一种射频标签初始化密钥分发系统及方法技术方案

本发明专利技术提供的一种射频标签初始化密钥分发系统，在每次芯片厂家向密钥主管单位申请初始化密钥的过程中，为了确保安全，通过人工线下完成初始化密钥分发授权申请、初始化密钥分发授权的数据传递；在芯片厂家内部的生产过程中，初始化密钥的申请和写入都是基于专用密码机、芯片厂家生产系统自动完成的，芯片厂家内部生产过程没有人工参与，不但提高了生产效率，且避免了因为人为错误导致初始化失败的问题发生。同时本发明专利技术也公开了一种射频标签初始化密钥分发方法。化密钥分发方法。

【技术实现步骤摘要】
一种射频标签初始化密钥分发系统及方法


[0001]本专利技术涉及射频标签
，具体为一种射频标签初始化密钥分发系统及方法。

技术介绍

[0002]射频标签初始化密钥的分发是射频标签发行过程中的一道重要工序。以机动车电子标识为例，现阶段初始化密钥的分发工序，为了确保信息安全，生产人员通过操作一台连接有桌面读写设备的专用计算机，登录机动车电子标识发行系统，在桌面读写设备上放置待初始化电子标识；电子标识发行系统生成初始化密钥密文后，由专用计算机将密钥密文发送给桌面读写设备，由读写设备中的安全模块解密密钥密文，将初始化密钥通过空中通信接口写入电子标识中。这种电子标识初始化密钥的写入过程，针对每一个电子标识，都需要生产人员手动初始化电子标识、等待写入完成，执行效率非常低，同时人为因素也容易导致初始化失败。

