[发明专利]POS终端、终端接入前置、主密钥管理系统及其方法

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种POS终端、终端接入前置、主密钥管理系统及方法。

背景技术

使用银行卡通过POS终端进行刷卡消费已成为目前主流的消费结算方式，目前POS终端在交易时，涉及主密钥及工作密钥，该主密钥存储于POS终端中，用于加密该工作密钥以对该工作密钥进行保护。其中，该工作密钥包括PIN密钥以及校验MAC密钥，该PIN密钥用于加密持卡人的客户银行密码，该MAC密钥用于对报文进行MAC校验。

当POS终端初始化时，需下载主密钥，传统的POS终端主密钥下载方案为，在下载主密钥前，先将POS终端与使用该POS终端的商户账号相关联，即将POS终端带至银行，将POS终端的设备号与商户账号相关联，然后下载主密钥至该POS终端，该种做法较繁琐，增加了下载主密钥的工作量。

发明内容

本发明主要解决的技术问题是提供一种简便的用于POS终端的主密钥管理方法以及使用该方法的主密钥管理系统、POS终端以及终端接入前置。无需在下载主密钥前将POS终端与商户账号相关联，母POS可向需要主密钥的POS终端一次性分发主密钥及密钥索引号，POS终端将该密钥索引号与该POS终端的硬件序列号相结合生成安全模块号，而后将该安全模块号在终端接入前置处登记。当发送交易请求报文时，POS终端同时发送该安全模块号至终端接入前置以对该POS终端及其密钥索引号的合法性进行认证。

为解决上述技术问题，本发明采用的一个技术方案是：

提供一种主密钥管理方法，包括：(1)生成主密钥及与所述主密钥对应的主密钥密文并将所述主密钥密文写入密钥库表；(2)将所述密钥库表转换成与密钥母POS约定格式的密钥文件并将所述密钥文件加载到所述密钥母POS；(3)所述密钥母POS接收一POS终端发送的密钥分发请求，根据所述密钥分发请求检索所述密钥文件中可用的主密钥并将所述主密钥及对应的密钥索引号分发至所述POS终端，同时将所述主密钥标记为已用；(4)所述POS终端接收所述主密钥及密钥索引号，根据接收到的密钥索引号及所述POS终端的硬件序列号生成安全模块号并将所述安全模块号发送至终端接入前置；以及(5)所述终端接入前置接收所述安全模块号并将所述接收到的安全模块号写入一终端表以登记所述安全模块号。

其中，所述的主密钥管理方法还包括：(6)一POS终端发送交易请求及一安全模块号至所述终端接入前置；(7)所述终端接入前置接收所述安全模块号并检索所述终端表，判断是否检索到与所述接收到的安全模块号匹配的已登记的安全模块号，并当检索到匹配的安全模块号时处理所述交易请求，当未检索到匹配的安全模块号时拒绝所述交易请求。

其中，当检索到匹配的安全模块号时，所述终端接入前置发送认证成功提示至所述POS终端。当未检索到匹配的安全模块号时，所述终端接入前置发送认证失败提示至所述POS终端。

本发明采用的另一个技术方案是：

提供一种主密钥管理系统，包括加密机、终端接入前置、密钥母POS以及POS终端，所述加密机用于生成主密钥并采用指定密钥对所述主密钥进行加密以生成主密钥密文，所述终端接入前置包括交易单元。所述终端接入前置包括：密钥写入单元，用于获取所述主密钥密文并将所述主密钥密文写入密钥库表，其中，所述密钥库表包括密钥索引号、主密钥密文、以及工作密钥；数据库单元，用于存储所述密钥库表；WEB管理单元，用于将所述密钥库表转换成与所述密钥母POS约定格式的密钥文件；密钥加载单元，用于将所述密钥文件加载到所述密钥母POS；所述密钥母POS用于检索所述密钥文件中可用的主密钥并将所述主密钥及对应的密钥索引号分发至所述POS终端，同时将所述主密钥标记为已用。

所述POS终端包括：存储单元；密钥获取单元，用于向所述密钥母POS发送密钥分发请求，以及接收并关联地存储所述主密钥和密钥索引号至所述存储单元；安全模块号生成单元，用于根据所述密钥索引号及所述POS终端的硬件序列号生成安全模块号并将所述安全模块号发送至所述终端接入前置；以及所述终端接入前置还包括：登记单元，用于接收所述安全模块号并将所述接收到的安全模块号写入一终端表以登记所述接收到的安全模块号，所述数据库单元还用于存储所述终端表。