CN107135070A - Rsa密钥对和证书的注入方法、架构及系统 - Google Patents
Rsa密钥对和证书的注入方法、架构及系统 Download PDFInfo
- Publication number
- CN107135070A CN107135070A CN201710276852.7A CN201710276852A CN107135070A CN 107135070 A CN107135070 A CN 107135070A CN 201710276852 A CN201710276852 A CN 201710276852A CN 107135070 A CN107135070 A CN 107135070A
- Authority
- CN
- China
- Prior art keywords
- key
- certificate
- management system
- payment terminal
- rsa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
Abstract
本发明公开了一种RSA密钥对和证书的注入方法、架构及系统,方法包括:支付终端生成对称密钥;密钥管理系统获取对称密钥;支付终端发起请求,并发送至密钥管理系统;密钥管理系统将请求提交至CA中心;CA中心根据请求生成RSA私钥和证书,并将通过安全链路发送至密钥管理系统,证书中包括RSA公钥;密钥管理系统使用对称密钥加密RSA私钥和证书,得到第一加密数据,并发送至支付终端;支付终端使用对称密钥对第一加密数据进行解密,得到所述RSA私钥和证书。本发明有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过采用自动安全注入的方式,减少了人工操作和维护产线安全机房的成本,且保证安全。
Description
技术领域
本发明涉及电子支付领域,尤其涉及一种RSA密钥对和证书的注入方法、架构及系统。
背景技术
随着电子支付产业的迅速发展,比如银行卡支付、消费卡支付、行业卡支付以及其它借由网络的电子支付技术,电子支付以其快捷方便的特点,越来越受到人们的欢迎。电子支付系统包括供消费者使用的终端设备以及支付平台和密钥管理等设备。为了确保消费的安全性,消费者通过专用的支付终端输入消费信息(比如帐号密码等),然后由支付终端传输到支付平台。
支付终端,以POS(Point of Sale,POS)为例,保护消费者账户安全的原理如下:POS终端能够接受银行卡信息,具有通讯功能,并接受柜员的指令完成金融交易信息和有关信息交换的设备,POS中对敏感信息处理的模块称为密码键盘(PIN PAD),对各种金融交易相关的密钥进行安全存储保护,以及对PIN进行加密保护的安全设备,持卡人的个人识别码(Personal Identification Number,PIN)通过密码键盘输入。为防止PIN泄露或者被破解,以保护持卡人的财产安全,整个支付过程中对PIN必须进行加密保护,避免其以明文形式出现。为此,接受PIN输入的POS终端需配备相应的密钥管理体系。
POS终端中常用的密钥管理体系有两类,不论是分级的密钥体系,主密钥/工作密钥(Master Key/Session Key,MK/SK)还是每笔交易衍生单钥管理方法(Derived UniqueKey per Transaction,DUKPT),都需要将一个初始密钥(Initiail Key,IK)下载到终端,如何下载初始密钥到终端,目前主流的方向是采用远程密钥下载方式,要求支付终端在出厂前预置非对称RSA密钥和证书,终端出厂后使用RSA密钥和证书与KMS系统进行双向认证,通过KMS安全下载终端主密钥(TMK)。考虑到终端的运算性能差异较大,而当前标准的RSA密钥需要达到2048比特的安全强度,RSA密钥对的生成速度一直是低性能终端的瓶颈。那么如何在生产阶段安全高效地注入非对称RSA密钥和证书呢,目前通常有以下几种方式:
方式一:将支付终端放到安全房内,物理连接硬件加密机(Hardware SecurityModule,HSM)注入密钥对和证书;
方式二:由支付终端内部生成密钥对,生成证书请求文件导出,请求认证中心(Certification Authority,CA)签发证书。
方式三:支付终端和认证中心CA共享一个秘密信息,CA中心生成密钥对和证书之后使用该秘密信息加密后传递给支付终端。
但上述方式存在以下缺点:
缺点1:证书的注入工作需要在一个高安全管控的安全机房内进行,通过人工方式集中注入,增加了安全房的构建及维护成本。
缺点2:终端性能差异较大,且对大多数终端来说,RSA密钥对的生成时间随机性大,最长时间可达到十几分钟左右,极大影响生产效率。
缺点3:为了在支付终端和认证中心预置一个共享秘密信息,通常采用人工方式,而且终端数量庞大,要保证该秘密信息每台设备唯一,需要大量的人力资源开销,且对该秘密进行的管控要达到极高的安全级别,否则一旦该秘密信息泄露,终端的私钥也泄露了。
发明内容
本发明所要解决的技术问题是:提供一种RSA密钥对和证书的注入方法、架构及系统,可在生产阶段安全高效地注入RSA密钥对和证书。
为了解决上述技术问题,本发明采用的技术方案为:一种RSA密钥对和证书的注入方法,包括:
支付终端生成对称密钥;
密钥管理系统获取所述对称密钥;
支付终端发起请求,并将所述请求发送至密钥管理系统;
密钥管理系统将所述请求提交至CA中心;
CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
本发明还涉及一种RSA密钥对和证书的注入架构,包括依次通信连接的支付终端、密钥管理系统和CA中心;
所述支付终端用于生成对称密钥;
所述密钥管理系统用于获取所述对称密钥;
所述支付终端还用于发起请求,并将所述请求发送至密钥管理系统;
所述密钥管理系统还用于将所述请求提交至CA中心;
所述CA中心用于根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
所述密钥管理系统还用于使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
所述支付终端还用于使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
本发明还涉及一种RSA密钥对和证书的注入系统,包括:
第一生成模块,用于支付终端生成对称密钥;
获取模块,用于密钥管理系统获取所述对称密钥;
发起模块,用于支付终端发起请求,并将所述请求发送至密钥管理系统;
提交模块,用于密钥管理系统将所述请求提交至CA中心;
第二生成模块,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块,用于密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
解密模块,用于支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
本发明的有益效果在于:采用CA中心集中生成RSA密钥对和证书的方式,由于其生成速度相比支付终端更优异,有效解决了支付终端性能不足造成的产能低效问题;通过安全链路传输以及对称密钥加密的方式,有效保证了数据传输过程中的安全性和机密性;本发明适用于所有类型的支付终端,有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过采用自动安全注入的方式,减少了人工操作和维护产线安全机房的成本,且保证安全。
附图说明
图1为本发明实施例一中RSA密钥对和证书的注入方法的流程图;
图2为本发明实施例一中RSA密钥对和证书的注入架构的结构示意图;
图3为本发明实施例二的方法流程图;
图4为本发明实施例二中RSA密钥对和证书的注入架构的结构示意图;
图5为本发明实施例三的方法流程图;
图6为本发明实施例四的方法流程图;
图7为本发明一种RSA密钥对和证书的注入系统的结构示意图;
图8为本发明实施例五的系统结构示意图。
标号说明:
100、支付终端;200、密钥管理系统;300、CA中心;400、硬件加密机;
1、第一生成模块;2、获取模块;3、发起模块;4、提交模块;5、第二生成模块;6、加密模块;7、解密模块;
21、第一生成单元;22、签发单元;23、第一验证单元;24、提取单元;25、第一加密单元;26、第一解密单元;
31、第二生成单元;32、第二加密单元;33、第一发送单元;34、第一计算单元;35、第三发送单元;
41、第二解密单元;42、第二发送单元;43、第二验证单元;44、执行单元;
61、第三加密单元;62、第二计算单元;63、第四发送单元;
71、第三解密单元;72、第三验证单元;73、第四验证单元;74、存储单元。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图详予说明。
本发明最关键的构思在于:基于对称密钥技术,将RSA密钥对和证书安全注入到支付终端。
缩略语和关键术语定义:
LKMS:Local Key Management System本地密钥管理系统;
CA:Certification Authority,认证中心;它是采用PKI(Public KeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书;
HSM:High Security Machine,高安全设备,在本发明中为硬件加密机;
HSMWCRT:HSM Work Certificate,加密机工作证书;
Pu:Public Key,HSMWCRT中的公钥,用于加密对称密钥;
TK:Transmission Key,传输密钥;在本发明中,对称密钥即为TK,用于保护RSA密钥和证书的传输,TK包含2个密钥:一个为传输加密密钥,另外一个是用于完整性校验的MAC密钥;
MAC:Message Authentication Check value,消息认证码,一种数据完整性校验算法;
安全房:具有较高安全级别,用于存放HSM(高安全设备,硬件加密机)、服务器、数据库的房间,该房间需要访问控制,通常需要双重控制认证后才能进去;
对称密钥:加密和解密操作必须使用相同的密钥对明文进行运算;对称密钥加密算法主要包括:DES、TDES、AES,IDEA、等;
非对称密钥:加密密钥和解密密钥是不同的,其中一个密钥可以公开,另外一个密钥需要保密存储。公开的密钥通常称为公钥(Public Key),需要秘密存储的密钥称为私钥(Private Key)。常用的非对称密钥算法有:RSA、ECC、国密SM2、Rabin等。
请参阅图1,一种RSA密钥对和证书的注入方法,包括:
支付终端生成对称密钥;
密钥管理系统获取所述对称密钥;
支付终端发起请求,并将所述请求发送至密钥管理系统;
密钥管理系统将所述请求提交至CA中心;
CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
从上述描述可知,本发明的有益效果在于:有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过采用自动安全注入的方式,减少了人工操作和维护产线安全机房的成本,且保证安全。
进一步地,所述“密钥管理系统获取所述对称密钥”具体为:
密钥管理系统的硬件加密机生成非对称密钥对,所述非对称密钥对包括公钥Pu和私钥Pr,并将所述公钥Pu提交到CA中心;
CA中心根据所述公钥Pu签发公钥证书;
支付终端获取所述公钥证书,并对所述公钥证书进行合法性验证;
若验证通过,则从所述公钥证书中提取公钥Pu;
支付终端使用所述公钥Pu加密所述对称密钥,得到第二加密数据,并将所述第二加密数据发送至密钥管理系统;
密钥管理系统使用私钥Pr解密所述第二加密数据,得到对称密钥。
由上述描述可知,通过一对非对称密钥对将对称密钥安全地传输给密钥管理系统,进一步保证了RSA密钥对和证书注入的安全性。
进一步地,所述对称密钥包括第一对称密钥;所述“支付终端发起请求,并将所述请求发送至密钥管理系统”具体为:
支付终端生成请求数据;
使用第一对称密钥加密所述请求数据,得到第三加密数据;
将所述第三加密数据发送至密钥管理系统。
进一步地,所述“密钥管理系统将所述请求提交至CA中心”具体为:
密钥管理系统使用第一对称密钥解密第三加密数据,得到请求数据;
将所述请求数据发送至CA中心。
由上述描述可知,通过第一对称密钥加解密请求数据,在验证支付终端合法性的同时还可保证请求数据在传输过程中的安全性。
进一步地,所述对称密钥还包括第二对称密钥;所述“支付终端生成请求数据”之后,进一步包括:
使用第二对称密钥计算得到所述请求数据的第一消息认证码;
将所述第一消息认证码发送至密钥管理系统。
进一步地,所述“将所述请求数据发送至CA中心”之前,进一步包括:
根据所述第二对称密钥和第一消息认证码,验证所述请求数据的合法性;
若验证通过,则执行所述将所述请求数据发送至CA中心的步骤。
由上述描述可知,通过第二对称密钥进行MAC校验,保证传输的数据不可篡改和可认证性,进一步保证了安全性。
进一步地,所述对称密钥包括第一对称密钥和第二对称密钥;所述“密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端”具体为:
密钥管理系统使用第一对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
使用第二对称密钥计算得到所述RSA私钥和证书的第二消息认证码;
将所述第一加密数据和第二消息认证码发送至支付终端。
进一步地,所述“支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书”具体为:
支付终端使用第一对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书;
根据所述第二对称密钥和第二消息认证码,验证所述RSA私钥和证书的完整性;
使用预置的根证书验证所述证书的合法性;
若验证通过,则将所述RSA私钥和证书存储至支付终端的安全区域中。
由上述描述可知,采用MAC校验的方法,发送方和接收方使用特定的MAC密钥,先对数据的合法性、完整性进行检查后再进行后续操作,保证传输的数据不可篡改和可认证性,进一步保证了安全性。
请参照图7,本发明还提出了一种RSA密钥对和证书的注入系统,包括:
第一生成模块,用于支付终端生成对称密钥;
获取模块,用于密钥管理系统获取所述对称密钥;
发起模块,用于支付终端发起请求,并将所述请求发送至密钥管理系统;
提交模块,用于密钥管理系统将所述请求提交至CA中心;
第二生成模块,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块,用于密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
解密模块,用于支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
进一步地,所述获取模块包括:
第一生成单元,用于密钥管理系统的硬件加密机生成非对称密钥对,所述非对称密钥对包括公钥Pu和私钥Pr,并将所述公钥Pu提交到CA中心;
签发单元,用于CA中心根据所述公钥Pu签发公钥证书;
第一验证单元,用于支付终端获取所述公钥证书,并对所述公钥证书进行合法性验证;
提取单元,用于若验证通过,则从所述公钥证书中提取公钥Pu;
第一加密单元,用于支付终端使用所述公钥Pu加密所述对称密钥,得到第二加密数据,并将所述第二加密数据发送至密钥管理系统;
第一解密单元,用于密钥管理系统使用私钥Pr解密所述第二加密数据,得到对称密钥。
进一步地,所述对称密钥包括第一对称密钥;所述发起模块包括:
第二生成单元,用于支付终端生成请求数据;
第二加密单元,用于使用第一对称密钥加密所述请求数据,得到第三加密数据;
第一发送单元,用于将所述第三加密数据发送至密钥管理系统。
进一步地,所述提交模块包括:
第二解密单元,用于密钥管理系统使用第一对称密钥解密第三加密数据,得到请求数据;
第二发送单元,用于将所述请求数据发送至CA中心。
进一步地,所述对称密钥还包括第二对称密钥;所述发起模块还包括:
第一计算单元,用于使用第二对称密钥计算得到所述请求数据的第一消息认证码;
第三发送单元,用于将所述第一消息认证码发送至密钥管理系统。
进一步地,所述提交模块还包括:
第二验证单元,用于根据所述第二对称密钥和第一消息认证码,验证所述请求数据的合法性;
执行单元,用于若验证通过,则执行所述将所述请求数据发送至CA中心的步骤。
进一步地,所述对称密钥包括第一对称密钥和第二对称密钥;所述加密模块包括:
第三加密单元,用于密钥管理系统使用第一对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
第二计算单元,用于使用第二对称密钥计算得到所述RSA私钥和证书的第二消息认证码;
第四发送单元,用于将所述第一加密数据和第二消息认证码发送至支付终端。
进一步地,所述解密模块包括:
第三解密单元,用于支付终端使用第一对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书;
第三验证单元,用于根据所述第二对称密钥和第二消息认证码,验证所述RSA私钥和证书的完整性;
第四验证单元,用于使用预置的根证书验证所述证书的合法性;
存储单元,用于若验证通过,则将所述RSA私钥和证书存储至支付终端的安全区域中。
实施例一
请参照图1,本发明的实施例一为:一种RSA密钥对和证书的注入方法,可远程安全注入RSA密钥对和证书到支付终端;所述方法基于如图2所示的RSA密钥对和证书的注入架构,包括依次通信连接的支付终端100、密钥管理系统200和CA中心300。
由于需要从CA中心获取RSA密钥对和证书,因此需部署CA中心,搭建自己的KPI体系,有以下两种可选的做法,一是挂靠一个“可信的第三方CA机构”,成为其附属机构,所谓“第三方CA机构”也即商用CA,比如CFCA(中国金融认证中心),CTCA(中信安全认证中心)等;二是厂家建立自己的CA中心,涉及到本方案中,CA中心的主要任务是给设备颁发中心,可建立自有CA(in-house CA)。
同时,需将CA根证书导出,预置到支付终端,可通过烧片包实现。这里的根证书,可依照信任等级选择。比如若作为可信第三方CA机构的附属机构,信任的是自己所属机构的CA,只需要预置该附属机构的根证书即可;若建立的是自有CA,则预置的是自有CA的顶级根证书。
还需建立密钥管理系统(LKMS)和CA中心的安全通信链路,根据建立CA属性的不同,安全通信链路采用不同的方式。以建立自有CA中心为例,CA中心和LKMS部署于同一个安全房中,CA中心位于安全房里间,安全等级最高;LKMS部署于安全房外间,二者通过专用线路和端口进行通信。
如图1所示,所述方法包括如下步骤:
S1:支付终端生成对称密钥;进一步地,每台支付终端生成的对称密钥是唯一的,满足一机一密。
S2:密钥管理系统获取所述对称密钥;
S3:支付终端发起请求,并将所述请求发送至密钥管理系统;
S4:密钥管理系统将所述请求提交至CA中心;
S5:CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
S6:密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
S7:支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
加密后的RSA私钥和证书在到达支付终端之前,只有请求发起的支付终端可以解密,且该过程是在终端的安全区域进行的。解密完成之后采用支付终端的顶级加密密钥加密存储,遭受攻击报警之后,该安全区域中的数据会攻击自毁。
通过上述步骤安全注入RSA私钥和证书后,支付终端即可根据该RSA私钥和证书下载初始密钥。
优选地,可将支付终端通过USB或串口连接到一台PC机上,支付终端与密钥管理系统之间的通信通过该PC机进行,当支付终端的性能较低时,可提高生产效率。
本实施例采用CA中心集中生成RSA密钥对和证书的方式,CA中心生成密钥对的模块是经过NIST和FIPS认证的硬件安全模块,其生成速度相比支付终端更优异,有效解决了支付终端性能不足造成的产能低效问题;通过安全链路传输以及对称密钥加密的方式,有效保证了数据传输过程中的安全性和机密性;本发明适用于所有类型的支付终端,有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过采用自动安全注入的方式,减少了人工操作和维护产线安全机房的成本,且保证安全。
实施例二
请参照图3,本实施例是实施例一中步骤S2的进一步拓展。本实施例的方法基于如图4所示的RSA密钥对和证书的注入架构,包括依次通信连接的支付终端100、密钥管理系统200和CA中心300,所述密钥管理系统200中设有硬件加密机400。
所述步骤S2包括如下步骤:
S201:密钥管理系统的硬件加密机生成非对称密钥对,所述非对称密钥对包括公钥Pu和私钥Pr,并将所述公钥Pu提交到CA中心;进一步地,将公钥Pu导出为PKCS10格式;并将该格式的公钥请求数据提交到CA中心签发公钥证书HSMWCRT。
S202:CA中心根据所述公钥Pu签发公钥证书;
S203:支付终端获取所述公钥证书,并对所述公钥证书进行合法性验证;
S204:若验证通过,则从所述公钥证书中提取公钥Pu;
S205:支付终端使用所述公钥Pu加密所述对称密钥,得到第二加密数据,并将所述第二加密数据发送至密钥管理系统;
S206:密钥管理系统使用私钥Pr解密所述第二加密数据,得到对称密钥。由于硬件加密机设置在密钥管理系统中,因此密钥管理系统可直接获得私钥Pr。
本实施例通过一对非对称密钥对将对称密钥安全地传输给密钥管理系统,进一步保证了RSA密钥对和证书注入的安全性;同时,该非对称密钥对由密钥管理系统的硬件加密机生成,其公钥通过CA中心签发的公钥证书传给支付终端,有效保证了公钥传输的安全性,且可验证公钥来源的可靠性。
实施例三
请参照图5,本实施例是实施例一或实施例二步骤S3-S4的进一步拓展。本实施例中,所述对称密钥包括第一对称密钥和第二对称密钥。
所述步骤S3包括如下步骤:
S301:支付终端生成请求数据;
S302:使用第一对称密钥加密所述请求数据,得到第三加密数据;
S303:使用第二对称密钥计算得到所述请求数据的第一消息认证码;
S304:将所述第三加密数据和第一消息认证码发送至密钥管理系统。
所述步骤S4包括如下步骤:
S401:密钥管理系统使用第一对称密钥解密第三加密数据,得到请求数据;
S402:根据所述第二对称密钥和第一消息认证码,验证所述请求数据的合法性;具体地,密钥管理系统也使用第二对称密钥计算解密后的数据,即所述请求数据的消息认证码,若该消息认证码与支付终端传过来的第一消息认证码一致,则所述请求数据合法。
S403:若验证通过,则将所述请求数据发送至CA中心。
本实施例通过第一对称密钥加解密请求数据,在验证支付终端合法性的同时还可保证请求数据在传输过程中的安全性;同时,通过第二对称密钥进行MAC校验,保证传输的数据不可篡改和可认证性,进一步保证了安全性。
实施例四
请参照图6,本实施例是实施例一、实施例二或实施例三步骤S6-S7的进一步拓展。本实施例中,所述对称密钥包括第一对称密钥和第二对称密钥。
所述步骤S6包括如下步骤:
S601:密钥管理系统使用第一对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
S602:使用第二对称密钥计算得到所述RSA私钥和证书的第二消息认证码;
S603:将所述第一加密数据和第二消息认证码发送至支付终端。
所述步骤S7包括如下步骤:
S701:支付终端使用第一对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书;
S702:根据所述第二对称密钥和第二消息认证码,验证所述RSA私钥和证书的完整性;具体地,支付终端也使用第二对称密钥计算解密后的数据,即所述RSA私钥和证书的消息认证码,若该消息认证码与密钥管理系统传过来的第二消息认证码一致,则所述RSA私钥和证书完整。
S703:使用预置的根证书验证所述证书的合法性;
S704:若验证通过,则将所述RSA私钥和证书存储至支付终端的安全区域中。
本实施例采用MAC校验的方法,发送方和接收方使用特定的MAC密钥,先对数据的合法性、完整性进行检查后再进行后续操作,保证传输的数据不可篡改和可认证性,进一步保证了安全性。
实施例五
请参照图8,本实施例为对应上述实施例的一种RSA密钥对和证书的注入系统,包括:
第一生成模块1,用于支付终端生成对称密钥;
获取模块2,用于密钥管理系统获取所述对称密钥;
发起模块3,用于支付终端发起请求,并将所述请求发送至密钥管理系统;
提交模块4,用于密钥管理系统将所述请求提交至CA中心;
第二生成模块5,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块6,用于密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
解密模块7,用于支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
进一步地,所述获取模块2包括:
第一生成单元21,用于密钥管理系统的硬件加密机生成非对称密钥对,所述非对称密钥对包括公钥Pu和私钥Pr,并将所述公钥Pu提交到CA中心;
签发单元22,用于CA中心根据所述公钥Pu签发公钥证书;
第一验证单元23,用于支付终端获取所述公钥证书,并对所述公钥证书进行合法性验证;
提取单元24,用于若验证通过,则从所述公钥证书中提取公钥Pu;
第一加密单元25,用于支付终端使用所述公钥Pu加密所述对称密钥,得到第二加密数据,并将所述第二加密数据发送至密钥管理系统;
第一解密单元26,用于密钥管理系统使用私钥Pr解密所述第二加密数据,得到对称密钥。
进一步地,所述对称密钥包括第一对称密钥;所述发起模块3包括:
第二生成单元31,用于支付终端生成请求数据;
第二加密单元32,用于使用第一对称密钥加密所述请求数据,得到第三加密数据;
第一发送单元33,用于将所述第三加密数据发送至密钥管理系统。
进一步地,所述提交模块4包括:
第二解密单元41,用于密钥管理系统使用第一对称密钥解密第三加密数据,得到请求数据;
第二发送单元42,用于将所述请求数据发送至CA中心。
进一步地,所述对称密钥还包括第二对称密钥;所述发起模块3还包括:
第一计算单元34,用于使用第二对称密钥计算得到所述请求数据的第一消息认证码;
第三发送单元35,用于将所述第一消息认证码发送至密钥管理系统。
进一步地,所述提交模块4还包括:
第二验证单元43,用于根据所述第二对称密钥和第一消息认证码,验证所述请求数据的合法性;
执行单元44,用于若验证通过,则执行所述将所述请求数据发送至CA中心的步骤。
进一步地,所述对称密钥包括第一对称密钥和第二对称密钥;所述加密模块6包括:
第三加密单元61,用于密钥管理系统使用第一对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
第二计算单元62,用于使用第二对称密钥计算得到所述RSA私钥和证书的第二消息认证码;
第四发送单元63,用于将所述第一加密数据和第二消息认证码发送至支付终端。
进一步地,所述解密模块7包括:
第三解密单元71,用于支付终端使用第一对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书;
第三验证单元72,用于根据所述第二对称密钥和第二消息认证码,验证所述RSA私钥和证书的完整性;
第四验证单元73,用于使用预置的根证书验证所述证书的合法性;
存储单元74,用于若验证通过,则将所述RSA私钥和证书存储至支付终端的安全区域中。
综上所述,本发明提供的一种RSA密钥对和证书的注入方法、架构及系统,采用CA中心集中生成RSA密钥对和证书的方式,由于其生成速度相比支付终端更优异,有效解决了支付终端性能不足造成的产能低效问题;通过安全链路传输以及对称密钥加密的方式,有效保证了数据传输过程中的安全性和机密性;本发明适用于所有类型的支付终端,有效解决了支付终端自己产生RSA密钥对效率低下的问题,通过采用自动安全注入的方式,减少了人工操作和维护产线安全机房的成本,且保证安全。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种RSA密钥对和证书的注入方法,其特征在于,包括:
支付终端生成对称密钥;
密钥管理系统获取所述对称密钥;
支付终端发起请求,并将所述请求发送至密钥管理系统;
密钥管理系统将所述请求提交至CA中心;
CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
2.根据权利要求1所述的RSA密钥对和证书的注入方法,其特征在于,所述“密钥管理系统获取所述对称密钥”具体为:
密钥管理系统的硬件加密机生成非对称密钥对,所述非对称密钥对包括公钥Pu和私钥Pr,并将所述公钥Pu提交到CA中心;
CA中心根据所述公钥Pu签发公钥证书;
支付终端获取所述公钥证书,并对所述公钥证书进行合法性验证;
若验证通过,则从所述公钥证书中提取公钥Pu;
支付终端使用所述公钥Pu加密所述对称密钥,得到第二加密数据,并将所述第二加密数据发送至密钥管理系统;
密钥管理系统使用私钥Pr解密所述第二加密数据,得到对称密钥。
3.根据权利要求1所述的RSA密钥对和证书的注入方法,其特征在于,所述对称密钥包括第一对称密钥;所述“支付终端发起请求,并将所述请求发送至密钥管理系统”具体为:
支付终端生成请求数据;
使用第一对称密钥加密所述请求数据,得到第三加密数据;
将所述第三加密数据发送至密钥管理系统。
4.根据权利要求3所述的RSA密钥对和证书的注入方法,其特征在于,所述“密钥管理系统将所述请求提交至CA中心”具体为:
密钥管理系统使用第一对称密钥解密第三加密数据,得到请求数据;
将所述请求数据发送至CA中心。
5.根据权利要求4所述的RSA密钥对和证书的注入方法,其特征在于,所述对称密钥还包括第二对称密钥;所述“支付终端生成请求数据”之后,进一步包括:
使用第二对称密钥计算得到所述请求数据的第一消息认证码;
将所述第一消息认证码发送至密钥管理系统。
6.根据权利要求5所述的RSA密钥对和证书的注入方法,其特征在于,所述“将所述请求数据发送至CA中心”之前,进一步包括:
根据所述第二对称密钥和第一消息认证码,验证所述请求数据的合法性;
若验证通过,则执行所述将所述请求数据发送至CA中心的步骤。
7.根据权利要求1所述的RSA密钥对和证书的注入方法,其特征在于,所述对称密钥包括第一对称密钥和第二对称密钥;所述“密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端”具体为:
密钥管理系统使用第一对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
使用第二对称密钥计算得到所述RSA私钥和证书的第二消息认证码;
将所述第一加密数据和第二消息认证码发送至支付终端。
8.根据权利要求7所述的RSA密钥对和证书的注入方法,其特征在于,所述“支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书”具体为:
支付终端使用第一对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书;
根据所述第二对称密钥和第二消息认证码,验证所述RSA私钥和证书的完整性;
使用预置的根证书验证所述证书的合法性;
若验证通过,则将所述RSA私钥和证书存储至支付终端的安全区域中。
9.一种RSA密钥对和证书的注入架构,其特征在于,包括依次通信连接的支付终端、密钥管理系统和CA中心;
所述支付终端用于生成对称密钥;
所述密钥管理系统用于获取所述对称密钥;
所述支付终端还用于发起请求,并将所述请求发送至密钥管理系统;
所述密钥管理系统还用于将所述请求提交至CA中心;
所述CA中心用于根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
所述密钥管理系统还用于使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
所述支付终端还用于使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
10.一种RSA密钥对和证书的注入系统,其特征在于,包括:
第一生成模块,用于支付终端生成对称密钥;
获取模块,用于密钥管理系统获取所述对称密钥;
发起模块,用于支付终端发起请求,并将所述请求发送至密钥管理系统;
提交模块,用于密钥管理系统将所述请求提交至CA中心;
第二生成模块,用于CA中心根据所述请求生成RSA私钥和证书,并将所述RSA私钥和证书通过安全链路发送至密钥管理系统,所述证书中包括RSA公钥;
加密模块,用于密钥管理系统使用所述对称密钥加密所述RSA私钥和证书,得到第一加密数据,并将所述第一加密数据发送至支付终端;
解密模块,用于支付终端使用对称密钥对所述第一加密数据进行解密,得到所述RSA私钥和证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710276852.7A CN107135070A (zh) | 2017-04-25 | 2017-04-25 | Rsa密钥对和证书的注入方法、架构及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710276852.7A CN107135070A (zh) | 2017-04-25 | 2017-04-25 | Rsa密钥对和证书的注入方法、架构及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107135070A true CN107135070A (zh) | 2017-09-05 |
Family
ID=59715630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710276852.7A Pending CN107135070A (zh) | 2017-04-25 | 2017-04-25 | Rsa密钥对和证书的注入方法、架构及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107135070A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733647A (zh) * | 2017-12-08 | 2018-02-23 | 前海联大(深圳)技术有限公司 | 一种基于pki安全体系的密钥更新方法 |
| CN108809925A (zh) * | 2017-10-26 | 2018-11-13 | 深圳市移卡科技有限公司 | Pos设备数据加密传输方法、终端设备及存储介质 |
| CN109698745A (zh) * | 2018-12-25 | 2019-04-30 | 歌尔科技有限公司 | 一种密钥管理方法、系统及耳机和存储介质 |
| WO2019200530A1 (zh) * | 2018-04-17 | 2019-10-24 | 福建联迪商用设备有限公司 | 终端主密钥的远程分发方法及其系统 |
| CN110808827A (zh) * | 2019-09-20 | 2020-02-18 | 北京电信易通信息技术股份有限公司 | 基于量子加密的空中发证方法及系统 |
| CN111884804A (zh) * | 2020-06-15 | 2020-11-03 | 上海祥承通讯技术有限公司 | 一种远程密钥管理方法 |
| CN112287408A (zh) * | 2020-12-28 | 2021-01-29 | 九州华兴集成电路设计(北京)有限公司 | Rsa单核数据架构 |
| CN112396416A (zh) * | 2020-11-18 | 2021-02-23 | 上海商米科技集团股份有限公司 | 一种智能pos设备证书装载的方法 |
| CN112769574A (zh) * | 2020-12-28 | 2021-05-07 | 云从科技集团股份有限公司 | 密钥注入方法和系统、密钥管理系统、设备及机器可读介质 |
| CN113676330A (zh) * | 2021-08-10 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
| CN114301597A (zh) * | 2021-12-13 | 2022-04-08 | 零信技术(深圳)有限公司 | 密钥验证方法、设备及可读存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1860725A (zh) * | 2004-07-20 | 2006-11-08 | 株式会社理光 | 检查装置、通信系统、检查方法、计算机可执行程序产品和计算机可读记录介质 |
| CN101346932A (zh) * | 2005-11-25 | 2009-01-14 | 格雷戈尔·泽比奇 | 采用有线及无线保密线路的家庭网络应用系统 |
| CN101542968A (zh) * | 2007-08-28 | 2009-09-23 | 松下电器产业株式会社 | 密钥终端装置、加密处理用lsi、固有密钥生成方法和内容系统 |
| CN101673434A (zh) * | 2009-09-29 | 2010-03-17 | 上海捷惠达网络科技有限公司 | 一种ic卡终端的密钥管理方法 |
| CN101923613A (zh) * | 2004-10-08 | 2010-12-22 | 松下电器产业株式会社 | 认证系统 |
| CN101964793A (zh) * | 2010-10-08 | 2011-02-02 | 上海银联电子支付服务有限公司 | 终端和服务器间的数据传输方法及系统、签到和支付方法 |
| CN102624710A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
| CN102624711A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
| US20130103948A1 (en) * | 2011-10-21 | 2013-04-25 | Attaullah Baig | Point of sale (pos) personal identification number (pin) security |
| CN103138934A (zh) * | 2011-11-21 | 2013-06-05 | 美国博通公司 | 安全密钥生成 |
| CN105991292A (zh) * | 2015-03-18 | 2016-10-05 | 马克西姆综合产品公司 | 用于操作安全椭圆曲线密码系统的系统和方法 |
-
2017
- 2017-04-25 CN CN201710276852.7A patent/CN107135070A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1860725A (zh) * | 2004-07-20 | 2006-11-08 | 株式会社理光 | 检查装置、通信系统、检查方法、计算机可执行程序产品和计算机可读记录介质 |
| CN101923613A (zh) * | 2004-10-08 | 2010-12-22 | 松下电器产业株式会社 | 认证系统 |
| CN101346932A (zh) * | 2005-11-25 | 2009-01-14 | 格雷戈尔·泽比奇 | 采用有线及无线保密线路的家庭网络应用系统 |
| CN101542968A (zh) * | 2007-08-28 | 2009-09-23 | 松下电器产业株式会社 | 密钥终端装置、加密处理用lsi、固有密钥生成方法和内容系统 |
| CN101673434A (zh) * | 2009-09-29 | 2010-03-17 | 上海捷惠达网络科技有限公司 | 一种ic卡终端的密钥管理方法 |
| CN101964793A (zh) * | 2010-10-08 | 2011-02-02 | 上海银联电子支付服务有限公司 | 终端和服务器间的数据传输方法及系统、签到和支付方法 |
| US20130103948A1 (en) * | 2011-10-21 | 2013-04-25 | Attaullah Baig | Point of sale (pos) personal identification number (pin) security |
| CN103138934A (zh) * | 2011-11-21 | 2013-06-05 | 美国博通公司 | 安全密钥生成 |
| CN102624710A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
| CN102624711A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
| CN105991292A (zh) * | 2015-03-18 | 2016-10-05 | 马克西姆综合产品公司 | 用于操作安全椭圆曲线密码系统的系统和方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809925A (zh) * | 2017-10-26 | 2018-11-13 | 深圳市移卡科技有限公司 | Pos设备数据加密传输方法、终端设备及存储介质 |
| CN108809925B (zh) * | 2017-10-26 | 2021-02-19 | 深圳市移卡科技有限公司 | Pos设备数据加密传输方法、终端设备及存储介质 |
| CN107733647A (zh) * | 2017-12-08 | 2018-02-23 | 前海联大(深圳)技术有限公司 | 一种基于pki安全体系的密钥更新方法 |
| WO2019200530A1 (zh) * | 2018-04-17 | 2019-10-24 | 福建联迪商用设备有限公司 | 终端主密钥的远程分发方法及其系统 |
| CN109698745A (zh) * | 2018-12-25 | 2019-04-30 | 歌尔科技有限公司 | 一种密钥管理方法、系统及耳机和存储介质 |
| CN110808827A (zh) * | 2019-09-20 | 2020-02-18 | 北京电信易通信息技术股份有限公司 | 基于量子加密的空中发证方法及系统 |
| CN111884804A (zh) * | 2020-06-15 | 2020-11-03 | 上海祥承通讯技术有限公司 | 一种远程密钥管理方法 |
| CN112396416A (zh) * | 2020-11-18 | 2021-02-23 | 上海商米科技集团股份有限公司 | 一种智能pos设备证书装载的方法 |
| CN112287408A (zh) * | 2020-12-28 | 2021-01-29 | 九州华兴集成电路设计(北京)有限公司 | Rsa单核数据架构 |
| CN112769574A (zh) * | 2020-12-28 | 2021-05-07 | 云从科技集团股份有限公司 | 密钥注入方法和系统、密钥管理系统、设备及机器可读介质 |
| CN113676330A (zh) * | 2021-08-10 | 2021-11-19 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
| CN113676330B (zh) * | 2021-08-10 | 2023-08-01 | 上海瓶钵信息科技有限公司 | 一种基于二级密钥的数字证书申请系统及方法 |
| CN114301597A (zh) * | 2021-12-13 | 2022-04-08 | 零信技术(深圳)有限公司 | 密钥验证方法、设备及可读存储介质 |
| CN114301597B (zh) * | 2021-12-13 | 2024-02-09 | 零信技术(深圳)有限公司 | 密钥验证方法、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107135070A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN103714642B (zh) | 密钥下载方法、管理方法、下载管理方法及装置和系统 | |
| CN103716168B (zh) | 密钥管理方法及系统 | |
| CN103714641B (zh) | 一种终端主密钥tmk安全下载方法及系统 | |
| US9647845B2 (en) | Key downloading method, management method, downloading management method, device and system | |
| US7571320B2 (en) | Circuit and method for providing secure communications between devices | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| CN107896147B (zh) | 一种基于国密算法协商临时会话密钥的方法及其系统 | |
| CN101393628B (zh) | 一种新型的网上安全交易系统和方法 | |
| CN107104795B (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN103338215A (zh) | 基于国密算法建立tls通道的方法 | |
| JP2012235214A (ja) | 暗号通信装置および暗号通信システム | |
| CN107888379A (zh) | 一种安全连接的方法、pos终端及密码键盘 | |
| CN100579009C (zh) | 一种可信计算模块功能升级的方法 | |
| CN103684798A (zh) | 一种用于分布式用户服务间认证系统 | |
| CN105281910A (zh) | 带ca数字证书作为入网身份识别的物联网锁及其入网身份识别方法 | |
| CN111435390A (zh) | 一种配电终端运维工具安全防护方法 | |
| CN107707562A (zh) | 一种非对称动态令牌加、解密算法的方法、装置 | |
| CN113312608A (zh) | 一种基于时间戳的电力计量终端身份认证方法及系统 | |
| CN111435389A (zh) | 一种配电终端运维工具安全防护系统 | |
| CN100566239C (zh) | 多级智能密钥装置的密钥传递方法和系统 | |
| CN112787990B (zh) | 一种电力终端可信接入认证方法和系统 | |
| CN114584355A (zh) | 一种用于数字货币交易的安全认证方法、装置和系统 | |
| US10608826B2 (en) | Method for authenticating attributes in a non-traceable manner and without connection to a server | |
| CN116033419A (zh) | 一种基于外置nfc芯片的手机安全认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170905 |