一种随机密钥生成工作方法
专利名称:一种随机密钥生成工作方法
技术领域:
本发明涉及移动通信领域一种随机密钥生成工作方法。
背景技术:
移动支付,也称为手机支付,就是允许用户使用其移动终端(通常是手机)对所消 费的商品或服务进行账务支付的一种服务方式。移动支付业务是由移动运营商、移动应用服务提供商(MASP)和金融机构共同推出 的、构建在移动运营支撑系统上的一个移动数据增值业务应用。移动支付系统将为每个移 动用户建立一个与其手机号码关联的支付账户,其功能相当于电子钱包,为移动用户提供 了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用 WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此 次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实 现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付 系统(或与用户和MASP开户银行的主机系统协作)来完成。传统移动支付卡,交易密钥由运营商确定,但是需告知卡商、移动支付平台厂商、 安全中间件厂商、OTA平台厂商,并且在保存和传输的过程中,也可能会被其他人员无意或 者有意的获知,因此,传统方式在安全性上存在较大隐患。当前交易密钥如被破解或者其他 方式获取后,传统移动支付平台无法对现网支付卡的密钥进行更改,因此,只能重新确定密 钥以后,对全网支付卡进行更换,从管理上和经济上,都是巨大的负担。在SF-mps各项功能 中,引入了 OTA密钥下载技术,实现了远程写卡,但是这种功能还存在一个问题,就是对管 理要求较高,密钥持有人需要担负很大的密钥保密责任。
发明内容
本技术的核心就是用户密钥随机产生,并在激活的时候写入支付卡中,这样,管理责任 人无需担心密钥的泄露,所有密钥都是以密文的形式在系统中存放,并且所有用户密钥完 全不同,单个用户的密钥泄露对系统安全性毫无影响。管理责任人需持有证ey,即可通过 WEB查看所有用户信息和密码等信息。密钥的发布采用双钥体制/非对称密钥加密解密技术。双钥体制示意图1如下 该体系对信息的加密和解密都使用不同的密钥,公钥用于加密,私钥用于解密。主要过
程为
①加密明文P用解密方的公钥Kl加密成密文C=E (P,Kl)。②解密密文P用解密放的私钥K2解密成明文P=D (P, K2) =D (Ε (P, Kl),K2)。③传输密文P和公钥Kl通过普通信道传输。④保存私钥K2由解密方秘密保存(安全重心之所在)。采用该体系可以弥补交易数据传输过程中采用单密钥体制而导致密钥管理繁杂的缺点,可以使应用密钥在普通信道上安全传输,从而降低密钥管理的开销。移动支付卡的管理责任人无需担心密钥的泄露,所有密钥都是以密文的形式在系 统中存放,并且所有用户密钥完全不同,单个用户的密钥泄露对系统安全性毫无影响。管理 责任人需持有Ukey,即可通过TOB查看所有用户信息和密码等信息。
本发明将通过例子并参照附图的方式说明,其中 图1是多业务处理架构示意图。图2是行业应用服务器与银联接入的环节示意图。图3是具体的移动支付业务应用本发明方法示意图。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥 的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。如图2,在行业应用服务器与银联接入的环节,为避免数据被窃听带来的安全问 题。采用报文加密并计算MAC作为签名。通过SF-MPS提供的安全中间件,在行业应用服务 器与银联之间采用专用的密钥(区别于行业应用服务器与移动支付平台之间的密钥)。为了防止签名的报文仍然被窃听并重发交易的漏洞,可加入过程密钥的机制,由 于每次传输的报文都具有唯一性,使得窃听和重发攻击不可能。由于在系统架构上,移动支付平台与行业应用平台分离。移动支付平台主要作为 一个安全通讯的管道。具体的行业业务逻辑都是在行业应用平台上实现的。所以,运营风 险被彻底解决了。一个新的行业应用要通过sf-mps接入银联时,由ca中心受理接入请求,将请求转 发至银联。银联生成该行业应用专用的交易密钥后,对密钥本身加密发送回CA中心。CA中 心持有私钥对该报文解密,得到行业应用密钥。通过安全管道发送给行业应用提供商。之 后,行业应用服务器使用该密钥与银联服务器实现直接通讯。如图3表示了行业应用服务器在已经对接了银联服务器之后,如果进行具体的移 动支付业务。行业应用服务器持有该行业应用专用的银联通讯密钥,对移动支付业务报文 进行加密。银联服务器接受到报文后,用其保存的密钥解密。得到交易报文。并计算MAC 验证。银联服务器完成账户处理后,将结果发送回行业应用服务器。完成一次交易过程。
本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的新特 征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
1.一种随机密钥生成工作方法,其特征在于该工作方法对信息的加密和解密都使 用不同的密钥,公钥用于加密,私钥用于解密,其特征在于其工作过程为①加密明文P用解密方的公钥Kl加密成密文C=E(P, Kl);②解密密文P用解密放的私钥K2解密成明文P=D(P, K2) =D (Ε (P, Kl),K2);③传输密文P和公钥Kl通过普通信道传输;④保存私钥K2由解密方秘密保存。
2.根据权利要求1所述的随机密钥生成工作方法,其特征在于其应用于一个新的行 业应用的工作过程为一个新的行业应用要通过所述随机密钥生成工作方法及其支撑系统 接入银联时,由ca中心受理接入请求,将请求转发至银联;银联生成该行业应用专用的交 易密钥后,对密钥本身加密发送回CA中心;CA中心持有私钥对该报文解密,得到行业应用 密钥;通过安全管道发送给行业应用提供商;之后,行业应用服务器使用该密钥与银联服 务器实现直接通讯。
3.根据权利要求2所述的随机密钥生成工作方法,其特征在于如果进行具体的移动 支付业务,所述的行业应用服务器使用该密钥与银联服务器实现直接通讯的业务逻辑流程 是该行业应用服务器在已经对接了该银联服务器之后,如果进行具体的移动支付业务; 该行业应用服务器持有该行业应用所专用的银联通讯密钥,对移动支付业务报文进行加 密;所述银联服务器接受到报文后,用其保存的密钥解密;得到交易报文;并计算MAC验证; 所述银联服务器完成账户处理后,将结果发送回该行业应用服务器,完成一次交易过程。
全文摘要
本发明公开一种随机密钥生成工作方法,该工作方法对信息的加密和解密都使用不同的密钥,公钥用于加密,私钥用于解密,其特征在于其工作过程为①加密明文P用解密方的公钥K1加密成密文C=E(P,K1);②解密密文P用解密放的私钥K2解密成明文P=D(P,K2)=D(E(P,K1),K2);③传输密文P和公钥K1通过普通信道传输;④保存私钥K2由解密方秘密保存。采用该体系可以弥补交易数据传输过程中采用单密钥体制而导致密钥管理繁杂的缺点,可以使应用密钥在普通信道上安全传输,从而降低密钥管理的开销。
文档编号H04L9/08GK102123028SQ20111004647
公开日2011年7月13日 申请日期2011年2月28日 优先权日2011年2月28日
发明者任泽, 凯祥龙, 尹犊, 李飞, 熊剑文 申请人:成都四方信息技术有限公司
技术领域:
本发明涉及移动通信领域一种随机密钥生成工作方法。
背景技术:
移动支付,也称为手机支付,就是允许用户使用其移动终端(通常是手机)对所消 费的商品或服务进行账务支付的一种服务方式。移动支付业务是由移动运营商、移动应用服务提供商(MASP)和金融机构共同推出 的、构建在移动运营支撑系统上的一个移动数据增值业务应用。移动支付系统将为每个移 动用户建立一个与其手机号码关联的支付账户,其功能相当于电子钱包,为移动用户提供 了一个通过手机进行交易支付和身份认证的途径。用户通过拨打电话、发送短信或者使用 WAP功能接入移动支付系统,移动支付系统将此次交易的要求传送给MASP,由MASP确定此 次交易的金额,并通过移动支付系统通知用户,在用户确认后,付费方式可通过多种途径实 现,如直接转入银行、用户电话账单或者实时在专用预付账户上借记,这些都将由移动支付 系统(或与用户和MASP开户银行的主机系统协作)来完成。传统移动支付卡,交易密钥由运营商确定,但是需告知卡商、移动支付平台厂商、 安全中间件厂商、OTA平台厂商,并且在保存和传输的过程中,也可能会被其他人员无意或 者有意的获知,因此,传统方式在安全性上存在较大隐患。当前交易密钥如被破解或者其他 方式获取后,传统移动支付平台无法对现网支付卡的密钥进行更改,因此,只能重新确定密 钥以后,对全网支付卡进行更换,从管理上和经济上,都是巨大的负担。在SF-mps各项功能 中,引入了 OTA密钥下载技术,实现了远程写卡,但是这种功能还存在一个问题,就是对管 理要求较高,密钥持有人需要担负很大的密钥保密责任。
发明内容
本技术的核心就是用户密钥随机产生,并在激活的时候写入支付卡中,这样,管理责任 人无需担心密钥的泄露,所有密钥都是以密文的形式在系统中存放,并且所有用户密钥完 全不同,单个用户的密钥泄露对系统安全性毫无影响。管理责任人需持有证ey,即可通过 WEB查看所有用户信息和密码等信息。密钥的发布采用双钥体制/非对称密钥加密解密技术。双钥体制示意图1如下 该体系对信息的加密和解密都使用不同的密钥,公钥用于加密,私钥用于解密。主要过
程为
①加密明文P用解密方的公钥Kl加密成密文C=E (P,Kl)。②解密密文P用解密放的私钥K2解密成明文P=D (P, K2) =D (Ε (P, Kl),K2)。③传输密文P和公钥Kl通过普通信道传输。④保存私钥K2由解密方秘密保存(安全重心之所在)。采用该体系可以弥补交易数据传输过程中采用单密钥体制而导致密钥管理繁杂的缺点,可以使应用密钥在普通信道上安全传输,从而降低密钥管理的开销。移动支付卡的管理责任人无需担心密钥的泄露,所有密钥都是以密文的形式在系 统中存放,并且所有用户密钥完全不同,单个用户的密钥泄露对系统安全性毫无影响。管理 责任人需持有Ukey,即可通过TOB查看所有用户信息和密码等信息。
本发明将通过例子并参照附图的方式说明,其中 图1是多业务处理架构示意图。图2是行业应用服务器与银联接入的环节示意图。图3是具体的移动支付业务应用本发明方法示意图。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥 的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。如图2,在行业应用服务器与银联接入的环节,为避免数据被窃听带来的安全问 题。采用报文加密并计算MAC作为签名。通过SF-MPS提供的安全中间件,在行业应用服务 器与银联之间采用专用的密钥(区别于行业应用服务器与移动支付平台之间的密钥)。为了防止签名的报文仍然被窃听并重发交易的漏洞,可加入过程密钥的机制,由 于每次传输的报文都具有唯一性,使得窃听和重发攻击不可能。由于在系统架构上,移动支付平台与行业应用平台分离。移动支付平台主要作为 一个安全通讯的管道。具体的行业业务逻辑都是在行业应用平台上实现的。所以,运营风 险被彻底解决了。一个新的行业应用要通过sf-mps接入银联时,由ca中心受理接入请求,将请求转 发至银联。银联生成该行业应用专用的交易密钥后,对密钥本身加密发送回CA中心。CA中 心持有私钥对该报文解密,得到行业应用密钥。通过安全管道发送给行业应用提供商。之 后,行业应用服务器使用该密钥与银联服务器实现直接通讯。如图3表示了行业应用服务器在已经对接了银联服务器之后,如果进行具体的移 动支付业务。行业应用服务器持有该行业应用专用的银联通讯密钥,对移动支付业务报文 进行加密。银联服务器接受到报文后,用其保存的密钥解密。得到交易报文。并计算MAC 验证。银联服务器完成账户处理后,将结果发送回行业应用服务器。完成一次交易过程。
本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披露的新特 征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
1.一种随机密钥生成工作方法,其特征在于该工作方法对信息的加密和解密都使 用不同的密钥,公钥用于加密,私钥用于解密,其特征在于其工作过程为①加密明文P用解密方的公钥Kl加密成密文C=E(P, Kl);②解密密文P用解密放的私钥K2解密成明文P=D(P, K2) =D (Ε (P, Kl),K2);③传输密文P和公钥Kl通过普通信道传输;④保存私钥K2由解密方秘密保存。
2.根据权利要求1所述的随机密钥生成工作方法,其特征在于其应用于一个新的行 业应用的工作过程为一个新的行业应用要通过所述随机密钥生成工作方法及其支撑系统 接入银联时,由ca中心受理接入请求,将请求转发至银联;银联生成该行业应用专用的交 易密钥后,对密钥本身加密发送回CA中心;CA中心持有私钥对该报文解密,得到行业应用 密钥;通过安全管道发送给行业应用提供商;之后,行业应用服务器使用该密钥与银联服 务器实现直接通讯。
3.根据权利要求2所述的随机密钥生成工作方法,其特征在于如果进行具体的移动 支付业务,所述的行业应用服务器使用该密钥与银联服务器实现直接通讯的业务逻辑流程 是该行业应用服务器在已经对接了该银联服务器之后,如果进行具体的移动支付业务; 该行业应用服务器持有该行业应用所专用的银联通讯密钥,对移动支付业务报文进行加 密;所述银联服务器接受到报文后,用其保存的密钥解密;得到交易报文;并计算MAC验证; 所述银联服务器完成账户处理后,将结果发送回该行业应用服务器,完成一次交易过程。
全文摘要
本发明公开一种随机密钥生成工作方法,该工作方法对信息的加密和解密都使用不同的密钥,公钥用于加密,私钥用于解密,其特征在于其工作过程为①加密明文P用解密方的公钥K1加密成密文C=E(P,K1);②解密密文P用解密放的私钥K2解密成明文P=D(P,K2)=D(E(P,K1),K2);③传输密文P和公钥K1通过普通信道传输;④保存私钥K2由解密方秘密保存。采用该体系可以弥补交易数据传输过程中采用单密钥体制而导致密钥管理繁杂的缺点,可以使应用密钥在普通信道上安全传输,从而降低密钥管理的开销。
文档编号H04L9/08GK102123028SQ20111004647
公开日2011年7月13日 申请日期2011年2月28日 优先权日2011年2月28日
发明者任泽, 凯祥龙, 尹犊, 李飞, 熊剑文 申请人:成都四方信息技术有限公司
最新回复(0)