一种虚拟预付卡线上支付系统及其支付方法

一种虚拟预付卡线上支付系统及其支付方法
【专利摘要】本发明专利公开了一种虚拟预付卡线上支付系统，包括第一客户端、第二客户端、交易平台以及服务平台；所述第一客户端发送第一信息给所述交易平台，并接收第二信息；所述第二客户端发送所述令牌信息给所述服务平台，以及，发送所述第三信息和摘要信息至所述服务平台；所述交易平台接收所述第一信息生成所述第二信息发送给所述第一客户端，并转发所述令牌信息、所述第三信息以及所述摘要信息至所述服务平台；所述服务平台，接收所述令牌信息进行身份认证，以及，解密所述第三信息，根据摘要信息校验数据的完整性，完应答所述交易平台成线上支付。本发明在线上支付前进行身份认证，支付过程中加密传输的信息，具有更高的安全性。
【专利说明】一种虚拟预付卡线上支付系统及其支付方法

【技术领域】
[0001]本发明涉及智能终端的支付领域，尤其涉及一种虚拟预付卡的支付系统及其支付方法。

【背景技术】
[0002]预付卡又叫储值卡、消费卡、福礼卡、智能卡、积分卡等,是指发卡机构以特定载体和形式发行的，可在发卡机构之外购买商品或服务的预付价值，即其实一种先付费再消费的卡片。按是否记载持卡人身份信息分为记名预付卡和不记名预付卡，其中记名预付卡包括如超市发放的购物卡等，不记名预付卡包括如手机中的SIM卡等；按信息载体不同分为磁条卡、芯片(IC)卡。
[0003]预付卡购物是继信用卡之后出现的交易形式，现时使用最普遍的是日本。预付卡的使用过程是:消费者在某一系统范围内的商店预交限定数额的现金，得到此卡，在这些商店里即可不用现金仅凭借此卡在预付金额内一次或多次直接购物。
[0004]使用这种方法不管是对商家还是消费者都有很多的好处。对于商家来说，使用预付卡后商家不经手现金，大量减少了现金的流动，既可避免收假钞的损失，又可减少盗劫等凶险；同时使用预付卡，现金收汇、账目收支大量减少，既可提高效率，又可减少人工和设备的费用等等；对于消费者来说，只需要带上一张薄薄的预付卡，可不带或少带许多现金，减少失窃和遭劫之险，携带也非常方便等。


【发明内容】

[0005]目前，利用预付卡进行支付的平台已经有很多，如银商资讯“虚拟预付卡”平台，在平台中商户可通过自有软件与第三方平台，如微信、支付宝钱包等实现现有实体卡的虚拟化，同时也可在该平台发行纯虚拟卡片。使用第三方平台进行支付的过程中，持卡人首先使用手机在线生成条形码，收银员即通过扫码枪对条形码进行扫码支付。但是，在这种支付系统的支付过程中还存在着很多问题，如:在整个支付过程中缺少身份认证过程；在整个交易过程中是数据和密码都属于明文传输，很容易被监听和被截获。
[0006]针对以上问题，本发明提供了一种虚拟预付卡线上支付系统，包括包括第一客户端、第二客户端、交易平台以及服务平台；
[0007]所述第一客户端，发送第一信息至所述交易平台，以及接收所述交易平台发送的第二信息；
[0008]所述第二客户端，获取所述第二信息，生成一令牌信息，并加密所述第二信息生成第三信息，向所述交易平台发送所述令牌信息和所述第三信息，用于实现身份认证和信息加密；
[0009]所述交易平台，接收所述第一信息生成所述第二信息发送给所述第一客户端，以及，转发所述第二客户端发送的所述令牌信息和所述第三信息至所述服务平台；
[0010]所述服务平台，通过接收的所述令牌信息进行身份认证，以及，对所述第三信息解密，并进行数据完整性校验，实现支付操作和应答所述交易平台。
[0011]本发明在进行支付操作之前先进行身份认证，在支付过程中加密传输的信息，并对信息进行完整性验证，防止信息被篡改，具有更好的安全性。
[0012]进一步优选地，所述第二客户端内置信息获取模块和认证模块；所述信息获取模块用于从所述第一客户端获取所述第二信息；所述认证模块根据所述第二信息生成令牌信息；所述认证模块对所述第二信息加密生成所述第三信息，并采用第一算法计算所述第二信息生成摘要信息。
[0013]具体的，信息获取模块获取第二信息，其中第二信息可以为声音、图像或数字等不同信息，信息获取模块获取第二信息的途径也相应地可以为多种获取方式。认证模块采用第一算法计算第二信息，第一算法可以为哈希算法或SM3算法等。
[0014]进一步优选地，所述服务平台通过接口设备连接一认证服务器；
[0015]所述认证服务器接收到所述令牌信息并进行身份认证；
[0016]所述认证服务器解密接收到的所述第三信息得到所述第二信息，并根据所述摘要信息对所述第二信息进行完整性校验。
[0017]具体的，在进行线上支付操作之前，认证服务器和认证模块先进行身份认证，并分别生成用于加密支付过程中信息的会话密钥。
[0018]进一步优选地，所述认证模块和所述认证服务器进行信息交互实现身份认证，并分别存储有相同的会话密钥，用于加密支付过程中的信息。
[0019]本发明在整个交易过程中，数据和密码都是通过加密算法和会话密钥加密后传输，并且会话密钥是在第二客户端和服务平台分别生成的，无需在网络中传输，加密后的数据即使被黑客盗取，内容也不会泄露，安全性高。
[0020]本发明还提供一种虚拟预付卡线上支付方法，具体包括:
[0021]SI用户通过第一客户端输入用户标识和密码向服务平台注册；
[0022]S2交易平台接收第一客户端发送的第一信息生成第二信息，并发送给所述第一客户端；
[0023]S3第二客户端获取所述第一客户端的第二信息，并根据第二信息生成一令牌信息；
[0024]S4所述客户端和所述服务平台根据令牌信息进行双向身份认证，并生成所述会话密钥；
[0025]S5身份认证成功后，所述第二客户端加密所述第二信息生成第三信息，采用第一算法计算所述第三信息生成摘要信息，通过所述交易平台发送所述第三信息和所述摘要信息至服务平台；
[0026]S6所述服务平台解密所述第三信息，本根据所述摘要信息进行完整性校验，校验成功完成支付操作，应答所述交易平台。
[0027]进一步优选地，所述第二客户端内置信息获取模块和认证模块；所述服务平台通过接口设备连接一认证服务器。
[0028]具体的，所述信息获取模块用于从所述第一客户端获取所述第二信息；所述认证模块根据所述第二信息生成令牌信息；所述认证模块对所述第二信息加密生成所述第三信息，并采用第一算法计算所述第二信息生成摘要信息。
[0029]具体的，所述认证服务器接收到所述令牌信息并进行身份认证；
[0030]所述认证服务器解密接收到的所述第三信息得到所述第二信息，并根据所述摘要信息对所述第二信息进行完整性校验。
[0031]进一步优选地，所述步骤SI具体为:对所述第二客户端和所述服务平台进行初始化，用户通过所述第一客户端输入所述用户标识和其一一对应的所述密码向所述服务平台进行注册；所述第一客户端采用所述第一算法计算所述用户标识和所述密码生成第一认证信息；所述第一客户端将所述第一认证信息发送给所述服务平台，其中所述认证服务器存储所述第一认证信息；
[0032]所述认证服务器产生随机的第一密钥和第二密钥，所述认证服务器将所述第一密钥与加密算法结合生成一个与所述第一密钥相关的加密函数；所述认证服务器将所述第二密钥与解密算法结合生成一个与所述第二密钥相关的解密函数；
[0033]所述认证模块存储有所述加密函数和所述解密函数；所述认证服务器存储有所述第一密钥、所述第二密钥、所述加密算法以及所述解密算法。
[0034]具体的，本发明中，密钥和算法不分开，有效解决了密钥安全存储问题，使得系统具有更高的安全性。
[0035]进一步优选地,所述步骤S4具体为:
[0036]所述第二客户端通过信息获取模块从所述第一客户端处获取所述第二信息，所述第二信息包括此次交易的当前时间即第一时间，还包括所述用户标识和所述第一认证信息；所述认证模块通过所述加密函数对所述第一时间加密生成第二认证信息；所述认证模块采用第二算法计算所述第一认证信息和所述第二认证信息，并通过所述加密函数和所述第一密钥对所述计算结果加密生成所述令牌信息；
[0037]所述第二客户端发送所述用户标识和所述令牌信息给所述服务平台；
[0038]所述服务平台存储有用户标识档案，所述用户标识档案存储所有合法的所述用户标识；
[0039]所述服务平台接收到所述第二客户端发送的所述用户标识，判断所述用户标识是否存在于所述用户标识档案内，如果是，则用户身份的初步认证成功；
[0040]所述认证服务器通过所述加密算法和所述第二密钥对当前时间即第二时间加密生成第三认证信息；
[0041]所述服务平台通过所述认证服务器解密所述令牌信息，所述认证服务器通过所述解密算法和所述第一密钥对所述令牌信息进行解密，再与其存储的所述第一认证信息通过所述第二算法进行计算得到所述第二认证信息；所述认证服务器再次通过所述解密算法和所述第一密钥对所述第二认证信息进行解密，得到所述第一时间；
[0042]所述认证服务器判断得到的所述第一时间和所述第二时间的时间差，如果所述时间差小于预设值，则所述服务平台对所述第二客户端认证成功；
[0043]所述服务平台将所述第三认证信息发送给所述第二客户端；
[0044]所述第二客户端接收到所述服务平台发送的所述第三认证信息，所述认证模块通过所述解密函数解密所述第三认证信息得到所述第二时间；
[0045]所述认证模块判断得到的所述第二时间和所述第一时间的时间差，如果所述时间差小于预设值，则所述第二客户端对所述服务平台认证成功。
[0046]具体的，第二客户端和服务平台在线上支付操作之前进行双向身份认证，有效防止假冒攻击。
[0047]进一步优选地，所述步骤S6具体为:
[0048]所述服务平台接收到所述第三信息和所述摘要信息，所述认证服务器通过所述会话密钥和公用解密算法解密所述第三信息得到所述第二信息，根据所述摘要信息对所述第二信息进行完整性校验，完整性校验成功后，所述服务平台根据接收到的所述第二信息完成支付操作，并应答所述交易平台。
[0049]本发明提供的一种虚拟预付卡线上支付系统能够带来以下至少一种有益效果:
[0050]1.在本发明分别在第二客户端和服务平台中设置认证模块和认证服务器，实现了第二客户端和服务平台之间的双向身份认证，采用这种认证方法有效地防止了外界的假冒攻击。
[0051]2.第二客户端中包括独立的应用程序或插件将内置的算法和密钥融合在一起，第二客户端中只存储由加密解密算法结合随机密钥生成的加密函数和解密函数，有效地解决了会话过程中会话密钥存储的安全问题；且第二客户端中随机生成的密钥不同，则第二客户端中包括的算法就会不同，即使客户端中安全插件意外泄露也不会影响系统的整体安全性。
[0052]3.在本发明中，第二客户端和服务平台在身份认证的同时还分别生成相同的会话密钥，在整个线上支付操作过程中，都采用会话密钥进行加密保护传输的信息，防止交易内容的泄露。

【专利附图】

【附图说明】
[0053]下面结合附图和【具体实施方式】对本发明作进一步详细说明:
[0054]图1为本发明的虚拟预付卡线上支付系统的结构示意图。

【具体实施方式】
[0055]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面结合附图和实施例对本发明进行具体的描述。下面描述中的附图仅仅是本发明的一些实施例。对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0056]如图1所示，本发明提供了一种虚拟预付卡线上支付系统，包括第一客户端、第二客户端、交易平台以及服务平台；
[0057]所述第一客户端，发送第一信息至所述交易平台，以及接收所述交易平台发送的第二信息；
[0058]所述第二客户端，获取所述第二信息，生成一令牌信息，并加密所述第二信息生成第三信息，向所述交易平台发送所述令牌信息和所述第三信息，用于实现身份认证和信息加密；
[0059]所述交易平台，接收所述第一信息生成所述第二信息发送给所述第一客户端，以及，转发所述第二客户端发送的所述令牌信息和所述第三信息至所述服务平台；
[0060]所述服务平台，通过接收的所述令牌信息进行身份认证，以及，对所述第三信息解密，并进行数据完整性校验，实现支付操作和应答所述交易平台。
[0061]具体的，本发明中的第一客户端为网上购物客户端，用户通过网上购物客户端输入用户信息(包括用户标识和密码)登录至交易平台，发送第一信息S1给所述交易平台。其中，第一信息S1包括用户标识、密码、预付卡账号等支付信息。网上购物客户端接收交易平台发送的第二信息并显示给用户。
[0062]具体的，第二信息S2是由交易平台根据用户发送的支付方式信息生成的二维码图像信息，包括用户标识、密码、预付卡账号、本次交易的时间、交易的金额等信息，在网上购物客户端显示。
[0063]本发明中，第二客户端为手机客户端，内置信息获取模块，通过摄像头扫描二维码图像的方式从第一客户端处获取到第二信息。手机客户端根据第二信息中的用户标识、密码以及此次交易时间等认证信息生成令牌信息。并且，手机客户端对第二信息中的虚拟预付卡号、支付密码、交易金额等交易信息进行加密生成第三信息。手机客户端还通过第一算法计算上述交易信息生成一摘要信息Z，其中，本发明中采用的第一算法是哈希算法，生成的摘要信息是一安全单向的函数。手机客户端将第三信息和摘要信息一起发送给交易平台。
[0064]本发明中，交易平台为电子商城，接收第一客户端发送的第一信息，生成第二信息再发送给第一客户端，其中第二信息为支付二维码图像信息，包括用户标识，密码，交易时间、虚拟预付卡号、支付密码以及交易金额等敏感信息。在支付操作之前，电子商城将令牌信息发送给服务平台用于身份认证，在支付操作时，将第二客户端发送的第三信息和摘要信息转发给服务平台。
[0065]服务平台，在支付操作之前，接收所述令牌信息进行身份认证，以及，在支付操作时，接收交易平台发送的第三信息和摘要信息并进行解密，得到第二信息，然后根据摘要信息校验第二信息的完整性，最后核验令牌信息是否正确，完成支付操作并应答交易平台。
[0066]对上述实施例进行改进，得到优选的实施例二，其中，所述第二客户端内置信息获取模块和认证模块；所述信息获取模块用于从所述第一客户端获取所述第二信息；所述认证模块根据所述第二信息生成令牌信息；所述认证模块对所述第二信息加密生成所述第三信息，并采用第一算法计算所述第二信息生成摘要信息。
[0067]具体的，在本发明中，手机客户端中的信息获取模块通过二维码扫描网上购物客户端显示的第二信息，并将二维码图像信息转换成数字信息。其中，第二信息包括用户标识、密码、预付卡账号、本次交易时间、交易的金额等信息。
[0068]本发明中，手机客户端内还具有认证模块，认证模块已经存储有会话密钥，用于加密线上支付过程中传输的数据。在线上支付操作之前，认证模块根据第二信息中的用户标识、密码以及此次交易时间等认证信息生成令牌信息。
[0069]认证模块通过会话密钥结合公用加密算法(本发明采用的是AES-128算法)加密第二信息中的虚拟预付卡号、支付密码、交易金额等交易信息，生成第三信息。
[0070]认证模块采用第一算法即哈希算法计算第二信息中的虚拟预付卡号、支付密码、交易金额等交易信息生成一摘要信息，为一单向安全的函数。
[0071 ] 对上述实施例进行改进，得到优选的实施例三，其中，服务平台通过接口设备连接一认证服务器。认证服务器接收到令牌信息并进行身份认证。认证服务器存储有相同的会话密钥，通过结合公用解密算法(本发明采用的是AES-128算法)解密接收到的第三信息，得到第二信息和摘要信息。认证服务器根据接收到的摘要信息对第二信息进行完整性校验。
[0072]对上述实施例进行改进，得到优选的实施例四，其中，所述认证模块和所述认证服务器进行信息交互实现身份认证，并分别存储有相同的会话密钥，用于加密支付过程中的信息。
[0073]作为本发明的另一个具体实施例，还提供了一种虚拟预付卡线上支付方法，具体包括:
[0074]SI用户通过第一客户端输入用户标识和密码向服务平台注册；
[0075]S2交易平台接收第一客户端发送的第一信息生成第二信息，并发送给所述第一客户端；
[0076]S3第二客户端获取所述第一客户端的第二信息，并根据第二信息生成一令牌信息；
[0077]S4所述客户端和所述服务平台根据令牌信息进行双向身份认证，并生成所述会话密钥；
[0078]S5身份认证成功后，所述第二客户端加密所述第二信息生成第三信息，采用第一算法计算所述第三信息生成摘要信息，通过所述交易平台发送所述第三信息和所述摘要信息至服务平台；
[0079]S6所述服务平台解密所述第三信息，根据所述摘要信息进行完整性校验，校验成功完成支付操作，应答所述交易平台。
[0080]对上述实施例进行改进，得到优选的实施例六，其中所述第二客户端内置信息获取模块和认证模块；所述服务平台通过接口设备连接一认证服务器。
[0081]对上述实施例进行改进，得到优选的实施例七，其中在进行支付操作之前，对第二客户端即手机客户端和服务平台进行初始化，包括用户标识和密码向服务平台注册，以及存储用于数据传输的加解密算法和加解密函数。在进行线上支付操作之前，手机客户端和服务平台还进行双向身份认证，分别生成相同的会话密钥，用以加密线上支付过程中的信肩、O
[0082]具体的，用户通过第一客户端即网上购物客户端输入用户标识Uid和其一一对应的密码PW向服务平台进行注册。
[0083]网上购物客户端采用第一算法即哈希算法计算用户标识Uid和密码pw，生成用于认证的第一认证信息，记为M1 = H(pW)。网上购物商城将第一认证信息M1发送给服务平台。服务平台将第一认证信息M1存储在认证服务器中。
[0084]手机客户端中的认证服务器产生随机的第一密钥K和第二密钥K’，并将第一密钥K与加密算法E结合生成一个与第一密钥K相关的加密函数Εκ。认证服务器再将第二密钥K’与解密算法D结合生成一个与第二密钥K’相关的解密函数DK’。
[0085]在认证模块中存储生成的加密函数Ek和解密函数DK，。在认证服务器中存储第一密钥K、第二密钥K’、加密算法E以及解密算法D。
[0086]对上述实施例进行改进，得到优选的实施例八，其中，第二客户端即手机客户端和服务平台进行双向身份认证并生成会话密钥(记为Kj)的过程具体为:
[0087]网上购物客户端输入用户标识和密码登录电子商城，并向电子商城发送第一信息，其中第一信息包含用户标识、密码以及虚拟预付卡号、支付密码等信息。
[0088]电子商城对第一信息进行处理，增加本次交易的当前时间以及交易金额等交易信息生成第二信息，发送至网上购物客户端。
[0089]网上购物客户端以二维码图像的形式显示。
[0090]手机客户端通过信息获取模块扫描网上购物客户端显示的二维码图像信息，并将二维码信息转换成数字信息。其中，第二信息包括用户标识uid、密码、交易时间、虚拟预付卡号、支付密码以及交易金额等信息。
[0091]认证模块采用第一算法，即哈希算法计算密码，生成第一认证信息，M1 = H(pW)。
[0092]认证模块通过加密函数Ek对交易时间即第一时间Tui加密生成第二认证信息M2,即 M2 = Ek (Tui)。
[0093]手机客户端采用第二算法对第一信息和第二信息进行计算，本发明中采用的是异或运算，即M1 ? M2，得到H(pW) ? Ek (Tui)，认证模块再通过加密函数Ek对计算的结果进行加密，即 Ek (M1 ? M2) = Ek (H (pw) ? Ek (Tui))，生成第三认证信息 M3, M3 = Ek (H (pw) ? Ek (Tui))。
[0094]手机客户端发送用户标识Uid和第三认证信息M3给服务平台。
[0095]服务平台存储有用户标识档案List，其中，用户标识档案List存储了所有合法用户的用户标识uid。
[0096]服务平台接收到手机客户端发送的用户标识uid，判断用户标识Uid是否存在于用户标识档案List内，即uid如果是,贝U用户身份的初步认证成功。
[0097]认证服务器通过加密算法E和第二密钥K’对当前时间即第二时间Tsi加密，即Ek (Tsi)生成第四认证信息(记为M4)，M4 = Ek (Tsi)。
[0098]服务平台对手机客户端认证:服务平台通过认证服务器解密接收到的第三认证信息M3。认证服务器通过解密算法D和第一密钥K对第三认证信息M3进行解密，即Dk (M3)=Dk(Ek(H(pw) ? Ek(Tui))) =H(Pw) ? Ek(Tui)，将解密得到的结果再与认证服务器存储的第一认证信息M1 = H(pW)进行异或运算，得到第二认证信息M2,即EK(Tui)。认证服务器再次通过解密算法E和第一密钥K对第二认证信息M2进行解密，Dk(EK(Tui))得到第一时间Tui。
[0099]认证服务器判断得到的第一时间Tui和第二时间Tsi的时间差，如果时间差Ts1-Tui ^ 1min(为预设值，根据网络延迟情况而定)，则服务平台对手机客户端认证成功。
[0100]完成服务平台对手机客户端的认证之后，认证服务器将Eκ(Tui)取反(比特顺序和比特极性)得到E’ K(Tui)，随后使用加密算法E和第一密钥K对Ek (Tui)和E’ K (Tui)进行加密，得到会话密钥Ki = Ek(EK(Tui))+Ek(E’K(Tui))，实现了将原有的64bit扩展为了 128bit，大大加强了信息的安全。
[0101]生成会话密钥Ki后，认证服务器将第四认证信息M4 = Ek (Tsi)通过电子商城发送给第二客户端。
[0102]手机客户端对服务平台认证:手机客户端接收到服务平台发送的第四认证信息M4，其中的认证模块通过解密函数Dk’解密第四认证信息M4, DK, (M4) = DK, (Ek(Tsi)) = Tsi,即得到第二时间Tsi。
[0103]认证模块判断得到的第二时间Tsi和第一时间Tui的时间差，如果时间差Ts1-Tui ^ 1min(为预设值，根据网络延迟情况而定)，则服务平台对第二客户端认证成功。
[0104]完成手机客户端对服务平台的身份认证之后，紧接着将EK(Tui)取反得到Ε’ κ (Tui)，随后使用加密算法E和第一密钥K对Ek (Tui)和E’ K (Tui)进行加密，得到会话密^Ki = Ek(EK(Tui))+Ek(Ε，κ(TJ)0
[0105]服务平台和手机客户端完成双向身份认证，并生成相同的会话密钥I。
[0106]对上述实施例进行改进，得到优选的实施例九，其中所述步骤S6具体为:
[0107]所述服务平台接收到所述第三信息和所述摘要信息，所述认证服务器通过所述会话密钥和公用解密算法解密所述第三信息得到所述第二信息，根据所述摘要信息对所述第二信息进行完整性校验，完整性校验成功后，所述服务平台根据接收到的所述第二信息完成支付操作，并应答所述交易平台。
[0108]具体的，第二客户端和服务平台之间完成身份认证，并生成相同的会话密钥后，然后开始进行线上支付操作，具体过程如下:
[0109]在本发明具体实施例中，第一客户端为网上购物客户端，第二客户端为手机客户端，交易平台为电子商城。
[0110]首先，网上购物客户端发送第一信息S1给电子商城，其中第一信息M1包括用户标识Uid、密码pw、用户选择的虚拟预付卡的卡号、支付密码等信息。
[0111]电子商城接收到第一信息N1，并结合本次的交易信息生成支付一二维码图像信息，即第二信息N2，第二信息包含用户标识uid、密码pw、用户选择的虚拟预付卡的卡号、支付密码、交易时间Tu1、交易金额等信息。电子商城将第二信息N2发送给网上购物客户端并在网页上显示出此二维码图像信息。
[0112]手机客户端通过信息获取模块，扫描网上购物客户端的二维码信息，并将二维码图像信息转换成数字信息。
[0113]手机客户端获取第二信息N2，包括用户标识uid、密码pw、用户选择的虚拟预付卡的卡号、支付密码、交易时间Tu1、交易金额等信息。认证模块通过公用加密算法和生成的会话密钥Ki对第二信息N2中的用户选择的虚拟预付卡号、支付密码、交易金额等交易信息记为S进行加密生成第三信息N3,即N3 = eKi (J)。
[0114]手机客户端采用第一算法计算第二信息N2中交易信息S，本发明中采用的第一算法为哈希算法，生成一摘要信息Z，即Z = H(S)。
[0115]手机客户端将第三信息N3 = eKi(S)和摘要信息Z = H(S)发送给电子商城。
[0116]电子商城转发第三信息N3和摘要信息Z给服务平台。
[0117]服务平台接收到第三信息N3和摘要信息Z。其中，认证服务器通过相同的会话密钥Ki和相应的公用解密算法d解密第三信息，即dKi (N3) = dKi (eKi (N2))，得到第二信息N2。
[0118]认证服务器根据摘要信息Z对第二信息N2中的交易信息S进行完整性校验，具体过程为:认证服务器采用第一算法即哈希算法计算解密得到的S，得到H(S)’，判断此计算得到的H(S) ’与其接收到的摘要信息Z = H(S)是否相同。如果相同，则说明交易信息S是完整的，在网络传输中未被篡改，为合法数据。
[0119]完整性校验成功后，服务平台根据接收到的交易信息完成支付操作，并应答电子商城，完成预付卡的线上支付操作。
[0120]综上所述，本发明提供的一种虚拟预付卡线上支付方法具体过程为:所述第一客户端发送所述第一信息给所述交易平台；所述交易平台根据所述第一信息生成第二信息并发送给所述第一客户端；所述第二客户端通过所述信息获取模块获取所述第二信息；所述认证模块通过所述会话密钥和公用加密算法加密所述第二信息生成所述第三信息；所述第二客户端采用所述第一算法计算所述第二信息生成所述摘要信息；所述第二客户端将所述第三信息和所述摘要信息发送给所述交易平台；
[0121]所述交易平台转发所述第三信息和所述给所述服务平台；
[0122]所述服务平台接收到所述第三信息和所述摘要信息，所述认证服务器通过所述会话密钥和公用解密算法解密所述第三信息得到所述第二信息，根据所述摘要信息对所述第二信息进行完整性校验，完整性校验成功后，所述服务平台根据接收到的所述第二信息完成支付操作，并应答所述交易平台。
[0123]具体的，本发明中，第二客户端和服务平台在进行支付过程中的数据加密时采用会话密钥Ki和公用加密算法e结合，本发明选用的是AES-128，但本发明对公用加解密算法和第一算法均不做限定，只要能实现本发明目的的，都包括在本发明的内容中。
[0124]本发明提供了一种虚拟预付卡线上支付系统及方法，其在客户端和服务器平台进行双向身份认证，并对传输的支付信息进行加密并校验，使得线上支付更为安全，本发明具有更优的技术前景。
[0125]以上对发明的具体实施例进行了详细描述，但本发明并不限制于以上描述的具体实施例，其只是作为范例。对于本领域技术人员而言，任何对该系统进行的等同修改和替代也都在本发明的范畴之中。因此，在不脱离发明的精神和范围下所作出的均等变换和修改，都应涵盖在本发明的范围内。
【权利要求】
1.一种虚拟预付卡线上支付系统，其特征在于，包括第一客户端、第二客户端、交易平台以及服务平台； 所述第一客户端，发送第一信息至所述交易平台，以及接收所述交易平台发送的第二信息； 所述第二客户端，获取所述第二信息，生成一令牌信息，并加密所述第二信息生成第三信息，并向所述交易平台发送所述令牌信息和所述第三信息，用于实现身份认证和信息加密； 所述交易平台，接收所述第一信息生成所述第二信息发送给所述第一客户端，以及，转发所述第二客户端发送的所述令牌信息和所述第三信息至所述服务平台； 所述服务平台，通过接收的所述令牌信息进行身份认证，以及，对所述第三信息解密，并进行数据完整性校验，实现支付操作和应答所述交易平台。
2.如权利要求1所述的一种虚拟预付卡线上支付系统，其特征在于: 所述第二客户端内置信息获取模块和认证模块； 所述信息获取模块用于从所述第一客户端获取所述第二信息； 所述认证模块根据所述第二信息生成令牌信息； 所述认证模块对所述第二信息加密生成所述第三信息，并采用第一算法计算所述第二信息生成摘要信息。
3.如权利要求2所述的一种虚拟预付卡线上支付系统，其特征在于: 所述服务平台通过接口设备连接一认证服务器； 所述认证服务器接收到所述令牌信息并进行身份认证； 所述认证服务器解密接收到的所述第三信息得到所述第二信息，并根据所述摘要信息对所述第二信息进行完整性校验。
4.如权利要求3所述的一种虚拟预付卡线上支付系统，其特征在于: 所述认证模块和所述认证服务器进行信息交互实现身份认证，并分别存储有相同的会话密钥，用于加密支付过程中的信息。
5.一种虚拟预付卡线上支付方法，其特征在于，具体包括: SI用户通过第一客户端输入用户标识和密码向服务平台注册； S2交易平台接收第一客户端发送的第一信息生成第二信息，并发送给所述第一客户端; S3第二客户端获取所述第一客户端的第二信息，并根据第二信息生成一令牌信息； S4所述客户端和所述服务平台根据令牌信息进行双向身份认证，并生成所述会话密钥； S5身份认证成功后，所述第二客户端加密所述第二信息生成第三信息，采用第一算法计算所述第三信息生成摘要信息，通过所述交易平台发送所述第三信息和所述摘要信息至服务平台； S6所述服务平台解密所述第三信息，本根据所述摘要信息进行完整性校验，校验成功完成支付操作，应答所述交易平台。
6.如权利要求5所述的一种虚拟预付卡线上支付方法，其特征在于: 所述第二客户端内置信息获取模块和认证模块； 所述服务平台通过接口设备连接一认证服务器。
7.如权利要求6所述的一种虚拟预付卡线上支付方法，其特征在于: 所述步骤SI具体为:对所述第二客户端和所述服务平台进行初始化，用户通过所述第一客户端输入所述用户标识和其一一对应的所述密码向所述服务平台进行注册；所述第一客户端采用所述第一算法计算所述用户标识和所述密码生成第一认证信息；所述第一客户端将所述第一认证信息发送给所述服务平台，其中所述认证服务器存储所述第一认证信息； 所述认证服务器产生随机的第一密钥和第二密钥，所述认证服务器将所述第一密钥与加密算法结合生成一个与所述第一密钥相关的加密函数；所述认证服务器将所述第二密钥与解密算法结合生成一个与所述第二密钥相关的解密函数； 所述认证模块存储有所述加密函数和所述解密函数；所述认证服务器存储有所述第一密钥、所述第二密钥、所述加密算法以及所述解密算法。
8.如权利要求7所述的一种虚拟预付卡线上支付方法，其特征在于: 所述步骤S4具体为: 所述第二客户端通过信息获取模块从所述第一客户端处获取所述第二信息，所述第二信息包括此次交易的当前时间即第一时间，还包括所述用户标识和所述第一认证信息；所述认证模块通过所述加密函数对所述第一时间加密生成第二认证信息；所述认证模块采用第二算法计算所述第一认证信息和所述第二认证信息，并通过所述加密函数和所述第一密钥对所述计算结果加密生成所述令牌信息； 所述第二客户端发送所述用户标识和所述令牌信息给所述服务平台； 所述服务平台存储有用户标识档案，所述用户标识档案存储所有合法的所述用户标识； 所述服务平台接收到所述第二客户端发送的所述用户标识，判断所述用户标识是否存在于所述用户标识档案内，如果是，则用户身份的初步认证成功； 所述认证服务器通过所述加密算法和所述第二密钥对当前时间即第二时间加密生成第三认证信息； 所述服务平台通过所述认证服务器解密所述令牌信息，所述认证服务器通过所述解密算法和所述第一密钥对所述令牌信息进行解密，再与其存储的所述第一认证信息通过所述第二算法进行计算得到所述第二认证信息；所述认证服务器再次通过所述解密算法和所述第一密钥对所述第二认证信息进行解密，得到所述第一时间； 所述认证服务器判断得到的所述第一时间和所述第二时间的时间差，如果所述时间差小于预设值，则所述服务平台对所述第二客户端认证成功； 所述服务平台将所述第三认证信息发送给所述第二客户端； 所述第二客户端接收到所述服务平台发送的所述第三认证信息，所述认证模块通过所述解密函数解密所述第三认证信息得到所述第二时间； 所述认证模块判断得到的所述第二时间和所述第一时间的时间差，如果所述时间差小于预设值，则所述第二客户端对所述服务平台认证成功。
9.如权利要求5所述的一种虚拟预付卡线上支付方法，其特征在于: 所述步骤S6具体为: 所述服务平台接收到所述第三信息和所述摘要信息，所述认证服务器通过所述会话密钥和公用解密算法解密所述第三信息得到所述第二信息，根据所述摘要信息对所述第二信息进行完整性校验，完整性校验成功后，所述服务平台根据接收到的所述第二信息完成支付操作，并应答所述交易平台。
【文档编号】H04L29/06GK104318437SQ201410532199
【公开日】2015年1月28日 申请日期:2014年10月11日 优先权日:2014年10月11日
【发明者】谈剑锋, 梅庆, 马翔, 尤磊 申请人:上海众人科技有限公司