一种数字签名认证方法及包含该方法的支付方法及系统的制作方法

专利名称：一种数字签名认证方法及包含该方法的支付方法及系统的制作方法
技术领域：
本发明涉及移动支付领域，尤其涉及一种移动支付系统中的数字签名认证方法及包含该方法的支付方法及系统。
背景技术：
随着金融业务的快速发展，人们生活中需要支付各种费用，或者接受费用的支付，常用的方式是通过银行柜面办理或者通过网上银行办理，到银行柜台办理需要耗费用户很多时间，而且由于工作的原因，用户往往没有时间去银行缴费。通过网上银行缴费，则确实给用户带来了很大的方便，但是由于上互联网只能有网络的地方才能使用，而且在公共网吧的计算机上使用也极不安全，因此，用户不方便上网时无法使用网上银行进行支付。手机上网通常采用登陆WAP网站的方式进行，WAP网页基本上是明文传输，无法做 到安全传输，WAP网站无法直接调用硬件，做到类似USBKey型的数字签名，所以，传统意义上的WAP网页在使用过程中，只能使用用户标识加密码的方式确认用户身份，该模式下，用户名和密码由于是明文传播，通信通道极不安全，无法做到对信息的加密保护，也不能禁止攻击者的窃听和篡改及用户的恶意抵赖。随着手机网络速度的不断提高和智能手机应用的普及，使用手机上网的应用需求日益強烈，移动支付技术的发展和应用也应运而生，例如公开号为CN101072384A、发明名称一种基于手机银行的手机支付方法和系统以及公开号为CN101730023A，发明名称短信支付的方法和系统的中国专利文献中均记载了手机银行的支付方案。为了防止抵赖，发明名称为利用短信息进行身份认证的方法、公开号为CN101742504A的中国专利文献记载了在移动支付中进行数字签名的认证方案，但是该方案没有考虑到数字签名是由要签名的数据及签名两部分组成，签名是把要签名的数据经哈希(例如MD5、SHAl )，再把哈希结果经加密算法加密而成。通常，哈希的结果至少占用16字节以上，为安全起见，签名所用的RSA加密算法密钥应使用1024位，所以加密结果至少为1024位，既128字节。此外，中国电信C M P P协议定义一条短信最多发送140个字节，所以要签名的数据最多只能有12个字节(140-128)。因此，使用一条短信不能实现移动支付中进行数字签名的需求。

发明内容
本发明的目的就是提供ー种数字签名认证方法及包含该方法的支付方法及系统，对手机兼容性強，而且更加安全，防止抵赖。本发明提供一种移动支付系统中的数字签名认证方法，该系统包括客户终端及业务服务器，具体如下步骤
步骤I、业务服务器4通过WAP网站2或者短信服务器3向客户终端I发送交易确认请
求；
步骤2、客户终端I接收到所述交易确认请求后，将用户输入的确认信息和其它数据一起形成交易确认数据，然后使用内部存储的数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器3将所述交易确认数据发送到所述业务服务器4，通过WAP网站2将所述签名数据发送到所述业务服务器4 ；
步骤3、业务服务器4接收到所述交易确认数据和签名数据后，对所述交易确认数据用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果ー致，则说明合法，进入步骤4 ;如果不一致，说明交易确认数据不合法，进入步骤5 ;
步骤4、交易服务器4进行后续的交易处理，完毕后通过WAP网站2或短信服务器3向客户终端I发送交易结果；
步骤5、交易服务器4通过WAP网站2或短信服务器3向客户终端I反馈错误或其它说明。作为另ー个优选方案，所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包，然后对所述加密的确认数据包进行签名获得签名数据，所述步骤3中业务服务器4接收到所述确认数据包和签名数据后，对所述确认数据包用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明·合法，进入所述步骤4;如果不一致，说明交易确认数据不合法，进入所述步骤5。作为又ー个优选方案，所述步骤2中，通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/或通过WAP网站2将所述签名数据发送到所述业务服务器4之前，将数据进行加密。本发明还提供ー种包含上述数字签名认证方法的移动支付方法，在所述步骤I之前还包括如下步骤
步骤A、客户终端I通过WAP网站2向业务服务器4发送交易请求；所述交易请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态ロ令OTP ；
步骤B、业务服务器4根据本地存储的所述客户对应的动态ロ令种子，计算动态ロ令，与接收到的动态动态ロ令进行比较判断客户的合法性，如果合法，将该动态ロ令作为下次动态ロ令运算的种子，通过WAP网站2向客户终端I发送业务页面，进入步骤C ;如果不合法，进入步骤5 ;
步骤C、客户进行业务操作，完毕后客户终端I通过WAP网站2或短信服务器3向交易服务器4发送业务操作数据。作为另ー种移动支付的替代方案，在所述步骤I之前包括如下步骤
步骤A、客户终端I通过WAP网站2向业务服务器4发送交易请求；
步骤B、业务服务器4通过WAP网站2向客户终端推送验证页面；
步骤C、客户点击索取验证码菜单按钮，客户终端I通过WAP网站2向业务服务器4发送验证码索取请求；
步骤D、业务服务器4生成一个随机数作为验证码，通过短信服务器(3)向客户终端I发送；
步骤E、客户在验证页面上输入接收到的验证码并确认，客户终端I通过WAP网站2向交易服务器4发送验证码；
步骤F、业务服务器4收到验证码后，比较是否与步骤D生成的验证码一致，如果一致，验证通过，则通过WAP网站向客户终端发送业务操作页面，进入步骤G ;否则通过WAP网站2向客户终端I反馈错误页面通知验证码错误，转到步骤D ;步骤G、客户终端I接收到该业务操作页面，客户在业务操作页面上进行业务操作，确认后，客户终端I将业务操作数据发送到业务服务器4。本发明还提供一种移动支付系统，包括
客户终端，接收业务服务器4通过WAP网站2或者短信服务器3发送的交易确认请求，将用户输入的确认信息和其它数据一起形成交易确认数据，然后使用内部存储的数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器3将所述交易确认数据发送到所述业务服务器4，通过WAP网站2将所述签名数据发送到所述业务服务器4 ；业务服务器4，通过WAP网站2或者短信服务器3向客户终端I发送交易确认请求，接收到客户终端发送的所述交易确认数据和签名数据后，对所述交易确认数据用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法，进行后续的交易处理，完毕后通过WAP网站2或短信服务器3向客户终端I发送交易结果；如果不一致，说明交易确认数据不合法，交易服务器4通过WAP网站2或短信服务器3向客户终端I反馈错误或其它说明。
作为另ー优选支付系统方案，客户终端将所述交易确认数据进行签名之前先进行加密形成确认数据包，然后再对所述加密的确认数据包进行签名获得签名数据，业务服务器4接收到所述确认数据包和签名数据后，对所述确认数据包用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法；如果不一致，说明交易确认数据不合法。作为又ー优选支付系统方案，通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/或通过WAP网站2将所述签名数据发送到所述业务服务器4之前，将数据进行加密。作为又ー优选支付系统方案，客户终端还用于在签名认证前通过WAP网站向业务服务器发送交易请求，请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态ロ令OTP ;接收到业务服务器发送的业务页面后，客户进行业务操作，完毕后客户终端I通过WAP网站2或短信服务器3向交易服务器4发送业务操作数据；
业务服务器4根据本地存储的所述客户对应的动态ロ令种子，计算动态ロ令，与接收到的动态动态ロ令进行比较判断客户的合法性，如果合法，将该动态ロ令作为下次动态ロ令运算的种子，通过WAP网站2向客户终端发送业务页面；如果不合法，通过WAP网站2或短信服务器3向客户终端I反馈错误或其它说明。作为又ー优选支付系统，客户终端还用于在签名认证前通过WAP网站2向业务服务器发送交易请求；在接收到业务服务器发送的验证页面且客户点击索取验证码菜单按钮后，通过WAP网站2向业务服务器4发送验证码索取请求；接收到验证码并经客户输入确认后，通过WAP网站2向交易服务器4发送验证码；接收到业务服务器通过WAP网站发送的业务操作页面，客户确认后，将业务操作数据发送到业务服务器4 ；
业务服务器4接收到所述交易请求后，通过WAP网站2向客户终端推送验证页面；收到客户终端发送的验证码索取请求后生成一个随机数作为验证码通过短信服务器向客户终端发送；接收到客户终端发送的验证码后，比较是否与生成的验证码一致，如果一致，验证通过，则通过WAP网站向客户终端发送业务操作页面；否则通过WAP网站2向客户终端I反馈错误页面通知验证码错误。
本发明的技术方案中采用两条通信链路分开发送签名数据和确认数据，既能不受各种手机短信内容大小的限制，而且被恶意修改的可能性更小。通过以下结合附图对本发明优选实施方式的描述，本发明的其他特点、目的和效果将变得更加清楚和易于理解。


图I为本发明系统结构示意 图2为本发明数字签名过程的基本流程 在所有的上述附图中，相同的标号表示具有相同、相似或相应的特征或功能。
具体实施例方式如图I所示，本发明系统包括客户终端I、短信服务器3、WAP网站2及业务服务器4，客户终端I包含有硬件安全単元，可以是贴片卡，也可以是SIM卡，SD卡，TF卡等，内部数据不经合法访问无法探測，确保安全。安全硬件単元内置有用户数字证书和密钥，数字证书的信息和手机号码及机主信息在业务服务器4端进行绑定，绑定关系也在安全硬件単元内部存储，绑定内容可以是手机号码、身份证、账号、硬件安全単元序列号、证书序列号等，但是不限于上述几种；安全硬件单元还内置可更新服务器身份电子证书的公钥，以便验证服务器身份，方便双向认证。本发明主要针对数字签名认证的流程，对于其它流程，例如接入请求中的认证流程不是本发明的重点，本发明的流程可以插入到任何需要进行签名认证的流程中。由于签名认证过程一般都是业务服务器4发起，因此，下面以业务服务器4向客户终端I发送交易确认请求开始进行描述。如图2所示，该数字签名认证方法包括如下步骤
步骤I、业务服务器4通过WAP网站2或者短信服务器3 (也可以叫“WAP通道或短信通道”)向客户终端I发送交易确认请求；
步骤2、客户终端I接收到所述交易确认请求后(如果通过短信服务器发送交易确认请求，则安全硬件单元收到后，立即显示确认界面)，用户输入确认信息，例如密码类的敏感信息，客户终端I将该输入的确认信息和一些绑定信息如手机号码、账号、硬件安全単元序列号等形成交易确认数据，然后使用内部存储的数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器3将所述交易确认数据发送到所述业务服务器4，通过WAP网站2将所述签名数据发送到所述业务服务器4 ;所述确认数据包和签名数据均有唯一的标识，例如用户终端标识+数据类型+流水号+日期，便于业务服务器4在不同的通道收到上述两个数据后能够识别进行组合或者直接进行验证处理。通过短信的方式发送交易确认数据在这里就不用再介绍了，通过WAP网站2将签名数据发送的实施方式可以如下客户终端I呼叫WAP网站，呼叫请求中包括业务服务器4的网络地址及数据内容(例如http://WAP网站地址/received content=交易服务器4的网络地址&签名数据)，WAP网站收到请求后，根据交易服务器4的网络地址转发数据内容到业务服务器4。步骤3、业务服务器4接收到所述交易确认数据和签名数据后，对所述交易确认数据用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法，进入步骤4 ;如果不一致，说明交易确认数据不合法，进入步骤5 ;
步骤4、交易服务器4进行后续的交易处理，完毕后通过WAP网站2或短信服务器3向客户终端I发送交易结果；由于步骤3中就 能完成认证过程，因此本步骤进入后续的处理过程;
步骤5、交易服务器4通过WAP网站2或短信服务器3向客户终端I反馈错误或其它说明。例如通过WAP网站2向客户终端I反馈错误页面或其他页面(如浏览页面)或者通过短信服务器3向客户终端I发送确认错误的消息或其他说明(例如确认错误导致的后果以及补救措施、咨询电话等)。作为第二个优选实施例，将第一个实施例做如下变化所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包，然后对所述加密的确认数据包进行签名获得签名数据，并通过短信服务器3将所述确认数据包发送到所述业务服务器4，通过WAP网站2将所述签名数据发送到所述业务服务器4 ;所述步骤3中业务服务器4接收到所述确认数据包和签名数据后，对所述确认数据包用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法，进入所述步骤4，在步骤4中，由于前面对交易确认数据有加密，因此，所述后续的交易处理包括了交易确认数据的解密及交易确认数据的核对，以及核对后的交易处理；如果不一致，说明交易确认数据不合法，进入所述步骤5。作为第三个优选实施例，将第一个实施例做如下变化所述步骤2中，通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/或通过WAP网站2将所述签名数据发送到所述业务服务器4之前，将数据进行加密。对应的，在步骤4中有进行相应的加解密。下面详细说明ー个包含本发明的签名认证流程的移动支付方案，具体如下
步骤I、客户终端I通过WAP网站2向业务服务器4发送交易请求(客户终端I中的硬
件安全单元存储有特定WAP网站URL，该URL不可被不授权的改写);客户终端I向WAP网站发送交易请求消息，交易请求消息中除了包括必要的信息，例如业务类型，网页地址URL和客户ID ;还可以包括手机号码、账号、硬件安全単元序列号以及动态ロ令0ΤΡ，所述动态ロ令OTP用于验证客户终端的合法性；
WAP网站2根据业务类型将所述交易请求数据中的客户ID和动态ロ令OTP分离出来并发送到对应的所述业务服务器4 (也可以直接转发，只要保证业务服务器4能够识别和分离即可);
步骤2、业务服务器4根据本地存储的所述客户对应的动态ロ令种子，计算动态ロ令，判断客户的合法性井向客户终端反馈判断结果；所述业务服务器4，在接收到所述WAP网站2转发的用户ID和动态ロ令后，根据其存储的与客户对应的动态ロ令种子，用相同的动态ロ令算法，算出一个动态ロ令，将其与接收到的动态ロ令进行比较，如果一致，则说明合法，将该动态ロ令作为下次动态ロ令运算的种子，通过WAP网站2向客户终端I发送业务页面，进入步骤3 ;如果不一致，则说明不合法，进入步骤8 ;
步骤3、客户进行业务操作，完毕后客户终端I通过WAP网站2或短信服务器3向交易服务器4发送业务操作数据；步骤4、业务服务器端接收到所述业务操作数据，向客户终端I发送交易确认请求；交易确认请求可以通过WAP网站或者短信服务器发送；
步骤5、客户终端I接收到所述交易确认请求后，用户输入确认信息，客户终端I将用户输入的确认信息和其它数据(如手机号码、账号、硬件安全単元序列号等)一起形成交易确认数据，然后使用内部存储的数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器3将所述交易确认数据发送到所述业务服务器4，通过WAP网站2将所述签名数据发送到所述业务服务器4 ；
步骤6、业务服务器4接收到所述交易确认数据和签名数据后，对所述交易确认数据用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果ー致，则说明合法，进入步骤7 ;如果不一致，说明确认数据包不合法，进入步骤8 ;
步骤7、交易服务器4进行后续的交易处理，完毕后通过WAP网站2或短信服务器3向客户终端I发送交易结果；
步骤8、通过WAP网站2向客户终端I反馈错误页面或其他页面(如浏览页面)或者通过短信服务器3向客户终端I发送确认错误的消息或其他说明(例如确认错误导致的后果以及补救措施、咨询电话等)。上述步骤中，只要是通过短信发送信息的，都可以进行加密处理。所述步骤I中，客户终端I向WAP网站2发起交易请求，可以通过以下两种方式实现
方式一客户终端I通过移动通讯运营商的服务页面，通过STK程序链接到交易服务界面，向所述WAP网站2提出交易请求。方式ニ 客户终端直接输入域名访问交易服务页面，向WAP网站2提出交易请求。下面详细说明ー个包含本发明的签名认证流程的另外ー个移动支付方案，具体如下
步骤I、客户终端I通过WAP网站2向业务服务器4发送交易请求；交易请求中包括例如业务类型、网页地址URL和用户ID ；
步骤2、业务服务器4通过WAP网站2向客户终端推送验证页面；可以需要输入验证码和手机号，如果推送的验证页面绑定手机号码，则不需要再输入手机号码；
步骤3、用户点击索取验证码菜单按钮，客户终端I通过WAP网站2向业务服务器4发送验证码索取请求；
步骤4、业务服务器4生成一个随机数作为验证码，通过短信服务器3向客户终端I发送；短信可以加密传输；
步骤5、客户在验证页面上输入短信中显示的验证码并按确认，客户终端I通过WAP网站2向交易服务器4发送验证码；
步骤6、业务服务器4收到验证码后，比较是否与步骤4中生成的验证码一致，如果ー致，验证通过，则通过WAP网站向客户终端发送业务操作页面(可以是业务服务器4向WAP网站反馈验证通过的指示，WAP网站收到该指示后向客户终端发送业务操作页面)，进入步骤7 ;否则通过WAP网站2向客户终端I反馈错误页面通知验证码错误，转到步骤4。步骤7、客户终端I接收到该业务操作页面，用户在业务操作页面上进行业务操作，确认后，客户终端I将业务操作数据发送到业务服务器4 ;该操作数据可以加密传输；步骤8、业务服务器4接收到所述业务操作数据，向客户终端I发送交易确认请求；交易确认请求可以通过WAP网站或者短信服务器发送；
步骤9、客户终端I接收到所述交易确认请求后，用户输入确认信息，客户终端I将用户输入的确认信息和其它数据(如手机号码、账号、硬件安全単元序列号等)一起形成交易确认数据，然后使用内部存储的数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器3将所述交易确认数据发送到所述业务服务器4，通过WAP网站2将所述签名数据发送到所述业务服务器4 ；
步骤10、业务服务器4接收到所述交易确认数据和签名数据后，对所述确认数据包用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果ー致，则说明合法，进入步骤11 ;如果不一致，说明确认数据包不合法，进入步骤12 ； 步骤11、交易服务器4进行后续交易处理，完毕后通过WAP网站2或短信服务器3向客户终端I发送交易结果；
步骤12、通过WAP网站2向客户终端I反馈错误页面或其他页面(如浏览页面)或者通过短信服务器3向客户终端I发送确认错误的消息或其他说明(例如确认错误导致的后果以及补救措施、咨询电话等)。本发明的上述实施例中采用两条通信链路分开发送签名数据和确认数据，既能不受各种手机短信内容大小的限制，而且被恶意修改的可能性更小。包含该认证方法的移动支付方法具有更加安全和不可抵赖的特性。以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种移动支付系统中的数字签名认证方法，该系统包括客户终端及业务服务器，具体如下步骤 步骤I、业务服务器(4 )通过WAP网站(2 )或者短信服务器(3 )向客户终端(I)发送交易确认请求； 步骤2、客户终端(I)接收到所述交易确认请求后，将用户输入的确认信息和其它数据一起形成交易确认数据，然后使用内部存储的数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4)，通过WAP网站(2)将所述签名数据发送到所述业务服务器(4)； 步骤3、业务服务器(4)接收到所述交易确认数据和签名数据后，对所述交易确认数据用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法，进入步骤4 ;如果不一致，说明交易确认数据不合法，进入步骤5 ； 步骤4、交易服务器(4)进行后续的交易处理，完毕后通过WAP网站(2)或短信服务器(3)向客户终端(I)发送交易结果； 步骤5、交易服务器(4 )通过WAP网站(2 )或短信服务器(3 )向客户终端(I)反馈错误或其它说明。
2.根据权利要求I所述的ー种移动支付系统中的数字签名认证方法，其特征在于，所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包，然后对所述加密的确认数据包进行签名获得签名数据，所述步骤3中业务服务器(4)接收到所述确认数据包和签名数据后，对所述确认数据包用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法，进入所述步骤4 ;如果不一致，说明交易确认数据不合法，进入所述步骤5。
3.根据权利要求I所述的ー种移动支付系统中的数字签名认证方法，其特征在干， 所述步骤2中，通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4)和/或通过WAP网站(2)将所述签名数据发送到所述业务服务器(4)之前，将数据进行加密。
4.ー种包含权利要求I至3中任一项所述数字签名认证方法的移动支付方法，其特征在于， 在所述步骤I之前还包括如下步骤 步骤A、客户终端(I)通过WAP网站(2)向业务服务器(4)发送交易请求；所述交易请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态ロ令OTP ； 步骤B、业务服务器(4)根据本地存储的所述客户对应的动态ロ令种子，计算动态ロ令，与接收到的动态动态ロ令进行比较判断客户的合法性，如果合法，将该动态ロ令作为下次动态ロ令运算的种子，通过WAP网站(2)向客户终端(I)发送业务页面，进入步骤C ;如果不合法，进入步骤5 ; 步骤C、客户进行业务操作，完毕后客户终端(I)通过WAP网站(2)或短信服务器(3)向交易服务器(4)发送业务操作数据。
5.ー种包含权利要求I至3中任一项所述数字签名认证方法的移动支付方法，其特征在于，在所述步骤I之前还包括如下步骤 步骤A、客户终端(I)通过WAP网站(2)向业务服务器(4)发送交易请求； 步骤B、业务服务器(4)通过WAP网站(2)向客户终端推送验证页面；步骤C、客户点击索取验证码菜单按钮，客户终端(I)通过WAP网站(2)向业务服务器(4)发送验证码索取请求； 步骤D、业务服务器(4)生成一个随机数作为验证码，通过短信服务器(3)向客户终端(I)发送； 步骤E、客户在验证页面上输入接收到的验证码并确认，客户终端(I)通过WAP网站(2)向交易服务器(4)发送验证码； 步骤F、业务服务器(4)收到验证码后，比较是否与步骤D生成的验证码一致，如果ー致，验证通过，则通过WAP网站向客户终端发送业务操作页面，进入步骤G ;否则通过WAP网站(2)向客户终端(I)反馈错误页面通知验证码错误，转到步骤D ; 步骤G、客户终端(I)接收到该业务操作页面，客户在业务操作页面上进行业务操作，确认后，客户終端(I)将业务操作数据发送到业务服务器(4 )。
6.—种移动支付系统,包括 客户终端，接收业务服务器(4)通过WAP网站(2)或者短信服务器(3)发送的交易确认请求，将用户输入的确认信息和其它数据一起形成交易确认数据，然后使用内部存储的数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4)，通过WAP网站(2)将所述签名数据发送到所述业务服务器(4); 业务服务器(4)，通过WAP网站(2)或者短信服务器3向客户终端(I)发送交易确认请求，接收到客户终端发送的所述交易确认数据和签名数据后，对所述交易确认数据用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法，进行后续的交易处理，完毕后通过WAP网站(2)或短信服务器(3)向客户终端(I)发送交易结果；如果不一致，说明交易确认数据不合法，交易服务器(4)通过WAP网站(2)或短信服务器(3)向客户终端(I)反馈错误或其它说明。
7.根据权利要求6所述的ー种移动支付系统，其特征在干， 客户终端将所述交易确认数据进行签名之前先进行加密形成确认数据包，然后再对所述加密的确认数据包进行签名获得签名数据，业务服务器(4)接收到所述确认数据包和签名数据后，对所述确认数据包用HASH函数生成摘要，并将该摘要与用公钥解密所述签名数据获得的摘要进行对比，如果一致，则说明合法；如果不一致，说明交易确认数据不合法。
8.根据权利要求6所述的ー种移动支付系统，其特征在干， 通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4)和/或通过WAP网站(2)将所述签名数据发送到所述业务服务器(4)之前，将数据进行加密。
9.根据权利要求6至8中任一项所述的移动支付系统，其特征在干， 客户终端还用于在签名认证前通过WAP网站向业务服务器发送交易请求，请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态ロ令OTP ;接收到业务服务器发送的业务页面后，客户进行业务操作，完毕后客户终端(I)通过WAP网站(2)或短信服务器(3)向交易服务器(4)发送业务操作数据； 业务服务器(4)根据本地存储的所述客户对应的动态ロ令种子，计算动态ロ令，与接收到的动态动态ロ令进行比较判断客户的合法性，如果合法，将该动态ロ令作为下次动态ロ令运算的种子，通过WAP网站(2)向客户终端发送业务页面；如果不合法，通过WAP网站(2)或短信服务器(3 )向客户终端(I)反馈错误或其它说明。
10.根据权利要求6至8中任一项所述的移动支付系统，其特征在干， 客户终端还用于在签名认证前通过WAP网站(2)向业务服务器发送交易请求；在接收到业务服务器发送的验证页面且客户点击索取验证码菜单按钮后，通过WAP网站(2)向业务服务器(4)发送验证码索取请求；接收到验证码并经客户输入确认后，通过WAP网站(2)向交易服务器(4)发送验证码；接收到业务服务器通过WAP网站发送的业务操作页面，客户确认后，将业务操作数据发送到业务服务器(4)； 业务服务器(4)接收到所述交易请求后，通过WAP网站(2)向客户终端推送验证页面；收到客户终端发送的验证码索取请求后生成一个随机数作为验证码通过短信服务器向客户终端发送；接收到客户终端发送的验证码后，比较是否与生成的验证码一致，如果一致，验证通过，则通过WAP网站向客户终端发送业务操作页面；否则通过WAP网站(2)向客户终端(I)反馈错误页面通知验证码错误。
全文摘要
本发明公开了一种数字签名认证方法和包含该方法的支付方法及系统，业务服务器向客户终端发送交易确认请求；客户终端接收到所述交易确认请求后，形成交易确认数据，然后使用数字证书对所述交易确认数据进行数字签名，获得签名数据；并通过短信服务器将交易确认数据发送到业务服务器，通过WAP网站将签名数据发送到业务服务器；业务服务器接收到交易确认数据和签名数据后，进行验证，如果证明交易确认数据合法，交易服务器进行后续的交易处理；如果证明不合法，交易服务器通过向客户终端反馈错误或其它说明。本发明的技术方案中采用两条通信链路分开发送签名数据和确认数据，既能不受各种手机短信内容大小的限制，而且被恶意修改的可能性更小。
文档编号H04L9/32GK102694780SQ20111007285
公开日2012年9月26日 申请日期2011年3月25日 优先权日2011年3月25日
发明者邹勇 申请人:同方股份有限公司