【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及信息安全領(lǐng)域,尤其涉及一種密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法及裝置。
技術(shù)介紹
1、softpos(全稱:software?pos)是指利用軟件應(yīng)用程序和移動設(shè)備(如智能手機(jī)、平板電腦等)來完成零售交易處理的技術(shù)。softpos系統(tǒng)通常包括一個應(yīng)用程序,通過連接到支付服務(wù)提供商的網(wǎng)絡(luò),可以接受信用卡和借記卡支付。和傳統(tǒng)pos設(shè)備比較,softpos沒有sm(英文全稱:safe?module,中文全稱:安全模塊)安全區(qū)域,且pci?mpoc規(guī)范要求主密鑰不能在內(nèi)存中出現(xiàn),故如何保證softpos內(nèi)的密鑰安全性是亟待解決的問題。
技術(shù)實(shí)現(xiàn)思路
1、本專利技術(shù)的目的是為了克服現(xiàn)有技術(shù)的不足,提供一種密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法及裝置。
2、第一方面,本專利技術(shù)實(shí)施例提供了一種密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,適用于包括softpos、和keystore的移動設(shè)備,所述softpos包含上層應(yīng)用和sdk,所述sdk集成于所述上層應(yīng)用或與所述上層應(yīng)用獨(dú)立設(shè)置,所述方法包括密鑰導(dǎo)入過程和密鑰使用過程,所述密鑰導(dǎo)入過程包括:
3、步驟s1:所述sdk的密鑰導(dǎo)入接口被所述上層應(yīng)用調(diào)用時,所述sdk調(diào)用keystore的第一接口,并將所述第一接口返回的證書鏈轉(zhuǎn)發(fā)給推送服務(wù);
4、步驟s2:所述sdk接收所述推送服務(wù)轉(zhuǎn)發(fā)hsm返回的第一加密結(jié)果、第一隨機(jī)數(shù)、第二加密結(jié)果和標(biāo)簽數(shù)據(jù);所述第一加密結(jié)果為所述hsm使用所述證書鏈的第一證書中的封裝公鑰對生成的第一密鑰進(jìn)
5、步驟s3:所述sdk將所述第一加密結(jié)果、所述第一隨機(jī)數(shù)、所述第二加密結(jié)果、所述標(biāo)簽數(shù)據(jù)發(fā)送給所述keystore進(jìn)行驗(yàn)證,如驗(yàn)證通過則所述sdk將生成的主密鑰標(biāo)識與通過所述keystore解密所述第二加密結(jié)果得到的主密鑰對應(yīng)保存在keystore中;
6、所述密鑰使用過程包括:
7、步驟t1:所述sdk的密鑰加密接口被所述上層應(yīng)用調(diào)用時,所述sdk將所述主密鑰標(biāo)識、內(nèi)置的預(yù)設(shè)數(shù)據(jù)和生成的第二隨機(jī)數(shù)發(fā)送給所述keystore,接收所述keystore返回的使用與所述主密鑰標(biāo)識對應(yīng)的主密鑰對所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)和所述第二隨機(jī)數(shù)進(jìn)行加密得到的第一工作密鑰;
8、步驟t2:所述sdk使用所述第一工作密鑰對待處理數(shù)據(jù)進(jìn)行加密得到第一待處理數(shù)據(jù)密文,將所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)、所述第二隨機(jī)數(shù)和所述第一待處理數(shù)據(jù)密文發(fā)送給所述推送服務(wù);
9、步驟t3:所述sdk接收所述推送服務(wù)轉(zhuǎn)發(fā)的所述hsm返回的處理結(jié)果密文和第三隨機(jī)數(shù);
10、步驟t4:所述sdk將所述第三隨機(jī)數(shù)和所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)發(fā)送給所述keystore,接收所述keystore返回的使用與所述主密鑰標(biāo)識對應(yīng)的所述主密鑰對所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)和所述第三隨機(jī)數(shù)進(jìn)行加密得到的第四工作密鑰,使用所述第四工作密鑰對所述處理結(jié)果密文進(jìn)行解密,解密成功得到處理結(jié)果,根據(jù)所述處理結(jié)果進(jìn)行后續(xù)操作,清除所述第一工作密鑰和所述第四工作密鑰。
11、第二方面,本專利技術(shù)實(shí)施例又提供一種密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)裝置,應(yīng)用于包含softpos和keystore的移動設(shè)備中,所述裝置具體設(shè)置在所述softpos中,集成于所述softpos中的上層應(yīng)用或與上層應(yīng)用獨(dú)立設(shè)置,該裝置包括密鑰導(dǎo)入模塊和密鑰使用模塊,所述密鑰導(dǎo)入模塊包括:
12、第一接收轉(zhuǎn)發(fā)單元,用于在密鑰導(dǎo)入接口被所述上層應(yīng)用調(diào)用時,調(diào)用keystore的第一接口,并將所述第一接口返回的證書鏈轉(zhuǎn)發(fā)給推送服務(wù);
13、第一接收單元,用于接收所述推送服務(wù)轉(zhuǎn)發(fā)hsm返回的第一加密結(jié)果、第一隨機(jī)數(shù)、第二加密結(jié)果和標(biāo)簽數(shù)據(jù);所述第一加密結(jié)果為所述hsm使用所述證書鏈的第一證書中的封裝公鑰對生成的第一密鑰進(jìn)行加密得到的,所述第二加密結(jié)果和標(biāo)簽數(shù)據(jù)為所述hsm使用所述第一密鑰對生成的第一隨機(jī)數(shù)和主密鑰進(jìn)行處理得到的;
14、第一發(fā)送單元,用于將所述第一加密結(jié)果、所述第一隨機(jī)數(shù)、所述第二加密結(jié)果、所述標(biāo)簽數(shù)據(jù)發(fā)送給所述keystore進(jìn)行驗(yàn)證,如驗(yàn)證通過則將生成的主密鑰標(biāo)識與通過所述keystore解密所述第二加密結(jié)果得到的主密鑰對應(yīng)保存在keystore中;
15、所述密鑰使用模塊包括:
16、第一發(fā)送接收單元,用于在密鑰加密接口被所述上層應(yīng)用調(diào)用時,將所述主密鑰標(biāo)識、內(nèi)置的預(yù)設(shè)數(shù)據(jù)和生成的第二隨機(jī)數(shù)發(fā)送給所述keystore,接收所述keystore返回的使用與所述主密鑰標(biāo)識對應(yīng)的主密鑰對所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)和所述第二隨機(jī)數(shù)進(jìn)行加密得到的第一工作密鑰;
17、第一加密發(fā)送單元,用于使用所述第一工作密鑰對待處理數(shù)據(jù)進(jìn)行加密得到第一待處理數(shù)據(jù)密文,將所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)、所述第二隨機(jī)數(shù)和所述第一待處理數(shù)據(jù)密文發(fā)送給所述推送服務(wù);
18、第二接收轉(zhuǎn)發(fā)單元,用于接收所述推送服務(wù)轉(zhuǎn)發(fā)的所述hsm返回的處理結(jié)果密文和第三隨機(jī)數(shù);
19、發(fā)送接收解密單元,用于將所述第三隨機(jī)數(shù)和所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)發(fā)送給所述keystore,接收所述keystore返回的使用與所述主密鑰標(biāo)識對應(yīng)的所述主密鑰對所述內(nèi)置的預(yù)設(shè)數(shù)據(jù)和所述第三隨機(jī)數(shù)進(jìn)行加密得到的第四工作密鑰,使用所述第四工作密鑰對所述處理結(jié)果密文進(jìn)行解密,解密成功得到處理結(jié)果,根據(jù)所述處理結(jié)果進(jìn)行后續(xù)操作,清除所述第一工作密鑰和所述第四工作密鑰。
20、第三方面,本專利技術(shù)實(shí)施例又提供一種電子設(shè)備,所述電子設(shè)備包括至少一個處理器、存儲器及存儲在所述存儲器上并可被所述至少一個處理器執(zhí)行的指令,所述至少一個處理器執(zhí)行所述指令以實(shí)現(xiàn)前述的方法。
21、第四方面,本專利技術(shù)實(shí)施例又提供一種計(jì)算機(jī)可讀存儲介質(zhì),所述計(jì)算機(jī)可讀存儲介質(zhì)包括計(jì)算機(jī)程序,當(dāng)所述計(jì)算機(jī)程序在電子設(shè)備上運(yùn)行時,使得所述電子設(shè)備執(zhí)行上述任一項(xiàng)所述的方法。
22、第五方面,本專利技術(shù)實(shí)施例又提供一種芯片系統(tǒng),包括芯片,所述芯片與存儲器耦合,用于執(zhí)行所述存儲器中存儲的計(jì)算機(jī)程序,以執(zhí)行上述任一項(xiàng)所述的方法。
23、本專利技術(shù)與現(xiàn)有技術(shù)相比,具有以下優(yōu)點(diǎn):本專利技術(shù)技術(shù)方案中使用keystore(中文名稱:密鑰庫)保存主密鑰,且主密鑰在傳輸過程中和傳入keystore時均以密文形式存在,根據(jù)keystroe里的主密鑰生成工作密鑰,使用工作密鑰進(jìn)行數(shù)據(jù)處理過程,處理完成后清除工作密鑰,每次處理過程的工作密鑰都不同,實(shí)現(xiàn)簡單安全。
本文檔來自技高網(wǎng)...【技術(shù)保護(hù)點(diǎn)】
1.一種密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,適用于包括SoftPOS、和Keystore的移動設(shè)備,所述SoftPOS包含上層應(yīng)用和SDK,所述SDK集成于所述上層應(yīng)用或與所述上層應(yīng)用獨(dú)立設(shè)置,所述方法包括密鑰導(dǎo)入過程和密鑰使用過程,所述密鑰導(dǎo)入過程包括:
2.如權(quán)利要求1所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述SDK調(diào)用Keystore的第一接口之后還包括:當(dāng)所述Keystore的第一接口被調(diào)用時,所述Keystore生成封裝密鑰對并保存,根據(jù)所述封裝密鑰對中的封裝公鑰生成第一證書,根據(jù)所述第一證書生成證書鏈,將所述證書鏈返回給所述SDK。
3.如權(quán)利要求1所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟S1與所述步驟S2之間還包括:
4.如權(quán)利要求3所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述證書鏈包括第一證書、第二證書、第三證書和第四證書,所述步驟B1包括:
5.如權(quán)利要求4所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟B14之前還包括:所述推送服務(wù)每隔預(yù)設(shè)時長根據(jù)預(yù)設(shè)的指定網(wǎng)址獲取
6.如權(quán)利要求4所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟B14之前還包括:所述推送服務(wù)根據(jù)預(yù)設(shè)的指定網(wǎng)址獲取驗(yàn)證證書吊銷列表,判斷所述第四證書是否在驗(yàn)證證書吊銷列表中,是則給所述SDK返回驗(yàn)證失敗信息,否則執(zhí)行步驟B14;和/或
7.如權(quán)利要求3所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟B1之前還包括:所述推送服務(wù)根據(jù)預(yù)設(shè)的指定網(wǎng)址下載所述驗(yàn)證證書。
8.如權(quán)利要求3所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟B5包括:所述推送服務(wù)接收所述HSM返回的第一加密結(jié)果、第一隨機(jī)數(shù)、第二加密結(jié)果和標(biāo)簽數(shù)據(jù)并根據(jù)預(yù)設(shè)格式進(jìn)行組裝,將組裝結(jié)果發(fā)送給所述SDK。
9.如權(quán)利要求8所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟S3包括:
10.如權(quán)利要求1所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟T1中的將所述主密鑰標(biāo)識、內(nèi)置的預(yù)設(shè)數(shù)據(jù)和生成的第二隨機(jī)數(shù)發(fā)送給所述Keystore之后還包括:所述Keystore根據(jù)接收到的主密鑰標(biāo)識獲取對應(yīng)保存的主密鑰,使用所述主密鑰對接收到的所述預(yù)設(shè)數(shù)據(jù)和所述第二隨機(jī)數(shù)進(jìn)行加密得到第一工作密鑰,將所述第一工作密鑰返回給所述SDK。
11.權(quán)利要求1所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟T2與所述步驟T3之間還包括:
12.如權(quán)利要求1所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟T4中的所述SDK將所述第三隨機(jī)數(shù)和所述預(yù)設(shè)數(shù)據(jù)發(fā)送給所述Keystore與接收所述Keystore返回的使用與所述主密鑰對所述預(yù)設(shè)數(shù)據(jù)和所述第三隨機(jī)數(shù)進(jìn)行加密得到的第四工作密鑰之間還包括:所述Keystore使用保存的主密鑰對接收到的所述預(yù)設(shè)數(shù)據(jù)和所述第三隨機(jī)數(shù)進(jìn)行加密得到第四工作密鑰,將所述第四工作密鑰返回給所述SDK,清除所述第一工作密鑰和所述第四工作密鑰。
