本发明专利技术公开了一种数字签名认证方法和包含该方法的支付方法及系统,业务服务器向客户终端发送交易确认请求;客户终端接收到所述交易确认请求后,形成交易确认数据,然后使用数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器将交易确认数据发送到业务服务器,通过WAP网站将签名数据发送到业务服务器;业务服务器接收到交易确认数据和签名数据后,进行验证,如果证明交易确认数据合法,交易服务器进行后续的交易处理;如果证明不合法,交易服务器通过向客户终端反馈错误或其它说明。本发明专利技术的技术方案中采用两条通信链路分开发送签名数据和确认数据,既能不受各种手机短信内容大小的限制,而且被恶意修改的可能性更小。
【技术实现步骤摘要】
本专利技术涉及移动支付领域,尤其涉及一种移动支付系统中的数字签名认证方法及包含该方法的支付方法及系统。
技术介绍
随着金融业务的快速发展,人们生活中需要支付各种费用,或者接受费用的支付,常用的方式是通过银行柜面办理或者通过网上银行办理,到银行柜台办理需要耗费用户很多时间,而且由于工作的原因,用户往往没有时间去银行缴费。通过网上银行缴费,则确实给用户带来了很大的方便,但是由于上互联网只能有网络的地方才能使用,而且在公共网吧的计算机上使用也极不安全,因此,用户不方便上网时无法使用网上银行进行支付。手机上网通常采用登陆WAP网站的方式进行,WAP网页基本上是明文传输,无法做 到安全传输,WAP网站无法直接调用硬件,做到类似USBKey型的数字签名,所以,传统意义上的WAP网页在使用过程中,只能使用用户标识加密码的方式确认用户身份,该模式下,用户名和密码由于是明文传播,通信通道极不安全,无法做到对信息的加密保护,也不能禁止攻击者的窃听和篡改及用户的恶意抵赖。随着手机网络速度的不断提高和智能手机应用的普及,使用手机上网的应用需求日益強烈,移动支付技术的发展和应用也应运而生,例如公开号为CN101072384A、专利技术名称一种基于手机银行的手机支付方法和系统以及公开号为CN101730023A,专利技术名称短信支付的方法和系统的中国专利文献中均记载了手机银行的支付方案。为了防止抵赖,专利技术名称为利用短信息进行身份认证的方法、公开号为CN101742504A的中国专利文献记载了在移动支付中进行数字签名的认证方案,但是该方案没有考虑到数字签名是由要签名的数据及签名两部分组成,签名是把要签名的数据经哈希(例如MD5、SHAl ),再把哈希结果经加密算法加密而成。通常,哈希的结果至少占用16字节以上,为安全起见,签名所用的RSA加密算法密钥应使用1024位,所以加密结果至少为1024位,既128字节。此外,中国电信C M P P协议定义一条短信最多发送140个字节,所以要签名的数据最多只能有12个字节(140-128)。因此,使用一条短信不能实现移动支付中进行数字签名的需求。
技术实现思路
本专利技术的目的就是提供ー种数字签名认证方法及包含该方法的支付方法及系统,对手机兼容性強,而且更加安全,防止抵赖。本专利技术提供一种移动支付系统中的数字签名认证方法,该系统包括客户终端及业务服务器,具体如下步骤步骤I、业务服务器4通过WAP网站2或者短信服务器3向客户终端I发送交易确认请求;步骤2、客户终端I接收到所述交易确认请求后,将用户输入的确认信息和其它数据一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器3将所述交易确认数据发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4 ; 步骤3、业务服务器4接收到所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果ー致,则说明合法,进入步骤4 ;如果不一致,说明交易确认数据不合法,进入步骤5 ; 步骤4、交易服务器4进行后续的交易处理,完毕后通过WAP网站2或短信服务器3向客户终端I发送交易结果; 步骤5、交易服务器4通过WAP网站2或短信服务器3向客户终端I反馈错误或其它说明。作为另ー个优选方案,所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包,然后对所述加密的确认数据包进行签名获得签名数据,所述步骤3中业务服务器4接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明·合法,进入所述步骤4;如果不一致,说明交易确认数据不合法,进入所述步骤5。作为又ー个优选方案,所述步骤2中,通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/或通过WAP网站2将所述签名数据发送到所述业务服务器4之前,将数据进行加密。本专利技术还提供ー种包含上述数字签名认证方法的移动支付方法,在所述步骤I之前还包括如下步骤 步骤A、客户终端I通过WAP网站2向业务服务器4发送交易请求;所述交易请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态ロ令OTP ; 步骤B、业务服务器4根据本地存储的所述客户对应的动态ロ令种子,计算动态ロ令,与接收到的动态动态ロ令进行比较判断客户的合法性,如果合法,将该动态ロ令作为下次动态ロ令运算的种子,通过WAP网站2向客户终端I发送业务页面,进入步骤C ;如果不合法,进入步骤5 ; 步骤C、客户进行业务操作,完毕后客户终端I通过WAP网站2或短信服务器3向交易服务器4发送业务操作数据。作为另ー种移动支付的替代方案,在所述步骤I之前包括如下步骤 步骤A、客户终端I通过WAP网站2向业务服务器4发送交易请求; 步骤B、业务服务器4通过WAP网站2向客户终端推送验证页面; 步骤C、客户点击索取验证码菜单按钮,客户终端I通过WAP网站2向业务服务器4发送验证码索取请求; 步骤D、业务服务器4生成一个随机数作为验证码,通过短信服务器(3)向客户终端I发送; 步骤E、客户在验证页面上输入接收到的验证码并确认,客户终端I通过WAP网站2向交易服务器4发送验证码; 步骤F、业务服务器4收到验证码后,比较是否与步骤D生成的验证码一致,如果一致,验证通过,则通过WAP网站向客户终端发送业务操作页面,进入步骤G ;否则通过WAP网站2向客户终端I反馈错误页面通知验证码错误,转到步骤D ;步骤G、客户终端I接收到该业务操作页面,客户在业务操作页面上进行业务操作,确认后,客户终端I将业务操作数据发送到业务服务器4。本专利技术还提供一种移动支付系统,包括 客户终端,接收业务服务器4通过WAP网站2或者短信服务器3发送的交易确认请求,将用户输入的确认信息和其它数据一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器3将所述交易确认数据发送到所述业务服务器4,通过WAP网站2将所述签名数据发送到所述业务服务器4 ;业务服务器4,通过WAP网站2或者短信服务器3向客户终端I发送交易确认请求,接收到客户终端发送的所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进行后续的交易处理,完毕后通过WAP网站2或短信服务器3向客户终端I发送交易结果;如果不一致,说明交易确认数据不合法,交易服务器4通过WAP网站2或短信服务器3向客户终端I反馈错误或其它说明。 作为另ー优选支付系统方案,客户终端将所述交易确认数据进行签名之前先进行加密形成确认数据包,然后再对所述加密的确认数据包进行签名获得签名数据,业务服务器4接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法;如果不一致,说明交易确认数据不合法。作为又ー优选支付系统方案,通过短信服务器3将所述交易确认数据发送到所述业务服务器4和/本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种移动支付系统中的数字签名认证方法,该系统包括客户终端及业务服务器,具体如下步骤 步骤I、业务服务器(4 )通过WAP网站(2 )或者短信服务器(3 )向客户终端(I)发送交易确认请求; 步骤2、客户终端(I)接收到所述交易确认请求后,将用户输入的确认信息和其它数据一起形成交易确认数据,然后使用内部存储的数字证书对所述交易确认数据进行数字签名,获得签名数据;并通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4),通过WAP网站(2)将所述签名数据发送到所述业务服务器(4); 步骤3、业务服务器(4)接收到所述交易确认数据和签名数据后,对所述交易确认数据用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入步骤4 ;如果不一致,说明交易确认数据不合法,进入步骤5 ; 步骤4、交易服务器(4)进行后续的交易处理,完毕后通过WAP网站(2)或短信服务器(3)向客户终端(I)发送交易结果; 步骤5、交易服务器(4 )通过WAP网站(2 )或短信服务器(3 )向客户终端(I)反馈错误或其它说明。2.根据权利要求I所述的ー种移动支付系统中的数字签名认证方法,其特征在于,所述步骤2中客户终端将所述交易确认数据进行签名之前进行加密形成确认数据包,然后对所述加密的确认数据包进行签名获得签名数据,所述步骤3中业务服务器(4)接收到所述确认数据包和签名数据后,对所述确认数据包用HASH函数生成摘要,并将该摘要与用公钥解密所述签名数据获得的摘要进行对比,如果一致,则说明合法,进入所述步骤4 ;如果不一致,说明交易确认数据不合法,进入所述步骤5。3.根据权利要求I所述的ー种移动支付系统中的数字签名认证方法,其特征在干, 所述步骤2中,通过短信服务器(3)将所述交易确认数据发送到所述业务服务器(4)和/或通过WAP网站(2)将所述签名数据发送到所述业务服务器(4)之前,将数据进行加密。4.ー种包含权利要求I至3中任一项所述数字签名认证方法的移动支付方法,其特征在于, 在所述步骤I之前还包括如下步骤 步骤A、客户终端(I)通过WAP网站(2)向业务服务器(4)发送交易请求;所述交易请求中至少包括业务类型、客户ID和用于验证客户终端合法性的动态ロ令OTP ; 步骤B、业务服务器(4)根据本地存储的所述客户对应的动态ロ令种子,计算动态ロ令,与接收到的动态动态ロ令进行比较判断客户的合法性,如果合法,将该动态ロ令作为下次动态ロ令运算的种子,通过WAP网站(2)向客户终端(I)发送业务页面,进入步骤C ;如果不合法,进入步骤5 ; 步骤C、客户进行业务操作,完毕后客户终端(I)通过WAP网站(2)或短信服务器(3)向交易服务器(4)发送业务操作数据。5.ー种包含权利要求I至3中任一项所述数字签名认证方法的移动支付方法,其特征在于,在所述步骤I之前还包括如下步骤 步骤A、客户终端(I)通过WAP网站(2)向业务服务器(4)发送交易请求; 步骤B、业务服务器(4)通过WAP网站(2)向客户终端推送验证页面;步骤C、客户点击索取验证码菜单按钮,客户终端(I)通过WAP网站(2)向业务服务器(4)发送验证码索取请求; 步骤D、业务服务器(4)生成一个随机数作为验证码,通过短信服务器(3)向客户终端(I)发送; 步骤E、客户在验证页面上输入接收到的验证码并确认,客户终端(I)通过WAP网站(2)向交易服务器(4)发送验证码; 步骤F、业务服务器(4)收到验证码后,比较是否与步骤D生成的验证码一致,如果ー致,验证通过,则通过WAP网站向客户终端发送业务操作页面,进入步骤G ;否则通过WAP网站(2)向客...
【专利技术属性】
技术研发人员:邹勇,
申请(专利权)人:同方股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。