本发明专利技术公开了一种CPU卡在线充值加密通信方法,属于网络通信安全领域。本发明专利技术通过定义通讯交互流程分步法,使用不同KEY的密钥流加密机制对客户端与服务器之间的通信逐步进行加密处理,选择3DES和AES算法以嵌套方式对数据包进行加密组装,并对一次完整的充值操作实施会话管理,保证了数据的安全通信,整个通信交互过程的合理加密设计,最终实现了CPU卡在线充值的安全高效。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种CPU卡在线充值加密通信方法,属于网络通信安全领域。本专利技术通过定义通讯交互流程分步法,使用不同KEY的密钥流加密机制对客户端与服务器之间的通信逐步进行加密处理,选择3DES和AES算法以嵌套方式对数据包进行加密组装,并对一次完整的充值操作实施会话管理,保证了数据的安全通信,整个通信交互过程的合理加密设计,最终实现了CPU卡在线充值的安全高效。【专利说明】CPU卡在线充值加密通信方法
本专利技术涉及一种储值卡在线充值加密通信方法,具体讲是一种能够保证网上充值安全的CPU卡在线充值加密通信方法,属于网络通信安全领域。
技术介绍
区别于银行卡的账户管理方式,非接IC卡(CPU卡)依靠卡内存储金额、交易安全的方式,可直接通过刷卡设备完成充值与消费,其中充值在当前环境中多数在专门的充值网点进行,通过读卡器与内部系统加密机服务完成。这种充值方式有以下特点:一是需要建立专线保证系统安全,请求MAC写卡数据;二是读卡器是通用型的,CPU卡由卡片芯片内部处理器保证写卡数据的安全;三是CPU卡请求充值所使用的MAC值,是一次性和有时效性的,不可在多个卡共用或同一卡内混合使用。 卡片充值安全重大,涉及用户的切身利益,但随着用户需求从线下业务向线上业务迁移量的爆发增长,传统的线下充值模式,已无法满足互联网时代的充值需求,需要线上充值等方式的补充,而原CPU卡充值安全是由卡内处理器和加密机共同保障,若要卡片充值操作安全简单,可由系统专线保障,无论是营业厅、代理点、银行,都是在相对安全可信的内部网络内运行,也即卡片、读卡器、加密机皆是受控安全的,充值渠道安全机制被破坏的可能性极小,即使发生充值差错,也可由卡公司与可信合作充值代理单位,进行协商与沟通,将损失弥补,卡公司只需要保证加密机调用过程的封闭和安全即可,卡片内安全由卡厂商负责,代理充值金额差异的账务风险由合作单位负责,整个充值体系是安全有效的。 当充值转向网上的在线充值方式时,原有的安全体制发生了变化,互联网的复杂环境,要求将充值安全性放在第一位,操作不允许存在安全风险,这种在线充值将面临着以下几个问题:一是由于原读卡器均采用通用型,其安全系数较低,无法适应互联网中复杂的安全环境;二是在沿用传统卡片的充值请求机制不变情况下,充值数据安全得不到有效的保证,需要对数据实施加密通信;三是由于互联网中安全环境异常复杂,传统的加密算法随时面临被破解的威胁,需要对数据采用更加安全的加密措施;四是加密机服务的调用范围、过程要受限。
技术实现思路
本专利技术所要解决的技术问题在于克服现有技术缺陷,提供一种安全高效的CPU卡在线充值加密通信方法。 为了解决上述技术问题,本专利技术提供的CPU卡在线充值加密通信方法,包括以下步骤:1)、客户端页面触发充值操作请求,发至读卡器OCX控件;2)、读卡器OCX控件接受用户请求,初始化CPU卡后获得读卡器和CPU卡的原始数据信息,生成KEYO传输密钥; 3)、对步骤2)原始数据进行嵌套式加密,通过KEYO传输密钥向服务器发送一个Https请求并将加密后数据发送至服务端;4)、服务端通过控件密钥检验步骤3)加密数据有效性,通过后产生本次会话当前ID,生成传输密钥流的下一个KEYl传输密钥,对数据重新进行嵌套式加密,通过KEYl传输密钥发送至客户端;5)、客户端读卡器OCX控件检验步骤4)加密数据的有效性,通过后发起读卡指令,获得当前卡内MAC请求数据包并进行嵌套式加密,生成传输密钥流的下一个KEY2传输密钥,利用KEY2传输密钥将加密数据发送至服务端;6)、服务端的控件密钥检验步骤5)加密数据有效性,通过后调用承载加密机服务的TUXEDO中间件服务获得与当前卡片充值操作对应的有效MAC码值并进行嵌套式加密,生成传输密钥流的下一个KEY3传输密钥,通过KEY3传输密钥将加密数据发送至客户端;7)、客户端读卡器OCX控件检验步骤6)加密数据有效性,通过后驱动读卡器写卡完成卡片充值操作,获得充值后卡片内的金额与充值交易序列码,并生成传输密钥流的下一个KEY4传输密钥,利用KEY4传输密钥数据加密后发送服务端;8)、服务端结束会话,并通过控件密钥检验步骤7)加密数据有效性,得到写卡操作结果数据内容并保存,生成传输密钥流的下一个KEY5传输密钥,利用KEY5传输密钥将充值结果数据加密返回至客户端。 