CN105721413B - 业务处理方法及装置 - Google Patents

业务处理方法及装置 Download PDF

Info

Publication number
CN105721413B
CN105721413B CN201510567954.5A CN201510567954A CN105721413B CN 105721413 B CN105721413 B CN 105721413B CN 201510567954 A CN201510567954 A CN 201510567954A CN 105721413 B CN105721413 B CN 105721413B
Authority
CN
China
Prior art keywords
electronic equipment
information
original text
public key
text
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510567954.5A
Other languages
English (en)
Other versions
CN105721413A (zh
Inventor
王强
申子熹
刘文清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201510567954.5A priority Critical patent/CN105721413B/zh
Publication of CN105721413A publication Critical patent/CN105721413A/zh
Priority to PCT/CN2016/092434 priority patent/WO2017041599A1/zh
Priority to US15/820,014 priority patent/US10601795B2/en
Application granted granted Critical
Publication of CN105721413B publication Critical patent/CN105721413B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/16Constructional details or arrangements
    • G06F1/1613Constructional details or arrangements for portable computers
    • G06F1/163Wearable computers, e.g. on a belt
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephone Function (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种业务处理方法及装置,属于终端技术领域。本发明通过在第二电子设备中提供用于执行业务操作的信息原文,使得在第一电子设备需要进行业务处理时,可以通过与第二电子设备之间的加密传输,获取到由第一电子设备提供的信息原文,从而基于信息原文进行业务处理,在交互中不涉及任何密钥的交互,电子设备自身的私钥不会导出到设备外,因此,在该过程中,在保证了信息安全性的同时,大大扩展了设备应用场景。

Description

业务处理方法及装置
技术领域
本发明涉及终端技术领域,特别涉及一种业务处理方法及装置。
背景技术
随着终端技术的发展,终端上能够实现的功能越来越多,用户可以使用终端进行各种日常活动,其中最重要的一项是涉及到金融业务的移动支付,随着全民抢红包等业务的开展,如手机等终端作为一种随身随时的付款收款工具已经为大众所广为接受。
在实现移动支付等业务处理过程中,为了保证用户隐私和财产的安全性,涉及到对当前执行操作的用户身份的验证过程。例如,利用可穿戴设备的便携特性,可以采用可穿戴设备与支付终端进行信息交互,由可穿戴设备提供一个用于标识用户的唯一标识,以验证当前执行支付操作的确实为用户本人,从而在无需输入密码的前提下,即可以安全的实现支付过程。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
上述业务处理过程中,可穿戴设备仅能够起到提供用户身份的功能,用以验证当前执行操作的用户确实为用户本人,其实现功能单一,应用场景较少,适用性差。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种业务处理方法及装置。所述技术方案如下:
第一方面,本发明实施例提供了一种业务处理方法,应用于第二电子设备中,所述方法包括:
接收第一电子设备的业务请求;
采用所述第一电子设备的公钥对所述业务请求对应的信息原文进行加密,得到第一密文信息;
获取所述信息原文的信息摘要;
采用所述第二电子设备的私钥对所述信息摘要进行加密,得到所述第二电子设备的数字签名;
将所述数字签名加入至所述第一密文信息,得到第二密文信息;
将所述第二密文信息和所述第二电子设备的数字证书发送至所述第一电子设备,使得所述第一电子设备根据所述第二密文信息和数字证书,获取所述第二电子设备的信息原文,并基于所述信息原文进行业务处理,所述数字证书由所述第二电子设备基于所述信息原文获取。
第二方面,本发明实施例提供了一种业务处理方法,应用于第一电子设备中,所述方法包括:
向第二电子设备发送业务请求,并接收所述第二电子设备返回的数字证书和第二密文信息,所述第二密文信息包括第一密文信息和数字签名;
对所述第二电子设备的数字证书进行验证;
当通过验证确定所述第二电子设备的数字证书合法时,采用所述第一电子设备的私钥对所述第一密文信息进行解密,得到信息原文;
采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要;
根据所述信息摘要对所述信息原文进行验证;
当通过验证确定所述信息原文正确时,基于所述信息原文进行业务处理。
第三方面,本发明实施例提供了一种业务处理装置,所述装置包括:
接收模块,用于接收第一电子设备的业务请求;
第一加密模块,用于采用所述第一电子设备的公钥对所述业务请求对应的信息原文进行加密,得到第一密文信息;
摘要获取模块,用于获取所述信息原文的信息摘要;
第二加密模块,用于采用设备自身的私钥对所述信息摘要进行加密,得到所述设备自身的数字签名;
处理模块,用于将所述数字签名加入至所述第一密文信息,得到第二密文信息;
发送模块,用于将所述第二密文信息和所述第二电子设备的数字证书发送至所述第一电子设备,使得所述第一电子设备根据所述第二密文信息和数字证书,获取所述信息原文,并基于所述信息原文进行业务处理,所述数字证书由所述设备自身基于所述信息原文获取。
第四方面,本发明实施例提供了一种业务处理装置,所述装置包括:
发送模块,用于向第二电子设备发送业务请求,并接收所述第二电子设备返回的数字证书和第二密文信息,所述第二密文信息包括第一密文信息和数字签名;
第一验证模块,用于对所述第二电子设备的数字证书进行验证;
第一解密模块,用于当通过验证确定所述第二电子设备的数字证书合法时,采用设备自身的私钥对所述第一密文信息进行解密,得到信息原文;
第二解密模块,用于采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要;
第二验证模块,用于根据所述信息摘要对所述信息原文进行验证;
业务处理模块,用于当通过验证确定所述信息原文正确时,基于所述信息原文进行业务处理。
本发明实施例提供的技术方案带来的有益效果是:
通过在第二电子设备中提供用于执行业务操作的信息原文,使得在第一电子设备需要进行业务处理时,可以通过与第二电子设备之间的加密传输,获取到由第一电子设备提供的信息原文,从而基于信息原文进行业务处理,在交互中不涉及任何密钥的交互,电子设备自身的私钥不会导出到设备外,因此,在该过程中,在保证了信息安全性的同时,大大扩展了设备应用场景。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种业务处理方法的流程图;
图2是本发明实施例提供的一种业务处理方法的流程图;
图3是本发明实施例提供的一种业务处理方法的流程图;
图4是本发明实施例提供的一种业务处理装置的结构示意图;
图5是本发明实施例提供的一种业务处理装置的结构示意图;
图6是本发明实施例提供的一种终端的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
下面对本发明实施例的使用场景进行介绍:
PKI(公钥基础设施,Public Key Infrastructure)是以非对称密匙加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、非对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认***、时间戳服务、相关信息标准、操作规范等。PKI是一种普遍适用的网络安全基础设施。一些美国学者把提供全面安全服务的基础设施,包括软件、硬件、人和策略的集合叫做PKI。
1、技术特征。PKI通过延伸到用户本地的接口为各种应用提供安全服务,包括认证、身份识别、数字签名、加密等。一方面,作为基础设施,PKI与使用PKI的应用***是分离的,因此具有“公用”的特性;另一方面,离开PKI应用***,PKI本身没有任何用处。正是这种基础设施的特性使PKI***的设计和开发效率大大提高,因为PKI***的设计、开发、生产及管理都可以独立地进行,不需要考虑应用的特殊性。
2、结构体系。数字证书是PKI中最基本的元素,所有安全操作都主要通过证书来实现。PKI的部件还包括签署这些证书的认证机构(CA)、登记和批准证书签署的登记机构(RA)以及存储和发布这些证书的电子目录。除此之外,PKI中还包括证书策略、证书路径、证书的使用者等。所有这些都是PKI的基本部件,它们有机地结合在一起就构成了PKI。在网络通信和网络交易中,特别是在电子商务和电子政务业务中,最需要的安全保证包括四个方面:身份标识和认证、保密或隐私、数据完整性与不可否认。
3、服务体系。它所提供的服务主要包括以下几方面:
(1)在网络通信和网络交易中,特别是在电子商务和电子政务业务中,最需要的安全保证包括四个方面:身份标识和认证、保密或隐私、数据完整性与不可否认。
(2)PKI的安全包括太多的方面,包括设备安全、运行安全、协议安全等。其中,算法安全最受关注,因为它是PKI安全的理论基础。
(3)PKI所依赖的是非对称算法。在非对称算法中,如果已知公钥(Public Key),那么在理论上就可以求出私钥(Private Key)。
图1是本发明实施例提供的一种业务处理方法的流程图。该业务处理方法可以应用于第二电子设备中,所述方法包括:
101、接收第一电子设备的业务请求。
102、采用所述第一电子设备的公钥对所述业务请求对应的信息原文进行加密,得到第一密文信息。
103、获取所述信息原文的信息摘要。
104、采用所述第二电子设备的私钥对所述信息摘要进行加密,得到所述第二电子设备的数字签名。
105、将所述数字签名加入至所述第一密文信息,得到第二密文信息。
106、将所述第二密文信息和所述第二电子设备的数字证书发送至所述第一电子设备,使得所述第一电子设备根据所述第二密文信息和数字证书,获取所述第二电子设备的信息原文,并基于所述信息原文进行业务处理,所述数字证书由所述第二电子设备基于所述信息原文获取。
可选地,所述采用所述第一电子设备的公钥对所述业务请求对应的信息原文进行加密,得到第一密文信息之前,所述方法还包括:接收第一电子设备发送的签名邮件,所述签名邮件携带所述第一电子设备的公钥,从所述签名邮件中获取所述第一电子设备的公钥;或,从证书颁发***上查询并获取所述第一电子设备的公钥;或,通过与所述第一电子设备之间事先约定的密钥交换协议,获取所述第一电子设备的公钥。
可选地,所述信息原文包括以下至少一项:身份信息;或,金融信息;或,认证信息;或,地址信息。
可选地,所述身份信息包括以下至少一项:社交应用账号、手机号码、邮箱信息、网络身份证、身份证、驾驶证、护照;或,所述金融信息包括以下至少一项:***、金融卡、网络账户;或,所述认证信息包括以下至少一项:秘钥、唯一标识、口令、时间戳或随机数等;或,所述地址信息包括以下至少一项:门牌号、地址和家庭信息。
可选地,所述业务请求为身份验证请求、金融信息访问请求、支付请求或信息获取请求。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
图2是本发明实施例提供的一种业务处理方法的流程图。该业务处理方法可以应用于第一电子设备中,所述方法包括:
201、向第二电子设备发送业务请求,并接收所述第二电子设备返回的数字证书和第二密文信息,所述第二密文信息包括第一密文信息和数字签名。
202、对所述第二电子设备的数字证书进行验证。
203、当通过验证确定所述第二电子设备的数字证书合法时,采用所述第一电子设备的私钥对所述第一密文信息进行解密,得到信息原文。
204、采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要。
205、根据所述信息摘要对所述信息原文进行验证。
206、当通过验证确定所述信息原文正确时,基于所述信息原文进行业务处理。
可选地,对所述第二电子设备的数字证书进行验证包括:
提取所述数字证书中的证书颁发***签名,通过证书颁发***的公钥,对所述数字证书中证书颁发***签名进行解密,得到第一信息摘要,对所述数字证书进行摘要运算,得到第二信息摘要,将所述第一信息摘要与第二信息摘要进行比对,如果一致,则所述数字证书合法;和/或,从证书颁发***下载证书作废列表,如果所述第二电子设备的数字证书在所述证书作废列表中,则确定所述数字证书不合法。
可选地,采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要之前,所述方法还包括:接收第二电子设备发送的签名邮件,所述签名邮件携带所述第二电子设备的公钥,从所述签名邮件中获取所述第二电子设备的公钥;或,从证书颁发***上查询并获取所述第二电子设备的公钥;或,通过与所述第二电子设备之间事先约定的密钥交换协议,获取所述第二电子设备的公钥。
可选地,当通过验证确定所述信息原文正确时,基于所述信息原文进行业务处理包括:当通过验证确定所述信息原文正确时,显示操作选项界面,所述操作选项界面用于提供业务处理终止选项和业务处理继续选项;根据用户在所述操作选项界面所选中的选项和所述信息原文进行业务处理。
可选地,当通过验证确定所述信息原文正确时,基于所述信息原文进行业务处理包括:当通过验证确定所述信息原文正确时,显示操作提示界面,所述操作提示界面用于提示用户通过摇晃操作继续进行业务处理;如果检测到摇晃操作,则基于所述信息原文进行业务处理。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
图3是本发明实施例提供的一种业务处理方法的流程图。参见图3,该实施例的交互侧可以为第一电子设备、第二电子设备,该方法具体包括:
301、第一电子设备向第二电子设备发送业务请求。
对于本发明实施例来说,第一电子设备即可以为可穿戴设备,也可以为移动终端,而第二电子设备也可以为可穿戴设备或移动终端,本发明实施例对电子设备的具体类型不作限定。也即是,本发明实施例所提供的技术方案中,作为业务请求方的电子设备即可以为可穿戴设备,也可以为移动终端,而其业务请求对象的电子设备也可以为可穿戴设备或移动终端,该业务请求过程可发生于两个相同类型的移动终端或可穿戴设备之间,还可以发生于移动终端和可穿戴设备之间,由于不限制请求方和请求对象的设备类型,大大扩展了业务处理的应用场景。其中,该可穿戴设备可以为蓝牙耳机、智能手环等设备。
需要说明的是,该业务请求为身份验证请求、金融信息访问请求、支付请求或信息获取请求。(1)身份验证请求可以由任一需要使用用户身份信息的使用场景触发,例如,账号登录、设备身份验证等等。(2)金融信息访问请求可以由任一需要使用金融相关信息的使用场景触发,需要支付、提供抵押、财产证明、银行开户等使用场景触发。(3)该支付请求可以由线上支付或线下支付等任一使用场景触发。(4)信息获取请求可以由任一种信息获取场景触发,如需要填写收货地址、认证场景等等。
302、当第二电子设备接收到第一电子设备的业务请求,采用该第一电子设备的公钥对该业务请求对应的信息原文进行加密,得到第一密文信息。
第二电子设备在接收到第一电子设备的业务请求时,可以根据业务请求的具体业务类型,确定该业务请求对应的信息原文。对于第二电子设备来说,可以存储有多种类型的信息原文,以扩展该第二电子设备的实际应用场景。可选地,该信息原文包括以下至少一项:
(1)身份信息,该身份信息包括以下至少一项:社交应用账号、手机号码、邮箱信息、网络身份证、身份证、驾驶证、护照。(2)金融信息,该金融信息包括以下至少一项:***、金融卡、网络账户。(3)认证信息,该认证信息包括以下至少一项:秘钥、唯一标识、口令、时间戳或随机数等。(4)地址信息。该地址信息包括以下至少一项:门牌号、地址和家庭信息。
需要说明的是,第一电子设备具有自身的密钥对,该密钥对包括公钥和私钥,而第二电子设备可以在该步骤302之前获取第一电子设备的公钥,以基于该公钥与第一电子设备进行加密传输,其获取过程可以包括下述任一种方式:
第一种方式、接收第一电子设备发送的签名邮件,该签名邮件携带该第一电子设备的公钥,从该签名邮件中获取该第一电子设备的公钥。
第二种方式、从证书颁发***上查询并获取该第一电子设备的公钥。
第三种方式、通过与该第一电子设备之间事先约定的密钥交换协议,获取该第一电子设备的公钥。
第二电子设备获取该第一电子设备的公钥可以是在第二电子设备初始化过程中获取并存储于第二电子设备中,以在后续过程中直接使用,也可以是在接收到第一电子设备的业务请求后实时获取,本发明实施例对此不作具体限定。
303、第二电子设备获取该信息原文的信息摘要。
其中,该获取信息摘要的过程包括:采用SHA(Secure Hash Algorithm,安全哈希算法)、MD5(Message Digest Algorithm,消息摘要算法第五版)、SM3(杂凑算法)等哈希摘要算法对信息原文压缩,得到信息原文的信息摘要,具体采用哪种哈希摘要算法可以由厂商设置,本发明实施例对此不做限定。
另外,需要说明的是,该信息原文可以加载于数字证书的附加字段中,也可以在设备的指定安全区域中单独存储。例如,数字证书可以为X.509v3证书,其数据结构如下:
Certificate证书
Version版本
Serial Number序列号
Algorithm ID算法标识
Issuer颁发者
Validity有效期
Not Before有效起始日期
Not After有效终止日期
Subject使用者
Subject Public Key Info使用者公钥信息
Public Key Algorithm公钥算法
Subject Public Key公钥
Issuer Unique Identifier(Optional)颁发者唯一标识
Subject Unique Identifier(Optional)使用者唯一标识
Extensions(Optional)扩展
Certificate Signature Algorithm证书签名算法
Certificate Signature证书签名
相应地,基于上述数据结构,其扩展字段可以用于加载信息原文。
304、第二电子设备采用该第二电子设备的私钥对该信息摘要进行加密,得到该第二电子设备的数字签名。
该第一电子设备的私钥以及第二电子设备的私钥均存储于设备的安全加密芯片中,基于非对称算法体系,为了保证其安全性,私钥永不可导出,对于设备自身来说,其私钥也仅能够在加密过程中使用,而不能够被其他设备读取。
305、第二电子设备将该数字签名加入至该第一密文信息,得到第二密文信息。
该将数字签名加入第一密文信息的过程可以看做是一个打包过程,本发明实施例对此不作具体限定。
306、第二电子设备将该第二密文信息和该第二电子设备的数字证书发送至该第一电子设备。
此时,该第二密文信息经过了多重加密,由于第一电子设备和第二电子设备的私钥的不可导出的特性,使得即使该第二密文信息被其他设备截取,也无法对其进行解密,大大提高了信息传输的安全性。
第二电子设备在获取数字证书时,可以向证书颁发***提供设备基本信息,由证书颁发***根据该设备基本信息为第二电子设备颁发数字证书,该数字证书中包括证书颁发***签名,该证书颁发***签名可以是采用证书颁发***的私钥对设备基本信息的信息摘要进行加密得到。
307、第一电子设备接收该第二电子设备返回的数字证书和第二密文信息,该第二密文信息包括第一密文信息和数字签名。
308、第一电子设备对该第二电子设备的数字证书进行验证。
具体地,该对所述第二电子设备的数字证书进行验证包括以下任一种方式:
第一种方式、第一电子设备可以从证书颁发***事先获取该证书颁发***的公钥,以证明第二电子设备的数字证书是否为该证书颁发***所颁发的证书。具体过程包括:提取所述数字证书中的证书颁发***签名,通过证书颁发***的公钥,对所述数字证书中证书颁发***签名进行解密,得到第一信息摘要,对所述数字证书进行摘要运算,得到第二信息摘要,将所述第一信息摘要与第二信息摘要进行比对,如果一致,则所述数字证书合法,如果不一致,则该数字证书不合法。该不合法可以是指证书过期或是被吊销等情况。
第二种方式、从证书颁发***下载证书作废列表,如果所述第二电子设备的数字证书在所述证书作废列表中,则确定所述数字证书不合法。
而对于一些证书颁发***来说,该证书颁发***会提供证书作废列表,用于登记已作废的数字证书,则对于第一电子设备来说,还可以通过下载证书作废列表,以获知当前进行业务请求的第二电子设备的数字证书是否合法。
上述对数字证书合法与否的验证,主要是为了验证第二电子设备的合法性与真实性,在合法性和真实性均得以确定后,则第一电子设备可以进行后续的业务处理过程。
309、当通过验证确定该第二电子设备的数字证书合法时,第一电子设备采用该第一电子设备的私钥对该第一密文信息进行解密,得到信息原文。
由于第一密文信息在第二电子设备侧进行加密时所使用的是第一电子设备的公钥,因此,第一电子设备可以采用自身的秘钥对第一密文信息进行解密,如果解密不成功,可以认为传输出错并进行报错,而如果解密成功,则可以得到第二电子设备所提供的信息原文。
310、第一电子设备采用该第二电子设备的公钥对该数字签名进行解密,得到信息摘要。
需要说明的是,第一电子设备获取第二电子设备的公钥时,可以采用以下任一种方式:(1)接收第二电子设备发送的签名邮件,所述签名邮件携带所述第二电子设备的公钥,从所述签名邮件中获取所述第二电子设备的公钥。(2)从证书颁发***上查询并获取所述第二电子设备的公钥。(3)通过与所述第二电子设备之间事先约定的密钥交换协议,获取所述第二电子设备的公钥。其具体获取时机可以在发送业务请求之后进行,也可以在第一电子设备初始化或运行过程的任一个阶段中进行,本发明实施例对此不做限定。
311、第一电子设备根据该信息摘要对该信息原文进行验证。
上述步骤310和311是对信息原文的完整性和准确性进行验证,在进行了合法性和真实性的验证后,还需要对信息原文是否完整或是否被篡改进行验证,该验证可以通过对信息摘要的验证进行。由于数字签名是根据信息摘要获取到的,因此,可以通过解密数字签名,得到第二电子设备提供的信息原文的信息摘要,从而根据该信息摘要对第一电子设备通过解密得到的信息原文进行验证。具体地,该过程可以包括:第一电子设备采用哈希摘要算法,获取解密得到的信息原文的信息摘要,将所得信息摘要和通过数字签名解密得到的信息摘要进行比对,如果一致,则该信息原文验证通过,如果不一致,则该信息原文验证不通过,不再进行后续处理,并可以对第二电子设备用户进行报错。
312、当通过验证确定该信息原文正确时,第一电子设备基于该信息原文进行业务处理。
为了提高业务处理的安全性和可控性,还可以为用户提供是否继续进行业务处理的选择,以避免由于一些影响因素造成的错误操作,为此,可以提供以下任一种方式:
第一种方式、当通过验证确定所述信息原文正确时,基于所述信息原文进行业务处理包括:当通过验证确定所述信息原文正确时,显示操作选项界面,所述操作选项界面用于提供业务处理终止选项和业务处理继续选项;根据用户在所述操作选项界面所选中的选项和所述信息原文进行业务处理。
在实际场景中,为了避免对数据的恶意篡改,需要在执行实际业务处理之前,为用户提供操作选项界面,该操作选项界面还可以包括当前业务处理的具体信息,例如,业务请求的具体信息:当前是什么业务,业务交易双方的身份信息、业务涉及到的交互数据(交易金额、身份信息)等,仅在用户通过选项确认了允许继续下一步处理时,才进行业务处理,以保证所见即所签,保证了信息和财产的安全。具体地,如果检测到用户对业务处理终止选项的确认操作,则终止业务处理,如果检测到用户的业务处理继续选项的确认操作,则继续基于该信息原文进行业务处理。
第二种方式、当通过验证确定所述信息原文正确时,显示操作提示界面,所述操作提示界面用于提示用户通过摇晃操作继续进行业务处理;如果检测到摇晃操作,则基于所述信息原文进行业务处理。
该第二种方式与第一种方式的不同之处在于,并未提供具体处理选项,而是提示了可以采用什么操作触发进一步处理,由于无论是可穿戴设备还是移动终端,通常都配置有用于检测动态的传感器,因此,可以通过摇晃操作这种简单易行的操作,触发下一步业务处理,如果在预设时长内未检测到摇晃操作,也可以认为用户不希望进行下一步的处理,则可以终止业务处理。
通过在第二电子设备中提供用于执行业务操作的信息原文,使得在第一电子设备需要进行业务处理时,可以通过与第二电子设备之间的加密传输,获取到由第一电子设备提供的信息原文,从而基于信息原文进行业务处理,在交互中不涉及任何密钥的交互,电子设备自身的私钥不会导出到设备外,因此,在该过程中,在保证了信息安全性的同时,大大扩展了设备应用场景。进一步地,本发明实施例采用了国密认证的安全加密芯片以保存私钥,保证了私钥的安全性,且可以在一个电子设备中存储多个类型的信息原文,用于多种使用场景,实现了电子设备使用场景的多样化,并且,提供了是否继续进行业务处理的界面显示方式,避免由于误操作或误触发等场景造成的错误处理,也提高了用户对业务处理的可控性。
图4是本发明实施例提供的一种业务处理装置的结构示意图,参见图4,所述装置包括:
接收模块401,用于接收第一电子设备的业务请求;
第一加密模块402,用于采用所述第一电子设备的公钥对所述业务请求对应的信息原文进行加密,得到第一密文信息;
摘要获取模块403,用于获取所述信息原文的信息摘要;
第二加密模块404,用于采用设备自身的私钥对所述信息摘要进行加密,得到所述设备自身的数字签名;
处理模块405,用于将所述数字签名加入至所述第一密文信息,得到第二密文信息;
发送模块406,用于将所述第二密文信息和所述第二电子设备的数字证书发送至所述第一电子设备,使得所述第一电子设备根据所述第二密文信息和数字证书,获取所述信息原文,并基于所述信息原文进行业务处理,所述数字证书由所述设备自身基于所述信息原文获取。
可选地,所述装置还包括公钥获取模块,所述公钥获取模块用于:接收第一电子设备发送的签名邮件,所述签名邮件携带所述第一电子设备的公钥,从所述签名邮件中获取所述第一电子设备的公钥;或,从证书颁发***上查询并获取所述第一电子设备的公钥;或,通过与所述第一电子设备之间事先约定的密钥交换协议,获取所述第一电子设备的公钥。
可选地,所述信息原文包括以下至少一项:身份信息;或,金融信息;或,认证信息;或,地址信息。
可选地,所述身份信息包括以下至少一项:社交应用账号、手机号码、邮箱信息、网络身份证、身份证、驾驶证、护照;或,所述金融信息包括以下至少一项:***、金融卡、网络账户;或,所述认证信息包括以下至少一项:秘钥、唯一标识、口令、时间戳或随机数等;或,所述地址信息包括以下至少一项:门牌号、地址和家庭信息。
可选地,所述业务请求为身份验证请求、金融信息访问请求、支付请求或信息获取请求。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
图5是本发明实施例提供的一种业务处理装置的结构示意图。参见图5,所述装置包括:
发送模块501,用于向第二电子设备发送业务请求,并接收所述第二电子设备返回的数字证书和第二密文信息,所述第二密文信息包括第一密文信息和数字签名;
第一验证模块502,用于对所述第二电子设备的数字证书进行验证;
第一解密模块503,用于当通过验证确定所述第二电子设备的数字证书合法时,采用设备自身的私钥对所述第一密文信息进行解密,得到信息原文;
第二解密模块504,用于采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要;
第二验证模块505,用于根据所述信息摘要对所述信息原文进行验证;
业务处理模块506,用于当通过验证确定所述信息原文正确时,基于所述信息原文进行业务处理。
可选地,所述第一验证模块502用于:
提取所述数字证书中的证书颁发***签名,通过证书颁发***的公钥,对所述数字证书中证书颁发***签名进行解密,得到第一信息摘要,对所述数字证书进行摘要运算,得到第二信息摘要,将所述第一信息摘要与第二信息摘要进行比对,如果一致,则所述数字证书合法;
和/或,
从证书颁发***下载证书作废列表,如果所述第二电子设备的数字证书在所述证书作废列表中,则确定所述数字证书不合法。
可选地,所述装置还包括公钥获取模块,所述公钥获取模块用于:
接收第二电子设备发送的签名邮件,所述签名邮件携带所述第二电子设备的公钥,从所述签名邮件中获取所述第二电子设备的公钥;或,
从证书颁发***上查询并获取所述第二电子设备的公钥;或,
通过与所述第二电子设备之间事先约定的密钥交换协议,获取所述第二电子设备的公钥。
可选地,所述装置还包括:
第一显示模块,用于当通过验证确定所述信息原文正确时,显示操作选项界面,所述操作选项界面用于提供业务处理终止选项和业务处理继续选项;
所述业务处理模块用于根据用户在所述操作选项界面所选中的选项和所述信息原文进行业务处理。
可选地,所述装置还包括:
第二显示模块,用于当通过验证确定所述信息原文正确时,显示操作提示界面,所述操作提示界面用于提示用户通过摇晃操作继续进行业务处理;
所述业务处理模块用于如果检测到摇晃操作,则基于所述信息原文进行业务处理。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的业务处理装置在业务处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的业务处理装置与业务处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本实施例提供了一种终端,该终端可以用于执行上述各个实施例中提供的业务处理方法。参见图6,该终端600包括:
终端600可以包括RF(Radio Frequency,射频)电路110、包括有一个或一个以上计算机可读存储介质的存储器120、输入单元130、显示单元140、传感器150、音频电路160、WiFi(Wireless Fidelity,无线保真)模块170、包括有一个或者一个以上处理核心的处理器180、以及电源190等部件。本领域技术人员可以理解,图6中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路110可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器180处理;另外,将涉及上行的数据发送给基站。通常,RF电路110包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier,低噪声放大器)、双工器等。此外,RF电路110还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯***)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA(CodeDivision Multiple Access,码分多址)、WCDMA(Wideband Code Division MultipleAccess,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(ShortMessaging Service,短消息服务)等。
存储器120可用于存储软件程序以及模块,处理器180通过运行存储在存储器120的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器120可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端600的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器120还可以包括存储器控制器,以提供处理器180和输入单元130对存储器120的访问。
输入单元130可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元130可包括触敏表面131以及其他输入设备132。触敏表面131,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面131上或在触敏表面131附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面131可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器180,并能接收处理器180发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面131。除了触敏表面131,输入单元130还可以包括其他输入设备132。具体地,其他输入设备132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元140可用于显示由用户输入的信息或提供给用户的信息以及终端600的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元140可包括显示面板141,可选的,可以采用LCD(Liquid Crystal Display,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板141。进一步的,触敏表面131可覆盖显示面板141,当触敏表面131检测到在其上或附近的触摸操作后,传送给处理器180以确定触摸事件的类型,随后处理器180根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图6中,触敏表面131与显示面板141是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面131与显示面板141集成而实现输入和输出功能。
终端600还可包括至少一种传感器150,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板141的亮度,接近传感器可在终端600移动到耳边时,关闭显示面板141和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端600还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路160、扬声器161,传声器162可提供用户与终端600之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号,传输到扬声器161,由扬声器161转换为声音信号输出;另一方面,传声器162将收集的声音信号转换为电信号,由音频电路160接收后转换为音频数据,再将音频数据输出处理器180处理后,经RF电路110以发送给比如另一终端,或者将音频数据输出至存储器120以便进一步处理。音频电路160还可能包括耳塞插孔,以提供外设耳机与终端600的通信。
WiFi属于短距离无线传输技术,终端600通过WiFi模块170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图6示出了WiFi模块170,但是可以理解的是,其并不属于终端600的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器180是终端600的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器120内的软件程序和/或模块,以及调用存储在存储器120内的数据,执行终端600的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器180可包括一个或多个处理核心;优选的,处理器180可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器180中。
终端600还包括给各个部件供电的电源190(比如电池),优选的,电源可以通过电源管理***与处理器180逻辑相连,从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电***、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端600还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,终端的显示单元是触摸屏显示器,终端还包括有存储器,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上处理器执行。所述一个或者一个以上程序包含用于执行上述第一电子设备或第二电子设备所执行操作的指令。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种业务处理方法,其特征在于,应用于第二电子设备中,所述方法包括:
接收第一电子设备的业务请求,所述业务请求为身份验证请求、金融信息访问请求、支付请求或信息获取请求;
获取并储存所述第一电子设备的公钥;
采用所述第一电子设备的公钥对所述业务请求对应的信息原文进行加密,得到第一密文信息,所述信息原文包括身份信息、金融信息、认证信息或地址信息;
获取所述信息原文的信息摘要;
采用所述第二电子设备的私钥对所述信息摘要进行加密,得到所述第二电子设备的数字签名;
将所述数字签名加入至所述第一密文信息,得到第二密文信息;
将所述第二密文信息和所述第二电子设备的数字证书发送至所述第一电子设备,使得所述第一电子设备对所述第二电子设备的数字证书进行验证,当通过验证确定所述第二电子设备的数字证书合法时,所述第一电子设备采用自身的私钥对所述第一密文信息进行解密,得到信息原文,并通过哈希摘要算法,计算所述信息原文的信息摘要;如果计算得到的信息摘要与所述第一电子设备采用所述第二电子设备的公钥对所述数字签名进行解密得到信息摘要一致,所述信息原文正确,则显示包括当前业务处理的具体信息的操作选项界面,所述操作选项界面用于提供业务处理终止选项和业务处理继续选项,基于用户在所述操作选项界面所选中的选项和所述信息原文进行业务处理,其中,所述数字证书由证书颁发***颁发,所述第一电子设备和所述第二电子设备的私钥均存储于所属设备的安全加密芯片中,基于非对称算法体系,私钥永不可导出,且仅能够在加密过程中使用,而不能够被其他设备读取。
2.根据权利要求1所述的方法,其特征在于,所述获取并储存所述第一电子设备的公钥,包括:
接收第一电子设备发送的签名邮件,所述签名邮件携带所述第一电子设备的公钥,从所述签名邮件中获取所述第一电子设备的公钥;或,
从证书颁发***上查询并获取所述第一电子设备的公钥;或,
通过与所述第一电子设备之间事先约定的密钥交换协议,获取所述第一电子设备的公钥。
3.根据权利要求1所述的方法,其特征在于,
所述身份信息包括以下至少一项:社交应用账号、手机号码、邮箱信息、网络身份证、身份证、驾驶证、护照;或,
所述金融信息包括以下至少一项:***、金融卡、网络账户;或,
所述认证信息包括以下至少一项:秘钥、唯一标识、口令、时间戳或随机数等;或,
所述地址信息包括以下至少一项:门牌号、地址和家庭信息。
4.一种业务处理方法,其特征在于,应用于第一电子设备中,所述方法包括:
向第二电子设备发送业务请求,所述业务请求为身份验证请求、金融信息访问请求、支付请求或信息获取请求;
接收所述第二电子设备返回的数字证书和第二密文信息,所述第二密文信息包括第一密文信息和数字签名,其中,所述数字证书由证书颁发***颁发,所述第一密文信息采用所述第一电子设备的公钥加密,所述数字签名采用所述第二电子设备的私钥加密;
对所述第二电子设备的数字证书进行验证;
当通过验证确定所述第二电子设备的数字证书合法时,采用所述第一电子设备的私钥对所述第一密文信息进行解密,得到信息原文,所述信息原文包括身份信息、金融信息、认证信息或地址信息;
通过哈希摘要算法,计算解密得到的信息原文的信息摘要;
采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要;
如果计算得到的信息摘要与解密得到的信息摘要一致,则所述信息原文正确,显示包括当前业务处理的具体信息的操作选项界面,所述操作选项界面用于提供业务处理终止选项和业务处理继续选项;
基于用户在所述操作选项界面所选中的选项和所述信息原文进行业务处理,其中,所述第一电子设备和所述第二电子设备的私钥均存储于所属设备的安全加密芯片中,基于非对称算法体系,私钥永不可导出,且仅能够在加密过程中使用,而不能够被其他设备读取。
5.根据权利要求4所述的方法,其特征在于,对所述第二电子设备的数字证书进行验证包括:
提取所述数字证书中的证书颁发***签名,通过证书颁发***的公钥,对所述数字证书中证书颁发***签名进行解密,得到第一信息摘要,对所述数字证书进行摘要运算,得到第二信息摘要,将所述第一信息摘要与第二信息摘要进行比对,如果一致,则所述数字证书合法;
和/或,
从证书颁发***下载证书作废列表,如果所述第二电子设备的数字证书在所述证书作废列表中,则确定所述数字证书不合法。
6.根据权利要求4所述的方法,其特征在于,采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要之前,所述方法还包括:
接收第二电子设备发送的签名邮件,所述签名邮件携带所述第二电子设备的公钥,从所述签名邮件中获取所述第二电子设备的公钥;或,
从证书颁发***上查询并获取所述第二电子设备的公钥;或,
通过与所述第二电子设备之间事先约定的密钥交换协议,获取所述第二电子设备的公钥。
7.一种业务处理装置,其特征在于,所述装置包括:
接收模块,用于接收第一电子设备的业务请求,所述业务请求为身份验证请求、金融信息访问请求、支付请求或信息获取请求;
公钥获取模块,用于获取并储存所述第一电子设备的公钥;
第一加密模块,用于采用所述第一电子设备的公钥对所述业务请求对应的信息原文进行加密,得到第一密文信息,所述信息原文包括身份信息、金融信息、认证信息或地址信息;
摘要获取模块,用于获取所述信息原文的信息摘要;
第二加密模块,用于采用设备自身的私钥对所述信息摘要进行加密,得到所述设备自身的数字签名;
处理模块,用于将所述数字签名加入至所述第一密文信息,得到第二密文信息;
发送模块,用于将所述第二密文信息和所述第二电子设备的数字证书发送至所述第一电子设备,使得所述第一电子设备对所述第二电子设备的数字证书进行验证,当通过验证确定所述第二电子设备的数字证书合法时,所述第一电子设备采用自身的私钥对所述第一密文信息进行解密,得到信息原文,并通过哈希摘要算法,计算所述信息原文的信息摘要;如果计算得到的信息摘要与所述第一电子设备采用所述第二电子设备的公钥对所述数字签名进行解密得到信息摘要一致,所述信息原文正确,则显示包括当前业务处理的具体信息的操作选项界面,所述操作选项界面用于提供业务处理终止选项和业务处理继续选项,基于用户在所述操作选项界面所选中的选项和所述信息原文进行业务处理,其中,所述数字证书由所述设备自身基于所述信息原文获取,所述第一电子设备和所述第二电子设备的私钥均存储于所属设备的安全加密芯片中,基于非对称算法体系,私钥永不可导出,且仅能够在加密过程中使用,而不能够被其他设备读取。
8.根据权利要求7所述的装置,其特征在于,所述公钥获取模块用于:
接收第一电子设备发送的签名邮件,所述签名邮件携带所述第一电子设备的公钥,从所述签名邮件中获取所述第一电子设备的公钥;或,
从证书颁发***上查询并获取所述第一电子设备的公钥;或,
通过与所述第一电子设备之间事先约定的密钥交换协议,获取所述第一电子设备的公钥。
9.根据权利要求7所述的装置,其特征在于,
所述身份信息包括以下至少一项:社交应用账号、手机号码、邮箱信息、网络身份证、身份证、驾驶证、护照;或,
所述金融信息包括以下至少一项:***、金融卡、网络账户;或,
所述认证信息包括以下至少一项:秘钥、唯一标识、口令、时间戳或随机数等;或,
所述地址信息包括以下至少一项:门牌号、地址和家庭信息。
10.一种业务处理装置,其特征在于,所述装置包括:
发送模块,用于向第二电子设备发送业务请求,所述业务请求为身份验证请求、金融信息访问请求、支付请求或信息获取请求;
接收模块,用于接收所述第二电子设备返回的数字证书和第二密文信息,所述第二密文信息包括第一密文信息和数字签名,其中,所述数字证书由证书颁发***颁发,所述第一密文信息采用所述第一电子设备的公钥加密,所述数字签名采用所述第二电子设备的私钥加密;
第一验证模块,用于对所述第二电子设备的数字证书进行验证;
第一解密模块,用于当通过验证确定所述第二电子设备的数字证书合法时,采用设备自身的私钥对所述第一密文信息进行解密,得到信息原文,所述信息原文包括身份信息、金融信息、认证信息或地址信息;
计算模块,用于通过哈希摘要算法,计算解密得到的信息原文的信息摘要;
第二解密模块,用于采用所述第二电子设备的公钥对所述数字签名进行解密,得到信息摘要;
第二验证模块,用于验证所述计算模块计算得到的信息摘要与所述第二解密模块解密得到的信息摘要是否一致;
业务处理模块,用于如果计算得到的信息摘要与解密得到的信息摘要一致,所述信息原文正确,则显示包括当前业务处理的具体信息的操作选项界面,所述操作选项界面用于提供业务处理终止选项和业务处理继续选项;基于用户在所述操作选项界面所选中的选项和所述信息原文进行业务处理,其中,所述第一电子设备和所述第二电子设备的私钥均存储于所属设备的安全加密芯片中,基于非对称算法体系,私钥永不可导出,且仅能够在加密过程中使用,而不能够被其他设备读取。
11.根据权利要求10所述的装置,其特征在于,所述第一验证模块用于:
提取所述数字证书中的证书颁发***签名,通过证书颁发***的公钥,对所述数字证书中证书颁发***签名进行解密,得到第一信息摘要,对所述数字证书进行摘要运算,得到第二信息摘要,将所述第一信息摘要与第二信息摘要进行比对,如果一致,则所述数字证书合法;
和/或,
从证书颁发***下载证书作废列表,如果所述第二电子设备的数字证书在所述证书作废列表中,则确定所述数字证书不合法。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括公钥获取模块,所述公钥获取模块用于:
接收第二电子设备发送的签名邮件,所述签名邮件携带所述第二电子设备的公钥,从所述签名邮件中获取所述第二电子设备的公钥;或,
从证书颁发***上查询并获取所述第二电子设备的公钥;或,
通过与所述第二电子设备之间事先约定的密钥交换协议,获取所述第二电子设备的公钥。
CN201510567954.5A 2015-09-08 2015-09-08 业务处理方法及装置 Active CN105721413B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201510567954.5A CN105721413B (zh) 2015-09-08 2015-09-08 业务处理方法及装置
PCT/CN2016/092434 WO2017041599A1 (zh) 2015-09-08 2016-07-29 业务处理方法及电子设备
US15/820,014 US10601795B2 (en) 2015-09-08 2017-11-21 Service processing method and electronic device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510567954.5A CN105721413B (zh) 2015-09-08 2015-09-08 业务处理方法及装置

Publications (2)

Publication Number Publication Date
CN105721413A CN105721413A (zh) 2016-06-29
CN105721413B true CN105721413B (zh) 2018-05-29

Family

ID=56144884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510567954.5A Active CN105721413B (zh) 2015-09-08 2015-09-08 业务处理方法及装置

Country Status (3)

Country Link
US (1) US10601795B2 (zh)
CN (1) CN105721413B (zh)
WO (1) WO2017041599A1 (zh)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721413B (zh) 2015-09-08 2018-05-29 腾讯科技(深圳)有限公司 业务处理方法及装置
CN108604341B (zh) * 2016-11-21 2022-04-12 华为技术有限公司 交易方法、支付设备、校验设备和服务器
CN106685945B (zh) * 2016-12-21 2020-12-22 深圳市金立通信设备有限公司 业务请求处理方法、业务办理号码的验证方法及其终端
CN107133512B (zh) * 2017-03-14 2020-07-28 万达百汇科技(深圳)有限公司 Pos终端控制方法和装置
CN107358441B (zh) * 2017-06-26 2020-12-18 北京明华联盟科技有限公司 支付验证的方法、***及移动设备和安全认证设备
CN107968708B (zh) * 2017-11-10 2020-01-17 财付通支付科技有限公司 生成签名的方法、装置、终端及服务器
CN108337264B (zh) * 2018-02-13 2020-10-27 福州外语外贸学院 一种具有高安全性的在线教育数据传输方法及终端
TWI677805B (zh) * 2018-04-24 2019-11-21 大陸商物聯智慧科技(深圳)有限公司 資料加解密方法及系統與連網裝置及其資料加解密方法
CN108810017B (zh) * 2018-07-12 2021-03-12 中国工商银行股份有限公司 业务处理安全验证方法及装置
CN108989347A (zh) * 2018-08-30 2018-12-11 汉能移动能源控股集团有限公司 账号生成方法和装置、***、介质、设备
CN109213686B (zh) * 2018-10-22 2022-03-22 网易(杭州)网络有限公司 应用包体检查方法、装置、存储介质、处理器及服务器
CN109472166B (zh) * 2018-11-01 2021-05-07 恒生电子股份有限公司 一种电子签章方法、装置、设备及介质
IT201900009165A1 (it) * 2019-06-17 2020-12-17 St Microelectronics Srl Dispositivo elettronico e corrispondente procedimento di funzionamento
CN111865607B (zh) * 2020-06-16 2022-02-11 郑州信大捷安信息技术股份有限公司 用于v2x的加密证书状态在线查询方法、通信方法及***
CN112073399B (zh) * 2020-08-28 2023-01-31 华迪计算机集团有限公司 基于双向消息队列的数据交换***
TWI770676B (zh) * 2020-11-17 2022-07-11 玉山商業銀行股份有限公司 線上交易處理系統及方法
CN112966305B (zh) * 2021-03-24 2022-09-27 中国科学院自动化研究所 基于区块链的信息传递方法、装置、电子设备和存储介质
CN113810364A (zh) * 2021-07-29 2021-12-17 北京中交国通智能交通***技术有限公司 一种信息展示方法、装置、设备及存储介质
CN113706299A (zh) * 2021-09-10 2021-11-26 京东科技控股股份有限公司 数据处理的方法、装置、电子设备及介质
CN114584299B (zh) * 2022-03-02 2024-04-26 中国建设银行股份有限公司 数据处理方法、装置、电子设备和存储介质
CN115630377B (zh) * 2022-10-10 2023-06-06 广州市金其利信息科技有限公司 外部设备的接入方法、装置、计算机设备及外部设备

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5809144A (en) * 1995-08-24 1998-09-15 Carnegie Mellon University Method and apparatus for purchasing and delivering digital goods over a network
JP3540511B2 (ja) * 1996-06-18 2004-07-07 株式会社東芝 電子署名検証装置
US6351812B1 (en) * 1998-09-04 2002-02-26 At&T Corp Method and apparatus for authenticating participants in electronic commerce
US20030078880A1 (en) * 1999-10-08 2003-04-24 Nancy Alley Method and system for electronically signing and processing digital documents
JP2002141895A (ja) * 2000-11-01 2002-05-17 Sony Corp コンテンツ配信システムおよびコンテンツ配信方法
US20020199123A1 (en) * 2001-06-22 2002-12-26 Wonderware Corporation Security architecture for a process control platform executing applications
US7512785B2 (en) * 2003-07-18 2009-03-31 Intel Corporation Revocation distribution
US7581105B2 (en) * 2003-12-16 2009-08-25 Sap Aktiengesellschaft Electronic signing apparatus and methods
US8024779B2 (en) * 2004-02-26 2011-09-20 Packetmotion, Inc. Verifying user authentication
US9003548B2 (en) * 2004-04-13 2015-04-07 Nl Systems, Llc Method and system for digital rights management of documents
US20050268327A1 (en) * 2004-05-14 2005-12-01 Secure Communications Technology, Llc Enhanced electronic mail security system and method
JP4448800B2 (ja) * 2005-07-07 2010-04-14 株式会社ソニー・コンピュータエンタテインメント デバイス制御装置
US20070156836A1 (en) * 2006-01-05 2007-07-05 Lenovo(Singapore) Pte. Ltd. System and method for electronic chat identity validation
JP5034498B2 (ja) * 2006-02-20 2012-09-26 株式会社日立製作所 ディジタルコンテンツの暗号化,復号方法,及び,ディジタルコンテンツを利用した業務フローシステム
US20080091936A1 (en) * 2006-10-11 2008-04-17 Ikkanzaka Hiroaki Communication apparatus, control method for communication apparatus and computer-readable storage medium
US8271788B2 (en) * 2006-10-17 2012-09-18 Trend Micro Incorporated Software registration system
CN101197674B (zh) * 2007-12-10 2010-10-27 华为技术有限公司 加密通信方法、服务器及加密通信***
CN101471776A (zh) * 2007-12-29 2009-07-01 航天信息股份有限公司 基于用户身份标识防止pkg伪造签名的方法
CN101939947B (zh) * 2008-02-29 2013-01-09 三菱电机株式会社 密钥管理服务器、终端、密钥共享***、密钥配送方法以及密钥接收方法
CN201315597Y (zh) * 2008-10-10 2009-09-23 东莞广州中医药大学中医药数理工程研究院 一种便携式无线电子密钥装置
US8782607B2 (en) * 2009-02-20 2014-07-15 Microsoft Corporation Contract failure behavior with escalation policy
CN101631022B (zh) * 2009-08-04 2012-06-27 飞天诚信科技股份有限公司 一种签名方法和***
CN102609841B (zh) * 2012-01-13 2015-02-25 东北大学 一种基于数字证书的远程移动支付***及支付方法
AP2014008020A0 (en) * 2012-04-16 2014-10-31 Tencent Tech Shenzhen Co Ltd Intruction triggering method and device, user information acquisition method and system, terminal and server
WO2014066559A1 (en) * 2012-10-23 2014-05-01 Visa International Service Association Transaction initiation determination system utilizing transaction data elements
US9179270B2 (en) * 2012-12-17 2015-11-03 Tecent Technology (Shenzhen) Company Limited Intercommunication methods and devices based on digital networks
US8851370B2 (en) * 2013-01-02 2014-10-07 Jpmorgan Chase Bank, N.A. System and method for secure card with on-board verification
CN104142791A (zh) * 2013-05-09 2014-11-12 腾讯科技(深圳)有限公司 资源更换方法、装置及终端
WO2015021624A1 (zh) * 2013-08-14 2015-02-19 宇龙计算机通信科技(深圳)有限公司 可穿戴设备和数据传输方法
DE102014201234A1 (de) * 2014-01-23 2015-07-23 Siemens Aktiengesellschaft Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät
US9826400B2 (en) * 2014-04-04 2017-11-21 Qualcomm Incorporated Method and apparatus that facilitates a wearable identity manager
JP2016025628A (ja) * 2014-07-24 2016-02-08 株式会社リコー 情報処理システム、および電子機器
JP2016063233A (ja) * 2014-09-12 2016-04-25 株式会社東芝 通信制御装置
US9342153B2 (en) * 2014-10-14 2016-05-17 Sony Corporation Terminal device and method for controlling operations
CN104320257B (zh) * 2014-10-22 2015-10-28 李名选 电子档案验证方法及装置
US20160253651A1 (en) * 2015-02-27 2016-09-01 Samsung Electronics Co., Ltd. Electronic device including electronic payment system and operating method thereof
US9651944B2 (en) * 2015-03-22 2017-05-16 Microsoft Technology Licensing, Llc Unmanned aerial vehicle piloting authorization
CN105721413B (zh) * 2015-09-08 2018-05-29 腾讯科技(深圳)有限公司 业务处理方法及装置

Also Published As

Publication number Publication date
US20180103017A1 (en) 2018-04-12
WO2017041599A1 (zh) 2017-03-16
CN105721413A (zh) 2016-06-29
US10601795B2 (en) 2020-03-24

Similar Documents

Publication Publication Date Title
CN105721413B (zh) 业务处理方法及装置
CN109472166B (zh) 一种电子签章方法、装置、设备及介质
CN106686008B (zh) 信息存储方法及装置
CN109600223B (zh) 验证方法、激活方法、装置、设备及存储介质
TWI792284B (zh) 用於驗證對安全裝置功能性之線上存取之方法
ES2836114T3 (es) Método de envío de información, método de recepción de información, aparato y sistema
US11488234B2 (en) Method, apparatus, and system for processing order information
EP3308522B1 (en) System, apparatus and method for multi-owner transfer of ownership of a device
US20200029215A1 (en) Secure short message service (sms) communications
CN108614878B (zh) 协议数据管理方法、装置、存储介质及***
US20210004454A1 (en) Proof of affinity to a secure event for frictionless credential management
CN108604341B (zh) 交易方法、支付设备、校验设备和服务器
CN104836664B (zh) 一种执行业务处理的方法、装置和***
CN105681032B (zh) 密钥存储方法、密钥管理方法及装置
CN106533687A (zh) 一种身份认证方法和设备
JP2016096547A (ja) 否認防止方法、このための決済管理サーバおよび使用者端末
CN106845177A (zh) 密码管理方法及***
CN104967601A (zh) 数据处理方法及装置
CN107133794B (zh) Ifaa指纹支付装置、***、方法和移动终端
CN107968999A (zh) 一种隐私保护方法及相关设备
CN107154935A (zh) 业务请求方法及装置
CN108234124A (zh) 身份验证方法、装置与***
CN115001841A (zh) 一种身份认证方法、装置及存储介质
CN104899488A (zh) 数值转移方法及装置
CN103514540B (zh) 一种优盾业务实现方法及***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant