专利名称:一种基于移动终端签名的远程支付系统及方法
技术领域:
本发明涉及移动通信技术领域,尤其涉及一种基于移动终端签名的远程支付系统 及方法,以及所述系统中的移动终端和移动终端的智能卡。
背景技术:
随着网络购物在日常生活中的逐渐普及,远程支付功能越来越被更多的人接受, 目前网络支付手段一般是通过银行卡来实现,且对网络的安全性要求很高,一般都需要使 用数字证书。随着手机支付概念的推广应用,手机支付因手机普及度高支付方便等特点而 受到人们的青睐。目前主流的手机支付技术主要有如下三种第一种是来自欧洲的NFC(Near Field Communication,即近距离通信)技术,是时 间最长,影响力最广泛的方案。这种方案将非接触式智能卡技术与手机结合,将射频芯片集 成到手机主板上,实现手机与POS机或读卡器之间的通讯,从而实现手机支付。这种方式的 最大缺陷在于用户若要使用手机支付,必须更换为带有NFC功能的手机。第二种是目前比较常用的基于13. 56MHZ的SIM PASS标准。SIMpass技术融合了 DI卡技术和SIM(用户识别卡,Subscriber Identity Module)卡技术,或者称为双界面SIM 卡,也即具有接触和非接触两个工作接口,接触界面用于实现SIM功能,非接触界面用于实 现支付功能,兼容多个智能卡应用规范。第三种是基于2. 4GHz的RFID_SIM,其实现机制与上面的SIMpass类似。从上面对主流手机支付技术的介绍可以看出,目前的手机支付技术还基本局限于 近距离支付技术。远程支付功能受到网络安全性和当前技术的限制,没有得到广泛应用。目前的技 术手段主要是通过对手机用户的ID信息,登陆密码和手机密码等信息进行验证,即进行远 程支付。但手机用户的这些个人信息在通过短信或WAP传输时,很容易被一些不法分子截 获,从而造成巨大损失,可以预见,手机支付的安全性能将是限制其能否广泛应用的关键因
ο因而,如何实现安全简便的移动终端的远程支付,就成为需要解决的技术问题。
发明内容
本发明所要解决的技术问题在于,提供一种基于移动终端签名的远程支付系统及 方法,以及所述系统中的移动终端和移动终端的智能卡,用于实现移动终端签名的远程支 付。为了解决上述问题,本发明提出了一种基于移动终端签名的远程支付系统,包 括认证服务器,用于在远程支付时向移动终端索要数字证书以及签名信息进行远程 支付认证;
移动终端,包括存储有数字证书的智能卡;所述智能卡用于在收到索要证书请求 时生成数字证书发送给认证服务器,用于在收到签名指令时送出签名结果并上传签名结果 至认证服务器。所述远程支付系统进一步包括浏览器模块,用于提供认证服务器与智能卡的交 互界面,向移动终端的智能卡下发索要证书请求及签名指令,向认证服务器上传数字证书 及签名结果;所述浏览器模块与所述智能卡采用个人计算机/智能卡通道进行交互,并且 所述浏览器模块内置有加密服务提供者(CSP)应用插件。所述浏览器模块位于移动终端的计算机操作系统中,或者是与移动终端相连的个 人计算机的操作系统中。所述移动终端的智能卡,还用于向认证服务器申请数字证书,在收到公私密钥对 生成请求时,生成公私密钥对,并在收到公钥信息请求命令后上传公钥信息至认证服务器, 从认证服务器接收并保存认证服务器下发的数字证书;所述认证服务器,用于根据移动终 端的请求下发公私密钥对生成请求,接收公钥信息,并生成数字证书下发给移动终端。所述移动终端的智能卡,包括文件系统模块,安全系统模块,空口(OTA)功能模 块,RSA功能模块,其中RSA功能模块,用于生成公私密钥对;所述安全系统模块,用于起加密作用;所述文件系统模块,用来存储数字证书;空口(OTA)功能模块,属于空中接口模块,用于连接无线网络。一种基于移动终端签名的远程支付方法,包括认证服务器向移动终端索要数字证书,移动终端向内置的智能卡发送读取证书指 令,智能卡导出存储的数字证书后由移动终端发送给认证服务器进行证书注册;认证服务器向移动终端下发签名指令,移动终端向内置的智能卡发送私钥签名指 令,所述智能卡送出签名结果并由移动终端上报至认证服务器。所述移动终端的智能卡保存的数字证书是由移动终端向认证服务器在线申请获 得,其获取步骤如下移动终端向认证服务器申请数字证书,所述认证服务器根据移动终端的请求下发 公私密钥对生成请求;移动终端根据公私密钥对生成请求生成公私密钥对,在收到公钥信息请求命令后 上传公钥信息至认证服务器;认证服务器对公钥信息验签后,生成数字证书并向移动终端下发数字证书;移动终端接收并保存认证服务器下发的数字证书至智能卡中。所述移动终端与认证服务器通过浏览器进行交互;所述浏览器内置有加密服务提 供者(CSP)应用插件,并与所述智能卡采用个人计算机/智能卡通道进行交互。所述移动终端与认证服务器进行交互的指令包括安全服务指令和返回数据/状 态指令;其中,安全服务指令包括如下指令之一或它们的组合公私密钥生成指令;签名 验签指令;加密解密指令;读取证书指令;读取公钥指令;其中,返回的数据/状态包括如下之一或它们的组合公钥数据;公钥证书数据;私钥签名的结果值;出错状态信息。一种移动终端,所述移动终端包括存储有数字证书的智能卡;所述智能卡用于在 收到索要证书请求时生成数字证书发送给认证服务器,用于在收到签名指令时送出签名结 果并上传签名结果至认证服务器。所述智能卡,还用于向认证服务器申请数字证书,在收到公私密钥对生成请求时, 生成公私密钥对,并在收到公钥信息请求命令后上传公钥信息至认证服务器,从认证服务 器接收并保存认证服务器下发的数字证书。所述智能卡包括文件系统模块,安全系统模块,空口(OTA)功能模块,RSA功能模 块,其中RSA功能模块,用于生成公私密钥对;所述安全系统模块,用于起加密作用;所述 文件系统模块,用来存储数字证书;空口(OTA)功能模块,属于空中接口模块,用于连接无 线网络。—种智能卡,所述智能卡内置于移动终端中,通过个人计算机/智能卡通道与个 人计算机系统端进行交互;所述智能卡包括文件系统模块,安全系统模块,空口(OTA)功 能模块,RSA功能模块,其中RSA功能模块,用于生成公私密钥对;所述安全系统模块,用于起加密作用;所述文件系统模块,用来存储数字证书;空口(OTA)功能模块,属于空中接口模块,用于连接无线网络。所述文件系统模块存储的数字证书,用于在收到索要证书请求时由移动终端发送 给认证服务器;所述安全系统模块,用于在收到签名指令时对签名进行加密,将加密的签名 结果上传至认证服务器;RSA功能模块,用于在移动终端向认证服务器申请数字证书过程 中收到公私密钥对生成请求时,生成公私密钥对。和现行技术相比,本发明中公私密钥对的生成和证书的存放都是在移动终端本 地,具有更高的安全性和便携性。在远程支付过程中,需要使用用户的数字证书和签名(即 密码),同样是移动终端通过数据接口和PC端相连,PC端的服务器网站下发证书请求,移动 终端获取请求,上传数字证书。PC端将证书注册到浏览器后发送给服务器,以备验证签名。 服务器端收到证书后发起公私密钥对请求,移动终端成功上传公私密钥后,验证签名结束。本发明不但突破了手机支付近距离的限制,同时相比使用短信和WAP方式传递个 人ID和密码的方式,更具安全性和保密性。同时,如果利用移动终端自身的浏览器,可以不 依赖于外部电脑,而由移动终端直接与认证服务器进行交互,实现自助证书申请及签名验 签等操作。本发明具有更高的安全性和便携性,从而给用户在实行远程支付时带来使用上 的方便,有利于保护用户的个人隐私信息,保障远程支付的安全性。
图1是移动终端与外部PC机相连实现远程支付系统的示意图;图2是移动终端利用内部PC操作系统实现远程支付系统的示意图;图3是移动终端的智能卡与PC侧之间的PC/SC通道的连接示意图;图4是智能卡侧与PC侧的功能模块示意图;图5是移动终端执行证书申请的流程图6是移动终端执行远程支付签名验签的流程图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,以下结合附图对本发明作进一步 地详细说明。本发明的基于移动终端签名的远程支付系统,通过对移动终端、浏览器模块,以及 移动终端的智能卡与浏览器之间的数据通道进行改造,实现对远程支付功能的支持。如图1所示,显示了一种典型的基于移动终端签名的远程支付系统的示意图。所 述基于移动终端签名的远程支付系统包括移动终端,PC端,认证服务器。所述移动终端包括智能卡(SC,Smart Card),移动终端与PC端之间现已有AT通 道,还需增加个人计算机/智能卡PC/SC通道,用于在智能卡与PC标准的设备之间可以进 行通讯。PC/SC通道,是为智能卡访问Windows平台而定义的一种标准结构,用于传递自定 义的APDU(APL协议数据单元,APLProtocol Data Unit)指令。相应的,移动终端的驱动程 序中需要增加PC/SC驱动。所述PC端,具有浏览器模块,需要对浏览器进行改进,以便支持CSPAPI。加密服务 提供者C SP(Cryptographic Service Provider),用于密钥生成/交换、加解密等服务。认证服务器,用于数字证书的生成,下发及验证数字证书。由于移动终端的证书申请与签名验签都主要发生在认证服务器与智能卡之间,中 间需要浏览器与移动终端的转发,相互的数据交互通过PC/SC通道进行。所述PC端,可以是普通的个人计算机或笔记本电脑或者是具有个人计算机系统 的移动设备,其与认证服务器可以通过有线宽带网络或者无线宽带网络进行网络连接。在图1所示的系统中,移动终端连同其内置的智能卡,相当于直接连接与计算机 系统上的卡盾设备,例如银行的USBKEY。该智能卡可以同时具备通信功能和卡盾功能。所 述智能卡可以是USIM卡。如图2所示,显示了另一种典型的基于移动终端签名的远程支付系统的示意图。 随着智能手机等智能移动终端的普及,移动终端的功能越来越强大,很多移动终端具有个 人操作系统,可以实现普通PC机所能实现的功能,例如移动终端可以通过浏览器实现互联 网业务,也就是说相当于可以将PC端也内置在移动终端内部,智能卡与浏览器模块交互, 移动终端通过无线网络与认证服务器连接。在图2中,同样需要对移动终端进行改造,即增加内置智能卡与浏览器模块之间 的个人计算机/智能卡PC/SC通道以及相应的驱动程序,在浏览器模块增加加密服务提供 者 CSP (Cryptographic Service Provider)应用插件。在图1和图2所示的系统中,经过改进之后,具有智能卡的移动终端,就能够保证 对安全服务指令和返回的数据流的通道支持,相关的APDU指令通过这个PC/SC通道传递到 智能卡端(例如USIM卡(Universal SubscriberIdentity Module,全球用户识别卡)),使 用户在远程支付过程中,通过对浏览器的操作,实现电子签名,身份认证的功能。认证服务 器的数字证书的下发,移动终端生成的公私密钥对及数字证书的下载、上传都是通过PC/SC 通道进行。在图1和图2所示的系统中,所述智能卡,包括文件系统模块,安全系统模块,OTA(over the air,空口)功能模块,RSA协处理器等。其中文件系统模块用来存储数字 证书,RSA协处理器用来生成公私密钥对,安全系统模块主要是起加密作用,OTA功能模块 属于空中接口模块,用户可以用来连接网络。如图3所示,显示了基于PC/SC通道传递认证服务器下发的安全服务指令以及移 动终端返回的数据状态信息的示意图。用于远程支付的安全服务指令及数据都通过PC/SC 通道传递,而普通指令及数据可以通过现有的AT通道传递。如图4所示,显示了基于PC/SC通道划分的PC侧与智能卡侧(USIM卡侧)的详细 示意图。其中,在PC侧,密钥容器(Key Container)是密钥数据库的一部分,其包含了属于 一个特定用户的所有的密钥对。加密库,包括硬件加密库和软件加密库,其可以是密钥数据 库,用于存放多个用户的密钥容器。CSP API插件可以嵌入结合在浏览器中,与认证服务器 间通过SSL进行通讯。其中,在智能卡(USIM卡)侧,包括文件系统模块,安全系统模块,OTA功能模块, RSA功能模块。所述RSA功能模块是RSA协处理器,用于生成公私密钥对。文件系统模块用 于存储数字证书。在PC侧与智能卡侧之间,增加了个人计算机(Personal computer) /智能卡 (Smart Card)通道,PC/SC通道是为智能卡访问Windows平台而定义的一种标准结构,用于 传递自定义的APDU (APL协议数据单元,APL Protocol DataUnit)指令。所述指令包括安 全服务指令和状态信息指令。PC/SC通道还用于传递数据证书的下发和下载等。CSP属于 WINDOWS开发内容,在开发完毕后作为一个组件集成到浏览器中,以实现浏览器对公私密钥 的支持。图1中移动终端与PC端连接时,可以通过物理性的USB接口和PC端相连,而移动 终端和PC端之间的数据传递通过标准的PC/SC通道进行,保证数据的保密性。为实现本发明的移动终端的远程支付,新增APDU指令主要分为安全服务指令和 返回数据/状态指令。其中,安全服务指令主要包括公私密钥生成指令;签名验签指令;加密解密指 令;读取证书指令;读取公钥指令。其中,返回的数据/状态主要包括公钥数据;公钥证书数据;私钥签名的结果值; 出错状态信息。为实现移动终端的远程支付,需要先向认证服务器请求数字证书,在移动终端保 存了数字证书之后,才可实现在线支付。如图5所示,给出了移动终端向认证服务器申请证 书的证书申请阶段流程图。由于移动终端中采用的是智能卡,因而,其向认证服务器申请的 客户证书的类型为智能卡用户类型。移动终端可以利用自身操作系统中的浏览器或通过相连接的PC机上的操作系统 中的浏览器,在证书申请网站(CA或CA代理)申请客户证书,向认证服务器发送申请请求。 具体申请过程如下501 移动终端通过浏览器向认证服务器申请证书;502 认证服务器向移动终端下发公私密钥对生成请求;503 移动终端将公私密钥对生成指令透传给智能卡(USIM卡);
504 智能卡利用内部的RSA协处理器,生成公私密钥对,并保存在安全存储区(即 文件系统模块);505 智能卡向移动终端返回状态信息;506 移动终端向认证服务器上传状态信息;507 认证服务器向移动终端下发公钥信息请求命令;508 移动终端透传公钥信息请求命令给智能卡,智能卡读取公钥信息;509 智能卡送出公钥数据给移动终端510 移动终端上传公钥数据至认证服务器;511 认证服务器下发客户证书给移动终端;512 移动终端下载证书,将客户证书保存到智能卡中。在移动终端保存有数字证书时,就可以与认证服务器进行交互实现远程支付,当 然,移动终端获取数字证书的方式并不限于图5所示的在线获取方式,也可以预置或者采 用其它方式获得。如图6所示,给出了移动终端远程支付时进行签名验签阶段的流程图。601 认证服务器向移动终端索要客户的数字证书;602 移动终端透传读取证书指令给智能卡;603 智能卡送出客户的公钥证书信息给移动终端;604 移动终端将公钥证书信息注册到PC端的IE浏览器,并发送给认证服务器用 于验证公钥证书信息;605 认证服务器向移动终端下发签名指令,并将HASH过的数据下发移动终端;606 移动终端透传私钥签名指令到智能卡;607 智能卡送出签名结果给移动终端;608 移动终端将签名结果上传给认证中心,完成远程支付的签名验签。本发明在移动终端内置支持基本安全指令的智能卡,例如USIM卡,可称之为“卡 盾”,改进后的智能卡除具有通信功能之外,还具有远程支付及安全功能。为了实现智能卡 与外部浏览器之间的交互,在移动终端通过增加PC/SC通道和对PC/SC驱动的支持,以及对 PC端的浏览器、应用程序插件CSPAPI等改造,开发一系列APDU指令,实现了移动证书的申 请,存储及签名的验签。和传统的手机支付相比,本发明不但突破了手机支付近距离的限制,同时相比使 用短信和WAP方式传递个人ID和密码的方式,更具安全性和保密性。同时,如果利用移动终 端自身的浏览器,可以不依赖于外部电脑,而由移动终端直接与认证服务器进行交互,实现 自助证书申请及签名验签等操作。本发明具有更高的安全性和便携性,从而给用户在实行 远程支付时带来使用上的方便,有利于保护用户的个人隐私信息,保障远程支付的安全性。以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人 员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、 等同替换、改进等,均应包含在本发明的权利要求范围之内。
权利要求
一种基于移动终端签名的远程支付系统,包括认证服务器,用于在远程支付时向移动终端索要数字证书以及签名信息进行远程支付认证;移动终端,包括存储有数字证书的智能卡;所述智能卡用于在收到索要证书请求时生成数字证书发送给认证服务器,用于在收到签名指令时送出签名结果并上传签名结果至认证服务器。
2.如权利要求1所述的远程支付系统,其特征在于,所述远程支付系统进一步包括 浏览器模块,用于提供认证服务器与智能卡的交互界面,向移动终端的智能卡下发索要证书请求及签名指令,向认证服务器上传数字证书及签名结果;所述浏览器模块与所述智能卡采用个人计算机/智能卡通道进行交互,并且所述浏览 器模块内置有加密服务提供者(CSP)应用插件。
3.如权利要求1所述的远程支付系统,其特征在于,所述浏览器模块位于移动终端的计算机操作系统中,或者是与移动终端相连的个人计 算机的操作系统中。
4.如权利要求1所述的远程支付系统,其特征在于,所述移动终端的智能卡,还用于向认证服务器申请数字证书,在收到公私密钥对生成 请求时,生成公私密钥对,并在收到公钥信息请求命令后上传公钥信息至认证服务器,从认 证服务器接收并保存认证服务器下发的数字证书;所述认证服务器,用于根据移动终端的请求下发公私密钥对生成请求,接收公钥信息, 并生成数字证书下发给移动终端。
5.如权利要求4所述的远程支付系统,其特征在于,所述移动终端的智能卡,包括文件系统模块,安全系统模块,空口(OTA)功能模块, RSA功能模块,其中RSA功能模块,用于生成公私密钥对;所述安全系统模块,用于起加密作用;所述文件系统模块,用来存储数字证书;空口(OTA)功能模块,属于空中接口模块,用于连接无线网络。
6.一种基于移动终端签名的远程支付方法,包括认证服务器向移动终端索要数字证书,移动终端向内置的智能卡发送读取证书指令, 智能卡导出存储的数字证书后由移动终端发送给认证服务器进行证书注册;认证服务器向移动终端下发签名指令,移动终端向内置的智能卡发送私钥签名指令, 所述智能卡送出签名结果并由移动终端上报至认证服务器。
7.如权利要求6所述的远程支付方法,其特征在于,所述移动终端的智能卡保存的数 字证书是由移动终端向认证服务器在线申请获得,其获取步骤如下移动终端向认证服务器申请数字证书,所述认证服务器根据移动终端的请求下发公私 密钥对生成请求;移动终端根据公私密钥对生成请求生成公私密钥对,在收到公钥信息请求命令后上传 公钥信息至认证服务器;认证服务器对公钥信息验签后,生成数字证书并向移动终端下发数字证书;移动终端接收并保存认证服务器下发的数字证书至智能卡中。
8.如权利要求6或7所述的远程支付方法,其特征在于, 所述移动终端与认证服务器通过浏览器进行交互;所述浏览器内置有加密服务提供者(CSP)应用插件,并与所述智能卡采用个人计算机 /智能卡通道进行交互。
9.如权利要求8所述的远程支付方法,其特征在于,所述移动终端与认证服务器进行交互的指令包括安全服务指令和返回数据/状态指令;其中,安全服务指令包括如下指令之一或它们的组合公私密钥生成指令;签名验签 指令;加密解密指令;读取证书指令;读取公钥指令;其中,返回的数据/状态包括如下之一或它们的组合公钥数据;公钥证书数据;私钥 签名的结果值;出错状态信息。
10.一种移动终端,其特征在于,所述移动终端包括存储有数字证书的智能卡;所述智能卡用于在收到索要证书请求时生成数字证书发送给认证服务器,用于在收到 签名指令时送出签名结果并上传签名结果至认证服务器。
11.如权利要求10所述的移动终端,其特征在于,所述智能卡,还用于向认证服务器申请数字证书,在收到公私密钥对生成请求时,生成 公私密钥对,并在收到公钥信息请求命令后上传公钥信息至认证服务器,从认证服务器接 收并保存认证服务器下发的数字证书。
12.如权利要求10或11所述的移动终端,其特征在于,所述智能卡包括文件系统模块,安全系统模块,空口(OTA)功能模块,RSA功能模块, 其中RSA功能模块,用于生成公私密钥对;所述安全系统模块,用于起加密作用;所述文件系统模块,用来存储数字证书;空口(OTA)功能模块,属于空中接口模块,用于连接无线网络。
13.一种智能卡,其特征在于,所述智能卡内置于移动终端中,通过个人计算机/智能 卡通道与个人计算机系统端进行交互;所述智能卡包括文件系统模块,安全系统模块,空口(OTA)功能模块,RSA功能模块, 其中RSA功能模块,用于生成公私密钥对;所述安全系统模块,用于起加密作用;所述文件系统模块,用来存储数字证书;空口(OTA)功能模块,属于空中接口模块,用于连接无线网络。
14.如权利要求13所述的智能卡,其特征在于,所述文件系统模块存储的数字证书,用于在收到索要证书请求时由移动终端发送给认 证服务器;所述安全系统模块,用于在收到签名指令时对签名进行加密,将加密的签名结果上传 至认证服务器;RSA功能模块,用于在移动终端向认证服务器申请数字证书过程中收到公私密钥对生 成请求时,生成公私密钥对。
全文摘要
本发明公开了一种基于移动终端签名的远程支付系统及方法,以及所述系统中的移动终端和移动终端的智能卡。本发明通过对移动终端的智能卡(例如USIM卡)进行改造,并提供与PC侧交互的PC/SC通道。所述智能卡上存储有数字证书,在认证时智能卡导出存储的数字证书后由移动终端发送给认证服务器进行证书注册;认证服务器向移动终端下发签名指令,移动终端向内置的智能卡发送私钥签名指令,所述智能卡送出签名结果并由移动终端上报至认证服务器。所述数字证书可由智能卡与认证服务器在线交互获得。本发明具有更高的安全性和便携性,从而给用户在实行远程支付时带来使用上的方便,有利于保护用户的个人隐私信息,保障远程支付的安全性。
文档编号H04L29/06GK101938520SQ20101027606
公开日2011年1月5日 申请日期2010年9月7日 优先权日2010年9月7日
发明者廉殿斌, 张治邦 申请人:中兴通讯股份有限公司