一種智能pos機密鑰管理系統(tǒng)及方法
【專利摘要】本發(fā)明提供一種智能POS機密鑰管理系統(tǒng)及方法,本方案利用安全芯片獨立存儲��,管理智能POS機的所有密鑰,對密鑰進行分級管理�����,并由一級密鑰對二級密鑰加密保護����,二級密鑰對三級密鑰加密保護,依此類推�����;若一級密鑰被銷毀���,整個密鑰體系被銷毀���。本方案提供的密鑰管理方案對密鑰分級進行管理���,從層次上���、邏輯上對不同種類密鑰進行隔離,避免密鑰濫用�����;采用根密鑰方法,只要銷毀了根密鑰����,等同于銷毀整個密鑰體系,避免了逐一銷毀所有密鑰帶來的效率低下及銷毀不完整而產(chǎn)生密鑰殘留問題�。
【專利說明】
一種智能POS機密鑰管理系統(tǒng)及方法
技術領域
[0001]本發(fā)明涉及金融支付的安全技術,具體涉及智能POS機的密鑰管理機制��。
【背景技術】
[0002]密鑰���,是整個加密體系的核心�,密鑰可以存儲在腦子�、磁條卡、智能卡���、設備內(nèi)存中��。加密的安全性實際上是依賴密鑰實現(xiàn)的�����。人們用來加密數(shù)據(jù)的算法大同小異�����,要么就是對稱加密���,如AES����、DES�����、TDEA等�,要么就是非對稱加密,如RSA�、Elgamal、背包算法����、Rabin����、D-
H、ECC等���,因此確保加密安全性的關鍵是密鑰�����。
[0003]在金融交易和移動支付領域���,各個國際卡組織�、收單機制���、發(fā)卡行開始更多地使用加密�����,生成了越來越多的密鑰�,密鑰的種類變得繁雜起來����。在一臺常見的移動支付POS機里面,存有多種密鑰�����,如主密鑰、磁道密鑰��、PIN密鑰����、傳輸密鑰、MAC密鑰��、交易密鑰等�����。如果攻擊者拿到了密鑰��,也就得到了交易者的數(shù)據(jù)訪問權限���。密鑰需要進行嚴格可靠而科學的管理����。密鑰管理包括從密鑰的產(chǎn)生到密鑰的銷毀的各個方面�����,主要表現(xiàn)于管理體制���、管理協(xié)議和密鑰的產(chǎn)生�、分配�����、更換和注入等����,由于密鑰種類的增加,現(xiàn)今的密鑰管理比以往更加困難����。
[0004]在移動支付和POS機領域,隨著發(fā)卡行和國際卡組織的標準不但升級�����,POS機中注入了越來越多的密鑰��。尤其是智能POS機的出現(xiàn)���,帶來了 POS機增值業(yè)務的爆發(fā)式增值�,而這些增值業(yè)務因為涉及金融安全����,都需要帶入新的密鑰來對敏感數(shù)據(jù)加密���,因此需要一種更高效的機制來管理智能POS機中繁雜的密鑰。與此同時��,智能POS機是一個開放的系統(tǒng)�����,可以安裝各種APP業(yè)務應用�,容易造成密鑰的泄露和被開放系統(tǒng)截獲。一旦智能POS機設備遭受到攻擊��,根據(jù)安全規(guī)范要求����,還需要在瞬間高效而不遺漏的銷毀設置中存儲的所有密鑰。
[0005]所以��,智能POS機的密鑰管理面臨的問題是:密鑰種類多樣繁雜��、密鑰容易被開放系統(tǒng)截取��、密鑰需要快速銷毀而無遺漏����。
【發(fā)明內(nèi)容】
[0006]針對現(xiàn)有智能POS機的密鑰管理所面臨的問題��,本發(fā)明的目的在于提供一種高效��、高可靠性的智能POS機的密鑰管理方案。
[0007]為了達到上述目的���,本發(fā)明采用的方案包括如下兩部分:
[0008]方案1:提供一種智能POS機密鑰管理系統(tǒng)�����,所述密鑰管理系統(tǒng)包括一安全芯片�����,所述安全芯片獨立存儲��,管理智能POS機的所有密鑰����。
[0009]優(yōu)選的��,所述安全芯片中設定電池保電安全存儲區(qū)BPK�����,長度不少于32字節(jié);BPK在安全芯片觸發(fā)安全告警的情況下會自動電擦除BPK內(nèi)的數(shù)據(jù)。
[0010]優(yōu)選的���,所述安全芯片對密鑰進行分級管理����,由一級密鑰對二級密鑰加密保護���,二級密鑰對三級密鑰加密保護�����,依此類推;所述一級密鑰存在安全芯片中的電池保電安全存儲區(qū)BPK;其它密鑰經(jīng)過一級密鑰加密后存放于安全芯片的內(nèi)部FLASH中�,每次使用之前����,都必須先解密;若一級密鑰被銷毀,整個密鑰體系被銷毀���。[0011 ]方案2:提供一種智能POS機密鑰管理方法����,所述密鑰管理方法對密鑰進行分級管理,并由一級密鑰對二級密鑰加密保護��,二級密鑰對三級密鑰加密保護��,依此類推�。
[0012]優(yōu)選的,所有密鑰都由智能POS機的安全芯片進行管理�����。
[0013]優(yōu)選的���,所有密鑰都存放于安全芯片的存儲區(qū),該安全芯片具有電池保電安全存儲區(qū)BPK;電池保電安全存儲區(qū)BPK在安全芯片觸發(fā)安全告警的情況下會自動電擦除其內(nèi)的數(shù)據(jù)���。
[0014]優(yōu)選的��,所述一級密鑰存放于安全芯片的電池保電安全存儲區(qū)BPK�����,其它密鑰經(jīng)過一級密鑰加密后存放于安全芯片的內(nèi)部FLASH中���,每次使用之前���,都必須先解密,后使用��。
[0015]優(yōu)選的�,當智能POS機觸發(fā)安全告警時,安全芯片會自動清除電池保電安全存儲區(qū)BPK內(nèi)數(shù)據(jù)�����,一級密鑰被擦除����,被一級密鑰加密存儲的其它級別密鑰都會失效,整個密碼體系被銷毀�。
[0016]優(yōu)選的,所述密鑰管理方法采用三級管理方式����,一級密鑰為根密鑰SEK,二級密鑰為簽名密鑰S_PUK����、設備主密鑰TMK、鑒權密鑰AUK�����,三級密鑰為工作密鑰WK;并由一級密鑰對二級密鑰加密保護,二級密鑰對三級密鑰加密保護;二密鑰和三級密鑰都通過根密鑰SEK加密后存儲�����,若根密鑰被銷毀��,整個密鑰體系被銷毀���。
[0017]優(yōu)選的��,所述的根密鑰SEK,用于加密其它密鑰���,其存儲于安全芯片的BPK區(qū)���;根密鑰SEK在設備首次運行或格式化之后,由安全芯片隨機數(shù)電路生成;根密鑰SEK在安全芯片內(nèi)部使用�,不可被外部讀出和寫入。
[0018]優(yōu)選的��,所述的簽名密鑰S_PUK�����,用來對智能POS機的固件升級和下載的二進制BIN文件進行驗簽,只有被簽名驗證通過的BIN文件才能升級和下載成功���,防止設備被非法刷機;簽名密鑰3_?皿被根密鑰SEK加密后存儲于安全芯片的內(nèi)部FLASH中���;簽名密鑰5_?服在進行驗簽使用前,必須用根密鑰SEK解密���。
[0019]優(yōu)選的�����,所述的設備主密鑰TMK�,用來對工作密鑰WK加解密;設備主密鑰TMK由交易后臺產(chǎn)生�����,在設備生產(chǎn)時交由廠商導入設備;設備主密鑰TMK被根密鑰SEK加密后存儲于設備安全芯片的內(nèi)部FLASH中���;設備主密鑰TMK在使用前��,必須用根密鑰SEK解密���。
[0020]優(yōu)選的��,所述的鑒權密鑰AUK�����,用來對智能系統(tǒng)的APP引用的訪問控制進行鑒權�����,防止非法未授權應用對密鑰和安全存儲區(qū)進行數(shù)據(jù)訪問�����;鑒權密鑰AUK被根密鑰SEK加密后存儲于安全芯片的內(nèi)部FLASH中�,并在使用前�,必須用根密鑰SEK解密����。
[0021]優(yōu)選的,所述的工作密鑰WK在設備每日簽到時從交易后臺系統(tǒng)更新下載下來��,同時下載下來的工作密鑰WK被交易后臺的設備主密鑰TMK加密,需先通過設備主密鑰TMK解密�,然后用根密鑰SEK加密后存放于安全芯片的內(nèi)部FLASH中,并在使用之前�,必須通過根密鑰SEK解密。
[0022]優(yōu)選的����,所述的工作密鑰WK包括:個人密碼密鑰PIK、磁道加密密鑰TDK�、MAC計算密鑰MAK、報文傳輸密鑰TSK����。
[0023]優(yōu)選的,當智能POS機觸發(fā)安全告警時�,安全芯片會自動清除BPK區(qū)內(nèi)的數(shù)據(jù),根密鑰SEK被擦除�����,被根密鑰SEK加密存儲的二級和三級密鑰都會失效��,整個密碼體系被銷毀����。
[0024]本方案提供的密鑰管理方案對密鑰分三級進行管理,從層次上、邏輯上對不同種類密鑰進行隔離�����,避免密鑰濫用;采用根密鑰方法��,只要銷毀了根密鑰���,等同于銷毀整個密鑰體系��,避免了逐一銷毀所有密鑰帶來的效率低下及銷毀不完整而產(chǎn)生密鑰殘留問題��。
[0025]再者��,該密鑰管理方案完全在安全芯片中進行�����,開放的智能系統(tǒng)不參與密碼管理�,防止密鑰被截取和被外部訪問���,保證安全性。
【附圖說明】
[0026]以下結(jié)合附圖和【具體實施方式】來進一步說明本發(fā)明���。
[0027]圖1為本發(fā)明實施例三級密鑰示意圖����;
[0028]圖2為本發(fā)明實施例的工作密鑰下載過程示意圖;
[0029]圖3為本發(fā)明實施例的密鑰銷毀過程示意圖�����。
【具體實施方式】
[0030]為了使本發(fā)明實現(xiàn)的技術手段���、創(chuàng)作特征�、達成目的與功效易于明白了解���,下面結(jié)合具體圖示���,進一步闡述本發(fā)明。
[0031]本方案中通過一安全芯片來構成智能POS機密鑰管理系統(tǒng)��,以此對智能POS機所有的密鑰進行存儲和管理�。
[0032]該安全芯片為但不限于智能POS機的安全芯片,其具有用于存放所有密鑰的存儲區(qū)�,該存儲區(qū)中還設定了電池保電安全存儲區(qū)BPK,長度不少于32字節(jié);該電池保電安全存儲區(qū)BPK在安全芯片觸發(fā)安全告警的情況下會自動電擦除BPK內(nèi)的數(shù)據(jù)�����。
[0033]據(jù)此,本方案將智能POS機的所有密鑰都存放于安全芯片的存儲區(qū)��,不存放于智能系統(tǒng)存儲區(qū)�;同時由智能POS機的安全芯片進行管理,智能系統(tǒng)不參與密鑰管理�。
[0034]該安全芯片對密鑰進行分級管理,經(jīng)分級后的密鑰之間�,依級別依次加密,即由一級密鑰對二級密鑰加密保護���,由二級密鑰對三級密鑰加密保護�����,依此類推;其中一級密鑰一般為用于加密其它密鑰的根密鑰�����,其存在安全芯片中的電池保電安全存儲區(qū)BPK;而其它密鑰經(jīng)過一級密鑰加密后存放于安全芯片的內(nèi)部FLASH中����,每次使用之前�����,都必須先解密;這樣若一級密鑰被銷毀�,整個密鑰體系被銷毀。
[0035]故����,當智能POS機被觸發(fā)安全告警時,其內(nèi)的安全芯片會自動擦除BPK內(nèi)數(shù)據(jù)����,繼而一級密鑰被清除,被一級密鑰加密存儲的二級�����、三級等密鑰都會失效�,整個密碼體系被銷毀。
[0036]由上可知��,本密鑰管理方案完全在安全芯片中進行�����,開放的智能系統(tǒng)不參與密碼管理���,防止密鑰被截取和被外部訪問�;再者,密鑰管理分三級進行�,從層次上、邏輯上對不同種類密鑰進行隔離���,避免密鑰濫用;采用根密鑰方法���,只要銷毀了根密鑰,等同于銷毀整個密鑰體系�,避免了逐一銷毀所有密鑰帶來的效率低下及銷毀不完整而產(chǎn)生密鑰殘留問題。
[0037]針對上述的智能POS機密鑰管理方案�����,以下通過以具體應用實例來進一步的說明�����。
[0038]本實施例的智能POS機采用安卓智能系統(tǒng)���,進一步����,亦可以采用Windows系統(tǒng)或者Linux系統(tǒng)來實施,不會影響本方案的原理闡述�����。
[0039]參見圖1�����,本實施例采用三級密鑰管理方式:一級密鑰SlOl��、二級密鑰S102���、三級密鑰S103;—級密鑰為根密鑰SEK; 二級密鑰為簽名密鑰S_PUK、設備主密鑰TMK����、鑒權密鑰AUK;三級密鑰為工作密鑰WK。
[0040]其中由一級密鑰對二級密鑰加密保護��,二級密鑰對三級密鑰加密保護;二級密鑰和三級密鑰都通過SEK加密后存儲���,加密算法為TDEA�����。這樣若根密鑰被銷毀��,整個密鑰體系被銷毀���。
[0041]本實施例的智能POS機為安卓POS機��,具有兩個內(nèi)核����,一個內(nèi)核是安卓內(nèi)核��,負責APP應用事務處理和運行安卓系統(tǒng);一個內(nèi)核是安全內(nèi)核��,具有安全芯片����,負責整個POS機的安全管理。
[0042]本實施例的密鑰都由安卓POS機的安全芯片進行管理����,安卓系統(tǒng)不參與密鑰管理。所述安卓系統(tǒng)可以安裝APP應用�,具有安卓系統(tǒng)開放性的特征。本實施例的所有密鑰都存放于安全芯片的存儲區(qū),不存放于安卓系統(tǒng)存儲區(qū)�。
[0043]本實施例的安全芯片與支付行業(yè)廣泛采用的安全芯片相同,具有金融支付相關安全認證����,具有加密、解密和隨機數(shù)生成功能和防止攻擊的安全告警觸發(fā)機制���。該安全芯片還具有紐扣電池保電存儲區(qū)BPK(Backup_battery Protected Kit)�����,該BPK區(qū)大小為32字節(jié)。BPK區(qū)域在系統(tǒng)開機情況下由設備主電池供電���,在設備關機情況下由備用紐扣電池供電�����。無論在開機或者關機情況下�,當POS機遭受攻擊而觸發(fā)安全告警機制����,需要銷毀密鑰時,都可以自動電擦除BPK內(nèi)的數(shù)據(jù)。
[0044]在本實施例中����,根密鑰SEK存儲于BPK區(qū),長度為24字節(jié)����;SEK在設備首次運行或格式化之后,由安全芯片隨機數(shù)電路生成;SEK在安全芯片內(nèi)部使用���,不可被外部讀出和寫入��;SEK是一種對稱密鑰����,用來對其它各級密鑰加密�����,加密算法為TDEA��。
[0045]在本實施例中��,簽名密鑰S_PUK用來對智能POS機的固件升級和下載的二進制BIN文件進行驗簽�����,只有被簽名驗證通過的BIN文件才能升級和下載成功。合法的BIN文件都被廠商用私鑰進行過簽名��,防止系統(tǒng)被非法刷機��。S_PUK是一種非對稱密鑰�,是長度為2048位的RSA公鑰,S_PUK是設備初始化前由廠商預置的����。S_PUK被SEK加密后存儲于安全芯片的內(nèi)部FLASH中,加密算法為TDEA; S_PUK在使用前��,必須用SEK進行解密�。
[0046]較佳地�,簽名密鑰S_PUK還被用來進行固件周期自檢,一般設置為24小時自檢一次��,自檢用來驗證固件的完整性和有效性����。如果自檢成功,固件繼續(xù)運行;如果自檢失敗�����,意味著固件損壞或者遭受攻擊,將設備置為安全告警觸發(fā)狀態(tài)��,清除BPK中的根密鑰SEK���,設備進入不可操作狀態(tài)�。
[0047]在本實施例中���,設備主密鑰TMK是對稱密鑰�����,用來對工作密鑰進行加解密��,算法為TDEA����,設備主密鑰TMK長度為16字節(jié)����。TMK是由交易后臺的加密機生成的,在設備生產(chǎn)時交由廠商注入���,因此交易后臺和POS終端中都具有相同的TMK密鑰��。TMK注入的方法遵守國際標準組織ANSI TR-31規(guī)范要求和支付卡行業(yè)規(guī)范PCI POI DTRs v3.1要求�����。TMK注入后被SEK加密存儲于設備安全芯片的內(nèi)部FLASH中���,加密算法為TDEA JMK在使用前���,用SEK來解密,用未經(jīng)解密的TMK密文不能完成任何操作�。
[0048]較佳地,設備主密鑰TMK在工廠進行注入時����,為保證密鑰安全,按照知識分散原則�����,可以由兩位密鑰管理員分別注入����,兩位管理員各自保存一半長度(8字節(jié))的TMK密鑰。
[0049]較佳地���,設備主密鑰TMK在工廠進行注入時�����,為保證密鑰安全��,還需要對密鑰進行完整性CRC校驗�����。
[0050]在本實施例中�����,安卓POS機搭載有各種業(yè)務APP應用���,這些應用有些是交易用的、有些是對賬和MIS管理的����,還有些是商戶促銷和會員管理的,這些應用都必須經(jīng)過授權才能安裝到安卓POS機上����。
[0051]鑒權密鑰AUK用來對智能系統(tǒng)的APP應用的訪問控制進行鑒權����,AUK長度為16字節(jié)�����,是一種TDEA算法的對稱密鑰�。AUK是設備初始化前由系統(tǒng)預置的,AUK被SEK加密后存儲于安全芯片的內(nèi)部FLASH中�,算法為TDEA^UK在使用前,必須用SEK解密�����。只有被AUK鑒權通過的應用才能安裝到智能POS機上��,才能訪問POS機內(nèi)的敏感數(shù)據(jù)����。
[0052]根據(jù)上述規(guī)則,智能POS機可以創(chuàng)建應用白名單����,只有被AUK鑒權通過的APP才能進入應用白名單,未進入應用白名單的APP將被禁止在智能POS機上使用���。
[0053]工作密鑰WK包括一系列密鑰:個人密碼密鑰PIK����、磁道加密密鑰TDK����、MAC計算密鑰MAK、報文傳輸密鑰TSK����。這一系列密鑰在設備每日簽到時從后臺系統(tǒng)更新下載下來,下載下來的WK已經(jīng)被交易后臺的TMK加密��,因此先通過設備TMK解密����,解密后的WK通過SEK加密后存放于安全芯片的安全FLASH中,加密算法為TDEA13WK在使用之前�����,必須通過SEK解密�,才能參與POS機的支付交易使用���。
[0054]參見圖2,其所示為實施例中工作密鑰WK的下載過程����,具體包括如下步驟:
[0055]1.智能POS機終端每日簽到向后臺請求更新工作密鑰;
[0056]2.智能POS機終端接收后臺下發(fā)的工作密鑰WK的密文���;
[0057]3.從安全芯片的BPK區(qū)讀出根密鑰SEK;
[0058]4.從安全芯片的內(nèi)部Flash中讀出設備主密鑰TMK��,并用根密鑰SEK解密����;
[0059]5.用CRC32校驗TMK的完整性和可靠性:若校驗成功轉(zhuǎn)入步驟6;若不成功�,轉(zhuǎn)入步驟8;
[0060]6.檢查工作密鑰WK是否下載成功:若下載成功,轉(zhuǎn)入步驟7;若下載不成功���,轉(zhuǎn)入步驟9;
[0061]7.用解密后的設備主密鑰TMK解密工作密鑰WK密文�����,并校驗工作密鑰WK的完整性和可靠性:若校驗成功轉(zhuǎn)入步驟8;若不成功�����,轉(zhuǎn)入步驟�;
[0062]8.用根密鑰SEK加密工作密鑰WK�,加密后的工作密鑰WK存入安全芯片的內(nèi)部Flash中;
[0063]9.清除下載緩存區(qū)���,結(jié)束下載��。
[0064]在本實施例中:
[0065]PIK密鑰用于對PIN Block進行加密獲得PIN密文����,長度為16字節(jié)�����;
[0066]MAC密鑰用于對數(shù)據(jù)塊計算的MAC值加密���,長度8字節(jié)��;
[0067]TDK密鑰用于對POS機的磁道數(shù)據(jù)進行加密���,長度為16字節(jié);
[0068]TSK用于POS機和后臺之間傳輸?shù)臄?shù)據(jù)報文加密,長度為16字節(jié)���。
[0069]上述的工作密鑰WK是一系列的動態(tài)密鑰�,這些密鑰的種類和數(shù)量隨著業(yè)務的增長還可以擴展����,能帶來POS機業(yè)務的靈活性。
[0070]較佳地�,以上工作密鑰的長度還可以根據(jù)業(yè)務類型和使用需要進行調(diào)整,而不是固定住長度���,便于業(yè)務最佳實施�。
[0071]在本實施例中��,二級密鑰和三級密鑰都經(jīng)過了SEK加密后才存儲��,都存放于安全芯片的內(nèi)部FLASH中����,這些密鑰在使用之前,都必須先解密�����,后使用。
[0072]較佳地����,SEK對二三級密鑰進行加密存儲時,還可以將密鑰CRC校驗值一塊存入安全芯片的內(nèi)部FLASH中���,有利于在固件周期自檢時檢查密鑰的完整性。當設備自檢時�,一旦檢查到某個密鑰塊的CRC校驗失敗,則意味著該設備可能遭受了安全攻擊����,可以觸發(fā)安全告警狀態(tài)而銷毀密鑰。
[0073]本實施例的密鑰管理還具有一個附加機制�����,如果用戶連續(xù)多次輸錯PIN碼��,意味著該POS機可能遭受惡意窮舉法攻擊����,則也會觸發(fā)安全告警而銷毀密鑰。
[0074]進一步地�����,安卓POS機在被其它方式攻擊時,如拆機��、切割��、鉆孔時��,也會觸發(fā)安全告警機制而要求銷毀密鑰��。
[0075]更進一步地��,根據(jù)國際支付協(xié)會PCI和銀聯(lián)卡組織對POS機的密鑰安全性要求���,在觸發(fā)安全告警情況下��,POS機必須完全清除設備內(nèi)存儲的所有密鑰��。在觸發(fā)安全告警情況下�,本實施例安卓POS機的安全芯片會自動觸發(fā)電擦除機制��,擦除BPK區(qū)域內(nèi)數(shù)據(jù)���,SEK被清除��,被SEK加密存儲的二級����、三級密鑰都會失效,整個安卓POS機的密碼體系瞬間被銷毀�,無一遺漏。
[0076]綜上所述����,整個密鑰體系的銷毀流程主要包括如下步驟,參見圖3:
[0077]1.固件檢測���,若成功,轉(zhuǎn)入步驟2�,若不成功,轉(zhuǎn)入步驟7;
[0078]2.進行設置的24小時周期自檢���;
[0079]3.檢查根密鑰SEK是否正確���,若正確,轉(zhuǎn)入步驟3�����,若不正確,轉(zhuǎn)入步驟7;
[0080]4.進行密鑰CRC校驗;若正確���,轉(zhuǎn)入步驟5���,若不正確,轉(zhuǎn)入步驟7;
[0081 ] 5.檢查設備主密鑰TMK是否正確�,若正確,轉(zhuǎn)入步驟6�����,若不正確��,轉(zhuǎn)入步驟7;
[0082]6.檢查工作密鑰WK是否正確���,若正確���,檢測流程;若不正確,轉(zhuǎn)入步驟7;
[0083]7.判斷為智能POS機遭受攻擊���,智能POS機觸發(fā)安全告警����,安全芯片會自動清除BPK區(qū)內(nèi)的數(shù)據(jù),根密鑰SEK被擦除��,使得整個密碼體系被銷毀���。
[0084]以上顯示和描述了本發(fā)明的基本原理��、主要特征和本發(fā)明的優(yōu)點�����。本行業(yè)的技術人員應該了解����,本發(fā)明不受上述實施例的限制���,上述實施例和說明書中描述的只是說明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下�����,本發(fā)明還會有各種變化和改進����,這些變化和改進都落入要求保護的本發(fā)明范圍內(nèi)����。本發(fā)明要求保護范圍由所附的權利要求書及其等效物界定�����。
【主權項】
1.一種智能POS機密鑰管理系統(tǒng)���,其特征在于�����,所述密鑰管理系統(tǒng)包括一安全芯片�,所述安全芯片獨立存儲���,管理智能POS機的所有密鑰���。2.根據(jù)權利要求1所述的一種智能POS機密鑰管理系統(tǒng),其特征在于�����,所述安全芯片中設定電池保電安全存儲區(qū)BPK,長度不少于32字節(jié);BPK在安全芯片觸發(fā)安全告警的情況下會自動電擦除BPK內(nèi)的數(shù)據(jù)���。3.根據(jù)權利要求2所述的一種智能POS機密鑰管理系統(tǒng)����,其特征在于�����,所述安全芯片對密鑰進行分級管理���,由一級密鑰對二級密鑰加密保護����,二級密鑰對三級密鑰加密保護��,依此類推;所述一級密鑰存在安全芯片中的電池保電安全存儲區(qū)BPK;其它密鑰經(jīng)過一級密鑰加密后存放于安全芯片的內(nèi)部FLASH中���,每次使用之前����,都必須先解密;若一級密鑰被銷毀��,整個密鑰體系被銷毀�����。4.一種智能POS機密鑰管理方法��,其特征在于���,所述密鑰管理方法對密鑰進行分級管理����,并由一級密鑰對二級密鑰加密保護�,二級密鑰對三級密鑰加密保護,依此類推���。5.根據(jù)權利要求4所述的一種智能POS機密鑰管理方法�,其特征在于����,所有密鑰都由智能POS機的安全芯片進行管理。6.根據(jù)權利要求4所述的一種智能POS機密鑰管理方法����,其特征在于,所有密鑰都存放于安全芯片的存儲區(qū),該安全芯片具有電池保電安全存儲區(qū)BPK;電池保電安全存儲區(qū)BPK在安全芯片觸發(fā)安全告警的情況下會自動電擦除其內(nèi)的數(shù)據(jù)���。7.根據(jù)權利要求6所述的一種智能POS機密鑰管理方法�,其特征在于�����,所述一級密鑰存放于安全芯片的電池保電安全存儲區(qū)BPK�����,其它密鑰經(jīng)過一級密鑰加密后存放于安全芯片的內(nèi)部FLASH中����,每次使用之前,都必須先解密���,后使用���。8.根據(jù)權利要求7所述的一種智能POS機密鑰管理方法,其特征在于����,當智能POS機觸發(fā)安全告警時,安全芯片會自動清除電池保電安全存儲區(qū)BPK內(nèi)數(shù)據(jù)��,一級密鑰被擦除����,被一級密鑰加密存儲的其它級別密鑰都會失效,整個密碼體系被銷毀��。9.根據(jù)權利要求4所述的一種智能POS機密鑰管理方法�����,其特征在于����,所述密鑰管理方法采用三級管理方式,一級密鑰為根密鑰SEK�,二級密鑰為簽名密鑰S_PUK、設備主密鑰TMK�、鑒權密鑰AUK,三級密鑰為工作密鑰WK;并由一級密鑰對二級密鑰加密保護�,二級密鑰對三級密鑰加密保護;二密鑰和三級密鑰都通過根密鑰SEK加密后存儲,若根密鑰被銷毀�����,整個密鑰體系被銷毀。10.根據(jù)權利要求9所述的一種智能POS機密鑰管理方法����,其特征在于,所述的根密鑰SEK�����,用于加密其它密鑰�,其存儲于安全芯片的BPK區(qū);根密鑰SEK在設備首次運行或格式化之后�,由安全芯片隨機數(shù)電路生成;根密鑰SEK在安全芯片內(nèi)部使用,不可被外部讀出和寫入����。11.根據(jù)權利要求9所述的一種智能POS機密鑰管理方法,其特征在于���,所述的簽名密鑰S_PUK�����,用來對智能POS機的固件升級和下載的二進制BIN文件進行驗簽����,只有被簽名驗證通過的BIN文件才能升級和下載成功,防止設備被非法刷機;簽名密鑰3_?1]1(被根密鑰SEK加密后存儲于安全芯片的內(nèi)部FLASH中�����;簽名密在進行驗簽使用前�����,必須用根密鑰SEK解LU O12.根據(jù)權利要求9所述的一種智能POS機密鑰管理方法��,其特征在于����,所述的設備主密鑰TMK��,用來對工作密鑰WK加解密;設備主密鑰TMK由交易后臺產(chǎn)生�,在設備生產(chǎn)時交由廠商導入設備;設備主密鑰TMK被根密鑰SEK加密后存儲于設備安全芯片的內(nèi)部FLASH中;設備主密鑰TMK在使用前��,必須用根密鑰SEK解密�����。13.根據(jù)權利要求9所述的一種智能POS機密鑰管理方法����,其特征在于�,所述的鑒權密鑰AUK����,用來對智能系統(tǒng)的APP引用的訪問控制進行鑒權,防止非法未授權應用對密鑰和安全存儲區(qū)進行數(shù)據(jù)訪問���;鑒權密鑰AUK被根密鑰SEK加密后存儲于安全芯片的內(nèi)部FLASH中�,并在使用前����,必須用根密鑰SEK解密。14.根據(jù)權利要求9所述的一種智能POS機密鑰管理方法����,其特征在于,所述的工作密鑰WK在設備每日簽到時從交易后臺系統(tǒng)更新下載下來�����,同時下載下來的工作密鑰WK被交易后臺的設備主密鑰TMK加密���,需先通過設備主密鑰TMK解密����,然后用根密鑰SEK加密后存放于安全芯片的內(nèi)部FLASH中,并在使用之前����,必須通過根密鑰SEK解密。15.根據(jù)權利要求14所述的一種智能POS機密鑰管理方法���,其特征在于,所述的工作密鑰WK包括:個人密碼密鑰PIK��、磁道加密密鑰TDK���、MAC計算密鑰MAK��、報文傳輸密鑰TSK����。16.根據(jù)權利要求9-15中任一項所述的一種智能POS機密鑰管理方法����,其特征在于,當智能POS機觸發(fā)安全告警時��,安全芯片會自動清除BPK區(qū)內(nèi)的數(shù)據(jù),根密鑰SEK被擦除���,被根密鑰SEK加密存儲的二級和三級密鑰都會失效���,整個密碼體系被銷毀。
【文檔編號】H04L9/32GK106059771SQ201610297814
【公開日】2016年10月26日
【申請日】2016年5月6日
【發(fā)明人】沈勇堅, 胡永剛, 王翔平
【申請人】上海動聯(lián)信息技術股份有限公司