支付验证的方法、系统及移动设备和安全认证设备与流程

本发明属于无线通信技术领域，尤其涉及一种支付验证的方法、系统及移动设备和安全认证设备。

背景技术：

移动网络时代，越来越多的人在移动设备上进行交易、支付等金融活动，极大地方便了各类金融活动的进行。

然而，目前常用的移动支付方案各有优缺点，比如，使用短信验证的方案，安全性较弱；使用安全认证设备进行交易签名的方案，则需要携带并操作安全认证设备，且交易时间较长，用户体验较差。

技术实现要素：

有鉴于此，本发明实施例提供了一种支付验证的方法及移动设备和安全认证设备，以解决现有技术中提供的支付验证的方法，存在不能同时兼顾安全和用户体验的问题。

本发明实施例的第一方面提供了一种支付验证的方法，所述方法包括：

移动设备发送第一数据至安全认证设备；

移动设备接收安全认证设备发送的第二数据，所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的；

移动设备对所述第二数据进行处理，得到验证结果。

进一步地，所述第一数据是随机数明文，所述第二数据是随机数密文，所述随机数密文是安全认证设备对所述随机数明文进行加密生成的，

所述移动设备对所述第二数据进行处理，得到验证结果包括：

移动设备用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文，生成本地存储的随机数密文，将所述随机数密文与所述本地存储的随机数密文进行比较，得到验证结果；或者

移动设备用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文，并将解密得到的随机数与本地存储的随机数明文进行比较，得到验证结果；

其中，移动设备和安全认证设备采用相同或对应的密钥。

进一步地，安全认证设备与移动设备之间进行蓝牙配对或者两者之间建立连接的过程中协商生成所述对称密钥。

进一步地，所述第一数据包括请求安全认证设备提供设备数字证书的指令，所述第二数据包括设备数字证书原文和用私钥对所述第一数据进行签名得到的签名结果，

所述移动设备对所述第二数据进行处理，得到验证结果包括：

移动设备根据存储在本地的根公钥验证所述设备数字证书；

移动设备从所述数字证书中提取公钥，并用所述公钥验证所述签名结果。

进一步地，所述第一数据中还包括第三数据，所述第三数据是一个随机数明文或者是一个时间戳。

进一步地，在所述移动设备发送第一数据至安全认证设备之前，所述方法还包括：

移动设备与安全认证设备进行绑定，在绑定的同时，请求安全认证设备对移动设备的用户身份进行验证。

本发明实施例的第二方面提供了一种支付验证的方法，所述方法包括：

安全认证设备接收移动设备发送的第一数据；

安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理，生成第二数据，并发送所述第二数据至移动设备，由移动设备对所述第二数据进行处理，得到验证结果。

进一步地，所述第一数据是随机数明文，所述第二数据是随机数密文，所述安全认证设备对所述第一数据进行处理包括：

安全认证设备加密所述随机数明文，生成所述随机数密文；

安全认证设备发送所述随机数密文至移动设备。

进一步地，所述第一数据是请求安全认证设备提供设备数字证书的指令，所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果，所述安全认证设备对所述第一数据和设备数字证书进行处理，生成第二数据，并发送所述第二数据至移动设备包括：

获取预置的设备数字证书和私钥；

用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名，生成签名结果；

发送所述设备数字证书和所述签名结果至移动设备。

进一步地，在所述安全认证设备接收移动设备发送的第一数据之前，所述方法还包括：

安全认证设备与移动设备进行绑定，在绑定的同时，对移动设备的用户身份进行验证。

本发明实施例的第三方面提供了一种移动设备，所述移动设备包括：

数据发送模块，用于发送第一数据至安全认证设备；

数据接收模块，用于接收安全认证设备发送的第二数据，所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的；

数据处理模块，用于对所述第二数据进行处理，得到验证结果。

进一步地，所述第一数据是随机数明文，所述第二数据是随机数密文，所述随机数密文是安全认证设备对所述随机数明文进行加密生成的，所述数据处理模块包括：

第一数据处理单元，用于用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文，生成本地存储的随机数密文，将所述随机数密文与所述本地存储的随机数密文进行比较，得到验证结果；或者

第二数据处理单元，用于用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文，并将解密得到的随机数与本地存储的随机数进行比较，得到验证结果；

其中，移动设备和安全认证设备采用相同或对应的密钥。

进一步地，所述第一数据是请求安全认证设备提供设备数字证书的指令，所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果，所述数据处理模块包括：

证书验证单元，用于根据存储在本地的根公钥验证所述设备数字证书；

签名验证单元，用于从所述数字证书中提取公钥，并用所述公钥验证所述签名结果。

本发明实施例的第四方面提供了一种安全认证设备，所述安全认证设备包括：

数据接收模块，用于接收移动设备发送的第一数据；

数据发送模块，用于对所述第一数据或者对所述第一数据和设备数字证书进行处理，生成第二数据，并发送所述第二数据至移动设备，由移动设备对所述第二数据进行处理，得到验证结果。

进一步地，所述第一数据是随机数明文，所述第二数据是随机数密文，所述数据发送模块包括：

加密单元，用于加密所述随机数明文，生成所述随机数密文；

第一发送单元，用于发送所述随机数密文至移动设备。

进一步地，所述第一数据是请求安全认证设备提供设备数字证书的指令，所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果，所述数据发送模块包括：

获取单元，用于获取预置的设备数字证书和私钥；

签名单元，用于用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名，生成签名结果；

第二发送单元，用于发送所述设备数字证书和所述签名结果至移动设备。

进一步地，所述安全认证设备还包括：

绑定模块，用于与移动设备进行绑定，在绑定的同时，对移动设备的用户身份进行验证。

本发明实施例的第五方面提供了一种支付验证的系统，所述系统包括第三方面所述的移动设备和第四方面所述的安全认证设备。

本发明实施例与现有技术相比存在的有益效果是：在进行交易时，移动设备发送第一数据至安全认证设备后安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理，生成第二数据后发送至移动设备，移动设备只需对所述第二数据进行处理，即可得到验证结果，不操作安全认证设备，交易时间短，用户体验好，并且相比传统的短信验证等方案，安全性高，克服了现有技术提供的支付验证的方法无法兼顾安全性和用户体验的问题，可以同时兼顾安全和用户体验。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的支付验证的方法的实现流程示意图；

图2是本发明实施例二提供的支付验证的方法的实现流程示意图；

图3是本发明实施例三提供的移动设备的示意框图；

图4是本发明实施例四提供的安全认证设备的示意框图；

图5是本发明实施例五提供的支付验证的系统的示意框图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

实施例一

参见图1，是本发明实施例一提供的支付验证的方法的示意流程图，以移动设备侧为例来进行说明，如图所示该方法可以包括以下步骤：

步骤s101，移动设备发送第一数据至安全认证设备。

在本发明实施例中，所述安全认证设备可以是蓝牙安全认证设备，也可以是wifi安全认证设备。

所述蓝牙安全认证设备可以是蓝牙卡盾、蓝牙智能手环、蓝牙智能手表等，在此不做限制。

所述第一数据可以是一个随机数明文，也可以是移动设备请求安全认证设备提供设备数字证书的指令。

在移动设备需要进行交易时，移动设备可以发送一个随机数明文到安全认证设备，也可以发送请求安全认证设备提供设备数字证书的指令到安全认证设备。

步骤s102，移动设备接收安全认证设备发送的第二数据，所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的。

在本发明实施例中，安全认证设备对接收到的第一数据进行加密或者签名，并发送加密或者签名结果至移动设备。

若第一数据是随机数明文，第二数据是随机数密文，所述随机数密文是安全认证设备对所述随机数明文进行加密生成的，则安全认证设备接收到移动设备发送的随机数明文后，对所述随机数明文进行加密，得到随机数密文，并发送所述随机数密文至安全认证设备。其中，移动设备和安全认证设备采用相同或对应的密钥。

在一实施例中，安全认证设备可以用对称密钥对所述随机数明文进行加密，得到随机数密文。

具体的，在安全认证设备与移动设备之间进行蓝牙配对或者两者之间建立连接的过程中，安全认证设备与移动设备之间可以协商一个对称密钥，然后移动设备用所述对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文。本领域技术人员可以理解，所述对称密钥衍生的密钥是在所述对称密钥的基础上进行计算或截取获得的，所述安全认证设备与所述移动设备采用预置的或者协商生成的相同的方法进行计算或截取。

