支付密钥计算方法和装置转让专利
申请号 : CN201511030922.8
文献号 : CN105678543B
文献日 : 2019-11-29
发明人 : 卢道和 , 陈朝亮 , 杨军 , 韩海燕 , 黄兵 , 黎成 , 孙曦 , 邓翔 , 蔡毅 , 方镇举 , 邓志强
申请人 : 深圳前海微众银行股份有限公司
摘要 :
本发明公开了一种支付密钥计算方法和装置,该方法包括步骤:接收终端中支付应用软件发送的终端第一设备信息,根据所述第一设备信息为所述终端配置标识符;将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定;若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥;将所述第一限制密钥发送给所述支付应用软件,以供所述支付应用软件侦测到进行支付的操作指令时,根据所述标识符和所述第一限制密钥,通过所述加密算法计算得到第二限制密钥。本发明防止限制密钥泄露后在其它终端使用的风险。
权利要求 :
1.一种支付密钥计算方法,其特征在于,所述支付密钥计算方法包括以下步骤:接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符;
将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定;
若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥;
将所述第一限制密钥发送给所述支付应用软件,以供所述支付应用软件侦测到进行支付的操作指令时,根据所述标识符和所述第一限制密钥,通过所述加密算法计算得到第二限制密钥。
2.如权利要求1所述的支付密钥计算方法,其特征在于,所述接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符的步骤之后,还包括:根据所述终端第一设备信息为所述标识符建立第一特征向量;
所述将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定的步骤之后,还包括:确定侦测到的指令是更新所述支付应用软件中参数的更新指令还是对所述支付应用软件中支付账户的管理指令;
若侦测到的指令是对所述支付应用软件中支付账户的管理指令,则接收所述支付应用软件发送的终端第二设备信息;
根据所述终端第二设备信息为所述终端的标识符建立第二特征向量;
若所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度,则判定所述对所述支付账户的管理指令为可执行的指令。
3.如权利要求2所述的支付密钥计算方法,其特征在于,所述根据所述终端第二设备信息为所述终端的标识符建立第二特征向量的步骤之后,还包括:计算所述第一特征向量和所述第二特征向量之间的相似度;
判断所述相似度是否大于所述预设相似度;
若所述相似度小于或者等于所述预设相似度,则判定所述对所述支付账户的管理指令存在风险。
4.如权利要求1所述的支付密钥计算方法,其特征在于,所述若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥的步骤包括:若侦测到更新所述支付应用软件中参数的更新指令,则获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数;
根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过加密算法计算得到所述支付卡的卡片密钥;
根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述加密算法计算得到所述第一限制密钥。
5.如权利要求1至4任一项所述的支付密钥计算方法,其特征在于,所述设备信息包括国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表。
6.一种支付密钥计算装置,其特征在于,所述支付密钥计算装置包括:配置模块,用于接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符;
第一发送模块,用于将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定;
第一计算模块,用于若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥;
第二发送模块,用于将所述第一限制密钥发送给所述支付应用软件,以供所述支付应用软件侦测到进行支付的操作指令时,根据所述标识符和所述第一限制密钥,通过所述加密算法计算得到第二限制密钥。
7.如权利要求6所述的支付密钥计算装置,其特征在于,所述支付密钥计算装置还包括:第一建立模块,用于根据所述终端第一设备信息为所述标识符建立第一特征向量;
确定模块,用于确定侦测到的指令是更新所述支付应用软件中参数的更新指令还是对所述支付应用软件中支付账户的管理指令;
接收模块,用于若侦测到的指令是对所述支付应用软件中支付账户的管理指令,则接收所述支付应用软件发送的终端第二设备信息;
第二建立模块,用于根据所述终端第二设备信息为所述终端的标识符建立第二特征向量;
判定模块,用于若所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度,则判定所述对所述支付账户的管理指令为可执行的指令。
8.如权利要求7所述的支付密钥计算装置,其特征在于,所述支付密钥计算装置还包括:第二计算模块,用于计算所述第一特征向量和所述第二特征向量之间的相似度;
判断模块,还用于判断所述相似度是否大于所述预设相似度;
所述判定模块,还用于若所述相似度小于或者等于所述预设相似度,则判定所述对所述支付账户的管理指令存在风险。
9.如权利要求6所述的支付密钥计算装置,其特征在于,所述第一计算模块包括:获取单元,用于若侦测到更新所述支付应用软件中参数的更新指令,则获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数;
第一计算单元,用于根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过加密算法计算得到所述支付卡的卡片密钥;
第二计算单元,用于根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述加密算法计算得到所述第一限制密钥。
10.如权利要求6至9任一项所述的支付密钥计算装置,其特征在于,所述设备信息包括国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表。
说明书 :
支付密钥计算方法和装置
技术领域
[0001] 本发明涉及终端支付领域,尤其涉及一种支付密钥计算方法和装置。
背景技术
[0002] 随着终端的快速发展,及携带的便捷性,越来越多的用户在终端上进行支付操作。但是由于终端计算资源的开放性,目前基于HCE(host-based cardemulation,基于主机的卡模拟)技术实现的NFC(Near Field Communication,近距离无线通信技术)支付应用面临着非常大的安全风险。通常使用结合云端支付来降低NFC支付的安全风险,在云端支付过程中,多采用了限制密钥技术,即云端支付账户对应的卡片主密钥放在云端支付后台管理,而存储在用户终端支付应用软件中的用于计算交易的应用密文是由卡片主密钥根据一些分散因子分散出来的限制密钥,这些限制密钥限定使用次数或者有效期,可降低密钥被泄露后造成的风险损失。
[0003] 但是,目前已有的限制密钥计算方法中,并没有和使用该密钥的终端设备建立绑定关系,这就存在着限制密钥在终端中被泄露后,可以在其它终端使用该限制密钥进行支付操作,导致用户资金损失。
发明内容
[0004] 本发明的主要目的在于提供一种支付密钥计算方法和装置,旨在解决现有技术中限制密钥在终端中被泄露后,可以在其它终端使用该限制密钥进行支付操作,导致用户资金损失的技术问题。
[0005] 为实现上述目的,本发明提供一种支付密钥计算方法,包括步骤:
[0006] 接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符;
[0007] 将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定;
[0008] 若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥;
[0009] 将所述第一限制密钥发送给所述支付应用软件,以供所述支付应用软件侦测到进行支付的操作指令时,根据所述标识符和所述第一限制密钥,通过所述加密算法计算得到第二限制密钥。
[0010] 优选地,所述接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符的步骤之后,还包括:
[0011] 根据所述终端第一设备信息为所述标识符建立第一特征向量;
[0012] 所述将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定的步骤之后,还包括:
[0013] 确定侦测到的指令是更新所述支付应用软件中参数的更新指令还是对所述支付应用软件中支付账户的管理指令;
[0014] 若侦测到的指令是对所述支付应用软件中支付账户的管理指令,则接收所述支付应用软件发送的终端第二设备信息;
[0015] 根据所述终端第二设备信息为所述终端的标识符建立第二特征向量;
[0016] 若所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度,则判定所述对所述支付账户的管理指令为可执行的指令。
[0017] 优选地,所述根据所述终端第二设备信息为所述终端的标识符建立第二特征向量的步骤之后,还包括:
[0018] 计算所述第一特征向量和所述第二特征向量之间的相似度;
[0019] 判断所述相似度是否大于所述预设相似度;
[0020] 若所述相似度小于或者等于所述预设相似度,则判定所述对所述支付账户的管理指令存在风险。
[0021] 优选地,所述若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥的步骤包括:
[0022] 若侦测到更新所述支付应用软件中参数的更新指令,则获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数;
[0023] 根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过加密算法计算得到所述支付卡的卡片密钥;
[0024] 根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述加密算法计算得到所述第一限制密钥。
[0025] 优选地,所述设备信息包括国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表。
[0026] 此外,为实现上述目的,本发明还提供一种支付密钥计算装置,所述装置包括:
[0027] 配置模块,用于接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符;
[0028] 第一发送模块,用于将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定;
[0029] 第一计算模块,用于若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥;
[0030] 第二发送模块,用于将所述第一限制密钥发送给所述支付应用软件,以供所述支付应用软件侦测到进行支付的操作指令时,根据所述标识符和所述第一限制密钥,通过所述加密算法计算得到第二限制密钥。
[0031] 优选地,所述支付密钥计算装置还包括:
[0032] 第一建立模块,用于根据所述终端第一设备信息为所述标识符建立第一特征向量;
[0033] 确定模块,用于确定侦测到的指令是更新所述支付应用软件中参数的更新指令还是对所述支付应用软件中支付账户的管理指令;
[0034] 接收模块,用于若侦测到的指令是对所述支付应用软件中支付账户的管理指令,则接收所述支付应用软件发送的终端第二设备信息;
[0035] 第二建立模块,用于根据所述终端第二设备信息为所述终端的标识符建立第二特征向量;
[0036] 判定模块,用于若所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度,则判定所述对所述支付账户的管理指令为可执行的指令。
[0037] 优选地,所述支付密钥计算装置还包括:
[0038] 第二计算模块,用于计算所述第一特征向量和所述第二特征向量之间的相似度;
[0039] 判断模块,还用于判断所述相似度是否大于所述预设相似度;
[0040] 所述判定模块,还用于若所述相似度小于或者等于所述预设相似度,则判定所述对所述支付账户的管理指令存在风险。
[0041] 优选地,所述第一计算模块包括:
[0042] 获取单元,用于若侦测到更新所述支付应用软件中参数的更新指令,则获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数;
[0043] 第一计算单元,用于根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过加密算法计算得到所述支付卡的卡片密钥;
[0044] 第二计算单元,用于根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述加密算法计算得到所述第一限制密钥。
[0045] 优选地,所述设备信息包括国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表。
[0046] 本发明通过根据终端的设备信息为所述终端配置标识符,将所述标识符发送给支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定,在支付过程中,当所述支付应用软件接收到后台发送的第一限制密钥时,根据所述标识符和所述第一限制密钥计算得到第二限制密钥。实现了即使第二限制密钥丢失后,由于各个终端的标识符不一样,其他用户也无法在其它终端中使用所述第二限制密钥进行支付操作,防止了限制密钥泄露后在其它终端使用的风险,保护了用户资金的安全。
