[发明专利]一种用于网上支付的数据加密和密钥生成方法

说明书

技术领域

本发明涉及电子商务应用领域，尤其涉及电子商务应用中的安全支付技术。

背景技术

随着经济的发展和人们生活水平的提高，银行卡已经成为日常生活中随处可见的支付工具和支付手段。例如，在商场、超市、机场或者酒店中的POS终端为用户提供了便捷的服务，持卡人只需输入银行卡的密码就可以实现无币支付。此外，随着互联网上电子商务的蓬勃发展，银行卡的网上支付业务也呈现出迅速增长的态势，与银行卡的传统业务相比，网上支付属于新兴的业务领域，网上买家在进行网上支付时提供银行卡账号和个人密码，就可以完成商品购买。

然而，在繁荣的网络经济时代，由于风险管理制度和风险防范措施尚未完善，给网上支付业务带来较高的潜在风险，也给持卡人使用该网上支付业务带来诸多的负面影响。甚至，一些网民利用自制的虚假网站来骗取持卡人的银行卡账号和交易密码，以冒领银行卡内余额的网上经济案件层出不穷，一定程度上也使得持卡人使用网上支付的积极性大打折扣。

如何提供一个安全、易用、足够安全的支付手段是持卡人最为关注的技术问题，与此同时，安全、易用和备受信任的支付手段对于网络商户拓展商机和增长利润也是巨大的推动力。虽然，在现有技术中，发卡行针对电子商务的发展推出了网上银行业务，并采用硬件安全芯片作为交易证书的载体来提高交易的安全性，通过将银行卡和交易证书在后台绑定的方式提供网上支付业务，但是用户必须首先到银行购买硬件安全芯片，并绑定某张银行卡，成本较高，操作步骤繁琐，后续的业务变更还只能到银行柜台办理，给用户带来诸多不便。

另一方面，个人PC在家庭生活中日益普及，能否通过扩展普通家用电脑的理财功能，将刷卡交易引入到网上购物的支付环节，以实现“网上订购、刷卡支付”，是摆在银行服务业的技术人员面前迫切需要解决的难题。

发明内容

针对现有技术中用户在进行网上支付时所存在的上述技术缺陷，本发明提供了一种用于网上支付的数据加密方法和密钥生成方法。通过分别在电脑的主板和键盘上设计安全芯片和加密芯片来完成银行卡敏感数据的加密和/或解密，以实现数据的安全传输。与现有的网上支付业务不同，在该支付系统中用户不仅要输入银行卡密码，而且还需要在电脑的键盘上执行刷卡操作以获取银行卡的磁道信息数据，并通过键盘上的加密芯片进行加密而发送至电脑主板上的安全芯片。

按照本发明的一个方面，提供了一种用于网上支付的数据加密方法。该数据加密方法包括：

用户订购商品后，通过键盘刷卡并输入交易密码，以产生磁道信息明文和交易密码明文；

加密芯片对磁道信息明文和交易密码明文进行加密，并转换为相应的磁道信息密文、交易信息密文和MAC数据；

安全芯片接收和解密磁道信息密文、交易密码密文和MAC数据，并转换为磁道信息明文、交易密码明文、交易数据明文和安全芯片编号；

安全芯片对磁道信息明文、交易密码明文进行二次加密并组织报文，在报文中加入交易数据明文和安全芯片编号；

安全芯片对报文数据进行数字签名，并加密数字签名和交易数据明文；以及

网络浏览器通过SSL协议将全部报文发送至支付网关。

其中，加密芯片设置在计算机的键盘内，并且安全芯片设置在计算机的主板上。

其中，加密芯片具有加密主密钥和MAC主密钥。

其中，安全芯片具有加密主密钥、MAC主密钥、终端主密钥和终端证书。进一步，终端证书包括终端公钥、终端私钥和支付网关公钥。

其中，加密芯片的加密主密钥和安全芯片的加密主密钥的密钥生成算法相同，并且加密芯片和安全芯片基于加密主密钥进行对称加密。此外，键盘的加密芯片使用加密主密钥与主板的安全芯片协商加密过程密钥，并利用该加密过程密钥来加密磁道信息明文和交易密码明文。

其中，主板的安全芯片使用加密过程密钥来解密来自加密芯片的磁道信息密文和交易密码密文。

其中，键盘上的加密芯片和主板上的安全芯片协商加密过程密钥的步骤包括：

加密芯片预设密钥生成算法；

安全芯片预设与加密芯片相同的密钥生成算法；

加密芯片随机生成一个随机因子，并根据加密主密钥和随机因子计算加密过程密钥；

加密芯片向安全芯片发送连接请求和随机因子；

安全芯片根据加密主密钥和随机因子计算加密过程密钥；以及

完成基于对称根密钥的过程密钥协商。

其中，二次加密是指安全芯片通过终端主密钥与支付网关协商过程密钥，并使用过程密钥及3DES算法加密磁道信息明文和交易密码明文，3DES算法采用128位的长密钥。