基于银行移动应用的数据处理方法和设备与流程

本发明实施例涉及通信技术领域，尤其涉及一种基于银行移动应用的数据处理方法和设备。

背景技术：

移动设备以其智能、便携、易操作的特点，被越来越广泛地应用于各类场景中。目前，移动设备已经成为银行重要业务的办理渠道，尤其是大屏幕移动设备的兴起，使银行业务办理既保持了良好的用户体验，又打破了业务办理时间地域的限制，真正实现了以客户为中心的服务理念。

在移动设备的银行移动应用上办理银行业务，需要提供交易密码，所以必须提供安全可靠的环境和有效的防范措施，以保障交易密码的安全。

现有技术中，基于银行移动应用的业务办理过程中交易密码的加密采用软加密方式，不能有效保护交易密码的安全，使得银行移动应用的安全隐患大大增加。

技术实现要素：

本发明实施例提供一种基于银行移动应用的数据处理方法和设备，解决了现有技术中的基于银行移动应用的业务办理过程中交易密码的加密多采用软加密方式，不能有效保护数据的安全，使得银行移动应用的安全隐患大大增加的技术问题。

本发明实施例提供一种基于银行移动应用的数据处理方法，包括：

获取银行卡的卡号信息及所述卡号信息对应的交易密码；

读取预先写入在安全芯片中的密钥，并根据所述密钥和预存储的加密算法对所述交易密码进行加密，形成密码密文；

将所述密码密文、所述卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由所述服务端发送给安保平台，以使所述安保平台对所述密码密文进行解密并校验，在校验通过后执行所述银行卡对应的银行业务。

本发明实施例提供一种基于银行移动应用的数据处理设备，包括：读卡器、硬键盘、安全芯片、通信模块，所述读卡器、所述硬键盘、所述通信模块分别与所述安全芯片相连；

所述读卡器，用于获取银行卡的卡号信息；

所述硬键盘，用于获取所述卡号信息对应的交易密码；

所述安全芯片，用于读取预先写入在安全芯片中的密钥，并根据所述密钥和预存储的加密算法对所述交易密码进行加密，形成密码密文；

所述通信模块，用于将所述密码密文、所述卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由所述服务端发送给安保平台，以使所述安保平台对所述密码密文进行解密并校验，在校验通过后执行所述银行卡对应的银行业务。

本发明实施例提供一种基于银行移动应用的数据处理方法和设备，通过获取银行卡的卡号信息及交易密码；读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对交易密码进行加密，形成密码密文；将密码密文、卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台对密码密文进行解密并校验，在校验通过后执行银行卡对应的银行业务。由于密钥被写入到安全芯片中，在使用密钥时从安全芯片中读取密钥，根据读取的密钥对交易密码进行加密，实现了对交易密码的硬加密，能够有效保护交易密码的安全，减少银行移动应用的安全隐患。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于银行移动应用的数据处理方法实施例一的流程图；

图2为本发明基于银行移动应用的数据处理方法实施例二的流程图；

图3为本发明基于银行移动应用的数据处理方法实施例三的流程图；

图4为本发明基于银行移动应用的数据处理方法实施例四的流程图；

图5为本发明基于银行移动应用的数据处理设备实施例一的结构示意图；

图6为本发明基于银行移动应用的数据处理设备实施例二的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明基于银行移动应用的数据处理方法实施例一的流程图，如图1所示，本发明的执行主体为基于银行移动应用的数据处理设备。该基于银行移动应用的数据处理设备与安装有移动应用客户端的移动终端建立连接，如可通过蓝牙、WIFI等方式建立无线连接。该移动终端可以为智能手机、平板电脑等。则本发明实施例提供的基于银行移动应用的数据处理方法包括以下步骤。

步骤101，获取银行卡的卡号信息及交易密码。

其中，本实施例中，可在基于银行移动应用的数据处理设备上设置有读卡器，通过读卡器获取银行卡的卡号信息。其中，读卡器可以包括磁卡读卡器和IC卡读卡器。根据银行卡的类别不同，若银行卡为磁卡，则将银行卡从磁卡读卡器中刷过，以使磁卡读卡器获取银行卡的卡号信息。若银行卡为IC卡读卡器，则将银行卡与IC卡读卡器接触，以使IC卡读卡器获取银行卡的卡号信息。

本实施例中，可在基于银行移动应用的数据处理设备上设置硬键盘，通过第二用户在硬键盘上敲击硬键盘中的数字，获取该银行卡的交易密码。

其中，第二用户为到银行通过移动终端办理银行业务的用户。

步骤102，读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对交易密码进行加密，形成密码密文。

具体地，本实施例中，安全芯片为硬件电路，将密钥预先写入到安全芯片中，即将密钥固化在安全芯片中。当需要对交易密码进行加密时，从安全芯片中读取预先写入的密钥，并根据密钥和预存储的加密算法对交易密码进行加密，形成密码密文。

其中，本实施例中对加密算法的类型不做限定，仅需保证该加密算法与服务端和安保平台的解密算法具有对应关系即可。如该加密算法可以为对称式加密算法或者可以为非对称式加密算法。该加密算法可预先存储在安全芯片中。

步骤103，将密码密文、卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台对密码密文进行解密并校验，在校验通过后执行银行卡对应的银行业务。

其中，基于银行移动应用的数据处理设备与装载银行移动应用客户端的移动终端进行近距离通信。如可以为蓝牙通信或WIFI通信。客户端与服务端之间，以及服务端和安保平台之间进行远程通信。

本实施例中，在安保平台预先存储了加密算法对应的解密算法，还预先存储了交易密码与卡号信息的映射关系，以及预先存储了设备的标识信息与银行移动应用的映射关系。

本实施例中，将密码密文、卡号信息及预存储的设备的标识信息通过客户端发送给服务端，以使安保平台根据预存储的解密算法对密码密文进行解密，获得交易密码，并根据预先存储的交易密码与卡号信息的映射关系，校验该交易密码是否为与卡号信息对应的交易密码，若该交易密码为与卡号信息对应的交易密码，则校验成功，根据该设备的标识信息获取与其对应的银行移动应用，将校验成功的结果发送给服务端，以使服务端执行银行卡对应的银行业务。如银行业务为转账业务、汇款业务、查询余额业务等。

需要说明的是，若该交易密码不为与卡号信息对应的交易密码，则校验失败，说明第二用户输入的交易密码错误，则向服务端和客户端发送校验失败消息，以使第二用户输入正确的交易密码完成银行业务。

本实施例提供的基于银行移动应用的数据处理方法，通过获取银行卡的卡号信息及交易密码；读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对交易密码进行加密，形成密码密文；将密码密文、卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台对密码密文进行解密并校验，在校验通过后执行银行卡对应的银行业务。由于密钥被写入到安全芯片中，在使用密钥时从安全芯片中读取密钥，根据读取的密钥对交易密码进行加密，实现了对交易密码的硬加密，能够有效保护交易密码的安全，减少银行移动应用的安全隐患。

图2为本发明基于银行移动应用的数据处理方法实施例二的流程图，如图2所示，本实施例的应用场景为第一次使用该基于银行移动应用的数据处理设备的场景。本实施例在实施例一的基础上，在步骤101之前，还包括以下步骤：

步骤201，获取设备的标识信息，并将设备的标识信息通过客户端发送给服务端，由服务端发送给安保平台，以使安保平台将设备与客户端对应的移动应用进行绑定。

其中，设备为基于银行移动应用的数据处理设备，设备的标识信息可以为该设备的编号。也可以为其他唯一表示该设备的信息，本实施例中对此不做限定。移动应用的标识信息可以为移动应用的名称、编号等唯一表示该移动应用的信息。

本实施例中，设备的标识信息预先存储在安全芯片中，从安全芯片中获取设备的标识信息，并将该设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台将通过设备的标识信息和移动应用的标识信息将该设备与客户端对应的移动应用进行绑定。

本实施例中，获取设备的标识信息，并将设备的标识信息通过客户端发送给服务端之前，在安保平台中预先存储了已授权的登录银行移动应用的用户名，以使第一用户登录银行移动应用的客户端时，安保平台对第一用户的身份进行认证，在认证通过后，根据获取的设备的标识信息判断该设备是否为未绑定状态，若该设备为未绑定状态，则将该设备与该银行移动应用进行绑定。保证一个基于银行移动应用的数据处理设备与一个银行移动应用进行绑定，并保证登录银行移动应用的用户为授权的用户。

