遠程密鑰下載方法及系統(tǒng)技術(shù)方案

本發(fā)明專利技術(shù)公開了一種遠程密鑰下載方法，包括如下步驟：由銀行主機與ATM廠商交換銀行主機公鑰PK

Remote key download method and system

【技術(shù)實現(xiàn)步驟摘要】
遠程密鑰下載方法及系統(tǒng)
本專利技術(shù)是關(guān)于金融安全
，特別是關(guān)于一種遠程密鑰下載方法及系統(tǒng)。
技術(shù)介紹
金融行業(yè)因為對數(shù)據(jù)比較敏感，所以對數(shù)據(jù)的加密也相應的比較重視。當前金融行業(yè)使用的密鑰加密算法算法為傳統(tǒng)的DES加密算法或RSA加密算法。傳統(tǒng)的DES(全稱為DataEncryptionStandard)算法是一種對稱算法，其加密和解密均采用同一把密鑰，而且通信雙方都必須獲得這把密鑰，并保持鑰匙的秘密，EDS加密算法的優(yōu)點是運算速度快，但是安全性低，容易破解和密鑰易泄漏。RSA加密算法是一種非對稱加密算法。RSA公開密鑰密碼體制是使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。在公開密鑰密碼體制中，加密密鑰(即公鑰)PK是公開信息，而解密密鑰(即私鑰)SK是需要保密的。它通常是先生成一對RSA密鑰，其中之一是保密密鑰，由用戶保存；另一個為公開密鑰，可對外公開，甚至可在網(wǎng)絡服務器中注冊。為提高保密強度，RSA密鑰至少為500位長，一般推薦使用1024位，這就使得加密的計算量很大。RSA算法的優(yōu)點是安全性高，不易破解且私鑰不泄漏。但是運算速度慢，僅適用于不經(jīng)常更新且數(shù)據(jù)量小的信息，不適于大量信息的加密。因此，為減少計算量，在傳送信息時，常采用傳統(tǒng)加密方法與公開密鑰加密方法相結(jié)合的方式，即信息采用改進的DES密鑰加密，然后使用RSA密鑰加密對話密鑰和信息摘要。對方收到信息后，用不同的密鑰解密并可核對信息摘要。公開于該
技術(shù)介紹
部分的信息僅僅旨在增加對本專利技術(shù)的總體背景的理解，而不應當被視為承認或以任何形式暗示該信息構(gòu)成已為本領(lǐng)域一般技術(shù)人員所公知的現(xiàn)有技術(shù)。
技術(shù)實現(xiàn)思路
本專利技術(shù)的目的在于提供一種遠程密鑰下載方法，其能夠?qū)崿F(xiàn)安全、便捷方便的遠程密鑰下載方式。本專利技術(shù)的另一目的在于一種遠程密鑰下載系統(tǒng)。為實現(xiàn)上述目的，本專利技術(shù)提供了一種遠程密鑰下載方法，包括如下步驟：由銀行主機與ATM廠商交換銀行主機公鑰PKHost以及ATM廠商公鑰PKSI，并由ATM廠商利用ATM廠商私鑰對PKHost進行簽名；由銀行主機與ATM密碼鍵盤交換密碼鍵盤公鑰PKATM以及銀行主機公鑰PKHost；由銀行主機生成主密鑰MK；由銀行主機使用PKATM對MK加密，同時用銀行主機私鑰SKHost對加密之后的MK進行簽名；由銀行主機將加密之后的MK與簽名結(jié)果發(fā)送給密碼鍵盤；密碼鍵盤響應于接收到加密之后的MK與簽名結(jié)果，由密碼鍵盤首先利用PKHost對簽名結(jié)果進行驗簽；驗簽成功后，由密碼鍵盤利用密碼鍵盤私鑰SKATM對加密之后的MK進行解密以得到MK明文，并保存明文MK。在本專利技術(shù)的一實施方式中，遠程密鑰下載方法包括如下步驟：由ATM廠商為密碼鍵盤下載PKSI、PKATM以及SKATM；由ATM廠商利用ATM廠商私鑰SKSI對PKATM和鍵盤序列號UIATM進行簽名。在本專利技術(shù)的一實施方式中，由銀行主機與ATM密碼鍵盤交換密碼鍵盤公鑰PKATM以及銀行主機公鑰PKHost具體包括如下步驟：由銀行主機向密碼鍵盤詢問ATM標識，其中，ATM標識至少包括鍵盤序列號UIATM；密碼鍵盤響應于接收到銀行主機的詢問，由密碼鍵盤向銀行主機發(fā)送鍵盤序列號UIATM以及利用SKSI對鍵盤序列號UIATM進行簽名的第一簽名結(jié)果；由銀行主機利用PKSI對第一簽名結(jié)果進行驗簽，并由銀行主機判斷鍵盤序列號UIATM是否在鍵盤標識列表中；如果驗簽通過，并且判斷鍵盤序列號UIATM在鍵盤標識列表中，則由銀行主機向密碼鍵盤詢問PKATM；密碼鍵盤響應于接收到銀行主機的詢問，由密碼鍵盤向銀行主機發(fā)送PKATM以及利用SKSI對PKATM進行簽名的第二簽名結(jié)果；由銀行主機利用PKSI對第二簽名結(jié)果進行驗簽；如果驗簽通過，則由銀行主機向密碼鍵盤發(fā)送PKHost以及利用SKSI對PKHost進行簽名的第三簽名結(jié)果；由密碼鍵盤利用PKSI對第三簽名結(jié)果進行驗簽。在本專利技術(shù)的一實施方式中，獲得MK具體包括如下步驟：由銀行主機向密碼鍵盤請求隨機數(shù)RATM；響應于接收到銀行主機的請求，由密碼鍵盤生成RATM，并將所生成的RATM發(fā)送給銀行主機；由銀行主機生成MK，由銀行主機使用PKATM對MK加密，同時用銀行主機私鑰SKHost對加密之后的MK進行簽名；由銀行主機將加密之后的MK、簽名結(jié)果以及RATM發(fā)送給密碼鍵盤；響應于接收到加密之后的MK與簽名結(jié)果，由密碼鍵盤首先利用PKHost對簽名結(jié)果進行驗簽；如果驗簽通過，由密碼鍵盤判斷所接收的RATM是否與所發(fā)送的RATM相同；如果判斷所接收的RATM與所發(fā)送的RATM相同，則由密碼鍵盤利用密碼鍵盤私鑰SKATM對加密之后的MK進行解密以得到MK明文。本專利技術(shù)還提供了一種遠程密鑰下載系統(tǒng)，包括：用于由銀行主機與ATM廠商交換銀行主機公鑰PKHost以及ATM廠商公鑰PKSI，并由ATM廠商利用ATM廠商私鑰對PKHost進行簽名的單元；用于由銀行主機與ATM密碼鍵盤交換密碼鍵盤公鑰PKATM以及銀行主機公鑰PKHost的單元；用于由銀行主機生成主密鑰MK的單元；用于由銀行主機使用PKATM對MK加密，同時用銀行主機私鑰SKHost對加密之后的MK進行簽名的單元；用于由銀行主機將加密之后的MK與簽名結(jié)果發(fā)送給密碼鍵盤的單元；用于響應于接收到加密之后的MK與簽名結(jié)果，由密碼鍵盤首先利用PKHost對簽名結(jié)果進行驗簽的單元；用于驗簽成功后，由密碼鍵盤利用密碼鍵盤私鑰SKATM對加密之后的MK進行解密以得到MK明文，并保存明文MK的單元。在本專利技術(shù)的一實施方式中，遠程密鑰下載系統(tǒng)包括：用于由ATM廠商為密碼鍵盤下載PKSI、PKATM以及SKATM的單元；用于由ATM廠商利用ATM廠商私鑰SKSI對PKATM和鍵盤序列號UIATM進行簽名的單元。由銀行主機與ATM密碼鍵盤交換密碼鍵盤公鑰PKATM以及銀行主機公鑰PKHost具體包括如下步驟：由銀行主機向密碼鍵盤詢問ATM標識，其中，ATM標識至少包括鍵盤序列號UIATM；響應于接收到銀行主機的詢問，由密碼鍵盤向銀行主機發(fā)送鍵盤序列號UIATM以及利用SKSI對鍵盤序列號UIATM進行簽名的第一簽名結(jié)果；由銀行主機利用PKSI對第一簽名結(jié)果進行驗簽，并由銀行主機判斷鍵盤序列號UIATM是否在鍵盤標識列表中；如果驗簽通過，并且判斷鍵盤序列號UIATM在鍵盤標識列表中，則由銀行主機向密碼鍵盤詢問PKATM；響應于接收到銀行主機的詢問，由密碼鍵盤向銀行主機發(fā)送PKATM以及利用SKSI對PKATM進行簽名的第二簽名結(jié)果；由銀行主機利用PKSI對第二簽名結(jié)果進行驗簽；如果驗簽通過，則由銀行主機向密碼鍵盤發(fā)送PKHost以及利用SKSI對PKHost進行簽名的第三簽名結(jié)果；由密碼鍵盤利用PKSI對第三簽名結(jié)果進行驗簽。在本專利技術(shù)的一實施方式中，獲得MK具體包括如下步驟：由銀行主機向密碼鍵盤請求隨機數(shù)RATM；響應于接收到銀行主機的請求，由密碼鍵盤生成RATM，并將所生成的RATM發(fā)送給銀行主機；由銀行主機生成MK，由銀行主本文檔來自技高網(wǎng)...

【技術(shù)保護點】
1.一種遠程密鑰下載方法，其特征在于，所述遠程密鑰下載方法包括如下步驟：/n由銀行主機與ATM廠商交換銀行主機公鑰PK

【技術(shù)特征摘要】
1.一種遠程密鑰下載方法，其特征在于，所述遠程密鑰下載方法包括如下步驟：
由銀行主機與ATM廠商交換銀行主機公鑰PKHost以及ATM廠商公鑰PKSI，并由所述ATM廠商利用ATM廠商私鑰對PKHost進行簽名；
由銀行主機與ATM密碼鍵盤交換密碼鍵盤公鑰PKATM以及銀行主機公鑰PKHost；
由銀行主機生成主密鑰MK；
由銀行主機使用所述PKATM對所述MK加密，同時用銀行主機私鑰SKHost對加密之后的MK進行簽名；
由銀行主機將加密之后的MK與簽名結(jié)果發(fā)送給所述密碼鍵盤；
所述密碼鍵盤接收到所述加密之后的MK與簽名結(jié)果，由所述密碼鍵盤首先利用所述PKHost對簽名結(jié)果進行驗簽；
驗簽成功后，由所述密碼鍵盤利用密碼鍵盤私鑰SKATM對所述加密之后的MK進行解密以得到MK明文，并保存明文MK。


2.如權(quán)利要求1所述的遠程密鑰下載方法，其特征在于，所述遠程密鑰下載方法包括如下步驟：
由所述ATM廠商為所述密碼鍵盤下載PKSI、PKATM以及SKATM；
由所述ATM廠商利用ATM廠商私鑰SKSI對所述PKATM和鍵盤序列號UIATM進行簽名。


3.如權(quán)利要求2所述的遠程密鑰下載方法，其特征在于，由銀行主機與ATM密碼鍵盤交換密碼鍵盤公鑰PKATM以及銀行主機公鑰PKHost具體包括如下步驟：
由所述銀行主機向所述密碼鍵盤詢問ATM標識，其中，所述ATM標識至少包括所述鍵盤序列號UIATM；
所述密碼鍵盤接收到所述銀行主機的詢問，由所述密碼鍵盤向所述銀行主機發(fā)送所述鍵盤序列號UIATM以及利用SKSI對所述鍵盤序列號UIATM進行簽名的第一簽名結(jié)果；
由所述銀行主機利用PKSI對所述第一簽名結(jié)果進行驗簽，并由所述銀行主機判斷所述鍵盤序列號UIATM是否在鍵盤標識列表中；
如果驗簽通過，并且判斷所述鍵盤序列號UIATM在鍵盤標識列表中，則由所述銀行主機向所述密碼鍵盤詢問所述PKATM；
所述密碼鍵盤接收到所述銀行主機的詢問，由所述密碼鍵盤向所述銀行主機發(fā)送所述PKATM以及利用SKSI對所述PKATM進行簽名的第二簽名結(jié)果；
由所述銀行主機利用PKSI對所述第二簽名結(jié)果進行驗簽；
如果驗簽通過，則由所述銀行主機向所述密碼鍵盤發(fā)送所述PKHost以及利用SKSI對所述PKHost進行簽名的第三簽名結(jié)果；
由所述密碼鍵盤利用PKSI對所述第三簽名結(jié)果進行驗簽。


4.如權(quán)利要求3所述的遠程密鑰下載方法，其特征在于，獲得MK具體包括如下步驟：
由所述銀行主機向所述密碼鍵盤請求隨機數(shù)RATM；
所述密碼鍵盤接收到所述銀行主機的請求，由所述密碼鍵盤生成所述RATM，并將所生成的RATM發(fā)送給所述銀行主機；
由所述銀行主機生成MK，由所述銀行主機使用所述PKATM對所述MK加密，同時用銀行主機私鑰SKHost對加密之后的MK進行簽名；
由所述銀行主機將加密之后的MK、簽名結(jié)果以及所述RATM發(fā)送給所述密碼鍵盤；
所述密碼鍵盤接收到所述加密之后的MK與簽名結(jié)果，由所述密碼鍵盤首先利用所述PKHost對簽名結(jié)果進行驗簽；
如果驗簽通過，由所述密碼鍵盤判斷所接收的RATM是否與所發(fā)送的RATM相同；
如果判斷所接收的RATM與所發(fā)送的RATM相同，則由所述密碼鍵盤利用密碼鍵盤私鑰SKATM對所述加密之后的MK進行解密以得到MK明文。


...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：戩非，
申請(專利權(quán))人：中鈔科堡現(xiàn)金處理技術(shù)北京有限公司，
類型：發(fā)明
國別省市：北京;11