密码键盘原理及HTML5应用.docxVIP

密码键盘原理与HTML5应用随着银行卡的普及，密码键盘的使用频率越来越高，同时密码键盘也遭到各种攻击如通过窃听、流量分析的方法窃取密码键盘的敏感信息；通过恶意篡改、插入、删除、重放破坏设备通信的完整性，这些攻击都严重威胁到了银行和卡用户的信息安全。因此密码键盘的高安全性对银行及卡用户都至关重要，本文对密码键盘安全认证、加密原理等进行了详细的阐述。 在2000年前，一直使用的是明文键盘，所有的密码数据都是明文传送至工控主板进行加密的，明文数据传输过程不安全且工控主板容易被攻破使得密码的安全性大大降低。随着技术的发展，由美国国家标准局制定的DES加密应用到了密码键盘上，此时密码键盘才真正拥有了加密功能。DES全称为Data Encryption Standard，即数据加密标准，是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），随后在国际上广泛流传开来才用到密码键盘上，因此也称之为“国际算法”。支付卡行业 (PCI) 安全标准委员会，对密码键盘的安全要求有了明确标准即PCI认证标准，PCI全称Payment Card Industry认证，是目前全球最严格、级别最高的金融机具安全认证标准。在此之前，该标准为VISA认证，2006年后，世界5大支付机构（American Express, Discover Financial Services, JCB International, MasterCard Worldwide, and Visa Inc）联名成立了PCI 安全委员会，主要负责数据安全标准、支付应用数据安全标准及密码传输安全标准的制定等工作。PCI组织要求，从2005年10月起，新POS机的PED（密码输入设备）必须通过产品安全认证；从2010年7月起，在网络中使用的全部PIN输入设备必须通过认证。 PCI认证从金融机具的物理安全性、逻辑安全性、联机安全性、脱机安全性、生产期间的设备安全管理、初始密钥注入前的设备安全管理等六个方面进行严格细致的检测，保证支付卡的设备安全。PCI认证分PCI 1.X（1.0/1.1/1.2）；PCI 2.X(2.1)（多了移机自毁功能，安全性能更高，2011年3月停止接受2.x认证）；PCI3.X (3.0/3.1）；PCI4.X (4.0/4.1）(4.1为目前PCI组织公布的最高认证标准)。通过认证的产品PCI SSC会给它出具一份通过了PCI认证证书，并且会把通过了PCI认证的相关厂家产品名单公布在PCI SSC官网上，可在其官网进行查证。 中国银联参照其标准，于是又有了中国的PIN(Personal Identification Number)输入设备安全要求，PIN是指个人标识码，在金融行业，一般就是指个人密码。目前国际通用的加密算法有DES，TDES，AES，RSA，ECC等，中国为了国家安全，推出了自己的国密算法，主要是SM2，SM3，SM4算法等等。 目前所用密码键盘主要可分为两类，一、全键盘，可参考证通电子的密码键盘ZT599（下图所示）及ZT938（多功能键盘）；二是数字键盘（下图所示ZT598、ZT921），使用的密码键盘多为数字键盘。同时从材质上也分为两大类：金属键盘（图中所示ZT599与ZT598）与非金属键盘（ZT921）。金属密码键盘多用于银行ATM机等自助设备中，键盘一般嵌入设备中使用，通过坚固的金属材质及一系列特制的技术手段来达到防尘、防暴、防钻、防撬、防拆等特性。非金属键盘主要用于POS机等需要输入密码的金融设备上配套使用，处于室内环境，其外部材料要求没有金属密码键盘高。ZT921.jpg (18.73 KiB) 查看 41 次ZT921ZT599.png (141.92 KiB) 查看 41 次ZT599?ZT598.png (209.81 KiB) 查看 41 次ZT598?本文以证通电子的金属密码键盘为例来讲述密码键盘的工作原理,先对密钥相关知识进行简要介绍。密钥：密钥的本质是一种算法参数，它是在将明文数据转换成密文数据或将密文数据转换成明文数据的算法过程中的一个处理参数。明文：指在加/解密过程中，没有经过处理的原始数据。密文：指原始数据经过特殊处理之后，得到的一种与原始数据对应的新数据。加密：指将明文数据转换成为密文数据的过程。解密：指将密文数据转换成为明文数据的过程。根密钥：用于处理主密钥的密钥。根密钥只能是通过专用密钥POS下载。密钥POS：俗称母POS，用于存储、传输密钥的一种专用设备。PinBlock:卡号与密码经预处理后进行异或，通过DES加密后的密文数据块一般称为PinBlock。 密钥的下载可分为工作密钥和主密钥的下载。工作密钥是用于处理用户数据、交易数