(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211034877.3 (22)申请日 2022.08.26 (71)申请人 深圳市新国都支付 技术有限公司 地址 518040 广东省深圳市福田区沙 头街 道泰然四路劲松大厦17B (72)发明人 崔龙龙　张成利　林晖　 (74)专利代理 机构 广州嘉权专利商标事务所有 限公司 4 4205 专利代理师 周翀 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 基于国产操作系统的POS终端用证书管 理系 统及方法 (57)摘要 本发明公开了一种基于国产操作系统的POS 终端用证书管理系统及方法， 通过结合金融产品 的使用场景， 根据证书使用者的不同来划分主要 的三种证书类型， 具体为底层证书、 中间层证书、 客户层证书， POS终端中自签名的根证书可对下 级的底层证书、 中间层证书、 客户层证书进行验 证； 进一步地， 各证书上还具有标志位信息， 在各 级证书之间进行合法性验证过程中， 通过验证标 志位信息来实现不同金融业务场景的配置策略 的实现。 对于本发明实施例的系统， 其可 以更清 晰地根据不同的使用者来进行权限隔离， 例如应 用程序工程师无法进行固件签发； 底层证书、 中 间层证书、 客户层证书分别由对应的生产方、 中 间开发方、 应用提供商 进行维护和管理。 权利要求书2页 说明书9页 附图3页 CN 115484074 A 2022.12.16 CN 115484074 A 1.一种基于国产操作系统的POS终端用证书管理系统， 其特 征在于， 包括： 中间开发方 管理单元， 用于维护和管理中间层固件； 应用提供商管理单 元， 至少用于维护和管理应用程序； 生产方管理单元， 用于维护和管理根证书、 底层证书、 中间层证书、 客户层证书、 底层固 件， 所述根证书用于验证所述底层证书的合法性、 所述中间层证书的合法性、 所述客户层证 书的合法性， 所述底层证书用于验证所述底层固件的合法性， 所述中间层证书用于验证所 述中间层固件的合法性， 所述客户层证书用于验证所述应用程序的合法性； 所述根证书、 所 述底层证书、 所述中间层证书、 所述客户层证书皆至少包括标志 位信息， 所述标志 位信息具 有多种， 多种所述标志位信息用于执 行对应的多种配置策略。 2.根据权利要求1所述的基于国产操作系统的POS终端用证书管理系统， 其特征在于， 所述应用提供商管理单元还用于维护和管理客户应用根证书、 客户应用证书， 所述客户层 证书还用于验证所述客户应用根证书的合法性， 所述客户应用根证书用于验证所述客户应 用证书的合法性， 所述客户应用证书用于验证所述应用程序的合法性； 所述客户应用根证 书、 所述客户应用证书皆至少包括标志 位信息， 所述标志 位信息具有多种， 多种所述标志 位 信息用于执 行对应的多种配置策略。 3.根据权利要求2所述的基于国产操作系统的POS终端用证书管理系统， 其特征在于， 所述根证书、 所述底层证书、 所述中间层证书、 所述客户层证书、 所述客户应用根证书、 所述 客户应用证书皆包括： 证书数据信息， 至少包括证书版本信息、 证书持有者信息、 证书序列号信息、 算法标识 信息、 有效期信息、 公钥 信息； 认证机构签发者信息； 签发证书序列号信息； 所述标志位信息； 哈希信息， 包括基于哈希函数分别对所述证书数据信息、 所述认证机构签发者信 息、 所 述签发证书序列号信息、 所述标志位信息处 理得到对应的哈希值； 非对称加密信息， 包括对所述哈希值进行非对称加密的数字签名信息 。 4.根据权利要求3所述的基于国产操作系统的POS终端用证书管理系统， 其特征在于， 所述根证书、 所述底层证书、 所述中间层证书、 所述客户层证书、 所述客户应用根证书、 所述 客户应用证书皆还 包括预留信息， 所述预留信息用于扩展并支持国密算法的验证 签名。 5.根据权利要求3所述的基于国产操作系统的POS终端用证书管理系统， 其特征在于， 多种所述配置策略包括： 第一配置策略： 下 载和当前证书所有者 一致的证书； 第二配置策略： 下 载一个证书且所述证书可以被合法替换； 第三配置策略： 根证书可以被合法替换； 第四配置策略： 根证书可以共 存。 6.根据权利要求3所述的基于国产操作系统的POS终端用证书管理系统， 其特征在于， 所述哈希函数采用SHA ‑256算法。 7.根据权利要求3所述的基于国产操作系统的POS终端用证书管理系统， 其特征在于， 所述非对称加密采用RSA算法进行加密。权　利　要　求　书 1/2 页 2 CN 115484074 A 28.一种基于国产操作系统的POS终端用证书管理系统 的认证方法， 应用于如权利要求1 至7任一所述的基于国产操作系统的POS终端用证书管理系统， 其特 征在于， 包括以下步骤： 在POS终端中下载底层证书， 利用根证书对所述底层证书进行合法性验证， 验证合法则 对所述底层证书的标志 位信息进 行读取以验证配置策略， 若配置策略匹配当前金融业务场 景则安装所述底层证书； 在POS终端中下载中间层证书， 利用所述根证书对所述中间层证书进行合法性验证， 验 证合法则对所述中间层证书的标志 位信息进 行读取以验证配置策略， 若配置策略匹配当前 金融业务场景则安装所述中间层证书； 在POS终端中下载客户层证书， 利用所述根证书对所述客户层证书进行合法性验证， 验 证合法则对所述客户层证书的标志 位信息进 行读取以验证配置策略， 若配置策略匹配当前 金融业务场景则安装所述 客户层证书； 在POS终端中下载底层固件， 利用所述底层证书对所述底层固件进行合法性验证， 验证 合法则安装所述底层固件； 在POS终端中下载中间层固件， 利用所述中间层证书对所述中间层固件进行合法性验 证， 验证合法则安装所述中间层固件； 在POS终端中下载应用程序， 利用所述客户层证书对所述应用程序进行合法性验证， 验 证合法则安装所述应用程序。 9.根据权利要求8所述的基于国产操作系统 的POS终端用证书管理系统的认证方法， 其 特征在于， 所述在POS终端中下载应用程序， 利用所述客户层证书对 所述应用程序进 行合法 性验证， 验证合法则安装所述应用程序， 包括以下步骤： 在POS终端中下载客户应用根证书， 利用所述客户层证书对所述客户应用根证书进行 合法性验证， 验证合法则对所述客户应用根证书的标志位信息进行读取以验证配置策略， 若配置策略匹配当前 金融业务场景则安装所述 客户应用根证书； 在POS终端中下载客户应用证书， 利用所述客户应用根证书对所述客户应用证书进行 合法性验证， 验证合法则对所述客户应用证书的标志位信息进行读取以验证配置策略， 若 配置策略匹配则安装所述 客户应用证书； 在POS终端中下载应用程序下载， 利用所述客户应用证书对所述应用程序进行合法性 验证， 验证合法则安装所述应用程序。 10.根据权利要求9所述的基于国产操作系统的POS终端用证书管理系统的认证方法， 其特征在于， 还 包括以下步骤： 当POS终端每次开机时， 利用所述根证书分别对所述底层证书、 所述中间层证书、 所述 客户层证书 进行合法性验证； 利用所述 客户层证书对所述 客户应用根证书 进行合法性验证； 利用所述 客户应用根证书对所述 客户应用证书 进行合法性验证。权　利　要　求　书 2/2 页 3 CN 115484074 A 3