【技术实现步骤摘要】
本专利技术涉及pos终端密钥灌装,尤其涉及一种远程密钥灌装方法及系统、pos终端和服务器端。
技术介绍
1、随着电子支付的普及,pos终端被广泛应用于各种商业环境。然而,pos终端的密钥灌装一直是一个难题。传统的密钥灌装方式通常需要人工操作,这不仅增加了操作成本,还可能因为人为错误导致安全问题。
2、pos终端的传统密钥安装方式,通常需使用专门的母pos设备在工厂或维修中心的安全环境下实现集中式本地密钥灌装,人工需要拥有专业的知识操作,操作步骤繁琐且要求具备安全环境,成本较高。另外受地域、条件的限制,需要预先制作母pos,制作母pos又需要特定的软件和固件版本,投入的人力和时间成本较高,因此,需要开发一种远程密钥灌装方法,可以有效地提高操作效率,同时降低操作成本和安全风险。
技术实现思路
1、本专利技术旨在至少解决现有技术中存在的技术问题之一,提出了一种远程密钥灌装方法及系统、pos终端和服务器端,该方法能够通过远程方式为pos终端灌装密钥,提高了操作效率,降低了操作成本和安全风险。
2、本专利技术的技术方案是这样实现的:本专利技术公开了一种远程密钥灌装方法,应用于pos终端,包括:
3、生成公私钥对,包括pos公钥和pos私钥,并生成证书请求,证书请求包含有pos公钥和pos私钥;
4、将证书请求和设备唯一标识码发送给服务器端,以供所述服务器端校验pos终端身份,并使用父级证书sub_ca_krd的私钥对pos公钥进行签名,生成设备
5、接收并存储设备证书;
6、请求绑定并发送设备证书给服务器端,以供服务器端验签设备证书并在验签通过的情况下发送kdh证书给pos终端;
7、接收kdh证书,并使用预置的父级证书sub_ca_krd的公钥验签kdh证书,并在验签通过的情况下保存kdh证书;
8、生成随机数rkrd,发送包含随机数rkrd的令牌rtkrd给服务器端,以供服务器端对获取的密文进行解密,得到密钥kn,以及生成临时对称密钥ke,通过ke加密密钥kn,得到密钥块be,所述服务器端使用pos公钥加密ke得到encryptedkey加密数据,用kdh证书的私钥对包含rkrd和密钥块be的数据块、encryptedkey数据进行签名,构造ktkdh数据,并将ktkdh数据发送给pos终端;
9、接收并解析ktkdh数据,验证kdh签名,解密出包含rkrd和密钥块be的数据块、encryptedkey数据,用pos私钥解密encryptedkey得到ke;用ke解密be得到kn,并将kn灌装到pos终端中。
10、进一步地,构造的ktkdh数据还包括有效的证书回收列表crlca kdh,接收并解析ktkdh数据后以及验证kdh签名前还包括如下步骤:验证crlca kdh,判断kdh证书的序号是否在crlca kdh中,若在,则验签失败。
11、进一步地,验证kdh签名,具体包括:使用kdh证书的公钥对kdh签名进行解密。
12、进一步地,获得密钥kn之后,还包括:计算kn的检查值kcv并上报至服务器端;
13、或/和,
14、验证该密钥kn的有效性,若密钥kn有效,则将该密钥kn灌装到pos终端中。
15、本专利技术还公开了一种pos终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上所述远程密钥灌装方法的步骤。
16、本专利技术还公开了一种远程密钥灌装方法,应用于服务器端,包括:
17、接收pos终端发送的证书请求和设备唯一标识码;
18、校验pos终端身份,并使用父级证书sub_ca_krd的私钥对pos公钥进行签名,生成设备证书,并发送给pos终端;
19、接收并存储pos终端发送的设备证书,验签设备证书,并在验签通过的情况下发送kdh证书给pos终端;
20、接收pos终端发送的包含随机数rkrd的令牌rtkrd;
21、获取密文,对密文进行解密,得到密钥kn;
22、生成临时对称密钥ke,通过ke加密密钥kn,得到密钥块be;
23、使用pos公钥加密ke得到encryptedkey加密数据;
24、用kdh证书的私钥对包含rkrd和密钥块be的数据块、encryptedkey数据进行签名,构造ktkdh数据,并将ktkdh数据发送给pos终端。
25、进一步地,获取密文,具体包括:接收上传的密文kn、解密密钥,然后进行解密得到kn。
26、进一步地,构造ktkdh数据时,按照tr34规范报文格式组装数据。
27、进一步地,本专利技术的远程密钥灌装方法还包括:接收并验证检查值kcv,若检查值kcv正确,则判定pos终端已成功接收kn,所述检查值kcv为pos终端计算密钥kn得到的检查值kcv。
28、本专利技术还公开了一种服务器端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如上所述远程密钥灌装方法的步骤。
29、本专利技术还公开了一种远程密钥灌装系统,包括:
30、pos终端,采用如上所述的pos终端;
31、服务器端,采用如上所述的服务器端。
32、pos终端和服务器端之间通过设定的规则和协议进行通讯。
33、与现有技术相比,本专利技术具有以下有益效果:
34、本专利技术的远程密钥灌装系统包括pos终端和服务器端,服务器端用于生成和存储密钥,将设备证书、kdh证书和密钥,通过协议规范以及密钥验证机制,返回给pos终端,pos终端在接收到密钥后,会先验证该数据的有效性以及安全性,然后通过协议规范解密出明文主密钥,将其灌装到pos机中,并将其计算出的效验值返回给服务器端,以便确认灌装的明文主密钥是否正确。通过远程方式进行密钥灌装,大大提高了操作效率,降低了操作成本,降低了安全风险,解决了智能pos设备需要线下密钥灌装的问题。
35、本专利技术的目的还在于提供一种实现智能pos机远程密钥灌装和更新的设置方法,在无需具备专业知识的情况下通过极其简易的操作即可修改设备的主密钥,解决了目前设备受地域、硬件条件的限制而灌装和更新主密钥困难的问题。
本文档来自技高网...【技术保护点】
1.一种远程密钥灌装方法,应用于POS终端,其特征在于,包括:
2.根据权利要求1所述的远程密钥灌装方法,其特征在于:构造的KTKDH数据还包括有效的证书回收列表CRLCAKDH,接收并解析KTKDH数据后以及验证KDH签名前还包括如下步骤:验证CRLCAKDH,判断KDH证书的序号是否在CRLCAKDH中,若在,则验签失败。
3.根据权利要求1所述的远程密钥灌装方法,其特征在于:验证KDH签名,具体包括:使用KDH证书的公钥对KDH签名进行解密。
4.根据权利要求1所述的远程密钥灌装方法,其特征在于:获得密钥Kn之后,还包括:计算Kn的检查值KCV并上报至服务器端;
5.一种POS终端,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述远程密钥灌装方法的步骤。
6.一种远程密钥灌装方法,应用于服务器端,其特征在于,包括:
7.根据权利要求1或6所述的远程密钥灌装方法,其特征在于:获取密文,具体包括:
8.根据权利要求6所述的远程密钥灌装方法,其特征在于:还包括:接收并验证检查值KCV,若检查值KCV正确,则判定POS终端已成功接收Kn,所述检查值KCV为POS终端计算密钥Kn得到的检查值KCV。
9.一种服务器端,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求6至8任一项所述远程密钥灌装方法的步骤。
10.一种远程密钥灌装系统,其特征在于,包括:
...【技术特征摘要】
1.一种远程密钥灌装方法,应用于pos终端,其特征在于,包括:
2.根据权利要求1所述的远程密钥灌装方法,其特征在于:构造的ktkdh数据还包括有效的证书回收列表crlcakdh,接收并解析ktkdh数据后以及验证kdh签名前还包括如下步骤:验证crlcakdh,判断kdh证书的序号是否在crlcakdh中,若在,则验签失败。
3.根据权利要求1所述的远程密钥灌装方法,其特征在于:验证kdh签名,具体包括:使用kdh证书的公钥对kdh签名进行解密。
4.根据权利要求1所述的远程密钥灌装方法,其特征在于:获得密钥kn之后,还包括:计算kn的检查值kcv并上报至服务器端;
5.一种pos终端,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机...
【专利技术属性】
技术研发人员:姜洲,苏学东,彭涛,聂文龙,
申请(专利权)人:武汉天喻信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。