CN103489101A - 基于融合通信技术的安全电子支付系统及支付方法 - Google Patents
基于融合通信技术的安全电子支付系统及支付方法 Download PDFInfo
- Publication number
- CN103489101A CN103489101A CN201210195302.XA CN201210195302A CN103489101A CN 103489101 A CN103489101 A CN 103489101A CN 201210195302 A CN201210195302 A CN 201210195302A CN 103489101 A CN103489101 A CN 103489101A
- Authority
- CN
- China
- Prior art keywords
- payment
- message
- network
- business platform
- fused business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/16—Payments settled via telecommunication systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
本发明涉及基于融合通信技术的安全电子支付系统,其包括终端设备(200)和金融电子支付中心(300),其特征在于,所述安全电子支付系统还包括融合业务平台(100),所述融合业务平台包括终端融合子系统(110)、网络融合子系统(120)和应用融合子系统(130)。所述终端融合子系统包括终端接口管理模块(111)和统一界面管理模块(112)。所述网络融合子系统(120)包括媒体网关(121)和加密机(122)。所述应用融合子系统(130)包括信息融合模块(131)、应用管理模块(132)和融合支付模块(133)。所述终端设备(200)具有统一支付界面和客户端安全支付装置。所述加密机和所述客户端安全支付装置能够对支付信息进行安全加密。
Description
技术领域
本发明的技术领域为支付方案、体系结构或协议(G06Q 20/00),其包括凭此可在商户、银行、用户之间以及有时在第三方之间进行支付的过程;该过程通常包括对所涉及的所有当事人的核实与认证。
具体地,本发明涉及基于融合通信技术的安全电子支付系统,特别地,本发明涉及基于第四代网络的融合通信技术的安全电子支付系统。
本发明还涉及融合业务平台。本发明还涉及基于融合通信技术的安全电子支付方法。
背景技术
随着互联网电子商务在本世纪头十年中的强劲发展,网上购物、在线交易对于消费者而言已经从一个新鲜未知的事物变成了日常生活的一部分。在线网络电子支付做为电子商务的重要组成之一,成为网络商务发展的必然趋势。
与此同时,移动设备、尤其是手持设备、特别是手机的智能化带来了移动电子商务的迅速兴趣起,移动支付业务因其方便性也迅速得到大众的认可。
然而在移动支付领域,一直面临着以下技术问题:
支付终端局限性。基于安全性和智能应用的需要,目前常用的支付终端仅限于智能手机,而目前统计使用智能手机的用户占有率只有37%,更多的用户无法接入服务。
支付终端网络覆盖率低、信号弱。由于移动终端设备(200)本身的限制和运营网络的建设不足,不具备高速的链接速度与全面的网络覆盖,受限于指定的运营商网络状况。此外由于网络宽带的限制,制约着业务的多样性和用户使用体验性。
另外,广播电视网由单向信息传播迅速向双向互动传输方式的转变迅速开启了信息传播的新篇章,电信网、广播电视网、互联网三网融合在技术上已成为可能,在电子商务发展的潮流中已是势在必行,电视购物在电视智能化的发展中同样扩大了电子支付的新疆域。
如何在种类众多的终端设备(200)和异常复杂的网络物理环境下开展简单一致的电子支付业务一直是电子商务的技术发展的一个重要技术领域。
现有技术中公开了大量的在电信网络中实现电子支付的技术方案,在互联网中实现电子支付的技术方案,在广播电视网中实现支付的技术方案。
专利文献CN201010146089.4公开一种万能支付平台,其试着解决这样的技术问题:现有的电脑支付系统只提供支付功能,并且只针对第三方支付平台提供的支付服务范围内。在现有的提供第三方支付服务的平台中,没有能让用户使用第三方支付平台账户支付时,直接支付给其他第三方支付平台的账户以及其他第三方支付平台支持支付的网站的支付自动中介功能;消费者使用一种第三方支付平台时不能够得到直接为其他第三方支付平台提供的服务支付的功能。然而,专利文献CN201010146089.4没有公开电子支付的业务流程的网络物理环境的技术方案的实现,并且该专利文献并不涉及银联处理系统的支付平台。
专利文献CN201110235924.6公开一种物联网支付终端,通过系统集成的方式,来实现集多种读卡设备于一体,从而解决现有技术中读卡设备过多、安装不便而且读卡过程复杂等问题。专利文献CN201110235924.6公开的技术方案没有涉及手机终端、多媒体电话机终端等其它用户终端。
专利文献CN200910247630.8公开一种提供电子支付系统及其支付方法,对现有终端的移动性与便捷性提供更有力的支持,可以随身携带,随地随时支付费用,解决网上交易的安全性问题与操作问题以及提供多元化的移动网络运用技术。专利文献CN200910247630.8公开的技术方案并未涉及物理的网络环境的具体细节。
专利文献CN200810242105.2所要解决的技术问题是提供一种对融合通信业务定制能力较强,使用灵活,同时又基于IMS网络(5),利用了IMS网络(5)资源,定制成本较低的融合通信业务网络平台、IMS代理服务器、企业网络平台、及在其基础上实现融合通信业务请求的方法。专利文献CN200810242105.2并未涉及电子支付的技术方案。
专利文献CN200610007425.0在于需要提供一种简单并且可以防止iFC冲突的IMS业务触发方法以及IMS网络(5)。专利文献CN200810242105.2并未涉及电子支付的技术方案。
专利文献CN201110314015.1公开一种移动支付的方法、系统和终端设备(200),旨在解决现有技术中通过互联网或者移动互联网进行支付,交易数据容易遭到拦截、盗取、篡改,安全性低;通过WIFI、蓝牙和红外线进行支付,效率低,通过射频技术进行支付,在现有移动终端上需要增加硬件,成本高,难以推广的技术问题。专利文献CN201110314015.1所用的解决方法是以声波的方式建立数据连接和进行数据交换。
专利文献CN201110333662.7提供一种移动支付平台的支付方法,旨在解决现有的技术方案的移动支付平台的安全性低的问题。
然而,在电子网络发展到今天,接入设备和接入方式的多样化以及网络类型的不同导致网络物理环境非常复杂,在这样的物理环境中实现安全、可靠和一致性的电子支付业务,需要创新地找到更加有效的解决方案。
图1示出已有技术中的第三方电子支付系统的委托关系交易的支付流程如下:
1)终端用户(买方)将支付请求发送给第三方支付平台;
2)第三方支付平台根据服务提供商(卖方)的参数信息判断是否需要服务提供商确认:在需要的情况下,第三方支付平台将支付请求发送给服务提供商;若无需转发则直接进行第4步;
3)服务提供商将建立委托关系交易的应答消息发送给第三方支付平台;
4)第三方支付平台将应答消息转发给终端用户,返回建立委托关系的结果
由于终端用户在第三方支付平台拥有资金帐户,因此在交易时不需要与银行系统建立通讯连接。第三方支付平台出于自身资金流转的需要,可以定期地与银行进行通讯连接,处理资金流转。现有的第三方支付平台多是建立在互联网中,众多移动终端设备未能使用这种第三方支付服务,没有在网络和应用层面上提供统一的支付服务。
图2示出已有技术中的银联电子支付系统的委托关系交易的支付流程;
1)交易发起方(买方)将建立委托关系交易请求发送给银联处理系统;
2)银联处理系统将请求消息发送给发卡方(银行);
3)发卡方向银联处理系统返回交易应答;
(100)发卡方应检查持卡人身份发、账户有效性等关键信息,审核通过后发送应答给银联处理系统
(2)如果发卡方审查未通过审核或者返回应答出错(例如应答超时或应答MAC校验出错),则拒绝该交易
4)银联处理系统根据SP参数信息判断是否需要SP确认:在需要的情况下,银联处理系统将建立委托关系交易请求转发给SP;若无需转发则直接进行第6步;
5)SP(服务提供商)将建立委托关系交易的应答消息发送给第三方银联处理系统;
6)银联处理系统将应答消息转发给交易发起方,返回建立委托关系的结果;
清楚的是,交易发起方使用的是保存在银行卡中的资金,因此在每次交易时需要与银行建立通讯连接。银联处理系统在该交易中为受托方的角色。通过银联处理系统进行交易支付的优点是委托方不需要面对各个银行的电子支付系统,流程简便。
然而,对于终端客户(本文中也称为交易发起方,买方)来说,生活和工作中可通过网上支付完成的事务越来越多,但是网上完成各类事务的入口非常多,管理和保存众多的网络账户和密码是一项挑战,而且非常麻烦。银联处理系统统一了银行支付服务,但是也没有在网络和业务层面向终端客户提供统一的服务。
发明内容
本发明的目的在于,为解决电子网络的接入设备和接入方式的多样化以及网络类型的不同带来的电子支付的实施复杂性,提出基于融合通信技术的安全电子支付系统,从而在电信网、广播电视网、互联网三大电子网络中实现统一的电子支付业务,简化了电子支付的物理实现,为提高电子支付的可靠性和安全性提供了基础技术和可能性。
为此,本发明提出在终端设备、网络系统和应用服务三个层面进行整合并统一到一个平台中的技术解决方案——基于融合通信技术的安全电子支付系统,其包括终端设备和金融电子支付中心,其特征在于,所述安全电子支付系统还包括融合业务平台,
所述融合业务平台包括终端融合子系统、网络融合子系统和应用融合子系统;
●所述终端融合子系统用于使所述融合业务平台适配于各类有线的和/或无线的终端设备,并且,所述终端融合子系统包括终端接口管理模块和统一界面管理模块;
●所述网络融合子系统用于使所述融合业务平台适配于各类有线的和/或无线的网络,并且,所述网络融合子系统包括媒体网关和加密机,其中,所述媒体网关实现移动通讯网络和/或广播电视网络与宽带互联网络建立信息数据连接,所述加密机用于对信息数据进行安全加密、认证、签名;
●所述应用融合子系统用于使所述融合业务平台适配于网络中的各类应用服务,所述应用服务由应用服务平台提供,并且,所述应用融合子系统包括信息融合模块、应用管理模块和融合支付模块;
所述终端设备具有统一支付界面和客户端安全支付装置;
所述加密机和所述客户端安全支付装置能够对支付信息进行安全加密;
所述终端设备能够通过网络和所述媒体网关与所述融合业务平台建立第一信息数据连接,所述终端接口管理模块管理所述第一信息数据连接;所述融合业务平台能够通过金融专线网络与所述金融电子支付中心建立第二信息数据连接,所述融合支付模块管理所述第二信息数据连接;并且,所述融合业务平台能够与所述应用服务平台建立第三信息数据连接,所述应用融合子系统的应用管理模块能够管理所述第三信息数据连接,并且所述信息融合模块用于整合来自各个应用服务平台的信息数据;
所述终端设备的统一支付界面能够向所述融合业务平台发送支付请求报文,所述终端融合子系统的统一界面管理模块接收所述支付请求报文,并传送至所述融合支付模块和/或加密机,并且,所述支付请求报文由所述融合支付模块发送至所述金融电子支付中心;来自所述金融电子支付中心的交易响应报文按相反的顺序传送到所述终端设备。
根据本发明的另一方面,本发明提出网络电子支付方法,其用于上述的安全电子支付系统,其特征在于,所述网络电子支付方法包括以下步骤:
1)所述终端用户将支付请求报文发送给所述融合业务平台;
2)所述融合业务平台将所述支付请求报文发送给所述金融电子支付中心;
3)所述金融电子支付中心向融合业务平台返回交易应答报文;
4)所述融合业务平台根据所述服务提供商的参数信息判断是否需要所述服务提供商确认:在需要的情况下,所述融合业务平台将请求确认报文发送给所述服务提供商;若无需转发则直接进行第6)步;
5)所述服务提供商将确认应答报文发送给所述融合业务平台;
6)所述融合业务平台将交易确认报文发送给所述终端用户。
本发明还涉及融合业务平台,其用于基于融合通信技术的安全电子支付系统中,所述安全电子支付系统包括终端设备和金融电子支付中心,其特征在于:所述融合业务平台包括终端融合子系统、网络融合子系统和应用融合子系统;
●所述终端融合子系统用于使所述融合业务平台适配于各类有线的和/或无线的终端设备,并且,所述终端融合子系统包括终端接口管理模块和统一界面管理模块;
●所述网络融合子系统用于使所述融合业务平台适配于各类有线的和/或无线的网络,并且,所述网络融合子系统包括媒体网关和加密机,其中,所述媒体网关实现移动通讯网络和/或广播电视网络与宽带互联网络建立信息数据连接,所述加密机用于对信息数据进行安全加密、认证、签名;
●所述应用融合子系统用于使所述融合业务平台适配于网络中的各类应用服务,所述应用服务由应用服务平台提供,并且,所述应用融合子系统包括信息融合模块、应用管理模块和融合支付模块;
所述终端设备具有统一支付界面和客户端安全支付装置;
所述加密机和所述客户端安全支付装置能够对支付信息进行安全加密;
所述终端设备能够通过网络和所述媒体网关与所述融合业务平台建立第一信息数据连接,所述终端接口管理模块管理所述第一信息数据连接;所述融合业务平台能够通过金融专线网络与所述金融电子支付中心建立第二信息数据连接,所述融合支付模块管理所述第二信息数据连接;并且,所述融合业务平台能够与所述应用服务平台建立第三信息数据连接,所述应用融合子系统的应用管理模块能够管理所述第三信息数据连接,并且所述信息融合模块用于整合来自各个应用服务平台的信息数据;
所述终端设备的统一支付界面能够向所述融合业务平台发送支付请求报文,所述终端融合子系统的统一界面管理模块接收所述支付请求报文,并传送至所述融合支付模块和/或加密机,并且,所述支付请求报文由所述融合支付模块发送至所述金融电子支付中心;来自所述金融电子支付中心的交易响应报文按相反的顺序传送到所述终端设备。
附图说明
参照附图,本发明的特征、优点和特性通过对下文的具体实施方式的描述得以更好地理解,附图中:
图1:已有技术中的第三方电子支付系统的一种支付流程的示意图;
图2:已有技术中的银联电子支付系统的委托关系交易的支付流程的示意图;
图3:本发明的基于融合通信技术的安全电子支付系统的一种支付流程的示意图;
图4:本发明的融合业务平台的核心架构示意图;
图5:支付报文的数据结构示意图;
图6:按照本发明的加密的支付报文的数据结构示意图;
图7:本发明的防重播欺骗装置的工作原理示意图;
图8:本发明的报文查序部件的判断报文的真实有效性的算法。
在附图中,相同的数字标记指示相同的元件或组件,不同的数字标记指示不同的元件或组件,其中:
100 融合业务平台;
110 终端融合子系统;
111 终端接口管理模块;
112 统一界面管理模块;
120 网络融合子系统;
121 媒体网关;
122 加密机;
130 应用融合子系统;
131 信息融合模块;
132 应用管理模块;
133 融合支付模块;
200 终端设备;
300 金融电子支付中心;
400 应用服务平台;
具体实施方式
如图3和4所示,本发明提出融合支付的技术方案,基于融合业务平台,实现终端设备、网络系统、应用服务的整体融合。本发明的基于融合通信技术的安全电子支付系统包括终端设备200、融合业务平台100和金融电子支付中心300。在传统的电子支付系统中加入融合业务平台100,将业务融合、网络融合和终端融合三层面整合在一个平台中,对终端用户来说,不再为应用服务提供平台的众多用户帐号和密码、以及众多的银行帐号和密码而烦恼,使用统一的用户名和密码及相应的安全措施,登录融合业务平台100就能完成从购物到支付的全套服务。
为此,所述融合业务平台包括终端融合子系统110、网络融合子系统120和应用融合子系统130。可以理解的是,所述融合业务平台的物理实现是众多的服务器、网络设备和设置、存储并运行其中的功能模块、业务流程、控制电路和控制模块等。如何清晰地组织这些基础设施来实现本发明的目的,这需要在基础设施上开发新的功能模块、业务流程、控制电路和控制模块。为此,首先按面向的对象将融合业务平台划分为三个子系统:面向终端设备的终端融合子系统110、面向物理网络的网络融合子系统120和面向应用服务的应用融合子系统130,这种清晰的区分有利于物理上实现所述融合业务平台。所述三个子系统通过高速网络例如光纤网络物理上连接在一起。优选地,所述子系统通过IP网络连接在一起。
所述终端融合子系统110用于使所述融合业务平台100适配于各类有线的和/或无线的终端设备200,并且,所述终端融合子系统包括终端接口管理模块111和统一界面管理模块112。
终端设备主要分为三类:电脑类例如平板电脑、笔记本电脑、台式电脑、工作站等,它们直接接入互联网;手机类例如多媒体电话、2G智能手机、3G手机、4G手机和掌上电脑等,它们一般首先接入无线移动通讯网络和有线电信网络;电视机类例如液晶电视机、等离子电视机和背投电视机等,它们首先接入广播电视网络。
可选地,所述终端设备200包括IP多媒体电话终端、家庭信息机和智能移动终端。
所述终端接口管理模块111通过网络协议管理各类终端设备与所述融合业务平台100的连接。具体地,所述终端接口管理模块111具有:与相应的广播电视网络的媒体网关连接的终端接口,用于与电视机类终端设备相连,实现网络层、应用层上的连接;与移动通讯网络的媒体网关连接的终端接口,用于与手机类终端设备实现物理连接;与电脑类终端设备相连接的终端接口,其可以通过互联网网关或直接与电脑类终端连接。
并且,所述统一界面管理模块112管理发布或安装在各类终端设备上的操作界面。所述操作界面主要有统一支付界面、分类的增殖业务界面和资讯类界面。
所述网络融合子系统120用于使所述融合业务平台适配于各类有线的和/或无线的网络,并且,所述网络融合子系统120包括媒体网关121和加密机122,其中,所述媒体网关121实现移动通讯网络和/或广播电视网络与宽带互联网络建立信息数据连接,所述加密机122用于对信息数据进行安全加密、认证、签名。
目前,三大网络系统互联网、通讯网络和广播电视网络通过相应的媒体网关实现互联。本发明的融合业务平台100基于IP网络实现,互联网是IP网络,可以使用或不使用互联网网关实现连接,但要与通讯网络和广播电视网络连接,就需要媒体网关,实现语音和/或视频流到IP流的相互转换。
所述通讯网络是IMS网络。所述通讯网络是2G移动通讯网络、和/或3G移动通讯网络、和/或4G移动通讯网络。
优选地,所述网络是支持IP安全协议(IPSec)的网络。
优选地,所述网络支持IPv6协议。
有利地,所述媒体网关是多媒体网关。
作为实例,所述多媒体网关包括IP电话网关,用于将IP多媒体视频电话连接到所述融合业务平台100上。所述IP电话网关分离成三部分:信令网关(SG)、媒体网关(MG)和媒体网关控制器(MGC);
SG负责处理信令消息,将其终结、翻译或中继;
MG负责处理媒体流,将媒体流从窄带网打包送到IP网或者从IP网接收后解包并送给窄带网;
MGC负责MG资源的注册、管理以及呼叫控制;
MG和MGC之间采用H.248协议,SG和MGC之间采用SIGTRAN协议。
优选地,所述媒体网关包括IMS网关,用于将所述融合业务平台100连接到IMS核心网络。IMS网关又称为IP多媒体子系统媒体网关(IMS-MGW),是IP多媒体子系统(IMS)架构中的一个组成部分,能够终止来自一个交换电路网络的承载信道和来自一个分组网络的媒体流。它能够支持媒体变换,承载者控制,并有效载荷处理(例如,使用媒体编码,回波消除器,或会议网桥)。IMS网关能够实现移动通讯网络与互联网的连接。
可选地,所述媒体网关包括实现广播电视网络与互联网连接的媒体网关。
可选地,所述有线固定网络的接入方式是LAN、WLAN、XDSL等。所述无线移动网络的接入方式是GSM、WCDMA、CDMA、TD-SCDMA的PS域、以及WiMAX等。
所述应用融合子系统130用于使所述融合业务平台适配于网络中的各类应用服务,所述应用服务由应用服务平台400提供,并且,所述应用融合子系统130包括信息融合模块131、应用管理模块132和融合支付模块133。收费的网络应用服务都需要使用者通过网络支付费用,所述应用融合子系统130将终端用户常用的应用服务集成在所述融合业务平台100中。常用的应用服务包括网上购物、视频点播和服务缴费等业务。所述信息融合模块131将各类应用服务按服务分类的方式组合在所述融合业务平台100中。所述应用管理模块132实现应用服务平台400与融合业务平台之间的信息通讯管理。所述融合支付模块133处理各类支付报文,负责融合业务平台100与所述金融电子支付中心300之间的信息数据连接。
可选地,所述应用融合子系统包括手机客户端模块、和/或IPTV服务缴费模块、和/或视频购物与商城模块、和/或商旅服务模块、和/或民生服务模块、和/或手机电视付费节目模块。从而支持日常生活中常用的网络应用服务。
可选地,所述信息融合模块包括商户联盟应用模块、移动商城应用模块、B2C商城应用模块、移动网厅应用模块、商品供应商应用模块、服务提供商应用模块、内容提供商应用模块、软件提供商应用模块。从而保证支持网络空间中的大部分应用服务。
有利地,所述应用融合子系统还包括应用评估模块、服务握手模块和信息安全模块。
可选地,所述终端融合子系统还包括应用接口管理模块、计费验证管理模块、域注册及用户管理模块、服务鉴权及通道管理模块、终端升级管理模块、和终端锁网管理模块。
所述终端设备200具有统一支付界面和客户端安全支付装置。所述统一支付界面保证在各类终端设备上显示的用户操作界面的一致性。在物理实现上,所述统一支付界面包括显示屏、存储在终端设备中的控制程序和处理器。
所述客户端安全支付装置可以是内置的具有加密、解密、认证和/或签名功能的安全芯片或功能模块,也可以是外置的具有加密、解密、认证和/或签名功能的装置,例如U盾、USB KEY、动态密码硬件令牌等。
所述加密机和所述客户端安全支付装置能够对支付信息进行安全加密。可以在不同层次和安全等级上对支付信息进行加密。可选地,在网络层对信息数据加密,例如IMS网络系统安全的主要应对措施是IP安全协议(IPSec),通过IPSec提供了接入安全保护,使用IPSec来完成网络域内部的实体和网络域之间的安全保护。
在IMS核心网中,可通过NDS/IP来完成对网络中SIP信令的保护;SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一个复杂的安全体系,要求每个代理对消息进行解密。
接入安全性:IMS用户终端(UE)接入到IMS核心网需经一系列认证和密钥协商过程,IPSec封装安全净荷(ESP)将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护。
网络安全性:第三代移动通信系统中采用NDS(安全域、安全网关)对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击,同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。
所述安全体系架构的主要技术特征在于:
①提供终端用户和IMS网络之间的相互认证。
②在UE和P-CSCF之间提供一个安全链接(Link)和一个安全联盟(SA),用以保护Gm接口,同时提供数据源认证。
③在网络域内为Cx接口提供安全。
④为不同网络之间的SIP节点提供安全,并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网络(VN)时。
⑤为同一网络内部的SIP节点提供安全,并且这个安全联盟同样适用于P-CSCF位于归属网络(HN)时。
除上述接口之外,IMS中还存在其他的接口,在上图中未完整标识出来,这些接口位于安全域内或是位于不同的安全域之间。这些接口(除了Gm接口之外)的保护都受IMS网络安全保护。
优先选地,所述加密机和所述客户端安全支付装置能够在应用层对支付报文进行加密、解密、认证和签名。可选地,它们能够对报文的字段和/或域进行加密和解密。
作为变型,所述加密机和所述客户端安全支付装置能够通过对称密钥、非对称密钥对信息数据进行加密,能够实现数据信封的加密和签名,能够对设备和用户进行身份数字认证。
进一步地,所述终端设备200能够通过网络和所述媒体网关121与所述融合业务平台100建立第一信息数据连接,所述终端接口管理模块111管理所述第一信息数据连接;所述融合业务平台100能够通过金融专线网络与所述金融电子支付中心300建立第二信息数据连接,所述融合支付模块133管理所述第二信息数据连接;并且,所述融合业务平台100能够与所述应用服务平台400建立第三信息数据连接,所述应用融合子系统130的应用管理模块132能够管理所述第三信息数据连接,并且所述信息融合模块131用于整合来自各个应用服务平台400的信息数据。
所述终端设备200的统一支付界面能够向所述融合业务平台100发送支付请求报文,所述终端融合子系统110的统一界面管理模块112接收所述支付请求报文,并传送至所述融合支付模块133和/或加密机122,并且,所述支付请求报文由所述融合支付模块133发送至所述金融电子支付中心300;来自所述金融电子支付中心300的交易响应报文按相反的顺序传送到所述终端设备200。
所述金融电子支付中心可以是银联处理系统,所述银联处理系统包括银联多渠道支付平台和银联转接系统。本发明的安全电子支付系统因而支持银联标准的报文格式,例如银联企业标准Q/CUP 035.1-2010,035.2-2010和035.3-2010。
所述金融电子支付中心也可以是第三方支付平台,例如支付宝、PayPal和财付通等。因此,本发明的安全电子支付系统还应支持第三方支付平台的自定义的通信协议和报文结构。
所述金融电子支付中心还可以是电子银行。电子银行一般采用国际标准报文规范,例如,ISO 8583、ISO 20022和ISO 9362等。
本领域技术人员可以理解的是,电子支付业务除上述的委托支付业务外还有多种其它类型:查询服务类、金融支付类或转帐支付类。因此,根据本发明的安全电子支付系统应能够完成各类支付业务。
融合通讯网络在三个层面上实现全面整合。在终端设备200层面,从已有的蓝牙双模终端、Wi-Fi双模终端到支持多种业务的终端,再到与网络无关性的全整合终端,实现了终端设备200的融合。在网络系统层面,从已有的IP网络层融合、UMA与Wi-Fi的融合到IMS/SIP融合,再到全IP融合网络,实现了网络的融合。在应用服务层面,从已有的单一账单捆绑业务、统一的业务平台、无处不在的VOIP业务到业务的宽带化、无线化、移动化融合,实现了业务层的融合。
根据本发明的另一实施例,所述基于融合通信技术的安全电子支付系统还包括融合支付前置系统。用户在金融电子支付中心开立电子支付帐户,并通过所述终端设备进行电子支付操作。所述终端设备通过所述融合业务平台和所述融合支付前置系统与金融电子支付中心建立信息通讯连接和支付业务流程。应用服务平台与金融电子支付中心建立信息通讯连接和支付业务流程。
作为变型,应用服务平台与融合支付前置系统和/或金融电子支付中心建立信息通讯连接和支付业务流程。
有利地,所述融合业务平台通过IMS宽域网与所述融合支付前置系统建立信息通讯连接。所述融合支付前置系统通过金融专线网与所述金融电子支付中心建立信息通讯连接。
作为变型,所述终端设备200通过所述融合支付前置系统与所述应用服务平台建立信息通讯连接。
根据如图3所示的实施例中,支付信息的安全在所述融合业务平台100与所述终端设备200、金融电子支付中心300和所述应用服务平台400之间都需要进行保护。作为实例,下面对在所述终端设备200与所述融合业务平台100之间的通讯连接中的信息安全措施进行描述,但是,可以理解的是,同样的安全措施也可以用到所述融合业务平台100与金融电子支付中心300之间的通讯连接中,和所述融合业务平台100与所述应用服务平台400之间的通讯连接中,而没有超出本发明的保护范围。
在所述终端设备200与所述融合业务平台100之间的通讯连接中,使用对称加密算法对所述支付信息进行加密,所述对称密钥预先设置在所述客户端安全支付装置中。对称密钥技术的优点是加密与解密速度快,但安全性不高,而且管理众多的密钥的费用高。可用于金额小的支付交易中。
有利地,在所述终端设备200与所述融合业务平台100之间的通讯连接中,使用非对称加密算法对所述支付信息进行加密,所述公开密钥预先设置在所述客户端安全支付装置中。非对称加密算法的优点是安全更高、密钥管理简单。所述加密机122使用私钥加密所述支付信息,所述客户端安全支付装置能够用所述预置的公钥解密支付信息;反过来,所述客户端安全支付装置用所述公钥加密支付信息,所述加密机122能够使用私钥解密所述支付信息。
优选地,在所述终端设备200与所述融合业务平台100之间的通信连接中,使用数字信封对所述支付信息进行加密,其中,首先发送方使用“加密密钥”来加密所述支付信息,然后使用接收方的公钥来加密所述“加密密钥”,或者使用发送方和接收方预共享的对称密钥来加密所述“加密密钥”,当接收方收到数字信封时,先用所述私钥或预共享的对称密钥解密,得到所述“加密密钥”,再用所述“加密密钥”解密所述被加密的支付信息。这是一种对称加密算法和非称加密算法组合使用的双重安全保证。数字信封具有两者的优点,解密速度快、高安全性。
实际上,在日常生活中,合同的要约时间、承诺时间和签订时间非常重要,都要签字人手签。而在电子支付中,交易的达成实际上也构成一份电子合同,如何确定签订电子合同的时间对大额交易非常重要,因此要使用数字时间戳由第三方信任机构证明合同的签订时间。作为实例,在所述终端设备200与所述融合业务平台100之间的通信连接中,使用数字时间戳对所述支付信息进行时间认证,其中,用户首先将需要加时间戳的支付信息用Hash算法运算形成支付信息摘要,然后将所述支付信息摘要发送到第三方信任机构的数字时间戳服务器(DTS),DTS在加入收到所述支付信息摘要的日期和事件信息后再对所述支付信息摘要数字签名,然后送达用户。用户再将所述经数字签名的支付信息摘要和支付信息发送给融合业务平台100,从而证明电子合同的签订时间的真实性。
在书面合同中,当事人的签名和签订日期同样重要。在电子合同中也能通过技术手段来实现。作为实例,在所述终端设备200与所述融合业务平台100之间的通信连接中,对所述支付信息提供数字时间戳和终端用户数字签名。终端用户数字签名使用非对称加密算法。首先终端用户发送报文时,用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
有时侯,不仅要对终端用户身份进行认证,而且要对发送支付信息的终端设备进行确认,确保是在合法的终端设备上进行所述交易操作。作为实例,在所述终端设备200与所述融合业务平台100之间的通信连接中,对所述支付信息提供终端设备数字认证和终端用户身份数字认证。这两种证书都可以到可信的数字认证中心办理申请。
同样地,在所述金融电子支付中心与所述融合业务平台100之间的通信连接中,使用非对称加密算法或数字信封对所述支付信息进行加密,使用数字时间戳对所述支付信息进行时间认证,对所述支付信息提供数字时间戳和终端用户数字签名,或者对所述支付信息提供终端设备数字认证和终端用户身份认证。
作为实例,需要加密的所述支付信息是支付报文。
优选地,需要加密的所述支付信息是支付报文中的应用数据。如图5所示,金融业标准报文格式包括报文头和应用数据。在本发明中,如图6所示,对应用数据进行加密处理。
然而,上述加密措施还是不能防止网络中的重播欺骗。交易破坏者可以使用终端用户以前用过的加密的报文来替代当前发送的加密的报文,达到干扰、破坏重大交易的目的。为此,本发明的所述加密机可选地具有防重播欺骗装置。所述客户端安全支付装置也可选地具有防重播欺骗装置。
所述防重播欺骗装置的设计思想在于将一条原始报文转换成不确定数目的报文系列,所述报文系列中的报文隐含有排列规则。要确认报文的有效性,必须获得报文系列中的所有报文。由于报文系列中报文数目的不确定性和报文排列规则的不可知性,网络欺骗实施者很难正好找到适当数量的相继报文构成一个有效的报文序列,极大增加了实施欺骗的难度。这类似于物理学的测不准原理,在事件中加入不确定因素,从而增加预测的难度。
作为实例,所述防重播欺骗装置包括报文系列化部件、报文查序部件和报文复原部件;
所述报文系列化部件能够将一条原始报文按预定的序列化规则转换成一规则化报文序列,且所述报文序列中的报文总数是随机生成的,其中,所述报文总数和序列化规则被加密并保存在报文序列中的每条报文中;
所述报文查序部件能够通过检测一报文序列是否符合所述序列化规则和报文总数来判断所述报文系列的真实有效性;
所述报文复原部件能够将所述报文序列转换为所述原始报文。
为此,如图6所示,为实现此目的,在报文的应用数据中加入序号字段和份数字段,优选在应用数据的前面插入。
所述防重播欺骗装置能够通过所述应用数据的序号字段和份数字段的数值来确定收到的支付报文的真实有效性:如果N个相继的支付报文的份数字段的数值等于N,并且所述N个相继的支付报文的交易数据的HASH函数值相同,并且所述N个相继的支付报文的序号字段的数值按从1至N的方式顺序排列,那么就能够确定所述N个相继的支付报文是真实有效的;否则,就认定所述支付报文出现传输故障或被复制重放,应该抛弃所述支付报文。显然,在该实例中,排列规则是隐含的:从1开始的自然数系列。而且份数N可以随机生成。
具体地,如图7所示,所述防重播欺骗装置的所述报文系列化部件的随机数生成器产生了一个N=5的随机数,然后将一条原报文转换为如图7所示的具有5条报文的序列,其中每条报文的份数字段被赋值5,而序号字段按1至5顺序赋值。这样的报文序列发送出去后,接收方的防重播欺骗装置的报文查序部件按如图8所示的算法来判断报文的真实有效性:
0)开始
1)接收交易报文MSG;
2)提取报文中的应用数据,得到交易信息密文;
3)解密所述交易信息密文,得到如图7所示的交易信息明文;
4)将序号字段和份数字段的值赋给变更INDEX和COUNT;
5)提取交易数据,计算交易数据的HASH值例如MD5的值,并赋值给变量MD5_Data;
6)判断INDEX是否等于1:
如果是,则
i)则对变量赋值INDEX_1=INDEX和MD5_Data_1=MD5_Data;
ii)循环至步骤1),获取下一条报文;
如果否,则
7)判断MD5_Data是否等于MD5_Data_1,
如果否,则返回NOTHING,表明本报文序列不真实,并结束。
如果是,则
8)变量赋值,INDEX_1=INDEX_1+1;
9)判断INDEX是否小于COUNT,并且INDEX是否等于,
如果真,则循环至步骤1),获取下一条报文;
如果假,则
10)判断INDEX是否等于COUNT,并且INDEX是否等于INDEX_1
如果真,则返回所述报文MSG,表明当前报文序列真实有效,并结束;
如果假,则返回所述报文NOTHING,表明当前报文序列不真实,并结束;
11)结束。
根据计算机原理,所述防重播欺骗装置可以包括:
报文输入端口,用于将报文输入所述防重播欺骗装置;
报文计数器,用于计算已检测过的报文的数目;
报文存储器,用于存储要检测的报文;
字段提取器,用于提取报文中的字段;
规则检查器,用于判定相继的报文的自定义标志字段的数值是否符合预定的生成规则;和
报文输入端口,用于将报文输入所述防重播欺骗装置;
上述部件的组合可以根据需要构造成报文系列化部件、报文查序部件或报文复原部件。
当然,所述防重播欺骗装置实际也是一种安全加密装置,其实质增加了获知一条真实有效报文的难度。
作为变型,所述应用数据包括序号字段、份数字段、序列化规则字段和和交易数据。所述序列化规则字段保存序列化函数,所述序列化函数例如是(1+2n),那么,在份数字段N=5的情况下,序号字段保存的值依次为:3、5、7、9、11。同样地,序列化函数可以是任何数学函数。
可选地,报文序列中只有一条报文的应用数据中包括交易数据,报文序列中的其它报文的应用数据中不包括交易数据。这样更增加了进行重播欺骗的难度。
有利地,指定报文序列的第一条报文包括交易数据,或者指定报文序列的最后一条报文包括交易数据。
优选地,所述应用数据还包括交易数据位置字段,用于保存真正的交易数据在报文序列中的第几条的序列号中。所述报文查序部件能够根据所述交易数据位置字段的数值确定真正的交易数据的位置。至此,进行重播欺骗的难度进一步增加。
本领域技术人员可以理解,在同一总的发明构思中,作为实例,如图3示出,本发明还提出这样的网络电子支付方法,其用于上述安全电子支付系统,其特征在于,所述网络电子支付方法包括以下步骤:
1)所述终端用户将支付请求报文发送给所述融合业务平台100;
2)所述融合业务平台将所述支付请求报文发送给所述金融电子支付中心;
3)所述金融电子支付中心向融合业务平台返回交易应答报文;
4)所述融合业务平台根据所述服务提供商的参数信息判断是否需要所述服务提供商确认:在需要的情况下,所述融合业务平台将请求确认报文发送给所述服务提供商;若无需转发则直接进行第6)步;
5)所述服务提供商将确认应答报文发送给所述融合业务平台;
6)所述融合业务平台将交易确认报文发送给所述终端用户。
优选地,使用所述加密机和所述客户端安全支付装置对所述报文进行安全加密。
有利地,使用所述防重播欺骗装置对所述报文进行安全保护,其中:
所述报文发送方具有第一防重播欺骗装置,且所述报文接收方具有第二防重播欺骗装置;
所述第一防重播欺骗装置将所述报文转换成报文序列;
所述报文序列通过网络传送到所述报文接收方;
所述第二防重播欺骗装置检查所述报文序列的真实有效性;
如果所述报文序列真实有效,所述第二防重播欺骗装置的报文复原部件将所述报文序列转换为所述原始报文;
如果所述报文序列并非真实有效,所述第二防重播欺骗装置的报文复原部件将所述报文序列转换为所述空报文。
优选地,为了让终端用户感受本发明的融合业务平台的便利性,所述终端设备具有统一认证登录界面。所述终端融合子系统的统一界面管理模块负责登录信息的验证。在所述统一认证登录界面上输入登录信息并成功验证后,终端用户能够自动登录各个应用服务平台使用相关的应用服务,并自动登录所述金融电子支付中心进行电子支付。因此,对于终端用户来,可见的且需要做的就是输入登录信息,网络系统、应用服务平台和金融电子支付中心的复杂多样性都隐藏在融合业务平台中,对终端用户是不可见的。
所述终端融合子系统的统一界面管理模块将加密过的所述登录信息发送给所述应用服务平台和/或所述金融电子支付中心,通过验证后,在所述终端设备与所述应用服务平台和/或所述金融电子支付中心之间建立可信任的连接。登录信息必须与支付信息一样,经过加密后在网络中传送。用于加密支付信息的技术方案同样适用于加密登录信息,这里不再重复。统一身份验证的方式例如是SESSION共享、SSO接口标准、可信任的第三方认证等。
有利地,所述登录信息按对称加密算法、非对称加密算法、或者数字信封的方式被加密。显然的是,所述融合业务平台支持所有这些加密方式。
所述登录信息经过所述防重播欺骗装置处理,从而进一步提高安全性。正如上文所述,防重播欺骗装置可用作安全装置,因此在信息链路的发送方和接收方安装所述防重播欺骗装置能够进一步确保登录信息的安全传送。
本发明带来的技术进步主要有:
·实现IMS宽域网(电信运营商)与金融网(银联)双网对接。
·通信业务引进银联创新支付服务实现业务快速订购和付费闭环;银联创新支付引入通信业务,扩大业务外延和用户群;
·融合通信的Femto、LBS定位、IVVR等创新技术,利于不断推进银联创新支付服务的多样化实现和业务创新;
·基于通信级的安全体系保障,利于完善银联创新支付安全标准和用户服务体验。
上文详细描述了本发明的多个具体实施例及其变型。应当理解,本领域的普通技术人员无需创造性劳动就可以根据本发明的构思进行诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (34)
1.基于融合通信技术的安全电子支付系统,其包括终端设备(200)和金融电子支付中心(300),其特征在于,所述安全电子支付系统还包括融合业务平台(100),
所述融合业务平台包括终端融合子系统(110)、网络融合子系统(120)和应用融合子系统(130);
●所述终端融合子系统(110)用于使所述融合业务平台(100)适配于各类有线的和/或无线的终端设备(200),并且,所述终端融合子系统包括终端接口管理模块(111)和统一界面管理模块(112);
●所述网络融合子系统(120)用于使所述融合业务平台适配于各类有线的和/或无线的网络,并且,所述网络融合子系统(120)包括媒体网关(121)和加密机(122),其中,所述媒体网关(121)实现移动通讯网络和/或广播电视网络与宽带互联网络建立信息数据连接,所述加密机(122)用于对信息数据进行安全加密、认证和/或签名;
●所述应用融合子系统(130)用于使所述融合业务平台适配于网络中的各类应用服务,所述应用服务由应用服务平台(400)提供,并且,所述应用融合子系统(130)包括信息融合模块(131)、应用管理模块(132)和融合支付模块(133);
所述终端设备(200)具有统一支付界面和客户端安全支付装置;
所述加密机和所述客户端安全支付装置能够对支付信息进行安全加密;
所述终端设备(200)能够通过网络和所述媒体网关(121)与所述融合业务平台(100)建立第一信息数据连接,所述终端接口管理模块(111)管理所述第一信息数据连接;所述融合业务平台(100)能够通过金融专线网络与所述金融电子支付中心(300)建立第二信息数据连接,所述融合支付模块(133)管理所述第二信息数据连接;并且,所述融合业务平台(100)能够与所述应用服务平台(400)建立第三信息数据连接,所述应用融合子系统(130)的应用管理模块(132)能够管理所述第三信息数据连接,并且所述信息融合模块(131)用于整合来自各个应用服务平台(400)的信息数据;
所述终端设备(200)的统一支付界面能够向所述融合业务平台(100)发送支付请求报文,所述终端融合子系统(110)的统一界面管理模块(112)接收所述支付请求报文,并传送至所述融合支付模块(133)和/或加密机(122),并且,所述支付请求报文由所述融合支付模块(133)发送至所述金融电子支付中心(300);来自所述金融电子支付中心(300)的交易响应报文按相反的顺序传送到所述终端设备(200)。
2.根据权利要求1所述的安全电子支付系统,其特征在于,在所述终端设备(200)与所述融合业务平台(1)之间的通讯连接中,使用对称加密算法对所述支付信息进行加密,优选地,所述对称密钥预先设置在所述客户端安全支付装置中。
3.根据权利要求1所述的安全电子支付系统,其特征在于,在所述终端设备(200)与所述融合业务平台(100)之间的通讯连接中,使用非对称加密算法对所述支付信息进行加密,所述公开密钥预先设置在所述客户端安全支付装置中。
4.根据权利要求1所述的安全电子支付系统,其特征在于,在所述终端设备(200)与所述融合业务平台(100)之间的通信连接中,使用数字信封对所述支付信息进行加密,其中,首先发送方使用“加密密钥”来加密所述支付信息,然后使用接收方的公钥来加密所述“加密密钥”,或者使用发送方和接收方预共享的对称密钥来加密所述“加密密钥”,当接收方收到数字信封时,先用所述私钥或预共享的对称密钥解密,得到所述“加密密钥”,再用所述“加密密钥”解密所述被加密的支付信息。
5.根据权利要求1至4中任一项所述的安全电子支付系统,其特征在于,在所述终端设备(200)与所述融合业务平台(100)之间的通信连接中,使用数字时间戳对所述支付信息进行时间认证,其中,用户首先将需要加时间戳的支付信息用Hash算法运算形成支付信息摘要,然后将所述支付信息摘要发送到数字时间戳服务器(DTS),所述数字时间戳服务器在加入收到所述支付信息摘要的日期和事件信息后再对所述支付信息摘要数字签名,然后送达用户。
6.根据权利要求1至4中任一项所述的安全电子支付系统,其特征在于,在所述终端设备(200)与所述融合业务平台(100)之间的通信连接中,对所述支付信息提供数字时间戳和终端用户数字签名。
7.根据权利要求1至4中任一项所述的安全电子支付系统,其特征在于,在所述终端设备(200)与所述融合业务平台(100)之间的通信连接中,对所述支付信息提供终端设备数字认证和终端用户身份数字认证。
8.根据权利要求1至7中任一项所述的安全电子支付系统,其特征在于,在所述金融电子支付中心(4)与所述融合业务平台(100)之间的通信连接中,使用非对称加密算法或数字信封对所述支付信息进行加密。
9.根据权利要求1至7中任一项所述的安全电子支付系统,其特征在于,在所述金融电子支付中心(4)与所述融合业务平台(100)之间的通信连接中,使用数字时间戳对所述支付信息进行时间认证。
10.根据权利要求1至7中任一项所述的安全电子支付系统,其特征在于,在所述金融电子支付中心(4)与所述融合业务平台(100)之间的通信连接中,对所述支付信息提供数字时间戳和终端用户数字签名。
11.根据权利要求1至7中任一项所述的安全电子支付系统,其特征在于,在所述金融电子支付中心(4)与所述融合业务平台(100)之间的通信连接中,对所述支付信息提供终端设备数字认证和终端用户身份认证。
12.根据权利要求1至11中任一项所述的安全电子支付系统,其特征在于,所述通讯网络是IMS网络。
13.根据权利要求1至11中任一项所述的安全电子支付系统,其特征在于,所述通讯网络是2G移动通讯网络、和/或3G移动通讯网络、和/或4G移动通讯网络。
14.根据权利要求12所述的安全电子支付系统,其特征在于,所述IMS网络使用IP安全协议(IPSec),在网络协议层通过IP安全协议提供接入安全保护,使用IP安全协议来完成网络域内部的实体和网络域之间的安全保护。
15.根据权利要求1至14中任一项所述的安全电子支付系统,其特征在于,所述媒体网关是多媒体网关。
16.根据权利要求15所述的安全电子支付系统,其特征在于,所述多媒体网关包括IP电话网关和/或IMS网关。
17.根据权利要求1至16中任一项所述的安全电子支付系统,其特征在于,所述金融电子支付中心(4)是银联处理系统,所述银联处理系统包括银联多渠道支付平台和银联转接系统。
18.根据权利要求1至16中任一项所述的安全电子支付系统,其特征在于,所述金融电子支付中心(4)是第三方支付平台或电子银行。
19.根据权利要求1至18中任一项所述的安全电子支付系统,其特征在于,所述终端设备包括IP多媒体电话、2G智能手机、3G智能手机、掌上电脑、平板电脑、笔记本电脑、台式电脑、或工作站。
20.根据权利要求1至18中任一项所述的安全电子支付系统,其特征在于,所述终端设备包括支持JAVA应用的终端设备、安装有智能操作系统的终端设备、或者安装有安卓操作系统的移动终端设备或固定终端设备。
21.根据权利要求1至20中任一项所述的安全电子支付系统,其特征在于,所述支付信息是支付报文。
22.根据权利要求1至20中任一项所述的安全电子支付系统,其特征在于,所述支付信息是支付报文中的应用数据。
23.根据权利要求21所述的安全电子支付系统,其特征在于,所述应用数据包括序号字段、份数字段和交易数据。
24.根据权利要求1至23中任一项所述的安全电子支付系统,其特征在于,所述加密机具有防重播欺骗装置;并且所述客户端安全支付装置具有防重播欺骗装置。
25.根据权利要求24所述的安全电子支付系统,其特征在于,所述防重播欺骗装置包括报文系列化部件、报文查序部件和报文复原部件;
所述报文系列化部件能够将一条原始报文按预定的规则转换成一规则化报文序列,且所述报文序列中的报文总数是随机生成的,其中,所述报文总数和序列化规则被加密并保存在报文序列中的每条报文中;
所述报文查序部件能够通过检测一报文序列是否符合预定的规则来判断所述报文系列的真实有效性;
所述报文复原部件能够将所述报文序列转换为所述原始报文。
26.根据权利要求23至25中任一项所述的安全电子支付系统,其特征在于,所述防重播欺骗装置能够通过所述应用数据的序号字段和份数字段的数值来确定收到的支付报文的真实有效性:如果N个相继的支付报文的份数字段的数值等于N,并且所述N个相继的支付报文的交易数据的HASH函数值相同,并且所述N个相继的支付报文的序号字段的数值按从1至N的方式顺序排列,那么就能够确定所述N个相继的支付报文是真实有效的;否则,就认定所述支付报文出现传输故障或被复制重放,应该抛弃所述支付报文。
27.根据权利要求1至26中任一项所述的安全电子支付系统,其特征在于,所述终端设备(200)具有统一认证登录界面;所述终端融合子系统(110)的统一界面管理模块(112)负责登录信息的验证;在所述统一认证登录界面上输入登录信息并成功验证后,终端用户能够自动登录各个应用服务平台使用相关的应用服务,并自动登录所述金融电子支付中心进行电子支付。
28.根据权利要求27所述的安全电子支付系统,其特征在于,所述终端融合子系统(110)的统一界面管理模块(112)将加密过的所述登录信息发送给所述应用服务平台和/或所述金融电子支付中心,通过验证后,在所述终端设备与所述应用服务平台和/或所述金融电子支付中心之间建立可信任的连接。
29.根据权利要求28所述的安全电子支付系统,其特征在于,所述登录信息按对称加密算法、非对称加密算法、或者数字信封的方式被加密。
30.根据权利要求27至29中任一项所述的安全电子支付系统,其特征在于,所述登录信息经过所述防重播欺骗装置处理,从而进一步提高安全性。
31.融合业务平台(100),其用于基于融合通信技术的安全电子支付系统中,所述安全电子支付系统包括终端设备(200)和金融电子支付中心(300),其特征在于:所述融合业务平台包括终端融合子系统(110)、网络融合子系统(120)和应用融合子系统(130);
●所述终端融合子系统(110)用于使所述融合业务平台(100)适配于各类有线的和/或无线的终端设备(200),并且,所述终端融合子系统包括终端接口管理模块(111)和统一界面管理模块(112);
●所述网络融合子系统(120)用于使所述融合业务平台适配于各类有线的和/或无线的网络,并且,所述网络融合子系统(120)包括媒体网关(121)和加密机(122),其中,所述媒体网关(121)实现移动通讯网络和/或广播电视网络与宽带互联网络建立信息数据连接,所述加密机(122)用于对信息数据进行安全加密、认证和/或签名;
●所述应用融合子系统(130)用于使所述融合业务平台适配于网络中的各类应用服务,所述应用服务由应用服务平台(400)提供,并且,所述应用融合子系统(130)包括信息融合模块(131)、应用管理模块(132)和融合支付模块(133);
所述终端设备(200)具有统一支付界面和客户端安全支付装置;
所述加密机和所述客户端安全支付装置能够对支付信息进行安全加密;
所述终端设备(200)能够通过网络和所述媒体网关(121)与所述融合业务平台(100)建立第一信息数据连接,所述终端接口管理模块(111)管理所述第一信息数据连接;所述融合业务平台(100)能够通过金融专线网络与所述金融电子支付中心(300)建立第二信息数据连接,所述融合支付模块(133)管理所述第二信息数据连接;并且,所述融合业务平台(100)能够与所述应用服务平台(400)建立第三信息数据连接,所述应用融合子系统(130)的应用管理模块(132)能够管理所述第三信息数据连接,并且所述信息融合模块(131)用于整合来自各个应用服务平台(400)的信息数据;
所述终端设备(200)的统一支付界面能够向所述融合业务平台(100)发送支付请求报文,所述终端融合子系统(110)的统一界面管理模块(112)接收所述支付请求报文,并传送至所述融合支付模块(133)和/或加密机(122),并且,所述支付请求报文由所述融合支付模块(133)发送至所述金融电子支付中心(300);来自所述金融电子支付中心(300)的交易响应报文按相反的顺序传送到所述终端设备(200)。
32.网络电子支付方法,其用于按权利要求1至26中任一项所述的安全电子支付系统,其特征在于,所述网络电子支付方法包括以下步骤:
1)所述终端用户将支付请求报文发送给所述融合业务平台(100);
2)所述融合业务平台将所述支付请求报文发送给所述金融电子支付中心;
3)所述金融电子支付中心向融合业务平台返回交易应答报文;
4)所述融合业务平台根据所述服务提供商的参数信息判断是否需要所述服务提供商确认:在需要的情况下,所述融合业务平台将请求确认报文发送给所述服务提供商;若无需转发则直接进行第6)步;
5)所述服务提供商将确认应答报文发送给所述融合业务平台;
6)所述融合业务平台将交易确认报文发送给所述终端用户。
33.根据权利要求32所述的网络电子支付方法,其特征在于,使用所述加密机和所述客户端安全支付装置对所述报文进行安全加密。
34.根据权利要求32至33中任一项所述的网络电子支付方法,其特征在于,使用所述防重播欺骗装置对所述报文进行安全保护,其中:
所述报文发送方具有第一防重播欺骗装置,且所述报文接收方具有第二防重播欺骗装置;
所述第一防重播欺骗装置将所述报文转换成报文序列;
所述报文序列通过网络传送到所述报文接收方;
所述第二防重播欺骗装置检查所述报文序列的真实有效性;
如果所述报文序列真实有效,所述第二防重播欺骗装置的报文复原部件将所述报文序列转换为所述原始报文;
如果所述报文序列并非真实有效,所述第二防重播欺骗装置的报文复原部件将所述报文序列转换为所述空报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210195302.XA CN103489101A (zh) | 2012-06-14 | 2012-06-14 | 基于融合通信技术的安全电子支付系统及支付方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210195302.XA CN103489101A (zh) | 2012-06-14 | 2012-06-14 | 基于融合通信技术的安全电子支付系统及支付方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103489101A true CN103489101A (zh) | 2014-01-01 |
Family
ID=49829304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210195302.XA Pending CN103489101A (zh) | 2012-06-14 | 2012-06-14 | 基于融合通信技术的安全电子支付系统及支付方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103489101A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103714456A (zh) * | 2014-01-06 | 2014-04-09 | 同济大学 | 软件行为监控验证系统 |
| CN104008482A (zh) * | 2014-06-10 | 2014-08-27 | 北京奇虎科技有限公司 | 基于移动终端的支付方法和装置与移动终端 |
| CN104486318A (zh) * | 2014-12-08 | 2015-04-01 | 西安电子科技大学 | Android操作系统中的单点登录的身份认证方法 |
| CN105049945A (zh) * | 2015-08-13 | 2015-11-11 | 中国科学院信息工程研究所 | 一种基于智能电视多屏互动的安全支付系统及方法 |
| CN104008482B (zh) * | 2014-06-10 | 2016-11-30 | 北京奇虎科技有限公司 | 基于移动终端的支付方法和装置与移动终端 |
| CN106485503A (zh) * | 2015-08-31 | 2017-03-08 | 上海常点数据服务股份有限公司 | 一种基于居家养老网银支付点闭环确认方法 |
| CN107808284A (zh) * | 2017-11-17 | 2018-03-16 | 上海瀚银信息技术有限公司 | 一种基于pos机系统的支付方法 |
| CN108111368A (zh) * | 2017-12-19 | 2018-06-01 | 中国银联股份有限公司 | 一种交易系统的功能测试方法及装置 |
| CN108596582A (zh) * | 2018-04-17 | 2018-09-28 | 四川长虹电器股份有限公司 | 一种基于dubbo的聚合支付平台解决方案 |
| CN108854077A (zh) * | 2018-07-17 | 2018-11-23 | 广州瞪羚信息科技有限公司 | 基于区块链技术的跨游戏道具流通方法 |
| CN108900490A (zh) * | 2018-06-21 | 2018-11-27 | 咪付(广西)网络技术有限公司 | 一种基于蓝牙和声波的安全认证方法 |
| CN109344639A (zh) * | 2018-10-30 | 2019-02-15 | 南方电网科学研究院有限责任公司 | 一种配网自动化双重防护安全芯片、数据传输方法及设备 |
| CN110519353A (zh) * | 2019-08-16 | 2019-11-29 | 阿里巴巴集团控股有限公司 | 一种服务请求的处理方法、装置以及设备 |
| CN110838349A (zh) * | 2019-11-14 | 2020-02-25 | 江苏爱星信息科技有限公司 | 一种新型医疗信息储存系统 |
| CN113205327A (zh) * | 2021-07-02 | 2021-08-03 | 浙江口碑网络技术有限公司 | 跨组件支付方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719799A (zh) * | 2005-07-15 | 2006-01-11 | 北京北方烽火科技有限公司 | 无线局域网与3gpp网的融合方法 |
| CN101000675A (zh) * | 2006-12-30 | 2007-07-18 | 上海实诺信息技术有限公司 | 一种电子交易方法与交易平台系统 |
| CN101465914A (zh) * | 2008-12-31 | 2009-06-24 | 深圳市嘉讯软件有限公司 | 融合通信业务网络平台、ias、企业网络平台及通信方法 |
| US20090192831A1 (en) * | 2008-01-25 | 2009-07-30 | Standard Medical Acceptance Corporation | Securitization of health care receivables |
| CN102118426A (zh) * | 2009-12-31 | 2011-07-06 | 北大方正集团有限公司 | 网络安全支付终端及其网络安全支付方法 |
| CN102306358A (zh) * | 2011-07-26 | 2012-01-04 | 祝黎明 | 三网融合与电视支付系统 |
-
2012
- 2012-06-14 CN CN201210195302.XA patent/CN103489101A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719799A (zh) * | 2005-07-15 | 2006-01-11 | 北京北方烽火科技有限公司 | 无线局域网与3gpp网的融合方法 |
| CN101000675A (zh) * | 2006-12-30 | 2007-07-18 | 上海实诺信息技术有限公司 | 一种电子交易方法与交易平台系统 |
| US20090192831A1 (en) * | 2008-01-25 | 2009-07-30 | Standard Medical Acceptance Corporation | Securitization of health care receivables |
| CN101465914A (zh) * | 2008-12-31 | 2009-06-24 | 深圳市嘉讯软件有限公司 | 融合通信业务网络平台、ias、企业网络平台及通信方法 |
| CN102118426A (zh) * | 2009-12-31 | 2011-07-06 | 北大方正集团有限公司 | 网络安全支付终端及其网络安全支付方法 |
| CN102306358A (zh) * | 2011-07-26 | 2012-01-04 | 祝黎明 | 三网融合与电视支付系统 |
Non-Patent Citations (1)
| Title |
|---|
