[发明专利]安全授权的方法和系统

说明书

技术领域

本发明涉及计算机领域，特别涉及一种安全授权的方法和系统。

背景技术

目前，银行业务系统把各类业务统一划分为普通业务和特殊业务两大类：普通业务是指操作端日常处理的金融业务，如储蓄开户，存取款等等；特殊业务则是要求有较高权限的操作人员(以下简称授权端)进行授权才能处理的金融业务，如大额取款、冻结账户、资金转账等。

现有银行业务系统要求一个授权端管理一个或数个营业网点，并负责对属于这些营业网点的特殊业务进行授权。在实际工作中，授权端同时要负责其他业务和管理工作，而特殊业务发生的时间和地点不确定，授权端往往很难及时到达现场进行授权，因而往往将其授权码和口令告知要求授权的操作端。同时，操作端需要在数个营业网点之间进行轮岗，为管理方便，操作端在其轮岗网点内均有有效的授权身份(代码加口令)。显而易见，当某一操作端轮岗到一个网点时，轮岗的其他网点中的授权身份存在被恶意盗用的可能性。久而久之，这些授权码和口令都成为不是秘密的秘密。显然，这种情况加大口令被恶意盗用的危险。不止在银行，在超市、商场等需要使用支付端的环境中，操作端也遇到了相同的问题，也需要在面对特殊业务的情况时得到授权端的授权。

除了静态密码授权外，目前授权端的授权方式主要为接触式授权：即授权端使用磁卡、集成电路(Integrate circuit，IC)卡、通用串行总线(Universal Serial BUS，USB)Key卡等其他认证设备插入支付端，输入认证信息后，授权完毕。该方案安全性较高，但需要授权端亲临现场，成本高，工作效率低，而且整个支付系统的实施部署非常麻烦，因为绝大多数支付终端没有相关设备的外设，这就要求为了支持磁卡、IC卡、USB Key等认证设备，需要对支付端进行改造升级。

发明内容

为了增强交易安全、降低成本，提高工作效率，本发明实施例提供了一种安全授权的方法，所述技术方案包括如下步骤：

支付端获取操作端信息并进行验证；如果验证没通过，异常处理；

否则，所述支付端获取交易申请；

所述支付端判断所述交易申请是否需要授权，如果需要，向授权端发出获取授权码的请求信息，所述请求信息中包括挑战值，所述挑战值为所述交易申请中的部分或全部内容，或所述挑战值为所述支付端接收到所述交易申请后生成的一个随机数，或所述挑战值为所述支付端接收到所述交易申请后生成的随机数和所述交易申请中的部分或全部内容进行运算得到；否则，进行正常交易并结束；

所述授权端利用与所述支付端预先绑定的动态令牌根据所述挑战值生成动态口令，所述生成的动态口令作为授权码由所述授权端返回给所述支付端；

所述支付端接收所述授权码，并根据内部事先绑定的与所述授权码生成算法相同的动态口令生成算法生成动态口令；

所述支付端比对所述接收到的授权码和所述生成的动态口令，如果比对结果一致，则进行正常交易并结束；否则，异常处理。

所述支付端获取操作端信息并进行验证前，还包括

所述支付端接收所述操作端信息、授权端信息和动态令牌信息，并将所述授权端信息和动态令牌信息绑定的步骤。

所述向授权端发出获取授权码的请求信息的步骤具体为：

所述支付端直接向所述授权端发出获取授权码的请求信息。

所述向授权端发出获取授权码的请求信息的步骤具体为：

所述支付端向操作端发出获取授权码的请求信息，再由所述操作端向所述授权端发送所述请求信息。

所述生成的动态口令作为授权码由所述授权端返回给所述支付端的步骤具体为：

所述生成的动态口令作为授权码由所述授权端直接返回给所述支付端。

所述生成的动态口令作为授权码由所述授权端返回给所述支付端的步骤具体为：

所述生成的动态口令作为授权码由所述授权端发送给所述操作端，并由所述操作端返回给所述支付端。

所述向支付端直接向所述授权端发出获取授权码的请求信息的过程是通过电子或网络的方式实现的。

所述操作端向所述授权端发送所述请求信息的过程是通过物理、电子或网络的方式实现的。

所述生成的动态口令作为授权码由所述授权端直接返回给所述支付端的过程是通过电子或网络的方式实现的。

所述生成的动态口令作为授权码由所述授权端发送给所述操作端的过程是通过物理、电子或网络的方式实现的。

所述交易申请包括下面内容中的至少一项：

交易类型、帐号信息和流水号信息。

本发明还提供了一种安全授权的系统，包括：操作端、支付端和授权端；