支付业务交互方法、支付终端和支付云端的制作方法
【技术领域】
[0001]本发明涉及终端支付领域,尤其涉及一种支付业务交互方法、支付终端和支付云端。
【背景技术】
[0002]随着终端的快速发展,及携带的便捷性,越来越多的用户在终端上进行支付操作。但是由于终端计算资源的开放性,导致基于HCE(Host-based Card Emulat1n,主机卡模拟技术)实现的NFC(Near Filed Communicat1n,近距离无线通信技术)支付应用面临着非常大的安全风险。云端支付一般会包括两部分,一是终端中的支付应用,另一部分是的云端支付平台。因为终端存在着较多的安全威胁,所以将云端支付账户对应的卡片主密钥放在云端支付平台管理,而存储在终端支付应用中的用于计算交易应用密文的,是由卡片主密钥计算得到的限制密钥,这些限制密钥可以下载到支付应用中使用,并限定使用次数或者有效期。因此,在使用云端支付账户进行交易时,需要用户不定期连接到后台获取可用的限制密钥以及其他的一些动态参数。上述这些操作都需要终端的支付应用和云端支付平台建立安全的连接通道进行安全通讯。但是在目前情况下,在终端中的支付应用与云端支付平台进行通讯过程中,终端中的支付应用与云端支付平台进行通讯时所传递的报文容易被非法用户篡改,从而导致云端支付账户信息的丢失,造成用户资金损失。
【发明内容】
[0003]本发明的主要目的在于提供一种支付业务交互方法、支付终端和支付云端,旨在解决现有技术中在终端中的支付应用与云端支付平台进行通讯时所传递的报文容易被非法篡改的技术问题。
[0004]为实现上述目的,本发明提供一种支付业务交互方法,包括步骤:
[0005]终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
[0006]所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文;
[0007]所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;
[0008]所述终端根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
[0009]优选地,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
[0010]所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址。
[0011]优选地,所述终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据的步骤之前,还包括:
[0012]当所述支付应用与所述云端支付平台进行通讯时,所述终端通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加
LU O
[0013]此外,为实现上述目的,本发明还提供一种支付业务交互方法,所述方法包括步骤:
[0014]云端获取发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号;
[0015]所述云端根据所述发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
[0016]所述云端获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
[0017]所述云端根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
[0018]此外,为实现上述目的,本发明还提供一种支付终端,所述支付终端包括:
[0019]第一获取模块,用于获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
[0020]第一加密模块,用于根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文;
[0021]所述第一获取模块,还用于获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;
[0022]第一计算模块,用于根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
[0023]优选地,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥;
[0024]所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址。
[0025]优选地,所述支付终端还包括第二加密模块,用于当所述支付应用与所述云端支付平台进行通讯时,通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
[0026]此外,为实现上述目的,本发明还提供一种支付云端,所述支付云端包括:
[0027]第二获取模块,用于获取发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号;
[0028]第二计算模块,还用于根据所述发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
[0029]所述第二获取模块,还用于获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
[0030]所述第二计算模块,还用于根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
[0031]本发明通过支付应用中的限制密钥的第一子密钥对终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,根据终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据和所述支付应用中限制密钥的第二子密钥计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。防止了终端支付应用与云端支付平台进行通讯时所传递的报文被非法篡改,提高了终端支付应用与云端支付平台进行通讯时的安全性。
【附图说明】
[0032]图1为本发明支付业务交互方法第一实施例的流程示意图;
[0033]图2为本发明支付业务交互方法第二实施例的流程示意图;
[0034]图3为本发明支付业务交互方法第三实施例的流程示意图;
[0035]图4为本发明支付终端第一实施例的功能模块示意图;
[0036]图5为本发明支付终端第二实施例的功能模块示意图;
[0037]图6为本发明支付云端较佳实施例的功能模块示意图。
[0038]本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
【具体实施方式】
[0039]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0040]本发明提供一种支付业务交互方法。
[0041]参照图1,图1为本发明支付业务交互方法第一实施例的流程示意图。
[0042]在本实施例中,所述支付业务交互方法包括:
[0043]步骤S10,终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;
[0044]当终端中的支付应用与云端支付平台进行通讯时,所述终端接收所述云端支付平台所传递的报文。当所述终端获取得到所述报文时,解析所述报文,获取所述报文中的第一报文数据。其中,所述第一报文数据为所述报文中的敏感数据,包括云端支付账户的动态参数、交易过程中的运算数据和通讯密钥等,如所述敏感数据还包括所述终端中的支付应用在参数更新过程中新生成的限制密钥的分散因子,或者在交易过程中,所述用户输入的PIN