WO2014040537A1 - 一种终端数据加密方法和装置 - Google Patents

一种终端数据加密方法和装置 Download PDF

Info

Publication number
WO2014040537A1
WO2014040537A1 PCT/CN2013/083324 CN2013083324W WO2014040537A1 WO 2014040537 A1 WO2014040537 A1 WO 2014040537A1 CN 2013083324 W CN2013083324 W CN 2013083324W WO 2014040537 A1 WO2014040537 A1 WO 2014040537A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
encrypted
data
transaction
terminal
Prior art date
Application number
PCT/CN2013/083324
Other languages
English (en)
French (fr)
Inventor
钟国业
郑建宾
Original Assignee
中国银联股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中国银联股份有限公司 filed Critical 中国银联股份有限公司
Publication of WO2014040537A1 publication Critical patent/WO2014040537A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Definitions

  • the present invention relates to the field of data security technologies, and more particularly to a terminal data encryption method and apparatus.
  • Information encryption is an important way to ensure information security. Passing information on a relatively secure channel in cipher text allows users to use the network more confidently. Therefore, it is necessary to effectively control the generation, storage, delivery, and periodicity of keys, and introduce a key management mechanism to increase the security and anti-attack of information network transmission.
  • the network connection mode between the terminal device and the bank front-end system includes a PSTN (Public Switched Telephone Network) dialing mode, a GPRS wireless communication mode, and a TCP/IP communication protocol access.
  • Transaction information including cardholder account passwords, must be transmitted securely over such common channels.
  • the present invention provides a terminal data encryption method, the method comprising: using a first scatter factor to perform a first time dispersion of a master key pre-stored in the terminal to obtain a temporary key; a second scatter factor performs a second time dispersion of the temporary key to obtain a work key; and the work key is used to perform encryption processing on the encrypted data; wherein the first scatter factor and the second scatter factor are respectively Loved to add One or more key elements in the secret data.
  • the key element is selected to be a field of high dynamics in the data to be encrypted.
  • the first sub-distribution comprises 3DES encryption or decryption of the first scatter factor by the master key
  • the second sub-distribution comprises passing the temporary key pair
  • the second dispersion factor is 3DES encrypted or decrypted.
  • encrypting the data to be encrypted comprises calculating a message authentication code MAC using the work key and encrypting a predetermined field of the data to be encrypted using the work key.
  • the method further comprises deleting the work key after performing encryption processing on the data to be encrypted.
  • the terminal is a bank transaction terminal
  • the data to be encrypted is a transaction request message
  • the key elements include a transaction serial number, a batch number, a flood period, a time, a merchant code, Terminal code and transaction processing code.
  • the first scatter factor is comprised of a merchant code and a transaction serial number
  • the second scatter factor is comprised of a terminal code, a transaction time, a transaction period, and a transaction processing code.
  • encrypting the data to be encrypted using the work key includes calculating a message authentication code MAC using the work key and using the work key to authenticate a user in the transaction request message
  • the password field is encrypted.
  • the present invention also provides a terminal data encryption apparatus, the apparatus comprising: a first distribution unit configured to perform a first use of a master key pre-stored in the terminal using a first dispersion factor Secondary dispersion to obtain a temporary key; a second decentralization unit configured to perform a second dispersion of the temporary key using a second dispersion factor to obtain a work key; an encryption unit configured to use the work The key performs encryption processing on the encrypted data; wherein the first scatter factor and the second scatter factor are respectively composed of one or more key elements in the data to be encrypted.
  • the terminal data encryption method and device provided by the present invention pass Master secret to the terminal - reduces the risk of the terminal master key being exposed and the possibility of being maliciously attacked.
  • the terminal data encryption method and apparatus provided by the present invention can completely based on information possessed by the terminal without requesting information required by the encryption process from the external system, thereby greatly improving processing efficiency and saving communication resources.
  • FIG. 1 is a flow chart of a method of encrypting a terminal data in accordance with the present invention.
  • FIG. 2 is a schematic diagram of a terminal data encryption process in accordance with an embodiment of the present invention. detailed description
  • the terminal may be the party that transmits or receives data in any system involving sensitive data transmission.
  • the master key previously stored in the terminal is first dispersed using the first scatter factor in step S101 to obtain a temporary key.
  • step S103 the temporary key is secondarily dispersed using the second dispersion factor to obtain a work key.
  • the encrypted data is subjected to encryption processing using the work key.
  • the first scatter factor and the second scatter factor are respectively composed of one or more key elements in the data to be encrypted.
  • the key element may be selected as a fixed length field having high dynamics among the data to be encrypted.
  • the so-called dynamics means that for data to be encrypted having a similar structure, the contents of these key element fields are generally different for each set of data. Such dynamics can further enhance the difficulty of cracking the work key.
  • the first and second dispersion factors may be the same or different.
  • the encryption method provided by the present invention can be adapted to symmetric key encryption, that is, the sender and receiver of the information use the same key to encrypt and decrypt the data. In practice, only the recipients that need to encrypt the data also store the same master key, and can parse out the key elements in the encrypted data that are used to generate the first and second scatter factors.
  • FIG. 2 is a schematic diagram of a terminal data encryption process in accordance with one embodiment of the present invention.
  • the first and second dispersions are shown as being encrypted or decrypted using the 3DES algorithm, but those skilled in the art will appreciate that any key known or to be developed may be employed.
  • the first and second dispersions are performed by a decentralized algorithm.
  • the use of the terminal data encryption process provided by the present invention in a banking transaction system can be explained in conjunction with FIG.
  • the online transaction through the POS terminal can first store the master key TMK in the POS terminal, which is usually pre-configured before the POS terminal enters the network.
  • the data to be encrypted may be a transaction request message, and the POS terminal needs to first send the encrypted transaction request message to the back-end system of the bank to enable the transaction to continue.
  • the key elements of a transaction request message may include, but are not limited to, a transaction serial number, a batch number, a transaction date, a transaction time, a merchant code, a terminal code, and a transaction processing code.
  • These fields in the Transaction Request message are fixed length and need to be adjusted accordingly for each transaction, so they are sufficiently dynamic.
  • these key fields can be conveniently detected at the background system to facilitate symmetric decryption. Therefore, the dispersing factor employed for the two dispersions may preferably be constituted by one or more of the key elements listed above.
  • D 2 [terminal code (8 bytes) + transaction time (3 bytes) + transaction date (2 bytes) + transaction processing code (3 bytes)].
  • the work key can be used both to calculate the message authentication code MAC of the transaction and also to encrypt the user password PIN contained in the transaction request message.
  • the work key can be deleted after the transaction request message is encrypted or at the end of each transaction.
  • the working key on the POS terminal is generally sent by the terminal from the background online system.
  • the check-in transaction message is obtained.
  • the terminal needs to apply for a work key from the banking system in order to process the transaction.
  • the terminal uses its own terminal master key to decrypt the sign-in message and obtain the work key.
  • the terminal will use the same work key to encrypt and decrypt the transactions within the current batch and before the next time the sign-in message is sent, which will increase the number of exposures of the work key and increase the probability of being attacked. This threatens the security of the terminal master key.
  • the terminal will no longer need to apply for a work key to the bank back-end online system, and the work key used will vary with each transaction.
  • the existing terminal transaction request encryption process it needs to be like
  • the two encryption keys such as the MAC key (MAC KEY) and the PIN key (PIN KEY), complete the entire encryption, where the MAC key is used to generate the MAC check code, and the PIN key is used to authenticate the user password. Encrypt.
  • the number of exposures to the work key obtained using the method of the present invention is one less than the number of conventional MAC KEY exposures, and one more time than the conventional PIN KEY exposure.
  • the work key provided by the present invention is obtained by two decentralizations, the possibility that the master key stored on the terminal is maliciously attacked is still lower than that in the conventional manner.
  • the number of exposures of the work key obtained using the method of the present invention is 2N-3 times less than the number of conventional MAC KEY exposures, N-3 times less than the number of conventional PIN KEY exposures. From this, it can be seen that the possibility of terminal master key exposure is greatly reduced, and its security becomes higher than the existing methods.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种终端数据加密方法,所述方法包括:使用第一分散因子对预先存储在所述终端中的主密钥进行第一次分散以得到临时密钥;使用第二分散因子对所述临时密钥进行第二次分散以得到工作密钥;使用所述工作密钥对待加密数据进行加密处理;其中所述第一分散因子和所述第二分散因子由所述待加密数据中的一个或多个关键要素构成。另外,本发明还提供了执行上述方法的装置。

