本发明专利技术涉及POS终端安全技术领域,公开一种POS机密钥灌装方法、装置、设备及存储介质。该方法包括安全环境中获取基础派生密钥及目标POS的设备信息;目标POS接入并获取其生成的临时公私钥及自签名数据;通过基础派生密钥和设备信息派生初始加密密钥并计算其第一关键校验值;基于临时公私钥处理初始加密密钥获得当前加密密钥及其第二关键校验值;在第一和第二关键校验值一致时,通过当前加密密钥和设备信息派生未来密钥;删除当前加密密钥并将未来密钥安装至目标POS。本发明专利技术中母POS使用BDK和KSN派生IPEK,将IPEK通过公钥加密后灌装到目标POS中,灌装完成后删除BDK,保证BDK的安全性且保证密钥安全分发。
【技术实现步骤摘要】
本专利技术涉及pos终端安全,尤其涉及一种pos机密钥灌装方法、装置、设备及存储介质。
技术介绍
1、随着pos终端使用的日益广泛,pos终端的安全涉及到持卡人的财产安全,因此pos终端必须经过安全设计并安全地使用以防止攻击。为了确保每一笔金融交易的安全,防止伪造的pos终端接入收单机构的后台,很多收单机构和pos厂商采用dukpt(derived uniquekeypertransaction)进行密钥管理。
2、dukpt是一种密钥管理方案,旨在提供对称加密密钥的安全生成和管理。它通常用于保护金融交易和其他安全关键的数据传输。bdk(base derivation key)是dukpt密钥体系的根密钥,在金融行业和加密领域中,bdk通常是个16字节(128位)的密钥,用于生成其他密钥,例如pin加密密钥、mac密钥等。bdk作为生成其他密钥的基础,bdk的安全性对整个加密系统至关重要。因此,在pos进行灌装密钥的过程中bdk的安全尤为重要。
3、目前pos终端在生产过程中直接灌装bdk,由于pos终端数量庞大,增加了bdk泄露的风险,如果终端密钥通过人工手动方式输入到每一台终端会耗费大量人力,而且效率低。因此,亟需设计一种安全高效的自动化密钥安装方法,保障安装过程中bdk的安全。
技术实现思路
1、本专利技术的主要目的在于提供一种pos机密钥灌装方法、装置、设备及存储介质,旨在解决现有pos终端灌装密钥的方式存在密钥泄露风险高、灌装效率低等问题。
2、为实现上述目的,本专利技术提供了一种pos机密钥灌装方法,包括:
3、在预设安全环境中,获取基础派生密钥以及目标pos的设备信息;
4、在检测到所述目标pos接入时,获取所述目标pos生成的临时公钥、临时私钥以及自签名数据;
5、通过所述基础派生密钥和所述设备信息派生初始加密密钥,并计算所述初始加密密钥的第一关键校验值;
6、基于所述临时公钥、所述临时私钥对所述初始加密密钥进行处理,以获得当前加密密钥和所述当前加密密钥的第二关键校验值;
7、在所述第一关键校验值和所述第二关键校验值的比较结果为一致时,通过所述当前加密密钥和所述设备信息派生未来密钥;
8、删除所述当前加密密钥并将所述未来密钥安装至所述目标pos。
9、在一些实施例中,所述在预设安全环境中,获取基础派生密钥以及的设备信息,包括:
10、在预设安全环境中,在接收到至少两个输入的基础派生密钥分量时,将所述基础派生密钥分量进行异或,得到基础派生密钥并保存;
11、与目标pos建立连接,以获取所述目标pos的设备信息。
12、在一些实施例中,所述在检测到所述目标pos接入时,获取所述目标pos生成的临时公钥、临时私钥以及自签名数据,包括:
13、在检测到所述目标pos接入时,发起获取临时公钥请求,以使所述目标pos生成临时公钥和临时私钥,并根据所述临时私钥对所述临时公钥进行签名生成自签名数据;
14、接收所述目标pos发送的所述自签名数据。
15、在一些实施例中,所述临时公钥和所述临时私钥为所述目标pos内部生成的公私钥,且所述临时私钥不出现在所述目标pos外部;所述自签名数据的格式为pkcs#10格式。
16、在一些实施例中,所述通过所述基础派生密钥和所述设备信息派生初始加密密钥,并计算所述初始加密密钥的第一关键校验值之前,还包括:
17、获取所述自签名数据中的临时公钥,并通过所述临时公钥对所述自签名数据进行验签;
18、在验签通过时,暂存所述临时公钥,执行所述通过所述基础派生密钥和所述设备信息派生初始加密密钥,并计算所述初始加密密钥的第一关键校验值的步骤。
19、在一些实施例中,所述基于所述临时公钥、所述临时私钥对所述初始加密密钥进行处理,以获得当前加密密钥和所述当前加密密钥的第二关键校验值,包括:
20、根据所述临时公钥对所述初始加密密钥进行加密,以获得加密密钥密文;
21、将所述第一关键校验值和所述加密密钥密文发送至所述目标pos,以使所述目标pos根据所述临时私钥解密所述加密密钥密文得到当前加密密钥;
22、计算所述当前加密密钥的第二关键校验值。
23、在一些实施例中,所述方法还包括:
24、在所述目标pos完成密钥安装后,删除内部存储的基础派生密钥并保存所述目标pos的密钥灌装操作过程日志。
25、此外,为实现上述目的,本专利技术还提出一种pos机密钥灌装装置,包括:
26、获取模块,用于在预设安全环境中,获取基础派生密钥以及目标pos的设备信息;
27、签名模块,用于在检测到所述目标pos接入时,获取所述目标pos生成的临时公钥、临时私钥以及自签名数据;
28、派生模块,用于通过所述基础派生密钥和所述设备信息派生初始加密密钥,并计算所述初始加密密钥的第一关键校验值;
29、加密模块,用于基于所述临时公钥、所述临时私钥对所述初始加密密钥进行处理,以获得当前加密密钥和所述当前加密密钥的第二关键校验值;
30、比较模块,用于在所述第一关键校验值和所述第二关键校验值的比较结果为一致时,通过所述当前加密密钥和所述设备信息派生未来密钥;
31、安装模块,用于删除所述当前加密密钥并将所述未来密钥安装至所述目标pos。
32、此外,为实现上述目的,本专利技术还提出一种电子设备,所述电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的pos机密钥灌装程序,所述pos机密钥灌装程序配置为实现如上文所述的pos机密钥灌装方法。
33、此外,为实现上述目的,本专利技术还提出一种存储介质,所述存储介质存储有pos机密钥灌装程序,所述pos机密钥灌装程序用于使处理器执行时实现如上文所述的pos机密钥灌装方法。
34、本专利技术提供了一种pos机密钥灌装方法,包括:在预设安全环境中,获取基础派生密钥以及目标pos的设备信息;在检测到所述目标pos接入时,获取所述目标pos生成的临时公钥、临时私钥以及自签名数据;通过所述基础派生密钥和所述设备信息派生初始加密密钥,并计算所述初始加密密钥的第一关键校验值;基于所述临时公钥、所述临时私钥对所述初始加密密钥进行处理,以获得当前加密密钥和所述当前加密密钥的第二关键校验值;在所述第一关键校验值和所述第二关键校验值的比较结果为一致时,通过所述当前加密密钥和所述设备信息派生未来密钥;删除所述当前加密密钥并将所述未来密钥安装至所述目标pos。本专利技术中,自动灌装密钥时,母pos使用基础派生密钥bdk和设备信息ksn派生初始加密密钥ipek,将初始加密密钥ipek通过公钥加密后灌装到目标pos的设备中,从而保证了基础派生密钥bdk的安全性且更有效的保证密钥的安全分发,实现了安全高效的自动本文档来自技高网
...
【技术保护点】
1.一种POS机密钥灌装方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述在预设安全环境中,获取基础派生密钥以及的设备信息,包括:
3.如权利要求1所述的方法,其特征在于,所述在检测到所述目标POS接入时,获取所述目标POS生成的临时公钥、临时私钥以及自签名数据,包括:
4.如权利要求3所述的方法,其特征在于,所述临时公钥和所述临时私钥为所述目标POS内部生成的公私钥,且所述临时私钥不出现在所述目标POS外部;所述自签名数据的格式为PKCS#10格式。
5.如权利要求1所述的方法,其特征在于,所述通过所述基础派生密钥和所述设备信息派生初始加密密钥,并计算所述初始加密密钥的第一关键校验值之前,还包括:
6.如权利要求1所述的方法,其特征在于,所述基于所述临时公钥、所述临时私钥对所述初始加密密钥进行处理,以获得当前加密密钥和所述当前加密密钥的第二关键校验值,包括:
7.如权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:
8.一种POS机密钥灌装装置,其特征在于,包括:
9.一种电子设备,其特征在于,所述电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的POS机密钥灌装程序,所述POS机密钥灌装程序配置为实现如权利要求1至7中任一项所述的POS机密钥灌装方法。
10.一种存储介质,其特征在于,所述存储介质存储有POS机密钥灌装程序,所述POS机密钥灌装程序用于使处理器执行时实现如权利要求1至7中任一项所述的POS机密钥灌装方法。
...
【技术特征摘要】
1.一种pos机密钥灌装方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,所述在预设安全环境中,获取基础派生密钥以及的设备信息,包括:
3.如权利要求1所述的方法,其特征在于,所述在检测到所述目标pos接入时,获取所述目标pos生成的临时公钥、临时私钥以及自签名数据,包括:
4.如权利要求3所述的方法,其特征在于,所述临时公钥和所述临时私钥为所述目标pos内部生成的公私钥,且所述临时私钥不出现在所述目标pos外部;所述自签名数据的格式为pkcs#10格式。
5.如权利要求1所述的方法,其特征在于,所述通过所述基础派生密钥和所述设备信息派生初始加密密钥,并计算所述初始加密密钥的第一关键校验值之前,还包括:
6.如权利要求1...
【专利技术属性】
技术研发人员:姜洲,卢义杰,刘军,邱焌,
申请(专利权)人:武汉天喻信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。