專利名稱:一種手機銀行客戶端信息認(rèn)證系統(tǒng)及移動終端的制作方法
技術(shù)領(lǐng)域:
本實用新型關(guān)于手機銀行信息安全技術(shù)�,特別是關(guān)于在手機銀行中實現(xiàn)安全的用戶身份認(rèn)證以及數(shù)據(jù)加密傳輸?shù)募夹g(shù)����,具體地講是一種手機銀行客戶端信息認(rèn)證系統(tǒng)及移動終端。
背景技術(shù):
手機銀行系統(tǒng)經(jīng)歷了短信手機銀行�、WAP手機銀行���、客戶端手機銀行等幾個發(fā)展階段����。由于客戶端手機銀行可以提供最好的客戶體驗�,因此客戶端手機銀行必將成為技術(shù)主流��。在B/S架構(gòu)下的現(xiàn)有技術(shù)中��,手機銀行的客戶端工作界面是通過手機瀏覽器來實現(xiàn)的���,主要事務(wù)邏輯在服務(wù)器端(Server)實現(xiàn)。用戶不用安裝任何專門的軟件��,使用操作系統(tǒng)自帶的瀏覽器軟件就可以訪問互聯(lián)網(wǎng)應(yīng)用����,這便使得手機銀行可選的安全手段有限, 銀行只能采用安全傳輸層協(xié)議(TLS)��、用戶名密碼校驗等傳統(tǒng)的B/S技術(shù)標(biāo)準(zhǔn)實現(xiàn)系統(tǒng)安全��。在C/S架構(gòu)下的現(xiàn)有技術(shù)中���,手機銀行客戶端����、手機銀行服務(wù)器端共同構(gòu)成完整的客戶端手機銀行系統(tǒng)��。客戶端手機銀行突破了 B/S架構(gòu)的技術(shù)限制��,安全控制手段更加靈活多樣���,銀行可以根據(jù)自身安全要求做個性化設(shè)計開發(fā)���。也正是由于手機銀行客戶端開發(fā)的靈活性,使得手機銀行的安全控制強度主要由銀行自身決定��。如果銀行仍然單純采用TLS��、用戶名密碼校驗作為唯一的安全控制手段����,則在安全方面存在弊端簡單的用戶名/密碼認(rèn)證體系比較容易被破解或釣魚;通過TLS協(xié)議只能保證數(shù)據(jù)在公網(wǎng)傳輸通道中的安全性���, 不能保證客戶端內(nèi)部�����,以及銀行內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)安全(例如用戶的關(guān)鍵數(shù)據(jù)可能在銀行內(nèi)部網(wǎng)絡(luò)被銀行內(nèi)部員工截獲)���。目前手機客戶端軟件開發(fā)平臺提供的功能已經(jīng)非常豐富�,第三方應(yīng)用程序開發(fā)者可以通過平臺提供的API操作手機硬件功能���,或獲取手機硬件信息,充分利用這些手機特有技術(shù)�,應(yīng)用于手機銀行安全領(lǐng)域,可以提高手機銀行安全控制強度���,達到開展銀行業(yè)務(wù)的安全要求����。
實用新型內(nèi)容本實用新型實施例提供了一種手機銀行客戶端信息認(rèn)證系統(tǒng)及移動終端�����,以解決客戶端手機銀行系統(tǒng)信息安全性的問題�����。本實用新型的目的之一是�,提供一種手機銀行客戶端信息認(rèn)證系統(tǒng),該系統(tǒng)包括 手機���、WAP網(wǎng)關(guān)�、手機號獲取服務(wù)器和手機銀行服務(wù)器;手機通過無線網(wǎng)絡(luò)連接WAP網(wǎng)關(guān)��; WAP網(wǎng)關(guān)通過互聯(lián)網(wǎng)連接手機號獲取服務(wù)器����;WAP網(wǎng)關(guān)和手機號獲取服務(wù)器分別通過互聯(lián)網(wǎng)連接手機銀行服務(wù)器;手機銀行服務(wù)器包括綁定關(guān)系存儲器��,存儲手機號碼與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù)和手機IMEI與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù)��;登錄信息接收裝置�,接收手機的手機號碼和IMEI ;驗證信息輸出裝置����,分別與綁定關(guān)系存儲器和登錄信息接收裝置相連接,輸出接收的手機號碼和IMEI與對應(yīng)的綁定關(guān)系中的手機號碼和IMEI的匹配結(jié)果信息���;手機中設(shè)置有客戶端芯片����,客戶端芯片包括SIM卡信息讀取裝置�,讀取手機的SIM卡信息;硬件信息讀取裝置��,讀取手機的IMEI ;通信裝置����,分別與SIM卡信息讀取裝置和硬件信息讀取裝置相連接����,輸出讀取的手機的SIM卡信息和手機的IMEI ; WAP網(wǎng)關(guān)接收手機的SIM卡信息和手機的IMEI����,并根據(jù)SIM卡信息提取對應(yīng)的手機號碼,轉(zhuǎn)發(fā)包含手機號碼的手機號獲取指令����,并轉(zhuǎn)發(fā)IMEI ;手機號獲取服務(wù)器接收包含手機號碼的手機號獲取指令��,提取出手機號碼并輸出��。綁定關(guān)系存儲器還存儲手機特定運動軌跡信息與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù)�����;登錄信息接收裝置還接收手機的運動軌跡信息�����;驗證信息輸出裝置還輸出手機的運動軌跡信息與對應(yīng)的綁定關(guān)系中的手機特定運動軌跡信息的匹配結(jié)果信息;客戶端芯片還包括運動軌跡讀取裝置����,讀取手機的運動軌跡信息;通信裝置����,與運動軌跡獲取裝置相連接,輸出手機的運動軌跡信息���。綁定關(guān)系存儲器還存儲手機觸摸屏特定觸摸軌跡信息與手機銀行注冊客戶信息的綁定關(guān)系數(shù)據(jù)�;登錄信息接收裝置還接收手機的觸摸屏觸摸軌跡信息�;驗證信息輸出裝置還輸出手機的觸摸屏觸摸軌跡信息與對應(yīng)的綁定關(guān)系中的手機觸摸屏特定觸摸軌跡信息的匹配結(jié)果信息;客戶端芯片還包括觸摸軌跡讀取裝置���,讀取手機的觸摸屏觸摸軌跡信息����;通信裝置���,與觸摸軌跡獲取裝置相連接��,輸出手機的觸摸屏觸摸軌跡信息���。本實用新型的目的之一是���,提供一種手機銀行客戶端移動終端���,該移動終端包括 手機本體��、SIM卡和客戶端芯片�,客戶端芯片設(shè)置在手機本體中��;其中�,客戶端芯片包括: SIM卡信息讀取裝置,讀取手機的SIM卡信息���;硬件信息讀取裝置���,讀取手機的IMEI ;通信裝置�,分別與SIM卡信息讀取裝置和硬件信息讀取裝置相連接,輸出讀取的手機號獲取指令和手機的IMEI���。手機本體包括加速度傳感器��;客戶端芯片還包括運動軌跡讀取裝置��,用于讀取手機本體的運動軌跡信息�;通信裝置與運動軌跡讀取裝置相連接,輸出讀取的運動軌跡信肩���、ο手機本體包括觸摸屏�����;客戶端芯片還包括觸摸軌跡讀取裝置���,讀取手機的觸摸屏觸摸軌跡信息;通信裝置與觸摸軌跡讀取裝置相連接���,輸出加密的觸摸屏觸摸軌跡信息�。本實用新型可以廣泛用于手機銀行應(yīng)用的多個場景����,本實用新型結(jié)合了手機硬件特征,可以增加手機銀行安全控制�,體現(xiàn)在如下方面1)綁定手機硬件信息將用戶手機硬件信息與手機銀行注冊信息綁定���,可以確保用戶只有使用自己的手機才能操作銀行賬戶。 即使用戶名密碼被竊取����,盜取人也無法操作被盜取人的銀行賬戶,造成經(jīng)濟損失���?����;媒壎ㄓ脩鬝IM卡通過將用戶手機號與手機銀行注冊信息綁定,可以確保用戶只有使用自己的SIM 卡才能操作銀行賬戶��。即使用戶名密碼被竊取�����,盜取人也無法操作被盜取人的銀行賬戶����,造成經(jīng)濟損失?;脤⒂脩舻某质謾C時的特定手勢作為安全認(rèn)證手段����,進一步加強了手機銀行登錄的安全性���。4)將用戶在手機觸摸屏上觸摸出的特定軌跡作為安全認(rèn)證手段�,進一步加強了手機銀行登錄的安全性�����。
為了更清楚地說明本實用新型實施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面描述中的附圖僅僅是本實用新型的一些實施例,對于本領(lǐng)域技術(shù)人員來講���,在不付出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本實用新型實施例手機與SIM卡及客戶端芯片的設(shè)置關(guān)系示意圖;圖2為本實用新型實施例手機銀行客戶端信息認(rèn)證系統(tǒng)連接示意圖���;圖3為本實用新型實施例系統(tǒng)的客戶端芯片的結(jié)構(gòu)框圖�����;圖4為本實用新型實施例系統(tǒng)的手機銀行服務(wù)器的結(jié)構(gòu)框圖����;圖5為本實用新型實施例手機的電路原理圖��;圖6為本實用新型實施例手機的客戶端芯片的原理框圖�����;圖7為本實用新型實施例與手機通信的手機銀行服務(wù)器的原理框圖�;圖8為本實用新型實施例手機銀行客戶端信息認(rèn)證系統(tǒng)工作流程圖�����。
具體實施方式
下面將結(jié)合本實用新型實施例中的附圖��,對本實用新型實施例中的技術(shù)方案進行清楚���、完整地描述�,顯然,所描述的實施例僅僅是本實用新型一部分實施例��,而不是全部的實施例�。基于本實用新型中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本實用新型保護的范圍����。本實施例方法是將手機終端設(shè)備自身具有的特點與對稱密鑰加密、非對稱密鑰加密����、安全傳輸層(TLS)協(xié)議等已有安全技術(shù)相結(jié)合,形成一套手機銀行安全保障體系�����。如圖1所示����,客戶手機100上安裝了手機銀行客戶端芯片101和SIM卡102��?��?蛻舳诵酒?01可以是芯片或存儲卡。將客戶端芯片接入手機100的對應(yīng)的接口或客戶端存儲卡直接插入手機100的存儲卡插槽����。SIM卡102為硬件裝置,插于手機100的SIM卡插槽中����。通過廠商提供的應(yīng)用編程接口,應(yīng)用開發(fā)商可以讀取手機設(shè)備的硬件信息����,包括但不限于國際移動設(shè)備身份碼 international Mobile Equipment Identity,IMEI)�。IMEI 是全球手機設(shè)備制造商遵循統(tǒng)一的命名規(guī)則對每一部手機設(shè)備編號,可以保證全球范圍內(nèi)唯一�����。將手機硬件信息與手機銀行用戶綁定���,限制用戶只能使用綁定的手機設(shè)備登錄手機銀行進行操作,可以做到“只有利用這臺手機才能夠操作對應(yīng)的銀行賬戶”,從而增強安全控制����。用戶使用手機銀行,請求從手機客戶端芯片發(fā)出�����,首先進入移動運營商的無線網(wǎng)絡(luò)���,運營商通過基站完成無線網(wǎng)到有線網(wǎng)的轉(zhuǎn)換��,最終請求通過運營商的WAP網(wǎng)關(guān)經(jīng) Internet網(wǎng)絡(luò)接入銀行系統(tǒng)����。移動運營商通過SIM卡對用戶鑒權(quán)���、計算網(wǎng)絡(luò)流量及費用��。 運營商可以識別用戶身份����,通過存儲在SIM卡中的國際移動用戶識別碼(International Mobile Subscriber Identification Number, IMSI)找到對應(yīng)的手機號��。當(dāng)用戶的手機號獲取請求到達運營商WAP網(wǎng)關(guān)時,WAP網(wǎng)關(guān)可以將用戶手機號加入到請求頭域�����,并傳輸給運營商手機號獲取服務(wù)器�����。運營商手機號獲取服務(wù)器通過解析可以得到請求中的手機號��,并通過ffeb Service等標(biāo)準(zhǔn)接口向銀行提供手機號信息�����。這樣����,通過與移動運營商合作,銀行端可以自動獲取用戶當(dāng)前SIM卡對應(yīng)的手機號���。手機號自動獲取�,一方面可以減少手機用戶的操作步驟�,不需要手工輸入用戶名信息;另一方面�����,手機號自動獲取可以做到“只有擁有該手機號SIM卡的人才有可能操作對應(yīng)的銀行賬戶”���,即完成SIM卡與手機銀行注冊客戶的綁定�,增加安全控制���。[0026]目前高端智能手機均支持觸摸屏操作��,用戶使用手指在屏幕上操作�����,系統(tǒng)可以識別用戶輕觸���、重?fù)簟⒒瑒?、長按、雙擊���、三擊等不同動作�。部分手機支持多點觸控(采用電容式觸摸屏)�,更可以識別放大�����、縮小�����、同時多點觸碰等更為豐富的動作�。以上動作在手機應(yīng)用技術(shù)中稱為“手勢”(Gesture)��。特別是部分高端手機內(nèi)置加速計硬件裝置����,可以感知手機本身所處的角度、手機移動的速度����、加速度、甚至移動軌跡����。這類手機可以支持的手勢更加多樣化,用戶可以上下左右晃動手機�����,形成不同的手勢。第三方應(yīng)用開發(fā)商可以通過硬件編程識別用戶的手勢�����,因此可以在手機銀行客戶端中增加手勢錄入功能��,供用戶預(yù)留個性化�����、自定義手勢�。自定義手勢數(shù)字化后保存��,與手機銀行注冊信息綁定�����,可用于安全領(lǐng)域的以下(但不限于)場景手機銀行客戶端芯片的解鎖手機銀行客戶端在一定時間內(nèi)沒有接到用戶操作后����,自我鎖定。用戶解鎖時�,可以輸入手勢動作,系統(tǒng)識別用戶手勢�����,與預(yù)留手勢比對,如果吻合���,則解鎖成功����。用于手機銀行登錄登錄過程中要求用戶輸入手勢����,驗證通過后才能登錄成功。作為密鑰的組成因子手勢可以作為密鑰的生成因子之一�����,增強密鑰本身的安全性��。如圖2所示��,本實用新型實施例的手機銀行客戶端信息認(rèn)證系統(tǒng)包括客戶手機 100��、移動運營商WAP網(wǎng)關(guān)200�����、移動運營商手機號獲取服務(wù)器300、手機銀行服務(wù)器400�、銀行客戶信息系統(tǒng)500?���?蛻羰謾C100通過運營商無線蜂窩網(wǎng)絡(luò)連接運營商基站;運營商基站通過運營商內(nèi)部有線網(wǎng)絡(luò)連接移動運營商WAP網(wǎng)關(guān)200 ���;移動運營商WAP網(wǎng)關(guān)200通過互聯(lián)網(wǎng)連接移動運營商手機號獲取服務(wù)器300 ;移動運營商WAP網(wǎng)關(guān)200����、移動運營商手機號獲取服務(wù)器300通過hternet連接手機銀行服務(wù)器400,銀行在手機銀行服務(wù)器400和 Internet之間部署有防火墻�����;手機銀行服務(wù)器400通過銀行內(nèi)部網(wǎng)絡(luò)和銀行客戶信息系統(tǒng) 500連接��。如圖3所示��,手機100中設(shè)置有客戶端芯片101���,客戶端芯片101包括SIM卡信息讀取裝置1011����,讀取手機的SIM卡信息;硬件信息讀取裝置1012��,讀取手機的IMEI ��;通信裝置1013�,分別與SIM卡信息讀取裝置1011和硬件信息讀取裝置1012相連接,輸出讀取的手機號獲取指令和手機的IMEI����。手機本體包括加速度傳感器;客戶端芯片還包括運動軌跡讀取裝置1014�����,用于讀取手機本體的運動軌跡信息����;通信裝置1013與運動軌跡讀取裝置1014相連接,輸出讀取的運動軌跡信息���。手機本體包括觸摸屏���;客戶端芯片還包括觸摸軌跡讀取裝置1015����,讀取手機的觸摸屏觸摸軌跡信息����;通信裝置1013與觸摸軌跡讀取裝置1015相連接,輸出加密的觸摸屏觸摸軌跡信息����。WAP網(wǎng)關(guān)200用于接收手機號獲取指令,并根據(jù)SIM卡信息獲取到對應(yīng)的手機號碼���,生成并轉(zhuǎn)發(fā)包含所述手機號碼的手機號獲取指令;并接收硬件IMEI���,并轉(zhuǎn)發(fā)硬件信息 IMEI �����;手機號獲取服務(wù)器300用于接收包含手機號碼的手機號獲取指令����,提取出手機號碼并輸出。如圖4所示����,手機銀行服務(wù)器400包括綁定關(guān)系存儲器401,存儲手機號碼與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù)和手機IMEI與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù)�;登錄信息接收裝置402,接收手機的手機號碼和IMEI �����;驗證信息輸出裝置403�����,分別與綁定關(guān)系存儲器401和登錄信息接收裝置402相連接����,輸出接收的手機號碼和IMEI與對應(yīng)的綁定關(guān)系中的手機號碼和IMEI的匹配結(jié)果信息。綁定關(guān)系存儲器401還用于存儲手機特定運動軌跡信息與手機銀行注冊客戶信息的綁定關(guān)系�;登錄信息接收裝置402還用于接收所述手機的運動軌跡信息;驗證信息輸出裝置403還用于判斷所述手機的運動軌跡信息是否與對應(yīng)的綁定關(guān)系中的手機特定運動軌跡信息相匹配��,如果是則輸出登錄信息驗證通過消息�����,如果否則輸出登錄信息驗證失敗消息。綁定關(guān)系存儲器401還用于存儲手機觸摸屏特定觸摸軌跡信息與手機銀行注冊客戶信息的綁定關(guān)系�����;登錄信息接收裝置402還用于接收所述手機的觸摸屏觸摸軌跡信息��;驗證信息輸出裝置403還用于判斷所述的觸摸屏觸摸軌跡信息是否與對應(yīng)的綁定關(guān)系中的手機觸摸屏特定觸摸軌跡信息相匹配�,如果是則輸出登錄信息驗證通過消息,如果否則輸出登錄信息驗證失敗消息����。如圖5所示,客戶手機是指手機銀行用戶所使用的手機�����,進一步的手機中安裝了用戶SIM卡102以及手機銀行客戶芯片101��。手機銀行客戶端芯片101是指銀行開發(fā)的手機銀行客戶端硬件�����,安裝在用戶手機上����,用戶通過運行該硬件使用手機銀行功能?�?蛻羰謾C包括射頻單元�����、基帶電路����、中央處理器、鍵盤����、觸摸屏、FLASH�����、RAM����、加速度傳感器以及SIM 卡102和客戶端芯片101。利用加速度傳感器采集手機的運動軌跡(或稱手勢信息)�,利用觸摸屏采集客戶在手機觸摸屏上觸摸的軌跡信息。在圖2中��,移動運營商WAP網(wǎng)關(guān)200是指移動運營商擁有的WAP網(wǎng)關(guān)設(shè)備。WAP網(wǎng)關(guān)連接移動運營商內(nèi)部網(wǎng)絡(luò)和hternet互聯(lián)網(wǎng)����,負(fù)責(zé)將用戶請求發(fā)送至互聯(lián)網(wǎng)。在用戶使用手機銀行服務(wù)的一般場景下��,運營商WAP網(wǎng)關(guān)200將用戶服務(wù)請求發(fā)送至手機銀行服務(wù)器400 ���;在銀行獲取用戶手機號碼的場景下��,即客戶手機100發(fā)起手機號獲取請求時�,運營商WAP網(wǎng)關(guān)200首先識別用戶身份����,將用戶手機號碼加入到客戶請求報文頭域,再將請求發(fā)送至移動運營商手機號獲取服務(wù)器300����。移動運營商手機號獲取服務(wù)器300是指移動運營商為向銀行等第三方開發(fā)商提供手機號獲取服務(wù),提供的部署于互聯(lián)網(wǎng)的服務(wù)器設(shè)備��。在客戶手機100發(fā)起手機號獲取請求時����,從移動運營商WAP網(wǎng)關(guān)200發(fā)送的請求報文中解析出手機號,將手機號經(jīng)過數(shù)字簽名�、數(shù)據(jù)加密,發(fā)送給手機銀行服務(wù)器400����。手機銀行服務(wù)器400是指銀行端提供手機銀行業(yè)務(wù)服務(wù)的系統(tǒng)或服務(wù)器。其上部署了銀行開發(fā)的手機銀行服務(wù)器端裝置��,接受來自手機銀行客戶端芯片的請求��,并完成業(yè)務(wù)處理���。銀行客戶信息系統(tǒng)500是指銀行保存手機銀行注冊客戶信息的系統(tǒng)��。包含但不限于手機銀行的用戶注冊信息�,及與其綁定的手機IMEI信息�����、手機號等信息�����。用戶通過本系統(tǒng),使用客戶手機100作為終端設(shè)備���,接入網(wǎng)絡(luò)���,訪問銀行端系統(tǒng), 使用手機銀行功能���。用戶使用安裝在客戶手機100中的手機銀行客戶端芯片�,手機銀行客戶端芯片向手機銀行服務(wù)器400發(fā)起服務(wù)請求���,請求首先進入移動運營商的無線蜂窩網(wǎng)絡(luò)��,被移動運營商建設(shè)的基站設(shè)備接收����,然后請求經(jīng)過基站接入移動運營商內(nèi)部有線網(wǎng)絡(luò)���, 最終通過運營商WAP網(wǎng)關(guān)200接入Internet�����,到達銀行系統(tǒng)部署于hternet的手機銀行服務(wù)器400����,手機銀行服務(wù)器400接收用戶服務(wù)請求�����,完成業(yè)務(wù)處理���,返回處理結(jié)果���。所述服務(wù)請求包含但不限于客戶使用手機銀行的登錄、查詢��、轉(zhuǎn)賬等請求��,但不含手機號獲取請求����。 進一步的,當(dāng)用戶啟動安裝在客戶手機100中的手機銀行客戶端芯片�,使用登錄功能時,手機銀行客戶端芯片首先向運營商手機號獲取服務(wù)器300發(fā)起手機號獲取請求���,請求到達運營商WAP網(wǎng)關(guān)200時���,WAP網(wǎng)關(guān)將用戶手機號添加在請求頭域中�,再將請求報文轉(zhuǎn)發(fā)運營商手機號獲取服務(wù)器300��,運營商手機號獲取服務(wù)器300解析出手機號�,將手機號碼發(fā)送至手機銀行服務(wù)器400 ;銀行獲得用戶的手機號碼后�����,與銀行客戶信息系統(tǒng)500中的用戶注冊手機號碼進行比較對��,用以驗證用戶身份�。驗證成功后,手機銀行服務(wù)器400返回登錄頁面的鏈接���,鏈接經(jīng)運營商WAP網(wǎng)關(guān)200發(fā)至客戶手機100��。如圖6所示���,手機銀行客戶端芯片101進一步包括手機號獲取請求模塊111、硬件信息獲取模塊112���、數(shù)據(jù)變形模塊113��、數(shù)據(jù)加解密模塊114���、手勢處理模塊115���、安全通訊模塊116�。硬件信息獲取模塊112和數(shù)據(jù)變形模塊113連接;數(shù)據(jù)變形模塊113���、手勢處理模塊115分別與數(shù)據(jù)加解密模塊114連接�;數(shù)據(jù)加解密模塊114����、手機號獲取請求模塊111 分別與安全通訊模塊116連接。手機號獲取請求模塊111�,負(fù)責(zé)向移動運營商發(fā)起手機號獲取請求。在用戶啟動手機銀行客戶端芯片101��,使用登錄功能時�,通過該模塊首先與移動運營商交互,向移動運營商手機號獲取服務(wù)器300發(fā)起手機號獲取請求�����,運營商根據(jù)手機號獲取請求向銀行提供用戶手機號。硬件信息獲取模塊112�,負(fù)責(zé)從用戶手機中獲取用戶設(shè)備的硬件信息,包括但不限于手機的IMEI信息���。數(shù)據(jù)變形模塊113��,負(fù)責(zé)對用戶手機的IMEI信息進行一定的變形��、混淆處理��,目的是增加客戶端芯片反編譯的難度�、增加互聯(lián)網(wǎng)傳輸數(shù)據(jù)的安全性���。數(shù)據(jù)加解密模塊114��,負(fù)責(zé)對客戶端登錄時提交的關(guān)鍵信息進行加密�����,目的是增加互聯(lián)網(wǎng)傳輸數(shù)據(jù)的安全性�����。需要加密的數(shù)據(jù)包括但不限于對用戶手機的IMEI信息變形后的信息�,用戶的手勢信息、用戶登錄密碼和交易密碼�。所述加密可以是對稱加密,作為一種實施方式�,其加密過程可以是在客戶端芯片中內(nèi)置一個初始密鑰A,同時密鑰在服務(wù)器端保存一份�。加密前,服務(wù)器生成一次性隨機數(shù)B��。將A與B組合在一起構(gòu)成一次性密鑰C���。 客戶端使用密鑰C對變形后數(shù)據(jù),使用對稱密鑰算法(如3DES)進行對稱密鑰加密����。解密過程與加密過程類似,使用同樣方法計算出密鑰C���,使用密鑰C和同樣的算法解密�。手勢處理模塊115��,負(fù)責(zé)處理用戶的手勢動作��。提供手勢預(yù)留功能和手勢識別功能�����。手勢預(yù)留功能指用戶錄入自定義手勢,轉(zhuǎn)換為數(shù)字化數(shù)據(jù)保存�。手勢識別功能可以有兩種可選方式(1)本地識別,預(yù)留手勢信息保存在手勢處理模塊115中�����,識別用戶在各個功能輸入的手勢動作��,判斷與預(yù)留數(shù)據(jù)是否吻合���;(2)服務(wù)器端識別����,預(yù)留手勢動作保存在銀行客戶信息系統(tǒng)5中�����,手勢處理模塊115識別用戶在各個功能輸入的手勢動作����,將手勢動作數(shù)字化后,通過加密���,經(jīng)安全通訊模塊116將信息發(fā)送至手機銀行服務(wù)器400進行驗證����。 手勢識別功能可以要求用戶在啟動手機銀行客戶端芯片、登錄認(rèn)證或交易輸密等需要進行身份驗證的場景中進行手勢輸入和識別驗證�����。安全通訊模塊116�����,負(fù)責(zé)手機銀行客戶端芯片與手機銀行服務(wù)器之間的網(wǎng)絡(luò)通訊���。 由于客戶端與服務(wù)器之間通過互聯(lián)網(wǎng)傳輸數(shù)據(jù),通訊協(xié)議采用安全傳輸層協(xié)議(TLS)���,確保在互聯(lián)網(wǎng)中不存在明文傳輸����。所述安全通訊模塊負(fù)責(zé)從客戶端發(fā)起安全請求���。如圖7所示�����,手機銀行服務(wù)器端400���,進一步包括手機銀行綁定模塊411�、數(shù)據(jù)加解密模塊412�����、密鑰管理模塊413�、用戶身份認(rèn)證模塊414、手機銀行客戶端芯片管理模塊 415�����、安全通訊模塊416���。密鑰管理模塊413�����、用戶身份認(rèn)證模塊414����、安全通訊模塊416分別于數(shù)據(jù)加解密模塊412連接;手機銀行客戶端芯片管理模塊415與安全通訊模塊416連接����。手機銀行綁定模塊411,負(fù)責(zé)接收用戶的手機IMEI以及手機號等信息��,并保存在銀行客戶信息系統(tǒng)中����,與手機銀行用戶注冊信息綁定。用戶在銀行網(wǎng)點開通手機銀行時�����, 通過使用該模塊���,預(yù)留信息���,與用戶手機銀行注冊信息綁定�。預(yù)留信息包含但不限于手機 IMEI、手機號�。用戶信息保存在銀行客戶信息系統(tǒng)500中。數(shù)據(jù)加解密模塊412,與客戶端的數(shù)據(jù)加解密模塊114配套���、功能一致���。密鑰管理模塊413,負(fù)責(zé)密鑰的生分���、分發(fā)���、管理等內(nèi)容。本方法所涉及的密鑰包括但不限于對稱加密密鑰的初始密鑰�、一次性密鑰因子、與運營商交互時使用的非對稱密鑰 (公鑰/私鑰對)或數(shù)字證書���、用于客戶端程序二進制簽名的數(shù)字證書���。用戶身份認(rèn)證模塊414,負(fù)責(zé)驗證客戶端上送的用戶登錄信息是否正確���。驗證內(nèi)容包括但不限于用戶手機號/登錄密碼是否匹配����、驗證碼是否輸入正確、手機IMEI是否與注冊信息匹配�、用戶手勢是否正確。手機銀行客戶端芯片管理模塊415����,負(fù)責(zé)維護所有客戶端版本的信息,提供客戶端版本兼容性控制以及版本升級管理功能���。安全通訊模塊416����,與客戶端的安全通訊模塊配合�。通過部署第三方機構(gòu)頒發(fā)的服務(wù)器證書,與客戶端握手����,建立TLS安全傳輸通道,保證互聯(lián)網(wǎng)中沒有明文傳輸�。如圖8所示,本實施例的手機銀行客戶端信息認(rèn)證系統(tǒng)的工作步驟包括步驟801 用戶啟動手機銀行客戶端芯片����,使用登錄功能����;步驟802 手機號獲取請求模塊111向移動運營商發(fā)起手機號獲取請求�����;步驟803 手機號獲取請求經(jīng)過移動運營商WAP網(wǎng)關(guān)200時����,WAP網(wǎng)關(guān)200識別用戶身份����,將對應(yīng)的用戶手機號,添加至請求頭域��;并將手機號獲取請求轉(zhuǎn)發(fā)至移動運營商手機號獲取服務(wù)器300 �����;步驟804 移動運營商手機號獲取服務(wù)器300收到請求后�����,從請求頭中解析手機號���;步驟805 運營商手機號獲取服務(wù)器300將手機號經(jīng)過數(shù)字簽名���、數(shù)據(jù)加密��,發(fā)送給手機銀行服務(wù)器400 ����;步驟806 手機銀行服務(wù)器400接收到上述信息后��,進行驗簽和解密,獲得手機號, 與銀行客戶信息系統(tǒng)500中的手機銀行注冊信息比對����,驗證通過后��,通過運營商WAP網(wǎng)關(guān) 200��,返回登錄頁面的鏈接���;步驟807 手機銀行客戶端芯片顯示鏈接;步驟808 客戶通過點擊所述鏈接�,顯示由手機銀行服務(wù)器返回的登錄頁面;步驟809 硬件信息獲取模塊112讀取用戶手機的IMEI信息�;步驟810 數(shù)據(jù)變形模塊113,對用戶手機的IMEI信息做移位變形處理��;步驟811 數(shù)據(jù)加解密模塊114,使用對稱密鑰算法(如3DEQ對所述變形后的信息���,以及用戶輸入的登錄密碼、驗證碼����,一并加密后,通過運營商WAP網(wǎng)關(guān)200����,提交手機銀行服務(wù)器400 ;步驟812 手機銀行服務(wù)器400的數(shù)據(jù)加解密模塊412�,對接受到的加密信息采用對稱密鑰算法進行解密;步驟813 用戶身份認(rèn)證模塊414��,負(fù)責(zé)驗證用戶手機號/登錄密碼是否匹配���、驗證碼是否輸入正確����、手機IMEI信息是否與注冊信息匹配��。步驟814 如驗證無誤�,則檢查通過�����。步驟815 進一步地可以要求用戶在啟動手機銀行客戶端芯片��、登錄認(rèn)證或交易輸密等需要進行身份驗證的場景中����,輸入手勢動作��。本實施例中�����,以在手機銀行客戶端進行登錄驗證的場景中運用為例����。用戶根據(jù)提示輸入手勢工作(如晃動手機),手勢處理模塊 115識別用戶手勢�����,并與預(yù)留的用戶手勢進行比對�����;步驟816 判斷用戶手勢是否與預(yù)留手勢吻合;步驟817 如果判斷不相吻合�,可以要求用戶重新輸入,超過規(guī)定重試次數(shù)登錄失?���?���;步驟818 手機銀行客戶端芯片如果判斷校驗通過,登錄成功���。本實施例可以廣泛用于手機銀行應(yīng)用的多個場景�����,本實用新型結(jié)合了手機硬件特征�,可以增加手機銀行安全控制��,體現(xiàn)在如下方面1)綁定手機硬件信息將用戶手機硬件信息與手機銀行注冊信息綁定���,可以確保用戶只有使用自己的手機才能操作銀行賬戶�����。即使用戶名密碼被竊取�,盜取人也無法操作被盜取人的銀行賬戶,造成經(jīng)濟損失����。幻綁定用戶 SIM卡通過將用戶手機號與手機銀行注冊信息綁定�,可以確保用戶只有使用自己的SIM卡才能操作銀行賬戶。即使用戶名密碼被竊取���,盜取人也無法操作被盜取人的銀行賬戶�,造成經(jīng)濟損失�。幻將用戶的持手機時的特定手勢作為安全認(rèn)證手段����,進一步加強了手機銀行登錄的安全性。4)將用戶在手機觸摸屏上觸摸出的特定軌跡作為安全認(rèn)證手段�����,進一步加強了手機銀行登錄的安全性��。本實用新型中應(yīng)用了具體實施例對本實用新型的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本實用新型的方法及其核心思想�;同時,對于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本實用新型的思想�����,在具體實施方式
及應(yīng)用范圍上均會有改變之處�����,綜上所述�,本說明書內(nèi)容不應(yīng)理解為對本實用新型的限制�。
1權(quán)利要求1.一種手機銀行客戶端信息認(rèn)證系統(tǒng),其特征是��,所述的系統(tǒng)包括手機��、WAP網(wǎng)關(guān)���、手機號獲取服務(wù)器和手機銀行服務(wù)器��;所述的手機通過無線網(wǎng)絡(luò)連接所述的WAP網(wǎng)關(guān)���;所述的WAP網(wǎng)關(guān)通過互聯(lián)網(wǎng)連接所述的手機號獲取服務(wù)器���;所述的WAP網(wǎng)關(guān)和手機號獲取服務(wù)器分別通過互聯(lián)網(wǎng)連接所述的手機銀行服務(wù)器;所述的手機銀行服務(wù)器包括綁定關(guān)系存儲器����,存儲手機號碼與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù)和手機IMEI與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù);登錄信息接收裝置��, 接收所述手機的手機號碼和IMEI ���;驗證信息輸出裝置�,分別與所述的綁定關(guān)系存儲器和登錄信息接收裝置相連接����,輸出接收的手機號碼和IMEI與對應(yīng)的綁定關(guān)系中的手機號碼和 IMEI的匹配結(jié)果信息;所述的手機中設(shè)置有客戶端芯片���,所述的客戶端芯片包括SIM卡信息讀取裝置���,讀取所述手機的SIM卡信息;硬件信息讀取裝置�����,讀取所述手機的IMEI ;通信裝置���,分別與所述的SIM卡信息讀取裝置和硬件信息讀取裝置相連接��,輸出讀取的手機的SIM卡信息和手機的 IMEI �����;所述的WAP網(wǎng)關(guān)接收手機的SIM卡信息和手機的IMEI��,并根據(jù)SIM卡信息提取對應(yīng)的手機號碼�����,轉(zhuǎn)發(fā)包含所述手機號碼的手機號獲取指令,并轉(zhuǎn)發(fā)所述的IMEI �����;所述的手機號獲取服務(wù)器接收所述的包含所述手機號碼的手機號獲取指令�����,提取出所述的手機號碼并輸出。
2.根據(jù)權(quán)利要求1所述的手機銀行客戶端信息認(rèn)證系統(tǒng)�����,其特征是��,所述的綁定關(guān)系存儲器還存儲手機特定運動軌跡信息與手機銀行注冊客戶信息綁定關(guān)系數(shù)據(jù)����;所述的登錄信息接收裝置還接收所述手機的運動軌跡信息;所述的驗證信息輸出裝置還輸出所述手機的運動軌跡信息與對應(yīng)的綁定關(guān)系中的手機特定運動軌跡信息的匹配結(jié)果信息�����;所述的客戶端芯片還包括運動軌跡讀取裝置�����,讀取所述手機的運動軌跡信息���;所述的通信裝置�����,與所述的運動軌跡獲取裝置相連接�,輸出所述手機的運動軌跡信息。
3.根據(jù)權(quán)利要求1所述的手機銀行客戶端信息認(rèn)證系統(tǒng)���,其特征是����,所述的綁定關(guān)系存儲器還存儲手機觸摸屏特定觸摸軌跡信息與手機銀行注冊客戶信息的綁定關(guān)系數(shù)據(jù)���;所述的登錄信息接收裝置還接收所述手機的觸摸屏觸摸軌跡信息�;所述的驗證信息輸出裝置還輸出所述手機的觸摸屏觸摸軌跡信息與對應(yīng)的綁定關(guān)系中的手機觸摸屏特定觸摸軌跡信息的匹配結(jié)果信息����;所述的客戶端芯片還包括觸摸軌跡讀取裝置,讀取所述手機的觸摸屏觸摸軌跡信息���; 所述的通信裝置���,與所述的觸摸軌跡獲取裝置相連接,輸出所述手機的觸摸屏觸摸軌跡信肩����、ο
4.一種手機銀行客戶端移動終端�����,所述的移動終端包括手機本體和SIM卡;其特征是�����,所述的移動終端還包括客戶端芯片���,所述的客戶端芯片設(shè)置在所述的手機本體中�����;其中����,所述的客戶端芯片包括SIM卡信息讀取裝置�����,讀取所述手機的SIM卡信息����; 硬件信息讀取裝置,讀取所述手機的IMEI �����;通信裝置,分別與所述的SIM卡信息讀取裝置和硬件信息讀取裝置相連接���,輸出讀取的手機號獲取指令和手機的IMEI�。
5.根據(jù)權(quán)利要求4所述的手機銀行客戶端移動終端�,其特征是,所述的手機本體包括 加速度傳感器�;所述的客戶端芯片還包括運動軌跡讀取裝置,用于讀取所述手機本體的運動軌跡信息�����;所述的通信裝置與所述的運動軌跡讀取裝置相連接���,輸出讀取的運動軌跡信息�。
6.根據(jù)權(quán)利要求4所述的手機銀行客戶端移動終端�,其特征是,所述的手機本體包括 觸摸屏����;所述的客戶端芯片還包括觸摸軌跡讀取裝置,讀取所述手機的觸摸屏觸摸軌跡信息�;所述的通信裝置與所述的觸摸軌跡讀取裝置相連接,輸出加密的觸摸屏觸摸軌跡信息�。
專利摘要本實用新型實施例提供了一種手機銀行客戶端信息認(rèn)證系統(tǒng)及移動終端,該移動終端包括手機本體����、SIM卡和客戶端芯片,客戶端芯片設(shè)置在手機本體中��;其中�,客戶端芯片包括SIM卡信息讀取裝置,讀取手機的SIM卡信息���;硬件信息讀取裝置����,讀取手機的IMEI��;通信裝置��,分別與SIM卡信息讀取裝置和硬件信息讀取裝置相連接�����,輸出讀取的手機號獲取指令和手機的IMEI��。以解決客戶端手機銀行系統(tǒng)信息安全性的問題。
文檔編號H04L29/06GK202026332SQ201120107720
公開日2011年11月2日 申請日期2011年4月13日 優(yōu)先權(quán)日2011年4月13日
發(fā)明者周大文, 姜鵬, 張建平, 張艷, 曾凱, 朱道彬, 王怡 申請人:中國工商銀行股份有限公司