【技术实现步骤摘要】
一种基于TR34规范的POS机远程密钥灌装协议的设计方法
[0001]本专利技术涉及POS机密钥灌装
,具体是一种基于TR34规范的POS机远程密钥灌装协议的设计方法。
技术介绍
[0002]根据柯克霍夫原则:密码系统的安全性绝不能依赖于密码算法,安全性取决于对密钥的保密。在POS行业,金融交易安全最核心的问题是如何在整个密钥生命周期中保障交易密钥的安全。POS产品的传统密钥安装方式,通常需使用专门的KLD(Key Loader Device)设备在工厂或维修中心的安全环境下(KIF)实现集中式本地密钥灌装(Direct Key Injection,DKI)。人工操作复杂且要求具备安全房环境,成本较高。因此越来越多客户转向使用更加便捷且同样满足安全要求的远程密钥灌装方式(Remote Key Injection,RKI)。将POS直接部署到最终商户环境,通过网络远程连接密钥服务器(RKMS)实现金融交易密钥的注入和更新。
[0003]具有生产效率高,维护方便的优势。但同时由于使用RKI方式远程灌装密钥需要在开放...
【技术保护点】
【技术特征摘要】
1.一种基于TR34规范的POS机远程密钥灌装协议的设计方法,其特征在于,RKI中终端设备与服务器之间通过PKI技术实现双向身份认证,使用非对称加密与签名技术协商生成传输密钥Kn,并使用会话密钥Kn实现后续的密钥传输保护。2.根据权利要求1所述的一种基于TR34规范的POS机远程密钥灌装协议的设计方法,其特征在于,RKI流程分为Init、KeyTransport、KeyLoading三个阶段;Init阶段:将标准TR34协议规范中Bind阶段与KeyTransport阶段的第一步RT
KRD
的生成流程进行整合;KeyTransport阶段:KDH与KRD协商出核心的传输密钥,用于后续KeyLoading阶段的密钥下发;KeyLoadingd阶段:KDH使用协商的传输密钥Kn加密后续需要下发的密钥,KRD使用相同的传输密钥Kn解密KDH下发密钥密文并安装,完成整个RKI流程。3.根据权利要求2所述的一种基于TR34规范的POS机远程密钥灌装协议的设计方法,其特征在于,Init阶段:将标准TR34协议规范中Bind阶段与KeyTransport阶段的第一步RTKRD的生成流程进行整合;具体步骤如下:S101:KRD发起RKI请求KRD生成一个随机数R
KRD
,使用KRD证书私钥签名后生成RT
KRD
,联同KRD证书CT
KRD
一起打包发送给KDH;S102:KDH接收校验RKI请求KDH校验CT
KRD
证书,并使用CT
KRD
证书校验RT
KRD
签名,确认终端合法性;S103:KDH保存KRD证书KDH保存KRD证书至本地,用于后续KeyTransport阶段时校验KT
KRD
签名;S104:KDH生成RKI请求应答KDH生成一个随机数R
KDH
,使用KDH签名证书CT
KDH_Auth
私钥签名后生成RT
KDH
,联同KDH签名证书CT
KDH_Auth
以及KDH加密证书CT
KDH_Enc
一起打包发送给KRD;S105:KRD校验KDH_Auth、KDH_Enc证书和RT
KDH
签名KRD校验KDH_Auth和KDH_Enc证书合法性,并使用CT
KDH_Auth
证书校验RT
KDH
签名;S106:KRD保存R
KDH
、KDH_Auth和KDH_Enc证书KRD保存R
KDH
、KDH_Auth和KDH_Enc证书至本地,用于后续KeyTransport阶段时生成KT
KRD
报文。4.根...
【专利技术属性】
技术研发人员:王震懿,
申请(专利权)人:福建新大陆支付技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。