[發明專利]基于可信執行環境的安全單元密鑰生成系統及方法有效
| 申請號: | 201610341285.4 | 申請日: | 2016-05-23 |
| 公開(公告)號: | CN105790938B | 公開(公告)日: | 2019-02-19 |
| 發明(設計)人: | 池方玉;王笑 | 申請(專利權)人: | 中國銀聯股份有限公司 |
| 主分類號: | H04L9/08 | 分類號: | H04L9/08;H04L29/06 |
| 代理公司: | 中國專利代理(香港)有限公司 72001 | 代理人: | 方世棟;付曼 |
| 地址: | 200135 上海*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 可信 執行 環境 安全 單元 密鑰 生成 系統 方法 | ||
1.一種基于可信執行環境的安全單元密鑰生成系統,所述系統包括可信應用管理服務器和安全單元,其中,所述可信應用管理服務器在發行安全單元將駐留于其上的安全載體時生成安全域公私鑰對,并將經認證中心簽名的安全域公鑰證書提供給所述安全單元,所述安全單元在被使用前被提供有全局唯一的安全單元公私鑰對,并且在創建安全域時自動地隨機生成安全域初始密鑰,以及隨之將所述安全域初始密鑰加密并簽名以獲得簽名密鑰密文,隨后將所述簽名密鑰密文發送至所述可信應用管理服務器,用于建立在其上執行安全性信息交互過程的安全通道。
2.根據權利要求1所述的基于可信執行環境的安全單元密鑰生成系統,其特征在于,所述安全域公鑰證書被預置在所述安全單元中。
3.根據權利要求2所述的基于可信執行環境的安全單元密鑰生成系統,其特征在于,所述安全單元的提供者生成安全單元提供者公私鑰對,并使用安全單元提供者私鑰對安全單元公鑰簽名以獲得安全單元公鑰證書,并將該安全單元公鑰證書預置在所述安全單元中。
4.根據權利要求3所述的基于可信執行環境的安全單元密鑰生成系統,其特征在于,在生成所述安全域初始密鑰后,所述安全單元使用所述安全域公鑰證書中的公鑰加密所述安全域初始密鑰以得到安全域初始密鑰密文,隨之使用安全單元私鑰對所述安全域初始密鑰密文簽名以得到簽名密鑰密文,并且隨后將所述簽名密鑰密文和所述安全單元公鑰證書傳送至所述可信應用管理服務器。
5.根據權利要求4所述的基于可信執行環境的安全單元密鑰生成系統,其特征在于,在接收到所述簽名密鑰密文和所述安全單元公鑰證書后,所述可信應用管理服務器使用安全單元提供者公鑰驗證所述安全單元公鑰證書的合法性,并且如果驗證所述安全單元公鑰證書“合法”,則使用所述安全單元公鑰證書中的安全單元公鑰和安全域私鑰解密所述簽名密鑰密文以獲得所述安全域初始密鑰,并隨后使用所述安全域初始密鑰建立所述安全通道以在其上執行后續的安全性信息交互過程。
6.根據權利要求5所述的基于可信執行環境的安全單元密鑰生成系統,其特征在于,所述安全域初始密鑰是16字節的隨機字符串。
7.一種基于可信執行環境的安全單元密鑰生成方法,所述基于可信執行環境的安全單元密鑰生成方法包括下列步驟:
(A1)可信應用管理服務器在發行安全單元將駐留于其上的安全載體時生成安全域公私鑰對,并將經認證中心簽名的安全域公鑰證書提供給安全單元;
(A2)在所述安全單元被使用前向其提供全局唯一的安全單元公私鑰對,并且所述安全單元在創建安全域時自動地隨機生成安全域初始密鑰;
(A3)在生成安全域初始密鑰后,所述安全單元將所述安全域初始密鑰加密并簽名以獲得簽名密鑰密文,并隨之將所述簽名密鑰密文發送至所述可信應用管理服務器,用于建立在其上執行安全性信息交互過程的安全通道。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國銀聯股份有限公司,未經中國銀聯股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610341285.4/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:雙接口認證設備及其工作方法
- 下一篇:一種自動識別的光模塊加密方法
