一種基于pos機的安全驗證方法
【專利摘要】本發(fā)明實施例公開了一種基于POS機的安全驗證方法,解決了現(xiàn)有的由于其雙端交互直接進行鑒權(quán)和報文傳輸在同一條通信線路上,同時,僅僅是依賴支付平臺進行校驗的技術(shù),使得安全性大大地降低。本發(fā)明實施例包括:S1:POS機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼;S2:POS機發(fā)送包含有校驗碼的報文給用戶端和支付平臺;S3:用戶端將獲取的報文發(fā)送至支付平臺;S4:支付平臺對POS機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法進行校驗并對報文的信息進行匹配;S5:支付平臺將匹配成功后的報文加載相對應的賬戶信息并返回至POS機進行校驗碼校驗。
【專利說明】-種基于POS機的安全驗證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡安全【技術(shù)領(lǐng)域】,尤其涉及一種基于P0S機的安全驗證方法。
【背景技術(shù)】
[0002] 銷售終端--POS (point of sale)是一種多功能終端,通過指定的網(wǎng)絡協(xié)議與遠 端的支付平臺建立通信連接,例如銀行,或第三方支付平臺,由于P0S機為消費市場所帶來 的豐富性以及便捷性,越來越深入大眾,然而正是因為其廣泛使用,同時涉及金額的流通, 卻為很多不法分子有機可乘,因此,P0S機的金融交易的安全技術(shù)也在不斷求新。
[0003] 現(xiàn)有的P0S機通常是消費者在使用銀行卡在P0S機上觸使其發(fā)機與遠端支付平臺 直接進行校驗碼驗證并交易。
[0004] 然而,上述提及的消費者在使用銀行卡在P0S機上觸使其發(fā)機與遠端支付平臺直 接進行校驗碼驗證并交易的技術(shù),常常由于其雙端交互直接進行鑒權(quán)和報文傳輸在同一條 通信線路上,同時,僅僅是依賴支付平臺進行校驗的技術(shù),使得安全性大大地降低。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實施例提供了一種基于P0S機的安全驗證方法,解決了現(xiàn)有的由于其雙端 交互直接進行鑒權(quán)和報文傳輸在同一條通信線路上,同時,僅僅是依賴支付平臺進行校驗 的技術(shù),使得安全性大大地降低。
[0006] 本發(fā)明實施例公開的一種基于P0S機的安全驗證方法,包括:
[0007] SI :P0S機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼;
[0008] S2 :所述P0S機發(fā)送包含有校驗碼的報文給用戶端和支付平臺;
[0009] S3 :所述用戶端將獲取的所述報文發(fā)送至所述支付平臺;
[0010] S4 :所述支付平臺對所述P0S機發(fā)送的報文和所述用戶端發(fā)送的報文進行按照第 一預置算法進行校驗并對所述報文的信息進行匹配;
[0011] S5:所述支付平臺將匹配成功后的所述報文加載相對應的賬戶信息并返回至所述 P0S機進行所述校驗碼校驗。
[0012] 優(yōu)選地,所述步驟S1之前還包括:
[0013] 所述P0S機寫入與所述支付平臺相對應的主密鑰,并分散保存在其內(nèi)部的SAM卡 中。
[0014] 優(yōu)選地,所述步驟S1之前還包括:
[0015] 所述P0S機根據(jù)所述支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至所述支付 平臺進行身份鑒權(quán);
[0016] 所述P0S機向所述支付平臺建立連接關(guān)系并進行聯(lián)機簽到。
[0017] 優(yōu)選地,所述步驟S1具體包括:
[0018] 所述P0S機獲取所述支付平臺發(fā)送的所述工作密鑰;
[0019] 所述P0S機通過存儲在SAM卡中的主密鑰對所述工作密鑰進行解密;
[0020] 所述P0S機按照預置算法根據(jù)所述工作密鑰按照所述第一預置算法計算所述校 驗碼并加載進所述報文中。
[0021] 優(yōu)選地,所述步驟S2具體包括:
[0022] 所述P0S機將包含有校驗碼的報文通過二維碼的模式給用戶端進行提??;
[0023] 所述P0S機發(fā)送包含有校驗碼的報文至支付平臺。
[0024] 優(yōu)選地,所述步驟S4包括:
[0025] 所述支付平臺對所述P0S機發(fā)送的報文和所述用戶端發(fā)送的報文進行按照所述 第一預置算法進行校驗;
[0026] 所述支付平臺對所述報文的信息進行匹配,若所述P0S機發(fā)送的報文和所述用戶 端發(fā)送的報文信息一致,則匹配成功。
[0027] 優(yōu)選地,所述步驟S5包括:
[0028] 所述支付平臺將匹配成功后的所述報文加載相對應的賬戶信息,其中所述賬戶信 息與所述用戶端信息相對應;
[0029] 所述支付平臺將加載相對應的賬戶信息的所述報文返回至所述P0S機進行所述 校驗碼校驗。
[0030] 優(yōu)選地,所述步驟S5之后還包括:
[0031] 在所述P0S機上輸入與所述賬戶信息相對應的賬戶密碼;
[0032] 對所述賬戶密碼進行第二預置算法進行加密,并發(fā)送至所述支付平臺進行校驗, 若校驗成功,將成功的信息返回所述P0S機和所述用戶端。
[0033] 優(yōu)選地,所述第一預置算法為DES或3DES加密算法。
[0034] 優(yōu)選地,所述第二預置算法為DES加密算法。
[0035] 從以上技術(shù)方案可以看出,本發(fā)明實施例具有以下優(yōu)點:
[0036] 本發(fā)明實施例提供的一種基于P0S機的安全驗證方法,步驟包括:SI :P0S機對報 文加載根據(jù)工作密鑰計算出的相對應的校驗碼;S2 :P0S機發(fā)送包含有校驗碼的報文給用 戶端和支付平臺;S3 :用戶端將獲取的報文發(fā)送至支付平臺;S4 :支付平臺對P0S機發(fā)送的 報文和用戶端發(fā)送的報文進行按照第一預置算法進行校驗并對報文的信息進行匹配;S5 : 支付平臺將匹配成功后的報文加載相對應的賬戶信息并返回至P0S機進行校驗碼校驗。本 實施例中,通過P0S機先計算校驗碼并將包含有校驗碼的報文發(fā)送至用戶端和支付平臺, 支付平臺對校驗碼進行校驗,并對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行匹配,并對 匹配成功后加載相對應的賬戶信息并返回至P0S機進行校驗碼校驗,最終實現(xiàn)安全支付 性,解決了現(xiàn)有的由于其雙端交互直接進行鑒權(quán)和報文傳輸在同一條通信線路上,同時,僅 僅是依賴支付平臺進行校驗的技術(shù),使得安全性大大地降低。
【專利附圖】
【附圖說明】
[0037] 為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可 以根據(jù)這些附圖獲得其它的附圖。
[0038] 圖1為本發(fā)明實施例提供的一種基于P0S機的安全驗證方法的一個實施例的示意 圖;
[0039] 圖2為本發(fā)明實施例提供的一種基于P0S機的安全驗證方法的另一個實施例的示 意圖;
[0040] 圖3為本發(fā)明實施例提供的一種基于P0S機的安全驗證方法的另一個實施例的示 意圖。
【具體實施方式】
[0041] 本發(fā)明實施例提供了一種基于P0S機的安全驗證方法,解決了現(xiàn)有的由于其雙端 交互直接進行鑒權(quán)和報文傳輸在同一條通信線路上,同時,僅僅是依賴支付平臺進行校驗 的技術(shù),使得安全性大大地降低。
[0042] 為使得本發(fā)明的發(fā)明目的、特征、優(yōu)點能夠更加的明顯和易懂,下面將結(jié)合本發(fā)明 實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,下面所描述 的實施例僅僅是本發(fā)明一部分實施例,而非全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域 普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護 的范圍。
[0043] 請參閱圖1,本發(fā)明實施例提供的一種基于P0S機的安全驗證方法的一個實施例 包括:
[0044] SI :P0S機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼;
[0045] 本實施例中,當需要通過使用P0S機進行消費之前,首先P0S機對報文加載根據(jù)工 作密鑰計算出的相對應的校驗碼,可以理解的是,前述的報文包含有支付信息,支付信息包 括P0S機的終端編號、消費商戶號、流水號、批次號、支付金額。
[0046] 必須說明的是,前述的工作密鑰為MAC密鑰和PIN密鑰,例如工作密鑰(TPK)工作 密鑰為P0S機向銀行簽到時從銀行后臺獲取,由于簽到交易需要通訊,所以需要對工作密 鑰進行加密傳輸(簽到時銀行返回P0S的工作密鑰是密文),P0S終端收到銀行返回的報文 后,對工作密鑰用主密鑰進行解密,然后將工作密鑰存儲在專用的密鑰保護芯片里,此過程 用密碼鍵盤的專用芯片進行處理,此密鑰同樣具有開機自毀功能。此密鑰專用于計算PIN_ BLOCK (對磁卡人輸入的密碼進行加密),需要說明的是,前述的MAC密鑰和PIN密鑰將在后 續(xù)的實施例中進行詳細的描述,此處不再贅述。
[0047] S2 :P0S機發(fā)送包含有校驗碼的報文給用戶端和支付平臺;
[0048] 當P0S機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼之后,P0S機發(fā)送包 含有校驗碼的報文給用戶端和支付平臺。
[0049] S3 :用戶端將獲取的報文發(fā)送至支付平臺;
[0050] 當P0S機發(fā)送包含有校驗碼的報文給用戶端和支付平臺的同時,用戶端需要將獲 取的報文發(fā)送至支付平臺。
[0051] S4 :支付平臺對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法進 行校驗并對報文的信息進行匹配;
[0052] 當支付平臺獲取到P0S機發(fā)送的報文和用戶端發(fā)送的報文之后,支付平臺對P0S 機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法進行校驗并對報文的信息進行 匹配,例如對報文包含有的校驗碼進行校驗,同時對報文中的支付信息的P0S機的終端編 號、消費商戶號、流水號、批次號、支付金額進行匹配,需要說明的是,前述的第一預置算法 將在后續(xù)實施例中進行說明,此處不再詳細贅述。
[0053] S5 :支付平臺將匹配成功后的報文加載相對應的賬戶信息并返回至P0S機進行校 驗碼校驗。
[0054] 本實施例中,當支付平臺對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一 預置算法進行校驗并對報文的信息進行匹配,且匹配成功之后,支付平臺將匹配成功后的 報文加載相對應的賬戶信息并返回至P0S機進行校驗碼校驗,前述的賬戶信息可以是與用 戶端,例如手機用戶,相對應的銀行賬戶信息等,此處具體不做限定,需要說明的是,前述的 第一預置算法將在后續(xù)實施例中進行說明,此處不再詳細贅述。
[0055] 必須說明的是,本發(fā)明實施例中提及的校驗碼的校驗例如可以是數(shù)據(jù)包校驗,按 照通訊雙方約定的要求,對整個需傳送的數(shù)據(jù)文或者一些具體的域組成的字符串用MAC密 鑰,按照約定的要求進行運算,結(jié)果為8位的校驗數(shù)據(jù),放在發(fā)送報文的后面一起發(fā)送,如 果參與運算的字符串被惡意修改,則運算的結(jié)果會不同,對方收到此數(shù)據(jù)包后,也需先按照 相同的方式來對數(shù)據(jù)包進行運算,并對運算的結(jié)果與收到的結(jié)果進行比對,以判斷此報文 的合法性。只有合法的報文才能進行下一步的操作,否則認為是非法包,拒絕處理。
[0056] 本實施例中,通過P0S機先計算校驗碼并將包含有校驗碼的報文發(fā)送至用戶端和 支付平臺,支付平臺對校驗碼進行校驗,并對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行 匹配,并對匹配成功后加載相對應的賬戶信息并返回至P0S機進行校驗碼校驗,最終實現(xiàn) 安全支付性,解決了現(xiàn)有的由于其雙端交互直接進行鑒權(quán)和報文傳輸在同一條通信線路 上,同時,僅僅是依賴支付平臺進行校驗的技術(shù),使得安全性大大地降低。
[0057] 上面是對基于P0S機的安全驗證方法的過程進行詳細的描述,下面將對P0S機對 報文加載根據(jù)工作密鑰計算出的相對應的校驗碼之前的過程進行詳細的描述,請參閱圖2, 本發(fā)明實施例提供的一種基于P0S機的安全驗證方法的另一個實施例包括:
[0058] 201、P0S機寫入與支付平臺相對應的主密鑰,并分散保存在其內(nèi)部的SAM卡中;
[0059] 本實施例中,當需要通過使用P0S機進行消費之前,P0S機的寫入與支付平臺相對 應的主密鑰,并分散保存在其內(nèi)部的SAM卡(安全存儲模塊)中,例如主密鑰(TMK)由銀行 科技人員提供,可以采用手工輸入(在安全環(huán)境下)或密鑰P0S注入密碼鍵盤,密碼鍵盤將 主密鑰寫入密鑰保護芯片SAM卡中,此芯片可以是具有開機程序自毀功能,能很好的保護 銀行主密鑰的安全性,生產(chǎn)中應保持密碼鍵盤主密鑰與銀行后臺主密鑰的一致性。
[0060] 202、P0S機根據(jù)支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至支付平臺進行身 份鑒權(quán);
[0061] 當P0S機寫入與支付平臺相對應的主密鑰,并分散保存在其內(nèi)部的SAM卡中之后, P0S機根據(jù)支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至支付平臺進行身份鑒權(quán),可以 理解的是,該身份鑒權(quán)可以是鑒權(quán)P0S機的主密鑰和P0S機的終端編號,此處具體不做限 定。
[0062] 203、P0S機向支付平臺建立連接關(guān)系并進行聯(lián)機簽到;
[0063] 當P0S機根據(jù)支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至支付平臺進行身 份鑒權(quán)成功之后,P0S機向支付平臺建立連接關(guān)系并進行聯(lián)機簽到。
[0064] 204、P0S機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼;
[0065] 本實施例中,當P0S機向支付平臺建立連接關(guān)系并進行聯(lián)機簽到之后,首先P0S機 對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼,可以理解的是,前述的報文包含有支 付信息,支付信息包括P0S機的終端編號、消費商戶號、流水號、批次號、支付金額。
[0066] 必須說明的是,前述的工作密鑰為MAC密鑰和PIN密鑰,例如工作密鑰(TPK)工作 密鑰為P0S機向銀行簽到時從銀行后臺獲取,由于簽到交易需要通訊,所以需要對工作密 鑰進行加密傳輸(簽到時銀行返回P0S的工作密鑰是密文),P0S終端收到銀行返回的報文 后,對工作密鑰用主密鑰進行解密,然后將工作密鑰存儲在專用的密鑰保護芯片里,此過程 用密碼鍵盤的專用芯片進行處理,此密鑰同樣具有開機自毀功能。此密鑰專用于計算PIN_ BLOCK (對磁卡人輸入的密碼進行加密),需要說明的是,前述的MAC密鑰和PIN密鑰將在后 續(xù)的實施例中進行詳細的描述,此處不再贅述。
[0067] 205、P0S機發(fā)送包含有校驗碼的報文給用戶端和支付平臺;
[0068] 當P0S機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼之后,P0S機發(fā)送包 含有校驗碼的報文給用戶端和支付平臺。
[0069] 206、用戶端將獲取的報文發(fā)送至支付平臺;
[0070] 當P0S機發(fā)送包含有校驗碼的報文給用戶端和支付平臺的同時,用戶端需要將獲 取的報文發(fā)送至支付平臺。
