本發(fā)明涉及電子支付領域，尤其涉及一種rsa密鑰對和證書的注入方法、架構及系統(tǒng)。

背景技術：

隨著電子支付產(chǎn)業(yè)的迅速發(fā)展，比如銀行卡支付、消費卡支付、行業(yè)卡支付以及其它借由網(wǎng)絡的電子支付技術，電子支付以其快捷方便的特點，越來越受到人們的歡迎。電子支付系統(tǒng)包括供消費者使用的終端設備以及支付平臺和密鑰管理等設備。為了確保消費的安全性，消費者通過專用的支付終端輸入消費信息(比如帳號密碼等)，然后由支付終端傳輸?shù)街Ц镀脚_。

支付終端，以pos(pointofsale，pos)為例，保護消費者賬戶安全的原理如下：pos終端能夠接受銀行卡信息，具有通訊功能，并接受柜員的指令完成金融交易信息和有關信息交換的設備，pos中對敏感信息處理的模塊稱為密碼鍵盤(pinpad)，對各種金融交易相關的密鑰進行安全存儲保護，以及對pin進行加密保護的安全設備，持卡人的個人識別碼(personalidentificationnumber，pin)通過密碼鍵盤輸入。為防止pin泄露或者被破解，以保護持卡人的財產(chǎn)安全，整個支付過程中對pin必須進行加密保護，避免其以明文形式出現(xiàn)。為此，接受pin輸入的pos終端需配備相應的密鑰管理體系。

pos終端中常用的密鑰管理體系有兩類，不論是分級的密鑰體系，主密鑰/工作密鑰(masterkey/sessionkey，mk/sk)還是每筆交易衍生單鑰管理方法(deriveduniquekeypertransaction，dukpt)，都需要將一個初始密鑰(initiailkey，ik)下載到終端，如何下載初始密鑰到終端，目前主流的方向是采用遠程密鑰下載方式，要求支付終端在出廠前預置非對稱rsa密鑰和證書，終端出廠后使用rsa密鑰和證書與kms系統(tǒng)進行雙向認證，通過kms安全下載終端主密鑰(tmk)?？紤]到終端的運算性能差異較大，而當前標準的rsa密鑰需要達到2048比特的安全強度，rsa密鑰對的生成速度一直是低性能終端的瓶頸。那么如何在生產(chǎn)階段安全高效地注入非對稱rsa密鑰和證書呢，目前通常有以下幾種方式：

方式一：將支付終端放到安全房內，物理連接硬件加密機(hardwaresecuritymodule，hsm)注入密鑰對和證書；

方式二：由支付終端內部生成密鑰對，生成證書請求文件導出，請求認證中心(certificationauthority，ca)簽發(fā)證書。

方式三：支付終端和認證中心ca共享一個秘密信息，ca中心生成密鑰對和證書之后使用該秘密信息加密后傳遞給支付終端。

但上述方式存在以下缺點：

缺點1：證書的注入工作需要在一個高安全管控的安全機房內進行，通過人工方式集中注入，增加了安全房的構建及維護成本。

缺點2：終端性能差異較大，且對大多數(shù)終端來說，rsa密鑰對的生成時間隨機性大，最長時間可達到十幾分鐘左右，極大影響生產(chǎn)效率。

缺點3：為了在支付終端和認證中心預置一個共享秘密信息，通常采用人工方式，而且終端數(shù)量龐大，要保證該秘密信息每臺設備唯一，需要大量的人力資源開銷，且對該秘密進行的管控要達到極高的安全級別，否則一旦該秘密信息泄露，終端的私鑰也泄露了。

