安全连接支付方法及其装置制造方法
【专利摘要】本发明涉及智能终端设备安全支付技术,公开一种安全连接支付方法,包括以下步骤:确定特定支付场景被启动;建立基于虚拟专网协议的通信隧道,供所述支付场景进行数据传输;当所述通信隧道不复存在时,退出所述支付场景。与现有技术相比,本发明通过智能化识别移动终端的支付场景的启动状态,准确且高效地为移动终端的支付功能提前建立基于虚拟专网的通信隧道,确保与支付相关的数据通过该通信隧道进行安全传输,从而保证支付安全。
【专利说明】安全连接支付方法及其装置
【技术领域】
[0001] 本发明涉及智能终端设备安全支付技术,尤其涉及一种安全连接支付方法及其相 应的装置。
【背景技术】
[0002] 伴随互联网安全技术的发展,移动支付已经在电子交易行为中已经司空见惯。例 如,CN104021467A号专利公告,公开了一种保护移动终端支付安全的方法,通过应用该方 法,可以大大提高移动终端进行移动支付的安全级别。可以看出,移动支付的安全技术,不 仅涉及网络和系统安全,也涉及到终端安全。该方案虽然给出了实现终端安全的详细技术 方案,可以进行相对安全的网络支付,但是,实践中,仍有大量的安全案例进一步提示安全 技术的提高永无止境,而其中涉及通信链路的安全维护是必不可少的一个环节。
[0003] 目前存在的大量移动支付应用,包括微信、支付宝等知名移动终端,受限于其属于 应用层面的事实,难以触及操作系统底层防护,因此,虽然在应用本身增加了大量的防护措 施,但对于外部属于系统层面的安全技术却显得无能为力,于是,做好底层安全防护的重任 便需由第三方安全应用来实现。
[0004] 第三方安全应用着重于保护移动支付的通信安全,具体而言,时下大量的木马程 序可以通过连接公共WiFi接入点来实现潜伏,在用户利用移动终端接入该接入点之后,截 获该移动终端通过该接入点发送的数据流,然后对其中的通信数据进行分析,非法窃取其 中涉及移动支付的账号和密码、验证码等与安全有关的数据,进一步破译这些数据,便可获 得足以实施账户盗窃的材料,铤而走险窃取资金,使该移动终端的用户受害。
[0005] 因此,重视移动支付技术的通信安全,是确保移动支付安全的关键一环,需要提 供相应的技术措施对此加以防范。
【发明内容】
[0006] 本发明的目的在于提供一种安全连接支付方法,以确保移动支付时的通信安全, 相应的,为该方法提供一种便于实施的装置。
[0007] 为实现本发明的目的,本发明采取如下技术方案:
[0008] 本发明的一种安全连接支付方法,包括以下步骤:
[0009] 确定特定支付场景被启动;
[0010] 建立基于虚拟专网协议的通信隧道,供所述支付场景进行数据传输;
[0011] 当所述通信隧道不复存在时,退出所述支付场景。
[0012] 为了最大程度减少对用户操作的干预,优选通过确定所述支付场景的活动界面被 调用而确定该支付场景被启动。
[0013] 具体而言,所述支付场景包括一个或多个活动界面,通过对所述活动界面的关键 特征进行判断,确定是否已进入所述支付场景,此举可提高对支付场景中与支付有关的操 作进行识别的精准度。
[0014] 相应的,为了提高程序执行效率,优选所述通信隧道仅用于传输所述支付场景所 包含的用于执行支付指令的活动界面的数据。
[0015] 为便于程序实现,所述每个活动界面,对应一个可执行的活动组件。
[0016] 为提高识别用于支付的活动界面的命中率,本发明揭示的一种实施例中,建立所 述通信隧道之前,所述活动界面已经处于激活状态。
[0017] 为提高及时响应效果,本发明揭示的另一实施例中,建立所述通信隧道之前,所述 活动界面处于非激活状态,建立所述通信隧道之后,所述活动界面处于激活状态。
[0018] 为增强人机交互效果,建立所述通信隧道之前,弹框询问是否建立该通信隧道,以 用户选定为依据决定是否建立所述通信隧道。
[0019] 较佳的,所述通信隧道采用PPTP、L2TP、IPSEC中任意一种协议实现。
[0020] 为进一步提高安全性,当所述通信隧道中断时,先退出已经激活的用于执行支付 指令的活动界面,再退出所述支付场景。
[0021] 考虑到移动终端网络接入场景的多样化,较佳的,仅对被判定为公共网络接入点 的当前连接建立所述的通信隧道。
[0022] 本发明相应提供的安全连接支付装置,其包括:
[0023] 检测单元,用于确定特定支付场景被启动;
[0024] 维护单元,用于建立基于虚拟专网协议的通信隧道,供所述支付场景进行数据传 输;
[0025] 清场单元,当所述通信隧道不复存在时,用于退出所述支付场景。
[0026] 相较于现有技术,本发明至少具有如下优点:
[0027] 1、通过智能化识别移动终端的支付场景的启动状态,准确且高效地为移动终端的 支付功能提前建立基于虚拟专网的通信隧道,确保与支付相关的数据通过该通信隧道进行 安全传输,从而保证支付安全。
[0028] 2、通过进一步将支付场景的识别具体到其活动界面,也即对应到其活动组件,增 强识别的智能化程度,免除对用户操作的不必要的弹框骚扰,使应用程序的服务功能更为 人性化,既满足安全需求,又符合使用习惯。
[0029] 本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变 得明显,或通过本发明的实践了解到。
【专利附图】
【附图说明】
[0030] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解,其中:
[0031] 图1是现有技术所揭示的一种保护移动终端支付安全的装置;
[0032] 图2是本发明的一种安全连接支付方法的原理框图;
[0033] 图3是本发明的安全连接支付方法的程序实现流程示意图。
[0034]
【具体实施方式】
[0035] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附 图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0036] 本【技术领域】技术人员可以理解,除非特意声明,这里使用的单数形式"一"、"一 个"、"所述"和"该"也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措 辞"包括"是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加 一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元 件被"连接"或"耦接"到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在 中间元件。此外,这里使用的"连接"或"耦接"可以包括无线连接或无线耦接。这里使用 的措辞"和/或"包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
[0037] 本【技术领域】技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术 术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应 该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中 的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含 义来解释。
[0038] 本【技术领域】技术人员可以理解,这里所使用的"终端"、"终端设备"既包括无线信 号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件 的设备,其具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备 可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示 器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信系统),其可 以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个 人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、 日历和/或GPS (Global Positioning System,全球定位系统)接收器;常规膝上型和/或 掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算 机或其他设备。这里所使用的"终端"、"终端设备"可以是便携式、可运输、安装在交通工具 (航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式, 运行在地球和/或空间的任何其他位置运行。这里所使用的"终端"、"终端设备"还可以是 通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device, 移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒 等设备。
[0039] 本【技术领域】技术人员可以理解,这里所使用的服务器、云端、远端网络设备等概 念,具有等同效果,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集 或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络 服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超 级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何 通信方式实现通信,包括但不限于,基于3GPP、LTE、WIMAX的移动通信、基于TCP/IP、UDP协 议的计算机网络通信以及基于蓝牙、红外传输标准的近距无线传输方式。
[0040] 本领域技术人员应当理解,本发明所称的"应用"、"应用程序"、"应用软件"以及类 似表述的概念,是业内技术人员所公知的相同概念,是指由一系列计算机指令及相关数据 资源有机构造的适于电子运行的计算机软件。除非特别指定,这种命名本身不受编程语言 种类、级别,也不受其赖以运行的操作系统或平台所限制。理所当然地,此类概念也不受任 何形式的终端所限制。
[0041] 请参阅图1所引用的CN104021467A号专利公告所揭示的保护移动终端支付安全 的装置100的原理框图,本发明将该公告文本所揭示的技术方案直接引入作为本发明的安 全连接支付方法的实施例之一。如其所揭示,该装置100包括支付识别模块100、进程监控 模块120、进程分析模块130、进程终止模块140、进程清场模块150,该装置中,各模块所实 现的功能概括如下:
[0042] 所述支付识别模块110用于监控移动终端的运行状态以确定移动终端进入支付 场景。支付场景的确定可以根据移动终端的运行状态来确定,例如获取移动终端中新启动 的客户端信息;将客户端的信息与预置的支付类客户端信息进行比对;在比对成功的情况 下确定移动终端进入支付景,也就是利用移动终端启动的客户端来判断支付场景,当检测 到移动终端有新的客户端启动后,利用信息比对判断新启动的客户端是否为移动支付客户 端,如果确定移动终端启动了支付客户端,则可以确定移动终端进入支付场景。判断新启动 的客户端是否为移动支付终端的过程可以通过本地的客户端列表验证以及客户端特征匹 配来实现。
[0043] 支付识别模块110的一种具体结构可以设置:数据比对子模块和特征分析子模 块。其中,数据比对子模块将客户端信息与预置的支付客户端列表的客户端信息进行比对, 如果存在比对结果一致的列表项,则比对成功,支付客户端列表中预先保存有多种支付类 客户端的特征信息。特征分析子模块提取客户端信息中的包名和标签名,查询包名和标签 名中是否包含支付类客户端的特征关键字,若是则比对成功。数据比对子模块使用的支付 客户端列表可以根据移动终端的具体使用情况进行动态调整,以记录所有已安装支付客户 端的信息。特征分析子模块中使用的特征一般包括包名和标签名(Iable),此外还可以包括 签名、版本号等特征。特征分析可以在移动终端本地进行,也可以将特征信息上传至云端, 由云端进行判断后,将判断结果返回给移动终端。
[0044] 云端保存有杀毒相关的病毒引擎库,以及黑白名单,以及网址安全库等。可以有效 的根据文件或者程序的签名,版本号等特征信息判断出其实否是恶意,或者可疑,或者是以 目前已有的安全等级的方式去定义程序或者文件的安全性。
[0045] 云端对上传的信息进行风险分析后将结果返回给移动终端,云端主要分析的内容 如下:
[0046] (1)软件基本信息读取模块用于读取以下信息:
[0047]
【权利要求】
1. 一种安全连接支付方法,其特征在于,包括w下步骤: 确定特定支付场景被启动; 建立基于虚拟专网协议的通信隧道,供所述支付场景进行数据传输; 当所述通信隧道不复存在时,退出所述支付场景。
2. 根据权利要求1所述的安全连接支付方法,其特征在于,通过确定所述支付场景的 活动界面被调用而确定该支付场景被启动。
3. 根据权利要求2所述的安全连接支付方法,其特征在于,所述支付场景包括一个或 多个活动界面,通过对所述活动界面的关键特征进行判断,确定是否已进入所述支付场景。
4. 根据权利要求2或3所述的安全连接支付方法,其特征在于,所述通信隧道仅用于传 输所述支付场景所包含的用于执行支付指令的活动界面的数据。
5. 根据权利要求2或3所述的安全连接支付方法,其特征在于,所述每个活动界面,对 应一个可执行的活动组件。
6. 根据权利要求2或3所述的安全连接支付方法,其特征在于,建立所述通信隧道之 前,所述活动界面已经处于激活状态。
7. 根据权利要求2或3所述的安全连接支付方法,其特征在于,建立所述通信隧道之 前,所述活动界面处于非激活状态,建立所述通信隧道之后,所述活动界面处于激活状态。
8. 根据权利要求1至3中任意一项所述的安全连接支付方法,其特征在于,建立所述通 信隧道之前,弹框询问是否建立该通信隧道,W用户选定为依据决定是否建立所述通信隧 道。
9. 根据权利要求1至3中任意一项所述的安全连接支付方法,其特征在于,所述通信隧 道采用PPTP、L2TP、IPSEC中任意一种协议实现。
10. 根据权利要求2或3所述的安全连接支付方法,其特征在于,当所述通信隧道中断 时,先退出已经激活的用于执行支付指令的活动界面,再退出所述支付场景。
11. 根据权利要求1至3中任意一项所述的安全连接方法,其特征在于,仅对被判定为 公共网络接入点的当前连接建立所述的通信隧道。
12. -种安全连接支付装置,其特征在于,包括; 检测单元,用于确定特定支付场景被启动; 维护单元,用于建立基于虚拟专网协议的通信隧道,供所述支付场景进行数据传输; 清场单元,当所述通信隧道不复存在时,用于退出所述支付场景。
【文档编号】G06Q20/38GK104463569SQ201410645534
【公开日】2015年3月25日 申请日期:2014年11月11日 优先权日:2014年11月11日
【发明者】高祎玮, 孟齐源 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司