CN103020825B - 一种基于软体客户端的安全支付认证方法 - Google Patents
一种基于软体客户端的安全支付认证方法 Download PDFInfo
- Publication number
- CN103020825B CN103020825B CN201210516760.9A CN201210516760A CN103020825B CN 103020825 B CN103020825 B CN 103020825B CN 201210516760 A CN201210516760 A CN 201210516760A CN 103020825 B CN103020825 B CN 103020825B
- Authority
- CN
- China
- Prior art keywords
- client
- payment
- token
- certificate
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于软体客户端的安全支付认证方法,包括对客户端运行环境进行可信授权,即提取客户端环境的机器数字指纹,在此基础上产生原始密令、客户端数字证书,客户端向认证服务器提交原始密令,认证服务器认证提交者身份,产生对应的服务器密钥;进行支付时,客户端要求进行支付认证;认证服务器验证用户合法性后产生“挑战”随机数,并加入支付信息,采用可逆加密算法生成请求支付令牌,发送给客户端;客户端接收请求支付令牌后进行解密,客户端显示支付信息,用户确认支付信息并输入支付密码等步骤;本发明对挑战-应答支付认证方式进行改进,解决了usbkey硬件介质传递、成本给推广带来的限制问题;还解决了安全系统性漏洞的问题。
Description
【技术领域】
本发明涉及一种安全支付认证方法。
【背景技术】
在网络支付领域,通常的安全支付技术手段包括以下:
1)手机动态口令的安全支付方法
这是基于手机绑定的安全支付技术。其主要机理是:当需要时由服务器端产生交易码(该校验码可认为一种特殊的动态密码),通过网络以外的渠道进行发送,安全级别高,但存在着短信滞后、需支付短信费用的问题。
2)基于数字证书身份认证的安全支付方法
其主要机理是由权威公正的第三方机构(如CA中心)签发的证书。通过加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。主要存在着操作繁琐,浏览器兼容性差异、以及私钥证书的传递比较麻烦等方面的问题。
3)基于动态口令身份认证的安全支付方法
动态口令身份认证机理是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次。目前主要有基于时间同步机制的、基于事件同步机制的和基于挑战/应答(异步)机制三种技术模式。动态口令应用基本特征是,用户必须持有一个用于产生动态口令的设备,用设备产生动态口令后,交给应用系统,再由应用系统转交认证系统认证。
动态口令身份认的安全性相对较高,但在特定应用场景下仍然存在着诸如安全漏洞方面的问题。例如:一旦用户输入“动态密码”并通过网络传送,位于用户与网银服务器通信通道间的黑客便可通过键盘监听、内存读取等方式将其截获,使用户无法完成登录,并造成网络连接断开、连接超时等假象;另一方面黑客利用截获的“动态密码”假冒用户登录到网银,肆意作案,使用户蒙受损失。
4)挑战-应答的安全支付方法
挑战-应答方法主要机理是通过服务器向支付方发送一个一次性随机数(挑战),如果收到支付方发来的应答消息中包含该一次性随机数,则确认该支付方的认证。在现阶段,基于挑战-应答身份认证的具体应用一般都借助于USBKey的硬件客户端来实现,其主要存在以下问题:
a)采用挑战-应答认USBkey证方式,USBKey传递需借助实体渠道,此外丢失与维护成本都较高,制约了其的推广与应用;
b)采用挑战-应答认USBkey证方式,其认证过程对用户来说完全透明,存在系统性漏洞,该系统性漏洞描述如下:
●用户登录钓鱼网站,准备输入密码前,攻击方伪造用户向服务器发出认证请求;
●攻击方截获服务器反馈的挑战;
●通过钓鱼网站,用截取服务器的挑战诱导客户端发出挑战应答令牌;
●攻击方截获对应的挑战应答令牌;
●向服务器提交挑战应答令牌。
【发明内容】
本发明要解决的技术问题,在于提供一种基于软体客户端的安全支付认证方法,对挑战-应答支付认证方式在电子商务网络支付过程中存在的局限性进行改良,解决了usbkey硬件介质传递、成本给推广带来的限制问题;其次,当客户在支付时需对支付信息进行二次确认,解决了上述的安全系统性漏洞的问题。
本发明是这样实现的:一种基于软体客户端的安全支付认证方法,其包括如下步骤:
步骤1、启动客户端,判断客户端运行环境是否已经通过可信授权,若是,客户端正常运行,并进行步骤3;若否,进入步骤2;
步骤2、认证服务器通过手机动态口令机制对客户端运行环境进行可信授权,即:
提取客户端环境的机器数字指纹,在此基础上产生原始密令、客户端数字证书;
客户端向认证服务器提交原始密令,认证服务器通过手机动态口令机制认证提交者身份,认证通过后产生对应的服务器密钥;
并存储机器数字指纹和服务器密钥,之后回到步骤1;
步骤3、进行支付时,客户端向认证服务器发出请求,要求进行支付认证;
步骤4、认证服务器验证用户合法性后产生″挑战″随机数,并加入支付信息,采用可逆加密算法生成请求支付令牌,发送给客户端;
步骤5、客户端接收请求支付令牌后进行解密,客户端显示支付信息,用户确认支付信息并输入支付密码;
步骤6、客户端提取支付令牌中的种子密钥,提取机器数字指纹、并载入客户端数字证书、用户输入的支付密码形成”组合密钥算子”,在此基础上利用特定的加密算法计算出应答数,生成、提交挑战应答令牌;
步骤7、认证服务器将服务端“挑战”随机数、客户端的机器数字指纹进行MD5非对称加密,并根据用户服务器密钥进行RSA运算;对挑战应答令牌中包含“挑战”随机数、客户端的机器数字指纹的MD5非对称加密,并利用客户端密钥进行RSA运算;将二者的运算结果进行比较,若两者相同则可确认其支付应答令牌真实性,即认证成功,否则为认证失败;
步骤8、认证服务器通知客户支付或认证成功或失败。
进一步的,本发明所述步骤6中“组合密钥算子”形成方法具体是对种子密钥,机器数字指纹、客户端数字证书、支付密码进行RSA对称加密形成。
进一步的,本发明所述步骤6中特定的加密算法具体是RSA、MD5、AzDGCrypt、DES加密算法的至少一种或至少两种的组合。
本发明具有如下优点:
1)通过软体客户端取代了USBkey硬件介质,满足了传播、管理的便捷性,同时控制了成本;
2)设计了基于手机短信验证客户端运行环境可靠的环节,将软件客户端、软件运行环境与客户进行绑定,事实上起到了利用硬件(用户手机)校验支付身份的作用;
3)将支付信息通过软体客户端直接向客户呈现,以客户对该支付信息确认为前提形成支付确认令牌,即该令牌只对用户确认过的支付信息有效,避免了该令牌被截取带给用户的损失。
【附图说明】
下面参照附图结合实施例对本发明作进一步的说明。
图1为本发明方法执行流程图。
【具体实施方式】
如图1所示,本发明基于软体客户端的安全支付认证方法,包括如下步骤:
步骤1、启动客户端,判断客户端运行环境是否已经通过可信授权,若是,客户端正常运行,并进行步骤3;若否,进入步骤2;
步骤2、认证服务器通过手机动态口令机制对客户端运行环境进行可信授权,即:
提取客户端环境的机器数字指纹,在此基础上产生原始密令、客户端数字证书;
客户端向认证服务器提交原始密令,认证服务器通过手机动态口令机制认证提交者身份,认证通过后产生对应的服务器密钥;
存储机器数字指纹和服务器密钥,之后回到步骤1;
步骤3、进行支付时,客户端向认证服务器发出请求,要求进行支付认证;
步骤4、认证服务器验证用户合法性后产生″挑战″随机数,并加入支付信息,采用可逆加密算法生成请求支付令牌,发送给客户端;
步骤5、客户端接收请求支付令牌后进行解密,客户端显示支付信息,用户确认支付信息并输入支付密码;
步骤6、客户端提取支付令牌中的种子密钥,提取机器数字指纹、并载入客户端数字证书、用户输入的支付密码形成“组合密钥算子”,在此基础上利用特定的加密算法计算出应答数,生成、提交挑战应答令牌;其中,“组合密钥算子”可以是对种子密钥,机器数字指纹、客户端数字证书、支付密码进行RSA对称加密形成;所述的特定的加密算法可以是RSA、MD5、AzDGCrypt、DES加密算法的至少一种或至少两种的组合。
步骤7、认证服务器将服务端“挑战”随机数、客户端的机器数字指纹进行MD5非对称加密,并根据用户服务器密钥进行RSA运算;对挑战应答令牌中包含“挑战”随机数、客户端的机器数字指纹的MD5非对称加密,并利用客户端密钥进行RSA运算;将二者的运算结果进行比较,若两者相同则可确认其支付应答令牌真实性,即认证成功,否则为认证失败;
步骤8、认证服务器通知客户支付(或认证)成功或失败。
综上所述,本发明通过软体客户端取代了USBkey硬件介质,满足了传播、管理的便捷性,同时控制了成本;设计了基于手机短信验证客户端运行环境可靠的环节,将软件客户端、软件运行环境与客户进行绑定,事实上起到了利用硬件(用户手机)校验支付身份的作用;将支付信息通过软体客户端直接向客户呈现,以客户对该支付信息确认为前提形成支付确认令牌,即该令牌只对用户确认过的支付信息有效,避免了该令牌被截取带给用户的损失。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。
Claims (3)
1.一种基于软体客户端的安全支付认证方法,其特征在于:包括如下步骤:
步骤1、启动客户端,判断客户端运行环境是否已经通过可信授权,若是,客户端正常运行,并进行步骤3;若否,进入步骤2;
步骤2、认证服务器通过手机动态口令机制对客户端运行环境进行可信授权,即:
提取客户端环境的机器数字指纹,在此基础上产生原始密令、客户端数字证书;
客户端向认证服务器提交原始密令,认证服务器通过手机动态口令机制认证提交者身份,认证通过后产生对应的服务器密钥;
认证服务器存储机器数字指纹和服务器密钥,之后回到步骤1;
步骤3、进行支付时,客户端向认证服务器发出请求,要求进行支付认证;
步骤4、认证服务器验证用户合法性后产生“挑战”随机数,并加入支付信息,采用可逆加密算法生成请求支付令牌,发送给客户端;
步骤5、客户端接收请求支付令牌后进行解密,客户端显示支付信息,用户确认支付信息并输入支付密码;
步骤6、客户端提取支付令牌中的种子密钥,提取机器数字指纹、并载入客户端数字证书、用户输入的支付密码形成“组合密钥算子”,在此基础上利用特定的加密算法计算出应答数,生成、提交挑战应答令牌;
步骤7、认证服务器将服务端“挑战”随机数、客户端的机器数字指纹进行MD5非对称加密,并根据用户服务器密钥进行RSA运算;对挑战应答令牌中包含的“挑战”随机数、客户端的机器数字指纹进行MD5非对称加密,并利用客户端密钥进行RSA运算;将二者的运算结果进行比较,若两者相同则可确认其支付应答令牌真实性,即认证成功,否则为认证失败;
步骤8、认证服务器通知客户支付或认证成功或失败。
2.根据权利要求1所述的一种基于软体客户端的安全支付认证方法,其特征在于:所述步骤6中“组合密钥算子”形成方法具体是对种子密钥,机器数字指纹、客户端数字证书、支付密码进行RSA对称加密形成。
3.根据权利要求1或2所述的一种基于软体客户端的安全支付认证方法,其特征在于:所述步骤6中特定的加密算法具体是RSA、MD5、AzDGCrypt、DES加密算法的至少一种或至少两种的组合。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210516760.9A CN103020825B (zh) | 2012-12-05 | 2012-12-05 | 一种基于软体客户端的安全支付认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210516760.9A CN103020825B (zh) | 2012-12-05 | 2012-12-05 | 一种基于软体客户端的安全支付认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103020825A CN103020825A (zh) | 2013-04-03 |
| CN103020825B true CN103020825B (zh) | 2016-05-11 |
Family
ID=47969403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210516760.9A Expired - Fee Related CN103020825B (zh) | 2012-12-05 | 2012-12-05 | 一种基于软体客户端的安全支付认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103020825B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104021469A (zh) * | 2014-06-13 | 2014-09-03 | 捷德(中国)信息科技有限公司 | 进行支付交易的方法、设备以及系统 |
| CN105337938A (zh) * | 2014-07-28 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 一种合法性验证方法及装置 |
| US9363267B2 (en) * | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
| WO2016129863A1 (en) | 2015-02-12 | 2016-08-18 | Samsung Electronics Co., Ltd. | Payment processing method and electronic device supporting the same |
| WO2016137277A1 (en) | 2015-02-27 | 2016-09-01 | Samsung Electronics Co., Ltd. | Electronic device providing electronic payment function and operating method thereof |
| KR102460459B1 (ko) | 2015-02-27 | 2022-10-28 | 삼성전자주식회사 | 전자 장치를 이용한 카드 서비스 방법 및 장치 |
| CN106411815B (zh) * | 2015-07-29 | 2019-06-07 | 腾讯科技(深圳)有限公司 | 一种数据转移方法、移动终端、服务器以及系统 |
| CN105119933B (zh) * | 2015-09-11 | 2018-12-28 | 中国农业银行股份有限公司 | 一种利用多移动终端进行联机交易的处理方法 |
| CN105262779B (zh) | 2015-11-24 | 2020-09-08 | 深圳市腾讯计算机系统有限公司 | 身份认证方法、装置及系统 |
| CN105931053A (zh) * | 2016-04-29 | 2016-09-07 | 乐视控股(北京)有限公司 | 鉴权认证方法、装置及电子设备 |
| CN107767147A (zh) * | 2016-08-15 | 2018-03-06 | 平安银行股份有限公司 | 优惠信息的处理方法、装置及终端设备 |
| CN106506453B (zh) * | 2016-10-09 | 2020-10-09 | 南京邮电大学 | 基于快速匹配和完整性检测的电力大数据传输方法及系统 |
| CN106789096A (zh) * | 2017-03-30 | 2017-05-31 | 山东超越数控电子有限公司 | 一种生物特征密码认证方法和装置 |
| CN108737354B (zh) * | 2017-04-25 | 2020-11-10 | 苏宁易购集团股份有限公司 | 一种移动支付安全保护的实现方法及其系统 |
| CN109120396B (zh) * | 2018-07-10 | 2021-11-26 | 成都安恒信息技术有限公司 | 一种基于挑战应答码的数据加解密系统的使用方法 |
| CN110855444A (zh) * | 2019-11-01 | 2020-02-28 | 北京印刷学院 | 一种基于可信第三方的纯软件cava身份认证方法 |
| CN112150151B (zh) * | 2020-10-09 | 2023-07-14 | 平安科技(深圳)有限公司 | 安全支付方法、装置、电子设备及存储介质 |
| CN114679293A (zh) * | 2021-06-15 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于零信任安全的访问控制方法、设备及存储介质 |
| CN115994760B (zh) * | 2023-03-20 | 2023-08-25 | 支付宝(杭州)信息技术有限公司 | 第三方支付业务的实现方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431410A (zh) * | 2007-11-09 | 2009-05-13 | 康佳集团股份有限公司 | 一种网络游戏客户端与服务器集群的认证方法 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN101834946A (zh) * | 2010-05-11 | 2010-09-15 | 丁峰 | 一种进行安全手机支付的方法和进行安全支付的手机 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8060413B2 (en) * | 2008-03-14 | 2011-11-15 | Research In Motion Limited | System and method for making electronic payments from a wireless mobile device |
