卡機(jī)構(gòu)下的用戶卡也是互不可識別的。因此客戶卡片發(fā)行商與管理者不知道其他機(jī)構(gòu)的機(jī)構(gòu)密鑰，無法干預(yù)其他機(jī)構(gòu)對卡的發(fā)行和管理。
[0039]上述實(shí)施方式中，創(chuàng)建的主密鑰文件中具備多對初始密鑰，所述的應(yīng)用密鑰由初始密鑰通過第一加密算法、第二加密算法配合每一開發(fā)商標(biāo)識以及智能卡的卡序列號生成，所生成的應(yīng)用密鑰數(shù)量與所述初始密鑰相同。在使用的過程中，設(shè)置所述初始密鑰的數(shù)量可以為1-128對，若初始密鑰1對，則相應(yīng)生成應(yīng)用密鑰1對，一張卡僅用一個(gè)應(yīng)用密鑰。若初始密鑰128對，則生成相應(yīng)應(yīng)用密鑰為128對，一張卡具備128對應(yīng)用密鑰更能滿足多應(yīng)用的需求。其中優(yōu)選的數(shù)量為6-16對。每個(gè)密鑰對針對一個(gè)應(yīng)用文件，每個(gè)應(yīng)用文件可以使用N個(gè)扇區(qū)，同屬一個(gè)文件的扇區(qū)使用相同的密鑰對來存取。初始化密鑰對數(shù)應(yīng)該大于等于整個(gè)系統(tǒng)中使用的文件種類數(shù)。
[0040]上述實(shí)施方式中，所述的第一加密算法、第二加密算法可以采用相同或者不同的加密算法，如RSA加密算法或DES加密算法或其他加密算法。
[0041]上述實(shí)施方式中，智能卡管理軟件和機(jī)具只保存有用加密算法、經(jīng)開發(fā)商標(biāo)識加密過的機(jī)構(gòu)密鑰，需要通過讀取用戶卡的出廠序列號后才能生成該卡的應(yīng)用密鑰，開發(fā)商以及卡片的管理者都無法知道用戶卡的應(yīng)用密鑰；用戶卡的應(yīng)用密鑰是動(dòng)態(tài)生成的，并不保留在機(jī)具的存儲(chǔ)器數(shù)據(jù)區(qū)中，即使是竊取機(jī)具內(nèi)數(shù)據(jù)也不可能獲得用戶卡的應(yīng)用密鑰；每一張智能卡針對每一使用機(jī)構(gòu)提供不同的密鑰對，保證不同客戶的智能卡和智能卡讀寫機(jī)具互相不可串用；每一張智能卡依據(jù)主密鑰文件生成多對應(yīng)用密鑰，每一應(yīng)用密鑰加密一應(yīng)用文件，使用的時(shí)候相同機(jī)構(gòu)下的不同應(yīng)用機(jī)具針對同一張卡采用相同的機(jī)構(gòu)密鑰訪問。保證統(tǒng)一機(jī)構(gòu)系統(tǒng)內(nèi)的機(jī)具軟件采用統(tǒng)一的應(yīng)用密鑰訪問同一張卡的同一個(gè)文件。不同機(jī)構(gòu)的卡片、應(yīng)用軟件、機(jī)具都不能混用。相同機(jī)構(gòu)下的應(yīng)用機(jī)具采用不同的應(yīng)用密鑰訪問不同卡片的應(yīng)用文件，一張卡的應(yīng)用密鑰被破解，不影響到同一機(jī)構(gòu)內(nèi)其他卡的使用，更不影響其他發(fā)卡機(jī)構(gòu)卡的使用。
[0042]參閱圖2所示，本發(fā)明還公開一種多應(yīng)用智能卡密鑰管理系統(tǒng)，包括:
[0043]主密鑰管理模塊，創(chuàng)建主密鑰文件，所述主密鑰文件包括開發(fā)商標(biāo)識及多對初始密鑰，每對初始化密鑰包括用于讀的keyA和用于讀寫的keyB，將每一初始密鑰與開發(fā)商標(biāo)識結(jié)合并采用第一加密算法生成多對機(jī)構(gòu)密鑰；
[0044]應(yīng)用密鑰管理模塊，逐個(gè)讀取上述機(jī)構(gòu)密鑰及智能卡的卡序列號，并采用第二加密算法生成智能卡的應(yīng)用密鑰；
[0045]應(yīng)用文件管理模塊，將應(yīng)用文件寫入所述智能卡中，每一應(yīng)用密鑰加密一應(yīng)用文件。應(yīng)用文件的種類數(shù)小于等于密鑰對數(shù)，每一個(gè)文件對應(yīng)一個(gè)順序號，根據(jù)順序號找到該文件使用的密鑰對。
