一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法及支付方法
【專利摘要】本發(fā)明公開了一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法及支付方法�。一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法����,應(yīng)用于主機(jī)卡模擬服務(wù)端���,包括,與智能終端通過雙向認(rèn)證形成共享會(huì)話密鑰��;根據(jù)所述共享會(huì)話密鑰存儲(chǔ)基于主機(jī)卡模擬密鑰�����。本申請中,采用雙向認(rèn)證機(jī)制�,主機(jī)卡模擬服務(wù)端與智能終端雙方均擁有CA證書�,在使用過程成,主機(jī)卡模擬服務(wù)端與智能終端均需要進(jìn)行驗(yàn)證,待驗(yàn)證成功后分別通過主機(jī)卡模擬服務(wù)端�����、智能終端的公鑰和私鑰相互協(xié)商形成共享會(huì)話密鑰,加強(qiáng)了主機(jī)卡模擬服務(wù)端與智能終端使用的安全性,同時(shí)也提高了密鑰存儲(chǔ)的安全性����。
【專利說明】
一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法及支付方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明實(shí)施例涉及一種虛擬支付交易技術(shù)�����,尤其涉及基于主機(jī)卡模擬密鑰的存儲(chǔ) 方法及支付方法��。
【背景技術(shù)】
[0002] 目前Visa、MasterCard����、美國運(yùn)通�����、中國銀聯(lián)等各個(gè)支付組織發(fā)布了基于主機(jī)卡片 模擬技術(shù)的云支付規(guī)范,基于主機(jī)卡模擬云支付規(guī)范旨在借助令牌話技術(shù)(Tokenization) 實(shí)現(xiàn)對各成員金融機(jī)構(gòu)基于主機(jī)卡模擬云支付的托管服務(wù)��,云端通過安全通道機(jī)制發(fā)送令 牌(token)以及與token相關(guān)的多次使用密鑰(limited use key����,簡稱:LUK)密鑰和SUK (single use key-次性使用密鑰)密鑰至客戶端��,通?���?蛻舳司梢苿?dòng)終端形成,鑒于移 動(dòng)終端的使用環(huán)境的安全性不穩(wěn)定����,尤其是基于安卓系統(tǒng)的移動(dòng)終端��,進(jìn)而導(dǎo)致客戶端在 交易過程存在較大的安全風(fēng)向,為了提高支付的安全性,基于主機(jī)卡模擬云支付服務(wù)端采 用了混淆和white box(白盒加密機(jī)制)技術(shù)等實(shí)現(xiàn)對LUK密鑰和SUK密鑰等加密保護(hù)����。但是 white box技術(shù)較復(fù)雜�、成本較高�����,同時(shí)對敏感數(shù)據(jù)的保密級別較低�����。
[0003] 現(xiàn)有技術(shù)提供了一種基于安全元件的主機(jī)卡片模擬技術(shù)的安全系統(tǒng)及方法�,該技 術(shù)方案采用隨機(jī)數(shù)和非對稱加密算法以及擾亂算法保證數(shù)據(jù)傳輸過程的機(jī)密性��,提供對稱 密鑰的MAC(Message Authentication Codes����,消息認(rèn)證碼)算法以及摘要算法維持?jǐn)?shù)據(jù)傳 輸過程的完整性���。
[0004] 但是上述的一種基于安全元件的主機(jī)卡片模擬技術(shù)的安全系統(tǒng)及方法仍存在技 術(shù)缺陷���,支付移動(dòng)終端和主機(jī)卡模擬服務(wù)端之間的采用的認(rèn)證方式為單向認(rèn)證方式的存儲(chǔ) 方式�����,單向認(rèn)證SSL(Secure Sockets Layer安全套接層)協(xié)議不需要雙方均擁有CA (Certification Authority認(rèn)證機(jī)構(gòu))證書,任意用戶(IP被限制除外)均可訪問�����,安全系數(shù) 相對較低����,另外在協(xié)商對稱通話密鑰時(shí)�����,主機(jī)卡模擬服務(wù)端發(fā)送給支付移動(dòng)終端密碼方案 未經(jīng)過加密處理����,其安全性能較低。
【發(fā)明內(nèi)容】
[0005] 針對現(xiàn)有技術(shù)中存在的缺陷���,本申請?zhí)岢鲆环N提高敏感信息存儲(chǔ)安全性的基于主 機(jī)卡模擬密鑰的存儲(chǔ)方法及支付方法�����。
[0006] -方面��,本申請?zhí)峁┮环N基于主機(jī)卡模擬密鑰的存儲(chǔ)方法,其中,應(yīng)用于主機(jī)卡模 擬服務(wù)端�����,包括�,
[0007] 與智能終端通過雙向認(rèn)證形成共享會(huì)話密鑰;
[0008] 根據(jù)所述共享會(huì)話密鑰存儲(chǔ)基于主機(jī)卡模擬密鑰�。
[0009] 優(yōu)選地��,上述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法�,其中���,與智能終端通過雙向 認(rèn)證形成共享會(huì)話密鑰包括:
[0010] 所述主機(jī)卡模擬服務(wù)端發(fā)送一包含有CA公鑰和CA私鑰的SP(Service Provider月艮 務(wù)提供商)證書至所述智能終端��;
[0011] 所述智能終端根據(jù)所述CA公鑰驗(yàn)證所述SP證書�����;
[0012] 于所述SP證書被驗(yàn)證成功后��,所述智能終端讀取一與所述SP證書匹配的SP公鑰, 并返回一驗(yàn)證成功的代碼至所述主機(jī)卡模擬服務(wù)端���;
[0013] 所述主機(jī)卡模擬服務(wù)端生成臨時(shí)服務(wù)公鑰和臨時(shí)服務(wù)私鑰�,并將所述臨時(shí)服務(wù)公 鑰通過雙向認(rèn)證指令發(fā)送至所述智能終端�;
[0014] 所述智能終端生成臨時(shí)存儲(chǔ)私鑰和臨時(shí)存儲(chǔ)公鑰���,
[0015] 所述智能終端根據(jù)所述SP公鑰和臨時(shí)服務(wù)私鑰計(jì)算形成第一共享密鑰�;
[0016] 根據(jù)所述臨時(shí)服務(wù)公鑰和臨時(shí)存儲(chǔ)私鑰計(jì)算形成第二共享密鑰�����;
[0017] 所述智能終端根據(jù)第一共享密鑰和第二共享密鑰形成所述共享會(huì)話密鑰�����,
[0018] 所述智能終端計(jì)算回執(zhí)登記�,并將所述回執(zhí)登記和所述臨時(shí)存儲(chǔ)公鑰發(fā)送至所述 主機(jī)卡模擬服務(wù)端�。
[0019] 優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法���,其中��,根據(jù)所述共享會(huì)話密 鑰存儲(chǔ)基于主機(jī)卡模擬密鑰包括,
[0020] 所述主機(jī)卡模擬服務(wù)端根據(jù)一 SP私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述第一共 享密鑰��,根據(jù)所述臨時(shí)服務(wù)私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述第二共享密鑰���;
[0021] 根據(jù)所述第一共享密鑰和所述第二共享密鑰計(jì)算形成所述共享會(huì)話密鑰,并驗(yàn)證 所述回執(zhí)登記��;
[0022] 于所述回執(zhí)登記被驗(yàn)證成功后,根據(jù)所述共享會(huì)話密鑰存儲(chǔ)所述基于主機(jī)卡模擬 密鑰。
[0023] 優(yōu)選地���,上述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法����,其中����,所述主機(jī)卡模擬服務(wù) 端通過APDU指令發(fā)送所述SP證書至所述智能終端�。
[0024]優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法���,其中,于所述SP證書未被驗(yàn) 證成功狀態(tài)下,所述智能終端返回一驗(yàn)證失敗代碼至所述主機(jī)卡模擬服務(wù)端�����。
[0025]優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法��,其中,所述基于主機(jī)卡模擬 密鑰包括對稱密鑰和非對稱密鑰。
[0026]另一方面�,本申請?zhí)峁┮环N上述任一所存儲(chǔ)的基于主機(jī)卡模擬密鑰的支付驗(yàn)證方 法,其中,
[0027] 于接收一支付請求狀態(tài)下�����,主機(jī)卡模擬服務(wù)端生成第一加密參數(shù),通過執(zhí)行安全 操作單元的APDU指令將所述第一加密參數(shù)發(fā)送至所述智能終端���;
[0028] 所述智能終端生成第二加密參數(shù),并結(jié)合所述第一加密參數(shù)形成共享會(huì)話密鑰�, 并執(zhí)行加密操作形成一登記回執(zhí)�;返回所述第三加密參數(shù)、所述登記回執(zhí)至所述主機(jī)卡模 擬服務(wù)端��;
[0029] 所述主機(jī)卡模擬服務(wù)端根據(jù)所述第三加密參數(shù)計(jì)算形成所述共享會(huì)話密鑰����,根據(jù) 共享會(huì)話密鑰解密驗(yàn)證所述登記回執(zhí);
[0030] 于所述登記回執(zhí)驗(yàn)證成功后執(zhí)行所述支付請求。
[0031] 優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的支付方法,其中,所述主機(jī)卡模擬服務(wù) 端生成所述第一加密參數(shù)����,通過執(zhí)行安全操作單元的APDU指令將所述第一加密參數(shù)發(fā)送至 所述智能終端,其中所述第一加密參數(shù)包括一臨時(shí)服務(wù)公鑰和一臨時(shí)服務(wù)私鑰、加密數(shù)據(jù); 具體包括,
