专利名称:初始密钥下载的方法、计算机设备及存储介质
专利类型:发明专利
专利申请号:CN202011366588.4
专利申请(专利权)人:中电金融设备系统(深圳)有限公司
权利人地址:广东省深圳市宝安区福海街道新和社区蚝业路22号201A、401A、501A
专利发明(设计)人:陈晓,杨峰,巫志清,何学武,舒翔,曾智华
专利摘要:本发明涉及一种初始密钥下载的方法、计算机设备及存储介质,该方法包括:在终端与银行后台进行对接时,终端获取存储的终端公钥签名值及识别码签名值,发送给银行后台;银行后台接收终端公钥签名值及识别码签名值,获取存储的签名中心公钥,利用签名中心公钥分别对终端公钥签名值及识别码签名值进行验签;若验签通过,银行后台获取存储的银行公钥签名值,发送给终端;终端获取存储的签名中心公钥,利用签名中心公钥对银行公钥签名值进行验签;若验签通过,对接完成,银行后台对初始密钥进行加密及签名处理,将处理结果发送给终端;终端接收处理结果,对处理结果进行验签及解密处理,得到初始密钥。本发明能够使得初始密钥安全、快捷下载至终端。
主权利要求:
1.一种初始密钥下载的方法,其特征在于,包括:
在终端与银行后台进行对接时,所述终端获取预先存储的终端公钥签名值及识别码签名值,将所述终端公钥签名值及所述识别码签名值发送给所述银行后台,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心私钥为预定的第二非对称加密算法的私钥,所述签名中心私钥是经过UKEY口令加密后形成的密文并存储在UKEY设备中,所述UKEY设备中不存储所述UKEY口令;
所述银行后台接收所述终端公钥签名值及所述识别码签名值,获取预先存储的签名中心公钥,利用所述签名中心公钥分别对所述终端公钥签名值及所述识别码签名值进行验签,以对所述终端进行校验,所述签名中心公钥为所述第二非对称加密算法的公钥;
若验签通过,则所述银行后台获取预先存储的银行公钥签名值,将所述银行公钥签名值发送给所述终端,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;
所述终端获取预先存储的所述签名中心公钥,利用所述签名中心公钥对所述银行公钥签名值进行验签,以对所述银行后台进行校验;
若验签通过,则对接完成,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端;
所述终端接收所述处理结果,对所述处理结果进行验签及解密处理,得到所述初始密钥。
2.一种初始密钥下载的方法,应用于终端,其特征在于,包括:
在终端与银行后台进行对接时,所述终端获取预先存储的终端公钥签名值及识别码签名值,将所述终端公钥签名值及所述识别码签名值发送给所述银行后台,供所述银行后台进行验签,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心私钥为预定的第二非对称加密算法的私钥,所述签名中心私钥是经过UKEY口令加密后形成的密文并存储在UKEY设备中,所述UKEY设备中不存储所述UKEY口令;
在所述银行后台验签通过后,所述终端接收所述银行后台发送的银行公钥签名值,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;
所述终端获取预先存储的所述第二非对称加密算法的签名中心公钥,利用所述签名中心公钥对所述银行公钥签名值进行验签,以对所述银行后台进行校验;
若验签通过,则对接完成,所述终端接收所述银行后台发送的、对初始密钥进行加密及签名处理的处理结果,对所述处理结果进行验签及解密处理,得到所述初始密钥。
3.根据权利要求2所述的初始密钥下载的方法,其特征在于,所述对所述处理结果进行验签及解密处理,得到所述初始密钥的步骤,具体包括:所述终端获取预存的所述银行公钥,利用所述银行公钥对所述处理结果进行验签,在验签通过后,得到加密结果,利用所述第一非对称加密算法的终端私钥对所述加密结果进行解密,得到拼接结果,利用存储的随机数对所述拼接结果中的随机数进行校验,在校验通过后,获取所述拼接结果中的初始密钥。
4.根据权利要求2或3所述的初始密钥下载的方法,其特征在于,在终端与银行后台进行对接之前,还包括:
所述终端随机产生一对密钥对,将所述终端识别码及所述密钥对中的所述终端公钥发给所述签名中心设备,供所述签名中心设备进行签名;
