[发明专利]一种更改安全模块中密钥的方法及系统

说明书

本申请实施例提供了一种更改安全模块中密钥的方法及系统，该方法应用于安装有安全模块的智能设备。包括：建立密钥更改设备与智能设备的连接后，获取密钥更改设备发送的密钥更改指令；验证智能设备是否具有从密钥更改设备读取新密钥及对安全模块中的目标密钥进行更改的权限；若是，则读取密钥更改设备内存储的新密钥，并将安全模块中指定目录下的目标密钥更改为新密钥。本申请实施例中，在不需要将安全模块从智能设备拆卸下来的情况下，实现了对安全模块中所存储的密钥的更改，大大简化了安全模块中密钥更改操作，并且通过验证智能设备是否具备从密钥更改设备读取密钥以及更改安全模块中的目标密钥的权限，还保证了安全模块中密钥的安全性。

技术领域

本申请涉及安全技术领域，尤其涉及一种更改安全模块中密钥方法及系统。

背景技术

安全模块（Secure Element，SE）具有对称及非对称加解密运算、安全存储、身份认证等功能，并且由于其还具有体积小、安装方便等特点，因此，被广泛的应用在各种场景中，例如，可以将SE模块应用于门禁设备、移动支付设备、金融卡等场景中。

一般的，各种场景下在应用SE模块时，需要将SE模块焊接在相应的设备上，以使用SE模块存储用户的数据以及密钥等文件。大多数情况下，在安装有SE模块的设备出厂之前，需要通过特定卡片将密钥信息烧录至SE模块中。但是对于设备的使用者而言，为了保证安全性，在初次使用设备时可能需要对SE模块中所存储的密钥进行更改，或者在设备使用过程中，定期对SE模块中所存储的密钥进行定期更新。由于在将密钥烧录至SE模块中时需要使用特定卡片，但是，对于该设备而言，其上可能并不存在该特定卡片。因此，需要将SE模块从设备上拆卸下来进行密钥更改，这样无疑增加了密钥更改的操作复杂性。

由此可知，利用现有技术对SE模块中存储的密钥进行更改时，需要改动设备结构，操作比较复杂。

发明内容

本申请实施例采用下述技术方案：

第一方面，本申请实施例提供一种更改安全模块中密钥的方法，该方法应用于安装有所述安全模块的智能设备，该方法包括：

在建立中央处理器密钥更改设备与所述智能设备之间的连接后，获取所述密钥更改设备发送的对所述安全模块中的指定目录下的目标密钥进行更改的密钥更改指令；

验证所述智能设备是否具有从所述密钥更改设备读取新密钥的第一权限，以及，验证所述智能设备是否具有对所述安全模块中的所述目标密钥进行更改的第二权限；

若验证结果指示所述智能设备具有所述第一权限和所述第二权限，则读取所述密钥更改设备内存储的新密钥；其中，所述新密钥为通过发卡器预先写入所述密钥更改设备的；

将所述安全模块中所述指定目录下的所述目标密钥更改为所述新密钥。

可选地，所述验证所述智能设备是否具有从所述密钥更改设备读取数据的第一权限，包括：

对所述密钥更改设备进行外部认证；若所述密钥更改设备的外部认证通过，则确定所述智能设备具有所述第一权限。

可选地，所述对所述密钥更改设备进行外部认证，包括：

基于所述安全模块中所存储的加密密钥对所述密钥更改设备所产生的第一随机数进行加密，得到所述第一随机数所对应的第一密文数据；

将所述第一密文数据携带在外部认证指令中发送给所述密钥更改设备，以使所述密钥更改设备基于所述第一密文数据进行外部认证，以及在外部认证通过时，将所述新密钥所属目录所对应的安全状态寄存器的状态值修改为第一状态值；其中，所述第一状态值表征该目录下的所述新密钥可被读取。

可选地，所述验证所述智能设备是否具有对所述安全模块中的密钥进行更改的第二权限，包括：