本發明提供了一種用于進行虛擬卡交易的方法和裝置，移動應用平臺存儲客戶端的第一客戶端私鑰和客戶端的虛擬卡私鑰，客戶端存儲第二客戶端私鑰，認證端存儲客戶端的虛擬卡公鑰證書，移動應用平臺的流程方法包括：接收客戶端發送的私鑰獲取請求，保存私鑰獲取請求攜帶的客戶端基于虛擬卡交易數據計算的摘要信息；并向客戶端返回其第一客戶端私鑰；響應于客戶端發送的基于第一客戶端私鑰和客戶端存儲的第二客戶端私鑰合成客戶端私鑰生成的客戶端簽名，通過摘要信息和客戶端公鑰驗證客戶端簽名；驗證通過后，向認證端發送并請求其驗證基于虛擬卡私鑰對摘要信息簽名后產生的虛擬卡簽名。本發明在強認證的前提下，產生可靠的虛擬卡SM2簽名憑證。

技術領域

本發明涉及移動安全技術領域，尤其涉及一種用于進行虛擬卡交易的方法和裝置。

背景技術

虛擬卡是對實體卡片的異形化，通常由運行在用戶手機的移動應用客戶端及移動應用平臺所組成，例如網上銀行的電子錢包。

HCE(Host Card Emulation)技術又稱為主機卡模擬技術。HCE模式下終端安全模塊SE被遠程托管的云端SE(Cloud Secure Element或SE on the Cloud)所取代。

移動應用平臺使用密碼卡、加密機等硬件密碼設備作為云端SE的安全載體，用于安全的保存、使用虛擬卡密鑰。

數字證書是指網上金融、電子政務或電子商務等網上電子活動中，符合《中華人民共和國電子簽名法》、能夠證實簽名人與電子簽名數據具有可靠關聯性的一種電子簽名認證證書。

由于移動終端運行環境的脆弱性，移動應用無可避免的暴露在黑色產業鏈的各種攻擊之下，不得不面對密鑰被竊取、會話被劫持、客戶端被仿冒等安全威脅。如何確保移動應用的實體安全，如何合法的使用云端SE，如何生成可靠的虛擬卡交易簽名憑證，確認用戶身份，確保交易不被偽造等問題，是當前亟需解決的技術難題。

發明內容

本發明的主要目的在于提供一種用于進行虛擬卡交易的方法和裝置，解決如何在強認證的前提下，由受信客戶端使用云端SE，產生可靠的虛擬卡SM2簽名憑證的問題。

本發明一方面提供了一種用于進行虛擬卡交易的方法，該方法應用于移動應用平臺中，所述移動應用平臺存儲客戶端的第一客戶端私鑰、客戶端公鑰和客戶端的虛擬卡私鑰，客戶端存儲第二客戶端私鑰，認證端存儲客戶端的虛擬卡公鑰證書，包括：

接收客戶端發送的私鑰獲取請求，保存所述私鑰獲取請求攜帶的客戶端基于虛擬卡交易數據計算的摘要信息；并向所述客戶端返回其第一客戶端私鑰；

響應于所述客戶端發送的基于第一客戶端私鑰和客戶端存儲的第二客戶端私鑰合成客戶端私鑰生成的客戶端簽名，通過所述摘要信息和該客戶端公鑰驗證所述客戶端簽名；驗證通過后，由移動應用平臺或客戶端向認證端發送并請求其驗證基于虛擬卡私鑰對所述摘要信息簽名后產生的虛擬卡簽名。

進一步的，保存所述私鑰獲取請求攜帶的客戶端基于虛擬卡交易數據計算的摘要信息，包括：保存所述私鑰獲取請求攜帶的客戶端基于虛擬卡雜湊和虛擬卡交易數據中的虛擬卡待簽數據計算的摘要信息；具體為：

保存所述私鑰獲取請求攜帶的客戶端基于虛擬卡雜湊和虛擬卡交易數據中的終端隨機數及虛擬卡隨機數組成的虛擬卡待簽數據計算的摘要信息；和/或

保存所述私鑰獲取請求攜帶的客戶端基于虛擬卡雜湊和虛擬卡交易數據中的客戶端與電商平臺生成的訂單信息計算的摘要信息。

進一步的，保存所述私鑰獲取請求攜帶的客戶端基于虛擬卡雜湊和虛擬卡交易數據中的終端隨機數和虛擬卡隨機數組成的虛擬卡待簽數據計算的摘要信息，包括：

客戶端接收受理終端發送的終端隨機數；同時生成虛擬卡隨機數；

對虛擬卡雜湊和終端隨機數及虛擬卡隨機數經過兩次哈希運算后得到摘要信息；