CN110290102A - 基于应用的业务安全系统及方法 - Google Patents

基于应用的业务安全系统及方法 Download PDF

Info

Publication number
CN110290102A
CN110290102A CN201910349076.8A CN201910349076A CN110290102A CN 110290102 A CN110290102 A CN 110290102A CN 201910349076 A CN201910349076 A CN 201910349076A CN 110290102 A CN110290102 A CN 110290102A
Authority
CN
China
Prior art keywords
data
message
target
token
obtains
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910349076.8A
Other languages
English (en)
Inventor
张路路
李耀
田骏
王永强
程钰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Zhongbang Bank Co Ltd
Original Assignee
Wuhan Zhongbang Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Zhongbang Bank Co Ltd filed Critical Wuhan Zhongbang Bank Co Ltd
Priority to CN201910349076.8A priority Critical patent/CN110290102A/zh
Publication of CN110290102A publication Critical patent/CN110290102A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于应用的业务安全系统及方法,该系统中,目标终端,用于获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对请求报文和会话令牌进行加密,获得报文令牌加密数据,发送报文令牌加密数据至商户服务器;商户服务器,用于对报文令牌加密数据进行签名处理,获得报文令牌签名数据,反馈报文令牌签名数据至目标终端;目标终端,还用于根据第二随机密钥对报文令牌签名数据进行再次加密,获得目标签名数据,发送目标签名数据至用户服务器;用户服务器,用于对目标签名数据进行验证,若验证通过,则根据目标签名数据执行对应的业务服务。基于信息安全,通过对报文进行加密、身份认证和数据签名,提高数据交互安全性。

Description

基于应用的业务安全系统及方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于应用的业务安全系统及方法。
背景技术
目前很多金融机构和金融公司在做服务输出的时候会选择在第三方应用程序(Application,缩写APP)中植入软件开发工具包(Software Development Kit,缩写SDK)的方式,SDK面临的一个问题就是交易安全,目前很多SDK采用仅仅是网络协议层的安全机制,比如https。这种在网络协议层的安全机制虽然也能达到一定的安全效果,并不能对具体的报文内容进行加密,如果报文被挟持就存在交易敏感数据泄露的风险,另外,无法针对交易对象做身份认证和数据签名,存在访问信息被盗用、请求信息伪造及服务器被攻击的风险。而且服务提供方的访问地址一旦被泄露,也无法阻止非法调用方的访问风险。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种基于应用的业务安全系统及方法,旨在解决现有技术中基于植入性SDK应用的交易安全性低的技术问题。
为实现上述目的,本发明提供一种基于应用的业务安全系统,所述基于应用的业务安全系统包括:目标终端、商户服务器和用户服务器;
所述目标终端,用于获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器;
所述商户服务器,用于对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端;
所述目标终端,还用于根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器;
所述用户服务器,用于对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务。
优选地,所述目标终端,还用于基于植入有目标软件开发工具包的目标应用程序,根据第一随机密钥按照第一预设加密规则对请求报文进行加密,获得初始加密报文,并发送所述初始加密报文至商户服务器;
所述商户服务器,还用于对所述初始加密报文进行签名处理,获得加密签名结果数据,并反馈所述加密签名结果数据至所述目标终端;
所述目标终端,还用于根据第二随机密钥对所述加密签名结果数据进行再次加密,获得二次加密签名数据,并发送所述二次加密签名数据至用户服务器;
所述用户服务器,还用于对所述二次加密签名数据进行验证,若验证通过,则生成会话令牌,并发送所述会话令牌至所述目标终端。
优选地,所述目标终端,还用于获取请求报文和会话令牌,通过预设哈希算法计算所述请求报文和所述会话令牌的哈希值,获得目标哈希值;
所述目标终端,还用于根据第一随机密钥通过高级加密标准对所述目标哈希值进行加密,获得报文令牌加密数据;
所述目标终端,还用于根据所述商户公钥通过非对称加密算法对所述第一随机密钥进行加密,获得第一加密随机密钥;
所述目标终端,还用于发送所述报文令牌加密数据和所述第一加密随机密钥至商户服务器。
优选地,所述商户服务器,还用于通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥;
所述商户服务器,还用于根据所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值;
所述商户服务器,还用于根据商户私钥对所述目标哈希值进行签名,获得哈希签名结果;
所述商户服务器,还用于根据所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端。
优选地,所述目标终端,还用于根据终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,并将所述第二加密随机密钥发送至所述用户服务器;
所述用户服务器,还用于根据用户私钥对所述第二加密随机密钥进行解密,获得第二随机密钥;
所述用户服务器,还用于根据所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据;
所述用户服务器,还用于通过商户公钥对所述报文令牌签名数据进行验证,若验证通过,则根据所述报文令牌签名数据执行对应的业务服务。
此外,为实现上述目的,本发明还提出一种基于应用的业务安全方法,基于应用的业务安全系统包括:目标终端、商户服务器和用户服务器;所述基于应用的业务安全方法包括以下步骤:
所述目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器;
所述商户服务器对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端;
所述目标终端根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器;
所述用户服务器对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务。
优选地,所述目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器之前,所述基于应用的业务安全方法还包括:
所述目标终端基于植入有目标软件开发工具包的目标应用程序,根据第一随机密钥按照第一预设加密规则对请求报文进行加密,获得初始加密报文,并发送所述初始加密报文至商户服务器;
所述商户服务器对所述初始加密报文进行签名处理,获得加密签名结果数据,并反馈所述加密签名结果数据至所述目标终端;
所述目标终端根据第二随机密钥对所述加密签名结果数据进行再次加密,获得二次加密签名数据,并发送所述二次加密签名数据至用户服务器;
所述用户服务器对所述二次加密签名数据进行验证,若验证通过,则生成会话令牌,并发送所述会话令牌至所述目标终端。
优选地,所述目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器,具体包括:
所述目标终端获取请求报文和会话令牌,通过预设哈希算法计算所述请求报文和所述会话令牌的哈希值,获得目标哈希值;
所述目标终端根据第一随机密钥通过高级加密标准对所述目标哈希值进行加密,获得报文令牌加密数据;
所述目标终端根据所述商户公钥通过非对称加密算法对所述第一随机密钥进行加密,获得第一加密随机密钥;
所述目标终端发送所述报文令牌加密数据和所述第一加密随机密钥至所述商户服务器。
优选地,所述商户服务器对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端,具体包括:
所述商户服务器通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥;
所述商户服务器根据所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值;
所述商户服务器根据商户私钥对所述目标哈希值进行签名,获得哈希签名结果;
所述商户服务器根据所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端。
优选地,所述目标终端根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器之后,所述基于应用的业务安全方法还包括:
所述目标终端根据终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,并将所述第二加密随机密钥发送至所述用户服务器;
相应地,所述用户服务器对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务,具体包括:
所述用户服务器根据用户私钥对所述第二加密随机密钥进行解密,获得第二随机密钥;
所述用户服务器根据所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据;
所述用户服务器通过商户公钥对所述报文令牌签名数据进行验证,若验证通过,则根据所述报文令牌签名数据执行对应的业务服务。
本发明中,基于应用的业务安全系统中,目标终端,用于获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对请求报文和会话令牌进行加密,获得报文令牌加密数据,发送报文令牌加密数据至商户服务器,对报文进行加密,降低交易敏感数据泄露的风险;商户服务器,用于对报文令牌加密数据进行签名处理,获得报文令牌签名数据,反馈报文令牌签名数据至目标终端,目标终端,还用于根据第二随机密钥对报文令牌签名数据进行再次加密,获得目标签名数据,发送目标签名数据至用户服务器,用户服务器,用于对目标签名数据进行验证,若验证通过,则根据目标签名数据执行对应的业务服务,基于信息安全,对交易对象进行身份认证和数据签名,降低访问信息被盗用、请求信息伪造及服务器被攻击的风险。
附图说明
图1是本发明基于应用的业务安全系统第一实施例及第二实施例的结构框图;
图2为本发明基于应用的业务安全方法第一实施例的流程示意图;
图3为本发明基于应用的业务安全方法第二实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明基于应用的业务安全系统第一实施例及第二实施例的结构框图。
本实施例中,所述基于应用的业务安全系统包括:目标终端10、商户服务器20和用户服务器30;
所述目标终端10,用于获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器20。
应理解的是,所述目标终端10可以是智能手机、个人电脑或台式电脑等电子设备,本实施例对此不加以限制。所述目标终端10中目标应用程序植入有目标软件安装包SDK,在所述目标应用程序植入SDK之前,会发送终端公钥至所述商户服务器20,同时还会发送一个对应的唯一应用标识APPID(application identification),所述商户服务器20向所述用户服务器30反馈商户公钥。在所述目标应用程序植入的SDK内部会将用户公钥和商户公钥进行提前内置。
需要说明的是,所述目标终端10对所述请求报文和所述会话令牌进行数据排序,对排序获得的数据通过预设哈希算法计算哈希值,获得目标哈希值;所述预设哈希算法包括SHA256哈希算法;通过第一随机密钥对所述目标哈希值进行加密,获得报文令牌加密数据;并将所述报文令牌加密数据作为响应报文反馈至所述商户服务器20。
可理解的是,在所述目标应用程序植入的SDK启动之前,会做一个初始化处理,通过与用户服务器30和商户服务器20进行所述目标应用程序的初始化处理,以获得所述会话令牌(Token)。
本实施例中,所述目标终端10,还用于基于植入有目标软件开发工具包的目标应用程序,根据第一随机密钥按照第一预设加密规则对请求报文进行加密,获得初始加密报文,并发送所述初始加密报文至商户服务器20;
所述商户服务器20,还用于对所述初始加密报文进行签名处理,获得加密签名结果数据,并反馈所述加密签名结果数据至所述目标终端10;
所述目标终端10,还用于根据第二随机密钥对所述加密签名结果数据进行再次加密,获得二次加密签名数据,并发送所述二次加密签名数据至用户服务器30;
所述用户服务器30,还用于对所述二次加密签名数据进行验证,若验证通过,则生成会话令牌,并发送所述会话令牌至所述目标终端10。
需要说明的是,所述目标终端10对所述请求报文通过预设哈希算法进行加密,获得哈希加密数据;所述预设哈希算法包括SHA256算法,通过第一随机密钥对所述哈希加密数据通过高级加密标准AES256算法进行加密,获得所述初始加密报文。根据商户公钥通过RSA算法对所述第一随机密钥进行加密,获得第一加密随机密钥,发送所述初始加密报文和所述第一加密随机密钥至所述商户服务器20。
可理解的是,所述商户服务器20通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥;通过所述第一随机密钥对所述初始加密报文进行解密,获得所述哈希加密数据;通过商户私钥对所述哈希加密数据进行签名,获得签名结果sign;通过所述第一随机密钥对所述签名结果sign进行加密,获得所述加密签名结果数据RSA_sign,将所述加密签名结果数据RSA_sign返回至目标终端10。
应理解的是,所述目标终端10通过所述目标应用程序根据第二随机密钥对请求报文和所述加密签名结果数据RSA_sign进行再次加密,获得二次加密签名数据;将所述二次加密签名数据发送至用户服务器30;并用终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,将所述第二加密随机密钥发送至用户服务器30。
在具体实现中,用户服务器30通过用户私钥对所述第二加密随机密钥进行解密,获得所述第二随机密钥;通过所述第二随机密钥对所述二次加密签名数据进行解密,获得请求报文和所述加密签名结果数据RSA_sign;通过商户公钥验证所述加密签名结果数据RSA_sign;若验证成功,则生成目标令牌;通过用户私钥对所述目标令牌进行签名,获得签名令牌;通过所述第二随机密钥对所述签名令牌进行加密,获得所述会话令牌;并将所述会话令牌作为响应报文返回至所述目标终端10。所述目标终端10中所述目标应用程序的SDK获取了所述会话令牌之后,意味着所述目标应用程序在所述用户服务器30有了一个会话,对于所述会话临牌可以设置有效时间,比如设置为一个消息或请求报文半小时或者一小时,然后就可以进行服务调用。在所述会话令牌的有效时间到期时,则结束会话。
所述商户服务器20,用于对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端10。
应理解的是,所述商户服务器20接收所述报文令牌加密数据;通过所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值;通过商户私钥对所述目标哈希值进行签名,签名通过非对称加密算法RSA(RSAalgorithm的缩写)实现,获得哈希签名结果;通过所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据;将所述报文令牌签名数据作为响应报文返回至目标终端10。
所述目标终端10,还用于根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器30。
可理解的是,所述目标终端10根据第二随机密钥通过高级加密标准AES256算法对所述报文令牌签名数据进行再次加密,获得所述目标签名数据;将所述目标签名数据返回至所述用户服务器30。
所述用户服务器30,用于对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务。
需要说明的是,通过所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据;通过商户公钥对所述报文令牌签名数据进行验证;若验证通过,则根据所述报文令牌签名数据执行对应的业务服务,获得业务系统响应报文;通过用户私钥对所述业务系统响应报文进行签名,获得业务响应签名结果;通过第二随机密钥对所述业务响应签名结果进行加密,获得加密业务签名结果;将所述加密业务签名结果返回至所述目标终端10。
本实施例中,目标终端10,用于获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对请求报文和会话令牌进行加密,获得报文令牌加密数据,发送报文令牌加密数据至商户服务器20,对报文进行加密,降低交易敏感数据泄露的风险;商户服务器20,用于对报文令牌加密数据进行签名处理,获得报文令牌签名数据,反馈报文令牌签名数据至目标终端10,目标终端10,还用于根据第二随机密钥对报文令牌签名数据进行再次加密,获得目标签名数据,发送目标签名数据至用户服务器30,用户服务器30,用于对目标签名数据进行验证,若验证通过,则根据目标签名数据执行对应的业务服务,基于信息安全,对交易对象进行身份认证和数据签名,降低访问信息被盗用、请求信息伪造及服务器被攻击的风险。
继续参照图1,图1为本发明基于应用的业务安全系统第一实施例及第二实施例的结构框图,基于上述基于应用的业务安全系统第一实施例提出本发明基于应用的业务安全系统第二实施例。
在本实施例中,所述目标终端10,还用于获取请求报文和会话令牌,通过预设哈希算法计算所述请求报文和所述会话令牌的哈希值,获得目标哈希值。
应理解的是,所述目标终端10对所述请求报文和所述会话令牌进行数据排序,对排序获得的数据通过预设哈希算法计算哈希值,获得所述目标哈希值;所述预设哈希算法包括SHA256哈希算法。
所述目标终端10,还用于根据第一随机密钥通过高级加密标准对所述目标哈希值进行加密,获得报文令牌加密数据。
可理解的是,所述目标终端10根据第一随机密钥通过高级加密标准AES256算法对所述目标哈希值进行加密,获得所述报文令牌加密数据。
所述目标终端10,还用于根据所述商户公钥通过非对称加密算法对所述第一随机密钥进行加密,获得第一加密随机密钥。
所述目标终端10,还用于发送所述报文令牌加密数据和所述第一加密随机密钥至商户服务器20。
在本实施例中,所述商户服务器20,还用于通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥。
需要说明的是,所述商户服务器20接收所述目标终端10反馈的所述报文令牌加密数据和所述第一加密随机密钥,根据商户私钥通过非对称加密算法对所述第一加密随机密钥进行解密,获得所述第一随机密钥。
所述商户服务器20,还用于根据所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值。
在具体实现中,根据所述第一随机密钥通过所述高级加密标准AES256算法对所述报文令牌加密数据进行解密,获得所述目标哈希值。
所述商户服务器20,还用于根据商户私钥对所述目标哈希值进行签名,获得哈希签名结果。
可理解的是,签名通过非对称加密算法RSA(RSA algorithm的缩写)实现。
所述商户服务器20,还用于根据所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端10。
应理解的是,根据所述第一随机密钥通过所述高级加密标准AES256算法对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端10。
在本实施例中,所述目标终端10,还用于根据终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,并将所述第二加密随机密钥发送至所述用户服务器30。
需要说明的是,所述目标终端10根据终端公钥通过非对称加密算法RSA对所述第二随机密钥进行加密,获得第二加密随机密钥。
所述用户服务器30,还用于根据用户私钥对所述第二加密随机密钥进行解密,获得第二随机密钥。
在具体实现中,根据用户私钥通过非对称加密算法RSA对所述第二加密随机密钥进行解密。
所述用户服务器30,还用于根据所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据。
应理解的是,根据所述第二随机密钥通过非对称加密算法RSA对所述目标签名数据进行解密。
所述用户服务器30,还用于通过商户公钥对所述报文令牌签名数据进行验证,若验证通过,则根据所述报文令牌签名数据执行对应的业务服务。
可理解的是,通过商户公钥对所述报文令牌签名数据进行验证;若验证通过,则根据所述报文令牌签名数据执行对应的业务服务,获得业务系统响应报文;通过用户私钥对所述业务系统响应报文进行签名,获得业务响应签名结果;通过第二随机密钥对所述业务响应签名结果进行加密,获得加密业务签名结果;将所述加密业务签名结果返回至所述目标终端10。
本实施例中,针对交易对象做身份认证和数据签名,降低访问信息被盗用、请求信息伪造及服务器被攻击的风险,服务提供方的访问地址被泄露时,降低非法调用方的访问风险。
参照图2,图2为本发明基于应用的业务安全方法第一实施例的流程示意图,提出本发明基于应用的业务安全方法的第一实施例。
本实施例中,所述基于应用的业务安全系统包括:目标终端、商户服务器和用户服务器;所述基于应用的业务安全方法包括以下步骤:
步骤S10:所述目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器。
应理解的是,所述目标终端可以是智能手机、个人电脑或台式电脑等电子设备,本实施例对此不加以限制。所述目标终端中目标应用程序植入有目标软件安装包SDK,在所述目标应用程序植入SDK之前,会发送终端公钥至所述商户服务器,同时还会发送一个对应的唯一标识APPID,所述商户服务器向所述用户服务器反馈商户公钥。在所述目标应用程序植入的SDK内部会将用户公钥和商户公钥进行提前内置。
需要说明的是,所述目标终端对所述请求报文和所述会话令牌进行数据排序,对排序获得的数据通过预设哈希算法计算哈希值,获得目标哈希值;所述预设哈希算法包括SHA256哈希算法;通过第一随机密钥对所述目标哈希值进行加密,获得报文令牌加密数据;并将所述报文令牌加密数据作为响应报文反馈至所述商户服务器。
可理解的是,在所述目标应用程序植入的SDK启动之前,会做一个初始化处理,通过与用户服务器和商户服务器进行所述目标应用程序的初始化处理,以获得所述会话令牌(Token)。
本实施例中,所述步骤S10之前,还包括:
所述目标终端基于植入有目标软件开发工具包的目标应用程序,根据第一随机密钥按照第一预设加密规则对请求报文进行加密,获得初始加密报文,并发送所述初始加密报文至商户服务器;
所述商户服务器对所述初始加密报文进行签名处理,获得加密签名结果数据,并反馈所述加密签名结果数据至所述目标终端;
所述目标终端根据第二随机密钥对所述加密签名结果数据进行再次加密,获得二次加密签名数据,并发送所述二次加密签名数据至用户服务器;
所述用户服务器对所述二次加密签名数据进行验证,若验证通过,则生成会话令牌,并发送所述会话令牌至所述目标终端。
需要说明的是,所述目标终端对所述请求报文通过预设哈希算法进行加密,获得哈希加密数据;所述预设哈希算法包括SHA256算法,通过第一随机密钥对所述哈希加密数据通过高级加密标准AES256算法进行加密,获得所述初始加密报文。根据商户公钥通过RSA算法对所述第一随机密钥进行加密,获得第一加密随机密钥,发送所述初始加密报文和所述第一加密随机密钥至所述商户服务器。
可理解的是,所述商户服务器通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥;通过所述第一随机密钥对所述初始加密报文进行解密,获得所述哈希加密数据;通过商户私钥对所述哈希加密数据进行签名,获得签名结果sign;通过所述第一随机密钥对所述签名结果sign进行加密,获得所述加密签名结果数据RSA_sign,将所述加密签名结果数据RSA_sign返回至目标终端。
应理解的是,所述目标终端通过所述目标应用程序根据第二随机密钥对请求报文和所述加密签名结果数据RSA_sign进行再次加密,获得二次加密签名数据;将所述二次加密签名数据发送至用户服务器;并用终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,将所述第二加密随机密钥发送至用户服务器。
在具体实现中,用户服务器通过用户私钥对所述第二加密随机密钥进行解密,获得所述第二随机密钥;通过所述第二随机密钥对所述二次加密签名数据进行解密,获得请求报文和所述加密签名结果数据RSA_sign;通过商户公钥验证所述加密签名结果数据RSA_sign;若验证成功,则生成目标令牌;通过用户私钥对所述目标令牌进行签名,获得签名令牌;通过所述第二随机密钥对所述签名令牌进行加密,获得所述会话令牌;并将所述会话令牌作为响应报文返回至所述目标终端。所述目标终端中所述目标应用程序的SDK获取了所述会话令牌之后,意味着所述目标应用程序在所述用户服务器有了一个会话,对于所述会话临牌可以设置有效时间,比如设置为一个消息或请求报文半小时或者一小时,然后就可以进行服务调用。在所述会话令牌的有效时间到期时,则结束会话。
步骤S20:所述商户服务器对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端。
应理解的是,所述商户服务器接收所述报文令牌加密数据;通过所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值;通过商户私钥对所述目标哈希值进行签名,签名通过非对称加密算法RSA(RSA algorithm的缩写)实现,获得哈希签名结果;通过所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据;将所述报文令牌签名数据作为响应报文返回至目标终端。
步骤S30:所述目标终端根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器。
可理解的是,所述目标终端根据第二随机密钥通过高级加密标准AES256算法对所述报文令牌签名数据进行再次加密,获得所述目标签名数据;将所述目标签名数据返回至所述用户服务器。
步骤S40:所述用户服务器对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务。
需要说明的是,通过所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据;通过商户公钥对所述报文令牌签名数据进行验证;若验证通过,则根据所述报文令牌签名数据执行对应的业务服务,获得业务系统响应报文;通过用户私钥对所述业务系统响应报文进行签名,获得业务响应签名结果;通过第二随机密钥对所述业务响应签名结果进行加密,获得加密业务签名结果;将所述加密业务签名结果返回至所述目标终端。
本实施例中,目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对请求报文和会话令牌进行加密,获得报文令牌加密数据,发送报文令牌加密数据至商户服务器,对报文进行加密,降低交易敏感数据泄露的风险;商户服务器对报文令牌加密数据进行签名处理,获得报文令牌签名数据,反馈报文令牌签名数据至目标终端,目标终端根据第二随机密钥对报文令牌签名数据进行再次加密,获得目标签名数据,发送目标签名数据至用户服务器,用户服务器对目标签名数据进行验证,若验证通过,则根据目标签名数据执行对应的业务服务,基于信息安全,对交易对象进行身份认证和数据签名,降低访问信息被盗用、请求信息伪造及服务器被攻击的风险。
参照图3,图3为本发明基于应用的业务安全方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明基于应用的业务安全方法的第二实施例。
在本实施例中,所述步骤S10,包括:
步骤S101:所述目标终端获取请求报文和会话令牌,通过预设哈希算法计算所述请求报文和所述会话令牌的哈希值,获得目标哈希值。
应理解的是,所述目标终端对所述请求报文和所述会话令牌进行数据排序,对排序获得的数据通过预设哈希算法计算哈希值,获得所述目标哈希值;所述预设哈希算法包括SHA256哈希算法。
步骤S102:所述目标终端根据第一随机密钥通过高级加密标准对所述目标哈希值进行加密,获得报文令牌加密数据。
可理解的是,所述目标终端根据第一随机密钥通过高级加密标准AES256算法对所述目标哈希值进行加密,获得所述报文令牌加密数据。
步骤S103:所述目标终端根据所述商户公钥通过非对称加密算法对所述第一随机密钥进行加密,获得第一加密随机密钥。
步骤S104:所述目标终端发送所述报文令牌加密数据和所述第一加密随机密钥至商户服务器。
在本实施例中,所述步骤S20,包括:
步骤S201:所述商户服务器通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥。
需要说明的是,所述商户服务器接收所述目标终端反馈的所述报文令牌加密数据和所述第一加密随机密钥,根据商户私钥通过非对称加密算法对所述第一加密随机密钥进行解密,获得所述第一随机密钥。
步骤S202:所述商户服务器根据所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值。
在具体实现中,根据所述第一随机密钥通过所述高级加密标准AES256算法对所述报文令牌加密数据进行解密,获得所述目标哈希值。
步骤S203:所述商户服务器根据商户私钥对所述目标哈希值进行签名,获得哈希签名结果。
可理解的是,签名通过非对称加密算法RSA(RSA algorithm的缩写)实现。
步骤S204:所述商户服务器根据所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端。
应理解的是,根据所述第一随机密钥通过所述高级加密标准AES256算法对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端。
在本实施例中,所述步骤S30之后,还包括:
步骤S301:所述目标终端根据终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,并将所述第二加密随机密钥发送至所述用户服务器。
需要说明的是,所述目标终端根据终端公钥通过非对称加密算法RSA对所述第二随机密钥进行加密,获得第二加密随机密钥。
在本实施例中,所述步骤S40,包括:
步骤S401:所述用户服务器根据用户私钥对所述第二加密随机密钥进行解密,获得第二随机密钥。
在具体实现中,根据用户私钥通过非对称加密算法RSA对所述第二加密随机密钥进行解密。
步骤S402:所述用户服务器根据所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据。
应理解的是,根据所述第二随机密钥通过非对称加密算法RSA对所述目标签名数据进行解密。
步骤S403:所述用户服务器通过商户公钥对所述报文令牌签名数据进行验证,若验证通过,则根据所述报文令牌签名数据执行对应的业务服务。
可理解的是,通过商户公钥对所述报文令牌签名数据进行验证;若验证通过,则根据所述报文令牌签名数据执行对应的业务服务,获得业务系统响应报文;通过用户私钥对所述业务系统响应报文进行签名,获得业务响应签名结果;通过第二随机密钥对所述业务响应签名结果进行加密,获得加密业务签名结果;将所述加密业务签名结果返回至所述目标终端。
本实施例中,针对交易对象做身份认证和数据签名,降低访问信息被盗用、请求信息伪造及服务器被攻击的风险,服务提供方的访问地址被泄露时,降低非法调用方的访问风险。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为标识。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种基于应用的业务安全系统,其特征在于,所述基于应用的业务安全系统包括:目标终端、商户服务器和用户服务器;
所述目标终端,用于获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器;
所述商户服务器,用于对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端;
所述目标终端,还用于根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器;
所述用户服务器,用于对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务。
2.如权利要求1所述的基于应用的业务安全系统,其特征在于,所述目标终端,还用于基于植入有目标软件开发工具包的目标应用程序,根据第一随机密钥按照第一预设加密规则对请求报文进行加密,获得初始加密报文,并发送所述初始加密报文至商户服务器;
所述商户服务器,还用于对所述初始加密报文进行签名处理,获得加密签名结果数据,并反馈所述加密签名结果数据至所述目标终端;
所述目标终端,还用于根据第二随机密钥对所述加密签名结果数据进行再次加密,获得二次加密签名数据,并发送所述二次加密签名数据至用户服务器;
所述用户服务器,还用于对所述二次加密签名数据进行验证,若验证通过,则生成会话令牌,并发送所述会话令牌至所述目标终端。
3.如权利要求1或2所述的基于应用的业务安全系统,其特征在于,所述目标终端,还用于获取请求报文和会话令牌,通过预设哈希算法计算所述请求报文和所述会话令牌的哈希值,获得目标哈希值;
所述目标终端,还用于根据第一随机密钥通过高级加密标准对所述目标哈希值进行加密,获得报文令牌加密数据;
所述目标终端,还用于根据所述商户公钥通过非对称加密算法对所述第一随机密钥进行加密,获得第一加密随机密钥;
所述目标终端,还用于发送所述报文令牌加密数据和所述第一加密随机密钥至商户服务器。
4.如权利要求3所述的基于应用的业务安全系统,其特征在于,所述商户服务器,还用于通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥;
所述商户服务器,还用于根据所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值;
所述商户服务器,还用于根据商户私钥对所述目标哈希值进行签名,获得哈希签名结果;
所述商户服务器,还用于根据所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端。
5.如权利要求4所述的基于应用的业务安全系统,其特征在于,所述目标终端,还用于根据终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,并将所述第二加密随机密钥发送至所述用户服务器;
所述用户服务器,还用于根据用户私钥对所述第二加密随机密钥进行解密,获得第二随机密钥;
所述用户服务器,还用于根据所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据;
所述用户服务器,还用于通过商户公钥对所述报文令牌签名数据进行验证,若验证通过,则根据所述报文令牌签名数据执行对应的业务服务。
6.一种基于应用的业务安全方法,其特征在于,基于应用的业务安全系统包括:目标终端、商户服务器和用户服务器;所述基于应用的业务安全方法包括以下步骤:
所述目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器;
所述商户服务器对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端;
所述目标终端根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器;
所述用户服务器对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务。
7.如权利要求6所述的基于应用的业务安全方法,其特征在于,所述目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器之前,所述基于应用的业务安全方法还包括:
所述目标终端基于植入有目标软件开发工具包的目标应用程序,根据第一随机密钥按照第一预设加密规则对请求报文进行加密,获得初始加密报文,并发送所述初始加密报文至商户服务器;
所述商户服务器对所述初始加密报文进行签名处理,获得加密签名结果数据,并反馈所述加密签名结果数据至所述目标终端;
所述目标终端根据第二随机密钥对所述加密签名结果数据进行再次加密,获得二次加密签名数据,并发送所述二次加密签名数据至用户服务器;
所述用户服务器对所述二次加密签名数据进行验证,若验证通过,则生成会话令牌,并发送所述会话令牌至所述目标终端。
8.如权利要求6或7所述的基于应用的业务安全方法,其特征在于,所述目标终端获取请求报文和会话令牌,根据第一随机密钥按照第一预设加密规则对所述请求报文和所述会话令牌进行加密,获得报文令牌加密数据,并发送所述报文令牌加密数据至所述商户服务器,具体包括:
所述目标终端获取请求报文和会话令牌,通过预设哈希算法计算所述请求报文和所述会话令牌的哈希值,获得目标哈希值;
所述目标终端根据第一随机密钥通过高级加密标准对所述目标哈希值进行加密,获得报文令牌加密数据;
所述目标终端根据所述商户公钥通过非对称加密算法对所述第一随机密钥进行加密,获得第一加密随机密钥;
所述目标终端发送所述报文令牌加密数据和所述第一加密随机密钥至所述商户服务器。
9.如权利要求8所述的基于应用的业务安全方法,其特征在于,所述商户服务器对所述报文令牌加密数据进行签名处理,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端,具体包括:
所述商户服务器通过商户私钥对所述第一加密随机密钥进行解密,获得所述第一随机密钥;
所述商户服务器根据所述第一随机密钥对所述报文令牌加密数据进行解密,获得所述目标哈希值;
所述商户服务器根据商户私钥对所述目标哈希值进行签名,获得哈希签名结果;
所述商户服务器根据所述第一随机密钥对所述哈希签名结果进行加密,获得报文令牌签名数据,并反馈所述报文令牌签名数据至所述目标终端。
10.如权利要求9所述的基于应用的业务安全方法,其特征在于,所述目标终端根据第二随机密钥对所述报文令牌签名数据进行再次加密,获得目标签名数据,并发送所述目标签名数据至所述用户服务器之后,所述基于应用的业务安全方法还包括:
所述目标终端根据终端公钥对所述第二随机密钥进行加密,获得第二加密随机密钥,并将所述第二加密随机密钥发送至所述用户服务器;
相应地,所述用户服务器对所述目标签名数据进行验证,若验证通过,则根据所述目标签名数据执行对应的业务服务,具体包括:
所述用户服务器根据用户私钥对所述第二加密随机密钥进行解密,获得第二随机密钥;
所述用户服务器根据所述第二随机密钥对所述目标签名数据进行解密,获得所述报文令牌签名数据;
所述用户服务器通过商户公钥对所述报文令牌签名数据进行验证,若验证通过,则根据所述报文令牌签名数据执行对应的业务服务。
CN201910349076.8A 2019-04-26 2019-04-26 基于应用的业务安全系统及方法 Pending CN110290102A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910349076.8A CN110290102A (zh) 2019-04-26 2019-04-26 基于应用的业务安全系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910349076.8A CN110290102A (zh) 2019-04-26 2019-04-26 基于应用的业务安全系统及方法

Publications (1)

Publication Number Publication Date
CN110290102A true CN110290102A (zh) 2019-09-27

Family

ID=68001833

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910349076.8A Pending CN110290102A (zh) 2019-04-26 2019-04-26 基于应用的业务安全系统及方法

Country Status (1)

Country Link
CN (1) CN110290102A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111709747A (zh) * 2020-06-10 2020-09-25 中国工商银行股份有限公司 智能终端认证方法及系统
CN111741004A (zh) * 2020-06-24 2020-10-02 中国银行股份有限公司 一种网络安全态势感知的方法和相关装置
CN111797138A (zh) * 2020-06-29 2020-10-20 北京荷月科技有限公司 一种可信前置链上数据查询方法和系统
CN112187467A (zh) * 2020-09-06 2021-01-05 苏州浪潮智能科技有限公司 一种集成多种签名加密算法的实现方法及系统
CN112887087A (zh) * 2021-01-20 2021-06-01 成都质数斯达克科技有限公司 数据管理方法、装置、电子设备及可读存储介质
CN112948896A (zh) * 2021-01-28 2021-06-11 深圳市迅雷网文化有限公司 签名信息的验证方法以及信息签名方法
CN113037471A (zh) * 2020-12-19 2021-06-25 江苏云坤信息科技有限公司 基于政务领域的跨系统、跨部门业务协作信息交换方法
CN114006762A (zh) * 2021-11-01 2022-02-01 明珠数字科技股份有限公司 一种多服务器间安全验证方法、系统及存储介质
CN114095220A (zh) * 2021-11-09 2022-02-25 微位(深圳)网络科技有限公司 电话通信验证方法、装置、设备及存储介质
CN114257382A (zh) * 2022-01-30 2022-03-29 支付宝(杭州)信息技术有限公司 密钥管理和业务处理方法、装置及系统
CN114693438A (zh) * 2020-12-25 2022-07-01 成都质数斯达克科技有限公司 业务处理方法、装置、电子设备及可读存储介质
CN114928456A (zh) * 2022-07-21 2022-08-19 飞天诚信科技股份有限公司 一种基于用户端本地证书实现数据流通的方法及系统
US20230042508A1 (en) * 2021-08-03 2023-02-09 Adobe Inc. Securely communicating service status in a distributed network environment

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102096872A (zh) * 2011-02-12 2011-06-15 中国工商银行股份有限公司 一种网上银行支付信息安全检测方法及装置
CN103745343A (zh) * 2013-12-30 2014-04-23 北京中科金财电子商务有限公司 App商户移动平台调用支付插件进行下单的方法
CN104199657A (zh) * 2014-08-27 2014-12-10 百度在线网络技术(北京)有限公司 开放平台的调用方法及装置
US20160379208A1 (en) * 2015-06-26 2016-12-29 American Express Travel Related Services Company, Inc. Systems and methods for in-application and in-browser purchases
CN106447308A (zh) * 2016-10-11 2017-02-22 福建中金在线信息科技有限公司 一种app调用第三方支付方法及装置
CN106682887A (zh) * 2017-01-04 2017-05-17 宇龙计算机通信科技(深圳)有限公司 基于支付运营商商户平台的快捷支付方法及装置
CN108683700A (zh) * 2018-04-03 2018-10-19 四川新网银行股份有限公司 一种基于微信小程序及金融开放平台的金融能力输出模式
CN109450643A (zh) * 2018-11-05 2019-03-08 四川长虹电器股份有限公司 Android平台上基于native服务实现的签名验签方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102096872A (zh) * 2011-02-12 2011-06-15 中国工商银行股份有限公司 一种网上银行支付信息安全检测方法及装置
CN103745343A (zh) * 2013-12-30 2014-04-23 北京中科金财电子商务有限公司 App商户移动平台调用支付插件进行下单的方法
CN104199657A (zh) * 2014-08-27 2014-12-10 百度在线网络技术(北京)有限公司 开放平台的调用方法及装置
US20160379208A1 (en) * 2015-06-26 2016-12-29 American Express Travel Related Services Company, Inc. Systems and methods for in-application and in-browser purchases
CN106447308A (zh) * 2016-10-11 2017-02-22 福建中金在线信息科技有限公司 一种app调用第三方支付方法及装置
CN106682887A (zh) * 2017-01-04 2017-05-17 宇龙计算机通信科技(深圳)有限公司 基于支付运营商商户平台的快捷支付方法及装置
CN108683700A (zh) * 2018-04-03 2018-10-19 四川新网银行股份有限公司 一种基于微信小程序及金融开放平台的金融能力输出模式
CN109450643A (zh) * 2018-11-05 2019-03-08 四川长虹电器股份有限公司 Android平台上基于native服务实现的签名验签方法

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111709747B (zh) * 2020-06-10 2023-08-18 中国工商银行股份有限公司 智能终端认证方法及系统
CN111709747A (zh) * 2020-06-10 2020-09-25 中国工商银行股份有限公司 智能终端认证方法及系统
CN111741004A (zh) * 2020-06-24 2020-10-02 中国银行股份有限公司 一种网络安全态势感知的方法和相关装置
CN111797138A (zh) * 2020-06-29 2020-10-20 北京荷月科技有限公司 一种可信前置链上数据查询方法和系统
CN112187467A (zh) * 2020-09-06 2021-01-05 苏州浪潮智能科技有限公司 一种集成多种签名加密算法的实现方法及系统
CN112187467B (zh) * 2020-09-06 2022-05-31 苏州浪潮智能科技有限公司 一种集成多种签名加密算法的实现方法及系统
CN113037471A (zh) * 2020-12-19 2021-06-25 江苏云坤信息科技有限公司 基于政务领域的跨系统、跨部门业务协作信息交换方法
CN114693438B (zh) * 2020-12-25 2024-05-28 成都质数斯达克科技有限公司 业务处理方法、装置、电子设备及可读存储介质
CN114693438A (zh) * 2020-12-25 2022-07-01 成都质数斯达克科技有限公司 业务处理方法、装置、电子设备及可读存储介质
CN112887087A (zh) * 2021-01-20 2021-06-01 成都质数斯达克科技有限公司 数据管理方法、装置、电子设备及可读存储介质
CN112948896A (zh) * 2021-01-28 2021-06-11 深圳市迅雷网文化有限公司 签名信息的验证方法以及信息签名方法
US11930116B2 (en) * 2021-08-03 2024-03-12 Adobe Inc. Securely communicating service status in a distributed network environment
US20230042508A1 (en) * 2021-08-03 2023-02-09 Adobe Inc. Securely communicating service status in a distributed network environment
CN114006762A (zh) * 2021-11-01 2022-02-01 明珠数字科技股份有限公司 一种多服务器间安全验证方法、系统及存储介质
CN114006762B (zh) * 2021-11-01 2024-03-12 明珠数字科技股份有限公司 一种多服务器间安全验证方法、系统及存储介质
CN114095220A (zh) * 2021-11-09 2022-02-25 微位(深圳)网络科技有限公司 电话通信验证方法、装置、设备及存储介质
CN114257382A (zh) * 2022-01-30 2022-03-29 支付宝(杭州)信息技术有限公司 密钥管理和业务处理方法、装置及系统
CN114928456B (zh) * 2022-07-21 2022-10-04 飞天诚信科技股份有限公司 一种基于用户端本地证书实现数据流通的方法及系统
CN114928456A (zh) * 2022-07-21 2022-08-19 飞天诚信科技股份有限公司 一种基于用户端本地证书实现数据流通的方法及系统

Similar Documents

Publication Publication Date Title
CN110290102A (zh) 基于应用的业务安全系统及方法
CN109067539B (zh) 联盟链交易方法、设备及计算机可读存储介质
CN111080295B (zh) 一种基于区块链的电子合同处理方法以及设备
US20180295121A1 (en) Secure element authentication
US8667287B2 (en) Transaction auditing for data security devices
CN111770200B (zh) 一种信息共享方法和系统
US20100153273A1 (en) Systems for performing transactions at a point-of-sale terminal using mutating identifiers
US10089627B2 (en) Cryptographic authentication and identification method using real-time encryption
CN111770199B (zh) 一种信息共享方法、装置及设备
CN103036681B (zh) 一种密码安全键盘装置及系统
CN109412812A (zh) 数据安全处理系统、方法、装置和存储介质
US11880832B2 (en) Method and system for enhancing the security of a transaction
CN109670828B (zh) 一种应用在线签名方法及系统
CN111131416A (zh) 业务服务的提供方法和装置、存储介质、电子装置
CN107222501A (zh) 一种基于信息识别码非电磁信号的信息交互安全传输方法及系统
CN110189184A (zh) 一种电子发票存储方法和装置
Marforio et al. Hardened setup of personalized security indicators to counter phishing attacks in mobile banking
CN111130798A (zh) 一种请求鉴权方法及相关设备
US20190122191A1 (en) Method for obtaining a security token by a mobile terminal
CN113364597A (zh) 一种基于区块链的隐私信息证明方法及系统
CN112699353A (zh) 一种金融信息传输方法以及金融信息传输系统
US9231941B1 (en) Secure data entry
US20240106633A1 (en) Account opening methods, systems, and apparatuses
CN112948789B (zh) 身份认证方法及装置、存储介质及电子设备
CN109889344A (zh) 终端、数据的传输方法和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190927

RJ01 Rejection of invention patent application after publication