[发明专利]一种基于TR34规范的POS机远程密钥灌装协议的设计方法

权利要求书

1.一种基于TR34规范的POS机远程密钥灌装协议的设计方法，其特征在于，RKI中终端设备与服务器之间通过PKI技术实现双向身份认证，使用非对称加密与签名技术协商生成传输密钥Kn，并使用会话密钥Kn实现后续的密钥传输保护。

2.根据权利要求1所述的一种基于TR34规范的POS机远程密钥灌装协议的设计方法，其特征在于，RKI流程分为Init、KeyTransport、KeyLoading三个阶段；

Init阶段：将标准TR34协议规范中Bind阶段与KeyTransport阶段的第一步RT_KRD的生成流程进行整合；

KeyTransport阶段：KDH与KRD协商出核心的传输密钥，用于后续KeyLoading阶段的密钥下发；

KeyLoadingd阶段：KDH使用协商的传输密钥Kn加密后续需要下发的密钥，KRD使用相同的传输密钥Kn解密KDH下发密钥密文并安装，完成整个RKI流程。

3.根据权利要求2所述的一种基于TR34规范的POS机远程密钥灌装协议的设计方法，其特征在于，Init阶段：将标准TR34协议规范中Bind阶段与KeyTransport阶段的第一步RTKRD的生成流程进行整合；具体步骤如下：

S101：KRD发起RKI请求

KRD生成一个随机数R_KRD，使用KRD证书私钥签名后生成RT_KRD，联同KRD证书CT_KRD一起打包发送给KDH；

S102：KDH接收校验RKI请求

KDH校验CT_KRD证书，并使用CT_KRD证书校验RT_KRD签名，确认终端合法性；

S103：KDH保存KRD证书

KDH保存KRD证书至本地，用于后续KeyTransport阶段时校验KT_KRD签名；

S104：KDH生成RKI请求应答

KDH生成一个随机数R_KDH，使用KDH签名证书CT_{KDH_Auth}私钥签名后生成RT_KDH，联同KDH签名证书CT_{KDH_Auth}以及KDH加密证书CT_{KDH_Enc}一起打包发送给KRD；

S105：KRD校验KDH_Auth、KDH_Enc证书和RT_KDH签名

KRD校验KDH_Auth和KDH_Enc证书合法性，并使用CT_{KDH_Auth}证书校验RT_KDH签名；

S106：KRD保存R_KDH、KDH_Auth和KDH_Enc证书

KRD保存R_KDH、KDH_Auth和KDH_Enc证书至本地，用于后续KeyTransport阶段时生成KT_KRD报文。