订购业务的方法和系统与流程

本发明涉及计算机及其软件技术领域，特别地涉及一种订购业务的方法和系统。

背景技术：

短信业务订购是一种最为常用的增值业务订购方案，主要应用在运营商、银行、电商等IT服务领域。短信业务订购的主要方案是：服务商平台(例如电信运营商)将特定的增值业务邀请信息以短信方式发至用户的手机，并要求用户回复特定的字符组合(如DG01234)以完成订购确认；一旦用户的手机按照求回复了确认短信，则服务商平台将从用户的通信账户(也可以是传统银行账号、互联网金融账号等等)中扣除相应的费用。然后该费用会被服务商平台将与业务供应商SP(Service Provider)按照签约分成比例进行分成。

“短信业务订购”方案的关键点在于：以用户用手机回复的确认短信作为扣费依据。但是服务商平台或者SP无法分辨从该用户手机号发出的确认短信是否就是用户本人的操作。随着智能手机的大量普及，这一安全漏洞被大量的恶意吸费手机应用所利用，给大量智能手机用户造成了财产损失。例如：用户在一些恶意吸费手机应用中，会被诱导点击一些按钮或图片，例如领取新手奖励、特价购买金币/钻石等。一旦用户点击，该恶意吸费手机应用会执行内嵌的扣费代码。该代码主要功能便是向特定的服务商平台发送增值业务订购请求。这样服务商平台收到订购请求后会下发业务订购短信。当手机接收到订购短信时，恶意吸费手机应用会根据发送号码对其进行拦截和内容识别；一旦恶意吸费手机应用判断出该短信确为之前请求的业务订购短信，则自动回复一条确认短信。上述整个过程用户几乎无感知，不知不觉被扣费。

由此可见，现有的短信业务订购方案中的可被拦截、可被冒名回复的问题亟需得到解决。

技术实现要素：

有鉴于此，本发明提供一种订购业务的方法和系统，可以解决现有技术中的上述问题，具有防第三方软件拦截，防用户被冒名回复等优点。

为实现上述目的，根据本发明的一个方面，提供了一种订购业务的方法。

本发明的订购业务的方法包括：安全服务平台装置根据服务方业务系统发送的业务邀请信息生成业务邀请报文，然后通过短信通道将所述业务邀请报文发送给安全服务应用装置；所述安全服务应用装置解析接收到的所述业务邀请报文，然后根据业务邀请报文解析结果向目标移动终端发送主动式命令，以使所述目标移动终端向用户呈现所述业务邀请信息；所述安全服务应用装置接收所述目标移动终端发送的业务订购指令；所述安全服务应用装置将所述业务订购指令加密封装成业务订购报文，然后通过短信通道将所述业务订购报文发送给所述安全服务平台装置；所述安全服务平台装置解密解析所述业务订购报文，然后将业务订购报文解析结果发送给所述服务方业务系统。。

可选地，在所述安全服务平台装置根据服务方业务系统发送的业务邀请信息生成业务邀请报文的步骤之前，还包括：所述安全服务平台装置接收所述服务方业务系统发送的业务邀请信息，所述业务邀请信息包括安全接入码、目标移动终端标识和业务邀请文本内容；所述安全服务平台装置根据所述安全接入码确认服务方权限合法，根据所述目标移动终端标识确认目标用户有效，以及根据所述业务邀请文本内容确认推送内容合法。

可选地，在所述安全服务应用装置接收所述目标移动终端发送的业务订购指令的步骤之前，还包括：所述安全服务应用装置分别与所述安全服务平台装置和所述目标移动终端建立通信链接；所述安全服务平台装置生成所述目标移动终端对应的用户特定密钥，并将所述用户特定密钥抄送给所述安全服务应用装置保存；所述安全服务应用装置将所述业务订购指令加密封装成业务订购报文的步骤包括：所述安全服务应用装置将所述业务订购指令采用所述用户特定密钥加密封装成业务订购报文；所述安全服务平台装置解密解析所述业务订购报文的步骤包括：所述安全服务平台装置采用所述用户特定密钥解密解析所述业务订购报文。

可选地，所述安全服务应用装置分别于所述安全服务平台装置和所述目标移动终端建立通信链接步骤包括：所述安全服务应用装置向所述目标移动终端发送关于获取目标移动终端标识的主动式命令，然后接收所述目标移动终端返回的所述目标移动终端标识；所述安全服务应用装置将所述目标移动终端标识和所述安全服务应用标识经所述预置密码加密后通过短信通道上行至所述安全服务平台装置；所述安全服务平台装置经所述预置密码解密得到所述目标移动终端标识和所述安全服务应用标识，然后保存所述目标移动终端标识和所述安全服务应用标识的绑定关系以实现用户激活。

根据本发明的另一方面，提供了一种订购业务的系统。

本发明的订购业务的系统包括：安全服务平台装置和安全服务应用装置，其中，所述安全服务平台装置用于：根据服务方业务系统发送的业务邀请信息生成业务邀请报文，然后通过短信通道将所述业务邀请报文发送给安全服务应用装置；解密解析业务订购报文，然后将业务订购报文解析结果发送给所述服务方业务系统；所述安全服务应用装置用于：解析接收到的所述业务邀请报文，然后根据业务邀请报文解析结果向目标移动终端发送主动式命令，以使所述目标移动终端向用户呈现所述业务邀请信息；接收所述目标移动终端发送的所述业务订购指令；将所述业务订购指令加密封装成业务订购报文，然后通过短信通道将所述业务订购报文发送给所述安全服务平台装置。

可选地，所述安全服务平台装置还用于：接收所述服务方业务系统发送的业务邀请信息，所述业务邀请信息包括安全接入码、目标移动终端标识和业务邀请文本内容；根据所述安全接入码确认服务方权限合法，根据所述目标移动终端标识确认目标用户有效，以及根据所述业务邀请文本内容确认推送内容合法。

可选地，所述安全服务平台装置还用于：生成所述目标移动终端对应的用户特定密钥，并将所述用户特定密钥加密后抄送给所述安全服务应用装置保存；采用所述用户特定密钥解密解析所述业务订购报文；所述安全服务应用装置还用于：分别与所述安全服务平台装置和所述目标移动终端建立通信链接；将所述业务订购指令采用所述用户特定密钥加密封装成业务订购报文。

可选地，所述安全服务应用装置还用于：向所述目标移动终端发送关于获取目标移动终端标识的主动式命令，然后接收所述目标移动终端返回的所述目标移动终端标识；将所述目标移动终端标识和所述安全服务应用标识经所述预置密码加密后通过短信通道上行至所述安全服务平台装置；所述安全服务平台装置还用于：经所述预置密码解密得到所述目标移动终端标识和所述安全服务应用标识，然后保存所述目标移动终端标识和所述安全服务应用标识的绑定关系以实现用户激活。

根据本发明的技术方案，至少具有如下有益效果。

(1)防拦截：由于下推的业务订购信息使用了国际标准的安全短信技术，因此在手机底层芯片接收到该短信后，将直接转发至安全服务应用装置的进行后续处理。而不会向普通短信一样交由手机操作系统或第三方APP进行处理。这样可以从根本上杜绝了业务订购短信被恶意APP拦截的可能。

(2)防篡改：由于对于下推的业务订购信息和上送的用户确认信息，都进行了安全保护(包括：数据加密和数据冗余校验)，因此传输的信息具备防窥探、防篡改的特性。

(3)防伪造：由于信息的收发是通过安全服务平台装置与安全服务应用装置配合来完成的，通过自定义标识和传输内容密钥的方式，可以很容易实现平台与卡端应用的双向认证，因此本方案杜绝了第三方APP仿冒平台或卡应用发送信息的可能性。

(4)实现成本低：本方案采用了国际标准的安全短信封装技术，因此可以直接在现有的移动网络短信通道中使用。无需进行网络改造，只需为用户的手机卡片增加安全服务应用装置即可。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施方式的订购业务的方法的基本步骤的示意图；

图2是根据本发明实施方式的订购业务的系统的主要模块的示意图；

图3是根据本发明实施方式的订购业务的系统的工作过程的示意图。

具体实施方式

以下结合附图对本发明的示范性实施方式做出说明，其中包括本发明实施方式的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施方式做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本发明实施方式的订购业务的方法的基本步骤的示意图。如图1所示，该实施方式的订购业务的方法主要包括如下的步骤S1至步骤S5。

步骤S1：安全服务平台装置根据服务方业务系统发送的业务邀请信息生成业务邀请报文，然后通过短信通道将业务邀请报文发送给安全服务应用装置。

步骤S2：安全服务应用装置解析接收到的业务邀请报文，然后根据业务邀请报文解析结果向目标移动终端发送主动式命令，以使目标移动终端向用户呈现业务邀请信息。

步骤S3：安全服务应用装置接收目标移动终端发送的业务订购指令。

步骤S4：安全服务应用装置将业务订购指令加密封装成业务订购报文，然后通过短信通道将业务订购报文发送给安全服务平台装置。

步骤S5：安全服务平台装置解密解析业务订购报文，然后将业务订购报文解析结果发送给服务方业务系统。

可选地，为了增强对服务方业务系统的认证管理，在步骤S1之前还可以包括如下步骤S01和步骤S02(图1中并未示出)。步骤S01：安全服务平台装置接收服务方业务系统发送的业务邀请信息，业务邀请信息包括安全接入码、目标移动终端标识和业务邀请文本内容。其中，安全接入码是服务方业务系统与安全服务平台装置完成服务签约流程时获得的。目标移动终端标识是指广告对象(即用户)对应的移动终端的唯一标识符。步骤S02：安全服务平台装置根据安全接入码确认服务方权限合法，根据目标移动终端标识确认目标用户有效，以及根据业务邀请文本内容确认推送内容合法。其中，确认目标用户有效的过程是指：安全服务平台装置查询预存的激活用户名单，若激活用户名单中包括该目标移动终端标识则确认目标用户有效，反之目标用户无效。

可选地，为了提高传递信息过程中的保密性，在步骤A之前还包括如下的步骤S04和步骤S05(图1中并未示出)。步骤S04：安全服务应用装置分别与安全服务平台装置和目标移动终端建立通信链接。步骤S04实际上就是初始化过程。步骤S05：安全服务平台装置生成目标移动终端对应的用户特定密钥，并将用户特定密钥抄送给安全服务应用装置保存。这样安全服务应用装置分别与安全服务平台装置中均存有了用户特定密钥。该用户特定密钥可以被用于上述步骤S3和步骤S4中。具体地，安全服务应用装置将业务订购指令加密封装成业务订购报文的步骤包括：安全服务应用装置将业务订购指令采用用户特定密钥加密封装成业务订购报文。以及，安全服务平台装置解密解析业务订购报文的步骤包括：安全服务平台装置采用用户特定密钥解密解析业务订购报文。

可选地，上述步骤S04可以具体包括如下的步骤S041至S043(图1中并未示出)。步骤S041：安全服务应用装置向目标移动终端发送关于获取目标移动终端标识的主动式命令，然后接收目标移动终端返回的目标移动终端标识。步骤S042：安全服务应用装置将目标移动终端标识和安全服务应用标识经预置密码加密后通过短信通道上行至安全服务平台装置。步骤S043：安全服务平台装置经预置密码解密得到目标移动终端标识和安全服务应用标识，然后保存目标移动终端标识和安全服务应用标识的绑定关系以实现用户激活。实现用户激活了之后，就意味着安全服务平台装置中可以建立激活用户名单，该激活用户名单可以用于步骤S02中提到的“确认目标用户有效”。

图2是根据本发明实施方式的订购业务的系统的基本模块的示意图。如图2所示，该实施方式的订购业务的系统20主要包括安全服务平台装置21和安全服务应用装置22。

安全服务平台装置21用于：根据服务方业务系统发送的业务邀请信息生成业务邀请报文，然后通过短信通道将业务邀请报文发送给安全服务应用装置22；解密解析业务订购报文，然后将业务订购报文解析结果发送给服务方业务系统。

安全服务应用装置22用于：解析接收到的业务邀请报文，然后根据业务邀请报文解析结果向目标移动终端发送主动式命令，以使目标移动终端向用户呈现业务邀请信息；接收目标移动终端发送的业务订购指令；将业务订购指令加密封装成业务订购报文，然后通过短信通道将业务订购报文发送给安全服务平台装置21。

可选地，安全服务平台装置21还用于：接收服务方业务系统发送的业务邀请信息，业务邀请信息包括安全接入码、目标移动终端标识和业务邀请文本内容；根据安全接入码确认服务方权限合法，根据目标移动终端标识确认目标用户有效，以及根据业务邀请文本内容确认推送内容合法。

可选地，安全服务平台装置21还用于：生成目标移动终端对应的用户特定密钥，并将用户特定密钥抄送给安全服务应用装置22保存；采用用户特定密钥解密解析业务订购报文。安全服务应用装置22还用于：分别与安全服务平台装置21和目标移动终端建立通信链接；将业务订购指令采用用户特定密钥加密封装成业务订购报文。

可选地，安全服务应用装置22还用于：向目标移动终端发送关于获取目标移动终端标识的主动式命令，然后接收目标移动终端返回的目标移动终端标识；将目标移动终端标识和安全服务应用标识经预置密码加密后通过短信通道上行至安全服务平台装置21。安全服务平台装置21还用于：经预置密码解密得到目标移动终端标识和安全服务应用标识，然后保存目标移动终端标识和安全服务应用标识的绑定关系以实现用户激活。

为使公众更好地理解，下面结合详细实施例做具体介绍。

图3是根据本发明实施方式的订购业务的系统的工作过程的示意图。如图3所示，整个工作过程可以大致划分为初始化阶段、订购信息配置阶段和业务订购阶段，除了涉及了本发明实施方式的订购业务的系统中的安全服务平台装置21和安全服务应用装置22之外，还涉及了服务方业务系统、移动终端和用户。

一、初始化阶段

首先，移动终端开机启动以激活安全服务应用装置(参考图3中的标记1)。这一过程对应到硬件上来解释，是指手机等移动终端设备开启后，对安装在该移动终端设备的手机卡槽内的、已加载安全服务应用装置的芯片卡上电，从而按照电信国际规范去激活安全服务应用装置，进而芯片卡按照电信国际规范完成与移动终端的开机通信交互，同时将开机事件通知给安全服务应用装置。收到事件通知的安全服务应用装置，将按照预设的程序执行注册激活操作，以完成程序的初始化工作。

然后，安全服务应用装置向移动终端发出主动式命令以获取移动终端标识(参考图3中的标记2)。具体地，每次移动终端开机时，安全服务应用装置都会向移动终端发送主动式命令(一种机卡通信的底层交互指令，参见电信国际标准《ETSI TS 102 223》)，以获取移动终端标识及当前基站位置信息(可选)并进行存储。移动终端标识包括但不限于国际移动设备标识IMEI(International Mobile Equipment Identity)。由于安全服务应用装置存储了历史终端标识信息，因此只要对每次新获取的终端标识信息与安全服务应用装置中已存储的历史终端标识信息比较，便可判定出前后两次插卡的移动终端是否相同。需要说明的是，对于已激活的安全服务应用装置，才会内置有历史存储终端标识信息。对于未激活的安全服务应用装置，其内置的历史存储终端标识信息为空。还需要说明的是，如果安全服务应用装置判断前后两次插卡的移动终端是相同的，则意味着移动终端-安全服务应用装置的绑定关系未发生变化，不需要重复注册激活。换言之，仅当安全服务应用装置首次激活时，以及与安全服务应用装置对应的移动终端发生变化时，才需要执行初始化阶段中后续的注册激活步骤。

然后，移动终端响应主动式命令，向安全服务应用装置返回移动终端标识(参考图3中的标记3)。安全服务应用装置将保存获取到的移动终端标志。

然后，对于首次激活的安全服务应用装置的情况下，安全服务应用装置获取自身的安全服务应用标识(参考图3中的标记4)。安全服务应用标识包括但不限于：集成电路卡识别码ICCID(Integrated Circuit Card Identifier)、国际移动用户识别码IMSI(International Mobile Subscriber Identification Number)等等。获取卡片标识信息的方法包括但不限于：读取芯片卡片文件、通过芯片卡应用程序编程接口API(Application Programming Interface)获取等等。

然后，安全服务应用装置以短信方式上行目标移动终端标识和安全服务应用标识到安全服务平台装置(参考图3中的标记5)。具体地分两种情况。(a)当安全服务应用装置是首次激活状态时：则对获取的移动终端标识和安全服务应用标识进行安全报文封装(可以通过预置密钥进行加密)，并通过短信通道上行至安全服务平台装置。(b)当安全服务应用装置根据移动终端反馈的标识信息检测到当前用户已变更移动终端时；则将获取的新的移动终端标识进行安全报文封装(使用注册激活阶段被替换的安全密钥进行保护)，并通过短信通道上行至安全服务平台装置。

需要说明的是，实际上还可以将卡片标识信息(ICCID、IMSI)、位置信息(例如当前服务基站的位置信息)、以及动态生成的密钥信息(例如可以生成两把密钥，一个负责后续下行数据的加密，一个负责后续下行数据的冗余校验)上行至安全服务平台装置中。

然后，安全服务平台装置接收安全服务应用装置的上行信息之后，通过预制密钥进行报文解析，并分两种情况作如下处理(参考图3中的标记6)。(a)当安全服务应用装置是首次激活状态时，在安全服务应用装置数据库中建立安全服务应用装置和移动终端两者的对应关系(可选地，还连同短信报文中的手机号三者一起绑定)，从而建立起激活用户名单。同时，平台为该移动终端分配一个唯一的用户特定密钥。这个用户特定密钥本质就是用户标识符。(b)当安全服务应用装置已被激活，则安全服务平台装置可判断该上行信息是通知当前手机卡被插入其他移动终端并上电(即用户更换了移动终端)。此时，安全服务平台装置可通过上行短信报文中的手机号找到对应的移动用户数据表，并更新其中绑定的终端标识信息。

然后，安全服务平台装置利用安全短信技术将用户特定密钥下推到安全服务应用装置中，并由此完成应用的初始化工作(参考图3中的标记7)。

为使本领域技术人员更好地理解，先将安全订购业务中使用的密钥归纳如下面的表1所示。

表1安全订购业务中使用的密钥

另外，对于安全服务应用装置的首次注册激活操作的特别说明：

(1)上行数据报文：将包含安全服务应用装置利用卡片硬件安全算法动态生成的“下行安全密钥”和“数据校验密钥”。使用预置的“上行安全密钥”进行数据加密保护；使用动态生成的“数据校验密钥”进行明文数据的冗余校验保护；

(2)反馈的下行数据报文：将包含安全服务平台动态生成的“上行安全密钥”。使用获取到的“下行安全密钥”进行数据加密保护；使用获取到的“数据校验密钥”进行明文数据的冗余校验保护。

(3)安全服务应用装置接收到下行数据报文，用已生成的“下行安全密钥”进行解密，获取到新的“上行安全密钥”，并进行密钥更新操作。

二、订购信息配置阶段

首先，服务方业务系统在安全服务平台装置上注册账户(参考图3中的标记8)。

然后，安全服务平台装置收到注册请求之后，为服务方业务系统分配安全接入码(参考图3中的标记9)。该安全接入码可以用于验证服务方业务系统的身份，防止资质不合格的服务方利用安全服务平台来散发黑广告。

此外，服务方的管理人员可以登录安全服务平台装置进行订购业务内容的文案与订购操作配置。文案配置需要依赖系统针对不同类型业务所提供的基础模板进行内容编辑；订购操作配置，是用来设置用户收到并确认业务邀请信息后，安全服务应用所执行的操作。可以配置回复的特定订购指令编码，也可以配置回复短信的接收号码，例如发送“DG01234”至“1065xxxx”短信接入号，默认订购信息是上传至安全服务平台装置。

三、业务订购阶段

首先，服务方业务系统向安全服务平台装置发送业务邀请信息。(参考图3中的标记10)该业务邀请信息包括安全接入码、目标移动终端标识和业务邀请文本内容。其中，目标移动终端标识可以是用户的手机号码。

然后，安全服务平台装置确认业务邀请信息合法且有效(参考图3中的标记11)。具体地，安全服务平台装置从三方面进行确认：根据安全接入码确认服务方权限合法，根据目标移动终端标识确认目标用户有效，以及根据业务邀请文本内容确认推送内容合法。其中，确认目标用户有效的过程是指：安全服务平台装置查询数据库中预存的激活用户名单，若激活用户名单中包括该目标移动终端标识则确认目标用户有效，反之目标用户无效。根据业务邀请文本内容确认推送内容合法这一子步骤耗时较多，也可以调整至订购信息配置阶段执行。

然后，安全服务平台装置向服务方业务系统发出受理通知(参考图3中的标记12)。

然后，安全服务平台装置根据业务邀请信息生成业务邀请报文(参考图3中的标记13)，然后通过短信通道将业务邀请报文发送给安全服务应用装置(参考图3中的标记14)。

然后，安全服务应用装置解析接收到的业务邀请报文(参考图3中的标记15)，然后根据业务邀请报文解析结果向目标移动终端发送主动式命令(参考图3中的标记16)，以使目标移动终端向用户呈现业务邀请信息(参考图3中的标记17)。

然后，用户在移动终端上进行确认订购的操作(参考图3中的标记18)。

然后，安全服务应用装置接收目标移动终端发送的业务订购指令(参考图3中的标记19)。这里的订购指令就可以是服务商规定的表示“确认订购业务”或者“取消订购业务”的含义的特定编码。

然后，安全服务应用装置将业务订购指令采用用户特定密码加密封装成业务订购报文(参考图3中的标记20)，然后通过短信通道将业务订购报文发送给安全服务平台装置(参考图3中的标记21)。

然后，安全服务平台装置采用用户特定密码解密解析业务订购报文(参考图3中的标记22)，然后将业务订购报文解析结果发送给服务方业务系统(参考图3中的标记23)。

最后，服务方业务系统向安全服务平台装置发出已响应订购请求的反馈消息(参考图3中的标记24)。

由上可知，本发明的订购业务的方法和系统至少具有如下优点：

(1)防拦截：由于平台下推的业务订购信息使用了国际标准的安全短信技术，因此在手机底层芯片接收到该短信后，将直接转发至卡片进行后续处理。而不会向普通短信一样交由手机操作系统或第三方APP进行处理。本方案从根本上杜绝了业务订购短信被恶意APP拦截的可能。

(2)防篡改：本方案中对于下推的业务订购信息和上送的用户确认信息，都进行了安全保护(包括：数据加密和数据冗余校验)，因此传输的信息具备防窥探、防篡改的特性。

(3)防伪造：由于信息的收发是通过安全服务平台与卡端应用配合来完成的，通过自定义标识和传输内容密钥的方式，可以很容易实现平台与卡端应用的双向认证，因此本方案杜绝了第三方APP仿冒平台或卡应用发送信息的可能性。

(4)实现成本低：本方案采用了国际标准的安全短信封装技术，因此可以直接在现有的移动网络短信通道中使用。无需进行网络改造，只需为用户的手机卡片增加安全服务应用即可。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。