一种安全升级PCI密码卡卡内程序的方法及系统

摘要

本发明涉及一种安全升级PCI密码卡卡内程序的方法及系统，涉及信息安全领域。目的在于能够为PCI密码卡卡内程序提供安全的升级环境。本发明通过接收合法客户的升级申请，校验客户身份和PCI密码卡信息，根据升级需求合成加密密钥并提供密文卡内程序，确保数据传输的安全性，客户端能校验密文卡内程序的合法性，合成密钥解密卡内程序并将PCI密码卡升级为新版本，能够解决原始的返厂升级方式产生的一系列问题。

说明书

技术领域

本发明涉及信息安全领域，尤其涉及PCI密码卡卡内程序安全升级领域。

背景技术

PCI密码卡是以PCI局部总线或者PCI Express为接口，具有密码运算功能、密钥管理功能、物理随机数产生功能和设备自身安全保护措施的密码设备，PCI密码卡可以应用在需要密码运算和密钥管理等安全功能的、具有PCI局部总线或者PCI Express的通信设备、计算机设备、安全保密设备上，例如：虚拟专网(VPN)设备、证书中心(CA)系统的有关设备、网络密码机、安全服务器、安全终端、安全管理中心、密钥管理设备等。PCI密码卡作为部署在应用端的重要安全设备，实现密钥生成、管理、保护、高速签名、验证、加密和解密操作，是信息安全产业链中最基本的、不可缺少的密码设备。

PCI密码卡是底层的密码产品，除密码运算功能外最重要的功能是保护密钥的安全性。PCI密码卡国家标准规范中明确要求密钥在任何情况下不能以明文的情况出卡。密钥的安全是PCI密码卡安全体系的核心。目前国内的PCI密码卡通常使用DSP芯片做为主控芯片，密钥密文存储在PCI密码卡的密钥存储芯片中，在卡内程序(DSP程序)中设计了完备的密钥保护系统，保证密钥使用和运行时的安全性。卡内程序负责业务接收与解析、密码算法的调度、承载密钥保护系统、业务的发送等工作，是每个PCI密码卡厂商重点保护的对象。如果卡内程序被破解，那么将是PCI密码卡系统的灾难，密钥保护系统可能被破坏，密钥完全暴露出来。由此可见卡内程序是PCI密码卡核心的程序，是PCI密码卡的大脑。目前卡内程序二进制数据经过处理后存储在PCI密码卡程序存储芯片中，程序存储芯片是焊接在PCI密码卡上，PCI密码卡表面有保护钢壳并辅助以密钥自毁等功能，保护了PCI密码卡密钥和卡内程序的安全性。

在实际应用中PCI密码卡升级新功能或者修复缺陷，安全的做法是将PCI密码卡返厂升级，返厂前客户必须停止业务，执行清除PCI密码卡内密钥、用户区数据操作，返厂后由厂家专业人员对PCI密码卡升级。面对日益增长的信息安全需求，PCI密码卡客户遍及全球，这种返厂升级的方式存在问题如下：PCI密码卡需要返厂升级后再返回客户，PCI密码卡升级后客户需要重新搭建业务环境；而往返PCI密码卡一般通过邮寄方式时间不可控，既而会产生升级过程周期比较长、PCI密码卡磨损、产生邮寄费用等一些列问题。

发明内容

本发明所要解决的技术问题是提供一种安全升级PCI密码卡卡内程序的方法及系统，目的在于能够为PCI密码卡卡内程序提供安全的升级环境。

本发明解决上述技术问题的技术方案如下：一种安全升级PCI密码卡卡内程序的方法，所述方法包括：

接收客户端升级需求，获取待升级PCI密码卡信息，并将升级需求发送至PCI密码卡厂商；

PCI密码卡厂商验证客户端提交的升级需求是否符合升级条件或PCI密码卡身份是否合法；

当客户端提交的升级需求符合升级条件或PCI密码卡身份合法后，对PCI密码卡的卡内程序进行加密处理并将加密处理后的数据发送至客户端；

客户端对接收到的经过加密处理后的卡内程序进行验证，判断是否为PCI密码卡厂商签名的合法程序；

当卡内程序为PCI密码卡厂商签名的合法程序时，根据带升级PCI密码卡信息合成解密密钥，解密卡内程序并启动自升级功能。

本发明的有益效果是：本发明所述的安全升级方法能够接收合法客户的升级申请，校验客户身份和PCI密码卡信息，根据升级需求合成加密密钥并提供密文卡内程序，确保数据传输的安全性，客户端能校验密文卡内程序的合法性，合成密钥解密卡内程序并将PCI密码卡升级为新版本，能够解决原始的返厂升级方式产生的一系列问题。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述PCI密码卡信息包括：设备密钥对公钥、产品序列号、卡内程序版本号、厂商身份密钥对和产品批次号。

进一步，所述在获取待升级PCI密码卡信息的同时进行挑战应答和防重放攻击过程。

采用上述进一步方案的有益效果是：抵御在获取待升级PCI密码卡信息时出现的重放攻击。

进一步，采用双重加密方式对PCI密码卡的卡内程序进行加密处理，其中一种加密方式为：根据客户端的升级需求信息生成卡内程序加密密钥，采用对称密码算法将带升级的PCI密码卡卡内程序完全加密；另一种加密方式为：采用传输密钥将传输前的密文卡内程序和厂商签名进行加密。

采用上述进一步方案的有益效果是：通过双重加密对带升级的卡内程序进行加密，确保卡内程序的安全性。

进一步，在对PCI密码卡的卡内程序进行加密处理的同时进行挑战应答和防重放攻击过程。

采用上述进一步方案的有益效果是：抵御在对PCI密码卡的卡内程序进行加密处理时出现的重放攻击。

为了解决上述技术问题，本发明还提出了一种安全升级PCI密码卡卡内程序的系统，所述系统包括：

申请接收模块，用于接收客户端升级需求，获取待升级PCI密码卡信息，并将升级需求发送至PCI密码卡厂商；

厂商验证模块，用于PCI密码卡厂商验证客户端提交的升级需求是否符合升级条件或PCI密码卡身份是否合法；

加密处理模块，用于当客户端提交的升级需求符合升级条件或PCI密码卡身份合法后，对PCI密码卡的卡内程序进行加密处理并将加密处理后的数据发送至客户端；

客户端验证模块，用于客户端对接收到的经过加密处理后的卡内程序进行验证，判断是否为PCI密码卡厂商签名的合法程序；

升级模块，用于当卡内程序为PCI密码卡厂商签名的合法程序时，根据带升级PCI密码卡信息合成解密密钥，解密卡内程序并启动自升级功能。

本发明的有益效果是：本发明所述的安全升级系统能够接收合法客户的升级申请，校验客户身份和PCI密码卡信息，根据升级需求合成加密密钥并提供密文卡内程序，确保数据传输的安全性，客户端能校验密文卡内程序的合法性，合成密钥解密卡内程序并将PCI密码卡升级为新版本，能够解决原始的返厂升级方式产生的一系列问题。

进一步，所述PCI密码卡信息包括：设备密钥对公钥、产品序列号、卡内程序版本号、厂商身份密钥对和产品批次号。

进一步，所述申请接收模块包括挑战应答模块和防重放攻击模块，用于抵御在获取待升级PCI密码卡信息时出现的重放攻击。

进一步，所述加密处理模块包括：

一重加密模块，用于根据客户端的升级需求信息生成卡内程序加密密钥，采用对称密码算法将带升级的PCI密码卡卡内程序完全加密；

二重加密模块，用于采用传输密钥将传输前的密文卡内程序和厂商签名进行加密。

进一步，所述加密处理模块包括挑战应答模块和防重放攻击模块，用于抵御在对PCI密码卡的卡内程序进行加密处理时出现的重放攻击。

附图说明

图1为本发明实施例所述的安全升级PCI密码卡卡内程序的方法的流程图；

图2为本发明实施例所述的安全升级PCI密码卡卡内程序的系统的原理示意图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

实施例1

如图1所示，本实施例提出一种安全升级PCI密码卡卡内程序的方法，所述方法包括：

接收客户端升级需求，获取待升级PCI密码卡信息，并将升级需求发送至PCI密码卡厂商；

PCI密码卡厂商验证客户端提交的升级需求是否符合升级条件或PCI密码卡身份是否合法；

当客户端提交的升级需求符合升级条件或PCI密码卡身份合法后，对PCI密码卡的卡内程序进行加密处理并将加密处理后的数据发送至客户端；

客户端对接收到的经过加密处理后的卡内程序进行验证，判断是否为PCI密码卡厂商签名的合法程序；

当卡内程序为PCI密码卡厂商签名的合法程序时，根据带升级PCI密码卡信息合成解密密钥，解密卡内程序并启动自升级功能。

所述PCI密码卡信息包括：设备密钥对公钥、产品序列号、卡内程序版本号、厂商身份密钥对和产品批次号。

厂商身份密钥对：SM2公开算法密钥，此密钥对标识厂商身份，私钥由密码设备厂商核心人员维护。所有发布的升级程序都需要经过此密钥签名。

PCI密码卡设备密钥对：SM2公开算法密钥，此密钥标识PCI密码卡身份，密码设备第一次初始化时产生，一经产生不能修改，私钥存储于PCI密码卡内部，公钥可以导出。

产品序列号：记录PCI密码卡生产日期、型号、序号等信息，长度为16字节，上层有接口能获取产品序列号。

产品批次号：记录产品批次供升级使用，上层接口无法获取此号，只能在PCI密码卡内部访问。

在对PCI密码卡的卡内程序进行加密处理的同时进行挑战应答和防重放攻击过程，抵御在获取待升级PCI密码卡信息时出现的重放攻击。

采用双重加密方式对PCI密码卡的卡内程序进行加密处理，其中一种加密方式为：根据客户端的升级需求信息生成卡内程序加密密钥，采用对称密码算法将带升级的PCI密码卡卡内程序完全加密；另一种加密方式为：采用传输密钥将传输前的密文卡内程序和厂商签名进行加密。

根据待升级密码卡的信息产生16字节卡内程序加密密钥，利用对称密码算法将待升级卡内程序加密得到密文卡内程序。使用厂商身份密钥对对密文卡内程序、PCI密码卡相关信息的杂凑值进行签名。将签名和密文卡内程序合成升级文件，将升级文件使用传输密钥加密形成密文升级文件，将密文升级文件和随机数R2密文合成传输数据包。

在对PCI密码卡的卡内程序进行加密处理的同时进行挑战应答和防重放攻击过程，抵御在对PCI密码卡的卡内程序进行加密处理时出现的重放攻击。

实施例2

如图2所示，本实施例提出一种安全升级PCI密码卡卡内程序的系统，所述系统包括：

申请接收模块，用于接收客户端升级需求，获取待升级PCI密码卡信息，并将升级需求发送至PCI密码卡厂商；

PCI密码卡的升级发起者必须是客户，客户调用PCI密码卡申请接收模块，申请接收模块负责接收客户升级需求，获取待升级PCI密码卡相关信息为厂商提供PCI密码卡合法身份，将升级需求发送PCI密码卡厂商。申请接收模块中增加挑战应答和防重放攻击功能，能够抵御重放攻击；

厂商验证模块，用于PCI密码卡厂商验证客户端提交的升级需求是否符合升级条件或PCI密码卡身份是否合法；如验证设备密钥对公钥与产品批次号、产品序列号是否匹配；验证卡内程序版本情况；验证客户单卡升级还是批量升级等；

加密处理模块，用于当客户端提交的升级需求符合升级条件或PCI密码卡身份合法后，对PCI密码卡的卡内程序进行加密处理并将加密处理后的数据发送至客户端；

待升级的卡内程序在数据传输和客户端接收的过程中都必须是密文，加密处理模块中采用双重加密方式对PCI密码卡的卡内程序进行加密处理，其中一种加密方式为：根据客户端的升级需求信息生成卡内程序加密密钥，采用对称密码算法将带升级的PCI密码卡卡内程序完全加密，客户端PCI密码卡能够识别此密文卡内程序，在PCI密码卡内部解密此卡内程序并完成升级工作；另一种加密方式为：采用传输密钥将传输前的密文卡内程序和厂商签名进行加密，确保传输过程中的安全性；在加密处理模块中包括挑战应答和防重放攻击功能，用于抵御在对PCI密码卡的卡内程序进行加密处理时出现的重放攻击，确保发送端和接收端的通讯过程的身份合法；

客户端验证模块，用于客户端对接收到的经过加密处理后的卡内程序进行验证，判断是否为PCI密码卡厂商签名的合法程序；

升级模块，用于当卡内程序为PCI密码卡厂商签名的合法程序时，根据带升级PCI密码卡信息合成解密密钥，解密卡内程序并启动自升级功能。

PCI密码卡生产及出厂，经过初始化操作，PCI密码卡产生设备密钥对，设备密钥对终生保存在PCI密码卡内部，产品批次号、产品序列号、客户名称等信息写入PCI密码卡并将以上信息和设备密钥对公钥导入厂商数据库备案。将厂商身份密钥对公钥导入PCI密码卡，经检测合格后密码卡出厂。

申请接收模块首先产生一个16字节随机数R1，使用厂商身份密钥对公钥加密R1和产品序列号，使用待升级PCI密码卡的设备密钥对私钥对产品批次号、产品序列号、卡内程序等信息的杂凑结果进行签名，将密文(R1和产品序列号)、签名结果发送给厂商端服务程序。

厂商端服务程序使用厂商身份密钥解密R1和产品序列号，产生16字节随机数R2，将R1和R2异或结果作为传输加密密钥。根据解密得到的产品序列号启动厂商验证模块，验证待升级PCI密码卡身份合法后，使用PCI密码卡设备密钥对公钥加密随机数R2，启动加密处理模块，厂商端服务程序将处理后的传输数据包和随机数R2密文发送至客户端同时清空R1、R2和传输加密密钥。

客户端验证模块收到数据包后，首先使用PCI密码卡设备密钥对私钥解密得到随机数R2，合成传输加密密钥。解密传输数据包得到升级文件，验证升级文件是否由厂商签发，如验证厂商身份合法则调用升级模块，升级模块基于PCI密码卡信息合成卡内程序加密密钥，解密升级文件，启动PCI密码卡自升级程序。PCI密码卡自升级结束后，重启操作系统，PCI密码卡重新上电后升级后的卡内程序开始运行，原PCI密码卡中密钥、用户数据等仍然保持不变，业务正常运行。

以上实施过程在实际PCI密码卡硬件上进行了验证，并取得成功。本发明所述的方法及系统能够验证客户和厂商的合法身份，能够抵御升级申请的重放攻击，确保待升级的卡内程序在传输过程中和客户本地均是密文信息，整个升级过程时间短，对客户正常业务影响小，是一种安全的PCI密码卡升级方案。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。