CN103716167A - 一种安全采集和分发传输密钥的方法及装置 - Google Patents

Abstract

本发明涉及电子支付终端领域，公开了一种安全采集和分发传输密钥的方法及，包括生成步骤和分发步骤，生成步骤主要包括对操作员卡的认证、整机序列号和工作证书的下载、POS终端的激活操作等，分发步骤主要包括加密机对MTMS系统中的SN-TK数据包进行重新加密和签名后分发至KMS系统。本发明还公开了一种安全采集传输密钥的装置和一种安全分发传输密钥的装置。其有益效果是：每台POS终端在生产时，传输密钥TK随机产生的，保证每台POS终端所采集到的TK数据具备唯一性；在TK采集过程中对操作人员进行严格的权限验证，保证安全性；分发过程进行严格的合法性验证、二次转加密及签名，保证生产所采集TK数据的准确性。

Description

一种安全采集和分发传输密钥的方法及装置

技术领域

本发明涉及电子支付领域，尤其涉及一种安全采集和分发传输密钥的方法及装置。

背景技术

银行卡（BANK Card）作为支付工具越来越普及，通常的银行卡支付系统包括销售点终端（Point Of Sale，POS）、POS收单系统（POSP）、密码键盘（PINPAD）和硬件加密机（Hardware and Security Module，HSM）。其中POS终端能够接受银行卡信息，具有通讯功能，并接受柜员的指令完成金融交易信息和有关信息交换的设备；POS收单系统对POS终端进行集中管理，包括参数下载，密钥下载，接受、处理或转发POS终端的交易请求，并向POS终端回送交易结果信息，是集中管理和交易处理的系统；密码键盘（PINPAD）是对各种金融交易相关的密钥进行安全存储保护，以及对PIN进行加密保护的安全设备；硬件加密机（HSM）是对传输数据进行加密的外围硬件设备，用于PIN的解密、验证报文和文件来源的正确性以及存储密钥。个人标识码（Personal IdentificationNumber，PIN），即个人密码，是在联机交易中识别持卡人身份合法性的数据信息，在计算机和网络系统中任何环节都不允许以明文的方式出现；终端主密钥（Terminal MasterKey，TMK），POS终端工作时，对工作密钥进行加密的主密钥，加密保存在系统数据库中；POS终端广泛应用于银行卡支付场合，比如厂商购物、酒店住宿等，是一种不可或缺的现代化支付手段，已经融入人们生活的各种场合。银行卡，特别是借记卡，一般都由持卡人设置了PIN，在进行支付过程中，POS终端除了上送银行卡的磁道信息等资料外，还要持卡人输入PIN供发卡银行验证持卡人的身份合法性，确保银行卡支付安全，保护持卡人的财产安全。为了防止PIN泄露或被破解，要求从终端到发卡银行整个信息交互过程中，全程对PIN进行安全加密保护，不允许在计算机网络系统的任何环节，PIN以明文的方式出现，因此目前接受输入PIN的POS终端都要求配备密钥管理体系。

POS终端的密钥体系分成二级：终端主密钥（TMK）和工作密钥（WK）。其中TMK用于对WK进行加密保护。每台POS终端有唯一的TMK，必须要有安全保护，保证只能写入设备并参与计算，不能读取；TMK是一个很关键的根密钥，如果TMK被截取，工作密钥就比较容易被破解，将严重威胁银行卡支付安全。所以能否安全下载TMK到POS终端，成为整个POS终端安全性的关键。现有的TMK下载方案如下：

1、密钥母POS方案：用户在POS收单系统硬件加密机和密钥母POS输入一样的传输加密密钥。POS终端通过密钥母POS向POS收单系统发起终端主密钥下载请求，POS收单系统驱动硬件加密机随机生成终端主密钥，并用传输加密密钥加密传输给密钥母POS，密钥母POS用传输加密密钥解密后再传输给POS终端，POS终端获得终端主密钥明文，保存到POS终端密码键盘，从而实现POS终端和POS收单系统之间终端主密钥的同步。

