2024年6月13日发(作者:)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.9
(22)申请日 2012.05.11
(71)申请人 福建联迪商用设备有限公司
地址 350003 福建省福州市软件大道89号福州软件园一区23号楼
(72)发明人 彭波涛 苏龙
(74)专利代理机构 福州市鼓楼区博深专利代理事务所(普通合伙)
代理人 林志峥
(51)
(10)申请公布号 CN 102768744 A
(43)申请公布日 2012.11.07
权利要求说明书 说明书 幅图
(54)发明名称
一种远程安全支付方法和系统
(57)摘要
本发明公开一种远程安全支付方
法,包括以下步骤:提供一存储有安全数
据的银行智能卡;提供一终端和一读卡
器,通过读卡器读取智能卡信息,在银行
智能卡和远程服务器之间对用户进行身份
验证,并且在通过验证后,在上述银行智
能卡和远程服务器之间建立安全的数据链
路进行网上交易。本发明为用户使用网上
银行提供了一种安全防护措施。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种远程安全支付方法,其特征在于,包括以下步骤:
提供一存储有安全数据的银行智能卡;
提供一终端和一读卡器,通过读卡器读取智能卡信息,在银行智能卡和远程
服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智
远程服务器之间建立安全的数据链路进行网上交易。
能卡和
2.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述身份验证
包括以下步骤:所述终端读取银行智能卡的安全数据,所述远程服务
互联网向上述终端发起一个密钥协商过程,所述终端密
成功信息给上述远程服务器,双方通过该
一个过程密钥,该过程密钥
端交换数据的
器通过
钥协商成功后,返回
密钥协商过程进行双向认证并产生
在后续通信过程中作为所述远程服务器和所述终
加密密钥,从而在所述服务器和该银行智能卡之间形成一个安
全的数据传输链路。
3.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述终端为手
4.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述终端为PAD,
机,所述远程服务器为银行的网银服务器。
所述远程服务器为银行的网银服务器。
5.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述终端为POS
6.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述终端为手
机,所述远程服务器为网上银行服务器,所述手机通过计算机与所述
行服务器通信。
机,所述远程服务器为POS服务器。
网上银
7.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述银行智能
8.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述银行智能
卡设有符合ISO14443标准的非接触式通信接口,所述读卡器通过该
卡内安全数据。
卡设有ISO7816接口,所述读卡器通过该接口读取卡内安全数据。
接口读取
9.根据权利要求1所述的一种远程安全支付方法,其特征在于,所述安全数据
包括数字证书和私人密钥。
10.一种远程安全支付系统,其特征在于,包括:
银行智能卡,用以存储安全数据;
读卡器,用以读取上述安全数据;
终端,安装有客户端软件,用以进行网上交易;
所述终端通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对
间
11.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述终端为
12.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述终端为
13.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述终端为
手机,所述远程服务器为网上银行服务器,所述手机通过计算机与所
POS机,所述远程服务器为POS服务器。
手机,所述远程服务器为银行的网银服务器。
用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之
建立安全的数据链路进行网上交易。
述网上银
行服务器通信。
14.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述银行智
15.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述银行智
能卡设有符合ISO14443标准的非接触式通信接口,所述读卡器通过
卡内安全数据。
能卡设有ISO7816接口,所述读卡器通过该接口读取卡内安全数据。
该接口读取
16.根据权利要求10所述的一种远程安全支付系统,其特征在于,所述安全数
据包括数字证书和私人密钥。
说 明 书
技术领域
本发明涉及电子支付领域,尤其是一种远程安全支付方法和系统。
背景技术
随着电子商务的发展,网上交易已经越来越普及。此外,随着智能手机的
明
价格下降,其销量也与日俱增。这就使得通过手机进行网上支付的需求日益
显,各大银行也推出了各自的手机银行。目前,常见的基于手机的移
式有:
动支付方
方式1:通过本地文件证书,对远程支付提供安全认证。
方式2:通过短信码,对远程支付提供安全认证。
方式3:对于部分提供USB-OTG接口的手机,已经有特定的U-key可用。通
上述方式的缺点:
方式1和方式2的缺点:由于智能手机可能受病毒和黑客入侵,方式1和
方式3缺点:银行需要专门发行U-key,这种U-key常常只用于一个银行的
带
网上交易。这提高了银行的运营成本,也使得用户除了银行卡外,还需要携
多种U-key,在使用上很不方便。
方式2中的文件证书或短信码可能被恶意软件获取,从而危及网络交易安全
过这种U-key来保证远程支付的安全。
发明内容
为解决上述问题,本发明为用户使用网上银行提供了一种安全防护措施。
本发明采用的具体技术手段如下:一种远程安全支付方法,其特征在于,
提供一存储有安全数据的银行智能卡;
提供一终端和一读卡器,通过读卡器读取智能卡信息,在银行智能卡和远
和
程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能卡
远程服务器之间建立安全的数据链路进行
包括以下步骤:
网上交易。
特别地,所述身份验证包括以下步骤:所述终端读取银行智能卡的安全数
端
据,所述远程服务器通过互联网向上述终端发起一个密钥协商过程,所述终
密钥协商成功后,返回成功信息给上述远程服务器,双方通过该密钥
进行双向认证并产生一个过程密钥,该过程密钥在后续通信过
程服务器和所述终端交换数据的加密密钥,从而在所述
之间形成一个安全的数据传输链路。
协商过程
程中作为所述远
服务器和该银行智能卡
特别地,所述终端为手机,所述远程服务器为手机银行服务器。
特别地,所述终端为POS机,所述远程服务器为POS服务器。
特别地,所述终端为手机,所述远程服务器为网上银行服务器,所述手机
通过计算机与所述网上银行服务器通信。
特别地,所述银行智能卡设有ISO7816接口,所述读卡器通过该接口读取
特别地,所述银行智能卡设有符合ISO14443标准的非接触式通信接口,所
特别地,所述安全数据包括数字证书和私人密钥。
本发明还一种远程安全支付系统,其特征在于,包括:
银行智能卡,用以存储安全数据;
读卡器,用以读取上述安全数据;
终端,安装有客户端软件,用以进行网上交易;
所述终端通过读卡器读取智能卡信息,在银行智能卡和远程服务器之间对
间
特别地,所述终端为手机,所述远程服务器为银行的网银服务器。
特别地,所述终端为POS机,所述远程服务器为POS服务器。
特别地,所述终端为手机,所述远程服务器为网上银行服务器,所述手机
特别地,所述银行智能卡设有ISO7816接口,所述读卡器通过该接口读取
卡内安全数据。
通过计算机与所述网上银行服务器通信。
用户进行身份验证,并且在通过验证后,在上述银行智能卡和远程服务器之
建立安全的数据链路进行网上交易。
述读卡器通过该接口读取卡内安全数据。
卡内安全数据。
特别地,所述银行智能卡设有符合ISO14443标准的非接触式通信接口,所
特别地,所述安全数据包括数字证书和私人密钥。
本发明有益效果:
本发明在现有金融IC卡基础上,增加数字证书的存储和软件接口,用以对
且
用户身份进行验证,保证用户网上交易的安全,可以实现现有U盾的功能,
IC卡处理芯片体积小,且使用广泛存在的ISO7816接口,从而本发
用网上银行提供了一种安全防护措施。
述读卡器通过该接口读取卡内安全数据。
明为用户使
附图说明
图1为本发明实施例的银行智能卡的结构图;
图2为本发明实施例的一种远程安全支付方法流程图;
图3为本发明实施例的远程安全支付系统结构图;
图4为本发明智能卡、网银客户端、服务器之间身份验证交互图。
具体实施方式
为详细说明本发明的技术内容、构造特征、所实现目的及效果,以下结合
请参阅图1,为本发明实施例的银行智能卡的结构图。该银行智能卡是在银
实施方式并配合附图详予说明。
行向客户发行的金融卡IC卡基础上,增加安全模块,在安全模块中存储有
数字证书和私人密钥的存储和软件接口,数字证书和私人密钥统称为
且具备逻辑加密运算功能,可替代USB KEY实现用户身份认
体积小巧,且各银行均会发行相应IC卡。在本实施例
接口,读卡器可以通过ISO7816接口读
比如符合ISO14443标准的
客户
安全数据,
证的功能。IC卡片
中,银行IC卡具有ISO7816
取卡内安全数据,也可以通过无线方式,
非接触式通信接口,读取卡内信息。
请参考图2,为本发明实施例的一种远程安全支付方法流程图。其中安全支
S1.提供一存储有安全数据的银行智能卡;
S2.提供一终端和一读卡器,通过读卡器读取智能卡信息,在银行智能卡和
卡
其中,身份验证包括以下步骤:所述终端读取银行智能卡的安全数据,所
协
述远程服务器通过互联网向上述终端发起一个密钥协商过程,所述终端密钥
