CN103051459B - 安全卡的交易密钥的管理方法和装置 - Google Patents
安全卡的交易密钥的管理方法和装置 Download PDFInfo
- Publication number
- CN103051459B CN103051459B CN201310018541.2A CN201310018541A CN103051459B CN 103051459 B CN103051459 B CN 103051459B CN 201310018541 A CN201310018541 A CN 201310018541A CN 103051459 B CN103051459 B CN 103051459B
- Authority
- CN
- China
- Prior art keywords
- transaction
- user
- transaction key
- encryption
- financial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明实施例提供了一种安全卡的交易密钥的管理方法和装置。该方法主要包括:金融平台获取安全卡片的用户的用户证书,提取出用户证书中的证书公钥,向金融加密机发送携带证书公钥和用户的基本信息的交易密钥申请请求;金融加密机按照设定的算法生成用户的交易密钥信息,并使用证书公钥对交易密钥信息进行加密,将加密后的交易密钥信息通过金融平台发送给安全卡片。本发明实施例借助金融平台、金融CA和金融加密机等硬件安全设备,在安全卡的金融交易请求数据生产的过程中综合运用了非对称密钥加解密技术和对称密钥加解密技术,将密钥被破译的风险等级降至最低,确保安全卡的金融交易数据的安全。
Description
技术领域
本发明涉及密钥管理技术领域,尤其涉及一种安全卡的交易密钥的管理方法和装置。
背景技术
随着科技的发展,智能便携设备用户持续增长,智能便携设备将传统的金融交易方式转换到移动用户,而且它还具有省时、省事、便捷、易操作等特性。
智能便携设备最主要的就是保证金融交易的安全性,如果智能便携设备的金融交易数据泄露将直接对用户的经济利益造成损失。因此,开发一种保证智能便携设备的金融交易的安全的方法是十分必要。
发明内容
本发明的实施例提供了一种安全卡的交易密钥的管理方法和装置,以保证安全卡金融交易数据的安全。
一种安全卡的交易密钥的管理方法,包括:
金融平台获取安全卡片的用户的用户证书,提取出所述用户证书中的证书公钥,向金融加密机发送携带所述证书公钥和所述用户的基本信息的交易密钥申请请求;
金融加密机接收到所述交易密钥申请请求后,按照设定的算法生成所述用户的交易密钥信息,并使用所述证书公钥对所述交易密钥信息进行加密,将加密后的交易密钥信息发送给所述金融平台;
所述金融平台将所述加密后的交易密钥信息发送给所述安全卡片。
一种安全卡的交易密钥的管理***,包括:
金融平台,用于获取安全卡片的用户的用户证书,提取出所述用户证书中的证书公钥,向金融加密机发送携带所述证书公钥和所述用户的基本信息的交易密钥申请请求;将所述金融加密机返回的加密后的交易密钥信息发送给安全卡片;
金融加密机,用于接收到所述交易密钥申请请求后,按照设定的算法生成所述用户的交易密钥信息,并使用所述证书公钥对所述交易密钥信息进行加密,将加密后的交易密钥信息发送给所述金融平台;
安全卡片,用于接收所述金融平台发送过来的交易密钥信息。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例借助金融平台、金融CA和金融加密机等硬件安全设备,在安全卡的金融交易请求数据生产的过程中综合运用了非对称密钥加解密技术和对称密钥加解密技术,将密钥被破译的风险等级降至最低,确保安全卡的金融交易数据的安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种安全卡的交易密钥的获取方法的处理流程示意图;
图2为本发明实施例二提供的一种安全卡的交易密钥的使用方法的处理流程示意图;
图3为本发明实施例三提供的一种安全卡的交易密钥的管理***的具体结构示意图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
该实施例提供的一种安全卡的交易密钥的获取方法的处理流程示意图如图1所示,包括如下的处理步骤:
步骤11、安全卡片首先生成用户的公私钥对,向金融平台发送携带上述用户的基本信息、用户公钥等信息的PKCS#10(Public-KeyCryptographyStandards,证书请求的公钥密码学标准)请求,上述用户为上述安全卡片的使用者。
步骤12、金融平台接收到上述PKCS#10请求后,向金融CA(certificateauthority,认证中心)发送携带上述用户的基本信息、用户公钥的用户证书申请请求。
步骤13、金融CA接收到上述用户证书申请请求后,生成上述用户的用户证书,该用户证书中包括证书公钥、有效期、颁发机构、用户的基本信息等信息,上述证书公钥的具体数值和上述用户公钥的具体数值相等。
步骤14、金融CA将上述用户证书发送给上述金融平台。
步骤15、金融平台接收到上述用户证书后,将上述用户证书在内部的存储器中进行存储。然后,提取出用户证书中的证书公钥、有效期、颁发机构等信息,向金融加密机发送携带证书公钥、用户的基本信息的交易密钥申请请求。
步骤16、金融加密机接收到上述交易密钥申请请求后,按照设定的算法生成上述用户的交易密钥信息,并使用证书公钥对交易密钥信息进行加密。
在实际应用中,上述交易密钥信息可以为多个交易密钥和每个交易密钥对应的索引。金融加密机将上述加密后的交易密钥信息在内部的存储器中进行存储。
步骤17、金融加密机把加密后的交易密钥信息返回给金融平台,金融平台将接收到的加密后的交易密钥信息在内部的存储器中进行存储。然后,将上述加密后的交易密钥信息返回给安全卡片。
步骤18、安全卡片接收到上述加密后的交易密钥信息后,使用用户私钥解密上述加密后的交易密钥信息,验证非对称密钥的正确性。在解密和验证成功后,安全卡片将上述加密后的交易密钥信息存储到内部的安全区中的存储器中。
实施例二
该实施例提供的一种安全卡的交易密钥的使用方法的处理流程示意图如图2所示,包括如下的处理步骤:
步骤21、安全卡片从安全区中提取出公钥加密后的交易密钥信息密文,安全卡片使用用户私钥解密公钥加密后的交易密钥密文得到交易密钥信息。当上述交易密钥信息为多个交易密钥和每个交易密钥对应的索引时,安全卡片从上述多个交易密钥中选取一个要使用的交易密钥,获取该交易密钥的索引。
步骤22、安全卡片使用选取的交易密钥对交易密码明文进行3DES-ECB(TripleDataEncryptionAlgorithm,三重数据加密算法-电子秘本方式)加密,得到加密后的交易密码密文。
步骤23、安全卡片使用UTF-8(8-bitUnicodeTransformationFormat,8比特统一码转换格式)编码方式获取交易请求报文的MD5摘要,再对上述MD5摘要进行补位处理,在MD5摘要的最后补8个字节值,该8个字节值为:’0x8000000000000000’。
安全卡片对上述已经补位的MD5摘要进行MAC(MessageAuthenticationCodes,消息的散列算法)计算,MAC计算采用标准的3DES-CBC(TripleDataEncryptionAlgorithm,三重数据加密算法-密文分组链接方式)算法,将最后一次DES运算的8字节输出数据的最左边的4字节数据作为MAC效验值。
步骤24、安全卡片向金融平台发送包含上述交易密码密文、所使用交易密钥的索引、MAC效验值等信息的金融交易请求。
步骤25、上述金融平台接收到上述金融交易请求后,将上述所使用交易密钥的索引、MAC效验值发送给金融加密机,金融加密机对上述所使用交易密钥的索引、MAC效验值进行验证,在验证通过后向金融平台返回验证通过信息,金融平台对上述金融交易请求进行后续的处理。
金融加密机在上述验证没有通过后向金融平台返回验证失败信息,金融平台向上述安全卡片返回交易失败消息。
实施例三
该实施例提供的一种安全卡的交易密钥的管理***的具体结构示意图如图3所示,包括如下的模块:
金融平台31,用于获取安全卡片的用户的用户证书,提取出所述用户证书中的证书公钥,向金融加密机发送携带所述证书公钥和所述用户的基本信息的交易密钥申请请求;将所述金融加密机返回的加密后的交易密钥信息发送给安全卡片;
金融加密机32,用于接收到所述交易密钥申请请求后,按照设定的算法生成所述用户的交易密钥信息,并使用所述证书公钥对所述交易密钥信息进行加密,将加密后的交易密钥信息发送给所述金融平台;
安全卡片33,用于接收所述金融平台发送过来的交易密钥信息。
具体的,所述的安全卡片33可以包括:
请求处理模块331,用于生成用户的公私钥对,向所述金融平台发送携带所述用户的基本信息、用户公钥的PKCS#10请求;
交易密钥验证模块332,用于接收到所述加密后的交易密钥信息后,使用用户私钥解密所述加密后的交易密钥信息,验证非对称密钥的正确性,在解密和验证成功后,安全卡片将所述加密后的交易密钥信息存储到安全区;
交易密钥使用模块333,用于从安全区中提取出加密后的交易密钥信息,使用用户私钥解密所述加密后的交易密钥信息得到交易密钥信息,从所述交易密钥信息中选取某一个交易密钥,获取该某一个交易密钥的索引;
