[发明专利]移动智能终端与POS终端的认证方法

说明书

本发明涉及通讯认证领域，具体为移动智能终端与POS终端的认证方法。移动智能终端用共享密钥和随机数生成第一次认证码与POS终端进行第一次认证，POS终端再生成新的密钥，把新的密钥加密后和随机数再次生成第二次认证码，返回给移动智能终端进行第二次认证，第二次认证的同时把POS终端生成的新密钥也安全完整地传给了移动智能终端。解密后，双方将两个密钥拼接成新的密钥，后续通信即用拼接后的密钥进行加密或解密。移动智能终端与POS终端的两次相互认证，并在认证过程中巧妙地获得共享加解密密钥，提高了移动智能终端与POS终端通信安全的等级，使得移动支付的交易中信息更为安全。

技术领域

本发明涉及通讯认证领域，具体为移动智能终端与POS终端的认证方法。

背景技术

随着信息技术的发展，以智能手机为代表的移动智能终端得到了普及使用，以手机作为主要设备的移动支付方案正日趋成熟。通信安全在移动支付中至关重要。在现有移动支付方案中，主要包括设在网络后端的作为指挥控制中心的服务支撑平台、消费者携带使用的移动智能终端以及商家使用的POS终端。其中智能终端与POS终端之间信息交换多采用NFC、红外、蓝牙等近距离无线通信技术。为确保信息安全，智能终端与POS终端之间通信前需进行身份认证。现有的技术中，通常是手机蓝牙用广播而POS终端监听模式。POS终端通过消息认证码验证手机的身份，正确后就接受手机发来的交易信息。这种认证方式只对广播端的手机进行认证，无法对POS终端进行认证。当有伪POS存在时，有可能将消息误发给伪POS机，从而危及支付的安全。

发明内容

鉴于上述现有的认证方法的缺陷，本发明要解决的技术问题是移动智能终端与POS终端通信不安全的问题。本发明提供的移动智能终端与POS终端的认证方法，具体是包括如下步骤：

1）服务支撑平台生成随机数，并用所述随机数生成第一密钥；

2）由所述第一密钥将所述随机数生成第一消息认证码（MAC1）；

3）移动智能终端从所述服务支撑平台获取所述随机数、第一密钥和第一消息认证码（MAC1），并将所述随机数和所述第一消息认证码（MAC1）发送给POS终端；

4）POS终端用与所述服务支撑平台相同的算法将所述随机数生成第一密钥；

5）POS终端用所述第一密钥将获取的所述随机数生成第二消息认证码（MAC2），并与收到的所述第一消息认证码进行比较，两者相同则通过第一次认证；

6）所述POS终端生成第二密钥，并用所述第一密钥加密所述第二密钥获得第二密钥密文；

7）用所述第一密钥和所述随机数对所述第二密钥密文计算生成第三消息认证码（MAC3）；

8）所述POS终端把所述第三消息认证码（MAC3）和所述第二密钥密文发送给移动智能终端；

9）所述移动智能终端用所述第一密钥和所述随机数对所获取的所述第二密钥密文进行计算并生成第四消息认证码（MAC4）；

10）将所述的第四消息认证码（MAC4）与获取的所述第三消息认证码（MAC3）比较，两者相同则通过第二次认证。

进一步地，还包括步骤：

11）移动智能终端用所述第一密钥对所述第二密钥密文解密获得第二密钥，并将所述第一密钥和所述第二密钥组合成第三密钥，相应地，所述POS终端也将所述第一密钥和所述第二密钥组合成第三密钥，所述移动智能终端与所述POS终端之间的通信用所述第三密钥进行加密或解密。

所述服务支撑平台包括带有根密钥的加密机，所述根密钥用于与所述随机数生成所述第一密钥。

所述POS终端包括带有所述根密钥的SAM卡。