| 最爱佐罗: "电视支付&融合支付_解决方案", 《百度文库》, 17 February 2012 (2012-02-17) * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103714456A (zh) * | 2014-01-06 | 2014-04-09 | 同济大学 | 软件行为监控验证系统 |
| CN103714456B (zh) * | 2014-01-06 | 2015-08-19 | 同济大学 | 软件行为监控验证系统 |
| CN104008482A (zh) * | 2014-06-10 | 2014-08-27 | 北京奇虎科技有限公司 | 基于移动终端的支付方法和装置与移动终端 |
| CN104008482B (zh) * | 2014-06-10 | 2016-11-30 | 北京奇虎科技有限公司 | 基于移动终端的支付方法和装置与移动终端 |
| CN104486318A (zh) * | 2014-12-08 | 2015-04-01 | 西安电子科技大学 | Android操作系统中的单点登录的身份认证方法 |
| CN105049945A (zh) * | 2015-08-13 | 2015-11-11 | 中国科学院信息工程研究所 | 一种基于智能电视多屏互动的安全支付系统及方法 |
| CN105049945B (zh) * | 2015-08-13 | 2018-05-11 | 中国科学院信息工程研究所 | 一种基于智能电视多屏互动的安全支付系统及方法 |
| CN106485503A (zh) * | 2015-08-31 | 2017-03-08 | 上海常点数据服务股份有限公司 | 一种基于居家养老网银支付点闭环确认方法 |
| CN107808284A (zh) * | 2017-11-17 | 2018-03-16 | 上海瀚银信息技术有限公司 | 一种基于pos机系统的支付方法 |
| CN108111368A (zh) * | 2017-12-19 | 2018-06-01 | 中国银联股份有限公司 | 一种交易系统的功能测试方法及装置 |
| CN108596582A (zh) * | 2018-04-17 | 2018-09-28 | 四川长虹电器股份有限公司 | 一种基于dubbo的聚合支付平台解决方案 |
| CN108900490A (zh) * | 2018-06-21 | 2018-11-27 | 咪付(广西)网络技术有限公司 | 一种基于蓝牙和声波的安全认证方法 |
| CN108900490B (zh) * | 2018-06-21 | 2021-04-20 | 咪付(广西)网络技术有限公司 | 一种基于蓝牙和声波的安全认证方法 |
| CN108854077A (zh) * | 2018-07-17 | 2018-11-23 | 广州瞪羚信息科技有限公司 | 基于区块链技术的跨游戏道具流通方法 |
| CN108854077B (zh) * | 2018-07-17 | 2021-05-18 | 广州瞪羚信息科技有限公司 | 基于区块链技术的跨游戏道具流通方法 |
| CN109344639A (zh) * | 2018-10-30 | 2019-02-15 | 南方电网科学研究院有限责任公司 | 一种配网自动化双重防护安全芯片、数据传输方法及设备 |
| CN110519353A (zh) * | 2019-08-16 | 2019-11-29 | 阿里巴巴集团控股有限公司 | 一种服务请求的处理方法、装置以及设备 |
| CN110519353B (zh) * | 2019-08-16 | 2022-03-04 | 蚂蚁蓉信(成都)网络科技有限公司 | 一种服务请求的处理方法、装置以及设备 |
| CN110838349A (zh) * | 2019-11-14 | 2020-02-25 | 江苏爱星信息科技有限公司 | 一种新型医疗信息储存系统 |
| CN113205327A (zh) * | 2021-07-02 | 2021-08-03 | 浙江口碑网络技术有限公司 | 跨组件支付方法及装置 |
| CN113205327B (zh) * | 2021-07-02 | 2021-09-24 | 浙江口碑网络技术有限公司 | 跨组件支付方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103489101A (zh) | 基于融合通信技术的安全电子支付系统及支付方法 | |
| CN113396569B (zh) | 用于客户支持呼叫的第二因素认证的系统和方法 | |
| Nakhjiri et al. | AAA and network security for mobile access: radius, diameter, EAP, PKI and IP mobility | |
| CN103326862B (zh) | 电子签名方法及系统 | |
| US20130290718A1 (en) | Mobile storage device and the data processing system and method based thereon | |
| EP2018733A1 (en) | Authentication method for wireless transactions | |
| US20150128243A1 (en) | Method of authenticating a device and encrypting data transmitted between the device and a server | |
| JP2013514556A (ja) | 安全に取引を処理するための方法及びシステム | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和系统 | |
| CN102571693A (zh) | 能力安全调用方法、装置及系统 | |
| Nyamtiga et al. | Enhanced security model for mobile banking systems in Tanzania | |
| JP2015537399A (ja) | モバイル決済のためのアプリケーションシステム及びモバイル決済手段を提供する及び用いるための方法 | |
| Pourghomi et al. | A secure cloud-based NFC mobile payment protocol | |
| CN102667800A (zh) | 用于与安全元件的安全交互的方法 | |
| WO2009156291A1 (en) | Ordering scheme | |
| Al-Qayedi et al. | Combined web/mobile authentication for secure web access control | |
| Me et al. | A mobile based approach to strong authentication on Web | |
| CN105574720A (zh) | 安全的信息处理方法以及信息处理装置 | |
| Sung et al. | Mobile Payment Based on Transaction Certificate Using Cloud Self‐Proxy Server | |
| CN102264069B (zh) | 基于通用引导架构的认证控制方法、装置及系统 | |
| Kumar et al. | An Architectural Design for Secure Mobile Remote Macro-Payments. | |
| Urien | EMV-TLS, a secure payment protocol for NFC enabled mobiles | |
| KR20070092840A (ko) | 고속 무선 인터넷 망을 이용한 금융거래 처리방법 및시스템 | |
| Cobourne et al. | Using the smart card web server in secure branchless banking | |
| Mantoro et al. | Online payment procedure involving mobile phone network infrastructure and devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140101 |