一种基于标记的移动支付方法及移动支付系统技术方案

本发明专利技术涉及一种基于标记的移动支付方法以及移动支付系统。该方法包括下述步骤：初次登录步骤，支付后台基于客户端上送的用户信息和设备唯一标识采用主密钥生成共享密钥K并且将该生成的共享密钥K和计数器C下发到客户端；支付标记生成步骤，在需要进行支付时，客户端基于所述共享密钥K和计数器C产生的原始密文和经加密的账户标识信息生成支付标记并发送到受理终端；支付标记验证步骤，受理终端将支付标记和其他验证要素发送到支付后台，由支付后台验证支付标记；支付结果通知步骤，在支付标记验证成功的情况下支付后台验证交易信息并且将支付结果通知受理终端。根据本发明专利技术，在能够保证支付安全性的前提下可以提供一种在支付时不需要联网的基于标记的移动支付方法以及移动支付系统。

【技术实现步骤摘要】

本专利技术涉及计算机应用
，特别地涉及一种基于标记的移动支付方法以及移动支付系统。
技术介绍
在传统的银行卡线上、线下交易中，卡号作为支付账户的唯一标识，一旦泄露很容易造成巨大的风险，后来出现了一种称为标记化（Tokenization）技术，通过在支付过程中使用标记（Token）代替卡号减少卡号在整个交易中的出现，从而增强交易的安全性。特别的对于移动支付线下交易，在手机或者其他移动终端不存在安全芯片的情况下，支付账户信息如何保存和传输是个很重要的安全问题，而Token成为在没有安全载体的情况下移动支付的首选方案。但是移动支付线下交易，如果简单的用Token代替卡号并不能很好的解决所有问题：如果Token是支付时实时生成，那么移动终端在支付时必须保持联网状态，与支付后台系统通讯产生Token，这样支付成功率必然受到很大影响；如果Token是预先生成并保存不变，那么Token同银行卡信息一样面临着Token保存在没有安全芯片保护的移动设备上并不安全的问题。
技术实现思路
鉴于上述问题，本专利技术旨在提供一种既能保证支付的安全性又能够实现离线支付的基于标记的移动支付方法以及移动支付系统。具体地，本专利技术出了一种基于Token的线下移动支付系统和方法，在产生Token的时候除了支付账户信息外，加入一次性密文，该一次性密文由移动终端在离线的情况产生并且每隔一段时间发生变化，使得Token的有效期能够控制较短的时间并且能够在Token失效后不断产生新的Token，从而使得在使用Token进行支付时，不但移动终端能够离线，而且还能够保证一定的安全性。本专利技术的基于标记的移动支付方法，其特征在于，包括下述步骤：初次登录步骤，支付后台基于客户端上送的用户信息和设备唯一标识采用主密钥生成共享密钥K并保存在数据库中，并且将该生成的共享密钥K和计数器C下发到客户端；支付标记生成步骤，在需要进行支付时，客户端基于所述共享密钥K和计数器C产生的原始密文和经加密的生成支付标记并发送到受理终端；支付标记验证步骤，受理终端将支付标记和其他验证要素发送到支付后台，由支付后台验证支付标记；支付结果通知步骤，在支付标记验证成功的情况下支付后台验证交易信息并且将支付结果通知受理终端。优选地，所述初次登录步骤包括下述子步骤：客户端向支付后台上送用户信息和设备唯一标识；支付后台验证用户信息；在验证用户信息成功后，支付后台利用所保存的主密钥和所述设备唯一标识生成共享密钥K；以及支付后台将该生成的共享密钥K和计数器C发送到客户端。优选地，所述支付标记生成步骤包括下述子步骤：客户端完成共享密钥K和计数器C同步后，每隔规定时间更新计数器C；在需要进行支付时，客户端基于所述共享密钥K和计数器C的当前值利用规定的加密算法生成原始密文；客户端使用公钥将账户标识加密后生成经加密的账户标识信息，其中，与所述公钥对应的私钥保存在支付后台中，账户标识信息是指支付后台用来找到对应用户的标识。举个例子：比如某个用户，其用户名为xxxxxx，支付后台用88888888这一串数字来标识xxxxxx这个用户；以及根据所述原始密文和所述经加密的账户标识信息生成支付标记并发送到受理终端。优选地，所述初次登录步骤还包括下述步骤：在支付后台将共享密钥K和计数器C发送到客户端之后，进一步在客户端设置用户登录密码。优选地，在需要进行支付时，用户预先要在客户端输入用户登录密码，验证通过才能够进行后续步骤。优选地，所述规定的加密算法是一次密码加密算法。优选地，所述规定的加密算法是HOTP。优选地，所述支付标记验证步骤包括下述子步骤：受理终端将支付标记发送到支付后台，支付后台解密出加密账户标识信息和原始密文；支付后台利用所存储的私钥从解密出的加密账户标识信息中解密出对应的账户标识；支付后台根据账户标识从数据库中获取共享密钥K和初始的计数器C；根据当前时间与计数器C的计数值计算出时间间隔，根据时间间隔计算当前计数器的值；根据获取的共享密钥K和当前的计数器值采用所述规定加密算法计算当前密文；支付后台比较计算出的当前密文与所述原始密文，如果一致则表示支付标记验证成功，否则验证失败。优选地，在所述支付结果通知步骤包括下述子步骤：在支付标记验证成功的情况下，支付后台验证交易信息；支付后台将支付结果通知受理终端；受理终端将支付结果通知用户。优选地，还可以设置为在支付后台比较计算出的当前密文与所述原始密文的情况下，如果比对失败，则记录当前的累计失败次数，当失败次数达到规定阈值后，支付后台将拒绝该用户的后续验证请求。优选地，所述支付标记是二维码或者条形码或者HCE。本专利技术的基于标记的移动支付系统包括：客户端、受理终端、支付后台，所述客户端用于将用户信息和设备唯一标识发送到受理终端，并且从支付后台接受支付后台用户信息和设备唯一标识生成的共享密钥K和计数器C，而且，在需要进行支付时客户端用于基于所述共享密钥K和计数器C产生的原始密文和经加密的账户标识信息生成支付标记并发送到受理终端；所述受理终端用于从所述客户端获取支付标记发送到支付后台，并且用于接收从所述支付后台返回的支付结果并且将支付结果转发给客户端。所述支付后台用于基于客户端上送的用户信息和设备唯一标识采用主密钥生成共享密钥K并且将该生成的共享密钥K和计数器C下发到客户端，而且，所述支付后台还用于对从手里的发送来的支付标记进行验证并且在在支付标记验证成功的情况下支付后台验证交易信息并且将支付结果通知受理终端。优选地，所述客户端用于在完成共享密钥K和计数器C同步后，每隔规定时间更新计数器C，在需要进行支付时，客户端基于所述共享密钥K和计数器C的当前值利用规定的加密算法生成原始密文，并且所述客户端还用于使用公钥将账户标识加密后生成经加密的账户标识信息，根据所述原始密文和所述经加密的账户标识信息生成支付标记（Token）并发送到受理终端，所述支付后台存储与所述公钥对应的私钥。优选地，所述支付后台在收到从受理终端发送来的支付标记后解密出加密账户标识信息和原始密文，并且利用所存储的私钥从解密出的加密账户标识信息中解密出对应的账户标识，进一步，所述支付后台根据账户标识获取共享密钥K和初始的计数器C，并且根据当前时间与计数器C的初始产生时间的时间间隔，根据所述规定时间T，计算计数器C的当前值，根据从数据库获取的共享密钥K和当前的计数器值采用所述规定加密算法计算当前密文，比较计算出的当前密文与所述原始密文，如果一致则表示支付标记验证成功，否则验证失败。如上所述，基于本专利技术的基于标记的移动支付方法以及移动支付系统，能够保证支付的安全性并且同时能够提高支付的便捷性。附图说明图1是表示本专利技术的基于标记的移动支付方法的概要流程图。图2是表示初次登录步骤的具体内容的流程图本文档来自技高网...

【技术保护点】
一种基于标记的移动支付方法，其特征在于，包括下述步骤：初次登录步骤，支付后台基于客户端上送的用户信息和设备唯一标识采用主密钥生成共享密钥K和初始计数器C并保存在数据库中，支付后台将该生成的共享密钥K和计数器C下发到客户端；支付标记生成步骤，在需要进行支付时，客户端基于所述共享密钥K和计数器C产生的原始密文和经加密的账户标识信息生成支付标记并发送到受理终端；支付标记验证步骤，受理终端至少将支付标记发送到支付后台，由支付后台验证支付标记；支付结果通知步骤，在支付标记验证成功的情况下支付后台验证交易信息并且将支付结果通知受理终端。

【技术特征摘要】
1.一种基于标记的移动支付方法，其特征在于，包括下述步骤：
初次登录步骤，支付后台基于客户端上送的用户信息和设备唯一标识采用主密钥生成共享密钥K和初始计数器C并保存在数据库中，支付后台将该生成的共享密钥K和计数器C下发到客户端；
支付标记生成步骤，在需要进行支付时，客户端基于所述共享密钥K和计数器C产生的原始密文和经加密的账户标识信息生成支付标记并发送到受理终端；
支付标记验证步骤，受理终端至少将支付标记发送到支付后台，由支付后台验证支付标记；
支付结果通知步骤，在支付标记验证成功的情况下支付后台验证交易信息并且将支付结果通知受理终端。
2.如权利要求1所述的移动支付方法，其特征在于，
所述初次登录步骤包括下述子步骤：
客户端向支付后台上送用户信息和设备唯一标识；
支付后台验证用户信息；
在验证用户信息成功后，支付后台利用所保存的主密钥和所述设备唯一标识生成共享密钥K；以及
支付后台将该生成的共享密钥K和计数器C发送到客户端。
3.如权利要求2所述的移动支付方法，其特征在于，
所述支付标记生成步骤包括下述子步骤：
客户端完成共享密钥K和计数器C同步后，每隔规定时间T更新计数器C；
在需要进行支付时，客户端基于所述共享密钥K和计数器C的当前值利用规定的加密算法生成原始密文；
客户端使用公钥将账户标识加密后生成经加密的账户标识信息，其中，与所述公钥对应的私钥保存在支付后台中；以及
根据所述原始密文和所述经加密的账户标识信息生成支付标记并发送到受理终端。
4.如权利要求3所述的移动支付方法，其特征在于，
所述初次登录步骤还包括下述步骤：
在支付后台将共享密钥K和计数器C发送到客户端之后，进一步在客户端设置用户登录密码。
5.如权利要求3所述的移动支付方法，其特征在于，
在需要进行支付时，用户预先要在客户端输入用户登录密码，验证通过才能够进行后续步骤。
6.如权利要求5所述的移动支付方法，其特征在于，
所述规定的加密算法是一次密码加密算法。
7.如权利要求3～6任意一项所述的移动支付方法，其特征在于，
所述支付标记验证步骤包括下述子步骤：
受理终端将支付标记发送到支付后台，支付后台解密出加密账户标识信息和原始密文；
支付后台利用所存储的私钥从解密出的加密账户标识信息中解密出对应的账户标识；
支付后台根据账户标识从数据库中获取共享密钥K和初始的计数器C；
根据当前时间与计数器C的初始产生时间的时间间隔，根据所述规定时间T，计算计数器C的当前值；
根据从数据库中获取的共享密钥K和当前的计数器值采用所述规定加密算法...

【专利技术属性】
技术研发人员：万四爽，鲁志军，尹亚伟，刘国宝，
申请(专利权)人：中国银联股份有限公司，
类型：发明
国别省市：上海;31