技術領域

本發明涉及電子支付領域，尤其涉及一種設備端的密鑰管理方法及系統。

背景技術

銀行卡（BANK?Card）作為支付工具越來越普及，通常的銀行卡支付系統包括銷售點終端（Point?Of?Sale，POS）、POS收單系統（POSP）、密碼鍵盤（PIN?PAD）和硬件加密機（Hardware?and?Security?Module，HSM）。其中POS終端能夠接受銀行卡信息，具有通訊功能，并接受柜員的指令完成金融交易信息和有關信息交換的設備；POS收單系統對POS終端進行集中管理，包括參數下載，密鑰下載，接受、處理或轉發POS終端的交易請求，并向POS終端回送交易結果信息，是集中管理和交易處理的系統；密碼鍵盤（PIN?PAD）是對各種金融交易相關的密鑰進行安全存儲保護，以及對PIN進行加密保護的安全設備；硬件加密機（HSM）是對傳輸數據進行加密的外圍硬件設備，用于PIN的加密和解密、驗證報文和文件來源的正確性以及存儲密鑰。個人標識碼（Personal?Identification?Number，PIN），即個人密碼，是在聯機交易中識別持卡人身份合法性的數據信息，在計算機和網絡系統中任何環節都不允許以明文的方式出現；終端主密鑰（Terminal?Master?Key，TMK），POS終端工作時，對工作密鑰進行加密的主密鑰，加密保存在系統數據庫中；POS終端廣泛應用于銀行卡支付場合，比如廠商購物、酒店住宿等，是一種不可或缺的現代化支付手段，已經融入人們生活的各種場合。銀行卡，特別是借記卡，一般都由持卡人設置了PIN，在進行支付過程中，POS終端除了上送銀行卡的磁道信息等資料外，還要持卡人輸入PIN供發卡銀行驗證持卡人的身份合法性，確保銀行卡支付安全，保護持卡人的財產安全。為了防止PIN泄露或被破解，要求從終端到發卡銀行整個信息交互過程中，全程對PIN進行安全加密保護，不允許在計算機網絡系統的任何環節，PIN以明文的方式出現，因此目前接受輸入PIN的POS終端都要求配備密鑰管理體系。

POS終端的密鑰體系分成二級：終端主密鑰（TMK）和工作密鑰（WK）。其中TMK在WK更新過程中，對WK進行加密保護。每臺POS終端與POS之間共享唯一的TMK，必須要有安全保護，保證只能寫入設備并參與計算，不能讀取；TMK是一個很關鍵的根密鑰，如果TMK被截取，工作密鑰就比較容易被破解，將嚴重威脅銀行卡支付安全。所以能否安全下載TMK到POS終端，成為整個POS終端安全性的關鍵。下面歸納現有的TMK下載方案如下：

1、密鑰母POS方案：用戶在POS收單系統硬件加密機和密鑰母POS輸入一樣的傳輸加密密鑰。POS終端通過密鑰母POS向POS收單系統發起終端主密鑰下載請求，POS收單系統驅動硬件加密機隨機生成終端主密鑰，并用傳輸加密密鑰加密傳輸給密鑰母POS，密鑰母POS用傳輸加密密鑰解密后再傳輸給POS終端，POS終端獲得終端主密鑰明文，保存到POS終端密碼鍵盤，從而實現POS終端和POS收單系統之間終端主密鑰的同步。

2、IC卡解密方案：用戶在POS收單系統硬件加密機和IC卡中注入一樣的傳輸加密密鑰。用戶將IC卡插入POS終端，POS終端向POS收單系統發起終端主密鑰下載請求，POS收單系統驅動硬件加密機隨機生成終端主密鑰，并用傳輸加密密鑰加密傳輸給POS終端，POS終端用IC卡中的傳輸加密密鑰解密終端主密鑰密文，獲得終端主密鑰明文，保存到POS終端密碼鍵盤，從而實現POS終端和POS收單系統之間終端主密鑰的同步。

上述兩種方案都有以下缺點：終端主密鑰明文出現在安全設備之外，為防范密鑰泄露風險，終端主密鑰的下載必須控制在管理中心的安全機房進行，通過人工集中下載終端主密鑰。從而帶來“維護中心機房工作量大；設備出廠后需要運輸到管理中心安全機房下載密鑰才能部署到商戶，運輸成本上升；為了集中下裝密鑰，需要大量的人手和工作時間，維護成本大、維護周期長”等問題。

目前也有一種遠程密鑰下載方案：該方案POS收單系統調用硬件加密機產生一對公私鑰，POS終端調用密碼鍵盤隨機生成主密鑰TMK，并用POS收單系統的公鑰進行加密后上傳給TMS，TMS調用硬件加密機并用私鑰解密TMK后存儲，用TMK加密工作密鑰下載給POS終端。該方案有以下缺點：POS收單系統對POS終端缺少身份鑒別，無法防止偽終端連接POS收單系統下載終端主密鑰；POS終端缺少對POS收單系統的身份鑒別，無法防止偽POS收單系統下載偽終端主密鑰。

發明內容

為解決上述技術問題，本發明采用的一個技術方案是：