CN108401493B - 一种传输密钥的方法、接收终端及分发终端 - Google Patents

一种传输密钥的方法、接收终端及分发终端 Download PDF

Info

Publication number
CN108401493B
CN108401493B CN201880000103.4A CN201880000103A CN108401493B CN 108401493 B CN108401493 B CN 108401493B CN 201880000103 A CN201880000103 A CN 201880000103A CN 108401493 B CN108401493 B CN 108401493B
Authority
CN
China
Prior art keywords
key
public key
certificate
terminal
verification result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880000103.4A
Other languages
English (en)
Other versions
CN108401493A (zh
Inventor
唐胤曦
徐永标
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Landi Commercial Equipment Co Ltd
Original Assignee
Fujian Landi Commercial Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Landi Commercial Equipment Co Ltd filed Critical Fujian Landi Commercial Equipment Co Ltd
Publication of CN108401493A publication Critical patent/CN108401493A/zh
Application granted granted Critical
Publication of CN108401493B publication Critical patent/CN108401493B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

本发明涉及数据处理领域,尤其涉及一种传输密钥的方法、接收终端及分发终端。本发明通过发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性;验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端;根据所述分发终端发送的响应报文得到特定密钥。实现同时提高传输密钥的便利性和安全性。

Description

一种传输密钥的方法、接收终端及分发终端
技术领域
本发明涉及数据处理领域,尤其涉及一种传输密钥的方法、接收终端及分发终端。
背景技术
随着电子支付产业的迅速发展,比如银行卡支付、消费卡支付、行业卡支付以及其它借由网络的电子支付技术,以其快捷方便的特点越来越受到人们的欢迎。
电子支付系统包括终端设备、收单平台和银行核心系统等组成部分。为了确保支付过程中消费者个人敏感信息的安全性,要求对交易过程中对个人敏感信息进行加密处理,主要通过主密钥/工作密钥(Master Key/Session Key,MK/SK)的密钥体系来完成。以POS(Point of Sale,POS)的消费交易为例,终端设备保护交易敏感信息的原理如下:在MK/SK密钥体系中,要求POS与收单平台预先同步MK,随后支付交易终端通过签到等有效方式与收单系统同步SK密钥,终端通过SK中的PIK(PIN Key)密钥对个人识别码进行加密处理,使用SK中的MAK(MAC Key)对交易报文进行MAC运行,以保证交易不被篡改且完整。
在MK/SK密钥系统中,需要将一个主密钥MK预先同步到终端设备中。传统上,要求POS在安全房中通过物理连接方式下载MK到设备中,即终端管理员在安全房区域中,通过串口通讯的方式,将密钥母POS中的MK直接下载到子POS中。
但是,这种传统的将MK密钥同步至POS终端的方法存在以下几个缺点:
缺点1:在安全房中,通过串口通讯方式下载密钥到POS中,要求POS统一送到安全房中,需要大量的人力来完成MK的注入,大大增加了POS设备的运维成本。
缺点2:出厂的终端设备应先送往终端密钥管理机构,完成终端密钥注入工作后,再重新发往终端的实际使用方,这对业务开展造成了巨大的开销,包括时间成本和人力成本等,同时减缓了业务扩展的速度。
缺点3:由于传统方式中,要求POS在安全房中通过物理方式,直接下载MK到设备中,固MK定期更换的事务运维成本巨大,为节约业务成本,有些客户会略去该事务,而长期而言,这将对POS设备中的MK密钥安全造成威胁。
发明内容
本发明所要解决的技术问题是:如何同时提高传输密钥的便利性和安全性。
为了解决上述技术问题,本发明采用的技术方案为:
本发明提供一种传输密钥的方法,包括:
发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性;
验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;
当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端;
根据所述分发终端发送的响应报文得到特定密钥。
本发明还提供一种接收终端,包括一个或多个第一处理器及第一存储器,所述第一存储器存储有程序,并且被配置成由所述一个或多个第一处理器执行以下步骤:
发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性;
验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;
当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端;
根据所述分发终端发送的响应报文得到特定密钥。
本发明另提供一种传输密钥的方法,包括:
验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;
当所述第三验证结果为证书有效时,发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性;
当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端。
本发明再提供一种分发终端,包括一个或多个第二处理器及第二存储器,所述第二存储器存储有程序,并且被配置成由所述一个或多个第二处理器执行以下步骤:
验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;
当所述第三验证结果为证书有效时,发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性;
当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端。
本发明的有益效果在于:本发明通过双向认证接收终端和分发终端的有效性,使得特定密钥只会在授权的分发终端和授权的接收终端之间传输,一方面分发终端无法将特定密钥泄露给非授权的终端,提高了特定密钥的安全性,另一方面接收终端只能接收来自授权的分发终端发送的特定密钥,保证了接收终端接收到的特定密钥的有效性。因此,本发明提供了一种安全可靠的方式远程分发密钥,既满足传统业务场景中管理终端主密钥MK的安全性,又通过远程自动分发的方法,减少了生产运维的人力成本,同时提高了传输密钥的便利性和安全性。
附图说明
图1为本发明提供的一种传输密钥的方法的具体实施方式的流程框图;
图2为本发明提供的一种接收终端的具体实施方式的结构框图;
图3为本发明提供的另一种传输密钥的方法的具体实施方式的流程框图;
图4为本发明提供的一种分发终端的具体实施方式的结构框图;
标号说明:
1、第一处理器;2、第一存储器;3、第二处理器;4、第二存储器。
具体实施方式
本发明的关键构思在于:本发明通过双向认证和数字签名等安全可靠的方方进行远程分发和接收密钥,同时提高了传输密钥的便利性和安全性。
请参照图1至图4,
如图1所示,本发明提供一种传输密钥的方法,包括:
发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性;
验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;
当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端;
根据所述分发终端发送的响应报文得到特定密钥。
进一步地,还包括:
从认证终端获取第一公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
进一步地,验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第二公钥证书的有效性,得到第一验证结果。
由上述描述可知,认证终端为独立于分发终端和接收终端的第三方,由认证终端对各分发终端和接收终端的合法性进行验证并签发数字证书(第一公钥证书和第二公钥证书),并根据认证终端提供的验证公钥验证数字证书的有效性,提高了各终端验证对方的合法性的准确度。并且,数字证书包含持有终端的有效信息,包括持有终端的唯一识别码和签发中心等,在双向认证过程中作为验证的白名单,以此保证密钥分发的有效性。
进一步地,发送密钥分发请求至所述分发终端,具体为:
生成与密钥分发请求对应的报文,得到第一报文;
获取与所述第一公钥证书对应的私钥,得到第一私钥;
根据所述第一私钥对所述第一报文进行数字签名操作,得到第二报文;
发送所述第二报文至所述分发终端。
由上述描述可知,接收终端在发送密钥分发请求时,使用接收终端持有的第一私钥对数据报文的关键域进行数字签名,使得分发终端接收响应后,使用其在双向认证过程中交换获得的接收终端持有的公钥(第一公钥)验证该签名,验证通过即可保证传输的数据未被篡改且完整。
进一步地,根据所述分发终端发送的响应报文得到特定密钥,具体为:
获取与所述第一公钥证书对应的私钥,得到第一私钥;
获取所述第二公钥证书携带的公钥,得到第二公钥;
根据所述第二公钥验证所述响应报文的数字签名,得到第二验证结果;所述第二验证结果包括数字签名有效和数字签名无效;
当所述第二验证结果为数字签名有效时,根据所述第一私钥解密所述响应报文携带的第一数据信息,得到加密密钥;
根据所述加密密钥解密所述响应报文携带的第二数据信息,得到特定密钥。
由上述描述可知,欲获取响应报文携带的特定密钥,必须使用双向认证过程中的分发终端提供的第二公钥验证与响应报文对应的数字签名的有效性,验证通过后,还需使用双向认证过程中的接收终端私有的第一私钥解密第一数据信息以得到用于解密特定密钥的密文的加密密钥。因此,必须是经过双方认证的接收终端才能够解密响应报文,即时在远程传输过程中响应报文被不法分子窃取也无法破解得到特定密钥,具有较高的安全性。
如图2所示,本发明还提供一种接收终端,包括一个或多个第一处理器1及第一存储器2,所述第一存储器2存储有程序,并且被配置成由所述一个或多个第一处理器1执行以下步骤:
发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性;
验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;
当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端;
根据所述分发终端发送的响应报文得到特定密钥。
进一步地,还包括:
从认证终端获取第一公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
进一步地,验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第二公钥证书的有效性,得到第一验证结果。
进一步地,发送密钥分发请求至所述分发终端,具体为:
生成与密钥分发请求对应的报文,得到第一报文;
获取与所述第一公钥证书对应的私钥,得到第一私钥;
根据所述第一私钥对所述第一报文进行数字签名操作,得到第二报文;
发送所述第二报文至所述分发终端。
进一步地,根据所述分发终端发送的响应报文得到特定密钥,具体为:
获取与所述第一公钥证书对应的私钥,得到第一私钥;
获取所述第二公钥证书携带的公钥,得到第二公钥;
根据所述第二公钥验证所述响应报文的数字签名,得到第二验证结果;所述第二验证结果包括数字签名有效和数字签名无效;
当所述第二验证结果为数字签名有效时,根据所述第一私钥解密所述响应报文携带的第一数据信息,得到加密密钥;
根据所述加密密钥解密所述响应报文携带的第二数据信息,得到特定密钥。
如图3所示,本发明另提供一种传输密钥的方法,包括:
验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;
当所述第三验证结果为证书有效时,发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性;
当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端。
进一步地,还包括:
从认证终端获取第二公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
进一步地,验证来自接收终端的第一公钥证书的有效性,得到第三验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第一公钥证书的有效性,得到第三验证结果。
进一步地,当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端,具体为:
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥验证与所述密钥分发请求对应的数字签名的有效性,得到第四验证结果;所述第四验证结果包括数字签名有效和数字签名无效;
当所述第四验证结果为数字签名有效时,发送与特定密钥对应的响应报文至所述接收终端。
进一步地,发送与特定密钥对应的响应报文至所述接收终端,具体为:
生成加密密钥;
根据所述加密密钥加密特定密钥,得到第二数据信息;
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥加密所述加密密钥,得到第一数据信息;
封装所述第一数据信息和所述第二数据信息,得到响应报文;
获取与所述第二公钥证书对应的私钥,得到第二私钥;
根据所述第二私钥对所述响应报文执行数字签名操作;
发送所述响应报文至所述接收终端。
如图4所示,本发明再提供一种分发终端,包括一个或多个第二处理器3及第二存储器4,所述第二存储器4存储有程序,并且被配置成由所述一个或多个第二处理器3执行以下步骤:
验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;
当所述第三验证结果为证书有效时,发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性;
当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端。
进一步地,还包括:
从认证终端获取第二公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
进一步地,验证来自接收终端的第一公钥证书的有效性,得到第三验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第一公钥证书的有效性,得到第三验证结果。
进一步地,当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端,具体为:
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥验证与所述密钥分发请求对应的数字签名的有效性,得到第四验证结果;所述第四验证结果包括数字签名有效和数字签名无效;
当所述第四验证结果为数字签名有效时,发送与特定密钥对应的响应报文至所述接收终端。
进一步地,发送与特定密钥对应的响应报文至所述接收终端,具体为:
生成加密密钥;
根据所述加密密钥加密特定密钥,得到第二数据信息;
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥加密所述加密密钥,得到第一数据信息;
封装所述第一数据信息和所述第二数据信息,得到响应报文;
获取与所述第二公钥证书对应的私钥,得到第二私钥;
根据所述第二私钥对所述响应报文执行数字签名操作;
发送所述响应报文至所述接收终端。
本发明的实施例一为:
本实施例提供一种传输密钥的方法,包括:
S1、接收终端从认证终端获取第一公钥证书;分发终端从认证终端获取第二公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
可选地,所述接收终端为POS机。
其中,由于本实施例涉及到证书,因此实施该方案需要部署认证终端(Certification Authority认证中心),搭建有效的PKI体系。本实施例采取厂商建立自己的认证终端,其主要任务是接收终端和分发终端进行身份认证并签发数字证书。
可选地,接收终端从认证终端获取第一公钥证书的过程具体为:
接收终端的安全模块生成RSA公私钥对,并根据设置的接收终端有效信息生成X.509证书请求,得到第一证书请求;
当认证终端接收到所述第一证书请求,使用认证终端持有的验证私钥对所述第一证书请求进行处理,输出所述第一公钥证书;
安装所述第一公钥证书至所述接收终端的安全模块中。
可选地,接收终端从认证终端获取第一公钥证书的过程具体为:
由认证终端的证书管理系统代为生成RSA公私钥对,并由认证终端签发,接收终端在生产阶段,通过安全的方式请求获得第一公钥证书和对应私钥。
此种方法可有效地提高接收终端的生产效率。
可选地,分发终端从认证终端获取第二公钥证书的过程具体为:
分发终端调用加密机应用服务,生成RSA公私钥对,并根据设置的系统有效信息生成X.509证书请求,得到第一证书请求;
当认证终端接收到所述第一证书请求,使用认证终端持有的验证私钥对所述第一证书请求进行处理,输出所述第一公钥证书。
S2、接收终端发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性。
S3、分发终端验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;具体为:
分发终端从认证终端获取验证公钥;
分发终端根据所述验证公钥验证所述第一公钥证书的有效性,得到第三验证结果。
其中,所述验证公钥经过安全途径安装于分发终端中。分发终端使用所述验证公钥校验第一公钥证书的合法性,与此同时,X.509证书包含接收终端的有效信息,包括接收终端的唯一识别码和签发中心等,在双向认证过程中作为验证的白名单作用,以此保证密钥分发的有效性。
S4、当所述第三验证结果为证书有效时,分发终端发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性。
S5、接收终端验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;具体为:
接收终端从认证终端获取验证公钥;
接收终端根据所述验证公钥验证所述第二公钥证书的有效性,得到第一验证结果。
其中,所述验证公钥经过安全途径安装于接收终端中。接收终端使用所述验证公钥校验第二公钥证书的合法性,与此同时,X.509证书包含分发终端的有效信息,包括分发终端的唯一识别码和签发中心等,在双向认证过程中作为验证的白名单作用,以此保证密钥分发的有效性。
S6、当所述第一验证结果为证书有效时,接收终端发送密钥分发请求至所述分发终端。具体为:
S61、接收终端生成与密钥分发请求对应的报文,得到第一报文。
S62、接收终端获取与所述第一公钥证书对应的私钥,得到第一私钥。
S63、接收终端根据所述第一私钥对所述第一报文进行数字签名操作,得到第二报文。
S64、接收终端发送所述第二报文至所述分发终端。
其中,由硬件加密机生成一RSA公私密钥对,分别为第一私钥PRKPOS和第一公钥PUBPOS,由认证终端认证的第一公钥证书中包含了与接收终端对应的第一公钥PUBPOS,以便分发终端在接收到第一公钥证书并验证通过后,可获取第一公钥PUBPOS,从而在双方认证通过后,可验证接收终端后续发送的数据的数字签名的有效性。
S7、当接收到来自所述接收终端的密钥分发请求时,分发终端发送与特定密钥对应的响应报文至所述接收终端。具体为:
S71、分发终端获取与所述第一公钥证书对应的公钥,得到第一公钥。
其中,在第一公钥证书通过分发终端的验证后,分发终端获取第一公钥证书携带的第一公钥PUBPOS
S72、分发终端根据所述第一公钥验证与所述密钥分发请求对应的数字签名的有效性,得到第四验证结果;所述第四验证结果包括数字签名有效和数字签名无效。
其中,与密钥分发请求对应的数字签名是使用接收终端持有的第一私钥PRKPOS处理的,因此,通过与第一私钥对应的第一公钥PUBPOS可验证数字签名的有效性。
S73、当所述第四验证结果为数字签名有效时,分发终端发送与特定密钥对应的响应报文至所述接收终端。具体为:
S731、分发终端生成加密密钥。
其中,由硬件加密机生成加密密钥EMK。
S732、分发终端根据所述加密密钥加密特定密钥,得到第二数据信息。
其中,使用加密密钥EMK加密特定密钥MK,得到加密后的MK。
S73、分发终端获取与所述第一公钥证书对应的公钥,得到第一公钥;分发终端根据所述第一公钥加密所述加密密钥,得到第一数据信息。
其中,分发终端使用第一公钥PUBPOS加密EMK,使得只有持有第一私钥PRKPOS的接收终端可解密获取加密密钥EMK。
S74、分发终端封装所述第一数据信息和所述第二数据信息,得到响应报文;获取与所述第二公钥证书对应的私钥,得到第二私钥;根据所述第二私钥对所述响应报文执行数字签名操作;分发终端发送所述响应报文至所述接收终端。
其中,由硬件加密机生成一RSA公私密钥对,分别为第二私钥PRKKMS和第二公钥PUBKMS,由认证终端认证的第二公钥证书中包含了与分发终端对应的第二公钥PUBKMS,以便接收终端在接收到第二公钥证书并验证通过后,可获取第二公钥PUBKMS,从而在双方认证通过后,可验证接分发端后续发送的数据的数字签名的有效性。
S8、接收终端根据所述分发终端发送的响应报文得到特定密钥。具体为:
S81、接收终端获取与所述第一公钥证书对应的私钥,得到第一私钥。
S82、接收终端获取所述第二公钥证书携带的公钥,得到第二公钥;接收终端根据所述第二公钥验证所述响应报文的数字签名,得到第二验证结果;所述第二验证结果包括数字签名有效和数字签名无效。
其中,在接收终端认证分发终端身份合法性时,若分发终端发送的第二公钥证书通过验证,则接收终端保存第二公钥证书携带的第二公钥PUBKMS,以便验证分发终端后续发送的数据的数字签名,以保证信息不被篡改、完整且有效。
S83、当所述第二验证结果为数字签名有效时,接收终端根据所述第一私钥解密所述响应报文携带的第一数据信息,得到加密密钥。
S84、接收终端根据所述加密密钥解密所述响应报文携带的第二数据信息,得到特定密钥。
由上述描述可知,本实施例提供的使用非对称密钥机制远程分发密钥的实现方案,有效解决了POS机必须在安全房中分发MK的业务场景困境,极大提高了业务扩展能力;有助于定期更换MK密钥场景的实现,大大提高了终端设备在生命周期内的密钥安全性。
本实施例采用非对称密钥机制进行双向认证,分发终端和接收终端均持有认证终端签发的X.509证书,双方各自使用认证终端的验证公钥校验证书的合法性,与此同时,X.509证书包含持有人的有效信息,包括持有人唯一识别码和签发中心等,在双向认证过程中作为验证的白名单作用,以此保证密钥分发的有效性。
本实施例中的核心机密内容是由分发终端发送的MK密钥。分发的MK密钥由硬件加密机生成的临时加密密钥EMK进行加密处理,EMK在分发过程中采用了接收终端证书中的公钥PUKPOS进行加密,只有PUKPOS对应的私钥才可以解密得到EMK,以此保证分发过程中的MK密钥的机密性。
分发终端的第二私钥PRKKMS由硬件加密机生成并存储在加密机中,从而保证了第二私钥在分发终端中生成和存储的安全性;接收终端的第一私钥PRKPOS由认证终端的管理系统生成,接收终端获取过程由接收终端唯一的随机传输密钥加密,并被存储在接收终端的安全模块中,满足了生成、传输、以及存储的安全性要求。综上,私钥的生成、传输、以及存储是满足机密性要求的,从而保证了加密密钥EMK密钥的机密性,最终达到保证分发MK密钥的机密性。
本实施例采用数字签名的方法,保证传输数据的完整性和可认证性。密钥分发过程中,双方完成身份认证过程中,交换了各自的公钥证书,在分发终端响应密钥分发请求前,分发终端使用其私钥对数据报文关键域进行了数字签名,接收终端接收后,使用其交换获得的第二公钥PUBEMK验证该签名,验证通过即可保证传输的数据未被篡改且完整。本方案的传输数据具有完整性和可认证性的特点。
本发明的实施例二为:
