CN116823257A - 一种信息处理方法、装置、设备及存储介质 - Google Patents

一种信息处理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116823257A
CN116823257A CN202310699664.0A CN202310699664A CN116823257A CN 116823257 A CN116823257 A CN 116823257A CN 202310699664 A CN202310699664 A CN 202310699664A CN 116823257 A CN116823257 A CN 116823257A
Authority
CN
China
Prior art keywords
transaction
key
security
information
attribute information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310699664.0A
Other languages
English (en)
Inventor
林立志
李冠彬
骆衍华
郭永乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310699664.0A priority Critical patent/CN116823257A/zh
Publication of CN116823257A publication Critical patent/CN116823257A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • G06Q20/206Point-of-sale [POS] network systems comprising security or operator identification provisions, e.g. password entry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Technology Law (AREA)
  • Development Economics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本公开提供了一种信息处理方法、装置、设备及存储介质,可以应用于信息安全领域和金融科技领域。该信息处理方法包括:在检测到交易操作的情况下,获取与交易操作相关的交易属性信息;根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息,其中,安全密钥为基于安全模组的安全模组属性信息确定的,客户端包含有安全模组;根据交易动态验证信息和与客户端相关的工作密钥,生成第一交易请求验证信息,工作密钥通过根密钥对工作密钥密文进行解密后得到,工作密钥密文从服务端获取到;确定包含有第一交易请求验证信息和交易属性信息的交易请求,第一交易请求验证信息适用于验证交易请求的安全性;以及向服务端发送交易请求。

Description

一种信息处理方法、装置、设备及存储介质
技术领域
本公开涉及信息安全领域和金融科技领域,尤其涉及一种信息处理方法、装置、设备、存储介质和计算机程序产品。
背景技术
随着互联网科技的快速发展,用户可以通过POS机终端、具备交易功能的智能手机等多样化的交易设备实现与银行等机构之间完成交易,从而为用户提升交易的便捷性,满足用户的多样化交易需求。例如用户可以基于POS机终端向金融机构的服务器发送交易请求,服务器可以根据交易请求中的信息来完成扣款等交易。
但是随着交易数量的激增,基于交易设备完成的交易容易导致交易信息泄露,存在一定的信息安全隐患。
发明内容
鉴于上述问题,本公开提供了一种信息处理方法、装置、设备、存储介质和计算机程序产品。
第一方面,本公开实施例提供了一种信息处理方法,应用于客户端,包括:
在检测到交易操作的情况下,获取与上述交易操作相关的交易属性信息,其中,上述交易属性信息包括交易时间属性信息;
根据安全密钥对上述交易时间属性信息进行加密,得到交易动态验证信息,其中,上述安全密钥为基于安全模组的安全模组属性信息确定的,上述客户端包含有上述安全模组;
根据上述交易动态验证信息和与上述客户端相关的工作密钥,生成第一交易请求验证信息,上述工作密钥通过根密钥对工作密钥密文进行解密后得到,上述工作密钥密文从服务端获取到;
确定包含有上述第一交易请求验证信息和上述交易属性信息的交易请求,上述第一交易请求验证信息适用于验证上述交易请求的安全性;以及向上述服务端发送上述交易请求。
根据本公开的实施例,上述根据上述交易动态验证信息和与上述交易操作相关的工作密钥,生成第一交易请求验证信息包括:
根据上述交易动态验证信息更新上述工作密钥,得到更新后的目标工作密钥;
根据上述目标工作密钥对上述交易属性信息进行加密,得到上述第一交易请求验证信息;
其中,上述交易请求是根据上述第一交易请求验证信息和上述交易属性信息得到的。
根据本公开的实施例,上述交易属性信息还包括与上述交易操作相关的交易随机编码信息:
其中,上述根据安全密钥对上述交易时间属性信息进行加密,得到交易动态验证信息包括:
根据上述安全密钥对上述交易时间属性信息进行加密计算,得到中间安全密钥;
根据上述中间安全密钥对上述交易随机编码信息进行加密,得到上述交易动态验证信息。
根据本公开的实施例,上述客户端与上述服务端分别存储有根密钥;
上述信息处理方法还包括:
从上述服务端获取工作密钥密文;
基于上述根密钥对上述工作密钥密文进行解密,得到上述工作密钥。
根据本公开的实施例,上述信息处理方法还包括:从上述服务端获取与上述工作密钥相关的至少一个传输密钥密文;
其中,上述基于上述根密钥对上述工作密钥密文进行解密,得到上述工作密钥包括:
基于上述根密钥对至少一个上述传输密钥密文进行解密,得到至少一个传输密钥;
基于至少一个上述传输密钥对上述工作密钥密文进行解密,得到上述工作密钥。
根据本公开的实施例,上述交易属性信息还包括以下至少一项:
交易资源额度信息、客户端标识、与上述交易操作相关的交易账户信息。
第二方面,本公开实施例提供了一种信息处理方法,应用于服务端,包括:
在获取到来自于客户端发送的交易请求的情况下,从上述交易请求中确定第一交易请求验证信息和交易属性信息,其中,上述交易属性信息包括交易时间属性信息;
根据安全密钥对上述交易时间属性信息进行加密,得到交易动态验证信息,其中,上述安全密钥为基于安全模组的安全模组属性信息确定的,上述客户端包含有上述安全模组;
根据上述交易动态验证信息和与上述客户端相关的工作密钥,生成第二交易请求验证信息;
根据上述第一交易请求验证信息和上述第二交易请求验证信息之间的比对结果,确定上述交易请求的安全性验证结果。
根据本公的实施例,上述根据上述交易动态验证信息和与上述客户端相关的工作密钥,生成第二交易请求验证信息包括:
根据上述交易动态验证信息更新上述工作密钥,得到更新后的目标工作密钥;
根据上述目标工作密钥对上述交易属性信息进行加密,得到上述第二交易请求验证信息。
根据本公的实施例,上述交易属性信息还包括交易随机编码信息:
其中,上述根据安全密钥对上述交易时间属性信息进行加密,得到交易动态验证信息包括:
根据上述安全密钥对上述交易时间属性信息进行加密计算,得到中间安全密钥;
根据上述中间安全密钥对上述交易随机编码信息进行加密,得到上述交易动态验证信息。
根据本公的实施例,上述交易属性信息还包括与上述交易操作相关的交易随机编码信息:
