本发明专利技术属于安全支付技术领域,具体提供一种基于TPM的数字货币安全存储与认证系统、方法,所述方法包括如下步骤:通过TPM开辟NV空间并设置空间的权限用于存储用户数字货币证书、银行CA证书和数字货币信息;通过TPM芯片获取支付终端可信报告、读取用户数字货币证书和、数字货币信息向支付认证系统发起支付认证请求;支付认证系统验证请求合法完整后允许交易进行、交易结算系统进行数字货币信息交易记录、支付终端根据交易要求同步修改本地存储的数字货币信息、并将修改结果同步到交易结算系统;审计记录数字货币支付应用与TPM芯片交互的审计日志事件。确保只有合法授权的应用访问数字货币信息。数字货币信息。数字货币信息。
【技术实现步骤摘要】
一种基于TPM的数字货币安全存储与认证系统、方法
[0001]本专利技术涉及安全支付
,具体涉及一种基于TPM的数字货币安全存储与认证系统、方法。
技术介绍
[0002]数字钱包是当下数字货币交易及金融活动过程中所依托的重要基础设施,当前数字钱包的实现主要包括web实现(纸钱包)、本地软件实现、硬件HSM实现等方式。这些实现技术的安全性依次增强。
[0003]常见的数字货币存储与认证方法包括基于TEE的可信应用实现身份信息认证签名或基于SIM卡实现密钥认证。SIM卡和TEE由于存储空间限制提供的安全存储和认证时分开的存取的效率及安全性不高。
技术实现思路
[0004]常见的数字货币存储与认证方法包括基于TEE的可信应用实现身份信息认证签名或基于SIM卡实现密钥认证。SIM卡和TEE由于存储空间限制提供的安全存储和认证时分开的存取的效率及安全性不高的问题,本专利技术一种基于TPM的数字货币安全存储与认证系统、方法。
[0005]本专利技术的技术方案是:
[0006]第一方面,本专利技术技术方案提供一种基于TPM的数字货币安全存储与认证系统,包括支付终端和支付认证系统;
[0007]支付终端内设置有TPM芯片和数字货币支付应用;
[0008]数字货币支付应用,用于用户通过支付终端向数字货币系统账户颁发方申请数字货币账户,并接收数字货币系统账户颁发方颁发银行CA证书、用户数字货币证书以及加密的数字货币信息;验证接收到的用户数字证书的合法性和完整性并对加密的数字货币信息解密后存储到TPM芯片;还用于读取用户数字货币证书、数字货币信息、支付终端可信报告向支付认证系统发起支付交易请求;
[0009]支付认证系统,用于接收到支付交易请求后验证数字货币信息、用户平台可信报告的合法性,验证通过允许交易进行;
[0010]支付终端,用于根据交易要求同步修改本地存储的数字货币信息;
[0011]TPM芯片,还用于记录用户数字货币证书访问审计日志。
[0012]本专利技术利用TPM2.0芯片提供的非易性存储来存储用户数字货币证书和数字货币信息,利用TPM2.0芯片提供的NV特殊用途功能实现数字货币信息的安全高效存取。通过TPM2.0增强授权机制将平台安全状态同用户数字货币证书的使用绑定、确保支付过程在安全可信平台上进行。通过TPM2.0增强授权机制将数字货币信息操作与用户数字货币证书绑定、确保只有合法授权的应用访问修改存储与NV空间之中的数字货币信息。
[0013]优选地,TPM芯片设有NV空间,用于存储用户数字货币证书和银行CA证书;
[0014]数字货币支付应用,用于对存储用户数字货币证书的NV空间设置访问权限。
[0015]TPM芯片,通过TPM2 Audit机制对用户数字货币证书申请与存储期间的数据存取以及认证过程进行审计。
[0016]优选地,用户通过支付终端向数字货币系统账户颁发方申请数字货币账户,申请时提交的信息包括身份信息、设备唯一识别信息、开户信息。
[0017]优选地,支付终端,用于用户通过支付终端发起支付请求时,通过TPM芯片获取支付终端可信报告,读取用户数字货币证书和数字货币信息,向支付认证系统发起支付认证请求。
[0018]优选地,支付认证系统,用于接收到支付认证请求后,验证用户数字货币证书的合法性和完整性,通过支付终端可信报告验证支付终端可信状态,核验数字货币信息。
[0019]优选地,支付终端,用于根据交易要求同步修改本地存储的用户数字货币信息、并将修改结果同步到交易结算系统;
[0020]交易结算系统,用于支付认证系统验证通过后允许交易进行,并记录数字货币信息交易记录。
[0021]优选地,数字货币支付应用,用于在TPM2中创建NV扩展索引用于记录审计日志事件;
[0022]TPM芯片,用于记录审计日志事件时扩展审计事件到NV扩展索引。
[0023]数字货币用户通过终端向数字货币系统账户颁发方(如银行)申请数字货币账户、申请时提交的信息包括身份信息(如身份证号)、设备唯一识别信息(信息包括:TPM Endorsement Primary PubKey证书、PCR value(PCR0~7)、CPU UUID)、其他必要的开户信息;银行审核通过后向用户支付终端(内部设有数字货币支付应用)颁发银行CA证书、用户数字货币证书、其中涉及用户的数字货币信息使用Endorsement Primary PubKey进行加密;支付终端的数字货币支付应用验证接收到的数字证书的合法性和完整性、并基于TPM Endorsement Primary PrivKey对数字货币信息解密后存储。
[0024]支付终端支付应用通过TPM开辟两个个NV空间、用于存储用户数字货币证书和银行CA证书,其中对存储用户数字货币证书的空间设置访问权限所有应用均可读、授权写(授权策略为policy(HASH(支付应用证书申请API)||HASH(PWD)||PCR_VALUE[0~7])、pwd为用户授权认证信息(可能是指纹信息、声纹信息或者用户口令),启用TPM芯片NV空间访问AuditLog机制,用于审计用户数字货币证书使用记录;对存储银行CA证书存储空间设置任意应用可读性。
[0025]支付终端支付应用通过TPM开辟一个NV空间,存储数字货币离线信息,设置访问控制权限为授权写、授权读。
[0026]数字货币支付认证过程:用户发起支付请求时首先读取用户数字货币证书和数字货币信息、联合用户平台可信报告(通过TPM2_QUOTE获取)、发送给数字货币支付认证系统、发起支付交易请求,数字货币支付认证系统验证用户数字货币合法性、支付终端可信报告后,验证必要的数字货币信息(如金额等)。验证通过允许交易进行、银行支付系统进行数字货币信息交易记录、支付终端根据交易要求同步修改本地存储的数字货币信息。TPM芯片记录用户数字货币证书访问审计日志。
[0027]第二方面,本专利技术技术方案还提供一种基于TPM的数字货币安全存储与认证方法,
包括如下步骤:
[0028]通过TPM开辟NV空间并设置空间的权限用于存储用户数字货币证书、银行CA证书和数字货币信息;
[0029]通过TPM芯片获取支付终端可信报告、读取用户数字货币证书和、数字货币信息向支付认证系统发起支付认证请求;
[0030]支付认证系统验证请求合法完整后允许交易进行、交易结算系统进行数字货币信息交易记录、支付终端根据交易要求同步修改本地存储的数字货币信息、并将修改结果同步到交易结算系统;
[0031]审计记录数字货币支付应用与TPM芯片交互的审计日志事件。
[0032]优选地,该方法还包括:
[0033]提交申请用户数字货币证书的申请;
[0034]接收颁发的银行CA证书、用户数字货币证书和加密的数字货币信息,并对接收到的用户数字货币证书的合法性进行验证。
[0035]优选地,通过本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于TPM的数字货币安全存储与认证系统,其特征在于,包括支付终端和支付认证系统;支付终端内设置有TPM芯片和数字货币支付应用;数字货币支付应用,用于用户通过支付终端向数字货币系统账户颁发方申请数字货币账户,并接收数字货币系统账户颁发方颁发银行CA证书、用户数字货币证书以及加密的数字货币信息;验证接收到的用户数字证书的合法性和完整性并对加密的数字货币信息解密后存储到TPM芯片;还用于读取用户数字货币证书、数字货币信息、支付终端可信报告向支付认证系统发起支付交易请求;支付认证系统,用于接收到支付交易请求后验证数字货币信息、用户平台可信报告的合法性,验证通过允许交易进行;支付终端,用于根据交易要求同步修改本地存储的数字货币信息;TPM芯片,还用于记录用户数字货币证书访问审计日志。2.根据权利要求1所述的基于TPM的数字货币安全存储与认证系统,其特征在于,TPM芯片设有NV空间,用于存储用户数字货币证书和银行CA证书;数字货币支付应用,用于对存储用户数字货币证书的NV空间设置访问权限;TPM芯片,通过TPM2 Audit机制对用户数字货币证书申请与存储期间的数据存取以及认证过程进行审计。3.根据权利要求2所述的基于TPM的数字货币安全存储与认证系统,其特征在于,用户通过支付终端向数字货币系统账户颁发方申请数字货币账户,申请时提交的信息包括身份信息、设备唯一识别信息、开户信息。4.根据权利要求3所述的基于TPM的数字货币安全存储与认证系统,其特征在于,支付终端,用于用户通过支付终端发起支付请求时,通过TPM芯片获取支付终端可信报告,读取用户数字货币证书和数字货币信息,向支付认证系统发起支付认证请求。5.根据权利要求4所述的基于TPM的数字货币安全存储与认证系统,其特征在于,支付认证系统,用于接收到支付认证请求后,验证用户数字货币证书的合法性和完整性,...
【专利技术属性】
技术研发人员:吴保锡,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。