安全連接支付方法及其裝置制造方法
【專利摘要】本發(fā)明涉及智能終端設(shè)備安全支付技術(shù),公開一種安全連接支付方法,包括以下步驟:確定特定支付場景被啟動(dòng);建立基于虛擬專網(wǎng)協(xié)議的通信隧道,供所述支付場景進(jìn)行數(shù)據(jù)傳輸;當(dāng)所述通信隧道不復(fù)存在時(shí),退出所述支付場景。與現(xiàn)有技術(shù)相比,本發(fā)明通過智能化識(shí)別移動(dòng)終端的支付場景的啟動(dòng)狀態(tài),準(zhǔn)確且高效地為移動(dòng)終端的支付功能提前建立基于虛擬專網(wǎng)的通信隧道,確保與支付相關(guān)的數(shù)據(jù)通過該通信隧道進(jìn)行安全傳輸,從而保證支付安全。
【專利說明】安全連接支付方法及其裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及智能終端設(shè)備安全支付技術(shù),尤其涉及一種安全連接支付方法及其相 應(yīng)的裝置。
【背景技術(shù)】
[0002] 伴隨互聯(lián)網(wǎng)安全技術(shù)的發(fā)展,移動(dòng)支付已經(jīng)在電子交易行為中已經(jīng)司空見慣。例 如,CN104021467A號(hào)專利公告,公開了一種保護(hù)移動(dòng)終端支付安全的方法,通過應(yīng)用該方 法,可以大大提高移動(dòng)終端進(jìn)行移動(dòng)支付的安全級別??梢钥闯?,移動(dòng)支付的安全技術(shù),不 僅涉及網(wǎng)絡(luò)和系統(tǒng)安全,也涉及到終端安全。該方案雖然給出了實(shí)現(xiàn)終端安全的詳細(xì)技術(shù) 方案,可以進(jìn)行相對安全的網(wǎng)絡(luò)支付,但是,實(shí)踐中,仍有大量的安全案例進(jìn)一步提示安全 技術(shù)的提高永無止境,而其中涉及通信鏈路的安全維護(hù)是必不可少的一個(gè)環(huán)節(jié)。
[0003] 目前存在的大量移動(dòng)支付應(yīng)用,包括微信、支付寶等知名移動(dòng)終端,受限于其屬于 應(yīng)用層面的事實(shí),難以觸及操作系統(tǒng)底層防護(hù),因此,雖然在應(yīng)用本身增加了大量的防護(hù)措 施,但對于外部屬于系統(tǒng)層面的安全技術(shù)卻顯得無能為力,于是,做好底層安全防護(hù)的重任 便需由第三方安全應(yīng)用來實(shí)現(xiàn)。
[0004] 第三方安全應(yīng)用著重于保護(hù)移動(dòng)支付的通信安全,具體而言,時(shí)下大量的木馬程 序可以通過連接公共WiFi接入點(diǎn)來實(shí)現(xiàn)潛伏,在用戶利用移動(dòng)終端接入該接入點(diǎn)之后,截 獲該移動(dòng)終端通過該接入點(diǎn)發(fā)送的數(shù)據(jù)流,然后對其中的通信數(shù)據(jù)進(jìn)行分析,非法竊取其 中涉及移動(dòng)支付的賬號(hào)和密碼、驗(yàn)證碼等與安全有關(guān)的數(shù)據(jù),進(jìn)一步破譯這些數(shù)據(jù),便可獲 得足以實(shí)施賬戶盜竊的材料,鋌而走險(xiǎn)竊取資金,使該移動(dòng)終端的用戶受害。
[0005] 因此,重視移動(dòng)支付技術(shù)的通信安全,是確保移動(dòng)支付安全的關(guān)鍵一環(huán),需要提 供相應(yīng)的技術(shù)措施對此加以防范。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明的目的在于提供一種安全連接支付方法,以確保移動(dòng)支付時(shí)的通信安全, 相應(yīng)的,為該方法提供一種便于實(shí)施的裝置。
[0007] 為實(shí)現(xiàn)本發(fā)明的目的,本發(fā)明采取如下技術(shù)方案:
[0008] 本發(fā)明的一種安全連接支付方法,包括以下步驟:
[0009] 確定特定支付場景被啟動(dòng);
[0010] 建立基于虛擬專網(wǎng)協(xié)議的通信隧道,供所述支付場景進(jìn)行數(shù)據(jù)傳輸;
[0011] 當(dāng)所述通信隧道不復(fù)存在時(shí),退出所述支付場景。
[0012] 為了最大程度減少對用戶操作的干預(yù),優(yōu)選通過確定所述支付場景的活動(dòng)界面被 調(diào)用而確定該支付場景被啟動(dòng)。
[0013] 具體而言,所述支付場景包括一個(gè)或多個(gè)活動(dòng)界面,通過對所述活動(dòng)界面的關(guān)鍵 特征進(jìn)行判斷,確定是否已進(jìn)入所述支付場景,此舉可提高對支付場景中與支付有關(guān)的操 作進(jìn)行識(shí)別的精準(zhǔn)度。
[0014] 相應(yīng)的,為了提高程序執(zhí)行效率,優(yōu)選所述通信隧道僅用于傳輸所述支付場景所 包含的用于執(zhí)行支付指令的活動(dòng)界面的數(shù)據(jù)。
[0015] 為便于程序?qū)崿F(xiàn),所述每個(gè)活動(dòng)界面,對應(yīng)一個(gè)可執(zhí)行的活動(dòng)組件。
[0016] 為提高識(shí)別用于支付的活動(dòng)界面的命中率,本發(fā)明揭示的一種實(shí)施例中,建立所 述通信隧道之前,所述活動(dòng)界面已經(jīng)處于激活狀態(tài)。
[0017] 為提高及時(shí)響應(yīng)效果,本發(fā)明揭示的另一實(shí)施例中,建立所述通信隧道之前,所述 活動(dòng)界面處于非激活狀態(tài),建立所述通信隧道之后,所述活動(dòng)界面處于激活狀態(tài)。
[0018] 為增強(qiáng)人機(jī)交互效果,建立所述通信隧道之前,彈框詢問是否建立該通信隧道,以 用戶選定為依據(jù)決定是否建立所述通信隧道。
[0019] 較佳的,所述通信隧道采用PPTP、L2TP、IPSEC中任意一種協(xié)議實(shí)現(xiàn)。
[0020] 為進(jìn)一步提高安全性,當(dāng)所述通信隧道中斷時(shí),先退出已經(jīng)激活的用于執(zhí)行支付 指令的活動(dòng)界面,再退出所述支付場景。
[0021] 考慮到移動(dòng)終端網(wǎng)絡(luò)接入場景的多樣化,較佳的,僅對被判定為公共網(wǎng)絡(luò)接入點(diǎn) 的當(dāng)前連接建立所述的通信隧道。
[0022] 本發(fā)明相應(yīng)提供的安全連接支付裝置,其包括:
[0023] 檢測單元,用于確定特定支付場景被啟動(dòng);
[0024] 維護(hù)單元,用于建立基于虛擬專網(wǎng)協(xié)議的通信隧道,供所述支付場景進(jìn)行數(shù)據(jù)傳 輸;
[0025] 清場單元,當(dāng)所述通信隧道不復(fù)存在時(shí),用于退出所述支付場景。
[0026] 相較于現(xiàn)有技術(shù),本發(fā)明至少具有如下優(yōu)點(diǎn):
[0027] 1、通過智能化識(shí)別移動(dòng)終端的支付場景的啟動(dòng)狀態(tài),準(zhǔn)確且高效地為移動(dòng)終端的 支付功能提前建立基于虛擬專網(wǎng)的通信隧道,確保與支付相關(guān)的數(shù)據(jù)通過該通信隧道進(jìn)行 安全傳輸,從而保證支付安全。
[0028] 2、通過進(jìn)一步將支付場景的識(shí)別具體到其活動(dòng)界面,也即對應(yīng)到其活動(dòng)組件,增 強(qiáng)識(shí)別的智能化程度,免除對用戶操作的不必要的彈框騷擾,使應(yīng)用程序的服務(wù)功能更為 人性化,既滿足安全需求,又符合使用習(xí)慣。
[0029] 本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出,這些將從下面的描述中變 得明顯,或通過本發(fā)明的實(shí)踐了解到。
【專利附圖】
【附圖說明】
[0030] 本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對實(shí)施例的描述中將變 得明顯和容易理解,其中:
[0031] 圖1是現(xiàn)有技術(shù)所揭示的一種保護(hù)移動(dòng)終端支付安全的裝置;
[0032] 圖2是本發(fā)明的一種安全連接支付方法的原理框圖;
[0033] 圖3是本發(fā)明的安全連接支付方法的程序?qū)崿F(xiàn)流程示意圖。
[0034]
【具體實(shí)施方式】
[0035] 下面詳細(xì)描述本發(fā)明的實(shí)施例,所述實(shí)施例的示例在附圖中示出,其中自始至終 相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附 圖描述的實(shí)施例是示例性的,僅用于解釋本發(fā)明,而不能解釋為對本發(fā)明的限制。
[0036] 本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,除非特意聲明,這里使用的單數(shù)形式"一"、"一 個(gè)"、"所述"和"該"也可包括復(fù)數(shù)形式。應(yīng)該進(jìn)一步理解的是,本發(fā)明的說明書中使用的措 辭"包括"是指存在所述特征、整數(shù)、步驟、操作、元件和/或組件,但是并不排除存在或添加 一個(gè)或多個(gè)其他特征、整數(shù)、步驟、操作、元件、組件和/或它們的組。應(yīng)該理解,當(dāng)我們稱元 件被"連接"或"耦接"到另一元件時(shí),它可以直接連接或耦接到其他元件,或者也可以存在 中間元件。此外,這里使用的"連接"或"耦接"可以包括無線連接或無線耦接。這里使用 的措辭"和/或"包括一個(gè)或更多個(gè)相關(guān)聯(lián)的列出項(xiàng)的全部或任一單元和全部組合。
[0037] 本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,除非另外定義,這里使用的所有術(shù)語(包括技術(shù) 術(shù)語和科學(xué)術(shù)語),具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義。還應(yīng) 該理解的是,諸如通用字典中定義的那些術(shù)語,應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中 的意義一致的意義,并且除非像這里一樣被特定定義,否則不會(huì)用理想化或過于正式的含 義來解釋。
[0038] 本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,這里所使用的"終端"、"終端設(shè)備"既包括無線信 號(hào)接收器的設(shè)備,其僅具備無發(fā)射能力的無線信號(hào)接收器的設(shè)備,又包括接收和發(fā)射硬件 的設(shè)備,其具有能夠在雙向通信鏈路上,執(zhí)行雙向通信的接收和發(fā)射硬件的設(shè)備。這種設(shè)備 可以包括:蜂窩或其他通信設(shè)備,其具有單線路顯示器或多線路顯示器或沒有多線路顯示 器的蜂窩或其他通信設(shè)備;PCS(Personal Communications Service,個(gè)人通信系統(tǒng)),其可 以組合語音、數(shù)據(jù)處理、傳真和/或數(shù)據(jù)通信能力;PDA(Personal Digital Assistant,個(gè) 人數(shù)字助理),其可以包括射頻接收器、尋呼機(jī)、互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)訪問、網(wǎng)絡(luò)瀏覽器、記事本、 日歷和/或GPS (Global Positioning System,全球定位系統(tǒng))接收器;常規(guī)膝上型和/或 掌上型計(jì)算機(jī)或其他設(shè)備,其具有和/或包括射頻接收器的常規(guī)膝上型和/或掌上型計(jì)算 機(jī)或其他設(shè)備。這里所使用的"終端"、"終端設(shè)備"可以是便攜式、可運(yùn)輸、安裝在交通工具 (航空、海運(yùn)和/或陸地)中的,或者適合于和/或配置為在本地運(yùn)行,和/或以分布形式, 運(yùn)行在地球和/或空間的任何其他位置運(yùn)行。這里所使用的"終端"、"終端設(shè)備"還可以是 通信終端、上網(wǎng)終端、音樂/視頻播放終端,例如可以是PDA、MID(Mobile Internet Device, 移動(dòng)互聯(lián)網(wǎng)設(shè)備)和/或具有音樂/視頻播放功能的移動(dòng)電話,也可以是智能電視、機(jī)頂盒 等設(shè)備。
[0039] 本【技術(shù)領(lǐng)域】技術(shù)人員可以理解,這里所使用的服務(wù)器、云端、遠(yuǎn)端網(wǎng)絡(luò)設(shè)備等概 念,具有等同效果,其包括但不限于計(jì)算機(jī)、網(wǎng)絡(luò)主機(jī)、單個(gè)網(wǎng)絡(luò)服務(wù)器、多個(gè)網(wǎng)絡(luò)服務(wù)器集 或多個(gè)服務(wù)器構(gòu)成的云。在此,云由基于云計(jì)算(Cloud Computing)的大量計(jì)算機(jī)或網(wǎng)絡(luò) 服務(wù)器構(gòu)成,其中,云計(jì)算是分布式計(jì)算的一種,由一群松散耦合的計(jì)算機(jī)集組成的一個(gè)超 級虛擬計(jì)算機(jī)。本發(fā)明的實(shí)施例中,遠(yuǎn)端網(wǎng)絡(luò)設(shè)備、終端設(shè)備與WNS服務(wù)器之間可通過任何 通信方式實(shí)現(xiàn)通信,包括但不限于,基于3GPP、LTE、WIMAX的移動(dòng)通信、基于TCP/IP、UDP協(xié) 議的計(jì)算機(jī)網(wǎng)絡(luò)通信以及基于藍(lán)牙、紅外傳輸標(biāo)準(zhǔn)的近距無線傳輸方式。
[0040] 本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本發(fā)明所稱的"應(yīng)用"、"應(yīng)用程序"、"應(yīng)用軟件"以及類 似表述的概念,是業(yè)內(nèi)技術(shù)人員所公知的相同概念,是指由一系列計(jì)算機(jī)指令及相關(guān)數(shù)據(jù) 資源有機(jī)構(gòu)造的適于電子運(yùn)行的計(jì)算機(jī)軟件。除非特別指定,這種命名本身不受編程語言 種類、級別,也不受其賴以運(yùn)行的操作系統(tǒng)或平臺(tái)所限制。理所當(dāng)然地,此類概念也不受任 何形式的終端所限制。
[0041] 請參閱圖1所引用的CN104021467A號(hào)專利公告所揭示的保護(hù)移動(dòng)終端支付安全 的裝置100的原理框圖,本發(fā)明將該公告文本所揭示的技術(shù)方案直接引入作為本發(fā)明的安 全連接支付方法的實(shí)施例之一。如其所揭示,該裝置100包括支付識(shí)別模塊100、進(jìn)程監(jiān)控 模塊120、進(jìn)程分析模塊130、進(jìn)程終止模塊140、進(jìn)程清場模塊150,該裝置中,各模塊所實(shí) 現(xiàn)的功能概括如下:
[0042] 所述支付識(shí)別模塊110用于監(jiān)控移動(dòng)終端的運(yùn)行狀態(tài)以確定移動(dòng)終端進(jìn)入支付 場景。支付場景的確定可以根據(jù)移動(dòng)終端的運(yùn)行狀態(tài)來確定,例如獲取移動(dòng)終端中新啟動(dòng) 的客戶端信息;將客戶端的信息與預(yù)置的支付類客戶端信息進(jìn)行比對;在比對成功的情況 下確定移動(dòng)終端進(jìn)入支付景,也就是利用移動(dòng)終端啟動(dòng)的客戶端來判斷支付場景,當(dāng)檢測 到移動(dòng)終端有新的客戶端啟動(dòng)后,利用信息比對判斷新啟動(dòng)的客戶端是否為移動(dòng)支付客戶 端,如果確定移動(dòng)終端啟動(dòng)了支付客戶端,則可以確定移動(dòng)終端進(jìn)入支付場景。判斷新啟動(dòng) 的客戶端是否為移動(dòng)支付終端的過程可以通過本地的客戶端列表驗(yàn)證以及客戶端特征匹 配來實(shí)現(xiàn)。
[0043] 支付識(shí)別模塊110的一種具體結(jié)構(gòu)可以設(shè)置:數(shù)據(jù)比對子模塊和特征分析子模 塊。其中,數(shù)據(jù)比對子模塊將客戶端信息與預(yù)置的支付客戶端列表的客戶端信息進(jìn)行比對, 如果存在比對結(jié)果一致的列表項(xiàng),則比對成功,支付客戶端列表中預(yù)先保存有多種支付類 客戶端的特征信息。特征分析子模塊提取客戶端信息中的包名和標(biāo)簽名,查詢包名和標(biāo)簽 名中是否包含支付類客戶端的特征關(guān)鍵字,若是則比對成功。數(shù)據(jù)比對子模塊使用的支付 客戶端列表可以根據(jù)移動(dòng)終端的具體使用情況進(jìn)行動(dòng)態(tài)調(diào)整,以記錄所有已安裝支付客戶 端的信息。特征分析子模塊中使用的特征一般包括包名和標(biāo)簽名(Iable),此外還可以包括 簽名、版本號(hào)等特征。特征分析可以在移動(dòng)終端本地進(jìn)行,也可以將特征信息上傳至云端, 由云端進(jìn)行判斷后,將判斷結(jié)果返回給移動(dòng)終端。
[0044] 云端保存有殺毒相關(guān)的病毒引擎庫,以及黑白名單,以及網(wǎng)址安全庫等??梢杂行?的根據(jù)文件或者程序的簽名,版本號(hào)等特征信息判斷出其實(shí)否是惡意,或者可疑,或者是以 目前已有的安全等級的方式去定義程序或者文件的安全性。
[0045] 云端對上傳的信息進(jìn)行風(fēng)險(xiǎn)分析后將結(jié)果返回給移動(dòng)終端,云端主要分析的內(nèi)容 如下:
[0046] (1)軟件基本信息讀取模塊用于讀取以下信息:
[0047]
【權(quán)利要求】
1. 一種安全連接支付方法,其特征在于,包括w下步驟: 確定特定支付場景被啟動(dòng); 建立基于虛擬專網(wǎng)協(xié)議的通信隧道,供所述支付場景進(jìn)行數(shù)據(jù)傳輸; 當(dāng)所述通信隧道不復(fù)存在時(shí),退出所述支付場景。
2. 根據(jù)權(quán)利要求1所述的安全連接支付方法,其特征在于,通過確定所述支付場景的 活動(dòng)界面被調(diào)用而確定該支付場景被啟動(dòng)。
3. 根據(jù)權(quán)利要求2所述的安全連接支付方法,其特征在于,所述支付場景包括一個(gè)或 多個(gè)活動(dòng)界面,通過對所述活動(dòng)界面的關(guān)鍵特征進(jìn)行判斷,確定是否已進(jìn)入所述支付場景。
4. 根據(jù)權(quán)利要求2或3所述的安全連接支付方法,其特征在于,所述通信隧道僅用于傳 輸所述支付場景所包含的用于執(zhí)行支付指令的活動(dòng)界面的數(shù)據(jù)。
5. 根據(jù)權(quán)利要求2或3所述的安全連接支付方法,其特征在于,所述每個(gè)活動(dòng)界面,對 應(yīng)一個(gè)可執(zhí)行的活動(dòng)組件。
6. 根據(jù)權(quán)利要求2或3所述的安全連接支付方法,其特征在于,建立所述通信隧道之 前,所述活動(dòng)界面已經(jīng)處于激活狀態(tài)。
7. 根據(jù)權(quán)利要求2或3所述的安全連接支付方法,其特征在于,建立所述通信隧道之 前,所述活動(dòng)界面處于非激活狀態(tài),建立所述通信隧道之后,所述活動(dòng)界面處于激活狀態(tài)。
8. 根據(jù)權(quán)利要求1至3中任意一項(xiàng)所述的安全連接支付方法,其特征在于,建立所述通 信隧道之前,彈框詢問是否建立該通信隧道,W用戶選定為依據(jù)決定是否建立所述通信隧 道。
9. 根據(jù)權(quán)利要求1至3中任意一項(xiàng)所述的安全連接支付方法,其特征在于,所述通信隧 道采用PPTP、L2TP、IPSEC中任意一種協(xié)議實(shí)現(xiàn)。
10. 根據(jù)權(quán)利要求2或3所述的安全連接支付方法,其特征在于,當(dāng)所述通信隧道中斷 時(shí),先退出已經(jīng)激活的用于執(zhí)行支付指令的活動(dòng)界面,再退出所述支付場景。
11. 根據(jù)權(quán)利要求1至3中任意一項(xiàng)所述的安全連接方法,其特征在于,僅對被判定為 公共網(wǎng)絡(luò)接入點(diǎn)的當(dāng)前連接建立所述的通信隧道。
12. -種安全連接支付裝置,其特征在于,包括; 檢測單元,用于確定特定支付場景被啟動(dòng); 維護(hù)單元,用于建立基于虛擬專網(wǎng)協(xié)議的通信隧道,供所述支付場景進(jìn)行數(shù)據(jù)傳輸; 清場單元,當(dāng)所述通信隧道不復(fù)存在時(shí),用于退出所述支付場景。
【文檔編號(hào)】G06Q20/38GK104463569SQ201410645534
【公開日】2015年3月25日 申請日期:2014年11月11日 優(yōu)先權(quán)日:2014年11月11日
【發(fā)明者】高祎瑋, 孟齊源 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司