一种POS交易加密系统、方法、POSP前置服务器和POS终端与流程

本发明涉及通信领域，特别涉及一种pos交易加密系统、方法、posp前置服务器和pos终端。

背景技术：

随着网络和手机的普及，现在其本上所有的商户都有网络环境，而不一定有电话线路。但现在的网络pos(pointofsale，销售终端)因为考虑到数据的安全性，必须采用专线，而专线费用太高无法进行推广。而采用电话线路增加了用户pos的交易成本。如果采用公共网络又担心用户的卡号密码等信息的泄漏。

因此，如何研制一种低费用高安全性的pos交易方式是当前研究方向。

技术实现要素：

有鉴于此，本发明的目的在于提供一种pos交易加密系统、方法、posp前置服务器(posp，收单管理系统)和pos终端，以提供低费用高安全性的pos交易方式。其具体方案如下：

一种posp前置服务器，包括：

公钥发放模块，用于接收pos终端的公钥请求信息，将生成的公钥发送给所述pos终端；

通信密钥生成模块，用于接收所述pos终端利用所述公钥加密的密钥生成信息，利用私钥解密，得到所述密钥生成信息，从所述密钥生成信息中提取第一密钥，利用所述密钥生成信息生成通信密钥，并发送给所述pos终端利用所述第一密钥加密的通信密钥；

第一报文转发模块，用于接收所述pos终端利用所述通信密钥加密的第一报文，利用所述通信密钥解密，得到所述第一报文，并将所述第一报文转发到posp服务器；

第二报文转发模块，用于接收所述posp服务器发送的第二报文，利用所述通信密钥加密所述第二报文，并转发至所述pos终端。

优选的，所述通信密钥生成模块，具体用于利用所述pos终端生成的随机数和所述posp前置服务器生成的随机数，生成所述通信密钥。

优选的，所述公钥发放模块，包括：

更新单元，用于定时更新所述公钥和相应的所述私钥，并生成当前公钥的版本号；

检测单元，用于检测所述pos终端发送的所述公钥的版本号与当前保存的所述公钥的版本号是否一致；

发放单元，用于如果检测所述pos终端发送的所述公钥的版本号与当前保存的所述公钥的版本号不一致，则将当前保存的所述公钥发送给所述pos终端。

优选的，所述第二报文转发模块，具体用于利用所述pos终端建立的所述通信密钥与通讯链路的相互映射关系，利用与所述pos终端通讯的链路查找到与所述pos终端相应的所述通信密钥，利用所述通信密钥加密所述第二报文，并转发至所述pos终端。

本发明还公开了一种pos终端，包括：

请求发送模块，用于发送公钥请求信息至posp前置服务器；

信息生成模块，用于接收所述posp前置服务器发送的公钥，生成密钥生成信息，并发送利用所述公钥加密的所述密钥生成信息；

报文加密模块，用于接收所述posp前置服务器发送的利用第一密钥加密的通信密钥，利用所述第一密钥解密，得到通信密钥，利用所述通信密钥加密第一报文，并发送所述第一报文至所述posp前置服务器；

报文接收模块，用于接收所述posp前置服务器发送的利用所述通信密钥加密的所述第二报文，并利用所述通信密钥解密，得到所述第二报文。

优选的，所述报文加密模块，具体用于利用所述通信密钥对所述第一报文进行des加密。

优选的，所述报文加密模块，包括：

映射建立单元，用于将所述第一报文发送至所述posp前置服务器，并建立所述通信密钥与所述posp服务器通讯使用的链路之间的映射关系。

优选的，所述请求发送模块，包括：

检测单元，用于检测是否保存有所述公钥；

请求单元，用于当所述检测单元检测到未保存有所述公钥，则发送所述公钥请求信息至所述posp前置服务器；

更新单元，用于接收所述posp前置服务器发送的公钥，并覆盖保存在本地的公钥。

本发明还公开了一种pos交易加密系统，包括前述公开的posp前置服务器以及pos终端。

本发明还公开了一种pos交易加密方法，包括：

pos终端发送公钥请求信息至posp前置服务器；

所述posp前置服务器发送公钥至所述pos终端；

所述pos终端生成密钥生成信息，利用接收所述posp前置服务器发送的所述公钥加密所述密钥生成信息，并将加密后的所述密钥生成信息发送至所述posp前置服务器；

所述posp前置服务器接收加密后的所述密钥生成信息，利用私钥解密，得到密钥生成信息，从所述密钥生成信息中提取第一密钥，并利用所述密钥生成信息生成通信密钥，且发送利用所述第一密钥加密的所述通信密钥至所述pos终端；

所述pos终端利用所述第一密钥解密，得到所述通信密钥，利用所述通信密钥加密第一报文，并发送所述第一报文至所述posp前置服务器；

所述posp前置服务器利用所述通信密钥解密，得到所述第一报文，并将所述第一报文转发到posp服务器；

所述posp服务器发送第二报文至所述posp前置服务器；

所述posp前置服务器利用所述通信密钥加密所述第二报文，并转发至所述pos终端；

所述pos终端利用所述通信密钥解密，得到所述第二报文。

本发明中，posp前置服务器，包括：公钥发放模块，用于接收pos终端的公钥请求信息，将生成的公钥发送给pos终端；通信密钥生成模块，用于接收pos终端利用公钥加密的密钥生成信息，利用私钥解密，得到密钥生成信息，从密钥生成信息中提取第一密钥，利用密钥生成信息生成通信密钥，并发送给pos终端利用第一密钥加密的通信密钥；第一报文转发模块，用于接收pos终端利用通信密钥加密的第一报文，利用通信密钥解密，得到第一报文，并将第一报文转发到posp服务器；第二报文转发模块，用于接收posp服务器发送的第二报文，利用通信密钥加密第二报文，并转发至pos终端。可见，本发明posp前置服务器向pos终端发送公钥以用于加密posp前置服务器和pos终端的初始通信内容，再利用pos终端生成的密钥生成信息生成通信密钥，pos终端再利用通信密钥加密报文，且pos终端和posp服务器之间的通讯都经由posp前置服务器进行加密和解密，实现了一次一密，即一次通讯一种密钥，极大地提高了通讯的安全性，同时，不会增加过高的成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种posp前置服务器结构示意图；

图2为本发明实施例公开的一种pos终端结构示意图；

图3为本发明实施例公开的一种交易加密方法流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种posp前置服务器，参见图1所示，该posp前置服务器包括公钥发放模块11、通信密钥生成模块12、第一报文转发模块13和第二报文转发模块14；其中，

公钥发放模块11，用于接收pos终端的公钥请求信息，将生成的公钥发送给pos终端。

具体的，公钥将由公钥发放模块11自行生成，当接收到pos终端的公钥请求信息时，公钥发放模块11便利用公钥请求信息，将公钥发送给pos终端。

通信密钥生成模块12，用于接收pos终端利用公钥加密的密钥生成信息，利用私钥解密，得到密钥生成信息，从密钥生成信息中提取第一密钥，利用密钥生成信息生成通信密钥，并发送给pos终端利用第一密钥加密的通信密钥。

具体的，为了保证密钥的安全性和可靠性，接收pos终端生成的密钥生成信息，利用密钥生成信息可以生成新的通信密钥，以保证后续通信时能够使用新生成的通信密钥，进一步的增加安全性，同时从密钥生成信息中提取出第一密钥，利用第一密钥加密通信密钥，并发送给pos终端。

可以理解的是，公钥发放模块11在生成公钥的同时也会生成相应的私钥，以利用私钥解密使用相应公钥加密的文件。

第一报文转发模块13，用于接收pos终端利用通信密钥加密的第一报文，利用通信密钥解密，得到第一报文，并将第一报文转发到posp服务器。

具体的，第一报文为pos终端向posp服务器发送的报文，pos终端向posp服务器发送第一报文前，需先将利用通信密钥加密的第一报文发送至posp前置服务器，由posp前置服务器利用通信密钥进行解密，使得第一报文变为明码报文，再将第一报文转发至posp服务器，避免posp服务器无法解密。

第二报文转发模块14，用于接收posp服务器发送的第二报文，利用通信密钥加密第二报文，并转发至pos终端。

具体的，posp服务器向pos终端发送第二报文时，需先将第二报文发送至posp前置服务器，由posp前置服务器利用通信密钥加密第二报文，再转发至pos终端。

可见，本发明实施例posp前置服务器向pos终端发送公钥以用于加密posp前置服务器和pos终端的初始通信内容，再利用pos终端生成的密钥生成信息生成通信密钥，pos终端再利用通信密钥加密报文，且pos终端和posp服务器之间的通讯都经由posp前置服务器进行加密和解密，实现了一次一密，即一次通讯一种密钥，极大地提高了通讯的安全性，同时，不会增加过高的成本。

上述通信密钥生成模块12，可以具体用于利用pos终端生成的随机数和posp前置服务器生成的随机数，生成通信密钥。

需要说明的是，pos终端发送的密钥生成信息中包括pos终端生成的随机数，同时，posp前置服务器也可以生成随机数，利用pos终端发送的密钥生成信息中的随机数和posp前置服务器生成的随机数，生成通信密钥；其中，利用pos终端生成的随机数可以作为第一密钥用来加密通信密钥。

上述公钥发放模块11，具体可以包括更新单元、检测单元和发放单元；其中，

更新单元，用于定时更新公钥和相应的私钥，并生成当前公钥的版本号。

具体的，为了提高安全系数，公钥发放模块11定时更新保存的公钥和相应的私钥，同时为当前公钥生成相应的版本号，以便于区别当前公钥是否一致，例如，公钥发放模块11每24小时更新一次公钥和相应的私钥，更新时新的公钥和私钥将覆盖旧的公钥和私钥，并保存在公钥发放模块11，同时，将生成当前公钥的版本号。

检测单元，用于检测pos终端发送的公钥的版本号与当前保存的公钥的版本号是否一致。

具体的，posp前置服务器接收pos终端发送的利用公钥加密的密钥生成信息，从中判别pos终端发送的公钥的版本号与当前保存的公钥的版本号是否一致。

可以理解的是，公钥本身携带有公钥的版本号，因此，任何使用公钥加密的文件，都可以识别公钥的版本号。

发放单元，用于如果检测pos终端发送的公钥的版本号与当前保存的公钥的版本号不一致，则将当前保存的公钥发送给pos终端。

具体的，在检测到公钥版本号不同后，posp前置服务器将当前保存的公钥发送给pos终端，以使pos终端更新公钥。

可以理解的是，一台posp前置服务器可能负责多台pos终端，因此，当多台pos终端与posp服务器进行通信时，不同的通信密码可能造成混淆，导致posp前置服务器服务顺利的进行加密和解密，为此，第二报文转发模块14，具体用于利用pos终端建立的通信密钥与通讯链路的相互映射关系，利用与pos终端通讯的链路查找到与pos终端相应的通信密钥，利用通信密钥加密第二报文，并转发至pos终端；利用每台pos终端与posp前置服务器独有的链路与每台pos终端相应的通信密钥建立起的映射关系，posp前置服务器利用与pos终端通讯的链路查找到与pos终端相应的通信密钥，便可以顺利地进行加密和解密操作，而不至于出现错误。

本发明实施例公开了还一种pos终端，参见图2所示，该pos终端包括请求发送模块21、信息生成模块22、报文加密模块23和报文接收模块24；其中，

请求发送模块21，用于发送公钥请求信息至posp前置服务器。

具体的，当pos终端未保存有公约时，发送公钥请求信息至posp前置服务器，以获取公钥。

信息生成模块22，用于接收posp前置服务器发送的公钥，生成密钥生成信息，并发送利用公钥加密的密钥生成信息。

其中，密钥生成信息可以为随机生成的随机数。

报文加密模块23，用于接收posp前置服务器发送的利用第一密钥加密的通信密钥，利用第一密钥解密，得到通信密钥，利用通信密钥加密第一报文，并发送第一报文至posp前置服务器；

报文接收模块24，用于接收posp前置服务器发送的利用通信密钥加密的第二报文，并利用通信密钥解密，得到第二报文。

具体的，上述报文加密模块23，可以具体用于利用通信密钥对第一报文进行des加密；利用通信密钥对报文每8个字节进行des加密，不足8个字节的位置用十六进制的f填补。

上述报文加密模块23，可以包括映射建立单元；其中，

映射建立单元，用于将第一报文发送至posp前置服务器，并建立通信密钥与posp服务器通讯使用的链路之间的映射关系。

进一步的，上述请求发送模块21，可以包括检测单元、请求单元和更新单元；其中，

检测单元，用于检测是否保存有公钥；

请求单元，用于当检测单元检测到未保存有公钥，则发送公钥请求信息至posp前置服务器；

更新单元，用于接收posp前置服务器发送的公钥，并覆盖保存在本地的公钥。

其次，本发明还公开了一种pos交易加密系统，包括前述实施例中公开的posp前置服务器以及pos终端。关于该posp前置服务器以及pos终端的具体构造可以参考前述实施例中公开的相应内容，在此不再进行重复赘述。

与前述实施例中公开的pos交易加密系统对应的，本发明实施例相应公开了一种的pos交易加密方法，参见图3所示，该方法包括：

步骤s11：pos终端发送公钥请求信息至posp前置服务器。

步骤s12：posp前置服务器发送公钥至pos终端。

步骤s13：pos终端生成密钥生成信息，利用posp前置服务器发送的公钥加密密钥生成信息，并将加密后的密钥生成信息发送至posp前置服务器。

步骤s14：posp前置服务器接收加密后的密钥生成信息，利用私钥解密，得到密钥生成信息，从密钥生成信息中提取第一密钥，并利用密钥生成信息生成通信密钥，且发送利用第一密钥加密的通信密钥至pos终端。

具体的，posp前置服务器利用pos终端生成的随机数和posp前置服务器自身生成的随机数，生成通信密钥。

步骤s15：pos终端利用第一密钥解密，得到通信密钥，利用通信密钥加密第一报文，并发送第一报文至posp前置服务器。

具体的，利用通信密钥对第一报文进行des加密，利用通信密钥对报文每8个字节进行des加密，不足8个字节的位置用十六进制的f填补。

步骤s16：posp前置服务器利用通信密钥解密，得到第一报文，并将第一报文转发到posp服务器。

步骤s17：posp服务器发送第二报文至posp前置服务器。

步骤s18：posp前置服务器利用通信密钥加密第二报文，并转发至pos终端。

步骤s19：pos终端利用通信密钥解密，得到第二报文。

本发明实施例中，步骤s11：pos终端发送公钥请求信息至posp前置服务器，具体可以包括步骤s111至步骤s113；其中，

步骤s111：posp前置服务器定时更新公钥和相应的私钥，并生成当前公钥的版本号。

步骤s112：pos终端检测是否保存有公钥；

步骤s113：如果否，则发送公钥请求信息至posp前置服务器。

具体的，如果是，则发送利用公钥加密的密钥生成信息至posp前置服务器。

进一步的，上述步骤s12：posp前置服务器发送公钥至pos终端，具体可以包括步骤s121和步骤s122；其中，

步骤s121：检测pos终端发送的公钥的版本号与当前保存的公钥的版本号是否一致；

步骤s122：如果检测pos终端发送的公钥的版本号与当前保存的公钥的版本号不一致，则将当前保存的公钥发送给pos终端。

具体的，如果一致，则执行后续步骤。

需要说明的是，pos终端建立通信密钥与posp服务器通讯使用的链路之间的映射关系，posp前置服务器利用映射关系和与pos终端通讯的链路查找到与pos终端相应的通信密钥，利用通信密钥加密第二报文，并转发至pos终端。

可见，本发明实施例posp前置服务器向pos终端发送公钥以用于加密posp前置服务器和pos终端的初始通信内容，再利用pos终端生成的密钥生成信息生成通信密钥，pos终端再利用通信密钥加密报文，且pos终端和posp服务器之间的通讯都经由posp前置服务器进行加密和解密，实现了一次一密，即一次通讯一种密钥，极大地提高了通讯的安全性，同时，不会增加过高的成本。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种pos交易加密系统、方法、posp前置服务器和pos终端进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。