CN105635164A - 安全认证的方法和装置 - Google Patents

安全认证的方法和装置 Download PDF

Info

Publication number
CN105635164A
CN105635164A CN201610040856.0A CN201610040856A CN105635164A CN 105635164 A CN105635164 A CN 105635164A CN 201610040856 A CN201610040856 A CN 201610040856A CN 105635164 A CN105635164 A CN 105635164A
Authority
CN
China
Prior art keywords
mpos
equipment
target
certification
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610040856.0A
Other languages
English (en)
Other versions
CN105635164B (zh
Inventor
郑立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Puyu Investment Co.,Ltd.
Original Assignee
Beijing Intelligent Fruit Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Intelligent Fruit Technology Co Ltd filed Critical Beijing Intelligent Fruit Technology Co Ltd
Priority to CN201610040856.0A priority Critical patent/CN105635164B/zh
Publication of CN105635164A publication Critical patent/CN105635164A/zh
Application granted granted Critical
Publication of CN105635164B publication Critical patent/CN105635164B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种安全认证的方法和装置,该方法包括:服务器根据预设的数据库信息对终端发送的至少一个POS设备的设备标识和设备地址进行筛选,确定第一MPOS设备,并将第一MPOS设备的设备标识和设备地址以及第一MPOS设备对应的第一认证因子发送给终端;服务器通过终端接收目标MPOS设备发送的响应报文,并根据数据库信息中的目标MPOS设备的加密密钥和响应报文对目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过终端发送给目标MPOS设备,从而对进行支付时所涉及的目标MPOS设备和终端完成认证,也无需用户在每次支付时手动确认,故而本发明在提高了用户体验的同时,保证了支付的安全性。

Description

安全认证的方法和装置
技术领域
本发明涉及通信技术,尤其涉及一种安全认证的方法和装置。
背景技术
随着通信技术的不断发展,各类通信设备应运而生,各类通信设备之间可以建立各种各样的通信连接。以蓝牙连接为例,两台蓝牙设备之间的连接模式分为安全连接模式和非安全连接模式两种。在安全连接模式下,两台设备在相互连接的过程中,用户需要手工设置、输入、确认连接密码(PIN)或者匹配码;在非安全连接模式下,两台设备可以直接连接,跳过了用户手动确认的步骤。
上述蓝牙连接方式当前被广泛应用在移动安全支付方面,其中所涉及的设备包括终端设备和移动销售终端MPOS设备。MPOS设备是一种基于手机、平板电脑等智能终端的安全金融外置设备,MPOS设备本身能自主完成刷卡(磁条卡)、读卡(IC卡)、PIN输入、金额输入等操作,并实现对上述交易敏感信息的加密,但其自身不具备远程连接功能。因此,MPOS设备需要通过蓝牙模式与终端设备进行连接,并通过终端设备上的应用(Application,简称App)与远程服务器实现相互通信,最终完成金融交易。
现有技术中为了提高用户使用体验,避免每次使用时都需要用户手动完成确认,MPOS设备和终端设备之间通常采用蓝牙的非安全连接模式进行连接,即终端设备在扫描到特定设备名的蓝牙设备后,就自动连接该蓝牙设备的媒体访问控制(MediaAccessControl,简称MAC)通信地址上进行通信。但是,在这个过程中,MPOS设备的蓝牙设备名和蓝牙MAC地址有可能被恶意截获进而被伪造,而对于MPOS设备来说,终端设备的连接请求也可能并非来自合法的终端,因此,现有技术的这种支付方式存在一定的安全风险。
故,在蓝牙非安全模式连接下进行交易支付时,如何在避免每次支付都需要用户手动完成确认的同时,降低支付的风险,成为目前亟待解决的技术问题。
发明内容
本发明提供一种安全认证的方法和装置,用以解决在蓝牙非安全模式连接下进行交易支付时,现有技术在避免每次支付都需要用户手动完成确认时,存在安全风险的技术问题。
第一方面,本发明提供一种安全认证的方法,包括:
服务器根据预设的数据库信息对终端发送的至少一个移动销售终端MPOS设备的设备标识和设备地址进行筛选,确定第一MPOS设备;所述数据库信息包括至少一个合法MPOS设备的设备标识、所述合法设备的设备地址、所述合法设备的密码PIN以及所述合法设备的加密密钥;
所述服务器将所述第一MPOS设备的设备标识和所述第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给所述终端;
所述服务器通过所述终端接收目标MPOS设备发送的响应报文,所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;所述目标MPOS设备为所述终端从所述第一MPOS设备中确定的设备;
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,以使所述目标MPOS设备根据所述处理后的第二认证因子对所述终端进行认证。
可选的,当所述响应报文包括第一PIN密文和所述第二认证因子时,所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,具体包括:
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第一过程密钥;
所述服务器根据所述第一过程密钥解密所述第一PIN密文,获得第一PIN;
当所述服务器判断所述第一PIN与所述数据库信息中的所述目标MPOS设备的PIN相同时,所述服务器确定所述目标MPOS设备认证通过。
可选的,当所述响应报文包括第二PIN密文时,所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,具体包括:
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥的私钥解密所述第二PIN密文,获得解密数据;
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥的公钥对所述第一认证因子和所述数据库信息中的所述目标MPOS设备的PIN进行第二处理,获得过程数据;
当所述服务器判断所述过程数据与所述解密数据相同时,所述服务器确定所述MPOS设备认证通过。
进一步地,所述将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,具体包括:
所述服务器对所述第二认证因子进行mac计算,获得所述处理后的第二认证因子,并将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
进一步地,所述将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,具体包括:
所述服务器根据所述目标MPOS设备的加密密钥的私钥对所述第二认证因子签名,获得所述处理后的第二认证因子,并将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
第二方面,本发明提供一种安全认证的方法,包括:
目标移动销售终端MPOS设备接收终端发送的认证请求;所述认证请求中携带服务器下发的第一认证因子;
所述目标MPOS设备根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文;所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;
所述目标MPOS设备将所述响应报文通过所述终端发送给所述服务器,以使所述服务器根据预设的数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证;
所述目标MPOS设备通过所述终端接收所述服务器在认证所述目标MPOS设备通过后发送的处理后的第二认证因子;
所述目标MPOS设备根据所述目标MPOS设备的加密密钥、所述目标MPOS设备的第二认证因子、所述处理后的第二认证因子对所述终端进行认证。
可选的,所述目标MPOS设备根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文,具体包括:
所述目标MPOS设备根据所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第二过程密钥;
所述目标MPOS设备根据所述第二过程密码对所述目标MPOS设备的PIN进行加密,获得所述第一PIN密文;
所述目标MPOS设备将所述第一PIN密文和所述第二认证因子确定为所述响应报文。
可选的,所述目标MPOS设备根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文,具体包括:
所述目标MPOS设备对所述第一认证因子和所述目标MPOS设备的PIN进行第二处理,得到待加密数据;
所述目标MPOS设备根据所述目标MPOS设备的加密密钥的公钥加密所述待加密数据和所述第二认证因子,得到所述第二PIN密文;
所述目标MPOS设备确定所述第二PIN密文为所述响应报文。
第三方面,本发明提供一种安全认证的装置,包括:
筛选模块,用于根据预设的数据库信息对终端发送的至少一个移动销售终端MPOS设备的设备标识和设备地址进行筛选,确定第一MPOS设备;所述数据库信息包括至少一个合法MPOS设备的设备标识、所述合法设备的设备地址、所述合法设备的密码PIN以及所述合法设备的加密密钥;
发送模块,用于将所述第一MPOS设备的设备标识和所述第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给所述终端;
接收模块,用于通过所述终端接收目标MPOS设备发送的响应报文,所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;所述目标MPOS设备为所述终端从所述第一MPOS设备中确定的设备;
认证模块,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,以使所述目标MPOS设备根据所述处理后的第二认证因子对所述终端进行认证。
可选的,当所述响应报文包括第一PIN密文和所述第二认证因子时,所述认证模块,具体包括:
第一获取单元,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第一过程密钥;
第二获取单元,用于根据所述第一过程密钥解密所述第一PIN密文,获得第一PIN;
第一认证单元,用于在判断所述第一PIN与所述数据库信息中的所述目标MPOS设备的PIN相同时,确定所述目标MPOS设备认证通过。
可选的,当所述响应报文包括第二PIN密文时,所述认证模块,具体包括:
第三获取单元,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥的私钥解密所述第二PIN密文,获得解密数据;
第四获取单元,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥的公钥对所述第一认证因子和所述数据库信息中的所述目标MPOS设备的PIN进行第二处理,获得过程数据;
第二认证单元,用于在判断所述过程数据与所述解密数据相同时,确定所述MPOS设备认证通过。
进一步地,所述认证模块,还包括:
计算单元,用于对所述第二认证因子进行mac计算,获得所述处理后的第二认证因子;
则所述发送模块,还用于将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
进一步地,所述认证模块,还包括:
签名单元,用于根据所述目标MPOS设备的加密密钥的私钥对所述第二认证因子签名,获得所述处理后的第二认证因子;
则所述发送模块,还用于将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
第四方面,本发明提供一种安全认证的装置,包括:
接收模块,用于接收终端发送的认证请求;所述认证请求中携带服务器下发的第一认证因子;
获取模块,用于根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文;所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;
发送模块,用于将所述响应报文通过所述终端发送给所述服务器,以使所述服务器根据预设的数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证;
所述接收模块,还用于通过所述终端接收所述服务器在认证所述目标MPOS设备通过后发送的处理后的第二认证因子;
认证模块,用于根据所述目标MPOS设备的加密密钥、所述目标MPOS设备的第二认证因子、所述处理后的第二认证因子对所述终端进行认证。
可选的,所述获取模块,包括:
第一获取单元,用于根据所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第二过程密钥;
第二获取单元,用于根据所述第二过程密码对所述目标MPOS设备的PIN进行加密,获得所述第一PIN密文;
第一确定单元,用于将所述第一PIN密文和所述第二认证因子确定为所述响应报文。
可选的,所述获取模块,包括:
第三获取单元,用于对所述第一认证因子和所述目标MPOS设备的PIN进行第二处理,得到待加密数据;
第四获取单元,用于根据所述目标MPOS设备的加密密钥的公钥加密所述待加密数据和所述第二认证因子,得到所述第二PIN密文;
第二确定单元,用于确定所述第二PIN密文为所述响应报文。
本发明实施例提供的安全认证的方法和装置,通过服务器根据预设的数据库信息对终端发送的至少一个MPOS设备的设备标识和设备地址进行筛选,得到第一MPOS设备,并将该第一MPOS设备的设备标识和设备地址以及第一认证因子发送给终端,进而使得终端根据该第一MPOS设备确定一目标MPOS设备,并与该目标MPOS设备进行通信,并将该目标MPOS设备的响应报文转发给服务器,使得服务器根据数据库信息中所保存的目标MPOS设备的加密密钥和该响应报文对目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过终端发送给目标MPOS设备,以使目标MPOS设备根据该处理后的第二认证因子对终端进行认证,从而完成对进行支付时所涉及的目标MPOS设备和终端完成认证,确保了终端和目标MPOS设备的合法性,降低了支付的危险系数,并且也无需用户在每次支付时手动确认,故而本发明在提高了用户体验的同时,保证了支付的安全性。
附图说明
图1为本发明提供的安全支付***的结构示意图;
图2为本发明提供的安全认证的方法实施例一的流程示意图;
图3为本发明提供的安全认证的方法实施例二的流程示意图;
图4为本发明提供的安全认证的方法实施例三的信令流程图;
图5为本发明提供的安全认证的装置实施例一的结构示意图;
图6为本发明提供的安全认证的装置实施例二的结构示意图;
图7为本发明提供的安全认证的装置实施例三的结构示意图;
图8为本发明提供的安全认证的装置实施例四的结构示意图。
图9为本发明提供的安全认证的装置实施例五的结构示意图。
图10为本发明提供的安全认证的装置实施例六的结构示意图。
具体实施方式
本发明实施例所涉及的方法,可以适用于图1所示的安全支付***,该安全支付***包括终端、MPOS设备和服务器。其中,终端可以与MPOS设备通过蓝牙模式通信,终端可以与服务器之间进行远程通信,MPOS设备不具有远程通信的功能,故而该MPOS设备与服务器之间不具有直接通信的功能。
本发明实施例所涉及的终端,可以是手机、平板电脑等具有无线通信功能的智能设备,该无线通信方式包括远程无线通信、近场通信以及蓝牙通信方式等。
本发明实施例所涉及的MPOS设备可以是一种基于手机、平板电脑等智能终端的安全金融外置设备,MPOS设备本身能自主完成刷卡(磁条卡)、读卡(IC卡)、PIN输入、金额输入等操作,并实现对上述交易敏感信息的加密,但其自身不具备远程连接功能。
本发明实施例所涉及的服务器,可以是能够与终端完成远程通信的远程服务器,该服务器可以集成在相应金融机构的金融设备上。现有技术为了提高用户体验,因而在终端与MPOS设备之间通常采用蓝牙的非安全连接模式进行连接,但是,在这个过程中,MPOS设备的蓝牙设备名和蓝牙MAC地址有可能被恶意截获进而被伪造,并且对于MPOS设备来说,终端设备的连接请求也可能并非来自合法的终端,因此,本发明实施例所涉及的服务器可以用于对MPOS设备和终端的合法性进行认证。
本发明实施例所涉及的安全认证的方法和装置,旨在解决在蓝牙非安全模式连接下进行交易支付时,现有技术中在避免每次支付都需要用户手动完成确认时,存在安全风险的技术问题。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2为本发明提供的安全认证的方法实施例一的流程示意图。本实施例涉及的是服务器通过根据目标MPOS设备发送的响应报文对目标MPOS设备进行认证,并在目标MPOS设备认证通过后,通过向目标MPOS设备发送处理后的第二认证因子以完成对终端进行认证的具体过程。如图2所示,该方法包括:
S101:服务器根据预设的数据库信息对终端发送的至少一个移动销售终端MPOS设备的设备标识和设备地址进行筛选,确定目标MPOS设备;所述数据库信息包括至少一个合法MPOS设备的设备标识、所述合法设备的设备地址、所述合法设备的密码PIN以及所述合法设备的加密密钥。
具体的,在MPOS设备出厂时,服务器会对不同的MPOS设备进行个人化,即服务器会根据预设的数据库信息为不同的MPOS设备分配不同的设备标识、设备地址、PIN和加密密钥,分配了这些信息的MPOS设备即成为合法MPOS设备,该合法的MPOS设备中即具有了自己的设备标识、设备地址、设备的PIN和设备的加密密钥。可选的,该设备标识可以为特定命名格式的设备名称,一台MPOS设备对应一个特定的PIN和一个特定的加密密钥,该加密密钥可以是对称密钥,也可以是非对称密钥(可以使用统一的公钥证书),该非对称密钥包括公钥和私钥一对密钥,其中,公钥用于加密数据,私钥用于解密数据。可选的,上述服务器中的数据库信息可以是服务器自己生成的信息,还可以是研发人员将合法MPOS设备的设备标识、设备地址、PIN以及加密密钥等信息加载至MPOS设备,本发明实施例对数据库信息的来源并不做限制。
当终端需要进行交易时,终端可以登录特定的应用软件(APP)进而搜索周围的符合服务器规定的特定命名格式的蓝牙设备(即MPOS设备),并获得该MPOS设备的设备地址,该设备地址可以为蓝牙地址。之后,终端可以将所搜索到的这些MPOS设备的设备标识和设备地址发送给服务器。可选的,终端所搜索到的符合服务器规定的特定命名格式的MPOS设备可以是一个,也可以是多个。
服务器在接收到终端发送的至少一个MPOS设备的设备标识和设备地址后,根据预设的数据库信息对其进行筛选,以筛选出与数据库信息中所保存的合法设备的设备标识和设备地址相同的MPOS设备,作为第一MPOS设备。可选的,该第一MPOS设备可以是一个,也可以是多个。
S102:服务器将所述第一MPOS设备的设备标识和所述第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给所述终端。
具体的,当服务器将上述确定的第一MPOS设备的设备标识和第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给终端后,终端从第一MPOS设备中确定即将与终端进行通信的MPOS设备作为目标MPOS设备。可选的,当第一MPOS设备为一个时,终端可以直接将其作为目标MPOS设备,当第一MPOS设备为多个时,终端可以向用户显示一选择界面,根据用户的选择确定目标MPOS设备。
当终端确定目标MPOS设备后,向该目标MPOS设备发起蓝牙连接请求,在蓝牙模块层面完成连接,此时需要说明的是终端并不能马上进行后续交易操作。当终端连接成功后,可以自动向该目标MPOS设备发送认证请求,该认证请求中携带上述服务器下发给终端的第一认证因子。
S103:服务器通过所述终端接收所述目标MPOS设备发送的响应报文,所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文。
具体的,当目标MPOS设备接收到终端发送的认证请求后,MPOS设备随机生成第二认证因子,并根据第一认证因子、第二认证因子和目标MPOS设备自身的PIN获得响应报文,并将该响应报文发送给服务器。可选的,该响应报文可以包括第一PIN密文和第二认证因子,可选得,该响应报文可以包括第二PIN密文。服务器接收目标MPOS设备的响应报文。
S104:服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,以使所述目标MPOS设备根据所述处理后的第二认证因子对所述终端进行认证。
具体的,当服务器接收到目标MPOS设备发送的响应报文之后,结合上述数据库信息中所保存的目标MPOS设备的加密密钥以及所接收到的响应报文,对目标MPOS设备进行认证,以判断该目标MPOS设备是否为伪造设备。可选的,服务器可以是通过根据数据库信息中所保存的目标MPOS设备的加密密钥对响应报文进行解密的方式确定该目标MPOS设备是否认证通过。当服务器确定目标MPOS设备认证通过后,对上述响应报文中的第二认证因子进行相应的处理,以得到处理后的第二认证因子。可选的,该处理可以是对第二认证因子进行mac计算,还可以是对第二认证因子进行签名等处理。
当服务器得到处理后的第二认证因子之后,将该处理后的第二认证因子发送给目标MPOS设备,以使得目标MPOS设备可以根据对该处理后的第二认证因子进行相应的验算来对终端进行认证。例如,由于目标MPOS设备本身就知道自身的第二认证因子,其可以采用与服务器对第二认证因子相同的处理方式对自身的第二认证因子进行相同的处理,从而目标MPOS设备会得到自己处理后的第二认证因子,进而目标MPOS设备会判断自己处理后的第二认证因子与服务器所发送的处理后的第二认证因子是否相同,若相同,则验算通过,说明上述发送认证请求给目标MPOS设备的终端是合法终端。
综上,本发明实施例所涉及的方法就完成了终端和目标MPOS设备的相互认证,确保了终端和目标MPOS设备的合法性,进而保证了支付的安全性。
本发明实施例提供的安全认证的方法,通过服务器根据预设的数据库信息对终端发送的至少一个MPOS设备的设备标识和设备地址进行筛选,得到第一MPOS设备,并将该第一MPOS设备的设备标识和设备地址以及第一认证因子发送给终端,进而使得终端根据该第一MPOS设备确定一目标MPOS设备,并与该目标MPOS设备进行通信,并将该目标MPOS设备的响应报文转发给服务器,使得服务器根据数据库信息中所保存的目标MPOS设备的加密密钥和该响应报文对目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过终端发送给目标MPOS设备,以使目标MPOS设备根据该处理后的第二认证因子对终端进行认证,从而完成对进行支付时所涉及的目标MPOS设备和终端完成认证,确保了终端和目标MPOS设备的合法性,降低了支付的危险系数,并且也无需用户在每次支付时手动确认,故而本发明在提高了用户体验的同时,保证了支付的安全性。
图3为本发明提供的安全认证方法实施例二的流程示意图。本实施例涉及的是目标MPOS设备通过向服务器发送响应报文,使得服务器完成对目标MPOS设备的认证,并根据服务器发送的处理后的第二认证因子完成对终端的认证的具体过程。如图3所示,该方法包括:
S201:目标MPOS设备接收终端发送的认证请求;所述认证请求中携带服务器下发的第一认证因子。
具体的,在终端需要与目标MPOS设备进行交易业务时,终端需要通过向目标MPOS设备发送认证请求,以请求服务器对目标MPOS设备进行认证。在MPOS设备出厂时,服务器会对不同的MPOS设备进行个人化,即服务器会根据预设的数据库信息为不同的MPOS设备分配不同的设备标识、设备地址、PIN和加密密钥,分配了这些信息的MPOS设备即成为合法MPOS设备,该合法的MPOS设备中即具有了自己的设备标识、设备地址、设备的PIN和设备的加密密钥。
当终端需要进行交易时,终端可以登录特定的应用软件(APP)进而搜索周围的符合服务器规定的特定命名格式的蓝牙设备(即MPOS设备),并获得该MPOS设备的设备地址,该设备地址可以为蓝牙地址。之后,终端可以将所搜索到的这些MPOS设备的设备标识和设备地址发送给服务器。可选的,终端所搜索到的符合服务器规定的特定命名格式的MPOS设备可以是一个,也可以是多个。
服务器在接收到终端发送的至少一个MPOS设备的设备标识和设备地址后,根据预设的数据库信息对其进行筛选,以筛选出与数据库信息中所保存的合法设备的设备标识和设备地址相同的MPOS设备,作为第一MPOS设备。可选的,该第一MPOS设备可以是一个,也可以是多个。
当服务器将上述确定的第一MPOS设备的设备标识和第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给终端后,终端从第一MPOS设备中确定即将与终端进行通信的MPOS设备作为目标MPOS设备。可选的,当第一MPOS设备为一个时,终端可以直接将其作为目标MPOS设备,当第一MPOS设备为多个时,终端可以向用户显示一选择界面,根据用户的选择确定目标MPOS设备。
当终端确定目标MPOS设备后,向该目标MPOS设备发起蓝牙连接请求,在蓝牙模块层面完成连接,此时需要说明的是终端并不能马上进行后续交易操作。当终端连接成功后,可以自动向该目标MPOS设备发送认证请求,该认证请求中携带上述服务器下发给终端的第一认证因子。
S202:目标MPOS设备根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文;所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文。
具体的,当目标MPOS设备接收到终端发送的认证请求后,MPOS设备随机生成第二认证因子,并根据第一认证因子、第二认证因子和目标MPOS设备自身的PIN获得响应报文,并将该响应报文发送给服务器。可选的,该响应报文可以包括第一PIN密文和第二认证因子,可选得,该响应报文可以包括第二PIN密文。
S203:目标MPOS设备将所述响应报文通过所述终端发送给所述服务器,以使所述服务器根据预设的数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证。
具体的,当目标MPOS设备将响应报文通过终端发送给服务器之后,服务器结合上述数据库信息中所保存的目标MPOS设备的加密密钥以及所接收到的响应报文,对目标MPOS设备进行认证,以判断该目标MPOS设备是否为伪造设备。可选的,服务器可以是通过根据数据库信息中所保存的目标MPOS设备的加密密钥对响应报文进行解密的方式确定该目标MPOS设备是否认证通过。
S204:目标MPOS设备通过所述终端接收所述服务器在认证所述目标MPOS设备通过后发送的处理后的第二认证因子。
S205:目标MPOS设备根据所述目标MPOS设备的加密密钥、所述目标MPOS设备的第二认证因子、所述处理后的第二认证因子对所述终端进行认证。
具体的,当服务器确定目标MPOS设备认证通过后,对上述响应报文中的第二认证因子进行相应的处理,以得到处理后的第二认证因子。可选的,该处理可以是对第二认证因子进行mac计算,还可以是对第二认证因子进行签名等处理。
当服务器得到处理后的第二认证因子之后,将该处理后的第二认证因子发送给目标MPOS设备,以使得目标MPOS设备可以根据对该处理后的第二认证因子进行相应的验算来对终端进行认证。例如,由于目标MPOS设备本身就知道自身的第二认证因子,其可以采用与服务器对第二认证因子相同的处理方式对自身的第二认证因子进行相同的处理,从而目标MPOS设备会得到自己处理后的第二认证因子,进而目标MPOS设备会判断自己处理后的第二认证因子与服务器所发送的处理后的第二认证因子是否相同,若相同,则验算通过,说明上述发送认证请求给目标MPOS设备的终端是合法终端。
综上,本发明实施例所涉及的方法就完成了终端和目标MPOS设备的相互认证,确保了终端和目标MPOS设备的合法性,进而保证了支付的安全性。
图4为本发明提供的安全认证的方法实施例三的信令流程图。本实施例涉及的是完成目标MPOS设备和终端的认证的整体过程。如图4所示,该方法包括如下步骤:
S301、终端搜索周围的符合服务器规定的特定命名格式的MPOS设备,并获得该MPOS设备的设备地址。
S302、终端将所搜索到的至少一个MPOS设备的设备标识和设备地址发送给服务器。
S303:服务器根据预设的数据库信息对终端发送的至少一个MPOS设备的设备标识和设备地址进行筛选,确定第一MPOS设备。
S304:服务器将所述第一MPOS设备的设备标识和所述第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给所述终端。
S305:终端从第一MPOS设备中确定目标MPOS设备,并将该目标MPOS设备发送携带第一认证因子的认证请求。
具体的,上述S301至S305的具体过程可以参见上述实施例一中的S101和S102的具体描述,在此不再赘述。
S306:目标MPOS设备在接收到认证请求后,生成第二认证因子。
可选的,该第二认证因子可以为目标MPOS设备接收到认证请求后随机生成的任一认证因子。
S307:当目标MPOS设备自身的加密密钥为对称密钥时,目标MPOS设备根据所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第二过程密钥。
S308:目标MPOS设备根据所述第二过程密码对所述目标MPOS设备的PIN进行加密,获得所述第一PIN密文,并将所述第一PIN密文和所述第二认证因子确定为所述响应报文。
具体的,当目标MPOS设备中的加密密钥为对称密钥时,则认证目标MPOS设备使用对称密钥,进而目标MPOS设备可以使用自身的加密密钥对第一认证因子a和第二认证因子b进行第一处理生成第二过程密钥,可选的,该第一处理可以包括多次加密、异或、hash等一种或多种结合处理;然后,目标MPOS设备采用该第二过程密钥对目标MPOS设备自身的PIN进行加密,获得第一PIN密文,然后将该第一PIN密文和第二认证因子b确定为响应报文。即S307和S308为目标MPOS设备获得响应报文的过程,下述S307’和S308’也是目标MPOS设备获得响应报文的另一过程。
S309:目标MPOS设备将响应报文发送给终端。
S310:终端将该响应报文发送给服务器。
也就是说,服务器接收到终端转发的第一PIN密文和第二认证因子。
S311:当服务器的数据库信息中所保存的所述目标MPOS设备的加密密钥为对称密钥时,服务器根据所保存的所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第一过程密钥。
S312:服务器根据所述第一过程密钥解密所述响应报文中的第一PIN密文,获得第一PIN。
S313:当所述服务器判断所述第一PIN与所述数据库信息中的所述目标MPOS设备的PIN相同时,所述服务器确定所述目标MPOS设备认证通过。
具体的,当服务器的数据库信息中所保存的目标MPOS设备的加密密钥为对称密钥时,则服务器采用对称密钥对目标POS设备进行认证,具体的:服务器采用数据库信息中所保存的目标MPOS设备的加密密钥,并结合与上述目标MPOS设备同样的处理方式(即第一处理)对所述第一认证因子和所述第二认证因子进行第一处理,获得第一过程密钥;然后根据该第一过程密钥解密目标MPOS设备采用相同处理方式得到的第一PIN密文,获得第一PIN。如果服务器解密出来的第一PIN与服务器原先保存的该目标MPOS设备的PIN相同,则服务器确定该目标MPOS设备认证通过。
也就是说,目标MPOS设备自身具有服务器已经分配的PIN,该PIN与服务器中所保存的目标MPOS设备的PIN是相同的,且该目标MPOS设备本身就获知第一认证因子和第二认证因子,因此目标MPOS设备对该第一认证因子和第二认证因子进行第一处理,得到第二过程密钥,并采用该第二过程密钥对目标MPOS设备所具有的PIN进行加密得到第一PIN密文;为了认证该目标MPOS设备是否合法,服务器采用同样的处理方式(第一处理)对第一认证因子和第二认证因子进行相同的处理,得到第一过程密钥(第一过程密钥和第二过程密钥相同),并采用第一过程密钥对所获得的第一PIN密文进行解密,从而得到第一PIN,当第一PIN与服务器中原先所保存的合法的目标MPOS设备的PIN相同时,才能说明生成第一PIN密文的目标MPOS设备是合法的,认证通过。基于此,服务器完成了对生成第一PIN密文的目标MPOS设备的认证。
即S311至S313为服务器认证目标MPOS设备的过程,下述S311’至S313’也是服务器认证目标MPOS设备的的另一过程。
S314:当服务器确定目标MPOS设备认证通过后,服务器对所述第二认证因子进行mac计算,获得所述处理后的第二认证因子。
需要说明的是,此处对第二认证因子进行mac计算,该mac计算方式可以参照现有技术,在此不再赘述。
可选的,当目标MPOS设备自身的加密密钥为非对称密钥时,上述S307可以被替换为下述的S307’,上述S308可以被替换为下述的S308’,具体为:
S307’:目标MPOS设备对所述第一认证因子和所述目标MPOS设备的PIN进行第二处理,得到待加密数据。
S308’:目标MPOS设备根据目标MPOS设备的加密密钥的公钥加密所述待加密数据和所述第二认证因子,得到所述第二PIN密文,并确定所述第二PIN密文为所述响应报文。
具体的,当目标MPOS设备中的加密密钥为非对称密钥时,则认证目标MPOS设备使用非对称密钥,进而目标MPOS设备可以使用自身的加密密钥对第一认证因子a和目标MPOS设备的PIN进行第二处理得到待加密数据,可选的,该第二处理可以包括异或、hash等处理;然后,目标MPOS设备采用上述目标MPOS设备的加密密钥的公钥加密上述待加密数据和第二认证因子得到第二PIN密文,然后将该第二PIN密文确定为响应报文。
在S307’和S308’之后,继续执行上述S309和S310。
相应的,当服务器的数据库信息中所保存的所述目标MPOS设备的加密密钥为非对称密钥时,上述S311可以被替换为下述的S311’,上述S312可以被替换为下述的S312’,上述S313可以被替换为下述的S313’,上述S314可以被替换为下述的S314’,具体为:
S311’:服务器根据所述数据库信息中所保存的所述目标MPOS设备的加密密钥的私钥解密所述第二PIN密文,获得解密数据。
S312’:服务器根据所述数据库信息中所保存的所述目标MPOS设备的加密密钥的公钥对所述第一认证因子和所述数据库信息中的所述目标MPOS设备的PIN进行第二处理,获得过程数据。
S313’:当所述服务器判断所述过程数据与所述解密数据相同时,所述服务器确定所述MPOS设备认证通过。
S314’:服务器根据所述目标MPOS设备的加密密钥的私钥对所述第二认证因子签名,获得所述处理后的第二认证因子。
具体的,当服务器的数据库信息中所保存的目标MPOS设备的加密密钥为非对称密钥时,则服务器采用非对称密钥对目标POS设备进行认证,具体的:服务器采用数据库信息中所保存的目标MPOS设备的加密密钥的私钥解密目标MPOS设备所发送的第二PIN密文,得到解密数据;然后,服务器采用数据库信息所保存的目标MPOS设备的加密密钥的公钥以及使用与目标MPOS设备相同的处理方式(即第二处理)对第一认证因子和所保存的目标MPOS设备的PIN进行相同的处理,得到过程数据。当服务器得到的过程数据与解密出来的解密数据相同时,服务器确定该目标MPOS设备认证通过。
也就是说,目标MPOS设备自身具有服务器已经分配的PIN和加密密钥,也接收到了服务器分配给终端的第一认证因子,因此目标MPOS设备对该第一认证因子和目标MPOS设备的PIN进行第二处理,得到待加密数据,并采用目标MPOS设备的加密密钥的公钥对待加密数据和第二认证因子进行加密得到第二PIN密文,并通过终端发送给服务器;为了认证该目标MPOS设备是否合法,服务器采用同样的处理方式(第二处理)对第一认证因子和所保存的合法的目标MPOS设备的PIN进行相同的处理,得到过程数据,并采用所保存的目标MPOS设备的加密密钥的私钥解密上述第二PIN密文,由于服务器中所保存的加密密钥的公钥和私钥是相对应的,因此,如果发送第二PIN密文的目标MPOS设备合法,那么服务器采用相同处理方式得到的过程数据就应该与解密出来的解密数据相同,即过程数据应该与上述待加密数据相同(因为该第二PIN密文是上述目标MPOS设备采用公钥加密待加密数据得来的,该解密数据实际上应该与待加密数据相同),也就是说,当过程数据与服务器解密出来的解密数据相同时,才能说明生成第二PIN密文的目标MPOS设备是合法的,认证通过。基于此,服务器完成了对生成第二PIN密文的目标MPOS设备的认证。
当服务器认证目标MPOS设备通过后,采用私钥对第二认证因子进行签名处理,得到处理后的第二认证因子,该签名处理可以参照现有技术的描述,在此不再赘述。
继上述S314或者S314’之后,继续执行下述S315和S316:
S315:服务器将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
S316:目标MPOS设备根据所述目标MPOS设备的加密密钥、所述目标MPOS设备的第二认证因子、所述处理后的第二认证因子对所述终端进行认证。
具体的,当目标MPOS设备接收到服务器发送的处理后的第二认证因子,由于目标MPOS设备的第二认证因子是在接收到终端发送的认证请求后生成的,因此为了验证发送认证请求的终端是否合法,目标MPOS设备采用与服务器处理第二认证因子时相同的处理方式处理自身的第二认证因子,然后判断自身所处理得到的处理后的第二认证因子是否与接收到的服务器发送的处理后的第二认证因子相同,若相同,则目标MPOS设备确定发送认证请求的终端合法,进而开始与终端上的APP进行交易的交互。
可选的,当服务器通过终端发送给目标MPOS设备的处理后的第二认证因子是经过mac计算得到的,因此,目标MPOS设备也会根据相同的计算方式处理自身的第二认证因子,得到目标MPOS设备自身所计算得到的处理后的第二认证因子。
可选的,当服务器通过终端发送给目标MPOS设备的处理后的第二认证因子是采用私钥对第二认证因子进行签名处理得到的,因此,目标MPOS设备也会根据相同的处理方式处理自身的第二认证因子,得到目标MPOS设备自身所处理得到的处理后的第二认证因子。
本发明实施例涉及的安全认证的方法,结合不同形式的目标MPOS设备的加密密钥(对称密钥和非对称密钥),采用不同的方式对目标MPOS设备和终端完成相互认证,确保了终端和目标MPOS设备的合法性,降低了支付的危险系数,并且也无需用户在每次支付时手动确认,故而本发明在提高了用户体验的同时,保证了支付的安全性。
图5为本发明提供的安全认证的装置实施例一的结构示意图。该装置可以集成在服务器中,也可以为单独的服务器。如图5所示,该装置包括:筛选模块10、发送模块11、接收模块12和认证模块13。
其中,筛选模块10,用于根据预设的数据库信息对终端发送的至少一个移动销售终端MPOS设备的设备标识和设备地址进行筛选,确定第一MPOS设备;所述数据库信息包括至少一个合法MPOS设备的设备标识、所述合法设备的设备地址、所述合法设备的密码PIN以及所述合法设备的加密密钥;
发送模块11,用于将所述第一MPOS设备的设备标识和所述第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给所述终端;
接收模块12,用于通过所述终端接收目标MPOS设备发送的响应报文,所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;所述目标MPOS设备为所述终端从所述第一MPOS设备中确定的设备;
认证模块13,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,以使所述目标MPOS设备根据所述处理后的第二认证因子对所述终端进行认证。
本发明实施例提供的安全认证的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图6为本发明提供的安全认证的装置实施例二的结构示意图。在上述图5所示实施例的基础上,当所述响应报文包括第一PIN密文和所述第二认证因子时,所述认证模块13,具体包括:
第一获取单元131,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第一过程密钥;
第二获取单元132,用于根据所述第一过程密钥解密所述第一PIN密文,获得第一PIN;
第一认证单元133,用于在判断所述第一PIN与所述数据库信息中的所述目标MPOS设备的PIN相同时,确定所述目标MPOS设备认证通过。
进一步地,该认证模块13还包括计算单元137,用于对所述第二认证因子进行mac计算,获得所述处理后的第二认证因子;
则所述发送模块11,还用于将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
本发明实施例提供的安全认证的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图7为本发明提供的安全认证的装置实施例三的结构示意图。在上述图5所示实施例的基础上,当所述响应报文包括第二PIN密文时,所述认证模块13,具体包括:
第三获取单元134,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥的私钥解密所述第二PIN密文,获得解密数据;
第四获取单元135,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥的公钥对所述第一认证因子和所述数据库信息中的所述目标MPOS设备的PIN进行第二处理,获得过程数据;
第二认证单元136,用于在判断所述过程数据与所述解密数据相同时,确定所述MPOS设备认证通过。
进一步地,该认证模块13还包括签名单元138,用于根据所述目标MPOS设备的加密密钥的私钥对所述第二认证因子签名,获得所述处理后的第二认证因子;
则所述发送模块11,还用于将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
本发明实施例提供的安全认证的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图8为本发明提供的安全认证的装置实施例四的结构示意图。该安全认证的装置可以集成在目标MPOS设备中,还可以为单独的目标MPOS设备。如图8所示,该装置包括:接收模块20、获取模块21、发送模块22和认证模块23。
其中,接收模块20,用于接收终端发送的认证请求;所述认证请求中携带服务器下发的第一认证因子;
获取模块21,用于根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文;所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;
发送模块22,用于将所述响应报文通过所述终端发送给所述服务器,以使所述服务器根据预设的数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证;
所述接收模块20,还用于通过所述终端接收所述服务器在认证所述目标MPOS设备通过后发送的处理后的第二认证因子;
认证模块23,用于根据所述目标MPOS设备的加密密钥、所述目标MPOS设备的第二认证因子、所述处理后的第二认证因子对所述终端进行认证。
本发明实施例提供的安全认证的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图9为本发明提供的安全认证的装置实施例五的结构示意图。在上述图8所示实施例的基础上,进一步地,上述获取模块21,包括:
第一获取单元211,用于根据所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第二过程密钥;
第二获取单元212,用于根据所述第二过程密码对所述目标MPOS设备的PIN进行加密,获得所述第一PIN密文;
第一确定单元213,用于将所述第一PIN密文和所述第二认证因子确定为所述响应报文。
本发明实施例提供的安全认证的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图10为本发明提供的安全认证的装置实施例六的结构示意图。在上述图8所示实施例的基础上,进一步地,上述获取模块21,包括:
第三获取单元214,用于对所述第一认证因子和所述目标MPOS设备的PIN进行第二处理,得到待加密数据;
第四获取单元215,用于根据所述目标MPOS设备的加密密钥的公钥加密所述待加密数据和第二认证因子,得到所述第二PIN密文;
第二确定单元216,用于确定所述第二PIN密文为所述响应报文。
本发明实施例提供的安全认证的装置,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种安全认证的方法,其特征在于,包括:
服务器根据预设的数据库信息对终端发送的至少一个移动销售终端MPOS设备的设备标识和设备地址进行筛选,确定第一MPOS设备;所述数据库信息包括至少一个合法MPOS设备的设备标识、所述合法设备的设备地址、所述合法设备的密码PIN以及所述合法设备的加密密钥;
所述服务器将所述第一MPOS设备的设备标识和所述第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给所述终端;
所述服务器通过所述终端接收目标MPOS设备发送的响应报文,所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;所述目标MPOS设备为所述终端从所述第一MPOS设备中确定的设备;
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,以使所述目标MPOS设备根据所述处理后的第二认证因子对所述终端进行认证。
2.根据权利要求1所述的方法,其特征在于,当所述响应报文包括第一PIN密文和所述第二认证因子时,所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,具体包括:
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第一过程密钥;
所述服务器根据所述第一过程密钥解密所述第一PIN密文,获得第一PIN;
当所述服务器判断所述第一PIN与所述数据库信息中的所述目标MPOS设备的PIN相同时,所述服务器确定所述目标MPOS设备认证通过。
3.根据权利要求1所述的方法,其特征在于,当所述响应报文包括第二PIN密文时,所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,具体包括:
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥的私钥解密所述第二PIN密文,获得解密数据;
所述服务器根据所述数据库信息中的所述目标MPOS设备的加密密钥的公钥对所述第一认证因子和所述数据库信息中的所述目标MPOS设备的PIN进行第二处理,获得过程数据;
当所述服务器判断所述过程数据与所述解密数据相同时,所述服务器确定所述MPOS设备认证通过。
4.根据权利要求2所述的方法,其特征在于,所述将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,具体包括:
所述服务器对所述第二认证因子进行mac计算,获得所述处理后的第二认证因子,并将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
5.根据权利要求3所述的方法,其特征在于,所述将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,具体包括:
所述服务器根据所述目标MPOS设备的加密密钥的私钥对所述第二认证因子签名,获得所述处理后的第二认证因子,并将所述处理后的第二认证因子通过所述终端发送给所述目标MPOS设备。
6.一种安全认证的方法,其特征在于,包括:
目标移动销售终端MPOS设备接收终端发送的认证请求;所述认证请求中携带服务器下发的第一认证因子;
所述目标MPOS设备根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文;所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;
所述目标MPOS设备将所述响应报文通过所述终端发送给所述服务器,以使所述服务器根据预设的数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证;
所述目标MPOS设备通过所述终端接收所述服务器在认证所述目标MPOS设备通过后发送的处理后的第二认证因子;
所述目标MPOS设备根据所述目标MPOS设备的加密密钥、所述目标MPOS设备的第二认证因子、所述处理后的第二认证因子对所述终端进行认证。
7.根据权利要求6所述的方法,其特征在于,所述目标MPOS设备根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文,具体包括:
所述目标MPOS设备根据所述目标MPOS设备的加密密钥对所述第一认证因子和所述第二认证因子进行第一处理,获得第二过程密钥;
所述目标MPOS设备根据所述第二过程密码对所述目标MPOS设备的PIN进行加密,获得所述第一PIN密文;
所述目标MPOS设备将所述第一PIN密文和所述第二认证因子确定为所述响应报文。
8.根据权利要求6所述的方法,其特征在于,所述目标MPOS设备根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文,具体包括:
所述目标MPOS设备对所述第一认证因子和所述目标MPOS设备的PIN进行第二处理,得到待加密数据;
所述目标MPOS设备根据所述目标MPOS设备的加密密钥的公钥加密所述待加密数据和所述第二认证因子,得到所述第二PIN密文;
所述目标MPOS设备确定所述第二PIN密文为所述响应报文。
9.一种安全认证的装置,其特征在于,包括:
筛选模块,用于根据预设的数据库信息对终端发送的至少一个移动销售终端MPOS设备的设备标识和设备地址进行筛选,确定第一MPOS设备;所述数据库信息包括至少一个合法MPOS设备的设备标识、所述合法设备的设备地址、所述合法设备的密码PIN以及所述合法设备的加密密钥;
发送模块,用于将所述第一MPOS设备的设备标识和所述第一MPOS设备的设备地址以及所述第一MPOS设备对应的第一认证因子发送给所述终端;
接收模块,用于通过所述终端接收目标MPOS设备发送的响应报文,所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;所述目标MPOS设备为所述终端从所述第一MPOS设备中确定的设备;
认证模块,用于根据所述数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证,并在认证通过后,将处理后的第二认证因子通过所述终端发送给所述目标MPOS设备,以使所述目标MPOS设备根据所述处理后的第二认证因子对所述终端进行认证。
10.一种安全认证的装置,其特征在于,包括:
接收模块,用于接收终端发送的认证请求;所述认证请求中携带服务器下发的第一认证因子;
获取模块,用于根据所述第一认证因子、所述目标MPOS设备的第二认证因子和所述目标MPOS设备的密码PIN获得响应报文;所述响应报文包括第一PIN密文和所述目标MPOS设备的第二认证因子,或者,第二PIN密文;
发送模块,用于将所述响应报文通过所述终端发送给所述服务器,以使所述服务器根据预设的数据库信息中的所述目标MPOS设备的加密密钥和所述响应报文对所述目标MPOS设备进行认证;
所述接收模块,还用于通过所述终端接收所述服务器在认证所述目标MPOS设备通过后发送的处理后的第二认证因子;
认证模块,用于根据所述目标MPOS设备的加密密钥、所述目标MPOS设备的第二认证因子、所述处理后的第二认证因子对所述终端进行认证。
CN201610040856.0A 2016-01-21 2016-01-21 安全认证的方法和装置 Active CN105635164B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610040856.0A CN105635164B (zh) 2016-01-21 2016-01-21 安全认证的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610040856.0A CN105635164B (zh) 2016-01-21 2016-01-21 安全认证的方法和装置

Publications (2)

Publication Number Publication Date
CN105635164A true CN105635164A (zh) 2016-06-01
CN105635164B CN105635164B (zh) 2019-01-08

Family

ID=56049654

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610040856.0A Active CN105635164B (zh) 2016-01-21 2016-01-21 安全认证的方法和装置

Country Status (1)

Country Link
CN (1) CN105635164B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453246A (zh) * 2016-08-30 2017-02-22 北京小米移动软件有限公司 设备身份信息分配方法、装置以及***
CN108737341A (zh) * 2017-04-19 2018-11-02 腾讯科技(深圳)有限公司 业务处理方法、终端及服务器
CN111861221A (zh) * 2020-07-22 2020-10-30 海尔优家智能科技(北京)有限公司 设备故障信息的推送方法和装置、存储介质及电子装置
CN112003958A (zh) * 2020-07-03 2020-11-27 拉卡拉支付股份有限公司 一种定位交易地址的***及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103699989A (zh) * 2013-12-27 2014-04-02 福建联迪商用设备有限公司 基于智能设备的支付平台***及支付方法
US20150066777A1 (en) * 2013-08-28 2015-03-05 Mastercard International Incorporated Value add service for mobile point of sale
CN104661219A (zh) * 2015-01-15 2015-05-27 天地融科技股份有限公司 一种无线设备的通讯方法、无线设备和服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150066777A1 (en) * 2013-08-28 2015-03-05 Mastercard International Incorporated Value add service for mobile point of sale
CN103699989A (zh) * 2013-12-27 2014-04-02 福建联迪商用设备有限公司 基于智能设备的支付平台***及支付方法
CN104661219A (zh) * 2015-01-15 2015-05-27 天地融科技股份有限公司 一种无线设备的通讯方法、无线设备和服务器

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453246A (zh) * 2016-08-30 2017-02-22 北京小米移动软件有限公司 设备身份信息分配方法、装置以及***
CN106453246B (zh) * 2016-08-30 2018-06-08 北京小米移动软件有限公司 设备身份信息分配方法、装置以及***
CN108737341A (zh) * 2017-04-19 2018-11-02 腾讯科技(深圳)有限公司 业务处理方法、终端及服务器
CN112003958A (zh) * 2020-07-03 2020-11-27 拉卡拉支付股份有限公司 一种定位交易地址的***及方法
CN111861221A (zh) * 2020-07-22 2020-10-30 海尔优家智能科技(北京)有限公司 设备故障信息的推送方法和装置、存储介质及电子装置

Also Published As

Publication number Publication date
CN105635164B (zh) 2019-01-08

Similar Documents

Publication Publication Date Title
US20220237590A1 (en) Systems and methods for phone-based card activation
CN112823335A (zh) 用于非接触卡的密码认证的***和方法
US11776348B2 (en) Contactless card personal identification system
CN113711211A (zh) 第一因素非接触式卡认证***和方法
JP2022504072A (ja) 非接触カードの暗号化認証のためのシステムおよび方法
US20210157892A1 (en) Systems and methods for cross coupling risk analytics and one-time-passcodes
CN112602104A (zh) 用于非接触卡的密码认证的***和方法
CN112639856A (zh) 用于非接触式卡的密码认证的***和方法
US20220050976A1 (en) Augmented reality information display and interaction via nfc based authentication
CN113168631A (zh) 用于非接触卡的密码认证的***和方法
US11615395B2 (en) Authentication for third party digital wallet provisioning
US20230252451A1 (en) Contactless card with multiple rotating security keys
CN105635164A (zh) 安全认证的方法和装置
CN112639854A (zh) 非接触式卡的密码认证的***和方法
CN104881781A (zh) 一种基于安全交易的方法、***及客户端
CN104835038A (zh) 一种联网支付装置及方法
CN105635103A (zh) 利用卡装置的网络认证方法
KR20240023613A (ko) 비접촉식 카드의 확장 가능한 암호화 인증을 위한 시스템 및 방법
CN114631109A (zh) 用于交叉耦合风险分析和一次性口令的***及方法
JP7334254B2 (ja) 非接触カードの再発行を実行するためのシステムおよび方法
CN104881782A (zh) 一种基于安全交易的方法、***及客户端

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200917

Address after: 210000 Sinpo Road, Jiangpu street, Pukou District, Nanjing, Jiangsu Province, No. 120

Patentee after: Nanjing Puyu Investment Co.,Ltd.

Address before: 100088, 2 floor, building 1, Tai Yue garden, 202, Beijing, Haidian District

Patentee before: BEIJING INTELLIGENT FRUIT TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right