CN112396416A - 一种智能pos设备证书装载的方法 - Google Patents
一种智能pos设备证书装载的方法 Download PDFInfo
- Publication number
- CN112396416A CN112396416A CN202011292885.9A CN202011292885A CN112396416A CN 112396416 A CN112396416 A CN 112396416A CN 202011292885 A CN202011292885 A CN 202011292885A CN 112396416 A CN112396416 A CN 112396416A
- Authority
- CN
- China
- Prior art keywords
- certificate
- scd
- key
- tcms
- pos terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011068 loading method Methods 0.000 title claims abstract description 27
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000002457 bidirectional effect Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 claims description 2
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims description 2
- YTAHJIFKAKIKAV-XNMGPUDCSA-N [(1R)-3-morpholin-4-yl-1-phenylpropyl] N-[(3S)-2-oxo-5-phenyl-1,3-dihydro-1,4-benzodiazepin-3-yl]carbamate Chemical compound O=C1[C@H](N=C(C2=C(N1)C=CC=C2)C1=CC=CC=C1)NC(O[C@H](CCN1CCOCC1)C1=CC=CC=C1)=O YTAHJIFKAKIKAV-XNMGPUDCSA-N 0.000 claims description 2
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
- G06Q20/38215—Use of certificates or encrypted proofs of transaction rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/20—Point-of-sale [POS] network systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
Abstract
本发明提出一种智能POS设备证书装载的方法,通过CA/RA服务器、证书管理服务器TCMS、安全秘钥设备SCD以及POS重点实现证书批量签发以及证书装载,以提出一种安全、快速地装载POS终端设备证书的智能POS设备证书装载的方法。
Description
技术领域
本发明涉及POS终端技术领域,尤其涉及一种智能POS设备证书装载的方法。
背景技术
每台POS终端在出厂前需要装载其身份证书,用于与远端服务器建立基于CA证书的通信。
现有的技术方案,装载POS身份的证书的过程大致如下:
1)POS终端生成密钥对,并生成证书请求CSR。
2)POS终端与CA/RA建立网络连接,将证书请求CSR发给CA。
3)CA检查相关信息,签发证书,发给POS终端。
4)POS终端接收证书,装载。
此过程存在如下问题:
1)POS终端安全芯片性能不足,生成密钥对比较耗时,比如生成一对RSA2048密钥,需要花费几十秒。
2)POS终端请求CA/RA签发证书时,在不借助人工和其他可信设备的情况下,由于没有相关密钥和证书,通信上存在安全隐患。
3)申请证书的过程,需要每台POS终端实时连接网络,这对生产环境的网络接入要求较高。
发明内容
本发明的目的在于提出一种安全、快速地装载POS终端设备证书的智能POS设备证书装载的方法。
为达到上述目的,本发明提出一种智能POS设备证书装载的方法,通过CA/RA服务器、证书管理服务器TCMS、安全秘钥设备SCD以及POS重点实现证书批量签发以及证书装载。
进一步的,证书批量签发包括以下步骤:
S1:TCMS预先生成批量的公私密钥对;
S2:TCMS对每组公私密钥对生成证书请求CSR;
S3:TCMS与CA/RA服务器对证书请求CSR进行双向验证,认证通过后将证书请求CSR提交给CA/RA签发为设备公钥证书;
S4:CA/RA对证书请求CSR及相关信息进行完整性和真实性校验,校验通过后为TCMS签发设备证书。
进一步的,在步骤S1中,由硬件加密机HSM按照设定的算法类型和算法强度完成,私钥安全地存储在HSM中。
进一步的,所述证书装载包括以下步骤:
步骤a:SCD和TCMS预置有对称密钥用于保护私钥传输;
步骤b:预先在SCD中预置好本次需要装载证书的POS终端SN列表;
步骤c:安全密码设备SCD和TCMS服务器进行双向认证,认证通过后,SCD根据SN列表中的数量来请求TCMS下发设备证书;
步骤d:TCMS将签发好的公钥证书、私钥密文按每组对应关系批量地发送给SCD;
步骤e:SCD接收到公钥证书和私钥密文,私钥密文由预置的对称密钥解密后使用专用的存储密钥加密后与公钥证书一起保存在数据库中,存储加密密钥存储在SCD安全芯片中,此时SCD得到所有POS终端对应的公钥证书和私钥密文;
步骤f:POS终端与SCD立本地连接;
步骤g:POS终端与SCD进行双向认证,认证通过后POS终端生成临时密钥对,将公钥发给SCD;
步骤h:POS终端请求SCD下发公钥证书和私钥,SCD使用公钥加密待装载的私钥,与公钥证书一起发给POS终端,同时建立POS终端SN与证书序列号的关联关系;
步骤i:POS终端完成装载,SCD删除临时密钥、私钥和公钥证书信息;
步骤j:所有POS终端证书装载完成后,SCD将POS终端SN与证书序列号的关联关系发给TCMS以及CA/RA进行更新。
与现有技术相比,本发明的优势之处在于:本发明的智能POS设备证书装载的方法部署高性能的服务器和硬件加密机HSM,在POS终端生产之前,提前批量生成密钥对,并向CA/RA服务器申请设备证书,这样不需要POS终端实时申请设备证书。
另外本方案采用了安全密码设备SCD作为POS终端的证书代理,可以安全地接收、存储并转发密钥和证书。
因此本发明在极大地减小了生产环境操作复杂度和网络压力的同时,达到了安全、快速地装载POS终端设备证书的目的。
附图说明
图1为本发明实施例中智能POS设备证书装载的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案作进一步地说明。
如图1所示,本发明提出一种智能POS设备证书装载的方法,包括以下步骤:
1.证书批量签发过程:
1)终端证书管理服务器TCMS预先生成批量的公私密钥对,该操作由硬件加密机HSM按照设定的算法类型和算法强度完成,私钥安全地存储在HSM中;
2)TCMS服务器对每组公私密钥对生成证书请求CSR;
3)TCMS与CA/RA服务器进行双向验证,认证通过后将证书请求CSR提交给CA/RA签发为设备公钥证书;
5)CA/RA对CSR及相关信息进行完整性和真实性校验,校验通过后按照指定规则签发为设备证书,发给TCMS服务器。
2.证书装载过程:
1)安全密码设备SCD和TCMS服务器预置有对称密钥用于保护私钥传输;
2)根据生产需要,预先在安全密码设备SCD中预置好本次需要装载证书的POS终端SN列表;
3)安全密码设备SCD和TCMS服务器进行双向认证,认证通过后SCD根据第(2)步中的数量来请求TCMS下发设备证书;
4)TCMS将签发好的公钥证书、私钥密文(由第(1)步中预置的对称密钥加密所得)按每组对应关系批量地发送给SCD;
5)SCD接收到公钥证书和私钥密文,私钥密文由第(1)步中预置的对称密钥解密后使用专用的存储密钥加密后与公钥证书一起保存在数据库中,存储加密密钥存储在SCD安全芯片中,此时SCD得到所有POS终端对应的公钥证书和私钥密文;
6)POS终端与SCD使用USB连接线建立本地连接;
7)POS终端与SCD进行双向认证(SCD通过POS终端的SN进行鉴别,POS终端使用CA证书对SCD进行鉴别),认证通过后POS终端生成临时密钥对,将公钥发给SCD;
8)POS终端请求SCD下发公钥证书和私钥,SCD使用第(7)步中的公钥加密待装载的私钥,与公钥证书一起发给POS终端,同时建立POS终端SN与证书序列号的关联关系;
9)POS终端完成装载,SCD删除临时密钥、私钥和公钥证书信息;
10)所有POS终端证书装载完成后,SCD将POS终端SN与证书序列号的关联关系发给TCMS以及CA/RA进行更新。
表1,技术术语解释
上述仅为本发明的优选实施例而已,并不对本发明起到任何限制作用。任何所属技术领域的技术人员,在不脱离本发明的技术方案的范围内,对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动,均属未脱离本发明的技术方案的内容,仍属于本发明的保护范围之内。
Claims (4)
1.一种智能POS设备证书装载的方法,其特征在于,通过CA/RA服务器、证书管理服务器TCMS、安全秘钥设备SCD以及POS重点实现证书批量签发以及证书装载。
2.根据权利要求1所述的智能POS设备证书装载的方法,其特征在于,证书批量签发包括以下步骤:
S1:TCMS预先生成批量的公私密钥对;
S2:TCMS对每组公私密钥对生成证书请求CSR;
S3:TCMS与CA/RA服务器对证书请求CSR进行双向验证,认证通过后将证书请求CSR提交给CA/RA签发为设备公钥证书;
S4:CA/RA对证书请求CSR及相关信息进行完整性和真实性校验,校验通过后为TCMS签发设备证书。
3.根据权利要求2所述的智能POS设备证书装载的方法,其特征在于,在步骤S1中,由硬件加密机HSM按照设定的算法类型和算法强度完成,私钥安全地存储在HSM中。
4.根据权利要求1所述的智能POS设备证书装载的方法,其特征在于,所述证书装载包括以下步骤:
步骤a:SCD和TCMS预置有对称密钥用于保护私钥传输;
步骤b:预先在SCD中预置好本次需要装载证书的POS终端SN列表;
步骤c:安全密码设备SCD和TCMS服务器进行双向认证,认证通过后,SCD根据SN列表中的数量来请求TCMS下发设备证书;
步骤d:TCMS将签发好的公钥证书、私钥密文按每组对应关系批量地发送给SCD;
步骤e:SCD接收到公钥证书和私钥密文,私钥密文由预置的对称密钥解密后使用专用的存储密钥加密后与公钥证书一起保存在数据库中,存储加密密钥存储在SCD安全芯片中,此时SCD得到所有POS终端对应的公钥证书和私钥密文;
步骤f:POS终端与SCD立本地连接;
步骤g:POS终端与SCD进行双向认证,认证通过后POS终端生成临时密钥对,将公钥发给SCD;
步骤h:POS终端请求SCD下发公钥证书和私钥,SCD使用公钥加密待装载的私钥,与公钥证书一起发给POS终端,同时建立POS终端SN与证书序列号的关联关系;
步骤i:POS终端完成装载,SCD删除临时密钥、私钥和公钥证书信息;
