一种终端主密钥tmk安全下载方法及系统的制作方法

一种终端主密钥tmk安全下载方法及系统的制作方法
【专利摘要】本发明公开一种终端主密钥TMK安全下载方法，包括步骤：支付终端产生传输密钥TK；供应商密钥管理系统对TK进行转加密后发送给支付终端；操作终端采集转加密后的TK，并将其传送给KMS系统；KMS系统与支付系统进行身份认证；认证通过后KMS系统通过操作终端将终端主密钥TMK发送给支付终端。本发明的有益效果为：本发明TK上传和TMK下载都通过操作终端进行，并且TMK下载是直接接续TK上传步骤之后，大大提高了TMK下载时间效率。
【专利说明】—种终端主密钥TMK安全下载方法及系统
【技术领域】
[0001]本发明涉及电子支付领域，尤其涉及一种终端主密钥TMK安全下载方法及系统。【背景技术】
[0002]银行卡(BANK Card)作为支付工具越来越普及，通常的银行卡支付系统包括销售点终端(Point Of Sale，POS)、POS收单系统(P0SP)、密码键盘(PIN PAD)和硬件加密机(Hardware and Security Module, HSM)。其中POS终端能够接受银行卡信息,具有通讯功能，并接受柜员的指令完成金融交易信息和有关信息交换的设备；P0S收单系统对POS终端进行集中管理，包括参数下载，密钥下载，接受、处理或转发POS终端的交易请求，并向POS终端回送交易结果信息，是集中管理和交易处理的系统；密码键盘(PIN PAD)是对各种金融交易相关的密钥进行安全存储保护，以及对PIN进行加密保护的安全设备；硬件加密机(HSM)是对传输数据进行加密的外围硬件设备，用于PIN的加密和解密、验证报文和文件来源的正确性以及存储密钥。个人标识码(Personal Identification Number, PIN),即个人密码，是在联机交易中识别持卡人身份合法性的数据信息，在计算机和网络系统中任何环节都不允许以明文的方式出现；终端主密钥(Terminal Master Key，TMK)，POS终端工作时，对工作密钥进行加密的主密钥，加密保存在系统数据库中；P0S终端广泛应用于银行卡支付场合，比如厂商购物、酒店住宿等，是一种不可或缺的现代化支付手段，已经融入人们生活的各种场合。银行卡，特别是借记卡，一般都由持卡人设置了 PIN，在进行支付过程中，POS终端除了上送银行卡的磁道信息等资料外，还要持卡人输入PIN供发卡银行验证持卡人的身份合法性，确保银行卡支付安全，保护持卡人的财产安全。为了防止PIN泄露或被破解，要求从终端到发卡银行整个信息交互过程中，全程对PIN进行安全加密保护，不允许在计算机网络系统的任何环节，PIN以明文的方式出现，因此目前接受输入PIN的POS终端都要求配备密钥管理体系。
[0003]POS终端的密钥体系分成二级:终端主密钥(TMK)和工作密钥(WK)。其中TMK对WK进行加密保护。每台POS终端拥有唯一的TMK，必须要有安全保护，保证只能写入设备并参与计算，不能读取；TMK是一个很关键的根密钥，如果TMK被截取，工作密钥就比较容易被破解，将严重威胁银行卡支付安全。所以能否安全下载TMK到POS终端，成为整个POS终端安全性的关键。
[0004]为了保证终端主密钥TMK安全的下载到POS终端中，终端主密钥TMK的下载必须控制在收单机构的管理中心的安全机房进行，因此必需要通过人工集中POS终端，并下载终端主密钥TMK。从而带来维护中心机房工作量大；设备出厂后需要运输到管理中心安全机房下载密钥才能部署到商户，运输成本上升；为了集中下装密钥，需要大量的人手和工作时间，维护成本大、维护周期长等问题。

【发明内容】

[0005]为解决上述技术问题，本发明采用的一个技术方案是:一种终端主密钥TMK安全下载方法，包括步骤:s1、支付终端产生传输密钥TK以及生成传输密钥密文；S2、支付终端上传传输密钥密文以及下载主密钥TMK ;其中步骤SI包括:S11、供应商密钥管理系统调用第一硬件加密机、KMS系统调用第二硬件加密机，分别在第一硬件加密机和第二硬件加密机中将供应商权限分量及KMS系统权限分量合成保护密钥PK和MAC密钥MAK，并且将所述保护密钥PK和MAC密钥MAK—并分别存储在第一硬件加密机和第二硬件加密机中；S12、供应商密钥管理系统调用第一硬件加密机产生公私钥对Pu_hsm、Pr_hsm,并将公钥Pu_hsm发送给支付终端；S13、支付终端调用密码键盘生成传输密钥TK，所述TK包括传输加密密钥TEK和传输认证密钥AUK ;S14、支付终端调用密码键盘使用公钥Pu_hsm加密TK，生成第一传输密钥密文Ctk_Pu，并将第一传输密钥密文Ctk_Pu发送给供应商密钥管理系统；S15、供应商密钥管理系统调用第一硬件加密机使用私钥Pr_hsm解密第一传输密钥密文Ctk_Pu获得传输密钥TK ;S16、供应商密钥管理系统调用第一硬件加密机使用保护密钥PK加密传输密钥TK并使用MAC密钥MAK计算MAC值，生成第二传输密钥密文Ctk_pk，并将第二传输密钥密文Ctk_pk发送给支付终端；其中步骤S2包括:S21、操作终端采集支付终端的第二传输密钥密文Ctk_pk ;S22、操作终端与KMS系统之间通过CA中心进行身份认证，认证通过后，将第二传输密钥密文Ctk_pk发送给KMS系统；S23、KMS系统调用第二硬件加密机使用MAC密钥MAK对查询到的第二传输密钥密文Ctk_pk校验MAC合法性，如果校验通过，使用保护密钥PK解密第二传输密钥密文Ctk_pk获得传输密钥TK并将其存储在所述第二硬件加密机中；S24、KMS系统获得传输密钥TK后调用第二硬件加密机使用认证密钥AUK与支付终端进行双向认证；S25、如果认证通过，KMS系统调用第二硬件加密机使用传输加密密钥TEK加密终端主密钥TMK生成主密钥密文Ctmk并将主密钥密文Ctmk发送至支付终端；S26、支付终端调用密码键盘使用传输加密密钥TEK解密主密钥密文Ctmk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。
[0006]本发明提供的另一技术方案是:
[0007]一种终端主密钥TMK安全下载系统，包括第一硬件加密机、第二硬件加密机、供应商密钥管理系统、支付终端、CA中心、操作终端以及KMS系统；所述供应商密钥管理系统包括协商密钥A模块、公钥产生模块、转加密模块，支付终端包括TK产生模块、双向认证A模土夹、TMK接收模块，操作终端包括TK采集模块、TK上传模块、CA认证A模块，KMS系统包括协商密钥B模块、TK接收模块、CA认证B模块、双向认证B模块、TMK发送模块；协商密钥A模块与协商密钥B模块用于调用第一硬件加密机和第二硬件加密机，分别在第一硬件加密机和第二硬件加密机中将供应商权限分量及KMS系统权限分量合成保护密钥PK和MAC密钥MAK，并且将所述保护密钥PK和MAC密钥MAK —并分别存储在第一硬件加密机和第二硬件加密机中；公钥产生模块用于调用第一硬件加密机产生公私钥对Pu_hsm、Pr_hsm，并将公钥Pu_hsm发送给支付终端；TK产生模块用于调用密码键盘生成传输密钥ΤΚ，所述TK包括传输加密密钥TEK和传输认证密钥AUK ；ΤΚ产生模块还用于调用密码键盘使用公钥Pu_hsm加密TK，生成第一传输密钥密文Ctk_Pu，并将第一传输密钥密文Ctk_Pu发送给供应商密钥管理系统；转加密模块用于调用第一硬件加密机使用私钥Pr_hsm解密第一传输密钥密文Ctk_Pu获得传输密钥TK ;转加密模块还用于调用第一硬件加密机使用保护密钥PK加密传输密钥TK并使用MAC密钥MAK计算MAC值，生成第二传输密钥密文Ctk_pk，并将第二传输密钥密文Ctk_pk发送给支付终端；TK采集模块用于采集支付终端的第二传输密钥密文Ctk_pk ；CA认证A模块与CA认证B模块用于操作终端与KMS系统之间通过CA中心进行身份认证；TK上传模块用于当认证通过后，将第二传输密钥密文Ctk_pk发送给KMS系统；TK接收模块用于调用第二硬件加密机使用MAC密钥MAK对查询到的第二传输密钥密文Ctk_pk校验MAC合法性，还用于当校验通过时，使用保护密钥PK解密第二传输密钥密文Ctk_pk获得传输密钥TK并将其存储在所述第二硬件加密机中；双向认证A模块与双向认证B模块用于当KMS系统获得传输密钥TK后，调用第二硬件加密机使用认证密钥AUK与支付终端进行双向认证；TMK发送模块用于当KMS系统与支付终端认证通过后，调用第二硬件加密机使用传输加密密钥TEK加密终端主密钥TMK生成主密钥密文Ctmk并将主密钥密文Ctmk发送至支付终端；TMK接收模块用于调用密码键盘使用传输加密密钥TEK解密主密钥密文Ctmk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。
[0008]本发明的有益效果为:本发明通过支付终端上传传输密钥TK，由传输密钥对TMK进行加密传输，实现支付终端远程下载终端主密钥TMK，其中，TK包括传输加密密钥TEK和传输认证密钥AUK，支付终端与KMS系统先经过认证密钥AUK进行双向身份认证，认证通过后用非对称传输加密密钥TEK加密终端主密钥TMK进行传输，提高了 TMK的传输下载安全。进一步地，所述主密钥TMK下载和传输密钥TK上传是一并进行的，且都是通过操作终端进行的，因此大大提高了 TMK下载的时间效率。同时在支付终端出厂投放给商户之前就可以统一通过操作终端进行主密钥TMK下载，由于操作终端与KMS系统之间通过CA中心进行过身份认证，且TMK是集中进行下载的，因此大大减小了主密钥TMK下载风险，并且商户拿到支付终端就可直接使用，大大方便了商户的使用。更进一步地，所述供应商密钥管理系统与KMS系统分别存储有保护密钥PK和MAC密钥MAK，支付终端产生的传输密钥TK由供应商密钥管理系统的保护密钥PK和MAC密钥MAK加密后进行上传，因此操作终端无需对TK进行进一步地转加密，大大简化了 TK上传过程中的加密处理，在保证TK安全传输的前提下提高了 TK上传的时间效率。
【专利附图】

【附图说明】
[0009]图1为本发明一实施方式中一种终端主密钥TMK安全下载系统的结构框图；
[0010]图2为图1中双向认证A模块的结构框图；
[0011]图3为图1中双向认证B模块的结构框图；
[0012]图4为本发明一实施方式一种终端主密钥TMK安全下载方法的方法流程图；
[0013]图5为图4中的步骤SI的具体步骤流程图；
[0014]图6为图4中的步骤S2的具体步骤流程图。
[0015]主要元件符号说明:
[0016]10:支付终端；20:操作终端；30 =KMS系统；40:供应商密钥管理系统；50:CA中心；60:第一硬件加密机；70:第二硬件加密机；101:TK产生模块；102:TMK接收模块；103:双向认证A模块；201:TK上传模块；202:ΤΚ采集模块；203:CA认证A模块；301:协商密钥B模块；302:TK接收模块；303:CA认证B模块；304:双向认证B模块；305 =TMK发送模块；401:协商密钥A模块；402:转加密模块；403:公钥产生模块；501:证书预置模块；
【具体实施方式】[0017]为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。
[0018]首先，对本发明涉及的缩略语和关键术语进行定义和说明:
[0019]HSM_VEND0R:供应商硬件加密机；
[0020]AUK Authentication Key的简称，即认证密钥，用于PINPAD与密钥管理系统KMS之间的双向认证；
[0021]CA 中心:所谓 CA (Certificate Authority)中心，它是米用 PKI (Public KeyInfrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构；
[0022]HSM:High Security Machine的简称,高安全设备,在该系统中为硬件加密机；
[0023]KMS系统:Key Management System,密钥管理系统，用于管理终端主密钥TMK ；
[0024]MAK:Mac Key的简称，即MAC计算密钥，与客户协商确定24字节对称密钥，用于MTMS系统与KMS系统之间TK的MAC值计算；
[0025]MTMS:全称 Material Tracking Management System,物料追溯管理系统，主要在工厂生产时使用；
[0026]PIK:Pin Key的简称，即Pin加密密钥，是工作密钥的一种；
[0027]PINPAD:密码键盘；
[0028]PK =Protect Key的简称，即保护密钥，与客户协商确定，24字节对称密钥。用于MTMS/TCS与KMS之间TK的加密传输；
[0029]POS =Point Of Sale的简称，即销售终端
[0030]SNpinpad:密码键盘的序列号，PINPAD是内置时，和POS终端序列号SNpos —致；
[0031]SN:P0S终端的序列号；
[0032]TEK transmission Encrypt Key的简称，即传输加密密钥，24字节对称密钥，用于PINPAD与密钥管理系统KMS之间TMK的加密传输；
[0033]TK transmission Key的简称，即传输密钥。传输密钥是由传输加密密钥TEK和双向认证密钥AUK组成的；
[0034]TMS:Terminal Management System的简称，即终端管理系统,用于完成POS终端信息管理、软件与参数配置、远程下载、终端运行状态信息收集管理、远程诊断等功能；
[0035]TMK terminal Master Key的简称，即终端主密钥，用于POS终端和支付收单系统之间工作密钥的加密传输；
[0036]安全房:具有较高安全级别，用于存放服务器的房间，该房间需要身份认证后才能进去。
[0037]智能IC卡:为CPU卡，卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPR0M、随机存储器RAM和固化在只读存储器ROM中的卡内操作系统C0S(Chip OperatingSystem)，卡中数据分为外部读取和内部处理部分。
[0038]对称密钥:发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括:DES、3DES、IDEA、FEAL, BLOffFISH等。
[0039]非对称密钥:非对称加密算法需要两个密钥:公开密钥(私钥Public key)和私有密钥(公钥Private key)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方可以使用乙方的公钥对机密信息进行加密后再发送给乙方；乙方再用自己的私匙对加密后的信息进行解密。主要算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC (椭圆曲线加密算法)。
[0040]RSA: —种非对称密钥算法。RSA公钥加密算法是1977年由Ron Rivest, AdiShamirh和Len Adleman在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易。RSA算法是第一个能同时用于加密和数字签名的算法，也易于理解和操作。RSA是被研究得最广泛的公钥算法，从提出到现在的三十多年里，经历了各种攻击的考验，逐渐为人们接受，普遍认为是目前最优秀的公钥方案之一。
[0041]TDES Triple-DES:DES是一种对称加密算法，密钥是8字节。TDES是基于DES的加密算法，其密钥是16字节或者24字节。TDES/3DES是英文TripleDES的缩语(即三重数据加密标准)，DES则是英文Data Encryption Standard (数加密标准)的缩语。DES是一种对称密钥加密算法，即数据加密密钥与解密密钥相同的加密算法。DES由IBM公司在20世纪70年代开发并公开，随后为美国政府采用，并被美国国家标准局和美国国家标准协会(ANSI)承认。TDES/3DES是DES加密算法的一种模式，它使用3条64位的密钥对数据进行三次加密。是DES的一个更安全的变形。
[0042]为解决【背景技术】中存在的技术问题，本发明采用一种新的主密钥下载方案，通过POS终端随机产生TK (Transmission Key,传输密钥)，将产生后的TK保存于POS终端的密码键盘中，并将TK通过各种应用场景下所需的传输方式传送至KMS (Key ManagementSystem,密钥管理系统，用于管理终端主密钥TMK)中。
[0043]当POS终端申请下载终端主密钥TMK时，KMS系统使用TK加密终端主密钥TMK，并将加密后的终端主密钥密文发送给POS终端，POS终端接收后用TK对主密钥密文进行解密，得到终端主密钥TMK，并将终端主密钥TMK保存在密码键盘里。
[0044]如此，通过TK加密终端主密钥TMK，使TMK能够进行远程传输，方便TMK的安全下载。
[0045]上述通过POS终端采集传输密钥TK后发送至银行端对TMK进行加密，再通过POS终端远程下载经TK加密后的TMK的方法可以实现TMK的远程下载。但是，上述TMK下载方法TMK下载与TK上传是分开进行的，一般情况下是POS终端在生产厂家时产生并上传TK，等POS终端发放到各商户后再进行TMK下载，因此TMK的下载是零散进行的，时间效率低、KMS系统的工作量大，并且POS终端投放到各商户后再进行TMK下载不确定因素较多，TMK的下载风险更高。因此需要一种时间效率更高、下载更为安全的终端主密钥TMK安全下载方法。
[0046]下面就对本发明克服上述问题的技术方案进行详细说明。[0047]请参阅图1，为本发明一实施方式一种终端主密钥TMK安全下载系统的结构框图，该系统包括第一硬件加密机60、第二硬件加密机70、供应商密钥管理系统40、支付终端10、CA中心50、操作终端20以及KMS系统30 ;所述供应商密钥管理系统40包括协商密钥A模块401、公钥产生模块403、转加密模块402，支付终端10包括TK产生模块101、双向认证A模块103、TMK接收模块102，操作终端20包括TK采集模块202、TK上传模块201、CA认证A模块203，KMS系统30包括协商密钥B模块301、TK接收模块302、CA认证B模块303、双向认证B模块304、TMK发送模块305。
[0048]协商密钥A模块401与协商密钥B模块301用于调用第一硬件加密机60和第二硬件加密机70，分别在第一硬件加密机60和第二硬件加密机70中将供应商权限分量及KMS系统权限分量合成保护密钥PK和MAC密钥MAK，并且将所述保护密钥PK和MAC密钥MAK —并分别存储在第一硬件加密机60和第二硬件加密机70中；
[0049]公钥产生模块403用于调用第一硬件加密机60产生公私钥对Pu_hsm、Pr_hsm，并将公钥Pu_hsm发送给支付终端10 ；
[0050]TK产生模块101用于调用密码键盘生成传输密钥TK，所述TK包括传输加密密钥TEK和传输认证密钥AUK ；
[0051]TK产生模块101还用于调用密码键盘使用公钥Pu_hsm加密TK，生成第一传输密钥密文Ctk_Pu，并将第一传输密钥密文Ctk_Pu发送给供应商密钥管理系统40 ；
[0052]转加密模块402用于调用第一硬件加密机60使用私钥Pr_hsm解密第一传输密钥密文Ctk_Pu获得传输密钥TK ；
[0053]转加密模块402还用于调用第一硬件加密机60使用保护密钥PK加密传输密钥TK并使用MAC密钥MAK计算MAC值，生成第二传输密钥密文Ctk_pk，并将第二传输密钥密文Ctk_pk发送给支付终端10 ；
[0054]TK采集模块202用于采集支付终端的第二传输密钥密文Ctk_pk ；
[0055]CA认证A模块203与CA认证B模块304用于操作终端20与KMS系统30之间通过CA中心50进行身份认证；TK上传模块201用于当认证通过后，将第二传输密钥密文Ctk_pk发送给KMS系统30 ;
[0056]TK接收模块302用于调用第二硬件加密机70使用MAC密钥MAK对查询到的第二传输密钥密文Ctk_pk校验MAC合法性，还用于当校验通过时，使用保护密钥PK解密第二传输密钥密文Ctk_pk获得传输密钥TK并将其存储在所述第二硬件加密机70中；
[0057]双向认证A模块103与双向认证B模块304用于当KMS系统30获得传输密钥TK后，调用第二硬件加密机70使用认证密钥AUK与支付终端进行双向认证；
[0058]TMK发送模块305用于当KMS系统30与支付终端10认证通过后，调用第二硬件加密机70使用传输加密密钥TEK加密终端主密钥TMK生成主密钥密文Ctmk并将主密钥密文Ctmk发送至支付终端10 ；
[0059]TMK接收模块102用于调用密码键盘使用传输加密密钥TEK解密主密钥密文Ctmk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。
[0060]其中，所述CA认证A模块包括第一随机数产生单元、第一数据收发单元、第一加解密单元、第一判断单元，CA认证B模块包括第二随机数产生单元、第二数据收发单元、第二加解密单元、第二判断单元，CA中心包括证书预置模块。[0061]证书预置模块用于调用操作终端生成公私钥对Pu_optm和Pr_optm，并将公钥Pu_optm和操作终端标识信息向发给CA中心，CA中心生成根证书AuthRCRT_optm和对应私钥OptmWCRT_Prk，以及用于将接收到的公钥Pu_optm和操作终端标识信息使用私钥OptmWCRT_Prk签名生成数字证书OptmWCRT，以及用于数字证书OptmWCRT以及私钥OptmffCRT_Prk存储在操作终端中，将根证书AuthRCRT_optm存储在KMS系统；
[0062]证书预置模块用于调用第二硬件加密机产生公私钥对Pr_kms和Pu_kms,并将公钥Pu_kms和KMS标识信息发给CA中心，CA中心生成根证书AuthRCRT_kms和对应私钥ServerWCRT_Prk，以及用于将接收到的公钥Pu_kms和KMS系统标识信息使用私钥ServerWCRT_Prk签名生成数字证书ServerWCRT，以及用于将数字证书ServerWCRT以及对应私钥ServerWCRT_Prk存储在KMS系统，将根证书AuthRCRT_kms存储在操作终端；
[0063]第二数据收发单元用于将数字证书ServerWCRT发送给操作终端；
[0064]第一判断单元用于使用根证书AuthRCRT_kms验证数字证书ServerWCRT的合法性；第一随机数产生单元用于当所述数字证书ServerWCRT验证通过后，生成第一随机数AT1，并用于将第一随机数ATl发送给KMS系统；
[0065]第二加解密单元用于使用私钥ServerWCRT_Prk签名第一随机数ATl生成第一随机数密文Signl，并将第一随机数密文Signl发送给操作终端；
[0066]第一判断单元用于使用数字证书ServerWCRT验证第一随机数密文Signl的合法性，第一数据收发单元用于当第一随机数密文Signl验证通过后,将数字证书OptmWCRT发送给KMS系统；
[0067]第二判断单元用于使用根证书AuthRCRT_optm验证数字证书OptmWCRT的合法性，第二随机数产生单元用于当数字证书OptmWCRT验证通过后，生成第二随机数AT2，并将第二随机数发送给操作终端；
[0068]第一加解密单元用于使用私钥OptmWCRT_Prk加密第二随机数AT2生成第二随机密文Sign2，并将第二随机密文Sign2发送给KMS系统；
[0069]第二判断单元用于使用数字证书OptmWCRT验证第二随机密文Sign2的合法性，验证通过后，KMS系统与操作终端认证通过。
[0070]请参阅图2和图3，其中，图2为所述双向认证A模块103的结构框图，图3为所述双向认证B模块304的结构框图，所述双向认证A模块103包括第三随机数产生单元、第三数据收发单元、第三加解密单元以及第三判断单元，所述双向认证B模块包括第四随机数产生单元、第四数据收发单元、第四加解密单元以及第四判断单元；
[0071]第三随机数产生单元用于产生第三随机数AT3 ;第三数据收发单元用于将产生的第三随机数AT3发送至KMS系统；第四数据收发单元用于接收第三随机数AT3 ;第四随机数产生单元用于在接收到第三随机数AT3时，产生第四随机数AT4 ;第四加解密单元用于在接收到第三随机数AT3时，调用第四硬件加密机使用传输认证密钥AUK加密第三随机数AT3获得第三随机数密文Sign3 ;第四数据收发单元用于将第三随机数密文Sign3和第四随机数AT4发送给支付终端；
[0072]第三加解密单元用于在接收到第三随机数密文Sign3和第四随机数AT4时，使用传输认证密钥AUK解密接收到的第三随机数密文Sign3获得第五随机数AT3’ ；第三判断单元用于判断第五随机数AT3’与第三随机数AT3是否一致；[0073]第三加解密单元用于当第五随机数AT3’与第三随机数AT3—致时，使用传输认证密钥AUK加密第四随机数AT4生成第四随机数密文Sign4 ;第三数据收发单元用于将第四随机数密文Sign4发送给KMS系统；
[0074]第四加解密单元用于在接收到第四随机数密文Sign4时，调用第二硬件加密机使用传输认证密钥AUK解密接收到的第四随机数密文Sign4获得第六随机数AT4’，第四判断单元用于判断第六随机数AT4’与第四随机数AT4是否一致，并当判定第六随机数AT4’与第四随机数AT4 —致时，确认KMS系统与支付终端之间的双向认证通过。
[0075]其中，所述操作终端还包括有操作员卡和管理员卡；
[0076]所述CA中心的证书预置模块还用于产生操作员卡证书和管理员卡证书，并用于将操作员卡证书存储在操作员卡里以及将管理员卡证书存储在管理卡里；
[0077]所述操作员卡和管理员卡用于当操作终端读取插在操作终端上的操作员卡和管理员卡，通过CA中心对操作员证书和管理员证书进行合法性认证通过时,授权对操作终端进行操作。
[0078]其中，所述支付终端为POS终端、手机终端、智能IC卡、或ATM机终端。
[0079]请参阅图4，为本发明一实施方式中一种终端主密钥TMK安全下载方法，该方法包括步骤:
[0080]S1、支付终端产生传输密钥TK以及生成传输密钥密文；
[0081]S2、支付终端上传传输密钥密文以及下载主密钥TMK ；
[0082]请参阅图5，为图4中步骤SI的具体步骤流程图，其中，步骤SI包括:
[0083]SI 1、供应商密钥管理系统调用第一硬件加密机、KMS系统调用第二硬件加密机，分别在第一硬件加密机和第二硬件加密机中将供应商权限分量及KMS系统权限分量合成保护密钥PK和MAC密钥MAK，并且将所述保护密钥PK和MAC密钥MAK —并分别存储在第一硬件加密机和第二硬件加密机中；
[0084]S12、供应商密钥管理系统调用第一硬件加密机产生公私钥对Pu_hsm、Pr_hsm,并将公钥Pu_hsm发送给支付终端；
[0085]S13、支付终端调用密码键盘生成传输密钥TK，所述TK包括传输加密密钥TEK和传输认证密钥AUK ；
[0086]S14、支付终端调用密码键盘使用公钥Pu_hsm加密TK，生成第一传输密钥密文Ctk_Pu,并将第一传输密钥密文Ctk_Pu发送给供应商密钥管理系统；
[0087]S15、供应商密钥管理系统调用第一硬件加密机使用私钥Pr_hsm解密第一传输密钥密文Ctk_Pu获得传输密钥TK ；
[0088]S16、供应商密钥管理系统调用第一硬件加密机使用保护密钥PK加密传输密钥TK并使用MAC密钥MAK计算MAC值，生成第二传输密钥密文Ctk_pk，并将第二传输密钥密文Ctk_pk发送给支付终端；
[0089]请参阅图6，为图4中步骤S2的具体步骤流程图，其中，步骤S2包括:
[0090]S21、操作终端采集支付终端的第二传输密钥密文Ctk_pk ；
[0091]S22、操作终端与KMS系统之间通过CA中心进行身份认证，认证通过后，将第二传输密钥密文Ctk_pk发送给KMS系统；
[0092]S23、KMS系统调用第二硬件加密机使用MAC密钥MAK对查询到的第二传输密钥密文Ctk_pk校验MAC合法性，如果校验通过，使用保护密钥PK解密第二传输密钥密文Ctk_pk获得传输密钥TK并将其存储在所述第二硬件加密机中；
[0093]S24、KMS系统获得传输密钥TK后调用第二硬件加密机使用认证密钥AUK与支付终端进行双向认证；
[0094]S25、如果认证通过，KMS系统调用第二硬件加密机使用传输加密密钥TEK加密终端主密钥TMK生成主密钥密文Ctmk并将主密钥密文Ctmk发送至支付终端；
[0095]S26、支付终端调用密码键盘使用传输加密密钥TEK解密主密钥密文Ctmk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。
[0096]其中，所述步骤S22具体为:
[0097]操作终端生成公私钥对Pu_optm和Pr_optm,将公钥Pu_optm和操作终端标识信息发给CA中心，CA中心生成根证书AuthRCRT_optm和对应私钥OptmWCRT_Prk，并将接收到的公钥Pu_optm和操作终端标识信息使用私钥OptmWCRT_Prk签名生成数字证书OptmWCRT，将数字证书OptmWCRT以及私钥OptmWCRT_Prk存储在操作终端中，将根证书AuthRCRT_optm存储在KMS系统；
[0098]KMS系统调用第二硬件加密机产生公私钥对Pr_kms和Pu_kms，将公钥Pu_kms和KMS系统标识信息发给CA中心，CA中心生成根证书AuthRCRT_kms和对应私钥ServerWCRT_Prk,并将接收到的公钥Pu_kms和KMS系统标识信息使用私钥ServerWCRT_Prk签名生成数字证书ServerWCRT，将数字证书ServerWCRT以及对应私钥ServerWCRT_Prk存储在KMS系统，将根证书AuthRCRT_kms存储在操作终端；
[0099]KMS系统将数字证书ServerWCRT发送给操作终端；
[0100]操作终端使用根证书AuthRCRT_kms验证数字证书ServerWCRT的合法性,如果验证通过，操作终端生成第一随机数ATl，并将第一随机数ATl发送给KMS系统；
[0101]KMS系统使用私钥ServerWCRT_Prk签名第一随机数ATl生成第一随机数密文Signl,并将第一随机数密文Signl发送给操作终端；
[0102]操作终端使用数字证书ServerWCRT验证第一随机数密文Signl的合法性,验证通过后，将数字证书OptmWCRT发送给KMS系统；
[0103]KMS系统使用根证书AuthRCRT_optm验证数字证书OptmWCRT的合法性，验证通过后，生成第二随机数AT2，并将第二随机数AT2发送给操作终端；
[0104]操作终端使用私钥OptmWCRT_Prk加密第二随机数AT2生成第二随机密文Sign2，并将第二随机密文Sign2发送给KMS系统；
[0105]KMS系统使用数字证书OptmWCRT验证第二随机密文Sign2的合法性，验证通过后，KMS系统与操作终端认证通过。
[0106]其中，所述步骤S24具体包括:
[0107]支付终端产生第三随机数AT3并将第三随机数AT3发送至KMS系统；
[0108]KMS系统接收第三随机数AT3后产生第四随机数AT4，调用第二硬件加密机使用认证密钥AUK加密第三随机数AT3获得第三随机数密文Sign3，将第三随机数密文Sign3和第四随机数AT4发送给支付终端；
[0109]支付终端使用认证密钥AUK解密接收到的第三随机数密文Sign3获得第五随机数AT3’，判断第五随机数AT3’与第三随机数AT3是否一致:[0110]如果第五随机数AT3’与第三随机数AT3 —致，支付终端使用认证密钥AUK加密第四随机数AT4生成第四随机数密文Sign4，并将第四随机数密文Sign4发送给KMS系统；
[0111]KMS系统调用第二硬件加密机使用认证密钥AUK解密接收到的第四随机数密文Sign4获得第六随机数AT4’，判断第六随机数AT4’与第四随机数AT4是否一致；
[0112]如果第六随机数AT4’与第四随机数AT4 —致，KMS系统与支付终端认证通过。
[0113]其中，对所述操作终端的操作必需经过操作员卡和管理员卡授权，具体包括:
[0114]操作员卡和管理员卡分别产生公私钥对，并分别将公钥发给CA中心，生成操作员卡证书和管理员卡证书，并分别将操作员卡证书存储在操作员卡里将管理员卡证书存储在管理卡里；
[0115]将操作员卡和管理员卡插在操作终端上，通过CA认证后，允许对操作终端的操作。
[0116]其中，所述支付终端为POS终端、手机终端、智能IC卡或ATM机终端。
[0117]在本发明中，传输密钥TK产生时计算TK的原始希哈值，当每次存储、传输或使用TK时先校验TK的希哈值，当检验通过后才可以使用TK。通过校验TK的希哈值可以防止存储设备异常导致存储的数据错误，确定密钥是否正确。
[0118]本发明的有益效果为:本发明通过支付终端上传传输密钥TK，由传输密钥对TMK进行加密传输，实现支付终端远程下载终端主密钥TMK，其中，TK包括传输加密密钥TEK和传输认证密钥AUK，支付终端与KMS系统先经过认证密钥AUK进行双向身份认证，认证通过后用非对称传输加密密钥TEK加密终端主密钥TMK进行传输，提高了 TMK的传输下载安全。进一步地，本发明主密钥TMK是由KMS系统生成的，因此方便KMS系统对主密钥TMK的后续维护和管理。进一步地，所述主密钥TMK下载和传输密钥TK上传是一并进行的，且都是通过操作终端进行的，因此大大提高了 TMK下载的时间效率。同时在支付终端出厂投放给商户之前就可以统一通过操作终端进行主密钥TMK下载，由于操作终端与KMS系统之间通过CA中心进行过身份认证，且TMK是集中进行下载的，因此大大减小了主密钥TMK下载风险，并且商户拿到支付终端就可直接使用，大大方便了商户的使用。更进一步地，所述供应商密钥管理系统与KMS系统分别存储有保护密钥PK和MAC密钥MAK，支付终端产生的传输密钥TK由供应商密钥管理系统的保护密钥PK和MAC密钥MAK加密后进行上传，因此操作终端无需对TK进行进一步地转加密，大大简化了 TK上传过程中的加密处理，在保证TK安全传输的iu提下提闻了 τκ上传的时间效率。
[0119]在本发明中，操作终端上传TK前与KMS系统通过CA中心进行双方的身体认证，从而确保TK传送给正确的收单KMS系统，防止伪KMS系统窃取TK信息。
[0120]在本发明中，KMS系统在下发主密钥TMK前，通过认证密钥AUK进行双方的身份认证，有效防止伪支付终端窃取TMK，以及确保支付终端是从正确的KMS系统下载TMK。
[0121]在本发明中，所述操作终端还设置有操作员卡和管理员卡，只有在操作员卡和管理员卡均授权的情况下才能对操作终端进行操作，有效保证了上传的每一个TK的真实性和有效性。
[0122]以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的【技术领域】，均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种终端主密钥TMK安全下载方法，其特征在于，包括步骤: 51、支付终端产生传输密钥TK以及生成传输密钥密文； 52、支付终端上传传输密钥密文以及下载主密钥TMK； 其中步骤SI包括: 511、供应商密钥管理系统调用第一硬件加密机、KMS系统调用第二硬件加密机，分别在第一硬件加密机和第二硬件加密机中将供应商权限分量及KMS系统权限分量合成保护密钥PK和MAC密钥MAK，并且将所述保护密钥PK和MAC密钥MAK —并分别存储在第一硬件加密机和第二硬件加密机中； 512、供应商密钥管理系统调用第一硬件加密机产生公私钥对Pu_hsm、Pr_hsm,并将公钥Pu_hsm发送给支付终端； 513、支付终端调用密码键盘生成传输密钥TK，所述TK包括传输加密密钥TEK和传输认证密钥AUK ； 514、支付终端调用密码键盘使用公钥Pu_hsm加密TK，生成第一传输密钥密文Ctk_Pu，并将第一传输密钥密文Ctk_Pu发送给供应商密钥管理系统； 515、供应商密钥管理系统调用第一硬件加密机使用私钥Pr_hsm解密第一传输密钥密文Ctk_Pu获得传输密钥TK ； 516、供应商密钥 管理系统调用第一硬件加密机使用保护密钥PK加密传输密钥TK并使用MAC密钥MAK计算MAC值，生成第二传输密钥密文Ctk_pk，并将第二传输密钥密文Ctk_pk发送给支付终端； 其中步骤S2包括: 521、操作终端采集支付终端的第二传输密钥密文Ctk_pk； 522、操作终端与KMS系统之间通过CA中心进行身份认证，认证通过后，将第二传输密钥密文Ctk_pk发送给KMS系统； 523、KMS系统调用第二硬件加密机使用MAC密钥MAK对查询到的第二传输密钥密文Ctk_pk校验MAC合法性，如果校验通过，使用保护密钥PK解密第二传输密钥密文Ctk_pk获得传输密钥TK并将其存储在所述第二硬件加密机中； 524、KMS系统获得传输密钥TK后调用第二硬件加密机使用认证密钥AUK与支付终端进行双向认证； 525、如果认证通过，KMS系统调用第二硬件加密机使用传输加密密钥TEK加密终端主密钥TMK生成主密钥密文Ctmk并将主密钥密文Ctmk发送至支付终端； 526、支付终端调用密码键盘使用传输加密密钥TEK解密主密钥密文Ctmk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。
2.根据权利要求1所述的安全下载终端主密钥TMK方法，其特征在于，所述步骤S22具体为: 操作终端生成公私钥对Pu_optm和Pr_optm,将公钥Pu_optm和操作终端标识信息发给CA中心，CA中心生成根证书AuthRCRT_optm和对应私钥OptmWCRT_Prk，并将接收到的公钥Pu_optm和操作终端标识信息使用私钥OptmWCRT_Prk签名生成数字证书OptmWCRT，将数字证书OptmWCRT以及私钥OptmWCRT_Prk存储在操作终端中，将根证书AuthRCRT_optm存储在KMS系统；KMS系统调用第二硬件加密机产生公私钥对Pr_kms和Pu_kms，将公钥Pu_kms和KMS系统标识信息发给CA中心，CA中心生成根证书AuthRCRT_kms和对应私钥ServerWCRT_Prk，并将接收到的公钥Pu_kms和KMS系统标识信息使用私钥ServerWCRT_Prk签名生成数字证书ServerWCRT，将数字证书ServerWCRT以及对应私钥ServerWCRT_Prk存储在KMS系统，将根证书AuthRCRT_kms存储在操作终端； KMS系统将数字证书ServerWCRT发送给操作终端； 操作终端使用根证书AuthRCRT_kms验证数字证书ServerWCRT的合法性,如果验证通过，操作终端生成第一随机数ATl，并将第一随机数ATl发送给KMS系统； KMS系统使用私钥ServerWCRT_Prk签名第一随机数ATl生成第一随机数密文Signl，并将第一随机数密文Signl发送给操作终端； 操作终端使用数字证书ServerWCRT验证第一随机数密文Signl的合法性,验证通过后，将数字证书OptmWCRT发送给KMS系统； KMS系统使用根证书AuthRCRT_optm验证数字证书OptmWCRT的合法性，验证通过后，生成第二随机数AT2，并将第二随机数AT2发送给操作终端； 操作终端使用私钥OptmWCRT_Prk加密第二随机数AT2生成第二随机密文Sign2，并将第二随机密文Sign2发送给KMS系统； KMS系统使用数字证书OptmWCRT验证第二随机密文Sign2的合法性，验证通过后，KMS系统与操作终端认证通过。
3.根据权利要求1所述的终端主密钥TMK安全下载方法，其特征在于，所述步骤S24具体包括: 支付终端产生第三随机数AT3并将第三随机数AT3发送至KMS系统； KMS系统接收第三随机数AT3后产生第四随机数AT4，调用第二硬件加密机使用认证密钥AUK加密第三随机数AT3获得第三随机数密文Sign3，将第三随机数密文Sign3和第四随机数AT4发送给支付终端； 支付终端使用认证密钥AUK解密接收到的第三随机数密文Sign3获得第五随机数AT3’，判断第五随机数AT3’与第三随机数AT3是否一致: 如果第五随机数AT3’与第三随机数AT3 —致，支付终端使用认证密钥AUK加密第四随机数AT4生成第四随机数密文Sign4，并将第四随机数密文Sign4发送给KMS系统； KMS系统调用第二硬件加密机使用认证密钥AUK解密接收到的第四随机数密文Sign4获得第六随机数AT4’，判断第六随机数AT4’与第四随机数AT4是否一致； 如果第六随机数AT4’与第四随机数AT4 —致，KMS系统与支付终端认证通过。
4.根据权利要求1所述的终端主密钥TMK安全下载方法，其特征在于，对所述操作终端的操作必需经过操作员卡和管理员卡授权，具体包括: 操作员卡和管理员卡分别产生公私钥对，并分别将公钥发给CA中心，生成操作员卡证书和管理员卡证书,并分别将操作员卡证书存储在操作员卡里将管理员卡证书存储在管理卡里； 将操作员卡和管理员卡插在操作终端上，通过CA认证后，允许对操作终端的操作。
5.根据权利要求4所述的终端主密钥TMK安全下载方法，其特征在于，所述支付终端为POS终端、手机终端、智能IC卡或ATM机终端。
6.一种终端主密钥TMK安全下载系统，其特征在于，包括第一硬件加密机、第二硬件加密机、供应商密钥管理系统、支付终端、CA中心、操作终端以及KMS系统；所述供应商密钥管理系统包括协商密钥A模块、公钥产生模块、转加密模块， 支付终端包括TK产生模块、双向认证A模块、TMK接收模块， 操作终端包括TK采集模块、TK上传模块、CA认证A模块， KMS系统包括协商密钥B模块、TK接收模块、CA认证B模块、双向认证B模块、TMK发送模块； 协商密钥A模块与协商密钥B模块用于调用第一硬件加密机和第二硬件加密机，分别在第一硬件加密机和第二硬件加密机中将供应商权限分量及KMS系统权限分量合成保护密钥PK和MAC密钥MAK，并且将所述保护密钥PK和MAC密钥MAK —并分别存储在第一硬件加密机和第二硬件加密机中； 公钥产生模块用于调 用第一硬件加密机产生公私钥对Pu_hsm、Pr_hsm,并将公钥Pu_hsm发送给支付终端； TK产生模块用于调用密码键盘生成传输密钥TK，所述TK包括传输加密密钥TEK和传输认证密钥AUK ； TK产生模块还用于调用密码键盘使用公钥Pu_hsm加密TK，生成第一传输密钥密文Ctk_Pu,并将第一传输密钥密文Ctk_Pu发送给供应商密钥管理系统； 转加密模块用于调用第一硬件加密机使用私钥Pr_hsm解密第一传输密钥密文Ctk_Pu获得传输密钥TK ； 转加密模块还用于调用第一硬件加密机使用保护密钥PK加密传输密钥TK并使用MAC密钥MAK计算MAC值，生成第二传输密钥密文Ctk_pk，并将第二传输密钥密文Ctk_pk发送给支付终端； TK采集模块用于采集支付终端的第二传输密钥密文Ctk_pk ； CA认证A模块与CA认证B模块用于操作终端与KMS系统之间通过CA中心进行身份认证；TK上传模块用于当认证通过后，将第二传输密钥密文Ctk_pk发送给KMS系统； TK接收模块用于调用第二硬件加密机使用MAC密钥MAK对查询到的第二传输密钥密文Ctk_pk校验MAC合法性，还用于当校验通过时，使用保护密钥PK解密第二传输密钥密文Ctk_pk获得传输密钥TK并将其存储在所述第二硬件加密机中； 双向认证A模块与双向认证B模块用于当KMS系统获得传输密钥TK后，调用第二硬件加密机使用认证密钥AUK与支付终端进行双向认证； TMK发送模块用于当KMS系统与支付终端认证通过后，调用第二硬件加密机使用传输加密密钥TEK加密终端主密钥TMK生成主密钥密文Ctmk并将主密钥密文Ctmk发送至支付终端； TMK接收模块用于调用密码键盘使用传输加密密钥TEK解密主密钥密文Ctmk获得终端主密钥TMK并将终端主密钥TMK存储在密码键盘中。
7.根据权利要求6所述的终端主密钥TMK安全下载系统，其特征在于，所述CA认证A模块包括第一随机数产生单元、第一数据收发单元、第一加解密单元、第一判断单元， CA认证B模块包括第二随机数产生单元、第二数据收发单元、第二加解密单元、第二判断单元，CA中心包括证书预置模块； 证书预置模块用于调用操作终端生成公私钥对Pu_optm和Pr_optm，并将公钥Pu_optm和操作终端标识信息向发给CA中心，CA中心生成根证书AuthRCRT_optm和对应私钥OptmWCRT_Prk，以及用于将接收到的公钥Pu_optm和操作终端标识信息使用私钥OptmWCRT_Prk签名生成数字证书OptmWCRT，以及用于数字证书OptmWCRT以及私钥OptmffCRT_Prk存储在操作终端中，将根证书AuthRCRT_optm存储在KMS系统； 证书预置模块用于调用第二硬件加密机产生公私钥对Pr_kms和Pu_kms，并将公钥Pu_kms和KMS标识信息发给CA中心，CA中心生成根证书AuthRCRT_kms和对应私钥ServerWCRT_Prk，以及用于将接收到的公钥Pu_kms和KMS系统标识信息使用私钥ServerffCRT_Prk签名生成数字证书ServerWCRT，以及用于将数字证书ServerWCRT以及对应私钥ServerWCRT_Prk存储在KMS系统，将根证书AuthRCRT_kms存储在操作终端；第二数据收发单元用于将数字证书ServerWCRT发送给操作终端； 第一判断单元用于使用根证书AuthRCRT_kms验证数字证书ServerWCRT的合法性；第一随机数产生单元用于当所述数字证书ServerWCRT验证通过后，生成第一随机数AT1，并用于将第一随机数ATl发送给KMS系统； 第二加解密单元用于使用私钥ServerWCRT_Prk签名第一随机数ATl生成第一随机数密文Signl，并将第一随机数密文Signl发送给操作终端； 第一判断单元用于使用数字证书ServerWCRT验证第一随机数密文Signl的合法性，第一数据收发单元用于当第一随机数密文Signl验证通过后,将数字证书OptmWCRT发送给KMS系统； 第二判断单元用于使用根证书AuthRCRT_optm验证数字证书OptmWCRT的合法性,第二随机数产生单元用于当数字证书OptmWCRT验证通过后，生成第二随机数AT2，并将第二随机数发送给操作终端； 第一加解密单元用于使用私钥OptmWCRT_Prk加密第二随机数AT2生成第二随机密文Sign2，并将第二随机密文Sign2发送给KMS系统； 第二判断单元用于使用数字证书OptmWCRT验证第二随机密文Sign2的合法性,验证通过后，KMS系统与操作终端认证通过。
8.根据权利要求6所述的终端主密钥TMK安全下载系统，其特征在于，所述双向认证A模块包括第三随机数产生单元、第三数据收发单元、第三加解密单元以及第三判断单元，所述双向认证B模块包括第四随机数产生单元、第四数据收发单元、第四加解密单元以及第四判断单元； 第三随机数产生单元用于产生第三随机数AT3 ;第三数据收发单元用于将产生的第三随机数AT3发送至KMS系统；第四数据收发单元用于接收第三随机数AT3 ;第四随机数产生单元用于在接收到第三随机数AT3时，产生第四随机数AT4 ;第四加解密单元用于在接收到第三随机数AT3时，调用第四硬件加密机使用传输认证密钥AUK加密第三随机数AT3获得第三随机数密文Sign3 ;第四数据收发单元用于将第三随机数密文Sign3和第四随机数AT4发送给支付终端； 第三加解密单元用于在接收到第三随机数密文Sign3和第四随机数AT4时，使用传输认证密钥AUK解密接收到的第三随机数密文Sign3获得第五随机数AT3’ ；第三判断单元用于判断第五随机数AT3’与第三随机数AT3是否一致； 第三加解密单元用于当第五随机数AT3’与第三随机数AT3 —致时，使用传输认证密钥AUK加密第四随机数AT4生成第四随机数密文Sign4 ;第三数据收发单元用于将第四随机数密文Sign4发送给KMS系统； 第四加解密单元用于在接收到第四随机数密文Sign4时，调用第二硬件加密机使用传输认证密钥AUK解密接收到的第四随机数密文Sign4获得第六随机数AT4’，第四判断单元用于判断第六随机数AT4’与第四随机数AT4是否一致，并当判定第六随机数AT4’与第四随机数AT4 —致时，确认KMS系统与支付终端之间的双向认证通过。
9.根据权利要求6所述的终端主密钥TMK安全下载系统，其特征在于，所述操作终端还包括有操作员卡和管理员卡； 所述CA中心的证书预置模块还用于产生操作员卡证书和管理员卡证书，并用于将操作员卡证书存储在操作员卡里以及将管理员卡证书存储在管理卡里； 所述操作员卡和管理员卡用于当操作终端读取插在操作终端上的操作员卡和管理员卡，通过CA中心对操作员证书和管理员证书进行合法性认证通过时，授权对操作终端进行操作。
10.根据权利要求6至9所述的终端主密钥TMK安全下载系统，其特征在于，所述支付终$而为POS终％5、手`机终、智能IC卡、或ATM机终2而。
【文档编号】H04L9/08GK103731259SQ201310740642
【公开日】2014年4月16日 申请日期:2013年12月27日 优先权日:2013年3月15日
【发明者】苏文龙, 孟陆强 申请人:福建联迪商用设备有限公司