【技术实现步骤摘要】
本专利技术涉及电子支付领域,尤其涉及一种设备端的密钥下载方法、管理方法、下载管理方法及装置和系统。
技术介绍
银行卡(BANK Card)作为支付工具 越来越普及,通常的银行卡支付系统包括销售点终端(Point Of Sale, P0S)、终端管理系统(Terminal ManageSystem, TMS)、密码键盘(PIN PAD)和硬件加密机(Hardware and Security Module, HSM)。其中 POS 终端能够接受银行卡信息,具有通讯功能,并接受柜员的指令完成金融交易信息和有关信息交换的设备;TMS系统对POS终端进行集中管理,包括参数下载,密钥下载,接受、处理或转发POS终端的交易请求,并向POS终端回送交易结果信息,是集中管理和交易处理的系统;密码键盘(PIN PAD)是对各种金融交易相关的密钥进行安全存储保护,以及对PIN进行加密保护的安全设备;硬件加密机(HSM)是对传输数据进行加密的外围硬件设备,用于PIN的加密和解密、验证报文和文件来源的正确性以及存储密钥。个人标识码(Personal I dent i f i cat i onNumber, PIN),即个人密码,是在联机交易中识别持卡人身份合法性的数据信息,在计算机和网络系统中任何环节都不允许以明文的方式出现;终端主密钥(Terminal Master Key,TMK),POS终端工作时,对工作密钥进行加密的主密钥,保存在系统硬件中,只能使用,不能读取;P0S终端广泛应用于银行卡支付场合,比如厂商购物、酒店住宿等,是一种不可或缺的现代化支付手段,已经融入人们生活 ...
【技术保护点】
一种密钥下载方法,其特征在于,包括:设备端发送设备序列号DSN和设备身份鉴别请求至RKS服务器;设备端接收RKS服务器发送的工作证书公钥RKS_WCRT_PK和AT_TK1密文,所述AT_TK1密文由设备身份鉴别公钥DIK_PK加密鉴别令牌AT和第一传输密钥分量TK1得到;设备端使用根公钥证书RKS_RCRT校验RKS_WCRT_PK的数字签名是否合法,如果合法,则使用设备身份鉴别私钥DIK_SK解密AT_TK1密文得到AT和TK1明文,所述DIK_PK和DIK_SK是非对称密钥对;设备端产生第三随机数作为第二传输密钥分量TK2,将TK1和TK2异或得到传输密钥TK,计算TK的SHA256校验值得到TK_SHA2;设备端使用RKS_WCRT_PK加密AT、TK2和TK_SHA2得到AT_TK2_TK_SHA2密文并将AT_TK2_TK_SHA2密文发送至RKS服务器;设备端接收RKS服务器发送的密钥密文,所述密钥密文由TK加密需要下载的密钥得到;设备端使用TK解密密钥密文得到密钥明文,将密钥保存至安全模块;设备端判断密钥下载是否完成,如果下载完成,清除AT、TK及RKS_WCRT_PK ...
【技术特征摘要】
1.一种密钥下载方法,其特征在于,包括: 设备端发送设备序列号DSN和设备身份鉴别请求至RKS服务器; 设备端接收RKS服务器发送的工作证书公钥RKS_WCRT_PK和AT_TK1密文,所述AT_TK1密文由设备身份鉴别公钥DIK_PK加密鉴别令牌AT和第一传输密钥分量TKl得到; 设备端使用根公钥证书RKS_RCRT校验RKS_WCRT_PK的数字签名是否合法,如果合法,则使用设备身份鉴别私钥DIK_SK解密AT_TK1密文得到AT和TKl明文,所述DIK_PK和DIK_SK是非对称密钥对; 设备端产生第三随机数作为第二传输密钥分量TK2,将TKl和TK2异或得到传输密钥TK,计算TK的SHA256校验值得到TK_SHA2 ; 设备端使用RKS_WCRT_PK加密AT、TK2和TK_SHA2得到AT_TK2_TK_SHA2密文并将AT_TK2_TK_SHA2密文发送至RKS服务器; 设备端接收RKS服务器发送的密钥密文,所述密钥密文由TK加密需要下载的密钥得到; 设备端使用TK解密密钥密文得到密钥明文,将密钥保存至安全模块; 设备端判断密钥下载是否完成,如果下载完成,清除AT、TK及RKS_WCRT_PK。2.一种密钥管理方法,其特征在于,包括: RKS服务器接收至少 一个设备端发送的设备序列号DSN和设备身份鉴别请求; RKS服务器以DSN为索引从设备身份鉴别公钥数据库读取相应的设备身份鉴别公钥DIK_PK ; RKS服务器产生24字节第一随机数作为鉴别令牌AT,并产生第二随机数作为第一传输密钥分量TKl ; RKS服务器使用DIK_PK加密AT和TKl得到AT_TK1密文; RKS服务器将工作证书公钥RKS_WCRT_PK和AT_TK1密文发送至设备端; RKS服务器接收设备端发送的AT_TK2_TK_SHA2密文,所述AT_TK2_TK_SHA2密文由RKS_WCRT_PK加密AT、第二传输密钥分量TK2和TK_SHA2得到,所述TK_SHA2是传输密钥TK的SHA256校验值,所述TK由TKl和TK2异或得到; RKS服务器使用工作证书私钥RKS_WCRT_SK解密AT_TK2_TK_SHA2密文得到AT、TK2和TK_SHA2明文,所述RKS_WCRT_PK和RKS_WCRT_SK是非对称密钥对; RKS服务器判断收到的AT与发送的AT是否相等,如果相等,将TKl和TK2异或得到TK,计算TK的SHA256校验值得到TK_256 ; RKS服务器判断ΤΚ_256与接收到的TK_SHA2是否相等,如果相等,使用TK加密需要下载的密钥得到密钥密文; RKS服务器将密钥密文发送至设备端; RKS服务器清除AT、TK,完成密钥下载流程。3.—种密钥下载管理方法,其特征在于,包括: 设备端发送设备序列号DSN和设备身份鉴别请求至RKS服务器; RKS服务器以DSN为索引从设备身份鉴别公钥数据库读取相应的设备身份鉴别公钥DIK_PK ; RKS服务器产生24字节第一随机数作为鉴别令牌AT,并产生第二随机数作为第一传输密钥分量TKl ; RKS服务器使用DIK_PK加密AT和TKl得到AT_TK1密文; RKS服务器将工作证书公钥RKS_WCRT_PK和AT_TK1密文发送至设备端; 设备端使用根公钥证书RKS_RCRT校验RKS_WCRT_PK的数字签名是否合法,如果合法,则使用设备身份鉴别私钥DIK_SK解密AT_TK1密文得到AT和TKl明文,所述DIK_PK和DIK_SK是非对称密钥对; 设备端产生第三随机数作为第二传输密钥分量TK2,将TKl和TK2异或得到传输密钥TK,计算TK的SHA256校验值得到TK_SHA2 ; 设备端使用RKS_WCRT_PK加密AT、TK2和TK_SHA2得到AT_TK2_TK_SHA2密文并将AT_TK2_TK_SHA2密文发送至RKS服务器; RKS服务器使用工作证书私钥RKS_WCRT_SK解密AT_TK2_TK_SHA2密文得到AT、TK2和TK_SHA2明文,所述RKS_WCRT_PK和RKS_WCRT_SK是非对称密...
【专利技术属性】
技术研发人员:彭荣收,姚承勇,
申请(专利权)人:福建联迪商用设备有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。