一種空中發(fā)卡方法及裝置與流程

文檔序號：11775689閱讀：639來源：國知局

本發(fā)明涉及通信技術領域，尤其涉及一種空中發(fā)卡方法及裝置。

背景技術：

銀聯(lián)tsm(trustedservicemanagement，可信服務管理)是基于“一卡多應用”技術建立的一套完整的“空中發(fā)卡”和應用管理體系。通過tsm平臺，發(fā)卡機構可安全、高效地將多張金融智能卡信息集中在手機或ic卡上，既方便用戶攜帶、使用，又便于自身發(fā)卡和管理。tsm是一個創(chuàng)新性的移動支付領域，傳統(tǒng)的tsm空中發(fā)卡流程都是基于載體合作方客戶端，由載體合作方客戶端發(fā)起并在載體合作方客戶端界面完成空中發(fā)卡，通信運營商、手機廠商以及藍牙可穿戴設備廠商等被稱為載體合作方。

具體來說，通過載體合作方進行發(fā)卡申請，有以下流程：

1、用戶通過終端上的載體合作方客戶端輸入銀行卡卡號，終端將銀行卡卡號發(fā)送到載體合作方后臺，再發(fā)送到銀聯(lián)tsm平臺，由銀聯(lián)tsm平臺對該卡號進行銀行卡的bin號校驗。

2、校驗通過后，用戶向終端輸入借貸記要素、手機號等信息，通過載體合作方客戶端發(fā)起空中發(fā)卡申請，申請從終端發(fā)送到載體合作方后臺，再通過銀聯(lián)tsm平臺發(fā)送到發(fā)卡方后臺，發(fā)卡方后臺驗證通過后返回個人化數(shù)據(jù)。

3、用戶通過終端發(fā)起獲取短信驗證碼請求，請求從終端發(fā)送到載體合作方后臺，再通過銀聯(lián)tsm平臺發(fā)送到發(fā)卡方后臺，發(fā)卡方后臺反饋短信驗證碼。

4、終端收到短信驗證碼后，用戶通過終端輸入短信驗證碼，發(fā)起卡片激活請求，激活請求從終端發(fā)送到載體合作方后臺，再通過銀聯(lián)tsm平臺發(fā)送到發(fā)卡方后臺，發(fā)卡方后臺收到驗證通過后將卡片激活，并進行反饋。

上述空中發(fā)卡業(yè)務的時間較長，過程過于復雜，需要用戶執(zhí)行的操作步驟較多。

技術實現(xiàn)要素：

本申請?zhí)峁┮环N空中發(fā)卡方法及裝置，用以簡化空中發(fā)卡的操作流程，減少用戶的交互次數(shù)，縮短整個空中發(fā)卡的時間。

本發(fā)明實施例提供的一種空中發(fā)卡方法，包括：

終端根據(jù)第一發(fā)卡申請，向可信服務管理tsm平臺請求獲取驗證信息，所述第一發(fā)卡申請為所述終端通過設置在所述終端上的發(fā)卡方客戶端接收；所述驗證信息包括驗證碼和傳輸公鑰；

所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密，得到第二發(fā)卡申請；所述用戶信息從所述發(fā)卡方客戶端獲取；

所述終端向所述tsm平臺發(fā)送所述第二發(fā)卡申請，所述第二發(fā)卡申請用于使所述tsm平臺使用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密并驗證通過后，將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；

所述終端根據(jù)接收的所述個人化數(shù)據(jù)，將卡片的狀態(tài)設置為激活狀態(tài)。

可選的，所述向tsm平臺請求獲取驗證信息之前，還包括：

所述終端根據(jù)所述第一發(fā)卡申請，獲取所述終端的安全載體中存儲的公鑰證書；

所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密，得到第二發(fā)卡申請，包括：

所述終端使用所述公鑰證書對應的私鑰證書對所述驗證碼進行簽名；

所述終端使用所述傳輸公鑰對所述驗證碼、所述用戶信息、所述公鑰證書和簽名后的所述驗證碼進行加密，得到第二發(fā)卡申請。

可選的，所述終端根據(jù)所述第一發(fā)卡申請，獲取安全載體的公鑰證書，包括：

所述終端上的所述發(fā)卡方客戶端通過所述終端裝載的tsm控件與所述安全載體進行信息傳遞。

可選的，還包括：

所述終端根據(jù)所述第一發(fā)卡申請確定動態(tài)口令otp，所述otp為所述發(fā)卡方客戶端根據(jù)所述第一發(fā)卡申請生成的；

所述終端向所述tsm平臺發(fā)送所述otp，以使所述tsm平臺將所述otp發(fā)送給所述發(fā)卡方后臺進行otp驗證。

一種空中發(fā)卡方法，包括：

tsm平臺根據(jù)終端的請求，向所述終端發(fā)送驗證信息，所述請求為設置在所述終端上的發(fā)卡方客戶端接收到第一發(fā)卡申請后向所述tsm平臺發(fā)送的；所述驗證信息包括驗證碼和傳輸公鑰；

所述tsm平臺接收所述終端發(fā)送的第二發(fā)卡申請，所述第二發(fā)卡申請為所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密而獲得；所述用戶信息為所述發(fā)卡方客戶端預先存儲的；

所述tsm平臺利用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密，并在對所述驗證碼驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；

所述tsm平臺將所述個人化數(shù)據(jù)發(fā)送給所述終端，并在獲取所述終端的激活通知后，將卡片的狀態(tài)設置為激活狀態(tài)。

可選的，所述第二發(fā)卡申請還包括：

使用所述傳輸公鑰對公鑰證書和簽名后的所述驗證碼進行加密，所述公鑰證書為所述終端根據(jù)所述第一發(fā)卡申請從所述終端的安全載體中獲取的；所述簽名后的所述驗證碼為所述終端使用所述公鑰證書對應的私鑰證書對所述驗證碼進行簽名；

所述在驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺，包括：

所述tsm平臺利用所述公鑰證書對解密后的驗證碼進行驗簽，并在驗證通過后將所述用戶信息、所述公鑰證書、所述驗證碼以及所述簽名后的所述驗證碼發(fā)送給所述發(fā)卡方后臺。

可選的，還包括：

所述tsm平臺接收所述終端發(fā)送的otp，并將所述otp發(fā)送給所述發(fā)卡方后臺進行otp驗證。

一種空中發(fā)卡裝置，包括：

第一收發(fā)模塊，用于根據(jù)第一發(fā)卡申請，向可信服務管理tsm平臺請求獲取驗證信息，所述第一發(fā)卡申請為所述終端通過設置在所述終端上的發(fā)卡方客戶端接收；所述驗證信息包括驗證碼和傳輸公鑰；

加密模塊，用于使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密，得到第二發(fā)卡申請；所述用戶信息為所述發(fā)卡方客戶端預先存儲的；

所述第一收發(fā)模塊，還用于向所述tsm平臺發(fā)送所述第二發(fā)卡申請，所述第二發(fā)卡申請用于使所述tsm平臺使用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密并驗證通過后，將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；

第一激活模塊，用于根據(jù)接收的所述個人化數(shù)據(jù)，將卡片的狀態(tài)設置為激活狀態(tài)。

可選的，還包括獲取模塊，用于：

根據(jù)所述第一發(fā)卡申請，獲取所述終端的安全載體中存儲的公鑰證書；

所述加密模塊，用于：

使用所述公鑰證書對應的私鑰證書對所述驗證碼進行簽名；

使用所述傳輸公鑰對所述驗證碼、所述用戶信息、所述公鑰證書和簽名后的所述驗證碼進行加密，得到第二發(fā)卡申請。

可選的，所述獲取模塊，還用于：

根據(jù)所述第一發(fā)卡申請確定動態(tài)口令otp，所述otp為所述發(fā)卡方客戶端根據(jù)所述第一發(fā)卡申請生成的；

所述第一收發(fā)模塊，還用于向所述tsm平臺發(fā)送所述otp，以使所述tsm平臺將所述otp發(fā)送給所述發(fā)卡方后臺進行otp驗證。

一種空中發(fā)卡裝置，包括：

第二收發(fā)模塊，用于根據(jù)終端的請求，向所述終端發(fā)送驗證信息，所述請求為設置在所述終端上的發(fā)卡方客戶端接收到第一發(fā)卡申請后向所述tsm平臺發(fā)送的；所述驗證信息包括驗證碼和傳輸公鑰；

所述第二收發(fā)模塊，還用于接收所述終端發(fā)送的第二發(fā)卡申請，所述第二發(fā)卡申請為所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密而獲得；所述用戶信息從所述發(fā)卡方客戶端獲??；

