一种安全生成传输密钥的方法及pos终端的制作方法
【专利摘要】本发明涉及电子支付终端领域,公开了一种安全生成传输密钥的方法,包括步骤:S1、实时检测POS终端物理参数并判断是否异常,若是,则进入步骤S4,若否,则进入步骤S2;S2、检测并判断POS终端是否能够正常运行,若是,则进入步骤S3;S3、执行生成传输密钥TK的流程,并将生成的传输密钥TK发送至操作终端或服务器;S4、终止生成传输密钥TK的流程,然后返回步骤S1。本发明还公开了一种安全生成传输密钥的POS终端。其有益效果是:在产生传输秘钥TK之前,POS终端先检测其物理参数和终端的功能是否正常,若异常则不采集TK数据以确保TK数据的安全,进而确保在安全的环境中产生TK以对TMK的下载进行保护。
【专利说明】—种安全生成传输密钥的方法及POS终端
【技术领域】
[0001]本发明涉及电子支付领域,尤其涉及一种安全生成传输密钥的方法及POS终端。【背景技术】
[0002]银行卡(BANK Card)作为支付工具越来越普及,通常的银行卡支付系统包括销售点终端(Point Of Sale,POS)、POS收单系统(P0SP)、密码键盘(PIN PAD)和硬件加密机(Hardware and Security Module, HSM)。其中POS终端能够接受银行卡信息,具有通讯功能,并接受柜员的指令完成金融交易信息和有关信息交换的设备;P0S收单系统对POS终端进行集中管理,包括参数下载,密钥下载,接受、处理或转发POS终端的交易请求,并向POS终端回送交易结果信息,是集中管理和交易处理的系统;密码键盘(PIN PAD)是对各种金融交易相关的密钥进行安全存储保护,以及对PIN进行加密保护的安全设备;硬件加密机(HSM)是对传输数据进行加密的外围硬件设备,用于PIN的解密、验证报文和文件来源的正确性以及存储密钥。个人标识码(Personal Identification Number,PIN),即个人密码,是在联机交易中识别持卡人身份合法性的数据信息,在计算机和网络系统中任何环节都不允许以明文的方式出现;终端主密钥(Terminal Master Key,TMK),POS终端工作时,对工作密钥进行加密的主密钥,加密保存在系统数据库中;P0S终端广泛应用于银行卡支付场合,比如厂商购物、酒店住宿等,是一种不可或缺的现代化支付手段,已经融入人们生活的各种场合。银行卡,特别是借记卡,一般都由持卡人设置了 PIN,在进行支付过程中,POS终端除了上送银行卡的磁道信息等资料外,还要持卡人输入PIN供发卡银行验证持卡人的身份合法性,确保银行卡支付安全,保护持卡人的财产安全。为了防止PIN泄露或被破解,要求从终端到发卡银行整个信息交互过程中,全程对PIN进行安全加密保护,不允许在计算机网络系统的任何环节,PIN以明文的方式出现,因此目前接受输入PIN的POS终端都要求配备密钥管理体系。
[0003]POS终端的密钥体系分成二级:终端主密钥(TMK)和工作密钥(WK)。其中TMK对WK进行加密保护。每台POS终端有唯一的TMK,必须要有安全保护,保证只能写入设备并参与计算,不能读取;TMK是一个很关键的根密钥,如果TMK被截取,工作密钥就比较容易被破解,将严重威胁银行卡支付安全。所以能否安全下载TMK到POS终端,成为整个POS终端安全性的关键。下面归纳现有的TMK下载方案如下:
[0004]1、密钥母POS方案:用户在POS收单系统硬件加密机和密钥母POS输入一样的传输加密密钥。POS终端通过密钥母POS向POS收单系统发起终端主密钥下载请求,POS收单系统驱动硬件加密机随机生成终端主密钥,并用传输加密密钥加密传输给密钥母P0S,密钥母POS用传输加密密钥解密后再传输给POS终端,POS终端获得终端主密钥明文,保存到POS终端密码键盘,从而实现POS终端和POS收单系统之间终端主密钥的同步。
[0005]2、IC卡解密方案:用户在POS收单系统硬件加密机和IC卡中注入一样的传输加密密钥。用户将IC卡插入POS终端,POS终端向POS收单系统发起终端主密钥下载请求,POS收单系统驱动硬件加密机随机生成终端主密钥,并用传输加密密钥加密传输给POS终端,POS终端用IC卡中的传输加密密钥解密终端主密钥密文,获得终端主密钥明文,保存到POS终端密码键盘,从而实现POS终端和POS收单系统之间终端主密钥的同步。
[0006]上述两种方案都有以下缺点:终端主密钥明文出现在安全设备之外,为防范密钥泄露风险,终端主密钥的下载必须控制在管理中心的安全机房进行,通过人工集中下载终端主密钥,从而带来“维护中心机房工作量大;设备出厂后要运到管理中心安全机房下载密钥才能部署到商户,运输成本上升;为了集中下装密钥,需要大量的人手和工作时间,维护成本大、维护周期长”等问题。
【发明内容】
[0007]为解决上述技术问题,本发明采用的一个技术方案是,提供一种安全生成传输密钥的方法,包括步骤:
[0008]S1、实时检测POS终端物理参数并判断是否异常,若是,则进入步骤S4,若否,则进入步骤S2 ;
[0009]S2、检测并判断POS终端是否能够正常运行,若是,则进入步骤S3 ;
[0010]S3、执行生成传输密钥TK的流程,并将生成的传输密钥TK发送至操作终端或服务器;
[0011]S4、终止生成传输密钥TK的流程,然后返回步骤SI。
[0012]本发明采用的另一个技术方案是:提供一种安全生成传输密钥的POS终端,该POS终端包括参数检测模块、功能检测模块、TK生成模块以及终止模块;所述参数检测模块用于实时检测POS终端物理参数并判断是否异常;所述功能检测模块用于当所述参数检测模块判定POS终端物理参数正常时,检测并判断POS终端是否能够正常运行,若是,则通知TK生成模块执行操作;所述TK生成模块用于当所述所述功能检测模块判定POS终端能够正常运行时,执行生成传输密钥TK的流程,并将生成的传输密钥TK发送至操作终端或服务器;所述终止模块用于当所述参数检测模块判定POS终端物理参数异常时,终止生成传输密钥TK的流程。
[0013]本发明的有益效果是:能够产生传输秘钥TK的POS终端必须处于非正常使用状态,即POS终端必须处于生产状态或维修状态时才能产生传输秘钥TK,而在产生传输秘钥TK之前,POS终端需要先检测其物理参数和终端的功能是否正常,若异常则不采集TK数据以确保TK数据的安全,进而确保在安全的环境中产生TK以对TMK的下载进行保护。
【专利附图】
【附图说明】
[0014]图1是本发明一实施方式中的安全生成传输密钥的POS终端的结构框图;
[0015]图2是本发明一实施方式中的安全生成传输密钥的方法的主要执行流程图。
[0016]主要元件符号说明:
[0017]10、参数检测模块;20、功能检测模块;30、TK生成模块;40、终止模块;
[0018]100、POS 终端。
【具体实施方式】
[0019]为详细说明本发明的技术内容、构造特征、所实现目的及效果,以下结合实施方式并配合附图详予说明。
[0020]为解决【背景技术】中存在的技术问题,本发明采用一种新的主密钥下载方案,通过POS终端随机产生TK (Transmission Key,传输密钥),将产生后的TK保存于POS终端的密码键盘中,并将TK通过各种应用场景下所需的传输方式传送至KMS (Key ManagementSystem,密钥管理系统,用于管理终端主密钥TMK)中。
[0021 ] 当POS终端申请下载终端主密钥TMK时,KMS系统使用TK加密终端主密钥TMK,并将加密后的终端主密钥密文发送给POS终端,POS终端接收后用TK对主密钥密文进行解密,得到终端主密钥TMK,并将终端主密钥TMK保存在密码键盘里。
[0022]如此,通过TK加密终端主密钥TMK,使TMK能够进行远程传输,方便TMK的安全下载。
[0023]在某些场景下,采用操作终端采集POS终端产生的TK,并由操作终端负责将TK传输给MTMS系统(Material Tracking Management System,物料追溯系统,主要在工厂生产中使用),由MTMS系统统一管理TK,并将TK发送给相应的KMS系统,所述输送过程由CA中心(Certif icate Authority,证书授权中心,米用 Public Key Infrastructure 公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构)鉴别操作终端、MTMS系统和KMS系统的身份。采用操作终端采集TK可以方便TK的采集操作(可以实现一键采集等)和TK采集的权限管理;采用MTMS系统可以方便对TK统一管理,方便以后售后维修时POS终端的数据查找与下载,通过MTMS系统可以实现按生产单批量传输TK,方便TK的传输管理,防止TK误传给错误的对象;引入CA中心可以防止伪终端和伪KMS系统窃取TK。
[0024]支持终端主密钥TMK远程下载的POS终端在出厂前,需要产生传输密钥TK,在远程下载TMK过程中,由于TK是保护TMK安全下载的密钥,因此TK必须在安全的环境中生成,即不能在POS终端参数不稳定、或者POS终端被开盖篡改程序等易导致TK异常的条件下产生TK。然而,现有的POS终端并没有对异常条件进行侦测的技术手段,并且,当TK产生后,出厂的POS终端存在通过被植入程序代码多次产生TK数据的风险。
[0025]下面就对本发明克服上述问题的技术方案进行详细说明。
[0026]请参阅图1,图1为本发明一实施方式中的一种安全生成传输密钥的POS终端的结构框图,该POS终端100包括参数检测模块10、功能检测模块20、TK生成模块30以及终止模块40。
[0027]参数检测模块10用于实时检测POS终端100的物理参数并判断是否异常。
[0028]功能检测模块20用于当所述参数检测模块10判定POS终端100的物理参数正常时,检测并判断POS终端100是否能够正常运行,若是,则通知TK生成模块30执行操作。
[0029]TK生成模块30用于当所述功能检测模块20判定POS终端100能够正常运行时,执行生成传输密钥TK的流程,并将生成的传输密钥TK发送至操作终端或服务器。其中,所述服务器包括KMS系统。
[0030]终止模块40用于当所述参数检测模块10判定POS终端物理参数异常时,终止生成传输密钥TK的流程。
[0031]其中,所述参数检测模块10至少包括第一检测模块、第二检测模块和第三检测模块之中的一个。[0032]第一检测模块用于检测并判断POS终端100的盖体是否开启。
[0033]第二检测模块用于检测并判断POS终端100的电压是否处于预设电压范围。
[0034]第三检测模块用于检测并判断POS终端100的温度是否处于预设温度范围。
[0035]所述参数检测模块10还包括异常判定模块,用于当上述任意模块的执行结果为是时,确定POS终端100的物理参数异常,以及用于当上述模块的执行结果均为否时,确定POS终端100的物理参数正常。
[0036]其中,所述功能检测模块20具体包括第一判断模块,第二判断模块和第三判断模块。
[0037]第一判断模块用于判断使用界面是否加载成功。
[0038]第二判断模块用于当第一判断模块判定使用界面加载成功后,判断是否能够连接网络并下载应用程序。
[0039]第三判断模块用于第二判断模块当判定能够下载应用程序后,确定POS终端能够正常运行。
[0040]其中,所述TK生成模块30具体包括擦除模块、接收模块、验证模块、生成模块、禁启模块和TK清空模块。
[0041]擦除模块用于清除原有的传输密钥TK。
[0042]接收模块用于当所述擦除模块将原有的传输密钥TK擦除后,接收操作终端或服务器发送的公钥或包含公钥的的证书。
[0043]验证模块用于当所述接收模块接收到包含公钥的证书时,验证证书合法性。
[0044]生成模块用于当证书合法性通过所述验证模块验证通过后或直接接收到公钥后,调用密码键盘模块生成传输密钥TK,并使用公钥加密传输密钥TK,生成传输密钥密文TK_PU并将其发送到操作终端或服务器。
[0045]禁启模块用于当所述生成模块完成传输密钥TK生成后,禁止生成模块再次开启执行生成传输密钥TK的流程。
[0046]TK清空模块用于检测并判断POS终端的盖体是否开启,并当判定盖体开启时清空传输密钥ΤΚ。具体地,在终端硬件设备设计时,已经考虑到盖子开启的检测问题,一般通过开启的盖体触发终端中的芯片产生中断,修改芯片寄存器标志位,标识POS终端盖子被开启过,POS终端的设备检查模块会定时查询标志位,从而判别盖子是否开启。
[0047]请参阅图2,图2是本发明一实施方式中一种安全生成传输密钥的方法的主要的执行流程图,该方法包括步骤:
[0048]步骤S1、实时检测POS终端物理参数并判断是否异常,若是,则进入步骤S4,若否,则进入步骤S2 ;
[0049]步骤S2、检测并判断POS终端是否能够正常运行,若是,则进入步骤S3 ;
[0050]步骤S3、执行生成传输密钥TK的流程,并将生成的传输密钥TK发送至操作终端或服务器;
[0051]步骤S4、终止生成传输密钥TK的流程,然后返回步骤SI。
[0052]在本实施方法中,所述步骤SI至少包括下述步骤之一:
[0053]S101、检测并判断POS终端的盖体是否开启;
[0054]S102、检测并判断POS终端的电压是否处于预设电压范围;以及[0055]S103、检测并判断POS终端的温度是否处于预设温度范围;
[0056]若上述任意步骤判定结果为是,则确定POS终端物理参数异常,若步骤SI中包括的上述步骤结果的判定结果均为否,则确定POS终端物理参数正常。
[0057]在本实施方法中,步骤S2中所述的“检测并判断POS终端是否能够正常运行”具体包括步骤:
[0058]S201、判断使用界面是否加载成功;
[0059]S202、当判定使用界面加载成功后,判断是否能够连接网络并下载应用程序;
[0060]S203、当判定能够下载应用程序后,确定POS终端能够正常运行。
[0061]在本实施方法中,所述步骤S3具体包括步骤:
[0062]S301、清除原有的传输密钥TK;
[0063]S302、接收操作终端或服务器发送的公钥或包含公钥的的证书;
[0064]S303、当接收到包含公钥的证书时,验证证书合法性;
[0065]S304、当证书合法性验证通过后或直接接收到公钥后,使用密码键盘生成传输密钥TK,并使用公钥加密传输密钥TK,生成传输密钥密文TK_pu并将其发送到操作终端或服务器;
[0066]S305、禁止开启执行生成传输密钥TK的流程;
[0067]S306、检测并判断操作终端的盖体是否开启,并当判定盖体开启时清空传输密钥TK0具体地,在终端硬件设备设计时,已经考虑到盖子开启的检测问题,一般通过开启的盖体触发终端中的芯片产生中断,修改芯片寄存器标志位,标识POS终端盖子被开启过,POS终端的设备检查模块会定时查询标志位,从而判别盖子是否开启。
[0068]本发明的有益效果在于,能够在产生传输秘钥TK前检测POS终端是否处于非正常使用的状态,POS终端必须处于生产状态或维修状态时才能进行产生TK的流程。具体地,在产生TK之前,POS终端会先检测其物理参数并判断其是否能正常运行,所检测的物理参数POS终端的盖体是否开启、电压是否处于预设电压范围以及其温度是否处于预设温度范围等,对POS终端能否正常运行的判断依据为检测使用界面是否加载成功、网络连接状态是否正常、是否能下载应用程序等,若检测结果有任何一项发生异常,则直接终止TK生成流程,若所有的检测结果均无异常,才在对原有的TK数据进行擦除后,进行采集TK数据的流程,这样才能确保TK数据的安全,进而确保在安全环境中产生的TK能有效地对TMK的下载进行保护,最终确保用户的PIN码能够安全地被传输从而顺利且安全地完成交易。
[0069]以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的【技术领域】,均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种安全生成传输密钥的方法,其特征在于,包括步骤: 51、实时检测POS终端物理参数并判断是否异常,若是,则进入步骤S4,若否,则进入步骤S2 ; 52、检测并判断POS终端是否能够正常运行,若是,则进入步骤S3; 53、执行生成传输密钥TK的流程,并将生成的传输密钥TK发送至操作终端或服务器; 54、终止生成传输密钥TK的流程,然后返回步骤SI。
2.根据权利要求1所述的安全生成传输密钥的方法,其特征在于,所述步骤SI至少包括下述步骤之一: 检测并判断POS终端的盖体是否开启; 检测并判断POS终端的电压是否处于预设电压范围;以及 检测并判断POS终端的温度是否处于预设温度范围; 若上述任意步骤判定结果为是,则确定POS终端物理参数异常,若步骤SI中包括的上述步骤结果的判定结果均为否,则确定POS终端物理参数正常。
3.根据权利要求1所述的安全生成传输密钥的方法,其特征在于,所述“检测并判断POS终端是否能够正常运行”具体包括步骤: 判断使用界面是否加载成功;· 当判定使用界面加载成功后,判断是否能够连接网络并下载应用程序; 当判定能够下载应用程序后,确定POS终端能够正常运行。
4.根据权利要求1所述的安全生成传输密钥的方法,其特征在于,所述步骤S3具体包括步骤: 清除原有的传输密钥TK ; 接收操作终端或服务器发送的公钥或包含公钥的的证书; 当接收到包含公钥的证书时,验证证书合法性; 当证书合法性验证通过后或直接接收到公钥后,使用密码键盘生成传输密钥TK,并使用公钥加密传输密钥TK,生成传输密钥密文TK_pu并将其发送到操作终端或服务器。
5.根据权利要求4所述的安全生成传输密钥的方法,其特征在于,步骤S3完成后还包括: 禁止开启执行生成传输密钥TK的流程; 检测并判断操作终端的盖体是否开启,并当判定盖体开启时清空传输密钥TK。
6.一种安全生成传输密钥的POS终端,其特征在于,该POS终端包括参数检测模块、功能检测模块、TK生成模块以及终止模块; 所述参数检测模块用于实时检测POS终端物理参数并判断是否异常; 所述功能检测模块用于当所述参数检测模块判定POS终端物理参数正常时,检测并判断POS终端是否能够正常运行; 所述TK生成模块用于当所述功能检测模块判定POS终端能够正常运行时,执行生成传输密钥TK的流程,并将生成的传输密钥TK发送至操作终端或服务器; 所述终止模块用于当所述参数检测模块判定POS终端物理参数异常时,终止生成传输密钥TK的流程。
7.根据权利要求6所述的安全生成传输密钥的POS终端,其特征在于,所述参数检测模块至少包括下列模块之一: 第一检测模块,用于检测并判断POS终端的盖体是否开启; 第二检测模块,用于检测并判断POS终端的电压是否处于预设电压范围; 第三检测模块,用于检测并判断POS终端的温度是否处于预设温度范围; 所述参数检测模块还包括异常判定模块,用于当上述任意模块的执行结果为是时,确定POS终端物理参数异常,以及用于当上述模块的执行结果均为否时,确定POS终端物理参数正常。
8.根据权利要求6所述的安全生成传输密钥的POS终端,其特征在于,所述功能检测模块具体包括: 第一判断模块,用于判断使用界面是否加载成功; 第二判断模块,用于当第一判断模块判定使用界面加载成功后,判断是否能够连接网络并下载应用程序; 第三判断模块,用于第二判断模块当判定能够下载应用程序后,确定POS终端能够正常运行。
9.根据权利要求6所述的安全生成传输密钥的POS终端,其特征在于,所述TK生成模块具体包括: 擦除模块,用于清除原有的传输密钥TK ; 接收模块,用于当所述擦除模块将原有的传输密钥TK擦除后,接收操作终端或服务器发送的公钥或包含公钥的的证书; 验证模块,用于当所述接收模块接收到包含公钥的证书时,验证证书合法性; 生成模块,用于当证书合法性通过所述验证模块验证通过后或直接接收到公钥后,调用密码键盘模块生成传输密钥TK,并使用公钥加密传输密钥TK,生成传输密钥密文TK_pu并将其发送到操作终端或服务器。
10.根据权利要求9所述的安全生成传输密钥的POS终端,其特征在于,所述TK生成模块还包括: 禁启模块,用于当生成模块完成传输密钥TK生成后,禁止TK生成模块开启执行生成传输密钥TK的流程; TK清空模块,用于检测并判断POS终端的盖体是否开启,并当判定盖体开启时清空传输密钥TK。
【文档编号】G07G1/00GK103714633SQ201310740100
【公开日】2014年4月9日 申请日期:2013年12月27日 优先权日:2013年3月15日
【发明者】苏文龙, 孟陆强 申请人:福建联迪商用设备有限公司