CN102609842B - 一种基于硬件签名设备的支付密码装置及其应用方法 - Google Patents
一种基于硬件签名设备的支付密码装置及其应用方法 Download PDFInfo
- Publication number
- CN102609842B CN102609842B CN201210017367.5A CN201210017367A CN102609842B CN 102609842 B CN102609842 B CN 102609842B CN 201210017367 A CN201210017367 A CN 201210017367A CN 102609842 B CN102609842 B CN 102609842B
- Authority
- CN
- China
- Prior art keywords
- payment cipher
- account
- transaction system
- remote transaction
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种基于硬件签名设备的支付密码装置及其应用方法。硬件签名设备将信息正或逆输送到用户远程交易系统终端,用户远程交易系统终端将信息正或逆输送到远程交易系统,远程交易系统将信息正或逆输送到支付密码生成服务器,所述支付密码生成服务器将信息正或逆分别输送到支付密码核印服务器和支付密码后台数据库。基于硬件签名设备的支付密码装置的应用方法,包括发行方法、增加账号方法、计算支付密码方法,本发明具有安全可靠、用户终端成本低、结构简单,使用方便,保密性强的优点,可用于各种远程交易系统。
Description
技术领域
本发明涉及一种新型支付密码装置的发行、增加账户和计算支付密码的方法,具体涉及一种基于硬件签名设备的支付密码装置及其应用方法。
背景技术
随着电子计算机技术的发展,电子支付的安全和方便性越来越高,由于电子支付的快捷方便,节省成本,我国一直在大力发展电子支付密码技术;中国人民银行与国家密码管理委员会制定了支付密码器的通用性技术规范实现了支付密码器的全国通用,支付密码器的主要核心部件,如支付密码产生的算法,核验等都是统一的,需采用专用芯片。
支付密码器是根据2001年中国人民银行与国家密码管理委员会联合制度的“支付密码器通用性技术规范”文件要求设计的一种电子设备,其作为一种金融支付的安全工具,是由开票方将票据的各项要素(如:账户,出票日期等)明文输入后,利用高强度的密码技术进行运输,得到一组与明文对应的数字,即“支付密码”,取得该支付密码即可实现票据的电子支付,最终由银行经核验后完成金融支付;上述各票据要素的不同,支付密码不同,由此防止伪造或涂改票据。
硬件签名设备是具有数字签名能力的各种硬件设备的统称,例如现在银行业内流行的U盾,手机Key等各种签名设备。
U盾是一种基于“USBKey”身份认证方式的通用串行总线(UnivorsalSerialBus;以下简称:USB)设备,内置单片机或智能芯片,形状类似于U盘。单片机或智能芯片具有存储空间,用于存储用户的密钥或个人数字证书。用户在网上交易时,先向服务器提交客户端证书,服务器对客户端证书验证通过后提示用户接入硬件签名设备,用户将硬件签名设备插入个人计算机的USB接口,U盾内置的l024位非对称密钥算法便对数据进行由加密、解密和数字签名,从而保证了用户认证的安全性。
随着互联网的发展,不法分子的攻击水平越来越高,为了解决U盾只能确保证书不被盗取而不能阻挡黑客伪造文件骗取其签名,因而难以防止高水平的黑客及黑客程序的攻击,手机Key(M-Key)应运而生。手机Key是一种基于手机的支付认证工具;其通过手机嵌入安全签名模块,实现签名认证;并通过数字短信通道,实现签名信息交互。其中安全签名模块是由微处理器芯片和薄膜连接电路组成,并插接在手机平台的SIM/UIM卡座与SIM/UIM卡之间,分别与手机和SIM/UIM卡连接。微处理器芯片中存储有签名、验证,加密、解密的密钥和相关程序,同时设有公钥运算协处理器,以完成在信息签名、验证,加密和解密处理过程中的相关运算。
支付密码器的应用和防伪的效果实际上已经在银行业内形成共识。但据了解,支付密码器价格大约在300到600元左右,增加了企业负担。同时支付密码器难以与网上银行(企业版)、手机银行(企业版)等电子银行联动,实现企业票据填写、票据签发和支付转账的自动化处理。部分客户因为嫌操作过繁而不愿使用,也有不愿使用。所以使得支付密码器的推广并不顺利。然而U盾、手机Key等硬件签名设备由于价格低廉,携带、使用方便,已被广大用户所接受。基于以上分析我们发明了一种具有支付密码功能的硬件签名设备装置,以硬件签名设备为可信客户计算平台,采用公钥数字签名技术,结合已经在银行广泛部署的支付密码系统,为用户(包括对公用户和个人用户)提供一种新的、易用的安全票据支付手段。
发明内容
本发明的目的是提供一种结构简单,使用方便,保密性强的一种基于硬件签名设备的支付密码装置。
本发明的另一目的是提供基于硬件签名设备的支付密码装置的应用方法。
为了克服现有技术的不足,本发明的技术方案是这样解决的:一种基于硬件签名设备的支付密码装置,该装置包括硬件签名设备、用户远程交易系统终端、远程交易系统、支付密码核印服务器、支付密码生成服务器、支付密码后台数据库,本发明的特殊之处在于所述硬件签名设备将信息正或逆输送到用户远程交易系统终端,用户远程交易系统终端将信息正或逆输送到远程交易系统,远程交易系统将信息正或逆输送到支付密码生成服务器,所述支付密码生成服务器将信息正或逆分别输送到支付密码核印服务器和支付密码后台数据库。
一种所述基于硬件签名设备的支付密码装置的应用方法,该应用方法包括发行方法、增加账号方法、计算支付密码方法,其中:
—、所述发行方法,按下述步骤进行:
(1)在远程交易系统界面选择“发行支付密码器”功能;
(2)通过硬件签名设备私钥签名“支付密码器编号”,并将其发送至远程交易系统;
(3)远程交易系统将“支付密码器编号”及其签名组成的“发行请求”数据包发送到支付密码生成服务器;
(4)支付密码生成服务器验证签名;验证通过后,获取银行公钥,然后通过硬件签名设备公钥对银行公钥加密,并发送至远程交易系统;
(5)远程交易系统将接收到的数据包发送到硬件签名设备,硬件签名设备通过设备私钥解密该数据包得到银行公钥,并存储;
二、所述增加账号方法,按下述步骤进行:
(1)在远程交易系统界面选择“增加账号”功能并选取相应“账号”;
(2)远程交易系统将“账号”传送到硬件签名设备,硬件签名设备通过设备私钥生成“支付密码器编号”和“账号”的签名,并将“支付密码器编号”、“账号”及其签名组成的“增加账号请求”数据包回传远程交易系统;远程交易系统将该数据包发送至支付密码生成服务器;
(3)支付密码生成服务器验证签名;验证通过后,支付密码产生服务器生成“账号密钥对”,即账号密钥与账号公钥和芯片序号,并将“支付密码器编号”、“账号”、账号公钥与芯片序号发送至支付密码核印服务器,支付密码核印服务器产生账号对称密钥对和“账号序号”,并将账号对称密钥对和“账号序号”回传到支付密码生成服务器;
(4)支付密码生成服务器通过设备公钥加密账号密钥、“账号”、账号对称密钥对与“账号序号”,并发送到远程交易系统;
(5)远程交易系统将接收到的数据包发送硬件签名设备,硬件签名设备通过设备私钥解密数据包得到账号密钥、“账号”、账号对称密钥对与“账号序号”,并存储;
三、所述计算支付密码方法,按下述步骤进行:
(1)在远程交易系统界面选择“支付密码计算”功能并输入银行账号、业务种类、交易金额、交易日期、凭证号码;
(2)硬件签名设备通过银行公钥加密账号密钥和账号对称密钥对生成密文,然后将票据要素、密文及其签名构成支付密码计算请求数据包,并发送给远程交易系统;
(3)远程交易系统将支付密码计算请求数据包发送给支付密码生成服务器,支付密码生成服务器验证签名,验证通过后,得到票据要素,然后采用银行私钥解密该数据中密文获取账号密钥、账号对称密钥对,通过票据要素、账号密钥和账号对称密钥对生成支付密码,最后将产生的支付密码通过设备公钥加密并发送到远程交易系统;
(4)远程交易系统将接收到的数据包发送到硬件签名设备,硬件签名设备通过设备私钥,进行解密,并显示支付密码以供用户使用。
所述基于硬件签名设备的支付密码装置应用方法中的发行方法,当用户不想对硬件签名设备装置进行更新修改或者不想将用户私钥存储在自身硬件签名设备装置中时,按下述步骤进行:
(1)在远程交易系统界面选择“发行支付密码器”功能;
(2)硬件签名设备通过其设备私钥签名的“支付密码器编号”,并将其发送至远程交易系统;
(3)远程交易系统将“支付密码器编号”及其签名组成的“发行请求”数据包发送到支付密码生成服务器;
(4)支付密码生成服务器验证签名;验证通过后,获取银行公钥,然后通过硬件签名设备公钥对银行公钥加密,将加密的银行公钥与“支付密码器编号”发送至支付密码后台数据库,并存储。
所述基于硬件签名设备的支付密码装置应用方法中的增加账号方法,当用户不想对硬件签名设备装置进行更新修改或者不想将用户私钥存储在自身硬件签名设备装置中时,按下述步骤进行:
(1)在远程交易系统界面选择“增加账号”功能并选取相应“账号”;
(2)远程交易系统将“账号”传送到硬件签名设备,硬件签名设备通过设备私钥生成“支付密码器编号”和“账号”的签名,并将“支付密码器编号”、“账号”及其签名组成的“增加账号请求”数据包回传远程交易系统,远程交易系统将该数据包发送至支付密码生成服务器;
(3)支付密码产生服务器验证签名;验证通过后,支付密码产生服务器生成“账号密钥对”,即账号密钥与账号公钥和芯片序号,并将“支付密码器编号”、“账号”、账号公钥与芯片序号发送至支付密码核印服务器;支付密码核印服务器产生账号对称密钥对和“账号序号”,并将账号对称密钥对和“账号序号”回传到支付密码生成服务器;
(4)支付密码生成服务器通过银行公钥加密账号密钥、“账号”、账号对称密钥对与“账号序号”加密后,并发送到支付密码后台数据库,并存储。
所述基于硬件签名设备的支付密码装置应用方法中的计算支付密码的方法,当用户不想对硬件签名设备装置进行更新修改或者不想将用户私钥存储在自身硬件签名设备装置中时,按下述步骤进行:
(1)在远程交易系统界面选择“支付密码计算”功能并输入银行账号、业务种类、交易金额、交易日期、凭证号码;
(2)硬件签名设备将通过设备私钥签名的“票据要素”、“支付密码器编号”与“账号”的计算请求发送至支付密码生成服务器;
(3)支付密码生成服务器验证签名,验证通过后,从支付密码后台数据库获取相应的由银行公钥加密的账号密钥、“账号”、账号对称密钥对与“账号序号”数据包,解密,得到账号密钥、账号对称密钥对,通过票据要素、账号密钥和账号对称密钥对产生支付密码,并使用设备公钥对产生的支付密码加密,并发送至远程交易系统;
(4)远程交易系统将接收到的数据包发送至硬件签名设备,硬件签名设备通过设备私钥解密,并显示支付密码以供用户使用。
本发明与现有技术相比,具有结构简单,使用方便,保密性强的特点。本发明适用于网上银行系统或银行自助终端系统等远程交易系统。以硬件签名设备为可信客户端计算平台,采用公钥数字签名技术,结合已经在银行广泛部署的支付密码系统,为用户(包括对公用户和个人用户)提供一种新的、易用的安全票据支付手段。客户利用硬件签名设备对票据要素进行数字签名作为支付密码产生请求,由银行验证签名正确以及客户账户余额足够后产生支付密码,并显示给用户。其支付密码的产生必须经过银行的认可,防止恶意签发空头支票,无法解决支票信用度不足的问题。同时本发明与硬件签名设备实现相关功能,有效降低了用户成本,特别对个体企业扫清了支付密码应用的成本障碍。本发明,一次交易的数字签名产生与本次交易的具体信息密切相关,大大加强了银行端对交易核印的正确性,很好的抵抗了不法黑客分子运用木马攻击等种种方式窃取支付密码,转移用户资产的行为。同时本发明的成功推广应用还将有可能改变目前的传统支付认证模式,减少现金使用,增强国家资金流动的监控能力和税收有重大的社会和经济意义。
附图说明
图1为本发明装置的结构示意框图;
图2为图1的发行时序流程图;
图3为图1的增加账号时序流程图;
图4为图1的支付密码时序流程图;
图5为图1的不更新修改硬件签名设备的发行时序流程图;
图6为图1的不更新修改硬件签名设备的增加账号时序流程图;
图7为图1的不更新修改硬件签名设备的产生支付密码时序流程图;
图8为基于U盾的支付密码装置在网上银行系统中的应用结构示意框图。
具体实施方式
附图为本发明的实施例
下面结合附图和实施例,对发明的内容进一步的详细描述:
参照图1所示,一种基于硬件签名设备的支付密码装置,该装置包括硬件签名设备、用户远程交易系终端、远程交易系统、支付密码核印服务器、支付密码生成服务器、支付密码后台数据库,所述硬件签名设备6将信息正或逆输送到用户远程交易系统终端1,用户远程交易系统终端1将信息正或逆输送到远程交易系统2,远程交易系统2将信息正或逆输送到支付密码生成服务器4,所述支付密码生成服务器4将信息正或逆分别输送到支付密码核印服务器3和支付密码后台数据库5。
以硬件签名设备6为可信客户计算平台,采用公钥数字签名技术,结合已经在银行广泛部署的支付密码系统,为用户(包括对公用户和个人用户)提供一种新的、易用的安全支付手段。
图2为本发明基于硬件签名设备的支付密码装置的发行时序流程图,如图2所示:
(1)在远程交易系统界面选择“发行支付密码器”功能;
(2)硬件签名设备6通过其私钥SKu签名“支付密码器编号”,并将其发送至远程交易系统2;
(3)远程交易系统2将“支付密码器编号”及其签名组成的“发行请求”数据包发送到支付密码生成服务器4;
(4)支付密码生成服务器4验证签名;验证通过后,获取银行公钥PKc;然后通过硬件签名设备6公钥PKu对PKc加密,并发送至远程交易系统2;
(5)远程交易系统2将接收到的数据包发送到硬件签名设备6;硬件签名设备6通过SKu解密该数据包得到PKc,并存储。
图3为本发明基于硬件签名设备的支付密码装置的增加账号时序流程图。如图3所示:
(1)在远程交易系统界面选择“增加账号”功能并选取相应“账号”;
(2)远程交易系统2将“账号”传送到硬件签名设备6,硬件签名设备6通过SKu生成“支付密码器编号”和“账号”的签名,并将“支付密码器编号”、“账号”及其签名组成的“增加账号请求”数据包回传远程交易系统2;远程交易系统2将该数据包发送至支付密码生成服务器4;
(3)支付密码产生服务器4验证签名;验证通过后,支付密码产生服务器4生成“账号密钥对”(即账号密钥SK与账号公钥VK)和“芯片序号ID”;并将“支付密码器编号”、“账号”、“VK”与“ID”发送至支付密码核印服务器3;支付密码核印服务器3产生“账号对称密钥对”(即AK核与AK支)和“账号序号”,并将“AK支”和“账号序号”回传到支付密码生成服务器4;
(4)支付密码生成服务器4通过PKu加密“SK”、“账号”、“AK支”与“账号序号”,并发送到远程交易系统2;
(5)远程交易系统2将接收到的数据包发送硬件签名设备6,硬件签名设备6通过SKu解密数据包得到“SK”、“账号”、“AK支”与“账号序号”,并存储。
图4为本发明基于硬件签名设备的支付密码装置产生支付密码时序流程图:
(1)在远程交易系统界面选择“支付密码计算”功能并输入银行账号、业务种类、交易金额、交易日期、凭证号码等票据要素;
(2)硬件签名设备6通过其PKc加密SK和AK支生成密文,然后将票据要素、密文及其签名(该签名是通过SKu签名票据要素和密文生成)构成支付密码计算请求数据包,并发送给远程交易系统2;
(3)远程交易系统2将支付密码计算请求数据包发送给支付密码生成服务器4;支付密码生成服务器4验证签名,验证通过后,得到票据要素;然后采用SKc解密该数据中密文获取获得SK、AK支,通过票据要素、SK和AK支生成支付密码;最后将产生的支付密码通过PKu加密并发送到远程交易系统2;
(4)远程交易系统2将接收到的数据包发送到硬件签名设备6,硬件签名设备6通过SKu,进行解密,并显示支付密码以供用户使用。
图5为本发明基于硬件签名设备且不更新修改硬件签名设备的支付密码装置的发行时序流程图:
(1)在远程交易系统界面选择“发行支付密码器”功能;
(2)硬件签名设备6通过其私钥SKu签名的“支付密码器编号”,并将其发送至远程交易系统2;
(3)远程交易系统2统将“支付密码器编号”及其签名组成的“发行请求”数据包发送到支付密码生成服务器4;
(4)支付密码生成服务器4验证签名;验证通过后,获取银行公钥PKc;然后通过硬件签名设备公钥PKu对PKc加密,将加密的PKc与“支付密码器编号”发送至支付密码后台数据库5,并存储。
图6为本发明基于硬件签名设备且不更新修改硬件签名设备的支付密码装置的增加账号时序流程图:
(1)在远程交易系统界面选择“增加账号”功能并选取相应“账号”;
(2)远程交易系统2将“账号”传送到硬件签名设备6,硬件签名设备6通过SKu生成“支付密码器编号”和“账号”的签名,并将“支付密码器编号”、“账号”及其签名组成的“增加账号请求”数据包回传远程交易系统2;远程交易系统2将该数据包发送至支付密码生成服务器4;
(3)支付密码产生服务器4验证签名;验证通过后,支付密码产生服务器4生成“账号密钥对”(即账号密钥SK与账号公钥VK)和“芯片序号ID”;并将“支付密码器编号”、“账号”、“VK”与“ID”发送至支付密码核印服务器;支付密码核印服务器3产生“账号对称密钥对”(即AK核与AK支)和“账号序号”,并将“AK支”和“账号序号”回传到支付密码生成服务器4;
(4)支付密码生成服务器4通过PKc加密“SK”、“账号”、“AK支”与“账号序号”,加密后,并发送到支付密码后台数据库5,并存储。
图7为本发明基于硬件签名设备且不更新修改硬件签名设备的支付密码装置的产生支付密码时序流程:
(1)在远程交易系统界面选择“支付密码计算”功能并输入银行账号、业务种类、交易金额、交易日期、凭证号码等票据要素;
(2)硬件签名设备6将通过其SKu签名的“票据要素”、“支付密码器编号”与“账号”的计算请求发送至支付密码生成服务器4;
(3)支付密码生成服务器4验证签名,验证通过后,从支付密码后台数据库5获取相应的由PKc加密的“SK”、“账号”、“AK支”与“账号序号”数据包,解密,得到SK、AK支,通过票据要素、SK和AK支产生支付密码,并使用PKu对产生的支付密码加密,并发送至远程交易系统2;
(5)远程交易系统将接收到的数据包发送至硬件签名设备6;硬件签名设备6通过SKu解密,并显示支付密码以供用户使用。
实施例1
图8为基于U盾的支付密码装置在网上银行系统中的应用:
一、发行
(1)将U盾7插入用户电脑8,登陆网上银行9,在网上银行9界面选择“发行支付密码器”功能;
(2)U盾7通过其私钥SKu签名“支付密码器编号”,并将其发送至网上银行系统2;
(3)网上银行系统9将“支付密码器编号”及其签名组成的“发行请求”数据包发送到支付密码生成服务器4;
(4)支付密码生成服务器4验证签名;验证通过后,获取银行公钥PKc;然后通过U盾7公钥PKu对PKc加密,并发送至网上银行系统9;
(5)网上银行系统9将接收到的数据包发送到U盾7;U盾7通过SKu解密该数据包得到PKc,并存储。
二、增加账号
(1)将U盾7插入用户电脑8,登陆网上银行9,在网上银行9界面选择“增加账号”功能并选取相应“账号”;
(2)网上银行系统9将“账号”传送到U盾7,U盾7通过SKu生成“支付密码器编号”和“账号”的签名,并将“支付密码器编号”、“账号”及其签名组成的“增加账号请求”数据包回传网上银行系统9;网上银行系统9将该数据包发送至支付密码生成服务器4;
(3)支付密码产生服务器7验证签名;验证通过后,支付密码产生服务器4生成“账号密钥对”(即账号密钥SK与账号公钥VK)和“芯片序号ID”;并将“支付密码器编号”、“账号”、“VK”与“ID”发送至支付密码核印服务器3;支付密码核印服务器3产生“账号对称密钥对”(即AK核与AK支)和“账号序号”,并将“AK支”和“账号序号”回传到支付密码生成服务器4;
(4)支付密码生成服务器4通过PKu加密“SK”、“账号”、“AK支”与“账号序号”,并发送到网上银行系统9;
(5)网上银行系统2将接收到的数据包发送U盾7,U盾7通过SKu解密数据包得到“SK”、“账号”、“AK支”与“账号序号”,并存储。
三、计算支付密码
(1)将U盾7插入客户电脑1,登录进入企业网上银行9,选择“支付密码计算”功能,并输入银行账号、业务种类、交易金额、交易日期、凭证号码等票据要素;
(2)U盾7通过其PKc加密SK和AK支生成密文,然后将票据要素、密文及其签名(该签名是通过SKu签名票据要素和密文生成)构成支付密码计算请求数据包,并发送给网上银行系统9;
(3)网上银行系统9将支付密码计算请求数据包发送给支付密码生成服务器4;支付密码生成服务器4验证签名,验证通过后,得到票据要素;然后采用SKc解密该数据中密文获取获得SK、AK支,通过票据要素、SK和AK支生成支付密码;最后将产生的支付密码通过PKu加密并发送到网上银行系统9;
(4)网上银行系统9将接收到的数据包发送到U盾7,U盾7通过SKu,进行解密,并显示支付密码以供用户使用。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和要求保护的范围。
Claims (5)
1.一种基于硬件签名设备的支付密码装置,该装置包括硬件签名设备、用户远程交易系统终端、远程交易系统、支付密码核印服务器、支付密码生成服务器、支付密码后台数据库,其特征在于所述硬件签名设备(6)将信息正或逆输送到用户远程交易系统终端(1),用户远程交易系统终端(1)将信息正或逆输送到远程交易系统(2),远程交易系统(2)将信息正或逆输送到支付密码生成服务器(4),所述支付密码生成服务器(4)将信息正或逆分别输送到支付密码核印服务器(3)和支付密码后台数据库(5)。
2.一种如权利要求1所述的基于硬件签名设备的支付密码装置的应用方法,该应用方法包括发行方法、增加账号方法、计算支付密码方法,其中:
—、所述发行方法,按下述步骤进行:
(1)在远程交易系统界面选择“发行支付密码器”功能;
(2)通过硬件签名设备私钥SKu签名“支付密码器编号”,并将其发送至远程交易系统;
(3)远程交易系统将“支付密码器编号”及其签名组成的“发行请求”数据包发送到支付密码生成服务器;
(4)支付密码生成服务器验证签名;验证通过后,获取银行公钥PKc,然后通过硬件签名设备公钥PKu对银行公钥PKc加密,并发送至远程交易系统;
(5)远程交易系统将接收到的数据包发送到硬件签名设备,硬件签名设备通过设备私钥SKu解密该数据包得到银行公钥PKc,并存储;
二、所述增加账号方法,按下述步骤进行:
(1)在远程交易系统界面选择“增加账号”功能并选取相应“账号”;
(2)远程交易系统将“账号”传送到硬件签名设备,硬件签名设备通过设备私钥SKu生成“支付密码器编号”和“账号”的签名,并将“支付密码器编号”、“账号”及其签名组成的“增加账号请求”数据包回传远程交易系统;远程交易系统将该数据包发送至支付密码生成服务器;
(3)支付密码生成服务器验证签名;验证通过后,支付密码产生服务器生成“账号密钥对”,即账号密钥SK与账号公钥VK,和芯片序号ID,并将“支付密码器编号”、“账号”、账号公钥VK与芯片序号ID发送至支付密码核印服务器,支付密码核印服务器产生账号对称密钥AK,和“账号序号”,并将账号对称密钥AK和“账号序号”回传到支付密码生成服务器;
(4)支付密码生成服务器通过设备公钥PKu加密账号密钥SK、“账号”、账号对称密钥AK与“账号序号”,并发送到远程交易系统;
(5)远程交易系统将接收到的数据包发送硬件签名设备,硬件签名设备通过设备私钥SKu解密数据包得到账号密钥SK、“账号”、账号对称密钥AK与“账号序号”,并存储;
三、所述计算支付密码方法,按下述步骤进行:
(1)在远程交易系统界面选择“支付密码计算”功能并输入银行账号、业务种类、交易金额、交易日期、凭证号码;
(2)硬件签名设备通过银行公钥PKc加密账号密钥SK和账号对称密钥AK生成密文,然后将票据要素、密文及其签名构成支付密码计算请求数据包,并发送给远程交易系统;
(3)远程交易系统将支付密码计算请求数据包发送给支付密码生成服务器,支付密码生成服务器验证签名,验证通过后,得到票据要素,然后采用银行私钥SKc解密该数据中密文获取账号密钥SK、账号对称密钥AK,通过票据要素、账号密钥SK和账号对称密钥AK生成支付密码,最后将产生的支付密码通过设备公钥PKu加密并发送到远程交易系统;
(4)远程交易系统将接收到的数据包发送到硬件签名设备,硬件签名设备通过设备私钥SKu,进行解密,并显示支付密码以供用户使用。
3.根据权利要求2所述基于硬件签名设备的支付密码装置应用方法中的发行方法,当用户不想对硬件签名设备装置进行更新修改或者不想将用户私钥存储在自身硬件签名设备装置中时,其特征还在于按下述步骤进行:
(1)在远程交易系统界面选择“发行支付密码器”功能;
(2)硬件签名设备通过其设备私钥SKu签名的“支付密码器编号”,并将其发送至远程交易系统;
(3)远程交易系统将“支付密码器编号”及其签名组成的“发行请求”数据包发送到支付密码生成服务器;
(4)支付密码生成服务器验证签名;验证通过后,获取银行公钥PKc;然后通过硬件签名设备公钥PKu对银行公钥PKc加密,将加密的银行公钥PKc与“支付密码器编号”发送至支付密码后台数据库,并存储。
4.根据权利要求2所述基于硬件签名设备的支付密码装置应用方法中的增加账号方法,当用户不想对硬件签名设备装置进行更新修改或者不想将用户私钥存储在自身硬件签名设备装置中时,其特征还在于按下述步骤进行:
(1)在远程交易系统界面选择“增加账号”功能并选取相应“账号”;
(2)远程交易系统将“账号”传送到硬件签名设备,硬件签名设备通过设备私钥SKu生成“支付密码器编号”和“账号”的签名,并将“支付密码器编号”、“账号”及其签名组成的“增加账号请求”数据包回传远程交易系统,远程交易系统将该数据包发送至支付密码生成服务器;
(3)支付密码产生服务器验证签名;验证通过后,支付密码产生服务器生成“账号密钥对”,即账号密钥SK与账号公钥VK,和芯片序号ID,并将“支付密码器编号”、“账号”、账号公钥VK与芯片序号ID发送至支付密码核印服务器;支付密码核印服务器产生账号对称密钥AK,和“账号序号”,并将账号对称密钥AK和“账号序号”回传到支付密码生成服务器;
(4)支付密码生成服务器通过银行公钥PKc加密账号密钥SK、“账号”、账号对称密钥AK与“账号序号”加密后,并发送到支付密码后台数据库,并存储。
5.根据权利要求2所述基于硬件签名设备的支付密码装置应用方法中的计算支付密码的方法,当用户不想对硬件签名设备装置进行更新修改或者不想将用户私钥存储在自身硬件签名设备装置中时,其特征还在于按下述步骤进行:
(1)在远程交易系统界面选择“支付密码计算”功能并输入银行账号、业务种类、交易金额、交易日期、凭证号码等票据要素;
(2)硬件签名设备将通过设备私钥SKu签名的“票据要素”、“支付密码器编号”与“账号”的计算请求发送至支付密码生成服务器;
(3)支付密码生成服务器验证签名,验证通过后,从支付密码后台数据库获取相应的由银行公钥PKc加密的账号密钥SK、“账号”、账号对称密钥AK与“账号序号”数据包,解密,得到账号密钥SK、账号对称密钥AK,通过票据要素、账号密钥SK,和账号对称密钥AK产生支付密码,并使用设备公钥PKu对产生的支付密码加密,并发送至远程交易系统;
(4)远程交易系统将接收到的数据包发送至硬件签名设备,硬件签名设备通过设备私钥SKu解密,并显示支付密码以供用户使用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210017367.5A CN102609842B (zh) | 2012-01-19 | 2012-01-19 | 一种基于硬件签名设备的支付密码装置及其应用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210017367.5A CN102609842B (zh) | 2012-01-19 | 2012-01-19 | 一种基于硬件签名设备的支付密码装置及其应用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102609842A CN102609842A (zh) | 2012-07-25 |
| CN102609842B true CN102609842B (zh) | 2016-02-24 |
Family
ID=46527192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210017367.5A Active CN102609842B (zh) | 2012-01-19 | 2012-01-19 | 一种基于硬件签名设备的支付密码装置及其应用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102609842B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014135018A1 (zh) * | 2013-03-06 | 2014-09-12 | 天地融科技股份有限公司 | 一种网络交易方法及系统 |
| CN104253692B (zh) * | 2014-01-21 | 2018-03-23 | 北京印天网真科技有限公司 | 基于se的密钥管理方法和装置 |
| CN104240071B (zh) * | 2014-09-28 | 2018-05-08 | 上海海基业信息技术有限公司 | 一种云支付密码器发行系统及其应用方法 |
| CN107622395B (zh) * | 2017-09-28 | 2020-09-01 | 杭州恒生数据安全技术有限公司 | 支付密码生成的方法、终端、服务器及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101118629A (zh) * | 2007-09-25 | 2008-02-06 | 魏恺言 | 一种银行电子支付安全系统及其处理方法 |
| CN101393628A (zh) * | 2008-11-12 | 2009-03-25 | 北京飞天诚信科技有限公司 | 一种新型的网上安全交易系统和方法 |
| CN101794420A (zh) * | 2009-12-31 | 2010-08-04 | 卓望数码技术(深圳)有限公司 | 一种支付认证方法、终端及系统 |
| CN102202306A (zh) * | 2011-06-13 | 2011-09-28 | 中国电信股份有限公司 | 移动安全认证终端及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BE1011304A3 (fr) * | 1997-07-25 | 1999-07-06 | Banksys | Procede et systeme de paiement par cheque electronique. |
-
2012
- 2012-01-19 CN CN201210017367.5A patent/CN102609842B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101118629A (zh) * | 2007-09-25 | 2008-02-06 | 魏恺言 | 一种银行电子支付安全系统及其处理方法 |
| CN101393628A (zh) * | 2008-11-12 | 2009-03-25 | 北京飞天诚信科技有限公司 | 一种新型的网上安全交易系统和方法 |
| CN101794420A (zh) * | 2009-12-31 | 2010-08-04 | 卓望数码技术(深圳)有限公司 | 一种支付认证方法、终端及系统 |
| CN102202306A (zh) * | 2011-06-13 | 2011-09-28 | 中国电信股份有限公司 | 移动安全认证终端及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102609842A (zh) | 2012-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107038578B (zh) | 基于区块链的数据交易平台中多重签名交易信息处理方法 | |
| JP5721086B2 (ja) | 電子マネーの管理方法 | |
| CN102202300B (zh) | 一种基于双通道的动态密码认证系统及方法 | |
| CN103873244B (zh) | 基于指纹识别的移动支付中的身份认证方法和系统 | |
| CN103714458B (zh) | 基于二维码的移动终端交易加密方法 | |
