[发明专利]一种卡数据管理方法以及卡数据管理系统

说明书

本发明涉及一种卡数据管理系统以及方法。该方法包括：向加密机注入根密钥；选取特定的算法和分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥；将获得的所述业务密钥以密文的形式进行存储；将所述业务密钥与卡数据组装生成制卡数据并加密进行存储；当用户发起空中开卡请求时，根据卡号关联到相应的加密后的制卡数据并输入到加密机，加密机解密所述加密后的制卡数据并且验证是否与已经存储在加密机中的制卡数据一致，在一致的情况下，将制卡数据用安全域密钥加密后输出并提供给用户设备。根据本发明能够批量预置卡数据，能够保障系统的安全性，也能够提供系统的并发处理能力。

技术领域

本发明涉及通信技术，更具体地涉及一种NFC移动支付中采用的卡数据管理方法以及卡数据管理系统。

背景技术

目前在空中开卡业务系统中，没有针对卡数据管理的规范化说明。现有的卡数据管理方案主要包含如下几种情况：

（1）通过DP文件加密保存个人化数据；

（2）通过加密机接口实时获取卡片密钥，组装个人化数据。

卡片个人化数据包含卡应用的密钥，属于高度敏感数据。通常的解决方案会从加密机中由对应的业务主密钥分散得出相关业务密钥，虽然安全但是由于卡片个人化数据中涉及到多把业务密钥，这样在实际的业务交互中与加密机的交互次数比较多，消耗了一定的时间，降低了业务执行效率。所以通常来讲系统都采取预置卡数据的方案，即通过定时任务预先将卡片的业务密钥从加密机导出，与其他卡片个人化数据组装成完整的制卡数据并安全存储。例如DP文件就是预置方案的一种，也是传统发卡采用的解决方案。

但是在NFC全终端领域，DP文件只通过传输密钥进行保护，缺少一些系统安全的控制，所以需要提出全新的解决方案。

发明内容

鉴于所述问题，本发明旨在提供一种能够进一步提高安全性和操作灵活性的卡数据管理方法以及卡数据管理系统。在本文中卡数据也可以称为卡片个人化数据。

本发明的一方面的卡数据管理方法，其特征在于，包括下述步骤：

密钥注入步骤，向加密机注入根密钥；

密钥计算步骤，选取特定的算法和分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥；以及

密钥存储步骤，将获得的所述业务密钥以密文的形式进行存储。

可选地，在所述密钥存储步骤之后还进一步具备：

制卡数据生成步骤，将所述业务密钥与卡数据组装生成制卡数据并加密进行存储。

可选地，在所述密钥存储步骤之后还进一步具备：

空中开卡步骤，当用户发起空中开卡请求时，根据卡号关联到相应的加密后的制卡数据并输入到加密机，加密机解密所述加密后的制卡数据并且验证是否与已经安全存储的制卡数据一致，在一致的情况下，将制卡数据用安全域密钥加密后输出并提供给用户设备。

可选地，所述密钥计算步骤中，在生成卡片的业务时作为分散因子选择卡片的SEID，在生成卡片的业务密钥和保护密钥时作为分散因子选取卡片的卡号。

可选地，在所述密钥注入步骤中，向加密机注入多个密钥分量，所述多个密钥分量构成根密钥；

本发明的一方面的卡数据管理系统，其特征在于，至少具备加密机，

其中，所述加密机具备：

存储模块，用于存储加密机的根密钥；

第一加密模块，用于获取特定的算法以及分散因子，基于所述根密钥进行分散计算获得业务密钥或者/以及业务密钥的保护密钥并输出；