遠程密鑰下載方法及系統、收單機構和目標pos終端的制作方法
【專利摘要】本發明提供遠程密鑰下載方法及系統、收單機構和目標POS終端,其中,遠程密鑰下載方法包括:收單機構隨機生成傳輸母密鑰RTK,并發送至母POS終端;收單機構依據目標POS終端上送序列號SN和存儲的傳輸母密鑰RTK,計算獲取傳輸子密鑰STK;然后使用傳輸子密鑰STK加密目標POS終端的主密鑰TMK,生成主密鑰密文,并發送至所述目標POS終端;目標POS終端上送序列號SN至母POS終端;然后接收母POS終端依據所述序列號SN和自身存儲的所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK。收單機構能夠實現方便、安全地批量遠程分發對應不同目標POS終端的主密鑰,同時降低對母POS終端的開發和維護成本。
【專利說明】
遠程密鑰下載方法及系統、收單機構和目標POS終端
技術領域
[0001] 本發明涉及電子支付領域,具體說的是一種遠程密鑰下載方法及系統、收單機構 和目標P0S終端。
【背景技術】
[0002] 國內的銀行卡收單系統,一般都會用到密鑰來對持卡人賬戶信息和密碼進行加密 保護,其中密鑰的管理一般采用MK/SK的密鑰管理體系。對于一個收單系統來說,終端主密 鑰(TMK)的下載和分發,一直是整個安全體系的設計重點,尤其是如何做到既安全又方便使 用且成本低廉,一直都是各個收單機構和P0S廠商追求的目標。目前國內的收單機構,一般 是通過母P0S來實現對目標P0S中終端主密鑰的下載,由于每臺目標P0S需采用不同的唯一 密鑰,收單機構通常需要將大量的終端主密鑰批量導入到母P0S中,再通過不同的終端序列 號來給不同的目標P0S分配和下載不同的密鑰。
[0003] 上述方法,由于母P0S中需要維護大量的密鑰,而且P0S終端維修時密鑰會丟失需 要重新灌裝和原來一樣的密鑰,這時候就必須找到同一臺母P0S進行灌裝。而P0S機通常部 署非常分散,全國各地到處都有,不可能每個維修中心都使用同一臺母P0S來灌裝密鑰,因 此導致整個P0S的維修極其不便,需要拷貝出大量的母P0S和大量的密鑰,安全管理上也極 為復雜。
[0004] 專利公開號為CN 103716153 A的中國專利申請,公開了一種終端主密鑰TMK安全 下載的方法,通過KMS系統產生公私鑰對,將公鑰發給P0S終端,P0S終端依隨機生成傳輸密 鑰TK,并使用公鑰加密傳輸TK發送至KMS系統;KMS使用密鑰TK加密主密鑰TMK生成主密鑰密 文后發送至P0S終端,P0S終端使用密鑰TK解密主密鑰密文獲取主密鑰TMK。該方案雖然大大 方便了 P0S終端下載主密鑰TMK,但還是無法解決不同目標P0S終端對應不同主密鑰的快速 獲取。
【發明內容】
[0005] 本發明所要解決的技術問題是:提供一種遠程密鑰下載方法及系統、收單機構和 目標P0S終端,收單機構能夠實現方便、安全地批量遠程分發對應不同目標P0S終端的主密 鑰,同時降低對母P0S終端的開發和維護成本。
[0006] 為了解決上述技術問題,本發明采用的技術方案為:
[0007] -種遠程密鑰下載方法,包括:
[0008] 收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母P0S終端;
[0009] 收單機構接收目標P0S終端上送的終端主密鑰TMK獲取請求,所述請求包含所述目 標P0S終端的序列號SN;
[0010] 收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳輸子密鑰STK;
[0011] 收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰TMK,生成主密鑰密 文,并發送至所述目標P0S終端;
[0012] 所述目標P0S終端上送序列號SN至母P0S終端;
[0013]目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲的所述傳輸母密鑰RTK 計算獲取的傳輸子密鑰STK。
[0014] 本發明提供的第二個技術方案為:
[0015] 一種遠程密鑰下載系統,包括:
[0016] 生成模塊,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母 P0S終端;
[0017]第一接收模塊,用于收單機構接收目標P0S終端上送的終端主密鑰TMK獲取請求, 所述請求包含所述目標P0S終端的序列號SN;
[0018] 計算模塊,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳輸 子密鑰STK;
[0019] 加密模塊,用于收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰TMK, 生成主密鑰密文,并發送至所述目標P0S終端;
[0020] 上送模塊,用于目標P0S終端上送序列號SN至母P0S終端;
[0021] 第二接收模塊,用于目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲的 所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK。
[0022] 本發明的有益效果在于:區別于現有技術母P0S中需要維護大量的密鑰造成的安 全管理復雜,維護不便,維護成本高的問題。本申請通過收單機構生成母密鑰RTK,然后下發 至母P0S終端進行存儲;然后收單機構使用傳輸母密鑰RTK對各個目標P0S終端的序列號SN 進行加密,獲取各自對應的傳輸子密鑰STK,然后通過傳輸子密鑰STK對對應的目標P0S終端 的主密鑰TMK進行加密,生成主密鑰密文,發送給目標P0S終端;目標P0S終端在獲取主密鑰 時,通過上送自身的序列號SN給母P0S終端,母P0S終端便能依據序列號SN和母密鑰RTK計算 獲取對應的傳輸子密鑰STK,然后下發給目標P0S終端,用于解密獲取主密鑰。本發明實現了 批量下載分發主密鑰,且母P0S終端只需存儲維護一個密鑰,即傳輸母密鑰RTK,由此方便母 P0S終端的維護和安全管理,維護成本也大大降低。
[0023]本發明提供的第三個技術方案為:
[0024] 一種收單機構,包括:
[0025]生成模塊,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母 P0S終端;
[0026]第一接收模塊,用于收單機構接收一目標P0S終端上送的終端主密鑰TMK獲取請 求,所述請求包含所述目標P0S終端的序列號SN;
[0027]計算模塊,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳輸 子密鑰STK;
[0028] 加密模塊,用于收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰TMK, 生成主密鑰密文,并發送至所述目標P0S終端。
[0029] 本方案的有益效果為:收單機構隨機生成傳輸母密鑰RTK,并下載至母P0S終端;依 據目標P0S終端上送的序列號SN使用特定的算法與傳輸母密鑰RTK-起計算獲取傳輸子密 鑰STK,再使用傳輸子密鑰STK加密目標P0S終端的主密鑰TMK,然后發送主密鑰密文給目標 P0S終端,實現了主密鑰TMK的安全遠程分發。
[0030] 本發明提供的第四個技術方案為:
[0031] 一種目標P0S終端,包括:
[0032] 上送模塊,用于目標P0S終端上送序列號SN至母P0S終端;
[0033]第二接收模塊,用于目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲的 所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK;
[0034]解密模塊,用于目標P0S終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲 取主密鑰TMK。
[0035]本方案的有益效果為:目標P0S終端在申請獲取主密鑰的時候,只需上送帶有自身 序列號SN的請求至收單機構,便能獲取經過特定算法和協議加密的主密鑰;然后在通過母 P0S終端獲取用于解密的傳輸子密鑰STK,實現安全獲取主密鑰。
【附圖說明】
[0036] 圖1為本發明一種遠程密鑰下載方法的流程示意圖;
[0037] 圖2為本發明的密鑰層次結構示意圖;
[0038] 圖3為本發明一種遠程密鑰下載方法及其系統的操作流程示意圖;
[0039]圖4為本發明實施例一一種遠程密鑰下載方法的信息交互示意圖;
[0040]圖5為本發明一種遠程密鑰下載系統的結構組成示意圖;
[0041 ]圖6為本發明實施例二一種遠程密鑰下載系統的結構組成示意圖;
[0042]圖7為本發明一種收單機構的結構組成示意圖;
[0043]圖8為本發明一種目標P0S終端的結構組成示意圖。
[0044] 標號說明:
[0045] 1、生成模塊;2、第一接收模塊;3、計算模塊;4、加密模塊;
[0046] 5、上送模塊;6、第二接收模塊;7、解密模塊;
[0047] 11、生成單元;12、存儲單元;13、發送單元。
【具體實施方式】
[0048]為詳細說明本發明的技術內容、所實現目的及效果,以下結合實施方式并配合附 圖予以說明。
[0049] 本發明最關鍵的構思在于:母P0S終端只需維護一個傳輸母密鑰,目標P0S終端通 過上送序列號給母P0S終端來獲取對應的傳輸子密鑰,用于解密獲取經過加密的主密鑰。 [0050]本發明涉及的技術術語解釋:
[0051]
[
[0053]請參照圖1、圖2、圖3以及圖4,本發明提供一種遠程密鑰下載方法,包括:
[0054]收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母P0S終端;
[0055]收單機構接收目標P0S終端上送的終端主密鑰TMK獲取請求,所述請求包含所述目 標P0S終端的序列號SN;
[0056]收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳輸子密鑰STK; [0057] 收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰TMK,生成主密鑰密 文,并發送至所述目標P0S終端;
[0058] 所述目標P0S終端上送序列號SN至母P0S終端;
[0059]目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲的所述傳輸母密鑰RTK 計算獲取的傳輸子密鑰STK。
[0060] 從上述描述可知,本發明的有益效果在于:收單機構生成傳輸母密鑰,并將其下載 至母P0S存儲,同時依據目標P0S的序列號和傳輸密鑰計算獲取傳輸子密鑰,使用其加密主 密鑰,發送給目標P0S;目標P0S通過上送序列號給母P0S,獲取傳輸子密鑰。通過上述方案, 收單機構可以方便的實現P0S終端主密鑰的下載分發,母P0S終端只需存儲一個密鑰,維護 和開發都較為容易實現,顯著降低維護和開發成本;同時,又能確保P0S終端主密鑰的安全 可靠下載。
[0061] 進一步的,所述目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲的所述 傳輸母密鑰RTK計算獲取的傳輸子密鑰STK,之后,進一步包括:
[0062] 目標P0S終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲取主密鑰TMK。
[0063] 由上述描述可知,目標P0S終端獲取依據自身序列號計算獲取的傳輸子密鑰STK 后,能成功解密主密鑰密文,獲取主密鑰TMK,確保主密鑰TMK遠程下載的安全性。
[0064]進一步的,所述收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母 P0S終端,具體為:
[0065]收單機構調用密鑰管理系統的加密機隨機生成傳輸母密鑰RTK以及對應不同目標 P0S終端的不同終端主密鑰TMK;
[0066] 存儲所述傳輸母密鑰RTK和所述終端主密鑰TMK;
[0067] 發送所述傳輸母密鑰RTK至母P0S終端。
[0068]由上述描述可知,收單機構對應不同的目標P0S終端,隨機生成對應的主密鑰TMK, 然后依據不同目標P0S終端的序列號SN分別計算獲取其對應的傳輸子密鑰,加密主密鑰 TMK,然后下載分發至對應的目標P0S終端,實現經過加密的主密鑰的分發。
[0069]請參閱圖5,本發明提供的第二個技術方案為:
[0070] 一種遠程密鑰下載系統,包括:
[0071]生成模塊1,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至 母P0S終端;
[0072]第一接收模塊2,用于收單機構接收目標P0S終端上送的終端主密鑰TMK獲取請求, 所述請求包含所述目標P0S終端的序列號SN;
[0073]計算模塊3,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳 輸子密鑰STK;
[0074]加密模塊4,用于收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰 TMK,生成主密鑰密文,并發送至所述目標P0S終端;
[0075] 上送模塊5,用于目標P0S終端上送序列號SN至母P0S終端;
[0076]第二接收模塊6,用于目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲 的所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK。
[0077] 進一步的,還包括:
[0078]解密模塊7,用于目標P0S終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲 取主密鑰TMK。
[0079] 進一步的,所述生成模塊1包括:
[0080] 生成單元11,用于收單機構調用密鑰管理系統的加密機隨機生成傳輸母密鑰RTK 以及對應不同目標P0S終端的不同終端主密鑰TMK;
[0081 ]存儲單元12,用于收單機構存儲所述傳輸母密鑰RTK和所述終端主密鑰TMK;
[0082]發送單元13,用于收單機構發送所述傳輸母密鑰RTK至母P0S終端。
[0083]本發明提供的第三個技術方案為:
[0084]請查閱圖7,本方案提供一種收單機構,包括:
[0085]生成模塊1,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至 母P0S終端;
[0086]第一接收模塊2,用于收單機構接收目標P0S終端上送的終端主密鑰TMK獲取請求, 所述請求包含所述目標P0S終端的序列號SN;
[0087]計算模塊3,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳 輸子密鑰STK;
[0088]加密模塊4,用于收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰 TMK,生成主密鑰密文,并發送至所述目標P0S終端。
[0089]上述方案的有益效果在于:收單機構能夠隨機生成傳輸母密鑰RTK,下發至母P0S 終端,使母P0S終端只需存儲一個密鑰;然后依據傳輸母密鑰RTK和目標P0S終端的序列號SN 計算獲取傳輸子密鑰STK;用其加密對應目標P0S終端的主密鑰TMK,實現主密鑰TMK的安全 傳輸;后續目標P0S終端只需上送自身序列號給從母P0S終,便可獲取母P0S終端依據序列號 和自身存儲的傳輸母密鑰RTK計算獲取用于解密的傳輸子密鑰STK。
[0090]本發明提供的第四個技術方案為:
[0091 ]請查閱圖8,本方案提供一種目標P0S終端,包括:
[0092] 上送模塊5,用于目標P0S終端上送序列號SN至母P0S終端;
[0093]第二接收模塊6,用于目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲 的所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK;
[0094]解密模塊7,用于目標P0S終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲 取主密鑰TMK。
[0095]從上述描述可知,本方案的有益效果在于:目標終端只需上送序列號SN給母P0S終 端,便可從母P0S終端獲取依據序列號SN和傳輸母密鑰RTK計算獲取的傳輸子密鑰,用于解 密加密的主密鑰密文;實現方便、安全的下載獲取主密鑰。
[0096] 實施例一
[0097] 請參照圖2至圖4,本實施例提供一種遠程密鑰下載方法,包括:
[0098] S1:收單機構通過密鑰管理系統調用加密機內部隨機生成傳輸母密鑰RTK,以及對 應不同目標P0S終端的多個主密鑰TMK;所述主密鑰TMK與目標P0S終端為--對應關系,用 于在交易過程中對持卡人賬單信息和密鑰進行加密保護;收單機構存儲傳輸母密鑰RTK以 及主密鑰TMK;
[0099] S2:收單機構的操作人員,攜帶母P0S終端到收單機構的安全的受控環境下,將加 密機中的傳輸母密鑰RTK下載到母P0S終端中;優選為操作人員手工輸入到母P0S中;
[0100]上述步驟S1和S2是在收單機構受控環境下執行。
[0101] S3:母P0S終端與一目標P0S終端創建連接;
[0102] S4:母P0S終端讀取該目標P0S終端的序列號SN;
[0103] S5:母P0S終端使用通過特定算法,對傳輸母密鑰RTK和目標P0S終端的序列號SN進 行計算,獲取傳輸子密鑰STK = En(RTK,SN);不同的目標P0S終端對應不同的傳輸子密鑰 STK,二者為一一對應關系;
[0104] S6:母P0S終端將計算得到的傳輸子密鑰STK下載到對應的目標P0S終端中;
[0105] S7:上述目標P0S終端遠程連接到收單機構后臺的密鑰服務器;
[0106] S8:目標P0S終端發送終端主密鑰TMK獲取請求給收單機構,所述請求中包含所述 目標P0S終端的序列號SN;
[0107] S9:收單機構的密鑰服務器收到上述請求后,先使用自身存儲的傳輸母密鑰RTK和 所述目標P0S終端上送的序列號SN計算得到對應的傳輸子密鑰STK;收單機構的密鑰中心可 以通過相同的算法推導出每臺目標P0S終端使用的傳輸子密鑰STK;
[0108] S10:收單機構使用傳輸子密鑰STK加密對應所述目標P0S終端的主密鑰TMK,生成 主密鑰密文;
[0109] S11:收單機構將加密生成的主密鑰密文返回給目標P0S終端;
[0110] 上述步驟S3至S11實在P0S終端初始化階段進行,在P0S廠商或者收單機構的受控 區域完成;進一步的,通過步驟S3-S6實現了目標P0S終端獲取傳輸子密鑰STK的過程;通過 步驟S7-S11實現了目標P0S終端獲取經過加密的主密鑰TMK的過程;這兩個過程沒有明確的 前后順序限制,可靈活調整。
[0111] S12:目標P0S終端得到主密鑰密文后,使用內部存儲的傳輸子密鑰進行解密,獲取 明文的主密鑰TMK,并存入安全的密碼鍵盤中;至此,實現該目標P0S終端安全、便捷的從收 單機構遠程下載主密鑰TMK。
[0112] 實施例二:
[0113]請參照圖6,本發明為對應實施例一的一種遠程密鑰下載系統,具體包括:
[0114]生成模塊1,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至 母P0S終端;
[0115]所述生成模塊1包括:
[0116]生成單元11,用于收單機構調用密鑰管理系統的加密機隨機生成傳輸母密鑰RTK 以及對應不同目標P0S終端的不同終端主密鑰TMK;
[0117] 存儲單元12,用于收單機構存儲所述傳輸母密鑰RTK和所述終端主密鑰TMK;
[0118] 發送單元13,用于收單機構發送所述傳輸母密鑰RTK至母P0S終端。
[0119] 第一接收模塊2,用于收單機構接收目標P0S終端上送的終端主密鑰TMK獲取請求, 所述請求包含所述目標P0S終端的序列號SN;
[0120]計算模塊3,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳 輸子密鑰STK;
[0121] 加密模塊4,用于收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰 TMK,生成主密鑰密文,并發送至所述目標P0S終端;
[0122] 上送模塊5,用于目標P0S終端上送序列號SN至母P0S終端;
[0123] 第二接收模塊6,用于目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲 的所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK;
[0124] 解密模塊7,用于目標P0S終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲 取主密鑰TMK。
[0125] 實施例三
[0126] 請參閱圖7,本實施例為實施例一和二基礎上,提供一種收單機構,包括:
[0127] 生成模塊1,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至 母P0S終端;
[0128] 第一接收模塊2,用于收單機構接收一目標P0S終端上送的終端主密鑰TMK獲取請 求,所述請求包含所述一目標P0S終端的序列號SN;
[0129] 計算模塊3,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳 輸子密鑰STK;
[0130] 加密模塊4,用于收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰 TMK,生成主密鑰密文,并發送至所述目標P0S終端。
[0131] 實施例四
[0132] 請參閱圖8,本實施例為實施例一和二基礎上,提供一種目標P0S終端,包括:
[0133] 上送模塊5,用于目標P0S終端上送序列號SN至母P0S終端;
[0134] 第二接收模塊6,用于目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲 的所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK;
[0135] 解密模塊7,用于目標P0S終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲 取主密鑰TMK。
[0136] 實施例一至四提供的遠程密鑰下載方法及系統、收單機構和目標P0S終端;通過收 單機構生成傳輸母密鑰,依據傳輸母密鑰和目標P0S終端的序列號生成對應的傳輸子密鑰; 通過傳輸母密鑰加密終端主密鑰;通過母P0S終端使用傳輸母密鑰和對應的序列號計算獲 取傳輸子密鑰,目標P0S終端從母P0S終端獲取傳輸子密鑰對終端主密鑰密文進行解密,獲 取主密鑰。收單機構和母P0S之間共享傳輸母密鑰,母P0S和目標P0S之間共享傳輸子密鑰, 目標P0S和收單機構之間共享終端主密鑰。實現遠程安全、便捷的下載獲取終端主密鑰;母 P0S不再需要存儲所有目標P0S終端的解密密鑰,而只需存儲一個相同的傳輸母密鑰,便可 計算獲取對應的傳輸子密鑰;其維護成本和開發成本大大縮減。
[0137] 本發明提供的遠程密鑰下載方法及系統、收單機構和目標P0S終端,區別于現有技 術的主密鑰遠程下載方案中,母P0S終端的維護成本和開發成本高、維護不便、安全管理極 為復雜的不足。本發明能夠實現母P0S終端只需維護和管理一個相同的傳輸母密鑰;其維護 成本和開發成本顯著降低,同時,便于維護管理,簡化密鑰分發下載過程;進一步的,用于加 密和加密主密鑰的傳輸子密鑰符合一機一密原則,能夠確保遠程傳輸過程中主密鑰密文的 安全。
[0138] 以上所述僅為本發明的實施例,并非因此限制本發明的專利范圍,凡是利用本發 明說明書及附圖內容所作的等同變換,或直接或間接運用在相關的技術領域,均同理包括 在本發明的專利保護范圍內。
【主權項】
1. 一種遠程密鑰下載方法,其特征在于,包括: 收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母POS終端; 收單機構接收目標POS終端上送的終端主密鑰TMK獲取請求,所述請求包含所述目標 POS終端的序列號SN; 收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳輸子密鑰STK; 收單機構使用傳輸子密鑰STK加密所述目標POS終端的主密鑰TMK,生成主密鑰密文,并 發送至所述目標POS終端; 所述目標POS終端上送序列號SN至母POS終端; 目標POS終端接收母POS終端依據所述序列號SN和自身存儲的所述傳輸母密鑰RTK計算 獲取的傳輸子密鑰STK。2. 如權利要求1所述的一種遠程密鑰下載方法,其特征在于,所述目標POS終端接收母 POS終端依據所述序列號SN和自身存儲的所述傳輸母密鑰RTK計算獲取的傳輸子密鑰STK, 之后,進一步包括: 目標POS終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲取主密鑰TMK。3. 如權利要求1所述的一種遠程密鑰下載方法,其特征在于,所述收單機構調用密鑰管 理系統隨機生成傳輸母密鑰RTK,并發送至母POS終端,具體為: 收單機構調用密鑰管理系統的加密機隨機生成傳輸母密鑰RTK以及對應不同目標POS 終端的不同終端主密鑰TMK; 收單機構存儲所述傳輸母密鑰RTK和所述終端主密鑰TMK; 收單機構發送所述傳輸母密鑰RTK至母POS終端。4. 一種遠程密鑰下載系統,其特征在于,包括: 生成模塊,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母POS 終端; 第一接收模塊,用于收單機構接收目標POS終端上送的終端主密鑰TMK獲取請求,所述 請求包含所述目標POS終端的序列號SN; 計算模塊,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳輸子密 鑰 STK; 加密模塊,用于收單機構使用傳輸子密鑰STK加密所述目標POS終端的主密鑰TMK,生成 主密鑰密文,并發送至所述目標POS終端; 上送模塊,用于目標POS終端上送序列號SN至母POS終端; 第二接收模塊,用于目標POS終端接收母POS終端依據所述序列號SN和自身存儲的所述 傳輸母密鑰RTK計算獲取的傳輸子密鑰STK。5. 如權利要求4所述的一種遠程密鑰下載系統,其特征在于,還包括: 解密模塊,用于目標POS終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲取主 密鑰TMK。6. 如權利要求4所述的一種遠程密鑰下載系統,其特征在于,所述生成模塊包括: 生成單元,用于收單機構調用密鑰管理系統的加密機隨機生成傳輸母密鑰RTK以及對 應不同目標POS終端的不同終端主密鑰TMK; 存儲單元,用于收單機構存儲所述傳輸母密鑰RTK和所述終端主密鑰TMK; 發送單元,用于收單機構發送所述傳輸母密鑰RTK至母POS終端。7. -種收單機構,其特征在于,包括: 生成模塊,用于收單機構調用密鑰管理系統隨機生成傳輸母密鑰RTK,并發送至母P0S 終端; 第一接收模塊,用于收單機構接收一目標P0S終端上送的終端主密鑰TMK獲取請求,所 述請求包含所述目標P0S終端的序列號SN; 計算模塊,用于收單機構依據所述序列號SN和所述傳輸母密鑰RTK,計算獲取傳輸子密 鑰 STK; 加密模塊,用于收單機構使用傳輸子密鑰STK加密所述目標P0S終端的主密鑰TMK,生成 主密鑰密文,并發送至所述目標P0S終端。8. -種目標P0S終端,其特征在于,包括: 上送模塊,用于目標P0S終端上送序列號SN至母P0S終端; 第二接收模塊,用于目標P0S終端接收母P0S終端依據所述序列號SN和自身存儲的所述 傳輸母密鑰RTK計算獲取的傳輸子密鑰STK; 解密模塊,用于目標P0S終端使用所述傳輸子密鑰STK對所述主密鑰密文解密,獲取主 密鑰TMK。
【文檔編號】G06Q20/38GK106097608SQ201610395836
【公開日】2016年11月9日
【申請日】2016年6月6日 公開號201610395836.5, CN 106097608 A, CN 106097608A, CN 201610395836, CN-A-106097608, CN106097608 A, CN106097608A, CN201610395836, CN201610395836.5
【發明人】彭波濤
【申請人】福建聯迪商用設備有限公司