本發(fā)明提供了一種基于零信任數(shù)字人民幣支付系統(tǒng)及安全防護(hù)方法，包括支付APP、零信任支付網(wǎng)關(guān)、移動(dòng)支付服務(wù)端、零信任策略管理系統(tǒng)和風(fēng)險(xiǎn)信息系統(tǒng)；將移動(dòng)支付中終端、人、賬戶、支付平臺(tái)身份化，對(duì)移動(dòng)支付中的身份進(jìn)行持續(xù)可信驗(yàn)證，同時(shí)默認(rèn)身份認(rèn)證憑證不信任、支付報(bào)文不信任，均進(jìn)行持續(xù)可信驗(yàn)證，做到身份完全偽造的情況下，內(nèi)容可控，確保支付的每個(gè)環(huán)節(jié)都是可信。

技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)技術(shù)領(lǐng)域，具體涉及一種基于零信任數(shù)字人民幣支付系統(tǒng)及安全防護(hù)方法。

背景技術(shù)

隨著數(shù)字人民幣的發(fā)展，移動(dòng)支付、移動(dòng)轉(zhuǎn)賬成為了人們?nèi)粘Ｉ钪斜容^正常的金融活動(dòng)方式。當(dāng)前的移動(dòng)支付轉(zhuǎn)賬功能，在用戶賬戶密碼登錄后，填寫轉(zhuǎn)賬目標(biāo)賬戶后，一般通過人臉或者指紋識(shí)別進(jìn)行強(qiáng)認(rèn)證，強(qiáng)認(rèn)證通過后則認(rèn)為轉(zhuǎn)賬成功。

目前的移動(dòng)轉(zhuǎn)賬是對(duì)用戶身份進(jìn)行認(rèn)證，依然存在一些風(fēng)險(xiǎn)：如賬號(hào)密碼被泄密而導(dǎo)致用戶被攻擊者冒充登錄；指紋和人臉識(shí)別信息被惡意竊取而導(dǎo)致合法用戶被仿冒進(jìn)行惡意轉(zhuǎn)賬帶來財(cái)產(chǎn)損失；移動(dòng)支付還有可能受到中間人攻擊支付內(nèi)容被篡改而導(dǎo)致合法用戶的財(cái)產(chǎn)損失；還有合法用戶被欺騙向詐騙賬戶轉(zhuǎn)賬導(dǎo)致財(cái)產(chǎn)損失。因此，如何提升移動(dòng)支付轉(zhuǎn)賬安全問題，一直是安全企業(yè)和網(wǎng)絡(luò)安全專家研究的一個(gè)問題。

發(fā)明內(nèi)容

基于上述技術(shù)現(xiàn)狀，本發(fā)明的目的在于提供一種基于零信任數(shù)字人民幣支付系統(tǒng)及安全防護(hù)方法，將移動(dòng)支付中終端、人、賬戶、支付平臺(tái)身份化，對(duì)移動(dòng)支付中的身份進(jìn)行持續(xù)可信驗(yàn)證，同時(shí)默認(rèn)身份認(rèn)證憑證不信任、支付報(bào)文不信任，均進(jìn)行持續(xù)可信驗(yàn)證，做到身份完全偽造的情況下，內(nèi)容可控，確保支付的每個(gè)環(huán)節(jié)都是可信。

本發(fā)明采用的技術(shù)方案如下：一種基于零信任數(shù)字人民幣移動(dòng)支付系統(tǒng)，包括支付APP、零信任支付網(wǎng)關(guān)、移動(dòng)支付服務(wù)端、零信任策略管理系統(tǒng)和風(fēng)險(xiǎn)信息系統(tǒng)；

所述支付APP供用戶進(jìn)行終端注冊(cè)，支持用戶賬戶和終端的認(rèn)證，獲取用戶標(biāo)識(shí)信息和可信標(biāo)簽，供用戶實(shí)際操作移動(dòng)支付和移動(dòng)轉(zhuǎn)賬，且向零信任支付網(wǎng)關(guān)發(fā)送可信驗(yàn)證的報(bào)文；

所述零信任支付網(wǎng)關(guān)用于驗(yàn)證報(bào)文，在接收到報(bào)文后，提取出用戶標(biāo)識(shí)信息，根據(jù)用戶標(biāo)識(shí)信息從零信任策略管理系統(tǒng)獲得用戶的可信標(biāo)簽，使用可信標(biāo)簽對(duì)報(bào)文進(jìn)行可信驗(yàn)證，并將報(bào)文進(jìn)行去噪復(fù)原；

所述移動(dòng)支付服務(wù)端為用戶提供移動(dòng)支付、移動(dòng)轉(zhuǎn)賬能力；

所述零信任策略管理系統(tǒng)負(fù)責(zé)終端及用戶賬戶的管理，將終端與用戶賬戶認(rèn)證后綁定，為綁定關(guān)系合法的用戶生成用戶標(biāo)識(shí)信息和可信標(biāo)簽，并負(fù)責(zé)將可信標(biāo)簽向支付APP和所述零信任支付網(wǎng)關(guān)下發(fā)；

所述風(fēng)險(xiǎn)信息系統(tǒng)用于評(píng)估被轉(zhuǎn)賬目標(biāo)賬戶的風(fēng)險(xiǎn)，并將風(fēng)險(xiǎn)評(píng)估信息通過所述零信任策略管理系統(tǒng)發(fā)送至支付APP。

其中，所述零信任策略管理系統(tǒng)根據(jù)用戶的信息變化進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估，監(jiān)測(cè)到風(fēng)險(xiǎn)則觸發(fā)增強(qiáng)身份確認(rèn)，所述信息變化包括用戶的ip地址變化、用戶地理位置變化。

所述支付APP支持的可信驗(yàn)證報(bào)文包括用戶身份的認(rèn)證報(bào)文和支付報(bào)文，所述認(rèn)證報(bào)文和所述支付報(bào)文均包括以下驗(yàn)證步驟：

S1、支付APP生成原始報(bào)文pakData，然后對(duì)原始報(bào)文pakData計(jì)算hash值并放在原始報(bào)文pakData后面；

S2、將可信標(biāo)簽作為噪聲noiseData，為原始報(bào)文添加噪聲noiseData，得到中間報(bào)文SecpakData，中間報(bào)文SecpakData＝pakData異或noiseData；

S3、重新計(jì)算hash值并將該hash值放在中間報(bào)文后面，得到待發(fā)送報(bào)文，待發(fā)送報(bào)文的報(bào)文內(nèi)容為SecpakData；

S4、在待發(fā)送報(bào)文的報(bào)文信息中添加用戶標(biāo)識(shí)信息，然后發(fā)送至零信任支付網(wǎng)關(guān)，零信任支付網(wǎng)關(guān)提取出用戶標(biāo)識(shí)信息，根據(jù)用戶標(biāo)識(shí)信息獲取到對(duì)應(yīng)的噪聲noiseData；