CN113486323A - 一种电动自行车电子标识个性化发行方法与*** - Google Patents

一种电动自行车电子标识个性化发行方法与*** Download PDF

Info

Publication number
CN113486323A
CN113486323A CN202110765365.3A CN202110765365A CN113486323A CN 113486323 A CN113486323 A CN 113486323A CN 202110765365 A CN202110765365 A CN 202110765365A CN 113486323 A CN113486323 A CN 113486323A
Authority
CN
China
Prior art keywords
electronic identification
electronic
card sender
issuing
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110765365.3A
Other languages
English (en)
Other versions
CN113486323B (zh
Inventor
蒋虎
许超
王军华
金涛
李志林
朱剑欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Traffic Management Research Institute of Ministry of Public Security
Original Assignee
Traffic Management Research Institute of Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Traffic Management Research Institute of Ministry of Public Security filed Critical Traffic Management Research Institute of Ministry of Public Security
Priority to CN202110765365.3A priority Critical patent/CN113486323B/zh
Publication of CN113486323A publication Critical patent/CN113486323A/zh
Application granted granted Critical
Publication of CN113486323B publication Critical patent/CN113486323B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10009Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves
    • G06K7/10257Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves arrangements for protecting the interrogation against piracy attacks
    • G06K7/10267Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation sensing by radiation using wavelengths larger than 0.1 mm, e.g. radio-waves or microwaves arrangements for protecting the interrogation against piracy attacks the arrangement comprising a circuit inside of the interrogation device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Electromagnetism (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种电动自行车电子标识个性化发行方法,其可以防止对电子标识的非法读写操作,可以保证数据安全的写入到电子标识中,进而保证电动自行车电子标识能够作为电动自行车的电子身份,准确可靠的标识每一辆电动自行车。本专利技术方案基于PKI体系构建证书管理体系,确保分散式部署的发行平台、电子标识发卡器之间能够建立安全链接关系;基于PKI证书体系,在电子标识发卡器中嵌入由电子标识管理机构核发的安全模块,确保只有合法的电子标识发卡器才能接入发行平台,只有合法的电子标识发卡器才能对合法的电子标识进行数据读写,为电子标识的个性化全流程提供信息安全防护机制;同时,本专利还公开了一种电动自行车电子标识个性化发行***。

Description

一种电动自行车电子标识个性化发行方法与***
技术领域
本发明涉及信息安全无线射频技术领域,具体为一种电动自行车电子标识个性化发行方法与***。
背景技术
为了规范电动自行车生产、销售和使用,电动自行车新国标《电动自行车安全技术规范》(GB17761-2018)强制性国家标准已于2019年4月15日正式实施, 新国标在确保交通参与者的生命财产安全和基本出行需求的前提下,对电动自行车的各项技术指标进行了规定。同时伴随着电动自行车新国标的实施,全国各地也掀起了一阵换发新式电动自行车号牌的热潮。
目前常用的电动自行车号牌发行可能的方式主要有两类,第一类是集中式发行,即,在一个指定部门对自行车号牌进行发行;这种发行方式可以在一定程度上保证发行过程的安全性,但是这种方式降低了发行过程的灵活性,使用体验不佳;第二类是分散式发行,即,在电动自行车销售网点等地点,顾客在购买电动自行车同时可以办理牌照。这种发行方式可以做到即发即用,效率较高,但是监管难度大。
为提升交管服务便利化,提高办事效率,电动自行车号牌大多采用分散式发行方式。即由电子标识管理机构向分散在各处的合法的发行平台进行授权,发行平台通过合法的电子标识发卡器将用户的个性化信息写入到电动自行车电子标识中,将电动自行车电子标识与电动自行车进行一对一绑定,完成电动自行车电子标识的发行工作。因此,电动自行车电子标识的发行方法必须保证个性化发行过程的安全可控,以及确保用户信息安全,降低发行后的电子号牌被非法改写操作的可能性。
发明内容
为了保证个性化发行过程的安全可控,以及确保用户信息安全,降低发行后的电子号牌被非法改写操作的可能性,本发明提供一种电动自行车电子标识个性化发行方法,其可以防止对电子标识的非法读写操作,可以保证数据安全的写入到电子标识中,进而保证电动自行车电子标识能够作为电动自行车的电子身份,准确可靠的标识每一辆电动自行车。同时,本专利还公开了一种电动自行车电子标识个性化发行***。
本发明的技术方案是这样的:一种电动自行车电子标识个性化发行方法,其特征在于,其包括以下步骤:
S1:基于PKI公钥基础设施的证书体系构建电子标识管理机构的证书管理结构;
由所述电子标识管理机构向发行平台颁发数字证书SysCert,进行授权认证;
每一个授权的电子标识发卡器的安全模块核发前,由所述电子标识管理机构向所述安全模块写入安全参数;
所述安全参数包括:数字证书ModCert、电子标识读写密钥、加解密密钥;
S2:在通过所述电子标识发卡器将标识数据写入待发行电子标识之前,先与所述发行平台进行双向身份认证;认证过程包括以下步骤:
a1:将所述电子标识发卡器接入所述发行平台;
a2:所述发行平台向所述电子标识发卡器发送请求随机数的数据帧;
所述电子标识发卡器生成随机数RNG1,并将随机数RNG1返回给所述发行平台;
a3:所述发行平台收到RNG1后,生成随机数RNG2,使用自身的私钥对RNG1||RNG2进行签名;
将RNG1、RNG2、签名值、数字证书SysCert作为平台验证数据发送给所述电子标识发卡器;
a4:所述电子标识发卡器收到所述平台验证数据后,比较所述平台验证数据中的随机数RNG1和本地的随机数RNG1的一致性,
如果一致,则使用CA根证书验证所述发行平台的数字证书SysCert;
验证通过后,使用数字证书SysCert中的公钥对所述平台验证数据中的所述签名值进行验签;
验签通过,则所述电子标识发卡器完成对所述发行平台的身份认证;
a5:所述电子标识发卡器生成一个新的随机数RNG3,使用发行平台公钥对RNG2||RNG3加密得到密文ENTEXT;
使用电子标识发卡器私钥对ENTEXT进行签名,得到发卡器签名,将ENTEXT、发卡器签名、电子标识发卡器数字证书ModCert一起作为发卡器验证数据,发送给所述发行平台;
a6:所述发行平台收到所述发卡器验证数据后,使用CA根证书验证发卡器数字证书ModCert;
验证通过后,使用发卡器数字证书ModCert的公钥对所述发卡器签名进行验签;
验签通过后,所述发行平台使用私钥解密ENTEXT得到明文,并比较所述发卡器验证数据中的随机数RNG2与本地的RNG2的一致性;
两个RNG2一致,则发行平台完成对电子标识发卡器的身份认证;
a7:将随机数RNG3作为本次双向身份认证后的通信过程中的临时会话密钥;
S3:认证通过后,所述发行平台生成标识数据,并将所述标识数据导出给所述电子标识发卡器;
S4:所述电子标识发卡器收到数据后,验证所述标识数据有效性;验证通过后,将所述标识数据加密后写入所述待发行电子标识,最后将写入结果上报给所述发行平台。
其进一步特征在于:
步骤S3中,包括以下步骤:
b1:所述发行平台生成待发行电子标识对应个性化数据PDATA;
b2: 所述发行平台使用RNG3对PDATA加密,得到密文ENDATA;
b3: 所述发行平台使用发行平台私钥对ENDATA进行签名;
将ENDATA、ENDATA的签名值作为所述标识数据发送给所述电子标识发卡器;
步骤S4中,包括以下步骤:
c1: 所述电子标识发卡器用发行平台证书SysCert验证所述标识数据有效性;
c2:确认所述标识数据有效后,使用临时会话密钥RNG3解密得到个性化数据PDATA;
c3:对个性化数据PDATA加密,加密后的数据为:
INDIVDATA = E(个性化数据PADTA,个性化数据密钥),
其中:E为对称密码算法,
个性化数据密钥生成方式为:H(CARD_NO, 个性化数据根密钥) ,
其中,H为对称加密算法,CARD_NO为待发行电子标识的***;
c4: 所述电子标识发卡器与所述待发行电子标识进行连接,并进行双向身份认证;
c5:认证通过后,所述电子标识发卡器与所述待发行电子标识互相授权,建立本次安全识读通信环境;
c6: 所述电子标识发卡器将加密后数据INDIVDATA写入到所述待发行电子标识中;
c7: 所述电子标识发卡器将本次操作结果上报给所述发行平台,完成本操作;
步骤S4中,所述电子标识发卡器写入所述电子标识的信息数据还包括:
电动自行车号牌号码、电动自行车使用性质。
一种电动自行车电子标识个性化发行***,其包括:电子标识管理机构、电子标识发卡器、发行平台、电动自行车电子标识,其特征在于:所述电子标识发卡器包括安全模块,所述安全模块由所述电子标识管理机构核发与管理,所述电子标识管理机构使用唯一的序列号来标识每一块安全模块;
所述安全模块内部集成国密安全芯片,所述电子标识发卡器基于安全模块实现的功能包括:自身的工作权限控制,与所述发行平台的双向身份认证,与所述发行平台进行安全通信,实现个性化数据的解密验证、密钥存储与分散;与待发行的所述电子标识进行双向身份认证,实现标识数据安全写入;
所述电子标识管理机构负责电子标识的初始化,数字证书的签发管理,以及将所述安全模块的发行管理;
所述发行平台基于所述电子标识管理机构授权的***软件进行分散式部署;所述发行平台基于所述***软件生成所述标识数据发送给所述电子标识发卡器,并对每次电子标识的发行动作进行记录、存储;
所述电子标识安装在电动自行车号牌中,其内部存储信息数据包括:电动自行车电子身份信息、电动自行车号牌号码、电动自行车使用性质;所述电子标识中存储的信息均是加密后的信息。
其进一步特征在于:
所述电子标识具有授权访问机制和密码算法功能,所述电子标识包含芯片和天线,可直接与所述电子标识发卡器进行通信。
本发明提供的一种电动自行车电子标识个性化发行方法 ,基于PKI体系构建证书管理体系,确保分散式部署的发行平台、电子标识发卡器之间能够建立安全链接关系;基于PKI证书体系,在电子标识发卡器中嵌入由电子标识管理机构核发的安全模块,从硬件的角度,确保只有合法的电子标识发卡器才能接入发行平台,以及只有合法的电子标识发卡器才能对合法的电子标识进行合法地数据读写操作,为电子标识的个性化全流程提供信息安全防护机制;基于本专利的技术方案,可以防止对电子标识的非法读写操作,可以保证数据安全的写入到电子标识中,进而保证电动自行车电子标识能够作为电动自行车的电子身份,准确可靠的标识每一辆电动自行车。
附图说明
图1为本发明提供的电动自行车电子标识个性化发行***的结构示意图;
图2为本发明提供的电动自行车电子标识个性化发行方法的具体实施方式的流程图。
具体实施方式
如图1所示,本专利中的一种电动自行车电子标识个性化发行***,其包括:电子标识管理机构、电子标识发卡器、发行平台、电动自行车电子标识。
电子标识发卡器包括安全模块,安全模块由电子标识管理机构核发与管理,电子标识管理机构使用唯一的序列号来标识每一块安全模块;具体实现时,安全模块内部集成国密安全芯片,电子标识发卡器基于安全模块实现的功能包括:自身的工作权限控制,与发行平台的双向身份认证,与发行平台进行安全通信,实现个性化数据的解密验证、随机数生成、密钥存储与分散;与待发行的电子标识进行双向身份认证,实现标识数据安全写入。无论是电子标识发卡器与发行平台的交互、还是电子标识发卡器与电子标识之间的交互都必须基于安全模块、PKI证书体系进行双向的身份认证之后,才能进行合法的数据通信;基于国密安全芯片实现的安全模块,从硬件的角度对安全模块对安全性进行保证,降低了被非法仿制、冒充的可能性,尤其适用于分散式部署的发行平台、电子标识发卡器的安全管理。
电子标识管理机构负责电子标识的初始化,数字证书的签发管理,以及将安全模块的发行管理。专用安全模块中的数字证书、电子标识读写密钥、加解密密钥等安全参数均由电子标识管理机构进行初始化写入,且每一个安全模块都与一台电子标识发卡器唯一绑定,从而保证了只有得到电子标识管理机构授权的电子标识发卡器才能对电子标识进行读写操作。
发行平台基于电子标识管理机构授权的***软件进行分散式部署;发行平台基于***软件生成标识数据发送给电子标识发卡器,并对每次电子标识的发行动作进行记录、存储。通过电子标识管理机构发行并维护的***软件的方式构建发行平台,构建方式简单,容易实现,尤其适用于分散式部署的***的构建。
电子标识安装在电动自行车号牌中,其内部存储信息数据包括:电动自行车电子身份信息、电动自行车号牌号码、电动自行车使用性质。
为了确保空中接口的信息安全,电子标识中存储的信息均是加密后的信息,加密方式为E(个性化数据,个性化数据密钥),其中E为对称密码算法,个性化数据密钥由根密钥分散而来,具体的生成方式为H(CARD_NO,个性化数据根密钥),其中H为对称密码算法,CARD_NO为电子标识的***。
电子标识具有授权访问机制和密码算法功能,电子标识包含芯片和天线,采用无源RFID无线射频技术,可直接与电子标识发卡器进行通信。本专利技术方案中的电子标识与电子标识发卡器通信过程中基于安全模块、PKI证书体系建立无线的网络安全链接关系,不但可以很方便、快速与电子标识发卡器进行数据通信,同时操作简单,尤其适用于电动自行车的车牌电子标识发布这种需要快速操作的应用场景。
如图2所示,基于本发明电动自行车电子标识个性化发行***实现的发行方法,其包括以下步骤。
S1:基于PKI公钥基础设施的证书体系构建电子标识管理机构的证书管理结构;
本专利技术方中,采用PKI体系为分散部署的各个认证实体颁发数字证书,可以实现他们之间的互认验证,实现对个性化发行过程进行更加灵活的管理,同时使用PKI体系所具备的不可抵赖性和机密性,可以实现高安全性和强认证性;
由电子标识管理机构向发行平台颁发数字证书SysCert,进行授权认证;
每一个授权的电子标识发卡器的安全模块核发前,由电子标识管理机构向安全模块写入安全参数;
安全参数包括:数字证书ModCert、电子标识读写密钥、加解密密钥。
S2:在通过电子标识发卡器将标识数据写入待发行电子标识之前,先与发行平台进行双向身份认证;具体实现时,电子标识发卡器与个性化发行平台进行基于数字证书进行非对称SM2加密算法的双向身份认证。通过双向身份认证,确保只有合法的电子标识发卡器才能接入到发行平台中,避免了非法电子标识发卡器的接入。
基于PKI体系,需要双向身份认证的双方都已拥有了电子标识管理机构颁发的数字证书,本专利技术方案中,设置双方通过非对称算法SM2进行双向身份认证,无需再保存或者共享同一个密钥,对于分散部署的个性化***来说,简化了***结构,提高了灵活性。
认证过程包括以下步骤。
a1:将电子标识发卡器接入发行平台;
a2:发行平台向电子标识发卡器发送请求随机数的数据帧;
电子标识发卡器生成随机数RNG1,并将随机数RNG1返回给发行平台;
基于随机数进行认证,防止非法用户截取通信数据后,使用非法电子标识发卡器与发行平台进行身份认证,确保只有授权的电子表示发卡器能够通过身份认证;
a3:发行平台收到RNG1后,生成随机数RNG2,使用自身的私钥对RNG1||RNG2进行签名,得到签名K1;
K1 = Sign(RNG1||RNG2,发行平台私钥);
其中,Sign为签名算法;
将RNG1、RNG2、K1、发行平台的数字证书SysCert作为平台验证数据发送给电子标识发卡器;
a4:电子标识发卡器收到平台验证数据后,比较平台验证数据中的随机数RNG1和本地的随机数RNG1的一致性;
如果一致,则使用CA根证书验证发行平台的数字证书SysCert;
验证通过后,使用数字证书SysCert中的公钥对平台验证数据中的签名值进行验签;
验签通过,则电子标识发卡器完成对发行平台的身份认证;
a5:电子标识发卡器生成一个新的随机数RNG3,使用发行平台公钥对RNG2||RNG3加密得到密文ENTEXT;
ENTEXT =E (RNG2||RNG3,发行平台公钥);
其中,E为对称密码算法;
使用电子标识发卡器私钥对ENTEXT进行签名,得到发卡器签名K2;
K2 = Sign(ENTEXT,发卡器私钥);
将ENTEXT、发卡器签名K2、电子标识发卡器数字证书ModCert一起作为发卡器验证数据,发送给发行平台;
a6:发行平台收到发卡器验证数据后,使用CA根证书验证发卡器数字证书ModCert;
验证通过后,使用发卡器数字证书ModCert的公钥对发卡器签名进行验签;
验签通过后,发行平台使用私钥解密ENTEXT得到明文,并比较发卡器验证数据中的随机数RNG2与本地的RNG2的一致性;
两个RNG2一致,则发行平台完成对电子标识发卡器的身份认证;
a7:将随机数RNG3作为本次双向身份认证后的通信过程中的临时会话密钥;用于对关键的个性化数据进行加密保护,保证通信链路上的信息安全。
S3:认证通过后,发行平台生成标识数据,并将标识数据导出给电子标识发卡器;标识数据以密文的方式写入电子标识发卡器,降低了数据中途被截获,发生信息泄漏的可能性。
包括以下步骤:
b1:发行平台生成待发行电子标识对应个性化数据PDATA;
其中,需要写入到电子标识中的个性话数据PDATA包括:电动自行车电子身份信息、电动自行车号牌号码、电动自行车使用性质;
b2: 发行平台使用RNG3对PDATA加密,得到密文ENDATA;
ENDATA = E(PDATA,RNG3);
其中,E为对称密码算法;
b3: 发行平台使用发行平台私钥对ENDATA进行签名,得到签名K3;
K3 = Sign(ENDATA,发行平台私钥);
将ENDATA、签名值K3作为标识数据发送给电子标识发卡器。
S4:电子标识发卡器收到数据后,验证标识数据有效性;验证通过后,将标识数据加密后写入待发行电子标识,最后将写入结果上报给发行平台。电子标识发卡器与电子标识通信之前,也需要进行双向身份认证,即避免了非法发卡器对电子标识的读写,也避免了非法电子标识被冒用的可能性。
具体包括以下步骤:
c1: 电子标识发卡器用发行平台证书SysCert验证标识数据有效性;
c2:确认标识数据有效后,使用临时会话密钥RNG3解密得到个性化数据PDATA;
c3: 为了保证电子标识数据的安全私密性,对个性化数据PDATA加密,加密后的数据为:
INDIVDATA = E(个性化数据PADTA,个性化数据密钥),
其中:E为对称密码算法,
个性化数据密钥生成方式为:H(CARD_NO, 个性化数据根密钥) ,
其中,H为对称加密算法,CARD_NO为待发行电子标识的***;
c4: 电子标识发卡器与待发行电子标识进行连接,并进行双向身份认证;具体实现时,电子标识发卡器与电子标识的双向身份验证,基于现有的认证方法实现即可;如申请号201410439094 .2的发明专利《隐藏超高频电子标签识别号的安全认证方法》;
c5:认证通过后,电子标识发卡器与待发行电子标识互相授权,建立本次安全识读通信环境;
c6: 电子标识发卡器将加密后数据INDIVDATA写入到待发行电子标识中;
c7: 电子标识发卡器将本次操作结果上报给发行平台,完成本操作。
本专利中,电子标识发卡器与发行平台的双向身份认证、个性化数据的解密验证、密钥的存储和电子标识的读写操作控制等功能,均由电子标识发卡器内嵌入的安全模块实现。
使用本发明的技术方案后,本发明提供的电动自行车电子标识个性化发行方法,通过电子标识发卡器和个性化发行的***的双向身份认证,提高了电子标识个性化发行环节的安全可靠性,同时通过内嵌有电子标识安全模块的电子标识发卡器,可以对电子标识的读写权限进行可靠的管控,同时也保障了读写操作的合法性,确保了电动自行车电子标识作为电动自行车电子身份的合法性,维护了道路交通秩序和每一位交通参与者的有效权益。

Claims (6)

1.一种电动自行车电子标识个性化发行方法,其特征在于,其包括以下步骤:
S1:基于PKI公钥基础设施的证书体系构建电子标识管理机构的证书管理结构;
由所述电子标识管理机构向发行平台颁发数字证书SysCert,进行授权认证;
每一个授权的电子标识发卡器的安全模块核发前,由所述电子标识管理机构向所述安全模块写入安全参数;
所述安全参数包括:数字证书ModCert、电子标识读写密钥、加解密密钥;
S2:在通过所述电子标识发卡器将标识数据写入待发行电子标识之前,先与所述发行平台进行双向身份认证;认证过程包括以下步骤:
a1:将所述电子标识发卡器接入所述发行平台;
a2:所述发行平台向所述电子标识发卡器发送请求随机数的数据帧;
所述电子标识发卡器生成随机数RNG1,并将随机数RNG1返回给所述发行平台;
a3:所述发行平台收到RNG1后,生成随机数RNG2,使用自身的私钥对RNG1||RNG2进行签名;
将RNG1、RNG2、签名值、数字证书SysCert作为平台验证数据发送给所述电子标识发卡器;
a4:所述电子标识发卡器收到所述平台验证数据后,比较所述平台验证数据中的随机数RNG1和本地的随机数RNG1的一致性,
如果一致,则使用CA根证书验证所述发行平台的数字证书SysCert;
验证通过后,使用数字证书SysCert中的公钥对所述平台验证数据中的所述签名值进行验签;
验签通过,则所述电子标识发卡器完成对所述发行平台的身份认证;
a5:所述电子标识发卡器生成一个新的随机数RNG3,使用发行平台公钥对RNG2||RNG3加密得到密文ENTEXT;
使用电子标识发卡器私钥对ENTEXT进行签名,得到发卡器签名,将ENTEXT、发卡器签名、电子标识发卡器数字证书ModCert一起作为发卡器验证数据,发送给所述发行平台;
a6:所述发行平台收到所述发卡器验证数据后,使用CA根证书验证发卡器数字证书ModCert;
验证通过后,使用发卡器数字证书ModCert的公钥对所述发卡器签名进行验签;
验签通过后,所述发行平台使用私钥解密ENTEXT得到明文,并比较所述发卡器验证数据中的随机数RNG2与本地的RNG2的一致性;
两个RNG2一致,则发行平台完成对电子标识发卡器的身份认证;
a7:将随机数RNG3作为本次双向身份认证后的通信过程中的临时会话密钥;
S3:认证通过后,所述发行平台生成标识数据,并将所述标识数据导出给所述电子标识发卡器;
S4:所述电子标识发卡器收到数据后,验证所述标识数据有效性;验证通过后,将所述标识数据加密后写入所述待发行电子标识,最后将写入结果上报给所述发行平台。
2.根据权利要求1所述一种电动自行车电子标识个性化发行方法,其特征在于:步骤S3中,包括以下步骤:
b1:所述发行平台生成待发行电子标识对应个性化数据PDATA;
b2: 所述发行平台使用RNG3对PDATA加密,得到密文ENDATA;
b3: 所述发行平台使用发行平台私钥对ENDATA进行签名;
将ENDATA、ENDATA的签名值作为所述标识数据发送给所述电子标识发卡器。
3.根据权利要求1所述一种电动自行车电子标识个性化发行方法,其特征在于:步骤S4中,包括以下步骤:
c1: 所述电子标识发卡器用发行平台证书SysCert验证所述标识数据有效性;
c2:确认所述标识数据有效后,使用临时会话密钥RNG3解密得到个性化数据PDATA;
c3:对个性化数据PDATA加密,加密后的数据为:
INDIVDATA = E(个性化数据PADTA,个性化数据密钥),
其中:E为对称密码算法,
个性化数据密钥生成方式为:H(CARD_NO, 个性化数据根密钥) ,
其中,H为对称加密算法,CARD_NO为待发行电子标识的***;
c4: 所述电子标识发卡器与所述待发行电子标识进行连接,并进行双向身份认证;
c5:认证通过后,所述电子标识发卡器与所述待发行电子标识互相授权,建立本次安全识读通信环境;
c6: 所述电子标识发卡器将加密后数据INDIVDATA写入到所述待发行电子标识中;
c7: 所述电子标识发卡器将本次操作结果上报给所述发行平台,完成本操作。
4.根据权利要求3所述一种电动自行车电子标识个性化发行方法,其特征在于:步骤S4中,所述电子标识发卡器写入所述电子标识的信息数据还包括:
电动自行车号牌号码、电动自行车使用性质。
5.一种电动自行车电子标识个性化发行***,其包括:电子标识管理机构、电子标识发卡器、发行平台、电动自行车电子标识,其特征在于:所述电子标识发卡器包括安全模块,所述安全模块由所述电子标识管理机构核发与管理,所述电子标识管理机构使用唯一的序列号来标识每一块安全模块;
所述安全模块内部集成国密安全芯片,所述电子标识发卡器基于安全模块实现的功能包括:自身的工作权限控制,与所述发行平台的双向身份认证,与所述发行平台进行安全通信,实现个性化数据的解密验证、密钥存储与分散;与待发行的所述电子标识进行双向身份认证,实现标识数据安全写入;
所述电子标识管理机构负责电子标识的初始化,数字证书的签发管理,以及将所述安全模块的发行管理;
所述发行平台基于所述电子标识管理机构授权的***软件进行分散式部署;所述发行平台基于所述***软件生成所述标识数据发送给所述电子标识发卡器,并对每次电子标识的发行动作进行记录、存储;
所述电子标识安装在电动自行车号牌中,其内部存储信息数据包括:电动自行车电子身份信息、电动自行车号牌号码、电动自行车使用性质;所述电子标识中存储的信息均是加密后的信息。
6.根据权利要求5所述一种电动自行车电子标识个性化发行***,其特征在于:所述电子标识具有授权访问机制和密码算法功能,所述电子标识包含芯片和天线,可直接与所述电子标识发卡器进行通信。
CN202110765365.3A 2021-07-07 2021-07-07 一种电动自行车电子标识个性化发行方法与*** Active CN113486323B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110765365.3A CN113486323B (zh) 2021-07-07 2021-07-07 一种电动自行车电子标识个性化发行方法与***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110765365.3A CN113486323B (zh) 2021-07-07 2021-07-07 一种电动自行车电子标识个性化发行方法与***

Publications (2)

Publication Number Publication Date
CN113486323A true CN113486323A (zh) 2021-10-08
CN113486323B CN113486323B (zh) 2023-05-12

Family

ID=77941509

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110765365.3A Active CN113486323B (zh) 2021-07-07 2021-07-07 一种电动自行车电子标识个性化发行方法与***

Country Status (1)

Country Link
CN (1) CN113486323B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114065795A (zh) * 2021-11-30 2022-02-18 高新兴智联科技有限公司 一种基于rfid电子车牌的便携式查验设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003069560A (ja) * 2001-08-23 2003-03-07 Kyocera Communication Systems Co Ltd 認証システム、情報端末、加入者識別子発行装置、公開鍵登録装置、認証方法、プログラムおよび記録媒体
WO2012151486A2 (en) * 2011-05-04 2012-11-08 Datacard Corporation System and method of using mobile devices to personalize and issue personalized identification documents
CN112347453A (zh) * 2020-11-11 2021-02-09 公安部交通管理科学研究所 一种汽车电子标识内嵌nfc芯片的数据安全写入方法及***
CN112669504A (zh) * 2020-12-24 2021-04-16 高新兴智联科技有限公司 基于社会化发行电子标识的门禁车辆识别方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003069560A (ja) * 2001-08-23 2003-03-07 Kyocera Communication Systems Co Ltd 認証システム、情報端末、加入者識別子発行装置、公開鍵登録装置、認証方法、プログラムおよび記録媒体
WO2012151486A2 (en) * 2011-05-04 2012-11-08 Datacard Corporation System and method of using mobile devices to personalize and issue personalized identification documents
CN112347453A (zh) * 2020-11-11 2021-02-09 公安部交通管理科学研究所 一种汽车电子标识内嵌nfc芯片的数据安全写入方法及***
CN112669504A (zh) * 2020-12-24 2021-04-16 高新兴智联科技有限公司 基于社会化发行电子标识的门禁车辆识别方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李文;李忠献;崔军;: "基于标识密码的密级标签控制模型", 计算机应用与软件 *
王长君等: "《机动车电子标识密钥管理***技术要求》(GB/T 37985-2019)国家标准解读", 《中国标准化》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114065795A (zh) * 2021-11-30 2022-02-18 高新兴智联科技有限公司 一种基于rfid电子车牌的便携式查验设备

Also Published As

Publication number Publication date
CN113486323B (zh) 2023-05-12

Similar Documents

Publication Publication Date Title
CN111368324B (zh) 一种基于区块链的可信电子证照平台***及其认证方法
CN101300808B (zh) 安全认证的方法和设置
US9686072B2 (en) Storing a key in a remote security module
US8724819B2 (en) Credential provisioning
CN101336436B (zh) 安全令牌和用于利用该安全令牌来认证用户的方法
US7539861B2 (en) Creating and storing one or more digital certificates assigned to subscriber for efficient access using a chip card
CN107358441B (zh) 支付验证的方法、***及移动设备和安全认证设备
CN112528250B (zh) 通过区块链实现数据隐私和数字身份的***及方法
CN101729244B (zh) 密钥分发方法和***
CN106067205B (zh) 一种门禁鉴权方法和装置
CN106953732B (zh) 芯片卡的密钥管理***及方法
CN109409884A (zh) 一种基于sm9算法的区块链隐私保护方案和***
CN101841525A (zh) 安全接入方法、***及客户端
CN112347453A (zh) 一种汽车电子标识内嵌nfc芯片的数据安全写入方法及***
CN104077814B (zh) 电子不停车收费***、设备、认证方法及交易方法
CN112150682A (zh) 一种智能门禁卡、智能门锁终端及智能门禁卡识别方法
KR100939725B1 (ko) 모바일 단말기 인증 방법
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及***
CN108460597B (zh) 一种密钥管理***及方法
JPH10336172A (ja) 電子認証用公開鍵の管理方法
CN113486323B (zh) 一种电动自行车电子标识个性化发行方法与***
CN108418692B (zh) 认证证书的在线写入方法
JP3863382B2 (ja) Icカードの更新方法及びシステム
TWI725623B (zh) 基於管理者自發行票券的點對點權限管理方法
CN106027482B (zh) 一种身份证读卡响应方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant