專利名稱:基于第三方的數(shù)字簽名認證系統(tǒng)及認證方法
技術(shù)領(lǐng)域:
本發(fā)明屬于通信技術(shù)領(lǐng)域����,涉及數(shù)字信息的傳輸��,具體來說是 一種基于第三方的數(shù)字簽名認證系統(tǒng)及認證方法���。
背景技術(shù):
隨著網(wǎng)絡經(jīng)濟時代的到來,基于第三方的交易已經(jīng)成為商品交 易的最新模式�����。當前第三方支付系統(tǒng)如圖1�,交易過程是 一、網(wǎng)
上消費者瀏覽檢索商戶網(wǎng)頁并在商戶網(wǎng)站下訂單��;二��、網(wǎng)上消費者
選擇第三方支付平臺���,直接鏈接到其安全支付服務器上���,在支付頁 面上選擇自己適用的支付方式,點擊后進入銀行支付頁面進行支付
操作�;三、第三方支付平臺將網(wǎng)上消費者的支付信息��,按照各銀行 支付網(wǎng)關(guān)的技術(shù)要求,傳遞到各相關(guān)銀行�,由相關(guān)銀行檢査網(wǎng)上消 費者的支付能力,實行凍結(jié)��、扣帳或劃帳�,并將結(jié)果信息傳至第三 方支付平臺和網(wǎng)上消費者本身;四���、第三方支付平臺將支付結(jié)果通 知商戶,支付成功的�,由商戶向網(wǎng)上消費者發(fā)貨或提供服務;五�、 各個銀行通過第三方支付平臺向商戶實施清算。然而����,當前第三方
平臺有如下缺點
1. 由于這是一種虛擬支付層的支付模式,它需要其他的"實際
支付方式"完成實際支付層的操作�;
2. 付款人的銀行卡信息將暴露給第三方支付平臺,如果這個第 三方支付平臺的信用度或者保密手段欠佳,將帶給付款人相關(guān)風險;
3. 消費者所購買的"電子貨幣"可能成為破產(chǎn)債權(quán),無法追回;
4. 由于有大量資金寄存在支付平臺賬戶內(nèi)���,而第三方支付機構(gòu) 并非金融機構(gòu)���,所以存在資金寄存的風險。
發(fā)明內(nèi)容
本發(fā)明的目的在于避免上述現(xiàn)有第三方平臺存在的缺點,提出了一種基于第三方的數(shù)字簽名認證系統(tǒng)及認證方法�,以避免當前第 三方的虛擬支付模式和客戶在網(wǎng)上付款的風險。
為實現(xiàn)上述目的�,本發(fā)明的簽名認證系統(tǒng)包括
用戶管理中心用于向用戶終端頒發(fā)存放證書的USBKey,以增 加用戶和注銷用戶終端USBKey中的證書以注銷用戶�;
用戶終端通過USBKey完成對業(yè)務信息的數(shù)字簽名,并發(fā)送到 用戶口令和數(shù)字簽名驗證中心����;
用戶口令和數(shù)字簽名驗證中心用于與用戶終端、業(yè)務部門及 銀行系統(tǒng)通過TCP/IP網(wǎng)絡連接�����,完成對用戶口令和數(shù)字簽名的驗證 以及在用戶終端��、銀行和業(yè)務部門起到中介作用���。
所述的用戶管理中心�����,它設(shè)有證書生成模塊�����、證書注銷模塊和用 戶信息模塊����,證書生成模塊用于生成證書并存放至USBKey以增加用 戶;證書注銷模塊用于注銷證書以注銷用戶���;用戶信息模塊用于對 用戶信息錄入����、査詢和統(tǒng)計�����。
所述的用戶終端���,它設(shè)有數(shù)字簽名模塊,該數(shù)字簽名模塊利用 USBKey中的數(shù)字簽名函數(shù)對業(yè)務信息進行數(shù)字簽名�����。
所述的用戶口令和數(shù)字簽名驗證中心���,它設(shè)有用戶口令驗證模 塊和數(shù)字簽名驗證模塊�,用戶口令驗證模塊用于完成驗證用戶口令 的正確性;數(shù)字簽名驗證模塊用于在數(shù)據(jù)庫中査找用戶公鑰�,對用 戶終端的數(shù)字簽名進行驗證。
為實現(xiàn)上述目的��,本發(fā)明的數(shù)字簽名認證方法���,包括如下過程:
(1) 用戶終端操作員在用戶終端上插入USBKey并輸入用戶口 令����,向用戶口令和數(shù)字簽名驗證中心發(fā)出登陸請求�,由用戶口令和 數(shù)字簽名驗證中心對該用戶終端的用戶口令進行驗證;
(2) 客戶在用戶終端進行業(yè)務請求�����,用戶終端操作員利用 USBKey中的數(shù)字簽名函數(shù)對客戶請求的業(yè)務信息進行數(shù)字簽名��,并 將用戶終端操作員標識�、業(yè)務信息、數(shù)字簽名發(fā)送至用戶口令和數(shù)字簽名驗證中心�;
(3) 用戶口令和數(shù)字簽名驗證中心根據(jù)用戶終端操作員標識 在數(shù)據(jù)庫中找到其用戶公鑰、銀行賬號���,以用戶公鑰來驗證數(shù)字簽 名的正確性�,并將用戶銀行賬號、業(yè)務部門賬號�����、交易銀行生成指 令通過專有通信鏈路網(wǎng)絡發(fā)送到相關(guān)銀行�,銀行檢查用戶賬號信息 并進行相關(guān)處理后,將處理結(jié)果返回到用戶口令和數(shù)字簽名驗證中 心���;
(4) 用戶口令和數(shù)字簽名驗證中心存儲銀行返回的信息��,同時 將業(yè)務請求發(fā)送到業(yè)務部門��,將業(yè)務處理結(jié)果返回到用戶終端����,用 戶終端將完成本次業(yè)務����。
本發(fā)明由于相對于傳統(tǒng)的第三方系統(tǒng)增加了用戶終端����,使客戶 在用戶終端進行面對面的業(yè)務請求,避免了當前的第三方支付的風 險�����;同時由于在用戶終端采用USBKey進行數(shù)字簽名,增加了通信的 不可抵賴性����,目前針對PC機的攻擊層出不窮,USBKey安全性較PC 機高�����,能夠確保證書不被盜?�?;此外由于本發(fā)明的系統(tǒng)成本低、功 能多�,很容易推廣,特別適用于社區(qū)�。
圖1是現(xiàn)有第三方支付系統(tǒng)圖2是本發(fā)明的系統(tǒng)框圖3是本發(fā)明的簽名認證過程圖4是本發(fā)明的實施例圖。
具體實施例方式
參照圖2����,本發(fā)明的基于第三方的數(shù)字簽名認證系統(tǒng),主要由 用戶管理中心���、用戶終端�、用戶口令和數(shù)字簽名驗證中心組成。用
戶終端與用戶口令和數(shù)字簽名驗證中心通過通信鏈路網(wǎng)絡連接����,通 信加密由VPN軟件提供。
該用戶管理中心���,負責向用戶終端頒發(fā)USBKey����,它由至少一臺 計算機或?qū)S迷O(shè)備組成���,計算機或?qū)S迷O(shè)備中設(shè)有證書生成模塊�����、證書注銷模塊和用戶信息模塊����。證書生成模塊用于生成證書并存放
至USBKey以增加用戶�;證書注銷模塊用于注銷證書以注銷用戶��;用 戶信息模塊用于對用戶信息錄入��、査詢和統(tǒng)計。
該用戶終端���,作為可識別USBKey的各種通信網(wǎng)絡終端����,如PC 機���,它設(shè)有數(shù)字簽名模塊�����,該數(shù)字簽名模塊利用USBKey中的數(shù)字簽 名函數(shù)對業(yè)務信息進行數(shù)字簽名�����。
該用戶口令和數(shù)字簽名驗證中心�,由至少一臺計算機或?qū)S迷O(shè) 備組成����,計算機或?qū)S迷O(shè)備中設(shè)有用戶口令驗證模塊和數(shù)字簽名驗 證模塊,其中用戶口令驗證模塊用于完成驗證用戶口令的正確性���; 數(shù)字簽名驗證模塊用于在數(shù)據(jù)庫中査找用戶公鑰��,以對用戶終端的 數(shù)字簽名進行驗證��。
參照圖3���,本發(fā)明的簽名認證過程如下
過程1����,用戶終端向用戶管理中心申請證書��,用戶管理中心批 準后�,生成證書并存放至USBKey,將USBKey頒發(fā)給該用戶終端���; 過程2�����,登陸認證過程����。
用戶終端操作員在用戶終端上插入USBKey并輸入用戶口令���, 將用戶終端操作員標識和用戶口令生成登陸請求信息發(fā)送至用戶口 令和數(shù)字簽名驗證中心���,用戶口令和數(shù)字簽名驗證中心根據(jù)該用戶 終端操作員標識在數(shù)據(jù)庫中査找其用戶口令并進行驗證,經(jīng)驗證無 誤后用戶終端將與用戶口令與數(shù)字簽名驗證中心連接�;
過程3,數(shù)字簽名認證過程���。
客戶在用戶終端進行業(yè)務請求�,用戶終端操作員利用USBKey 中的數(shù)字簽名函數(shù)對客戶請求的業(yè)務信息進行數(shù)字簽名��,并將用戶 終端操作員標識��、業(yè)務信息�、數(shù)字簽名發(fā)送至用戶口令和數(shù)字簽名 驗證中心,用戶口令和數(shù)字簽名驗證中心根據(jù)用戶終端操作員標識 在數(shù)據(jù)庫中查找用戶公鑰�,以用戶公鑰來驗證數(shù)字簽名的正確性;
過程4����,用戶口令和數(shù)字簽名驗證中心根據(jù)用戶終端操作員標識在數(shù)據(jù)庫中査找用戶銀行賬號并將用戶銀行賬號、業(yè)務部門銀行 賬號����、交易銀行生成指令���;將指令通過與銀行的專有通信鏈路網(wǎng)絡 發(fā)送到相關(guān)銀行,銀行檢査用戶賬號余額是否充足�,如果充足,將 業(yè)務所需金額從用戶銀行賬號轉(zhuǎn)移到業(yè)務部門銀行賬號��,如果余額 不足��,則生成錯誤信息�����;最后將處理結(jié)果發(fā)回到用戶口令和數(shù)字簽 名驗證中心���;
過程5����,用戶口令和數(shù)字簽名驗證中心存儲銀行返回的信息至 數(shù)據(jù)庫���,同時將業(yè)務請求發(fā)送到業(yè)務部門����,將業(yè)務處理結(jié)果返回用 戶終端�����,用戶終端將完成本次業(yè)務請求。
參照圖4�,本發(fā)明的實施例是釆用PC機作為用戶終端設(shè)備的基 于第三方的數(shù)字簽名認證系統(tǒng)。該系統(tǒng)由用戶管理中心����、用戶終端�、 用戶口令和數(shù)字簽名驗證中心組成。其中用戶管理中心由一臺計算 機組成���;用戶終端為PC機����;用戶口令和數(shù)字簽名驗證中心由一臺計 算機組成���。用戶終端與用戶口令和數(shù)字簽名驗證中心通過TCP/IP 網(wǎng)絡連接���,通信加密由VPN軟件提供。
該系統(tǒng)的工作過程如下
用戶管理中心生成證書并存放至USBKey�,向用戶終端頒發(fā) USBKey;用戶終端操作員針對客戶的業(yè)務請求,利用USBKey中的數(shù) 字簽名函數(shù)對業(yè)務信息進行數(shù)字簽名��,然后將用戶終端操作員標識、 業(yè)務信息��、數(shù)字簽名發(fā)送至用戶口令和數(shù)字簽名驗證中心�;用戶口 令和數(shù)字簽名驗證中心根據(jù)用戶終端操作員標識在數(shù)據(jù)庫中查找用 戶公鑰、銀行賬號�,以用戶公鑰來驗證數(shù)字簽名的正確性;然后將 用戶銀行賬號��、業(yè)務部門銀行賬號����、交易銀行生成指令;將指令通 過與銀行的專有通信鏈路網(wǎng)絡發(fā)送到相關(guān)銀行�,銀行檢査用戶賬號 余額是否充足,如果充足���,將業(yè)務所需金額從用戶銀行賬號轉(zhuǎn)移到 業(yè)務部門銀行賬號�,如果余額不足�����,則生成錯誤信息���;最后將處理 結(jié)果發(fā)回到用戶口令和數(shù)字簽名驗證中心����;用戶口令和數(shù)字簽名驗證中心存儲銀行返回的信息至數(shù)據(jù)庫,同時將業(yè)務請求發(fā)送到業(yè)務 部門��,將業(yè)務處理結(jié)果返回用戶終端��,用戶終端將完成本次業(yè)務請 求�。
通過上述流程,具有業(yè)務請求的客戶與用戶終端采用面對面支 付����,支付與提供的服務同時完成�,可有效避免網(wǎng)絡支付所面對的信
用賭博,即付款和交貨的先后問題��;同時用戶終端采用USBKey進行 數(shù)字簽名能夠確保證書不被盜取����,提高了雙方通信的不可抵賴性。
權(quán)利要求
1.一種基于第三方的數(shù)字簽名認證系統(tǒng)�����,包括用戶管理中心用于向用戶終端頒發(fā)存放證書的USBKey�����,以增加用戶和注銷用戶終端USBKey中的證書以注銷用戶;用戶終端通過USBKey完成對業(yè)務信息的數(shù)字簽名����,并發(fā)送到用戶口令和數(shù)字簽名驗證中心;用戶口令和數(shù)字簽名驗證中心用于與用戶終端��、業(yè)務部門及銀行系統(tǒng)通過TCP/IP網(wǎng)絡連接�����,完成對用戶口令和數(shù)字簽名的驗證以及在用戶終端����、銀行和業(yè)務部門起到中介作用。
2.根據(jù)權(quán)利要求1所述的基于第三方的數(shù)字簽名認證系統(tǒng)�,其中 用戶管理中心設(shè)有證書生成模塊、證書注銷模塊和用戶信息模塊����,證 書生成模塊用于生成證書并存放至USBKey以增加用戶;證書注銷模 塊用于注銷證書以注銷用戶���;用戶信息模塊用于對用戶信息錄入���、查 詢和統(tǒng)計����。
3. 根據(jù)權(quán)利要求1所述的基于第三方的數(shù)字簽名認證系統(tǒng)���,其中 用戶終端設(shè)有數(shù)字簽名模塊�,該數(shù)字簽名模塊利用USBKey中的數(shù)字 簽名函數(shù)對業(yè)務信息進行數(shù)字簽名�。
4. 根據(jù)權(quán)利要求1所述的基于第三方的數(shù)字簽名認證系統(tǒng),其中 用戶口令和數(shù)字簽名驗證中心設(shè)有用戶口令驗證模塊和數(shù)字簽名驗 證模塊�����,用戶口令驗證模塊用于完成驗證用戶口令的正確性�����;數(shù)字簽 名驗證模塊用于在數(shù)據(jù)庫中査找用戶公鑰��,對用戶終端的數(shù)字簽名進 行驗證�。
5. —種基于第三方的數(shù)字簽名認證方法�����,包括如下過程(1)用戶終端操作員在用戶終端上插USBKey并輸入用戶口令, 向用戶口令和數(shù)字簽名驗證中心發(fā)出登陸請求�,由用戶口令和數(shù)字簽 名驗證中心對該用戶終端的用戶口令進行驗證;(2 )客戶在用戶終端進行業(yè)務請求�,用戶終端操作員利用USBKey 中的數(shù)字簽名函數(shù)對客戶請求的業(yè)務信息進行數(shù)字簽名,并將用戶終 端操作員標識����、業(yè)務信息、數(shù)字簽名發(fā)送至用戶口令和數(shù)字簽名驗證 中心��;(3 )用戶口令和數(shù)字簽名驗證中心根據(jù)用戶終端操作員標識在 數(shù)據(jù)庫中找到其用戶公鑰���、銀行賬號���,以用戶公鑰來驗證數(shù)字簽名的 正確性,并將用戶銀行賬號����、業(yè)務部門賬號、交易銀行生成指令通過 專有通信鏈路網(wǎng)絡發(fā)送到相關(guān)銀行����,銀行檢査用戶賬號信息并進行相 關(guān)處理后,將處理結(jié)果返回到用戶口令和數(shù)字簽名驗證中心;(4)用戶口令和數(shù)字簽名驗證中心存儲銀行返回的信息�,同時 將業(yè)務請求發(fā)送到業(yè)務部門,將業(yè)務處理結(jié)果返回到用戶終端���。
全文摘要
本發(fā)明公開了一種基于第三方的數(shù)字簽名認證系統(tǒng)及認證方法���,它屬于通信技術(shù)領(lǐng)域。包括用戶管理中心����、用戶終端、用戶口令和數(shù)字簽名認證中心�����。用戶終端接受客戶業(yè)務請求后���,利用USBKey對相關(guān)信息數(shù)字簽名����,并將數(shù)字簽名信息等發(fā)送至用戶口令和數(shù)字簽名驗證中心�����;用戶口令和數(shù)字簽名驗證中心驗證數(shù)字簽名�����,然后將用戶銀行賬號等信息生成的指令通過專有網(wǎng)絡發(fā)送至相關(guān)銀行���,銀行檢查用戶賬號信息并進行處理后將處理結(jié)果返回到用戶口令和數(shù)字簽名驗證中心��;用戶口令和數(shù)字簽名驗證中心將業(yè)務請求發(fā)送到業(yè)務部門�,并將業(yè)務處理結(jié)果返回用戶終端��,用戶終端將完成本次業(yè)務����。本發(fā)明具有安全可靠、高效易擴展的優(yōu)點�����,特別適合于社區(qū)�。
文檔編號H04L29/06GK101616146SQ200910023438
公開日2009年12月30日 申請日期2009年7月28日 優(yōu)先權(quán)日2009年7月28日
發(fā)明者昊 吳, 張衛(wèi)東, 暉 李, 楊 李, 晨 梁, 凱 樊, 康 王, 燦 莫, 趙黎斌 申請人:西安電子科技大學