本發(fā)明涉及一種密鑰更新方法及系統(tǒng)，特別是涉及一種應(yīng)用于智能卡的密鑰更新方法及系統(tǒng)。

背景技術(shù)：

目前，ic智能卡的應(yīng)用已經(jīng)非常普及，由于ic智能卡的使用多涉及例如支付等功能或涉及到持卡人的私人信息，因此，通常對ic卡都會采用加密機(jī)制。

現(xiàn)有使用的ic卡基本都是使用m1卡，m1卡是philipsmifare1卡的簡稱，是一種非接觸式邏輯加密卡，而m1卡存在一個很大的問題就是m1卡芯片安全算法容易遭到破解。

目前m1卡雖然已經(jīng)被證實可以破解，但由于其已經(jīng)在當(dāng)前業(yè)務(wù)中廣泛的使用，加上其低廉的價格，雖然安全性能不能滿足當(dāng)前應(yīng)用場景，但是為了不增加成本，在很多領(lǐng)域仍然大面積采用此類卡片作為當(dāng)前業(yè)務(wù)中的主流卡片。因此，實有必要提出一種技術(shù)手段，以解決m1卡等智能卡的安全問題。

技術(shù)實現(xiàn)要素：

為克服上述現(xiàn)有技術(shù)存在的不足，本發(fā)明之主要目的在于提供一種密鑰更新方法及系統(tǒng)，以不定期對加密系統(tǒng)進(jìn)行升級，減少了破解算法時間積累后破解密鑰規(guī)則的風(fēng)險，使m1等智能卡的加密強(qiáng)度可以滿足非金融消費類ic卡識別業(yè)務(wù)。

為達(dá)上述及其它目的，本發(fā)明提出一種密鑰更新方法，包括如下步驟：

步驟一，于卡片使用時，判斷卡片當(dāng)前的密鑰切換時間是否到期；

步驟二，于密鑰切換時間到期時，判斷卡片的使用狀態(tài)，將卡片當(dāng)前使用的密鑰作為主密鑰，其他密鑰作為副密鑰；

步驟三，啟用該副密鑰作為驗證密鑰進(jìn)行驗證，于驗證通過后，將該副密鑰作為主密鑰，原主密鑰作為副密鑰；

步驟四，生成新的密鑰替換該副密鑰。

進(jìn)一步地，于步驟四中，獲取基礎(chǔ)密鑰，并利用該基礎(chǔ)密鑰與該卡片的物理卡號進(jìn)行增強(qiáng)加密，生成新的密鑰并替換當(dāng)前的副密鑰。

進(jìn)一步地，于步驟一之前，還包括如下步驟：

于制卡時，使用基礎(chǔ)密碼通過加密算法對該卡片的物理卡號進(jìn)行加密，生成至少兩個密鑰并存儲于該卡片實現(xiàn)制卡。

進(jìn)一步地，該制卡步驟進(jìn)一步包括：

步驟s31，獲取當(dāng)前密鑰版本；

步驟s32，判斷當(dāng)前密鑰版本是否為最新或過度版本，若否則獲取最新密鑰版本，并返回步驟s31，否則，進(jìn)入步驟s33；

步驟s33，獲取基礎(chǔ)密鑰，并判斷當(dāng)前啟用密鑰類型；

步驟s34，獲取卡片的物理卡號并使用基礎(chǔ)密鑰通過加密算法對該物理卡號進(jìn)行加密，生成至少兩個密鑰；

步驟s35，對生成的密鑰進(jìn)行驗證，于驗證通過后進(jìn)行制卡。

進(jìn)一步地，該方法于制卡之前，還包括如下步驟：

使用基礎(chǔ)密碼通過加密算法對卡片的物理卡號進(jìn)行加密，生成初始化的至少兩個密鑰并進(jìn)行初始化。

為達(dá)到上述目的，本發(fā)明還提供一種密鑰更新系統(tǒng)，包括：

第一判斷單元，用于于卡片使用時，判斷卡片當(dāng)前的密鑰切換時間是否到期；

第二判斷單元，用于于密鑰切換時間到期時，判斷卡片的使用狀態(tài)，將卡片當(dāng)前使用的密鑰作為主密鑰，其他密鑰作為副密鑰；

驗證單元，用于啟用該副密鑰作為驗證密鑰進(jìn)行驗證，于驗證通過后，將該副密鑰作為主密鑰，原主密鑰作為副密鑰；

更新單元，用于生成新的密鑰替換該副密鑰。

進(jìn)一步地，該更新單元通過獲取基礎(chǔ)密鑰，并利用該基礎(chǔ)密鑰與該卡片的物理卡號進(jìn)行增強(qiáng)加密，生成新的密鑰并替換當(dāng)前的副密鑰。

