[发明专利]通信终端通过短信息进行安全认证的方法及系统

说明书

技术领域

本发明涉及信息的安全认证技术，特别是涉及通信终端通过短信进行安全认证的方法及系统。

背景技术

在许多业务应用中信息安全问题十分重要，尤其是在金融领域，帐户支付的安全性一直是人们关注的问题。目前，一种帐户支付方法是利用通信终端通过短信息进行安全认证并完成支付。所述方法充分利用通信终端(包括手机、小灵通或者其他具有短信息交互功能的设备)用户的庞大数量，以及银行卡发行数量的扩大，通过通信终端绑定一个银行帐户或者第三方虚拟帐户，然后利用所述通信终端向一个特定的短信特服号发送SMS(Short MessagingService，短信服务)短信进行转账、购物等。

参照图1，是目前通信终端通过短信进行安全认证的示意图。用户首先利用通讯终端101的短信交互功能，输入收款方帐户、支付金额、支付密码等重要信息，以特定格式发送给短信息互动系统102。短信息互动系统102提取收到的短信中的关键信息，包括发送短信的通信终端号码、收款方帐户、支付金额、支付密码等信息，查找到与所述通信终端号码建立了绑定关系的支付帐户，再将支付帐户、收款方帐户、支付金额、支付密码等信息继续传送给支付系统103。支付系统103收到支付请求，并确认用户输入的支付密码正确后，将支付金额从用户支付帐户转入收款方帐户中，并向用户返回操作信息。

在上述过程中，通信终端进行短信支付面临最大的瓶颈问题就是安全性问题。因为目前的短信息互动系统102通常由SP(Service Provider，短信服务提供商)代理，而短信息交互都采用明码格式(未加密的数据格式)，用户在输入转帐信息时，短信信息将采用明文的形式发送，而且在用户的通信终端上会以明文形式存贮用户发送的短信信息，所以用户的支付信息会在两个环节出现危险：

第一是在代理SP转发短信时，由于短信内容由代理SP方提取，如果代理SP向其他人泄漏支付帐户、支付密码、收款方帐户、支付金额等重要信息，则会造成支付用户的巨大损失，有人可能会将收款方帐户和支付金额更改为自己的帐户和更多的金额，或者利用支付密码直接从支付帐户中提取现金；第二是在用户的通信终端被其他人查看了已发短信时，用户支付密码、收款方帐户、支付金额等重要信息同样容易泄漏，被他人非法利用。

其次，现在的短信网关存在稳定性问题，短信的丢失率和延迟率比较高，用户的转帐请求可能由于支付成功的短信不能及时返回，导致用户不断的发起交易，或者系统到达等待时间后进行短信重发，造成用户为一笔交易支付两次、甚至三次的费用。

发明内容

本发明所要解决的技术问题是提供通信终端通过短信进行安全认证的方法及系统，以解决目前短信支付方式中短信内容易被代理SP泄漏的安全问题，以及由于短信丢失和延时造成用户重复支付的问题。

为解决上述技术问题，本发明提供了通信终端通过短信息进行安全认证的方法，包括：

通信终端经由SP1向支付系统发送短信支付请求，所述请求包括收款方帐户标识和支付金额；

支付系统对应所述请求创建支付记录，并经由SP2向所述通信终端发送校验信息；其中，所述校验信息包括收款方帐户标识和支付金额；

通信终端确认收款方帐户标识和支付金额正确后，经由SP2向支付系统回复确认信息，支付系统执行支付操作。

优选的，还包括：支付系统经由SP2向所述通信终端发送校验信息时，从多个SP2中随机选取一个。

还包括：支付系统创建支付记录时生成记录编号，并包含在所述校验信息中发送；通信终端返回的确认信息为所述记录编号。

优选的，所述记录编号由任意两个英文字母或数字排列组合而成，每次随机生成。

优选的，还包括：支付系统检查设立的帐户信息中是否存在与付款方和收款方帐户标识对应的帐户，若存在，则创建支付记录。

其中，所述帐户标识为帐户号码，或者是与帐户号码具有绑定关系的收款方通信终端号码、或电子邮件地址、或帐户所有者姓名、或身份证号码；所述校验信息中的收款方帐户标识为与收款方帐户号码具有绑定关系的收款方姓名。

还包括：支付系统经由SP1或SP2向所述通信终端，以及与收款方帐户号码具有绑定关系的收款方通信终端返回操作结果。

本发明还提供了通信终端通过短信息进行安全认证的系统，包括：

第一短信息交互子系统，用于接收通信终端发送的短信支付请求，并转发给账户管理子系统；其中，所述请求包括收款方帐户标识和支付金额；