專利名稱:終端和服務器間的數(shù)據(jù)傳輸方法及系統(tǒng)、簽到和支付方法
技術(shù)領域:
本發(fā)明涉及通訊安全領域,特別涉及一種終端和服務器間的數(shù)據(jù)傳輸方法及系 統(tǒng)、簽到和支付方法。
背景技術(shù):
POS是英文Point of Sale的縮寫,意為銷售點終端。銀行卡因其攜帶方便,使用 安全、快捷等優(yōu)點已成為人們生活中不可缺少的支付工具。在消費時只需要銀行卡在POS 終端上輕輕刷一下即可完成交易,所以應用非常廣泛,在各大型商場,酒店等消費場所都可 以看見POS的身影。在有些消費領域,由于受到場地和有線通訊線路的限制,使得有線POS 的應用受到制約,例如傳統(tǒng)和電子商務的配送收費、煤氣、水、電等公用事業(yè)上門收費、大型 商品展覽會購物消費、餐飲消費等具有移動特征的消費,持卡消費就很難實現(xiàn)。傳統(tǒng)的POS之所以有以上的種種限制,主要在于其對數(shù)據(jù)安全的苛刻要求,所以 傳統(tǒng)的POS —般要求專線專用,即POS和銀聯(lián)服務器之間是專線連接的,兩者之間的數(shù)據(jù) 傳輸也是通過專線實現(xiàn)的。由以上分析看來,要突破傳統(tǒng)POS上述應用的限制,關(guān)鍵在于 讓POS擺脫專線專用的限制,使POS能在公網(wǎng)上和銀聯(lián)服務器進行安全的數(shù)據(jù)傳輸,這樣一 來,POS就可以利用無所不在的公網(wǎng)(電話網(wǎng)絡、移動網(wǎng)絡、互聯(lián)網(wǎng)等)來進行電子支付和 交易,POS的應用也必將迎來一個大發(fā)展的時期。綜上,迫切需要提供一種數(shù)據(jù)安全傳輸技術(shù),該技術(shù)能保證POS通過公網(wǎng)將數(shù)據(jù) 傳輸至服務器過程中的數(shù)據(jù)安全性(不被破解),并且還要兼顧數(shù)據(jù)在終端和服務器上作 加密、解密處理時的運算效率,總體目的是實現(xiàn)POS在公網(wǎng)上安全高效的實現(xiàn)電子支付和 交易。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種終端和服務器間的數(shù)據(jù)傳輸方法及系統(tǒng)、簽到和支付方 法,實現(xiàn)終端在公網(wǎng)上安全高效的進行數(shù)據(jù)交換。一方面,本發(fā)明提供一種終端和服務器間的數(shù)據(jù)傳輸方法,包括以下步驟(1. 1)分別生成終端和服務器的非對稱密鑰對,雙方相互獲取對方非對稱密鑰對 中的公鑰;(1. 2)數(shù)據(jù)發(fā)送方隨機生成會話密鑰,將欲發(fā)送的數(shù)據(jù)用所述會話密鑰和對稱加
密算法加密為密文一,再用數(shù)據(jù)接收方的公鑰和非對稱加密算法加密所述會話密鑰為密文 --;(1. 3)數(shù)據(jù)發(fā)送方將所述密文一和密文二打包并發(fā)送至數(shù)據(jù)接收方;(1. 4)數(shù)據(jù)接收方用己方的私鑰解密接收到的所述密文二得到所述會話密鑰,再 用所述會話密鑰解密接收到的所述密文一得到所述數(shù)據(jù)發(fā)送方發(fā)送的數(shù)據(jù)。所述步驟(1.2)中,數(shù)據(jù)發(fā)送方使用的對稱加密算法為3DES加密算法,并且/或 者數(shù)據(jù)發(fā)送方使用的非對稱加密算法為RSA加密算法。所述數(shù)據(jù)發(fā)送方根據(jù)系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰,其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。本發(fā)明所述的數(shù)據(jù)傳輸方法,其中,所述終端為移動終端,所述移動終端和服務器 之間采用移動網(wǎng)絡或互聯(lián)網(wǎng)進行數(shù)據(jù)傳輸。本發(fā)明還提供一種基于所述數(shù)據(jù)傳輸方法的終端對服務器的簽到方法,包括以下 步驟(5. 1)所述終端隨機生成會話密鑰,終端將工作密鑰申請消息用所述會話密鑰和 對稱加密算法加密為密文一,用服務器的公鑰和非對稱加密算法加密所述會話密鑰為密文 二,再將所述密文一和密文二打包發(fā)送至所述服務器;(5. 2)所述服務器用服務器的私鑰解密接收到的所述密文二得到所述會話密鑰, 再用所述會話密鑰解密接收到的所述密文一得到所述終端發(fā)送的工作密鑰申請消息;(5. 3)所述服務器驗證所述工作密鑰申請消息合法后,生成工作密鑰,利用服務器 端存儲的終端主密鑰和對稱加密算法加密所述工作密鑰為密文三并發(fā)送至所述終端;(5. 4)所述終端用終端主密鑰解密所述密文三得到所述工作密鑰并存儲。所述方法中使用的對稱加密算法為3DES加密算法,并且/或者使用的非對稱加密 算法為RSA加密算法。所述終端根據(jù)系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰,其所 根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。所述步驟(5.4)中,所述工作密鑰以明文形式 存儲在所述終端的硬件加密模塊中。本發(fā)明所述的簽到方法,其中,所述終端為移動終端,所述移動終端通過移動網(wǎng)絡 或互聯(lián)網(wǎng)對所述服務器進行簽到。本發(fā)明還提供一種基于所述簽到方法的支付方法,包括以下步驟(10. 1)所述終端獲取訂單信息,并用終端的私鑰和非對稱加密算法處理所述訂單 信息形成終端的數(shù)字簽名并發(fā)送至所述服務器;(10. 2)所述服務器用所述終端的公鑰對所述終端的數(shù)字簽名驗簽通過后,生成所 述訂單信息的流水號并發(fā)送至所述終端;(10. 3)所述終端收到所述訂單信息的流水號后,用所述工作密鑰加密用戶在終端 上輸入的卡號和密碼為密文四;(10. 4)所述終端隨機生成會話密鑰,用所述會話密鑰和對稱加密算法加密所述訂 單、流水號相關(guān)信息以及所述密文四,生成報文密文;用所述服務器的公鑰和非對稱加密算 法加密所述會話密鑰,生成報文頭;將所述報文密文和報文頭打包發(fā)送至所述服務器;(10. 5)所述服務器解密所述報文密文和報文頭,對解密得到的訂單號、流水號信 息驗證合法后,發(fā)送支付請求至銀行,并接收銀行扣款后返回的扣款應答;(10. 6)所述服務器隨機產(chǎn)生會話密鑰,用所述會話密鑰和對稱加密算法加密所述 扣款應答為密文五,用所述終端的公鑰和非對稱加密算法加密所述會話密鑰為密文六,將 所述密文五和密文六打包發(fā)送至所述終端;(10. 7)所述終端解密所述密文五和密文六,確認解密得到的扣款應答并打印簽購 所述步驟(10. 2)包括對訂單信息中商戶合法性以及終端合法性的驗證,驗證通 過后再生成所述訂單信息的流水號并發(fā)送至所述終端。所述方法中使用的對稱加密算法為 3DES加密算法,并且/或者使用的非對稱加密算法為RSA加密算法。所述步驟(10. 4)和步驟(10. 6)中,所述終端和服務器分別根據(jù)系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰, 其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。所述步驟(10. 1)中,若所述服務器預先存 儲有所述訂單信息,則在步驟(10.2)中,所述服務器用所述終端的公鑰對所述終端的數(shù)字 簽名驗簽通過后,還將所述終端發(fā)送的訂單信息與服務器預先存儲的訂單信息進行比對驗 證通過后,再生成所述訂單信息的流水號并發(fā)送至所述終端。本發(fā)明所述支付方法,其中,所述終端為移動終端,所述移動終端通過移動網(wǎng)絡或 互聯(lián)網(wǎng)對所述服務器進行數(shù)據(jù)傳輸。本發(fā)明還提供一種包括終端和服務器的數(shù)據(jù)傳輸系統(tǒng),所述終端和服務器互為數(shù) 據(jù)發(fā)送方和數(shù)據(jù)接受方,進一步包括設置在所述終端的存儲模塊,用以存儲所述終端的非對稱密鑰對、所述服務器的 公鑰、對稱加密算法以及非對稱加密算法;設置在所述服務器的存儲模塊,用以存儲所述服務器的非對稱密鑰對、所述終端 的公鑰、對稱加密算法以及非對稱加密算法;設置在所述終端的隨機密鑰模塊,用以在所述終端作為數(shù)據(jù)發(fā)送方時隨機生成所 述終端的會話密鑰;設置在所述服務器的隨機密鑰模塊,用以在所述服務器作為數(shù)據(jù)發(fā)送方時隨機生 成所述服務器的會話密鑰;設置在所述終端的數(shù)據(jù)處理模塊,用以在所述終端作為數(shù)據(jù)發(fā)送方時將欲發(fā)送的 數(shù)據(jù)用所述終端的隨機密鑰模塊生成的會話密鑰和對稱加密算法加密為密文一,再用服務 器的公鑰和非對稱加密算法加密所述會話密鑰為密文二 ;以及,用以在所述終端作為數(shù)據(jù) 接收方時,根據(jù)非對稱加密算法和對稱加密算法解密所述服務器發(fā)送來的加密數(shù)據(jù);設置在所述服務器的數(shù)據(jù)處理模塊,用以在所述服務器作為數(shù)據(jù)發(fā)送方時將欲發(fā) 送的數(shù)據(jù)用所述服務器的隨機密鑰模塊生成的會話密鑰和對稱加密算法加密為密文一,再 用終端的公鑰和非對稱加密算法加密所述會話密鑰為密文二 ;以及,用以在所述服務器作 為數(shù)據(jù)接收方時,根據(jù)非對稱加密算法和對稱加密算法解密所述終端發(fā)送來的加密數(shù)據(jù);設置在所述終端的數(shù)據(jù)傳輸模塊,用以發(fā)送和接收數(shù)據(jù);設置在所述服務器的數(shù)據(jù)傳輸模塊,用以發(fā)送和接收數(shù)據(jù)。本發(fā)明所述的數(shù)據(jù)傳輸系統(tǒng),其中,所述終端和服務器使用的對稱加密算法為 3DES加密算法,并且/或者所述終端和服務器使用的非對稱加密算法為RSA加密算法。所 述終端和服務器的隨機密鑰模塊,根據(jù)系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰,其 所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。所述終端為移動終端,所述移動終端和服務 器之間采用移動網(wǎng)絡或互聯(lián)網(wǎng)進行數(shù)據(jù)傳輸。本發(fā)明所述的終端和服務器間的數(shù)據(jù)傳輸方法及系統(tǒng)、簽到和支付方法,其采用 RSA非對稱加密算法和3DES對稱加密算法,利用隨機產(chǎn)生的會話密鑰和3DES對稱加密算法 加密原始數(shù)據(jù),利用對端的公鑰和RSA非對稱加密算法加密會話密鑰,將經(jīng)過加密的兩部 分數(shù)據(jù)發(fā)送至對端,對端再依次利用私鑰解密出會話密鑰,再用會話密鑰解密出原始數(shù)據(jù)。 本發(fā)明巧妙的將3DES對稱加密算法與RSA非對稱加密算法相結(jié)合,不僅保證了終端特別是 POS機在公網(wǎng)上安全地傳輸數(shù)據(jù)及簽名,而且還保證了較高的數(shù)據(jù)處理效率,使終端在公網(wǎng) 上與服務器進行安全高效的數(shù)據(jù)交換,實現(xiàn)了終端特別是POS機在公網(wǎng)上安全高效的完成
7電子支付。
圖1是本發(fā)明所述數(shù)據(jù)傳輸方法的流程圖;圖2是本發(fā)明所述簽到方法流程圖;圖3是本發(fā)明所述支付方法流程圖;圖4為本發(fā)明所述報文格式示意圖;圖5為本發(fā)明所述數(shù)據(jù)傳輸系統(tǒng)框圖。