進(jìn)一步地，該系統(tǒng)還包括制卡密碼生成單元，用于制卡時，使用基礎(chǔ)密碼通過加密算法對該卡片的物理卡號進(jìn)行加密，生成至少兩個密鑰并存儲于該卡片實現(xiàn)制卡。

進(jìn)一步地，該制卡密碼生成單元進(jìn)一步包括：

當(dāng)前密鑰版本判斷單元，用于獲取當(dāng)前密鑰版本，并判斷當(dāng)前密鑰版本是否為最新或過度版本，若否獲取最新密鑰版本，若是則啟動基礎(chǔ)密鑰獲取單元

基礎(chǔ)密鑰獲取單元，用于獲取基礎(chǔ)密鑰，并判斷當(dāng)前啟用密鑰類型；

密鑰生成單元，用于獲取卡片的物理卡號并使用基礎(chǔ)密鑰通過加密算法對該物理卡號進(jìn)行加密，生成至少兩個密鑰；

密鑰驗證單元，用于對生成的密鑰進(jìn)行驗證，于驗證通過后進(jìn)行制卡。

進(jìn)一步地，該系統(tǒng)還包括初始化單元，用于使用基礎(chǔ)密碼通過加密算法對卡片的物理卡號進(jìn)行加密，生成初始化的至少兩個密鑰并對卡片進(jìn)行初始化。

與現(xiàn)有技術(shù)相比，本發(fā)明一種密鑰更新方法及系統(tǒng)通過采用ab密鑰交替使用作為當(dāng)前的主密鑰和副密鑰，通過不定期對加密系統(tǒng)進(jìn)行升級，減少破解算法時間積累后破解密鑰規(guī)則的風(fēng)險，對整個加密系統(tǒng)進(jìn)行升級改造，使其加密強(qiáng)度可以滿足非金融消費類ic卡識別業(yè)務(wù)。

附圖說明

圖1為本發(fā)明一種密鑰更新方法的步驟流程圖；

圖2為本發(fā)明具體實施例之密鑰更新方法的更新流程圖；

圖3為本發(fā)明制卡步驟的步驟流程圖；

圖4為本發(fā)明具體實施例之制卡流程的流程圖；

圖5為本發(fā)明具體實施例中對卡片進(jìn)行初始化的流程圖；

圖6為本發(fā)明一種密鑰更新系統(tǒng)的系統(tǒng)架構(gòu)圖；

圖7為本發(fā)明具體實施例中制卡密碼生成單元的細(xì)部結(jié)構(gòu)圖。

具體實施方式

以下通過特定的具體實例并結(jié)合附圖說明本發(fā)明的實施方式，本領(lǐng)域技術(shù)人員可由本說明書所揭示的內(nèi)容輕易地了解本發(fā)明的其它優(yōu)點與功效。本發(fā)明亦可通過其它不同的具體實例加以施行或應(yīng)用，本說明書中的各項細(xì)節(jié)亦可基于不同觀點與應(yīng)用，在不背離本發(fā)明的精神下進(jìn)行各種修飾與變更。

圖1為本發(fā)明一種密鑰更新方法的步驟流程圖。如圖1所示，本發(fā)明一種密鑰更新方法，包括如下步驟：

步驟101，于卡片使用時，判斷卡片當(dāng)前的密鑰切換時間是否到期。在本發(fā)明中，卡片指的是m1卡也可以是其他智能卡片類型，該卡片中存儲有a密鑰和b密鑰兩種密鑰，系統(tǒng)中預(yù)先約定ab密鑰的切換時間，也就是說，若當(dāng)前使用的a密鑰，則判斷a密鑰使用時間是否到期，是否需要切換為b密鑰。

步驟102，于密鑰切換時間到期時，判斷卡片的使用狀態(tài)，將卡片當(dāng)前使用的密鑰作為主密鑰，其他密鑰作為副密鑰。這里所說判斷卡片的使用狀態(tài)是指判斷卡片當(dāng)前使用的密鑰狀態(tài)，即當(dāng)前卡片使用的是a密鑰還是b密鑰，將當(dāng)前使用的密鑰作為主密鑰，另一密鑰作為副密鑰。

步驟103，啟用副密鑰作為驗證密鑰進(jìn)行驗證，于驗證通過后，將副密鑰作為主密鑰，原主密鑰作為副密鑰。例如，若當(dāng)前主密鑰為密鑰a時，啟用副密鑰密鑰b作為驗證密鑰進(jìn)行驗證，于驗證通過后，則將副密鑰密鑰b作為主密鑰，而將原主密鑰密鑰a作為副密鑰。

步驟104，生成新的密鑰替換副密鑰。也就是說，系統(tǒng)會獲取基礎(chǔ)密鑰，并利用基礎(chǔ)密鑰與卡片的物理卡號uid進(jìn)行增強(qiáng)加密，生成新的密鑰并替換當(dāng)前的副密鑰，例如，當(dāng)前副密鑰為密鑰a，則將生成的新的密鑰替換密鑰a。

圖2為本發(fā)明具體實施例之密鑰更新方法的更新流程圖。如圖2所示，本發(fā)明之密鑰更新過程如下：

1)于密鑰切換時間到期時，判斷卡片的使用狀態(tài)，即判斷卡片當(dāng)前是使用密鑰a還是密鑰b，將當(dāng)前使用的密鑰作為主密鑰(例如密鑰a)，未使用的密鑰作為副密鑰(例如密鑰b)；

2)啟用副密鑰(例如密鑰b)作為驗證密鑰；

3)于驗證通過后，將副密鑰(例如密鑰b)作為主密鑰，主密鑰(例如密鑰a)作為副密鑰；

4)利用基礎(chǔ)密鑰與卡片的物理卡號生成新的密鑰，并替換副密鑰密鑰a(new密鑰a)，并過度至密鑰切換時間到期。

5)于密鑰切換時間到期時，繼續(xù)判斷當(dāng)前卡片的使用狀態(tài)，將當(dāng)前使用的密鑰作為主密鑰(例如密鑰b)，未使用的密鑰作為副密鑰(例如new密鑰a)；

6)啟用副密鑰(new密鑰a)作為驗證密鑰；

7)于驗證通過后，將副密鑰(new密鑰a)作為主密鑰，主密鑰(密鑰b)作為副密鑰；

8)利用基礎(chǔ)密鑰與卡片的物理卡號生成新的密鑰，并替換副密鑰密鑰b(new密鑰b)，并過度至密鑰切換時間到期，至此，則卡片上的兩個密鑰(密鑰a與密鑰b)均已更新完畢。

較佳地，于步驟101之前，還包括如下步驟：

于制卡時，使用基礎(chǔ)密碼通過加密算法對卡片的物理卡號uid進(jìn)行加密，生成至少兩個密鑰并存儲于卡片中。具體地，如圖3所示，該制卡步驟進(jìn)一步包括如下步驟：

步驟s31，獲取當(dāng)前密鑰版本。一般來說，從密鑰存儲設(shè)備中獲取當(dāng)前密鑰版本。

步驟s32，判斷當(dāng)前密鑰版本是否為最新或過度版本，若否則更換當(dāng)前最新密鑰存儲設(shè)備以獲取最新密鑰版本，并返回步驟s31，否則，進(jìn)入步驟s33。

步驟s33，獲取基礎(chǔ)密鑰，并判斷當(dāng)前啟用密鑰類型。具體地，從當(dāng)前密鑰存儲設(shè)備獲取基礎(chǔ)密鑰，并判斷當(dāng)前啟用密鑰類型,例如密鑰a或密鑰b，這里的基礎(chǔ)密鑰是用于產(chǎn)生卡片上密鑰的基礎(chǔ)密鑰，在本發(fā)明具體實施例中，至少存在兩個基礎(chǔ)密鑰(即基礎(chǔ)密鑰a與基礎(chǔ)密鑰b)，以用于產(chǎn)生卡片的密鑰a與密鑰b。

步驟s34，獲取卡片的物理卡號uid并使用基礎(chǔ)密鑰通過加密算法對物理卡號uid進(jìn)行加密，生成至少兩個密鑰：密鑰a與密鑰b。在本發(fā)明具體實施例中，由于每張卡的uid是唯一的，對每張卡片使用其物理卡號(uid)與基礎(chǔ)密鑰進(jìn)行增強(qiáng)加密(例如采用3des,aes等加密算法)，這樣可以保證每張卡片的密鑰不同。

步驟s35，對生成的密鑰進(jìn)行驗證，于驗證通過后進(jìn)行制卡。

圖4為本發(fā)明具體實施例之制卡流程的流程圖。如圖4所示，制卡流程如下：

1)從密鑰存儲設(shè)備獲取當(dāng)前密鑰版本；

2)判斷當(dāng)前密鑰版本是否為最新或過度版本，若否，則更換為當(dāng)前最新密鑰存儲設(shè)備以獲得最新或過度版本，若是則進(jìn)入3)；

3)從密鑰存儲設(shè)備獲取基礎(chǔ)密鑰，并判斷當(dāng)前啟用密鑰類型，a或b；

4)獲取卡片的物理卡號uid；

5)使用相應(yīng)的基礎(chǔ)密鑰通過加密算法對物理卡號uid進(jìn)行加密，生成密鑰a和密鑰b；

6)驗證卡片密鑰是否符合規(guī)定，即驗證生成的密鑰a與密鑰b是否ok；

7)若否，則返回步驟4)，若是，則進(jìn)入8)

8)進(jìn)行制卡；

9)是否繼續(xù)制卡，若是，則返回4)，若否，則制卡完成。

上述制卡流程一般是由制卡公司對初始化過的卡片進(jìn)行發(fā)放，在制卡時寫入卡片使用者基本信息，制卡完成后的卡片就可以在正式刷卡設(shè)備上使用，那么卡片設(shè)計單位在下放卡片之前則需要對卡片進(jìn)行初始化。

圖5為本發(fā)明具體實施例中對卡片進(jìn)行初始化的流程圖。如圖3所示，本發(fā)明之卡片初始化過程如下：

步驟s51，獲取當(dāng)前密鑰版本。一般來說，從密鑰存儲設(shè)備中獲取當(dāng)前密鑰版本。

步驟s52，判斷當(dāng)前密鑰版本是否為最新或過度版本，若否則更換當(dāng)前最新密鑰存儲設(shè)備以獲取最新密鑰版本，并返回步驟s51，否則，進(jìn)入步驟s53。

步驟s53，獲取至少兩個基礎(chǔ)密鑰。具體地，從當(dāng)前密鑰存儲設(shè)備獲取基礎(chǔ)密鑰，這里的基礎(chǔ)密鑰是用于產(chǎn)生卡片上密鑰的基礎(chǔ)密鑰，在本發(fā)明具體實施例中，至少存在兩個基礎(chǔ)密鑰(即基礎(chǔ)密鑰a與基礎(chǔ)密鑰b)，以用于產(chǎn)生卡片的密鑰a與密鑰b。

步驟s54，獲取卡片的物理卡號uid。

步驟s55,使用基礎(chǔ)密鑰通過加密算法對物理卡號uid進(jìn)行加密，生成至少兩個密鑰：密鑰a與密鑰b。在本發(fā)明具體實施例中，由于每張卡的uid是唯一的，對每張卡片使用其物理卡號(uid)與基礎(chǔ)密鑰進(jìn)行增強(qiáng)加密(例如采用3des,aes等加密算法)，這樣可以保證每張卡片的密鑰不同。

步驟s56，使用密鑰a與密鑰b加密卡片。

步驟s57，進(jìn)行卡片初始化。

步驟s58，是否繼續(xù)初始化，若是，則返回步驟s54，否則進(jìn)入步驟s59。

步驟s59，初始化完成。

在本發(fā)明具體實施例中，卡片可采用m1卡，由于m1卡加密存在ab密鑰，本發(fā)明采用ab密鑰交替使用作為當(dāng)前的主密鑰和副密鑰，初始化卡的主機(jī)與發(fā)卡的主機(jī)設(shè)備可約定何時啟用哪一種密鑰，由于卡片在初始化之后，距離發(fā)放卡片會存在一定的時間差，少則一個月，多則半年，所以卡片在新舊密碼切換過程中必須要有一定的緩沖時間，緩沖時間可采用副密鑰，在新舊密碼切換后只切換a密鑰，而在緩沖結(jié)束后，使用a密鑰作為初始化端與發(fā)卡端的加解密密鑰，并且將緩沖密鑰升級更新。

圖6為本發(fā)明一種密鑰更新系統(tǒng)的系統(tǒng)架構(gòu)圖。如圖6所示，本發(fā)明一種密鑰更新系統(tǒng)，包括：第一判斷單元601、第二判斷單元602、驗證單元603、更新單元604。

第一判斷單元601，用于判斷卡片當(dāng)前的密鑰切換時間是否到期。在本發(fā)明中，卡片指的是m1卡也可以是其他智能卡片類型，該卡片中存儲有a密鑰和b密鑰兩種密鑰，系統(tǒng)中預(yù)先約定ab密鑰的切換時間，也就是說，若當(dāng)前使用的a密鑰，則判斷a密鑰的使用時間是否到期，是否需要切換為b密鑰。

第二判斷單元602，用于于密鑰切換時間到期時，判斷卡片的使用狀態(tài)，將卡片當(dāng)前使用的密鑰作為主密鑰，其他密鑰作為副密鑰。這里所說判斷卡片的使用狀態(tài)是指判斷卡片當(dāng)前使用的密鑰狀態(tài)，即當(dāng)前卡片使用的是a密鑰還是b密鑰，將當(dāng)前使用的密鑰作為主密鑰，另一密鑰作為副密鑰。

驗證單元603，用于啟用副密鑰作為驗證密鑰進(jìn)行驗證，于驗證通過后，將副密鑰作為主密鑰，原主密鑰作為副密鑰。例如，若當(dāng)前主密鑰為密鑰a時，啟用副密鑰密鑰b作為驗證密鑰進(jìn)行驗證，于驗證通過后，則將副密鑰密鑰b作為主密鑰，而將原主密鑰密鑰a作為副密鑰。

更新單元604，用于生成新的密鑰替換副密鑰。也就是說，更新單元604會獲取基礎(chǔ)密鑰，并利用基礎(chǔ)密鑰與卡片的物理卡號uid進(jìn)行增強(qiáng)加密，生成新的密鑰并替換當(dāng)前的副密鑰，例如，當(dāng)前副密鑰為密鑰a，則將生成的新的密鑰替換密鑰a。

較佳地，本發(fā)明之密鑰更新系統(tǒng)還包括制卡密碼生成單元，用于于制卡時，使用基礎(chǔ)密碼通過加密算法對卡片的物理卡號uid進(jìn)行加密，生成至少兩個密鑰并存儲于卡片中。具體地，如圖7所示，制卡密碼生成單元進(jìn)一步包括：

當(dāng)前密鑰版本判斷單元701，用于獲取當(dāng)前密鑰版本，并判斷當(dāng)前密鑰版本是否為最新或過度版本，若否獲取最新密鑰版本，若是則啟動基礎(chǔ)密鑰獲取單元702。一般來說，當(dāng)前密鑰版本判斷單元701從密鑰存儲設(shè)備中獲取當(dāng)前密鑰版本，并判斷獲得的當(dāng)前密鑰版本是否為最新或過度版本，若否則更換當(dāng)前最新密鑰存儲設(shè)備以獲取最新密鑰版本。

基礎(chǔ)密鑰獲取單元702，用于獲取基礎(chǔ)密鑰，并判斷當(dāng)前啟用密鑰類型。具體地，基礎(chǔ)密鑰獲取單元702從當(dāng)前密鑰存儲設(shè)備獲取基礎(chǔ)密鑰，并判斷當(dāng)前啟用密鑰類型,例如密鑰a或密鑰b，這里的基礎(chǔ)密鑰是用于產(chǎn)生卡片上密鑰的基礎(chǔ)密鑰，在本發(fā)明具體實施例中，至少存在兩個基礎(chǔ)密鑰(即基礎(chǔ)密鑰a與基礎(chǔ)密鑰b)，以用于產(chǎn)生卡片的密鑰a與密鑰b。

密鑰生成單元703，用于獲取卡片的物理卡號uid并使用基礎(chǔ)密鑰通過加密算法對物理卡號uid進(jìn)行加密，生成至少兩個密鑰：密鑰a與密鑰b。在本發(fā)明具體實施例中，由于每張卡的uid是唯一的，對每張卡片使用其物理卡號(uid)與基礎(chǔ)密鑰進(jìn)行增強(qiáng)加密(例如采用3des,aes等加密算法)，這樣可以保證每張卡片的密鑰不同。

密鑰驗證單元704，用于對生成的密鑰進(jìn)行驗證，于驗證通過后進(jìn)行制卡。

較佳地，本發(fā)明之密鑰更新系統(tǒng)還包括初始化單元，用于使用基礎(chǔ)密碼通過加密算法對卡片的物理卡號uid進(jìn)行加密，生成初始化的至少兩個密鑰并對卡片進(jìn)行初始化。

綜上所述，本發(fā)明一種密鑰更新方法及系統(tǒng)通過采用ab密鑰交替使用作為當(dāng)前的主密鑰和副密鑰，通過不定期對加密系統(tǒng)進(jìn)行升級，減少破解算法時間積累后破解密鑰規(guī)則的風(fēng)險，對整個加密系統(tǒng)進(jìn)行升級改造，使其加密強(qiáng)度可以滿足非金融消費類ic卡識別業(yè)務(wù)。

上述實施例僅例示性說明本發(fā)明的原理及其功效，而非用于限制本發(fā)明。任何本領(lǐng)域技術(shù)人員均可在不違背本發(fā)明的精神及范疇下，對上述實施例進(jìn)行修飾與改變。因此，本發(fā)明的權(quán)利保護(hù)范圍，應(yīng)如權(quán)利要求書所列。