CN112055019A - 一种建立通信信道的方法及用户终端 - Google Patents
一种建立通信信道的方法及用户终端 Download PDFInfo
- Publication number
- CN112055019A CN112055019A CN202010917870.0A CN202010917870A CN112055019A CN 112055019 A CN112055019 A CN 112055019A CN 202010917870 A CN202010917870 A CN 202010917870A CN 112055019 A CN112055019 A CN 112055019A
- Authority
- CN
- China
- Prior art keywords
- verification information
- user terminal
- verification
- key
- payment terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请适用于计算机技术领域,提供了一种建立通信信道的方法,包括:对第一验证信息进行验证;当第一验证信息验证通过时,生成第二验证信息;根据第一验证信息生成第三验证信息,并将第二验证信息和第三验证信息发送至服务器;当接收第四验证信息时,对第四验证信息进行验证;当第四验证信息验证通过时,根据第一验证信息生成第五验证信息,根据第四验证信息生成第六验证信息,并将第五验证信息和第六验证信息发送至支付终端;基于第一会话密钥,建立第一通信信道,基于第二会话密钥,建立第二通信信道。上述方案,对于参与通信的三方均进行了安全认证,认证通过后基于会话密钥建立了三方可信的安全通道,保证了数据传输的安全,避免了风险。
Description
技术领域
本申请属于计算机技术领域,尤其涉及一种建立通信信道的方法及用户终端。
背景技术
在金融系统中,通信的安全是极其重要的,参与通信的主体需要确保使用的通信通道是安全的,否则就存在一系列安全风险,例如敏感数据的泄漏、数据被篡改等不安全的情况。现有的金融系统中,存在两个角色,即一个服务器和其他设备,例如,现有的POS收单系统中,存在多个设备与服务器进行交互。在进行安全验证时,只对设备和服务器之间的通信进行单向验证,只是保证设备连接到的服务器是安全的。但是,这样的验证方式,依然存在安全风险。
发明内容
本申请实施例提供了一种建立通信信道的方法及用户终端,可以解决现有的验证方式存在安全风险的问题。
第一方面,本申请实施例提供了一种建立通信信道的方法,应用于用户终端,所述方法包括:
接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;
当所述第一验证信息验证通过时,生成第二验证信息;
根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;
当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;所述第四验证信息为所述服务器在对所述第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息;
当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端;
当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
进一步地,所述第一验证信息包括第一公钥和第一签名数据;所述第一签名数据包括所述支付终端的第一设备信息、由所述支付终端生成的第一随机数、第一密钥序列号;
所述接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证,包括:
接收到由支付终端发送的第一公钥和第一签名数据;
根据第一预设证书验证所述第一公钥;
当所述第一公钥验证通过时,根据所述第一公钥验证所述第一签名数据。
进一步地,所述生成第二验证信息,包括:
获取第二随机数、时间戳信息和所述用户终端的第二设备信息,根据预设白盒签名密钥对所述第二随机数、所述时间戳信息和所述第二设备信息进行哈希运算,得到第二签名数据;
根据所述第二签名数据得到第二验证信息。
进一步地,所述第四验证信息包括第四公钥和第四签名数据;
所述当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证,包括:
当获取由所述服务器发送的第四公钥和第四签名数据时,根据第二预设证书验证所述第四公钥;
当所述第四公钥验证通过时,根据所述第四公钥验证所述第四签名数据。
进一步地,所述获取由所述服务器发送的第四公钥和第四签名数据,包括:
接收由所述服务器发送的第四验证信息;
根据预设白盒签名密钥对所述第二随机数进行白盒哈希运算,生成第一数据加密密钥;
根据所述第一数据加密密钥还原所述第四验证信息,得到所述第四公钥和第四签名数据。
进一步地,所述基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,包括:
发送随机数种子产生请求至所述支付终端;
接收由所述支付终端发送的第一握手公钥、第四签名数据和随机数密文;
对所述第一握手公钥进行白盒运算,得到第二数据加密密钥;
根据所述第二数据加密密钥对所述随机数密文进行解密,得到由所述支付终端产生的第三随机数;
使用预设白盒签名密钥对所述第三随机数和第二随机数进行运算,得到第五签名数据;
当所述第四签名数据和第五签名数据一致时,保存所述第三随机数,并生成第二握手公钥;
根据预设白盒签名密钥对所述第三随机数和所述第二握手公钥进行运算,生成第六签名数据;
将所述第二握手公钥和所述第六签名数据发送至所述支付终端;
接收由所述支付终端发送的第一握手信息;
根据所述第一握手信息确定所述用户终端的第一会话密钥,基于所述第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道。
进一步地,所述基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道,包括:
根据预设白盒数据密钥对第六随机数进行白盒哈希运算产生第二会话密钥,基于所述第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
第二方面,本申请实施例提供了一种用户终端,包括:
第一处理单元,用于接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;
第二处理单元,用于当所述第一验证信息验证通过时,生成第二验证信息;
第一发送单元,用于根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;
第三处理单元,用于当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;所述第四验证信息为所述服务器在对所述第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息;
第二发送单元,用于当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端;
第四处理单元,用于当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
进一步地,所述第一验证信息包括第一公钥和第一签名数据;所述第一签名数据包括所述支付终端的第一设备信息、由所述支付终端生成的第一随机数、第一密钥序列号;
所述第一处理单元,具体用于:
接收到由支付终端发送的第一公钥和第一签名数据;
根据第一预设证书验证所述第一公钥;
当所述第一公钥验证通过时,根据所述第一公钥验证所述第一签名数据。
进一步地,所述第二处理单元,具体用于:
获取第二随机数、时间戳信息和所述用户终端的第二设备信息,根据预设白盒签名密钥对所述第二随机数、所述时间戳信息和所述第二设备信息进行哈希运算,得到第二签名数据;
根据所述第二签名数据得到第二验证信息。
进一步地,所述第四验证信息包括第四公钥和第四签名数据;
所述第三处理单元,包括:
第四处理单元,用于当获取由所述服务器发送的第四公钥和第四签名数据时,根据第二预设证书验证所述第四公钥;
第五处理单元,用于当所述第四公钥验证通过时,根据所述第四公钥验证所述第四签名数据。
进一步地,所述第四处理单元,具体用于:
接收由所述服务器发送的第四验证信息;
根据预设白盒签名密钥对所述第二随机数进行白盒哈希运算,生成第一数据加密密钥;
根据所述第一数据加密密钥还原所述第四验证信息,得到所述第四公钥和第四签名数据。
进一步地,所述第四处理单元,具体用于:
发送随机数种子产生请求至所述支付终端;
接收由所述支付终端发送的第一握手公钥、第四签名数据和随机数密文;
对所述第一握手公钥进行白盒运算,得到第二数据加密密钥;
根据所述第二数据加密密钥对所述随机数密文进行解密,得到由所述支付终端产生的第三随机数;
使用预设白盒签名密钥对所述第三随机数和第二随机数进行运算,得到第五签名数据;
当所述第四签名数据和第五签名数据一致时,保存所述第三随机数,并生成第二握手公钥;
根据预设白盒签名密钥对所述第三随机数和所述第二握手公钥进行运算,生成第六签名数据;
将所述第二握手公钥和所述第六签名数据发送至所述支付终端;
接收由所述支付终端发送的第一握手信息;
根据所述第一握手信息确定所述用户终端的第一会话密钥,基于所述第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道。
进一步地,所述第四处理单元,具体用于:
根据预设白盒数据密钥对第六随机数进行白盒哈希运算产生第二会话密钥,基于所述第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
第三方面,本申请实施例提供了一种用户终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的建立通信信道的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面所述的建立通信信道的方法。
本申请实施例中,接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;当所述第一验证信息验证通过时,生成第二验证信息;根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端;当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。上述方案,对于参与通信的三方均进行了安全认证,认证通过后基于会话密钥建立了三方可信的安全通道,保证了数据传输的安全,避免了风险。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请第一实施例提供的一种交互系统的示意图;
图2是本申请第二实施例提供的一种建立通信信道的方法的示意流程图;
图3是本申请第二实施例提供的一种建立通信信道的方法中S101细化的示意流程图;
图4是本申请第二实施例提供的一种建立通信信道的方法中S102细化的示意流程图;
图5是本申请第二实施例提供的一种建立通信信道的方法中S104细化的示意流程图;
图6是本申请第二实施例提供的一种建立通信信道的方法中S1041细化的示意流程图;
图7是本申请第三实施例提供的用户终端的示意图;
图8是本申请第四实施例提供的用户终端的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
请参见图1,图1是本申请第一实施例提供的一种交互系统的示意图。交互系统包括用户终端、支付终端、服务器,其中支付终端可以是不具备网络通信能力POS终端,用户终端是不安全的一种设备,例如,个人使用的手机。使用时,用户终端、支付终端在交互系统中相当于前端设备,支付终端负责采集银行卡数据,执行银行卡的交易逻辑;用户终端负责和服务器进行通信,采集持卡人的PIN等;服务器管理用户终端和支付终端。在本系统中,由于支付终端不具备通信能力,支付终端要和服务器做双向认证,需要借助用户终端和服务器进行通信。三者验证的步骤大致如下:用户终端先验证支付终端是可信的,接着服务器验证用户终端、支付终端可信,之后用户终端验证服务器可信,支付终端验证用户终端和服务器是可信的。
请参见图2,图2是本申请第二实施例提供的一种建立通信信道的方法的示意流程图。本实施例中一种建立通信信道的方法的执行主体为用户终端。如图2所示的建立通信信道的方法可以包括:
S101:接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证。
用户终端接收到由支付终端发送的第一验证信息,并对第一验证信息进行验证。其中,第一验证信息可以是支付终端接收到用户终端发送的验证请求后出发生成的,即,在用户终端接收到由支付终端发送的第一验证信息之前,用户终端可以向支付终端发送验证请求,验证请求中可以包括用户终端的设备信息以及服务器下发的随机数,验证请求用于触发支付终端向用户终端发送第一验证信息。
第一验证信息用于用户终端认证支付终端的身份是否合法可信,当第一验证信息验证通过时,说明支付终端的身份验证通过,可以继续对其他设备进行验证;当第一验证信息验证不通过时,说明支付终端的身份验证未通过,当前存在风险,不再继续建立通信信道。
