406，门禁设备将第一随机数发送给SE芯片，SE芯片基于加密密钥对第一随机数进行加密，得到第一密文数据。

步骤406中，SE芯对第一随机数进行加密所采用的加密密钥可以为内部认证密钥。

步骤408，SE芯片将第一密文数据返回给门禁设备。

步骤410，门禁设备向CPU卡发送外部认证指令；其中，该外部认证指令中携带有第一密文数据。

步骤412，CPU卡基于子目录1所对应的外部认证密钥，对第一随机数进行加密，将加密得到的密文数据与第一密文数据进行比对。

步骤414，若两者一致，则CPU卡将子目录1所对应的安全状态寄存器的状态值更改为第一状态值。

其中，第一状态值表征CPU卡内子目录1下的新密钥可以被读取。

步骤416，门禁设备从SE芯片读取第二随机数。

步骤418，门禁设备将第二随机数发送给CPU卡，CPU卡基于其所存储的内部认证密钥对第二随机数进行加密，得到第二密文数据。

步骤420，CPU卡将第二密文数据返回给门禁设备。

步骤422，门禁设备向SE芯片发送外部认证指令；其中，该外部认证指令中携带有第二密文数据。

步骤424，SE芯片基于子目录2所对应的外部认证密钥对第二随机数进行加密，将加密得到的密文数据与第二密文数据进行比对。

步骤426，若两者一致，则SE芯片将子目录2所对应的安全状态寄存器的状态值更改为第二状态值。

其中，第二状态值表征SE芯片内子目录2下的密钥可以被更改。

步骤428，门禁设备读取CPU卡子目录1下的新密钥，并将SE芯片内子目录2下的主控密钥修改为该新密钥。

其中，图4所示实施例中各个步骤所对应的具体实现过程可参考图1所示实施例，此处不再赘述。

在图4所示实施例中，步骤402～步骤414对CPU卡进行外部认证的过程，与步骤416～步骤426对SE芯片进行外部认证的过程可以同时执行；也可以先执行对CPU卡进行外部认证的过程，再执行对SE芯片进行外部认证的过程；还可以先执行对SE芯片进行外部认证的过程，再执行对CPU卡进行外部认证的过程。上述图4指示以同时执行CPU卡外部认证的过程和SE芯片外部认证的过程为例进行示例性说明，并不构成对本申请实施例的限定。

对应于本申请实施例提供的更改安全模块中密钥的方法，基于相同的思路，本申请实施例还提供了一种更改安全模块中密钥的系统，如图5所示，该系统包括密钥更改设备510和安装有安全模块的智能设备520；

密钥更改设备510，用于在建立与智能设备之间的连接后，向智能设备发送对安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

智能设备520，用于接收密钥更改指令，验证智能设备是否具有从密钥更改设备读取新密钥的第一权限，以及，验证智能设备是否具有对安全模块中的目标密钥进行更改的第二权限；若验证结果指示智能设备具有第一权限和第二权限，则读取密钥更改设备内存储的新密钥；将安全模块中指定目录下的目标密钥更改为新密钥；其中，新密钥为通过发卡器预先写入密钥更改设备的。

可选地，智能设备520，具体可以用于：

对密钥更改设备进行外部认证；若密钥更改设备的外部认证通过，则确定智能设备具有从密钥更改设备读取数据的第一权限。

可选地，智能设备520，具体可以用于：

基于安全模块中所存储的加密密钥，对密钥更改设备所产生的第一随机数进行加密，得到第一随机数所对应的第一密文数据；将第一密文数据携带在外部认证指令中发送给密钥更改设备；

密钥更改设备510，还可以用于接收第一密文数据，基于第一密文数据进行外部认证，以及在外部认证通过时，将新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值；其中，第一状态值表征新密钥所属目录下的新密钥可被读取。

可选地，智能设备520，具体可以用于：

对安全模块进行外部认证；若安全模块的外部认证通过，则确定智能设备具有对安全模块中的密钥进行更改的第二权限。

可选地，智能设备520，还可以用于：

将安全模块所产生的第二随机数发送给密钥更改设备；

密钥更改设备510，还可以用于基于其所存储的认证密钥对第二随机数进行加密，得到第二随机数所对应的第二密文数据；获取密钥更改设备所产生的第二密文数据，将第二密文数据携带在外部认证指令中发送给安全模块，以使安全模块基于第二密文数据进行外部认证，以及在外部认证通过时，将指定目录所对应的安全状态寄存器的状态值修改为第二状态值；其中，第二状态值表征指定目录下的目标密钥可被更改。

可选地，密钥更改设备为CPU卡。

本申请实施例所提供的更改安全模块中密钥的系统，密钥更改设备和智能设备所对应功能的具体实现过程，与图1-图4所对应方法实施例中各个步骤的具体实现过程相同，因此，密钥更改设备和智能设备所对应功能的具体实现过程可参考图1-图4所对应方法实施例，此处不再赘述。