本实施例提供一种接收终端,包括一个或多个第一处理器1及第一存储器2,所述第一存储器2存储有程序,并且被配置成由所述一个或多个第一处理器1执行以下步骤:
S1、从认证终端获取第一公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
S2、发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性。
S3、验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效。具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第二公钥证书的有效性,得到第一验证结果。
S4、当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端。具体为:
生成与密钥分发请求对应的报文,得到第一报文;
获取与所述第一公钥证书对应的私钥,得到第一私钥;
根据所述第一私钥对所述第一报文进行数字签名操作,得到第二报文;
发送所述第二报文至所述分发终端。
S5、根据所述分发终端发送的响应报文得到特定密钥。具体为:
获取与所述第一公钥证书对应的私钥,得到第一私钥;
获取所述第二公钥证书携带的公钥,得到第二公钥;
根据所述第二公钥验证所述响应报文的数字签名,得到第二验证结果;所述第二验证结果包括数字签名有效和数字签名无效;
当所述第二验证结果为数字签名有效时,根据所述第一私钥解密所述响应报文携带的第一数据信息,得到加密密钥;
根据所述加密密钥解密所述响应报文携带的第二数据信息,得到特定密钥。
本发明的实施例三为:
本实施例提供一种分发终端,包括一个或多个第二处理器3及第二存储器4,所述第二存储器4存储有程序,并且被配置成由所述一个或多个第二处理器3执行以下步骤:
S1、从认证终端获取第二公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
S2、验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第一公钥证书的有效性,得到第三验证结果。
S3、当所述第三验证结果为证书有效时,发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性。
S4、当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端。具体为:
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥验证与所述密钥分发请求对应的数字签名的有效性,得到第四验证结果;所述第四验证结果包括数字签名有效和数字签名无效;
当所述第四验证结果为数字签名有效时,发送与特定密钥对应的响应报文至所述接收终端。
可选地,发送与特定密钥对应的响应报文至所述接收终端,具体为:
生成加密密钥;
根据所述加密密钥加密特定密钥,得到第二数据信息;
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥加密所述加密密钥,得到第一数据信息;
封装所述第一数据信息和所述第二数据信息,得到响应报文;
获取与所述第二公钥证书对应的私钥,得到第二私钥;
根据所述第二私钥对所述响应报文执行数字签名操作;
发送所述响应报文至所述接收终端。
综上所述,本发明提供的一种传输密钥的方法、接收终端及分发终端,通过双向认证接收终端和分发终端的有效性,使得特定密钥只会在授权的分发终端和授权的接收终端之间传输,一方面分发终端无法将特定密钥泄露给非授权的终端,提高了特定密钥的安全性,另一方面接收终端只能接收来自授权的分发终端发送的特定密钥,保证了接收终端接收到的特定密钥的有效性。因此,本发明提供了一种安全可靠的方式远程分发密钥,既满足传统业务场景中管理终端主密钥MK的安全性,又通过远程自动分发的方法,减少了生产运维的人力成本,同时提高了传输密钥的便利性和安全性。进一步地,认证终端为独立于分发终端和接收终端的第三方,由认证终端对各分发终端和接收终端的合法性进行验证并签发数字证书(第一公钥证书和第二公钥证书),并根据认证终端提供的验证公钥验证数字证书的有效性,提高了各终端验证对方的合法性的准确度。并且,数字证书包含持有终端的有效信息,包括持有终端的唯一识别码和签发中心等,在双向认证过程中作为验证的白名单,以此保证密钥分发的有效性。进一步地,接收终端在发送密钥分发请求时,使用接收终端持有的第一私钥对数据报文的关键域进行数字签名,使得分发终端接收响应后,使用其在双向认证过程中交换获得的接收终端持有的公钥(第一公钥)验证该签名,验证通过即可保证传输的数据未被篡改且完整。进一步地,欲获取响应报文携带的特定密钥,必须使用双向认证过程中的分发终端提供的第二公钥验证与响应报文对应的数字签名的有效性,验证通过后,还需使用双向认证过程中的接收终端私有的第一私钥解密第一数据信息以得到用于解密特定密钥的密文的加密密钥。因此,必须是经过双方认证的接收终端才能够解密响应报文,即时在远程传输过程中响应报文被不法分子窃取也无法破解得到特定密钥,具有较高的安全性。

