TW200941369A - Payment system and method performing trade by identification card including IC card - Google Patents

Description

200941369 九、發明說明 【發明所屬之技術領域】 本發明涉及資料處理領域，尤其涉及利用包含1C卡 的身份證進行交易的支付系統及方法。 【先前技術】 由於現金交易具有攜帶不方便、安全性低等缺點，所 Φ 以金融卡被廣泛地應用在各種交易場合，因此越來越多的 人習慣採用金融卡進行消費。請參閱第1圖，其爲現有的 一種利用金融卡進行交易的系統的原理區塊圖。它包括用 於讀取金融卡信息的終端1 3、廠商子系統1 2和收單子系 統1 1。廠商子系統1 2包括伺服器和若干用戶端，用戶端 連接終端，廠商子系統12的伺服器通過專線連接收單行 的收單子系統11。當收單行不是發卡銀行時，還需要通 過銀聯（China UnionPay)的跨行交易子系統連接發卡銀行 ❹ 的發卡子系統。 當用戶利用金融卡進行消費時，終端（如收銀機等） 先透過能否讀取金融卡來識別金融卡的真僞，然後用戶端 再將用戶輸入的代表用戶身份的身份信息、金融卡卡號信 息以及本次交易的交易信息傳送至廠商子系統1 2的伺服 器；隨後廠商子系統1 2的伺服器將該些信息傳送至收單 子系統1 1 ;若收單行是發卡銀行，則收單子系統直接處 理此交易，否則透過跨行交易子系統發送至發卡銀行處 理。發卡子系統利用金融卡卡號信息和身份信息驗證此用 -4- 200941369 戶的身份’若身份驗證通過，則對該卡號對應的帳戶進行 扣款處理’並將扣款處理結果傳回，否則傳回身份驗證不 通過信息。當廠商子系統1 2接收到扣款處理成功的消息 後’廠商可以讓消費者在簽購單上簽名確認。 上述公開的是現有技術中最常見的一種交易過程，在 這種過程下，存在以下缺陷： 在整個交易過程，利用"帳戶名+密碼”以及金融卡來 φ 完成整個交易過程的身份認證。現有技術通常通過終端 (如POS機、ATM機）能否讀取金融卡來識別金融卡的 真僞存在很大的風險。現有的金融卡採用磁條卡技術製成 的’仿造難度低，很容易被仿造。爲此，目前提出了金融 卡由智慧卡替代磁條卡的方案。比如，採用EMV技術製 成的智慧卡。EMV是由歐陸Europay、萬事達Master、維 薩Visa等三大國際金融卡組織共同發起制定的一項智慧 1C金融卡技術標準，該標準要求金融卡CPU晶片要具有 φ 獨立運算、加解密和儲存能力，從而達到更高的安全性。 但是，金融卡從磁條卡向智慧卡轉換過程中，成本非常 高：一張智慧卡幾十塊的成本，並且POS機、ATM機要 讀取該智慧卡就要對其進行改造需要大量成本。即使花費 大量的人力和物力完成金融卡從磁條卡向智慧卡的轉換， 但是，由於巨大的利益存在，不法分子還是能夠僞造出相 應的智慧卡。也就是說，通過ATM機、POS機等終端能 否讀取金融卡只能簡單判斷金融卡是否是僞卡，根本無法 證實所述金融卡是否是用戶本人使用由金融機構頒發的金 -5- 200941369 融卡。若不法分子獲得用戶信息（如密碼）後，由於沒有 其他有效的驗證用戶身份的手段，還是容易造成用戶或廠 商財務上的損失。從另一個角度來說，金融卡從磁條卡向 智慧卡轉換不是一朝一夕的，在這過程中，更需要有其他 有效的驗證用戶身份的手段來進一步保證交易的安全性。 也就是說，現有技術中當ATM機、POS機接收到用 戶輸入的帳戶對應的密碼及讀取金融卡的銀行帳戶後，通 φ 常僅對帳戶對應的密碼進行加密後傳送，而銀行帳戶、交 易金額等都是採用明文方式進行傳送。不法分子利用不法 手段得到帳戶對應的密碼後，很容易獲取銀行帳戶等信 息’進而給真正的用戶造成財產上的損失，大大降低銀行 交易的安全性。 【發明內容】 本發明的目的在於提供一種利用包含1C卡的身份證 φ 進行交易的支付系統及方法，以解決現有技術利用金融卡 進行交易安全性不高的技術問題。 本發明的另一目的在於提供一種實現方便、操作簡單 的身份認證方法。 爲了達到上述目的，本發明提供了 一種利用包含1C 卡的身份證進行交易的支付系統，包括受理機具、中間平 台和發卡子系統，所述受理機具包括身份證讀卡器、輸入 單元、加密器、處理器、通信單元，其中，‘ 身份證讀卡器，用於讀取未經解密的用戶身份信息； -6- 200941369 輸入單元’用於接收外部輸入的信息：接收廠商輸入 的交易金額、接收用戶輸入的帳戶密碼或接收用戶輸入的 帳戶密碼及用戶選定的發卡銀行信息； 處理器’用於將所述輸入單元發送的信息發送至加密 器進行加密，並將加密後的信息與未經解密的用戶身份信 息發送至通信單元； 加密器至少包含第一加密器，所述第一加密器用於將 帳戶信息中的帳戶對應密碼用所述發卡銀行對應的銀行加 密密鑰進行加密或者帳戶對應密碼用第三方提供的銀行加 密密鑰進行加密； 通信單元’用於建立與中間平台的連結：將加密後的 信息傳送至中間平台以及將中間平台傳送的處理結果傳回 至處理器； 中間平台，包括第二處理器、身份解密器和通信介 面， 身份解密器’用於將未解密的用戶身份信息進行解 密； 第二處理器’用於保存解密後的用戶身份信息和交易 金額，若搜尋到所述用戶身份信息對應的銀行帳戶，則將 交易金額、銀行帳戶和未解密的帳戶對應密碼組成的新交 易信息發送至發卡子系統’否則將用戶身份信息、交易金 額和未解密的帳戶對應密碼組成的新交易信息發送至發卡 子系統’以及將發卡子系統傳回的處理結果進行保存後傳 回； -7- 之間的 份信息 理所述 組連接 至處理 能力的 預先設 第二解 解密。 