Description

一种终端数据加密方法和装置
技术领域
本发明涉及数据安全技术领域, 并且更具体地涉及一种终端数据 加密方法和装置。
背景技术
随着信息技术和网络技术的不断发展, 越来越多的信息将通过各 种渠道远程地被传送。 信息加密是保障信息安全的重要途径, 以密文 方式在相对安全的信道上传递信息, 可以让用户比较放心地使用网 络。 因此, 需要在密钥的产生、 存储、 传递和定期等各个方面进行有 效地控制, 并且引入密钥管理机制, 以增加信息联网传输的安全性和 抗攻击性。
以金融行业为例, 由于支付渠道的日益丰富, 交易数据将频繁地 通过网络被传递, 包括从前置系统到主机平台, 从诸如 ATM、 POS 的终端设备到前置系统等等。 终端设备与银行前置系统的网络连接方 式包括 PSTN(Public Switched Telephone Network , 即公共交换电话网) 拨号模式、 GPRS无线通讯模式、 TCP/IP通讯协议接入等。 包括持卡 人帐户密码的交易信息在这类公共信道上的传输必须经过安全可靠 的力。密机制。
在许多其他涉及敏感数据传输的业务领域, 对数据加密的安全性 和抗攻击性也有很高的要求。
发明内容
鉴于上述情况, 本发明的目的在于提供一种具有高安全性和抗攻 击性的终端数据加密方法和装置。
为了实现上述目标, 本发明提供了一种终端数据加密方法, 所述 方法包括: 使用第一分散因子对预先存储在所述终端中的主密钥进行 第一次分散以得到临时密钥; 使用第二分散因子对所述临时密钥进行 第二次分散以得到工作密钥; 使用所述工作密钥对待加密数据进行加 密处理; 其中所述笫一分散因子和所述第二分散因子分别由所迷待加 密数据中的一个或多个关键要素构成。
在本发明的一些实施例中, 所述关键要素被选择为所述待加密数 据中具有高动态性的字段。
在本发明的一些实施例中, 所述第一次分散包括通过所述主密钥 对所述第一分散因子做 3DES加密或解密, 并且所述第二次分散包括 通过所述临时密钥对所述第二分散因子做 3DES加密或解密。
在本发明的一些实施例中, 对待加密数据进行加密处理包括使用 所述工作密钥计算消息鉴别码 MAC并且使用所述工作密钥对所述待 加密数据的预定字段进行加密。
在本发明的一些实施例中, 所述方法还包括在对所述待加密数据 进行加密处理之后删除所述工作密钥。
在本发明的一些实施例中, 所述终端为银行交易终端, 所述待加 密数据为交易请求报文,并且所述关键要素包括交易流水号、批次号、 曰期、 时间、 商户代码、 终端代码和交易处理码。
在本发明的一些实施例中, 所述第一分散因子由商户代码和交易 流水号构成, 并且所述第二分散因子由终端代码、 交易时间、 交易曰 期和交易处理码构成。
在本发明的一些实施例中, 使用所述工作密钥对待加密数据进行 加密处理包括使用所述工作密钥计算消息鉴别码 MAC并且使用所述 工作密钥对所述交易请求报文中的用户密码字段进行加密。
另一方面, 本发明还提供了一种终端数据加密装置, 所述装置包 括: 第一分散单元, 其被配置为使用第一分散因子对预先存储在所述 终端中的主密钥进行第一次分散以得到临时密钥; 第二分散单元, 其 被配置为使用第二分散因子对所述临时密钥进行第二次分散以得到 工作密钥; 加密单元, 其被配置为使用所述工作密钥对待加密数据进 行加密处理; 其中所述第一分散因子和所述第二分散因子分别由所述 待加密数据中的一个或多个关键要素构成。
与现有技术相比, 本发明所提供的终端数据加密方法和装置通过 对终端主密- 减少了终端主密钥被暴露的风险以及被恶意攻击的可能性。 此外, 本 发明所提供的终端数据加密方法和装置可以完全基于终端所具有的 信息, 而无需向外部系统请求加密过程所需要的信息, 由此大大提高 了处理效率并且节省了通信资源。
