本发明专利技术涉及一种母POS灌装密钥的安全方法。通过至少两个KLD的操作员各自单独输入各自所知密码到母POS上,使母POS具备密钥分发的能力;根据密钥进行异或得到KLD的管理密钥用于解密密钥密文得到密钥明文;而后,连接母POS和Device,通过KLA与KLD的交互,实现整批次密钥安装完成后,在母POS内存有密钥密文和设备信息对应的记录表,并将该记录表传入跟踪系统方便日后跟踪维护。本发明专利技术实现了将一个密钥进行分散处理保证了KLD管理密钥的安全性更有效的保证密钥的安全分发,自动进行母POS灌装密钥,加快了生产效率,并保证了设备及母POS的身份合法性,且提升了设备的跟踪维护能力。
【技术实现步骤摘要】
本专利技术涉及一种母POS灌装密钥的安全方法。
技术介绍
传统的KLD管理密钥由单人管理,如此容易造成安全问题。
技术实现思路
本专利技术的目的在于提供一种母POS灌装密钥的安全方法,将一个密钥进行分散处理保证了KLD管理密钥的安全性更有效的保证密钥的安全分发,自动进行母POS灌装密钥,加快了生产效率,并保证了设备及母POS的身份合法性,且提升了设备的跟踪维护能力。为实现上述目的,本专利技术的技术方案是:一种母POS灌装密钥的安全方法,包括如下步骤,S1:在安全环境中,至少两个KLD的操作员各自单独输入各自所知密码到母POS上,使母POS具备密钥分发的能力;S2:通过母POS支持的通讯方式,将待分发的密钥密文文件传入母POS内,根据密钥进行异或得到KLD的管理密钥用于解密密钥密文得到密钥明文;S3:连接母POS和Device,母POS获取Device的设备信息;S4:发起设备认证请求,KLA发送PKLD_AUTH给KLD,KLD通过SKLD_AUTH验证PKLD_AUTH是否合法;S5:KLD通过PKLD_ENC加密随机数R1得到E1,而后将PKLD_ENC和E1发送给KLA;S6:KLA通过SKLD_ENC验证PKLD_ENC是否合法,并解密E1得到KLD产生的随机数R1保存起来;而后KLA通过PKLD_AUTH加密KLA产生的随机数R2得到E2,将E2发送给KLD;S7:KLD通过SKLD_AUTH解密E2得到随机数R2,并保存起来;S8:KLA和KLD根据已知的随机数R1和R2,进行异或操作得到一个临时会话密钥K;S9:KLD通过临时会话密钥K加密密钥后得到密文C1发送给KLA,并将该密文C1和Device的设备信息对应并记录到log上;S10:KLA通过临时会话密钥K解密密文C1得到密钥后,将密钥安装入Device中;S11:整批次密钥安装完成后,母POS内存有密钥密文和设备信息对应的记录表,并将该记录表传入跟踪系统方便日后跟踪维护。在本专利技术一实施例中,所述母POS符合PCI安全要求。在本专利技术一实施例中,所述KLD为母POS上的密钥传输程序,并固化有SKLD_AUTH和PKLD_ENC。在本专利技术一实施例中,所述KLA为Device上的密钥传输程序,并固化有SKLD_ENC和PKLD_AUTH。在本专利技术一实施例中,所述PKLD_AUTH、SKLD_AUTH为用于认证的公私钥;所述PKLD_ENC、SKLD_ENC为用于加密的公私钥;所述PKLD_AUTH、SKLD_AUTH、PKLD_ENC、SKLD_ENC由CA中心的CA证书签发。相较于现有技术,本专利技术具有以下有益效果:1.基于符合PCI安全的母POS进行密钥灌装,更有效的保证密钥的安全分发;2.采用多KLD操作员将一个密钥进行分散处理保证了KLD管理密钥的安全性;3.通过将一个生产批次设备所用的密钥加密后导入母POS内,自动的灌装到各个设备上,加快了生产效率;4.基于PKI体系的认证,保证了设备及母POS的身份合法性;5.母POS的记录功能,提升了以后设备的跟踪维护能力。具体实施方式下面,对本专利技术的技术方案进行具体说明。本专利技术的一种母POS灌装密钥的安全方法,包括如下步骤,S1:在安全环境中,至少两个KLD的操作员各自单独输入各自所知密码到母POS上,使母POS具备密钥分发的能力;S2:通过母POS支持的通讯方式,将待分发的密钥密文文件传入母POS内,根据密钥进行异或得到KLD的管理密钥用于解密密钥密文得到密钥明文;S3:连接母POS和Device,母POS获取Device的设备信息;S4:发起设备认证请求,KLA发送PKLD_AUTH给KLD,KLD通过SKLD_AUTH验证PKLD_AUTH是否合法;S5:KLD通过PKLD_ENC加密随机数R1得到E1,而后将PKLD_ENC和E1发送给KLA;S6:KLA通过SKLD_ENC验证PKLD_ENC是否合法,并解密E1得到KLD产生的随机数R1保存起来;而后KLA通过PKLD_AUTH加密KLA产生的随机数R2得到E2,将E2发送给KLD;S7:KLD通过SKLD_AUTH解密E2得到随机数R2,并保存起来;S8:KLA和KLD根据已知的随机数R1和R2,进行异或操作得到一个临时会话密钥K;S9:KLD通过临时会话密钥K加密密钥后得到密文C1发送给KLA,并将该密文C1和Device的设备信息对应并记录到log上;S10:KLA通过临时会话密钥K解密密文C1得到密钥后,将密钥安装入Device中;S11:整批次密钥安装完成后,母POS内存有密钥密文和设备信息对应的记录表,并将该记录表传入跟踪系统方便日后跟踪维护。所述母POS符合PCI安全要求。所述KLD为母POS上的密钥传输程序,并固化有SKLD_AUTH和PKLD_ENC。所述KLA为Device上的密钥传输程序,并固化有SKLD_ENC和PKLD_AUTH。所述PKLD_AUTH、SKLD_AUTH为用于认证的公私钥;所述PKLD_ENC、SKLD_ENC为用于加密的公私钥;所述PKLD_AUTH、SKLD_AUTH、PKLD_ENC、SKLD_ENC由CA中心的CA证书签发。以下为本专利技术的具体实施过程。本专利技术的母POS灌装密钥的安全方法,实现如下:一.设备及程序1.母POS:符合PCI要求的设备2.Device:普通生产的设备3.用于认证的公私钥对PKLD_AUTH,SKLD_AUTH4.用于加密的公私钥对PKLD_ENC,SKLD_ENC5.KLD:母POS上的密钥传输程序,固化有SKLD_AUTH和PKLD_ENC6.KLA:Device上的密钥传输程序,固化有SKLD_ENC和PKLD_AUTH7.CA中心的CA证书,签发了PKLD_AUTH,SKLD_AUTH和PKLD_ENC,SKLD_ENC二.实例过程1.在安全环境中,KLD的操作员们(至少2个人)单独输入各自知道的密码到母POS上,使母POS具备密钥分发的能力2.通过母POS支持的通讯方式,将待分发的密钥密文文件传入母POS内,由操作员们的密钥进行异或得到KLD的管理密钥用于解密密钥密文得到密钥明文3.连接母POS和Device,母POS获取Device的设备信息(如SN号)4.发起设备认证请求,KLA发送PKLD_AUTH给KLD,KLD用SKLD_AUTH验证PKLD_AUTH是否合法5.KLD用PKLD_ENC加密随机数R1得到E1,然后将PKLD_ENC和E1发送给KLA6.KLA用SKLD_ENC验证PKLD_ENC是否合法,解密E1得到KLD产生的随机数R1并保存起来;用PKLD_AUTH加密KLA产生的随机数R2得到E2,将E2发送给KLD7.KLD用SKLD_AUTH解密E2得到随机数R2,并保存起来。8.此时KLA和KLD都已知两个随机数R1和R2,分别将得到的R1和R2进行异或操作得到一个临时会话密钥K9.KLD用临时会话密钥K加密密钥后得到密文C1发送给KLA,并将该密钥密文和该Device的设备信息对应并记录到log上10.KLA用临时会话密钥K解密密文C1得到密钥后,将密钥安装入Device中11.整批次密钥安装完成后,母POS内存有密钥密本文档来自技高网...
【技术保护点】
一种母POS灌装密钥的安全方法,其特征在于:包括如下步骤,S1:在安全环境中,至少两个KLD的操作员各自单独输入各自所知密码到母POS上,使母POS具备密钥分发的能力;S2:通过母POS支持的通讯方式,将待分发的密钥密文文件传入母POS内,根据密钥进行异或得到KLD的管理密钥用于解密密钥密文得到密钥明文;S3:连接母POS和Device,母POS获取Device的设备信息;S4:发起设备认证请求,KLA发送PKLD_AUTH 给KLD,KLD通过SKLD_AUTH验证PKLD_AUTH是否合法;S5:KLD通过PKLD_ENC加密随机数R1得到E1,而后将PKLD_ENC和E1发送给KLA;S6:KLA通过SKLD_ENC验证PKLD_ENC是否合法,并解密E1得到KLD产生的随机数R1保存起来;而后KLA通过PKLD_AUTH加密KLA产生的随机数R2得到E2,将E2发送给KLD;S7:KLD通过SKLD_AUTH解密E2得到随机数R2,并保存起来;S8:KLA和KLD根据已知的随机数R1和R2,进行异或操作得到一个临时会话密钥K;S9:KLD通过临时会话密钥K加密密钥后得到密文C1发送给KLA,并将该密文C1和Device的设备信息对应并记录到log上;S10:KLA通过临时会话密钥K解密密文C1得到密钥后,将密钥安装入Device中;S11:整批次密钥安装完成后,母POS内存有密钥密文和设备信息对应的记录表,并将该记录表传入跟踪系统方便日后跟踪维护。...
【技术特征摘要】
1.一种母POS灌装密钥的安全方法,其特征在于:包括如下步骤,S1:在安全环境中,至少两个KLD的操作员各自单独输入各自所知密码到母POS上,使母POS具备密钥分发的能力;S2:通过母POS支持的通讯方式,将待分发的密钥密文文件传入母POS内,根据密钥进行异或得到KLD的管理密钥用于解密密钥密文得到密钥明文;S3:连接母POS和Device,母POS获取Device的设备信息;S4:发起设备认证请求,KLA发送PKLD_AUTH给KLD,KLD通过SKLD_AUTH验证PKLD_AUTH是否合法;S5:KLD通过PKLD_ENC加密随机数R1得到E1,而后将PKLD_ENC和E1发送给KLA;S6:KLA通过SKLD_ENC验证PKLD_ENC是否合法,并解密E1得到KLD产生的随机数R1保存起来;而后KLA通过PKLD_AUTH加密KLA产生的随机数R2得到E2,将E2发送给KLD;S7:KLD通过SKLD_AUTH解密E2得到随机数R2,并保存起来;S8:KLA和KLD根据已知的随机数R1和R2,进行异或操作得到一个临时会话密钥K;S9:KLD通过临时会话密钥K加密密钥...
【专利技术属性】
技术研发人员:杨海林,卢佩新,沈思忠,
申请(专利权)人:福建新大陆支付技术有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。