一种基于安全智能卡的DUKPT实现方法技术

本发明专利技术公开了一种基于安全智能卡的DUKPT实现方法，包括如下步骤；S1、产生基础导出密钥Base Derivation Key；S2、把Initial PIN Encryption Key通过Inject Initial PIN Encryption Key的应用协议数据单元APDU注入到安全智能卡里面；S3、通过Set Key Serial Number的应用协议数据单元APDU设置初始的Key Serial Number并存储到卡片，当调用加密PIN或者加密数据的应用协议数据单元APDU时，KSN的counter会自动累加；S4、通过调用PIN Encryption的应用协议数据单元APDU，安全智能卡调用存在安全区域的PIN Encryption Key并运行Derived Unique Key Per Transaction的算法，实现对PIN Block进行一次一密的加密过程。本发明专利技术不仅能大大节约未集成安全处理的机具改造加装安全CPU处理器的成本，而且能实现Derived Unique Key Per Transaction所需要的密钥管理体系和相关的算法。

【技术实现步骤摘要】
一种基于安全智能卡的DUKPT实现方法
本专利技术涉及密钥管理体系
，尤其涉及一种基于安全智能卡的DUKPT实现方法。
技术介绍
随着信息时代的日益深化，芯片逐步成为各领域信息产品的核心，上至通讯卫星，下至生活中常见的手机、身份证、银行卡、汽车、物联网设备等都离不开芯片。在数字化时代，信息的流失、泄密随时能成为影响个人、社会乃至国家安全的隐患。保证信息安全的重中之重，就是确保做为信息产品核心芯片的安全。目前安全芯片产业已被列为国家信息安全战略之一，在政策的大力推动下，市场中涌现了大量应用于不同领域甚至不同业务场景的安全芯片，DUKPT（DerivedUniqueKeyPerTransaction）是被ANSI定义的一套密钥管理体系和算法，用于解决金融支付领域的信息安全传输中的密钥管理问题，应用于对称密钥加密MAC、PIN等数据安全方面。保证每一次交易流程使用唯一的密钥，采用一种不可逆的密钥转换算法，使得无法从当前交易数据信息破解上一次交易密钥。要求收单行与终端必须同步支持该项密钥管理技术。由交易发起端点（S-TRSM,如pos，ATM）与交易接收端点（R-TRSM,如收单行）两部分组成。注：TRSM（Tamper-ResistantSecurityModule）是一个具备阻止攻击能力的安全模块，TRSM具有抵御攻击能力。当前，已知的DUKPT密钥管理体系和算法实现都是基于硬件加密机（HSM）或者是安全CPU处理器（SP），但是这些DUKPT的算法载体大都价格比较昂贵，对于轻量级的商业应用非常不友好，不能解决未集成安全处理器（SP）的支付机具在金融支付中的信息安全传输问题。
技术实现思路
本专利技术提出的一种基于安全智能卡的DUKPT实现方法，解决未集成安全处理器（SP）的支付机具在金融支付中的信息安全传输问题。为了实现上述目的，本专利技术采用了如下技术方案：一种基于安全智能卡的DUKPT实现方法，包括如下步骤；S1、产生基础导出密钥BaseDerivationKey；S2、从基础导出密钥BaseDerivationKey分散出InitialPINEncryptionKey，然后把InitialPINEncryptionKey通过InjectInitialPINEncryptionKey的应用协议数据单元APDU注入到安全智能卡里面，并保存到安全智能卡的安全区域；S3、针对每个不同的安全智能卡，通过SetKeySerialNumber的应用协议数据单元APDU设置初始的KeySerialNumber并存储到卡片，当调用加密PIN或者加密数据的应用协议数据单元APDU时，KSN的counter会自动累加；S4、传入初始的明文PINBlock，通过调用PINEncryption的应用协议数据单元APDU，安全智能卡调用存在安全区域的PINEncryptionKey并运行DerivedUniqueKeyPerTransaction的算法，实现对PINBlock进行一次一密的加密过程，安全智能卡返回当前使用的KeySerialNumber和被相应Key加密的PINBlock数据。优选的，所述安全智能卡采用片内操作COS系统。优选的，所述安全智能卡采用EAL5+认证的安全智能卡。与现有的技术相比，本专利技术的有益效果是：不仅能大大节约未集成安全处理的机具改造加装安全CPU处理器的成本，而且能实现DerivedUniqueKeyPerTransaction所需要的密钥管理体系和相关的算法。本专利技术利用通过了EAL5+认证的安全智能卡作为载体代替硬件加密机或者是安全处理器；本专利技术利用安全智能卡COS系统的加解密算法建立DerivedUniqueKeyPerTransaction所需要的密钥管理体系和相关的算法；COS的全称是ChipOperatingSystem（片内操作系统），它一般是紧紧围绕着它所服务的智能卡的特点而开发的。由于不可避免地受到了智能卡内微处理器芯片的性能及内存容量的影响，因此，COS在很大程度上不同于我们通常所能见到的微机上的操作系统（例如DOS、UNIX等）。本专利技术根据ISO7816所规定的智能卡通讯协议，自定义一套应用协议数据单元APDU交互指令，实现DerivedUniqueKeyPerTransaction对InitialPINEncryptionKey注入，设置KeySerialNumber，数据加解密，计算MAC等应用协议数据单元APDU指令交互，实现外部调用基于智能卡实现的DerivedUniqueKeyPerTransaction过程。具体实施方式下面将结合本专利技术具体实施例，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。本方案提供的一种基于安全智能卡的DUKPT实现方法，包括如下步骤；S1、产生基础导出密钥BaseDerivationKey；S2、从基础导出密钥BaseDerivationKey分散出InitialPINEncryptionKey，然后把InitialPINEncryptionKey通过InjectInitialPINEncryptionKey的应用协议数据单元APDU注入到安全智能卡里面，并保存到安全智能卡的安全区域；本专利技术利用通过了EAL5+认证的安全智能卡作为载体代替硬件加密机或者是安全处理器；S3、针对每个不同的安全智能卡，通过SetKeySerialNumber的应用协议数据单元APDU设置初始的KeySerialNumber并存储到卡片，当调用加密PIN或者加密数据的应用协议数据单元APDU时，KSN的counter会自动累加；S4、传入初始的明文PINBlock，通过调用PINEncryption的应用协议数据单元APDU，安全智能卡调用存在安全区域的PINEncryptionKey并运行DerivedUniqueKeyPerTransaction的算法，实现对PINBlock进行一次一密的加密过程，安全智能卡返回当前使用的KeySerialNumber和被相应Key加密的PINBlock数据。本实施例中，所述安全智能卡采用片内操作COS系统。本专利技术利用安全智能卡COS系统的加解密算法建立DerivedUniqueKeyPerTransaction所需要的密钥管理体系和相关的算法；COS的全称是ChipOperatingSystem（片内操作系统），它一般是紧紧围绕着它所服务的智能卡的特点而开发的。由于不可避免地受到了智能卡内微处理器芯片的性能及内存容量的影响，因此，COS在很大程度上不同于我们通常所能见到的微机上的操作系统。本专利技术根据ISO7816所规定的智能卡通讯协议，自定义一套应用协议数据单元APDU交互指令，实现DerivedUniqueKeyPerTransaction对InitialPINEncryptionKey注入，设置本文档来自技高网...

【技术保护点】
1.一种基于安全智能卡的DUKPT实现方法，其特征在于，包括如下步骤；/nS1、产生基础导出密钥Base Derivation Key；/nS2、从基础导出密钥Base Derivation Key分散出Initial PIN Encryption Key，然后把Initial PIN Encryption Key通过Inject Initial PIN Encryption Key的应用协议数据单元APDU注入到安全智能卡里面，并保存到安全智能卡的安全区域；/nS3、针对每个不同的安全智能卡，通过Set Key Serial Number的应用协议数据单元APDU设置初始的Key Serial Number并存储到卡片，当调用加密PIN或者加密数据的应用协议数据单元APDU时，KSN的counter会自动累加；/nS4、传入初始的明文PIN Block，通过调用PIN Encryption的应用协议数据单元APDU，安全智能卡调用存在安全区域的PIN Encryption Key并运行Derived Unique Key PerTransaction的算法，实现对PIN Block进行一次一密的加密过程，安全智能卡返回当前使用的Key Serial Number和被相应Key加密的PIN Block数据。/n...

【技术特征摘要】
1.一种基于安全智能卡的DUKPT实现方法，其特征在于，包括如下步骤；
S1、产生基础导出密钥BaseDerivationKey；
S2、从基础导出密钥BaseDerivationKey分散出InitialPINEncryptionKey，然后把InitialPINEncryptionKey通过InjectInitialPINEncryptionKey的应用协议数据单元APDU注入到安全智能卡里面，并保存到安全智能卡的安全区域；
S3、针对每个不同的安全智能卡，通过SetKeySerialNumber的应用协议数据单元APDU设置初始的KeySerialNumber并存储到卡片，当调用加密PIN或者加密数据的应用协议数据单元APDU时，KSN的counte...

【专利技术属性】
技术研发人员：易红维，
申请(专利权)人：湖南万慧通科技有限公司，
类型：发明
国别省市：湖南;43