Claims (16)

1.一种传输密钥的方法,其特征在于,包括:
发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性;
验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;
当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端;
根据所述分发终端发送的响应报文得到特定密钥;
根据所述分发终端发送的响应报文得到特定密钥,具体为:
获取与所述第一公钥证书对应的私钥,得到第一私钥;
获取所述第二公钥证书携带的公钥,得到第二公钥;
根据所述第二公钥验证所述响应报文的数字签名,得到第二验证结果;所述第二验证结果包括数字签名有效和数字签名无效;
当所述第二验证结果为数字签名有效时,根据所述第一私钥解密所述响应报文携带的第一数据信息,得到加密密钥;
根据所述加密密钥解密所述响应报文携带的第二数据信息,得到特定密钥。
2.根据权利要求1所述的传输密钥的方法,其特征在于,还包括:
从认证终端获取第一公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
3.根据权利要求1所述的传输密钥的方法,其特征在于,验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第二公钥证书的有效性,得到第一验证结果。
4.根据权利要求1所述的传输密钥的方法,其特征在于,发送密钥分发请求至所述分发终端,具体为:
生成与密钥分发请求对应的报文,得到第一报文;
获取与所述第一公钥证书对应的私钥,得到第一私钥;
根据所述第一私钥对所述第一报文进行数字签名操作,得到第二报文;
发送所述第二报文至所述分发终端。
5.一种接收终端,其特征在于,包括一个或多个第一处理器及第一存储器,所述第一存储器存储有程序,并且被配置成由所述一个或多个第一处理器执行以下步骤:
发送第一公钥证书至分发终端,以使所述分发终端验证所述第一公钥证书的有效性;
验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果;所述第一验证结果包括证书有效和证书无效;
当所述第一验证结果为证书有效时,发送密钥分发请求至所述分发终端;
根据所述分发终端发送的响应报文得到特定密钥;
根据所述分发终端发送的响应报文得到特定密钥,具体为:
获取与所述第一公钥证书对应的私钥,得到第一私钥;
获取所述第二公钥证书携带的公钥,得到第二公钥;
根据所述第二公钥验证所述响应报文的数字签名,得到第二验证结果;所述第二验证结果包括数字签名有效和数字签名无效;
当所述第二验证结果为数字签名有效时,根据所述第一私钥解密所述响应报文携带的第一数据信息,得到加密密钥;
根据所述加密密钥解密所述响应报文携带的第二数据信息,得到特定密钥。
6.根据权利要求5所述的接收终端,其特征在于,还包括:
从认证终端获取第一公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
7.根据权利要求5所述的接收终端,其特征在于,验证来自所述分发终端的第二公钥证书的有效性,得到第一验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第二公钥证书的有效性,得到第一验证结果。
8.根据权利要求5所述的接收终端,其特征在于,发送密钥分发请求至所述分发终端,具体为:
生成与密钥分发请求对应的报文,得到第一报文;
获取与所述第一公钥证书对应的私钥,得到第一私钥;
根据所述第一私钥对所述第一报文进行数字签名操作,得到第二报文;
发送所述第二报文至所述分发终端。
9.一种传输密钥的方法,其特征在于,包括:
验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;
当所述第三验证结果为证书有效时,发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性;
当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端;
发送与特定密钥对应的响应报文至所述接收终端,具体为:
生成加密密钥;
根据所述加密密钥加密特定密钥,得到第二数据信息;
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥加密所述加密密钥,得到第一数据信息;
封装所述第一数据信息和所述第二数据信息,得到响应报文;
获取与所述第二公钥证书对应的私钥,得到第二私钥;
根据所述第二私钥对所述响应报文执行数字签名操作;
发送所述响应报文至所述接收终端。
10.根据权利要求9所述的传输密钥的方法,其特征在于,还包括:
从认证终端获取第二公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
11.根据权利要求9所述的传输密钥的方法,其特征在于,验证来自接收终端的第一公钥证书的有效性,得到第三验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第一公钥证书的有效性,得到第三验证结果。
12.根据权利要求9所述的传输密钥的方法,其特征在于,当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端,具体为:
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥验证与所述密钥分发请求对应的数字签名的有效性,得到第四验证结果;所述第四验证结果包括数字签名有效和数字签名无效;
当所述第四验证结果为数字签名有效时,发送与特定密钥对应的响应报文至所述接收终端。
13.一种分发终端,其特征在于,包括一个或多个第二处理器及第二存储器,所述第二存储器存储有程序,并且被配置成由所述一个或多个第二处理器执行以下步骤:
验证来自接收终端的第一公钥证书的有效性,得到第三验证结果;所述第三验证结果包括证书有效和证书无效;
当所述第三验证结果为证书有效时,发送第二公钥证书至所述接收终端,以使所述接收终端验证所述第二公钥证书的有效性;
当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端;
发送与特定密钥对应的响应报文至所述接收终端,具体为:
生成加密密钥;
根据所述加密密钥加密特定密钥,得到第二数据信息;
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥加密所述加密密钥,得到第一数据信息;
封装所述第一数据信息和所述第二数据信息,得到响应报文;
获取与所述第二公钥证书对应的私钥,得到第二私钥;
根据所述第二私钥对所述响应报文执行数字签名操作;
发送所述响应报文至所述接收终端。
14.根据权利要求13所述的分发终端,其特征在于,还包括:
从认证终端获取第二公钥证书;所述认证终端用于确认终端的合法性并签发数字证书。
15.根据权利要求13所述的分发终端,其特征在于,验证来自接收终端的第一公钥证书的有效性,得到第三验证结果,具体为:
从认证终端获取验证公钥;
根据所述验证公钥验证所述第一公钥证书的有效性,得到第三验证结果。
16.根据权利要求13所述的分发终端,其特征在于,当接收到来自所述接收终端的密钥分发请求时,发送与特定密钥对应的响应报文至所述接收终端,具体为:
获取与所述第一公钥证书对应的公钥,得到第一公钥;
根据所述第一公钥验证与所述密钥分发请求对应的数字签名的有效性,得到第四验证结果;所述第四验证结果包括数字签名有效和数字签名无效;
当所述第四验证结果为数字签名有效时,发送与特定密钥对应的响应报文至所述接收终端。
CN201880000103.4A 2018-02-06 2018-02-06 一种传输密钥的方法、接收终端及分发终端 Active CN108401493B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2018/075407 WO2019153119A1 (zh) 2018-02-06 2018-02-06 一种传输密钥的方法、接收终端及分发终端

Publications (2)

Publication Number Publication Date
CN108401493A CN108401493A (zh) 2018-08-14
CN108401493B true CN108401493B (zh) 2021-04-16

Family

ID=63093352

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880000103.4A Active CN108401493B (zh) 2018-02-06 2018-02-06 一种传输密钥的方法、接收终端及分发终端

Country Status (2)

Country Link
CN (1) CN108401493B (zh)
WO (1) WO2019153119A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109842489B (zh) * 2018-12-24 2022-07-19 福建联迪商用设备有限公司 一种实现安全通信的方法、终端及系统
CN112738122B (zh) * 2021-01-04 2023-02-21 北京全路通信信号研究设计院集团有限公司 一种轨道交通领域复杂场景下的在线密钥管理系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101136748A (zh) * 2006-08-31 2008-03-05 普天信息技术研究院 一种身份认证方法及系统
CN102036238A (zh) * 2010-12-27 2011-04-27 中国科学院软件研究所 一种基于公钥实现用户与网络认证和密钥分发的方法
CN102946602A (zh) * 2012-12-04 2013-02-27 镇江江大科茂信息系统有限责任公司 移动信息系统的隐私保护加密方法
CN103716167A (zh) * 2013-03-15 2014-04-09 福建联迪商用设备有限公司 一种安全采集和分发传输密钥的方法及装置
CN104065477A (zh) * 2013-03-20 2014-09-24 东方斯泰克信息技术研究院(北京)有限公司 一种cpk用户id卡生成机的设计与实现方法
CN105991277A (zh) * 2015-01-29 2016-10-05 北京大唐高鸿数据网络技术有限公司 基于sip通信系统的密钥分发方法
CN106097608A (zh) * 2016-06-06 2016-11-09 福建联迪商用设备有限公司 远程密钥下载方法及系统、收单机构和目标pos终端

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7725934B2 (en) * 2004-12-07 2010-05-25 Cisco Technology, Inc. Network and application attack protection based on application layer message inspection

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101136748A (zh) * 2006-08-31 2008-03-05 普天信息技术研究院 一种身份认证方法及系统
CN102036238A (zh) * 2010-12-27 2011-04-27 中国科学院软件研究所 一种基于公钥实现用户与网络认证和密钥分发的方法
CN102946602A (zh) * 2012-12-04 2013-02-27 镇江江大科茂信息系统有限责任公司 移动信息系统的隐私保护加密方法
CN103716167A (zh) * 2013-03-15 2014-04-09 福建联迪商用设备有限公司 一种安全采集和分发传输密钥的方法及装置
CN104065477A (zh) * 2013-03-20 2014-09-24 东方斯泰克信息技术研究院(北京)有限公司 一种cpk用户id卡生成机的设计与实现方法
CN105991277A (zh) * 2015-01-29 2016-10-05 北京大唐高鸿数据网络技术有限公司 基于sip通信系统的密钥分发方法
CN106097608A (zh) * 2016-06-06 2016-11-09 福建联迪商用设备有限公司 远程密钥下载方法及系统、收单机构和目标pos终端

Also Published As

Publication number Publication date
WO2019153119A1 (zh) 2019-08-15
CN108401493A (zh) 2018-08-14

Similar Documents

Publication Publication Date Title
CN108513704B (zh) 终端主密钥的远程分发方法及其系统
CN104735068B (zh) 基于国密的sip安全认证的方法
CA2359673C (en) Self-generation of certificates using a secure microprocessor in a device for transferring digital information
JP5345675B2 (ja) トークンとベリファイアとの間の認証のためのネットワーク・ヘルパー
US6839841B1 (en) Self-generation of certificates using secure microprocessor in a device for transferring digital information
CN101212293B (zh) 一种身份认证方法及系统
US8724819B2 (en) Credential provisioning
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
CN102510333B (zh) 一种授权认证方法及系统
CN108323230B (zh) 一种传输密钥的方法、接收终端和分发终端
CN109728909A (zh) 基于USBKey的身份认证方法和系统
CN109257328B (zh) 一种现场运维数据的安全交互方法及装置
JP2009526322A5 (zh)
CN107104795B (zh) Rsa密钥对和证书的注入方法、架构及系统
CN102244575A (zh) 增值税网上报税数据安全传输系统及方法
CN101090316A (zh) 离线状态下存储卡与终端设备之间的身份认证方法
CN114765534B (zh) 基于国密标识密码算法的私钥分发系统和方法
JP4823704B2 (ja) 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス
KR20120037314A (ko) 본인 인증장치를 활용한 온라인 신용카드 발급 시스템 및 방법
CN112769574A (zh) 密钥注入方法和系统、密钥管理系统、设备及机器可读介质
CN108401493B (zh) 一种传输密钥的方法、接收终端及分发终端
JP2020506627A (ja) プログラマブル・ハードウェア・セキュリティ・モジュール及びプログラマブル・ハードウェア・セキュリティ・モジュールに用いられる方法
CN108323231B (zh) 一种传输密钥的方法、接收终端和分发终端
JP4976794B2 (ja) 駅務システム及びセキュリティ通信方法
JP2006185227A (ja) 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant