Copyright Notice © 2009-2024 czvv.com 传众 版权所有
用于银行柜面敏感数据保护的硬件密码模块及方法
申请公布号:CN101799852B
申请号:CN201010107384.9
申请日期:2010.02.09
申请公布日期:2015.06.17
发明人:戴宇星
分类号:G06F21/45(2013.01)I
主分类号:G06F21/45(2013.01)I
地址:100083 北京市海淀区知春里9号坤讯大厦4层405室
摘要:本发明涉及一种用于银行柜面敏感数据保护的硬件密码模块及方法,所述硬件密码模块对所述银行柜面敏感数据进行保护,所述硬件密码模块包括用于存储银行柜面敏感数据的安全存储区,所述存储区包括静态存储区及临时存储区,所述方法包括步骤1:对所述硬件密码模块进行初始化;步骤2:硬件密码模块注册;步骤3:硬件密码模块签到。根据本发明所述的银行柜面敏感数据保护方法,能够实时地为柜面提供消息验证、数据加密、签名的产生和验证的密码服务,保证数据从产生、传输、接收整个过程的机密性、完整性和不可抵赖性。
主权项:一种用于银行柜面敏感数据保护的硬件密码模块,其特征在于:所述硬件密码模块包括一块嵌入式主板,所述嵌入式主板上集成如下电路:处理器,采用微控制器;引导区,采用FLASH存储器,用于存放系统引导程序,所述系统引导程序用于完成由硬件启动到操作系统启动的过渡,从而为操作系统提供基本的运行环境;内存,采用SDRAM存储器;存贮器,采用FLASH存储器,用于存放操作系统内核、文件系统、用户代码和用户数据;其中,所述操作系统内核为Linux内核,文件系统为Linux根文件系统;安全存储区,用于存储作为银行柜面敏感数据的密钥和口令;所述安全存储区包括静态存储区及临时存储区,其中静态存储区用于存储设备唯一标识、非对称密钥CPK、主密钥TMK、主机IP、用户信息及厂商信息,所述临时存储区用于存储预定数量组对称工作密钥,每一组工作密钥包含一个TAK密钥、一个TEK密钥和一个TDK密钥,每一组工作密钥对应一个索引号;通信接口,采用USB2.0接口,用于连接台式终端;算法芯片,采用FPGA,用于实现密码算法、局部总线接口、URAT和时序控制功能;真随机数发生器,用于向处理器端口提供随机数;直流电源;以及时钟;并且,所述硬件密码模块采用三层密钥管理体系,其中第一层为标识密钥,第二层为所述主密钥TMK,第三层包括所述TAK密钥、TEK密钥及TDK密钥,并且,所述标识密钥是所述非对称密钥CPK,其用于加密TMK密钥、产生签名、验证签名,所述标识密钥永久保存,不需要更换;主密钥TMK是一个加密以及解密密钥用的密钥,用于密钥协商过程中对工作密钥进行加密以及解密;所述TAK密钥是一个数据加密用的密钥,所述TAK密钥对消息数据生成和校验一个信息认证代码,从而进行信息认证,TEK密钥是一个数据加密用的密钥,用于加密柜面敏感数据,实现交易报文的安全传输,TDK密钥用于对加密的数据进行解密。