附图说明
本发明的前述和其他目标、 特征和优点 居下面对本发明的实施 例的更具体的说明将是显而易见的, 这些实施例在附图中被示意。
图 1是根据本发明的终端数据加密方法的流程图。
图 2是才艮据本发明的一个实施例的终端数据加密过程的示意图。 具体实施方式
以下结合附图和具体实施方式进一步详细说明本实用新型。 需要 说明的是, 附图中的各结构只是示意性说明, 用以使本领域普通技术 人员最佳地理解本发明的原理, 其不一定按比例绘制。
图 1是根据本发明的终端数据加密方法的流程图。 所述终端可以 是在任何涉及敏感数据传输的系统中发送或者接收数据的一方。
如图 1所示, 首先在步骤 S101 中使用第一分散因子对预先存储 在终端中的主密钥进行第一次分散以得到临时密钥。
在步骤 S103 中, 使用第二分散因子对临时密钥进行第二次分散 以得到工作密钥。
在步骤 S105中, 使用工作密钥对待加密数据进行加密处理。 在本发明所提供的加密方法中, 第一分散因子和第二分散因子将 分别由待加密数据中的一个或多个关键要素构成。 所述关键要素可以 被选择为所述待加密数据中具有高动态性的定长字段。 所谓动态性是 指, 对于具有相似结构的待加密数据而言, 这些关键要素字段中的内 容大体上对于每组数据都是不同的。 这样的动态性能够进一步增强工 作密钥的破解难度。在实践中,该第一和第二分散因子可以是相同的, 也可以是不同的。 另外, 本发明所提供的加密方法可以适于对称密钥加密, 即信息 的发送方和接收方用同一个密钥去加密和解密数据。 在实践中, 仅需 要加密数据的接收方也存储有同一主密钥 , 并且能够解析出加密数据 中用于生成第一和第二分散因子的关键要素。
图 2是根据本发明的一个实施例的终端数据加密过程的示意图。 在图 2所示的实施例中, 第一和第二次分散被示出为利用 3DES算法 进行加密或解密, 但本领域的技术人员应理解, 可以采用已知或将被 开发的任何密钥分散算法来进行该第一和第二次分散。 可结合图 2来 解释本发明所提供的终端数据加密过程在银行交易系统中的使用。
以通过 POS终端进行联机交易为例, 可以首先在 POS终端内存 储主密钥 TMK, 这通常在 POS终端入网之前就已经预先被配置。 待 加密数据可以是交易请求报文, POS终端需要首先将加密的交易请求 报文发送至银行的后台系统以使交易能够继续进行。
一般而言, 交易请求报文的关键要素可以包括但不限于交易流水 号、 批次号、 交易日期、 交易时间、 商户代码、 终端代码和交易处理 码。 交易请求报文中的这些字段是定长的, 并且对于每次交易而言都 需要进行相应地调整, 因此具有足够的动态性。 另外, 在后台系统处 也可以方便地对这些关键字段进行检测, 从而便于对称地进行解密。 因此, 两次分散所采用的分散因子优选地可以用以上所列的关键要素 中的一个或多个来构成。
根据示例性的银行交易终端规范在下面的表 1中列出了交易请求 报文中的一些关键要素的信息: 关键要素 位置 字段长度
商户代码 第 41域 15字节 终端代码 第 42域 8字节 交易流水号 第 11域 3字节
第 60域
批次号 3字节
(第二子域)
交易曰期 第 13域 2字节 交易时间 第 12域 3字节 交易处理码 第 3域 3字节 表 1 假定终端主密钥长度为 16字节,并且工作密钥长度也是 16字节
'以分別
D1 = [商户代码 (15字节) + 80(1字节)]
XOR