[0032]所述主機(jī)卡模擬服務(wù)端生成所述臨時(shí)服務(wù)公鑰和所述臨時(shí)服務(wù)私鑰���,并將所述臨 時(shí)服務(wù)公鑰結(jié)合所述加密數(shù)據(jù)發(fā)送至所述智能終端�����。
[0033]優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的支付方法���,其中,所述智能終端生成所 述第二加密參數(shù),并結(jié)合所述第一加密參數(shù)形成共享會(huì)話密鑰�����、執(zhí)行加密操作形成所述登 記回執(zhí);并返回所述第三加密參數(shù)、所述登記回執(zhí)至所述主機(jī)卡模擬服務(wù)端;其中第二加密 參數(shù)包括臨時(shí)存儲(chǔ)公鑰�����、臨時(shí)存儲(chǔ)私鑰���,具體包括:
[0034] 所述智能終端生成所述臨時(shí)存儲(chǔ)公鑰和所述臨時(shí)存儲(chǔ)私鑰,根據(jù)所述臨時(shí)服務(wù)公 鑰、所述臨時(shí)存儲(chǔ)私鑰計(jì)算形成所述共享會(huì)話密鑰�;
[0035] 所述智能終端根據(jù)所述加密數(shù)據(jù)執(zhí)行加密安全操作形成一加密信息,并根據(jù)所述 加密信息結(jié)合所述共享會(huì)話密鑰形成一存儲(chǔ)密文��、所述回執(zhí)登記;
[0036]所述智能終端將所述第三加密參數(shù)���、所述回執(zhí)登記發(fā)送至所述主機(jī)卡模擬服務(wù) 端;所述第三加密參數(shù)包括所述臨時(shí)存儲(chǔ)公鑰�����、所述存儲(chǔ)密文��。
[0037] 優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的支付方法,其中�,所述主機(jī)卡模擬服務(wù) 端根據(jù)所述第三加密參數(shù)計(jì)算形成所述共享會(huì)話密鑰,根據(jù)共享會(huì)話密鑰解密驗(yàn)證所述登 記回執(zhí);包括,
[0038] 所述主機(jī)卡模擬服務(wù)端根據(jù)所述臨時(shí)存儲(chǔ)公鑰����、所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述 共享會(huì)話密鑰���,
[0039] 根據(jù)所述共享會(huì)話密鑰解密所述存儲(chǔ)密文獲得所述加密信息;
[0040] 根據(jù)所述加密信息驗(yàn)證所述回執(zhí)登記�,于所述回執(zhí)登記驗(yàn)證成功后執(zhí)行所述支付 請求����。
[0041] 優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的支付方法�,其中�,于所述支付請求完成 后���,刪除與所述支付請求匹配的所述加密信息�����。
[0042] 優(yōu)選地,上述的一種基于主機(jī)卡模擬密鑰的支付方法�,其中�,所述加密數(shù)據(jù)包括加 密基本數(shù)據(jù)��、密鑰驗(yàn)證號及密鑰類型��。
[0043] 優(yōu)選地�,上述的一種基于主機(jī)卡模擬密鑰的支付方法��,其中,所述加密信息為一次 性支付交易密鑰。
[0044] 本申請中,通過采用雙向認(rèn)證制度存儲(chǔ)主機(jī)卡模擬密鑰��,所述基于主機(jī)卡模擬存 儲(chǔ)單元根據(jù)所述SP公鑰和臨時(shí)服務(wù)私鑰計(jì)算形成第一共享密鑰;根據(jù)基于主機(jī)卡模擬存儲(chǔ) 單元服務(wù)公鑰和臨時(shí)存儲(chǔ)私鑰計(jì)算形成第二共享密鑰;根據(jù)第一共享密鑰和第二共享密鑰 形成所述共享會(huì)話密鑰����,所述主機(jī)卡模擬服務(wù)端根據(jù)一 SP私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形 成所述第一共享密鑰�,根據(jù)所述臨時(shí)服務(wù)私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成第二共享密 鑰;根據(jù)所述第一共享密鑰和所述第二共享密鑰計(jì)算形成所述共享會(huì)話密鑰�����,所述基于主 機(jī)卡模擬存儲(chǔ)單元和所述主機(jī)卡模擬服務(wù)端分別計(jì)算形成共享會(huì)話密鑰,并實(shí)行雙向認(rèn)證 制度�����,提高了密鑰���、或敏感信息存儲(chǔ)的安全性���。
【附圖說明】
[0045] 圖1為本發(fā)明中一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法的流程圖;
[0046] 圖2為本發(fā)明中一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法的流程圖;
[0047] 圖3為本發(fā)明中一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法的流程圖��;
[0048] 圖4是本發(fā)明中一種基于主機(jī)卡模擬密鑰的支付方法的流程圖���;
[0049] 圖5是本發(fā)明中一種基于主機(jī)卡模擬密鑰的支付方法的流程圖��;
[0050] 圖6是本發(fā)明中一種基于主機(jī)卡模擬密鑰的支付方法的流程圖�����。
【具體實(shí)施方式】
[0051] 下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步的詳細(xì)說明。可以理解的是����,此處所描 述的具體實(shí)施例僅僅用于解釋本發(fā)明,而非對本發(fā)明的限定��。另外還需要說明的是����,為了便 于描述,附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部結(jié)構(gòu)�����。
[0052] 實(shí)施例一
[0053] 圖1為本發(fā)明實(shí)施例一提供的基于主機(jī)卡模擬密鑰的存儲(chǔ)方法的流程圖����,本實(shí)施 例可適用于虛擬支付的密鑰存儲(chǔ)���,該方法可以由主機(jī)卡模擬服務(wù)端支付來執(zhí)行��,具體包括 如下步驟:
[0054]步驟S11�����、主機(jī)卡模擬服務(wù)端與智能終端通過雙向認(rèn)證形成共享會(huì)話密鑰;進(jìn)一步 地���,所述智能終端可由基于主機(jī)卡模擬存儲(chǔ)單元形成。
[0055]步驟S12、根據(jù)所述共享會(huì)話密鑰存儲(chǔ)基于主機(jī)卡模擬密鑰��。
[0056]采用雙向認(rèn)證機(jī)制,主機(jī)卡模擬服務(wù)端與智能終端雙方均擁有CA證書���,在使用過 程成�����,主機(jī)卡模擬服務(wù)端與智能終端均需要進(jìn)行驗(yàn)證���,待驗(yàn)證成功后分別通過主機(jī)卡模擬 服務(wù)端、智能終端的公鑰和私鑰相互協(xié)商形成共享會(huì)話密鑰,加強(qiáng)了主機(jī)卡模擬服務(wù)端與 智能終端使用的安全性,同時(shí)也提高了密鑰存儲(chǔ)的安全性�����。
[0057]如圖2所示��,作為進(jìn)一步優(yōu)選實(shí)施方案,于步驟S11����、主機(jī)卡模擬服務(wù)端與智能終端 雙向認(rèn)證并協(xié)商形成共享會(huì)話密鑰中����;具體包括:
[0058]步驟S110���、所述主機(jī)卡模擬服務(wù)端發(fā)送一包含有CA公鑰和CA私鑰的SP證書至所述 基于主機(jī)卡模擬存儲(chǔ)單元;
[0059] 其中���,SP證書為主機(jī)卡模擬服務(wù)端的證書���,本實(shí)施例中�����,SP證書為經(jīng)CA簽名的SP證 書,CA簽名包括CA公鑰與CA私鑰�。進(jìn)一步地����,所述主機(jī)卡模擬服務(wù)端通過AroU(Application Protocol data unit,是智能卡與智能卡讀卡器之間傳送的信息單元)指令發(fā)送SP證書至 所述基于主機(jī)卡模擬存儲(chǔ)單元�����,APDU(Application Protocol data unit智能卡與智能卡 讀卡器之間傳送的信息單元)由主機(jī)卡模擬服務(wù)端的PS0(Perform Security Operation執(zhí) 行安全操作)單元形成。
[0060] 步驟SI 11���、所述基于主機(jī)卡模擬存儲(chǔ)單元根據(jù)所述CA公鑰驗(yàn)證所述SP證書;根據(jù) X. 509國際標(biāo)準(zhǔn)規(guī)定���,基于主機(jī)卡模擬存儲(chǔ)單元通過對CA公鑰對SP證書上的簽字進(jìn)行驗(yàn)證, 一旦簽字認(rèn)證通過�,則判定SP證書為有效的���。
[0061] 步驟S112、于所述SP證書被驗(yàn)證成功后�,所述基于主機(jī)卡模擬存儲(chǔ)單元讀取一與 所述SP證書匹配的SP公鑰��,并返回一驗(yàn)證成功的代碼至所述主機(jī)卡模擬服務(wù)端;進(jìn)一步地�����, 驗(yàn)證成功的代碼可為0x9000����。反之則可判定為驗(yàn)證失敗���。
[0062] 步驟S113��、所述主機(jī)卡模擬服務(wù)端生成臨時(shí)服務(wù)公鑰和臨時(shí)服務(wù)私鑰,并將所述 臨時(shí)服務(wù)公鑰通過雙向認(rèn)證指令發(fā)送至所述基于主機(jī)卡模擬存儲(chǔ)單元;
[0063] 步驟S114���、所述基于主機(jī)卡模擬存儲(chǔ)單元生成臨時(shí)存儲(chǔ)私鑰和臨時(shí)存儲(chǔ)公鑰����; [0064]步驟S115、所述基于主機(jī)卡模擬存儲(chǔ)單元根據(jù)所述SP公鑰和臨時(shí)服務(wù)私鑰計(jì)算形 成第一共享密鑰�����;
[0065] 步驟S116、根據(jù)基于主機(jī)卡模擬存儲(chǔ)單元服務(wù)公鑰和臨時(shí)存儲(chǔ)私鑰計(jì)算形成第二 共享密鑰��;
[0066] 步驟S117���、所述基于主機(jī)卡模擬存儲(chǔ)單元根據(jù)第一共享密鑰和第二共享密鑰形成 所述共享會(huì)話密鑰���,
[0067] 步驟S118�����、所述基于主機(jī)卡模擬存儲(chǔ)單元計(jì)算回執(zhí)登記�����,并將所述回執(zhí)登記和所 述臨時(shí)存儲(chǔ)公鑰發(fā)送至所述主機(jī)卡模擬服務(wù)端�。
[0068] 如圖3所示�,作為進(jìn)一步優(yōu)選實(shí)施方案����,于步驟S12根據(jù)所述共享會(huì)話密鑰存儲(chǔ)基 于主機(jī)卡模擬密鑰中��,具體包括:
[0069] 步驟S121����、所述主機(jī)卡模擬服務(wù)端根據(jù)一 SP私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所 述第一共享密鑰��,根據(jù)所述臨時(shí)服務(wù)私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成第二共享密鑰;
[0070] 步驟S122���、根據(jù)所述第一共享密鑰和所述第二共享密鑰計(jì)算形成所述共享會(huì)話密 鑰���,并驗(yàn)證所述回執(zhí)登記��;
[0071] 步驟S123��、于所述回執(zhí)登記被驗(yàn)證成功后���,根據(jù)所述共享會(huì)話密鑰存儲(chǔ)所述基于 主機(jī)卡模擬密鑰�����。
[0072] 本申請中��,所述基于主機(jī)卡模擬存儲(chǔ)單元根據(jù)所述SP公鑰和臨時(shí)服務(wù)私鑰計(jì)算形 成第一共享密鑰;根據(jù)基于主機(jī)卡模擬存儲(chǔ)單元服務(wù)公鑰和臨時(shí)存儲(chǔ)私鑰計(jì)算形成第二共 享密鑰;根據(jù)第一共享密鑰和第二共享密鑰形成所述共享會(huì)話密鑰,所述主機(jī)卡模擬服務(wù) 端根據(jù)SP私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述第一共享密鑰,根據(jù)所述臨時(shí)服務(wù)私鑰和 所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成第二共享密鑰;根據(jù)所述第一共享密鑰和所述第二共享密鑰計(jì) 算形成所述共享會(huì)話密鑰���,所述基于主機(jī)卡模擬存儲(chǔ)單元和所述主機(jī)卡模擬服務(wù)端分別計(jì) 算形成共享會(huì)話密鑰,并實(shí)行雙向認(rèn)證制度,提高了密鑰、或敏感信息存儲(chǔ)的安全性����。
[0073] 進(jìn)一步地���,于上述的基于主機(jī)卡模擬密鑰的存儲(chǔ)方法,其中所述基于主機(jī)卡模擬 密鑰包括對稱密鑰和非對稱密鑰���。當(dāng)基于主機(jī)卡模擬密鑰為對稱密鑰時(shí)����,主機(jī)卡模擬服務(wù) 端與基于主機(jī)卡模擬存儲(chǔ)單元雙方必須使用相同的密鑰進(jìn)行加密或解密運(yùn)算,當(dāng)基于主機(jī) 卡模擬密鑰為非對稱密鑰時(shí)���,主機(jī)卡模擬服務(wù)端與基于主機(jī)卡模擬存儲(chǔ)單元雙方必須使用 相同的密鑰進(jìn)行加密或解密運(yùn)算�����,主機(jī)卡模擬服務(wù)端與基于主機(jī)卡模擬存儲(chǔ)單元采用不同 的密鑰進(jìn)行加密或解密運(yùn)算�。
[0074]以非對稱密鑰為例����,在基于主機(jī)卡模擬存儲(chǔ)單元中,每個(gè)AID可存放多條的SUK密 鑰,始終更新存放1條LUK和非對稱私鑰�,其具體存儲(chǔ)格式如表1下:
[0076]表 1
[0077] 其中�����,密鑰標(biāo)識為0x00,表示該密鑰為LUK密鑰,當(dāng)密鑰標(biāo)準(zhǔn)為0x01為SUK密鑰���。 [0078] 基于主機(jī)卡模擬AID RIX為A000000003表示為Visa國際支付組織�����,基于主機(jī)卡模 擬AID RIX為A000000004表示為Mastercard國際支付組織�����,基于主機(jī)卡模擬AID RIX為 A000000025表示為美國運(yùn)通支付組織��,當(dāng)基于主機(jī)卡模擬AID RIX為A000000333表示為中 國銀聯(lián)支付組織。
[0079] 通過讀取不同的基于主機(jī)卡模擬AID RIX,可支持Visa MasterCard美國運(yùn)通和中 國銀聯(lián)等多個(gè)支付組織基于主機(jī)卡模擬云支付規(guī)范�。兼容性強(qiáng)。
[0080] 基于主機(jī)卡模擬AID PIX作為基于主機(jī)卡模擬獨(dú)一標(biāo)識一個(gè)運(yùn)用����,通常由了應(yīng)用 提供商標(biāo)識、擴(kuò)展的專用應(yīng)用標(biāo)識符兩部分組成�。
[0081 ] 實(shí)施例二
[0082]圖4為本發(fā)明實(shí)施例二提供的基于主機(jī)卡模擬密鑰的支付方法的流程圖����,本實(shí)施 例可適用于虛擬支付,包括主機(jī)卡模擬服務(wù)端和智能終端��,該方法可以由主機(jī)卡模擬服務(wù) 端支付來執(zhí)行,具體包括如下步驟:
[0083]步驟S21�、于接收一支付請求狀態(tài)下�����,主機(jī)卡模擬服務(wù)端生成第一加密參數(shù)通過執(zhí) 行安全操作單元的APDU指令發(fā)送至所述智能終端;其中所述第一加密參數(shù)包括一臨時(shí)服務(wù) 公鑰和一臨時(shí)服務(wù)私鑰、加密數(shù)據(jù);具體地,所述主機(jī)卡模擬服務(wù)端生成所述臨時(shí)服務(wù)公鑰 和所述臨時(shí)服務(wù)私鑰�,并將所述臨時(shí)服務(wù)公鑰結(jié)合所述加密數(shù)據(jù)發(fā)送至所述智能終端����。進(jìn) 一步地,所述加密數(shù)據(jù)包括加密基本數(shù)據(jù)、密鑰驗(yàn)證號及密鑰類型���。
[0084] 步驟S22、所述智能終端生成第二加密參數(shù)����,并結(jié)合所述第一加密參數(shù)形成共享會(huì) 話密鑰、執(zhí)行加密操作形成一登記回執(zhí);并返回所述第三加密參數(shù);其中第二加密參數(shù)包括 臨時(shí)存儲(chǔ)公鑰、臨時(shí)存儲(chǔ)私鑰�����;
[0085] 步驟S23、所述主機(jī)卡模擬服務(wù)端根據(jù)所述第三加密參數(shù)計(jì)算形成所述共享會(huì)話 密鑰���,根據(jù)共享會(huì)話密鑰解密驗(yàn)證所述登記回執(zhí)����;
[0086]步驟S24、于所述登記回執(zhí)驗(yàn)證成功后執(zhí)行所述支付請求。
[0087] 步驟S25�、于所述支付請求完成后����,刪除與所述支付請求匹配的所述加密信息。
[0088] 本申請中���,在加密過程中�,所述基于主機(jī)卡模擬存儲(chǔ)單元根據(jù)所述SP公鑰和臨時(shí) 服務(wù)私鑰計(jì)算形成第一共享密鑰;根據(jù)基于主機(jī)卡模擬存儲(chǔ)單元服務(wù)公鑰和臨時(shí)存儲(chǔ)私鑰 計(jì)算形成第二共享密鑰;根據(jù)第一共享密鑰和第二共享密鑰形成所述共享會(huì)話密鑰���,在解 密過程中����,所述主機(jī)卡模擬服務(wù)端根據(jù)一SP私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述第一共 享密鑰�,根據(jù)所述臨時(shí)服務(wù)私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成第二共享密鑰;根據(jù)所述第 一共享密鑰和所述第二共享密鑰計(jì)算形成所述共享會(huì)話密鑰,根據(jù)該共享會(huì)話密鑰實(shí)現(xiàn)支 付交易�。所述基于主機(jī)卡模擬存儲(chǔ)單元和所述主機(jī)卡模擬服務(wù)端分別計(jì)算形成共享會(huì)話密 鑰�,并實(shí)行雙向認(rèn)證制度�����,提高了交易的安全性。
[0089] 如圖5所示����,作為進(jìn)一步優(yōu)選實(shí)施方案�����,于步驟S22所述智能終端生成第二加密參 數(shù),并結(jié)合所述第一加密參數(shù)形成共享會(huì)話密鑰、執(zhí)行加密操作形成一登記回執(zhí);并返回所 述第三加密參數(shù);其中第二加密參數(shù)包括臨時(shí)存儲(chǔ)公鑰��、臨時(shí)存儲(chǔ)私鑰,具體包括:
[0090] 步驟S221�����、所述智能終端生成所述臨時(shí)存儲(chǔ)公鑰和所述臨時(shí)存儲(chǔ)私鑰���,根據(jù)所述 臨時(shí)服務(wù)公鑰�、所述臨時(shí)存儲(chǔ)私鑰計(jì)算形成所述共享會(huì)話密鑰;
[0091]步驟S222��、所述智能終端根據(jù)所述加密數(shù)據(jù)執(zhí)行加密安全操作形成一加密信息�, 并根據(jù)所述加密信息結(jié)合所述共享會(huì)話密鑰形成一存儲(chǔ)密文�、所述回執(zhí)登記�;
[0092]步驟S223�、所述智能終端將所述第三加密參數(shù)發(fā)送至所述主機(jī)卡模擬服務(wù)端;所 述第三加密參數(shù)包括所述臨時(shí)存儲(chǔ)公鑰、所述存儲(chǔ)密文、所述回執(zhí)登記。
[0093] 如圖6所示�����,作為進(jìn)一步優(yōu)選實(shí)施方案����,于步驟S23所述主機(jī)卡模擬服務(wù)端根據(jù)所 述第三加密參數(shù)計(jì)算形成所述共享會(huì)話密鑰���,根據(jù)共享會(huì)話密鑰解密驗(yàn)證所述登記回執(zhí) 中��;具體包括��,
[0094] 步驟S231���、所述主機(jī)卡模擬服務(wù)端根據(jù)所述臨時(shí)存儲(chǔ)公鑰、所述臨時(shí)存儲(chǔ)公鑰計(jì) 算形成所述共享會(huì)話密鑰,
[0095] 步驟S232����、根據(jù)所述共享會(huì)話密鑰解密所述存儲(chǔ)密文獲得所述加密信息����;
[0096] 步驟S233�����、根據(jù)所述加密信息驗(yàn)證所述回執(zhí)登記�,于所述回執(zhí)登記驗(yàn)證成功后執(zhí) 行所述支付請求。
[0097] 進(jìn)一步地�,所述加密信息為一次性支付交易密鑰�����。采用完全正向保密(perfect forward secrecy)機(jī)制���,要求一個(gè)密鑰只能訪問由它所保護(hù)的敏感數(shù)據(jù)����;用來產(chǎn)生密鑰的 加密信息一次一換�����,不能再產(chǎn)生其他的密鑰���;一個(gè)密鑰被破解���,并不影響其他密鑰的安全 性�。在長期使用密鑰不能確保起安全性的情況下而不影響過去會(huì)話的保密性���。
[0098] 雖然本發(fā)明的各個(gè)方面在獨(dú)立權(quán)利要求中給出�����,但是本發(fā)明的其它方面包括來自 所描述實(shí)施方式的特征和/或具有獨(dú)立權(quán)利要求的特征的從屬權(quán)利要求的組合���,而并非僅 是權(quán)利要求中所明確給出的組合���。
[0099] 這里所要注意的是�,雖然以上描述了本發(fā)明的示例實(shí)施方式,但是這些描述并不 應(yīng)當(dāng)以限制的含義進(jìn)行理解。相反���,可以進(jìn)行若干種變化和修改而并不背離如所附權(quán)利要 求中所限定的本發(fā)明的范圍���。
[0100] 注意����,上述僅為本發(fā)明的較佳實(shí)施例及所運(yùn)用技術(shù)原理。本領(lǐng)域技術(shù)人員會(huì)理解��, 本發(fā)明不限于這里所述的特定實(shí)施例���,對本領(lǐng)域技術(shù)人員來說能夠進(jìn)行各種明顯的變化����、 重新調(diào)整和替代而不會(huì)脫離本發(fā)明的保護(hù)范圍��。因此����,雖然通過以上實(shí)施例對本發(fā)明進(jìn)行 了較為詳細(xì)的說明����,但是本發(fā)明不僅僅限于以上實(shí)施例���,在不脫離本發(fā)明構(gòu)思的情況下,還 可以包括更多其他等效實(shí)施例�,而本發(fā)明的范圍由所附的權(quán)利要求范圍決定。
【主權(quán)項(xiàng)】
1. 一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法,其特征在于����,應(yīng)用于主機(jī)卡模擬服務(wù)端�,包 括����, 與智能終端通過雙向認(rèn)證形成共享會(huì)話密鑰�����; 根據(jù)所述共享會(huì)話密鑰存儲(chǔ)基于主機(jī)卡模擬密鑰�����。2. 根據(jù)權(quán)利要求1所述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法��,其特征在于,與智能終 端通過雙向認(rèn)證形成共享會(huì)話密鑰包括: 所述主機(jī)卡模擬服務(wù)端發(fā)送一包含有CA公鑰和CA私鑰的SP證書至所述智能終端; 所述智能終端根據(jù)所述CA公鑰驗(yàn)證所述SP證書���; 于所述SP證書被驗(yàn)證成功后����,所述智能終端讀取一與所述SP證書匹配的SP公鑰���,并返 回一驗(yàn)證成功的代碼至所述主機(jī)卡模擬服務(wù)端����; 所述主機(jī)卡模擬服務(wù)端生成臨時(shí)服務(wù)公鑰和臨時(shí)服務(wù)私鑰��,并將所述臨時(shí)服務(wù)公鑰通 過雙向認(rèn)證指令發(fā)送至所述智能終端��; 所述智能終端生成臨時(shí)存儲(chǔ)私鑰和臨時(shí)存儲(chǔ)公鑰����, 所述智能終端根據(jù)所述SP公鑰和臨時(shí)服務(wù)私鑰計(jì)算形成第一共享密鑰���; 根據(jù)所述臨時(shí)服務(wù)公鑰和臨時(shí)存儲(chǔ)私鑰計(jì)算形成第二共享密鑰; 所述智能終端根據(jù)第一共享密鑰和第二共享密鑰形成所述共享會(huì)話密鑰�, 所述智能終端計(jì)算回執(zhí)登記,并將所述回執(zhí)登記和所述臨時(shí)存儲(chǔ)公鑰發(fā)送至所述主機(jī) 卡模擬服務(wù)端。3. 根據(jù)權(quán)利要求2所述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法,其特征在于�,根據(jù)所述 共享會(huì)話密鑰存儲(chǔ)基于主機(jī)卡模擬密鑰包括���, 所述主機(jī)卡模擬服務(wù)端根據(jù)一 SP私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述第一共享密 鑰,根據(jù)所述臨時(shí)服務(wù)私鑰和所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述第二共享密鑰���; 根據(jù)所述第一共享密鑰和所述第二共享密鑰計(jì)算形成所述共享會(huì)話密鑰���,并驗(yàn)證所述 回執(zhí)登記�; 于所述回執(zhí)登記被驗(yàn)證成功后,根據(jù)所述共享會(huì)話密鑰存儲(chǔ)所述基于主機(jī)卡模擬密 鑰����。4. 根據(jù)權(quán)利要求2所述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法,其特征在于�,所述主機(jī) 卡模擬服務(wù)端通過APDU指令發(fā)送所述SP證書至所述智能終端�����。5. 根據(jù)權(quán)利要求2所述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法,其特征在于,于所述SP 證書未被驗(yàn)證成功狀態(tài)下��,所述智能終端返回一驗(yàn)證失敗代碼至所述主機(jī)卡模擬服務(wù)端。6. 根據(jù)權(quán)利要求1所述的一種基于主機(jī)卡模擬密鑰的存儲(chǔ)方法�,其特征在于,所述基于 主機(jī)卡模擬密鑰包括對稱密鑰和非對稱密鑰。7. -種基于權(quán)利要求1-6任一所存儲(chǔ)的基于主機(jī)卡模擬密鑰的支付驗(yàn)證方法���,其特征 在于����, 于接收一支付請求狀態(tài)下���,主機(jī)卡模擬服務(wù)端生成第一加密參數(shù)���,通過執(zhí)行安全操作 單元的APDU指令將所述第一加密參數(shù)發(fā)送至所述智能終端���; 所述智能終端生成第二加密參數(shù)���,并結(jié)合所述第一加密參數(shù)形成共享會(huì)話密鑰�����,并執(zhí) 行加密操作形成一登記回執(zhí)�;返回所述第三加密參數(shù)、所述登記回執(zhí)至所述主機(jī)卡模擬服 務(wù)端���; 所述主機(jī)卡模擬服務(wù)端根據(jù)所述第三加密參數(shù)計(jì)算形成所述共享會(huì)話密鑰,根據(jù)共享 會(huì)話密鑰解密驗(yàn)證所述登記回執(zhí)��; 于所述登記回執(zhí)驗(yàn)證成功后執(zhí)行所述支付請求�����。8. 根據(jù)權(quán)利要求7所述的一種基于主機(jī)卡模擬密鑰的支付方法�,其特征在于����,所述主機(jī) 卡模擬服務(wù)端生成所述第一加密參數(shù)���,通過執(zhí)行安全操作單元的APDU指令將所述第一加密 參數(shù)發(fā)送至所述智能終端����,其中所述第一加密參數(shù)包括一臨時(shí)服務(wù)公鑰和一臨時(shí)服務(wù)私 鑰��、加密數(shù)據(jù);具體包括��, 所述主機(jī)卡模擬服務(wù)端生成所述臨時(shí)服務(wù)公鑰和所述臨時(shí)服務(wù)私鑰�,并將所述臨時(shí)服 務(wù)公鑰結(jié)合所述加密數(shù)據(jù)發(fā)送至所述智能終端。9. 根據(jù)權(quán)利要求8所述的一種基于主機(jī)卡模擬密鑰的支付方法��,其特征在于,所述智能 終端生成所述第二加密參數(shù)�����,并結(jié)合所述第一加密參數(shù)形成共享會(huì)話密鑰、執(zhí)行加密操作 形成所述登記回執(zhí);并返回所述第三加密參數(shù)、所述登記回執(zhí)至所述主機(jī)卡模擬服務(wù)端;其 中第二加密參數(shù)包括臨時(shí)存儲(chǔ)公鑰����、臨時(shí)存儲(chǔ)私鑰���,具體包括: 所述智能終端生成所述臨時(shí)存儲(chǔ)公鑰和所述臨時(shí)存儲(chǔ)私鑰����,根據(jù)所述臨時(shí)服務(wù)公鑰�����、 所述臨時(shí)存儲(chǔ)私鑰計(jì)算形成所述共享會(huì)話密鑰��; 所述智能終端根據(jù)所述加密數(shù)據(jù)執(zhí)行加密安全操作形成一加密信息,并根據(jù)所述加密 信息結(jié)合所述共享會(huì)話密鑰形成一存儲(chǔ)密文��、所述回執(zhí)登記�; 所述智能終端將所述第三加密參數(shù)、所述回執(zhí)登記發(fā)送至所述主機(jī)卡模擬服務(wù)端;所 述第三加密參數(shù)包括所述臨時(shí)存儲(chǔ)公鑰�����、所述存儲(chǔ)密文����。10. 根據(jù)權(quán)利要求9所述的一種基于主機(jī)卡模擬密鑰的支付方法,其特征在于�,所述主 機(jī)卡模擬服務(wù)端根據(jù)所述第三加密參數(shù)計(jì)算形成所述共享會(huì)話密鑰,根據(jù)共享會(huì)話密鑰解 密驗(yàn)證所述登記回執(zhí);包括���, 所述主機(jī)卡模擬服務(wù)端根據(jù)所述臨時(shí)存儲(chǔ)公鑰�����、所述臨時(shí)存儲(chǔ)公鑰計(jì)算形成所述共享 會(huì)話密鑰�, 根據(jù)所述共享會(huì)話密鑰解密所述存儲(chǔ)密文獲得所述加密信息��; 根據(jù)所述加密信息驗(yàn)證所述回執(zhí)登記�,于所述回執(zhí)登記驗(yàn)證成功后執(zhí)行所述支付請 求����。11. 根據(jù)權(quán)利要求7所述的一種基于主機(jī)卡模擬密鑰的支付方法�����,其特征在于����,于所述 支付請求完成后,刪除與所述支付請求匹配的所述加密信息�。12. 根據(jù)權(quán)利要求8所述的一種基于主機(jī)卡模擬密鑰的支付方法�����,其特征在于,所述加 密數(shù)據(jù)包括加密基本數(shù)據(jù)��、密鑰驗(yàn)證號及密鑰類型。13. 根據(jù)權(quán)利要求9所述的一種基于主機(jī)卡模擬密鑰的支付方法���,其特征在于���,所述加 密信息為一次性支付交易密鑰��。
【文檔編號】H04L9/08GK105959109SQ201610486021
【公開日】2016年9月21日
【申請日】2016年6月28日
【發(fā)明人】徐海光
【申請人】來誼金融信息科技(上海)股份有限公司