技术实现思路

[0003]为了解决现有技术中，人工分发射频标签初始化密钥，导致效率低下、且容易出错的问题，本专利技术提供一种射频标签初始化密钥分发系统，其可以实现射频标签初始化密钥的批量分发，同时可以提高初始化效率与初始化成功率。同时本专利技术也公开了一种射频标签初始化密钥分发方法。
[0004]本专利技术的技术方案是这样的：一种射频标签初始化密钥分发系统，其特征在于，其包括：密钥管理系统A、CA系统、专用密码机、芯片厂家生产系统；所述密钥管理系统A中备案了所述专用密码机的信息，保存有业务根密钥，负责生成解析授权请求与日志文件、生成授权文件、记录授权日志；所述CA系统为所述密钥管理系统A、所述专用密码机、所述芯片厂家生产系统分别生成数字证书，包括：密钥管理系统A数字证书MGMTCert、专用密码机数字证书HSMCert，芯片厂家生产系统数字证书SYSCert；所述专用密码机在取得密钥主管部门的授权后，为芯片厂家初始化射频标签工序提供初始化密钥密文；所述专用密码机中内置密钥管理子系统和数据库，所述专用密码机中存放射频标签初始化所需的业务根密钥，基于所述业务根密钥生成公私钥对、备份公钥钥对，以及数字证书；所述芯片厂家业务系统为芯片厂家对芯片进行初始化使用的应用系统；所述芯片厂家生产系统向所述专用密码机请求到所述初始化密钥密文，将请求到的所述初始化密钥密文解密后写入射频标签芯片；所述密钥管理系统A、所述CA系统工作在密钥主管单位内部网络环境中；所述专用密码机在由密钥主管单位移交给芯片厂家使用后，与所述芯片厂家生产系统工作在芯片厂家内部网络环境中；所述密钥主管单位内部网络环境、所述芯片厂家内部网络环境都不与互联
网进行连接，分别为两套独立的、封闭的内部网络环境；所述密钥主管单位内部网络环境、所述芯片厂家内部网络环境之间的数据交互通过离线方式进行。
[0005]一种射频标签初始化密钥分发的方法，其特征在于，其包括以下步骤：S1：射频标签密钥主管单位对专用密码机进行初始化；S2：芯片厂家基于芯片厂家生产系统，通过所述专用密码机向密钥管理系统A提出初始化密钥分发授权申请；S3：密钥主管单位通过所述密钥管理系统A，将所述初始化密钥分发授权下发到所述专用密码机；S4：所述芯片厂家生产系统向所述专用密码机申请生成初始化密钥密文；所述专用密码机验证通过后，向所述芯片厂家生产系统分发所述初始化密钥的密文；所述芯片厂家生产系统将所述初始化密钥数据写入芯片。
[0006]其进一步特征在于：其还包括以下步骤：S5：当所述专用密码机中可授权的所述初始化密钥数量小于生产需求数量时，循环执行步骤S2~S5，申请下一批次密钥；在执行步骤S2时，再次提交的申请文件中，需要包括所述专用密码机生成的记录所述初始化密钥的使用情况的日志文件，与所述初始化密钥分发授权申请一起提供给所述密钥管理系统A进行审批；步骤S1中，对专用密码机进行初始化的过程详细包以下步骤：a1：射频标签初始化所需的业务根密钥由射频标签密钥主管单位事先生成，并保存在所述密钥管理系统A中；a2：将每个所述专用密码机在所述密钥管理系统A进行备案；a3：在所述专用密码机初始化时，准备N个移动电子钥匙，其中N>1；为每个所述移动电子钥匙标明序号，对所述移动电子钥匙进行初始化；a4：在所述密钥管理系统A选择需要初始化的所述专用密码机，选择其对应的所述初始化密钥，以当前系统中主密码机为源密码机，提交密钥导出申请；a5：基于所述密钥管理系统A审核所述密钥导出申请，审核通过后，以数字信封方式导出所述初始化密钥，并均分为N份，分别存入N个所述移动电子钥匙中，分开保管；a6：N个所述移动电子钥匙分别以超级管理员权限插入所述专用密码机；a7：所述专用密码机中的密钥管理子系统合并N个所述移动电子钥匙中的所述初始化密钥，解密后将所述初始化密钥存放至预设的索引位置，完成所述专用密码机进行初始化工作；步骤S2中，向密钥管理系统A提出初始化密钥分发授权申请的过程，详细包括以下步骤：b1：芯片厂家接到射频标签使用企业的生产任务，基于所述芯片厂家生产系统生成授权请求文件licensereq1；b2：所述芯片厂家业务系统将所述授权请求文件licensereq1上传到所述专用密码机中；b3：所述专用密码机中的密钥管理子系统解析licensereq1，验证芯片厂家生产系统证书SYSCert、数据签名值signdata；验证通过后，所述密钥管理子系统生成密码机补充JSON
数据，构成授权请求文件明文；所述授权请求文件明文包括：（厂家授权请求文件（SYSCert+signdata）JSON明文，密码机补充JSON数据）；b4：所述密钥管理子系统生成随机数R1，对所述授权请求文件明文的JSON数据进行加密，得到授权请求文件密文cryptedreq；b5：所述密钥管理子系统使用所述密钥管理系统A的证书MGMTCert中的公钥对随机数R1加密，得到随机数R1密文sessionkeyR1；构建递交版本授权申请文件；所述递交版本授权申请文件包括：（随机数R1密文sessionkeyR1 + 授权请求文件密文cryptedreq）使用专用密码机当前密钥版本字段值对应的私钥对所述递交版本授权申请文件进行签名得到签名值reqsign，形成递交版本授权申请文件密文licensereq2；b6：通过线下加密方式将所述递交版本授权申请文件密文licensereq2传输至所述密钥管理系统A；步骤S3中，通过所述密钥管理系统A，将所述初始化密钥分发授权下发到所述专用密码机过程，包括以下步骤：c1：所述密钥管理系统A对所述交版本授权申请文件密文licensereq2中的专用密码机证书HSMCert进行验证，验证通过后解密licensereq2得到所述授权请求文件原文的明文；c2：所述密钥管理系统A根据所述授权请求文件原文中的请求，生成授权文件license；c3：密钥管理系统A生成随机数R2，对所述授权文件license加密生成授权文件密文cryptedlicense；使用所述专用密码机证书HSMFCert中的公钥对随机数R2加密，得到随机数R2密文sessionkeyR2，构成密钥分发授权明文：所述密钥分发授权明文包括：（随机数R2密文sessi本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种射频标签初始化密钥分发系统，其特征在于，其包括：密钥管理系统A、CA系统、专用密码机、芯片厂家生产系统；所述密钥管理系统A中备案了所述专用密码机的信息，保存有业务根密钥，负责生成解析授权请求与日志文件、生成授权文件、记录授权日志；所述CA系统为所述密钥管理系统A、所述专用密码机、所述芯片厂家生产系统分别生成数字证书，包括：密钥管理系统A数字证书MGMTCert、专用密码机数字证书HSMCert，芯片厂家生产系统数字证书SYSCert；所述专用密码机在取得密钥主管部门的授权后，为芯片厂家初始化射频标签工序提供初始化密钥密文；所述专用密码机中内置密钥管理子系统和数据库，所述专用密码机中存放射频标签初始化所需的业务根密钥，基于所述业务根密钥生成公私钥对、备份公钥钥对，以及数字证书；所述芯片厂家业务系统为芯片厂家对芯片进行初始化使用的应用系统；所述芯片厂家生产系统向所述专用密码机请求到所述初始化密钥密文，将请求到的所述初始化密钥密文解密后写入射频标签芯片；所述密钥管理系统A、所述CA系统工作在密钥主管单位内部网络环境中；所述专用密码机在由密钥主管单位移交给芯片厂家使用后，与所述芯片厂家生产系统工作在芯片厂家内部网络环境中；所述密钥主管单位内部网络环境、所述芯片厂家内部网络环境都不与互联网进行连接，分别为两套独立的、封闭的内部网络环境；所述密钥主管单位内部网络环境、所述芯片厂家内部网络环境之间的数据交互通过离线方式进行。2.一种射频标签初始化密钥分发的方法，其特征在于，其包括以下步骤：S1：射频标签密钥主管单位对专用密码机进行初始化；S2：芯片厂家基于芯片厂家生产系统，通过所述专用密码机向密钥管理系统A提出初始化密钥分发授权申请；S3：密钥主管单位通过所述密钥管理系统A，将所述初始化密钥分发授权下发到所述专用密码机；S4：所述芯片厂家生产系统向所述专用密码机申请生成初始化密钥密文；所述专用密码机验证通过后，向所述芯片厂家生产系统分发所述初始化密钥的密文；所述芯片厂家生产系统将所述初始化密钥数据写入芯片。3.根据权利要求2所述一种射频标签初始化密钥分发的方法，其特征在于：其还包括以下步骤：S5：当所述专用密码机中可授权的所述初始化密钥数量小于生产需求数量时，循环执行步骤S2~S5，申请下一批次密钥；在执行步骤S2时，再次提交的申请文件中，需要包括所述专用密码机生成的记录所述初始化密钥的使用情况的日志文件，与所述初始化密钥分发授权申请一起提供给所述密钥管理系统A进行审批。4.根据权利要求1所述一种射频标签初始化密钥分发的方法，其特征在于：步骤S1中，对专用密码机进行初始化的过程详细包以下步骤：a1：射频标签初始化所需的业务根密钥由射频标签密钥主管单位事先生成，并保存在所述密钥管理系统A中；a2：将每个所述专用密码机在所述密钥管理系统A进行备案；
a3：在所述专用密码机初始化时，准备N个移动电子钥匙，其中N>1；为每个所述移动电子钥匙标明序号，对所述移动电子钥匙进行初始化；a4：在所述密钥管理系统A选择需要初始化的所述专用密码机，选择其对应的所述初始化密钥，以当前系统中主密码机为源密码机，提交密钥导出申请；a5：基于所述密钥管理系统A审核所述密钥导出申请，审核通过后，以数字信封方式导出所述初始化密钥，并均分为N份，分别存入N个所述移动电子钥匙中，分开保管；a6：N个所述移动电子钥匙分别以超级管理员权限插入所述专用密码机；a7：所述专用密码机中的密钥管理子系统合并N个所述移动电子钥匙中的所述初始化密钥，解密后将所述初始化密钥存放至预设的索引位置，完成所述专用密码机进行初始化工作。5.根据权利要求1所述一种射频标签初始化密钥分发的方法，其特征在于：步骤S2中，向密钥管理系统A提出初始化密钥分发授权申请的过程，详细包括以下步骤：b1：芯片厂家接到射频标签使用企业的生产任务，基于所述芯片厂家生产系统生成授权请求文件licensereq1；b2：所述芯片厂家业务系统将所述授权请求文件licensereq1上传到所述专用密码机中；b3：所述专用密码机中的密钥管理子系统解析licensereq1，验证芯片厂家生产系统证书SYSCert、数据签名值signdata；验证通过后，所述密钥管理子系统生成密码机补充JSON数据，构成授权请求文件明文；所述授权请求文件明文包括：（厂家授权请求文件（SYSCert+signdata）JSON明文，密码机补充JSON数据）；b4：所述密钥管理子系统生成随机数R1，对所述授权请求文件明文的JSON数据进行加密，得到授权请求文件密文cryptedreq；b5：所述密钥管理子系统使用所述密钥管理系统A的证书MGMTCert中的公钥对随机数R1加密，得到随机数R1密文sessionkeyR1；构建递交版本授权申请文件；所述递交版本授权申请文件包括：（随机数R1密文sessionkeyR1 + 授权请求文件密文cryptedreq）使用专用密码机当前密钥版本字段值对应的私钥对所述递交版本授权申请文件进行签名得到签名值reqsign，形成递交版本授权申请文件密文licenser...

【专利技术属性】
技术研发人员：王军华，金涛，刘东波，朱剑欣，黄金，蒋虎，方万胜，许超，
申请(专利权)人：公安部交通管理科学研究所，
类型：发明
国别省市：