一種安全生成傳輸密鑰的方法及POS終端

銀行卡（BANK Card）作為支付工具越來越普及，通常的銀行卡支付系統包括銷售點終端（Point Of Sale，POS）、POS收單系統（POSP）、密碼鍵盤（PIN PAD）和硬體加密機（Hardwareand Security Module，HSM）。其中POS終端能夠接受銀行卡信息，具有通訊功能，並接受櫃員的指令完成金融交易信息和有關信息交換的設備；POS收單系統對POS終端進行集中管理，包括參數下載，密鑰下載，接受、處理或轉發POS終端的交易請求，並向POS終端回送交易結果信息，是集中管理和交易處理的系統；密碼鍵盤（PIN PAD）是對各種金融交易相關的密鑰進行安全存儲保護，以及對PIN進行加密保護的安全設備；硬體加密機（HSM）是對傳輸數據進行加密的外圍硬體設備，用於PIN的解密、驗證報文和檔案來源的正確性以及存儲密鑰。個人標識碼（Personal Identification Number，PIN），即個人密碼，是在在線上交易中識別持卡人身份合法性的數據信息，在計算機和網路系統中任何環節都不允許以明文的方式出現；終端主密鑰（Terminal Master Key，TMK），POS終端工作時，對工作密鑰進行加密的主密鑰，加密保存在系統資料庫中；POS終端廣泛套用於銀行卡支付場合，比如廠商購物、酒店住宿等，是一種不可或缺的現代化支付手段，已經融入人們生活的各種場合。銀行卡，特別是借記卡，一般都由持卡人設定了PIN，在進行支付過程中，POS終端除了上送銀行卡的磁軌信息等資料外，還要持卡人輸入PIN供發卡銀行驗證持卡人的身份合法性，確保銀行卡支付安全，保護持卡人的財產安全。為了防止PIN泄露或被破解，要求從終端到發卡銀行整個信息互動過程中，全程對PIN進行安全加密保護，不允許在計算機網路系統的任何環節，PIN以明文的方式出現，因此2013年12月之前接受輸入PIN的POS終端都要求配備密鑰管理體系。POS終端的密鑰體系分成二級：終端主密鑰（TMK）和工作密鑰（WK）。其中TMK對WK進行加密保護。每台POS終端有唯一的TMK，必須要有安全保護，保證只能寫入設備並參與計算，不能讀取；TMK是一個很關鍵的根密鑰，如果TMK被截取，工作密鑰就比較容易被破解，將嚴重威脅銀行卡支付安全。所以能否安全下載TMK到POS終端，成為整個POS終端安全性的關鍵。下面歸納2013年12月之前的TMK下載方案如下：

1、密鑰母POS方案：用戶在POS收單系統硬體加密機和密鑰母POS輸入一樣的傳輸加密密鑰。POS終端通過密鑰母POS向POS收單系統發起終端主密鑰下載請求，POS收單系統驅動硬體加密機隨機生成終端主密鑰，並用傳輸加密密鑰加密傳輸給密鑰母POS，密鑰母POS用傳輸加密密鑰解密後再傳輸給POS終端，POS終端獲得終端主密鑰明文，保存到POS終端密碼鍵盤，從而實現POS終端和POS收單系統之間終端主密鑰的同步。

2、IC卡解密方案：用戶在POS收單系統硬體加密機和IC卡中注入一樣的傳輸加密密鑰。用戶將IC卡插入POS終端，POS終端向POS收單系統發起終端主密鑰下載請求，POS收單系統驅動硬體加密機隨機生成終端主密鑰，並用傳輸加密密鑰加密傳輸給POS終端，POS終端用IC卡中的傳輸加密密鑰解密終端主密鑰密文，獲得終端主密鑰明文，保存到POS終端密碼鍵盤，從而實現POS終端和POS收單系統之間終端主密鑰的同步。