. [交易流水号 (3字节) + 80808080808080808080808080(13字节)];
D2 = [终端代码 (8字节) + 交易时间 (3字节) + 交易日期 (2字节) + 交 易处理码 (3字节)]。
由于上述关键要素对于每笔交易都是不同的, 因此 D1 和 D2对 于每笔交易而言也是不同的, 进而得到的工作密钥也随每笔交易而不 同。 由于每笔交易的工作密钥都是动态变化的, 而且是经过 2次分散 得到, 这大大提高了终端主密钥的存储安全和降低被恶意攻击的可能 性。 因此, 在本发明所提供的方法和装置中, 该工作密钥可以既被用 于计算交易的消息鉴别码 MAC, 也被用于对交易请求报文中所包含 的用户密码 PIN进行加密。 该工作密钥可以在交易请求报文完成加密 之后或者在每笔交易结束时被删除。
目前, POS终端上的工作密钥一般都是终端从后台联机系统下发 的签到交易报文中获取的。 也就是说, 终端需要向银行系统申请工作 密钥才能进行交易处理。 终端收到签到报文后, 用自己的终端主密钥 去解密签到报文, 获取工作密钥。 在当前批次内并且在下一次发送签 到报文之前, 终端都会使用相同的工作密钥对本批次内的交易进行加 解密,这样反而使得工作密钥暴露的次数增加,被攻击的可能性增高, 从而威胁到终端主密钥的安全性。 相反地, 在本发明中, 终端将不再 需要向银行后台联机系统申请工作密钥, 而所用到的工作密钥也将随 每笔交易而不同。 另外, 在现有的终端交易请求加密过程中, 需要像
MAC密钥 (MAC KEY)和 PIN密钥 (PIN KEY)这样的两个工作密钥来 完成整个加密, 其中 MAC密钥被用来生成 MAC校验码, 而 PIN密 钥被用来对用户密码进行加密。
假定终端在本批次内并且在下一笔签到报文之前所存储的交易 笔数为 N。 进一步地, 假定每笔交易在请求阶段都需要计算消息鉴别 码 MAC并且对用户密码 PIN进行加密, 并且需要在后台系统进行应 答时对 MAC进行验证。 由此, 终端在对 N笔交易进行处理的过程中 同一工作密钥可能暴露的次数如下面的表 2所示:
Figure imgf000008_0001
表 2。 当 N=l时, 即只有一笔交易的情况,使用本发明的方法所得到的 工作密钥暴露的次数比常规的 MAC KEY暴露的次数多一次, 而比常 规的 PIN KEY暴露的次数多两次。 即便如此, 由于本发明所提供的工 作密钥是经两次分散得到的, 所以存储在终端上的主密钥受到恶意攻 击的可能性与常规方式相比仍然更低。
当 N=2时,使用本发明的方法所得到的工作密钥暴露的次数比常 规的 MAC KEY暴露的次数少一次, 而比常规的 PIN KEY暴露的次 数多一次。 同样地, 由于本发明所提供的工作密钥是经两次分散得到 的, 所以存储在终端上的主密钥受到恶意攻击的可能性与常规方式相 比仍然更低。
当 N〉2时,使用本发明的方法所得到的工作密钥暴露的次数比常 规的 MAC KEY暴露的次数少 2N-3次, 比常规的 PIN KEY暴露的次 数少 N-3次。 由此, 可以看出终端主密钥暴露的可能性被大大降低, 其安全性与现有方法相比变得更高。
本领域的技术人员应理解的是, 上文所描述的本发明所提供的终 端数据加密方法和装置在银行联机交易过程中的应用仅是示例性的, 而非限制性的。 本发明所提供的方法和装置可适于任何类似的数据加 密应用。
应当说明的是, 以上具体实施方式仅用以说明本发明的技术方案 而非对其进行限制。 尽管参照上述具体实施方式对本发明进行了详细 的说明, 本领域的普通技术人员应当理解, 依然可以对本发明的具体 的实质, 其均涵盖在本发明请求保护的范围中

Claims

权利要求
1. 一种终端数据加密方法, 其特征在于, 所述方法包括: 使用第一分散因子对预先存储在所述终端中的主密钥进行第一 次分散以得到临时密钥;
使用第二分散因子对所述临时密钥进行第二次分散以得到工作 密钥;
使用所述工作密钥对待加密数据进行加密处理; 其中
所述第一分散因子和所述第二分散因子分别由所述待加密数据 中的一个或多个关键要素构成。
2. 如权利要求 1所述的方法, 其特征在于, 所述关键要素被选择 为所述待加密数据中具有高动态性的字段。
3. 如权利要求 1所述的方法, 其特征在于, 所述第一次分散包括 通过所述主密钥对所述第一分散因子做 3DES加密或解密, 并且所述 第二次分散包括通过所述临时密钥对所述第二分散因子做 3DES加密 或解密。
4. 如权利要求 1所述的方法, 其特征在于, 对待加密数据进行加 密处理包括使用所述工作密钥计算消息鉴别码 MAC并且使用所述工 作密钥对所述待加密数据中的预定字段进行加密。
5. 如权利要求 1所述的方法, 其特征在于, 所述方法还包括在对 所述待加密数据进行加密处理之后删除所述工作密钥。
6. 如权利要求 1所述的方法, 其特征在于, 所述终端为银行交易 终端, 所述待加密数据为交易请求报文, 并且所述关键要素包括交易 流水号、 批次号、 日期、 时间、 商户代码、 终端代码和交易处理码。
7. 如权利要求 6所述的方法, 其特征在于, 所述第一分散因子由 商户代码和交易流水号构成, 并且所述第二分散因子由终端代码、 交 易时间、 交易日期和交易处理码构成。
8. 如权利要求 6所述的方法, 其特征在于, 使用所述工作密钥对 待加密数据进行加密处理包括使用所述工作密钥计算消息鉴别码 MAC 并且使用所述工作密钥对所述交易请求报文中的用户密码字段 进行力口密。
9. 一种终端数据加密装置, 其特征在于, 所述装置包括: 第一分散单元, 其被配置为使用第一分散因子对预先存储在所述 终端中的主密钥进行第一次分散以得到临时密钥;
第二分散单元, 其被配置为使用第二分散因子对所述临时密钥进 行第二次分散以得到工作密钥;
加密单元, 其被配置为使用所述工作密钥对待加密数据进行加密 处理; 其中
所述第一分散因子和所述第二分散因子分别由所述待加密数据 中的一个或多个关键要素构成。
10. 如权利要求 9所述的装置, 其特征在于, 所述关键要素被选 择为所述待加密数据中具有高动态性的字段。
1 1. 如权利要求 9所述的装置, 其特征在于, 所述第一次分散包 括通过所述主密钥对所述第一分散因子做 3DES加密或解密, 并且所 述第二次分散包括通过所述临时密钥对所述第二分散因子做 3DES加 密或解密。
12. 如权利要求 9所述的装置, 其特征在于, 对待加密数据进行 加密处理包括使用所述工作密钥计算消息鉴别码 MAC并且使用所述 工作密钥对所述待加密数据的预定字段进行加密。
13. 如权利要求 9所述的装置, 其特征在于, 所述加密单元还被 配置为在对所述待加密数据进行加密处理之后删除所述工作密钥。
14. 如权利要求 9所述的装置, 其特征在于, 所述终端为银行交 易终端, 所述待加密数据为交易请求报文, 并且所述关键要素包括交 易的流水号、 批次号、 日期、 时间、 商户代码、 终端代码和交易处理 码。
15. 如权利要求 14所述的装置, 其特征在于, 所述第一分散因子 由商户代码和交易流水号构成, 并且所述第二分散因子由终端代码、 交易时间、 交易日期和交易处理码构成。
16. 如权利要求 14所述的装置, 其特征在于, 使用所述工作密钥 对待加密数据进行加密处理包括使用所述工作密钥计算消息鉴别码 MAC 并且使用所述工作密钥对所述交易请求报文中的用户密码字段 进行力口密。
PCT/CN2013/083324 2012-09-11 2013-09-11 一种终端数据加密方法和装置 WO2014040537A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201210333676.3 2012-09-11
CN201210333676.3A CN103684759A (zh) 2012-09-11 2012-09-11 一种终端数据加密方法和装置

Publications (1)

Publication Number Publication Date
WO2014040537A1 true WO2014040537A1 (zh) 2014-03-20

Family

ID=50277627

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2013/083324 WO2014040537A1 (zh) 2012-09-11 2013-09-11 一种终端数据加密方法和装置

Country Status (2)

Country Link
CN (1) CN103684759A (zh)
WO (1) WO2014040537A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102946311B (zh) * 2012-11-28 2016-05-11 成都卫士通信息产业股份有限公司 一种增强对称密钥体系安全性的密钥分散方法
CN108769052A (zh) * 2018-06-12 2018-11-06 北斗巡星信息科技有限公司 腕带传输信息加密的方法及装置
CN108848089B (zh) * 2018-06-13 2020-09-01 江苏恒宝智能系统技术有限公司 一种数据加密方法及数据传输系统
CN109525389A (zh) * 2018-10-16 2019-03-26 航天信息股份有限公司 一种税控设备秘钥的产生方法及系统
CN110084051A (zh) * 2019-04-29 2019-08-02 京工博创(北京)科技有限公司 一种数据加密方法和系统
CN115116150A (zh) * 2022-07-22 2022-09-27 中国工商银行股份有限公司 购票验票方法、装置、离线验票端、电子设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1615036A (zh) * 2004-11-29 2005-05-11 上海电信技术研究院 基于固定电话网短消息的电子支付业务系统和实现方法
CN101877157A (zh) * 2010-02-09 2010-11-03 北京江南博仁科技有限公司 银行终端安全设备密钥管理系统及方法
CN102055586A (zh) * 2010-12-28 2011-05-11 北京握奇数据系统有限公司 一种导出密钥的方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030211842A1 (en) * 2002-02-19 2003-11-13 James Kempf Securing binding update using address based keys
US7571321B2 (en) * 2003-03-14 2009-08-04 Voltage Security, Inc. Identity-based-encryption messaging system
CN101141250A (zh) * 2007-10-10 2008-03-12 北京握奇数据系统有限公司 仪表设备、数据安全存取方法、装置和系统
CN101436930A (zh) * 2007-11-16 2009-05-20 华为技术有限公司 一种密钥分发的方法、系统和设备
CN101686123B (zh) * 2008-09-24 2012-01-25 中国移动通信集团公司 密钥管理方法和系统、密钥生成及认证方法和装置
CN101686225A (zh) * 2008-09-28 2010-03-31 中国银联股份有限公司 一种用于网上支付的数据加密和密钥生成方法
CN101593389B (zh) * 2009-07-01 2012-04-18 中国建设银行股份有限公司 一种用于pos终端的密钥管理方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1615036A (zh) * 2004-11-29 2005-05-11 上海电信技术研究院 基于固定电话网短消息的电子支付业务系统和实现方法
CN101877157A (zh) * 2010-02-09 2010-11-03 北京江南博仁科技有限公司 银行终端安全设备密钥管理系统及方法
CN102055586A (zh) * 2010-12-28 2011-05-11 北京握奇数据系统有限公司 一种导出密钥的方法及装置

Also Published As

Publication number Publication date
CN103684759A (zh) 2014-03-26

Similar Documents

Publication Publication Date Title
CA2491049C (en) Method of preventing unauthorized distribution and use of electronic keys using a key seed
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
EP4014184A1 (en) Digital transaction signing for multiple client devices using secured encrypted private keys
DK2481230T3 (en) A method for authentication, method of payment authorization, and similar electronic devices
WO2014040537A1 (zh) 一种终端数据加密方法和装置
AU2011309758A1 (en) Mobile handset identification and communication authentication
CN101421968A (zh) 用于连网计算机应用的鉴权系统
KR20080098372A (ko) 컴퓨터 시스템, 복수의 웹사이트와 통신하기 위한 방법, 제1 웹사이트가 제2 웹사이트와 사용자 계정들을 링크하기 위한 방법, 및 컴퓨터 판독가능 매체
KR20130098368A (ko) 공유 비밀 확립 및 분배
CN112766962A (zh) 证书的接收、发送方法及交易系统、存储介质、电子装置
Dizaj et al. New mobile payment protocol: Mobile pay center protocol 2 (MPCP2) by using new key agreement protocol: VAM
US6633980B1 (en) Computing device communication with replay protection
WO2018030289A1 (ja) Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム
CN110224816A (zh) 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备
CN107566393A (zh) 一种基于受信任证书的动态权限验证系统及方法
CN110572825A (zh) 一种可穿戴设备认证装置及认证加密方法
CN106713338A (zh) 一种基于服务器硬件信息的长连接隧道建立方法
Elgohary et al. Design of an enhancement for SSL/TLS protocols
CN108959908A (zh) 一种与接入sdk的移动平台进行认证的方法、计算机设备及存储介质
Dizaj et al. New mobile payment protocol: Mobile pay center protocol (MPCP)
KR20130007097A (ko) 스마트폰 서비스의 보안 시스템 및 보안 방법
JP4840575B2 (ja) 端末装置、証明書発行装置、証明書発行システム、証明書取得方法および証明書発行方法
CN109522689B (zh) 移动办公环境下的多因子强身份认证方法
Sung et al. User authentication using mobile phones for mobile payment
Nosrati et al. Security assessment of mobile-banking

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13836999

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 20.07.2015)

122 Ep: pct application non-entry in european phase

Ref document number: 13836999

Country of ref document: EP

Kind code of ref document: A1