一种令牌参数灌装设备、灌装数据处理设备与灌装方法
【技术领域】
[0001]本发明涉及一种令牌参数灌装设备、灌装数据处理设备与灌装方法,属于保密或安全通信装置及方法的技术领域。
【背景技术】
[0002]动态令牌作为安全的身份认证技术之一,随着移动互联网的发展目前已经被各行业所接受。由于它使用便捷且与平台无关,已成为离线身份认证技术的主流,被广泛应用于企业、网游、金融等领域。动态令牌生成动态口令时使用的关键参数包括:种子密钥和时间参数、令牌频偏、运行预置参数,这些参数在动态令牌的生产过程中,通过专用的生产灌装设备工装写入到令牌中,在生产过程中首先要保证灌装信息的安全和可靠,同时需要实现灌装过程的高效和准确。在国家密码管理局的GM/T0021-2012动态口令密码应用技术规范中对动态令牌认证系统中密钥管理系统进行了明确的定义,但尚未对令牌密钥管理系统中的种子密钥如何安全的灌装进入令牌产品进行定义。
【发明内容】
[0003]本发明的目的在于提供一种令牌参数灌装设备、灌装数据处理设备与灌装方法,解决灌装过程的数据安全性,保证灌装数据完整、可靠,提高灌装效率,将动态令牌的频偏参数实时灌装入产品中。
[0004]本发明采用如下技术方案实现:
[0005]一种令牌参数灌装设备,其特征在于,所述灌装设备包括:
[0006]第一接收模块,用于从密钥管理系统中获取令牌序列号和加密种子密钥,加密进入灌装设备,其中种子密钥与序列号一一对应;
[0007]频偏测量模块,用于实时测量得到三次的令牌产品频偏,计算得到平均偏移;
[0008]运行预置参数如种子密钥长度、失效时间、开机口令失败次数、自动解锁次数、算法选择等,为生产前已经按照用户需求预置成功,可以根据用户需求的不同,可以进行参数扩展;
[0009]时间获取模块,用于取得当前UTC时间;
[0010]解密模块,用于按照加密算法对种子密钥进行解密;
[0011]数据拼装模块,用于进行灌装数据拼装;
[0012]数据头、数据尾用于进行数据同步,校验码使用累加和算法或CRC校验算法,用于确认下发灌装数据的完整性;
[0013]第一发送模块,用于发出拼装好的灌装数据到第二接收模块;
[0014]第二接收模块,用于收到拼装好的灌装数据;
[0015]数据校验模块,用于按照校验码的算法对整个数据结构进行校验;保证接收到灌装数据的准确性,数据校验模块按照校验码的算法对整个数据结构进行校验,保证接收到灌装数据的准确性;
[0016]第二发送模块,用于发出校验好的灌装数据到灌装数据处理设备;
[0017]第三接收模块,用于等待并接收灌装数据处理设备的数据;数据头、数据尾用于进行数据同步,结果码为00表示令牌灌装数据成功,校验码使用累加和算法或CRC校验算法,用于确认响应数据的完整性;
[0018]验证校验模块,用于计算验证码,当本地计算验证码与响应数据验证码一致时,表明数据灌装正确。
[0019]进一步的,所述加密算法包括SM2、SM1、SM4 ;
[0020]频率偏移精度为0.0lPPM ;
[0021]时间获取模块通过GPS或者时间服务器取得当前UTC时间。
[0022]进一步的,第一发送模块通过USB的HID接口发出拼装好的灌装数据到第二接收模块;HID设备是直接与人交互的设备,例如键盘、鼠标与游戏杆等,第二接收模块通过USB接口收到拼装好的灌装数据。
[0023]进一步的,所述验证校验模块使用SM3算法,根据令牌约定好的数据组织方法,计算验证码,当本地计算验证码与响应数据验证码一致时,表明数据灌装正确。
[0024]一种令牌灌装数据处理设备,其特征在于,所述令牌灌装数据处理设备包括:
[0025]接收灌装数据模块,用于根据灌装设备提供的时钟线信号,按照灌装设备的灌装频率,从数据线获得二进制编码的灌装数据,数据头、数据尾用于进行数据同步;
[0026]灌装数据校验模块,用于在收到灌装数据后使用累加和算法或CRC校验算法计算校验码,确认下发灌装数据的完整性;
[0027]灌装数据存储模块,用于将灌装写入令牌的种子密钥、UTC时间、令牌产品频偏、运行预置参数存储在令牌相应的密钥区、审计区和数据区,供令牌进行动态口令计算和运行使用;
[0028]验证码计算模块,用于在收到灌装数据后使用SM3摘要算法计算验证码,供令牌参数灌装设备确认下发灌装数据的正确性,使用SM3算法,按照约定的数据组织方式进行验证码计算,如可能的数据组织方式是SM3(种子密钥IutcI令牌产品频偏I运行预置参数),“ I ”为顺序连接数据符号)。
[0029]响应数据回送模块,完成验证码计算后,响应数据回送模块将结果码赋值为00,用于回送按照如图5的响应数据结构,根据灌装设备提供的时钟线信号,按照灌装设备的灌装频率,从数据线回送响应数据结构给灌装设备。
[0030]进一步的,灌装数据校验模块,用于在收到灌装数据后使用累加和算法或CRC校验算法计算校验码,确认下发灌装数据的完整性。
[0031]进一步的,验证码计算模块,用于使用SM3摘要算法计算验证码,供令牌参数灌装设备确认下发灌装数据的正确性。
[0032]一种令牌参数灌装方法,其特征在于,该方法包括如下步骤:
[0033]从密钥管理系统中获取令牌序列号和加密种子密钥,种子密钥与序列号一一对应,加密进入灌装设备,包括加密算法包括SM2、SM1、SM4 ;
[0034]实时测量得到三次的令牌产品频偏,计算得到平均偏移,其中频率偏移精度为0.0lPPM ;
[0035]运行预置参数,预置参数包括:种子密钥长度、失效时间、开机口令失败次数、自动解锁次数、算法选择;为生产前已经按照用户需求预置成功,可以根据用户需求的不同,可以进行参数扩展;
[0036]取得当前UTC时间;
[0037]按照加密算法对种子密钥进行解密;
[0038]进行灌装数据拼装;数据头、数据尾用于进行数据同步,校验码使用累加和算法或CRC校验算法,用于确认下发灌装数据的完整性;
[0039]发出拼装好的灌装数据到第二接收模块;
[0040]收到拼装好的灌装数据;
[0041]按照校验码的算法对整个数据结构进行校验,保证接收到灌装数据的准确性;
[0042]发出校验好的灌装数据到灌装数据处理设备;
[0043]等待灌装数据处理设备的数据,接收响应数据结构,数据头、数据尾用于进行数据同步,结果码为00表示令牌灌装数据成功,校验码使用累加和算法或CRC校验算法,用于确认响应数据的完整性;
[0044]使用SM3算法,根据令牌约定好的数据组织方法,计算验证码,当本地计算验证码与响应数据验证码一致时,表明数据灌装正确;
[0045]灌装数据处理设备根据灌装设备提供的时钟线信号,按照灌装设备的灌装频率,从数据线获得二进制编码的灌装数据,数据头、数据尾用于进行数据同步。
[0046]在收到灌装数据后,使用累加和算法或CRC校验算法计算校验码,确认下发灌装数据的完整性;
[0047]将灌装写入令牌的种子密钥、UTC时间、令牌产品频偏、运行预置参数存储在令牌相应的密钥区、审计区和数据区,供令牌进行动态口令计算和运行使用;
[0048]灌装成功后,将结果码赋值为