基于單片機系統(tǒng)的dukpt密鑰管理系統(tǒng)

1、第37卷第6期2014年12月電子器件ChineseJournalofElectronDevicesVo137No6Dee2014DUKPTKeyManagementSystemBasedonSCMCHENZhangyu(DepartmentofElectronicEngineering；NanjingEngineeringVocationalCollege，Nanjing211135，China)Abstract：Theencrypt

2、ionkeyisthecorebuttheweakestlinkofencryptionsystemTherefore，thekeymanagementplaysanimportantpartinanencryptionsystem，especiallyinthefinancialtransactionencryptionsystemInthispa—per，thesoftwaredesignoftheDUKPTdefinedinANS

3、X924standardisfinishedonthe51singlechipplatform，byusingClanguageThissystemisdesignedtoensurethesecurityoftransactionswithforward—securityAdditionally，thevalidationschemeisdesignedAftercheckingtheoperatingresultswiththest

4、andardtestdatafor1048575times，weconcludethatthedesignedDUKPTkeymanagementsystemrunscorrectlyandisfullycompliantwithANSX924financialstandardsAndthedesignhasaveryimportantpracticalsignificancetotheinformationencryptionofth

5、efinancialtermina1Keywords：DUKPT；SCM；Symmetrickeymanagement；ANSX924EEACC：6120Bdoi：103969／jissn10059490201406034基于單片機的DUKPT密鑰管理系統(tǒng)陳章余(南京工程高等職業(yè)學校電子工程系，南京211135)摘要：密鑰是加密系統(tǒng)中的核心，也是最薄弱的環(huán)節(jié)，密鑰管理在加密系統(tǒng)尤其是金融加密系統(tǒng)中具有極為重要的地位。在51單片機平臺上用

6、C語言完成了符合ANSX924金融標準規(guī)范的DUKPT對稱密鑰管理系統(tǒng)的軟件設計，具有前向安全性，保證了交易的安全。同時設計驗證方案，模擬交易1048575次，將密鑰派生結果與標準測試數(shù)據(jù)比對，數(shù)據(jù)完全正確。結果表明，本設計運行結果完全符合ANSX924金融標準規(guī)范，對于各種金融終端信息加密具有非常重要實用意義。關鍵詞：對稱密鑰管理；DUKPT；8051單片機；ANSX924中圖分類號：TP3682文獻標識碼：A文章編號：1005—94

7、90(2014)06117706隨著電子商務的興起，金融加密安全性越來越受到挑戰(zhàn)與重視。密鑰管理在加密系統(tǒng)尤其是金融交易加密系統(tǒng)中具有極為重要的地位。每筆交易使用不同派生密鑰(DUKPT)是一種非常安全的對稱密鑰管理方式，它基于一次一密的加密思想，具有前向安全性，抵抗針對加密系統(tǒng)的攻擊，主要應用于金融終端加密(如手機銀行、手機刷卡器等新型支付終端)。對于DUKPT密鑰管理系統(tǒng)的理論分析、設計和實現(xiàn)具有非常重要的現(xiàn)實意義。1DUKPT密鑰

8、管理系統(tǒng)DUKPT是一種非常安全的對稱密鑰管理方式，在加密系統(tǒng)中，負責對加密密鑰進行有效的收稿日期：20131105修改日期：20131225管理，能確保信息的安全性。常見的對稱加密標準有3DES~1012]、AES、IDEA等。如圖1所示，DUKPT和對稱加密算法的關系，二者不止是密鑰層面的聯(lián)系，在DUKPT密鑰派生機制中，還用到3DES加密DUKPT密鑰管理系統(tǒng)對稱加密算法明文當前數(shù)據(jù)甲————加密密鑰‘圖1DUKPT與對稱加密算法

9、第6期陳章余：基于單片機的DUKPT密鑰管理系統(tǒng)1179圖4多元有向密鑰樹支點”和“葉”均為派生密鑰。K，K，K，，，K組成密鑰數(shù)第1層，均是IK的子密鑰，IK為其父密鑰，它們距IK的距離D。=D=D=D。=D。=1，表示只需一次F派生運算即可得到。同理，第2層密鑰距離D=2，圖4所示密鑰樹最大層數(shù)為5，表示最大加密周期N=5。密鑰樹的有向性是由派生函數(shù)F的不可逆性決定的。計數(shù)器Counter值的作用是標志密鑰的位置與順序，給定Coun

10、ter值有特定的密鑰與其對應。在Client端，密鑰使用為橫向順序，按照紅色虛線所示，按照Counter值按照00001，00010，OOl1，，11110，11111，順序使用。在Server端，當前交易密鑰的推算為縱向順序，是按照藍色斷續(xù)線所示，按Counter值中“1”bit位由左往右順序，從IK推演，經(jīng)過，。：，K。派生出當前交易密鑰，最大加密周期為N=5，避免了Counter值較大時造成的Server端冗雜運算，使密鑰管理算法

11、實用有效。密鑰的派生按照密鑰樹框架，按Counter最右“l(fā)”bit位所在位置，將派生密鑰存入到將用密鑰寄存器中，在圖4所示密鑰派生系統(tǒng)中，密鑰寄存器R=5組，分別是R、R、R3、R和R。223符合ANSX924的DUKPT密鑰派生機制本文nbit二進制數(shù)表示為(nb)，比如十進制15表示為4bit二進制為(4blll1)；定義函數(shù)Nob(x)，為二進制數(shù)中“1”的個數(shù)，如：=(21bl00110111000001010O1)，則：No

12、b()=9；并且，對于≠0，定義y=x表示將中最低有效‘1’bit位設置為‘0’，比如對于：(21bl0011011101X~1010001)，有Y==(21bl0011011IOOO010100O)，且圖例=y=(21bl00110111000001000000)，三=(21blO01101110000OO00000)。DUKPT加密系統(tǒng)中，2lbit加密寄存器值表示為cnt，它表示為KSN的最右2lbit，在Client與Serve

13、r之間進行傳輸，起到密鑰信息的同步作用。在第次交易中加密計數(shù)器值為cnt=，，則cnt=_『對應的密鑰就在本次交易中被使用。初始化加密密鑰IK為J=0時的密鑰。DUKPT的實質就是建立一種縱向派生密鑰的機制，這種縱向派生機制定義為：對于j#0的第次交易所使用的密鑰，是第次交易密鑰的子密鑰，前者是后者通過派生函數(shù)F生成的一個子密鑰。比如，交易=(21bOO01O00)對應的密鑰有4個子密鑰，分別為l=(21bOO1OO1)，2=(21bO

14、O010010)，3=(21bOO010100)，J4=(21bOO011000)對應的密鑰?？偟膩碚f，對于j#0，有：K=F(K，)(6)至此或許會產(chǎn)生一個疑問，加密計數(shù)器cnt為何為21bit若產(chǎn)生百萬個加密密鑰，只需20bit足夠(因為20bit對應密鑰個數(shù)220—1=1048575)。關鍵問題在于，應用20bit計數(shù)器，交易過程中將用上全部的2加一1個密鑰，這將使最大加密周期變?yōu)棰?20，增加了運行時間和降低了系統(tǒng)運行效率。使用