(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210126996.5 (22)申请日 2022.02.11 (65)同一申请的已公布的文献号 申请公布号 CN 114172649 A (43)申请公布日 2022.03.11 (73)专利权人 厚普智慧物联科技有限公司 地址 610041 四川省成 都市高新区世纪城 南路599号6栋11层3号 (72)发明人 秦江君　杨君　杨春龙　张朝斌　 刘兵　廖婷　钟怀军　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 王宝筠 (51)Int.Cl. H04L 9/08(2006.01)H04L 9/30(2006.01) H04L 9/32(2006.01) (56)对比文件 CN 104463016 A,2015.0 3.25 CN 108923921 A,2018.1 1.30 CN 10723 0068 A,2017.10.0 3 CN 105634730 A,2016.0 6.01 CN 10269345 5 A,2012.09.26 CN 106997533 A,2017.08.01 CN 106971124 A,2017.07.21 龚敏等.基 于城市通 卡的发卡与密钥管理研 究. 《福建电脑》 .2012,(第0 5期), 陈勇.金融IC卡的密钥管理. 《中国信用卡》 . (第10期), 审查员 易利 (54)发明名称 一种基于智能IC卡安全认证的云密钥管理 方法及系统 (57)摘要 本发明公开了一种基于智能IC卡安全认证 的云密钥管理方法及系统， 该方法包括： 生成根 密钥组并存储， 所述根密钥组包括导出密钥 EPKn、 保护密钥PPKn、 传输密钥TPKn； 对于注册用 户， 接收来自用户的制卡申请以及装载随机数 SRDn； 对申请制卡的注册用户的身份进行审核， 审核通过后根据注册用户发起的业务生成相应 加密数据， 并将加密数据下发至用户； 利用下发 的加密数据制作智能IC卡。 本发明舍弃了硬件加 密机降低了成本， 云系统部署、 接入、 运维快捷且 成本低， 数据高度集中、 共享， 企业对制卡情况一 目了然。 有利于大规模推广和使用。 权利要求书2页 说明书6页 附图2页 CN 114172649 B 2022.05.13 CN 114172649 B 1.一种基于智能IC卡 安全认证的云密钥管理方法， 其特 征在于包括： 生成根密钥组并存储， 所述根密钥组包括导出密钥EPKn、 保护密钥PPKn、 传输密钥 TPKn； 对于未注册用户， 接收来自用户的注册申请及申请资料； 对申请资料进行审核， 审核通 过后对用户企业基础信息、 企业初始管理员权限、 发放 企业额定的看门狗数量进 行注册， 生 成企业编号CNO、 系统项目编号PNO、 RSA公钥CRPK、 私钥CS SK； 对于注册用户， 接收来自用户的制卡申请以及装载随机数SRDn； 对申请制卡的注册用户的身份进行审核， 审核通过后 根据注册用户发起的业务生成相 应加密数据， 并将加密数据下发至用户； 所述根据注册用户发起的业务生成相 应加密数据 包括： 按照用户的企业编号CNO、 系统项目编号PNO、 用户卡号USNO作为 企业密钥分散因子与 根密钥组中的导出密钥EPKn进行分散序列密钥组， 生成密钥UPKn； 将根密钥组中的保护密 钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生 成加密数据M； 将装 载随机数SRDn 作为MAC计算默认数据， 并将根密钥组中的传输密钥TPKn与企业编号CNO分散后对第一次加 密数据M进行MAC计算输出MAC字符串MAC1； 将加密数据M与MAC字符串MAC1相加得到更新或 装载密钥的指令fa； 利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成加密数据 f； 利用下发的加密数据制作智能IC卡， 包括： 通过智能卡操作中间件对看门狗进行身份 识别验证； 利用发卡中间件读取看门狗内的公钥CRPK； 将加密数据f与公钥CRPK进行RSA解 密运算得到更新或装载密钥的指令fa； 利用更新或装载密钥的指令fa设置卡序列号、 卡使 用日期。 