专利名称:利用包含ic卡的身份证进行交易的支付系统及方法
技术领域:
本发明涉及数据处理领域,尤其涉及利用包含IC卡的身份证进行交易的支付系统及方法。
背景技术:
由于现金交易存在携带不方便、安全性低等缺陷,所以银行卡被广泛地 应用在各种交易场合,因此越来越多的人习惯釆用银行卡进行消费。请参阅 图l,其为现有的一种利用银行卡进行交易的系统的原理框图。它包括用于读取银行卡信息的终端13、商户子系统12和收单子系统11。商户子系统12包括 服务器和若干客户端,客户端连接终端,商户子系统12的服务器通过专线连 接收单行的收单子系统ll。当收单行不是发卡行时,还需要通过银联的跨行 交易子系统连接发卡行的发卡子系统。当用户利用银行卡进行消费时,终端(如收4M几等)先通过能否读取银 行卡来识别银行卡的真伪,然后客户端再将用户输入的表征用户身份的身份 信息、4艮行卡卡号信息以及本次交易的交易信息传送至商户子系统12的服务 器;随后商户子系统12的服务器将该些信息传送至收单子系统11;若收单行 是发卡行,则收单子系统直接处理此交易,否则通过跨行交易子系统发送至 发卡行处理。发卡子系统利用银行卡卡号信息和身份信息验证此用户的身份, 若身份验证通过,则对该卡号对应的账户进行扣款处理,并将扣款处理结果 返回,否则返回身份验证不通过信息。当商户子系统12接收到扣款处理成功 的消息后,商户可以让消费者在签购单上签名确认。上述公开的是现有技术中最常见的一种交易过程,在这种过程下,存在 以下缺陷在整个交易过程,利用"账户名+密码"以及^l艮行卡来完成整个交易过程的 身份认证。现有技术通常通过终端(如POS机、ATM机)能否读取银行卡来识别银行卡的真伪存在很大的风险。现有的银行卡采用磁条卡技术制成的, 仿造难度低,很容易被仿造。为此,目前提出了银行卡由智能卡替代磁条卡的方案。比如,釆用EMV技术制成的智能卡。EMV是由欧陆Europay、万事达 Master、维萨Visa等三大国际银行卡组织共同发起制定的一项智能IC银行卡技 术标准,该标准要求银行卡CPU芯片要具有独立运算、加解密和存储能力, 从而达到更高的安全性。但是,银行卡从磁条卡向智能卡转换过程中,成本 非常高 一张智能卡几十块的成本,并且POS机、ATM机要读取该智能卡就 要对其进行改造需要大量成本。即使花费大量的人力和物力完成银行卡从磁 条卡向智能卡的转换,但是,由于巨大的利益存在,不法分子还是能够伪造 出相应的智能卡。也就是说,通过ATM机、POS机等终端能否读取银行卡只 能简单判断银行卡是否是伪卡,根本无法证实所述银行卡是否是用户本人使 用由金融机构颁发的银行卡。若不法分子获得用户信息(如密码)后,由于 没有其它可行性强的验证用户身份的手段,还是容易造成用户或商户财务上 的损失。从另一个角度来说,银行卡从磁条卡向智能卡转换不是一朝一夕的, 在这过程中,更需要有其它可行性强的验证用户身份的手段来进一步保证交 易的安全性。也就是说,现有技术中当ATM机、POS机接收到用户输入的账户对应的 密码及读取银行卡的4艮行账户后,通常仅对账户对应的密码进行加密后传送, 而银行账户、交易金额等都是采用明文方式进行传送。不法分子利用不法手 段得到账户对应的密码后,很容易获取银行账户等信息,进而给真正的用户 造成财产上的损失,大大降^氐4艮^f于交易的安全性。发明内容本发明的目的在于提供一种利用包含IC卡的身份证进行交易的支付系统 及方法,以解决现有技术利用银行卡进行交易安全性不高的技术问题。本发明的另一目的在于提供一种实现方便、操作简单的身份认证方法。 为了达到上述目的,本发明提供了 一种利用包含IC卡的身份证进行交易的支付系统,包括受理机具、中间平台和发卡子系统,所述受理机具包括身 份证读卡器、输入单元、加密器、处理器、通信单元,其中,7身份证读卡器,用于读取未经解密的用户身份信息;输入单元,用于接收外部输入的信息接收商户输入的交易金额、接收用户输入的账户密码或者接收用户输入的账户密码及用户选定的发卡行信息;处理器,用于将所述输入单元发送的信息发送至加密器进行加密,并将 加密后的信息与未经解密的用户身份信息发送至通信单元;加密器至少包含第 一加密器,所述第 一加密器用于将账户信息中的账户 对应密码用所述发卡行对应的银行加密密钥进行加密或者账户对应密码用第 三方提供的银行加密密钥进行加密;通信单元,用于建立与中间平台的交互将加密后的信息传送至中间平 台以及将中间平台传送的处理结果返回至处理器;中间平台,包括第二处理器、身份解密器和通信接口, 身份解密器,用于将未解密的用户身份信息进行解密; 第二处理器,用于保存解密后的用户身份信息和交易金额,若查找到所 述用户身份信息对应的银行账户,则将交易金额、银行账户和未解密的账户 对应密码组成的新交易信息发送至发卡子系统,否则将用户身份信息、交易 金额和未解密的账户对应密码组成的新交易信息发送至发卡子系统,以及将 发卡子系统返回的处理结果进行保存后返回;通信接口,分别建立与受理机具、发卡子系统之间的通信;发卡子系统,直接查找银行账号或查找用户身份信息对应的银行账号, 核对解密后的账户对应密码,处理所述交易并将交易处理结果返回。