对第一验证信息进行验证的方式可以采用验签的方式,一般验签都是利用公私钥的特性来完成的,此处不做限制。一种可能的实施方式中,第一验证信息包括第一公钥和第一签名数据,第一签名数据包括支付终端的第一设备信息、由支付终端生成的第一随机数、第一密钥序列号,S101可以包括S1011~S1013,如图3所示,S1011~S1013具体如下:
S1011:接收到由支付终端发送的第一公钥和第一签名数据。
本实施例中,第一验证信息包括第一公钥和第一签名数据,第一签名数据包括支付终端的第一设备信息、由支付终端生成的第一随机数、第一密钥序列号。其中,第一密钥序列号为DUKPT密钥体系索引,即KSN因子。DUKPT密钥体系中,验证的双方预装同一个预设密钥,即根密钥,验证的双方可以通过KSN因子来进行密钥同步,在需要加解密时,验证的双方做好KSN同步即可分别计算出对应的密钥。
本实施例中,支付终端获取支付终端的第一设备信息,生成的第一随机数,然后将支付终端的第一设备信息、由支付终端生成的第一随机数、第一密钥序列号按照规则组成数据包,使用私钥签名该数据包,生成第一签名数据。将第一公钥和第一签名数据发送至用户终端。
S1012:根据第一预设证书验证所述第一公钥。
用户终端接收到到由支付终端发送的第一公钥和第一签名数据后,根据用户终端中预先存储的第一预设证书验证第一公钥。其中,第一预设证书即为用户终端中初装的根证书。
S1013:当所述第一公钥验证通过时,根据所述第一公钥验证所述第一签名数据。
当第一公钥验证通过时,根据第一公钥验证第一签名数据,验签成功,则最后检查支付终端的第一设备信息是否正确,完成本次验证。
下面通过具体的实施例来描述用户终端验证支付终端的过程,用户终端可以向支付终端发送验证请求,验证请求中可以包括用户终端的设备信息以及服务器下发的随机数。用户终端产生新的随机数RoleB.Random1,并将自己的设备信息和随机数RoleB.Random1一起发给支付终端,发起对支付终端的验证。支付终端产生握手公私钥对和第一随机数RoleA.Random1,计算握手公钥、RoleA.Random1、支付终端的设备信息和RoleB.Random1的摘要信息,并利用初始私钥证书对该摘要进行签名,生成签名数据并发给用户终端去验签。用户终端获取到支付终端的握手公钥、支付终端的设备信息和支付终端的随机数。用初装的根证书验签支付终端的公钥证书,然后用支付终端的公钥证书验签,验签成功,则最后检查支付终端的设备信息是否正确。
S102:当所述第一验证信息验证通过时,生成第二验证信息。
当用户终端检测到第一验证信息验证通过时,说明用户终端单向验证支付终端通过,身份合法。用户终端继续进行验证,用户终端需要让服务器来验证用户终端。用户终端生成第二验证信息,第二验证信息用于向服务器发起验证请求,触发服务器认证用户终端。
当服务器验证第二验证信息验证通过时,说明服务器验证用户终端的身份通过,可以继续对其他设备进行验证;当服务器验证第二验证信息验证不通过时,说明用户终端的身份验证未通过,当前存在风险,不再继续建立通信信道。
一种可能的实施方式中,由于用户终端是不安全的设备,本身不能存储私钥,所以可以在认证时使用白盒密钥,用于服务器验证用户终端。所以,生成第二验证信息可以包括S1021~S1022,如图4所示,S1021~S1022具体如下:
S1021:获取第二随机数、时间戳信息和所述用户终端的第二设备信息,根据预设白盒签名密钥对所述第二随机数、所述时间戳信息和所述第二设备信息进行哈希运算,得到第二签名数据。
用户终端产生第二随机数,获取第二随机数、时间戳信息和用户终端的第二设备信息,用户终端使用预设白盒签名密钥对第二随机数、时间戳信息和第二设备信息进行哈希运算,得到第二签名数据。用户终端还可以对第二随机数、时间戳信息、第二设备信息和用户编号进行哈希运算,得到第二签名数据。
S1022:根据所述第二签名数据得到第二验证信息。
用户终端根据第二签名数据、用户终端的第二设备信息和第一密钥序列号生成第二验证信息。
S103:根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器。
用户终端根据第一验证信息生成第三验证信息。第一验证信息中包括支付终端的设备信息、用户终端的设备信息和服务器下发的第二随机数,用户终端可以将支付终端的设备信息、用户终端的设备信息和服务器下发的随机数经过预设白盒签名密钥进行哈希运算生成签名数据,根据上述签名数据生成第三验证信息。
用户终端将第二验证信息和第三验证信息发送至服务器。服务器接收到第二验证信息,要对用户终端进行认证,服务器接收到第三验证信息,要对支付终端进行认证。服务器认证后,需要将用户终端的认证结果和支付终端的认证结果都返回用户终端。
本实施例中,对于服务器验证支付终端和用户终端的验证方式不做限制。举例来说,服务器端对于支付终端的验证方式可以为,服务器采用预设证书验证支付终端的公钥证书,当该公钥证书通过验证时,采用该公钥整数据验证支付终端的签名数据。服务器对于用户终端的验证方式可以为,将根据第二验证数据获取到的用户终端的设备信息、支付终端的设备信息、服务器下发的第二随机数和用户编号,通过预设白盒签名密钥进行签名,生成的签名数据和根据第二验证数据中的签名数据做对比,对比一致则验证完成。
S104:当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;所述第四验证信息为所述服务器在对所述第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息。
用户终端接收由服务器发送的第四验证信息,说明当前服务器已经认证了支付终端和用户终端,服务器请求用户终端认证。
第四验证信息为服务器在对第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息。服务器当验证支付终端和用户终端通过时,需要请求用户终端来验证服务器。服务器可以使用第一密钥序列号生成新的数据加密密钥和签名密钥,之后分别生成对应的白盒密钥,然后使用自己的私钥对白盒密钥进行签名,用预装的白盒数据密钥对随机数进行进行白盒哈希运算,生成数据加密密钥。最后根据认证公钥证书、生成的白盒签名密钥、白盒密钥数据、第一密钥序列号等生成第四验证信息,通过数据加密密钥加密后,将第四验证信息传递给用户终端。
对于第四验证信息的验证方式此处不做限制,一种实施方式中,第四验证信息包括第四公钥和第四签名数据,S104可以包括S1041~S1042,如图5所示,S1041~S1042具体如下:
S1041:当获取由所述服务器发送的第四公钥和第四签名数据时,根据第二预设证书验证所述第四公钥。
用户终端接收到到由服务器发送的第四公钥和第四签名数据后,根据用户终端中预先存储的第二预设证书验证第四公钥。
获取由所述服务器发送的第四公钥和第四签名数据具体可以包括S10411~S10413,如图6所示,S10411~S10413
S10411:接收由所述服务器发送的第四验证信息。
S10412:根据预设白盒签名密钥对所述第二随机数进行白盒哈希运算,生成第一数据加密密钥。
用户终端使用预设白盒签名密钥对第二随机数进行白盒哈希运算,生成第一数据加密密钥。
S10413:根据所述第一数据加密密钥还原所述第四验证信息,得到所述第四公钥和第四签名数据。
用户终端使用第一数据加密密钥还原第四验证信息,得到第四公钥和第四签名数据。之后验证服务器传递过来的第四公钥,之后用第四公钥验证第四签名数据,则验证服务器完毕。
S1042:当所述第四公钥验证通过时,根据所述第四公钥验证所述第四签名数据。
第四公钥验证通过时,根据第四公钥验证第四签名数据,验签成功,则完成本次验证。
S105:当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端。
当第四验证信息验证通过时,用户终端完成认证服务器,然后,应该由用户终端向支付终端发起请求,请求支付终端认证用户终端和服务器,完成三者之间的双向认证。
当第四验证信息验证通过时,将第五验证信息和第四验证信息发送至支付终端。支付终端根据第五验证信息认证用户终端,支付终端根据第四验证信息认证服务器。
第一验证信息中包括支付终端生成的第一随机数、第一密钥序列号,用户终端根据第一验证信息生成第五认证信息,根据预设白盒密钥对第一随机数、第一密钥序列号进行哈希运算,生成签名数据,然后,根据该签名数据和第一密钥序列号生成第五验证信息,将第五验证信息发送至支付终端。
支付终端从用户终端发过来的第五验证信息中获取到第一密钥序列号,并用双向认证时保存的预设密钥序列号生成签名密钥,对第一随机数、第一密钥序列号进行哈希运算,生成签名数据,与用户终端发来的第五验证信息中的签名数据做对比即可认证用户终端。
用户终端根据第四验证信息生成第六验证信息,第四验证信息中包括签名信息、公钥、服务器下发的第二随机数和支付终端的第一随机数。用户终端对签名信息、服务器下发的第二随机数和支付终端的第一随机数进行白盒密钥签名,得到白盒签名数据,然后,根据公钥、第一密钥序列号签名和白盒签名数据生成第六验证信息。
支付终端接收到第六验证信息,使用预装的公钥证书验证服务器的公钥,之后用该公钥验证签名信息,则验证服务器完毕。
S106:当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
用户终端检测到支付终端验证对第五验证信息和第六验证信息验证通过时,需要协商生成会话密钥,以保证传输的数据安全。基于用户终端和支付终端之间的第一会话密钥,建立用户终端和所述支付终端之间的第一通信信道,并且基于用户终端和服务器之间的第二会话密钥,建立用户终端和服务器之间的第二通信信道。
基于用户终端和支付终端之间的第一会话密钥,建立用户终端和所述支付终端之间的第一通信信道可以采用以下方式:
发送随机数种子产生请求至支付终端,即用户终端请求支付终端产生随机数种子。接收由支付终端发送的第一握手公钥、第四签名数据和随机数密文,支付终端产生新的第三随机数RoleA.Random2,当作随机数种子。支付终端利用第一密钥序列号通过dukpt机制产生数据加密根密钥,并对支付终端的第一握手公钥进行哈希运算,产生数据加密密钥。用该数据加密密钥加密第三随机数RoleA.Random2,使用白盒签名密钥对第三随机数RoleA.Random2、用户终端产生的第二随机数进行哈希运算产生第四签名数据,并将第四签名数据和第三随机数RoleA.Random2的随机数密文一起发送至用户终端。
然后,用户终端对第一握手公钥进行白盒运算,得到第二数据加密密钥。根据第二数据加密密钥对所述随机数密文进行解密,得到由支付终端产生的第三随机数,用户终端对随机数密文解密出第三随机数RoleA.Random2。
用户终端使用预设白盒签名密钥对第三随机数和第二随机数进行运算,得到第五签名数据。当第四签名数据和第五签名数据一致时,保存第三随机数,并生成第二握手公钥。用户终端使用白盒签名密钥对第三随机数RoleA.Random2、第二随机数RoleB.Random1进行运算产生第五签名数据,和支付终端发过来的签名数据进行比对,一致则将第三随机数RoleA.Random2保存。根据预设白盒签名密钥对第三随机数和第二握手公钥进行运算,生成第六签名数据,用白盒签名密钥对第二握手公钥和第三随机数RoleA.Random1进行运算产生第六签名数据。用户终端述第二握手公钥和第六签名数据发送至所述支付终端,发起产生会话密钥的请求。
支付终端使用签名密钥对第二握手公钥、第一随机数RoleA.Random1进行哈希运算产生签名数据,和用户终端发来的签名数据比较。比较一致后,开始产生会话密钥。首先使用自己的握手密钥私钥和用户终端的第二握手公钥进行ecdh算法产生DH密钥,使用该DH密钥对支付终端的设备信息、用户终端的设备信息、和会话初值进行hkdf运算产生会话密钥;和MAC验证密钥初值进行hkdf运算产生MAC验证密钥;和MAC密钥初值进行hkdf运算产生MAC密钥;和PIN密钥初值进行hkdf运算产生PIN加密密钥;并使用新产生的会话密钥和MAC密钥加密HELLO消息,生成第一握手信息,传递给用户终端请求握手。
用户终端接收由支付终端发送的第一握手信息,根据第一握手信息确定用户终端的第一会话密钥,基于第一会话密钥,建立用户终端和所述支付终端之间的第一通信信道。
基于用户终端和所述服务器之间的第二会话密钥,建立用户终端和服务器之间的第二通信信道,包括:根据预设白盒数据密钥对第六随机数进行白盒哈希运算产生第二会话密钥,基于所述第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。服务器也使用白盒数据密钥对用户终端的随机数进行白盒哈希运算产生会话密钥。
本申请实施例中,接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;当所述第一验证信息验证通过时,生成第二验证信息;根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端;当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。上述方案,对于参与通信的三方均进行了安全认证,认证通过后基于会话密钥建立了三方可信的安全通道,保证了数据传输的安全,避免了风险。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
请参见图7,图7是本申请第三实施例提供的用户终端的示意图。包括的各单元用于执行图2~图6对应的实施例中的各步骤。具体请参阅图2~图6各自对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。参见图7,用户终端7包括:
