CN114786160B - 一种nfc标签密钥管理*** - Google Patents

Abstract

本发明实施例涉及一种NFC标签密钥管理***，所述***包括：根密钥加密机、生产加密机群和验伪加密机群。根密钥加密机用于产生唯一的一级密钥并基于一级密钥为生产加密机群和验伪加密机群分散出对应的二级密钥，生产加密机群则基于二级密钥为每个NFC标签分散出一签一密的三级密钥，验伪加密机群则可基于二级密钥对每个NFC标签进行验伪。通过本发明***创建的密钥管理体系可降低NFC标签的仿冒几率，增强防伪性能。

Description

一种NFC标签密钥管理***

技术领域

本发明涉及数据处理技术领域，特别涉及一种NFC标签密钥管理***。

背景技术

使用射频标签(Radio Frequency Identification，RFID)作为防伪标签是一种常见的商品防伪手段。但这种常规防伪方案，受RFID标签采用明文存储的技术限制，是无法彻底解决因RFID标签数据泄露导致的RFID标签被仿制的问题，一旦仿制的RFID标签投入市场，那这种常规防伪方案也无法正确的识别出商品的真伪来。

为解决这个问题，我们对常规防伪方案使用的标签技术进行改进，以近场通信(Near Field Communication，NFC)标签替换RFID标签作为商品的防伪标签。与RFID标签明显不同的是NFC标签具有密钥装载功能以及基于密钥的数据加解密功能，该功能一方面可以使得存储在标签之上的数据以密文形式存在、不易被读取，另一方面可以在NFC标签与NFC标签操作设备之间建立数据操作权限的验证机制从而进一步提高数据的安全保护等级。采用NFC标签的改进防伪方案其安全等级会更高、标签仿冒几率会更小、防伪性能会更强。但这也需要在改进防伪方案中增加可对NFC标签进行密钥生产和密钥验伪的管理***。

发明内容

本发明的目的，就是针对现有技术的缺陷，提供一种NFC标签密钥管理***，该***包括：根密钥加密机、生产加密机群和验伪加密机群。其中，根密钥加密机用于产生唯一的一级密钥并基于一级密钥为生产加密机群和验伪加密机群分散出对应的二级密钥，生产加密机群则基于二级密钥为每个NFC标签分散出一签一密的三级密钥从而实现所需的标签密钥生产功能，验伪加密机群则可基于二级密钥对每个NFC标签进行验伪从而实现所需的标签密钥验伪功能。将本发明***增加到基于NFC标签的防伪***中，可建立防伪***的密钥生产与密钥验伪体系，提高防伪***的安全等级，降低***标签的仿冒几率，增强***的防伪性能。

为实现上述目的，本发明实施例提供了一种NFC标签密钥管理***，所述***包括：根密钥加密机、生产加密机群和验伪加密机群；

所述根密钥加密机分别与所述生产加密机群和所述验伪加密机群连接；所述根密钥加密机用于一级密钥生产处理得到对应的一级密钥并保存；所述根密钥加密机还用于对所述一级密钥进行二级密钥分散处理得到对应的二级密钥，并将所述二级密钥向所述生产加密机群和所述验伪加密机群发送；

所述生产加密机群包括生产加密机、生产备份加密机和生产任务分配终端；所述生产加密机分别与所述根密钥加密机和所述生产备份加密机连接；所述生产加密机用于进行第一二级密钥加载与备份处理；所述生产任务分配终端分别与所述生产加密机和所述生产备份加密机连接，还与***外部的标签生产设备连接；所述生产任务分配终端用于接收所述标签生产设备发送的第一标签UID数据，并调用所述生产加密机或所述生产备份加密机根据所述第一标签UID数据进行标签三级密钥生产处理得到对应的三级密钥，并将所述三级密钥向所述标签生产设备回发；

所述验伪加密机群包括验伪加密机、验伪备份加密机和验伪任务分配终端；所述验伪加密机分别与所述根密钥加密机和所述验伪备份加密机连接；所述验伪加密机用于进行第二二级密钥加载与备份处理；所述验伪任务分配终端分别与所述验伪加密机和所述验伪备份加密机连接，还与***外部的标签验伪设备连接；所述验伪任务分配终端用于接收所述标签验伪设备发送的随机数申请指令，并调用所述验伪加密机或所述验伪备份加密机进行随机数生成处理得到对应的申请随机数，并将所述申请随机数向标签验伪设备回发；所述验伪任务分配终端还用于接收所述标签验伪设备发送的第一明文数据、第一加密数据和第二标签UID数据，并调用所述验伪加密机或所述验伪备份加密机根据所述第一明文数据、所述第一加密数据和所述第二标签UID数据进行标签三级密钥验伪处理得到对应的验伪结果，并将所述验伪结果向所述标签验伪设备回发。

优选的，所述标签生产设备与NFC标签连接；所述标签生产设备用于向所述NFC标签发送UID获取指令，并将所述NFC标签回发的指令返回数据作为所述第一标签UID数据；并将所述第一标签UID数据向所述生产任务分配终端发送，并接收所述生产任务分配终端回发的所述三级密钥；并将所述三级密钥写入所述NFC标签；

所述标签验伪设备与所述NFC标签连接；所述标签验伪设备用于向所述NFC标签发送所述UID获取指令，并将所述NFC标签回发的指令返回数据作为所述第二标签UID数据；并向所述验伪任务分配终端发送所述随机数申请指令，并接收所述验伪任务分配终端回发的所述申请随机数作为所述第一明文数据；并向所述NFC标签发送携带了所述第一明文数据的内部认证指令，并将所述NFC标签回发的指令返回数据作为所述第一加密数据；并将所述第一明文数据、所述第一加密数据和所述第二标签UID数据向所述验伪任务分配终端发送，并接收所述验伪任务分配终端回发的所述验伪结果；并对所述验伪结果进行显示。

优选的，所述根密钥加密机具体用于在所述一级密钥生产处理时，通过加密机的多个加密键盘接收多个种子编码；并由得到的多个所述种子编码构成种子编码清单并保存；并按设定的种子编码组合规则对所有所述种子编码进行组合得到对应的种子编码组合序列；并将所述种子编码组合序列作为所述一级密钥并保存；并将所述一级密钥导出到密钥卡中进行备份。

优选的，所述根密钥加密机具体用于在所述对所述一级密钥进行二级密钥分散处理时，获取第一分散因子；并对所述第一分散因子进行字节取反得到对应的第一取反因子；并按第一分散因子+第一取反因子的拼接方式对所述第一分散因子和所述第一取反因子进行字节拼接生成对应的第二分散因子；并基于预设的第一加解密算法使用所述一级密钥对所述第二分散因子进行加密，并将加密结果作为对应的所述二级密钥；其中，所述第一加解密算法具体为国密SM4算法。

优选的，所述生产加密机还与管理员加密key连接；所述生产加密机具体用于在所述第一二级密钥加载与备份处理时，接收所述根密钥加密机发送的所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则于本地生成一个随机数记为第一随机数；并基于预设的第二加解密算法使用加载的所述二级密钥对所述第一随机数进行加密生成对应的第一加密随机数；并由所述第一随机数、所述第一加密随机数和所述二级密钥组成对应的第一备份数据组；并调用所述管理员加密key对所述第一备份数据组进行加密生成对应的第一备份加密数据；并将所述第一备份加密数据向对应的所述生产备份加密机发送；并接收所述生产备份加密机回发的第一备份结果；若所述第一备份结果为备份成功则所述第一二级密钥加载与备份处理成功；其中，所述第二加解密算法具体为国密SM1算法。

进一步的，所述生产备份加密机还与所述管理员加密key连接；所述生产备份加密机用于接收所述生产加密机发送的所述第一备份加密数据；并调用所述管理员加密key对所述第一备份加密数据进行解密得到对应的所述第一备份数据组；并从所述第一备份数据组中提取出所述第一随机数、所述第一加密随机数和所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则基于所述第二加解密算法使用加载的所述二级密钥对所述第一加密随机数进行解密生成对应的第一解密随机数；并对所述第一解密随机数与所述第一随机数是否匹配进行识别，若匹配则将所述第一备份结果设为备份成功，若不匹配则将所述第一备份结果设为备份失败并对本地加载的所述二级密钥进密钥失效处理；并将所述第一备份结果向所述生产加密机发送。

优选的，所述生产任务分配终端具体用于在所述调用所述验伪加密机或所述验伪备份加密机进行随机数生成处理时，对所述生产加密机当前是否报错、当前任务流量是否饱和进行确认；若确认所述生产加密机当前没有报错且当前任务流量没有饱和，则调用所述生产加密机进行随机数生成处理得到所述申请随机数；若确认所述生产加密机当前存在报错或当前任务流量已经饱和，则调用所述生产备份加密机进行随机数生成处理得到所述申请随机数。

优选的，所述生产任务分配终端具体用于在所述调用所述生产加密机或所述生产备份加密机根据所述第一标签UID数据进行标签三级密钥生产处理时，对所述生产加密机当前是否报错、当前任务流量是否饱和进行确认；若确认所述生产加密机当前没有报错且当前任务流量没有饱和，则将所述第一标签UID数据向所述生产加密机发送；若确认所述生产加密机当前存在报错或当前任务流量已经饱和，则将所述第一标签UID数据向所述生产备份加密机发送；并接收所述生产加密机或所述生产备份加密机回发的所述三级密钥；

所述生产加密机或所述生产备份加密机还用于接收所述生产任务分配终端发送的所述第一标签UID数据；并基于预设的第二加解密算法使用本地加载的所述二级密钥对所述第一标签UID数据进行加密生成对应的所述三级密钥；并将所述三级密钥向所述生产任务分配终端回发；其中，所述第二加解密算法具体为国密SM1算法。

优选的，所述验伪加密机还与管理员加密key连接；所述验伪加密机具体用于在所述第二二级密钥加载与备份处理时，接收所述根密钥加密机发送的所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则于本地生成一个随机数记为第二随机数；并基于预设的第二加解密算法使用加载的所述二级密钥对所述第二随机数进行加密生成对应的第二加密随机数；并由所述第二随机数、所述第二加密随机数和所述二级密钥组成对应的第二备份数据组；并调用所述管理员加密key对所述第二备份数据组进行加密生成对应的第二备份加密数据；并将所述第二备份加密数据向对应的所述验伪备份加密机发送；并接收所述验伪备份加密机回发的第二备份结果；若所述第二备份结果为备份成功则所述第二二级密钥加载与备份处理成功；其中，所述第二加解密算法具体为国密SM1算法。

进一步的，所述验伪备份加密机还与所述管理员加密key连接；所述验伪备份加密机用于接收所述验伪加密机发送的所述第二备份加密数据；并调用所述管理员加密key对所述第二备份加密数据进行解密得到对应的所述第二备份数据组；并从所述第二备份数据组中提取出所述第二随机数、所述第二加密随机数和所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则基于所述第二加解密算法使用加载的所述二级密钥对所述第二加密随机数进行解密生成对应的第二解密随机数；并对所述第二解密随机数与所述第二随机数是否匹配进行识别，若匹配则将所述第二备份结果设为备份成功，若不匹配则将所述第二备份结果设为备份失败并对本地加载的所述二级密钥进密钥失效处理；并将所述第二备份结果向所述验伪加密机发送。

优选的，所述验伪任务分配终端具体用于在所述调用所述验伪加密机或所述验伪备份加密机根据所述第一明文数据、所述第一加密数据和所述第二标签UID数据进行标签三级密钥验伪处理时，对所述验伪加密机当前是否报错、当前任务流量是否饱和进行确认；若确认所述验伪加密机当前没有报错且当前任务流量没有饱和，则将所述第一明文数据、所述第一加密数据和所述第二标签UID数据向所述验伪加密机发送；若确认所述验伪加密机当前存在报错或当前任务流量已经饱和，则将所述第一明文数据、所述第一加密数据和所述第二标签UID数据向所述验伪备份加密机发送；并接收所述生产加密机或所述生产备份加密机回发的所述验伪结果；

