一种基于安全认证机制的支付方法及支付系统与流程

本发明属于移动支付技术领域，尤其涉及一种支付方法及支付系统。

背景技术：

随着科技的不断发展，移动支付越来越受到用户和商户的欢迎。移动支付也称为手机支付，就是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为，从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合，为用户提供货币支付、缴费等金融业务。

移动支付主要分为近场支付和远程支付两种，所谓近场支付，就是用手机刷卡的方式坐车、买东西等，很便利。远程支付是指：通过发送支付指令(如网银、电话银行、手机支付等)或借助支付工具(如通过邮寄、汇款)进行的支付方式，如掌中付推出的掌中电商，掌中充值，掌中视频等属于远程支付。

由于移动支付的强大功能，它给人们的日常生活带来了极大的便利。但是，在目前的移动支付方式中，一般都是通过动态密码的进行身份验证，安全性能不够。

技术实现要素：

针对上述问题，本发明旨在提供一种基于安全认证机制的支付方法及支付系统，大大提高了支付过程中的安全性能。

本发明提供的技术方案如下：

一种基于安全认证机制的支付方法，包括：

S1第一移动终端获取支付请求并签名发送至第二移动终端；

S2第一移动终端接收第二移动终端发送的验签反馈和签名，并对第二移动终端的签名进行验证；

S3第一移动终端获取支付信息并签名发送至第二移动终端；

S4第一移动终端接收第二移动终端发送的支付成功反馈。

进一步优选地，在步骤S1中具体包括：

S11第一移动终端获取支付请求；

S12第一移动终端使用内置的第一安全插件和第二公钥对所述支付请求进行加密；

S13第一移动终端使用内置的第一安全插件和第一私钥对加密后的支付请求进行签名；

S14第一移动终端将签名后的支付请求发送至第二移动终端。

进一步优选地，在步骤S2中具体包括：

S21第二移动终端接收第一移动终端发送的签名后的支付请求；

S22第二移动终端使用内置的第二安全插件和第一公钥对第一移动终端的签名进行验证，并生成验签反馈；

S23第二移动终端使用内置的第二安全插件和第二私钥对加密的支付请求进行解密；

S24第二移动终端使用内置的第二安全插件和第一公钥对验签反馈进行加密；

S25第二移动终端使用内置的第二安全插件和第二私钥对加密后的验签反馈进行签名；

S26第二移动终端将签名后的验签反馈发送至第一移动终端；

S27第一移动终端使用内置的第一安全插件和第二公钥对第二移动终端的签名进行验证；

S28第一移动终端使用内置的第一安全插件和第一私钥对加密的验签反馈进行解密。

进一步优选地，在步骤S3中具体包括：

S31第一移动终端获取支付信息，所述支付信息中包括支付金额；

S32第一移动终端使用内置的第一安全插件和第二公钥对所述支付信息进行加密；

S33第一移动终端使用内置的第一安全插件和第一私钥对加密后的支付信息进行签名；

S34第一移动终端将签名后的支付信息发送至第二移动终端。

进一步优选地，在步骤S4中具体包括：

S41第二移动终端接收第一移动终端发送的签名后的支付信息；

S42第二移动终端使用内置的第二安全插件和第一公钥对第一移动终端的签名进行验证；

S43第二移动终端使用内置的第二安全插件和第二私钥对加密的支付信息进行解密；

S44第二移动终端基于获取的支付信息登录支付钱包并将其中的金额进行相应的增加；

S45第二移动终端使用内置的第二安全插件和第一公钥对支付成功反馈进行加密；

S46第二移动终端使用内置的第二安全插件和第二私钥对加密后的支付成功反馈进行签名；

S47第二移动终端将签名后的支付成功反馈发送至第一移动终端。

进一步优选地，在步骤S4之后还包括：

S51第一移动终端使用内置的第一安全插件和第二公钥对第二移动终端的签名进行验证；

S52第一移动终端使用内置的第一安全插件和第一私钥对加密的支付成功反馈进行解密；

S53第一移动终端登录支付钱包从中完成扣款，完成支付。

进一步优选地，在步骤S1之前还包括：

S01第一移动终端和第二移动终端将注册信息发送至服务器端；

S02服务器端生成第一移动终端的第一公钥和第一私钥、及生成第二移动终端的第二公钥和第二私钥；

S03服务器端基于第一移动终端的注册信息和运算算法生成第一安全插件，并连同第二移动终端的第二公钥以及第一移动终端的第一私钥一起下发至第一移动终端；

S04服务器端基于第二移动终端的注册信息和运算算法生成第二安全插件，并连同第二移动终端的第二私钥以及第一移动终端的第一公钥一起下发至第二移动终端。

本发明还提供了一种基于安全认证机制的支付系统，包括相互通信连接的第一移动终端和第二移动终端，其中，

所述第一移动终端用于获取支付请求并签名发送至第二移动终端；用于接收第二移动终端发送的验签反馈和签名，并对第二移动终端的签名进行验证；用于获取支付信息并签名发送至第二移动终端；以及用于接收第二移动终端发送的支付成功反馈并对其进行验签，之后登录支付钱包从中完成扣款，完成支付；

所述第二移动终端用于接收签名后的支付请求，并对第一移动终端的签名进行验证生成验签反馈；用于对验签反馈进行签名发送至第一移动终端；用于接收签名后的支付信息，并对第一移动终端的签名进行验证，之后登录支付钱包并将其中的金额进行相应的增加；以及用于对支付成功反馈进行签名发送至第一移动终端。

进一步优选地，所述支付系统中还包括分别与所述第一移动终端和第二移动终端通信连接的服务器端，所述服务器端基于第一移动终端得到相应的第一安全插件、第一公钥和第一私钥，以及基于第二移动终端得到相应的第二安全插件、第二公钥和第二私钥；并将第一安全插件、第二公钥和第一私钥一起下发至第一移动终端，将第二安全插件、第一公钥和第二私钥一起下发至第二移动终端。

本发明提供的基于安全认证机制的支付方法及支付系统，其有益效果在于：

在本发明提供的支付方法和支付系统中，服务器端生成相应的第一安全插件和第二安全插件，并将其分别下发至第一移动终端和第二移动终端，这样，在进行支付的过程中，每个步骤中都进行了本地签名和本地验签操作，无需网络即可进行，简单方便，且安全可靠。

在支付过程中，两个移动终端相互认证，相互制约，大大提高了数据交换(如，发送支付请求和支付信息等)过程中的安全性能，不易被他人破解。且本发明提供的支付系统简单易行，没有增加多余的硬件成本。

附图说明

图1为基于安全认证机制的支付方法的流程示意图；

图2为本发明提供的应用于上述支付方法的支付系统一种实施方式硬件框图；

图3为本发明提供的应用于上述支付方法的支付系统另一种实施方式硬件框图。

附图标记：

1-第一移动终端，2-第二移动终端，3-服务器端。

具体实施方式

下面结合附图和具体实施方式，对本发明作进一步详细说明。需要说明的是，下面描述的本发明的特定细节仅为说明本发明用，并不构成对本发明的限制。根据所描述的本发明的教导作出的任何修改和变型也在本发明的范围内。

如图1所示为本发明提供的基于安全认证机制的支付方法的流程示意图，从图中可以看出，在该支付方法包括：S1第一移动终端获取支付请求并签名发送至第二移动终端；S2第一移动终端接收第二移动终端发送的验签反馈和签名，并对第二移动终端的签名进行验证；S3第一移动终端获取支付信息并签名发送至第二移动终端；S4第一移动终端接收第二移动终端发送的支付成功反馈。

具体来说，在步骤S1中具体包括：S11第一移动终端获取支付请求；S12第一移动终端使用内置的第一安全插件和第二公钥对支付请求进行加密；S13第一移动终端使用内置的第一安全插件和第一私钥对加密后的支付请求进行签名；S14第一移动终端将签名后的支付请求发送至第二移动终端。

在步骤S2中具体包括：S21第二移动终端接收第一移动终端发送的签名后的支付请求；S22第二移动终端使用内置的第二安全插件和第一公钥对第一移动终端的签名进行验证，并生成验签反馈；S23第二移动终端使用内置的第二安全插件和第二私钥对加密的支付请求进行解密；S24第二移动终端使用内置的第二安全插件和第一公钥对验签反馈进行加密；S25第二移动终端使用内置的第二安全插件和第二私钥对加密后的验签反馈进行签名；S26第二移动终端将签名后的验签反馈发送至第一移动终端；S27第一移动终端使用内置的第一安全插件和第二公钥对第二移动终端的签名进行验证；S28第一移动终端使用内置的第一安全插件和第一私钥对加密的验签反馈进行解密。更具体来说，在步骤S2中，只有第一移动终端接收到的验签反馈为验签成功，才会进入后续的步骤S3。假若第一移动终端接收到的验签反馈为验签失败，则说明第一移动终端没有通过第二移动终端的验证，即刻停止支付。由步骤S1和步骤S2中描述的内容可以看出，第一私钥和第一公钥为一密钥对，第二私钥和第二公钥为一密钥对，且第一私钥和第一公钥为第一移动终端的密钥对，第二私钥和第二公钥为第二移动终端的密钥对。

在步骤S3中具体包括：S31第一移动终端获取支付信息，支付信息中包括支付金额；S32第一移动终端使用内置的第一安全插件和第二公钥对支付信息进行加密；S33第一移动终端使用内置的第一安全插件和第一私钥对加密后的支付信息进行签名；S34第一移动终端将签名后的支付信息发送至第二移动终端。更具体来说，上述支付信息中除了包括支付金额之外，还包括但不限于支付时间、收款方账户名等信息，这样，当第二移动终端接收到支付信息之后进行确认并支付。

在步骤S4中具体包括：S41第二移动终端接收第一移动终端发送的签名后的支付信息；S42第二移动终端使用内置的第二安全插件和第一公钥对第一移动终端的签名进行验证；S43第二移动终端使用内置的第二安全插件和第二私钥对加密的支付信息进行解密；S44第二移动终端基于获取的支付信息登录支付钱包并将其中的金额进行相应的增加；S45第二移动终端使用内置的第二安全插件和第一公钥对支付成功反馈进行加密；S46第二移动终端使用内置的第二安全插件和第二私钥对加密后的支付成功反馈进行签名；S47第二移动终端将签名后的支付成功反馈发送至第一移动终端。更具体来说，在该过程中，当第二移动终端对第一移动终端的签名进行认证和解密之后得到支付信息，随即使用用户名和密码登录支付钱包，并根据支付信息中显示的支付金额从第三方支付平台中将相应金额增加到支付钱包中，生成支付成功反馈。当然，若第一移动终端没有通过第二移动终端的验证，即刻停止支付，反馈验签失败给第一移动终端，要求重新验签。

更进一步来说，在步骤S4之后还包括：S51第一移动终端使用内置的第一安全插件和第二公钥对第二移动终端的签名进行验证；S52第一移动终端使用内置的第一安全插件和第一私钥对加密的支付成功反馈进行解密；S53第一移动终端登录支付钱包从中完成扣款，完成支付。在该过程中，第一移动终端收到第二移动终端的支付成功反馈，且对第二移动终端的签名进行验证了之后，随即登录支付钱包完成付款，要注意的是，这里登录的支付钱包和第二移动终端登录的支付钱包是同一个，即这里扣款的金额实为第二移动终端充值的款项。

从中可以看出，在本发明中，整个付款过程中，第一移动终端和第二移动终端之间每进行一次数据通信，都会使用其内置的安全插件对对方的身份进行验证(验证签名)，且只有验签成功了才会进入下一步骤，一旦验签失败则停止支付，支付过程安全可靠。

另外，在步骤S1之前还包括：S01第一移动终端和第二移动终端将注册信息发送至服务器端；S02服务器端生成第一移动终端的第一公钥和第一私钥、及生成第二移动终端的第二公钥和第二私钥；S03服务器端基于第一移动终端的注册信息和运算算法生成第一安全插件，并连同第二移动终端的第二公钥以及第一移动终端的第一私钥一起下发至第一移动终端；S04服务器端基于第二移动终端的注册信息和运算算法生成第二安全插件，并连同第二移动终端的第二私钥以及第一移动终端的第一公钥一起下发至第二移动终端。具体来说，这里的注册信息包括用户名、登录密码、唯一标识终端的标识信息等，且生成的第一安全插件和第二安全插件中的运算算法相同。

如图2所示为本发明提供的应用于上述支付方法的支付系统一种实施方式硬件框图，从图中可以看出，在该支付系统中包括相互通信连接的第一移动终端1和第二移动终端2。在工作过程中，首先，第一移动终端获取支付请求并签名发送至第二移动终端；第二移动终端接收到该签名后的支付请求，随即使用内置的第二安全插件对其进行验签，若验签成功，则返回验签反馈并进行签名，并将签名之后的验签反馈发送至第一移动终端。之后，第一移动终端接收到第二移动终端发送的验签反馈和签名，随即使用内置的第一安全插件对第二移动终端的签名进行验证，若验签成功，则随即获取包括支付金额的支付信息并进行签名、发送至第二移动终端；第二移动终端接收到签名的支付信息，同样使用内置的第二安全插件对其进行验签，若验签成功，则登录支付钱包并从第三方支付平台中增加相应的金额；之后返回签名之后的支付成功反馈。第一移动终端接收到接收第二移动终端发送的支付成功反馈之后，同样使用其内置的第一安全插件对其进行验证操作，且在验证完成之后，登录支付钱包从中完成扣款，完成支付。

更进一步来说，在第一移动终端中包括：用于获取支付请求和支付信息的信息获取模块，用于存储第一安全插件、第一私钥和第二公钥的第一存储模块，用于对支付请求和支付信息进行加密的第一加密模块、用于对第二移动终端返回的验签反馈和支付成功反馈进行解密的第一解密模块、用于对加密后的支付请求和支付信息进行签名的第一签名模块、用于对接收到的签名后的验签反馈和支付成功反馈进行验签的第一验签模块以及用于将签名后的支付请求和支付信息发送至第二移动终端的第一信息发送模块，其中，信息获取模块与第一加密模块连接，第一存储模块分别与第一加密模块、第一解密模块、第一签名模块以及第一验签模块连接，第一加密模块与第一签名模块连接，第一解密模块与第一验签模块连接，第一信息发送模块与第一签名模块连接。

在第二移动终端中包括：用于接收第一移动终端发送的签名后的支付请求和签名后的支付信息的信息接收模块，用于存储第二安全插件、第二私钥和第一公钥的第二存储模块，用于验签反馈和支付成功反馈进行加密的第而加密模块、用于对第一移动终端发送的支付请求和支付信息进行解密的第而解密模块、用于对加密后的验签反馈和支付成功反馈进行签名的第二签名模块、用于对接收到的签名后的支付请求和支付信息反馈进行验签的第二验签模块以及用于将签名后的验签反馈和支付成功反馈发送至第一移动终端的第二信息发送模块，其中，信息接收模块与第二验签模块连接，第二存储模块分别与第二加密模块、第二解密模块、第二签名模块以及第二验签模块连接，第二加密模块与第二签名模块连接，第二解密模块与第二验签模块连接，第二信息发送模块与第二签名模块连接。

如图3所示为本发明提供的应用于上述支付方法的支付系统另一种实施方式硬件框图，从图中可以看出，在该支付系统中还包括分别与第一移动终端和第二移动终端通信连接的服务器端3，服务器端基于第一移动终端得到相应的第一安全插件、第一公钥和第一私钥，以及基于第二移动终端得到相应的第二安全插件、第二公钥和第二私钥；并将第一安全插件、第二公钥和第一私钥一起下发至第一移动终端，将第二安全插件、第一公钥和第二私钥一起下发至第二移动终端。具体来说，这里的注册信息包括用户名、登录密码、唯一标识终端的标识信息等，且生成的第一安全插件和第二安全插件中的运算算法相同。

在一个具体实施例中，上述第一移动终端和第二移动终端都为手机终端，分别为第一手机和第二手机。以在集贸市场的无网络支付为例，整个支付过程如下：

第一手机发起签名和支付请求；第二手机收到签名，通过内置的第二安全控件进行验签，如果验签通过，则反馈第二手机的签名，如果没有通过，则支付停止，反馈验签失败。之后，第一手机收到第二手机的签名反馈和签名后，进行第二手机的签名验签，若通过验签后，则发起支付金额申请；若没有通过，则支付停止，反馈验签失败。之后，第二手机收到第一手机的支付金额申请后，同样先对第一手机进行验签，若通过验签，则反馈支付成功，且将支付钱包中的支付金额增加对应的支付金额数，如果验签没有通过，则支付停止，反馈验签失败。最后，第一手机收到第二手机的反馈后，从支付钱包中扣款，以此完成支付。

以上通过分别描述每个过程的实施场景案例，详细描述了本发明，本领域的技术人员应能理解。在不脱离本发明实质的范围内，可以作修改和变形，比如部分模块的剥离使用和将系统嵌入于其他应用系统中。