本發明公開了一種基于芯片卡研發的加密系統，包括服務端、客戶端和基于Derived Unique Key Per Transaction的加密端，所述加密端用于加密服務端和客戶端之間的交易；所述服務端，服務端生成密鑰；所述客戶端，注入Initial PIN Encryption Key到終端應用，加密個人密碼PIN，加密敏感數據，解密敏感數據，最終計算交易報文合法性校驗數據MAC的值；所述加密端，生成密鑰保護個人密碼PIN；生成密鑰解密個人密碼PIN；生成密鑰保護敏感數據；生成密鑰解密銘感數據；計算交易報文合法性校驗數據MAC的密鑰。本發明擴展性好，適配各種需求，交易安全性強。

技術領域

本發明涉及密鑰管理體系技術領域，尤其涉及一種基于芯片卡研發的加密系統。

背景技術

隨著信息時代的日益深化，芯片逐步成為各領域信息產品的核心，上至通訊衛星，下至生活中常見的手機、身份證、銀行卡、汽車、物聯網設備等都離不開芯片。在數字化時代，信息的流失、泄密隨時能成為影響個人、社會乃至國家安全的隱患。保證信息安全的重中之重，就是確保做為信息產品核心芯片的安全。

DUKPT(Derived Unique Key Per Transaction)是被ANSI定義的一套密鑰管理體系和算法，用于解決金融支付領域的信息安全傳輸中的密鑰管理問題，應用于對稱密鑰加密MAC、PIN等數據安全方面。保證每一次交易流程使用唯一的密鑰，采用一種不可逆的密鑰轉換算法，使得無法從當前交易數據信息破解上一次交易密鑰。要求收單行與終端必須同步支持該項密鑰管理技術。由交易發起端點(S-TRSM,如 pos，ATM)與交易接收端點(R-TRSM,如收單行)兩部分組成。注：TRSM (Tamper-Resistant Security Module)是一個具備阻止攻擊能力的安全模塊，TRSM具有抵御攻擊能力。

當前，芯片卡的加密系統擴展性差，不能適配各種需求，而且交易安全性差。

發明內容

本發明提出的一種基于芯片卡研發的加密系統，擴展性好，適配各種需求，交易安全性強。

為了實現上述目的，本發明采用了如下技術方案：

一種基于芯片卡研發的加密系統，包括包括服務端、客戶端和基于DerivedUnique Key Per Transaction的加密端，所述加密端用于加密服務端和客戶端之間的交易；

所述服務端，服務端生成Base Derivation Key密鑰，并且將 Derived UniqueKey Per Transaction應用導入到芯片卡中；服務端根據Key Serial Number生成InitialPIN Encryption Key密鑰做備用；

所述客戶端，注入Initial PIN Encryption Key到終端應用，加密個人密碼PIN，加密敏感數據，解密敏感數據，最終計算交易報文合法性校驗數據MAC的值；

所述加密端，生成Initial PIN Encryption Key，被再次加密或者明文密鑰；生成密鑰保護個人密碼PIN；生成密鑰解密個人密碼 PIN；生成密鑰保護敏感數據；生成密鑰解密銘感數據；計算交易報文合法性校驗數據MAC的密鑰；

所述服務端收到客戶端的Key Serial Number和加密數據之后開始解析，服務端開始定位Base Derivation Key密鑰；服務端再次生成Initial PIN Encryption Key，模擬相同交易，校對交易數據和Key Serial Number，解析數據，比對結果；服務端顯示比對結果，批準或者拒絕該次加解密運算。