一种POS终端的密钥下载方法和装置制造方法及图纸

一种POS终端的密钥下载方法包括：在POS终端的生产或者维修阶段，在所述POS终端设置设备认证密钥对和设备加密密钥对；根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书；根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥。本方法可以在安全中心外通过网络下载主密钥，安全性高，可节省运输成本且效率高。

Key downloading method and device for POS terminal

Including the download method for POS terminal key: POS terminals in the production or maintenance stage, to set equipment and equipment for authentication key encryption keys in the POS terminal; according to the remote key server settings for remote authentication key and authentication of the POS terminal equipment in the key pair, the POS terminal and the the remote key server mutual authentication, the authentication is passed, in the POS end device bind the remote server key certificate; according to the equipment of the encryption key, and the temporary key is transmitted from the remote terminal, POS key server to download the master key. The method can download the master key through the network outside the security center, and has the advantages of high safety, saving transportation cost and high efficiency.

【技术实现步骤摘要】

本专利技术属于POS终端的安全领域，尤其涉及一种POS终端的密钥下载方法和装置。
技术介绍
POS(英文全称为Pointofsales，中文全称为销售点)，是一种配有条码或OCR码技术终端阅读器，有现金或易货额度出纳功能。其主要任务是对商品与服务交易提供数据服务和管理功能，并进行非现金结算。由于其包括非现金结算功能，因此，必须很好的保证POS终端的安全性，比如保证POS终端中的密钥的安全性。为了保证POS终端的密钥的安全性，目前通常是在厂商发货给收单机构后，需要将POS终端运输至收单机构所在地的安全中心，由安全中心注入密钥。在完成密钥注入之后再分发到商户，由于POS终端在出厂后，还需要运输到安全中心进行密钥注入，在完成密钥注入后再分发至收单机构，使得密钥注入的操作较为麻烦，而且增加了物流成本开销，密钥注入的效率低。
技术实现思路
本专利技术的目的在于提供一种POS终端的密钥下载方法，以解决现有技术需要将设备运输至安全中心进行密钥注入，操作较为麻烦，而且增加物流成本，密钥注入效率低的问题。第一方面，本专利技术实施例提供了一种POS终端的密钥下载方法，所述方法包括：在POS终端的生产或者维修阶段，在所述POS终端设置设备认证密钥对和设备加密密钥对；根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书；根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥。结合第一方面，在第一方面的第一种可能实现方式中，所述在所述POS终端设置设备认证密钥对和设备加密密钥对步骤具体为：在所述POS终端中随机生成所述设备认证密钥对和设备加密密钥对，或者，由厂商加密机随机生成所述设备认证密钥对和设备加密密钥对，并将所述设备认证密钥对和设备加密密钥对中的公钥发送至证书注册机构，分别生成设备认证密钥证书和设备加密证书。结合第一方面或第一方面的第一种可能实现方式，在第一方面的第二种可能实现方式中，所述在所述POS终端设置设备认证密钥对和设备加密密钥对步骤包括：POS终端向本地密钥服务器发送密钥设置请求，所述密钥设置请求包括所述POS终端的设备标识；POS终端接收并验证所述本地密钥服务器发送的本地密钥服务器证书，当验证通过时，生成第一随机数和第二随机数，通过所述本地密钥服务器证书中的本地密钥服务器公钥加密所述第一随机数和第二随机数，并向所述本地密钥服务器发送加密后的第一密文；本地密钥服务器通过本地密钥服务器私钥解密所述第一密文，得到第一随机数和第二随机数，通过第一随机数加密第二随机数生成第二密文，根据所述设备标识查找对应的设备认证密钥对和设备加密密钥对，通过第一随机数加密所述设备认证私钥和设备加密私钥生成第三密文，在POS终端通过第二密文验证后，将所述第三密文、设备认证证书和设备加密证书发送至POS终端；POS终端验证所述设备认证证书和设备加密证书是否合法，如果合法，则通过所述第一随机数解密所述第三密文得到设备认证私钥和设备加密私钥，并判断所述设备认证私钥与设备认证公钥，以及设备加密私钥与设备加密公钥是否匹配。结合第一方面的第一种可能实现方式，在第一方面的第三种可能实现方式中，在所述POS终端向本地密钥服务器发送密钥设置请求，所述密钥设置请求包括所述POS终端的设备标识步骤之后，所述方法还包括：本地密钥服务器证书向POS终端下发证书吊销列表；POS终端根据所述证书吊销列表判断所述本地密钥服务器证书是否有效。结合第一方面或第一方面的第一种可能实现方式，在第一方面的第四种可能实现方式中，所述根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书步骤包括：POS终端向远程密钥服务器发送绑定请求，所述绑定请求包括终端标识及POS终端认证证书；所述远程密钥服务器验证所述POS终端的设备认证证书是否合法，如果合法，则生成远程密钥服务器鉴别令牌，通过设备认证公钥加密所述远程密钥服务器鉴别令牌生成第四密文，将所述第四密文、远程密钥服务器证书发送给POS终端；所述POS终端验证所述远程密钥服务器证书合法后，通过设备认证私钥解密所述第四密文得到所述远程密钥服务器鉴别令牌，并生成设备鉴别令牌及传输密钥，通过远程密钥服务器公钥将所述远程密钥服务器鉴别令牌、设备鉴别令牌和所述传输密钥加密生成第五密文发送给远程密钥服务器；远程密钥服务器通过远程密钥服务器私钥解密所述第五密文得到远程密钥服务器鉴别令牌、设备鉴别令牌和传输密钥，如果解密得到的远程密钥服务器鉴别令牌与远程加密服务器所生成的远程密钥服务器令牌一致，则对POS设备认证成功，并通过所述传输密钥将所述设备鉴别令牌加密得到第六密文，并将所述第六密文发送给POS终端；所述POS终端根据生成的传输密钥解密所述第六密文，将解密得到设备鉴别令牌与POS终端所生成的设备鉴别令牌比较，如果一致，则对远程密钥服务器认证成功，并保存所述远程密钥服务器证书。结合第一方面的第四种可能实现方式，在第一方面的第五种可能实现方式中，所述传输密钥为临时传输密钥，所述根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥的步骤具体为：远程密钥服务器通过设备加密密钥对的公钥对临时传输密钥进行加密，POS终端通过设备加密密钥对的私钥解密得到传输密钥，远程密钥服务器通过所述临时传输密钥加密所述主密钥生成第六密文，所述POS终端通过生成的临时传输密钥解密所述第六密文，得到远程密钥服务器下发的主密钥。第二方面，本专利技术实施例提供了一种POS终端的密钥下载装置，所述装置包括：密钥对设置单元，用于在POS终端的生产或者维修阶段，在所述POS终端设置设备认证密钥对和设备加密密钥对；认证单元，用于根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书；下载单元，用于由根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥。结合第二方面，在第二方面的第一种可能实现方式中，所述密钥对设置单元具体用于：在所述POS终端中随机生成所述设备认证密钥对和设备加密密钥对，或者，由厂商加密机随机生成所述设备认证密钥对和设备加密密钥对，并将所述设备认证密钥对和设备加密密钥对中的公钥发送至证书注册机构，分别生成设备认证密钥证书和设备加密证书。结合第二方面或第二方面的第一种可能实现方式，在第二方面的第二种可能实现方式中，所述密钥对设置单元包括：请求子单元，用于由POS终端向本地密钥服务器发送密钥设置请求，所述密钥设置请求包括所述POS终端的设备标识；加密子单元，用于由POS终端接收并验证所述本地密钥服务器发送的本地密钥服务器证书，当验证通过时，生成第一随机数和第二随机数，通过所述本地密钥服务器证书中的本地密钥服务器公钥加密所述第一随机数和第二随机数，并向所述本地密钥服务器发送加密后的第一密文；验证子单元，用于由本地密钥服务器通本文档来自技高网...

【技术保护点】
一种POS终端的密钥下载方法，其特征在于，所述方法包括：在POS终端的生产或者维修阶段，在所述POS终端设置设备认证密钥对和设备加密密钥对；根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书；根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥。

【技术特征摘要】
1.一种POS终端的密钥下载方法，其特征在于，所述方法包括：在POS终端的生产或者维修阶段，在所述POS终端设置设备认证密钥对和设备加密密钥对；根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书；根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥。2.根据权利要求1所述方法，其特征在于，所述在所述POS终端设置设备认证密钥对和设备加密密钥对步骤具体为：在所述POS终端中随机生成所述设备认证密钥对和设备加密密钥对，或者，由厂商加密机随机生成所述设备认证密钥对和设备加密密钥对，并将所述设备认证密钥对和设备加密密钥对中的公钥发送至证书注册机构，分别生成设备认证密钥证书和设备加密证书。3.根据权利要求1或2所述方法，其特征在于，所述在所述POS终端设置设备认证密钥对和设备加密密钥对步骤包括：POS终端向本地密钥服务器发送密钥设置请求，所述密钥设置请求包括所述POS终端的设备标识；POS终端接收并验证所述本地密钥服务器发送的本地密钥服务器证书，当验证通过时，生成第一随机数和第二随机数，通过所述本地密钥服务器证书中的本地密钥服务器公钥加密所述第一随机数和第二随机数，并向所述本地密钥服务器发送加密后的第一密文；本地密钥服务器通过本地密钥服务器私钥解密所述第一密文，得到第一随机数和第二随机数，通过第一随机数加密第二随机数生成第二密文，根据所述设备标识查找对应的设备认证密钥对和设备加密密钥对，通过第一随机数加密所述设备认证私钥和设备加密私钥生成第三密文，在POS终端通过第二密文验证后，将所述第三密文、设备认证证书和设备加密证书发送至POS终端；POS终端验证所述设备认证证书和设备加密证书是否合法，如果合法，则通过所述第一随机数解密所述第三密文得到设备认证私钥和设备加密私钥，并判断所述设备认证私钥与设备认证公钥，以及设备加密私钥与设备加密公钥是否匹配。4.根据权利要求2所述方法，其特征在于，在所述POS终端向本地密钥服务器发送密钥设置请求，所述密钥设置请求包括所述POS终端的设备标识步骤之后，所述方法还包括：本地密钥服务器证书向POS终端下发证书吊销列表；POS终端根据所述证书吊销列表判断所述本地密钥服务器证书是否有效。5.根据权利要求1或2所述方法，其特征在于，所述根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书步骤包括：POS终端向远程密钥服务器发送绑定请求，所述绑定请求包括POS终端认证证书；所述远程密钥服务器验证所述POS终端的设备认证证书是否合法，如果合法，则生成远程密钥服务器鉴别令牌，通过设备认证公钥加密所述远程密钥服务器鉴别令牌生成第四密文，将所述第四密文、远程密钥服务器证书发送给POS终端；所述POS终端验证所述远程密钥服务器证书合法后，通过设备认证私钥解密所述第四密文得到所述远程密钥服务器鉴别令牌，并生成设备鉴别令牌及传输密钥，通过远程密钥服务器公钥将所述远程密钥服务器鉴别令牌、设备鉴别令牌和所述传输密钥加密生成第五密文发送给远程密钥服务器；远程密钥服务器通过远程密钥服务器私钥解密所述第五密文得到...

【专利技术属性】
技术研发人员：彭荣收，李杨，汤沁，
申请(专利权)人：百富计算机技术深圳有限公司，
类型：发明
国别省市：广东;44