CN204614018U - 一种支付系统、key终端和key支撑系统 - Google Patents

Abstract

本申请提供了一种支付系统、key终端和key支撑系统，支付系统包括第一移动终端、第二移动终端和key支撑系统，第一移动终端用于生成支付请求并将支付请求发送至第二移动终端；第二移动终端用于根据预先存储的key密钥和证书对支付请求进行数字签名后返回给第一移动终端；第二移动终端预先存储的key密钥和证书是由key支撑系统下发的；第一移动终端用于向key支撑系统提交携带签名信息的支付请求；签名信息包括key密钥和证书；key支撑系统用于对支付请求的签名信息进行验证，并在验证通过后向移动金融平台提交支付指令，待收到移动金融平台返回的支付结果之后，将支付结果返回第一移动终端。本申请可以在移动端支付时，通过连接蓝牙key大大增加移动支付的安全性。

Description

一种支付系统、key终端和key支撑系统

技术领域

本申请涉及移动支付技术领域，尤其涉及一种支付系统、key终端和key支撑系统。

背景技术

UKey是一种通过通用串行总线接口(USB，Universal Serial Bus)直接与计算机互连、具有密钥key验证功能的小型设备，它是目前银行互联网使用的主要的安全手段，也是所有安全手段中级别最高的一种。

目前UKey只能用于PC端支付，也即，用户在进行支付时需要将UKey插入到PC机的USB接口上才可以使用，使用起来极为不便，导致用户体验较差。

现有技术不足在于：

由于UKey只能用于PC端支付，导致用户体验较差。

发明内容

本申请实施例提出了一种支付系统、key终端和key支撑系统，以解决现有技术中由于UKey只能用于PC端支付，导致用户体验较差的技术问题。

本申请实施例提供了一种支付系统，包括第一移动终端、第二移动终端和key支撑系统，其中：

第一移动终端，用于生成支付请求并将所述支付请求发送至第二移动终端；

第二移动终端，用于根据预先存储的key密钥和证书对所述支付请求进行数字签名后返回给所述第一移动终端；其中所述第二移动终端预先存储的key密钥和证书是由key支撑系统下发的；

所述第一移动终端还用于向key支撑系统提交所述携带签名信息的支付请求；所述签名信息包括key密钥和证书；

所述key支撑系统用于对所述支付请求的签名信息进行验证，并在验证通过后向移动金融平台提交支付指令，待收到移动金融平台返回的支付结果之后，将所述支付结果返回所述第一移动终端。

有益效果如下：

现有技术中UKey只是用于PC端，虽然目前手机等移动支付场景较多，但均没有用到key。而采用本申请所提供的支付系统，用户在进行移动端支付时可以通过连接key来增加移动支付的安全性，只需要在第一移动终端上点击支付，第一移动终端自动将生成的支付请求发送至第二移动终端，由于第二移动终端上已增加了key功能，也即预先存储了key密钥和证书并可据此对所述支付请求进行签名，因此由第二移动终端进行签名后再发送至key支撑系统进行验证，即可实现安全支付的同时提高用户体验，使得安全支付更加方便。

本申请实施例提供了一种key终端，包括：

蓝牙模块，用于接收第一移动终端发送的支付请求；

安全模块，用于预先接收并存储key支撑系统下发的key密钥和证书，根据所述key密钥和证书对所述支付请求进行数字签名；

所述蓝牙模块还用于将经过数字签名后的支付请求返回给所述第一移动终端。

本申请实施例提出了一种承载key的移动终端，可以通过蓝牙接收第一移动终端的支付请求，并利用预先存储的key密钥和证书对所述支付请求进行数字签名，所述key密钥和证书是由key支撑系统下发的，采用本申请实施例所提供的移动终端，可以通过蓝牙连接key(相当于蓝牙key)实现移动支付场景的安全支付，而现有技术中UKey只能用于PC端，也即将专用的UKey设备插入PC机才可以使用，虽然手机等移动支付场景较多，但均没有用到key，因此，本申请实施例所提供的方案，相比现有技术不仅大大增加了移动支付的安全性，而且使用起来更加方便。