解密模塊，用于利用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密；

驗證模塊，用于對所述驗證碼進行驗證；

所述第二收發(fā)模塊，還用于在對所述驗證碼驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；

所述第二收發(fā)模塊，還用于將所述個人化數(shù)據(jù)發(fā)送給所述終端；

第二激活模塊，用于獲取所述終端的激活通知后，將卡片的狀態(tài)設置為激活狀態(tài)。

可選的，所述第二發(fā)卡申請還包括：

所述驗證模塊，用于利用所述公鑰證書對解密后的驗證碼進行驗簽；

所述第二收發(fā)模塊，還用于在驗證通過后將所述用戶信息、所述公鑰證書、所述驗證碼以及所述簽名后的所述驗證碼發(fā)送給所述發(fā)卡方后臺。

可選的，所述第二收發(fā)模塊，還用于：

接收所述終端發(fā)送的otp，并將所述otp發(fā)送給所述發(fā)卡方后臺進行otp驗證。

一種計算設備，包括：

存儲器，用于存儲程序指令；

處理器，用于調用所述存儲器中存儲的程序指令，按照獲得的程序執(zhí)行：根據(jù)第一發(fā)卡申請，向可信服務管理tsm平臺請求獲取驗證信息，所述第一發(fā)卡申請為所述終端通過設置在所述終端上的發(fā)卡方客戶端接收；所述驗證信息包括驗證碼和傳輸公鑰；使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密，得到第二發(fā)卡申請；所述用戶信息從所述發(fā)卡方客戶端獲取；向所述tsm平臺發(fā)送所述第二發(fā)卡申請，所述第二發(fā)卡申請用于使所述tsm平臺使用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密并驗證通過后，將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；根據(jù)接收的所述個人化數(shù)據(jù)，將卡片的狀態(tài)設置為激活狀態(tài)。

一種計算設備，包括：

存儲器，用于存儲程序指令；

處理器，用于調用所述存儲器中存儲的程序指令，按照獲得的程序執(zhí)行：根據(jù)終端的請求，向所述終端發(fā)送驗證信息，所述請求為設置在所述終端上的發(fā)卡方客戶端接收到第一發(fā)卡申請后向所述tsm平臺發(fā)送的；所述驗證信息包括驗證碼和傳輸公鑰；接收所述終端發(fā)送的第二發(fā)卡申請，所述第二發(fā)卡申請為所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密而獲得；所述用戶信息為所述發(fā)卡方客戶端預先存儲的；利用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密，并在對所述驗證碼驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；將所述個人化數(shù)據(jù)發(fā)送給所述終端，并在獲取所述終端的激活通知后，將卡片的狀態(tài)設置為激活狀態(tài)。

本發(fā)明實施例中，終端上設置有發(fā)卡方客戶端，用戶通過發(fā)卡方客戶端向終端發(fā)出第一發(fā)卡申請，終端根據(jù)第一發(fā)卡申請，向tsm平臺請求獲取驗證信息，該驗證信息包括驗證碼和傳輸公鑰。終端獲取到驗證信息后，使用傳輸公鑰對驗證碼和用戶信息進行加密，從而得到第二發(fā)卡申請，用戶信息從發(fā)卡方客戶端中獲取，終端可以根據(jù)第一發(fā)卡申請直接調用預先存儲的用戶信息，而無需用戶重新輸入。終端將第二發(fā)卡申請發(fā)送給tsm平臺，tsm平臺利用與傳輸公鑰對應的傳輸私鑰對第二發(fā)卡申請進行解密，并對解密后得到的驗證碼進行驗證，在驗證通過后，將用戶信息發(fā)送給發(fā)卡方后臺。發(fā)卡方后臺對用戶信息進行驗證從而核實用戶的身份，在驗證通過后，反饋個人化數(shù)據(jù)。終端根據(jù)接收的個人化數(shù)據(jù)，將卡片的狀態(tài)設置為激活狀態(tài)，從而完成空中發(fā)卡。本發(fā)明實施例中，用戶通過終端上設置的發(fā)卡方客戶端發(fā)出發(fā)卡申請，相較于現(xiàn)有技術，發(fā)卡申請直接從終端傳輸?shù)姐y聯(lián)tsm平臺，跳過了載體合作方客戶端以及載體合作方后臺，且通過傳輸公鑰加密保障申請的安全性，無需再執(zhí)行短信激活和驗證的步驟，優(yōu)化了空中發(fā)卡的流程，減少了終端與后臺之間的交互次數(shù)，縮短了整個空中發(fā)卡過程的時間。此外，用戶通過發(fā)卡方客戶端進行空中發(fā)卡申請后，由于發(fā)卡方客戶端可以直接調用預先存儲的用戶信息，因此，相較于現(xiàn)有技術，本發(fā)明實施例無需用戶再重新輸入用戶信息，進一步簡化了用戶的操作過程，縮短了空中發(fā)卡的時間。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡要介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域的普通技術人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例適用的一種系統(tǒng)架構示意圖；

圖2為本發(fā)明實施例提供的一種空中發(fā)卡方法的流程示意圖；

圖3為本發(fā)明具體實施例中一種空中發(fā)卡方法的流程示意圖；

圖4為本發(fā)明實施例提供的一種空中發(fā)卡裝置的結構示意圖；

圖5為本發(fā)明實施例提供的另一種空中發(fā)卡裝置的結構示意圖。

具體實施方式

為了使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，下面將結合附圖對本發(fā)明作進一步地詳細描述，顯然，所描述的實施例僅僅是本發(fā)明一部份實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本發(fā)明保護的范圍。

如圖1所示，本發(fā)明實施例所適用的一種系統(tǒng)架構，包括終端101、tsm服務器102、發(fā)卡方服務器103。其中，tsm服務器102位于銀聯(lián)tsm平臺，發(fā)卡方服務器103位于發(fā)卡銀行后臺。終端101上內置有安全芯片，可以提供nfc(nearfieldcommunication，近距離無線通信技術)功能，終端101上還設置有銀聯(lián)tsm控件以及發(fā)卡方客戶端，發(fā)卡方客戶端為應用程序(application，簡稱app)，用戶通過登錄發(fā)卡方的應用程序發(fā)起空中發(fā)卡申請。銀聯(lián)tsm控件提供發(fā)卡方客戶端的接口，以使終端101可以與tsm服務器102對接。

終端101可以是手機、平板電腦或者是專用的手持設備等具有無線通信功能的電子設備，也可以是個人計算機(personalcomputer，簡稱pc)，筆記本電腦，服務器等有線接入方式連接上網的設備。tsm服務器102和發(fā)卡方服務器103可以是計算機等網絡設備。tsm服務器102或發(fā)卡方服務器103可以是一個獨立的設備，也可以是多個服務器所形成的服務器集群。優(yōu)選地，tsm服務器102和發(fā)卡方服務器103可以采用云計算技術進行信息處理。

終端101與發(fā)卡方服務器103之間連接tsm服務器102，即終端101通過tsm服務器102與發(fā)卡方服務器103通信。終端101可以通過internet網絡與tsm服務器102進行通信，也可以通過全球移動通信系統(tǒng)(globalsystemformobilecommunications，簡稱gsm)、長期演進(longtermevolution，簡稱lte)系統(tǒng)等移動通信系統(tǒng)與tsm服務器102進行通信。tsm服務器102可以通過internet網絡與發(fā)卡方服務器103進行通信，也可以通過全球移動通信系統(tǒng)(globalsystemformobilecommunications，簡稱gsm)、長期演進(longtermevolution，簡稱lte)系統(tǒng)等移動通信系統(tǒng)與發(fā)卡方服務器103進行通信。

本發(fā)明實施例提供一種優(yōu)選的實施方式，以終端101為手機為例進行介紹。本發(fā)明實施例中可預先在終端101中安裝發(fā)卡方客戶端以及銀聯(lián)tsm控件。

圖2示例性示出了本發(fā)明實施例提供的一種空中發(fā)卡方法的流程示意圖。如圖2所示，本發(fā)明實施例提供的空中發(fā)卡方法，包括以下步驟：

步驟201、終端根據(jù)第一發(fā)卡申請，向tsm平臺請求獲取驗證信息，所述第一發(fā)卡申請為所述終端通過設置在所述終端上的發(fā)卡方客戶端接收；所述驗證信息包括驗證碼和傳輸公鑰。

步驟202、tsm平臺根據(jù)終端的請求，向所述終端發(fā)送驗證信息。

步驟203、所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密,得到第二發(fā)卡申請；所述用戶信息為所述發(fā)卡方客戶端預先存儲的。

步驟204、所述終端向所述tsm平臺發(fā)送所述第二發(fā)卡申請。

步驟205、所述tsm平臺接收所述終端發(fā)送的第二發(fā)卡申請。

步驟206、所述tsm平臺利用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密，并在對所述驗證碼驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)。

步驟207、所述tsm平臺將所述個人化數(shù)據(jù)發(fā)送給所述終端。

步驟208、所述終端根據(jù)接收的所述個人化數(shù)據(jù)，將卡片的狀態(tài)設置為激活狀態(tài)。

步驟209、所述tsm平臺在獲取所述終端的激活通知后，將卡片的狀態(tài)設置為激活狀態(tài)。

需要說明的是，發(fā)卡方客戶端可以是在用戶首次登陸后就存儲用戶信息，也可以是每次登錄都從發(fā)卡方后臺獲取，或者是定期推送更新等等，具體的獲取方式取決于發(fā)卡方自身的實現(xiàn)機制，不同銀行的用戶信息的獲取方式不同。

此外，本發(fā)明實施例中的空中發(fā)卡流程不涉及載體合作方，因此對載體合作方具有較高的兼容性，可以兼容所有的載體合作方。

上述終端向tsm平臺申請的驗證信息中包含的驗證碼可以為隨機數(shù)，該隨機數(shù)由銀聯(lián)tsm平臺根據(jù)終端的申請隨機產生的，且每次產生的隨機數(shù)均不重復，這樣可以防止重放交易。終端隨后向銀聯(lián)tsm平臺發(fā)送的發(fā)卡申請中包含該隨機數(shù)。銀聯(lián)tsm平臺可以通過對隨機數(shù)進行驗證來保證信息的安全，銀聯(lián)tsm平臺在對該隨機數(shù)驗證過后，立即將隨機數(shù)從緩存中銷毀，確保每個發(fā)卡申請獲取到的隨機數(shù)不重復。若該發(fā)卡申請遭到惡意篡改，則其中包含的隨機數(shù)也會隨之改變，則銀聯(lián)tsm平臺即可由隨機數(shù)驗證不通過確定接收到的發(fā)卡申請已被篡改，從而拒絕進一步處理該發(fā)卡申請。

本發(fā)明實施例中，一方面通過銀聯(lián)tsm平臺產生的隨機數(shù)驗證碼確保發(fā)卡申請未被篡改，另一方面，銀聯(lián)tsm平臺提供傳輸公鑰，以使終端將發(fā)送的申請進行加密，從而保證了信息在傳輸過程中的安全。

為了進一步保證信息的安全性，本發(fā)明實施例還對隨機數(shù)驗證碼進行加密。所述向tsm平臺請求獲取驗證信息之前，還包括：

所述終端根據(jù)所述第一發(fā)卡申請，獲取所述終端的安全載體中存儲的公鑰證書；

所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密，得到第二發(fā)卡申請，包括：

所述終端使用所述公鑰證書對應的私鑰證書對所述驗證碼進行簽名；

所述終端使用所述傳輸公鑰對所述驗證碼、所述用戶信息、所述公鑰證書和簽名后的所述驗證碼進行加密，得到第二發(fā)卡申請。

所述在驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺，包括：

所述tsm平臺利用所述公鑰證書對解密后的驗證碼進去驗簽，并在驗證通過后將所述用戶信息、所述公鑰證書、所述驗證碼以及所述簽名后的所述驗證碼發(fā)送給所述發(fā)卡方后臺。

上述公鑰證書由終端中的安全載體產生，該安全載體可以為ese(嵌入式安全模塊)芯片。安全載體中產生一組隨機加密密鑰，即公鑰證書和私鑰證書。從銀聯(lián)tsm平臺獲取的驗證碼在終端的安全載體中被私鑰證書進行簽名。之后，終端利用銀聯(lián)tsm平臺發(fā)送的傳輸公鑰，對驗證碼、公鑰證書以及簽名后的驗證碼進行加密，并將這些信息發(fā)送給tsm平臺。銀聯(lián)tsm平臺接收到終端發(fā)送的發(fā)卡申請后，首先利用存儲的傳輸私鑰，將發(fā)卡申請進行解密，得到公鑰證書、隨機數(shù)驗證碼、簽名后的驗證碼以及用戶信息。銀聯(lián)tsm平臺利用公鑰證書以及簽名后的驗證碼對驗證碼進行驗簽，具體可以為利用公鑰證書對簽名后的驗證碼進行解密，然后將解密后的驗證碼、接收到的驗證碼以及tsm平臺中緩存的驗證碼進行對比，若三者一致，則驗證通過。安全載體中產生的這組數(shù)字證書保證了驗證碼的安全性，使得驗證碼不易被獲取且不易被破解，從而保證驗證碼不被篡改，可以避免重放攻擊。

本發(fā)明實施例設置了兩套獨立的密鑰體系。一套為tsm平臺產生的傳輸公鑰和傳輸私鑰，可以保證用戶信息在傳輸過程中的安全性。另一套為終端的安全載體生成的公鑰證書和私鑰證書，用于對隨機數(shù)驗證碼進行加密，保證了隨機數(shù)的安全，從而保證發(fā)卡申請的安全，進一步地，通過對隨機數(shù)驗證碼進行簽名和驗簽，來防止交易重放。。

為了避免重放攻擊，本發(fā)明實施例除了對隨機數(shù)驗證碼進行驗簽，還利用otp(one-timepassword，動態(tài)口令)進行驗證。本發(fā)明實施例還包括：

所述終端根據(jù)所述第一發(fā)卡申請確定otp，所述otp為所述發(fā)卡方客戶端根據(jù)所述第一發(fā)卡申請生成的；

所述終端向所述tsm平臺發(fā)送所述otp；

所述tsm平臺接收所述終端發(fā)送的otp，并將所述otp發(fā)送給所述發(fā)卡方后臺進行otp驗證。

otp是根據(jù)專門的算法每隔60秒生成一個與時間相關的、不可預測的隨機數(shù)字組合，每個口令只能使用一次，可以有效保護交易和登錄的認證安全，otp無需人為地定期更換密碼，安全省事。本發(fā)明實施例中，發(fā)卡方后臺可通過otp進行另一層防重放驗證。終端通過發(fā)卡方客戶端獲取otp，發(fā)卡方后臺保留了該otp結構。終端將包含了otp的發(fā)卡申請，發(fā)送給銀聯(lián)tsm平臺，銀聯(lián)tsm平臺對發(fā)卡申請驗證通過后，再將發(fā)卡申請連同otp發(fā)送給發(fā)卡方后臺。發(fā)卡方后臺對接受到的otp進行驗證，可以根據(jù)otp結構中數(shù)據(jù)是否被篡改來驗證該發(fā)卡申請是否受到重放攻擊。發(fā)卡方后臺在驗證通過后，通過銀聯(lián)tsm平臺向終端返回個人化數(shù)據(jù)，以激活卡片。

由此，本發(fā)明實施例除了兩套獨立的密鑰體系，還設置了兩層防重放機制。一層為銀聯(lián)tsm平臺驗證隨機數(shù)驗證碼，通過確定隨機數(shù)未被篡改來確定信息未受到重放攻擊。另一層為發(fā)卡方后臺驗證otp，通過對比otp結構中數(shù)據(jù)未被篡改來確定未受到重放攻擊。

此外，為了保證信息在終端中的安全，本發(fā)明實施例中所述終端根據(jù)所述第一發(fā)卡申請，獲取安全載體的公鑰證書，包括：

所述終端上的所述發(fā)卡方客戶端通過所述終端裝載的tsm控件與所述安全載體進行信息傳遞。

具體來說，在終端之中，安全載體和發(fā)卡方客戶端不直接傳遞信息，而是均通過tsm控件進行透傳。例如，發(fā)卡方客戶端接收到第一發(fā)卡申請，向tsm控件發(fā)送消息獲取公鑰證書，tsm控件將該消息透傳給安全載體，從而安全載體將公鑰證書發(fā)送給tsm平臺。另外，安全載體利用私鑰證書對驗證碼簽名后，將驗證碼、簽名后的驗證碼以及公鑰證書通過tsm控件透傳給發(fā)卡方客戶端，發(fā)卡方客戶端確定用戶信息，并利用tsm平臺提供的傳輸公鑰對驗證碼、用戶信息、公鑰證書和簽名后的驗證碼進行加密，從而得到第二發(fā)卡申請。

為了更清楚地理解本發(fā)明，下面以具體的實施例對上述流程進行詳細描述，具體步驟如圖3所示，包括：

步驟301、終端通過發(fā)卡方客戶端接收用戶發(fā)起的第一發(fā)卡申請。

步驟302、根據(jù)第一發(fā)卡申請，tsm控件向安全載體請求獲取公鑰證書。

步驟303、終端中的安全載體向tsm平臺請求獲取驗證信息，其中，驗證信息中包括隨機數(shù)驗證碼以及傳輸公鑰。

步驟304、發(fā)卡方客戶端向終端反饋驗證信息。

步驟305、安全載體利用公鑰證書對應的私鑰證書對隨機數(shù)驗證碼進行簽名，得到簽名后的驗證碼。

步驟306、安全載體將隨機數(shù)、簽名后的驗證碼、公鑰證書和傳輸公鑰發(fā)送給tsm控件。

步驟307、tsm控件將隨機數(shù)、簽名后的驗證碼、公鑰證書和傳輸公鑰透傳發(fā)卡方客戶端。

步驟308、發(fā)卡方客戶端確定發(fā)卡申請相關的用戶信息，并利用傳輸公鑰將用戶信息、隨機數(shù)、簽名后的驗證碼、公鑰證書進行加密。

步驟309、發(fā)卡方客戶端確定otp，將利用傳輸公鑰加密后的信息以及otp發(fā)送給tsm控件。

步驟310、tsm控件將利用傳輸公鑰加密后的信息以及otp發(fā)送給安全載體。

步驟311、安全載體向tsm平臺發(fā)出第二發(fā)卡申請和otp，第二發(fā)卡申請中包括步驟310中接收到的利用傳輸公鑰加密后的信息。

步驟312、tsm平臺利用傳輸私鑰將加密后的信息解密，并根據(jù)隨機數(shù)以及簽名后的驗證碼進行驗簽。

步驟313、在驗證通過后，tsm平臺向發(fā)卡方客戶端發(fā)送第三發(fā)卡申請和otp，第三發(fā)卡申請中包括用戶信息、隨機數(shù)、簽名后的驗證碼和公鑰證書。

步驟314、發(fā)卡方客戶端同樣對隨機數(shù)驗證碼進行驗證，并驗證otp中的結構，防止信息被篡改。同時，發(fā)卡方客戶端還對用戶信息進行核實，確定用戶身份。

步驟315、發(fā)卡方客戶端驗證通過后，向tsm平臺返回個人化數(shù)據(jù)。

步驟316、tsm平臺向終端發(fā)送個人化數(shù)據(jù)。

步驟317、終端執(zhí)行個人化過程，將卡片激活。

步驟318、終端向tsm平臺發(fā)送個人化成功通知，通知tsm平臺激活成功。

步驟319、tsm平臺執(zhí)行個人化過程，將卡片激活。

步驟320、tsm平臺向發(fā)卡方后臺發(fā)送個人化成功通知，通知發(fā)卡方后臺激活成功。

步驟321、發(fā)卡方后臺將卡片激活，卡片激活完成。

圖4示例性示出了本發(fā)明實施例提供的一種空中發(fā)卡裝置的結構示意圖。

如圖4所示，本發(fā)明實施例提供的一種空中發(fā)卡裝置，包括：

第一收發(fā)模塊401，用于根據(jù)第一發(fā)卡申請，向可信服務管理tsm平臺請求獲取驗證信息，所述第一發(fā)卡申請為所述終端通過設置在所述終端上的發(fā)卡方客戶端接收；所述驗證信息包括驗證碼和傳輸公鑰；

加密模塊402，用于使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密，得到第二發(fā)卡申請；所述用戶信息為所述發(fā)卡方客戶端預先存儲的；

所述第一收發(fā)模塊401，還用于向所述tsm平臺發(fā)送所述第二發(fā)卡申請，所述第二發(fā)卡申請用于使所述tsm平臺使用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密并驗證通過后，將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；

第一激活模塊403，用于根據(jù)接收的所述個人化數(shù)據(jù)，將卡片的狀態(tài)設置為激活狀態(tài)。

可選的，還包括獲取模塊404，用于：

根據(jù)所述第一發(fā)卡申請，獲取所述終端的安全載體中存儲的公鑰證書；

所述加密模塊402，用于：

使用所述公鑰證書對應的私鑰證書對所述驗證碼進行簽名；

使用所述傳輸公鑰對所述驗證碼、所述用戶信息、所述公鑰證書和簽名后的所述驗證碼進行加密，得到第二發(fā)卡申請。

可選的，所述獲取模塊404，還用于：

根據(jù)所述第一發(fā)卡申請確定動態(tài)口令otp，所述otp為所述發(fā)卡方客戶端根據(jù)所述第一發(fā)卡申請生成的；

所述第一收發(fā)模塊，還用于向所述tsm平臺發(fā)送所述otp，以使所述tsm平臺將所述otp發(fā)送給所述發(fā)卡方后臺進行otp驗證。

本發(fā)明實施例還提供另一種空中發(fā)卡裝置，如圖5所示，包括：

第二收發(fā)模塊501，用于根據(jù)終端的請求，向所述終端發(fā)送驗證信息，所述請求為設置在所述終端上的發(fā)卡方客戶端接收到第一發(fā)卡申請后向所述tsm平臺發(fā)送的；所述驗證信息包括驗證碼和傳輸公鑰；

所述第二收發(fā)模塊501，還用于接收所述終端發(fā)送的第二發(fā)卡申請，所述第二發(fā)卡申請為所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密而獲得；所述用戶信息為所述發(fā)卡方客戶端預先存儲的；

解密模塊502，用于利用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密；

驗證模塊503，用于對所述驗證碼進行驗證；

所述第二收發(fā)模塊501，還用于在對所述驗證碼驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；

所述第二收發(fā)模塊501，還用于將所述個人化數(shù)據(jù)發(fā)送給所述終端；

第二激活模塊504，用于獲取所述終端的激活通知后，將卡片的狀態(tài)設置為激活狀態(tài)。

可選的，所述第二發(fā)卡申請還包括：

所述驗證模塊503，用于利用所述公鑰證書對解密后的驗證碼進行驗簽；

所述第二收發(fā)模塊501，還用于在驗證通過后將所述用戶信息、所述公鑰證書、所述驗證碼以及所述簽名后的所述驗證碼發(fā)送給所述發(fā)卡方后臺。

可選的，所述第二收發(fā)模塊501，還用于：

接收所述終端發(fā)送的otp，并將所述otp發(fā)送給所述發(fā)卡方后臺進行otp驗證。

本發(fā)明實施例提供了一種計算設備，該計算設備具體可以為桌面計算機、便攜式計算機、智能手機、平板電腦、個人數(shù)字助理(personaldigitalassistant，pda)等。該計算設備可以包括中央處理器(centerprocessingunit，cpu)、存儲器、輸入/輸出設備等，輸入設備可以包括鍵盤、鼠標、觸摸屏等，輸出設備可以包括顯示設備，如液晶顯示器(liquidcrystaldisplay，lcd)、陰極射線管(cathoderaytube，crt)等。

存儲器可以包括只讀存儲器(rom)和隨機存取存儲器(ram)，并向處理器提供存儲器中存儲的程序指令和數(shù)據(jù)。在本發(fā)明實施例中，存儲器可以用于存儲基于交易數(shù)據(jù)的異常監(jiān)測方法的程序。

處理器通過調用存儲器存儲的程序指令，處理器用于按照獲得的程序指令執(zhí)行：根據(jù)第一發(fā)卡申請，向可信服務管理tsm平臺請求獲取驗證信息，所述第一發(fā)卡申請為所述終端通過設置在所述終端上的發(fā)卡方客戶端接收；所述驗證信息包括驗證碼和傳輸公鑰；使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密，得到第二發(fā)卡申請；所述用戶信息為所述發(fā)卡方客戶端預先存儲的；向所述tsm平臺發(fā)送所述第二發(fā)卡申請，所述第二發(fā)卡申請用于使所述tsm平臺使用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密并驗證通過后，將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；根據(jù)接收的所述個人化數(shù)據(jù)，將卡片的狀態(tài)設置為激活狀態(tài)。

本發(fā)明實施例提供了另一種計算設備，該計算設備具體可以為桌面計算機、便攜式計算機、智能手機、平板電腦、個人數(shù)字助理(personaldigitalassistant，pda)等。該計算設備可以包括中央處理器(centerprocessingunit，cpu)、存儲器、輸入/輸出設備等，輸入設備可以包括鍵盤、鼠標、觸摸屏等，輸出設備可以包括顯示設備，如液晶顯示器(liquidcrystaldisplay，lcd)、陰極射線管(cathoderaytube，crt)等。

處理器通過調用存儲器存儲的程序指令，處理器用于按照獲得的程序指令執(zhí)行：根據(jù)終端的請求，向所述終端發(fā)送驗證信息，所述請求為設置在所述終端上的發(fā)卡方客戶端接收到第一發(fā)卡申請后向所述tsm平臺發(fā)送的；所述驗證信息包括驗證碼和傳輸公鑰；接收所述終端發(fā)送的第二發(fā)卡申請，所述第二發(fā)卡申請為所述終端使用所述傳輸公鑰對所述驗證碼和用戶信息進行加密而獲得；所述用戶信息為所述發(fā)卡方客戶端預先存儲的；利用所述傳輸公鑰對應的傳輸私鑰對所述第二發(fā)卡申請解密，并在對所述驗證碼驗證通過后將所述用戶信息發(fā)送給發(fā)卡方后臺；所述用戶信息用于使所述發(fā)卡方后臺進行驗證并在通過后反饋個人化數(shù)據(jù)；將所述個人化數(shù)據(jù)發(fā)送給所述終端，并在獲取所述終端的激活通知后，將卡片的狀態(tài)設置為激活狀態(tài)。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上，使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產生計算機實現(xiàn)的處理，從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發(fā)明的優(yōu)選實施例，但本領域內的技術人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內，則本發(fā)明也意圖包括這些改動和變型在內。

完整全部詳細技術資料下載

當前第1頁1 2