一种基于安全机芯的存取款安全控制方法及系统的制作方法

一种基于安全机芯的存取款安全控制方法及系统的制作方法
【专利摘要】本发明公开了一种基于安全机芯的存取款安全控制方法及系统，在存取款机芯中布放安全芯片，置于自动柜员机的保险柜内。机芯安全芯片简称安全机芯，安全机芯与自助柜员机前置系统(ATMP)进行通讯，通过证书下发、密钥交换，实现安全机芯与自助柜员机前置系统(ATMP)的安全通信，ATMP(自助柜员机前置系统)授权机芯出钞，同时对存款金额校验。本发明通过安全机芯与ATMP的安全通信，对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，ATMP授权机芯出钞，检验存款金额，本发明能有效认证与加解密，进行完整性保护，防篡改，防重放攻击保护，提高了ATM的安全性。
【专利说明】一种基于安全机芯的存取款安全控制方法及系统

【技术领域】
[0001]本发明涉及一种基于安全机芯的存取款安全控制方法及系统。

【背景技术】
[0002]随着社会的不断进步和金融业的不断发展，以电子技术、计算机技术等多种技术为基础的银行ATM(自动柜员机)有了很大的发展。在我国ATM已经遍布各个城市，银行ATM可以很方便地为客户提供自动取款、存款功能，节省了大量的人力、物力，减轻了银行的工作量。目前银行ATM已经日益成为银行服务中一种不可或缺的服务手段。
[0003]目前，关于ATM的金融犯罪活动同益增多，2010年的，全球黑客大会上，全球最牛的黑客杰克成功的演示了如何入侵安装两种不同系统的ATM取款机，并且当场让ATM取款机吐钞。目前对ATM成功的攻击都是直接针对ATM机的出钞模块，通过直接向钞箱发送出钞指令，可以绕开ATM的安全防范使ATM进行吐钞，ATM机的出钞模块是金融信息安全中最为广泛，最容易受到攻击的部分，需要受到更加强化的安全保护，因此如何解决ATM的安全问题受到金融界和社会的高度重视，研究及制定ATM出钞模块的安全对策势在必行。
[0004]现有ATM中存取款现金模块及其通讯系统的缺点:
[0005](I)现有的ATM存取款现金模块都由ATMC通过WOSA通信协议来控制机芯的存取款动作，对发出的指令缺少合法性认证，对发出的消息进行篡改以及对驱动调用者的身份、指令重放防范缺少有效防范。
[0006](2)现有的ATM存取款现金模块没有对操作者进行身份认证、完整性认证和不可抵赖性认证，缺乏软件安全保护，缺乏第三方认证机构，让黑客有机可乘，还可能由于银行管理上的漏洞造成监守自盗的安全事故。图1和图2展现了攻击ATM的儿种方式。如图1,2所不，对于现有的取款操作，攻击者攻击出钞模块，模拟工控机，欺骗出钞模块出钞；攻击者攻击工控机，模拟ATMP，欺骗工控机出钞。对于现有的存款操作，攻击者攻击工控机和ATMP，截取ATM存款报文，伪造存款请求。
[0007]因此，有必要设计一种新型的存取款安全控制方法及系统。


【发明内容】

[0008]针对现有ATM(自动柜员机)中存取款模块易受攻击，存在安全隐患，本发明提供一种基于安全机芯的存取款安全控制方法及系统，该基于安全机芯的存取款安全控制方法及系统安全性高，易于实施。
[0009]发明的技术解决方案如下:
[0010]一种机芯立体安全控制系统，包括依次连接的ATM、ATMP和银行系统，所述的ATMP为自助柜员机前置系统，其特征在于，在ATM中布放安全机芯，所述的安全机芯为机芯安全芯片；ATM中的安全机芯和ATMP中有证书授权中心CA下发的安全证书；安全机芯与自助柜员机前置系统(ATMP)通过证书下发和密钥交换实现安全通信，从而对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，验证成功后，若为取款操作，则由ATMP授权ATM出钞；若为存款操作，则ATMP对存款金额进行校验，然后上报到银行系统。【具体为银行系统的银行账务系统】。
[0011]所述的密钥交换包括步骤:
[0012](I)安全机芯上电后，ATM安全机芯发起随机数请求【随机数防重放】，包括以下步骤:
[0013]I) ATM安全机芯向ATMP发起8字节随机数请求；
[0014]2) ATMP调用加密机产生8字节随机数RND ；
[0015]3) ATMP将随机数RND发给ATM安全机芯；
[0016](2) ATM安全机芯接收随机数后，上送证书与签名，包括以下步骤:
[0017]I) ATM安全机芯存储随机数RND，对随机数签名，得到SigSKATMSM (RND)；
[0018]2) ATM安全机芯上送机芯证书Cert ATMSM与签名Sig SKATMSM(RND)给ATM上的自助柜员端控制系统ATMC ；
[0019]3) ATMC把机芯证书Cert ATMSM、随机数签名SigSKATMSM (RND)组包到48域，发送给 ATMP ；
[0020](3)ATMP收到安全机芯的证书与签名后【签名可以防抵赖】，按以下步骤响应:
[0021]DATMP调用加密机用CA根证书验签机芯证书的有效性；
