CN105678542B - 支付业务交互方法、支付终端和支付云端 - Google Patents
支付业务交互方法、支付终端和支付云端 Download PDFInfo
- Publication number
- CN105678542B CN105678542B CN201511030205.5A CN201511030205A CN105678542B CN 105678542 B CN105678542 B CN 105678542B CN 201511030205 A CN201511030205 A CN 201511030205A CN 105678542 B CN105678542 B CN 105678542B
- Authority
- CN
- China
- Prior art keywords
- key
- payment
- terminal
- message
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种支付业务交互方法,该方法包括步骤:终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,将加密后的第一报文数据替换所述第一报文数据,得到新的报文;所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;并根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,将所述消息认证码和所述新的报文发送给所述云端支付平台。本发明还公开了一种支付终端和支付云端。本发明提高了终端支付应用与云端支付平台进行通讯时的安全性。
Description
技术领域
本发明涉及终端支付领域,尤其涉及一种支付业务交互方法、支付终端和支付云端。
背景技术
随着终端的快速发展,及携带的便捷性,越来越多的用户在终端上进行支付操作。但是由于终端计算资源的开放性,导致基于HCE(Host-based Card Emulation,主机卡模拟技术)实现的NFC(Near Filed Communication,近距离无线通信技术)支付应用面临着非常大的安全风险。云端支付一般会包括两部分,一是终端中的支付应用,另一部分是的云端支付平台。因为终端存在着较多的安全威胁,所以将云端支付账户对应的卡片主密钥放在云端支付平台管理,而存储在终端支付应用中的用于计算交易应用密文的,是由卡片主密钥计算得到的限制密钥,这些限制密钥可以下载到支付应用中使用,并限定使用次数或者有效期。因此,在使用云端支付账户进行交易时,需要用户不定期连接到后台获取可用的限制密钥以及其他的一些动态参数。上述这些操作都需要终端的支付应用和云端支付平台建立安全的连接通道进行安全通讯。但是在目前情况下,在终端中的支付应用与云端支付平台进行通讯过程中,终端中的支付应用与云端支付平台进行通讯时所传递的报文容易被非法用户篡改,从而导致云端支付账户信息的丢失,造成用户资金损失。
发明内容
本发明的主要目的在于提供一种支付业务交互方法、支付终端和支付云端,旨在解决现有技术中在终端中的支付应用与云端支付平台进行通讯时所传递的报文容易被非法篡改的技术问题。
为实现上述目的,本发明提供一种支付业务交互方法,包括步骤:
终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文;
所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;
所述终端根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
优选地,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址。
优选地,所述终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据的步骤之前,还包括:
当所述支付应用与所述云端支付平台进行通讯时,所述终端通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
此外,为实现上述目的,本发明还提供一种支付业务交互方法,所述方法包括步骤:
云端获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号;
所述云端根据所述发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
所述云端获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
所述云端根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
此外,为实现上述目的,本发明还提供一种支付终端,所述支付终端包括:
第一获取模块,用于获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
第一加密模块,用于根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文;
所述第一获取模块,还用于获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;
第一计算模块,用于根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
优选地,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址。
优选地,所述支付终端还包括第二加密模块,用于当所述支付应用与所述云端支付平台进行通讯时,通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
此外,为实现上述目的,本发明还提供一种支付云端,所述支付云端包括:
第二获取模块,用于获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号;
第二计算模块,还用于根据所述发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
所述第二获取模块,还用于获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
所述第二计算模块,还用于根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
本发明通过支付应用中的限制密钥的第一子密钥对终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,根据终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据和所述支付应用中限制密钥的第二子密钥计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。防止了终端支付应用与云端支付平台进行通讯时所传递的报文被非法篡改,提高了终端支付应用与云端支付平台进行通讯时的安全性。
附图说明
图1为本发明支付业务交互方法第一实施例的流程示意图;
图2为本发明支付业务交互方法第二实施例的流程示意图;
图3为本发明支付业务交互方法第三实施例的流程示意图;
图4为本发明支付终端第一实施例的功能模块示意图;
图5为本发明支付终端第二实施例的功能模块示意图;
图6为本发明支付云端较佳实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种支付业务交互方法。
参照图1,图1为本发明支付业务交互方法第一实施例的流程示意图。
在本实施例中,所述支付业务交互方法包括:
步骤S10,终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
当终端中的支付应用与云端支付平台进行通讯时,所述终端接收所述云端支付平台所传递的报文。当所述终端获取得到所述报文时,解析所述报文,获取所述报文中的第一报文数据。其中,所述第一报文数据为所述报文中的敏感数据,包括云端支付账户的动态参数、交易过程中的运算数据和通讯密钥等,如所述敏感数据还包括所述终端中的支付应用在参数更新过程中新生成的限制密钥的分散因子,或者在交易过程中,所述用户输入的PIN(Personal Identification Number,个人识别码)码,所述云端支付账户的动态参数为用户登录所述云端支付账户的时间、地点,所述云端支付账户的交易情况等;所述交易过程中的运算数据为交易金额,所述支付应用的标识信息等;所述通讯密钥为在交易过程中用来计算应用密文的密钥。所述终端包括但不限于手机、个人电脑。所述支付应用,即软件卡,是一种在终端用来实现金融IC(Integrated Circuit Card,集成电路)卡功能的支付应用软件,基于终端上的主机计算资源完成所述金融IC卡应用数据的存储以及应用逻辑的实现。
步骤S20,所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文;
当所述终端获取得到所述报文的第一报文数据时,所述终端根据所述支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,即对所述云端支付账户的限制密钥动态参数、运算数据和所述通讯密钥等敏感数据进行加密,得到加密后的第一报文数据。所述第一报文数据包括但不限于云端支付账户的限制密钥动态参数、运算数据和通讯密钥,所述终端获取所述云端发送的所述支付应用的限制密钥的第一子密钥。当所述终端得到所述加密后的第一报文数据时,将所述加密后的第一报文数据替换所述终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据,得到新的报文。所述限制密钥是从所述云端支付平台的后台中下载到所述终端中,具有有限使用次数和使用有效期的卡密钥信息。所述限制密钥的第一子密钥为所述限制密钥的敏感数据密钥。
步骤S30,所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;
当所述终端获取得到所述新的报文后,获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据。其中,所述第二报文数据包括但不限于所述报文中的交易时间、交易流水号和所述终端的硬件地址。
步骤S40,所述终端根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
当所述终端获取得到所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据时,即获取得到所述报文中交易时间、交易流水号和所述终端的硬件地址等关键数据时,所述终端获取所述云端发送的所述支付应用的限制密钥的第二子密钥。所述终端根据所述支付应用中限制密钥的第二子密钥,根据所述报文中的交易时间、交易流水号和所述终端硬件地址等关键数据,通过摘要算法计算得到所述通讯时所传递的报文的MAC(Message Authentication Code,消息认证码),并将所述消息认证码和所述新的报文发送给所述云端支付平台。其中,所述限制密钥的第二子密钥为所述限制密钥的报文鉴别码密钥。所述摘要算法具有通过对数据提取指纹信息以实现数据签名、数据完整性校验等功能。进一步地,所述终端还通过所述限制密钥的第三子密钥对所述报文进行加密,所述限制密钥的第三子密钥为所述限制密钥的应用密文计算密钥。
本实施例通过支付应用中的限制密钥的第一子密钥对终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,根据终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据和所述支付应用中限制密钥的第二子密钥计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。防止了终端支付应用与云端支付平台进行通讯时所传递的报文被非法篡改,提高了终端支付应用与云端支付平台进行通讯时的安全性。
参照图2,图2为本发明支付业务交互方法第二实施例的流程示意图,基于本发明支付业务交互方法第一实施例提出本发明支付业务交互方法第二实施例。
在本实施例中,所述支付业务交互方法还包括:
步骤S50,当所述支付应用与所述云端支付平台进行通讯时,所述终端通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
当终端中的支付应用与云端支付平台进行通讯时,所述终端通过SSL(SecureSocket Layer,安全套接层协议)和/或TLS(Transport Layer Security,安全传输层协议)对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。所述SSL协议是为网络通信提供安全及数据完整性的一种安全协议。所述SSL协议位于TCP/IP(TransmissionControl Protocol/Internet Protocol,传输控制协议/因特网互联协议)协议与各种应用层协议之间,为数据通讯提供安全支持。所述SSL协议可分为两层:SSL记录协议(SSLRecord Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL握手协议(SSL Handshake Protocol):它建立在所述SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。所述TLS协议用于在两个通信应用程序之间提供保密性和数据完整性,所述TLS协议由两层组成,分别为TLS记录协议和TLS握手协议。
本实施例通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密,进一步提高了终端支付应用与云端支付平台进行通讯时的安全性。
参照图3,图3为本发明支付业务交互方法第三实施例的流程示意图。
进一步地,所述支付业务交互方法还包括:
步骤S60,云端获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号;
步骤S70,所述云端根据所述发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
步骤S80,所述云端获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
步骤S90,所述云端根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
所述云端通过其后台服务器获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号。所述发卡中心的第一密钥为发卡中心的敏感数据密钥,所述发卡中心的第二密钥为发卡中心的报文鉴别码密钥,所述云端还获取所述发卡中心的第三密钥,所述发卡中心的第三密钥为所述发卡中心的应用密文计算密钥。所述云端通过所述后台服务器根据所述发卡中心的第一密钥、支付应用卡的***和卡序列号,通过3DES(triple DataEncryption Standard)加密算法计算得到所述支付应用卡片密钥的第一子密钥,即计算得到所述支付应用卡片密钥的敏感数据密钥;所述云端通过所述后台服务器根据所述发卡中心的第二密钥、支付应用卡的***和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第二子密钥,即计算得到所述支付应用卡片密钥的报文鉴别码密钥;所述云端通过所述后台服务器根据所述发卡中心的第三密钥、支付应用卡的***和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第三子密钥,即计算得到所述支付应用卡片密钥的应用密文计算密钥。所述云端通过所述后台服务器获取所述后台服务器分配给所述支付应用卡片密钥的随机数和当前的时间参数,所述云端根据所述支付应用卡片密钥的第一子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第一子密钥,即得到所述限制密钥的敏感数据密钥;所述云端根据所述支付应用卡片密钥的第二子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第二子密钥,即得到所述限制密钥的报文鉴别码密钥;所述云端根据所述支付应用卡片密钥的第三子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第三子密钥,即得到所述限制密钥的应用密文计算密钥,所述云端将所述限制密钥的第一子密钥、第二子密钥和第三子密钥发送给所述终端,以供所述终端根据所述限制密钥的第一子密钥、第二子密钥和第三子密钥进行相应的计算。
本实施例云端通过计算得到所述限制密钥的第一子密钥、第二子密钥和第三子密钥,并将所述限制密钥的第一子密钥、第二子密钥和第三子密钥发送给所述终端,以在支付业务中实现所述云端和所述终端的安全通讯。
本发明进一步提供一种支付终端。
参照图4,图4为本发明支付终端第一实施例的功能模块示意图。
在本实施例中,所述支付终端包括:
第一获取模块10,用于获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
当终端中的支付应用与云端支付平台进行通讯时,所述终端接收所述云端支付平台所传递的报文。当所述终端获取得到所述报文时,解析所述报文,获取所述报文中的第一报文数据。其中,所述第一报文数据为所述报文中的敏感数据,包括云端支付账户的动态参数、交易过程中的运算数据和通讯密钥等,如所述敏感数据还包括所述终端中的支付应用在参数更新过程中新生成的限制密钥的分散因子,或者在交易过程中,所述用户输入的PIN(Personal Identification Number,个人识别码)码,所述云端支付账户的动态参数为用户登录所述云端支付账户的时间、地点,所述云端支付账户的交易情况等;所述交易过程中的运算数据为交易金额,所述支付应用的标识信息等;所述通讯密钥为在交易过程中用来计算应用密文的密钥。所述终端包括但不限于手机、个人电脑。所述支付应用,即软件卡,是一种在终端用来实现金融IC(Integrated Circuit Card,集成电路)卡功能的支付应用软件,基于终端上的主机计算资源完成所述金融IC卡应用数据的存储以及应用逻辑的实现。
第一加密模块20,用于根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文;
当所述终端获取得到所述报文的第一报文数据时,所述终端根据所述支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,即对所述云端支付账户的限制密钥动态参数、运算数据和所述通讯密钥等敏感数据进行加密,得到加密后的第一报文数据。所述第一报文数据包括但不限于云端支付账户的限制密钥动态参数、运算数据和通讯密钥,所述终端获取所述云端发送的所述支付应用的限制密钥的第一子密钥。当所述终端得到所述加密后的第一报文数据时,将所述加密后的第一报文数据替换所述终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据,得到新的报文。所述限制密钥是从所述云端支付平台的后台中下载到所述终端中,具有有限使用次数和使用有效期的卡密钥信息。所述限制密钥的第一子密钥为所述限制密钥的敏感数据密钥。
所述第一获取模块10,还用于获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;
当所述终端获取得到所述新的报文后,获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据。其中,所述第二报文数据包括但不限于所述报文中的交易时间、交易流水号和所述终端的硬件地址。
第一计算模块30,用于根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
当所述终端获取得到所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据时,即获取得到所述报文中交易时间、交易流水号和所述终端的硬件地址等关键数据时,所述终端获取所述云端发送的所述支付应用的限制密钥的第二子密钥。所述终端根据所述支付应用中限制密钥的第二子密钥,根据所述报文中的交易时间、交易流水号和所述终端硬件地址等关键数据,通过摘要算法计算得到所述通讯时所传递的报文的MAC(Message Authentication Code,消息认证码),并将所述消息认证码和所述新的报文发送给所述云端支付平台。其中,所述限制密钥的第二子密钥为所述限制密钥的报文鉴别码密钥。所述摘要算法具有通过对数据提取指纹信息以实现数据签名、数据完整性校验等功能。进一步地,所述终端还通过所述限制密钥的第三子密钥对所述报文进行加密,所述限制密钥的第三子密钥为所述限制密钥的应用密文计算密钥。
本实施例通过支付应用中的限制密钥的第一子密钥对终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,根据终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据和所述支付应用中限制密钥的第二子密钥计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。防止了终端支付应用与云端支付平台进行通讯时所传递的报文被非法篡改,提高了终端支付应用与云端支付平台进行通讯时的安全性。
参照图5,图5为本发明支付终端第二实施例的功能模块示意图,基于本发明支付终端第一实施例提出本发明支付终端第二实施例。
在本实施例中,所述支付终端还包括:
第二加密模块40,用于当所述支付应用与所述云端支付平台进行通讯时,通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
当终端中的支付应用与云端支付平台进行通讯时,所述终端通过SSL(SecureSocket Layer,安全套接层协议)和/或TLS(Transport Layer Security,安全传输层协议)对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。所述SSL协议是为网络通信提供安全及数据完整性的一种安全协议。所述SSL协议位于TCP/IP(TransmissionControl Protocol/Internet Protocol,传输控制协议/因特网互联协议)协议与各种应用层协议之间,为数据通讯提供安全支持。所述SSL协议可分为两层:SSL记录协议(SSLRecord Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL握手协议(SSL Handshake Protocol):它建立在所述SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。所述TLS协议用于在两个通信应用程序之间提供保密性和数据完整性,所述TLS协议由两层组成,分别为TLS记录协议和TLS握手协议。
本实施例通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密,进一步提高了终端支付应用与云端支付平台进行通讯时的安全性。
本发明进一步提供一种支付云端。
参照图6,图6为本发明支付云端较佳实施例的功能模块示意图。
在本实施例中,所述支付云端包括:
第二获取模块50,还用于获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号;
第二计算模块60,还用于根据所述发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
所述第二获取模块50,还用于获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
所述第二计算模块60,还用于根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
所述云端通过其后台服务器获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号。所述发卡中心的第一密钥为发卡中心的敏感数据密钥,所述发卡中心的第二密钥为发卡中心的报文鉴别码密钥,所述云端还获取所述发卡中心的第三密钥,所述发卡中心的第三密钥为所述发卡中心的应用密文计算密钥。所述云端通过所述后台服务器根据所述发卡中心的第一密钥、支付应用卡的***和卡序列号,通过3DES(triple DataEncryption Standard)加密算法计算得到所述支付应用卡片密钥的第一子密钥,即计算得到所述支付应用卡片密钥的敏感数据密钥;所述云端通过所述后台服务器根据所述发卡中心的第二密钥、支付应用卡的***和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第二子密钥,即计算得到所述支付应用卡片密钥的报文鉴别码密钥;所述云端通过所述后台服务器根据所述发卡中心的第三密钥、支付应用卡的***和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第三子密钥,即计算得到所述支付应用卡片密钥的应用密文计算密钥。所述云端通过所述后台服务器获取所述后台服务器分配给所述支付应用卡片密钥的随机数和当前的时间参数,所述云端根据所述支付应用卡片密钥的第一子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第一子密钥,即得到所述限制密钥的敏感数据密钥;所述云端根据所述支付应用卡片密钥的第二子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第二子密钥,即得到所述限制密钥的报文鉴别码密钥;所述云端根据所述支付应用卡片密钥的第三子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第三子密钥,即得到所述限制密钥的应用密文计算密钥,所述云端将所述限制密钥的第一子密钥、第二子密钥和第三子密钥发送给所述终端,以供所述终端根据所述限制密钥的第一子密钥、第二子密钥和第三子密钥进行相应的计算。
本实施例云端通过计算得到所述限制密钥的第一子密钥、第二子密钥和第三子密钥,并将所述限制密钥的第一子密钥、第二子密钥和第三子密钥发送给所述终端,以在支付业务中实现所述云端和所述终端的安全通讯。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种支付业务交互方法,其特征在于,所述支付业务交互方法包括以下步骤:
终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,其中,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据,其中,所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址;
所述终端根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台,其中,所述第二子密钥是通过发卡中心的第二密钥、支付应用卡的***和卡序列号计算得到的。
2.如权利要求1所述的支付业务交互方法,其特征在于,所述终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据的步骤之前,还包括:
当所述支付应用与所述云端支付平台进行通讯时,所述终端通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
3.一种支付业务交互方法,其特征在于,所述支付业务交互方法包括以下步骤:
云端获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号;
所述云端根据所述发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
所述云端获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
所述云端根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给终端,以供所述终端执行以下步骤:
终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,其中,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据,其中,所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址;
所述终端根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
4.一种支付终端,其特征在于,所述支付终端包括:
第一获取模块,用于获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
第一加密模块,用于根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,其中,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
所述第一获取模块,还用于获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据,其中,所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址;
第一计算模块,用于根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台,其中,所述第二子密钥是通过发卡中心的第二密钥、支付应用卡的***和卡序列号计算得到的。
5.如权利要求4所述的支付终端,其特征在于,所述支付终端还包括第二加密模块,用于当所述支付应用与所述云端支付平台进行通讯时,通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
6.一种支付云端,其特征在于,所述支付云端包括:
第二获取模块,用于获取发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号;
第二计算模块,还用于根据所述发卡中心的第一密钥、第二密钥、支付应用卡的***和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
所述第二获取模块,还用于获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
所述第二计算模块,还用于根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给终端;
其中,所述终端包括:
第一获取模块,用于获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
第一加密模块,用于根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,其中,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
所述第一获取模块,还用于获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据,其中,所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址;
第一计算模块,用于根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511030205.5A CN105678542B (zh) | 2015-12-31 | 2015-12-31 | 支付业务交互方法、支付终端和支付云端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511030205.5A CN105678542B (zh) | 2015-12-31 | 2015-12-31 | 支付业务交互方法、支付终端和支付云端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105678542A CN105678542A (zh) | 2016-06-15 |
CN105678542B true CN105678542B (zh) | 2019-12-17 |
Family
ID=56298383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201511030205.5A Active CN105678542B (zh) | 2015-12-31 | 2015-12-31 | 支付业务交互方法、支付终端和支付云端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105678542B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105959108A (zh) * | 2016-06-27 | 2016-09-21 | 收付宝科技有限公司 | 对云支付限制密钥进行加密及解密的方法、装置和*** |
CN107784499B (zh) * | 2016-08-31 | 2021-05-18 | 北京银联金卡科技有限公司 | 近场通信移动终端的安全支付***及方法 |
CN108243197B (zh) * | 2018-01-31 | 2019-03-08 | 北京深思数盾科技股份有限公司 | 一种数据分发、转发方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101098225A (zh) * | 2006-06-29 | 2008-01-02 | ***股份有限公司 | 安全数据传输方法及支付方法、支付终端和支付服务器 |
CN101162535A (zh) * | 2006-10-13 | 2008-04-16 | ***股份有限公司 | 利用ic卡实现磁条卡交易的方法及*** |
CN101815139A (zh) * | 2009-10-27 | 2010-08-25 | 号百信息服务有限公司 | 一种集中电话支付***及其实现方法 |
CN104408620A (zh) * | 2014-11-13 | 2015-03-11 | 中国科学院数据与通信保护研究教育中心 | 一种安全的nfc支付方法及*** |
-
2015
- 2015-12-31 CN CN201511030205.5A patent/CN105678542B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101098225A (zh) * | 2006-06-29 | 2008-01-02 | ***股份有限公司 | 安全数据传输方法及支付方法、支付终端和支付服务器 |
CN101162535A (zh) * | 2006-10-13 | 2008-04-16 | ***股份有限公司 | 利用ic卡实现磁条卡交易的方法及*** |
CN101815139A (zh) * | 2009-10-27 | 2010-08-25 | 号百信息服务有限公司 | 一种集中电话支付***及其实现方法 |
CN104408620A (zh) * | 2014-11-13 | 2015-03-11 | 中国科学院数据与通信保护研究教育中心 | 一种安全的nfc支付方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN105678542A (zh) | 2016-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10595201B2 (en) | Secure short message service (SMS) communications | |
EP3723399A1 (en) | Identity verification method and apparatus | |
EP2945410B1 (en) | Security for mobile applications | |
EP4081921B1 (en) | Contactless card personal identification system | |
CN105072125B (zh) | 一种http通信***及方法 | |
CN105450406A (zh) | 数据处理的方法和装置 | |
US10404475B2 (en) | Method and system for establishing a secure communication tunnel | |
CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
CN111131300B (zh) | 通信方法、终端及服务器 | |
US7913096B2 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
CN109412812A (zh) | 数据安全处理***、方法、装置和存储介质 | |
CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
WO2015109949A1 (zh) | 一种网络安全方法和网络安全*** | |
CN109729000B (zh) | 一种即时通信方法及装置 | |
CN112672342B (zh) | 数据传输方法、装置、设备、***和存储介质 | |
CN105376059A (zh) | 基于电子钥匙进行应用签名的方法和*** | |
CN109272314A (zh) | 一种基于两方协同签名计算的安全通信方法及*** | |
CN105678542B (zh) | 支付业务交互方法、支付终端和支付云端 | |
CN103916834A (zh) | 一种用户独享密钥的短信加密方法和*** | |
CN105574720A (zh) | 安全的信息处理方法以及信息处理装置 | |
CN103997730A (zh) | 一种加密数据的解密复制粘贴方法 | |
CN103929722A (zh) | 一种短信加密方法和*** | |
CN110569678B (zh) | 一种安全芯片个人化方法、终端及服务器 | |
CN114244505A (zh) | 一种基于安全芯片的安全通信方法 | |
CN102026182A (zh) | 一种移动终端的安全控制方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |