CN113379414A - 一种适用于双离线交易的身份核实方法及终端 - Google Patents
一种适用于双离线交易的身份核实方法及终端 Download PDFInfo
- Publication number
- CN113379414A CN113379414A CN202010158074.3A CN202010158074A CN113379414A CN 113379414 A CN113379414 A CN 113379414A CN 202010158074 A CN202010158074 A CN 202010158074A CN 113379414 A CN113379414 A CN 113379414A
- Authority
- CN
- China
- Prior art keywords
- root key
- key
- terminal
- information
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012795 verification Methods 0.000 title claims abstract description 49
- 238000004364 calculation method Methods 0.000 claims abstract description 30
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 18
- 230000015654 memory Effects 0.000 claims description 17
- 230000009977 dual effect Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 description 12
- 230000001360 synchronised effect Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000000717 retained effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 235000012054 meals Nutrition 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Engineering & Computer Science (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明涉及一种适用于双离线交易的身份核实方法及终端,属于离线交易安全技术领域。本发明的方法包括如下步骤:在更新周期内移动端和终端同步至少前后两个更新周期内的根密钥;移动端将所有根密钥,均加上相应的标识信息生成对应的若干组用户密钥;移动端将所有用户密钥和移动端唯一标识生成身份验证信息;终端获得身份验证信息后,基于自身的根密钥信息,采用与移动端相同的算法,计算用户密钥,并将自身计算得到的若干组用户密钥和身份验证信息中的若干组用户密钥两两比较,至少存在一组相同时,身份验证通过。本发明在保证身份验证安全可靠的前提下防止了密钥更新存在偏差而验证失败的问题。
Description
技术领域
本发明涉及一种适用于双离线交易的身份核实方法及终端,属于离线交易安全技术领域。
背景技术
近年来电子支付发展迅速,已经普及到了各行各业,传统的在线电子支付是在交易双方通过扫码等方式交换身份信息之后,与支付平台(金融机构)建立联系,由支付平台验证确认了付款方身份信息后,从付款方的电子账户中划扣相应金额,打入收款方账户的电子账户,完成交易。在线支付的过程中,交易双方不需要核实对方信息,仅需获取上传平台即可。对于卖方来说,向支付平台提交扣款申请,平台来核实买方信息,并基于信用交易或者实时扣款交易,将款额付至卖方账户,卖方足额收到货款交付商品或提供服务,卖方此时也并不关心支付方的真实身份和信用交易中的还款能力问题。对于在线环境下,基于平台的数据库和硬件资源,身份核实的方法成熟且容易,掌握用户的支付能力并提供对应的信用交易额度,以及确保能够收回欠款从技术上来讲对于支付平台来说也是容易做到的。
