午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

基于nfc的半離線匿名支付方法

文檔序號:10726040閱讀:805來源:國知局
基于nfc的半離線匿名支付方法
【專利摘要】基于CoSE(Cloud of Secure Elements)概念,本發(fā)明提出一個NFC安全支付方法。安全服務承載于云服務器而不是智能手機的安全元件(SE)。根據CoSE架構部署一個可信云支付平臺,所有的交易項都由云支付平臺完成。商戶的POS終端充當消費者和云支付平臺的通信橋梁,消費者的NFC設備和商戶的POS終端通過射頻場RF連接,消費者NFC設備不需要數(shù)據網絡即可完成支付流程,并且交易過程中交易雙方通過對身份信息與隨機數(shù)進行hash運算實現(xiàn)正常交易匿名性,異常交易可追蹤。
【專利說明】
基于NFC的半離線匿名支付方法
技術領域
[00011本發(fā)明涉及NFC移動支付安全研究領域,具體涉及CoSE架構云端虛擬SE安全存儲 交易敏感信息的近場支付方法。
【背景技術】
[0002] 近場通信(Near Field Communication,簡稱NFC)技術是一種短距離的雙向高頻 無線通信信道,使得用戶設備之間的數(shù)據交換的技術。NFC為智能手機、個人電腦(PC)、個人 數(shù)碼助理(PDA)等具有NFC功能的設備間傳輸數(shù)據的提供了非接觸式技術。
[0003] 自從主流商業(yè)機構參與到NFC技術中,支付應用和票務應用成為NFC標準的主要驅 動力,例如金融機構和移動運營商對NFC的天然保密性和安全性的重視和推廣,逐漸把NFC 技術推廣到手機支付和票務等應用。越來越多的人更喜歡是使用手機作為支付工具,NFC功 能的設備可以作為電子錢包,意味著隨著支付、票務和其他應用的使用,人們可以使用手機 來支付他們的日常需求,最后,這可以替代借記卡、信用卡和其他無數(shù)每天帶在身上需要使 用的卡片。
[0004] 從技術和移動支付的發(fā)展趨勢來看,NFC支付必定是未來移動支付的主要實現(xiàn)方 式。目前Samsung、Apple、Huawei等廠商已經推出了搭載NFC功能的支付方式。在移動支付過 程中除了使用方便,用戶最關心的就是整個交易過程的安全性,具有較高的安全機制以及 NFC支付減少欺詐的機會一直是服務提供商和客戶關注的主要問題。為了提高NFC交易的安 全,防篡改安全元件SE的設計成了 NFC設備的一個必不可少的安全存儲芯片。隨著云計算的 發(fā)展,在國內外工業(yè)界和學術界越來越多研究人員提出了基于云計算的NFC支付,安全存儲 物理芯片SE逐漸被舍棄,直接在云端生成虛擬SE。

【發(fā)明內容】

[0005] 本發(fā)明提出一種基于CoSE架構的NFC安全支付方法,通過CoSE部署一個可信任云 支付平臺,云端生成虛擬SE代替物理芯片SE,實現(xiàn)半離線支付匿名化。
[0006] CoSE架構(Cloud of Secure Elements Architecture)是為移動和云應用提供可 信計算資源的基礎設施。CoSE是基于大量被稱為安全元件SE(Secure Elements)的安全微 控制器,在今天安全元件被配備生產數(shù)量達十億。這些防篡改設備提供加密資源(對稱或者 非對稱加密程序)和安全存儲。在一個同網絡相似的模式中,CoSE架構能夠支持統(tǒng)一資源標 識(URIs),有兩種主要針對性的服務,通過近場通信設施處理的移動應用如支付、室內導 航、物流、訪問控制、票務服務等和需要提供可信密碼服務的云應用。
[0007] CoSE架構有以下4個元素組成:1)NFC終端,通常提供付款或者訪問控制的基礎設 施。2)用戶配備嵌有NFC的智能手機,或者各種需要可信任密碼的終端。3)G 〇SE(Grid of Secure Elements)是一個承載一組虛擬安全元件SE的網絡服務器,這些安全元件直接由云 端生成。4)管理控制臺,一個TCP/IP客戶端可遠程管理GoSE。
[0008] CoSE架構中GoSE能夠安全的存儲個人信息如借記卡或信用卡信息,用戶唯一身份 驗證信息,交易信息。消費者或商戶NFC設備中SE存儲PIN、證書、密鑰、協(xié)議和加密機制,用 戶的手持設備中的SE僅僅是用于在POS終端和云支付平臺三者進行身份驗證。主要的交易 數(shù)據仍然是存儲在GoSE中,云支付平臺管理整個云環(huán)境,是唯一的一方擁有對存儲在云端 的機密數(shù)據完全的管理及訪問權限。
[0009]本發(fā)明所設計的CoSE架構模型(如圖1.所示)基于以下4個條件:l)G〇SE是云支付 平臺的一部分并由云支付平臺管理。2)消費者或者商戶的NFC設備僅僅是用作身份認證。3) 銀行或發(fā)行商與云支付平臺連接的4)消費者和商戶信任云支付平臺。
[0010] 注冊流程描述:
[0011] 1.用戶(消費者或商戶)通過網絡向云支付平臺發(fā)起注冊請求。
[0012] 2.用戶和云支付平臺雙向認證身份。
[0013] 3.身份認證通過,用戶向云支付平臺發(fā)送身份信息和銀行賬戶信息。
[0014] 4.云支付平臺基于這些信息確認信息的唯一,注冊或拒絕注冊。
[0015]交易執(zhí)行流程描述:
[0016] 1.消費者使用NFC設備靠近商戶P0S終端識別范圍開始支付。
[0017] 2. P0S終端與云服務提供商通信確認商戶和消費者身份。
[0018] 3.云服務提供商向P0S終端傳輸必要的信息。
[0019] 4.基于這些信息P0S終端認證交易或者拒絕交易,同意交易后將這些必要信息轉 發(fā)消費者。
[0020] 5.消費者確認信息認證交易或拒絕交易,同意交易后傳送確認信息到商戶P0S。
[0021] 6.商戶P0S終端與云端通信,由云端再次認證交易信息處理交易。
[0022] 本發(fā)明與現(xiàn)有技術相比,具有如下優(yōu)點和有益效果:
[0023]本方法中,商戶P0S終端作為消費者與云支付平臺的通信橋梁,消費者使用NFC設 備通過RF場與商戶P0S終端交換數(shù)據,因此消費者NFC設備在沒有網絡的離線狀態(tài)下依然可 以進行支付,這種消費者離線,商戶在線的支付過程,就是本發(fā)明所提出的半離線支付。在 某些特定的支付場景如地鐵、某些網絡受限的景區(qū)或者是在網絡狀態(tài)不穩(wěn)定的地區(qū),半離 線支付都可以快速的完成支付流程;CoSE架構部署云支付平臺,舍棄物理芯片SE直接云端 生成大量的SE,有效的減少了基礎設施的成本投入;并且在本方法中交易過程交易雙方通 過對身份信息與隨機數(shù)進行hash運算實現(xiàn)正常交易匿名性,異常交易可追蹤;通過安全性 分析表明本方法夠有效防竊聽攻擊、防假冒攻擊、防止重放攻擊、防數(shù)據篡改等惡意行為。
【附圖說明】
[0024] 圖1 .CoSE架構模型 [0025]圖2.注冊流程 [0026]圖3.支付流程
【具體實施方式】
[0027]下面結合附圖對本發(fā)明作進一步詳細的描述,但本發(fā)明的實施方式不限于此。 [0028]首先給出本方法中各符號的含義:
[0029] IDc;消費者唯一標識
[0030] IDm:商戶唯一標識
[0031] IMSI:移動用戶身份
[0032] Customer:消費者
[0033] Merchant:商戶
[0034] CPP:云支付平臺
[0035] h〇:用戶加密交換信息的hash函數(shù)
[0036] {M}k使用密鑰k加密信息Μ
[0037] Ka-b:A和Β的共享密鑰
[0038] Td:交易描述
[0039] Tno:交易號碼
[0040] Tts:交易開始時間戳 [00411 Ttc:交易結束時間戳 [0042] CI:信用卡或借記卡信息
[0043] RI:交易回執(zhí)信息 [0044] ||:連接運算符
[0045] ?:異或運算符
[0046] Token:由云支付平臺在消費者和商戶身份認證通過后生成的隨機字符串 [0047]注冊流程
[0048]步驟1:用戶(消費者和商戶)使用NFC移動設備發(fā)起注冊請求,NFC移動設備生成隨 機數(shù)X,隨后將注冊請求信息Req和隨機數(shù)X發(fā)送至云支付平臺。
[0049]步驟2:云支付平臺收到用戶的請求Req和隨機數(shù)X后,生成隨機數(shù)Y再計算E={h(X |Y| |k)}k,其中k是用戶的云支付平臺之間的共享密鑰,然后將Y,E兩者用K加密為{Y,E}k 后發(fā)送給用戶。
[0050] 步驟3:用戶收到{Y,E} k,用戶用密鑰k解密收到的信息得到Y和E。計算E ' = {h(X | Y| |k)}k,如果不等于E,直接終止此次會話直到下一次請求。相反,表示身份驗證通過。用戶 計算IDc = IMSI十h(X| |Y| |k),IDc成為用戶唯一標識,最后將IDc和CI用密鑰K加密為{h (IMSI),IDc,CI}k并發(fā)送給云支付平臺,其中CI是借記卡或信用卡信息,包括發(fā)行銀行、賬 戶名、賬號等等。
[0051 ] 步驟4:在云支付平臺收到后,利用密鑰k解密,得到haMSI),IDc和CI,在云支付平 臺的消費者組或商戶組的GoSE中查詢h(IMSI),若不存在則未曾注冊過,h(MSI)和相應的 IDc、CI保存在GoSE中的一個虛擬SE中,計算F = h(IDc ? CI ? E)發(fā)送給用戶。
[0052] 步驟5:用戶收到F后,計算F'=h(IDCθCIθE),如果不等于F,返回注冊錯誤信息 刪除haMSI)并終止注冊流程顯示注冊失敗,相反,F(xiàn) = F',表示注冊成功。
[0053]支付流程 [0054]階段1.認證階段
[0055]步驟1.當NFC設備進入P0S終端的識別范圍內P0S機向其發(fā)送Req消息以及P0S終端 產生的秘密隨機數(shù)R,開啟雙向認證階段。
[0056] 步驟2.用戶設備收到請求消息Request和商戶產生的隨機數(shù)R后,利用hash函數(shù)對 IDc| |R和IDc分別加密,得到h(IDc| |R)、h(ID,然后將這兩個加密結果及R通過用戶和商戶 的共享密鑰加密后{h(IDc I |R),h(IDc),R}kc-m發(fā)給商戶的POS終端。
[0057] 步驟3.商戶收到消費者發(fā)送過來的數(shù)據后,利用hash函數(shù)對自身的標識IDm進行 加密,得到h(IDm),然后再將這個值與h(IDc | | R)進行異或,得到h(IDc | | R) e h(IDm),之后 將這四項數(shù)據h(IDc),R,h(IDc I |R) θ h(IDm),Tp打包通過云支付平臺和商戶的共享密鑰 Km-cpp加密成{h(IDc | |R) ? h(IDm),h(IDc),R,Tp}Km-cpp傳給云支付平臺。
[0058] 步驟4云支付平臺收到商戶傳輸過來的數(shù)據后,將h(IDc)與自身消費者組CoSE中 存儲的h(IDc)進行對比認證消費者是否合法。接著利用,h(IDc| |R) eh(IDm)與R計算提取 出h(IDm),然后查找商戶組CoSE到IDm對比,在IDc及IDm都合法的情況下,云支付平臺計算 出Tno = h(h(IDc?R) | |h(IDm?R) | |Tp| |Tts),隨后云支付平臺將{h(IDc?R),h(IDm?R), Tno,Td,Tts,Token} km-cpp 傳給商戶。
[0059] 步驟5.商戶收到云平臺傳輸過的數(shù)據后,通過解密,再計算Tno進行驗證,驗證通 過后,商戶再將數(shù)據發(fā)送給消費者。
[0060] 階段2.交易階段
[0061]步驟6.消費者收到商戶傳輸?shù)臄?shù)據后,通過解密數(shù)據驗證h(IDceR),如果相同則 認證通過,同時驗證Tno,驗證通過顯示交易信息,如果用戶對交易沒有異議則輸入Pin進行 用戶認證。PIN是一個額外的安全層增加消費者和商戶間的信任。即讓商戶相信這個消費者 是這個NFC設備的合法擁有者,更進一步讓消費者保證在沒有自己的授權下任何人不能使 用其NFC設備進行交易,PIN碼存儲于本地SE中,SE比較消費者輸入的和本地存儲的PIN碼, 如果相等說明消費者是NFC設備的合法擁有者,反之,協(xié)議終止。PIN當pin驗證通過,利用 IDc、Tno和Token計算Tl = h(IDc ? Token ? Tno)發(fā)送給商戶。每一個Token-次有效,第二次 驗證判斷將失敗。token驗證失敗交易結束,直到下一次身份認證后隨機生成。Token防偽造 攻擊、防重放攻擊,隨機性,不可預測。
[0062] 步驟7.商戶收到消費者的數(shù)據后,利用IDc、Tno和Token生成T2 = h(IDm? Token? Tno)然后將T1和T2-起發(fā)送給CPP。
[0063] 步驟8.云支付平臺收到商戶傳輸?shù)臄?shù)據后,通過自身的IDc、IDm、Token、Tno以同 樣的方法計算ΤΓ,Τ2',若分別相等,則認證通過,云支付平臺處理交易,交易成功后,生成 交易回執(zhí)信息將RI通過共享密鑰Km-cpp加密發(fā)送給商戶。
[0064] 1?1 = {]\11,]\12,丁(1,1^。},其中,]\11=11(1'11〇||丁口||1^。),]\12={]\11}11(10。?!'!!。?!^。)
[0065] 步驟9.商戶收到云支付平臺的信息后,通過共享密鑰Km-cpp解密提取出Ml,M2, Td,Ttc,再利用自身存儲的Τηο,Τρ和從云平臺收到的Ttc以同樣的方法計算Ml' =h(Tno I Tp I I Ttc),若ΜΙ =ΜΓ,驗證通過,再將RI通過共享密鑰Kc-m加密發(fā)送給消費者,消費者收到 信息后解密RI,利用得到的信息Ml,Ttc,與自身存儲的Tno,計算M2 ' = {Ml}h(IDc e Tno θ Ttc)若相等,表示支付成功。
[0066]以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點。本行業(yè)的技術 人員應該了解,本發(fā)明不受上述實施例的限制,上述實施例和說明書中描述的只是說明本 發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會有各種變化和改進,這些變 化和改進都落入要求保護的本發(fā)明范圍內。本發(fā)明要求保護范圍由所附的權利要求書及其 等效物界定。
【主權項】
1. 一種基于NFC的半離線匿名支付方法,包括如下步驟: 步驟一、消費者使用NFC設備靠近商戶POS終端識別范圍開始支付; 步驟二、POS終端與云服務提供商通信確認商戶和消費者身份; 步驟Ξ、云服務提供商向POS終端傳輸必要的信息; 步驟四、基于運些信息POS終端認證交易或者拒絕交易,同意交易后將運些必要信息轉 發(fā)消費者; 步驟五、消費者確認信息認證交易或拒絕交易,同意交易后傳送確認信息到商戶POS; 步驟六、商戶POS終端與云端通信,由云端再次認證交易信息處理交易。2. 根據權利要求1所述的半離線匿名支付方法,其特征在于,還包括注冊流程,具體包 括如下步驟: (1) 用戶即消費者或商戶通過網絡向云支付平臺發(fā)起注冊請求; (2) 用戶和云支付平臺雙向認證身份; (3) 身份認證通過,用戶向云支付平臺發(fā)送身份信息和銀行賬戶信息; (4) 云支付平臺基于身份信息和銀行賬戶信息確認信息的唯一,注冊或拒絕注冊。3. 根據權利要求2所述的半離線匿名支付方法,其特征在于:注冊流程具體為: (1) 用戶即消費者或商戶使用NFC移動設備發(fā)起注冊請求,NFC移動設備生成隨機數(shù)X, 隨后將注冊請求信息Req和隨機數(shù)X發(fā)送至云支付平臺; (2) 云支付平臺收到用戶的請求信息Req和隨機數(shù)X后,生成隨機數(shù)Y再計算E=化(XII Y |k)}k,其中k是用戶的云支付平臺之間的共享密鑰,hO是用戶加密交換信息的hash函數(shù), 為連接運算符,{M}k使用密鑰k加密信息M,然后將Y,E兩者用K加密為{Y,E}k后發(fā)送給用 戶; (3) 用戶收到{Y,E}k,用戶用密鑰k解密收到的信息得到Y和E,計算E' =化(XllYlIk)} k,如果不等于E,直接終止此次會話直到下一次請求;相反,表示身份驗證通過;計算消費者 唯一標識IDc = IMSI eh(XMY||k),IMSI為移動用戶身份,最后將消費者唯一標識IDc和信 用卡或借記卡信息CI用密鑰K加密為化(IMSI),H)c,CI}k并發(fā)送給云支付平臺; (4) 在云支付平臺收到后,利用密鑰k解密,得到h(IMSI),IDc和CI,在云支付平臺的消 費者組或商戶組的GoSE中查詢h(IMSI),若不存在則未曾注冊過,h(IMSI)和相應的IDc、CI 保存在Go沈中的一個虛擬沈中,計算F = h(IDc度CI Φ巧發(fā)送給用戶; (5) 用戶收到F后,計算護'=11燈0(;:@[:1@巧,如果不等于。,返回注冊錯誤信息刪除}1 (IMSI)并終止注冊流程顯示注冊失敗,相反,F(xiàn) = F',表示注冊成功。4. 根據權利要求1所述的半離線匿名支付方法,其特征在于:認證階段包括: 當NFC設備進入P0S終端的識別范圍內P0S機向其發(fā)送Req消息W及P0S終端產生的秘密 隨機數(shù)R,開啟雙向認證階段; 用戶設備收到請求消息Req消息和商戶產生的隨機數(shù)R后,利用hash函數(shù)對IDc II R和消 費者唯一標識IDc分別加密,得到}1(10^|1〇、11(1〇(3),然后將運兩個加密結果及1?通過用戶 和商戶的共享密鑰加密后化(I化II R),h(I化),R}kc-m發(fā)給商戶的P0S終端,其中,k是用戶 的云支付平臺之間的共享密鑰,II為連接運算符; 用戶收到消費者發(fā)送過來的數(shù)據后,利用hash函數(shù)對自身的標識IDm進行加密,得到h (IDm),然后再將運個值與h(IDc| |R)進行異或,得到h〇:Dc Μ財:? h(IDm):,之后將運四項 數(shù)據b(巧C.)化htlDc I I巧受11(放曲),Τρ打包通過云支付平臺和商戶的共享密鑰Km-c卵 加密成{ h (?Ι)(_: R) Θ h UDm),h (TDc)化Τρ j Km - c孤傳給云支付平臺; 云支付平臺收到商戶傳輸過來的數(shù)據后,將h(IDc)與自身消費者組CoSE中存儲的 h(lDc)進行對比認證消費者是否合法。接著利用,h(II)c I I說Φ hilDm)與R計算 提取出h(IDm),然后查找商戶組CoSE到IDm對比,在IDc及IDm都合法的情況下,云支 付平臺計算出化〇二h化(-[Dc@ R) hClDm? R) I I化Μ Tts),隨后云支付平 臺將化(.IDg. 哈h(IDm. @ R.),Τηο, Td,Tts:, Tok臺η} km - G.PP傳給商戶;其中,Td: 交易描述、Τηο:交易號碼、Tts:交易開始時間戳、Ttc:交易結束時間戳、CI:信用卡或借記卡 信息、RI:交易回執(zhí)信息;Token:由云支付平臺在認證消費者和商戶身份后生成的隨機字符 串,一次有效,第二次驗證判斷將失敗; 商戶收到云平臺傳輸過的數(shù)據后,通過解密,再計算化0進行驗證,驗證通過后,商戶再 將數(shù)據發(fā)送給消費者。5.根據權利要求4所述的半離線匿名支付方法,其特征在于:支付階段包括: 消費者收到商戶傳輸?shù)臄?shù)據后,通過解密數(shù)據驗證h (IDc Θ R),如果相同則認證通 過,同時驗證化0,驗證通過顯示交易信息,如果用戶對交易沒有異議則輸入Pin進行用戶認 證,當pin驗證通過,利用IDc、Tno和Token計算T1二h ( 1 Dc① TokcTi貸Τηο)發(fā)送給商 戶; 商戶收到消費者的數(shù)據后,利用IDc、Tno和Token生成Τ2 = h tiDm通Tok細@扣0)然 后將T1和T2-起發(fā)送給云支付平臺CPP; 云支付平臺CPP收到商戶傳輸?shù)臄?shù)據后,通過自身的10。、1〇1]1、1'〇1?5]1、化〇計算1'1',了2', 若分別相等,則認證通過,云支付平臺處理交易,交易成功后,生成交易回執(zhí)信息將RI通過 共享密鑰Km-cpp加密發(fā)送給商戶; RI = {Ml ,M2,Td,Ttc},其中,祖'=h燈no; Π 飾 I. T't'G),.:船'二{MUh (IDc Φ Τηο ? Ttc) 商戶收到云支付平臺的信息后,通過共享密鑰Km-cpp解密提取出Ml,M2,Td,Ttc,再利 用自身存儲的化ο,化和從云平臺收到的TtcW同樣的方法計算ΜΓ =h(化ο I I Τρ I I Ttc),若 Ml =ΜΓ,驗證通過,再將RI通過共享密鑰Kc-m加密發(fā)送給消費者,消費者收到信息后解密 RI,利用得到的信息Mljtc,與自身存儲的化0,計算M2'二Wl}h(lDc? Τηο @ Ttc)若相 等,表示支付成功。
【文檔編號】G06Q20/38GK106096947SQ201610403370
【公開日】2016年11月9日
【申請日】2016年6月8日
【發(fā)明人】柳毅, 葛輝赟, 凌捷
【申請人】廣東工業(yè)大學
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1