技術實現(xiàn)要素：

本發(fā)明所要解決的技術問題是：提供一種rsa密鑰對和證書的注入方法、架構及系統(tǒng)，可在生產(chǎn)階段安全高效地注入rsa密鑰對和證書。

為了解決上述技術問題，本發(fā)明采用的技術方案為：一種rsa密鑰對和證書的注入方法，包括：

支付終端生成對稱密鑰；

密鑰管理系統(tǒng)獲取所述對稱密鑰；

支付終端發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)；

密鑰管理系統(tǒng)將所述請求提交至ca中心；

ca中心根據(jù)所述請求生成rsa私鑰和證書，并將所述rsa私鑰和證書通過安全鏈路發(fā)送至密鑰管理系統(tǒng)，所述證書中包括rsa公鑰；

密鑰管理系統(tǒng)使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

支付終端使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書。

本發(fā)明還涉及一種rsa密鑰對和證書的注入架構，包括依次通信連接的支付終端、密鑰管理系統(tǒng)和ca中心；

所述支付終端用于生成對稱密鑰；

所述密鑰管理系統(tǒng)用于獲取所述對稱密鑰；

所述支付終端還用于發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)；

所述密鑰管理系統(tǒng)還用于將所述請求提交至ca中心；

所述ca中心用于根據(jù)所述請求生成rsa私鑰和證書，并將所述rsa私鑰和證書通過安全鏈路發(fā)送至密鑰管理系統(tǒng)，所述證書中包括rsa公鑰；

所述密鑰管理系統(tǒng)還用于使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

所述支付終端還用于使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書。

本發(fā)明還涉及一種rsa密鑰對和證書的注入系統(tǒng)，包括：

第一生成模塊，用于支付終端生成對稱密鑰；

獲取模塊，用于密鑰管理系統(tǒng)獲取所述對稱密鑰；

發(fā)起模塊，用于支付終端發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)；

提交模塊，用于密鑰管理系統(tǒng)將所述請求提交至ca中心；

第二生成模塊，用于ca中心根據(jù)所述請求生成rsa私鑰和證書，并將所述rsa私鑰和證書通過安全鏈路發(fā)送至密鑰管理系統(tǒng)，所述證書中包括rsa公鑰；

加密模塊，用于密鑰管理系統(tǒng)使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

解密模塊，用于支付終端使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書。

本發(fā)明的有益效果在于：采用ca中心集中生成rsa密鑰對和證書的方式，由于其生成速度相比支付終端更優(yōu)異，有效解決了支付終端性能不足造成的產(chǎn)能低效問題；通過安全鏈路傳輸以及對稱密鑰加密的方式，有效保證了數(shù)據(jù)傳輸過程中的安全性和機密性；本發(fā)明適用于所有類型的支付終端，有效解決了支付終端自己產(chǎn)生rsa密鑰對效率低下的問題，通過采用自動安全注入的方式，減少了人工操作和維護產(chǎn)線安全機房的成本，且保證安全。

附圖說明

圖1為本發(fā)明實施例一中rsa密鑰對和證書的注入方法的流程圖；

圖2為本發(fā)明實施例一中rsa密鑰對和證書的注入架構的結構示意圖；

圖3為本發(fā)明實施例二的方法流程圖；

圖4為本發(fā)明實施例二中rsa密鑰對和證書的注入架構的結構示意圖；

圖5為本發(fā)明實施例三的方法流程圖；

圖6為本發(fā)明實施例四的方法流程圖；

圖7為本發(fā)明一種rsa密鑰對和證書的注入系統(tǒng)的結構示意圖；

圖8為本發(fā)明實施例五的系統(tǒng)結構示意圖。

標號說明：

100、支付終端；200、密鑰管理系統(tǒng)；300、ca中心；400、硬件加密機；

1、第一生成模塊；2、獲取模塊；3、發(fā)起模塊；4、提交模塊；5、第二生成模塊；6、加密模塊；7、解密模塊；

21、第一生成單元；22、簽發(fā)單元；23、第一驗證單元；24、提取單元；25、第一加密單元；26、第一解密單元；

31、第二生成單元；32、第二加密單元；33、第一發(fā)送單元；34、第一計算單元；35、第三發(fā)送單元；

41、第二解密單元；42、第二發(fā)送單元；43、第二驗證單元；44、執(zhí)行單元；

61、第三加密單元；62、第二計算單元；63、第四發(fā)送單元；

71、第三解密單元；72、第三驗證單元；73、第四驗證單元；74、存儲單元。

具體實施方式

為詳細說明本發(fā)明的技術內容、所實現(xiàn)目的及效果，以下結合實施方式并配合附圖詳予說明。

本發(fā)明最關鍵的構思在于：基于對稱密鑰技術，將rsa密鑰對和證書安全注入到支付終端。

縮略語和關鍵術語定義：

lkms：localkeymanagementsystem本地密鑰管理系統(tǒng)；

ca：certificationauthority，認證中心；它是采用pki(publickeyinfrastructure)公開密鑰基礎架構技術，專門提供網(wǎng)絡身份認證服務，負責簽發(fā)和管理數(shù)字證書；

