CN103780620B - 一种网络安全方法和网络安全系统 - Google Patents
一种网络安全方法和网络安全系统 Download PDFInfo
- Publication number
- CN103780620B CN103780620B CN201410031316.7A CN201410031316A CN103780620B CN 103780620 B CN103780620 B CN 103780620B CN 201410031316 A CN201410031316 A CN 201410031316A CN 103780620 B CN103780620 B CN 103780620B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- application server
- card
- application
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种网络安全方法和网络安全系统,该方法包括:第三方服务器、应用服务器、移动终端和客户端主机分别启动并运行各自的只读软件;应用IC卡将输入的用户口令通过移动终端发送至应用服务器;应用服务器和客户端主机各自启用数据包过滤;移动终端执行客户端主机的加密互联网通信的加解密运算;客户端主机以无需用户名和用户口令方式登录应用服务器并向其发送用户指令;移动终端和/或应用IC卡向应用服务器确认用户指令;移动终端和/或第三方IC卡生成用户指令数字签名。所述系统包括应用IC卡、移动终端、客户端主机、应用服务器、第三方IC卡和第三方服务器。本发明提供的方法和系统,保证了网络应用端到端和用户到用户的安全性。
Description
技术领域
本发明涉及互联网技术和信息安全技术领域,尤其涉及一种网络安全方法和网络安全系统。
背景技术
互联网的发展带来了各种网络安全问题,主要包括:利用木马病毒通过用户客户端窃取用户口令等用户敏感信息;利用网络钓鱼进行网络欺诈;利用对用户客户端的远程控制,篡改用户的数据和操作,进而在入侵控制大量的客户端后发起DDoS攻击等等。
因此,本发明针对上述问题,提出了一种网络安全方法和网络安全系统。
发明内容
本发明所要解决的技术问题是提供一种网络安全方法和网络安全系统,用于基于应用IC卡、移动终端、客户端主机、应用服务器、第三方IC卡和第三方服务器实施网络应用,以提高网络应用的安全性。
本发明为了解决上述技术问题的技术方案如下:
一种网络安全方法,包括如下步骤:
步骤A,第三方服务器、应用服务器、移动终端和客户端主机分别启动并运行各自以只读形式存储的系统软件和应用软件;
步骤B,应用IC卡将输入的用户口令通过移动终端发送至应用服务器,应用服务器允许移动终端登录;
步骤C,应用服务器和客户端主机通过移动终端获取对方的网络参数,并各自基于本方和对方的网络参数启用数据包过滤;
步骤D,应用服务器将其与客户端主机间加密互联网通信的会话密钥发送至移动终端,移动终端基于该会话密钥执行客户端主机的加密互联网通信的加解密运算;
步骤E,客户端主机以无需用户名和用户口令方式登录应用服务器并向其发送用户指令,或在未登录应用服务器的状态下向其发送用户指令;
步骤F,移动终端和/或应用IC卡向应用服务器确认用户指令;
步骤G,移动终端和/或第三方IC卡生成用户指令数字签名。
采用上述方法的有益效果是:保证了网络应用端到端和用户到用户的安全性。
在上述技术方案的基础上,所述网络安全方法还可以做如下改进:
进一步,所述步骤A包括:第三方服务器启动后读取和运行其以只读形式存储的第三方服务器系统软件和第三方服务器应用软件;应用服务器启动后读取和运行其以只读形式存储的应用服务器系统软件和应用服务器应用软件;移动终端启动后读取和运行移动终端、应用IC卡和/或第三方IC卡以只读形式存储的移动终端系统软件和移动终端应用软件;客户端主机启动后读取和运行客户端主机、移动终端、应用IC卡和/或第三方IC卡以只读形式存储的客户端主机系统软件和客户端主机应用软件。
采用上述进一步方案的有益效果是:防止了计算机病毒危害网络应用。
进一步,所述步骤A中客户端主机通过移动终端向应用IC卡和/或第三方IC卡读取所述及的软件,或直接通过NFC向应用IC卡和/或第三方IC卡读取所述及的软件。
进一步,所述步骤B包括:应用IC卡与移动终端建立NFC通信,应用IC卡提示输入用户口令至应用IC卡,并通过移动终端与应用服务器执行双向认证并建立加密通信,且通过该加密通信将输入的用户口令发送至应用服务器,应用服务器与移动终端建立加密移动通信,并允许移动终端登录。
采用上述进一步方案的有益效果是:保证了用户的真实性。
进一步,所述步骤C包括:应用服务器和客户端主机分别设置本方的网络参数,并通过移动终端获取对方的网络参数,且各自基于本方和对方的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口。
采用上述进一步方案的有益效果是:防止了DDoS攻击危害应用服务器,并防止了网络钓鱼危害客户端主机。
进一步,所述步骤D包括:应用服务器生成其与客户端主机间的加密互联网通信的会话密钥K1,并将K1发送至移动终端,移动终端负责基于K1执行客户端主机的与应用服务器间的加密互联网通信的加解密运算,客户端主机基于该加解密运算与应用服务器建立加密互联网通信。
采用上述进一步方案的有益效果是:提高了加密互联网通信的保密性。
进一步,所述步骤E包括:应用服务器生成动态标识和动态口令,并将其通过移动终端发送至客户端主机,客户端主机将动态标识和动态口令发送至应用服务器,应用服务器允许客户端主机登录,客户端主机将输入至客户端主机的用户指令发送至移动终端,移动终端提示确认该用户指令,并在收到确认后基于K1生成用户指令密文,客户端主机将用户指令密文发送至应用服务器,或者客户端主机在未登录应用服务器的状态下通过加密互联网通信向应用服务器发送用户指令。
采用上述进一步方案的有益效果是:防止了客户端主机在登录时泄露用户敏感信息;通过移动终端确认客户端主机发送至移动终端的用户指令,防止了在加密前被篡改的用户指令生效。
进一步,所述步骤F包括:应用服务器将用户指令回传至移动终端,移动终端确认应用服务器回传的用户指令正确,应用IC卡通过移动终端与应用服务器执行双向认证,移动终端提示输入用户口令至移动终端或应用IC卡,并将输入的用户口令发送至应用服务器,或者移动终端提示用户确认应用服务器回传的用户指令,并将该确认发送至应用服务器。
采用上述进一步方案的有益效果是:通过移动终端向应用服务器确认回传至移动终端的用户指令,防止了在加密后被篡改的用户指令生效。
进一步,所述步骤G包括:第三方IC卡通过移动终端与第三方服务器执行双向认证,移动终端将移动终端和/或第三方IC卡生成的用户指令数字签名发送至第三方服务器,第三方服务器生成用户指令数字签名的时间戳,并将该时间戳和用户指令数字签名发送至应用服务器,应用服务器执行用户指令。
采用上述进一步方案的有益效果是:保证了用户指令的不可否认性。
进一步,所述网络安全方法的各执行步骤中,应用IC卡或第三方IC卡能独自完成双方的全部功能,应用服务器或第三方服务器能独自完成双方的全部功能,移动终端能完成客户端主机的全部功能,移动终端、第三方IC卡、应用IC卡和用户口令互相绑定。
对应上述网络安全方法,本发明的技术方案还提供了一种网络安全系统,包括应用IC卡、移动终端、客户端主机、应用服务器、第三方IC卡和第三方服务器;
应用IC卡,其通过近场通信NFC与移动终端连接,用于与移动终端建立NFC通信并提示输入用户口令至应用IC卡,并通过移动终端与应用服务器执行双向认证并建立加密通信,且通过该加密通信将输入的用户口令发送至应用服务器;用于在移动终端确认应用服务器回传的用户指令正确后,通过移动终端与应用服务器执行双向认证;
移动终端,其通过移动通信网与应用服务器和第三方服务器连接,并通过有线通讯接口或无线通讯接口与客户端主机连接,或通过二维码与客户端主机通信,用于启动后读取和运行移动终端、应用IC卡和/或第三方IC卡以只读形式存储的移动终端系统软件和移动终端应用软件;用于负责基于会话密钥K1执行客户端主机的与应用服务器间的加密互联网通信的加解密运算;用于提示确认客户端主机发送的用户指令,并在收到确认后基于K1生成用户指令密文,且将用户指令密文发送至客户端主机;用于确认应用服务器回传的用户指令正确后,提示输入用户口令至移动终端或应用IC卡,并将输入的用户口令发送至应用服务器,或者提示用户确认应用服务器回传的用户指令,并将该确认发送至应用服务器;用于将移动终端和/或第三方IC卡生成的用户指令数字签名发送至第三方服务器;
客户端主机,其通过数据通信网与应用服务器和第三方服务器连接,用于启动后读取和运行客户端主机、移动终端、应用IC卡和/或第三方IC卡以只读形式存储的客户端主机系统软件和客户端主机应用软件;用于设置客户端主机的网络参数,并通过移动终端获取应用服务器的网络参数,且基于客户端主机和应用服务器的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口;用于基于移动终端的加解密运算与应用服务器建立加密互联网通信;用于将动态标识和动态口令发送至应用服务器,并登录应用服务器,再将输入至客户端主机的用户指令发送至移动终端,并将移动终端生成的用户指令密文发送至应用服务器,或者客户端主机在未登录应用服务器的状态下通过加密互联网通信向应用服务器发送用户指令;
应用服务器,其通过数据通信网与第三方服务器连接,用于启动后读取和运行其以只读形式存储的应用服务器系统软件和应用服务器应用软件;用于与移动终端建立加密移动通信,并允许移动终端登录;用于设置应用服务器的网络参数,并通过移动终端获取客户端主机的网络参数,且基于应用服务器和客户端主机的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口;用于生成应用服务器与客户端主机间的加密互联网通信的会话密钥K1,并将K1发送至移动终端;用于生成动态标识和动态口令,并将其通过移动终端发送至客户端主机;用于将用户指令回传至移动终端;用于执行用户指令;
第三方IC卡,其通过NFC与移动终端连接,用于通过移动终端与第三方服务器执行双向认证;用于生成用户指令数字签名;
第三方服务器,用于启动后读取和运行其以只读形式存储的第三方服务器系统软件和第三方服务器应用软件;用于生成用户指令数字签名的时间戳,并将该时间戳和用户指令数字签名发送至应用服务器。
采用上述系统的有益效果是:保证了网络应用端到端和用户到用户的安全性。
在上述技术方案的基础上,所述网络安全系统还可以做如下改进:
进一步,所述网络安全系统中,应用IC卡或第三方IC卡能独自完成双方的全部功能,应用服务器或第三方服务器能独自完成双方的全部功能,移动终端能完成客户端主机的全部功能,移动终端、第三方IC卡、应用IC卡和用户口令互相绑定。
进一步,所述网络安全系统中能采用USBKey或可穿戴智能设备完成应用IC卡和第三方IC卡的全部功能,所述可穿戴智能设备采用智能手表、智能手环或智能眼镜。
进一步,移动终端为移动电话、PDA、平板电脑或笔记本电脑中的任一种。
进一步,应用IC卡和/或第三方IC卡包括触摸显示屏,所述触摸显示屏用于显示信息和接收信息,且应用IC卡和/或第三方IC卡能被设置为通过所述触摸显示屏接收正确的口令后方可工作,且所述触摸显示屏采用NFC供电。
采用上述进一步方案的有益效果是:提高了IC卡的保密性。
进一步,所述有线通讯接口采用USB,所述无线通讯接口采用NFC、蓝牙或WLAN;所述数据通信网包括广域网、城域网和局域网;移动终端以语音、短信或数据的方式与应用服务器通信。
本发明技术方案的有益效果是:本发明提供的方法和系统,保证了网络应用端到端和用户到用户的安全性。
附图说明
图1为本发明实施例一中所述网络安全系统的结构示意图;
图2为本发明实施例二中所述网络安全方法的流程图;
图3为本发明实施例二中所述网络安全方法步骤A的流程图;
图4为本发明实施例二中所述网络安全方法步骤B的流程图;
图5为本发明实施例二中所述网络安全方法步骤C的流程图;
图6为本发明实施例二中所述网络安全方法步骤D的流程图;
图7为本发明实施例二中所述网络安全方法步骤E的流程图;
图8为本发明实施例二中所述网络安全方法步骤F的流程图;
图9为本发明实施例二中所述网络安全方法步骤G的流程图;
图10为本发明实施例四中所述网络安全方法的流程图。
附图标记为:
101、应用IC卡,102、移动终端,103、客户端主机,104、应用服务器,105、第三方IC卡,106、第三方服务器。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,实施例一提供了一种网络安全系统,包括应用IC卡101、移动终端102、客户端主机103、应用服务器104、第三方IC卡105、第三方服务器106;
应用IC卡101,其通过近场通信NFC与移动终端102连接,用于与移动终端102建立NFC通信并提示输入用户口令至应用IC卡101,并通过移动终端102与应用服务器104执行双向认证并建立加密通信,且通过该加密通信将输入的用户口令发送至应用服务器104;用于在移动终端102确认应用服务器104回传的用户指令正确后,通过移动终端102与应用服务器104执行双向认证;
移动终端102,其通过移动通信网与应用服务器104和第三方服务器106连接,并通过有线通讯接口或无线通讯接口与客户端主机103连接,或通过二维码与客户端主机103通信,用于启动后读取和运行移动终端102、应用IC卡101和/或第三方IC卡105以只读形式存储的移动终端102系统软件和移动终端102应用软件;用于负责基于会话密钥K1执行客户端主机103的与应用服务器104间的加密互联网通信的加解密运算;用于提示确认客户端主机103发送的用户指令,并在收到确认后基于K1生成用户指令密文,且将用户指令密文发送至客户端主机103;用于确认应用服务器104回传的用户指令正确后,提示输入用户口令至移动终端102或应用IC卡101,并将输入的用户口令发送至应用服务器104,或者提示用户确认应用服务器104回传的用户指令,并将该确认发送至应用服务器104;用于将移动终端102和/或第三方IC卡105生成的用户指令数字签名发送至第三方服务器106;
客户端主机103,其通过数据通信网与应用服务器104和第三方服务器106连接,用于启动后读取和运行客户端主机103、移动终端102、应用IC卡101和/或第三方IC卡105以只读形式存储的客户端主机103系统软件和客户端主机103应用软件;用于设置客户端主机103的网络参数,并通过移动终端102获取应用服务器104的网络参数,且基于客户端主机103和应用服务器104的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口;用于基于移动终端102的加解密运算与应用服务器104建立加密互联网通信;用于将动态标识和动态口令发送至应用服务器104,并登录应用服务器104,再将输入至客户端主机103的用户指令发送至移动终端102,并将移动终端102生成的用户指令密文发送至应用服务器104,或者客户端主机103在未登录应用服务器104的状态下通过加密互联网通信向应用服务器104发送用户指令;
应用服务器104,其通过数据通信网与第三方服务器106连接,用于启动后读取和运行其以只读形式存储的应用服务器104系统软件和应用服务器104应用软件;用于与移动终端102建立加密移动通信,并允许移动终端102登录;用于设置应用服务器104的网络参数,并通过移动终端102获取客户端主机103的网络参数,且基于应用服务器104和客户端主机103的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口;用于生成应用服务器104与客户端主机103间的加密互联网通信的会话密钥K1,并将K1发送至移动终端102;用于生成动态标识和动态口令,并将其通过移动终端102发送至客户端主机103;用于将用户指令回传至移动终端102;用于执行用户指令;
第三方IC卡105,其通过NFC与移动终端102连接,用于通过移动终端102与第三方服务器106执行双向认证;用于生成用户指令数字签名;
第三方服务器106,用于启动后读取和运行其以只读形式存储的第三方服务器106系统软件和第三方服务器106应用软件;用于生成用户指令数字签名的时间戳,并将该时间戳和用户指令数字签名发送至应用服务器104。
如图2所示,实施例二提供了一种网络安全方法,包括如下步骤:
步骤A,第三方服务器、应用服务器、移动终端和客户端主机分别启动并运行各自以只读形式存储的系统软件和应用软件;
步骤B,应用IC卡将输入的用户口令通过移动终端发送至应用服务器,应用服务器允许移动终端登录;
步骤C,应用服务器和客户端主机通过移动终端获取对方的网络参数,并各自基于本方和对方的网络参数启用数据包过滤;
步骤D,应用服务器将其与客户端主机间加密互联网通信的会话密钥发送至移动终端,移动终端基于该会话密钥执行客户端主机的加密互联网通信的加解密运算;
步骤E,客户端主机以无需用户名和用户口令方式登录应用服务器并向其发送用户指令,或在未登录应用服务器的状态下向其发送用户指令;
步骤F,移动终端和/或应用IC卡向应用服务器确认用户指令;
步骤G,移动终端和/或第三方IC卡生成用户指令数字签名。
如图3所示,实施例二中所述步骤A进一步包括:第三方服务器启动后读取和运行其以只读形式存储的第三方服务器系统软件和第三方服务器应用软件;应用服务器启动后读取和运行其以只读形式存储的应用服务器系统软件和应用服务器应用软件;移动终端启动后读取和运行移动终端、应用IC卡和/或第三方IC卡以只读形式存储的移动终端系统软件和移动终端应用软件;客户端主机启动后读取和运行客户端主机、移动终端、应用IC卡和/或第三方IC卡以只读形式存储的客户端主机系统软件和客户端主机应用软件。
如图4所示,实施例二中所述步骤B进一步包括:应用IC卡与移动终端建立NFC通信,应用IC卡提示输入用户口令至应用IC卡,并通过移动终端与应用服务器执行双向认证并建立加密通信,且通过该加密通信将输入的用户口令发送至应用服务器,应用服务器与移动终端建立加密移动通信,并允许移动终端登录。
如图5所示,实施例二中所述步骤C进一步包括:应用服务器和客户端主机分别设置本方的网络参数,并通过移动终端获取对方的网络参数,且各自基于本方和对方的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口。
如图6所示,实施例二中所述步骤D进一步包括:应用服务器生成其与客户端主机间的加密互联网通信的会话密钥K1,并将K1发送至移动终端,移动终端负责基于K1执行客户端主机的与应用服务器间的加密互联网通信的加解密运算,客户端主机基于该加解密运算与应用服务器建立加密互联网通信。
如图7所示,实施例二中所述步骤E进一步包括:应用服务器生成动态标识和动态口令,并将其通过移动终端发送至客户端主机,客户端主机将动态标识和动态口令发送至应用服务器,应用服务器允许客户端主机登录,客户端主机将输入至客户端主机的用户指令发送至移动终端,移动终端提示确认该用户指令,并在收到确认后基于K1生成用户指令密文,客户端主机将用户指令密文发送至应用服务器,或者客户端主机在未登录应用服务器的状态下通过加密互联网通信向应用服务器发送用户指令。
如图8所示,实施例二中所述步骤F进一步包括:应用服务器将用户指令回传至移动终端,移动终端确认应用服务器回传的用户指令正确,应用IC卡通过移动终端与应用服务器执行双向认证,移动终端提示输入用户口令至移动终端或应用IC卡,并将输入的用户口令发送至应用服务器,或者移动终端提示用户确认应用服务器回传的用户指令,并将该确认发送至应用服务器。
如图9所示,实施例二中所述步骤G进一步包括:第三方IC卡通过移动终端与第三方服务器执行双向认证,移动终端将移动终端和/或第三方IC卡生成的用户指令数字签名发送至第三方服务器,第三方服务器生成用户指令数字签名的时间戳,并将该时间戳和用户指令数字签名发送至应用服务器,应用服务器执行用户指令。
实施例三提供了一种网络安全方法,包括如下步骤:
客户端主机向应用服务器请求登录;
应用服务器生成动态标识ID1并将ID1生成二维码C1且将C1发送至客户端主机,客户端主机从C1中读取ID1;
客户端主机显示C1,手机扫描C1并从C1中读取ID1,手机将其SIM卡的集成电路卡识别码ICCID(Integrated Circuit Card Identity)和ID1发送至应用服务器;
应用服务器读取其存储的与该手机ICCID对应的客户端主机登录用户名UserID,并通过手机提示输入与UserID对应的用户口令至手机;
输入用户口令PW至手机,手机将PW发送至应用服务器;
应用服务器确认收到的PW正确后,生成动态口令ID2并将ID2生成二维码C2且将ID2和C2发送至手机;
输入ID2至客户端主机或客户端主机向手机读取C2并从C2中读取ID2,客户端主机将动态标识ID1和动态口令ID2发送至应用服务器;
应用服务器确认收到的ID1和ID2正确后,允许与ID1对应的客户端主机登录,且登录身份为UserID。
在实施例三中,客户端主机以无需用户名和用户口令方式登录应用服务器,防止了客户端主机在登录时泄露用户敏感信息。
另外,客户端主机和手机能采用NFC代替二维码进行通信。
如图10所示,实施例四提供了一种网络安全方法,包括如下步骤:
客户端主机向应用服务器请求登录;
应用服务器生成动态标识ID1并将ID1生成二维码C1且将C1发送至客户端主机;
客户端主机显示C1,手机扫描C1并从C1中读取ID1,输入用户名UserID和用户口令PW至手机,手机将ID1、UserID和PW发送至应用服务器;
应用服务器确认收到的UserID和PW正确后,允许与ID1对应的客户端主机登录,且登录身份为UserID。
另外,若手机处于已经登录应用服务器状态,则上述方法中无需采用用户名和用户口令,应用服务器收到手机发送的ID1后,允许与ID1对应的客户端主机登录,且登录身份为手机用户。
另外,客户端主机和手机能采用NFC代替二维码进行通信。
实施例五提供了一种网络安全方法,包括如下步骤:
手机启动后读取和运行其以只读形式存储的手机系统软件和手机应用软件,并登录应用服务器;
客户端主机在未登录应用服务器的状态下,将输入至客户端主机的用户指令发送至应用服务器;
应用服务器根据用户指令生成序列号并将序列号生成二维码C1且将C1发送至客户端主机;
客户端主机显示C1,手机扫描C1并从C1中读取序列号且将序列号发送至应用服务器;
应用服务器通过手机提示与序列号对应的用户指令,并提示输入用户口令至手机以确认该用户指令;
确认手机提示的用户指令正确后输入用户口令至手机,手机将用户口令发送至应用服务器,所述用户口令和手机绑定;
应用服务器确认收到的用户口令正确后,判明用户指令属于手机用户并执行该用户指令。
在实施例五中,客户端主机在未登录应用服务器的状态下向应用服务器发送用户指令,防止了客户端主机在登录时泄露用户敏感信息;通过手机向应用服务器确认回传至手机的用户指令,防止了客户端主机和互联网通信中被篡改的用户指令生效。
实施例六提供了一种远程支付方法,包括如下步骤:
身份证通过POS终端与第三方服务器执行双向认证;
第三方服务器将身份证ID发送至POS终端;
POS终端将身份证ID和交易额发送至付款服务器;
付款服务器根据身份证ID与手机建立移动通信,并通过手机提示输入付款口令至手机以确认交易额;
确认手机提示的交易额正确后输入付款口令至手机,手机将付款口令发送至付款服务器;
付款服务器将与交易额相等的资金从付款账户转入POS终端的收款账户,上述身份证ID、手机、付款口令和付款账户互相绑定。
在实施例六中,采用身份证作为第三方IC卡启动远程支付,提高了远程支付的兼容性。
实施例七提供了一种远程支付方法,包括如下步骤:
身份证通过POS终端与第三方服务器执行双向认证;
第三方服务器将身份证ID发送至POS终端;
输入付款口令至POS终端,POS终端将身份证ID、付款口令和交易额发送至付款服务器;
付款服务器将与交易额相等的资金从付款账户转入POS终端的收款账户,上述身份证ID、付款口令和付款账户互相绑定。
在实施例七中,采用身份证作为第三方IC卡执行远程支付付款,节省了发卡成本。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种网络安全方法,其特征在于,包括如下步骤:
步骤A,第三方服务器、应用服务器、移动终端和客户端主机分别启动并运行各自以只读形式存储的系统软件和应用软件;
步骤B,应用IC卡与移动终端建立NFC通信,应用IC卡提示输入用户口令至应用IC卡,并通过移动终端与应用服务器执行双向认证并建立加密通信,且通过该加密通信将输入的用户口令发送至应用服务器,应用服务器与移动终端建立加密移动通信,并允许移动终端登录;
步骤C,应用服务器和客户端主机通过移动终端获取对方的网络参数,并各自基于本方和对方的网络参数启用数据包过滤;
步骤D,应用服务器将其与客户端主机间加密互联网通信的会话密钥发送至移动终端,移动终端基于该会话密钥执行客户端主机的加密互联网通信的加解密运算;
步骤E,客户端主机以无需用户名和用户口令方式登录应用服务器并向其发送用户指令,或在未登录应用服务器的状态下向其发送用户指令;
步骤F,移动终端和/或应用IC卡向应用服务器确认用户指令;
步骤G,移动终端和/或第三方IC卡生成用户指令数字签名。
2.根据权利要求1所述的网络安全方法,其特征在于,所述步骤A进一步包括:第三方服务器启动后读取和运行其以只读形式存储的第三方服务器系统软件和第三方服务器应用软件;应用服务器启动后读取和运行其以只读形式存储的应用服务器系统软件和应用服务器应用软件;移动终端启动后读取和运行移动终端、应用IC卡和/或第三方IC卡以只读形式存储的移动终端系统软件和移动终端应用软件;客户端主机启动后读取和运行客户端主机、移动终端、应用IC卡和/或第三方IC卡以只读形式存储的客户端主机系统软件和客户端主机应用软件。
3.根据权利要求1所述的网络安全方法,其特征在于,所述步骤C进一步包括:应用服务器和客户端主机分别设置本方的网络参数,并通过移动终端获取对方的网络参数,且各自基于本方和对方的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口。
4.根据权利要求1所述的网络安全方法,其特征在于,所述步骤D进一步包括:应用服务器生成其与客户端主机间的加密互联网通信的会话密钥K1,并将K1发送至移动终端,移动终端负责基于K1执行客户端主机的与应用服务器间的加密互联网通信的加解密运算,客户端主机基于该加解密运算与应用服务器建立加密互联网通信。
5.根据权利要求1所述的网络安全方法,其特征在于,所述步骤E进一步包括:应用服务器生成动态标识和动态口令,并将其通过移动终端发送至客户端主机,客户端主机将动态标识和动态口令发送至应用服务器,应用服务器允许客户端主机登录,客户端主机将输入至客户端主机的用户指令发送至移动终端,移动终端提示确认该用户指令,并在收到确认后基于K1生成用户指令密文,客户端主机将用户指令密文发送至应用服务器,或者客户端主机在未登录应用服务器的状态下通过加密互联网通信向应用服务器发送用户指令。
6.根据权利要求1所述的网络安全方法,其特征在于,所述步骤F进一步包括:应用服务器将用户指令回传至移动终端,移动终端确认应用服务器回传的用户指令正确,应用IC卡通过移动终端与应用服务器执行双向认证,移动终端提示输入用户口令至移动终端或应用IC卡,并将输入的用户口令发送至应用服务器,或者移动终端提示用户确认应用服务器回传的用户指令,并将该确认发送至应用服务器。
7.根据权利要求1所述的网络安全方法,其特征在于,所述步骤G进一步包括:第三方IC卡通过移动终端与第三方服务器执行双向认证,移动终端将移动终端和/或第三方IC卡生成的用户指令数字签名发送至第三方服务器,第三方服务器生成用户指令数字签名的时间戳,并将该时间戳和用户指令数字签名发送至应用服务器,应用服务器执行用户指令。
8.根据权利要求1至7中任一所述的网络安全方法,其特征在于,所述网络安全方法的各执行步骤中,所述应用IC卡或第三方IC卡能独自完成双方的全部功能,所述应用服务器或第三方服务器能独自完成双方的全部功能,所述移动终端能完成所述客户端主机的全部功能,所述移动终端、第三方IC卡、应用IC卡和用户口令互相绑定。
9.一种网络安全系统,其特征在于,包括应用IC卡、移动终端、客户端主机、应用服务器、第三方IC卡和第三方服务器;
所述应用IC卡,其通过近场通信NFC与所述移动终端连接,用于与所述移动终端建立NFC通信并提示输入用户口令至所述应用IC卡,并通过所述移动终端与所述应用服务器执行双向认证并建立加密通信,且通过该加密通信将输入的用户口令发送至所述应用服务器;用于在所述移动终端确认所述应用服务器回传的用户指令正确后,通过所述移动终端与所述应用服务器执行双向认证;
所述移动终端,其通过移动通信网与所述应用服务器和第三方服务器连接,并通过有线通讯接口或无线通讯接口与所述客户端主机连接,或通过二维码与所述客户端主机通信,用于启动后读取和运行所述移动终端、应用IC卡和/或第三方IC卡以只读形式存储的移动终端系统软件和移动终端应用软件;用于负责基于会话密钥K1执行所述客户端主机的与所述应用服务器间的加密互联网通信的加解密运算;用于提示确认所述客户端主机发送的用户指令,并在收到确认后基于K1生成用户指令密文,且将用户指令密文发送至所述客户端主机;用于确认所述应用服务器回传的用户指令正确后,提示输入用户口令至所述移动终端或所述应用IC卡,并将输入的用户口令发送至所述应用服务器,或者提示用户确认所述应用服务器回传的用户指令,并将该确认发送至所述应用服务器;用于将所述移动终端和/或第三方IC卡生成的用户指令数字签名发送至所述第三方服务器;
所述客户端主机,其通过数据通信网与所述应用服务器和第三方服务器连接,用于启动后读取和运行所述客户端主机、移动终端、应用IC卡和/或第三方IC卡以只读形式存储的客户端主机系统软件和客户端主机应用软件;用于设置所述客户端主机的网络参数,并通过所述移动终端获取所述应用服务器的网络参数,且基于所述客户端主机和所述应用服务器的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口;用于基于所述移动终端的加解密运算与所述应用服务器建立加密互联网通信;用于将动态标识和动态口令发送至所述应用服务器,并登录所述应用服务器,再将输入至所述客户端主机的用户指令发送至所述移动终端,并将所述移动终端生成的用户指令密文发送至所述应用服务器,或者所述客户端主机在未登录所述应用服务器的状态下通过加密互联网通信向所述应用服务器发送用户指令;
所述应用服务器,其通过数据通信网与所述第三方服务器连接,用于启动后读取和运行其以只读形式存储的应用服务器系统软件和应用服务器应用软件;用于与所述移动终端建立加密移动通信,并允许所述移动终端登录;用于设置所述应用服务器的网络参数,并通过所述移动终端获取所述客户端主机的网络参数,且基于所述应用服务器和所述客户端主机的网络参数启用数据包过滤,所述网络参数采用IP地址、TCP序号、TCP端口和/或UDP端口;用于生成所述应用服务器与所述客户端主机间的加密互联网通信的会话密钥K1,并将K1发送至所述移动终端;用于生成动态标识和动态口令,并将其通过所述移动终端发送至所述客户端主机;用于将用户指令回传至所述移动终端;用于执行用户指令;
所述第三方IC卡,其通过NFC与所述移动终端连接,用于通过所述移动终端与所述第三方服务器执行双向认证;用于生成用户指令数字签名;
所述第三方服务器,用于启动后读取和运行其以只读形式存储的第三方服务器系统软件和第三方服务器应用软件;用于生成用户指令数字签名的时间戳,并将该时间戳和用户指令数字签名发送至所述应用服务器。
10.根据权利要求9所述的网络安全系统,其特征在于,所述网络安全系统中,所述应用IC卡或第三方IC卡能独自完成双方的全部功能,所述应用服务器或第三方服务器能独自完成双方的全部功能,所述移动终端能完成所述客户端主机的全部功能,所述移动终端、第三方IC卡、应用IC卡和用户口令互相绑定。
11.根据权利要求9或10所述的网络安全系统,其特征在于,所述网络安全系统中能采用USBKey或可穿戴智能设备完成所述应用IC卡和第三方IC卡的全部功能,所述可穿戴智能设备采用智能手表、智能手环或智能眼镜。
12.根据权利要求9或10所述的网络安全系统,其特征在于,所述移动终端为移动电话、PDA、平板电脑或笔记本电脑中的任一种。
13.根据权利要求9或10所述的网络安全系统,其特征在于,所述应用IC卡和/或第三方IC卡包括触摸显示屏,所述触摸显示屏用于显示信息和接收信息,且所述应用IC卡和/或第三方IC卡能被设置为通过所述触摸显示屏接收正确的口令后方可工作,且所述触摸显示屏采用NFC供电。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410031316.7A CN103780620B (zh) | 2014-01-22 | 2014-01-22 | 一种网络安全方法和网络安全系统 |
| PCT/CN2015/070331 WO2015109949A1 (zh) | 2014-01-22 | 2015-01-08 | 一种网络安全方法和网络安全系统 |
| JP2016552664A JP2016539605A (ja) | 2014-01-22 | 2015-01-08 | ネットワークセキュリティにおける方法及びネットワークセキュリティにおけるシステム |
| US15/039,884 US20160381011A1 (en) | 2014-01-22 | 2015-01-08 | Network security method and network security system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410031316.7A CN103780620B (zh) | 2014-01-22 | 2014-01-22 | 一种网络安全方法和网络安全系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103780620A CN103780620A (zh) | 2014-05-07 |
| CN103780620B true CN103780620B (zh) | 2017-05-24 |
Family
ID=50572450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410031316.7A Expired - Fee Related CN103780620B (zh) | 2014-01-22 | 2014-01-22 | 一种网络安全方法和网络安全系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20160381011A1 (zh) |
| JP (1) | JP2016539605A (zh) |
| CN (1) | CN103780620B (zh) |
| WO (1) | WO2015109949A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780620B (zh) * | 2014-01-22 | 2017-05-24 | 牟大同 | 一种网络安全方法和网络安全系统 |
| CN104243484B (zh) | 2014-09-25 | 2016-04-13 | 小米科技有限责任公司 | 信息交互方法及装置、电子设备 |
| US10567511B2 (en) * | 2015-01-30 | 2020-02-18 | Nec Corporation | Method and system for managing encrypted data of devices |
| CN108462674A (zh) * | 2017-02-20 | 2018-08-28 | 国民技术股份有限公司 | 一种数据获取方法、装置、终端及可穿戴设备 |
| CN107277077B (zh) * | 2017-08-22 | 2020-03-13 | 京东方科技集团股份有限公司 | 医疗数据访问方法、终端和服务器 |
| CN109818904A (zh) * | 2017-11-21 | 2019-05-28 | 中兴通讯股份有限公司 | 一种物联网终端数据流处理方法及装置 |
| CN110868374A (zh) * | 2018-08-27 | 2020-03-06 | 京东方科技集团股份有限公司 | 安全认证方法、服务器及客户端设备 |
| CN112039757A (zh) * | 2020-09-21 | 2020-12-04 | 中旦集团有限公司 | 一种蜂窝移动通信业务平台 |
| CN113411222B (zh) * | 2021-08-02 | 2021-11-19 | 广州市刑事科学技术研究所 | 存储器、app服务器主机地址分析方法、装置和设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737311A (zh) * | 2012-05-11 | 2012-10-17 | 福建联迪商用设备有限公司 | 网络银行安全认证方法和系统 |
| CN103415008A (zh) * | 2013-07-24 | 2013-11-27 | 牟大同 | 一种加密通信方法和加密通信系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2003105037A1 (ja) * | 2002-06-06 | 2005-10-13 | 富士通株式会社 | 購入者携帯端末と共働するデータ通信仲介装置 |
| JP5425621B2 (ja) * | 2007-04-19 | 2014-02-26 | 株式会社ユニバーサルエンターテインメント | 電子決済システム、有価価値提供装置、移動体通信端末、並びに電子決済方法 |
| CN101364329A (zh) * | 2008-09-23 | 2009-02-11 | 中国移动通信集团广东有限公司 | 基于移动通信设备的非接触公交卡类应用系统及管理方法 |
| CN101540804B (zh) * | 2009-05-06 | 2011-07-20 | 候万春 | 一种能够承载移动通信智能卡的增值业务智能卡 |
| US20130167223A1 (en) * | 2011-12-27 | 2013-06-27 | Symbol Technologies, Inc. | Methods and apparatus for securing a software application on a mobile device |
| CN103780620B (zh) * | 2014-01-22 | 2017-05-24 | 牟大同 | 一种网络安全方法和网络安全系统 |
-
2014
- 2014-01-22 CN CN201410031316.7A patent/CN103780620B/zh not_active Expired - Fee Related
-
2015
- 2015-01-08 US US15/039,884 patent/US20160381011A1/en not_active Abandoned
- 2015-01-08 JP JP2016552664A patent/JP2016539605A/ja active Pending
- 2015-01-08 WO PCT/CN2015/070331 patent/WO2015109949A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737311A (zh) * | 2012-05-11 | 2012-10-17 | 福建联迪商用设备有限公司 | 网络银行安全认证方法和系统 |
| CN103415008A (zh) * | 2013-07-24 | 2013-11-27 | 牟大同 | 一种加密通信方法和加密通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160381011A1 (en) | 2016-12-29 |
| WO2015109949A1 (zh) | 2015-07-30 |
| CN103780620A (zh) | 2014-05-07 |
| JP2016539605A (ja) | 2016-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103780620B (zh) | 一种网络安全方法和网络安全系统 | |
| US9848320B2 (en) | Encrypted communications method and encrypted communications system | |
| CN102737311B (zh) | 网络银行安全认证方法和系统 | |
| CN101334884B (zh) | 提高转账安全性的方法和系统 | |
| CN106161032A (zh) | 一种身份认证的方法及装置 | |
| CN103747001A (zh) | 基于安全算法的音频接入式移动支付终端及通信方法 | |
| CN109218263A (zh) | 一种控制方法及装置 | |
| CN101808077B (zh) | 信息安全输入处理系统和方法以及智能卡 | |
| CN102916869A (zh) | 即时通信方法和系统 | |
| CN101286848A (zh) | 登录认证方法和登录签名程序 | |
| CN102201137A (zh) | 网络安全终端以及基于该终端的交互系统和交互方法 | |
| CN102945526A (zh) | 一种提高移动设备在线支付安全的装置及方法 | |
| CN106156677B (zh) | 身份证读卡方法和系统 | |
| CN103886661A (zh) | 门禁管理方法及系统 | |
| CN106027457B (zh) | 一种身份证信息传输方法和系统 | |
| CN106027249B (zh) | 身份证读卡方法和系统 | |
| CN110278083A (zh) | 身份认证请求处理方法和装置、设备重置方法和装置 | |
| CN103259711B (zh) | 通信信息传输方法和系统 | |
| CN102984044B (zh) | 基于虚拟专用网络实现数据传输安全性的方法和装置 | |
| CN101882343A (zh) | 一种对自动柜员机进行无卡操作的方法、系统及设备 | |
| CN103236926A (zh) | 基于点对点的数据传输系统及传输方法 | |
| CN109005144A (zh) | 一种身份认证方法、设备、介质和系统 | |
| CN103297940A (zh) | 一种短信加密通讯系统及通讯方法 | |
| CN202206419U (zh) | 网络安全终端以及基于该终端的交互系统 | |
| CN104933379B (zh) | 身份证信息获取方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170524 Termination date: 20180122 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |