一种基于安全密钥体系的柜外集成设备制造技术

本发明专利技术涉及一种基于安全密钥体系的柜外集成设备，包括数据采集模块、数据加密模块、密钥加密模块、密钥存储模块和安全保护模块。所述数据采集模块利用设置在设备端的数据采集装置收集所需数据信息；所述数据加密模块通过终端上的国密算法对采集到的数据进行加密；所述密钥加密模块通过终端上的加密密钥TEK对终端应用密钥进行加密，其中，所述终端应用密钥包括主密钥TMK和工作密钥TDK；所述密钥存储模块包括多个安全储存区，每个安全储存区只储存一种密钥。所述安全保护模块为设置在加密密钥TEK安全储存区的自毁程序，当加密的数据信息和密钥受到攻击时自动清除加密密钥TEK。和密钥受到攻击时自动清除加密密钥TEK。和密钥受到攻击时自动清除加密密钥TEK。

【技术实现步骤摘要】
一种基于安全密钥体系的柜外集成设备


[0001]本专利技术涉及通信
，具体为一种基于安全密钥体系的柜外集成设备。

技术介绍

[0002]传统的柜台设备多采用PC连接多个单一功能模块的设备，如IC卡读卡器，身份证读卡器，社保卡读卡器，密码输入键盘等各种设备，再加上一些需要填写的纸质手写材料，占据了柜台很大的一部分窗口空间。
[0003]采集到的密码，身份证号码，社保卡信息等数据信息在采集的过程，传输的过程和本地储存中都有泄露的威胁。
[0004]在现有技术CN111865579B基于SM2算法改造的数据加解密方法及装置中提出了一种在数据解密运算过程中不出现私钥明文信息的基于SM2算法改造的数据加解密方法，不出现私钥明文信息就减少了私钥被破解的可能性，降低了信息被盗取的可能性。
[0005]尽管不出现私钥的明文信息，但是私钥还是存在被破解的可能性，且数据在传输的过程中也存在被盗取的可能，所以在数据采集阶段和数据的存储以及数据的传输过程中都最好不要出现数据的明文信息是最安全的，对加密数据的密钥进行再保护也能提高数据的安全性。

技术实现思路

[0006]为了解决上述现有技术中存在的问题，本专利技术提出了一种基于安全密钥体系的柜外集成设备。
[0007]本专利技术的技术方案如下：
[0008]一方面，本专利技术提出一种基于安全密钥体系的柜外集成设备，其特征在于，包括数据采集模块、数据加密模块、密钥加密模块、密钥存储模块和安全保护模块。
[0009]所述数据采集模块利用设置在设备端的数据采集装置收集所需数据信息；
[0010]所述数据加密模块通过终端上的国密算法对采集到的数据进行加密；
[0011]所述密钥加密模块通过终端上的加密密钥TEK对终端应用密钥进行加密，其中，所述终端应用密钥包括主密钥TMK和工作密钥TDK；
[0012]所述密钥存储模块包括多个安全储存区，每个安全储存区只储存一种密钥。
[0013]所述安全保护模块为设置在加密密钥TEK安全储存区的自毁程序，当加密的数据信息和密钥受到攻击时自动清除加密密钥TEK。
[0014]作为优选实施方式，所述加密密钥TEK包括加密密钥TEK明文和加密密钥TEK的校验值，所述加密密钥TEK明文为终端的国密安全芯片生成的16字节的随机数，所述加密密钥TEK的校验值采用加密密钥TEK明文对16字节全0x00做SM4加密生成，取前4字节作为校验值；所有密钥的校验值生成方法与加密密钥TEK的校验值生成方法相同，所述加密密钥TEK保存于国密安全芯片的电池备份区，所述电池备份区属于密钥储存模块。
[0015]作为优选实施方式，所述主密钥TMK的下载方法具体为：
[0016]在设备端和终端间利用SM2算法建立双向认证通信；
[0017]在设备端生成16字节随机数，用终端上的SM2公钥加密把随机数生成随机数密文，把随机数密文和校验值发送回终端；
[0018]终端接到随机数密文和验证值后，用终端上的SM2私钥解密随机数密文得到随机数明文并计算对应的校验值；校验通过后，将上述随机数明文作为主密钥TMK临时的加密密钥，利用所述随机数明文对主密钥TMK使用SM4算法加密生成主密钥TMK密文，将所述主密钥TMK密文和校验值发送给设备端；
[0019]设备端用上述随机数明文对主密钥TMK做SM4解密得到主密钥TMK明文，同时计算主密钥TMK校验值，校验通过后从国密安全芯片的电池备份区读取出加密密钥TEK明文和TEK的校验值，并利用加密密钥TEK明文对16字节全0x00做SM4加密计算得到加密密钥TEK的校验值，比较读取的TEK校验值和计算的校验值进行校验，校验通过后用加密密钥TEK做SM4加密主密钥TMK生成主密钥TMK密文，将主密钥TMK密文保存于密钥安全模块内，下载完成。
[0020]作为优选实施方式，所述工作密钥TDK的下载方法具体为：
[0021]在终端根据已经下载的主密钥TMK对工作密钥TDK使用SM4算法加密生成工作密匙TDK密文，并将工作密钥TDK密文发送至设备端；
[0022]设备端读取加密密钥TEK和主密钥TMK密文并计算出主密钥TMK明文，对主密钥TMK明文使用SM4算法解密得到工作密钥TDK明文，再计算工作密钥TDK明文的校验值，校验通过后使用加密密钥TEK加密工作密钥TDK明文得到新的工作密钥TDK密文，并保存在密钥安全模块中，工作密钥TDK下载完成。
[0023]另一方面，本专利技术提出一种基于安全密钥体系的柜外集成方法，包括：
[0024]通过设置在设备端的数据采集装置收集所需数据信息；
[0025]将收集到的数据信息发送至终端并利用国密算法进行加密，再将加密后的密文发送回设备端；
[0026]利用国密安全芯片和国密算法生成加密密钥TEK及其对应的校验值，并利用加密密钥TEK对主密钥TMK和工作密钥TDK进行加密且将所有的密钥保存在不同的密钥安全区内；
[0027]在加密密钥TEK所处的密钥安全区内设置有自毁程序，当加密的数据信息或者密钥受到攻击时自动启动自毁程序清除加密密钥TEK。
[0028]作为优选实施方式，所述加密密钥TEK包括加密密钥TEK明文和加密密钥TEK的校验值，所述加密密钥TEK明文为终端的国密安全芯片生成的16字节的随机数，所述加密密钥TEK的校验值采用加密密钥TEK明文对16字节全0x00做SM4加密生成，取前4字节作为校验值；所有密钥的校验值生成方法与加密密钥TEK的校验值生成方法相同，所述加密密钥TEK保存于国密安全芯片的电池备份区，所述电池备份区属于密钥储存模块。
[0029]作为优选实施方式，所述主密钥TMK的下载方法具体为：
[0030]在设备端和终端间利用SM2算法建立双向认证通信；
[0031]在设备端生成16字节随机数，用终端上的SM2公钥加密把随机数生成随机数密文，把随机数密文和校验值发送回终端；
[0032]终端接到随机数密文和验证值后，用终端上的SM2私钥解密随机数密文得到随机数明文并计算对应的校验值；校验通过后，将上述随机数明文作为主密钥TMK临时的加密密
钥，利用所述随机数明文对主密钥TMK使用SM4算法加密生成主密钥TMK密文，将所述主密钥TMK密文和校验值发送给设备端；
[0033]设备端用上述随机数明文对主密钥TMK做SM4解密得到主密钥TMK明文，同时计算主密钥TMK校验值，校验通过后从国密安全芯片的电池备份区读取出加密密钥TEK明文和TEK的校验值，并利用加密密钥TEK明文对16字节全0x00做SM4加密计算得到加密密钥TEK的校验值，比较读取的TEK校验值和计算的校验值进行校验，校验通过后用加密密钥TEK做SM4加密主密钥TMK生成主密钥TMK密文，将主密钥TMK密文保存于密钥安全模块内，下载完成。
[0034]作为优选实施方式，所述工作密钥TDK的下载方法具体为：
[0035]在终端根据已本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于安全密钥体系的柜外集成设备，其特征在于，包括数据采集模块、数据加密模块、密钥加密模块、密钥存储模块和安全保护模块。所述数据采集模块利用设置在设备端的数据采集装置收集所需数据信息；所述数据加密模块通过终端上的国密算法对采集到的数据进行加密；所述密钥加密模块通过终端上的加密密钥TEK对终端应用密钥进行加密，其中，所述终端应用密钥包括主密钥TMK和工作密钥TDK；所述密钥存储模块包括多个安全储存区，每个安全储存区只储存一种密钥。所述安全保护模块为设置在加密密钥TEK安全储存区的自毁程序，当加密的数据信息和密钥受到攻击时自动清除加密密钥TEK。2.根据权利要求1所述的一种基于安全密匙体系的柜外集成设备，其特征在于，所述加密密钥TEK包括加密密钥TEK明文和加密密钥TEK的校验值，所述加密密钥TEK明文为终端的国密安全芯片生成的16字节的随机数，所述加密密钥TEK的校验值采用加密密钥TEK明文对16字节全0x00做SM4加密生成，取前4字节作为校验值；所有密钥的校验值生成方法与加密密钥TEK的校验值生成方法相同，所述加密密钥TEK保存于国密安全芯片的电池备份区，所述电池备份区属于密钥储存模块。3.根据权利要求1所述的一种基于安全密匙体系的柜外集成设备，其特征在于，所述主密钥TMK的下载方法具体为：在设备端和终端间利用SM2算法建立双向认证通信；在设备端生成16字节随机数，用终端上的SM2公钥加密把随机数生成随机数密文，把随机数密文和校验值发送回终端；终端接到随机数密文和验证值后，用终端上的SM2私钥解密随机数密文得到随机数明文并计算对应的校验值；校验通过后，将上述随机数明文作为主密钥TMK临时的加密密钥，利用所述随机数明文对主密钥TMK使用SM4算法加密生成主密钥TMK密文，将所述主密钥TMK密文和校验值发送给设备端；设备端用上述随机数明文对主密钥TMK做SM4解密得到主密钥TMK明文，同时计算主密钥TMK校验值，校验通过后从国密安全芯片的电池备份区读取出加密密钥TEK明文和TEK的校验值，并利用加密密钥TEK明文对16字节全0x00做SM4加密计算得到加密密钥TEK的校验值，比较读取的TEK校验值和计算的校验值进行校验，校验通过后用加密密钥TEK做SM4加密主密钥TMK生成主密钥TMK密文，将主密钥TMK密文保存于密钥安全模块内，下载完成。4.根据权利要求3所述的一种基于安全密匙体系的柜外集成设备，其特征在于，所述工作密钥TDK的下载方法具体为：在终端根据已经下载的主密钥TMK对工作密钥TDK使用SM4算法加密生成工作密匙TDK密文，并将工作密钥TDK密文发送至设备端；设备端读取加密密钥TEK和主密钥TMK密文并计算出主密钥TMK明文，对主密钥TMK明文使用SM4算法解密得到工作密钥TDK明文，再计算工作密钥TDK明文的校验值，校验通过后使用加密密钥TEK加密工作密钥TDK明文得到新的工作密钥TDK密文，并保存在密钥安全模块中，工作密钥TDK下载完成。5.一种基于安全密钥体系的柜外集成方法，其特征在于，包括：通过设置在设备端的数据采集装置收集所需数据信息；
将收集到的数据信息发送至终...

【专利技术属性】
技术研发人员：朱爱梅，
申请(专利权)人：福建捷宇电脑科技有限公司，
类型：发明
国别省市：