hsm：highsecuritymachine，高安全設備，在本發(fā)明中為硬件加密機；

hsmwcrt：hsmworkcertificate，加密機工作證書；

pu：publickey，hsmwcrt中的公鑰，用于加密對稱密鑰；

tk：transmissionkey，傳輸密鑰；在本發(fā)明中，對稱密鑰即為tk，用于保護rsa密鑰和證書的傳輸，tk包含2個密鑰：一個為傳輸加密密鑰，另外一個是用于完整性校驗的mac密鑰；

mac：messageauthenticationcheckvalue，消息認證碼，一種數(shù)據(jù)完整性校驗算法；

安全房：具有較高安全級別，用于存放hsm(高安全設備，硬件加密機)、服務器、數(shù)據(jù)庫的房間，該房間需要訪問控制，通常需要雙重控制認證后才能進去；

對稱密鑰：加密和解密操作必須使用相同的密鑰對明文進行運算；對稱密鑰加密算法主要包括：des、tdes、aes，idea、等；

非對稱密鑰：加密密鑰和解密密鑰是不同的，其中一個密鑰可以公開，另外一個密鑰需要保密存儲。公開的密鑰通常稱為公鑰(publickey)，需要秘密存儲的密鑰稱為私鑰(privatekey)。常用的非對稱密鑰算法有：rsa、ecc、國密sm2、rabin等。

請參閱圖1，一種rsa密鑰對和證書的注入方法，包括：

支付終端生成對稱密鑰；

密鑰管理系統(tǒng)獲取所述對稱密鑰；

支付終端發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)；

密鑰管理系統(tǒng)將所述請求提交至ca中心；

ca中心根據(jù)所述請求生成rsa私鑰和證書，并將所述rsa私鑰和證書通過安全鏈路發(fā)送至密鑰管理系統(tǒng)，所述證書中包括rsa公鑰；

密鑰管理系統(tǒng)使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

支付終端使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書。

從上述描述可知，本發(fā)明的有益效果在于：有效解決了支付終端自己產(chǎn)生rsa密鑰對效率低下的問題，通過采用自動安全注入的方式，減少了人工操作和維護產(chǎn)線安全機房的成本，且保證安全。

進一步地，所述“密鑰管理系統(tǒng)獲取所述對稱密鑰”具體為：

密鑰管理系統(tǒng)的硬件加密機生成非對稱密鑰對，所述非對稱密鑰對包括公鑰pu和私鑰pr，并將所述公鑰pu提交到ca中心；

ca中心根據(jù)所述公鑰pu簽發(fā)公鑰證書；

支付終端獲取所述公鑰證書，并對所述公鑰證書進行合法性驗證；

若驗證通過，則從所述公鑰證書中提取公鑰pu；

支付終端使用所述公鑰pu加密所述對稱密鑰，得到第二加密數(shù)據(jù)，并將所述第二加密數(shù)據(jù)發(fā)送至密鑰管理系統(tǒng)；

密鑰管理系統(tǒng)使用私鑰pr解密所述第二加密數(shù)據(jù)，得到對稱密鑰。

由上述描述可知，通過一對非對稱密鑰對將對稱密鑰安全地傳輸給密鑰管理系統(tǒng)，進一步保證了rsa密鑰對和證書注入的安全性。

進一步地，所述對稱密鑰包括第一對稱密鑰；所述“支付終端發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)”具體為：

支付終端生成請求數(shù)據(jù)；

使用第一對稱密鑰加密所述請求數(shù)據(jù)，得到第三加密數(shù)據(jù)；

將所述第三加密數(shù)據(jù)發(fā)送至密鑰管理系統(tǒng)。

進一步地，所述“密鑰管理系統(tǒng)將所述請求提交至ca中心”具體為：

密鑰管理系統(tǒng)使用第一對稱密鑰解密第三加密數(shù)據(jù)，得到請求數(shù)據(jù)；

將所述請求數(shù)據(jù)發(fā)送至ca中心。

由上述描述可知，通過第一對稱密鑰加解密請求數(shù)據(jù)，在驗證支付終端合法性的同時還可保證請求數(shù)據(jù)在傳輸過程中的安全性。

進一步地，所述對稱密鑰還包括第二對稱密鑰；所述“支付終端生成請求數(shù)據(jù)”之后，進一步包括：

使用第二對稱密鑰計算得到所述請求數(shù)據(jù)的第一消息認證碼；

將所述第一消息認證碼發(fā)送至密鑰管理系統(tǒng)。

進一步地，所述“將所述請求數(shù)據(jù)發(fā)送至ca中心”之前，進一步包括：

根據(jù)所述第二對稱密鑰和第一消息認證碼，驗證所述請求數(shù)據(jù)的合法性；

若驗證通過，則執(zhí)行所述將所述請求數(shù)據(jù)發(fā)送至ca中心的步驟。

由上述描述可知，通過第二對稱密鑰進行mac校驗，保證傳輸?shù)臄?shù)據(jù)不可篡改和可認證性，進一步保證了安全性。

進一步地，所述對稱密鑰包括第一對稱密鑰和第二對稱密鑰；所述“密鑰管理系統(tǒng)使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端”具體為：

密鑰管理系統(tǒng)使用第一對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

使用第二對稱密鑰計算得到所述rsa私鑰和證書的第二消息認證碼；

將所述第一加密數(shù)據(jù)和第二消息認證碼發(fā)送至支付終端。

進一步地，所述“支付終端使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書”具體為：

支付終端使用第一對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書；

根據(jù)所述第二對稱密鑰和第二消息認證碼，驗證所述rsa私鑰和證書的完整性；

使用預置的根證書驗證所述證書的合法性；

若驗證通過，則將所述rsa私鑰和證書存儲至支付終端的安全區(qū)域中。

由上述描述可知，采用mac校驗的方法，發(fā)送方和接收方使用特定的mac密鑰，先對數(shù)據(jù)的合法性、完整性進行檢查后再進行后續(xù)操作，保證傳輸?shù)臄?shù)據(jù)不可篡改和可認證性，進一步保證了安全性。

請參照圖7，本發(fā)明還提出了一種rsa密鑰對和證書的注入系統(tǒng)，包括：

第一生成模塊，用于支付終端生成對稱密鑰；

獲取模塊，用于密鑰管理系統(tǒng)獲取所述對稱密鑰；

發(fā)起模塊，用于支付終端發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)；

提交模塊，用于密鑰管理系統(tǒng)將所述請求提交至ca中心；

第二生成模塊，用于ca中心根據(jù)所述請求生成rsa私鑰和證書，并將所述rsa私鑰和證書通過安全鏈路發(fā)送至密鑰管理系統(tǒng)，所述證書中包括rsa公鑰；

加密模塊，用于密鑰管理系統(tǒng)使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

解密模塊，用于支付終端使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書。

進一步地，所述獲取模塊包括：

第一生成單元，用于密鑰管理系統(tǒng)的硬件加密機生成非對稱密鑰對，所述非對稱密鑰對包括公鑰pu和私鑰pr，并將所述公鑰pu提交到ca中心；

簽發(fā)單元，用于ca中心根據(jù)所述公鑰pu簽發(fā)公鑰證書；

第一驗證單元，用于支付終端獲取所述公鑰證書，并對所述公鑰證書進行合法性驗證；

提取單元，用于若驗證通過，則從所述公鑰證書中提取公鑰pu；

第一加密單元，用于支付終端使用所述公鑰pu加密所述對稱密鑰，得到第二加密數(shù)據(jù)，并將所述第二加密數(shù)據(jù)發(fā)送至密鑰管理系統(tǒng)；

第一解密單元，用于密鑰管理系統(tǒng)使用私鑰pr解密所述第二加密數(shù)據(jù)，得到對稱密鑰。

進一步地，所述對稱密鑰包括第一對稱密鑰；所述發(fā)起模塊包括：

第二生成單元，用于支付終端生成請求數(shù)據(jù)；

第二加密單元，用于使用第一對稱密鑰加密所述請求數(shù)據(jù)，得到第三加密數(shù)據(jù)；

第一發(fā)送單元，用于將所述第三加密數(shù)據(jù)發(fā)送至密鑰管理系統(tǒng)。

進一步地，所述提交模塊包括：

第二解密單元，用于密鑰管理系統(tǒng)使用第一對稱密鑰解密第三加密數(shù)據(jù)，得到請求數(shù)據(jù)；

第二發(fā)送單元，用于將所述請求數(shù)據(jù)發(fā)送至ca中心。

進一步地，所述對稱密鑰還包括第二對稱密鑰；所述發(fā)起模塊還包括：

第一計算單元，用于使用第二對稱密鑰計算得到所述請求數(shù)據(jù)的第一消息認證碼；

第三發(fā)送單元，用于將所述第一消息認證碼發(fā)送至密鑰管理系統(tǒng)。

進一步地，所述提交模塊還包括：

第二驗證單元，用于根據(jù)所述第二對稱密鑰和第一消息認證碼，驗證所述請求數(shù)據(jù)的合法性；

執(zhí)行單元，用于若驗證通過，則執(zhí)行所述將所述請求數(shù)據(jù)發(fā)送至ca中心的步驟。

進一步地，所述對稱密鑰包括第一對稱密鑰和第二對稱密鑰；所述加密模塊包括：

第三加密單元，用于密鑰管理系統(tǒng)使用第一對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

第二計算單元，用于使用第二對稱密鑰計算得到所述rsa私鑰和證書的第二消息認證碼；

第四發(fā)送單元，用于將所述第一加密數(shù)據(jù)和第二消息認證碼發(fā)送至支付終端。

進一步地，所述解密模塊包括：

第三解密單元，用于支付終端使用第一對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書；

第三驗證單元，用于根據(jù)所述第二對稱密鑰和第二消息認證碼，驗證所述rsa私鑰和證書的完整性；

第四驗證單元，用于使用預置的根證書驗證所述證書的合法性；

存儲單元，用于若驗證通過，則將所述rsa私鑰和證書存儲至支付終端的安全區(qū)域中。

實施例一

請參照圖1，本發(fā)明的實施例一為：一種rsa密鑰對和證書的注入方法，可遠程安全注入rsa密鑰對和證書到支付終端；所述方法基于如圖2所示的rsa密鑰對和證書的注入架構，包括依次通信連接的支付終端100、密鑰管理系統(tǒng)200和ca中心300。

由于需要從ca中心獲取rsa密鑰對和證書，因此需部署ca中心，搭建自己的kpi體系，有以下兩種可選的做法，一是掛靠一個“可信的第三方ca機構”，成為其附屬機構，所謂“第三方ca機構”也即商用ca，比如cfca(中國金融認證中心)，ctca(中信安全認證中心)等；二是廠家建立自己的ca中心，涉及到本方案中，ca中心的主要任務是給設備頒發(fā)中心，可建立自有ca(in-houseca)。

同時，需將ca根證書導出，預置到支付終端，可通過燒片包實現(xiàn)。這里的根證書，可依照信任等級選擇。比如若作為可信第三方ca機構的附屬機構，信任的是自己所屬機構的ca，只需要預置該附屬機構的根證書即可；若建立的是自有ca，則預置的是自有ca的頂級根證書。

還需建立密鑰管理系統(tǒng)(lkms)和ca中心的安全通信鏈路，根據(jù)建立ca屬性的不同，安全通信鏈路采用不同的方式。以建立自有ca中心為例，ca中心和lkms部署于同一個安全房中，ca中心位于安全房里間，安全等級最高；lkms部署于安全房外間，二者通過專用線路和端口進行通信。