2、IC卡解密方案：用户在POS收单系统硬件加密机和IC卡中注入一样的传输加密密钥。用户将IC卡插入POS终端，POS终端向POS收单系统发起终端主密钥下载请求，POS收单系统驱动硬件加密机随机生成终端主密钥，并用传输加密密钥加密传输给POS终端，POS终端用IC卡中的传输加密密钥解密终端主密钥密文，获得终端主密钥明文，保存到POS终端密码键盘，从而实现POS终端和POS收单系统之间终端主密钥的同步。

上述两种方案都有以下缺点：终端主密钥明文出现在安全设备之外，为防范密钥泄露风险，终端主密钥的下载必须控制在管理中心的安全机房进行，通过人工集中下载终端主密钥。这就带来了维护中心机房工作量大、设备出厂后需要运输到管理中心安全机房下载密钥才能部署到商户导致运输成本上升、为了集中下装密钥需大量人手和工作时间导致成维护本大、维护周期长等问题。

发明内容

为解决上述技术问题，本发明采用的一个技术方案是，提供一种安全采集传输密钥的方法，包括步骤：

S101、操作终端接收到MTMS系统发送的输入操作员密码提示后，读取插入的操作员卡和输入的操作员密码，并将操作员卡信息发送至MTMS系统以验证操作员卡的合法性；

S102、MTMS系统判断接收到的操作员卡信息是否合法，若是，执行步骤S103，若否，返回步骤S101；

S103、MTMS系统发送整机序列号SN下载指令至POS终端，，并判断序列号SN是否下载成功，若是，进入步骤S104，若否，返回步骤S101；

S104、MTMS系统判断操作员卡是否拔出，若是，返回步骤S101，若否，控制MTMS系统向POS终端下载工作证书；

S105、POS终端验证下载的工作证书是否合法，若是，则从工作证书中提取公钥；

S106、POS终端随机生成传输密钥TK；

S107、POS终端采用公钥对传输密钥TK加密生成TK密文，将TK密文和序列号SN传输至MTMS系统；

S108、MTMS系统将TK密文和序列号SN进行打包生成SN-TK数据包，并使用操作员卡对SN-TK数据包签名；

S109、MTMS系统将对应所述SN-TK数据包的SN-TK生成成功状态信息发送至POS终端；

S110、POS终端判断是否接收到SN-TK生成成功状态信息，若是，则执行步骤S111，若否，则返回步骤S109；

S111、POS终端从生产态转换为使用态以完成激活，并生成终检成功标志发送至MTMS系统；

S112、MTMS系统收到终检成功标志后，保存该POS终端的SN-TK数据包。

本发明采用的另一个技术方案是，提供一种安全分发传输密钥的方法，包括步骤：

S201、MTMS系统获取需进行远程密钥下载的POS终端的序列号SN对应的SN-TK数据包；

S202、MTMS系统逐条验证SN-TK数据包的合法性；

S203、MTMS系统根据SN-TK数据包所对应的客户信息，获取客户KMS系统配置表中对应的密钥索引号，并发送至加密机，获取所需密钥信息，所需密钥包括用于对SN-TK数据包进行解密的私钥Pr、用于对解密后获取的TK进行对称加密的保护密钥PK、用于对经过PK加密后的传输密钥TK进行计算MAC值的密钥MAK；

S204、MTMS系统根据SN-TK对应的Pr索引号从加密机获取对应的Pr密钥信息，通过Pr对SN-TK数据包进行解密获取TK；

S205、MTMS系统根据SN-TK对应的客户信息获取对应的客户PK索引号，根据PK索引号从加密机获取对应的PK密钥信息，通过PK对TK、SN以及SN-TK数据包中的其他数据进行打包后加密生成新SN-TK数据包；

S206、MTMS系统根据SN-TK对应的客户信息获取对应的客户MAK索引号，根据MAK索引号从加密机获取对应的MAK密钥信息，通过MAK对新SN-TK数据包进行签名；

S207、MTMS系统将签名后的新SN-TK数据包保存到服务器；

S208、当进行传输密钥TK的分发时，MTMS系统将签名后的新SN-TK数据包发送至KMS系统；

S209、KMS系统对接收到的签名后的新SN-TK进行MAK验证并在验证通过后在KMS系统中建立新SN-TK的对应关系表。

本发明采用的另一个技术方案是，提供一种安全采集传输密钥的装置，包括操作终端、MTMS系统和POS终端，所述MTMS系统包括第一判断模块、SN下载控制模块、第二判断模块、打包模块、第一发送模块和SN-TK数据包保存模块，所述POS终端包括第一验证模块、TK生成模块、第一加密模块、第三判断模块和激活模块；

所述操作终端用于在接收到MTMS系统发送的输入操作员密码提示后，读取插入的操作员卡和输入的操作员密码，并将操作员卡信息发送至MTMS系统以验证操作员卡的合法性；

所述第一判断模块用于判断MTMS系统接收到的操作员卡信息是否合法，若是，通知SN下载控制模块执行操作，若否，通知操作终端执行操作；

所述SN下载控制模块用于发送整机序列号SN下载指令至POS终端，并判断序列号SN是否下载成功，若是，通知第二判断模块执行判断，若否，通知操作终端执行操作；

所述第二判断模块用于判断操作员卡是否拔出，若是，通知操作终端执行操作，若否，控制MTMS系统向POS终端下载工作证书；

所述第一验证模块用于验证下载的工作证书是否合法，若是，则从工作证书中提取公钥；

所述TK生成模块用于随机生成传输密钥TK；

所述第一加密模块用于采用公钥对传输密钥TK加密生成TK密文，将TK密文和序列号SN传输至MTMS系统；

所述打包模块用于将接收到的TK密文和序列号SN进行打包生成SN-TK数据包，并使用操作员卡对SN-TK数据包签名；

所述第一发送模块用于将对应所述SN-TK数据包的SN-TK生成成功状态信息发送至POS终端；

所述第三判断模块用于判断POS终端是否接收到SN-TK生成成功状态信息，若是，则通知激活模块执行操作，若否，通知第一发送模块执行操作；

所述激活模块用于使POS终端从生产态转换为使用态以完成POS终端激活，并生成终检成功标志发送至MTMS系统；

所述SN-TK数据包保存模块用于在收到终检成功标志后，保存该POS终端的SN-TK数据包。

本发明采用的另一个技术方案是，提供一种安全分发传输密钥的装置，包括MTMS系统、加密机和KMS系统，所述MTMS系统包括接收模块、第二验证模块、第三发送模块、解密模块、第二加密模块、签名模块、第四发送模块和TK分发模块；

所述接收模块用于获取需进行远程密钥下载的POS终端的序列号SN对应的SN-TK数据包；

所述第二验证模块用于逐条验证SN-TK数据包的合法性；

所述第三发送模块用于根据SN-TK数据包所对应的客户信息，获取客户KMS系统配置表中对应的密钥索引号，并发送至加密机，获取所需密钥信息，所需密钥包括用于对SN-TK数据包进行解密的私钥Pr、用于对解密后获取的TK进行对称加密的保护密钥PK、用于对经过PK加密后的传输密钥TK进行计算MAC值的密钥MAK；

所述解密模块用于根据SN-TK对应的Pr索引号从加密机获取对应的Pr密钥信息，通过Pr对SN-TK数据包进行解密获取TK；

所述第二加密模块用于根据SN-TK对应的客户信息获取对应的客户PK索引号，根据PK索引号从加密机获取对应的PK密钥信息，通过PK对TK、SN以及SN-TK数据包中的其他数据进行打包后加密生成新SN-TK数据包；

所述签名模块用于根据SN-TK对应的客户信息获取对应的客户MAK索引号，根据MAK索引号从加密机获取对应的MAK密钥信息，通过MAK对新SN-TK数据包进行签名；

所述第四发送模块用于将签名后的新SN-TK数据包保存到服务器；

所述TK分发模块用于当进行传输密钥TK的分发时，将签名后的新SN-TK数据包发送至KMS系统；

所述KMS系统用于对接收到的签名后的新SN-TK进行MAK验证并在验证通过后建立新SN-TK的对应关系表。

本发明的有益效果是：每台POS终端在生产时，传输密钥TK都是随机产生的，保证每台POS终端所采集到的TK数据具备唯一性；在TK采集过程中对操作人员进行严格的权限验证，这样尽最大可能防止他人对POS终端进行非法操作，保证其安全性；另外，对产生的TK数据在分发到客户的KMS系统前都进行合法性验证，同时进行二次转加密及签名，保证生产所采集TK数据的准确性。

附图说明

图1为本发明一实施方式中的一种安全采集传输密钥的装置的结构框图；

图2为本发明一实施方式中的一种安全采集传输密钥的方法的执行流程图；

图3为本发明一实施方式中的一种安全分发传输密钥的装置的结构框图；

图4为本发明一实施方式中的一种安全分发传输密钥的方法的执行流程图。

主要元件符号说明：

100、操作终端；

200、MTMS系统；210、第一判断模块；220、SN下载控制模块；230、第二判断模块；240、打包模块；250、第一发送模块；260、SN-TK数据包保存模块；270、接收模块；280、第二验证模块；290、第三发送模块；2100、解密模块；第2110、二加密模块；2120、签名模块；2130、第四发送模块；2140、TK分发模块；

300、POS终端；310、第一验证模块；320、TK生成模块；330、第一加密模块；340、第三判断模块；350、激活模块；

400、加密机；500、KMS系统。

具体实施方式

为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。

为解决背景技术中存在的问题，本发明采用一种新的主密钥下载方案，通过POS终端随机产生TK（Transmission Key，传输密钥），将产生后的TK保存于POS终端的密码键盘中，并将TK通过各种应用场景下所需的传输方式传送至KMS系统（Key Management System,密钥管理系统，用于管理终端主密钥TMK）中。

当POS终端申请下载终端主密钥TMK时，KMS系统使用TK加密终端主密钥TMK，并将加密后的终端主密钥密文发送给POS终端，POS终端接收后用TK对主密钥密文进行解密，得到终端主密钥TMK，并将终端主密钥TMK保存在密码键盘里。

如此，通过TK加密终端主密钥TMK，使TMK能够进行远程传输，方便TMK的安全下载。

在某些场景下，采用操作终端采集POS终端产生的TK，并由操作终端负责将TK传输给MTMS系统（Material Tracking Management System，物料追溯系统，主要在工厂生产中使用），由MTMS系统统一管理TK，并将TK发送给相应的KMS系统，所述输送过程由CA中心（Certificate Authority，证书授权中心，采用Public Key Infrastructure公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构）鉴别操作终端、MTMS系统和KMS系统的身份。采用操作终端采集TK可以方便TK的采集操作（可以实现一键采集等）和TK采集的权限管理；采用MTMS系统可以方便对TK统一管理，方便以后售后维修时POS终端的数据查找与下载，通过MTMS系统可以实现按生产单批量传输TK，方便TK的传输管理，防止TK误传给错误的对象；引入CA中心可以防止伪终端和伪KMS系统窃取TK。

本发明的应用场景为POS终端产生TK，操作终端采集TK并将TK传输给第三方（MTMS系统），由第三方进行处理后（转加密）发送给KMS系统，KMS系统接收到POS终端的下载请求后用TK加密TMK后发送给POS终端。

下面就对本发明克服上述问题的技术方案进行详细说明。

请参阅图1，图1为本发明一实施方式中的一种安全采集传输密钥的装置的结构框图，包括包括操作终端100、MTMS系统200和POS终端300。

所述MTMS系统200包括第一判断模块210、SN下载控制模块220、第二判断模块230、打包模块240、第一发送模块250和SN-TK数据包保存模块260。

所述POS终端300包括第一验证模块310、TK生成模块320、第一加密模块330、第三判断模块340和激活模块350。

所述操作终端100用于在接收到MTMS系统200发送的输入操作员密码提示后，读取插入的操作员卡和输入的操作员密码，并将操作员卡信息发送至MTMS系统200以验证操作员卡的合法性。

所述第一判断模块210用于判断MTMS系统200接收到的操作员卡信息是否合法，若是，通知SN下载控制模块220执行操作，若否，通知操作终端100执行操作。

所述SN下载控制模块220用于发送整机序列号SN下载指令至POS终端，并判断序列号SN是否下载成功，若是，通知第二判断模块执行判断，若否，通知操作终端100执行操作。

