本發(fā)明實施例公開了一種終端主密鑰的在線管理方法及系統(tǒng)，所述方法包括：將終端在密鑰管理后臺中注冊；密鑰管理后臺響應密鑰申請向終端分發(fā)公鑰；終端生成加密密鑰，并使用公鑰加密獲得加密密鑰密文；密鑰管理后臺使用私鑰解密加密密鑰密文獲得加密密鑰并存儲；密鑰管理后臺使用加密密鑰對稱加密終端主密鑰獲得主密鑰密文；終端使用加密密鑰解密主密鑰密文獲得終端主密鑰并存儲。采用在線獲取終端主密鑰的方式，有效減少人力投入，且無需采用離線安全設備，大大降低了人力資源成本和設備采購成本，通過非對稱加密方式以及生成加密密鑰隨機數(shù)的方式，有效的增強了主密鑰管理過程中的安全性。

技術領域

本發(fā)明實施例涉及信息安全技術領域，具體涉及一種終端主密鑰在線管理方法及系統(tǒng)。

背景技術

眾所周知，銀行廣泛使用各種類型的終端設備來完成金融交易，例如柜臺密碼鍵盤、POS、ATM等，每臺終端內都存放了一定數(shù)量的終端密鑰，終端密鑰主要用于保護客戶密碼等敏感信息以及數(shù)據(jù)傳輸?shù)陌踩裕ㄟ^主密鑰/工作密鑰體系來實現(xiàn)，工作密鑰也稱為數(shù)據(jù)密鑰，主要是用于加密傳輸數(shù)據(jù)，包括PIN密鑰(TerminalPIN encryptionKey，TPK，用于加密個人銀行卡密碼PIN)、MAC密鑰(TerminalAdministrative Key，TAK，用于計算校驗信息認證代碼MAC)等，需要經(jīng)常性的定期更換，終端主密鑰(Zone MasterKey，ZMK)位于工作密鑰的上層，主要是用于加密下一層次的工作密鑰，保證工作密鑰在傳輸線路上的安全性。隨著各種終端設備數(shù)量的急速增長，終端密鑰的安全性管理問題日益突出，如何高效的對大量的終端密鑰進行一機一密安全管理，成為很多銀行急待解決的問題。

目前終端主密鑰的獲取主要采用兩種通用的做法：(1)在終端設備出廠時使用統(tǒng)一的出廠密鑰，在終端接入銀行密鑰系統(tǒng)進行初始化時再下載更新主密鑰，此種方式存在主密鑰泄露的安全風險；(2)在終端設備接入銀行密鑰系統(tǒng)前，采用安全設備從密鑰系統(tǒng)中獲取主密鑰然后再通過線下的方式注入到終端中，但此方式大大增加了人工成本以及安全設備的投入成本。

發(fā)明內容

為此，本發(fā)明實施例提供一種終端主密鑰的在線管理方法及系統(tǒng)，以解決現(xiàn)有的終端主密鑰獲取方式存在的安全風險高、人工以及設備投入成本高的問題。

為了實現(xiàn)上述目的，本發(fā)明實施例提供如下技術方案：

根據(jù)本發(fā)明實施例的第一方面，提出了一種終端主密鑰的在線管理方法，所述方法包括：

使用終端的唯一標識信息將所述終端在密鑰管理后臺中進行注冊，所述密鑰管理后臺中存儲有非對稱加密的公鑰和私鑰對；

所述終端向密鑰管理后臺發(fā)起在線密鑰申請，密鑰管理后臺響應所述密鑰申請向所述終端分發(fā)預存儲的公鑰，所述終端接收所述公鑰并進行存儲；

所述終端生成加密密鑰并存儲，并使用所述公鑰加密所述加密密鑰獲得加密密鑰密文；

所述終端將所述加密密鑰密文發(fā)送至密鑰管理后臺，密鑰管理后臺使用與所述公鑰匹配的私鑰解密所述加密密鑰密文獲得所述加密密鑰并存儲；

所述密鑰管理后臺生成并分發(fā)終端主密鑰，并使用所述加密密鑰對稱加密所述終端主密鑰獲得主密鑰密文；

所述密鑰管理平臺將所述主密鑰密文發(fā)送至所述終端，所述終端使用所述加密密鑰解密所述主密鑰密文獲得所述終端主密鑰并存儲。

進一步地，所述密鑰管理后臺中存儲非對稱加密的公鑰和私鑰對，還包括：

對所述公鑰和私鑰對進行定期更新。

進一步地，所述密鑰管理后臺中存儲非對稱加密的公鑰和私鑰對，還包括：

采用SM2非對稱加密算法獲得所述公鑰和私鑰對。

進一步地，所述使用所述加密密鑰對稱加密所述終端主密鑰獲得主密鑰密文，還包括：