基于音频按键的安全支付方法

基于音频按键的安全支付方法
【专利摘要】本发明的基于音频按键的安全支付方法，包括a).用户注册；b).绑定银行卡；c).安装支付APP；d).银行卡设置；e).发起支付；f).向交易中心发送信息；g).产生交易数据；h).产生交易验证码；i).验证消息的合法性；j).产生交易证据；k).输入交易验证码；l).发送至交易中心；m).验证的合法性；n).判断交易的时效性；o).产生交易取消数据；p).完成支付交易。本发明的安全支付方法，通过短信验证交易金额，避免了APP发送虚假交易金额现象的发生；通过验证消息的合法性和交易的时效性，确保了支付交易的安全性，并可产生交易凭证信息。由于整个安全支付过程无需输入银行卡号和密码信息，避免了用户银行卡号和密码被窃取的风险。
【专利说明】基于音频按键的安全支付方法

【技术领域】
[0001]本发明涉及一种基于音频按键的安全支付方法，更具体的说，尤其涉及一种可有效避免交易金额欺骗以及银行卡号和密码被窃取的基于音频按键的安全支付方法。

【背景技术】
[0002]基于智能移动设备的电子商务能够跨越时空限制，实现随时随地的电子商务交易。这种交易以其便利性和快捷性得到了大众的认可，已逐渐成为一种主流的电子商务交易方式。然而，这种交易方式却存在着巨大的安全风险:(I)智能移动设备中普遍安装有大量不可信的APP，有些恶意的APP甚至能够伪装成合法的电子商务交易APP，从而欺骗用户输入银行卡号和密码，这使得用户面临着资金被窃取的巨大风险；(2) —些先进的黑客技术能够实时捕获用户通过正常的APP输入的指令，从而造成用户银行卡号和密码的泄露；
[3]有些合法的安全支付APP安全防护功能设计不完善，容易造成交易纠纷，同时存在用户资金丢失的风险。
[0003]比如目前广泛使用的滴滴打车，用户只需要绑定银行卡号，就可以使用滴滴打车进行支付，而且不要求输入交易密码，这造成用户丢失手机后，存在着银行账户的资金被盗用的风险。另外，对于微信支付，其交易过程没有产生密码学意义上可信的交易证据，一旦发生纠纷，就会产生无证据可寻的局面。


【发明内容】

[0004]本发明为了克服上述技术问题的缺点，提供了一种基于音频按键的安全支付方法。
[0005]本发明的基于音频按键的安全支付方法，音频按键插接于智能移动终端的音频接口上，音频按键上设置有绿色LED灯按钮和红色LED灯按钮，音频按键内置密码运算模块；智能移动终端通过与交易中心的通信实现安全支付；其特别之处在于，所述安全支付方法通过以下步骤来实现:a).用户注册，用户首先到交易中心注册，用户提供手机号码，申请用户数字证书和音频按键，用户数字证书中包含序列号和证书公钥；交易中心将用户数字证书、用户私钥和交易中心数字证书植入音频按键中，交易中心记录用户的手机号码；
b).绑定银行卡，用户通过输入银行卡号和密码在交易中心进行登记，交易中心将银行卡号与用户数字证书相绑定；c).安装支付APP，在智能移动终端安装安全支付APP，安全支付APP具有商品信息浏览和安全支付功能；d).银行卡设置，用户在安全支付APP上添加在交易中心登记的银行卡号，并将其作为默认支付银行卡；e).发起支付，当用户选择好商品，开始进行支付时，首先在智能移动终端设备中插入音频按键，并长按绿色按钮，音频按键产生消息随机数《并将其发送给安全支付APP ；f).向交易中心发送信息，安全支付APP根据用户选择的商品确定交易金额m，通过APP界面将交易金额展示给用户，并提醒用户输入验证码；安全支付APP将《和B发送给交易中心,发送的消息格式为:動^TO\m\\n
，Μ?代表智能移动终端，7U代表交易中心；g).产生交易数据，当交易中心接受到消息?11?后,产生交易号g ,然后将当前时间、g和《+I连接在一起实施签名，产生消息Ml = ^o Hg Il^ Il (?+1)||五{&S，叫Ig丨卜||(? + 1)丨，其中表示交易中心数字证书的私钥，表示签名消息，其中*代表任意值；交易中心将Ml以明文的形式发送给智能移动终端的安全支付APP，安全支付APP将Jtfl上传至音频按键；h).产生交易验证码，交易中心产生交易验证码V，并将验证码V和接收到的交易金额w以短信的形式发送至用户注册的手机号码；i).验证消息的合法性，音频按键接收到消息Ifl后，利用所存储的交易中心数字证书验证ΑΠ中签名的合法性，如果Afl中的签名合法，则执行步骤j);如果Ml中的签名不合法，表明当前交易受到攻击，退出交易；j).产生交易证据，音频按键生交易证据信息夏2 = sn Il il I丨g II μ || E{Eus,m || Il || g丨| ■}，其中m为用户数字证书序列号I力音频按键的当前时间，Kus表示用户数字证书的私钥；此后，音频按键上的绿色按钮长亮7秒钟，提示用户已产生交易证据；k).输入验证码，用户通过查看短信，验证短信收到的交易金额与安全支付APP上显示的》是否一致，如果一致，说明安全支付APP没有给交易中心发送虚假的交易金额，执行步骤I);如果不一致，说明APP给交易中心发送了虚假的交易金额，执行步骤ο) ；1).发送M2至交易中心，用户将短信中的交易验证码I输入至安全支付APP，并短按绿色按钮，令音频按键将i￥2发送给APP ；APP收到Α?2后，将用户输入的验证码和M2以明文的形式发送给交易中心；m).验证M2的合法性，交易中心利用消息M2中的?提取出用户数字证书，并利用用户数字证书中的公钥验证M2的合法性；如果验证合法，则执行步骤η);如果验证不合法，表明当前交易受到攻击，退出交易；η).判断交易的时效性，交易中心判断是否成立，如果成立，则说明时效性合法，执行步骤P);如果不成立，则说明时效性不合法，退出交易；ο).产生交易取消数据，用户短按红色按钮，令音频按键产生交易取消数据= sra Il Il丨丨cancel || g || m || E{Kus, sn || ? |丨cancel |丨g ,音频按键将MZ发送给APP，由APP将交易验证码和M3发送给交易中心；交易中心根据sn提取用户数字证书，并用其公钥验证Α?3的合法性，验证通过后，交易中心则取消交易，并留存M3作为用户取消交易的证据；ρ).完成支付交易，交易中心利用与用户数字证书关联的银行卡完成转账交易，同时交易中心留存M2作为此次交易的证据。
[0006]本发明的基于音频按键的安全支付方法，步骤j)中绿色按钮的长亮时间Γ =3s,步骤I)中所述的短按绿色按钮的时间为2S以内，步骤O)中所述的短按红色按钮的时间为2s以内。
[0007]本发明的基于音频按键的安全支付方法，步骤i)中消息Afl的合法性验证还包括数据新鲜性验证在数据新鲜性验证的过程中:音频按键将自身产生的随机数《加I后，判断其是否与消肩^中的第4个数据相等，如果相等，则表明1Kl为合法；如果不相等，则表明Jil不合法。
[0008]本发明的基于音频按键的安全支付方法，步骤m)中M2的合法性验证还包括交易验证码的验证，交易中心判断用户输入的交易验证码与自身产生并发送至用户手机上的验证码是否相同，如果相同，则表明M2合法；如果不相同，则表明M2不合法。
[0009]本发明的有益效果是:本发明的基于音频按键的安全支付方法，在用户注册的过程中，向音频按键中写入用户和交易中心数字证书以及用户的私钥，并在交易中心将银行卡号与用户数字证书绑定；在支付的过程中，APP首先向交易中心发送随机数《和交易金额?，交易中心返回包括《、《 + 1和当前时间?Ο的消息Jfl，并将验证码和交易金额以短信的形式发送至用户手机上，用户可通过短信上的交易金额进行验证，避免了 APP发送虚假交易金额现象的发生；在支付的过程中，用户通过用户数字证书的公钥和交易产生时的时间--分别验证消息12的合法性和交易的时效性，确保了支付交易的安全性，并可产生交易凭证信息。由于整个安全支付过程无需输入银行卡号和密码信息，避免了用户银行卡号和密码被窃取的风险。
[0010]本发明的基于音频按键的支付方法，该音频按键内置数字证书和密码运算设备，每次支付时，只需要将音频按键插入耳机插孔并按下按键，即可完成支付，并且产生可信的交易证据，确保了交易的安全性和可信性。其优点主要体现在以下几个方面:
(I)该发明并没有象常见的安全支付工具(如农业银行的金e顺)一样设计有液晶屏以显示交易金额，而是利用短信来避免恶意APP对交易金额的欺骗，方便实用。
[0011](2)注册完成后，用户在每次交易时不需要输入银行卡密码，只需在智能移动设备的耳机插孔插入音频按键，并按下按键即可完成支付，即确保了支付的方便性，又确保了不会由于智能移动设备的不安全导致的银行卡泄密。
[0012](3)音频按键通过“询问-应答”方式从交易中心获取可信时间，能够避免敌手的重放攻击。
[0013](4)按键能够针对每次交易产生可信的交易证据，避免用户交易后的抵赖行为。
[0014](5)通过按键与手机的分离可以确保支付的物理安全性。
[0015](6)音频按键仅包含有带红色和绿色LED灯的两个按钮，体积非常小，不仅便携性好，而且具有装饰效果，美观实用。

【专利附图】

【附图说明】
[0016]图1为本发明的基于音频按键的安全支付系统的原理图；
图2为本发明中安全支付APP所显示的交易金额和输入验证码界面；
图3为用户到交易中心注册时的流程图；
图4为本发明的基于音频按键的安全支付方法的流程图。

【具体实施方式】
[0017]下面结合附图与实施例对本发明作进一步说明。
[0018]如图1所示，给出了本发明的基于音频按键的安全支付系统的原理图，其由智能移动终端、音频按键和交易中心组成，音频按键插接于智能移动终端的音频接口上，音频按键上设置有绿色LED灯按钮和红色LED灯按钮，音频按键内置密码运算模块；智能移动终端通过与交易中心的通信实现安全支付。
[0019]如图3、图4所示，分别给出了用户到交易中心注册以及本发明的基于音频按键的安全支付方法的流程图，其通过以下步骤来实现:
a).用户注册，用户首先到交易中心注册，用户提供手机号码，申请用户数字证书和音频按键，用户数字证书中包含序列号和证书公钥；交易中心将用户数字证书、用户私钥和交易中心数字证书植入音频按键中，交易中心记录用户的手机号码；
b).绑定银行卡，用户通过输入银行卡号和密码在交易中心进行登记，交易中心将银行卡号与用户数字证书相绑定；
C).安装支付APP，在智能移动终端安装安全支付APP，安全支付APP具有商品信息浏览和安全支付功能；
d).银行卡设置，用户在安全支付APP上添加在交易中心登记的银行卡号，并将其作为默认支付银行卡；
e).发起支付，当用户选择好商品，开始进行支付时，首先在智能移动终端设备中插入音频按键，并长按绿色按钮，音频按键产生消息随机数《并将其发送给安全支付APP ；
f).向交易中心发送信息，安全支付APP根据用户选择的商品确定交易金额m，通过APP界面将交易金额展示给用户，并提醒用户输入验证码；安全支付APP将《和《发送给交易中心，发送的消息格式为:Mob -^TC \m\\n , Mob代表智能移动终端，TC代表交易中心；
g).产生交易数据，当交易中心接受到消息《11?后，产生交易号运，然后将当前时间扣、》、g和《 + I连接在一起实施签名，产生消息Ml = ￡0 Hg ||?|| (?+I) Il E{Kcsf ? O丨丨g丨卜|| (? +1)丨，其中表示交易中心数字证书的私钥，表示签名消息，其中*代表任意值；交易中心将If1以明文的形式发送给智能移动终端的安全支付ΑΡΡ，安全支付APP将.Ml上传至音频按键；
h).产生交易验证码，交易中心产生交易验证码V,并将验证码V和接收到的交易金额以短信的形式发送至用户注册的手机号码；
i).验证消息1Π的合法性，音频按键接收到消肩Kl后，利用所存储的交易中心数字证书验证i￥l中签名的合法性，如果Jil中的签名合法，则执行步骤j);如果中的签名不合法，表明当前交易受到攻击，退出交易；
该步骤中，消息Ml的合法性验证还包括数据新鲜性验证，在数据新鲜性验证的过程中:音频按键将自身产生的随机数《加I后，判断其是否与消息ilfl中的第4个数据相等，如果相等，则表明为合法；如果不相等，则表明Afl不合法。
[0020]j).产生交易证据，音频按键产生交易证据信息1/2 = _|丨叫丨&丨卜丨丨对[紙_||叫匕丨|叻，其中跳为用户数字证书序列号，打为音频按键的当前时间，表示用户数字证书的私钥；此后，音频按键上的绿色按钮长亮Γ秒钟，提示用户已产生交易证据；
该步骤中，绿色按钮的长亮时间T可设定为3s，以实现对用户的提醒。
[0021]k).输入验证码，用户通过查看短信，验证短信收到的交易金额与安全支付APP上显示的《是否一致，如果一致，说明安全支付APP没有给交易中心发送虚假的交易金额，执行步骤I);如果不一致，说明APP给交易中心发送了虚假的交易金额，执行步骤ο)；
I).发送M2至交易中心，用户将短信中的交易验证码I输入至安全支付APP，并短按绿色按钮，令音频按键将M2发送给APP ；APP收到Af2后，将用户输入的验证码和M2以明文的形式发送给交易中心；
该步骤中，短按绿色按钮的时间应在2s以内。
[0022]m).验证M2的合法性，交易中心利用消息Af 2中的ε?提取出用户数字证书，并利用用户数字证书中的公钥验证M2的合法性；如果验证合法，则执行步骤η);如果验证不合法，表明当前交易受到攻击，退出交易；
该步骤中，M2的合法性验证还包括交易验证码的验证，交易中心判断用户输入的交易验证码与自身产生并发送至用户手机上的验证码是否相同，如果相同，则表明M2合法；如果不相同，贝1J表明M2不合法。
[0023]η).判断交易的时效性，交易中心判断--彡^是否成立，如果成立，则说明时效性合法，执行步骤P);如果不成立，则说明时效性不合法，退出交易；
O).产生交易取消数据，用户短按红色按钮，令音频按键产生交易取消数据M3 = sn (I Il I) camsl \\g\\m || E{Kus, sn |丨 t\丨丨 cancel |丨 g |丨 ，音频按键将 m 发送给 APP,由
APP将交易验证码和M3发送给交易中心；交易中心根据?提取用户数字证书，并用其公钥验证JO的合法性，验证通过后，交易中心则取消交易，并留存M3作为用户取消交易的证据；
该步骤中，短按红色按钮的时间应在2以内。
[0024]P).完成支付交易，交易中心利用与用户数字证书关联的银行卡完成转账交易，同时交易中心留存M2作为此次交易的证据。
[0025]本发明的基于音频按键的安全支付方法，在支付的过程中，将验证码和交易金额以短信的形式发送至用户手机上，用户可通过短信上的交易金额进行验证，避免了 APP
发送虚假交易金额现象的发生；在支付的过程中，通过验证消息M2的合法性和交易的时效性，确保了支付交易的安全性，并可产生交易凭证信息。由于整个安全支付过程无需输入信号卡号和密码信息，避免了用户银行卡号和密码被窃取的风险。
【权利要求】
1.一种基于音频按键的安全支付方法，音频按键插接于智能移动终端的音频接口上，音频按键上设置有绿色LED灯按钮和红色LED灯按钮，音频按键内置密码运算模块；智能移动终端通过与交易中心的通信实现安全支付；其特征在于，所述安全支付方法通过以下步骤来实现: a).用户注册，用户首先到交易中心注册，用户提供手机号码，申请用户数字证书和音频按键，用户数字证书中包含序列号和证书公钥；交易中心将用户数字证书、用户私钥和交易中心数字证书植入音频按键中，交易中心记录用户的手机号码； b).绑定银行卡，用户通过输入银行卡号和密码在交易中心进行登记，交易中心将银行卡号与用户数字证书相绑定； c).安装支付APP，在智能移动终端安装安全支付APP，安全支付APP具有商品信息浏览和安全支付功能； d).银行卡设置，用户在安全支付APP上添加在交易中心登记的银行卡号，并将其作为默认支付银行卡； e).发起支付，当用户选择好商品，开始进行支付时，首先在智能移动终端设备中插入音频按键，并长按绿色按钮，音频按键产生消息随机数?并将其发送给安全支付APP; f).向交易中心发送信息，安全支付APP根据用户选择的商品确定交易金额m，通过APP界面将交易金额展示给用户，并提醒用户输入验证码；安全支付APP将w和;3发送给交易中心，发送的消息格式为:? 4TU: ? Il ? , Mob代表智能移动终端，TC代表交易中心； g).产生交易数据，当交易中心接受到消息《11?后，产生交易号g，然后将当前时间?Ο、《、S和《 + I连接在一起实施签名，产生消息Ml =扣||g丨|? ιιΟ? + ι) Il对&WOII g I丨叫丨0 + 1)},其中表示交易中心数字证书的私钥，表示签名消息，其中*代表任意值；交易中心将夏〗以明文的形式发送给智能移动终端的安全支付APP，安全支付APP将上传至音频按键； h).产生交易验证码，交易中心产生交易验证码V,并将验证码V和接收到的交易金额?以短信的形式发送至用户注册的手机号码； i).验证消息Ail的合法性，音频按键接收到消息后，利用所存储的交易中心数字证书验证Ml中签名的合法性,如果Ml中的签名合法,则执行步骤j);如果中的签名不合法，表明当前交易受到攻击，退出交易； j).产生交易证据，音频按键产生交易证据信息1/2 =切丨|叫丨甚丨卜|丨对&^跳丨|叫丨2丨|叻，其中例为用户数字证书序列号，￡1为音频按键的当前时间，Zm表示用户数字证书的私钥；此后，音频按键上的绿色按钮长亮7秒钟，提示用户已产生交易证据； k).输入验证码，用户通过查看短信，验证短信收到的交易金额与安全支付APP上显示的《是否一致，如果一致，说明安全支付APP没有给交易中心发送虚假的交易金额，执行步骤I);如果不一致，说明APP给交易中心发送了虚假的交易金额，执行步骤ο)； I).发送M2至交易中心，用户将短信中的交易验证码V输入至安全支付APP，并短按绿色按钮，令音频按键将Ai2发送给APP ；APP收到if 2后，将用户输入的验证码和M2以明文的形式发送给交易中心； m).验证M2的合法性，交易中心利用消息1?2中的?提取出用户数字证书，并利用用户数字证书中的公钥验证M2的合法性；如果验证合法，则执行步骤η);如果验证不合法，表明当前交易受到攻击，退出交易； η).判断交易的时效性，交易中心判断打-￡0彡U是否成立，如果成立，则说明时效性合法，执行步骤P);如果不成立，则说明时效性不合法，退出交易； ο).产生交易取消数据，用户短按红色按钮，令音频按键产生交易取消数据M3 = s? Il IlIl cancel |[ g || || ￡{Kus,sn |丨 ?\丨丨cancel 丨丨 g 丨丨?《},音频按键将 M3 发送给 APP，由APP将交易验证码和M3发送给交易中心；交易中心根据m提取用户数字证书，并用其公钥验证M3的合法性，验证通过后，交易中心则取消交易，并留存M3作为用户取消交易的证据； P).完成支付交易，交易中心利用与用户数字证书关联的银行卡完成转账交易，同时交易中心留存M2作为此次交易的证据。
2.根据权利要求1所述的基于音频按键的安全支付方法，其特征在于:步骤j)中绿色按钮的长亮时间T =3s，步骤I)中所述的短按绿色按钮的时间为2s以内，步骤ο)中所述的短按红色按钮的时间为2s以内。
3.根据权利要求1或2所述的基于音频按键的安全支付方法，其特征在于:步骤i)中消息Ml的合法性验证还包括数据新鲜性验证，在数据新鲜性验证的过程中:音频按键将自身产生的随机数《加I后，判断其是否与消息中的第4个数据相等，如果相等，则表明Ml为合法；如果不相等，则表明i￥l不合法。
4.根据权利要求1或2所述的基于音频按键的安全支付方法，其特征在于:步骤m)中M2的合法性验证还包括交易验证码的验证，交易中心判断用户输入的交易验证码与自身产生并发送至用户手机上的验证码是否相同，如果相同，则表明M2合法；如果不相同，则表明Af 2不合法。
【文档编号】G06Q20/40GK104166918SQ201410410913
【公开日】2014年11月26日 申请日期:2014年8月20日 优先权日:2014年8月20日
【发明者】赵华伟, 徐如志, 舒明雷 申请人:齐鲁工业大学, 山东省计算中心（国家超级计算济南中心）