户支付成功后,电商发送交易成功通知至用户。
[0028]在用户ATM终端、银行、电商三方之间,本发明利用在ATM终端上搭载的的交易过程。在交易开始时生成一系列会话密钥,并通过加密手段传输,用对称算法替换了非对称算法,使得后续交互流程中整体减少非对称算法的计算量。
[0029]用户,银行中间业务平台,电商,防火墙来交换他们的数字证书,总共需要生成5个会话密钥S1-S5。会话密钥为对称密钥,进行如下交换:
[0030]将银行中间业务平台和用户之间的会话密钥SI使用用户的公钥加密并附带银行中间业务平台数字证书的方式发送给用户;用户收到银行中间业务平台的信息后解密,验证完整性及银行中间业务平台身份;用户确认银行中间业务平台身份无误后,生成回复信息并加密;银行中间业务平台收到用户的信息后解密,验证完整性及用户的身份。
[0031]将防火墙和用户之间的会话密钥S2使用用户的公钥加密发送给用户;用户收到防火墙的信息后解密,验证完整性及防火墙身份,生成回复信息并加密;防火墙收到用户的信息后解密,验证完整性及用户的身份。
[0032]将银行中间业务平台和电商之间的会话密钥S3使用电商的公钥加密并附带银行中间业务平台数字证书的方式发送给电商;电商收到银行中间业务平台的信息后解密,验证完整性及银行中间业务平台身份;确认银行中间业务平台身份无误后,生成回复信息并加密;银行中间业务平台收到电商的信息后解密,验证完整性及电商的身份。
[0033]将防火墙和电商之间的会话密钥S4使用电商的公钥加密发送给电商;电商收到防火墙的信息后解密,验证完整性及防火墙身份,生成回复信息并加密;防火墙收到电商的信息后解密,验证完整性及电商的身份。
[0034]将防火墙和银行中间业务平台之间的会话密钥S5使用银行中间业务平台的公钥加密发送给银行中间业务平台;银行中间业务平台收到防火墙的信息后解密,验证完整性及防火墙身份,生成回复信息并加密;防火墙收到银行中间业务平台的信息后解密,验证完整性及银行中间业务平台的身份。
[0035]至此,会话密钥已通过强安全性的手段发放到各参与者手中,可用于执行接下来的交易流程。
[0036]用户在银行中间业务平台上发起订单时,发送交易初始化信息给银行中间业务平台,银行中间业务平台接收信息,回复订单确认信息给用户;用户向银行中间业务平台发起正式付款申请;银行中间业务平台确认订单信息;防火墙确认订单信息,同时确认银行中间业务平台并未对订单进行修改;银行中间业务平台确认支付信息的完整性并传递;防火墙确认支付信息以及支付信息的完整性;银行中间业务平台验证数据包是否被篡改,让防火墙验证数据包是否被篡改;银行中间业务平台接收信息并解密验证完整性;银行中间业务平台确认处理完毕后,将支付信息传递给防火墙证明银行中间业务平台对订单内容未作修改,防火墙收到信息后解密验证完整性;防火墙对银行中间业务平台的支付申请信息进行应答,对授权信息加密,电商收到后也通过同一个对称密钥解密;银行中间业务平台对用户的支付请求进行应答;银行中间业务平台向用户发回确认,同意用户经过防火墙进入银行的网络进行付款操作;用户在银行的网络付款操作完成后,防火墙将付款完成信息发送给银行中间业务平台;
[0037]电商登录银行中间业务平台进行收款时:首先发起收款申请,银行中间业务平台确认收款信息,防火墙确认收款信息,同时确认银行中间业务平台并未对订单进行修改,银行中间业务平台接收信息后验证信息可靠性,银行中间业务平台将收款信息传递给防火墙,银行中间业务平台收到信息后,确认对订单内容未作修改,防火墙收到信息后验证信息可靠性,防火墙将确认结果通知银行中间业务平台,银行中间业务平台可实施转账操作;用银行中间业务平台与防火墙的会话密钥对授权信息加密,电商收到后也通过同一个对称密钥解密。银行中间业务平台对电商进行转账。
[0038]综上所述,本发明提出了一种电商网站数据处理方法,建立覆盖大范围的安全电商网络,推动电子商务在边远地区的发展,改善金融支付环境。
[0039]显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
[0040]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种电商网站数据处理方法,其特征在于,包括: 在ATM设备上构建跨平台客户端应用,该客户端应用使用银行前端对云端服务器聚合后的第三方电商进行访问,以供客户在ATM设备上进行商品交易。2.根据权利要求1所述的方法,其特征在于,还包括: 位于银行内部的ATM电商系统由ATM设备、中间业务平台主机以及电商应用服务器和前端组成,完成与客户的自助交互以及扣款业务,同时生成订单提交给业务云平台;位于银行外部的业务云平台由呼叫中心和业务服务器组成,利用云平台承载,对ATM终端的商品交易数据进行处理,最终通过业务云平台与客户进行交互完成商品的下单; 所述第三方电商将路由器、交换机、防火墙、服务器设备采用双机冗余架构,将防火墙和入侵检测系统进行整合;在网络系统两端分别从外至内部署边界路由器、防火墙系统、入侵检测系统三层异构设备,同时在核心交换机上划分权限域,结合访问控制列表、网络地址转换、虚拟局域网,对网络、主机和ATM设备的运行日志、性能和状态进行实时监控; 其中划分权限域进一步包括:将各分支行划分为不同的权限域,在权限域边界部署防火墙设备,对端口、服务进行限制,总行内部的局域网使用VLAN、访问控制列表来实现对各功能区域的逻辑隔离;防火墙系统设置可信企业内部网和不可公共网或网络权限域之间,通过监测、限制和更改跨越防火墙的数据流,来屏蔽网络内部的信息; 在与电商平台连接的网络系统中部署入侵检测系统实时检测,分析网络上的通信和应用数据流,对进出权限域边界或进出存储有涉密信息的关键网段、服务器主机的通信数据流进行监控,及时发现违规和异常行为并进行处理,具体包括: 以旁路监听方式秘密监测网络信息包;根据实际业务需要定制规则,对特定的非法访问行为或除特定合法访问行为外的所有访问行为进行监控;分析应用协议,自动检测网络实时数据流中符合特征的攻击行为;维护一个病毒特征库,针对已经发现的病毒攻击提供相关事件规则。
【专利摘要】本发明提供了一种电商网站数据处理方法,该方法包括:在ATM设备上构建了跨平台客户端应用,该客户端应用使用银行前端对云端服务器聚合后的第三方电商进行访问,以供客户在ATM设备上进行商品交易。本发明提出了一种电商网站数据处理方法,建立覆盖大范围的安全电商网络,推动电子商务在边远地区的发展,改善金融支付环境。
【IPC分类】H04L29/06
【公开号】CN105577683
【申请号】CN201610033621
【发明人】董政, 吴文杰, 陈露, 李学生
【申请人】成都陌云科技有限公司
【公开日】2016年5月11日
【申请日】2016年1月19日