[发明专利]RSA密钥对和证书的注入方法、架构及系统

权利要求书

1.一种RSA密钥对和证书的注入方法，其特征在于，包括：

支付终端生成非对称密钥对，包括第一公钥和第一私钥；

支付终端发起请求，并将所述请求与所述第一公钥发送至密钥管理系统；

密钥管理系统接收所述请求与所述第一公钥，并将所述请求发送至CA中心；

CA中心根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；

密钥管理系统使用所述第一公钥加密所述RSA私钥和证书，并将加密后的数据发送至支付终端；

支付终端使用第一私钥对所述加密后的数据进行解密，得到所述RSA私钥和证书；

所述非对称密钥对的密钥尺寸和系统参数均小于RSA密钥对；

所述RSA私钥和证书用于终端出厂后与密钥管理系统进行双向认证后通过密钥管理系统下载终端主密钥TMK。

2.根据权利要求1所述的RSA密钥对和证书的注入方法，其特征在于，所述“支付终端发起请求，并将所述请求与所述第一公钥发送至密钥管理系统”具体为：

支付终端生成请求数据，并将所述请求数据与第一公钥进行打包，得到请求数据包；

使用第一私钥对所述请求数据包进行签名，并将所述请求数据包及其签名发送至密钥管理系统。

3.根据权利要求2所述的RSA密钥对和证书的注入方法，其特征在于，所述“密钥管理系统接收所述请求与所述第一公钥，并将所述请求发送至CA中心”具体为：

密钥管理系统接收所述请求数据包及其签名，并使用所述第一公钥对所述请求数据包的签名进行合法性验证；

若验证通过，则将所述请求数据发送至CA中心。

4.根据权利要求1所述的RSA密钥对和证书的注入方法，其特征在于，所述“得到所述RSA私钥和证书”之后，进一步包括：

支付终端将所述RSA私钥和证书存储至安全区域中。

5.根据权利要求1-4任一项所述的RSA密钥对和证书的注入方法，其特征在于，所述非对称密钥对为ECC密钥对、SM2密钥对或Rabin密钥对。

6.一种RSA密钥对和证书的注入架构，其特征在于，包括依次通信连接的支付终端、密钥管理系统和CA中心；

所述支付终端用于生成非对称密钥对，所述非对称密钥对包括第一公钥和第一私钥；

所述支付终端还用于发起请求，并将所述请求与所述第一公钥发送至密钥管理系统；

所述密钥管理系统用于接收所述请求与所述第一公钥，并将所述请求发送至CA中心；

所述CA中心用于根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；

所述密钥管理系统还用于使用所述第一公钥加密所述RSA私钥和证书，并将加密后的数据发送至支付终端；

所述支付终端还用于使用第一私钥对所述加密后的数据进行解密，得到所述RSA私钥和证书；

所述非对称密钥对的密钥尺寸和系统参数均小于RSA密钥对；

所述RSA私钥和证书用于终端出厂后与密钥管理系统进行双向认证后通过密钥管理系统下载终端主密钥TMK。

7.一种RSA密钥对和证书的注入系统，其特征在于，包括：

第一生成模块，用于支付终端生成非对称密钥对，所述非对称密钥对包括第一公钥和第一私钥；

第一发送模块，用于支付终端发起请求，并将所述请求与所述第一公钥发送至密钥管理系统；

第二发送模块，用于密钥管理系统接收所述请求与所述第一公钥，并将所述请求发送至CA中心；

第二生成模块，用于CA中心根据所述请求生成RSA私钥和证书，并将所述RSA私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括RSA公钥；

加密模块，用于密钥管理系统使用所述第一公钥加密所述RSA私钥和证书，并将加密后的数据发送至支付终端；

解密模块，用于支付终端使用第一私钥对所述加密后的数据进行解密，得到所述RSA私钥和证书；

所述非对称密钥对的密钥尺寸和系统参数均小于RSA密钥对；

所述RSA私钥和证书用于终端出厂后与密钥管理系统进行双向认证后通过密钥管理系统下载终端主密钥TMK。