使用所述某一个交易密钥对交易密码明文进行3DES-ECB加密,得到加密后的交易密码密文;
使用UTF-8编码方式获取交易请求报文的MD5摘要,再对上述MD5摘要进行补位处理,对补位后的MD5摘要进行MAC计算得到MAC效验值;
向所述金融平台发送包含所述交易密码密文、所述某一个交易密钥的索引、MAC效验值信息的金融交易请求。
具体的,所述的金融平台31,具体用于接收到所述PKCS#10请求后,向金融认证中心发送携带所述用户的基本信息、用户公钥的用户证书申请请求。
进一步地,所述的***还可以包括:
金融认证中心34,具体用于接收到所述用户证书申请请求后,生成所述用户的用户证书,该用户证书中包括证书公钥、有效期、颁发机构、用户的基本信息,将所述用户证书发送给所述金融平台。
用本发明实施例的***进行安全卡的交易密钥的管理的具体过程与前述方法实施例类似,此处不再赘述。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的设备中的模块可以按照实施例描述分布于实施例的设备中,也可以进行相应变化位于不同于本实施例的一个或多个设备中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
综上所述,本发明实施例借助金融平台、金融CA和金融加密机等硬件安全设备,在安全卡的金融交易请求数据生产的过程中综合运用了非对称密钥加解密技术和对称密钥加解密技术,将密钥被破译的风险等级降至最低,保证安全的密钥传输,安全的密钥管理,确保安全卡的金融交易数据的安全。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (3)
1.一种安全卡的交易密钥的管理方法,其特征在于,包括:
金融平台获取安全卡片的用户的用户证书,提取出所述用户证书中的证书公钥,向金融加密机发送携带所述证书公钥和所述用户的基本信息的交易密钥申请请求;
金融加密机接收到所述交易密钥申请请求后,按照设定的算法生成所述用户的交易密钥信息,并使用所述证书公钥对所述交易密钥信息进行加密,将加密后的交易密钥信息发送给所述金融平台;
所述金融平台将所述加密后的交易密钥信息发送给所述安全卡片;
所述的金融平台获取安全卡片的用户的用户证书,包括:
安全卡片生成用户的公私钥对,向金融平台发送携带所述用户的基本信息、用户公钥的证书请求的公钥密码学标准PKCS#10请求;
所述金融平台接收到所述PKCS#10请求后,向金融认证中心发送携带所述用户的基本信息、用户公钥的用户证书申请请求;
所述金融认证中心接收到所述用户证书申请请求后,生成所述用户的用户证书,所述用户证书中包括证书公钥、有效期、颁发机构、用户的基本信息,将所述用户证书发送给所述金融平台;
所述金融平台将所述加密后的交易密钥信息发送给所述安全卡片之后,还包括:
所述安全卡片接收到所述加密后的交易密钥信息后,使用用户私钥解密所述加密后的交易密钥信息,验证非对称密钥的正确性,在解密和验证成功后,安全卡片将所述加密后的交易密钥信息存储到安全区;
所述的方法还包括:
安全卡片从安全区中提取出加密后的交易密钥信息,使用用户私钥解密所述加密后的交易密钥信息得到交易密钥信息,从所述交易密钥信息中选取某一个交易密钥,获取该某一个交易密钥的索引;
所述安全卡片使用所述某一个交易密钥对交易密码明文进行3DES-ECB加密,得到加密后的交易密码密文;
所述安全卡片使用8比特统一码转换格式UTF-8编码方式获取交易请求报文的MD5摘要,再对上述MD5摘要进行补位处理,对补位后的MD5摘要进行消息的散列算法MAC计算得到MAC效验值;
所述安全卡片向所述金融平台发送包含所述交易密码密文、所述某一个交易密钥的索引、MAC效验值信息的金融交易请求。
2.根据权利要求1所述的安全卡的交易密钥的管理方法,其特征在于,所述的交易密钥信息包括多个交易密钥和每个交易密钥对应的索引。
3.一种安全卡的交易密钥的管理***,其特征在于,包括:
金融平台,用于获取安全卡片的用户的用户证书,提取出所述用户证书中的证书公钥,向金融加密机发送携带所述证书公钥和所述用户的基本信息的交易密钥申请请求;将所述金融加密机返回的加密后的交易密钥信息发送给安全卡片;
金融加密机,用于接收到所述交易密钥申请请求后,按照设定的算法生成所述用户的交易密钥信息,并使用所述证书公钥对所述交易密钥信息进行加密,将加密后的交易密钥信息发送给所述金融平台;
安全卡片,用于接收所述金融平台发送过来的交易密钥信息;所述安全卡片生成用户的公私钥对,所述安全卡片包括请求处理模块,用于生成用户的公私钥对,向所述金融平台发送携带所述用户的基本信息、用户公钥的PKCS#10请求;
