基于支付确认终端和数字证书实现安全支付的方法和装置的制作方法

文档序号:6598805阅读:183来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:基于支付确认终端和数字证书实现安全支付的方法和装置的制作方法
基于支付确认终端和数字证书实现安全支付的方法和装置
所属技术领域本发明属于电子支付安全领域,涉及用户通过手机/电脑等终端发起的互联网支付、手机支付、ATM提款和转账、收银台支付等各种方式的支付操作时,通过独立的支付确认 终端对电子支付请求进行确认,支付确认终端采用数字证书和数字签名技术对支付请求进 行确认,并通过移动通信网络与支付确认后台服务系统连接,是一种实现安全电子支付和 交易的方法和装置。
技术背景目前,随着电子和通信技术的发展,电子支付在全球都取得了巨大的发展。虽然电 子支付类业务/应用在全球都保持了一个良好的发展态势,但由于支付终端,网络通信环 境等各环节的不安全因素以及电子交易的敏感性,电子支付各交易环节仍面临巨大的安全 隐患,严重的影响了电子支付业务/应用的开展。因此在支付过程中严格保证交易过程及 交易信息的安全是十分必要的。当前各种安全技术的发展、安全基础设施的完善以及硬件制作技术的进步为支付 应用安全方法的建立提供了可能,相关内容包括PKI技术的发展,CA基础设施的完善、安全 芯片技术的进步、以及硬件集成技术的成熟等。发明目的本发明的目的是为了解决上述电子支付/电子付费的安全问题,本发明提出了一 种“基于独立支付确认终端和数字证书技术实现安全电子支付”的方法和装置,在信用卡、 储值卡、移动电话等的用户用户,在使用上述物品账号支付时,必须通过本发明中提出的专 用安全装置确认,方可生效。从而,可以保证在上述物品被非法盗用时,盗用人在没有获得 对应的安全装置时,无法使用其完成非法支付操作。使用户使用电子支付业务的风险降到 最小,保证交易各方利益不受损害,有效遏制电子支付过程中的黑客攻击。

发明内容本发明基于现代通信技术、安全芯片技术以及数字签名技术的发展。本说明书将使用任意电子设备(可以为电脑、手机、ATM、柜台收款机),通过固网 或移动通信网络发起的付费行为通称为电子支付行为,相关服务称为电子支付服务(包括 互联网支付、手机支付、ATM提款和转账、收银台支付等各种支付方式)。电子支付服务可以 是银行账户或第三方资金账户的扣费类服务,也可以进一步推广到对账户的所有操作及管 理服务。本发明的系统设备由支付请求终端装置(1)、支付系统装置(2)、支付确认后台服 务系统装置(3)、独立的支付确认终端装置(4)四部分组成,支付请求终端装置可以为电 脑、手机、ATM、柜台收款机等,支付系统装置可以是银行支付系统、第三方支付商系统、电信 运营商小额支付系统、具有储值和支付功能的会员服务系统等;支付请求终端装置与支付 系统装置之间、支付系统装置与支付确认后台服务系统装置之间采用互联网、无线网、专线等电信网络连接,支付确认后台服务系统装置与支付确认终端装置之间采用移动通信网络和其它电信网络连接;在支付系统装置、支付确认后台服务系统装置、支付确认终端装置均 安装有数字证书,并采用数字证书技术实现身份认证和支付的确认;支付请求终端装置与 支付系统装置之间可以采用数字证书技术或采用其它技术进行身份认证。具体系统设备 为支付请求终端装置(1)电子支付行为通过电脑、手机、ATM、柜台收款机等电子设备发起,也可以由为电话 提供服务机构的支付请求设备或某些系统发起,本说明书中将电子支付行为发起的电子设 备和系统统称为支付请求终端装置。支付请求终端装置(1)包括有通信装置(Ia),通信装置(Ia)负责与支付系统装置
(2)通信,收发信息;当进行电子支付时,通过通信装置(Ia)将支付请求信息传输到用户选 定的支付系统装置(2)中,等待接受支付响应;支付系统装置(2)本说明书中将提供电子支付过程中,提供扣费等相关服务的系统统称为支付系统 装置,可以是银行支付系统、第三方支付商系统、电信运营商小额支付系统、具有储值和支 付功能的会员服务系统等。支付系统装置(2)包括有通讯装置(2a)、个人资金账户(2b)和支付系统证书 (2c);通讯装置(2a)负责与支付请求终端装置(1)和支付确认后台服务系统装置(3)通 信;个人资金账户(2b)提供对用户的账户资金查询、资金锁定以及扣费等功能;支付系统 证书(2c)用于实现系统签名,保证信息安全;在发生电子支付时,支付系统装置(2)向支付 确认后台服务系统装置(3)发送带本系统签名的支付确认请求,等待接受支付确认响应;支付确认后台服务系统装置(3)本说明书中将接受支付系统装置请求,向电子支付用户发送支付确认信息并接收 用户支付确认结果的系统统称为支付确认后台服务系统装置。支付确认后台服务系统(3)具有用户管理功能、支付确认终端管理功能、数字证 书签名/验签运算功能等,同时维护用户ID与支付确认终端ID和移动通信接入号码的对 应绑定关系表,能够同时为多家支付系统提供服务,支付确认后台服务系统(3)包括有通 讯装置(3a)、个人资料库(3b)、支付系统资料库(3c)和支付确认后台服务系统证书(3d); 通讯装置(3a)负责与支付系统装置(2)和支付确认终端装置(4)通信;个人资料库(3b)记 录了用户与支付系统账户以及支付确认终端的所属关系,用于支付确认后台服务系统装置
