用于HCE模式的数据加密方法技术

技术编号:14479294 阅读:196 留言:0更新日期:2017-01-25 11:56
本发明专利技术提出了用于HCE模式的数据加密方法,所述方法包括:密钥管理及数据处理服务器针对驻留并运行于特定的移动终端上的安全性信息交互应用生成一个或多个限制密钥,并将所生成的一个或多个限制密钥发送至安全性信息交互应用;在根据用户指令进行针对一个安全性信息交互计数值的数据交互时,安全性信息交互应用基于一个或多个限制密钥中的一个加密安全性信息交互数据以生成应用密文,并将应用密文发送至密钥管理及数据处理服务器;在接收到所述应用密文后,密钥管理及数据处理服务器校验应用密文的有效性和合法性,并在验证成功后执行后续的与所述安全性信息交互数据相关联的处理操作。本发明专利技术所公开的方法具有高的安全性。

【技术实现步骤摘要】

本专利技术涉及数据加密方法,更具体地,涉及用于HCE模式的数据加密方法
技术介绍
目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富,使用移动终端(例如智能手机)并经由近场通信技术(例如NFC技术)实施安全性信息交互过程(即对安全性要求较高的信息交互过程,诸如金融领域中的支付交易过程)变得越来越重要。在常规的基于NFC通信协议的移动式安全性信息交互方案中,移动终端典型地包括应用处理器、NFC控制器以及安全单元(SE),所述安全单元例如是SD卡或SE芯片的形式。用于存储敏感信息(例如数据加密密钥等等)。然而,上述常规的移动式安全性信息交互方案存在如下问题:由于需要独立的硬件安全单元,故成本较高,并且兼容复杂性增高(例如,每增加一款安全载体需要回归测试所有应用,而每增加一款应用同样需要回归测试所有安全载体)。为了解决上述问题,基于HCE(HostCardEmulation)模式的移动式安全性信息交互方案被提出,基于该方案,移动终端仅包括应用处理器和NFC控制器,并基于存储于移动终端处的安全性应用中的应用密文密钥(例如交易密钥UDK)加密敏感信息(例如交易数据、应用交易计数器等等)来确保信息交互过程中的安全性。然而,上述基于HCE模式的移动式安全性信息交互方案存在如下问题:由于应用密文密钥被存储于移动终端处的安全性应用中且能够被无限使用,故存在潜在的被恶意盗用的风险,故安全性较低。因此,存在如下需求:提供具有高的安全性的用于HCE模式的数据加密方法。
技术实现思路
为了解决上述现有技术方案所存在的问题,本专利技术提出了具有高的安全性的用于HCE模式的数据加密方法。本专利技术的目的是通过以下技术方案实现的:一种用于HCE模式的数据加密方法,所述用于HCE模式的数据加密方法包括下列步骤:(A1)密钥管理及数据处理服务器针对驻留并运行于特定的移动终端上的安全性信息交互应用生成一个或多个限制密钥,并将所生成的一个或多个限制密钥发送至所述安全性信息交互应用;(A2)在根据用户指令进行针对一个安全性信息交互计数值的数据交互时,所述安全性信息交互应用基于所述一个或多个限制密钥中的一个加密安全性信息交互数据以生成应用密文,并将所述应用密文发送至所述密钥管理及数据处理服务器;(A3)在接收到所述应用密文后,所述密钥管理及数据处理服务器校验所述应用密文的有效性和合法性,并在验证成功后执行后续的与所述安全性信息交互数据相关联的处理操作。在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述密钥管理及数据处理服务器基于所述安全性信息交互应用的请求或者周期性地根据安全性信息交互计数值的预设范围生成所述一个或多个限制密钥。在上面所公开的方案中,优选地,所述步骤(A2)进一步包括:所述安全性信息交互应用经由近场通信信道将所述应用密文发送至所述密钥管理及数据处理服务器。在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:所述密钥管理及数据处理服务器存储与所述安全性信息交互应用相关联的应用密文密钥,并基于该应用密文密钥生成所述一个或多个限制密钥。在上面所公开的方案中,优选地,所述安全性信息交互应用在所述移动终端提供的可信执行环境或白盒加密库中存储所述一个或多个限制密钥。在上面所公开的方案中,优选地,所述一个或多个限制密钥中的每个与一个安全性信息交互计数值绑定,即所述安全性信息交互应用在发起基于当前安全性信息交互计数值的安全性信息交互时使用与该当前安全性信息交互计数值相绑定的一个限制密钥。在上面所公开的方案中,优选地,所述安全性信息交互应用在每次完成相关联的一组安全性信息交互过程后将其维护的安全性信息交互计数值加1。在上面所公开的方案中,优选地,所述一个或多个限制密钥中的每个在被使用一次后均失效。在上面所公开的方案中,优选地,所述密钥管理及数据处理服务器基于每个安全性信息交互计数值生成与其相对应的限制密钥,并且所述安全性信息交互应用在发起基于当前安全性信息交互计数值的安全性信息交互时使用与该当前安全性信息交互计数值相绑定的一个限制密钥生成所述应用密文,以确保每个应用密文的唯一性。在上面所公开的方案中,优选地,所述步骤(A1)进一步包括:以如下方式生成所述一个或多个限制密钥:(1)使用与所述安全性信息交互应用相关联的应用密文密钥对预定字符串执行预定的运算操作以获得中间密钥;(2)使用所述中间密钥对特定范围的安全性信息交互计数值中的每个及其取反后的值执行预定的运算操作,以得到与所述特定范围的安全性信息交互计数值中的每个分别对应的限制密钥。在上面所公开的方案中,优选地,所述步骤(A2)进一步包括:为所述一个或多个限制密钥中的每个设定有效期,并且如果某个限制密钥超过有效期未被使用,则该限制密钥失效。在上面所公开的方案中,优选地,用户能够对所述安全性信息交互应用存储的所述一个或多个限制密钥增加基于生物识别和/或解锁口令的附加的加密操作。本专利技术所公开的用于HCE模式的数据加密方法具有以下优点:由于限制密钥仅能够使用一次,故其可以被存储在移动终端所提供的可信执行环境或白盒数据库中,而无需独立的硬件安全单元,故成本较低,并且能够避免或者减轻密钥被恶意盗用的风险,故具有高的安全性。附图说明结合附图,本专利技术的技术特征以及优点将会被本领域技术人员更好地理解,其中:图1是根据本专利技术的实施例的用于HCE模式的数据加密方法的流程图。具体实施方式图1是根据本专利技术的实施例的用于HCE模式的数据加密方法的流程图。如图1所示,本专利技术所公开的用于HCE模式的数据加密方法包括下列步骤:(A1)密钥管理及数据处理服务器针对驻留并运行于特定的移动终端上的安全性信息交互应用生成一个或多个限制密钥(LUK),并将所生成的一个或多个限制密钥发送至所述安全性信息交互应用;(A2)在根据用户指令进行针对一个安全性信息交互计数值(例如应用交易计数器ATC的值)的数据交互时,所述安全性信息交互应用基于所述一个或多个限制密钥中的一个加密安全性信息交互数据(例如交易信息等等)以生成应用密文(例如金融领域中的ARQC密文),并将所述应用密文发送至所述密钥管理及数据处理服务器;(A3)在接收到所述应用密文后,所述密钥管理及数据处理服务器校验所述应用密文的有效性和合法性(例如以与步骤(A2)所采用的方式相同的方式生成应用密文副本,并随之将所接收的应用密文与应用密文副本相比对),并在验证成功后执行后续的与所述安全性信息交互数据相关联的处理操作。优选地,在本专利技术所公开的用于HCE模式的数据加密方法中,所述步骤(A1)进一步包括:所述密钥管理及数据处理服务器基于所述安全性信息交互应用的请求或者周期性地根据安全性信息交互计数值的预设范围生成所述一个或多个限制密钥。优选地,在本专利技术所公开的用于HCE模式的数据加密方法中,所述步骤(A2)进一步包括:所述安全性信息交互应用经由近场通信信道将所述应用密文发送至所述密钥管理及数据处理服务器。优选地,在本专利技术所公开的用于HCE模式的数据加密方法中,所述步骤(A1)进一步包括:所述密钥管理及数据处理服务器存储与所述安全性信息交互应用相关联的应用密文密钥(UDK),并基于该应用密文密钥生成所述一个或多个限制密钥。优选地,在本专利技术所公开的用于HCE本文档来自技高网...
用于HCE模式的数据加密方法

【技术保护点】
一种用于HCE模式的数据加密方法,所述用于HCE模式的数据加密方法包括下列步骤:(A1) 密钥管理及数据处理服务器针对驻留并运行于特定的移动终端上的安全性信息交互应用生成一个或多个限制密钥,并将所生成的一个或多个限制密钥发送至所述安全性信息交互应用;(A2)在根据用户指令进行针对一个安全性信息交互计数值的数据交互时,所述安全性信息交互应用基于所述一个或多个限制密钥中的一个加密安全性信息交互数据以生成应用密文,并将所述应用密文发送至所述密钥管理及数据处理服务器;(A3)在接收到所述应用密文后,所述密钥管理及数据处理服务器校验所述应用密文的有效性和合法性,并在验证成功后执行后续的与所述安全性信息交互数据相关联的处理操作。

【技术特征摘要】
1.一种用于HCE模式的数据加密方法,所述用于HCE模式的数据加密方法包括下列步骤:(A1)密钥管理及数据处理服务器针对驻留并运行于特定的移动终端上的安全性信息交互应用生成一个或多个限制密钥,并将所生成的一个或多个限制密钥发送至所述安全性信息交互应用;(A2)在根据用户指令进行针对一个安全性信息交互计数值的数据交互时,所述安全性信息交互应用基于所述一个或多个限制密钥中的一个加密安全性信息交互数据以生成应用密文,并将所述应用密文发送至所述密钥管理及数据处理服务器;(A3)在接收到所述应用密文后,所述密钥管理及数据处理服务器校验所述应用密文的有效性和合法性,并在验证成功后执行后续的与所述安全性信息交互数据相关联的处理操作。2.根据权利要求1所述的用于HCE模式的数据加密方法,其特征在于,所述步骤(A1)进一步包括:所述密钥管理及数据处理服务器基于所述安全性信息交互应用的请求或者周期性地根据安全性信息交互计数值的预设范围生成所述一个或多个限制密钥。3.根据权利要求2所述的用于HCE模式的数据加密方法,其特征在于,所述步骤(A2)进一步包括:所述安全性信息交互应用经由近场通信信道将所述应用密文发送至所述密钥管理及数据处理服务器。4.根据权利要求3所述的用于HCE模式的数据加密方法,其特征在于,所述步骤(A1)进一步包括:所述密钥管理及数据处理服务器存储与所述安全性信息交互应用相关联的应用密文密钥,并基于该应用密文密钥生成所述一个或多个限制密钥。5.根据权利要求4所述的用于HCE模式的数据加密方法,其特征在于,所述安全性信息交互应用在所述移动终端提供的可信执行环境或白盒加密库中存储所述一个或多个限制密钥。6.根据权利要求5所述的用于HCE模式的数据加密方法,其特征在于,所述一个或多个限制密钥中的每个与一个安全性信息交...

【专利技术属性】
技术研发人员:张栋丁林润李春欢陆东东
申请(专利权)人:中国银联股份有限公司
类型:发明
国别省市:上海;31

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1