[发明专利]一种安全下载终端主密钥的方法及系统

说明书

技术领域

本发明涉及电子支付领域，尤其涉及一种安全下载终端主密钥的方法及系统。

背景技术

银行卡(Bank Card)作为支付工具越来越普及，通常的银行卡支付系统，包括销售点终端(Point Of Sale：POS)，终端管理系统(Terminal ManageSystem：TMS)，密码键盘(PIN PAD)和硬件加密机(Hardware and SecurityModule：HSM)。[0003]其中POS终端能够接受银行卡信息，具有通讯功能，并接受柜员的指令而完成金融交易信息和有关信息交换的设备；TMS系统对属下的POS终端进行集中管理，包括参数下载，密钥下载，接受、处理或转发POS终端的交易请求，并向POS终端回送交易结果信息的集中管理及交易处理系统；密码键盘(PIN PAD)是对TMK、PIK和MAK进行安全存储保护，以及对PIN进行加密保护的安全设备；硬件加密机(Hardware and SecurityModule：HSM)是对传输的数据进行加密的外围硬件设备，用于PIN的加密和解密、验证报文和文件来源的正确性以及存储密钥。个人标识码(Personal Identification Number；PIN)，即个人密码，是在联机交易中识别持卡人身份合法性的数据信息，在计算机和网络系统中任何环节都不允许PIN以明文的方式出现；终端主密钥(Terminal Master Key；TMK)：POS终端工作时，对工作密钥进行加密的主密钥，保存在系统硬件中，只能使用，不能读取；工作密钥(workingkey；WK)，也称为数据密钥，通常包括PIN加密密钥(简称PIK)和报文鉴别MAC计算的密钥(简称MAK)，工作密钥必须经常更新，在联机更新的报文中用终端主密钥(TMK)对工作密钥进行加密，形成密文后再进行传输。

POS终端广泛应用于银行卡支付场合，比如商场购物、酒店授权等，是一种不可或缺的现代化支付手段，已经融入人们的正常生活。银行卡(特别是借记卡)一般都由持卡人设置了PIN，在进行支付过程中，POS终端除了上送银行卡的磁道信息等资料之外，还要求持卡人输入PIN供发卡银行验证持卡人身份合法性，以确保银行卡支付安全，保护持卡人的财产安全。为了防止PIN泄露或被破解，要求从终端到发卡银行整个信息交互过程中，全程对PIN进行安全加密保护，不允许在计算机和网络系统中的任何环节，PIN以明文的方式出现。为此，目前能接受输入PIN的POS终端都要求配备密钥管理体系。

POS终端的密钥体系分成二级：终端主密钥(TMK)和工作密钥(WK)。其中TMK对WK进行加密保护，每台POS终端拥有唯一的TMK，必须要有安全保护措施，保证只能写入硬件设备并参与运算，不能被读取；WK包括用于对PIN加密的PIK和进行报文鉴别(MAC)的MAK两部分，均由TMS调用加密机产生，在POS终端向TMS签到时下载，并利用TMK加密传输和存储，其加密算法都是使用安全级别很高的3DES算法。具体工作密钥下载流程：

POS终端向TMS发起签到请求；

TMS调用加密机随机生成用TMK加密的PIK和MAK；

POS终端接收从TMS返回的PIK和MAK密文，并存入密码键盘。

在银行卡支付过程中，通过键盘输入时，由密码键盘利用PIK对持卡人输入的PIN进行加密之后上送给TMS，然后TMS再对加密后的PIN通过调用加密机进行转换之后转发给发卡银行进行授权处理，整个传输过程中确保PIN都是利用硬件进行加密保护，其加密使用的3DES加密算法也是目前为止应用广泛安全级别很高的加密算法之一，通常应用在金融行业。

从上面的工作密钥下载过程中可以看出，TMK是一个很关键的根密钥。如果TMK被截取，PIK、MAK甚至PIN都可以利用3DES算法进行破解，将严重威胁银行卡支付安全。所以，TMK能否安全下载到POS终端，也就成为一个密码安全保护的关键步骤。下面我们把目前现有的TMK下载方法归纳如下：

以各种方式将明文TMK或密文TMK导入到一台密钥母POS终端上，最终都需要下载母POS终端上存储明文主密钥，密钥母POS终端通过串口与需要下载的主密钥TMK的POS终端相连，将明文主密钥TMK下载到POS终端上。

由于主密钥TMK通过母POS下载传输到POS终端上，是通过明文传输的，存在安全隐患，如果被中途截取，将造成主密钥TMK的泄露。

发明内容