專利名稱:一種遠程安全支付方法和系統的制作方法
技術領域:
本發明涉及電子支付領域,尤其是一種遠程安全支付方法和系統。
背景技術:
隨著電子商務的發展,網上交易已經越來越普及。此外,隨著智能手機的價格下降,其銷量也與日俱增。這就使得通過手機進行網上支 付的需求日益明顯,各大銀行也推出了各自的手機銀行。目前,常見的基于手機的移動支付方式有方式I :通過本地文件證書,對遠程支付提供安全認證。方式2 :通過短信碼,對遠程支付提供安全認證。方式3 :對于部分提供USB-OTG接口的手機,已經有特定的U_key可用。通過這種U-key來保證遠程支付的安全。上述方式的缺點方式I和方式2的缺點由于智能手機可能受病毒和黑客入侵,方式I和方式2中的文件證書或短信碼可能被惡意軟件獲取,從而危及網絡交易安全方式3缺點銀行需要專門發行U-key,這種U-key常常只用于一個銀行的網上交易。這提高了銀行的運營成本,也使得用戶除了銀行卡外,還需要攜帶多種U-key,在使用上很不方便。
發明內容
為解決上述問題,本發明為用戶使用網上銀行提供了一種安全防護措施。本發明采用的具體技術手段如下一種遠程安全支付方法,其特征在于,包括以下步驟提供一存儲有安全數據的銀行智能卡;提供一終端和一讀卡器,通過讀卡器讀取智能卡信息,在銀行智能卡和遠程服務器之間對用戶進行身份驗證,并且在通過驗證后,在上述銀行智能卡和遠程服務器之間建立安全的數據鏈路進行網上交易。特別地,所述身份驗證包括以下步驟所述終端讀取銀行智能卡的安全數據,所述遠程服務器通過互聯網向上述終端發起一個密鑰協商過程,所述終端密鑰協商成功后,返回成功信息給上述遠程服務器,雙方通過該密鑰協商過程進行雙向認證并產生一個過程密鑰,該過程密鑰在后續通信過程中作為所述遠程服務器和所述終端交換數據的加密密鑰,從而在所述服務器和該銀行智能卡之間形成一個安全的數據傳輸鏈路。特別地,所述終端為手機,所述遠程服務器為手機銀行服務器。特別地,所述終端為POS機,所述遠程服務器為POS服務器。特別地,所述終端為手機,所述遠程服務器為網上銀行服務器,所述手機通過計算機與所述網上銀行服務器通信。特別地,所述銀行智能卡設有IS07816接口,所述讀卡器通過該接口讀取卡內安全數據。特別地,所述銀行智能卡設有符合IS014443標準的非接觸式通信接口,所述讀卡器通過該接口讀取卡內安全數據。特別地,所述安全數據包括數字證書和私人密鑰。本發明還一種遠程安全支付系統,其特征在于,包括銀行智能卡,用以存儲安全數據;讀卡器,用以讀取上述安全數據;終端,安裝有客戶端軟件,用以進行網上交易; 所述終端通過讀卡器讀取智能卡信息,在銀行智能卡和遠程服務器之間對用戶進行身份驗證,并且在通過驗證后,在上述銀行智能卡和遠程服務器之間建立安全的數據鏈路進行網上交易。特別地,所述終端為手機,所述遠程服務器為銀行的網銀服務器。特別地,所述終端為POS機,所述遠程服務器為POS服務器。特別地,所述終端為手機,所述遠程服務器為網上銀行服務器,所述手機通過計算機與所述網上銀行服務器通信。特別地,所述銀行智能卡設有IS07816接口,所述讀卡器通過該接口讀取卡內安全數據。特別地,所述銀行智能卡設有符合IS014443標準的非接觸式通信接口,所述讀卡器通過該接口讀取卡內安全數據。特別地,所述安全數據包括數字證書和私人密鑰。本發明有益效果本發明在現有金融IC卡基礎上,增加數字證書的存儲和軟件接口,用以對用戶身份進行驗證,保證用戶網上交易的安全,可以實現現有U盾的功能,且IC卡處理芯片體積小,且使用廣泛存在的IS07816接口,從而本發明為用戶使用網上銀行提供了一種安全防護措施。
圖I為本發明實施例的銀行智能卡的結構圖;圖2為本發明實施例的一種遠程安全支付方法流程圖;圖3為本發明實施例的遠程安全支付系統結構圖;圖4為本發明智能卡、網銀客戶端、服務器之間身份驗證交互圖。
具體實施例方式為詳細說明本發明的技術內容、構造特征、所實現目的及效果,以下結合實施方式并配合附圖詳予說明。請參閱圖1,為本發明實施例的銀行智能卡的結構圖。該銀行智能卡是在銀行向客戶發行的金融卡IC卡基礎上,增加安全模塊,在安全模塊中存儲有客戶數字證書和私人密鑰的存儲和軟件接口,數字證書和私人密鑰統稱為安全數據,且具備邏輯加密運算功能,可替代USB KEY實現用戶身份認證的功能。IC卡片體積小巧,且各銀行均會發行相應IC卡。在本實施例中,銀行IC卡具有IS07816接口,讀卡器可以通過IS07816接口讀取卡內安全數據,也可以通過無線方式,比如符合IS014443標準的非接觸式通信接口,讀取卡內信息。請參考圖2,為本發明實施例的一種遠程安全支付方法流程圖。其中安全支付方法包括以下步驟SI.提供一存儲有安全數據的銀行智能卡;S2.提供一終端和一讀卡器,通過讀卡器讀取智能卡信息,在銀行智能卡和遠程服務器之間對用戶進行身份驗證,并且在通過驗證后,在上述銀行智能卡和遠程服務器之間建立安全的數據鏈路進行網上交易。其中,身份驗證包括以下步驟所述終端讀取銀行智能卡的安全 數據,所述遠程服務器通過互聯網向上述終端發起一個密鑰協商過程,所述終端密鑰協商成功后,返回成功信息給上述遠程服務器,雙方通過該密鑰協商過程進行雙向認證并產生一個過程密鑰,該過程密鑰在后續通信過程中作為所述遠程服務器和所述終端交換數據的加密密鑰,從而在所述服務器和該銀行智能卡之間形成一個安全的數據傳輸鏈路。在本實施例中,終端包括移動終端,也包括非移動終端,包括個人終端,也包括商用終端。所述移動終端包括手機、PAD、移動PC等,其對應的遠程服務器為銀行的網銀服務器;所述非移動終端可以使臺式PC,對應的服務器為網上銀行,PC通過讀卡器讀取卡內信息,登陸網上銀行交易;所述商用終端可以使商用POS機,其對應的服務器是POS服務器。其中,所述銀行智能卡設有IS07816接口,當所述終端沒有讀卡功能,就可以通過讀卡器通過該接口讀取卡內安全數據。所述銀行智能卡還可以設有射頻卡近場通信接口,讀卡器通過采用無線方式比如無線射頻方式讀取卡內信息。圖4是本發明智能卡、網銀客戶端、服務器之間身份驗證交互圖。在此以常見的網上銀行登錄過程為例對該流程進行說明。終端安裝有網銀客戶端,需要使用一張接觸式智能卡對交易過程進行保護。該智能卡相當于U-key的作用,里面存放網上銀行用于識別客戶身份的數字證書和私人密鑰,卡片內部的處理器可以完成加密和數字簽名算法。在登錄過程中,主要是智能卡與系統服務器(遠端系統)之間進行交互。客戶端軟件通過終端、讀卡器與智能卡進行交互,發送服務器命令并從智能卡接收響應,從而完成登錄過程。為了進行交互,智能卡和系統服務器各存有一個數字證書和對應私鑰。智能卡上的證書和私鑰分別稱為客戶端證書和客戶端私鑰,服務器上證書和私鑰分別稱為服務器證書和服務器私鑰。此外,智能卡和服務器都有這些證書對應的根證書。智能卡和遠程服務器交互過程如下I.客戶端讓智能卡產生32字節隨機數,加上一些信息打包生成客戶端握手信息,這里客戶端是相對于服務器的一種叫法,是將客戶端軟件、終端、智能卡、證書等等一些列組件當做一個整體來看待的。從服務器的角度來看,與服務器交互的對象就是客戶端;2.客戶端將客戶端握手信息傳輸到服務器;3.服務器產生32字節隨機數,加上一些信息打包,生成服務器握手信息;4.服務器將服務器握手信息和服務器證書發送到客戶端;5.客戶端將服務器證書發送到智能卡,由智能卡對收到的服務器證書進行驗證,如果驗證通過,則登錄成功;否則登錄失敗;
6.客戶端使用智能卡進行如下過程產生一個48字節的隨機數作為共享主密鑰該主密鑰用服務器證書中的公鑰進行加密,生成加密共享主密鑰將客戶端握手信息和服務端握手信息算出握手信息哈希值,然后用客戶端私鑰進行加密,生成握手信息數字簽名;7.客戶端從智能卡中獲得加密共享主密鑰、握手信息數字簽名;8.客戶端將客戶端證書、加密共享主密鑰、握手信息數字 簽名發送到服務器;9.服務器檢查客戶端證書有效性,如果有效,則握手成功;否則握手失敗;10.服務器使用客戶端證書中的公鑰驗證握手信息數字簽名是否與客戶端和服務端握手信息匹配,如果匹配,則握手成功;否則握手失敗,返回錯誤;11.服務器使用服務器私鑰將進行解密共享主密鑰,得出共享主密鑰;12.雙方都使用共享主密鑰算出會話密鑰。后續通信過程,都使用會話密鑰對數據包進行加密,即建立了安全通道,登錄成功。請參考圖3,為本發明實施例的安全支付系統結構圖。安全支付系統包括銀行智能卡,用以存儲安全數據;讀卡器,用以讀取上述安全數據;終端,安裝有客戶端軟件,用以進行網上交易;所述終端通過讀卡器讀取智能卡信息,在銀行智能卡和遠程服務器之間對用戶進行身份驗證,并且在通過驗證后,在上述銀行智能卡和遠程服務器之間建立安全的數據鏈路進行網上交易。其中,安全數據包括數字證書和私人密鑰。在本實施例中,以PC和網上銀行服務器為例,所述網上銀行服務器通過互聯網向上述PC端發起一個密鑰協商過程,該PC端密鑰協商成功后,返回成功信息給上述網上銀行服務器,雙方通過該密鑰協商過程進行雙向認證并產生一個過程密鑰,該過程密鑰在后續通信過程中作為該網上銀行服務器和所述終端交換數據的加密密鑰,從而在該網上銀行服務器和該智能卡之間形成一個安全的數據傳輸鏈路,后續的交易數據在此鏈路上進行傳輸。本發明在現有金融IC卡基礎上,增加數字證書的存儲和軟件接口,用以對用戶身份進行驗證,保證用戶網上交易的安全,可以實現現有U盾的功能,且IC卡處理芯片體積小,且使用廣泛存在的IS07816接口,成本低廉,加工技術成熟,從而為用戶使用網上銀行提供了一種安全、低成本的防護措施。以上所述僅為本發明的實施例,并非因此限制本發明的專利范圍,凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換,或直接或間接運用在其他相關的技術領域,均同理包括在本發明的專利保護范圍內。
權利要求
1.一種遠程安全支付方法,其特征在于,包括以下步驟 提供一存儲有安全數據的銀行智能卡; 提供一終端和一讀卡器,通過讀卡器讀取智能卡信息,在銀行智能卡和遠程服務器之間對用戶進行身份驗證,并且在通過驗證后,在上述銀行智能卡和遠程服務器之間建立安全的數據鏈路進行網上交易。
2.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述身份驗證包括以下步驟所述終端讀取銀行智能卡的安全數據,所述遠程服務器通過互聯網向上述終端發起一個密鑰協商過程,所述終端密鑰協商成功后,返回成功信息給上述遠程服務器,雙方通過該密鑰協商過程進行雙向認證并產生一個過程密鑰,該過程密鑰在后續通信過程中作為所述遠程服務器和所述終端交換數據的加密密鑰,從而在所述服務器和該銀行智能卡之間形成一個安全的數據傳輸鏈路。
3.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述終端為手機,所述遠程服務器為銀行的網銀服務器。
4.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述終端為PAD,所述遠程服務器為銀行的網銀服務器。
5.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述終端為POS機,所述遠程服務器為POS服務器。
6.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述終端為手機,所述遠程服務器為網上銀行服務器,所述手機通過計算機與所述網上銀行服務器通信。
7.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述銀行智能卡設有IS07816接口,所述讀卡器通過該接口讀取卡內安全數據。
8.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述銀行智能卡設有符合IS014443標準的非接觸式通信接口,所述讀卡器通過該接口讀取卡內安全數據。
9.根據權利要求I所述的一種遠程安全支付方法,其特征在于,所述安全數據包括數字證書和私人密鑰。
10.一種遠程安全支付系統,其特征在于,包括 銀行智能卡,用以存儲安全數據; 讀卡器,用以讀取上述安全數據; 終端,安裝有客戶端軟件,用以進行網上交易; 所述終端通過讀卡器讀取智能卡信息,在銀行智能卡和遠程服務器之間對用戶進行身份驗證,并且在通過驗證后,在上述銀行智能卡和遠程服務器之間建立安全的數據鏈路進行網上交易。
11.根據權利要求10所述的一種遠程安全支付系統,其特征在于,所述終端為手機,所述遠程服務器為銀行的網銀服務器。
12.根據權利要求10所述的一種遠程安全支付系統,其特征在于,所述終端為POS機,所述遠程服務器為POS服務器。
13.根據權利要求10所述的一種遠程安全支付系統,其特征在于,所述終端為手機,所述遠程服務器為網上銀行服務器,所述手機通過計算機與所述網上銀行服務器通信。
14.根據權利要求10所述的一種遠程安全支付系統,其特征在于,所述銀行智能卡設有IS07816接口,所述讀卡器通過該接口讀取卡內安全數據。
15.根據權利要求10所述的一種遠程安全支付系統,其特征在于,所述銀行智能卡設有符合IS014443標準的非接觸式通信接口,所述讀卡器通過該接口讀取卡內安全數據。
16.根據權利要求10所述的一種遠程安全支付系統,其特征在于,所述安全數據包括數字證書和私人密鑰。
全文摘要
本發明公開一種遠程安全支付方法,包括以下步驟提供一存儲有安全數據的銀行智能卡;提供一終端和一讀卡器,通過讀卡器讀取智能卡信息,在銀行智能卡和遠程服務器之間對用戶進行身份驗證,并且在通過驗證后,在上述銀行智能卡和遠程服務器之間建立安全的數據鏈路進行網上交易。本發明為用戶使用網上銀行提供了一種安全防護措施。
文檔編號H04L9/32GK102768744SQ20121014740
公開日2012年11月7日 申請日期2012年5月11日 優先權日2012年5月11日
發明者彭波濤, 蘇龍 申請人:福建聯迪商用設備有限公司