CN105790934A - 一种自适应的pos终端配置方法以其配置权转让方法 - Google Patents

一种自适应的pos终端配置方法以其配置权转让方法 Download PDF

Info

Publication number
CN105790934A
CN105790934A CN201610122620.1A CN201610122620A CN105790934A CN 105790934 A CN105790934 A CN 105790934A CN 201610122620 A CN201610122620 A CN 201610122620A CN 105790934 A CN105790934 A CN 105790934A
Authority
CN
China
Prior art keywords
pos terminal
pki
private key
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610122620.1A
Other languages
English (en)
Other versions
CN105790934B (zh
Inventor
姚翔
严翔翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN201610122620.1A priority Critical patent/CN105790934B/zh
Publication of CN105790934A publication Critical patent/CN105790934A/zh
Application granted granted Critical
Publication of CN105790934B publication Critical patent/CN105790934B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07GREGISTERING THE RECEIPT OF CASH, VALUABLES, OR TOKENS
    • G07G1/00Cash registers
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07GREGISTERING THE RECEIPT OF CASH, VALUABLES, OR TOKENS
    • G07G1/00Cash registers
    • G07G1/12Cash registers electronically operated
    • G07G1/14Systems including one or more distant stations co-operating with a central processing unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种自适应POS终端配置方法以及配置权转让方法。该自适应POS终端配置方法包括:POS终端厂商对POS终端中预先设置第一预置信息,POS终端厂商本身具有预先设置的第二预置信息,其中,所述第一预置信息和所述第二预置信息相互对应相关;POS终端在入网时在网络中公布身份信息以及用部分的所述第一预置信息进行数据处理后的身份信息,POS终端厂商在网络中公布对所述第二预置信息进行数据处理后的公告信息;以及网络节点根据所述第一预置信息、所述公告信息以及所述身份信息验证POS终端身份。根据本发明能够降低POS终端的配置成本。

