基于時間同步碼的安全認證方法及時間同步碼模塊的制作方法
【專利摘要】本發(fā)明涉及通信安全技術(shù),目的是為了解決目前網(wǎng)絡(luò)安全交易過程中安全性不高的問題�����。付款終端將收款終端的同步碼��、付款終端關(guān)鍵業(yè)務(wù)標識碼及付款終端同步碼對應(yīng)時刻的時間戳進行加密后形成付款終端加密包并連同付款終端的時間同步碼模塊身份碼及加密密鑰對應(yīng)的密鑰編號發(fā)送給收款終端�,收款終端再對付款終端加密包、收款終端關(guān)鍵業(yè)務(wù)收款終端同步碼對應(yīng)時刻的時間戳��、款項金額和款項屬性進行加密形成收款終端加密包并連同收款終端的時間同步碼模塊身份碼及所述收款終端加密密鑰對應(yīng)的密鑰編號發(fā)送給服務(wù)器�����。服務(wù)器根據(jù)接收的數(shù)據(jù)與服務(wù)器中對應(yīng)存儲的數(shù)據(jù)進行安全認證��。本發(fā)明適用于近場交易����。
【專利說明】基于時間同步碼的安全認證方法及時間同步碼模塊
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信安全技術(shù)����,特別涉及基于時間同步碼實現(xiàn)近場交易的安全認證方法。
【背景技術(shù)】
[0002]隨著近場交互業(yè)務(wù)的興起����,各種技術(shù)及手段層出不窮��。但無孔不入的木馬病毒肄意泛濫成災(zāi)����,極大地阻礙了無卡支付業(yè)務(wù)的發(fā)展����,也使得移動通信終端用作交易POS機更是困難重重。為保障近場交易安全�,規(guī)避惡意病毒侵害,本技術(shù)在近場交易流程中嵌入基于標準時鐘且需由外部觸發(fā)的時間同步碼認證環(huán)節(jié)����,同時用標識碼替代銀行卡號在系統(tǒng)中傳送,以此來防范手機病毒對交易業(yè)務(wù)的侵擾�。鑒于本技術(shù)對病毒的防御能力,本系統(tǒng)可普遍用于需認證的重要行業(yè)���,如手機支付以及防范公交卡在線非法充值����,同時也能實現(xiàn)POS機的手機化�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的是為了提供一種安全認證方法以解決目前網(wǎng)絡(luò)安全交易過程中安全性不高的問題。
[0004]本發(fā)明提供一種基于時間同步碼的安全認證方法,包括如下步驟:
[0005]A.收款終端的時間同步碼模塊通過其通信模塊將收款終端的時間同步碼發(fā)送給付款終端��,所述時間同步碼包括同步碼及同步碼對應(yīng)的時間戳���;
[0006]B.付款終端的時間同步碼模塊通過其通信模塊接收收款終端的時間同步碼后,對接收的所述收款終端的同步碼���、時間戳及付款終端同步碼、時間戳和關(guān)鍵業(yè)務(wù)標識碼進行加密形成付款終端加密包����,并將所述付款終端加密包連同付款終端的時間同步碼模塊身份碼及加密密鑰對應(yīng)的密鑰編號發(fā)送給收款終端;
[0007]C.收款終端的時間同步碼模塊對付款終端發(fā)送的所述付款終端加密包����、付款終端的時間同步碼模塊身份碼及加密密鑰對應(yīng)的密鑰編號、收款終端關(guān)鍵業(yè)務(wù)標識碼和款項金額�����、款項屬性進行加密形成收款終端加密包��,并將所述收款終端加密包連同收款終端的時間同步碼模塊身份碼及所述收款終端加密密鑰對應(yīng)的密鑰編號發(fā)送給服務(wù)器���;
[0008]D.服務(wù)器根據(jù)接收的收款終端的時間同步碼模塊身份碼在收款終端時間同步碼模塊對應(yīng)的數(shù)據(jù)庫中查到所述收款終端加密密鑰對應(yīng)的密鑰編號并取得解密密鑰后,對收款終端加密包進行解密得到付款終端的時間同步碼模塊身份碼,根據(jù)所述付款終端時間同步碼模塊的身份碼在付款終端時間同步碼模塊對應(yīng)的數(shù)據(jù)庫中查到所述付款終端加密密鑰對應(yīng)的密鑰編號并取得解密密鑰后����,對付款終端加密包進行解密得到收款終端的同步碼及時間戳和付款終端的時間戳及同步碼;
[0009]E.服務(wù)器將所述付款終端的時間戳與此刻服務(wù)器的時間比對���,若兩者的時間差在設(shè)定的時差范圍內(nèi)�����,則將此刻付款終端時間同步碼模塊在服務(wù)器中預(yù)存對應(yīng)時刻的同步碼與所述解密的付款終端同步碼進行對比���;服務(wù)器將所述收款終端的時間戳與此刻服務(wù)器的時間比對,若兩者的時間差在設(shè)定的時差范圍內(nèi)����,則將此刻收款終端時間同步碼模塊在服務(wù)器中預(yù)存對應(yīng)時刻的同步碼與所述解密的收款終端同步碼進行對比,若上述兩組對比結(jié)果均一致�����,則通過認證���。
[0010]具體地�,步驟B中形成付款終端加密數(shù)據(jù)的具體過程如下:
[0011 ] B1.付款終端的時間同步碼模塊接收收款終端的同步碼后選定此時刻付款終端的同步碼,用所述付款終端同步碼對付款終端關(guān)鍵業(yè)務(wù)標識碼及所述收款終端的同步碼進行第一次加密���;
[0012]B2.付款終端的時間同步碼模塊從其密鑰序列中任意選取一密鑰���,對第一次加密后的數(shù)據(jù)及所述付款終端同步碼對應(yīng)時刻的時間戳進行第二次加密形成最終的付款終端加密數(shù)據(jù)。
[0013]具體地�,步驟C中形成收款終端加密數(shù)據(jù)的具體過程如下:
[0014]Cl.收款終端的時間同步碼模塊用所述收款終端的同步碼對接收的付款終端加密數(shù)據(jù)、付款終端時間同步碼模塊識別碼�、密鑰編號及收款終端關(guān)鍵業(yè)務(wù)標識碼進行第三次加密;
[0015]C2.收款終端的時間同步碼模塊從其密鑰序列中任意選取一密鑰��,對第三次加密后的數(shù)據(jù)及所述收款終端同步碼對應(yīng)時刻的時間戳�����、款項金額和款項屬性進行第四次加密形成最終的收款終端加密數(shù)據(jù)�,并將收款終端加密數(shù)據(jù)連同收款終端時間同步碼識別碼、密鑰編號發(fā)往服務(wù)器
[0016]具體地��,步驟F的具體方法如下:
[0017]Fl.服務(wù)器根據(jù)收款終端時間同步碼模塊身份碼得到收款終端的時間同步碼模塊在服務(wù)器中預(yù)存的相關(guān)信息數(shù)據(jù)����,根據(jù)所述收款終端加密密鑰對應(yīng)的密鑰編號查得所述收款終端加密包的解密密鑰后對收款終端加密包進行第一次解密得到所述收款終端的時間戳�����、關(guān)鍵業(yè)務(wù)標識碼、款項金額和款項屬性���,將所述收款終端的時間戳與服務(wù)器此時刻的時間進行對比�����,若兩者的時間差在設(shè)定的時差范圍內(nèi)��,則進入步驟F2 �;
[0018]F2.服務(wù)器根據(jù)此刻時間得到此時刻對應(yīng)收款終端時間同步碼模塊在服務(wù)器中的預(yù)存同步碼��,使用所述的同步碼對第一次解密后得到的所述收款終端加密包進行第二次解密得到付款終端時間同步碼模塊身份碼加密包�、加密密鑰對應(yīng)的密鑰編號,并根據(jù)第二次解密數(shù)據(jù)的付款終端時間同步碼模塊身份碼得到付款終端的時間同步碼模塊在服務(wù)器中預(yù)存的相關(guān)數(shù)據(jù)��,根據(jù)所述付款終端加密密鑰對應(yīng)的密鑰編號查得所述付款終端加密包的解密密鑰后對付款終端加密包進行第三次解密得到付款終端的時間戳�����,將所述付款終端的時間戳與服務(wù)器此時刻的時間進行對比�,若兩者的時間差在設(shè)定的時間差范圍內(nèi),則進入步驟F3 ��;
[0019]F3.服務(wù)器根據(jù)此刻的時間得到此時刻對應(yīng)的付款終端時間同步碼模塊在服務(wù)器中預(yù)存的同步碼,使用所述的同步碼對第三次解密得到的付款終端加密包進行第四次解密得到付款終端的關(guān)鍵業(yè)務(wù)標識碼及收款終端的同步碼�,并將第四次解密得到的收款終端的同步碼與所述第一次解密得到收款終端時間戳對應(yīng)收款終端時間同步碼模塊在服務(wù)器中預(yù)存的同步碼進行對比,若兩者一致��,則通過安全認證���,服務(wù)器根據(jù)付款終端的關(guān)鍵業(yè)務(wù)標識碼及收款終端的關(guān)鍵業(yè)務(wù)標識碼完成相應(yīng)的交易�。
[0020]進一步地��,步驟F之后還包括步驟:
[0021]G.服務(wù)器將交易信息�、服務(wù)器的同步碼及時間戳發(fā)送給收款終端,收款終端時間同步碼模塊根據(jù)服務(wù)器的時間戳得到此時刻時間同步碼模塊對應(yīng)的同步碼��,并將根據(jù)所述的同步碼與接收的服務(wù)器的同步碼進行對比����,若兩者一致,則顯示相關(guān)交易信息�;
[0022]或,服務(wù)器以此刻時間戳對應(yīng)的同步碼對操作指令加密后連同所述的時間戳發(fā)送給收款終端����,收款終端時間同步碼模塊接收后根據(jù)服務(wù)器的時間戳得到此時刻時間同步碼模塊對應(yīng)的同步碼,并以所述同步碼對服務(wù)器發(fā)送的所述加密數(shù)據(jù)解碼得到操作指令并執(zhí)行操作��。
[0023]具體地,所述付款終端為普通智能通信手機���,所述收款終端為普通智能通信手機或?qū)S檬湛钤O(shè)備。
[0024]具體地����,所述付款終端與收款終端均集成有NFC模塊并通過NFC通道進行通信。
[0025]具體地����,步驟A之前還包括如下過程:
[0026]付款終端的時間同步碼模塊及收款終端的同步碼模塊的同步碼序列庫、密碼序列庫及加密解密模塊和同步碼指針計數(shù)器在服務(wù)器中均預(yù)存有各自對應(yīng)的相同數(shù)據(jù)�。
[0027]本發(fā)明還提供一種基于時間同步碼實現(xiàn)近場交易的時間同步碼模塊,使用時將本模塊內(nèi)置于智能手機或?qū)S檬湛钤O(shè)備中���,該時間同步碼模塊包括存儲模塊��、微處理器��、對外接口及時鐘��,其特征在于���,還包括同步碼驗證模塊�����,用于對接收的同步碼與根據(jù)接收的時間戳對應(yīng)時刻的本時間同步碼模塊的同步碼進行驗證�,以及時間同步碼模塊代號及其身份碼�����。所述存儲模塊包括:
[0028]密鑰序列庫����,用于存儲密鑰序列,密鑰序列庫中的每一個密鑰對應(yīng)有一個密鑰編號����,;
[0029]關(guān)鍵業(yè)務(wù)標識碼,用于標識交易的重要證件代碼��;
[0030]同步碼序列庫���,用于存儲同步碼及同步碼的指針計數(shù)器����,指針計數(shù)器每一個時刻對應(yīng)一個不同的同步碼,指針計數(shù)器的指針以時間戳表征���;
[0031]時間同步碼模塊時鐘����,用于同步碼指針計數(shù)器的運行以及表征同步碼此刻對應(yīng)的時間戳��,還用于比對設(shè)備間時鐘的時間差值���;
[0032]時間同步碼同步碼模塊身份碼,用于在服務(wù)器上相應(yīng)的區(qū)域查找對應(yīng)終端的預(yù)存數(shù)據(jù)庫���;
[0033]時間同步碼模塊代號����,用于用戶以此可視化的代號在服務(wù)器上對應(yīng)的區(qū)域作數(shù)據(jù)關(guān)聯(lián)���,也用于收付款終端時間同步碼模塊的同步碼指針與服務(wù)器的同步碼指針同步�。
[0034]本發(fā)明的有益效果是:在實現(xiàn)近場交易的各個終端植入時間同步碼模塊��,利用同步碼及時間戳的對應(yīng)一致關(guān)系可以有效地防止非法用戶發(fā)起的各種網(wǎng)絡(luò)攻擊��,有效地保證了網(wǎng)絡(luò)近場交易過程中的安全性。
【專利附圖】
【附圖說明】
[0035]圖1為本發(fā)明的基于時間同步碼實現(xiàn)近場交易的時間同步碼模塊的原理示意圖�;
[0036]圖2為實施例的實現(xiàn)近場交易的流程圖。
[0037]
【具體實施方式】
[0038]下面結(jié)合附圖及實施例對本發(fā)明的技術(shù)方案作進一步描述���,實施例僅僅是為了更加詳細地對本發(fā)明的技術(shù)方案進行描述�����,其內(nèi)容并不用以限定本發(fā)明權(quán)利要求的保護范圍��。
[0039]本發(fā)明針對目前近場交易過程中安全性不高的問題�����,提供一種基于時間同步碼實現(xiàn)近場交易的安全認證方法���,本方法使用同步碼作為交易系統(tǒng)認證碼,以增強系統(tǒng)安全�����。
[0040]本發(fā)明的時間同步碼模塊����,如圖1所示��,包括存儲模塊��、微處理器�、對外接口及時鐘���,其特征在于�,還包括同步碼驗證模塊���,用于對接收的同步碼與根據(jù)接收的時間戳對應(yīng)時刻的本時間同步碼模塊的同步碼進行驗證���,以及時間同步碼模塊代號及其身份碼���。所述存儲模塊包括:
[0041]密鑰序列庫�,用于存儲密鑰序列����,密鑰序列庫中的每一個密鑰對應(yīng)有一個密鑰編號,;
[0042]關(guān)鍵業(yè)務(wù)標識碼�,用于標識交易的重要證件代碼;
[0043]同步碼序列庫�����,用于存儲同步碼及同步碼的指針計數(shù)器,指針計數(shù)器每一個時刻對應(yīng)一個不同的同步碼�,指針計數(shù)器的指針以時間戳表征;
[0044]時間同步碼模塊時鐘���,用于同步碼指針計數(shù)器的運行以及標征同步碼此刻對應(yīng)的時間戳�,用于比對設(shè)備間時鐘的時間差值��;
[0045]時間同步碼同步碼模塊身份碼�,用于在服務(wù)器上相應(yīng)的區(qū)域查找對應(yīng)終端的預(yù)存數(shù)據(jù)庫;
[0046]時間同步碼模塊代號���,用于用戶以此可視化的代號在服務(wù)器上對應(yīng)的區(qū)域作數(shù)據(jù)關(guān)聯(lián)�,也用于時間同步碼模塊同步碼指針與服務(wù)器的同步碼指針同步���。
[0047]實施例
[0048]1����、時間同步碼模塊
[0049]為防范惡意病毒的侵襲�����,本方法對參與近場交易的各終端設(shè)備均增添一塊基于標準時鐘(北京)同步計數(shù)的時間同步碼模塊,模塊內(nèi)集成了獨立的時鐘���、同步碼指針計數(shù)器�����、加密解密模塊及交易認證數(shù)據(jù)(交易認證數(shù)據(jù)具體有哪些)�����。該模塊僅在外因驅(qū)動下觸發(fā)交易進程���,其既不能通過對移動終端的操作獲取該同步碼,也不能由移動終端自動觸發(fā)模塊的交易進程�。本方法的同步碼序列是有序序列,并固化于遠近端設(shè)備的同步碼模塊或硬件芯片���,單個同步碼的確定由此刻的同步碼指針指向,遠近端設(shè)備內(nèi)的同步碼序列指針計數(shù)器���,依各自本機的標準(北京)時鐘彼此離線地同步計數(shù)�����,同步碼有序序列以(北京)標準時鐘為基準可同步地循環(huán)計數(shù)��,可重復(fù)利用���。鑒于每次交易均需對隨時間變化的同步碼認證�����,同時因同步碼序列預(yù)固化硬件芯片而不能被外界讀取�,且傳輸通道經(jīng)加密處理��,因此本方法有效地規(guī)避惡意病毒在移動終端內(nèi)對敏感數(shù)據(jù)的盜竊和篡改�。當然,同步碼指針計數(shù)器也可加載在移動終端的APP應(yīng)用中�,由APP依移動本終端的時鐘并按約定的計時步長對同步碼指針計算后返回時間同步碼模塊。當時間同步碼模塊獨立的時鐘或移動終端時鐘丟失后又再復(fù)電�,同步碼模塊以其模塊代號及身份碼向遠端服務(wù)器申請同步碼指針重新同步。鑒于終端時鐘的走時誤差及本方法對同步碼的實時性要求�,在認證同步碼時需作指針調(diào)整:設(shè)遠近端設(shè)備時鐘誤差小于I分鐘,移動終端上傳同步碼時間戳為tl���,遠端服務(wù)器同步碼時間戳為t2�����,則設(shè)備間時間差Λ t = t2-tl�����。若Λ t = 0���,即終端在分鐘級同步����,同步碼指針調(diào)整不作調(diào)整�;若厶t = 1,即遠端服務(wù)器時鐘走時快I分鐘��,則遠端服務(wù)器同步碼指針減1�����,取上一分鐘的同步碼����;若八t = -1,即服務(wù)器時鐘走時慢I分鐘��,則遠端服務(wù)器同步碼指針加1����,取下一分鐘的同步碼���。完成同步碼指針調(diào)整后再對同步碼作比對,若正確���,則通過認證��,否則中止交易���。同步碼指針的調(diào)整不影響設(shè)備時鐘。
[0050]2���、收款終端手機化
[0051]本方法在將移動終端作為收款終端時設(shè)計了如下流程:付款終端的時間同步碼模塊接收收款終端的同步碼后選定此時刻付款終端的同步碼�,用所述付款終端同步碼對付款終端關(guān)鍵業(yè)務(wù)標識碼及所述收款終端的同步碼進行第一次加密����;付款終端的時間同步碼模塊從其密鑰序列中任意選取一密鑰,對第一次加密后的數(shù)據(jù)及所述付款終端同步碼對應(yīng)時刻的時間戳進行第二次加密形成最終的付款終端加密數(shù)據(jù)�����。收款終端的時間同步碼模塊用所述收款終端的同步碼對接收的付款終端加密數(shù)據(jù)及收款終端關(guān)鍵業(yè)務(wù)標識碼進行第三次加密�����;收款終端的時間同步碼模塊從其密鑰序列中任意選取一密鑰,對第三次加密后的數(shù)據(jù)及所述收款終端同步碼對應(yīng)時刻的時間戳、款項金額和款項屬性進行第四次加密形成最終的收款終端加密數(shù)據(jù)�����。之所以用四層加密��,原因是加大破解保護殼的時間��,以發(fā)揮同步碼時效性的作用����。鑒于經(jīng)收付款終端的四次加密且每次加密密鑰均隨機選取,同時考慮到同步碼的時效性���,因此即使賊盜費時費力破解了本次加密數(shù)據(jù)而取得同步碼��,但由于同步碼的時效已過仍不能用于交易���。另外,若在規(guī)定時限內(nèi)能破解第三�����、四層加密數(shù)據(jù)���,但由于第一層加密數(shù)據(jù)中包含了收款終端的同步碼���,因此若沒能解開最內(nèi)的第一層加密數(shù)據(jù),其仍不能將收款方的同步碼替換為第三方的同步碼而盜用他人賬戶收款����。所以要破解付款終端發(fā)送的加密數(shù)據(jù)或破解后用于交易欺詐幾乎是不可能的。除此之外�,本方法使用關(guān)鍵業(yè)務(wù)標識碼替代用戶銀行卡號、用戶賬號的傳送��,以此來防范木馬病毒對通信數(shù)據(jù)的截獲���,籍此實現(xiàn)POS手機化的目的����。
[0052]3����、時間同步碼
[0053]本交易系統(tǒng)使用同步碼作為每次合法交易的認證碼。為防止惡意病毒對交易的侵襲����,位于移動終端內(nèi)的同步碼模塊不能由移動終端操作系統(tǒng)讀取���,也不能被外界觸發(fā)同步碼模塊的交易進程��,其是預(yù)固化在如U/SIM卡或SD卡或移動終端的有電源的硬件中���,并由相關(guān)機構(gòu)預(yù)固化了有序的同步碼序列�、密鑰序列及密鑰序號、加密算法�、關(guān)鍵業(yè)務(wù)標識碼��、模塊可視代號和模塊身份碼的認證數(shù)據(jù)���,同時在遠端服務(wù)器上也預(yù)灌入以該同步碼模塊代號同樣的認證數(shù)據(jù)��,并在同步碼模塊內(nèi)存和外表標記了本同步碼模塊的代號��,以便用戶在遠端服務(wù)器對該同步碼模塊作相關(guān)數(shù)據(jù)的關(guān)聯(lián)操作和用于遠近終端間同步碼指針的同步�����,即�,以物理的U/SM卡或SD卡構(gòu)建一個獨立的可信執(zhí)行環(huán)境TEE (Trusted Execut1nEnvironment)。用戶領(lǐng)取集成了時間同步碼模塊的U/SIM卡或貼片或貼膜后�����,首先在遠端服務(wù)器對應(yīng)該時間同步碼模塊代號的區(qū)域填入銀行卡號���、款項屬性和多業(yè)務(wù)全名稱以及機主手機號碼�����,并在訪問的終端屬性區(qū)域設(shè)定口令密碼以便用戶下次的數(shù)據(jù)修改�。即,若用該時間同步碼模塊的移動終端登陸該網(wǎng)站��,則不需輸密碼,而是用本終端同步碼模塊的同步碼進行認證;若用其他終端登陸,則需輸入口令及短信隨機碼����,以防止他人修改收款人銀行賬號。于是該用戶在服務(wù)器上便形成了以該時間同步碼模塊身份碼為鏈首的包含同步碼序列��、密鑰序列、密鑰編號�����、銀行卡號��、多業(yè)務(wù)全名稱及款項屬性和手機號碼的數(shù)據(jù)鏈�����。用戶在遠端服務(wù)器完成關(guān)聯(lián)操作后,遠端服務(wù)器便向該移動終端下發(fā)帶有開始計時的時間戳����、計時時長信息(如I分鐘)�����,此后雙方在標準時鐘的統(tǒng)一指揮下���,以該時間戳為基準按此約定同步地對各自的同步碼序列指針開始計數(shù)。每次交易時���,遠端服務(wù)器均用同步碼作比對進行認證����,若相同��,則進入步一步操作����,否則,中止進程�。
[0054]4、服務(wù)器
[0055]服務(wù)器的關(guān)鍵數(shù)據(jù)與對應(yīng)移動終端的同步碼序列�����、密鑰序列及密鑰序號����、模塊身份碼、關(guān)鍵業(yè)務(wù)標識碼和多業(yè)務(wù)全名稱完全相同�,其同步碼指針在標準時鐘的下按約定規(guī)則計數(shù),并可在標準時鐘計數(shù)下同步地循環(huán)計數(shù)��。在交易環(huán)節(jié)�,移動終端每次交易均需同步碼作為本次交易合法性的認證碼,若僅有業(yè)務(wù)標識碼而沒有同步碼或同步碼不正確或同步碼已過期失效,則交易均不成功�。服務(wù)器依時間同步碼模塊的身份碼能快速、精確地在其數(shù)據(jù)庫中檢索到其對應(yīng)的解碼密鑰序列����、多業(yè)務(wù)全名稱、同步碼序列和其對應(yīng)的銀行卡號���。本近場交易方法用關(guān)鍵業(yè)務(wù)標識碼替代業(yè)務(wù)碼在設(shè)備間傳送�,如銀行卡號����、賬號等關(guān)鍵業(yè)務(wù)信息,在服務(wù)器處將關(guān)鍵業(yè)務(wù)標識碼轉(zhuǎn)換為用戶的銀行卡號或重要業(yè)務(wù)�����,也即該服務(wù)器是有“翻譯”功能的資金中轉(zhuǎn)站�����。服務(wù)器通過有線或無線網(wǎng)絡(luò)分別與移動終端及銀行機構(gòu)相連��。時間同步碼模塊識別碼數(shù)據(jù)域的“多業(yè)務(wù)全名稱”對應(yīng)移動終端的APP多個應(yīng)用��,用于諸如會員卡���、優(yōu)惠卷及各類電子票等非敏感業(yè)務(wù)��,用戶點擊此類應(yīng)用專用圖標�,則帶領(lǐng)用戶進入該類業(yè)務(wù)有多個應(yīng)用的圖標界面�,用戶再點擊所需業(yè)務(wù)的圖標,則移動終端的同步碼模塊該域內(nèi)填入對應(yīng)的業(yè)務(wù)全名����,服務(wù)器讀取該業(yè)務(wù)名稱后連接其對應(yīng)的業(yè)務(wù)平臺。
