r>[0102]本發(fā)明實施例提供的安全認(rèn)證的方法��,通過服務(wù)器根據(jù)預(yù)設(shè)的數(shù)據(jù)庫信息對終端發(fā)送的至少一個MPOS設(shè)備的設(shè)備標(biāo)識和設(shè)備地址進行篩選��,得到第一 MPOS設(shè)備,并將該第一 MPOS設(shè)備的設(shè)備標(biāo)識和設(shè)備地址以及第一認(rèn)證因子發(fā)送給終端,進而使得終端根據(jù)該第一MPOS設(shè)備確定一目標(biāo)MPOS設(shè)備�����,并與該目標(biāo)MPOS設(shè)備進行通信���,并將該目標(biāo)MPOS設(shè)備的響應(yīng)報文轉(zhuǎn)發(fā)給服務(wù)器,使得服務(wù)器根據(jù)數(shù)據(jù)庫信息中所保存的目標(biāo)MPOS設(shè)備的加密密鑰和該響應(yīng)報文對目標(biāo)MPOS設(shè)備進行認(rèn)證����,并在認(rèn)證通過后,將處理后的第二認(rèn)證因子通過終端發(fā)送給目標(biāo)MPOS設(shè)備�����,以使目標(biāo)MPOS設(shè)備根據(jù)該處理后的第二認(rèn)證因子對終端進行認(rèn)證���,從而完成對進行支付時所涉及的目標(biāo)MPOS設(shè)備和終端完成認(rèn)證,確保了終端和目標(biāo)MPOS設(shè)備的合法性��,降低了支付的危險系數(shù)�,并且也無需用戶在每次支付時手動確認(rèn),故而本發(fā)明在提高了用戶體驗的同時�,保證了支付的安全性。
[0103]圖3為本發(fā)明提供的安全認(rèn)證方法實施例二的流程示意圖。本實施例涉及的是目標(biāo)MPOS設(shè)備通過向服務(wù)器發(fā)送響應(yīng)報文�����,使得服務(wù)器完成對目標(biāo)MPOS設(shè)備的認(rèn)證��,并根據(jù)服務(wù)器發(fā)送的處理后的第二認(rèn)證因子完成對終端的認(rèn)證的具體過程��。如圖3所示���,該方法包括:
[0104]S201:目標(biāo)MPOS設(shè)備接收終端發(fā)送的認(rèn)證請求;所述認(rèn)證請求中攜帶服務(wù)器下發(fā)的第一認(rèn)證因子。
[0105]具體的�,在終端需要與目標(biāo)MPOS設(shè)備進行交易業(yè)務(wù)時,終端需要通過向目標(biāo)MPOS設(shè)備發(fā)送認(rèn)證請求�,以請求服務(wù)器對目標(biāo)MPOS設(shè)備進行認(rèn)證。在MPOS設(shè)備出廠時���,服務(wù)器會對不同的MPOS設(shè)備進行個人化���,S卩服務(wù)器會根據(jù)預(yù)設(shè)的數(shù)據(jù)庫信息為不同的MPOS設(shè)備分配不同的設(shè)備標(biāo)識、設(shè)備地址��、PIN和加密密鑰�,分配了這些信息的MPOS設(shè)備即成為合法MPOS設(shè)備,該合法的MPOS設(shè)備中即具有了自己的設(shè)備標(biāo)識、設(shè)備地址��、設(shè)備的PIN和設(shè)備的加密密鑰��。
[0106]當(dāng)終端需要進行交易時���,終端可以登錄特定的應(yīng)用軟件(APP)進而搜索周圍的符合服務(wù)器規(guī)定的特定命名格式的藍牙設(shè)備(即MPOS設(shè)備)����,并獲得該MPOS設(shè)備的設(shè)備地址��,該設(shè)備地址可以為藍牙地址��。之后�,終端可以將所搜索到的這些MPOS設(shè)備的設(shè)備標(biāo)識和設(shè)備地址發(fā)送給服務(wù)器?���?蛇x的,終端所搜索到的符合服務(wù)器規(guī)定的特定命名格式的MPOS設(shè)備可以是一個����,也可以是多個�。
[0107]服務(wù)器在接收到終端發(fā)送的至少一個MPOS設(shè)備的設(shè)備標(biāo)識和設(shè)備地址后,根據(jù)預(yù)設(shè)的數(shù)據(jù)庫信息對其進行篩選,以篩選出與數(shù)據(jù)庫信息中所保存的合法設(shè)備的設(shè)備標(biāo)識和設(shè)備地址相同的MPOS設(shè)備�����,作為第一MPOS設(shè)備�。可選的�����,該第一MPOS設(shè)備可以是一個����,也可以是多個。
[0108]當(dāng)服務(wù)器將上述確定的第一MPOS設(shè)備的設(shè)備標(biāo)識和第一 MPOS設(shè)備的設(shè)備地址以及所述第一 MPOS設(shè)備對應(yīng)的第一認(rèn)證因子發(fā)送給終端后�,終端從第一 MPOS設(shè)備中確定即將與終端進行通信的MPOS設(shè)備作為目標(biāo)MPOS設(shè)備?���?蛇x的,當(dāng)?shù)谝籑POS設(shè)備為一個時����,終端可以直接將其作為目標(biāo)MPOS設(shè)備,當(dāng)?shù)谝籑POS設(shè)備為多個時�,終端可以向用戶顯示一選擇界面�,根據(jù)用戶的選擇確定目標(biāo)MPOS設(shè)備�。
[0109]當(dāng)終端確定目標(biāo)MPOS設(shè)備后,向該目標(biāo)MPOS設(shè)備發(fā)起藍牙連接請求���,在藍牙模塊層面完成連接�,此時需要說明的是終端并不能馬上進行后續(xù)交易操作�����。當(dāng)終端連接成功后���,可以自動向該目標(biāo)MPOS設(shè)備發(fā)送認(rèn)證請求�,該認(rèn)證請求中攜帶上述服務(wù)器下發(fā)給終端的第一認(rèn)證因子�����。
[0110]S202:目標(biāo)MPOS設(shè)備根據(jù)所述第一認(rèn)證因子���、所述目標(biāo)MPOS設(shè)備的第二認(rèn)證因子和所述目標(biāo)MPOS設(shè)備的密碼PIN獲得響應(yīng)報文;所述響應(yīng)報文包括第一 PIN密文和所述目標(biāo)MPOS設(shè)備的第二認(rèn)證因子�����,或者�����,第二 PIN密文����。
[0111]具體的�,當(dāng)目標(biāo)MPOS設(shè)備接收到終端發(fā)送的認(rèn)證請求后,MPOS設(shè)備隨機生成第二認(rèn)證因子�,并根據(jù)第一認(rèn)證因子、第二認(rèn)證因子和目標(biāo)MPOS設(shè)備自身的PIN獲得響應(yīng)報文���,并將該響應(yīng)報文發(fā)送給服務(wù)器��?��?蛇x的,該響應(yīng)報文可以包括第一PIN密文和第二認(rèn)證因子����,可選得,該響應(yīng)報文可以包括第二 PIN密文����。
[0112]S203:目標(biāo)MPOS設(shè)備將所述響應(yīng)報文通過所述終端發(fā)送給所述服務(wù)器���,以使所述服務(wù)器根據(jù)預(yù)設(shè)的數(shù)據(jù)庫信息中的所述目標(biāo)MPOS設(shè)備的加密密鑰和所述響應(yīng)報文對所述目標(biāo)MPOS設(shè)備進行認(rèn)證。
[0113]具體的�����,當(dāng)目標(biāo)MPOS設(shè)備將響應(yīng)報文通過終端發(fā)送給服務(wù)器之后�,服務(wù)器結(jié)合上述數(shù)據(jù)庫信息中所保存的目標(biāo)MPOS設(shè)備的加密密鑰以及所接收到的響應(yīng)報文,對目標(biāo)MPOS設(shè)備進行認(rèn)證�����,以判斷該目標(biāo)MPOS設(shè)備是否為偽造設(shè)備����。可選的�����,服務(wù)器可以是通過根據(jù)數(shù)據(jù)庫信息中所保存的目標(biāo)MPOS設(shè)備的加密密鑰對響應(yīng)報文進行解密的方式確定該目標(biāo)MPOS設(shè)備是否認(rèn)證通過����。
[0114]S204:目標(biāo)MPOS設(shè)備通過所述終端接收所述服務(wù)器在認(rèn)證所述目標(biāo)MPOS設(shè)備通過后發(fā)送的處理后的第二認(rèn)證因子。
[0115]S205:目標(biāo)MPOS設(shè)備根據(jù)所述目標(biāo)MPOS設(shè)備的加密密鑰�����、所述目標(biāo)MPOS設(shè)備的第二認(rèn)證因子、所述處理后的第二認(rèn)證因子對所述終端進行認(rèn)證����。
[0116]具體的�����,當(dāng)服務(wù)器確定目標(biāo)MPOS設(shè)備認(rèn)證通過后�,對上述響應(yīng)報文中的第二認(rèn)證因子進行相應(yīng)的處理,以得到處理后的第二認(rèn)證因子�����?����?蛇x的��,該處理可以是對第二認(rèn)證因子進行mac計算���,還可以是對第二認(rèn)證因子進行簽名等處理��。
[0117]當(dāng)服務(wù)器得到處理后的第二認(rèn)證因子之后�����,將該處理后的第二認(rèn)證因子發(fā)送給目標(biāo)MPOS設(shè)備��,以使得目標(biāo)MPOS設(shè)備可以根據(jù)對該處理后的第二認(rèn)證因子進行相應(yīng)的驗算來對終端進行認(rèn)證����。例如,由于目標(biāo)MPOS設(shè)備本身就知道自身的第二認(rèn)證因子����,其可以采用與服務(wù)器對第二認(rèn)證因子相同的處理方式對自身的第二認(rèn)證因子進行相同的處理,從而目標(biāo)MPOS設(shè)備會得到自己處理后的第二認(rèn)證因子���,進而目標(biāo)MPOS設(shè)備會判斷自己處理后的第二認(rèn)證因子與服務(wù)器所發(fā)送的處理后的第二認(rèn)證因子是否相同���,若相同,則驗算通過���,說明上述發(fā)送認(rèn)證請求給目標(biāo)MPOS設(shè)備的終端是合法終端�。
[0118]綜上,本發(fā)明實施例所涉及的方法就完成了終端和目標(biāo)MPOS設(shè)備的相互認(rèn)證��,確保了終端和目標(biāo)MPOS設(shè)備的合法性���,進而保證了支付的安全性����。
[0119]圖4為本發(fā)明提供的安全認(rèn)證的方法實施例三的信令流程圖�����。本實施例涉及的是完成目標(biāo)MPOS設(shè)備和終端的認(rèn)證的整體過程�����。如圖4所示�,該方法包括如下步驟:
[0120]S301�、終端搜索周圍的符合服務(wù)器規(guī)定的特定命名格式的MPOS設(shè)備,并獲得該MPOS設(shè)備的設(shè)備地址��。
[0121]S302�����、終端將所搜索到的至少一個MPOS設(shè)備的設(shè)備標(biāo)識和設(shè)備地址發(fā)送給服務(wù)器。
[0122]S303:服務(wù)器根據(jù)預(yù)設(shè)的數(shù)據(jù)庫信息對終端發(fā)送的至少一個MPOS設(shè)備的設(shè)備標(biāo)識和設(shè)備地址進行篩選���,確定第一 MPOS設(shè)備���。
[0123]S304:服務(wù)器將所述第一 MPOS設(shè)備的設(shè)備標(biāo)識和所述第一 MPOS設(shè)備的設(shè)備地址以及所述第一 MPOS設(shè)備對應(yīng)的第一認(rèn)證因子發(fā)送給所述終端。
[0124]S305:終端從第一MPOS設(shè)備中確定目標(biāo)MPOS設(shè)備�,并將該目標(biāo)MPOS設(shè)備發(fā)送攜帶第一認(rèn)證因子的認(rèn)證請求。
[0125]具體的���,上述S301至S305的具體過程可以參見上述實施例一中的SlOl和S102的具體描述�����,在此不再贅述��。
[0126]S306:目標(biāo)MPOS設(shè)備在接收到認(rèn)證請求后���,生成第二認(rèn)證因子。
[0127]可選的���,該第二認(rèn)證因子可以為目標(biāo)MPOS設(shè)備接收到認(rèn)證請求后隨機生成的任一認(rèn)證因子�。
[0128]S307:當(dāng)目標(biāo)MPOS設(shè)備自身的加密密鑰為對稱密鑰時����,目標(biāo)MPOS設(shè)備根據(jù)所述目標(biāo)MPOS設(shè)備的加密密鑰對所述第一認(rèn)證因子和所述第二認(rèn)證因子進行第一處理��,獲得第二過程密鑰�。
[0129]S308:目標(biāo)MPOS設(shè)備根據(jù)所述第二過程密碼對所述目標(biāo)MPOS設(shè)備的PIN進行加密����,獲得所述第一 PIN密文,并將所述第一 PIN密文和所述第二認(rèn)證因子確定為所述響應(yīng)報文��。
[0130]具體的����,當(dāng)目標(biāo)MPOS設(shè)備中的加密密鑰為對稱密鑰時,則認(rèn)證目標(biāo)MPOS設(shè)備使用對稱密鑰�����,進而目標(biāo)MPOS設(shè)備可以使用自身的加密密鑰對第一認(rèn)證因子a和第二認(rèn)證因子b進行第一處理生成第二過程密鑰�,可選的�,該第一處理可以包括多次加密、異或����、hash等一種或多種結(jié)合處理;然后,目標(biāo)MPOS設(shè)備采用該第二過程密鑰對目標(biāo)MPOS設(shè)備自身的PIN進行加密,獲得第一PIN密文�,然后將該第一PIN密文和第二認(rèn)證因子b確定為響應(yīng)報文。即S307和S308為目標(biāo)MPOS設(shè)備獲得響應(yīng)報文的過程�,下述S307,和S308�,也是目標(biāo)MPOS設(shè)備獲得響應(yīng)報文的另一過程。
[0131]S309:目標(biāo)MPOS設(shè)備將響應(yīng)報文發(fā)送給終端��。
[0132]S310:終端將該響應(yīng)報文發(fā)送給服務(wù)器���。
[0133]也就是說��,服務(wù)器接收到終端轉(zhuǎn)發(fā)的第一PIN密文和第二認(rèn)證因子�。
[0134]S311:當(dāng)服務(wù)器的數(shù)據(jù)庫信息中所保存的所述目標(biāo)MPOS設(shè)備的加密密鑰為對稱密鑰時���,服務(wù)器根據(jù)所保存的所述目標(biāo)MPOS設(shè)備的加密密鑰對所述第一認(rèn)證因子和所述第二認(rèn)證因子進行第一處理��,獲得第一過程密鑰���。
[0135]S312:服務(wù)器根據(jù)所述第一過程密鑰解密所述響應(yīng)報文中的第一 PIN密文,獲得第一 PIN0
[0136]S313:當(dāng)所述服務(wù)器判斷所述第一PIN與所述數(shù)據(jù)庫信息中的所述目標(biāo)MPOS設(shè)備的PIN相同時����,所述服務(wù)器確定所述目標(biāo)MPOS設(shè)備認(rèn)證通過����。
[0137]具體的�,當(dāng)服務(wù)器的數(shù)據(jù)庫信息中所保存的目標(biāo)MPOS設(shè)備的加密密鑰為對稱密鑰時,則服務(wù)器采用對稱密鑰對目標(biāo)POS設(shè)備進行認(rèn)證����,具體的:服務(wù)器采用數(shù)據(jù)庫信息中所保存的目標(biāo)MPOS設(shè)備的加密密鑰,并結(jié)合與上述目標(biāo)MPOS設(shè)備同樣的處理方式(即第一處理)對所述第一認(rèn)證因子和所述第二認(rèn)證因子進行第一處理����,獲得第一過程密鑰;然后根據(jù)該第一過程密鑰解密目標(biāo)MPOS設(shè)備采用相同處理方式得到的第一 PIN密文,獲得第一 PIN�����。如果服務(wù)器解密出來的第一PIN與服務(wù)器原先保存的該目標(biāo)MPOS設(shè)備的PIN相同�����,則服務(wù)器確定該目標(biāo)MPOS設(shè)備認(rèn)證通過���。
[0138]也就是說,目標(biāo)MPOS設(shè)備自身具有服務(wù)器已經(jīng)分配的PIN��,該PIN與服務(wù)器中所保存的目標(biāo)MPOS設(shè)備的PIN是相同的,且該目標(biāo)MPOS設(shè)備本身就獲知第一認(rèn)證因子和第二認(rèn)證因子��,因此目標(biāo)MPOS設(shè)備對該第一認(rèn)證因子和第二認(rèn)證因子進行第一處理��,得到第二過程密鑰���,并采用該第二過程密鑰對目標(biāo)MPOS設(shè)備所具有的PIN進行加密得到第一PIN密文���;為了認(rèn)證該目標(biāo)MPOS設(shè)備是否合法,服務(wù)器采用同樣的處理方式(第一處理)對第一認(rèn)證因子和第二認(rèn)證因子進行相同的處理����,得到第一過程密鑰(第一過程密鑰和第二過程密鑰相同),并采用第一過程密鑰對所獲得的第一PIN密文進行解密�,從而得到第一PIN,當(dāng)?shù)谝籔IN與服務(wù)器中原先所保存的合法的目標(biāo)MPOS設(shè)備的PIN相同時���,才能說明生成第一 PIN密文的目標(biāo)MPOS設(shè)備是合法的����,認(rèn)證通過���?��;诖?��,服務(wù)器完成了對生成第一PIN密文的目標(biāo)MPOS設(shè)備的認(rèn)證。
[0139]即S3