所述验伪加密机或所述验伪备份加密机还用于接收所述验伪任务分配终端发送的所述第一明文数据、所述第一加密数据和所述第二标签UID数据；并基于预设的第二加解密算法使用本地加载的所述二级密钥对所述第二标签UID数据进行加密生成对应的第一过程密钥；并基于预设的第三加解密算法使用所述第一过程密钥对所述第一加密数据进行解密得到对应的第二明文数据；并对所述第二明文数据与所述第一明文数据是否匹配进行识别，若匹配则将所述验伪结果设为验伪成功，若不匹配则将所述验伪结果设为验伪失败；并将所述验伪结果向所述验伪任务分配终端回发；其中，所述第二加解密算法具体为国密SM1算法，所述第三加解密算法具体为国密SM7算法。

本发明实施例提供了一种NFC标签密钥管理***，该***包括：根密钥加密机、生产加密机群和验伪加密机群。其中，根密钥加密机用于产生唯一的一级密钥并基于一级密钥为生产加密机群和验伪加密机群分散出对应的二级密钥，生产加密机群则基于二级密钥为每个NFC标签分散出一签一密的三级密钥从而实现所需的标签密钥生产功能，验伪加密机群则可基于二级密钥对每个NFC标签进行验伪从而实现所需的标签密钥验伪功能。将本发明***增加到基于NFC标签的防伪***中，为防伪***建立了密钥生产与密钥验伪体系，提高了防伪***的安全等级，降低了***标签的仿冒几率，增强了***的防伪性能。

附图说明

图1为本发明实施例提供的一种NFC标签密钥管理***的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种NFC标签密钥管理***的结构示意图，如图1所示，该NFC标签密钥管理***1包括：根密钥加密机11、生产加密机群12和验伪加密机群13。

(一)根密钥加密机11

根密钥加密机11分别与生产加密机群12和验伪加密机群13连接；根密钥加密机11用于一级密钥生产处理得到对应的一级密钥并保存；根密钥加密机11还用于对一级密钥进行二级密钥分散处理得到对应的二级密钥，并将二级密钥向生产加密机群12和验伪加密机群13发送。

这里，根密钥加密机11用于产生一个唯一的根密钥也就是一级密钥，并为与之连接的生产加密机群12和验伪加密机群13分发对应的二级密钥。

需要说明的是，在实际应用中生产加密机群12和验伪加密机群13是一一对应关系，二者使用的二级密钥相同；一个根密钥加密机11可以对接多对生产+验伪机群(生产加密机群12+验伪加密机群13)，每对生产+验伪机群内生产加密机群12和验伪加密机群13的二级密钥相同，但各对生产+验伪机群的二级密钥常规情况下是不同的。常规情况下，根密钥加密机11都部署在厂家总部，而各个生产+验伪机群则的部署则视情况而定，若按地区部署则在每个指定区域会部署至少一组生产+验伪机群，若按产品系列部署则会为每个产品系列搭建至少一组生产+验伪机群。例如，已知厂家A的密钥管理方案是按地区进行管理，那么根密钥加密机11作为厂家根密钥机会被置于总部，另外会在不同地区部署对应的地区生产+验伪机群，为达到区域控制的目的，不同地区生产+验伪机群的二级密钥是不同的；又例如，已知厂家B的密钥管理方案是按产品系列进行管理，那么根密钥加密机11作为厂家根密钥机会被置于总部，另外会为不同产品系列搭建对应的产品系列生产+验伪机群，不同产品系列生产+验伪机群的二级密钥也不是不同的。

在本发明实施例的一个具体实现方式中，根密钥加密机11具体用于在一级密钥生产处理时，通过加密机的多个加密键盘接收多个种子编码；并由得到的多个种子编码构成种子编码清单并保存；并按设定的种子编码组合规则对所有种子编码进行组合得到对应的种子编码组合序列；并将种子编码组合序列作为一级密钥并保存；并将一级密钥导出到密钥卡中进行备份。

这里，本发明实施例中的任一加密机都是带有键盘输入端口的加密终端设备，每个加密机的键盘输入端口都为加密键盘输入接口；其中，根密钥加密机11可带有多个加密键盘输入接口，并对接多个加密键盘。在生成一级密钥时，由多个人员分别在不同的加密键盘上输入一组定长的由数字和/或字符组成的编码构成对应的种子编码，根密钥加密机11则按设定的种子编码组合规则将这些种子编码拼接起来构成种子编码组合序列从而得到一级密钥。

需要说明的是，种子编码组合规则可以有多种实现规则，其中一种实现方式为按对应键盘标识进行顺序种子编码拼接，其中另一种实现方式为按对应键盘标识奇数在前、偶数在后从大到小的顺序进行种子编码拼接，其中又一种实现方式为按一种设定的拼接方式对各个种子编码拼接并对拼接得到的编码序列进行一次加密并将加密得到的编码序列作为种子编码组合序列；另外，种子编码组合规则还可具体实施方自行定义，在此就不做一一赘述。

需要说明的是，根密钥加密机11使用密钥卡对本机的一级密钥进行备份，并且在备份之前于本地预置了与密钥卡相同的传输密钥并约定了传输密钥对应的加解密算法(记为传输密钥加解密算法)。在本发明实施例的另一个具体实现方式中，根密钥加密机11具体用于将一级密钥导出到密钥卡中进行备份时，向密钥卡发送取随机数指令，并将密钥卡回发的指令返回数据作为密钥卡随机数；并基于约定的传输密钥加解密算法，使用本地的传输密钥对密钥卡随机数进行加密得到对应的密钥卡加密数据；并将携带了密钥卡加密数据的认证指令向密钥卡发送，并接收密钥卡回发的指令返回状态；若指令返回状态为指令成功状态，则基于约定的传输密钥加解密算法，使用传输密钥对本地的一级密钥进行加密生成对应的一级密钥加密数据；并将携带了一级密钥加密数据的密钥备份指令向密钥卡发送，并接收密钥卡回发的指令返回状态；若指令返回状态为指令成功状态则视密钥卡备份处理成功。

进一步的，在密钥卡端的操作步骤如下所示：密钥卡用于接收根密钥加密机11发送的取随机数指令，并于本地进行随机数生成处理，并将得到的密钥卡随机数作为指令返回数据向根密钥加密机11回发；并接收根密钥加密机11发送的认证指令，并从中提取出密钥卡加密数据；并基于约定的传输密钥加解密算法，使用本地的传输密钥对密钥卡加密数据进行解密得到密钥卡解密数据；并在密钥卡解密数据与密钥卡随机数匹配时，将指令返回状态设为指令成功状态向根密钥加密机11回发并在本地设置上位机验证状态为通过状态；并接收根密钥加密机11发送的密钥备份指令，并在上位机验证状态为通过状态时从密钥备份指令中提取出一级密钥加密数据；并基于约定的传输密钥加解密算法，使用本地的传输密钥对一级密钥加密数据进行解密得到对应的一级密钥；并采用乱序扰码的存储方式将一级密钥存入本地的密钥存储区；存储成功后将指令返回状态设为指令成功状态向根密钥加密机11回发。

需要说明的是，根密钥加密机11在本地一级密钥数据遭到破坏时，还使用密钥卡对本机的一级密钥进行恢复。与备份的准备工作类似，根密钥加密机11在恢复密钥之前要确保本地预置了与密钥卡相同的传输密钥并约定了传输密钥对应的加解密算法(传输密钥加解密算法)。在本发明实施例的另一个具体实现方式中，根密钥加密机11具体用于使用密钥卡对本机的一级密钥进行恢复时，向密钥卡发送取随机数指令，并将密钥卡回发的指令返回数据作为密钥卡随机数；并基于约定的传输密钥加解密算法，使用本地的传输密钥对密钥卡随机数进行加密得到对应的密钥卡加密数据；并将携带了密钥卡加密数据的认证指令向密钥卡发送，并接收密钥卡回发的指令返回状态；若指令返回状态为指令成功状态，则向密钥卡发送密钥导出指令，并将密钥卡的指令返回数据作为导出加密数据；并基于约定的传输密钥加解密算法，使用本地的传输密钥对导出加密数据进行解密生成对应的一级密钥；并对一级密钥进行本地密钥加载。

进一步的，在密钥卡端的操作步骤如下所示：密钥卡用于接收根密钥加密机11发送的取随机数指令，并于本地进行随机数生成处理，并将得到的密钥卡随机数作为指令返回数据向根密钥加密机11回发；并接收根密钥加密机11发送的认证指令，并从中提取出密钥卡加密数据；并基于约定的传输密钥加解密算法，使用本地的传输密钥对密钥卡加密数据进行解密得到密钥卡解密数据；并在密钥卡解密数据与密钥卡随机数匹配时，将指令返回状态设为指令成功状态向根密钥加密机11回发并在本地设置上位机验证状态为通过状态；并接收根密钥加密机11发送的密钥导出指令，并在上位机验证状态为通过状态时从本地的密钥存储区中读出一级密钥；并基于约定的传输密钥加解密算法，使用本地的传输密钥对一级密钥进行加密，并将加密结果作为指令返回数据向根密钥加密机11回发。

在本发明实施例的另一个具体实现方式中，根密钥加密机11具体用于在对一级密钥进行二级密钥分散处理时，获取第一分散因子；并对第一分散因子进行字节取反得到对应的第一取反因子；并按第一分散因子+第一取反因子的拼接方式对第一分散因子和第一取反因子进行字节拼接生成对应的第二分散因子；并基于预设的第一加解密算法使用一级密钥对第二分散因子进行加密，并将加密结果作为对应的二级密钥；其中，本发明实施例提及的第一加解密算法具体为国密SM4算法。

这里，本发明实施例中每个生产+验伪机群(生产加密机群12+验伪加密机群13)对应一个第一分散因子，在具体实施时可采用地区唯一编码或产品系列唯一编码对其进行赋值，其目的就是使得每个生产+验伪机群对应的第一分散因子都不相同，这样才能保证每个生产+验伪机群对应的二级密钥不相同。

(二)生产加密机群12

生产加密机群12包括生产加密机121、生产备份加密机122和生产任务分配终端123；

生产加密机121分别与根密钥加密机11和生产备份加密机122连接；生产加密机121用于进行第一二级密钥加载与备份处理；

生产任务分配终端123分别与生产加密机121和生产备份加密机122连接，还与***外部的标签生产设备2连接；生产任务分配终端123用于接收标签生产设备2发送的第一标签UID数据，并调用生产加密机121或生产备份加密机122根据第一标签UID数据进行标签三级密钥生产处理得到对应的三级密钥，并将三级密钥向标签生产设备2回发。

进一步的，在***外部的标签生产设备2侧：标签生产设备2与NFC标签4连接；标签生产设备2用于向NFC标签4发送UID获取指令，并将NFC标签4回发的指令返回数据作为第一标签UID数据；并将第一标签UID数据向生产任务分配终端123发送，并接收生产任务分配终端123回发的三级密钥；并将三级密钥写入NFC标签4。

这里，生产加密机群12实际就是为该机群所在地区或所述产品系列下的NFC标签进行一签一密的三级密钥分散计算，也就是为每个NFC标签进行生产密钥准备。生产加密机群12可以包括一个或多个生产加密机121，一个生产加密机121可以对应一个或多个生产备份加密机122。生产加密机群12中采用主机热备机制：主机就各个生产加密机121，各个生产加密机121对应的一个或多个生产备份加密机122就是当前主机的热备用机。各个主机不但要负责对自身进行二级密钥加载，还要负责发起对其所有热备用机的二级密钥备份操作。生产加密机群12中的生产任务分配终端123则用于对接与NFC标签生产有关的标签生产设备2，并在标签生产设备2对NFC标签4的密钥生产过程中，根据主机的出错状态或流量饱和状态选择对应的主机或热备用机来执行NFC标签生产密钥准备也就是进行一签一密的三级密钥分散计算。

在本发明实施例的另一个具体实现方式中，生产加密机121还与管理员加密key连接；生产加密机121具体用于在第一二级密钥加载与备份处理时，接收根密钥加密机11发送的二级密钥；并对二级密钥进行本地密钥加载操作；本地密钥加载操作成功，则于本地生成一个随机数记为第一随机数；并基于预设的第二加解密算法使用加载的二级密钥对第一随机数进行加密生成对应的第一加密随机数；并由第一随机数、第一加密随机数和二级密钥组成对应的第一备份数据组；并调用管理员加密key对第一备份数据组进行加密生成对应的第一备份加密数据；并将第一备份加密数据向对应的生产备份加密机122发送；并接收生产备份加密机122回发的第一备份结果；若第一备份结果为备份成功则第一二级密钥加载与备份处理成功；其中，本发明实施例提及的第二加解密算法具体为国密SM1算法。

进一步的，生产备份加密机122也与管理员加密key连接；生产备份加密机122用于接收生产加密机121发送的第一备份加密数据；并调用管理员加密key对第一备份加密数据进行解密得到对应的第一备份数据组；并从第一备份数据组中提取出第一随机数、第一加密随机数和二级密钥；并对二级密钥进行本地密钥加载操作；本地密钥加载操作成功，则基于第二加解密算法使用加载的二级密钥对第一加密随机数进行解密生成对应的第一解密随机数；并对第一解密随机数与第一随机数是否匹配进行识别，若匹配则将第一备份结果设为备份成功，若不匹配则将第一备份结果设为备份失败并对本地加载的二级密钥进密钥失效处理；并将第一备份结果向生产加密机121发送。

这里，管理员加密key可通过通用串行总线(Universal Serial Bus,USB)接口与生产加密机121、生产备份加密机122连接；也可通过一个带有USB接口的网络设备与生产加密机121、生产备份加密机122连接。管理员加密key可使用多种算法实现输入数据的加密/解密操作，在此不做一一赘述。本发明实施例之所以要在生产加密机121启动生产备份加密机122进行密钥备份的第一备份数据组中加入第一随机数、第一加密随机数，就是为了在生产备份加密机122完成二级密钥加载之后使用先验的匹配明文+密文对(第一随机数+第一加密随机数)检验加载密钥的正确性，若第一解密随机数与第一随机数匹配就说明加载的密钥是正确的。

在本发明实施例的另一个具体实现方式中，生产任务分配终端123具体用于在调用生产加密机121或生产备份加密机122根据第一标签UID数据进行标签三级密钥生产处理时，对生产加密机121当前是否报错、当前任务流量是否饱和进行确认；若确认生产加密机121当前没有报错且当前任务流量没有饱和，则将第一标签UID数据向生产加密机121发送；若确认生产加密机121当前存在报错或当前任务流量已经饱和，则将第一标签UID数据向生产备份加密机122发送；并接收生产加密机121或生产备份加密机122回发的三级密钥。

进一步的，生产加密机121或生产备份加密机122还用于接收生产任务分配终端123发送的第一标签UID数据；并基于预设的第二加解密算法使用本地加载的二级密钥对第一标签UID数据进行加密生成对应的三级密钥；并将三级密钥向生产任务分配终端123回发。

这里，生产加密机群12中的生产任务分配终端123在标签生产设备2对NFC标签4的密钥生产过程中，根据主机的出错状态或流量饱和状态选择对应的主机或热备用机来执行NFC标签生产密钥准备也就是进行一签一密的三级密钥分散计算；在选定主机或热备用机之后，生产任务分配终端123将用于进行一签一密的第一标签UID数据发送到对应的生产加密机121或生产备份加密机122上，由生产加密机121或生产备份加密机122基于第一标签UID数据进行三级密钥分散计算并将计算结果返回到生产任务分配终端123作为当前NFC标签的密钥生产数据也就是对应的三级密钥。

(三)验伪加密机群13

验伪加密机群13包括验伪加密机131、验伪备份加密机132和验伪任务分配终端133；

验伪加密机131分别与根密钥加密机11和验伪备份加密机132连接；验伪加密机131用于进行第二二级密钥加载与备份处理；

验伪任务分配终端133分别与验伪加密机131和验伪备份加密机132连接，还与***外部的标签验伪设备3连接；验伪任务分配终端133用于接收标签验伪设备3发送的随机数申请指令，并调用验伪加密机131或验伪备份加密机132进行随机数生成处理得到对应的申请随机数，并将申请随机数向标签验伪设备3回发；验伪任务分配终端133还用于接收标签验伪设备3发送的第一明文数据、第一加密数据和第二标签UID数据，并调用验伪加密机131或验伪备份加密机132根据第一明文数据、第一加密数据和第二标签UID数据进行标签三级密钥验伪处理得到对应的验伪结果，并将验伪结果向标签验伪设备3回发。

进一步的，标签验伪设备3与NFC标签4连接；标签验伪设备3用于向NFC标签4发送UID获取指令，并将NFC标签4回发的指令返回数据作为第二标签UID数据；并向验伪任务分配终端133发送所述随机数申请指令，并接收验伪任务分配终端133回发的申请随机数作为所述第一明文数据；并向NFC标签4发送携带了第一明文数据的内部认证指令，并将NFC标签4回发的指令返回数据作为第一加密数据；并将第一明文数据、第一加密数据和第二标签UID数据向验伪任务分配终端133发送，并接收验伪任务分配终端133回发的验伪结果；并对验伪结果进行显示。进一步的，NFC标签4在接收到内部认证指令时，从指令中提取出第一明文数据；并基于预测的第三加解密算法，使用本地的三级密钥对第一明文数据进行加密生成对应的第一加密数据向标签验伪设备3返回；其中，本发明实施例提及的第三加解密算法具体为国密SM7算法。