所述身份证读卡器包括天线和RF模块,RF模块连接天线,用于将接收 到的未解密的用户身 <分信息传送至处理器。所述身份解密器包括一块或多块具有并行处理能力的解密芯片。加密器还包括第二加密器,用于将消费金额用预先设定的第一加密密钥 进行加密,所述中间平台还包括第二解密器,用于对由第一加密密钥加密的 消费金额进行解密。受理机具保存的第一加密密钥为各自独立且能够标识其受理机具的私 钥,中间平台采用同 一公钥来解密由不同受理机具发送的加密消费金额。发卡子系统集成在中间平台上,第一加密器和第二加密器为同一加密器。所述通信单元和通信接口为支持固定电话、各种网络拨号方式的调制解 调器或直接通过局域网与对端连接的专用端口。一种利用包含IC卡的身份证进行交易的支付方法,包括(1) 身份证读卡器读出未经解密的用户身份信息; (2) 将用户输入的账号密码加密后,与未经解密的用户身份信息以及交易 金额传送至中间平台;(3) 中间平台解密接收到的用户身份信息,若查找到所述用户身份信息对 应的银行账户,则将交易金额、银行账户和未解密的账户对应密码组成的新 交易信息发送至发卡子系统,否则将用户身份信息、交易金额和未解密的账 户对应密码组成的新交易信息发送至发卡子系统;(4) 发卡子系统直接查找银行账号或查找用户身份信息对应的银行账号, 核对解密后的账户对应密码,处理所述交易并将交易处理结果返回。步骤(l)之前还包括预先在中间平台上存储用户的身份证号码与银行账户 的对应关系;步骤(3)还包括中间平台解密出用户身份证号码后,若能找到 解密后的身份证号码对应的银行账户,则将所述银行账户作为交易信息的一 组成部分传送至所述发卡子系统。步骤(2)中还进一步包括受理机具将交易金额用预先设定的第 一加密密 钥加密;步骤(3)还包括中间平台将未解密交易金额进行解密。步骤(4)还包括,发卡子系统查找所述用户身份信息对应的银行账号,若 该发卡行中同 一身份证号码对应多个银行账号,则支付失败并提示至中间平 台要求用户设定一对应用于支付的银行账号。一种受理机具,包括包含天线和RF模块的身份证读卡器,输入单元、加 密器、处理器、通信单元,其中,身份证读卡器,用于读取未经解密的用户身份信息;9输入单元,用于接收外部输入的信息接收商户输入的交易金额、接收用户输入的账户密码或者接收用户输入的账户密码及用户选定的发卡行信 自 处理器,用于将所述输入单元发送的信息发送至加密器进行加密,并将加密后的信息与未经解密的用户身份信息发送至通信单元;加密器至少包含第一加密器,所述第一加密器用于将账户信息中的账户 对应密码用所述发卡行对应的银行加密密钥进行加密或者账户对应密码用第 三方提供的银行加密密钥进行加密;通信单元,用于建立与外部设备的交互。一种中间平台,包括第二处理器、身份解密器和通信接口,和数据库存 储区,其中,身份解密器,用于将未解密的用户身份信息进行解密;第二处理器,用于对接收到的账户对应密码进行解密,在数据库存储区查找到所述用户身份信息对应的银行账户,核对所述银行账户密码与解密得到后的账户对应密码,处理所述交易;通信接口,用于建立与外部设备之间的通信接收包含未解密用户身份信息、未解密账户对应密码和消费金额的交易请求,以及返回交易处理结果;数据库存储区,用于存储包括用户身份信息与银行账户对应关系、银行 账户和账户密码之间对应关系的数据。一种中间平台,包括第二处理器、身份解密器和通信接口,其中, 身份解密器,用于将未解密的用户身份信息进行解密; 第二处理器,用于保存用户身份信息和消费金额,若查找到所述用户身 份信息对应的银行账户,则将交易金额、银行账户和未解密的账户对应密码 组成的新交易信息发送至发卡子系统,否则将用户身份信息、交易金额和未 解密的账户对应密码组成的新交易信息发送至发卡子系统,以及将发卡子系 统返回的处理结果进行保存后返回;通信接口,建立与外部设备之间的通信接收受理机具发送的包含消费金额、用户身份信息和账户密码的交易请求,将新的交易请求发送至发卡子 系统,接收从发卡子系统返回的处理结果,还将处理结果返回至受理机具。与现有技术相比,本发明利用包含IC卡的身份证(如第二代身份证)进行消费交易,避免使用银行卡,不仅减少了制卡的成本,而且利用现有第二 代身份证加密效果佳、普及等特点进行消费交易,降低成本投入且安全系数高。具体说,本发明可以通过下述手段来提高支付过程的安全性及降低成本:首先,本发明在支付过程中,消费者无需提供银行卡的银行账号,即使 不法分子能够截获支付过程中商户至中间平台的交易数据,但是由于其不能 获得银行账号,因此不能伪造银行卡,不容易给客户造成损失。其次,本发明在支付过程中,银行密码可以采用安全系数较高的数字证 书的方式进行加解密,从而保证整个交易过程中,银行密码的安全性,从而 也保证了支付过程的安全性。然后,本发明在受理机具中读取的是未解密的用户身份信息,未解密的 用户身份信息到中间平台后才被由身份证IC卡制作厂家提供的解密芯片进行 解密。这种处理方式,能够避免商户端用户身份信息被篡改。最重要的是, 身份证IC卡制作厂家只需要授权中间平台即可完成解密工作,而无需给每一 受理机具以授权解密,不仅提高了安全性,而且也降低了成本。最后,用户输入的账户对应密码用相应的第三方提供或银行提供的银行 加密密钥进行加密,这样,只有4艮行端才能解密对应的账户对应密码,通过 这种方式,能够保证用户身份信息和账户对应密码等重要信息不被泄露,从 而保证了交易过程的安全性。
图1为现有的一种利用银行卡进行交易的系统的原理框图; 图2为本发明的利用银行卡进行交易的系统的原理框图;图3为本发明第 一 种受理才几具的原理结构图;图4为本发明第 一种受理才几具的 一实例结构图;图5为本发明第二种受理机具的原理结构图;图6为本发明第三种受理机具的原理结构示意图;图7为本发明 一种利用包含IC卡的身份证进行交易的支付方法的流程图;图8为本发明的 一 实施流程图;图9,其为一种利用包含IC卡的身份证进行身份认证的方法的流程图。
具体实施方式
以下结合附图,具体说明本发明。本发明的核心在于本发明利用包含IC卡的身份证(如第二代身份证)进 行消费交易,并结合银行卡一起使用,能够利用现有的第二代身份证加密效 果佳、普及等特点进行消费交易,并且在整个交易过程中用密钥来进一步加 强通信过程中的安全,而且利用现有第二代身份证加密效果佳、普及等特点 进行消费交易,降低成本投入且安全系数高。相比与第一代身份证,第二代身份证的安全防伪性能提高。第二代身份 证是由9层构成的,最外面的这两层记载的是个人的身份信息,打印上去的。 还有一层叫做配平层,防止静电,在这层上可以看到长城烽火台图案和"中国 CHINA,,的防伪膜,有橘黄色的、绿色的防伪标志,是一个比较先进的技术。 这层有一个IC芯片,长8毫米,宽5毫米,厚度0.4毫米,有两根天线,一 圈都是线圈,主要是为了避免泄漏个人信息,但是可以通过专门读卡器能够 阅读出个人信息。所以,新一代的身份证从安全性能方面来讲,主要是两个 方面的防伪措施, 一个是数字防伪措施,就是把个人的信息写入芯片,采用 数字加密的办法。 一个地区一个密码、每个公民拥有一个密码。防伪技术是 我们国家自己研制的,安全性非常高。另一个是印刷防伪技术,印刷层图案 两面都有。印刷的防伪技术采取了很多措施,由于采用了数字防伪措施、印 刷防伪措施,所以安全性得到了大大提高。并且,随着现有的第二代身份证的出现,用于读取第二代身份证的读卡器也相应的出现。为了提高安全性, 现有读卡器是由国家公安部门单独研制,由其提供给与其签约的第三方。请参阅图2,其为本发明的一种利用包含IC卡的身份证进行交易的支付 系统的结构原理图。它包括若干受理机具1、中间平台2和若干发卡子系统3。 每一受理机具1表示一商户。以下先介绍本发明的受理4几具。请参阅图3,其为本发明第一种受理机具的原理结构图。所述受理机具包 括身份证读卡器22、输入单元23、输出单元24、处理器21、通信单元25和 加密器26,其中,身份证读卡器22,用于读取用户身份证上至少包含用户身份证号的用户 身份信息。身份证读卡器22即釆用前述提及的第二代身份证信息的读取装置,用于 读取用户身份证上的IC卡上的内容。该身份证读卡器22主要包括天线221、 RF模块222。天线221连接RF模块222,天线221和RP模块222主要用于 接收身份证上未经解密的身份信息。即RF模块222不断发出一个固定频率的 电磁场激发信号,当某一身份证靠近身份证读卡器时,身份证上的线圏在该 电磁场激发信号的感应产生出微弱的电流,作为身份证上IC芯片的电源,而 该身份证上的IC芯片内存贮有经过加密的用户身份信息,身份证上的芯片在 该电磁场激发信号的作用下,能将该芯片内存贮的加密的用户身份信息反馈 至身份证读卡器22,身份证读卡器22的天线221和RF模块222接收到加密 的用户身份信息后,发送到处理器21中。输入单元23,用于接收外部输入的信息接收商户输入的交易金额、接 收用户输入的账户对应密码或者接收用户输入的账户对应密码及用户选定的 发卡行信息。输入单元23可以为键盘、触摸屏等。通常情况下,输入单元23 需要接收用户输入的账户对应密码和发卡行信息,以及商户输入的交易金额。 用户输入的账户对应密码用用户选定发卡行对应的银行加密密钥进行加密。输出单元24,用于将本次交易结果进行输出。输出单元24包括显示屏、 打印机等。用于将本次交易结果输出,以便商户和用户能够从扣款是否成功来确定本次交易是否成功,并且若不成功,是由于何种原因带来交易不成功等。另外,输出单元24可以将交易结果打印出来,做为本次交易的凭证。处理器21,分别连接输入单元23、输出单元24和身份证读卡器22,用 于控制交易过程中商户的各项操作,包括将所述输入单元23发送的信息传入 至加密器26,将加密器26加密后的数据组织成预先设定的格式后,传送至通 信单元25,以及将通信单元25反馈的处理结果传送至输出单元24。处理器 21可以采用现有的可编程逻辑器件。比如,处理器采用单片机,如89S52、 80C52、 8752等51系列的单片机或其他型号的单片机或微处理器。加密器26包括第一加密器和第二加密器,所述第一加密器用于将账户对 应密码用所述发卡行对应的银行加密密钥进行加密或者账户对应密码用第三 方提供的银行加密密钥进行加密,第二加密器用于将交易金额用预先设定的 第一加密密钥加密。加密器26也可以将账户对应密码用第三方提供的银行加密密钥进行加 密,并且第三方还将对应的银行解密密钥发送至签约的合作银行,各个合作 银行的银行解密密钥可以是不相同的,也可以是相同的,但是各个合作银行 采用接收到的银行解密密钥都能解密出账户对应密码。加密器26通常采用后两种方式进行加密,第一加密密钥是中间平台2与 各家商户约定的,用于中间平台2与各家商户之间的安全通信。所述中间平 台2为受理机具1与各家银行之间通信的一平台。受理机具1不直接与各家 银行建立连接,它是通过中间平台2进行与各家银行的通信。每一第一加密 密钥可以在中间平台2上设置有对应的解密密钥。在本实施例中,第一加密 密钥采用是私钥,则第一加密密钥可以用来标识不同的受理^L具1,即每一第 一加密密钥对应一受理机具1,而中间平台2保存的公钥,它可以采用该公钥 来解密不同受理机具1各自独立的第一加密密钥加密的数据。加密器26可以仅包括第一加密器,也可以包括第一加密器和第二加密器。 另外,加密器26可以单独设置,也可以是集成在处理器上。即加密器26可 以采用独立的单片机,比如采用MCS型号的单片机。这样的话,加密器26 连接处理器21。在本实施例中,加密器26是作为一软件模块集成在所述处理器21上。处理器21将未解密的用户身份信息、第一加密器加密的账户信息 及第二加密器加密的交易金额按照预先设定格式发送至通信单元25 。当发卡机构与中间平台的提供商为同一机构时,也就是说,发卡子系统 不是一个单独的系统,它集成在中间平台时,每一家受理机具采用的第一加 密密钥和银行加密密钥可以是相同的,这样,受理机具利用第一加密密钥加 密账户对应密码和消费金额,而中间平台利用公钥来解密该些信息,并处理 此次交易。处理器21可以接收外部输入的指令来完成对应的工作,比如,接收到更 新发卡行的银行加密密钥时更新本地存储的银行加密密钥。所述受理机具1还包括API接口,用于建立受理机具1与中间平台2的 衔接,包括获得包括用户身份证号的用户身份信息、输入交易金额,受理机 具1上的API接口还可以进行其它的设置,主要是能够通过API接口实现与 中间平台2的无缝衔接,当然,也可以通过该API接口实现受理机具1与其 它外部设备的连接。本发明通过在其上设置API接口来实现受理机具1良好 的扩展性和兼容性。通信单元25,用于建立与中间平台2的交互将加密后的信息传送至中 间平台2以及将中间平台2传送的处理结果返回至处理器21。通信单元25为 支持固定电话、各种网络拨号方式的调制解调器或直接通过局域网与对端连 接的专用端口 。该通信单元25主要是建立受理机具1与中间平台2的连接, 也就是说,受理机具1上的通信单元25与中间平台2上的通信接口 62是对 应的。它们可以是支持固定电话、GPRS、 CDMA网络等多种拨号方式的调制 解调器或者是其它特定端口通讯。请参阅图4,其为本发明受理机具的一实例结构示意图。该受理机具类似 一盒形,它包括一外壳和内部结构。外壳正面的最上方设置一显示屏31,用 于显示信息,显示屏的正下方为用于用户或商户输入信息的键盘区33。键盘 区33下方设置有身份证读卡器22,当第二代身份证位于放卡区域34时,第 二代身份证中未解密的信息会被身份证读卡器22读出。即,第二代身份证与 身份证读卡器22之间无需直接接触的情况下就能完成对第二代身份证进行读取操作。身份证读卡器22不断通过其内部线圏发出一个固定频率的电磁场激 发信号,当某一身份证放在读卡器的放卡区域34内,则身份证上的线圈在该 电磁场激发信号的感应产生出微弱的电流,作为身份证上芯片的电源,而该 芯片内存贮有用户身份信息,身份证上的芯片在该电^f兹场激发信号的作用下, 能将该芯片内存贮的用户身份信息反馈至身t分证读卡器22,进而完成读卡操 作。身份证读卡器22将读出的未解密的用户身份信息反馈至设置在内部结构 上的处理器21。并且,处理器21将要求用户输入账户对应密码和要求商户输 入交易金额的信息分别反馈至显示屏31上进行显示,以便提示用户输入账户 对应密码和提示商户输入交易金额。处理器21会通过44盘区33分别接收用户输入的账户对应密码和商户输 入的交易金额,并通过加密器进行加密处理后,再传送至通信单元25。在本 实例中,通信单元25可以采用直接通过局域网与对端连接的专用端口 32。本发明提供的受理机具,能够利用包含IC卡的身份证(如第二代身份证)进 行消费交易,并结合银行卡一起使用,安全性非常高。本受理机具利用现有 第二代身份证加密效果佳、普及等特点进行消费交易,降低成本投入且安全 系数高。本受理机具的身份证读卡器可以是由专门厂家提供的。请参阅图5,其为本发明的第二种受理机具的结构原理示意图。它包括一 身份证读卡器41和一计算机终端42。加密器作为一软件模块集成在处理器 423上。请参阅图6,其为本发明的第三种受理机具的结构原理示意图。它包括一 身份证读卡器51、加密器52和一计算机终端53,其中,所述身份证读卡器51,包括天线511、 RF模块512,用于读取未解密的 用户身份信息;加密器52,包括一单片机521和至少包括一接口 522,所述单片机521 分别连接每一接口 522、 523,所述单片机521用于将交易金额用预先设定的 第一加密密钥加密,以及账户对应密码用所述发卡行对应的银行加密密钥进 行加密或者账户对应密码用第三方提供的银行加密密钥进行加密,所述一接口 522连接计算^/L终端53;计算机终端53,其包括输入单元531、输出单元532、处理器533和若干 通信单元534、 535,输入单元531,用于接收外部输入的信息接收商户输入的交易金额、接 收用户输入的账户对应密码或者接收用户输入的账户对应密码及用户选定的 发卡行信息;输出单元532,用于将交易结果进行输出;处理器533,分别连接输入单元531、输出单元532和通信单元534、 535, 用于将所述输入单元531发送的信息传送至加密器52上进行加密,将加密后 的信息传送至一与中间平台2建立交互的通信单元535,以及将通信单元535 反馈的处理结果传送至输出单元532;通信单元534、 535,用于建立与外部设备的交互, 一个通信单元534用 于建立与加密器52的连接,另一个通信单元535用于建立与中间平台2的连 接。与中间平台2交互的所述通信单元535为支持固定电话、各种网络拨号 方式的调制解调器或直接通过局域网与对端连接的专用端口。与加密器52交互的通信单元534可以是USB接口或其它能建立通信的 其它接口 。加密器52的所述单片机521可以为MCS51或其它类型的单片机。以上公开的仅为本发明受理机具的几个实施例。受理机具1可以是将所 有的单元设置在一个大容器中,如图4所示。另外,受理机具1也可以是由 两个独立的部件组成,比如,输入单元421、输出单元422、处理器423和通 信单元425集成在一计算机终端42,身份证读卡器41又是一个独立的部件, 当身份证读卡器41读出的未解密的用户身份信息不能直接读入计算机终端42 的处理器423时,也可以在身份证读卡器41和计算机终端42分别通过设置 在本端的接口进行互连,如图5所示。还有,受理机具1可以是由三个独立 的部件组成,比如,输入单元531、输出单元532、处理器533和通信单元534、 535集成在计算机终端53上,加密器52也是一个独立的部件,身份证读卡器1751也是一个独立的部件,加密器52和计算;f几终端53通过设置在本端的接口 进行互连,如图6所示。还有,所述处理器还可以包括API接口,用于建立商户与中间平台的衔接, 包括从受理机具1上获得包括用户身份证号的用户身份信息、输入交易金额, 受理机具1上的API接口还可以进行其它的设置,主要是能够通常API接口 实现与中间平台2的无缝衔接,当然,也可以通常该API接口 342实现受理 机具i与其它外部设备的连接。本发明通过在其上设置API接口来实现受理 机具1良好的扩展性和兼容性。基于上述公开的受理机具,本发明下述介绍中间平台2和发卡子系统3。 还请参阅图2,中间平台2主要是用于建立商户与发卡行之间的交易。该 中间平台2可以釆用阿里巴巴公司的支付宝平台。用户可以预先在中间平台2 上开通利用身份证号码进行交易付费的方式。发卡子系统3的合作银行可以 预先和中间平台2进行签约,使用合作银行的用户在交易时只需告知开户银 行的名称,就能直接输入银行账户口密码完成支付、信用卡预授权等操作。中间平台2可以包括第二处理器61、通信接口 62和身份解密器63。身份解密器63,用于将未解密的用户身份信息进行解密。所述身份解密 器63包括至少一块解密芯片。IC卡的制作厂家是由公安部指定的,在设置IC 卡上的用户身份信息时采用公安部提供的预先设定的加密算法。并且,厂家 可以将包含对应解密算法的解密芯片提供至中间平台。身份解密器63可以为一块解密芯片。当然,为了提高中间平台2的解密 能力,本实施例中身份解密器63可以为多块具有解密能力的解密芯片。这些 解密芯片可以采用并行处理的方式解密不同受理机具1传送的未解密用户身 份信息。身份解密器63也可以是一服务器,在服务器上设置多块具有并行处 理能力的解密芯片。身^P分解密器63也可以为一软件^^莫块,集成在第二处理器 61中。第二处理器61,用于接收由受理机具1发送过来的数据,并解析出各类 数据,如未解密的用户身份信息、未解密的账单信息及交易金额信息,并将 未解密的用户身份信息发送至身份解密器63进行解密,若查找到所述用户身份信息对应的银行账户,则交易金额、银行账户和未解密的账户对应密码组成的交易信息发送至发卡子系统3,否则将用户身份信息、交易金额和未解密 的账户对应密码组成的新交易信息发送至发卡子系统3,以及将发卡子系统3 返回的处理结果进行保存后返回。另外,中间平台2还可以包括第二解密器。若第二处理器接收到的交易 金额是被第二加密器进行加密的,则对应地,第二处理器将已加密的交易金 额预先通过第二解密器进行解密。第二解密器可以为一解密芯片,也可以为 一集成在第二处理器上的软件模块。中间平台2上预先保存有第一解密密钥,其能够解密各受理^l具中第一 加密密钥加密的数据,当中间平台2接收到经加密后的加密信息后,找到对 应第一解密密钥解密所述信息,所述信息通常包括订单金额。中间平台2保 存第一加密密钥、用户身份信息和订单金额等。当发卡子系统3返回本次扣 款是否成功的处理结果时,将处理结果也进行保存。所述第二处理器61包括^L行账户获取单元和数据库存储单元,所述数据 库存储单元存储用户的身份证号与银行账户的对应关系。在进行交易之前, 用户可以预先在中间平台2上设置与该用户身份证号对应的银行账号,特别 是当用户选择付款的发卡行上,该用户身份证号对应的银行账号为多个时, 用户通常需要预先到中间平台2上进行设定。因此,当第二处理器解密出由 受理机具1发送的加密信息后,利用解密后的用户身份证号查找数据库存储 单元,若能找到对应的银行账号,则将银行账户作为发送至发卡子系统的交 易信息的一部分。事实上,中间平台2和发卡行预先进行约定两者传送时的 数据结构,数据结构中包含银行账号这一字段,找到的银行账号可以放置在 对应的字段上,以便发卡行能够识别并读取。通信接口 62,分别建立与受理机具l、发卡子系统3之间的通信。发卡子系统3,查找所述用户身份证号对应的银行账号,核对解密后的账 户密码,处理所述交易并将交易处理结果返回。发卡子系统3通常包括第三处理器和数据库。数据库上保存有银行账户信息,包含所述银行账户的开户者信息、银行账户、账户对应的密码、金额等。第三处理器包括数据解读处理模块、解密模块、交易处理模块,其中, 解读处理模块,用于读取从中间平台发送过来的交易请求,从中解读出用户 身份信息、加密的账户密码,银行账户等。解密模块,将加密的账户密码进行解密后得到账户密码; 交易处理模块,当解读的信息中包含银行账户时,将解密后的账户密码 与数据库上保存的账户密码进行比对,若相同,则通过,进行扣款处理,若 不相同,则认证未通过。当解读的信息中未包含银行账户时,通过用户身份 证号找到对应的银行账户,若该发卡行中同 一身份证号码对应多个银行账号, 则支付失败并提示到中间平台预设其银行账号。当交易信息中包含4艮行账号, 则只需对该银行账号进行扣款处理。第二处理器和第三处理器上分别设置有第三加/解密单元和第四加/解密 单元,所述第三加/解密单元用于发送信息至发卡子系统之前运用预先保存的 与该发卡行约定的密钥进行加密,以及在接收到发卡子系统发送的信息后用 预先保存的与该发卡行约定的密钥进行解密,所述第四加/解密单元,用于发 送信息至中间平台2之前运用预先保存的密钥进行加密,以及接收信息后运 用对应的密钥进行解密。当然,发卡子系统和中间平台可以是由同一机构提供的,这样,将第三 处理器实现的功能都集成在中间平台的第二处理器上。即, 一种中间平台,包括第二处理器、身份解密器和通信接口,和数据 库存储区,其中,身份解密器,用于将未解密的用户身份信息进行解密;第二处理器,用于对接收到的账户对应密码进行解密,在数据库存储区查找到所述用户身份信息对应的银行账户,核对所述银行账户密码与解密得到后的账户对应密码,处理所述交易;通信接口,用于建立与外部设备之间的通信接收包含未解密用户身份信息、未解密账户对应密码和消费金额的交易请求,以及返回交易处理结果;数据库存储区,用于存储包括用户身份信息与银行账户对应关系、银行 账户和账户密码之间对应关系的数据。上述的中间平台还具有发卡行的功能,能够直接进行交易处理。请参阅图7,其为一种利用包含IC卡的身份证进行交易的支付方法的流 程图。它包括S110:身份证读卡器读出未解密的用户身份信息。S120:将用户输入的账号密码加密后,与未经解密的用户身份信息以及 交易金额传送至中间平台。S130:若查找到所述用户身份信息对应的银行账户,则将交易金额、银 行账户和未解密的账户对应密码组成的新交易信息发送至发卡子系统,否则 将用户身份信息、交易金额和未解密的账户对应密码组成的新交易信息发送 至发卡子系统。S140:发卡子系统直接查找银行账号或查找用户身份信息对应的银行账 号,核对解密后的账户对应密码,处理所述交易并将交易处理结果返回。该步骤还包括,发卡子系统查找所述用户身份证号对应的银行账号,若 该发卡行中同一身份证号码对应多个银行账号,则支付失败并提示至中间平 台要求用户设定一对应用于支付的银行账号。在本方法中,步骤S110之前还包括预先在中间平台上存储用户的身份 证号与银行账户的对应关系;步骤S130还包括中间平台解密出用户身份证 号,若能找到解密后的身份证号对应的银行账户,则将所述银行账户作为交 易信息的一组成部分传送至所述发卡子系统。以下就以支付宝为例,来说明本发明的一应用过程。请参阅图8,其为本 发明的一实例。它包括Sll:身份证读卡器接收消费者出示的二代身份证; S12:身份证读卡器将读取的信息发送至处理器; S13:商户利用输入单元输入本次交易的金额;S14:消费者利用输入单元输入本次交易所使用的付款银行及对应的银行密码;处理器将银行密码用预先存储在本地的本银行对应的银行加密密钥进行 加密,并且利用预先存储的第 一加密密钥将订单金额进行加密; S15:处理器将信息通过通讯单元发送至支付宝;S16:支付宝解密交易金额,并利用身份解密器解密用户身份信息,后将 交易金额、用户身份信息以及未解密的账户密码发送至对应的发卡子系统。若所述信息中携带有用户选择的发卡行信息,则支付宝将用户身份信息, 订单金额等发送至对应的发卡行进行处理。若所述信息中未携带有发卡行信 息,支付宝可以依次给合作银行发送扣款处理,直至找到某一合作银行扣款 成功为止。若在所有合作银行中都不能实现扣款成功,则反馈回扣款失败的 处理结果;S17:支付宝将处理结果反馈至对应的商户的处理器,处理器根据扣款情 况决定交易是否进行后续处理。支付宝可以直接将扣款结果及扣款情况反馈至用户,也可以是发卡行将 扣款结果和扣款情况反馈至用户。本发明还提供了一种利用包含IC卡的身份证进行身份认证的系统及方 法。在现有的交易过程中,通常采用卡号和PIN码的方式进行认证,当卡号 和PIN码泄漏后,4艮容易造成财产损失。为此,本发明提供了 一种利用包含IC卡的身份证进行身份认证的系统。 它包括身份证读卡器、受理终端和认证平台。身份证读卡器可以采用上述公开的身份证读卡器。为了携带方便,本发 明的身份证读卡器可以为USB形状的产品。它提供基于USBR接口的即插即 用的解决方案,只要将身份证读卡器插入电脑的标准USB接口就可以开始工 作。本实施例中身份"i正读卡器上还可以内置一个含有CPU和内存的芯片。受理终端可以为受理机具,也可以是一个电脑终端。当身份证读卡器为 一具有USB接口的产品时,受理终端也应设置有USB接口。受理终端连接身 份证读卡器,并且受理终端通过专线或网络连接认证平台。22受理终端用于将身份证读卡器读出的未解密的用户身份发给认证平台, 接收返回的用户身份后认证所述用户身份。认证平台可以包括控制器、与受理终端连接的通信*接口和身份解密器。身份解密器,用于将未解密的用户身份信息进行解密。所述身份解密器包括至少一块解密芯片。IC卡的制作厂家是由公安部指定的,在设置IC卡上的用户身份信息时采用公安部提供的预先设定的加密算法。并且,厂家可以 将包含对应解密算法的解密芯片4是供至认证平台。身份解密器可以为一块解密芯片。当然,为了提高认证平台的解密能力, 本实施例中身份解密器可以为多块具有解密能力的解密芯片。这些解密芯片 可以采用并行处理的方式解密不同受理终端传送的未解密用户身份信息。身 份解密器也可以是一服务器,在服务器上设置多块具有并行处理能力的解密 芯片。身份解密器也可以为一软件模块,集成在控制器中。控制器,用于接收由受理终端发送过来的数据,并解析未解密的用户身4分信息后返回。认证平台可以采用中间平台。请参阅图9,其为一种利用包含IC卡的身々分证进行身份认证的方法的流 程图。它包括S210:身份读卡器读取身份证上未解密的用户身份信息。当身份证靠近 身份证读卡器时,身份读卡器即可读出其上未解密的用户身份信息,并将所 述读出的信息发送至受理终端。S22(h受理终端接收身份证读卡器发送的未解密用户身份信息,发送至 认证平台。受理终端接收到该些信息后,按预先设定的格式发送至认证平台。 S230:认证平台解密用户身份信息,确认其身份后返回至受理终端。认证平台解密所述用户身份信息,返回至受理终端。受理终端可以获知 其身份信息,进行身份验证。本实施例中最简便的身份验证是读出的身份信息(如用户姓名、照片)与消费者进行对照。本发明还可以预先保存一密码,当需要对用户进行认证时,不仅验证其 身份信息,还需要将用户输入的密码与保存的密码进行对比,若相同,则通 过验证。以上公开的仅为本发明的几个具体实施例,但本发明并非局限于此,任 何本领域的技术人员能思之的变化,都应落在本发明的保护范围内。
权利要求
1、一种利用包含IC卡的身份证进行交易的支付系统,其特征在于,包括受理机具、中间平台和发卡子系统,所述受理机具包括身份证读卡器、输入单元、加密器、处理器、通信单元,其中,身份证读卡器,用于读取未经解密的用户身份信息;输入单元,用于接收外部输入的信息接收商户输入的交易金额、接收用户输入的账户密码或者 接收用户输入的账户密码及用户选定的发卡行信息;处理器,用于将所述输入单元发送的信息发送至加密器进行加密,并将加密后的信息与未经解密的用户身份信息发送至通信单元;加密器至少包含第一加密器,所述第一加密器用于将账户信息中的账户对应密码用所述发卡行对应的银行加密密钥进行加密或者账户对应密码用第三方提供的银行加密密钥进行加密;通信单元,用于建立与中间平台的交互将加密后的信息传送至中间平台以及将中间平台传送的处理结果返回至处理器;中间平台,包括第二处理器、身份解密器和通信接口,身份解密器,用于将未解密的用户身份信息进行解密;第二处理器,用于保存解密后的用户身份信息和交易金额,若查找到所述用户身份信息对应的银行账户,则将交易金额、银行账户和未解密的账户对应密码组成的新交易信息发送至发卡子系统,否则将用户身份信息、交易金额和未解密的账户对应密码组成的新交易信息发送至发卡子系统,以及将发卡子系统返回的处理结果进行保存后返回;通信接口,分别建立与受理机具、发卡子系统之间的通信;发卡子系统,直接查找银行账号或查找用户身份信息对应的银行账号,核对解密后的账户对应密码,处理所述交易并将交易处理结果返回。
2、如权利要求l所述的系统,其特征在于,所述身份证读卡器包括天线 和RF模块,RF模块连接天线,用于将接收到的未解密的用户身份信息传送至处理器。
3、 如权利要求l所述的系统,其特征在于,所述身份解密器包括一块或 多块具有并行处理能力的解密芯片。
4、 如权利要求1或2所述的系统,其特征在于,加密器还包括第二加密 器,用于将消费金额用预先设定的第一加密密钥进行加密,所述中间平台还 包括第二解密器,用于对由第 一加密密钥加密的消费金额进行解密。
5、 如权利要求4所述的系统,其特征在于,受理机具保存的第一加密密 钥为各自独立且能够标识其受理机具的私钥,中间平台釆用同 一公钥来解密 由不同受理机具发送的加密消费金额。
6、 如权利要求4所述的系统,其特征在于,发卡子系统集成在中间平台 上,第一加密器和第二加密器为同一加密器。
7、 如权利要求1或2所述的系统,其特征在于,所述通信单元和通信接 口为支持固定电话、各种网络拨号方式的调制解调器或直接通过局域网与对 端连接的专用端口。
8、 一种利用包含IC卡的身份证进行交易的支付方法,其特征在于,包括(1) 身份证读卡器读出未经解密的用户身份信息;(2) 将用户输入的账号密码加密后,与未经解密的用户身份信息以及交易 金额传送至中间平台;(3) 中间平台解密接收到的用户身份信息,若查找到所述用户身份信息对 应的银行账户,则将交易金额、银行账户和未解密的账户对应密码组成的新 交易信息发送至发卡子系统,否则将用户身份信息、交易金额和未解密的账 户对应密码组成的新交易信息发送至发卡子系统;(4) 发卡子系统直接查找银行账号或查找用户身份信息对应的银行账号, 核对解密后的账户对应密码,处理所述交易并将交易处理结果返回。
9、 如权利要求8所述的方法,其特征在于,步骤(l)之前还包括预先在中间平台上存储用户的身份证号码与银行账户的对应关系;步骤(3)还包括中间平台解密出用户身份证号码后,若能找到解密后的 身份证号码对应的银行账户,则将所述银行账户作为交易信息的一组成部分 传送至所述发卡子系统。
10、 如权利要求8或9所述的方法,其特征在于,步骤(2)中还进一步包括受理机具将交易金额用预先设定的第一加密密 钥加密;步骤(3)还包括中间平台将未解密交易金额进行解密。
11、 如权利要求8或9所述的方法,其特征在于,步骤(4)还包括,发卡子系统查找所述用户身份信息对应的银行账号,若该发卡行中同一 身份证号码对应多个银行账号,则支付失败并提示至中间平台要求用户设定 一对应用于支付的银行账号。
12、 一种受理机具,包括包含天线和RF模块的身份证读卡器,输入单元、 加密器、处理器、通信单元,其中,身份证读卡器,用于读取未经解密的用户身份信息;输入单元,用于接收外部输入的信息接收商户输入的交易金额、接收 用户输入的账户密码或者接收用户输入的账户密码及用户选定的发卡行信处理器,用于将所述输入单元发送的信息发送至加密器进行加密,并将 加密后的信息与未经解密的用户身份信息发送至通信单元;加密器至少包含第 一加密器,所述第 一加密器用于将账户信息中的账户 对应密码用所述发卡行对应的银行加密密钥进行加密或者账户对应密码用第 三方提供的银行加密密钥进行加密;通信单元,用于建立与外部设备的交互。
13、 一种中间平台,其特征在于,包括第二处理器、身份解密器和通信 接口,和数据库存储区,其中,身份解密器,用于将未解密的用户身份信息进行解密;第二处理器,用于对接收到的账户对应密码进行解密,在数据库存储区 查找到所述用户身份信息对应的银行账户,核对所述银行账户密码与解密得到后的账户对应密码,处理所述交易;通信接口,用于建立与外部设备之间的通信接收包含未解密用户身份 信息、未解密账户对应密码和消费金额的交易请求,以及返回交易处理结果;数据库存储区,用于存储包括用户身份信息与银行账户对应关系、银行 账户和账户密码之间对应关系的数据。
14、 一种中间平台,其特征在于,包括第二处理器、身份解密器和通信 接口,其中,身份解密器,用于将未解密的用户身份信息进行解密;第二处理器,用于保存用户身份信息和消费金额,若查找到所述用户身 份信息对应的银行账户,则将交易金额、银行账户和未解密的账户对应密码 组成的新交易信息发送至发卡子系统,否则将用户身份信息、交易金额和未 解密的账户对应密码组成的新交易信息发送至发卡子系统,以及将发卡子系 统返回的处理结果进行保存后返回;通信接口,建立与外部设备之间的通信接收受理机具发送的包含消费 金额、用户身份信息和账户密码的交易请求,将新的交易请求发送至发卡子 系统,接收从发卡子系统返回的处理结果,还将处理结果返回至受理机具。
15、 一种利用包含IC卡的身份证进行身份认证的方法,其特征在于,包括(1) 身份读卡器读取身份证上未解密的用户身份信息;(2) 受理终端接收身份证读卡器发送的未解密用户身份信息,发送至认证平台;(3 )认证平台解密用户身份信息,确认其身份后返回至受理终端。
全文摘要
一种利用包含IC卡的身份证进行交易的支付方法,包括(1)身份证读卡器读取未解密的用户身份信息;(2)将商户输入的交易金额用第一加密密钥加密,用户输入的账户对应密码用银行加密密钥进行加密,并将之和未解密的用户身份信息一起传送至中间平台;(3)中间平台解密所述用户身份信息,发送新交易信息发送至发卡子系统;(4)发卡子系统查找银行账号,核对解密后的账户对应密码,处理所述交易并将交易处理结果返回。本发明利用现有第二代身份证加密效果佳、普及等特点进行消费交易,降低成本投入且安全系数高。
文档编号G07F7/10GK101324942SQ20071011239
公开日2008年12月17日 申请日期2007年6月13日 优先权日2007年6月13日
发明者袁雷鸣 申请人:阿里巴巴集团控股有限公司