夠標識 由不同 第二加 種網路 的專用 方法， 200941369 通信介面，分別建立與受理機具、發卡子系統 通信； 胃卡子系統，直接搜尋銀行帳號或搜尋用戶身 對應的銀行帳號，核對解密後的帳戶對應密碼，處 交易並將交易處理結果傳回。 所述身份證讀卡器包括天線和RF模組，RF模 天線’用於將接收到的未解密的用戶身份信息傳送 器。 所述身份解密器包括一塊或多塊具有平行處理 解密晶片。 加密器還包括第二加密器，用於將消費金額用 定的第一加密密鑰進行加密，所述中間平台還包括 密器，用於對由第一加密密鑰加密的消費金額進行 受理機具保存的第一加密密鑰爲各自獨立且能 其受理機具的私鎗，中間平台採用同一公鑰來解密 受理機具發送的加密消費金額。 發卡子系統整合在中間平台上，第一加密器和 密器爲同一加密器。 所述通信單元和通信介面爲支援固定電話、各 撥號方式的數據機或直接通過局域網與對端連接 璋。 一種利用包含1C卡的身份證進行交易的支付 包括： (1)身份證讀卡器讀出未經解密的用戶身份信息； 200941369 (2) 將用戶輸入的帳號密碼加密後，與未經解密的用 戶身份信息以及交易金額傳送至中間平台； (3) 中間平台解密接收到的用戶身份信息，若搜尋到 所述用戶身份信息對應的銀行帳戶，則將交易金額、銀行 帳戶和未解密的帳戶對應密碼組成的新交易信息發送至發 卡子系統，否則將用戶身份信息、交易金額和未解密的帳 戶對應密碼組成的新交易信息發送至發卡子系統； (4) 發卡子系統直接捜尋銀行帳號或搜尋用戶身份信 息對應的銀行帳號，核對解密後的帳戶對應密碼，處理所 述交易並將交易處理結果傳回。 步驟（1)之前還包括：預先在中間平台上儲存用戶的 身份證號碼與銀行帳戶的對應關係；步驟（3)還包括：中 間平台解密出用戶身份證號碼後，若能找到解密後的身份 證號碼對應的銀行帳戶，則將所述銀行帳戶作爲交易信息 的一組成部分傳送至所述發卡子系統。 步驟（2)中還進一步包括：受理機具將交易金額用預 先設定的第一加密密鑰加密；步驟（3)還包括：中間平台 將未解密交易金額進行解密。 步驟（4)還包括，發卡子系統捜尋所述用戶身份信息 對應的銀行帳號，若該發卡銀行中同一身份證號碼對應多 個銀行帳號，則支付失敗並提示至中間平台要求用戶設定 一對應用於支付的銀行帳號。 一種受理機具，包括包含天線和RF模組的身份證讀 卡器，輸入單元、加密器、處理器、通信單元，其中， -9- 200941369 身份證讀卡器，用於讀取未經解密的用戶身份信息； 輸入單元’用於接收外部輸入的信息：接收廠商輸入 的交易金額、接收用戶輸入的帳戶密碼或者接收用戶輸入 的帳戶密碼及用戶選定的發卡銀行信息； 處理器，用於將所述輸入單元發送的信息發送至加密 器進行加密，並將加密後的信息與未經解密的用戶身份信 息發送至通信單元； a 加密器至少包含第一加密器，所述第一加密器用於將 Ο 帳戶信息中的帳戶對應密碼用所述發卡銀行對應的銀行加 密密鑰進行加密或者帳戶對應密碼用第三方提供的銀行加 密密鑰進行加密； 通信單元，用於建立與外部設備的連結。 一種中間平台，包括第二處理器、身份解密器和通信 介面，和資料庫儲存區，其中， 身份解密器，用於將未解密的用戶身份信息進行解 像 密； 第二處理器，用於對接收到的帳戶對應密碼進行解 密，在資料庫儲存區搜尋到所述用戶身份信息對應的銀行 帳戶，核對所述銀行帳戶密碼與解密得到後的帳戶對應密 碼，處理所述交易； 通信介面，用於建立與外部設備之間的通信：接收包 含未解密用戶身份信息、未解密帳戶對應密碼和消費金額 的交易請求，以及傳回交易處理結果； 資料庫儲存區，用於儲存包括用戶身份信息與銀行帳 -10- 200941369 戶對應關係、銀行帳戶和帳戶密碼之間對應關係的資料。 一種中間平台，包括第二處理器、身份解密器和通信 介面，其中， 身份解密器，用於將未解密的用戶身份信息進行解 密； 第二處理器，用於保存用戶身份信息和消費金額，若 搜尋到所述用戶身份信息對應的銀行帳戶，則將交易金 額、銀行帳戶和未解密的帳戶對應密碼組成的新交易信息 發送至發卡子系統，否則將用戶身份信息、交易金額和未 解密的帳戶對應密碼組成的新交易信息發送至發卡子系 統’以及將發卡子系統傳回的處理結果進行保存後傳回； 通信介面，建立與外部設備之間的通信：接收受理機 具發送的包含消費金額、用戶身份信息和帳戶密碼的交易 請求，將新的交易請求發送至發卡子系統，接收從發卡子 系統傳回的處理結果，還將處理結果傳回至受理機具。 與現有技術相比，本發明利用包含1C卡的身份證 (如第二代身份證）進行消費交易，避免使用金融卡，不 僅減少了制卡的成本，而且利用現有第二代身份證加密效 果佳、普及等特點進行消費交易，降低成本投入且安全可 靠。 具體說，本發明可以通過下述手段來提高支付過程的 安全性及降低成本： 首先，本發明在支付過程中，消費者無需提供金融卡 的銀行帳號，即使不法分子能夠截獲支付過程中廠商至中 -11 - 200941369 間平台的交易資料，但是由於其不能獲得銀行帳號，因此 不能僞造金融卡，不容易給客戶造成損失。 其次，本發明在支付過程中，銀行密碼可以採用安全 係數較高的數位認證的方式進行加解密，從而保證整個交 易過程中，銀行密碼的安全性，從而也保證了支付過程的 安全性。 然後，本發明在受理機具中讀取的是未解密的用戶身 份信息，未解密的用戶身份信息到中間平台後才被由身份 證1C卡製作廠家提供的解密晶片進行解密。這種處理方 式，能夠避免廠商端用戶身份信息被篡改。最重要的是， 身份證1C卡製作廠家只需要授權中間平台即可完成解密 工作，而無需給每一受理機具以授權解密，不僅提高了安 全性，而且也降低了成本。 最後，用戶輸入的帳戶對應密碼用相應的第三方提供 或銀行提供的銀行加密密鑰進行加密，這樣，只有銀行端 才能解密對應的帳戶對應密碼，通過這種方式，能夠保證 用戶身份信息和帳戶對應密碼等重要信息不被洩露，從而 保證了交易過程的安全性。 【實施方式】 以下結合附圖，具體說明本發明。 本發明的核心在於：本發明利用包含1C卡的身份證 (如第二代身份證）進行消費交易，並結合金融卡一起使 用’能夠利用現有的第二代身份證加密效果佳、普及等特 -12- 200941369 點進行消費交易，並且在整個交易過程中用密鑰來進一步 加強通信過程中的安全，而且利用現有第二代身份證加密 效果佳、普及等特點進行消費交易，降低成本投入且安全 可靠。 相比與第一代身份證，第二代身份證的安全防僞性能 提高。第二代身份證是由9層構成的，最外面的這兩層記 載的是個人的身份信息，列印上去的。還有一層叫做配平 層，防止靜電，在這層上可以看到長城烽火臺圖案和“中 國CHINA”的防僞膜，有橘黃色的、綠色的防僞標誌，是 一個比較先進的技術。這層有一個1C晶片，長8毫米， 寬5毫米，厚度0.4毫米，有兩根天線，一圈都是線圈， 主要是爲了避免洩漏個人信息，但是可以通過專門讀卡器 能夠閱讀出個人信息。所以，新一代的身份證從安全性能 方面來講，主要是兩個方面的防僞措施，一個是數位防僞 措施，就是把個人的信息寫入晶片，採用數位加密的辦 法。一個地區一個密碼、每個公民擁有一個密碼。防僞技 術是中國硏製的，安全性非常高。另一個是印刷防僞技 術，印刷層圖案兩面都有。印刷的防僞技術採取了很多措 施，由於採用了數位防僞措施、印刷防僞措施，所以安全 性得到了大大提高。並且，隨著現有的第二代身份證的出 現，用於讀取第二代身份證的讀卡器也相應的出現。爲了 提高安全性，現有讀卡器是由中國的國家公安部門單獨硏 製，由其提供給與其簽約的第三方。 請參閱圖2，其爲本發明的一種利用包含1C卡的身 -13- 200941369 份證進行交易的支付系統的結構原理圖。它包括若干受理 機具1'中間平台2和若干發卡子系統3。每一受理機具 1表示一廠商。 以下先介紹本發明的受理機具。 請參閱圖3’其爲本發明第一種受理機具的原理結構 圖。所述受理機具包括身份證讀卡器22、輸入單元23、 輸出單元24、處理器21、通信單元25和加密器26，其 ©中 身份證讀卡器22，用於讀取用戶身份證上至少包含 用戶身份證號的用戶身份信息。 身份證讀卡器22即採用前述提及的第二代身份證信 息的讀取裝置，用於讀取用戶身份證上的1C卡上的內 容。該身份證讀卡器22主要包括天線221、RF模組 222。天線221連接RF模組222，天線22 1和RF模組 222主要用於接收身份證上未經解密的身份信息。即RF φ 模組222不斷發出一個固定頻率的電磁場激發信號，當某 一身份證靠近身份證讀卡器時，身份證上的線圈在該電磁 場激發信號的感應產生出微弱的電流，作爲身份證上1C 晶片的電源’而該身份證上的I c晶片內存貯有經過加密 的用戶身份信息’身份證上的晶片在該電磁場激發信號的 作用下’能將該晶片內存貯的加密的用戶身份信息回饋至 身份證讀卡器22，身份證讀卡器22的天線221和RF模 組2 22接收到加密的用戶身份信息後，發送到處理器2 i 中。 -14- 200941369 輸入單元23，用於接收外部輸入的信息：接收廠商 輸入的交易金額、接收用戶輸入的帳戶對應密碼或者接收 用戶輸入的帳戶對應密碼及用戶選定的發卡銀行信息。輸 入單元23可以爲鍵盤、觸碰螢幕等。通常情況下，輸入 單元23需要接收用戶輸入的帳戶對應密碼和發卡銀行信 息，以及廠商輸入的交易金額。用戶輸入的帳戶對應密碼 用用戶選定發卡銀行對應的銀行加密密鑰進行加密。 $ 輸出單元24，用於將本次交易結果進行輸出。輸出 單元24包括顯示螢幕、印表機等。用於將本次交易結果 輸出’以便廠商和用戶能夠從扣款是否成功來確定本次交 易是否成功’並且若不成功，是由於何種原因帶來交易不 成功等。另外’輸出單元24可以將交易結果列印出來， 做爲本次交易的憑證。 處理器21’分別連接輸入單元23、輸出單元24和身 份證讀卡器22’用於控制交易過程中廠商的各項操作， φ 包括將所述輸入單元23發送的信息傳入至加密器26,將 加密器26加密後的資料組織成預先設定的格式後，傳送 至通信單元25，以及將通信單元25回饋的處理結果傳送 至輸出單元24。處理器21可以採用現有的可程式邏輯元 件。比如’處理器採用單片機，如89S52、80C52、8752 等51系列的單片機或其他型號的單片機或微處理器。 加密器2 6包括第一加密器和第二加密器，所述第一 加密器用於將帳戶對應密碼用所述發卡銀行對應的銀行加 密密鑰進行加密或者帳戶對應密碼用第三方提供的銀行加 -15- 200941369 密密鑰進行加密，第二加密器用於將交易金額用預先設定 的第一加密密鑰加密。 加密器26也可以將帳戶對應密碼用第三方提供的銀 行加密密鑰進行加密，並且第三方還將對應的銀行解密密 鑰發送至簽約的合作銀行，各個合作銀行的銀行解密密鑰 可以是不相同的，也可以是相同的，但是各個合作銀行採 用接收到的銀行解密密鑰都能解密出帳戶對應密碼。 加密器26通常採用後兩種方式進行加密，第一加密 密鑰是中間平台2與各家廠商約定的，用於中間平台2與 各家廠商之間的安全通信。所述中間平台2爲受理機具1 與各家銀行之間通信的一平台。受理機具1不直接與各家 銀行建立連接，它是通過中間平台2進行與各家銀行的通 信。每一第一加密密鑰可以在中間平台2上設置有對應的 解密密鑰。在本實施例中，第一加密密鑰採用是私鑰，則 第一加密密鑰可以用來標識不同的受理機具1，即每一第 一加密密鑰對應一受理機具1，而中間平台2保存的公 鑰，它可以採用該公鑰來解密不同受理機具1各自獨立的 第一加密密鑰加密的資料。 加密器26可以僅包括第一加密器，也可以包括第一 加密器和第二加密器。另外，加密器26可以單獨設置， 也可以是整合在處理器上。即加密器26可以採用獨立的 單片機，比如採用MCS型號的單片機。這樣的話，加密 器26連接處理器21。在本實施例中，加密器26是作爲 一軟體模組整合在所述處理器21上。處理器21將未解密 -16- 200941369 的用戶身份信息、第一加密器加密的帳戶信息及第二加密 器加密的交易金額按照預先設定格式發送至通信單元 25 ° 當發卡機構與中間平台的提供商爲同一機構時，也就 是說’發卡子系統不是一個單獨的系統，它整合在中間平 台時，每一家受理機具採用的第一加密密鑰和銀行加密密 鑰可以是相同的’這樣，受理機具利用第一加密密鎗加密 帳戶對應密碼和消費金額，而中間平台利用公鑰來解密該 些信息，並處理此次交易。 處理器21可以接收外部輸入的指令來完成對應的工 作，比如，接收到更新發卡銀行的銀行加密密鑰時更新本 地儲存的銀行加密密鑰。 所述受理機具1還包括API介面，用於建立受理機具 1與中間平台2的銜接，包括獲得包括用戶身份證號的用 戶身份信息、輸入交易金額，受理機具1上的API介面還 可以進行其他的設置’主要是能夠通過API介面實現與中 間平台2的無縫銜接，當然，也可以通過該API介面實現 受理機具1與其他外部設備的連接。本發明通過在其上設 置API介面來實現受理機具1良好的擴展性和相容性。 通信單元25，用於建立與中間平台2的連結：將加 密後的信息傳送至中間平台2以及將中間平台2傳送的處 理結果傳回至處理器21。通信單元25爲支援固定電話、 各種網路撥號方式的數據機或直接通過局域網與對端連接 的專用埠。該通信單元25主要是建立受理機具1與中間 -17- 200941369 平台2的連接，也就是說’受理機具1上的通信單元25 與中間平台2上的通信介面62是對應的。它們可以是支 援固定電話、GPRS、CDMA網路等多種撥號方式的數據 機或者是其他特定埠通訊。 請參閱圖4’其爲本發明受理機具的一實例結構示意 圖。該受理機具類似一盒形’它包括一外殻和內部結構。 外殼正面的最上方設置一顯示螢幕31，用於顯示信f， φ 顯示螢幕的正下方爲用於用戶或廠商輸入信息的鍵盤區 33。鍵盤區33下方設置有身份證讀卡器22，當第二代身 份證位於放卡區域34時’第二代身份證中未解密的信窗 會被身份證讀卡器22讀出。即，第二代身份證與身份證 讀卡器22之間無需直接接觸的情況下就能完成對第二代 身份證進行讀取操作。身份證讀卡器22不斷通過其內部 線圈發出一個固定頻率的電磁場激發信號，當某一身份證 放在讀卡器的放卡區域34內，則身份證上的線圈在該電 φ 磁場激發信號的感應產生出微弱的電流，作爲身份證上晶 片的電源，而該晶片內存貯有用戶身份信息，身份證上的 晶片在該電磁場激發信號的作用下，能將該晶片內存貯的 用戶身份信息回饋至身份證讀卡器22，進而完成讀卡操 作。 身份證讀卡器22將讀出的未解密的用戶身份信息回 饋至設置在內部結構上的處理器21。並且，處理器21將 要求用戶輸入帳戶對應密碼和要求廠商輸入交易金額的信 息分別回饋至顯示螢幕31上進行顯示，以便提示用戶輸 -18- 200941369 入帳戶對應密碼和提示廠商輸入交易金額。 處理器21會通過鍵盤區33分別接收用戶輸入的帳戶 對應密碼和廠商輸入的交易金額，並通過加密器進行加密 處理後，再傳送至通信單元25。在本實例中，通信單元 25可以採用直接通過局域網與對端連接的專用埠32。本 發明提供的受理機具，能夠利用包含1C卡的身份證（如 第二代身份證）進行消費交易，並結合金融卡一起使用， 0 安全性非常高。本受理機具利用現有第二代身份證加密效 果佳、普及等特點進行消費交易，降低成本投入且安全可 靠。本受理機具的身份證讀卡器可以是由專門廠家提供 的。 請參閱圖5，其爲本發明的第二種受理機具的結構原 理示意圖。它包括一身份證讀卡器41和一電腦終端42。 加密器作爲一軟體模組整合在處理器423上。 請參閱圖6，其爲本發明的第三種受理機具的結構原 φ 理示意圖。它包括一身份證讀卡器51、加密器52和一電 腦終端5 3，其中， 所述身份證讀卡器 51，包括天線 51 1、RF模組 512，用於讀取未解密的用戶身份信息； 加密器52，包括一單片機521和至少包括一介面 522，所述單片機521分別連接每一介面522、523，所述 單片機521用於將交易金額用預先設定的第一加密密鑰加 密，以及帳戶對應密碼用所述發卡銀行對應的銀行加密密 鑰進行加密或者帳戶對應密碼用第三方提供的銀行加密密 -19- 200941369 鑰進行加密，所述一介面522連接電腦終端53 ; 電腦終端53，其包括輸入單元531'輸出單元532、 處理器533和若干通信單元534、535， 輸入單元531，用於接收外部輸入的信息：接收廠商 輸入的交易金額、接收用戶輸入的帳戶對應密碼或者接收 用戶輸入的帳戶對應密碼及用戶選定的發卡銀行信息； 輸出單元532，用於將交易結果進行輸出； 處理器533，分別連接輸入單元531、輸出單元532 和通信單元534、53 5，用於將所述輸入單元531發送的 信息傳送至加密器5 2上進行加密，將加密後的信息傳送 至一與中間平台2建立連結的通信單元535，以及將通信 單元535回饋的處理結果傳送至輸出單元532; 通信單元534、535，用於建立與外部設備的連結， 一個通信單元534用於建立與加密器52的連接，另一個 通信單元535用於建立與中間平台2的連接。 與中間平台2連結的所述通信單元53 5爲支援固定電 話、各種網路撥號方式的數據機或直接通過局域網與對端 連接的專用埠。 與加密器52連結的通信單元534可以是USB介面或 其他能建立通信的其他介面。加密器52的所述單片機 521可以爲MCS51或其他類型的單片機。 以上公開的僅爲本發明受理機具的幾個實施例。受理 機具1可以是將所有的單元設置在一個大容器中，如圖4 所示。另外，受理機具1也可以是由兩個獨立的部件組 -20- 200941369 成，比如，輸入單元421、輸出單元422、處理器423和 通信單元425整合在一電腦終端42，身份證讀卡器41又 是一個獨立的部件，當身份證讀卡器41讀出的未解密的 用戶身份信息不能直接讀入電腦終端42的處理器423 時，也可以在身份證讀卡器41和電腦終端42分別通過設 置在本端的介面進行互連’如圖5所示。還有’受理機具 1可以是由三個獨立的部件組成’比如’輸入單元531、 輸出單元532、處理器533和通信單元534、535整合在 電腦終端53上，加密器52也是一個獨立的部件，身份證 讀卡器5 1也是一個獨立的部件，加密器52和電腦終端 53通過設置在本端的介面進行互連，如圖6所示。 還有，所述處理器還可以包括API介面，用於建立廠 商與中間平台的銜接，包括從受理機具1上獲得包括用戶 身份證號的用戶身份信息、輸入交易金額，受理機具1上 的API介面還可以進行其他的設置，主要是能夠通常API 介面實現與中間平台2的無縫銜接，當然，也可以通常該 API介面3 42實現受理機具1與其他外部設備的連接。本 發明通過在其上設置API介面來實現受理機具1良好的擴 展性和相容性。 基於上述公開的受理機具，本發明下述介紹中間平台 2和發卡子系統3。 還請參閱圖2，中間平台2主要是用於建立廠商與發 卡銀行之間的交易。該中間平台2可以採用阿裏巴巴公司 的支付寶平台。用戶可以預先在中間平台2上開通利用身 -21 - 200941369 份證號碼進行交易付費的方式。發卡子系統3的合作銀行 可以預先和中間平台2進行簽約，使用合作銀行的用戶在 交易時只需告知開戶銀行的名稱，就能直接輸入銀行帳戶 口密碼完成支付、信用卡預授權等操作。 中間平台2可以包括第二處理器61、通信介面62和 身份解密器63。 身份解密器63，用於將未解密的用戶身份信息進行 解密。所述身份解密器63包括至少一塊解密晶片。1C卡 的製作廠家是由公安部指定的，在設置1C卡上的用戶身 份信息時採用公安部提供的預先設定的加密演算法。並 且，廠家可以將包含對應解密演算法的解密晶片提供至中 間平台。 身份解密器63可以爲一塊解密晶片。當然，爲了提 高中間平台2的解密能力，本實施例中身份解密器63可 以爲多塊具有解密能力的解密晶片。這些解密晶片可以採 用平行處理的方式解密不同受理機具1傳送的未解密用戶 身份信息。身份解密器6 3也可以是一伺服器，在伺服器 上設置多塊具有平行處理能力的解密晶片。身份解密器 63也可以爲一軟體模組，整合在第二處理器61中。 第二處理器61，用於接收由受理機具1發送過來的 資料，並解析出各類資料，如未解密的用戶身份信息、未 解密的帳單信息及交易金額信息，並將未解密的用戶身份 信息發送至身份解密器63進行解密，若搜尋到所述用戶 身份信息對應的銀行帳戶，則交易金額、銀行帳戶和未解 -22- 200941369 密的帳戶對應密碼組成的交易信息發送至發卡子系統 否則將用戶身份信息、交易金額和未解密的帳戶對應 組成的新交易信息發送至發卡子系統3，以及將發卡 統3傳回的處理結果進行保存後傳回。 另外，中間平台2還可以包括第二解密器。若第 理器接收到的交易金額是被第二加密器進行加密的， 應地，第二處理器將已加密的交易金額預先通過第二 器進行解密。第二解密器可以爲一解密晶片，也可以 整合在第二處理器上的軟體模組。 中間平台2上預先保存有第一解密密鑰，其能夠 各受理機具中第一加密密鑰加密的資料，當中間平台 收到經加密後的加密信息後，找到對應第一解密密鑰 所述信息，所述信息通常包括訂單金額。中間平台2 第一加密密鑰、用戶身份信息和訂單金額等。當發卡 統3傳回本次扣款是否成功的處理結果時，將處理結 進行保存。 所述第二處理器61包括銀行帳戶獲取單元和資 儲存單元，所述資料庫儲存單元儲存用戶的身份證號 行帳戶的對應關係。在進行交易之前，用戶可以預先 間平台2上設置與該用戶身份證號對應的銀行帳號， 是當用戶選擇付款的發卡銀行上，該用戶身份證號對 銀行帳號爲多個時，用戶通常需要預先到中間平台2 行設定。因此，當第二處理器解密出由受理機具1發 加密信息後，利用解密後的用戶身份證號搜尋資料庫 密碼 子系 二處 則對 解密 爲一 解密 2接 解密 保存 子系 果也 料庫 與銀 在中 特別 應的 上進 送的 儲存 -23- 200941369 單兀’右能找到對應的銀行帳號，則將銀行帳戶 至發卡子系統的交易信息的一部分。事實上，中 和發卡銀行預先進行約定兩者傳送時的資料結構 構中包含銀行帳號這一攔位，找到的銀行帳號可 對應的欄位上’以便發卡銀行能夠識別並讀取。 通信介面62，分別建立與受理機具1、發卡 之間的通信。 發卡子系統3’搜尋所述用戶身份證號對應 號，核對解密後的帳戶密碼，處理所述交易並將 結果傳回。 發卡子系統3通常包括第三處理器和資料庫 資料庫上保存有銀行帳戶信息，包含所述銀 開戶者信息、銀行帳戶、帳戶對應的密碼、金額 第三處理器包括資料解讀處理模組、解密模 處理模組，其中，解讀處理模組，用於讀取從中 送過來的交易請求，從中解讀出用戶身份信息、 戶密碼，銀行帳戶等。 解密模組，將加密的帳戶密碼進行解密後得 碼； 交易處理模組，當解讀的信息中包含銀行帳 解密後的帳戶密碼與資料庫上保存的帳戶密碼進 若相同，則通過，進行扣款處理’若不相同，則 過。當解讀的信息中未包含銀行帳戶時’通過用 號找到對應的銀行帳戶，若該發卡銀行中同一身 作爲發送 間平台2 ’資料結 以放置在 子系統3 的銀行帳 交易處理 〇 行帳戶的 等。 組、交易 間平台發 加密的帳 到帳戶密 戶時，將 行比對， 認證未通 戶身份證 份證號碼 -24- 200941369 對應多個銀行帳號，則支付失敗並提示到中間平台預設其 銀行帳號。當交易信息中包含銀行帳號，則只需對該銀行 帳號進行扣款處理。 第二處理器和第三處理器上分別設置有第三加/解密 單元和第四加/解密單元，所述第三加/解密單元用於發送 信息至發卡子系統之前運用預先保存的與該發卡銀行約定 的密鑰進行加密，以及在接收到發卡子系統發送的信息後 用預先保存的與該發卡銀行約定的密鑰進行解密，所述第 四加/解密單元，用於發送信息至中間平台2之前運用預 先保存的密鑰進行加密，以及接收信息後運用對應的密鑰 進行解密。 當然，發卡子系統和中間平台可以是由同一機構提供 的，這樣，將第三處理器實現的功能都整合在中間平台的 第二處理器上。 即，一種中間平台，包括第二處理器、身份解密器和 通信介面’和資料庫儲存區*其中* 身份解密器，用於將未解密的用戶身份信息進行解 密； 第二處理器，用於對接收到的帳戶對應密碼進行解 密，在資料庫儲存區搜尋到所述用戶身份信息對應的銀行 帳戶，核對所述銀行帳戶密碼與解密得到後的帳戶對應密 碼，處理所述交易； 通信介面，用於建立與外部設備之間的通信：接收包 含未解密用戶身份信息、未解密帳戶對應密碼和消費金額 -25- 200941369 的交易請求，以及傳回交易處理結果； 資料庫儲存區，用於儲存包括用戶身份信息與銀行帳 戶對應關係、銀行帳戶和帳戶密碼之間對應關係的資料。 上述的中間平台還具有發卡銀行的功能，能夠直接進 行交易處理。 請參閱圖7，其爲一種利用包含1C卡的身份證進行 交易的支付方法的流程圖。它包括： s 1 1 〇 :身份證讀卡器讀出未解密的用戶身份信息。 S 1 20 :將用戶輸入的帳號密碼加密後，與未經解密的 用戶身份信息以及交易金額傳送至中間平台。 s 1 30 :若搜尋到所述用戶身份信息對應的銀行帳戶， 則將交易金額、銀行帳戶和未解密的帳戶對應密碼組成的 新交易信息發送至發卡子系統，否則將用戶身份信息、交 易金額和未解密的帳戶對應密碼組成的新交易信息發送至 發卡子系統。 S140:發卡子系統直接搜尋銀行帳號或捜尋用戶身份 信息對應的銀行帳號，核對解密後的帳戶對應密碼，處理 所述交易並將交易處理結果傳回。 該步驟還包括，發卡子系統搜尋所述用戶身份證號對 應的銀行帳號，若該發卡銀行中同一身份證號碼對應多個 銀行帳號，則支付失敗並提示至中間平台要求用戶設定一 對應用於支付的銀行帳號。 在本方法中，步驟S110之前還包括：預先在中間平 台上儲存用戶的身份證號與銀行帳戶的對應關係；步驟 -26- 200941369 S 1 3 0還包括：中間平台解密出用戶身份證號，若能找到 解密後的身份證號對應的銀行帳戶，則將所述銀行帳戶作 爲交易信息的一組成部分傳送至所述發卡子系統。 以下就以支付寶爲例，來說明本發明的一應用過程。 請參閱圖8，其爲本發明的一實例。它包括： S11 :身份證讀卡器接收消費者出示的二代身份證； S12:身份證讀卡器將讀取的信息發送至處理器； S 1 3 :廠商利用輸入單元輸入本次交易的金額； S14:消費者利用輸入單元輸入本次交易所使用的付 款銀行及對應的銀行密碼； 處理器將銀行密碼用預先儲存在本地的本銀行對應的 銀行加密密鑰進行加密，並且利用預先儲存的第一加密密 鑰將訂單金額進行加密； S15:處理器將信息通過通訊單元發送至支付寶； S16:支付寶解密交易金額，並利用身份解密器解密 用戶身份信息，後將交易金額、用戶身份信息以及未解密 的帳戶密碼發送至對應的發卡子系統。 若所述信息中攜帶有用戶選擇的發卡銀行信息’則支 付寶將用戶身份信息，訂單金額等發送至對應的發卡銀行 進行處理。若所述信息中未攜帶有發卡銀行信息’支付寶 可以依次給合作銀行發送扣款處理’直至找到某一合作銀 行扣款成功爲止。若在所有合作銀行中都不能實現扣款成 功，則回饋回扣款失敗的處理結果； S17:支付寶將處理結果回饋至對應的廠商的處理 -27- 200941369 器，處理器根據扣款情況決定交易是否進行後續處理。 支付寶可以直接將扣款結果及扣款情況回饋至用戶， 也可以是發卡銀行將扣款結果和扣款情況回饋至用戶。 本發明還提供了 一種利用包含1C卡的身份證進行身 份認證的系統及方法。在現有的交易過程中，通常採用卡 號和PIN碼的方式進行認證，當卡號和PIN碼洩漏後， 很容易造成財產損失。 @ 爲此’本發明提供了 一種利用包含1C卡的身份證進 行身份認證的系統。它包括身份證讀卡器、受理終端和認 證平台。 身份證讀卡器可以採用上述公開的身份證讀卡器。爲 了攜帶方便’本發明的身份證讀卡器可以爲USB形狀的 產品。它提供基於USBR介面的即插即用的解決方案，只 要將身份證讀卡器插入電腦的標準USB介面就可以開始 工作。本實施例中身份證讀卡器上還可以內置一個含有 Φ CPU和記億體的晶片。 受理終端可以爲受理機具，也可以是一個電腦終端。 當身份證讀卡器爲一具有USB介面的產品時，受理終端 也應設置有USB介面。受理終端連接身份證讀卡器，並 且受理終端通過專線或網路連接認證平台。 受理終端用於將身份證讀卡器讀出的未解密的用戶身 份發給認證平台，接收傳回的用戶身份後認證所述用戶身 份。 認證平台可以包括控制器、與受理終端連接的通信介 -28- 200941369 面和身份解密器。 身份解密器，用於將未解密的用戶身份信息進行解 密。所述身份解密器包括至少一塊解密晶片。1C卡的製 作廠家是由公安部指定的，在設置1C卡上的用戶身份信 息時採用公安部提供的預先設定的加密演算法。並且，廠 家可以將包含對應解密演算法的解密晶片提供至認證平 台。 身份解密器可以爲一塊解密晶片。當然，爲了提高認 證平台的解密能力，本實施例中身份解密器可以爲多塊具 有解密能力的解密晶片。這些解密晶片可以採用平行處理 的方式解密不同受理終端傳送的未解密用戶身份信息。身 份解密器也可以是一伺服器，在伺服器上設置多塊具有平 行處理能力的解密晶片。身份解密器也可以爲一軟體模 組，整合在控制器中。 控制器，用於接收由受理終端發送過來的資料，並解 析未解密的用戶身份信息後傳回。 認證平台可以採用中間平台。 請參閱圖9’其爲一種利用包含1C卡的身份證進行 身份認證的方法的流程圖。它包括： S210:身份讀卡器讀取身份證上未解密的用戶身份信 息。當身份證靠近身份證讀卡器時，身份讀卡器即可讀出 其上未解密的用戶身份信息’並將所述讀出的信息發送至 受理終端。 S220 :受理終端接收身份證讀卡器發送的未解密用戶 -29- 200941369 身份信息，發送至認證平台。 受理終端接收到該些信息後，按預先設定的格式發送 至認證平台。 S 2 3 0 ·認證平台解密用戶身份信息，確認其身份後傳 回至受理終端。 認證平台解密所述用戶身份信息，傳回至受理終端。 受理終端可以獲知其身份信息，進行身份驗證。 A 本實施例中最簡便的身份驗證是讀出的身份信息（如 ❹ 用戶姓名、照片）與消費者進行對照。 本發明還可以預先保存一密碼，當需要對用戶進行認 證時，不僅驗證其身份信息，還需要將用戶輸入的密碼與 保存的密碼進行對比，若相同，則通過驗證。 以上公開的僅爲本發明的幾個具體實施例，但本發明 並非局限於此，任何本領域的技術人員能思之的變化，都 應落在本發明的保護範圍內。 ❸ 【圖式簡單說明】 圖1爲現有的一種利用金融卡進行交易的系統的原理 區塊圖； 圖2爲本發明的利用金融卡進行交易的系統的原理區 塊圖； 圖3爲本發明第一種受理機具的原理結構圖； 圖4爲本發明第一種受理機具的一實例結構圖； 圖5爲本發明第二種受理機具的原理結構圖； -30- 200941369 圖6爲本發明第三種受理機具的原理結構示意圖； 圖7爲本發明一種利用包含1C卡的身份證進行交易 的支付方法的流程圖； 圖8爲本發明的一實施流程圖； 圖9其爲一種利用包含IC卡的身份證進行身份認證 的方法的流程圖。 【主要元件符號說明】 © 1 :受理機具 2 :中間平台 3 :發卡子系統 1 1 :收單子系統 12 :廠商子系統 13 :終端 21 :處理器 22 :身份證讀卡器 23 .輸入單元 24 :輸出單元 25 :通信單元 2 6 :加密器 31 :顯示螢幕 32 :專用埠 33 :鍵盤區 34 :放卡區域 -31 - 200941369 Ο 第二處理器 通訊埠 解密晶片 :天線 :RF模組 :天線 :RF模組 :輸入單元 :輸出單元 :處理器 :通信單元 :天線 :RF模組 :控制器 :埠單元 :單片機 :璋 :埠 :輸入單元 :輸出單元 :處理器 :通信埠 :通信埠 -32

Claims (1)

1. 200941369 十、申請專利範園 1 ·—種利用包含1C卡的身份證進行交易的支付系 統’包括受理機具、中間平台和發卡子系統，該受理機具 包括身份證讀卡器、輸入單元、加密器、處理器、通信單 元，其中， 身份證讀卡器，用於讀取未經解密的用戶身份信息； 輸入單元，用於接收外部輸入的信息：接收廠商輸入 的交易金額、接收用戶輸入的帳戶密碼或接收用戶輸入的 帳戶密碼及用戶選定的發卡銀行信息； 處理器，用於將該輸入單元接收的該信息發送至加密 器進行加密，並將該加密後的信息與未經解密的用戶身份 信息發送至通信單元； 加密器至少包含第一加密器，該第一加密器用於將帳 戶信息中的帳戶對應密碼，以該發卡銀行對應的銀行加密 密鑰進行加密或將該帳戶對應密碼，以第三方提供的銀行 加密密鑰進行加密； 通信單元，用於建立加密器、處理器與中間平台的連 結：將該加密後的信息傳送至.中間平台以及將中間平台的 處理結果傳回至處理器； 中間平台，包括第二處理器、身份解密器和通信介 面， 身份解密器，用於將未解密的用戶身份信息進行解 密； 第二處理器，用於保存解密後的用戶身份信息和交易 -33- 200941369 金額，若搜尋到該用戶身份信息對應的銀行帳戶，則將交 易金額、銀行帳戶和未解密的帳戶對應密碼組成的新交易 信息發送至發卡子系統，否則將該用戶身份信息、交易金 額和未解密的帳戶對應密碼組成的新交易信息發送至發卡 子系統，並將發卡子系統傳回的處理結果進行保存後傳 回； 通信介面，分別建立與受理機具、發卡子系統之間的 通信； 發卡子系統，直接搜尋銀行帳號或搜尋用戶身份信息 對應的銀行帳號，核對解密後的帳戶對應密碼，處理該交 易並將交易處理結果傳回。 2. 如申請專利範圍第1項之系統，其中，該身份證 讀卡器包括天線和RF模組，該RF模組連接該天線，以 將接收到的未解密的用戶身份信息傳送至該處理器。 3. 如申請專利範圍第1項之系統，其中，該身份解 密器包括一塊或多塊具有平行處理能力的解密晶片。 4. 如申請專利範圍第1或2項之系統，其中，該加 密器還包括第二加密器，用於將消費金額用預先設定的第 一加密密鑰進行加密，該中間平台還包括第二解密器，用 於對由該第一加密密鑰加密的該消費金額進行解密。 5. 如申請專利範圍第4項之系統，其中，受理機具 保存的第一加密密鑰爲各自獨立且能夠標識其受理機具的 私鑰，中間平台採用同一公鑰來解密由不同受理機具發送 的加密消費金額。 -34- 200941369 6·如申請專利範圍第4項之系統，其中，發卡子系 統整合在中間平台上，第一加密器和第二加密器爲同一加 密器。 7. 如申請專利範圍第1或2項之系統，其中’該通 信單元和通信介面爲支援固定電話、各種網路撥號方式的 數據機或直接通過區網與對端連接的專用埠。

   ❹ 8. —種利用包含1C卡的身份證進行交易的支付方 法，包括： (1 )身份證讀卡器讀出未經解密的用戶身份信息； (2)將用戶輸入的帳號密碼加密後，與未經解密的用 戶身份信息以及交易金額傳送至中間平台； (3 )中間平台解密接收到的用戶身份信息，若搜尋到 該用戶身份信息對應的銀行帳戶，則將交易金額、銀行帳 戶和未解密的帳戶對應密碼組成的新交易信息發送至發卡 子系統，否則將用戶身份信息、交易金額和未解密的帳戶 對應密碼組成的新交易信息發送至發卡子系統； (4)發卡子系統直接搜尋銀行帳號或搜尋用戶身份信 息對應的銀行帳號，核對解密後的帳戶對應密碼，處理該 交易並將交易處理結果傳回。 9. 如申請專利範圍第8項之方法，其中， 步驟（1)之前還包括：預先在中間平台上儲存用戶的 身份證號碼與銀行帳戶的對應關係； 步驟（3)還包括：中間平台解密出用戶身份證號碼 後，若能找到解密後的身份證號碼對應的銀行帳戶，則將 -35- 200941369 所述銀行帳戶作爲交易信息的一組成部分傳送至所述發卡 子系統。 10. 如申請專利範圍第8或9之方法，其中， 步驟（2)中還進一步包括：受理機具將交易金額用預 先設定的第一加密密鑰加密； 步驟（3)還包括：中間平台將未解密交易金額進行解 密。 11. 如申請專利範圍第8或9項之方法，其中，步驟 (4)還包括， 發卡子系統搜尋所述用戶身份信息對應的銀行帳號， 若該發卡銀行中同一身份證號碼對應多個銀行帳號，則支 付失敗並提示至中間平台要求用戶設定一對應用於支付的 銀行帳號。 12. —種受理機具，包括包含天線和RF模組的身份 證讀卡器，輸入單元、加密器、處理器、通信單元，其 中， 身份證讀卡器，用於讀取未經解密的用戶身份信息； 輸入單元，用於接收外部輸入的信息：接收廠商輸入 的交易金額、接收用戶輸入的帳戶密碼或接收用戶輸入的 帳戶密碼及用戶選定的發卡銀行信息； 處理器，用於將該輸入單元發送的信息發送至加密器 進行加密，並將加密後的信息與未經解密的用戶身份信息 發送至通信單元； 加密器至少包含第一加密器，該第一加密器用於將帳 -36- 200941369 戶信息中的帳戶對應密碼用該發卡銀行對應的銀行加密密 鑰進行加密或者帳戶對應密碼用第三方提供的銀行加密密 鑰進行加密； 通信單元’用於建立與外部設備的連結。 13. —種中間平台’包括第二處理器、身份解密器和 通信介面，和資料庫儲存區，其中， 身份解密器’用於將未解密的用戶身份信息進行解 密； 第二處理器，用於對接收到的帳戶對應密碼進行解 密’在資料庫儲存區搜尋到所述用戶身份信息對應的銀行 帳戶’核對所述銀行帳戶密碼與解密得到後的帳戶對應密 碼’處理該交易； 通信介面，用於建立與外部設備之間的通信：接收包 含未解密用戶身份信息、未解密帳戶對應密碼和消費金額 的交易請求，以及傳回交易處理結果； 資料庫儲存區，用於儲存包括用戶身份信息與銀行帳 戶對應關係、銀行帳戶和帳戶密碼之間對應關係的資料。 14. —種中間平台，包括第二處理器、身份解密器和 通信介面，其中， 身份解密器，用於將未解密的用戶身份信息進行解 密； 第二處理器，用於保存用戶身份信息和消費金額’若 搜尋到該用戶身份信息對應的銀行帳戶，則將交易金額、 銀行帳戶和未解密的帳戶對應密碼組成的新交易信息發送 -37- 200941369 至發卡子系統，否則將用戶身份信息、交易金額和未解密 的帳戶對應密碼組成的新交易信息發送至發卡子系統’ » 及將發卡子系統傳回的處理結果進行保存後傳回； 通信介面，建立與外部設備之間的通信：接收受理機 具發送的包含消費金額、用戶身份信息和帳戶密碼的交易 請求，將新的交易請求發送至發卡子系統，接收從發卡子 系統傳回的處理結果，還將處理結果傳回至受理機具。 ^ 15. —種利用包含1C卡的身份證進行身份認證的方 ❹ 法，包括： (1) 身份讀卡器讀取身份證上未解密的用戶身份信 息； (2) 受理終端接收身份證讀卡器發送的未解密用戶身 份信息，發送至認證平台； (3) 認證平台解密用戶身份信息，確認其身份後傳回 至受理終端。 -38-