这里，为便于理解，首先对标签验伪设备3对NFC标签4的标签验伪过程进行简单说明，该标签验伪过程为：标签验伪设备3向验伪加密机群13申请一个作为加密明文的随机数也就是第一明文数据，并将该明文通过内部认证指令送入NFC标签4由标签基于标签三级密钥(与标签的UID数据对应)对明文进行加密得到对应密文也就是第一加密数据，然后再将明文、密文和标签UID数据向验伪加密机群13发送由验伪加密机群基于标签UID数据进行三级密钥分散并使用分散密钥对明文、密文进行校验并返回校验结果。由此可见，验伪加密机群13实际就是通过标签验伪设备3为该机群所在地区或所述产品系列下的NFC标签4提供密钥验伪功能。验伪加密机群13可以包括一个或多个验伪加密机131，一个验伪加密机131可以对应一个或多个验伪备份加密机132。与生产加密机群12类似，验伪加密机群13中也同样采用主机热备机制：主机就各个验伪加密机131，各个验伪加密机131对应的一个或多个验伪备份加密机132就是当前主机的热备用机。各个主机不但要负责对自身进行二级密钥加载，还要负责发起对其所有热备用机的二级密钥备份操作。验伪加密机群13中的验伪任务分配终端133则用于对接与NFC标签验伪有关的标签验伪设备3，并在标签验伪设备3对NFC标签4的验伪过程中，根据主机的出错状态或流量饱和状态选择对应的主机或热备用机来执行标签验伪设备的随机数申请操作以及NFC标签的数据校验计算。

在本发明实施例的另一个具体实现方式中，验伪加密机131还与管理员加密key连接；验伪加密机131具体用于在第二二级密钥加载与备份处理时，接收根密钥加密机11发送的二级密钥；并对二级密钥进行本地密钥加载操作；本地密钥加载操作成功，则于本地生成一个随机数记为第二随机数；并基于预设的第二加解密算法使用加载的二级密钥对第二随机数进行加密生成对应的第二加密随机数；并由第二随机数、第二加密随机数和二级密钥组成对应的第二备份数据组；并调用管理员加密key对第二备份数据组进行加密生成对应的第二备份加密数据；并将第二备份加密数据向对应的验伪备份加密机132发送；并接收验伪备份加密机132回发的第二备份结果；若第二备份结果为备份成功则第二二级密钥加载与备份处理成功。

进一步的，验伪备份加密机132也与管理员加密key连接；验伪备份加密机132用于接收验伪加密机131发送的第二备份加密数据；并调用管理员加密key对第二备份加密数据进行解密得到对应的第二备份数据组；并从第二备份数据组中提取出第二随机数、第二加密随机数和二级密钥；并对二级密钥进行本地密钥加载操作；本地密钥加载操作成功，则基于第二加解密算法使用加载的二级密钥对第二加密随机数进行解密生成对应的第二解密随机数；并对第二解密随机数与第二随机数是否匹配进行识别，若匹配则将第二备份结果设为备份成功，若不匹配则将第二备份结果设为备份失败并对本地加载的二级密钥进密钥失效处理；并将第二备份结果向验伪加密机131发送。

这里，管理员加密key可通过USB接口与验伪加密机131、验伪备份加密机132连接；也可通过一个带有USB接口的网络设备与验伪加密机131、验伪备份加密机132连接。管理员加密key可使用多种算法实现输入数据的加密/解密操作，在此不做一一赘述。本发明实施例之所以要在验伪加密机131启动验伪备份加密机132进行密钥备份的第二备份数据组中加入第二随机数、第二加密随机数，就是为了在验伪备份加密机132完成二级密钥加载之后使用先验的匹配明文+密文对(第二随机数+第二加密随机数)检验加载密钥的正确性，若第二解密随机数与第二随机数匹配就说明加载的密钥是正确的。

在本发明实施例的另一个具体实现方式中，生产任务分配终端133具体用于在调用验伪加密机131或验伪备份加密机132进行随机数生成处理时，对生产加密机131当前是否报错、当前任务流量是否饱和进行确认；若确认生产加密机131当前没有报错且当前任务流量没有饱和，则调用生产加密机131进行随机数生成处理得到所述申请随机数；若确认生产加密机131当前存在报错或当前任务流量已经饱和，则调用生产备份加密机132进行随机数生成处理得到申请随机数。

这里，验伪加密机群13中的验伪任务分配终端133在标签验伪设备3对NFC标签4的标签验伪过程中，根据主机的出错状态或流量饱和状态选择对应的主机或热备用机来执行标签验伪设备的随机数申请操作。

在本发明实施例的另一个具体实现方式中，验伪任务分配终端133具体用于在调用验伪加密机131或验伪备份加密机132根据第一明文数据、第一加密数据和第二标签UID数据进行标签三级密钥验伪处理时，对验伪加密机131当前是否报错、当前任务流量是否饱和进行确认；若确认验伪加密机131当前没有报错且当前任务流量没有饱和，则将第一明文数据、第一加密数据和第二标签UID数据向验伪加密机131发送；若确认验伪加密机131当前存在报错或当前任务流量已经饱和，则将第一明文数据、第一加密数据和第二标签UID数据向验伪备份加密机132发送；并接收生产加密机121或生产备份加密机122回发的验伪结果。

进一步的，验伪加密机131或验伪备份加密机132还用于接收验伪任务分配终端133发送的第一明文数据、第一加密数据和第二标签UID数据；并基于预设的第二加解密算法使用本地加载的二级密钥对第二标签UID数据进行加密生成对应的第一过程密钥；并基于预设的第三加解密算法使用第一过程密钥对第一加密数据进行解密得到对应的第二明文数据；并对第二明文数据与第一明文数据是否匹配进行识别，若匹配则将验伪结果设为验伪成功，若不匹配则将验伪结果设为验伪失败；并将验伪结果向验伪任务分配终端133回发。

