一种支付终端与外设密码键盘的绑定方法与流程

1.本发明涉及支付终端与外设密码键盘绑定技术领域，尤其涉及一种支付终端与外设密码键盘的绑定方法。


背景技术：

2.在过往产品使用中，支付终端或自带输入pin功能，不外设密码键盘；或外设密码键盘，但使用场景为有人值守环境，终端和密码键盘之间没做软件上的一一绑定功能，多个终端和多个密码键盘之间可以交叉使用，但这种终端外设密码键盘如果在无人值守环境下使用，就存在银行卡及密码外泄的风险，严重影响消费者的用卡安全。


技术实现要素：

3.本发明的目的在于提供一种支付终端与外设密码键盘的绑定方法，从而解决现有技术中存在的前述问题。
4.为了实现上述目的，本发明采用的技术方案如下：
5.一种支付终端与外设密码键盘的绑定方法，包括如下步骤
6.s1、采用随机数密钥生成器产生绑定密钥；支付终端和外设密码键盘下载绑定密钥；
7.s2、在支付终端随机产生24字节的传输密钥，使用绑定密钥作为传输密钥的保护密钥，通过tr31算法运算获得传输密钥的keyblock；
8.s3、使用传输密钥的参数与传输密钥的keyblock组成数据包，并对数据包进行sha256运算得到checksum；
9.s4、将数据包和checksum一起灌入外设密码键盘；
10.s5、密码键盘对接收到的数据包进行sha256运算，并将计算结果与接收到的checksum进行比较，若两者一致，则进入步骤s6；若两者不一致，则向支付终端返回fail应答包，并进入步骤s7；
11.s6、再次使用绑定密钥作为传输密钥的保护密钥，对接收到的数据包中的keyblock进行tr31算法的逆运算，若逆运算失败，则向支付终端返回fail应答包，并进入步骤s7；若逆运算成功，则外设密码键盘获取传输密钥，并在对传输密钥加密后向，支付终端返回ok应答包，进入步骤s8；
12.s7、支付终端接收到fail应答包，则提示绑定错误警告；
13.s8、支付终端接收到ok应答包，对传输密钥解密获取数据包，再对数据包进行sha256运算，若运算结果为checksum，则表示绑定成功；否则，提示绑定错误警告。
14.优选的，每个支付终端与外设密码键盘之间使用不同的绑定密钥进行绑定，令每个支付终端拥有唯一的绑定密钥。
15.优选的，步骤s1中支付终端和外设密码键盘下载绑定密钥的具体过程为，支付终端将绑定密钥下载到其sp端；
16.支付终端将绑定密钥传输至外设密码键盘中的绑定密钥存储区。
17.优选的，支付终端和外设密码键盘每次下载绑定密钥时，需要判断外设密码键盘的绑定密钥存储区是否为空，若是，则允许存放绑定密钥，则下载绑定密钥；若否，则表示存在绑定密钥，返回无法下载绑定密钥。
18.本发明的有益效果是：1、将支付终端和外接的密码键盘在软件上一一绑定，从而实现在无人值守环境下，也能保证用户用卡消费安全。2、将支付终端和外设密码键盘一一绑定，避免在无人值守环境下出现不法分子将非法被改装过的密码键盘替换上去获取到密码及卡片信息的情况。3、能够更好地适应不同的消费场景，及满足多样化的客户需求。
附图说明
19.图1是本发明实施例中绑定方法的流程示意图。
具体实施方式
20.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不用于限定本发明。
21.如图1所示，本实施例中，提供了一种支付终端与外设密码键盘的绑定方法，包括如下步骤
22.s1、采用随机数密钥生成器产生绑定密钥；支付终端和外设密码键盘下载绑定密钥；
23.s2、在支付终端随机产生24字节的传输密钥，使用绑定密钥作为传输密钥的保护密钥，通过tr31算法运算获得传输密钥的keyblock；
24.s3、使用传输密钥的参数与传输密钥的keyblock组成数据包，并对数据包进行sha256运算得到checksum；
25.s4、将数据包和checksum一起灌入外设密码键盘；
26.s5、密码键盘对接收到的数据包进行sha256运算，并将计算结果与接收到的checksum进行比较，若两者一致，则进入步骤s6；若两者不一致，则向支付终端返回fail应答包，并进入步骤s7；
27.s6、再次使用绑定密钥作为传输密钥的保护密钥，对接收到的数据包中的keyblock进行tr31算法的逆运算，若逆运算失败，则向支付终端返回fail应答包，并进入步骤s7；若逆运算成功，则外设密码键盘获取传输密钥，并在对传输密钥加密后向，支付终端返回ok应答包，进入步骤s8；
28.s7、支付终端接收到fail应答包，则提示绑定错误警告；
29.s8、支付终端接收到ok应答包，对传输密钥解密获取数据包，再对数据包进行sha256运算，若运算结果为checksum，则表示绑定成功；否则，提示绑定错误警告。
30.其中，密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数；
31.keyblock为密钥块，包括密钥和一些其它信息；
32.checksum是一种表示校验和的方法；
33.tr31是一种安全传入密钥的方法；
34.安全房是一个安全等级特别高的房间，进入此门需要两个人开启不同的两把锁，并输入各自指纹验证通过才能开启此门。
35.本实施例中，每个支付终端与外设密码键盘之间使用不同的绑定密钥进行绑定，令每个支付终端拥有唯一的绑定密钥(bink)。在绑定之前，需要在安全房采用专用的真随机数密钥生成器产生一系列绑定密钥，为每个支付终端配置唯一一个绑定密钥。
36.本实施例中，步骤s1中支付终端和外设密码键盘下载绑定密钥的具体过程为，支付终端将绑定密钥下载到其sp端；
37.支付终端将绑定密钥传输至外设密码键盘中的绑定密钥存储区。
38.具体的，在安全房先将绑定密钥下载到支付终端的sp端(安全模块)，实现支付终端下载绑定密钥的过程；之后再由支付终端将绑定密钥下载到外设密码键盘中的绑定密钥存储区；实现外设密码键盘下载绑定密钥的过程。
39.本实施例中，支付终端和外设密码键盘每次下载绑定密钥时，需要判断外设密码键盘的绑定密钥存储区是否为空，若是，则允许存放绑定密钥，则下载绑定密钥；若否，则表示存在绑定密钥，返回无法下载绑定密钥。
40.每次下载绑定密钥时，都需要进行检查，如果是第一次下载，则绑定密钥存储区是空的，则允许存放绑定密钥，之后下载绑定密钥即可；如果绑定密钥存储区存在绑定密钥，则表示不是第一次下载，直接返回无法下载绑定密钥，从而保证绑定密钥只能下载一次。
41.使用支付终端和外设密码键盘时，每次开机或交易都需要进行绑定操作，以确保支付终端与外设密码键盘确定绑定，避免交易信息泄露。
42.支付终端与外设密码键盘绑定的过程具体为，
43.在支付终端随机产生24字节的传输密钥(tvk)，使用绑定密钥(bink)作为传输密钥(tvk)的保护密钥，通过tr31算法运算获得传输密钥(tvk)的keyblock，再对数据包做sha256运算得到checksum，再将数据包和checksum一起灌入密码键盘；其数据包组成格式如下：
[0044][0045]
在外设密码键盘端，先对接收到的数据包做sha256运算，并与接收到的checksum比较，如果不一致，则向支付终端返回fail应答包；如果一致，则绑定密钥作为传输密钥的保护密钥，对接收到的keyblock作tr31逆运算，如果逆运算成功，则外设密码键盘获得传输密钥，返回ok应答包(传输密钥加密)；反之向支付终端返回fail应答包；；如果是fail应答包，则提示相应绑定错误警告信息，如果是ok应答包，则先对传输密钥解密获取数据包，再对数据包进行sha256校验，如校验成功，则认为绑定成功，则允许进行下一步交易操作；否则表示绑定失败，提示绑定错误警告信息。
[0046]
本实施例中，ok应答包和fail应答包采用不同的命令字，支付终端在接收到应答
包后，通过命令字的不同进行区分。
[0047]
通过采用本发明公开的上述技术方案，得到了如下有益的效果：
[0048]
本发明提供了一种支付终端与外设密码键盘的绑定方法，将支付终端和外接的密码键盘在软件上一一绑定，从而实现在无人值守环境下，也能保证用户用卡消费安全。将支付终端和外设密码键盘一一绑定，避免在无人值守环境下出现不法分子将非法被改装过的密码键盘替换上去获取到密码及卡片信息的情况。能够更好地适应不同的消费场景，及满足多样化的客户需求。
[0049]
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。