[发明专利]基于可信执行环境的安全单元密钥生成系统及方法有效
| 申请号: | 201610341285.4 | 申请日: | 2016-05-23 |
| 公开(公告)号: | CN105790938B | 公开(公告)日: | 2019-02-19 |
| 发明(设计)人: | 池方玉;王笑 | 申请(专利权)人: | 中国银联股份有限公司 |
| 主分类号: | H04L9/08 | 分类号: | H04L9/08;H04L29/06 |
| 代理公司: | 中国专利代理(香港)有限公司 72001 | 代理人: | 方世栋;付曼 |
| 地址: | 200135 上海*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 可信 执行 环境 安全 单元 密钥 生成 系统 方法 | ||
1.一种基于可信执行环境的安全单元密钥生成系统,所述系统包括可信应用管理服务器和安全单元,其中,所述可信应用管理服务器在发行安全单元将驻留于其上的安全载体时生成安全域公私钥对,并将经认证中心签名的安全域公钥证书提供给所述安全单元,所述安全单元在被使用前被提供有全局唯一的安全单元公私钥对,并且在创建安全域时自动地随机生成安全域初始密钥,以及随之将所述安全域初始密钥加密并签名以获得签名密钥密文,随后将所述签名密钥密文发送至所述可信应用管理服务器,用于建立在其上执行安全性信息交互过程的安全通道。
2.根据权利要求1所述的基于可信执行环境的安全单元密钥生成系统,其特征在于,所述安全域公钥证书被预置在所述安全单元中。
3.根据权利要求2所述的基于可信执行环境的安全单元密钥生成系统,其特征在于,所述安全单元的提供者生成安全单元提供者公私钥对,并使用安全单元提供者私钥对安全单元公钥签名以获得安全单元公钥证书,并将该安全单元公钥证书预置在所述安全单元中。
4.根据权利要求3所述的基于可信执行环境的安全单元密钥生成系统,其特征在于,在生成所述安全域初始密钥后,所述安全单元使用所述安全域公钥证书中的公钥加密所述安全域初始密钥以得到安全域初始密钥密文,随之使用安全单元私钥对所述安全域初始密钥密文签名以得到签名密钥密文,并且随后将所述签名密钥密文和所述安全单元公钥证书传送至所述可信应用管理服务器。
5.根据权利要求4所述的基于可信执行环境的安全单元密钥生成系统,其特征在于,在接收到所述签名密钥密文和所述安全单元公钥证书后,所述可信应用管理服务器使用安全单元提供者公钥验证所述安全单元公钥证书的合法性,并且如果验证所述安全单元公钥证书“合法”,则使用所述安全单元公钥证书中的安全单元公钥和安全域私钥解密所述签名密钥密文以获得所述安全域初始密钥,并随后使用所述安全域初始密钥建立所述安全通道以在其上执行后续的安全性信息交互过程。
6.根据权利要求5所述的基于可信执行环境的安全单元密钥生成系统,其特征在于,所述安全域初始密钥是16字节的随机字符串。
7.一种基于可信执行环境的安全单元密钥生成方法,所述基于可信执行环境的安全单元密钥生成方法包括下列步骤:
(A1)可信应用管理服务器在发行安全单元将驻留于其上的安全载体时生成安全域公私钥对,并将经认证中心签名的安全域公钥证书提供给安全单元;
(A2)在所述安全单元被使用前向其提供全局唯一的安全单元公私钥对,并且所述安全单元在创建安全域时自动地随机生成安全域初始密钥;
(A3)在生成安全域初始密钥后,所述安全单元将所述安全域初始密钥加密并签名以获得签名密钥密文,并随之将所述签名密钥密文发送至所述可信应用管理服务器,用于建立在其上执行安全性信息交互过程的安全通道。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国银联股份有限公司,未经中国银联股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201610341285.4/1.html,转载请声明来源钻瓜专利网。
- 上一篇:双接口认证设备及其工作方法
- 下一篇:一种自动识别的光模块加密方法