所述第二判断模块230用于判断操作员卡是否拔出，若是，通知操作终端100执行操作，若否，控制MTMS系统200向POS终端300下载工作证书。

所述第一验证模块310用于验证下载的工作证书是否合法，若是，则从工作证书中提取公钥。

所述TK生成模块320用于随机生成传输密钥TK。

所述第一加密模块330用于采用公钥对传输密钥TK加密生成TK密文，将TK密文和序列号SN传输至MTMS系统200。

所述打包模块240用于将接收到的TK密文和序列号SN进行打包生成SN-TK数据包，并使用操作员卡对SN-TK数据包签名。

所述第一发送模块250用于将对应所述SN-TK数据包的SN-TK生成成功状态信息发送至POS终端300。

所述第三判断模块340用于判断POS终端是否接收到SN-TK生成成功状态信息，若是，则通知激活模块350执行操作，若否，通知第一发送模块250执行操作。

所述激活模块350用于使POS终端300从生产态转换为使用态以完成POS终端激活，并生成终检成功标志发送至MTMS系统200。

所述SN-TK数据包保存模块260用于在收到终检成功标志后，保存该POS终端的SN-TK数据包。

请参阅图2，图2是本发明一实施方式中对应上述装置的一种安全采集传输密钥的方法的执行流程图，该方法包括步骤：

S101、操作终端接收到MTMS系统发送的输入操作员密码提示后，读取插入的操作员卡和输入的操作员密码，并将操作员卡信息发送至MTMS系统以验证操作员卡的合法性；

S102、MTMS系统判断接收到的操作员卡信息是否合法，若是，执行步骤S103，若否，返回步骤S101；

S103、MTMS系统发送整机序列号SN下载指令至POS终端，，并判断序列号SN是否下载成功，若是，进入步骤S104，若否，返回步骤S101；

S104、MTMS系统判断操作员卡是否拔出，若是，返回步骤S101，若否，控制MTMS系统向POS终端下载工作证书；

S105、POS终端验证下载的工作证书是否合法，若是，则从工作证书中提取公钥；

S106、POS终端随机生成传输密钥TK；

S107、POS终端采用公钥对传输密钥TK加密生成TK密文，将TK密文和序列号SN传输至MTMS系统；

S108、MTMS系统将TK密文和序列号SN进行打包生成SN-TK数据包，并使用操作员卡对SN-TK数据包签名；

S109、MTMS系统将对应所述SN-TK数据包的SN-TK生成成功状态信息发送至POS终端；

S110、POS终端判断是否接收到SN-TK生成成功状态信息，若是，则执行步骤S111，若否，则返回步骤S109；

S111、POS终端从生产态转换为使用态以完成激活，并生成终检成功标志发送至MTMS系统；

S112、MTMS系统收到终检成功标志后，保存该POS终端的SN-TK数据包。

请参阅图3，图3为本发明一实施方式中的一种安全分发传输密钥的装置，包括MTMS系统200、加密机400和KMS系统500。

所述MTMS系统200包括接收模块270、第二验证模块280、第三发送模块290、解密模块2100、第二加密模块2110、签名模块2120、第四发送模块2130和TK分发模块2140。

所述接收模块270用于获取需进行远程密钥下载的POS终端的序列号SN对应的SN-TK数据包。

所述第二验证模块280用于逐条验证SN-TK数据包的合法性。

所述第三发送模块290用于根据SN-TK数据包所对应的客户信息，获取客户KMS系统配置表中对应的密钥索引号，并发送至加密机400，获取所需密钥信息，所需密钥包括用于对SN-TK数据包进行解密的私钥Pr、用于对解密后获取的TK进行对称加密的保护密钥PK、用于对经过PK加密后的传输密钥TK进行计算MAC值的密钥MAK。

所述解密模块2100用于根据SN-TK对应的Pr索引号从加密机400获取对应的Pr密钥信息，通过Pr对SN-TK数据包进行解密获取TK。

所述第二加密模块2110用于根据SN-TK对应的客户信息获取对应的客户PK索引号，根据PK索引号从加密机400获取对应的PK密钥信息，通过PK对TK、SN以及SN-TK数据包中的其他数据进行打包后加密生成新SN-TK数据包。

所述签名模块2120用于根据SN-TK对应的客户信息获取对应的客户MAK索引号，根据MAK索引号从加密机400获取对应的MAK密钥信息，通过MAK对新SN-TK数据包进行签名。

所述第四发送模块2130用于将签名后的新SN-TK数据包保存到服务器。

所述TK分发模块2140用于当进行传输密钥TK的分发时，将签名后的新SN-TK数据包发送至KMS系统500。

所述KMS系统500用于对接收到的签名后的新SN-TK进行MAK验证并在验证通过后建立新SN-TK的对应关系表。

其中，还包括POS终端，所述KMS系统中还包括TMK加密模块、TMK发送模块，所述POS终端中包括TMK下载请求模块和TMK解密模块。

所述TMK加密模块用于采用TK对存储于KMS系统中的终端主密钥TMK进行加密生成TMK密文并保存。

所述TMK下载请求模块用于向KMS系统发送TMK下载请求信息，该请求信息中包含POS终端的SN。

所述TMK发送模块用于通过请求信息中的SN将对应该SN的TK加密过的TMK密文发送至POS终端。

所述TMK解密模块用于采用TK对TMK密文进行解密后获取TMK。

请参阅图4，图4是本发明一实施方式中对应上述装置的一种安全分发传输密钥的方法的执行流程图，该方法包括步骤：

S201、MTMS系统获取需进行远程密钥下载的POS终端的序列号SN对应的SN-TK数据包；

S202、MTMS系统逐条验证SN-TK数据包的合法性；

S203、MTMS系统根据SN-TK数据包所对应的客户信息，获取客户KMS系统配置表中对应的密钥索引号，并发送至加密机，获取所需密钥信息，所需密钥包括用于对SN-TK数据包进行解密的私钥Pr、用于对解密后获取的TK进行对称加密的保护密钥PK、用于对经过PK加密后的传输密钥TK进行计算MAC值的密钥MAK；

S204、MTMS系统根据SN-TK对应的Pr索引号从加密机获取对应的Pr密钥信息，通过Pr对SN-TK数据包进行解密获取TK；

S205、MTMS系统根据SN-TK对应的客户信息获取对应的客户PK索引号，根据PK索引号从加密机获取对应的PK密钥信息，通过PK对TK、SN以及SN-TK数据包中的其他数据进行打包后加密生成新SN-TK数据包；

S206、MTMS系统根据SN-TK对应的客户信息获取对应的客户MAK索引号，根据MAK索引号从加密机获取对应的MAK密钥信息，通过MAK对新SN-TK数据包进行签名；

S207、MTMS系统将签名后的新SN-TK数据包保存到服务器；

S208、当进行传输密钥TK的分发时，MTMS系统将签名后的新SN-TK数据包发送至KMS系统；

S209、KMS系统对接收到的签名后的新SN-TK进行MAK验证并在验证通过后在KMS系统中建立新SN-TK的对应关系表。

其中，在步骤S209之后还包括步骤：

S210、KMS系统采用TK对存储于KMS系统中的终端主密钥TMK进行加密生成TMK密文并保存；

S211、POS终端向KMS系统发送TMK下载请求信息，该请求信息中包含POS终端的SN；

S212、KMS系统通过请求信息中的SN将对应该SN的TK加密过的TMK密文发送至POS终端；

S212、POS终端采用TK对TMK密文进行解密后获取TMK。

本发明的有益效果在于，每台POS终端在生产时，传输密钥TK都是随机产生的，保证每台POS终端所采集到的TK数据具备唯一性；在TK采集过程中对操作人员进行严格的权限验证，这样尽最大可能防止他人对POS终端进行非法操作，保证其安全性；另外，对产生的TK数据在分发到客户的KMS系统前都进行合法性验证，同时进行二次转加密及签名，保证生产所采集TK数据的准确性。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (6)

1.一种安全采集传输密钥的方法，其特征在于，包括步骤：

S101、操作终端接收到MTMS系统发送的输入操作员密码提示后，读取插入的操作员卡和输入的操作员密码，并将操作员卡信息发送至MTMS系统以验证操作员卡的合法性；

S102、MTMS系统判断接收到的操作员卡信息是否合法，若是，执行步骤S103，若否，返回步骤S101；

S103、MTMS系统发送整机序列号SN下载指令至POS终端，并判断序列号SN是否下载成功，若是，进入步骤S104，若否，返回步骤S101；

S104、MTMS系统判断操作员卡是否拔出，若是，返回步骤S101，若否，控制MTMS系统向POS终端下载工作证书；

S105、POS终端验证下载的工作证书是否合法，若是，则从工作证书中提取公钥；

S106、POS终端随机生成传输密钥TK；

S107、POS终端采用公钥对传输密钥TK加密生成TK密文，将TK密文和序列号SN传输至MTMS系统；

S108、MTMS系统将TK密文和序列号SN进行打包生成SN-TK数据包，并使用操作员卡对SN-TK数据包签名；

S109、MTMS系统将对应所述SN-TK数据包的SN-TK生成成功状态信息发送至POS终端；

S110、POS终端判断是否接收到SN-TK生成成功状态信息，若是，则执行步骤S111，若否，则返回步骤S109；

S111、POS终端从生产态转换为使用态以完成激活，并生成终检成功标志发送至MTMS系统；

S112、MTMS系统收到终检成功标志后，保存该POS终端的SN-TK数据包。

2.一种安全分发传输密钥的方法，其特征在于，包括步骤：

S201、MTMS系统获取需进行远程密钥下载的POS终端的序列号SN对应的SN-TK数据包；

S202、MTMS系统逐条验证SN-TK数据包的合法性；

S203、MTMS系统根据SN-TK数据包所对应的客户信息，获取客户KMS系统配置表中对应的密钥索引号，并发送至加密机，获取所需密钥信息，所需密钥包括用于对SN-TK数据包进行解密的私钥Pr、用于对解密后获取的TK进行对称加密的保护密钥PK、用于对经过PK加密后的传输密钥TK进行计算MAC值的密钥MAK；

S204、MTMS系统根据SN-TK对应的Pr索引号从加密机获取对应的Pr密钥信息，通过Pr对SN-TK数据包进行解密获取TK；

S205、MTMS系统根据SN-TK对应的客户信息获取对应的客户PK索引号，根据PK索引号从加密机获取对应的PK密钥信息，通过PK对TK、SN以及SN-TK数据包中的其他数据进行打包后加密生成新SN-TK数据包；

S206、MTMS系统根据SN-TK对应的客户信息获取对应的客户MAK索引号，根据MAK索引号从加密机获取对应的MAK密钥信息，通过MAK对新SN-TK数据包进行签名；

S207、MTMS系统将签名后的新SN-TK数据包保存到服务器；

S208、当进行传输密钥TK的分发时，MTMS系统将签名后的新SN-TK数据包发送至KMS系统；

S209、KMS系统对接收到的签名后的新SN-TK进行MAK验证并在验证通过后在KMS系统中建立新SN-TK的对应关系表。

3.根据权利要求2所述的一种安全分发传输密钥的方法，其特征在于：在步骤S209之后还包括：

S210、KMS系统采用TK对存储于KMS系统中的终端主密钥TMK进行加密生成TMK密文并保存；

S211、POS终端向KMS系统发送TMK下载请求信息，该请求信息中包含POS终端的SN；

S212、KMS系统通过请求信息中的SN将对应该SN的TK加密过的TMK密文发送至POS终端；

S212、POS终端采用TK对TMK密文进行解密后获取TMK。

4.一种安全采集传输密钥的装置，其特征在于，包括操作终端、MTMS系统和POS终端，所述MTMS系统包括第一判断模块、SN下载控制模块、第二判断模块、打包模块、第一发送模块和SN-TK数据包保存模块，所述POS终端包括第一验证模块、TK生成模块、第一加密模块、第三判断模块和激活模块；

所述操作终端用于在接收到MTMS系统发送的输入操作员密码提示后，读取插入的操作员卡和输入的操作员密码，并将操作员卡信息发送至MTMS系统以验证操作员卡的合法性；

所述第一判断模块用于判断MTMS系统接收到的操作员卡信息是否合法，若是，通知SN下载控制模块执行操作，若否，通知操作终端执行操作；

所述SN下载控制模块用于发送整机序列号SN下载指令至POS终端，并判断序列号SN是否下载成功，若是，通知第二判断模块执行判断，若否，通知操作终端执行操作；

所述第二判断模块用于判断操作员卡是否拔出，若是，通知操作终端执行操作，若否，控制MTMS系统向POS终端下载工作证书；

所述第一验证模块用于验证下载的工作证书是否合法，若是，则从工作证书中提取公钥；

所述TK生成模块用于随机生成传输密钥TK；

所述第一加密模块用于采用公钥对传输密钥TK加密生成TK密文，将TK密文和序列号SN传输至MTMS系统；

所述打包模块用于将接收到的TK密文和序列号SN进行打包生成SN-TK数据包，并使用操作员卡对SN-TK数据包签名；

所述第一发送模块用于将对应所述SN-TK数据包的SN-TK生成成功状态信息发送至POS终端；

所述第三判断模块用于判断POS终端是否接收到SN-TK生成成功状态信息，若是，则通知激活模块执行操作，若否，通知第一发送模块执行操作；

所述激活模块用于使POS终端从生产态转换为使用态以完成POS终端激活，并生成终检成功标志发送至MTMS系统；

所述SN-TK数据包保存模块用于在收到终检成功标志后，保存该POS终端的SN-TK数据包。

5.一种安全分发传输密钥的装置，其特征在于，包括MTMS系统、加密机和KMS系统，所述MTMS系统包括接收模块、第二验证模块、第三发送模块、解密模块、第二加密模块、签名模块、第四发送模块和TK分发模块；

所述接收模块用于获取需进行远程密钥下载的POS终端的序列号SN对应的SN-TK数据包；

所述第二验证模块用于逐条验证SN-TK数据包的合法性；

所述第三发送模块用于根据SN-TK数据包所对应的客户信息，获取客户KMS系统配置表中对应的密钥索引号，并发送至加密机，获取所需密钥信息，所需密钥包括用于对SN-TK数据包进行解密的私钥Pr、用于对解密后获取的TK进行对称加密的保护密钥PK、用于对经过PK加密后的传输密钥TK进行计算MAC值的密钥MAK；

所述解密模块用于根据SN-TK对应的Pr索引号从加密机获取对应的Pr密钥信息，通过Pr对SN-TK数据包进行解密获取TK；

所述第二加密模块用于根据SN-TK对应的客户信息获取对应的客户PK索引号，根据PK索引号从加密机获取对应的PK密钥信息，通过PK对TK、SN以及SN-TK数据包中的其他数据进行打包后加密生成新SN-TK数据包；

所述签名模块用于根据SN-TK对应的客户信息获取对应的客户MAK索引号，根据MAK索引号从加密机获取对应的MAK密钥信息，通过MAK对新SN-TK数据包进行签名；

所述第四发送模块用于将签名后的新SN-TK数据包保存到服务器；

所述TK分发模块用于当进行传输密钥TK的分发时，将签名后的新SN-TK数据包发送至KMS系统；

所述KMS系统用于对接收到的签名后的新SN-TK进行MAK验证并在验证通过后建立新SN-TK的对应关系表。

6.根据权利要求5所述的一种安全分发传输密钥的装置，其特征在于：还包括POS终端，所述KMS系统中还包括TMK加密模块、TMK发送模块，所述POS终端中包括TMK下载请求模块和TMK解密模块；

所述TMK加密模块用于采用TK对存储于KMS系统中的终端主密钥TMK进行加密生成TMK密文并保存；

所述TMK下载请求模块用于向KMS系统发送TMK下载请求信息，该请求信息中包含POS终端的SN；

所述TMK发送模块用于通过请求信息中的SN将对应该SN的TK加密过的TMK密文发送至POS终端；

所述TMK解密模块用于采用TK对TMK密文进行解密后获取TMK。

Images