(3)根据从支付系统装置(2)收到的支付请求信息中的支付系统账户查找用户使用的支付 确认终端装置信息;支付系统资料库(3c)记录了所有可使用支付确认后台服务系统装置 (3)服务的合法的支付系统装置(2),通过其验证发起支付确认请求的支付系统装置(2)的 合法性;支付确认后台服务系统证书(3d)用于实现系统签名,保证消息安全;在发生电子 支付时,支付确认后台服务系统装置(3)向对应的支付确认终端装置(4)发送带本系统签 名以及对应支付系统签名的支付确认请求,等待支付确认终端装置(4)返回的确认结果;支付确认终端装置(4)本发明中,电子支付用户的支付确认行为通过本发明中设计的专用安全终端发 起,本说明书中将电子支付确认行为发起的专用安全终端称为支付确认终端装置。支付确认终端装置(4)与支付请求终端装置独立,双方可以采用不同的通信方式或不同的通信通 道与各自对应的系统连接;支付确认终端装置和支付请求终端装置也可以设计在同一硬件 载体上(如与手机合一的终端),但必须保证二个终端的系统是完全独立的,不能从一个系 统侵入另一个系统。支付确认终端装置(4)具有以下功能数字证书存储、签名/验签密码运算、通过移动通信网实现数据通信、信息显示功能、确认按键功能,可以与支付确认后台服务系统进 行通信等,包括有用户的个人证书(4a)、支付系统证书(4b)、支付确认后台服务系统证书 (4c)、通信装置(4d)、信息提示装置(4e)、信息显示装置(4f)以及信息输入装置(4g);用 户的个人证书(4a)用于实现用户签名,保证信息安全;支付系统证书(4b)用于验证支付系 统装置(2)签名;支付确认后台服务系统证书(4c)用于验证支付确认后台服务系统装置 (3)签名;通信装置(4d)负责与支付确认后台服务系统装置(3)通讯,接受支付确认通知, 并返回确认结果;信息提示装置(4e)负责通过声音、震动、指示灯等方式提示用户,收到确 认信息;信息显示装置(4f)负责显示支付信息,供用户查看;信息输入装置(4g)供用户提 供输入支付确认信息,向支付确认后台服务系统装置(3)提交确认结果本发明方法包括如下步骤a.用户使用安全支付服务之前,需先向支付系统和支付确认后台服务系统进行业 务登记和注册,支付系统需登记用户ID、用户资金账号、支付确认终端设备ID等信息;支付 确认后台服务系统需登记用户支付确认终端的移动通信接入号码、用户ID(或用户名)、用 户ID证书、支付确认终端设备ID、支付确认终端设备证书等信息,并将这些信息进行捆绑;b.支付系统和支付确认后台服务系统需预先安装各自的服务器数字证书;c.用户通过支付请求终端(1)发起电子支付服务请求时,支付请求终端(1)通过 通信网络将用户支付请求信息发送给对应的支付系统(2);d.支付系统(2)使用本系统数字证书对交易信息签名后,通过通信网络将带本系 统签名的用户交易信息发送给支付确认后台服务系统(3),委托其向用户持有的支付确认 终端装置(4)发送支付确认请求;e.支付确认后台服务系统(3)验证电子支付系统(2)签名的有效性,对待确认交 易信息进行签名,并查找与该用户关联的支付确认终端(4)移动通信号码或设备ID,依据 该通信号码,通过移动通信网络或其它通信网络向用户支付确认终端(4)发送包含支付系 统(2)和支付确认后台服务系统(3)签名的支付确认请求,支付确认请求可以通过密文或 明文方式发送;f.支付确认终端(4)验证电子支付系统和支付确认后台服务系统的签名,提示用 户收到支付确认信息;g.用户通过支付确认终端(4)信息屏幕查看收到的支付确认信息,用户核对无误 后,通过支付确认终端(4)的按钮进行支付确认;h.支付确认终端(4)调用用户数字证书对用户支付确认结果信息进行签名,并通 过移动通信网络或其它通信网络将包含用户签名的支付确认结果信息返回支付确认后台 服务系统(3),该确认结果信息可以通过密文或明文传送;i.支付确认后台服务系统(3)收到用户确认结果后,验证用户签名,验证通过后 使用本系统证书对确认结果签名,并将包含本系统签名和用户签名的确认结果发给电子支付系统⑵;j.电子支付系统(2)验证支付确认后台服务系统(3)签名有效性,根据用户支付 确认结果为用户提供支付或其它后续服务。在整个支付过程中,采用数字证书技术,实现支付系统装置、支付确认后台装置以 及用户(通过支付确认终端装置代表)之间的身份识别和信息传递安全,并通过保留交易 各方签名的方式建立有效的电子交易凭证机制。使用数字证书技术实现安全保障的前提是 支付系统装置、支付确认后台装置以及支付确认终端装置都预先存储或安装了数字证书。 这个数字证书可以是支付确后台装置发放和管理的,也可以是行业、地方等第三方CA系统 管理和发放的通过上述方法可有效保证用户和相关交易各方利益,有效防止电子支付账户盗用 等商业罪案行为的进一步发生。