但是目前,对于交易效率和支付体验来讲,在线交易需要交易双方与支付平台通信连接传输数据,不管是在支付前买方主动向平台请求支付,还是卖方向平台申请扣款后平台与买方通信进行核实,到最终支付成功,这一过程即使在网络状况良好的情况下的时间耗费也会达到数百毫秒的级别,这对于用户体验来讲就能明显感觉到一刹那的卡顿。在日常生活中正常情况下,这种卡顿感不会带来影响,但是在例如大量人排队等待支付的过程中,这种卡顿就会累加带来较大的影响和浪费,同时人流密集的情况下,移动网络无线网络的连接速度也会受到较大影响,网速降低会造成支付成功前更长时间的的等待,甚至支付失败需要重新支付,这就大大降低了移动支付的体验。
为了应对这种问题,离线支付应运而生,离线支付在支付时不与金融平台通信,由卖方对买方进行身份核实,同时记账并交付商品,并在之后向金融平台提交扣款申请。那么在此过程中,身份核实就显得尤为重要。现有技术的做法是,金融平台将相同的根密钥定期更新到卖方设备和卖方设备上,买方设备经过一定的算法将用户身份信息与根密钥结合生成用户密钥,在离线状态下交易时,用户密钥和交易信息以及用户信息生成交易验证信息,例如二维码,卖方设备在扫码后获得用户信息,并采用相同算法与根密钥结合,在结合后与二维码中解析出的用户密钥比对,比对一致则认为身份核实通过,若该用户在卖方的信用额度足够或卖方有其他途径保证买方的还款后,直接记账并交付商品。这个过程不要求与第三方金融平台交互,完全线下的买方和卖方的设备基于二维码解码的数据交换,整个过程是毫秒级的,完全消除了卡顿的感觉,对于体验来讲在扫码完成后可以立刻看到支付成功(扫码完成身份认证成功)的提示,卖方即可交付商品。支付过程不要求互联网连接,不存在卡顿,更不会因网络状态差而支付失败,降低了排队支付的等待时间,提高了支付体验。
当然,离线支付的设备是指在支付的前后一定时间内离线,同时还能实现支付功能。并不代表支付的设备可以无限制的离线,便利的同时还要考虑支付安全,为了防止付款的二维码被窃取而盗用的情况,需要定时更新密钥(更新密钥即更新了二维码),过长时间的离线会导致支付设备无法更新根密钥进而导致后来的支付失败。因此,离线支付的身份验证在提高安全性时,往往采取增加密钥更新频率的办法,但随着密钥更新频率的增加,会更容易出现因设备离线而未能及时获取新的密钥或其他原因导致的密钥出现偏差而最终无法支付的情况。这也会导致用户体验的下降。
发明内容
本发明的目的是提供一种适用于双离线交易的身份核实方法及终端,用以解决现有离线交易因密钥同步有偏差而导致支付失败的问题。
为实现上述目的,本发明的方案包括:
本发明的一种适用于双离线交易的身份核实方法,包括如下步骤:
1)在更新周期内同步需要被身份验证的移动端的根密钥信息,同时在所述更新周期内同步用于验证身份的终端的根密钥信息;所述根密钥信息包括本更新周期的根密钥,还至少包括上一更新周期的根密钥或下一更新周期的根密钥;所述根密钥中带有对应的根密钥时间戳;
2)所述移动端将所述根密钥信息中的每一个根密钥,均加上相应的标识信息生成对应的若干组用户密钥;所述标识信息包括移动端唯一标识和根密钥时间戳;
3)所述移动端将所有用户密钥和移动端唯一标识生成身份验证信息;所述终端获得身份验证信息后,基于自身的根密钥信息,采用与移动端相同的算法,计算用户密钥,并将自身计算得到的若干组用户密钥和所述身份验证信息中的若干组用户密钥两两比较,至少存在一组相同时,身份验证通过。
本发明针对密钥同步过程中,可能出现的断网失联未能成功更新密钥的情况,对交互双方均一次同步前后两个密钥周期的根密钥,在保证身份验证安全可靠性的基础上,防止了交互双方因未能成功更新根密钥而导致密钥错误身份校验失败的情况。
进一步的,所述根密钥信息中包含三组根密钥,分别为:本更新周期的根密钥、上一更新周期的根密钥和下一更新周期的根密钥。
每次同步除了本周期的根密钥,还额外同步上一周期的根密钥,和下一周期的根密钥,进一步增加了同步失败的容错能力,且能够在交互双方双离线(均存在密钥更新有偏差)的情况下,依然保证一定离线程度范围能的可靠身份成功识别。
进一步的,所述用户密钥还在所述更新周期内根据有效时间进行更新。
根密钥周期内进一步定时更新用户密钥,进一步提高安全性,防止有人盗取带有身份验证信息的二维码,骗过身份验证。
进一步的,步骤3)中,所述终端在基于自身的根密钥信息,采用与移动端相同的算法,计算用户密钥时,优先根据主根密钥组计算并与所述身份验证信息中的若干组用户密钥相比较;所述主根密钥为本更新周期的根密钥。
终端优先基于当前周期的根密钥计算用户密钥,并与从移动端获取的用户密钥依次比对,若比对通过则身份验证通过,不再进行其他根密钥的计算,增加了验证效率减少了计算量。
进一步的,步骤1)中,所述移动端和终端同步根密钥信息的方法包括:第三方推送或者主动向第三方申请拉取。
进一步的,所述身份验证信息还包括交易信息。
