WO2019001061A1 - 支付验证的方法、系统及移动设备和安全认证设备 - Google Patents

支付验证的方法、系统及移动设备和安全认证设备 Download PDF

Info

Publication number
WO2019001061A1
WO2019001061A1 PCT/CN2018/081369 CN2018081369W WO2019001061A1 WO 2019001061 A1 WO2019001061 A1 WO 2019001061A1 CN 2018081369 W CN2018081369 W CN 2018081369W WO 2019001061 A1 WO2019001061 A1 WO 2019001061A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
mobile device
random number
authentication device
security authentication
Prior art date
Application number
PCT/CN2018/081369
Other languages
English (en)
French (fr)
Inventor
陈柳章
Original Assignee
深圳市文鼎创数据科技有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 深圳市文鼎创数据科技有限公司 filed Critical 深圳市文鼎创数据科技有限公司
Publication of WO2019001061A1 publication Critical patent/WO2019001061A1/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights

Definitions

  • the present invention belongs to the field of wireless communication technologies, and in particular, to a method and system for payment verification, and a mobile device and a security authentication device.
  • the currently used mobile payment solutions have their own advantages and disadvantages.
  • the scheme using SMS authentication is weak, and the scheme of using the secure authentication device for transaction signature needs to carry and operate the security authentication device, and the transaction time is long.
  • the user experience is poor.
  • the embodiment of the present invention provides a method for payment verification, a mobile device, and a security authentication device, to solve the method for payment verification provided in the prior art, and the problem that security and user experience cannot be considered at the same time.
  • a first aspect of the embodiments of the present invention provides a method for payment verification, the method comprising:
  • the mobile device sends the first data to the security authentication device
  • the mobile device processes the second data to obtain a verification result.
  • the first data is a random number plaintext
  • the second data is a random number ciphertext
  • the random number ciphertext is generated by the security authentication device encrypting the random number plaintext.
  • the mobile device processes the second data, and the verification result includes:
  • the mobile device encrypts the random number plaintext with a symmetric key or a key derived by the symmetric key to generate a locally stored random number ciphertext, and the random number ciphertext and the locally stored random number are densely Compare the text and get the verification result; or
  • the mobile device decrypts the random number ciphertext with a symmetric key or a key derived from the symmetric key, and compares the decrypted random number with the locally stored random number plaintext to obtain a verification result;
  • the mobile device and the security authentication device use the same or corresponding key.
  • the symmetric key is negotiated in a process of performing Bluetooth pairing or establishing a connection between the security authentication device and the mobile device.
  • the first data includes an instruction for requesting a secure authentication device to provide a device digital certificate
  • the second data includes a device digital certificate original text and a signature result obtained by signing the first data with a private key
  • the mobile device processes the second data, and the verification result includes:
  • the mobile device verifies the device digital certificate according to the root public key stored locally;
  • the mobile device extracts a public key from the digital certificate and verifies the signature result with the public key.
  • the first data further includes third data, where the third data is a random number plaintext or a time stamp.
  • the method further includes:
  • the mobile device is bound to the security authentication device, and at the same time as the binding, the security authentication device is requested to verify the identity of the mobile device.
  • a second aspect of the embodiments of the present invention provides a method for payment verification, where the method includes:
  • the security authentication device receives the first data sent by the mobile device
  • the security authentication device processes the first data or the first data and the device digital certificate, generates second data, and sends the second data to the mobile device, where the second data is processed by the mobile device. , get the verification result.
  • the first data is a random number plaintext
  • the second data is a random number ciphertext
  • the processing by the security authentication device to the first data includes:
  • the security authentication device encrypts the plaintext plaintext to generate the random number ciphertext
  • the secure authentication device sends the random ciphertext to the mobile device.
  • the first data is an instruction for requesting a security authentication device to provide a device digital certificate
  • the second data includes a device digital certificate and a signature result obtained by signing the first data with a private key
  • the security authentication Processing, by the device, the first data and the device digital certificate, generating the second data, and sending the second data to the mobile device includes:
  • the method further includes:
  • the secure authentication device is bound to the mobile device, and the user identity of the mobile device is verified while being bound.
  • a third aspect of the embodiments of the present invention provides a mobile device, where the mobile device includes:
  • a data sending module configured to send the first data to the security authentication device
  • a data receiving module configured to receive second data sent by the security authentication device, where the second data is generated by the security authentication device processing the first data or the first data and the device digital certificate;
  • the data processing module is configured to process the second data to obtain a verification result.
  • the first data is a random number plaintext
  • the second data is a random number ciphertext
  • the random number ciphertext is generated by the security authentication device encrypting the random number plaintext
  • the data processing module is generated.
  • a first data processing unit configured to encrypt the random number plaintext with a symmetric key or a key derived by the symmetric key, generate a locally stored random number ciphertext, and the random number ciphertext and the The locally stored random number ciphertext is compared to obtain a verification result;
  • a second data processing unit configured to decrypt the random number ciphertext with a symmetric key or a key derived by the symmetric key, and compare the decrypted random number with a locally stored random number to obtain verification result;
  • the mobile device and the security authentication device use the same or corresponding key.
  • the first data is an instruction for requesting a security authentication device to provide a device digital certificate
  • the second data includes a device digital certificate and a signature result obtained by signing the first data with a private key
  • the data processing Modules include:
  • a certificate verification unit configured to verify the device digital certificate according to a root public key stored locally
  • a signature verification unit configured to extract a public key from the digital certificate, and verify the signature result by using the public key.
  • a fourth aspect of the embodiments of the present invention provides a security authentication device, where the security authentication device includes:
  • a data receiving module configured to receive first data sent by the mobile device
  • a data sending module configured to process the first data or the first data and device digital certificate, generate second data, and send the second data to a mobile device, where the second device is The data is processed to obtain the verification result.
  • the first data is a random number plaintext
  • the second data is a random number ciphertext
  • the data sending module includes:
  • An encryption unit configured to encrypt the plaintext plaintext, and generate the random number ciphertext
  • the first sending unit is configured to send the random number ciphertext to the mobile device.
  • the first data is an instruction for requesting a security authentication device to provide a device digital certificate
  • the second data includes a device digital certificate and a signature result obtained by signing the first data with a private key, where the data is sent.
  • Modules include:
  • An obtaining unit configured to obtain a preset device digital certificate and a private key
  • a signature unit configured to sign, by using the private key, an instruction for requesting a security authentication device to provide a device digital certificate, to generate a signature result
  • a second sending unit configured to send the device digital certificate and the signature result to the mobile device.
  • the security authentication device further includes:
  • the binding module is used for binding with the mobile device, and the user identity of the mobile device is verified at the same time of binding.
  • a fifth aspect of the embodiments of the present invention provides a system for payment verification, the system comprising the mobile device of the third aspect and the security authentication device of the fourth aspect.
  • the embodiment of the present invention has the beneficial effects that: when the transaction is performed, the mobile device sends the first data to the security authentication device, and the security authentication device pairs the first data or the first data and device.
