本发明专利技术实施例公开了一种终端主密钥的在线管理方法及系统,所述方法包括:将终端在密钥管理后台中注册;密钥管理后台响应密钥申请向终端分发公钥;终端生成加密密钥,并使用公钥加密获得加密密钥密文;密钥管理后台使用私钥解密加密密钥密文获得加密密钥并存储;密钥管理后台使用加密密钥对称加密终端主密钥获得主密钥密文;终端使用加密密钥解密主密钥密文获得终端主密钥并存储。采用在线获取终端主密钥的方式,有效减少人力投入,且无需采用离线安全设备,大大降低了人力资源成本和设备采购成本,通过非对称加密方式以及生成加密密钥随机数的方式,有效的增强了主密钥管理过程中的安全性。
An on-line management method and system of terminal master key
【技术实现步骤摘要】
一种终端主密钥的在线管理方法及系统
本专利技术实施例涉及信息安全
,具体涉及一种终端主密钥在线管理方法及系统。
技术介绍
众所周知,银行广泛使用各种类型的终端设备来完成金融交易,例如柜台密码键盘、POS、ATM等,每台终端内都存放了一定数量的终端密钥,终端密钥主要用于保护客户密码等敏感信息以及数据传输的安全性,通过主密钥/工作密钥体系来实现,工作密钥也称为数据密钥,主要是用于加密传输数据,包括PIN密钥(TerminalPINencryptionKey,TPK,用于加密个人银行卡密码PIN)、MAC密钥(TerminalAdministrativeKey,TAK,用于计算校验信息认证代码MAC)等,需要经常性的定期更换,终端主密钥(ZoneMasterKey,ZMK)位于工作密钥的上层,主要是用于加密下一层次的工作密钥,保证工作密钥在传输线路上的安全性。随着各种终端设备数量的急速增长,终端密钥的安全性管理问题日益突出,如何高效的对大量的终端密钥进行一机一密安全管理,成为很多银行急待解决的问题。目前终端主密钥的获取主要采用两种通用的做法:(1)在终端设备出厂时使用统一的出厂密钥,在终端接入银行密钥系统进行初始化时再下载更新主密钥,此种方式存在主密钥泄露的安全风险;(2)在终端设备接入银行密钥系统前,采用安全设备从密钥系统中获取主密钥然后再通过线下的方式注入到终端中,但此方式大大增加了人工成本以及安全设备的投入成本。
技术实现思路
为此,本专利技术实施例提供一种终端主密钥的在线管理方法及系统,以解决现有的终端主密钥获取方式存在的安全风险高、人工以及设备投入成本高的问题。为了实现上述目的,本专利技术实施例提供如下技术方案:根据本专利技术实施例的第一方面,提出了一种终端主密钥的在线管理方法,所述方法包括:使用终端的唯一标识信息将所述终端在密钥管理后台中进行注册,所述密钥管理后台中存储有非对称加密的公钥和私钥对;所述终端向密钥管理后台发起在线密钥申请,密钥管理后台响应所述密钥申请向所述终端分发预存储的公钥,所述终端接收所述公钥并进行存储;所述终端生成加密密钥并存储,并使用所述公钥加密所述加密密钥获得加密密钥密文;所述终端将所述加密密钥密文发送至密钥管理后台,密钥管理后台使用与所述公钥匹配的私钥解密所述加密密钥密文获得所述加密密钥并存储;所述密钥管理后台生成并分发终端主密钥,并使用所述加密密钥对称加密所述终端主密钥获得主密钥密文;所述密钥管理平台将所述主密钥密文发送至所述终端,所述终端使用所述加密密钥解密所述主密钥密文获得所述终端主密钥并存储。进一步地,所述密钥管理后台中存储非对称加密的公钥和私钥对,还包括:对所述公钥和私钥对进行定期更新。进一步地,所述密钥管理后台中存储非对称加密的公钥和私钥对,还包括:采用SM2非对称加密算法获得所述公钥和私钥对。进一步地,所述使用所述加密密钥对称加密所述终端主密钥获得主密钥密文,还包括:采用SM4对称加密算法对所述终端主密钥进行加密。进一步地,所述加密密钥为随机数生成密钥。进一步地,所述唯一标识信息包括终端ID、编号信息。根据本专利技术实施例的第二方面,提出了一种终端主密钥的在线管理系统,所述系统包括终端和密钥管理后台;所述终端包括:加密密钥生成模块,用于生成并存储加密密钥;公钥存储模块,用于存储密钥管理平台向所述终端分发的公钥;加密密钥密文模块,用于使用所述公钥加密所述加密密钥获得加密密钥密文,并将所述加密密钥密文发送至密钥管理后台;主密钥解密模块,用于使用所述加密密钥对密钥管理平台发送的主密钥密文进行解密,获得所述终端主密钥并存储,所述主密钥密文通过使用所述加密密钥对称加密终端主密钥获得;所述密钥管理后台包括:注册模块,用于使用终端的唯一标识信息将所述终端在所述密钥管理后台中进行注册;公私钥模块,用于生成并存储非对称加密的公钥和私钥对;加密密钥解密模块,用于使用与加密所述加密密钥的公钥相匹配的私钥解密终端发送的所述加密密钥密文,获得所述加密密钥并存储;主密钥模块,用于生成并分发终端主密钥;主密钥密文模块,用于使用所述加密密钥对称加密所述终端主密钥获得主密钥密文,并将所述主密钥密文发送至终端。进一步地,所述公私钥模块还用于对所述公钥和私钥对进行定期更新。本专利技术实施例具有如下优点:本专利技术实施例提出的一种终端主密钥的在线管理方法及系统,采用在线获取终端主密钥的方式,有效减少人力投入,且无需采用离线安全设备,大大降低了人力资源成本和设备采购成本,通过非对称加密方式以及生成加密密钥随机数的方式,有效的增强了主密钥管理过程中的安全性。附图说明为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。图1为本专利技术实施例1提供的一种终端主密钥的在线管理方法的流程示意图。具体实施方式以下由特定的具体实施例说明本专利技术的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本专利技术的其他优点及功效,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。实施例1如图1所示,本实施例提出了一种终端主密钥的在线管理方法,该方法包括以下步骤:S10、使用终端的唯一标识信息将终端在密钥管理后台中进行注册,密钥管理后台中存储有非对称加密的公钥和私钥对。唯一标识信息包括终端ID、终端编号信息等。非对称加密中加密和解密使用的是两个不同的密钥即公钥和私钥,本实施例采用SM2非对称加密算法获得公钥和私钥对,并对公钥和私钥对进行定期更新。SM2非对称加密算法采用基本椭圆曲线算法结构,计算复杂度达到完全指数级,存储空间192-256bit,相比于RSA算法密码复杂度更高、处理速度更快、机器性能消耗更小,解密加密速度更快。S20、终端向密钥管理后台发起在线密钥申请,密钥管理后台响应密钥申请向终端分发预存储的公钥,终端接收公钥并进行存储。各成员行的ATM或POS终端的数量一般都较大,多台或一组终端设备可共用一个公钥。S30、终端生成加密密钥并存储,并使用公钥加密加密密钥获得加密密钥密文。可通过随机数生成器生成128位的随机数加密密钥,具有较高的随机性和管理安全性。S40、终端将加密密钥密文发送至密钥管理后台,密钥管理后台使用与公钥匹配的私钥解密加密密钥密文获得加密密钥并存储。S50、密钥管理后台生成并分发终端主密钥,并使用加密密钥对称加密终端主密钥获得主密钥密文。对称加密中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥,所以保证其安全性就是保证密钥的安全,本实施例采用SM4对称加密算法对终端主密钥进行加密,SM4是国密分组数据算法,分组加密又称分块加密或块密码,是一种对称密钥算法,它将明文分成多个等长的模块(block),使用确定的算法和对称密钥对每组分别加密解密,密钥长度和分组长度均为128位。S60、密钥管理平台将主密钥密文发送至终端,终端使用加密密钥解密主密钥密文获得终端主密钥并在本本文档来自技高网...
【技术保护点】
1.一种终端主密钥的在线管理方法,其特征在于,所述方法包括:使用终端的唯一标识信息将所述终端在密钥管理后台中进行注册,所述密钥管理后台中存储有非对称加密的公钥和私钥对;所述终端向密钥管理后台发起在线密钥申请,密钥管理后台响应所述密钥申请向所述终端分发预存储的公钥,所述终端接收所述公钥并进行存储;所述终端生成加密密钥并存储,并使用所述公钥加密所述加密密钥获得加密密钥密文;所述终端将所述加密密钥密文发送至密钥管理后台,密钥管理后台使用与所述公钥匹配的私钥解密所述加密密钥密文获得所述加密密钥并存储;所述密钥管理后台生成并分发终端主密钥,并使用所述加密密钥对称加密所述终端主密钥获得主密钥密文;所述密钥管理平台将所述主密钥密文发送至所述终端,所述终端使用所述加密密钥解密所述主密钥密文获得所述终端主密钥并存储。
【技术特征摘要】
1.一种终端主密钥的在线管理方法,其特征在于,所述方法包括:使用终端的唯一标识信息将所述终端在密钥管理后台中进行注册,所述密钥管理后台中存储有非对称加密的公钥和私钥对;所述终端向密钥管理后台发起在线密钥申请,密钥管理后台响应所述密钥申请向所述终端分发预存储的公钥,所述终端接收所述公钥并进行存储;所述终端生成加密密钥并存储,并使用所述公钥加密所述加密密钥获得加密密钥密文;所述终端将所述加密密钥密文发送至密钥管理后台,密钥管理后台使用与所述公钥匹配的私钥解密所述加密密钥密文获得所述加密密钥并存储;所述密钥管理后台生成并分发终端主密钥,并使用所述加密密钥对称加密所述终端主密钥获得主密钥密文;所述密钥管理平台将所述主密钥密文发送至所述终端,所述终端使用所述加密密钥解密所述主密钥密文获得所述终端主密钥并存储。2.根据权利要求1所述的一种终端主密钥的在线管理方法,其特征在于,所述密钥管理后台中存储非对称加密的公钥和私钥对,还包括:对所述公钥和私钥对进行定期更新。3.根据权利要求1所述的一种终端主密钥的在线管理方法,其特征在于,所述密钥管理后台中存储非对称加密的公钥和私钥对,还包括:采用SM2非对称加密算法获得所述公钥和私钥对。4.根据权利要求1所述的一种终端主密钥的在线管理方法,其特征在于,所述使用所述加密密钥对称加密所述终端主密钥获得主密钥密文,还包括:采用SM4对称加密算法对所述终端主密钥...
【专利技术属性】
技术研发人员:吴华晖,晏福平,
申请(专利权)人:晏福平,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。