[发明专利]密钥注入方法和系统、密钥管理系统、设备及机器可读介质

说明书

本发明提供一种远程密钥注入方法和系统、密钥管理系统、设备及机器可读介质，利用支付接入设备发起认证请求，使用远程密钥管理系统认证支付接入设备的公钥证书的合法性；并在认证通过后，将远程密钥管理系统中的中心证书和对应的认证证书链响应给支付接入设备；使用支付接入设备对远程密钥管理系统中的中心证书和对应的认证证书链进行合法性认证；并在认证通过后，向远程密钥管理系统发起远程注入密钥请求；通过远程密钥管理系统向支付接入设备远程注入密钥。本发明可以完成支付接入设备与密钥管理系统之间的双向认证，并在安全环境下分发对称密钥。本发明能够有效解决传统方式的灵活性差、耗费人力及效率低下的问题，方便支付接入设备的推广应用。

技术领域

本发明涉及加密技术领域，特别是涉及一种远程密钥注入方法和远程密钥注入系统、远程密钥管理系统、支付接入设备、计算机可读介质及设备。

背景技术

支付接入设备(Payment Access Device，简称PAD)，是一种多功能终端，把它安装在信用卡的特约商户和受理网点中与计算机联成网络，就能实现电子资金自动转账。它具有支持消费、预授权、余额查询和转账等功能，使用起来安全、快捷、可靠。个人标识码(Personal Identification Number，简称PIN)，是在联机交易中识别持卡人身份合法性的数据信息。在交易过程中，即个人密码。为了保证用户信息的安全，PIN码不允许以明文形式出现，需要用密钥对PIN码进行加密，这种密钥被称之为PIN密钥。同时为了保证计算机交易报文正确性，会使用密钥对交易报文计算MAC值，这种密钥称之为MAC密钥。PIN密钥和MAC密钥又统称为工作密钥，统一存储在与PAD相连的密码键盘中。工作密钥在下装到密码键盘之前，需要使用主密钥加密为密文，下装到密码键盘后，密码键盘通过预置的主密钥解密出工作密钥的明文并将其保存到密码键盘中。在现有技术中，主要通过“密钥母POS方案”下装主密钥，终端专业化服务机构或收单机构需手动使用母POS往支付终端的密码键盘灌入终端主密钥。但这种方式存在如下缺点：主密钥的下装必须控制在管理中心的安全机房进行，通过人工集中下载终端主密钥，从而带来运营维护成本过高、终端新业务推广困难等问题。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种远程密钥注入方法和系统、远程密钥管理系统、支付接入设备、计算机可读介质及设备，用于解决现有技术中存在的问题。

为实现上述目的及其他相关目的，本发明提供一种远程密钥注入方法，包括以下步骤：

远程密钥管理系统接收来自支付接入设备的认证请求，并根据所述认证请求认证支付接入设备的公钥证书的合法性，并在合法性验证通过后，将所述远程密钥管理系统中的中心证书和对应的认证证书链响应给所述支付接入设备；

以及接收来自所述支付接入设备的远程注入密钥请求，并根据所述远程注入密钥请求向所述支付接入设备远程注入密钥。

可选地，所述远程注入密钥请求至少包括：第一会话特征码、密钥注入请求代码、支付接入设备关联信息和支付接入设备数字签名；

所述远程密钥管理系统接收所述远程注入密钥请求后，根据所述密钥注入请求代码和所述支付接入设备关联信息生成交换密钥以及密钥块内容，并根据预先生成的短暂性加密密钥对所述交换密钥进行加密，以及使用暂存的支付接入设备公钥对完成加密后的短暂性加密密钥进行加密，获取短暂性密钥密文；并按照与所述支付接入设备已建立网络连接的网络链路的报文格式，将第一会话特征码、短暂性密钥密文、密钥块头信息、密钥块内容和远程密钥管理系统数字签名响应给所述支付接入设备，进行远程注入密钥。