所述终端接收所述签名中心设备返回的所述终端公钥签名值及所述识别码签名值并存储。
5.根据权利要求2所述的初始密钥下载的方法,其特征在于,所述UKEY设备内存储有口令校验值及所述签名中心私钥的密文,所述密文为利用UKEY口令对所述签名中心私钥进行加密得到,所述口令校验值用于校验每次输入的UKEY口令的正确性。
6.一种初始密钥下载的方法,应用于银行后台,其特征在于,包括:
在终端与银行后台进行对接时,所述银行后台接收所述终端发送的终端公钥签名值及识别码签名值,获取预先存储的签名中心公钥,利用所述签名中心公钥分别对所述终端公钥签名值及所述识别码签名值进行验签,以对所述终端进行校验,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心公钥与所述签名中心私钥为预定的第二非对称加密算法的公私钥对,所述签名中心私钥是经过UKEY口令加密后形成的密文并存储在UKEY设备中,所述UKEY设备中不存储所述UKEY口令;
若验签通过,则所述银行后台获取预先存储的银行公钥签名值,将所述银行公钥签名值发送给所述终端,供所述终端进行验签,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;
若所述终端验签通过,则对接完成,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端。
7.根据权利要求6所述的初始密钥下载的方法,其特征在于,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端的步骤,具体包括:接收所述终端发送的随机数,将所述随机数与所述初始密钥进行拼接后,利用所述终端公钥对拼接结果进行加密处理,并利用所述第三非对称加密算法的银行私钥对加密结果进行签名处理,将所述处理结果发送给所述终端。
8.根据权利要求6所述的初始密钥下载的方法,其特征在于,所述UKEY设备内存储有口令校验值及所述签名中心私钥的密文,所述密文为利用UKEY口令对所述签名中心私钥进行加密得到,所述口令校验值用于校验每次输入的UKEY口令的正确性。
9.一种计算机设备,所述计算机设备包括存储器及与所述存储器连接的处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求2至5中任一项所述的初始密钥下载的方法的步骤,或者实现如权利要求6至8中任一项所述的初始密钥下载的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求2至5中任一项所述的初始密钥下载的方法的步骤,或者实现如权利要求6至8中任一项所述的初始密钥下载的方法的步骤。 说明书 : 初始密钥下载的方法、计算机设备及存储介质技术领域[0001] 本发明涉及计算机技术领域,尤其涉及一种初始密钥下载的方法、计算机设备及存储介质。背景技术[0002] 金融终端包括及自动柜员机(AutomatedTellerMachine,ATM)及支付终端(即POS机),金融终端的初始密钥的下载操作比较麻烦,需要银行在安全环境下对每台终端进行手工操作。在初始密钥下载完成后,终端才能给到商户使用。没有初始密钥的终端是无法进行交易的。由于有初始密钥的保护,因此初始密钥下级的二级主密钥和工作密钥的下载更新就比较简单,直接传送即可。为解决初始密钥下载的问题,多数银行近几年提出了远程密钥更新机制(RemoteKeyLoading,RKL),但远程密钥更新机制需要终端厂商、银行后台加密机之间进行一系列的对接流程,整个流程操作复杂,存在安全隐患。发明内容[0003] 本发明的目的在于提供一种初始密钥下载的方法、计算机设备及存储介质,旨在实现初始密钥安全、快捷下载至终端。[0004] 本发明提供一种初始密钥下载的方法,包括:[0005] 在终端与银行后台进行对接时,所述终端获取预先存储的终端公钥签名值及识别码签名值,将所述终端公钥签名值及所述识别码签名值发送给所述银行后台,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心私钥为预定的第二非对称加密算法的私钥;[0006] 所述银行后台接收所述终端公钥签名值及所述识别码签名值,获取预先存储的签名中心公钥,利用所述签名中心公钥分别对所述终端公钥签名值及所述识别码签名值进行验签,以对所述终端进行校验,所述签名中心公钥为所述第二非对称加密算法的公钥;[0007] 若验签通过,则所述银行后台获取预先存储的银行公钥签名值,将所述银行公钥签名值发送给所述终端,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0008] 所述终端获取预先存储的所述签名中心公钥,利用所述签名中心公钥对所述银行公钥签名值进行验签,以对所述银行后台进行校验;[0009] 若验签通过,则对接完成,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端;[0010] 所述终端接收所述处理结果,对所述处理结果进行验签及解密处理,得到所述初始密钥。[0011] 本发明还提供一种初始密钥下载的方法,应用于终端,包括:[0012] 在终端与银行后台进行对接时,所述终端获取预先存储的终端公钥签名值及识别码签名值,将所述终端公钥签名值及所述识别码签名值发送给所述银行后台,供所述银行后台进行验签,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心私钥为预定的第二非对称加密算法的私钥;[0013] 在所述银行后台验签通过后,所述终端接收所述银行后台发送的银行公钥签名值,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0014] 所述终端获取预先存储的所述第二非对称加密算法的签名中心公钥,利用所述签名中心公钥对所述银行公钥签名值进行验签,以对所述银行后台进行校验;[0015] 若验签通过,则对接完成,所述终端接收所述银行后台发送的、对初始密钥进行加密及签名处理的处理结果,对所述处理结果进行验签及解密处理,得到所述初始密钥。[0016] 本发明还提供一种初始密钥下载的方法,应用于银行后台,包括:[0017] 在终端与银行后台进行对接时,所述银行后台接收所述终端发送的终端公钥签名值及识别码签名值,获取预先存储的签名中心公钥,利用所述签名中心公钥分别对所述终端公钥签名值及所述识别码签名值进行验签,以对所述终端进行校验,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心公钥与所述签名中心私钥为预定的第二非对称加密算法的公私钥对;[0018] 若验签通过,则所述银行后台获取预先存储的银行公钥签名值,将所述银行公钥签名值发送给所述终端,供所述终端进行验签,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0019] 若所述终端验签通过,则对接完成,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端。[0020] 本发明还提供一种计算机设备,所述计算机设备包括存储器及与所述存储器连接的处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述应用于终端的初始密钥下载的方法的步骤,或者实现如上述应用于银行后台的初始密钥下载的方法的步骤。[0021] 本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述应用于终端的初始密钥下载的方法的步骤,或者实现如上述应用于银行后台的初始密钥下载的方法的步骤。[0022] 本发明的有益效果是:本发明在终端与银行后台进行对接前,终端与签名中心对接,得到签名中心私钥签名的终端公钥签名值及识别码签名值,银行后台通过UKEY设备中的签名中心私钥对银行公钥进行签名,得到银行公钥签名值,在终端与银行后台进行对接时,银行后台对终端的终端公钥签名值及识别码签名值进行验签,以校验终端身份的合法性,此外,终端对银行后台的银行公钥签名值进行验签,以校验银行后台身份的合法性,在确认对方身份合法后,完成对接,银行后台将初始密钥加密及签名处理后发送给终端,终端通过验签及解密后得到该初始密钥,完成初始密钥的下载。本发明通过UKEY设备提供签名中心私钥,既能对签名中心私钥进行保护,又能兼顾对接的便捷性,使得银行后台的初始密钥能够安全、快捷下载至终端。附图说明[0023] 图1为本发明初始密钥下载的方法第一实施例的流程示意图;[0024] 图2为终端与签名中心设备对接的流程示意图;[0025] 图3本发明初始密钥下载的方法第二实施例的流程示意图;[0026] 图4本发明初始密钥下载的方法第三实施例的流程示意图;[0027] 图5为本发明计算机设备一实施例的硬件架构的示意图。具体实施方式[0028] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。[0029] 需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。[0030] 参阅图1所示,是本发明初始密钥下载的方法一实施例的流程示意图。该初始密钥下载的方法应用于终端与银行后台组成的系统中。终端为金融支付终端或ATM终端,银行后台可以包括但不限于各种个人计算机、笔记本电脑、平板电脑或者网络服务器等。该初始密钥下载的方法包括:[0031] 步骤S1,在终端与银行后台进行对接时,所述终端获取预先存储的终端公钥签名值及识别码签名值,将所述终端公钥签名值及所述识别码签名值发送给所述银行后台;[0032] 其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心私钥为预定的第二非对称加密算法的私钥。终端公钥会预先内部公开,分享给有需要的多方,包括银行后台等,银行后台可以获取到终端公钥并进存储。[0033] 其中,第一非对称加密算法与第二非对称加密算法可以相同或者不同。[0034] 终端出货后在银行某网点上线,上线后终端会和银行后台进行数据对接。在终端与银行后台进行对接之前,终端与签名中心设备首先进行对接:终端随机产生第一非对称加密算法的一对密钥对,作为自身的密钥对,将终端识别码及密钥对中的终端公钥发给签名中心设备,供签名中心设备进行签名;终端接收签名中心设备返回的终端公钥签名值及识别码签名值并存储。终端识别码可以是硬件识别码,唯一标识该终端。[0035] 如图2所示,终端在出厂前与签名中心设备对接,在工厂的安全屋里,对每台终端进行操作。终端产生密钥对后将终端公钥发给签名中心设备,签名中心设备也将自己的签名中心公钥以无验证的方式发给终端,签名中心设备利用签名中心私钥对终端公钥进行签名,得到终端公钥签名值后,发送给终端,终端进行存储,终端读取自身的终端识别码,将终端识别码发送给签名中心设备,签名中心设备利用签名中心私钥对终端识别码进行签名,得到识别码签名值后,发送给终端,终端进行存储。终端后续利用终端公钥签名值及识别码签名值与银行后台进行对接。[0036] 步骤S2,所述银行后台接收所述终端公钥签名值及所述识别码签名值,获取预先存储的签名中心公钥,利用所述签名中心公钥分别对所述终端公钥签名值及所述识别码签名值进行验签,以对所述终端进行校验,所述签名中心公钥为所述第二非对称加密算法的公钥;[0037] 其中,签名中心公钥会预先内部公开,分享给有需要的多方,包括银行后台及终端,银行后台可以获取到签名中心公钥并进存储。银行后台利用签名中心公钥分别对终端公钥签名值及识别码签名值进行验签,以对终端的身份进行校验,如果两个签名值的验签均通过,则确认终端的身份合法,如果两个签名值的验签有一个未通过或者两个均未通过,则确认终端的身份不合法,对接失败。[0038] 步骤S3,若验签通过,则所述银行后台获取预先存储的银行公钥签名值,将所述银行公钥签名值发送给所述终端,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0039] 其中,第三非对称加密算法与第一非对称加密算法、第二非对称加密算法可以相同或者不同。[0040] 本实施例中,在银行后台确认终端的身份后,终端同样需要确认银行后台的身份。[0041] 其中,银行公钥会预先内部公开,分享给有需要的多方,包括签名中心设备及终端。已初始化后的UKEY设备内存储有口令校验值及签名中心私钥的密文,密文为利用UKEY口令对签名中心私钥进行加密得到,口令校验值用于校验每次输入的UKEY口令的正确性。[0042] 首先,UKEY设备连接在设备上后,输入UKEY口令,通过口令校验值对输入的UKEY口令进行校验,校验通过,则可以利用该UKEY口令对密文进行解密,得到签名中心私钥。[0043] 然后,在签名中心中利用签名中心私钥对银行公钥进行签名,得到银行公钥签名值,银行后台存储该银行公钥签名值,银行后台利用银行公钥签名值与终端进行对接。[0044] 其中,UKEY设备用于解决签名中心私钥的存储问题,以密文形式存储更加安全,在确保签名中心私钥安全的同时,还可以使得签名中心私钥的使用更加方便。在一实施方式中,UKEY设备初始化的过程包括:[0045] 1、每一个UKEY设备在发布之前都将预定一个唯一的使用者。例如有两个产线作业人员需要做UKEY设备初始化的作业流程,那么他们两人将各自拿到一个专属的UKEY设备。[0046] 2、开发一个对UKEY设备本身进行初始化设置的初始化工具,这个工具是受管控的,只有UKEY安全员有权限使用此工具。[0047] 3、产线作业人员将UKEY设备给到UKEY安全员,UKEY安全员通过初始化工具对UKEY设备进行初始化。[0048] 4、产线作业人员在UKEY初始化工具的特定页面设置一组私密的UKEY口令,这个UKEY口令不需要告诉UKEY安全员。[0049] 5、UKEY安全员利用初始化工具将UKEY口令生成一个CRK证书,下载到UKEY设备中,初始化完成。其中,CRK证书内包含,UKEY口令的口令校验值、使用UKEY口令为密钥加密签名中心私钥的密文、使用期限。UKEY设备内不含有UKEY口令的明文或密文,仅含有UKEY口令的口令校验值,口令校验值是口令的摘要值(例如,使用MD5算法得到口令校验值),不能还原UKEY口令明文。[0050] 由此,签名中心私钥是经过UKEY口令加密后形成密文存储在UKEY设备中。而UKEY口令本身没有存储在UKEY设备中,UKEY设备仅存储了UKEY口令的MD5校验值,用于判断口令是否正确。即使有第三者得到UKEY设备,将芯片内部所有数据读取出来分析,那么也仅能得到口令校验值、签名中心私钥的密文。以上两种信息都不能解密出签名中心私钥。[0051] 步骤S4,所述终端获取预先存储的所述签名中心公钥,利用所述签名中心公钥对所述银行公钥签名值进行验签,以对所述银行后台进行校验;[0052] 终端利用签名中心公钥对银行公钥签名值进行验签,以对银行后台的身份进行校验,如果银行公钥签名值的验签通过,则确认银行后台的身份合法,如果验签未通过,则确认银行后台的身份不合法,对接失败。[0053] 步骤S5,若验签通过,则对接完成,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端;[0054] 其中,终端利用签名中心公钥对银行公钥签名值进行验签通过后,终端首先产生一个随机数,将随机数发送给银行后台,银行后台接收随机数,将随机数与初始密钥进行拼接后,利用终端公钥对拼接结果进行加密处理,并利用第三非对称加密算法的银行私钥对加密结果进行签名处理,将处理结果发送给终端。[0055] 步骤S6,所述终端接收所述处理结果,对所述处理结果进行验签及解密处理,得到所述初始密钥。[0056] 其中,终端获取预存的银行公钥,利用银行公钥对处理结果进行验签,在验签通过后,得到加密结果,利用第一非对称加密算法的终端私钥对加密结果进行解密,得到拼接结果,利用存储的随机数对拼接结果中的随机数进行校验,在校验通过后,获取拼接结果中的初始密钥,这样终端完成初始密钥的下载。[0057] 在其他实施例中,本发明还提供一种应用于终端的初始密钥下载的方法,如图3所示,该初始密钥下载的方法包括以下步骤:[0058] 步骤S101,在终端与银行后台进行对接时,所述终端获取预先存储的终端公钥签名值及识别码签名值,将所述终端公钥签名值及所述识别码签名值发送给所述银行后台,供所述银行后台进行验签,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心私钥为预定的第二非对称加密算法的私钥;[0059] 步骤S102,在所述银行后台验签通过后,所述终端接收所述银行后台发送的银行公钥签名值,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0060] 步骤S103,所述终端获取预先存储的所述第二非对称加密算法的签名中心公钥,利用所述签名中心公钥对所述银行公钥签名值进行验签,以对所述银行后台进行校验;[0061] 步骤S104,若验签通过,则对接完成,所述终端接收所述银行后台发送的、对初始密钥进行加密及签名处理的处理结果,对所述处理结果进行验签及解密处理,得到所述初始密钥。[0062] 进一步地,所述对所述处理结果进行验签及解密处理,得到所述初始密钥的步骤,具体包括:[0063] 所述终端获取预存的所述银行公钥,利用所述银行公钥对所述处理结果进行验签,在验签通过后,得到加密结果,利用所述第一非对称加密算法的终端私钥对所述加密结果进行解密,得到拼接结果,利用存储的随机数对所述拼接结果中的随机数进行校验,在校验通过后,获取所述拼接结果中的初始密钥。[0064] 进一步地,在终端与银行后台进行对接之前,还包括:[0065] 所述终端随机产生一对密钥对,将所述终端识别码及所述密钥对中的所述终端公钥发给所述签名中心设备,供所述签名中心设备进行签名;[0066] 所述终端接收所述签名中心设备返回的所述终端公钥签名值及所述识别码签名值并存储。[0067] 此外,应用于终端的初始密钥下载的方法的其他具体限定可以参考图1的实施例的具体说明,此处不做赘述。[0068] 在其他实施例中,本发明还提供一种应用于银行后台的初始密钥下载的方法,如图4所示,该初始密钥下载的方法包括以下步骤:[0069] 步骤S201,在终端与银行后台进行对接时,所述银行后台接收所述终端发送的终端公钥签名值及识别码签名值,获取预先存储的签名中心公钥,利用所述签名中心公钥分别对所述终端公钥签名值及所述识别码签名值进行验签,以对所述终端进行校验,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心公钥与所述签名中心私钥为预定的第二非对称加密算法的公私钥对;[0070] 步骤S202,若验签通过,则所述银行后台获取预先存储的银行公钥签名值,将所述银行公钥签名值发送给所述终端,供所述终端进行验签,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0071] 步骤S203,若所述终端验签通过,则对接完成,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端。[0072] 进一步地,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端的步骤,具体包括:[0073] 接收所述终端发送的随机数,将所述随机数与所述初始密钥进行拼接后,利用所述终端公钥对拼接结果进行加密处理,并利用所述第三非对称加密算法的银行私钥对加密结果进行签名处理,将所述处理结果发送给所述终端。[0074] 此外,应用于银行后台的初始密钥下载的方法的其他具体限定可以参考图1的实施例的具体说明,此处不做赘述。[0075] 在其他实施例中,本发明还提供一种终端,所述终端包括:[0076] 发送模块,用于在终端与银行后台进行对接时,获取预先存储的终端公钥签名值及识别码签名值,将所述终端公钥签名值及所述识别码签名值发送给所述银行后台,供所述银行后台进行验签,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心私钥为预定的第二非对称加密算法的私钥;[0077] 接收模块,用于在所述银行后台验签通过后,接收所述银行后台发送的银行公钥签名值,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0078] 验签模块,用于获取预先存储的所述第二非对称加密算法的签名中心公钥,利用所述签名中心公钥对所述银行公钥签名值进行验签,以对所述银行后台进行校验;[0079] 处理模块,用于若验签通过,则对接完成,所述终端接收所述银行后台发送的、对初始密钥进行加密及签名处理的处理结果,对所述处理结果进行验签及解密处理,得到所述初始密钥。[0080] 终端的具体限定可以参见上文中对于应用于终端的初始密钥下载的方法的限定,在此不再赘述。上述终端中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。[0081] 在其他实施例中,本发明还提供一种银行后台,所述银行后台包括:[0082] 验签模块,用于在终端与银行后台进行对接时,接收所述终端发送的终端公钥签名值及识别码签名值,获取预先存储的签名中心公钥,利用所述签名中心公钥分别对所述终端公钥签名值及所述识别码签名值进行验签,以对所述终端进行校验,其中,所述终端公钥签名值为签名中心设备利用签名中心私钥对终端公钥进行签名得到,所述识别码签名值为所述签名中心设备利用所述签名中心私钥对终端识别码进行签名得到,所述终端公钥为预定的第一非对称加密算法的公钥,所述签名中心公钥与所述签名中心私钥为预定的第二非对称加密算法的公私钥对;[0083] 发送模块,用于若验签通过,则所述银行后台获取预先存储的银行公钥签名值,将所述银行公钥签名值发送给所述终端,供所述终端进行验签,所述银行公钥签名值为利用已初始化后UKEY设备内的所述签名中心私钥对银行公钥进行签名得到,所述银行公钥为预定的第三非对称加密算法的公钥;[0084] 处理模块,用于若所述终端验签通过,则对接完成,所述银行后台对初始密钥进行加密及签名处理,将处理结果发送给所述终端。[0085] 银行后台的具体限定可以参见上文中对于应用于银行后台的初始密钥下载的方法的限定,在此不再赘述。上述银行后台中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。[0086] 在一个实施例中,提供了一种计算机设备,该计算机设备是一种能够按照事先设定或者存储的指令,自动进行数值计算和/或信息处理的设备。所述计算机设备可以是PC(PersonalComputer,个人电脑),或者是智能手机、平板电脑、计算机、也可以是单个网络服务器、多个网络服务器组成的服务器组或者基于云计算的由大量主机或者网络服务器构成的云,其中云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。[0087] 如图5所示,所述计算机设备可包括,但不仅限于,可通过系统总线相互通信连接的存储器11、处理器12、网络接口13,存储器11存储有可在处理器12上运行的计算机程序。需要指出的是,图5仅示出了具有组件11-13的计算机设备,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。[0088] 其中,存储器11可以是非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。本实施例中,存储器11的可读存储介质通常用于存储安装于计算机设备的操作系统和各类应用软件,例如存储本发明一实施例中的计算机程序的程序代码等。此外,存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。[0089] 所述处理器12在一些实施例中可以是中央处理器(CentralProcessingUnit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片,用于运行所述存储器11中存储的程序代码或者处理数据,例如运行计算机程序等。[0090] 所述网络接口13可包括标准的无线网络接口、有线网络接口,该网络接口13通常用于在所述计算机设备与其他电子设备之间建立通信连接。[0091] 所述计算机程序存储在存储器11中,包括至少一个存储在存储器11中的计算机可读指令,该至少一个计算机可读指令可被处理器12执行,以实现如上述应用于终端的初始密钥下载的方法的步骤,或者实现如上述应用于银行后台的初始密钥下载的方法的步骤。[0092] 在一个实施例中,本发明提供了一种计算机可读存储介质,计算机可读存储介质可以是非易失性和/或易失性存储器,其上存储有计算机程序,计算机程序被处理器执行时实现如上述应用于终端的初始密钥下载的方法的步骤,或者实现如上述应用于银行后台的初始密钥下载的方法的步骤,例如图3所示的步骤S101至步骤S104,或者图4所示的步骤S201至步骤S203。或者,计算机程序被处理器执行时实现上述实施例中终端或银行后台的各模块/单元的功能。为避免重复,这里不再赘述。[0093] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序在执行时,可包括如上述各方法的实施例的流程。[0094] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。[0095] 需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。[0096] 以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
专利地区:广东
专利申请日期:2020-11-26
专利公开日期:2024-07-26
专利公告号:CN112446782B