專利名稱:基于安全tf卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全認(rèn)證方法���,特別涉及一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法及系統(tǒng)�����。
背景技術(shù):
網(wǎng)銀又稱網(wǎng)上銀行�����、在線銀行����、網(wǎng)絡(luò)銀行,是指銀行利用hternet技術(shù)�����,通過 Internet向客戶提供開戶�����、銷戶���、查詢����、對帳��、行內(nèi)轉(zhuǎn)帳��、跨行轉(zhuǎn)賬�、信貸�、網(wǎng)上證券、投資理財(cái)?shù)葌鹘y(tǒng)服務(wù)項(xiàng)目,使客戶可以足不出戶就能夠安全便捷地管理活期和定期存款�、支票、信用卡及個(gè)人投資等�����。由于網(wǎng)上交易不是面對面的�,用戶可以在任何時(shí)間、任何地點(diǎn)發(fā)出請求�����,傳統(tǒng)的身份識別方法通常是靠用戶名和登錄密碼對用戶的身份進(jìn)行認(rèn)證�����。但是��,若用戶的密碼在登錄時(shí)以明文的方式在網(wǎng)絡(luò)上傳輸�,很容易被攻擊者截獲,進(jìn)而可以假冒用戶的身份�,身份認(rèn)證機(jī)制就會(huì)被攻破。目前����,網(wǎng)銀個(gè)人認(rèn)證介質(zhì)(安全工具)主要有密碼���、文件數(shù)字證書、動(dòng)態(tài)口令卡���、動(dòng)態(tài)手機(jī)口令��、移動(dòng)口令牌��、移動(dòng)數(shù)字證書等�。其中����,移動(dòng)數(shù)字證書實(shí)際上就是一種USBKey。 國內(nèi)不同的銀行稱呼不同����,如工行稱U盾,農(nóng)行稱K寶等���。USBKey存放著用戶的個(gè)人數(shù)字證書�。通過USBKey進(jìn)行個(gè)人身份認(rèn)證是目前網(wǎng)銀個(gè)人認(rèn)證方法中相對最安全的一種方式�����。 而使用USBKey認(rèn)證方式的問題之一是它需要在具有USB接口的設(shè)備上使用。這在目前的電腦上比較方便����,但是對于體積較小或沒有USB接口的移動(dòng)終端設(shè)備(如手機(jī))就不方便或不能使用了�����。如何改進(jìn)現(xiàn)有應(yīng)用方案����,使其更簡單可行,便于使用易于推廣成為急需解決的問題��。而所述的基于安全TF卡是由鄭州信大捷安信息技術(shù)有限公司自主開發(fā)的智能卡類密碼產(chǎn)品和移動(dòng)終端密碼服務(wù)模塊。它是采用了 Micro SD (S卩TF)接口的密碼卡,內(nèi)置Flash 存儲模塊��,可以為具有TF接口的設(shè)備提供密碼服務(wù)(加解密、摘要���、數(shù)學(xué)簽名等)和安全存儲����。所述的基于安全TF卡是一種TF智能卡,使用它可以支持本基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法的實(shí)現(xiàn)。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中存在的不足而提供一種在安全TF卡的支持下實(shí)現(xiàn)基于公鑰證書的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法及系統(tǒng)�,根據(jù)目前的情況,電腦和大多數(shù)移動(dòng)終端設(shè)備都可以支持Micro SD (即TF)卡,通過使用安全TF 卡��,并結(jié)合本發(fā)明中提出的方法,便可以用安全TF卡代替?zhèn)鹘y(tǒng)的USBKey在使用網(wǎng)上銀行進(jìn)行遠(yuǎn)程支付時(shí)進(jìn)行個(gè)人身份認(rèn)證�,從而將這種安全的網(wǎng)上銀行的身份認(rèn)證方式應(yīng)用于更廣泛的設(shè)備和環(huán)境之中。本發(fā)明的目的是這樣實(shí)現(xiàn)的一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法�,其特征在于 網(wǎng)銀應(yīng)用控制組件通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第一組件模塊與銀行網(wǎng)銀服務(wù)器之間進(jìn)行雙方身份認(rèn)證,在身份認(rèn)證過程中�����,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí)���,通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第二組件模塊來調(diào)用安全TF卡所提供的調(diào)用接口庫��,進(jìn)行相關(guān)操作����。所述安全TF卡選用密碼芯片����、SD控制器和Flash封裝在一起����,接口封裝形式為 TF。
所述安全TF卡支持對稱���、非對稱密碼算法和摘要算法���,存儲用戶證書��、安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息�。網(wǎng)銀應(yīng)用控制組件與銀行網(wǎng)銀服務(wù)器之間通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證���。所述安全認(rèn)證協(xié)議包括
1)公鑰證書的分發(fā)首先,證書服務(wù)器為銀行網(wǎng)銀服務(wù)器和終端用戶生成各自的公鑰證書�;其次證書服務(wù)器離線向安全TF卡寫入銀行網(wǎng)銀服務(wù)器公鑰證書;然后證書服務(wù)器通知銀行網(wǎng)銀服務(wù)器用戶公鑰證書�����;
2)安全認(rèn)證主設(shè)備和銀行網(wǎng)銀服務(wù)器之間通過公鑰證書����,實(shí)現(xiàn)終端用戶與銀行雙方身份認(rèn)證,安全認(rèn)證協(xié)議所發(fā)送的消息如下
c->s PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)), c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs))�����,
其中���,C表示主設(shè)備發(fā)送方,S表示銀行網(wǎng)銀服務(wù)器接收方��;PEc表示用C的公鑰加密���, SIGc表示用C的私鑰簽名表示用S的公鑰加密���,SIGs表示用S的私鑰簽名;Nc表示發(fā)送方產(chǎn)生的驗(yàn)證因子���,Ns表示接收方產(chǎn)生的驗(yàn)證因子�����;TIMEcs表示交易的操作時(shí)間�����, TYPEcs表示交易的操作種類���,AMOUNTcs表示操作金額�����,EXTcs表示預(yù)留擴(kuò)展部分�����。所述通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證進(jìn)一步包括
第一步��,交易開始后����,主設(shè)備發(fā)送方向服務(wù)器接收方發(fā)出用服務(wù)器接收方證書公鑰加密認(rèn)證請求����,請求內(nèi)容包括發(fā)送方的標(biāo)識C和終端產(chǎn)生驗(yàn)證因子Nc ;
第二步�����,銀行網(wǎng)銀服務(wù)器根據(jù)當(dāng)前使用網(wǎng)銀的用戶信息查找該用戶相應(yīng)的證書����,并在向證書服務(wù)器驗(yàn)證該證書合法性后,產(chǎn)生一個(gè)驗(yàn)證因子Ns����,利用自己的私鑰對Nc進(jìn)行簽名后與當(dāng)前交易的交易操作時(shí)間TIMEcs,交易操作種類TYPEcs�����,操作金額AMOUNTcs�����,預(yù)留擴(kuò)展部分EXTcs等信息用接收方的加密公鑰加密��,然后傳給主設(shè)備C ��;
第三步���,主設(shè)備對銀行網(wǎng)銀服務(wù)器發(fā)送來的密文信息進(jìn)行脫密(先用自身的私鑰脫密��, 再用預(yù)存的銀行網(wǎng)銀服務(wù)器的公鑰簽證服務(wù)器簽名)�,檢查Nc —致后;
第四步�,驗(yàn)證通過后,主設(shè)備對TIMEcs�,TYPEcs,AMOUNTcs��,EXTcs等信息用自己的私鑰簽名后���,連同Ns —起���,用銀行網(wǎng)銀服務(wù)器的公鑰加密后傳送給網(wǎng)銀服務(wù)器;
第五步�����,銀行網(wǎng)銀服務(wù)器將收到的Ns與原來的Ns進(jìn)行比較����。若相同,表示雙方身份安全認(rèn)證通過,交易成功���。同時(shí)將主設(shè)備對TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私鑰簽名結(jié)果保存?zhèn)浒福蝗舨幌嗤?��,則交易失敗����。一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證系統(tǒng)����,其特征在于包括安全TF卡,存儲用戶證書���、安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息����,為相應(yīng)的主設(shè)備提供對應(yīng)的調(diào)用接口庫���;網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件��,包括第一組件模塊���, 用于與主設(shè)備內(nèi)網(wǎng)銀應(yīng)用控制組件進(jìn)行交互�,以及第二組件模塊����,用于與安全TF卡進(jìn)行交互;網(wǎng)銀應(yīng)用控制組件���,用于調(diào)用所述第一組件模塊與銀行網(wǎng)銀服務(wù)器之間進(jìn)行雙方身份認(rèn)證�,在身份認(rèn)證過程中�����,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí)�,調(diào)用所述第二組件模塊以調(diào)用安全TF卡所提供的調(diào)用接口庫,進(jìn)行相關(guān)操作�����。所述安全TF卡選用密碼芯片���、SD控制器和Flash封裝在一起����,接口封裝形式為 TF。網(wǎng)銀應(yīng)用控制組件與銀行網(wǎng)銀服務(wù)器之間通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證����。所述安全認(rèn)證協(xié)議包括
1)公鑰證書的分發(fā)首先,證書服務(wù)器為銀行網(wǎng)銀服務(wù)器和終端用戶生成各自的公鑰證書�;其次證書服務(wù)器離線向安全TF卡寫入銀行網(wǎng)銀服務(wù)器公鑰證書;然后證書服務(wù)器通知銀行網(wǎng)銀服務(wù)器用戶公鑰證書����;
2)安全認(rèn)證主設(shè)備和銀行網(wǎng)銀服務(wù)器之間通過公鑰證書�����,實(shí)現(xiàn)終端用戶與銀行雙方身份認(rèn)證��,安全認(rèn)證協(xié)議所發(fā)送的消息如下
c->s PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne))�����, c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs))�,
其中,C表示主設(shè)備發(fā)送方�,S表示銀行網(wǎng)銀服務(wù)器接收方;PEc表示用C的公鑰加密���, SIGc表示用C的私鑰簽名表示用S的公鑰加密���,SIGs表示用S的私鑰簽名��;Nc表示發(fā)送方產(chǎn)生的驗(yàn)證因子���,Ns表示接收方產(chǎn)生的驗(yàn)證因子;TIMEcs表示交易的操作時(shí)間����, TYPEcs表示交易的操作種類,AMOUNTcs表示操作金額�����,EXTcs表示預(yù)留擴(kuò)展部分��。所述通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證進(jìn)一步包括
第一步����,交易開始后,主設(shè)備發(fā)送方向服務(wù)器接收方發(fā)出用服務(wù)器接收方證書公鑰加密認(rèn)證請求�,請求內(nèi)容包括發(fā)送方的標(biāo)識C和終端產(chǎn)生驗(yàn)證因子Nc ;
第二步����,銀行網(wǎng)銀服務(wù)器根據(jù)當(dāng)前使用網(wǎng)銀的用戶信息查找該用戶相應(yīng)的證書��,并在向證書服務(wù)器驗(yàn)證該證書合法性后����,產(chǎn)生一個(gè)驗(yàn)證因子Ns�,利用自己的私鑰對Nc進(jìn)行簽名后與當(dāng)前交易的交易操作時(shí)間TIMEcs,交易操作種類TYPEcs���,操作金額AMOUNTcs�,預(yù)留擴(kuò)展部分EXTcs等信息用接收方的加密公鑰加密���,然后傳給主設(shè)備C ;
第三步�,主設(shè)備對銀行網(wǎng)銀服務(wù)器發(fā)送來的密文信息進(jìn)行脫密(先用自身的私鑰脫密, 再用預(yù)存的銀行網(wǎng)銀服務(wù)器的公鑰簽證服務(wù)器簽名)�����,檢查Nc —致后���;
第四步���,驗(yàn)證通過后���,主設(shè)備對TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私鑰簽名后�����,連同Ns —起��,用銀行網(wǎng)銀服務(wù)器的公鑰加密后傳送給網(wǎng)銀服務(wù)器�;
第五步,銀行網(wǎng)銀服務(wù)器將收到的Ns與原來的Ns進(jìn)行比較�。若相同,表示雙方身份安全認(rèn)證通過��,交易成功��。同時(shí)將主設(shè)備對TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私鑰簽名結(jié)果保存?zhèn)浒?;若不相同,則交易失敗��。本發(fā)明具有如下積極效果本發(fā)明將安全TF卡應(yīng)用于網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證中�����。由于大多數(shù)設(shè)備(包括電腦和移動(dòng)終端設(shè)備,如手機(jī))都支持標(biāo)準(zhǔn)的TF卡接口����,從而使TF卡的應(yīng)用范圍相比傳統(tǒng)的USB接口方式來講要廣泛得多。而安全TF卡正是使用的標(biāo)準(zhǔn)TF卡接口��,從這一點(diǎn)上�,它就具有了比傳統(tǒng)USBKey更加寬泛的應(yīng)用領(lǐng)域。通過使用安全TF卡��,并結(jié)合本發(fā)明中提出的方法�,便可以用安全TF卡代替?zhèn)鹘y(tǒng)的USBKey在使用網(wǎng)上銀行進(jìn)行遠(yuǎn)程支付時(shí)進(jìn)行個(gè)人身份認(rèn)證。從而將這種安全的網(wǎng)上銀行的身份認(rèn)證方式應(yīng)用于更廣泛的設(shè)備和環(huán)境之中���。特別是對億萬手機(jī)用戶來講�,大大增加了其使用手機(jī)進(jìn)行遠(yuǎn)程交易的安全性���,同時(shí)也可以大大地促進(jìn)手機(jī)安全遠(yuǎn)程支付方面的應(yīng)用和市場的發(fā)展,具有良好的社會(huì)和經(jīng)濟(jì)效益����。
圖1為本發(fā)明的基本示意圖。圖2為本發(fā)明的證書分發(fā)過程示意圖�����。圖3為本發(fā)明的安全認(rèn)證協(xié)議示意圖。
具體實(shí)施例方式本發(fā)明公開了一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法����,該安全認(rèn)證方法包括使用安全TF卡作為網(wǎng)銀個(gè)人認(rèn)證介質(zhì)、在電腦或移動(dòng)終端系統(tǒng)(以下簡稱主設(shè)備)中增加網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件和建立安全認(rèn)證協(xié)議三個(gè)步驟�����,基本示意圖如圖1 所示��。一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法����,其特征在于 網(wǎng)銀應(yīng)用控制組件通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第一組件模塊與銀行網(wǎng)銀服務(wù)
器之間進(jìn)行雙方身份認(rèn)證,在身份認(rèn)證過程中���,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí)��,通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第二組件模塊來調(diào)用安全TF卡所提供的調(diào)用接口庫��,進(jìn)行相關(guān)操作��。所述的網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件包括與主設(shè)備內(nèi)網(wǎng)銀應(yīng)用程序進(jìn)行交互的第一組件模塊和與安全TF卡進(jìn)行交互的第二組件模塊兩個(gè)基本部分��。網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件在系統(tǒng)啟動(dòng)時(shí)運(yùn)行����,網(wǎng)銀應(yīng)用程序通過調(diào)用第一組件模塊與銀行網(wǎng)銀服務(wù)器之間通過本發(fā)明所述的安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證,在身份認(rèn)證過程中��,當(dāng)需要使用安全TF 卡的安全服務(wù)時(shí)���,就調(diào)用第二組件模塊以調(diào)用安全TF卡所提供的調(diào)用接口庫�����,進(jìn)行相關(guān)操作����。所述安全TF卡選用密碼芯片���、SD控制器和Flash封裝在一起����,接口封裝形式為 TF����。所述的安全TF卡是一種安全智能TF卡類密碼產(chǎn)品,安全智能TF卡選用密碼芯片����、SD 控制器和Flash并封裝在一起,安全智能TF卡的接口封裝形式為TF�����,安全TF卡支持對稱�����、 非對稱密碼算法和摘要算法���,存儲用戶證書�����,用于用戶身份識別�、提供安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息的安全存儲����,安全TF卡為相應(yīng)的移動(dòng)終端系統(tǒng)提供對應(yīng)的調(diào)用接口庫,移動(dòng)終端系統(tǒng)通過這些接口庫實(shí)現(xiàn)對安全TF卡的操作。所述安全TF卡支持對稱��、非對稱密碼算法和摘要算法���,存儲用戶證書�、安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息��。網(wǎng)銀應(yīng)用控制組件與銀行網(wǎng)銀服務(wù)器之間通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證�����。所述的安全認(rèn)證協(xié)議是指在用戶使用網(wǎng)銀過程中�,主設(shè)備與銀行網(wǎng)銀服務(wù)器之間進(jìn)行雙方身份安全認(rèn)證時(shí)所遵循的協(xié)議和規(guī)范,該安全認(rèn)證協(xié)議是建立在使用公鑰證書的基礎(chǔ)上的���,用戶的公鑰證書及私鑰以及相應(yīng)的加解密算法����、摘要算法都在安全TF卡內(nèi)�����。在安全認(rèn)證過程中�,主設(shè)備與銀行網(wǎng)銀服務(wù)器之間需要收發(fā)的相關(guān)數(shù)據(jù)都是在上述網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件基礎(chǔ)上傳遞到安全TF卡內(nèi)進(jìn)行的數(shù)字簽名��、加解密處理,并返回結(jié)果�; 所述安全認(rèn)證協(xié)議包括以下步驟
1)公鑰證書的分發(fā)(如圖2所示)首先,證書服務(wù)器為銀行網(wǎng)銀服務(wù)器和終端用戶生成各自的公鑰證書��;其次證書服務(wù)器離線向安全TF卡寫入銀行網(wǎng)銀服務(wù)器公鑰證書����;然后證書服務(wù)器通知銀行網(wǎng)銀服務(wù)器用戶公鑰證書;
2)安全認(rèn)證(如圖3所示)主設(shè)備和銀行網(wǎng)銀服務(wù)器之間通過公鑰證書����,實(shí)現(xiàn)終端用戶與銀行雙方身份認(rèn)證,安全認(rèn)證協(xié)議所發(fā)送的消息如下
C->S: PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne))����, c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),
其中��,C表示主設(shè)備發(fā)送方�,S表示銀行網(wǎng)銀服務(wù)器接收方;PEc表示用C的公鑰加密��, SIGc表示用C的私鑰簽名表示用S的公鑰加密��,SIGs表示用S的私鑰簽名;Nc表示發(fā)送方產(chǎn)生的驗(yàn)證因子���,Ns表示接收方產(chǎn)生的驗(yàn)證因子�����;TIMEcs表示交易的操作時(shí)間����, TYPEcs表示交易的操作種類���,AMOUNTcs表示操作金額�����,EXTcs表示預(yù)留擴(kuò)展部分�。所述通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證進(jìn)一步包括
第一步�����,交易開始后�,主設(shè)備發(fā)送方向服務(wù)器接收方發(fā)出用服務(wù)器接收方證書公鑰加密認(rèn)證請求,請求內(nèi)容包括發(fā)送方的標(biāo)識C和終端產(chǎn)生驗(yàn)證因子Nc ���;
第二步��,銀行網(wǎng)銀服務(wù)器根據(jù)當(dāng)前使用網(wǎng)銀的用戶信息查找該用戶相應(yīng)的證書�,并在向證書服務(wù)器驗(yàn)證該證書合法性后���,產(chǎn)生一個(gè)驗(yàn)證因子Ns�����,利用自己的私鑰對Nc進(jìn)行簽名后與當(dāng)前交易的交易操作時(shí)間TIMEcs��,交易操作種類TYPEcs���,操作金額AMOUNTcs,預(yù)留擴(kuò)展部分EXTcs等信息用接收方的加密公鑰加密����,然后傳給主設(shè)備C ;
第三步�����,主設(shè)備對銀行網(wǎng)銀服務(wù)器發(fā)送來的密文信息進(jìn)行脫密(先用自身的私鑰脫密�, 再用預(yù)存的銀行網(wǎng)銀服務(wù)器的公鑰簽證服務(wù)器簽名)�,檢查Nc —致后�����;
第四步�����,驗(yàn)證通過后��,主設(shè)備對TIMEcs��,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私鑰簽名后�����,連同Ns —起���,用銀行網(wǎng)銀服務(wù)器的公鑰加密后傳送給網(wǎng)銀服務(wù)器�;
第五步���,銀行網(wǎng)銀服務(wù)器將收到的Ns與原來的Ns進(jìn)行比較����。若相同,表示雙方身份安全認(rèn)證通過�����,交易成功����。同時(shí)將主設(shè)備對TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私鑰簽名結(jié)果保存?zhèn)浒?��;若不相同��,則交易失敗�����。一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證系統(tǒng)���,其特征在于包括安全TF卡,存儲用戶證書��、安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息��,為相應(yīng)的主設(shè)備提供對應(yīng)的調(diào)用接口庫�����;網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件,包括第一組件模塊����, 用于與主設(shè)備內(nèi)網(wǎng)銀應(yīng)用控制組件進(jìn)行交互,以及第二組件模塊��,用于與安全TF卡進(jìn)行交互���;網(wǎng)銀應(yīng)用控制組件�����,用于調(diào)用所述第一組件模塊與銀行網(wǎng)銀服務(wù)器之間進(jìn)行雙方身份認(rèn)證�,在身份認(rèn)證過程中�,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí),調(diào)用所述第二組件模塊以調(diào)用安全TF卡所提供的調(diào)用接口庫����,進(jìn)行相關(guān)操作。所述安全TF卡選用密碼芯片���、SD控制器和Flash封裝在一起�,接口封裝形式為 TF。網(wǎng)銀應(yīng)用控制組件與銀行網(wǎng)銀服務(wù)器之間通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證�����。
所述安全認(rèn)證協(xié)議包括
1)公鑰證書的分發(fā)首先�����,證書服務(wù)器為銀行網(wǎng)銀服務(wù)器和終端用戶生成各自的公鑰證書���;其次證書服務(wù)器離線向安全TF卡寫入銀行網(wǎng)銀服務(wù)器公鑰證書���;然后證書服務(wù)器通知銀行網(wǎng)銀服務(wù)器用戶公鑰證書����;
2)安全認(rèn)證主設(shè)備和銀行網(wǎng)銀服務(wù)器之間通過公鑰證書,實(shí)現(xiàn)終端用戶與銀行雙方身份認(rèn)證�����,安全認(rèn)證協(xié)議所發(fā)送的消息如下
c->s PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne))���, c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs))���,
其中��,C表示主設(shè)備發(fā)送方��,S表示銀行網(wǎng)銀服務(wù)器接收方�;PEc表示用C的公鑰加密����, SIGc表示用C的私鑰簽名表示用S的公鑰加密,SIGs表示用S的私鑰簽名����;Nc表示發(fā)送方產(chǎn)生的驗(yàn)證因子,Ns表示接收方產(chǎn)生的驗(yàn)證因子�����;TIMEcs表示交易的操作時(shí)間����, TYPEcs表示交易的操作種類,AMOUNTcs表示操作金額��,EXTcs表示預(yù)留擴(kuò)展部分。所述通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證進(jìn)一步包括
第一步�,交易開始后,主設(shè)備發(fā)送方向服務(wù)器接收方發(fā)出用服務(wù)器接收方證書公鑰加密認(rèn)證請求��,請求內(nèi)容包括發(fā)送方的標(biāo)識C和終端產(chǎn)生驗(yàn)證因子Nc ��;
第二步���,銀行網(wǎng)銀服務(wù)器根據(jù)當(dāng)前使用網(wǎng)銀的用戶信息查找該用戶相應(yīng)的證書����,并在向證書服務(wù)器驗(yàn)證該證書合法性后�,產(chǎn)生一個(gè)驗(yàn)證因子Ns,利用自己的私鑰對Nc進(jìn)行簽名后與當(dāng)前交易的交易操作時(shí)間TIMEcs����,交易操作種類TYPEcs,操作金額AMOUNTcs�����,預(yù)留擴(kuò)展部分EXTcs等信息用接收方的加密公鑰加密��,然后傳給主設(shè)備C �;
第三步,主設(shè)備對銀行網(wǎng)銀服務(wù)器發(fā)送來的密文信息進(jìn)行脫密(先用自身的私鑰脫密����, 再用預(yù)存的銀行網(wǎng)銀服務(wù)器的公鑰簽證服務(wù)器簽名),檢查Nc —致后�;
第四步,驗(yàn)證通過后�,主設(shè)備對TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私鑰簽名后��,連同Ns —起�����,用銀行網(wǎng)銀服務(wù)器的公鑰加密后傳送給網(wǎng)銀服務(wù)器����;
第五步,銀行網(wǎng)銀服務(wù)器將收到的Ns與原來的Ns進(jìn)行比較�����。若相同�,表示雙方身份安全認(rèn)證通過,交易成功�。同時(shí)將主設(shè)備對TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私鑰簽名結(jié)果保存?zhèn)浒?�;若不相同���,則交易失敗。該安全認(rèn)證方法使用安全TF卡作為網(wǎng)銀個(gè)人認(rèn)證介質(zhì)�����、在電腦或移動(dòng)終端系統(tǒng) (以下簡稱主設(shè)備)中增加網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件和建立安全認(rèn)證協(xié)議三個(gè)步驟���。所述的安全TF卡是一種安全智能TF卡類密碼產(chǎn)品��,安全智能TF卡選用密碼芯片�、SD控制器和Flash并封裝在一起����,安全智能TF卡的接口封裝形式為TF,安全TF卡支持對稱����、非對稱密碼算法和摘要算法,存儲用戶證書����,用于用戶身份識別、提供安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息的安全存儲��,安全TF卡為相應(yīng)的移動(dòng)終端系統(tǒng)提供對應(yīng)的調(diào)用接口庫���,移動(dòng)終端系統(tǒng)通過這些接口庫實(shí)現(xiàn)對安全TF卡的操作�。所述的網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件包括與主設(shè)備內(nèi)網(wǎng)銀應(yīng)用程序進(jìn)行交互的第一組件模塊和與安全TF卡進(jìn)行交互的第二組件模塊兩個(gè)基本部分�����。網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件在系統(tǒng)啟動(dòng)時(shí)運(yùn)行�,網(wǎng)銀應(yīng)用程序通過調(diào)用第一組件模塊與銀行網(wǎng)銀服務(wù)器之間通過本發(fā)明所述的安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證,在身份認(rèn)證過程中�����,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí)���,就調(diào)用第二組件模塊以調(diào)用安全TF卡所提供的調(diào)用接口庫�,進(jìn)行相關(guān)操作�����。
權(quán)利要求
1.一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法��,其特征在于網(wǎng)銀應(yīng)用控制組件通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第一組件模塊與銀行網(wǎng)銀服務(wù)器之間進(jìn)行雙方身份認(rèn)證,在身份認(rèn)證過程中��,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí)��,通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第二組件模塊來調(diào)用安全TF卡所提供的調(diào)用接口庫�����,進(jìn)行相關(guān)操作����。
2.如權(quán)利要求1所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法,其特征在于所述安全TF卡選用密碼芯片����、SD控制器和Flash封裝在一起,接口封裝形式為TF���。
3.如權(quán)利要求1所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法�����,其特征在于所述安全TF卡支持對稱��、非對稱密碼算法和摘要算法����,存儲用戶證書�、安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息。
4.如權(quán)利要求1所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法�����,其特征在于網(wǎng)銀應(yīng)用控制組件與銀行網(wǎng)銀服務(wù)器之間通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證���。
5.如權(quán)利要求4所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法��,其特征在于所述安全認(rèn)證協(xié)議包括1)公鑰證書的分發(fā)首先���,證書服務(wù)器為銀行網(wǎng)銀服務(wù)器和終端用戶生成各自的公鑰證書;其次證書服務(wù)器離線向安全TF卡寫入銀行網(wǎng)銀服務(wù)器公鑰證書���;然后證書服務(wù)器通知銀行網(wǎng)銀服務(wù)器用戶公鑰證書����;2)安全認(rèn)證主設(shè)備和銀行網(wǎng)銀服務(wù)器之間通過公鑰證書���,實(shí)現(xiàn)終端用戶與銀行雙方身份認(rèn)證����,安全認(rèn)證協(xié)議所發(fā)送的消息如下c->s PEs(C, Ne),S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)),c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs))���,其中�����,C表示主設(shè)備發(fā)送方���,S表示銀行網(wǎng)銀服務(wù)器接收方;PEc表示用C的公鑰加密����, SIGc表示用C的私鑰簽名表示用S的公鑰加密,SIGs表示用S的私鑰簽名�;Nc表示發(fā)送方產(chǎn)生的驗(yàn)證因子,Ns表示接收方產(chǎn)生的驗(yàn)證因子�����;TIMEcs表示交易的操作時(shí)間�, TYPEcs表示交易的操作種類,AMOUNTcs表示操作金額,EXTcs表示預(yù)留擴(kuò)展部分����。
6.如權(quán)利要求5所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法,其特征在于所述通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證進(jìn)一步包括第一步��,交易開始后�����,主設(shè)備發(fā)送方向服務(wù)器接收方發(fā)出用服務(wù)器接收方證書公鑰加密認(rèn)證請求�,請求內(nèi)容包括發(fā)送方的標(biāo)識C和終端產(chǎn)生驗(yàn)證因子Nc ��;第二步����,銀行網(wǎng)銀服務(wù)器根據(jù)當(dāng)前使用網(wǎng)銀的用戶信息查找該用戶相應(yīng)的證書,并在向證書服務(wù)器驗(yàn)證該證書合法性后��,產(chǎn)生一個(gè)驗(yàn)證因子Ns��,利用自己的私鑰對Nc進(jìn)行簽名后與當(dāng)前交易的交易操作時(shí)間TIMEcs���,交易操作種類TYPEcs�,操作金額AMOUNTcs,預(yù)留擴(kuò)展部分EXTcs等信息用接收方的加密公鑰加密�,然后傳給主設(shè)備C ;第三步�����,主設(shè)備對銀行網(wǎng)銀服務(wù)器發(fā)送來的密文信息進(jìn)行脫密(先用自身的私鑰脫密�����, 再用預(yù)存的銀行網(wǎng)銀服務(wù)器的公鑰簽證服務(wù)器簽名)���,檢查Nc —致后��;第四步��,驗(yàn)證通過后�����,主設(shè)備對TIMEcs�����,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私鑰簽名后��,連同Ns —起�,用銀行網(wǎng)銀服務(wù)器的公鑰加密后傳送給網(wǎng)銀服務(wù)器;第五步����,銀行網(wǎng)銀服務(wù)器將收到的Ns與原來的Ns進(jìn)行比較,若相同����,表示雙方身份安全認(rèn)證通過,交易成功����,同時(shí)將主設(shè)備對TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私鑰簽名結(jié)果保存?zhèn)浒?��;若不相同�,則交易失敗�。
7.一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證系統(tǒng),其特征在于包括安全 TF卡��,存儲用戶證書����、安全控制策略和相應(yīng)安全算法以及用戶重要信息和交易信息,為相應(yīng)的主設(shè)備提供對應(yīng)的調(diào)用接口庫;網(wǎng)上銀行遠(yuǎn)程支付服務(wù)組件�,包括第一組件模塊,用于與主設(shè)備內(nèi)網(wǎng)銀應(yīng)用控制組件進(jìn)行交互���,以及第二組件模塊���,用于與安全TF卡進(jìn)行交互;網(wǎng)銀應(yīng)用控制組件��,用于調(diào)用所述第一組件模塊與銀行網(wǎng)銀服務(wù)器之間進(jìn)行雙方身份認(rèn)證���, 在身份認(rèn)證過程中��,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí)�,調(diào)用所述第二組件模塊以調(diào)用安全TF卡所提供的調(diào)用接口庫���,進(jìn)行相關(guān)操作��。
8.如權(quán)利要求7所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證系統(tǒng)����,其特征在于所述安全TF卡選用密碼芯片�、SD控制器和Flash封裝在一起��,接口封裝形式為TF�����。
9.如權(quán)利要求7所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證系統(tǒng)�����,其特征在于網(wǎng)銀應(yīng)用控制組件與銀行網(wǎng)銀服務(wù)器之間通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證����。
10.如權(quán)利要求9所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證系統(tǒng)�����,其特征在于所述安全認(rèn)證協(xié)議包括1)公鑰證書的分發(fā)首先��,證書服務(wù)器為銀行網(wǎng)銀服務(wù)器和終端用戶生成各自的公鑰證書����;其次證書服務(wù)器離線向安全TF卡寫入銀行網(wǎng)銀服務(wù)器公鑰證書�����;然后證書服務(wù)器通知銀行網(wǎng)銀服務(wù)器用戶公鑰證書��;2)安全認(rèn)證主設(shè)備和銀行網(wǎng)銀服務(wù)器之間通過公鑰證書���,實(shí)現(xiàn)終端用戶與銀行雙方身份認(rèn)證,安全認(rèn)證協(xié)議所發(fā)送的消息如下c->s PEs(C, Ne),S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)),c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),其中��,C表示主設(shè)備發(fā)送方�����,S表示銀行網(wǎng)銀服務(wù)器接收方�;PEc表示用C的公鑰加密, SIGc表示用C的私鑰簽名表示用S的公鑰加密,SIGs表示用S的私鑰簽名;Nc表示發(fā)送方產(chǎn)生的驗(yàn)證因子����,Ns表示接收方產(chǎn)生的驗(yàn)證因子��;TIMEcs表示交易的操作時(shí)間, TYPEcs表示交易的操作種類,AMOUNTcs表示操作金額����,EXTcs表示預(yù)留擴(kuò)展部分。
11.如權(quán)利要求10所述的基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證系統(tǒng)���,其特征在于所述通過安全認(rèn)證協(xié)議進(jìn)行雙方身份認(rèn)證進(jìn)一步包括第一步�����,交易開始后����,主設(shè)備發(fā)送方向服務(wù)器接收方發(fā)出用服務(wù)器接收方證書公鑰加密認(rèn)證請求��,請求內(nèi)容包括發(fā)送方的標(biāo)識C和終端產(chǎn)生驗(yàn)證因子Nc ;第二步���,銀行網(wǎng)銀服務(wù)器根據(jù)當(dāng)前使用網(wǎng)銀的用戶信息查找該用戶相應(yīng)的證書��,并在向證書服務(wù)器驗(yàn)證該證書合法性后,產(chǎn)生一個(gè)驗(yàn)證因子Ns���,利用自己的私鑰對Nc進(jìn)行簽名后與當(dāng)前交易的交易操作時(shí)間TIMEcs,交易操作種類TYPEcs����,操作金額AMOUNTcs�,預(yù)留擴(kuò)展部分EXTcs等信息用接收方的加密公鑰加密����,然后傳給主設(shè)備C ���;第三步,主設(shè)備對銀行網(wǎng)銀服務(wù)器發(fā)送來的密文信息進(jìn)行脫密(先用自身的私鑰脫密���, 再用預(yù)存的銀行網(wǎng)銀服務(wù)器的公鑰簽證服務(wù)器簽名)���,檢查Nc —致后����;第四步�����,驗(yàn)證通過后����,主設(shè)備對TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私鑰簽名后�,連同Ns —起,用銀行網(wǎng)銀服務(wù)器的公鑰加密后傳送給網(wǎng)銀服務(wù)器�����;第五步���,銀行網(wǎng)銀服務(wù)器將收到的Ns與原來的Ns進(jìn)行比較����,若相同����,表示雙方身份安全認(rèn)證通過��,交易成功��,同時(shí)將主設(shè)備對TIMEcs�,TYPEcs, AMOUNTcs, EXTcs等交易信息的私鑰簽名結(jié)果保存?zhèn)浒?�;若不相同���,則交易失敗�。
全文摘要
本發(fā)明涉及一種基于安全TF卡的網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證方法及系統(tǒng)�����,網(wǎng)銀應(yīng)用控制組件通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第一組件模塊與銀行網(wǎng)銀服務(wù)器之間進(jìn)行雙方身份認(rèn)證����,在身份認(rèn)證過程中���,當(dāng)需要使用安全TF卡的安全服務(wù)時(shí)��,通過調(diào)用網(wǎng)上銀行遠(yuǎn)程支付組件的第二組件模塊來調(diào)用安全TF卡所提供的調(diào)用接口庫,進(jìn)行相關(guān)操作��,將安全TF卡應(yīng)用于到網(wǎng)上銀行遠(yuǎn)程支付的安全認(rèn)證中����,通過使用安全TF卡����,并結(jié)合本發(fā)明中提出的方法���,便可以用安全TF卡代替?zhèn)鹘y(tǒng)的USBKey在使用網(wǎng)上銀行進(jìn)行遠(yuǎn)程支付時(shí)進(jìn)行個(gè)人身份認(rèn)證,從而將這種安全的網(wǎng)上銀行的身份認(rèn)證方式應(yīng)用于更廣泛的設(shè)備和環(huán)境之中�����。
文檔編號H04L9/32GK102238194SQ201110228400
公開日2011年11月9日 申請日期2011年8月10日 優(yōu)先權(quán)日2011年8月10日
發(fā)明者何駿, 劉熙胖, 常朝穩(wěn), 李平, 梁松濤, 王曙光, 董建強(qiáng), 趙國磊 申請人:鄭州信大捷安信息技術(shù)股份有限公司