第一处理单元710,用于接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;
第二处理单元720,用于当所述第一验证信息验证通过时,生成第二验证信息;
第一发送单元730,用于根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;
第三处理单元740,用于当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;所述第四验证信息为所述服务器在对所述第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息;
第二发送单元750,用于当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端;
第四处理单元760,用于当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
进一步地,所述第一验证信息包括第一公钥和第一签名数据;所述第一签名数据包括所述支付终端的第一设备信息、由所述支付终端生成的第一随机数、第一密钥序列号;
第一处理单元710,具体用于:
接收到由支付终端发送的第一公钥和第一签名数据;
根据第一预设证书验证所述第一公钥;
当所述第一公钥验证通过时,根据所述第一公钥验证所述第一签名数据。
进一步地,第二处理单元720,具体用于:
获取第二随机数、时间戳信息和所述用户终端的第二设备信息,根据预设白盒签名密钥对所述第二随机数、所述时间戳信息和所述第二设备信息进行哈希运算,得到第二签名数据;
根据所述第二签名数据得到第二验证信息。
进一步地,所述第四验证信息包括第四公钥和第四签名数据;
第三处理单元740,包括:
第四处理单元,用于当获取由所述服务器发送的第四公钥和第四签名数据时,根据第二预设证书验证所述第四公钥;
第五处理单元,用于当所述第四公钥验证通过时,根据所述第四公钥验证所述第四签名数据。
进一步地,所述第四处理单元,具体用于:
接收由所述服务器发送的第四验证信息;
根据预设白盒签名密钥对所述第二随机数进行白盒哈希运算,生成第一数据加密密钥;
根据所述第一数据加密密钥还原所述第四验证信息,得到所述第四公钥和第四签名数据。
进一步地,第四处理单元760,具体用于:
发送随机数种子产生请求至所述支付终端;
接收由所述支付终端发送的第一握手公钥、第四签名数据和随机数密文;
对所述第一握手公钥进行白盒运算,得到第二数据加密密钥;
根据所述第二数据加密密钥对所述随机数密文进行解密,得到由所述支付终端产生的第三随机数;
使用预设白盒签名密钥对所述第三随机数和第二随机数进行运算,得到第五签名数据;
当所述第四签名数据和第五签名数据一致时,保存所述第三随机数,并生成第二握手公钥;
根据预设白盒签名密钥对所述第三随机数和所述第二握手公钥进行运算,生成第六签名数据;
将所述第二握手公钥和所述第六签名数据发送至所述支付终端;
接收由所述支付终端发送的第一握手信息;
根据所述第一握手信息确定所述用户终端的第一会话密钥,基于所述第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道。
进一步地,第四处理单元760,具体用于:
根据预设白盒数据密钥对第六随机数进行白盒哈希运算产生第二会话密钥,基于所述第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
图8是本申请第四实施例提供的用户终端的示意图。如图8所示,该实施例的用户终端8包括:处理器80、存储器81以及存储在所述存储器81中并可在所述处理器80上运行的计算机程序82,例如建立通信信道的程序。所述处理器80执行所述计算机程序82时实现上述各个建立通信信道的方法实施例中的步骤,例如图2所示的步骤101至106。或者,所述处理器80执行所述计算机程序82时实现上述各装置实施例中各模块/单元的功能,例如图5所示模块710至760的功能。
示例性的,所述计算机程序82可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器81中,并由所述处理器80执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序82在所述用户终端8中的执行过程。例如,所述计算机程序82可以被分割成第一处理单元、第二处理单元、第一发送单元、第三处理单元、第二发送单元、第四处理单元,各单元具体功能如下:
第一处理单元,用于接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;
第二处理单元,用于当所述第一验证信息验证通过时,生成第二验证信息;
第一发送单元,用于根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;
第三处理单元,用于当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;所述第四验证信息为所述服务器在对所述第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息;
第二发送单元,用于当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端;
第四处理单元,用于当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
所述用户终端可包括,但不仅限于,处理器80、存储器81。本领域技术人员可以理解,图8仅仅是用户终端8的示例,并不构成对用户终端8的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述用户终端还可以包括输入输出设备、网络接入设备、总线等。
所称处理器80可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器81可以是所述用户终端8的内部存储单元,例如用户终端8的硬盘或内存。所述存储器81也可以是所述用户终端8的外部存储设备,例如所述用户终端8上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述用户终端8还可以既包括所述用户终端8的内部存储单元也包括外部存储设备。所述存储器81用于存储所述计算机程序以及所述用户终端所需的其他程序和数据。所述存储器81还可以用于暂时地存储已经输出或者将要输出的数据。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供了一种网络设备,该网络设备包括:至少一个处理器、存储器以及存储在所述存储器中并可在所述至少一个处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意各个方法实施例中的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在移动终端上运行时,使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种建立通信信道的方法,其特征在于,应用于用户终端,所述方法包括:
接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;
当所述第一验证信息验证通过时,生成第二验证信息;
根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;
当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;所述第四验证信息为所述服务器在对所述第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息;
当所述第四验证信息验证通过时,根据所述第一验证信息生成第五验证信息,根据所述第四验证信息生成第六验证信息,并将所述第五验证信息和所述第六验证信息发送至所述支付终端;
当检测到所述支付终端验证对所述第五验证信息和所述第六验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
2.如权利要求1所述的建立通信信道的方法,其特征在于,所述第一验证信息包括第一公钥和第一签名数据;所述第一签名数据包括所述支付终端的第一设备信息、由所述支付终端生成的第一随机数、第一密钥序列号;
所述接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证,包括:
接收到由支付终端发送的第一公钥和第一签名数据;
根据第一预设证书验证所述第一公钥;
当所述第一公钥验证通过时,根据所述第一公钥验证所述第一签名数据。
3.如权利要求1所述的建立通信信道的方法,其特征在于,所述生成第二验证信息,包括:
获取第二随机数、时间戳信息和所述用户终端的第二设备信息,根据预设白盒签名密钥对所述第二随机数、所述时间戳信息和所述第二设备信息进行哈希运算,得到第二签名数据;
根据所述第二签名数据得到第二验证信息。
4.如权利要求1所述的建立通信信道的方法,其特征在于,所述第四验证信息包括第四公钥和第四签名数据;
所述当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证,包括:
当获取由所述服务器发送的第四公钥和第四签名数据时,根据第二预设证书验证所述第四公钥;
当所述第四公钥验证通过时,根据所述第四公钥验证所述第四签名数据。
5.如权利要求4所述的建立通信信道的方法,其特征在于,所述获取由所述服务器发送的第四公钥和第四签名数据,包括:
接收由所述服务器发送的第四验证信息;
根据预设白盒签名密钥对所述第二随机数进行白盒哈希运算,生成第一数据加密密钥;
根据所述第一数据加密密钥还原所述第四验证信息,得到所述第四公钥和第四签名数据。
6.如权利要求1所述的建立通信信道的方法,其特征在于,所述基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,包括:
发送随机数种子产生请求至所述支付终端;
接收由所述支付终端发送的第一握手公钥、第四签名数据和随机数密文;
对所述第一握手公钥进行白盒运算,得到第二数据加密密钥;
根据所述第二数据加密密钥对所述随机数密文进行解密,得到由所述支付终端产生的第三随机数;
使用预设白盒签名密钥对所述第三随机数和第二随机数进行运算,得到第五签名数据;
当所述第四签名数据和第五签名数据一致时,保存所述第三随机数,并生成第二握手公钥;
根据预设白盒签名密钥对所述第三随机数和所述第二握手公钥进行运算,生成第六签名数据;
将所述第二握手公钥和所述第六签名数据发送至所述支付终端;
接收由所述支付终端发送的第一握手信息;
根据所述第一握手信息确定所述用户终端的第一会话密钥,基于所述第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道。
7.如权利要求1所述的建立通信信道的方法,其特征在于,所述基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道,包括:
根据预设白盒数据密钥对第六随机数进行白盒哈希运算产生第二会话密钥,基于所述第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
8.一种用户终端,其特征在于,包括:
第一处理单元,用于接收到由支付终端发送的第一验证信息,并对所述第一验证信息进行验证;
第二处理单元,用于当所述第一验证信息验证通过时,生成第二验证信息;
第一发送单元,用于根据所述第一验证信息生成第三验证信息,并将所述第二验证信息和所述第三验证信息发送至服务器;
第三处理单元,用于当接收由所述服务器发送的第四验证信息时,对所述第四验证信息进行验证;所述第四验证信息为所述服务器在对所述第二验证信息和所述第三验证信息进行验证,并验证通过之后生成的验证信息;
第二发送单元,用于当所述第四验证信息验证通过时,将所述第二验证信息和所述第四验证信息发送至所述支付终端;
第四处理单元,用于当检测到所述支付终端验证对所述第二验证信息和所述第四验证信息验证通过时,基于所述用户终端和所述支付终端之间的第一会话密钥,建立所述用户终端和所述支付终端之间的第一通信信道,并且基于所述用户终端和所述服务器之间的第二会话密钥,建立所述用户终端和所述服务器之间的第二通信信道。
9.一种用户终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010917870.0A CN112055019B (zh) | 2020-09-03 | 2020-09-03 | 一种建立通信信道的方法及用户终端 |
| US18/043,756 US20230284027A1 (en) | 2020-09-03 | 2021-07-14 | Method for establishing communication channel, and user terminal |
| PCT/CN2021/106322 WO2022048318A1 (zh) | 2020-09-03 | 2021-07-14 | 一种建立通信信道的方法及用户终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010917870.0A CN112055019B (zh) | 2020-09-03 | 2020-09-03 | 一种建立通信信道的方法及用户终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112055019A true CN112055019A (zh) | 2020-12-08 |
| CN112055019B CN112055019B (zh) | 2022-09-27 |
Family
ID=73608369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010917870.0A Active CN112055019B (zh) | 2020-09-03 | 2020-09-03 | 一种建立通信信道的方法及用户终端 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230284027A1 (zh) |
| CN (1) | CN112055019B (zh) |
| WO (1) | WO2022048318A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022048318A1 (zh) * | 2020-09-03 | 2022-03-10 | 深圳市百富智能新技术有限公司 | 一种建立通信信道的方法及用户终端 |
| CN114844878A (zh) * | 2022-03-29 | 2022-08-02 | 宁德星云检测技术有限公司 | 一种基于WebSocket的锂电池测试系统通讯方法及装置 |
| CN116866093A (zh) * | 2023-09-05 | 2023-10-10 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
| CN117056976A (zh) * | 2023-08-22 | 2023-11-14 | 哈尔滨商业大学 | 一种财务数据处理方法、装置及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102655026B1 (ko) * | 2022-05-16 | 2024-04-05 | 충남대학교산학협력단 | 다자간 세션 키 동의 방법 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082796A (zh) * | 2011-01-20 | 2011-06-01 | 北京融易通信息技术有限公司 | 一种基于http的信道加密方法、信道简化加密方法及系统 |
| CN103942688A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互系统 |
| US20150088756A1 (en) * | 2013-09-20 | 2015-03-26 | Oleg Makhotin | Secure Remote Payment Transaction Processing Including Consumer Authentication |
| CN104616148A (zh) * | 2015-01-23 | 2015-05-13 | 恒银金融科技有限公司 | 一种可穿戴式支付终端的支付方法及该支付终端 |
| CN105556553A (zh) * | 2013-07-15 | 2016-05-04 | 维萨国际服务协会 | 安全的远程支付交易处理 |
| CN107872450A (zh) * | 2016-09-22 | 2018-04-03 | Abb瑞士股份公司 | 安全通信方法和系统 |
| CN109670828A (zh) * | 2018-12-06 | 2019-04-23 | 福建联迪商用设备有限公司 | 一种应用在线签名方法及系统 |
| CN110290134A (zh) * | 2019-06-25 | 2019-09-27 | 神州融安科技(北京)有限公司 | 一种身份认证方法、装置、存储介质及处理器 |
| CN110912686A (zh) * | 2019-10-15 | 2020-03-24 | 福建联迪商用设备有限公司 | 一种安全通道的密钥的协商方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104715362A (zh) * | 2013-12-16 | 2015-06-17 | 黄金富知识产权咨询(深圳)有限公司 | 利用实时信息通信确认交易的支付系统和方法 |
| CN104616407A (zh) * | 2014-12-23 | 2015-05-13 | 北京钱袋网智能技术有限责任公司 | Pos机与远程服务器通信的方法、pos机和移动终端 |
| CN106688004B (zh) * | 2015-11-16 | 2021-02-09 | 华为技术有限公司 | 一种交易认证方法、装置、移动终端、pos终端及服务器 |
| CN105530241B (zh) * | 2015-12-07 | 2018-12-28 | 咪付(广西)网络技术有限公司 | 移动智能终端与pos终端的认证方法 |
| EP3182315A1 (en) * | 2015-12-16 | 2017-06-21 | Gemalto Sa | Method, device, server and system for authenticating a user |
| CN106375326B (zh) * | 2016-09-12 | 2019-03-01 | 山西特信环宇信息技术有限公司 | 一种手机双向验证终端及方法 |
| CN107679847B (zh) * | 2017-09-07 | 2021-05-11 | 广东工业大学 | 一种基于近场通信双向身份认证的移动交易隐私保护方法 |
| CN112055019B (zh) * | 2020-09-03 | 2022-09-27 | 深圳市百富智能新技术有限公司 | 一种建立通信信道的方法及用户终端 |
-
2020
- 2020-09-03 CN CN202010917870.0A patent/CN112055019B/zh active Active
-
2021
- 2021-07-14 WO PCT/CN2021/106322 patent/WO2022048318A1/zh active Application Filing
- 2021-07-14 US US18/043,756 patent/US20230284027A1/en active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082796A (zh) * | 2011-01-20 | 2011-06-01 | 北京融易通信息技术有限公司 | 一种基于http的信道加密方法、信道简化加密方法及系统 |
| CN105556553A (zh) * | 2013-07-15 | 2016-05-04 | 维萨国际服务协会 | 安全的远程支付交易处理 |
| US20150088756A1 (en) * | 2013-09-20 | 2015-03-26 | Oleg Makhotin | Secure Remote Payment Transaction Processing Including Consumer Authentication |
| CN103942688A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互系统 |
| CN104616148A (zh) * | 2015-01-23 | 2015-05-13 | 恒银金融科技有限公司 | 一种可穿戴式支付终端的支付方法及该支付终端 |
| CN107872450A (zh) * | 2016-09-22 | 2018-04-03 | Abb瑞士股份公司 | 安全通信方法和系统 |
| CN109670828A (zh) * | 2018-12-06 | 2019-04-23 | 福建联迪商用设备有限公司 | 一种应用在线签名方法及系统 |
| CN110290134A (zh) * | 2019-06-25 | 2019-09-27 | 神州融安科技(北京)有限公司 | 一种身份认证方法、装置、存储介质及处理器 |
| CN110912686A (zh) * | 2019-10-15 | 2020-03-24 | 福建联迪商用设备有限公司 | 一种安全通道的密钥的协商方法及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022048318A1 (zh) * | 2020-09-03 | 2022-03-10 | 深圳市百富智能新技术有限公司 | 一种建立通信信道的方法及用户终端 |
| CN114844878A (zh) * | 2022-03-29 | 2022-08-02 | 宁德星云检测技术有限公司 | 一种基于WebSocket的锂电池测试系统通讯方法及装置 |
| CN114844878B (zh) * | 2022-03-29 | 2023-04-11 | 宁德星云检测技术有限公司 | 一种基于WebSocket的锂电池测试系统通讯方法及装置 |
| CN117056976A (zh) * | 2023-08-22 | 2023-11-14 | 哈尔滨商业大学 | 一种财务数据处理方法、装置及系统 |
| CN117056976B (zh) * | 2023-08-22 | 2024-03-08 | 哈尔滨商业大学 | 一种财务数据处理方法、装置及系统 |
| CN116866093A (zh) * | 2023-09-05 | 2023-10-10 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
| CN116866093B (zh) * | 2023-09-05 | 2024-01-05 | 鼎铉商用密码测评技术(深圳)有限公司 | 身份认证方法、身份认证设备以及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230284027A1 (en) | 2023-09-07 |
| WO2022048318A1 (zh) | 2022-03-10 |
| CN112055019B (zh) | 2022-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112055019B (zh) | 一种建立通信信道的方法及用户终端 | |
| CN109150548B (zh) | 一种数字证书签名、验签方法及系统、数字证书系统 | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN103167491B (zh) | 一种基于软件数字证书的移动终端唯一性认证方法 | |
| CN103067402B (zh) | 数字证书的生成方法和系统 | |
| CN110177354A (zh) | 一种车辆的无线控制方法及系统 | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN106327184A (zh) | 一种基于安全硬件隔离的移动智能终端支付系统及方法 | |
| CN101221641B (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| CN109041021B (zh) | 一种基于蓝牙的文件传输方法、终端设备及存储介质 | |
| CN111160915A (zh) | 一种乘车码验证方法、装置、交通扫码设备及终端设备 | |
| US9438595B2 (en) | Network resource access control methods and systems using transactional artifacts | |
| CN108683674A (zh) | 门锁通信的验证方法、装置、终端及计算机可读存储介质 | |
| CN112769574B (zh) | 密钥注入方法和系统、密钥管理系统、设备及机器可读介质 | |
| WO2015135398A1 (zh) | 一种基于协商密钥的数据处理方法 | |
| EP1142194A1 (en) | Method and system for implementing a digital signature | |
| WO2015055120A1 (zh) | 用于安全性信息交互的装置 | |
| CN106411520B (zh) | 一种虚拟资源数据的处理方法、装置及系统 | |
| CN111062059B (zh) | 用于业务处理的方法和装置 | |
| CN106656955A (zh) | 一种通信方法及系统、客户端 | |
| KR20120091618A (ko) | 연쇄 해시에 의한 전자서명 시스템 및 방법 | |
| WO2015109958A1 (zh) | 一种基于协商密钥的数据处理方法和手机 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
| CN112712354A (zh) | 一种数字货币钱包与数字货币服务器的交互方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |