CN107888379A - 一种安全连接的方法、pos终端及密码键盘 - Google Patents
一种安全连接的方法、pos终端及密码键盘 Download PDFInfo
- Publication number
- CN107888379A CN107888379A CN201711009720.4A CN201711009720A CN107888379A CN 107888379 A CN107888379 A CN 107888379A CN 201711009720 A CN201711009720 A CN 201711009720A CN 107888379 A CN107888379 A CN 107888379A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- key
- pinpad
- pos terminal
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
- G06Q20/206—Point-of-sale [POS] network systems comprising security or operator identification provisions, e.g. password entry
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Abstract
本发明适用于数据安全技术领域,提供了一种安全连接的方法。所述方法包括:POS终端向所述PINPAD发送认证请求信息;所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端;所述POS终端对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥;所述POS终端生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD;所述PINPAD通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
Description
技术领域
本发明属于数据安全技术领域,尤其涉及一种安全连接的方法、POS终端、密码键盘及计算机可读存储介质。
背景技术
现行刷卡消费中广泛使用密码支付,用户个人密码安全成为保护用户资金的一个重要保障。用户个人密码如果以明文形式从终端传送到前台主机,在通信过程中极易被监听,因此明文密码键盘不足以满足安全性要求,存在极大的安全隐患。
为防止用户密码在通信过程中被窃取,提高支付过程的安全性,最简便的方法就是采用直接加密键盘,例如:采用在安全房中注入密钥的方式或者是在商用环境下注入密钥。然而,这两种做法都比较繁琐,安全性较差,都无法真正提升密码键盘的安全性,从而无法保护用户在密码键盘上输入的个人识别码在输入和传输过程中的安全。
发明内容
有鉴于此,本发明实施例提供了一种安全连接的方法、POS终端及密码键盘,以在普通环境下建立POS终端与密码键盘之间的安全连接,提高POS终端与密码键盘之间数据传输的安全性。
本发明实施例的第一方面提供了一种安全连接的方法,应用于POS终端和密码键盘PINPAD,包括:
所述POS终端在接收到与所述PINPAD建立连接的信息后,向所述PINPAD发送认证请求信息;
所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端;
所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥;
所述POS终端生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD;
所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
本发明实施例的第二方面提供了一种安全连接的方法,应用于POS终端,包括:
在接收到与PINPAD建立连接的信息后,向所述PINPAD发送认证请求信息,以使得所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端;
在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥;
生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD,以使得所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
本发明实施例的第三方面提供了一种安全连接的方法,应用于密码键盘PINPAD,包括:
在接收到POS终端发送的认证请求信息后,将预先存储的数字证书发送给所述POS终端,以使得所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥,同时生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD;
在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
本发明实施例的第四方面提供了一种POS终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第二方面所述方法的步骤。
本发明实施例的第五方面提供了一种计算机可读存储介质,包括:该计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现上述第二方面所述的方法的步骤。
本发明实施例的第六方面提供了一种密码键盘,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第三方面所述方法的步骤。
本发明实施例的第七方面提供了一种计算机可读存储介质,包括:该计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现上述第三方面所述的方法的步骤。
由上可知,本发明实施例与现有技术相比存在的有益效果是:本发明实施例所述POS终端在接收到与所述PINPAD建立连接的信息后,向所述PINPAD发送认证请求信息,所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端,所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥,生成传输密钥,通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD,所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥。通过本发明实施例,POS终端可以在普通环境(非安全房)下与PINPAD建立安全连接,提高了POS终端与密码键盘之间数据传输的安全性。本发明实施例采用POS终端向PINPAD单向认证的方式确保PINPAD的合法性,然后在POS终端和PINPAD之间建立安全链路,再对会话进行加密,具有安全性高、防泄密、移植性好、效率高的特点,能够快速的完成认证,并能有效的防止数据篡改、中间人攻击、伪造签名等各种攻击手段,提高交易数据和个人密码的安全,具有较强的易用性和实用性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的安全连接方法的实现流程示意图;
图2是本发明实施例二提供的安全连接方法的实现流程示意图;
图3是本发明实施例三提供的安全连接方法的实现流程示意图;
图4是本发明实施例四提供的POS终端示意图;
图5是本发明实施例五提供的密码键盘的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
应理解,下述方法实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对各实施例的实施过程构成任何限定。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一
本发明实施例提供了一种安全连接的方法,请参阅图1,本发明实施例中的安全连接方法包括以下步骤:
步骤S101:所述POS终端在接收到与所述密码键盘PINPAD建立连接的信息后,向所述PINPAD发送认证请求信息。
具体的可以是,所述POS终端在接受到用户发出的与所述密码键盘PINPAD建立连接的指令后,向所述PINPAD发送认证请求信息;其中所述POS终端,又称销售终端(Point OfSale,POS),是一种多功能终端,把它安装在信用卡的特约商户和受理网点中与计算机联成网络,就能实现电子资金自动转帐,它具有支持消费、预授权、余额查询和转帐等功能。
在本实施例中,所述认证请求信息中可以携带有所述POS终端的标识符信息,所述PINPAD主要用于提供个人识别码PIN的输入以及对输入的PIN进行加密保护的安全设备。
步骤S102:所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端。
需要说明的是,所述数字证书(Digital Certificate)是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印,可以认为它是加在数字身份证上的一个签名。
进一步地,所述PINPAD在将预先存储的数字证书发送给所述POS终端之前,还可以包括:
所述PINPAD生成公钥和私钥,并将所述私钥存储至预先创建的安全区域,基于所述公钥生成包含所述公钥的数字证书;
所述PINPAD将包含所述公钥的数字证书发送至签名服务器,以使得所述签名服务器在接收到包含所述公钥的数字证书之后,对包含所述公钥的数字证书进行签名,并将签名后的所述数字证书发送给所述PINPAD;
所述PINPAD在接收到签名后的所述数字证书后,将签名后的所述数字证书存储至所述安全区域。
具体可以是,通过调用PINPAD提供的公私钥密钥对的生成接口来生成公私密钥对,所述公钥和私钥可以是RSA公私密钥对。
其中,所述安全区域可以是PINPAD内的Flash安全区域。
具体的可以是,PINPAD生成RSA公私密钥对,并将RSA私钥保存在Flash安全区域,根据RSA公钥生成包含RSA公钥的x509数字证书,然后将所述x509数字证书发送到PAXCA签名服务器,通过PAXCA签名服务器的私钥对所述x509数字证书进行签名后生成PINCAX509数字证书,然后返回给PINPAD,PINPAD将所述PINCAX509数字证书保存在所述Flash安全区域,而POS终端在生产阶段需要注入用于认证PINPAD合法性的PAXCA根证书,并将所述PAXCA根证书固化在POS终端的操作系统里。
步骤S103:所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥。
本实施例中,在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥可以包括:
在接收到所述数字证书后,通过固化的根证书验证接收到的所述数字证书的签名是否正确,若签名正确,验证接收到的所述数字证书的颁发者和使用者是否正确,若颁发者和使用者正确,验证接收到的所述数字证书是否超过有效期,若未超过有效期,则确定接收到的所述数字证书验证通过,获取该数字证书中的公钥。
其中,所述根证书可以在生产阶段注入到POS终端设备并固化在POS终端的操作系统里。所述根证书用于认证PINPAD的合法性,如果认证通过,则认为PINPAD是可信任的,可以进行PIN输入;否则认为PINPAD不可信任,PIN输入是不安全的。在本实施例中,由于PIN加密密钥TPK(Terminal PIN Key,TPK)始终存在于POS终端,不会注入到PINPAD,保证了TPK的安全性和私密性,即使PINPAD受到攻击,TPK也不会外泄。
其中,所述数字证书的颁发者是指权威机构——证书授权中心(CertificateAuthority,CA)。数字证书的作用是证明证书中列出的用户名称与证书中列出的公开密钥相对应。需要说明的是,PINPAD将包含所述公钥的数字证书发送至签名服务器CA之前,一般是先发送给数字证书注册中心(Register Authority,RA),该系统具有证书的申请、审批、下载等一系列功能,为整个机构体系提供电子认证服务,由RA系统完成相应的审核后,再提交CA签发,CA同意申请则会用CA自己的证书私钥对通过审核的数字证书进行签名认证,并将签名处理后的数字证书信息发送至PINPAD。
步骤S104:所述POS终端生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD。
示例性的,在数字证书验证通过后,则表明PINPAD是可信任的,此时POS终端可以生成一段16字节随机数作为传输密钥,并通过从所述数字证书中提取出来的公钥加密传输密钥,得到传输密钥密文并发送给PINPAD。
步骤S105:所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
进一步的,在所述PINPAD获得所述传输密钥之后,还包括:
所述POS终端向所述PINPAD发送要求输入个人识别码PIN的指令;
所述PINPAD在接收到所述指令之后,输入PIN,并通过所述传输密钥对输入的PIN进行加密,将加密后的PIN返回给所述POS终端;
所述POS终端在接收到所述加密后的PIN之后,通过所述传输密钥对所述加密后的PIN进行解密,获得PIN,并通过预先存储的加密密钥对所述PIN进行加密获得PIN Block密文;
所述POS终端将所述PIN Block发送至交易后台,以完成支付交易。
其中,个人识别码(Personal Identity Number,PIN),PIN通常是由0-9中的任意4-12位数字组成。
需要说明的是,实际应用中,由于个人识别码PIN长度一般为6位,不符合加密算法的固定分组长度要求,所以需要对PIN进行填充使之达到一个分组的长度(8字节/64位),然后加密计算从而保证PIN的机密性,填充后的PIN的分组数据块就称之为PIN Block。其中加密后的PIN Block的数据格式具体可以如下表1所示:
表1
其中,1-64表示PIN Block的位数,共64位;
C为控制字段,默认为1,即:0001;
N是PIN的长度,范围从4(0100)-12(1100);
P为PIN的每一位十进制数对应的二进制数值,范围为0(0000)-9(1001);
P/T这些字段的具体数值是由PIN长度确定;
T是随机填充数,范围为0(0000)-15(1111),随机填充数的位数W=56-(4*N)可唯一确定。
示例性的,当POS端获得明文的PIN后,会根据指定的模式生成PIN Block,如果指定了模式1(不带主账号信息),则在用户输入的PIN为“123456”时,随机填充数均为0时,8字节的PIN Block的各个bit如下所示:
1-4位控制字段:0001(固定值);
5-8位PIN的长度:0110(即PIN长度为6);
9-12位PIN值:0001(PIN第一个字节“1”);
13-16位PIN值:0010(PIN第二个字节“2”);
17-20位PIN值:0011(PIN第三个字节“3”);
21-24位PIN值:0100(PIN第四个字节“4”);
25-28位PIN值:0101(PIN第五个字节“5”);
29-32位PIN值:0110(PIN第六个字节“6”);
33-36位随机填充数:0000;
37-40位随机填充数:0000;
41-44位随机填充数:0000;
45-48位随机填充数:0000;
49-52位随机填充数:0000;
53-56位随机填充数:0000;
57-60位随机填充数:0000;
61-64位随机填充数:0000。
那么PIN Block的从1-64位二进制数是:0001 0110 0001 0010 0011 0100 01010110 0000 0000 0000 0000 0000 0000 0000 0000;
对应的16进制的8字节数为:0x16 0x12 0x34 0x56 0x00 0x00 0x00 0x00;
最后再用TPK对这8个字节进行DES加密,得到PIN Block密文,发送至交易后台,从而完成支付交易。
由上可见,本发明实施例中通过POS端对PINPAD发送数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥,生成传输密钥,能够有效防止伪造签名,保证了PINPAD是可信任的设备;通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD,所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,保证了在与PINPAD建立非对称连接的同时PINPAD可以获得与POS端相同的传输密钥,确保在此安全链路的基础上后续建立的会话可以被加密传输;并且POS终端利用预先存储的加密密钥对所述PIN Block加密生成PIN Block密文,能够有效的保证PIN输入的安全性。
实施例二
本发明实施例提供了一种安全连接的方法,请参阅图2,本发明实施例中的安全连接方法包括以下步骤:
步骤S201:在接收到与PINPAD建立连接的信息后,向所述PINPAD发送认证请求信息,以使得所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端。
步骤S202:在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥。
所述获取数字证书中公钥的具体方法步骤与上述实施例一中的步骤S103中的获取方法相同,具体可参见步骤S103相关描述,在此不再赘述。
步骤S203:生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD,以使得所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
通过图2的实施例可知,在本发明实施例中,通过接收到PINPAD发送的数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥,生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD,可以在确认PINPAD为安全输入设备的情形下通过发送传输密钥的方式与POS终端建立安全连接。
实施例三
本发明实施例提供了一种安全连接的方法,请参阅图3,本发明实施例中的安全连接方法包括以下步骤:
步骤S301:在接收到POS终端发送的认证请求信息后,将预先存储的数字证书发送给所述POS终端,以使得所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥,同时生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD。
步骤S302:在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
需要说明的是,上述步骤S301与上述实施例一中的步骤S102中相同,具体可参见步骤S102的相关描述;步骤S302与上述实施例一种的步骤S105相关描述,具体可参见步骤S105的相关描述,在此不再赘述。
通过图3的实施例可知,在本发明实施例中,PINPAD通过将预先存储的数字证书发送给所述POS终端,以使得所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,接受POS终端发送的加密后的传输密钥,既可以与POS终端建立安全的非对称连接;又可以获取与POS终端相同的传输密钥,保证了后续与POS终端的对话可以以加密的方式进行,从而保证了PINPAD上的PIN输入可以安全的传输到POS终端。
实施例四
本发明实施例提供了一种POS终端的示意图,请参阅图4,本实施例中的POS终端4包括:处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序42。所述处理器40执行所述计算机程序42时实现上述实施例二中的一种安全连接方法的步骤,例如图2所示的步骤201至203。所述POS终端设备4可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是POS终端4的示例,并不构成对POS终端4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
所称处理器40可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41可以是所述POS终端4的内部存储单元,例如POS终端4的硬盘或内存。所述存储器41也可以是所述POS终端4的外部存储设备,例如所述POS终端4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述POS终端4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述POS终端设备4所需的其他程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
实施例五
本发明实施例提供了一种密码键盘的示意图,请参阅图5,本实施例中的密码键盘5包括:处理器50、存储器51以及存储在所述存储器51中并可在所述处理器50上运行的计算机程序52。所述处理器50执行所述计算机程序52时实现上述实施例三中的一种安全连接的方法的步骤,例如图3所示的步骤301至302。
所述密码键盘5可包括,但不仅限于,处理器50、存储器51。本领域技术人员可以理解,图5仅仅是密码键盘5的示例,并不构成对密码键盘5的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
所称处理器50可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器51可以是所述密码键盘的内部存储单元,例如:密码键盘5的硬盘或内存。所述存储器51也可以是所述密码键盘5的外部存储设备,例如:所述密码键盘5上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器51还可以既包括所述密码键盘5的内部存储单元也包括外部存储设备。所述存储器51用于存储所述计算机程序以及所述密码键盘5所需的其他程序和数据。所述存储器51还可以用于暂时地存储已经输出或者将要输出的数据。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
另外,本发明实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (12)
1.一种安全连接的方法,应用于POS终端和密码键盘PINPAD,其特征在于,包括:
所述POS终端在接收到与所述PINPAD建立连接的信息后,向所述PINPAD发送认证请求信息;
所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端;
所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥;
所述POS终端生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD;
所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
2.如权利要求1所述的安全连接的方法,其特征在于,所述PINPAD在将预先存储的数字证书发送给所述POS终端之前,还包括:
所述PINPAD生成公钥和私钥,并将所述私钥存储至预先创建的安全区域,基于所述公钥生成包含所述公钥的数字证书;
所述PINPAD将包含所述公钥的数字证书发送至签名服务器,以使得所述签名服务器在接收到包含所述公钥的数字证书之后,对包含所述公钥的数字证书进行签名,并将签名后的所述数字证书发送给所述PINPAD;
所述PINPAD在接收到签名后的所述数字证书后,将签名后的所述数字证书存储至所述安全区域。
3.如权利要求1所述的安全连接的方法,其特征在于,所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥包括:
所述POS终端在接收到所述数字证书后,通过固化的根证书验证接收到的所述数字证书的签名是否正确,若签名正确,验证接收到的所述数字证书的颁发者和使用者是否正确,若颁发者和使用者正确,验证接收到的所述数字证书是否超过有效期,若未超过有效期,则确定接收到的所述数字证书验证通过,获取该数字证书中的公钥。
4.如权利要求1至3任一项所述的安全连接的方法,其特征在于,在所述PINPAD获得所述传输密钥之后,还包括:
所述POS终端向所述PINPAD发送要求输入个人识别码PIN的指令;
所述PINPAD在接收到所述指令之后,输入PIN,并通过所述传输密钥对输入的PIN进行加密,将加密后的PIN返回给所述POS终端;
所述POS终端在接收到所述加密后的PIN之后,通过所述传输密钥对所述加密后的PIN进行解密,获得PIN,并通过预先存储的加密密钥对所述PIN进行加密获得PIN Block;
所述POS终端将所述PIN Block发送至交易后台,以完成支付交易。
5.一种安全连接的方法,应用于POS终端,其特征在于,包括:
在接收到与PINPAD建立连接的信息后,向所述PINPAD发送认证请求信息,以使得所述PINPAD在接收到所述认证请求信息后,将预先存储的数字证书发送给所述POS终端;
在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥;
生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD,以使得所述PINPAD在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
6.如权利要求5所述的安全连接的方法,其特征在于,在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥包括:
在接收到所述数字证书后,通过固化的根证书验证接收到的所述数字证书的签名是否正确,若签名正确,验证接收到的所述数字证书的颁发者和使用者是否正确,若颁发者和使用者正确,验证接收到的所述数字证书是否超过有效期,若未超过有效期,则确定接收到的所述数字证书验证通过,获取该数字证书中的公钥。
7.一种安全连接的方法,应用于密码键盘PINPAD,其特征在于,包括:
在接收到POS终端发送的认证请求信息后,将预先存储的数字证书发送给所述POS终端,以使得所述POS终端在接收到所述数字证书后,对所述数字证书的有效性进行验证,并在验证通过后,获取所述数字证书中的公钥,同时生成传输密钥,并通过所述公钥加密所述传输密钥,将加密后的传输密钥发送给所述PINPAD;
在接收到所述加密后的传输密钥后,通过预先存储的与所述公钥对应的私钥解密所述加密后的传输密钥,获得所述传输密钥,以通过所述传输密钥建立与所述POS终端的安全连接。
8.如权利要求7所述的安全连接的方法,其特征在于,在将预先存储的数字证书发送给所述POS终端之前,还包括:
生成公钥和私钥,并将所述私钥存储至预先创建的安全区域,基于所述公钥生成包含所述公钥的数字证书;
将包含所述公钥的数字证书发送至签名服务器,以使得所述签名服务器在接收到包含所述公钥的数字证书之后,对包含所述公钥的数字证书进行签名,并将签名后的所述数字证书发送给所述PINPAD;在接收到签名后的所述数字证书后,将签名后的所述数字证书存储至所述安全区域。
9.一种POS终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求5或6所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5或6所述方法的步骤。
11.一种密码键盘,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求7或8所述方法的步骤。
12.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求7或8所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711009720.4A CN107888379A (zh) | 2017-10-25 | 2017-10-25 | 一种安全连接的方法、pos终端及密码键盘 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711009720.4A CN107888379A (zh) | 2017-10-25 | 2017-10-25 | 一种安全连接的方法、pos终端及密码键盘 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107888379A true CN107888379A (zh) | 2018-04-06 |
Family
ID=61782341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711009720.4A Pending CN107888379A (zh) | 2017-10-25 | 2017-10-25 | 一种安全连接的方法、pos终端及密码键盘 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107888379A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667718A (zh) * | 2018-04-26 | 2018-10-16 | 济南浪潮高新科技投资发展有限公司 | 一种即时通信系统及其通信方法 |
| CN109104279A (zh) * | 2018-08-31 | 2018-12-28 | 国网河北省电力有限公司沧州供电分公司 | 一种电力数据的加密方法、系统及终端设备 |
| CN109639702A (zh) * | 2018-12-25 | 2019-04-16 | 歌尔科技有限公司 | 一种数据通信方法、系统及电子设备和存储介质 |
| CN109816389A (zh) * | 2018-12-03 | 2019-05-28 | 深圳市新国都支付技术有限公司 | 一种pos机签名验证方法和系统 |
| CN110992047A (zh) * | 2019-11-29 | 2020-04-10 | 福建新大陆支付技术有限公司 | 全触屏pos终端pin安全输入方法 |
| WO2020078225A1 (zh) * | 2018-10-15 | 2020-04-23 | 百富计算机技术(深圳)有限公司 | 一种密钥下载方法、客户端、密码设备及终端设备 |
| CN111526159A (zh) * | 2020-05-25 | 2020-08-11 | 普联技术有限公司 | 建立数据连接的方法、装置、终端设备及存储介质 |
| CN112464270A (zh) * | 2020-12-30 | 2021-03-09 | 广汽本田汽车有限公司 | 一种投标文件加密解密方法、设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1766920A (zh) * | 2005-11-01 | 2006-05-03 | 广州好易联支付网络有限公司 | 网上安全支付系统及方法 |
| CN101685512A (zh) * | 2008-09-28 | 2010-03-31 | 中国银联股份有限公司 | 一种用于实现网上支付的计算机、支付系统及其方法 |
| US7725427B2 (en) * | 2001-05-25 | 2010-05-25 | Fred Bishop | Recurrent billing maintenance with radio frequency payment devices |
| CN102136172A (zh) * | 2011-04-02 | 2011-07-27 | 方园 | 一种个人或家庭使用的刷卡终端及其实现方法 |
| CN102624710A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
| CN102663863A (zh) * | 2012-03-23 | 2012-09-12 | 广州大学 | 抗信道木马攻击的金融pos系统及其抗攻击的实现方法 |
| CN103237005A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥管理方法及系统 |
| CN103731260A (zh) * | 2013-03-15 | 2014-04-16 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
| CN107104795A (zh) * | 2017-04-25 | 2017-08-29 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
-
2017
- 2017-10-25 CN CN201711009720.4A patent/CN107888379A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7725427B2 (en) * | 2001-05-25 | 2010-05-25 | Fred Bishop | Recurrent billing maintenance with radio frequency payment devices |
| CN1766920A (zh) * | 2005-11-01 | 2006-05-03 | 广州好易联支付网络有限公司 | 网上安全支付系统及方法 |
| CN101685512A (zh) * | 2008-09-28 | 2010-03-31 | 中国银联股份有限公司 | 一种用于实现网上支付的计算机、支付系统及其方法 |
| CN102136172A (zh) * | 2011-04-02 | 2011-07-27 | 方园 | 一种个人或家庭使用的刷卡终端及其实现方法 |
| CN102624710A (zh) * | 2012-02-27 | 2012-08-01 | 福建联迪商用设备有限公司 | 一种敏感信息传输方法及系统 |
| CN102663863A (zh) * | 2012-03-23 | 2012-09-12 | 广州大学 | 抗信道木马攻击的金融pos系统及其抗攻击的实现方法 |
| CN103237005A (zh) * | 2013-03-15 | 2013-08-07 | 福建联迪商用设备有限公司 | 密钥管理方法及系统 |
| CN103731260A (zh) * | 2013-03-15 | 2014-04-16 | 福建联迪商用设备有限公司 | 一种终端主密钥tmk安全下载方法及系统 |
| CN107104795A (zh) * | 2017-04-25 | 2017-08-29 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667718A (zh) * | 2018-04-26 | 2018-10-16 | 济南浪潮高新科技投资发展有限公司 | 一种即时通信系统及其通信方法 |
| CN109104279A (zh) * | 2018-08-31 | 2018-12-28 | 国网河北省电力有限公司沧州供电分公司 | 一种电力数据的加密方法、系统及终端设备 |
| WO2020078225A1 (zh) * | 2018-10-15 | 2020-04-23 | 百富计算机技术(深圳)有限公司 | 一种密钥下载方法、客户端、密码设备及终端设备 |
| CN109816389A (zh) * | 2018-12-03 | 2019-05-28 | 深圳市新国都支付技术有限公司 | 一种pos机签名验证方法和系统 |
| CN109816389B (zh) * | 2018-12-03 | 2021-09-21 | 深圳市新国都支付技术有限公司 | 一种pos机签名验证方法和系统 |
| CN109639702A (zh) * | 2018-12-25 | 2019-04-16 | 歌尔科技有限公司 | 一种数据通信方法、系统及电子设备和存储介质 |
| CN110992047A (zh) * | 2019-11-29 | 2020-04-10 | 福建新大陆支付技术有限公司 | 全触屏pos终端pin安全输入方法 |
| CN111526159A (zh) * | 2020-05-25 | 2020-08-11 | 普联技术有限公司 | 建立数据连接的方法、装置、终端设备及存储介质 |
| CN112464270A (zh) * | 2020-12-30 | 2021-03-09 | 广汽本田汽车有限公司 | 一种投标文件加密解密方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021203184B2 (en) | Transaction messaging | |
| CN107888379A (zh) | 一种安全连接的方法、pos终端及密码键盘 | |
| CN103729945B (zh) | 一种安全下载终端主密钥的方法及系统 | |
| RU2710897C2 (ru) | Способы безопасного генерирования криптограмм | |
| KR102123494B1 (ko) | 보안 원격 지불 거래 처리 | |
| CN111431713B (zh) | 一种私钥存储方法、装置和相关设备 | |
| CN108780548A (zh) | 将椭圆曲线加密用于个人装置安全以共享秘密 | |
| RU2584500C2 (ru) | Криптографический способ аутентификации и идентификации с шифрованием в реальном времени | |
| CN103269266B (zh) | 动态口令的安全认证方法和系统 | |
| CN103999496B (zh) | 用于将安全模块的控制从第一实体转移到第二实体的方法 | |
| CN105684346A (zh) | 确保移动应用和网关之间空中下载通信安全的方法 | |
| CN107844946A (zh) | 一种电子合同签署的方法、装置及服务器 | |
| AU2015277000A1 (en) | Efficient methods for authenticated communication | |
| CN110188551B (zh) | 一种保单加密传输方法及系统 | |
| KR101385429B1 (ko) | Nfc를 이용하는 전자 계약의 개인 인증 방법, 이를 수행하기 위한 인증 서버 및 단말기 | |
| CN107135070A (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN107104795B (zh) | Rsa密钥对和证书的注入方法、架构及系统 | |
| CN106096947A (zh) | 基于nfc的半离线匿名支付方法 | |
| CN104182876A (zh) | 安全支付交易方法和系统 | |
| CN103516524A (zh) | 安全验证方法和系统 | |
| JP2001134534A (ja) | 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置 | |
| CN107994995A (zh) | 一种低安全介质的交易方法、系统及终端设备 | |
| Sung et al. | Mobile Payment Based on Transaction Certificate Using Cloud Self‐Proxy Server | |
| ES2603585T3 (es) | Sistema y procedimiento de transacción segura en línea | |
| CN114584355A (zh) | 一种用于数字货币交易的安全认证方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180406 |