CN104077688A - 一种基于ic卡的网络支付方法及相关装置 - Google Patents
一种基于ic卡的网络支付方法及相关装置 Download PDFInfo
- Publication number
- CN104077688A CN104077688A CN201410253083.5A CN201410253083A CN104077688A CN 104077688 A CN104077688 A CN 104077688A CN 201410253083 A CN201410253083 A CN 201410253083A CN 104077688 A CN104077688 A CN 104077688A
- Authority
- CN
- China
- Prior art keywords
- registering
- transaction
- message
- key
- cipher key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/409—Device specific authentication in transaction processing
- G06Q20/4097—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
- G06Q20/40975—Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明实施例公开了一种基于IC卡的网络支付方法,包括:根据客户端发送的签到指示获取签到密钥组;接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文;根据获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理;将进行签名运算处理后的交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。本发明实施例还公开了一种支付装置。采用本发明,可基于有卡有密的交易方式,建立支付终端与后台业务系统之间端到端的安全通道,有效地提升了系统的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于IC卡的网络支付方法及相关装置。
背景技术
随着网络技术的发展和人们生活水平的提高,传统形式的面对面现金交易方式已经不能满足消费者们日益增长的消费需求。因此,各种网络支付技术应运而生,使得消费者可通过网络实现并完成交易,给消费者们带来了极大的方便。
目前主要的互联网支付方式包括快捷支付、认证支付、网银支付等基于账户密码的无卡支付方式,然而,这些网络支付方式的安全性能较差,存在一定的安全隐患。
发明内容
本发明实施例所要解决的技术问题在于,提供一种基于IC卡的网络支付方法及相关装置,可较好地提升系统的安全性。
为了解决上述技术问题,本发明实施例提供了一种基于IC卡的网络支付方法,包括:
根据客户端发送的签到指示获取签到密钥组,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个;
接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文,其中,所述交易信息包括转入账号、支付金额、从IC银行卡上获取的转出账号、所述IC银行卡的交易密码中的至少一项;
根据获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理;
将进行签名运算处理后的交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
相应地,本发明实施例还提供了一种基于IC卡的网络支付方法,包括:
接收所述支付终端发起的签到请求,根据所述签到请求从用于进行报文管理的管理服务器获取签到密钥组,并将获取的所述签到密钥组发送给所述支付终端,以使所述支付终端根据所述签到密钥组中的密钥对获取的交易信息进行加密处理;
接收所述支付终端发送的包含当前交易信息的交易报文,并将所述交易报文转发至业务系统,以使所述业务系统对所述交易报文包含的交易信息进行处理,所述交易报文由所述签到密钥组中的密钥进行加密并进行报文签名运算处理;
接收所述业务系统对所述交易信息进行处理后返回的交易处理结果,并将所述交易处理结果转发至所述支付终端;
其中,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个。
相应地,本发明实施例还提供了一种支付装置,包括:
获取模块,用于根据客户端发送的签到指示获取签到密钥组,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个;
生成模块,用于接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文,所述交易信息包括转入账号、支付金额、从IC银行卡上获取的转出账号、所述IC银行卡的交易密码中的至少一项;
加密模块,用于根据获取模块获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理;
发送模块,用于将进行签名运算处理后的交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
相应地,本发明实施例还提供了一种支付装置,包括:
第一发送模块,用于接收所述支付终端发起的签到请求,根据所述签到请求从用于进行报文管理的管理服务器获取签到密钥组,并将获取的所述签到密钥组发送给所述支付终端,以使所述支付终端根据所述签到密钥组中的密钥对获取的交易信息进行加密处理;
第二发送模块,用于接收所述支付终端发送的包含当前交易信息的交易报文,并将所述交易报文转发至业务系统,以使所述业务系统对所述交易报文包含的交易信息进行处理,所述交易报文由所述签到密钥组中的密钥进行加密并进行报文签名运算处理;
第三发送模块,用于接收所述业务系统对所述交易信息进行处理后返回的交易处理结果,并将所述交易处理结果转发至所述支付终端;
其中,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个。
实施本发明实施例,具有如下有益效果:
本发明实施例可通过实时获取的签到密钥组中的密钥对当前交易信息进行加密,并对包含该交易信息的交易报文进行签名运算处理后发送业务系统,以对当前交易信息进行处理,可基于有卡有密的交易方式,建立支付终端与后台业务系统之间端到端的安全通道,有效提升了系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种基于IC卡的网络支付方法的流程示意图;
图2是本发明实施例的另一种基于IC卡的网络支付方法的流程示意图;
图3是本发明实施例的又一种基于IC卡的网络支付方法的流程示意图;
图4是本发明实施例的一种网络支付方法的交互示意图;
图5是本发明实施例的一种支付装置的结构示意图;
图6是图5的获取模块的其中一种结构组成示意图;
图7是本发明实施例的另一种支付装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,是本发明实施例的一种基于IC卡的网络支付方法的流程示意图,具体的,所述方法包括:
S101:根据客户端发送的签到指示获取签到密钥组。
其中,所述签到密钥组可包括数据加密密钥、PIN(Personal IdentificationNumber,个人识别码)密钥、MAC(Message Authentication Codes,报文鉴别码)密钥等等。
本发明实施例的所述方法可具体应用于能够对交易信息进行处理的、具有支付功能的终端设备中,即支付终端中,该支付终端可通过有线连接或者无线连接的方式接入手机、掌上电脑或PC(Personal Computer,个人电脑)等终端设备,比如通过USB(Universal Serial Bus,通用串行总线)接口接入PC,或者通过音频接口接入手机等等,从而与后台系统建立端到端的安全通道。该支付终端可包括接触/非接金融IC卡(Integrated Circuit Card,集成电路卡)读卡器、密码键盘、显示屏、存储等部件。
当该支付终端接入终端设备如PC时,若接收到PC客户端发送的签到指示,则可发起签到流程,从服务器获取签到密钥组,以便于通过签到密钥组中的各密钥对当前交易信息进行加密处理,确保信息传输的安全。
S102:接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文。
其中,所述交易信息可包括转入账号、支付金额、从IC银行卡上获取的转出账号以及所述IC银行卡的查询密码及交易密码等等。
本发明实施例的所述支付终端可受理境内外商业银行发行的符合PBOC2.0标准的金融IC卡,该支付终端支持包括借记/贷记主账户联机余额查询、转账,电子现金充值交易等金融交易功能,同时还支持基于网关支付和银联在线支付的IC卡有卡支付等,用户可根据显示的PC客户端界面确定交易类型。比如,用户可根据PC客户端显示的交易菜单选择转账功能,按照交易界面提示,插入转出卡IC卡,在终端上输入转入账号,转入金额,IC卡交易密码等交易信息,该交易密码等交易信息仅在该终端密码键盘上输入,并通过硬件加密。该终端生成包含上述交易信息的交易报文并发送至业务系统,以使业务系统对该交易信息进行处理。
需要说明的是,该数据加密密钥即DATA密钥,可用于对交易报文进行整体加密处理;PIN密钥,可用于对个人识别密码PIN进行独立加密;该MAC密钥可用于计算并验证交易报文完整性和正确性。
S103:根据获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理。
S104:将进行签名运算处理后的交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
具体的,在进行联机交易之前,该支付终端与后台业务系统可建立双向交互认证的安全通道,实时获取当前签到密钥组,并建立证书认证机制,对生成的交易报文进行签名运算处理,将交易信息通过签到密钥组中各密钥加密和证书验签后传输至业务系统,以使业务系统对当前交易信息进行处理。
实施本发明实施例可通过获取的签到密钥组中的密钥对当前交易信息进行加密,并对包含该交易信息的交易报文进行签名运算处理后发送业务系统,以对当前交易信息进行处理,可基于有卡有密的交易方式,建立支付终端与后台业务系统之间端到端的安全通道,有效地提升了系统的安全性。
请参见图2,是本发明实施例的另一种基于IC卡的网络支付方法的流程示意图,具体的,所述方法包括:
S201:若接收到客户端发送的签到指示,则发送签到请求至所述客户端,以通过所述客户端从用于进行报文管理的管理服务器获取签到密钥组。
其中,所述签到密钥组可包括数据加密密钥、PIN密钥、MAC密钥等等。
具体实施例中,该支付终端可通过有线连接或者无线连接的方式接入手机、掌上电脑或PC(Personal Computer,个人电脑)等终端设备,比如通过USB接口接入PC,或者通过音频接口接入手机等等,从而与后台业务系统建立端到端的安全通道。该支付终端可包括接触/非接金融IC卡读卡器、密码键盘、显示屏、存储等部件。
S202:接收所述客户端响应所述签到请求返回的签到密钥组。
当该支付终端接入终端设备如PC时,若接收到PC客户端发送的签到指示,则可发起签到流程以获取签到密钥组。具体的,该终端可发送签到请求至PC客户端,以触发该PC客户端从用于进行报文管理的管理服务器获取签到密钥组,以便于通过签到密钥组对当前交易信息进行加密处理,确保信息传输的安全。进一步的,该管理服务器可具体为银行系统中的自助业务运营控管服务器(可简写为ATMPH),通过该ATMPH还可对接收到的交易报文进行报文拆包、PIN解密等处理操作。
S203:接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文。
其中,所述交易信息可包括转入账号、支付金额、从IC银行卡上获取的转出账号以及所述IC银行卡的查询密码及交易密码等等。支付终端负责关键交易信息(如金额、密码)的录入,并进行反显确认。
具体的,本发明实施例的所述支付终端可受理境内外商业银行发行的符合PBOC2.0(Peoples Bank Of China2.0)标准的金融IC卡,PBOC2.0是中国人民银行颁布的第二代金融IC卡规范的简称,该支付终端支持包括借记/贷记主账户联机余额查询、转账,电子现金充值交易、互联网身份认证、电子票券下载、行业卡充值等金融交易功能,同时还支持基于网关支付和银联在线支付的IC卡有卡支付等,用户可根据显示的PC客户端界面确定交易类型,并获取该交易类型对应的交易信息。比如,用户可根据PC客户端显示的交易菜单选择转账功能,按照交易界面提示,插入转出卡IC卡,在终端上输入转入账号,转入金额,IC卡交易密码等交易信息,该终端生成包含上述交易信息的交易报文并发送至业务系统,以使业务系统对该交易信息进行处理。
需要说明的是,该数据加密密钥即DATA密钥,可用于对交易报文进行整体加密处理;PIN密钥,可用于对个人识别密码PIN进行独立加密;该MAC密钥可用于计算并验证交易报文完整性和正确性。
进一步的,交易密码等特定交易信息仅在该终端密码键盘上输入,并可通过获取的签到密钥如PIN密钥进行加密处理。具体的,本发明实施例可充分地利用该IC卡支付终端的硬件加密特性,有效保障交易安全。比如在用户输入PIN如交易密码并进行确认之后,可触发在硬件内部完成对该PIN的加密过程;进一步的,在该支付终端发送交易报文之前,同样可通过硬件对该交易报文进行加密,以确保交易报文是以密文的形式在终端设备和网络上传输,从而可有效防范交易报文被黑客或木马攻击和破解。
S204:根据获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理。
S205:将进行签名运算处理后的所述交易报文发送至所述客户端,以通过所述客户端将所述交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
将进行签名运算处理后的所述交易报文发送至所述客户端,以使所述客户端为所述交易报文封装https(Hypertext Transfer Protocol over Secure SocketLayer,安全超文本传输协议)报文头,并将封装https报文头的所述交易报文发送至网银服务器,通过所述网银服务器对所述交易报文进行签名验证处理;若所述网银服务器对所述交易报文签名验证成功,对所述交易报文的https报文头进行解封装处理,并将进行解封装处理后的所述交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
具体实施例中,在进行联机交易之前,该支付终端与后台业务系统可建立双向交互认证的安全通道,实时获取当前签到密钥组,并建立证书认证机制,对生成的交易报文进行签名运算处理,将交易信息通过签到密钥组加密和证书验签即签名验证处理之后传输至业务系统,以使业务系统对当前交易信息进行处理。
具体的,支付终端可将基于签到密钥组以及签名运算进行加密处理的交易报文发送至PC客户端,PC客户端负责将该终端加密后的报文转https格式,并通过互联网发往网上银行系统(可简写为EBS),EBS负责将报文进行签名验证处理,若签名验证成功,则可对该交易报文的https报文头进行解封装处理,并将报文转发企业级渠道服务整合系统(可简写为ECTIP)。ECTIP从报文头中记录交易要素,将加密的报文体穿透转发至ATMPH,由ATMPH负责报文拆包,处理交易逻辑以及路由转发到业务系统,以使所述业务系统对所述交易信息进行处理。该业务系统可以具体为核心银行业务处理系统(可简写为CCBS)或信用卡核心业务系统(可简写为CCS)。
实施本发明实施例可基于获取的签到密钥组中各密钥以及签名运算对包含当前交易信息的交易报文进行加密,并在报文传输过程中对该交易报文进行签名验证成功后发送至业务系统,以对当前交易信息进行处理。可基于有卡有密的交易方式,建立支付终端与后台业务系统之间端到端的安全通道,有效提升了系统的安全性。
请参见图3,是本发明实施例的又一种基于IC卡的网络支付方法的流程示意图,所述方法可具体应用于手机、个人电脑等终端设备中,具体的,所述方法包括:
S301:接收所述支付终端发起的签到请求,根据所述签到请求从用于进行报文管理的管理服务器获取签到密钥组,并将获取的所述签到密钥组发送给所述支付终端,以使所述支付终端根据所述签到密钥组中的密钥对获取的交易信息进行加密处理。
其中,所述签到密钥组可包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥等等。
具体实施例中,当该支付终端接入终端设备如PC时,可自动弹出或手动启动客户端。进一步可选地,PC客户端启动之后,还可触发进行网络连接检测以及对所述支付终端的安全检测等,并在完成网络连接检测以及对所述支付终端的安全检测,且检测结果均正常时,指示该支付终端进行签到。
若接收到当前接入的支付终端发起的签到请求,则触发从用于进行报文管理的服务器如ATMPH获取当前签到密钥组,并将该获取的签到密钥组推送给该支付终端。
S302:接收所述支付终端发送的包含当前交易信息的交易报文,并将所述交易报文转发至业务系统,以使所述业务系统对所述交易报文包含的交易信息进行处理。
该交易报文基于获取的签到密钥组中各密钥进行加密并进行报文签名运算处理。
S303:接收所述业务系统对所述交易信息进行处理后返回的交易处理结果,并将所述交易处理结果转发至所述支付终端。
若业务系统完成对当前交易信息的处理,则可返回交易处理成功消息至客户端,否则,返回交易处理失败消息。客户端接收到返回的交易处理成功或失败消息之后,通知当前接入的支付终端。
实施本发明实施例可在接收到支付终端发送的签到请求时触发获取当前签到密钥组,并将该签到密钥组发送给该终端,将该终端基于该签到密钥组中各密钥以及签名运算处理进行加密的交易信息发送给业务系统,以使该业务系统对当前交易信息进行处理,从而有效提升了系统的安全性。
请参见图4,是本发明实施例的一种网络支付方法的交互示意图,具体的。所述方法包括:
S1001:检测到支付终端接入时,启动客户端。
若检测到支付终端接入终端设备如PC,弹出客户端,PC客户端启动后,检测是否当前PC已连接至互联网,并检测支付终端是否正常。
S1002:发送签到指示。
S1003:发起签到。
S1004:获取签到密钥组。
其中,该签到密钥组可包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥等等。
若检测到已连接网络且该终端正常,PC客户端通知该终端发起一笔签到交易,从而获取签到密钥组。该PC客户端接收到支付终端发送的签到请求之后,可触发获取当前签到密钥组。具体的,可通过EBS以及ECTIP从ATMPH获取当前签到密钥组中各密钥,以便于通过该密钥对当前交易信息进行加密处理,确保信息传输的安全。
S1005:返回签到密钥组。
S1006:更新密钥。
在获取到当前签到密钥组之后,可将该签到密钥组返回至支付终端,并基于该签到密钥组中各密钥进行密钥更新,以通过获取的最新的各密钥对当前交易信息进行加密。
S1007:更新当前菜单。
进一步可选地,PC客户端还可检测该终端所对应的当前菜单版本是否为当前最新版本,并在检测结果为否时将当前菜单版本更新为最新菜单版本,以获取最新的菜单信息对应的交易功能。
S1008:选择转账功能,根据客户端指示插入转出IC卡,获取交易信息并生成包含该交易信息的交易报文。
用户可根据客户端显示的交易菜单选择交易功能,比如选择转账功能,则可按照交易界面提示,插入转出卡IC卡,在终端上输入转入账号,转入金额,IC卡交易密码等交易信息。该终端生成包含上述交易信息的交易报文并发送至业务系统,以使业务系统对该交易信息进行处理。具体的,可通过获取的数据加密密钥即DATA密钥对交易报文进行整体加密处理,通过PIN密钥对个人识别密码PIN进行独立加密,还可通过该MAC密钥计算并验证交易报文完整性和正确性。
S1009:将报文封装https报文头并发送。
S1010:进行签名验证处理,并对交易报文进行解封装处理。
具体的,支付终端可将基于签到密钥组中各密钥以及签名运算进行加密处理的交易报文发送至PC客户端,PC客户端负责将该终端加密后的报文转https格式,并通过互联网发往网上银行系统EBS。EBS负责将报文进行签名验证处理,若签名验证成功,则可对该交易报文的https报文头进行解封装处理。
S1011:发送处理后的交易报文。
S1012:转发报文。
进一步的,EBS可将接收到的交易报文转发至ECTIP,ECTIP从报文头中记录交易要素之后,可将加密的报文穿透发送至ATMPH指定地址端口。
S1013:解析报文并发送。
S1014:对交易信息进行处理。
ATMPH收到交易后,进行报文拆包、PIN解密,并按照业务系统如CCBS的新渠道模式发起转账交易(无需上送虚拟柜员号,只需上送机构号),处理交易逻辑以及路由转发到CCBS,以使CCBS对当前交易信息进行处理。
S1015:返回交易结果。
S1016:完成交易。
若CCBS完成对当前交易信息的处理,则可返回交易处理成功消息至客户端,否则,返回交易处理失败消息。客户端接收到返回的交易处理成功或失败消息之后,将交易结果通知到当前接入的支付终端,完成交易。
实施本发明实施例可基于实时获取到的当前签到密钥组中各密钥以及签名运算对包含当前交易信息的交易报文进行加密,并在报文传输过程中对该交易报文进行签名验证成功后发送至业务系统,以对当前交易信息进行处理。可基于有卡有密的交易方式,建立支付终端与后台业务系统之间端到端的安全通道,有效提升了系统的安全性。
请参见图5,是本发明实施例的一种支付装置的结构示意图,具体的,本发明实施例的所述装置可包括获取模块11、生成模块12、加密模块13以及发送模块14。其中,
所述获取模块11,用于根据客户端发送的签到指示获取签到密钥组。
其中,所述签到密钥组可包括数据加密密钥、PIN(Personal IdentificationNumber,个人识别码)密钥、MAC(Message Authentication Codes,报文鉴别码)密钥等等。
具体实施例中,该支付终端可通过有线连接或者无线连接的方式接入手机、掌上电脑或PC(Personal Computer,个人电脑)等终端设备,比如通过USB接口接入PC,或者通过音频接口接入手机等等,从而与后台系统建立端到端的安全通道。该支付终端可包括接触/非接金融IC卡读卡器、密码键盘、显示屏、存储等部件。
当该支付终端接入终端设备如PC时,若接收到PC客户端发送的签到指示,则可通过获取模块11发起签到流程,从服务器获取签到密钥组,以便于通过签到密钥组中各密钥对当前交易信息进行加密处理,确保信息传输的安全。
所述生成模块12,用于接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文。
其中,所述交易信息可包括转入账号、支付金额、从IC银行卡上获取的转出账号以及所述IC银行卡的查询密码及交易密码等等。
本发明实施例的所述支付终端可受理境内外商业银行发行的符合PBOC2.0(Peoples Bank Of China2.0)标准的金融IC卡,该支付终端支持包括借记/贷记主账户联机余额查询、转账,电子现金充值交易等金融交易功能,同时还支持基于网关支付和银联在线支付的IC卡有卡支付等,用户可根据显示的PC客户端界面确定交易类型。比如,用户可根据PC客户端显示的交易菜单选择转账功能,按照交易界面提示,插入转出卡IC卡,在终端上输入转入账号,转入金额,IC卡交易密码等交易信息,生成模块12控制生成包含上述交易信息的交易报文并发送至业务系统,以使业务系统对该交易信息进行处理。
需要说明的是,交易密码等交易信息仅在该终端密码键盘上输入,并通过硬件加密。具体的,本发明实施例可充分地利用该IC卡支付终端的硬件加密特性,有效保障交易安全。比如在用户输入PIN如交易密码并进行确认之后,可触发在硬件内部完成对该PIN的加密过程;进一步的,在该支付终端发送交易报文之前,同样可通过硬件对该交易报文进行加密,以确保交易报文是以密文的形式在终端设备和网络上传输,从而可有效防范交易报文被黑客或木马攻击和破解。
所述加密模块13,用于根据获取模块11获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理。
所述发送模块14,用于将进行签名运算处理后的交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
具体的,在进行联机交易之前,该支付终端与后台业务系统可建立双向交互认证的安全通道,加密模块13通过获取的“一次一密”的实时签到密钥组,并建立证书认证机制,对生成的交易报文进行签名运算处理,发送模块14将经过签到密钥组中各密钥加密和证书验签后的交易信息传输至业务系统,以使业务系统对当前交易信息进行处理。
实施本发明实施例可通过获取的签到密钥组中各密钥对当前交易信息进行加密,并对包含该交易信息的交易报文进行签名运算处理后发送业务系统,以对当前交易信息进行处理,可基于有卡有密的交易方式,建立支付终端与后台业务系统之间端到端的安全通道,有效提升了系统的安全性。
进一步可选地,请参见图6,是图5的获取模块11的其中一种结构组成示意图,所述获取模块11可包括:
信息获取单元111,用于若接收到客户端发送的签到指示,则发送签到请求至所述客户端,以通过所述客户端从用于进行报文管理的管理服务器获取签到密钥组。
其中,所述签到密钥组包括数据加密密钥、PIN密钥、MAC密钥等等。
信息接收单元112,用于接收所述客户端响应所述签到请求返回的签到密钥组。
当该支付终端接入终端设备如PC时,若接收到PC客户端发送的签到指示,则可发起签到流程以获取签到密钥组。具体的,该信息获取单元111可发送签到请求至PC客户端,以触发该PC客户端从用于进行报文管理的管理服务器获取签到密钥组,以便于通过签到密钥组中各密钥对当前交易信息进行加密处理,确保信息传输的安全。进一步的,该管理服务器可具体为银行系统中的自助业务运营控管服务器ATMPH,通过该ATMPH还可对接收到的交易报文进行报文拆包、PIN解密等处理操作。
进一步可选地,所述发送模块14可具体用于:
将进行签名运算处理后的所述交易报文发送至所述客户端,以使所述客户端为所述交易报文封装https报文头,并将封装https报文头的所述交易报文发送至网银服务器,通过所述网银服务器对所述交易报文进行签名验证处理;若所述网银服务器对所述交易报文签名验证成功,对所述交易报文的https报文头进行解封装处理,并将进行解封装处理后的所述交易报文发送至业务系统。
具体的,发送模块14可将基于签到密钥组中各密钥以及签名运算进行加密处理的交易报文发送至PC客户端,PC客户端负责将该终端加密后的报文转https格式,并通过互联网发往网上银行系统(可简写为EBS)。EBS负责将报文进行签名验证处理,若签名验证成功,则可对该交易报文的https报文头进行解封装处理,并将报文转发ECTIP。ECTIP从报文头中记录交易要素,将加密的报文体穿透转发至ATMPH,由ATMPH负责报文拆包,处理交易逻辑以及路由转发到业务系统,以使所述业务系统对所述交易信息进行处理。该业务系统可以具体为CCBS或CCS。
实施本发明实施例可基于获取的签到密钥组中各密钥以及签名运算对包含当前交易信息的交易报文进行加密,并在报文传输过程中对该交易报文进行签名验证成功后发送至业务系统,以对当前交易信息进行处理。可基于有卡有密的交易方式,建立支付终端与后台业务系统之间端到端的安全通道,有效提升了系统的安全性。
请参见图5,是本发明实施例的另一种支付装置的结构示意图,所述装置可具体设置于手机、个人电脑等终端设备中,具体的,本发明实施例的所述装置可包括第一发送模块21、第二发送模块22以及第三发送模块23。其中,
所述第一发送模块21,用于接收所述支付终端发起的签到请求,根据所述签到请求从用于进行报文管理的管理服务器获取签到密钥组,并将获取的所述签到密钥组发送给所述支付终端,以使所述支付终端根据所述签到密钥组中的密钥对获取的交易信息进行加密处理。
其中,所述签到密钥组可包括数据加密密钥、PIN密钥、MAC密钥等等。
具体实施例中,当该支付终端接入终端设备如PC时,可自动弹出或手动启动客户端。若第一发送模块21接收到当前接入的支付终端发起的签到请求,则触发从用于进行报文管理的服务器如ATMPH获取当前签到密钥组,并将该获取的签到密钥组推送给该支付终端。
第二发送模块22,用于接收所述支付终端发送的包含当前交易信息的交易报文,并将所述交易报文转发至业务系统,以使所述业务系统对所述交易报文包含的交易信息进行处理,所述交易报文由所述签到密钥组中的密钥进行加密并进行报文签名运算处理。
该交易报文基于获取的签到密钥组中各密钥进行加密并进行报文签名运算处理。
第三发送模块23,用于接收所述业务系统对所述交易信息进行处理后返回的交易处理结果,并将所述交易处理结果转发至所述支付终端。
若业务系统完成对当前交易信息的处理,则可返回交易处理成功消息至客户端,否则,返回交易处理失败消息。第三发送模块23在接收到返回的交易处理成功或失败消息之后,可将交易结果通知到当前接入的支付终端,完成交易。
进一步的,在本发明实施例中,所述装置还可包括:
检测模块24,用于若检测到支付终端接入,触发进行网络连接检测以及对所述支付终端的安全检测。
指示模块25,用于当所述检测模块24完成网络连接检测以及对所述支付终端的安全检测,且检测结果均正常时,指示所述支付终端进行签到。
进一步可选地,PC客户端启动之后,还可通过检测模块24进行网络连接检测以及对该支付终端的安全检测等,并在完成网络连接检测以及对该终端的安全检测,且检测结果均正常时,通过指示模块25指示该支付终端进行签到。
实施本发明实施例可在接收到支付终端发送的签到请求时触发获取当前签到密钥组,并将该签到密钥组发送给该终端,将该终端基于该签到密钥组中各密钥以及签名运算处理进行加密的交易信息发送给业务系统,以使该业务系统对当前交易信息进行处理,从而有效提升了系统的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (12)
1.一种基于IC卡的网络支付方法,其特征在于,包括:
根据客户端发送的签到指示获取签到密钥组,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个;
接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文,其中,所述交易信息包括转入账号、支付金额、从IC银行卡上获取的转出账号、所述IC银行卡的交易密码中的至少一项;
根据获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理;
将进行签名运算处理后的交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
2.如权利要求1所述的方法,其特征在于,所述根据客户端发送的签到指示获取签到密钥组,包括:
若接收到客户端发送的签到指示,则发送签到请求至所述客户端,以通过所述客户端从用于进行报文管理的管理服务器获取签到密钥组;
接收所述客户端响应所述签到请求返回的签到密钥组。
3.如权利要求1所述的方法,其特征在于,所述将进行签名运算处理后的交易报文发送至业务系统,包括:
将进行签名运算处理后的所述交易报文发送至所述客户端,以使所述客户端为所述交易报文封装安全超文本传输协议https报文头,并将封装所述https报文头的所述交易报文发送至网银服务器,通过所述网银服务器对所述交易报文进行签名验证处理;
若所述网银服务器对所述交易报文签名验证成功,则通过所述网银服务器对所述交易报文的https报文头进行解封装处理,并将进行解封装处理后的所述交易报文发送至业务系统。
4.如权利要求1-3任一项所述的方法,其特征在于,
所述IC银行卡的交易密码由所述个人识别码PIN密钥进行加密处理。
5.一种基于IC卡的网络支付方法,其特征在于,包括:
接收所述支付终端发起的签到请求,根据所述签到请求从用于进行报文管理的管理服务器获取签到密钥组,并将获取的所述签到密钥组发送给所述支付终端,以使所述支付终端根据所述签到密钥组中的密钥对获取的交易信息进行加密处理;
接收所述支付终端发送的包含当前交易信息的交易报文,并将所述交易报文转发至业务系统,以使所述业务系统对所述交易报文包含的交易信息进行处理,所述交易报文由所述签到密钥组中的密钥进行加密并进行报文签名运算处理;
接收所述业务系统对所述交易信息进行处理后返回的交易处理结果,并将所述交易处理结果转发至所述支付终端;
其中,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个。
6.如权利要求5所述的方法,其特征在于,在所述接收所述支付终端发起的签到请求,根据所述签到请求从用于进行报文管理的管理服务器获取签到密钥组之前,还包括:
若检测到支付终端接入,触发进行网络连接检测以及对所述支付终端的安全检测;
若完成网络连接检测以及对所述支付终端的安全检测,且检测结果均正常时,指示所述支付终端进行签到。
7.一种支付装置,其特征在于,包括:
获取模块,用于根据客户端发送的签到指示获取签到密钥组,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个;
生成模块,用于接收根据所述客户端显示的交易界面获取的交易信息,生成包含所述交易信息的交易报文,所述交易信息包括转入账号、支付金额、从IC银行卡上获取的转出账号、所述IC银行卡的交易密码中的至少一项;
加密模块,用于根据获取模块获取的所述签到密钥组中的密钥对所述交易信息进行加密,并对所述交易报文进行签名运算处理;
发送模块,用于将进行签名运算处理后的交易报文发送至业务系统,以使所述业务系统对所述交易信息进行处理。
8.如权利要求7所述的装置,其特征在于,所述获取模块包括:
信息获取单元,用于若接收到客户端发送的签到指示,则发送签到请求至所述客户端,以通过所述客户端从用于进行报文管理的管理服务器获取签到密钥组;
信息接收单元,用于接收所述客户端响应所述签到请求返回的签到密钥组。
9.如权利要求7所述的装置,其特征在于,所述发送模块具体用于:
将进行签名运算处理后的所述交易报文发送至所述客户端,以使所述客户端为所述交易报文封装安全超文本传输协议https报文头,并将封装所述https报文头的所述交易报文发送至网银服务器,通过所述网银服务器对所述交易报文进行签名验证处理;若所述网银服务器对所述交易报文签名验证成功,通过所述网银服务器对所述交易报文的https报文头进行解封装处理,并将进行解封装处理后的所述交易报文发送至业务系统。
10.如权利要求7-9任一项所述的装置,其特征在于,
所述IC银行卡的交易密码由所述个人识别码PIN密钥进行加密处理。
11.一种支付装置,其特征在于,包括:
第一发送模块,用于接收所述支付终端发起的签到请求,根据所述签到请求从用于进行报文管理的管理服务器获取签到密钥组,并将获取的所述签到密钥组发送给所述支付终端,以使所述支付终端根据所述签到密钥组中的密钥对获取的交易信息进行加密处理;
第二发送模块,用于接收所述支付终端发送的包含当前交易信息的交易报文,并将所述交易报文转发至业务系统,以使所述业务系统对所述交易报文包含的交易信息进行处理,所述交易报文由所述签到密钥组中的密钥进行加密并进行报文签名运算处理;
第三发送模块,用于接收所述业务系统对所述交易信息进行处理后返回的交易处理结果,并将所述交易处理结果转发至所述支付终端;
其中,所述签到密钥组包括数据加密密钥、个人识别码PIN密钥、报文鉴别码MAC密钥中的至少一个。
12.如权利要求11所述的装置,其特征在于,还包括:
检测模块,用于若检测到支付终端接入,触发进行网络连接检测以及对所述支付终端的安全检测;
指示模块,用于当所述检测模块完成网络连接检测以及对所述支付终端的安全检测,且检测结果均正常时,指示所述支付终端进行签到。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410253083.5A CN104077688A (zh) | 2014-06-09 | 2014-06-09 | 一种基于ic卡的网络支付方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410253083.5A CN104077688A (zh) | 2014-06-09 | 2014-06-09 | 一种基于ic卡的网络支付方法及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104077688A true CN104077688A (zh) | 2014-10-01 |
Family
ID=51598933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410253083.5A Pending CN104077688A (zh) | 2014-06-09 | 2014-06-09 | 一种基于ic卡的网络支付方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104077688A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506311A (zh) * | 2015-01-12 | 2015-04-08 | 飞天诚信科技股份有限公司 | 一种实现签到功能的方法 |
| CN104881782A (zh) * | 2015-05-11 | 2015-09-02 | 福建联迪商用设备有限公司 | 一种基于安全交易的方法、系统及客户端 |
| CN108154364A (zh) * | 2016-12-06 | 2018-06-12 | 上海方付通商务服务有限公司 | 可穿戴设备及具有所述可穿戴设备的支付系统及支付方法 |
| CN115033923A (zh) * | 2022-06-28 | 2022-09-09 | 深圳怡化电脑科技有限公司 | 一种交易隐私数据的保护方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103035083A (zh) * | 2012-11-29 | 2013-04-10 | 深圳市新国都技术股份有限公司 | 一种智能卡交易功能实现方法 |
| CN103198400A (zh) * | 2013-03-04 | 2013-07-10 | 江苏怡丰通信设备有限公司 | 一种蓝牙无线pos终端金融支付系统及其支付方法 |
| CN103714453A (zh) * | 2013-12-27 | 2014-04-09 | 福建联迪商用设备有限公司 | 基于智能设备的支付平台系统及支付方法 |
| CN103793818A (zh) * | 2014-01-01 | 2014-05-14 | 广东维升科技股份有限公司 | 多智能卡支付系统、方法、移动支付终端及可信平台 |
-
2014
- 2014-06-09 CN CN201410253083.5A patent/CN104077688A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103035083A (zh) * | 2012-11-29 | 2013-04-10 | 深圳市新国都技术股份有限公司 | 一种智能卡交易功能实现方法 |
| CN103198400A (zh) * | 2013-03-04 | 2013-07-10 | 江苏怡丰通信设备有限公司 | 一种蓝牙无线pos终端金融支付系统及其支付方法 |
| CN103714453A (zh) * | 2013-12-27 | 2014-04-09 | 福建联迪商用设备有限公司 | 基于智能设备的支付平台系统及支付方法 |
| CN103793818A (zh) * | 2014-01-01 | 2014-05-14 | 广东维升科技股份有限公司 | 多智能卡支付系统、方法、移动支付终端及可信平台 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506311A (zh) * | 2015-01-12 | 2015-04-08 | 飞天诚信科技股份有限公司 | 一种实现签到功能的方法 |
| CN104506311B (zh) * | 2015-01-12 | 2017-09-22 | 飞天诚信科技股份有限公司 | 一种实现签到功能的方法 |
| CN104881782A (zh) * | 2015-05-11 | 2015-09-02 | 福建联迪商用设备有限公司 | 一种基于安全交易的方法、系统及客户端 |
| CN108154364A (zh) * | 2016-12-06 | 2018-06-12 | 上海方付通商务服务有限公司 | 可穿戴设备及具有所述可穿戴设备的支付系统及支付方法 |
| CN115033923A (zh) * | 2022-06-28 | 2022-09-09 | 深圳怡化电脑科技有限公司 | 一种交易隐私数据的保护方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10902421B2 (en) | Provisioning payment credentials to a consumer | |
| US10515362B2 (en) | Methods and apparatus for card transactions | |
| EP2733655A1 (en) | Electronic payment method and device for securely exchanging payment information | |
| CA2914042C (en) | Methods and apparatus for performing local transactions | |
| US20110047593A1 (en) | System and method for secure management of transactions | |
| EP3248165A1 (en) | Transaction utilizing anonymized user data | |
| US20090327114A1 (en) | Systems and Methods For Secure Pin-Based Transactions Via a Host Based Pin Pad | |
| CN102968717A (zh) | 一种电子支付方法、相关设备及系统 | |
| US9336523B2 (en) | Managing a secure transaction | |
| CN104537562A (zh) | 一种金融自助系统的处理方法 | |
| KR20120078333A (ko) | 금융 서비스 제공 방법 및 시스템 | |
| KR20160030342A (ko) | 인터넷 접속 및 대응 단말기를 통해 상업적 웹사이트 상에서 제품 또는 서비스에 대해 결제하는 방법 | |
| CN103955820A (zh) | 一种无卡支付方法及装置 | |
| CN111476574A (zh) | 一种新型安全性ic卡和认证系统及方法 | |
| CN104899741A (zh) | 一种基于ic银行卡的在线支付方法以及在线支付系统 | |
| CN103268436A (zh) | 移动支付中一种基于触摸屏的图形化密码验证方法与系统 | |
| CN104077688A (zh) | 一种基于ic卡的网络支付方法及相关装置 | |
| CN103530768A (zh) | 移动通信支付系统及其用于费用支付的方法 | |
| AU2019234482B2 (en) | Techniques for secure channel communications | |
| CN106330888B (zh) | 一种保证互联网线上支付安全性的方法及装置 | |
| US20210385093A1 (en) | Digital signature terminal and secure communication method | |
| TW201317911A (zh) | 雲端信用卡交易系統及其交易方法 | |
| CN105591746B (zh) | 一种在线绑定受理终端的处理方法以及处理系统 | |
| TWI626606B (zh) | Electronic card establishment system and method thereof | |
| TWI496097B (zh) | Off - line value - added method and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141001 |
|
| WD01 | Invention patent application deemed withdrawn after publication |