本发明专利技术公开了一种用于移动支付的量子安全U盾设备及方法,通过在U盾中内置量子随机数芯片生成量子密钥,与银行的业务终端设备进行交互。该量子密钥可作为与银行业务数据通信加密的密钥,也可作为用户身份验证的密钥,并且可以在线更新。所述量子安全U盾设备的密钥来源为量子随机数芯片,是植根于量子力学原理的真随机数,无法被第三方通过计算得到,用其加密可提高移动支付安全,且所述设备中没有存储芯片,不保存密钥数据,丢失后不会泄密。本发明专利技术在提升安全性的同时,还可以节省身份验证成本,提高支付效率。提高支付效率。提高支付效率。
【技术实现步骤摘要】
一种用于移动支付的量子安全U盾设备及方法
[0001]本专利技术涉及一种用于移动支付的量子安全U盾设备及方法,尤其是用于手机银行的量子加密支付。
技术介绍
[0002]随着智能手机的普及,移动支付(手机银行)已经成为各网络银行的主要使用方式。由于手机银行每天存在大量且高频的现金交易,因此对数据安全的需求是最高级别。目前手机银行对用户的身份验证主要采取密码、图片验证码、短信验证码、人脸识别、手机U盾、密码器等方式,存在安全性低、成本高、数据量大的问题。
[0003]本专利技术公开了一种用于移动支付的量子安全U盾设备及方法,通过在U盾中内置量子随机数芯片生成量子密钥,与银行的业务终端设备进行交互。该量子密钥可作为与银行业务数据通信加密的密钥,也可作为用户身份验证的密钥,并且可以在线更新。所述量子安全U盾设备的密钥来源为量子随机数芯片,是植根于量子力学原理的真随机数,无法被第三方通过计算得到,用其加密可提高移动支付安全,且所述设备中没有存储芯片,不保存密钥数据,丢失后不会泄密。本专利技术在提升安全性的同时,还可以节省身份验证成本,提高支付效率。
技术实现思路
[0004]本专利技术为一种用于移动支付的量子安全U盾设备及方法,设备中设置量子随机数芯片,与主控芯片连接,主控芯片连接USB驱动芯片,通过USB接口与外部设备交互。设备中没有存储芯片,不保存密钥数据,保证丢失后不泄密。
[0005]所述设备的加密算法可采用常用的对称加密算法,具体如下:
[0006]首先生成系统密钥,系统密钥为多组,每组长度128bit,由银行营业厅业务终端从所述设备的量子随机数芯片获取,并直接写在所述设备的主控芯片固化代码中,外界不可提取(无法复制固化代码)。银行营业厅业务终端存有每个所述设备的系统密钥。系统密钥更新:所述设备在银行营业厅插入业务终端,由业务终端重新从所述设备的量子随机数芯片获取量子密钥,并直接写在所述设备的主控芯片固化代码中,覆盖掉固化代码中上一个版本的系统密钥。系统密钥更新后,上一个版本的工作密钥全部作废,需要重新生成。
[0007]工作密钥的组数和系统密钥一致,每组长度128bit,由主控芯片从量子随机数芯片获取,并通过系统密钥一个比特对一个比特的XOR(异或)或者XNOR(同或)加密后,储存在移动支付设备的存储器中。加密后的工作密钥发送到银行服务器,经过银行业务终端的系统密钥解密后保存使用。工作密钥更新:由移动设备网银客户端发送指令给所述设备的主控芯片,主控芯片从量子随机数芯片获取新的工作密钥,经过系统密钥加密后发送给移动设备,存储为新的工作密钥版本。
[0008]银行服务器通过内网从银行业务终端获取所述设备对应的系统密钥和工作密钥。当用户在移动支付设备上插入安全U盾时,银行服务器先计算其存储的工作密钥(系统密钥
加密后)的哈希值,同时移动支付设备计算其存储的工作密钥的哈希值,并发送给银行服务器做比对,如果一致,则完成第一重身份验证。
[0009]随后银行服务器再计算其存储的系统密钥的哈希值,同时所述设备的主控芯片计算其系统密钥的哈希值,并发送给移动支付设备。移动支付设备再发送给银行服务器做比对,如果一致,则第二重身份验证通过,可启动业务数据的加密通信。
[0010]所述设备每次使用时,工作密钥和业务数据都通过USB口先发送给所述设备的主控芯片,工作密钥的解密和对业务数据的加密都在主控芯片中进行,加密后的业务数据发送回移动设备,并由网银客户端通过移动通信网络发送到银行服务器。银行服务器通过相应的逆算法解密。
[0011]本专利技术的有益效果为,通过产生高质量的量子随机数密钥,提升了移动支付的安全性和效率,同时节约了银行的短信验证码等成本,避免人脸识别带来的个人隐私信息泄露。
附图说明
[0012]图1为量子安全U盾设备系统结构;
[0013]图2为量子安全U盾设备对称密钥模式加密流程;
[0014]图3为量子安全U盾设备非对称密钥模式加密流程。
具体实施方式
[0015]在移动设备上,量子密钥由银行的APP管理。加密通信、身份验证、密钥在线更新等功能也由银行的APP完成。即可将量子加密通信软件的功能做成SDK,由银行的APP前端直接调用。
[0016]所述设备的业务加密算法可采用常用的对称加密算法,如
技术实现思路
中所述,工作密钥用来加密业务数据,系统密钥用来在线远程更新工作密钥,两者都由U盾中的量子随机数生成,并且位于U盾中的系统密钥和位于移动支付设备(智能手机)中的工作密钥可实现双重身份认证;用户更换手机时,可以通过插入U盾重新生成工作密钥,并通过U盾中固化的系统密钥与银行服务器在线远程更新。如果遇到用户手机丢失的情况,用户需要第一时间挂失手机银行,银行服务器即停止该用户的系统密钥和工作密钥使用权限。待网点重新办理手机银行时再重新分发系统密钥和工作密钥。
[0017]所述设备的业务加密算法也可以采用现有的非对称加密算法,如椭圆曲线密码学算法。椭圆曲线密码学为使用最广泛的非对称加密算法之一,其原理如下:
[0018]1、椭圆曲线方程:y2=ax3+bx+c,其中a、b、c三个参数可以任意设置。比特币采用的椭圆曲线方程为:y2=x3+7。
[0019]2、椭圆曲线密码:K=G
·
k,其中G为椭圆曲线上的起始点;K为公钥,即从G发出的直线在椭圆曲线上多次反射后的最终交点;k为私钥,即反射次数。椭圆曲线密码的安全性来自于已知G和K,难以计算出k,对经典计算机来说几乎是不可完成的任务,但容易被量子计算机破解。
[0020]3、交换公钥:Alice将椭圆曲线方程参数、起始点G、公钥K发送给Bob。
[0021]4、加密通信:Bob产生随机数R,计算出两组密文:E=R
·
K+D,F=R
·
G,其中D为加
密前的明文。Bob将E和F发送给Alice。
[0022]5、私钥解密:Alice收到E和F后,通过私钥k计算出明文D,计算过程为:
[0023]E
‑
F
·
k=R
·
K+D
‑
R
·
G
·
k=D。
[0024]目前的非对称加密算法存在如下问题:
[0025]1、如果Alice端产生的私钥随机性不好,例如通过简单种子和伪随机数算法生成,则容易被第三方猜到种子和穷举伪随机数算法得到私钥。私钥的丢失意味着数据安全降为0。
[0026]2、如果Bob端产生的随机数R质量不好,例如伪随机数算法只有少数几种,第三方可以通过穷举可能的种子和主要的伪随机数算法得到R。由于密文E和公钥K都是公开的,第三方如果获得R,就可以绕开复杂的椭圆曲线密码,直接得到明文:D=E
‑
RK,因此随机数质量决定了椭圆曲线密码的安全性。
[0027]本专利技术通过量子随机数芯片产生的真随机数,可以为椭圆曲线密码学提供高本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于移动支付的量子安全U盾设备,其特征在于:设备中设置量子随机数芯片,与主控芯片连接。2.如权利要求1所述的用于移动支付的量子安全U盾设备,其特征在于:所述主控芯片连接USB驱动芯片,通过USB接口与外部设备交互。3.如权利要求1所述的用于移动支付的量子安全U盾设备,其特征在于:所述主控芯片内含有固化的量子随机数作为系统密钥,只能在业务终端通过USB接口更新。4.如权利要求1所述的用于移动支付的量子安全U盾设备,其特征在于:所述设备中没有存储芯片,不保存密钥数据,保证丢失后不泄密。5.一种用于移动支付的量子安全U盾方法,其特征在于:第一步:系统密钥由业务终端从所述设备的量子随机数芯片获取并保存在终端,同时写入所述设备的主控芯片固化代码中,外界不可提取。第二步:所述设备的工作密钥由主控芯片从量子随机数芯片获取,并通过系统密钥进行异或同或加密后,发送到服务器,经过业务终端的系统密钥解密后保存使用。第三步:服务器从业务终端获取所述设备对应的系统密钥和工作密钥。当用户在移动支付设备上插入所述设备时,移动支付设备与服务器上各自存储的工作密钥的哈希值进行比对,如果一致,则完成第一重身份验证。之后服务器再计算其存储的系统密钥的哈希值,同时所述设备的主控芯片计算其系统密钥的哈希值,并发送给移动支付设备。移动支付设备再发送给服务器做比对,如果一致,则第二重身份...
【专利技术属性】
技术研发人员:张文卓,
申请(专利权)人:杭州舜时科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。