| CN105900375A (zh) | 用于在认证交易中保护身份的高效方法 | |
| CN1831865B (zh) | 一种基于cpk的电子银行安全认证系统和方法 | |
| CN101576983A (zh) | 一种基于移动终端的电子支付方法和系统 | |
| CN101770619A (zh) | 一种用于网上支付的多因子认证方法和认证系统 | |
| CN111492390A (zh) | 用于数字货币的现金等价设备 | |
| CN102694781B (zh) | 基于互联网的安全性信息交互系统及方法 | |
| TWI591553B (zh) | Systems and methods for mobile devices to trade financial documents | |
| CN101436280A (zh) | 实现移动终端电子支付的方法及系统 | |
| CN102789607A (zh) | 一种网络交易方法和系统 | |
| CN102238193A (zh) | 数据认证方法及使用该方法的系统 | |
| CN101790166A (zh) | 基于手机智能卡的数字签名方法 | |
| CN105162607A (zh) | 一种支付账单凭证的认证方法及系统 | |
| CN101916476A (zh) | 一种基于sd加密卡与近距离无线通信技术相结合的移动数据传输方法 | |
| CN104050567A (zh) | 离线模式下的数据交互方法、终端以及服务器 | |
| CN103903140A (zh) | 一种o2o安全支付方法、系统和一种安全支付后台 | |
| CN104851206A (zh) | 一种基于usbkey的电费在线支付系统 | |
| CN104574652B (zh) | Ic卡排污数据增加、扣减的方法和ic卡 | |
| CN112419021B (zh) | 电子发票验证方法、系统、存储介质、计算机设备、终端 | |
| CN101216915A (zh) | 安全移动支付方法 | |
| CN109242663A (zh) | 一种基于区块链技术的记账方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180202 Address after: 201207 Shanghai City, Pudong New Area Chinese (Shanghai) free trade zone fanchun Road No. 400 Building 1 layer 3 Patentee after: Shanghai haijiye Information Technology Co., Ltd. Address before: 200030 Lingling Road, Xuhui District, Shanghai, room 521, room 583 Patentee before: Haijiye High Technology Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210114 Address after: Room 521, 583 Lingling Road, Xuhui District, Shanghai 200030 Patentee after: SHANGHAI HAIJIYE HIGH TECHNOLOGY Co.,Ltd. Address before: 201207 Pudong New Area, Shanghai, China (Shanghai) free trade trial area, No. 3, 1 1, Fang Chun road. Patentee before: Shanghai haijiye Information Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210210 Address after: Room 1-10705b, SOHO alliance, No.1 Jinye Road, high tech Zone, Xi'an, Shaanxi 710066 Patentee after: Shaanxi Haijiye High-tech Industrial Co.,Ltd. Address before: Room 521, 583 Lingling Road, Xuhui District, Shanghai 200030 Patentee before: SHANGHAI HAIJIYE HIGH TECHNOLOGY Co.,Ltd. |