[发明专利]用于设置密码密钥的权限的方法、程序以及密码处理系统

说明书

根据本公开的第一方面，构想一种用于在密码处理系统中设置密码密钥的权限的方法，包括：生成待受保护的至少一个密码密钥；将一个或多个可配置特性分配到所述密码密钥；其中所述可配置特性限定对所述密码密钥执行第一组预定义操作的权限和使用所述密码密钥执行第二组预定义操作的权限中的至少一个。根据本公开的第二方面，提供一种对应的计算机程序。根据本公开的第三方面，提供一种对应的密码处理系统。

技术领域

本公开涉及一种用于在密码处理系统中设置密码密钥的权限的方法。此外，本公开涉及一种对应计算机程序和一种对应密码处理系统。

背景技术

数据的安全处理在许多应用中至关重要。在例如安全元件等防篡改集成电路中，安全性等级相对较高。应注意，安全元件(SE)可以是具有已安装或已预安装的智能卡级的应用程序(例如，支付应用程序)的防篡改集成电路，所述应用程序具有指定功能和指定安全性等级。此外，安全元件可实施安全性功能，例如，密码功能和认证功能。

发明内容

根据本公开的第一方面，构想一种用于在密码处理系统中设置密码密钥的权限的方法，包括：生成待受保护的至少一个密码密钥；将一个或多个可配置特性分配到所述密码密钥；其中所述可配置特性限定对所述密码密钥执行第一组预定义操作的权限和使用所述密码密钥执行第二组预定义操作的权限中的至少一个。

在一个或多个实施例中，所述第一组预定义操作包括至少一个以下操作：由处理单元读取所述密码密钥；将所述密码密钥导出到外部装置；包装所述密码密钥；解包所述密码密钥。

在一个或多个实施例中，所述第二组预定义操作包括至少一个以下操作：使用所述密码密钥来生成另一密码密钥；使用所述密码密钥来包装另一密码密钥；使用所述密码密钥来执行预定义密码功能，其中所述密码功能包括用所述密码密钥对数据进行加密和/或解密。

在一个或多个实施例中，当所述密码密钥从根密钥派生时，将所述可配置特性分配到所述密码密钥，并且其中所述可配置特性用于调整用于从所述根密钥派生所述密码密钥的派生数据。

在一个或多个实施例中，当所述密码密钥从所述根密钥派生时，所述密码密钥与所述密码处理系统的至少一个预定义状态相关联。

在一个或多个实施例中，如果所述密码处理系统的当前状态并不对应于所述预定义状态，则使用所述密码密钥执行的一个或多个操作失败。

在一个或多个实施例中，所述可配置特性可由所述密码系统的安全处理单元访问。

在一个或多个实施例中，所述可配置特性仅可由所述安全处理单元读取。

在一个或多个实施例中，所述可配置特性中的至少一些是互斥的。

在一个或多个实施例中，如果根据分配到所述密码密钥的所述可配置特性不准许对所述密码密钥执行一个或多个操作或使用所述密码密钥执行一个或多个操作，则暂停或中止所述操作。

在一个或多个实施例中，如果对所述密码密钥执行一个或多个操作或使用所述密码密钥执行一个或多个操作，根据分配到所述密码密钥的所述可配置特性不准许所述操作，则清空所述密码密钥。

在一个或多个实施例中，在所述密码密钥被传输到所述密码处理系统的非安全组件，具体地说，被传输到所述密码处理系统的非易失性存储器之前，包装所述密码密钥。

在一个或多个实施例中，当从所述密码处理系统的所述非安全组件检索到所述密码密钥时，解包所述密码密钥。

根据本公开的第二方面，提供一种计算机程序，包括可执行指令，所述可执行指令在由密码处理系统执行时实行所阐述种类的方法。