本申请实施例提供了一种key支撑系统，包括TSM、IPS、CA和密钥系统，其中：

TSM，用于预先向第二移动终端发放key密钥和证书；

IPS，用于接收第一移动终端发送的支付请求，并将所述支付请求发送至CA和密钥系统进行验证；其中，所述支付请求携带有第二移动终端签名的key密钥和证书；

CA，用于对所述支付请求携带的证书进行验证；

密钥系统，用于对所述支付请求携带的key密钥进行验证；

所述IPS还用于在收到验证通过的结果后，根据预先与所述key绑定的支付卡向移动金融平台发送支付请求，待收到支付结果后将所述支付结果返回给所述第一移动终端。

本申请实施例中提供的key支撑系统，包括TSM、IPS、CA和密钥系统四个单元，由TSM预先向第二移动终端发放key密钥和证书，IPS收到第一移动终端发送的携带有第二移动终端签名的支付请求后，由CA和密钥系统对key密钥和证书进行验证，待验证通过后由IPS向移动金融平台发送支付请求，并在收到支付结果后返回给第一移动终端。现有技术中UKey只能用于PC端，虽然手机等移动支付场景较多但均没有用到key，而采用本申请实施例中的key支撑系统，在进行手机等移动终端支付时，key支撑系统自行下发key密钥和证书至第二移动终端，再由key支撑系统对第二移动终端签名后的支付请求进行验证后直接向移动金融平台发起支付业务，大大增加了移动支付的安全性，并且相比现有技术中UKey的PC端支付，极大地方便了用户的key安全支付操作。

附图说明

下面将参照附图描述本申请的具体实施例，其中：

图1示出了本申请实施例中支付系统的系统框图；

图2示出了本申请实施例中key终端的结构示意图；

图3示出了本申请实施例中key支撑系统的结构示意图；

图4示出了本申请实施例中key支付的应用场景示意图。

具体实施方式

为了使本申请的技术方案及优点更加清楚明白，以下结合附图对本申请的示例性实施例进行进一步详细的说明，显然，所描述的实施例仅是本申请的一部分实施例，而不是所有实施例的穷举。并且在不冲突的情况下，本说明中的实施例及实施例中的特征可以互相结合。

发明人在发明过程中注意到：

从UKey目前的使用场景来看，存在以下几个问题：

一是UKey主要用于PC端支付，移动端未进行推广，目前移动支付的场景越来越多，对移动支付安全方面的要求也突显；

二是使用方式单一，仅作为身份认证和安全工具，银行并未将UKey单独形成支付场景；

三是设备形态单一，没有组合场景，UKey目前只有证书应用，市面上没有复合设备；

四是目前的UKey产品体验较差，需要用户使用多个Key。由于目前UKey仅支持单行证书，导致用户使用不同银行的电子银行，需要申请不同的UKey，而且由于UKey驱动安全较为复杂，经常导致Key不能正常识别和使用。

针对上述不足，本申请实施例提出了一种支付系统、移动终端和key支撑系统，下面进行说明。

图1示出了本申请实施例中支付系统的系统框图，如图所示，支付系统可以包括第一移动终端101、第二移动终端102和key支撑系统103，其中：

第一移动终端，用于生成支付请求并将所述支付请求发送至第二移动终端；

第二移动终端，用于根据预先存储的key密钥和证书对所述支付请求进行数字签名后返回给所述第一移动终端；其中所述第二移动终端预先存储的key密钥和证书是由key支撑系统下发的；

所述第一移动终端还用于向key支撑系统提交所述携带签名信息的支付请求；所述签名信息包括key密钥和证书；

所述key支撑系统用于对所述支付请求的签名信息进行验证，并在验证通过后向移动金融平台提交支付指令，待收到移动金融平台返回的支付结果之后，将所述支付结果返回所述第一移动终端。

本申请实施例中所述的终端可以为手机、iPad或其他移动终端。其中，第二移动终端承载key功能，key功能可以包括：身份认证、以移动支持为主、满足主流操作系统的要求并提供相应的标准接口、数字签名、提供专用的数字签名标准、兼容银行签名要求等等。

现有技术中Ukey只能用在PC端，随着手机等移动终端的不断发展，移动支付场景不断增加，但目前均没有用到key。而采用本申请所提供的支付方法，用户在进行手机等第一移动终端支付时，可以连接第二移动终端的key实现安全支付，大大增加了移动支付的安全性。本申请实施例只需要在第一移动终端上点击支付，第一移动终端自动将生成的支付请求发送至第二移动终端，由于第二移动终端上已增加了key功能，也即，预先由key支撑系统下发了key密钥和证书，在收到支付请求时可以利用key密钥和证书进行签名，因此由第二移动终端进行签名后再发送至key支撑系统进行验证，即可实现安全支付的同时提高用户体验，使得安全支付更加方便。

进一步地，为了解决现有技术中用户使用不用银行的电子银行时需要申请不同的UKey的技术问题，还可以按以下方式实施。

实施中，所述第二移动终端预先存储的证书为多个。

由于本申请实施例中key支撑系统可以预先下载多个不同的证书，在具体实施中可以是对应不同银行的各个key证书，将这些key证书发给第二移动终端后，第二移动终端即可对第一移动终端发送的支付请求进行不同的签名，后续再由key支撑系统对签名信息进行验证即可，无需用户申请或携带多个不同银行的UKey，极大方便了用户的支付操作，提升了用户体验。

实施中，所述key支撑系统可以进一步用于检测到所述第二移动终端预先存储的证书有更新时，将更新后的证书发送至所述第二移动终端。

本申请实施例中，为了避免证书过期导致的支付失败等问题，还可以进一步包括在证书有更新时，及时将更新后的证书发送给第二移动终端，以便正确完成证书验证，实现安全支付。

实施中，所述支撑系统可以具体包括可信服务管理平台(TSM，TrustedService Manager)、创新支付系统(IPS，Innovation payment system)、认证中心CA和密钥系统，其中：

TSM，用于预先向第二移动终端发放key密钥和证书；

IPS，用于接收第一移动终端发送的支付请求，并将所述支付请求发送至CA和密钥系统进行验证；其中，所述支付请求携带有第二移动终端签名的key密钥和证书；

密钥系统，用于对所述支付请求携带的key密钥进行验证；

CA，用于对所述支付请求携带的证书进行验证；

所述IPS还用于在验证通过后，根据预先与所述key绑定的支付卡向移动金融平台发送支付请求，待收到支付结果后将所述支付结果返回给所述第一移动终端。

实施中，所述第一移动终端可以为手机，所述第二移动终端可以为智能穿戴设备。

基于同一发明构思，本申请实施例中还提供了一种key终端，下面进行说明。

图2示出了本申请实施例中key终端的结构示意图，如图所示，key终端可以包括：

蓝牙模块201，用于接收第一移动终端发送的支付请求；

安全模块202，用于预先接收并存储key支撑系统下发的key密钥和证书，根据所述key密钥和证书对所述支付请求进行数字签名；

所述蓝牙模块201还用于将经过数字签名后的支付请求返回给所述第一移动终端。

在具体实施中，蓝牙模块可以用于和第一移动终端(或手机端APP)进行无线数据交互。

实施中，key终端可以进一步包括：

显示屏203，用于显示交易信息；

操作按键204，用于确认或取消支付操作。

在具体实施中，显示屏可以用于交易信息的回显，操作按键可以用于翻看显示屏显示的信息、点击确认或取消支付交易等基本操作。

实施中，key终端可以进一步包括：

运动健康传感模块205，用于通过传感器来监测运动步数、距离或消耗的卡路里；

NFC模块206，用于与其他终端进行近场通信。

在具体实施中，运动健康传感模块可以通过重力加速度传感器等实现人体运动数据的监测，还可以进一步结合用户预先输入的个人身体体征(性别、年龄、身高、体重等)，得到针对个人的个性化监测数据。

实施中，key终端可以为智能穿戴设备。

其中，智能穿戴设备可以为智能手表、智能手环、智能眼镜等设备，本申请对此不作限制。

本申请实施例中提供了一种承载key的智能穿戴设备，在智能穿戴设备上增加了key功能，也即，可以预先接受并存储key支撑系统下发的密钥和证书，在接收到第一移动终端发送的支付请求后，对所述支付请求进行身份认证、数字签名等key功能，而现有技术中UKey只能用在PC端，虽然目前移动场景越来越多，但均没有用到key，本申请实施例提供了一种承载key功能的设备，通过连接蓝牙key，大大增加了移动支付的安全性，且使得key支付不限于PC端、使用起来更加方便。

在具体实施中，key终端当然还会有其他的常用模块，例如：CPU主控模块207、供电模块208等等，其中，CPU主控模块一般为终端的核心控制单元，与其他模块相连接并控制其他模块，同时也是和第一移动终端(或手机APP)进行数据通信的数据处理单元。

基于同一发明构思，本申请实施例还提供了一种key支撑系统，下面进行说明。

图3示出了本申请实施例中key支撑系统的结构示意图，如图所示，key支撑系统可以包括TSM 301、IPS 302、密钥系统303和认证中心(CA，CertificateAuthority)304，其中：

TSM，用于预先向第二移动终端发放key密钥和证书；

IPS，用于接收第一终端发送的支付请求，并将所述支付请求发送至CA和密钥系统进行验证；其中，所述支付请求携带有第二移动终端签名的key密钥和证书；

密钥系统，用于对所述支付请求携带的密钥进行验证；

CA，用于对所述支付请求携带的证书进行验证；

所述IPS还用于在验证通过后，根据预先与所述key绑定的支付卡向移动金融平台发送支付请求，待收到支付结果后将所述支付结果返回给所述第一移动终端。

本申请实施例中key支撑系统可以预先向第二移动终端发放key密钥和证书，在收到携带有第二移动终端签名的支付请求后，对其中携带的key密钥和证书进行验证，在用户通过手机等移动终端进行支付时，key支撑系统对第二移动终端的key提供下发密钥和证书并进行验证的支撑作用，第一移动终端可以连接第二移动终端的key实现移动支付，确保用户移动支付的安全性，并且使得key支付更加方便，提升了用户体验。

实施中，所述TSM进一步包括：

检测单元，用于检测所述预先发送给第二移动终端的证书是否有更新；

更新单元，用于当检测到所述预先发送给第二移动终端的证书有更新时，将更新后的证书发送至所述第二移动终端。

在具体实施过程中，IPS可以用于将key与支付卡进行绑定，以及进行key支付业务等；TSM可以用于向所述第二移动终端发放key密钥和证书，以及管理所述第二移动终端的安全模块；CA可以用于证书的验证、吊销、更新和/或签发；密钥系统可以用于CA的密钥管理以及加解密。

在具体实施中，key支撑系统可以为key发放、key绑定、支付处理以及其中的密钥管理、证书管理、安全模块管理等过程提供后台支撑，包括TSM、CA、密钥系统和IPS四个单元，这四个单元可以与第一移动终端(或移动端APP)、第二移动终端(或承载key的智能穿戴设备)进行数据交互完成安全支付。

TSM可以负责发key以及对第二移动终端(或智能穿戴设备)的安全模块进行管理；CA则可以负责证书的生命周期管理，一般与key使用的证书体系相关，可以包括证书签发、更新、吊销、校验等全流程；密钥系统可以负责CA的密钥管理及加解密功能；IPS可以包括支付业务的处理、运营等，可以包括key和卡的绑定、key支付等功能，通过与各系统对接实现支付处理。

为了便于本申请的实施，下面以实例进行说明。

图4示出了本申请实施例中key支付的应用场景示意图，如图所示，应用场景可以包括用户手机(用于运行支付APP)、智能穿戴设备(如智能手表，用于承载key)和key支撑系统三个部分，下面进行详细描述。

1、支付请求

用户使用手机等移动产品进行联网支付时，可以首先通过手机端APP进行支付操作，将支付请求下发至承载key的智能穿戴设备中；

2、返回签名

智能穿戴设备中预先存储了key支撑系统下发的key密钥和证书，在收到该支付请求后，对该支付请求进行身份认证、数字签名等操作，返回签名包；

3、提交支付请求

手机上的APP收到签名包后会将经签名后的支付请求发送至向key支撑系统；

4、证书验证

key支撑系统收到支付请求后由密钥系统对支付请求进行解密操作，然后通过CA进行证书验证；

5、返回结果

可能收到验证通过或不通过的结果，验证不通过时可能直接回复手机显示支付失败等信息。

6、提交支付请求

在收到验证通过的结果后，key支撑系统会向移动金融平台支付业务处理端提交支付指令；

7、返回支付结果

移动金融平台完成支付业务处理会向key支撑系统返回支付结果；

8、返回支付结果

key支撑系统收到支付结果会将其发送至手机APP，由此完成手机等移动端完整闭环安全支付。

在本申请实施例中，通过在智能穿戴类产品上增加key功能(相当于蓝牙key)，使得用户可以在手机等移动端进行支付时，通过连接蓝牙key大大增加移动支付的安全性。因此，相比现有技术，本申请实施例增加了key的应用场景，并可以有效解决移动支付的安全问题。

本申请实施例所提供的方案，首先通过APP将key发送至智能穿戴设备中，将key与支付卡进行绑定，这样在进行移动端支付交易时会先通过key进行签名验证，通过终端与承载key的终端以及key支撑系统的相互配合，可以实现在移动端key支付，在增加移动支付场景的同时大大提高了移动支付的安全性。

为了描述的方便，以上所述装置的各部分以功能分为各种模块或单元分别描述。当然，在实施本申请时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

Claims (10)

1.一种支付系统，其特征在于，包括第一移动终端、第二移动终端和key支撑系统，其中：

第一移动终端，用于生成支付请求并将所述支付请求发送至第二移动终端；

第二移动终端，用于根据预先存储的key密钥和证书对所述支付请求进行数字签名后返回给所述第一移动终端；其中所述第二移动终端预先存储的key密钥和证书是由key支撑系统下发的；

所述第一移动终端还用于向key支撑系统提交所述携带签名信息的支付请求；所述签名信息包括key密钥和证书；

所述key支撑系统用于对所述支付请求的签名信息进行验证，并在验证通过后向移动金融平台提交支付指令，待收到移动金融平台返回的支付结果之后，将所述支付结果返回所述第一移动终端。

2.如权利要求1所述的支付系统，其特征在于，所述key支撑系统进一步用于检测到所述第二移动终端预先存储的证书有更新时，将更新后的证书发送至所述第二移动终端。

3.如权利要求1所述的支付系统，其特征在于，所述key支撑系统具体包括TSM、IPS、认证中心CA和密钥系统，其中：

TSM，用于预先向第二移动终端发放key密钥和证书；

IPS，用于接收第一移动终端发送的支付请求，并将所述支付请求发送至CA和密钥系统进行验证；其中，所述支付请求携带有第二移动终端签名的key密钥和证书；

密钥系统，用于对所述支付请求携带的key密钥进行验证；

CA，用于对所述支付请求携带的证书进行验证；

所述IPS还用于在验证通过后，根据预先与所述key绑定的支付卡向移动金融平台发送支付请求，待收到支付结果后将所述支付结果返回给所述第一移动终端。

4.如权利要求1所述的支付系统，其特征在于，所述第一移动终端为手机，所述第二移动终端为智能穿戴设备。

5.一种key终端，其特征在于，包括：

蓝牙模块，用于接收第一移动终端发送的支付请求；

安全模块，用于预先接收并存储key支撑系统下发的key密钥和证书，根据所述key密钥和证书对所述支付请求进行数字签名；

所述蓝牙模块还用于将经过数字签名后的支付请求返回给所述第一移动终端。

6.如权利要求5所述的key终端，其特征在于，进一步包括：

显示屏，用于显示交易信息；

操作按键，用于确认或取消支付操作。

7.如权利要求5所述的key终端，其特征在于，所述移动终端为智能穿戴设备。

8.如权利要求5所述的key终端，其特征在于，进一步包括：

运动健康传感模块，用于通过传感器来监测运动步数、距离或消耗的卡路里：

NFC模块，用于与其他终端进行近场通信。

9.一种key支撑系统，其特征在于，包括可信服务管理平台TSM、创新支付系统IPS、认证中心CA和密钥系统，其中：

TSM，用于预先向第二移动终端发放key密钥和证书；

IPS，用于接收第一移动终端发送的支付请求，并将所述支付请求发送至CA和密钥系统进行验证；其中，所述支付请求携带有第二移动终端签名的key密钥和证书；

密钥系统，用于对所述支付请求携带的key密钥进行验证；

CA，用于对所述支付请求携带的证书进行验证；

所述IPS还用于在验证通过后，根据预先与所述key绑定的支付卡向移动金融平台发送支付请求，待收到支付结果后将所述支付结果返回给所述第一移动终端。

10.如权利要求9所述的key支撑系统，其特征在于，所述TSM进一步包括：

检测单元，用于检测所述预先发送给第二移动终端的证书是否有更新；

更新单元，用于当检测到所述预先发送给第二移动终端的证书有更新时，将更新后的证书发送至所述第二移动终端。