RSA密钥对和证书的注入方法、架构及系统与流程

本发明涉及电子支付领域，尤其涉及一种rsa密钥对和证书的注入方法、架构及系统。

背景技术：

随着电子支付产业的迅速发展，比如银行卡支付、消费卡支付、行业卡支付以及其它借由网络的电子支付技术，电子支付以其快捷方便的特点，越来越受到人们的欢迎。电子支付系统包括供消费者使用的终端设备以及支付平台和密钥管理等设备。为了确保消费的安全性，消费者通过专用的支付终端输入消费信息(比如帐号密码等)，然后由支付终端传输到支付平台。

支付终端，以pos(pointofsale，pos)为例，保护消费者账户安全的原理如下：pos终端能够接受银行卡信息，具有通讯功能，并接受柜员的指令完成金融交易信息和有关信息交换的设备，pos中对敏感信息处理的模块称为密码键盘(pinpad)，对各种金融交易相关的密钥进行安全存储保护，以及对pin进行加密保护的安全设备，持卡人的个人识别码(personalidentificationnumber，pin)通过密码键盘输入。为防止pin泄露或者被破解，以保护持卡人的财产安全，整个支付过程中对pin必须进行加密保护，避免其以明文形式出现。为此，接受pin输入的pos终端需配备相应的密钥管理体系。

pos终端中常用的密钥管理体系有两类，不论是分级的密钥体系，主密钥/工作密钥(masterkey/sessionkey，mk/sk)还是每笔交易衍生单钥管理方法(deriveduniquekeypertransaction，dukpt)，都需要将一个初始密钥(initiailkey，ik)下载到终端，如何下载初始密钥到终端，目前主流的方向是采用远程密钥下载方式，要求支付终端在出厂前预置非对称rsa密钥和证书，终端出厂后使用rsa密钥和证书与kms系统进行双向认证，通过kms安全下载终端主密钥(tmk)。考虑到终端的运算性能差异较大，而当前标准的rsa密钥需要达到2048比特的安全强度，rsa密钥对的生成速度一直是低性能终端的瓶颈。那么如何在生产阶段安全高效地注入非对称rsa密钥和证书呢，目前通常有以下几种方式：

方式一：将支付终端放到安全房内，物理连接硬件加密机(hardwaresecuritymodule，hsm)注入密钥对和证书；

方式二：由支付终端内部生成密钥对，生成证书请求文件导出，请求认证中心(certificationauthority，ca)签发证书。

方式三：支付终端和认证中心ca共享一个秘密信息，ca中心生成密钥对和证书之后使用该秘密信息加密后传递给支付终端。

但上述方式存在以下缺点：

缺点1：证书的注入工作需要在一个高安全管控的安全机房内进行，通过人工方式集中注入，增加了安全房的构建及维护成本。

缺点2：终端性能差异较大，且对大多数终端来说，rsa密钥对的生成时间随机性大，最长时间可达到十几分钟左右，极大影响生产效率。

缺点3：为了在支付终端和认证中心预置一个共享秘密信息，通常采用人工方式，而且终端数量庞大，要保证该秘密信息每台设备唯一，需要大量的人力资源开销，且对该秘密进行的管控要达到极高的安全级别，否则一旦该秘密信息泄露，终端的私钥也泄露了。

技术实现要素：

本发明所要解决的技术问题是：提供一种rsa密钥对和证书的注入方法、架构及系统，可在生产阶段安全高效地注入rsa密钥对和证书。

为了解决上述技术问题，本发明采用的技术方案为：一种rsa密钥对和证书的注入方法，包括：

支付终端生成对称密钥；

密钥管理系统获取所述对称密钥；

支付终端发起请求，并将所述请求发送至密钥管理系统；

密钥管理系统将所述请求提交至ca中心；

ca中心根据所述请求生成rsa私钥和证书，并将所述rsa私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括rsa公钥；

密钥管理系统使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

支付终端使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书。

本发明还涉及一种rsa密钥对和证书的注入架构，包括依次通信连接的支付终端、密钥管理系统和ca中心；

所述支付终端用于生成对称密钥；

所述密钥管理系统用于获取所述对称密钥；

所述支付终端还用于发起请求，并将所述请求发送至密钥管理系统；

所述密钥管理系统还用于将所述请求提交至ca中心；

所述ca中心用于根据所述请求生成rsa私钥和证书，并将所述rsa私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括rsa公钥；

所述密钥管理系统还用于使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

所述支付终端还用于使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书。

本发明还涉及一种rsa密钥对和证书的注入系统，包括：

第一生成模块，用于支付终端生成对称密钥；

获取模块，用于密钥管理系统获取所述对称密钥；

发起模块，用于支付终端发起请求，并将所述请求发送至密钥管理系统；

提交模块，用于密钥管理系统将所述请求提交至ca中心；

第二生成模块，用于ca中心根据所述请求生成rsa私钥和证书，并将所述rsa私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括rsa公钥；

加密模块，用于密钥管理系统使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

解密模块，用于支付终端使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书。

本发明的有益效果在于：采用ca中心集中生成rsa密钥对和证书的方式，由于其生成速度相比支付终端更优异，有效解决了支付终端性能不足造成的产能低效问题；通过安全链路传输以及对称密钥加密的方式，有效保证了数据传输过程中的安全性和机密性；本发明适用于所有类型的支付终端，有效解决了支付终端自己产生rsa密钥对效率低下的问题，通过采用自动安全注入的方式，减少了人工操作和维护产线安全机房的成本，且保证安全。

附图说明

图1为本发明实施例一中rsa密钥对和证书的注入方法的流程图；

图2为本发明实施例一中rsa密钥对和证书的注入架构的结构示意图；

图3为本发明实施例二的方法流程图；

图4为本发明实施例二中rsa密钥对和证书的注入架构的结构示意图；

图5为本发明实施例三的方法流程图；

图6为本发明实施例四的方法流程图；

图7为本发明一种rsa密钥对和证书的注入系统的结构示意图；

图8为本发明实施例五的系统结构示意图。

标号说明：

100、支付终端；200、密钥管理系统；300、ca中心；400、硬件加密机；

1、第一生成模块；2、获取模块；3、发起模块；4、提交模块；5、第二生成模块；6、加密模块；7、解密模块；

21、第一生成单元；22、签发单元；23、第一验证单元；24、提取单元；25、第一加密单元；26、第一解密单元；

31、第二生成单元；32、第二加密单元；33、第一发送单元；34、第一计算单元；35、第三发送单元；

41、第二解密单元；42、第二发送单元；43、第二验证单元；44、执行单元；

61、第三加密单元；62、第二计算单元；63、第四发送单元；

71、第三解密单元；72、第三验证单元；73、第四验证单元；74、存储单元。

具体实施方式

为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并配合附图详予说明。

本发明最关键的构思在于：基于对称密钥技术，将rsa密钥对和证书安全注入到支付终端。

缩略语和关键术语定义：

lkms：localkeymanagementsystem本地密钥管理系统；

ca：certificationauthority，认证中心；它是采用pki(publickeyinfrastructure)公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书；

hsm：highsecuritymachine，高安全设备，在本发明中为硬件加密机；

hsmwcrt：hsmworkcertificate，加密机工作证书；

pu：publickey，hsmwcrt中的公钥，用于加密对称密钥；

tk：transmissionkey，传输密钥；在本发明中，对称密钥即为tk，用于保护rsa密钥和证书的传输，tk包含2个密钥：一个为传输加密密钥，另外一个是用于完整性校验的mac密钥；

mac：messageauthenticationcheckvalue，消息认证码，一种数据完整性校验算法；

安全房：具有较高安全级别，用于存放hsm(高安全设备，硬件加密机)、服务器、数据库的房间，该房间需要访问控制，通常需要双重控制认证后才能进去；

对称密钥：加密和解密操作必须使用相同的密钥对明文进行运算；对称密钥加密算法主要包括：des、tdes、aes，idea、等；

非对称密钥：加密密钥和解密密钥是不同的，其中一个密钥可以公开，另外一个密钥需要保密存储。公开的密钥通常称为公钥(publickey)，需要秘密存储的密钥称为私钥(privatekey)。常用的非对称密钥算法有：rsa、ecc、国密sm2、rabin等。

请参阅图1，一种rsa密钥对和证书的注入方法，包括：

支付终端生成对称密钥；

密钥管理系统获取所述对称密钥；

支付终端发起请求，并将所述请求发送至密钥管理系统；

密钥管理系统将所述请求提交至ca中心；

ca中心根据所述请求生成rsa私钥和证书，并将所述rsa私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括rsa公钥；

密钥管理系统使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

支付终端使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书。

从上述描述可知，本发明的有益效果在于：有效解决了支付终端自己产生rsa密钥对效率低下的问题，通过采用自动安全注入的方式，减少了人工操作和维护产线安全机房的成本，且保证安全。

进一步地，所述“密钥管理系统获取所述对称密钥”具体为：

密钥管理系统的硬件加密机生成非对称密钥对，所述非对称密钥对包括公钥pu和私钥pr，并将所述公钥pu提交到ca中心；

ca中心根据所述公钥pu签发公钥证书；

支付终端获取所述公钥证书，并对所述公钥证书进行合法性验证；

若验证通过，则从所述公钥证书中提取公钥pu；

支付终端使用所述公钥pu加密所述对称密钥，得到第二加密数据，并将所述第二加密数据发送至密钥管理系统；

密钥管理系统使用私钥pr解密所述第二加密数据，得到对称密钥。

由上述描述可知，通过一对非对称密钥对将对称密钥安全地传输给密钥管理系统，进一步保证了rsa密钥对和证书注入的安全性。

进一步地，所述对称密钥包括第一对称密钥；所述“支付终端发起请求，并将所述请求发送至密钥管理系统”具体为：

支付终端生成请求数据；

使用第一对称密钥加密所述请求数据，得到第三加密数据；

将所述第三加密数据发送至密钥管理系统。

进一步地，所述“密钥管理系统将所述请求提交至ca中心”具体为：

密钥管理系统使用第一对称密钥解密第三加密数据，得到请求数据；

将所述请求数据发送至ca中心。

由上述描述可知，通过第一对称密钥加解密请求数据，在验证支付终端合法性的同时还可保证请求数据在传输过程中的安全性。

进一步地，所述对称密钥还包括第二对称密钥；所述“支付终端生成请求数据”之后，进一步包括：

使用第二对称密钥计算得到所述请求数据的第一消息认证码；

将所述第一消息认证码发送至密钥管理系统。

进一步地，所述“将所述请求数据发送至ca中心”之前，进一步包括：

根据所述第二对称密钥和第一消息认证码，验证所述请求数据的合法性；

若验证通过，则执行所述将所述请求数据发送至ca中心的步骤。

由上述描述可知，通过第二对称密钥进行mac校验，保证传输的数据不可篡改和可认证性，进一步保证了安全性。

进一步地，所述对称密钥包括第一对称密钥和第二对称密钥；所述“密钥管理系统使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端”具体为：

密钥管理系统使用第一对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

使用第二对称密钥计算得到所述rsa私钥和证书的第二消息认证码；

将所述第一加密数据和第二消息认证码发送至支付终端。

进一步地，所述“支付终端使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书”具体为：

支付终端使用第一对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书；

根据所述第二对称密钥和第二消息认证码，验证所述rsa私钥和证书的完整性；

使用预置的根证书验证所述证书的合法性；

若验证通过，则将所述rsa私钥和证书存储至支付终端的安全区域中。

由上述描述可知，采用mac校验的方法，发送方和接收方使用特定的mac密钥，先对数据的合法性、完整性进行检查后再进行后续操作，保证传输的数据不可篡改和可认证性，进一步保证了安全性。

请参照图7，本发明还提出了一种rsa密钥对和证书的注入系统，包括：

第一生成模块，用于支付终端生成对称密钥；

获取模块，用于密钥管理系统获取所述对称密钥；

发起模块，用于支付终端发起请求，并将所述请求发送至密钥管理系统；

提交模块，用于密钥管理系统将所述请求提交至ca中心；

第二生成模块，用于ca中心根据所述请求生成rsa私钥和证书，并将所述rsa私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括rsa公钥；

加密模块，用于密钥管理系统使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

解密模块，用于支付终端使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书。

进一步地，所述获取模块包括：

第一生成单元，用于密钥管理系统的硬件加密机生成非对称密钥对，所述非对称密钥对包括公钥pu和私钥pr，并将所述公钥pu提交到ca中心；

签发单元，用于ca中心根据所述公钥pu签发公钥证书；

第一验证单元，用于支付终端获取所述公钥证书，并对所述公钥证书进行合法性验证；

提取单元，用于若验证通过，则从所述公钥证书中提取公钥pu；

第一加密单元，用于支付终端使用所述公钥pu加密所述对称密钥，得到第二加密数据，并将所述第二加密数据发送至密钥管理系统；

第一解密单元，用于密钥管理系统使用私钥pr解密所述第二加密数据，得到对称密钥。

进一步地，所述对称密钥包括第一对称密钥；所述发起模块包括：

第二生成单元，用于支付终端生成请求数据；

第二加密单元，用于使用第一对称密钥加密所述请求数据，得到第三加密数据；

第一发送单元，用于将所述第三加密数据发送至密钥管理系统。

进一步地，所述提交模块包括：

第二解密单元，用于密钥管理系统使用第一对称密钥解密第三加密数据，得到请求数据；

第二发送单元，用于将所述请求数据发送至ca中心。

进一步地，所述对称密钥还包括第二对称密钥；所述发起模块还包括：

第一计算单元，用于使用第二对称密钥计算得到所述请求数据的第一消息认证码；

第三发送单元，用于将所述第一消息认证码发送至密钥管理系统。

进一步地，所述提交模块还包括：

第二验证单元，用于根据所述第二对称密钥和第一消息认证码，验证所述请求数据的合法性；

执行单元，用于若验证通过，则执行所述将所述请求数据发送至ca中心的步骤。

进一步地，所述对称密钥包括第一对称密钥和第二对称密钥；所述加密模块包括：

第三加密单元，用于密钥管理系统使用第一对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

第二计算单元，用于使用第二对称密钥计算得到所述rsa私钥和证书的第二消息认证码；

第四发送单元，用于将所述第一加密数据和第二消息认证码发送至支付终端。

进一步地，所述解密模块包括：

第三解密单元，用于支付终端使用第一对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书；

第三验证单元，用于根据所述第二对称密钥和第二消息认证码，验证所述rsa私钥和证书的完整性；

第四验证单元，用于使用预置的根证书验证所述证书的合法性；

存储单元，用于若验证通过，则将所述rsa私钥和证书存储至支付终端的安全区域中。

实施例一

请参照图1，本发明的实施例一为：一种rsa密钥对和证书的注入方法，可远程安全注入rsa密钥对和证书到支付终端；所述方法基于如图2所示的rsa密钥对和证书的注入架构，包括依次通信连接的支付终端100、密钥管理系统200和ca中心300。

由于需要从ca中心获取rsa密钥对和证书，因此需部署ca中心，搭建自己的kpi体系，有以下两种可选的做法，一是挂靠一个“可信的第三方ca机构”，成为其附属机构，所谓“第三方ca机构”也即商用ca，比如cfca(中国金融认证中心)，ctca(中信安全认证中心)等；二是厂家建立自己的ca中心，涉及到本方案中，ca中心的主要任务是给设备颁发中心，可建立自有ca(in-houseca)。

同时，需将ca根证书导出，预置到支付终端，可通过烧片包实现。这里的根证书，可依照信任等级选择。比如若作为可信第三方ca机构的附属机构，信任的是自己所属机构的ca，只需要预置该附属机构的根证书即可；若建立的是自有ca，则预置的是自有ca的顶级根证书。

还需建立密钥管理系统(lkms)和ca中心的安全通信链路，根据建立ca属性的不同，安全通信链路采用不同的方式。以建立自有ca中心为例，ca中心和lkms部署于同一个安全房中，ca中心位于安全房里间，安全等级最高；lkms部署于安全房外间，二者通过专用线路和端口进行通信。

如图1所示，所述方法包括如下步骤：

s1：支付终端生成对称密钥；进一步地，每台支付终端生成的对称密钥是唯一的，满足一机一密。

s2：密钥管理系统获取所述对称密钥；

s3：支付终端发起请求，并将所述请求发送至密钥管理系统；

s4：密钥管理系统将所述请求提交至ca中心；

s5：ca中心根据所述请求生成rsa私钥和证书，并将所述rsa私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括rsa公钥；

s6：密钥管理系统使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

s7：支付终端使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书。

加密后的rsa私钥和证书在到达支付终端之前，只有请求发起的支付终端可以解密，且该过程是在终端的安全区域进行的。解密完成之后采用支付终端的顶级加密密钥加密存储，遭受攻击报警之后，该安全区域中的数据会攻击自毁。

通过上述步骤安全注入rsa私钥和证书后，支付终端即可根据该rsa私钥和证书下载初始密钥。

优选地，可将支付终端通过usb或串口连接到一台pc机上，支付终端与密钥管理系统之间的通信通过该pc机进行，当支付终端的性能较低时，可提高生产效率。

本实施例采用ca中心集中生成rsa密钥对和证书的方式，ca中心生成密钥对的模块是经过nist和fips认证的硬件安全模块，其生成速度相比支付终端更优异，有效解决了支付终端性能不足造成的产能低效问题；通过安全链路传输以及对称密钥加密的方式，有效保证了数据传输过程中的安全性和机密性；本发明适用于所有类型的支付终端，有效解决了支付终端自己产生rsa密钥对效率低下的问题，通过采用自动安全注入的方式，减少了人工操作和维护产线安全机房的成本，且保证安全。

实施例二

请参照图3，本实施例是实施例一中步骤s2的进一步拓展。本实施例的方法基于如图4所示的rsa密钥对和证书的注入架构，包括依次通信连接的支付终端100、密钥管理系统200和ca中心300，所述密钥管理系统200中设有硬件加密机400。

所述步骤s2包括如下步骤：

s201：密钥管理系统的硬件加密机生成非对称密钥对，所述非对称密钥对包括公钥pu和私钥pr，并将所述公钥pu提交到ca中心；进一步地，将公钥pu导出为pkcs10格式；并将该格式的公钥请求数据提交到ca中心签发公钥证书hsmwcrt。

s202：ca中心根据所述公钥pu签发公钥证书；

s203：支付终端获取所述公钥证书，并对所述公钥证书进行合法性验证；

s204：若验证通过，则从所述公钥证书中提取公钥pu；

s205：支付终端使用所述公钥pu加密所述对称密钥，得到第二加密数据，并将所述第二加密数据发送至密钥管理系统；

s206：密钥管理系统使用私钥pr解密所述第二加密数据，得到对称密钥。由于硬件加密机设置在密钥管理系统中，因此密钥管理系统可直接获得私钥pr。

本实施例通过一对非对称密钥对将对称密钥安全地传输给密钥管理系统，进一步保证了rsa密钥对和证书注入的安全性；同时，该非对称密钥对由密钥管理系统的硬件加密机生成，其公钥通过ca中心签发的公钥证书传给支付终端，有效保证了公钥传输的安全性，且可验证公钥来源的可靠性。

实施例三

请参照图5，本实施例是实施例一或实施例二步骤s3-s4的进一步拓展。本实施例中，所述对称密钥包括第一对称密钥和第二对称密钥。

所述步骤s3包括如下步骤：

s301：支付终端生成请求数据；

s302：使用第一对称密钥加密所述请求数据，得到第三加密数据；

s303：使用第二对称密钥计算得到所述请求数据的第一消息认证码；

s304：将所述第三加密数据和第一消息认证码发送至密钥管理系统。

所述步骤s4包括如下步骤：

s401：密钥管理系统使用第一对称密钥解密第三加密数据，得到请求数据；

s402：根据所述第二对称密钥和第一消息认证码，验证所述请求数据的合法性；具体地，密钥管理系统也使用第二对称密钥计算解密后的数据，即所述请求数据的消息认证码，若该消息认证码与支付终端传过来的第一消息认证码一致，则所述请求数据合法。

s403：若验证通过，则将所述请求数据发送至ca中心。

本实施例通过第一对称密钥加解密请求数据，在验证支付终端合法性的同时还可保证请求数据在传输过程中的安全性；同时，通过第二对称密钥进行mac校验，保证传输的数据不可篡改和可认证性，进一步保证了安全性。

实施例四

请参照图6，本实施例是实施例一、实施例二或实施例三步骤s6-s7的进一步拓展。本实施例中，所述对称密钥包括第一对称密钥和第二对称密钥。

所述步骤s6包括如下步骤：

s601：密钥管理系统使用第一对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

s602：使用第二对称密钥计算得到所述rsa私钥和证书的第二消息认证码；

s603：将所述第一加密数据和第二消息认证码发送至支付终端。

所述步骤s7包括如下步骤：

s701：支付终端使用第一对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书；

s702：根据所述第二对称密钥和第二消息认证码，验证所述rsa私钥和证书的完整性；具体地，支付终端也使用第二对称密钥计算解密后的数据，即所述rsa私钥和证书的消息认证码，若该消息认证码与密钥管理系统传过来的第二消息认证码一致，则所述rsa私钥和证书完整。

s703：使用预置的根证书验证所述证书的合法性；

s704：若验证通过，则将所述rsa私钥和证书存储至支付终端的安全区域中。

本实施例采用mac校验的方法，发送方和接收方使用特定的mac密钥，先对数据的合法性、完整性进行检查后再进行后续操作，保证传输的数据不可篡改和可认证性，进一步保证了安全性。

实施例五

请参照图8，本实施例为对应上述实施例的一种rsa密钥对和证书的注入系统，包括：

第一生成模块1，用于支付终端生成对称密钥；

获取模块2，用于密钥管理系统获取所述对称密钥；

发起模块3，用于支付终端发起请求，并将所述请求发送至密钥管理系统；

提交模块4，用于密钥管理系统将所述请求提交至ca中心；

第二生成模块5，用于ca中心根据所述请求生成rsa私钥和证书，并将所述rsa私钥和证书通过安全链路发送至密钥管理系统，所述证书中包括rsa公钥；

加密模块6，用于密钥管理系统使用所述对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

解密模块7，用于支付终端使用对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书。

进一步地，所述获取模块2包括：

第一生成单元21，用于密钥管理系统的硬件加密机生成非对称密钥对，所述非对称密钥对包括公钥pu和私钥pr，并将所述公钥pu提交到ca中心；

签发单元22，用于ca中心根据所述公钥pu签发公钥证书；

第一验证单元23，用于支付终端获取所述公钥证书，并对所述公钥证书进行合法性验证；

提取单元24，用于若验证通过，则从所述公钥证书中提取公钥pu；

第一加密单元25，用于支付终端使用所述公钥pu加密所述对称密钥，得到第二加密数据，并将所述第二加密数据发送至密钥管理系统；

第一解密单元26，用于密钥管理系统使用私钥pr解密所述第二加密数据，得到对称密钥。

进一步地，所述对称密钥包括第一对称密钥；所述发起模块3包括：

第二生成单元31，用于支付终端生成请求数据；

第二加密单元32，用于使用第一对称密钥加密所述请求数据，得到第三加密数据；

第一发送单元33，用于将所述第三加密数据发送至密钥管理系统。

进一步地，所述提交模块4包括：

第二解密单元41，用于密钥管理系统使用第一对称密钥解密第三加密数据，得到请求数据；

第二发送单元42，用于将所述请求数据发送至ca中心。

进一步地，所述对称密钥还包括第二对称密钥；所述发起模块3还包括：

第一计算单元34，用于使用第二对称密钥计算得到所述请求数据的第一消息认证码；

第三发送单元35，用于将所述第一消息认证码发送至密钥管理系统。

进一步地，所述提交模块4还包括：

第二验证单元43，用于根据所述第二对称密钥和第一消息认证码，验证所述请求数据的合法性；

执行单元44，用于若验证通过，则执行所述将所述请求数据发送至ca中心的步骤。

进一步地，所述对称密钥包括第一对称密钥和第二对称密钥；所述加密模块6包括：

第三加密单元61，用于密钥管理系统使用第一对称密钥加密所述rsa私钥和证书，得到第一加密数据，并将所述第一加密数据发送至支付终端；

第二计算单元62，用于使用第二对称密钥计算得到所述rsa私钥和证书的第二消息认证码；

第四发送单元63，用于将所述第一加密数据和第二消息认证码发送至支付终端。

进一步地，所述解密模块7包括：

第三解密单元71，用于支付终端使用第一对称密钥对所述第一加密数据进行解密，得到所述rsa私钥和证书；

第三验证单元72，用于根据所述第二对称密钥和第二消息认证码，验证所述rsa私钥和证书的完整性；

第四验证单元73，用于使用预置的根证书验证所述证书的合法性；

存储单元74，用于若验证通过，则将所述rsa私钥和证书存储至支付终端的安全区域中。

综上所述，本发明提供的一种rsa密钥对和证书的注入方法、架构及系统，采用ca中心集中生成rsa密钥对和证书的方式，由于其生成速度相比支付终端更优异，有效解决了支付终端性能不足造成的产能低效问题；通过安全链路传输以及对称密钥加密的方式，有效保证了数据传输过程中的安全性和机密性；本发明适用于所有类型的支付终端，有效解决了支付终端自己产生rsa密钥对效率低下的问题，通过采用自动安全注入的方式，减少了人工操作和维护产线安全机房的成本，且保证安全。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等同变换，或直接或间接运用在相关的技术领域，均同理包括在本发明的专利保护范围内。