在POS机上实现基于IC卡灌密钥安全方法及系统.pdf

《在POS机上实现基于IC卡灌密钥安全方法及系统.pdf》由会员分享，可在线阅读，更多相关《在POS机上实现基于IC卡灌密钥安全方法及系统.pdf（10页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010736849.0 (22)申请日 2020.07.28 (71)申请人 银盛支付服务股份有限公司 地址 518000 广东省深圳市龙华区民治街 道新区大道997号远景家园五楼501 (72)发明人 张光阳郑咏华郭倩吴海波 祝文瑾 (74)专利代理机构 深圳市深可信专利代理有限 公司 44599 代理人 彭光荣 (51)Int.Cl. G06Q 20/20(2012.01) G06Q 20/34(2012.01) G06Q 20/38(2012.01) (54)发明名称。

2、 一种在POS机上实现基于IC卡灌密钥安全方 法及系统 (57)摘要 本发明公开了一种在POS机上实现基于IC卡 灌密钥方法和系统， 包括POSP系统、 母POS、 加密 机以及POS终端， 所述POS终端、 母POS、 POSP系统 以及加密机依次连接， 所述POS终端与POSP系统 连接， POS终端用于插入IC卡和保存主密匙明文 TMK， 母POS用于接收IC卡并选择传输密匙下载， 且调用IC指令将传输密匙TMK3解密得到主密匙 明文TMK5并保存， 所述POSP系统用于调用AO指令 将主密匙明文ZMK2、 TMK4传送至加密机， 且保存 加密机返回的主密匙明文TMK4、 TMK7， 并。

3、将传输 密匙TMK3返回母POS， 同时将主密匙明文返回至 POS终端， 加密机用于加密主密匙明文ZMK2和 TMK4， 本发明通过导入IC卡的方式导入主密匙明 文， 不需要每台终端都要输入主密匙明文， 既可 以提高工作效率， 又能更好的防止主密匙明文的 泄露风险。 权利要求书2页 说明书5页 附图2页 CN 111950999 A 2020.11.17 CN 111950999 A 1.一种在POS机上实现基于IC卡灌密钥安全方法， 其特征在于， 所述方法包括以下步 骤： S1： 在母POS和加密机上输入主密匙明文ZMK1； S2： 所述加密机将主密匙明文ZMK1进行加密， 生成主密匙明文Z。

4、MK2返回给POSP系统并 保存； S3： 所述POSP系统使用A0指令将主密匙明文TMK2传入加密机， 加密机加密主密匙明文 TMK2生成传输密匙TMK3和主密匙明文TMK4； S4： 将IC卡插入母POS， 输入密码， 所述母POS检验IC卡密码正确后选择IC卡传输密钥下 载， 将传输密匙TMK3和主密匙明文TMK4下载至POSP系统， POSP系统将主密匙明文TMK4保存 并将传输密匙TMK3传送至母POS； S5： 母POS调用IC卡指令， 将传输密匙TMK3解密出主密匙明文TMK5， 并将主密匙明文 TMK5写入IC卡中； S6： 将IC卡插入POS终端， 输入密码， 所述POS终端。

5、进行主密钥下载至POSP系统并查询出 主密匙明文TMK4， 所述POSP系统使用A0指令， 将主密匙明文TMK4传送至加密机， 加密机将主 密匙明文TMK4加密生成TMK6和TMK7； S7： 所述加密机将主密匙明文TMK6、 TMK7返回至POSP系统， 所述POSP系统将主密匙明文 TMK7后台保存起来， 并将主密匙明文TMK6返回至POS终端， 同时POS终端调用IC卡解密指令， 将主密匙命令TMK6解密出主密匙明文TMK， 并将主密匙明文TMK存入终端。 2.根据权利要求1所述的一种在POS机上实现基于IC卡灌密钥安全方法， 其特征在于， 所述的步骤S4中， 将IC卡插入母POS的具体。

6、步骤如下： S41： 将IC卡插入母POS并提示输入IC卡密码； S42:母POS验证密码后获取IC卡的ID号， 并发送下载主密匙请求至POSP系统。 3.根据权利要求2所述的一种在POS机上实现基于IC卡灌密钥安全方法， 其特征在于， 所述POSP系统验证加密后的TMK3、 TMK4的接收情况， 并通过IC卡将TMK3、 TMK4解密， 并计算 TMK3、 TMK4解密后的校验值， 计算出的校验值和POSP系统返回的校验值相同， 保存传输密匙 匙明文MKT4。 4.根据权利要求1所述的一种在POS机上实现基于IC卡灌密钥安全方法， 其特征在于， 在所述的步骤S6中， 所述POS终端验证主密匙。

7、明文TMK6， 所述IC卡对验证成功后的TMK6进行 解密， 生成主密匙明文TMK并计算主密匙明文的校验值， 计算出的校验值和POSP系统返回的 校验值相同， 保存主密匙明文TMK。 5.一种在POS机上实现基于IC卡灌密钥安全系统， 其特征在于， 包括POSP系统、 母POS、 加密机以及POS终端， 所述POS终端、 母POS、 POSP系统以及加密机依次连接， 所述POS终端与 POSP系统连接； 所述母POS用于接收IC卡并选择传输密匙下载， 且调用IC指令将传输密匙TMK3解密得 到主密匙明文TMK5并保存， 所述POSP系统用于调用AO指令先后将主密匙明文ZMK2、 TMK4传 送。

8、至加密机， 且先后保存加密机返回的主密匙明文TMK4、 TMK7， 并将传输密匙TMK3返回母 POS， 同时将主密匙明文TMK6返回至POS终端， 所述加密机用于加密主密匙明文ZMK2和TMK4， 所述POS终端用于插入IC卡和保存主密匙明文TMK， 引入IC卡传输密钥可以防止主密钥的泄 露风险。 权利要求书 1/2 页 2 CN 111950999 A 2 6.根据权利要求5所述的一种在POS机上实现基于IC卡灌密钥安全系统， 其特征在于， 将IC卡插入母POS的具体步骤如下： S41： 将IC卡插入母POS并提示输入IC卡密码； S42:母POS验证密码后获取IC卡的ID号， 并发送下载。

9、主密匙请求至POSP系统。 7.根据权利要求6所述的一种在POS机上实现基于IC卡灌密钥安全系统， 其特征在于， 所述POSP系统验证加密后的TMK3、 TMK4的接收情况， 并通过IC卡将TMK3、 TMK4解密， 并计算 TMK3、 TMK4解密后的校验值， 计算出的校验值和POSP系统返回的校验值相同， 保存传输密匙 明文MKT4。 8.根据权利要求5所述的一种在POS机上实现基于IC卡灌密钥安全系统， 其特征在于， 所述POS终端验证主密匙明文TMK6， 所述IC卡对验证成功后的TMK6进行解密指令， 生成主密 匙明文TMK并计算主密匙明文的校验值， 计算出的校验值和POSP系统返回的。

10、校验值相同， 保 存主密匙明文TMK。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至4任一项所述 方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有执行权利 要求1至4任一项所述方法的计算机程序。 权利要求书 2/2 页 3 CN 111950999 A 3 一种在POS机上实现基于IC卡灌密钥安全方法及系统 技术领域 0001 本发明涉及一种POS机安全技术领域， 具体来说， 涉及一种在POS机上实现基于IC 卡灌密钥安全方法及系统。 背景技术 000。

11、2 传统POS密钥灌装， 需要每台机器都要输入主密钥明文， 同时要把每台机器的主密 钥明文输入加密机， 如果是一万台机器终端要输入一万次， 工作量巨大， 工作效率也太低。 主密钥明文输入POS终端之前也容易泄露产生安全风险。 发明内容 0003 为了克服现有技术的不足， 本发明提供一种在POS机上实现基于IC卡灌密钥安全 方法及系统， 解决密匙明文泄露的风险。 0004 本发明解决其技术问题所采用的技术方案是： 一种在POS机上实现基于IC卡灌密 钥的安全方法， 其改进之处在于， 所述方法包括以下步骤： 0005 S1： 在母POS和加密机上输入主密匙明文ZMK1； 0006 S2： 所述加密。

12、机将主密匙明文ZMK1进行加密， 生成主密匙明文ZMK2返回给POSP系 统并保存； 0007 S3： 所述POSP系统使用A0指令将主密匙明文TMK2传入加密机， 加密机加密主密匙 明文TMK2生成传输密匙TMK3和主密匙明文TMK4； 0008 S4： 将IC卡插入母POS， 输入密码， 所述母POS检验IC卡密码正确后选择IC卡传输密 钥下载， 将传输密匙TMK3和主密匙明文TMK4下载至POSP系统， POSP系统将主密匙明文TMK4 保存并将传输密匙TMK3传送至母POS； 0009 S5： 母POS调用IC卡指令， 将传输密匙TMK3解密出主密匙明文TMK5， 并将TMK5写入 I。

13、C卡中； 0010 S6： 将IC卡插入POS终端， 输入密码， 所述POS终端进行主密钥下载至POSP系统并查 询出主密匙明文TMK4， 所述POSP系统使用A0指令， 将主密匙明文TMK4传送至加密机， 加密机 将主密匙明文TMK4加密生成TMK6和主密匙明文TMK7； 0011 S7： 所述加密机将主密匙明文TMK6、 TMK7返回至POSP系统， 所述POSP系统将主密匙 明文TMK7后台保存起来， 并将主密匙明文TMK6返回至POS终端， 同时POS终端调用IC卡解密 指令， 将主密匙命令TMK6解密出主密匙明文TMK， 并将主密匙明文TMK存入终端。 0012 作为上述技术方案的改。

14、进， 所述的步骤S4中， 将IC卡插入母POS， 所述母POS插入IC 卡的具体步骤如下： 0013 S41： 将IC卡插入母POS并提示输入IC卡密码； 0014 S42:母POS验证密码后获取IC卡的ID号， 并发送下载主密匙请求至POSP系统。 0015 作为上述技术方案的改进， 所述POSP系统验证加密后的TMK3、 TMK4的接收情况， 并 通过IC卡将TMK3、 TMK4解密， 并计算TMK3、 TMK4解密后的校验值， 计算出的校验值和POSP系 说明书 1/5 页 4 CN 111950999 A 4 统返回的校验值相同， 保存传输密匙匙明文MKT4。 0016 作为上述技术方。

15、案的改进， 在所述的步骤S6中， 所述POS终端验证主密匙明文 TMK6， 所述IC卡对验证成功后的TMK6进行解密指令， 生成主密匙明文TMK的并计算主密匙明 文的校验值， 计算出的校验值和POSP系统返回的校验值相同， 保存主密匙明文TMK。 0017 本发明还提供了一种方法在POS机上实现基于IC卡灌密钥的安全系统， 其改进之 处在于， 包括POSP系统、 母POS、 加密机以及POS终端， 所述POS终端、 母POS、 POSP系统以及加 密机依次连接， 所述POS终端与POSP系统连接； 0018 所述母POS用于接收IC卡并选择传输密匙下载， 且调用IC指令将传输密匙TMK3解 密。

16、得到主密匙明文TMK5并保存， 所述POSP系统用于调用AO指令先后将主密匙明文ZMK2、 TMK4传送至加密机， 且先后保存加密机返回的主密匙明文TMK4、 TMK7， 并将传输密匙TMK3返 回母POS， 同时将主密匙明文TMK6返回至POS终端， 所述加密机用于加密主密匙明文ZMK2和 TMK4， 所述POS终端用于插入IC卡和保存主密匙明文TMK， 引入IC卡传输密钥可以防止主密 钥的泄露风险。 0019 作为上述技术方案的改进， 所述POSP系统验证加密后的TMK3、 TMK4的接收情况， 并 通过IC卡将TMK3、 TMK4解密， 并计算TMK3、 TMK4解密后的校验值， 计算出。

17、的校验值和POSP系 统返回的校验值相同， 保存传输密匙匙明文MKT4。 0020 作为上述技术方案的改进， 将IC卡插入母POS的具体步骤如下： 0021 S41： 将IC卡插入母POS并提示输入IC卡密码； 0022 S42:母POS验证密码后获取IC卡的ID号， 并发送下载主密匙请求至POSP系统。 0023 作为上述技术方案的改进， 所述POS终端验证主密匙明文TMK6， 所述IC卡对验证成 功后的TMK6进行解密指令， 生成主密匙明文TMK并计算主密匙明文的校验值， 计算出的校验 值和POSP系统返回的校验值相同， 保存主密匙明文TMK。 0024 作为上述技术方案的改进， 一种计算。

18、机设备， 包括存储器、 处理器及存储在存储器 上并可在处理器上运行的计算机程序， 所述处理器执行所述计算机程序时实现上述所述的 任一项所述方法。 0025 作为上述技术方案的改进， 一种计算机可读存储介质， 所述计算机可读存储介质 存储有执行上述所述的任一项所述方法的计算机程序。 0026 本发明的有益效果是： 本发明通过导入IC卡的方式， 导入主密匙明文， 不需要每台 终端都要输入主密匙明文， 既可以提高工作效率， 又能更好的防止主密匙明文的泄露风险。 附图说明 0027 下面结合附图和实施例对本发明进一步说明。 0028 图1是本发明的结构图； 0029 图2是本发明的整体流程图。 具体实。

19、施方式 0030 以下将结合实施例和附图对本发明的构思、 具体结构及产生的技术效果进行清 楚、 完整地描述， 以充分地理解本发明的目的、 特征和效果。 显然， 所描述的实施例只是本发 明的一部分实施例， 而不是全部实施例， 基于本发明的实施例， 本领域的技术人员在不付出 说明书 2/5 页 5 CN 111950999 A 5 创造性劳动的前提下所获得的其他实施例， 均属于本发明保护的范围。 另外， 专利中涉及到 的所有联接/连接关系， 并非单指构件直接相接， 而是指可根据具体实施情况， 通过添加或 减少联接辅件， 来组成更优的联接结构。 本发明创造中的各个技术特征， 在不互相矛盾冲突 的前提。

20、下可以交互组合。 0031 参照图2， 本发明揭示了一种在POS机上实现基于IC卡灌密钥的安全方法， 所述方 法包括以下步骤： 0032 S1： 在母POS 1和加密机3上输入主密匙明文ZMK1； 0033 S2： 所述加密机3将主密匙明文ZMK1进行加密， 生成主密匙明文ZMK2返回给POSP系 统2并保存， 所述主密匙明文ZMK2用于加密IC卡传输密匙； 0034 S3： 所述POSP系统2使用A0指令将主密匙明文ZMK2传入加密机3， 加密机3加密主密 匙明文ZMK2生成传输密匙TMK3和主密匙明文TMK4， 所述加密机3先进行初步加密， 保证主密 匙明文ZMK2的安全性； 0035 S。

21、4： 将IC卡插入母POS 1， 输入密码， 所述母POS 1检验IC卡密码正确后选择IC卡传 输密钥下载， 将传输密匙TMK3和主密匙明文TMK4下载至POSP系统2， POSP系统2将主密匙明 文TMK4保存并将传输密匙TMK3传送至母POS 1， 所述该步骤S4为IC卡写卡过程， 将IC卡插入 母POS 1时， 在运营系统内找到IC卡管理菜单， 选择增加IC卡编号， 输入IC卡号， 将IC卡号录 入完毕后， 即可选择IC卡传输密匙下载； 0036 S5： 母POS 1调用IC卡指令， 将传输密匙TMK3解密出主密匙明文TMK5， 并将主密匙 明文TMK5写入IC卡中， 以便用于POS终端。

22、4主密钥下载； 0037 S6： 将IC卡插入POS终端4， 做主密匙明文下载， 该过程中输入IC卡密码， 识别IC卡 成功后， 所述POS终端4进行主密钥明文下载至POSP系统2并查询出主密匙明文TMK4， 所述 POSP系统2使用A0指令， 将主密匙明文TMK4传送至加密机3， 加密机3将主密匙明文TMK4加密 生成主密匙明文TMK6和主密匙明文TMK7， 所述加密机3将主密匙明文TMK4加密生成主密匙 明文TMK6和主密匙明文TMK7运用到了3DES算法， 由于3DES算法属于现有技术比较成熟的技 术， 本发明不在赘述， 所述加密机3进行二次加密， 进一步确保引入了IC卡传输密钥的安全 。

23、性； 0038 S7： 所述加密机3将主密匙明文TMK6、 TMK7返回至POSP系统2， 所述POSP系统2将主 密匙明文TMK7后台保存起来， 并将主密匙明文TMK6返回至POS终端4， 同时POS终端4调用IC 卡解密指令， 将主密匙命令TMK6解密出主密匙明文TMK， 并将主密匙明文TMK存入POS终端4， 经过加密机3反复加密， 最后得到主密匙明文TMK存入POS终端4， 确保IC卡导入密匙的方式， 降低主密匙明文TMK泄露的风险。 0039 进一步的， 所述的步骤S4中， 将IC卡插入母POS， 所述母POS 1插入IC卡的具体步骤 如下： 0040 S41： 将IC卡插入母POS。

24、 1并提示输入IC卡密码； 0041 S42:母POS 1验证密码后获取IC卡的ID号， 并发送下载主密匙请求至POSP系统2， 所述POSP系统2处于待接收密匙的状态。 0042 再进一步的， 所述POSP系统2接收加密机3传输来的传输密匙TMK3和主密匙明文 TMK4， 所述POSP系统2验证加密后的传输密匙TMK3和主密匙明文TMK4的接收情况， 通过IC卡 将传输密匙TMK3和主密匙明文TMK4解密， 并计算解密后的传输密匙TMK3和主密匙明文TMK4 说明书 3/5 页 6 CN 111950999 A 6 的校验值， 计算出的校验值和POSP系统2返回的校验值相同， 保存主密匙明文。

25、MKT4。 0043 另外， 在上述的步骤S6中， 所述POS终端4验证主密匙明文TMK6， 所述IC卡对验证成 功后的TMK6进行解密指令， 生成主密匙明文TMK并计算主密匙明文的校验值， 计算出的校验 值和POSP系统2返回的校验值相同， 保存主密匙明文TMK， 所述POS终端4密匙灌装， 通过IC卡 导入主密匙明文TMK， 提高了工作效率。 0044 参考图1， 一种在POS机上实现基于IC卡灌密钥的安全系统， 包括POSP系统2、 母POS 1、 加密机3以及POS终端4， 所述POS终端4、 母POS 1、 POSP系统2以及加密机3依次连接， 所述 POS终端4与POSP系统2连接。

26、； 所述母POS 1用于接收IC卡并选择传输密匙下载， 且调用IC指 令将传输密匙TMK3解密得到主密匙明文TMK5并保存， 所述POSP系统2用于调用AO指令先后 将主密匙明文ZMK2、 TMK4传送至加密机3， 且先后保存加密机3返回的主密匙明文TMK4、 TMK7， 并将传输密匙TMK3返回母POS 1， 同时将主密匙明文TMK6返回至POS终端4， 所述加密 机3用于加密主密匙明文ZMK2和TMK4， 所述POS终端4用于插入IC卡和保存主密匙明文TMK， 引入IC卡传输密钥可以防止主密钥的泄露风险。 0045 在上述实施例中， 所述母POS 1插入IC卡， 便于下载传输密匙TMK3，。

27、 为生成主密匙 明文TMK做铺垫， 所述IC卡插入POS终端4， 选择主密匙明文下载， 得到主密匙明文TMK6， 所述 POS终端4调用IC指令将主密匙明文TMK6解密得出主密匙明文TMK， 避免主密钥明文输入POS 终端之前泄露风险， 而且本发明的加密机3经过两次加密， 可大大减少了主密钥明文泄露的 风险。 0046 进一步的， 将IC卡插入母POS， 所述母POS 1插入IC卡的具体步骤如下： 0047 S41： 将IC卡插入母POS 1并提示输入IC卡密码； 0048 S42:母POS 1验证密码后获取IC卡的ID号， 并发送下载主密匙请求至POSP系统2， 所述POSP系统2处于待接收。

28、密匙的状态。 0049 再进一步的， 所述POSP系统2接收加密机3传输来的传输密匙TMK3和主密匙明文 TMK4， 所述POSP系统2验证加密后的传输密匙TMK3和主密匙明文TMK4的接收情况， 通过IC卡 将传输密匙TMK3和主密匙明文TMK4解密， 并计算解密后的传输密匙TMK3和主密匙明文TMK4 的校验值， 计算出的校验值和POSP系统2返回的校验值相同， 保存主密匙明文MKT4。 0050 另外， 所述POS终端4验证主密匙明文TMK6， 所述IC卡对验证成功后的TMK6进行解 密指令， 生成主密匙明文TMK的并计算主密匙明文的校验值， 计算出的校验值和POSP系统2 返回的校验值。

29、相同， 保存主密匙明文TMK， 所述POS终端4密匙灌装， 通过IC卡导入主密匙明 文TMK， 提高了工作效率。 0051 本发明还提供了一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在 处理器上运行的计算机程序， 所述处理器执行所述计算机程序时实现上述所述的任一项所 述方法。 0052 本发明还提供了一种计算机可读存储介质， 所述计算机可读存储介质存储有执行 上述所述的任一项所述方法的计算机程序。 0053 本发明的有益效果是： 本发明通过导入IC卡的方式， 导入主密匙明文， 不需要每台 终端都要输入主密匙明文， 既可以提高工作效率， 又能更好的防止主密匙明文的泄露风险。 0054 以上是对本发明的较佳实施进行了具体说明， 但本发明创造并不限于所述实施 例， 熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替 说明书 4/5 页 7 CN 111950999 A 7 换， 这些等同的变形或替换均包含在本申请权利要求所限定的范围内。 说明书 5/5 页 8 CN 111950999 A 8 图1 说明书附图 1/2 页 9 CN 111950999 A 9 图2 说明书附图 2/2 页 10 CN 111950999 A 10 。