其中，第一用户为对该安装有银行移动应用的客户端有操作权限的用户，如可以为银行员工。

本实施例中，服务端将设备与客户端对应的移动应用进行绑定后，该设备只允许与该移动应用的客户端进行通信，传输数据。

步骤202，接收服务端通过服务端和客户端下发的密钥和证书。

其中，密钥是该基于银行移动应用的数据处理设备对应的密钥，每个基于银行移动应用的数据处理设备对应的密钥可以不同。证书为建立设备与安保平台之间的通信的证书。

本实施例中，在密钥和证书中还携带该密钥或证书的版本信息。

步骤203，将密钥写入到安全芯片中，并将证书进行存储，以建立设备与服务端之间的通信。

本实施例中，将密钥写入到安全芯片中，即将密钥固化到安全芯片中。

需要说明的是，在步骤203之后，执行步骤101-步骤103，具体的实现方式可参见本发明基于银行移动应用的数据处理方法实施例一中的详细描述。

本实施例提供的基于银行移动应用的数据处理方法，在获取银行卡的卡号信息及卡号信息对应的交易密码之前，还包括：获取设备的标识信息，并将设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台将设备与客户端对应的移动应用进行绑定；接收安保平台通过服务端和客户端下发的密钥和证书；将密钥写入到安全芯片中，并将证书进行存储，以建立设备与安保平台之间的通信。使基于银行移动应用的数据处理设备与银行的移动应用之间具有绑定关系，能够使写入到安全芯片中的密钥和基于银行移动应用的数据处理设备之间具有一一对应关系，避免了基于银行移动应用的数据处理设备遭到恶意攻击时，使多个银行移动应用的数据均被窃取或污染的风险。

图3为本发明基于银行移动应用的数据处理方法实施例三的流程图，如图3所示，本实施例的应用场景为：开启银行移动应用的客户端，并与该基于银行移动应用的数据处理设备建立通信连接后，第一用户为第二用户办理银行业务。其中，第一用户为对该安装有银行移动应用的客户端有操作权限的用户，如可以为银行员工，第二用户为到银行采用移动终端办理银行业务的用户。则本实施例提供的基于银行移动应用的数据处理方法包括以下步骤。

步骤301，将设备的标识信息、密钥的版本信息和证书的版本信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台根据设备的标识信息判断设备是否与客户端对应的移动应用进行绑定，根据密钥的版本信息和证书的版本信息判断密钥和证书是否在有效期内。

具体地，本实施例中，将设备的标识信息发送给安保平台，以使安保平台根据设备的标识信息查找该设备是否与对应的客户端的移动应用进行绑定，若该设备并非与对应的客户端的移动应用进行绑定，说明该设备并非与客户端的移动应用所匹配的设备，将不能对该客户端的移动应用的数据进行处理，若该设备与对应的客户端的移动应用进行绑定，说明该设备为与客户端的移动应用所匹配的设备，能够对该客户端的移动应用的数据进行处理。

本实施例中，将密钥的版本信息和证书的版本信息发送给安保平台，以使安保平台根据该设备的标识信息查找预存储的与该设备对应的密钥和证书的版本信息，若预存储的密钥和/或证书的版本信息与发送的密钥和/或证书的版本信息不对应，即安保平台中预存储的该设备对应的密钥和/或证书的版本信息高于发送给安保平台的密钥和/或证书的版本信息，则安保平台通过服务端和客户端向该设备发送存储在安保平台中的更新后的密钥和/或证书。以保证设备和安保平台正常的通信，以及后续对银行的移动应用中的数据处理的准确性。

需要说明的是，若设备接收安保平台通过服务端和客户端发送的更新后的密钥和/或证书，则该设备将写入到安全芯片中的密钥进行更新，和/或将存储在安全芯片中的证书进行更新。

步骤302，接收客户端发送的待加密的报文或字段。

进一步地，本实施例中，第一用户通过客户端需要向服务端发送报文或字段，以办理银行业务。该报文或字段中携带涉及到第二用户财产或隐私的信息，为了保证报文或字段的安全，需要对报文或字段进行加密，则该第一用户通过客户端向该基于银行移动应用的数据处理设备发送待加密的报文或字段，该基于银行移动应用的数据处理设备接收待加密的报文或字段。

步骤303，读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对待加密的报文或字段进行加密，形成报文密文或字段密文。

进一步地，本实施例中，为了对待加密的报文或字段进行加密，则读取预先写入在安全新品中的密钥，并根据密钥和预存储的加密算法对待加密的报文或字段进行加密，形成报文密文或字段密文。本实施例中，对预存储的加密算法的类型不做限定，只需保证该预存储的加密算法与安保平台和服务端预存储的解密算法具有对应关系即可。如可以为对称加密算法或非对称加密算法。

步骤304，将报文密文或字段密文及设备的标识信息通过客户端发送给服务端，以使服务端对报文密文或字段密文进行解密。

进一步地，本实施例中，将报文密文或字段密文及设备的标识信息通过客户端发送给服务端，以使服务端对报文密文或字段密文进行解密，进行解密后根据设备标识信息，查找与设备对应的银行移动应用的标识信息，执行该银行移动应用的报文或字段对应的银行业务。

在服务端执行该银行移动应用的报文或字段对应的银行业务后，向客户端返回执行结果，若该业务涉及到需要第二用户提供交易密码，则还包括步骤305-步骤307。

步骤305，获取银行卡的卡号信息及交易密码。

本实施例中，步骤305的实现方式与本发明基于银行移动应用的数据处理实施例一中的步骤101的实现方式相同，在此不再一一赘述。

步骤306，读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对交易密码进行加密，形成密码密文。

进一步地，本实施例中，对交易密码进行加密时所采用的预存储的加密算法和对报文或字段进行加密时所采用的预存储的加密算法为同一加密算法。

步骤307，将密码密文、卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台对密码密文进行解密并校验，在校验通过后执行银行卡对应的银行业务。

本实施例中，步骤307的实现方式与本发明基于银行移动应用的数据处理实施例一中的步骤103的实现方式相同，在此不再一一赘述。

本实施例提供的基于银行移动应用的数据处理方法，通过将设备的标识信息、密钥的版本信息和证书的版本信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台根据设备的标识信息判断设备是否与客户端对应的移动应用进行绑定，根据密钥的版本信息和证书的版本信息判断密钥和证书是否在有效期内，接收客户端发送的待加密的报文或字段，读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对待加密的报文或字段进行加密，形成报文密文或字段密文，将报文密文或字段密文及设备的标识信息通过客户端发送给服务端，以使服务端对报文密文或字段密文进行解密，获取银行卡的卡号信息及交易密码，读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对交易密码进行加密，形成密码密文，将密码密文、卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台对密码密文进行解密并校验，在校验通过后执行银行卡对应的银行业务。由于预先对基于银行移动应用的数据处理设备是否为绑定状态进行判断，以及预先判断密钥和证书的版本信息是否与安保平台中的相同，保证了该基于银行移动应用的数据处理设备为正常状态，能够办理银行业务。并且在办理银行业务过程中，不仅对交易密码进行硬加密，而且对报文或字段也进行硬加密处理，进一步保障了在采用移动终端办理银行业务中数据的安全性。

图4为本发明基于银行移动应用的数据处理方法实施例四的流程图，如图4所示，本实施例的应用场景为：开启银行移动应用的客户端，并与该基于银行移动应用的数据处理设备建立无线连接后，第一用户为第二用户办理银行业务，办理的银行业务需要保证发送到服务端的报文具有完整性，则本实施例提供的基于银行移动应用的数据处理方法包括以下步骤。

步骤401，将设备的标识信息、密钥的版本信息和证书的版本信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台根据设备的标识信息判断设备是否与客户端对应的移动应用进行绑定，根据密钥的版本信息和证书的版本信息判断密钥和证书是否在有效期内。

本实施例中，步骤401的实现方式与本发明基于银行移动应用的数据处理方法实施例二中的步骤301的实现方式相同，在此不再一一赘述。

步骤402，接收客户端发送的待校验的报文。

进一步地，本实施例中，第一用户通过客户端需要向服务端发送报文，需要保证该报文的完整性。则该第一用户通过客户端向该基于银行移动应用的数据处理设备发送待校验的报文，该基于银行移动应用的数据处理设备接收该待校验的报文。

步骤403，采用预存储的完整性校验算法，生成待校验的报文的校验码。

进一步地，本实施例中，可预先将该完整性校验算法存储在安全芯片中，该完整性校验算法本实施例中不做限定，只需保证该完整性校验算法与安保平台中预先存储的完整性校验算法一致即可。如该完整性校验算法可以为哈希算法，也可以为其他完整性校验算法。根据完整性校验算法的不同，该待校验的报文的校验码可以为消息认证码或摘要值等。

步骤404，将校验码、待校验的报文及设备的标识信息通过客户端发送给服务端，并由服务器发送给安保平台，以使安保平台根据校验码对待校验的报文进行完整性校验。

进一步地，本实施例中，安保平台采用预先存储的完整性校验算法，生成接收到的待校验的报文的校验码，将生成的校验码和接收到的校验码进行比对，若生成的校验码与接收到的校验码一致，则说明接收到的待校验的报文为完整的报文，传输过程中没有被篡改。若生成的校验码与接收到的校验码不一致，则说明接收到的待校验的报文为非完整的报文，传输过程中被篡改。

需要说明的是，在安保平台对待校验的报文进行完整性校验后，若待校验的报文为完整报文，则根据设备的标识信息将报文发送给银行的移动应用对应的服务端，由服务端执行报文对应的银行业务。

本实施提供的基于银行移动应用的数据处理方法，通过接收客户端发送的待校验的报文，采用预存储的完整性校验算法，生成待校验的报文的校验码，将校验码、待校验的报文及设备的标识信息通过客户端发送给服务端，并由服务器发送给安保平台，以使安保平台根据校验码对待校验的报文进行完整性校验，实现了对银行移动应用中的数据的完整性进行了校验，进一步保障了在采用移动终端办理银行业务中数据的安全性。

进一步地，本实施例中，还可通过身份证读取器获取第二用户的身份信息，以及通过指纹识别模块采集第二用户的指纹信息，以对第二用户的身份信息进行认证，保证办理银行业务的用户为银行卡持有者。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

图5为本发明基于银行移动应用的数据处理设备实施例一的结构示意图，如图5所示，本实施例提供的基于银行移动应用的数据处理设备包括：读卡器51、硬键盘52、安全芯片53、通信模块54。

其中，读卡器51、硬键盘52、通信模块54分别与安全芯片53相连。

其中，读卡器51，用于获取银行卡的卡号信息。硬键盘52，用于获取卡号信息对应的交易密码。安全芯片53，用于读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对交易密码进行加密，形成密码密文。通信模块54，用于将密码密文、卡号信息及预存储的设备的标识信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台对密码密文进行解密并校验，在校验通过后执行银行卡对应的银行业务。

本实施例提供的基于银行移动应用的数据处理设备可以执行图1所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

图6为本发明基于银行移动应用的数据处理设备实施例二的结构示意图；如图6所示，本实施例提供的基于银行移动应用的数据处理设备在本发明提供的基于银行移动应用的数据处理设备实施例一的基础上，为一个更为优选的实施例。

进一步地，通信模块54，还用于获取设备的标识信息，并将设备的标识信息通过客户端发送给服务端，由服务端发送给安保平台，以使安保平台将设备与客户端对应的移动应用进行绑定；接收安保平台通过服务端和客户端下发的密钥和证书。安全芯片53，还用于将密钥写入到安全芯片中，并将证书进行存储，以建立设备与安保平台之间的通信。

进一步地，通信模块54，还用于将设备的标识信息、密钥的版本信息和证书的版本信息通过客户端发送给服务端，并由服务端发送给安保平台，以使安保平台根据设备的标识信息判断设备是否与客户端对应的移动应用进行绑定，根据密钥的版本信息和证书的版本信息判断密钥和证书是否在有效期内。

进一步地，通信模块54，还用于接收客户端发送的待加密的报文或字段。安全芯片53，还用于读取预先写入在安全芯片中的密钥，并根据密钥和预存储的加密算法对待加密的报文或字段进行加密，形成报文密文或字段密文。通信模块54，还用于将报文密文或字段密文及设备的标识信息通过客户端发送给服务端，以使服务端对报文密文或字段密文进行解密。

进一步地，通信模块54，还用于接收客户端发送的待校验的报文。安全芯片53，还用于采用预存储的完整性校验算法，生成待校验的报文的校验码。通信模块54，还用于将校验码、待校验的报文及设备的标识信息通过客户端发送给服务端，并由服务器发送给安保平台，以使安保平台根据校验码对待校验的报文进行完整性校验。

本实施例提供的基于银行移动应用的数据处理设备可以执行图2、图3及图4所示方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。

进一步地，如图6所示，本实施例提供的基于银行移动应用的数据处理设备，还包括：身份证读取器61和指纹识别模块62。

其中，身份证读取器61和指纹识别模块62分别与安全芯片53相连。

身份证读取器61，用于获取第二用户的身份信息，指纹识别模块62，用于采集第二用户的指纹信息。以对第二用户的身份信息进行认证，保证办理银行业务的用户为银行卡持有者。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。