本发明专利技术提供一种智能卡支付系统,所述系统包括第三方系统平台(F1_X)、密钥接受方系统平台(F1_R)和密钥提供方系统平台(F1_S)、PSAM卡(P1_R)、用户卡(U1_R、U1_S)和支付终端(T1_R);其特征在于:第三方系统平台(F1_X)的密钥传输模块IKMF_X包含非对称密钥加密的传输密钥IK_X;密钥接受方系统平台(F1_R)的密钥传输模块IKMF_R包含非对称密钥加密的传输密钥IK_R;PSAM卡(P1_R)的密钥传输模块IKMP_R包含计算相关联的非对称密钥加密的私钥IK2_X和IK2_R;密钥提供方系统平台(F1_S)的消费密钥PK_S经过非对称密钥加密的公钥IK1_X和IK1_R加密后注入到PSAM卡(P1_R)中;使支付终端(T1_R)能接受用户卡(U1_S)执行脱机消费交易。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及使用对称密钥加密的用户智能卡的支付系统的密钥管理。
技术介绍
目前的智能卡支付系统有两种加密模式一种使用非对称密钥加密算法,发卡单位将非对称密钥的私钥注入到用户智能卡中,将非对称密钥的公钥设置到支付终端中,用户智能卡与支付终端通过非对称密钥的私钥和公钥相互认证而完成交易;只要在支付终端中设置多个单位的非对称密钥的公钥,支付终端就可以支持多个单位发行的用户智能卡。另一种使用对称密钥加密算法,发卡单位将对称密钥注入到用户智能卡和PSAM卡,用户智能卡与支付终端中的PSAM卡通过分散相关联的两个密钥相互认证而完成交易;对称密钥加密算法的用户卡只能在具有与该用户卡对应密钥的PSAM卡的终端上使用。对称密钥加密算法的智能卡支付系统一般由发卡单位单独运作,发卡单位发行用户卡和PSAM卡,布置支付终端,发行的用户卡只能在安装有该单位发行的PSAM卡的支付终端上执行脱机消费交易。一般情况,对称密钥加密的用户卡中设有密钥模块,密钥模块包含消费密钥DPK、TAC密钥DTK、圈存密钥DLK ;PSAM卡中设有密钥模块,密钥模块包含消费密钥PK ;发卡方系统平台设有密钥模块,密钥模块包含消费密钥PK、TAC密钥TK、圈存密钥LK0其中,PSAM卡中的消费密钥PK与系统平台上的消费密钥PK相同;消费密钥DPK与消费密钥PK分散相关联,TAC密钥DTK与TAC密钥TK分散相关联,圈存密钥DLK与圈存密钥LK分散相关联。所述“分散相关联”包括卡片中的密钥与系统平台上的密钥相同;或者,卡片中的密钥是由系统平台的密钥分散后得到的,实现一卡一钥,分散因子至少包括卡片序号。PSAM卡中的消费密钥PK与用户卡中的消费密钥DPK相互认证而完成脱机消费交易;用户卡中的圈存密钥DLK与系统平台的圈存密钥LK相互认证而完成联机圈存交易。为了安全,系统平台上的密钥一般被注入到加密机中,系统平台的加密运算都在加密机内部完成。密钥可以被注入到加密机中并在加密机内部参与加密计算,但不能以明文的方式读取出来。可以在相关单位的终端上配置该单位发行的PSAM卡使其它单位的终端支持该单位发行的用户卡执行脱机消费交易;在该单位终端上配置由相关单位提供的PSAM卡使该单位的终端支持其它单位发行的用户卡执行脱机消费交易。可是,相关单位的个数限制于支付终端上PSAM卡卡座的个数。如果支付终端需要支持更多发卡单位的用户卡,最好的方式是能将发卡单位的消费密钥注入到该支付终端的PSAM卡中,而目前还没有一种安全的方式能将发卡单位的消费密钥注入到其它单位的PSAM卡中。为了解决上述将对称密钥加密的智能卡支付系统的消费密钥注入到其它单位的PSAM卡中的技术问题,本专利技术提供一种智能卡支付系统,以一种安全的方式将用户卡发卡单位的消费密钥注入到其它单位的PSAM卡中。
技术实现思路
本专利技术要解决的技术问题在于将对称密钥加密的智能卡支付系统的消费密钥注入到其它单位的PSAM卡中的技术问题。智能卡包括用户智能卡和PSAM智能卡,本专利技术将用户智能卡简称为用户卡,将PSAM智能卡简称为PSAM卡。本专利技术的目的在于解决将对称密钥加密的智能卡支付系统的消费密钥注入到其它单位的PSAM卡中的技术问题,使支付终端能支持多家单位发行的对称密钥加密的用户卡执行脱机消费交易。 本专利技术将在“将对称密钥加密的智能卡支付系统的消费密钥注入到其它单位的PSAM卡中”的流程中,提供消费密钥的单位定义为“密钥提供方”,密钥提供方为用户卡的发卡方,使该单位的用户卡能在“其它单位”的终端上使用;接受密钥提供方的消费密钥并将该消费密钥注入到PSAM卡中的一方定义为“密钥接受方”,密钥接受方为PSAM卡的发卡方,将密钥提供方的消费密钥注入到该单位的PSAM卡中,使该单位的PSAM卡能支持密钥提供方的用户卡。密钥提供方与密钥接受方只是在“将消费密钥注入到其它单位的PSAM卡”的过程中相对而言;同一家发卡单位,在接受其它单位的消费密钥并将消费密钥注入到该单位的PSAM卡的过程中,该单位为密钥接受方;在向其它单位提供该单位的消费密钥并由其它单位将消费密钥注入到其它单位的PSAM卡的过程中,该单位为密钥提供方。为了实现本专利技术的目的,本专利技术引入“第三方”,所述第三方,是指相对于密钥提供方和密钥接受方而言,是一家金融单位或组织;用户卡和PSAM卡仍然由发卡单位发行,第三方在发卡单位发行的卡片中注入部分密钥,管理和组织多家单位的智能卡的脱机消费交易。为了实现本专利技术的目的,本专利技术提供一种智能卡支付系统,所述系统包括第三方系统平台、密钥接受方系统平台和密钥提供方系统平台、PSAM卡、用户卡和支付终端,其特征在于 第三方系统平台设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥IK_X,所述传输密钥IK_X包括公钥IK1_X和私钥IK2_X,其中,公钥IK1_X提供给密钥提供方系统平台,私钥IK2_X注入到密钥接受方的PSAM卡中; 密钥接受方系统平台设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥IK_R,所述传输密钥IK_R包括公钥IK1_R和私钥IK2_R,其中,公钥IK1_R提供给密钥提供方系统平台,私钥IK2_R注入到密钥接受方的PSAM卡中; 密钥提供方系统平台设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥的公钥IK1_X和IK1_R,所述公钥IK1_X和IK1_R计算相关联,用于对密钥提供方系统平台的消费密钥进行加密; PSAM卡中设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥的私钥IK2_X和IK2_R,所述私钥IK2_X和IK2_R计算相关联,用于对密钥提供方系统平台提供的加密后的消费密钥进行解密。本专利技术所述“系统平台”,至少包括加密机、业务处理机,是第三方、密钥接受方、密钥提供方处理智能卡交易的业务平台。本专利技术所述的“传输密钥”,是指注入密钥提供方的消费密钥时对在线路上传输的密钥数据进行加密的密钥,而不是指“主控密钥”、“维护密钥”或其它意义的密钥。本专利技术将传输密钥简称为IK,将消费密钥简称为PK,将TAC密钥简称为TK,将圈存密钥简称为LK ;第三方维护的传输密钥简称为IK_X,密钥接受方维护的传输密钥简称为IK_R。第三方维护的非对称密钥加密的传输密钥IK_X中,IK1_X表示传输密钥IK_X的公钥,IK2_X表示传输密钥IK_X的私钥;密钥接受方维护的非对称密钥加密的传输密钥IK_R中,IK1_R表示传输密钥IK_R的公钥,IK2_R表示传输密钥IK_R的私钥。本专利技术所述的密钥“计算相关联”,是指执行相关业务的加密运算时需要两个或两个以上的密钥一起参与加密运算;所述密钥分别由第三方和发卡方维护。也不是说这个密钥只存在两个或两个以上的密钥数据实体,当这个密钥有多个版本时,则具有相同用途的多个密钥数据实体。根据上述一种智能卡支付系统的一种优选实施方式,所述密钥提供方的消费密钥注入到密钥接受方的PSAM卡中的流程包括以下步骤 Q1、第三方系统平台产生非对称密钥加密的传输密钥IK_X,将传输密钥IK_X的公钥IK1_X提供给密钥提供方系统平台,将传输密钥IK_X的私钥IK2_X注入到密钥接受方的PSAM卡中; Q2、密钥接受方系统平台产生本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2012.02.14 CN 201210031656.01.一种智能卡支付系统,所述系统包括第三方系统平台、密钥接受方系统平台和密钥提供方系统平台、PSAM卡、用户卡和支付终端,其特征在于第三方系统平台设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥 κ_χ,所述传输密钥ΙΚ_Χ包括公钥ΙΚ1_Χ和私钥ΙΚ2_Χ,其中,公钥ΙΚ1_Χ提供给密钥提供方系统平台,私钥ΙΚ2_Χ注入到密钥接受方的PSAM卡中;密钥接受方系统平台设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥IK_R,所述传输密钥IK_R包括公钥IK1_R和私钥IK2_R,其中,公钥IK1_R提供给密钥提供方系统平台,私钥IK2_R注入到密钥接受方的PSAM卡中;密钥提供方系统平台设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥的公钥IK1_X和IK1_R,所述公钥IK1_X和IK1_R计算相关联,用于对密钥提供方系统平台的消费密钥进行加密;PSAM卡中设有密钥传输模块,所述密钥传输模块包含非对称密钥加密的传输密钥的私钥IK2_X和IK2_R,所述私钥IK2_X和IK2_R计算相关联,用于对密钥提供方系统平台提供的加密后的消费密钥进行解密。2.一种智能卡支付系统,所述系统包括第三方系统平台、密钥接受方系统平台和密钥提供方系统平台、PSAM卡、用户卡和支付终端,其特征在于密钥提供方的消费密钥注入到密钥接受方的PSAM卡中的流程包括以下步骤Q1、第三方系统平台产生非对称密钥加密的传输密钥IK_X,将传输密钥ΙΚ_Χ的公钥 ΙΚ1_Χ提供给密钥提供方系统平台,将传输密钥ΙΚ_Χ的私钥ΙΚ2_Χ注入到密钥接受方的 PSAM卡中;Q2、密钥接受方系统平台产生非对称密钥加密的传输密钥IK_R,将传输密钥IK_R的公钥IK1_R提供给密钥提供方系统平台,将传输密钥IK_R的私钥IK2_R注入到密钥接受方的 PSAM卡中;Q3、密钥提供方系统平台使用传输密钥IK_R的公钥IK1_R和传输密钥IK_X的公钥 ΙΚ1_Χ对该密钥提供方的消费密钥PK加密得到加密数据PKDl,将加密数据PKDl发送到密钥接受方的PSAM卡;Q4、密钥接受方的PSAM卡使用传输密钥ΙΚ_Χ的私钥ΙΚ2_Χ和传输密钥IK_R的私钥 IK2_R对加密数据PKDl解密得到密钥提供方的消费密钥PK,将该消费密钥PK记录。3.根据权利要求1所述一种智能卡支付系统,其特征在于第三方系统平台的密钥传输模块包含对称密钥加密的传输密钥IKA_X ;密钥提供方系统平台的密钥传输模块包含对称密钥加密的传输密钥IKA_X,用于与非对称密钥加密的传输密钥的公钥IK1_X和IK1_R —起对密钥提供方系统平台的消费密钥进行加密,所述传输密钥IKA_X由第三方系统平台注入;PSAM卡中的密钥传输模块包含对称密钥加密的传输密钥DIKA_X,用于与非对称密钥加密的传输密钥的私钥11(2_乂和IK2_R—起对密钥提供方系统平台提供的加密后的消费密钥进行解密,所述传输密钥DIKA_X与第三方系统平台的传输密钥IKA_X分散相关联,由第三方系统平台注入。4.根据权利要求1和权利要求3所述一种智能卡支付系统,其特征在于密钥提供方的消费密钥注入到密钥接受方的PSAM卡中的流程包括以下步骤R1、第三方系统平台产生非对称密钥加密的传输密钥IK_X,将传输密钥ΙΚ_Χ的公钥 ΙΚ1_Χ提供给密钥提供方系统平台,将传输密钥ΙΚ_Χ的私钥ΙΚ2_Χ注入到密钥接受方的 PSAM卡中;将与对称密钥加密的传输密钥ΙΚΑ_Χ分散相关联的传输密钥DIKA_X注入到密钥接受方的PSAM卡中;R2、密钥接受方系统平台产生非对称密钥加密的传输密钥IK_R,将传输密钥IK_R的公钥IK1_R提供给密钥提供方系统平台,将传输密钥IK_R的私钥IK2...
【专利技术属性】
技术研发人员:张龙其,
申请(专利权)人:张龙其,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。