本申请实施例提供的更改安全模块中密钥的系统，预先在密钥更改设备中写入需要更改的目标密钥所对应的新密钥，并建立密钥更改设备与智能设备之间的连接。这样，智能设备可以获取到密钥更改设备触发的对安全模块中指定目录下的目标密钥进行更改的密钥更改指令，在验证智能设备具有从密钥更改设备读取新密钥的第一权限，以及智能设备具有对安全模块中指定目录下的目标密钥进行更改的第二权限后，则基于密钥更改设备内存储的新密钥对安全模块中的密钥进行更改。

通过本申请实施例提供的系统，在不需要将安全模块从智能设备上拆卸下来的情况下，实现了对安全模块中所存储的密钥的更改，大大简化了安全模块中密钥更改操作。并且本申请实施例提供的系统中，通过验证智能设备是否具备从密钥更改设备读取密钥的权限，以及验证智能设备是否具备更改安全模块中的目标密钥的权限，还保证了安全模块中密钥的安全性。

相应于本申请实施例提供的一种更改安全模块中密钥的方法，本申请实施例提供一种更改安全模块中密钥的装置，应用于安装有安全模块的智能设备，其特征在于，装置包括：

获取单元，用于在建立密钥更改设备与智能设备之间的连接后，获取密钥更改设备发送的对安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

验证单元，用于验证智能设备是否具有从密钥更改设备读取新密钥的第一权限，以及，验证智能设备是否具有对安全模块中的目标密钥进行更改的第二权限；

读取单元，用于若验证结果指示智能设备具有第一权限和第二权限，则读取密钥更改设备内存储的新密钥；其中，新密钥为通过发卡器预先写入密钥更改设备的；

更改单元，用于将安全模块中指定目录下的目标密钥更改为新密钥。

相应于本申请实施例提供的一种更改安全模块中密钥的方法，本申请实施例提供一种计算机设备，参见图6所示，计算机设备包括处理器610、收发机620、存储器630和总线接口。其中：

计算机设备还包括：存储在存储器630上并可在所述处理器610上运行的计算机程序，所述计算机程序被所述处理器610执行时实现上述任一更改安全模块中密钥的方法中的各个步骤，且能达到相同的技术效果。为避免重复，这里不再赘述。

在图6中，总线架构可以包括任意数量的互联的总线和桥，用于处理器610代表的一个或多个处理器和存储器630代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供总线架构的接口。收发机620可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。

处理器610负责管理总线架构和通常的处理，存储器630可以存储处理器610在执行操作时所使用的数据。

相应于本申请实施例提供的一种更改安全模块中密钥的方法，本申请实施例提供一种计算机设备，包括处理器、通信接口、存储器和通信总线；其中，处理器、通信接口以及存储器通过总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序，实现上述任一更改安全模块中密钥的方法中的各个步骤。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质内存储有计算机程序，该计算机程序被处理器执行时实现上述更改安全模块中密钥的方法实施例的各个步骤，且能达到相同的技术效果。为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等。

本申请实施例还提供一种计算机程序，该计算机程序被处理器执行时实现上述任一更改安全模块中密钥的方法实施例的各个步骤，且能达到相同的技术效果。为避免重复，这里不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如 ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims

一种更改安全模块中密钥的方法，应用于安装有所述安全模块的智能设备，其特征在于，所述方法包括：

在建立密钥更改设备与所述智能设备之间的连接后，获取所述密钥更改设备发送的对所述安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

验证所述智能设备是否具有从所述密钥更改设备读取新密钥的第一权限，以及，验证所述智能设备是否具有对所述安全模块中的所述目标密钥进行更改的第二权限；

若验证结果指示所述智能设备具有所述第一权限和所述第二权限，则读取所述密钥更改设备内存储的新密钥；其中，所述新密钥为通过发卡器预先写入所述密钥更改设备的；

将所述安全模块中所述指定目录下的所述目标密钥更改为所述新密钥。
如权利要求1所述的方法，其特征在于，所述验证所述智能设备是否具有从所述密钥更改设备读取数据的第一权限，包括：

对所述密钥更改设备进行外部认证；若所述密钥更改设备的外部认证通过，则确定所述智能设备具有从所述密钥更改设备读取数据的第一权限。
如权利要求2所述的方法，其特征在于，所述对所述密钥更改设备进行外部认证，包括：

基于所述安全模块中所存储的加密密钥，对所述密钥更改设备所产生的第一随机数进行加密，得到所述第一随机数所对应的第一密文数据；

将所述第一密文数据携带在外部认证指令中发送给所述密钥更改设备，以使所述密钥更改设备基于所述第一密文数据进行外部认证，以及在外部认证通过时，将新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值；其中，所述第一状态值表征所述新密钥所属目录下的所述新密钥可被读取。
如权利要求1所述的方法，其特征在于，所述验证所述智能设备是否具有对所述安全模块中的密钥进行更改的第二权限，包括：

对所述安全模块进行外部认证；若所述安全模块的外部认证通过，则确定所述智能设备具有对所述安全模块中的密钥进行更改的第二权限。
如权利要求4所述的方法，其特征在于，所述对所述安全模块进行外部认证，包括：

将所述安全模块所产生的第二随机数发送给所述密钥更改设备，以使所述密钥更改设备基于其所存储的认证密钥，对所述第二随机数进行加密，得到所述第二随机数所对应的第二密文数据；

获取所述密钥更改设备所产生的所述第二密文数据，将所述第二密文数据携带在外部认证指令中发送给所述安全模块，以使所述安全模块基于所述第二密文数据进行外部认证，以及在外部认证通过时，将所述指定目录所对应的安全状态寄存器的状态值修改为第二状态值；其中，所述第二状态值表征所述指定目录下的所述目标密钥可被更改。
如权利要求1-5任一项所述的方法，其特征在于，所述密钥更改设备为中央处理器CPU卡。
一种更改安全模块中密钥的系统，其特征在于，所述系统包括密钥更改设备和安装有所述安全模块的智能设备；

所述密钥更改设备，用于在建立与所述智能设备之间的连接后，向所述智能设备发送对所述安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

所述智能设备，用于接收所述密钥更改指令，验证所述智能设备是否具有从所述密钥更改设备读取新密钥的第一权限，以及，验证所述智能设备是否具有对所述安全模块中的所述目标密钥进行更改的第二权限；若验证结果指示所述智能设备具有所述第一权限和所述第二权限，则读取所述密钥更改设备内存储的新密钥；将所述安全模块中所述指定目录下的所述目标密钥更改为所述新密钥；其中，所述新密钥为通过发卡器预先写入所述密钥更改设备的。
如权利要求7所述的系统，其特征在于，所述智能设备，具体用于：

对所述密钥更改设备进行外部认证；若所述密钥更改设备的外部认证通过，则确定所述智能设备具有从所述密钥更改设备读取数据的第一权限。
如权利要求8所述的系统，其特征在于，所述智能设备，具体用于：

基于所述安全模块中所存储的加密密钥，对所述密钥更改设备所产生的第一随机数进行加密，得到所述第一随机数所对应的第一密文数据；将所述第一密文数据携带在外部认证指令中发送给所述密钥更改设备；

所述密钥更改设备，还用于接收所述第一密文数据，基于所述第一密文数据进行外部认证，以及在外部认证通过时，将新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值；其中，所述第一状态值表征所述新密钥所属目录下的所述新密钥可被读取。
如权利要求7所述的系统，其特征在于，所述智能设备，具体用于：

对所述安全模块进行外部认证；若所述安全模块的外部认证通过，则确定所述智能设备具有对所述安全模块中的密钥进行更改的第二权限。
如权利要求10所述的系统，其特征在于，所述智能设备，还用于将所述安全模块所产生的第二随机数发送给所述密钥更改设备；

所述密钥更改设备，还用于基于其所存储的认证密钥，对所述第二随机数进行加密，得到所述第二随机数所对应的第二密文数据；

所述智能设备，还用于获取所述密钥更改设备所产生的所述第二密文数据，将所述第二密文数据携带在外部认证指令中发送给所述安全模块，以使所述安全模块基于所述第二密文数据进行外部认证，以及在外部认证通过时，将所述指定目录所对应的安全状态寄存器的状态值修改为第二状态值；其中，所述第二状态值表征所述指定目录下的所述目标密钥可被更改。
如权利要求7-11任一项所述的系统，其特征在于，所述密钥更改设备为中央处理器CPU卡。
一种更改安全模块中密钥的装置，应用于安装有所述安全模块的智能设备，其特征在于，所述装置包括：

获取单元，用于在建立密钥更改设备与所述智能设备之间的连接后，获取所述密钥更改设备发送的对所述安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

验证单元，用于验证所述智能设备是否具有从所述密钥更改设备读取新密钥的第一权限，以及，验证所述智能设备是否具有对所述安全模块中的所述目标密钥进行更改的第二权限；

读取单元，用于若验证结果指示所述智能设备具有所述第一权限和所述第二权限，则读取所述密钥更改设备内存储的新密钥；其中，所述新密钥为通过发卡器预先写入所述密钥更改设备的；

更改单元，用于将所述安全模块中所述指定目录下的所述目标密钥更改为所述新密钥。
一种计算机设备，其特征在于，包括处理器、通信接口、存储器和通信总线；其中，所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信；所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存放的程序，实现权利要求1-6任一所述的方法步骤。
一种计算机可读存储介质，其特征在于，所述存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
一种计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。