步骤j:所有POS终端证书装载完成后,SCD将POS终端SN与证书序列号的关联关系发给TCMS以及CA/RA进行更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011292885.9A CN112396416A (zh) | 2020-11-18 | 2020-11-18 | 一种智能pos设备证书装载的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011292885.9A CN112396416A (zh) | 2020-11-18 | 2020-11-18 | 一种智能pos设备证书装载的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112396416A true CN112396416A (zh) | 2021-02-23 |
Family
ID=74606528
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011292885.9A Pending CN112396416A (zh) | 2020-11-18 | 2020-11-18 | 一种智能pos设备证书装载的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112396416A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701609A (zh) * | 2013-03-15 | 2014-04-02 | 福建联迪商用设备有限公司 | 一种服务器与操作终端双向认证的方法及系统 |
CN107135070A (zh) * | 2017-04-25 | 2017-09-05 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
-
2020
- 2020-11-18 CN CN202011292885.9A patent/CN112396416A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701609A (zh) * | 2013-03-15 | 2014-04-02 | 福建联迪商用设备有限公司 | 一种服务器与操作终端双向认证的方法及系统 |
CN103729945A (zh) * | 2013-03-15 | 2014-04-16 | 福建联迪商用设备有限公司 | 一种安全下载终端主密钥的方法及系统 |
CN107135070A (zh) * | 2017-04-25 | 2017-09-05 | 上海汇尔通信息技术有限公司 | Rsa密钥对和证书的注入方法、架构及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109862041B (zh) | 一种数字身份认证方法、设备、装置、系统及存储介质 | |
CN108390851B (zh) | 一种用于工业设备的安全远程控制系统及方法 | |
CN112688784B (zh) | 一种数字签名、验证方法、装置及系统 | |
CN105790938B (zh) | 基于可信执行环境的安全单元密钥生成系统及方法 | |
CN110868301B (zh) | 一种基于国密算法的身份认证系统及方法 | |
CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
CN106850207B (zh) | 无ca的身份认证方法和系统 | |
CN103051453A (zh) | 一种基于数字证书的移动终端网络安全交易系统与方法 | |
CN102244575A (zh) | 增值税网上报税数据安全传输系统及方法 | |
CN110677382A (zh) | 数据安全处理方法、装置、计算机系统及存储介质 | |
CN111884811B (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
CN102013982A (zh) | 远程加密方法、管理方法、加密管理方法及装置和系统 | |
CN105072125A (zh) | 一种http通信系统及方法 | |
CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
TW202211047A (zh) | 資料獲取方法、裝置、設備和介質 | |
CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
CN102468962A (zh) | 利用个人密码装置的个人身份验证方法及个人密码装置 | |
CN103051459B (zh) | 安全卡的交易密钥的管理方法和装置 | |
CN111882410A (zh) | 一种基于区块链的税务信息查询方法及系统 | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
CN104125239A (zh) | 一种基于数据链路加密传输的网络认证方法和系统 | |
CN110601854B (zh) | 一种授权客户端、配电终端设备及其授权方法 | |
CN112396416A (zh) | 一种智能pos设备证书装载的方法 | |
CN103916237A (zh) | 对用户加密密钥恢复进行管理的方法和系统 | |
CN110138547B (zh) | 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210223 |
|
RJ01 | Rejection of invention patent application after publication |