技術領域

本發明涉及電子支付領域，尤其涉及一種安全下載終端主密鑰的方法及系統。

背景技術

銀行卡(Bank?Card)作為支付工具越來越普及，通常的銀行卡支付系統，包括銷售點終端(Point?Of?Sale：POS)，終端管理系統(Terminal?ManageSystem：TMS)，密碼鍵盤(PIN?PAD)和硬件加密機(Hardware?and?SecurityModule：HSM)。[0003]其中POS終端能夠接受銀行卡信息，具有通訊功能，并接受柜員的指令而完成金融交易信息和有關信息交換的設備；TMS系統對屬下的POS終端進行集中管理，包括參數下載，密鑰下載，接受、處理或轉發POS終端的交易請求，并向POS終端回送交易結果信息的集中管理及交易處理系統；密碼鍵盤(PIN?PAD)是對TMK、PIK和MAK進行安全存儲保護，以及對PIN進行加密保護的安全設備；硬件加密機(Hardware?and?SecurityModule：HSM)是對傳輸的數據進行加密的外圍硬件設備，用于PIN的加密和解密、驗證報文和文件來源的正確性以及存儲密鑰。個人標識碼(Personal?Identification?Number；PIN)，即個人密碼，是在聯機交易中識別持卡人身份合法性的數據信息，在計算機和網絡系統中任何環節都不允許PIN以明文的方式出現；終端主密鑰(Terminal?Master?Key；TMK)：POS終端工作時，對工作密鑰進行加密的主密鑰，保存在系統硬件中，只能使用，不能讀取；工作密鑰(workingkey；WK)，也稱為數據密鑰，通常包括PIN加密密鑰(簡稱PIK)和報文鑒別MAC計算的密鑰(簡稱MAK)，工作密鑰必須經常更新，在聯機更新的報文中用終端主密鑰(TMK)對工作密鑰進行加密，形成密文后再進行傳輸。

POS終端廣泛應用于銀行卡支付場合，比如商場購物、酒店授權等，是一種不可或缺的現代化支付手段，已經融入人們的正常生活。銀行卡(特別是借記卡)一般都由持卡人設置了PIN，在進行支付過程中，POS終端除了上送銀行卡的磁道信息等資料之外，還要求持卡人輸入PIN供發卡銀行驗證持卡人身份合法性，以確保銀行卡支付安全，保護持卡人的財產安全。為了防止PIN泄露或被破解，要求從終端到發卡銀行整個信息交互過程中，全程對PIN進行安全加密保護，不允許在計算機和網絡系統中的任何環節，PIN以明文的方式出現。為此，目前能接受輸入PIN的POS終端都要求配備密鑰管理體系。

POS終端的密鑰體系分成二級：終端主密鑰(TMK)和工作密鑰(WK)。其中TMK對WK進行加密保護，每臺POS終端擁有唯一的TMK，必須要有安全保護措施，保證只能寫入硬件設備并參與運算，不能被讀取；WK包括用于對PIN加密的PIK和進行報文鑒別(MAC)的MAK兩部分，均由TMS調用加密機產生，在POS終端向TMS簽到時下載，并利用TMK加密傳輸和存儲，其加密算法都是使用安全級別很高的3DES算法。具體工作密鑰下載流程：

POS終端向TMS發起簽到請求；

TMS調用加密機隨機生成用TMK加密的PIK和MAK；

POS終端接收從TMS返回的PIK和MAK密文，并存入密碼鍵盤。

在銀行卡支付過程中，通過鍵盤輸入時，由密碼鍵盤利用PIK對持卡人輸入的PIN進行加密之后上送給TMS，然后TMS再對加密后的PIN通過調用加密機進行轉換之后轉發給發卡銀行進行授權處理，整個傳輸過程中確保PIN都是利用硬件進行加密保護，其加密使用的3DES加密算法也是目前為止應用廣泛安全級別很高的加密算法之一，通常應用在金融行業。

從上面的工作密鑰下載過程中可以看出，TMK是一個很關鍵的根密鑰。如果TMK被截取，PIK、MAK甚至PIN都可以利用3DES算法進行破解，將嚴重威脅銀行卡支付安全。所以，TMK能否安全下載到POS終端，也就成為一個密碼安全保護的關鍵步驟。下面我們把目前現有的TMK下載方法歸納如下：

以各種方式將明文TMK或密文TMK導入到一臺密鑰母POS終端上，最終都需要下載母POS終端上存儲明文主密鑰，密鑰母POS終端通過串口與需要下載的主密鑰TMK的POS終端相連，將明文主密鑰TMK下載到POS終端上。

由于主密鑰TMK通過母POS下載傳輸到POS終端上，是通過明文傳輸的，存在安全隱患，如果被中途截取，將造成主密鑰TMK的泄露。