移動智能終端與pos終端的認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通訊認(rèn)證領(lǐng)域�����,具體為移動智能終端與POS終端的認(rèn)證方法�。
【背景技術(shù)】
[0002]隨著信息技術(shù)的發(fā)展�����,以智能手機為代表的移動智能終端得到了普及使用�,以手機作為主要設(shè)備的移動支付方案正日趨成熟�����。通信安全在移動支付中至關(guān)重要。在現(xiàn)有移動支付方案中��,主要包括設(shè)在網(wǎng)絡(luò)后端的作為指揮控制中心的服務(wù)支撐平臺���、消費者攜帶使用的移動智能終端以及商家使用的POS終端�。其中智能終端與POS終端之間信息交換多采用NFC����、紅外、藍(lán)牙等近距離無線通信技術(shù)��。為確保信息安全����,智能終端與POS終端之間通信前需進行身份認(rèn)證。現(xiàn)有的技術(shù)中��,通常是手機藍(lán)牙用廣播而POS終端監(jiān)聽模式�。POS終端通過消息認(rèn)證碼驗證手機的身份,正確后就接受手機發(fā)來的交易信息����。這種認(rèn)證方式只對廣播端的手機進行認(rèn)證,無法對POS終端進行認(rèn)證�。當(dāng)有偽POS存在時���,有可能將消息誤發(fā)給偽POS機,從而危及支付的安全�。
【發(fā)明內(nèi)容】
[0003]鑒于上述現(xiàn)有的認(rèn)證方法的缺陷,本發(fā)明要解決的技術(shù)問題是移動智能終端與POS終端通信不安全的問題��。本發(fā)明提供的移動智能終端與POS終端的認(rèn)證方法���,具體是包括如下步驟:
1)服務(wù)支撐平臺生成隨機數(shù)�,并用所述隨機數(shù)生成第一密鑰����;
2)由所述第一密鑰將所述隨機數(shù)生成第一消息認(rèn)證碼(MAC1);
3)移動智能終端從所述服務(wù)支撐平臺獲取所述隨機數(shù)、第一密鑰和第一消息認(rèn)證碼(MAC1)��,并將所述隨機數(shù)和所述第一消息認(rèn)證碼(MAC1)發(fā)送給POS終端�;
4)P0S終端用與所述服務(wù)支撐平臺相同的算法將所述隨機數(shù)生成第一密鑰;
5)P0S終端用所述第一密鑰將獲取的所述隨機數(shù)生成第二消息認(rèn)證碼(MAC2)��,并與收到的所述第一消息認(rèn)證碼進行比較�,兩者相同則通過第一次認(rèn)證�����;
6)所述POS終端生成第二密鑰,并用所述第一密鑰加密所述第二密鑰獲得第二密鑰密文�;
7)用所述第一密鑰和所述隨機數(shù)對所述第二密鑰密文計算生成第三消息認(rèn)證碼(MAC3);
8)所述POS終端把所述第三消息認(rèn)證碼(MAC3)和所述第二密鑰密文發(fā)送給移動智能終端�;
9)所述移動智能終端用所述第一密鑰和所述隨機數(shù)對所獲取的所述第二密鑰密文進行計算并生成第四消息認(rèn)證碼(MAC4);
10)將所述的第四消息認(rèn)證碼(MAC4)與獲取的所述第三消息認(rèn)證碼(MAC3)比較,兩者相同則通過第二次認(rèn)證�。
[0004]進一步地,還包括步驟: 11)移動智能終端用所述第一密鑰對所述第二密鑰密文解密獲得第二密鑰��,并將所述第一密鑰和所述第二密鑰組合成第三密鑰��,相應(yīng)地����,所述POS終端也將所述第一密鑰和所述第二密鑰組合成第三密鑰,所述移動智能終端與所述POS終端之間的通信用所述第三密鑰進行加密或解密����。
[0005]所述服務(wù)支撐平臺包括帶有根密鑰的加密機,所述根密鑰用于與所述隨機數(shù)生成所述第一密鑰�。
[0006]所述POS終端包括帶有所述根密鑰的SAM卡。
[0007]本發(fā)明通過移動智能終端與POS終端的兩次相互認(rèn)證��,并在認(rèn)證過程中巧妙地獲得共享加解密密鑰�����,提高了移動智能終端與POS終端通信安全的等級,使得移動支付的交易中信息更為安全����。
【附圖說明】
[0008]圖1為本發(fā)明實施例的流程圖。
【具體實施方式】
[0009]以下結(jié)合附圖和具體實施例對本發(fā)明作詳細(xì)描述��。以下結(jié)合附圖和具體實施例描述的諸方面僅是示例性的�,而不應(yīng)被理解為對本發(fā)明的保護范圍進行任何限制。如圖1所示�����,本發(fā)明實施例的具體實施步驟:
1)智能終端(手機)向服務(wù)支撐平臺請求服務(wù)���,服務(wù)支撐平臺生成一個隨機數(shù)R��,通過加密機的根密鑰用隨機數(shù)R生成第一密鑰Kl;
2)由第一密鑰Kl將隨機數(shù)R生成第一消息認(rèn)證碼MACl����,如用HMAC算法����,即MAC1=HMAC(K1+R),將K1+R+MAC1發(fā)送給移動智能終端(手機);
3)移動智能終端將隨機數(shù)R和所述第一消息認(rèn)證碼MACl通過藍(lán)牙發(fā)送給POS終端�;
4)P0S終端通過SAM卡使用與服務(wù)支撐平臺相同的算法和共享的根密鑰用已獲取的隨機數(shù)R生成密鑰Kl ’ ���;
5)P0S終端用第一密鑰K1’將獲取的隨機數(shù)R生成一個第二消息認(rèn)證碼MAC2�,即MAC2=HMAC(K1’+R)��,并與收到的第一消息認(rèn)證碼MACl進行比較��,若MAC2=MAC1����,則K1’與Kl相同,通過第一次認(rèn)證��,然后����;
6)P0S終端隨機生成一個第二密鑰K2,并用第一密鑰Κ1(Κ1=ΚΓ)加密第二密鑰K2獲得第二密鑰密文SK2;
7)用第一密鑰Kl和隨機數(shù)R對第二密鑰密文SK2計算�����,生成第三消息認(rèn)證碼MAC3���,SPMAC3=HMAC(K1+R+SK2)��;
8)P0S終端把第三消息認(rèn)證碼MAC3和第二密鑰密文SK2發(fā)送給移動智能終端���;
9)移動智能終端用原有的第一密鑰Kl和隨機數(shù)R對所獲取的第二密鑰密文SK2進行計算��,并生成第四消息認(rèn)證碼MAC4�����,MAC4=HMAC(K1+R+SK2)����;
10)移動智能終端將第四消息認(rèn)證碼MAC4與獲取的第三消息認(rèn)證碼MAC3比較��,MAC4=MAC3�,則通過第二次認(rèn)證,并確認(rèn)收到的第二密鑰密文SK2正確完整��;
11)移動智能終端用第一密鑰Kl對第二密鑰密文SK2進行解密����,獲得第二密鑰K2,并將第一密鑰Kl和第二密鑰K2組合成第三密鑰K3;相應(yīng)地���,POS終端也將第一密鑰Kl和第二密鑰K2組合成第三密鑰K3��。移動智能終端與POS終端之間的通信內(nèi)容就用第三密鑰K3進行加密或解密����。
[0010]本發(fā)明通過移動智能終端與POS終端的兩次相互認(rèn)證����,并在認(rèn)證過程中巧妙地獲得共享加解密密鑰,提高了移動智能終端與POS終端通信安全的等級���。本發(fā)明使得移動支付的交易中信息更為安全�����。
【主權(quán)項】
1.移動智能終端與POS終端的認(rèn)證方法����,其特征在于包括如下步驟: 1)服務(wù)支撐平臺生成隨機數(shù)���,并用所述隨機數(shù)生成第一密鑰����; 2)由所述第一密鑰將所述隨機數(shù)生成第一消息認(rèn)證碼(MAC1); 3)移動智能終端從所述服務(wù)支撐平臺獲取所述隨機數(shù)、第一密鑰和第一消息認(rèn)證碼(MAC1)���,并將所述隨機數(shù)和所述第一消息認(rèn)證碼(MAC1)發(fā)送給POS終端���; 4)P0S終端用與所述服務(wù)支撐平臺相同的算法將所述隨機數(shù)生成第一密鑰; 5)P0S終端用所述第一密鑰將獲取的所述隨機數(shù)生成第二消息認(rèn)證碼(MAC2)���,并與收到的所述第一消息認(rèn)證碼(MACl)進行比較��,兩者相同則通過第一次認(rèn)證���; 6)P0S終端生成第二密鑰,并用所述第一密鑰加密所述第二密鑰獲得第二密鑰密文��; 7)用所述第一密鑰和所述隨機數(shù)對所述第二密鑰密文計算生成第三消息認(rèn)證碼(MAC3)����; 8)P0S終端把所述第三消息認(rèn)證碼(MAC3)和所述第二密鑰密文發(fā)送給移動智能終端; 9)移動智能終端用所述第一密鑰和所述隨機數(shù)對所獲取的所述第二密鑰密文進行計算并生成第四消息認(rèn)證碼(MAC4); 10)將所述的第四消息認(rèn)證碼(MAC4)與獲取的所述第三消息認(rèn)證碼(MAC3)比較���,兩者相同則通過第二次認(rèn)證�。2.根據(jù)權(quán)利要求1所述的移動智能終端與POS終端的認(rèn)證方法����,其特征在于還包括: 步驟11)����、移動智能終端用所述第一密鑰對所述第二密鑰密文解密獲得第二密鑰�����,并將所述第一密鑰和所述第二密鑰組合成第三密鑰����,相應(yīng)地��,所述POS終端也將所述第一密鑰和所述第二密鑰組合成第三密鑰��,所述移動智能終端與所述POS終端之間的通信使用所述第三密鑰進行加密或解密���。3.根據(jù)權(quán)利要求1所述的移動智能終端與POS終端的認(rèn)證方法����,其特征在于:所述服務(wù)支撐平臺包括帶有根密鑰的加密機����,所述根密鑰用于與所述隨機數(shù)生成所述第一密鑰���。4.根據(jù)權(quán)利要求3所述的移動智能終端與POS終端的認(rèn)證方法,其特征在于: 所述POS終端包括帶有所述根密鑰的SAM卡�。5.根據(jù)權(quán)利要求1所述的移動智能終端與POS終端的認(rèn)證方法,其特征在于:所述移動智能終端與POS終端之間使用藍(lán)牙進行通信��。
【專利摘要】本發(fā)明涉及通訊認(rèn)證領(lǐng)域����,具體為移動智能終端與POS終端的認(rèn)證方法。移動智能終端用共享密鑰和隨機數(shù)生成第一次認(rèn)證碼與POS終端進行第一次認(rèn)證�����,POS終端再生成新的密鑰����,把新的密鑰加密后和隨機數(shù)再次生成第二次認(rèn)證碼,返回給移動智能終端進行第二次認(rèn)證�����,第二次認(rèn)證的同時把POS終端生成的新密鑰也安全完整地傳給了移動智能終端���。解密后��,雙方將兩個密鑰拼接成新的密鑰���,后續(xù)通信即用拼接后的密鑰進行加密或解密�。移動智能終端與POS終端的兩次相互認(rèn)證�,并在認(rèn)證過程中巧妙地獲得共享加解密密鑰,提高了移動智能終端與POS終端通信安全的等級�,使得移動支付的交易中信息更為安全。
【IPC分類】G06Q20/32, H04L29/06
【公開號】CN105530241
【申請?zhí)枴緾N201510881806
【發(fā)明人】曾滿祥, 梁安寧, 陸生齊
【申請人】廣西咪付網(wǎng)絡(luò)技術(shù)有限公司
【公開日】2016年4月27日
【申請日】2015年12月7日