[0046]主密鑰管理模塊為每個(gè)特定客戶定義一組開發(fā)商標(biāo)識并編寫主密鑰文件，所述主密鑰文件包括開發(fā)商標(biāo)識及多對初始密鑰。由發(fā)卡器寫入到管理卡中，客戶安裝智能卡應(yīng)用系統(tǒng)時(shí)，主密鑰管理模塊將每一初始密鑰與開發(fā)商標(biāo)識結(jié)合并采用第一加密算法生成機(jī)構(gòu)密鑰，依據(jù)初始密鑰的對數(shù)將所述的第一加密過程循環(huán)N次生成多對機(jī)構(gòu)密鑰。并由發(fā)卡器將機(jī)構(gòu)密鑰添加寫入到機(jī)構(gòu)密鑰管理卡中，機(jī)構(gòu)密鑰管理法中存儲(chǔ)了所有的機(jī)構(gòu)密鑰對，每個(gè)機(jī)構(gòu)擁有自己的機(jī)構(gòu)密鑰管理卡，每一智能卡內(nèi)部具備多對機(jī)構(gòu)密鑰。
[0047]機(jī)構(gòu)密鑰的一般加密變換函數(shù)為:
[0048]機(jī)構(gòu)密鑰=第一加密算法(開發(fā)商標(biāo)識，初始密鑰)
[0049]用戶發(fā)行新卡的時(shí)候，應(yīng)用密鑰管理模塊對機(jī)構(gòu)密鑰和表征智能卡唯一性的卡序列號使用第二加密算法進(jìn)行加密，得出該智能卡的應(yīng)用密鑰，并由發(fā)卡器將該應(yīng)用密鑰寫入到該用戶卡的密碼數(shù)據(jù)區(qū)中。應(yīng)用密鑰的一般加密變換函數(shù)為:
[0050]應(yīng)用密鑰=第二加密算法(機(jī)構(gòu)密鑰，卡序列號)
[0051]所述的智能卡可以采用邏輯加密存儲(chǔ)卡、Mifarel非接觸式1C卡。所述的應(yīng)用密鑰存儲(chǔ)于邏輯加密存儲(chǔ)卡的第1扇區(qū)中。邏輯加密存儲(chǔ)卡第0扇區(qū)、第1扇區(qū)一般作為公共信息區(qū)，被用于存儲(chǔ)服務(wù)目錄結(jié)構(gòu)、卡管理信息及出廠ID等，第2扇區(qū)至第15扇區(qū)一般被用于存儲(chǔ)應(yīng)用文件。
[0052]優(yōu)選的，每一對密鑰均包括KeyA、KeyB，所述KeyA用于讀取，KeyB用于讀寫。在使用的過程中，開發(fā)商標(biāo)識以及初始密鑰的信息通過管理卡或者網(wǎng)絡(luò)方式傳遞給智能卡的管理軟件和機(jī)具，用戶卡的卡序列號固化在卡片中，用戶卡的應(yīng)用密鑰KeyA、KeyB都是在刷卡的時(shí)候動(dòng)態(tài)生成。每張卡的卡序列號是不同的，全世界唯一的，因此用戶的應(yīng)用密鑰KeyA, KeyB也是全世界唯一的。
[0053]上述實(shí)施方式中，創(chuàng)建的主密鑰文件中具備多對初始密鑰，所述的應(yīng)用密鑰由初始密鑰通過第一加密算法、第二加密算法配合每一機(jī)構(gòu)的開發(fā)商標(biāo)識以及智能卡的卡序列號生成，所生成的應(yīng)用密鑰數(shù)量與所述初始密鑰相同。在使用的過程中，設(shè)置所述初始密鑰的數(shù)量為1-128對，優(yōu)選的為6-16對，初始密鑰對的數(shù)量并不僅僅限定于該數(shù)值范圍內(nèi)，可以設(shè)置更多對的初始密鑰。針對具備16個(gè)扇區(qū)的邏輯加密存儲(chǔ)卡設(shè)置初始密鑰為16對，最后生成16對應(yīng)用密鑰。若所述的邏輯加密存儲(chǔ)卡內(nèi)每一扇區(qū)都存儲(chǔ)不同的應(yīng)用文件，則每一應(yīng)用密鑰可用于加密每一扇區(qū)的應(yīng)用文件。若所述邏輯加密存儲(chǔ)卡內(nèi)存儲(chǔ)的應(yīng)用文件較大，一個(gè)應(yīng)用文件將占據(jù)多個(gè)扇區(qū)。所述智能卡優(yōu)選的存儲(chǔ)6-8個(gè)應(yīng)用文件，采用所述的應(yīng)用密鑰加密所述的應(yīng)用文件則優(yōu)選的設(shè)置6、7或者8對初始密鑰。另外一種應(yīng)用方式是創(chuàng)建密鑰對大于16個(gè)，每個(gè)持卡人根據(jù)需要選擇其中幾種應(yīng)用，卡上也只存放幾個(gè)相應(yīng)的文件，適應(yīng)應(yīng)用的多樣化、個(gè)性化。
[0054]應(yīng)用文件管理模塊將應(yīng)用文件寫入所述智能卡中，每一應(yīng)用密鑰加密一應(yīng)用文件。
[0055]上述實(shí)施方式中，所述的第一加密算法、第二加密算法可以采用相同或者不同的加密算法，如RSA加密算法或DES加密算法或者其他加密算法。
[0056]上所述僅為本發(fā)明多應(yīng)用智能卡密鑰管理方法及系統(tǒng)的實(shí)施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換，或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域，均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1.一種多應(yīng)用智能卡密鑰管理方法，其特征在于包括如下步驟: 創(chuàng)建主密鑰文件，所述主密鑰文件包括用開發(fā)商標(biāo)識、主密鑰管理機(jī)構(gòu)標(biāo)識及多對初始密鑰，將每一初始密鑰與開發(fā)商標(biāo)識結(jié)合并采用第一加密算法生成多對機(jī)構(gòu)密鑰； 逐個(gè)讀取上述機(jī)構(gòu)密鑰及智能卡的出廠序列號，并采用第二加密算法生成智能卡的應(yīng)用密鑰； 將應(yīng)用文件寫入所述智能卡中，每一應(yīng)用密鑰加密一應(yīng)用文件。2.根據(jù)權(quán)利要求1所述的多應(yīng)用智能卡密鑰管理方法，其特征在于:所述智能卡為邏輯加密存儲(chǔ)卡。3.根據(jù)權(quán)利要求2所述的多應(yīng)用智能卡密鑰管理方法，其特征在于: 每一對密鑰均包括KeyA、KeyB，所述KeyA用于讀取，KeyB用于讀寫。4.根據(jù)權(quán)利要求3所述的多應(yīng)用智能卡密鑰管理方法，其特征在于: 所述初始密鑰的數(shù)量為1-128對。5.根據(jù)權(quán)利要求4所述的多應(yīng)用智能卡密鑰管理方法，其特征在于: 所述第一加密算法、第二加密算法為RSA加密算法或DES加密算法。6.一種多應(yīng)用智能卡密鑰管理系統(tǒng)，其特征在于包括: 主密鑰管理模塊，創(chuàng)建主密鑰文件，所述主密鑰文件包括開發(fā)商標(biāo)識、及多對初始密鑰，將每一初始密鑰與開發(fā)商標(biāo)識結(jié)合并采用第一加密算法生成多對機(jī)構(gòu)密鑰； 應(yīng)用密鑰管理模塊，逐個(gè)讀取上述機(jī)構(gòu)密鑰及智能卡的出廠序列號，并采用第二加密算法生成智能卡的應(yīng)用密鑰； 應(yīng)用文件管理模塊，將應(yīng)用文件寫入所述智能卡中，每一應(yīng)用密鑰加密一應(yīng)用文件。7.根據(jù)權(quán)利要求6所述的多應(yīng)用智能卡密鑰管理系統(tǒng)，其特征在于: 所述智能卡為邏輯加密存儲(chǔ)卡。8.根據(jù)權(quán)利要求7所述的多應(yīng)用智能卡密鑰管理系統(tǒng)，其特征在于: 每一對密鑰均包括KeyA、KeyB，所述KeyA用于讀取，KeyB用于讀寫。9.根據(jù)權(quán)利要求8所述的多應(yīng)用智能卡密鑰管理系統(tǒng)，其特征在于:所述初始密鑰的數(shù)量為1-128對。10.根據(jù)權(quán)利要求9所述的多應(yīng)用智能卡密鑰管理系統(tǒng)，其特征在于:所述第一加密算法、第二加密算法為RSA加密算法或DES加密算法。
【專利摘要】本發(fā)明提供一種多應(yīng)用智能卡密鑰管理方法及系統(tǒng)，管理方法包括如下步驟：創(chuàng)建主密鑰文件，所述主密鑰文件包括開發(fā)商標(biāo)識及多對初始密鑰，將每一初始密鑰與開發(fā)商標(biāo)識結(jié)合并采用第一加密算法生成多對機(jī)構(gòu)密鑰；逐個(gè)讀取上述機(jī)構(gòu)密鑰及智能卡的出廠序列號，并采用第二加密算法生成智能卡的應(yīng)用密鑰；將應(yīng)用文件寫入所述智能卡中，每一應(yīng)用密鑰加密一應(yīng)用文件。讀取每一張卡是根據(jù)機(jī)構(gòu)密鑰和第二加密算法生成應(yīng)用密鑰，所以在同一發(fā)卡機(jī)構(gòu)內(nèi)的所有機(jī)具訪問同一張卡采用相同的密鑰，保證系統(tǒng)同一張卡的處理統(tǒng)一性。由于不同的卡生成的應(yīng)用密鑰不同，所以統(tǒng)一系統(tǒng)內(nèi)不同卡不同文件的應(yīng)用密鑰都不相同，一張卡的應(yīng)用密鑰被破解不影響其他卡的使用。
【IPC分類】H04L9/08
【公開號】CN105245333
【申請?zhí)枴緾N201510700153
【發(fā)明人】陳中, 林勇, 林鋒仰
【申請人】福建新大陸電腦股份有限公司
【公開日】2016年1月13日
【申請日】2015年10月26日