商成功后,返回成功信息给上述远程服务器,双方通过该密钥协商过
向认证并产生一个过程密钥,该过程密钥在后续通信过程中作
器和所述终端交换数据的加密密钥,从而在所述服务器
成一个安全的数据传输链路。
远程服务器之间对用户进行身份验证,并且在通过验证后,在上述银行智能
和远程服务器之间建立安全的数据链路进行网上交易。
付方法包括以下步骤:
程进行双
为所述远程服务
和该银行智能卡之间形
在本实施例中,终端包括移动终端,也包括非移动终端,包括个人终端,
也包括商用终端。所述移动终端包括手机、PAD、移动PC等,其对应的远
务器为银行的网银服务器;所述非移动终端可以使台式PC,对应的
上银行,PC通过读卡器读取卡内信息,登陆网上银行交易;
程服
服务器为网
所述商用终端可以
使商用POS机,其对应的服务器是POS服务器。
其中,所述银行智能卡设有ISO7816接口,当所述终端没有读卡功能,就
射
可以通过读卡器通过该接口读取卡内安全数据。所述银行智能卡还可以设有
频卡近场通信接口,读卡器通过采用无线方式比如无线射频方式读取
卡内信息。
图4是本发明智能卡、网银客户端、服务器之间身份验证交互图。在此以
需
常见的网上银行登录过程为例对该流程进行说明。终端安装有网银客户端,
要使用一张接触式智能卡对交易过程进行保护。该智能卡相当于U-
里面存放网上银行用于识别客户身份的数字证书和私人密钥,
器可以完成加密和数字签名算法。
key的作用,
卡片内部的处理
在登录过程中,主要是智能卡与系统服务器(远端系统)之间进行交互。
卡
为了进行交互,智能卡和系统服务器各存有一个数字证书和对应私钥。智
钥
能卡上的证书和私钥分别称为客户端证书和客户端私钥,服务器上证书和私
分别称为服务器证书和服务器私钥。此外,
的根证书。
客户端软件通过终端、读卡器与智能卡进行交互,发送服务器命令并从智能
接收响应,从而完成登录过程。
智能卡和服务器都有这些证书对应
智能卡和远程服务器交互过程如下:
1.客户端让智能卡产生32字节随机数,加上一些信息打包生成客户端握手
能
信息,这里客户端是相对于服务器的一种叫法,是将客户端软件、终端、智
卡、证书等等一些列组件当做一个整体来看待的。从服务器的角度来
看,与服
务器交互的对象就是客户端;
2.客户端将客户端握手信息传输到服务器;
3.服务器产生32字节随机数,加上一些信息打包,生成服务器握手信息;
4.服务器将服务器握手信息和服务器证书发送到客户端;
5.客户端将服务器证书发送到智能卡,由智能卡对收到的服务器证书进行
6.客户端使用智能卡进行如下过程:
产生一个48字节的随机数作为共享主密钥
该主密钥用服务器证书中的公钥进行加密,生成加密共享主密钥
将客户端握手信息和服务端握手信息算出握手信息哈希值,然后用客户端
7.客户端从智能卡中获得加密共享主密钥、握手信息数字签名;
8.客户端将客户端证书、加密共享主密钥、握手信息数字签名发送到服务
9.服务器检查客户端证书有效性,如果有效,则握手成功;否则握手失败;
10.服务器使用客户端证书中的公钥验证握手信息数字签名是否与客户端
和服务端握手信息匹配,如果匹配,则握手成功;否则握手失败,返回错误;
器;
私钥进行加密,生成握手信息数字签名;
验证,如果验证通过,则登录成功;否则登录失败;
11.服务器使用服务器私钥将进行解密共享主密钥,得出共享主密钥;
12.双方都使用共享主密钥算出会话密钥。后续通信过程,都使用会话密钥
请参考图3,为本发明实施例的安全支付系统结构图。安全支付系统包括:
安
对数据包进行加密,即建立了安全通道,登录成功。
银行智能卡,用以存储安全数据;读卡器,用以读取上述安全数据;终端,
装有客户端软件,用以进行网上交易;所
在银行智能卡和远程服务器之间对
上述银行智能卡和远程服务
安全数据包括数字证
例,所述网上
端密钥
述终端通过读卡器读取智能卡信息,
用户进行身份验证,并且在通过验证后,在
器之间建立安全的数据链路进行网上交易。其中,
书和私人密钥。在本实施例中,以PC和网上银行服务器为
银行服务器通过互联网向上述PC端发起一个密钥协商过程,该PC
协商成功后,返回成功信息给上述网上银行服务器,双方通过该密钥协
为
商过程进行双向认证并产生一个过程密钥,该过程密钥在后续通信过程中作
该网上银行服务器和所述终端交换数据的加密密钥,从而在该网上银
和该智能卡之间形成一个安全的数据传输链路,后续的交易数
行传输。
行服务器
据在此链路上进
本发明在现有金融IC卡基础上,增加数字证书的存储和软件接口,用以对
且
用户身份进行验证,保证用户网上交易的安全,可以实现现有U盾的功能,
IC卡处理芯片体积小,且使用广泛存在的ISO7816接口,成本低廉,
成熟,从而为用户使用网上银行提供了一种安全、低成本的防
加工技术
护措施。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利
运
用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接
用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
发布评论