CN102694780A - 一种数字签名认证方法及包含该方法的支付方法及*** - Google Patents
一种数字签名认证方法及包含该方法的支付方法及*** Download PDFInfo
- Publication number
- CN102694780A CN102694780A CN2011100728513A CN201110072851A CN102694780A CN 102694780 A CN102694780 A CN 102694780A CN 2011100728513 A CN2011100728513 A CN 2011100728513A CN 201110072851 A CN201110072851 A CN 201110072851A CN 102694780 A CN102694780 A CN 102694780A
- Authority
- CN
- China
- Prior art keywords
- client terminal
- data
- service server
- wap site
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种数字签名认证方法和包含该方法的支付方法及***,业务服务器向客户终端发送交易确认请求;客户终端接收到所述交易确认请求后,形成交易确认数据,然后使用数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器将交易确认数据发送到业务服务器,通过WAP网站将签名数据发送到业务服务器;业务服务器接收到交易确认数据和签名数据后,进行验证,如果证明交易确认数据合法,交易服务器进行后续的交易处理;如果证明不合法,交易服务器通过向客户终端反馈错误或其它说明。本发明的技术方案中采用两条通信链路分开发送签名数据和确认数据,既能不受各种手机短信内容大小的限制,而且被恶意修改的可能性更小。
Description
技术领域
本发明涉及移动支付领域,尤其涉及一种移动支付***中的数字签名认证方法及包含该方法的支付方法及***。
背景技术
随着金融业务的快速发展,人们生活中需要支付各种费用,或者接受费用的支付,常用的方式是通过银行柜面办理或者通过网上银行办理,到银行柜台办理需要耗费用户很多时间,而且由于工作的原因,用户往往没有时间去银行缴费。通过网上银行缴费,则确实给用户带来了很大的方便,但是由于上互联网只能有网络的地方才能使用,而且在公共网吧的计算机上使用也极不安全,因此,用户不方便上网时无法使用网上银行进行支付。
手机上网通常采用登陆WAP网站的方式进行,WAP网页基本上是明文传输,无法做到安全传输,WAP网站无法直接调用硬件,做到类似USBKey型的数字签名,所以,传统意义上的WAP网页在使用过程中,只能使用用户标识加密码的方式确认用户身份,该模式下,用户名和密码由于是明文传播,通信通道极不安全,无法做到对信息的加密保护,也不能禁止攻击者的窃听和篡改及用户的恶意抵赖。
随着手机网络速度的不断提高和智能手机应用的普及,使用手机上网的应用需求日益强烈,移动支付技术的发展和应用也应运而生,例如公开号为:CN101072384A、发明名称:一种基于手机银行的手机支付方法和***以及公开号为:CN101730023A,发明名称:短信支付的方法和***的中国专利文献中均记载了手机银行的支付方案。为了防止抵赖,发明名称为:利用短信息进行身份认证的方法、公开号为CN101742504A的中国专利文献记载了在移动支付中进行数字签名的认证方案,但是该方案没有考虑到:数字签名是由要签名的数据及签名两部分组成,签名是把要签名的数据经哈希(例如:MD5、SHA1),再把哈希结果经加密算法加密而成。通常,哈希的结果至少占用16字节以上,为安全起见,签名所用的RSA加密算法密钥应使用1024位,所以加密结果至少为1024位,既128字节。此外,中国电信CMPP协议定义一条短信最多发送140个字节,所以要签名的数据最多只能有12个字节(140-128)。因此,使用一条短信不能实现移动支付中进行数字签名的需求。
发明内容
本发明的目的就是提供一种数字签名认证方法及包含该方法的支付方法及***,对手机兼容性强,而且更加安全,防止抵赖。
本发明提供一种移动支付***中的数字签名认证方法,该***包括客户终端及业务服务器,具体如下步骤:
步骤1、业务服务器4通过WAP网站2或者短信服务器3向客户终端1发送交易确认请求;
步骤2、客户终端1接收到所述交易确认请求后,将用户输入的确认信息和其它数据一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器3将所述交易确认数据发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4;
步骤3、业务服务器4接收到所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入步骤4;如果不一致,说明交易确认数据不合法,进入步骤5;
步骤4、交易服务器4进行后续的交易处理,完毕后通过WAP网站2或短信服务器3向客户终端1发送交易结果;
步骤5、交易服务器4通过WAP网站2或短信服务器3向客户终端1反馈错误或其它说明。
作为另一个优选方案,所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包,然后对所述加密的确认数据包进行签名获得签名数据,所述步骤3中业务服务器4接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入所述步骤4;如果不一致,说明交易确认数据不合法,进入所述步骤5。
作为又一个优选方案,所述步骤2中,通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/或通过WAP网站2将所述签名数据发送到所述业务服务器4之前,将数据进行加密。
本发明还提供一种包含上述数字签名认证方法的移动支付方法,在所述步骤1之前还包括如下步骤:
步骤A、客户终端1通过WAP网站2向业务服务器4发送交易请求;所述交易请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态口令OTP;
步骤B、业务服务器4根据本地存储的所述客户对应的动态口令种子,计算动态口令,与接收到的动态动态口令进行比较判断客户的合法性,如果合法,将该动态口令作为下次动态口令运算的种子,通过WAP网站2向客户终端1发送业务页面,进入步骤C;如果不合法,进入步骤5;
步骤C、客户进行业务操作,完毕后客户终端1通过WAP网站2或短信服务器3向交易服务器4发送业务操作数据。
作为另一种移动支付的替代方案,在所述步骤1之前包括如下步骤:
步骤A、客户终端1通过WAP网站2向业务服务器4发送交易请求;
步骤B、业务服务器4通过WAP网站2向客户终端推送验证页面;
步骤C、客户点击索取验证码菜单按钮,客户终端1通过WAP网站2向业务服务器4发送验证码索取请求;
步骤D、业务服务器4生成一个随机数作为验证码,通过短信服务器(3)向客户终端1发送;
步骤E、客户在验证页面上输入接收到的验证码并确认,客户终端1通过WAP网站2向交易服务器4发送验证码;
步骤F、业务服务器4收到验证码后,比较是否与步骤D生成的验证码一致,如果一致,验证通过,则通过WAP网站向客户终端发送业务操作页面,进入步骤G;否则通过WAP网站2向客户终端1反馈错误页面通知验证码错误,转到步骤D;
步骤G、客户终端1接收到该业务操作页面,客户在业务操作页面上进行业务操作,确认后,客户终端1将业务操作数据发送到业务服务器4。
本发明还提供一种移动支付***,包括:
客户终端,接收业务服务器4通过WAP网站2或者短信服务器3发送的交易确认请求,将用户输入的确认信息和其它数据一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器3将所述交易确认数据发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4;
业务服务器4,通过WAP网站2或者短信服务器3向客户终端1发送交易确认请求,接收到客户终端发送的所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进行后续的交易处理,完毕后通过WAP网站2或短信服务器3向客户终端1发送交易结果;如果不一致,说明交易确认数据不合法,交易服务器4通过WAP网站2或短信服务器3向客户终端1反馈错误或其它说明。
作为另一优选支付***方案,客户终端将所述交易确认数据进行签名之前先进行加密形成确认数据包,然后再对所述加密的确认数据包进行签名获得签名数据,业务服务器4接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法;如果不一致,说明交易确认数据不合法。
作为又一优选支付***方案,通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/或通过WAP网站2将所述签名数据发送到所述业务服务器4之前,将数据进行加密。
作为又一优选支付***方案,客户终端还用于在签名认证前通过WAP网站向业务服务器发送交易请求,请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态口令OTP;接收到业务服务器发送的业务页面后,客户进行业务操作,完毕后客户终端1通过WAP网站2或短信服务器3向交易服务器4发送业务操作数据;
业务服务器4根据本地存储的所述客户对应的动态口令种子,计算动态口令,与接收到的动态动态口令进行比较判断客户的合法性,如果合法,将该动态口令作为下次动态口令运算的种子,通过WAP网站2向客户终端发送业务页面;如果不合法,通过WAP网站2或短信服务器3向客户终端1反馈错误或其它说明。
作为又一优选支付***,客户终端还用于在签名认证前通过WAP网站2向业务服务器发送交易请求;在接收到业务服务器发送的验证页面且客户点击索取验证码菜单按钮后,通过WAP网站2向业务服务器4发送验证码索取请求;接收到验证码并经客户输入确认后,通过WAP网站2向交易服务器4发送验证码;接收到业务服务器通过WAP网站发送的业务操作页面,客户确认后,将业务操作数据发送到业务服务器4;
业务服务器4接收到所述交易请求后,通过WAP网站2向客户终端推送验证页面;收到客户终端发送的验证码索取请求后生成一个随机数作为验证码通过短信服务器向客户终端发送;接收到客户终端发送的验证码后,比较是否与生成的验证码一致,如果一致,验证通过,则通过WAP网站向客户终端发送业务操作页面;否则通过WAP网站2向客户终端1反馈错误页面通知验证码错误。
本发明的技术方案中采用两条通信链路分开发送签名数据和确认数据,既能不受各种手机短信内容大小的限制,而且被恶意修改的可能性更小。
通过以下结合附图对本发明优选实施方式的描述,本发明的其他特点、目的和效果将变得更加清楚和易于理解。
附图说明
图1为本发明***结构示意图;
图2为本发明数字签名过程的基本流程图;
在所有的上述附图中,相同的标号表示具有相同、相似或相应的特征或功能。
具体实施方式
如图1所示,本发明***包括客户终端1、短信服务器3、WAP网站2及业务服务器4,客户终端1包含有硬件安全单元,可以是贴片卡,也可以是SIM卡,SD卡,TF卡等,内部数据不经合法访问无法探测,确保安全。
安全硬件单元内置有用户数字证书和密钥,数字证书的信息和手机号码及机主信息在业务服务器4端进行绑定,绑定关系也在安全硬件单元内部存储,绑定内容可以是:手机号码、身份证、账号、硬件安全单元序列号、证书序列号等,但是不限于上述几种;安全硬件单元还内置可更新服务器身份电子证书的公钥,以便验证服务器身份,方便双向认证。
本发明主要针对数字签名认证的流程,对于其它流程,例如接入请求中的认证流程不是本发明的重点,本发明的流程可以***到任何需要进行签名认证的流程中。由于签名认证过程一般都是业务服务器4发起,因此,下面以业务服务器4向客户终端1发送交易确认请求开始进行描述。
如图2所示,该数字签名认证方法包括如下步骤:
步骤1、业务服务器4通过WAP网站2或者短信服务器3(也可以叫“WAP通道或短信通道”)向客户终端1发送交易确认请求;
步骤2、客户终端1接收到所述交易确认请求后(如果通过短信服务器发送交易确认请求,则安全硬件单元收到后,立即显示确认界面),用户输入确认信息,例如密码类的敏感信息,客户终端1将该输入的确认信息和一些绑定信息如手机号码、账号、硬件安全单元序列号等形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器3将所述交易确认数据发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4;所述确认数据包和签名数据均有唯一的标识,例如用户终端标识+数据类型+流水号+日期,便于业务服务器4在不同的通道收到上述两个数据后能够识别进行组合或者直接进行验证处理。
通过短信的方式发送交易确认数据在这里就不用再介绍了,通过WAP网站2将签名数据发送的实施方式可以如下:客户终端1呼叫WAP网站,呼叫请求中包括业务服务器4的网络地址及数据内容(例如:http://WAP网站地址/received content= 交易服务器4的网络地址&签名数据),WAP网站收到请求后,根据交易服务器4的网络地址转发数据内容到业务服务器4。
步骤3、业务服务器4接收到所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入步骤4;如果不一致,说明交易确认数据不合法,进入步骤5;
步骤4、交易服务器4进行后续的交易处理,完毕后通过WAP网站2或短信服务器3向客户终端1发送交易结果;由于步骤3中就能完成认证过程,因此本步骤进入后续的处理过程;
步骤5、交易服务器4通过WAP网站2或短信服务器3向客户终端1反馈错误或其它说明。例如通过WAP网站2向客户终端1反馈错误页面或其他页面(如浏览页面)或者通过短信服务器3向客户终端1发送确认错误的消息或其他说明(例如确认错误导致的后果以及补救措施、咨询电话等)。
作为第二个优选实施例,将第一个实施例做如下变化:所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包,然后对所述加密的确认数据包进行签名获得签名数据,并通过短信服务器3将所述确认数据包发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4;所述步骤3中业务服务器4接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入所述步骤4,在步骤4中,由于前面对交易确认数据有加密,因此,所述后续的交易处理包括了交易确认数据的解密及交易确认数据的核对,以及核对后的交易处理;如果不一致,说明交易确认数据不合法,进入所述步骤5。
作为第三个优选实施例,将第一个实施例做如下变化:所述步骤2中,通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/或通过WAP网站2将所述签名数据发送到所述业务服务器4之前,将数据进行加密。对应的,在步骤4中有进行相应的加解密。
下面详细说明一个包含本发明的签名认证流程的移动支付方案,具体如下:
步骤1、客户终端1通过WAP网站2向业务服务器4发送交易请求(客户终端1中的硬件安全单元存储有特定WAP网站URL,该URL不可被不授权的改写);客户终端1向WAP网站发送交易请求消息,交易请求消息中除了包括必要的信息,例如:业务类型,网页地址URL和客户ID;还可以包括:手机号码、账号、硬件安全单元序列号以及动态口令OTP,所述动态口令OTP用于验证客户终端的合法性;
WAP网站2根据业务类型将所述交易请求数据中的客户ID和动态口令OTP分离出来并发送到对应的所述业务服务器4(也可以直接转发,只要保证业务服务器4能够识别和分离即可);
步骤2、业务服务器4根据本地存储的所述客户对应的动态口令种子,计算动态口令,判断客户的合法性并向客户终端反馈判断结果;所述业务服务器4,在接收到所述WAP网站2转发的用户ID和动态口令后,根据其存储的与客户对应的动态口令种子,用相同的动态口令算法,算出一个动态口令,将其与接收到的动态口令进行比较,如果一致,则说明合法,将该动态口令作为下次动态口令运算的种子,通过WAP网站2向客户终端1发送业务页面,进入步骤3;如果不一致,则说明不合法,进入步骤8;
步骤3、客户进行业务操作,完毕后客户终端1通过WAP网站2或短信服务器3向交易服务器4发送业务操作数据;
步骤4、业务服务器端接收到所述业务操作数据,向客户终端1发送交易确认请求;交易确认请求可以通过WAP网站或者短信服务器发送;
步骤5、客户终端1接收到所述交易确认请求后,用户输入确认信息,客户终端1将用户输入的确认信息和其它数据(如手机号码、账号、硬件安全单元序列号等)一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器3将所述交易确认数据发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4;
步骤6、业务服务器4接收到所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入步骤7;如果不一致,说明确认数据包不合法,进入步骤8;
步骤7、交易服务器4进行后续的交易处理,完毕后通过WAP网站2或短信服务器3向客户终端1发送交易结果;
步骤8、通过WAP网站2向客户终端1反馈错误页面或其他页面(如浏览页面)或者通过短信服务器3向客户终端1发送确认错误的消息或其他说明(例如确认错误导致的后果以及补救措施、咨询电话等)。
上述步骤中,只要是通过短信发送信息的,都可以进行加密处理。
所述步骤1中,客户终端1向WAP网站2发起交易请求,可以通过以下两种方式实现:
方式一:客户终端1通过移动通讯运营商的服务页面,通过STK程序链接到交易服务界面,向所述WAP网站2提出交易请求。
方式二:客户终端直接输入域名访问交易服务页面,向WAP网站2提出交易请求。
下面详细说明一个包含本发明的签名认证流程的另外一个移动支付方案,具体如下:
步骤1、客户终端1通过WAP网站2向业务服务器4发送交易请求;交易请求中包括例如:业务类型、网页地址URL和用户ID;
步骤2、业务服务器4通过WAP网站2向客户终端推送验证页面;可以需要输入验证码和手机号,如果推送的验证页面绑定手机号码,则不需要再输入手机号码;
步骤3、用户点击索取验证码菜单按钮,客户终端1通过WAP网站2向业务服务器4发送验证码索取请求;
步骤4、业务服务器4生成一个随机数作为验证码,通过短信服务器3向客户终端1发送;短信可以加密传输;
步骤5、客户在验证页面上输入短信中显示的验证码并按确认,客户终端1通过WAP网站2向交易服务器4发送验证码;
步骤6、业务服务器4收到验证码后,比较是否与步骤4中生成的验证码一致,如果一致,验证通过,则通过WAP网站向客户终端发送业务操作页面(可以是业务服务器4向WAP网站反馈验证通过的指示,WAP网站收到该指示后向客户终端发送业务操作页面),进入步骤7;否则通过WAP网站2向客户终端1反馈错误页面通知验证码错误,转到步骤4。
步骤7、客户终端1接收到该业务操作页面,用户在业务操作页面上进行业务操作,确认后,客户终端1将业务操作数据发送到业务服务器4;该操作数据可以加密传输;
步骤8、业务服务器4接收到所述业务操作数据,向客户终端1发送交易确认请求;交易确认请求可以通过WAP网站或者短信服务器发送;
步骤9、客户终端1接收到所述交易确认请求后,用户输入确认信息,客户终端1将用户输入的确认信息和其它数据(如手机号码、账号、硬件安全单元序列号等)一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器3将所述交易确认数据发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4;
步骤10、业务服务器4接收到所述交易确认数据和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入步骤11;如果不一致,说明确认数据包不合法,进入步骤12;
步骤11、交易服务器4进行后续交易处理,完毕后通过WAP网站2或短信服务器3向客户终端1发送交易结果;
步骤12、通过WAP网站2向客户终端1反馈错误页面或其他页面(如浏览页面)或者通过短信服务器3向客户终端1发送确认错误的消息或其他说明(例如确认错误导致的后果以及补救措施、咨询电话等)。
本发明的上述实施例中采用两条通信链路分开发送签名数据和确认数据,既能不受各种手机短信内容大小的限制,而且被恶意修改的可能性更小。包含该认证方法的移动支付方法具有更加安全和不可抵赖的特性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种移动支付***中的数字签名认证方法,该***包括客户终端及业务服务器,具体如下步骤:
步骤1、业务服务器(4)通过WAP网站(2)或者短信服务器(3)向客户终端(1)发送交易确认请求;
步骤2、客户终端(1)接收到所述交易确认请求后,将用户输入的确认信息和其它数据一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4),通过WAP网站(2)将所述签名数据发送到所述业务服务器(4);
步骤3、业务服务器(4)接收到所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入步骤4;如果不一致,说明交易确认数据不合法,进入步骤5;
步骤4、交易服务器(4)进行后续的交易处理,完毕后通过WAP网站(2)或短信服务器(3)向客户终端(1)发送交易结果;
步骤5、交易服务器(4)通过WAP网站(2)或短信服务器(3)向客户终端(1)反馈错误或其它说明。
2. 根据权利要求1所述的一种移动支付***中的数字签名认证方法,其特征在于,所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包,然后对所述加密的确认数据包进行签名获得签名数据,所述步骤3中业务服务器(4)接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入所述步骤4;如果不一致,说明交易确认数据不合法,进入所述步骤5。
3. 根据权利要求1所述的一种移动支付***中的数字签名认证方法,其特征在于,
所述步骤2中,通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4)和/或通过WAP网站(2)将所述签名数据发送到所述业务服务器(4)之前,将数据进行加密。
4. 一种包含权利要求1至3中任一项所述数字签名认证方法的移动支付方法,其特征在于,
在所述步骤1之前还包括如下步骤:
步骤A、客户终端(1)通过WAP网站(2)向业务服务器(4)发送交易请求;所述交易请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态口令OTP;
步骤B、业务服务器(4)根据本地存储的所述客户对应的动态口令种子,计算动态口令,与接收到的动态动态口令进行比较判断客户的合法性,如果合法,将该动态口令作为下次动态口令运算的种子,通过WAP网站(2)向客户终端(1)发送业务页面,进入步骤C;如果不合法,进入步骤5;
步骤C、客户进行业务操作,完毕后客户终端(1)通过WAP网站(2)或短信服务器(3)向交易服务器(4)发送业务操作数据。
5. 一种包含权利要求1至3中任一项所述数字签名认证方法的移动支付方法,其特征在于,在所述步骤1之前还包括如下步骤:
步骤A、客户终端(1)通过WAP网站(2)向业务服务器(4)发送交易请求;
步骤B、业务服务器(4)通过WAP网站(2)向客户终端推送验证页面;
步骤C、客户点击索取验证码菜单按钮,客户终端(1)通过WAP网站(2)向业务服务器(4)发送验证码索取请求;
步骤D、业务服务器(4)生成一个随机数作为验证码,通过短信服务器(3)向客户终端(1)发送;
步骤E、客户在验证页面上输入接收到的验证码并确认,客户终端(1)通过WAP网站(2)向交易服务器(4)发送验证码;
步骤F、业务服务器(4)收到验证码后,比较是否与步骤D生成的验证码一致,如果一致,验证通过,则通过WAP网站向客户终端发送业务操作页面,进入步骤G;否则通过WAP网站(2)向客户终端(1)反馈错误页面通知验证码错误,转到步骤D;
步骤G、客户终端(1)接收到该业务操作页面,客户在业务操作页面上进行业务操作,确认后,客户终端(1)将业务操作数据发送到业务服务器(4)。
6. 一种移动支付***,包括:
客户终端,接收业务服务器(4)通过WAP网站(2)或者短信服务器(3)发送的交易确认请求,将用户输入的确认信息和其它数据一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4),通过WAP网站(2)将所述签名数据发送到所述业务服务器(4);
业务服务器(4),通过WAP网站(2)或者短信服务器3向客户终端(1)发送交易确认请求,接收到客户终端发送的所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进行后续的交易处理,完毕后通过WAP网站(2)或短信服务器(3)向客户终端(1)发送交易结果;如果不一致,说明交易确认数据不合法,交易服务器(4)通过WAP网站(2)或短信服务器(3)向客户终端(1)反馈错误或其它说明。
7. 根据权利要求6所述的一种移动支付***,其特征在于,
客户终端将所述交易确认数据进行签名之前先进行加密形成确认数据包,然后再对所述加密的确认数据包进行签名获得签名数据,业务服务器(4)接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法;如果不一致,说明交易确认数据不合法。
8. 根据权利要求6所述的一种移动支付***,其特征在于,
通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4)和/或通过WAP网站(2)将所述签名数据发送到所述业务服务器(4)之前,将数据进行加密。
9. 根据权利要求6至8中任一项所述的移动支付***,其特征在于,
客户终端还用于在签名认证前通过WAP网站向业务服务器发送交易请求,请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态口令OTP;接收到业务服务器发送的业务页面后,客户进行业务操作,完毕后客户终端(1)通过WAP网站(2)或短信服务器(3)向交易服务器(4)发送业务操作数据;
业务服务器(4)根据本地存储的所述客户对应的动态口令种子,计算动态口令,与接收到的动态动态口令进行比较判断客户的合法性,如果合法,将该动态口令作为下次动态口令运算的种子,通过WAP网站(2)向客户终端发送业务页面;如果不合法,通过WAP网站(2)或短信服务器(3)向客户终端(1)反馈错误或其它说明。
10. 根据权利要求6至8中任一项所述的移动支付***,其特征在于,
客户终端还用于在签名认证前通过WAP网站(2)向业务服务器发送交易请求;在接收到业务服务器发送的验证页面且客户点击索取验证码菜单按钮后,通过WAP网站(2)向业务服务器(4)发送验证码索取请求;接收到验证码并经客户输入确认后,通过WAP网站(2)向交易服务器(4)发送验证码;接收到业务服务器通过WAP网站发送的业务操作页面,客户确认后,将业务操作数据发送到业务服务器(4);
业务服务器(4)接收到所述交易请求后,通过WAP网站(2)向客户终端推送验证页面;收到客户终端发送的验证码索取请求后生成一个随机数作为验证码通过短信服务器向客户终端发送;接收到客户终端发送的验证码后,比较是否与生成的验证码一致,如果一致,验证通过,则通过WAP网站向客户终端发送业务操作页面;否则通过WAP网站(2)向客户终端(1)反馈错误页面通知验证码错误。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100728513A CN102694780A (zh) | 2011-03-25 | 2011-03-25 | 一种数字签名认证方法及包含该方法的支付方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100728513A CN102694780A (zh) | 2011-03-25 | 2011-03-25 | 一种数字签名认证方法及包含该方法的支付方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102694780A true CN102694780A (zh) | 2012-09-26 |
Family
ID=46860067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100728513A Pending CN102694780A (zh) | 2011-03-25 | 2011-03-25 | 一种数字签名认证方法及包含该方法的支付方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102694780A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491533A (zh) * | 2013-09-23 | 2014-01-01 | 上海翰鑫信息科技有限公司 | Wap网关、用户wap终端、wap支付***及方法 |
| CN103905624A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 数字签名的生成方法与手机终端 |
| CN104376466A (zh) * | 2014-11-25 | 2015-02-25 | 苏州迪云信息科技有限公司 | 一种电子付款方法、装置和终端 |
| CN104618399A (zh) * | 2015-03-05 | 2015-05-13 | 中国联合网络通信集团有限公司 | 一种保护短信支付业务中的数据安全方法和*** |
| CN104639324A (zh) * | 2014-12-29 | 2015-05-20 | 芜湖乐锐思信息咨询有限公司 | 基于地址编码认证的在线交易*** |
| CN105072080A (zh) * | 2015-07-01 | 2015-11-18 | 赛肯(北京)科技有限公司 | 一种信息验证方法、装置及*** |
| CN106408301A (zh) * | 2016-09-30 | 2017-02-15 | 广东网金控股股份有限公司 | 一种提高交易指令安全的方法及装置 |
| CN106656499A (zh) * | 2015-07-15 | 2017-05-10 | 同方股份有限公司 | 一种数字版权保护***中终端设备可信认证方法及其*** |
| CN106651366A (zh) * | 2015-11-03 | 2017-05-10 | 国民技术股份有限公司 | 一种移动终端及其交易确认方法、装置以及一种智能卡 |
| CN106851602A (zh) * | 2017-03-31 | 2017-06-13 | 武汉票据交易中心有限公司 | 一种交易***短信验证方法及*** |
| CN107231631A (zh) * | 2017-05-31 | 2017-10-03 | 广东网金控股股份有限公司 | 一种移动终端的网络安全认证的方法及移动终端 |
| CN108449185A (zh) * | 2018-06-04 | 2018-08-24 | 贵州数据宝网络科技有限公司 | 一种数据签名安全认证*** |
| CN108764912A (zh) * | 2018-06-21 | 2018-11-06 | 广东工业大学 | 一种基于短信验证码的支付方法及装置 |
| CN111161056A (zh) * | 2018-11-07 | 2020-05-15 | 新明华区块链技术(深圳)有限公司 | 一种提高数字资产交易安全性的方法、***及设备 |
| CN113537985A (zh) * | 2021-07-16 | 2021-10-22 | 中国农业银行股份有限公司 | 数据验证方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101398870A (zh) * | 2007-09-24 | 2009-04-01 | 广州市百成科技有限公司 | 一种基于密码分层体系的电子****** |
| CN101577917A (zh) * | 2009-06-16 | 2009-11-11 | 深圳市星龙基电子技术有限公司 | 一种安全的基于手机的动态密码验证方法 |
| CN101834946A (zh) * | 2010-05-11 | 2010-09-15 | 丁峰 | 一种进行安全手机支付的方法和进行安全支付的手机 |
-
2011
- 2011-03-25 CN CN2011100728513A patent/CN102694780A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101398870A (zh) * | 2007-09-24 | 2009-04-01 | 广州市百成科技有限公司 | 一种基于密码分层体系的电子****** |
| CN101577917A (zh) * | 2009-06-16 | 2009-11-11 | 深圳市星龙基电子技术有限公司 | 一种安全的基于手机的动态密码验证方法 |
| CN101834946A (zh) * | 2010-05-11 | 2010-09-15 | 丁峰 | 一种进行安全手机支付的方法和进行安全支付的手机 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905624B (zh) * | 2012-12-28 | 2016-05-18 | 中国电信股份有限公司 | 数字签名的生成方法与手机终端 |
| CN103905624A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 数字签名的生成方法与手机终端 |
| CN103491533A (zh) * | 2013-09-23 | 2014-01-01 | 上海翰鑫信息科技有限公司 | Wap网关、用户wap终端、wap支付***及方法 |
| CN104376466A (zh) * | 2014-11-25 | 2015-02-25 | 苏州迪云信息科技有限公司 | 一种电子付款方法、装置和终端 |
| CN104639324B (zh) * | 2014-12-29 | 2018-07-17 | 北京创鑫旅程网络技术有限公司 | 基于地址编码认证的在线交易*** |
| CN104639324A (zh) * | 2014-12-29 | 2015-05-20 | 芜湖乐锐思信息咨询有限公司 | 基于地址编码认证的在线交易*** |
| CN104618399A (zh) * | 2015-03-05 | 2015-05-13 | 中国联合网络通信集团有限公司 | 一种保护短信支付业务中的数据安全方法和*** |
| CN105072080A (zh) * | 2015-07-01 | 2015-11-18 | 赛肯(北京)科技有限公司 | 一种信息验证方法、装置及*** |
| CN105072080B (zh) * | 2015-07-01 | 2018-04-13 | 广州密码科技有限公司 | 一种信息验证方法、装置及*** |
| CN106656499A (zh) * | 2015-07-15 | 2017-05-10 | 同方股份有限公司 | 一种数字版权保护***中终端设备可信认证方法及其*** |
| CN106656499B (zh) * | 2015-07-15 | 2023-05-05 | 同方股份有限公司 | 一种数字版权保护***中终端设备可信认证方法 |
| CN106651366A (zh) * | 2015-11-03 | 2017-05-10 | 国民技术股份有限公司 | 一种移动终端及其交易确认方法、装置以及一种智能卡 |
| CN106408301A (zh) * | 2016-09-30 | 2017-02-15 | 广东网金控股股份有限公司 | 一种提高交易指令安全的方法及装置 |
| CN106851602A (zh) * | 2017-03-31 | 2017-06-13 | 武汉票据交易中心有限公司 | 一种交易***短信验证方法及*** |
| CN107231631A (zh) * | 2017-05-31 | 2017-10-03 | 广东网金控股股份有限公司 | 一种移动终端的网络安全认证的方法及移动终端 |
| CN108449185A (zh) * | 2018-06-04 | 2018-08-24 | 贵州数据宝网络科技有限公司 | 一种数据签名安全认证*** |
| CN108764912A (zh) * | 2018-06-21 | 2018-11-06 | 广东工业大学 | 一种基于短信验证码的支付方法及装置 |
| CN108764912B (zh) * | 2018-06-21 | 2021-09-17 | 广东工业大学 | 一种基于短信验证码的支付方法及装置 |
| CN111161056A (zh) * | 2018-11-07 | 2020-05-15 | 新明华区块链技术(深圳)有限公司 | 一种提高数字资产交易安全性的方法、***及设备 |
| CN113537985A (zh) * | 2021-07-16 | 2021-10-22 | 中国农业银行股份有限公司 | 数据验证方法及装置 |
| CN113537985B (zh) * | 2021-07-16 | 2024-03-26 | 中国农业银行股份有限公司 | 数据验证方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102694780A (zh) | 一种数字签名认证方法及包含该方法的支付方法及*** | |
| AU2021203184B2 (en) | Transaction messaging | |
| CN102801710B (zh) | 一种网络交易方法和*** | |
| CN109039652B (zh) | 一种数字通证的生成及应用方法 | |
| WO2012155644A1 (zh) | 账单代付管理方法、装置及*** | |
| CN102789607A (zh) | 一种网络交易方法和*** | |
| CN102790767B (zh) | 信息安全控制方法,信息安全显示设备,及电子交易*** | |
| CN101221641B (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| EP1142194B1 (en) | Method and system for implementing a digital signature | |
| CN110278180B (zh) | 金融信息的交互方法、装置、设备及存储介质 | |
| CN202854880U (zh) | 基于指纹识别手机的短信支付*** | |
| CN111861457B (zh) | 支付令牌申请方法、设备、***和服务器 | |
| CN110149354A (zh) | 一种基于https协议的加密认证方法和装置 | |
| CN103761644A (zh) | 移动互联网在线支付的下单处理方法 | |
| CN103745352A (zh) | Wap商户移动平台调用支付插件进行下单的方法 | |
| CN107994995A (zh) | 一种低安全介质的交易方法、***及终端设备 | |
| CN106656955A (zh) | 一种通信方法及***、客户端 | |
| CN115276978A (zh) | 一种数据处理方法以及相关装置 | |
| CN104992329A (zh) | 一种安全下发交易报文的方法 | |
| TW200806002A (en) | Message authentication system and message authentication method | |
| CN105574720A (zh) | 安全的信息处理方法以及信息处理装置 | |
| CN112712354A (zh) | 一种数字货币钱包与数字货币服务器的交互方法 | |
| CN103997730A (zh) | 一种加密数据的解密复制粘贴方法 | |
| Kisore et al. | A secure SMS protocol for implementing digital cash system | |
| JP2007116641A (ja) | 秘密情報送信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120926 |