Description

一种自适应的POS终端配置方法以其配置权转让方法
技术领域
本发明涉及通信领域,具体涉及一种POS终端配置方法及配置转让方法。
背景技术
随着POS终端的广泛使用,它的设置和维护变得日益重要。现有的POS终端配置由厂商根据收单机构的要求来配置,一旦商户、收单机构发生业务变化需要重新更新POS终端配置的情况下,或者变更POS终端所有权的情况下,POS终端需要返厂重新配置。而且该过程较为繁琐,不易于实现POS终端的所有权变更。
现有技术中还没有提出过如何在网络中识别POS终端的技术,而且,也没有提供一种能够根据更新配置来实现自适应配置的POS终端配置技术,更没有提出过能够实现配置权转让的POS终端配置方法。
发明内容
鉴于上述问题,本发明旨在提供一种能够在共识网络中实现自适应配置的POS终端配置方法以其配置权转让方法。
本发明的自适应POS终端配置方法,其特征在于,包括下述步骤:
预置步骤,POS终端厂商对POS终端中预先设置第一预置信息,POS终端厂商本身具有预先设置的第二预置信息,其中,所述第一预置信息和所述第二预置信息相互对应相关;
入网步骤,POS终端在入网时在网络中公布身份信息以及用部分的所述第一预置信息进行数据处理后的身份信息,POS终端厂商在网络中公布对所述第二预置信息进行数据处理后的公告信息;
验证步骤,网络节点根据所述第一预置信息、所述公告信息以及所述身份信息验证POS终端身份。
优选地,在所述验证步骤之后还具备:根据POS终端厂商签发的更新指更新POS终端配置的配置更新步骤。
优选地,所述配置更新步骤包括下述子步骤:
更新指令签发步骤,POS终端厂商签发更新指令,用所述第二预置信息对所述更新指令进行处理;
更新指令公布步骤,在网络上公布所述处理后的更新指令以及部分的所述第二预置信息;
更新指令验证步骤,POS终端基于所述第一预置信息、部分的所述第二预置信息对所述更新指令进行验证;以及
更新指令配置步骤,在通过验证之后,POS终端根据所述更新指令下载配置。
优选地,在所述预置步骤中,POS终端厂商对POS终端中预先设置公钥P2和私钥S1作为所述第一预置信息,POS终端厂商本身具有公钥P1和私钥S2作为所述第二预置信息,其中,所述公钥P1和所述私钥S1为一组公私钥对,所述公钥P2和所述私钥S2为一组公私钥对,
在所述入网步骤中,POS终端在入网时在网络中公布用所述私钥S1签名的身份信息,POS终端厂商在网络中公布包括用所述私钥S2签名后的公钥P1的公告信息,
在所述验证步骤中,网络节点根据所述公告信息和所述身份信息验证POS终端身份,在验证通过的情况下,允许该POS终端注册,在没有通过验证的情况下,拒绝该POS终端注册。
优选地,在所述预置步骤中,POS终端厂商对POS终端中预先设置公钥P2和私钥S1作为所述第一预置信息,POS终端厂商本身具有公钥P1和私钥S2作为所述第二预置信息,其中,所述公钥P1和所述私钥S1为一组公私钥对,所述公钥P2和所述私钥S2为一组公私钥对,
在所述入网步骤中,POS终端在入网时在网络中公布用所述私钥S1签名的身份信息,POS终端厂商在网络中公布包括用所述私钥S2签名后的公钥P1的公告信息,
在所述验证步骤中,网络节点根据所述公告信息和所述身份信息验证POS终端身份,在通过验证的情况下,允许该设备注册,在不通过验证的情况下拒绝该设备注册。
优选地,在所述更新指令签发步骤中,POS终端厂商用所述公钥P1签发更新指令K得到签名后的更新指令P1(K),对所述P1(K)进行规定运算得到H[P1(K)],用所述私钥S2对所述运算值H[P1(K)]进行签名得到签名后的运算值S2[H[P1(K)]];
在所述更新指令公布步骤中,在网络上广播所述运算值H[P1(K)]、所述签名后的运算值S2[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1
在所述更新指令验证步骤中,POS终端基于预先设置在POS终端的公钥P2和私钥S1,以及所述运算值H[P1(K)]、所述签名后的运算值S2[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1对更新指令进行验证。
优选地,所述规定运算是Hash运算。
优选地,所述更新指令验证步骤包括下述子步骤:
POS终端基于预先设置在POS终端的公钥P2解密所述签名后的运算值S2[H[P1(K)]]得到H[P1(K)]';
比较H[P1(K)]'和H[P1(K)]是否一致;
在两者一致的情况下,对所述更新指令P1(K)进行所述规定运算,得到H[P1(K)]”,并且比较该H[P1(K)]”和所述H[P1(K)]'是否一致;以及
在两者一致的情况下,通过更新指令的验证。
优选地,所述验证步骤包括下述子步骤:
第一验证子步骤,网络节点根据所述公钥P2验证用所述私钥S2签名的公钥P1是否是由POS终端厂商签发,其中,所述公钥P2被设置为公知的密钥;以及
第二验证子步骤,在第一验证子步骤通过验证的情况下,用所述公钥P1验证用所述私钥S1签名的身份信息,在通过验证的情况下,允许该设备注册,在不通过验证的情况下拒绝该设备注册。
优选地,所述网络是指全部网络或者可信节点。
本发明的自适应POS终端配置权的转让方法,其特征在于,包括下述步骤:
预置步骤:POS终端中预设有公钥PA和私钥S1,POS终端厂商A预设有私钥SA和公钥P1
转让发起步骤:POS终端厂商A发起将所有权转让给POS终端厂商B的转让声明,该声明消息包括P1、PB以及用基于SA、PB、S1、P1的连接关联信息并向全网广播并向全网广播;
信息确认知悉步骤:POS终端返回基于S1、P1、PB的确认知悉信息;
控制信息发送步骤:POS终端厂商B向全网广播加密控制信息,其中,所述加密控制信息是基于P1(K)、SA、PB、S1、P1的加密控制信息;以及
权利转让完成步骤:POS终端将保留的公钥PA替换为PB并且向网络中广播用私钥S1签名后的PB,即S1(PB)。
优选地,所述连接关联信息是指(SA[PB(S1)|Hash(P1|PB)],
所述确认知悉信息是指S1[|Hash(P1|PB)],
所述加密控制信息包括Hash[P1(K)]、SB[Hash[P1(K)]]、以及SA[PB(S1)|Hash(P1|PB)])。
优选地,在所述权利转让完成步骤之后具备根据POS终端厂商B签发的更新指更新POS终端配置的配置更新步骤。
优选地,所述配置更新步骤包括下述①~④的子步骤:
①更新指令签发子步骤:POS终端厂商B用所述公钥P1签发更新指令K得到签名后的更新指令P1(K),对所述P1(K)进行规定运算得到H[P1(K)],用POS终端厂商B的私钥SB对所述运算值H[P1(K)]进行签名得到签名后的运算值SB[H[P1(K)]];
②更新指令公布子步骤:POS终端厂商B在网络上广播所述运算值H[P1(K)]、所述签名后的运算值SB[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1
③更新指令验证子步骤:POS终端基于公钥PB和私钥S1,以及所述运算值H[P1(K)]、所述签名后的运算值SB[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1对更新指令进行验证。
④更新指令配置步骤:在通过验证之后,POS终端根据所述更新指令K下载配置。
优选地,所述网络是指全部网络或者可信节点。
根据本发明的自适应的POS终端配置方法以及POS终端配置权的转让方法,通过在全网中或者可信节点中共享共识数据库,采用脚本语言向全网或者可信节点广播控制信息,能够使得POS终端确认自己的状态变换,能够实现自适应的POS终端的配置更新。根据本发明的自适应的POS终端配置方法以及POS终端配置权的转让方法,,能够降低POS终端的配置更新成本,能够便捷地实现POS终端的所有权变更。
附图说明
图1是本发明的第一实施方式的自适应POS终端配置方法的流程图。
图2是本发明的第二实施方式的自适应POS终端配置方法的流程图。
图3是本发明的第三实施方式的自适应POS终端配置权的转让方法的流程图。
具体实施方式
下面介绍的是本发明的多个实施例中的一些,旨在提供对本发明的基本了解。并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。
本发明提供一种自适应的POS终端配置方法。通过本发明,POS终端可以在一种共识网络中实现自我配置。该方法通过在全网中共享共识数据库的方法,采用脚本语言向全网广播控制信息,使得POS终端可以确认自己的状态变化,实现自适应的POS终端的配置更新。
第一实施方式