  • the digital certificate is processed, and the second data is generated and sent to the mobile device, and the mobile device only needs to process the second data to obtain the verification result, does not operate the security authentication device, has short transaction time, and has good user experience, and
  • the security is high, and the payment verification method provided by the prior art can overcome the problem of security and user experience, and can simultaneously consider security and user experience.
  • FIG. 1 is a schematic flowchart of an implementation process of a payment verification method according to Embodiment 1 of the present invention
  • FIG. 2 is a schematic flowchart of an implementation process of a payment verification method according to Embodiment 2 of the present invention
  • FIG. 3 is a schematic block diagram of a mobile device according to Embodiment 3 of the present invention.
  • FIG. 4 is a schematic block diagram of a security authentication device according to Embodiment 4 of the present invention.
  • FIG. 5 is a schematic block diagram of a system for payment verification provided by Embodiment 5 of the present invention.
  • FIG. 1 is a schematic flowchart of a method for payment verification according to Embodiment 1 of the present invention.
  • the mobile device side is taken as an example for description. As shown in the figure, the method may include the following steps:
  • Step S101 The mobile device sends the first data to the security authentication device.
  • the security authentication device may be a Bluetooth security authentication device or a WiFi security authentication device.
  • the Bluetooth security authentication device may be a Bluetooth card shield, a Bluetooth smart bracelet, a Bluetooth smart watch, etc., and is not limited herein.
  • the first data may be a random number plaintext, or may be an instruction that the mobile device requests the security authentication device to provide the device digital certificate.
  • the mobile device may send a random number plaintext to the security authentication device, or may send an instruction requesting the security authentication device to provide the device digital certificate to the security authentication device.
  • Step S102 The mobile device receives the second data sent by the security authentication device, where the second data is generated by the security authentication device processing the first data or the first data and the device digital certificate.
  • the security authentication device encrypts or signs the received first data, and sends an encryption or signature result to the mobile device.
  • the first data is a random number plaintext
  • the second data is a random number ciphertext
  • the random number ciphertext is generated by the security authentication device encrypting the random number plaintext
  • the security authentication device receives the random number sent by the mobile device.
  • the random number plaintext is encrypted to obtain a random number ciphertext
  • the random number ciphertext is sent to the security authentication device.
  • the mobile device and the security authentication device use the same or corresponding key.
  • the security authentication device may encrypt the random number plaintext with a symmetric key to obtain a random number ciphertext.
  • a symmetric key may be negotiated between the security authentication device and the mobile device, and then the mobile device uses the symmetric key. Or encrypting the random number plaintext with a key derived from the symmetric key.
  • the symmetric key-derived key is obtained by calculation or interception on the basis of the symmetric key, and the security authentication device and the mobile device adopt preset or negotiated generation. The same method is used for calculation or interception.
  • the secure authentication device may also encrypt the random number plaintext with a public key in the asymmetric key.
  • the security authentication device receives the sending by the mobile device After requesting the security authentication device to provide the device digital certificate, after obtaining the preset device digital certificate and the private key, the private key is used to sign the instruction for requesting the device to obtain the digital certificate of the device, and the signature result is generated. Send the device digital certificate and signature results to the mobile device.
  • the device has a digital certificate and a private key preset in the security authentication device, and the device digital certificate is issued by the manufacturer.
  • the instruction for requesting the security authentication device to provide the device digital certificate is a cmd command, for example, an APDU command satisfying 7816.
  • CLA INS P1 P2 LC Data where Data may be a random number.
  • the first data further includes third data, where the third data is a random number plaintext or a time stamp.
  • the security authentication device After receiving the instruction for requesting the security authentication device to provide the device digital certificate, the security authentication device acquires the preset device digital certificate and the private key, generates a third data, and then processes the instruction and the third data. Sign and send the device digital certificate and signature results to the mobile device.
  • the third data may be a random number plaintext, and may be replaced by a timestamp or the like, which is not limited in the embodiment of the present invention.
  • the purpose of introducing the random number plaintext/timestamp is to prevent replay attacks.
  • Step S103 The mobile device processes the second data to obtain a verification result.
  • the mobile device may encrypt the random number by using a symmetric key or by using a key derived by the symmetric key.
  • generating a locally stored random number ciphertext comparing the random number ciphertext with the locally stored random number ciphertext to obtain a verification result; or using a symmetric key or using the symmetric key
  • the key decrypts the random number ciphertext, and compares the decrypted random number with the locally stored random number plaintext to obtain a verification result.
  • the mobile device and the security authentication device use the same or corresponding key.
  • the mobile device pairs the The second data is processed, and the verification result is specifically as follows:
  • the mobile device verifies the device digital certificate according to the root public key stored locally;
  • the mobile device extracts a public key from the digital certificate and verifies the signature result with the public key.
  • the mobile device can obtain the root public key from the manufacturer.
  • the second data includes the device digital certificate original text and the signature result obtained by signing the first data with the private key, and may further include The following steps:
  • the transfer device obtains the unique identifier of the secure authentication device, and verifies the user identity of the secure authentication device.
  • the user identity of the secure authentication device may be verified when the mobile device processes the second data in step S103.
  • the identity of the user of the security authentication device there is no limitation on how to verify the identity of the user of the security authentication device.
  • the mobile device user account is first bound to the user security authentication device, and the binding information is stored in the mobile device.
  • the security authentication device needs to be moved by using a transaction password or the like. The user identity of the device is verified.
  • the user when the user conducts a transaction, it is judged whether it is a secret payment, and if so, it is determined whether the bound security authentication device and the mobile device are within a safe distance, and if so, the transaction is directly allowed; otherwise, the prompt is The user enters a transaction password and uses a non-impurity method for payment transactions.
  • the security authentication device when the mobile device sends the first data to the security authentication device, the security authentication device processes the first data or the first data and the device digital certificate to generate the second data. Sending to the mobile device, the mobile device only needs to process the second data to obtain the verification result, does not operate the security authentication device, has short transaction time, good user experience, and is safer than the traditional SMS verification scheme. High, overcoming the problem of payment verification provided by the prior art cannot balance security and user experience.
  • Embodiment 2 is a schematic flowchart of a method for payment verification provided by Embodiment 2 of the present invention.
  • the security authentication device side is taken as an example for description. As shown in the figure, the method may include the following steps:
  • Step S201 The security authentication device receives the first data sent by the mobile device.
  • Step S202 The security authentication device processes the first data or the first data and the device digital certificate, generates second data, and sends the second data to the mobile device, where the mobile device pairs the second The data is processed to obtain the verification result.
  • the security authentication device processing the first data includes the following steps:
  • Step 1 The security authentication device encrypts the plaintext plaintext to generate the random number ciphertext
  • Step 2 The security authentication device sends the random ciphertext to the mobile device.
  • the security authentication device pairs the first data and the device digital certificate Processing, generating second data, and transmitting the second data to the mobile device includes the following steps:
  • Step 11 Obtain a preset device digital certificate and a private key
  • Step 12 Sign the instruction for requesting the security authentication device to provide the device digital certificate by using the private key, and generate a signature result
  • Step 13 Send the device digital certificate and the signature result to the mobile device.
  • the following steps may be further included:
  • the secure authentication device is bound to the mobile device, and the user identity of the mobile device is verified while being bound.
  • the method for the payment verification provided by the embodiment of the present invention may be applied to the foregoing corresponding method embodiment 1.
  • FIG. 3 is a schematic block diagram of a mobile device 3 according to Embodiment 2 of the present invention. For convenience of description, only parts related to the embodiment of the present invention are shown.
  • the mobile device 3 includes a data sending module 31, a data receiving module 32, and a data processing module 33.
  • the data sending module 31 is configured to send the first data to the security authentication device.
  • the data receiving module 32 is configured to receive second data sent by the security authentication device, where the second data is generated by the security authentication device processing the first data or the first data and the device digital certificate;
  • the data processing module 33 is configured to process the second data to obtain a verification result.
  • the first data is a random number plaintext
  • the second data is a random number ciphertext
  • the random number ciphertext is generated by the security authentication device encrypting the random number plaintext
  • the data processing module is generated. 33 includes:
  • a first data processing unit configured to encrypt the random number plaintext with a symmetric key or a key derived by the symmetric key, generate a locally stored random number ciphertext, and the random number ciphertext and the The locally stored random number ciphertext is compared to obtain a verification result;
  • a second data processing unit configured to decrypt the random number ciphertext with a symmetric key or a key derived by the symmetric key, and compare the decrypted random number with a locally stored random number to obtain verification result;
  • the mobile device and the security authentication device use the same or corresponding key.
  • the first data is an instruction for requesting a security authentication device to provide a device digital certificate
  • the second data includes a device digital certificate and a signature result obtained by signing the first data with a private key
  • the data processing Module 33 includes:
  • a certificate verification unit configured to verify the device digital certificate according to a root public key stored locally
  • a signature verification unit configured to extract a public key from the digital certificate, and verify the signature result by using the public key.
  • the mobile device provided by the embodiment of the present invention can be applied to the foregoing corresponding method embodiment 1.
  • the mobile device provided by the embodiment of the present invention can be applied to the foregoing corresponding method embodiment 1.
  • FIG. 4 is a schematic block diagram of a security authentication device 4 according to Embodiment 3 of the present invention. For the convenience of description, only parts related to the embodiment of the present invention are shown.
  • the security authentication device 4 includes a data receiving module 41 and a data sending module 42.
  • the data receiving module 41 is configured to receive first data sent by the mobile device.
  • the data sending module 42 is configured to process the first data or the first data and the device digital certificate, generate second data, and send the second data to the mobile device, where the mobile device The second data is processed to obtain the verification result.
  • the first data is a random number plaintext
  • the second data is a random number ciphertext
  • the data sending module 42 includes:
  • An encryption unit configured to encrypt the plaintext plaintext, and generate the random number ciphertext
  • the first sending unit is configured to send the random number ciphertext to the mobile device.
  • the first data is an instruction for requesting a security authentication device to provide a device digital certificate
  • the second data includes a device digital certificate and a signature result obtained by signing the first data with a private key, where the data is sent.
  • Module 42 includes:
  • An obtaining unit configured to obtain a preset device digital certificate and a private key
  • a signature unit configured to sign, by using the private key, an instruction for requesting a security authentication device to provide a device digital certificate, to generate a signature result
  • a second sending unit configured to send the device digital certificate and the signature result to the mobile device.
  • the security authentication device 4 further includes:
  • the binding module is used for binding with the mobile device, and the user identity of the mobile device is verified at the same time of binding.
  • the security authentication device provided by the embodiment of the present invention may be applied to the foregoing corresponding method embodiment 1.
  • FIG. 5 is a schematic block diagram of a system 5 for payment verification provided by Embodiment 4 of the present invention. For convenience of description, only parts related to the embodiment of the present invention are shown.
  • the payment verification system 5 includes the mobile device 3 described in the third embodiment and the security authentication device 4 described in the fourth embodiment.
  • each functional unit and module in the foregoing system may be integrated into one processing unit, or each unit may exist physically separately, or two or more units may be integrated into one unit, and the integrated unit may be implemented by hardware.
  • Formal implementation can also be implemented in the form of software functional units.
  • the specific names of the respective functional units and modules are only for the purpose of facilitating mutual differentiation, and are not intended to limit the scope of protection of the present application.
  • the disclosed apparatus/terminal device and method may be implemented in other manners.
  • the device/terminal device embodiments described above are merely illustrative.
  • the division of the modules or units is only a logical function division.
  • there may be another division manner for example, multiple units.
  • components may be combined or integrated into another system, or some features may be omitted or not performed.
  • the mutual coupling or direct coupling or communication connection shown or discussed may be an indirect coupling or communication connection through some interface, device or unit, and may be in electrical, mechanical or other form.
  • the units described as separate components may or may not be physically separated, and the components displayed as units may or may not be physical units, that is, may be located in one place, or may be distributed to multiple network units. Some or all of the units may be selected according to actual needs to achieve the purpose of the solution of the embodiment.
  • each functional unit in each embodiment of the present invention may be integrated into one processing unit, or each unit may exist physically separately, or two or more units may be integrated into one unit.
  • the above integrated unit can be implemented in the form of hardware or in the form of a software functional unit.
  • the integrated modules/units if implemented in the form of software functional units and sold or used as separate products, may be stored in a computer readable storage medium. Based on such understanding, the present invention implements all or part of the processes in the foregoing embodiments, and may also be completed by a computer program to instruct related hardware.
  • the computer program may be stored in a computer readable storage medium. The steps of the various method embodiments described above may be implemented when the program is executed by the processor. .
  • the computer program comprises computer program code, which may be in the form of source code, object code form, executable file or some intermediate form.
  • the computer readable medium can include any entity or device capable of carrying the computer program code, a recording medium, a USB flash drive, a removable hard drive, a magnetic disk, an optical disk, a computer memory, a read only memory (ROM, Read-Only) Memory), random access memory (RAM, Random) Access Memory), electrical carrier signals, telecommunications signals, and software distribution media.
  • ROM Read Only memory
  • RAM Random Access Memory
  • electrical carrier signals telecommunications signals
  • telecommunications signals and software distribution media. It should be noted that the content contained in the computer readable medium may be appropriately increased or decreased according to the requirements of legislation and patent practice in a jurisdiction, for example, in some jurisdictions, according to legislation and patent practice, computer readable media It does not include electrical carrier signals and telecommunication signals.

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种支付验证的方法、系统及移动设备和安全认证设备,所述方法包括:移动设备发送第一数据至安全认证设备;移动设备接收安全认证设备发送的第二数据,所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的;移动设备对所述第二数据进行处理,得到验证结果。在进行交易时,不操作安全认证设备,交易时间短,用户体验好,并且相比传统的短信验证等方案,安全性高,克服了现有技术提供的支付验证的方法无法兼顾安全性和用户体验的问题,可以同时兼顾安全和用户体验。

Description

支付验证的方法、系统及移动设备和安全认证设备 技术领域
本发明属于无线通信技术领域,尤其涉及一种支付验证的方法、系统及移动设备和安全认证设备。
背景技术
移动网络时代,越来越多的人在移动设备上进行交易、支付等金融活动,极大地方便了各类金融活动的进行。
然而,目前常用的移动支付方案各有优缺点,比如,使用短信验证的方案,安全性较弱;使用安全认证设备进行交易签名的方案,则需要携带并操作安全认证设备,且交易时间较长,用户体验较差。
技术问题
有鉴于此,本发明实施例提供了一种支付验证的方法及移动设备和安全认证设备,以解决现有技术中提供的支付验证的方法,存在不能同时兼顾安全和用户体验的问题。
技术解决方案
本发明实施例的第一方面提供了一种支付验证的方法,所述方法包括:
移动设备发送第一数据至安全认证设备;
移动设备接收安全认证设备发送的第二数据,所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的;
移动设备对所述第二数据进行处理,得到验证结果。
进一步地,所述第一数据是随机数明文,所述第二数据是随机数密文,所述随机数密文是安全认证设备对所述随机数明文进行加密生成的,
所述移动设备对所述第二数据进行处理,得到验证结果包括:
移动设备用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文,生成本地存储的随机数密文,将所述随机数密文与所述本地存储的随机数密文进行比较,得到验证结果;或者
移动设备用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文,并将解密得到的随机数与本地存储的随机数明文进行比较,得到验证结果;
其中,移动设备和安全认证设备采用相同或对应的密钥。
进一步地,安全认证设备与移动设备之间进行蓝牙配对或者两者之间建立连接的过程中协商生成所述对称密钥。
进一步地,所述第一数据包括请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书原文和用私钥对所述第一数据进行签名得到的签名结果,
所述移动设备对所述第二数据进行处理,得到验证结果包括:
移动设备根据存储在本地的根公钥验证所述设备数字证书;
移动设备从所述数字证书中提取公钥,并用所述公钥验证所述签名结果。
进一步地,所述第一数据中还包括第三数据,所述第三数据是一个随机数明文或者是一个时间戳。
进一步地,在所述移动设备发送第一数据至安全认证设备之前,所述方法还包括:
移动设备与安全认证设备进行绑定,在绑定的同时,请求安全认证设备对移动设备的用户身份进行验证。
本发明实施例的第二方面提供了一种支付验证的方法,所述方法包括:
安全认证设备接收移动设备发送的第一数据;
安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备,由移动设备对所述第二数据进行处理,得到验证结果。
进一步地,所述第一数据是随机数明文,所述第二数据是随机数密文,所述安全认证设备对所述第一数据进行处理包括:
安全认证设备加密所述随机数明文,生成所述随机数密文;
安全认证设备发送所述随机数密文至移动设备。
进一步地,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述安全认证设备对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备包括:
获取预置的设备数字证书和私钥;
用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名,生成签名结果;
发送所述设备数字证书和所述签名结果至移动设备。
进一步地,在所述安全认证设备接收移动设备发送的第一数据之前,所述方法还包括:
安全认证设备与移动设备进行绑定,在绑定的同时,对移动设备的用户身份进行验证。
本发明实施例的第三方面提供了一种移动设备,所述移动设备包括:
数据发送模块,用于发送第一数据至安全认证设备;
数据接收模块,用于接收安全认证设备发送的第二数据,所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的;
数据处理模块,用于对所述第二数据进行处理,得到验证结果。
进一步地,所述第一数据是随机数明文,所述第二数据是随机数密文,所述随机数密文是安全认证设备对所述随机数明文进行加密生成的,所述数据处理模块包括:
第一数据处理单元,用于用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文,生成本地存储的随机数密文,将所述随机数密文与所述本地存储的随机数密文进行比较,得到验证结果;或者
第二数据处理单元,用于用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文,并将解密得到的随机数与本地存储的随机数进行比较,得到验证结果;
其中,移动设备和安全认证设备采用相同或对应的密钥。
进一步地,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述数据处理模块包括:
证书验证单元,用于根据存储在本地的根公钥验证所述设备数字证书;
签名验证单元,用于从所述数字证书中提取公钥,并用所述公钥验证所述签名结果。
本发明实施例的第四方面提供了一种安全认证设备,所述安全认证设备包括:
数据接收模块,用于接收移动设备发送的第一数据;
数据发送模块,用于对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备,由移动设备对所述第二数据进行处理,得到验证结果。
进一步地,所述第一数据是随机数明文,所述第二数据是随机数密文,所述数据发送模块包括:
加密单元,用于加密所述随机数明文,生成所述随机数密文;
第一发送单元,用于发送所述随机数密文至移动设备。
进一步地,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述数据发送模块包括:
获取单元,用于获取预置的设备数字证书和私钥;
签名单元,用于用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名,生成签名结果;
第二发送单元,用于发送所述设备数字证书和所述签名结果至移动设备。
进一步地,所述安全认证设备还包括:
绑定模块,用于与移动设备进行绑定,在绑定的同时,对移动设备的用户身份进行验证。
本发明实施例的第五方面提供了一种支付验证的系统,所述系统包括第三方面所述的移动设备和第四方面所述的安全认证设备。
有益效果
本发明实施例与现有技术相比存在的有益效果是:在进行交易时,移动设备发送第一数据至安全认证设备后安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据后发送至移动设备,移动设备只需对所述第二数据进行处理,即可得到验证结果,不操作安全认证设备,交易时间短,用户体验好,并且相比传统的短信验证等方案,安全性高,克服了现有技术提供的支付验证的方法无法兼顾安全性和用户体验的问题,可以同时兼顾安全和用户体验。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的支付验证的方法的实现流程示意图;
图2是本发明实施例二提供的支付验证的方法的实现流程示意图;
图3是本发明实施例三提供的移动设备的示意框图;
图4是本发明实施例四提供的安全认证设备的示意框图;
图5是本发明实施例五提供的支付验证的系统的示意框图。
本发明的实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一
参见图1,是本发明实施例一提供的支付验证的方法的示意流程图,以移动设备侧为例来进行说明,如图所示该方法可以包括以下步骤:
步骤S101,移动设备发送第一数据至安全认证设备。
在本发明实施例中,所述安全认证设备可以是蓝牙安全认证设备,也可以是WiFi安全认证设备。
所述蓝牙安全认证设备可以是蓝牙卡盾、蓝牙智能手环、蓝牙智能手表等,在此不做限制。
所述第一数据可以是一个随机数明文,也可以是移动设备请求安全认证设备提供设备数字证书的指令。
在移动设备需要进行交易时,移动设备可以发送一个随机数明文到安全认证设备,也可以发送请求安全认证设备提供设备数字证书的指令到安全认证设备。
步骤S102,移动设备接收安全认证设备发送的第二数据,所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的。
在本发明实施例中,安全认证设备对接收到的第一数据进行加密或者签名,并发送加密或者签名结果至移动设备。
若第一数据是随机数明文,第二数据是随机数密文,所述随机数密文是安全认证设备对所述随机数明文进行加密生成的,则安全认证设备接收到移动设备发送的随机数明文后,对所述随机数明文进行加密,得到随机数密文,并发送所述随机数密文至安全认证设备。其中,移动设备和安全认证设备采用相同或对应的密钥。
在一实施例中,安全认证设备可以用对称密钥对所述随机数明文进行加密,得到随机数密文。
具体的,在安全认证设备与移动设备之间进行蓝牙配对或者两者之间建立连接的过程中,安全认证设备与移动设备之间可以协商一个对称密钥,然后移动设备用所述对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文。本领域技术人员可以理解,所述对称密钥衍生的密钥是在所述对称密钥的基础上进行计算或截取获得的,所述安全认证设备与所述移动设备采用预置的或者协商生成的相同的方法进行计算或截取。
在另一实施例中,安全认证设备也可以用非对称密钥中的公开密钥对所述随机数明文进行加密。
若第一数据是请求安全认证设备提供设备数字证书的指令,第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,则安全认证设备接收到移动设备发送的请求安全认证设备提供设备数字证书的指令后,获取预置的设备数字证书和私钥后,用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名,生成签名结果,并发送设备数字证书和签名结果至移动设备。
其中,安全认证设备中预置有设备数字证书及私钥,设备数字证书是由生产厂家颁发的。
其中,请求安全认证设备提供设备数字证书的指令是一个cmd命令,例如满足7816的APDU命令 CLA INS P1 P2 LC Data,这里Data可能是个随机数。
优选地,所述第一数据中还包括第三数据,所述第三数据是一个随机数明文或者是一个时间戳。
具体的,安全认证设备接收到请求安全认证设备提供设备数字证书的指令后,先获取预置的设备数字证书和私钥,再生成一个第三数据,然后对所述指令和所述第三数据进行签名,并发送设备数字证书和签名结果至移动设备。
其中,所述第三数据可以是一个随机数明文,也可以被时间戳等代替,在本发明实施例中不做限制。其中,引入所述随机数明文/时间戳的目的是为了防止重放攻击。
步骤S103,移动设备对所述第二数据进行处理,得到验证结果。
在本发明实施例中,若第一数据是随机数明文,第二数据是随机数密文,则移动设备可以用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文,生成本地存储的随机数密文,将所述随机数密文与所述本地存储的随机数密文进行比较,得到验证结果;也可以用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文,并将解密得到的随机数与本地存储的随机数明文进行比较,得到验证结果。其中,移动设备和安全认证设备采用相同或对应的密钥。
若第一数据是请求安全认证设备提供设备数字证书的指令,第二数据包括设备数字证书原文和用私钥对所述第一数据进行签名得到的签名结果,则所述移动设备对所述第二数据进行处理,得到验证结果具体为:
移动设备根据存储在本地的根公钥验证所述设备数字证书;
移动设备从所述数字证书中提取公钥,并用所述公钥验证所述签名结果。
其中,移动设备可以从厂家获取根公钥。
需要说明的是,若第一数据是请求安全认证设备提供设备数字证书的指令,第二数据包括设备数字证书原文和用私钥对所述第一数据进行签名得到的签名结果,则还可以包括下述步骤:
移送设备获取安全认证设备的唯一性标识,对所述安全认证设备的用户身份进行验证。
另外,如果设备数字证书中嵌入有安全认证设备的唯一性标识,也可以在步骤S103中,在移动设备对第二数据进行处理时,对所述安全认证设备的用户身份进行验证。本发明实施例中,通过何种方式对安全认证设备的用户身份进行验证不做限制。
另外,在使用前,首先要将移动设备用户帐号与用户安全认证设备进行绑定,将绑定信息存储于移动设备中,在绑定的同时,需要通过交易口令等方式请求安全认证设备对移动设备的用户身份进行验证。
通过上述的步骤,在用户进行交易时,判断是否是免密支付,如果是,则确定所绑定的安全认证设备与移动设备是否在安全距离之内,如果是,则直接允许交易;否则提示用户输入交易口令,使用非免密方式进行支付交易。
通过本发明实施例,在进行交易时,移动设备发送第一数据至安全认证设备后安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据后发送至移动设备,移动设备只需对所述第二数据进行处理,即可得到验证结果,不操作安全认证设备,交易时间短,用户体验好,并且相比传统的短信验证等方案,安全性高,克服了现有技术提供的支付验证的方法无法兼顾安全性和用户体验的问题。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
实施例二
参见图2,是本发明实施例二提供的支付验证的方法的示意流程图,以安全认证设备侧为例来进行说明,如图所示该方法可以包括以下步骤:
步骤S201,安全认证设备接收移动设备发送的第一数据。
步骤S202,安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备,由移动设备对所述第二数据进行处理,得到验证结果。
在本发明实施例中,若第一数据是随机数明文,第二数据是随机数密文,则安全认证设备对第一数据进行处理包括以下步骤:
步骤1、安全认证设备加密所述随机数明文,生成所述随机数密文;
步骤2、安全认证设备发送所述随机数密文至移动设备。
若第一数据是请求安全认证设备提供设备数字证书的指令,第二数据包括设备数字证书和用私钥对第一数据进行签名得到的签名结果,则安全认证设备对第一数据和设备数字证书进行处理,生成第二数据,并发送第二数据至移动设备包括以下步骤:
步骤11、获取预置的设备数字证书和私钥;
步骤12、用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名,生成签名结果;
步骤13、发送所述设备数字证书和所述签名结果至移动设备。
优选地,在安全认证设备接收移动设备发送的第一数据之前,还可以包括下述步骤:
安全认证设备与移动设备进行绑定,在绑定的同时,对移动设备的用户身份进行验证。
本发明实施例提供的支付验证的方法可以应用在前述对应的方法实施例一中,详情参见上述实施例一的描述,在此不再赘述。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
实施例三
图3示出了本发明实施例二提供的移动设备3的示意性框图,为了便于说明,仅示出了与本发明实施例相关的部分。所述移动设备3包括:数据发送模块31、数据接收模块32和数据处理模块33。
其中,数据发送模块31,用于发送第一数据至安全认证设备;
数据接收模块32,用于接收安全认证设备发送的第二数据,所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的;
数据处理模块33,用于对所述第二数据进行处理,得到验证结果。
具体的,所述第一数据是随机数明文,所述第二数据是随机数密文,所述随机数密文是安全认证设备对所述随机数明文进行加密生成的,所述数据处理模块33包括:
第一数据处理单元,用于用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文,生成本地存储的随机数密文,将所述随机数密文与所述本地存储的随机数密文进行比较,得到验证结果;或者
第二数据处理单元,用于用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文,并将解密得到的随机数与本地存储的随机数进行比较,得到验证结果;
其中,移动设备和安全认证设备采用相同或对应的密钥。
具体的,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述数据处理模块33包括:
证书验证单元,用于根据存储在本地的根公钥验证所述设备数字证书;
签名验证单元,用于从所述数字证书中提取公钥,并用所述公钥验证所述签名结果。
本发明实施例提供的移动设备可以应用在前述对应的方法实施例一中,详情参见上述实施例一的描述,在此不再赘述。
实施例四
图4示出了本发明实施例三提供的安全认证设备4的示意性框图,为了便于说明,仅示出了与本发明实施例相关的部分。所述安全认证设备4包括:数据接收模块41和数据发送模块42。
其中,数据接收模块41,用于接收移动设备发送的第一数据;
数据发送模块42,用于对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备,由移动设备对所述第二数据进行处理,得到验证结果。
具体的,所述第一数据是随机数明文,所述第二数据是随机数密文,所述数据发送模块42包括:
加密单元,用于加密所述随机数明文,生成所述随机数密文;
第一发送单元,用于发送所述随机数密文至移动设备。
具体的,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述数据发送模块42包括:
获取单元,用于获取预置的设备数字证书和私钥;
签名单元,用于用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名,生成签名结果;
第二发送单元,用于发送所述设备数字证书和所述签名结果至移动设备。
优选地,所述安全认证设备4还包括:
绑定模块,用于与移动设备进行绑定,在绑定的同时,对移动设备的用户身份进行验证。
本发明实施例提供的安全认证设备可以应用在前述对应的方法实施例一中,详情参见上述实施例一的描述,在此不再赘述。
实施例五
图5示出了本发明实施例四提供的支付验证的系统5的示意性框图,为了便于说明,仅示出了与本发明实施例相关的部分。所述支付验证的系统5包括实施例三所述的移动设备3和实施例四所述的安全认证设备4。
本发明实施例提供的支付验证的系统可以应用在前述对应的方法实施例一中,详情参见上述实施例一的描述,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。

Claims (20)

  1. 一种支付验证的方法,其特征在于,包括:
    移动设备发送第一数据至安全认证设备;
    移动设备接收安全认证设备发送的第二数据,所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的;
    移动设备对所述第二数据进行处理,得到验证结果。
  2. 如权利要求1所述的方法,其特征在于,所述第一数据是随机数明文,所述第二数据是随机数密文,所述随机数密文是安全认证设备对所述随机数明文进行加密生成的,所述移动设备对所述第二数据进行处理,得到验证结果包括:
    移动设备用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文,生成本地存储的随机数密文,将所述随机数密文与所述本地存储的随机数密文进行比较,得到验证结果;或者
    移动设备用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文,并将解密得到的随机数与本地存储的随机数明文进行比较,得到验证结果;
    其中,移动设备和安全认证设备采用相同或对应的密钥。
  3. 如权利要求2所述的方法,其特征在于,安全认证设备与移动设备之间进行蓝牙配对或者两者之间建立连接的过程中协商生成所述对称密钥。
  4. 如权利要求1所述的方法,其特征在于,所述第一数据包括请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书原文和用私钥对所述第一数据进行签名得到的签名结果;
    所述移动设备对所述第二数据进行处理,得到验证结果包括:
    移动设备根据存储在本地的根公钥验证所述设备数字证书;
    移动设备从所述数字证书中提取公钥,并用所述公钥验证所述签名结果。
  5. 如权利要求4所述的方法,其特征在于,所述第一数据中还包括第三数据,所述第三数据是一个随机数明文或者是一个时间戳。
  6. 如权利要求1所述的方法,其特征在于,在所述移动设备发送第一数据至安全认证设备之前,所述方法还包括:
    移动设备与安全认证设备进行绑定,在绑定的同时,请求安全认证设备对移动设备的用户身份进行验证。
  7. 一种支付验证的方法,其特征在于,所述方法包括:
    安全认证设备接收移动设备发送的第一数据;
    安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备,由移动设备对所述第二数据进行处理,得到验证结果。
  8. 如权利要求7所述的方法,其特征在于,所述第一数据是随机数明文,所述第二数据是随机数密文,所述安全认证设备对所述第一数据进行处理包括:
    安全认证设备加密所述随机数明文,生成所述随机数密文;
    安全认证设备发送所述随机数密文至移动设备。
  9. 如权利要求7所述的方法,其特征在于,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述安全认证设备对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备包括:
    获取预置的设备数字证书和私钥;
    用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名,生成签名结果;
    发送所述设备数字证书和所述签名结果至移动设备。
  10. 如权利要求7所述的方法,其特征在于,在所述安全认证设备接收移动设备发送的第一数据之前,所述方法还包括:
    安全认证设备与移动设备进行绑定,在绑定的同时,对移动设备的用户身份进行验证。
  11. 一种移动设备,其特征在于,所述移动设备包括:
    数据发送模块,用于发送第一数据至安全认证设备;
    数据接收模块,用于接收安全认证设备发送的第二数据,所述第二数据是安全认证设备对所述第一数据或者对所述第一数据和设备数字证书进行处理生成的;
    数据处理模块,用于对所述第二数据进行处理,得到验证结果。
  12. 如权利要求11所述的移动设备,其特征在于,所述第一数据是随机数明文,所述第二数据是随机数密文,所述随机数密文是安全认证设备对所述随机数明文进行加密生成的,所述数据处理模块包括:
    第一数据处理单元,用于用对称密钥或者用由所述对称密钥衍生的密钥加密所述随机数明文,生成本地存储的随机数密文,将所述随机数密文与所述本地存储的随机数密文进行比较,得到验证结果;或者
    第二数据处理单元,用于用对称密钥或者用由所述对称密钥衍生的密钥解密所述随机数密文,并将解密得到的随机数与本地存储的随机数进行比较,得到验证结果;
    其中,移动设备和安全认证设备采用相同或对应的密钥。
  13. 如权利要求11所述的移动设备,其特征在于,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述数据处理模块包括:
    证书验证单元,用于根据存储在本地的根公钥验证所述设备数字证书;
    签名验证单元,用于从所述数字证书中提取公钥,并用所述公钥验证所述签名结果。
  14. 一种安全认证设备,其特征在于,所述安全认证设备包括:
    数据接收模块,用于接收移动设备发送的第一数据;
    数据发送模块,用于对所述第一数据或者对所述第一数据和设备数字证书进行处理,生成第二数据,并发送所述第二数据至移动设备,由移动设备对所述第二数据进行处理,得到验证结果。
  15. 如权利要求14所述的安全认证设备,其特征在于,所述第一数据是随机数明文,所述第二数据是随机数密文,所述数据发送模块包括:
    加密单元,用于加密所述随机数明文,生成所述随机数密文;
    第一发送单元,用于发送所述随机数密文至移动设备。
  16. 如权利要求14所述的安全认证设备,其特征在于,所述第一数据是请求安全认证设备提供设备数字证书的指令,所述第二数据包括设备数字证书和用私钥对所述第一数据进行签名得到的签名结果,所述数据发送模块包括:
    获取单元,用于获取预置的设备数字证书和私钥;
    签名单元,用于用所述私钥对所述请求安全认证设备提供设备数字证书的指令进行签名,生成签名结果;
    第二发送单元,用于发送所述设备数字证书和所述签名结果至移动设备。
  17. 如权利要求14所述的安全认证设备,其特征在于,所述安全认证设备还包括:
    绑定模块,用于与移动设备进行绑定,在绑定的同时,对移动设备的用户身份进行验证。
  18. 一种支付验证的系统,其特征在于,所述系统包括如权利要求11至13所述的移动设备和如权利要求14至17所述的安全认证设备。
  19. 一种设备,所述移动设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6所述支付验证方法的步骤或权利要求7-10所述支付验证方法的步骤。
  20. 一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述支付验证方法,或7-10任一项所述支付验证方法的步骤。
PCT/CN2018/081369 2017-06-26 2018-03-30 支付验证的方法、系统及移动设备和安全认证设备 WO2019001061A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201710495709.7A CN107358441B (zh) 2017-06-26 2017-06-26 支付验证的方法、系统及移动设备和安全认证设备
CN201710495709.7 2017-06-26

Publications (1)

Publication Number Publication Date
WO2019001061A1 true WO2019001061A1 (zh) 2019-01-03

Family

ID=60272503

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2018/081369 WO2019001061A1 (zh) 2017-06-26 2018-03-30 支付验证的方法、系统及移动设备和安全认证设备

Country Status (2)

Country Link
CN (1) CN107358441B (zh)
WO (1) WO2019001061A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112036883A (zh) * 2020-08-31 2020-12-04 深圳市兆珑科技有限公司 一种安全设备
CN112468304A (zh) * 2020-11-27 2021-03-09 湖南赛吉智慧城市建设管理有限公司 数据加密方法、装置、计算机设备及存储介质
CN114022259A (zh) * 2021-11-11 2022-02-08 陕西华春网络科技股份有限公司 一种基于公钥指定和身份验证的招标方法和装置
CN114036490A (zh) * 2021-11-15 2022-02-11 公安部交通管理科学研究所 外挂软件接口调用安全认证方法、USBKey驱动装置及认证系统
CN117376035A (zh) * 2023-12-08 2024-01-09 中汽智联技术有限公司 一种车辆数据的传输方法、系统、设备及存储介质

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107358441B (zh) * 2017-06-26 2020-12-18 北京明华联盟科技有限公司 支付验证的方法、系统及移动设备和安全认证设备
CN107766961A (zh) * 2017-11-28 2018-03-06 携程计算机技术(上海)有限公司 Ota网站的酒店订单处理方法及系统
CN109345245B (zh) * 2018-09-25 2020-11-03 全链通有限公司 基于区块链的短信验证方法、设备、网络及存储介质
CN109636393A (zh) * 2018-12-28 2019-04-16 易票联支付有限公司 一种加油支付数据的处理系统及方法
CN111080845B (zh) * 2019-10-29 2022-04-01 深圳市汇顶科技股份有限公司 临时解锁方法、系统、门锁、管理员终端和可读存储介质
CN111510214B (zh) * 2020-04-23 2021-11-12 京东方科技集团股份有限公司 光通信设备、光通信系统及通信连接建立方法
CN114648333A (zh) * 2020-12-21 2022-06-21 花瓣云科技有限公司 一种身份验证方法、装置及系统
CN112887409B (zh) * 2021-01-27 2022-05-17 珠海格力电器股份有限公司 一种数据处理系统、方法、装置、设备和存储介质
CN112910887A (zh) * 2021-01-29 2021-06-04 中国电力科学研究院有限公司 一种对锁具测试设备的身份进行验证的方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102831519A (zh) * 2012-07-27 2012-12-19 郑州信大捷安信息技术股份有限公司 面向苹果移动设备的安全智能密码系统及其网银交易方法
CN103685211A (zh) * 2012-09-26 2014-03-26 凤凰云科技(北京)有限公司 移动终端外挂安全支付认证装置、系统及认证方法
CN105721413A (zh) * 2015-09-08 2016-06-29 腾讯科技(深圳)有限公司 业务处理方法及装置
CN107358441A (zh) * 2017-06-26 2017-11-17 北京明华联盟科技有限公司 支付验证的方法、系统及移动设备和安全认证设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101420687B (zh) * 2007-10-24 2010-07-14 中兴通讯股份有限公司 一种基于移动终端支付的身份验证方法
CN103729944B (zh) * 2013-03-15 2015-09-30 福建联迪商用设备有限公司 一种安全下载终端主密钥的方法及系统
CN105812134A (zh) * 2014-12-30 2016-07-27 北京握奇智能科技有限公司 一种数字签名方法、数字验签方法、安全认证设备及安全认证装置
CN105162607A (zh) * 2015-10-12 2015-12-16 武汉瑞纳捷电子技术有限公司 一种支付账单凭证的认证方法及系统
CN105939194B (zh) * 2015-11-11 2019-06-25 天地融科技股份有限公司 一种电子密钥设备私钥的备份方法和系统
CN106169993A (zh) * 2016-06-28 2016-11-30 北京华大领创智能科技有限公司 一种安全认证方法、设备以及服务器

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102831519A (zh) * 2012-07-27 2012-12-19 郑州信大捷安信息技术股份有限公司 面向苹果移动设备的安全智能密码系统及其网银交易方法
CN103685211A (zh) * 2012-09-26 2014-03-26 凤凰云科技(北京)有限公司 移动终端外挂安全支付认证装置、系统及认证方法
CN105721413A (zh) * 2015-09-08 2016-06-29 腾讯科技(深圳)有限公司 业务处理方法及装置
CN107358441A (zh) * 2017-06-26 2017-11-17 北京明华联盟科技有限公司 支付验证的方法、系统及移动设备和安全认证设备

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112036883A (zh) * 2020-08-31 2020-12-04 深圳市兆珑科技有限公司 一种安全设备
CN112468304A (zh) * 2020-11-27 2021-03-09 湖南赛吉智慧城市建设管理有限公司 数据加密方法、装置、计算机设备及存储介质
CN112468304B (zh) * 2020-11-27 2024-05-03 湖南赛吉智慧城市建设管理有限公司 数据加密方法、装置、计算机设备及存储介质
CN114022259A (zh) * 2021-11-11 2022-02-08 陕西华春网络科技股份有限公司 一种基于公钥指定和身份验证的招标方法和装置
CN114022259B (zh) * 2021-11-11 2023-08-25 陕西华春网络科技股份有限公司 一种基于公钥指定和身份验证的招标方法和装置
CN114036490A (zh) * 2021-11-15 2022-02-11 公安部交通管理科学研究所 外挂软件接口调用安全认证方法、USBKey驱动装置及认证系统
CN117376035A (zh) * 2023-12-08 2024-01-09 中汽智联技术有限公司 一种车辆数据的传输方法、系统、设备及存储介质
CN117376035B (zh) * 2023-12-08 2024-02-23 中汽智联技术有限公司 一种车辆数据的传输方法、系统、设备及存储介质

Also Published As

Publication number Publication date
CN107358441A (zh) 2017-11-17
CN107358441B (zh) 2020-12-18

Similar Documents

Publication Publication Date Title
WO2019001061A1 (zh) 支付验证的方法、系统及移动设备和安全认证设备
US10666428B2 (en) Efficient methods for protecting identity in authenticated transmissions
CN107210914B (zh) 用于安全凭证供应的方法
CN111756533B (zh) 用于安全密码生成的系统、方法和存储介质
EP3518458B1 (en) Method and device for secure communications over a network using a hardware security engine
CN103546289A (zh) 一种基于USBKey的安全传输数据的方法及系统
CN102801730A (zh) 一种用于通讯及便携设备的信息防护方法及装置
CN112507296B (zh) 一种基于区块链的用户登录验证方法及系统
GB2522445A (en) Secure mobile wireless communications platform
WO2015055120A1 (zh) 用于安全性信息交互的装置
CN114331456A (zh) 一种通信方法、装置、系统以及可读存储介质
WO2019037422A1 (zh) 密钥及密钥句柄的生成方法、系统及智能密钥安全设备
WO2022156585A1 (zh) 支付业务实现的方法和装置
CN113422753B (zh) 数据处理方法、装置、电子设备及计算机存储介质
KR101625036B1 (ko) 보안성 향상을 위한 페어온 플러스(PayOn+) 간편 결제 시스템 및 이를 이용한 간편 결제 방법
CN117714066B (zh) 密钥处理方法、装置及可读存储介质
KR101536594B1 (ko) 보안성 향상을 위한 서비스 사업자 서버를 통한 공인 인증서를 안전하게 사용하는 방법 및 공인 인증서 사용 시스템
CN116033419A (zh) 一种基于外置nfc芯片的手机安全认证方法
JP2004334783A (ja) 電子価値流通システムおよび電子価値流通方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18823756

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18823756

Country of ref document: EP

Kind code of ref document: A1