CN108460597A - 一种密钥管理系统及方法 - Google Patents

Abstract

本申请提供了一种密钥管理系统及方法，该系统包括发行管理系统及交易管理系统，所述发行管理系统用于采用基于分散算法的密钥体系，进行刷卡器设备的设备密钥管理，并进行设备认证、设备管理及设备个人化；利用所述基于分散算法的密钥体系所获得的密钥为从根密钥逐级推导得出的密钥。本申请由于采用了基于分散算法的密钥体系，所有密钥可以从根密钥逐级推导，从而可使发行方很方便的生成和验证每一个设备的密钥，无需引入复杂的密钥存储技术；密钥体系的可推导特性使得设备发行方可以方便的支持授权生产模式，经过授权的生产商可以自行生成密钥；且针对个人设备特点，个人化过程可以在生产过程中完成，避免了设备二次装机的繁琐流程。

Description

一种密钥管理系统及方法

技术领域

本发明属于移动支付中的密钥管理及设备认证、设备管理技术领域，尤其涉及一种密钥管理系统及方法。

背景技术

随着智能手机的普及，境内外通过手机刷卡器进行移动支付的业务得到了迅猛发展。目前，手机刷卡器主要是通过标准的音频口(3.5mm或者2.5mm)或者蓝牙与智能终端设备连接，可受理标准的银行磁条卡和金融IC(集成电路，Integrated Circuit)卡。

手机刷卡器通过将刷卡获得的磁道、PIN(Personal Identification Number，SIM卡的个人识别密码)等数据以加密的形式利用MIC口或者蓝牙传送给智能终端中的客户端程序，再由客户端程序将交易的订单信息、加密的磁道信息、加密的PIN通过移动互联网或WIFI(WIreless-Fidelity，无线保真)上送至支付交易平台，来完成现场或远程的支付。为了确保用户敏感数据(磁道、PIN等)不被泄露和交易过程的安全，交易报文和敏感信息都需要被加密传输，交易终端需要被系统识别和认证，交易流程需要能抵抗各种非法攻击。同时，为满足互联网快速灵活的业务需求，手机刷卡器需要能比较方便的发放和激活，避免复杂的装机流程。

鉴于此，本领域需要提供一种较优的不同于传统POS机的密钥管理和设备发行体系，以更好地满足上述需求中的一种或多种。

发明内容

有鉴于此，本发明的目的在于提供一种密钥管理系统及方法，以更好地满足上述需求中的一种或多种。

为此，本发明公开如下技术方案：

一种密钥管理系统，包括：

发行管理系统，用于采用基于分散算法的密钥体系，进行刷卡器设备的设备密钥管理，并进行设备认证、设备管理及设备个人化；其中，利用所述基于分散算法的密钥体系所获得的密钥为从根密钥逐级推导得出的密钥；

交易管理系统，用于提供交易环节的密钥管理和加解密体系。

上述系统，可选的，所述发行管理系统，包括：发行方、设备提供方及控制终端；

所述发行方，包括：

发行管理平台系统，用于进行刷卡器设备密钥的申请、生成、存储、分发、设备认证及设备管理；

密钥管理中心系统，用于进行子密钥离散和证书及签名的签发，生成设备密钥及证书数据；

至少一个密码机，用于在密钥作用下，实现明密变换或者密明变换；

所述设备提供方，包括：

数据处理客户端，用于登录所述发行管理平台系统，并从所述发行管理平台系统下载设备数据文件；

设备个人化系统，用于基于数据处理客户端提交的设备数据文件，进行相应的设备密钥读取、解密和个人化处理；

所述控制终端，用于为管理员提供针对发行管理平台系统的系统登录、设备发行数据申请、任务设置、任务模板配置及设备发行数据处理流程的启动功能。

上述系统，可选的，所述交易管理系统包括：

刷卡器设备，用于采用安全芯片存储所述发行管理平台系统生成的设备密钥，包括主控密钥，认证密钥，维护密钥及磁道加密密钥；

移动设备客户端，用于存储服务器端公钥及银联PIN加密公钥；

业务前置，用于存储服务器端私钥及认证密钥；

支付前置，用于存储PIN解密私钥、磁道解密私钥、密钥加密密钥KEK及工作密钥WorkKey；

其中，所述刷卡器设备采用安全芯片存储所述发行管理平台系统生成的设备密钥，并配合所述移动设备客户端、所述业务前置、所述支付前置共同组成交易环节的密钥管理和加解密体系。

上述系统，可选的，所述设备提供方为设备提供商，则所述基于分散算法的密钥体系，包括：

发行方作为根机构产生并存储设备根密钥，设备提供商作为二级机构，由发行方根据设备提供商编号对根密钥进行分散，得到设备提供商的二级密钥。

一种密钥管理方法，基于如上所述的密钥管理系统，所述方法包括：

利用所述发行管理系统，并采用基于分散算法的密钥体系，进行密钥生成和发行处理；

利用所述发行管理系统，并基于所述密钥生成和发行处理的处理结果，进行设备个人化处理；所述设备为刷卡器设备；

结合利用所述交易管理系统及所述交易管理系统所对应的后台系统，对个人化处理后的刷卡器设备进行设备认证；

利用设备认证通过后的刷卡器设备进行交易，并在交易时使用一次一密的方式对相关敏感数据进行加密处理。

上述方法，可选的，所述密钥体系为对称密钥体系。

上述方法，可选的，所述进行密钥生成和发行处理，包括：

管理员通过控制终端登录发行管理平台系统，并在登录后申请设备发行数据、设置发行任务、配置任务批次模板和应用模板，以及启动设备发行数据处理流程；

发行管理平台系统将密钥及证书申请数据提交给密钥管理中心系统；

密钥管理中心系统完成子密钥离散和证书及签名的签发，生成设备密钥及证书数据；

厂商操作员登录发行管理平台系统，并下载发行管理平台系统产生的设备数据文件；

厂商操作员将设备数据文件提交给设备个人化系统，由设备个人化系统进行设备个人化处理。

上述方法，可选的，所述利用所述发行管理系统，并基于所述密钥生成和发行处理的处理结果，进行设备个人化处理，包括：

在设备个人化系统解析数据处理客户端提交的设备数据文件，获取个人化数据；

在设备个人化系统进行发行数据的整理、有效性验证，并形成脚本文件；

调用加密机或者传输密钥母卡计算接口，建立安全通道，获取密钥；

在设备个人化系统进行设备预个人化操作，创建设备安全芯片目录及文件结构，将设备密钥数据写入刷卡器设备；

在设备个人化系统调用刷卡器管理指令将个人化数据写入刷卡器设备中；

对刷卡器设备进行设备的检测及包装装订；

进行设备状态处理及发行信息统计，完成个人化。

上述方法，可选的，所述结合利用所述交易管理系统及所述交易管理系统所对应的后台系统，对个人化处理后的刷卡器设备进行设备认证，包括：

移动设备客户端发起认证流程，向所述后台系统申请对设备进行认证所需的随机数；

刷卡器设备利用内置认证密钥离散出的子密钥对设备硬件编号与随机数以及补位数据的结合数据进行加密，并将加密结果返回给所述后台系统；

移动设备客户端将设备硬件编号和认证密文发送至所述后台系统；

所述后台系统根据设备硬件编号获得设备提供商编号，结合所述随机数分散出加密密钥，并对认证密文进行解密，以及检查解密所得的明文是否正确，以验证刷卡器设备是否由发行方发行。

