專利名稱：基于usb安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)及使用方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)上銀行客戶端系統(tǒng)，尤其涉及一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)及使用方法，該系統(tǒng)利用USB安全存儲加密卡，加載安全操作系統(tǒng)和網(wǎng)上銀行客戶端，并實(shí)現(xiàn)網(wǎng)上銀行用戶的身份驗(yàn)證、網(wǎng)上銀行數(shù)據(jù)的加密，從而保證網(wǎng)上銀行用戶的操作和數(shù)據(jù)安全。
背景技術(shù)：
隨著網(wǎng)上銀行業(yè)務(wù)的發(fā)展，網(wǎng)上銀行系統(tǒng)的安全問題成為越來越重要的研究課題。網(wǎng)上銀行系統(tǒng)的安全主要包括客戶端系統(tǒng)安全、服務(wù)端系統(tǒng)安全和數(shù)據(jù)傳輸安全以及用戶身份認(rèn)證。其中，服務(wù)端系統(tǒng)安全由銀行采用各種安全措施控制；數(shù)據(jù)傳輸安全主要依賴TLS (SSL)協(xié)議保證；用戶身份認(rèn)證主要依賴口令認(rèn)證、動態(tài)密碼、數(shù)字證書等方式，數(shù)字證書是其中最安全的方式，網(wǎng)上銀行用戶不僅依賴數(shù)字證書進(jìn)行登錄，還可以用數(shù)字證書進(jìn)行簽名以保證交易的安全性和不可否認(rèn)性；網(wǎng)上銀行客戶端系統(tǒng)包括用戶計(jì)算機(jī)的操作系統(tǒng)和瀏覽器，客戶端系統(tǒng)的安全一般依賴用戶自己控制。由于網(wǎng)上銀行用戶通常不具備專業(yè)的信息安全知識，不能很好的保證客戶端系統(tǒng)的安全，而如果用戶的客戶端系統(tǒng)存在安全問題，則用戶的敏感信息甚至數(shù)字證書都有可能被非法獲取，因而威脅到網(wǎng)上銀行系統(tǒng)的安全。當(dāng)前的計(jì)算機(jī)，大都提供USB接口。USB安全存儲加密卡可以為系統(tǒng)提供對稱密鑰、非對稱密鑰、Hash函數(shù)等密碼運(yùn)算，也可以儲存數(shù)字證書。將網(wǎng)上銀行客戶端系統(tǒng)嵌入 USB安全存儲加密卡中，可以更好的保護(hù)網(wǎng)上銀行客戶端系統(tǒng)的安全，同時可以利用USB安全存儲卡的密碼運(yùn)算功能，保證用戶身份認(rèn)證安全和數(shù)據(jù)傳輸安全。據(jù)此，提出本發(fā)明。以上所述USB安全存儲加密卡為本領(lǐng)域通用的USB安全存儲加密卡，尤其是以鄭州信大捷安信息技術(shù)有限公司于2010年7月1日申請的申請?zhí)?01020265723. 1，名稱為 “一種USB安全存儲加密卡”為基礎(chǔ)，該申請全部內(nèi)容被結(jié)合于此作為參考。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)及使用方法，該系統(tǒng)利用USB安全存儲加密卡提供的加密、簽名、Hash等算法，保證網(wǎng)上銀行客戶端系統(tǒng)的安全，使網(wǎng)上銀行交易具有更好的安全性。本發(fā)明的目的是這樣實(shí)現(xiàn)的
一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于該系統(tǒng)包括嵌入式操作系統(tǒng)、瀏覽器、瀏覽器網(wǎng)上銀行插件、密碼令牌接口和USB安全存儲加密卡五個部分。該系統(tǒng)是獨(dú)立于計(jì)算機(jī)基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)?；赨SB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)的五個組成部分之間的連接關(guān)系見圖1，其中USB安全存儲加密卡內(nèi)置有提供基礎(chǔ)密碼服務(wù)的軟件，并作為存儲設(shè)備為其它幾個部分提供存儲空間。瀏覽器網(wǎng)上銀行插件遵循瀏覽器制定的標(biāo)準(zhǔn)，通過瀏覽器插件標(biāo)準(zhǔn)協(xié)議連接到瀏覽器；瀏覽器支持PKCS#11標(biāo)準(zhǔn)接口，通過PKCS#11標(biāo)準(zhǔn)接口連接到密碼令牌接口 ；密碼令牌接口遵循操作系統(tǒng)接口規(guī)范，利用系統(tǒng)調(diào)用的方式連接到嵌入式操作系統(tǒng)；嵌入式操作系統(tǒng)通過SCSI接口和APDU指令集連接到USB安全存儲加密卡，訪問其內(nèi)置的基礎(chǔ)密碼服務(wù)。所述瀏覽器網(wǎng)上銀行插件利用USB安全存儲加密卡內(nèi)置的密碼運(yùn)算服務(wù)，按照網(wǎng)上銀行的交易規(guī)則或協(xié)議，完成網(wǎng)上銀行交易的數(shù)據(jù)加密、簽名、身份認(rèn)證等功能。所述瀏覽器指支持HTTP、HTTPS、TLS (SSL)等協(xié)議、兼容各種HTML版本、支持XML 以及各種前端腳本技術(shù)、能有效訪問網(wǎng)上銀行網(wǎng)站的互聯(lián)網(wǎng)瀏覽器。瀏覽器為網(wǎng)上銀行客戶端提供統(tǒng)一的人機(jī)交互界面，且瀏覽器支持PKCS#11標(biāo)準(zhǔn)接口。所述密碼令牌接口指按照PKCS#11標(biāo)準(zhǔn)封裝的密碼運(yùn)算服務(wù)，向上為瀏覽器提供標(biāo)準(zhǔn)的訪問接口，向下通過系統(tǒng)調(diào)用與操作系統(tǒng)通信，最終達(dá)到訪問USB安全存儲加密卡內(nèi)置的密碼服務(wù)的目的。所述嵌入式操作系統(tǒng)指根據(jù)特定需要定制的、可從USB啟動計(jì)算機(jī)的操作系統(tǒng)。 該操作系統(tǒng)啟動時需要輸入USB安全存儲加密卡的pin碼，并且利用USB安全存儲加密卡的密碼算法進(jìn)行完整性等驗(yàn)證，防止操作系統(tǒng)被篡改，保證操作系統(tǒng)安全。所述USB安全存儲加密卡為本領(lǐng)域通用的USB安全存儲加密卡，USB安全存儲加密卡提供基礎(chǔ)密碼運(yùn)算服務(wù)，并為網(wǎng)上銀行客戶端系統(tǒng)提供存儲空間。所述USB安全存儲加密卡是指鄭州信大捷安信息技術(shù)有限公司于2010年7月1 日申請的申請?zhí)?0102(^65723. 1，名稱為“一種USB安全存儲加密卡”中所述的安全存儲加 S卡。一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，包括以下步驟
(1)啟動嵌入式操作系統(tǒng)；
(2)啟動瀏覽器；
(3)登陸網(wǎng)上銀行；
(4)進(jìn)行網(wǎng)上銀行交易；
(5)退出網(wǎng)上銀行。步驟(1)包括將部署了網(wǎng)上銀行客戶端系統(tǒng)軟件的USB安全存儲加密卡插入計(jì)算機(jī)的USB接口，選擇從USB設(shè)備啟動計(jì)算機(jī)；在嵌入式操作系統(tǒng)啟動時輸入pin碼，然后對客戶端系統(tǒng)軟件進(jìn)行完整性驗(yàn)證，最后安全啟動嵌入式操作系統(tǒng)。
步驟(2)包括系統(tǒng)自動啟動瀏覽器，由用戶選擇登錄某銀行網(wǎng)站或輸入URL瀏覽網(wǎng)頁。步驟(3 )包括系統(tǒng)通過密碼令牌接口在USB安全存儲加密卡中查找數(shù)字證書，找到數(shù)字證書后，客戶端系統(tǒng)使用數(shù)字證書登錄網(wǎng)上銀行，與網(wǎng)上銀行服務(wù)器進(jìn)行TLS (SSL) 雙向認(rèn)證，并協(xié)商會話密鑰，建立TLS (SSL)安全信道。如果系統(tǒng)沒有在USB安全存儲加密卡中查找到數(shù)字證書，則首先用銀行提供的密碼、pin碼以及手機(jī)驗(yàn)證碼等從網(wǎng)上銀行服務(wù)端下載數(shù)字證書，由系統(tǒng)保存在USB安全存儲加密卡中。
系統(tǒng)允許用戶在瀏覽器啟動時選擇登錄網(wǎng)上銀行或者瀏覽網(wǎng)頁進(jìn)行交易時登錄網(wǎng)上銀行。步驟(4)包括成功登陸網(wǎng)上銀行后，對于每種交易，瀏覽器插件都按照網(wǎng)上銀行的規(guī)則或者協(xié)議，通過密碼令牌接口調(diào)用USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，對數(shù)據(jù)進(jìn)行加密、簽名、Hash等運(yùn)算，最終使用TLS (SSL)安全信道傳送數(shù)據(jù)到網(wǎng)上銀行服務(wù)端。步驟(5)包括系統(tǒng)允許用戶直接退出網(wǎng)上銀行或者在一個較短時間內(nèi)，網(wǎng)上銀行自動超時退出。本發(fā)明的積極效果如下
利用USB安全存儲加密卡的密碼運(yùn)算功能，構(gòu)建安全的網(wǎng)上銀行客戶端系統(tǒng)。避免了因客戶端環(huán)境不可靠導(dǎo)致的網(wǎng)上銀行系統(tǒng)的安全威脅，同時，利用USB安全存儲加密卡的密碼運(yùn)算功能，提供保證數(shù)據(jù)傳輸安全和身份認(rèn)證安全的方法。


圖1是基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)各部分之間的連接關(guān)系圖。
具體實(shí)施例方式如圖1所示，一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于 該系統(tǒng)包括嵌入式操作系統(tǒng)、瀏覽器、瀏覽器網(wǎng)上銀行插件、密碼令牌接口和USB安全存儲加密卡五個部分。所述嵌入式操作系統(tǒng)指根據(jù)特定需要定制的、從USB啟動計(jì)算機(jī)的操作系統(tǒng)，該操作系統(tǒng)啟動時需要輸入USB安全存儲加密卡的pin碼，并且利用USB安全存儲加密卡的密碼算法進(jìn)行完整性驗(yàn)證，防止操作系統(tǒng)被篡改，保證操作系統(tǒng)安全，嵌入式操作系統(tǒng)通過 SCSI接口或APDU指令集訪問USB安全存儲加密卡。所述瀏覽器指支持HTTP、HTTPS、TLS (SSL)協(xié)議、兼容各種HTML版本、支持XML以及各種前端腳本技術(shù)、能有效訪問網(wǎng)上銀行網(wǎng)站的互聯(lián)網(wǎng)瀏覽器，瀏覽器為網(wǎng)上銀行客戶端提供統(tǒng)一的人機(jī)交互界面以及提供對密碼令牌接口標(biāo)準(zhǔn)(PKCS# 11)的支持。所述瀏覽器網(wǎng)上銀行插件通過密碼令牌接口訪問USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，按照網(wǎng)上銀行的交易規(guī)則或協(xié)議，完成網(wǎng)上銀行交易的數(shù)據(jù)加密、簽名、身份認(rèn)證功能。所述密碼令牌接口按照PKCS#11標(biāo)準(zhǔn)封裝USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，為上層的瀏覽器和網(wǎng)上銀行插件提供統(tǒng)一的接口，向下通過操作系統(tǒng)的SCSI接口或 APDU指令訪問USB安全存儲加密卡提供的密碼服務(wù)。所述USB安全存儲加密卡為本領(lǐng)域通用的USB安全存儲加密卡，USB安全存儲加密卡提供基礎(chǔ)密碼運(yùn)算服務(wù)，并為網(wǎng)上銀行客戶端系統(tǒng)提供存儲空間。所述USB安全存儲加密卡是指鄭州信大捷安信息技術(shù)有限公司于2010年7月1 日申請的申請?zhí)?0102(^65723. 1，名稱為“一種USB安全存儲加密卡”中所述的安全存儲加S卡。一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，包括以下步驟
(1)啟動嵌入式操作系統(tǒng)；
(2)啟動瀏覽器；
(3)登陸網(wǎng)上銀行；
(4)進(jìn)行網(wǎng)上銀行交易；
(5)退出網(wǎng)上銀行。步驟(1)包括將部署了網(wǎng)上銀行客戶端系統(tǒng)軟件的USB安全存儲加密卡插入計(jì)算機(jī)的USB接口，選擇從USB設(shè)備啟動計(jì)算機(jī)；在嵌入式操作系統(tǒng)啟動時輸入pin碼，然后對客戶端系統(tǒng)軟件進(jìn)行完整性驗(yàn)證，最后安全啟動嵌入式操作系統(tǒng)。
步驟(2)包括系統(tǒng)自動啟動瀏覽器，由用戶選擇登錄某銀行網(wǎng)站或輸入URL瀏覽網(wǎng)頁。步驟(3 )包括系統(tǒng)通過密碼令牌接口在USB安全存儲加密卡中查找數(shù)字證書，找到數(shù)字證書后，客戶端系統(tǒng)使用數(shù)字證書登錄網(wǎng)上銀行，與網(wǎng)上銀行服務(wù)器進(jìn)行TLS (SSL) 雙向認(rèn)證，并協(xié)商會話密鑰，建立TLS (SSL)安全信道。如果系統(tǒng)沒有在USB安全存儲加密卡中查找到數(shù)字證書，則首先用銀行提供的密碼、pin碼以及手機(jī)驗(yàn)證碼等從網(wǎng)上銀行服務(wù)端下載數(shù)字證書，由系統(tǒng)保存在USB安全存儲加密卡中。系統(tǒng)允許用戶在瀏覽器啟動時選擇登錄網(wǎng)上銀行或者瀏覽網(wǎng)頁進(jìn)行交易時登錄網(wǎng)上銀行。步驟(4)包括成功登陸網(wǎng)上銀行后，對于每種交易，瀏覽器插件都按照網(wǎng)上銀行的規(guī)則或者協(xié)議，通過密碼令牌接口調(diào)用USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，對數(shù)據(jù)進(jìn)行加密、簽名、Hash等運(yùn)算，最終使用TLS (SSL)安全信道傳送數(shù)據(jù)到網(wǎng)上銀行服務(wù)端。步驟(5)包括系統(tǒng)允許用戶直接退出網(wǎng)上銀行或者在一個較短時間內(nèi)，網(wǎng)上銀行自動超時退出?！N獨(dú)立于計(jì)算機(jī)基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)。其特征在于該系統(tǒng)包括嵌入式操作系統(tǒng)、瀏覽器、瀏覽器網(wǎng)上銀行插件、密碼令牌接口和USB安全存儲加密卡五個部分。所述嵌入式操作系統(tǒng)指嵌入在USB安全存儲加密卡中的、根據(jù)特定需要定制的、 可從USB啟動計(jì)算機(jī)的操作系統(tǒng)。該操作系統(tǒng)啟動時需要USB安全存儲加密卡的pin碼， 并且利用USB安全存儲加密卡的密碼算法進(jìn)行完整性等驗(yàn)證，防止操作系統(tǒng)被篡改，保證操作系統(tǒng)安全。所述瀏覽器指支持HTTP、HTTPS、TLS (SSL)等協(xié)議、兼容各種HTML版本、支持XML 以及各種前端腳本技術(shù)、能有效訪問網(wǎng)上銀行網(wǎng)站的互聯(lián)網(wǎng)瀏覽器。瀏覽器為網(wǎng)上銀行客戶端提供統(tǒng)一的人機(jī)交互界面。此外，瀏覽器提供對密碼令牌接口標(biāo)準(zhǔn)(PKCS# 11)的支持。所述瀏覽器網(wǎng)上銀行插件可以通過密碼令牌接口訪問USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，按照網(wǎng)上銀行的交易規(guī)則或協(xié)議，完成網(wǎng)上銀行交易的數(shù)據(jù)加密、簽名、 身份認(rèn)證等功能。 所述密碼令牌接口按照PKCS#11標(biāo)準(zhǔn)封裝USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，為上層的各密碼應(yīng)用提供統(tǒng)一的接口。操作系統(tǒng)、瀏覽器、瀏覽器插件均需通過密碼令牌接口才能訪問USB安全存儲加密卡提供的密碼服務(wù)。所述USB安全存儲加密卡為本領(lǐng)域通用的USB安全存儲加密卡，尤其是指鄭州信大捷安信息技術(shù)有限公司于2010年7月1日申請的申請?zhí)?0102(^65723. 1，名稱為“一種 USB安全存儲加密卡”的安全存儲加密卡。USB安全存儲加密卡提供基礎(chǔ)密碼運(yùn)算服務(wù)，并為網(wǎng)上銀行客戶端系統(tǒng)提供存儲空間。具體實(shí)施步驟如下
1)嵌入式操作系統(tǒng)啟動將部署了網(wǎng)上銀行客戶端系統(tǒng)軟件的USB安全存儲加密卡插入計(jì)算機(jī)的USB接口，選擇從USB設(shè)備啟動計(jì)算機(jī)。嵌入式操作系統(tǒng)啟動需要輸入pin碼， 然后對客戶端系統(tǒng)軟件進(jìn)行完整性驗(yàn)證，最后安全啟動嵌入式操作系統(tǒng)。2)啟動瀏覽器系統(tǒng)自動啟動瀏覽器，由用戶選擇登錄某銀行網(wǎng)站或輸入URL瀏覽網(wǎng)頁。3)登錄網(wǎng)上銀行系統(tǒng)允許用戶在瀏覽器啟動時選擇登錄網(wǎng)上銀行或者瀏覽網(wǎng)頁進(jìn)行交易時登錄網(wǎng)上銀行。登錄網(wǎng)上銀行時，系統(tǒng)通過密碼令牌接口在USB安全存儲加密卡中查找數(shù)字證書，如不能找到數(shù)字證書則首先需要用銀行提供的密碼、Pin碼以及手機(jī)驗(yàn)證碼等從網(wǎng)上銀行服務(wù)端下載數(shù)字證書，由系統(tǒng)保存在USB安全存儲加密卡中。下載或找到數(shù)字證書后，客戶端系統(tǒng)使用數(shù)字證書登錄網(wǎng)上銀行，與網(wǎng)上銀行服務(wù)器進(jìn)行TLS (SSL) 雙向認(rèn)證，并協(xié)商會話密鑰，建立TLS (SSL)安全信道。4)進(jìn)行網(wǎng)上銀行交易成功登錄網(wǎng)上銀行后，用戶可選擇進(jìn)行付款、轉(zhuǎn)賬等一系列網(wǎng)上銀行交易。對于每種交易，瀏覽器插件都按照網(wǎng)上銀行的規(guī)則或者協(xié)議，通過密碼令牌接口調(diào)用USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，對數(shù)據(jù)進(jìn)行加密、簽名、Hash等運(yùn)算， 最終使用TLS (SSL)安全信道傳送數(shù)據(jù)到網(wǎng)上銀行服務(wù)端。調(diào)用USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)時，按照交易規(guī)則，有時需要輸入Pin碼。5)退出網(wǎng)上銀行完成網(wǎng)上銀行交易后，系統(tǒng)允許用戶直接退出網(wǎng)上銀行或者在一個較短時間內(nèi)，網(wǎng)上銀行自動超時退出。通過本發(fā)明，可以有效控制網(wǎng)上銀行客戶端運(yùn)行環(huán)境，避免客戶端運(yùn)行環(huán)境變化帶來的安全威脅，保證網(wǎng)上銀行客戶端系統(tǒng)的安全，使網(wǎng)上銀行交易具有更好的安全性。盡管已經(jīng)參考優(yōu)選實(shí)施例對本發(fā)明進(jìn)行闡述，本領(lǐng)域技術(shù)人員應(yīng)該理解，可以針對本發(fā)明進(jìn)行不同的修改和變形而不脫離本發(fā)明的范圍。
權(quán)利要求
1.一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于該系統(tǒng)包括嵌入式操作系統(tǒng)、瀏覽器、瀏覽器網(wǎng)上銀行插件、密碼令牌接口和USB安全存儲加密卡五個部分。
2.根據(jù)權(quán)利要求1所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于所述嵌入式操作系統(tǒng)指根據(jù)特定需要定制的、從USB啟動計(jì)算機(jī)的操作系統(tǒng)，該操作系統(tǒng)啟動時需要輸入USB安全存儲加密卡的pin碼，并且利用USB安全存儲加密卡的密碼算法進(jìn)行完整性驗(yàn)證，防止操作系統(tǒng)被篡改，保證操作系統(tǒng)安全，嵌入式操作系統(tǒng)通過SCSI 接口或APDU指令集訪問USB安全存儲加密卡。
3.根據(jù)權(quán)利要求1所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于所述瀏覽器指支持HTTP、HTTPS、TLS (SSL)協(xié)議、兼容各種HTML版本、支持XML以及各種前端腳本技術(shù)、能有效訪問網(wǎng)上銀行網(wǎng)站的互聯(lián)網(wǎng)瀏覽器，瀏覽器為網(wǎng)上銀行客戶端提供統(tǒng)一的人機(jī)交互界面以及提供對密碼令牌接口標(biāo)準(zhǔn)(PKCS# 11)的支持。
4.根據(jù)權(quán)利要求1所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于所述瀏覽器網(wǎng)上銀行插件通過密碼令牌接口訪問USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，按照網(wǎng)上銀行的交易規(guī)則或協(xié)議，完成網(wǎng)上銀行交易的數(shù)據(jù)加密、簽名、身份認(rèn)證功能。
5.根據(jù)權(quán)利要求1所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于所述密碼令牌接口按照PKCS#11標(biāo)準(zhǔn)封裝USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，為上層的瀏覽器和網(wǎng)上銀行插件提供統(tǒng)一的接口，向下通過操作系統(tǒng)的SCSI接口或APDU指令訪問USB安全存儲加密卡提供的密碼服務(wù)。
6.根據(jù)權(quán)利要求1所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于所述USB安全存儲加密卡為本領(lǐng)域通用的USB安全存儲加密卡，USB安全存儲加密卡提供基礎(chǔ)密碼運(yùn)算服務(wù)，并為網(wǎng)上銀行客戶端系統(tǒng)提供存儲空間。
7.根據(jù)權(quán)利要求1所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)，其特征在于所述USB安全存儲加密卡是指鄭州信大捷安信息技術(shù)有限公司于2010年7月1日申請的申請?zhí)?0102(^65723. 1，名稱為“一種USB安全存儲加密卡”中所述的安全存儲加密卡。
8.一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，包括以下步驟(1)啟動嵌入式操作系統(tǒng)；(2)啟動瀏覽器；(3)登陸網(wǎng)上銀行；(4)進(jìn)行網(wǎng)上銀行交易；(5)退出網(wǎng)上銀行。
9.根據(jù)權(quán)利要求8所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，步驟(1)包括將部署了網(wǎng)上銀行客戶端系統(tǒng)軟件的USB安全存儲加密卡插入計(jì)算機(jī)的USB接口，選擇從USB設(shè)備啟動計(jì)算機(jī)；在嵌入式操作系統(tǒng)啟動時輸入pin碼，然后對客戶端系統(tǒng)軟件進(jìn)行完整性驗(yàn)證，最后安全啟動嵌入式操作系統(tǒng)。
10.根據(jù)權(quán)利要求8所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，步驟(2)包括系統(tǒng)自動啟動瀏覽器，由用戶選擇登錄某銀行網(wǎng)站或輸入URL瀏覽網(wǎng)頁。
11.根據(jù)權(quán)利要求8所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，步驟(3)包括系統(tǒng)通過密碼令牌接口在USB安全存儲加密卡中查找數(shù)字證書，找到數(shù)字證書后，客戶端系統(tǒng)使用數(shù)字證書登錄網(wǎng)上銀行，與網(wǎng)上銀行服務(wù)器進(jìn)行TLS (SSL) 雙向認(rèn)證，并協(xié)商會話密鑰，建立TLS (SSL)安全信道。
12.根據(jù)權(quán)利要求11所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于如果系統(tǒng)沒有在USB安全存儲加密卡中查找到數(shù)字證書，則首先用銀行提供的密碼、pin碼以及手機(jī)驗(yàn)證碼等從網(wǎng)上銀行服務(wù)端下載數(shù)字證書，由系統(tǒng)保存在USB安全存儲加密卡中。
13.根據(jù)權(quán)利要求11所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于系統(tǒng)允許用戶在瀏覽器啟動時選擇登錄網(wǎng)上銀行或者瀏覽網(wǎng)頁進(jìn)行交易時登錄網(wǎng)上銀行。
14.根據(jù)權(quán)利要求8所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，步驟(4)包括成功登陸網(wǎng)上銀行后，對于每種交易，瀏覽器插件都按照網(wǎng)上銀行的規(guī)則或者協(xié)議，通過密碼令牌接口調(diào)用USB安全存儲加密卡提供的密碼運(yùn)算服務(wù)，對數(shù)據(jù)進(jìn)行加密、簽名、Hash等運(yùn)算，最終使用TLS (SSL)安全信道傳送數(shù)據(jù)到網(wǎng)上銀行服務(wù)端。
15.根據(jù)權(quán)利要求8所述的基于USB安全存儲加密卡的網(wǎng)上銀行客戶端使用方法，其特征在于，步驟(5)包括系統(tǒng)允許用戶直接退出網(wǎng)上銀行或者在一個較短時間內(nèi)，網(wǎng)上銀行自動超時退出。
全文摘要
本發(fā)明涉及一種基于USB安全存儲加密卡的網(wǎng)上銀行客戶端系統(tǒng)及使用方法，該系統(tǒng)包括嵌入式操作系統(tǒng)、瀏覽器、瀏覽器網(wǎng)上銀行插件、密碼令牌接口和USB安全存儲加密卡五個部分，USB安全存儲加密卡為網(wǎng)上銀行客戶端系統(tǒng)提供加密、簽名、Hash基礎(chǔ)密碼運(yùn)算服務(wù)，并為客戶端系統(tǒng)提供存儲空間，嵌入式操作系統(tǒng)利用密碼服務(wù)，保證客戶端運(yùn)行環(huán)境安全，瀏覽器和瀏覽器網(wǎng)上銀行插件共同保護(hù)網(wǎng)上銀行數(shù)據(jù)傳輸安全和身份認(rèn)證安全，密碼令牌接口為客戶端系統(tǒng)訪問基礎(chǔ)密碼服務(wù)提供統(tǒng)一的標(biāo)準(zhǔn)接口，避免了因客戶端環(huán)境不可靠導(dǎo)致的網(wǎng)上銀行系統(tǒng)的安全威脅，保證網(wǎng)上銀行客戶端系統(tǒng)安全，保證數(shù)據(jù)傳輸和用戶身份認(rèn)證安全，使網(wǎng)上銀行交易更安全。
文檔編號H04L9/32GK102324008SQ20111028401
公開日2012年1月18日 申請日期2011年9月23日 優(yōu)先權(quán)日2011年9月23日
發(fā)明者何駿, 劉熙胖, 常朝穩(wěn), 李平, 梁松濤, 王曙光, 董建強(qiáng), 趙國磊 申請人:鄭州信大捷安信息技術(shù)股份有限公司