【技术实现步骤摘要】
本专利技术涉及密钥,尤其涉及一种基于硬件安全模块的密钥初始化方法及存储介质。
技术介绍
1、银行业务办理过程中,经常使用带密码键盘的智能产品,用于在业务办理过程中输入密码。密码是用户资产安全的重要保障,保护密码安全是业务方案设计的重心。随着科技的发展,攻击手段越来越多,对银行涉及密码的产品的安全要求越来越高。
2、目前,金融机构几乎所有涉及密码输入的产品都带有硬件安全模块。但在实际使用中存在密钥初始化的难题,如果不能有一套完善的初始化流程,会导致安全设计存在漏洞,尤其是很多智能设备可以安装第三方软件甚至数据传输过程中可能会被抓包,极端情况下,会造成用户密码的泄漏。
3、目前,部分产品采用明文灌注初始密钥或约定默认的初始密钥;也有部分产品采用非对称加解密算法(如国密sm2算法结合sm4算法)进行密文下载初始密钥;甚至部分产品在采用非对称算法的基础上,增加证书体系的应用,进一步提高了安全性。
4、然而,明文灌输初始密钥或默认初始密钥是不安全的方式,一旦明文或初始密钥泄漏或者被运行在设备上的某软件截留,就能计算出后续通讯数据的明文。采用加解密算法虽然可以防范明文泄漏,但并不能防范中间人攻击(明文灌注同样存在该问题)。加入证书体系的加解密算法虽然可以防范第三人攻击,但流程相对复杂,且需要厂商的配合,安全保障也依赖于厂商对私钥的保护。
技术实现思路
1、本专利技术所要解决的技术问题是:提供一种基于硬件安全模块的密钥初始化方法及存储介质,可有效保证初始密钥的
2、为了解决上述技术问题,本专利技术采用的技术方案为:一种基于硬件安全模块的密钥初始化方法,包括:
3、硬件安全模块对密钥管理设备进行签名验证;
4、若验证通过,则硬件安全模块接收由不同安全操作员通过实体键盘输入的传输密钥分量,并根据各传输密钥分量,通过预设的算法生成传输密钥;
5、硬件安全模块接收密钥管理设备发送的密钥加密数据,所述密钥加密数据由密钥管理设备通过传输密钥对初始密钥加密得到;
6、硬件安全模块通过所述传输密钥对所述密钥加密数据进行解密,得到初始密钥,并保存所述初始密钥。
7、本专利技术还提出一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述的方法。
8、本专利技术的有益效果在于:通过在密钥初始化前对密钥管理设备进行签名验证,防止未授权人员执行密钥初始化操作;通过由不同安全操作员输入传输密钥分量,可起到相互监督的作用,且每个安全操作员无法仅靠自身获知传输密钥的明文,同时,通过实体键盘输入传输密钥分量,防止传输密钥分量流经主芯片上运行的程序被截留或窃听,有效保证传输密钥安全性;通过采用传输密钥加密初始密钥,保证初始密钥的安全性。
本文档来自技高网...【技术保护点】
1.一种基于硬件安全模块的密钥初始化方法,其特征在于,包括:
2.根据权利要求1所述的基于硬件安全模块的密钥初始化方法,其特征在于,所述硬件安全模块对密钥管理设备进行签名验证,具体为:
3.根据权利要求1所述的基于硬件安全模块的密钥初始化方法,其特征在于,所述硬件安全模块接收由不同安全操作员通过实体键盘输入的传输密钥分量之前,进一步包括:
4.根据权利要求1所述的基于硬件安全模块的密钥初始化方法,其特征在于,所述传输密钥分量包括第一传输密钥分量和第二传输密钥分量;
5.根据权利要求1所述的基于硬件安全模块的密钥初始化方法,其特征在于,硬件安全模块以密文的形式将所述初始密钥保存至密钥存储区。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如下步骤:
7.根据权利要求6所述的计算机可读存储介质,其特征在于,所述硬件安全模块对密钥管理设备进行签名验证,具体为:
8.根据权利要求6所述的计算机可读存储介质,其特征在于,所述传输密钥分量包括第一传输密钥分量和第二传输
9.根据权利要求6所述的计算机可读存储介质,其特征在于,硬件安全模块以密文的形式将所述初始密钥保存至密钥存储区。
...【技术特征摘要】
1.一种基于硬件安全模块的密钥初始化方法,其特征在于,包括:
2.根据权利要求1所述的基于硬件安全模块的密钥初始化方法,其特征在于,所述硬件安全模块对密钥管理设备进行签名验证,具体为:
3.根据权利要求1所述的基于硬件安全模块的密钥初始化方法,其特征在于,所述硬件安全模块接收由不同安全操作员通过实体键盘输入的传输密钥分量之前,进一步包括:
4.根据权利要求1所述的基于硬件安全模块的密钥初始化方法,其特征在于,所述传输密钥分量包括第一传输密钥分量和第二传输密钥分量;
5.根据权利要求1所述的基于硬件安全模块的密钥初...
【专利技术属性】
技术研发人员:李亚青,郑淼,林志伟,赖增凯,
申请(专利权)人:福建升腾资讯有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。