本发明专利技术涉及卡片加密领域,公开了一种卡片的密钥管理方法及其系统,其中方法包括:生成加密金钥和普通金钥;将加密金钥存储在HSM中;通过加密金钥对普通金钥进行加密;将被加密的普通金钥存储在资料库的服务器主机中;通过加密金钥对入码个人化的数据进行加密处理;在将入码个人化的数据写入芯片时,通过HSM和发卡软件对上述加密后的入码个人化的数据进行在线即时解密,并将解密后的入码个人化的数据写入芯片内。与现有技术相比,本发明专利技术仅将加密金钥存储的HSM中,备份和恢复较简单,且不会占用HSM较大的空间;在产品的生产过程中,数据的处理与写入芯片的过程中都为加密的密文,且该加密的数据也无法被解密,安全性极高。
【技术实现步骤摘要】
本专利技术涉及芯片卡片加密领域,特别涉及一种卡片的密钥管理方法及其系统。
技术介绍
随着对信息安全的重视,用金钥来加密敏感资料的应用愈来愈多,然而,在这方面信息安全上的顾虑,也从敏感资料转移到金钥上来,为了保护这些金钥,硬件加密器(Hardware Security Module:HSM)也随之因应而生。但是,HSM虽然保护住了这些金钥,但是对于金钥的产生、使用、管理、储存及销毁并不完全,而协助HSM达到对金钥的产生、使用、管理、储存及销毁这些的流程,就是金钥管理一 Key Management。将所有金钥放置在HSM中,在进行备份与恢复时会变得复杂和繁琐,并且存放的金钥有总量限制。
技术实现思路
专利技术目的:针对现有技术中存在的问题,本专利技术提供一种卡片的密钥管理方法及其系统,仅将加密金钥存储的HSM中,备份和恢复较简单,且不会占用HSM较大的空间;在产品的生产过程中,数据的处理与写入芯片的过程中都为加密的密文,且该加密的数据也无法被解密,安全性极高。技术方案:本专利技术提供了一种卡片的密钥管理方法,包括以下步骤:S1:生成加密金钥和普通金钥;S2:将所述加密金钥存储在HSM中;S3:通过所述加密金钥对所述普通金钥进行加密;S4:将被加密的普通金钥存储在资料库的服务器主机中;S5:通过所述加密金钥对入码个人化的数据进行加密处理;S6:在将所述入码个人化的数据写入芯片时,通过所述HSM和发卡软件对上述加密后的入码个人化的数据进行在线即时解密,并将解密后的入码个人化的数据写入芯片内。本专利技术还提供了一种卡片的密钥管理系统,包含生成模块,第一存储模块,HSM,加密模块,第二存储模块,资料库的服务器主机,数据加密处理模块,数据解密处理模块和读写器;所述生成模块用于生成加密金钥和普通金钥;所述第一存储模块用于将所述加密金钥存储在所述HSM中;所述加密模块用于通过所述加密金钥对所述普通金钥进行加密;所述第二存储模块用于将被加密的普通金钥存储在所述资料库的服务器主机中;所述数据加密处理模块用于通过所述加密金钥对入码个人化的数据进行加密处理;在所述读写器将所述入码个人化的数据写入芯片时,所述数据解密处理模块用于通过所述HSM和发卡软件对上述加密后的入码个人化的数据进行在线即时解密,解密后所述读写器再将解密后的入码个人化的数据写入芯片内。优选地,所述入码个人化的数据为以下任意一种或其组合:姓名、住址、电话、卡号、使用年限。优选地,在所述SI中,在生成加密金钥的过程中所用的加密算法为Triple-DES加密算法或AES加密算法。有益效果:本专利技术中卡片的密钥管理方法仅将加密金鉬存储的HSM中,然后用该加密金钥来加密及加签于所有普通金钥,将所有被加密的普通金鉬存储在主机中,因为所有的普通金钥被加密金钥加密过并以密文的形式存在,且该密文在生产过程中是无法轻易被破解的,只有在将入码个人化的数据写入芯片时,才会通过HSM和发卡软件对加密后的入码个人化的数据进行在线即时解密,最后才将解密后的入码个人化数据写入芯片内,安全性极高,所以只要能保证加密金钥安全,即可以保证所有普通金钥的安全;使用这种加密管理方式,只需处理加密金钥即可,备份和恢复也都比较简单,且不会占用HSM较大的空间。【附图说明】图1为实施方式2中卡片的密钥管理系统示意图。【具体实施方式】下面结合附图对本专利技术较佳实施例进行详细的介绍。实施方式1: 本实施方式提供一种卡片的密钥管理方法,主要包括以下步骤: S1:生成一个加密金钥和多个普通金钥。在生成加密金钥的过程中所用的加密算法为Triple-DES加密算法或AES加密算法。S2:将上述一个加密金钥存储在HSM中。仅将加密金鉬存储的HSM中,备份和恢复也都比较简单,且不会占用HSM较大的空间。S3:通过上述加密金钥对上述多个普通金鉬进行加密及加签。S4:将被加密的普通金钥存储在资料库的服务器主机中。本方法中不用将所有普通金钥都生成加密金钥存储在HSM中,只需要生成一个加密金钥并将该加密金钥存储在HSM中,然后使用这个加密金钥对所有普通金钥进行加密,并将加密后的普通金鉬存储在资料库的服务器主机中。S5:通过上述加密金钥对入码个人化的数据进行加密处理。软件开发者能够通过HSM对入码个人化的数据进行加密处理,在生产过程中,相关单位人员是无法清楚地知道内容为何。上述的入码个人化数据可以使用户的姓名、住址、电话、卡号、使用年限等等,均可以使用加密金钥对其进行加密处理。S6:在将入码个人化的数据写入芯片时,通过HSM和发卡软件对上述加密后的入码个人化的数据进行在线即时解密,并将解密后的入码个人化的数据写入芯片内。也就是说,在卡片进行到发卡设备读写器时,读写器的控制原件通过HSM与加密金钥进行处理后,方能进行数据的还原,然后再将数据写入到卡片中;是数据在整个个人化的过程中都处于密文状态,提高了个人化数据的安全性。个人化信息传送采用了加密Socket及Feedback技术:在个人化发卡中,让设备与HSM之间通过Socket的技术,进行资料的传递,在个人化接收到资料时,先将个人化数据解密后,再将卡片所需的数据分别Feedback到各个发卡模块进行个人化。至此,整个卡片的密钥管理方法的过程结束。由上述步骤可知本专利技术中的卡片的密钥管理方法仅将加密金鉬存储的HSM中,然后用该加密金钥来加密及加签于所有普通金钥,将所有被加密的普通金鉬存储在主机中,因为所有的普通金钥被加密金钥加密过并以密文的形式存在,且该密文在生产过程中是无法轻易被破解的,只有在将入码个人化的数据写入芯片时,才会通过HSM和发卡软件对加密后的入码个人化的数据进行在线即时解密,最后才将解密后的入码个人化数据写入芯片内,安全性极高,所以只要能保证加密金钥安全,即可以保证所有普通金钥的安全;使用这种加密管理方式,只需处理加密金钥即可,备份和恢复也都比较简单,且不会占用HSM较大的空间。实施方式2: 本实施方式为与实施方式I相对应的系统实施例,提供了一种卡片的密钥管理系统,如图1,包含生成模块,第一存储模块,HSM,加密模块,第二存储模块,资料库的服务器主机,数据加密处理模块,数据解密处理模块和读写器;生成模块用于生成加密金钥和普通金钥;第一存储模块用于将加密金钥存储在所述HSM中;加密模块用于通过加密金钥对普通金钥进行加密;第二存储模块用于将被加密的普通金钥存储在资料库的服务器主机中;数据加密处理模块用于通过加密金钥对入码个人化的数据进行加密处理;在读写器将入码个人化的数据写入芯片时,数据解密处理模块用于通过HSM和发卡软件对上述加密后的入码个人化的数据进行在线即时解密,解密后读写器再将解密后的入码个人化的数据写入芯片内。本实施方式为与实施方式I的一个系统实施例,实施方式I中提到的相关技术特征同样应用于本实施方式中,同理,本实施方式中的各种技术特征也能够适用于实施方式I中,为了避免重复,此处不做赘述。上述实施方式只为说明本专利技术的技术构思及特点,其目的在于让熟悉此项技术的人能够了解本专利技术的内容并据以实施,并不能以此限制本专利技术的保护范围。凡根据本专利技术精神实质所做的等效变换或修饰,都应涵盖在本专利技术的保护范围之内。【主权项】1.一种卡片的密钥管理方法,其特征在于,包括以下步骤:本文档来自技高网...
【技术保护点】
一种卡片的密钥管理方法,其特征在于,包括以下步骤:S1:生成加密金钥和普通金钥;S2:将所述加密金钥存储在HSM中;S3:通过所述加密金钥对所述普通金钥进行加密;S4:将被加密的普通金钥存储在资料库的服务器主机中;S5:通过所述加密金钥对入码个人化的数据进行加密处理;S6:在将所述入码个人化的数据写入芯片时,通过所述HSM和发卡软件对上述加密后的入码个人化的数据进行在线即时解密,并将解密后的入码个人化的数据写入芯片内。
【技术特征摘要】
【专利技术属性】
技术研发人员:郑孟仁,
申请(专利权)人:第一美卡科技苏州有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。