[發(fā)明專利]一種適用于芯片的線路保護(hù)方法和系統(tǒng)有效
| 申請?zhí)枺?/td> | 202210105577.3 | 申請日: | 2022-01-28 |
| 公開(公告)號: | CN114553498B | 公開(公告)日: | 2023-06-23 |
| 發(fā)明(設(shè)計(jì))人: | 雷宗華;彭金輝;劉武忠;喬紹虎 | 申請(專利權(quán))人: | 鄭州信大捷安信息技術(shù)股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L9/08;H04L67/141 |
| 代理公司: | 鄭州德勤知識產(chǎn)權(quán)代理有限公司 41128 | 代理人: | 武亞楠 |
| 地址: | 450000 河南省*** | 國省代碼: | 河南;41 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 適用于 芯片 線路 保護(hù) 方法 系統(tǒng) | ||
本發(fā)明提出了一種適用于芯片的線路保護(hù)方法和系統(tǒng),所述方法包括:建立芯片與主機(jī)的通信鏈路,并分別在主機(jī)和芯片中預(yù)置第一加密密鑰ENC1和第一MAC密鑰MAC1;由所述芯片與所述主機(jī)在會話建立時分別基于預(yù)置的第一加密密鑰ENC1和第一MAC密鑰MAC1進(jìn)行協(xié)商,并分別得到第二加密密鑰ENC2和第二MAC密鑰MAC2;所述芯片與所述主機(jī)分別基于第二加密密鑰ENC2進(jìn)行會話數(shù)據(jù)加密保護(hù),并基于第二MAC密鑰MAC2進(jìn)行會話數(shù)據(jù)完整性保護(hù)。本發(fā)明有利于充分發(fā)揮芯片片內(nèi)的處理性能,提高芯片的利用率。本發(fā)明將傳統(tǒng)的靜態(tài)預(yù)置密鑰改為動態(tài)協(xié)商密鑰,每次會話初始化需要先協(xié)商密鑰,并基于動態(tài)協(xié)商密鑰進(jìn)行安全通信,增強(qiáng)會話數(shù)據(jù)通信的安全性。
技術(shù)領(lǐng)域
本發(fā)明涉及安全通信技術(shù)領(lǐng)域,尤其涉及一種適用于芯片的線路保護(hù)方法和系統(tǒng)。
背景技術(shù)
APDU全稱Application?Protocol?Data?Unit,應(yīng)用協(xié)議數(shù)據(jù)單元,APDU定義了主機(jī)和芯片之間交互的數(shù)據(jù)格式,APDU分為發(fā)送命令(Command-APDU)和返回命令(Response-APDU)。
Command?APDU包括必選的消息頭和可選的消息體,其中可選的消息體中的Data字段,如果非線路保護(hù)的指令,該字段指發(fā)送數(shù)據(jù)明文。如果是線路保護(hù)的指令,需要在主機(jī)和芯片預(yù)置相同的對稱密鑰,Data字段指發(fā)送數(shù)據(jù)明文使用固定對稱密鑰加密的結(jié)果。Response?APDU包括一個可選的數(shù)據(jù)段和一個必須的狀態(tài)值,其中可選的數(shù)據(jù)段中的Data字段,如果發(fā)送命令不帶線路保護(hù),該字段為返回?cái)?shù)據(jù)明文;否則該字段為返回?cái)?shù)據(jù)明文使用對稱密鑰加密的結(jié)果。
線路保護(hù)通常指主機(jī)和芯片之間傳輸?shù)臄?shù)據(jù)加密和完整性保護(hù),具體指CommandAPDU的數(shù)據(jù)字段和Response?APDU的數(shù)據(jù)字段。現(xiàn)有的線路保護(hù)機(jī)制的密鑰體系包括一個固定的用于數(shù)據(jù)加密的對稱密鑰和一個用于保護(hù)對稱密鑰存儲的主密鑰。可以理解,現(xiàn)有線路保護(hù)機(jī)制的數(shù)據(jù)加密階段使用的對稱密鑰為靜態(tài)預(yù)置密鑰,數(shù)據(jù)加密的安全性不高;另外,MAC計(jì)算一般使用累加或CRC實(shí)現(xiàn),完整性保護(hù)的安全性不高。
發(fā)明內(nèi)容
基于上述,有必要提供一種適用于芯片的線路保護(hù)方法和系統(tǒng),能夠增強(qiáng)芯片與主機(jī)之間會話數(shù)據(jù)通信的安全性。
本發(fā)明第一方面提出一種適用于芯片的線路保護(hù)方法,所述方法包括:
步驟1,建立芯片與主機(jī)的通信鏈路,并分別在主機(jī)和芯片中預(yù)置第一加密密鑰ENC1和第一MAC密鑰MAC1;
步驟2,由所述芯片與所述主機(jī)在會話建立時分別基于預(yù)置的第一加密密鑰ENC1和第一MAC密鑰MAC1進(jìn)行協(xié)商,并分別得到第二加密密鑰ENC2和第二MAC密鑰MAC2;
步驟3,在會話過程中,所述芯片與所述主機(jī)分別基于第二加密密鑰ENC2進(jìn)行會話數(shù)據(jù)加密保護(hù),并基于第二MAC密鑰MAC2進(jìn)行會話數(shù)據(jù)完整性保護(hù)。
基于上述,上述步驟2,具體包括:
步驟2-1,由所述主機(jī)向所述芯片發(fā)出挑戰(zhàn)值的請求指令;
步驟2-2,所述芯片基于接收到的請求指令產(chǎn)生第一隨機(jī)數(shù)r1,并返回給所述主機(jī);
步驟2-3,所述主機(jī)使用所述第一加密密鑰ENC1對接收到的第一隨機(jī)數(shù)r1進(jìn)行加密得到第一中間值R1;
步驟2-4,所述主機(jī)將所述第一中間值R1發(fā)送給所述芯片;
步驟2-5,所述芯片使用所述第一加密密鑰ENC1對接收到的第一中間值R1進(jìn)行解密得到第二中間值r1`,比較第二中間值r1`和第一隨機(jī)數(shù)r1是否相同;如果相同,則進(jìn)入步驟2-6,如果不同,則返回比對失敗結(jié)果給所述主機(jī),并結(jié)束本次會話流程;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于鄭州信大捷安信息技術(shù)股份有限公司,未經(jīng)鄭州信大捷安信息技術(shù)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210105577.3/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
