一种传输密钥的方法、接收终端及分发终端技术

本发明专利技术涉及数据处理领域，尤其涉及一种传输密钥的方法、接收终端及分发终端。本发明专利技术通过发送第一公钥证书至分发终端，以使所述分发终端验证所述第一公钥证书的有效性；验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果；所述第一验证结果包括证书有效和证书无效；当所述第一验证结果为证书有效时，发送密钥分发请求至所述分发终端；根据所述分发终端发送的响应报文得到特定密钥。实现同时提高传输密钥的便利性和安全性。

Method for transmitting key, receiving terminal and distributing terminal

The invention relates to the field of data processing, in particular to a method for transmitting a key, a receiving terminal and a distribution terminal. The invention verifies the validity of the first public key certificate by sending the first public key certificate to the distribution terminal, verifies the validity of the second public key certificate from the distribution terminal, and obtains the first verification result; the first verification result includes the validity of the certificate and the invalidity of the certificate; and when the first verification is performed When the certificate is valid, a key distribution request is sent to the distribution terminal, and a specific key is obtained from the response message sent by the distribution terminal. At the same time, it improves the convenience and security of transmission keys.

【技术实现步骤摘要】
【国外来华专利技术】一种传输密钥的方法、接收终端及分发终端
本专利技术涉及数据处理领域，尤其涉及一种传输密钥的方法、接收终端及分发终端。
技术介绍
随着电子支付产业的迅速发展，比如银行卡支付、消费卡支付、行业卡支付以及其它借由网络的电子支付技术，以其快捷方便的特点越来越受到人们的欢迎。电子支付系统包括终端设备、收单平台和银行核心系统等组成部分。为了确保支付过程中消费者个人敏感信息的安全性，要求对交易过程中对个人敏感信息进行加密处理，主要通过主密钥/工作密钥(MasterKey/SessionKey,MK/SK)的密钥体系来完成。以POS(PointofSale，POS)的消费交易为例，终端设备保护交易敏感信息的原理如下：在MK/SK密钥体系中，要求POS与收单平台预先同步MK，随后支付交易终端通过签到等有效方式与收单系统同步SK密钥，终端通过SK中的PIK(PINKey)密钥对个人识别码进行加密处理，使用SK中的MAK(MACKey)对交易报文进行MAC运行，以保证交易不被篡改且完整。在MK/SK密钥系统中，需要将一个主密钥MK预先同步到终端设备中。传统上，要求POS在安全房中通过物理连接方式下载MK到设备中，即终端管理员在安全房区域中，通过串口通讯的方式，将密钥母POS中的MK直接下载到子POS中。但是，这种传统的将MK密钥同步至POS终端的方法存在以下几个缺点：缺点1：在安全房中，通过串口通讯方式下载密钥到POS中，要求POS统一送到安全房中，需要大量的人力来完成MK的注入，大大增加了POS设备的运维成本。缺点2：出厂的终端设备应先送往终端密钥管理机构，完成终端密钥注入工作后，再重新发往终端的实际使用方，这对业务开展造成了巨大的开销，包括时间成本和人力成本等，同时减缓了业务扩展的速度。缺点3：由于传统方式中，要求POS在安全房中通过物理方式，直接下载MK到设备中，固MK定期更换的事务运维成本巨大，为节约业务成本，有些客户会略去该事务，而长期而言，这将对POS设备中的MK密钥安全造成威胁。
技术实现思路
本专利技术所要解决的技术问题是：如何同时提高传输密钥的便利性和安全性。为了解决上述技术问题，本专利技术采用的技术方案为：本专利技术提供一种传输密钥的方法，包括：发送第一公钥证书至分发终端，以使所述分发终端验证所述第一公钥证书的有效性；验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果；所述第一验证结果包括证书有效和证书无效；当所述第一验证结果为证书有效时，发送密钥分发请求至所述分发终端；根据所述分发终端发送的响应报文得到特定密钥。本专利技术还提供一种接收终端，包括一个或多个第一处理器及第一存储器，所述第一存储器存储有程序，并且被配置成由所述一个或多个第一处理器执行以下步骤：发送第一公钥证书至分发终端，以使所述分发终端验证所述第一公钥证书的有效性；验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果；所述第一验证结果包括证书有效和证书无效；当所述第一验证结果为证书有效时，发送密钥分发请求至所述分发终端；根据所述分发终端发送的响应报文得到特定密钥。本专利技术另提供一种传输密钥的方法，包括：验证来自接收终端的第一公钥证书的有效性，得到第三验证结果；所述第三验证结果包括证书有效和证书无效；当所述第三验证结果为证书有效时，发送第二公钥证书至所述接收终端，以使所述接收终端验证所述第二公钥证书的有效性；当接收到来自所述接收终端的密钥分发请求时，发送与特定密钥对应的响应报文至所述接收终端。本专利技术再提供一种分发终端，包括一个或多个第二处理器及第二存储器，所述第二存储器存储有程序，并且被配置成由所述一个或多个第二处理器执行以下步骤：验证来自接收终端的第一公钥证书的有效性，得到第三验证结果；所述第三验证结果包括证书有效和证书无效；当所述第三验证结果为证书有效时，发送第二公钥证书至所述接收终端，以使所述接收终端验证所述第二公钥证书的有效性；当接收到来自所述接收终端的密钥分发请求时，发送与特定密钥对应的响应报文至所述接收终端。本专利技术的有益效果在于：本专利技术通过双向认证接收终端和分发终端的有效性，使得特定密钥只会在授权的分发终端和授权的接收终端之间传输，一方面分发终端无法将特定密钥泄露给非授权的终端，提高了特定密钥的安全性，另一方面接收终端只能接收来自授权的分发终端发送的特定密钥，保证了接收终端接收到的特定密钥的有效性。因此，本专利技术提供了一种安全可靠的方式远程分发密钥，既满足传统业务场景中管理终端主密钥MK的安全性，又通过远程自动分发的方法，减少了生产运维的人力成本，同时提高了传输密钥的便利性和安全性。附图说明图1为本专利技术提供的一种传输密钥的方法的具体实施方式的流程框图；图2为本专利技术提供的一种接收终端的具体实施方式的结构框图；图3为本专利技术提供的另一种传输密钥的方法的具体实施方式的流程框图；图4为本专利技术提供的一种分发终端的具体实施方式的结构框图；标号说明：1、第一处理器；2、第一存储器；3、第二处理器；4、第二存储器。具体实施方式本专利技术的关键构思在于：本专利技术通过双向认证和数字签名等安全可靠的方方进行远程分发和接收密钥，同时提高了传输密钥的便利性和安全性。请参照图1至图4，如图1所示，本专利技术提供一种传输密钥的方法，包括：发送第一公钥证书至分发终端，以使所述分发终端验证所述第一公钥证书的有效性；验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果；所述第一验证结果包括证书有效和证书无效；当所述第一验证结果为证书有效时，发送密钥分发请求至所述分发终端；根据所述分发终端发送的响应报文得到特定密钥。进一步地，还包括：从认证终端获取第一公钥证书；所述认证终端用于确认终端的合法性并签发数字证书。进一步地，验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果，具体为：从认证终端获取验证公钥；根据所述验证公钥验证所述第二公钥证书的有效性，得到第一验证结果。由上述描述可知，认证终端为独立于分发终端和接收终端的第三方，由认证终端对各分发终端和接收终端的合法性进行验证并签发数字证书(第一公钥证书和第二公钥证书)，并根据认证终端提供的验证公钥验证数字证书的有效性，提高了各终端验证对方的合法性的准确度。并且，数字证书包含持有终端的有效信息，包括持有终端的唯一识别码和签发中心等，在双向认证过程中作为验证的白名单，以此保证密钥分发的有效性。进一步地，发送密钥分发请求至所述分发终端，具体为：生成与密钥分发请求对应的报文，得到第一报文；获取与所述第一公钥证书对应的私钥，得到第一私钥；根据所述第一私钥对所述第一报文进行数字签名操作，得到第二报文；发送所述第二报文至所述分发终端。由上述描述可知，接收终端在发送密钥分发请求时，使用接收终端持有的第一私钥对数据报文的关键域进行数字签名，使得分发终端接收响应后，使用其在双向认证过程中交换获得的接收终端持有的公钥(第一公钥)验证该签名，验证通过即可保证传输的数据未被篡改且完整。进一步地，根据所述分发终端发送的响应报文得到特定密钥，具体为：获取与所述第一公钥证书对应的私钥，得到第一私钥；获取所述第二公钥证书携带的公钥，得到第二公钥；根据所述第二公钥验证所述响应报文的数字签名，得到第二验证结果；所述第二验证结果包括数字签名有效和数字本文档来自技高网...

【技术保护点】
1.一种传输密钥的方法，其特征在于，包括：发送第一公钥证书至分发终端，以使所述分发终端验证所述第一公钥证书的有效性；验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果；所述第一验证结果包括证书有效和证书无效；当所述第一验证结果为证书有效时，发送密钥分发请求至所述分发终端；根据所述分发终端发送的响应报文得到特定密钥。

【技术特征摘要】
【国外来华专利技术】1.一种传输密钥的方法，其特征在于，包括：发送第一公钥证书至分发终端，以使所述分发终端验证所述第一公钥证书的有效性；验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果；所述第一验证结果包括证书有效和证书无效；当所述第一验证结果为证书有效时，发送密钥分发请求至所述分发终端；根据所述分发终端发送的响应报文得到特定密钥。2.根据权利要求1所述的传输密钥的方法，其特征在于，还包括：从认证终端获取第一公钥证书；所述认证终端用于确认终端的合法性并签发数字证书。3.根据权利要求1所述的传输密钥的方法，其特征在于，验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果，具体为：从认证终端获取验证公钥；根据所述验证公钥验证所述第二公钥证书的有效性，得到第一验证结果。4.根据权利要求1所述的传输密钥的方法，其特征在于，发送密钥分发请求至所述分发终端，具体为：生成与密钥分发请求对应的报文，得到第一报文；获取与所述第一公钥证书对应的私钥，得到第一私钥；根据所述第一私钥对所述第一报文进行数字签名操作，得到第二报文；发送所述第二报文至所述分发终端。5.根据权利要求1所述的传输密钥的方法，其特征在于，根据所述分发终端发送的响应报文得到特定密钥，具体为：获取与所述第一公钥证书对应的私钥，得到第一私钥；获取所述第二公钥证书携带的公钥，得到第二公钥；根据所述第二公钥验证所述响应报文的数字签名，得到第二验证结果；所述第二验证结果包括数字签名有效和数字签名无效；当所述第二验证结果为数字签名有效时，根据所述第一私钥解密所述响应报文携带的第一数据信息，得到加密密钥；根据所述加密密钥解密所述响应报文携带的第二数据信息，得到特定密钥。6.一种接收终端，其特征在于，包括一个或多个第一处理器及第一存储器，所述第一存储器存储有程序，并且被配置成由所述一个或多个第一处理器执行以下步骤：发送第一公钥证书至分发终端，以使所述分发终端验证所述第一公钥证书的有效性；验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果；所述第一验证结果包括证书有效和证书无效；当所述第一验证结果为证书有效时，发送密钥分发请求至所述分发终端；根据所述分发终端发送的响应报文得到特定密钥。7.根据权利要求6所述的接收终端，其特征在于，还包括：从认证终端获取第一公钥证书；所述认证终端用于确认终端的合法性并签发数字证书。8.根据权利要求6所述的接收终端，其特征在于，验证来自所述分发终端的第二公钥证书的有效性，得到第一验证结果，具体为：从认证终端获取验证公钥；根据所述验证公钥验证所述第二公钥证书的有效性，得到第一验证结果。9.根据权利要求6所述的接收终端，其特征在于，发送密钥分发请求至所述分发终端，具体为：生成与密钥分发请求对应的报文，得到第一报文；获取与所述第一公钥证书对应的私钥，得到第一私钥；根据所述第一私钥对所述第一报文进行数字签名操作，得到第二报文；发送所述第二报文至所述分发终端。10.根据权利要求6所述的接收终端，其特征在于，根据所述分发终端发送的响应报文得到特定密钥，具体为：获取与所述第一公钥证书对应的私钥，得到第一私钥；获取所述第二公钥证书携带的公钥，得到第二公钥；根据所述第二公钥验证所述响应报文的数字签名，得到第二验证结果；所述第二验证结果包括数字签名有效和数字签名无效；当所述第二验证结果为数字签名有效时，根据所述第一私钥解密所述响应报文携带的第一数据信息，得到加密密钥；根据所述加密密钥解密所述响应报文携带的第二数据信息，得到特定密钥。11.一种传输密钥的方法，其特征在于，包括：验证来自接收终端的第一公钥证书的有效性，得到第三验证结果；所述第三验证结果...

【专利技术属性】
技术研发人员：唐胤曦，徐永标，
申请(专利权)人：福建联迪商用设备有限公司，
类型：发明
国别省市：福建,35