CN115204876A - 一种用于移动支付的量子安全u盾设备及方法 - Google Patents
一种用于移动支付的量子安全u盾设备及方法 Download PDFInfo
- Publication number
- CN115204876A CN115204876A CN202210858071.XA CN202210858071A CN115204876A CN 115204876 A CN115204876 A CN 115204876A CN 202210858071 A CN202210858071 A CN 202210858071A CN 115204876 A CN115204876 A CN 115204876A
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- quantum
- server
- mobile payment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3226—Use of secure elements separate from M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3827—Use of message hashing
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种用于移动支付的量子安全U盾设备及方法,通过在U盾中内置量子随机数芯片生成量子密钥,与银行的业务终端设备进行交互。该量子密钥可作为与银行业务数据通信加密的密钥,也可作为用户身份验证的密钥,并且可以在线更新。所述量子安全U盾设备的密钥来源为量子随机数芯片,是植根于量子力学原理的真随机数,无法被第三方通过计算得到,用其加密可提高移动支付安全,且所述设备中没有存储芯片,不保存密钥数据,丢失后不会泄密。本发明在提升安全性的同时,还可以节省身份验证成本,提高支付效率。
Description
技术领域
本发明涉及一种用于移动支付的量子安全U盾设备及方法,尤其是用于手机银行的量子加密支付。
背景技术
随着智能手机的普及,移动支付(手机银行)已经成为各网络银行的主要使用方式。由于手机银行每天存在大量且高频的现金交易,因此对数据安全的需求是最高级别。目前手机银行对用户的身份验证主要采取密码、图片验证码、短信验证码、人脸识别、手机U盾、密码器等方式,存在安全性低、成本高、数据量大的问题。
本发明公开了一种用于移动支付的量子安全U盾设备及方法,通过在U盾中内置量子随机数芯片生成量子密钥,与银行的业务终端设备进行交互。该量子密钥可作为与银行业务数据通信加密的密钥,也可作为用户身份验证的密钥,并且可以在线更新。所述量子安全U盾设备的密钥来源为量子随机数芯片,是植根于量子力学原理的真随机数,无法被第三方通过计算得到,用其加密可提高移动支付安全,且所述设备中没有存储芯片,不保存密钥数据,丢失后不会泄密。本发明在提升安全性的同时,还可以节省身份验证成本,提高支付效率。
发明内容
本发明为一种用于移动支付的量子安全U盾设备及方法,设备中设置量子随机数芯片,与主控芯片连接,主控芯片连接USB驱动芯片,通过USB接口与外部设备交互。设备中没有存储芯片,不保存密钥数据,保证丢失后不泄密。
所述设备的加密算法可采用常用的对称加密算法,具体如下:
首先生成系统密钥,系统密钥为多组,每组长度128bit,由银行营业厅业务终端从所述设备的量子随机数芯片获取,并直接写在所述设备的主控芯片固化代码中,外界不可提取(无法复制固化代码)。银行营业厅业务终端存有每个所述设备的系统密钥。系统密钥更新:所述设备在银行营业厅插入业务终端,由业务终端重新从所述设备的量子随机数芯片获取量子密钥,并直接写在所述设备的主控芯片固化代码中,覆盖掉固化代码中上一个版本的系统密钥。系统密钥更新后,上一个版本的工作密钥全部作废,需要重新生成。
工作密钥的组数和系统密钥一致,每组长度128bit,由主控芯片从量子随机数芯片获取,并通过系统密钥一个比特对一个比特的XOR(异或)或者XNOR(同或)加密后,储存在移动支付设备的存储器中。加密后的工作密钥发送到银行服务器,经过银行业务终端的系统密钥解密后保存使用。工作密钥更新:由移动设备网银客户端发送指令给所述设备的主控芯片,主控芯片从量子随机数芯片获取新的工作密钥,经过系统密钥加密后发送给移动设备,存储为新的工作密钥版本。
银行服务器通过内网从银行业务终端获取所述设备对应的系统密钥和工作密钥。当用户在移动支付设备上插入安全U盾时,银行服务器先计算其存储的工作密钥(系统密钥加密后)的哈希值,同时移动支付设备计算其存储的工作密钥的哈希值,并发送给银行服务器做比对,如果一致,则完成第一重身份验证。
随后银行服务器再计算其存储的系统密钥的哈希值,同时所述设备的主控芯片计算其系统密钥的哈希值,并发送给移动支付设备。移动支付设备再发送给银行服务器做比对,如果一致,则第二重身份验证通过,可启动业务数据的加密通信。
所述设备每次使用时,工作密钥和业务数据都通过USB口先发送给所述设备的主控芯片,工作密钥的解密和对业务数据的加密都在主控芯片中进行,加密后的业务数据发送回移动设备,并由网银客户端通过移动通信网络发送到银行服务器。银行服务器通过相应的逆算法解密。
本发明的有益效果为,通过产生高质量的量子随机数密钥,提升了移动支付的安全性和效率,同时节约了银行的短信验证码等成本,避免人脸识别带来的个人隐私信息泄露。
附图说明
图1为量子安全U盾设备系统结构;
图2为量子安全U盾设备对称密钥模式加密流程;
图3为量子安全U盾设备非对称密钥模式加密流程。
具体实施方式
在移动设备上,量子密钥由银行的APP管理。加密通信、身份验证、密钥在线更新等功能也由银行的APP完成。即可将量子加密通信软件的功能做成SDK,由银行的APP前端直接调用。
所述设备的业务加密算法可采用常用的对称加密算法,如发明内容中所述,工作密钥用来加密业务数据,系统密钥用来在线远程更新工作密钥,两者都由U盾中的量子随机数生成,并且位于U盾中的系统密钥和位于移动支付设备(智能手机)中的工作密钥可实现双重身份认证;用户更换手机时,可以通过插入U盾重新生成工作密钥,并通过U盾中固化的系统密钥与银行服务器在线远程更新。如果遇到用户手机丢失的情况,用户需要第一时间挂失手机银行,银行服务器即停止该用户的系统密钥和工作密钥使用权限。待网点重新办理手机银行时再重新分发系统密钥和工作密钥。
所述设备的业务加密算法也可以采用现有的非对称加密算法,如椭圆曲线密码学算法。椭圆曲线密码学为使用最广泛的非对称加密算法之一,其原理如下:
1、椭圆曲线方程:y2=ax3+bx+c,其中a、b、c三个参数可以任意设置。比特币采用的椭圆曲线方程为:y2=x3+7。
2、椭圆曲线密码:K=G·k,其中G为椭圆曲线上的起始点;K为公钥,即从G发出的直线在椭圆曲线上多次反射后的最终交点;k为私钥,即反射次数。椭圆曲线密码的安全性来自于已知G和K,难以计算出k,对经典计算机来说几乎是不可完成的任务,但容易被量子计算机破解。
3、交换公钥:Alice将椭圆曲线方程参数、起始点G、公钥K发送给Bob。
4、加密通信:Bob产生随机数R,计算出两组密文:E=R·K+D,F=R·G,其中D为加密前的明文。Bob将E和F发送给Alice。
5、私钥解密:Alice收到E和F后,通过私钥k计算出明文D,计算过程为:
E-F·k=R·K+D-R·G·k=D。
目前的非对称加密算法存在如下问题:
1、如果Alice端产生的私钥随机性不好,例如通过简单种子和伪随机数算法生成,则容易被第三方猜到种子和穷举伪随机数算法得到私钥。私钥的丢失意味着数据安全降为0。
2、如果Bob端产生的随机数R质量不好,例如伪随机数算法只有少数几种,第三方可以通过穷举可能的种子和主要的伪随机数算法得到R。由于密文E和公钥K都是公开的,第三方如果获得R,就可以绕开复杂的椭圆曲线密码,直接得到明文:D=E-RK,因此随机数质量决定了椭圆曲线密码的安全性。
本发明通过量子随机数芯片产生的真随机数,可以为椭圆曲线密码学提供高质量的量子随机数R,以及随机的起始点G和私钥k。椭圆曲线方程和公钥K在Alice的移动设备上计算得到。量子随机数R是基于量子力学原理的真随机数,不会被第三方计算得到,确保了椭圆曲线密码的安全。起始点G和私钥k也从量子随机数中获取,进一步提升了椭圆曲线密码的安全。
具体实施如下:
移动支付设备从所述设备中获取一组256比特量子随机数作为椭圆曲线密码起点G,再从所述设备中获取一组256比特量子随机数作为椭圆曲线密码私钥k,通过选定椭圆曲线方程、起点G和私钥k,计算出公钥K,并将椭圆曲线方程、起点G和公钥K发送给银行服务器。
银行服务器也插入一个所述设备,从其中获取2组256比特量子随机数。其中一组D,作为对称密钥使用;另一组R,配合公钥加密使用。银行服务器将密文E=D+RK,F=RG发送给移动支付设备。
移动支付设备使用私钥k,通过E-Fk=D+RK-RGk=D,解密出对称密钥D后,使用密钥D加密业务数据,与银行服务器进行加密通信。
上述实施例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并予以实施,并不能以此限制本发明的保护范围。凡根据本发明实质所做出的等效变化或修改,都应涵盖在本发明的保护范围之内。
Claims (5)
1.一种用于移动支付的量子安全U盾设备,其特征在于:设备中设置量子随机数芯片,与主控芯片连接。
2.如权利要求1所述的用于移动支付的量子安全U盾设备,其特征在于:所述主控芯片连接USB驱动芯片,通过USB接口与外部设备交互。
3.如权利要求1所述的用于移动支付的量子安全U盾设备,其特征在于:所述主控芯片内含有固化的量子随机数作为系统密钥,只能在业务终端通过USB接口更新。
4.如权利要求1所述的用于移动支付的量子安全U盾设备,其特征在于:所述设备中没有存储芯片,不保存密钥数据,保证丢失后不泄密。
5.一种用于移动支付的量子安全U盾方法,其特征在于:
第一步:系统密钥由业务终端从所述设备的量子随机数芯片获取并保存在终端,同时写入所述设备的主控芯片固化代码中,外界不可提取。
第二步:所述设备的工作密钥由主控芯片从量子随机数芯片获取,并通过系统密钥进行异或同或加密后,发送到服务器,经过业务终端的系统密钥解密后保存使用。
第三步:服务器从业务终端获取所述设备对应的系统密钥和工作密钥。当用户在移动支付设备上插入所述设备时,移动支付设备与服务器上各自存储的工作密钥的哈希值进行比对,如果一致,则完成第一重身份验证。之后服务器再计算其存储的系统密钥的哈希值,同时所述设备的主控芯片计算其系统密钥的哈希值,并发送给移动支付设备。移动支付设备再发送给服务器做比对,如果一致,则第二重身份验证通过,可启动业务数据的加密通信。
第四步:业务数据的加密在所述设备的主控芯片中进行,加密算法可采用常用的对称加密算法,工作密钥多次使用。加密后的业务数据发送到服务器。服务器通过相应的逆算法解密。
第五步:工作密钥更新由服务器客户端发送指令给所述设备的的主控芯片,主控芯片从量子随机数芯片获取新的工作密钥。
第六步:系统密钥更新由业务终端重新从所述设备的量子随机数芯片获取量子密钥,并直接写入所述设备的主控芯片固化代码中,覆盖掉旧的系统密钥。系统密钥更新后,上一个版本的工作密钥全部作废,需要重新生成。
第七步:所属设备也可以采用非对称加密算法进行加密,具体方法为:移动支付设备从所述设备中获取一组256比特量子随机数作为椭圆曲线密码起点G,再从所述设备中获取一组256比特量子随机数作为椭圆曲线密码私钥k,通过选定椭圆曲线方程、起点G和私钥k,计算出公钥K,并将椭圆曲线方程、起点G和公钥K发送给服务器。服务器也插入一个所述设备,从其中获取2组256比特量子随机数。其中一组D,作为对称密钥使用;另一组R,配合公钥加密使用。服务器将密文E=D+RK,F=RG发送给移动支付设备。移动支付设备使用私钥k,通过E-Fk=D+RK-RGk=D,解密出对称密钥D后,使用密钥D加密业务数据,与服务器进行加密通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210858071.XA CN115204876A (zh) | 2022-07-20 | 2022-07-20 | 一种用于移动支付的量子安全u盾设备及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210858071.XA CN115204876A (zh) | 2022-07-20 | 2022-07-20 | 一种用于移动支付的量子安全u盾设备及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115204876A true CN115204876A (zh) | 2022-10-18 |
Family
ID=83582458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210858071.XA Pending CN115204876A (zh) | 2022-07-20 | 2022-07-20 | 一种用于移动支付的量子安全u盾设备及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115204876A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117459325A (zh) * | 2023-12-22 | 2024-01-26 | 北京邮电大学 | 一种量子通信与常规通信结合的三方数据通信方法 |
-
2022
- 2022-07-20 CN CN202210858071.XA patent/CN115204876A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117459325A (zh) * | 2023-12-22 | 2024-01-26 | 北京邮电大学 | 一种量子通信与常规通信结合的三方数据通信方法 |
| CN117459325B (zh) * | 2023-12-22 | 2024-02-27 | 北京邮电大学 | 一种量子通信与常规通信结合的三方数据通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109525386B (zh) | 一种基于Paillier同态加密私有交集和的方法 | |
| US10785019B2 (en) | Data transmission method and apparatus | |
| KR101999188B1 (ko) | 비밀 공유를 위한 타원 곡선 암호를 사용하는 개인용 장치 보안 | |
| US20190318356A1 (en) | Offline storage system and method of use | |
| CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
| US6125185A (en) | System and method for encryption key generation | |
| US20140006806A1 (en) | Effective data protection for mobile devices | |
| CN104158880B (zh) | 一种用户端云数据共享解决方法 | |
| CN109951453A (zh) | 一种基于区块链的安全加密方法 | |
| CN101488848A (zh) | 生成密码识别信息的加密方法 | |
| CN107465665A (zh) | 一种基于指纹识别技术的文件加解密方法 | |
| CN112804205A (zh) | 数据加密方法及装置、数据解密方法及装置 | |
| CN110519226B (zh) | 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和系统 | |
| CN107241196A (zh) | 基于区块链技术的数字签名方法及系统 | |
| KR102656403B1 (ko) | 보안 통신에 사용하기 위한 키 생성 | |
| JPWO2018235845A1 (ja) | 鍵交換システムおよび鍵交換方法 | |
| CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
| US20090010433A1 (en) | Schryption method and device | |
| CN114186249A (zh) | 一种计算机文件安全加密方法、解密方法和可读存储介质 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN116668072A (zh) | 一种基于多权限属性基加密的数据安全共享方法及系统 | |
| Olumide et al. | A hybrid encryption model for secure cloud computing | |
| CN107911221A (zh) | 固态盘数据安全存储的密钥管理方法 | |
| CN115204876A (zh) | 一种用于移动支付的量子安全u盾设备及方法 | |
| CN109743162A (zh) | 一种利用理想格操作进行身份属性匹配的加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |