【技术实现步骤摘要】
一种终端主密钥TMK安全下载方法及系统
本专利技术涉及电子支付领域,尤其涉及一种终端主密钥TMK安全下载方法及系统。
技术介绍
银行卡(BANKCard)作为支付工具越来越普及,通常的银行卡支付系统包括销售点终端(PointOfSale,POS)、POS收单系统(POSP)、密码键盘(PINPAD)和硬件加密机(HardwareandSecurityModule,HSM)。其中POS终端能够接受银行卡信息,具有通讯功能,并接受柜员的指令完成金融交易信息和有关信息交换的设备;POS收单系统对POS终端进行集中管理,包括参数下载,密钥下载,接受、处理或转发POS终端的交易请求,并向POS终端回送交易结果信息,是集中管理和交易处理的系统;密码键盘(PINPAD)是对各种金融交易相关的密钥进行安全存储保护,以及对PIN进行加密保护的安全设备;硬件加密机(HSM)是对传输数据进行加密的外围硬件设备,用于PIN的加密和解密、验证报文和文件来源的正确性以及存储密钥。个人标识码(PersonalIdentificationNumber,PIN),即个人密码,是在联机交易中识别持卡人身份合法性的数据信息,在计算机和网络系统中任何环节都不允许以明文的方式出现;终端主密钥(TerminalMasterKey,TMK),POS终端工作时,对工作密钥进行加密的主密钥,加密保存在系统数据库中;POS终端广泛应用于银行卡支付场合,比如厂商购物、酒店住宿等,是一种不可或缺的现代化支付手段,已经融入人们生活的各种场合。银行卡,特别是借记卡,一般都由持卡人设置了PIN,在进行支付过程中,PO ...
【技术保护点】
一种终端主密钥TMK安全下载方法,其特征在于,包括步骤:S1、POS终端调用密码键盘产生传输密钥TK,所述传输密钥TK包括非对称传输加密密钥TEK和非对称认证密钥AUK;S2、POS终端将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统;S3、POS终端与KMS系统使用非对称认证密钥AUK进行双向认证;S4、如果认证通过,KMS系统调用硬件加密机使用传输加密密钥TEK的公钥Pu_tek加密终端主密钥TMK生成主密钥密文Ctmk_tk,并将主密钥密文Ctmk_tk发送至POS终端;S5、POS终端调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。
【技术特征摘要】
2013.03.15 CN 201310084397.2;2013.03.15 CN 20131001.一种终端主密钥TMK安全下载方法,其特征在于,包括步骤:S1、POS终端调用密码键盘产生传输密钥TK,所述传输密钥TK包括非对称传输加密密钥TEK和非对称认证密钥AUK;S2、POS终端将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统,所述KMS系统为密钥管理系统;S3、POS终端与KMS系统使用非对称认证密钥AUK进行双向认证;S4、如果认证通过,KMS系统调用硬件加密机使用传输加密密钥TEK的公钥Pu_tek加密终端主密钥TMK生成主密钥密文Ctmk_tk,并将主密钥密文Ctmk_tk发送至POS终端;S5、POS终端调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。2.根据权利要求1所述的终端主密钥TMK安全下载方法,其特征在于,所述步骤S5具体包括:POS终端调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK,并将主密钥TMK按TR-31格式进行打包,打包后以密文形式存储于密码键盘中。3.根据权利要求1所述的终端主密钥TMK安全下载方法,其特征在于,所述步骤S3之前还包括:KMS系统调用硬件加密机产生公钥Pu_kms和私钥Pr_kms,将私钥Pr存储在硬件加密机中,将公钥Pu发给CA中心;CA中心使用根证书RootCrt_kms对公钥Pu_kms签名生成工作证书WorkCrt_kms;将工作证书WorkCrt_kms预置于KMS系统,将工作证书WorkCrt_kms的上级根证书RootCrt_kms预置于POS终端。4.根据权利要求3所述的一种终端主密钥TMK安全下载方法,其特征在于,所述“POS终端与KMS系统使用非对称认证密钥AUK进行双向认证”具体包括:POS终端产生第一随机数Rnd1,将硬件序列号SN和第一随机数Rnd1发送给KMS系统;KMS系统生成第二随机数Rnd2,使用私钥Pr_kms对Rnd1加密生成第一密文C1,将Rnd2、C1以及WorkCrt_kms发送至POS终端;POS终端使用KMS系统根证书RootCrt_kms校验KMS系统工作证书WorkCrt_kms的合法性,如果合法,从WorkCrt_kms提取公钥Pu_kms,使用Pu_kms解密第一密文C1获得第三随机数Rnd1’;POS终端判断第一随机数Rnd1与第三随机数Rnd1’是否一致,如果一致,使用认证密钥AUK的私钥Pr_auk对第二随机数Rnd2加密生成第二密文C2,将C2发送给KMS系统;KMS系统使用硬件序列号SN对应的认证密钥AUK的公钥Pu_auk解密第二密文C2生成第四随机数Rnd2’;KMS系统判断第二随机数Rnd2和第四随机数Rnd2’是否一致,如果一致,判定双向认证成功。5.一种终端主密钥TMK安全下载系统,其特征在于,包括KMS系统、与KMS系统通信连接的POS终端、以及硬件加密机;所述POS终端包括TK产生模块、TK发送模块、解密模块、双向认证A模块,所述KMS系统包括TK接收模块、加密模块、双向认证B模块;所述TK产生模块用于...
【专利技术属性】
技术研发人员:苏文龙,孟陆强,姚承勇,
申请(专利权)人:福建联迪商用设备有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。