2.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法， 其特征在于 所述生成根密钥组并存 储包括： 获取运营商 级管理因子及保护密码； 根据保护密码在 密钥因子矩阵中获取分散因子factor； 根据管理 因子生成RSA公钥RPK以及私钥S SK； 根据管理因子生成分散密钥DPK， 再将 分散密钥DPK与分散因子factor分散生成根密钥 组； 利用RSA公钥RPK对根密钥组进行加密导出 备份后存 储到密钥库。 3.据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法， 其特征在于所 述申请资料包括用户营业执照扫描件、 入驻协议、 使用终端数。 4.根据权利要求1所述的一种基于智能IC卡安全认证的云密钥管理方法， 其特征在于 所述对用户企业基础信息、 企业初始管理员权限、 发放企业额定的看门狗数量进行注册包 括： 根据用户信息生成企业编号CNO、 系统项目编号PNO； 根据企业编号CNO、 系统项目编号PNO生成RSA公钥CRPK、 私钥CS SK； 将公钥CRPK导入看门狗。 5.一种基于智能IC卡 安全认证的云密钥管理系统， 其特 征在于包括： 根密钥组生成存储模块， 用于根据运营商级管理因子及保护密码生成根密钥组并进行 存储；权　利　要　求　书 1/2 页 2 CN 114172649 B 2用户注册模块， 用于接收用户注册请求及注册资料并审核， 审核通过后对用户企业基 础信息、 企业初始管 理员权限、 发放企业额定的看门狗数量进 行注册， 生成企业编号CNO、 系 统项目编号PNO、 RSA公钥CRPK、 私钥CS SK； 数据加密模块， 用于接收注册用户的制卡请求及装载随机数SRDn， 并对申请制卡的注 册用户的身份进行审核， 审核通过后根据注册用户发起的业务生成相应加密数据， 并将加 密数据下发至用户； 数据加密模块具体包括： 密钥UPKn生 成模块， 用于按照用户的企业编号 CNO、 系统项目编号PNO、 用户卡号USNO作为企业密钥分散因子与根密钥组中的导出密钥 EPKn进行分散序列密钥组， 生成密钥UPKn； 加密数据M生成模块， 用于将根密钥组中的保护 密钥PPKn与企业编号CNO分散后对密钥UPKn进行3DES运算生成加密数据M； MAC字符串MAC1 生成模块， 用于将装 载随机数SRDn作为MAC计算默认数据， 并将根密钥组中的传输密钥TPKn 与企业编号CNO分散后对第一次加密数据M进行MAC计算输出MAC字符串MAC1； 更新 或装载密 钥的指令fa生成模块， 用于将加密数据M与MAC字 符串MAC1相加得到更新 或装载密钥的指 令 fa； 加密数据f生成模块， 用于利用私钥CSSK对更新或装载密钥的指令fa进行RSA加密生成 加密数据f； 制卡模块， 用于利用加密数据为用户制作智能IC卡； 制卡模块具体包括： 看门狗身份验 证模块， 用于对看门狗进行身份验证； 公钥CRPK读取模块， 用于读取看门狗内的公钥CRPK； 解密模块， 用于对加密数据f进行解密获得更新或装载密钥的指令fa； 智能IC卡烧录模块， 用于利用更新或装载密钥的指令fa设置卡序列号、 卡使用日期。 6.根据权利要求5所述的一种基于智能IC卡安全认证的云密钥管理系统， 其特征在于 所述根密钥组生成存 储模块包括： 根密钥组生成模块， 用于获取运营商级管理因子及保护密码， 根据保护密码在密钥因 子矩阵中获取分散因子factor； 根据管 理因子生 成RSA公钥RPK以及私钥SSK； 根据管 理因子 生成分散密钥D PK， 再将分散密钥D PK与分散因子factor分散生成根密钥组； 根密钥组存储模块， 用于利用RSA 公钥RPK对根密钥组进行加密导出备份后存储到密钥 库。权　利　要　求　书 2/2 页 3 CN 114172649 B 3