上述方法，可选的，所述在交易时使用一次一密的方式对相关敏感数据进行加密处理，包括：

使用一次一密的方式，对磁道数据、集成电路IC卡交易数据、个人识别密码PIN进行加密处理。

根据以上方案可知，本申请提供的密钥管理系统，包括发行管理系统及交易管理系统，所述发行管理系统，用于采用基于分散算法的密钥体系，进行刷卡器设备的设备密钥管理，并进行设备认证、设备管理及设备个人化；利用所述基于分散算法的密钥体系所获得的密钥为从根密钥逐级推导得出的密钥。本申请方案由于采用了基于分散算法的密钥体系，所有密钥可以从根密钥逐级推导，从而可使发行方很方便的生成和验证每一个设备的密钥，无需引入复杂的密钥存储技术；本申请所采用的密钥体系的可推导特性使得设备发行方可以方便的支持授权生产模式，经过授权的生产商可以自行生成密钥；且定义了密钥发行和个人化流程，针对个人设备特点，个人化过程可以在生产过程中完成，从而避免了刷卡器设备二次装机的繁琐流程。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1是本申请实施例一提供的密钥管理系统的结构示意图；

图2是本申请实施例一提供的发行管理系统的结构示意图；

图3是本申请实施例一提供的交易管理系统的结构示意图；

图4是本申请实施例二提供的密钥管理方法的流程示意图；

图5是本申请实施例二提供的发行方与设备厂商进行密钥管理的交互示意图；

图6是本申请实施例二提供的个人化处理中的一个界面示意图。

具体实施方式

为了引用和清楚起见，下文中使用的技术名词、简写或缩写总结解释如下：

安全芯片，就是TPM(Trusted Platform Module)，可信任平台模块，是一个可独立进行密钥生成、加解密的装置，内部拥有独立的处理器和存储单元，可存储密钥和特征数据，为设备提供加密和安全认证服务。用安全芯片进行加密，密钥被存储在安全芯片中，被窃的数据无法解密，从而保护商业隐私和数据安全。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请公开了一种密钥管理系统及方法，旨在基于该密钥管理系统及方法提供一种较优的密钥管理体系，以更好地满足移动支付中面向个人刷卡器的密钥管理及设备发放、激活和认证等需求。接下来将通过多个实施例对本申请的方案进行详细阐述。

实施例一

参考图1，为本申请实施例一提供的密钥管理系统的结构示意图，如图1所示，该密钥管理系统包括发行管理系统101及交易管理系统102，其中：

发行管理系统101，用于采用基于分散算法的密钥体系，进行刷卡器设备的设备密钥管理并进行设备认证、设备管理及设备个人化；其中，利用所述基于分散算法的密钥体系所获得的密钥为从根密钥逐级推导得出的密钥。

其中，如图2所示，所述发行管理系统101包括发行方201、设备提供方202及控制终端203；

所述发行方201包括发行管理平台系统2011、密钥管理中心系统2012及至少一个密码机2013。

其中，所述发行管理平台系统2011，用于进行刷卡器设备密钥的申请、生成、存储、分发、设备认证及设备管理；所述密钥管理中心系统2012，用于进行子密钥离散和证书及签名的签发，生成设备密钥及证书数据；所述至少一个密码机2013，用于在密钥作用下，实现明-密变换或者密-明变换。

所述设备提供方202包括数据处理客户端2021及设备个人化系统2022。所述设备提供方202具体地可以是设备提供商。

其中，所述数据处理客户端2021，用于登录所述发行管理平台系统，从所述发行管理平台系统下载设备数据文件；所述设备个人化系统2022，用于基于数据处理客户端提交的设备数据文件，进行相应的设备密钥读取、解密和个人化处理；所述控制终端2023，用于为管理员提供针对发行管理平台系统的系统登录、设备发行数据申请、任务设置、任务模板配置及设备发行数据处理流程的启动功能。

交易管理系统102，用于提供交易环节的密钥管理和加解密体系。

如图3所示，所述交易管理系统102包括刷卡器设备301、移动设备客户端302、业务前置303及支付前置304。

其中，所述刷卡器设备301，用于采用安全芯片存储所述发行管理平台系统生成的设备密钥，包括主控密钥，认证密钥，维护密钥及磁道加密密钥；所述移动设备客户端302，用于存储服务器端公钥及银联PIN加密公钥；所述业务前置303，用于存储服务器端私钥及认证密钥；所述支付前置304，用于存储PIN解密私钥、磁道解密私钥、密钥加密密钥KEK(keyencryption key)及工作密钥WorkKey。

所述刷卡器设备301采用安全芯片存储所述发行管理平台系统生成的设备密钥，并配合所述移动设备客户端、所述业务前置、所述支付前置共同组成交易环节的密钥管理和加解密体系。

所述刷卡器设备301具体可以是但不限于能够与手机等移动终端匹配使用的手机刷卡器，所述移动终端客户端302具体地可以是但不限于手机、平板等移动设备中安装的刷卡器客户端程序。

根据以上方案，可知，本实施例提供的密钥管理系统，包括发行管理系统及交易管理系统，所述发行管理系统，用于采用基于分散算法的密钥体系，进行刷卡器设备的设备密钥管理，并进行设备认证、设备管理及设备个人化；利用所述基于分散算法的密钥体系所获得的密钥为从根密钥逐级推导得出的密钥。本申请方案由于采用了基于分散算法的密钥体系，所有密钥可以从根密钥逐级推导，从而可使发行方很方便的生成和验证每一个设备的密钥，无需引入复杂的密钥存储技术；本申请所采用的密钥体系的可推导特性使得设备发行方可以方便的支持授权生产模式，经过授权的生产商可以自行生成密钥；且定义了密钥发行和个人化流程，针对个人设备特点，个人化过程可以在生产过程中完成，从而避免了刷卡器设备二次装机的繁琐流程。

实施例二

本申请实施例二公开一种密钥管理方法，该方法基于实施例一所提供的密钥管理系统，参考图4示出的密钥管理方法的流程图，该方法包括以下的处理过程：

步骤401、利用所述发行管理系统，并采用基于分散算法的密钥体系，进行密钥生成和发行处理。

为了节约刷卡器设备的成本，提高交易速度，本申请中优选地采用了对称密钥体系。且对于对称密钥的管理、分发以及安全管理机制，本申请参考了目前金融行业主流的RACAL加密机体系。其中，如图5所示，发行方的密钥管理中心系统包括加密机及密钥管理主机，基于该RACAL加密机体系，在加密机中只存储本地主密钥，其他所有对称密钥和非对称密钥均由本地主密钥加密后存储在主机数据库中。密钥的使用和数据运算均在密码机中进行，保证了密钥的安全性，同时，此种设计方式也提高了系统的安全性，所有的密钥必须有加密机和发行商双方授权后才能使用。

所述基于分散算法的密钥体系，是指发行方作为根机构产生并存储设备根密钥，设备提供商作为二级机构，由发行方根据设备提供商编号对根密钥进行分散，得到设备提供商的二级密钥。对称密钥管理既可以采用多级管理体制，也可以采用集中管理体制，其中，在多级管理体制下，二级密钥可以存储在PSAM(Purchase Secure Access Module，销售点终端安全存取模块)卡中提供到设备提供商；在集中管理体制下，二级密钥仅作为过程密钥，不实际导出给任何参与方。

设备子密钥由二级密钥根据设备编号离散生成，并使用传输密钥加密后导出给设备提供商，传输密钥导出到PSAM卡，单独提供给设备提供商用于设备初始化。

在此基础上，本步骤可采用所述基于分散算法的密钥体系，通过以下处理过程实现密钥的生成和发行：

a)管理员通过控制终端登录发行管理平台系统，并在登录后申请设备发行数据、设置发行任务、配置任务批次模板和应用模板，以及启动设备发行数据处理流程；

b)发行管理平台系统将密钥及证书申请数据提交给密钥管理中心系统；

c)密钥管理中心系统完成子密钥离散和证书及签名的签发，生成设备密钥及证书数据；

d)厂商操作员登录发行管理平台系统，并下载发行管理平台系统产生的设备数据文件；

e)厂商操作员将设备数据文件提交给设备个人化系统，由设备个人化系统进行设备个人化处理；

f)设备发行业务完成。

步骤402、利用所述发行管理系统，并基于所述密钥生成和发行处理的处理结果，进行设备个人化处理；所述设备为刷卡器设备。

参考图6示出的个人化处理中的一个界面示意图，本步骤具体可以通过以下的处理过程实现对刷卡器设备进行设备个人化处理：

a)个人化系统文件转换模块解析数据处理客户端提交的设备数据文件，获取个人化数据；

b)个人化系统数据分析处理模块，进行发行数据的整理、有效性验证，并形成脚本文件；

c)调用加密机或者传输密钥母卡计算接口，建立安全通道，获取密钥；

d)进行设备预个人化操作，创建设备安全芯片目录及文件结构，将设备主密钥、公私钥等数据写入刷卡器设备中；

e)调用刷卡器管理指令将所有个人化数据写入刷卡器设备中；

f)进行设备的检测、包装装订等操作；

g)进行设备状态处理及发行信息统计，完成个人化。

步骤403、结合利用所述交易管理系统及所述交易管理系统所对应的后台系统，对个人化处理后的刷卡器设备进行设备认证。

其中，所述设备认证指的是发行方对刷卡器设备进行校验，确保其是发行方授权生产并且能够正常使用。

设备认证有两种方式：调用单独的设备认证指令，或者在交易时进行。

本步骤具体可以通过以下的处理过程实现对刷卡器设备进行设备认证：

a)移动设备客户端发起认证流程，向所述后台系统申请对设备进行认证所需的随机数；

具体地，本实施例中，所述认证所需的随机数具体可以是但不限于8个字节的随机数。

b)刷卡器设备利用内置认证密钥离散出的子密钥对设备硬件编号与随机数以及补位数据的结合数据进行加密，并将加密结果返回给所述后台系统；

具体地，设备可用内置认证密钥离散(离散因子为8字节随机数)出的子密钥对设备硬件编号(后6字节)+随机数(8字节)+8000(补位)做3DES(Triple Data EncryptionAlgorithm，三重数据加密算法)加密，并返回结果给后台做验证。

c)移动设备客户端将设备硬件编号和认证密文发送至所述后台系统；

d)所述后台系统根据设备硬件编号获得设备提供商编号，结合所述随机数分散出加密密钥，并对认证密文进行解密，以及检查解密所得的明文是否正确，以验证刷卡器设备是否由发行方发行。

步骤404、利用设备认证通过后的刷卡器设备进行交易，并在交易时使用一次一密的方式对相关敏感数据进行加密处理。

其中，所述相关敏感数据可以包括银行卡磁道信息、IC卡交易数据，以及PIN等信息。

为了有效保护用户敏感信息的安全，银行卡磁道信息、IC卡交易数据、PIN等信息在返回给移动设备客户端前必须进行硬件加密。本实施例中，刷卡器设备具体基于安全芯片使用一次一密的方式对磁道、IC卡交易数据以及PIN信息等敏感数据进行加密。

其中，一次一密加密处理具体是指：加密采用一次一密的方式进行，每次交易都使用不同的交易密钥采用3DES加密方式对数据进行加密。刷卡器硬件维护一个八字节密钥序列号(KSN)，交易密钥是由交易基础密钥(应用密钥)使用KSN分散得到的，每做一次硬件加密，KSN自增一次。KSN长度为16位数字，初始值pinKsn＝0000000000000000，trackKsn＝1000000000000000，pbocKsn＝2000000000000000。

在此基础上，本实施例提供如下的磁条加密处理过程：

无论正反刷磁条卡，刷卡器设备在读取指定磁道数据后，除了对读取磁道数据进行正确性校验，获取主账号数据和字节补位外，不做任何处理，直接根据刷卡器固件程序发出的指令所要求的3DES加密方式对磁道数据进行加密。为了防止磁道加密数据的重复使用，磁道加密前，将填充完的平台流水号(12个字节)+随机数(6个字节)+设备序列号(10个字节)+二磁道数据合并进行加密。平台解密后需先验证随机数，再进行交易，平台流水号用于标识交易。加密明文数据8字节对齐，不足补0x00，3DES采用ECB(Electronic Codebook，电码本)方式。

IC卡交易数据加密处理的过程如下：

PBOC 2.0流程开始后进入引导用户进入联机交易的流程，由刷卡器设备根据交易情况和硬件信息组装交易数据包，组装的交易数据包具体使用TLV(tag-length-value，类型-长度-值)格式。数据包采用指定的加密方式进行整包加密，不做任何处理，3DES采用ECB方式和PKCS5填充。

PIN加密处理的过程如下：

为了防止PIN加密数据的重复使用，PIN加密前，将填充完的平台流水号(12个字节)+磁道随机数(6个字节)+设备序列号(后6字节)+pinBlock(8字节)合并进行加密。平台解密后需先验证随机数，再进行交易，平台流水号用于标识交易。3DES采用ECB方式和NoPadding填充。

本申请基于上述密钥管理系统及密钥管理方法，实现了一种适用于刷卡器设备的密钥体系方案，该方案与现有技术的密钥体系方案(如现有技术的MK(main key，主密钥)/SK(security key，安全密钥)密钥管理体系)相比，具有以下优势：

1)采用了基于分散算法的密钥体系，所有密钥可以从根密钥逐级推导，从而发行方可以很方便的生成和验证每一个设备的密钥，而无需引入复杂的密钥存储技术；

2)本申请方案所采用的密钥体系的可推导特性使得设备发行方可以方便的支持授权生产模式，经过授权的生产商可以自行生成密钥；

3)实现了真正的一次一密算法，可以在脱机情况下确保每次加密所用的密钥都不同，由于此机制是由刷卡器硬件实现，手机APP无法控制加密过程，所以一次一密是强制性的，可有效避免重放攻击；

4)定义了密钥发行和个人化流程，并且针对个人设备特点，个人化过程在生产过程中完成，避免了刷卡器设备二次装机的繁琐流程。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

最后，还需要说明的是，在本文中，诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种密钥管理系统，其特征在于，包括：

发行管理系统，用于采用基于分散算法的密钥体系，进行刷卡器设备的设备密钥管理，并进行设备认证、设备管理及设备个人化；其中，利用所述基于分散算法的密钥体系所获得的密钥为从根密钥逐级推导得出的密钥；

交易管理系统，用于提供交易环节的密钥管理和加解密体系。

2.根据权利要求1所述的系统，其特征在于，所述发行管理系统，包括：发行方、设备提供方及控制终端；

所述发行方，包括：

发行管理平台系统，用于进行刷卡器设备密钥的申请、生成、存储、分发、设备认证及设备管理；

密钥管理中心系统，用于进行子密钥离散和证书及签名的签发，生成设备密钥及证书数据；

至少一个密码机，用于在密钥作用下，实现明密变换或者密明变换；

所述设备提供方，包括：

数据处理客户端，用于登录所述发行管理平台系统，并从所述发行管理平台系统下载设备数据文件；

设备个人化系统，用于基于数据处理客户端提交的设备数据文件，进行相应的设备密钥读取、解密和个人化处理；

所述控制终端，用于为管理员提供针对发行管理平台系统的系统登录、设备发行数据申请、任务设置、任务模板配置及设备发行数据处理流程的启动功能。

3.根据权利要求2所述的系统，其特征在于，所述交易管理系统包括：

刷卡器设备，用于采用安全芯片存储所述发行管理平台系统生成的设备密钥，包括主控密钥，认证密钥，维护密钥及磁道加密密钥；

移动设备客户端，用于存储服务器端公钥及银联PIN加密公钥；

业务前置，用于存储服务器端私钥及认证密钥；

支付前置，用于存储PIN解密私钥、磁道解密私钥、密钥加密密钥KEK及工作密钥WorkKey；

其中，所述刷卡器设备采用安全芯片存储所述发行管理平台系统生成的设备密钥，并配合所述移动设备客户端、所述业务前置、所述支付前置共同组成交易环节的密钥管理和加解密体系。

4.根据权利要求3所述的系统，其特征在于，所述设备提供方为设备提供商，则所述基于分散算法的密钥体系，包括：

发行方作为根机构产生并存储设备根密钥，设备提供商作为二级机构，由发行方根据设备提供商编号对根密钥进行分散，得到设备提供商的二级密钥。

5.一种密钥管理方法，其特征在于，基于如权利要求1-4任一项所述的密钥管理系统，所述方法包括：

利用所述发行管理系统，并采用基于分散算法的密钥体系，进行密钥生成和发行处理；

利用所述发行管理系统，并基于所述密钥生成和发行处理的处理结果，进行设备个人化处理；所述设备为刷卡器设备；

结合利用所述交易管理系统及所述交易管理系统所对应的后台系统，对个人化处理后的刷卡器设备进行设备认证；

利用设备认证通过后的刷卡器设备进行交易，并在交易时使用一次一密的方式对相关敏感数据进行加密处理。

6.根据权利要求5所述的方法，其特征在于，所述密钥体系为对称密钥体系。

7.根据权利要求6所述的方法，其特征在于，所述进行密钥生成和发行处理，包括：

管理员通过控制终端登录发行管理平台系统，并在登录后申请设备发行数据、设置发行任务、配置任务批次模板和应用模板，以及启动设备发行数据处理流程；

发行管理平台系统将密钥及证书申请数据提交给密钥管理中心系统；

密钥管理中心系统完成子密钥离散和证书及签名的签发，生成设备密钥及证书数据；

厂商操作员登录发行管理平台系统，并下载发行管理平台系统产生的设备数据文件；

厂商操作员将设备数据文件提交给设备个人化系统，由设备个人化系统进行设备个人化处理。

8.根据权利要求5所述的方法，其特征在于，所述利用所述发行管理系统，并基于所述密钥生成和发行处理的处理结果，进行设备个人化处理，包括：

在设备个人化系统解析数据处理客户端提交的设备数据文件，获取个人化数据；

在设备个人化系统进行发行数据的整理、有效性验证，并形成脚本文件；

调用加密机或者传输密钥母卡计算接口，建立安全通道，获取密钥；

在设备个人化系统进行设备预个人化操作，创建设备安全芯片目录及文件结构，将设备密钥数据写入刷卡器设备；

在设备个人化系统调用刷卡器管理指令将个人化数据写入刷卡器设备中；

对刷卡器设备进行设备的检测及包装装订；

进行设备状态处理及发行信息统计，完成个人化。

9.根据权利要求5所述的方法，其特征在于，所述结合利用所述交易管理系统及所述交易管理系统所对应的后台系统，对个人化处理后的刷卡器设备进行设备认证，包括：

移动设备客户端发起认证流程，向所述后台系统申请对设备进行认证所需的随机数；

刷卡器设备利用内置认证密钥离散出的子密钥对设备硬件编号与随机数以及补位数据的结合数据进行加密，并将加密结果返回给所述后台系统；

移动设备客户端将设备硬件编号和认证密文发送至所述后台系统；

所述后台系统根据设备硬件编号获得设备提供商编号，结合所述随机数分散出加密密钥，并对认证密文进行解密，以及检查解密所得的明文是否正确，以验证刷卡器设备是否由发行方发行。

10.根据权利要求5所述的方法，其特征在于，所述在交易时使用一次一密的方式对相关敏感数据进行加密处理，包括：

使用一次一密的方式，对磁道数据、集成电路IC卡交易数据、个人识别密码PIN进行加密处理。