(Personal Identificat1n Number,个人识别码)码,所述云端支付账户的动态参数为用户登录所述云端支付账户的时间、地点,所述云端支付账户的交易情况等;所述交易过程中的运算数据为交易金额,所述支付应用的标识信息等;所述通讯密钥为在交易过程中用来计算应用密文的密钥。所述终端包括但不限于手机、个人电脑。所述支付应用,即软件卡,是一种在终端用来实现金融IC(Integrated Circuit Card,集成电路)卡功能的支付应用软件,基于终端上的主机计算资源完成所述金融IC卡应用数据的存储以及应用逻辑的实现。
[0045]步骤S20,所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文;
[0046]当所述终端获取得到所述报文的第一报文数据时,所述终端根据所述支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,即对所述云端支付账户的限制密钥动态参数、运算数据和所述通讯密钥等敏感数据进行加密,得到加密后的第一报文数据。所述第一报文数据包括但不限于云端支付账户的限制密钥动态参数、运算数据和通讯密钥,所述终端获取所述云端发送的所述支付应用的限制密钥的第一子密钥。当所述终端得到所述加密后的第一报文数据时,将所述加密后的第一报文数据替换所述终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据,得到新的报文。所述限制密钥是从所述云端支付平台的后台中下载到所述终端中,具有有限使用次数和使用有效期的卡密钥信息。所述限制密钥的第一子密钥为所述限制密钥的敏感数据密钥。
[0047]步骤S30,所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;
[0048]当所述终端获取得到所述新的报文后,获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据。其中,所述第二报文数据包括但不限于所述报文中的交易时间、交易流水号和所述终端的硬件地址。
[0049]步骤S40,所述终端根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。
[0050]当所述终端获取得到所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据时,即获取得到所述报文中交易时间、交易流水号和所述终端的硬件地址等关键数据时,所述终端获取所述云端发送的所述支付应用的限制密钥的第二子密钥。所述终端根据所述支付应用中限制密钥的第二子密钥,根据所述报文中的交易时间、交易流水号和所述终端硬件地址等关键数据,通过摘要算法计算得到所述通讯时所传递的报文的MAC(Message Authenticat1n Code,消息认证码),并将所述消息认证码和所述新的报文发送给所述云端支付平台。其中,所述限制密钥的第二子密钥为所述限制密钥的报文鉴别码密钥。所述摘要算法具有通过对数据提取指纹信息以实现数据签名、数据完整性校验等功能。进一步地,所述终端还通过所述限制密钥的第三子密钥对所述报文进行加密,所述限制密钥的第三子密钥为所述限制密钥的应用密文计算密钥。
[0051]本实施例通过支付应用中的限制密钥的第一子密钥对终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文,根据终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据和所述支付应用中限制密钥的第二子密钥计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。防止了终端支付应用与云端支付平台进行通讯时所传递的报文被非法篡改,提高了终端支付应用与云端支付平台进行通讯时的安全性。
[0052]参照图2,图2为本发明支付业务交互方法第二实施例的流程示意图,基于本发明支付业务交互方法第一实施例提出本发明支付业务交互方法第二实施例。
[0053]在本实施例中,所述支付业务交互方法还包括:
[0054]步骤S50,当所述支付应用与所述云端支付平台进行通讯时,所述终端通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。
[0055]当终端中的支付应用与云端支付平台进行通讯时,所述终端通过SSL(SecureSocket Layer,安全套接层协议)和/或TLS(Transport Layer Security,安全传输层协议)对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。所述SSL协议是为网络通信提供安全及数据完整性的一种安全协议。所述SSL协议位于TCP/IP( Transmiss1nControl Protocol/Internet Protocol,传输控制协议/因特网互联协议)协议与各种应用层协议之间,为数据通讯提供安全支持。所述SSL协议可分为两层:SSL记录协议(SSLRecord Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;SSL握手协议(SSL Handshake Protocol):它建立在所述SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。所述TLS协议用于在两个通信应用程序之间提供保密性和数据完整性,所述TLS协议由两层组成,分别为TLS记录协议和TLS握手协议。
[0056]本实施例通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密,进一步提高了终端支付应用与云端支付平台进行通讯时的安全性。
[0057]参照图3,图3为本发明支付业务交互方法第三实施例的流程示意图。
[0058]进一步地,所述支付业务交互方法还包括:
[0059]步骤S60,云端获取发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号;
[0060]步骤S70,所述云端根据所述发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥;
[0061]步骤S80,所述云端获取分配给所述支付应用卡片密钥的随机数和当前的时间参数;
[0062]步骤S90,所述云端根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
[0063]所述云端通过其后台服务器获取发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号。所述发卡中心的第一密钥为发卡中心的敏感数据密钥,所述发卡中心的第二密钥为发卡中心的报文鉴别码密钥,所述云端还获取所述发卡中心的第三密钥,所述发卡中心的第三密钥为所述发卡中心的应用密文计算密钥。所述云端通过所述后台服务器根据所述发卡中心的第一密钥、支付应用卡的卡号和卡序列号,通过3DES( triple DataEncrypt1n Standard)加密算法计算得到所述支付应用卡片密钥的第一子密钥,即计算得到所述支付应用卡片密钥的敏感数据密钥;所述云端通过所述后台服务器根据所述发卡中心的第二密钥、支付应用卡的卡号和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第二子密钥,即计算得到所述支付应用卡片密钥的报文鉴别码密钥;所述云端通过所述后台服务器根据所述发卡中心的第三密钥、支付应用卡的卡号和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第三子密钥,即计算得到所述支付应用卡片密钥的应用密文计算密钥。所述云端通过所述后台服务器获取所述后台服务器分配给所述支付应用卡片密钥的随机数和当前的时间参数,所述云端根据所述支付应用卡片密钥的第一子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第一子密钥,即得到所述限制密钥的敏感数据密钥;所述云端根据所述支付应用卡片密钥的第二子密钥、所述随机数和所述时间参