本专利技术中,所述嵌套式加密包括AES和3DES加密算法,所述AES算法加密内层原始数据,3DES算法对AES算法加密后内层数据和外层总体进行总组装。 本专利技术中,所述各步骤中检验加密数据有效性具体过程为先利用控件密钥标识进行3DES解密,再利用上一步骤生成的传输密钥进行AES解密并进行MD5校验。 本专利技术中,所述传输密钥生成采用MD5算法。 本专利技术的有益效果在于:(I)、本专利技术利用多个算法对CPU卡在线充值过程实施加密通信,通过密钥流加密数据流,保证卡片、读卡器、加密机在授信的安全环境下合法工作,完成金额充值操作,为CPU卡在线充值提供重要的安全保障;(2)、采用加密通信和混合算法的方式,使客户端控件和服务端、加密机连为整体,可以在复杂互联网环境下有效工作,打破了传统的线下充值模式,开拓了线上自助充值模式,方便了用户使用,打通了线上业务创新渠道。 【专利附图】【附图说明】 图1为本专利技术加密通讯算法的交互流程图;图2为本专利技术加密通讯封装的数据结构图。 【具体实施方式】 下面结合附图对本专利技术作进一步详细说明。 本专利技术的工作构思为:定义通讯交互流程,选择多个加密算法及动态密钥流方式,通过会话管理方式加强卡片、读卡器、加密机之间的业务操作关联,保障卡片在线充值操作的安全性。本专利技术从三个层面开展安全控制:一是对于卡片的适用对象,明确限定为CPU卡,忽略其它低安全级别的老卡片类型,可以避免高低不同安全级别的新老卡片重叠后,降低整体系统安全保障能力;二是选择专门厂商开发的定制读卡器,为每个读卡器内部增加一个硬件设备ID号和散列值密码,硬件生产时将此键值对写入读卡器,密钥算法由厂商按卡公司要求定制,供货读卡器时将键值对记录批量同步导入系统,本专利技术上述键值对采用3DES算法,通信过程中只对客户端设备键值对与服务端库内键值对匹配其合法性,用此种键值对即可在全网唯一识别,开展设备跟踪,同时其上层设备驱动控件采用控件密钥,以便打造出适用于网上的低成本自助设备,控件密钥实质为十六进制编码的64字节二进制数据,分三段:32字节控件密钥标识作为3DES运算密钥,16字节magic固定值作为数据包加密运算元素之一,16字节padding固定值作为校验的组成元素之一,同时控件程序安装时采用代码签名证书,通讯过程采用SSL证书,保证设备、卡、控件程序来源可信;三是在以上硬件基础上,定义通讯交互流程分步法,使用不同KEY的密钥流加密机制,选择3DES和AES算法的嵌套方式对数据包进行加密,并对一次完整充值操作实施会话管理,全程跟踪验证,以此构建多个算法组合下的安全通信过程控制,确保在线充值万无一失。 本专利技术通过设计一种加密通信的方法,形成一套加密算法,保证网上在线充值操作的安全有效,在读卡器、CPU卡片、加密机之间开展授信本文档来自技高网...
【技术保护点】
一种CPU卡在线充值加密通信方法,其特征在于包括以下步骤:1)、客户端页面触发充值操作请求,发至读卡器OCX控件;2)、读卡器OCX控件接受用户请求,初始化CPU卡后获得读卡器和CPU卡的原始数据信息,生成KEY0传输密钥;3)、对步骤2)原始数据进行嵌套式加密,通过KEY0传输密钥向服务器发送一个Https请求并将加密后数据发送至服务端;4)、服务端通过控件密钥检验步骤3)加密数据有效性,通过后产生本次会话当前ID,生成传输密钥流的下一个KEY1传输密钥,对数据重新进行嵌套式加密,通过KEY1传输密钥发送至客户端;5)、客户端读卡器OCX控件检验步骤4)加密数据的有效性,通过后发起读卡指令,获得当前卡内MAC请求数据包并进行嵌套式加密,生成传输密钥流的下一个KEY2传输密钥,利用KEY2传输密钥将加密数据发送至服务端;6)、服务端的控件密钥检验步骤5)加密数据有效性,通过后调用承载加密机服务的TUXEDO中间件服务获得与当前卡片充值操作对应的有效MAC码值并进行嵌套式加密,生成传输密钥流的下一个KEY3传输密钥,通过KEY3传输密钥将加密数据发送至客户端; 7)、客户端读卡器OCX控件检验步骤6)加密数据有效性,通过后驱动读卡器写卡完成卡片充值操作,获得充值后卡片内的金额与充值交易序列码,并生成传输密钥流的下一个KEY4传输密钥,利用KEY4传输密钥数据加密后发送服务端;8)、服务端结束会话,并通过控件密钥检验步骤7)加密数据有效性,得到写卡操作结果数据内容并保存,生成传输密钥流的下一个KEY5传输密钥,利用KEY5传输密钥将充值结果数据加密返回至客户端。...
【技术特征摘要】
【专利技术属性】
技术研发人员:葛海欧,高鹏,王森,杨智敏,路晋平,孙力斌,
申请(专利权)人:南京联创科技集团股份有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。