本發(fā)明涉及動態(tài)密碼鎖技術領域，尤其涉及用于計算動態(tài)密碼鎖otc計算中的otc密鑰的設置及更新方法。

背景技術：

在銀行業(yè)，在現(xiàn)金自助類設備保險柜上，普遍使用動態(tài)密碼鎖以提升安全的可管理性；動態(tài)密碼鎖使用一次性密碼進行開鎖，行業(yè)內簡稱為otc(onetimecode)，在每一把鎖中，都保存有用于計算otc的otc密鑰，這是動態(tài)密碼鎖的加密技術基礎；也是動態(tài)密碼鎖安全的基礎。

目前，常用的otc密鑰設置方法是，在一個獨立運行的系統(tǒng)中，設置一個統(tǒng)一的otc根密鑰，每一把鎖中的otc密鑰，使用otc根密鑰和鎖號，使用不可逆發(fā)散算法得出；根密鑰一般由二人以上分別設置密鑰分量，記錄并保存在保險柜中。

這種方法簡化了密鑰管理，但其最大問題是根密鑰更新過程復雜，因為涉及到數(shù)以千計的動態(tài)密碼鎖在新的根密鑰和老的根密鑰間的切換問題，還有一個原因是用于銀行現(xiàn)金自助類設備的保險柜的動態(tài)密碼鎖，沒有后門，如果更新otc密鑰失敗，后果是必須破鎖或破箱，單次成本6000元以上。

所以，目前的實務中，沒有銀行在批量上線后可以修改otc根密鑰，這引發(fā)了又一個關鍵問題，設置otc根密鑰分量的人員離職、或otc根密鑰保管不當泄密后帶來的嚴重安全隱患。

技術實現(xiàn)要素：

發(fā)明目的：為了解決現(xiàn)有技術存在的問題，克服難以修改otc根密鑰所帶來的安全隱患，本發(fā)明提供一種動態(tài)密碼鎖otc密鑰設置與更新方法。

技術方案：一種動態(tài)密碼鎖otc密鑰設置與更新方法，設置otc密鑰包括以下步驟：

(1)atmc端應用或移動端應用和后臺建立安全連接，并取得申請otc密鑰許可；

(2)atmc端應用或移動端應用和鎖具通訊，取得鎖具的唯一標識和用于加密傳輸otc密鑰的傳輸密鑰，然后，將鎖具唯一標識和傳輸密鑰傳送到后臺，為該鎖具申請otc密鑰；傳輸密鑰可以是非對稱密鑰的公鑰或對稱密鑰的標識信息。

(3)后臺收到申請后，調用安全計算與存儲服務，調用參數(shù)為傳輸密鑰，安全計算與存儲服務用隨機方式創(chuàng)建otc密鑰并保存，并為otc密鑰分配唯一標識，用于以后調用安全計算服務時通過指定唯一標識使用該密鑰；然后用傳輸密鑰對創(chuàng)建的otc密鑰進行加密，將otc密鑰唯一標識和用傳輸密鑰加密后的otc密鑰返回給鎖具服務器；后臺記錄otc密鑰唯一標識并通過鎖具唯一標識與該鎖具綁定；

(4)鎖具服務器將返回的用傳輸密鑰加密后的otc密鑰傳送給atmc端應用或移動端應用，atmc端應用或移動端應用將加密后的otc密鑰發(fā)送給鎖具，鎖具收到后進行解密，取得otc密鑰并安全保存，完成otc密鑰的首次設置。

進一步的，otc密鑰可設定更新周期，根據(jù)更新周期或者人工操作，對otc密鑰進行更新。

進一步的，更新otc密鑰包括以下步驟：

(a)atmc端應用或移動端應用收到更新otc密鑰的請求；

(b)atmc端應用或移動端應用和鎖具通訊，取得用于加密傳輸otc密鑰的傳輸密鑰，然后，將鎖具唯一標識和傳輸密鑰傳送到后臺，為該鎖具申請更換otc密鑰；

(c)后臺收到申請后，找到該鎖具原otc密鑰唯一標識，然后調用安全計算與存儲服務，調用參數(shù)為傳輸密鑰和原otc密鑰id，安全計算與存儲服務用隨機方式創(chuàng)建otc密鑰并保存，并為otc密鑰分配唯一標識，用原otc密鑰唯一標識找到原otc密鑰；然后用傳輸密鑰為新創(chuàng)建的otc密鑰和原otc密鑰進行加密，返回給鎖具服務器新otc密鑰唯一標識和用傳輸密鑰加密后的原otc密鑰；后臺記錄新otc密鑰唯一標識并通過鎖具唯一標識與該鎖綁定，并標記該鎖otc密鑰狀態(tài)更改為新密鑰傳輸中，將該鎖成功開關鎖次數(shù)設置為0；

(d)atmc端應用或移動端應用收到后臺返回的新、原隨機otc密鑰的加密信息后，發(fā)送到鎖具，鎖具收到后進行解密，檢查原otc密鑰是否與現(xiàn)在保存的otc密鑰相同，若相同，保存新otc密鑰，并向鎖具服務器反饋第一階段更新成功，同時將otc密鑰狀態(tài)更改為更新確認中，并將成功開關鎖次數(shù)清0，進入第二階段；若不相同，在鎖上、通訊交互模塊上提示更新密鑰可能失敗，并通知后臺，后臺重新更新otc密鑰或通知鎖具服務器和鎖具回滾到原otc密鑰版本；

(e)當鎖具服務器在收到otc計算請求時，如果otc密鑰狀態(tài)為更新確認中，則使用新的otc密鑰計算otc；在收到鎖具關閉后回傳的閉鎖碼時，該鎖成功開關鎖次數(shù)加1，當成功開關次數(shù)達到閾值時，將otc密鑰狀態(tài)修改為正常，解除該鎖與原otc密鑰綁定關系，調用安全計算與存儲服務刪除原otc密鑰，通知atmc端應用或移動設備，otc密鑰更新第二階段結束；

在鎖具端，鎖具在計算otc時，如果otc密鑰狀態(tài)為更新確認中，則使用新的otc密鑰進行otc計算；在收到后臺第二階段結束通知后，更新otc密鑰狀態(tài)為正常，刪除原otc密鑰；

如果在第二階段中出現(xiàn)開鎖失敗，將提醒操作人員，操作人員可以選擇回退到原otc密鑰或繼續(xù)本階段確認。

進一步的，步驟(e)中的閾值為大于等于1的整數(shù)。

進一步的，采用atmc端應用，配合atmc通訊線和atmc端鎖具驅動。

進一步的，采用移動端應用，配合移動網(wǎng)絡、移動設備，且鎖具上有無線通訊交互模塊。

進一步的，所述加密和解密使用軟件算法或者硬件加密模塊進行加密解密計算。

進一步的，所述傳輸密鑰為非對稱算法中的公鑰，或者是對稱密鑰的密鑰標識信息。

進一步的，動態(tài)密碼鎖otc密鑰設置與更新方法使用的動態(tài)密碼鎖系統(tǒng)，包括業(yè)務應用服務及鎖具服務器、安全計算及存儲服務、鎖具及atmc端應用或移動端應用，所述atmc端應用或移動端應用用于接收發(fā)送數(shù)據(jù)以及驅動鎖具的開關；安全計算與存儲服務用于存儲otc密鑰和計算otc；業(yè)務應用服務及鎖具服務器用于接受otc密鑰申請、調用和返回數(shù)據(jù)。

有益效果：本發(fā)明提供的一種動態(tài)密碼鎖otc密鑰設置與更新方法，與現(xiàn)有技術相比，克服了難以修改otc根密鑰所帶來的安全隱患，每把鎖使用隨機密鑰，取消了統(tǒng)一的根密鑰，消除了因為使用統(tǒng)一根密鑰帶來如人員離職、保管不當存在的安全隱患，提高了動態(tài)密碼鎖的安全性能。定期或不定期更新otc密鑰更加安全，可以降低批量泄密風險。更新otc密鑰的過程采用兩階段確認方法，避免因為網(wǎng)絡或硬件故障導致更新失敗引起的破箱損失。

附圖說明

圖1為atmc端通訊方式的系統(tǒng)架構示意圖；

圖2為移動設備通訊方式的系統(tǒng)架構示意圖；

圖3為首次設置隨機otc密鑰流程圖；

圖4為后續(xù)更新otc密鑰流程圖。

具體實施方式

下面結合附圖和具體實施例對本發(fā)明作進一步說明。

動態(tài)密碼鎖系統(tǒng)，包括業(yè)務應用服務及鎖具服務器、安全計算及存儲服務、鎖具及atmc端應用或移動端應用，所述atmc端應用或移動端應用用于接收發(fā)送數(shù)據(jù)以及驅動鎖具的開關；安全計算與存儲服務用于存儲otc密鑰和計算otc；業(yè)務應用服務及鎖具服務器用于接受otc密鑰申請、調用和返回數(shù)據(jù)。若采用atmc端應用，需要配合atmc通訊線和atmc端鎖具驅動；若采用移動端應用，需要配合移動網(wǎng)絡、移動設備，且鎖具上有無線通訊交互模塊，支持移動設備操作，需要操作人員持有移動設備在atm現(xiàn)場時完成。其中，業(yè)務應用服務及鎖具服務器、atmc端應用或移動端應用、安全計算及存儲服務，可以由銀行自行開發(fā)。

首次設置otc密鑰，包括以下步驟：

(1)atmc端應用或移動端應用和后臺建立安全連接，并取得申請otc密鑰許可。這里的后臺即動態(tài)密碼鎖系統(tǒng)中的業(yè)務應用服務及鎖具服務器，本實施例中操作人員通過身份驗證和任務驗證的方式取得申請otc密鑰許可，也可以采用其他方式獲取許可。

(2)atmc端應用或移動端應用和鎖具通訊，取得鎖具的唯一標識和用于加密傳輸otc密鑰的傳輸密鑰，然后，將鎖具唯一標識和傳輸密鑰傳送到后臺，為該鎖具申請otc密鑰。本實施例中的傳輸密鑰是采用非對稱算法中的隨機公鑰，相應的采用私鑰進行解密；傳輸密鑰不限于用該種方式生成，也可以是對稱密鑰的密鑰標識信息。

(3)后臺收到申請后，調用安全計算與存儲服務，調用參數(shù)為傳輸密鑰，安全計算與存儲服務用隨機方式創(chuàng)建otc密鑰并保存，并為otc密鑰分配唯一標識，用于以后調用安全計算服務時通過指定唯一標識使用該密鑰；然后用傳輸密鑰對創(chuàng)建的otc密鑰進行加密，將otc密鑰唯一標識和用傳輸密鑰加密后的otc密鑰返回給鎖具服務器；后臺記錄otc密鑰唯一標識并通過鎖具唯一標識與該鎖具綁定。

(4)鎖具服務器將返回的用傳輸密鑰加密后的otc密鑰傳送給atmc端應用或移動端應用，atmc端應用或移動端應用將加密后的otc密鑰發(fā)送給鎖具，鎖具收到后進行解密，取得otc密鑰并安全保存，完成otc密鑰的首次設置。

otc密鑰可設定更新周期，根據(jù)更新周期對otc密鑰進行更新，當然也可以通過人工操作對otc密鑰進行更新。

更新otc密鑰的步驟包括：

(a)atmc端應用或移動端應用收到更新otc密鑰的請求；

(b)atmc端應用或移動端應用和鎖具通訊，取得用于加密傳輸otc密鑰的傳輸密鑰，然后，將鎖具唯一標識和傳輸密鑰傳送到后臺，為該鎖具申請更換otc密鑰；

(c)后臺收到申請后，找到該鎖具原otc密鑰唯一標識，然后調用安全計算與存儲服務，調用參數(shù)為傳輸密鑰和原otc密鑰id，安全計算與存儲服務用隨機方式創(chuàng)建otc密鑰并保存，并為otc密鑰分配唯一標識，用原otc密鑰唯一標識找到原otc密鑰；然后用傳輸密鑰為新創(chuàng)建的otc密鑰和原otc密鑰進行加密，返回給鎖具服務器新otc密鑰唯一標識和用傳輸密鑰加密后的原otc密鑰；后臺記錄新otc密鑰唯一標識并通過鎖具唯一標識與該鎖綁定，并標記該鎖otc密鑰狀態(tài)更改為新密鑰傳輸中，將該鎖成功開關鎖次數(shù)設置為0；

(d)atmc端應用或移動端應用收到后臺返回的新、原隨機otc密鑰的加密信息后，發(fā)送到鎖具，鎖具收到后進行解密，檢查原otc密鑰是否與現(xiàn)在保存的otc密鑰相同，若相同，保存新otc密鑰，并向鎖具服務器反饋第一階段更新成功，同時將otc密鑰狀態(tài)更改為更新確認中，并將成功開關鎖次數(shù)清0，進入第二階段；若不相同，在鎖上、通訊交互模塊上提示更新密鑰可能失敗，并通知后臺，后臺重新更新otc密鑰或通知鎖具服務器和鎖具回滾到原otc密鑰版本；

(e)當鎖具服務器在收到otc計算請求時，如果otc密鑰狀態(tài)為更新確認中，則使用新的otc密鑰計算otc；設定一個閾值，本實施例中設定閾值為1，也可以設定為其他正整數(shù)，在收到鎖具關閉后回傳的閉鎖碼時，該鎖成功開關鎖次數(shù)加1，當成功開關次數(shù)達到閾值時，將otc密鑰狀態(tài)修改為正常，解除該鎖與原otc密鑰綁定關系，調用安全計算與存儲服務刪除原otc密鑰，通知atmc端應用或移動設備，otc密鑰更新第二階段結束；

在鎖具端，鎖具在計算otc時，如果otc密鑰狀態(tài)為更新確認中，則使用新的otc密鑰進行otc計算；在收到后臺第二階段結束通知后，更新otc密鑰狀態(tài)為正常，刪除原otc密鑰；

如果在第二階段中出現(xiàn)開鎖失敗，將提醒操作人員，操作人員可以選擇回退到原otc密鑰或繼續(xù)本階段確認。

該方法中的加密和解密過程可以使用軟件算法或者硬件加密模塊進行加密解密計算。

該方法就是在一個獨立運行的動態(tài)密碼鎖系統(tǒng)中，不設置統(tǒng)一的根密鑰，而是每把鎖使用隨機密鑰為otc密鑰，后臺將每把鎖的otc密鑰保存在安全存儲與計算區(qū)，取消了統(tǒng)一的根密鑰，可以消除因人員離職或保管不當所帶來的安全隱患，提高了動態(tài)密碼鎖的安全性能。

采取定期或不定期更新otc密鑰的方法，作為降低批量泄密風險的前效手段，可以有效降低內部批量泄密的風險。

此外，更新采取兩階段確認機制，以確保不會因更新otc密鑰失敗引發(fā)破箱。所謂兩階段確認機制，即將otc密鑰更新分為兩個階段，即在新otc密鑰下發(fā)后，前后臺都不會立即刪除原otc密鑰，而是進入otc密鑰確認階段，只有當使用新的otc密鑰開鎖成功至少1次后，才刪除原來的otc密鑰，結束otc密鑰確認階段。如果在確認階段開鎖不成功，可以回退到原來的otc密鑰，避免了更新不成功不能開啟鎖具而導致破鎖破箱帶來的損失。