上述兩種方案都有以下缺點：終端主密鑰明文出現在安全設備之外，為防範密鑰泄露風險，終端主密鑰的下載必須控制在管理中心的安全機房進行，通過人工集中下載終端主密鑰，從而帶來“維護中心機房工作量大；設備出廠後要運到管理中心安全機房下載密鑰才能部署到商戶，運輸成本上升；為了集中下裝密鑰，需要大量的人手和工作時間，維護成本大、維護周期長”等問題。

為解決上述技術問題，該發明採用的一個技術方案是，提供一種安全生成傳輸密鑰的方法，包括步驟：

S1、實時檢測POS終端物理參數並判斷是否異常，若是，則進入步驟S4，若否，則進入步驟S2；

S2、檢測並判斷POS終端是否能夠正常運行，若是，則進入步驟S3；

S3、執行生成傳輸密鑰TK的流程，並將生成的傳輸密鑰TK傳送至操作終端或伺服器；

S4、終止生成傳輸密鑰TK的流程，然後返回步驟S1。

該發明採用的另一個技術方案是：提供一種安全生成傳輸密鑰的POS終端，該POS終端包括參數檢測模組、功能檢測模組、TK生成模組以及終止模組；所述參數檢測模組用於實時檢測POS終端物理參數並判斷是否異常；所述功能檢測模組用於當所述參數檢測模組判定POS終端物理參數正常時，檢測並判斷POS終端是否能夠正常運行，若是，則通知TK生成模組執行操作；所述TK生成模組用於當所述所述功能檢測模組判定POS終端能夠正常運行時，執行生成傳輸密鑰TK的流程，並將生成的傳輸密鑰TK傳送至操作終端或伺服器；所述終止模組用於當所述參數檢測模組判定POS終端物理參數異常時，終止生成傳輸密鑰TK的流程。

《一種安全生成傳輸密鑰的方法及POS終端》的有益效果是：能夠產生傳輸秘鑰TK的POS終端必須處於非正常使用狀態，即POS終端必須處於生產狀態或維修狀態時才能產生傳輸秘鑰TK，而在產生傳輸秘鑰TK之前，POS終端需要先檢測其物理參數和終端的功能是否正常，若異常則不採集TK數據以確保TK數據的安全，進而確保在安全的環境中產生TK以對TMK的下載進行保護。

圖1是《一種安全生成傳輸密鑰的方法及POS終端》的結構框圖；

圖2是該發明一實施方式中的安全生成傳輸密鑰的方法的主要執行流程圖。

主要元件符號說明：10、參數檢測模組；20、功能檢測模組；30、TK生成模組；40、終止模組；100、POS終端。

1.《一種安全生成傳輸密鑰的方法及POS終端》包括步驟：S1、實時檢測POS終端物理參數並判斷是否異常，若是，則進入步驟S4，若否，則進入步驟S2；S2、檢測並判斷POS終端是否能夠正常運行，若是，則進入步驟S3；S3、執行生成傳輸密鑰TK的流程，並將生成的傳輸密鑰TK傳送至操作終端或伺服器；所述步驟S3具體包括步驟：清除原有的傳輸密鑰TK；接收操作終端或伺服器傳送的公鑰或包含公鑰的證書；當接收到包含公鑰的證書時，驗證證書合法性；當證書合法性驗證通過後或直接接收到公鑰後，使用密碼鍵盤生成傳輸密鑰TK，並使用公鑰加密傳輸密鑰TK，生成傳輸密鑰密文TK_pu並將其傳送到操作終端或伺服器；S4、終止生成傳輸密鑰TK的流程，然後返回步驟S1。

2.根據權利要求1所述的安全生成傳輸密鑰的方法，其特徵在於，所述步驟S1至少包括下述步驟之一：檢測並判斷POS終端的蓋體是否開啟；檢測並判斷POS終端的電壓是否處於預設電壓範圍；以及檢測並判斷POS終端的溫度是否處於預設溫度範圍；若上述任意步驟判定結果為是，則確定POS終端物理參數異常，若步驟S1中包括的上述步驟結果的判定結果均為否，則確定POS終端物理參數正常。

3.根據權利要求1所述的安全生成傳輸密鑰的方法，其特徵在於，所述“檢測並判斷POS終端是否能夠正常運行”具體包括步驟：判斷使用界面是否載入成功；當判定使用界面載入成功後，判斷是否能夠連線網路並下載應用程式；當判定能夠下載應用程式後，確定POS終端能夠正常運行。

4.根據權利要求1所述的安全生成傳輸密鑰的方法，其特徵在於，步驟S3完成後還包括：禁止開啟執行生成傳輸密鑰TK的流程；檢測並判斷操作終端的蓋體是否開啟，並當判定蓋體開啟時清空傳輸密鑰TK。

5.一種安全生成傳輸密鑰的POS終端，其特徵在於，該POS終端包括參數檢測模組、功能檢測模組、TK生成模組以及終止模組；所述參數檢測模組用於實時檢測POS終端物理參數並判斷是否異常；所述功能檢測模組用於當所述參數檢測模組判定POS終端物理參數正常時，檢測並判斷POS終端是否能夠正常運行；所述TK生成模組用於當所述功能檢測模組判定POS終端能夠正常運行時，執行生成傳輸密鑰TK的流程，並將生成的傳輸密鑰TK傳送至操作終端或伺服器；所述TK生成模組具體包括：擦除模組，用於清除原有的傳輸密鑰TK；接收模組，用於當所述擦除模組將原有的傳輸密鑰TK擦除後，接收操作終端或伺服器傳送的公鑰或包含公鑰的證書；驗證模組，用於當所述接收模組接收到包含公鑰的證書時，驗證證書合法性；生成模組，用於當證書合法性通過所述驗證模組驗證通過後或直接接收到公鑰後，調用密碼鍵盤模組生成傳輸密鑰TK，並使用公鑰加密傳輸密鑰TK，生成傳輸密鑰密文TK_pu並將其傳送到操作終端或伺服器；所述終止模組用於當所述參數檢測模組判定POS終端物理參數異常時，終止生成傳輸密鑰TK的流程。

6.根據權利要求5所述的安全生成傳輸密鑰的POS終端，其特徵在於，所述參數檢測模組至少包括下列模組之一：第一檢測模組，用於檢測並判斷POS終端的蓋體是否開啟；第二檢測模組，用於檢測並判斷POS終端的電壓是否處於預設電壓範圍；第三檢測模組，用於檢測並判斷POS終端的溫度是否處於預設溫度範圍；所述參數檢測模組還包括異常判定模組，用於當上述任意模組的執行結果為是時，確定POS終端物理參數異常，以及用於當上述模組的執行結果均為否時，確定POS終端物理參數正常。

7.根據權利要求5所述的安全生成傳輸密鑰的POS終端，其特徵在於，所述功能檢測模組具體包括：第一判斷模組，用於判斷使用界面是否載入成功；第二判斷模組，用於當第一判斷模組判定使用界面載入成功後，判斷是否能夠連線網路並下載應用程式；第三判斷模組，用於第二判斷模組當判定能夠下載應用程式後，確定POS終端能夠正常運行。

8.根據權利要求5所述的安全生成傳輸密鑰的POS終端，其特徵在於，所述TK生成模組還包括：禁啟模組，用於當生成模組完成傳輸密鑰TK生成後，禁止TK生成模組開啟執行生成傳輸密鑰TK的流程；TK清空模組，用於檢測並判斷POS終端的蓋體是否開啟，並當判定蓋體開啟時清空傳輸密鑰TK。

第一判斷模組，用於判斷使用界面是否載入成功；第二判斷模組，用於當第一判斷模組判定使用界面載入成功後，判斷是否能夠連線網路並下載應用程式；第採用一種新的主密鑰下載方案，通過POS終端隨機產生TK（Transmission Key，傳輸密鑰），將產生後的TK保存於POS終端的密碼鍵盤中，並將TK通過各種套用場景下所需的傳輸方式傳送至KMS（Key Management System，密鑰管理系統，用於管理終端主密鑰TMK）中。

當POS終端申請下載終端主密鑰TMK時，KMS系統使用TK加密終端主密鑰TMK，並將加密後的終端主密鑰密文傳送給POS終端，POS終端接收後用TK對主密鑰密文進行解密，得到終端主密鑰TMK，並將終端主密鑰TMK保存在密碼鍵盤裡。

如此，通過TK加密終端主密鑰TMK，使TMK能夠進行遠程傳輸，方便TMK的安全下載。

在某些場景下，採用操作終端採集POS終端產生的TK，並由操作終端負責將TK傳輸給MTMS系統（Material Tracking Management System，物料追溯系統，主要在工廠生產中使用），由MTMS系統統一管理TK，並將TK傳送給相應的KMS系統，所述輸送過程由CA中心（Certificate Authority，證書授權中心，採用Public Key Infrastructure公開密鑰基礎架構技術，專門提供網路身份認證服務，負責簽發和管理數字證書，且具有權威性和公正性的第三方信任機構）鑑別操作終端、MTMS系統和KMS系統的身份。採用操作終端採集TK可以方便TK的採集操作（可以實現一鍵採集等）和TK採集的許可權管理；採用MTMS系統可以方便對TK統一管理，方便以後售後維修時POS終端的數據查找與下載，通過MTMS系統可以實現按生產單批量傳輸TK，方便TK的傳輸管理，防止TK誤傳給錯誤的對象；引入CA中心可以防止偽終端和偽KMS系統竊取TK。

支持終端主密鑰TMK遠程下載的POS終端在出廠前，需要產生傳輸密鑰TK，在遠程下載TMK過程中，由於TK是保護TMK安全下載的密鑰，因此TK必須在安全的環境中生成，即不能在POS終端參數不穩定、或者POS終端被開蓋篡改程式等易導致TK異常的條件下產生TK。然而，2013年12月之前的POS終端並沒有對異常條件進行偵測的技術手段，並且，當TK產生後，出廠的POS終端存在通過被植入程式代碼多次產生TK數據的風險。

下面就對該發明克服上述問題的技術方案進行詳細說明。

參閱圖1，圖1為該發明一實施方式中的一種安全生成傳輸密鑰的POS終端的結構框圖，該POS終端100包括參數檢測模組10、功能檢測模組20、TK生成模組30以及終止模組40。

參數檢測模組10用於實時檢測POS終端100的物理參數並判斷是否異常。

功能檢測模組20用於當所述參數檢測模組10判定POS終端100的物理參數正常時，檢測並判斷POS終端100是否能夠正常運行，若是，則通知TK生成模組30執行操作。

TK生成模組30用於當所述功能檢測模組20判定POS終端100能夠正常運行時，執行生成傳輸密鑰TK的流程，並將生成的傳輸密鑰TK傳送至操作終端或伺服器。其中，所述伺服器包括KMS系統。

終止模組40用於當所述參數檢測模組10判定POS終端物理參數異常時，終止生成傳輸密鑰TK的流程。

其中，所述參數檢測模組10至少包括第一檢測模組、第二檢測模組和第三檢測模組之中的一個。

第一檢測模組用於檢測並判斷POS終端100的蓋體是否開啟。

第二檢測模組用於檢測並判斷POS終端100的電壓是否處於預設電壓範圍。

第三檢測模組用於檢測並判斷POS終端100的溫度是否處於預設溫度範圍。

所述參數檢測模組10還包括異常判定模組，用於當上述任意模組的執行結果為是時，確定POS終端100的物理參數異常，以及用於當上述模組的執行結果均為否時，確定POS終端100的物理參數正常。

其中，所述功能檢測模組20具體包括第一判斷模組，第二判斷模組和第三判斷模組。

第一判斷模組用於判斷使用界面是否載入成功。

第二判斷模組用於當第一判斷模組判定使用界面載入成功後，判斷是否能夠連線網路並下載應用程式。

第三判斷模組用於第二判斷模組當判定能夠下載應用程式後，確定POS終端能夠正常運行。

其中，所述TK生成模組30具體包括擦除模組、接收模組、驗證模組、生成模組、禁啟模組和TK清空模組。

擦除模組用於清除原有的傳輸密鑰TK。

接收模組用於當所述擦除模組將原有的傳輸密鑰TK擦除後，接收操作終端或伺服器傳送的公鑰或包含公鑰的的證書。

驗證模組用於當所述接收模組接收到包含公鑰的證書時，驗證證書合法性。

生成模組用於當證書合法性通過所述驗證模組驗證通過後或直接接收到公鑰後，調用密碼鍵盤模組生成傳輸密鑰TK，並使用公鑰加密傳輸密鑰TK，生成傳輸密鑰密文TK_pu並將其傳送到操作終端或伺服器。

禁啟模組用於當所述生成模組完成傳輸密鑰TK生成後，禁止生成模組再次開啟執行生成傳輸密鑰TK的流程。

TK清空模組用於檢測並判斷POS終端的蓋體是否開啟，並當判定蓋體開啟時清空傳輸密鑰TK。具體地，在終端硬體設備設計時，已經考慮到蓋子開啟的檢測問題，一般通過開啟的蓋體觸發終端中的晶片產生中斷，修改晶片暫存器標誌位，標識POS終端蓋子被開啟過，POS終端的設備檢查模組會定時查詢標誌位，從而判別蓋子是否開啟。

參閱圖2，圖2是該發明一實施方式中一種安全生成傳輸密鑰的方法的主要的執行流程圖，該方法包括步驟：

步驟S1、實時檢測POS終端物理參數並判斷是否異常，若是，則進入步驟S4，若否，則進入步驟S2；

步驟S2、檢測並判斷POS終端是否能夠正常運行，若是，則進入步驟S3；

步驟S3、執行生成傳輸密鑰TK的流程，並將生成的傳輸密鑰TK傳送至操作終端或伺服器；

步驟S4、終止生成傳輸密鑰TK的流程，然後返回步驟S1。在該實施方法中，所述步驟S1至少包括下述步驟之一：S101、檢測並判斷POS終端的蓋體是否開啟；S102、檢測並判斷POS終端的電壓是否處於預設電壓範圍；以及S103、檢測並判斷POS終端的溫度是否處於預設溫度範圍；若上述任意步驟判定結果為是，則確定POS終端物理參數異常，若步驟S1中包括的上述步驟結果的判定結果均為否，則確定POS終端物理參數正常。

在該實施方法中，步驟S2中所述的“檢測並判斷POS終端是否能夠正常運行”具體包括步驟：S201、判斷使用界面是否載入成功；S202、當判定使用界面載入成功後，判斷是否能夠連線網路並下載應用程式；S203、當判定能夠下載應用程式後，確定POS終端能夠正常運行。在該實施方法中，所述步驟S3具體包括步驟：S301、清除原有的傳輸密鑰TK；S302、接收操作終端或伺服器傳送的公鑰或包含公鑰的的證書；S303、當接收到包含公鑰的證書時，驗證證書合法性；S304、當證書合法性驗證通過後或直接接收到公鑰後，使用密碼鍵盤生成傳輸密鑰TK，並使用公鑰加密傳輸密鑰TK，生成傳輸密鑰密文TK_pu並將其傳送到操作終端或伺服器；S305、禁止開啟執行生成傳輸密鑰TK的流程；S306、檢測並判斷操作終端的蓋體是否開啟，並當判定蓋體開啟時清空傳輸密鑰TK。具體地，在終端硬體設備設計時，已經考慮到蓋子開啟的檢測問題，一般通過開啟的蓋體觸發終端中的晶片產生中斷，修改晶片暫存器標誌位，標識POS終端蓋子被開啟過，POS終端的設備檢查模組會定時查詢標誌位，從而判別蓋子是否開啟。

2019年9月，《一種安全生成傳輸密鑰的方法及POS終端》獲得2019年度福建省專利獎三等獎。