附图说明
[0047] 图1为本发明支付密钥计算方法第一实施例的流程示意图;
[0048] 图2为本发明实施例中若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥的一种流程示意图;
[0049] 图3为本发明支付密钥计算方法第二实施例的流程示意图;
[0050] 图4为本发明支付密钥计算装置第一实施例的功能模块示意图;
[0051] 图5为本发明实施例中第一计算模块的一种功能模块示意图;
[0052] 图6为本发明支付密钥计算装置第二实施例的功能模块示意图。
[0053] 本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0054] 应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0055] 本发明提供一种支付密钥计算方法。
[0056] 参照图1,图1为本发明支付密钥计算方法第一实施例的流程示意图。
[0057] 在本实施例中,所述支付密钥计算方法包括:
[0058] 步骤S10,接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符;
[0059] 终端通过其用户在应用集市下载支付应用软件并安装所述支付应用软件,当所述支付应用软件安装成功后,所述支付应用软件对所述终端进行扫描,采集所述终端第一设备信息,并将所述第一设备信息发送至后台服务器中。其中,所述第一设备信息包括但不限于国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表等。所述国际移动设备标识IMEI(International Mobile Equipment Identity)由15位数字组成,每一台移动设备都有唯一的国际移动设备标识,而且国际移动设备标识是全世界唯一的;所述国际移动用户识别码IMSI(International Mobile Subscriber Identity)共有15位编码,与SIM(Subscriber Identity Module,用户身份识别卡)卡或者USIM(Universal Subscriber Identity Module,全球用户识别卡)卡对应;所述硬件地址,即MAC(Media Access Control,媒体访问控制)地址,有6个字节长度,表示互联网上每一个主机的标识符。
[0060] 当所述支付应用软件采集到所述终端第一设备信息后,将所述终端第一设备信息发送至后台服务器。当所述后台服务器接收到所述终端第一设备信息后,所述后台服务器为所述终端配置唯一的标识符。进一步地,当所述终端侦测到所述用户通过申请界面向发卡行申请开通云端支付账户的操作指令时,所述终端在所述申请界面上提示所述用户输入身份验证信息。当所述终端接收到所述用户输入的身份验证信息后,将所述身份验证信息发送至后台服务器,所述后台服务器根据接收到的所述身份验证信息对所述用户的申请进行风险分析,得到分析结果,并根据所述分析结果对所述用户的申请进行分级,直接通过风险降低用户的申请,对于风险较高用户的申请则需进一步验证身份信息,对于风险很高用户的申请则直接拒绝。
[0061] 步骤S20,将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定;
[0062] 当所述后台服务器为所述终端配置唯一的标识符后,所述后台服务器将所述标识符发送给所述终端中的支付应用软件,并将所述标识符与所述用户申请的支付账户绑定,当所述标识符与所述支付账户绑定之后,所述后台服务器根据所述标识符对所述支付账户进行管理,只有当所述终端的标识符与所述支付账户绑定的标识符一致时,所述用户才可以在所述支付应用软件中执行下载对应支付卡的数据、下载交易凭证、进行支付交易等操作。当所述终端中的支付应用软件接收到所述后台服务器发送的标识符后,所述支付应用软件将所述标识符加密。并将加密后的标识符存储在所述终端中。
[0063] 步骤S30,若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥;
[0064] 步骤S40,将所述第一限制密钥发送给所述支付应用软件,以供所述支付应用软件侦测到进行支付的操作指令时,根据所述标识符和所述第一限制密钥,通过所述加密算法计算得到第二限制密钥。
[0065] 当所述后台服务器侦测到更新所述支付应用软件中参数的更新指令时,如侦测到所述用户在所述支付应用软件中进行支付的操作指令,或者侦测到所述用户更改所述支付账户的账号和/或密码等指令时,所述后台服务器获取计算第一限制密钥所需参数,并根据所述参数,通过3DES(triple Data Encryption Standard)加密算法计算得到第一限制密钥。其中,所述限制密钥为在云端支付过程中,从所述后台服务器下载到所述终端中有限制使用次数和有使用有效期的密钥信息,用于在所述云端支付过程中计算应用密文信息。所述后台服务器将计算所得的所述第一限制密钥发送给所述终端中的支付应用软件。当所述终端中的支付应用软件接收到所述后台服务器发送的所述第一限制密钥后,且侦测到所述用户使用进行支付的操作指令时,根据其存储的所述终端的标识符和所述第一限制密钥,通过所述3DES加密算法计算得到对应的第二限制密钥。进一步地,当所述支付应用软件计算得到所述第二限制密钥后,获取支付卡中应用交易计数器中的交易数据,所述应用交易计数器的取值范围为0000~FFFF(最大值是65535),当银行为其所发行的支付卡写入个人化数据后,所述支付卡的应用交易计数器的初始数值为0000,当所述用户每使用所述支付卡交易一次时,所述应用交易计数器中的数值就相应地增加1。所述支付应用软件根据所述应用交易计数器中的交易数据和所述第二限制密钥,通过所述3DES加密算法计算得到一个临时密钥。当所述支付应用软件得到所述临时密钥时,获取对应支付账户的交易数据,根据所述支付账户的交易数据和所述临时密钥,通过所述3DES加密算法计算得到对应的应用密文。当所述支付应用软件得到所述应用密文之后,将所述应用密文发送给所述后台服务器。当所述后台服务器接收到所述应用密文之后,对所述应用密文进行验证,以完成此次交易。
[0066] 本实施例通过根据终端的设备信息为所述终端配置标识符,将所述标识符发送给支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定,在支付过程中,当所述支付应用软件接收到后台发送的第一限制密钥时,根据所述标识符和所述第一限制密钥计算得到第二限制密钥。实现了即使第二限制密钥丢失后,由于各个终端的标识符不一样,其他用户也无法在其它终端中使用所述第二限制密钥进行支付操作,防止了限制密钥泄露后在其它终端使用的风险,保护了用户资金的安全。
[0067] 参照图2,图2为本发明实施例中若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥的一种流程示意图。
[0068] 在本实施例中,所述步骤S30包括:
[0069] 步骤S31,若侦测到更新所述支付应用软件中参数的更新指令,则获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数;
[0070] 步骤S32,根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过加密算法计算得到所述支付卡的卡片密钥;
[0071] 步骤S33,根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述加密算法计算得到所述第一限制密钥。
[0072] 当所述后台服务器侦测到所述用户更新所述支付应用软件中参数的更新指令时,所述后台服务器获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数。所述当前的时间参数为所述用户使用所述支付应用软件进行交易的时间。所述后台服务器根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过所述3DES加密算法计算得到所述支付卡的卡片密钥。当所述后台服务器计算得到所述支付卡的卡片密钥时,所述后台服务器根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述3DES加密算法计算得到所述第一限制密钥。
[0073] 参照图3,图3为本发明支付密钥计算方法第二实施例的流程示意图,基于本发明支付密钥计算方法第一实施例提出本发明支付密钥计算方法第二实施例。
[0074] 在本实施例中,所述支付密钥计算方法还包括:
[0075] 步骤S50,根据所述终端第一设备信息为所述标识符建立第一特征向量;
[0076] 当所述后台服务器得到所述终端的唯一的标识符时,所述后台服务器将所述终端第一设备信息进行标准化处理。由于所述终端第一设备信息中的某些信息的表现形式不一致,不规范,因此需要对所述终端第一设备信息进行标准化处理,使所述终端第一设备信息以规定的形式表示。所述后台服务器将进行标准化处理后的所述终端第一设备信息作为所述终端唯一的标识符对应的第一特征向量。进一步地,当所述用户对所述终端执行删除所述支付应用软件的操作,导致所述终端中所存储的唯一标识符被删除时,当所述用户重新使用所述终端下载安装所述支付应用软件时,所述后台服务器获取重新安装的支付应用软件的特征向量,计算所述终端的特征向量与删除之前的特征向量之间的相似度,根据所述相似度来恢复所述终端的标识符,当所述相似度大于一定数值时,恢复所述终端的标识符;当所述相似度小于或者等于所述相似度时,重新获取所述终端的标识符。
[0077] 步骤S60,确定侦测到的指令是更新所述支付应用软件中参数的更新指令还是对所述支付应用软件中支付账户的管理指令;
[0078] 步骤S70,若侦测到的指令是对所述支付应用软件中支付账户的管理指令,则接收所述支付应用软件发送的终端第二设备信息;
[0079] 步骤S80,根据所述终端第二设备信息为所述终端的标识符建立第二特征向量;
[0080] 所述后台服务器确定侦测到所述用户的操作指令是所述用户更新所述支付应用软件中参数的更新指令,还是所述用户对所述支付应用软件中支付账户的管理指令。当所述操作指令是所述用户对所述支付应用软件中支付账户的管理指令时,如更改所述支付账户的状态或者下载交易凭证等,所述终端中的支付应用软件采集所述终端第二设备信息,并将所述终端第二设备信息发送给所述后台服务器。所述后台服务器接收所述支付应用软件发送的所述终端第二设备信息,根据所述终端第二设备信息为所述终端的标识符建立第二特征向量。所述第二设备信息包括但不限于国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表。
[0081] 步骤S90,若所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度,则判定所述对所述支付账户的管理指令为可执行的指令。
[0082] 当所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度时,所述后台服务器判定所述用户对所述支付应用软件中支付账户的操作指令为安全的操作指令。所述预设相似度可以设置为85%、90%或者95%,如当所述预设相似度为90%时,当所述第一特征向量与所述第二特征向量之间的相似度大于90%时。所述后台服务器判定所述用户对所述支付账户的管理指令为可执行的指令。
[0083] 进一步地,所述支付密钥计算方法还包括:
[0084] 计算所述第一特征向量和所述第二特征向量之间的相似度;
[0085] 判断所述相似度是否大于所述预设相似度;
[0086] 若所述相似度小于或者等于所述预设相似度,则判定所述对所述支付账户的管理指令存在风险。
[0087] 进一步地,所述后台服务器计算所述第一特征向量和所述第二特征向量之间的相似度,判断所述第一特征向量和所述第二特征向量之间的相似度是否大于所述预设相似度,当所述第一特征向量和所述第二特征向量之间的相似度小于或者等于所述预设相似度时,所述后台服务器判定所述用户对所述支付账户的管理指令存在风险。
[0088] 本实施例通过根据特征向量之间的相似度来判定用户对所述支付应用软件中支付账户的管理指令的可执行性,提高了云端支付的安全性。
[0089] 本发明进一步提供一种支付密钥计算装置。
[0090] 参照图4,图4为本发明支付密钥计算装置第一实施例的功能模块示意图。
[0091] 在本实施例中,所述支付密钥计算装置包括:
[0092] 配置模块10,用于接收终端中支付应用软件发送的终端第一设备信息,根据所述终端第一设备信息为所述终端配置标识符;
[0093] 终端通过其用户在应用集市下载支付应用软件并安装所述支付应用软件,当所述支付应用软件安装成功后,所述支付应用软件对所述终端进行扫描,采集所述终端第一设备信息,并将所述第一设备信息发送至后台服务器中。其中,所述第一设备信息包括但不限于国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表等。所述国际移动设备标识IMEI(International Mobile Equipment Identity)由15位数字组成,每一台移动设备都有唯一的国际移动设备标识,而且国际移动设备标识是全世界唯一的;所述国际移动用户识别码IMSI(International Mobile Subscriber Identity)共有15位编码,与SIM(Subscriber Identity Module,用户身份识别卡)卡或者USIM(Universal Subscriber Identity Module,全球用户识别卡)卡对应;所述硬件地址,即MAC(Media Access Control,媒体访问控制)地址,有6个字节长度,表示互联网上每一个主机的标识符。
[0094] 当所述支付应用软件采集到所述终端第一设备信息后,将所述终端第一设备信息发送至后台服务器。当所述后台服务器接收到所述终端第一设备信息后,所述后台服务器为所述终端配置唯一的标识符。进一步地,当所述终端侦测到所述用户通过申请界面向发卡行申请开通云端支付账户的操作指令时,所述终端在所述申请界面上提示所述用户输入身份验证信息。当所述终端接收到所述用户输入的身份验证信息后,将所述身份验证信息发送至后台服务器,所述后台服务器根据接收到的所述身份验证信息对所述用户的申请进行风险分析,得到分析结果,并根据所述分析结果对所述用户的申请进行分级,直接通过风险降低用户的申请,对于风险较高用户的申请则需进一步验证身份信息,对于风险很高用户的申请则直接拒绝。
[0095] 第一发送模块20,用于将所述标识符发送给所述支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定;
[0096] 当所述后台服务器为所述终端配置唯一的标识符后,所述后台服务器将所述标识符发送给所述终端中的支付应用软件,并将所述标识符与所述用户申请的支付账户绑定,当所述标识符与所述支付账户绑定之后,所述后台服务器根据所述标识符对所述支付账户进行管理,只有当所述终端的标识符与所述支付账户绑定的标识符一致时,所述用户才可以在所述支付应用软件中执行下载对应支付卡的数据、下载交易凭证、进行支付交易等操作。当所述终端中的支付应用软件接收到所述后台服务器发送的标识符后,所述支付应用软件将所述标识符加密。并将加密后的标识符存储在所述终端中。
[0097] 第一计算模块30,用于若侦测到更新所述支付应用软件中参数的更新指令,则获取计算第一限制密钥所需参数,根据所述参数,通过加密算法计算得到所述第一限制密钥;
[0098] 第二发送模块40,用于将所述第一限制密钥发送给所述支付应用软件,以供所述支付应用软件侦测到进行支付的操作指令时,根据所述标识符和所述第一限制密钥,通过所述加密算法计算得到第二限制密钥。
[0099] 当所述后台服务器侦测到更新所述支付应用软件中参数的更新指令时,如侦测到所述用户在所述支付应用软件中进行支付的操作指令,或者侦测到所述用户更改所述支付账户的账号和/或密码等指令时,所述后台服务器获取计算第一限制密钥所需参数,并根据所述参数,通过3DES(triple Data Encryption Standard)加密算法计算得到第一限制密钥。其中,所述限制密钥为在云端支付过程中,从所述后台服务器下载到所述终端中有限制使用次数和有使用有效期的密钥信息,用于在所述云端支付过程中计算应用密文信息。所述后台服务器将计算所得的所述第一限制密钥发送给所述终端中的支付应用软件。当所述终端中的支付应用软件接收到所述后台服务器发送的所述第一限制密钥后,且侦测到所述用户使用进行支付的操作指令时,根据其存储的所述终端的标识符和所述第一限制密钥,通过所述3DES加密算法计算得到对应的第二限制密钥。进一步地,当所述支付应用软件计算得到所述第二限制密钥后,获取支付卡中应用交易计数器中的交易数据,所述应用交易计数器的取值范围为0000~FFFF(最大值是65535),当银行为其所发行的支付卡写入个人化数据后,所述支付卡的应用交易计数器的初始数值为0000,当所述用户每使用所述支付卡交易一次时,所述应用交易计数器中的数值就相应地增加1。所述支付应用软件根据所述应用交易计数器中的交易数据和所述第二限制密钥,通过所述3DES加密算法计算得到一个临时密钥。当所述支付应用软件得到所述临时密钥时,获取对应支付账户的交易数据,根据所述支付账户的交易数据和所述临时密钥,通过所述3DES加密算法计算得到对应的应用密文。当所述支付应用软件得到所述应用密文之后,将所述应用密文发送给所述后台服务器。当所述后台服务器接收到所述应用密文之后,对所述应用密文进行验证,以完成此次交易。
[0100] 本实施例通过根据终端的设备信息为所述终端配置标识符,将所述标识符发送给支付应用软件,并将所述标识符与所述支付应用软件中的支付账户绑定,在支付过程中,当所述支付应用软件接收到后台发送的第一限制密钥时,根据所述标识符和所述第一限制密钥计算得到第二限制密钥。实现了即使第二限制密钥丢失后,由于各个终端的标识符不一样,其他用户也无法在其它终端中使用所述第二限制密钥进行支付操作,防止了限制密钥泄露后在其它终端使用的风险,保护了用户资金的安全。
[0101] 参照图5,图5为本发明实施例中第一计算模块的一种功能模块示意图。
[0102] 在本实施例中,所述第一计算模块30包括:
[0103] 获取单元31,用于若侦测到更新所述支付应用软件中参数的更新指令,则获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数;
[0104] 第一计算单元32,用于根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过加密算法计算得到所述支付卡的卡片密钥;
[0105] 第二计算单元33,用于根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述加密算法计算得到所述第一限制密钥。
[0106] 当所述后台服务器侦测到所述用户更新所述支付应用软件中参数的更新指令时,所述后台服务器获取发卡行的主密钥、支付卡卡号、支付卡卡序列号、当前的时间参数和计算所述第一限制密钥过程中分配的随机数。所述后台服务器根据所述发卡行的主密钥、所述支付卡卡号和所述支付卡卡序列号,通过所述3DES加密算法计算得到所述支付卡的卡片密钥。当所述后台服务器计算得到所述支付卡的卡片密钥时,所述后台服务器根据所述支付卡的卡片密钥、所述时间参数和所述随机数,通过所述3DES加密算法计算得到所述第一限制密钥。
[0107] 参照图6,图6为本发明支付密钥计算装置第二实施例的功能模块示意图,基于本发明支付密钥计算装置第一实施例提出本发明支付密钥计算装置第二实施例。
[0108] 在本实施例中,所述支付密钥计算装置包括:
[0109] 第一建立模块50,用于根据所述终端第一设备信息为所述标识符建立第一特征向量;
[0110] 当所述后台服务器得到所述终端的唯一的标识符时,所述后台服务器将所述终端第一设备信息进行标准化处理。由于所述终端第一设备信息中的某些信息的表现形式不一致,不规范,因此需要对所述终端第一设备信息进行标准化处理,使所述终端第一设备信息以规定的形式表示。所述后台服务器将进行标准化处理后的所述终端第一设备信息作为所述终端唯一的标识符对应的第一特征向量。进一步地,当所述用户对所述终端执行删除所述支付应用软件的操作,导致所述终端中所存储的唯一标识符被删除时,当所述用户重新使用所述终端下载安装所述支付应用软件时,所述后台服务器获取重新安装的支付应用软件的特征向量,计算所述终端的特征向量与删除之前的特征向量之间的相似度,根据所述相似度来恢复所述终端的标识符,当所述相似度大于一定数值时,恢复所述终端的标识符;当所述相似度小于或者等于所述相似度时,重新获取所述终端的标识符。
[0111] 确定模块60,用于确定侦测到的指令是更新所述支付应用软件中参数的更新指令还是对所述支付应用软件中支付账户的管理指令;
[0112] 接收模块70,用于若侦测到的指令是对所述支付应用软件中支付账户的管理指令,则接收所述支付应用软件发送的终端第二设备信息;
[0113] 第二建立模块80,用于根据所述终端第二设备信息为所述终端的标识符建立第二特征向量;
[0114] 所述后台服务器确定侦测到所述用户的操作指令是所述用户更新所述支付应用软件中参数的更新指令,还是所述用户对所述支付应用软件中支付账户的管理指令。当所述操作指令是所述用户对所述支付应用软件中支付账户的管理指令时,如更改所述支付账户的状态或者下载交易凭证等,所述终端中的支付应用软件采集所述终端第二设备信息,并将所述终端第二设备信息发送给所述后台服务器。所述后台服务器接收所述支付应用软件发送的所述终端第二设备信息,根据所述终端第二设备信息为所述终端的标识符建立第二特征向量。所述第二设备信息包括但不限于国际移动设备标识、国际移动用户识别码、硬件地址、所述终端设备型号、互联网协议地址、WiFi列表、中央处理器信息、内存信息、屏幕分辨率和应用安装列表。
[0115] 判定模块90,用于若所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度,则判定所述对所述支付账户的管理指令为可执行的指令。
[0116] 当所述第一特征向量与所述第二特征向量之间的相似度大于预设相似度时,所述后台服务器判定所述用户对所述支付应用软件中支付账户的操作指令为安全的操作指令。所述预设相似度可以设置为85%、90%或者95%,如当所述预设相似度为90%时,当所述第一特征向量与所述第二特征向量之间的相似度大于90%时。所述后台服务器判定所述用户对所述支付账户的管理指令为可执行指令。
[0117] 进一步地,所述支付密钥计算装置还包括:
[0118] 第二计算模块,用于计算所述第一特征向量和所述第二特征向量之间的相似度;
[0119] 判断模块,还用于判断所述相似度是否大于所述预设相似度;
[0120] 所述判定模块90,还用于若所述相似度小于或者等于所述预设相似度,则判定所述对所述支付账户的管理指令存在风险。
[0121] 进一步地,所述后台服务器计算所述第一特征向量和所述第二特征向量之间的相似度,判断所述第一特征向量和所述第二特征向量之间的相似度是否大于所述预设相似度,当所述第一特征向量和所述第二特征向量之间的相似度小于或者等于所述预设相似度时,所述后台服务器判定所述用户对所述支付账户的管理指令存在风险。
[0122] 本实施例通过根据特征向量之间的相似度来判定用户对所述支付应用软件中支付账户的管理指令的可执行性,提高了云端支付的安全性。
[0123] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
[0124] 以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。