基于帶外認(rèn)證的移動(dòng)金融安全方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及基于帶外認(rèn)證的移動(dòng)金融安全方法��,屬于網(wǎng)絡(luò)身份認(rèn)證領(lǐng)域�。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)管理可分為帶外管理(out-of-band)和帶內(nèi)管理(in-band)兩種管理模式。所謂帶內(nèi)管理��,是指網(wǎng)絡(luò)的管理控制信息與用戶網(wǎng)絡(luò)的承載業(yè)務(wù)信息通過同一個(gè)邏輯信道傳送�;而在帶外管理模式中,網(wǎng)絡(luò)的管理控制信息與用戶網(wǎng)絡(luò)的承載業(yè)務(wù)信息在不同的邏輯信道傳送�����。
[0003]目前的手機(jī)網(wǎng)銀登錄模式都是賬號(hào)和密碼的驗(yàn)證模式�,只要輸入賬號(hào)和密碼就可以登錄,沒有其他的安全保護(hù)措施��。而且數(shù)據(jù)通道(帶內(nèi)網(wǎng)段)和認(rèn)證通道(帶外網(wǎng)段)在同一個(gè)網(wǎng)絡(luò)中��,如果賬號(hào)和密碼被不法分子所截獲或者篡改�,那么任何人都能夠登錄手機(jī)網(wǎng)銀做任何的交易活動(dòng)。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供基于帶外認(rèn)證的移動(dòng)金融安全方法���,主要解決現(xiàn)有手機(jī)網(wǎng)銀登錄模式安全性低���、容易被不法分子篡改的問題���。
[0005]為了實(shí)現(xiàn)上述目的,本發(fā)明采用的技術(shù)方案如下:
基于帶外認(rèn)證的移動(dòng)金融安全方法����,包括如下步驟:
帶外網(wǎng)段操作:
(1)用戶使用信任設(shè)備完成本地登錄認(rèn)證,并訪問手機(jī)網(wǎng)銀�,信任設(shè)備生成身份認(rèn)證的一次性憑證�,該一次性憑證包含信任設(shè)備的設(shè)備信息、用戶信息以及權(quán)限信息���;
(2)信任設(shè)備將一次性憑證發(fā)送至身份認(rèn)證系統(tǒng)���;
(3)身份認(rèn)證系統(tǒng)進(jìn)行判定認(rèn)證,若通過則將判定結(jié)果通知手機(jī)網(wǎng)銀中心��,進(jìn)行步驟
(4);若不通過���,則認(rèn)證失?����?���;
步驟(I) - (3)完成后,切換至帶內(nèi)網(wǎng)段操作���;
帶內(nèi)網(wǎng)段操作:
(4)手機(jī)網(wǎng)銀中心接收身份認(rèn)證系統(tǒng)的判定結(jié)果�����;
(5)手機(jī)網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機(jī)網(wǎng)銀的信道��;
(6)信任設(shè)備成功訪問手機(jī)網(wǎng)銀����;
所述帶內(nèi)網(wǎng)段操作在服務(wù)請(qǐng)求網(wǎng)段上進(jìn)行�,帶外網(wǎng)段操作在身份認(rèn)證網(wǎng)段上進(jìn)行,并且服務(wù)請(qǐng)求網(wǎng)段與身份認(rèn)證網(wǎng)段不同時(shí)開放���。
[0006]其中�,信任設(shè)備是指通過注冊(cè)認(rèn)證的智能設(shè)備,該智能設(shè)備在管理者處具有唯一識(shí)別的信息和硬件的信息����,而唯一識(shí)別的信息和硬件的信息成為了每次都需要認(rèn)證的授權(quán)信息的一個(gè)部分。用戶在使用智能設(shè)備欲訪問手機(jī)網(wǎng)銀時(shí)��,身份認(rèn)證系統(tǒng)首先會(huì)對(duì)該智能設(shè)備進(jìn)行判斷���,確實(shí)其是否為信任設(shè)備��。身份認(rèn)證系統(tǒng)可以由一個(gè)服務(wù)器提供身份認(rèn)證��。
[0007]信任設(shè)備的注冊(cè)流程為: (a)用戶通過信任設(shè)備掃描注冊(cè)二維碼��;
(b)用戶設(shè)置登陸密碼��;
(c)信任設(shè)備按照策略讀取信任設(shè)備的硬件信息,形成含有設(shè)備信息和硬件信息的加密的信息包���;
Cd)信任設(shè)備生成注冊(cè)信息并將注冊(cè)信息發(fā)送至身份認(rèn)證系統(tǒng)����;
(e)身份認(rèn)證系統(tǒng)解密注冊(cè)信息�,并判定注冊(cè)信息是否正確,若是�����,則根據(jù)注冊(cè)信息生成驗(yàn)證碼;若否���,返回錯(cuò)誤結(jié)果�����;
Cf)身份認(rèn)證系統(tǒng)加密形成包含有驗(yàn)證碼的私鑰����;
(g)身份認(rèn)證系統(tǒng)預(yù)存私鑰�����,同時(shí)�,發(fā)送私鑰給信任設(shè)備;
(h)信任設(shè)備保存私鑰并使用私鑰生成確認(rèn)注冊(cè)的一次性憑證OTA����,一次性憑證OTA包含有:設(shè)備信息、用戶信息及對(duì)應(yīng)的權(quán)限信息����;
(i)信任設(shè)備將確認(rèn)注冊(cè)信息連同一次性憑證OTA發(fā)送到身份認(rèn)證系統(tǒng)����;
(j)身份認(rèn)證系統(tǒng)接收確認(rèn)注冊(cè)信息并判斷確認(rèn)注冊(cè)信息是否正確�,若是,則執(zhí)行下一步�,若否,則返回錯(cuò)誤結(jié)果��;
(k)身份認(rèn)證系統(tǒng)轉(zhuǎn)存對(duì)應(yīng)的設(shè)備信息�、用戶信息及對(duì)應(yīng)的權(quán)限信息到正式注冊(cè)表,返回注冊(cè)成功���。
[0008]進(jìn)一步地��,所述步驟(I)的具體實(shí)現(xiàn)過程為:
(11)用戶打開信任設(shè)備��,輸入密碼取回私鑰��,根據(jù)私鑰及輸入信息登錄信任設(shè)備,完成本地登錄認(rèn)證��;
(12)訪問手機(jī)網(wǎng)銀����,信任設(shè)備根據(jù)私鑰生成身份認(rèn)證的一次性憑證一0ΤΑ�����。
[0009]進(jìn)一步地�,所述步驟(3)的具體實(shí)現(xiàn)過程為:
(31)身份認(rèn)證系統(tǒng)解密OTA;
(32)身份認(rèn)證系統(tǒng)判定認(rèn)證OTA的設(shè)備信息��、用戶信息以及權(quán)限信息��,若認(rèn)證通過��,則將判定結(jié)果通知手機(jī)網(wǎng)銀中心��;若認(rèn)證不通過����,則認(rèn)證失敗����;
(33)認(rèn)證結(jié)束后系統(tǒng)關(guān)閉身份認(rèn)證網(wǎng)段。
[0010]再進(jìn)一步地�����,所述手機(jī)網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機(jī)網(wǎng)銀的信道的同時(shí),還授予該信任設(shè)備訪問手機(jī)網(wǎng)銀的權(quán)限���。
[0011]與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下有益效果:
(I)本發(fā)明完全規(guī)避了賬號(hào)和密碼的輸入過程����,也就是說沒有輸入賬號(hào)密碼的操作����,不法分子無法截獲這類信息,同時(shí)認(rèn)證通道是通過手機(jī)的信道完成的��,獨(dú)立于數(shù)據(jù)通道�����,只有認(rèn)證通過后��,系統(tǒng)才會(huì)發(fā)送打開數(shù)據(jù)通道的請(qǐng)求���,從而打開數(shù)據(jù)通道����。
[0012](2)本發(fā)明不同實(shí)現(xiàn)過程在不同的網(wǎng)段內(nèi)進(jìn)行�����,其中使用信任設(shè)備訪問手機(jī)網(wǎng)銀和身份認(rèn)證在帶外網(wǎng)段進(jìn)行����,授權(quán)信任設(shè)備訪問手機(jī)網(wǎng)銀在帶內(nèi)網(wǎng)段進(jìn)行,并且兩個(gè)過程不同時(shí)進(jìn)行��,即兩個(gè)過程進(jìn)行時(shí)網(wǎng)段是唯一的��,避免了不法分子監(jiān)聽和竊取�����,提高了安全性�����。
【具體實(shí)施方式】
[0013]下面結(jié)合實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明�,本發(fā)明的實(shí)施方式包括但不限于下列實(shí)施例。
[0014]我們稱服務(wù)請(qǐng)求網(wǎng)段為帶內(nèi)網(wǎng)段�,相對(duì)于服務(wù)請(qǐng)求網(wǎng)段,身份認(rèn)證網(wǎng)段就被稱之為帶外網(wǎng)段�。這種通過兩個(gè)網(wǎng)段����,或者說通過兩個(gè)獨(dú)立的網(wǎng)絡(luò)的身份認(rèn)證模式就是雙通道帶外認(rèn)證����。
實(shí)施例
[0015]基于帶外認(rèn)證的移動(dòng)金融安全方法,包括步驟:
1����、帶內(nèi)網(wǎng)段操作(服務(wù)請(qǐng)求網(wǎng)段):
1.1用戶打開信任設(shè)備中的APP ;
1.2輸入設(shè)定的密碼����;
1.3 APP根據(jù)輸入密碼取回私鑰;
1.4 APP根據(jù)私鑰及輸入信息完成基于設(shè)備的本地登錄驗(yàn)證�;
1.5驗(yàn)證成功,APP本地登錄完成����;
1.6用戶點(diǎn)擊“網(wǎng)銀一鍵登陸”;
1.7信任設(shè)備根據(jù)私鑰生成身份認(rèn)證的一次性憑證一OTA���,該一次性憑證包含信任設(shè)備的設(shè)備信息����、用戶信息以及權(quán)限信息;
1.8信任設(shè)備通過移動(dòng)網(wǎng)絡(luò)���,將OTA發(fā)送到身份認(rèn)證系統(tǒng);
1.9身份認(rèn)證系統(tǒng)按照約定解密OTA ����;
1.10身份認(rèn)證系統(tǒng)判定設(shè)備信息、用戶信息及權(quán)限信息����;
1.11身份認(rèn)證系統(tǒng)判定認(rèn)證通過,則將判定結(jié)果通知手機(jī)網(wǎng)銀中心���;如判定不通過���,返回身份認(rèn)證失敗信息,結(jié)束認(rèn)證��。
[0016]在完成步驟1.1-1.11后��,身份認(rèn)證網(wǎng)段將關(guān)閉�����。
[0017]2、帶外網(wǎng)段操作(身份認(rèn)證網(wǎng)段):
2.1手機(jī)網(wǎng)銀中心收到身份認(rèn)證系統(tǒng)的判定結(jié)果信息�����;
2.2手機(jī)網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機(jī)網(wǎng)銀的信道�;
2.3手機(jī)網(wǎng)銀中心授予該信任設(shè)備訪問手機(jī)網(wǎng)銀的權(quán)限;
2.4信任設(shè)備成功訪問手機(jī)網(wǎng)銀�。
[0018]在步驟2.1-2.4完成后,登陸手機(jī)網(wǎng)銀的流程完成���。
[0019]按照上述實(shí)施例��,便可很好地實(shí)現(xiàn)本發(fā)明�����。值得說明的是���,基于上述結(jié)構(gòu)設(shè)計(jì)的前提下,為解決同樣的技術(shù)問題�,即使在本發(fā)明上做出一些無實(shí)質(zhì)性的改動(dòng)或潤色,所采用的技術(shù)方案的實(shí)質(zhì)仍然與本發(fā)明一樣��,故其也應(yīng)當(dāng)在本發(fā)明的保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1.基于帶外認(rèn)證的移動(dòng)金融安全方法�,其特征在于,包括如下步驟: 帶外網(wǎng)段操作: (1)用戶使用信任設(shè)備完成本地登錄認(rèn)證��,并訪問手機(jī)網(wǎng)銀�,信任設(shè)備生成身份認(rèn)證的一次性憑證,該一次性憑證包含信任設(shè)備的設(shè)備信息�、用戶信息以及權(quán)限信息; (2)信任設(shè)備將一次性憑證發(fā)送至身份認(rèn)證系統(tǒng)����; (3)身份認(rèn)證系統(tǒng)進(jìn)行判定認(rèn)證����,若通過則將判定結(jié)果通知手機(jī)網(wǎng)銀中心,進(jìn)行步驟(4);若不通過���,則認(rèn)證失??��; 步驟(I) - (3)完成后���,切換至帶內(nèi)網(wǎng)段操作; 帶內(nèi)網(wǎng)段操作: (4)手機(jī)網(wǎng)銀中心接收身份認(rèn)證系統(tǒng)的判定結(jié)果; (5)手機(jī)網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機(jī)網(wǎng)銀的信道����; (6)信任設(shè)備成功訪問手機(jī)網(wǎng)銀; 所述帶內(nèi)網(wǎng)段操作在服務(wù)請(qǐng)求網(wǎng)段上進(jìn)行�,帶外網(wǎng)段操作在身份認(rèn)證網(wǎng)段上進(jìn)行,并且服務(wù)請(qǐng)求網(wǎng)段與身份認(rèn)證網(wǎng)段不同時(shí)開放�����。
2.根據(jù)權(quán)利要求1所述的基于帶外認(rèn)證的移動(dòng)金融安全方法��,其特征在于����,所述信任設(shè)備為在身份認(rèn)證系統(tǒng)中存儲(chǔ)有與之對(duì)應(yīng)的唯一的識(shí)別碼信息和設(shè)備信息的智能設(shè)備。
3.根據(jù)權(quán)利要求2所述的基于帶外認(rèn)證的移動(dòng)金融安全方法�����,其特征在于���,所述步驟(I)的具體實(shí)現(xiàn)過程為: (11)用戶打開信任設(shè)備�����,輸入密碼���,根據(jù)輸入信息登錄信任設(shè)備進(jìn)行本地登錄認(rèn)證����,認(rèn)證成功�����,則本地登錄完成��; (12)訪問手機(jī)網(wǎng)銀����,信任設(shè)備生成身份認(rèn)證的一次性憑證一OTA����。
4.根據(jù)權(quán)利要求3所述的基于帶外認(rèn)證的移動(dòng)金融安全方法,其特征在于���,所述步驟(3)的具體實(shí)現(xiàn)過程為: (31)身份認(rèn)證系統(tǒng)解密OTA; (32)身份認(rèn)證系統(tǒng)判定認(rèn)證OTA的設(shè)備信息��、用戶信息以及權(quán)限信息��,若認(rèn)證通過���,則將判定結(jié)果通知手機(jī)網(wǎng)銀中心��;若認(rèn)證不通過����,則認(rèn)證失?�?���; (33)認(rèn)證結(jié)束后系統(tǒng)關(guān)閉身份認(rèn)證網(wǎng)段。
5.根據(jù)權(quán)利要求1-4任意一項(xiàng)所述的基于帶外認(rèn)證的移動(dòng)金融安全方法��,其特征在于��,所述手機(jī)網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機(jī)網(wǎng)銀的信道的同時(shí)����,還授予該信任設(shè)備訪問手機(jī)網(wǎng)銀的權(quán)限。
【專利摘要】本發(fā)明公開了基于帶外認(rèn)證的移動(dòng)金融安全方法��。包括步驟:帶外網(wǎng)段操作:(1)用戶使用信任設(shè)備訪問手機(jī)網(wǎng)銀����,信任設(shè)備生成身份認(rèn)證的一次性憑證��;(2)將一次性憑證發(fā)送至身份認(rèn)證系統(tǒng)���;(3)身份認(rèn)證系統(tǒng)進(jìn)行判定認(rèn)證,若通過則將判定結(jié)果通知手機(jī)網(wǎng)銀中心���;若不通過�,則認(rèn)證失?��?;切換至帶內(nèi)網(wǎng)段操作��;帶內(nèi)網(wǎng)段操作:(4)手機(jī)網(wǎng)銀中心接收判定結(jié)果�����;(5)手機(jī)網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機(jī)網(wǎng)銀的信道�;(6)信任設(shè)備成功訪問手機(jī)網(wǎng)銀���。本發(fā)明規(guī)避了賬號(hào)和密碼的輸入過程��,不法分子無法截獲這類信息��,同時(shí)認(rèn)證通道獨(dú)立于數(shù)據(jù)通道���,只有認(rèn)證通過后��,系統(tǒng)才會(huì)發(fā)送打開數(shù)據(jù)通道的請(qǐng)求���,從而打開數(shù)據(jù)通道,安全性高�����。
【IPC分類】G06Q20-38, G06Q20-40
【公開號(hào)】CN104680373
【申請(qǐng)?zhí)枴緾N201510103785
【發(fā)明人】胥寅, 張采榮
【申請(qǐng)人】四川省寧潮科技有限公司
【公開日】2015年6月3日
【申請(qǐng)日】2015年3月10日