[发明专利]一种密码获取方法、验证方法、相关装置、设备和系统

权利要求书

1.一种安全芯片的密码获取方法，其特征在于，包括：

与MCU建立安全通道，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储；

所述与微控制单元MCU建立安全通道包括：

接收MCU发送的选择安全域请求，发送选择安全域响应；

接收MCU发送的初始化更新请求；生成会话密钥，计算卡鉴别密码，通过初始化更新响应将所述会话密钥和卡鉴别密码发送到所述MCU；

接收MCU发送的外部认证请求，所述外部认证请求包括新的会话密钥、主机端鉴别密码和主机端信息认证码MAC；验证所述主机端MAC和主机端鉴别密码，验证成功后，初始化完整性校验值ICV，发送外部认证响应到所述MCU；

所述新的会话密钥为根据MCU或安全芯片产生的新的会话序号生成的会话密钥。

2.如权利要求1所述的安全芯片的密码获取方法，其特征在于，在与MCU建立安全通道，通过安全通道接收存储设定密码请求之前，还包括：

与MCU建立安全通道，通过安全通道接收MCU发送的安全传输密钥Transport Key，所述Transport Key是由远程服务器验证后发送到MCU的。

3.如权利要求1或2所述的安全芯片的密码获取方法，其特征在于，所述计算卡鉴别密码，包括：

产生本次初始化更新会话的会话序号，生成会话密钥，根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号Key Version，用至少包括会话序号、会话密钥和Key Version在内的因子计算卡鉴别密码；

所述验证主机端MAC，包括：

根据得到的至少包括主机端鉴别密码在内的因子计算主机端验证MAC，使用所述主机端验证MAC与主机端MAC进行比对，若相同，则验证成功；

所述验证主机端鉴别密码，包括：

根据本次外部认证会话的会话序号生成对应的会话密钥，根据所选择安全域的默认密钥组得到建立安全通道时使用的安全域密钥的密钥版本号Key Version和键值Key Value，根据至少包括所述会话序号、会话密钥、Key Version和Key Value在内的因子计算与所述MCU对应的主机端验证密码，使用所述主机端验证密码与所述主机端鉴别密码进行比对，若相同，则验证成功。

4.如权利要求3所述的安全芯片的密码获取方法，其特征在于，所述选择安全域请求包括请求数据和所选择安全域的应用标识符AID；

在接收存储设定密码请求之前，与微控制单元MCU建立安全通道时选择的安全域为主安全域ISD，对应的，所述安全域密钥为主安全域密钥ISD Key；

在接收存储设定密码请求之后，与微控制单元MCU建立安全通道时选择的安全域为ISD或辅助安全域SSD，对应的，所述安全域密钥为主安全域密钥ISD Key或SSD的TransportKey。

5.如权利要求1或2所述的安全芯片的密码获取方法，其特征在于，还包括：

接收的所述初始化更新请求中还包括主机端随机数；

在向MCU发送初始化更新响应前生成卡随机数，并将卡随机数加入所述初始化更新响应中。

6.如权利要求1或2所述的安全芯片的密码获取方法，其特征在于，通过安全通道接收存储设定密码请求，获取存储设定密码请求中的设定密码并存储包括：

接收MCU发送的存储设定密码请求，所述存储设定密码请求包括新的会话密钥、加密的包含设定密码的请求数据和主机端MAC；

验证所述主机端MAC，验证成功后，解密所述包含设定密码的请求数据，获取设定密码并存储。