[0071] 207、支付平臺對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法 進行校驗并對報文的信息進行匹配;
[0072] 當支付平臺獲取到P0S機發(fā)送的報文和用戶端發(fā)送的報文之后,支付平臺對P0S 機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法進行校驗并對報文的信息進行 匹配,例如對報文包含有的校驗碼進行校驗,同時對報文中的支付信息的P0S機的終端編 號、消費商戶號、流水號、批次號、支付金額進行匹配,需要說明的是,前述的第一預置算法 將在后續(xù)實施例中進行說明,此處不再詳細贅述。
[0073] 208、支付平臺將匹配成功后的報文加載相對應的賬戶信息并返回至P0S機進行 校驗碼校驗;
[0074] 本實施例中,當支付平臺對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一 預置算法進行校驗并對報文的信息進行匹配,且匹配成功之后,支付平臺將匹配成功后的 報文加載相對應的賬戶信息并返回至P0S機進行校驗碼校驗,前述的賬戶信息可以是與用 戶端,例如手機用戶,相對應的銀行賬戶信息等,此處具體不做限定,需要說明的是,前述的 第一預置算法將在后續(xù)實施例中進行說明,此處不再詳細贅述。
[0075] 209、在P0S機上輸入與賬戶信息相對應的賬戶密碼;
[0076] 當支付平臺將匹配成功后的報文加載相對應的賬戶信息并返回至P0S機進行校 驗碼校驗成功之后,在P0S機上輸入與賬戶信息相對應的賬戶密碼,賬戶密碼為與工作密 鑰的PIN密鑰相對應的PIN密碼。
[0077] 210、對賬戶密碼進行第二預置算法進行加密,并發(fā)送至支付平臺進行校驗,若校 驗成功,將成功的信息返回P0S機和用戶端。
[0078] 當在P0S機上輸入與賬戶信息相對應的賬戶密碼之后,對賬戶密碼進行第二預置 算法進行加密,并發(fā)送至支付平臺進行校驗,若校驗成功,將成功的信息返回P0S機和用戶 端,需要說明的是,前述的第二預置算法為DES加密算法。
[0079] 需要說明的是,當校驗失敗之后,返回支付失敗的信息,此處具體不做限定。
[0080] 必須說明的是,本發(fā)明實施例中提及的校驗碼的校驗例如可以是數(shù)據(jù)包校驗,按 照通訊雙方約定的要求,對整個需傳送的數(shù)據(jù)文或者一些具體的域組成的字符串用MAC密 鑰,按照約定的要求進行運算,結(jié)果為8位的校驗數(shù)據(jù),放在發(fā)送報文的后面一起發(fā)送,如 果參與運算的字符串被惡意修改,則運算的結(jié)果會不同,對方收到此數(shù)據(jù)包后,也需先按照 相同的方式來對數(shù)據(jù)包進行運算,并對運算的結(jié)果與收到的結(jié)果進行比對,以判斷此報文 的合法性。只有合法的報文才能進行下一步的操作,否則認為是非法包,拒絕處理。
[0081] 本實施例中,通過P0S機先計算校驗碼并將包含有校驗碼的報文發(fā)送至用戶端和 支付平臺,支付平臺對校驗碼進行校驗,并對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行 匹配,并對匹配成功后加載相對應的賬戶信息并返回至P0S機進行校驗碼校驗,最終實現(xiàn) 安全支付性,解決了現(xiàn)有的由于其雙端交互直接進行鑒權(quán)和報文傳輸在同一條通信線路 上,同時,僅僅是依賴支付平臺進行校驗的技術(shù),使得安全性大大地降低,以及通過多個SAM 卡進行主密鑰存儲的設計,進一步使得P0S機在報文傳輸?shù)奶幚磉^程更加快捷。
[0082] 上面是對P0S機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼之前的過程 進行詳細的描述,下面將對第一預置算法和第二預置算法進行詳細的說明,請參閱圖3,本 發(fā)明實施例提供的一種基于P0S機的安全驗證方法的另一個實施例包括:
[0083] 301、P0S機寫入與支付平臺相對應的主密鑰,并分散保存在其內(nèi)部的SAM卡中;
[0084] 本實施例中,當需要通過使用P0S機進行消費之前,P0S機的寫入與支付平臺相對 應的主密鑰,并分散保存在其內(nèi)部的SAM卡(安全存儲模塊)中,例如主密鑰(TMK)由銀行 科技人員提供,可以采用手工輸入(在安全環(huán)境下)或密鑰母P0S注入密碼鍵盤,密碼鍵盤 將主密鑰寫入密鑰保護芯片SAM卡中,此芯片可以是具有開機程序自毀功能,能很好的保 護銀行主密鑰的安全性,生產(chǎn)中應保持密碼鍵盤主密鑰與銀行后臺主密鑰的一致性。
[0085] 302、P0S機根據(jù)支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至支付平臺進行身 份鑒權(quán);
[0086] 當P0S機寫入與支付平臺相對應的主密鑰,并分散保存在其內(nèi)部的SAM卡中之后, P0S機根據(jù)支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至支付平臺進行身份鑒權(quán),可以 理解的是,該身份鑒權(quán)可以是鑒權(quán)P0S機的主密鑰和P0S機的終端編號,此處具體不做限 定。
[0087] 303、P0S機向支付平臺建立連接關(guān)系并進行聯(lián)機簽到;
[0088] 當P0S機根據(jù)支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至支付平臺進行身 份鑒權(quán)成功之后,P0S機向支付平臺建立連接關(guān)系并進行聯(lián)機簽到。
[0089] 304、P0S機獲取支付平臺發(fā)送的工作密鑰,P0S機通過存儲在SAM卡中的主密鑰對 工作密鑰進行解密;
[0090] 本實施例中,當P0S機向支付平臺建立連接關(guān)系并進行聯(lián)機簽到之后,P0S機的獲 取支付平臺發(fā)送的工作密鑰,P0S機通過存儲在SAM卡中的主密鑰對工作密鑰進行解密
[0091] 305、P0S機按照預置算法根據(jù)工作密鑰按照第一預置算法計算校驗碼并加載進報 文中;
[0092] 當P0S機獲取支付平臺發(fā)送的工作密鑰,P0S機通過存儲在SAM卡中的主密鑰對 工作密鑰進行解密之后,P0S機按照預置算法根據(jù)工作密鑰按照第一預置算法計算校驗碼 并加載進報文中,可以理解的是,前述的報文包含有支付信息,支付信息包括POS機的終端 編號、消費商戶號、流水號、批次號、支付金額。
[0093] 必須說明的是,前述的工作密鑰為MAC密鑰和PIN密鑰,例如工作密鑰(TPK)工作 密鑰為P0S機向銀行簽到時從銀行后臺獲取,由于簽到交易需要通訊,所以需要對工作密 鑰進行加密傳輸(簽到時銀行返回P0S的工作密鑰是密文),P0S終端收到銀行返回的報文 后,對工作密鑰用主密鑰進行解密,然后將工作密鑰存儲在專用的密鑰保護芯片里,此過程 用密碼鍵盤的專用芯片進行處理,此密鑰同樣具有開機自毀功能。此密鑰專用于計算PIN_ BLOCK(對磁卡人輸入的密碼進行加密)。
[0094] 前述的MAC密鑰(TAK)例如是P0S機向銀行簽到時從銀行后臺獲取,由于簽到交 易需要通訊,所以需要對MAC密鑰進行加密傳輸(簽到時銀行返P0S的MAC密鑰是密文), P0S終端收到銀行返回的報文后,對MAC密鑰用主密鑰進行解密,然后將MAC密鑰存儲在專 用的密鑰保護芯片里,此過程用密碼鍵盤的專用芯片進行處理,此密鑰同樣具有開機自毀 功能。此密鑰專用于計算MAC (對數(shù)據(jù)包生成校驗數(shù)據(jù))。
[0095] 306、P0S機將包含有校驗碼的報文通過二維碼的模式給用戶端進行提取,P0S機 發(fā)送包含有校驗碼的報文至支付平臺;
[0096] 當P0S機按照預置算法根據(jù)工作密鑰按照第一預置算法計算校驗碼并加載進報 文中之后,P0S機將包含有校驗碼的報文通過二維碼的模式給用戶端進行提取,P0S機發(fā)送 包含有校驗碼的報文支付平臺。
[0097] 307、用戶端將獲取的報文發(fā)送至支付平臺;
[0098] 當P0S機發(fā)送包含有校驗碼的報文給用戶端和支付平臺的同時,用戶端需要將獲 取的報文發(fā)送至支付平臺。
[0099] 308、支付平臺對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法 進行校驗;
[0100] 當支付平臺獲取到P0S機發(fā)送的報文和用戶端發(fā)送的報文之后,支付平臺對P0S 機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法進行校驗,可以理解的是,前述 的第一預置算法為DES或3DES加密算法。
[0101] 309、支付平臺對報文的信息進行匹配,若P0S機發(fā)送的報文和用戶端發(fā)送的報文 信息一致,則匹配成功;
[0102] 當支付平臺對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一預置算法進 行校驗成功之后,支付平臺對報文的信息進行匹配,若P0S機發(fā)送的報文和用戶端發(fā)送的 報文信息一致,則匹配成功,例如對報文中的支付信息的P0S機的終端編號、消費商戶號、 流水號、批次號、支付金額進行匹配是否一致,若一致,則匹配成功。
[0103] 310、支付平臺將匹配成功后的報文加載相對應的賬戶信息;
[0104] 本實施例中,當支付平臺對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行按照第一 預置算法進行校驗并對報文的信息進行匹配,且匹配成功之后,支付平臺將匹配成功后的 報文加載相對應的賬戶信息,其中賬戶信息與用戶端信息相對應,例如用戶端的銀行賬戶 信息,此處具體不做限定。
[0105] 311、支付平臺將加載相對應的賬戶信息的報文返回至P0S機進行校驗碼校驗;
[0106] 支付平臺將匹配成功后的報文加載相對應的賬戶信息之后,支付平臺將加載相對 應的賬戶信息的報文返回至POS機進行校驗碼校驗。
[0107] 312、在P0S機上輸入與賬戶信息相對應的賬戶密碼;
[0108] 當支付平臺將匹配成功后的報文加載相對應的賬戶信息并返回至P0S機進行校 驗碼校驗成功之后,在P0S機上輸入與賬戶信息相對應的賬戶密碼,賬戶密碼為與工作密 鑰的PIN密鑰相對應的PIN密碼。
[0109] 313、對賬戶密碼進行第二預置算法進行加密,并發(fā)送至支付平臺進行校驗,若校 驗成功,將成功的信息返回P0S機和用戶端。
[0110] 當在P0S機上輸入與賬戶信息相對應的賬戶密碼之后,對賬戶密碼進行第二預置 算法進行加密,并發(fā)送至支付平臺進行校驗,若校驗成功,將成功的信息返回P0S機和用戶 端,需要說明的是,前述的第二預置算法為DES加密算法。
[0111] 需要說明的是,當校驗失敗之后,返回支付失敗的信息,此處具體不做限定。
[0112] 必須說明的是,本發(fā)明實施例中提及的校驗碼的校驗例如可以是數(shù)據(jù)包校驗,按 照通訊雙方約定的要求,對整個需傳送的數(shù)據(jù)文或者一些具體的域組成的字符串用MAC密 鑰,按照約定的要求進行運算,結(jié)果為8位的校驗數(shù)據(jù),放在發(fā)送報文的后面一起發(fā)送,如 果參與運算的字符串被惡意修改,則運算的結(jié)果會不同,對方收到此數(shù)據(jù)包后,也需先按照 相同的方式來對數(shù)據(jù)包進行運算,并對運算的結(jié)果與收到的結(jié)果進行比對,以判斷此報文 的合法性。只有合法的報文才能進行下一步的操作,否則認為是非法包,拒絕處理。
[0113] 本實施例中,通過P0S機先計算校驗碼并將包含有校驗碼的報文發(fā)送至用戶端和 支付平臺,支付平臺對校驗碼進行校驗,并對P0S機發(fā)送的報文和用戶端發(fā)送的報文進行 匹配,并對匹配成功后加載相對應的賬戶信息并返回至P0S機進行校驗碼校驗,最終實現(xiàn) 安全支付性,解決了現(xiàn)有的由于其雙端交互直接進行鑒權(quán)和報文傳輸在同一條通信線路 上,同時,僅僅是依賴支付平臺進行校驗的技術(shù),使得安全性大大地降低,以及通過多個SAM 卡進行主密鑰存儲的設計,進一步使得P0S機在報文傳輸?shù)奶幚磉^程更加快捷,同時,通過 DES的加密算法更進一步地提高報文傳輸?shù)陌踩浴?br>
[0114] 以上所述,以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前 述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應當理解:其依然可以對前 述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換;而這些 修改或者替換,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
【權(quán)利要求】
1. 一種基于POS機的安全驗證方法,其特征在于,包括: 51 :P0S機對報文加載根據(jù)工作密鑰計算出的相對應的校驗碼; 52 :所述P0S機發(fā)送包含有校驗碼的報文給用戶端和支付平臺; 53 :所述用戶端將獲取的所述報文發(fā)送至所述支付平臺; 54 :所述支付平臺對所述P0S機發(fā)送的報文和所述用戶端發(fā)送的報文進行按照第一預 置算法進行校驗并對所述報文的信息進行匹配; 55 :所述支付平臺將匹配成功后的所述報文加載相對應的賬戶信息并返回至所述P0S 機進行所述校驗碼校驗。
2. 根據(jù)權(quán)利要求1所述的安全驗證方法,其特征在于,所述步驟S1之前還包括: 所述P0S機寫入與所述支付平臺相對應的主密鑰,并分散保存在其內(nèi)部的SAM卡中。
3. 根據(jù)權(quán)利要求1所述的安全驗證方法,其特征在于,所述步驟S1之前還包括: 所述P0S機根據(jù)所述支付平臺發(fā)送的隨機信息進行身份加密并發(fā)送至所述支付平臺 進行身份鑒權(quán); 所述P0S機向所述支付平臺建立連接關(guān)系并進行聯(lián)機簽到。
4. 根據(jù)權(quán)利要求1所述的安全驗證方法,其特征在于,所述步驟S1具體包括: 所述P0S機獲取所述支付平臺發(fā)送的所述工作密鑰; 所述P0S機通過存儲在SAM卡中的主密鑰對所述工作密鑰進行解密; 所述P0S機按照預置算法根據(jù)所述工作密鑰按照所述第一預置算法計算所述校驗碼 并加載進所述報文中。
5. 根據(jù)權(quán)利要求1所述的安全驗證方法,其特征在于,所述步驟S2具體包括: 所述P0S機將包含有校驗碼的報文通過二維碼的模式給用戶端進行提??; 所述P0S機發(fā)送包含有校驗碼的報文至支付平臺。
6. 根據(jù)權(quán)利要求1所述的安全驗證方法,其特征在于,所述步驟S4包括: 所述支付平臺對所述P0S機發(fā)送的報文和所述用戶端發(fā)送的報文進行按照所述第一 預置算法進行校驗; 所述支付平臺對所述報文的信息進行匹配,若所述P0S機發(fā)送的報文和所述用戶端發(fā) 送的報文信息一致,則匹配成功。
7. 根據(jù)權(quán)利要求1所述的安全驗證方法,其特征在于,所述步驟S5包括: 所述支付平臺將匹配成功后的所述報文加載相對應的賬戶信息,其中所述賬戶信息與 所述用戶端信息相對應; 所述支付平臺將加載相對應的賬戶信息的所述報文返回至所述P0S機進行所述校驗 碼校驗。
8. 根據(jù)權(quán)利要求1所述的安全驗證方法,其特征在于,所述步驟S5之后還包括: 在所述P0S機上輸入與所述賬戶信息相對應的賬戶密碼; 對所述賬戶密碼進行第二預置算法進行加密,并發(fā)送至所述支付平臺進行校驗,若校 驗成功,將成功的信息返回所述P0S機和所述用戶端。
9. 根據(jù)權(quán)利要求4所述的安全驗證方法,其特征在于,所述第一預置算法為DES或 3DES加密算法。
10. 根據(jù)權(quán)利要求8所述的安全驗證方法,其特征在于,所述第二預置算法為DES加密 算法。
【文檔編號】H04L29/06GK104125237SQ201410398935
【公開日】2014年10月29日 申請日期:2014年8月13日 優(yōu)先權(quán)日:2014年8月13日
【發(fā)明者】譚寧 申請人:廣州市易票聯(lián)支付技術(shù)有限公司