CN106372874A - 一种基于云平台下物联网移动金融支付系统 - Google Patents

Abstract

本发明提供了一种基于云平台下物联网移动金融支付系统，包括：云订购平台，其为用户订购商品或服务的平台，在用户订购商品或服务时向中央交易系统发送订单信息；移动终端，用于提供登录云订购平台的接口以及用户结账的接口；客户端，用于读取移动终端发送的账户信息，并向中央交易系统发送支付请求；中央交易系统，用于响应客户端的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台，待接收到云订购平台返回的支付结果确认的应答后，向客户端返回支付成功确认的信息。本发明支持多样的支付方式，智能便捷。

Description

一种基于云平台下物联网移动金融支付系统

技术领域

本发明涉及物联网金融支付技术领域，具体涉及一种基于云平台下物联网移动金融支付系统。

背景技术

目前移动支付的运作模式主要有以下三类:以移动运营商为运营主体的移动支付业务、以银行为运营主体的移动支付业务和以独立的第三方为运营主体的移动支付业务。这三类模式各有优缺点，在移动支付业务产业价值链中，移动运营商、银行、第三方服务提供商拥有各自不同的资源优势，只有彼此合理分工、密切合作，建立科学合理的移动支付业务的运作模式,才能推动移动支付业务的健康发展，本发明就着以移动运营商、银行、第三方服务提供商共同合作的新模式开发出新的移动金融支付模式，惠及地方，实现各个环节之间的共赢。

相关技术中的移动金融支付系统存在移动支付恶意程序，转账困难，支付不方便，功能单一的问题。

发明内容

为解决上述问题，本发明旨在提供一种基于云平台下物联网移动金融支付系统。

本发明的目的采用以下技术方案来实现：

提供了一种基于云平台下物联网移动金融支付系统，包括中央交易系统、移动终端、客户端、云订购平台；所述云订购平台为用户订购商品或服务的平台，其在用户订购商品或服务时向中央交易系统发送订单信息；所述移动终端用于提供登录云订购平台的接口以及用户结账的接口；所述客户端用于读取移动终端发送的账户信息，并向中央交易系统发送支付请求；所述中央交易系统用于响应客户端的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台，待接收到云订购平台返回的支付结果确认的应答后，向客户端返回支付成功确认的信息；所述移动终端包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。

本发明的有益效果为：采用了云订购平台的云平台大数据存储数据信息进行信息共享，改变了现在支付系统的模式；移动终端包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端，实现了远程支付、近场支付联机消费和近场支付脱机消费的功能，从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本发明结构连接示意图。

图2是本发明数据安全管理系统的结构示意图。

附图标记：

中央交易系统1、移动终端2、客户端3、数据安全管理系统4、云订购平台5、数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43、安全管理中心44。

具体实施方式

结合以下实施例对本发明作进一步描述。

应用场景1

参见图1、图2，本应用场景的一个实施例的基于云平台下物联网移动金融支付系统，包括中央交易系统1、移动终端2、客户端3、云订购平台5；所述云订购平台5为用户订购商品或服务的平台，其在用户订购商品或服务时向中央交易系统1发送订单信息；所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口；所述客户端3用于读取移动终端2发送的账户信息，并向中央交易系统1发送支付请求；所述中央交易系统1用于响应客户端3的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台5，待接收到云订购平台5返回的支付结果确认的应答后，向客户端3返回支付成功确认的信息；所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。

本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享，改变了现在支付系统的模式；移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端，实现了远程支付、近场支付联机消费和近场支付脱机消费的功能，从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。

优选的，所述的云订购平台5具体采用云存储平台，云存储平台采用Web开发语言PHP作为首选的支持语言，Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试，团队开发时还进行成员协作，不同的角色对代码、项目拥有不同的权限。

本优选实施例采用云存储平台，可以实现大量数据的存储。

优选的，所述的现场受理终端包括移动无线POS机，设置智能电子标签连接在移动无线POS机的前侧，智能电子标签具体采用RFID射频识别器。

本优选实施例运用了物联网RFID识别技术，实现了为智能终端的支付扫描部分提供了信息录入。

优选的，所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4；所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44；所述数据服务系统40用于负责商品信息的存储、备份及查询；所述数据预处理系统41用于将商户需要保密的信息数据进行预处理；所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密；所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备；所述安全管理中心44用于对各系统安全进行统一监控管理。

本优选实施例构建了数据安全管理系统4的系统结构。

优选的，所述负责商品信息的存储、备份及查询，包括：

(1)对商品信息的数据格式进行转换，建立适用于非关系数据库进行存储的格式；

(2)将商品信息数据分为基础数据和专业数据，采用集中式和分布式结合的策略对数据进行存储，存储时所有数据都进行备份；所述集中式和分布式结合的策略包括：对于高于预设频率的基础数据采用集中式存储，由数据管理中心统一维护，对于低于预设频率的专业数据采用分布式存储，由各专业数据中心分别维护；

(3)建立相应的数据检索算法，对数据进行快速检索，所述数据检索算法采用目录检索和搜索引擎相结合的方式进行，具体包括：建立数据目录，根据目录对数据进行初步检索；在搜索引擎输入关键词，对数据进行精确检索；搜索引擎按照一定的方式寻找匹配的数据，并根据数据与关键词的匹配程度进行排序反馈给客户。

本优选实施例采用目录检索和搜索引擎结合的检索算法，能够快速、准确的获取数据。

优选的，所述对各系统安全进行统一监控管理，包括：

(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术，配备相关的安全防护设备，形成完整的安全防护体制；

(2)建立有效的数据安全策略，对商品信息数据存储、传输、访问过程中的安全进行综合考虑，不仅对商品信息数据进行加密，同时对商品信息数据的传输协议进行加密；

(3)建立病毒和木马防御机制，定期更新病毒库和升级防火墙，更新周期为T，T取值为6-10天，对检测到的异常数据要进行分析，并发出预警。

本优选实施例实现了对各系统安全的统一监控管理。

优选的，所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元，所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合；所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序，将每个数据集合中的第一个数据单元按序抽取出来，与所述排序规则一起保存作为小块数据，其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联；所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略，包括：

(1)基于被数据抽取单元处理后的互斥的数据集合，构建层次化数据数结构，所述层次化数据树结构为三层数据树结构，其包括服务层、逻辑层和物理层，所述服务层为与数据调度服务相关的树根节点，所述逻辑层为访问控制安全策略中关联的数据，所述物理层包含所有互斥的数据集合中的数据单元；

(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略，将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上，从而将访问控制安全策略中的规则细化到数据维度；

(3)在每个所述互斥的数据集合中的数据单元上进行规则优化，以删除分配在每个数据单元上的规则的冲突和冗余；

(4)合并优化后的规则，生成优化的访问控制安全策略。

优选的，所述将用户需要上传的信息数据存储至相应的存储设备，包括：

(1)将小块数据存储至本地存储器，并采用用户定义的加密技术对小块数据进行加密；

(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器；其中，当云存储器接收到数据后，云对该数据进行完整性校验后保存在存储节点中。

上述两个优选实施例设置数据预处理系统41，先对需要保密的信息数据进行数据分割和数据抽取处理，再进行访问控制安全策略中的规则细化，可以减少数据存储的物理存储空间，降低存储的开销，并消除访问控制安全策略中的冲突和冗余，提高访问控制决策效率；通过数据抽取处理抽取部分数据存储到本地存储器中，其余数据设置相应的访问控制安全策略后存储至云存储器中，解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐，可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据，提高了需保密的信息数据存储的安全性能。

优选的，所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成，所述对需要保密的信息数据进行加密或解密，包括：

(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID，包括：

A、进行初始化，可信三方设定系统参数为其中α为随机整数；

B、对于每个合法用户，可信三方分配UAID并为其生成证书：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同时，公布合法用户的身份验证参数其中，C_UAID∈Z_P；

C、为数据拥有者和合法用户生成身份密钥对；

(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥，其中所述基于身份的加解密密钥包括身份公钥GK_UAID和身份私钥CK_UAID，所述属性加解密密钥包括属性公钥GK_AID和属性私钥CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_X=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID为单个属性机构能够分配的属性集合，GK_x为属性x的公钥，B_x为属性x的版本号，∝_AID为属性机构的私钥参数，β_AID为属性更新参数，AS_UAID,AID为根据属性机构的身份分配的属性集合，γ为属性机构随机选择的参数，γ,∝_AID,β_AID∈Z_P；

(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密，得到密文CT，然后分别利用身份公钥和属性公钥对数据密钥加密，生成身份密钥密文CT_U和属性密钥密文CT_A，包括：

A、随机生成两个固定长度的字符串IK,AK，合并生成数据密钥DK：

DK＝IK||AK

B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密，得到密文CT后，利用属性公钥对AK加密，生成属性密钥密文CT_A，利用身份公钥对IK加密，生成身份密钥密文CT_U；

(4)进行代理重加密，当收到用户的数据请求时，云利用代理重加密密钥将身份密钥密文CT_U转化为指定用户可解密的密文，其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成；

(5)进行数据解密时，用户收到数据后，分别利用身份私钥CK_UAID和属性私钥CK_AID解密身份密钥密文CT_U和属性密钥密文CT_A，然后重构数据密钥，解密密文CT；

(6)进行属性和身份密钥的更新。

本优选实施例通过设置云存储加解密系统42，能够实现对多类型的大数据的细粒度访问控制和隐私保护，同时抵御用户和属性机构共谋；对需存储到云存储器的数据，分别构造基于身份的加解密密钥、属性加解密密钥，合并构成数据加密密钥对该数据进行加密，从而只有同时满足身份和属性双重条件的用户可以解密，极大提高了数据安全管理系统4的安全性能。

在此应用场景中，更新周期T取6，数据安全管理系统4的安全性相对提高了12％。

应用场景2

参见图1、图2，本应用场景的一个实施例的基于云平台下物联网移动金融支付系统，包括中央交易系统1、移动终端2、客户端3、云订购平台5；所述云订购平台5为用户订购商品或服务的平台，其在用户订购商品或服务时向中央交易系统1发送订单信息；所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口；所述客户端3用于读取移动终端2发送的账户信息，并向中央交易系统1发送支付请求；所述中央交易系统1用于响应客户端3的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台5，待接收到云订购平台5返回的支付结果确认的应答后，向客户端3返回支付成功确认的信息；所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。

本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享，改变了现在支付系统的模式；移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端，实现了远程支付、近场支付联机消费和近场支付脱机消费的功能，从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。

优选的，所述的云订购平台5具体采用云存储平台，云存储平台采用Web开发语言PHP作为首选的支持语言，Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试，团队开发时还进行成员协作，不同的角色对代码、项目拥有不同的权限。

本优选实施例采用云存储平台，可以实现大量数据的存储。

优选的，所述的现场受理终端包括移动无线POS机，设置智能电子标签连接在移动无线POS机的前侧，智能电子标签具体采用RFID射频识别器。

本优选实施例运用了物联网RFID识别技术，实现了为智能终端的支付扫描部分提供了信息录入。

优选的，所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4；所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44；所述数据服务系统40用于负责商品信息的存储、备份及查询；所述数据预处理系统41用于将商户需要保密的信息数据进行预处理；所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密；所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备；所述安全管理中心44用于对各系统安全进行统一监控管理。

本优选实施例构建了数据安全管理系统4的系统结构。

优选的，所述负责商品信息的存储、备份及查询，包括：

(1)对商品信息的数据格式进行转换，建立适用于非关系数据库进行存储的格式；

(2)将商品信息数据分为基础数据和专业数据，采用集中式和分布式结合的策略对数据进行存储，存储时所有数据都进行备份；所述集中式和分布式结合的策略包括：对于高于预设频率的基础数据采用集中式存储，由数据管理中心统一维护，对于低于预设频率的专业数据采用分布式存储，由各专业数据中心分别维护；

(3)建立相应的数据检索算法，对数据进行快速检索，所述数据检索算法采用目录检索和搜索引擎相结合的方式进行，具体包括：建立数据目录，根据目录对数据进行初步检索；在搜索引擎输入关键词，对数据进行精确检索；搜索引擎按照一定的方式寻找匹配的数据，并根据数据与关键词的匹配程度进行排序反馈给客户。

本优选实施例采用目录检索和搜索引擎结合的检索算法，能够快速、准确的获取数据。

优选的，所述对各系统安全进行统一监控管理，包括：

(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术，配备相关的安全防护设备，形成完整的安全防护体制；

(2)建立有效的数据安全策略，对商品信息数据存储、传输、访问过程中的安全进行综合考虑，不仅对商品信息数据进行加密，同时对商品信息数据的传输协议进行加密；

(3)建立病毒和木马防御机制，定期更新病毒库和升级防火墙，更新周期为T，T取值为6-10天，对检测到的异常数据要进行分析，并发出预警。

本优选实施例实现了对各系统安全的统一监控管理。

优选的，所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元，所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合；所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序，将每个数据集合中的第一个数据单元按序抽取出来，与所述排序规则一起保存作为小块数据，其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联；所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略，包括：

(1)基于被数据抽取单元处理后的互斥的数据集合，构建层次化数据数结构，所述层次化数据树结构为三层数据树结构，其包括服务层、逻辑层和物理层，所述服务层为与数据调度服务相关的树根节点，所述逻辑层为访问控制安全策略中关联的数据，所述物理层包含所有互斥的数据集合中的数据单元；

(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略，将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上，从而将访问控制安全策略中的规则细化到数据维度；

(3)在每个所述互斥的数据集合中的数据单元上进行规则优化，以删除分配在每个数据单元上的规则的冲突和冗余；

(4)合并优化后的规则，生成优化的访问控制安全策略。

优选的，所述将用户需要上传的信息数据存储至相应的存储设备，包括：

(1)将小块数据存储至本地存储器，并采用用户定义的加密技术对小块数据进行加密；

(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器；其中，当云存储器接收到数据后，云对该数据进行完整性校验后保存在存储节点中。

上述两个优选实施例设置数据预处理系统41，先对需要保密的信息数据进行数据分割和数据抽取处理，再进行访问控制安全策略中的规则细化，可以减少数据存储的物理存储空间，降低存储的开销，并消除访问控制安全策略中的冲突和冗余，提高访问控制决策效率；通过数据抽取处理抽取部分数据存储到本地存储器中，其余数据设置相应的访问控制安全策略后存储至云存储器中，解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐，可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据，提高了需保密的信息数据存储的安全性能。

优选的，所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成，所述对需要保密的信息数据进行加密或解密，包括：

(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID，包括：

A、进行初始化，可信三方设定系统参数为其中α为随机整数；

B、对于每个合法用户，可信三方分配UAID并为其生成证书：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同时，公布合法用户的身份验证参数其中，C_UAID∈Z_P；

C、为数据拥有者和合法用户生成身份密钥对；

(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥，其中所述基于身份的加解密密钥包括身份公钥GK_UAID和身份私钥CK_UAID，所述属性加解密密钥包括属性公钥GK_AID和属性私钥CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID为单个属性机构能够分配的属性集合，GK_x为属性x的公钥，B_x为属性x的版本号，∝_AID为属性机构的私钥参数，β_AID为属性更新参数，AS_UAID,AID为根据属性机构的身份分配的属性集合，γ为属性机构随机选择的参数，γ,∝_AID,β_AID∈Z_P；

(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密，得到密文CT，然后分别利用身份公钥和属性公钥对数据密钥加密，生成身份密钥密文CT_U和属性密钥密文CT_A，包括：

A、随机生成两个固定长度的字符串IK,AK，合并生成数据密钥DK：

DK＝IK||AK

B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密，得到密文CT后，利用属性公钥对AK加密，生成属性密钥密文CT_A，利用身份公钥对IK加密，生成身份密钥密文CT_U；

(4)进行代理重加密，当收到用户的数据请求时，云利用代理重加密密钥将身份密钥密文CT_U转化为指定用户可解密的密文，其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成；

(5)进行数据解密时，用户收到数据后，分别利用身份私钥CK_UAID和属性私钥CK_AID解密身份密钥密文CT_U和属性密钥密文CT_A，然后重构数据密钥，解密密文CT；

(6)进行属性和身份密钥的更新。

本优选实施例通过设置云存储加解密系统42，能够实现对多类型的大数据的细粒度访问控制和隐私保护，同时抵御用户和属性机构共谋；对需存储到云存储器的数据，分别构造基于身份的加解密密钥、属性加解密密钥，合并构成数据加密密钥对该数据进行加密，从而只有同时满足身份和属性双重条件的用户可以解密，极大提高了数据安全管理系统4的安全性能。

在此应用场景中，更新周期T取7，数据安全管理系统4的安全性相对提高了11％。

应用场景3

参见图1、图2，本应用场景的一个实施例的基于云平台下物联网移动金融支付系统，包括中央交易系统1、移动终端2、客户端3、云订购平台5；所述云订购平台5为用户订购商品或服务的平台，其在用户订购商品或服务时向中央交易系统1发送订单信息；所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口；所述客户端3用于读取移动终端2发送的账户信息，并向中央交易系统1发送支付请求；所述中央交易系统1用于响应客户端3的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台5，待接收到云订购平台5返回的支付结果确认的应答后，向客户端3返回支付成功确认的信息；所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。

本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享，改变了现在支付系统的模式；移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端，实现了远程支付、近场支付联机消费和近场支付脱机消费的功能，从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。

优选的，所述的云订购平台5具体采用云存储平台，云存储平台采用Web开发语言PHP作为首选的支持语言，Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试，团队开发时还进行成员协作，不同的角色对代码、项目拥有不同的权限。

本优选实施例采用云存储平台，可以实现大量数据的存储。

优选的，所述的现场受理终端包括移动无线POS机，设置智能电子标签连接在移动无线POS机的前侧，智能电子标签具体采用RFID射频识别器。

本优选实施例运用了物联网RFID识别技术，实现了为智能终端的支付扫描部分提供了信息录入。

优选的，所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4；所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44；所述数据服务系统40用于负责商品信息的存储、备份及查询；所述数据预处理系统41用于将商户需要保密的信息数据进行预处理；所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密；所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备；所述安全管理中心44用于对各系统安全进行统一监控管理。

本优选实施例构建了数据安全管理系统4的系统结构。

优选的，所述负责商品信息的存储、备份及查询，包括：

(1)对商品信息的数据格式进行转换，建立适用于非关系数据库进行存储的格式；

(2)将商品信息数据分为基础数据和专业数据，采用集中式和分布式结合的策略对数据进行存储，存储时所有数据都进行备份；所述集中式和分布式结合的策略包括：对于高于预设频率的基础数据采用集中式存储，由数据管理中心统一维护，对于低于预设频率的专业数据采用分布式存储，由各专业数据中心分别维护；

(3)建立相应的数据检索算法，对数据进行快速检索，所述数据检索算法采用目录检索和搜索引擎相结合的方式进行，具体包括：建立数据目录，根据目录对数据进行初步检索；在搜索引擎输入关键词，对数据进行精确检索；搜索引擎按照一定的方式寻找匹配的数据，并根据数据与关键词的匹配程度进行排序反馈给客户。

本优选实施例采用目录检索和搜索引擎结合的检索算法，能够快速、准确的获取数据。

优选的，所述对各系统安全进行统一监控管理，包括：

(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术，配备相关的安全防护设备，形成完整的安全防护体制；

(2)建立有效的数据安全策略，对商品信息数据存储、传输、访问过程中的安全进行综合考虑，不仅对商品信息数据进行加密，同时对商品信息数据的传输协议进行加密；

(3)建立病毒和木马防御机制，定期更新病毒库和升级防火墙，更新周期为T，T取值为6-10天，对检测到的异常数据要进行分析，并发出预警。

本优选实施例实现了对各系统安全的统一监控管理。

优选的，所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元，所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合；所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序，将每个数据集合中的第一个数据单元按序抽取出来，与所述排序规则一起保存作为小块数据，其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联；所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略，包括：

(1)基于被数据抽取单元处理后的互斥的数据集合，构建层次化数据数结构，所述层次化数据树结构为三层数据树结构，其包括服务层、逻辑层和物理层，所述服务层为与数据调度服务相关的树根节点，所述逻辑层为访问控制安全策略中关联的数据，所述物理层包含所有互斥的数据集合中的数据单元；

(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略，将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上，从而将访问控制安全策略中的规则细化到数据维度；

(3)在每个所述互斥的数据集合中的数据单元上进行规则优化，以删除分配在每个数据单元上的规则的冲突和冗余；

(4)合并优化后的规则，生成优化的访问控制安全策略。

优选的，所述将用户需要上传的信息数据存储至相应的存储设备，包括：

(1)将小块数据存储至本地存储器，并采用用户定义的加密技术对小块数据进行加密；

(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器；其中，当云存储器接收到数据后，云对该数据进行完整性校验后保存在存储节点中。

上述两个优选实施例设置数据预处理系统41，先对需要保密的信息数据进行数据分割和数据抽取处理，再进行访问控制安全策略中的规则细化，可以减少数据存储的物理存储空间，降低存储的开销，并消除访问控制安全策略中的冲突和冗余，提高访问控制决策效率；通过数据抽取处理抽取部分数据存储到本地存储器中，其余数据设置相应的访问控制安全策略后存储至云存储器中，解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐，可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据，提高了需保密的信息数据存储的安全性能。

优选的，所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成，所述对需要保密的信息数据进行加密或解密，包括：

(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID，包括：

A、进行初始化，可信三方设定系统参数为其中α为随机整数；

B、对于每个合法用户，可信三方分配UAID并为其生成证书：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同时，公布合法用户的身份验证参数其中，C_UAID∈Z_P；

C、为数据拥有者和合法用户生成身份密钥对；

(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥，其中所述基于身份的加解密密钥包括身份公钥GK_UAID和身份私钥CK_UAID，所述属性加解密密钥包括属性公钥GK_AID和属性私钥CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID为单个属性机构能够分配的属性集合，GK_x为属性x的公钥，B_x为属性x的版本号，∝_AID为属性机构的私钥参数，β_AID为属性更新参数，AS_UAID,AID为根据属性机构的身份分配的属性集合，γ为属性机构随机选择的参数，γ,∝_AID,β_AID∈Z_P；

(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密，得到密文CT，然后分别利用身份公钥和属性公钥对数据密钥加密，生成身份密钥密文CT_U和属性密钥密文CT_A，包括：

A、随机生成两个固定长度的字符串IK,AK，合并生成数据密钥DK：

DK＝IK||AK

B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密，得到密文CT后，利用属性公钥对AK加密，生成属性密钥密文CT_A，利用身份公钥对IK加密，生成身份密钥密文CT_U；

(4)进行代理重加密，当收到用户的数据请求时，云利用代理重加密密钥将身份密钥密文CT_U转化为指定用户可解密的密文，其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成；

(5)进行数据解密时，用户收到数据后，分别利用身份私钥CK_UAID和属性私钥CK_AID解密身份密钥密文CT_U和属性密钥密文CT_A，然后重构数据密钥，解密密文CT；

(6)进行属性和身份密钥的更新。

本优选实施例通过设置云存储加解密系统42，能够实现对多类型的大数据的细粒度访问控制和隐私保护，同时抵御用户和属性机构共谋；对需存储到云存储器的数据，分别构造基于身份的加解密密钥、属性加解密密钥，合并构成数据加密密钥对该数据进行加密，从而只有同时满足身份和属性双重条件的用户可以解密，极大提高了数据安全管理系统4的安全性能。

在此应用场景中，更新周期T取8，数据安全管理系统4的安全性相对提高了10％。

应用场景4

参见图1、图2，本应用场景的一个实施例的基于云平台下物联网移动金融支付系统，包括中央交易系统1、移动终端2、客户端3、云订购平台5；所述云订购平台5为用户订购商品或服务的平台，其在用户订购商品或服务时向中央交易系统1发送订单信息；所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口；所述客户端3用于读取移动终端2发送的账户信息，并向中央交易系统1发送支付请求；所述中央交易系统1用于响应客户端3的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台5，待接收到云订购平台5返回的支付结果确认的应答后，向客户端3返回支付成功确认的信息；所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。

本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享，改变了现在支付系统的模式；移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端，实现了远程支付、近场支付联机消费和近场支付脱机消费的功能，从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。

优选的，所述的云订购平台5具体采用云存储平台，云存储平台采用Web开发语言PHP作为首选的支持语言，Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试，团队开发时还进行成员协作，不同的角色对代码、项目拥有不同的权限。

本优选实施例采用云存储平台，可以实现大量数据的存储。

优选的，所述的现场受理终端包括移动无线POS机，设置智能电子标签连接在移动无线POS机的前侧，智能电子标签具体采用RFID射频识别器。

本优选实施例运用了物联网RFID识别技术，实现了为智能终端的支付扫描部分提供了信息录入。

优选的，所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4；所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44；所述数据服务系统40用于负责商品信息的存储、备份及查询；所述数据预处理系统41用于将商户需要保密的信息数据进行预处理；所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密；所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备；所述安全管理中心44用于对各系统安全进行统一监控管理。

本优选实施例构建了数据安全管理系统4的系统结构。

优选的，所述负责商品信息的存储、备份及查询，包括：

(1)对商品信息的数据格式进行转换，建立适用于非关系数据库进行存储的格式；

(2)将商品信息数据分为基础数据和专业数据，采用集中式和分布式结合的策略对数据进行存储，存储时所有数据都进行备份；所述集中式和分布式结合的策略包括：对于高于预设频率的基础数据采用集中式存储，由数据管理中心统一维护，对于低于预设频率的专业数据采用分布式存储，由各专业数据中心分别维护；

