[发明专利]一种安全控制装置及权限授权方法和电子标签识读方法

权利要求书

1.一种权限授权方法，其特征在于：包括一种安全控制装置，所述安全控制装置包括国密安全芯片，所述国密安全芯片中存储有安全控制装置发行系统为安全控制装置签发的证书CERT_SAM、安全控制装置发行系统根证书CERT_ISSUE、安全控制装置私钥SAM_PRIKEY和电子标签访问权限列表，所述证书CERT_SAM中包含所述安全控制装置的序列号SAM_SN；所述安全控制装置上设有与主控处理单元相连的接口，用于通过主控处理单元给安全控制装置发送访问权限授权文件，所述安全控制装置上还设有与射频处理单元相连的接口，用于实现对电子标签的具体识读过程；

利用上述的安全控制装置进行访问权限授权，包括如下步骤：

步骤1：安全控制装置发行系统将待授权的类型标志编码值TYPE_CODEX、安全控制装置的序列号SAM_SN组成数据包PERM_TXT，使用所述类型标志编码值TYPE_CODEX对应的认证根密钥RKey对数据包PERM_TXT进行加密运算得到授权控制码PERM_CODE；

步骤2：所述安全控制装置发行系统使用安全控制装置证书CERT_SAM的公钥对类型标志编码值TYPE_CODEX、序列号SAM_SN和授权控制码PERM_CODE进行非对称加密运算得到权限授权数据PERM_CIPCODE，同时使用安全控制装置证书CERT_SAM的公钥将认证根密钥RKey及所述类型电子标签访问过程涉及的其他密钥TagKeys加密，得到电子标签根密钥密文数据CIP_KEY；

步骤3：使用安全控制装置发行系统的私钥对所述权限授权数据PERM_CIPCODE、所述电子标签根密钥密文数据CIP_KEY进行签名运算，得到授权文件的签名数据PERM_SIGN；

步骤4：所述安全控制装置发行系统将所述权限授权数据PERM_CIPCODE、电子标签根密钥密文数据CIP_KEY和签名数据PERM_SIGN打包得到访问权限授权文件PERM_FL，发送给所述安全控制装置；

步骤5：所述安全控制装置收到访问权限授权文件PERM_FL后，使用安全控制装置发行系统根证书CERT_ISSUE的公钥验证签名数据PERM_SIGN，当验证成功，则进入步骤6；当验证签名失败，表示访问权限授权失败；

步骤6：所述安全控制装置使用私钥SAM_PRIKEY对PERM_CIPCODE和CIP_KEY进行解密，解密得到类型标志TYPE_CODE1、序列号SAM_SN1、PERM_CODE1、RKey1和TagKeys1，并将SAM_SN1与所述安全控制装置中存储的序列号SAM_SN比较，如比较一致，则继续将解密获得的类型标志TYPE_CODE1和安全控制装置的访问权限列表的所有电子标签类型标志比较，如无类型标志TYPE_CODE1的记录，则将解密获得的TYPE_CODE1、PERM_CODE1、RKey1和TagKeys1存储到安全控制装置的访问权限列表中去，如类型标志TYPE_CODE1在访问权限列表中已存在，则更新访问权限信息，访问权限授权成功；当SAM_SN1与所述安全控制装置中存储的序列号SAM_SN比对不一致，则拒绝接收数据，访问权限授权失败。

2.根据权利要求1所述的一种权限授权方法，其特征在于：步骤1中得到授权控制码PERM_CODE具体为：

PERM_CODE=E1(TYPE_CODEX||SAM_SN||PADCODE,RKey)

其中，E1是对称分组加密，||表示信息级联运算，SAM_SN的长度为8字节，PADCODE为填充数据，PADCODE取值为经协商的固定数据。

3.根据权利要求1所述的一种权限授权方法，其特征在于：步骤2中得到权限授权数据PERM_CIPCODE具体为：

PERM_CIPCODE= AE(TYPE_CODEX||SAM_SN||PERM_CODE,SAM_PUBKEY)

其中，AE是非对称加密，SAM_PUBKEY为安全控制装置证书CERT_SAM的公钥；

得到电子标签根密钥密文数据CIP_KEY具体为：

CIP_KEY=AE(RKey, SAM_PUBKEY)||AE(TagKeys,SAM_PUBKEY)。