下面通过附图对本发明作进一步说明附图1是本发明方法的流程图。附图2是本发明系统的方框图。附图3是支付确认终端装置的功能构成图。附图4是支付确认终端装置的操作界面示意图。附图1、是本发明方法的流程图。参看附图1,其流程说明本发明方法的执行步骤。本发明方法执行的前提描述如下a.用户使用安全支付服务之前,需先向支付系统装置和支付确认后台服务系统装 置进行业务登记和注册,支付系统需登记用户的用户ID、用户资金账号、支付确认终端设备 ID等信息;支付确认后台服务系统需登记用户的用户支付确认终端的移动通信接入号码、 用户ID(或用户名)、用户ID证书、支付确认终端设备ID、支付确认终端设备证书等信息, 并将这些信息进行捆绑;b.支付系统和支付确认后台服务系统需预先安装各自的服务器数字证书。本发明方法执行流程描述如下当电子支付行为发生时,通过支付请求终端装置向支付系统装置发起支付请求, 此支付系统装置通过电话线或有线电缆等有线方式将交易信息及用户信息发送到支付确 认后台服务系统装置,支付确认后台装置通过发射无线信方式将正在进行的支付信息发送 给用户在后台登记的独立的支付确认终端装置上。用户利用携带的支付确认终端装置查看 接收到的电子支付信息,并可以通过支付确认终端装置立即或延时做出确认行为。用户通 过支付确认终端装置发起的支付确认信息将通过无线信号方式发送到支付确认后台装置, 由支付确认后台装置将用户的支付确认结果发送到支付系统装置,如用户未使用支付确认 终端装置发起确认行为时,本次电子支付行为同样视为无效。附图2、是本发明系统的方框图。参看附图2,本发明的设备系统包括支付请求终端装置(1)、支付系统装置(2)、支 付确认后台服务系统装置(3)、支付确认终端装置(4)四部分,其中
支付请求终端装置(1)如前所述,需具备的基本装置包含通讯装置(Ia),具备向 支付系统装置(2)发送支付请求的能力。支付系统装置(2)包含通讯装置(2a)、个人资金账户(2b)和支付系统证书(2c)。 具备处理用户电子支付请求,执行扣款以及向支付确认后台服务系统装置(3)发送支付确 认请求的能力。支付确认后台服务系统装置(3)包含通讯装置(3a)、个人资料库(3b)、支付系统 资料库(3c)和支付确认后台服务系统证书(3d)。具备处理支付系统装置(2)的支付确认 请求,向指定支付伴侣发送确认消息,接收确认结果的能力。支付确认终端装置(4)包含用户的个人证书(4a)、支付系统证书(4b)、支付确认 后台服务系统证书(4c)、通信装置(4d)、信息提示装置(4e)、信息显示装置(4f)以及信息 输入装置(4g)。具备接收支付确认后台服务系统装置(3)发来的支付确认请求,向用户显 示支付确认信息,获取用户确认结果并返回给支付确认后台服务系统装置(3)的能力。附图3、是支付确认终端装置的功能构成图。参看附图3,是本发明支付确认终端装置的功能构成图。支付确认终 端装置的功能 构成应该至少包含通信装置(4d)、信息提示装置(4e)、信息显示装置(4f)、信息输入装置 (4g)以及数字证书装置(4h),支付确认终端装置的功能不仅限于本图。通信装置(4d)负责与支付确认后台服务系统装置的通信功能。信息提示装置(4e)负责通过声音、震动、指示灯等方式提示用户,收到确认信息。信息显示装置(4f)负责显示支付信息,供用户查看。信息输入装置(4g)供用户提供输入支付确认结果信息,通过通信装置(2)向支付 确认后台服务系统装置提交确认结果。数字证书装置(4h)负责用户个人证书的申请、下载和本地存储,支付系统证书以 及支付确认后台服务系统装置的本地存储以及对三类证书的使用。附图4、是支付确认终端装置的操作界面示意图参看附图4,是本发明支付确认终端装置的示意图。支付确认终端装置应该至少包 括“显示屏幕区”(1)和“按键区”(2)两个区域。本图仅为支付确认终端装置操作界面的 示意图,支付确认终端装置的操作界面设计不仅限于本图。“显示屏幕区”(1)为文字显示区域,可显示支付确认信息以及支付确认过程相关 的输入信息、结果通知信息等,还可以利用本区域的信息展现功能,实现广告促销等信息推 送。“按键区”(2)需具备编辑数字或字母,触发接收和拒绝交易的处理功能。按键区 编辑的内容应该在“显示屏幕”显示。“附图4”示例中a.可通过“功能键”控制文本数据或支付确认付/拒绝消息发送等功能;b. “上下左右”按钮控制文本输入时的字母选择功能;c. “确认”键完成文本操作或支付确认/拒绝操作时,确定完成操作的按键。d. “取消”键删除所输入的数字或字母或取消操作时,使用的按键。实施方式1、基于独立支付确认终端和数字证书技术实现安全电子支付的方法实施例本发明有关“基于独立支付确认终端和数字证书技术实现安全电子支付的方法”实施时,建立多支付系统共用的支付确认后台服务系统装置是本一种较好的实施方式,因 为此方式下,支付确认后台服务系统装置可对外提供统一的服务,可有效降低建设成本,提 升本发明方法和装置的通用性。实施过程包括a.搭建共用的支付确认后台服务系统,该系统具有证书使用能力,可提供用户资 料管理、支付系统装置管理和专用的支付确认终端装置管理功能,并具备处理支付系统支 付确认请求,为用户的支付确认终端下发确认通知,获取并处理确认结果的能力,系统使用 之前需预先申请安装证书;b.支付系统在支付确认后台服务系统登记系统信息,并按照支付确认后台服务系 统要求对本系统进行改造,具有证书使用能力,支持与支付确认后台服务系统装置的通信 和支付确认处理功能,系统使用之前需预先申请安装证书;c.在使用服务之前,用户申领支付确认终端,并在支付确认后台服务系统登记系 统登记申领关系,如用户希望开通某支付系统的本发明相关确认服务时,需向支付系统提 交业务开通申请,由支付系统保存申请人的支付系统账户与其使用的支付确认终端装置的 对应关系,或由支付系统通知支付确认后台服务系统保存申请人的支付系统账户与其使用 的支付确认终端装置的对应关系,用户在使用服务之前需预先在支付确认终端上通过预置 或下载等方式安装数字证书。上述三方使用的证书,可以是第三方CA签发的证书,也可以是行业或企业CA签发 的证书,也可以通过在支付确认后台服务系统实现证书签发功能实现证书发放。上述事实过程完成后,用户即可通过相应支付系统使用本发明服务。下面以用户 在柜台收款机消费为示例说明。当用户使用某银行的信用卡等非现金方式消费时,如用户已申请了支付确认终端 装置,对应银行系统支持本发明方法,且用户支付确认终端装置,对应银行系统和支付确认 后台服务系统已安装或存储了数字证书。此时,在用户在在柜台收款机消费时,柜台收款机 将用户的扣款信息发送到对应银行系统;银行系统扣费前,将相关信息组织并用本系统证 书签名后,发给对应支付确认后台服务系统,委托其进行支付确认;支付确认后台服务系统 根据收到的信息查找到对应用户支付确认终端装置信息,并对支付信息做系统签名后,将 包含银行系统签名和本系统签名的支付确认信息发送到用户支付确认终端装置;支付确认 终端装置完成信息验证后,提示用户收到支付确认信息;用户查看支付确认信息无误,通过 支付确认终端装置进行支付确认;支付确认终端装置对支付确认信息签名后,发送给支付 确认后台服务系统;支付确认后台服务系统根据用户的支付确认结果向对应银行系统返回 用户确认结果;银行系统根据用户确认结果执行或拒绝执行扣费,并将扣费结果返回给柜 台收款机。支付权利人只有同时使用信用卡和支付确认终端装置才能完成消费操作,保证 了支付安全,同时由于采用基于数字证书技术的签名机制,可以通过保留交易各方签名建 立凭证机制,实现交易方抵赖,达到确保支付交易安全的目的。2、整体支付确认装置实施例本发明整体支付确认装置,如前所述由支付请求终端装置(1)、支付系统装置(2)、支付确认后台服务系统装置(3)、独立的支付确认终端装置(4)四部分组成,实施时需 实现如下特征
如前所述支付请求终端装置(1)可以为电脑、手机、ATM、柜台收款机,也可以为电话提供服务机构的支付请求设备,或需要使用支付服务的业务系统,包含通信装置(Ia)。通 信装置(Ia)负责与支付系统装置(2)通信,收发信息。当进行电子支付时,通过通信装置 (Ia)将支付请求信息传输到用户选定的支付系统装置(2)中,等待接受支付响应;支付系统装置(2)可以是银行支付系统、第三方支付商系统、电信运营商小额支 付系统、具有储值和支付功能的会员服务系统等,包含通讯装置(2a)、个人资金账户(2b) 和支付系统证书(2c)。通讯装置(2a)负责与支付请求终端装置(1)和支付确认后台服务 系统装置(3)通信;个人资金账户(2b)提供对用户的账户资金查询、资金锁定以及扣费等 功能;支付系统证书(2c)用于实现系统签名,保证信息安全。在发生电子支付时,支付系统 装置(2)向支付确认后台服务系统装置(3)发送带本系统签名的支付确认请求,等待接受 支付确认响应;支付确认后台服务系统装置(3)包含通讯装置(3a)、个人资料库(3b)、支付系统 资料库(3c)和支付确认后台服务系统证书(3d)。通讯装置(3a)负责与支付系统装置(2) 和支付确认终端装置(4)通信;个人资料库(3b)记录了用户与支付系统账户以及支付确 认终端的所属关系,用于支付确认后台服务系统装置(3)根据从支付系统装置(2)收到的 支付请求信息中的支付系统账户查找用户使用的支付确认终端装置信息;支付系统资料库 (3c)记录了所有可使用支付确认后台服务系统装置(3)服务的合法的支付系统装置(2), 通过其验证发起支付确认请求的支付系统装置(2)的合法性;支付确认后台服务系统证书 (3d)用于实现系统签名,保证消息安全。在发生电子支付时,支付确认后台服务系统装置 (3)向对应的支付确认终端装置(4)发送带本系统签名以及对应支付系统签名的支付确认 请求,等待支付确认终端装置(4)返回的确认结果;支付确认终端装置(4)包含用户的个人证书(4a)、支付系统证书(4b)、支付确认 后台服务系统证书(4c)、通信装置(4d)、信息提示装置(4e)、信息显示装置(4f)以及信息 输入装置(4g)。用户的个人证书(4a)用于实现用户签名,保证信息安全;支付系统证书 (4b)用于验证支付系统装置(2)签名;支付确认后台服务系统证书(4c)用于验证支付确 认后台服务系统装置(3)签名;通信装置(4d)负责与支付确认后台服务系统装置(3)通 讯,接受支付确认通知,并返回确认结果;信息提示装置(4e)负责通过声音、震动、指示灯 等方式提示用户,收到确认信息;信息显示装置(4f)负责显示支付信息,供用户查看;信息 输入装置(4g)供用户提供输入支付确认结果信息,通过通信装置(4d)向支付确认后台服 务系统装置(3)提交确认结果。典型实施场景描述如下a.支付请求终端装置为电脑,支付确认终端装置为无线移动终端,支付请求终端 装置与支付系统装置之间通过互联网方式互联,支付确认后台服务系统装置与支付确认终 端装置之间通过无线方式连接;b.支付请求终端装置为手机,支付确认终端装置为无线移动终端,支付请求终端 装置与支付系统装置之间通过移动通信网方式互联,支付确认后台服务系统装置与支付确 认终端装置之间通过无线方式连接;c.支付请求终端装置为柜台收费系统,支付确认终端装置为无线移动终端,支付 请求终端装置与支付系统装置之间通过互联网方式互联,支付确认后台服务系统装置与支付确认终端装置之间通过无线方式连接;d.支付请求终端装置为ATM设备,支付确认终端装置为无线移动终端,支付请求 终端装置与支付系统装置之间通过专项方式互联,支付确认后台服务系统装置与支付确认 终端装置之间通过无线方式连接;3、独立安全确认终端装置实施例本发明的独立安全确认终端装置,如前所述功能构成应该至少包含通信装置 (4d)、信息提示装置(4e)、信息显示装置(4f)、信息输入装置(4g)以及数字证书装置(4h), 支付确认终端装置的功能不仅限于上述功能,其中a.通信装置(4d)负责与支付确认后台服务系统装置的通信功能。b.信息提示装置(4e)负责通过声音、震动、指示灯等方式提示用户,收到确认信 肩、οc.信息显示装置(4f)负责显示支付信息,供用户查看。d.信息输入装置(4g)供用户提供输入支付确认结果信息,通过通信装置(2)向支 付确认后台服务系统装置提交确认结果。e.数字证书装置(4h)负责用户个人证书的申请、下载和本地存储,支付系统证书 以及支付确认后台服务系统装置的本地存储以及对三类证书的使用。独立安全确认终端装置可采用“建立专用的安全确认终端”和“建立与手机等移动 终端合一的终端”两种实施方式,分别描述如下方式一建立专用的安全确认终端单独研发一款具备上述功能的专用安全确认终端,作为安全确认终端装置。当用 户发生支付行为时,其支付装置就会接收到支付确认通知,用户可以使用该装置完成支付 确认过程。方式二 建立与手机等移动终端合一的终端在现有手机等移动终端中扩展安全确认终端装置的相关模块,作为安全确认终端 装置使用。终端设计上须保证二类终端系统完全独立,切对外通信时采用彼此独立的通讯 模块。当用户发生支付行为时,可以使用手机等移动终端原有的系统和通信方式发起支付; 进行支付确认时,使用扩展的支付确认模块(系统)通过与手机等移动终端原有通信通道 独立的通信通道进行确认,完成支付确认过程。
权利要求
基于独立支付确认终端和数字证书技术实现安全电子支付的方法,其特征在于所述系统包括支付请求终端装置(1)、支付系统装置(2)、支付确认后台服务系统装置(3)、独立的支付确认终端装置(4)四部分组成;支付请求终端装置可以是电脑、手机、ATM、柜台收款机、专用支付终端等,支付系统装置可以是银行支付系统、第三方支付商系统、电信运营商小额支付系统、具有储值和支付功能的会员服务系统等;支付请求终端与支付系统之间、支付系统与支付确认后台服务系统之间采用互联网、无线网、专线等电信网络连接,支付确认后台服务系统与支付确认终端之间采用移动通信网络和其它电信网络连接;在支付系统、支付确认后台服务系统、支付确认终端均安装有数字证书,并采用数字证书技术实现身份认证和支付的确认;支付请求终端与支付系统之间可以采用数字证书技术或采用其它技术进行身份认证,该系统和方法适用于互联网支付、手机支付、ATM提款和转账、收银台支付等各种支付方式,用户账户包括信用卡、借记卡、储值卡、电子账号等各种账户系统;该方法包括如下实现步骤a、用户使用安全支付服务之前,需先向支付系统和支付确认后台服务系统进行业务登记和注册,支付系统需登记用户ID、用户资金账号、支付确认终端设备ID等信息;支付确认后台服务系统需登记用户支付确认终端的移动通信接入号码、用户ID(或用户名)、用户ID证书、支付确认终端设备ID、支付确认终端设备证书等信息,并将这些信息进行捆绑;b、支付系统和支付确认后台服务系统需预先安装各自的服务器数字证书;c、用户通过支付请求终端(1)发起电子支付服务请求时,支付请求终端(1)通过通信网络将用户支付请求信息发送给对应的支付系统(2);d、支付系统(2)使用本系统数字证书对交易信息签名后,通过通信网络将带本系统签名的用户交易信息发送给支付确认后台服务系统(3),委托其向用户持有的支付确认终端装置(4)发送支付确认请求;e、支付确认后台服务系统(3)验证电子支付系统(2)签名的有效性,对待确认交易信息进行签名,并查找与该用户关联的支付确认终端(4)移动通信号码或设备ID,依据该通信号码,通过移动通信网络或其它通信网络向用户支付确认终端(4)发送包含支付系统(2)和支付确认后台服务系统(3)签名的支付确认请求,支付确认请求可以通过密文或明文方式发送;f、支付确认终端(4)验证电子支付系统和支付确认后台服务系统的签名,提示用户收到支付确认信息;g、用户通过支付确认终端(4)信息屏幕查看收到的支付确认信息,用户核对无误后,通过支付确认终端(4)的按钮进行支付确认;h、支付确认终端(4)调用用户数字证书对用户支付确认结果信息进行签名,并通过移动通信网络或其它通信网络将包含用户签名的支付确认结果信息返回支付确认后台服务系统(3),该确认结果信息可以通过密文或明文传送;i、支付确认后台服务系统(3)收到用户确认结果后,验证用户签名,验证通过后使用本系统证书对确认结果签名,并将包含本系统签名和用户签名的确认结果发给电子支付系统(2);j、电子支付系统(2)验证支付确认后台服务系统(3)签名有效性,根据用户支付确认结果为用户提供支付或其它后续服务。
2.如权利要求1所述,该方法特征是,所述支付请求终端装置(1)可以为电脑、手机、 ATM、柜台收款机、专用支付终端等,也可以是通过电话提供服务机构的支付请求设备。
3.如权利要求1所述,该方法特征是,支付系统装置(2)可以是银行支付系统、第三方 支付商系统、电信运营商小额支付系统、具有储值和支付功能的会员服务系统等。
4.如权利要求1所述,该方法特征是,支付确认后台服务系统(3)具有用户管理功能、 支付确认终端管理功能、数字证书签名/验签运算功能等,同时维护用户ID与支付确认终 端ID和移动通信接入号码的对应绑定关系表,能够同时为多家支付系统提供服务。
5.如权利要求1所述,该方法特征是,所述支付确认终端装置(4)是收发支付确认信息 的专用装置,具有以下功能密码运算、密钥存储、数字证书存储、数字签名和验证签名、移 动通信模块、通过移动通信网实现与支付确认后台服务系统(3)的数据通信、信息显示功 能、确认按键功能等。
6.如权利要求1所述,该方法特征是,支付确认终端(4)与支付请求终端(1)独立,双 方可以采用不同的通信方式或不同的通信通道与各自对应的系统连接;支付确认终端(4) 和支付请求终端(1)也可以设计在同一硬件载体上(如与手机合一的终端),但必须保证二 个终端的系统是独立的,不能从一个系统侵入另一个系统。
7.如权利要求1所述,该方法特征是,支付系统(2)、支付确认后台服务系统(3)、支付 确认终端(4)均安装有数字证书,三者采用数字证书技术实现身份认证和支付的确认;支 付请求终端(1)与支付系统(2)之间可以采用数字证书技术或采用其它技术进行身份认 证。
8.基于独立支付确认终端和数字证书技术实现安全电子支付的装置,其特征在于所 述装置包括支付请求终端装置(1)、支付系统装置(2)、支付确认后台服务系统装置(3)、 独立的支付确认终端装置(4)四部分组成;支付请求终端装置可以是电脑、手机、ATM、柜台 收款机、专用支付终端等,支付系统装置可以是银行支付系统、第三方支付商系统、电信运 营商小额支付系统、具有储值和支付功能的会员服务系统等;支付请求终端装置与支付系 统装置之间、支付系统装置与支付确认后台服务系统装置之间采用互联网、无线网、专线等 电信网络连接,支付确认后台服务系统装置与支付确认终端装置之间采用移动通信网络和 其它电信网络连接;在支付系统装置、支付确认后台服务系统装置、支付确认终端装置均安 装有数字证书,并采用数字证书技术实现身份认证和支付的确认;支付请求终端装置与支 付系统装置之间可以采用数字证书技术或采用其它技术进行身份认证;该系统和方法适用 于互联网支付、手机支付、ATM提款和转账、收银台支付等各种支付方式,用户账户包括信用 卡、借记卡、储值卡、电子账号等各种账户系统;该方法包括如下实现步骤a、用户使用安全支付服务之前,需先向支付系统和支付确认后台服务系统进行业务登 记和注册,支付系统需登记用户ID、用户资金账号、支付确认终端设备ID等信息;支付确认 后台服务系统需登记用户支付确认终端的移动通信接入号码、用户ID(或用户名)、用户证 书、支付确认终端设备ID、支付确认终端设备证书等信息,并将这些信息进行捆绑;b、支付系统装置(2)和支付确认后台服务系统装置(3)需预先安装各自的服务器数字 证书;c、用户通过支付请求终端(1)发起电子支付服务请求时,支付请求终端(1)通过通信 网络将用户支付请求信息发送给对应的支付系统(2);d、支付系统(2)使用本系统数字证书对交易信息签名后,通过通信网络将带本系统签 名的用户交易信息发送给支付确认后台服务系统(3),委托其向用户持有的支付确认终端 装置(4)发送支付确认请求;e、支付确认后台服务系统(3)验证电子支付系统(2)签名的有效性,对待确认交易 信息进行签名,并查找与该用户关联的支付确认终端(4)移动通信号码或设备ID,依据该 通信号码,通过移动通信网络或其它通信网络向用户支付确认终端(4)发送包含支付系统 (2)和支付确认后台服务系统(3)签名的支付确认请求,支付确认请求可以通过密文或明 文方式发送;f、支付确认终端(4)验证电子支付系统和支付确认后台服务系统的签名,提示用户收 到支付确认信息;g、用户通过支付确认终端(4)信息屏幕查看收到的支付确认信息,用户核对无误后, 通过支付确认终端的按钮进行支付确认;h、支付确认终端(4)调用自己的的数字证书对用户支付确认结果信息进行签名,并通 过移动通信网络或其它通信网络将包含用户签名的支付确认结果信息返回支付确认后台 服务系统(3),该确认结果信息可以通过密文或明文传送;i、支付确认后台服务系统(3)收到用户确认结果后,验证用户签名,验证通过后使用 本系统证书对确认结果签名,并将包含本系统签名和用户签名的确认结果发给电子支付系 统⑵;j、电子支付系统(2)验证支付确认后台服务系统(3)签名有效性,根据用户支付确认 结果为用户提供支付或其它后续服务。
9.如权利要求8所述,该系统装置的特征是,所述支付请求终端装置(1)可以为电脑、 手机、ATM、柜台收款机、专用支付终端等,也可以是通过电话提供服务机构的支付请求设 备,支付请求终端装置(1)包括有通信装置(Ia),通信装置(Ia)负责与支付系统装置(2) 通信,收发信息;当进行电子支付时,通过通信装置(Ia)将支付请求信息传输到用户选定 的支付系统装置(2)中,等待接受支付响应。
10.如权利要求8所述,该系统装置的特征是,支付系统装置(2)可以是银行支付系统、 第三方支付商系统、电信运营商小额支付系统、具有储值和支付功能的会员服务系统等,支 付系统装置(2)包括有通讯装置(2a)、个人资金账户(2b)和支付系统证书(2c);通讯装置 (2a)负责与支付请求终端装置(1)和支付确认后台服务系统装置(3)通信;个人资金账户 (2b)提供对用户的账户资金查询、资金锁定以及扣费等功能;支付系统证书(2c)用于实现 系统签名,保证信息安全;在发生电子支付时,支付系统装置(2)向支付确认后台服务系统 装置(3)发送带本系统签名的支付确认请求,等待接受支付确认响应。
11.如权利要求8所述,该系统装置的特征是,支付确认后台服务系统(3)具有用户管 理功能、支付确认终端管理功能、数字证书签名/验签运算功能等,同时维护用户ID与支付 确认终端ID和移动通信接入号码的对应绑定关系表,能够同时为多家支付系统提供服务, 支付确认后台服务系统(3)包括有通讯装置(3a)、个人资料库(3b)、支付系统资料库(3c) 和支付确认后台服务系统证书(3d);通讯装置(3a)负责与支付系统装置(2)和支付确认 终端装置(4)通信;个人资料库(3b)记录了用户与支付系统账户以及支付确认终端的所属 关系,用于支付确认后台服务系统装置(3)根据从支付系统装置(2)收到的支付请求信息中的支付系统账户查找用户使用的支付确认终端装置信息;支付系统资料库(3c)记录了 所有可使用支付确认后台服务系统装置(3)服务的合法的支付系统装置(2),通过其验证 发起支付确认请求的支付系统装置(2)的合法性;支付确认后台服务系统证书(3d)用于实 现系统签名,保证消息安全;在发生电子支付时,支付确认后台服务系统装置(3)向对应的 支付确认终端装置(4)发送带本系统签名以及对应支付系统签名的支付确认请求,等待支 付确认终端装置(4)返回的确认结果。