(3)建立相应的数据检索算法，对数据进行快速检索，所述数据检索算法采用目录检索和搜索引擎相结合的方式进行，具体包括：建立数据目录，根据目录对数据进行初步检索；在搜索引擎输入关键词，对数据进行精确检索；搜索引擎按照一定的方式寻找匹配的数据，并根据数据与关键词的匹配程度进行排序反馈给客户。

本优选实施例采用目录检索和搜索引擎结合的检索算法，能够快速、准确的获取数据。

优选的，所述对各系统安全进行统一监控管理，包括：

(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术，配备相关的安全防护设备，形成完整的安全防护体制；

(2)建立有效的数据安全策略，对商品信息数据存储、传输、访问过程中的安全进行综合考虑，不仅对商品信息数据进行加密，同时对商品信息数据的传输协议进行加密；

(3)建立病毒和木马防御机制，定期更新病毒库和升级防火墙，更新周期为T，T取值为6-10天，对检测到的异常数据要进行分析，并发出预警。

本优选实施例实现了对各系统安全的统一监控管理。

优选的，所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元，所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合；所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序，将每个数据集合中的第一个数据单元按序抽取出来，与所述排序规则一起保存作为小块数据，其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联；所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略，包括：

(1)基于被数据抽取单元处理后的互斥的数据集合，构建层次化数据数结构，所述层次化数据树结构为三层数据树结构，其包括服务层、逻辑层和物理层，所述服务层为与数据调度服务相关的树根节点，所述逻辑层为访问控制安全策略中关联的数据，所述物理层包含所有互斥的数据集合中的数据单元；

(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略，将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上，从而将访问控制安全策略中的规则细化到数据维度；

(3)在每个所述互斥的数据集合中的数据单元上进行规则优化，以删除分配在每个数据单元上的规则的冲突和冗余；

(4)合并优化后的规则，生成优化的访问控制安全策略。

优选的，所述将用户需要上传的信息数据存储至相应的存储设备，包括：

(1)将小块数据存储至本地存储器，并采用用户定义的加密技术对小块数据进行加密；

(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器；其中，当云存储器接收到数据后，云对该数据进行完整性校验后保存在存储节点中。

上述两个优选实施例设置数据预处理系统41，先对需要保密的信息数据进行数据分割和数据抽取处理，再进行访问控制安全策略中的规则细化，可以减少数据存储的物理存储空间，降低存储的开销，并消除访问控制安全策略中的冲突和冗余，提高访问控制决策效率；通过数据抽取处理抽取部分数据存储到本地存储器中，其余数据设置相应的访问控制安全策略后存储至云存储器中，解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐，可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据，提高了需保密的信息数据存储的安全性能。

优选的，所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成，所述对需要保密的信息数据进行加密或解密，包括：

(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID，包括：

A、进行初始化，可信三方设定系统参数为其中α为随机整数；

B、对于每个合法用户，可信三方分配UAID并为其生成证书：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同时，公布合法用户的身份验证参数其中，C_UAID∈Z_P；

C、为数据拥有者和合法用户生成身份密钥对；

(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥，其中所述基于身份的加解密密钥包括身份公钥GK_UAID和身份私钥CK_UAID，所述属性加解密密钥包括属性公钥GK_AID和属性私钥CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID为单个属性机构能够分配的属性集合，GK_x为属性x的公钥，B_x为属性x的版本号，∝_AID为属性机构的私钥参数，β_AID为属性更新参数，AS_UAID,AID为根据属性机构的身份分配的属性集合，γ为属性机构随机选择的参数，γ,∝_AID,β_AID∈Z_P；

(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密，得到密文CT，然后分别利用身份公钥和属性公钥对数据密钥加密，生成身份密钥密文CT_U和属性密钥密文CT_A，包括：

A、随机生成两个固定长度的字符串IK,AK，合并生成数据密钥DK：

DK＝IK||AK

B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密，得到密文CT后，利用属性公钥对AK加密，生成属性密钥密文CT_A，利用身份公钥对IK加密，生成身份密钥密文CT_U；

(4)进行代理重加密，当收到用户的数据请求时，云利用代理重加密密钥将身份密钥密文CT_U转化为指定用户可解密的密文，其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成；

(5)进行数据解密时，用户收到数据后，分别利用身份私钥CK_UAID和属性私钥CK_AID解密身份密钥密文CT_U和属性密钥密文CT_A，然后重构数据密钥，解密密文CT；

(6)进行属性和身份密钥的更新。

本优选实施例通过设置云存储加解密系统42，能够实现对多类型的大数据的细粒度访问控制和隐私保护，同时抵御用户和属性机构共谋；对需存储到云存储器的数据，分别构造基于身份的加解密密钥、属性加解密密钥，合并构成数据加密密钥对该数据进行加密，从而只有同时满足身份和属性双重条件的用户可以解密，极大提高了数据安全管理系统4的安全性能。

在此应用场景中，更新周期T取9，数据安全管理系统4的安全性相对提高了9％。

应用场景5

参见图1、图2，本应用场景的一个实施例的基于云平台下物联网移动金融支付系统，包括中央交易系统1、移动终端2、客户端3、云订购平台5；所述云订购平台5为用户订购商品或服务的平台，其在用户订购商品或服务时向中央交易系统1发送订单信息；所述移动终端2用于提供登录云订购平台5的接口以及用户结账的接口；所述客户端3用于读取移动终端2发送的账户信息，并向中央交易系统1发送支付请求；所述中央交易系统1用于响应客户端3的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台5，待接收到云订购平台5返回的支付结果确认的应答后，向客户端3返回支付成功确认的信息；所述移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。

本发明上述实施例采用了云订购平台5的云平台大数据存储数据信息进行信息共享，改变了现在支付系统的模式；移动终端2包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端，实现了远程支付、近场支付联机消费和近场支付脱机消费的功能，从而解决了相关技术中的移动金融支付系统存在功能单一的技术问题。

优选的，所述的云订购平台5具体采用云存储平台，云存储平台采用Web开发语言PHP作为首选的支持语言，Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试，团队开发时还进行成员协作，不同的角色对代码、项目拥有不同的权限。

本优选实施例采用云存储平台，可以实现大量数据的存储。

优选的，所述的现场受理终端包括移动无线POS机，设置智能电子标签连接在移动无线POS机的前侧，智能电子标签具体采用RFID射频识别器。

本优选实施例运用了物联网RFID识别技术，实现了为智能终端的支付扫描部分提供了信息录入。

优选的，所述基于云平台下物联网移动金融支付系统还包括用于管理云订购平台5中的数据的数据安全管理系统4；所述数据安全管理系统4包括数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43和安全管理中心44；所述数据服务系统40用于负责商品信息的存储、备份及查询；所述数据预处理系统41用于将商户需要保密的信息数据进行预处理；所述云存储加解密系统42用于按照优化的访问控制安全策略对需要保密的信息数据进行加密或解密；所述控制系统43用于将用户需要上传的信息数据存储至相应的存储设备；所述安全管理中心44用于对各系统安全进行统一监控管理。

本优选实施例构建了数据安全管理系统4的系统结构。

优选的，所述负责商品信息的存储、备份及查询，包括：

(1)对商品信息的数据格式进行转换，建立适用于非关系数据库进行存储的格式；

(2)将商品信息数据分为基础数据和专业数据，采用集中式和分布式结合的策略对数据进行存储，存储时所有数据都进行备份；所述集中式和分布式结合的策略包括：对于高于预设频率的基础数据采用集中式存储，由数据管理中心统一维护，对于低于预设频率的专业数据采用分布式存储，由各专业数据中心分别维护；

(3)建立相应的数据检索算法，对数据进行快速检索，所述数据检索算法采用目录检索和搜索引擎相结合的方式进行，具体包括：建立数据目录，根据目录对数据进行初步检索；在搜索引擎输入关键词，对数据进行精确检索；搜索引擎按照一定的方式寻找匹配的数据，并根据数据与关键词的匹配程度进行排序反馈给客户。

本优选实施例采用目录检索和搜索引擎结合的检索算法，能够快速、准确的获取数据。

优选的，所述对各系统安全进行统一监控管理，包括：

(1)针对数据服务系统40、数据预处理系统41、云存储加解密系统42、控制系统43不同的安全防护要求采取对应的安全防护技术，配备相关的安全防护设备，形成完整的安全防护体制；

(2)建立有效的数据安全策略，对商品信息数据存储、传输、访问过程中的安全进行综合考虑，不仅对商品信息数据进行加密，同时对商品信息数据的传输协议进行加密；

(3)建立病毒和木马防御机制，定期更新病毒库和升级防火墙，更新周期为T，T取值为6-10天，对检测到的异常数据要进行分析，并发出预警。

本优选实施例实现了对各系统安全的统一监控管理。

优选的，所述数据预处理系统41包括数据分割单元、数据抽取单元和访问控制安全策略优化单元，所述数据分割单元用于对所述用户需要保密的信息数据分割成多个互斥的数据集合；所述数据抽取单元用于对所述互斥的数据集合按照自定义的排序规则进行排序，将每个数据集合中的第一个数据单元按序抽取出来，与所述排序规则一起保存作为小块数据，其中所述互斥表示数据集合中的两两数据单元之间不存在任何关联；所述访问控制安全策略优化单元用于基于细粒度资源分割的访问控制安全策略优化方法生成系统的访问控制安全策略，包括：

(1)基于被数据抽取单元处理后的互斥的数据集合，构建层次化数据数结构，所述层次化数据树结构为三层数据树结构，其包括服务层、逻辑层和物理层，所述服务层为与数据调度服务相关的树根节点，所述逻辑层为访问控制安全策略中关联的数据，所述物理层包含所有互斥的数据集合中的数据单元；

(2)基于访问控制标记语言XACML制定针对不同安全等级的数据的访问控制安全策略，将访问控制安全策略中与数据关联的规则投影到所述互斥的数据集合中的数据单元上，从而将访问控制安全策略中的规则细化到数据维度；

(3)在每个所述互斥的数据集合中的数据单元上进行规则优化，以删除分配在每个数据单元上的规则的冲突和冗余；

(4)合并优化后的规则，生成优化的访问控制安全策略。

优选的，所述将用户需要上传的信息数据存储至相应的存储设备，包括：

(1)将小块数据存储至本地存储器，并采用用户定义的加密技术对小块数据进行加密；

(2)将剩余信息数据通过云存储加解密系统42加密后存储到云订购平台中的云存储器；其中，当云存储器接收到数据后，云对该数据进行完整性校验后保存在存储节点中。

上述两个优选实施例设置数据预处理系统41，先对需要保密的信息数据进行数据分割和数据抽取处理，再进行访问控制安全策略中的规则细化，可以减少数据存储的物理存储空间，降低存储的开销，并消除访问控制安全策略中的冲突和冗余，提高访问控制决策效率；通过数据抽取处理抽取部分数据存储到本地存储器中，其余数据设置相应的访问控制安全策略后存储至云存储器中，解决了传统的基于单纯加密技术的云存储数据隐私保障机制在实际的数据操作过程中带来的比较大的系统开销和繁琐，可以有效防止恶意用户或云存储管理员非法窃取、篡改用户的隐私数据，提高了需保密的信息数据存储的安全性能。

优选的，所述云存储加解密系统42主要由数据拥有者、属性机构、云、可信三方、用户五个实体构成，所述对需要保密的信息数据进行加密或解密，包括：

(1)可信三方为用户和属性机构分别分配用户身份标识UAID和属性机构身份标识AID，包括：

A、进行初始化，可信三方设定系统参数为其中α为随机整数；

B、对于每个合法用户，可信三方分配UAID并为其生成证书：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同时，公布合法用户的身份验证参数其中，C_UAID∈Z_P；

C、为数据拥有者和合法用户生成身份密钥对；

(2)生成基于身份的加解密密钥、属性加解密密钥以及代理重加密密钥，其中所述基于身份的加解密密钥包括身份公钥GK_UAID和身份私钥CK_UAID，所述属性加解密密钥包括属性公钥GK_AID和属性私钥CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID为单个属性机构能够分配的属性集合，GK_x为属性x的公钥，B_x为属性x的版本号，∝_AID为属性机构的私钥参数，β_AID为属性更新参数，AS_UAID,AID为根据属性机构的身份分配的属性集合，γ为属性机构随机选择的参数，γ,∝_AID,β_AID∈Z_P；

(3)云存储加解密系统42利用数据密钥对需存储到云存储器中的数据进行加密，得到密文CT，然后分别利用身份公钥和属性公钥对数据密钥加密，生成身份密钥密文CT_U和属性密钥密文CT_A，包括：

A、随机生成两个固定长度的字符串IK,AK，合并生成数据密钥DK：

DK＝IK||AK

B、利用数据密钥DK对剩余需存储到云存储器中的数据进行加密，得到密文CT后，利用属性公钥对AK加密，生成属性密钥密文CT_A，利用身份公钥对IK加密，生成身份密钥密文CT_U；

(4)进行代理重加密，当收到用户的数据请求时，云利用代理重加密密钥将身份密钥密文CT_U转化为指定用户可解密的密文，其中所述代理重加密密钥由数据拥有者用自身私钥和身份公钥计算生成；

(5)进行数据解密时，用户收到数据后，分别利用身份私钥CK_UAID和属性私钥CK_AID解密身份密钥密文CT_U和属性密钥密文CT_A，然后重构数据密钥，解密密文CT；

(6)进行属性和身份密钥的更新。

本优选实施例通过设置云存储加解密系统42，能够实现对多类型的大数据的细粒度访问控制和隐私保护，同时抵御用户和属性机构共谋；对需存储到云存储器的数据，分别构造基于身份的加解密密钥、属性加解密密钥，合并构成数据加密密钥对该数据进行加密，从而只有同时满足身份和属性双重条件的用户可以解密，极大提高了数据安全管理系统4的安全性能。

在此应用场景中，更新周期T取10，数据安全管理系统4的安全性相对提高了8％。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。

Claims (3)

1.一种基于云平台下物联网移动金融支付系统，其特征在于，包括中央交易系统、移动终端、客户端、云订购平台；所述云订购平台为用户订购商品或服务的平台，其在用户订购商品或服务时向中央交易系统发送订单信息；所述移动终端用于提供登录云订购平台的接口以及用户结账的接口；所述客户端用于读取移动终端发送的账户信息，并向中央交易系统发送支付请求；所述中央交易系统用于响应客户端的支付请求，根据所述订单信息进行相应的扣款确认，同时将支付结果发送给云订购平台，待接收到云订购平台返回的支付结果确认的应答后，向客户端返回支付成功确认的信息；所述移动终端包括用于满足远程支付的远程移动终端、用于满足近场支付联机消费的现场受理终端、用于满足近场支付脱机消费的现场脱机受理终端。

2.根据权利要求1所述的一种基于云平台下物联网移动金融支付系统，其特征在于，所述的云订购平台具体采用云存储平台，云存储平台采用Web开发语言PHP作为首选的支持语言，Web开发者在Linux/Mac/Windows上通过SDK或者Web版在线SDK进行开发、部署、调试，团队开发时还进行成员协作，不同的角色对代码、项目拥有不同的权限。

3.根据权利要求2所述的一种基于云平台下物联网移动金融支付系统，其特征在于，所述的现场受理终端包括移动无线POS机，设置智能电子标签连接在移动无线POS机的前侧，智能电子标签具体采用RFID射频识别器。