其中,上述根据安全密钥对上述交易时间属性信息进行加密,得到交易动态验证信息包括:
根据上述安全密钥对上述交易时间属性信息进行加密计算,得到中间安全密钥;
根据上述中间安全密钥对上述交易随机编码信息进行加密,得到上述交易动态验证信息。
根据本公的实施例,上述信息处理方法还包括:
确定与上述客户端的客户端标识关联的初始安全密钥,以及与上述客户端标识关联的安全模组属性信息;
根据上述初始安全密钥对上述安全模组属性信息进行加密,得到中间安全密钥,其中,上述中间安全密钥包括第一部分中间安全密钥和第二部分中间安全密钥;
基于第一类型运算规则处理上述第一部分中间安全密钥和上述第二部分中间安全密钥,得到第三部分中间安全密钥;
基于第二类型运算规则处理上述第二部分中间安全密钥,得到第四部分中间安全密钥;
根据上述初始安全密钥对上述第三部分中间安全密钥和上述第四部分中间安全密钥进行加密运算,得到上述安全密钥。
根据本公的实施例,上述信息处理方法还包括:
从安全密钥集中确定与上述客户端的客户端标识关联的上述安全密钥。
根据本公的实施例,上述信息处理方法还包括:
在上述安全性验证结果表征验证通过的情况下,生成与上述交易请求对应的交易执行结果;
根据上述交易执行结果确定交易反馈报文;
向上述客户端发送所示交易反馈报文。
第三方面,本公开实施例提供了一种信息处理装置,应用于客户端,包括:
属性信息获取模块,用于在检测到交易操作的情况下,获取与上述交易操作相关的交易属性信息,其中,上述交易属性信息包括交易时间属性信息;
属性信息加密模块,用于根据安全密钥对上述交易时间属性信息进行加密,得到交易动态验证信息,其中,上述安全密钥为基于安全模组的安全模组属性信息确定的,上述客户端包含有上述安全模组;
验证信息生成模块,用于根据上述交易动态验证信息和与上述客户端相关的工作密钥,生成第一交易请求验证信息,上述工作密钥通过根密钥对工作密钥密文进行解密后得到,上述工作密钥密文从服务端获取到;
交易请求确定模块,用于确定包含有上述第一交易请求验证信息和上述交易属性信息的交易请求,上述第一交易请求验证信息适用于验证上述交易请求的安全性;
交易请求发送模块,用于向上述服务端发送上述交易请求。
根据本公的实施例,上述验证信息生成模块包括:
验证信息更新子模块,用于根据上述交易动态验证信息更新上述工作密钥,得到更新后的目标工作密钥;
属性信息加密子模块,用于根据上述目标工作密钥对上述交易属性信息进行加密,得到上述第一交易请求验证信息;
根据本公开的实施例,上述交易请求是根据上述第一交易请求验证信息和上述交易属性信息得到的。
根据本公的实施例,上述交易属性信息还包括与上述交易操作相关的交易随机编码信息:
其中,属性信息加密模块包括:
加密计算子模块,用于根据上述安全密钥对上述交易时间属性信息进行加密计算,得到中间安全密钥;
加密子模块,用于根据上述中间安全密钥对上述交易随机编码信息进行加密,得到上述交易动态验证信息。
根据本公的实施例,上述客户端与上述服务端分别存储有根密钥;
上述信息处理装置还包括:
工作密钥密文获取模块,用于从上述服务端获取工作密钥密文;
工作密钥密文解密模块,用于基于上述根密钥对上述工作密钥密文进行解密,得到上述工作密钥。
根据本公的实施例,还包括:从上述服务端获取与上述工作密钥相关的至少一个传输密钥密文;
其中,工作密钥密文解密模块包括:
传输密钥密文解密子模块,用于基于上述根密钥对至少一个上述传输密钥密文进行解密,得到至少一个传输密钥;
工作密钥密文解密子模块,用于基于至少一个上述传输密钥对上述工作密钥密文进行解密,得到上述工作密钥。
根据本公的实施例,上述交易属性信息还包括以下至少一项:
交易资源额度信息、客户端标识、与上述交易操作相关的交易账户信息。
第四方面,本公开实施例提供了一种信息处理装置,应用于服务端,包括:
第一确定模块,用于在获取到来自于客户端发送的交易请求的情况下,从上述交易请求中确定第一交易请求验证信息和交易属性信息,其中,上述交易属性信息包括交易时间属性信息;
第一加密模块,用于根据安全密钥对上述交易时间属性信息进行加密,得到交易动态验证信息,其中,上述安全密钥为基于安全模组的安全模组属性信息确定的,上述客户端包含有上述安全模组;
第一生成模块,用于根据上述交易动态验证信息和与上述客户端相关的工作密钥,生成第二交易请求验证信息;
第二确定模块,用于根据上述第一交易请求验证信息和上述第二交易请求验证信息之间的比对结果,确定上述交易请求的安全性验证结果。
根据本公的实施例,上述生成模块包括:
更新子模块,用于根据上述交易动态验证信息更新上述工作密钥,得到更新后的目标工作密钥;
加密子模块,用于根据上述目标工作密钥对上述交易属性信息进行加密,得到上述第二交易请求验证信息。
根据本公的实施例,上述交易属性信息还包括交易随机编码信息:
其中,上述加密模块包括:
第一计算子模块,用于根据上述安全密钥对上述交易时间属性信息进行加密计算,得到中间安全密钥;
第一加密子模块,用于根据上述中间安全密钥对上述交易随机编码信息进行加密,得到上述交易动态验证信息。
根据本公的实施例,上述交易属性信息还包括与上述交易操作相关的交易随机编码信息:
其中,上述加密模块包括:
第二计算子模块,用于根据上述安全密钥对上述交易时间属性信息进行加密计算,得到中间安全密钥;
第二加密子模块,用于根据上述中间安全密钥对上述交易随机编码信息进行加密,得到上述交易动态验证信息。
根据本公的实施例,还包括:
第三确定模块,用于确定与上述客户端的客户端标识关联的初始安全密钥,以及与上述客户端标识关联的安全模组属性信息;
第二加密模块,用于根据上述初始安全密钥对上述安全模组属性信息进行加密,得到中间安全密钥,其中,上述中间安全密钥包括第一部分中间安全密钥和第二部分中间安全密钥;
第一处理模块,用于基于第一类型运算规则处理上述第一部分中间安全密钥和上述第二部分中间安全密钥,得到第三部分中间安全密钥;
第二处理模块,用于基于第二类型运算规则处理上述第二部分中间安全密钥,得到第四部分中间安全密钥;
运算模块,用于根据上述初始安全密钥对上述第三部分中间安全密钥和上述第四部分中间安全密钥进行加密运算,得到上述安全密钥。
根据本公的实施例,还包括:
第四确定模块,用于从安全密钥集中确定与上述客户端的客户端标识关联的上述安全密钥。
根据本公的实施例,还包括:
第二生成模块,用于在上述安全性验证结果表征验证通过的情况下,生成与上述交易请求对应的交易执行结果;
第五确定模块,用于根据上述交易执行结果确定交易反馈报文;
发送模块,用于向上述客户端发送所示交易反馈报文。
第五方面,本公开实施例提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器执行实现如上上述的方法。
第六方面,本公开实施例提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时用于实现如上上述的方法。
第七方面,本公开实施例提供了一种计算机程序产品,包括计算机程序,上述计算机程序被处理器执行时用于实现如上上述的方法。
在本公开实施例中,客户端通过获取与交易相关的交易属性信息,根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息,并根据交易动态验证信息与客户端相关的工作密钥,生成第一交易请求验证信息,之后确定包含有第一交易请求验证信息和交易属性信息的交易请求,向服务端发送交易请求。由于客户端包含有安全模组,通过基于安全模组对应的安全密钥和交易时间属性信息来确定动态交易验证信息,并根据根密钥解密得到工作密钥和交易动态验证信息来生成第一交易请求验证信息,可确保即使在根密钥被泄露的情况下,也可以使用服务端及时地通过安全密钥和工作密钥来验证交易请求是否被篡改,通过提升交易信息的安全性,最终提升交易过程的安全性。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的一种信息处理方法及相应装置的示例性***架构;
图2示意性示出了根据本公开实施例应用于客户端的信息处理方法的流程示意图;
图3示意性示出了根据本公开实施例应用于服务端的信息处理方法的流程图;
图4示意性示出了根据本公开实施例应用于客户端的信息处理装置的结构框图;
图5示意性示出了根据本公开实施例应用于服务端的信息处理装置的结构框图;
图6示意性示出了根据本公开实施例的适于实现信息处理方法的电子设备的示意性框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。
在本公开的技术方案中,所涉及的数据(如包括但不限于用户个人信息)的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
发明人发现,POS终端可以利用对称密钥加密体系来完成交易,其中最关键的根密钥,一般是由金融机构终端应用程序调用厂商提供的设备服务接口,保存到硬件密码键盘中。由于设备服务接口由厂商封装好提供,金融机构无法确保接口内部是否有留存根密钥信息,从而技术上无法防止外部人员通过使用该一级根密钥远程伪造POS交易访问金融机构,对金融机构资金安全构成了一定的威胁。基于此,本公开的实施例提供了一种信息处理方法,可结合金融机构提供的PSAM卡加载到POS终端上,并利用POS终端内部密码键盘,形成POS终端安全模组,进而可以确保即使在根密钥被泄露的情况下,也可以使用服务端及时地通过安全密钥和工作密钥来验证交易请求是否被篡改,通过提高交易请求信息的安全性,最终提升交易过程的安全性。以下结合附图来详细描述本公开实施例。
本公开的实施例提供了信息处理方法、装置、设备、存储介质和计算机程序产品。该信息处理可以应用于客户端,包括:在检测到交易操作的情况下,获取与交易操作相关的交易属性信息,其中,交易属性信息包括交易时间属性信息;根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息,其中,安全密钥为基于安全模组的安全模组属性信息确定的,客户端包含有安全模组;根据交易动态验证信息和与客户端相关的工作密钥,生成第一交易请求验证信息,工作密钥通过根密钥对工作密钥密文进行解密后得到,工作密钥密文从服务端获取到;确定包含有第一交易请求验证信息和交易属性信息的交易请求,第一交易请求验证信息适用于验证交易请求的安全性;以及向服务端发送交易请求。
本公开的实施例还提供了可以应用于服务端的信息处理方法,包括:在获取到来自于客户端发送的交易请求的情况下,从交易请求中确定第一交易请求验证信息和交易属性信息,其中,交易属性信息包括交易时间属性信息;根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息,其中,安全密钥为基于安全模组的安全模组属性信息确定的,客户端包含有安全模组;根据交易动态验证信息和与客户端相关的工作密钥,生成第二交易请求验证信息;根据第一交易请求验证信息和第二交易请求验证信息之间的比对结果,确定交易请求的安全性验证结果。
图1示意性示出了根据本公开实施例的信息处理方法及装置的示例性***架构。需要注意的是,图1所示仅为可以应用本公开实施例的***架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、***、环境或场景。
如图1所示,根据该实施例的***架构100可以包括第一终端设备101、第二终端设备102、第三终端设备103,网络104和服务器105。网络104用以在第一终端设备101、第二终端设备102、第三终端设备103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线和/或无线通信链路等等。服务器105可以是提供各种服务的服务器,例如对用户利用第一终端设备101、第二终端设备102、第三终端设备103对业务***进行操作提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的目标操作等数据进行分析等处理,并将处理结果(例如根据用户操作获取或生成的信息、或数据等)反馈给终端设备。
服务器105或者还可以是包含有交易处理服务器1051和加密处理服务器1052的服务器集群。
用户可以使用第一终端设备101、第二终端设备102、第三终端设备103通过网络104与服务器105交互,以接收或发送消息等。第一终端设备101、第二终端设备102、第三终端设备103上可以安装有各种客户端应用,例如业务操作类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端和/或社交平台软件等(仅为示例)。
第一终端设备101、第二终端设备102、第三终端设备103可以是具有显示屏并且支持刷卡业务的各种电子设备,包括但不限于POS终端、智能手机、带通用分组无线业务的刷卡装置等等。
需要说明的是,本公开实施例所提供的应用于服务端的信息处理方法一般可以由服务器105执行。相应地,本公开实施例所提供的应用于服务端的信息处理装置一般可以设置于服务器105中。本公开实施例所提供的应用于服务端的信息处理方法也可以由不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的应用于服务端的信息处理装置也可以设置于不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群中。
或者,本公开实施例所提供的应用于客户端的信息处理方法也可以由第一终端设备101、第二终端设备102、第三终端设备103执行,或者也可以由不同于第一终端设备101、第二终端设备102、第三终端设备103的其他终端设备执行。相应地,本公开实施例所提供的应用于客户端的信息处理装置也可以设置于第一终端设备101、第二终端设备102、第三终端设备103中,或设置于不同于第一终端设备101、第二终端设备102、第三终端设备103的其他终端设备中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开实施例应用于客户端的信息处理方法的流程示意图。
如图2所示,应用于客户端的信息处理方法可包括操作S210~S250。
操作S210,在检测到交易操作的情况下,获取与交易操作相关的交易属性信息。
在一种可行的实施方式中,客户端可以是具有交易功能的电子设备,例如POS(Point of sales)终端、安装有交易应用的智能手机等等。交易属性信息包括交易时间属性信息。交易属性信息还可以包括交易金额、银行卡磁道信息、银行卡芯片数据、交易密码等等。
目前市场上广泛使用的银行卡,其上通常具有刷卡磁条或者IC卡,因此,POS(Point of sales)终端等设备的刷卡磁头,可以是针对于卡片磁条的磁头,也可以是针对IC卡的读卡器。从刷卡磁头获取银行卡信息后,获取交易操作产生的时刻,即交易属性信息。
在一种可行的实施方式中,客户端可以是银行卡刷卡设备,可主动发起签到交易至金融机构服务端,刷卡设备包括POS终端、刷卡手机、带通用分组无线业务的刷卡装置等,具体类型在此不做限制。
操作S220,根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息。
根据本公开的实施例,安全密钥为基于安全模组的安全模组属性信息确定的,客户端包含有安全模组。安全模组可以是安装于客户端中的PSAM(Purchase Secure AccessModule,销售点终端安全存取模块)。
在一种可行的实施方式中,POS终端通过获取传输密钥和工作密钥的密文信息,并传入至内部密码键盘,根据内部密码键盘中的根密钥明文通过3DES、SM4等算法解密传输密钥密文获取传输密钥明文,再使用传输密钥明文通过3DES、SM4等算法解密工作密钥密文获取工作密钥明文,传输密钥明文和工作密钥明文均保存在内部密码键盘中,外部应用不能直接读取。
在一种可行的实施方式中,安全密钥可以是PSAM卡的工作密钥。根据PSAM卡的工作密钥对具体交易时间进行加密操作,得到交易动态验证信息。其中,交易动态验证信息可以表征为交易动态码。
SAM卡(安全存取模块或安全应用模块)基于智能卡集成电路,用于增强设备(通常用于需要进行安全交易的设备,如支付终端)的安全性和密码学性能。SAM卡可用于加密计算和针对智能卡或非接触式EMV卡的安全认证。从物理上来说,SAM卡可以是***读卡器SAM插槽的SIM卡,也可以是直接焊接在印刷电路板上的固定集成电路。
PSAM卡在SAM卡的基础上,还具有计算功能,PSAM卡中增加了计算型密钥。例如,POS-T1支持刷卡功能,是计费支付型POS,有PSAM卡槽;而POS-T1N是简单的不带刷卡的支付型手持终端,配备了安全存取模块SAM卡槽。
在POS终端领域,有多款手持设备同时有SAM和SIM槽供用户使用。专业的POS一体机需要有支付安全认证,就必须要带有至少一个SAM/PSAM卡槽。带有支付认证的手持终端可以广泛用于商用POS,网点终端,直连终端等设备上,具有安全控制管理功能,支持多级发卡机制,适用于多应用环境。
在一种可行的实施方式中,PSAM卡序列号与POS终端的终端号在金融机构服务端建立绑定关系;PSAM卡从加密服务端获取PSAM卡3DES或SM4密钥保存到PSAM卡里;PSAM卡提供接口给POS终端调用,使用内置的3DES或SM4密钥与交易时间、随机数加密生成交易动态验证信息。
操作S230,根据交易动态验证信息和与客户端相关的工作密钥,生成第一交易请求验证信息。
根据本公开的实施例,工作密钥通过根密钥对工作密钥密文进行解密后得到,工作密钥密文从服务端获取到。
根密钥,也可以称之为终端主密钥(Terminal Master Key,TMK),POS终端工作时,对工作密钥进行加密的主密钥,加密保存在***数据库中,每台POS终端拥有唯一的TMK,必须要有安全保护,保证只能写入设备并参与计算,不能读取。POS终端一般是通过本地串口或者手工输入的方式接收根密钥明文信息,并调用内部密码键盘接口进行存储。
在一种可行的实施方式中,POS终端通过获取传输密钥和工作密钥的密文信息,并传入至内部密码键盘,根据内部密码键盘中的根密钥明文通过3DES、SM4等算法解密传输密钥密文获取传输密钥明文,再使用传输密钥明文通过3DES、SM4等算法解密工作密钥密文获取工作密钥明文,传输密钥明文和工作密钥明文均保存在内部密码键盘中,外部应用不能直接读取。内部密码键盘(PIN PAD)是对各种金融交易相关的密钥进行安全存储保护,以及对PIN进行加密保护的安全设备。工作密钥(working key,WK),也可以称之为数据密钥,通常包括PIN加密密钥和报文鉴别MAC计算的密钥,工作密钥可以经常更新,在联机更新的报文中用根密钥对工作密钥进行加密,形成密文后再进行传输。
个人标识码(Personal Identification Number,PIN),即个人密码,是在联机交易中识别持卡人身份合法性的数据信息,在计算机和网络***中任何环节都不允许以明文的方式出现。
操作S240,确定包含有第一交易请求验证信息和交易属性信息的交易请求。
根据本公开的实施例,第一交易请求验证信息适用于验证交易请求的安全性。交易请求信息包含交易金额、交易时间、终端号、银行卡磁道、芯片数据、密码、随机数、报文MAC等信息。
操作S250,向服务端发送交易请求。
在一种可行的实施方式中,服务端既可以是金融机构交易处理服务器和加密服务器的服务器集群,也可以是单个交易处理服务器或者单个加密服务器,以满足服务端交易处理以及加密处理为标准,具体服务器类型在此不做限制。
根据本公开的实施例,通过基于安全模组对应的安全密钥和交易时间属性信息来确定交易动态验证信息,并根据根密钥解密得到的工作密钥和交易动态验证信息来生成第一交易请求验证信息,可以在根密钥被泄露的情况下,使用服务端及时地通过安全密钥和工作密钥来验证交易请求是否被篡改,从而提升交易请求信息的安全性,可以提升交易过程的安全属性。
根据本公开的实施例,应用于客户端的信息处理方法,其中客户端与服务端分别存储有根密钥。
根据本公开的实施例,应用于客户端的信息处理方法还包括:从服务端获取工作密钥密文;以及基于根密钥对工作密钥密文进行解密,得到工作密钥。
在一种可行的实施方式中,客户端根据根密钥和获取的工作密钥密文,得到工作密钥,该工作密钥是以明文方式出现。
根据本公开的实施例,从服务端获取与工作密钥相关的至少一个传输密钥密文;其中,基于根密钥对工作密钥密文进行解密,得到工作密钥包括:基于根密钥对至少一个传输密钥密文进行解密,得到至少一个传输密钥;以及基于至少一个传输密钥对工作密钥密文进行解密,得到工作密钥。
在一种可行的实施方式中,传输密钥(Transmission Key,TK)可以是由传输加密密钥TEK和双向认证密钥AUK组成的。
根据本公开的实施例,其中,根据交易动态验证信息和与交易操作相关的工作密钥,生成第一交易请求验证信息包括:根据交易动态验证信息更新工作密钥,得到更新后的目标工作密钥;根据目标工作密钥对交易属性信息进行加密,得到第一交易请求验证信息。
根据本公开的实施例,交易请求是根据第一交易请求验证信息和交易属性信息得到的。交易操作相关的工作密钥可以是PIN加密密钥和报文鉴别MAC计算的密钥。
在一种可行的实施方式中,交易属性信息包括但不限于交易金额、交易时间、终端号、银行卡磁道、芯片数据、密码、随机数以及报文MAC等信息,其中,交易金额、交易时间、终端号以明文方式出现,银行卡磁道、芯片数据、密码等以密文方式出现。
在一种可行的实施方式中,根据交易动态验证信息与POS终端的工作密钥,生成交易请求验证信息,该交易请求验证信息表征为第一交易请求验证信息,该验证信息可以显示为扣款请求报文,POS终端通过调用内部密码键盘接口和PSAM卡接口计算请求报文MAC。
在一种可行的实施方式中,计算请求报文MAC可采用如下方法:生成不可预知随机数,并根据当前交易时间调用PSAM卡提供的接口获取交易动态验证信息,再把完整报文、交易动态验证信息传入至内部密码键盘中,使用内部密码键盘中的工作密钥与交易动态验证信息进行异或得到新的工作密钥,再使用新的工作密钥对完整报文进行3DES ANSI X9.19或SM4 ANSI X9.9运算得到报文MAC。
根据本公开的实施例,交易属性信息还包括与交易操作相关的交易随机编码信息。
根据本公开的实施例,根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息,包括:根据安全密钥对交易时间属性信息进行加密计算,得到中间安全密钥;以及根据中间安全密钥对交易随机编码信息进行加密,得到交易动态验证信息。
在一种可行的实施方式中,加密计算的方法包括:使用内置的3DES或者SM4密钥对交易时刻(交易时间属性信息)进行加密,所得到的计算结果即为中间安全密钥。其中,3DES也称为3DESede或TripleDES,是三重数据加密算法,密钥长度为3*8=24字节。SM4为无线局域网标准的分组数据算法,对称加密,密钥长度和分组长度均为128位。应该说明的是,本公开中的采用的加密方式,可以是对称加密方式,即使用单密钥进行加密和解密,也可以是非对称加密方式,即使用公开密钥和私有密钥进行加密和解密,具体方式在此不限制。
根据本公开的实施例,根据交易时间属性信息得到中间安全密钥,再根据中间安全密钥来对交易随机编码信息进行加密,可以在安全密钥即使泄露的情况下,仍然难以对交易动态验证信息进行解密,从而可以提升数据传输的安全属性。
对称密钥:发送和接收数据的双方使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括:DES、3DES、IDEA、FEAL、BLOWFISH等。
非对称密钥:非对称加密算法需要两个密钥:公开密钥(私钥Public key)和私有密钥(公钥Private key)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方可以使用乙方的公钥对机密信息进行加密后再发送给乙方;乙方再用自己的私匙对加密后的信息进行解密。主要算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。
根据本公开的实施例,交易属性信息还包括以下至少一项:交易资源额度信息、客户端标识、与交易操作相关的交易账户信息。
在一种可行的实施方式中,客户端标识可以是POS终端标识信息,例如,商户号和终端号。在实际操作中,服务端根据POS终端标识信息对应的交易信息,确定交易信息中的应用标识在预设的映射关系表中,映射关系表为每个POS终端标识信息和每个POS终端中的应用标识之间的不应关系表。
具体的,服务端会在每个POS终端入网时,获取每个POS终端中含有的应用程序客户端,因为不同的应用程序客户端分别对应各自应用标识信息,将每个POS终端表示信息和该POS终端中的应用程序客户端的应用标识信息建立绑定关系。
图3示意性示出了根据本公开实施例应用于服务端的信息处理方法的流程示意图。
如图3所示,应用于服务端的信息处理方法可以包括如下操作S310~S340。
操作S310,在获取到来自于客户端发送的交易请求的情况下,从交易请求中确定第一交易请求验证信息和交易属性信息。
根据本公开的实施例,交易属性信息包括交易时间属性信息。
操作S320,根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息。
根据本公开的实施例,安全密钥为基于安全模组的安全模组属性信息确定的,客户端包含有安全模组。
操作S330,根据交易动态验证信息和与客户端相关的工作密钥,生成第二交易请求验证信息。
操作S340,根据第一交易请求验证信息和第二交易请求验证信息之间的比对结果,确定交易请求的安全性验证结果。
根据本公开的实施例,服务端的工作内容包括:维护POS终端的终端号与PSAM卡的序列号的绑定关系;接收POS终端的签到交易请求,调用加密处理服务器接口生成传输密钥密文和工作密钥密文并返回给POS终端;接收POS终端的银行卡交易扣款请求,通过调用加密处理服务器接口完成报文MAC校验,校验通过后完成银行卡账务处理,并返回应答给POS终端。
根据本公开的实施例,服务端的加密处理服务器主要用于生成、存储POS终端和PSAM卡的相关工作密钥,并提供对应密钥的加解密服务,具体到实际操作中,包括:生成、存储根密钥明文;生成、存储传输密钥明文,并根据根密钥明文通过3DES、SM4等算法加密传输密钥明文输出传输密钥密文给服务端的交易处理服务器;生成、存储工作密钥明文,并根据传输密钥明文通过3DES、SM4等算法加密工作密钥明文输出工作密钥密文给交易处理服务器;生成、存储PSAM卡的初始密钥,并分散生成工作密钥至PSAM卡中进行存储;以及提供报文MAC校验服务。
在一种可行的实施方式中,在校验报文MAC前,服务端可对报文中的POS终端交易时间与当前服务器时间进行比较,如果绝对值大于一定的阈值,如5分钟,可拒绝交易。
在一种可行的实施方式中,报文MAC校验方法包括:根据PSAM卡的初始安全密钥对PSAM卡的卡序列号进行3DES或SM4加密得到首次加密结果,首次加密结果的左半部分与右部分进行异或作为下一次加密数据的左半部分,首次加密结果的右半部分取反作为下一次加密数据的右半部分,使用初始密钥对下一次加密数据进行3DES或SM4加密得到最终PSAM卡的安全密钥,使用PSAM卡的安全密钥对报文中的交易时间进行加密,所得到的结果作为下一阶段密钥对报文中的随机数进行加密,从而最终得到交易动态验证信息;使用工作密钥与交易动态验证信息进行异或得到新的工作密钥,再使用新的工作密钥对完整报文进行3DES ANSI X9.19或SM4 ANSI X9.9运算得到报文MAC,最后与POS终端上送的报文MAC进行对比,如果一致,则校验通过,否则校验失败。
在一种可行的实施方式中,PSAM卡密钥的生成包括:先随机生成PSAM卡的3DES或SM4初始安全密钥,使用初始安全密钥对PSAM卡的卡序列号进行3DES或SM4加密得到首次加密结果,首次加密结果的左半部分与右部分进行异或作为下一次加密数据的左半部分,首次加密结果的右半部分取反作为下一次加密数据的右半部分,最后使用初始安全密钥对下一次加密数据进行3DES或SM4加密得到最终PSAM卡安全密钥,将该安全密钥发送至PSAM卡进行存储。
根据本公开的实施例,根据交易动态验证信息和与客户端相关的工作密钥,生成第二交易请求验证信息包括:根据交易动态验证信息更新工作密钥,得到更新后的目标工作密钥;根据目标工作密钥对交易属性信息进行加密,得到第二交易请求验证信息。
根据本公开的实施例,交易属性信息还包括交易随机编码信息:其中,根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息包括:根据安全密钥对交易时间属性信息进行加密计算,得到中间安全密钥;以及根据中间安全密钥对交易随机编码信息进行加密,得到交易动态验证信息。
根据本公开的实施例,交易属性信息还包括与交易操作相关的交易随机编码信息:其中,根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息包括:根据安全密钥对交易时间属性信息进行加密计算,得到中间安全密钥;以及根据中间安全密钥对交易随机编码信息进行加密,得到交易动态验证信息。
根据本公开的实施例,应用于服务端信息处理方法还可以包括:确定与客户端的客户端标识关联的初始安全密钥,以及与客户端标识关联的安全模组属性信息。
根据本公开的实施例,,初始安全密钥为PSAM卡的初始安全密钥,其与POS终端的终端号相关联,初始安全密钥可以通过随机生成,例如终端设备向PSAM卡发送取随机数命令,得到一个生成的随机数;根据初始安全密钥对安全模组属性信息进行加密,得到中间安全密钥,其中,中间安全密钥包括第一部分中间安全密钥和第二部分中间安全密钥;基于第一类型运算规则处理第一部分中间安全密钥和第二部分中间安全密钥,得到第三部分中间安全密钥;基于第二类型运算规则处理第二部分中间安全密钥,得到第四部分中间安全密钥;根据初始安全密钥对第三部分中间安全密钥和第四部分中间安全密钥进行加密运算,得到安全密钥。
在一种可行的实施方式中,第一类型运算规则可以是使用首次加密结果的左半部分(第一部分中间安全密钥)与右半部分(第二部分中间安全密钥)进行异或计算,作为下一次加密数据的左半部分(第三部分中间安全密钥)。第二类型运算规则可以是利用首次加密结果的右半部分(第二部分中间安全密钥)进行取反计算,得到第四部分中间安全密钥。根据初始安全密钥对第三部分中间安全密钥和第四部分中间安全密钥进行加密运算,可以得到安全密钥。
在一种可行的实施方式中,加密运算的方法包括但不限于3DES、SM4等加密算法。
根据本公开的实施例,可以在安全密钥生成后删除安全密钥,以避免安全密钥被泄露。每进行一次交易操作,都基于初始安全密钥来生成PSAM卡的安全密钥,以避免安全密钥被泄露。
根据本公开的实施例,应用于服务端的信息处理方法还可以包括:从安全密钥集中确定与客户端的客户端标识关联的安全密钥。
根据本公开的实施例,安全密钥集可以是提前生成的,与每个PSAM卡序列号相对应的安全密钥,并存储于服务端。通过在服务端存储安全密钥,可提升交易操作的效率。
根据本公开的实施例,应用于服务端的信息处理方法还可以包括:在安全性验证结果表征验证通过的情况下,生成与交易请求对应的交易执行结果;根据交易执行结果确定交易反馈报文;以及向客户端发送所示交易反馈报文。
在一种可行的实施方式中,根据安全性验证结果是否验证通过,生成对应的交易执行结果,如果验证通过,则可以根据交易请求中的交易属性信息完成交易,并向客户端发送交易反馈报文,否则交易失败。
图4示意性示出了根据本公开实施例的应用于客户端的信息处理装置的结构框图。
如图4所示,本公开实施例提供的信息处理装置400包括:属性信息获取模块410、属性信息加密模块420、验证信息生成模块430、交易请求确定模块440以及交易请求发送模块450。
属性信息获取模块410,用于在检测到交易操作的情况下,获取与交易操作相关的交易属性信息。
根据本公开的实施例,交易属性信息包括交易时间属性信息。
属性信息加密模块420,用于根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息。
根据本公开的实施例,安全密钥为基于安全模组的安全模组属性信息确定的,客户端包含有安全模组。
验证信息生成模块430,用于根据交易动态验证信息和与客户端相关的工作密钥,生成第一交易请求验证信息,工作密钥通过根密钥对工作密钥密文进行解密后得到,工作密钥密文从服务端获取到。
交易请求确定模块440,用于确定包含有第一交易请求验证信息和交易属性信息的交易请求,第一交易请求验证信息适用于验证交易请求的安全性。
交易请求发送模块450,用于向服务端发送交易请求。
根据本公开的实施例,验证信息生成模块包括:验证信息更新子模块和交易属性信息加密子模块。
验证信息更新子模块,用于根据交易动态验证信息更新工作密钥,得到更新后的目标工作密钥。
交易属性信息加密子模块,用于根据目标工作密钥对交易属性信息进行加密,得到第一交易请求验证信息。
根据本公开的实施例,交易请求是根据第一交易请求验证信息和交易属性信息得到的。
根据本公开的实施例,交易属性信息还包括与交易操作相关的交易随机编码信息:其中,属性信息加密模块包括:加密计算子模块和加密子模块。
加密计算子模块,用于根据安全密钥对交易时间属性信息进行加密计算,得到中间安全密钥。
加密子模块,用于根据中间安全密钥对交易随机编码信息进行加密,得到交易动态验证信息。
根据本公开的实施例,客户端与服务端分别存储有根密钥;信息处理装置还包括:工作密钥密文获取模块和工作密钥密文解密模块。
工作密钥密文获取模块,用于从服务端获取工作密钥密文。
工作密钥密文解密模块,用于基于根密钥对工作密钥密文进行解密,得到工作密钥。
根据本公开的实施例,从服务端获取与工作密钥相关的至少一个传输密钥密文;其中,工作密钥密文解密模块包括:传输密钥密文解密子模块和工作密钥密文解密子模块。
传输密钥密文解密子模块,用于基于根密钥对至少一个传输密钥密文进行解密,得到至少一个传输密钥。
工作密钥密文解密子模块,用于基于至少一个传输密钥对工作密钥密文进行解密,得到工作密钥。
根据本公开的实施例,交易属性信息还包括以下至少一项:交易资源额度信息、客户端标识、与交易操作相关的交易账户信息。
图5示意性示出了根据本公开实施例应用于服务端的信息处理装置的结构框图。
如图5所示,本公开实施例提供的服务端信息处理装置500包括:第一确定模块510、第一加密模块520、第一生成模块530、第二确定模块540。
第一确定模块510,用于在获取到来自于客户端发送的交易请求的情况下,从交易请求中确定第一交易请求验证信息和交易属性信息,其中,交易属性信息包括交易时间属性信息。
第一加密模块520,用于根据安全密钥对交易时间属性信息进行加密,得到交易动态验证信息,其中,安全密钥为基于安全模组的安全模组属性信息确定的,客户端包含有安全模组。
第一生成模块530,用于根据交易动态验证信息和与客户端相关的工作密钥,生成第二交易请求验证信息。
第二确定模块540,用于根据第一交易请求验证信息和第二交易请求验证信息之间的比对结果,确定交易请求的安全性验证结果。
根据本公开的实施例,生成模块包括:更新子模块和加密子模块。
更新子模块,用于根据交易动态验证信息更新工作密钥,得到更新后的目标工作密钥。
加密子模块,用于根据目标工作密钥对交易属性信息进行加密,得到第二交易请求验证信息。
根据本公开的实施例,交易属性信息还包括交易随机编码信息:其中,加密模块包括:第一计算子模块和第一加密子模块。
第一计算子模块,用于根据安全密钥对交易时间属性信息进行加密计算,得到中间安全密钥。
第一加密子模块,用于根据中间安全密钥对交易随机编码信息进行加密,得到交易动态验证信息。
根据本公开的实施例,交易属性信息还包括与交易操作相关的交易随机编码信息:其中,加密模块包括:第二计算子模块和第二加密子模块。
第二计算子模块,用于根据安全密钥对交易时间属性信息进行加密计算,得到中间安全密钥。
第二加密子模块,用于根据中间安全密钥对交易随机编码信息进行加密,得到交易动态验证信息。
根据本公开的实施例,还包括:第三确定模块、第二加密模块、第一处理模块、第二处理模块和运算模块。
第三确定模块,用于确定与客户端的客户端标识关联的初始安全密钥,以及与客户端标识关联的安全模组属性信息。
第二加密模块,用于根据初始安全密钥对安全模组属性信息进行加密,得到中间安全密钥,其中,中间安全密钥包括第一部分中间安全密钥和第二部分中间安全密钥。
第一处理模块,用于基于第一类型运算规则处理第一部分中间安全密钥和第二部分中间安全密钥,得到第三部分中间安全密钥。
第二处理模块,用于基于第二类型运算规则处理第二部分中间安全密钥,得到第四部分中间安全密钥。
运算模块,用于根据初始安全密钥对第三部分中间安全密钥和第四部分中间安全密钥进行加密运算,得到安全密钥。
根据本公开的实施例,还包括:第四确定模块,用于从安全密钥集中确定与客户端的客户端标识关联的安全密钥。
根据本公开的实施例,还包括:第二生成模块和第五确定模块。
第二生成模块,用于在安全性验证结果表征验证通过的情况下,生成与交易请求对应的交易执行结果。
第五确定模块,用于根据交易执行结果确定交易反馈报文;发送模块,用于向客户端发送所示交易反馈报文。
根据本公开的实施例,客户端信息处理装置400中的属性信息获取模块410、属性信息加密模块420、验证信息生成模块430、交易请求确定模块440以及交易请求发送模块450中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,属性信息获取模块410、属性信息加密模块420、验证信息生成模块430、交易请求确定模块440以及交易请求发送模块450中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,属性信息获取模块410、属性信息加密模块420、验证信息生成模块430、交易请求确定模块440以及交易请求发送模块450中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。需要说明的是,服务端信息处理装置500包括:第一确定模块510、第一加密模块520、第一生成模块530、第二确定模块540,也适用于上述说明内容,此处不再进行赘述。
图6示意性示出了根据本公开实施例的适于实现信息处理方法的电子设备的方框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其他适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、可穿戴设备和其他类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为实例,并且不意在限制文本中描述的和/或者要求的本公开的实现。
如图6所示,电子设备600包括计算单元601,其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序,来执行各种适当的动作和处理。在RAM603中,还可存储电子设备600操作所需的各种程序和数据。计算单元601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
电子设备600中的多个部件连接至输入/输出(I/O)接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器,扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许电子设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各种方法和处理,例如信息处理方法。例如,在一些实施例中,信息处理方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM602和/或者通信单元609而被载入和/或安装到电子设备600上。当计算机程序加载到RAM603并由计算单元601执行时,可以执行上文描述的信息处理方法的一个或多个操作。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行信息处理方法。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有用户界面或者网络浏览器的用户计算机,用户可以通过该用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以是分布式***的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除操作。例如,本发公开中记载的各操作可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (18)

1.一种信息处理方法,应用于客户端,包括:
在检测到交易操作的情况下,获取与所述交易操作相关的交易属性信息,其中,所述交易属性信息包括交易时间属性信息;
根据安全密钥对所述交易时间属性信息进行加密,得到交易动态验证信息,其中,所述安全密钥为基于安全模组的安全模组属性信息确定的,所述客户端包含有所述安全模组;
根据所述交易动态验证信息和与所述客户端相关的工作密钥,生成第一交易请求验证信息,所述工作密钥通过根密钥对工作密钥密文进行解密后得到,所述工作密钥密文从服务端获取到;
确定包含有所述第一交易请求验证信息和所述交易属性信息的交易请求,所述第一交易请求验证信息适用于验证所述交易请求的安全性;以及
向所述服务端发送所述交易请求。
2.根据权利要求1所述的方法,其中,所述根据所述交易动态验证信息和与所述交易操作相关的工作密钥,生成第一交易请求验证信息包括:
根据所述交易动态验证信息更新所述工作密钥,得到更新后的目标工作密钥;
根据所述目标工作密钥对所述交易属性信息进行加密,得到所述第一交易请求验证信息;
其中,所述交易请求是根据所述第一交易请求验证信息和所述交易属性信息得到的。
3.根据权利要求1所述的方法,其中,所述交易属性信息还包括与所述交易操作相关的交易随机编码信息:
其中,所述根据安全密钥对所述交易时间属性信息进行加密,得到交易动态验证信息包括:
根据所述安全密钥对所述交易时间属性信息进行加密计算,得到中间安全密钥;以及
根据所述中间安全密钥对所述交易随机编码信息进行加密,得到所述交易动态验证信息。
4.根据权利要求1所述的方法,其中,所述客户端与所述服务端分别存储有根密钥;
所述信息处理方法还包括:
从所述服务端获取工作密钥密文;以及
基于所述根密钥对所述工作密钥密文进行解密,得到所述工作密钥。
5.根据权利要求4所述的方法,还包括:从所述服务端获取与所述工作密钥相关的至少一个传输密钥密文;
其中,所述基于所述根密钥对所述工作密钥密文进行解密,得到所述工作密钥包括:
基于所述根密钥对至少一个所述传输密钥密文进行解密,得到至少一个传输密钥;以及
基于至少一个所述传输密钥对所述工作密钥密文进行解密,得到所述工作密钥。
6.根据权利要求1至5中任一项所述的方法,其中,所述交易属性信息还包括以下至少一项:
交易资源额度信息、客户端标识、与所述交易操作相关的交易账户信息。
7.一种信息处理方法,应用于服务端,包括:
在获取到来自于客户端发送的交易请求的情况下,从所述交易请求中确定第一交易请求验证信息和交易属性信息,其中,所述交易属性信息包括交易时间属性信息;
根据安全密钥对所述交易时间属性信息进行加密,得到交易动态验证信息,其中,所述安全密钥为基于安全模组的安全模组属性信息确定的,所述客户端包含有所述安全模组;
根据所述交易动态验证信息和与所述客户端相关的工作密钥,生成第二交易请求验证信息;
根据所述第一交易请求验证信息和所述第二交易请求验证信息之间的比对结果,确定所述交易请求的安全性验证结果。
8.根据权利要求7所述的方法,其中,所述根据所述交易动态验证信息和与所述客户端相关的工作密钥,生成第二交易请求验证信息包括:
根据所述交易动态验证信息更新所述工作密钥,得到更新后的目标工作密钥;
根据所述目标工作密钥对所述交易属性信息进行加密,得到所述第二交易请求验证信息。
9.根据权利要求7所述的方法,其中,所述交易属性信息还包括交易随机编码信息:
其中,所述根据安全密钥对所述交易时间属性信息进行加密,得到交易动态验证信息包括:
根据所述安全密钥对所述交易时间属性信息进行加密计算,得到中间安全密钥;以及
根据所述中间安全密钥对所述交易随机编码信息进行加密,得到所述交易动态验证信息。
10.根据权利要求7所述的方法,其中,所述交易属性信息还包括与所述交易操作相关的交易随机编码信息:
其中,所述根据安全密钥对所述交易时间属性信息进行加密,得到交易动态验证信息包括:
根据所述安全密钥对所述交易时间属性信息进行加密计算,得到中间安全密钥;以及
根据所述中间安全密钥对所述交易随机编码信息进行加密,得到所述交易动态验证信息。
11.根据权利要求7所述的方法,还包括:
确定与所述客户端的客户端标识关联的初始安全密钥,以及与所述客户端标识关联的安全模组属性信息;
根据所述初始安全密钥对所述安全模组属性信息进行加密,得到中间安全密钥,其中,所述中间安全密钥包括第一部分中间安全密钥和第二部分中间安全密钥;
基于第一类型运算规则处理所述第一部分中间安全密钥和所述第二部分中间安全密钥,得到第三部分中间安全密钥;
基于第二类型运算规则处理所述第二部分中间安全密钥,得到第四部分中间安全密钥;
根据所述初始安全密钥对所述第三部分中间安全密钥和所述第四部分中间安全密钥进行加密运算,得到所述安全密钥。
12.根据权利要求7所述的方法,还包括:
从安全密钥集中确定与所述客户端的客户端标识关联的所述安全密钥。
13.根据权利要求7所述的方法,还包括:
在所述安全性验证结果表征验证通过的情况下,生成与所述交易请求对应的交易执行结果;
根据所述交易执行结果确定交易反馈报文;以及
向所述客户端发送所示交易反馈报文。
14.一种信息处理装置,应用于客户端,包括:
属性信息获取模块,用于在检测到交易操作的情况下,获取与所述交易操作相关的交易属性信息,其中,所述交易属性信息包括交易时间属性信息;
属性信息加密模块,用于根据安全密钥对所述交易时间属性信息进行加密,得到交易动态验证信息,其中,所述安全密钥为基于安全模组的安全模组属性信息确定的,所述客户端包含有所述安全模组;
验证信息生成模块,用于根据所述交易动态验证信息和与所述客户端相关的工作密钥,生成第一交易请求验证信息,所述工作密钥通过根密钥对工作密钥密文进行解密后得到,所述工作密钥密文从服务端获取到;
交易请求确定模块,用于确定包含有所述第一交易请求验证信息和所述交易属性信息的交易请求,所述第一交易请求验证信息适用于验证所述交易请求的安全性;
交易请求发送模块,用于向所述服务端发送所述交易请求。
15.一种信息处理装置,应用于服务端,包括:
第一确定模块,用于在获取到来自于客户端发送的交易请求的情况下,从所述交易请求中确定第一交易请求验证信息和交易属性信息,其中,所述交易属性信息包括交易时间属性信息;
第一加密模块,用于根据安全密钥对所述交易时间属性信息进行加密,得到交易动态验证信息,其中,所述安全密钥为基于安全模组的安全模组属性信息确定的,所述客户端包含有所述安全模组;
第一生成模块,用于根据所述交易动态验证信息和与所述客户端相关的工作密钥,生成第二交易请求验证信息;
第二确定模块,用于根据所述第一交易请求验证信息和所述第二交易请求验证信息之间的比对结果,确定所述交易请求的安全性验证结果。
16.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~13中任一项所述的方法。
17.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~13中任一项所述的方法。
18.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~13中任一项所述的方法。
CN202310699664.0A 2023-06-13 2023-06-13 一种信息处理方法、装置、设备及存储介质 Pending CN116823257A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310699664.0A CN116823257A (zh) 2023-06-13 2023-06-13 一种信息处理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310699664.0A CN116823257A (zh) 2023-06-13 2023-06-13 一种信息处理方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116823257A true CN116823257A (zh) 2023-09-29

Family

ID=88128563

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310699664.0A Pending CN116823257A (zh) 2023-06-13 2023-06-13 一种信息处理方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116823257A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117252599A (zh) * 2023-11-17 2023-12-19 深圳合纵富科技有限公司 智能pos机双重安全认证方法及***

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117252599A (zh) * 2023-11-17 2023-12-19 深圳合纵富科技有限公司 智能pos机双重安全认证方法及***
CN117252599B (zh) * 2023-11-17 2024-03-15 深圳合纵富科技有限公司 智能pos机双重安全认证方法及***

Similar Documents

Publication Publication Date Title
AU2021203184B2 (en) Transaction messaging
US11240219B2 (en) Hybrid integration of software development kit with secure execution environment
US11068608B2 (en) Mutual authentication of software layers
CN108027926B (zh) 基于服务的支付的认证***和方法
CN107925572B (zh) 软件应用程序到通信装置的安全绑定
US11397946B2 (en) Systems and methods for merchant mobile acceptance
CN113014400B (zh) 用户和移动装置的安全认证
JP6701431B2 (ja) セキュアチャネルの確立
CN105453483B (zh) 用于基于图像的密钥导出的方法和装置
CN117579281A (zh) 用于使用区块链的所有权验证的方法和***
US10965465B2 (en) Systems and methods for cryptographic authentication of contactless cards
CN109064324A (zh) 基于联盟链的交易方法、电子装置及可读存储介质
EP3540671A1 (en) Systems and methods for software based encryption
CN105684346A (zh) 确保移动应用和网关之间空中下载通信安全的方法
CN116823257A (zh) 一种信息处理方法、装置、设备及存储介质
US11379849B2 (en) Security for contactless transactions
CN109741050B (zh) 延长金融ic卡使用期限的方法以及相关方法和装置
Jayasinghe et al. Extending emv tokenised payments to offline-environments
US12051064B2 (en) Transaction messaging
US20200167774A1 (en) Systems and methods for optimized retail message authentication code processing
CN117221002A (zh) 一种目标端口确定方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination