(19)中华人民共和国国家知识产权局(12)发明专利(10)授权公告号(10)授权公告号CNCN102118426102118426B(45)授权公告日2014.09.17(21)申请号201010122810.6(56)对比文件CN101317166A,2008.12.03,说明书(22)申请日2010.02.26倒数第3行到第5行，附图1-3.(66)本国优先权数据CN1524217A,2004.08.25,全文.200910244496.62009.12.31CNEP1655920A2,2006.05.10,全文.(73)专利权人方正宽带网络服务股份有限公司审查员辛海明地址100871北京市海淀区成府路298号方正大厦5层(72)发明人陈实如(74)专利代理机构北京天昊联合知识产权代理有限公司11112代理人陈源罗建民(51)Int.Cl.H04L29/08(2006.01)H04L29/06(2006.01)H04L9/32(2006.01)G06Q20/40(2012.01)权权利要求书3页利要求书3页说明书12页说明书12页附图4页附图4页(54)发明名称网络安全支付终端及其网络安全支付方法(57)摘要本发明提供一种安全机制客户端系统，包括：多个控制模块，分别用于调用接口模块从公共模块获取安全机制实现的共同处理部分的结果，与网关服务器和/或执行身份认证的服务器交互，进行数据传输；接口模块，用于与公共模块交互；驱动模块，用于协调资源；公共模块，用于实现安全机制的共同处理部分。本发明抽取各种安全机制实现中的共同处理部分，并形成一个支持多种安全机制协议的访问的统一接口，从而以统一的架构实现多种安全协议客户端程序以及多种安全协议客户端系统的兼容与扩展，并且通过将涉及复杂计算的共同部分移植到单独的CPU或芯片中来提高系统处理性能。CN102118426BCN102846BCN102118426B权利要求书1/3页1.一种安全机制客户端系统，用于嵌入式设备中，包括：控制模块，用于调用接口模块从公共模块获取该系统所使用的安全机制与其它安全机制的共同处理部分的结果，与网关服务器和/或执行身份认证的服务器交互，进行数据传输；接口模块，用于与公共模块交互；公共模块，用于实现该系统所使用的安全机制与其它安全机制的共同处理部分；其中，所述安全机制的共同处理部分是指安全机制客户端程序中涉及复杂计算的共同处理部分，该共同处理部分具体为在嵌入式设备上实现会造成系统性能瓶颈的数据包的加解密操作；所述公共模块采用独立的安全芯片，所述安全芯片中存储有所述加解密操作的加解密算法类型信息；执行以下网络安全支付步骤：控制模块向网关服务器发送建立连接请求，请求消息中包括经由接口模块从公共模块接收的客户端支持的加解密算法类型信息；在数据传输过程中，控制模块调用接口模块向公共模块发送待加解密的数据包及其加解密类型信息，公共模块根据控制模块在接口模块中设置的加解密类型信息对数据包进行加解密，并将加解密的数据包经由接口模块发送给控制模块；当控制模块从网关服务器接收到链路断开信息或者将链路断开信息发送到网关服务器时，安全通道断开。2.根据权利要求1所述的安全机制客户端系统，其特征在于，所述公共模块为一个单独的CPU或芯片，在该CPU或芯片中执行数据包的加解密操作，或者在该CPU或芯片中存储执行身份认证所需的信息，包括该客户端终端设备ID和身份认证参数。3.根据权利要求2所述的安全机制客户端系统，其特征在于，在所述CPU或芯片中存储执行身份认证所需的信息的情况下，执行以下网络安全支付步骤：控制模块调用接口模块从所述CPU或芯片中获取终端设备ID和身份认证参数信息，并将这些信息发送给执行身份认证的服务器；接收到所述信息的服务器对终端设备进行认证。4.一种安全机制客户端系统，用于嵌入式设备中，包括：多个控制模块，分别对应于该系统所用的多种安全机制，分别用于调用接口模块从公共模块获取所述多种安全机制的共同处理部分的结果，与相应网关服务器和/或执行身份认证的服务器交互，进行相应安全通道中的数据传输；接口模块，用于与公共模块交互；驱动模块，用于对所述多种安全机制利用的资源进行协调；公共模块，用于实现所述多种安全机制的共同处理部分；其中，所述安全机制的共同处理部分是指安全机制客户端程序中涉及复杂计算的共同处理部分，该共同处理部分具体为在嵌入式设备上实现会造成系统性能瓶颈的数据包的加解密操作；所述公共模块采用独立的安全芯片，所述安全芯片中存储有所述加解密操作的加解密算法类型信息；执行以下网络安全支付步骤：所述多个控制模块分别向相应网关服务器发送建立连接请求，请求消息中包括经由接2CN102118426B权利要求书2/3页口模块从公共模块接收的客户端支持的加解密算法类型信