專利名稱:一種可信支付計算機系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域����,特別是可信支付計算機系統(tǒng)。
背景技術(shù):
隨著電子支付產(chǎn)業(yè)的蓬勃發(fā)展���,為了確保電子支付的安全性,很多的安全措施已 被應(yīng)用到各個支付環(huán)節(jié)中�����。賬戶加口令方式是最簡單�����,也是安全性最低的方式���。網(wǎng)絡(luò)釣魚��、 假冒網(wǎng)站�、詐騙短信等方式很容易使用戶的賬戶和口令被騙取���。鍵盤嗅探器通過記錄用戶 擊鍵事件�����,可以盜取用戶的用戶名和口令�。為了防止上述攻擊,誕生了瀏覽器安全控件和軟 鍵盤技術(shù)�����,但不斷發(fā)展的rootkit攻擊技術(shù)還是可以擊破這種防御措施�。數(shù)字證書技術(shù)是 目前安全性最高的一種身份認證技術(shù),但是數(shù)字證書系統(tǒng)中非對稱公私鑰的機密存儲問題 還沒有得到很好的解決�����。 現(xiàn)有技術(shù)的可信計算技術(shù)采用"白名單"方式����,只有被信任的軟件才能在客戶端計 算機中運行,通過這種方式可以確保計算環(huán)境的可信性�����。在電子支付過程中���,通常需要輸入 用戶的賬號和密碼�����。由于輸入的賬號和密碼在支付終端計算機中是以明文出現(xiàn)��,非常容易 遭到安全攻擊��。而且��,由于用戶經(jīng)常性地要輸入很長的數(shù)字串���,容易出錯,這使得電子支付 服務(wù)的易用性降低�,不方便用戶使用。
發(fā)明內(nèi)容
為了解決上述現(xiàn)有技術(shù)中存在的問題�,本發(fā)明的目的是提供一種可信支付計算機
系統(tǒng)。它方便易用�����,能可靠保證整個可信支付業(yè)務(wù)的安全性���。 為了達到上述發(fā)明目的���,本發(fā)明的技術(shù)方案以如下方式實現(xiàn) —種可信支付計算機系統(tǒng),它包括依次相連的輸入設(shè)備����、可信計算機主機����、輸出設(shè) 備以及通過USB-HID接口與可信計算機主機相互連接的可信刷卡設(shè)備�����。所述輸入設(shè)備為 鍵盤和鼠標����,輸出設(shè)備為顯示器。其結(jié)構(gòu)特點是����,所述可信計算機主機內(nèi)嵌入TCM芯片作 為可信度量根、可信報告根和可信存儲根�。可信計算機主機內(nèi)部的可信度量系統(tǒng)逐級度量 TCM——可信BI0S——MBR——OS Kernel和可信監(jiān)控程序——PE文件的完整性�。可信計 算機主機上安裝的軟件系統(tǒng)中包含TCM管理程序�����、可信刷卡設(shè)備管理程序和支付交易管理 程序�。 在上述可信支付計算機系統(tǒng)中�,所述可信刷卡設(shè)備以單獨的USB設(shè)備以USB-HID 協(xié)議方式與可信計算機主機相連或者與PC鍵盤整合并行接入USB-HUB后以USB-HID協(xié)議 方式與可信計算機主機相連����。 在上述可信支付計算機系統(tǒng)中,所述TCM管理程序?qū)崿F(xiàn)TCM初始化�����、0wner 口令修 改����、備份與恢復(fù)、可信計算機主機平臺身份標識和密鑰管理的功能�。 在上述可信支付計算機系統(tǒng)中���,所述支付交易管理程序負責(zé)管理和協(xié)調(diào)整個電子 支付交易過程���。 在上述可信支付計算機系統(tǒng)中,所述可信刷卡設(shè)備包括組件
處理器�,負責(zé)算術(shù)和邏輯運算,為可信刷卡設(shè)備中軟件的運行提供運算支持��; 存儲單元���,負責(zé)存儲程序Firmware和數(shù)據(jù)��,程序Firmware負責(zé)實現(xiàn)軟件功能�����;
存儲管理保護單元�����,實現(xiàn)對存儲單元的空間分配和訪問控制��;
隨機數(shù)發(fā)生器�����,生成符合國家密碼管理局標準的真隨機數(shù)�����; ECC引擎��,符合國家密碼管理局的ECC標準�����,實現(xiàn)系統(tǒng)參數(shù)、密鑰對生成���、數(shù)字簽名
算法���、密鑰交換協(xié)議和加密算法; 銀行卡讀卡器�����,讀取銀行卡磁道信息�����; 小鍵盤��,為用戶向可信刷卡設(shè)備輸入數(shù)字提供輸入接口 �;
液晶屏�,以字符輸出方式向用戶提供提示信息;
語音提示模塊�����,以語音輸出方式向用戶提供提示信息�; USB控制器����,組織內(nèi)部數(shù)據(jù)以USB信號方式提供給外部設(shè)備�,并將外部輸入的USB
信號轉(zhuǎn)化為可信刷卡設(shè)備內(nèi)部可以處理的信號; 可信刷卡設(shè)備的各組件之間通過總線相互通信�。 在上述可信支付計算機系統(tǒng)中,所述處理器采用標準8051核或兼容8051的指令集�����。 在上述可信支付計算機系統(tǒng)中���,所述存儲單元中存儲的數(shù)據(jù)是臨時數(shù)據(jù)或者是永 久存儲的數(shù)據(jù)���,存儲單元中的程序和數(shù)據(jù)均以加密方式存儲。 本發(fā)明由于采用了上述結(jié)構(gòu)�����,通過使用可信刷卡設(shè)備�����,用戶可以以刷卡操作來代 替手工輸入賬號,易用性增強��。從可信刷卡設(shè)備中輸入的銀行卡賬號和密碼以密文的方式 進入可信計算機主機并被轉(zhuǎn)發(fā)到電子支付系統(tǒng)中的遠程服務(wù)器端��,使得主機中的惡意軟件 無法獲得用戶的銀行卡賬號和密碼的明文信息�。同時,可信刷卡設(shè)備和可信計算機主機之 間通過相互認證����,可以防止惡意軟件和用戶偽造或篡改可信刷卡設(shè)備,進一步確保整個可 信支付計算機系統(tǒng)的安全性���。本發(fā)明可防止簡單能量分析SPA (Simple Power Analysis) 和差分能量分析DPA(Differential Power Analysis)攻擊�����。
下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步說明����。
圖1是本發(fā)明可信刷卡設(shè)備直接與可信PC主機相連的可信支付計算機系統(tǒng)結(jié)構(gòu) 示意圖�; 圖2是本發(fā)明集成可信刷卡設(shè)備的PC鍵盤與可信PC主機相連的可信支付計算機 系統(tǒng)結(jié)構(gòu)示意圖; 圖3是本發(fā)明可信度量系統(tǒng)的工作原理圖���;
圖4是本發(fā)明可信刷卡設(shè)備的結(jié)構(gòu)示意圖;
圖5為本發(fā)明的應(yīng)用方式流程圖。
具體實施例方式
參看圖1至圖4����,本發(fā)明包括依次相連的輸入設(shè)備、可信計算機主機�、輸出設(shè)備以 及通過USB-HID接口與可信計算機主機相互連接的可信刷卡設(shè)備。輸入設(shè)備為鍵盤和鼠 標�,輸出設(shè)備為顯示器?��?尚潘⒖ㄔO(shè)備以單獨的USB設(shè)備以USB-HID協(xié)議方式與可信計算機主機相連或者與PC鍵盤整合并行接入USB-HUB后以USB-HID協(xié)議方式與可信計算機主 機相連�?���?尚庞嬎銠C主機內(nèi)嵌入TCM芯片作為可信度量根、可信報告根和可信存儲根���,可信 計算機主機內(nèi)部的可信度量系統(tǒng)逐級度量TCM——可信BIOS——MBR——OS Kernel和可 信監(jiān)控程序——PE文件的完整性��??尚庞嬎銠C主機上安裝的軟件系統(tǒng)中包含TCM管理程 序����、可信刷卡設(shè)備管理程序和支付交易管理程序��。 TCM管理程序主要實現(xiàn)TCM初始化���、0wner 口令修改、備份與恢復(fù)���、可信計算機主機 平臺身份標識和密鑰管理等功能�����。對于可信計算機主機平臺身份標識功能���,主要由下述操 作完成。 (l)TCM內(nèi)部生成一對ECC(Elliptic curve cryptography,橢圓曲線密碼算法)
公私鑰對(ECC算法即為《可信計算密碼支撐平臺功能與接口規(guī)范》中所述及的SM2算法�����,
以下同)���,其中ECC私鑰置于TCM芯片內(nèi)部進行加密保護�,ECC公鑰交由可信第三方簽署平
臺身份數(shù)字證書�,該平臺身份數(shù)字證書對外表征此可信計算機主機平臺的唯一性。 (2)平臺身份數(shù)字證書導(dǎo)入TCM芯片內(nèi)部進行加密保護�,只有TCM Owner才有訪問權(quán)限�����。 (3)在電子交易過程中,由主機向外傳送的數(shù)據(jù)均由TCM進行數(shù)字簽名��,其它交易 實體可通過驗證此簽名來信任所接收到數(shù)據(jù)包是否由該主機發(fā)出��。 由于ECC私鑰����、平臺身份數(shù)字證書、數(shù)字簽名過程等全部在TCM芯片內(nèi)部完成���,且 TCM規(guī)范提供完善的存儲保護和訪問控制機制��,使得惡意軟件和用戶無法偽造出一個與本 機相同的新的主機系統(tǒng)���。從而解決了可信計算機主機系統(tǒng)在電子交易過程中的身份唯一性 問題,為電子交易的順利進行奠定了堅實的基礎(chǔ)�。 在實際應(yīng)用過程中,一個可信計算機主機平臺可通過多個經(jīng)由可信第三方簽署的 平臺身份證書來表征自身的身份����,這些平臺身份數(shù)字證書均可對外表征可信計算機主機平 臺的唯一性��。 支付交易管理程序負責(zé)管理和協(xié)調(diào)整個電子支付交易過程����,完成下述主要功能 (1)協(xié)調(diào)和管理TCM管理程序向國家CA(CertificateAuthority)機構(gòu)請求數(shù)字證
書服務(wù)���,數(shù)字證書中的簽名算法采用符合國家密碼管理局標準的ECC算法�����。 (2)協(xié)調(diào)和管理可信刷卡設(shè)備管理程序向國家CA(CertificateAuthority)機構(gòu)
請求數(shù)字證書服務(wù)��,數(shù)字證書中的簽名算法采用符合國家密碼管理局標準的ECC算法��。 (3)調(diào)度TCM管理程序和可信刷卡設(shè)備管理程序���,以數(shù)字證書方式,實現(xiàn)TCM和可
信刷卡設(shè)備的雙向認證��,并向用戶反饋認證結(jié)果��。 (4)負責(zé)在可信支付計算機系統(tǒng)和網(wǎng)上電子支付系統(tǒng)遠程服務(wù)器端建立
SSL(Secure Sockets Layer)安全通信信道����,在SSL中����,非對稱算法采用符合國家密碼管理
局標準的ECC算法����,對稱算法采用符合國家密碼管理局標準的SMS4算法����。 (5)在電子支付過程中的某個環(huán)節(jié),通知可信刷卡設(shè)備管理程序完成用戶刷卡�、用
戶輸入密碼等操作,接收從可信刷卡設(shè)備管理程序輸入的對卡號和密碼進行加密和簽名過
的數(shù)據(jù)報文�,并經(jīng)該數(shù)據(jù)報文和其它交易信息轉(zhuǎn)發(fā)給TCM管理程序。 (6) TCM對上述報文和其它交易信息進行數(shù)字簽名�����,并將簽名后的數(shù)據(jù)輸送給支付 交易管理程序�����。 (7)支付交易管理程序?qū)⑸鲜鰯?shù)據(jù)通過已建立的SSL通道傳送給網(wǎng)上電子支付系統(tǒng)遠程服務(wù)器端����。 整個可信度量系統(tǒng)的運行包含下述內(nèi)容 (1)計算機啟動或復(fù)位時����,TCM芯片自檢�。若自檢不通過,系統(tǒng)終止運行����。自檢通 過,轉(zhuǎn)入步驟(2)�。 (2) TCM對可信BIOS的完整行進行度量,并將度量值與上一次系統(tǒng)正常運行時保 存在PCR(Platform Configuration Register,平臺配置寄存器)中的度量值進行比對���,若 比對結(jié)果為不一致�����,則提示用戶�,由用戶決定是否繼續(xù)運行�����。若比對結(jié)果為兩者一致���,則轉(zhuǎn) 入步驟(3)��。若系統(tǒng)是第一次進行初始化�,則將度量值寫入PCR。 (3)可信BIOS對MBR(Master Boot Record,主引導(dǎo)記錄)的完整性進行度量�,并將 度量值與上一次系統(tǒng)正常運行時保存在PCR中的度量值進行比對,若比對結(jié)果為不一致��, 則提示用戶��,由用戶決定是否繼續(xù)運行�。若比對結(jié)果為兩者一致��,系統(tǒng)繼續(xù)引導(dǎo)�����,并將控制 權(quán)提交至Trusted GRUB�。若系統(tǒng)是第一次進行初始化,則將度量值寫入PCR����。
(4)Trusted GRUB對0S Kernel (Operating System Ke潔l,操作系統(tǒng)內(nèi)核)的完 整性進行度量�����,并將度量值與上一次系統(tǒng)正常運行時保存在PCR中的度量值進行比對,若 比對結(jié)果為不一致���,則提示用戶��,由用戶決定是否繼續(xù)運行���。同時,Trusted GRUB還對可信 監(jiān)控程序及其附屬的文件摘要值數(shù)據(jù)庫進行完整性度量����,并將度量值與上一次系統(tǒng)正常運 行時保存在PCR中的度量值進行比對,若比對結(jié)果為不一致�����,則提示用戶���,由用戶決定是否 繼續(xù)運行�。若上述兩項度量均通過�����,系統(tǒng)控制權(quán)提交至OS Kernel。若系統(tǒng)是第一次進行初 始化����,則將兩項度量值寫入PCR。 (5) OS Kernel啟動完成后�,系統(tǒng)準備就緒,此時各種應(yīng)用程序可以開始運行����。每項 程序運行前,可信監(jiān)控程序?qū)υ摮绦虻腜E文件進行完整性度量��,并將度量值與文件摘要值 數(shù)據(jù)庫中的相應(yīng)表項進行比對�����。若比對結(jié)果為一致�����,則該項應(yīng)用程序啟動運行���。若比對結(jié) 果為不一致,則提示用戶�����,由用戶決定是否繼續(xù)運行該程序。若程序第一次運行�����,可行監(jiān)控 程序?qū)υ摮绦虻腜E文件進行完整性度量后寫入文件摘要值數(shù)據(jù)庫���。 (6)TCM管理程序��、可信刷卡設(shè)備管理程序和支付交易管理程序等均由可信監(jiān)控程 序?qū)崟r監(jiān)控�。 一旦這幾個程序遭到非法篡改�����,可信監(jiān)控程序會立即報警����,提示用戶進行相應(yīng) 操作,以確保整個支付交易過程的安全���。
本發(fā)明的可信刷卡設(shè)備包括組件 處理器�����,采用標準8051核或兼容8051的指令集����,負責(zé)算術(shù)和邏輯運算,為可信刷 卡設(shè)備中軟件的運行提供運算支持�; 存儲單元,負責(zé)存儲程序Firmware和數(shù)據(jù)����,程序Firmware負責(zé)實現(xiàn)軟件功能;存 儲單元中存儲的數(shù)據(jù)是臨時數(shù)據(jù)或者是永久存儲的數(shù)據(jù)��,存儲單元中的程序和數(shù)據(jù)均以加 密方式存儲�; 存儲管理保護單元,實現(xiàn)對存儲單元的空間分配和訪問控制�����;
隨機數(shù)發(fā)生器��,生成符合國家密碼管理局標準的真隨機數(shù)�����; ECC引擎�,符合國家密碼管理局的ECC標準,實現(xiàn)系統(tǒng)參數(shù)�、密鑰對生成、數(shù)字簽名
算法�����、密鑰交換協(xié)議和加密算法����; 銀行卡讀卡器,讀取銀行卡磁道信息�����; 小鍵盤����,為用戶向可信刷卡設(shè)備輸入數(shù)字提供輸入接口 ;
液晶屏�,以字符輸出方式向用戶提供提示信息;
語音提示模塊��,以語音輸出方式向用戶提供提示信息����; USB控制器�,組織內(nèi)部數(shù)據(jù)以USB信號方式提供給外部設(shè)備�,并將外部輸入的USB
信號轉(zhuǎn)化為可信刷卡設(shè)備內(nèi)部可以處理的信號; 可信刷卡設(shè)備的各組件之間通過總線相互通信�。 參看圖5,可信刷卡設(shè)備與可信刷卡設(shè)備管理程序相配合�����,其應(yīng)用方法步驟為
(1)可信刷卡設(shè)備初始化時�,內(nèi)部生成ECC密鑰對,該密鑰對中的私鑰保存于存儲 單元并受安全保護�,公鑰通過支付交易管理程序輸出至可信第三方。 (2)可信第三方根據(jù)(1)中生成的公鑰及該可信刷卡設(shè)備的其它相關(guān)信息(如可 信刷卡設(shè)備的唯一硬件序列號等)制作數(shù)字證書�����,并將制作好的數(shù)字證書通過支付交易管 理程序反饋給可信刷卡設(shè)備����。 (3)可信刷卡設(shè)備導(dǎo)入可信第三方頒發(fā)的數(shù)字證書,并存儲于存儲單元�。此數(shù)字證 書用于向外部表征自己的身份。 (4)可信刷卡設(shè)備在使用過程中�,可以輸入外部實體(如可信計算機主機、網(wǎng)上電 子支付系統(tǒng)服務(wù)器端)用來表征自身身份的數(shù)字證書����,可以驗證該數(shù)字證書的有效性,并 能從該數(shù)字證書中提取出主體的公鑰��。 (5)用戶進行刷卡操作時�����,銀行卡的磁道信息被獲取�����,該磁道信息使用表征第三方 交易實體(如網(wǎng)上電子支付系統(tǒng)服務(wù)器端�����、中國銀聯(lián)支付接入前置服務(wù)器等)身份的數(shù)字 證書中的公鑰進行ECC加密����,并用可信刷卡設(shè)備的私鑰進行ECC簽名,簽名完成后的信息被 輸送到可信計算機主機�����。 (6)用戶通過小鍵盤輸入銀行卡密碼時�,液晶屏顯示"*"號��,可信舒卡設(shè)備讀取密 碼�,該密碼使用表征第三方交易實體(如網(wǎng)上電子支付系統(tǒng)服務(wù)器端�、中國銀聯(lián)支付接入 前置服務(wù)器等)身份的數(shù)字證書中的公鑰進行ECC加密,并用可信刷卡設(shè)備的私鑰進行ECC 簽名�,簽名結(jié)果以USB-HID信號輸送到可信PC主機。 (7)可信PC主機將經(jīng)過可信刷卡設(shè)備加密和簽名的銀行卡賬號和密碼信息通過 安全網(wǎng)絡(luò)通道提交給銀聯(lián)服務(wù)器�,銀聯(lián)服務(wù)器使用自身ECC私鑰對以上信息進行解密,獲 得用戶銀行卡賬號和密碼���; (8)銀聯(lián)服務(wù)器接著對用戶賬戶進行余額查詢��、扣款等操作�,并將操作結(jié)果反饋給 可信PC主機����; (9)若扣款等操作成功,可信PC將扣款金額等信息反饋給可信刷卡設(shè)備��,并在液 晶屏上顯示����,結(jié)束操作。
權(quán)利要求
一種可信支付計算機系統(tǒng),它包括依次相連的輸入設(shè)備����、可信計算機主機�、輸出設(shè)備以及通過USB-HID接口與可信計算機主機相互連接的可信刷卡設(shè)備,所述輸入設(shè)備為鍵盤和鼠標���,輸出設(shè)備為顯示器�,其特征在于����,所述可信計算機主機內(nèi)嵌入TCM芯片作為可信度量根、可信報告根和可信存儲根�����,可信計算機主機內(nèi)部的可信度量系統(tǒng)逐級度量TCM——可信BIOS——MBR——OS Kernel和可信監(jiān)控程序——PE文件的完整性���,可信計算機主機上安裝的軟件系統(tǒng)中包含TCM管理程序���、可信刷卡設(shè)備管理程序和支付交易管理程序。
2. 根據(jù)權(quán)利要求1所述的可信支付計算機系統(tǒng)�,其特征在于,所述可信刷卡設(shè)備以單 獨的USB設(shè)備以USB-HID協(xié)議方式與可信計算機主機相連或者與PC鍵盤整合并行接入 USB-HUB后以USB-HID協(xié)議方式與可信計算機主機相連。
3. 根據(jù)權(quán)利要求1或2所述的可信支付計算機系統(tǒng)�����,其特征在于����,所述TCM管理程序?qū)?現(xiàn)TCM初始化、Owner 口令修改�����、備份與恢復(fù)�����、可信計算機主機平臺身份標識和密鑰管理的 功能���。
4. 根據(jù)權(quán)利要求3所述的可信支付計算機系統(tǒng)�����,其特征在于��,所述支付交易管理程序 負責(zé)管理和協(xié)調(diào)整個電子支付交易過程�����。
5. 根據(jù)權(quán)利要求4所述的可信支付計算機系統(tǒng)�,其特征在于,所述可信刷卡設(shè)備包括 組件處理器�����,負責(zé)算術(shù)和邏輯運算��,為可信刷卡設(shè)備中軟件的運行提供運算支持����; 存儲單元�,負責(zé)存儲程序Firmware和數(shù)據(jù),程序Firmware負責(zé)實現(xiàn)軟件功能�����; 存儲管理保護單元�����,實現(xiàn)對存儲單元的空間分配和訪問控制�; 隨機數(shù)發(fā)生器,生成符合國家密碼管理局標準的真隨機數(shù);ECC引擎��,符合國家密碼管理局的ECC標準����,實現(xiàn)系統(tǒng)參數(shù)、密鑰對生成��、數(shù)字簽名算 法��、密鑰交換協(xié)議和加密算法����;銀行卡讀卡器,讀取銀行卡磁道信息�����; 小鍵盤���,為用戶向可信刷卡設(shè)備輸入數(shù)字提供輸入接口�; 液晶屏���,以字符輸出方式向用戶提供提示信息��; 語音提示模塊���,以語音輸出方式向用戶提供提示信息�����;USB控制器����,組織內(nèi)部數(shù)據(jù)以USB信號方式提供給外部設(shè)備����,并將外部輸入的USB信號 轉(zhuǎn)化為可信刷卡設(shè)備內(nèi)部可以處理的信號���;可信刷卡設(shè)備的各組件之間通過總線相互通信���。
6. 根據(jù)權(quán)利要求5所述的可信支付計算機系統(tǒng),其特征在于����,所述處理器采用標準 8051核或兼容8051的指令集。
7. 根據(jù)權(quán)利要求6所述的可信支付計算機系統(tǒng)����,其特征在于���,所述存儲單元中存儲的 數(shù)據(jù)是臨時數(shù)據(jù)或者是永久存儲的數(shù)據(jù),存儲單元中的程序和數(shù)據(jù)均以加密方式存儲���。
全文摘要
一種可信支付計算機系統(tǒng)��,涉及信息安全技術(shù)領(lǐng)域�����。本發(fā)明包括依次相連的輸入設(shè)備�����、可信計算機主機�、輸出設(shè)備以及通過USB-HID接口與可信計算機主機相互連接的可信刷卡設(shè)備��。所述輸入設(shè)備為鍵盤和鼠標����,輸出設(shè)備為顯示器。其結(jié)構(gòu)特點是�����,所述可信計算機主機內(nèi)嵌入TCM芯片作為可信度量根、可信報告根和可信存儲根���?��?尚庞嬎銠C主機內(nèi)部的可信度量系統(tǒng)逐級度量TCM——可信BIOS——MBR——OS Kernel和可信監(jiān)控程序——PE文件的完整性?�?尚庞嬎銠C主機上安裝的軟件系統(tǒng)中包含TCM管理程序�����、可信刷卡設(shè)備管理程序和支付交易管理程序�。本發(fā)明方便易用,能可靠保證整個可信支付業(yè)務(wù)的安全性�。
文檔編號G06Q20/00GK101739622SQ20081022557
公開日2010年6月16日 申請日期2008年11月6日 優(yōu)先權(quán)日2008年11月6日
發(fā)明者劉鋒, 周培軍, 李術(shù)亮, 趙珍 申請人:同方股份有限公司