CN101620705A - 一种用于网上银行的安全认证方法及系统 - Google Patents
一种用于网上银行的安全认证方法及系统 Download PDFInfo
- Publication number
- CN101620705A CN101620705A CN200910162866A CN200910162866A CN101620705A CN 101620705 A CN101620705 A CN 101620705A CN 200910162866 A CN200910162866 A CN 200910162866A CN 200910162866 A CN200910162866 A CN 200910162866A CN 101620705 A CN101620705 A CN 101620705A
- Authority
- CN
- China
- Prior art keywords
- client
- transaction information
- information
- dynamic password
- password information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种用于网上银行的安全认证方法,所述安全认证方法包括:确定客户登录口令信息正确,接收转账支付交易信息,根据所述接收到的交易信息生成动态口令信息,将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对。本发明还公开了一种用于网上银行的安全认证系统。采用本发明,除了通过对客户登录口令信息进行安全认证外,还根据交易信息生成动态口令信息,并将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对,从而实现二次安全认证,提高客户资金的安全性。
Description
技术领域
本发明涉及网上银行安全认证领域,尤其涉及一种用于网上银行的安全认证方法及系统。
背景技术
网上银行作为一种全新的金融服务渠道,对客户、对社会和对银行本身都具有重要意义。而对于银行本身来说,网上银行已经成为银行稳定优质客户和竞争新客户的利器,有效提升了银行的核心竞争力,也有效分流了柜面业务,缓解了网点柜台排队的压力,并且节约了大量运营成本。随着网络攻击技术的不断发展,网上银行业务的经营也面临着诸多安全风险。
目前,网上银行采用USB Key数字证书安全认证机制对客户身份进行认证,其中,USB是Universal Serial Bus的英文缩写,USB Key是指一种USB接口的硬件设备,内置智能芯片,有一定的存储空间,可以存储用户的私钥和数字证书,利用其内置的公钥算法实现对客户身份的认证。虽然使用USB Key可以对客户的身份信息进行认证,但黑客可通过如下手段对网上银行客户的USB Key进行攻击:
(1)远程控制:通过向客户的计算机植入木马病毒,当客户的USB Key插在客户的计算机上时,黑客可通过木马病毒远程控制客户的计算机,在客户不知情的情况下,远程调用客户的USB Key进行网上银行转账支付交易,从而盗取客户的资金。
(2)交易篡改:通过向客户的计算机植入木马病毒,在客户并不知情的情况下,当客户使用USB Key进行网上银行转账支付交易时,黑客劫持客户的关键交易信息,然后篡改该关键交易信息,对篡改后的交易信息使用USB Key进行数字签名并提交给银行处理系统,从而盗取客户资金。
网上银行通过使用单一的互联网渠道无法解决网上银行的完全问题,黑客可通过使用木马病毒程序等方式实施远程控制和交易篡改,威胁客户资金的安全。
发明内容
本发明所要解决的技术问题在于,提供一种用于网上银行的安全认证方法及系统,通过采用二次安全认证方式,提高客户资金的安全性。
为了解决上述技术问题,本发明提供了一种用于网上银行的安全认证方法,所述安全认证方法包括:
确定客户登录口令信息正确;
接收转账支付交易信息;
根据所述接收到的交易信息生成动态口令信息;
将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对。
本发明还提供了一种用于网上银行的安全认证系统,所述安全认证系统包括:
确定单元,用于确定客户登录口令信息正确;
接收单元,用于接收转账支付交易信息;
生成单元,用于根据所述接收到的交易信息生成动态口令信息;
发送单元,用于将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对。
实施本发明,除了通过对客户登录口令信息进行安全认证外,还根据交易信息生成动态口令信息,并将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对,从而实现二次安全认证,提高客户资金的安全性。
附图说明
图1是本发明用于网上银行的安全认证方法流程图;
图2是本发明用于网上银行的安全认证方法的实施例的具体流程图;
图3是本发明用于网上银行的安全认证方法的另一实施例的具体流程图;
图4是本发明用于网上银行的安全认证系统组成示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
参考图1,图示了用于网上银行的安全认证方法,所述安全认证方法包括:
101、确定客户登录口令信息正确。
所述登录口令信息包括:用户名口令信息、密码口令信息、验证码口令信息和客户USB Key口令信息。
102、接收转账支付交易信息。
所述转账支付包括:转账汇款、代理交费和网上支付。
所述转账支付交易信息包括:付款人账号、收款人账号、收款人姓名和金额。
103、根据所述接收到的交易信息生成动态口令信息。
针对不同的交易信息随机生成不同的动态口令信息,动态口令信息具有一定的生命周期,如动态口令信息在10分钟内有效,过期失效。
104、将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对。
所述客户终端可以是客户手机终端。其中,将所述动态口令信息和所述交易信息发送到客户终端为:通过短信方式将所述动态口令信息和所述交易信息发送到客户终端;或者将所述动态口令信息和所述交易信息转化成语音信息,并将所述语音信息发送到客户终端,通过该终端向客户播放所述语音信息。
105、接收所述客户核对所述交易信息后输入的动态口令信息和经过数字签名的所述交易信息,并将所述客户输入的动态口令信息和经过数字签名的所述交易信息提交至网上银行服务器;或者,接收所述客户结束本次转账支付交易请求,并根据该请求结束本次转账支付交易。
下面给出具体例子,对用于网上银行的安全认证方法进行详细说明。该网上银行的安全认证方法具体用在利用多电子渠道进行二次确认转账支付的系统中,该系统包括:网上银行客户端、网上银行服务器、银行业务处理系统、电子渠道统一认证平台、短信平台、电话外呼系统等。其中,网上银行客户端通过公共互联网连接网上银行服务器,网上银行服务器通过银行内部网络连接银行业务处理系统,银行业务处理系统用于对银行业务请求进行处理。
参考图2,图示了用于网上银行的安全认证方法,所述安全认证方法包括:
201、客户在网上银行客户端登录个人网上银行办理转账汇款类业务。
202、客户输入付款人账号、收款人账号、收款人姓名和转账金额等交易信息到交易页面,并向网上银行服务器提交交易请求。
203、网上银行服务器转发交易请求至电子渠道统一认证平台。
204、电子渠道统一认证平台根据交易信息生成动态口令信息。
205、短信平台将交易信息和由电子渠道统一认证平台生成的动态口令信息通过短信方式发送到客户手机终端,让客户对交易信息进行核对。
206、客户根据接收到的短信信息确认收款人账号、收款人姓名和转账金额等关键交易信息无误后,将接收到的动态口令信息填至交易页面,然后利用USB Key对交易信息进行数字签名,并将动态口令信息和经过数字签名的交易信息提交至网上银行服务器。
207、网上银行服务器校验客户输入的动态口令信息与电子渠道统一认证平台所生成的动态口令信息是否一致,当两者一致时,则执行步骤208;当两者不一致时,则执行步骤210。
208、验证交易请求中的交易信息和数字签名的交易信息是否一致,如果验证为是,则执行步骤209;如果验证为否,则执行步骤210。
209、将交易请求发送到银行业务处理系统进行业务处理,然后将处理结果发送给客户的网上银行客户端。
其中,当客户转账汇款成功时,网上银行客户端页面显示付款人账号、收款人账号、交易币种、凭证号、交易时间、交易金额、交易手续费和付款后付款账号的金额。当客户转账失败时,网上银行客户端页面显示失败的原因信息。
210、结束本次转账支付交易。
参考图3,图示了用于网上银行的安全认证方法,所述安全认证方法包括:
301、客户在网上银行客户端登录个人网上银行办理转账汇款类业务。
302、客户输入付款人账号、收款人账号、收款人姓名和转账金额等交易信息到交易页面,并向网上银行服务器提交交易请求。
303、网上银行服务器转发交易请求至电子渠道统一认证平台。
304、电子渠道统一认证平台根据交易信息生成动态口令信息。
305、电话外呼系统将交易信息和由电子渠道统一认证平台生成的动态口令信息转化成语音信息,并将语音信息发送到客户手机终端,通过该手机终端向客户播放语音信息,让客户对交易信息进行核对。
306、客户根据接收到的语音信息确认收款人账号、收款人姓名和转账金额等关键交易信息无误后,将接收到的动态口令信息填至交易页面,然后利用USB Key对交易信息进行数字签名,并将动态口令信息和经过数字签名的交易信息提交至网上银行服务器。
307、网上银行服务器校验客户输入的动态口令信息与电子渠道统一认证平台所生成的动态口令信息是否一致,当两者一致时,则执行步骤308;当两者不一致时,则执行步骤310。
308、验证交易请求中的交易信息和数字签名的交易信息是否一致,如果验证为是,则执行步骤309;如果验证为否,则执行步骤310。
309、将交易请求发送到银行业务处理系统进行业务处理,然后将处理结果发送给客户的网上银行客户端。
其中,当客户转账汇款成功时,网上银行客户端页面显示付款人账号、收款人账号、交易币种、凭证号、交易时间、交易金额、交易手续费和付款后付款账号的金额。当客户转账失败时,网上银行客户端页面显示失败的原因信息。
310、结束本次转账支付交易。
参考图4,图示了本发明用于网上银行的安全认证系统,所述安全认证系统包括:
确定单元401,用于确定客户登录口令信息正确。
所述登录口令信息包括:用户名口令信息、密码口令信息、验证码口令信息和客户USB Key口令信息。
接收单元402,用于接收转账支付交易信息。
所述转账支付包括:转账汇款、代理交费和网上支付。
所述转账支付交易信息包括:付款人账号、收款人账号、收款人姓名和金额。
生成单元403,用于根据所述接收到的交易信息生成动态口令信息。
针对不同的交易信息随机生成不同的动态口令信息,动态口令信息具有一定的生命周期,如动态口令信息在10分钟内有效,过期失效。
发送单元404,用于将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对。
所述客户终端可以是客户手机终端。其中,将所述动态口令信息和所述交易信息发送到客户终端为:通过短信方式将所述动态口令信息和所述交易信息发送到客户终端;或者将所述动态口令信息和所述交易信息转化成语音信息,并将所述语音信息发送到客户终端,通过该终端向客户播放所述语音信息。
处理单元405,用于实现如下功能:
接收所述客户核对所述交易信息后输入的动态口令信息和经过数字签名的所述交易信息,并将所述客户输入的动态口令信息和经过数字签名的所述交易信息提交至网上银行服务器;或者,
接收所述客户结束本次转账支付交易请求,并根据该请求结束本次转账支付交易。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件结合必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施本发明实施例,除了通过对客户登录口令信息进行安全认证外,还根据交易信息生成动态口令信息,并将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对,从而实现二次安全认证,提高客户资金的安全性。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种用于网上银行的安全认证方法,其特征在于,所述安全认证方法包括:
确定客户登录口令信息正确;
接收转账支付交易信息;
根据所述接收到的交易信息生成动态口令信息;
将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对。
2.根据权利要求1所述的方法,其特征在于,所述安全认证方法还包括:
接收所述客户核对所述交易信息后输入的动态口令信息和经过数字签名的所述交易信息,并将所述客户输入的动态口令信息和经过数字签名的所述交易信息提交至网上银行服务器;或者,
接收所述客户结束本次转账支付交易请求,并根据该请求结束本次转账支付交易。
3.根据权利要求1或2所述的方法,其特征在于,将所述动态口令信息和所述交易信息发送到客户终端为:
通过短信方式将所述动态口令信息和所述交易信息发送到客户终端。
4.根据权利要求1或2所述的方法,其特征在于,将所述动态口令信息和所述交易信息发送到客户终端为:
将所述动态口令信息和所述交易信息转化成语音信息,
并将所述语音信息发送到客户终端,通过该终端向客户播放所述语音信息。
5.根据权利要求1所述的方法,其特征在于,所述转账支付交易信息包括:付款人账号、收款人账号、收款人姓名和金额。
6.一种用于网上银行的安全认证系统,其特征在于,所述安全认证系统包括:
确定单元,用于确定客户登录口令信息正确;
接收单元,用于接收转账支付交易信息;
生成单元,用于根据所述接收到的交易信息生成动态口令信息;
发送单元,用于将所述动态口令信息和所述交易信息发送到客户终端,让客户对所述交易信息进行核对。
7.根据权利要求6所述的系统,其特征在于,所述安全认证系统还包括:
处理单元,用于实现如下功能:
接收所述客户核对所述交易信息后输入的动态口令信息和经过数字签名的所述交易信息,并将所述客户输入的动态口令信息和经过数字签名的所述交易信息提交至网上银行服务器;或者,
接收所述客户结束本次转账支付交易请求,并根据该请求结束本次转账支付交易。
8.根据权利要求6或7所述的系统,其特征在于,将所述动态口令信息和所述交易信息发送到客户终端为:
通过短信方式将所述动态口令信息和所述交易信息发送到客户终端。
9.根据权利要求6或7所述的系统,其特征在于,将所述动态口令信息和所述交易信息发送到客户终端为:
将所述动态口令信息和所述交易信息转化成语音信息,
并将所述语音信息发送到客户终端,通过该终端向客户播放所述语音信息。
10.根据权利要求6所述的系统,其特征在于,所述转账支付交易信息包括:付款人账号、收款人账号、收款人姓名和金额。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910162866A CN101620705A (zh) | 2009-08-07 | 2009-08-07 | 一种用于网上银行的安全认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910162866A CN101620705A (zh) | 2009-08-07 | 2009-08-07 | 一种用于网上银行的安全认证方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101620705A true CN101620705A (zh) | 2010-01-06 |
Family
ID=41513928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910162866A Pending CN101620705A (zh) | 2009-08-07 | 2009-08-07 | 一种用于网上银行的安全认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101620705A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307094A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种动态口令签名方法 |
| CN102497358A (zh) * | 2011-11-30 | 2012-06-13 | 汉口银行股份有限公司 | 网上银行交易的方法 |
| CN102752117A (zh) * | 2012-07-24 | 2012-10-24 | 天地融科技股份有限公司 | 动态口令生成装置、方法及具有该装置的交易系统 |
| CN102938116A (zh) * | 2012-10-25 | 2013-02-20 | 时代亿宝(北京)科技有限公司 | 一种保障交易安全的全链路保护经营方法 |
| WO2014036913A1 (zh) * | 2012-09-04 | 2014-03-13 | 飞天诚信科技股份有限公司 | 一种基于声音传输的认证方法 |
| CN104769628A (zh) * | 2011-12-20 | 2015-07-08 | 英特尔公司 | 对于货币汇款的交易费用协商 |
| CN106161442A (zh) * | 2016-07-04 | 2016-11-23 | 安徽天达网络科技有限公司 | 一种系统控制用户登录方法 |
| US9691066B2 (en) | 2012-07-03 | 2017-06-27 | Verifone, Inc. | Location-based payment system and method |
| CN107851246A (zh) * | 2015-05-21 | 2018-03-27 | 万事达卡国际股份有限公司 | 用于在现有支付网络上处理基于区块链的交易的系统和方法 |
| CN108011719A (zh) * | 2017-11-16 | 2018-05-08 | 深圳市文鼎创数据科技有限公司 | 一种签名方法、装置及数字签名系统 |
| CN109309565A (zh) * | 2017-07-28 | 2019-02-05 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
| CN111222875A (zh) * | 2018-11-26 | 2020-06-02 | 美尔有限公司 | 用于卡片交易的动态验证方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060403A (zh) * | 2006-04-18 | 2007-10-24 | 钟曦辰 | 基于无线通讯终端的交互式动态口令安全服务系统 |
| CN101335754A (zh) * | 2008-05-14 | 2008-12-31 | 北京深思洛克数据保护中心 | 一种利用远程服务器进行信息验证的方法 |
| CN101441695A (zh) * | 2008-12-30 | 2009-05-27 | 中国工商银行股份有限公司 | 一种USBKey安全保护装置 |
-
2009
- 2009-08-07 CN CN200910162866A patent/CN101620705A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060403A (zh) * | 2006-04-18 | 2007-10-24 | 钟曦辰 | 基于无线通讯终端的交互式动态口令安全服务系统 |
| CN101335754A (zh) * | 2008-05-14 | 2008-12-31 | 北京深思洛克数据保护中心 | 一种利用远程服务器进行信息验证的方法 |
| CN101441695A (zh) * | 2008-12-30 | 2009-05-27 | 中国工商银行股份有限公司 | 一种USBKey安全保护装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307094A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种动态口令签名方法 |
| CN102497358A (zh) * | 2011-11-30 | 2012-06-13 | 汉口银行股份有限公司 | 网上银行交易的方法 |
| CN104769628B (zh) * | 2011-12-20 | 2019-02-19 | 英特尔公司 | 用于对于货币汇款的交易费用协商的方法、系统和计算机可读介质 |
| CN104769628A (zh) * | 2011-12-20 | 2015-07-08 | 英特尔公司 | 对于货币汇款的交易费用协商 |
| US9691066B2 (en) | 2012-07-03 | 2017-06-27 | Verifone, Inc. | Location-based payment system and method |
| CN102752117A (zh) * | 2012-07-24 | 2012-10-24 | 天地融科技股份有限公司 | 动态口令生成装置、方法及具有该装置的交易系统 |
| CN102752117B (zh) * | 2012-07-24 | 2016-04-06 | 天地融科技股份有限公司 | 动态口令生成装置、方法及具有该装置的交易系统 |
| WO2014036913A1 (zh) * | 2012-09-04 | 2014-03-13 | 飞天诚信科技股份有限公司 | 一种基于声音传输的认证方法 |
| CN102938116A (zh) * | 2012-10-25 | 2013-02-20 | 时代亿宝(北京)科技有限公司 | 一种保障交易安全的全链路保护经营方法 |
| CN102938116B (zh) * | 2012-10-25 | 2016-03-23 | 时代亿宝(北京)科技有限公司 | 一种保障交易安全的全链路保护经营方法 |
| CN107851246A (zh) * | 2015-05-21 | 2018-03-27 | 万事达卡国际股份有限公司 | 用于在现有支付网络上处理基于区块链的交易的系统和方法 |
| CN107851246B (zh) * | 2015-05-21 | 2021-02-02 | 万事达卡国际股份有限公司 | 用于在现有支付网络上处理基于区块链的交易的系统和方法 |
| CN106161442A (zh) * | 2016-07-04 | 2016-11-23 | 安徽天达网络科技有限公司 | 一种系统控制用户登录方法 |
| CN109309565A (zh) * | 2017-07-28 | 2019-02-05 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
| US11799656B2 (en) | 2017-07-28 | 2023-10-24 | China Mobile Communication Co., Ltd Research Institute | Security authentication method and device |
| CN108011719A (zh) * | 2017-11-16 | 2018-05-08 | 深圳市文鼎创数据科技有限公司 | 一种签名方法、装置及数字签名系统 |
| CN111222875A (zh) * | 2018-11-26 | 2020-06-02 | 美尔有限公司 | 用于卡片交易的动态验证方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101620705A (zh) | 一种用于网上银行的安全认证方法及系统 | |
| JP5642932B2 (ja) | モバイル装置を用いた、サードパーティ・ベンダのための認証および検証サービス | |
| CN102542453B (zh) | 移动支付身份验证方法 | |
| JP5536775B2 (ja) | オフライン口座再入金のための方法及びシステム | |
| US20110270753A1 (en) | Method for authenticating financial transaction requests using a website or web portal | |
| US20220051218A1 (en) | Virtual currency secured physical currency transmission system | |
| CN102722816B (zh) | 一种移动支付的方法、系统及装置 | |
| CN103049851A (zh) | 一种基于交易数据的反欺诈监控方法和装置 | |
| WO2009087544A2 (en) | Multi-factor authentication and certification system for electronic transactions | |
| US20090157549A1 (en) | Using a mobile phone as a remote pin entry terminal for cnp credit card transactions | |
| CN101576983A (zh) | 一种基于移动终端的电子支付方法和系统 | |
| TW200929031A (en) | On-line payment system and payment procedure | |
| US20120254041A1 (en) | One-time credit card numbers | |
| CN101308557A (zh) | 一种实现安全电子支付的方法 | |
| CN103489104A (zh) | 安全支付方法及系统 | |
| CN102073803A (zh) | 一种增强usbkey安全的装置、方法及系统 | |
| CN111062717B (zh) | 一种数据转移处理方法、装置和计算机可读存储介质 | |
| CN101901306A (zh) | 网络交易加密方法及其所采用的动态密码设备 | |
| CN111784347A (zh) | 一种资源转移方法及装置 | |
| WO2011140710A1 (zh) | 一种实现移动终端转账的方法和业务平台 | |
| CN101976403A (zh) | 手机号支付平台、支付交易系统及方法 | |
| CN105719130B (zh) | 支付验证方法、装置及系统 | |
| CN102724180A (zh) | 防止usbkey签名信息被篡改的方法及系统 | |
| TW201725543A (zh) | 跨應用程式之交易方法 | |
| KR20110128430A (ko) | 단말기 식별번호를 이용한 송금 서비스 제공 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100106 |