本發明公開了一種RSA密鑰對和證書的注入方法、架構及系統，方法包括支付終端生成非對稱密鑰對，包括第一公鑰和第一私鑰；支付終端發起請求，并將請求與第一公鑰發送至密鑰管理系統；密鑰管理系統將請求發送至CA中心；CA中心根據請求生成RSA私鑰和證書，并通過安全鏈路發送至密鑰管理系統，證書中包括RSA公鑰；密鑰管理系統使用第一公鑰加密RSA私鑰和證書，并將加密后的數據發送至支付終端；支付終端使用第一私鑰解密加密后的數據，得到RSA私鑰和證書。本發明有效解決了支付終端自己產生RSA密鑰對效率低下的問題，通過借助非對稱密鑰技術，無需提前與CA中心共享秘密信息，減少了人工操作，節約了成本且保證安全。

技術領域

本發明涉及電子支付領域，尤其涉及一種RSA密鑰對和證書的注入方法、架構及系統。

背景技術

隨著電子支付產業的迅速發展，比如銀行卡支付、消費卡支付、行業卡支付以及其它借由網絡的電子支付技術，電子支付以其快捷方便的特點，越來越受到人們的歡迎。電子支付系統包括供消費者使用的終端設備以及支付平臺和密鑰管理等設備。為了確保消費的安全性，消費者通過專用的支付終端輸入消費信息(比如帳號密碼等)，然后由支付終端傳輸到支付平臺。

支付終端，以POS(Point of Sale，POS)為例，保護消費者賬戶安全的原理如下：POS終端能夠接受銀行卡信息，具有通訊功能，并接受柜員的指令完成金融交易信息和有關信息交換的設備，POS中對敏感信息處理的模塊稱為密碼鍵盤(PIN PAD)，對各種金融交易相關的密鑰進行安全存儲保護，以及對PIN進行加密保護的安全設備，持卡人的個人識別碼(Personal Identification Number，PIN)通過密碼鍵盤輸入。為防止PIN泄露或者被破解，以保護持卡人的財產安全，整個支付過程中對PIN必須進行加密保護，避免其以明文形式出現。為此，接受PIN輸入的POS終端需配備相應的密鑰管理體系。

POS終端中常用的密鑰管理體系有兩類，不論是分級的密鑰體系，主密鑰/工作密鑰(Master Key/Session Key，MK/SK)還是每筆交易衍生單鑰管理方法(Derived UniqueKey per Transaction，DUKPT)，都需要將一個初始密鑰(Initiail Key，IK)下載到終端，如何下載初始密鑰到終端，目前主流的方向是采用遠程密鑰下載方式，要求支付終端在出廠前預置非對稱RSA密鑰和證書，終端出廠后使用RSA密鑰和證書與KMS系統進行雙向認證，通過KMS安全下載終端主密鑰(TMK)?？紤]到終端的運算性能差異較大，而當前標準的RSA密鑰需要達到2048比特的安全強度，RSA密鑰對的生成速度一直是低性能終端的瓶頸。那么如何在生產階段安全高效地注入非對稱RSA密鑰和證書呢，目前通常有以下幾種方式：

方式一：將支付終端放到安全房內，物理連接硬件加密機(Hardware SecurityModule，HSM)注入密鑰對和證書；

方式二：由支付終端內部生成密鑰對，生成證書請求文件導出，請求認證中心(Certification Authority，CA)簽發證書。

方式三：支付終端和認證中心CA共享一個秘密信息，CA中心生成密鑰對和證書之后使用該秘密信息加密后傳遞給支付終端。

但上述方式存在以下缺點：

缺點1：證書的注入工作需要在一個高安全管控的安全機房內進行，通過人工方式集中注入，增加了安全房的構建及維護成本。

缺點2：終端性能差異較大，且對大多數終端來說，RSA密鑰對的生成時間隨機性大，最長時間可達到十幾分鐘左右，極大影響生產效率。

缺點3：為了在支付終端和認證中心預置一個共享秘密信息，通常采用人工方式，而且終端數量龐大，要保證該秘密信息每臺設備唯一，需要大量的人力資源開銷，且對該秘密進行的管控要達到極高的安全級別，否則一旦該秘密信息泄露，終端的私鑰也泄露了。

發明內容