本申請(qǐng)涉及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域：
，尤其涉及一種基于業(yè)務(wù)碼的驗(yàn)證方法和裝置、一種業(yè)務(wù)碼的生成方法和裝置。
背景技術(shù)：
：隨著移動(dòng)互聯(lián)技術(shù)的發(fā)展和智能終端的普及，以用戶賬戶為基礎(chǔ)的各種近距離業(yè)務(wù)得到了廣闊的發(fā)展空間。兩個(gè)用戶可以通過(guò)掃描二維碼、條形碼等實(shí)現(xiàn)其賬戶間的移動(dòng)支付、賬戶間的信息共享等業(yè)務(wù)。近距離業(yè)務(wù)在為人們帶來(lái)方便的同時(shí)，也具有一定的安全隱患。如果用戶的終端遺失，或者二維碼等被他人錄屏，則可能造成用戶的損失，尤其是對(duì)移動(dòng)支付業(yè)務(wù)而言。因此，一些用戶采用帶有更多安全硬件設(shè)施的終端、或者在終端上安裝更為可靠的安全軟件，這些用戶賬戶具有更好的安全性?，F(xiàn)有技術(shù)中，提供近距離業(yè)務(wù)服務(wù)的系統(tǒng)中，在收到帶有二維碼的業(yè)務(wù)請(qǐng)求后，服務(wù)器采用相同的方式對(duì)所有用戶賬戶的業(yè)務(wù)請(qǐng)求進(jìn)行驗(yàn)證，而不論與該用戶賬戶綁定的終端是否有更好的安全性。這樣，如果采用較為寬松的驗(yàn)證標(biāo)準(zhǔn)，對(duì)安全性較差的終端可能造成較大的風(fēng)險(xiǎn)；而采用較為嚴(yán)格的驗(yàn)證標(biāo)準(zhǔn)，又會(huì)造成安全性較好的終端用戶的諸多不便。技術(shù)實(shí)現(xiàn)要素：有鑒于此，本申請(qǐng)?zhí)峁┮环N基于業(yè)務(wù)碼的驗(yàn)證方法，應(yīng)用在服務(wù)器上，包括：接收第二用戶終端發(fā)送的包括業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求，所述業(yè)務(wù)碼攜帶有第 一用戶賬戶信息和安全程度信息；所述安全程度信息由第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定；根據(jù)所述第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。本申請(qǐng)?zhí)峁┑囊环N基于業(yè)務(wù)碼的驗(yàn)證方法，應(yīng)用在第二用戶的終端上，包括：從第一用戶的終端獲取業(yè)務(wù)碼，所述業(yè)務(wù)碼攜帶第一用戶賬戶信息和安全程度信息；所述安全程度信息由第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定；將包括所述業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求發(fā)送給服務(wù)器，供服務(wù)器根據(jù)所述第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。本申請(qǐng)?zhí)峁┑囊环N生成業(yè)務(wù)碼的方法，應(yīng)用在第一用戶的終端上，包括：根據(jù)本終端的硬件和/或軟件環(huán)境確定安全程度信息；采用第一用戶賬戶信息和安全程度信息，按照預(yù)定格式生成業(yè)務(wù)碼。本申請(qǐng)還提供了一種基于業(yè)務(wù)碼的驗(yàn)證裝置，應(yīng)用在服務(wù)器上，包括：業(yè)務(wù)請(qǐng)求接收單元，用于接收第二用戶終端發(fā)送的包括業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求，所述業(yè)務(wù)碼攜帶有第一用戶賬戶信息和安全程度信息；所述安全程度信息由第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定；安全程度驗(yàn)證單元，用于根據(jù)所述第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。本申請(qǐng)?zhí)峁┑囊环N基于業(yè)務(wù)碼的驗(yàn)證裝置，應(yīng)用在第二用戶的終端上，包括：業(yè)務(wù)碼獲取單元，用于從第一用戶的終端獲取業(yè)務(wù)碼，所述業(yè)務(wù)碼攜帶第一用戶賬戶信息和安全程度信息；所述安全程度信息由第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定；業(yè)務(wù)請(qǐng)求發(fā)送單元，用于將包括所述業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求發(fā)送給服務(wù)器，供服務(wù)器根據(jù)所述第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。本申請(qǐng)?zhí)峁┑囊环N生成業(yè)務(wù)碼的裝置，應(yīng)用在第一用戶的終端上，包括：安全程度確定單元，用于根據(jù)本終端的硬件和/或軟件環(huán)境確定安全程度信息；業(yè)務(wù)碼生成單元，用于采用第一用戶賬戶信息和安全程度信息，按照預(yù)定格式生成業(yè)務(wù)碼。由以上技術(shù)方案可見(jiàn)，本申請(qǐng)的實(shí)施例中，第一用戶終端在生成的業(yè)務(wù)碼中攜帶由本終端的硬件和/或軟件環(huán)境決定的安全程度信息，在第二用戶終端將第一用戶終端生成的業(yè)務(wù)碼在業(yè)務(wù)請(qǐng)求中上傳給服務(wù)器后，服務(wù)器根據(jù)安全程度信息來(lái)對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行驗(yàn)證，從而能夠針對(duì)用戶終端本身具有的安全性來(lái)采用對(duì)應(yīng)的驗(yàn)證標(biāo)準(zhǔn)，既能為安全性較差的終端用戶提供更多保障，又能為安全性較強(qiáng)的終端用戶提供更多便利。附圖說(shuō)明圖1是本申請(qǐng)實(shí)施例應(yīng)用場(chǎng)景的一種網(wǎng)絡(luò)結(jié)構(gòu)圖；圖2是本申請(qǐng)實(shí)施例中一種應(yīng)用應(yīng)用在服務(wù)器上，基于業(yè)務(wù)碼的驗(yàn)證方法的流程圖；圖3是本申請(qǐng)實(shí)施例中一種應(yīng)用在第二用戶的終端上，基于業(yè)務(wù)碼的驗(yàn)證方法的流程圖；圖4是本申請(qǐng)實(shí)施例中一種應(yīng)用在第一用戶的終端上，生成業(yè)務(wù)碼的方法的流程圖；圖5是本申請(qǐng)應(yīng)用示例中一種終端與服務(wù)器之間的交互流程圖；圖6是終端或服務(wù)器的一種硬件結(jié)構(gòu)圖；圖7是本申請(qǐng)實(shí)施例中一種應(yīng)用在服務(wù)器上，基于業(yè)務(wù)碼的驗(yàn)證裝置的邏輯結(jié)構(gòu)圖；圖8是本申請(qǐng)實(shí)施例中一種應(yīng)用在第二用戶的終端上，基于業(yè)務(wù)碼的驗(yàn)證裝置的邏輯結(jié)構(gòu)圖；圖9是本申請(qǐng)實(shí)施例中一種應(yīng)用在第一用戶的終端上，生成業(yè)務(wù)碼的裝 置的邏輯結(jié)構(gòu)圖。具體實(shí)施方式本申請(qǐng)的實(shí)施例提出一種新的業(yè)務(wù)碼的生成方法，和一種新的基于業(yè)務(wù)碼的驗(yàn)證方法，終端在生成業(yè)務(wù)碼時(shí)，在業(yè)務(wù)碼中攜帶根據(jù)硬件和/或軟件環(huán)境確定的安全程度信息，服務(wù)器可以基于終端的安全程度信息來(lái)對(duì)帶有該業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求適用不同的驗(yàn)證標(biāo)準(zhǔn)，以解決現(xiàn)有技術(shù)中存在的問(wèn)題。本申請(qǐng)實(shí)施例應(yīng)用場(chǎng)景的一種網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，第二用戶的終端與提供業(yè)務(wù)服務(wù)的業(yè)務(wù)系統(tǒng)的服務(wù)器通過(guò)網(wǎng)絡(luò)相互可訪問(wèn)，第一用戶的終端可以向第二用戶的終端提供業(yè)務(wù)碼，第二用戶的終端能夠以相應(yīng)的手段獲得第一用戶的終端提供的業(yè)務(wù)碼。其中，第一用戶或第二用戶的終端可以是任何具有計(jì)算、存儲(chǔ)和通信能力的設(shè)備，例如可穿戴設(shè)備、手機(jī)、平板電腦、pc(personalcomputer，個(gè)人電腦)、筆記本等；業(yè)務(wù)碼包括條碼(如二維碼、條形碼)、聲波碼、nfc(nearfieldcommunication，近場(chǎng)通信)碼等，相應(yīng)的獲取業(yè)務(wù)碼的手段包括掃描、接收聲波、感應(yīng)等；服務(wù)器可以是一個(gè)物理或邏輯服務(wù)器，也可以是由兩個(gè)或兩個(gè)以上分擔(dān)不同職責(zé)的物理或邏輯服務(wù)器、相互協(xié)同來(lái)實(shí)現(xiàn)本申請(qǐng)實(shí)施例中服務(wù)器的各項(xiàng)功能。本申請(qǐng)實(shí)施例對(duì)終端、服務(wù)器的種類，以及第二用戶的終端與服務(wù)器之間通信網(wǎng)絡(luò)的類型、協(xié)議等均不做限定。另外，在一些應(yīng)用場(chǎng)景中，第一用戶的終端也可以通過(guò)通信網(wǎng)絡(luò)與服務(wù)器相互訪問(wèn)。本申請(qǐng)實(shí)施例中，基于業(yè)務(wù)碼的驗(yàn)證方法在服務(wù)器上的流程如圖2所示，在第二用戶的終端上的流程如圖3所示；生成驗(yàn)證碼的方法在第一用戶的終端上的流程如圖4所示。其中，第一用戶和第二用戶在業(yè)務(wù)系統(tǒng)的服務(wù)器上注冊(cè)有各自的用戶賬戶。在第一用戶的終端上，步驟410，根據(jù)本終端的硬件和/或軟件環(huán)境確定安全程度信息。第一用戶的終端在收到用戶生成業(yè)務(wù)碼的指令后，提取本終端的硬件信 息和/或軟件信息，按照預(yù)置的算法確定安全程度信息。可以根據(jù)實(shí)際應(yīng)用場(chǎng)景的需要，來(lái)選擇用于確定安全程度信息的終端硬件和/或軟件信息、以及產(chǎn)生安全程度信息的具體算法，本申請(qǐng)的實(shí)施例不做限定。以下舉例說(shuō)明。第一個(gè)例子中，可以為終端可能具備的各種安全硬件設(shè)施，和/或安全軟件預(yù)置對(duì)應(yīng)的分值，如果用戶在指令生成業(yè)務(wù)碼的過(guò)程中將會(huì)受益于某個(gè)安全硬件設(shè)施或安全軟件，則將這些硬件設(shè)施或軟件對(duì)應(yīng)的分值進(jìn)行加總，以其總和作為安全程度信息。例如，用戶需要以指紋解鎖終端，則加4分；用戶在生成業(yè)務(wù)碼時(shí)需要驗(yàn)證虹膜，則加6分；終端安裝有安全軟件，加3分，等等。此外，完成相同功能的不同的安全硬件設(shè)施、和/或安全軟件可以對(duì)應(yīng)于不同的分值。第二個(gè)例子中，可以根據(jù)生成業(yè)務(wù)碼的客戶端軟件所采用的終端安全硬件設(shè)施、和/或所采用的操作系統(tǒng)的安全策略來(lái)確定安全程度信息，具體的方式可以參照第一個(gè)例子，不再贅述。第三個(gè)例子中，第一用戶在業(yè)務(wù)系統(tǒng)中將其終端與其賬戶進(jìn)行綁定時(shí)，由服務(wù)器或第一用戶終端生成第一用戶賬戶的用戶端密鑰和服務(wù)端密鑰(這兩個(gè)密鑰相同或相對(duì)應(yīng))，用戶端密鑰保存在終端上，服務(wù)端密鑰保存在服務(wù)器可以獲取的某個(gè)網(wǎng)絡(luò)位置。在生成業(yè)務(wù)碼時(shí)，終端采用本地保存的用戶端密鑰對(duì)業(yè)務(wù)碼中至少一個(gè)組成部分進(jìn)行加密。這樣，用戶端密鑰的存儲(chǔ)安全性將對(duì)業(yè)務(wù)安全性具有重要的影響，可以按照本終端保存用戶端密鑰的硬件和/或軟件的安全措施來(lái)確定安全程度信息。例如，可以將幾個(gè)安全級(jí)別來(lái)作為安全程度信息，當(dāng)本終端保存用戶端密鑰的位置采取了某項(xiàng)硬件安全措施時(shí)，對(duì)應(yīng)于第一安全級(jí)別；當(dāng)本終端保存用戶端密鑰的位置為操作系統(tǒng)實(shí)施某項(xiàng)軟件安全策略的存儲(chǔ)位置時(shí)，對(duì)應(yīng)于第二安全級(jí)別；當(dāng)本終端保存用戶端密鑰的位置未采取安全措施時(shí)，對(duì)應(yīng)于第三安全級(jí)別；等等。在第一用戶的終端上，步驟420，采用第一用戶賬戶信息和安全程度信息，按照預(yù)定格式生成業(yè)務(wù)碼。用戶賬戶信息包括至少一種可以由服務(wù)器唯一確定所對(duì)應(yīng)的用戶賬戶的 信息，例如用戶在業(yè)務(wù)系統(tǒng)注冊(cè)的郵箱、用戶名、手機(jī)號(hào)碼、昵稱、業(yè)務(wù)系統(tǒng)為用戶分配的用戶唯一編碼等；此外還可以包括該用戶賬戶的其他信息，如用戶類型等等。除第一用戶賬戶信息和安全程度信息外，還可以采用其他的信息來(lái)生成業(yè)務(wù)碼，例如本終端的設(shè)備標(biāo)識(shí)、當(dāng)前本終端的位置信息、終端上安全傳感器的標(biāo)識(shí)中的一種到多種?？梢圆捎脤⑸鲜龈鞣N信息加密后的密文來(lái)生成業(yè)務(wù)碼?？梢园凑諏?shí)際應(yīng)用場(chǎng)景的需求來(lái)選擇加密的信息、加密方式和所采用的密鑰，本申請(qǐng)的實(shí)施例不做限定。在一個(gè)例子中，終端上保存有第一用戶賬戶的用戶端密鑰，在確定安全程度信息后，終端按照預(yù)定算法生成隨機(jī)密鑰，采用以隨機(jī)密鑰對(duì)安全程度信息(或安全程度信息和其他業(yè)務(wù)碼攜帶的信息)進(jìn)行加密后的密文、和以第一用戶賬戶的用戶端密鑰對(duì)隨機(jī)密鑰進(jìn)行加密后的密文，按照預(yù)定格式生成業(yè)務(wù)碼。這樣，業(yè)務(wù)碼被上傳到服務(wù)器后，服務(wù)器可以根據(jù)第一用戶賬戶信息獲取與其用戶端密鑰相同或相對(duì)應(yīng)的服務(wù)端密鑰，采用服務(wù)端密鑰對(duì)業(yè)務(wù)碼中的隨機(jī)密鑰密文進(jìn)行解密，得到隨機(jī)密鑰后，用該隨機(jī)密鑰對(duì)業(yè)務(wù)碼中的安全程度信息進(jìn)行解密。業(yè)務(wù)碼的預(yù)定格式可以根據(jù)業(yè)務(wù)碼的種類、業(yè)務(wù)類型和實(shí)際需求確定。例如，一種業(yè)務(wù)碼的格式可以如表1所示：taguiddeviceidverifytoken表1表1中，tag為2位(bit)的業(yè)務(wù)標(biāo)識(shí)，用來(lái)表示業(yè)務(wù)碼用于哪種類型的業(yè)務(wù)；uid為10字節(jié)(byte)的用戶賬戶信息；deviceid為20字節(jié)的終端設(shè)備信息；verifytoken為6位的驗(yàn)證憑證，是將uid和deviceid輸入預(yù)定摘要算法后得到的摘要信息，預(yù)定摘要算法可以是hotp(hmac-basedone-timepasswordalgorithm，基于密鑰相關(guān)的哈希運(yùn)算消息認(rèn)證碼hmac的一次性口令算法)、totp(time-basedone-timepasswordalgorithm，基于時(shí)間的一次性密碼算法)等等。20字節(jié)deviceid的格式如表2所示：表2表2中，version為2字節(jié)的版本號(hào)，用來(lái)表示deviceid的格式版本；安全廠商為2字節(jié)的本終端上安全硬件的廠商標(biāo)識(shí)；sensor廠商為2字節(jié)的本終端上安全傳感器的廠商標(biāo)識(shí)；算法廠商為2字節(jié)的本終端上安全識(shí)別算法的廠商標(biāo)識(shí)，安全識(shí)別算法用來(lái)對(duì)傳感器的輸出進(jìn)行識(shí)別和判定(如識(shí)別指紋傳感器輸出的是否是終端用戶的指紋、虹膜傳感器輸出的是否與預(yù)存的虹膜圖像相匹配等)；終端廠商為2字節(jié)的本終端的廠商標(biāo)識(shí)；hdid為4字節(jié)的由終端廠商提供的本終端的唯一標(biāo)識(shí)，在同一個(gè)廠商出產(chǎn)的所有終端中唯一對(duì)應(yīng)于本終端；seclevel為2字節(jié)的安全程度信息；lbs為4字節(jié)的當(dāng)前本終端的位置信息，用來(lái)表示在生成本業(yè)務(wù)碼時(shí)，本終端所在的位置。在按照上述格式生成業(yè)務(wù)碼時(shí)，終端可以先獲取表1和表2中每個(gè)字段的值，按照表1和表2的格式將這些字段值組合后得到業(yè)務(wù)碼的基礎(chǔ)數(shù)據(jù)；再采用按照預(yù)定算法生成的隨機(jī)密鑰，對(duì)至少部分基礎(chǔ)數(shù)據(jù)以隨機(jī)密鑰進(jìn)行加密(例如可以對(duì)deviceid和verifytoken加密、或?qū)ag、uid、deviceid和verifytoken加密、或?qū)did、seclevel和lbs加密等等)；然后以第一用戶賬戶的用戶端密鑰對(duì)隨機(jī)密鑰進(jìn)行加密；將至少部分內(nèi)容加密后的基礎(chǔ)數(shù)據(jù)、隨機(jī)密鑰密文組合成業(yè)務(wù)碼。在第一用戶的終端生成業(yè)務(wù)碼后，采用與業(yè)務(wù)碼的種類相匹配的方式，向第二用戶的終端提供該業(yè)務(wù)碼，例如顯示二維碼或條形碼供第二用戶的終端掃描，發(fā)送聲波碼、與第二用戶的終端進(jìn)行近場(chǎng)感應(yīng)以傳遞nfc碼，以便第二用戶的終端能夠在發(fā)送給服務(wù)器的業(yè)務(wù)請(qǐng)求中將業(yè)務(wù)碼上傳給服務(wù)器，從而可以由服務(wù)器根據(jù)第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。在第二用戶的終端上，步驟310，從第一用戶終端獲取業(yè)務(wù)碼。第二用戶的終端所獲取的業(yè)務(wù)碼中攜帶有第一用戶賬戶信息和安全程度信息，其中安全程度信息由第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定。在第二用戶的終端上，步驟320，將包括該業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求發(fā)送給服務(wù)器，供服務(wù)器根據(jù)業(yè)務(wù)碼攜帶的第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。在服務(wù)器上，步驟210，接收第二用戶終端發(fā)送的包括業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求。第二用戶的終端在從第一用戶的終端獲得業(yè)務(wù)碼后，采用業(yè)務(wù)碼和第二用戶賬戶信息業(yè)務(wù)請(qǐng)求生成業(yè)務(wù)請(qǐng)求，發(fā)送給服務(wù)器。第二用戶的終端可以將本終端的設(shè)備標(biāo)識(shí)封裝在業(yè)務(wù)請(qǐng)求中發(fā)送給服務(wù)器，以便服務(wù)器根據(jù)設(shè)備標(biāo)識(shí)來(lái)對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全認(rèn)證。設(shè)備標(biāo)識(shí)可以是第二用戶終端的硬件識(shí)別碼，如uuid(universallyuniqueidentifier，通用唯一識(shí)別碼)、終端序列號(hào)等；也可以是終端的硬件地址，如mac(mediaaccesscontrol，媒體接入控制)地址、藍(lán)牙地址等；還可以是表2中廠商標(biāo)識(shí)與本終端的唯一標(biāo)識(shí)的組合；通常設(shè)備標(biāo)識(shí)與在綁定終端與第二用戶賬戶時(shí)向服務(wù)器提供的設(shè)備標(biāo)識(shí)相同。如果業(yè)務(wù)碼中攜帶有第一用戶的終端在生成該業(yè)務(wù)碼時(shí)的位置信息，第二用戶的終端可以將生成業(yè)務(wù)請(qǐng)求時(shí)本終端的位置信息封裝在業(yè)務(wù)請(qǐng)求中發(fā)送給服務(wù)器，這樣服務(wù)器可以根據(jù)第二用戶終端的位置信息和第一終端的位置信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。在服務(wù)器上，步驟220，根據(jù)業(yè)務(wù)碼中攜帶的第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。在收到來(lái)自第二用戶終端的業(yè)務(wù)請(qǐng)求后，服務(wù)器提取其中的業(yè)務(wù)碼，按照與第一用戶的終端生成業(yè)務(wù)碼的方式相匹配的方式解析業(yè)務(wù)碼，得到第一用戶賬戶信息、安全程度信息以及其他業(yè)務(wù)碼攜帶的信息。本領(lǐng)域技術(shù)人員可以根據(jù)前述生成業(yè)務(wù)碼的具體方式來(lái)得出服務(wù)器解析業(yè)務(wù)碼的方式，不再贅述?？梢詤⒖紝?shí)際應(yīng)用場(chǎng)景中業(yè)務(wù)對(duì)安全性的要求度、用戶對(duì)安全性的要求度、業(yè)務(wù)的其他特征等因素，來(lái)決定根據(jù)業(yè)務(wù)碼中的安全程度信息來(lái)驗(yàn)證的具體方式，本申請(qǐng)的實(shí)施例不做限定。例如，可以當(dāng)業(yè)務(wù)碼中的安全程度信息低于某個(gè)閾值時(shí)，拒絕本次業(yè)務(wù)請(qǐng)求；再如，可以令不同的安全程度信息采用不同的驗(yàn)證方式，較低的安全程度信息對(duì)應(yīng)于較嚴(yán)格的驗(yàn)證方式；此外，還可以針對(duì)不同的用戶類型設(shè)置不同的驗(yàn)證方式，或者允許用戶自行設(shè)置其不同安全程度信息要采取的驗(yàn)證方式。在一種實(shí)現(xiàn)方式中，業(yè)務(wù)碼中以安全級(jí)別來(lái)作為安全程度信息，并且在業(yè)務(wù)請(qǐng)求中包括所請(qǐng)求業(yè)務(wù)的業(yè)務(wù)額度?？梢詫?duì)不同的安全級(jí)別預(yù)設(shè)所允許的業(yè)務(wù)額度，服務(wù)器查詢業(yè)務(wù)碼攜帶的安全級(jí)別對(duì)應(yīng)的所允許的業(yè)務(wù)額度，如果業(yè)務(wù)請(qǐng)求中的業(yè)務(wù)額度超過(guò)了這一額度，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。服務(wù)器還可以從業(yè)務(wù)請(qǐng)求中提取第二用戶賬戶信息和其他與第二用戶賬戶或第二用戶的終端相關(guān)的信息，并利用這些信息、以及從業(yè)務(wù)碼中解析出的其他信息來(lái)對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行驗(yàn)證。以下舉例說(shuō)明。如果業(yè)務(wù)碼中攜帶有第一用戶終端的設(shè)備標(biāo)識(shí)，服務(wù)器在從業(yè)務(wù)碼中解析出第一用戶終端的設(shè)備標(biāo)識(shí)后，可以采用該設(shè)備標(biāo)識(shí)查找與第一用戶賬戶綁定的終端設(shè)備中是否有第一用戶的終端，如果沒(méi)有，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。與某個(gè)用戶賬戶綁定的終端設(shè)備可以是一個(gè)到多個(gè)。如果業(yè)務(wù)請(qǐng)求中包括第二用戶終端的設(shè)備標(biāo)識(shí)，服務(wù)器可以采用該設(shè)備標(biāo)識(shí)查找與第二用戶賬戶綁定的終端設(shè)備中是否有第二用戶的終端，如果沒(méi)有，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。如果業(yè)務(wù)碼中攜帶有第一用戶終端在生成業(yè)務(wù)碼時(shí)的位置信息，服務(wù)器在從業(yè)務(wù)碼中解析出第一用戶終端的位置信息后，可以將其與第一用戶賬戶的可信地理區(qū)域進(jìn)行比對(duì)，如果超出可信地理區(qū)域，則該業(yè)務(wù)請(qǐng)求不能通過(guò)驗(yàn)證。第一用戶賬戶的可信地理區(qū)域可以由服務(wù)器根據(jù)第一用戶賬戶的歷史活動(dòng)區(qū)域自動(dòng)生成，也可以由第一用戶自行設(shè)置。如果業(yè)務(wù)碼中攜帶有第一用戶終端在生成業(yè)務(wù)碼時(shí)的位置信息，并且業(yè)務(wù)請(qǐng)求中包括第二用戶終端的位置信息，服務(wù)器可以比較第一用戶終端的位置信息與第二用戶終端的位置信息之間的距離，如果超過(guò)預(yù)置的距離閾值，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。上述各種驗(yàn)證方式可以分別采用，也可以結(jié)合采用。可見(jiàn)，本申請(qǐng)的實(shí)施例中，第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定安全程度信息，在生成的業(yè)務(wù)碼中攜帶該安全程度信息，服務(wù)器可以從第二終端發(fā)送的業(yè)務(wù)請(qǐng)求中獲取業(yè)務(wù)碼，根據(jù)安全程度信息來(lái)對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行驗(yàn)證，從而能夠針對(duì)用戶終端本身具有的安全性來(lái)采用對(duì)應(yīng)的驗(yàn)證標(biāo)準(zhǔn)，既能為安全性較差的終端用戶提供更多保障，又能為安全性較強(qiáng)的終端用戶提供更多便利。在本申請(qǐng)的一個(gè)應(yīng)用示例中，消費(fèi)用戶(第一用戶)通過(guò)其在第三方支付系統(tǒng)中的賬戶向收單商戶(第二用戶)的賬戶進(jìn)行支付，消費(fèi)用戶的終端(消費(fèi)終端)、收單商戶的終端(收單終端)與第三方支付系統(tǒng)的服務(wù)器之間的交互流程如圖5所示。第三方支付系統(tǒng)的每個(gè)用戶賬戶都綁定有一個(gè)到多個(gè)終端設(shè)備(以終端標(biāo)識(shí)來(lái)識(shí)別)，并且在綁定每個(gè)終端設(shè)備的過(guò)程中，服務(wù)器與該終端設(shè)備上分別保存了該用戶賬戶的公鑰(服務(wù)端密鑰)和私鑰(用戶端密鑰)。在收到消費(fèi)用戶的支付指令后，消費(fèi)終端根據(jù)保存消費(fèi)用戶私鑰的存儲(chǔ)位置的硬件和軟件安全措施確定安全級(jí)別，獲取當(dāng)前的地理位置信息，從設(shè)備硬件獲取終端唯一標(biāo)識(shí)，根據(jù)表1和表2的格式組裝支付二維碼的基礎(chǔ)數(shù)據(jù)。消費(fèi)終端按照預(yù)定的對(duì)稱密鑰算法得到隨機(jī)對(duì)稱密鑰，以隨機(jī)對(duì)稱密鑰采用aes256(advancedencryptionstandard256，256位高級(jí)加密標(biāo)準(zhǔn))算法的cdc(cipherblockchaining，加密塊鏈)模式對(duì)基礎(chǔ)數(shù)據(jù)進(jìn)行加密，得到基礎(chǔ)數(shù)據(jù)的密文。消費(fèi)終端以消費(fèi)用戶賬戶的私鑰對(duì)隨機(jī)對(duì)稱密鑰進(jìn)行加密，并且將基礎(chǔ)數(shù)據(jù)的密文和隨機(jī)對(duì)稱密鑰的密文組合后生成支付二維碼。消費(fèi)終端將支付二維碼顯示在屏幕上，供收單終端掃描。收單終端掃描得到消費(fèi)終端的支付二維碼，獲取本終端所在的地理位置信息，將本終端的設(shè)備標(biāo)識(shí)、本終端的地理位置信息、支付額度和支付二維碼封裝在支付請(qǐng)求中，發(fā)送給服務(wù)器。服務(wù)器收到支付請(qǐng)求，從中提取支付二維碼、支付額度、收費(fèi)終端的設(shè)備標(biāo)識(shí)和收費(fèi)終端的地理位置信息。對(duì)支付二維碼，服務(wù)器查找該消費(fèi)用戶賬戶的公鑰，以該公鑰對(duì)隨機(jī)對(duì)稱密鑰的密文進(jìn)行解密，再用得到的隨機(jī)對(duì)稱密鑰對(duì)支付二維碼的基礎(chǔ)數(shù)據(jù)密文進(jìn)行解密，得到按照表1和表2格式組裝的各項(xiàng)信息，其中包括安全級(jí)別、消費(fèi)終端的設(shè)備標(biāo)識(shí)和消費(fèi)終端的地理位置信息。服務(wù)器確認(rèn)消費(fèi)終端的設(shè)備標(biāo)識(shí)是否是消費(fèi)用戶賬戶綁定終端的設(shè)備標(biāo)識(shí)，以及收單終端的設(shè)備標(biāo)識(shí)是否是收單用戶賬戶綁定終端的設(shè)備標(biāo)識(shí)，如果至少有一方不是，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。服務(wù)器將消費(fèi)終端的地理位置信息與消費(fèi)用戶賬戶的可信地理區(qū)域進(jìn)行比對(duì)，如果消費(fèi)終端的地理位置不在該可信區(qū)域內(nèi)，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。消費(fèi)用戶賬戶的可信地理區(qū)域由服務(wù)器根據(jù)該消費(fèi)用戶的歷史地理位置記錄生成，只有在某個(gè)用戶賬戶累計(jì)了一定的歷史地理位置記錄后，服務(wù)器生成可信地理區(qū)域后才據(jù)驗(yàn)證業(yè)務(wù)請(qǐng)求的安全性，當(dāng)某個(gè)用戶賬戶尚無(wú)歷史地理位置記錄時(shí)，不采用可信地理區(qū)域作為業(yè)務(wù)請(qǐng)求的驗(yàn)證依據(jù)。服務(wù)器計(jì)算消費(fèi)終端的地理位置信息與收單終端的地理位置信息之間的距離，如果超過(guò)預(yù)設(shè)的距離閾值，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。服務(wù)器獲取預(yù)設(shè)的對(duì)應(yīng)于安全級(jí)別的允許支付額度，如果本次業(yè)務(wù)請(qǐng)求的支付額度超過(guò)允許支付額度，則該業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證。不同的用戶賬戶可以有相同或不同的允許支付額度。在業(yè)務(wù)請(qǐng)求通過(guò)安全驗(yàn)證后，服務(wù)器按照支付額度，將消費(fèi)用戶賬戶中的款項(xiàng)劃轉(zhuǎn)到收單用戶賬戶中。服務(wù)器向消費(fèi)終端和收單終端發(fā)送支付成功的消息。對(duì)不能通過(guò)安全驗(yàn)證的業(yè)務(wù)請(qǐng)求，服務(wù)器向收單終端和消費(fèi)終端發(fā)送支付失敗的消息。與上述流程實(shí)現(xiàn)對(duì)應(yīng)，本申請(qǐng)的實(shí)施例還提供了一種應(yīng)用在服務(wù)器上基于業(yè)務(wù)碼的驗(yàn)證裝置、一種應(yīng)用在用戶終端上基于業(yè)務(wù)碼的驗(yàn)證、和一種應(yīng)用在用戶終端上生成業(yè)務(wù)碼的裝置。上述裝置均可以通過(guò)軟件實(shí)現(xiàn)，也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為邏輯意義上的裝置，是通過(guò)終端或服務(wù)器的cpu(centralprocessunit，中央處理器)將對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言，除了圖6所示的cpu、內(nèi)存以及非易失性存儲(chǔ)器之外，終端通常還包括用于進(jìn)行無(wú)線信號(hào)收發(fā)的芯片等其他硬件，服務(wù)器通常還包括用于實(shí)現(xiàn)網(wǎng)絡(luò)通信功能的板卡等其他硬件。圖7所示為本申請(qǐng)實(shí)施例提供的一種基于業(yè)務(wù)碼的驗(yàn)證裝置，應(yīng)用在服務(wù)器上，其特征在于，包括業(yè)務(wù)請(qǐng)求接收單元和安全程度驗(yàn)證單元，其中：業(yè)務(wù)請(qǐng)求接收單元用于接收第二用戶終端發(fā)送的包括業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求，所述業(yè)務(wù)碼攜帶有第一用戶賬戶信息和安全程度信息；所述安全程度信息由第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定；安全程度驗(yàn)證單元用于根據(jù)所述第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。可選的，所述安全程度信息包括：安全級(jí)別；所述業(yè)務(wù)請(qǐng)求中包括：業(yè)務(wù)額度；所述安全驗(yàn)證單元具體用于：根據(jù)所述安全級(jí)別確定所允許的業(yè)務(wù)額度，當(dāng)所述業(yè)務(wù)請(qǐng)求中的業(yè)務(wù)額度超過(guò)所允許的業(yè)務(wù)額度時(shí)，不能通過(guò)安全驗(yàn)證?？蛇x的，所述業(yè)務(wù)碼中還攜帶有第一用戶終端在生成所述業(yè)務(wù)碼時(shí)的位置信息；所述業(yè)務(wù)請(qǐng)求中還包括：第二用戶終端在發(fā)送所述業(yè)務(wù)請(qǐng)求時(shí)的位置信息；所述裝置還包括：位置信息驗(yàn)證單元，用于當(dāng)?shù)谝挥脩艚K端的位置信息與第二用戶終端的位置信息之間的距離超過(guò)距離閾值時(shí)，所述業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證；和/或，當(dāng)?shù)谝挥脩艚K端的位置信息超出第一用戶賬戶的可信地理區(qū)域時(shí)，所述業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證?？蛇x的，所述業(yè)務(wù)碼中還攜帶有第一用戶終端的設(shè)備標(biāo)識(shí)；所述業(yè)務(wù)請(qǐng)求中還包括：第二用戶終端的設(shè)備標(biāo)識(shí)；所述裝置還包括：設(shè)備標(biāo)識(shí)驗(yàn)證單 元，用于獲取第一用戶賬戶和第二用戶賬戶的綁定終端的設(shè)備標(biāo)識(shí)，如果第一用戶賬戶綁定終端的設(shè)備標(biāo)識(shí)不同于業(yè)務(wù)碼中第一用戶終端的設(shè)備標(biāo)識(shí)、或第二用戶賬戶綁定終端的設(shè)備標(biāo)識(shí)不同于業(yè)務(wù)請(qǐng)求中第二用戶終端的設(shè)備標(biāo)識(shí)，所述業(yè)務(wù)請(qǐng)求不能通過(guò)安全驗(yàn)證?？蛇x的，所述業(yè)務(wù)碼中攜帶的安全程度信息采用第一用戶終端生成的隨機(jī)密鑰進(jìn)行加密，所述業(yè)務(wù)碼還攜帶有以第一用戶賬戶的用戶端密鑰進(jìn)行加密后的隨機(jī)密鑰密文；所述裝置還包括：隨機(jī)密鑰解密單元，用于采用與第一用戶賬戶的用戶端密鑰相同或相對(duì)應(yīng)的服務(wù)端密鑰對(duì)業(yè)務(wù)碼中的隨機(jī)密鑰密文進(jìn)行解密，采用解密得到的隨機(jī)密鑰對(duì)業(yè)務(wù)碼中的安全程度信息進(jìn)行解密。圖8所示為本申請(qǐng)實(shí)施例提供的基于業(yè)務(wù)碼的驗(yàn)證裝置，應(yīng)用在第二用戶的終端上，其特征在于，包括業(yè)務(wù)碼獲取單元和業(yè)務(wù)請(qǐng)求發(fā)送單元，其中：業(yè)務(wù)碼獲取單元，用于從第一用戶的終端獲取業(yè)務(wù)碼，所述業(yè)務(wù)碼攜帶第一用戶賬戶信息和安全程度信息；所述安全程度信息由第一用戶終端根據(jù)其硬件和/或軟件環(huán)境確定；業(yè)務(wù)請(qǐng)求發(fā)送單元，用于將包括所述業(yè)務(wù)碼的業(yè)務(wù)請(qǐng)求發(fā)送給服務(wù)器，供服務(wù)器根據(jù)所述第一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證?？蛇x的，所述業(yè)務(wù)碼中還攜帶有第一用戶的終端在生成所述業(yè)務(wù)碼時(shí)的位置信息；所述業(yè)務(wù)請(qǐng)求中還包括：第二用戶終端在生成所述業(yè)務(wù)請(qǐng)求時(shí)的位置信息，供服務(wù)器根據(jù)所述第二用戶終端的位置信息和業(yè)務(wù)碼中第一終端的位置信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。可選的，所述業(yè)務(wù)請(qǐng)求中還包括：第二用戶終端的設(shè)備標(biāo)識(shí)，供服務(wù)器根據(jù)所述第二用戶終端的設(shè)備標(biāo)識(shí)對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證。圖9所示為本申請(qǐng)實(shí)施例提供的一種生成業(yè)務(wù)碼的裝置，應(yīng)用在第一用戶的終端上，包括安全程度確定單元和業(yè)務(wù)碼生成單元，其中：安全程度確定單元，用于根據(jù)本終端的硬件和/或軟件環(huán)境確定安全程度信息；業(yè)務(wù)碼生成單元，用于采用第一用戶賬戶信息和安全程度信息，按照預(yù)定格式生成業(yè) 務(wù)碼。一個(gè)例子中，所述業(yè)務(wù)碼中至少一個(gè)組成部分采用第一用戶賬戶的用戶端密鑰加密；所述用戶端密鑰與服務(wù)器可獲得的第一用戶賬戶的服務(wù)端密鑰相同或相對(duì)應(yīng)；所述安全程度信息包括：安全級(jí)別；所述安全程度確定單元具體用于：按照本終端保存所述用戶端密鑰的硬件和/或軟件的安全措施來(lái)確定安全級(jí)別。上述例子中，所述業(yè)務(wù)碼生成單元可以具體用于：根據(jù)預(yù)定算法生成隨機(jī)密鑰，采用以隨機(jī)密鑰對(duì)安全程度信息進(jìn)行加密后的密文、以第一用戶賬戶的用戶端密鑰對(duì)隨機(jī)密鑰進(jìn)行加密后的密文，按照預(yù)定格式生成業(yè)務(wù)碼?？蛇x的，所述業(yè)務(wù)碼生成單元具體用于：采用第一用戶賬戶信息、安全程度信息和當(dāng)前本終端的位置信息，按照預(yù)定格式生成業(yè)務(wù)碼。可選的，所述業(yè)務(wù)碼生成單元具體用于：采用第一用戶賬戶信息、安全程度信息和本終端的標(biāo)識(shí)，按照預(yù)定格式生成業(yè)務(wù)碼。可選的，所述預(yù)定格式包括：2字節(jié)的業(yè)務(wù)標(biāo)識(shí)、n字節(jié)的用戶賬戶信息、20字節(jié)的終端設(shè)備信息和6位的驗(yàn)證憑證，其中：業(yè)務(wù)標(biāo)識(shí)用來(lái)表示所述業(yè)務(wù)碼用于哪種業(yè)務(wù)類型；終端設(shè)備信息包括：2字節(jié)的版本號(hào)、2字節(jié)的本終端上安全硬件的廠商標(biāo)識(shí)、2字節(jié)的本終端上安全傳感器的廠商標(biāo)識(shí)、2字節(jié)的本終端上安全識(shí)別算法的廠商標(biāo)識(shí)、2字節(jié)的本終端的廠商標(biāo)識(shí)、4字節(jié)的由所述終端廠商提供的本終端的唯一標(biāo)識(shí)、2字節(jié)的安全程度信息和4字節(jié)的當(dāng)前本終端的位置信息；驗(yàn)證憑證為將用戶賬戶信息和終端設(shè)備信息輸入預(yù)定摘要算法后得到的摘要信息；所述業(yè)務(wù)碼生成單元按照預(yù)定格式生成業(yè)務(wù)碼，包括：按照所述預(yù)定格式組裝出業(yè)務(wù)碼的基礎(chǔ)數(shù)據(jù)后，根據(jù)預(yù)定算法生成隨機(jī)密鑰，采用以隨機(jī)密鑰對(duì)至少部分所述基礎(chǔ)數(shù)據(jù)進(jìn)行加密，再以第一用戶賬戶的用戶端密鑰對(duì)隨機(jī)密鑰進(jìn)行加密后，將至少部分加密的基礎(chǔ)數(shù)據(jù)和隨機(jī)密鑰的密文組合成業(yè)務(wù)碼?？蛇x的，所述裝置還包括：業(yè)務(wù)碼提供單元，用于向第二用戶終端提供所述業(yè)務(wù)碼，供其在業(yè)務(wù)請(qǐng)求中將業(yè)務(wù)碼上傳到服務(wù)器后，由服務(wù)器根據(jù)第 一用戶賬戶信息和安全程度信息對(duì)業(yè)務(wù)請(qǐng)求進(jìn)行安全驗(yàn)證?？蛇x的，所述業(yè)務(wù)碼包括：二維碼、條形碼、或近場(chǎng)通信nfc碼。以上所述僅為本申請(qǐng)的較佳實(shí)施例而已，并不用以限制本申請(qǐng)，凡在本申請(qǐng)的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。在一個(gè)典型的配置中，計(jì)算設(shè)備包括一個(gè)或多個(gè)處理器(cpu)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。內(nèi)存可能包括計(jì)算機(jī)可讀介質(zhì)中的非永久性存儲(chǔ)器，隨機(jī)存取存儲(chǔ)器(ram)和/或非易失性內(nèi)存等形式，如只讀存儲(chǔ)器(rom)或閃存(flashram)。內(nèi)存是計(jì)算機(jī)可讀介質(zhì)的示例。計(jì)算機(jī)可讀介質(zhì)包括永久性和非永久性、可移動(dòng)和非可移動(dòng)媒體可以由任何方法或技術(shù)來(lái)實(shí)現(xiàn)信息存儲(chǔ)。信息可以是計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計(jì)算機(jī)的存儲(chǔ)介質(zhì)的例子包括，但不限于相變內(nèi)存(pram)、靜態(tài)隨機(jī)存取存儲(chǔ)器(sram)、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(dram)、其他類型的隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、電可擦除可編程只讀存儲(chǔ)器(eeprom)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲(chǔ)器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學(xué)存儲(chǔ)、磁盒式磁帶，磁帶磁磁盤存儲(chǔ)或其他磁性存儲(chǔ)設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲(chǔ)可以被計(jì)算設(shè)備訪問(wèn)的信息。按照本文中的界定，計(jì)算機(jī)可讀介質(zhì)不包括暫存電腦可讀媒體(transitorymedia)，如調(diào)制的數(shù)據(jù)信號(hào)和載波。還需要說(shuō)明的是，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過(guò)程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒(méi)有明確列出的其他要素，或者是還包括為這種過(guò)程、方法、商品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過(guò)程、方法、商品或者設(shè)備中還存在另外的相同要素。本領(lǐng)域技術(shù)人員應(yīng)明白，本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)或計(jì)算機(jī)程 序產(chǎn)品。因此，本申請(qǐng)可采用完全硬件實(shí)施例、完全軟件實(shí)施例或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本申請(qǐng)可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、cd-rom、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。當(dāng)前第1頁(yè)12