一种卡数据管理方法以及卡数据管理系统技术方案

本发明专利技术涉及一种卡数据管理系统以及方法。该方法包括：向加密机注入根密钥；选取特定的算法和分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥，将获得的所述业务密钥以密文的形式进行存储；将所述业务密钥与卡数据组装生成制卡数据并加密进行存储；当用户发起空中开卡请求时，根据卡号关联到相应的加密后的制卡数据并输入到加密机，加密机解密所述加密后的制卡数据并且验证是否与已经存储在加密机中的制卡数据一致，在一致的情况下，将制卡数据用安全域密钥加密后输出并提供给用户设备。根据本发明专利技术能够批量预置卡数据，能够保障系统的安全性，也能够提供系统的并发处理能力。

A card data management method and card data management system

The invention relates to a card data management system and a method. The method includes: injection to the root key encryption machine; select the specific algorithm and the dispersion factor, the root key based on distributed computing for business or business as well as key / key protection key, will receive the service key are stored in encrypted form; the key business card data generation system and assembly the card data storage and encryption; when the user initiates air card when the request to the corresponding encrypted card data is input to the encryption card machine according to the association, encryption to decrypt the encrypted data after the business card printing and verification is not already stored in the encryption machine in business card printing data, in the same under the condition of the business card for data encryption security domain key output and provided to the user equipment. The invention can ensure the security of the system and provide the concurrency processing capability of the system.

【技术实现步骤摘要】
一种卡数据管理方法以及卡数据管理系统
本专利技术涉及通信技术，更具体地涉及一种NFC移动支付中采用的卡数据管理方法以及卡数据管理系统。
技术介绍
目前在空中开卡业务系统中，没有针对卡数据管理的规范化说明。现有的卡数据管理方案主要包含如下几种情况：（1）通过DP文件加密保存个人化数据；（2）通过加密机接口实时获取卡片密钥，组装个人化数据。卡片个人化数据包含卡应用的密钥，属于高度敏感数据。通常的解决方案会从加密机中由对应的业务主密钥分散得出相关业务密钥，虽然安全但是由于卡片个人化数据中涉及到多把业务密钥，这样在实际的业务交互中与加密机的交互次数比较多，消耗了一定的时间，降低了业务执行效率。所以通常来讲系统都采取预置卡数据的方案，即通过定时任务预先将卡片的业务密钥从加密机导出，与其他卡片个人化数据组装成完整的制卡数据并安全存储。例如DP文件就是预置方案的一种，也是传统发卡采用的解决方案。但是在NFC全终端领域，DP文件只通过传输密钥进行保护，缺少一些系统安全的控制，所以需要提出全新的解决方案。
技术实现思路
鉴于所述问题，本专利技术旨在提供一种能够进一步提高安全性和操作灵活性的卡数据管理方法以及卡数据管理系统。在本文中卡数据也可以称为卡片个人化数据。本专利技术的一方面的卡数据管理方法，其特征在于，包括下述步骤：密钥注入步骤，向加密机注入根密钥；密钥计算步骤，选取特定的算法和分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥；以及密钥存储步骤，将获得的所述业务密钥以密文的形式进行存储。可选地，在所述密钥存储步骤之后还进一步具备：制卡数据生成步骤，将所述业务密钥与卡数据组装生成制卡数据并加密进行存储。可选地，在所述密钥存储步骤之后还进一步具备：空中开卡步骤，当用户发起空中开卡请求时，根据卡号关联到相应的加密后的制卡数据并输入到加密机，加密机解密所述加密后的制卡数据并且验证是否与已经安全存储的制卡数据一致，在一致的情况下，将制卡数据用安全域密钥加密后输出并提供给用户设备。可选地，所述密钥计算步骤中，在生成卡片的业务时作为分散因子选择卡片的SEID，在生成卡片的业务密钥和保护密钥时作为分散因子选取卡片的卡号。可选地，在所述密钥注入步骤中，向加密机注入多个密钥分量，所述多个密钥分量构成根密钥；本专利技术的一方面的卡数据管理系统，其特征在于，至少具备加密机，其中，所述加密机具备：存储模块，用于存储加密机的根密钥；第一加密模块，用于获取特定的算法以及分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥并输出；组装模块，用于将所述业务密钥与被输入的卡数据组装成的制卡数据加密后并输出；以及解密模块，用于解密从外部输入的加密的制卡数据并且验证是否与已经存储在所述存储模块中的制卡数据一致；以及第二加密模块，在所述解密模块判定制卡数据为一致的情况下，将制卡数据用安全域密钥加密后输出。可选地，所述卡数据管理系统进一步具备：还具备用于存储各种密钥和制卡数据的数据库。可选地，所述第一加密模块在生成卡片的密钥时作为分散因子选择卡片的SEID、在生成卡片的业务密钥和保护密钥时作为分散因子选取卡片的卡号。本专利技术的计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现所述卡数据管理方法的步骤。本专利技术的计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现所述卡数据管理方法的步骤。附图说明图1是表示本专利技术的卡数据管理方法的具体步骤的流程图。图2是表示本专利技术的卡数据管理系统的构造的示意图。图3是表示本专利技术的卡数据管理系统的进行敏感数据存储的情形下的示意图。图4是表示本专利技术的卡数据管理系统的对于密钥的常规使用方法的示意图。具体实施方式下面介绍的是本专利技术的多个实施例中的一些，旨在提供对本专利技术的基本了解。并不旨在确认本专利技术的关键或决定性的要素或限定所要保护的范围。图1是表示本专利技术的卡数据管理方法的具体步骤的流程图。如图1所示，本专利技术的卡数据管理方法包括下述步骤：密钥注入步骤S100：向加密机注入根密钥，密钥提供方可以通过手工输入的方式直接向机密机注入特定的根密钥；密钥计算步骤S200：选取特定的算法和分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥；密钥存储步骤S300：将获得的所述业务密钥以密文的形式进行存储，通过根密钥分散得到的业务密钥或者/以及业务密钥的保护密钥可以存储在加密机中，也可以在数据库中；制卡数据生成步骤S400：将所述业务密钥与卡数据（DGI或者其他格式）组装生成制卡数据，制卡数据连同CRC值以密文的方式保存在数据库中；空中开卡步骤S500：当用户发起空中开卡请求时，根据卡号关联到相应的加密后的制卡数据并输入到加密机，加密机解密所述加密后的制卡数据并且验证是否与已经存储的制卡数据一致（例如加密机校验CRC是否合法，确保明文数据没有被纂改），在一致的情况下，将制卡数据导出，将解密后的卡数据以脚本的方式通过安全域密钥加密后输出并提供给用户设备（例如提供给用户的NFC设备）。其中，在密钥注入步骤S100中，向加密机注入由多个密钥分量构成的根密钥，例如，每个密钥分量可以由不同的人员持有，注入时按照分量顺序逐一输入。其中，在密钥计算步骤中S300，在生成卡片的业务密钥时作为分散因子可以选择卡片的SEID，在生成卡片的业务密钥的保护密钥时作为分散因子可以选取卡片的卡号。以上对于本专利技术的卡数据管理方法进行了说明，接着，对于本专利技术的卡数据管理系统进行说明。图2是表示本专利技术的卡数据管理系统的构造的示意图。如图2所示，本专利技术的卡数据管理系统具备加密机100和用于各种密钥和制卡数据的数据库200。其中，加密机100具备：存储模块110，用于加密机的根密钥；第一加密模块120，用于调用特定的算法以及分散因子（例如，可以应用软件提供分散因子），对从存储模块110获取的根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥并输出，其中，第一加密模块120在生成卡片的业务密钥时作为分散因子选择卡片的SEID、在生成卡片的业务密钥的保护密钥时作为分散因子选取卡片的卡号；组装模块130，用于将所述业务密钥与被输入的卡数据组装成的制卡数据加密后并输出；以及解密模块140，用于解密从外部输入的加密的制卡数据并且验证是否与已经存储在所述存储模块中的制卡数据一致；以及第二加密模块150，在所述解密模块判定制卡数据为一致的情况下，将制卡数据用安全域密钥加密后输出。接着对于本专利技术的卡数据管理系统的进行敏感数据存储的情形下以及对于密钥的常规使用方法进行说明。图3是表示本专利技术的卡数据管理系统的进行敏感数据存储的情形下的示意图。如图3所示，系统B相当于本专利技术的卡数据管理系统，系统B通过接口从外部的系统A获取数据并进行敏感数据存储。具体地，在系统A中系统A的应用软件从系统A的加密机/其他安全单元获取外部数据。系统B通过接口从系统A的系统A的应用软件获取外部数据，系统B的应用软件获取该外部数据并传输到加密机100中，利用加密机100对根密钥进行计算得到机密密钥并输出密文并存储在数据库200中。图4是表示本专利技术的卡数据管理本文档来自技高网...

【技术保护点】
一种卡数据管理方法，其特征在于，包括下述步骤：密钥注入步骤，向加密机注入根密钥；密钥计算步骤，选取特定的算法和分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥；以及密钥存储步骤，将获得的所述业务密钥以密文的形式进行存储。

【技术特征摘要】
1.一种卡数据管理方法，其特征在于，包括下述步骤：密钥注入步骤，向加密机注入根密钥；密钥计算步骤，选取特定的算法和分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥；以及密钥存储步骤，将获得的所述业务密钥以密文的形式进行存储。2.如权利要求1所述的卡数据管理方法，其特征在于，在所述密钥存储步骤之后还进一步具备：制卡数据生成步骤，将所述业务密钥与卡数据组装生成制卡数据并加密进行存储。3.如权利要求2所述的卡数据管理方法，其特征在于，在所述密钥存储步骤之后还进一步具备：空中开卡步骤，当用户发起空中开卡请求时，根据卡号关联到相应的加密后的制卡数据并输入到加密机，加密机解密所述加密后的制卡数据并且验证是否与已经安全存储的制卡数据一致，在一致的情况下，将制卡数据用安全域密钥加密后输出并提供给用户设备。4.如权利要求1所述的卡数据管理方法，其特征在于，所述密钥计算步骤中，在生成卡片的密钥时作为分散因子选择卡片的SEID，在生成卡片的业务密钥和保护密钥时作为分散因子选取卡片的卡号。5.如权利要求1所述的卡数据管理方法，其特征在于，在所述密钥注入步骤中，向加密机注入多个密钥分量，所述多个密钥分量构成根密钥。6.一种卡数据管理系统，其特征在于，所...

【专利技术属性】
技术研发人员：姜波，冯晓光，冀鹏昀，
申请(专利权)人：深圳市雪球科技有限公司，
类型：发明
国别省市：广东,44