CN103701812B

CN103701812B - 一种终端主密钥tmk安全下载方法及系统

Info

Publication number: CN103701812B
Application number: CN201310740264.6A
Authority: CN
Inventors: 孟陆强; 苏文龙; 洪逸轩
Original assignee: Fujian Landi Commercial Equipment Co Ltd
Current assignee: Fujian Landi Commercial Equipment Co Ltd
Priority date: 2013-03-15
Filing date: 2013-12-27
Publication date: 2017-01-25
Anticipated expiration: 2033-12-27
Also published as: CN103714634B; CN103729944B; CN103729943A; CN103746800B; CN103714640A; CN103701609A; CN103701812A; CN103714641B; CN103714638B; CN103714641A; CN103745351A; CN103729945A; CN103729945B; CN103714636B; CN103729940B; CN103731260B; CN103716167B; CN103714639B; CN103731259B; CN103716320A

Abstract

本发明公开一种终端主密钥TMK安全下载方法，该方法包括：S1、硬件加密机产生传输密钥TK，所述传输密钥TK包括非对称传输加密密钥TEK和非对称传输认证密钥AUK，将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统，将TEK的私钥Pr_tek和AUK的私钥Pr_auk通过安全方式注入到POS终端；S2、POS终端与KMS系统使用非对称传输认证密钥AUK进行双向认证；S3、如果认证通过，KMS系统Pu_tek加密终端主密钥TMK并将主密钥密文发送至POS终端；S4、POS终端使用Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK。本发明的有益效果为：通过传输密钥TK可以实现POS终端远程下载终端主密钥TMK，传输密钥TK包括非对称的传输认证密钥AUK和传输加密密钥TEK，因此有效保障TMK的传输安全。

Description

一种终端主密钥TMK安全下载方法及系统

技术领域

本发明涉及电子支付领域，尤其涉及一种终端主密钥TMK安全下载方法及系统。

背景技术

银行卡(BANK Card)作为支付工具越来越普及，通常的银行卡支付系统包括销售点终端(Point Of Sale，POS)、POS收单系统(POSP)、密码键盘(PIN PAD)和硬件加密机(Hardware and Security Module，HSM)。其中POS终端能够接受银行卡信息，具有通讯功能，并接受柜员的指令完成金融交易信息和有关信息交换的设备；POS收单系统对POS终端进行集中管理，包括参数下载，密钥下载，接受、处理或转发POS终端的交易请求，并向POS终端回送交易结果信息，是集中管理和交易处理的系统；密码键盘(PIN PAD)是对各种金融交易相关的密钥进行安全存储保护，以及对PIN进行加密保护的安全设备；硬件加密机(HSM)是对传输数据进行加密的外围硬件设备，用于PIN的加密和解密、验证报文和文件来源的正确性以及存储密钥。个人标识码(Personal Identification Number，PIN)，即个人密码，是在联机交易中识别持卡人身份合法性的数据信息，在计算机和网络系统中任何环节都不允许以明文的方式出现；终端主密钥(Terminal Master Key，TMK)，POS终端工作时，对工作密钥进行加密的主密钥，加密保存在系统数据库中；POS终端广泛应用于银行卡支付场合，比如厂商购物、酒店住宿等，是一种不可或缺的现代化支付手段，已经融入人们生活的各种场合。银行卡，特别是借记卡，一般都由持卡人设置了PIN，在进行支付过程中，POS终端除了上送银行卡的磁道信息等资料外，还要持卡人输入PIN供发卡银行验证持卡人的身份合法性，确保银行卡支付安全，保护持卡人的财产安全。为了防止PIN泄露或被破解，要求从终端到发卡银行整个信息交互过程中，全程对PIN进行安全加密保护，不允许在计算机网络系统的任何环节，PIN以明文的方式出现。

为防范密钥泄露风险，POS终端主密钥的下载必须控制在管理中心的安全机房进行，通过人工集中下载终端主密钥。从而带来维护中心机房工作量大；设备出厂后需要运输到管理中心安全机房下载密钥才能部署到商户，运输成本上升；为了集中下装密钥，需要大量的人手和工作时间，维护成本大、维护周期长等问题。

发明内容

为解决上述技术问题，本发明采用的一个技术方案是：

一种终端主密钥TMK安全下载方法，其特征在于，包括：S1、硬件加密机产生传输密钥TK，所述传输密钥TK包括非对称传输加密密钥TEK和非对称传输认证密钥AUK，将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统，将TEK的私钥Pr_tek和AUK的私钥Pr_auk通过安全方式注入到POS终端而后存储在密码键盘中；其中，所述KMS系统为密钥管理系统，用于管理终端主密钥TMK；S2、POS终端与KMS系统使用非对称传输认证密钥AUK进行双向认证；S3、如果认证通过，KMS系统使用传输加密密钥TEK的公钥Pu_tek加密终端主密钥TMK生成主密钥密文Ctmk_tk，并将主密钥密文Ctmk_tk发送至POS终端；S4、POS终端调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。

本发明还提供另一种技术方案是：

一种终端主密钥TMK安全下载系统，包括KMS系统、与KMS系统通信连接的POS终端以及硬件加密机，所述POS终端包括解密模块和双向认证A模块，其中，所述KMS系统为密钥管理系统，用于管理终端主密钥TMK；所述KMS系统包括加密模块和双向认证B模块，所述硬件加密机包括TK产生模块、TK发送模块；所述TK产生模块用于产生传输密钥TK，所述传输密钥TK包括非对称传输加密密钥TEK和非对称传输认证密钥AUK；所述TK发送模块用于将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统，将TEK的私钥Pr_tek和AUK的私钥Pr_auk通过安全方式注入到POS终端而后存储在密码键盘中；所述双向认证A模块与双向认证B模块用于使用非对称传输认证密钥AUK进行POS终端与KMS系统之间双向认证；所述加密模块用于当POS终端与KMS系统认证通过时，使用传输加密密钥TEK的公钥Pu_tek加密终端主密钥TMK生成主密钥密文Ctmk_tk，并将主密钥密文Ctmk_tk发送至POS终端；所述解密模块用于调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。

本发明的有益效果为：本发明通过硬件加密机产生非对称传输密钥TK，并将TK的公钥注入到KMS系统将TK的私钥注入到POS终端，使用TK加密TMK实现POS终端远程下载TMK，其中TK由硬件加密机产生，因此减少POS终端的硬件资料占用，解决POS终端自己产生非对称秘钥时间效率低的问题；并且所述TK为非对称密钥包括非对称传输加密密钥TEK和非对称认证密钥AUK，因此提高了终端主密钥TMK的传输安全。

附图说明

图1为本发明一实施方式中一种终端主密钥TMK安全下载系统的总体结构框图；

图2为图1中双向认证A模块的结构框图；

图3为图1中双向认证B模块的结构框图；

图4为本发明一实施方式中一种终端主密钥TMK安全下载方法的方法流程图。

主要元件符号说明：

10：POS终端；20：KMS系统；30：硬件加密机；101：解密模块；102：双向认证A模块；201：加密模块；202：双向认证B模块；301：TK发送模块；302：TK产生模块；1021：第一随机数产生单元；1022：第一数据收发单元；1023：第一加解密单元；1024：第一判断单元；2021：第二随机数产生单元；2022：第二数据收发单元；2023：第二加解密单元；2024：第二判断单元。

具体实施方式

为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。

首先，对本发明涉及的缩略语和关键术语进行定义和说明：

AUK：Authentication Key的简称，即认证密钥，用于PINPAD与密钥管理系统KMS之间的双向认证；

CA中心：所谓CA(Certificate Authority)中心，它是采用PKI(Public KeyInfrastructure)公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构；

HSM：High Security Machine的简称，高安全设备，在该系统中为硬件加密机；

KMS系统：Key Management System，密钥管理系统，用于管理终端主密钥TMK；

MAK：Mac Key的简称，即MAC计算密钥，与客户协商确定24字节对称密钥，用于MTMS系统与KMS系统之间TK的MAC值计算；

MTMS：全称Material Tracking Management System，物料追溯管理系统，主要在工厂生产时使用；

PIK：Pin Key的简称，即Pin加密密钥，是工作密钥的一种；

PINPAD：密码键盘；

PK：Protect Key的简称，即保护密钥，与客户协商确定，24字节对称密钥。用于MTMS/TCS与KMS之间TK的加密传输；

POS：Point Of Sale的简称，即销售终端

SNpinpad：密码键盘的序列号，PINPAD是内置时，和POS终端序列号SNpos一致；

SN：POS终端的序列号；

TEK：Transmission Encrypt Key的简称，即传输加密密钥，24字节对称密钥，用于PINPAD与密钥管理系统KMS之间TMK的加密传输；

TK：Transmission Key的简称，即传输密钥。传输密钥是由传输加密密钥TEK和双向认证密钥AUK组成的；

TMS：Terminal Management System的简称，即终端管理系统，用于完成POS终端信息管理、软件与参数配置、远程下载、终端运行状态信息收集管理、远程诊断等功能；

TMK：Terminal Master Key的简称，即终端主密钥，用于POS终端和支付收单系统之间工作密钥的加密传输；

安全房：具有较高安全级别，用于存放服务器的房间，该房间需要身份认证后才能进去。

智能IC卡：为CPU卡，卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM和固化在只读存储器ROM中的卡内操作系统COS(Chip OperatingSystem)，卡中数据分为外部读取和内部处理部分。

对称密钥：发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括：DES、3DES、IDEA、FEAL、BLOWFISH等。

非对称密钥：非对称加密算法需要两个密钥：公开密钥(私钥Public key)和私有密钥(公钥Private key)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方可以使用乙方的公钥对机密信息进行加密后再发送给乙方；乙方再用自己的私匙对加密后的信息进行解密。主要算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。

RSA：一种非对称密钥算法。RSA公钥加密算法是1977年由Ron Rivest、AdiShamirh和Len Adleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易。RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现在的三十多年里，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。

TDES Triple-DES：DES是一种对称加密算法，密钥是8字节。TDES是基于DES的加密算法，其密钥是16字节或者24字节。TDES/3DES是英文TripleDES的缩语(即三重数据加密标准)，DES则是英文Data Encryption Standard(数加密标准)的缩语。DES是一种对称密钥加密算法，即数据加密密钥与解密密钥相同的加密算法。DES由IBM公司在20世纪70年代开发并公开，随后为美国政府采用，并被美国国家标准局和美国国家标准协会(ANSI)承认。TDES/3DES是DES加密算法的一种模式，它使用3条64位的密钥对数据进行三次加密。是DES的一个更安全的变形。

为解决背景技术中存在的技术问题，本发明采用一种新的主密钥下载方案，通过POS终端随机产生TK(Transmission Key，传输密钥)，将产生后的TK保存于POS终端的密码键盘中，并将TK通过各种应用场景下所需的传输方式传送至KMS(Key Management System,密钥管理系统，用于管理终端主密钥TMK)中。

当POS终端申请下载终端主密钥TMK时，KMS系统使用TK加密终端主密钥TMK，并将加密后的终端主密钥密文发送给POS终端，POS终端接收后用TK对主密钥密文进行解密，得到终端主密钥TMK，并将终端主密钥TMK保存在密码键盘里。

如此，通过TK加密终端主密钥TMK，使TMK能够进行远程传输，方便TMK的安全下载。

上述通过POS终端采集传输密钥TK后发送至银行端对TMK进行加密，再通过POS终端远程下载经TK加密后的TMK的方法可以实现TMK的远程下载。但是，POS终端自己产生非对称秘钥TK的时间效率低，大大影响了整个系统的时间效率。

下面就对本发明克服上述问题的技术方案进行详细说明。

请参阅图1，为本发明一实施方式中一种终端主密钥TMK安全下载系统的结构框图，该系统包括KMS系统20、与KMS系统20通信连接的POS终端10以及硬件加密机30，所述POS终端10包括解密模块101和双向认证A模块102，所述KMS系统20包括加密模块201和双向认证B模块202，所述硬件加密机30包括TK产生模块302、TK发送模块301。

所述TK产生模块302用于产生传输密钥TK，所述传输密钥TK包括非对称传输加密密钥TEK和非对称传输认证密钥AUK；

所述TK发送模块301用于将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统20，将TEK的私钥Pr_tek和AUK的私钥Pr_auk通过安全方式注入到POS终端10而后存储在密码键盘中；

所述双向认证A模块102与双向认证B模块202用于使用非对称传输认证密钥AUK进行POS终端10与KMS系统20之间双向认证；

所述加密模块201用于当POS终端10与KMS系统20认证通过时，使用传输加密密钥TEK的公钥Pu_tek加密终端主密钥TMK生成主密钥密文Ctmk_tk，并将主密钥密文Ctmk_tk发送至POS终端10；

所述解密模块101用于调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。

其中，所述硬件加密机30还包括清除模块；

所述清除模块用于当硬件加密机将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统，将TEK的私钥Pr_tek和AUK的私钥Pr_auk通过安全方式注入到POS终端后，清除硬件加密机内的传输密钥TK。

其中，所述硬件加密机30还包括证书预装模块，所述证书预装模块用于将工作证书WorkCrt_kms上级根证书RootCrt_kms预装到POS终端，将工作证书WorkCrt_kms和对应私钥Pr_kms，预装到KMS系统，其中，所述WorkCrt_kms为CA中心使用根证书RootCrt_kms对私钥Pr_kms对应的公钥Pu_kms进行签名产生。

请参阅图2和图3，其中，图3为本发明实施方式中图1中双向认证A模块102的结构框图，图3为本发明实施方式中图1中双向认证B模块202的结构框图。所述双向认证A模块102包括第一随机数产生单元1021、第一数据收发单元1022、第一加解密单元1023以及第一判断单元1024，所述双向认证B模块202包括第二随机数产生单元2021、第二数据收发单元2022、第二加解密单元2023以及第二判断单元2024；

所述第一随机数产生单元1021用于产生第一随机数Rnd1；

所述第一数据收发单元1022用于将硬件序列号SN和第一随机数Rnd1发送给KMS系统20；

所述第二随机数产生2021单元用于生成第二随机数Rnd2；

所述第二加解密单元2023用于使用私钥Pr_kms对Rnd1加密生成第一密文C1，所述第二数据收发单元用于将Rnd2、C1以及WorkCrt_kms发送至POS终端10；

所述第一判断单元1024用于使用KMS系统20根证书RootCrt_kms校验KMS系统工作证书WorkCrt_kms的合法性；

所述第一加解密单元1023用于当所述工作证书WorkCrt_kms检验合法时，从WorkCrt_kms提取公钥Pu_kms，使用Pu_kms解密第一密文C1获得第三随机数Rnd1’；

第一判断单元1024还用于判断第一随机数Rnd1与第三随机数Rnd1’是否一致；

第一加解密单元1023用于当第一随机数Rnd1与第三随机数Rnd1’一致时，使用认证密钥AUK的私钥Pr_auk对第二随机数Rnd2加密生成第二密文C2；

第一数据收发单元1022用于将C2发送给KMS系统20；

第二加解密单元2023用于使用硬件序列号SN对应的认证密钥AUK的公钥Pu_auk解密第二密文C2生成第四随机数Rnd2’；

第二判断单元2024用于判断第二随机数Rnd2和第四随机数Rnd2’是否一致，并当判定第四随机数Rnd2’与第二随机数Rnd2一致时，确认KMS系统20与POS终端10之间的双向认证通过。

请参阅图4，为本发明一实施方式中一种终端主密钥TMK安全下载方法的方法流程图，该方法包括：

S1、硬件加密机产生传输密钥TK，所述传输密钥TK包括非对称传输加密密钥TEK和非对称传输认证密钥AUK，将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统，将TEK的私钥Pr_tek和AUK的私钥Pr_auk通过安全方式注入到POS终端而后存储在密码键盘中；其中，所述KMS系统为密钥管理系统，用于管理终端主密钥TMK；

S2、POS终端与KMS系统使用非对称传输认证密钥AUK进行双向认证；

S3、如果认证通过，KMS系统使用传输加密密钥TEK的公钥Pu_tek加密终端主密钥TMK生成主密钥密文Ctmk_tk，并将主密钥密文Ctmk_tk发送至POS终端；

S4、POS终端调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。

其中，所述步骤S1还包括当传输密钥TK注入完毕后，清除硬件加密机内的传输密钥TK。

其中，所述步骤S2之前还包括：POS终端预装工作证书WorkCrt_kms上级根证书RootCrt_kms，KMS系统预装工作证书WorkCrt_kms和对应私钥Pr_kms，其中，所述WorkCrt_kms为CA中心使用根证书RootCrt_kms对私钥Pr_kms对应的公钥Pu_kms进行签名产生；所述步骤S2具体为：POS终端预装工作证书WorkCrt_kms上级根证书RootCrt_kms，KMS系统预装工作证书WorkCrt_kms和对应私钥Pr_kms，POS终端与KMS系统使用非对称传输认证密钥AUK进行双向认证，其中，所述WorkCrt_kms为CA中心使用根证书RootCrt_kms对私钥Pr_kms对应的公钥Pu_kms进行签名产生。

其中，所述“POS终端与KMS系统使用非对称传输认证密钥AUK进行双向认证”具体包括：

POS终端产生随机数Rnd1，将硬件序列号SN和第一随机数Rnd1发送给KMS系统；

KMS系统生成第二随机数Rnd2，使用密钥服务器工作证书WorkCrt_kms包含的公钥Pu_kms对应的私钥Pr_kms对Rnd1加密生成第一密文C1，将Rnd2、C1以及WorkCrt_kms发送至POS终端；

POS终端使用密钥服务器根证书RootCrt_kms校验密钥服务器工作证书WorkCrt_kms的合法性，如果合法，从WorkCrt_kms提取公钥Pu_kms，使用Pu_kms解密第一密文C1获得第三随机数Rnd1’；

POS终端判断第一随机数Rnd1与第三随机数Rnd1’是否一致，如果一致，使用认证密钥AUK的私钥Pr_auk对第二随机数Rnd2加密生成第三密文C2’，将C2’发送给密钥服务器中的KMS系统；

密钥服务器中的KMS系统使用硬件序列号SN对应的认证密钥AUK的私钥Pr_auk加密第二随机数Rnd2生成第二密文C2；

密钥服务器中的KMS系统判断第二密文C2和第三密文C2’是否一致，如果一致，判定双向认证成功。

在本发明中，传输密钥TK产生时计算TK的原始希哈值，当每次存储、传输或使用TK时先校验TK的希哈值，当检验通过后才可以使用TK。通过校验TK的希哈值可以防止存储设备异常导致存储的数据错误，确定密钥是否正确。

本发明的有益效果为：本发明通过硬件加密机产生TK并注入到KMS系统和POS终端中，所述TK包括非对称加密密钥TEK和非对称认证密钥AUK，KMS系统与POS终端通过AUK进行双向认证，并使用TEK加密TMK，实现POS终端远程下载终端主密钥TMK，其中，所述非对称密钥TK是由硬件加密机产生，由于硬件加密机产生TK的时间效率远远高于POS终端，因此大大提高了POS终端下载终端主密钥TMK的效率。进一步地，本发明主密钥TMK是由KMS系统生成的，因此方便KMS系统对主密钥TMK的后续维护和管理。进一步地，所述TK包括非对称加密密钥TEK和非对称认证密钥AUK，使用非对称秘钥AUK进行双向认证,有效防止伪POS终端上传传输密钥TK窃取终端主密钥TMK，使用加密密钥TEK进行TMK加解密传输，秘钥用途的专属性,提高TMK下载的安全性。

进一步地，及时清除硬件加密机中的传输密钥TK可以防止硬件加密机被攻击时传输密钥TK被窃取。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种终端主密钥TMK安全下载方法，其特征在于，包括：

2.根据权利要求1所述的一种终端主密钥TMK安全下载方法，其特征在于，所述步骤S1还包括当传输密钥TK注入完毕后，清除硬件加密机内的传输密钥TK。

3.根据权利要求1所述的终端主密钥TMK安全下载方法，其特征在于，所述步骤S2之前还包括：POS终端预装工作证书WorkCrt_kms上级根证书RootCrt_kms，KMS系统预装工作证书WorkCrt_kms和对应私钥Pr_kms，其中，所述WorkCrt_kms为CA中心使用根证书RootCrt_kms对私钥Pr_kms对应的公钥Pu_kms进行签名产生；所述步骤S2具体为：POS终端预装工作证书WorkCrt_kms上级根证书RootCrt_kms，KMS系统预装工作证书WorkCrt_kms和对应私钥Pr_kms，POS终端与KMS系统使用非对称传输认证密钥AUK进行双向认证，其中，所述WorkCrt_kms为CA中心使用根证书RootCrt_kms对私钥Pr_kms对应的公钥Pu_kms进行签名产生。

4.根据权利要求1所述的一种终端主密钥TMK安全下载方法，其特征在于，所述“POS终端与KMS系统使用非对称传输认证密钥AUK进行双向认证”具体包括：

POS终端判断第一随机数Rnd1与第三随机数Rnd1’是否一致，如果一致，使用认证密钥AUK的私钥Pr_auk对第二随机数Rnd2加密生成第三密文C2’，将C2’发送给KMS系统；

KMS系统使用硬件序列号SN对应的认证密钥AUK的私钥Pr_auk加密第二随机数Rnd2生成第二密文C2；

KMS系统判断第二密文C2和第三密文C2’是否一致，如果一致，判定双向认证成功。

5.一种终端主密钥TMK安全下载系统，其特征在于，包括KMS系统、与KMS系统通信连接的POS终端以及硬件加密机，所述POS终端包括解密模块和双向认证A模块，所述KMS系统为密钥管理系统，用于管理终端主密钥TMK；

所述KMS系统包括加密模块和双向认证B模块，

所述硬件加密机包括TK产生模块、TK发送模块；

所述TK产生模块用于产生传输密钥TK，所述传输密钥TK包括非对称传输加密密钥TEK和非对称传输认证密钥AUK；

所述TK发送模块用于将TEK的公钥Pu_tek和AUK的公钥Pu_auk发送至KMS系统，将TEK的私钥Pr_tek和AUK的私钥Pr_auk通过安全方式注入到POS终端而后存储在密码键盘中；

所述双向认证A模块与双向认证B模块用于使用非对称传输认证密钥AUK进行POS终端与KMS系统之间双向认证；

所述加密模块用于当POS终端与KMS系统认证通过时，使用传输加密密钥TEK的公钥Pu_tek加密终端主密钥TMK生成主密钥密文Ctmk_tk，并将主密钥密文Ctmk_tk发送至POS终端；

所述解密模块用于调用密码键盘使用传输加密密钥TEK的私钥Pr_tek解密主密钥密文Ctmk_tk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。

6.根据权利要求5所述的终端主密钥TMK安全下载系统，其特征在于，所述硬件加密机还包括清除模块；

7.根据权利要求5所述的终端主密钥TMK安全下载系统，其特征在于，所述硬件加密机还包括证书预装模块，所述证书预装模块用于将工作证书WorkCrt_kms上级根证书RootCrt_kms预装到POS终端，将工作证书WorkCrt_kms和对应私钥Pr_kms，预装到KMS系统，其中，所述WorkCrt_kms为CA中心使用根证书RootCrt_kms对私钥Pr_kms对应的公钥Pu_kms进行签名产生。

8.根据权利要求7所述的终端主密钥TMK安全下载系统，其特征在于，所述双向认证A模块包括第一随机数产生单元、第一数据收发单元、第一加解密单元以及第一判断单元，所述双向认证B模块包括第二随机数产生单元、第二数据收发单元、第二加解密单元以及第二判断单元；

所述第一随机数产生单元用于产生第一随机数Rnd1；

所述第一数据收发单元用于将硬件序列号SN和第一随机数Rnd1发送给KMS系统；

所述第二随机数产生单元用于生成第二随机数Rnd2；

所述第二加解密单元用于使用私钥Pr_kms对Rnd1加密生成第一密文C1，所述第二数据收发单元用于将Rnd2、C1以及WorkCrt_kms发送至POS终端；

所述第一判断单元用于使用KMS系统根证书RootCrt_kms校验KMS系统工作证书WorkCrt_kms的合法性；

所述第一加解密单元用于当所述工作证书WorkCrt_kms检验合法时，从WorkCrt_kms提取公钥Pu_kms，使用Pu_kms解密第一密文C1获得第三随机数Rnd1’；

第一判断单元还用于判断第一随机数Rnd1与第三随机数Rnd1’是否一致；

第一加解密单元用于当第一随机数Rnd1与第三随机数Rnd1’一致时，使用认证密钥AUK的私钥Pr_auk对第二随机数Rnd2加密生成第二密文C2；

第一数据收发单元用于将C2发送给KMS系统；

第二加解密单元用于使用硬件序列号SN对应的认证密钥AUK的公钥Pu_auk解密第二密文C2生成第四随机数Rnd2’；

第二判断单元用于判断第二随机数Rnd2和第四随机数Rnd2’是否一致，并当判定第四随机数Rnd2’与第二随机数Rnd2一致时，确认KMS系统与POS终端之间的双向认证通过。