專利名稱:一種隨機(jī)密鑰生成工作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信領(lǐng)域一種隨機(jī)密鑰生成工作方法����。
背景技術(shù):
移動支付��,也稱為手機(jī)支付��,就是允許用戶使用其移動終端(通常是手機(jī))對所消 費的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式����。移動支付業(yè)務(wù)是由移動運營商���、移動應(yīng)用服務(wù)提供商(MASP)和金融機(jī)構(gòu)共同推出 的��、構(gòu)建在移動運營支撐系統(tǒng)上的一個移動數(shù)據(jù)增值業(yè)務(wù)應(yīng)用�����。移動支付系統(tǒng)將為每個移 動用戶建立一個與其手機(jī)號碼關(guān)聯(lián)的支付賬戶���,其功能相當(dāng)于電子錢包�����,為移動用戶提供 了一個通過手機(jī)進(jìn)行交易支付和身份認(rèn)證的途徑��。用戶通過撥打電話�、發(fā)送短信或者使用 WAP功能接入移動支付系統(tǒng)�,移動支付系統(tǒng)將此次交易的要求傳送給MASP,由MASP確定此 次交易的金額����,并通過移動支付系統(tǒng)通知用戶,在用戶確認(rèn)后�����,付費方式可通過多種途徑實 現(xiàn)���,如直接轉(zhuǎn)入銀行�����、用戶電話賬單或者實時在專用預(yù)付賬戶上借記��,這些都將由移動支付 系統(tǒng)(或與用戶和MASP開戶銀行的主機(jī)系統(tǒng)協(xié)作)來完成�。傳統(tǒng)移動支付卡�,交易密鑰由運營商確定,但是需告知卡商����、移動支付平臺廠商、 安全中間件廠商���、OTA平臺廠商���,并且在保存和傳輸?shù)倪^程中,也可能會被其他人員無意或 者有意的獲知�,因此,傳統(tǒng)方式在安全性上存在較大隱患。當(dāng)前交易密鑰如被破解或者其他 方式獲取后���,傳統(tǒng)移動支付平臺無法對現(xiàn)網(wǎng)支付卡的密鑰進(jìn)行更改�����,因此�����,只能重新確定密 鑰以后��,對全網(wǎng)支付卡進(jìn)行更換�,從管理上和經(jīng)濟(jì)上�,都是巨大的負(fù)擔(dān)。在SF-mps各項功能 中���,引入了 OTA密鑰下載技術(shù)��,實現(xiàn)了遠(yuǎn)程寫卡�����,但是這種功能還存在一個問題����,就是對管 理要求較高,密鑰持有人需要擔(dān)負(fù)很大的密鑰保密責(zé)任����。
發(fā)明內(nèi)容
本技術(shù)的核心就是用戶密鑰隨機(jī)產(chǎn)生�,并在激活的時候?qū)懭胫Ц犊ㄖ校@樣�����,管理責(zé)任 人無需擔(dān)心密鑰的泄露����,所有密鑰都是以密文的形式在系統(tǒng)中存放,并且所有用戶密鑰完 全不同�����,單個用戶的密鑰泄露對系統(tǒng)安全性毫無影響�。管理責(zé)任人需持有證ey,即可通過 WEB查看所有用戶信息和密碼等信息����。密鑰的發(fā)布采用雙鑰體制/非對稱密鑰加密解密技術(shù)。雙鑰體制示意圖1如下 該體系對信息的加密和解密都使用不同的密鑰,公鑰用于加密�����,私鑰用于解密��。主要過
程為
①加密明文P用解密方的公鑰Kl加密成密文C=E (P���,Kl)����。②解密密文P用解密放的私鑰K2解密成明文P=D (P, K2) =D (Ε (P, Kl)�,K2)。③傳輸密文P和公鑰Kl通過普通信道傳輸�����。④保存私鑰K2由解密方秘密保存(安全重心之所在)����。采用該體系可以彌補交易數(shù)據(jù)傳輸過程中采用單密鑰體制而導(dǎo)致密鑰管理繁雜的缺點,可以使應(yīng)用密鑰在普通信道上安全傳輸���,從而降低密鑰管理的開銷����。移動支付卡的管理責(zé)任人無需擔(dān)心密鑰的泄露,所有密鑰都是以密文的形式在系 統(tǒng)中存放�����,并且所有用戶密鑰完全不同��,單個用戶的密鑰泄露對系統(tǒng)安全性毫無影響�����。管理 責(zé)任人需持有Ukey�����,即可通過TOB查看所有用戶信息和密碼等信息���。
本發(fā)明將通過例子并參照附圖的方式說明,其中 圖1是多業(yè)務(wù)處理架構(gòu)示意圖��。圖2是行業(yè)應(yīng)用服務(wù)器與銀聯(lián)接入的環(huán)節(jié)示意圖�����。圖3是具體的移動支付業(yè)務(wù)應(yīng)用本發(fā)明方法示意圖。
具體實施例方式本說明書中公開的所有特征�����,或公開的所有方法或過程中的步驟�����,除了互相排斥 的特征和/或步驟以外��,均可以以任何方式組合�。本說明書(包括任何附加權(quán)利要求、摘要和附圖)中公開的任一特征�,除非特別敘 述,均可被其他等效或具有類似目的的替代特征加以替換����。即,除非特別敘述��,每個特征只 是一系列等效或類似特征中的一個例子而已�。如圖2,在行業(yè)應(yīng)用服務(wù)器與銀聯(lián)接入的環(huán)節(jié)���,為避免數(shù)據(jù)被竊聽帶來的安全問 題��。采用報文加密并計算MAC作為簽名�����。通過SF-MPS提供的安全中間件��,在行業(yè)應(yīng)用服務(wù) 器與銀聯(lián)之間采用專用的密鑰(區(qū)別于行業(yè)應(yīng)用服務(wù)器與移動支付平臺之間的密鑰)��。為了防止簽名的報文仍然被竊聽并重發(fā)交易的漏洞����,可加入過程密鑰的機(jī)制,由 于每次傳輸?shù)膱笪亩季哂形ㄒ恍?��,使得竊聽和重發(fā)攻擊不可能。由于在系統(tǒng)架構(gòu)上��,移動支付平臺與行業(yè)應(yīng)用平臺分離��。移動支付平臺主要作為 一個安全通訊的管道�����。具體的行業(yè)業(yè)務(wù)邏輯都是在行業(yè)應(yīng)用平臺上實現(xiàn)的��。所以,運營風(fēng) 險被徹底解決了�。一個新的行業(yè)應(yīng)用要通過sf-mps接入銀聯(lián)時,由ca中心受理接入請求�,將請求轉(zhuǎn) 發(fā)至銀聯(lián)。銀聯(lián)生成該行業(yè)應(yīng)用專用的交易密鑰后���,對密鑰本身加密發(fā)送回CA中心��。CA中 心持有私鑰對該報文解密��,得到行業(yè)應(yīng)用密鑰����。通過安全管道發(fā)送給行業(yè)應(yīng)用提供商�。之 后,行業(yè)應(yīng)用服務(wù)器使用該密鑰與銀聯(lián)服務(wù)器實現(xiàn)直接通訊��。如圖3表示了行業(yè)應(yīng)用服務(wù)器在已經(jīng)對接了銀聯(lián)服務(wù)器之后��,如果進(jìn)行具體的移 動支付業(yè)務(wù)�。行業(yè)應(yīng)用服務(wù)器持有該行業(yè)應(yīng)用專用的銀聯(lián)通訊密鑰,對移動支付業(yè)務(wù)報文 進(jìn)行加密����。銀聯(lián)服務(wù)器接受到報文后��,用其保存的密鑰解密���。得到交易報文。并計算MAC 驗證����。銀聯(lián)服務(wù)器完成賬戶處理后,將結(jié)果發(fā)送回行業(yè)應(yīng)用服務(wù)器���。完成一次交易過程����。
本發(fā)明并不局限于前述的具體實施方式
�����。本發(fā)明擴(kuò)展到任何在本說明書中披露的新特 征或任何新的組合�,以及披露的任一新的方法或過程的步驟或任何新的組合����。
權(quán)利要求
1.一種隨機(jī)密鑰生成工作方法,其特征在于該工作方法對信息的加密和解密都使 用不同的密鑰��,公鑰用于加密,私鑰用于解密�,其特征在于其工作過程為①加密明文P用解密方的公鑰Kl加密成密文C=E(P, Kl);②解密密文P用解密放的私鑰K2解密成明文P=D(P, K2) =D (Ε (P, Kl)�,K2);③傳輸密文P和公鑰Kl通過普通信道傳輸��;④保存私鑰K2由解密方秘密保存�。
2.根據(jù)權(quán)利要求1所述的隨機(jī)密鑰生成工作方法,其特征在于其應(yīng)用于一個新的行 業(yè)應(yīng)用的工作過程為一個新的行業(yè)應(yīng)用要通過所述隨機(jī)密鑰生成工作方法及其支撐系統(tǒng) 接入銀聯(lián)時����,由ca中心受理接入請求,將請求轉(zhuǎn)發(fā)至銀聯(lián)����;銀聯(lián)生成該行業(yè)應(yīng)用專用的交 易密鑰后,對密鑰本身加密發(fā)送回CA中心���;CA中心持有私鑰對該報文解密���,得到行業(yè)應(yīng)用 密鑰;通過安全管道發(fā)送給行業(yè)應(yīng)用提供商��;之后,行業(yè)應(yīng)用服務(wù)器使用該密鑰與銀聯(lián)服 務(wù)器實現(xiàn)直接通訊��。
3.根據(jù)權(quán)利要求2所述的隨機(jī)密鑰生成工作方法����,其特征在于如果進(jìn)行具體的移動 支付業(yè)務(wù),所述的行業(yè)應(yīng)用服務(wù)器使用該密鑰與銀聯(lián)服務(wù)器實現(xiàn)直接通訊的業(yè)務(wù)邏輯流程 是該行業(yè)應(yīng)用服務(wù)器在已經(jīng)對接了該銀聯(lián)服務(wù)器之后���,如果進(jìn)行具體的移動支付業(yè)務(wù)���; 該行業(yè)應(yīng)用服務(wù)器持有該行業(yè)應(yīng)用所專用的銀聯(lián)通訊密鑰,對移動支付業(yè)務(wù)報文進(jìn)行加 密�����;所述銀聯(lián)服務(wù)器接受到報文后�����,用其保存的密鑰解密��;得到交易報文��;并計算MAC驗證�; 所述銀聯(lián)服務(wù)器完成賬戶處理后,將結(jié)果發(fā)送回該行業(yè)應(yīng)用服務(wù)器�,完成一次交易過程。
全文摘要
本發(fā)明公開一種隨機(jī)密鑰生成工作方法,該工作方法對信息的加密和解密都使用不同的密鑰��,公鑰用于加密�����,私鑰用于解密,其特征在于其工作過程為①加密明文P用解密方的公鑰K1加密成密文C=E(P,K1)�;②解密密文P用解密放的私鑰K2解密成明文P=D(P,K2)=D(E(P,K1),K2);③傳輸密文P和公鑰K1通過普通信道傳輸����;④保存私鑰K2由解密方秘密保存。采用該體系可以彌補交易數(shù)據(jù)傳輸過程中采用單密鑰體制而導(dǎo)致密鑰管理繁雜的缺點��,可以使應(yīng)用密鑰在普通信道上安全傳輸����,從而降低密鑰管理的開銷。
文檔編號H04L9/08GK102123028SQ20111004647
公開日2011年7月13日 申請日期2011年2月28日 優(yōu)先權(quán)日2011年2月28日
發(fā)明者任澤, 凱祥龍, 尹犢, 李飛, 熊劍文 申請人:成都四方信息技術(shù)有限公司