[0056]特別地�,若移動終端當作POS機需向兩個銀行賬號打款,如一個賬號為公用���,一個賬號為私人���,但由于收/付移動終端時間同步碼模塊中如銀行卡號類的重要業(yè)務(wù)的“關(guān)鍵業(yè)務(wù)標識碼”只有一個,為了不使公用款項誤打入私人賬號�,此情況用戶在終端收款界面上點擊“公用”圖標,由時間同步碼模塊在“款項屬性”欄選用“公用”標識��。在服務(wù)器按照本方法的數(shù)據(jù)格式識辯出“款項屬性”為“公用”標識后��,便以該身份碼數(shù)據(jù)鏈對應(yīng)的手機號碼,在數(shù)據(jù)庫中檢索該手機號歸屬另一新身份碼的數(shù)據(jù)鏈�����,并對該新數(shù)據(jù)鏈上的業(yè)務(wù)標識碼作銀行卡號轉(zhuǎn)換�����,然后對該銀行賬號轉(zhuǎn)賬�、打款。為便于開展多種NFC業(yè)務(wù)����,對于其他諸如商場會員、公交地鐵�、打卡及門禁、登機牌和ETC類等非敏感數(shù)據(jù)的業(yè)務(wù)����,如用戶在移動終端點擊“優(yōu)惠業(yè)務(wù)”圖標后,APP便引導(dǎo)用戶進入文本編輯框����,在此框內(nèi)輸入并存儲如某某商場的全名,此后用戶再點擊該圖標時�����,移動終端APP便在該“多業(yè)務(wù)全名稱”域值填入用戶存儲的該某某商場的全名���,服務(wù)器讀取并在其數(shù)據(jù)庫匹配該商場全名后����,連接該商場對應(yīng)的業(yè)務(wù)平臺�。“關(guān)鍵業(yè)務(wù)標識碼”固化在時間同步碼模塊中�,而非關(guān)鍵的“多業(yè)務(wù)全名稱”應(yīng)用是加載于終端APP的。
[0057]5���、近場交易流程
[0058]參照圖2����,說明本方法近場交易的流程����。
[0059]①U/SM-NFC及時間同步碼模塊
[0060]在U/SM卡(或SD卡)某區(qū)域單獨集成一塊有MPU、ΕΕΡ0Μ�����、時鐘及RAM的并與U/SM卡同電源的時間同步碼模塊芯片,該模塊芯片可經(jīng)U/SM卡接口調(diào)用移動終端的資源�。時間同步碼模塊中已預(yù)固化了模塊的代號及身份碼、同步碼序列及指針計數(shù)器���、密鑰序列及密鑰編號����、加密算法和關(guān)鍵業(yè)務(wù)標識碼的認證數(shù)據(jù)�,同時還在U/S頂卡上配置了用于近場通信的13.56Mhz或2.4Ghz NFC系統(tǒng)。對于天線預(yù)制在移動終端后蓋的13.56Mhz或2.4Ghz NFC系統(tǒng)��,其信號線直連集成在U/SM或SD卡上的時間同步碼模塊��,以構(gòu)成獨立的NFC通道�。用戶在服務(wù)器完成數(shù)據(jù)關(guān)聯(lián)操作后,服務(wù)器向移動終端下發(fā)帶有開始計數(shù)的時間戳及指針計數(shù)時長的計數(shù)信息�,雙方設(shè)備以該時間戳為基準對各自的同步碼序列指針進行同步計數(shù)。當然�����,移動終端同步碼指針計數(shù)器也可加載于終端APP中����,時鐘也可從終端獲取��。對于沒有13.56Mhz或2.4Ghz NFC的移動付款終端�����,可以在終端后蓋內(nèi)外側(cè)粘貼無源的13.56Mz NFC貼片或在U/SIM卡上貼上有NFC功能的同步碼模塊薄膜。該貼片或貼膜在初次使用時��,其時鐘由收款POS機經(jīng)NFC授予�����。由于該片膜時間同步碼模塊無電源���,因此其每次在吐出同步碼后均要對本次同步碼對應(yīng)的時間作記憶�����,以便在下次交易時以此記憶時鐘為基礎(chǔ)對同步碼作補償計算�����,以保持與收款POS機同步碼的同步�。
[0061]對于利用圖形支付碼的近場業(yè)務(wù)����,也源于手機病毒的原因大大妨礙了業(yè)務(wù)的進程���。本技術(shù)在用作付款的移動終端SD卡內(nèi)集成了預(yù)固化了隨機碼的獨立模塊,同時在其上配置有13.56Mhz或2.4Ghz的有源NFC系統(tǒng)���,隨機碼模塊的電源取自SD卡�。由于僅需NFC系統(tǒng)提供隨機碼����,因此本NFC系統(tǒng)結(jié)構(gòu)非常簡單。對于掃描槍而言���,僅在現(xiàn)有光掃描系統(tǒng)基礎(chǔ)上新增13.56Mhz或2.4Ghz NFC系統(tǒng)�����,同時還增一塊信號合路器件�����。若集成了 13.56Mhz及2.4Ghz的雙系統(tǒng)NFC�,則掃描槍需增加判決器以優(yōu)先使用某一頻率的NFC。用戶點擊移動終端“付款”圖標發(fā)起支付時���,移動終端屏幕顯示用戶二維支付碼的同時��,也啟動了 SD卡的NFC系統(tǒng)����,其后在掃描槍對終端屏幕二維碼掃描時����,也一并將SD卡NFC系統(tǒng)吐出的本次隨機碼讀走�。后臺服務(wù)器對掃描槍上傳的二維碼解碼,并據(jù)此查找其對應(yīng)的預(yù)灌入后臺服務(wù)器的隨機碼庫����,若比對正確,則通過認證�����,否則中止進程�。由于每次交易均用不同的隨機碼作認證碼,因此本技術(shù)對諸如一����、二維碼類的近場交易�����,其安全性能非常高��。
[0062]②終端近場交易流程
[0063]此處近場交易的雙方均為移動通信終端��,移動終端作POS收款機時���,認證進程如下:
[0064]A.收款用戶首先在終端收款界面點擊“公用”或“私用”收款圖標,然后輸入應(yīng)收款項后點擊“確認”�,此時由終端的APP觸發(fā)其U/SIM卡上的時間同步碼模塊交易進程,時間同步碼模塊經(jīng)U/SM卡的NFC向付款終端發(fā)送其同步碼并記錄該同步碼及時間戳����。
[0065]B.付款終端U/S頂卡NFC收到如上收款POS終端發(fā)來的同步碼后便觸發(fā)時間同步碼模塊的交易進程。時間同步碼模塊依指針在同步碼序列選定此刻的同步碼����,然后用該同步碼經(jīng)算法I對關(guān)鍵業(yè)務(wù)標識碼及收款終端的同步碼作加密運算,以作第一層保護����;其后從密鑰序列中選定任意密鑰,將已加密的數(shù)據(jù)及此時的時間戳用選定的該密鑰再經(jīng)算法2作加密運算,以作第二層保護�����,其后便將以本機時間同步碼模塊的身份碼及本次密鑰編號為包頭的包含已加密的數(shù)據(jù)經(jīng)NFC通道發(fā)往收款P終端�。收款終端U/SM卡的時間同步碼模塊經(jīng)其NFC收到該信息后,用記錄的本機同步碼對付款終端發(fā)來的整個數(shù)據(jù)包和其關(guān)鍵業(yè)務(wù)標識碼以算法I作加密運算�,作為第三層保護;其后再從密鑰序列中選取任意密鑰��,將本機已加密的數(shù)據(jù)及記錄的本機時間戳連同收款金額及款項屬性用選定的密鑰經(jīng)算法2再次加密運算���,作為第四層保護����,最后將以時間同步碼模塊的身份碼及本次密鑰編號為包頭的包含所有加密的數(shù)據(jù)經(jīng)移動終端APP發(fā)往服務(wù)器�����。遠端服務(wù)器依上傳數(shù)據(jù)的格式先找出收款終端的時間同步碼模塊的身份碼���,并以此碼查詢其對應(yīng)的數(shù)據(jù)庫,然后以密鑰編號在密碼序列中查尋對應(yīng)的密鑰并對該數(shù)據(jù)包的第四層解碼(最外層)�����,其后找出第四層解碼數(shù)據(jù)中所攜帶的時間戳,并依該時間戳與本機時鐘比對�,若小于系統(tǒng)規(guī)定時差,則計算出本機此時的同步碼���,其后以此同步碼解開第三層加密數(shù)據(jù)���。若能解開,一方面����,查對第一層解碼數(shù)據(jù)的時間同步碼模塊身份碼數(shù)據(jù)鏈的“款項屬性”是公用或私用,若是公用屬性�����,則在本機數(shù)據(jù)庫中查詢該身份碼數(shù)據(jù)鏈上手機號碼歸屬的另一新同步碼身份碼數(shù)據(jù)鏈���,并將鏈上的“關(guān)鍵業(yè)務(wù)標識碼”轉(zhuǎn)換為銀行卡號�,然后等待向該卡號轉(zhuǎn)賬���、打款���。若是私用屬性���,則直接將該身份碼數(shù)據(jù)鏈的“關(guān)鍵業(yè)務(wù)標識碼”轉(zhuǎn)換為銀行卡號,然后等待向該卡號轉(zhuǎn)賬����、打款。另一方面�����,從第三層解碼數(shù)據(jù)查找到付款終端時間同步碼模塊的身份碼��,并以此在本機中檢索其對應(yīng)的數(shù)據(jù)庫�,然后以密鑰編號在密碼序列中查尋對應(yīng)的密鑰并對第二層數(shù)據(jù)包解碼,其后找出第二層解碼數(shù)據(jù)中所攜帶的時間戳��,并依該時間戳與本機時鐘比對�����,若小于系統(tǒng)規(guī)定時差����,則計算出本機此時的同步碼,并以此同步碼解開第一層加密數(shù)據(jù)(最內(nèi)層)��。若能解開�����,則將第一層的收款終端的同步碼與第三層的同步碼作比對�����,若正確���,則將第一層的“關(guān)鍵業(yè)務(wù)碼”轉(zhuǎn)換為銀行卡號�����,并啟動該銀行卡號向收款銀行卡號轉(zhuǎn)賬�、打款進程�����。以上若有一步不正確�����,則進程全部中止。
[0066]本技術(shù)也特別適宜公交����、地鐵等充值類業(yè)務(wù),能夠有效地避免非法充值IC卡���。公交�����、地鐵卡實內(nèi)集成本方法的時間同步碼模塊��,其上也預(yù)固化了如上所述的認證數(shù)據(jù)�,在后臺公交服務(wù)器上也有預(yù)植有相同的認證數(shù)據(jù)�。公交后臺遠端服務(wù)器作為一個應(yīng)用模塊外掛于本方法的服務(wù)器,該類業(yè)務(wù)可使用移動終端APP上的“多業(yè)務(wù)全名稱”標識碼以標志該業(yè)務(wù)�����。用戶在本服務(wù)器完成相應(yīng)充值流程后����,服務(wù)器對用戶終端下發(fā)的加密充值指令�,其除常規(guī)的卡號����、金額等信息外還攜帶了本條充值指令的同步碼及時間戳���。收款終端收到該條加密指令經(jīng)其APP傳送到本機時間同步碼模塊����。若時間戳時間與本機時間同步碼模塊的時鐘差符合要求�����,則時間同步碼模塊以該時間戳為基準選出的同步碼對該條加密指令解碼��。若能解開���,則執(zhí)行該條充值指令完成對公交��、地鐵卡的在線充值��,否則中止���。除此之外,本方法也很適于車輛交通ETC業(yè)務(wù)(Electronic Toll Collect1n電子不停車收費系統(tǒng))��。
[0067]③交易信息回執(zhí)
[0068]交易成功后,服務(wù)器需將交易信息下發(fā)收付款移動終端�����,但由于移動終端系非專網(wǎng)專用設(shè)備����,同時其出入口通道對互聯(lián)網(wǎng)完全開放,因此極易被各類病毒攻擊�。為使移動通信終端能作POS機用,結(jié)合本方法的同步碼及指針技術(shù)����,能有效防堵因假冒服務(wù)器下發(fā)偽交易信息而不支付款項就能騙取機主財物的漏洞。其方法如下:
[0069]⑴入口限制����。移動終端在近場交易時,收款終端此階段只接收服務(wù)器的IP或該端口號所發(fā)信息��,收到成功交易信息并通過同步碼模塊認證后再釋放�。
[0070]⑵同步碼認證。服務(wù)器對交易終端下發(fā)的交易信息除文本外�����,還需攜帶本信息的同步碼及時間戳以作認證之用。收款終端收到交易信息后僅在屏幕顯示該同步碼�����,此時機主需將該同步碼拉入屏幕上的“驗證”框內(nèi)或搖一搖手機終端�,以便時間同步碼模塊對收到的該同步碼進行驗證�����,若同步碼驗證通過��,則時間同步碼模塊直接調(diào)用屏顯資源以顯示本次交易的相關(guān)信息��;否則�����,顯示不成功交易���。由于本方法使用了同步碼及其指針和驗證技術(shù)���,因此第三方服務(wù)器若假冒服務(wù)器給終端下發(fā)交易偽信息,由于其不知道此時的同步碼,因此下發(fā)的偽信息中的同步碼不能通過時間同步碼模塊的驗證�����。
【權(quán)利要求】
1.基于時間同步碼的安全認證方法���,其特征在于��,包括如下步驟: A.收款終端的時間同步碼模塊通過其通信模塊將收款終端的時間同步碼發(fā)送給付款終端���,所述時間同步碼包括同步碼及同步碼對應(yīng)的時間戳; B.付款終端的時間同步碼模塊通過其通信模塊接收收款終端的時間同步碼后,對接收的所述收款終端的同步碼����、時間戳及付款終端同步碼、時間戳和關(guān)鍵業(yè)務(wù)標識碼進行加密形成付款終端加密包����,并將所述付款終端加密包連同付款終端的時間同步碼模塊身份碼及加密密鑰對應(yīng)的密鑰編號發(fā)送給收款終端; C.收款終端的時間同步碼模塊對付款終端發(fā)送的所述付款終端加密包�、付款終端的時間同步碼模塊身份碼及加密密鑰對應(yīng)的密鑰編號、收款終端關(guān)鍵業(yè)務(wù)標識碼和款項金額��、款項屬性進行加密形成收款終端加密包���,并將所述收款終端加密包連同收款終端的時間同步碼模塊身份碼及所述收款終端加密密鑰對應(yīng)的密鑰編號發(fā)送給服務(wù)器�; D.服務(wù)器根據(jù)接收的收款終端的時間同步碼模塊身份碼在收款終端時間同步碼模塊對應(yīng)的數(shù)據(jù)庫中查到所述收款終端加密密鑰對應(yīng)的密鑰編號并取得解密密鑰后,對收款終端加密包進行解密得到付款終端的時間同步碼模塊身份碼�����,根據(jù)所述付款終端時間同步碼模塊的身份碼在付款終端時間同步碼模塊對應(yīng)的數(shù)據(jù)庫中查到所述付款終端加密密鑰對應(yīng)的密鑰編號并取得解密密鑰后��,對付款終端加密包進行解密得到收款終端的同步碼及時間戳和付款終端的時間戳及同步碼��; E.服務(wù)器將所述付款終端的時間戳與此刻服務(wù)器的時間比對����,若兩者的時間差在設(shè)定的時差范圍內(nèi)�����,則將此刻付款終端時間同步碼模塊在服務(wù)器中預(yù)存對應(yīng)時刻的同步碼與所述解密的付款終端同步碼進行對比���;服務(wù)器將所述收款終端的時間戳與此刻服務(wù)器的時間比對�����,若兩者的時間差在設(shè)定的時差范圍內(nèi)�����,則將此刻收款終端時間同步碼模塊在服務(wù)器中預(yù)存對應(yīng)時刻的同步碼與所述解密的收款終端同步碼進行對比����,若上述兩組對比結(jié)果均一致,則通過認證����。
2.如權(quán)利要求1所述的基于時間同步碼的安全認證方法,其特征在于���,步驟B中形成付款終端加密數(shù)據(jù)的具體過程如下: B1.付款終端的時間同步碼模塊接收收款終端的同步碼后選定此時刻付款終端的同步碼����,用所述付款終端同步碼對付款終端關(guān)鍵業(yè)務(wù)標識碼及所述收款終端的同步碼進行第一次加密��; B2.付款終端的時間同步碼模塊從其密鑰序列中任意選取一密鑰����,對第一次加密后的數(shù)據(jù)及所述付款終端同步碼對應(yīng)時刻的時間戳進行第二次加密形成最終的付款終端加密數(shù)據(jù)。
3.如權(quán)利要求2所述的基于時間同步碼的安全認證方法����,其特征在于���,步驟C中形成收款終端加密數(shù)據(jù)的具體過程如下: Cl.收款終端的時間同步碼模塊用所述收款終端的同步碼對接收的付款終端加密數(shù)據(jù)、付款終端時間同步碼模塊識別碼�����、密鑰編號及收款終端關(guān)鍵業(yè)務(wù)標識碼進行第三次加密���; C2.收款終端的時間同步碼模塊從其密鑰序列中任意選取一密鑰�,對第三次加密后的數(shù)據(jù)及所述收款終端同步碼對應(yīng)時刻的時間戳�、款項金額和款項屬性進行第四次加密形成最終的收款終端加密數(shù)據(jù)���,并將收款終端加密數(shù)據(jù)連同收款終端時間同步碼識別碼����、密鑰編號發(fā)往服務(wù)器2
4.如權(quán)利要求2或3所述的基于時間同步碼的安全認證方法����,其特征在于,步驟F的具體方法如下: Fl.服務(wù)器根據(jù)收款終端時間同步碼模塊身份碼得到收款終端的時間同步碼模塊在服務(wù)器中預(yù)存的相關(guān)信息數(shù)據(jù)���,根據(jù)所述收款終端加密密鑰對應(yīng)的密鑰編號查得所述收款終端加密包的解密密鑰后對收款終端加密包進行第一次解密得到所述收款終端的時間戳�����、關(guān)鍵業(yè)務(wù)標識碼�����、款項金額和款項屬性�����,將所述收款終端的時間戳與服務(wù)器此時刻的時間進行對比���,若兩者的時間差在設(shè)定的時差范圍內(nèi)�,則進入步驟F2 ; F2.服務(wù)器根據(jù)此刻時間得到此時刻對應(yīng)收款終端時間同步碼模塊在服務(wù)器中的預(yù)存同步碼�����,使用所述的同步碼對第一次解密后得到的所述收款終端加密包進行第二次解密得到付款終端時間同步碼模塊身份碼加密包���、加密密鑰對應(yīng)的密鑰編號�����,并根據(jù)第二次解密數(shù)據(jù)的付款終端時間同步碼模塊身份碼得到付款終端的時間同步碼模塊在服務(wù)器中預(yù)存的相關(guān)數(shù)據(jù)�����,根據(jù)所述付款終端加密密鑰對應(yīng)的密鑰編號查得所述付款終端加密包的解密密鑰后對付款終端加密包進行第三次解密得到付款終端的時間戳��,將所述付款終端的時間戳與服務(wù)器此時刻的時間進行對比�����,若兩者的時間差在設(shè)定的時間差范圍內(nèi)����,則進入步驟F3 ; F3.服務(wù)器根據(jù)此刻的時間得到此時刻對應(yīng)的付款終端時間同步碼模塊在服務(wù)器中預(yù)存的同步碼�����,使用所述的同步碼對第三次解密得到的付款終端加密包進行第四次解密得到付款終端的關(guān)鍵業(yè)務(wù)標識碼及收款終端的同步碼��,并將第四次解密得到的收款終端的同步碼與所述第一次解密得到收款終端時間戳對應(yīng)收款終端時間同步碼模塊在服務(wù)器中預(yù)存的同步碼進行對比�,若兩者一致����,則通過安全認證,服務(wù)器根據(jù)付款終端的關(guān)鍵業(yè)務(wù)標識碼及收款終端的關(guān)鍵業(yè)務(wù)標識碼完成相應(yīng)的交易���。
5.如權(quán)利要求4所述的基于時間同步碼的安全認證方法����,其特征在于,步驟F之后還包括步驟: G.服務(wù)器將交易信息���、服務(wù)器的同步碼及時間戳發(fā)送給收款終端�,收款終端時間同步碼模塊根據(jù)服務(wù)器的時間戳得到此時刻時間同步碼模塊對應(yīng)的同步碼�����,并將根據(jù)所述的同步碼與接收的服務(wù)器的同步碼進行對比���,若兩者一致�����,則顯示相關(guān)交易信息�; 或���,服務(wù)器以此刻時間戳對應(yīng)的同步碼對操作指令加密后連同所述的時間戳發(fā)送給收款終端���,收款終端時間同步碼模塊接收后根據(jù)服務(wù)器的時間戳得到此時刻時間同步碼模塊對應(yīng)的同步碼���,并以所述同步碼對服務(wù)器發(fā)送的所述加密數(shù)據(jù)解碼得到操作指令并執(zhí)行操作。
6.如權(quán)利要求1至5任意一項所述的基于時間同步碼的安全認證方法�,其特征在于,所述付款終端為普通智能通信手機�,所述收款終端為普通智能通信手機或?qū)S檬湛钤O(shè)備。
7.如權(quán)利要求1至5任意一項所述的基于時間同步碼的安全認證方法����,其特征在于,所述付款終端與收款終端均集成有NFC模塊并通過NFC通道進行通信���。
8.如權(quán)利要求1至5任意一項所述的基于時間同步碼的安全認證方法����,其特征在于���,步驟A之前還包括如下過程: 付款終端的時間同步碼模塊及收款終端的同步碼模塊的同步碼序列庫����、密碼序列庫及加密解密模塊和同步碼指針計數(shù)器在服務(wù)器中均預(yù)存有各自對應(yīng)的相同數(shù)據(jù)����。
9.基于時間同步碼的時間同步碼模塊,包括存儲模塊�����、微處理器���、對外接口及時鐘���,其特征在于,還包括同步碼驗證模塊�,用于對接收的同步碼與根據(jù)接收的時間戳對應(yīng)時刻的本時間同步碼模塊的同步碼進行驗證,以及時間同步碼模塊代號及其身份碼����。所述存儲模塊包括: 密鑰序列庫,用于存儲密鑰序列�����,密鑰序列庫中的每一個密鑰對應(yīng)有一個密鑰編號��,����; 關(guān)鍵業(yè)務(wù)標識碼��,用于標識交易的重要證件代碼����; 同步碼序列庫�����,用于存儲同步碼及同步碼的指針計數(shù)器�����,指針計數(shù)器每一個時刻對應(yīng)一個不同的同步碼���,指針計數(shù)器的指針以時間戳表征�����; 時間同步碼模塊時鐘�,用于同步碼指針計數(shù)器的運行以及表征同步碼此刻對應(yīng)的時間戳����,還用于比對設(shè)備間時鐘的時間差值�����; 時間同步碼同步碼模塊身份碼,用于在服務(wù)器上相應(yīng)的區(qū)域查找對應(yīng)終端的預(yù)存數(shù)據(jù)庫����; 時間同步碼模塊代號,用于用戶以此可視化的代號在服務(wù)器上對應(yīng)的區(qū)域作數(shù)據(jù)關(guān)聯(lián)�����,也用于收付款終端時間同步碼模塊的同步碼指針與服務(wù)器的同步碼指針同步�。
【文檔編號】H04L9/32GK104363199SQ201410520117
【公開日】2015年2月18日 申請日期:2014年9月30日 優(yōu)先權(quán)日:2014年9月30日
【發(fā)明者】熊文俊, 楊盛麟 申請人:熊文俊