下面参照附图对于本发明的第一实施方式的自适应POS终端配置方法进行说明。
图1是本发明的第一实施方式的自适应POS终端配置方法的流程图。
如图1所示,本发明的第一实施方式的自适应POS终端配置方法包括下述步骤:
预置步骤S100:POS终端厂商对POS终端中预先设置第一预置信息,POS终端厂商本身具有预先设置的第二预置信息,所述第一预置信息和所述第二预置信息相互对应相关;
入网步骤S200:POS终端在入网时在网络中公布身份信息和用部分的所述第一预置信息进行数据处理后的身份信息,POS终端厂商在网络中公布对所述第二预置信息进行数据处理后的公告信息;
验证步骤S300:网络节点根据所述第一预置信息、所述公告信息和所述身份信息验证POS终端身份,在验证通过的情况下,允许该POS终端注册,在验证不通过的情况下拒绝该POS终端注册。
接着,对于预置步骤S100、入网步骤S200以及验证步骤S300进行具体说明。
在预置步骤S100,POS终端出厂时,POS终端厂商生成一组公私钥对(P1、S1),同时POS终端厂商拥有自己的公私钥对(P2、S2),这样,POS终端中保留公钥P2、私钥S1,即将公钥P2、私钥S1作为上述第一预置信息,同时,POS终端厂商保留私钥S2、公钥P1,即将私钥S2、公钥P1作为上述第二预置信息。
在入网步骤S200中,POS终端在入网时在网络中公布用所述私钥S1签名的身份信息M,这里身份信息M是包含设备名称、地址、id等的信息,POS终端以发送上述身份信息M的形式声明入网,并在网络中广播用私钥S1签名后的身份信息M,另一方面,POS终端厂商在网络中广播用所述私钥S2签名后的公钥P1的公告信息。
这里“在网络中广播”是指向网络上的所有节点发出信息,目的保证信息公证、不被篡改。但是,另一方面,从降低信息传输量的角度来考虑,在本发明中,也可以不是在全部网络中广播,而是选择性地发送到可信节点。
在验证步骤S300中,网络节点根据在网络中广播的公告信息即用所述私钥S2签名后的公钥P1、以及用私钥S1签名的身份信息M验证POS终端身份,在通过验证的情况下,允许该设备注册,在不通过验证的情况下拒绝该设备注册。具体地,该验证步骤S300包括下述子步骤:
第一验证子步骤,网络节点根据所述公钥P2验证用所述私钥S2签名的公钥P1是否是由POS终端厂商签发,其中,所述公钥P2被认为是公知的;以及
第二验证子步骤,在第一验证子步骤通过验证的情况下,用获得的所述公钥P1验证用所述私钥S1签名的身份信息M,在通过验证的情况下,允许该POS终端注册,在不通过验证的情况下拒绝该POS终端注册。
这里,简单地对于公钥和私钥基本常识进行介绍。公钥和私钥的基本特性如下:(1)公钥和私钥成对出现;(2)公开的密钥叫公钥,只有设备自己知道的叫私钥;(3)用公钥加密的数据只有对应的私钥可以解密;(4)用私钥加密的数据只有对应的公钥可以解密;(5)如果可以用公钥解密,则必然是对应的私钥加的密;(6)如果可以用私钥解密,则必然是对应的公钥加的密。
在本发明中就是利用了上述的基本特性(5)、即如果可以用公钥解密,则必然是对应的私钥加的密,这就是数字签名的基本特性,用私钥加密数据,用公钥来验证数字签名。
利用上述本发明的第一实施方式的自适应POS终端配置方法,POS终端在网络中通过上述预置步骤S100、入网步骤S200以及验证步骤S300能够实现自我身份认定。
第二实施方式
下面参照附图对于本发明的第二实施方式的自适应POS终端配置方法进行说明。
图2是本发明的第二实施方式的自适应POS终端配置方法的流程图。
如图2所示,本发明的第二实施方式的自适应POS终端配置方法包括下述步骤:
预置步骤S101:POS终端厂商对POS终端中预先设置第一预置信息,POS终端厂商本身具有预先设置的第二预置信息,所述第一预置信息和所述第二预置信息相互对应相关;
入网步骤S102:POS终端在入网时在网络中公布身份信息和用部分的所述第一预置信息进行数据处理后的身份信息,POS终端厂商在网络中公布对所述第二预置信息进行数据处理后的公告信息;
验证步骤S103:网络节点根据所述第一预置信息、所述公告信息和所述身份信息验证POS终端身份,在验证通过的情况下,允许该POS终端注册,在验证不通过的情况下拒绝该POS终端注册;以及
配置更新步骤S104:POS终端厂商签发更新指令,POS终端根据所述更新指令下载配置。
接着,具体地对于预置步骤S101、入网步骤S102以及验证步骤S103以及配置更新步骤S104进行说明。
在预置步骤S101,POS终端出厂时,POS终端厂商生成一组公私钥对(P1、S1),同时POS终端厂商拥有自己的公私钥对(P2、S2),这样,POS终端中保留公钥P2、私钥S1,即将公钥P2、私钥S1作为第一预置信息,同时,POS终端厂商保留私钥S2、公钥P1,作为上述第二预置信息。
在入网步骤S102中,POS终端在入网时在网络中公布用所述私钥S1签名的身份信息M,这里身份信息M可以包含设备名称、地址、id信息等,POS终端以发送上述身份信息M的形式声明入网,并在网络中广播用私钥S1签名后的身份信息M,另一方面,POS终端厂商在网络中广播用所述私钥S2签名后的公钥P1的公告信息。
这里“在网络中广播”是指向网络上的所有节点发出信息,目的保证信息公证、不被篡改。但是从降低信息传输量的角度来考虑,也可以不是在全部网络中广播,而是选择性的发送到可信节点。
在验证步骤S103中,网络节点根据在网络中广播的公告信息即用所述私钥S2签名后的公钥P1、以及用私钥S1签名的身份信息M验证POS终端身份,在通过验证的情况下,允许该设备注册,在不通过验证的情况下拒绝该设备注册。
具体地验证步骤S103包括下述子步骤:
第一验证子步骤,网络节点根据所述公钥P2验证用所述私钥S2签名的公钥P1是否是由POS终端厂商签发,其中,所述公钥P2被认为是公知的;以及
第二验证子步骤,在第一验证子步骤通过验证的情况下,用所述公钥P1验证用所述私钥S1签名的身份信息M,在通过验证的情况下,允许该POS终端注册,在不通过验证的情况下拒绝该POS终端注册。
配置更新步骤S104包括下述①~④的子步骤:
①更新指令签发子步骤:POS终端厂商用所述公钥P1签发更新指令K得到签名后的更新指令P1(K),对所述P1(K)进行Hash运算得到Hash[P1(K)],用所述私钥S2对所述运算值Hash[P1(K)]进行签名得到签名后的运算值S2[H[P1(K)]];
②更新指令公布子步骤:POS终端厂商在网络上广播所述运算值Hash[P1(K)]、所述签名后的运算值S2[Hash[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1;以及
③更新指令验证子步骤:POS终端基于预先设置在POS终端的公钥P2和私钥S1,以及所述运算值Hash[P1(K)]、所述签名后的运算值S2[Hash[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1对更新指令进行验证。
具体地,该更新指令验证步骤包括下述子步骤:
POS终端基于预先设置在POS终端的公钥P2解密所述签名后的运算值S2[Hash[P1(K)]]得到Hash[P1(K)]';
比较Hash[P1(K)]'和原本的Hash[P1(K)]是否一致;
在两者一致的情况下,对所述更新指令P1(K)进行所述Hash运算,得到Hash[P1(K)]”,并且比较运算后得到的Hash[P1(K)]”和解密后得到的所述Hash[P1(K)]'是否一致;以及
在两者一致的情况下,通过更新指令的验证。
④更新指令配置步骤:在通过验证之后,POS终端根据所述更新指令K下载配置。
利用上述本发明的第二实施方式的自适应POS终端配置方法,POS终端在网络中通过上述预置步骤S101、入网步骤S102、验证步骤S103以及配置更新步骤S104,不需要返回POS终端厂商就能够实现POS终端的重新配置,能够降低POS终端配置更新成本,简化POS终端配置更新的步骤。
第三实施方式
下面参照附图对于本发明的第三实施方式的自适应POS终端配置权的转让方法进行说明。
图3是本发明的第三实施方式的自适应POS终端配置权的转让方法的流程图。
在第三实施方式中描述用于实现POS终端厂商A将配置权转让给POS终端厂商B的转让方法。
如图3所示,本发明的第三实施方式的自适应POS终端配置权的转让方法包括以下步骤:
预置步骤S110:POS终端出厂时,POS终端厂商A生成一组公私钥对分配给POS终端(P1、S1),同时POS终端厂商拥有自己的公私钥对(PA、SA),这样,POS终端中保留公钥PA、私钥S1,同时,POS终端厂商保留私钥SA、公钥P1
转让发起步骤S120:在POS终端厂商A将设备配置权转让给其他商户、个人或者机构的情况下,即,POS终端厂商A原来拥有(PA、SA),需要将该权利转让给POS终端厂商B即(PB、SB),则POS终端厂商A发起一笔声明,将所有权转让给POS终端厂商B,该声明消息包括P1、PB以及SA[PB(S1)|Hash(P1|PB)],向全网广播,所有节点均可验证该消息。其中,PB(S1)是指使用厂商B的公钥对S1进行加密,Hash(P1|PB)指对P1和PB的连接进行摘要,最后再用厂商A的私钥SA进行签名;
信息确认知悉步骤S130:POS终端得知所有权发生变更后,返回信息S1[|Hash(P1|PB)],并且所有节点均可以认证。其中,Hash(P1|PB)指对P1和PB的连接进行摘要,再使用POS终端的私钥S1对它进行签名;
控制信息发送步骤S140:厂商B向全网广播加密后的控制信息,其中,加密后的控制信息是Hash[P1(K)]、SB[Hash[P1(K)]]、SA[PB(S1)|Hash(P1|PB)],这些加密后的控制信息分别用来保证控制信息的完整性、机密性、合法性(由正确的厂商发出);以及
权利转让完成步骤S150:POS终端将保留的公钥PA替换为PB并且向网络中广播用私钥S1签名后的PB,即S1(PB),则完成配置权的转让。
利用上述步骤S110、S120、S130、S140以及S150,能够将厂商A拥有的配置权(PA、SA)转让给厂商B(PB、SB)。
在此基础上,进一步结合第二实施方式中已经描写过的配置更新步骤来更新已经实现了权利转让的POS终端的配置,由此,实现自适应的POS终端配置。
接着,对于在权利转让完成步骤S150之后进一步设置的配置更新步骤S160进行说明。
配置更新步骤S160包括下述①~④的子步骤:
①更新指令签发子步骤:POS终端厂商B用所述公钥P1签发更新指令K得到签名后的更新指令P1(K),对所述P1(K)进行Hash运算得到Hash[P1(K)],用POS终端厂商B的私钥SB对所述运算值Hash[P1(K)]进行签名得到签名后的运算值SB[Hash[P1(K)]];
②更新指令公布子步骤:POS终端厂商B在网络上广播所述运算值Hash[P1(K)]、所述签名后的运算值SB[Hash[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1
③更新指令验证子步骤:POS终端基于预先设置在POS终端的公钥PB和私钥S1,以及所述运算值Hash[P1(K)]、所述签名后的运算值SB[Hash[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1对更新指令进行验证。
具体地,该更新指令验证步骤包括下述子步骤:
POS终端基于设置在POS终端的公钥PB解密所述签名后的运算值SB[Hash[P1(K)]]得到Hash[P1(K)]';
比较Hash[P1(K)]'和原本的Hash[P1(K)]是否一致;
在两者一致的情况下,对所述更新指令P1(K)进行所述Hash运算,得到Hash[P1(K)]”,并且比较运算后得到的Hash[P1(K)]”和解密后得到的所述Hash[P1(K)]'是否一致;以及
在两者一致的情况下,通过更新指令的验证。
④更新指令配置步骤:在通过验证之后,POS终端根据所述更新指令K下载配置。
根据本发明的自适应的POS终端配置方法以及POS终端配置权的转让方法,通过在全网中或者可信节点中共享共识数据库,采用脚本语言向全网或者可信节点广播控制信息,能够使得POS终端确认自己的状态变换,能够实现自适应的POS终端的配置更新。根据本发明的自适应的POS终端配置方法以及POS终端配置权的转让方法,,能够降低POS终端的配置更新成本,能够便捷地实现POS终端的所有权变更。
以上例子主要说明了本发明的自适应的POS终端配置方法以及POS终端配置权的转让方法。尽管只对其中一些本发明的具体实施方式进行了描述,但是本领域普通技术人员应当了解,本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此,所展示的例子与实施方式被视为示意性的而非限制性的,在不脱离如所附各权利要求所定义的本发明精神及范围的情况下,本发明可能涵盖各种的修改与替换。