本发明的身份核实方法可以用于离线交易中的身份验证,解决了密钥同步存在偏差而导致支付失败的问题,提升了支付体验,增加了使用满意度。
本发明的一种用于验证身份的终端,包括处理器和存储器,所述处理器执行储存在存储器中的指令以实现以下方法:
1)在更新周期内同步根密钥信息,所述根密钥信息包括本更新周期的根密钥,还至少包括上一更新周期的根密钥或下一更新周期的根密钥;所述根密钥中带有对应的根密钥时间戳;
2)获得需要被身份验证的移动端的身份验证信息;所述身份验证信息包括所述移动端的所有用户密钥和移动端唯一标识;
3)基于自身的根密钥信息和所述身份验证信息,计算用户密钥,并将自身计算得到的若干组用户密钥和所述身份验证信息中的若干组用户密钥两两比较,至少存在一组相同时,身份验证通过。
进一步的,所述根密钥信息中包含三组根密钥,分别为:本更新周期的根密钥、上一更新周期的根密钥和下一更新周期的根密钥。
进一步的,所述终端在基于自身的根密钥信息和所述身份验证信息计算用户密钥时,优先根据主根密钥组计算并与所述身份验证信息中的若干组用户密钥相比较;所述主根密钥为本更新周期的根密钥。
进一步的,所述身份验证信息还包括交易信息。
附图说明
图1是本发明实施例1的适用于离线交易的身份核实方法流程图;
图2是本发明实施例2的适用于离线交易的身份核实方法流程图;
图3是本发明实施例3的适用于离线交易的身份核实方法流程图;
图4是本发明的用于验证身份的终端结构原理图。
具体实施方式
下面结合附图对本发明做进一步详细的说明。
方法实施例1:
本实施例中,离线交易业务的交互各方包括提供金融服务的支付平台方,也可以为互联网可信站点服务平台、云密钥平台、一卡通平台等,具体平台身份本发明不做限定,在本实施例中简称为平台或支付平台;商品或服务的提供者所使用的收款终端或POS终端等有身份验证需求的终端设备,在本实施例中简称为终端;以及购买商品或服务的用户所使用的例如手机等具有联网和显示功能的智能设备,即带有身份属性和有身份验证需求的设备,在本实施例中简称为移动端。终端通过无线或有线网络与平台相连,移动端通过蜂窝数据网络或wifi与平台相连。
在网络连接良好的时候,交易支付过程可以如背景技术部分所述,按照在线支付的方式进行,也可以由移动端在交易时与平台和终端同步密钥,交易中终端核对密钥无误后,反馈交易成功完成交易支付。对于网络良好的在线交易过程,本发明不做限定,本发明的重点在于基于离线交易的密钥同步安全算法。
如图1所示,下面以移动端和终端的离线交易方式为终端扫取移动端付款二维码的方式对本发明的应用于离线交易的密钥同步安全算法的具体工作过程进行说明。所属领域技术人员应当明了,本发明的密钥同步安全算法也可应用于其他形式的交易或者有身份验证需求的交互过程中。
本实施例中,根密钥的更新频率为每天定时更新。
平台对应生成当天的3组根密钥第一根密钥A1、第二根密钥A2、第三根密钥A3,这三组根密钥中,当天的第一根密钥A1为前一天(昨天)的第二根密钥,或者说每天的第一根密钥A1都是沿用或者说保留的头一天的第二根密钥;每天的第二根密钥A2为前一天(昨天)的第三根密钥,或者说每天的第二根密钥都是沿用或者说保留的头一天的第三根密钥,同理每天第二根密钥A2还会保留到下一天(明天),作为下一天的第一根密钥;而每天的第三根密钥A3是当天根据相关算法对应新生成的,而当天的第三根密钥A3,同理还将会保留到下一天作为下一天的第二根密钥,并继续被保留到下一天的后面一天(后天),作为后天的第一根密钥。可以理解为,每天一个当天的根密钥,同时再配上一个昨天的根密钥和明天的根密钥。或者可以说,每个根密钥都保存3天,保存的3天内每天都作为当天的1组根密钥。
第一根密钥A1、第二根密钥A2、第三根密钥A3还分别配有对应的第一根密钥时间戳T1、第二根密钥时间戳T2、第三根密钥时间戳T3,根密钥时间戳对应包括该根密钥作为第二根密钥时的日期和同步时间,也可以为该根密钥的生成时间。因为根密钥间隔设定时间在每天进行同步,所以每天的同步时间不会精确相同,且由于同步日期和生成日期及时间不同,所以对于根密钥来说,时间戳是唯一的,且与根密钥一一对应。
当天的第一根密钥A1、第二根密钥A2、第三根密钥A3生成后,平台将三组根密钥(及对应的时间戳T1、T2、T3)在设定的时间间隔后分别同步至移动端和终端,同步方式包括平台主动推送根密钥到移动端和终端、以及移动端和终端主动向平台申请拉取根密钥。终端收到3组根密钥后,将三组根密钥进行保存。
移动端收到根密钥后,将3组根密钥分别与对应的时间戳以及用户唯一标识采用设定算法生成3组用户密钥。具体用户密钥以及生成该用户密钥的各元素如下表所示:
若此时移动端网络状态良好,则还会将三组用户密钥B1、B2、B3同步至平台,进而同步至终端,此状态下进行交易,移动端将三组用户密钥和交易信息以及用户唯一标识生成二维码,终端在扫码及解码后,可轻松识别匹配三组用户密钥,完成用户身份验证(移动端设备的验证),进而完成交易,此种情况不会出现因密钥同步偏差而交易失败,故不在讨论之列。上述的用户唯一标识可以为用户的手机号码或者校园场景下的学号等唯一确定用户身份的信息,上述的交易信息可以为预先输入的具体消费金额等。
若此时移动端网络状态不好,在进行交易时,终端设备仅有当前的三组根密钥A1、A2、A3,终端在扫码获得三组用户密钥B1、B2、B3及用户唯一标识后,将用户唯一标识与自身的三组根密钥及对应的时间戳采用相同的设定算法进行计算,得到3组终端计算密钥b1、b2、b3。在平台没有进行新的密钥同步时,解析移动端二维码得到的3组用户密钥B1、B2、B3与终端自己运算得到的3组终端计算密钥b1、b2、b3应当分别对应相同,原则上终端在识别比较中,只要有一组解码得到的用户密钥和自身运算得到的任一个终端计算密钥相同,则视为身份验证通过,可以继续进行交易。
若此时移动端网络状态不好,且在进行交易时,终端设备已更新了根密钥。此时移动端的3组根密钥仍为A1、A2、A3;移动端的3组用户密钥仍为B1、B2、B3。而终端设备上的3组根密钥为:A2(上一周期的第二根密钥作为本周期第一根密钥)、A3(上一周期的第三根密钥作为本周期第二根密钥)、A4(新生成一个根密钥,未来将作为下一周期的第二根密钥;本实施例中,周期为天)。终端扫码并解析获得移动端的三组用户密钥B1、B2、B3及用户唯一标识后,将用户唯一标识与自身的三组根密钥A2、A3、A4及对应的时间戳采用相同的设定算法进行计算,得到3组终端计算密钥b2、b3、b4,终端将3组解析移动端二维码得到的用户密钥B1、B2、B3与终端自己运算得到的3组终端计算密钥b2、b3、b4两两相比较,最终有两组对应相同,即B2与b2和B3与b3。按照一组用户密钥和终端计算相同则视为身份验证通过的原则,此种情况为身份验证通过,可以继续进行交易。
通过上述情况可以看出,即使合法的移动端(并非密钥错误,仅是因为密钥过期,因此仍然可以认为是合法终端)因断网或其他原因两个周期未能成功更新根密钥,则依然可以通过验证完成交易。同理,若终端两个周期未能成功更新根密钥,则也可以使合法移动端通过验证完成交易。本发明的方法可以满足在双离线(终端和移动端均离线)的场景下,依然保证可靠的身份识别,同时避免离线导致的密钥同步不及时而造成的识别失败。
作为其他实施例,为了进一步提高身份识别的成功率,避免离线场景下密钥及时间戳偏差造成的验密失败。在移动端收到根密钥后,将3组根密钥分别与3组根密钥的时间戳以及用户唯一标识采用设定算法生成9组用户密钥。具体用户密钥以及生成该用户密钥的各元素如下表所示:
在交易时,终端扫码识别移动端二维码后,获得用户唯一标识和如上表所示的9组用户密钥后,终端根据自身储存的3组根密钥A1、A2、A3和时间戳T1、T2、T3采用相同的设定算法计算出对应的9组终端计算密钥b11、b12、b13、b21、…b32、b33。终端将9组解析移动端二维码得到的用户密钥与终端自己运算得到的9组终端计算密钥两两相比较,若满足有至少一组用户密钥和终端计算密钥相同,则视为身份验证通过,可以继续进行交易。
方法实施例2:
为了在方法实施例1的基础上增加交易的安全性,额外增加一级随时间更新或者说按周期更新的交易密钥,交易密钥的有效时间或者说更新周期应当至少短于根密钥的更新周期,即在同一个根密钥周期内,再进行若干次交易密钥的更新,例如,根密钥以1天为更新周期,则交易密钥的有效时间为6个小时,即在根密钥的密钥周期内更新4次交易密钥。
具体流程如图2所示,在根密钥及根密钥更新时间和更新周期确定后,每个根密钥对应的交易密钥的更新时间及更新周期也已确定,对应生成该交易密钥的更新时间为对应交易密钥的时间戳,对于3组根密钥来说,就有3个交易密钥的时间戳t1、t2、t3。在获得上述9组用户密钥后,定期生成交易密钥。具体交易密钥的生成方法为,9组用户密钥B11、B12、…、B33的每一个分别均和对应的3个交易密钥的时间戳t1、t2、t3以及交易密钥有效时间生成交易密钥,交易密钥在有效时间后重新按照上述方法生成,新的周期的交易密钥有对应的更新时间,也就有对应的新的时间戳。如此,一个交易密钥周期内,9组用户密钥乘以3个该周期的交易密钥时间戳则会一共生成27组交易密钥。
在这个交易密钥周期内,用户离线消费时,生成包含27组交易密钥、用户唯一标识及交易信息的二维码,终端扫码解析出这27组交易密钥以及用户唯一标识和交易信息,与移动端相同的方法和过程,终端基于自身储存的3组根密钥计算出相应的27组终端计算密钥。终端将27组解析移动端二维码得到的交易密钥与终端自己运算得到的27组终端计算密钥两两相比较,若满足有至少一组交易密钥和终端计算密钥相同,则视为身份验证通过,可以继续进行交易。
作为其他实施方式,终端比较解码得到的交易密钥与计算得到的终端计算密钥时,优先比较主密钥线路得到的交易密钥及终端计算密钥,主密钥线路即为当前的第二根密钥A2(或者说当前周期的根密钥)和第二根密钥时间戳T2得到的第五组用户密钥B22,以及第五组用户密钥B22和对应交易密钥周期的第二根密钥对应的交易密钥时间戳t2得到的交易密钥,优先比较主密钥线路得到的交易密钥和对应的终端计算密钥。
具体终端比较解码得到的交易密钥与计算得到的终端计算密钥时,每计算出一组终端计算密钥后,就依次与各组交易密钥分别比对,若无相同,则继续计算下一组终端计算密钥并比较,若有相同则可停止计算,认为身份核实成功。
方法实施例3:
本实施例与方法实施例1的区别在于,根密钥的更新频率可以更慢,即更新周期更长;或者可以更快,即更新周期更短;例如每4个小时更新。对应还可以配有更多组根密钥,例如上上个4小时周期的根密钥、上个4小时周期的根密钥、当前4小时周期的根密钥、下个4小时周期的根密钥以及下下个4小时周期的根密钥。
对于离线应用场景来说,移动端例如用户的手机受外界或自身性能影响而断网失联的可能性更大,例如可能因为电量耗尽而在更新根密钥时断电关机;可能因段时间大量人员聚集使用支付功能而网络堵塞而无法更新密钥,例如校园场景午饭时间;或者因为手机自身省电逻辑或者流量保护功能而关闭对应平台App的后台运行或切断后台软件的网络连接而没能更新密钥。对于终端来说,往往固定设置在消费处,甚至可以实现较为可靠的有线连接,当然依然无法避免短时上网人数过多过于密集造成的网络堵塞,但相比之下,移动端断网未能成功更新密钥的可能性更大。尤其是在每次平台更新密钥前后,最容易出现终端已经完成密钥更新,而移动端未能联网更新的情况,此时进行支付采用现有技术的单组密钥验证身份的办法,就会支付失败影响交易。
对于终端完成根密钥新一轮周期的更新,而移动端未能更新仍采用上一轮周期的根密钥这种最经常发生的情况,作为其他实施例,如图3所示,每次同步根密钥仅同步上述的第二根密钥A2和第三根密钥A3,即同步当前周期的根密钥和下一周期的根密钥。当在上述最经常发生的情况下时,移动端未能更新仍然保留第二根密钥A2和第三根密钥A3,以及对应的用户密钥和交易密钥;而终端完成新一轮根密钥更新,根密钥为A3(当前周期的根密钥,即上一周期中的下一周期根密钥)、A4(下一周期的根密钥),此时,由于移动端和终端都具有相同的根密钥A3,则能够完成用户身份验证从而完成交易,且终端优先比较主密钥线路得到的最终密钥,即相同根密钥A3对应得到的最终密钥,也能提高用户身份核对的效率,减少无用的计算和比对。当然,对于上述最经常发生的情况,每轮周期同步的根密钥也可以是上一周期的根密钥A1和当前周期的根密钥A2,此时移动端的根密钥为上一周期同步的A1、A2,终端的根密钥为新一周期同步的A2(上一周期的根密钥)、A3(当前周期的根密钥),因终端和移动端都具有根密钥A2,因此可以通过身份验证,但是由于终端优先比对主密钥线路即A3最终得到的密钥,因此不能在主密钥线路计算完后直接通过身份验证,还需完成非主密钥线路即A2的计算,才能通过比对。
本发明提供了一种新的高安全级别的用于身份验证的密钥同步和验证方式。能够保证身份验证双方(验证方和被验证方)在一定程度内离线情况下的验证成功率,尤其能够在身份验证双方均存在一定程度离线(称之为双离线)的情况下,依然满足验证成功率的要求。根据密钥同步周期和每个周期同步的根密钥数量的设置,可以调整本发明方法对于离线程度(离线时间的长短)的容错程度,例如根密钥同步周期越长、每个周期同步根密钥组数越多,则可容许离线程度越大(离线时间越长),反之则容许的程度越小。当然,容许离线程度越大,则安全性也会相应降低。
本发明的身份验证方法可以应用于移动支付领域,基于本发明方法的适用于离线尤其是双离线的特性,能够适用于多种应用场景。例如在校园场景下的移动支付,校园属于学生均登记在册的封闭环境(非人员不确定且流动性大的公共环境),因此在保证身份验证无误的情况下可以满足离线支付的要求(消费时采用记账方式,而后与支付平台通信进行实际扣款)。由于校园用餐的时间和地点都非常集中,且人数众多,导致短时间内需要满足大量学生的午餐移动支付,大量人员聚集时,网络信号会一定程度的下降甚至断网,此时如背景技术中的描述,在线支付在此场景就会出现很大问题,严重影响学生就餐和餐厅秩序。此时采用本发明方法的支付方式能够对一定程度的离线甚至双离线产生容错,保证支付安全的情况下依然能够验证通过顺利付款,为上述校园环境下的离线支付提供了可靠的技术保障。
装置实施例:
本发明的一种如图4所示的用于验证身份的终端,本发明的终端可以用于离线交易,在身份验证通过后,按照对应的信用额度,可以在实际收到货款前,递交商品或提供服务。
本发明的终端具体包括处理器110以及处理器110控制连接的存储器120、通信单元130和摄像头140,本发明的收款终端可以通过通信单元与平台100通信连接,并定时获取根密钥;还可以通过摄像头140扫描识别移动端的支付二维码。本发明终端的存储器120中储存有可在处理器110上运行的计算机程序,所述处理器110在执行所述计算机程序时实现上述方法实施例的方法。具体包括从支付二维码中识别出相关的信息并基于本发明应用于离线交易的密钥交易同步安全算法进行移动端的身份验证,具体应用于离线交易的密钥同步安全算法已在方法实施例中介绍的足够清楚,此处不再赘述。
本实施例所述的处理器110是指微处理器MCU或可编程逻辑器件FPGA等的处理装置;
本实施例所述的存储器120包括用于存储信息的物理装置,通常是将信息数字化后再以利用电、磁或者光学等方式的媒体加以存储。例如:利用电能方式存储信息的各式存储器,RAM、ROM等;利用磁能方式存储信息的的各式存储器,硬盘、软盘、磁带、磁芯存储器、磁泡存储器、U盘;利用光学方式存储信息的各式存储器,CD或DVD。当然,还有其他方式的存储器,例如量子存储器、石墨烯存储器等等;
本实施例所述的通信单元130,可以为3G通信模块、WIFI模块及相应必要的天线等部件,或者为有线网卡等能够实现数据交互的装置;
本实施例所述的摄像头140可以为现有技术中的光学摄像头,用于捕捉方法实施例中带有支付信息的二维码图像信息,进而由处理器识别解码。当然,若有其他形式的交易信息交互方式,例如蓝牙或射频等方式,则可采用对应的蓝牙模块或射频模块来代替摄像头。具体交易或身份信息的交互方式,本发明不做限定。
通过上述存储器120、处理器110、通信单元130、摄像头140以及计算机程序构成的装置,在终端计算机中由处理器110执行相应的程序指令来实现,处理器110可以搭载各种操作系统,如windows操作系统、linux系统、android、iOS系统等。
作为其他实施方式,装置还可以包括显示器,显示器用于将交易信息及身份识别或交易结果展示出来,以供工作人员和用户参考。
Claims (10)
1.一种适用于双离线交易的身份核实方法,其特征在于,包括如下步骤:
1)在更新周期内同步需要被身份验证的移动端的根密钥信息,同时在所述更新周期内同步用于验证身份的终端的根密钥信息;所述根密钥信息包括本更新周期的根密钥,还至少包括上一更新周期的根密钥或下一更新周期的根密钥;所述根密钥中带有对应的根密钥时间戳;
2)所述移动端将所述根密钥信息中的每一个根密钥,均加上相应的标识信息生成对应的若干组用户密钥;所述标识信息包括移动端唯一标识和根密钥时间戳;
3)所述移动端将所有用户密钥和移动端唯一标识生成身份验证信息;所述终端获得身份验证信息后,基于自身的根密钥信息,采用与移动端相同的算法,计算用户密钥,并将自身计算得到的若干组用户密钥和所述身份验证信息中的若干组用户密钥两两比较,至少存在一组相同时,身份验证通过。
2.根据权利要求1所述的适用于双离线交易的身份核实方法,其特征在于,所述根密钥信息中包含三组根密钥,分别为:本更新周期的根密钥、上一更新周期的根密钥和下一更新周期的根密钥。
3.根据权利要求1或2所述的适用于双离线交易的身份核实方法,其特征在于,所述用户密钥还在所述更新周期内根据有效时间进行更新。
4.根据权利要求2所述的适用于双离线交易的身份核实方法,其特征在于,步骤3)中,所述终端在基于自身的根密钥信息,采用与移动端相同的算法,计算用户密钥时,优先根据主根密钥组计算并与所述身份验证信息中的若干组用户密钥相比较;所述主根密钥为本更新周期的根密钥。
5.根据权利要求1、2或4所述的适用于双离线交易的身份核实方法,其特征在于,步骤1)中,所述移动端和终端同步根密钥信息的方法包括:第三方推送或者主动向第三方申请拉取。
6.根据权利要求1、2或4所述的适用于双离线交易的身份核实方法,其特征在于,所述身份验证信息还包括交易信息。
7.一种用于验证身份的终端,其特征在于,包括处理器和存储器,所述处理器执行储存在存储器中的指令以实现以下方法:
1)在更新周期内同步根密钥信息,所述根密钥信息包括本更新周期的根密钥,还至少包括上一更新周期的根密钥或下一更新周期的根密钥;所述根密钥中带有对应的根密钥时间戳;
2)获得需要被身份验证的移动端的身份验证信息;所述身份验证信息包括所述移动端的所有用户密钥和移动端唯一标识;
3)基于自身的根密钥信息和所述身份验证信息,计算用户密钥,并将自身计算得到的若干组用户密钥和所述身份验证信息中的若干组用户密钥两两比较,至少存在一组相同时,身份验证通过。
8.根据权利要求7所述的用于验证身份的终端,其特征在于,所述根密钥信息中包含三组根密钥,分别为:本更新周期的根密钥、上一更新周期的根密钥和下一更新周期的根密钥。
9.根据权利要求8所述的用于验证身份的终端,其特征在于,所述终端在基于自身的根密钥信息和所述身份验证信息计算用户密钥时,优先根据主根密钥组计算并与所述身份验证信息中的若干组用户密钥相比较;所述主根密钥为本更新周期的根密钥。
10.根据权利要求7、8或9所述的用于验证身份的终端,其特征在于,所述身份验证信息还包括交易信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010158074.3A CN113379414A (zh) | 2020-03-09 | 2020-03-09 | 一种适用于双离线交易的身份核实方法及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010158074.3A CN113379414A (zh) | 2020-03-09 | 2020-03-09 | 一种适用于双离线交易的身份核实方法及终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113379414A true CN113379414A (zh) | 2021-09-10 |
Family
ID=77568542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010158074.3A Pending CN113379414A (zh) | 2020-03-09 | 2020-03-09 | 一种适用于双离线交易的身份核实方法及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113379414A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448649A (zh) * | 2022-04-08 | 2022-05-06 | 飞天诚信科技股份有限公司 | 一种数据流通方法、系统、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101523494B1 (ko) * | 2014-10-10 | 2015-05-28 | 주식회사 시큐브 | 온라인 및 오프라인 겸용 모바일 지불 결제 중계 검증 시스템 및 방법 |
| CN105868981A (zh) * | 2016-04-11 | 2016-08-17 | 万集融合信息技术(北京)有限公司 | 一种移动支付方法、系统 |
| CN106878009A (zh) * | 2017-02-21 | 2017-06-20 | 蔚来汽车有限公司 | 密钥更新方法及系统 |
| CN107818463A (zh) * | 2017-09-25 | 2018-03-20 | 九派天下支付有限公司 | 一种基于totp算法的离线支付方法及系统 |
| CN108737394A (zh) * | 2018-05-08 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 离线验证系统、扫码设备和服务器 |
-
2020
- 2020-03-09 CN CN202010158074.3A patent/CN113379414A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101523494B1 (ko) * | 2014-10-10 | 2015-05-28 | 주식회사 시큐브 | 온라인 및 오프라인 겸용 모바일 지불 결제 중계 검증 시스템 및 방법 |
| CN105868981A (zh) * | 2016-04-11 | 2016-08-17 | 万集融合信息技术(北京)有限公司 | 一种移动支付方法、系统 |
| CN106878009A (zh) * | 2017-02-21 | 2017-06-20 | 蔚来汽车有限公司 | 密钥更新方法及系统 |
| CN107818463A (zh) * | 2017-09-25 | 2018-03-20 | 九派天下支付有限公司 | 一种基于totp算法的离线支付方法及系统 |
| CN108737394A (zh) * | 2018-05-08 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 离线验证系统、扫码设备和服务器 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448649A (zh) * | 2022-04-08 | 2022-05-06 | 飞天诚信科技股份有限公司 | 一种数据流通方法、系统、存储介质及电子设备 |
| CN114448649B (zh) * | 2022-04-08 | 2022-06-28 | 飞天诚信科技股份有限公司 | 一种数据流通方法、系统、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9547849B2 (en) | Method and apparatus for providing real time mutable credit card information and for providing sleep mode functionality | |
| US10943225B2 (en) | Systems and methods for incorporating QR codes | |
| CN105678546B (zh) | 基于分布式共享总账的数字资产处理方法 | |
| CN110930147B (zh) | 离线支付方法、装置、电子设备及计算机可读存储介质 | |
| CN103854170A (zh) | 一种基于二维码的支付系统及支付方法 | |
| CN103400265A (zh) | 一种基于位置信息的快速支付方法及系统 | |
| CN104252672A (zh) | 整合云端服务的付费交易系统 | |
| JP2021505057A (ja) | リレー攻撃を防ぐシステムおよび方法 | |
| CN104967553A (zh) | 消息交互方法和相关装置及通信系统 | |
| CN105608579A (zh) | 一种预防信用卡盗刷的方法和系统 | |
| CN112915548A (zh) | 多媒体播放平台的数据处理方法、装置、设备及存储介质 | |
| CN112655010A (zh) | 用于非接触式卡的密码认证的系统和方法 | |
| US20180181963A1 (en) | Method and system for purchase precheck | |
| CN113379414A (zh) | 一种适用于双离线交易的身份核实方法及终端 | |
| US11704636B2 (en) | Proxied cross-ledger authentication | |
| WO2016086708A1 (zh) | 支付验证方法、装置及系统 | |
| CN103489122A (zh) | 用于网络拍卖的系统 | |
| JP6707607B2 (ja) | 個人クラウドプラットフォームを用いてオンラインユーザ認証を強化するシステム及び方法 | |
| CN111242762A (zh) | 金融产品购买方法、装置以及系统 | |
| US20210385093A1 (en) | Digital signature terminal and secure communication method | |
| CN114363015B (zh) | 多账号系统下的客户身份认证方法及系统 | |
| WO2014048319A1 (zh) | 安全性信息交互系统、设备及方法 | |
| WO2018232666A1 (zh) | 一种支付验证方法和系统 | |
| CN106875180B (zh) | 带可见光与条码双向认证的在线支付方法 | |
| US20210035107A1 (en) | Secure authentication system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |