專利名稱:一種網上銀行后臺身份認證裝置及系統(tǒng)的制作方法
技術領域:
本實用新型關于身份鑒別和交易認證技術,特別是關于網上銀行等金融交易系統(tǒng) 的身份鑒別和交易認證技術,具體的講是一種網上銀行后臺身份認證裝置及系統(tǒng)。
背景技術:
在現有技術中,針對身份鑒別和交易授權認證的方案有如下幾種(一)靜態(tài)密 碼用戶使用時常常設置弱密碼,如生日、電話號等;容易被竊取和監(jiān)聽,如通過木馬盜取 和網絡嗅探等。(二)刮刮卡和動態(tài)密碼卡實現一次一密,但無法保證交易數據的安全,存 在交易數據被篡改的風險。(三)時間型動態(tài)令牌基于時間的一次性密碼產生器,能夠保 證一次一密,針對竊取和嗅探風險有一定的安全提升,但也不能完全根除風險。同時,仍不 能防范數據被篡改。(四)USBKEY和軟證書利用PKI體系,對數據進行數字簽名和加密, 保證數據的完整、不可抵賴、機密性等;但此種方式實施成本較高,需要后臺部署CA、RA、驗 簽組件等;用戶需要進行證書的申請、更新、恢復等管理操作,使用復雜。同時,軟證書容易 被復制和盜?。籙SBKEY設備需要安裝驅動和相關用戶端組件才能使用,存在兼容性、易用 性問題,且目前只能適用于計算機終端,無法在手機、電話、電視等渠道使用。同時,此種方 式由于上層應用和底層簽名加密之間有諸多環(huán)節(jié),仍存在篡改數據的風險和被遠程控制, 造成惡意利用用戶證書的風險。上述各種認證方案,要么安全性不高,存在被竊取和嗅探風險,不能對交易數據進 行保護等;要么易用性不高,后臺部署及用戶使用復雜、無法在各種渠道廣泛使用。
實用新型內容本實用新型實施例提供了一種網上銀行后臺身份認證裝置及系統(tǒng),用以解決網上 銀行等金融交易系統(tǒng)的身份鑒別和交易認證的問題。本實用新型的目的之一是,提供一種網上銀行后臺身份認證裝置,該裝置包括中 央處理器、顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成器、校驗碼生成 器以及電池;其中,中央處理器分別與顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲 器、干擾生成器、校驗碼生成器以及電池相連接;開關按鍵接收用戶進行的觸按,執(zhí)行開機 動作;顯示器向用戶提示多要素密碼和個人認證碼PIN輸入請求,用戶通過數字按鍵輸入 多要素密碼和PIN ;顯示器向用戶提示密碼模式選擇信息,用戶通過密碼模式選擇鍵輸入 密碼模式;存儲器存儲用戶密鑰和密碼算法;干擾生成器生成干擾因子;校驗碼生成器根 據用戶輸入的密碼模式獲取對應的密碼算法,并根據干擾因子、預存的用戶密鑰和對應的 密碼算法生成多要素密碼的校驗碼,并將校驗碼與輸入的多要素密碼進行比對,生成比對 結果;顯示器顯示比對結果;中央處理器控制顯示器、開關按鍵、數字按鍵、密碼模式選擇 鍵、存儲器、干擾生成器和校驗碼生成器;電池提供工作電能。本實用新型的目的之一是,提供一種網上銀行后臺身份認證系統(tǒng),該系統(tǒng)包括身 份認證裝置和交易終端;交易終端與后臺認證服務器連接,用于通過交易頁面向用戶提示多要素密碼、多要素密碼生成模式和短簽名因子信息;身份認證裝置包括中央處理器、顯 示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成器、校驗碼生成器以及電池; 其中,中央處理器分別與顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成 器、校驗碼生成器以及電池相連接;開關按鍵接收用戶進行的觸按,執(zhí)行開機動作;顯示器 向用戶提示多要素密碼和個人認證碼PIN輸入請求,用戶通過數字按鍵輸入多要素密碼和 PIN ;顯示器向用戶提示密碼模式選擇信息,用戶通過密碼模式選擇鍵輸入密碼模式;存儲 器存儲用戶密鑰和密碼算法;干擾生成器生成干擾因子;校驗碼生成器根據用戶輸入的密 碼模式獲取對應的密碼算法,并根據干擾因子、預存的用戶密鑰和對應的密碼算法生成多 要素密碼的校驗碼,并將校驗碼與輸入的多要素密碼進行比對,生成比對結果;顯示器顯示 比對結果;中央處理器控制顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生 成器和校驗碼生成器;電池提供工作電能。本實用新型的有益效果在于,本實用新型通過從交易頁面獲取多要素密碼、密碼 生成模式和短簽名信息,將多要素密碼、密碼生成模式和短簽名信息在本實用新型裝置的 顯示器上通過挑戰(zhàn)的方式輸入,本實用新型裝置通過用戶輸入的信息和自身存儲的信息、 編碼方法生成校驗碼,用校驗碼對輸入的多要素密碼進行認證,從而實現對交易頁面及其 后臺服務器真實性的認證。這種反向認證方法提高了交易認證的安全性。本實用新型身份 認證裝置為脫機使用,無需和手機、電話、計算機進行連接,此種脫機使用的方式,一是使得 裝置可適用于多個電子渠道,為多個渠道使用同一認證介質提供了基礎。二是改善了認證 介質的易用性,降低了裝置使用難度,無需安裝驅動和控件程序。本實用新型身份認證裝置 及系統(tǒng)可用于驗證服務器端身份,同時支持一次密碼(OTP,One-Time password)和短簽名 (SIGN)兩種工作模式。本實用新型認證裝置提供PIN碼保護,避免因身份認證裝置丟失而 造成的風險。支持PIN碼的修改和重置。
為了更清楚地說明本實用新型實施例或現有技術中的技術方案,下面將對實施例 或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅 是本實用新型的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前 提下,還可以根據這些附圖獲得其他的附圖。圖1為本實用新型實施例身份認證裝置結構框圖;圖2為本實用新型實施例身份認證裝置外觀示意圖;圖3為本實用新型實施例身份認證裝置內部結構框圖;圖4為本實用新型實施例身份認證系統(tǒng)的示意圖;圖5為本實用新型實施例身份認證系統(tǒng)OTP工作模式流程圖;圖6為本實用新型實施例身份認證系統(tǒng)SIGN工作模式流程圖。
具體實施方式
下面將結合本實用新型實施例中的附圖,對本實用新型實施例中的技術方案進行 清楚、完整地描述,顯然,所描述的實施例僅僅是本實用新型一部分實施例,而不是全部的 實施例?;诒緦嵱眯滦椭械膶嵤├绢I域普通技術人員在沒有做出創(chuàng)造性勞動前提下
4所獲得的所有其他實施例,都屬于本實用新型保護的范圍。如圖1所示,本實用新型的網上銀行后臺身份認證裝置包括中央處理器101、顯 示器102、開關按鍵103、數字按鍵104、密碼模式選擇鍵105、存儲器106、干擾生成器107、 校驗碼生成器108以及電池109 ;其中,中央處理器101分別與顯示器102、開關按鍵103、 數字按鍵104、密碼模式選擇鍵105、存儲器106、干擾生成器107、校驗碼生成器108以及電 池109相連接;開關按鍵103接收用戶進行的觸按,執(zhí)行開機動作;顯示器102向用戶提示 多要素密碼和個人認證碼PIN輸入請求,用戶通過數字按鍵104輸入多要素密碼和PIN;顯 示器102向用戶提示密碼模式選擇信息,用戶通過密碼模式選擇鍵105輸入密碼模式;存儲 器106存儲用戶密鑰和密碼算法,干擾生成器107生成干擾因子,校驗碼生成器108根據用 戶輸入的密碼模式獲取對應的密碼算法,并根據干擾因子、預存的用戶密鑰和對應的密碼 算法生成多要素密碼的校驗碼,并將校驗碼與輸入的多要素密碼進行比對,生成比對結果; 顯示器102顯示比對結果;中央處理器101控制顯示器102、開關按鍵103、數字按鍵104、 密碼模式選擇鍵105、存儲器106、干擾生成器107和校驗碼生成器108,電池109提供工作 電能。本具體實施方式
的身份認證流程是基于動態(tài)令牌的身份認證流程,可實現包括時 間或者事件等多個干擾要素的一次性、多要素密碼,用于用戶身份鑒別及交易認證;同時, 本實施例的身份認證方法提供短簽名功能,可以保證交易數據不可篡改,不可抵賴。本具體實施方式
多要素密碼的第一層次的保護范圍是基于當前干擾因子(包括 當前時間,計數器等)產生一個動態(tài)密碼;多要素密碼的第二層次的保護范圍是為了進一 步防止交易關鍵信息被劫持和篡改的考慮,在基于當前干擾因子的基礎上,加上交易關鍵 信息,一并作為動態(tài)密碼(或者叫驗證碼)的產生因子。本實施例的身份認證方法的應用 場景不限于互聯(lián)網,還包括手機、電話、ATM等多種電子渠道。本具體實施方式
的身份認證裝置有兩種工作模式,一種是一次密碼(OTP, One-Time password)工作模式,另外一種是短簽名(SIGN)工作模式。OTP工作模式主要根 據干擾因子和客戶密鑰,按照一定算法,如摘要算法、或對稱加密算法等,產生一次性動態(tài) 密碼,通過此一次性密碼達到身份鑒別和交易認證的目的。SIGN工作模式主要根據客戶輸 入元素(如交易金額和交易帳號),干擾因子、客戶密鑰,按照一定的算法,如摘要算法、或 對稱加密算法等,產生和交易數據相關一次性交易密碼,通過此密碼,保證交易數據的不可 篡改,交易的不可抵賴。本實用新型通過從交易頁面獲取多要素密碼、密碼生成模式和短簽名信息,將多 要素密碼、密碼生成模式和短簽名信息在本實用新型裝置的顯示器上通過挑戰(zhàn)的方式輸 入,本實用新型裝置通過用戶輸入的信息和自身存儲的信息、編碼方法生成校驗碼,用校驗 碼對輸入的多要素密碼進行認證,從而實現對交易頁面及其后臺服務器真實性的認證。這 種反向認證方法提高了交易認證的安全性。實施例以網上銀行登錄為例,介紹OTP工作模式的處理流程。本實用新型實施例的身份 認證系統(tǒng)包括身份認證裝置和網上銀行交易終端;交易終端與網上銀行后臺認證服務器 連接,用于將后臺認證服務器產生的OTP密碼通過交易頁面向用戶提示。如圖2所示,本實施例的網上銀行后臺身份認證裝置包括顯示屏、輸入鍵和外殼。輸入鍵又可分為功能鍵和數字鍵盤。顯示屏用于顯示提示輸入OTP密碼和PIN碼的指 令信息,回顯客戶輸入等功能;數字鍵盤主要用于輸入OTP密碼、PIN碼、交易數據等信息; 功能鍵有開關鍵,用于啟動和關閉裝置;PIN鍵,用于進入PIN碼修改程序;OTP鍵,用于進 入OTP工作模式,根據當前干擾因子、客戶密鑰和OTP加密算法,產生一次性動態(tài)密碼的OTP 校驗碼;SIGN鍵,用于進入SIGN工作模式,并根據客戶輸入元素、當前干擾因子、客戶密鑰 和SIGN加密算法產生短簽名密碼的SIGN校驗碼。外殼,用于固定和保護內部零件及電路, 并且具有美觀和便于攜帶、使用的功能。本實施例的身份認證裝置大小如同銀行卡,易于攜 帶,同時可根據需求進行靈活的外觀定制。如圖3所示,本實施例的網上銀行后臺身份認證裝置的內部結構包括中央處理 器,用于根據各種條件和請求進行計算處理;顯示單元、輸入單元、存儲單元、干擾因子單元 和電源單元。其中,顯示單元包括顯示屏和顯示驅動芯片等,用于顯示身份認證裝置的提示 信息、客戶輸入及密碼信息等;輸入單元包括鍵盤和輸入控制邏輯,用于客戶輸入OTP密碼 或SIGN密碼、身份認證裝置PIN碼、交易挑戰(zhàn)、功能選擇等;存儲單元,用于存儲客戶密鑰, 每個身份認證裝置的客戶密鑰不同,可使用硬件隨機發(fā)生器產生,存儲單元還保存加密算 法等其他信息;干擾因子單元,用于提供時間或者事件干擾因子,如果是時間因子則提供時 鐘晶振,如果是事件因子,則提供事件計數器;作為一種特例,身份認證裝置可省略干擾因 子單元,為防范密碼重復,防止重發(fā)攻擊,可在要求客戶輸入的交易元素中增加隨機變量或 時間戳等一次性信息,從而保證客戶密碼的隨機性,實現一次一密;電源單元,用于提供身 份認證裝置電能的組件,例如電池、可更換備用電池的雙電池電源、可充電電池等。身份認 證裝置可采用觸控開關實現開蓋自毀等物理保護。身份認證裝置有兩種工作模式,一種是OTP工作模式,另外一種是SIGN工作模式。 OTP工作模式主要根據干擾因子和客戶密鑰,按照一定算法,如摘要算法、或對稱加密算法 等,產生一次性動態(tài)密碼的校驗碼,通過此一次性密碼與校驗碼的比對,達到后臺身份鑒別 和交易認證的目的。如圖4所示,為本實施例的網上銀行后臺身份認證系統(tǒng),該系統(tǒng)包括身份認證裝 置201和ATM終端202 ;ATM終端202與后臺認證服務器連接,用于通過交易頁面向用戶提 示多要素密碼、多要素密碼生成模式和短簽名因子信息;身份認證裝置201包括中央處理 器、顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成器、校驗碼生成器以及 電池;其中,中央處理器分別與顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾 生成器、校驗碼生成器以及電池相連接;開關按鍵接收用戶進行的觸按,執(zhí)行開機動作;顯 示器向用戶提示多要素密碼和個人認證碼PIN輸入請求,用戶通過數字按鍵輸入多要素密 碼和PIN ;顯示器向用戶提示密碼模式選擇信息,用戶通過密碼模式選擇鍵輸入密碼模式; 存儲器存儲用戶密鑰和密碼算法,干擾生成器生成干擾因子,校驗碼生成器根據用戶輸入 的密碼模式獲取對應的密碼算法,并根據輸入的干擾因子、預存的用戶密鑰和對應的密碼 算法生成多要素密碼的校驗碼,并將校驗碼與輸入的多要素密碼進行比對,顯示器顯示比 對結果;中央處理器控制顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成 器和校驗碼生成器,電池提供工作電能。如圖5所示,OTP工作模式包括以下步驟用戶攜帶身份認證裝置在網上銀行終端 上進行交易。其中,[0028]步驟S201,客戶訪問網上銀行登錄頁面,輸入登錄ID ;步驟S202,頁面提示在身份認證裝置上輸入的OTP密碼;步驟S203,客戶按下身份認證裝置的開關鍵,開啟身份認證裝置,即通過輸入單元 輸入該OTP密碼,并向處理單元發(fā)送指令啟動身份認證裝置;步驟S204,身份認證裝置的顯示單元提示客戶輸入PIN碼;步驟S205,客戶通過輸入單元輸入PIN碼,處理單元從存儲單元中獲取正確的PIN 碼,并同客戶輸入的PIN碼比較,如正確則顯示單元提供功能選擇提示,如錯誤則處理單元 進行PIN碼錯誤累計并記錄在存儲單元,當未超過最大錯誤次數時,顯示單元提示客戶重 新輸入PIN碼,當達到最大PIN碼錯誤次數時,處理單元拒絕再次比對PIN碼和計算密碼, 身份認證裝置處于鎖死狀態(tài),只能進行PIN碼重置,才能繼續(xù)使用身份認證裝置;步驟S206,PIN碼正確,顯示單元提示客戶選擇OTP或者SIGN功能;步驟S207,客戶按OTP鍵;步驟S208,輸入單元指示處理單元從存儲單元獲得客戶密鑰和OTP算法,并根據 當前的干擾因子、獲取的客戶密鑰和OTP算法,得到一次性OTP密碼的校驗碼,校驗碼可以 是6位數字組成,根據需要可自定義長度和密碼取值范圍;步驟S209,將得到的OTP校驗碼與輸入的OTP密碼進行比對,如果一致,則通過顯 示單元提供給客戶驗證成功,否則驗證失敗。客戶按身份認證裝置開關鍵關閉身份認證裝置,此時輸入單元指令處理單元將身 份認證裝置處于關閉狀態(tài),如客戶不手工關閉身份認證裝置,身份認證裝置在顯示OTP密 碼校驗結果15秒后會自動關閉,此時間可根據需要自定義,此超時自動關閉由處理單元主 動發(fā)起。SIGN工作模式主要根據客戶輸入元素,干擾因子、客戶密鑰,按照一定的算法,產 生和交易數據相關一次性交易密碼的校驗碼,通過此校驗碼,校驗SIGN密碼的合法性,從 而判斷后臺服務器的真實性。如圖6所示,SIGN工作模式包括以下步驟步驟S301,客戶進入交易錄入頁面,錄入交易元素;步驟S302,系統(tǒng)進行數據和交易的合法性校驗后,回顯交易確認頁面,并提示客戶 使用動態(tài)身份認證裝置進行短簽名認證,并顯示SIGN密碼和交易元素(如轉出轉入賬號、 交易金額和/或交易字符串等)。交易字符串可以是用戶在后臺預留的信息,比如用戶的 昵稱為Lily,則系統(tǒng)進行數據和交易的合法性校驗后,回顯交易確認頁面,并提示客戶使用 動態(tài)身份認證裝置進行短簽名認證,并顯示SIGN密碼和用戶昵稱輸入請求,此時用戶需在 身份認證裝置上分別輸入顯示的SIGN密碼和Lily。步驟S303,客戶按身份認證裝置的開關鍵開啟身份認證裝置,輸入該SIGN密碼, 并指令處理單元處于工作狀態(tài);步驟S304,處理單元指令顯示單元提示輸入PIN碼;步驟S305,客戶輸入正確的PIN碼,輸入單元將客戶輸入的PIN傳遞給處理單元, 處理單元從存儲單元獲取客戶PIN碼,并同客戶輸入的PIN碼進行比對;步驟S306,如果PIN碼一致則指示顯示單元提示客戶進行OTP或者SIGN功能選 擇;[0046]步驟S307,客戶按SIGN鍵進入交易短簽名功能;輸入單元指令處理單元處于短簽 名功能;步驟S308,交易頁面提示短簽名功能需要輸入的內容;步驟S309,客戶根據交易頁面提示的內容,在身份認證裝置上輸入交易賬號和金 額和/或交易字符串(如,用戶的昵稱Lily),可以是分多個字段錄入,或者將上述信息拼接 成一個簽名串一次性錄入。此錄入長度可支持256字節(jié),或者根據需求進行自定義。如果 輸入錯誤,可使用后退鍵除去錯誤輸入,如果要除去一行或全部輸入,可按住后退鍵2秒, 之后將清空某一行或全部客戶輸入,此操作可根據需求對輸入單元進行自定義。輸入單元 最終將客戶輸入的交易信息傳遞給處理單元。短簽名內容可以使用賬號和金額,也可是后 臺隨機從上述內容中選取的某些局部數字,亦或可以提示對交易驗證碼進行短簽名;對于 本交易,優(yōu)先推薦對交易轉出賬號和金額進行簽名;步驟S310,客戶在身份認證裝置輸入完成后,再按SIGN鍵,輸入單元指令處理單 元進行短簽名。首先從存儲單元中獲取客戶密鑰和SIGN密碼算法,從干擾因子生成器獲取 與后臺系統(tǒng)同步的當前干擾因子,根據當前干擾因子、客戶密鑰,按照SIGN密碼算法計算 生成短簽名密碼的校驗碼;步驟S311,將輸入的短簽名密碼與生成的校驗碼進行比對,如果一致,則通過顯示 單元提供給客戶驗證成功,否則驗證失敗。為支持客戶使用此認證裝置,需要在服務方部署動態(tài)密碼管理系統(tǒng),用于客戶密 鑰產生、存儲、使用、作廢、凍結、解凍等生命周期管理,提供動態(tài)密碼校驗、錯誤累計功能, 提供干擾因子同步功能,提供查詢、統(tǒng)計、監(jiān)控等功能。身份認證裝置對OTP和SIGN密碼校驗時,如果正確則記錄下來,當前干擾因子以 后不可再使用;如果錯誤,則進行錯誤累計,可進行密碼錯誤日累計或歷史累計。在SIGN工作模式中,干擾因子參與運算,可使相同交易元素的短簽名密碼每次都 不同,避免交易密碼重發(fā)風險。OTP工作模式和SIGN工作模式都可用于身份鑒別和交易認證,不局限于上述場 景。例如,OTP工作模式和SIGN工作模式可用于驗證服務器端身份,當客戶登錄系統(tǒng)時,動 態(tài)密碼管理系統(tǒng)后臺首先使用OTP或者SIGN工作模式計算出一個密碼,并顯示或傳遞給客 戶,客戶通過自己的認證裝置可同樣獲得當前的密碼,如果密碼同服務器一致,說明服務器 是真實的,不是釣魚網站或電話欺詐。當使用SIGN工作模式時,也可不針對交易數據,而是 使用約定好的某個信息,如當前交易驗證碼,或者預留在服務器端的信息進行短簽名。優(yōu)先 推薦使用OTP工作模式進行客戶或者服務器的身份鑒別,使用SIGN工作模式進行交易短簽 名。身份認證裝置有PIN碼保護,使用時,必須輸入正確的PIN碼才能進行后續(xù)操作。身份認證裝置出廠時沒有PIN碼,客戶拿到后第一次使用時,強制客戶必須設置 PIN碼。例如,客戶第一次使用時,按開關鍵開啟裝置,裝置提示客戶設置PIN碼,客戶通過 數字鍵盤設置6位PIN碼,并重新輸入一次,此裝置校驗一致,則PIN碼設置成功。身份認證裝置支持PIN碼修改,客戶按裝置開關鍵啟動,輸入PIN碼進入功能選擇 菜單,客戶按PIN鍵進入PIN碼修改功能,客戶使用數字鍵盤設置6位新PIN碼,并重新輸 入一次,裝置校驗一致,則PIN碼修改成功。
8[0058]身份認證裝置支持PIN碼重置,當客戶遺忘PIN碼時,需要到柜面處理,裝置提供 使用挑戰(zhàn)應答方式的PIN碼重置功能。在柜面,客戶按此裝置開關鍵開啟,按2秒PIN鍵, 此時裝置根據當前干擾因子和特定PIN重置算法得到PIN重置挑戰(zhàn)值,如6位數字,客戶將 這6位挑戰(zhàn)告知柜員,柜員在系統(tǒng)中錄入,后臺系統(tǒng)根據此挑戰(zhàn),客戶當前干擾因子、客戶 密鑰計算PIN重置應答,應答也可是6位數字,返回柜員終端,柜員通過打印密碼信封,或者 口頭告知客戶,客戶在認證裝置上輸入此PIN重置應答碼,裝置校驗正確后,將裝置重置為 無PIN碼狀態(tài),或者重置為某個默認值。身份認證裝置中的干擾因子可采用時鐘晶振或者事件計數器,優(yōu)先推薦時鐘晶 振,上述干擾因子可能受到環(huán)境和人為因素的影響,造成同服務器端記錄的不一致。如溫度 過高或過低造成時鐘晶振不準,人為試用事件型OTP而未與后臺校驗,造成此裝置和服務 器端計數不一致。當出現上述情況時,需要對裝置干擾因子進行同步處理。客戶可到柜面進行同步,客戶使用此裝置連續(xù)產生兩個OTP密碼,并告知柜員提 交后臺,后臺根據客戶提交的兩個密碼在干擾因子的一定變動范圍內進行匹配,例如時鐘 晶振則在正負24小時內試算OTP密碼,如果是事件計數則在正負50范圍內試算OTP密碼, 只要能夠匹配上客戶連續(xù)輸入的兩個密碼,即可定位裝置干擾因子當前計數,調整服務器 端記錄,完成裝置同步。上述匹配窗口可根據需求進行自定義。身份認證裝置大小如同銀行卡,易于攜帶,同時可根據需求進行靈活的外觀定制。 裝置的工作處于低功耗狀態(tài),其電量可有效保證裝置使用3年以上,當電量耗盡或者到達 有效期時,客戶可更換一個新的裝置,新裝置采用新的客戶密鑰。各種電子渠道可利用此裝置進行身份鑒別和交易認證,如果配合原渠道的靜態(tài)密 碼一起使用,將能夠實現雙因子認證,保證客戶交易安全。本實用新型通過交易短簽名的實現方式,將交易元素參與到密碼生成過程中,使 得此密碼只能用于此交易,如果篡改交易或者用此密碼去做其他交易,服務器端都無法驗 證通過;通過短簽名保證了交易數據的不可篡改,同時也起到了交易不可抵賴的作用,提高 了交易認證的安全性。本實用新型身份認證裝置為脫機使用,無需和手機、電話、計算機進 行連接,此種脫機使用的方式,一是使得裝置可適用于多個電子渠道,為多個渠道使用同一 認證介質提供了基礎。二是改善了認證介質的易用性,降低了裝置使用難度,無需安裝驅動 和控件程序。本實用新型身份認證裝置及系統(tǒng)可用于驗證服務器端身份,同時支持OTP和 SIGN兩種工作模式。本實用新型認證裝置提供PIN碼保護,避免因身份認證裝置丟失而造 成的風險。支持PIN碼的修改和重置。本實用新型中應用了具體實施例對本實用新型的原理及實施方式進行了闡述,以 上實施例的說明只是用于幫助理解本實用新型的方法及其核心思想;同時,對于本領域的 一般技術人員,依據本實用新型的思想,在具體實施方式
及應用范圍上均會有改變之處,綜 上所述,本說明書內容不應理解為對本實用新型的限制。
權利要求一種網上銀行后臺身份認證裝置,其特征是,所述的裝置包括中央處理器、顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成器、校驗碼生成器以及電池;其中,所述的中央處理器分別與所述的顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成器、校驗碼生成器以及電池相連接。
2.根據權利要求1所述的網上銀行后臺身份認證裝置,其特征是,所述的干擾單元包括時鐘,用于產生時間數據; 事件計數器,用于生成事件計數數據。
3.—種網上銀行后臺身份認證系統(tǒng),其特征是,所述的系統(tǒng)包括身份認證裝置和交易終端;所述的交易終端與后臺認證服務器連接;所述的身份認證裝置包括中央處理器、顯示器、開關按鍵、數字按鍵、密碼模式選擇 鍵、存儲器、干擾生成器、校驗碼生成器以及電池;其中,所述的中央處理器分別與所述的顯 示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成器、校驗碼生成器以及電池 相連接。
4.根據權利要求3所述的網上銀行后臺身份認證系統(tǒng),其特征是,所述的干擾單元包括時鐘,用于產生時間數據; 事件計數器,用于生成事件計數數據。
專利摘要本實用新型實施例提供了一種網上銀行后臺身份認證裝置及系統(tǒng),該裝置包括開關按鍵接收用戶進行的觸按,執(zhí)行開機動作;顯示器向用戶提示多要素密碼輸入請求,用戶輸入多要素密碼;顯示器向用戶提示密碼模式選擇信息,用戶輸入密碼模式;存儲器存儲用戶密鑰和密碼算法;干擾生成器生成干擾因子;校驗碼生成器根據干擾因子、用戶密鑰和密碼算法生成多要素密碼的校驗碼,并將校驗碼與輸入的多要素密碼進行比對,顯示器顯示比對結果;中央處理器控制顯示器、開關按鍵、數字按鍵、密碼模式選擇鍵、存儲器、干擾生成器和校驗碼生成器;電池提供工作電能。用以認證網上銀行等金融交易系統(tǒng)后臺的身份真?zhèn)巍?br>
文檔編號H04L29/06GK201717874SQ201020109659
公開日2011年1月19日 申請日期2010年2月5日 優(yōu)先權日2010年2月5日
發(fā)明者付新麗, 伊勁松, 張安龍, 曾凱, 李丹, 王靜媛, 譚路遠, 閆記東 申請人:中國工商銀行股份有限公司