如圖1所示，所述方法包括如下步驟：

s1：支付終端生成對稱密鑰；進一步地，每臺支付終端生成的對稱密鑰是唯一的，滿足一機一密。

s2：密鑰管理系統(tǒng)獲取所述對稱密鑰；

s3：支付終端發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)；

s4：密鑰管理系統(tǒng)將所述請求提交至ca中心；

s5：ca中心根據(jù)所述請求生成rsa私鑰和證書，并將所述rsa私鑰和證書通過安全鏈路發(fā)送至密鑰管理系統(tǒng)，所述證書中包括rsa公鑰；

s6：密鑰管理系統(tǒng)使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

s7：支付終端使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書。

加密后的rsa私鑰和證書在到達支付終端之前，只有請求發(fā)起的支付終端可以解密，且該過程是在終端的安全區(qū)域進行的。解密完成之后采用支付終端的頂級加密密鑰加密存儲，遭受攻擊報警之后，該安全區(qū)域中的數(shù)據(jù)會攻擊自毀。

通過上述步驟安全注入rsa私鑰和證書后，支付終端即可根據(jù)該rsa私鑰和證書下載初始密鑰。

優(yōu)選地，可將支付終端通過usb或串口連接到一臺pc機上，支付終端與密鑰管理系統(tǒng)之間的通信通過該pc機進行，當支付終端的性能較低時，可提高生產(chǎn)效率。

本實施例采用ca中心集中生成rsa密鑰對和證書的方式，ca中心生成密鑰對的模塊是經(jīng)過nist和fips認證的硬件安全模塊，其生成速度相比支付終端更優(yōu)異，有效解決了支付終端性能不足造成的產(chǎn)能低效問題；通過安全鏈路傳輸以及對稱密鑰加密的方式，有效保證了數(shù)據(jù)傳輸過程中的安全性和機密性；本發(fā)明適用于所有類型的支付終端，有效解決了支付終端自己產(chǎn)生rsa密鑰對效率低下的問題，通過采用自動安全注入的方式，減少了人工操作和維護產(chǎn)線安全機房的成本，且保證安全。

實施例二

請參照圖3，本實施例是實施例一中步驟s2的進一步拓展。本實施例的方法基于如圖4所示的rsa密鑰對和證書的注入架構，包括依次通信連接的支付終端100、密鑰管理系統(tǒng)200和ca中心300，所述密鑰管理系統(tǒng)200中設有硬件加密機400。

所述步驟s2包括如下步驟：

s201：密鑰管理系統(tǒng)的硬件加密機生成非對稱密鑰對，所述非對稱密鑰對包括公鑰pu和私鑰pr，并將所述公鑰pu提交到ca中心；進一步地，將公鑰pu導出為pkcs10格式；并將該格式的公鑰請求數(shù)據(jù)提交到ca中心簽發(fā)公鑰證書hsmwcrt。

s202：ca中心根據(jù)所述公鑰pu簽發(fā)公鑰證書；

s203：支付終端獲取所述公鑰證書，并對所述公鑰證書進行合法性驗證；

s204：若驗證通過，則從所述公鑰證書中提取公鑰pu；

s205：支付終端使用所述公鑰pu加密所述對稱密鑰，得到第二加密數(shù)據(jù)，并將所述第二加密數(shù)據(jù)發(fā)送至密鑰管理系統(tǒng)；

s206：密鑰管理系統(tǒng)使用私鑰pr解密所述第二加密數(shù)據(jù)，得到對稱密鑰。由于硬件加密機設置在密鑰管理系統(tǒng)中，因此密鑰管理系統(tǒng)可直接獲得私鑰pr。

本實施例通過一對非對稱密鑰對將對稱密鑰安全地傳輸給密鑰管理系統(tǒng)，進一步保證了rsa密鑰對和證書注入的安全性；同時，該非對稱密鑰對由密鑰管理系統(tǒng)的硬件加密機生成，其公鑰通過ca中心簽發(fā)的公鑰證書傳給支付終端，有效保證了公鑰傳輸?shù)陌踩?，且可驗證公鑰來源的可靠性。

實施例三

請參照圖5，本實施例是實施例一或實施例二步驟s3-s4的進一步拓展。本實施例中，所述對稱密鑰包括第一對稱密鑰和第二對稱密鑰。

所述步驟s3包括如下步驟：

s301：支付終端生成請求數(shù)據(jù)；

s302：使用第一對稱密鑰加密所述請求數(shù)據(jù)，得到第三加密數(shù)據(jù)；

s303：使用第二對稱密鑰計算得到所述請求數(shù)據(jù)的第一消息認證碼；

s304：將所述第三加密數(shù)據(jù)和第一消息認證碼發(fā)送至密鑰管理系統(tǒng)。

所述步驟s4包括如下步驟：

s401：密鑰管理系統(tǒng)使用第一對稱密鑰解密第三加密數(shù)據(jù)，得到請求數(shù)據(jù)；

s402：根據(jù)所述第二對稱密鑰和第一消息認證碼，驗證所述請求數(shù)據(jù)的合法性；具體地，密鑰管理系統(tǒng)也使用第二對稱密鑰計算解密后的數(shù)據(jù)，即所述請求數(shù)據(jù)的消息認證碼，若該消息認證碼與支付終端傳過來的第一消息認證碼一致，則所述請求數(shù)據(jù)合法。

s403：若驗證通過，則將所述請求數(shù)據(jù)發(fā)送至ca中心。

本實施例通過第一對稱密鑰加解密請求數(shù)據(jù)，在驗證支付終端合法性的同時還可保證請求數(shù)據(jù)在傳輸過程中的安全性；同時，通過第二對稱密鑰進行mac校驗，保證傳輸?shù)臄?shù)據(jù)不可篡改和可認證性，進一步保證了安全性。

實施例四

請參照圖6，本實施例是實施例一、實施例二或實施例三步驟s6-s7的進一步拓展。本實施例中，所述對稱密鑰包括第一對稱密鑰和第二對稱密鑰。

所述步驟s6包括如下步驟：

s601：密鑰管理系統(tǒng)使用第一對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

s602：使用第二對稱密鑰計算得到所述rsa私鑰和證書的第二消息認證碼；

s603：將所述第一加密數(shù)據(jù)和第二消息認證碼發(fā)送至支付終端。

所述步驟s7包括如下步驟：

s701：支付終端使用第一對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書；

s702：根據(jù)所述第二對稱密鑰和第二消息認證碼，驗證所述rsa私鑰和證書的完整性；具體地，支付終端也使用第二對稱密鑰計算解密后的數(shù)據(jù)，即所述rsa私鑰和證書的消息認證碼，若該消息認證碼與密鑰管理系統(tǒng)傳過來的第二消息認證碼一致，則所述rsa私鑰和證書完整。

s703：使用預置的根證書驗證所述證書的合法性；

s704：若驗證通過，則將所述rsa私鑰和證書存儲至支付終端的安全區(qū)域中。

本實施例采用mac校驗的方法，發(fā)送方和接收方使用特定的mac密鑰，先對數(shù)據(jù)的合法性、完整性進行檢查后再進行后續(xù)操作，保證傳輸?shù)臄?shù)據(jù)不可篡改和可認證性，進一步保證了安全性。

實施例五

請參照圖8，本實施例為對應上述實施例的一種rsa密鑰對和證書的注入系統(tǒng)，包括：

第一生成模塊1，用于支付終端生成對稱密鑰；

獲取模塊2，用于密鑰管理系統(tǒng)獲取所述對稱密鑰；

發(fā)起模塊3，用于支付終端發(fā)起請求，并將所述請求發(fā)送至密鑰管理系統(tǒng)；

提交模塊4，用于密鑰管理系統(tǒng)將所述請求提交至ca中心；

第二生成模塊5，用于ca中心根據(jù)所述請求生成rsa私鑰和證書，并將所述rsa私鑰和證書通過安全鏈路發(fā)送至密鑰管理系統(tǒng)，所述證書中包括rsa公鑰；

加密模塊6，用于密鑰管理系統(tǒng)使用所述對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

解密模塊7，用于支付終端使用對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書。

進一步地，所述獲取模塊2包括：

第一生成單元21，用于密鑰管理系統(tǒng)的硬件加密機生成非對稱密鑰對，所述非對稱密鑰對包括公鑰pu和私鑰pr，并將所述公鑰pu提交到ca中心；

簽發(fā)單元22，用于ca中心根據(jù)所述公鑰pu簽發(fā)公鑰證書；

第一驗證單元23，用于支付終端獲取所述公鑰證書，并對所述公鑰證書進行合法性驗證；

提取單元24，用于若驗證通過，則從所述公鑰證書中提取公鑰pu；

第一加密單元25，用于支付終端使用所述公鑰pu加密所述對稱密鑰，得到第二加密數(shù)據(jù)，并將所述第二加密數(shù)據(jù)發(fā)送至密鑰管理系統(tǒng)；

第一解密單元26，用于密鑰管理系統(tǒng)使用私鑰pr解密所述第二加密數(shù)據(jù)，得到對稱密鑰。

進一步地，所述對稱密鑰包括第一對稱密鑰；所述發(fā)起模塊3包括：

第二生成單元31，用于支付終端生成請求數(shù)據(jù)；

第二加密單元32，用于使用第一對稱密鑰加密所述請求數(shù)據(jù)，得到第三加密數(shù)據(jù)；

第一發(fā)送單元33，用于將所述第三加密數(shù)據(jù)發(fā)送至密鑰管理系統(tǒng)。

進一步地，所述提交模塊4包括：

第二解密單元41，用于密鑰管理系統(tǒng)使用第一對稱密鑰解密第三加密數(shù)據(jù)，得到請求數(shù)據(jù)；

第二發(fā)送單元42，用于將所述請求數(shù)據(jù)發(fā)送至ca中心。

進一步地，所述對稱密鑰還包括第二對稱密鑰；所述發(fā)起模塊3還包括：

第一計算單元34，用于使用第二對稱密鑰計算得到所述請求數(shù)據(jù)的第一消息認證碼；

第三發(fā)送單元35，用于將所述第一消息認證碼發(fā)送至密鑰管理系統(tǒng)。

進一步地，所述提交模塊4還包括：

第二驗證單元43，用于根據(jù)所述第二對稱密鑰和第一消息認證碼，驗證所述請求數(shù)據(jù)的合法性；

執(zhí)行單元44，用于若驗證通過，則執(zhí)行所述將所述請求數(shù)據(jù)發(fā)送至ca中心的步驟。

進一步地，所述對稱密鑰包括第一對稱密鑰和第二對稱密鑰；所述加密模塊6包括：

第三加密單元61，用于密鑰管理系統(tǒng)使用第一對稱密鑰加密所述rsa私鑰和證書，得到第一加密數(shù)據(jù)，并將所述第一加密數(shù)據(jù)發(fā)送至支付終端；

第二計算單元62，用于使用第二對稱密鑰計算得到所述rsa私鑰和證書的第二消息認證碼；

第四發(fā)送單元63，用于將所述第一加密數(shù)據(jù)和第二消息認證碼發(fā)送至支付終端。

進一步地，所述解密模塊7包括：

第三解密單元71，用于支付終端使用第一對稱密鑰對所述第一加密數(shù)據(jù)進行解密，得到所述rsa私鑰和證書；

第三驗證單元72，用于根據(jù)所述第二對稱密鑰和第二消息認證碼，驗證所述rsa私鑰和證書的完整性；

第四驗證單元73，用于使用預置的根證書驗證所述證書的合法性；

存儲單元74，用于若驗證通過，則將所述rsa私鑰和證書存儲至支付終端的安全區(qū)域中。

綜上所述，本發(fā)明提供的一種rsa密鑰對和證書的注入方法、架構及系統(tǒng)，采用ca中心集中生成rsa密鑰對和證書的方式，由于其生成速度相比支付終端更優(yōu)異，有效解決了支付終端性能不足造成的產(chǎn)能低效問題；通過安全鏈路傳輸以及對稱密鑰加密的方式，有效保證了數(shù)據(jù)傳輸過程中的安全性和機密性；本發(fā)明適用于所有類型的支付終端，有效解決了支付終端自己產(chǎn)生rsa密鑰對效率低下的問題，通過采用自動安全注入的方式，減少了人工操作和維護產(chǎn)線安全機房的成本，且保證安全。

以上所述僅為本發(fā)明的實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內容所作的等同變換，或直接或間接運用在相關的技術領域，均同理包括在本發(fā)明的專利保護范圍內。