13.一種密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)裝置,其特征在于,應(yīng)用于包含SoftPOS和Keystore的移動設(shè)備中,所述裝置具體設(shè)置在所述SoftPOS中,集成于所述SoftPOS中的上層應(yīng)用或與上層應(yīng)用獨(dú)立設(shè)置,所述裝置包括密鑰導(dǎo)入模塊和密鑰使用模塊,所述密鑰導(dǎo)入模塊包括:
14.一種電子設(shè)備,其特征在于,所述電子設(shè)備包括至少一個處理器、存儲器及存儲在所述存儲器上并可被所述至少一個處理器執(zhí)行的指令,所述至少一個處理器執(zhí)行所述指令以實(shí)現(xiàn)權(quán)利要求1至12任一項(xiàng)所述的方法。
15.一種計(jì)算機(jī)可讀存儲介質(zhì),其特征在于,所述計(jì)算機(jī)可讀存儲介質(zhì)包括計(jì)算機(jī)程序,當(dāng)所述計(jì)算機(jī)程序在電子設(shè)備上運(yùn)行時,使得所述電子設(shè)備執(zhí)行如權(quán)利要求1至12任一項(xiàng)所述的方法。
16.一種芯片系統(tǒng),其特征在于,包括芯片,所述芯片與存儲器耦合,用于執(zhí)行所述存儲器中存儲的計(jì)算機(jī)程序,以執(zhí)行權(quán)利要求1-12任一項(xiàng)所述的方法。
...【技術(shù)特征摘要】
1.一種密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,適用于包括softpos、和keystore的移動設(shè)備,所述softpos包含上層應(yīng)用和sdk,所述sdk集成于所述上層應(yīng)用或與所述上層應(yīng)用獨(dú)立設(shè)置,所述方法包括密鑰導(dǎo)入過程和密鑰使用過程,所述密鑰導(dǎo)入過程包括:
2.如權(quán)利要求1所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述sdk調(diào)用keystore的第一接口之后還包括:當(dāng)所述keystore的第一接口被調(diào)用時,所述keystore生成封裝密鑰對并保存,根據(jù)所述封裝密鑰對中的封裝公鑰生成第一證書,根據(jù)所述第一證書生成證書鏈,將所述證書鏈返回給所述sdk。
3.如權(quán)利要求1所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟s1與所述步驟s2之間還包括:
4.如權(quán)利要求3所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述證書鏈包括第一證書、第二證書、第三證書和第四證書,所述步驟b1包括:
5.如權(quán)利要求4所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟b14之前還包括:所述推送服務(wù)每隔預(yù)設(shè)時長根據(jù)預(yù)設(shè)的指定網(wǎng)址獲取所述驗(yàn)證證書的狀態(tài)并更新。
6.如權(quán)利要求4所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟b14之前還包括:所述推送服務(wù)根據(jù)預(yù)設(shè)的指定網(wǎng)址獲取驗(yàn)證證書吊銷列表,判斷所述第四證書是否在驗(yàn)證證書吊銷列表中,是則給所述sdk返回驗(yàn)證失敗信息,否則執(zhí)行步驟b14;和/或
7.如權(quán)利要求3所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟b1之前還包括:所述推送服務(wù)根據(jù)預(yù)設(shè)的指定網(wǎng)址下載所述驗(yàn)證證書。
8.如權(quán)利要求3所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟b5包括:所述推送服務(wù)接收所述hsm返回的第一加密結(jié)果、第一隨機(jī)數(shù)、第二加密結(jié)果和標(biāo)簽數(shù)據(jù)并根據(jù)預(yù)設(shè)格式進(jìn)行組裝,將組裝結(jié)果發(fā)送給所述sdk。
9.如權(quán)利要求8所述的密鑰導(dǎo)入和密鑰使用的實(shí)現(xiàn)方法,其特征在于,所述步驟s3包括:
...【專利技術(shù)屬性】
技術(shù)研發(fā)人員:陸舟,
申請(專利權(quán))人:飛天誠信科技股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。