[发明专利]一种POS终端的密钥下载方法和装置

说明书

一种POS终端的密钥下载方法包括：在POS终端的生产或者维修阶段，在所述POS终端设置设备认证密钥对和设备加密密钥对；根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书；根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥。本方法可以在安全中心外通过网络下载主密钥，安全性高，可节省运输成本且效率高。

技术领域

本发明属于POS终端的安全领域，尤其涉及一种POS终端的密钥下载方法和装置。

背景技术

POS(英文全称为Point of sales，中文全称为销售点)，是一种配有条码或OCR码技术终端阅读器，有现金或易货额度出纳功能。其主要任务是对商品与服务交易提供数据服务和管理功能，并进行非现金结算。由于其包括非现金结算功能，因此，必须很好的保证POS终端的安全性，比如保证POS终端中的密钥的安全性。

为了保证POS终端的密钥的安全性，目前通常是在厂商发货给收单机构后，需要将POS终端运输至收单机构所在地的安全中心，由安全中心注入密钥。在完成密钥注入之后再分发到商户，由于POS终端在出厂后，还需要运输到安全中心进行密钥注入，在完成密钥注入后再分发至收单机构，使得密钥注入的操作较为麻烦，而且增加了物流成本开销，密钥注入的效率低。

发明内容

本发明的目的在于提供一种POS终端的密钥下载方法，以解决现有技术需要将设备运输至安全中心进行密钥注入，操作较为麻烦，而且增加物流成本，密钥注入效率低的问题。

第一方面，本发明实施例提供了一种POS终端的密钥下载方法，所述方法包括：

在POS终端的生产或者维修阶段，在所述POS终端设置设备认证密钥对和设备加密密钥对；

根据远程密钥服务器设置的远程认证密钥对与所述POS终端中的设备认证密钥对，所述POS终端和所述远程密钥服务器相互认证，在认证通过后，在所述POS终端设备绑定所述远程密钥服务器的证书；

根据所述设备加密密钥对，以及临时传送密钥，POS终端从所述远程密钥服务器下载主密钥。

结合第一方面，在第一方面的第一种可能实现方式中，所述在所述POS终端设置设备认证密钥对和设备加密密钥对步骤具体为：

在所述POS终端中随机生成所述设备认证密钥对和设备加密密钥对，或者，由厂商加密机随机生成所述设备认证密钥对和设备加密密钥对，并将所述设备认证密钥对和设备加密密钥对中的公钥发送至证书注册机构，分别生成设备认证密钥证书和设备加密证书。

结合第一方面或第一方面的第一种可能实现方式，在第一方面的第二种可能实现方式中，所述在所述POS终端设置设备认证密钥对和设备加密密钥对步骤包括：

POS终端向本地密钥服务器发送密钥设置请求，所述密钥设置请求包括所述POS终端的设备标识；

POS终端接收并验证所述本地密钥服务器发送的本地密钥服务器证书，当验证通过时，生成第一随机数和第二随机数，通过所述本地密钥服务器证书中的本地密钥服务器公钥加密所述第一随机数和第二随机数，并向所述本地密钥服务器发送加密后的第一密文；

本地密钥服务器通过本地密钥服务器私钥解密所述第一密文，得到第一随机数和第二随机数，通过第一随机数加密第二随机数生成第二密文，根据所述设备标识查找对应的设备认证密钥对和设备加密密钥对，通过第一随机数加密所述设备认证私钥和设备加密私钥生成第三密文，在POS终端通过第二密文验证后，将所述第三密文、设备认证证书和设备加密证书发送至POS终端；