专利名称:适用于网上购物的安全通信方法
技术领域:
本发明涉及一种电子交易方法,尤其涉及一种适用于网上购物的安全通信方法。
背景技术:
网上购物,就是通过互联网检索商品信息,并通过电子订购单发出购物请求,然后填上私人账号或信用卡的号码,厂商通过邮购的方式发货,或是通过快递公司送货上门。国内的网上购物,一般付款方式是款到发货(直接银行转账,在线汇款)、担保交易(淘宝支付宝,百度百付宝,腾讯财付通等的担保交易)、货到付款等。近年来,随着科技的日益发展,越来越多的商家运用这科技新宠儿在网上建起自己独立的商店,向消费者展示出一种新颖的购物理念。网上购物系统作为 B2B(Business to Business,即企业对企业),B2C(Business to Customer,即企业对消费者),C2C(Customer to Customer,即消费者对消费者)电子商务的前端商务平台,在商务活动全过程中起着举足轻重的作用。我们可以在各大电视报道中看到像美、日这样信息化程度较高的国家和地区,网络商店的发展速度迅猛,越来越多的家庭习惯于在家中从网上购物了。在我国,虽然网上购物流行的时间不是很长。但是在短短的从它产生,到现在有越来越多的购物网站在不断的出现(如淘宝网、网上一号店等等),我们可以看出其发展前景是相当的可观,也是被广大群众所接受与推崇的。同时,中国是个人口大国,这样也为网上购物发展奠定了良好的基础。
发明内容
基于本领域的实际需要,本发明提出了一种适用于网上购物的安全通信方法,该方法包括接收对话密钥请求,该请求包括来自主机的使用者识别模块的问询应答,其中在与相关于移动基础结构的无线网络无关的网络上传送所述对话密钥请求;使用所述问询应答来验证所述使用者识别模块具有与所述移动基础结构的有关账户;通过使用共享密钥签名或加密来保护所述对话密钥;将包括所述对话密钥的请求应答传送到所述主机用于允许所连接的使用者识别模块使用所述共享密钥确认所述对话密钥,这在所述使用者识别模块与所述移动基础结构之间建立了通道通信;以及在传送所述问询应答前,接收由所述使用者识别模块用来生成问询应答的问询。根据本发明的一个实施例,在上述安全通信方法中,还包括将所述对话密钥传送到所述服务器,用于建立所述服务器与所述主机之间的网络级安全通信。根据本发明的一个实施例,在上述安全通信方法中,所述对话密钥的请求应答由服务器或所述移动基础结构签名。根据本发明的一个实施例,在上述安全通信方法中,所述共享密钥是使用者识别模块专用的。根据本发明的一个实施例,在上述安全通信方法中,所述对话密钥请求使用所述服务器专用的令牌签名、加密或这两者。根据本发明的一个实施例,在上述安全通信方法中,在向所述移动基础结构验证所述使用者识别模块后,所述方法进一步包括用于在独立网络上向所述移动基础结构验证使用者的下述步骤接收使用者令牌请求,所述使用者令牌在向所述移动基础结构验证使用者时使用,所述使用者令牌请求在与所述无线网络无关的网络上接收;传送由所述移动基础结构生成的问询,用于请求所述使用者识别模块获得一个或多个使用者凭证;根据本发明的一个实施例,在上述安全通信方法中,还包括接收包括所述一个或多个使用者凭证的问询应答;基于所述一个或多个使用者凭证的确认,通过使用表示已向所述移动基础结构适当地验证使用者的所述共享密钥签名或加密来保护使用者令牌;以及将所述使用者令牌传送到所述使用者识别模块,用于使用所述共享密钥确认以便于允许所述主机在与所述服务器的后续通信中使用所述使用者令牌,以供安全通信。应当理解,本发明以上的一般性描述和以下的详细描述都是示例性和说明性的, 并且旨在为如权利要求所述的本发明提供进一步的解释。
附图主要是用于提供对本发明进一步的理解。附图示出了本发明的实施例,并与本说明书一起起到解释本发明原理的作用。附图中图1示意性地示出了根据本发明的适用于网上购物的安全通信方法的基本步骤的流程图。
具体实施例方式以下结合附图详细描述本发明的技术方案。其中,相同的标号用于表示相同的元素,且以下描述中的具体技术术语并不构成对本发明的技术方案本身的实质性限制。实际上,本领域的技术人员所熟知的各种变化都是允许的。常规的在线交易,例如在网络上购买商品和/或服务易受安全漏洞的攻击,从而导致丢失个人、金融和/或其他机密信息。此外,在不受信任的网络(例如互联网)中,商家和购买者均处于进入与不良活动者的交易的风险以致不支持议价的一方。传统的在线交易模型也可要求商家存档购买方的机密信息,并可以要求它们处理交易的支付方面。另外, 常规的在线交易模型对购买方来说难以使用并产生普遍不直观的交易体验。例如,经由使用混乱且难以管理的登录/ 口令范例的浏览器,进行常规的在线交易。图1示意性地示出了根据本发明的适用于网上购物的安全通信方法的基本步骤的流程图。如图1所示,本发明的适用于网上购物的安全通信方法主要包括步骤101,接收对话密钥请求,该请求包括来自主机的使用者识别模块的问询应答,其中在与相关于移动基础结构的无线网络无关的网络上传送所述对话密钥请求;步骤102,使用所述问询应答来验证所述使用者识别模块具有与所述移动基础结构的有关账户;步骤103,通过使用共享密钥签名或加密来保护所述对话密钥;步骤104,将包括所述对话密钥的请求应答传送到所述主机用于允许所连接的使用者识别模块使用所述共享密钥确认所述对话密钥,这在所述使用者识别模块与所述移动基础结构之间建立了通道通信;步骤105,在传送所述问询应答前,接收由所述使用者识别模块用来生成问询应答的问询;步骤106,将所述对话密钥传送到所述服务器,用于建立所述服务器与所述主机之间的网络级安全通信。以下详细讨论上述安全通信方法的一个应用实例。提供一被配置成发出网络级安全令牌的独立网络,用于在客户机与验证服务器之间建立传输层安全通信。通常,客户机或主计算设备通过经由验证/信任服务器将网络安全令牌请求传送到移动基础结构,来启动验证请求。通常,当由验证服务器接收时将不签名该请求,然后,在传送到用于确认该请求来自验证服务器的移动基础结构之前签名或加密该请求。然后,受信任服务器能向移动基础结构或移动运营商查询问询,然后将该问询传送到移动模块。移动模块使用在它与移动基础结构之间共享的秘密,用于生成问询应答,然后将问询应答转发到客户机。客户机将使用问询应答来生成请求安全令牌响应,它也可以包括使用者识别模块身份和问询,用于验证目的。通常,客户机将请求移动模块用设备的共享秘密或诸如使用者识别模块设备令牌的其他密钥来签名或加密。能使用例如共享秘密确认其中的请求安全令牌响应和问询应答。注意,如前所示,可以或可以不通过用来生成问询应答的同一密钥签名或加密请求安全令牌响应。在任一情况下,如果移动基础结构确认问询应答,移动基础结构或验证服务器能通过生成包含具有使用共享秘密签名或加密的加密对话密钥的网络安全令牌的消息应答。该消息能使用验证服务器自己的安全令牌或使用移动基础结构的安全令牌进一步签名。因此,客户机能验证该签名消息并将加密网络对话密钥传送到使用者识别模块,用于解密。使用共享秘密,则移动模块能将未加密的对话密钥返回给客户机。注意,在上述发出网络安全令牌之时,移动模块通常需要在移动基础结构上声誉良好的有效账户。因此,在验证问询应答和该有效账户信息后,可在使用者识别模块与产生虚拟安全信道的移动基础结构之间建立信任。然后,将对话密钥从移动模块委托或传递到主计算设备的软件平台或堆栈,以及从移动运营商到验证服务器。注意移动模块与主计算设备的物理邻近程度以及移动基础结构与验证服务器之间的信任关系。然后,由客户机和信任服务器使用这些对话密钥,用于建立安全通信。通常需要该网络级安全令牌来允许对能用来从第三方服务请求服务或商品的经验证服务令牌的客户机访问。还注意,为了获得网络令牌,上文假定了客户机或主机计算设备已经成功地确定了用于验证服务器或移动基础结构的网络端点。另外,假定客户机和使用者已经向使用者识别模块设备进行了验证。如上所述,网络安全级令牌被用于后续验证阶段中,并且提供传输层安全性来加密和签名客户机与受信任服务器之间的进一步交互。 由验证服务器或移动运营商控制网络令牌(和其他令牌)的使用期。因为网络令牌用作使用者识别模块设备与移动基础结构之间的对话环境,所以可将使用期限定到几小时或几天、传递的字节数或仅当移动模块适当地连接到客户机时有效。
权利要求
1.一种适用于网上购物的安全通信方法,该方法包括接收对话密钥请求,该请求包括来自主机的使用者识别模块的问询应答,其中在与相关于移动基础结构的无线网络无关的网络上传送所述对话密钥请求;使用所述问询应答来验证所述使用者识别模块具有与所述移动基础结构的有关账户;通过使用共享密钥签名或加密来保护所述对话密钥;将包括所述对话密钥的请求应答传送到所述主机用于允许所连接的使用者识别模块使用所述共享密钥确认所述对话密钥,这在所述使用者识别模块与所述移动基础结构之间建立了通道通信;以及在传送所述问询应答前,接收由所述使用者识别模块用来生成问询应答的问询。
2.如权利要求1所述的安全通信方法,其特征在于,还包括将所述对话密钥传送到所述服务器,用于建立所述服务器与所述主机之间的网络级安全通^[曰ο
3.如权利要求1所述的安全通信方法,其特征在于,所述对话密钥的请求应答由服务器或所述移动基础结构签名。
4.如权利要求1所述的安全通信方法,其特征在于,所述共享密钥是使用者识别模块专用的。
5.如权利要求1所述的安全通信方法,其特征在于,所述对话密钥请求使用所述服务器专用的令牌签名、加密或这两者。
6.如权利要求1所述的安全通信方法,其特征在于,在向所述移动基础结构验证所述使用者识别模块后,所述方法进一步包括用于在独立网络上向所述移动基础结构验证使用者的下述步骤接收使用者令牌请求,所述使用者令牌在向所述移动基础结构验证使用者时使用,所述使用者令牌请求在与所述无线网络无关的网络上接收;传送由所述移动基础结构生成的问询,用于请求所述使用者识别模块获得一个或多个使用者凭证;
7.如权利要求6所述的安全通信方法,其特征在于,还包括 接收包括所述一个或多个使用者凭证的问询应答;基于所述一个或多个使用者凭证的确认,通过使用表示已向所述移动基础结构适当地验证使用者的所述共享密钥签名或加密来保护使用者令牌;以及将所述使用者令牌传送到所述使用者识别模块,用于使用所述共享密钥确认以便于允许所述主机在与所述服务器的后续通信中使用所述使用者令牌,以供安全通信。
全文摘要
本发明提出了一种适用于网上购物的安全通信方法,该方法包括接收对话密钥请求,该请求包括来自主机的使用者识别模块的问询应答,其中在与相关于移动基础结构的无线网络无关的网络上传送所述对话密钥请求;使用所述问询应答来验证所述使用者识别模块具有与所述移动基础结构的有关账户;通过使用共享密钥签名或加密来保护所述对话密钥;将包括所述对话密钥的请求应答传送到所述主机用于允许所连接的使用者识别模块使用所述共享密钥确认所述对话密钥,这在所述使用者识别模块与所述移动基础结构之间建立了通道通信;以及在传送所述问询应答前,接收由所述使用者识别模块用来生成问询应答的问询。
文档编号G06Q30/06GK102571716SQ201010608018
公开日2012年7月11日 申请日期2010年12月27日 优先权日2010年12月27日
发明者沈雪, 谢晓玲 申请人:上海杉达学院