12.如权利要求8所述,该系统装置的特征是,所述支付确认终端装置(4)是收发支 付确认信息的专用装置,具有以下功能数字证书存储、签名/验签密码运算、通过移动通 信网实现数据通信、信息显示功能、确认按键功能,可以与支付确认后台服务系统进行通信 等,包括有用户的个人证书(4a)、支付系统证书(4b)、支付确认后台服务系统证书(4c)、通 信装置(4d)、信息提示装置(4e)、信息显示装置(4f)以及信息输入装置(4g);用户的个人 证书(4a)用于实现用户签名,保证信息安全;支付系统证书(4b)用于验证支付系统装置 (2)签名;支付确认后台服务系统证书(4c)用于验证支付确认后台服务系统装置(3)签 名;通信装置(4d)负责与支付确认后台服务系统装置(3)通讯,接受支付确认通知,并返 回确认结果;信息提示装置(4e)负责通过声音、震动、指示灯等方式提示用户,收到确认信 息;信息显示装置(4f)负责显示支付信息,供用户查看;信息输入装置(4g)供用户提供输 入支付确认信息,向支付确认后台服务系统装置(3)提交确认结果。
13.如权利要求8所述,该系统装置的特征是,支付确认终端(4)与支付请求终端(1) 独立,双方可以采用不同的通信方式或不同的通信通道与各自对应的系统连接;支付确认 终端(4)和支付请求终端(1)也可以设计在同一硬件载体上(如与手机合一的终端),但必 须保证二个终端的系统是独立的,不能从一个系统侵入另一个系统。
14.如权利要求8所述,该系统装置的特征是,支付系统装置(2)、支付确认后台服务系 统(3)、支付确认终端(4)均安装有数字证书,三者采用数字证书技术实现身份认证和支付 的确认;支付请求终端(1)与支付系统(2)之间可以采用数字证书技术或采用其它技术进 行身份认证。
15.独立的支付确认终端装置,其特征在于,所述装置功能构成包括支付确认终端装 置的功能构成应该至少包含通信装置(4d)、信息提示装置(4e)、信息显示装置(4f)、信息 输入装置(4g)以及数字证书装置(4h),支付确认终端装置的功能不仅限于上述功能,具体 功能通信装置(4d)负责与支付确认后台服务系统装置的通信功能;信息提示装置(4e)负责通过声音、震动、指示灯等方式提示用户,收到确认信息;信息显示装置(4f)负责显示支付信息,供用户查看;信息输入装置(4g)供用户提供输入支付确认结果信息,通过通信装置(2)向支付确认 后台服务系统装置提交确认结果;数字证书装置(4h)负责用户个人证书的申请、下载和本地存储,支付系统证书以及支 付确认后台服务系统装置的本地存储以及对三类证书的使用。
16.如权利要求15所述的独立的支付确认终端装置特征在于,所属装置操作界面至少 包括“显示屏幕区”(1)和“按键区”(2)两个区域,其中“显示屏幕区”(1)为文字显示区域,可显示支付确认信息以及支付确认过程相关的输入信息、结果通知信息等,还可以利用本区域的信息展现功能,实现广告促销等信息推送; “按键区” (2)需具备编辑数字或字母,触发接收和拒绝交易的处理功能,按键区编辑的 内容应该在“显示屏幕”显示,应至少包括实现下述功能的按键实现确认/拒绝操作的按 键,控制文本或字母输入的按键。
全文摘要
一种基于独立支付确认终端和数字证书技术实现安全电子支付的方法和装置。在电子支付交易中,当用户通过手机移动终端、互联网上PC机终端、电话终端等电子终端发起电子支付行为时,支付信息通过独立的支付确认通道被发送到独立于支付发起设备的支付确认终端上,用户使用支付确认终端查看支付信息,并通过支付确认终端和支付确认通道向支付系统提交支付确认信息,支付系统收到该支付确认信息后方可执行支付操作,确认信息由支付确认终端进行数字签名保护。该方法能够有效地防止黑客对电子支付和交易过程的攻击,从而保证了用户的支付安全和资金安全。
文档编号G06Q20/00GK101814169SQ20101011843
公开日2010年8月25日 申请日期2010年3月5日 优先权日2010年3月5日
发明者刘辛越, 李东风 申请人:刘辛越;李东风
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:刘辛越;李东风
  • 技术所有人:刘辛越;李东风
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2