一种密码获取方法、验证方法、相关装置、设备和系统制造方法及图纸

本发明专利技术公开一种密码获取方法、装置、设备和系统，所述方法，包括：与MCU建立安全通道，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储。解决了现有技术中设定密码存储在微控制单元MCU，易被外部攻击，密码被窃取的问题。本发明专利技术还公开一种密码验证方法、装置、设备和系统。

【技术实现步骤摘要】
一种密码获取方法、验证方法、相关装置、设备和系统
本专利技术涉及一种密码获取方法、密码验证方法、相关装置、设备和系统。
技术介绍
随着信息化系统和物联网技术的发展，一些日常生活中的设备都已实现智能化，例如：监控摄像机、智能门锁等都已经通过网络硬件和软件的方式实现联网认证和控制，通过密码验证来保证智能化设备的使用安全性，防止不法人员的非法操作。智能化设备因其便捷的操作性能和先进的技术体验正在改变人们的生活品质，为人们带来便捷的使用体验。人们通过事先将目标密码录入到智能设备，通过密码访问就可以控制智能设备。但是当前使用的智能设备连接到网络，会存在被网络攻击的风险，人们对安全性的担忧，一定程度上影响了智能设备的普及。当前智能设备中，一般是通过微控制单元MCU存储密码，而微控制单元MCU存在被外部攻击的风险，如果MCU被攻击或非法接入，导致其中的密码泄露，会威胁到用户的工作或者居住安全，给用户的生产生活带来不必要的麻烦。因此，提高现有的智能设备的安全性能，保证智能设备在使用时的安全性和可靠性是当前亟待解决的一个问题。
技术实现思路
鉴于现有技术中存在的技术缺陷和技术弊端，本专利技术实施例提供克服上述问题或者至少部分地解决上述问题的一种密码获取方法、密码验证方法、相关装置、设备和系统。作为本专利技术实施例的一个方面，涉及一种密码获取方法，包括：与MCU建立安全通道，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储。在一个实施例中，所述的密码获取方法，在与MCU建立安全通道，通过安全通道接收存储设定密码请求之前，还包括：与MCU建立安全通道，通过安全通道接收MCU发送的安全传输密钥TransportKey，所述TransportKey是由远程服务器验证后发送到MCU的。在一个实施例中，所述的密码获取方法中，与微控制单元MCU建立安全通道包括：接收MCU发送的选择安全域请求，发送选择安全域响应；接收MCU发送的初始化更新请求；生成会话密钥，计算卡鉴别密码，通过初始化更新响应将所述会话密钥和卡鉴别密码发送到所述MCU；接收MCU发送的外部认证请求，所述外部认证请求包括新的会话密钥、主机端鉴别密码和主机端信息认证码MAC；验证所述主机端MAC和主机端鉴别密码，验证成功后，发送外部认证响应到所述MCU；所述新的会话密钥为根据MCU或安全芯片产生的新的会话序号生成的会话密钥。在一个实施例中，所述的密码获取方法中，所述计算卡鉴别密码，包括：产生本次初始化更新会话的会话序号，生成会话密钥，根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号KeyVersion，用至少包括会话序号、会话密钥和KeyVersion在内的因子计算卡鉴别密码；所述验证主机端MAC，包括：根据得到的至少包括主机端鉴别密码在内的因子计算主机端验证MAC，使用所述主机端验证MAC与主机端MAC进行比对，若相同，则验证成功；所述验证主机端鉴别密码，包括：根据本次外部认证会话的会话序号生成对应的会话密钥，根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号KeyVersion和键值KeyValue，根据至少包括所述会话序号、会话密钥、KeyVersion和KeyValue在内的因子计算与所述MCU对应的主机端验证密码，使用所述主机端验证密码与所述主机端鉴别密码进行比对，若相同，则验证成功。在一个实施例中，所述的密码获取方法中，所述选择安全域请求包括请求数据和所选择安全域的AID；在接收存储设定密码请求之前，与微控制单元MCU建立安全通道时选择的安全域为主安全域ISD，对应的，所述安全域密钥为主安全域密钥ISDKey；在接收存储设定密码请求之后，与微控制单元MCU建立安全通道时选择的安全域为ISD或辅助安全域SSD，对应的，所述安全域密钥为主安全域密钥ISDKey或SSD的TransportKey。在一个实施例中，所述的密码获取方法，还包括：接收的所述初始化更新请求中还包括主机端随机数；在向MCU发送初始化更新响应前生成卡随机数，并将卡随机数加入所述初始化更新响应中。在一个实施例中，所述的密码获取方法中，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储包括：接收MCU发送的存储设定密码请求，所述存储设定密码请求包括新的会话密钥、加密的包含设定密码的请求数据和主机端MAC；验证所述主机端MAC，验证成功后，解密所述包含设定密码的请求数据，获取设定密码并存储。作为本专利技术实施例的另一个方面，涉及一种密码获取方法，包括：接收存储设定密码请求，获取设定密码；与安全芯片建立安全通道，通过安全通道将设定密码发送到安全芯片。在一个实施例中，所述的密码获取方法，还包括：接收存储设定密码请求之前，通过下述方式将建立安全通道使用的安全传输密钥TransportKey发送到安全芯片：接收移动终端发送的初始化TransportKey请求；生成TransportKey并保存；通过预存的公钥证书对所述TransportKey进行加密并上传远程服务器；接收由远程服务器验证后发送的TransportKey，与安全芯片建立安全通道，通过安全通道将TransportKey发送到安全芯片。在一个实施例中，所述的密码获取方法中，与安全芯片建立安全通道包括：向安全芯片发送选择安全域请求，接收安全芯片发送的选择安全域响应；向安全芯片发送初始化更新请求；接收安全芯片发送的初始化更新响应，所述初始化更新响应包括会话密钥和卡鉴别密码；验证卡鉴别密码，验证成功后，生成新的会话密钥，计算主机端鉴别密码，计算主机端信息认证码MAC，通过向安全芯片发送外部认证请求将所述新的会话密钥、主机端鉴别密码和主机端MAC发送到所述安全芯片；接收所述安全芯片发送的外部认证响应；所述新的会话密钥为根据MCU或安全芯片产生的新的会话序号生成的会话密钥。在一个实施例中，所述的密码获取方法中，所述验证卡鉴别密码，包括：根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号KeyVersion，根据至少包括会话序号、会话密钥和KeyVersion在内的因子计算与安全芯片对应的卡验证密码，使用所述卡验证密码与接收到的所述卡鉴别密码进行比对，若相同，则验证成功；所述计算主机端鉴别密码，包括：产生新的会话序号，生成新的会话密钥，根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号KeyVersion和键值KeyValue，用至少包括所述新的会话序号、新的会话密钥、KeyVersion和KeyValue在内的因子计算主机端鉴别密码；所述新的会话序号是指在前一次会话结束后，MCU产生的用于下一次会话的会话序号；所述计算主机端MAC，包括：用至少包括主机端鉴别密码在内的因子计算主机端MAC。作为本专利技术实施例的再一方面，涉及一种安全芯片，包括：第一安全通信模块，用于与微处理单元MCU建立安全通道，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储。在一个实施例中，所述的安全芯片中，第一安全通信模块，还用于与微控制单元MCU建立安全通道，通过安全通道接收MCU发送的安全传输密钥TransportKey，所述本文档来自技高网...

【技术保护点】
1.一种密码获取方法，其特征在于，包括：与MCU建立安全通道，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储。

【技术特征摘要】
1.一种密码获取方法，其特征在于，包括：与MCU建立安全通道，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储。2.如权利要求1所述的密码获取方法，其特征在于，在与MCU建立安全通道，通过安全通道接收存储设定密码请求之前，还包括：与MCU建立安全通道，通过安全通道接收MCU发送的安全传输密钥TransportKey，所述TransportKey是由远程服务器验证后发送到MCU的。3.如权利要求1或2所述的密码获取方法，其特征在于，与微控制单元MCU建立安全通道包括：接收MCU发送的选择安全域请求，发送选择安全域响应；接收MCU发送的初始化更新请求；生成会话密钥，计算卡鉴别密码，通过初始化更新响应将所述会话密钥和卡鉴别密码发送到所述MCU；接收MCU发送的外部认证请求，所述外部认证请求包括新的会话密钥、主机端鉴别密码和主机端信息认证码MAC；验证所述主机端MAC和主机端鉴别密码，验证成功后，发送外部认证响应到所述MCU；所述新的会话密钥为根据MCU或安全芯片产生的新的会话序号生成的会话密钥。4.如权利要求3所述的密码获取方法，其特征在于，所述计算卡鉴别密码，包括：产生本次初始化更新会话的会话序号，生成会话密钥，根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号KeyVersion，用至少包括会话序号、会话密钥和KeyVersion在内的因子计算卡鉴别密码；所述验证主机端MAC，包括：根据得到的至少包括主机端鉴别密码在内的因子计算主机端验证MAC，使用所述主机端验证MAC与主机端MAC进行比对，若相同，则验证成功；所述验证主机端鉴别密码，包括：根据本次外部认证会话的会话序号生成对应的会话密钥，根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号KeyVersion和键值KeyValue，根据至少包括所述会话序号、会话密钥、KeyVersion和KeyValue在内的因子计算与所述MCU对应的主机端验证密码，使用所述主机端验证密码与所述主机端鉴别密码进行比对，若相同，则验证成功。5.如权利要求4所述的密码获取方法，其特征在于，所述选择安全域请求包括请求数据和所选择安全域的应用标识符AID；在接收存储设定密码请求之前，与微控制单元MCU建立安全通道时选择的安全域为主安全域ISD，对应的，所述安全域密钥为主安全域密钥ISDKey；在接收存储设定密码请求之后，与微控制单元MCU建立安全通道时选择的安全域为ISD或辅助安全域SSD，对应的，所述安全域密钥为主安全域密钥ISDKey或SSD的TransportKey。6.如权利要求3所述的密码获取方法，其特征在于，还包括：接收的所述初始化更新请求中还包括主机端随机数；在向MCU发送初始化更新响应前生成卡随机数，并将卡随机数加入所述初始化更新响应中。7.如权利要求3所述的密码获取方法，其特征在于，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储包括：接收MCU发送的存储设定密码请求，所述存储设定密码请求包括新的会话密钥、加密的包含设定密码的请求数据和主机端MAC；验证所述主机端MAC，验证成功后，解密所述包含设定密码的请求数据，获取设定密码并存储。8.一种密码获取方法，其特征在于，包括：接收存储设定密码请求，获取设定密码；与安全芯片建立安全通道，通过安全通道将设定密码发送到安全芯片。9.如权利要求8所述的密码获取方法，其特征在于，还包括：接收存储设定密码请求之前，通过下述方式将建立安全通道使用的安全传输密钥TransportKey发送到安全芯片：接收移动终端发送的初始化TransportKey请求；生成TransportKey并保存；通过预存的公钥证书对所述TransportKey进行加密并上传远程服务器；接收由远程服务器验证后发送的TransportKey，与安全芯片建立安全通道，通过安全通道将TransportKey发送到安全芯片。10.如权利要求8或9所述的密码获取方法，其特征在于，与安全芯片建立安全通道包括：向安全芯片发送选择安全域请求，接收安全芯片发送的选择安全域响应；向安全芯片发送初始化更新请求；接收安全芯片发送的初始化更新响应，所述初始化更新响应包括...

【专利技术属性】
技术研发人员：王晓华，
申请(专利权)人：王晓华，
类型：发明
国别省市：北京,11