这里，验伪加密机群13中的验伪任务分配终端133在标签验伪设备3对NFC标签4的标签验伪过程中，根据主机的出错状态或流量饱和状态选择对应的主机或热备用机来执行NFC标签密钥验伪操作；在选定主机或热备用机之后，验伪任务分配终端133将当前NFC标签的第二标签UID数据发送到对应的验伪加密机131或验伪备份加密机132上。验伪加密机131或验伪备份加密机132则基于第二标签UID数据首先分散出与当前NFC标签三级密钥对应的第一过程密钥；此处，若当前NFC标签为合法标签那么其上的三级密钥势必应与第一过程密钥一致，也就是说使用第一过程密钥对第一加密数据进行解密的结果(第二明文数据)势必应与第一明文数据一致；所以，验伪加密机131或验伪备份加密机132在第二明文数据比对一致第一明文数据的情况下，会向验伪任务分配终端133回发具体为验伪成功的验伪结果。由前文可知，验伪任务分配终端133将具体为验伪成功的验伪结果发送给标签验伪设备3，标签验伪设备3会对验伪结果进行显示。

本发明实施例提供了一种NFC标签密钥管理***，该***包括：根密钥加密机、生产加密机群和验伪加密机群。其中，根密钥加密机用于产生唯一的一级密钥并基于一级密钥为生产加密机群和验伪加密机群分散出对应的二级密钥，生产加密机群则基于二级密钥为每个NFC标签分散出一签一密的三级密钥从而实现所需的标签密钥生产功能，验伪加密机群则可基于二级密钥对每个NFC标签进行验伪从而实现所需的标签密钥验伪功能。将本发明***增加到基于NFC标签的防伪***中，为防伪***建立了密钥生产与密钥验伪体系，提高了防伪***的安全等级，降低了***标签的仿冒几率，增强了***的防伪性能。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (11)

1.一种NFC标签密钥管理***，其特征在于，所述***包括：根密钥加密机、生产加密机群和验伪加密机群；

所述根密钥加密机分别与所述生产加密机群和所述验伪加密机群连接；所述根密钥加密机用于一级密钥生产处理得到对应的一级密钥并保存；所述根密钥加密机还用于对所述一级密钥进行二级密钥分散处理得到对应的二级密钥，并将所述二级密钥向所述生产加密机群和所述验伪加密机群发送；

所述生产加密机群包括生产加密机、生产备份加密机和生产任务分配终端；所述生产加密机分别与所述根密钥加密机和所述生产备份加密机连接；所述生产加密机用于进行第一二级密钥加载与备份处理；所述生产任务分配终端分别与所述生产加密机和所述生产备份加密机连接，还与***外部的标签生产设备连接；所述生产任务分配终端用于接收所述标签生产设备发送的第一标签UID数据，并调用所述生产加密机或所述生产备份加密机根据所述第一标签UID数据进行标签三级密钥生产处理得到对应的三级密钥，并将所述三级密钥向所述标签生产设备回发；

所述验伪加密机群包括验伪加密机、验伪备份加密机和验伪任务分配终端；所述验伪加密机分别与所述根密钥加密机和所述验伪备份加密机连接；所述验伪加密机用于进行第二二级密钥加载与备份处理；所述验伪任务分配终端分别与所述验伪加密机和所述验伪备份加密机连接，还与***外部的标签验伪设备连接；所述验伪任务分配终端用于接收所述标签验伪设备发送的随机数申请指令，并调用所述验伪加密机或所述验伪备份加密机进行随机数生成处理得到对应的申请随机数，并将所述申请随机数向标签验伪设备回发；所述验伪任务分配终端还用于接收所述标签验伪设备发送的第一明文数据、第一加密数据和第二标签UID数据，并调用所述验伪加密机或所述验伪备份加密机根据所述第一明文数据、所述第一加密数据和所述第二标签UID数据进行标签三级密钥验伪处理得到对应的验伪结果，并将所述验伪结果向所述标签验伪设备回发。

2.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述标签生产设备与NFC标签连接；所述标签生产设备用于向所述NFC标签发送UID获取指令，并将所述NFC标签回发的指令返回数据作为所述第一标签UID数据；并将所述第一标签UID数据向所述生产任务分配终端发送，并接收所述生产任务分配终端回发的所述三级密钥；并将所述三级密钥写入所述NFC标签；

所述标签验伪设备与所述NFC标签连接；所述标签验伪设备用于向所述NFC标签发送所述UID获取指令，并将所述NFC标签回发的指令返回数据作为所述第二标签UID数据；并向所述验伪任务分配终端发送所述随机数申请指令，并接收所述验伪任务分配终端回发的所述申请随机数作为所述第一明文数据；并向所述NFC标签发送携带了所述第一明文数据的内部认证指令，并将所述NFC标签回发的指令返回数据作为所述第一加密数据；并将所述第一明文数据、所述第一加密数据和所述第二标签UID数据向所述验伪任务分配终端发送，并接收所述验伪任务分配终端回发的所述验伪结果；并对所述验伪结果进行显示。

3.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述根密钥加密机具体用于在所述一级密钥生产处理时，通过加密机的多个加密键盘接收多个种子编码；并由得到的多个所述种子编码构成种子编码清单并保存；并按设定的种子编码组合规则对所有所述种子编码进行组合得到对应的种子编码组合序列；并将所述种子编码组合序列作为所述一级密钥并保存；并将所述一级密钥导出到密钥卡中进行备份。

4.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述根密钥加密机具体用于在所述对所述一级密钥进行二级密钥分散处理时，获取第一分散因子；并对所述第一分散因子进行字节取反得到对应的第一取反因子；并按第一分散因子+第一取反因子的拼接方式对所述第一分散因子和所述第一取反因子进行字节拼接生成对应的第二分散因子；并基于预设的第一加解密算法使用所述一级密钥对所述第二分散因子进行加密，并将加密结果作为对应的所述二级密钥；其中，所述第一加解密算法具体为国密SM4算法。

5.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述生产加密机还与管理员加密key连接；

所述生产加密机具体用于在所述第一二级密钥加载与备份处理时，接收所述根密钥加密机发送的所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则于本地生成一个随机数记为第一随机数；并基于预设的第二加解密算法使用加载的所述二级密钥对所述第一随机数进行加密生成对应的第一加密随机数；并由所述第一随机数、所述第一加密随机数和所述二级密钥组成对应的第一备份数据组；并调用所述管理员加密key对所述第一备份数据组进行加密生成对应的第一备份加密数据；并将所述第一备份加密数据向对应的所述生产备份加密机发送；并接收所述生产备份加密机回发的第一备份结果；若所述第一备份结果为备份成功则所述第一二级密钥加载与备份处理成功；其中，所述第二加解密算法具体为国密SM1算法。

6.根据权利要求5所述的NFC标签密钥管理***，其特征在于，

所述生产备份加密机还与所述管理员加密key连接；

所述生产备份加密机用于接收所述生产加密机发送的所述第一备份加密数据；并调用所述管理员加密key对所述第一备份加密数据进行解密得到对应的所述第一备份数据组；并从所述第一备份数据组中提取出所述第一随机数、所述第一加密随机数和所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则基于所述第二加解密算法使用加载的所述二级密钥对所述第一加密随机数进行解密生成对应的第一解密随机数；并对所述第一解密随机数与所述第一随机数是否匹配进行识别，若匹配则将所述第一备份结果设为备份成功，若不匹配则将所述第一备份结果设为备份失败并对本地加载的所述二级密钥进密钥失效处理；并将所述第一备份结果向所述生产加密机发送。

7.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述生产任务分配终端具体用于在所述调用所述验伪加密机或所述验伪备份加密机进行随机数生成处理时，对所述生产加密机当前是否报错、当前任务流量是否饱和进行确认；若确认所述生产加密机当前没有报错且当前任务流量没有饱和，则调用所述生产加密机进行随机数生成处理得到所述申请随机数；若确认所述生产加密机当前存在报错或当前任务流量已经饱和，则调用所述生产备份加密机进行随机数生成处理得到所述申请随机数。

8.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述生产任务分配终端具体用于在所述调用所述生产加密机或所述生产备份加密机根据所述第一标签U ID数据进行标签三级密钥生产处理时，对所述生产加密机当前是否报错、当前任务流量是否饱和进行确认；若确认所述生产加密机当前没有报错且当前任务流量没有饱和，则将所述第一标签UID数据向所述生产加密机发送；若确认所述生产加密机当前存在报错或当前任务流量已经饱和，则将所述第一标签UID数据向所述生产备份加密机发送；并接收所述生产加密机或所述生产备份加密机回发的所述三级密钥；

所述生产加密机或所述生产备份加密机还用于接收所述生产任务分配终端发送的所述第一标签UID数据；并基于预设的第二加解密算法使用本地加载的所述二级密钥对所述第一标签UID数据进行加密生成对应的所述三级密钥；并将所述三级密钥向所述生产任务分配终端回发；其中，所述第二加解密算法具体为国密SM1算法。

9.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述验伪加密机还与管理员加密key连接；

所述验伪加密机具体用于在所述第二二级密钥加载与备份处理时，接收所述根密钥加密机发送的所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则于本地生成一个随机数记为第二随机数；并基于预设的第二加解密算法使用加载的所述二级密钥对所述第二随机数进行加密生成对应的第二加密随机数；并由所述第二随机数、所述第二加密随机数和所述二级密钥组成对应的第二备份数据组；并调用所述管理员加密key对所述第二备份数据组进行加密生成对应的第二备份加密数据；并将所述第二备份加密数据向对应的所述验伪备份加密机发送；并接收所述验伪备份加密机回发的第二备份结果；若所述第二备份结果为备份成功则所述第二二级密钥加载与备份处理成功；其中，所述第二加解密算法具体为国密SM1算法。

10.根据权利要求9所述的NFC标签密钥管理***，其特征在于，

所述验伪备份加密机还与所述管理员加密key连接；

所述验伪备份加密机用于接收所述验伪加密机发送的所述第二备份加密数据；并调用所述管理员加密key对所述第二备份加密数据进行解密得到对应的所述第二备份数据组；并从所述第二备份数据组中提取出所述第二随机数、所述第二加密随机数和所述二级密钥；并对所述二级密钥进行本地密钥加载操作；所述本地密钥加载操作成功，则基于所述第二加解密算法使用加载的所述二级密钥对所述第二加密随机数进行解密生成对应的第二解密随机数；并对所述第二解密随机数与所述第二随机数是否匹配进行识别，若匹配则将所述第二备份结果设为备份成功，若不匹配则将所述第二备份结果设为备份失败并对本地加载的所述二级密钥进密钥失效处理；并将所述第二备份结果向所述验伪加密机发送。

11.根据权利要求1所述的NFC标签密钥管理***，其特征在于，

所述验伪任务分配终端具体用于在所述调用所述验伪加密机或所述验伪备份加密机根据所述第一明文数据、所述第一加密数据和所述第二标签UID数据进行标签三级密钥验伪处理时，对所述验伪加密机当前是否报错、当前任务流量是否饱和进行确认；若确认所述验伪加密机当前没有报错且当前任务流量没有饱和，则将所述第一明文数据、所述第一加密数据和所述第二标签UID数据向所述验伪加密机发送；若确认所述验伪加密机当前存在报错或当前任务流量已经饱和，则将所述第一明文数据、所述第一加密数据和所述第二标签UID数据向所述验伪备份加密机发送；并接收所述生产加密机或所述生产备份加密机回发的所述验伪结果；

所述验伪加密机或所述验伪备份加密机还用于接收所述验伪任务分配终端发送的所述第一明文数据、所述第一加密数据和所述第二标签UID数据；并基于预设的第二加解密算法使用本地加载的所述二级密钥对所述第二标签UID数据进行加密生成对应的第一过程密钥；并基于预设的第三加解密算法使用所述第一过程密钥对所述第一加密数据进行解密得到对应的第二明文数据；并对所述第二明文数据与所述第一明文数据是否匹配进行识别，若匹配则将所述验伪结果设为验伪成功，若不匹配则将所述验伪结果设为验伪失败；并将所述验伪结果向所述验伪任务分配终端回发；其中，所述第二加解密算法具体为国密SM1算法，所述第三加解密算法具体为国密SM7算法。

Images