CN107104795A - Rsa密钥对和证书的注入方法、架构及系统 - Google Patents
Rsa密钥对和证书的注入方法、架构及系统 Download PDFInfo
- Publication number
- CN107104795A CN107104795A CN201710276856.5A CN201710276856A CN107104795A CN 107104795 A CN107104795 A CN 107104795A CN 201710276856 A CN201710276856 A CN 201710276856A CN 107104795 A CN107104795 A CN 107104795A
- Authority
- CN
- China
- Prior art keywords
- key
- certificate
- rsa
- request
- payment terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
Abstract
本发明公开了一种RSA密钥对和证书的注入方法、架构及系统,方法包括支付终端生成非对称密钥对,包括第一公钥和第一私钥;支付终端发起请求,并将请求与第一公钥发送至密钥管理系统;密钥管理系统将请求发送至CA中心;CA中心根据请求生成RSA私钥和证书,并通过安全链路发送至密钥管理系统,证书中包括RSA公钥;密钥管理系统使用第一公钥加密RSA私钥和证书,并将加密后的数据发送至支付终端;支付终端使用第一私钥解密加密后的数据,得到RSA私钥和证书。本发明有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过借助非对称密钥技术,无需提前与CA中心共享秘密信息,减少了人工操作,节约了成本且保证安全。
Description
技术领域
本发明涉及电子支付领域,尤其涉及一种RSA密钥对和证书的注入方法、架构及系统。
背景技术
随着电子支付产业的迅速发展,比如银行卡支付、消费卡支付、行业卡支付以及其它借由网络的电子支付技术,电子支付以其快捷方便的特点,越来越受到人们的欢迎。电子支付系统包括供消费者使用的终端设备以及支付平台和密钥管理等设备。为了确保消费的安全性,消费者通过专用的支付终端输入消费信息(比如帐号密码等),然后由支付终端传输到支付平台。
支付终端,以POS(Point of Sale,POS)为例,保护消费者账户安全的原理如下:POS终端能够接受银行卡信息,具有通讯功能,并接受柜员的指令完成金融交易信息和有关信息交换的设备,POS中对敏感信息处理的模块称为密码键盘(PIN PAD),对各种金融交易相关的密钥进行安全存储保护,以及对PIN进行加密保护的安全设备,持卡人的个人识别码(Personal Identification Number,PIN)通过密码键盘输入。为防止PIN泄露或者被破解,以保护持卡人的财产安全,整个支付过程中对PIN必须进行加密保护,避免其以明文形式出现。为此,接受PIN输入的POS终端需配备相应的密钥管理体系。
POS终端中常用的密钥管理体系有两类,不论是分级的密钥体系,主密钥/工作密钥(Master Key/Session Key,MK/SK)还是每笔交易衍生单钥管理方法(Derived UniqueKey per Transaction,DUKPT),都需要将一个初始密钥(Initiail Key,IK)下载到终端,如何下载初始密钥到终端,目前主流的方向是采用远程密钥下载方式,要求支付终端在出厂前预置非对称RSA密钥和证书,终端出厂后使用RSA密钥和证书与KMS系统进行双向认证,通过KMS安全下载终端主密钥(TMK)。考虑到终端的运算性能差异较大,而当前标准的RSA密钥需要达到2048比特的安全强度,RSA密钥对的生成速度一直是低性能终端的瓶颈。那么如何在生产阶段安全高效地注入非对称RSA密钥和证书呢,目前通常有以下几种方式:
方式一:将支付终端放到安全房内,物理连接硬件加密机(Hardware SecurityModule,HSM)注入密钥对和证书;
方式二:由支付终端内部生成密钥对,生成证书请求文件导出,请求认证中心(Certification Authority,CA)签发证书。
方式三:支付终端和认证中心CA共享一个秘密信息,CA中心生成密钥对和证书之后使用该秘密信息加密后传递给支付终端。
但上述方式存在以下缺点:
缺点1:证书的注入工作需要在一个高安全管控的安全机房内进行,通过人工方式集中注入,增加了安全房的构建及维护成本。
缺点2:终端性能差异较大,且对大多数终端来说,RSA密钥对的生成时间随机性大,最长时间可达到十几分钟左右,极大影响生产效率。
缺点3:为了在支付终端和认证中心预置一个共享秘密信息,通常采用人工方式,而且终端数量庞大,要保证该秘密信息每台设备唯一,需要大量的人力资源开销,且对该秘密进行的管控要达到极高的安全级别,否则一旦该秘密信息泄露,终端的私钥也泄露了。
发明内容
本发明所要解决的技术问题是:提供一种RSA密钥对和证书的注入方法、架构及系统,可在生产阶段安全高效地注入RSA密钥对和证书。
为了解决上述技术问题,本发明采用的技术方案为:一种RSA密钥对和证书的注入方法,包括:
支付终端生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
本发明还涉及一种RSA密钥对和证书的注入架构,包括依次通信连接的支付终端、密钥管理系统和CA中心;
所述支付终端用于生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
所述支付终端还用于发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
所述密钥管理系统用于接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
所述CA中心用于根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
所述密钥管理系统还用于使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
所述支付终端还用于使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
本发明还涉及一种RSA密钥对和证书的注入系统,包括:
第一生成模块,用于支付终端生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
第一发送模块,用于支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
第二发送模块,用于密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
第二生成模块,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块,用于密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
解密模块,用于支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
本发明的有益效果在于:首先支付终端生成一组非对称密钥对,该非对称密钥对的密钥尺寸和系统参数均小于RSA密钥对,因此即便是对于低性能的支付终端,生成该非对称密钥对的时间和加解密速度也很快;然后支付终端将公钥传输给密钥管理系统,密钥管理系统通过公钥加密要下载的敏感数据,包括RSA密钥对和证书等,即便其他人截获传给支付终端的数据,由于没有私钥也无法正确解密,从而保证了数据的机密性和完整性;同时,支付终端将请求通过密钥管理系统发送给CA中心,由CA中心集中生成RSA密钥对和证书,提高了RSA密钥对和证书的生成速度,从而提高了生产效率。本发明适用于所有类型的支付终端,有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过借助非对称密钥技术,无需提前与CA中心共享秘密信息,减少了人工操作,节约了成本且保证安全。
附图说明
图1为本发明一种RSA密钥对和证书的注入方法的流程图;
图2为本发明一种RSA密钥对和证书的注入架构的结构示意图;
图3为本发明实施例一的方法流程图;
图4为本发明实施例二的方法流程图;
图5为本发明一种RSA密钥对和证书的注入系统的结构示意图;
图6为本发明实施例三的系统结构示意图。
标号说明:
100、支付终端;200、密钥管理系统;300、CA中心;
1、第一生成模块;2、第一发送模块;3、第二发送模块;4、第二生成模块;5、加密模块;6、解密模块;7、存储模块;
21、生成单元;22、签名单元;
31、验证单元;32、发送单元。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图详予说明。
本发明最关键的构思在于:基于非对称密钥技术,将RSA密钥对和证书安全注入到支付终端。
缩略语和关键术语定义:
LKMS:Local Key Management System本地密钥管理系统;
CA:Certification Authority,认证中心;它是采用PKI(Public KeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书;
安全房:具有较高安全级别,用于存放HSM(高安全设备,硬件加密机)、服务器、数据库的房间,该房间需要访问控制,通常需要双重控制认证后才能进去;
对称密钥:加密和解密操作必须使用相同的密钥对明文进行运算;对称密钥加密算法主要包括:DES、TDES、AES,IDEA、等;
非对称密钥:加密密钥和解密密钥是不同的,其中一个密钥可以公开,另外一个密钥需要保密存储。公开的密钥通常称为公钥(Public Key),需要秘密存储的密钥称为私钥(Private Key)。常用的非对称密钥算法有:RSA、ECC、国密SM2、Rabin等。
请参阅图1,一种RSA密钥对和证书的注入方法,包括:
支付终端生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
从上述描述可知,本发明的有益效果在于:有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过借助非对称密钥技术,无需提前与CA中心共享秘密信息,减少了人工操作,节约了成本且保证安全。
进一步地,所述“支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统”具体为:
支付终端生成请求数据,并将所述请求数据与第一公钥进行打包,得到请求数据包;
使用第一私钥对所述请求数据包进行签名,并将所述请求数据包及其签名发送至密钥管理系统。
进一步地,所述“密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心”具体为:
密钥管理系统接收所述请求数据包及其签名,并使用所述第一公钥对所述请求数据包的签名进行合法性验证;
若验证通过,则将所述请求数据发送至CA中心。
由上述描述可知,通过使用非对称密钥对中的私钥对请求与公钥进行数字签名,密钥管理系统使用公钥验证支付终端的合法性,保证RSA密钥和证书的下载请求是由合法的支付终端发送过来的,进一步保证了安全性。
进一步地,所述“得到所述RSA私钥和证书”之后,进一步包括:
支付终端将所述RSA私钥和证书存储至安全区域中。
由上述描述可知,保证RSA私钥和证书存储的安全性。
进一步地,所述非对称密钥对为ECC密钥对、SM2密钥对或Rabin密钥对。
由上述描述可知,通过采用密钥尺寸和系统参数均小于RSA密钥对的非对称密钥对,因此即便是对于低性能的支付终端,生成该非对称密钥对的时间和加解密速度也很快。
请参照图5,本发明还提出一种RSA密钥对和证书的注入系统,包括:
第一生成模块,用于支付终端生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
第一发送模块,用于支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
第二发送模块,用于密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
第二生成模块,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块,用于密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
解密模块,用于支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
进一步地,所述第一发送模块包括:
生成单元,用于支付终端生成请求数据,并将所述请求数据与第一公钥进行打包,得到请求数据包;
签名单元,用于使用第一私钥对所述请求数据包进行签名,并将所述请求数据包及其签名发送至密钥管理系统。
进一步地,所述第二发送模块包括:
验证单元,用于密钥管理系统接收所述请求数据包及其签名,并使用所述第一公钥对所述请求数据包的签名进行合法性验证;
发送单元,用于若验证通过,则将所述请求数据发送至CA中心。
进一步地,还包括:
存储模块7,用于支付终端将所述RSA私钥和证书存储至安全区域中。
进一步地,所述非对称密钥对为ECC密钥对、SM2密钥对或Rabin密钥对。
实施例一
本发明的实施例一为:一种RSA密钥对和证书的注入方法,可远程安全注入RSA密钥对和证书到支付终端;所述方法基于非对称密钥技术,并基于如图2所示的RSA密钥对和证书的注入架构,包括依次通信连接的支付终端100、密钥管理系统200和CA中心300。
由于需要从CA中心获取RSA密钥对和证书,因此需部署CA中心,搭建自己的KPI体系,有以下两种可选的做法,一是挂靠一个“可信的第三方CA机构”,成为其附属机构,所谓“第三方CA机构”也即商用CA,比如CFCA(中国金融认证中心),CTCA(中信安全认证中心)等;二是厂家建立自己的CA中心,涉及到本方案中,CA中心的主要任务是给设备颁发中心,可建立自有CA(in-house CA)。
同时,还需建立密钥管理系统(LKMS)和CA中心的安全通信链路,根据建立CA属性的不同,安全通信链路采用不同的方式。以建立自有CA中心为例,CA中心和LKMS部署于同一个安全房中,CA中心位于安全房里间,安全等级最高;LKMS部署于安全房外间,二者通过专用线路和端口进行通信。
如图3所示,所述方法包括如下步骤:
S1:支付终端生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;其中,采用密钥尺寸和系统参数均小于RSA密钥对的密钥对作为所述非对称密钥对,如ECC密钥对、SM2密钥对或Rabin密钥对;优选地,所述非对称密钥对为ECC密钥对。
S2:支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
S3:密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;第一公钥不是敏感数据,传递过程中只需要保证完整性即可;
S4:CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
S5:密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
S6:支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书;
S7:支付终端将所述RSA私钥和证书存储至安全区域中,即保存到支付终端的安全存储区。
通过上述步骤安全注入RSA私钥和证书后,支付终端即可根据该RSA私钥和证书下载初始密钥。
本实施例先由支付终端生成一对较简短的非对称密钥对,因此即便是对于低性能的支付终端,生成该非对称密钥对的时间和加解密速度也很快;然后支付终端将公钥传输给密钥管理系统,密钥管理系统通过公钥加密要下载的敏感数据,即便其他人截获传给支付终端的数据,由于没有私钥也无法正确解密,从而保证了数据的机密性和完整性;同时,支付终端将请求通过密钥管理系统发送给CA中心,由CA中心集中生成RSA密钥对和证书,提高了RSA密钥对和证书的生成速度,从而提高了生产效率。
本发明适用于所有类型的支付终端,有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过借助非对称密钥技术,无需提前与CA中心共享秘密信息,减少了人工操作,节约了成本且保证安全。
实施例二
请参照图4,本实施例是实施例一中步骤S2-S3的进一步拓展。
所述步骤S2包括:
S201:支付终端生成请求数据,并将所述请求数据与第一公钥进行打包,得到请求数据包;
S202:使用第一私钥对所述请求数据包进行签名,并将所述请求数据包及其签名发送至密钥管理系统。
所述步骤S3包括:
S301:密钥管理系统接收所述请求数据包及其签名,并使用所述第一公钥对所述请求数据包的签名进行合法性验证;
S302:若验证通过,则将所述请求数据发送至CA中心。
本实施例通过使用非对称密钥对中的私钥对请求与公钥进行数字签名,密钥管理系统使用公钥验证支付终端的合法性,保证RSA密钥和证书的下载请求是由合法的支付终端发送过来的,进一步保证了安全性。同时,通过采用数字签名的方法,保证传输的数据不可篡改和可认证性。
实施例三
请参照图6,本实施例是对应上述实施例的一种RSA密钥对和证书的注入系统,包括:
第一生成模块1,用于支付终端生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
第一发送模块2,用于支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
第二发送模块3,用于密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
第二生成模块4,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块5,用于密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
解密模块6,用于支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
进一步地,所述第一发送模块2包括:
生成单元21,用于支付终端生成请求数据,并将所述请求数据与第一公钥进行打包,得到请求数据包;
签名单元22,用于使用第一私钥对所述请求数据包进行签名,并将所述请求数据包及其签名发送至密钥管理系统。
进一步地,所述第二发送模块3包括:
验证单元31,用于密钥管理系统接收所述请求数据包及其签名,并使用所述第一公钥对所述请求数据包的签名进行合法性验证;
发送单元32,用于若验证通过,则将所述请求数据发送至CA中心。
进一步地,还包括:
存储模块7,用于支付终端将所述RSA私钥和证书存储至安全区域中。
进一步地,所述非对称密钥对为ECC密钥对、SM2密钥对或Rabin密钥对。
综上所述,本发明提供的一种RSA密钥对和证书的注入方法、架构及系统,首先支付终端生成一组非对称密钥对,该非对称密钥对的密钥尺寸和系统参数均小于RSA密钥对,因此即便是对于低性能的支付终端,生成该非对称密钥对的时间和加解密速度也很快;然后支付终端将公钥传输给密钥管理系统,密钥管理系统通过公钥加密要下载的敏感数据,包括RSA密钥对和证书等,即便其他人截获传给支付终端的数据,由于没有私钥也无法正确解密,从而保证了数据的机密性和完整性;同时,支付终端将请求通过密钥管理系统发送给CA中心,由CA中心集中生成RSA密钥对和证书,提高了RSA密钥对和证书的生成速度,从而提高了生产效率。本发明适用于所有类型的支付终端,有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过借助非对称密钥技术,无需提前与CA中心共享秘密信息,减少了人工操作,节约了成本且保证安全。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种RSA密钥对和证书的注入方法,其特征在于,包括:
支付终端生成非对称密钥对,包括第一公钥和第一私钥;
支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
2.根据权利要求1所述的RSA密钥对和证书的注入方法,其特征在于,所述“支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统”具体为:
支付终端生成请求数据,并将所述请求数据与第一公钥进行打包,得到请求数据包;
使用第一私钥对所述请求数据包进行签名,并将所述请求数据包及其签名发送至密钥管理系统。
3.根据权利要求2所述的RSA密钥对和证书的注入方法,其特征在于,所述“密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心”具体为:
密钥管理系统接收所述请求数据包及其签名,并使用所述第一公钥对所述请求数据包的签名进行合法性验证;
若验证通过,则将所述请求数据发送至CA中心。
4.根据权利要求1所述的RSA密钥对和证书的注入方法,其特征在于,所述“得到所述RSA私钥和证书”之后,进一步包括:
支付终端将所述RSA私钥和证书存储至安全区域中。
5.根据权利要求1-4任一项所述的RSA密钥对和证书的注入方法,其特征在于,所述非对称密钥对为ECC密钥对、SM2密钥对或Rabin密钥对。
6.一种RSA密钥对和证书的注入架构,其特征在于,包括依次通信连接的支付终端、密钥管理系统和CA中心;
所述支付终端用于生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
所述支付终端还用于发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
所述密钥管理系统用于接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
所述CA中心用于根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
所述密钥管理系统还用于使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
所述支付终端还用于使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
7.一种RSA密钥对和证书的注入系统,其特征在于,包括:
第一生成模块,用于支付终端生成非对称密钥对,所述非对称密钥对包括第一公钥和第一私钥;
第一发送模块,用于支付终端发起请求,并将所述请求与所述第一公钥发送至密钥管理系统;
第二发送模块,用于密钥管理系统接收所述请求与所述第一公钥,并将所述请求发送至CA中心;
第二生成模块,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块,用于密钥管理系统使用所述第一公钥加密所述RSA私钥和证书,并将加密后的数据发送至支付终端;
解密模块,用于支付终端使用第一私钥对所述加密后的数据进行解密,得到所述RSA私钥和证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710276856.5A CN107104795B (zh) | 2017-04-25 | 2017-04-25 | Rsa密钥对和证书的注入方法、架构及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710276856.5A CN107104795B (zh) | 2017-04-25 | 2017-04-25 | Rsa密钥对和证书的注入方法、架构及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107104795A true CN107104795A (zh) | 2017-08-29 |
| CN107104795B CN107104795B (zh) | 2020-09-04 |
Family
ID=59657669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710276856.5A Active CN107104795B (zh) | 2017-04-25 | 2017-04-25 | Rsa密钥对和证书的注入方法、架构及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107104795B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107888379A (zh) * | 2017-10-25 | 2018-04-06 | 百富计算机技术(深圳)有限公司 | 一种安全连接的方法、pos终端及密码键盘 |
| CN108335108A (zh) * | 2018-02-27 | 2018-07-27 | 中国科学院软件研究所 | 一种二维码安全移动支付方法及系统 |
| CN108809925A (zh) * | 2017-10-26 | 2018-11-13 | 深圳市移卡科技有限公司 | Pos设备数据加密传输方法、终端设备及存储介质 |
| WO2019233204A1 (zh) * | 2018-06-06 | 2019-12-12 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
| CN112215591A (zh) * | 2018-08-06 | 2021-01-12 | 北京白山耘科技有限公司 | 一种针对加密货币钱包的分布式加密管理方法、装置及系统 |
| CN113810368A (zh) * | 2021-08-04 | 2021-12-17 | 中国科学院信息工程研究所 | 一种支持双重访问控制的数据共享方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060281442A1 (en) * | 2005-06-03 | 2006-12-14 | Samsung Electronics Co., Ltd. | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method |
| CN102148799A (zh) * | 2010-02-05 | 2011-08-10 | 中国银联股份有限公司 | 密钥下载方法及系统 |
| CN103138934A (zh) * | 2011-11-21 | 2013-06-05 | 美国博通公司 | 安全密钥生成 |
| CN103237005A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥管理方法及系统 |
| CN103716154A (zh) * | 2013-03-15 | 2014-04-09 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
-
2017
- 2017-04-25 CN CN201710276856.5A patent/CN107104795B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060281442A1 (en) * | 2005-06-03 | 2006-12-14 | Samsung Electronics Co., Ltd. | Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method |
| CN102148799A (zh) * | 2010-02-05 | 2011-08-10 | 中国银联股份有限公司 | 密钥下载方法及系统 |
| CN103138934A (zh) * | 2011-11-21 | 2013-06-05 | 美国博通公司 | 安全密钥生成 |
| CN103237005A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥管理方法及系统 |
| CN103716154A (zh) * | 2013-03-15 | 2014-04-09 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107888379A (zh) * | 2017-10-25 | 2018-04-06 | 百富计算机技术(深圳)有限公司 | 一种安全连接的方法、pos终端及密码键盘 |
| CN108809925A (zh) * | 2017-10-26 | 2018-11-13 | 深圳市移卡科技有限公司 | Pos设备数据加密传输方法、终端设备及存储介质 |
| CN108809925B (zh) * | 2017-10-26 | 2021-02-19 | 深圳市移卡科技有限公司 | Pos设备数据加密传输方法、终端设备及存储介质 |
| CN108335108A (zh) * | 2018-02-27 | 2018-07-27 | 中国科学院软件研究所 | 一种二维码安全移动支付方法及系统 |
| CN108335108B (zh) * | 2018-02-27 | 2021-05-11 | 中国科学院软件研究所 | 一种二维码安全移动支付方法及系统 |
| WO2019233204A1 (zh) * | 2018-06-06 | 2019-12-12 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
| US11516020B2 (en) | 2018-06-06 | 2022-11-29 | Tencent Technology (Shenzhen) Company Limited | Key management method, apparatus, and system, storage medium, and computer device |
| CN112215591A (zh) * | 2018-08-06 | 2021-01-12 | 北京白山耘科技有限公司 | 一种针对加密货币钱包的分布式加密管理方法、装置及系统 |
| CN112215591B (zh) * | 2018-08-06 | 2024-01-26 | 北京白山耘科技有限公司 | 一种针对加密货币钱包的分布式加密管理方法、装置及系统 |
| CN113810368A (zh) * | 2021-08-04 | 2021-12-17 | 中国科学院信息工程研究所 | 一种支持双重访问控制的数据共享方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107104795B (zh) | 2020-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103714641B (zh) | 一种终端主密钥tmk安全下载方法及系统 | |
| CN103716168B (zh) | 密钥管理方法及系统 | |
| US7571320B2 (en) | Circuit and method for providing secure communications between devices | |
| CN107135070A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
| US9948624B2 (en) | Key downloading method, management method, downloading management method, device and system | |
| CN107104795A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
| CN103457739B (zh) | 一种动态令牌参数获取方法与设备 | |
| CN108513704A (zh) | 终端主密钥的远程分发方法及其系统 | |
| CN101631305B (zh) | 一种加密方法及系统 | |
| CN108323230B (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| CN107888379A (zh) | 一种安全连接的方法、pos终端及密码键盘 | |
| CN100579009C (zh) | 一种可信计算模块功能升级的方法 | |
| CN106712939A (zh) | 密钥离线传输方法和装置 | |
| CN107707562A (zh) | 一种非对称动态令牌加、解密算法的方法、装置 | |
| CN109889489A (zh) | 一种用于对发票数据进行在线或离线安全传输的方法及系统 | |
| CN108496336A (zh) | 一种传输密钥的方法及pos终端 | |
| CN108401493A (zh) | 一种传输密钥的方法、接收终端及分发终端 | |
| CN108323231A (zh) | 一种传输密钥的方法、接收终端和分发终端 | |
| KR20040072550A (ko) | 스마트카드 발급시스템에서 개선된 최초 세션키 생성 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |