[发明专利]双向加密验证系统及具有双向加密验证系统的存取款一体机

权利要求书

1.一种双向加密验证系统，其特征在于，所述双向加密验证系统包括：

PC工控主机，其用于运行现金处理模块控制程序；

现金处理模块，其具有双向加密验证功能，所述现金处理模块能够与所述PC工控主机进行数据通信，所述现金处理模块内置有出钞认证模块，所述出钞认证模块包括第一出钞认证模块和第二出钞认证模块，所述第一出钞认证模块连接在所述PC工控主机，所述第二出钞认证模块连接在所述现金处理模块上；以及

密码键盘，其与所述PC工控主机通信连接，所述密码键盘使用的密钥包括工作密钥和MAC密钥，其中，所述工作密钥用于保护用户输入的PIN码，所述MAC密钥用于交易信息的MAC计算；

其中，所述现金处理模块与所述PC工控主机进行数据通信包括如下步骤：

PC工控主机先通过第一USB端口发送生成随机数及其签名的命令给所述现金处理模块；

由所述第二出钞认证模块生成随机数及其签名，返回给所述PC工控主机；

所述第一出钞认证模块使用内置的工作密钥对通讯数据进行加密，并使用内置的MAC密钥，对加密后数据生成MAC码；

所述PC工控主机将从所述第一出钞认证模块获得的加密数据以及校验码，通过所述第一USB端口，发送给所述现金处理模块；

所述第二出钞认证模块使用内置的MAC密钥，首先对所述校验码进行验证，然后使用内置的工作密钥，对所述加密数据进行解密以得到明文命令数据，其中，所述第一出钞认证模块和所述第二出钞认证模块内置的工作密钥和MAC密钥分别为国密SM4工作密钥和国密SM4MAC密钥；

所述现金处理模块对所述命令数据处理结束后，生成应答数据；

所述现金处理模块通过所述第二出钞认证模块对所述应答数据按照约定的规则增加随机数，并使用内置的MAC密钥生成MAC码，附加在所述应答数据之后，并通过所述第一USB发送给所述PC工控主机；

所述PC工控主机收到数据后，将数据通过第二USB端口发送给所述第一出钞认证模块，由所述第一出钞认证模块根据内置的MAC密钥，对接收到的数据生成校验码，然后返回给所述PC工控主机。

2.如权利要求1所述的双向加密验证系统，其特征在于，所述现金处理模块与所述PC工控主机进行数据通信还包括如下步骤：

所述PC工控主机对从所述现金处理模块获得的MAC码和从所述第一出钞认证模块获得的MAC码进行比较；

如果二者相一致，则认为命令执行成功，并进行后续处理；

如果二者不一致，则认为通讯有问题，并进行报错处理。

3.如权利要求1所述的双向加密验证系统，其特征在于，所述密码键盘和银行后台主机分别与所述PC工控主机通信连接，其中，用户通过所述密码键盘输入PIN码，所述PC工控主机通过其上安装的应用程序把用户的账户信息和MAC数据发送给所述密码键盘，所述密码键盘把加密数据和MAC数据的校验码发送给所述应用程序，所述应用程序能够把组好的报文发送给所述银行后台主机进行处理，所述银行后台主机会根据接收到的报文把数据处理的结果返回给所述应用程序。

4.如权利要求3所述的双向加密验证系统，其特征在于，在客户输入PIN码时，所述密码键盘使用工作密钥计算密文PINBLOCK，并且在进行交易通讯时，使用MAC密钥计算其发送或接收到的通讯报文的MAC码，其中，所述密码键盘使用的工作密钥用于保护用户输入的PIN码，当用户在所述密码键盘中输入PIN码时，在把用户的信息通过所述PC工控主机的应用接口送入所述密码键盘，再由所述密码键盘把数据按照一定的规范组合起来形成明文数据，再采用国密SM4算法进行加密，并返回PINBLOCK密文。

5.如权利要求4所述的双向加密验证系统，其特征在于，所述密码键盘使用的MAC密钥用于交易信息的MAC计算，当进行交易时，由应用程序提供交易信息，通过所述PC工控主机的应用接口将所述交易信息送入所述密码键盘，以通过所述密码键盘对所述交易信息进行处理。