具體實施例方式下面結(jié)合附圖和實施例進一步說明本發(fā)明的技術(shù)方案。首先介紹一下對稱加密算法和非對稱加密算法對稱加密算法對稱加密算法是應用較早的加密算法,技術(shù)成熟。在對稱加密算法 中,數(shù)據(jù)發(fā)信方將明文(原始數(shù)據(jù))和加密密鑰一起經(jīng)過特殊加密算法處理后,使其變成復 雜的加密密文發(fā)送出去。收信方收到密文后,若想解讀原文,則需要使用加密用過的密鑰及 相同算法的逆算法對密文進行解密,才能使其恢復成可讀明文。在對稱加密算法中,使用的 密鑰只有一個,發(fā)收信雙方都使用這個密鑰對數(shù)據(jù)進行加密和解密,這就要求解密方事先 必須知道加密密鑰。對稱加密算法目前為止有好幾種,其中包括3DES對稱加密算法,其是 DES加密算法的一種模式,它使用3條56位的密鑰對數(shù)據(jù)進行三次加密。它以DES為基本 模塊,通過組合分組方法設計出分組加密算法,其具體實現(xiàn)如下設Ek ()和Dk ()代表DES算法的加密和解密過程,K代表DES算法使用的密鑰,P 代表明文,C代表密表,這樣,3DES 加密過程為C = Ek3 (Dk2 (Ek 1 (P)))
3DES 解密過程為=P = Dkl ((EK2 (Dk3 (C)))ΚΙ、Κ2、Κ3決定了算法的安全性,若三個密鑰互不相同,本質(zhì)上就相當于用一個長 為168位的密鑰進行加密。多年來,它在對付強力攻擊時是比較安全的。若數(shù)據(jù)對安全性 要求不那么高,Kl可以等于Κ3。在這種情況下,密鑰的有效長度為112位。非對稱加密算法非對稱加密算法需要兩個密鑰,即公開密鑰publickey)和私有 密鑰(privatekey),公開密鑰簡稱公鑰,私有密鑰簡稱私鑰。公開密鑰與私有密鑰是一對, 如果用公開密鑰對數(shù)據(jù)進行加密,只有用對應的私有密鑰才能解密;如果用私有密鑰對數(shù) 據(jù)進行加密,那么只有用對應的公開密鑰才能解密。因為加密和解密使用的是兩個不同的 密鑰,所以這種算法叫作非對稱加密算法。非對稱加密算法實現(xiàn)機密信息交換的基本過程 是甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開;得到該公用密鑰的乙 方使用該密鑰對機密信息進行加密后再發(fā)送給甲方;甲方再用自己保存的另一把專用密鑰 對加密后的信息進行解密。非對稱加密算法目前也有好幾種,其中包括RSA算法,RSA算法是第一個既能用于 數(shù)據(jù)加密也能用于數(shù)字簽名的算法,因此它為公用網(wǎng)絡上信息的加密和鑒別提供了一種基 本的方法。它通常是先生成一對RSA密鑰,其中之一是保密密鑰,由用戶保存;另一個為公 開密鑰,可對外公開,甚至可在網(wǎng)絡服務器中注冊,人們用公鑰加密文件發(fā)送給個人,個人
8就可以用私鑰解密接受。RSA算法的工作原理1)任意選取兩個不同的大質(zhì)數(shù)ρ和q,計算乘積r = p*q ; 2)任意選取一個大整數(shù) e,e與(p-l)*(q_l)互質(zhì),整數(shù)e用做加密密鑰。注意e的選取是很容易的,例如,所有大 于P和q的質(zhì)數(shù)都可用。3)確定解密密鑰d :d*e = Imodulo(P-IMq-I)根據(jù)e、p和q可以容易地計算出
do4)公開整數(shù)r和e,但是不公開d ;5)將明文P (假設P是一個小于r的整數(shù))加密為密文C,計算方法為C = Pe modulo r6)將密文C解密為明文P,計算方法為P = Cd modulo r然而只根據(jù)I^ne(不是ρ和q)要計算出d是不可能的。因此,任何人都可對明 文進行加密,但只有授權(quán)用戶(知道d)才可對密文解密。需要指出的是,本發(fā)明的實施例側(cè)重于本發(fā)明在銀聯(lián)POS方面的應用,POS方面的 關(guān)于安全規(guī)范和密鑰管理等基礎知識可具體參見中國銀聯(lián)公布的《銀聯(lián)卡風險管理規(guī)范匯 編》以及《銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)范》等文件。參見圖1,圖1顯示了一種終端和服務器間的數(shù)據(jù)傳輸方法100,包括以下步驟101、分別生成終端和服務器的非對稱密鑰對,雙方相互獲取對方非對稱密鑰對中 的公鑰。以上生成的終端和服務器的非對稱密鑰對均包括公鑰和私鑰,為了實現(xiàn)兩者的數(shù) 據(jù)傳輸?shù)募用芎徒饷?,終端和服務器均獲知對方的公鑰。102、數(shù)據(jù)發(fā)送方隨機生成會話密鑰,將欲發(fā)送的數(shù)據(jù)用所述會話密鑰和對稱加密 算法加密為密文一,再用數(shù)據(jù)接收方的公鑰和非對稱加密算法加密所述會話密鑰為密文
--ο作為一實施例,這里的數(shù)據(jù)發(fā)送方可以為終端(此時相應的服務器為數(shù)據(jù)接收 方),也可以為服務器(此時相應的終端為數(shù)據(jù)接收方),它們根據(jù)系統(tǒng)時間和預定的算法 隨機產(chǎn)生24位會話密鑰,其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。下面描述隨機生 成會話密鑰的實現(xiàn)過程1)根據(jù)系統(tǒng)時間設計隨機數(shù)種子sr ;設sr = hour*kl+min*k2+sec*k3(kl,k2, k3 為自設定常數(shù);hour, min, sec 分別 取時,分,秒對應的整數(shù)值)。2)由于會話密鑰是24位,設計一個for循環(huán),循環(huán)次數(shù)為24,每次循環(huán)一次生成 一位會話密鑰;3)循環(huán)體的實現(xiàn)過程a)利用隨機數(shù)生成器的初始化器srandO初始化隨機數(shù)種子,使之成為大素數(shù);b)利用rand ()生成隨機數(shù),要求隨機數(shù)都不小于0 ;c)將生成的隨機數(shù)轉(zhuǎn)換成string類型放入長度為20的char類型數(shù)組中,并取最 高位的字符作為24位會話密鑰的第i-Ι位(i表示循環(huán)次數(shù))。
9
在上述隨機生成會話密鑰的過程中,取的系統(tǒng)時間均為時,分,秒對應的整數(shù)值, 使用非動態(tài)的數(shù)組處理數(shù)據(jù),避免了浮點型數(shù)據(jù)運算,提高了數(shù)據(jù)運算的速度,減少了數(shù)據(jù) 運算的內(nèi)存。另外,作為數(shù)據(jù)發(fā)送方的終端或服務器,將欲發(fā)送的數(shù)據(jù)用其生成的所述會話密 鑰和對稱加密算法加密為密文一,再用數(shù)據(jù)接收方的公鑰和非對稱加密算法加密所述會話 密鑰為密文二。作為一實施例,所述數(shù)據(jù)發(fā)送方使用的對稱加密算法為3DES加密算法,并 且/或者數(shù)據(jù)發(fā)送方使用的非對稱加密算法為RSA加密算法。在這里,由于非對稱加密算 法(RSA加密算法)在加密和解密數(shù)據(jù)時運算效率較低,而對稱加密算法(3DES加密算法) 在加密和解密數(shù)據(jù)時運算效率較高,所以采取的方案是欲發(fā)送的數(shù)據(jù)用會話密鑰和對稱加 密算法加密,而會話密鑰用非對稱加密算法來加密和解密,由于非對稱加密算法只加密和 解密一個會話密鑰,所以其數(shù)據(jù)運算的效率較高。103、數(shù)據(jù)發(fā)送方將所述密文一和密文二打包并發(fā)送至數(shù)據(jù)接收方。數(shù)據(jù)發(fā)送方可以通過有線和無線的方式將打包的密文一和密文二發(fā)送至數(shù)據(jù)接 收方。作為一實施例,當所述終端為移動終端時,終端可以通過互聯(lián)網(wǎng)和移動網(wǎng)絡等無線網(wǎng) 絡將數(shù)據(jù)傳送至服務器,當使用移動網(wǎng)絡傳輸數(shù)據(jù)時,終端可以通過安裝sim卡以取得移 動網(wǎng)絡的信任,然后通過該移動網(wǎng)絡來傳輸數(shù)據(jù)給服務器。104、數(shù)據(jù)接收方用己方的私鑰解密接收到的所述密文二得到所述會話密鑰,再用 所述會話密鑰解密接收到的所述密文一得到所述數(shù)據(jù)發(fā)送方發(fā)送的數(shù)據(jù)。數(shù)據(jù)接收方(終端或服務器)接收到密文一和密文二后,首先根據(jù)非對稱加密算 法(RSA加密算法),利用自己的私鑰解密所述密文二得到所述會話密鑰,再根據(jù)對稱加密 算法(3DES加密算法),用第一次解密得到的會話密鑰解密所述密文一,從而得到數(shù)據(jù)發(fā)送 方發(fā)送來的原始數(shù)據(jù)。參見圖2,圖2顯示了一種終端對服務器的簽到方法200,簽到方法200是以上述 數(shù)據(jù)傳輸方法100為基礎的,其包括以下步驟201、所述終端隨機生成會話密鑰,終端將工作密鑰申請消息用所述會話密鑰和對 稱加密算法加密為密文一,用服務器的公鑰和非對稱加密算法加密所述會話密鑰為密文 二,再將所述密文一和密文二打包發(fā)送至所述服務器。在執(zhí)行本步驟前,終端和服務器的非對稱密鑰對均已生成,并且服務器端已將終 端的非對稱密鑰對以及服務端的公鑰注入所述終端。作為一實施例,所述終端的工作密鑰 申請消息是采用銀聯(lián)標準的報文格式,作為一種標準的報文格式,服務器可以識別。所述 終端根據(jù)系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰,其所根據(jù)的系統(tǒng)時間分別取時、 分、秒的整數(shù)值,會話密鑰具體產(chǎn)生的過程前面已有描述。本步驟中使用的對稱加密算法為3DES加密算法,并且/或者使用的非對稱加密算 法為RSA加密算法。作為一實施例,終端將工作密鑰申請消息用所述會話密鑰和3DES加密 算法加密為密文一,用服務器的公鑰和RSA加密算法加密所述會話密鑰為密文二,再將所 述密文一和密文二打包發(fā)送至所述服務器。202、所述服務器用服務器的私鑰解密接收到的所述密文二得到所述會話密鑰,再 用所述會話密鑰解密接收到的所述密文一得到所述終端發(fā)送的工作密鑰申請消息。203、所述服務器驗證所述工作密鑰申請消息合法后,生成工作密鑰,利用服務器
10端存儲的終端主密鑰和對稱加密算法加密所述工作密鑰為密文三并發(fā)送至所述終端。作為一實施例,服務器解密得到工作密鑰申請消息后,由于工作密鑰申請消息是 符合銀聯(lián)標準的報文格式,所以服務器驗證其合法后,服務器根據(jù)系統(tǒng)時間和預定的算法 隨機產(chǎn)生24位會話密鑰,其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值,會話密鑰具體產(chǎn) 生的過程前面已有描述。在銀聯(lián)標準中,比如在銀聯(lián)發(fā)布的《銀聯(lián)卡風險管理規(guī)范匯編》以及《銀行卡聯(lián)網(wǎng) 聯(lián)合技術(shù)規(guī)范》等文件中,終端密鑰分為終端主密鑰(TMK)和終端工作密鑰(TWK),終端主 密鑰用于使用銀行卡的終端設備,為終端與交換主機(服務器)之間的工作密鑰(TWK)在 傳輸和保存時提供保護。終端工作密鑰分為兩種密鑰,即終端個人識別碼PIN的加密密鑰 (TPK)和終端報文合法性認證密鑰(TAK),可用于對用戶在POS上刷卡時輸入的卡號和密碼 進行保護。終端主密鑰由服務器端的加密機生成并注入終端,在本實施例中,服務器和終端 共用一個主密鑰(即終端主密鑰),服務器用終端主密鑰和對稱加密算法(3DES加密算法) 加密服務器生成的工作密鑰作為密文三發(fā)送至終端。204、所述終端用終端主密鑰解密所述密文三得到所述工作密鑰并存儲。作為一實施例,終端收到密文三之后,用終端的主密鑰解密,得到服務器發(fā)送來的 工作密鑰,此時工作密鑰需要存儲到終端的加密模塊中。作為另一實施例,工作密鑰是以明 文的形式存儲在終端的加密模塊中(比如終端的安全芯片中),存儲之后工作密鑰通過終 端的安全芯片的安全機制來保護,而當終端將工作密鑰從安全芯片中取出來時,終端會使 用終端的主密鑰對工作密鑰進行加密。作為一實施例,所述終端為移動終端,終端可以通過互聯(lián)網(wǎng)和移動網(wǎng)絡等無線網(wǎng) 絡將數(shù)據(jù)傳送至服務器進行簽到,當使用移動網(wǎng)絡傳輸數(shù)據(jù)時,終端可以通過安裝sim卡 以取得移動網(wǎng)絡的信任,然后通過該移動網(wǎng)絡來傳輸數(shù)據(jù)給服務器。參見圖3,圖3顯示了支付方法300,支付方法300是以上述簽到方法200為基礎 的,也就是說支付方法300中的終端已經(jīng)按照簽到方法200的步驟對服務器進行了簽到并 取得了工作密鑰,支付方法300具體包括以下步驟301、所述終端獲取訂單信息,并用終端的私鑰和非對稱加密算法處理所述訂單信 息形成終端的數(shù)字簽名并發(fā)送至所述服務器。作為一實施例,用戶直接在POS上生成訂單信息,終端利用RSA加密算法處理所述 訂單信息形成終端的數(shù)字簽名,這里數(shù)字簽名的過程類似于目前通用的數(shù)字簽名,即將報 文摘要值用發(fā)送者的私人密鑰加密,然后連同原報文一起發(fā)送給接收者,而產(chǎn)生的報文即 稱為數(shù)字簽名。302、所述服務器用所述終端的公鑰對所述終端的數(shù)字簽名驗簽通過后,生成所述 訂單信息的流水號并發(fā)送至所述終端。服務器驗簽終端的數(shù)字簽名后,對得到的訂單信息進行處理,生成訂單流水號。作 為一實施例,本步驟中還包括對訂單信息中商戶合法性以及終端合法性的驗證,根據(jù)銀聯(lián) 發(fā)布的規(guī)范,商戶和終端均有預定的對應關(guān)系,比如一個商戶對應一個終端,而每個終端都 具有唯一的ID號,這樣服務器可以根據(jù)預先存儲的商戶和終端的匹配數(shù)據(jù)來驗證商戶和 終端的合法性,驗證通過后再生成所述訂單信息的流水號并發(fā)送至所述終端。303、所述終端收到所述訂單信息的流水號后,用所述工作密鑰加密用戶在終端上輸入的卡號和密碼為密文四。作為一實施例,終端收到訂單流水號后,用戶在終端上進行刷卡和輸入密碼,此時 終端用工作密鑰(工作密鑰在簽到方法200中已經(jīng)得到)中的終端個人識別碼PIN的加密 密鑰(TPK)對用戶輸入的密碼進行加密,用工作密鑰的終端報文合法性認證密鑰(TAK)對 卡號的2,3磁道加密。這里的對用戶的卡號和密碼的加密過程,銀聯(lián)發(fā)布的規(guī)范標準等文 件已進行了披露,屬于行業(yè)成熟技術(shù)。304、所述終端隨機生成會話密鑰,用所述會話密鑰和對稱加密算法加密所述訂 單、流水號相關(guān)信息以及所述密文四,生成報文密文;用所述服務器的公鑰和非對稱加密算 法加密所述會話密鑰,生成報文頭;將所述報文密文和報文頭打包發(fā)送至所述服務器。參見圖4,這里先介紹一下銀聯(lián)標準的報文格式,銀聯(lián)標準中的聯(lián)機交易報文包含 四個組成部分,依次是報文頭、報文類型標識符、位圖和報文域。報文頭是報文的第一個數(shù) 據(jù)元素,主要記錄了報文的長度、路由、批次號等基本信息。報文類型標識符是報文的第二 個數(shù)據(jù)元素,是最高級別報文類型定義,定義了報文一般性分類,比如是金融類報文還是管 理類報文。位圖定義了哪些報文域會出現(xiàn)在報文中。位圖區(qū)可以包含一個位圖也可以包含 兩個位圖。位圖個數(shù)的選擇根據(jù)交易類型而定。磁條卡交易和IC卡交易都能使用位圖一 和位圖二,二者的區(qū)別在于IC卡交易將用到55域中定義的IC卡特征信息域。位圖一定義 域2到域64,位圖二定義域66到域128。報文域構(gòu)成了報文的主體。作為一實施例,本步驟中使用的對稱加密算法為3DES加密算法,并且/或者使用 的非對稱加密算法為RSA加密算法。本步驟中,是用非對稱算法加密終端會話密鑰生成報 文頭,用對稱算法加密其他關(guān)于訂單的相關(guān)數(shù)據(jù)(包括訂單、流水號相關(guān)信息以及用所述 工作密鑰加密用戶在終端上輸入的卡號和密碼而形成的密文四)生成報文。這里的會話密 鑰的生成同前面的描述。305、所述服務器解密所述報文密文和報文頭,對解密得到的訂單號、流水號信息 驗證合法后,發(fā)送支付請求至銀行,并接收銀行扣款后返回的扣款應答;作為一實施例,服務器利用自己的私鑰解密所述報文頭得到會話密鑰,再用會話 密鑰解密所述報文得到相關(guān)的訂單及流水號信息以及用戶的卡號、密碼信息,由于服務器 之前已收到過訂單信息并生成過訂單流水號,所以服務器要對解密后得到的訂單號、流水 號等信息進行合法性驗證,驗證前后是否一致,若一致則發(fā)送支付請求至銀行,并接收銀行 扣款后返回的扣款應答。這里,服務器向銀行發(fā)送的支付請求包括刷卡用戶(消費者)的 卡號、密碼以及應扣金額等信息,銀行收到支付請求后解密并進行扣款,最后將扣款應答發(fā) 送至服務器。306、所述服務器隨機產(chǎn)生會話密鑰,用所述會話密鑰和對稱加密算法加密所述扣 款應答為密文五,用所述終端的公鑰和非對稱加密算法加密所述會話密鑰為密文六,將所 述密文五和密文六打包發(fā)送至所述終端。作為一實施例,服務器隨機產(chǎn)生會話密鑰的過程前面已述。本步驟中對稱加密算 法可選擇3DES加密算法,并且/或者使用的非對稱加密算法可選擇為RSA加密算法。307、所述終端解密所述密文五和密文六,確認解密得到的扣款應答并打印簽購 終端先根據(jù)終端的私鑰解密所述密文六得到會話密鑰,然后用會話密鑰解密所述
12密文五得到所述扣款應答。看到扣款應答后,消費者簽單結(jié)束支付過程。作為一實施例,所述終端為移動終端,終端可以通過互聯(lián)網(wǎng)和移動網(wǎng)絡將數(shù)據(jù)傳 送至服務器進行簽名和支付,當使用移動網(wǎng)絡傳輸數(shù)據(jù)時,終端可以通過安裝Sim卡以取 得移動網(wǎng)絡的信任,然后通過該移動網(wǎng)絡來傳輸數(shù)據(jù)給服務器。作為一實施例,所述支付方法300也可用在訂單信息在網(wǎng)上完成并預先存儲在所 述服務器上的情況,終端可以根據(jù)輸入的訂單號獲取服務器里預先存儲的訂單信息,然后 執(zhí)行步驟301和步驟302中,在執(zhí)行步驟302時,所述服務器用所述終端的公鑰對所述終端 的數(shù)字簽名驗簽通過后,還將所述終端發(fā)送的訂單信息與服務器預先存儲的訂單信息進行 比對驗證通過后,再生成所述訂單信息的流水號并發(fā)送至所述終端,接下來執(zhí)行步驟303、 304、305、306、307。參見圖5,圖5顯示了一種包括終端510和服務器520的數(shù)據(jù)傳輸系統(tǒng)500,數(shù)據(jù) 傳輸系統(tǒng)500與數(shù)據(jù)傳輸方法100對應,所述終端510和服務器520互為數(shù)據(jù)發(fā)送方和數(shù) 據(jù)接受方,其進一步包括設置在所述終端510的終端存儲模塊511,用以存儲所述終端510的非對稱密鑰 對、所述服務器520的公鑰、對稱加密算法以及非對稱加密算法;設置在所述服務器520的服務器存儲模塊521,用以存儲所述服務器520的非對稱 密鑰對、所述終端510的公鑰、對稱加密算法以及非對稱加密算法;設置在所述終端510的終端隨機密鑰模塊512,用以在所述終端510作為數(shù)據(jù)發(fā)送 方時隨機生成所述終端510的會話密鑰。設置在所述服務器520的服務器隨機密鑰模塊522,用以在所述服務器520作為數(shù) 據(jù)發(fā)送方時隨機生成所述服務器520的會話密鑰。設置在所述終端510的終端數(shù)據(jù)處理模塊513,用以在所述終端510作為數(shù)據(jù)發(fā) 送方時將欲發(fā)送的數(shù)據(jù)用所述終端隨機密鑰模塊512生成的會話密鑰和對稱加密算法加 密為密文一,再用服務器520的公鑰和非對稱加密算法加密所述會話密鑰為密文二 ;以及, 用以在所述終端510作為數(shù)據(jù)接收方時,接收到服務器520發(fā)送來的加密數(shù)據(jù)后,根據(jù)終端 510的私鑰進行解密得到服務器520的會話密鑰,再用服務器520的會話密鑰解密得到服務 器520發(fā)送來的元始數(shù)據(jù)。設置在所述服務器520的服務器數(shù)據(jù)處理模塊523,用以在所述服務器520作為數(shù) 據(jù)發(fā)送方時將欲發(fā)送的數(shù)據(jù)用所述服務器隨機密鑰模塊522生成的會話密鑰和對稱加密 算法加密為密文一,再用終端510的公鑰和非對稱加密算法加密所述會話密鑰為密文二 ; 以及,用以在所述服務器520作為數(shù)據(jù)接收方時,接收到終端510發(fā)送來的加密數(shù)據(jù)后,根 據(jù)服務器520的私鑰進行解密得到終端510的會話密鑰,再用終端510的會話密鑰解密得 到終端510發(fā)送來的元始數(shù)據(jù)。設置在所述終端510的終端數(shù)據(jù)傳輸模塊514,用以發(fā)送和接收數(shù)據(jù)。設置在所述服務器520的服務器數(shù)據(jù)傳輸模塊524,用以發(fā)送和接收數(shù)據(jù)。作為一實施例,所述終端510和服務器520使用的對稱加密算法為3DES加密算 法,并且/或者所述終端510和服務器520使用的非對稱加密算法為RSA加密算法。終端隨 機密鑰模塊和服務器隨機密鑰模塊,根據(jù)系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰, 其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。下面描述隨機生成會話密鑰的實現(xiàn)過程
13
1)根據(jù)系統(tǒng)時間設計隨機數(shù)種子sr ;設sr = hour*kl+min*k2+sec*k3(kl,k2, k3 為自設定常數(shù);hour, min, sec 分別 取時,分,秒對應的整數(shù)值)。2)由于會話密鑰是24位,設計一個for循環(huán),循環(huán)次數(shù)為24,每次循環(huán)一次生成 一位會話密鑰;3)循環(huán)體的實現(xiàn)過程a)利用隨機數(shù)生成器的初始化器srandO初始化隨機數(shù)種子,使之成為大素數(shù);b)利用randO生成隨機數(shù),要求隨機數(shù)都不小于0 ;c)將生成的隨機數(shù)轉(zhuǎn)換成string類型放入長度為20的char類型數(shù)組中,并取最 高位的字符作為24位會話密鑰的第i-Ι位(i表示循環(huán)次數(shù))。在上述隨機生成會話密鑰的過程中,取的系統(tǒng)時間均為時,分,秒對應的整數(shù)值, 使用非動態(tài)的數(shù)組處理數(shù)據(jù),避免了浮點型數(shù)據(jù)運算,提高了數(shù)據(jù)運算的速度,減少了數(shù)據(jù) 運算的內(nèi)存。終端510中的各個模塊之間可以相互進行數(shù)據(jù)交換,服務器520中的各個模塊之 間也可以相互進行數(shù)據(jù)交換。作為一實施例,所述終端510為移動終端,終端510顯然可以 為多個,多個終端510可以通過互聯(lián)網(wǎng)和移動網(wǎng)絡將數(shù)據(jù)傳送至服務器520進行數(shù)據(jù)傳輸, 當使用移動網(wǎng)絡傳輸數(shù)據(jù)時,終端510可以通過安裝sim卡以取得移動網(wǎng)絡的信任,然后通 過該移動網(wǎng)絡來傳輸數(shù)據(jù)給服務器520。需要指出的是,數(shù)據(jù)傳輸系統(tǒng)500對應于數(shù)據(jù)傳輸方法100,兩者的實現(xiàn)過程和技 術(shù)原理相同,故重復部分不再贅述。綜上,本發(fā)明利用對稱加密算法和非對稱加密算法的結(jié)合,同時取得到了對稱加 密算法的高效率性和非對稱加密算法的高安全性的優(yōu)點。因為對稱加密算法的特點是效率 高但是安全性低,而非對稱加密算法的特點是安全性高但是效率低,這是一個客觀的自然 規(guī)律,所以POS機要在公網(wǎng)上和服務器進行數(shù)據(jù)傳輸,將面臨一個兩難的境地,如果用對稱 加密算法對數(shù)據(jù)加密和解密,可以保證數(shù)據(jù)處理的效率,但不能保證數(shù)據(jù)的安全性,而如果 用非對稱加密算法對數(shù)據(jù)加密和解密,可以保證數(shù)據(jù)的安全性,處理的效率,但不能保證數(shù) 據(jù)的安全性。本發(fā)明所述的終端和服務器間的數(shù)據(jù)傳輸方法100及系統(tǒng)500、簽到方法200、 支付方法300,它們?yōu)榱送瑫r保證數(shù)據(jù)處理的效率以及數(shù)據(jù)安全性,將非對稱加密算法和對 稱加密算法相結(jié)合,即用發(fā)送端產(chǎn)生會話密鑰,用會話密鑰和高效率的對稱加密算法加密 要發(fā)送的原始數(shù)據(jù),再用接收端的公鑰和高安全性的非對稱加密算法加密發(fā)送端的會話密 鑰,這樣接收端解密時,先利用非對稱加密算法解密得到會話密鑰(會話密鑰體積小,不影 響非對稱加密算法解密的效率),再利用解密出的會話密鑰和對稱加密算法去解密接收的 原始數(shù)據(jù)(對稱加密算法可以高效的解密體積較龐大的原始數(shù)據(jù))。這樣,本發(fā)明巧妙的利 用了對稱加密算法的高效率性和非對稱加密算法的高安全性的客觀規(guī)律,實現(xiàn)了 POS機和 服務器高效又安全的處理數(shù)據(jù),且能在公網(wǎng)上傳輸而不影響數(shù)據(jù)的安全性。本技術(shù)領域中的普通技術(shù)人員應當認識到,以上的實施例僅是用來說明本發(fā)明, 而并非用作為對本發(fā)明的限定,只要在本發(fā)明的實質(zhì)精神范圍內(nèi),對以上實施例的變化、變 型都將落在本發(fā)明的權(quán)利要求書范圍內(nèi)。
權(quán)利要求
一種終端和服務器間的數(shù)據(jù)傳輸方法,其特征在于,包括以下步驟(1.1)分別生成終端和服務器的非對稱密鑰對,雙方相互獲取對方非對稱密鑰對中的公鑰;(1.2)數(shù)據(jù)發(fā)送方隨機生成會話密鑰,將欲發(fā)送的數(shù)據(jù)用所述會話密鑰和對稱加密算法加密為密文一,再用數(shù)據(jù)接收方的公鑰和非對稱加密算法加密所述會話密鑰為密文二;(1.3)數(shù)據(jù)發(fā)送方將所述密文一和密文二打包并發(fā)送至數(shù)據(jù)接收方;(1.4)數(shù)據(jù)接收方用己方的私鑰解密接收到的所述密文二得到所述會話密鑰,再用所述會話密鑰解密接收到的所述密文一得到所述數(shù)據(jù)發(fā)送方發(fā)送的數(shù)據(jù)。
2.如權(quán)利要求1所述的方法,其特征在于,所述步驟(1.2)中,數(shù)據(jù)發(fā)送方使用的對稱 加密算法為3DES加密算法,并且/或者數(shù)據(jù)發(fā)送方使用的非對稱加密算法為RSA加密算 法。
3.如權(quán)利要求2所述的方法,其特征在于,所述步驟(1.2)中,所述數(shù)據(jù)發(fā)送方根據(jù)系 統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰,其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。
4.如權(quán)利要求1至3任一項所述的方法,其特征在于,所述終端為移動終端,所述移動 終端和服務器之間采用移動網(wǎng)絡或互聯(lián)網(wǎng)進行數(shù)據(jù)傳輸。
5.一種基于權(quán)利要求1所述數(shù)據(jù)傳輸方法的終端對服務器的簽到方法,其特征在于, 包括以下步驟(5. 1)所述終端隨機生成會話密鑰,終端將工作密鑰申請消息用所述會話密鑰和對稱 加密算法加密為密文一,用服務器的公鑰和非對稱加密算法加密所述會話密鑰為密文二, 再將所述密文一和密文二打包發(fā)送至所述服務器;(5. 2)所述服務器用服務器的私鑰解密接收到的所述密文二得到所述會話密鑰,再用 所述會話密鑰解密接收到的所述密文一得到所述終端發(fā)送的工作密鑰申請消息;(5. 3)所述服務器驗證所述工作密鑰申請消息合法后,生成工作密鑰,利用服務器端存 儲的終端主密鑰和對稱加密算法加密所述工作密鑰為密文三并發(fā)送至所述終端;(5. 4)所述終端用終端主密鑰解密所述密文三得到所述工作密鑰并存儲。
6.如權(quán)利要求5所述的簽到方法,其特征在于,所述方法中使用的對稱加密算法為 3DES加密算法,并且/或者使用的非對稱加密算法為RSA加密算法。
7.如權(quán)利要求6所述的簽到方法,其特征在于,所述步驟(5.1)中,所述終端根據(jù)系統(tǒng) 時間和預定的算法隨機產(chǎn)生24位會話密鑰,其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù) 值。
8.如權(quán)利要求5至7任一項所述的簽到方法,其特征在于,所述終端為移動終端,所述 移動終端通過移動網(wǎng)絡或互聯(lián)網(wǎng)對所述服務器進行簽到。
9.如權(quán)利要求8所述的簽到方法,其特征在于,所述步驟(5.4)中,所述工作密鑰以明 文的形式存儲在所述終端的硬件加密模塊中。
10.一種基于權(quán)利要求5所述簽到方法的支付方法,其特征在于,包括以下步驟(10. 1)所述終端獲取訂單信息,并用終端的私鑰和非對稱加密算法處理所述訂單信息 形成終端的數(shù)字簽名并發(fā)送至所述服務器;(10. 2)所述服務器用所述終端的公鑰對所述終端的數(shù)字簽名驗簽通過后,生成所述訂單信息的流水號并發(fā)送至所述終端;(10. 3)所述終端收到所述訂單信息的流水號后,用所述工作密鑰加密用戶在終端上輸 入的卡號和密碼為密文四;(10. 4)所述終端隨機生成會話密鑰,用所述會話密鑰和對稱加密算法加密所述訂單、 流水號相關(guān)信息以及所述密文四,生成報文密文;用所述服務器的公鑰和非對稱加密算法 加密所述會話密鑰,生成報文頭;將所述報文密文和報文頭打包發(fā)送至所述服務器;(10. 5)所述服務器解密所述報文密文和報文頭,對解密得到的訂單號、流水號信息驗 證合法后,發(fā)送支付請求至銀行,并接收銀行扣款后返回的扣款應答;(10. 6)所述服務器隨機產(chǎn)生會話密鑰,用所述會話密鑰和對稱加密算法加密所述扣款 應答為密文五,用所述終端的公鑰和非對稱加密算法加密所述會話密鑰為密文六,將所述 密文五和密文六打包發(fā)送至所述終端;(10. 7)所述終端解密所述密文五和密文六,確認解密得到的扣款應答并打印簽購單。
11.如權(quán)利要求10所述的支付方法,其特征在于,所述方法中使用的對稱加密算法為 3DES加密算法,并且/或者使用的非對稱加密算法為RSA加密算法。
12.如權(quán)利要求11所述的支付方法,其特征在于,所述步驟(10.2)包括對訂單信息中 商戶合法性以及終端合法性的驗證,驗證通過后再生成所述訂單信息的流水號并發(fā)送至所 述終端。
13.如權(quán)利要求12所述的支付方法,其特征在于,所述步驟(10.4)和步驟(10. 6)中, 所述終端和服務器分別根據(jù)系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰,其所根據(jù)的 系統(tǒng)時間分別取時、分、秒的整數(shù)值。
14.如權(quán)利要求10至13任一項所述的支付方法,其特征在于,所述終端為移動終端,所 述移動終端通過移動網(wǎng)絡或互聯(lián)網(wǎng)對所述服務器進行數(shù)據(jù)傳輸。
15.如權(quán)利要求14所述的支付方法,其特征在于,所述步驟(10.1)中,若所述服務器預 先存儲有所述訂單信息,則在步驟(10.2)中,所述服務器用所述終端的公鑰對所述終端的 數(shù)字簽名驗簽通過后,還將所述終端發(fā)送的訂單信息與服務器預先存儲的訂單信息進行比 對驗證通過后,再生成所述訂單信息的流水號并發(fā)送至所述終端。
16.一種包括終端和服務器的數(shù)據(jù)傳輸系統(tǒng),所述終端和服務器互為數(shù)據(jù)發(fā)送方和數(shù) 據(jù)接受方,其特征在于,進一步包括設置在所述終端的存儲模塊,用以存儲所述終端的非對稱密鑰對、所述服務器的公鑰、 對稱加密算法以及非對稱加密算法;設置在所述服務器的存儲模塊,用以存儲所述服務器的非對稱密鑰對、所述終端的公 鑰、對稱加密算法以及非對稱加密算法;設置在所述終端的隨機密鑰模塊,用以在所述終端作為數(shù)據(jù)發(fā)送方時隨機生成所述終 端的會話密鑰;設置在所述服務器的隨機密鑰模塊,用以在所述服務器作為數(shù)據(jù)發(fā)送方時隨機生成所 述服務器的會話密鑰;設置在所述終端的數(shù)據(jù)處理模塊,用以在所述終端作為數(shù)據(jù)發(fā)送方時將欲發(fā)送的數(shù)據(jù) 用所述終端的隨機密鑰模塊生成的會話密鑰和對稱加密算法加密為密文一,再用服務器的 公鑰和非對稱加密算法加密所述會話密鑰為密文二 ;以及,用以在所述終端作為數(shù)據(jù)接收方時,根據(jù)非對稱加密算法和對稱加密算法解密所述服務器發(fā)送來的加密數(shù)據(jù);設置在所述服務器的數(shù)據(jù)處理模塊,用以在所述服務器作為數(shù)據(jù)發(fā)送方時將欲發(fā)送的 數(shù)據(jù)用所述服務器的隨機密鑰模塊生成的會話密鑰和對稱加密算法加密為密文一,再用終 端的公鑰和非對稱加密算法加密所述會話密鑰為密文二 ;以及,用以在所述服務器作為數(shù) 據(jù)接收方時,根據(jù)非對稱加密算法和對稱加密算法解密所述終端發(fā)送來的加密數(shù)據(jù); 設置在所述終端的數(shù)據(jù)傳輸模塊,用以發(fā)送和接收數(shù)據(jù); 設置在所述服務器的數(shù)據(jù)傳輸模塊,用以發(fā)送和接收數(shù)據(jù)。
17.如權(quán)利要求16所述的系統(tǒng),其特征在于,所述終端和服務器使用的對稱加密算法 為3DES加密算法,并且/或者所述終端和服務器使用的非對稱加密算法為RSA加密算法。
18.如權(quán)利要求17所述的系統(tǒng),其特征在于,所述終端和服務器的隨機密鑰模塊,根據(jù) 系統(tǒng)時間和預定的算法隨機產(chǎn)生24位會話密鑰,其所根據(jù)的系統(tǒng)時間分別取時、分、秒的整數(shù)值。
19.如權(quán)利要求16至18任一項所述的系統(tǒng),其特征在于,所述終端為移動終端,所述移 動終端和服務器之間采用移動網(wǎng)絡或互聯(lián)網(wǎng)進行數(shù)據(jù)傳輸。
全文摘要
本發(fā)明揭示了一種終端和服務器間的數(shù)據(jù)傳輸方法及系統(tǒng)、簽到和支付方法,其采用RSA非對稱加密算法和3DES對稱加密算法,利用隨機產(chǎn)生的會話密鑰和3DES對稱加密算法加密原始數(shù)據(jù),利用對端的公鑰和RSA非對稱加密算法加密會話密鑰,將經(jīng)過加密的兩部分數(shù)據(jù)發(fā)送至對端,對端再依次利用私鑰解密出會話密鑰,再用會話密鑰解密出原始數(shù)據(jù)。本發(fā)明巧妙的將3DES對稱加密算法與RSA非對稱加密算法相結(jié)合,不僅保證了終端特別是POS機在公網(wǎng)上安全地傳輸數(shù)據(jù)及簽名,而且還保證了較高的數(shù)據(jù)處理效率,使終端在公網(wǎng)上與服務器進行安全高效的數(shù)據(jù)交換,實現(xiàn)了終端特別是POS機在公網(wǎng)上安全高效的完成電子支付。
文檔編號H04L9/06GK101964793SQ20101050144
公開日2011年2月2日 申請日期2010年10月8日 優(yōu)先權(quán)日2010年10月8日
發(fā)明者周雪松, 金錫丹 申請人:上海銀聯(lián)電子支付服務有限公司