[0022]2)证书验证成功后，ATMP调用加密机保存安全机芯的公钥，对机芯的签名、加密机内存储的随机数进行验签；
[0023]3)验证机芯合法身份后，ATMP从加密机读取ATMP证书CertATMP，并调用加密机对随机数RND签名，得到SigSKATMP (RND)；
[0024]4) ATMP 将证书 CertATMP 和签名 SigSKATMP (RND)组包到 48 域，发给 ATMC ；
[0025]5) ATMC解包，发给安全机芯；
[0026](4) ATM安全机芯收到ATMP的证书与签名后，按以下步骤响应:
[0027]I)安全机芯用CA根证书验签ATMP证书CertATMP的有效性；
[0028]2)证书验证成功后，安全机芯保存ATMP的公钥，对ATMP的签名SigSKATMP (RND)、安全机芯内存储的随机数进行验签，验证ATMP的合法身份；
[0029](5)安全机芯在验证完ATMP身份信息无误，公钥交换成功前提下，发起“签到”交易，安全机芯将签到的请求信息发送到ATMP，签到的请求信息包括终端的终端号、IP地址、ATMC版本号以及密钥类型(DES、3DES、SM4)；
[0030](6)ATMP收到签到请求后，ATMP对请求信息进行检验，检验成功后,在加密机中产生会话密钥，同时在加密机中用机芯公钥对会话密钥进行加密；并下发签到响应报文到安全机芯；签到响应报文包括工作密钥、会话密钥、终端检验时间和ATMP版本号。
[0031]取款流程为:
[0032]I)取款请求:持卡人发起取款请求,ATMC组织持卡人信息并从安全机芯获取到随机数后发送给ATMP ；
[0033]2)基于秘钥交换过程，ATMP得到取款交易后台即银行系统的授权;ATMP用会话密钥加密金额I RND (I表示连接符，连接两个字符串)同时把ATMC请款金额、会话密钥加密过的金额I RND、ATMP返回的响应码发给ATM端；
[0034]3)如果ATMP返回的响应码为“00 “，表示请款交易成功，安全机芯解密金额I RND的密文，得到授权金额，同时授权金额与请款金额作比对；比对正确，机芯执行出钞动作，若不正确，机芯上报错误信息给ATMC，ATMC根据错误信息组织金额冲正信息，进行冲正交易【冲正是金融领域用来确保交易的完整性而设立的交易。通常只对持卡人账户余额发生变化的原始交易才设置冲正交易，把错误的记账冲销。】。
[0035]存款流程为:
[0036]I)存款者在ATM机启动存款操作后【即在人机界面上选择存款后】，ATMC向ATMP申请随机数；
[0037]2) ATMP响应本次存款所需要的随机数；
[0038]3)ATMC收到随机数以后，驱动设备进入放钞模式，安全机芯每收到一个放钞过程，都会把放钞明细明文及放钞明细I随机数组合的密文传给ATMC，ATMC直接用明文作为回显信息给用户，把密文则在存款交易中传给ATMP ；
[0039]4) ATMC组织信息发起本次存款请求；
[0040]5)与ATMP相连同一安全体系内的加密机解密存款明细I随机数；
[0041]6)ATMP验证随机数正确后，根据存款明细计算存款金额，若存款金额与上送金额一致，ATMP组包发给银行系统，完成存款；若不一致，ATMP通知ATMC，存款失败。
[0042]一种机芯立体安全控制方法，通过在ATM中布放安全机芯以及基于证书和秘钥实现安全控制；
[0043]所述的安全机芯为机芯安全芯片；ATM中的安全机芯和ATMP中有证书授权中心CA下发的安全证书；安全机芯与自助柜员机前置系统(ATMP)通过证书下发和密钥交换实现安全通信，从而对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，验证成功后，若为取款操作，则由ATMP授权ATM出钞；若为存款操作，则ATMP对存款金额进行校验，然后上报到银行系统。
[0044]所述的密钥交换包括步骤:
[0045](I)安全机芯上电后，ATM安全机芯发起随机数请求【随机数防重放】，包括以下步骤:
[0046]I) ATM安全机芯向ATMP发起8字节随机数请求；
[0047]2) ATMP调用加密机产生8字节随机数RND ；
[0048]3) ATMP将随机数RND发给ATM安全机芯；
[0049](2) ATM安全机芯接收随机数后，上送证书与签名，包括以下步骤:
[0050]I) ATM安全机芯存储随机数RND，对随机数签名，得到SigSKATMSM (RND)；
[0051 ] 2) ATM安全机芯上送机芯证书Cert ATMSM与签名Sig SKATMSM(RND)给ATM上的自助柜员端控制系统ATMC ；
[0052]3) ATMC把机芯证书Cert ATMSM、随机数签名SigSKATMSM (RND)组包到48域，发送给 ATMP ；
[0053](3)ATMP收到安全机芯的证书与签名后【签名可以防抵赖】，按以下步骤响应:
[0054]DATMP调用加密机用CA根证书验签机芯证书的有效性；
[0055]2)证书验证成功后，ATMP调用加密机保存安全机芯的公钥，对机芯的签名、加密机内存储的随机数进行验签；
[0056]3)验证机芯合法身份后，ATMP从加密机读取ATMP证书CertATMP，并调用加密机对随机数RND签名，得到SigSKATMP (RND)；
[0057]4) ATMP 将证书 CertATMP 和签名 SigSKATMP (RND)组包到 48 域，发给 ATMC ；
[0058]5) ATMC解包，发给安全机芯；
[0059](4) ATM安全机芯收到ATMP的证书与签名后，按以下步骤响应:
[0060]I)安全机芯用CA根证书验签ATMP证书CertATMP的有效性；
[0061 ] 2)证书验证成功后，安全机芯保存ATMP的公钥，对ATMP的签名SigSKATMP (RND)、安全机芯内存储的随机数进行验签，验证ATMP的合法身份；
[0062](5)安全机芯在验证完ATMP身份信息无误，公钥交换成功前提下，发起“签到”交易，安全机芯将签到的请求信息发送到ATMP，签到的请求信息包括终端的终端号、IP地址、ATMC版本号以及密钥类型(DES、3DES、SM4)；
[0063](6)ATMP收到签到请求后，ATMP对请求信息进行检验，检验成功后,在加密机中产生会话密钥，同时在加密机中用机芯公钥对会话密钥进行加密；并下发签到响应报文到安全机芯；签到响应报文包括工作密钥、会话密钥、终端检验时间和ATMP版本号。
[0064]取款流程为:
[0065]I)取款请求:持卡人发起取款请求,ATMC组织持卡人信息并从安全机芯获取到随机数后发送给ATMP ；
[0066]2)基于秘钥交换过程，ATMP得到取款交易后台即银行系统的授权;ATMP用会话密钥加密金额I RND (I表示连接符，连接两个字符串)同时把ATMC请款金额、会话密钥加密过的金额I RND、ATMP返回的响应码发给ATM端；
[0067]3)如果ATMP返回的响应码为“00 “，表示请款交易成功，安全机芯解密金额I RND的密文，得到授权金额，同时授权金额与请款金额作比对；比对正确，机芯执行出钞动作，若不正确，机芯上报错误信息给ATMC，ATMC根据错误信息组织金额冲正信息，进行冲正交易【冲正是金融领域用来确保交易的完整性而设立的交易。通常只对持卡人账户余额发生变化的原始交易才设置冲正交易，把错误的记账冲销。】。
[0068]存款流程为:
[0069]I)存款者在ATM机启动存款操作后【即在人机界面上选择存款后】，ATMC向ATMP申请随机数；
[0070]2) ATMP响应本次存款所需要的随机数；
[0071]3)ATMC收到随机数以后，驱动设备进入放钞模式，安全机芯每收到一个放钞过程，都会把放钞明细明文及放钞明细I随机数组合的密文传给ATMC，ATMC直接用明文作为回显信息给用户，把密文则在存款交易中传给ATMP ；
[0072]4) ATMC组织信息发起本次存款请求；
[0073]5)与ATMP相连同一安全体系内的加密机解密存款明细I随机数；
[0074]6) ATMP验证随机数正确后，根据存款明细计算存款金额，若存款金额与上送金额一致，ATMP组包发给银行系统，完成存款；若不一致，ATMP通知ATMC，存款失败。
[0075]本发明通过ATMP(自助柜员机前置系统)、ATMC(自助柜员端控制系统)、安全机芯的安全体系建立和有机整合，构建立体安全控制系统，在存取款机芯上布放安全芯片，并置于ATM中的保险柜内。银行CA中心下发ATMP证书和安全机芯证书，银行专员下载ATMP证书和安全机芯证书，通过证书下发、密钥交换，进行身份认证，对发出的指令进行合法验证，对发出的消息进行加密，实现安全机芯与ATMP的安全通讯，ATMP授权机芯出钞，对存款金额校验上报。存取款操作由无控制优化为:进行了安全控制，可跟踪审计且不可抵赖，解决了自助柜员机在非法入侵时的现金安全问题，并解决在运维、非受控状态下的现金安全控制问题。
[0076]所述的安全机芯是指在存取款机芯中添加安全芯片，包含安全芯片的存取款机芯简称安全机芯，用于存储密钥，通过安全机芯与ATMP(自助柜员机前置系统)进行安全数据传输，确保对存取款模块的安全控制。
[0077]所述的密钥体系采用成熟的PKI (公钥基础设施)体系来管理密钥，其中CA中心由银行或专业CA机构进行管理，提供申请证书、分发证书、验证证书、销毁证书等功能，密钥管理包括证书下发和密钥交换两部分。
[0078]所述的证书下发是CA(证书授权中心)中心下发CA根证书、ATMP证书，银行专员将CA根证书、ATMP证书下载到ATMP (自助柜员机前置系统)。
[0079]所述的证书下发是CA中心下发CA根证书、安全机芯证书，银行专员将CA根证书、安全机芯证书下载到ATM安全机芯中。
[0080]有益效果:
[0081]本发明针对目前ATM存取款模块存在的问题和趋势，在存取款安全方面首次提出安全机芯与ATMP进行密钥交换，实现存取款模块与ATMP安全通讯的新方法，来提高自动柜员机的安全性。
[0082]通过CA中心下发CA根证书、ATMP证书和安全机芯证书，并下载到ATMP和ATM安全机芯中，进行密钥交换，实现认证与加解密、完整性保护以及防重放攻击保护。
[0083]本发明的基于安全机芯的存取款安全控制方法及系统，其核心在于，在存取款机芯中布放安全芯片,置于自动柜员机的保险柜内。机芯安全芯片简称安全机芯，安全机芯与自助柜员机前置系统(ATMP)进行通讯，通过证书下发、密钥交换，实现安全机芯与自助柜员机前置系统的安全通信，ATMP(自助柜员机前置系统)授权机芯出钞，同时对存款金额校验。本发明通过安全机芯与ATMP的安全通信，对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，ATMP授权机芯出钞，检验存款金额，克服了原有存取款模块及通讯系统所具有的缺点，存取款操作由无控制变成了具有安全控制，对发出的指令进行有效认证，对发出的消息进行加密以及身份验证，防篡改，防重放攻击保护，提高了自动柜员机的安全性。
[0084]采用本发明，原有的黑客手段不再具有攻击效果，同时通过该方法能有效的防止因为银行管理上的漏洞造成的监守自盗的安全事故。同时通过一系列的认证与加解密，完整性保护，防重放攻击保护等，确保了现有的黑客手段无法使ATM出钞模块在非法情况下进行吐钞，对存款模块进行了防重放实现了对ATM的一个立体的安全防护，满足了工作在“一线”的ATM设备的安全需求，满足了银行甚至国家对金融信息安全的需要。

【专利附图】

【附图说明】
[0085]图1为现有取款模块系统架构图；
[0086]图2为现有存款模块系统架构图；
[0087]图3为本发明取款模块系统架构图；
[0088]图4为本发明存款模块系统架构图；
[0089]图5为ATM安全机芯与ATMP交换密钥的流程图；
[0090]图6为取款流程图；
[0091]图7为存款流程图。

【具体实施方式】
[0092]以下将结合附图和具体实施例对本发明做进一步详细说明:
[0093]实施例1:
[0094]如图1-5，一种机芯立体安全控制系统，包括依次连接的ATM、ATMP和银行系统，所述的ATMP为自助柜员机前置系统，其特征在于，在ATM中布放安全机芯，所述的安全机芯为机芯安全芯片；ATM中的安全机芯和ATMP中有证书授权中心CA下发的安全证书；安全机芯与自助柜员机前置系统(ATMP)通过证书下发和密钥交换实现安全通信，从而对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，验证成功后，若为取款操作，则由ATMP授权ATM出钞；若为存款操作，则ATMP对存款金额进行校验，然后上报到银行系统。【具体为银行系统的银行账务系统】。
[0095]所述的密钥交换包括步骤:
[0096](I)安全机芯上电后，ATM安全机芯发起随机数请求【随机数防重放】，包括以下步骤:
[0097]I) ATM安全机芯向ATMP发起8字节随机数请求；
[0098]2) ATMP调用加密机产生8字节随机数RND ；
[0099]3) ATMP将随机数RND发给ATM安全机芯；
[0100](2) ATM安全机芯接收随机数后，上送证书与签名，包括以下步骤:
[0101]DATM安全机芯存储随机数RND，对随机数签名，得到SigSKATMSM(RND)；
[0102]2) ATM安全机芯上送机芯证书Cert ATMSM与签名Sig SKATMSM(RND)给ATM上的自助柜员端控制系统ATMC ；
[0103]3) ATMC把机芯证书Cert ATMSM、随机数签名SigSKATMSM(RND)组包到48域，发送给 ATMP ；
[0104](3)ATMP收到安全机芯的证书与签名后【签名可以防抵赖】，按以下步骤响应:
[0105]DATMP调用加密机用CA根证书验签机芯证书的有效性；
[0106]2)证书验证成功后，ATMP调用加密机保存安全机芯的公钥，对机芯的签名、加密机内存储的随机数进行验签；
[0107]3)验证机芯合法身份后，ATMP从加密机读取ATMP证书CertATMP，并调用加密机对随机数RND签名，得到SigSKATMP (RND)；
[0108]4) ATMP 将证书 CertATMP 和签名 SigSKATMP (RND)组包到 48 域，发给 ATMC ；
[0109]5) ATMC解包，发给安全机芯；
[0110](4) ATM安全机芯收到ATMP的证书与签名后，按以下步骤响应:
[0111]I)安全机芯用CA根证书验签ATMP证书CertATMP的有效性；
[0112]2)证书验证成功后，安全机芯保存ATMP的公钥，对ATMP的签名SigSKATMP (RND)、安全机芯内存储的随机数进行验签，验证ATMP的合法身份；
[0113](5)安全机芯在验证完ATMP身份信息无误，公钥交换成功前提下，发起“签到”交易，安全机芯将签到的请求信息发送到ATMP，签到的请求信息包括终端的终端号、IP地址、ATMC版本号以及密钥类型(DES、3DES、SM4)；
[0114](6)ATMP收到签到请求后，ATMP对请求信息进行检验，检验成功后,在加密机中产生会话密钥，同时在加密机中用机芯公钥对会话密钥进行加密；并下发签到响应报文到安全机芯；签到响应报文包括工作密钥、会话密钥、终端检验时间和ATMP版本号。
[0115]取款流程为:
[0116]I)取款请求:持卡人发起取款请求,ATMC组织持卡人信息并从安全机芯获取到随机数后发送给ATMP ；
[0117]2)基于秘钥交换过程，ATMP得到取款交易后台即银行系统的授权;ATMP用会话密钥加密金额I RND (I表示连接符，连接两个字符串)同时把ATMC请款金额、会话密钥加密过的金额I RND、ATMP返回的响应码发给ATM端；
[0118]3)如果ATMP返回的响应码为“00 “，表示请款交易成功，安全机芯解密金额I RND的密文，得到授权金额，同时授权金额与请款金额作比对；比对正确，机芯执行出钞动作，若不正确，机芯上报错误信息给ATMC，ATMC根据错误信息组织金额冲正信息，进行冲正交易【冲正是金融领域用来确保交易的完整性而设立的交易。通常只对持卡人账户余额发生变化的原始交易才设置冲正交易，把错误的记账冲销。】。
[0119]存款流程为:
[0120]I)存款者在ATM机启动存款操作后【即在人机界面上选择存款后】，ATMC向ATMP申请随机数；
[0121]2) ATMP响应本次存款所需要的随机数；
[0122]3)ATMC收到随机数以后，驱动设备进入放钞模式，安全机芯每收到一个放钞过程，都会把放钞明细明文及放钞明细I随机数组合的密文传给ATMC，ATMC直接用明文作为回显信息给用户，把密文则在存款交易中传给ATMP ；
[0123]4) ATMC组织信息发起本次存款请求；
[0124]5)与ATMP相连同一安全体系内的加密机解密存款明细I随机数；
[0125]6)ATMP验证随机数正确后，根据存款明细计算存款金额，若存款金额与上送金额一致，ATMP组包发给银行系统，完成存款；若不一致，ATMP通知ATMC，存款失败。
[0126]—种机芯立体安全控制方法,通过在ATM中布放安全机芯以及基于证书和秘钥实现安全控制；
[0127]所述的安全机芯为机芯安全芯片；ATM中的安全机芯和ATMP中有证书授权中心CA下发的安全证书；安全机芯与自助柜员机前置系统(ATMP)通过证书下发和密钥交换实现安全通信，从而对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，验证成功后，若为取款操作，则由ATMP授权ATM出钞；若为存款操作，则ATMP对存款金额进行校验，然后上报到银行系统。
[0128]所述的密钥交换包括步骤:
[0129](I)安全机芯上电后，ATM安全机芯发起随机数请求【随机数防重放】，包括以下步骤:
[0130]I) ATM安全机芯向ATMP发起8字节随机数请求；
[0131]2) ATMP调用加密机产生8字节随机数RND ；
[0132]3) ATMP将随机数RND发给ATM安全机芯；
[0133](2) ATM安全机芯接收随机数后，上送证书与签名，包括以下步骤:
[0134]I) ATM安全机芯存储随机数RND，对随机数签名，得到SigSKATMSM (RND)；
[0135]2) ATM安全机芯上送机芯证书Cert ATMSM与签名Sig SKATMSM(RND)给ATM上的自助柜员端控制系统ATMC ；
[0136]3) ATMC把机芯证书Cert ATMSM、随机数签名SigSKATMSM (RND)组包到48域，发送给 ATMP ；
[0137](3)ATMP收到安全机芯的证书与签名后【签名可以防抵赖】，按以下步骤响应:
[0138]DATMP调用加密机用CA根证书验签机芯证书的有效性；
[0139]2)证书验证成功后，ATMP调用加密机保存安全机芯的公钥，对机芯的签名、加密机内存储的随机数进行验签；
[0140]3)验证机芯合法身份后，ATMP从加密机读取ATMP证书CertATMP，并调用加密机对随机数RND签名，得到SigSKATMP (RND)；
[0141 ] 4) ATMP 将证书 CertATMP 和签名 SigSKATMP (RND)组包到 48 域，发给 ATMC ；
[0142]5) ATMC解包，发给安全机芯；
[0143](4) ATM安全机芯收到ATMP的证书与签名后，按以下步骤响应:
[0144]I)安全机芯用CA根证书验签ATMP证书CertATMP的有效性；
[0145]2)证书验证成功后，安全机芯保存ATMP的公钥，对ATMP的签名SigSKATMP (RND)、安全机芯内存储的随机数进行验签，验证ATMP的合法身份；
[0146](5)安全机芯在验证完ATMP身份信息无误，公钥交换成功前提下，发起“签到”交易，安全机芯将签到的请求信息发送到ATMP，签到的请求信息包括终端的终端号、IP地址、ATMC版本号以及密钥类型(DES、3DES、SM4)；
[0147](6)ATMP收到签到请求后，ATMP对请求信息进行检验，检验成功后,在加密机中产生会话密钥，同时在加密机中用机芯公钥对会话密钥进行加密；并下发签到响应报文到安全机芯；签到响应报文包括工作密钥、会话密钥、终端检验时间和ATMP版本号。
[0148]取款流程为:
[0149]I)取款请求:持卡人发起取款请求,ATMC组织持卡人信息并从安全机芯获取到随机数后发送给ATMP ；
[0150]2)基于秘钥交换过程，ATMP得到取款交易后台即银行系统的授权；ATMP用会话密钥加密金额I RND (I表示连接符，连接两个字符串)同时把ATMC请款金额、会话密钥加密过的金额I RND、ATMP返回的响应码发给ATM端；
[0151]3)如果ATMP返回的响应码为“00 “，表示请款交易成功，安全机芯解密金额I RND的密文，得到授权金额，同时授权金额与请款金额作比对；比对正确，机芯执行出钞动作，若不正确，机芯上报错误信息给ATMC，ATMC根据错误信息组织金额冲正信息，进行冲正交易【冲正是金融领域用来确保交易的完整性而设立的交易。通常只对持卡人账户余额发生变化的原始交易才设置冲正交易，把错误的记账冲销。】。
[0152]存款流程为:
[0153]I)存款者在ATM机启动存款操作后【即在人机界面上选择存款后】，ATMC向ATMP申请随机数；
[0154]2) ATMP响应本次存款所需要的随机数；
[0155]3)ATMC收到随机数以后，驱动设备进入放钞模式，安全机芯每收到一个放钞过程，都会把放钞明细明文及放钞明细I随机数组合的密文传给ATMC，ATMC直接用明文作为回显信息给用户，把密文则在存款交易中传给ATMP ；
[0156]4) ATMC组织信息发起本次存款请求；
[0157]5)与ATMP相连同一安全体系内的加密机解密存款明细I随机数；
[0158]6)ATMP验证随机数正确后，根据存款明细计算存款金额，若存款金额与上送金额一致，ATMP组包发给银行系统，完成存款；若不一致，ATMP通知ATMC，存款失败。
[0159]如图3，4所示，在存取款机芯中添加安全芯片，包含安全芯片的存取款机芯简称安全机芯，置于ATM中的保险柜内。安全机芯与ATMP(自助柜员机前置系统)进行通讯，通过CA中心【证书授权中心(Certificate Authority),或称证书授权机构】下发证书、密钥交换，实现安全机芯与ATMP的安全通信，ATMP授权机芯出钞，ATMP对存款金额校验上报，通过ATMP授权的出钞与存款上送方式来保障安全通道。
[0160]安全机芯用于存储密钥，通过安全机芯与ATMP进行安全数据传输，确保对存取款模块的安全进行控制。
[0161]CA中心下发证书及银行专员下载ATMP证书的步骤:
[0162](I)在银行安全环境中，ATMP生成公私钥对PKATMP(自助柜员机前置系统公钥)/SKATMP(自助柜员机前置系统私钥)，上传公钥；
[0163](2)银行专员通过银行的RA(证书注册审批机构)(registrat1n authority)上传ATMP(自助柜员机前置系统)生成证书的请求文件；
[0164](3)银行CA(证书授权中心)生成ATMP(自助柜员机前置系统)证书，并将ATMP证书与CA根证书下发给银行专员；
[0165](4)银行专员将CA根证书、ATMP证书下载到ATMP。
[0166]CA下发证书及银行专员下载安全机芯证书的步骤如下:
[0167](I)在银行安全环境中，ATM安全机芯生成公私钥对PKATMSM(自助柜员机安全机芯公钥)/SKATMSM(自助柜员机安全机芯私钥)，上传公钥；
[0168](2)银行专员通过银行的RA上传安全机芯生成证书的请求文件；
[0169](3)银行CA生成安全机芯证书，并将安全机芯证书与CA根证书下发给银行专员；
[0170](4)银行专员将CA根证书、安全机芯证书下载到ATM安全机芯中。
[0171]文中的ATMC是ATM设备控制系统，指ATM上的应用软件。
[0172]根据图6，说明取款流程实例实现的具体步骤:
[0173]1、取款请求:持卡人发起取款请求，ATMC(自助柜员端控制系统)组织持卡人信息，同时从安全机芯获取到随机数。ATMC组织好所有信息后发送给ATMP (自助柜员机前置系统)；
[0174]2、通过图6中的2，3，4步序，ATMP得到取款交易后台授权。ATMP用会话密钥加密金额IRND (随机数)同时把授权信息发给ATM端；
[0175]3、安全机芯解密金额Irnd的密文，同时再与rnd与金额作比对。比对正确，机芯动作出钞，不正确机芯上报错误信息给ATMC，ATMC根据错误信息组织金额冲正信息。
[0176]根据图7，说明存款流程实例实现的具体步骤:
[0177]1、存款者进行存款状态后，ATMC向ATMP申请随机数；
[0178]2、ATMP响应本次存款所需要的随机数；
[0179]3、安全机芯每收到一个放钞过程，都会把放钞明细明文及放钞明细I随机数组合的密文传给ATMC，ATMC直接用明文作为回显信息给用户，把密文则在存款交易中传给ATMP ；
[0180]4、ATMC组织信息发起本次存款请求；
[0181]5、加密机解密存款明细I随机数；
[0182]6、ATMP验证随机数正确后，根据存款明细计算存款金额。存款金额与上送金额一致，ATMP组包发给银行系统【后台】。若不一致，ATMP通知ATMC，存款失败。
[0183]以上所述是本发明的优选实施方式而已，当然不能以此来限定本发明之权利范围，应当指出，对于本【技术领域】的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和变动，这些改进和变动也视为本发明的保护范围。
【权利要求】
1.一种机芯立体安全控制系统，包括依次连接的ATM、ATMP和银行系统，所述的ATMP为自助柜员机前置系统，其特征在于，在ATM中布放安全机芯，所述的安全机芯为机芯安全芯片；ATM中的安全机芯和ATMP中有证书授权中心CA下发的安全证书；安全机芯与自助柜员机前置系统(ATMP)通过证书下发和密钥交换实现安全通信，从而对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，验证成功后，若为取款操作，则由ATMP授权ATM出钞；若为存款操作，则ATMP对存款金额进行校验，然后上报到银行系统。
2.根据权利要求1所述的机芯立体安全控制系统，其特征在于，所述的密钥交换包括步骤: (1)安全机芯上电后，ATM安全机芯发起随机数请求，包括以下步骤: DATM安全机芯向ATMP发起8字节随机数请求； 2)ATMP调用加密机产生8字节随机数RND ； 3)ATMP将随机数RND发给ATM安全机芯； (2)ATM安全机芯接收随机数后，上送证书与签名，包括以下步骤: 1)ATM安全机芯存储随机数RND，对随机数签名，得到SigSKATMSM(RND)； 2)ATM安全机芯上送机芯证书Cert ATMSM与签名Sig SKATMSM (RND)给ATM上的自助柜员％5控制系统ATMC ； 3)ATMC把机芯证书Cert ATMSM、随机数签名SigSKATMSM(RND)组包到48域，发送给ATMP ； (3)ATMP收到安全机芯的证书与签名后，按以下步骤响应: DATMP调用加密机用CA根证书验签机芯证书的有效性； 2)证书验证成功后，ATMP调用加密机保存安全机芯的公钥，对机芯的签名、加密机内存储的随机数进行验签； 3)验证机芯合法身份后，ATMP从加密机读取ATMP证书CertATMP，并调用加密机对随机数 RND 签名，得到 SigSKATMP (RND)； 4)ATMP将证书CertATMP和签名SigSKATMP (RND)组包到48域，发给ATMC ； 5)ATMC解包，发给安全机芯； (4)ATM安全机芯收到ATMP的证书与签名后，按以下步骤响应: 1)安全机芯用CA根证书验签ATMP证书CertATMP的有效性； 2)证书验证成功后，安全机芯保存ATMP的公钥，对ATMP的签名SigSKATMP(RND)、安全机芯内存储的随机数进行验签，验证ATMP的合法身份； (5)安全机芯在验证完ATMP身份信息无误，公钥交换成功前提下，发起“签到”交易，安全机芯将签到的请求信息发送到ATMP，签到的请求信息包括终端的终端号、IP地址、ATMC版本号以及密钥类型(DES、3DES、SM4)； (6)ATMP收到签到请求后，ATMP对请求信息进行检验，检验成功后，在加密机中产生会话密钥，同时在加密机中用机芯公钥对会话密钥进行加密；并下发签到响应报文到安全机芯；签到响应报文包括工作密钥、会话密钥、终端检验时间和ATMP版本号。
3.根据权利要求2所述的机芯立体安全控制系统，其特征在于，取款流程为: I)取款请求:持卡人发起取款请求，ATMC组织持卡人信息并从安全机芯获取到随机数后发送给ATMP ； 2)基于秘钥交换过程，ATMP得到取款交易后台即银行系统的授权;ATMP用会话密钥加密金额RND同时把ATMC请款金额、会话密钥加密过的金额RND、ATMP返回的响应码发给ATM端; 3)如果ATMP返回的响应码为“00“，表示请款交易成功，安全机芯解密金额RND的密文，得到授权金额，同时授权金额与请款金额作比对；比对正确，机芯执行出钞动作，若不正确，机芯上报错误信息给ATMC，ATMC根据错误信息组织金额冲正信息，进行冲正交易。
4.根据根据权利要求2所述的机芯立体安全控制系统，其特征在于，存款流程为: 1)存款者在ATM机启动存款操作后【即在人机界面上选择存款后】，ATMC向ATMP申请随机数； 2)ATMP响应本次存款所需要的随机数； 3)ATMC收到随机数以后，驱动设备进入放钞模式，安全机芯每收到一个放钞过程，都会把放钞明细明文及放钞明细随机数组合的密文传给ATMC，ATMC直接用明文作为回显信息给用户，把密文则在存款交易中传给ATMP ； 4)ATMC组织信息发起本次存款请求； 5)与ATMP相连同一安全体系内的加密机解密存款明细随机数； 6)ATMP验证随机数正确后，根据存款明细计算存款金额，若存款金额与上送金额一致，ATMP组包发给银行系统，完成存款；若不一致，ATMP通知ATMC，存款失败。
5.—种机芯立体安全控制方法,其特征在于,通过在ATM中布放安全机芯以及基于证书和秘钥实现安全控制； 所述的安全机芯为机芯安全芯片；ATM中的安全机芯和ATMP中有证书授权中心CA下发的安全证书；安全机芯与自助柜员机前置系统(ATMP)通过证书下发和密钥交换实现安全通信，从而对身份进行认证，对发出的指令进行合法验证，对发出的消息进行加密，验证成功后，若为取款操作，则由ATMP授权ATM出钞；若为存款操作，则ATMP对存款金额进行校验，然后上报到银行系统。
6.根据权利要求5所述的机芯立体安全控制方法，其特征在于，所述的密钥交换包括步骤: (1)安全机芯上电后，ATM安全机芯发起随机数请求，包括以下步骤: DATM安全机芯向ATMP发起8字节随机数请求； 2)ATMP调用加密机产生8字节随机数RND ； 3)ATMP将随机数RND发给ATM安全机芯； (2)ATM安全机芯接收随机数后，上送证书与签名，包括以下步骤: 1)ATM安全机芯存储随机数RND，对随机数签名，得到SigSKATMSM (RND)； 2)ATM安全机芯上送机芯证书Cert ATMSM与签名Sig SKATMSM (RND)给ATM上的自助柜员％5控制系统ATMC ； 3)ATMC把机芯证书Cert ATMSM、随机数签名SigSKATMSM(RND)组包到48域，发送给ATMP ； (3)ATMP收到安全机芯的证书与签名后，按以下步骤响应: DATMP调用加密机用CA根证书验签机芯证书的有效性； 2)证书验证成功后，ATMP调用加密机保存安全机芯的公钥，对机芯的签名、加密机内存储的随机数进行验签； 3)验证机芯合法身份后，ATMP从加密机读取ATMP证书CertATMP，并调用加密机对随机数 RND 签名，得到 SigSKATMP (RND)； 4)ATMP将证书CertATMP和签名SigSKATMP (RND)组包到48域，发给ATMC ； 5)ATMC解包，发给安全机芯； (4)ATM安全机芯收到ATMP的证书与签名后，按以下步骤响应: 1)安全机芯用CA根证书验签ATMP证书CertATMP的有效性； 2)证书验证成功后，安全机芯保存ATMP的公钥，对ATMP的签名SigSKATMP(RND)、安全机芯内存储的随机数进行验签，验证ATMP的合法身份； (5)安全机芯在验证完ATMP身份信息无误，公钥交换成功前提下，发起“签到”交易，安全机芯将签到的请求信息发送到ATMP，签到的请求信息包括终端的终端号、IP地址、ATMC版本号以及密钥类型(DES、3DES、SM4)； (6)ATMP收到签到请求后，ATMP对请求信息进行检验，检验成功后，在加密机中产生会话密钥，同时在加密机中用机芯公钥对会话密钥进行加密；并下发签到响应报文到安全机芯；签到响应报文包括工作密钥、会话密钥、终端检验时间和ATMP版本号。
7.根据权利要求6所述的机芯立体安全控制方法，其特征在于，取款流程为: 1)取款请求:持卡人发起取款请求，ATMC组织持卡人信息并从安全机芯获取到随机数后发送给ATMP ； 2)基于秘钥交换过程，ATMP得到取款交易后台即银行系统的授权;ATMP用会话密钥加密金额RND (表示连接符，连接两个字符串)同时把ATMC请款金额、会话密钥加密过的金额RND、ATMP返回的响应码发给ATM端； 3)如果ATMP返回的响应码为“00“，表示请款交易成功，安全机芯解密金额RND的密文，得到授权金额，同时授权金额与请款金额作比对；比对正确，机芯执行出钞动作，若不正确，机芯上报错误信息给ATMC，ATMC根据错误信息组织金额冲正信息，进行冲正交易。
8.根据根据权利要求2所述的机芯立体安全控制方法，其特征在于，存款流程为: 1)存款者在ATM机启动存款操作后【即在人机界面上选择存款后】，ATMC向ATMP申请随机数； 2)ATMP响应本次存款所需要的随机数； 3)ATMC收到随机数以后，驱动设备进入放钞模式，安全机芯每收到一个放钞过程，都会把放钞明细明文及放钞明细随机数组合的密文传给ATMC，ATMC直接用明文作为回显信息给用户，把密文则在存款交易中传给ATMP ； 4)ATMC组织信息发起本次存款请求； 5)与ATMP相连同一安全体系内的加密机解密存款明细随机数； 6)ATMP验证随机数正确后，根据存款明细计算存款金额，若存款金额与上送金额一致，ATMP组包发给银行系统，完成存款；若不一致，ATMP通知ATMC，存款失败。
【文档编号】G07F19/00GK104408834SQ201410734732
【公开日】2015年3月11日 申请日期:2014年12月5日 优先权日:2014年12月5日
【发明者】陶圣清, 吴刚武, 周泽, 杜妙 申请人:湖南长城信息金融设备有限责任公司, 长城信息产业股份有限公司