和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
[0089]所述云端通过其后台服务器获取发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号。所述发卡中心的第一密钥为发卡中心的敏感数据密钥,所述发卡中心的第二密钥为发卡中心的报文鉴别码密钥,所述云端还获取所述发卡中心的第三密钥,所述发卡中心的第三密钥为所述发卡中心的应用密文计算密钥。所述云端通过所述后台服务器根据所述发卡中心的第一密钥、支付应用卡的卡号和卡序列号,通过3DES( triple DataEncrypt1n Standard)加密算法计算得到所述支付应用卡片密钥的第一子密钥,即计算得到所述支付应用卡片密钥的敏感数据密钥;所述云端通过所述后台服务器根据所述发卡中心的第二密钥、支付应用卡的卡号和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第二子密钥,即计算得到所述支付应用卡片密钥的报文鉴别码密钥;所述云端通过所述后台服务器根据所述发卡中心的第三密钥、支付应用卡的卡号和卡序列号,通过所述3DES加密算法计算得到所述支付应用卡片密钥的第三子密钥,即计算得到所述支付应用卡片密钥的应用密文计算密钥。所述云端通过所述后台服务器获取所述后台服务器分配给所述支付应用卡片密钥的随机数和当前的时间参数,所述云端根据所述支付应用卡片密钥的第一子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第一子密钥,即得到所述限制密钥的敏感数据密钥;所述云端根据所述支付应用卡片密钥的第二子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第二子密钥,即得到所述限制密钥的报文鉴别码密钥;所述云端根据所述支付应用卡片密钥的第三子密钥、所述随机数和所述时间参数,通过所述3DES加密算法计算得到所述限制密钥的第三子密钥,即得到所述限制密钥的应用密文计算密钥,所述云端将所述限制密钥的第一子密钥、第二子密钥和第三子密钥发送给所述终端,以供所述终端根据所述限制密钥的第一子密钥、第二子密钥和第三子密钥进行相应的计算。
[0090]本实施例云端通过计算得到所述限制密钥的第一子密钥、第二子密钥和第三子密钥,并将所述限制密钥的第一子密钥、第二子密钥和第三子密钥发送给所述终端,以在支付业务中实现所述云端和所述终端的安全通讯。
[0091]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如R0M/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,月艮务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
[0092]以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
【主权项】
1.一种支付业务交互方法,其特征在于,所述支付业务交互方法包括以下步骤: 终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据; 所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文; 所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据; 所述终端根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。2.如权利要求1所述的支付业务交互方法,其特征在于,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥; 所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址。3.如权利要求1或2所述的支付业务交互方法,其特征在于,所述终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据的步骤之前,还包括: 当所述支付应用与所述云端支付平台进行通讯时,所述终端通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。4.一种支付业务交互方法,其特征在于,所述支付业务交互方法包括以下步骤: 云端获取发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号; 所述云端根据所述发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥; 所述云端获取分配给所述支付应用卡片密钥的随机数和当前的时间参数; 所述云端根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。5.一种支付终端,其特征在于,所述支付终端包括: 第一获取模块,用于获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据; 第一加密模块,用于根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,并将加密后的第一报文数据替换所述第一报文数据,得到新的报文; 所述第一获取模块,还用于获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据; 第一计算模块,用于根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,并将所述消息认证码和所述新的报文发送给所述云端支付平台。6.如权利要求5所述的支付终端,其特征在于,所述第一报文数据包括云端支付账户的限制密钥动态参数、运算数据和通讯密钥; 所述第二报文数据包括交易时间、交易流水号和所述终端的硬件地址。7.如权利要求5或6所述的支付终端,其特征在于,所述支付终端还包括第二加密模块,用于当所述支付应用与所述云端支付平台进行通讯时,通过安全套接层协议和/或安全传输层协议对所述支付应用与所述云端支付平台进行通讯时的网络连接进行加密。8.一种支付云端,其特征在于,所述支付云端包括: 第二获取模块,用于获取发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号; 第二计算模块,还用于根据所述发卡中心的第一密钥、第二密钥、支付应用卡的卡号和卡序列号,通过加密算法对应计算得到所述支付应用卡片密钥的第一子密钥和第二子密钥; 所述第二获取模块,还用于获取分配给所述支付应用卡片密钥的随机数和当前的时间参数; 所述第二计算模块,还用于根据所述支付应用卡片密钥的第一子密钥、第二子密钥、所述随机数和所述时间参数,通过所述加密算法对应计算得到限制密钥的第一子密钥和第二子密钥,并将所述限制密钥的第一子密钥和第二子密钥发送给所述终端。
【专利摘要】本发明公开了一种支付业务交互方法,该方法包括步骤:终端获取终端支付应用与云端支付平台进行通讯时所传递的报文的第一报文数据;所述终端根据支付应用中的限制密钥的第一子密钥对所述第一报文数据进行加密,将加密后的第一报文数据替换所述第一报文数据,得到新的报文;所述终端获取所述终端支付应用与云端支付平台进行通讯时所传递报文的第二报文数据;并根据所述支付应用中限制密钥的第二子密钥和所述第二报文数据计算所述通讯时所传递的报文的消息认证码,将所述消息认证码和所述新的报文发送给所述云端支付平台。本发明还公开了一种支付终端和支付云端。本发明提高了终端支付应用与云端支付平台进行通讯时的安全性。
【IPC分类】G06Q20/38, G06Q20/40
【公开号】CN105678542
【申请号】CN201511030205
【发明人】卢道和, 陈朝亮, 杨军, 韩海燕, 黄兵, 黎成, 孙曦, 邓翔, 蔡毅, 方镇举, 邓志强
【申请人】深圳前海微众银行股份有限公司
【公开日】2016年6月15日
【申请日】2015年12月31日