专利名称:进行网上银行操作的个人数字身份认证设备的装置及方法
技术领域:
本发明涉及计算机信息安全领域和登录信息安全技术领域,具体涉及的是 进行网上银行操作的个人数字身份认证设备的装置及方法。
背景技术:
目前,随着迅速崛起的网上银行业务的发展,居民身处家中就能轻松办理 转账、汇款、缴费、购买理财产品、申购赎回基金等各种业务,随时随地轻松 享受各种金融服务已经成为百姓居家生活中不可或缺的一部分。
但是,网上银行的用户在进行网上银行的各种业务时需要多次输入口令。 比如在用户登录网上银行,转账汇款或是投资理财时都需要输入不同的口令。
以中国建设银行为例,中国建设银行网上银行的使用权限一般分为登录权 限,设备使用权限以及交易权限。在获取权限过程中,认证过程中可分为登录 阶段和交易阶段。
登录阶段中,需要进行登录权的认证。用户需要输入登录口令,验证通过 后,获得登录授权,然后进入功能操作界面。
交易阶段中,需要进行设备使用权和交易权的认证。用户需要输入密码钥 匙口令获取设备使用权限,对交易数据签名,同时输入交易口令以获取交易权 限完成交易操作。
这样在这两个阶段中,包含了三次认证登录认证、设备认证、交易认证。 用户需要记忆三个口令,造成了用户的记忆负担。
如何减少口令,减轻用户记忆负担,同时又没有降低安全性就是一个问题。
发明内容
本发明旨在提供一种进行网上银行操作的个人数字身份认证设备的装置及方法,通过在登录网上银行时,按下登录键确认登录认证操作,来减少口令,减轻用户记忆负担。当前,由于登录到网上银行后,网上银行的操作业务一般只能使用查询等基本操作, 一些关键操作如转账操作、支付操作等,还需要输入设备口令或者交易口令,所以,使用登录键后登录网上银行,用户的记忆负担减轻了,但安全性并没有降低。
本发明采用的技术方案如下
一种进行网上银行操作的个人数字身份认证设备,包括显示屏、签名键,还包括设置在所述个人数字身份认证设备上的登录键。
所述的进行网上银行操作的个人数字身份认证设备包括USB Key、智能密钥设备。
所述的进行网上银行操作的个人数字身份认证设备,其中,所述登录键必须在进行网上银行登录认证过程中被按下,否则无法进行后续网上银行操作。
一种进行网上银行操作的个人数字身份认证设备的方法,登录认证过程包括以下步骤-
(1) 客户端与服务器端建立连接;
(2) 客户端验证服务器端的合法性;
(3) 服务器端验证客户端的合法性;
(4) 登录成功,
其中,所述方法可以在步骤(1)的前或者后,或者步骤(2)之后,或者步骤(3)之后且步骤(4)之前,或者是步骤(1)、 (2)、 (3)中的任何一个阶段按下所述登录键所述的进行网上银行操作的个人数字身份认证设备的方法,其中,所述登录认证过程包括以下步骤
(1) 客户端与服务器端建立连接;
(2) 客户端验证服务器端的合法性;
(3) 用户按下登录键;
(4) 服务器端验证客户端的合法性;
(5) 登录成功。
所述的进行网上银行操作的个人数字身份认证设备的方法,其中,所述登录认证过程采用CHAP认证协议扩展协议。
所述的进行网上银行操作的个人数字身份认证设备的方法,其中,所述登录认证过程基于共享密钥的一次一密方式。
本发明的目的在于提供一种进行网上银行操作的个人数字身份认证设备的装置及方法,在登录网上银行时,只要按下登录键确认登录,这样就减轻了网上银行用户记忆多个口令的负担。通过采用这种方法,减少了用户输入口令的次数,减轻了用户记忆口令的负担。同时,认证采用基于CHAP认证协议,通过三次握手周期性的校验对端的身份,在初始链路建立时完成,可以在链路建立之后的任何时候重复进行,通过增加对服务器的识别,登录认证采用基于共享密钥的一次一密方式,从而保证了登录的安全性。
图1为本发明具体实施方式
1号方案的流程图。图2为本发明具体实施方式
2号方案的流程图。
具体实施例方式
为使本发明的目的、技术方案和效果更加清楚,以下结合附图及实施例对本发明再做更进一步详细的说明。
参照附图1, 一种进行网上银行操作的个人数字身份认证设备的装置及方法,其方法实现包括以下步骤
1、 客户端请求密码钥匙产生一个认证码Code;
2、 密码钥匙由共享密钥K和认证码Code,生成一个临时共享密钥TK;
3、 用户将显示在密码钥匙屏显上的认证码Code输入客户端软件;
4、 客户端发送账户信息和认证码(Account+Code)到服务端,请求生成一个挑战码Chal;
5、 服务端校验Account的有效性;
6、 服务端根据账户信息和认证码生成临时共享密钥TK,同时,产生一个挑战码Chal,用K加密Code得到Ek(Code),使用哈希算法散列Ek(Code),生成SHAl[Ek(Code)];
7、 服务端反馈Account+ SHAl[Ek(Code)]+Chal到客户端;
8、 客户端检査Account是否正确;
9、 客户端请求密码钥匙用K对服务器传来的Ek(Code)进行认证;
10、 密码钥匙用K加密Code后与Ek(Code)对比,发现一致则告知客户端
服务端合法;
11、 客户端请求密码钥匙用TK加密Chal;
12、 此时需要用户按下登录键;
13、 密码钥匙发送Etk(Chal)到客户端;
14、 客户端发送Etk(Chal)到服务端;
15、 服务端用TK加密保留的Chal和收到的Etk(Chal)比较。 一致则说明客户端合法,完成登录认证。否则登录验证失败。参照附图2, 一种进行网上银行操作的个人数字身份认证设备的装置及方法,其方法实现包括以下步骤
1、 客户端请求密码钥匙产生一个认证码Code;
2、 密码钥匙由共享密钥K和认证码Code,生成一个临时共享密钥TK;
3、 密码钥匙发送认证码Code到客户端软件;
4、 客户端发送账户信息和认证码(Account+Code)到服务端,请求生成一个挑战码Chal;
5、 服务端校验Account的有效性;
6、 服务端根据账户信息和认证码生成临时共享密钥TK,同时,产生一个挑战码Chal,用K加密Code得到Ek(Code),使用哈希算法散列Ek(Code),生成SHAl[Ek(Code)];
7、 服务端反馈Account+ SHA1 [Ek(Code)]+Chal到客户端;
8、 客户端检査Account是否正确;
9、 客户端请求密码钥匙用K对服务器传来的Ek(Code)进行认证;
10、 密码钥匙用K加密Code后与Ek(Code)对比,发现一致则告知客户端
服务端合法;
11、 客户端请求密码钥匙用TK加密Chal;
12、 此时需要用户按下登录键;
13、 密码钥匙发送Etk(Chal)到客户端;
14、 客户端发送Etk(Chal)到服务端;
15、 服务端用TK加密保留的Chal和收到的Etk(Chal)比较。 一致则说明客户端合法,完成登录认证。否则登录验证失败。
以上所述,仅是本发明的较佳的实施方式,并且描述较为具体,并不能因此而理解为对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。
权利要求
1、一种进行网上银行操作的个人数字身份认证设备,包括显示屏、签名键,其特征在于,还包括设置在所述个人数字身份认证设备上的登录键。
2、 如权利要求1所述的进行网上银行操作的个人数字身份认证设备,其特征在于,所述个人数字身份认证设备包括USBKey、智能密钥设备。
3、 如权利要求1所述的进行网上银行操作的个人数字身份认证设备,其特征 在于,所述登录键必须在进行网上银行登录认证过程中被按下,否则无法 进行后续网上银行操作。
4、 一种进行网上银行操作的个人数字身份认证设备的方法,登录认证过程包括以下步骤(1) 客户端与服务器端建立连接;(2) 客户端验证服务器端的合法性;(3) 服务器端验证客户端的合法性;(4) 登录成功,其特征在于,所述方法可以在步骤(1)的前或者后,或者步骤(2)之后, 或者步骤(3)之后且步骤(4)之前,或者是步骤(1)、 (2)、 (3)中的 任何一个阶段按下所述登录键。
5、 如权利要求4所述的进行网上银行操作的个人数字身份认证设备的方法,其特征在于,所述登录认证过程包括以下步骤(1) 客户端与服务器端建立连接;(2) 客户端验证服务器端的合法性;(3) 用户按下登录键;(4) 服务器端验证客户端的合法性;(5) 登录成功。
6、 如权利要求4所述的进行网上银行操作的个人数字身份认证设备的方法,其特征在于,所述登录认证过程采用CHAP认证协议扩展协议。
7、 如权利要求4所述的进行网上银行操作的个人数字身份认证设备的方法, 其特征在于,所述登录认证过程基于共享密钥的一次一密方式。
全文摘要
本发明公开了一种进行网上银行操作的个人数字身份认证设备的装置及方法,在登录网上银行时,只要按下个人数字身份认证设备上的登录键就可以登录网上银行,这样就减少了用户输入口令的次数,减轻了用户记忆口令的负担,认证采用基于CHAP(Challenge-Handshake Authentication Protocol)认证协议,即挑战握手认证协议,登录认证采用基于共享密钥的一次一密方式,保证了登录的安全性。本发明提供的这种方法,使网上银行操作更加简单、安全。
文档编号G07F7/08GK101458840SQ20091000073
公开日2009年6月17日 申请日期2009年1月9日 优先权日2009年1月9日
发明者高建伟 申请人:北京大明五洲科技有限公司