Claims (15)

1.一种自适应POS终端配置方法,其特征在于,包括下述步骤:
预置步骤,POS终端厂商对POS终端中预先设置第一预置信息(P2,S1),POS终端厂商本身具有预先设置的第二预置信息(P1、S2),其中,所述第一预置信息和所述第二预置信息相互对应相关;
入网步骤,POS终端在入网时在网络中公布身份信息以及用部分的所述第一预置信息进行数据处理后的身份信息(即用S1签名),POS终端厂商在网络中公布对所述第二预置信息进行数据处理后的公告信息(即用S2签名P1);以及
验证步骤,网络节点根据所述第一预置信息、所述公告信息以及所述身份信息验证POS终端身份。
2.如权利要求1所述的自适应POS终端配置方法,其特征在于,
在所述验证步骤之后还具备:
根据POS终端厂商签发的更新指更新POS终端配置的配置更新步骤。
3.如权利要求2所述的自适应POS终端配置方法,其特征在于,
所述配置更新步骤包括下述子步骤:
更新指令签发步骤,POS终端厂商签发更新指令,用所述第二预置信息对所述更新指令进行处理;
更新指令公布步骤,在网络上公布所述处理后的更新指令以及部分的所述第二预置信息;
更新指令验证步骤,POS终端基于所述第一预置信息、部分的所述第二预置信息对所述更新指令进行验证;以及
更新指令配置步骤,在通过验证之后,POS终端根据所述更新指令下载配置。
4.如权利要求1所述的自适应POS终端配置方法,其特征在于,
在所述预置步骤中,POS终端厂商对POS终端中预先设置公钥P2和私钥S1作为所述第一预置信息,POS终端厂商本身具有公钥P1和私钥S2作为所述第二预置信息,其中,所述公钥P1和所述私钥S1为一组公私钥对,所述公钥P2和所述私钥S2为一组公私钥对,
在所述入网步骤中,POS终端在入网时在网络中公布用所述私钥S1签名的身份信息,POS终端厂商在网络中公布包括用所述私钥S2签名后的公钥P1的公告信息,
在所述验证步骤中,网络节点根据所述公告信息和所述身份信息验证POS终端身份,在验证通过的情况下,允许该POS终端注册,在没有通过验证的情况下,拒绝该POS终端注册。
5.如权利要求3所述的自适应POS终端配置方法,其特征在于,
在所述预置步骤中,POS终端厂商对POS终端中预先设置公钥P2和私钥S1作为所述第一预置信息,POS终端厂商本身具有公钥P1和私钥S2作为所述第二预置信息,其中,所述公钥P1和所述私钥S1为一组公私钥对,所述公钥P2和所述私钥S2为一组公私钥对,
在所述入网步骤中,POS终端在入网时在网络中公布用所述私钥S1签名的身份信息,POS终端厂商在网络中公布包括用所述私钥S2签名后的公钥P1的公告信息,
在所述验证步骤中,网络节点根据所述公告信息和所述身份信息验证POS终端身份,在通过验证的情况下,允许该设备注册,在不通过验证的情况下拒绝该设备注册。
6.如权利要求5所述的自适应POS终端配置方法,其特征在于,
在所述更新指令签发步骤中,POS终端厂商用所述公钥P1签发更新指令K得到签名后的更新指令P1(K),对所述P1(K)进行规定运算得到H[P1(K)],用所述私钥S2对所述运算值H[P1(K)]进行签名得到签名后的运算值S2[H[P1(K)]];
在所述更新指令公布步骤中,在网络上广播所述运算值H[P1(K)]、所述签名后的运算值S2[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1
在所述更新指令验证步骤中,POS终端基于预先设置在POS终端的公钥P2和私钥S1,以及所述运算值H[P1(K)]、所述签名后的运算值S2[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1对更新指令进行验证。
7.如权利要求5所述的自适应POS终端配置方法,其特征在于,
所述规定运算是Hash运算。
8.如权利要求6所述的自适应POS终端配置方法,其特征在于,
所述更新指令验证步骤包括下述子步骤:
POS终端基于预先设置在POS终端的公钥P2解密所述签名后的运算值S2[H[P1(K)]]得到H[P1(K)]';
比较H[P1(K)]'和H[P1(K)]是否一致;
在两者一致的情况下,对所述更新指令P1(K)进行所述规定运算,得到H[P1(K)]”,并且比较该H[P1(K)]”和所述H[P1(K)]'是否一致;以及
在两者一致的情况下,通过更新指令的验证。
9.如权利要求3~8任意一项所述的自适应POS终端配置方法,其特征在于,
所述验证步骤包括下述子步骤:
第一验证子步骤,网络节点根据所述公钥P2验证用所述私钥S2签名的公钥P1是否是由POS终端厂商签发,其中,所述公钥P2被设置为公知的密钥;以及
第二验证子步骤,在第一验证子步骤通过验证的情况下,用所述公钥P1验证用所述私钥S1签名的身份信息,在通过验证的情况下,允许该设备注册,在不通过验证的情况下拒绝该设备注册。
10.如权利要求3~8任意一项所述的自适应POS终端配置方法,其特征在于,
所述网络是指全部网络或者可信节点。
11.一种自适应POS终端配置权的转让方法,其特征在于,包括下述步骤:
预置步骤:POS终端中预设有公钥PA和私钥S1,POS终端厂商A预设有私钥SA和公钥P1
转让发起步骤:POS终端厂商A发起将所有权转让给POS终端厂商B的转让声明,该声明消息包括P1、PB以及用基于SA、PB、S1、P1的连接关联信息并向全网广播并向全网广播;
信息确认知悉步骤:POS终端返回基于S1、P1、PB的确认知悉信息;
控制信息发送步骤:POS终端厂商B向全网广播加密控制信息,其中,所述加密控制信息是基于P1(K)、SA、PB、S1、P1的加密控制信息;以及
权利转让完成步骤:POS终端将保留的公钥PA替换为PB并且向网络中广播用私钥S1签名后的PB,即S1(PB)。
12.如权利要求11所述的自适应POS终端配置权的转让方法,其特征在于,
所述连接关联信息是指(SA[PB(S1)|Hash(P1|PB)],
所述确认知悉信息是指S1[|Hash(P1|PB)],
所述加密控制信息包括Hash[P1(K)]、SB[Hash[P1(K)]]、以及SA[PB(S1)|Hash(P1|PB)])。
13.如权利要求12所述的自适应POS终端配置权的转让方法,其特征在于,
在所述权利转让完成步骤之后具备根据POS终端厂商B签发的更新指更新POS终端配置的配置更新步骤。
14.如权利要求13所述的自适应POS终端配置权的转让方法,其特征在于,
所述配置更新步骤包括下述①~④的子步骤:
①更新指令签发子步骤:POS终端厂商B用所述公钥P1签发更新指令K得到签名后的更新指令P1(K),对所述P1(K)进行规定运算得到H[P1(K)],用POS终端厂商B的私钥SB对所述运算值H[P1(K)]进行签名得到签名后的运算值SB[H[P1(K)]];
②更新指令公布子步骤:POS终端厂商B在网络上广播所述运算值H[P1(K)]、所述签名后的运算值SB[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1
③更新指令验证子步骤:POS终端基于公钥PB和私钥S1,以及所述运算值H[P1(K)]、所述签名后的运算值SB[H[P1(K)]]、所述签名后的更新指令P1(K)、所述公钥P1对更新指令进行验证;以及
④更新指令配置步骤:在通过验证之后,POS终端根据所述更新指令K下载配置。
15.如权利要求11~14任何一项所述的自适应POS终端配置权的转让方法,其特征在于,
所述网络是指全部网络或者可信节点。
CN201610122620.1A 2016-03-04 2016-03-04 一种自适应的pos终端配置方法以其配置权转让方法 Active CN105790934B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610122620.1A CN105790934B (zh) 2016-03-04 2016-03-04 一种自适应的pos终端配置方法以其配置权转让方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610122620.1A CN105790934B (zh) 2016-03-04 2016-03-04 一种自适应的pos终端配置方法以其配置权转让方法

Publications (2)

Publication Number Publication Date
CN105790934A true CN105790934A (zh) 2016-07-20
CN105790934B CN105790934B (zh) 2019-03-15

Family

ID=56387925

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610122620.1A Active CN105790934B (zh) 2016-03-04 2016-03-04 一种自适应的pos终端配置方法以其配置权转让方法

Country Status (1)

Country Link
CN (1) CN105790934B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1936892A1 (en) * 2005-10-15 2008-06-25 Huawei Technologies Co., Ltd. A system for controlling the security of network and a method thereof
CN103220270A (zh) * 2013-03-15 2013-07-24 福建联迪商用设备有限公司 密钥下载方法、管理方法、下载管理方法及装置和系统
CN103401843A (zh) * 2013-07-11 2013-11-20 广州中长康达信息技术有限公司 云安全模拟检测方法及系统
CN103716155A (zh) * 2013-03-15 2014-04-09 福建联迪商用设备有限公司 一种自动化维修pos终端的方法及操作终端
CN104469741A (zh) * 2014-11-17 2015-03-25 小米科技有限责任公司 终端配置方法和装置
CN104618317A (zh) * 2014-07-30 2015-05-13 江苏物泰信息科技有限公司 一种基于信任的物联网数据安全系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1936892A1 (en) * 2005-10-15 2008-06-25 Huawei Technologies Co., Ltd. A system for controlling the security of network and a method thereof
CN103220270A (zh) * 2013-03-15 2013-07-24 福建联迪商用设备有限公司 密钥下载方法、管理方法、下载管理方法及装置和系统
CN103716155A (zh) * 2013-03-15 2014-04-09 福建联迪商用设备有限公司 一种自动化维修pos终端的方法及操作终端
CN103401843A (zh) * 2013-07-11 2013-11-20 广州中长康达信息技术有限公司 云安全模拟检测方法及系统
CN104618317A (zh) * 2014-07-30 2015-05-13 江苏物泰信息科技有限公司 一种基于信任的物联网数据安全系统
CN104469741A (zh) * 2014-11-17 2015-03-25 小米科技有限责任公司 终端配置方法和装置

Also Published As

Publication number Publication date
CN105790934B (zh) 2019-03-15

Similar Documents

Publication Publication Date Title
KR101958061B1 (ko) 차량의 보안 통신을 위한 방법
EP3742696B1 (en) Identity management method, equipment, communication network, and storage medium
CN109155730B (zh) 用于装置授权的方法和系统
CN107784223B (zh) 用于将证书传输到设备中的仪器的计算机装置
EP3192229B1 (en) Supporting differentiated secure communications among heterogeneous electronic devices
CN100594502C (zh) 向授权中心系统注册设备的方法和系统
US8762710B2 (en) Method and system for updating and using digital certificates
EP2874369B1 (en) Trusted communication session and content delivery
CN109074251A (zh) 嵌入式系统的本地空中更新
CN110546917A (zh) 用于工业控制系统或其他系统中的设备的自动化证书注册
US20140281497A1 (en) Online personalization update system for externally acquired keys
CN103999496B (zh) 用于将安全模块的控制从第一实体转移到第二实体的方法
CN106961334A (zh) 控制器和附件之间的安全无线通信
JP2010520518A (ja) 分散式の委任および検証のための方法、装置、およびシステム
JP5380583B1 (ja) デバイス認証方法及びシステム
CN110086755A (zh) 实现物联网服务的方法、应用服务器、物联网设备和介质
CN113541970B (zh) 分布式标识符的使用方法和分布式标识符使用系统
US11477012B2 (en) Cryptographic feature licensing
CN115134154B (zh) 认证方法、装置、远程控制车辆的方法及系统
JP4730735B2 (ja) 安全なアドホックネットワークを構成するデバイスおよび認証方法並びに認証プログラム
JP2007074390A (ja) 認証局、デバイス、移動局および通信システム並びに通信方法並びに通信プログラム
JP6453351B2 (ja) 通信ネットワークにおけるネットワーク要素の認証
JP2010251974A (ja) データ転送方法、データ転送システム及びデータ中継プログラム
CN105790934A (zh) 一种自适应的pos终端配置方法以其配置权转让方法
JP2014042095A (ja) 認証システム及び方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant