支付处理方法、装置、电子设备及计算机可读存储介质与流程

1.本技术实施例涉及安全技术领域，具体而言，本技术涉及一种支付处理方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.随着科技的进步，当前的支付方式也日趋多样化，给人们的生活带了极大的便利。其中，移动支付已是如今最受欢迎的支付方式之一。移动支付是指用户通过移动终端，利用互联网与无线通信等技术对消费的商品或服务进行账务支付。
3.传统的移动支付可以通过密钥库(例如安全密钥库)系统来保护密钥材料免遭未经授权的使用。然而，本技术实施例的发明人在具体实现过程中，发现：密钥库在生成或导入密钥时，会通过支付应用指定密钥的授权使用方式，一旦生成或导入密钥，其授权将无法更改，每次使用密钥时都由密钥库强制执行授权，是一个支付应用维度的密钥机制，致使支付应用在支付设备上发生了卸载、重装、或支付设备恢复出厂设置后再次安装支付应用时，支付应用的授权会被重置，从而失去对密钥的获取权力，进而对移动支付造成极大安全隐患，造成用户的利益损失。


技术实现要素：

4.本技术实施例的目的旨在至少能解决上述的技术缺陷之一，特提出以下技术方案：
5.一方面，提供了一种支付处理方法，应用于支付应用，包括：
6.获取到支付指令时，获取支付设备的设备私钥，并根据设备私钥生产支付设备的设备凭证，支付设备是支付应用所在的设备，设备私钥预存储于支付设备的预先增设的支付区域中；
7.向支付应用的后台服务器发送支付请求，支付请求中包括设备凭证，以使得后台服务器基于设备凭证对支付设备进行验证。
8.一方面，提供了一种支付处理方法，应用于支付应用的后台服务器，包括：
9.接收支付应用发起的支付请求，其中，支付请求包括支付应用所在支付设备的设备凭证，设备凭证是根据支付设备的设备私钥生成的，设备私钥预存储于支付设备的预先增设的支付应用对应的支付区域中；
10.基于设备凭证对支付设备进行验证，并当支付设备通过验证时，对支付请求进行支付处理。
11.一方面，提供了一种支付处理装置，包括：
12.第一处理模块，用于获取到支付指令时，获取支付设备的设备私钥，并根据设备私钥生产支付设备的设备凭证，支付设备是支付应用所在的设备，设备私钥预存储于支付设备的预先增设的支付区域中；
13.发送模块，用于向支付应用的后台服务器发送支付请求，支付请求中包括设备凭
证，以使得后台服务器基于设备凭证对支付设备进行验证。
14.在一种可能的实现方式中，该装置还包括第二处理模块，第二处理模块用于：
15.在支付设备的存储区域中增设支付应用对应的支付区域；
16.通过混淆白盒中的密钥存放逻辑，将设备私钥存放在白盒加密文件中，并将白盒加密文件存储于支付区域中。
17.在一种可能的实现方式中，该装置还包括第三处理模块，第三处理模块用于：
18.将支付设备的设备公钥存储于支付应用的云端服务器中；
19.建立设备私钥与设备公钥之间的对应关系，以使得后台服务器基于对应关系获取设备公钥，并根据设备公钥与设备凭证，对支付设备进行验证，设备私钥与设备公钥是对称密钥。
20.一方面，提供了一种支付处理装置，包括：
21.接收模块，用于接收支付应用发起的支付请求，其中，支付请求包括支付应用所在支付设备的设备凭证，设备凭证是根据支付设备的设备私钥生成的，设备私钥预存储于支付设备的预先增设的支付应用对应的支付区域中；
22.处理模块，用于基于设备凭证对支付设备进行验证，并当支付设备通过验证时，对支付请求进行支付处理。
23.在一种可能的实现方式中，处理模块在基于设备凭证对支付设备进行验证时，用于：
24.基于设备私钥与支付设备的设备公钥之间预先建立的对应关系，获取支付设备的设备公钥，设备公钥预存储于支付应用的云端服务器中，设备私钥与设备公钥是对称密钥；
25.根据设备公钥与设备凭证，对支付设备进行验证。
26.在一种可能的实现方式中，处理模块在根据设备公钥与设备凭证，对支付设备进行验证时，用于：
27.通过设备公钥对设备凭证进行解密；
28.当设备公钥对设备凭证解密成功时，确定支付设备通过验证；
29.当设备公钥对设备凭证解密失败时，确定支付设备未通过验证。
30.在一种可能的实现方式中，设备私钥是通过混淆白盒中的密钥存放逻辑存放在白盒加密文件中的，白盒加密文件预存储于支付设备的预先增设的支付应用对应的支付区域中。
31.一方面，提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现上述的支付处理方法。
32.一方面，提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现上述的支付处理方法。
33.本技术实施例提供的支付处理方法，在支付设备中增设支付区域，使得支付区域对应的支付应用方可对该支付区域进行写入操作与读取操作，确保了访问的安全性，将支付设备的设备私钥预存储于支付设备的支付区域中，实现了设备维度的密钥，使得密钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，并且不可被导出和篡改，从而脱离了支付应用的生命周期，此外，可以根据该设备私钥为支付设备生成唯一的设备凭证，且此设备凭证不可篡改、符合对支付设备的唯一性要求，使得支付应用的后台服务器在进
行支付处理前，能够准确、有效地验证支付设备的合法性，确保支付安全，避免对用户造成利益损失。
34.本技术实施例附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本技术的实践了解到。
附图说明
35.本技术实施例上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
36.图1为本技术一个实施例的支付处理方法的流程示意图；
37.图2为本技术一个实施例的增加支付区域的示意图；
38.图3为本技术一个实施例的存储白盒加密文件的示意图；
39.图4为本技术一个实施例的建立设备私钥与设备公钥的对应关系的示意图；
40.图5为本技术又一实施例的支付处理方法的流程示意图；
41.图6为本技术又一实施例的支付处理装置的基本结构示意图；
42.图7为本技术另一实施例的支付处理装置的详细结构示意图；
43.图8为本技术另一实施例的电子设备的结构示意图。
具体实施方式
44.下面详细描述本技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本技术，而不能解释为对本技术的限制。
45.本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本技术的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
46.云技术(cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。
47.云技术(cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称，可以组成资源池，按需所用，灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有可能存在自己的识别标志，都需要传输到后台系统进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的系统后盾支撑，只能通过云计算来实现。
48.云安全(cloud security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意
程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
49.云安全主要研究方向包括：1.云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2.安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3.云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。
50.云存储(cloud storage)是在云计算概念上延伸和发展出来的一个新的概念，分布式云存储系统(以下简称存储系统)是指通过集群应用、网格技术以及分布存储文件系统等功能，将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作，共同对外提供数据存储和业务访问功能的一个存储系统。
51.目前，存储系统的存储方法为：创建逻辑卷，在创建逻辑卷时，就为每个逻辑卷分配物理存储空间，该物理存储空间可能是某个存储设备或者某几个存储设备的磁盘组成。客户端在某一逻辑卷上存储数据，也就是将数据存储在文件系统上，文件系统将数据分成许多部分，每一部分是一个对象，对象不仅包含数据而且还包含数据标识(id，identity)等额外的信息，文件系统将每个对象分别写入该逻辑卷的物理存储空间，且文件系统会记录每个对象的存储位置信息，从而当客户端请求访问数据时，文件系统能够根据每个对象的存储位置信息让客户端对数据进行访问。
52.存储系统为逻辑卷分配物理存储空间的过程，具体为：按照对存储于逻辑卷的对象的容量估量(该估量往往相对于实际要存储的对象的容量有很大余量)和独立冗余磁盘阵列(raid，redundant array of independent disk)的组别，预先将物理存储空间划分成分条，一个逻辑卷可以理解为一个分条，从而为逻辑卷分配了物理存储空间。
53.为了更好的理解及说明本技术实施例的方案，下面对本技术实施例中所涉及到的一些技术用语进行简单说明。
54.白盒：即攻击者已经完全控制了整个操作过程且对其完全可见，攻击者可以自如地观察动态密码运行过程，并且内部算法的详细内容完全可见，可随意更改。例如，只要软件是在本地运行的，攻击者就可以通过调试器运行程序，并观察软件运行的过程。所有涉及解密部分的代码也就一览无余了。定义如下：a、攻击者对主机和软件具有完全控制权；b、软件动态执行过程是可见的；c、加密算法内部细节完全可见、可修改。
55.黑盒：与白盒相对，攻击者并未实质性地接触到密钥(即执行加密或者解密的算法)或者任何内部操作，仅仅能观察到一些外部信息或者操作，这些信息包括系统内的明文(输入)或者密文(输出)，并且认为代码执行以及动态加密不可被观察。
56.灰盒：灰盒认为攻击者可以实质性地接触到部分密钥或者泄露的信息(也就是所谓的边信道信息)。边信道分析攻击(side channel analysis,sca)利用了密码系统运行过程中泄露的信息。泄露信息是通过被动观察时间信息、功率消耗、电磁辐射等获取到的。
57.混淆：意思就是让人看不懂，通过对信息进行扰乱，使得信息以一种完全无法理解
的形式存在，让人无法理解中间的过程(也就是只能看到输入和输出，但无法理解结果是如何得到的)，但不影响信息本身发挥作用。
58.白盒加密：白盒加密属于对称加密，是指能够在白盒环境下抵御攻击的一种特殊的加密方法，核心思想是把对称密钥混淆在白盒逻辑中，让人无法猜测。
59.android keystore(安卓密钥库)系统：可以保护密钥材料免遭未经授权的使用。首先，android keystore可以防止从应用进程和安卓设备中整体提取密钥材料，从而避免了在安卓设备之外以未经授权的方式使用密钥材料。其次，android keystore可以让应用指定密钥的授权使用方式，并在应用进程之外强制实施这些限制，从而避免了在安卓设备上以未经授权的方式使用密钥材料。
60.tee(trusted execution environment,可信执行环境)：tee是与设备上的rich os(富操作系统)并存的运行环境，并且给rich os提供安全服务；它具有其自身的执行空间，比rich os的安全级别更高。
61.se(security unit,安全单元)：是独立的安全硬件，由于其是完全独立的安全硬件芯片，因此安全强度高于tee。
62.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
63.下面以具体地实施例对本技术实施例的技术方案以及本技术实施例的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本技术的实施例进行描述。
64.本技术一个实施例提供了一种支付处理方法，该方法由支付应用执行，支付应用安装于或存在于支付设备中，该支付设备可以是智能终端，例如智能手机、平板电脑、智能手表、支付机器(例如刷脸支付机器)等，支付设备以及支付应用的后台服务器可以通过有线或无线通信方式进行直接或间接地连接，本技术实施例对其不做限制。如图1所示，该方法包括：
65.步骤s110，获取到支付指令时，获取支付设备的设备私钥，并根据设备私钥生产支付设备的设备凭证，支付设备是支付应用所在的设备，设备私钥预存储于支付设备的预先增设的支付区域中；步骤s120，向支付应用的后台服务器发送支付请求，支付请求中包括设备凭证，以使得后台服务器基于设备凭证对支付设备进行验证。
66.支付应用可以是各种能够用于支付的应用程序，该支付应用通常安装于各种智能终端中，用户可以通过智能终端中的支付应用向商家支付一定额度的费用。用户在通过智能终端中的支付应用向商家支付一定额度的费用的过程中，可以向支付应用发起一个支付指令或指示，此时，支付应用会获取到(例如接收到或检测到)用户的支付指令。支付应用获取到支付指令时，会生成相应的支付请求，以请求支付应用的后台服务器对该支付请求进行支付处理。
67.其中，支付应用在生成支付请求的过程中，先从其所在支付设备的预先增设的支付区域中获取预存储的设备私钥，并根据该设备私钥生成该支付设备的设备凭证。在生产支付设备的设备凭证后，将该设备凭证携带在支付请求中，即支付应用向支付应用的后台服务器发送的支付请求中包括设备凭证，从而支付应用的后台服务器在接收到支付请求
后，首先，基于支付请求中包括的设备凭证，对支付设备进行验证，以确定支付设备的合法性，例如确定支付设备是否为支付应用所支持的支付设备或所在的支付设备。
68.在一示例中，假如支付应用p1安装于支付设备u1中，且支付设备u1的设备私钥(例如m1)预存储于支付设备u1的预先增设的支付区域中，则：支付应用p1在获取到支付指令时，首先，通过访问支付设备u1的支付区域，来获取到支付设备u1的设备私钥m1，接着，根据获取到的设备私钥m1生产支付设备u1的设备凭证(例如id_1)，接着，将设备凭证id_1携带在支付请求中，发送给支付应用p1的后台服务器，接着，支付应用p1的后台服务器根据设备凭证id_1对支付设备u1进行验证，比如确定支付设备u1的确是支付应用p1所在的支付设备，又比如，确定支付设备u1是支持支付应用p1的设备。
69.需要说明的是，上述的设备私钥是指支付设备的设备密钥，由于支付设备的设备密钥属于对称密钥中的私钥，所以将其记作设备私钥，下述的设备密钥与设备私钥表示同一概念。其中，每个支付设备的设备私钥是唯一的，从而根据设备私钥生成的设备凭证也是唯一的，例如支付设备u1的设备私钥是m1、支付设备u2的设备私钥是m2等。
70.此外，支付设备的支付区域是在支付设备出厂前预先增设在支付设备中的，例如支付区域是支付设备生产厂商在生产支付设备的过程中，增设在支付设备的存储区域中，相当于，在支付设备的现有存储区域中增设一个新的区域，作为支付区域。其中，该支付区域是与上述的支付应用相对应的，只有上述的支付应用能够在支付设备的使用过程中，对新增设的支付区域进行写入操作和读取操作，确保了读写访问的安全性。
71.另外，支付设备的设备私钥是存储于上述的支付区域中，从而实现一种设备维度的密钥，使得设备密钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，并且不可被导出和篡改，从而脱离了支付应用的生命周期的限制。
72.本技术实施例提供的支付处理方法，在支付设备中增设支付区域，使得支付区域对应的支付应用方可对该支付区域进行写入操作与读取操作，确保了读写访问的安全性，将支付设备的设备私钥预存储于支付设备的支付区域中，实现了设备维度的密钥，使得密钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，并且不可被导出和篡改，从而脱离了支付应用的生命周期的限制，此外，可以根据该设备私钥为支付设备生成唯一的设备凭证，且此设备凭证不可篡改、符合对支付设备的唯一性要求，使得支付应用的后台服务器在进行支付处理前，能够准确、有效地验证支付设备的合法性，确保支付安全，避免对用户造成利益损失。
73.下面通过具体示例对本技术实施例进行介绍：
74.在一种可能的实现方式中，在获取支付设备的设备私钥之前，还可以执行如下处理：在支付设备的存储区域中增设支付应用对应的支付区域；通过混淆白盒中的密钥存放逻辑，将设备私钥存放在白盒加密文件中，并将白盒加密文件存储于支付区域中。
75.在实际应用中，生产厂商在生产支付设备的过程中，可以根据需求在支付设备的存储区域中新增设针对某一支付应用相对应的支付区域，其中，只有该某一支付应用可以对该新增设的支付区域进行读写访问。例如，在芯片平台上对支付设备的linux分区新增一个与支付应用p1相对应的支付区域a1，且只有支付应用p1可以对支付区域a1进行读写访问，又例如，在芯片平台上对支付设备的linux分区新增一个与支付应用p2相对应的支付区域a2，且只有支付应用p2可以对支付区域a2进行读写访问。
76.相当于，在支付设备的现有存储区域的各个分区的基础上，再增设一个新的区域，作为支付区域。其中，该支付区域是与上述的支付应用相对应的，只有上述的支付应用能够在支付设备的使用过程中，对新增设的支付区域进行写入操作和读取操作，确保了读写访问的安全性。
77.其中，图2是在支付设备的存储区域中增设支付应用对应的支付区域的示意图，图2中的支付分区即为增设的与支付应用相对应的支付区域。其中，图2中的a区域、b区域、c区域及d区域等是支付设备的存储区域现有的各个分区，用于存储相关的设备信息，在此不再赘述。
78.在实际应用中，可以基于白盒加密的密钥存储技术，通过混淆白盒内部的密钥存放逻辑，达到一个攻击者无法理解的密钥保护文件，相当于，通过混淆白盒中的密钥存放逻辑，将设备私钥存放在白盒加密文件中。接着，将白盒加密文件烧录(即存储)到支付设备的新增设的支付区域中，即将设备私钥以白盒加密文件的形式，存储于支付设备的新增设的支付区域中。其中，图3为将白盒加密文件存储到支付设备的新增设的支付区域的示意图，图3中的白盒即为上述的白盒加密文件。
79.在通过混淆白盒中的密钥存放逻辑，将设备私钥存放于白盒加密文件中后，可以将该白盒加密文件存储到支付设备中与支付应用相对应的支付区域中，即将支付设备的设备私钥存储到支付设备中新增设的与支付应用相对应的支付区域中，以使得支付应用可以通过读取该支付区域，来获取支付设备的设备私钥。其中，支付设备中新增设的支付区域中的设备私钥是不可被导出和篡改的，而且，设备私钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，从而实现了设备维度的密钥，脱离了支付应用的生命周期的限制。
80.需要说明的是，上述的将白盒加密文件存储于支付设备的新增设的支付区域的过程，也是可以在支付设备出厂前完成，比如，生产厂商在生产支付设备的过程中，除了根据需求在支付设备的存储区域中新增设针对某一支付应用相对应的支付区域外，可以同时将设备私钥以白盒加密文件的形式，存储于支付设备的新增设的支付区域中。
81.在一种可能的实现方式中，在获取支付设备的设备私钥之前，还可以执行如下处理：将支付设备的设备公钥存储于支付应用的云端服务器中，接着，建立设备私钥与设备公钥之间的对应关系，以使得后台服务器基于对应关系获取设备公钥，并根据设备公钥与设备凭证，对支付设备进行验证，设备私钥与设备公钥是对称密钥。
82.由于白盒加密属于对称加密，其核心思想是将对称密钥混淆在白盒逻辑中，有效防止攻击者对其进行破解，所以支付设备除具有设备私钥外，还有与该设备私钥为对称密钥的设备公钥，其中，设备公钥可以用于对设备私钥进行解密或解析。为了确保设备公钥的安全性，可以将该设备公钥存储在该支付应用的云端服务器，其中，该云端服务器可以是专用于存储各个支付设备的设备公钥的服务器，也可以是具有其它额外功能的服务器，本技术实施例不对其做限制。
83.在将支付设备的设备私钥存储于支付设备新增设的支付区域后，可以对支付设备进行出厂销售，当用户购买支付设备后，需要在支付设备正式投入使用前，建立支付设备的设备私钥与支付应用的云端服务器存储的设备公钥之间的对应关系，比如进行设备私钥与设备公钥进之间的相互认证、匹配等，以便于后续能够基于设备公钥对支付设备进行验证。
84.其中，图4是建立设备私钥与设备公钥之间对应关系的示意图，在图4中，支付设备
的支付区域中的设备私钥，通过网络安全链路与支付应用的云端服务器中的设备公钥之间建立对应关系，支付设备的设备公钥预存储于云端服务器的云端密钥管理中心中。
85.当用户通过支付设备中的支付应用进行费用支付时，支付应用会在获取到用户的支付指令时生成相应的支付请求，并向支付应用的后台服务器发送支付请求，以请求后台服务器进行支付处理，其中，支付请求中包括支付应用所在支付设备的设备凭证，该设备凭证是根据支付设备的设备私钥生成的，该设备私钥预存储于支付设备的预先增设的支付应用对应的支付区域中。相对应地，支付应用的后台服务器发送支付请求会接收支付应用发起的支付请求。
86.支付应用的后台服务器在接收到支付应用的支付请求后，并不会即刻对支付请求进行支付处理，而是先基于支付请求中包括的设备凭证对支付设备进行验证，当支付设备验证通过后，再对支付应用的支付进行支付处理，如果支付设备未通过验证，则不再继续对支付应用的支付请求进行支付处理。
87.支付应用的后台服务器在对支付设备进行验证的过程中，可以基于支付设备的设备私钥与支付设备的设备公钥之间的对应关系，从预存储有支付设备的设备公钥的云端服务器中获取该支付设备的设备公钥，其中，支付设备的设备公钥是预存储于支付应用的云端服务器中的。在获取到支付设备的设备公钥后，可以基于获取到的支付设备的设备公钥与支付请求中携带的设备凭证，对支付设备进行验证。
88.其中，在基于获取到的支付设备的设备公钥与支付请求中携带的设备凭证，对支付设备进行验证的过程中，可以通过设备公钥对所设备凭证进行解密的方式，来对支付设备进行验证，比如当设备公钥对设备凭证解密成功时，说明设备公钥可以成功对支付私钥进行解密，此时，可以确定支付设备通过验证，比如确定支付设备是支付应用所在的设备，故支付应用的后台服务器可以继续对支付请求进行后续的支付处理；当设备公钥对设备凭证解密失败时，说明设备公钥不能对支付私钥进行解密，此时，可以确定支付设备未通过验证，比如确定支付设备不是支付应用所在的设备，故支付应用的后台服务器不再继续对支付请求进行后续的支付处理。
89.在对支付请求进行支付处理之前，先基于支付设备的唯一凭证对支付设备进行验证，可以确保支付设备的合法性和唯一性，有效保障支付的安全性。
90.本技术又一实施例提供了一种支付处理方法，该方法由支付应用的后台服务器执行，该后台服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能平台等基础云计算服务的云服务器，本技术实施例对此不做限制。如图5所示，该方法包括：
91.步骤s510，接收支付应用发起的支付请求，其中，支付请求包括支付应用所在支付设备的设备凭证，设备凭证是根据支付设备的设备私钥生成的，设备私钥预存储于支付设备的预先增设的支付应用对应的支付区域中；步骤s520，基于设备凭证对支付设备进行验证，并当支付设备通过验证时，对支付请求进行支付处理。
92.需要说明的是，本实施例的支付处理方法，是与上一实施例提供的支付应用侧的支付处理方法相对应地，因此，可以理解的是，支付应用侧的支付处理方法的处理步骤是与支付应用的后台服务器侧的支付处理方法的处理步骤相对应的，在此不再对支付应用的后
台服务器侧的支付处理方法的处理步骤进行赘述。其中，支付应用侧的支付处理方法的相应步骤的具体描述可以参见前文中的相应描述。
93.本技术实施例提供的支付处理方法，在支付设备中增设支付区域，使得支付区域对应的支付应用方可对该支付区域进行写入操作与读取操作，确保了访问的安全性，将支付设备的设备私钥预存储于支付设备的支付区域中，实现了设备维度的密钥，使得密钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，并且不可被导出和篡改，从而脱离了支付应用的生命周期的限制，此外，可以根据该设备私钥为支付设备生成唯一的设备凭证，且此设备凭证不可篡改、符合对支付设备的唯一性要求，使得支付应用的后台服务器在进行支付处理前，能够准确、有效地验证支付设备的合法性，确保支付安全，避免对用户造成利益损失。
94.在一种可能的实现方式中，基于设备凭证对支付设备进行验证，包括：
95.基于设备私钥与支付设备的设备公钥之间预先建立的对应关系，获取支付设备的设备公钥，设备公钥预存储于支付应用的云端服务器中，设备私钥与所述设备公钥是对称密钥；
96.根据设备公钥与设备凭证，对支付设备进行验证。
97.在一种可能的实现方式中，根据设备公钥与设备凭证，对支付设备进行验证，包括：
98.通过设备公钥对设备凭证进行解密；
99.当设备公钥对设备凭证解密成功时，确定支付设备通过验证；
100.当设备公钥对设备凭证解密失败时，确定支付设备未通过验证。
101.在一种可能的实现方式中，设备私钥是通过混淆白盒中的密钥存放逻辑存放于白盒加密文件中的，白盒加密文件预存储于支付设备的预先增设的支付应用对应的支付区域中。
102.图6为本技术又一实施例提供的一种支付处理装置的结构示意图，如图6所示，该装置600可以包括第一处理模块601与发送模块602，其中：
103.第一处理模块601，用于获取到支付指令时，获取支付设备的设备私钥，并根据设备私钥生产支付设备的设备凭证，支付设备是支付应用所在的设备，设备私钥预存储于支付设备的预先增设的支付区域中；
104.发送模块602，用于向支付应用的后台服务器发送支付请求，支付请求中包括设备凭证，以使得后台服务器基于设备凭证对支付设备进行验证。
105.在一种可能的实现方式中，该装置还包括第二处理模块，第二处理模块用于：
106.在支付设备的存储区域中增设支付应用对应的支付区域；
107.通过混淆白盒中的密钥存放逻辑，将设备私钥存放在白盒加密文件中，并将白盒加密文件存储于支付区域中。
108.在一种可能的实现方式中，该装置还包括第三处理模块，第三处理模块用于：
109.将支付设备的设备公钥存储于支付应用的云端服务器中；
110.建立设备私钥与设备公钥之间的对应关系，以使得后台服务器基于对应关系获取设备公钥，并根据设备公钥与设备凭证，对支付设备进行验证，设备私钥与设备公钥是对称密钥。
111.本技术实施例提供的装置，在支付设备中增设支付区域，使得支付区域对应的支付应用方可对该支付区域进行写入操作与读取操作，确保了访问的安全性，将支付设备的设备私钥预存储于支付设备的支付区域中，实现了设备维度的密钥，使得密钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，并且不可被导出和篡改，从而脱离了支付应用的生命周期的限制，此外，可以根据该设备私钥为支付设备生成唯一的设备凭证，且此设备凭证不可篡改、符合对支付设备的唯一性要求，使得支付应用的后台服务器在进行支付处理前，能够准确、有效地验证支付设备的合法性，确保支付安全，避免对用户造成利益损失。
112.需要说明的是，本实施例为与上述的支付应用侧的方法项实施例相对应的装置项实施例，本实施例可与上述的支付应用侧的方法项实施例互相配合实施。上述的支付应用侧的方法项实施例中提到的相关技术细节在本实施例中依然有效，为了减少重复，这里不再赘述。相应地，本实施例中提到的相关技术细节也可应用在上述的支付应用侧的方法项实施例中。
113.图7为本技术又一实施例提供的一种支付处理装置的结构示意图，如图7所示，该装置700可以包括接收模块701与处理模块702，其中：
114.接收模块701，用于接收支付应用发起的支付请求，其中，支付请求包括支付应用所在支付设备的设备凭证，设备凭证是根据支付设备的设备私钥生成的，设备私钥预存储于支付设备的预先增设的支付应用对应的支付区域中；
115.处理模块702，用于基于设备凭证对支付设备进行验证，并当支付设备通过验证时，对支付请求进行支付处理。
116.在一种可能的实现方式中，处理模块在基于设备凭证对支付设备进行验证时，用于：
117.基于设备私钥与支付设备的设备公钥之间预先建立的对应关系，获取支付设备的设备公钥，设备公钥预存储于支付应用的云端服务器中，设备私钥与设备公钥是对称密钥；
118.根据设备公钥与设备凭证，对支付设备进行验证。
119.在一种可能的实现方式中，处理模块在根据设备公钥与设备凭证，对支付设备进行验证时，用于：
120.通过设备公钥对设备凭证进行解密；
121.当设备公钥对设备凭证解密成功时，确定支付设备通过验证；
122.当设备公钥对设备凭证解密失败时，确定支付设备未通过验证。
123.在一种可能的实现方式中，设备私钥是通过混淆白盒中的密钥存放逻辑存放在白盒加密文件中的，白盒加密文件预存储于支付设备的预先增设的支付应用对应的支付区域中。
124.本技术实施例提供的装置，在支付设备中增设支付区域，使得支付区域对应的支付应用方可对该支付区域进行写入操作与读取操作，确保了访问的安全性，将支付设备的设备私钥预存储于支付设备的支付区域中，实现了设备维度的密钥，使得密钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，并且不可被导出和篡改，从而脱离了支付应用的生命周期的限制，此外，可以根据该设备私钥为支付设备生成唯一的设备凭证，且此设备凭证不可篡改、符合对支付设备的唯一性要求，使得支付应用的后台服务器在进行
支付处理前，能够准确、有效地验证支付设备的合法性，确保支付安全，避免对用户造成利益损失。
125.需要说明的是，本实施例为与上述的支付应用的后台服务器侧的方法项实施例相对应的装置项实施例，本实施例可与上述的支付应用的后台服务器侧的方法项实施例互相配合实施。上述的支付应用的后台服务器侧的方法项实施例中提到的相关技术细节在本实施例中依然有效，为了减少重复，这里不再赘述。相应地，本实施例中提到的相关技术细节也可应用在上述的支付应用的后台服务器侧的方法项实施例中。
126.本技术另一实施例提供了一种电子设备，如图8所示，图8所示的电子设备800包括：处理器801和存储器803。其中，处理器801和存储器803相连，如通过总线802相连。进一步地，电子设备800还可以包括收发器804。需要说明的是，实际应用中收发器804不限于一个，该电子设备800的结构并不构成对本技术实施例的限定。
127.其中，处理器801应用于本技术实施例中，用于实现图6所示的第一处理模块与发送模块的功能，或者用于实现图7所示的接收模块与处理模块的功能。收发器804包括接收机和发射机。
128.处理器801可以是cpu，通用处理器，dsp，asic，fpga或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本技术公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器801也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等。
129.总线802可包括一通路，在上述组件之间传送信息。总线802可以是pci总线或eisa总线等。总线802可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
130.存储器803可以是rom或可存储静态信息和指令的其他类型的静态存储设备，ram或者可存储信息和指令的其他类型的动态存储设备，也可以是eeprom、cd-rom或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。
131.存储器803用于存储执行本技术方案的应用程序代码，并由处理器801来控制执行。处理器801用于执行存储器803中存储的应用程序代码，以实现图6或图7所示实施例提供的支付处理装置的动作。
132.本技术实施例提供的电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时，可实现以下两个方面的内容：
133.一方面，获取到支付指令时，获取支付设备的设备私钥，并根据设备私钥生产支付设备的设备凭证，支付设备是支付应用所在的设备，设备私钥预存储于支付设备的预先增设的支付区域中；接着，向支付应用的后台服务器发送支付请求，支付请求中包括设备凭证，以使得后台服务器基于设备凭证对支付设备进行验证。
134.另一方面，接收支付应用发起的支付请求，其中，支付请求包括支付应用所在支付设备的设备凭证，设备凭证是根据支付设备的设备私钥生成的，设备私钥预存储于支付设备的预先增设的支付应用对应的支付区域中；接着，基于设备凭证对支付设备进行验证，并当支付设备通过验证时，对支付请求进行支付处理。
135.本技术另一实施例提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述支付应用方面的各种可能实现方式中提供的方法，或者执行上述支付应用的后台服务器方面的各种可能实现方式中提供的方法。
136.本技术实施例提供的计算机可读存储介质适用于上述方法的任一实施例。而且，在支付设备中增设支付区域，使得支付区域对应的支付应用方可对该支付区域进行写入操作与读取操作，确保了访问的安全性，将支付设备的设备私钥预存储于支付设备的支付区域中，实现了设备维度的密钥，使得密钥不会随着支付应用的卸载或支付设备的恢复出厂设置而丢失，并且不可被导出和篡改，从而脱离了支付应用的生命周期的限制，此外，可以根据该设备私钥为支付设备生成唯一的设备凭证，且此设备凭证不可篡改、符合对支付设备的唯一性要求，使得支付应用的后台服务器在进行支付处理前，能够准确、有效地验证支付设备的合法性，确保支付安全，避免对用户造成利益损失。
137.应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
138.以上所述仅是本技术的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。