专利名称:一种远程安全支付方法和系统的制作方法
技术领域:
本发明涉及电子支付领域,尤其是一种远程安全支付方法和系统。
背景技术:
随着电子商务的发展,网上交易已经越来越普及。此外,随着智能手机的价格下降,其销量也与日俱增。这就使得通过手机进行网上支 付的需求日益明显,各大银行也推出了各自的手机银行。目前,常见的基于手机的移动支付方式有方式I :通过本地文件证书,对远程支付提供安全认证。方式2 :通过短信码,对远程支付提供安全认证。方式3 :对于部分提供USB-OTG接口的手机,已经有特定的U_key可用。通过这种U-key来保证远程支付的安全。上述方式的缺点方式I和方式2的缺点由于智能手机可能受病毒和黑客入侵,方式I和方式2中的文件证书或短信码可能被恶意软件获取,从而危及网络交易安全方式3缺点银行需要专门发行U-key,这种U-key常常只用于一个银行的网上交易。这提高了银行的运营成本,也使得用户除了银行卡外,还需要携带多种U-key,在使用上很不方便。
发明内容
为解决上述问题,本发明为用户使用网上银行提供了一种安全防护措施。本发明采用的具体技术手段如下一种远程安全支付方法,其特征在于,包括以下步骤提供一存储有安全数据的银行智能卡;提供一终端和一读卡器,通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之间建立安全的数据链路进行网上交易。特别地,所述身份验证包括以下步骤所述终端读取银行智能卡的安全数据,所述远程服务器通过互联网向上述终端发起一个密钥协商过程,所述终端密钥协商成功后,返回成功信息给上述远程服务器,双方通过该密钥协商过程进行双向认证并产生一个过程密钥,该过程密钥在后续通信过程中作为所述远程服务器和所述终端交换数据的加密密钥,从而在所述服务器和该银行智能卡之间形成一个安全的数据传输链路。特别地,所述终端为手机,所述远程服务器为手机银行服务器。特别地,所述终端为POS机,所述远程服务器为POS服务器。特别地,所述终端为手机,所述远程服务器为网上银行服务器,所述手机通过计算机与所述网上银行服务器通信。特别地,所述银行智能卡设有IS07816接口,所述读卡器通过该接口读取卡内安全数据。特别地,所述银行智能卡设有符合IS014443标准的非接触式通信接口,所述读卡器通过该接口读取卡内安全数据。特别地,所述安全数据包括数字证书和私人密钥。本发明还一种远程安全支付系统,其特征在于,包括银行智能卡,用以存储安全数据;读卡器,用以读取上述安全数据;终端,安装有客户端软件,用以进行网上交易; 所述终端通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之间建立安全的数据链路进行网上交易。特别地,所述终端为手机,所述远程服务器为银行的网银服务器。特别地,所述终端为POS机,所述远程服务器为POS服务器。特别地,所述终端为手机,所述远程服务器为网上银行服务器,所述手机通过计算机与所述网上银行服务器通信。特别地,所述银行智能卡设有IS07816接口,所述读卡器通过该接口读取卡内安全数据。特别地,所述银行智能卡设有符合IS014443标准的非接触式通信接口,所述读卡器通过该接口读取卡内安全数据。特别地,所述安全数据包括数字证书和私人密钥。本发明有益效果本发明在现有金融IC卡基础上,增加数字证书的存储和软件接口,用以对用户身份进行验证,保证用户网上交易的安全,可以实现现有U盾的功能,且IC卡处理芯片体积小,且使用广泛存在的IS07816接口,从而本发明为用户使用网上银行提供了一种安全防护措施。
图I为本发明实施例的银行智能卡的结构图;图2为本发明实施例的一种远程安全支付方法流程图;图3为本发明实施例的远程安全支付系统结构图;图4为本发明智能卡、网银客户端、服务器之间身份验证交互图。
具体实施例方式为详细说明本发明的技术内容、构造特征、所实现目的及效果,以下结合实施方式并配合附图详予说明。请参阅图1,为本发明实施例的银行智能卡的结构图。该银行智能卡是在银行向客户发行的金融卡IC卡基础上,增加安全模块,在安全模块中存储有客户数字证书和私人密钥的存储和软件接口,数字证书和私人密钥统称为安全数据,且具备逻辑加密运算功能,可替代USB KEY实现用户身份认证的功能。IC卡片体积小巧,且各银行均会发行相应IC卡。在本实施例中,银行IC卡具有IS07816接口,读卡器可以通过IS07816接口读取卡内安全数据,也可以通过无线方式,比如符合IS014443标准的非接触式通信接口,读取卡内信息。请参考图2,为本发明实施例的一种远程安全支付方法流程图。其中安全支付方法包括以下步骤SI.提供一存储有安全数据的银行智能卡;S2.提供一终端和一读卡器,通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之间建立安全的数据链路进行网上交易。其中,身份验证包括以下步骤所述终端读取银行智能卡的安全 数据,所述远程服务器通过互联网向上述终端发起一个密钥协商过程,所述终端密钥协商成功后,返回成功信息给上述远程服务器,双方通过该密钥协商过程进行双向认证并产生一个过程密钥,该过程密钥在后续通信过程中作为所述远程服务器和所述终端交换数据的加密密钥,从而在所述服务器和该银行智能卡之间形成一个安全的数据传输链路。在本实施例中,终端包括移动终端,也包括非移动终端,包括个人终端,也包括商用终端。所述移动终端包括手机、PAD、移动PC等,其对应的远程服务器为银行的网银服务器;所述非移动终端可以使台式PC,对应的服务器为网上银行,PC通过读卡器读取卡内信息,登陆网上银行交易;所述商用终端可以使商用POS机,其对应的服务器是POS服务器。其中,所述银行智能卡设有IS07816接口,当所述终端没有读卡功能,就可以通过读卡器通过该接口读取卡内安全数据。所述银行智能卡还可以设有射频卡近场通信接口,读卡器通过采用无线方式比如无线射频方式读取卡内信息。图4是本发明智能卡、网银客户端、服务器之间身份验证交互图。在此以常见的网上银行登录过程为例对该流程进行说明。终端安装有网银客户端,需要使用一张接触式智能卡对交易过程进行保护。该智能卡相当于U-key的作用,里面存放网上银行用于识别客户身份的数字证书和私人密钥,卡片内部的处理器可以完成加密和数字签名算法。在登录过程中,主要是智能卡与系统服务器(远端系统)之间进行交互。客户端软件通过终端、读卡器与智能卡进行交互,发送服务器命令并从智能卡接收响应,从而完成登录过程。为了进行交互,智能卡和系统服务器各存有一个数字证书和对应私钥。智能卡上的证书和私钥分别称为客户端证书和客户端私钥,服务器上证书和私钥分别称为服务器证书和服务器私钥。此外,智能卡和服务器都有这些证书对应的根证书。智能卡和远程服务器交互过程如下I.客户端让智能卡产生32字节随机数,加上一些信息打包生成客户端握手信息,这里客户端是相对于服务器的一种叫法,是将客户端软件、终端、智能卡、证书等等一些列组件当做一个整体来看待的。从服务器的角度来看,与服务器交互的对象就是客户端;2.客户端将客户端握手信息传输到服务器;3.服务器产生32字节随机数,加上一些信息打包,生成服务器握手信息;4.服务器将服务器握手信息和服务器证书发送到客户端;5.客户端将服务器证书发送到智能卡,由智能卡对收到的服务器证书进行验证,如果验证通过,则登录成功;否则登录失败;
6.客户端使用智能卡进行如下过程产生一个48字节的随机数作为共享主密钥该主密钥用服务器证书中的公钥进行加密,生成加密共享主密钥将客户端握手信息和服务端握手信息算出握手信息哈希值,然后用客户端私钥进行加密,生成握手信息数字签名;7.客户端从智能卡中获得加密共享主密钥、握手信息数字签名;8.客户端将客户端证书、加密共享主密钥、握手信息数字 签名发送到服务器;9.服务器检查客户端证书有效性,如果有效,则握手成功;否则握手失败;10.服务器使用客户端证书中的公钥验证握手信息数字签名是否与客户端和服务端握手信息匹配,如果匹配,则握手成功;否则握手失败,返回错误;11.服务器使用服务器私钥将进行解密共享主密钥,得出共享主密钥;12.双方都使用共享主密钥算出会话密钥。后续通信过程,都使用会话密钥对数据包进行加密,即建立了安全通道,登录成功。请参考图3,为本发明实施例的安全支付系统结构图。安全支付系统包括银行智能卡,用以存储安全数据;读卡器,用以读取上述安全数据;终端,安装有客户端软件,用以进行网上交易;所述终端通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之间建立安全的数据链路进行网上交易。其中,安全数据包括数字证书和私人密钥。在本实施例中,以PC和网上银行服务器为例,所述网上银行服务器通过互联网向上述PC端发起一个密钥协商过程,该PC端密钥协商成功后,返回成功信息给上述网上银行服务器,双方通过该密钥协商过程进行双向认证并产生一个过程密钥,该过程密钥在后续通信过程中作为该网上银行服务器和所述终端交换数据的加密密钥,从而在该网上银行服务器和该智能卡之间形成一个安全的数据传输链路,后续的交易数据在此链路上进行传输。本发明在现有金融IC卡基础上,增加数字证书的存储和软件接口,用以对用户身份进行验证,保证用户网上交易的安全,可以实现现有U盾的功能,且IC卡处理芯片体积小,且使用广泛存在的IS07816接口,成本低廉,加工技术成熟,从而为用户使用网上银行提供了一种安全、低成本的防护措施。以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种远程安全支付方法,其特征在于,包括以下步骤 提供一存储有安全数据的银行智能卡; 提供一终端和一读卡器,通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之间建立安全的数据链路进行网上交易。
2.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述身份验证包括以下步骤所述终端读取银行智能卡的安全数据,所述远程服务器通过互联网向上述终端发起一个密钥协商过程,所述终端密钥协商成功后,返回成功信息给上述远程服务器,双方通过该密钥协商过程进行双向认证并产生一个过程密钥,该过程密钥在后续通信过程中作为所述远程服务器和所述终端交换数据的加密密钥,从而在所述服务器和该银行智能卡之间形成一个安全的数据传输链路。
3.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述终端为手机,所述远程服务器为银行的网银服务器。
4.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述终端为PAD,所述远程服务器为银行的网银服务器。
5.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述终端为POS机,所述远程服务器为POS服务器。
6.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述终端为手机,所述远程服务器为网上银行服务器,所述手机通过计算机与所述网上银行服务器通信。
7.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述银行智能卡设有IS07816接口,所述读卡器通过该接口读取卡内安全数据。
8.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述银行智能卡设有符合IS014443标准的非接触式通信接口,所述读卡器通过该接口读取卡内安全数据。
9.根据权利要求I所述的一种远程安全支付方法,其特征在于,所述安全数据包括数字证书和私人密钥。
10.一种远程安全支付系统,其特征在于,包括 银行智能卡,用以存储安全数据; 读卡器,用以读取上述安全数据; 终端,安装有客户端软件,用以进行网上交易; 所述终端通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之间建立安全的数据链路进行网上交易。
11.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述终端为手机,所述远程服务器为银行的网银服务器。
12.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述终端为POS机,所述远程服务器为POS服务器。
13.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述终端为手机,所述远程服务器为网上银行服务器,所述手机通过计算机与所述网上银行服务器通信。
14.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述银行智能卡设有IS07816接口,所述读卡器通过该接口读取卡内安全数据。
15.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述银行智能卡设有符合IS014443标准的非接触式通信接口,所述读卡器通过该接口读取卡内安全数据。
16.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述安全数据包括数字证书和私人密钥。
全文摘要
本发明公开一种远程安全支付方法,包括以下步骤提供一存储有安全数据的银行智能卡;提供一终端和一读卡器,通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之间建立安全的数据链路进行网上交易。本发明为用户使用网上银行提供了一种安全防护措施。
文档编号H04L9/32GK102768744SQ20121014740
公开日2012年11月7日 申请日期2012年5月11日 优先权日2012年5月11日
发明者彭波涛, 苏龙 申请人:福建联迪商用设备有限公司