專利名稱:基于U-Key的多通道安全認證系統(tǒng)及認證方法
技術領域:
本發(fā)明涉及信息安全技術領域�,具體涉及ー種保證網(wǎng)絡交易安全的基于U-Key的多通道安全認證系統(tǒng)及認證方法。
背景技術:
隨著網(wǎng)上銀行�����、網(wǎng)絡交易等金融行為的普及����,使用網(wǎng)絡進行交易具有支付快捷、方便的特點�,得到廣大用戶的廣泛歡迎。但是��,網(wǎng)絡具有開放性�����,網(wǎng)絡中的應用系統(tǒng)、數(shù)據(jù)等面臨眾多的黑客��、病毒的攻擊����,用戶的交易數(shù)據(jù)很容易被盜取和篡改。現(xiàn)有比較流行的保護用戶交易安全的終端設備是U-Key, U-Key,全稱USB Key,它
是ー種USB接ロ的硬件存儲設備�����。USB Key的模樣跟普通的U盤差不多���,不同的是它里面存放了單片機或智能卡芯片�����,USB Key有一定的存儲空間���,可以存儲用戶的私鑰以及數(shù)字證書,利用USB Key內(nèi)置的公鑰算法可以實現(xiàn)對用戶身份的認證����。目前USB Key被廣泛應用于國內(nèi)的網(wǎng)上銀行領域,是公認的較為安全的身份認證技木。最典型的例子就是エ商銀行的U盾�。U-Key是公認的較為安全的身份認證技木,U-Key通過內(nèi)部程序?qū)γ荑€�、證書進行操作完成身份認證����,建立安全通道和數(shù)字簽名,實現(xiàn)數(shù)據(jù)的安全傳輸和交易抗抵賴����。但是,目前網(wǎng)銀交易數(shù)據(jù)都是通過唯一的Internet網(wǎng)絡通道進行傳輸��,而且對交易的認證也僅限于U-Key的數(shù)字簽名和銀行賬戶的對應關系���,這樣的認證方法存在很大的安全隱患��。首先���,如果用戶完成交易忘記拔掉U-Key,黑客或計算機病毒會模擬用戶行為��,將賬號資金轉(zhuǎn)移;第二�,U-Key如果丟失或被破解復制,非法用戶冒用合法用戶的身份,進行違法操作��,這樣就無法保證U-Key持有者身份的合法性��;第三����,交易數(shù)據(jù)在公開的網(wǎng)絡上進行傳輸,被簽名的數(shù)據(jù)也存在被破解和篡改的風險�����,被篡改后的數(shù)據(jù)����,銀行認證系統(tǒng)也很難識別出來。因此���,現(xiàn)有的通過單ー的U-Key保證網(wǎng)絡交易安全的方式�,存在較大的安全隱患���,需要提供一種多通道的安全認證方式����,保證數(shù)據(jù)的真實性、用戶身份的合法性以及交易數(shù)據(jù)符合用戶的意愿�����。
發(fā)明內(nèi)容
本發(fā)明為了降低用戶身份被冒用����、賬戶資金被盜的風險���,提高個人網(wǎng)上銀行交易的安全性����,而提供一種基于U-Key的多通道安全認證系統(tǒng)及認證方法����。本發(fā)明采用以下技術方案
一種基于U-Key的多通道安全認證系統(tǒng),包括U-Key���,其特征在于在U-Key上添加GSM模塊���,該GSM模塊ー邊連接U-Key的主控芯片,另ー邊通過無線網(wǎng)絡分別連接用戶的手機和銀行網(wǎng)絡服務器��,所述U-Key具有能夠回顯交易賬戶、金額等交易信息的顯示屏���,還具有用來完成確認或取消操作的按鍵���。一種基于U-Key的多通道安全認證方法,其特征在于����,包括以下步驟
步驟ー用戶通過計算機客戶端與銀行服務器建立連接;步驟ニ 用戶選擇交易類型���,輸入交易金額��;
步驟三用戶插入U-Key�,輸入U-Key密碼��,做簽名交易�;
步驟四=U-Key屏幕顯示交易賬號和金額重要交易信息;
步驟五用戶查看U-Key的顯示信息和實際的交易信息是否一致����,一致則按U-Key的確認鍵;
步驟六=U-Key通過USB接ロ將交易信息和數(shù)字簽名通過計算機客戶端網(wǎng)絡發(fā)送給銀行服務器,并緩存于銀行服務器;
步驟七=U-Key通過GSM模塊,將包括賬戶���、金額等交易信息發(fā)送給用戶手機��;
步驟八=U-Key通過Hash算法�,從數(shù)字簽名和交易信息中提取摘要并進行加密,通過
GSM模塊發(fā)送給銀行網(wǎng)絡服務器�;
步驟九銀行服務器通過Hash算法,從步驟六發(fā)來的交易信息和數(shù)字簽名中提取摘要與GSM模塊發(fā)來的摘要信息作對比����;一致��,則產(chǎn)生ー個隨機驗證碼����,并將驗證碼信息發(fā)送給用戶手機;否則�,服務器終止本次交易;
步驟十用戶通過電腦輸入驗證碼信息�,確認交易;
步驟十一服務器驗證用戶輸入的驗證碼�����,正確則完成本次交易,否則�����,提示用戶驗證失敗�����,并終止本次操作���。步驟六作為本方法的第一通道���,用戶的交易數(shù)據(jù)經(jīng)過U-Key簽名認證后通過USB接ロ輸出,由用戶計算機通過網(wǎng)絡發(fā)送給銀行服務器�。步驟七作為本方法的第二通道,經(jīng)過數(shù)字簽名的交易數(shù)據(jù)通過GSM模塊發(fā)送給用戶手機���。步驟八作為本方法的第三通道����,經(jīng)過數(shù)字簽名的交易數(shù)據(jù)����,經(jīng)過U-Key中Hash算法換算后形成摘要���,通過GSM模塊發(fā)送給銀行服務器。銀行服務器對用戶的每筆交易都會產(chǎn)生ー個動態(tài)隨機驗證碼����。第一通道發(fā)送的數(shù)據(jù)將緩存于銀行服務器,為服務器下一步對比驗證作準備�����。本發(fā)明的有益效果是
本發(fā)明的基于U-Key的多通道安全認證系統(tǒng)及方法����,通過三個通道的認證保證用戶身份不被冒用,交易信息不被篡改�����,相比以往的單一通道�,更完善�����、更安全�,真正保障了用戶網(wǎng)上交易的安全�。
圖I為本發(fā)明的基于U-Key的多通道安全認證方法流程圖�。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明做進ー步描述
如圖I所示,一種基于U-Key的多通道安全認證系統(tǒng)����,其特征在于
在現(xiàn)有的U-Key的基礎上增加GSM模塊,GSM模塊ー邊連接U-Key的主控芯片���,另ー邊通過無線網(wǎng)絡分別連接用戶的手機和銀行網(wǎng)絡服務器��。所述的U-Key具有顯示屏���,能夠回顯交易賬戶、金額等交易信息���;
所述的U-Key還具有按鍵���,用來完成確認或取消操作。
第一通道���,用戶的交易數(shù)據(jù)經(jīng)過U-Key簽名認證后通過USB接ロ輸出�����,由用戶計算機通過Internet網(wǎng)絡發(fā)送給銀行服務器�,并緩存于銀行服務器中;第二通道�����,經(jīng)過數(shù)字簽名的交易數(shù)據(jù)通過GSM模塊發(fā)送給用戶手機����;第三通道,經(jīng)過數(shù)字簽名的交易數(shù)據(jù)�,經(jīng)過U-Key中Hash算法換算后形成摘要,通過GSM模塊發(fā)送給銀行服務器�����。銀行服務器對第一通道接收的數(shù)據(jù)通過同樣的算法提取摘要����,與第三通道的摘要信息作對比����,如果一致,則證明數(shù)據(jù)在傳輸過程中沒有被篡改��,銀行服務器會產(chǎn)生ー個隨機驗證碼信息,發(fā)送給用戶手機���;否則�����,銀行服務器終止本次操作并通過手機短信提示用戶數(shù)據(jù)錯誤��。用戶手機接收驗證碼信息���,如果確認交易,則在電腦中輸入驗證碼信息�����,完成交易�;否則,用戶取消本次交易或在規(guī)定時間內(nèi)用戶未進行任何操作����,服務器將終止本次交易。一種基于U-Key的多通道安全認證方法�,包括以下步驟
步驟ー用戶通過計算機客戶端與銀行服務器建立連接;
步驟ニ 用戶選擇交易類型,輸入交易金額����;
步驟三用戶插入U-Key,輸入U-Key密碼�����,做簽名交易�;
步驟四=U-Key屏幕顯示交易賬號和金額等重要交易信息;
步驟五用戶查看U-Key的顯示信息和實際的交易信息是否一致���,一致則按U-Key的確認鍵��;
步驟六=U-Key通過USB接ロ將交易信息和數(shù)字簽名通過計算機客戶端網(wǎng)絡發(fā)送給銀行服務器����,并緩存于銀行服務器����;
步驟七=U-Key通過GSM模塊,將交易信息(包括賬戶�、金額等)發(fā)送給用戶手機。步驟八U-Key通過Hash算法��,從數(shù)字簽名和交易信息中提取摘要并進行加密�����,通過GSM模塊發(fā)送給銀行網(wǎng)絡服務器����;
步驟九銀行服務器通過Hash算法,從U-Key發(fā)來的交易信息和數(shù)字簽名中提取摘要與GSM模塊發(fā)來的摘要信息作對比��;一致��,則產(chǎn)生一個隨機驗證碼�,并將驗證碼信息發(fā)送給用戶手機;否則���,服務器終止本次交易���,并提示用戶謹慎交易。步驟十用戶通過電腦輸入驗證碼信息����,確認交易。步驟十一服務器驗證用戶輸入的驗證碼��,正確則完成本次交易,否則��,提示用戶驗證失敗,并終止本次操作���。所述的步驟六����,作為本方法的第一通道����,用戶的交易數(shù)據(jù)經(jīng)過U-Key簽名認證后通過USB接ロ輸出,由用戶計算機通過網(wǎng)絡發(fā)送給銀行服務器�。所述的步驟七,作為本方法的第二通道���,經(jīng)過數(shù)字簽名的交易數(shù)據(jù)通過GSM模塊發(fā)送給用戶手機����。所述的步驟八�����,作為本方法的第三通道��,經(jīng)過數(shù)字簽名的交易數(shù)據(jù),經(jīng)過U-Key中的Hash算法換算形成摘要�,通過GSM模塊發(fā)送給銀行服務器。所述步驟九中��,銀行服務器對用戶的每筆交易都會產(chǎn)生ー個動態(tài)隨機驗證碼�。銀行服務器對第一通道接收的數(shù)據(jù)通過相同的算法提取摘要�,與第三通道的摘要信息作對比,如果一致���,則證明數(shù)據(jù)在傳輸過程中沒有被篡改����,銀行服務器會產(chǎn)生ー個隨機驗證碼信息���,發(fā)送給用戶手機���;否則,銀行服務器終止本次操作并通過手機短信提示用戶數(shù)據(jù)錯誤���。用戶手機接收驗證碼信息����,如果確認交易,則在電腦中輸入驗證碼信息���,完成交易����;否則�,用戶取消本次交易或在規(guī)定時間內(nèi)用戶未進行任何操作,服務器將終止本次交易����。
綜上所述,基于U-Key的多通道安全認證方法�����,通過多通道對用戶身份��、交易信息等進行核對���、驗證���,有效保障了用戶身份的合法性和交易數(shù)據(jù)傳輸?shù)陌踩浴5谝?���,用戶能夠?qū)崟r監(jiān)控自己所擁有的U-Key的使用情況�,即使被盜用��,用戶也能收到手機短信����,第一時間采取措施�,避免賬戶資金被非法竊取。第二����,交易信息分別在公共網(wǎng)絡和GSM網(wǎng)絡中傳輸,并對兩個通道輸出的數(shù)據(jù)進行驗證�����,即使黑客�、病毒等修改了公共網(wǎng)絡傳輸?shù)臄?shù)據(jù),銀行服務器也可以根據(jù)GSM網(wǎng)絡傳來的數(shù)據(jù)與之對比驗證���,來判斷數(shù)據(jù)是否被篡改�,有效保障了數(shù)據(jù)傳輸?shù)陌踩?。第三���,銀行服務器通過給用戶手機發(fā)送驗證碼,用戶需要輸入驗證碼信息才能完成交易����。綜上所述,基于U-Key的安全認證系統(tǒng)及認證方法����,能夠防止網(wǎng)上交易
黑客、病毒的攻擊�����,防止U-Key被復制的風險�����,増加手機驗證碼提交賬單的步驟��,増加用戶體驗���,彌補了現(xiàn)有U-Key的不足�,使得網(wǎng)銀交易更安全。
權利要求
1.一種基于U-Key的多通道安全認證系統(tǒng)����,包括U-Key,其特征在于在U-Key上添加GSM模塊�����,該GSM模塊一邊連接U-Key的主控芯片�,另一邊通過無線網(wǎng)絡分別連接用戶的手機和銀行網(wǎng)絡服務器,所述U-Key具有能夠回顯交易賬戶�、金額等交易信息的顯示屏,還具有為用戶提供確認或取消操作的按鍵����。
2.一種基于U-Key的多通道安全認證方法��,其特征在于�����,包括以下步驟 步驟一用戶通過計算機客戶端與銀行服務器建立連接��; 步驟二 用戶選擇交易類型�,輸入交易金額; 步驟三用戶插入U-Key����,輸入U-Key密碼�����,做簽名交易�����; 步驟四=U-Key屏幕顯示交易賬號和金額重要交易信息�����; 步驟五用戶查看U-Key的顯示信息和實際的交易信息是否一致����,一致則按U-Key的確認鍵�; 步驟六=U-Key通過USB接口將交易信息和數(shù)字簽名通過計算機客戶端網(wǎng)絡發(fā)送給銀行服務器,并緩存于銀行服務器�; 步驟七=U-Key通過GSM模塊,將包括賬戶�、金額等交易信息發(fā)送給用戶手機; 步驟八=U-Key通過Hash算法�����,從數(shù)字簽名和交易信息中提取摘要并進行加密,通過GSM模塊發(fā)送給銀行網(wǎng)絡服務器����; 步驟九銀行服務器通過Hash算法,從步驟六發(fā)來的交易信息和數(shù)字簽名中提取摘要與GSM模塊發(fā)來的摘要信息做對比��;一致��,則產(chǎn)生一個隨機驗證碼�,并將驗證碼信息發(fā)送給用戶手機;否則���,服務器終止本次交易�; 步驟十用戶通過電腦輸入驗證碼信息����,確認交易�����; 步驟十一服務器驗證用戶輸入的驗證碼�,正確則完成本次交易,否則,提示用戶驗證失敗�����,并終止本次操作���。
3.如權利要求2所述的基于U-Key的多通道安全認證方法����,其特征在于�,步驟六作為本方法的第一通道,用戶的交易數(shù)據(jù)經(jīng)過U-Key簽名認證后通過USB接口輸出���,由用戶計算機通過網(wǎng)絡發(fā)送給銀行服務器����。
4.如權利要求2所述的基于U-Key的多通道安全認證方法�,其特征在于,步驟七作為本方法的第二通道��,經(jīng)過數(shù)字簽名的交易數(shù)據(jù)通過GSM模塊發(fā)送給用戶手機��。
5.如權利要求2所述的基于U-Key的多通道安全認證方法����,其特征在于��,步驟八作為本方法的第三通道���,經(jīng)過數(shù)字簽名的交易數(shù)據(jù),經(jīng)過U-Key中Hash算法換算后形成摘要����,通過GSM模塊發(fā)送給銀行服務器。
6.如權利要求2所述的基于U-Key的多通道安全認證方法��,其特征在于���,銀行服務器對用戶的每筆交易都會產(chǎn)生一個動態(tài)隨機驗證碼��。
7.如權利要求2所述的基于U-Key的多通道安全認證方法�,其特征在于�����,第一通道發(fā)送的數(shù)據(jù)將緩存于銀行服務器����,為服務器下一步對比驗證作準備。
全文摘要
本發(fā)明涉及一種保證網(wǎng)絡交易安全的基于U-Key的多通道安全認證系統(tǒng)及認證方法����,包括U-Key,在U-Key上添加GSM模塊���,GSM模塊一邊連接U-Key主控芯片����,另一邊通過無線網(wǎng)絡連接用戶手機和銀行網(wǎng)絡服務器����,U-Key具有回顯交易賬戶、金額交易信息的顯示屏�,還具有完成確認或取消操作的按鍵,GSM模塊將U-Key簽名認證后數(shù)據(jù)發(fā)送給用戶手機和銀行網(wǎng)絡服務器��,通過多通道傳輸�、多方認證,來防止用戶身份被冒用�����、傳輸數(shù)據(jù)被篡改的風險����,用戶交易數(shù)據(jù)經(jīng)過U-Key簽名認證后通過USB接口輸出���,由用戶計算機通過網(wǎng)絡發(fā)送給銀行服務器,并緩存于銀行服務器中���,通過多通道對用戶身份���、交易信息進行核對驗證,有效保障了用戶身份合法性和交易數(shù)據(jù)傳輸?shù)陌踩浴?br>
文檔編號H04L29/08GK102819799SQ20121026109
公開日2012年12月12日 申請日期2012年7月26日 優(yōu)先權日2012年7月26日
發(fā)明者蘇慶會, 董建強, 梁松濤, 張魯國, 劉熙胖, 王科峰, 劉長河 申請人:鄭州信大捷安信息技術股份有限公司