-
2012
- 2012-12-05 CN CN201210516760.9A patent/CN103020825B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431410A (zh) * | 2007-11-09 | 2009-05-13 | 康佳集团股份有限公司 | 一种网络游戏客户端与服务器集群的认证方法 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
| CN101834946A (zh) * | 2010-05-11 | 2010-09-15 | 丁峰 | 一种进行安全手机支付的方法和进行安全支付的手机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103020825A (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103020825B (zh) | 一种基于软体客户端的安全支付认证方法 | |
| EP2859489B1 (en) | Enhanced 2chk authentication security with query transactions | |
| CA2875503C (en) | Enterprise triggered 2chk association activation | |
| CN111277597B (zh) | 用于在认证交易中保护身份的设备、系统和方法 | |
| US8763097B2 (en) | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication | |
| CN101393628B (zh) | 一种新型的网上安全交易系统和方法 | |
| CN109039652B (zh) | 一种数字通证的生成及应用方法 | |
| US20120284787A1 (en) | Personal Secured Access Devices | |
| WO2015109958A1 (zh) | 一种基于协商密钥的数据处理方法和手机 | |
| CN111539032B (zh) | 一种抗量子计算破解的电子签名应用系统及其实现方法 | |
| Nashwan et al. | Mutual chain authentication protocol for SPAN transactions in Saudi Arabian banking | |
| WO2011060739A1 (zh) | 一种安全系统及方法 | |
| Ahmed et al. | Mutual authentication for mobile cloud computing: Review and suggestion | |
| Chen et al. | Building general-purpose security services on EMV payment cards | |
| Bajpai | Impact of M-Commerce in Mobile Transaction’s Security | |
| JP4148465B2 (ja) | 電子価値流通システムおよび電子価値流通方法 | |
| WO2011060738A1 (zh) | 一种确认cpu卡内数据的方法 | |
| Wang et al. | Security research on j2me-based mobile payment | |
| CN117709958A (zh) | 支付方法、装置、非易失性存储介质及计算机设备 | |
| Munjal et al. | Low Cost Secure Transaction Model for Financial Services | |
| CN113676468A (zh) | 一种基于消息验证技术的三方增强认证系统设计方法 | |
| WO2015110037A1 (zh) | 一种双通道身份认证的方法和系统 | |
| Li | Research on E-Commerce Secure Technology | |
| KADIRIRE | Online transactions’ security’ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 362300 Fujian city of Quanzhou province Nanan Kang Mei Zhen Cao Pu Baofu Industrial Zone Building on the third floor Applicant after: Fujian Paihuoyuan Science and Technology Information Co., Ltd Address before: 362300 Fujian city of Quanzhou province Nanan Kang Mei Zhen Cao Pu Baofu Industrial Zone Building on the third floor Applicant before: Fujian Paihuoyuan Science and Technology Information Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160511 Termination date: 20171205 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |