专利名称:身份认证设备及系统的制作方法
技术领域:
本实用新型涉及信息安全技术领域,尤其涉及ー种身份认证设备及系统。
背景技术:
网银又称在线银行,是指银行利用互联网技术,通过互联网向客户提供开户、销户、查询、对帐、行内转账、跨行转账、信贷、网上证 券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。在网银交易中,身份认证技术是必不可少的。身份认证技术是指在计算机及网络系统中确认操作者身份的过程所应用的技术手段,只有通过身份认证,才能正确执行授权和访问控制。智能密码钥匙是应用在身份认证领域里的一种设备,这种设备形成独立的可信计算环境,通过智能密码钥匙内部的密码运算和认证过程对外提供认证密钥信息,所述认证密钥信息保存在用户可操作的上位机的存储器中,在需要进行网银交易时,客户端通过所述认证密钥信息生成相应的操作管理指令进行对网银交易过程的操作管理。在实现本实用新型实施例的过程中,发明人发现现有技术中至少存在如下问题所述认证密钥信息存储在用户可操作的上位机中以及所述操作管理指令由客户端在所述上位机上生成,所述上位机处于不安全的环境,身份认证过程不安全。
实用新型内容本实用新型的实施例提供ー种身份认证设备及系统,解决了现有技术中认证密钥信息存储在用户可操作的上位机上以及所述操作管理指令由客户端在所述上位机上生成,造成身份认证过程不安全的问题。为达到上述目的,本实用新型采用如下技术方案ー种身份认证设备,其特征在干,包括存储模块、业务请求处理模块、操作指令生成模块以及与客户端连接的通信接ロ;所述业务请求处理模块通过所述通信接ロ接收客户端发送的业务数据;所述业务请求处理模块根据所述业务数据向操作指令生成模块发送请求指令;所述操作指令生成模块根据所述请求指令调用所述存储模块存储的认证密钥信息,并根据所述认证密钥信息生成与所述请求指令对应的操作管理指令,发送所述操作管理指令到所述业务请求处理模块;所述业务请求处理模块封装所述操作管理指令,并通过所述通信接ロ发送封装后的操作管理指令到所述客户端。所述存储模块、所述业务请求处理模块及所述操作指令生成模块集成在所述身份认证设备主处理器内。ー种身份认证系统,包括上述的身份认证设备、客户端及智能密码钥匙,所述客户端与所述身份认证设备通信连接,所述智能密码钥匙与所述客户端通信连接,所述身份认证设备通过所述客户端对所述智能密码钥匙进行实体身份认证,所述客户端发送业务数据到所述身份认证设备,所述身份认证设备根据所述业务数据调用存储在所述身份认证设备中的 认证密钥信息,生成与所述业务数据相应的操作管理指令,并通过所述客户端发送该操作管理指令到所述智能密码钥匙。所述客户端,包括智能密码钥匙通信接ロ、身份认证设备接ロ、网银系统接ロ及数据转发模块,所述客户端通过智能密码钥匙通信接ロ通信连接所述智能密码钥匙;所述客户端通过身份认证设备接ロ通信连接所述身份认证设备;所述客户端通过网银系统接ロ通信连接网上银行的服务器系统;所述数据转发模块与所述智能密码钥匙通信接ロ、身份认证设备接ロ、网银系统接ロ通信连接,进行数据转发。所述智能密码钥匙,包括供用户使用智能密码钥匙的显示装置及供用户操作的操作按钮。采用上述方案后,认证密钥信息是存储在所述身份认证设备中的,所述操作管理指令的生成在所述身份认证设备中进行,所述客户端只用于所述身份认证设备及所述智能密码钥匙的信息传递,防止了非法用户通过攻击所述客户端,使得所述客户端生成恶意指令及所述认证密钥信息在客户端泄露,造成身份认证过程不安全的问题。
为了更清楚地说明本实用新型实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本实用新型的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图I为本实用新型实施例提供的身份认证设备结构示意图ー;图2为本实用新型实施例提供的身份认证设备结构示意图ニ ;图3为本实用新型实施例提供的身份认证系统结构示意图ー;图4为本实用新型实施例提供的身份认证系统结构示意图ニ。
具体实施方式
下面将结合本实用新型实施例中的附图,对本实用新型实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本实用新型一部分实施例,而不是全部的实施例。基于本实用新型中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本实用新型保护的范围。本实用新型实施例提供一种网银操作保护设备,如图I所示,该设备包括存储模块11、业务请求处理模块12、操作指令生成模块13以及与客户端连接的通信接ロ 14 ;所述业务请求处理模块12通过所述通信接ロ 14接收客户端发送的业务数据;所述业务请求处理模块12根据所述业务数据向操作指令生成模块13发送请求指令;所述操作指令生成模块13根据所述请求指令调用所述存储模块11存储的认证密钥信息,并根据所述认证密钥信息生成与所述请求指令对应的操作管理指令,发送所述操作管理指令到所述业务请求处理模块12 ;所述业务请求处理模块12封装所述操作管理指令,并通过所述通信接ロ 14发送封装后的操作管理指令到所述客户端。[0028]进ー步的,如图2所示,所述存储模块11、所述业务请求处理模块12及所述操作指令生成模块13集成在身份认证设备主处理器21内。本实用新型中的客户端可以是运行在类似PC、平板电脑、手机等设备上的ー个应用程序,也可以是基于web的由服务器下发的信息形成的操作页面;本实用新型实施例提供的网银操作保护设备可以是ー种服务器设备,该设备可以由银行负责管理和维护,但不仅局限于此。本实用新型实施例提供的身份认证设备,由于认证密钥信息是存储在所述身份认证设备中的,所述操作管理指令的生成在所述身份认证设备中进行,所述客户端只用于所述身份认证设备及所述智能密码钥匙的信息传递,防止了非法用户通过攻击所述客户端,使得所述客户端生成恶意指令及所述认证密钥信息在客户端泄露,造成身份认证过程不安全的问题。本实用新型实施例提供ー种身份认证系统,如图3所示,所述系统包括上述实施例中的身份认证设备31、客户端32及智能密码钥匙33,所述客户端32与所述身份认证设备31通信连接,所述智能密码钥匙33与所述客户端32通信连接,所述身份认证设备31通过所述客户端32对所述智能密码钥匙33进行实体身份认证,所述客户端32发送业务数据到所述身份认证设备31,所述身份认证设备31根据所述业务数据调用存储在所述身份认证设备31中的认证密钥信息,生成与所述业务数据相应的操作管理指令,并通过所述客户端32发送该操作管理指令到所述智能密码钥匙33。具体的,所述身份认证设备31通过所述客户端32对所述智能密码钥匙33进行实体身份认证的具体方式为身份认证设备31生成随机数作为会话标识,并将所述随机数发送给客户端32,客户端32提取智能密码钥匙33唯一标识,并将所述随机数发送给智能密码钥匙33,所述智能密码钥匙33对身份认证设备31发送的随机数和所述唯一标识数字签名后,发送签名后的随机数和所述唯一标识到客户端32,身份认证设备31接收客户端32转发的签名后的随机数和所述唯一标识,验证所述数字签名,身份认证设备31验证所述数字签 名通过后确认所述智能密码钥匙33实体身份,确认后向客户端32提供确认应答。进ー步的,如图4所示,所述客户端32包括智能密码钥匙通信接ロ 321、身份认证设备接ロ 322、网银系统接ロ 323及数据转发模块324。具体的,如图4所示,所述客户端32通过智能密码钥匙通信接ロ 321通信连接所述智能密码钥匙33。具体的,如图4所示,所述客户端32通过身份认证设备接ロ 322通信连接所述身份认证设备31。具体的,如图4所示,所述客户端32通过网银系统接ロ 323通信连接网上银行的服务器系统34。进ー步的,如图4所示,所述智能密码钥匙33包括供用户使用智能密码钥匙的显示装置331及供用户操作的操作按钮332。所述供用户使用智能密码钥匙的显示装置331用于显示智能密码钥匙33的使用流程。具体的,如图4所示,所述供用户操作的按钮332通过智能密码钥匙通信接ロ 321管理应用所述智能密码钥匙33。在智能密码钥匙33与所述智能密码钥匙通信接ロ 321通信连接后,用户通过供用户操作的按钮332进行操作,进行智能密码钥匙33的使用。具体的,如图4所示,所述数据转发模块324与所述智能密码钥匙通信接ロ 321、网银操作保护设备接ロ 322、网银系统接ロ 323连接,进行数据转发。具体的,所述身份认证设备31的具体结构与图2中所示相同,此处不再具体描述所述身份认证设备31的具体结构,如图4所示,所述身份设备31的通信接ロ 14与所述客户端32的身份认证设备接ロ 322连接。本实用新型实施例提供的身份认证系统,由于认证密钥信息是存储在所述身份认证设备中的,所述操作管理指令的生成在所述身份认证设备中进行,所述客户端只用于所述身份认证设备及所述智能密码钥匙的信息传递,防止了非法用户通过攻击所述客户端, 使得所述客户端生成恶意指令及所述认证密钥信息在客户端泄露,造成身份认证过程不安全的问题。以上所述,仅为本实用新型的具体实施方式
,但本实用新型的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本实用新型的保护范围之内。因此,本实用新型的保护范围应所述以权利要求的保护范围为准。
权利要求1.一种身份认证设备,其特征在于,包括存储模块、业务请求处理模块、操作指令生成模块以及与客户端连接的通信接口; 所述业务请求处理模块通过所述通信接口接收客户端发送的业务数据;所述业务请求处理模块根据所述业务数据向操作指令生成模块发送请求指令;所述操作指令生成模块根据所述请求指令调用所述存储模块存储的认证密钥信息,并根据所述认证密钥信息生成与所述请求指令对应的操作管理指令,发送所述操作管理指令到所述业务请求处理模块;所述业务请求处理模块封装所述操作管理指令,并通过所述通信接口发送封装后的操作管理指令到所述客户端。
2.根据权利要求I所述的设备,其特征在于,所述存储模块、所述业务请求处理模块及所述操作指令生成模块集成在所述身份认证设备主处理器内。
3.一种身份认证系统,其特征在于,包括权利要求1-2任一项所述的身份认证设备、客户端及智能密码钥匙, 所述客户端与所述身份认证设备通信连接,所述智能密码钥匙与所述客户端通信连接,所述身份认证设备通过所述客户端对所述智能密码钥匙进行实体身份认证,所述客户端发送业务数据到所述身份认证设备,所述身份认证设备根据所述业务数据调用存储在所述身份认证设备中的认证密钥信息,生成与所述业务数据相应的操作管理指令,并通过所述客户端发送该操作管理指令到所述智能密码钥匙。
4.根据权利要求3所述的系统,其特征在于,所述客户端,包括智能密码钥匙通信接口、身份认证设备接口、网银系统接口及数据转发模块, 所述客户端通过智能密码钥匙通信接口通信连接所述智能密码钥匙; 所述客户端通过身份认证设备接口通信连接所述身份认证设备; 所述客户端通过网银系统接口通信连接网上银行的服务器系统; 所述数据转发模块与所述智能密码钥匙通信接口、身份认证设备接口、网银系统接口通信连接,进行数据转发。
5.根据权利要求4所述的系统,其特征在于,所述智能密码钥匙,包括供用户使用智能密码钥匙的显示装置及供用户操作的操作按钮。
专利摘要本实用新型公开了一种身份认证设备及系统,涉及信息安全技术领域,解决了认证密钥信息的存储与生成不安全的问题。本实用新型提供的身份认证设备包括存储模块、业务请求处理模块、操作指令生成模块以及与客户端连接的通信接口;所述业务请求处理模块通过所述通信接口接收客户端发送的业务数据,并向操作指令生成模块发送请求指令,所述操作指令生成模块根据所述请求指令调用所述存储模块存储的认证密钥信息,并生成与所述请求指令对应的操作管理指令,发送所述操作管理指令到所述业务请求处理模块进行封装后,通过所述通信接口发送封装后的操作管理指令到所述客户端。本实用新型用于网银交易过程中,保证了网银交易的安全。
文档编号H04L9/32GK202395794SQ201120571249
公开日2012年8月22日 申请日期2011年12月30日 优先权日2011年12月30日
发明者王四军, 童成钢 申请人:北京握奇数据系统有限公司