专利名称:基于安全tf卡的网上银行远程支付的安全认证方法及系统的制作方法
技术领域:
本发明涉及一种安全认证方法,特别涉及一种基于安全TF卡的网上银行远程支付的安全认证方法及系统。
背景技术:
网银又称网上银行、在线银行、网络银行,是指银行利用hternet技术,通过 Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。由于网上交易不是面对面的,用户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,若用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。目前,网银个人认证介质(安全工具)主要有密码、文件数字证书、动态口令卡、动态手机口令、移动口令牌、移动数字证书等。其中,移动数字证书实际上就是一种USBKey。 国内不同的银行称呼不同,如工行称U盾,农行称K宝等。USBKey存放着用户的个人数字证书。通过USBKey进行个人身份认证是目前网银个人认证方法中相对最安全的一种方式。 而使用USBKey认证方式的问题之一是它需要在具有USB接口的设备上使用。这在目前的电脑上比较方便,但是对于体积较小或没有USB接口的移动终端设备(如手机)就不方便或不能使用了。如何改进现有应用方案,使其更简单可行,便于使用易于推广成为急需解决的问题。而所述的基于安全TF卡是由郑州信大捷安信息技术有限公司自主开发的智能卡类密码产品和移动终端密码服务模块。它是采用了 Micro SD (S卩TF)接口的密码卡,内置Flash 存储模块,可以为具有TF接口的设备提供密码服务(加解密、摘要、数学签名等)和安全存储。所述的基于安全TF卡是一种TF智能卡,使用它可以支持本基于安全TF卡的网上银行远程支付的安全认证方法的实现。
发明内容
本发明的目的在于克服现有技术中存在的不足而提供一种在安全TF卡的支持下实现基于公钥证书的基于安全TF卡的网上银行远程支付的安全认证方法及系统,根据目前的情况,电脑和大多数移动终端设备都可以支持Micro SD (即TF)卡,通过使用安全TF 卡,并结合本发明中提出的方法,便可以用安全TF卡代替传统的USBKey在使用网上银行进行远程支付时进行个人身份认证,从而将这种安全的网上银行的身份认证方式应用于更广泛的设备和环境之中。本发明的目的是这样实现的一种基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于 网银应用控制组件通过调用网上银行远程支付组件的第一组件模块与银行网银服务器之间进行双方身份认证,在身份认证过程中,当需要使用安全TF卡的安全服务时,通过调用网上银行远程支付组件的第二组件模块来调用安全TF卡所提供的调用接口库,进行相关操作。所述安全TF卡选用密码芯片、SD控制器和Flash封装在一起,接口封装形式为 TF。
所述安全TF卡支持对称、非对称密码算法和摘要算法,存储用户证书、安全控制策略和相应安全算法以及用户重要信息和交易信息。网银应用控制组件与银行网银服务器之间通过安全认证协议进行双方身份认证。所述安全认证协议包括
1)公钥证书的分发首先,证书服务器为银行网银服务器和终端用户生成各自的公钥证书;其次证书服务器离线向安全TF卡写入银行网银服务器公钥证书;然后证书服务器通知银行网银服务器用户公钥证书;
2)安全认证主设备和银行网银服务器之间通过公钥证书,实现终端用户与银行双方身份认证,安全认证协议所发送的消息如下
c->s PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)), c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),
其中,C表示主设备发送方,S表示银行网银服务器接收方;PEc表示用C的公钥加密, SIGc表示用C的私钥签名表示用S的公钥加密,SIGs表示用S的私钥签名;Nc表示发送方产生的验证因子,Ns表示接收方产生的验证因子;TIMEcs表示交易的操作时间, TYPEcs表示交易的操作种类,AMOUNTcs表示操作金额,EXTcs表示预留扩展部分。所述通过安全认证协议进行双方身份认证进一步包括
第一步,交易开始后,主设备发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求,请求内容包括发送方的标识C和终端产生验证因子Nc ;
第二步,银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个验证因子Ns,利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs,交易操作种类TYPEcs,操作金额AMOUNTcs,预留扩展部分EXTcs等信息用接收方的加密公钥加密,然后传给主设备C ;
第三步,主设备对银行网银服务器发送来的密文信息进行脱密(先用自身的私钥脱密, 再用预存的银行网银服务器的公钥签证服务器签名),检查Nc —致后;
第四步,验证通过后,主设备对TIMEcs,TYPEcs,AMOUNTcs,EXTcs等信息用自己的私钥签名后,连同Ns —起,用银行网银服务器的公钥加密后传送给网银服务器;
第五步,银行网银服务器将收到的Ns与原来的Ns进行比较。若相同,表示双方身份安全认证通过,交易成功。同时将主设备对TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案;若不相同,则交易失败。一种基于安全TF卡的网上银行远程支付的安全认证系统,其特征在于包括安全TF卡,存储用户证书、安全控制策略和相应安全算法以及用户重要信息和交易信息,为相应的主设备提供对应的调用接口库;网上银行远程支付服务组件,包括第一组件模块, 用于与主设备内网银应用控制组件进行交互,以及第二组件模块,用于与安全TF卡进行交互;网银应用控制组件,用于调用所述第一组件模块与银行网银服务器之间进行双方身份认证,在身份认证过程中,当需要使用安全TF卡的安全服务时,调用所述第二组件模块以调用安全TF卡所提供的调用接口库,进行相关操作。所述安全TF卡选用密码芯片、SD控制器和Flash封装在一起,接口封装形式为 TF。网银应用控制组件与银行网银服务器之间通过安全认证协议进行双方身份认证。所述安全认证协议包括
1)公钥证书的分发首先,证书服务器为银行网银服务器和终端用户生成各自的公钥证书;其次证书服务器离线向安全TF卡写入银行网银服务器公钥证书;然后证书服务器通知银行网银服务器用户公钥证书;
2)安全认证主设备和银行网银服务器之间通过公钥证书,实现终端用户与银行双方身份认证,安全认证协议所发送的消息如下
c->s PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)), c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),
其中,C表示主设备发送方,S表示银行网银服务器接收方;PEc表示用C的公钥加密, SIGc表示用C的私钥签名表示用S的公钥加密,SIGs表示用S的私钥签名;Nc表示发送方产生的验证因子,Ns表示接收方产生的验证因子;TIMEcs表示交易的操作时间, TYPEcs表示交易的操作种类,AMOUNTcs表示操作金额,EXTcs表示预留扩展部分。所述通过安全认证协议进行双方身份认证进一步包括
第一步,交易开始后,主设备发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求,请求内容包括发送方的标识C和终端产生验证因子Nc ;
第二步,银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个验证因子Ns,利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs,交易操作种类TYPEcs,操作金额AMOUNTcs,预留扩展部分EXTcs等信息用接收方的加密公钥加密,然后传给主设备C ;
第三步,主设备对银行网银服务器发送来的密文信息进行脱密(先用自身的私钥脱密, 再用预存的银行网银服务器的公钥签证服务器签名),检查Nc —致后;
第四步,验证通过后,主设备对TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私钥签名后,连同Ns —起,用银行网银服务器的公钥加密后传送给网银服务器;
第五步,银行网银服务器将收到的Ns与原来的Ns进行比较。若相同,表示双方身份安全认证通过,交易成功。同时将主设备对TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案;若不相同,则交易失败。本发明具有如下积极效果本发明将安全TF卡应用于网上银行远程支付的安全认证中。由于大多数设备(包括电脑和移动终端设备,如手机)都支持标准的TF卡接口,从而使TF卡的应用范围相比传统的USB接口方式来讲要广泛得多。而安全TF卡正是使用的标准TF卡接口,从这一点上,它就具有了比传统USBKey更加宽泛的应用领域。通过使用安全TF卡,并结合本发明中提出的方法,便可以用安全TF卡代替传统的USBKey在使用网上银行进行远程支付时进行个人身份认证。从而将这种安全的网上银行的身份认证方式应用于更广泛的设备和环境之中。特别是对亿万手机用户来讲,大大增加了其使用手机进行远程交易的安全性,同时也可以大大地促进手机安全远程支付方面的应用和市场的发展,具有良好的社会和经济效益。
图1为本发明的基本示意图。图2为本发明的证书分发过程示意图。图3为本发明的安全认证协议示意图。
具体实施例方式本发明公开了一种基于安全TF卡的网上银行远程支付的安全认证方法,该安全认证方法包括使用安全TF卡作为网银个人认证介质、在电脑或移动终端系统(以下简称主设备)中增加网上银行远程支付服务组件和建立安全认证协议三个步骤,基本示意图如图1 所示。一种基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于 网银应用控制组件通过调用网上银行远程支付组件的第一组件模块与银行网银服务
器之间进行双方身份认证,在身份认证过程中,当需要使用安全TF卡的安全服务时,通过调用网上银行远程支付组件的第二组件模块来调用安全TF卡所提供的调用接口库,进行相关操作。所述的网上银行远程支付服务组件包括与主设备内网银应用程序进行交互的第一组件模块和与安全TF卡进行交互的第二组件模块两个基本部分。网上银行远程支付服务组件在系统启动时运行,网银应用程序通过调用第一组件模块与银行网银服务器之间通过本发明所述的安全认证协议进行双方身份认证,在身份认证过程中,当需要使用安全TF 卡的安全服务时,就调用第二组件模块以调用安全TF卡所提供的调用接口库,进行相关操作。所述安全TF卡选用密码芯片、SD控制器和Flash封装在一起,接口封装形式为 TF。所述的安全TF卡是一种安全智能TF卡类密码产品,安全智能TF卡选用密码芯片、SD 控制器和Flash并封装在一起,安全智能TF卡的接口封装形式为TF,安全TF卡支持对称、 非对称密码算法和摘要算法,存储用户证书,用于用户身份识别、提供安全控制策略和相应安全算法以及用户重要信息和交易信息的安全存储,安全TF卡为相应的移动终端系统提供对应的调用接口库,移动终端系统通过这些接口库实现对安全TF卡的操作。所述安全TF卡支持对称、非对称密码算法和摘要算法,存储用户证书、安全控制策略和相应安全算法以及用户重要信息和交易信息。网银应用控制组件与银行网银服务器之间通过安全认证协议进行双方身份认证。所述的安全认证协议是指在用户使用网银过程中,主设备与银行网银服务器之间进行双方身份安全认证时所遵循的协议和规范,该安全认证协议是建立在使用公钥证书的基础上的,用户的公钥证书及私钥以及相应的加解密算法、摘要算法都在安全TF卡内。在安全认证过程中,主设备与银行网银服务器之间需要收发的相关数据都是在上述网上银行远程支付服务组件基础上传递到安全TF卡内进行的数字签名、加解密处理,并返回结果; 所述安全认证协议包括以下步骤
1)公钥证书的分发(如图2所示)首先,证书服务器为银行网银服务器和终端用户生成各自的公钥证书;其次证书服务器离线向安全TF卡写入银行网银服务器公钥证书;然后证书服务器通知银行网银服务器用户公钥证书;
2)安全认证(如图3所示)主设备和银行网银服务器之间通过公钥证书,实现终端用户与银行双方身份认证,安全认证协议所发送的消息如下
C->S: PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)), c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),
其中,C表示主设备发送方,S表示银行网银服务器接收方;PEc表示用C的公钥加密, SIGc表示用C的私钥签名表示用S的公钥加密,SIGs表示用S的私钥签名;Nc表示发送方产生的验证因子,Ns表示接收方产生的验证因子;TIMEcs表示交易的操作时间, TYPEcs表示交易的操作种类,AMOUNTcs表示操作金额,EXTcs表示预留扩展部分。所述通过安全认证协议进行双方身份认证进一步包括
第一步,交易开始后,主设备发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求,请求内容包括发送方的标识C和终端产生验证因子Nc ;
第二步,银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个验证因子Ns,利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs,交易操作种类TYPEcs,操作金额AMOUNTcs,预留扩展部分EXTcs等信息用接收方的加密公钥加密,然后传给主设备C ;
第三步,主设备对银行网银服务器发送来的密文信息进行脱密(先用自身的私钥脱密, 再用预存的银行网银服务器的公钥签证服务器签名),检查Nc —致后;
第四步,验证通过后,主设备对TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私钥签名后,连同Ns —起,用银行网银服务器的公钥加密后传送给网银服务器;
第五步,银行网银服务器将收到的Ns与原来的Ns进行比较。若相同,表示双方身份安全认证通过,交易成功。同时将主设备对TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案;若不相同,则交易失败。一种基于安全TF卡的网上银行远程支付的安全认证系统,其特征在于包括安全TF卡,存储用户证书、安全控制策略和相应安全算法以及用户重要信息和交易信息,为相应的主设备提供对应的调用接口库;网上银行远程支付服务组件,包括第一组件模块, 用于与主设备内网银应用控制组件进行交互,以及第二组件模块,用于与安全TF卡进行交互;网银应用控制组件,用于调用所述第一组件模块与银行网银服务器之间进行双方身份认证,在身份认证过程中,当需要使用安全TF卡的安全服务时,调用所述第二组件模块以调用安全TF卡所提供的调用接口库,进行相关操作。所述安全TF卡选用密码芯片、SD控制器和Flash封装在一起,接口封装形式为 TF。网银应用控制组件与银行网银服务器之间通过安全认证协议进行双方身份认证。
所述安全认证协议包括
1)公钥证书的分发首先,证书服务器为银行网银服务器和终端用户生成各自的公钥证书;其次证书服务器离线向安全TF卡写入银行网银服务器公钥证书;然后证书服务器通知银行网银服务器用户公钥证书;
2)安全认证主设备和银行网银服务器之间通过公钥证书,实现终端用户与银行双方身份认证,安全认证协议所发送的消息如下
c->s PEs(C, Ne),
S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)), c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),
其中,C表示主设备发送方,S表示银行网银服务器接收方;PEc表示用C的公钥加密, SIGc表示用C的私钥签名表示用S的公钥加密,SIGs表示用S的私钥签名;Nc表示发送方产生的验证因子,Ns表示接收方产生的验证因子;TIMEcs表示交易的操作时间, TYPEcs表示交易的操作种类,AMOUNTcs表示操作金额,EXTcs表示预留扩展部分。所述通过安全认证协议进行双方身份认证进一步包括
第一步,交易开始后,主设备发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求,请求内容包括发送方的标识C和终端产生验证因子Nc ;
第二步,银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个验证因子Ns,利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs,交易操作种类TYPEcs,操作金额AMOUNTcs,预留扩展部分EXTcs等信息用接收方的加密公钥加密,然后传给主设备C ;
第三步,主设备对银行网银服务器发送来的密文信息进行脱密(先用自身的私钥脱密, 再用预存的银行网银服务器的公钥签证服务器签名),检查Nc —致后;
第四步,验证通过后,主设备对TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私钥签名后,连同Ns —起,用银行网银服务器的公钥加密后传送给网银服务器;
第五步,银行网银服务器将收到的Ns与原来的Ns进行比较。若相同,表示双方身份安全认证通过,交易成功。同时将主设备对TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案;若不相同,则交易失败。该安全认证方法使用安全TF卡作为网银个人认证介质、在电脑或移动终端系统 (以下简称主设备)中增加网上银行远程支付服务组件和建立安全认证协议三个步骤。所述的安全TF卡是一种安全智能TF卡类密码产品,安全智能TF卡选用密码芯片、SD控制器和Flash并封装在一起,安全智能TF卡的接口封装形式为TF,安全TF卡支持对称、非对称密码算法和摘要算法,存储用户证书,用于用户身份识别、提供安全控制策略和相应安全算法以及用户重要信息和交易信息的安全存储,安全TF卡为相应的移动终端系统提供对应的调用接口库,移动终端系统通过这些接口库实现对安全TF卡的操作。所述的网上银行远程支付服务组件包括与主设备内网银应用程序进行交互的第一组件模块和与安全TF卡进行交互的第二组件模块两个基本部分。网上银行远程支付服务组件在系统启动时运行,网银应用程序通过调用第一组件模块与银行网银服务器之间通过本发明所述的安全认证协议进行双方身份认证,在身份认证过程中,当需要使用安全TF卡的安全服务时,就调用第二组件模块以调用安全TF卡所提供的调用接口库,进行相关操作。
权利要求
1.一种基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于网银应用控制组件通过调用网上银行远程支付组件的第一组件模块与银行网银服务器之间进行双方身份认证,在身份认证过程中,当需要使用安全TF卡的安全服务时,通过调用网上银行远程支付组件的第二组件模块来调用安全TF卡所提供的调用接口库,进行相关操作。
2.如权利要求1所述的基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于所述安全TF卡选用密码芯片、SD控制器和Flash封装在一起,接口封装形式为TF。
3.如权利要求1所述的基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于所述安全TF卡支持对称、非对称密码算法和摘要算法,存储用户证书、安全控制策略和相应安全算法以及用户重要信息和交易信息。
4.如权利要求1所述的基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于网银应用控制组件与银行网银服务器之间通过安全认证协议进行双方身份认证。
5.如权利要求4所述的基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于所述安全认证协议包括1)公钥证书的分发首先,证书服务器为银行网银服务器和终端用户生成各自的公钥证书;其次证书服务器离线向安全TF卡写入银行网银服务器公钥证书;然后证书服务器通知银行网银服务器用户公钥证书;2)安全认证主设备和银行网银服务器之间通过公钥证书,实现终端用户与银行双方身份认证,安全认证协议所发送的消息如下c->s PEs(C, Ne),S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)),c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),其中,C表示主设备发送方,S表示银行网银服务器接收方;PEc表示用C的公钥加密, SIGc表示用C的私钥签名表示用S的公钥加密,SIGs表示用S的私钥签名;Nc表示发送方产生的验证因子,Ns表示接收方产生的验证因子;TIMEcs表示交易的操作时间, TYPEcs表示交易的操作种类,AMOUNTcs表示操作金额,EXTcs表示预留扩展部分。
6.如权利要求5所述的基于安全TF卡的网上银行远程支付的安全认证方法,其特征在于所述通过安全认证协议进行双方身份认证进一步包括第一步,交易开始后,主设备发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求,请求内容包括发送方的标识C和终端产生验证因子Nc ;第二步,银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个验证因子Ns,利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs,交易操作种类TYPEcs,操作金额AMOUNTcs,预留扩展部分EXTcs等信息用接收方的加密公钥加密,然后传给主设备C ;第三步,主设备对银行网银服务器发送来的密文信息进行脱密(先用自身的私钥脱密, 再用预存的银行网银服务器的公钥签证服务器签名),检查Nc —致后;第四步,验证通过后,主设备对TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私钥签名后,连同Ns —起,用银行网银服务器的公钥加密后传送给网银服务器;第五步,银行网银服务器将收到的Ns与原来的Ns进行比较,若相同,表示双方身份安全认证通过,交易成功,同时将主设备对TIMEcs, TYPEcs, AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案;若不相同,则交易失败。
7.一种基于安全TF卡的网上银行远程支付的安全认证系统,其特征在于包括安全 TF卡,存储用户证书、安全控制策略和相应安全算法以及用户重要信息和交易信息,为相应的主设备提供对应的调用接口库;网上银行远程支付服务组件,包括第一组件模块,用于与主设备内网银应用控制组件进行交互,以及第二组件模块,用于与安全TF卡进行交互;网银应用控制组件,用于调用所述第一组件模块与银行网银服务器之间进行双方身份认证, 在身份认证过程中,当需要使用安全TF卡的安全服务时,调用所述第二组件模块以调用安全TF卡所提供的调用接口库,进行相关操作。
8.如权利要求7所述的基于安全TF卡的网上银行远程支付的安全认证系统,其特征在于所述安全TF卡选用密码芯片、SD控制器和Flash封装在一起,接口封装形式为TF。
9.如权利要求7所述的基于安全TF卡的网上银行远程支付的安全认证系统,其特征在于网银应用控制组件与银行网银服务器之间通过安全认证协议进行双方身份认证。
10.如权利要求9所述的基于安全TF卡的网上银行远程支付的安全认证系统,其特征在于所述安全认证协议包括1)公钥证书的分发首先,证书服务器为银行网银服务器和终端用户生成各自的公钥证书;其次证书服务器离线向安全TF卡写入银行网银服务器公钥证书;然后证书服务器通知银行网银服务器用户公钥证书;2)安全认证主设备和银行网银服务器之间通过公钥证书,实现终端用户与银行双方身份认证,安全认证协议所发送的消息如下c->s PEs(C, Ne),S->C: PEc(Ns, TIMEcs, TYPEcs, AMOUNTcs, EXTcs, SIGs(Ne)),c->s PEs(Ns, SIGc(TIMEcs, TYPEcs, AMOUNTcs, EXTcs)),其中,C表示主设备发送方,S表示银行网银服务器接收方;PEc表示用C的公钥加密, SIGc表示用C的私钥签名表示用S的公钥加密,SIGs表示用S的私钥签名;Nc表示发送方产生的验证因子,Ns表示接收方产生的验证因子;TIMEcs表示交易的操作时间, TYPEcs表示交易的操作种类,AMOUNTcs表示操作金额,EXTcs表示预留扩展部分。
11.如权利要求10所述的基于安全TF卡的网上银行远程支付的安全认证系统,其特征在于所述通过安全认证协议进行双方身份认证进一步包括第一步,交易开始后,主设备发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求,请求内容包括发送方的标识C和终端产生验证因子Nc ;第二步,银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个验证因子Ns,利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs,交易操作种类TYPEcs,操作金额AMOUNTcs,预留扩展部分EXTcs等信息用接收方的加密公钥加密,然后传给主设备C ;第三步,主设备对银行网银服务器发送来的密文信息进行脱密(先用自身的私钥脱密, 再用预存的银行网银服务器的公钥签证服务器签名),检查Nc —致后;第四步,验证通过后,主设备对TIMEcs,TYPEcs, AMOUNTcs, EXTcs等信息用自己的私钥签名后,连同Ns —起,用银行网银服务器的公钥加密后传送给网银服务器;第五步,银行网银服务器将收到的Ns与原来的Ns进行比较,若相同,表示双方身份安全认证通过,交易成功,同时将主设备对TIMEcs,TYPEcs, AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案;若不相同,则交易失败。
全文摘要
本发明涉及一种基于安全TF卡的网上银行远程支付的安全认证方法及系统,网银应用控制组件通过调用网上银行远程支付组件的第一组件模块与银行网银服务器之间进行双方身份认证,在身份认证过程中,当需要使用安全TF卡的安全服务时,通过调用网上银行远程支付组件的第二组件模块来调用安全TF卡所提供的调用接口库,进行相关操作,将安全TF卡应用于到网上银行远程支付的安全认证中,通过使用安全TF卡,并结合本发明中提出的方法,便可以用安全TF卡代替传统的USBKey在使用网上银行进行远程支付时进行个人身份认证,从而将这种安全的网上银行的身份认证方式应用于更广泛的设备和环境之中。
文档编号H04L9/32GK102238194SQ201110228400
公开日2011年11月9日 申请日期2011年8月10日 优先权日2011年8月10日
发明者何骏, 刘熙胖, 常朝稳, 李平, 梁松涛, 王曙光, 董建强, 赵国磊 申请人:郑州信大捷安信息技术股份有限公司