[发明专利]一种智能POS设备证书装载的方法

说明书

本发明提出一种智能POS设备证书装载的方法，通过CA/RA服务器、证书管理服务器TCMS、安全秘钥设备SCD以及POS重点实现证书批量签发以及证书装载，以提出一种安全、快速地装载POS终端设备证书的智能POS设备证书装载的方法。

技术领域

本发明涉及POS终端技术领域，尤其涉及一种智能POS设备证书装载的方法。

背景技术

每台POS终端在出厂前需要装载其身份证书，用于与远端服务器建立基于CA证书的通信。

现有的技术方案，装载POS身份的证书的过程大致如下：

1)POS终端生成密钥对，并生成证书请求CSR。

2)POS终端与CA/RA建立网络连接，将证书请求CSR发给CA。

3)CA检查相关信息，签发证书，发给POS终端。

4)POS终端接收证书，装载。

此过程存在如下问题：

1)POS终端安全芯片性能不足，生成密钥对比较耗时，比如生成一对RSA2048密钥，需要花费几十秒。

2)POS终端请求CA/RA签发证书时，在不借助人工和其他可信设备的情况下，由于没有相关密钥和证书，通信上存在安全隐患。

3)申请证书的过程，需要每台POS终端实时连接网络，这对生产环境的网络接入要求较高。

发明内容

本发明的目的在于提出一种安全、快速地装载POS终端设备证书的智能POS设备证书装载的方法。

为达到上述目的，本发明提出一种智能POS设备证书装载的方法，通过CA/RA服务器、证书管理服务器TCMS、安全秘钥设备SCD以及POS重点实现证书批量签发以及证书装载。

进一步的，证书批量签发包括以下步骤：

S1:TCMS预先生成批量的公私密钥对；

S2:TCMS对每组公私密钥对生成证书请求CSR；

S3：TCMS与CA/RA服务器对证书请求CSR进行双向验证，认证通过后将证书请求CSR提交给CA/RA签发为设备公钥证书；

S4：CA/RA对证书请求CSR及相关信息进行完整性和真实性校验，校验通过后为TCMS签发设备证书。

进一步的，在步骤S1中，由硬件加密机HSM按照设定的算法类型和算法强度完成，私钥安全地存储在HSM中。

进一步的，所述证书装载包括以下步骤：

步骤a:SCD和TCMS预置有对称密钥用于保护私钥传输；

步骤b:预先在SCD中预置好本次需要装载证书的POS终端SN列表；

步骤c:安全密码设备SCD和TCMS服务器进行双向认证，认证通过后，SCD根据SN列表中的数量来请求TCMS下发设备证书；

步骤d:TCMS将签发好的公钥证书、私钥密文按每组对应关系批量地发送给SCD；

步骤e:SCD接收到公钥证书和私钥密文，私钥密文由预置的对称密钥解密后使用专用的存储密钥加密后与公钥证书一起保存在数据库中，存储加密密钥存储在SCD安全芯片中，此时SCD得到所有POS终端对应的公钥证书和私钥密文；

步骤f:POS终端与SCD立本地连接；

步骤g:POS终端与SCD进行双向认证，认证通过后POS终端生成临时密钥对，将公钥发给SCD；