一种保护短信支付业务中的数据安全方法和系统

摘要

本发明提供了一种保护短信支付业务中的数据安全方法和系统，其中，所述方法包括：服务器从客户端获取用户信息，并根据所述用户信息生成用户证书，所述用户信息包括：用户使用的手机终端信息以及应用信息；服务器将所述用户证书发送至客户端；客户端将所述用户证书作为支付数据的数字签名，和支付数据一起发送至服务器；服务器通过所述用户证书的公钥对所述数字签名进行验证，如果验证通过，则根据所述支付数据触发扣费流程。上述技术方案保证了短信支付业务中的数据安全。

说明书

技术领域

本发明涉及数据安全领域，尤其涉及一种保护短信支付业务中的数据安 全方法和系统。

背景技术

数据传输过程中，容易受到多种因素威胁，如黑客、病毒、信息窃取、 信息干扰等，为保证数据安全传输，目前已经有许多为网络通信提供安全及 数据完整性的安全协议，如安全套接层SSL协议。根据SSL协议的规定，在 数据传输过程中，进行服务器和客户端的双向认证。

近来出现了短信支付业务，其在短信中携带支付数据，由业务服务器接 收短信并对支付数据进行确认后，进行费用扣除。由于短信传输的单向性， 现有的SSL协议已不适用于保证短信支付业务的安全。

发明内容

本发明提供了一种保护短信支付业务中的数据安全方法和系统，以解决 如何保证短信支付业务中的数据安全的技术问题。

为解决上述技术问题，本发明提供了一种保护短信支付业务中的数据安 全方法，所述方法包括：

服务器从客户端获取用户信息，并根据所述用户信息生成用户证书，所 述用户信息包括：用户使用的手机终端信息以及应用信息；

服务器将所述用户证书发送至客户端；

客户端将所述用户证书作为支付数据的数字签名，和支付数据一起发送 至服务器；

服务器通过所述用户证书的公钥对所述数字签名进行验证，如果验证通 过，则根据所述支付数据触发扣费流程。

可选地，

用户使用的手机终端信息包括：手机终端型号、移动设备国际身份码 IMEI、国际移动用户识别码IMSI；

应用信息包括：应用的类文件、摘要、配置文件信息。

可选地，所述方法还包括：

服务器除从客户端获取用户信息外，还从客户端获取由客户端随机产生 的临时非对称密钥的公钥；

所述服务器将所述用户证书发送至客户端，包括：

所述服务器使用所述密钥的公钥对所述用户证书加密后，将经过加密的 用户证书发送至客户端。

可选地，

所述客户端将支付数据发送至服务器，包括：

客户端使用自身存储的经过认证的服务器证书的公钥对支付数据进行加 密，将经过加密的支付数据发送至服务器；

所述如果验证通过，则根据所述支付数据触发扣费流程包括：

如果验证通过，服务器使用自身证书私钥对支付数据进行解密，根据解 密出的支付数据触发扣费流程。

可选地，

所述支付数据包括：应用信息；

所述方法还包括：

服务器对支付数据进行解密后，对支付数据中的应用信息进行验证，如 果支付数据中的应用信息与已存储的应用信息相同，则根据所述支付数据触 发扣费流程。

可选地，所述方法还包括：

服务器根据所述支付数据触发扣费流程后，获得扣费结果，用所述用户 证书的公钥对所述扣费结果加密，将经过加密的扣费结果返回值客户端；

客户端使用自身的用户证书私钥对接收的扣费结果进行解密。

为解决上述技术问题，本发明实施例还提供了一种保护短信支付业务中 的数据安全系统，所述系统包括：

服务器，用于从客户端获取用户信息，并根据所述用户信息生成用户证 书，所述用户信息包括：用户使用的手机终端信息以及应用信息；将所述用 户证书发送至客户端；通过所述用户证书的公钥对来自客户端的数字签名进 行验证，如果验证通过，则根据来自客户端的支付数据触发扣费流程；

客户端，用于向服务器发送用户信息；接收来自服务器的用户证书；将 所述用户证书作为支付数据的数字签名，和支付数据一起发送至服务器。

可选地，

用户使用的手机终端信息包括：手机终端型号、移动设备国际身份码 IMEI、国际移动用户识别码IMSI；

应用信息包括：应用的类文件、摘要、配置文件信息。

可选地，

所述服务器，还用于从客户端获取由客户端随机产生的临时非对称密钥 的公钥；

所述服务器，用于将所述用户证书发送至客户端，包括：

使用所述密钥的公钥对所述用户证书加密后，将经过加密的用户证书发 送至客户端。

可选地，

所述客户端，用于将支付数据发送至服务器，包括：

使用自身存储的经过认证的服务器证书的公钥对支付数据进行加密，将 经过加密的支付数据发送至服务器；

所述服务器，用于如果验证通过，则根据所述支付数据触发扣费流程包 括：

如果验证通过，服务器使用自身证书私钥对支付数据进行解密，根据解 密出的支付数据触发扣费流程。

可选地，

所述支付数据包括：应用信息；

所述服务器，还用于对支付数据进行解密后，对支付数据中的应用信息 进行验证，如果支付数据中的应用信息与已存储的应用信息相同，则根据所 述支付数据触发扣费流程。

可选地，

所述服务器，还用于根据所述支付数据触发扣费流程后，获得扣费结 果，用所述用户证书的公钥对所述扣费结果加密，将经过加密的扣费结果返 回给客户端；

所述客户端，还用于使用自身的用户证书私钥对接收的扣费结果进行解 密。

上述技术方案中，数字签名只有来自合法的客户端，才能被服务器验证 通过，触发扣费流程，实现了对客户端的验证；同时，客户端只有将支付数 据和数字签名发送至合法的服务器，服务器才能获得支付数据，实现了对服 务器的验证，进而保证了保证短信支付业务中的数据安全。

附图说明

图1为本发明实施例的保护短信支付业务中的数据安全方法流程图；

图2为本发明实施例的保护短信支付业务中的数据安全系统组成模块 图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图 对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申 请中的实施例及实施例中的特征可以相互任意组合。

图1为本发明实施例的保护短信支付业务中的数据安全方法流程图。

S101服务器从客户端获取用户信息，并根据所述用户信息生成用户证 书；

所述用户信息包括：用户使用的手机终端信息以及应用信息；

所述手机终端信息包括：手机终端型号、移动设备国际身份码IMEI、 国际移动用户识别码IMSI；

所述应用信息包括：应用的类文件、摘要、配置文件信息；

服务器在获取所述用户信息后，可调用数字证书服务器以按照PKCS标 准生成PKCS12格式的用户证书；所述PKCS标准是由美国RSA数据安全公 司及其合作伙伴制定的一组密码学标准，其中包括证书申请、证书更新、证 书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系 列相关协议；

通过上述用户信息生成的用户证书可以唯一标识请求扣费的用户及应 用；

S102服务器将所述用户证书发送至客户端；

S103客户端将所述用户证书作为支付数据的数字签名，和支付数据一起 发送至服务器；

所述支付数据包括：计费点信息(包括计费商品名称、ID)，支付价格， 应用信息，支付密码；

S104服务器通过所述用户证书的公钥对所述数字签名进行验证，如果验 证通过，则根据所述支付数据触发扣费流程。

上述技术方案中，数字签名只有来自合法的客户端，才能被服务器验证 通过，触发扣费流程，实现了对客户端的验证；同时，客户端只有将支付数 据和数字签名发送至合法的服务器，服务器才能获得支付数据，实现了对服 务器的验证，进而保证了保证短信支付业务中的数据安全。

可选地，上述实施例中，服务器除从客户端获取用户信息外，还从客户 端获取由客户端随机产生的临时非对称密钥的公钥；所述临时非对称密钥包 括：RSA密钥；服务器获取该密钥的公钥后，在将用户证书发送至客户端 时，可使用所述密钥的公钥对所述用户证书加密，将经过加密的用户证书发 送至客户端。由于每个客户端产生的密钥不相同，对用户证书进行该密钥加 密，可进一步保证用户证书的安全。

可选地，上述实施例中，步骤S103记载的客户端将支付数据发送至服 务器，包括：客户端使用自身存储的经过认证的服务器证书的公钥对支付数 据进行加密，将经过加密的支付数据发送至服务器；相应的，步骤S104记载 的，所述如果验证通过，则根据所述支付数据触发扣费流程包括：如果验证 通过，服务器使用自身证书私钥对支付数据进行解密，根据解密出的支付数 据触发扣费流程。通过客户端对支付数据使用服务器公钥进行加密，进一步 确保只有认证的服务器才能解密支付数据，保证支付数据的安全。

可选地，上述服务器在对支付数据进行解密后，还可对支付数据中的应 用信息进行验证，如果支付数据中的应用信息与已存储的应用信息相同，则 继续根据所述支付数据触发扣费流程。通过服务器对支付数据中的应用信息 进行验证，防止应用被篡改，进一步验证了支付数据来源的合法性。

可选地，上述技术方案中，服务器根据所述支付数据触发扣费流程后， 获得扣费结果，用所述用户证书的公钥对所述扣费结果加密，将经过加密的 扣费结果返回值客户端；客户端使用自身的用户证书私钥对接收的扣费结果 进行解密。通过加密扣费结果，保护用户的隐私。

为了进一步保证支付安全，上述技术方案还可结合现有的安全校验手段， 如对支付数据进行安全校验、对支付数据中的支付密码进行有效性校验，等 等。

图2为本发明实施例的保护短信支付业务中的数据安全系统组成模块 图。

所述系统包括：

服务器，用于从客户端获取用户信息，并根据所述用户信息生成用户证 书，所述用户信息包括：用户使用的手机终端信息以及应用信息；将所述用 户证书发送至客户端；通过所述用户证书的公钥对来自客户端的数字签名进 行验证，如果验证通过，则根据来自客户端的支付数据触发扣费流程；

所述用户使用的手机终端信息包括：手机终端型号、移动设备国际身份 码IMEI、国际移动用户识别码IMSI；应用信息包括：应用的类文件、摘要、 配置文件信息；

上述服务器在获取所述用户信息后，可调用数字证书服务器以按照PKCS 标准生成PKCS12格式的用户证书；所述PKCS标准是由美国RSA数据安全 公司及其合作伙伴制定的一组密码学标准，其中包括证书申请、证书更新、 证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一 系列相关协议；

通过上述用户信息生成的用户证书可以唯一标识请求扣费的用户及应 用；

客户端，用于向服务器发送用户信息；接收来自服务器的用户证书；将 所述用户证书作为支付数据的数字签名，和支付数据一起发送至服务器；

所述支付数据包括：计费点信息(包括计费商品名称、ID)，支付价格， 应用信息，支付密码。

上述技术方案中，数字签名只有来自合法的客户端，才能被服务器验证 通过，触发扣费流程，实现了对客户端的验证；同时，客户端只有将支付数 据和数字签名发送至合法的服务器，服务器才能获得支付数据，实现了对服 务器的验证，进而保证了保证短信支付业务中的数据安全。

可选地，所述服务器，还用于从客户端获取由客户端随机产生的临时非 对称密钥的公钥；所述临时非对称密钥包括：RSA密钥；

所述服务器，用于将所述用户证书发送至客户端，包括：使用所述密钥 的公钥对所述用户证书加密后，将经过加密的用户证书发送至客户端。

由于每个客户端产生的密钥不相同，对用户证书进行该密钥加密，可进 一步保证用户证书的安全。

可选地，所述客户端，用于将支付数据发送至服务器，包括：使用自身 存储的经过认证的服务器证书的公钥对支付数据进行加密，将经过加密的支 付数据发送至服务器；

相应的，所述服务器，用于如果验证通过，则根据所述支付数据触发扣 费流程包括：如果验证通过，服务器使用自身证书私钥对支付数据进行解 密，根据解密出的支付数据触发扣费流程。

通过客户端对支付数据使用服务器公钥进行加密，进一步确保只有认证 的服务器才能解密支付数据，保证支付数据的安全。

可选地，所述服务器，还用于对支付数据进行解密后，对支付数据中的 应用信息进行验证，如果支付数据中的应用信息与已存储的应用信息相同， 则根据所述支付数据触发扣费流程。

通过服务器对支付数据中的应用信息进行验证，防止应用被篡改，进一 步验证了支付数据来源的合法性。

可选地，所述服务器，还用于根据所述支付数据触发扣费流程后，获得 扣费结果，用所述用户证书的公钥对所述扣费结果加密，将经过加密的扣费 结果返回至客户端；所述客户端，还用于使用自身的用户证书私钥对接收的 扣费结果进行解密。

通过加密扣费结果，保护用户的隐私。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读 存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采 用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于 任何特定形式的硬件和软件的结合。

需要说明的是，本发明还可有其他多种实施例，在不背离本发明精神及 其实质的情况下，熟悉本领域的技术人员可根据本发明作出各种相应的改变 和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范 围。