专利名称:基于混合加密机制的手机安全支付方法及系统的制作方法
技术领域:
本发明涉及手机支付领域,尤其涉及一种基于混合加密机制的手机安全支付方法及系统。
背景技术:
当前的手机支付平台依赖WAP网关,采用https进行通道加密保护;终端采用Sd 卡等措施进行密钥保护和运算。这些加密方法都存在一定的缺点,首先,WAP网关模式,将支付业务与通信业务混杂,不利于支付业务的安全保障。其次,https通道加密,并没有解决业务安全问题。而终端必须有sd卡一类的安全硬件,一旦将此硬件安装到另一部手机上, 依然可用。不利于业务推广。
发明内容
本发明的目的在于提供一种即安全又便捷、利于业务推广的基于混合加密机制的手机安全支付方法,本发明还提供一种实现该方法的手机安全支付网络系统。为了实现上述目的,本发明采用的技术方案如下本发明的基于混合加密机制的手机安全支付方法,包含以下步骤SOl 为手机支付平台设置支付服务公私钥对;S02:手机用户使用所述手机支付平台提供的支付服务公钥加密本手机用户的第一基本信息串,并将得到的密文串发送给所述的手机支付平台,发起注册流程;优选的,所述的手机发起注册请求时,要设置一个用户密码;更有选的,所述的第一基本信息串为手机号、设备串号、Sim卡号、用户密码、用户身份信息。S03:所述的手机支付平台利用支付服务私钥解密步骤S02所述的密文串,并将得到的所述手机用户的第一基本信息存入信息库;S04 所述的手机支付平台产生一个注册码,并将其发送给所述的手机用户,同时为手机用户生成用户公私钥对;S05:所述的手机支付平台将所述手机用户的用户公私钥对中的公钥和所述手机用户的第二基本信息串发送给证书签发机构服务器,获得所述手机用户的数字证书,同时产生所述手机用户的确认码;优选的,所述的第二基本信息串为手机号、sim卡号。S06:所述的手机支付平台将所述手机用户的公私钥对中的私钥和数字证书利用所述手机用户的第三基本信息串加密得到证书文件,然后利用所述的注册码和确认码对所述证书文件进行MAC计算得到MAC码,证书文件和MAC码一起形成注册文件,将所述注册文件缓存,等待所述手机用户的激活请求;优选的,所述的第三基本信息串为手机号、设备串号、sim卡号、用户密码。S07:所述手机用户向所述的手机支付平台提交所述的注册码,发起激活流程,所述的手机支付平台将所述注册文件下送给所述手机用户,同时,通过网络服务器下发确认码;S08 所述手机用户利用所述的注册码和确认码对所述的注册文件进行MAC码验证,验证通过后,将所述证书文件存储在本地,激活所述手机用户的支付功能;S09:所述的手机用户利用所述第三基本信息解密所述的证书文件,得到所述的用户私钥和数字证书,完成与所述的手机平台提供服务器之间支付相关的安全操作。优选的,所述的支付相关的安全操作包括用户登录操作,包含以下步骤S31 所述的手机用户输入所述的用户密码;S32 通过验证证书文件的完整性后,提取所述的第三信息串;S33 利用所述的第三信息串对所述的证书文件进行解密,得到所述私钥;S34:产生一个随机密钥,利用所述手机的私钥对由随机密钥、手机号、用户密码组成的字符串计算登录数字签名,利用随机密钥对手机号、用户密码和登录数字签名组成的字符串加密得到第一密文,利用支付服务公钥对所述的随机密钥加密得到第二密文;S35 将所述的登陆数字签名、第一密文、第二密文发送到所述的手机支付平台;S36:所述的手机支付平台利用预存的支付服务私钥解密所述第二密文,得到随机密钥后解密所述第一密文得到手机号、用户密码和登录数字签名,利用预存的所述手机用户公钥验证数字签名,通过后验证用户密码的有效性;S37:验证通过后,所述手机支付平台提产生针对登录手机的报文密钥和私人密码保护密钥,并与所述的解密获得的随机密钥一起计算摘要值;S38:利用所述的手机用户公钥对所述述报文密钥和私人密码保护密钥和摘要值组成的字符串加密形成密文并发送给所述的手机用户;S39:所述的手机用户使用其手机私钥解密,得到所述报文密钥和私人密码保护密钥及摘要值,并验证所述摘要值,通过验证后,将得到的密钥信息进行缓存。优选的,所述的支付相关操作包括支付操作,包含以下步骤S41 所述的手机用户输入所述的用户密码;S42 通过验证证书文件有效性后,提取所述的第三信息串;S43 利用所述的第三信息串对所述的证书文件进行解密,得到所述私钥;S44 利用私人密码保护密钥对支付密码加密得到支付密码密文,利用所述手机用户私钥对订单号、手机号、交易内容和所述支付密码密文进行计算得到支付数字签名;S45:将订单号、手机号、所述支付密码密文、交易内容、所述支付数字签名组成一般交易上送信息,并将所述一般交易上送信息发送到所述手机支付平台;更优选的,非一般的关键交易,需要利用S39解密获得的报文密钥对交易内容和所述的支付密码密文进行加密,并将得到的密文和所述的订单号、手机号、支付数字签名一起形成上送信息。S46 所述的手机支付平台将在S45步骤中得到的信息进行解密并验证,验证通过后处理该项支付请求,并将交易号、交易结果、支付数字签名返回给所述手机用户。本发明提供的基于所述的手机安全支付方法的手机安全支付网络系统,包括能够实现所述的手机安全支付方法的网关子系统,所述的网关子系统包括用于接收所述的手机用户的业务请求的通讯适配服务器;优选的,所述的业务请求包括注册请求、激活请求、登陆请求、支付请求;
用于对所述的通讯服务器接收的业务请求的业务逻辑进行分析、并调用相关服务器进行处理的智能匹配引擎服务器,被调用的所述相关服务器包括具有支付功能的前置机或者支付网关服务器;优选的,所述的前置机或者支付网关服务器包括银联接口服务器、支付宝网关服务器;用于产生、并保存所述的手机支付平台的支付服务公私钥对、所述手机用户的用户公私钥对、及签发证书、并根据智能匹配引擎服务器的调用进行加密解密的加密和证书服务器;用于存储临时非关键业务数据的数据库服务器;所述的数据库服务器分别连接到所述的加密和证书服务器及智能匹配引擎服务器。本发明的有益效果如下本发明的基于混合加密机制的手机安全支付方法及系统,利用非对称加密算法与对称加密的混合保障交易的安全,在手机用户端不需要特别的硬件配合,便于手机支付业务的推广。
图1为本发明的基于混合加密机制的手机安全支付方法的流程图;图2为本发明的手机安全支付网络系统的结构图。
具体实施例方式下面结合附图,对本发明的技术进一步进行说明。参见附图1,本发明的基于混合加密机制的手机安全支付方法,简单的说就是经过四步注册、激活、登陆、支付,其中关键的步骤就是注册和激活的步骤,注册和激活步骤是保证终端唯一、不可替代、不可更换的关键步骤。具体的,当手机需要开通手机支付业务时,先从手机支付平台获得其支付服务公钥,并设置一个私人用户密码用作每次登录时初次身份验证,然后将本手机的手机号、设备串号、sim卡号、用户密码、用户身份信息组成的信息串经支付服务公钥加密形成密文串上传到手机支付平台,所述的用户身份信息可以包括用户的姓名、身份证号等,手机支付平台接收到手机用户发送过来的密文串后利用本服务器的私钥解密得到信息串明文,将其存到信息库,同时产生注册码及针对手机用户的公私钥对,然后将注册码发送给所述手机用户, 同时将手机用户公钥、手机号、SIM卡号组成的信息串发送给证书签发机构服务器签发手机证书,之后手机支付平台利用手机号、设备串号、sim卡号、用户密码作为密钥机密手机用户私钥形成P12证书文件,并利用所述注册码和确认码对所述P12证书文件作MAC,并将证书文件和MAC码一起形成注册文件,将所述注册文件缓存,等待手机用户激活。如果手机用户需要继续激活流程,则将所述的注册码发送给手机支付平台,所述的手机支付平台在验证注册码有效后,将所述的注册文件下发给所述手机用户,同时通过移动网络下发确认码,手机用户就收到所述的注册文件和确认码后进行,进行验证,并将 P12证书文件存储到本地,完成激活流程。之后手机用户如果需要通过手机进行支付,则先提取并利用本手机的手机号、设备串号、sim卡号、用户密码作为密钥解密所述的P12证书文件,得到手机用户私钥,然后,产生一个随机密钥,利用所述手机的私钥对由随机密钥、手机号、用户密码组成的字符串计算登录数字签名,利用随机密钥对手机号、用户密码和登录数字签名组成的字符串加密得到第一密文,利用支付服务公钥对所述的随机密钥加密得到第二密文;将所述的登陆数字签名、第一密文、第二密文发送到所述的手机支付平台;所述的手机支付平台利用预存的服务器私钥及所述手机用户公钥解密所述的登陆数字签名、第一密文、第二密文,得到所述的随机密钥、手机号、用户密码,并验证;验证通过后,所述手机支付平台产生针对登录手机的报文密钥和私人密码保护密钥,并与所述的解密获得的随机密钥一起计算摘要值;利用所述的手机用户公钥对所述述报文密钥和私人密码保护密钥和摘要值组成的字符串加密形成密文并发送给所述的手机用户;所述的手机用户使用其手机私钥解密,得到所述报文密钥和私人密码保护密钥及摘要值,并验证,通过验证后,将得到的信息存入缓存,等待手机用户进行其他操作。手机用户进行支付操作时,先提取并利用本手机的手机号、设备串号、sim卡号、用户密码作为密钥解密所述的P12证书文件,得到手机用户私钥,利用在登录流程得到的私人密码保护密钥对支付密码加密得到支付密码密文,利用所述手机用户私钥对交易报文和所述支付密码密文进行计算得到支付数字签名;将订单号、手机号、所述支付密码密文、交易内容、所述支付数字签名组成上送信息,并将所述上送信息发送到所述手机支付平台;所述的手机支付平台将得到的信息进行解密并验证,验证通过后处理该项支付请求,并将交易号、交易结果、支付数字签名返回给所述手机用户,至此完成支付流程。对于关键的交易, 对交易内容和所述支付密码密文通过在所述的登陆流程获得的报文密钥进行二次加密,并将得到的密文和订单号、手机号、支付数字签名形成上送信息,发送到手机支付平台。参见附图2,本发明的手机安全支付网络系统,手机用户1通过运营商网络2向通讯适配服务器3发送业务请求,可以是注册请求、激活请求、登陆请求、支付请求,通讯适配服务器3将接收到的业务请求发送到智能匹配引擎服务器4,由智能匹配引擎服务器4对业务请求的业务逻辑进行分析,当需要加密、解密、或者签发证书时调用加密和证书服务器6 进行加密、解密、签发证书;当需要进行查询时调用数据库服务器5 ;当需要完成支付时,通过与银联接口 7调用银联接口服务器9,手机用户1可以通过银联网关服务器8访问银联接口服务器9。
权利要求
1.基于混合加密机制的手机安全支付方法,其特征在于,包含以下步骤S01为手机支付平台设置支付服务公私钥对;S02手机用户使用所述手机支付平台提供的支付服务公钥加密本手机用户的第一基本信息串,并将得到的密文串发送给所述的手机支付平台,发起注册流程;S03所述的手机支付平台利用支付服务私钥解密步骤S02所述的密文串,并将得到的所述手机用户的第一基本信息存入信息库;S04所述的手机支付平台产生一个注册码,并将其发送给所述的手机用户,同时为手机用户生成用户公私钥对;S05所述的手机支付平台将所述手机用户的用户公私钥对中的公钥和所述手机用户的第二基本信息串发送给证书签发机构服务器,获得所述手机用户的数字证书,同时产生所述手机用户的确认码;S06所述的手机支付平台将所述手机用户的公私钥对中的私钥和数字证书利用所述手机用户的第三基本信息串加密得到证书文件,然后利用所述的注册码和确认码对所述证书文件进行MAC计算得到MAC码,证书文件和MAC码一起形成注册文件,将所述注册文件缓存,等待所述手机用户的激活请求;S07:所述手机用户向所述的手机支付平台提交所述的注册码,发起激活流程,所述的手机支付平台将所述注册文件下送给所述手机用户,同时,通过网络服务器下发确认码;S08所述手机用户利用所述的注册码和确认码对所述的注册文件进行MAC码验证,验证通过后,将所述证书文件存储在本地,激活所述手机用户的支付功能;S09所述的手机用户利用所述第三基本信息解密所述的证书文件,得到所述的用户私钥和数字证书,完成与所述的手机平台提供服务器之间支付相关的安全操作。
2.根据权利要求1所述的基于混合加密机制的手机安全支付方法,其特征在于所述的手机发起注册请求时,要设置一个用户密码;
3.根据权利要求2所述的基于混合加密机制的手机安全支付方法,其特征在于所述的第一基本信息串为手机号、设备串号、sim卡号、用户密码、用户身份信息。
4.根据权利要求1或2所述的基于混合加密机制的手机安全支付方法,其特征在于 所述的第二基本信息串为手机号、sim卡号。
5.根据权利要求2所述的基于混合加密机制的手机安全支付方法,其特征在于所述的第三基本信息串为手机号、设备串号、sim卡号、用户密码。
6.根据权利要求1所述的基于混合加密机制的手机安全支付方法,其特征在于所述的支付相关的安全操作包括用户登录操作,包含以下步骤S31所述的手机用户输入所述的用户密码;S32通过验证证书文件的完整性后,提取所述的第三信息串;S33利用所述的第三信息串对所述的证书文件进行解密,得到所述私钥;S34:产生一个随机密钥,利用所述手机的私钥对由随机密钥、手机号、用户密码组成的字符串计算登录数字签名,利用随机密钥对手机号、用户密码和登录数字签名组成的字符串加密得到第一密文,利用支付服务公钥对所述的随机密钥加密得到第二密文;S35将所述的登陆数字签名、第一密文、第二密文发送到所述的手机支付平台提供;S36所述的手机支付平台利用预存的支付服务私钥解密所述第二密文,得到随机密钥后解密所述第一密文得到手机号、用户密码和登录数字签名,利用预存的所述手机用户公钥验证数字签名,通过后验证用户密码的有效性;S37:验证通过后,所述手机支付平台产生针对登录手机的报文密钥和私人密码保护密钥,并与所述的解密获得的随机密钥一起计算摘要值;S38:利用所述的手机用户公钥对所述述报文密钥和私人密码保护密钥和摘要值组成的字符串加密形成密文并发送给所述的手机用户;S39:所述的手机用户使用其手机私钥解密,得到所述报文密钥和私人密码保护密钥及摘要值,并验证所述摘要值,通过验证后,将得到的密钥信息进行缓存。
7.根据权利要求6所述的基于混合加密机制的手机安全支付方法,其特征在于所述的支付相关操作包括支付操作,包含以下步骤541所述的手机用户输入所述的用户密码;542通过验证证书文件有效性后,提取所述的第三信息串;543利用所述的第三信息串对所述的证书文件进行解密,得到所述私钥;544利用私人密码保护密钥对支付密码加密得到支付密码密文,利用所述手机用户私钥对订单号、手机号、交易内容和所述支付密码密文进行计算得到支付数字签名;S45:将订单号、手机号、所述支付密码密文、交易内容、所述支付数字签名组成上送信息或者利用步骤S39解密获得的报文密钥对交易内容和所述的支付密码密文进行加密,并将得到的密文和所述的订单号、手机号、支付数字签名一起形成上送信息,并将所述上送信息发送到所述手机支付平台;S46 所述的手机支付平台提将在S45步骤中得到的信息进行解密并验证,验证通过后处理该项支付请求,并将交易号、交易结果、支付数字签名返回给所述手机用户。
8.一种基于权利要求1-7任一所述的基于混合加密机制的手机安全支付方法的手机安全支付网络系统,其特征在于,包括能够实现权利要求1-7任一所述的手机安全支付方法的网关子系统,所述的网关子系统包括用于接收所述的手机用户的业务请求的通讯适配服务器;用于对所述的通讯服务器接收的业务请求的业务逻辑进行分析、并调用相关服务器进行处理的智能匹配引擎服务器,被调用的所述相关服务器包括具有支付功能的前置机或者支付网关服务器;用于产生、并保存所述的手机支付平台的支付服务公私钥对、所述手机用户的用户公私钥对、及签发证书、并根据智能匹配引擎服务器的调用进行加密解密的加密和证书服务器;用于存储临时非关键业务数据的数据库服务器;所述的数据库服务器分别连接到所述的加密和证书服务器及智能匹配引擎服务器。
9.根据权利要求8所述的手机安全支付网络系统,其特征在于所述的前置机或者支付网关服务器包括银联接口服务器、支付宝网关服务器。
10.根据权利要求8所述的手机安全支付网络系统,其特征在于所述的业务请求包括注册请求、激活请求、登陆请求、支付请求。
全文摘要
本发明涉及用于手机支付领域的基于混合加密机制的手机安全支付方法及系统,本发明的基于混合加密机制的手机安全支付方法,需要先将本手机的经过支付服务公钥加密的基本信息发送给手机支付平台进行注册,获得注册码,提交注册码获得提供的证书文件,并在相关操作中利用从证书文件中解密得到密钥进行操作。本发明的系统,包括一个网关子系统,所述的网关子系统包括依次连接的通讯适配服务器、智能匹配引擎服务器、加密解密的加密和证书服务器,还包括数据库服务器。本发明的基于混合加密机制的手机安全支付方法及系统,利用非对称加密算法与对称加密的混合保障交易的安全,在手机用户端不需要特别的硬件配合,便于手机支付业务的推广。
文档编号H04W12/02GK102254380SQ20101018714
公开日2011年11月23日 申请日期2010年5月31日 优先权日2010年5月31日
发明者周雪松, 房建国, 朱烨东, 杨劲 申请人:上海银联电子支付服务有限公司, 北京汇冠金财科技有限公司