技術領域

本發明涉及一種用于銀行柜面敏感數據保護的硬件密碼模塊及方法，特別 是涉及一種利用硬加密技術對銀行柜面敏感數據進行保護的硬件密碼模塊及 方法。

背景技術

銀行柜面是銀行業務處理的主要渠道，大量的客戶信息和交易信息敏感數 據通過柜面在銀行網絡中傳輸。如果沒有適當的安全措施，這些信息在傳輸存 儲時就容易被竊取，在傳輸過程中容易被截獲，從而造成信息泄露產生安全隱 患。另外，信息在存儲和傳輸期間還可能被非法刪除、更改或添加，從而導致 對銀行資源及網絡服務的非法干預，對銀行和用戶造成不可挽回的損失?？偟? 來說，銀行柜面系統對安全性的需求至少有：①保證交易信息的機密性。有的 交易信息需要保密，這就需要對交易報文進行加密。②保證交易信息的完整性。 交易報文有的數據對私密性的要求不高，但對數據完整性要求很高，如取現業 務中賬號、金額等，存在著被非法篡改的可能性。這些重要交易報文數據在傳 輸過程中，必須進行完整性校驗。③保證交易行為的不可抵賴性。以往銀行柜 面安全措施大部分僅僅是保密，很少采用數字簽名，這并不符合現代金融系統 的安全需求。構筑銀行柜面敏感數據安全保護體系是金融企業健康發展的有力 保障，也是各金融企業急需解決的問題。

傳統的銀行柜面安全機制側重于柜員的身份認證，在對客戶信息和交易數 據等敏感數據保護上是缺失和不完善的。目前，銀行對柜面敏感數據的保護一 般采用軟加密技術，對交易數據進行加密和MAC校驗。這種方式雖然可以基本 達到保證數據的機密性和完整性，但仍然存在以下不可忽視的缺陷：一是，軟 加密的方式暴漏在用戶計算機內部，容易給攻擊者采用分析程序進行跟蹤、反 編譯等手段進行攻擊；二是，軟加密的工作密鑰存儲沒有安全保護，容易遭到 竊取，使加密系統形同虛設；三是，密鑰管理很復雜，實際使用過程中長期不 會進行密鑰更換；四是，軟加密的加密強度并不高，容易遭到破解。五是，缺 少數字簽名方式，交易不可抵賴性無從保證；六是，軟加密方式運行效率較低， 可靠性也容易受到外界因素的影響。

發明內容

為解決現有技術中存在的上述問題，設計了本發明。

本發明的目的在于克服上述缺陷而提供的一種基于硬件加密的敏感數據 保護方法。本發明的另一目的是在銀行柜面系統增加對交易信息的數字簽名手 段，保證交易的不可抵賴性。

為實現上述目的，本發明提供一種用于銀行柜面敏感數據保護的硬件密碼 模塊，所述硬件密碼模塊采用三層密鑰管理體系，其中第一層為標識密鑰，第 二層為TMK密鑰，第三層包括TAK密鑰、TEK密鑰及TDK密鑰，并且，所述標 識密鑰是一個非對稱密鑰，其用于加密TMK密鑰、產生簽名、驗證簽名，所述 標識密鑰永久保存，不需要更換；TMK密鑰是一個加密以及解密密鑰用的密鑰， 用于密鑰協商過程中對工作密鑰進行加密以及解密；TAK密鑰是一個數據加密 用的密鑰，所述TAK密鑰對消息數據生成和校驗一個信息認證代碼，從進行信 息認證，TEK密鑰是一個數據加密用的密鑰，用于加密柜面敏感數據，實現交 易報文的安全傳輸，TDK密鑰用于對加密的數據進行解密。

優選的，所述硬件密碼模塊還包括：處理器；用于完成由硬件啟動到操作 系統啟動的過渡，從而為操作系統提供運行環境的引導區；用于存放操作系統 內核數據、文件系統數據、用戶代碼和用戶數據的存貯器；用于連接臺式機終 端USB接口的通信接口；實現密碼算法、局部總線接口、URAT和時序控制 功能的算法芯片；產生隨機數并由處理器端口進行采集的真隨機數發生器。

優選的，所述硬件密碼模塊包括用于存儲銀行柜面敏感數據的安全存儲 區，所述安全存儲區包括靜態存儲區及臨時存儲區。

優選的，所述引導區完成的功能包括：初始化CPU、存儲器；激活指令/ 數據Cache；建立堆棧指針和啟動參數區；上電自檢；最后跳轉到內核起始處。

優選的，所述硬件密碼模塊保存的所有密鑰都不以明文的方式讀出，只能 夠得到其校驗值，整個密碼運算過程封裝在硬件密碼模塊內部完成，上層應用 不能得到運算過程中的密鑰。

優選的，硬件密碼模塊具有密鑰銷毀功能。

優選的，在硬件密碼模塊進行密鑰銷毀時，硬件密碼模塊自身具有的密鑰 清除命令清除指定的密鑰而不會對其它密鑰造成影響。