[发明专利]将传输密钥从终端服务器传输到密钥服务器的方法及系统

权利要求书

1.将传输密钥从终端服务器传输到密钥服务器的方法，其特征在于，包括步骤：

终端服务器调用第一硬件加密机、KMS系统调用第二硬件加密机，生成共同约定的对称加密保护密钥PK和MAC密钥MAK；

终端服务器从POS终端采集到传输密钥TK，使用加密保护密钥PK加密传输密钥TK得到传输密钥密文C_tk_pk；

终端服务器对传输密钥密文C_tk_pk进行打包生成打包数据；

终端服务器调用第一硬件加密机对打包数据使用MAK计算MAC值MAC1并附在包尾，并将附有MAC1的打包数据发送至KMS系统；

KMS系统接收到打包数据后，使用MAK密钥对打包数据计算MAC值，获得MAC2，比较接收到的MAC1和MAC2是否一致，若是不一致判定数据不合法；

若MAC1和MAC2一致，KMS系统从打包数据获得传输密钥密文C_tk_pk，调用第二硬件加密机使用加密保护密钥PK解密C_tk_pk获得传输密钥TK。

2.根据权利要求1所述的将传输密钥从终端服务器传输到密钥服务器的方法，其特征在于，打包数据中包含POS终端序列号，所述POS终端序列号对应一具体的POS终端。

3.根据权利要求1所述的将传输密钥从终端服务器传输到密钥服务器的方法，其特征在于，打包数据中包含加密传输密钥TK的公钥对应的公钥序列号。

4.根据权利要求1所述的将传输密钥从终端服务器传输到密钥服务器的方法，其特征在于，打包数据中包含加密传输密钥TK的版本号。

5.将传输密钥从终端服务器传输到密钥服务器的系统，其特征在于，包括KMS系统和与KMS系统通信连接的终端服务器，用于供终端服务器调用的第一硬件加密机，以及用于供KMS系统调用的第二硬件加密机；所述终端服务器包括第一加密模块、TK采集模块、第二加密模块、打包模块以及第一运算模块；所述KMS系统包括第二运算模块、判定模块以及第一解密模块；

第一加密模块用于调用第一硬件加密机、第二加密模块用于调用第二硬件加密机，生成共同约定的对称加密保护密钥PK和MAC密钥MAK；

TK采集模块用于从POS终端采集到传输密钥TK；

第三加密模块用于使用加密保护密钥PK加密传输密钥TK得到传输密钥密文C_tk_pk；

打包模块用于对传输密钥密文C_tk_pk进行打包生成打包数据；

第一运算模块用于调用第一硬件加密机对打包数据使用MAK计算MAC值MAC1并附在包尾，并将附有MAC1的打包数据发送至KMS系统；

第二运算模块用于KMS系统接收到打包数据后，使用MAK密钥对打包数据计算MAC值，获得MAC2；

判定模块用于比较接收到的MAC1和MAC2是否一致，若是不一致判定数据不合法，若MAC1和MAC2一致，KMS系统从打包数据获得传输密钥密文C_tk_pk；以及

第一解密模块用于调用第二硬件加密机使用加密保护密钥PK解密C_tk_pk获得传输密钥TK。

6.根据权利要求5所述的将传输密钥从终端服务器传输到密钥服务器的系统，其特征在于：所述打包数据中包含POS终端序列号，所述POS终端序列号对应一具体的POS终端。

7.根据权利要求5所述的将传输密钥从终端服务器传输到密钥服务器的系统，其特征在于：所述打包数据还包含加密传输密钥TK的公钥对应的公钥序列号。

8.根据权利要求5所述的将传输密钥从终端服务器传输到密钥服务器的系统，其特征在于：所述打包数据还包含加密传输密钥TK的版本号。