CN102073801A - 一种确认cpu卡内数据的方法 - Google Patents
一种确认cpu卡内数据的方法 Download PDFInfo
- Publication number
- CN102073801A CN102073801A CN200910234546.2A CN200910234546A CN102073801A CN 102073801 A CN102073801 A CN 102073801A CN 200910234546 A CN200910234546 A CN 200910234546A CN 102073801 A CN102073801 A CN 102073801A
- Authority
- CN
- China
- Prior art keywords
- data
- cpu card
- password
- terminal
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
- G07F7/1016—Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Networks & Wireless Communication (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明的目的是提出一种安全确认CPU卡中关键数据的方法。在使用可能不安全的计算机终端时,可以安全地确认CPU卡中的关键数据。该方法可以用于网络支付、CPU卡中关键数据的修改及重置;结合好的密码协议,可简单且安全地解决在可能不安全计算机终端上安全使用网络银行、游戏等服务的方法。
Description
技术领域
本发明属于信息安全领域。本发明涉及的是一种确认CPU卡内数据的方法。具体地说,涉及一种可以在可能不安全的联网计算机客户端上确认并安全使用CPU卡内数据的方法。
背景技术
网络银行由于其巨大的方便性,受到大家的普遍重视。但是,由于其安全性没有得到很好地解决,所以并没有得到很好地普及。为此,业界提出了大量的专利及非常多的解决方案。但是所有这些方案都没能达到安全与易用性的完美统一。在《计算机世界报》一篇文章“SSL难保电子商务安全”(计算机世界报2006年05月29日)中,描述了现在计算机木马攻击银行系统的进展及各种对抗方法,具体内容可以参见本发明人的专利申请文件(ZL200610041361.6一种不依赖操作系统安全的安全使用网络服务器服务的装置和方法)。事实上这些木马攻击,加以改造甚至可以攻破现在银行认为最安全的USBKEY数字证书系统。申请人认为,造成这种情况的根本原因是,用户无法准确判断计算机终端是否处于安全状态。而计算机终端不安全时,任何需要计算机终端提供最基本安全保证的方案,实际上都可能不安全。
例如,一般计算机终端用户所相信的自己敲击的键盘及计算机终端屏幕的显示都可能有安全问题。例如,当用户希望给张三支付300元,计算机终端显示支付张三300元,并要求用户确认签名;用户可以使用包括数字签名或支付密码等各种确认手段;但是,实际上是计算机木马要求用户确认给李四支付十万元。造成这种不安全的根本原因是,当计算机终端不安全时,所有你在计算机终端上看到的信息可能都不真实。
目前黑客攻击的主要手段是中间人攻击,将来还有模拟操作攻击及视觉诈骗攻击。模拟操作攻击就是,当计算机用户把USBKEY数字证书插入计算机准备进行交易时,木马采取模拟用户键盘及鼠标的操作实施攻击:如,修改交易对象、修改交易价格、修改交易数量。视觉诈骗攻击是模拟操作攻击的高级方式,可以修改IE的URL,甚至当用户输入正确的URL时,木马程序让IE显示正确的URL,但是内部的URL是诈骗者的地址,模拟银行网站实施诈骗。现在有很多安全人员,把以上提到的攻击网络银行计算机客户端的方法用其他两个词来定义:“机器劫持”和“数据篡改”。或者,用“所见非所签”表示该种不安全状态;用“所见即所签”表示希望达到的安全目的。
关于计算机终端安全的最原始的专利申请是“计算机系统中用于安全交易的方法和系统”(中国专利申请CN99806523.4)。该方案就是采用另一台可信计算机来解决联网计算机终端的不可信问题,即使用不可信联网计算机终端和一个可信计算机组成系统来解决安全问题。
随着技术的进步,可信计算机的主机(CPU)越来越便宜。由于便携的要求及尽量不改变人们使用计算机终端习惯的要求,使人们提出了很多改进的技术方案。例如,目前普遍使用的USBKEY证书,实质就是“计算机系统中用于安全交易的方法和系统”方案中,取消可信键盘及可信显示器的可信计算机方案。也可以说USBKEY就是没有键盘及显示器的可信计算机。这个方案虽然满足了便携及尽量不改变人们使用计算机终端习惯的要求,但是降低了安全性。也就是说该方案不能保证计算机键盘输入的不被篡改,也不能保证显示屏幕上显示数据的准确性。
当然USBKEY还是应该具有CPU、显示器及键盘,这样才能构成一个完整的可信计算机,符合“计算机系统中用于安全交易的方法和系统”(中国专利申请一CN99806523.4)中可信计算机的要求。但是,这样的USBKEY不易携带,所以必须对显示器及键盘进行简化。工行的第二代U盾,把显示器简化成只显示一行,依靠移动行来显示完整的信息;键盘简化成五个键,并通过复杂的方式输入敏感数据(PIN)。该产品在带来安全性的同时,极大地损失了方便性及易用性。
目前,国际信用卡组织的新信用卡标准的EMV卡也是只有CPU的卡,本质上与USBKEY完全一致。USBKEY数字证书目前是网上银行应用十分广泛且比较安全方式,比如网银盾、U盾、U宝及EMV卡等都可以是USBKEY数字证书的载体。
在本专利申请中,我们把具有CPU的便携设备(或与计算机终端连接使用的带CPU的设备)均称为CPU卡。显然,USBKEY是CPU卡;带显示及键盘的第二代USBKEY也是CPU卡;符合国际EMV迁移的新的带CPU的信用卡也是CPU卡;植入计算机终端的带CPU的安全模块(如TPM)也是CPU卡;如果手机与计算机终端相互通讯进行安全认证、数字签名或银行支付也是CPU卡,但是如果手机直接通过无线网(如移动或联通)进行安全认证、数字签名或银行支付则不是CPU卡,而是计算机终端;但是如果手机中有相当于TPM的安全模块,则该模块是CPU卡,而手机是计算机终端。CPU卡中可以有数字证书,也可以没有数字证书。
总之,CPU卡是通过与计算机终端进行信息交互,并通过计算机终端与服务器交互信息,从而获得服务器服务的便携设备。
在本专利申请中,我们把能够接收到CPU卡的信息,并能把该信息传达到人的便携设备,称为用户终端(手持设备)。传达信息到人,可以有多种方式。例如,可以采取显示屏显示数据的方式、也可以采取设备发声阅读的方式使人听到数据的方式,等等。显然满足该条件的最普通的设备是移动通讯终端,即手机;也可以是为本发明专门设计的手持设备,当然也可以就是联网的计算机终端。
一般CPU卡使用网银的方法是:当用户登陆网银系统的时候,在计算机终端上插入CPU卡;然后在计算机上输入PIN码,如果验证通过,则可以进行进一步的相关操作;然后在计算机终端上输入或产生交易关键数据(名称、账号、金额),并传送到CPU卡;然后CPU卡对关键交易数据进行签名,并传送回计算机终端,再通过计算机网络传送到网银服务器确认签名,完成交易。这种CPU卡认证方式可以是基于PKI公钥体系,私钥安全地保存在CPU卡中,符合国家对网上金融交易的安全要求。当然CPU卡可以不使用PKI公钥体系及数字签名方式,而采用其他安全协议来实现服务。
然而,当前使用CPU卡的方法并不是绝对安全。广泛应用的普通CPU卡(不带液晶和按键)实际存在“所见非所签”的安全漏洞。计算机终端与CPU卡交互操作存在被中间人攻击的漏洞,无法防止待签名数据被篡改后传送到CPU卡。另外,黑客还可以远程控制计算机终端,在后台篡改需要CPU卡签名的交易数据,而客户却无法知晓。有效防范“所见非所签”的关键就是在于要让用户知道CPU卡内的真实待签名数据,并可以对篡改过的CPU卡内的交易数据拒绝签名。
目前网银交易中,防范“所见非所签”的方式主要是通过在普通CPU卡上增加显示模块和按键模块,实现“屏幕确认”或者“输入确认”的功能。即通常所说的“所见即所签”。
用户在交易时,需要用户对网银交易数据进行确认,使得攻击者无法暗中篡改网银交易数据,从而保证合法用户账户的安全。屏幕确认即指用户在交易时,会对显示在CPU卡显示模块上的交易数据进行核实,以达到确认的目的。输入确认是指用户在交易的时候,需要将部分交易关键数据,比如对方姓名、账号、交易金额等在CPU卡的输入模块上以物理输入的方式进行确认,杜绝攻击者篡改签名内容的机会。总之,就是想办法让用户确认处于CPU卡中的待签名或待使用的数据的准确性。
中国专利申请ZL9912388“互联网上加手机声响保障钱款支付安全方法及相应系统”及中国专利申请ZL02116722“手机来电显示信息的多种金融卡支付确认电讯方法及系统”中,提出的一种方式是银行服务器将关键交易数据及一个由银行服务器产生动态的确认口令,通过手机短信方式告诉客户,如果客户认为关键交易数据无误,在计算机终端上输入确认口令,传送到银行确认并完成交易。该方案的本质就是把关键数据传送到银行,然后想办法让用户确认已经处于银行服务器中的待使用的数据。这种方式也可以解决“所见非所签”问题,但是该方案不能由CPU卡对交易数据进行数字签名,只能对传送到银行服务器的交易数据进行确认,所以不是完美的方案;或者说,错误的经过签名的数据,从银行服务器传送到用户手机,并且没有得到用户确认,但银行仍然错误地接受后,从法律上看损失还是将由用户承担。所以该方案是一个有一定缺陷的方案。
所以,用户希望所有送到银行服务器的数据都是用户希望送出的数据、所有在显示屏幕上看到的数据都是银行送回的真实数据或用户自己输入的真实数据。这就是目前银行支付安全领域所希望的所谓的“所见即所签”。
目前在所有其他计算机客户端的安全方案中,或多或少或不自觉地认为计算机客户端有一定的安全性,实际上造成所有的方案都有这样那样的安全漏洞。而我们的出发点就是,认为客户端就是木马,而不仅仅是可能有木马。我们假设操作系统就是黑客编的木马,黑客完全掌握了该客户端,而用户完全不应该相信该计算机客户端的安全性。从用户的角度来看,他只是希望计算机客户端能正确地帮他处理问题,而并不在乎计算机客户端是不是安全。
当计算机客户端不安全时,显然上述希望不可能都成立。但是本发明人认为可以接受的安全是,当用户按照计算机客户端屏幕显示正常操作后,即使数据被篡改也不能使用户产生实际损失;也不能因为计算机客户端屏幕的虚假显示,使用户根据这些显示正常操作后产生实际损失。不产生实际损失的意思是,产生的结果就是该终端坏了不能用而已。
最重要的一点就是,在网络服务器端得到的数据必须肯定是操作者认可的,至少必须保证银行服务器得到的有法律意义的交易数据必须肯定是操作者认可的。
中国专利申请ZL200410103401.6“一种增强计算机上使用电子签名工具安全性的方法”,联网获得授权才能使用签名工具。利用对方计算机对待签名数据的签名,反解后与待签名数据比较,正确后才进行签名。安全性只有对方计算机及本地计算机均被攻破后才行,当然也可以篡改两个原始数据达到攻击的目的。并没有解决计算机客户端不安全后,如何安全使用银行支付的问题。
中国专利申请ZL200910008843“对智能密码钥匙进行可信数字签名的装置及其工作方法”中,公开了一种针对智能密码钥匙进行可信数字签名的装置及其工作方法。通过所述工作方法可将智能密码钥匙内的关键签名数据,在装置上由客户以物理确认方式加以确认。所述装置将经过确认的关键签名数据处理后,和关键签名数据组合在一起交给普通智能密码钥匙进行数字签名,并传回至服务器,由服务器判断签名的有效性和正确性,以实现用户对普通智能密码钥匙签名数据的可信确认。
中国专利文献ZL200910008843“对智能密码钥匙进行可信数字签名的装置及其工作方法”、中国专利文献ZL02116722“手机来电显示信息的多种金融卡支付确认电讯方法及系统”、中国专利文献9912388“互联网上加手机声响保障钱款支付安全方法及相应系统”、《计算机世界报》文章“SSL难保电子商务安全”(计算机世界报2006年05月29日)、中国专利文献ZL200610041361.6“一种不依赖操作系统安全的安全使用网络服务器服务的装置和方法”、中国专利文献CN99806523.4“计算机系统中用于安全交易的方法和系统”、中国专利文献ZL200410103401.6“一种增强计算机上使用电子签名工具安全性的方法”等以上所提到的所有专利文献都是本专利实现的背景文件,为了节省本专利说明书的篇幅,申请人把上述所有专利文献的说明书都作为本专利申请的一部分,表示已经把这些申请文件写入了本说明书。
发明内容
有显示模块或键盘模块的CPU卡,完全符合一个完整的可信计算机的要求,显然能够满足“所见即所签”的要求。为了便于携带,只能把显示模块及输入模块做的很小。但是,很小的屏幕不便于阅读,小的键盘不便于操作;特别是CPU卡在使用时,大多需要物理接入其他计算机终端,这样使得CPU卡远离使用者,这就更使得小显示模块及小键盘模块显得不易用。如果CPU卡采用无线与计算机终端连接,当然可以避免距离问题;但是,CPU卡必然有电池系统及充电问题。从历史上看,曾经就有具有CPU、显示屏及薄膜键盘的SMART卡,并没有得到广大用户的认可。另外,具有显示屏及键盘的CPU卡可靠性差、成本更高体积更大;由于大的体积,所以用户不能像现在使用信用卡那样,在一个钱包中放置多个带显示模块及键盘模块的CPU卡。
从现在人们的出行习惯来说,银行卡及手机都是必带物品;手机有显示器及键盘,充分利用手机是一个易用的方案。但是,手机可能也不是安全终端。所以可以利用手机及CPU卡两个物品来提高安全性。只要保证在其中一个物品是安全的,就可以保证支付安全;比较差的情况就是两个物品都不安全时,只要两个物品中的“木马”不是同一黑客所为还是可以保证安全;更进一步就是两个物品中的“木马”就是同一黑客所为,但是只要黑客很难对应该两个物品,也还是安全。
所以安全进行数字签名的方法,可以是当通过计算机终端输入或产生待签名数据,并传送到CPU卡;在CPU卡中,对待签名数据签名前,先由CPU卡产生一个一次性的确认口令(动态密码),并将该确认口令与待签名数据同时以相对安全的方法通过计算机终端传送给银行客户;银行客户确认该待签名数据的准确性后,在计算机终端上输入对应的确认口令;CPU卡比较从计算机终端接收到的确认口令与产生的确认口令,一致则进行相应的数字签名,否则不进行相应的数字签名。也可以使用普遍采用的输入三次确认口令不正确就取消该待签数据的方法来提高安全性。当然CPU卡接受待签名数据前,也可以先要求输入身份认证密码(PIN)或身份认证动态密码,防止多次输入待签名数据及确认口令的攻击。
安全支付的目的就是“所见即所签”。由于签名的工作是在CPU卡中进行,所以不管计算机终端如何不安全,要进行欺骗银行服务器的工作,其欺骗的数据还是要使用CPU卡内的签名功能。
能不能实现“所见即所签”,也可以换一种角度来说,即实现“所签即所见”。即在CPU卡使用关键数据之前,把该数据安全地提供给用户,只有获得用户确认后,CPU卡才能使用该数据(例如数字签名,修改CPU卡中的数据),并可以进一步可以提供给银行服务器获得相应的服务。
本发明的目的是提出一种安全确认CPU卡中关键数据的方法。在使用可能不安全的计算机终端时,可以安全地确认CPU卡中的关键数据。该方法可以用于网络支付、CPU卡中关键数据的修改及重置;结合好的密码协议,可简单且安全地解决在可能不安全计算机终端上安全使用网络银行、游戏等服务的方法。实现“所签即所见”的安全目的。
根据本发明的一种确认CPU卡内数据的方法,它包括:CPU卡生成确认口令、变换待确认数据及确认口令、通过CPU卡的输出接口输出变换后的待确认数据及确认口令、通过CPU卡的输入接口输入确认口令、当接收到的确认口令与开始时生成的确认口令匹配时,CPU卡确认待确认数据。
较佳地,CPU卡生成确认口令是由CPU卡中的随机数生成器生成。如果确认口令从CPU卡外输入,甚至是加密输入都是具有不安全因素。随机数生成器最好是真随机数生成器,当然伪随机数生成器也是可以使用。显然如果在CPU卡上还有一个物理的确认键配合使用就更好
更好地,变换待签名数据及确认口令是采用加密方式变换待签名数据及确认口令。
简单地,变换待签名数据及确认口令是把待签名数据及确认口令变换为图形数据;进一步还有加密已经变换为图形的待签名数据及确认口令数据的步骤。
进一步,还有当CPU卡确认待确认数据后,签名或加密该已经确认的数据的步骤。
更进一步,还有输出签名或加密已经确认数据的步骤。
实用地,组合使用上述各种步骤。
附图说明
下面参照附图描绘本发明,其中
图1表示优选实施例1、3及4相关联的系统的示意图;
图2表示优选实施例2相关联的系统的示意图;
具体实施方式
[实施例1]短信确认
本发明的核心就是CPU卡中的待签名或待使用数据,用可信的方法输出到用户可信设备,由用户确认待签名或待使用数据;用户确认后进行相应的签名或使用相应的数据。根据本发明第一种实施方式,一种确认CPU卡内数据的方法所关联的系统如图1所示。这是一次短信确认方案。在该图中,密码装置42加密的数据与短信网关5的密码装置51对应;即密码装置42完成加密,密码装置51解密。例如,密码装置51公开公钥(E,M),保密私钥(D,M);则密码装置42用公钥(E,M)加密,而密码装置51用保密私钥(D,M)解密。当然,可以采用其他密码协议完成加密及解密。CPU卡4内存储有手持设备地址,如手机号码。
当把CPU卡4与计算机终端3连接后,用户根据计算机终端3的提示输入或产生交易关键数据,如接受资金的账户名、账号、金额等关键数据;计算机终端3将这些关键数据传送到CPU卡4中;CPU卡4用随机数生成器41生成确认口令(PIN),并把通过密码装置42加密关键数据、确认口令及手持设备地址(手机号码);该被加密的数据传送到计算机终端3,并通过计算机网络2传送到短信网关5;短信网关5的密码装置51解密该加密数据得到关键数据、确认口令及手持设备地址(手机号码);短信网关5通过移动无线网6把该关键数据及确认口令根据手持设备地址(手机号码)发送到手持设备7(用户手机)上;用户确认手持设备7上的关键数据正确后,在计算机终端3上输入确认口令;计算机终端3把接收到的确认口令传送到CPU卡4中;CPU卡4比较收到的确认口令与生成的确认口令一致后,通过签名装置43签名该关键数据,CPU卡4将该已签名关键数据传送到计算机终端3,并通过计算机网络2传送已签名关键数据到银行服务器1;银行服务器1根据该已签名关键数据进行相应的支付操作。该关键数据的签名就是银行进行资金操作的法律依据,并且显然该签名的关键数据是经过银行客户通过手持设备7安全确认过的。
该方案显然有一个安全缺陷,当CPU卡4与计算机终端3连接后,计算机终端3不断地向CPU卡4输送关键数据,并不断猜测相应的确认口令。虽然成功的概率很小,但是也是安全缺陷,解决的方法可以是一次CPU卡加电只能进行一次关键数据签名的工作、或者在输入关键数据之前通过短信方式发送输入关键数据前置口令,保证输入关键数据前必须通过用户的手持设备7(手机)确认、或者用CPU卡4与手持设备7(手机)联合构成动态口令认证,保证关键数据输入CPU卡4的前置认证。
在该实施例中,属于确认CPU卡4中关键数据的方法是:CPU卡4接收到计算机终端3传送过来的关键数据;CPU卡4通过随机数生成器41产生确认口令;通过密码装置42加密关键数据、确认口令及手持设备地址;CPU卡4把加密后的关键数据、确认口令及手持设备地址,传送到计算机终端3,并通过计算机网络2传送到短信网关5,短信网关5通过密码装置52解密得到解密后的关键数据、确认口令及手持设备地址,并通过移动无线网6传送(短信)到手持设备7(手机)上;用户确认手持设备7(手机)上的关键信息正确后,在计算机终端3上输入确认口令;计算机终端3传送确认口令到CPU卡4中,CPU卡4比较收到的确认口令与先前生成的确认口令,一致后通过签名装置43签名关键数据;CPU卡4传送签名后的关键数据到计算机终端3,并通过计算机网络2传送到银行网络服务器1,完成支付;
中国专利申请ZL9912388“互联网上加手机声响保障钱款支付安全方法及相应系统”及中国专利申请ZL02116722“手机来电显示信息的多种金融卡支付确认电讯方法及系统”所提出的方案,是通过手机确认服务器中的数据。与本实施例的主要区别是,一个是确认CPU卡中的数据,一个是确认服务器中的数据;一个由于必须保证安全确认CPU卡中的数据,必须变换关键数据及确认口令,而服务器数据确认不需要这关键的步骤;一个是被确认的数据还需要(签名或加密)提交到银行服务才有效,而银行服务器中的数据直接用于支付。
通过短信实现关键数据及确认口令的传送,必须依赖无线网络的可靠性,所以有实施例2。
[实施例2]无线确认(专用、手机加SD卡、手机加SIM卡)
根据本发明第二种实施方式,一种确认CPU卡内数据的方法所关联的系统如图2所示。在该实施方式中。该图中的手持设备6可以与计算机终端3用有线连接(如USB线)或无线连接(如蓝牙),该种连接用“无线或有线连接5”表示,当然无线或有线连接5还可以直接连接CPU卡4与手持设备6。另外手持设备6如果是手机,最好通过加SD卡或更改SIM卡加入密码装置61,当然也可以用手机软件实现密码装置61的功能。
当把CPU卡4与计算机终端3连接后,用户根据计算机终端3的提示输入或产生交易关键数据,如接受资金的账户名、账号、金额等关键数据;计算机终端3将这些关键数据传送到CPU卡4中;CPU卡4用随机数生成器41生成确认口令(PIN),并把通过密码装置42加密关键数据及确认口令;该被加密的关键数据及确认口令传送到计算机终端3,并通过无线或有线连接5传送到手持设备6(手机);手持设备6中的密码装置61解密该加密数据得到关键数据及确认口令;用户确认手持设备6上的关键数据正确后,在计算机终端3上输入确认口令;计算机终端3把接收到的确认口令传送到CPU卡4中;CPU卡4比较收到的确认口令与生成的确认口令一致后,通过签名装置43签名该关键数据,CPU卡4将该已签名关键数据传送到计算机终端3,并通过计算机终端2传送签名后的关键数据到银行服务器1;银行服务器1根据该签名的关键数据进行相应的支付操作。该关键数据的签名就是银行进行资金操作的法律依据,并且显然该签名的关键数据是经过银行客户通过手持设备安全确认过的。
在该实施例中,属于确认CPU卡4中关键数据的方法是:CPU卡4接收到计算机终端3传送过来的关键数据;CPU卡4通过随机数生成器41产生确认口令;通过密码装置42加密关键数据及确认口令;CPU卡4把加密后的关键数据及确认口令,传送到计算机终端3,并通过无线或有线连接5传送到手持设备6(手机)上;用户确认手持设备6(手机)上的关键信息正确后,在计算机终端3上输入确认口令;计算机终端3传送确认口令到CPU卡4中,CPU卡4比较收到的确认口令与先前生成的确认口令,一致后通过签名装置43签名关键数据;CPU卡4传送签名后的关键数据到计算机终端3,并通过计算机网络2传送到银行网络服务器1,完成支付;
该方案所用的手持设备6可能是“智能手机”,在智能手机上安装密码的解码程序实现密码装置61;或者该方案的手持设备(手机)上插入一个SDIO卡,上面有无线通讯模块及解密模块,能够接收计算机终端3传送来的加密数据。并解密后显示在手机屏幕上。也可以为了安全,用户手持一个有无线通讯模块、显示屏及键盘的专用安全设备。但是,智能手机也有一个安全隐患,就是智能手机不安全时,可能把确认口令传回到不安全的计算机终端3,然后输入CPU卡产生不安全数据确认。解决的方法是在CPU卡上增加一个确认键与确认口令配合使用。最好的方法,就是使CPU卡到用户终端(手持设备)的连接是CPU卡到用户终端的“单向通道”,即CPU卡可以把数据发送到用户终端,而用户设备不能把信息传送到CPU卡。例如CPU卡采用广播的方式传播信息,而用户终端只能接收信息不能发送信息,就是典型的单向通道。
实施例3图形确认
根据本发明第三种实施方式,本发明的核心就是CPU卡中的待签名数据,用可信的方法输出到用户可信的设备,由用户确认待签名数据;用户确认后进行相应的签名。可以参见图1来说明这个方法。
当把CPU卡4与计算机终端3连接后,用户根据计算机终端3的提示输入或产生交易关键数据,如接受资金的账户名、账号、金额等关键数据;计算机终端3将这些关键数据传送到CPU卡4中;CPU卡4用随机数生成器41生成确认口令(PIN),并把该确认口令与关键数据生成图形(如JPEG格式),并加以扰乱使之计算机很难识别,而人可以识别。该图片与手持设备地址(手机号码)被加密(也可以不加密)的传送到短信网关5,并到手持设备7(手机)上;用户确认关键数据正确后,在计算机终端3上输入确认口令;计算机终端3把接收到的确认口令传送到CPU卡4中;CPU卡4比较收到的确认口令与生成的确认口令一致后,通过签名装置43签名该关键数据,CPU卡4将该已签名数据传送到计算机终端3,并通过计算机终端2传送签名后的数据到银行服务器1;银行服务器1根据该签名的支付数据进行相应的支付操作。该关键数据的签名就是银行进行资金操作的法律依据,并且显然该签名的关键数据是经过银行客户通过手持设备安全确认过的。
在该实施例中,属于确认CPU卡4中关键数据的方法是:CPU卡4接收到计算机终端3传送过来的关键数据;CPU卡4通过随机数生成器41产生确认口令;变换关键数据及确认口令为图形;CPU卡4把变换的关键数据及确认口令图形、手持设备地址(手机号码),传送到计算机终端3,并通过计算机网络2传送到短信网关5,并通过移动无线网6传送(短信)到手持设备7(手机)上;用户确认手持设备7(手机)上的关键信息正确后,在计算机终端3上输入确认口令;计算机终端3传送确认口令到CPU卡4中,CPU卡4比较收到的确认口令与先前生成的确认口令,一致后通过签名装置43签名关键数据;CPU卡4传送签名后的关键数据到计算机终端3,并通过计算机网络2传送到银行网络服务器1,完成支付;
显然关键数据与确认口令,没有必要必须传送到手持设备,实际上也可以传送到用户的电子邮箱(用电子邮箱地址,而不是手机号码地址),方便没有手机的用户。安全性肯定有所下降,但是更易用了。所以有的用户可信终端是手机,有的用户的可信终端是其他计算机(读电子邮件),有的用户的可信终端是其他任何可以收到并显示关键数据与确认口令的设备。本质上就是需要CPU卡告诉计算机终端把关键数据及确认口令送到哪个电子地址。所以设置及修改CPU卡的输出电子地址也非常重要。
实施例4确认内部数据
根据本发明第四种实施方式,一种确认CPU卡内数据的方法,在于修改或重置CPU卡中的关键数据,用可信的方法输出到用户可信的设备,由用户确认待修改或重置的数据;用户确认后进行相应的修改或重置。可以参见图1来说明这个方法。
当把CPU卡4与计算机终端3连接后,用户根据计算机终端的提示输入修改或重置数据,如接受短信的存储于CPU卡内的手机号码及EMAIL地址等关键数据;计算机终端将修改或重置的关键数据传送到CPU卡4中;CPU卡4通过随机数生成器41产生确认口令;通过密码装置42加密关键数据、确认口令及手持设备地址;CPU卡4把加密后的关键数据、确认口令及手持设备地址,传送到计算机终端3,并通过计算机网络2传送到短信网关5,短信网关5通过密码装置52解密得到解密后的关键数据、确认口令及手持设备地址,并根据手持设备地址通过移动无线网6传送(短信)到手持设备7(手机)上;用户确认手持设备7(手机)上的关键信息正确后,在计算机终端3上输入确认口令;计算机终端3传送确认口令到CPU卡4中,CPU卡4比较收到的确认口令与先前生成的确认口令,一致后根据关键数据修改或重置CPU卡4中的这些数据。
该方法是一个安全修改CPU卡内关键数据的方法,能够保证在计算机终端不安全时,安全地修改CPU卡中的敏感数据。从该实施例可以看出,首先CPU卡内被确认的数据可以来源于相连的计算机终端,也可以来源于CPU卡自身;被确认的数据可以传送出CPU卡使用(如安全签名交易),也可以只用于CPU卡内部(确认CPU卡内的手机号码,EMAIL地址、密钥等其他非交易数据);加密数据的方式:可以是使用数字签名、也可以是使用公钥加密,还可以是其他任何变换;送到服务器:可以是网络银行、也可以是游戏网站、还可以是其他任何提供服务的计算机;获得相应服务:可以是安全支付、网游签名交易、其他任何网站可以根据确认的数据进行相应的服务。
总之,发明的核心就是确认CPU卡内信息的准确性,所以一种确认CPU卡内数据的方法,它包括:CPU卡生成确认口令;变换待确认数据及确认口令;通过CPU卡的输出接口输出变换后的待确认数据及确认口令;通过CPU卡的输入接口输入确认口令;当接收到的确认口令与先前生成的确认口令匹配时,CPU卡确认待确认数据;就可以进行相应的下一步的工作。
以上用银行服务器与CPU卡的签名支付来说明本发明的方法。但是本发明并不完全限定用于银行应用,显然也可以应用于网络游戏,还有其他需要确认CPU卡的数据,然后让CPU卡能够准确地使用相关数据的应用。尽管在以上的实施例中对本发明进行了描述,但可以理解,以上实施例的描述是说明性的而非限制性的,本领域的熟练技术人员可以理解,在不脱离由权利要求书定义的本发明的精神和范围的前提下,可做出各种变形、改进、修改和替换。
Claims (8)
1.一种确认CPU卡内数据的方法,它包括:
A、CPU卡生成确认口令;
B、变换待确认数据及确认口令;
C、通过CPU卡的输出接口输出变换后的待确认数据及确认口令;
D、通过CPU卡的输入接口输入确认口令;
E、当接收到的确认口令与A生成的确认口令匹配时,CPU卡确认待确认数据。
2.根据权利要求1的方法,其特征在于步骤A中的确认口令是由CPU卡中的随机数生成器生成。
3.根据权利要求1的方法,其特征在于步骤B是采用加密方式变换待签名数据及确认口令。
4.根据权利要求1的方法,其特征在于步骤B是把待签名数据及确认口令变换为图形数据。
5.根据权利要求4的方法,其特征在于还有加密已经变换为图形的待签名数据及确认口令数据的步骤。
6.根据权利要求1的方法,其特征在于还有当CPU卡确认待确认数据后,签名或加密该已经确认的数据的步骤。
7.根据权利要求6的方法,其特征在于还有输出签名或加密的已经确认的数据的步骤。
8.根据权利要求1、2、3、4、5、6及7方法,其特征在于为各种方法的组合。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910234546.2A CN102073801A (zh) | 2009-11-23 | 2009-11-23 | 一种确认cpu卡内数据的方法 |
| PCT/CN2010/078931 WO2011060738A1 (zh) | 2009-11-23 | 2010-11-19 | 一种确认cpu卡内数据的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910234546.2A CN102073801A (zh) | 2009-11-23 | 2009-11-23 | 一种确认cpu卡内数据的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102073801A true CN102073801A (zh) | 2011-05-25 |
Family
ID=44032340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910234546.2A Pending CN102073801A (zh) | 2009-11-23 | 2009-11-23 | 一种确认cpu卡内数据的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102073801A (zh) |
| WO (1) | WO2011060738A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108319870A (zh) * | 2014-05-28 | 2018-07-24 | 天地融科技股份有限公司 | 一种无按键的电子密钥设备 |
| CN112396424A (zh) * | 2019-08-15 | 2021-02-23 | 京东数字科技控股有限公司 | 一种融合即时通讯系统的交易方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101183456B (zh) * | 2007-12-18 | 2012-05-23 | 中国工商银行股份有限公司 | 加密装置、利用该加密装置加密、认证的系统与方法 |
| CN101494541B (zh) * | 2009-03-06 | 2011-01-05 | 中国工商银行股份有限公司 | 一种实现对pin码进行安全保护的系统及方法 |
-
2009
- 2009-11-23 CN CN200910234546.2A patent/CN102073801A/zh active Pending
-
2010
- 2010-11-19 WO PCT/CN2010/078931 patent/WO2011060738A1/zh active Application Filing
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108319870A (zh) * | 2014-05-28 | 2018-07-24 | 天地融科技股份有限公司 | 一种无按键的电子密钥设备 |
| CN108319870B (zh) * | 2014-05-28 | 2021-08-17 | 天地融科技股份有限公司 | 一种无按键的电子密钥设备 |
| CN112396424A (zh) * | 2019-08-15 | 2021-02-23 | 京东数字科技控股有限公司 | 一种融合即时通讯系统的交易方法及系统 |
| CN112396424B (zh) * | 2019-08-15 | 2024-02-02 | 京东科技控股股份有限公司 | 一种融合即时通讯系统的交易方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011060738A1 (zh) | 2011-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101897165B (zh) | 数据处理系统中验证用户的方法 | |
| CN105162596B (zh) | 用于生成在与服务器交互中使用的安全值并传送给用户的设备 | |
| CN101848090B (zh) | 认证装置及利用其进行网上身份认证与交易的系统与方法 | |
| EP2859489B1 (en) | Enhanced 2chk authentication security with query transactions | |
| EP2859488B1 (en) | Enterprise triggered 2chk association | |
| EP2213044B1 (en) | Method of providing assured transactions using secure transaction appliance and watermark verification | |
| CN101222333B (zh) | 一种数据交易处理方法及设备 | |
| CN102073803A (zh) | 一种增强usbkey安全的装置、方法及系统 | |
| CN102202300A (zh) | 一种基于双通道的动态密码认证系统及方法 | |
| CN202854880U (zh) | 基于指纹识别手机的短信支付系统 | |
| CN102880960A (zh) | 基于指纹识别手机的短信支付方法及系统 | |
| CN103036681B (zh) | 一种密码安全键盘装置及系统 | |
| CN103297231A (zh) | 一种身份认证的方法及系统 | |
| US20220070174A1 (en) | Transaction system, transaction method, and information recording medium | |
| CN101842795A (zh) | 用于进行具有动态安全性的交互的系统、方法和设备 | |
| CN102201137A (zh) | 网络安全终端以及基于该终端的交互系统和交互方法 | |
| CN102238193A (zh) | 数据认证方法及使用该方法的系统 | |
| CN102710611A (zh) | 网络安全身份认证方法和系统 | |
| CN101221641A (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| CN104301288B (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与系统 | |
| CN101478547A (zh) | 对智能密码钥匙进行可信数字签名的装置及其工作方法 | |
| CN107615797B (zh) | 一种隐藏用户标识数据的装置、方法和系统 | |
| CN202206419U (zh) | 网络安全终端以及基于该终端的交互系统 | |
| CN105591746B (zh) | 一种在线绑定受理终端的处理方法以及处理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110525 |