所述的金融平台,具体用于接收到所述PKCS#10请求后,向金融认证中心发送携带所述用户的基本信息、用户公钥的用户证书申请请求;
所述金融认证中心,具体用于接收到所述用户证书申请请求后,生成所述用户的用户证书,该用户证书中包括证书公钥、有效期、颁发机构、用户的基本信息,将所述用户证书发送给所述金融平台;
所述的安全卡片还包括:
交易密钥验证模块,用于接收到所述加密后的交易密钥信息后,使用用户私钥解密所述加密后的交易密钥信息,验证非对称密钥的正确性,在解密和验证成功后,安全卡片将所述加密后的交易密钥信息存储到安全区;
交易密钥使用模块,用于从安全区中提取出加密后的交易密钥信息,使用用户私钥解密所述加密后的交易密钥信息得到交易密钥信息,从所述交易密钥信息中选取某一个交易密钥,获取该某一个交易密钥的索引;
使用所述某一个交易密钥对交易密码明文进行3DES-ECB加密,得到加密后的交易密码密文;
使用UTF-8编码方式获取交易请求报文的MD5摘要,再对上述MD5摘要进行补位处理,对补位后的MD5摘要进行MAC计算得到MAC效验值;
向所述金融平台发送包含所述交易密码密文、所述某一个交易密钥的索引、MAC效验值信息的金融交易请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310018541.2A CN103051459B (zh) | 2013-01-17 | 2013-01-17 | 安全卡的交易密钥的管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310018541.2A CN103051459B (zh) | 2013-01-17 | 2013-01-17 | 安全卡的交易密钥的管理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051459A CN103051459A (zh) | 2013-04-17 |
| CN103051459B true CN103051459B (zh) | 2016-04-06 |
Family
ID=48063967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310018541.2A Expired - Fee Related CN103051459B (zh) | 2013-01-17 | 2013-01-17 | 安全卡的交易密钥的管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103051459B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105279648A (zh) * | 2014-07-04 | 2016-01-27 | Ub特伦株式会社 | 利用密钥安全卡的网上银行登录***及其网上银行登录方法 |
| CN106251132B (zh) * | 2016-07-28 | 2020-03-31 | 恒宝股份有限公司 | 一种hce脱机安全性提升***及实现方法 |
| CN107256484B (zh) * | 2017-03-17 | 2021-01-15 | ***股份有限公司 | 移动支付转授权方法、及利用该方法实现的支付*** |
| CN107508796B (zh) * | 2017-07-28 | 2019-01-04 | 北京明朝万达科技股份有限公司 | 一种数据通信方法和装置 |
| CN107657452A (zh) * | 2017-09-20 | 2018-02-02 | 深圳怡化电脑股份有限公司 | 一种交易指令的处理方法及装置 |
| CN111585758A (zh) * | 2020-05-07 | 2020-08-25 | 成都农村商业银行股份有限公司 | 一种密钥管理平台及密钥管理方法 |
| CN113673993A (zh) * | 2020-05-14 | 2021-11-19 | 新开普电子股份有限公司 | 一种云端卡片加密方法及*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035135A (zh) * | 2007-04-27 | 2007-09-12 | 清华大学 | 适用于无/弱本地存储客户端***的数字证书*** |
| CN101631305A (zh) * | 2009-07-28 | 2010-01-20 | 交通银行股份有限公司 | 一种加密方法及*** |
| CN101931532A (zh) * | 2009-09-08 | 2010-12-29 | 北京握奇数据***有限公司 | 基于电信智能卡的数字证书管理方法及电信智能卡 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101393628B (zh) * | 2008-11-12 | 2012-08-08 | 飞天诚信科技股份有限公司 | 一种新型的网上安全交易***和方法 |
-
2013
- 2013-01-17 CN CN201310018541.2A patent/CN103051459B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035135A (zh) * | 2007-04-27 | 2007-09-12 | 清华大学 | 适用于无/弱本地存储客户端***的数字证书*** |
| CN101631305A (zh) * | 2009-07-28 | 2010-01-20 | 交通银行股份有限公司 | 一种加密方法及*** |
| CN101931532A (zh) * | 2009-09-08 | 2010-12-29 | 北京握奇数据***有限公司 | 基于电信智能卡的数字证书管理方法及电信智能卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051459A (zh) | 2013-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11356280B2 (en) | Personal device security using cryptocurrency wallets | |
| CN103051459B (zh) | 安全卡的交易密钥的管理方法和装置 | |
| CN101789865B (zh) | 一种用于加密的专用服务器及加密方法 | |
| CN101483518B (zh) | 一种用户数字证书私钥管理方法和*** | |
| CN102082790B (zh) | 一种数字签名的加/解密方法及装置 | |
| CN107425971B (zh) | 无证书的数据加/解密方法和装置、终端 | |
| CN101483654A (zh) | 实现认证及数据安全传输的方法及*** | |
| CN102664898A (zh) | 一种基于指纹识别的加密传输方法、装置及*** | |
| EP3841702A1 (en) | Method, user device, management device, storage medium and computer program product for key management | |
| CN108696518B (zh) | 区块链上用户通信加密方法、装置、终端设备及存储介质 | |
| CN103067160A (zh) | 一种加密sd卡的动态密钥生成的方法及*** | |
| CN102013975B (zh) | 一种密钥管理方法及*** | |
| CN105025019A (zh) | 一种数据安全分享方法 | |
| CN102801730A (zh) | 一种用于通讯及便携设备的信息防护方法及装置 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和*** | |
| CN104660397A (zh) | 密钥管理方法及*** | |
| CN102739403A (zh) | 动态令牌的身份认证方法及装置 | |
| CN110740116B (zh) | 一种多应用身份认证的***及方法 | |
| CN104202170A (zh) | 一种基于标识的身份认证***和方法 | |
| CN102938762B (zh) | 一种基于移动终端的文件安全管理*** | |
| CN102833077A (zh) | 金融ic及金融社保ic卡远程发卡数据传输加解密方法 | |
| US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
| CN102903226B (zh) | 智能电表通信的数据传输方法 | |
| CN106257859A (zh) | 一种密码使用方法 | |
| CN103916237A (zh) | 对用户加密密钥恢复进行管理的方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160406 Termination date: 20220117 |