RSA密钥对和证书的注入方法、架构及系统技术方案

本发明专利技术公开了一种RSA密钥对和证书的注入方法、架构及系统，方法包括：支付终端生成对称密钥；密钥管理系统获取对称密钥；支付终端发起请求，并发送至密钥管理系统；密钥管理系统将请求提交至CA中心；CA中心根据请求生成RSA私钥和证书，并将通过安全链路发送至密钥管理系统，证书中包括RSA公钥；密钥管理系统使用对称密钥加密RSA私钥和证书，得到第一加密数据，并发送至支付终端；支付终端使用对称密钥对第一加密数据进行解密，得到所述RSA私钥和证书。本发明专利技术有效解决了支付终端自己产生RSA密钥对效率低下的问题，通过采用自动安全注入的方式，减少了人工操作和维护产线安全机房的成本，且保证安全。

【技术实现步骤摘要】
RSA密钥对和证书的注入方法、架构及系统
本专利技术涉及电子支付领域，尤其涉及一种RSA密钥对和证书的注入方法、架构及系统。
技术介绍
随着电子支付产业的迅速发展，比如银行卡支付、消费卡支付、行业卡支付以及其它借由网络的电子支付技术，电子支付以其快捷方便的特点，越来越受到人们的欢迎。电子支付系统包括供消费者使用的终端设备以及支付平台和密钥管理等设备。为了确保消费的安全性，消费者通过专用的支付终端输入消费信息(比如帐号密码等)，然后由支付终端传输到支付平台。支付终端，以POS(PointofSale，POS)为例，保护消费者账户安全的原理如下：POS终端能够接受银行卡信息，具有通讯功能，并接受柜员的指令完成金融交易信息和有关信息交换的设备，POS中对敏感信息处理的模块称为密码键盘(PINPAD)，对各种金融交易相关的密钥进行安全存储保护，以及对PIN进行加密保护的安全设备，持卡人的个人识别码(PersonalIdentificationNumber，PIN)通过密码键盘输入。为防止PIN泄露或者被破解，以保护持卡人的财产安全，整个支付过程中对PIN必须进行加密保护，避免其以明文形式出现。为此，接受PIN输入的POS终端需配备相应的密钥管理体系。POS终端中常用的密钥管理体系有两类，不论是分级的密钥体系，主密钥/工作密钥(MasterKey/SessionKey，MK/SK)还是每笔交易衍生单钥管理方法(DerivedUniqueKeyperTransaction，DUKPT)，都需要将一个初始密钥(InitiailKey，IK)下载到终端，如何下载初始密钥到终端，目前主流的方向是采用远程密钥下载方式，要求支付终端在出厂前预置非对称RSA密钥和证书，终端出厂后使用RSA密钥和证书与KMS系统进行双向认证，通过KMS安全下载终端主密钥(TMK)。考虑到终端的运算性能差异较大，而当前标准的RSA密钥需要达到2048比特的安全强度，RSA密钥对的生成速度一直是低性能终端的瓶颈。那么如何在生产阶段安全高效地注入非对称RSA密钥和证书呢，目前通常有以下几种方式：方式一：将支付终端放到安全房内，物理连接硬件加密机(HardwareSecurityModule，HSM)注入密钥对和证书；方式二：由支付终端内部生成密钥对，生成证书请求文件导出，请求认证中心(CertificationAuthority，CA)签发证书。方式三：支付终端和认证中心CA共享一个秘密信息，CA中心生成密钥对和证书之后使用该秘密信息加密后传递给支付终端。但上述方式存在以下缺点：缺点1：证书的注入工作需要在一个高安全管控的安全机房内进行，通过人工方式集中注入，增加了安全房的构建及维护成本。缺点2：终端性能差异较大，且对大多数终端来说，RSA密钥对的生成时间随机性大，最长时间可达到十几分钟左右，极大影响生产效率。缺点3：为了在支付终端和认证中心预置一个共享秘密信息，通常采用人工方式，而且终端数量庞大，要保证该秘密信息每台设备唯一，需要大量的人力资源开销，且对该秘密进行的管控要达到极高的安全级别，否则一旦该秘密信息泄露，终端的私钥也泄露了。
技术实现思路
本专利技术所要解决的技术问题是：提供一种RSA密钥对和证书的注入方法、架构及系统，可在生产阶段安全高效地注入RSA密钥对和证书。为了解决上述技术问题，本专利技术采用的技术方案为：一种RSA密钥对和证书的注入方法，包括：支付终端生成对称密钥；密钥管理系统获取所述对称密钥；支付终端发起请求，并将所述请求发送至密钥管理系统；密钥管理系统将所述请求提交至CA中心；CA中心根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；密钥管理系统使用所述对称密钥加密所述RSA私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；支付终端使用对称密钥对所述第一加密数据进行解密，得到所述RSA私钥和证书。本专利技术还涉及一种RSA密钥对和证书的注入架构，包括依次通信连接的支付终端、密钥管理系统和CA中心；所述支付终端用于生成对称密钥；所述密钥管理系统用于获取所述对称密钥；所述支付终端还用于发起请求，并将所述请求发送至密钥管理系统；所述密钥管理系统还用于将所述请求提交至CA中心；所述CA中心用于根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；所述密钥管理系统还用于使用所述对称密钥加密所述RSA私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；所述支付终端还用于使用对称密钥对所述第一加密数据进行解密，得到所述RSA私钥和证书。本专利技术还涉及一种RSA密钥对和证书的注入系统，包括：第一生成模块，用于支付终端生成对称密钥；获取模块，用于密钥管理系统获取所述对称密钥；发起模块，用于支付终端发起请求，并将所述请求发送至密钥管理系统；提交模块，用于密钥管理系统将所述请求提交至CA中心；第二生成模块，用于CA中心根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；加密模块，用于密钥管理系统使用所述对称密钥加密所述RSA私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；解密模块，用于支付终端使用对称密钥对所述第一加密数据进行解密，得到所述RSA私钥和证书。本专利技术的有益效果在于：采用CA中心集中生成RSA密钥对和证书的方式，由于其生成速度相比支付终端更优异，有效解决了支付终端性能不足造成的产能低效问题；通过安全链路传输以及对称密钥加密的方式，有效保证了数据传输过程中的安全性和机密性；本专利技术适用于所有类型的支付终端，有效解决了支付终端自己产生RSA密钥对效率低下的问题，通过采用自动安全注入的方式，减少了人工操作和维护产线安全机房的成本，且保证安全。附图说明图1为本专利技术实施例一中RSA密钥对和证书的注入方法的流程图；图2为本专利技术实施例一中RSA密钥对和证书的注入架构的结构示意图；图3为本专利技术实施例二的方法流程图；图4为本专利技术实施例二中RSA密钥对和证书的注入架构的结构示意图；图5为本专利技术实施例三的方法流程图；图6为本专利技术实施例四的方法流程图；图7为本专利技术一种RSA密钥对和证书的注入系统的结构示意图；图8为本专利技术实施例五的系统结构示意图。标号说明：100、支付终端；200、密钥管理系统；300、CA中心；400、硬件加密机；1、第一生成模块；2、获取模块；3、发起模块；4、提交模块；5、第二生成模块；6、加密模块；7、解密模块；21、第一生成单元；22、签发单元；23、第一验证单元；24、提取单元；25、第一加密单元；26、第一解密单元；31、第二生成单元；32、第二加密单元；33、第一发送单元；34、第一计算单元；35、第三发送单元；41、第二解密单元；42、第二发送单元；43、第二验证单元；44、执行单元；61、第三加密单元；62、第二计算单元；63、第四发送单元；71、第三解密单元；72、第三验证单元；73、第四验证单元；74、存储单元。具体实施方式为详细说明本专利技术的
技术实现思路
、所实现目的及效果，以下结合实施方式并配合本文档来自技高网...

【技术保护点】
一种RSA密钥对和证书的注入方法，其特征在于，包括：支付终端生成对称密钥；密钥管理系统获取所述对称密钥；支付终端发起请求，并将所述请求发送至密钥管理系统；密钥管理系统将所述请求提交至CA中心；CA中心根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；密钥管理系统使用所述对称密钥加密所述RSA私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；支付终端使用对称密钥对所述第一加密数据进行解密，得到所述RSA私钥和证书。

【技术特征摘要】
1.一种RSA密钥对和证书的注入方法，其特征在于，包括：支付终端生成对称密钥；密钥管理系统获取所述对称密钥；支付终端发起请求，并将所述请求发送至密钥管理系统；密钥管理系统将所述请求提交至CA中心；CA中心根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；密钥管理系统使用所述对称密钥加密所述RSA私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；支付终端使用对称密钥对所述第一加密数据进行解密，得到所述RSA私钥和证书。2.根据权利要求1所述的RSA密钥对和证书的注入方法，其特征在于，所述“密钥管理系统获取所述对称密钥”具体为：密钥管理系统的硬件加密机生成非对称密钥对，所述非对称密钥对包括公钥Pu和私钥Pr，并将所述公钥Pu提交到CA中心；CA中心根据所述公钥Pu签发公钥证书；支付终端获取所述公钥证书，并对所述公钥证书进行合法性验证；若验证通过，则从所述公钥证书中提取公钥Pu；支付终端使用所述公钥Pu加密所述对称密钥，得到第二加密数据，并将所述第二加密数据发送至密钥管理系统；密钥管理系统使用私钥Pr解密所述第二加密数据，得到对称密钥。3.根据权利要求1所述的RSA密钥对和证书的注入方法，其特征在于，所述对称密钥包括第一对称密钥；所述“支付终端发起请求，并将所述请求发送至密钥管理系统”具体为：支付终端生成请求数据；使用第一对称密钥加密所述请求数据，得到第三加密数据；将所述第三加密数据发送至密钥管理系统。4.根据权利要求3所述的RSA密钥对和证书的注入方法，其特征在于，所述“密钥管理系统将所述请求提交至CA中心”具体为：密钥管理系统使用第一对称密钥解密第三加密数据，得到请求数据；将所述请求数据发送至CA中心。5.根据权利要求4所述的RSA密钥对和证书的注入方法，其特征在于，所述对称密钥还包括第二对称密钥；所述“支付终端生成请求数据”之后，进一步包括：使用第二对称密钥计算得到所述请求数据的第一消息认证码；将所述第一消息认证码发送至密钥管理系统。6.根据权利要求5所述的RSA密钥对和证书的注入方法，其特征在于，所述“将所述请求数据发送至CA中心”之前，进一步包括：根据所述第二对称密钥和第一消息认证码，验证所述请求数据的合法性；若验证通过，则执行所述将所述请求数据发送至CA中心的步骤。7.根据权利要求1所述的RSA密钥对和证书的注...

【专利技术属性】
技术研发人员：谢芳铭，林培春，
申请(专利权)人：上海汇尔通信息技术有限公司，
类型：发明
国别省市：上海,31