[发明专利]网络安全支付终端及其网络安全支付方法

说明书

技术领域

本发明涉及网络技术，尤其涉及一种实现网络安全支付的终端及其方法。

背景技术

随着电子商务的普及与发展，网络在线支付由于具有快捷、方便的特点，逐渐被人们接受。在利用开放网络进行交易时，首先必须保证交易数据和客户信息的安全性，必须建立一个安全网络和安全方便的交易通道。为了保证远程支付终端安全访问银行系统，各种各样的安全方法提出，大致思路就是在远程支付终端与银行后台之间建立安全链路。比如，申请号为200710175608.8的“实现网络安全支付方法及客户端”中国专利申请提出了一种采用专用操作系统并配置防火墙及进程监控来保证网上交易的安全性的方法；申请号为200410063796.1的“具SSL保护功能的安全网关及方法”中国专利提出了一种通过建立SSL安全通道的方法来保证网络安全的方法。为了进一步加强网络安全，设计人员通常将IPSEC、SSL、DSL等安全技术进行整合。

IPSEC(Internet Protocol Security)是一系列基于IP网络(包括Intranet、Extranet和Internet)的开放性IP安全标准，它工作在网络层，对接收到的IP数据包进行加密和/或认证处理。SSL(Secure SocketLayer)是国际上最早应用于电子商务的一种网络安全协议，工作在传输层，在传输协议(如TCP)之上为高层协议提供数据封装、压缩、加密等基本功能的支持。DSL(Digital Subscriber Line)是基于普通电话线的宽带接入技术，与SSL一样，工作在传输层，在TCP协议上实现安全通道建立。

为了实现安全链路建立，IPSEC、SSL、DSL都需要事先将安全协议客户端程序植入终端设备。IPSEC将安全协议客户端程序植入到操作系统协议层中，工作在TCP层上。SSL和DSL将安全协议客户端程序植入到应用层中。比如，Microsoft IE浏览器，其内嵌入了SSL安全机制，当IE访问https://打头的网站时，SSL安全机制被激活，终端设备与被访问网站之间建立安全通道，实现网络安全交易。然而，不同的安全机制必须分别安装各自独立的安全协议客户端程序，在同一台终端设备上不能以统一的架构来实现多种安全协议，也就是说，现有的安全协议客户端程序的实现不具备通用性。

在这种情况下，如果需要在终端设备上采用多套安全机制来保证终端设备的安全性，则需要移植多套独立的安全协议客户端程序。在这些安全协议客户端程序中，分别包含多套独立的加解密算法、身份认证等模块，而加解密算法和身份认证等操作均涉及大量复杂计算，占用内存空间大。

对于PC机而言，其CPU速率高，内存资源大，处理能力强，所以在PC机上实现多套安全机制并存相对容易，处理速度可被用户接受。而对于嵌入式设备，由于其配置要求较低，不具备硬盘那样大容量的存储介质，因此，多套安全机制中的加解密算法和身份认证等操作将会造成嵌入式CPU的处理速度降低，以至于令用户无法接受，系统性能大大降低。

发明内容

为了解决上述问题，本发明提供一种网络安全支付终端及其方法，以在不对现有终端设备的CPU和内存等硬件配置造成负担的情况下实现安全协议客户端程序的统一实现和多种安全协议的兼容，从而实现更加安全的网络支付方式。

为了实现以上目的，本发明提供的一种安全机制客户端系统，包括：控制模块，用于调用接口模块从公共模块获取该系统所使用的安全机制与其它安全机制的共同处理部分的结果，与网关服务器和/或执行身份认证的服务器交互，进行数据传输；接口模块，用于与公共模块交互；公共模块，用于实现该系统所使用的安全机制与其它安全机制的共同处理部分。

在所述安全机制的共同处理部分为数据包的加解密操作的情况下，执行以下网络安全支付步骤：控制模块向网关服务器发送建立连接请求，请求消息中包括经由接口模块从公共模块接收的客户端支持的加解密算法类型等信息；在数据传输过程中，控制模块调用接口模块向公共模块发送待加解密的数据包及其加解密类型等信息，公共模块根据控制模块在接口模块中设置的加解密类型等信息对数据包进行加解密，并将加解密的数据包经由接口模块发送给控制模块；当控制模块从网关服务器接收到链路断开信息或者将链路断开信息发送到网关服务器时，安全通道断开。