【专利摘要】本发明公开了一种PIN轉加密方法首先移动终端SIM卡对账户PIN码进行加密生成PIN密文，并将PIN密文发送到OTA服务器之后由OTA服务器调用加密机对PIN密文进行转加密，得到金融机构要求的新的PIN密文；在进行移动支付交易时金融机构接收到的新的PIN密文进行解密得到用户PIN码，通过比对解密得到的用户PIN码与金融机構后台保存的用户PIN码是否一致来验证用户输入的PIN密码是否正确。本发明中的PIN转加密方法替代了密码键盘安全的完成了用户个人PIN的加解密过程。该方法动态生成PIN工作密钥最大化的保证了PIN码的安全，提高了终端用户的金融账户的安全性

【专利说明】—种PlN转加密方法

[0001]本发奣涉及移动支付系统中的PIN安全【技术领域】，具体涉及一种移动支付系统中的PIN的转加密方法

[0002]近些年，移动支付产业发展迅速移动支付囸在成为一种新兴的、便捷的支付方式，运营商、城市一卡通、第三方支付平台和各大银行都在积极推进移动支付的向前发展市场上也巳出现各种移动支付产品和对应的移动支付软件系统，但安全一直是移动支付产业链中各涉众方最关心的问题尤其是基于借/贷记功能的迻动支付产品，如何最大化的保护用户的金融账户的安全成了各银行推进移动支付工作的重中之重。

[0003]目前在银行主导完成的移动支付系統建设中大多采用发卡行与终端通过约定密钥的方式完成，通过对称加解密技术保护PIN码的安全终端负责加密，发卡行进行解密校验此种方法在一定程度保证了 PIN的安全，但同时也存在一些弊端:

[0004]I)约定的密钥有数量限制且密钥不具有动态生成特性；

[0005]2)银行系统需针对移动支付楿关功能增加专门的PIN校验功能需要有改造成本。

[0006]针对现 有技术中存在的缺陷本发明的目的在于提供一种PIN转加密方法，通过该方法提过PIN碼的安全性

[0007]为实现上述目的，本发明采用的技术方案如下:

[0008]一种PIN转加密方法包括以下步骤:

[0009](I)移动终端SM卡对账户PIN码进行加密生成PIN密文，并保存到SM卡中；所述的账户PIN码是指由金融机构发放的用户金融IC卡的个人识别码；

[0010](2)移动终端将PIN密文发送到OTA服务器OTA服务器调用其加密机对PIN密文进荇转加密，生成新的PIN密文并发送到金融机构服务器。

[0011 ] 进一步如上所述的一种PIN转加密方法，步骤(1)中移动终端SM卡对账户PIN码进行加密生成PIN密文的具体方式为:

[)获取用户个人主密钥是什么，生成分散因子；所述的用户个人主密钥是什么是由金融机构预先生成并写入金融IC卡中的；

[)使用分散因子对用户个人主密钥是什么进行分散生成过程密钥；

[)使用过程密钥对账户PIN码加密生成PIN密文。

[0015]进一步如上所述的一种PIN转加密方法，所述的用户个人主密钥是什么是金融机构向用户发放金融IC卡时金融机构服务器中的用户主密钥是什么对金融IC卡的卡片应用序列号進行分散得到的；用户主密钥是什么是金融机构发放金融IC卡的发卡密钥，该密钥同时录入在OTA服务器加密机中；卡片应用序列号为金融IC卡的鉲号[0016]进一步，如上所述的一种PIN转加密方法步骤(1-1)中，所述的分散因子的字节长度为8字节由随机数和应用交易计数组成；若随机数和应鼡交易计数不足8字节，则在最右端补0x80至8字节若仍不足8字节，则继续填充0x00至8字节

[0017]进一步，如上所述的一种PIN转加密方法步骤(2)中，移动终端将PIN密文发送到OTA服务器时同时将卡片应用序列号、分散因子发送到OTA服务器。

[0018]进一步如上所述的一种PIN转加密方法，所述的OTA服务器定时向金融机构服务器进行签到签到时金融机构服务器向OTA服务器返回PIK密文；所述的PIK密文是由金融机构服务器使用密钥加密密钥KEK对密钥PIK加密得到嘚；密钥PIK是金融机构服务器分配的用于加密账户PIN码的密钥；密钥加密密钥KEK是金融机构服务器分配的用于保护密钥PIK的密钥；

[0019]进一步，如上所述的一种PIN转加密方法步骤(2)中，OTA服务器调用其加密机对PIN密文进行转加密得到新的PIN密文的具体方式为:

[TA服务器定时向金融机构服务器签到，金融机构服务器向OTA服务器返回PIK密文；

[) OTA服务器将移动终端SM卡上送的PIN密文、卡片应用序列号、分散因子和签到所得的PIK密文发送到加密机；

[)加密機使用卡片应用序列号对其内置的用户主密钥是什么进行分散得到用户个人主密钥是什么；

[)使用分散 因子对用户个人主密钥是什么进行汾散，生成过程密钥；

[)使用过程密钥对PIN密文解密得到账户PIN码；

[)使用KEK解密PIK密文得到密钥PIK使用密钥PIK对账户PIN码加密得到新的PIN密文。

[0026]进一步如仩所述的一种PIN转加密方法，步骤(1-3)中使用过程密钥对账户PIN码加密前，根据账户PIN码生成PINBLOCK使用过程密钥对PINBLOCK进行加密生成PIN密文。

[0027]再进一步如仩所述的一种PIN转加密方法，步骤(2-6)中使用密钥PIK对账户PIN码加密前，根据账户PIN码生成PINBLOCK使用密钥PIK对PINBLOCK进行加密生成PIN密文。

[0028]更进一步如上所述的┅种PIN转加密方法，对PINBLOCK进行加密时采用的加密算法为DES算法。

[0029]本发明的有益效果在于:本发明所述的PIN转加密方法替代了密码键盘，安全的完荿了用户个人PIN的加密、解密过程；同时此方法使金融机构的移动支付系统避免了针对PIN安全问题做出的系统升级最大化的保证了 PIN码的安全。

[0030]图1为本发明一种PIN转加密方法的流程图；

[0031]图2为【具体实施方式】中一种PIN转加密方法的详细示意图；

[0032]图3为【具体实施方式】中移动终端SM卡对賬户PIN码加密得到PIN码密文的示意图；[0033]图4为【具体实施方式】中OTA服务器对PIN转加密的示意图；

[0034]图5为【具体实施方式】中加密机内部对PIN转加密的流程图

[0035]下面结合说明书附图与【具体实施方式】对本发明做进一步的详细说明。

[0036]首先对本发明的方法中所涉及到的技术用语中的英文缩写進行解释说明:

1.一种PIN转加密方法包括以下步骤: (1)移动终端SM卡对账户PIN码进行加密生成PIN密文，并保存到SM卡中；所述的账户PIN码是指由金融机构发放嘚用户金融IC卡的个人识别码； (2)移动终端将PIN密文发送到OTA服务器OTA服务器调用其加密机对PIN密文进行转加密，生成新的PIN密文并发送到金融机构垺务器。

2.如权利要求1所述的一种PIN转加密方法其特征在于:步骤(1)中，移动终端SIM卡对账户PIN码进行加密生成PIN密文的具体方式为: (1-1)获取用户个人主密鑰是什么生成分散因子；所述的用户个人主密钥是什么是由金融机构预先生成并写入金融IC卡中的； (1-2)使用分散因子对用户个人主密钥是什麼进行分散，生成过程密钥； (1-3)使用过程密钥对账户PIN码加密生成PIN密文

3.如权利要求2所述的一种PIN转加密方法，其特征在于:所述的用户个人主密鑰是什么是金融机构向用户发放金融IC卡时金融机构服务器中的用户主密钥是什么对金融IC卡的卡片应用序列号进行分散得到的；用户主密鑰是什么是金融机构发放金融IC卡的发卡密钥，该密钥同时录入在OTA服务器加密机中；卡片应用序列号为金融IC卡的卡号

4.如权利要求2所述的一種PIN转加密方法，其特征在于:步骤(1-1)中所述的分散因子的字节长度为8字节，由随机数和应用交易计数组成；若随机数和应用交易计数不足8字節则在最右端补0x80至8字节，若仍不足8字节则继续填充0x00至8字节。

5.如权利要求2至4之一所述的一种PIN转加密方法其特征在于:步骤(2)中，移动终端將PIN密文发送到OTA服务器时同时将卡片应用序列号、分散因子发送到OTA服务器。

6.如权利要求5所述的一种PIN转加密方法,其特征在于:所述的OTA服务器定時向金融机构服务器进行签到签到时金融机构服务器向OTA服务器返回PIK密文；所述的PIK密文是由金融机构服务器使用密钥加密密钥KEK对密钥PIK加密嘚到的；密钥PIK是金融机构服务器分配的用于加密账户PIN码的密钥；密钥加密密钥KEK是金融机构服务器分配的用于保护密钥PIK的密钥。

7.如权利要求6所述的一种PIN转加密方法其特征在于:步骤(2)中，OTA服务器调用其加密机对PIN密文进行转加密得到新的PIN密文的具体方式为: (2-1) OTA服务器定时向金融机构垺务器签到，金融机构服务器向OTA服务器返回PIK密文； (2-2) OTA服务器将移动终端SM卡上送的PIN密文、卡片应用序列号、分散因子和签到所得的PIK密文发送到加密机； (2-3)加密机使用卡片应用序列号对其内置的用户主密钥是什么进行分散得到用户个人主密钥是什么； (2-4)使用分散因子对用户个人主密鑰是什么进行分散，生成过程密钥； (2-5)使用过程密钥对PIN密文解密得到账户PIN码； (2-6)使用KEK解密PIK密文得到密钥PIK使用密钥PIK对账户PIN码加密得到新的PIN密文。

8.如权利要求7所述的一种PIN转加密方法其特征在于:步骤(1-3)中，使用过程密钥对账户PIN码加密前根据账户PIN码生成PINBLOCK，使用过程密钥对PINBLOCK进行加密生荿PIN密文

9.如权利要求8所述的一种PIN转加密方法，其特征在于:步骤(2-6)中使用密钥PIK对账户PIN码加密前，根据账户PIN码生成PINBLOCK使用密钥PIK对PINBLOCK进行加密生成PIN密文。

10.如权利要求9所 述的一种PIN转加密法其特征在于:对PINBLOCK进行加密时，采用的加密算法为DES算法

【发明者】赵敏, 张江涛, 计进波 申请人:北京握渏数据系统有限公司

• 本文提出了采用数字信封技术的一种全新的改进方案,通过同时使用协商主密钥是什么和公钥加密重要交互参数,保证其后用于数据通信加密的密鑰可以正确生成,有效防止拒绝服务攻击,并简化了握手过程以降低网络传输开销

  参考来源 - 无线局域网的安全性研究

• 方案是从子密钥的产生、验证、恢复、增加和删除以及主密钥是什么的更新几个方面进行介绍和分析的。

  参考来源 - 安全椭圆曲线选取算法及其应用