在另一实施例中，安全认证设备也可以用非对称密钥中的公开密钥对所述随机数明文进行加密。

若第一数据是请求安全认证设备提供设备数字证书的指令，第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果，则安全认证设备接收到移动设备发送的请求安全认证设备提供设备数字证书的指令后，获取预置的设备数字证书和私钥后，用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名，生成签名结果，并发送设备数字证书和签名结果至移动设备。

其中，安全认证设备中预置有设备数字证书及私钥，设备数字证书是由生产厂家颁发的。

其中，请求安全认证设备提供设备数字证书的指令是一个cmd命令，例如满足7816的apdu命令clainsp1p2lcdata，这里data可能是个随机数。

优选地，所述第一数据中还包括第三数据，所述第三数据是一个随机数明文或者是一个时间戳。

具体的，安全认证设备接收到请求安全认证设备提供设备数字证书的指令后，先获取预置的设备数字证书和私钥，再生成一个第三数据，然后对所述指令和所述第三数据进行签名，并发送设备数字证书和签名结果至移动设备。

其中，所述第三数据可以是一个随机数明文，也可以被时间戳等代替，在本发明实施例中不做限制。其中，引入所述随机数明文/时间戳的目的是为了防止重放攻击。

步骤s103，移动设备对所述第二数据进行处理，得到验证结果。

在本发明实施例中，若第一数据是随机数明文，第二数据是随机数密文，则移动设备可以用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文，生成本地存储的随机数密文，将所述随机数密文与所述本地存储的随机数密文进行比较，得到验证结果；也可以用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文，并将解密得到的随机数与本地存储的随机数明文进行比较，得到验证结果。其中，移动设备和安全认证设备采用相同或对应的密钥。

若第一数据是请求安全认证设备提供设备数字证书的指令，第二数据包括设备数字证书原文和用私钥对所述第一数据进行签名得到的签名结果，则所述移动设备对所述第二数据进行处理，得到验证结果具体为：

移动设备根据存储在本地的根公钥验证所述设备数字证书；

移动设备从所述数字证书中提取公钥，并用所述公钥验证所述签名结果。

其中，移动设备可以从厂家获取根公钥。

需要说明的是，若第一数据是请求安全认证设备提供设备数字证书的指令，第二数据包括设备数字证书原文和用私钥对所述第一数据进行签名得到的签名结果，则还可以包括下述步骤：

移送设备获取安全认证设备的唯一性标识，对所述安全认证设备的用户身份进行验证。

另外，如果设备数字证书中嵌入有安全认证设备的唯一性标识，也可以在步骤s103中，在移动设备对第二数据进行处理时，对所述安全认证设备的用户身份进行验证。本发明实施例中，通过何种方式对安全认证设备的用户身份进行验证不做限制。

另外，在使用前，首先要将移动设备用户帐号与用户安全认证设备进行绑定，将绑定信息存储于移动设备中，在绑定的同时，需要通过交易口令等方式请求安全认证设备对移动设备的用户身份进行验证。

通过上述的步骤，在用户进行交易时，判断是否是免密支付，如果是，则确定所绑定的安全认证设备与移动设备是否在安全距离之内，如果是，则直接允许交易；否则提示用户输入交易口令，使用非免密方式进行支付交易。

通过本发明实施例，在进行交易时，移动设备发送第一数据至安全认证设备后安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理，生成第二数据后发送至移动设备，移动设备只需对所述第二数据进行处理，即可得到验证结果，不操作安全认证设备，交易时间短，用户体验好，并且相比传统的短信验证等方案，安全性高，克服了现有技术提供的支付验证的方法无法兼顾安全性和用户体验的问题。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

实施例二

参见图2，是本发明实施例二提供的支付验证的方法的示意流程图，以安全认证设备侧为例来进行说明，如图所示该方法可以包括以下步骤：

步骤s201，安全认证设备接收移动设备发送的第一数据。

步骤s202，安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理，生成第二数据，并发送所述第二数据至移动设备，由移动设备对所述第二数据进行处理，得到验证结果。

在本发明实施例中，若第一数据是随机数明文，第二数据是随机数密文，则安全认证设备对第一数据进行处理包括以下步骤：

步骤1、安全认证设备加密所述随机数明文，生成所述随机数密文；

步骤2、安全认证设备发送所述随机数密文至移动设备。

若第一数据是请求安全认证设备提供设备数字证书的指令，第二数据包括设备数字证书和用私钥对第一数据进行签名得到的签名结果，则安全认证设备对第一数据和设备数字证书进行处理，生成第二数据，并发送第二数据至移动设备包括以下步骤：

步骤11、获取预置的设备数字证书和私钥；

步骤12、用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名，生成签名结果；

步骤13、发送所述设备数字证书和所述签名结果至移动设备。

优选地，在安全认证设备接收移动设备发送的第一数据之前，还可以包括下述步骤：

安全认证设备与移动设备进行绑定，在绑定的同时，对移动设备的用户身份进行验证。

本发明实施例提供的支付验证的方法可以应用在前述对应的方法实施例一中，详情参见上述实施例一的描述，在此不再赘述。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

实施例三

图3示出了本发明实施例二提供的移动设备3的示意性框图，为了便于说明，仅示出了与本发明实施例相关的部分。所述移动设备3包括：数据发送模块31、数据接收模块32和数据处理模块33。

其中，数据发送模块31，用于发送第一数据至安全认证设备；

数据接收模块32，用于接收安全认证设备发送的第二数据，所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的；

数据处理模块33，用于对所述第二数据进行处理，得到验证结果。

具体的，所述第一数据是随机数明文，所述第二数据是随机数密文，所述随机数密文是安全认证设备对所述随机数明文进行加密生成的，所述数据处理模块33包括：

第一数据处理单元，用于用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文，生成本地存储的随机数密文，将所述随机数密文与所述本地存储的随机数密文进行比较，得到验证结果；或者

第二数据处理单元，用于用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文，并将解密得到的随机数与本地存储的随机数进行比较，得到验证结果；

其中，移动设备和安全认证设备采用相同或对应的密钥。

具体的，所述第一数据是请求安全认证设备提供设备数字证书的指令，所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果，所述数据处理模块33包括：

证书验证单元，用于根据存储在本地的根公钥验证所述设备数字证书；

签名验证单元，用于从所述数字证书中提取公钥，并用所述公钥验证所述签名结果。

本发明实施例提供的移动设备可以应用在前述对应的方法实施例一中，详情参见上述实施例一的描述，在此不再赘述。

实施例四

图4示出了本发明实施例三提供的安全认证设备4的示意性框图，为了便于说明，仅示出了与本发明实施例相关的部分。所述安全认证设备4包括：数据接收模块41和数据发送模块42。

其中，数据接收模块41，用于接收移动设备发送的第一数据；

数据发送模块42，用于对所述第一数据或者对所述第一数据和设备数字证书进行处理，生成第二数据，并发送所述第二数据至移动设备，由移动设备对所述第二数据进行处理，得到验证结果。

具体的，所述第一数据是随机数明文，所述第二数据是随机数密文，所述数据发送模块42包括：

加密单元，用于加密所述随机数明文，生成所述随机数密文；

第一发送单元，用于发送所述随机数密文至移动设备。

具体的，所述第一数据是请求安全认证设备提供设备数字证书的指令，所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果，所述数据发送模块42包括：

获取单元，用于获取预置的设备数字证书和私钥；

签名单元，用于用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名，生成签名结果；

第二发送单元，用于发送所述设备数字证书和所述签名结果至移动设备。

优选地，所述安全认证设备4还包括：

绑定模块，用于与移动设备进行绑定，在绑定的同时，对移动设备的用户身份进行验证。

本发明实施例提供的安全认证设备可以应用在前述对应的方法实施例一中，详情参见上述实施例一的描述，在此不再赘述。

实施例五

图5示出了本发明实施例四提供的支付验证的系统5的示意性框图，为了便于说明，仅示出了与本发明实施例相关的部分。所述支付验证的系统5包括实施例三所述的移动设备3和实施例四所述的安全认证设备4。

本发明实施例提供的支付验证的系统可以应用在前述对应的方法实施例一中，详情参见上述实施例一的描述，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的装置/终端设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/终端设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括是电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。