CN102111417A - 网上银行数据的认证方法、装置、服务器及系统 - Google Patents
网上银行数据的认证方法、装置、服务器及系统 Download PDFInfo
- Publication number
- CN102111417A CN102111417A CN2011100497595A CN201110049759A CN102111417A CN 102111417 A CN102111417 A CN 102111417A CN 2011100497595 A CN2011100497595 A CN 2011100497595A CN 201110049759 A CN201110049759 A CN 201110049759A CN 102111417 A CN102111417 A CN 102111417A
- Authority
- CN
- China
- Prior art keywords
- client
- blacklist
- information
- authentication
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种网上银行数据的认证方法、装置、服务器及系统,其中,该方法包括:接收外部输入的网银登录请求消息;根据网银登录请求消息,发送黑名单请求消息给服务器;接收来自服务器的黑名单信息;根据黑名单信息检测本地是否存在与黑名单信息相应的组件;当检测成功之后,接收外部输入的用户登录认证信息,检测成功包括:未检测到与黑名单信息相应的组件,或者检测到与黑名单信息相应的组件,屏蔽或删除组件;将用户登录认证信息加密处理后发送给服务器认证;接收到来自服务器的认证成功信息和网银交易菜单,并显示网银交易菜单,以便客户进行金融交易。通过本发明,可以提高银行电子金融业务的安全性。
Description
技术领域
本发明涉及网上银行数据安全处理领域,具体地,涉及一种网上银行数据的认证方法、装置、服务器及系统。
背景技术
随着经济和社会的发展,从传统的金融业务中衍生出了电子金融业务,电子金融业务通过网络为客户提供金融交易手段,由于其方便和快捷的特性,电子金融业务在人们的生活中扮演的角色越来越重要。随之而来电子金融业务的资金安全问题成为了制约其发展的瓶颈,这主要是由于客户通过浏览器访问电子金融/电子商务网站的安全性比较低。
电子金融业务的安全性低主要受以下两个方面因素制约:首先,互联网是个开放的环境,存在各种类型的用户,而且大部分使用浏览器客户对互联网技术掌握程度和攻击手段认识均比较低,几乎没有对电子金融服务交易安全防范的观念;其次,现有的浏览器是相对开源的,浏览器很容易受到恶意控件、插件的攻击,目前还未针对电子金融服务交易有相应的安全配套措施。而且,交易数据通过公共网络传输交易数据存在一定的安全隐患,黑客可以通过现有通用技术增删改浏览器的控件、插件来实现特有功能。浏览器端的HTML代码或者HTTP请求对用户是不可见的,较容易被黑客篡改,从而导致内容欺骗攻击、跨站攻击等。例如,网页通过动态创建的HTML提供,框架的源地址(<frame src=″http://icbc.example/file.html″>)可以通过URL参数值指定(http://icbc.example/page?frame_src=http://icbc.example/file.html),攻击者能将″frame_src″的值替换为″frame_src=http://attacker.example/file.html″,当结果页面返回时,浏览器的地址栏仍然显示在用户的信任域内(icbc.example),但是外部数据(attacker.example)已经覆盖了合法内容。
综上,由于互联网的开放性以及浏览器的开源性,使得目前的电子金融业务的安全性较低。
发明内容
本发明实施例的主要目的在于提供一种网上银行数据的认证方法、装置、服务器及系统,以解决现有技术中的电子金融业务安全性较低的问题。
为了实现上述目的,本发明实施例提供一种网上银行数据的认证方法,该方法包括:接收外部输入的网银登录请求消息;根据所述的网银登录请求消息,发送黑名单请求消息给服务器;接收来自所述服务器的黑名单信息;根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;当检测成功之后,接收外部输入的用户登录认证信息,所述的检测成功包括:未检测到与所述黑名单信息相应的组件,或者检测到与所述黑名单信息相应的组件,屏蔽或删除所述的组件;将所述的用户登录认证信息加密处理后发送给所述的服务器认证;接收到来自所述服务器的认证成功信息和网银交易菜单,并显示所述的网银交易菜单,以便客户进行金融交易。
优选地,在接收来自所述服务器的黑名单信息之前,所述的方法还包括:接收来自所述服务器的用于检测本地是否安装安全组件的安全检测信息,所述的安全组件用于根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;如果检测到未安装所述的安全组件,则发送安全组件下载请求消息给所述的服务器,以便所述的服务器发送所述安全组件进行安装;接收来自所述服务器发送的安全组件,并将所述的安全组件安装在本地。
具体地,上述检测本地是否存在与所述黑名单信息相应的组件包括:对本地注册表、本地前后台进程以及本地缓存空间进行遍历检测是否存在与所述黑名单信息相应的组件。
根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件之后,所述的方法还包括:如果检测失败,则拒绝网银登录请求。
优选地,将所述的用户登录认证信息加密处理后发送给所述的服务器认证包括:建立与所述服务器之间的VPN;将所述的用户登录认证信息加密处理后通过所述的VPN(Virtual Private Network,虚拟专用网络)发送给所述的服务器认证。
本发明实施例还提供一种网上银行数据的认证方法,该方法包括:接收来自客户端的黑名单请求消息;根据所述的黑名单请求消息,将存储的黑名单信息发送给所述的客户端;接收来自所述客户端的用户登录认证信息;根据预定规则对所述的用户登录认证信息进行解密操作,并对解密后的用户登录认证信息进行认证;在认证成功时,将认证成功信息和网银交易菜单发送给所述的客户端,以供客户根据所述的网银交易菜单进行金融交易。这里的预定规则可以是服务器端与客户端预先商议或预先设置好的,符合加密解密规则的规定,本发明对此不作限定。
优选地,在接收来自客户端的黑名单请求消息之后,所述的方法还包括:将用于检测客户端是否安装安全组件的安全检测信息发送给所述的客户端,所述的安全组件用于根据所述的黑名单信息检测客户端是否存在与所述黑名单信息相应的组件;如果接收到来自所述客户端的安全组件下载请求消息,则将所述安全组件发送给所述的客户端。
优选地,接收来自所述客户端的用户登录认证信息包括:通过所述客户端建立的VPN接收来自所述客户端的用户登录认证信息。
本发明实施例还提供一种网上银行数据的认证装置,所述装置包括:网银登录请求消息接收单元,用于接收外部输入的网银登录请求消息;黑名单请求消息发送单元,用于根据所述的网银登录请求消息,发送黑名单请求消息给服务器;黑名单信息接收单元,用于接收来自所述服务器的黑名单信息;黑名单信息检测单元,用于根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;用户登录认证信息接收单元,用于当检测成功之后,接收外部输入的用户登录认证信息,所述的检测成功包括:未检测到与所述黑名单信息相应的组件,或者检测到与所述黑名单信息相应的组件,屏蔽或删除所述的组件;用户登录认证信息发送单元,用于将所述的用户登录认证信息加密处理后发送给所述的服务器认证;网银交易菜单接收单元,用于接收来自所述服务器的认证成功信息和网银交易菜单,并显示所述的网银交易菜单,以便客户进行金融交易。
优选地,所述的装置还包括:安全检测信息接收单元,用于接收来自所述服务器的用于检测本地是否安装安全组件的安全检测信息,所述的安全组件用于根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;安全组件下载请求消息发送单元,用于如果检测到未安装所述的安全组件,则发送安全组件下载请求消息给所述的服务器;安全组件接收单元,用于接收来自所述服务器发送的安全组件,并将所述的安全组件安装在本地。
具体地,上述的黑名单信息检测单元具体用于:对本地注册表、本地前后台进程以及本地缓存空间进行遍历检测是否存在与所述黑名单信息相应的组件。
上述的装置还包括:网银登录请求拒绝单元,用于在根据所述的黑名单信息检测所述的组件失败时,拒绝网银登录请求。
具体地,所述的用户登录认证信息发送单元包括:VPN建立模块,用于建立与所述服务器之间的VPN;用户登录认证信息发送模块,用于将所述的用户登录认证信息加密处理后通过所述的VPN发送给所述的服务器认证。
本发明实施例还提供一种基于网上银行的服务器,该服务器包括:黑名单请求消息接收单元,用于接收来自客户端的黑名单请求消息;黑名单信息发送单元,用于根据所述的黑名单请求消息,将存储的黑名单信息发送给所述的客户端;用户登录认证信息接收单元,用于接收来自所述客户端的用户登录认证信息;用户登录认证信息认证单元,用于根据预定规则对所述的用户登录认证信息进行解密操作,并对解密后的用户登录认证信息进行认证;网银交易菜单发送单元,用于在认证成功时,将认证成功信息和网银交易菜单发送给所述的客户端,以供客户根据所述的网银交易菜单进行金融交易。
优选地,所述的服务器还包括:安全检测信息发送单元,用于将用于检测客户端是否安装安全组件的安全检测信息发送给所述的客户端,所述的安全组件用于根据所述的黑名单信息检测客户端是否存在与所述黑名单信息相应的组件;安全组件发送单元,用于在接收到来自所述客户端的安全组件下载请求消息时,将所述安全组件发送给所述的客户端。
优选地,上述的用户登录认证信息接收单元具体用于:通过所述客户端建立的VPN接收来自所述客户端的用户登录认证信息。
本发明实施例还提供一种网上银行数据的认证系统,包括上述的网上银行数据认证装置和上述基于网上银行的服务器。
借助于上述技术方案至少之一,通过根据从服务端获取的黑名单信息检测本地是否存在恶意组件,从而可以屏蔽或删除恶意组件,保证本地客户端的安全性,然后再将客户认证信息发送到服务器进行认证,以进一步保证客户信息的安全,相比于现有技术,本发明实施例可以提高银行电子金融业务的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的从客户端的角度描述网上银行数据的认证方法的流程图;
图2是根据本发明实施例的从服务器端的角度描述网上银行数据的认证方法的流程图;
图3是根据本发明实施例的从客户端和服务器端的角度描述网上银行数据的认证方法的流程图;
图4是根据本发明实施例的网上银行数据的认证系统的结构框图;
图5是根据本发明实施例的认证装置的结构框图;
图6是根据本发明实施例的认证装置的详细结构框图;
图7是根据本发明实施例的服务器的结构框图;
图8是根据本发明实施例的服务器的详细结构框图;
图9是根据本发明实施例的可定制浏览器的网上银行安全服务系统的架构框图;
图10是根据本发明实施例的可定制浏览器的网上银行安全系统的客户端组件的结构框图;
图11是根据本发明实施例的检查组件的结构框图;
图12是根据本发明实施例的可定制浏览器的网上银行安全系统的服务器端组件的结构框图;
图13是根据本发明实施例的可定制浏览器的网上银行安全系统的工作流程图;
图14是根据本发明实施例的可定制浏览器的网上银行安全系统检测前后台进程的具体程序;
图15A是根据本发明实施例的可定制浏览器的网上银行安全系统的客户登录信息明文及签名;
图15B是根据本发明实施例的可定制浏览器的网上银行安全系统的密文。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于现有技术中的银行电子金融业务安全性较低,基于此,本发明实施例提供一种网上银行数据的认证方法及系统。以下结合附图对本发明进行详细说明。
实施例一
本发明实施例提供一种网上银行数据的认证方法,以下分别从客户端和服务端进行详细的描述。
首先,从客户端的角度描述网上银行数据的认证方法,如图1所示,该方法包括:
步骤101,接收外部输入的网银登录请求消息;
步骤102,根据网银登录请求消息,发送黑名单请求消息给服务器;
步骤103,接收来自服务器的黑名单信息;
步骤104,根据黑名单信息检测本地是否存在与黑名单信息相应的组件;
步骤105,当检测成功之后,接收外部输入的用户登录认证信息,其中,检测成功包括:未检测到与黑名单信息相应的组件,或者检测到与黑名单信息相应的组件,屏蔽或删除组件;
步骤106,将用户登录认证信息加密处理后发送给服务器认证;
步骤107,接收到来自服务器的认证成功信息和网银交易菜单,并显示网银交易菜单,以便客户进行金融交易。
由以上描述可以看出,通过根据从服务端获取的黑名单信息检测本地是否存在恶意组件,从而可以屏蔽或删除恶意组件,保证本地客户端的安全性,然后再将客户认证信息发送到服务器进行认证,以进一步保证客户信息的安全,相比于现有技术,本发明实施例可以提高银行电子金融业务的安全性。
优选地,在接收到来自服务器的黑名单信息之前,上述方法还包括:接收来自服务器的用于检测本地是否安装安全组件的安全检测信息,安全组件用于根据黑名单信息检测本地是否存在与黑名单信息相应的组件;如果检测到未安装安全组件,则发送安全组件下载请求消息给服务器,以便服务器发送安全组件进行安装。也就是说,服务器会首先查看客户端是否有安装有安全组件,如果已经安装,则可以发送黑名单信息,如果客户端还没有安装,则发送安全组件给客户端,以使客户端安装,这样安全组件就可以根据黑名单信息进行检测本地是否存在恶意组件。
优选地,上述检测本地是否存在与黑名单信息相应的组件具体是:对本地注册表、本地前后台进程以及本地缓存空间进行遍历检测是否存在与黑名单信息相应的组件。
由于现有技术中的恶意插件,如网银大盗,通常具备以下特征:强行安装、无法卸载、监听客户信息、对交易信息进行篡改并主动发送等。
因此,在本发明实施例中,先对这些恶意控件及插件的特征进行分类,如注册表特征、后台进程特征等,在本发明实施例中主要分成三类:本地注册表特征、本地前后台进程特征以及本地缓存空间特征,然后对每种分类有针对性的检查并过滤,并利用ActiveX技术通过检测本地控件和特征码对间谍软件进行屏蔽或删除,防止被恶意程序盗用银行帐户和密码等重要资料。
如果上述检测恶意组件不成功,即,检测出来了恶意组件但是没有进行或者无法进行屏蔽或删除操作,则客户端拒绝客户的网银登录请求,并将结果提示给客户。
在实际操作中,客户端可以建立与服务器之间的VPN,然后,将用户登录认证信息加密处理后通过建立的VPN发送给服务器认证,以保证数据的私有和安全证。
以下从服务器端的角度描述网上银行数据的认证方法,如图2所示,该方法包括:
步骤201,接收来自客户端的黑名单请求消息;
步骤202,根据黑名单请求消息,将存储的黑名单信息发送给客户端;
步骤203,接收来自客户端的用户登录认证信息;
步骤204,根据预定规则对用户登录认证信息进行解密操作,并对解密后的用户登录认证信息进行认证;
步骤205,在认证成功时,将认证成功信息和网银交易菜单发送给客户端,以供客户根据网银交易菜单进行金融交易。
由以上描述可以看出,通过服务器将黑名单信息发送给客户端,使得客户端可以根据黑名单信息检测本地是否存在恶意组件,并通过服务器对用户登录认证信息的认证,可以进一步保证用户信息的安全,从而克服了现有技术中的缺陷,提高了银行电子金融业务的安全性。
在接收来自客户端的黑名单请求消息之后,该方法还包括:将用于检测客户端是否安装安全组件的安全检测信息发送给客户端,安全组件用于根据黑名单信息检测客户端是否存在与黑名单信息相应的组件;如果接收到来自客户端的安全组件下载请求消息,则将安全组件发送给客户端。这样,可以保证客户端在获取黑名单信息后,调用安全组件进行检测本地是否存在与黑名单信息对应的恶意组件。
在实际操作中,当客户端建立了与服务器之间的VPN之后,服务器可以通过该VPN接收来自客户端的用户登录认证信息。这样,数据的安全性就可以得到进一步的保证。
以下结合客户端和服务器来详细描述网上银行数据的认证方法,如图3所示:
步骤301,客户打开客户端进行登录;
步骤302,客户端识别客户登录网上银行,进行黑名单更新操作,即,从服务器处获取新的黑名单信息,该黑名单信息中包含了最新的恶意组件;
步骤303,根据黑名单信息对恶意控件及插件进行检测,并将检查结果显示给客户,如果未检测到恶意控件及插件,则进入步骤306;
步骤304,如果无法执行检测操作,则提示客户安全风险并退出登录过程;
步骤305,将检测出的恶意控件及插件进行屏蔽或删除;
步骤306,提示客户安全;
步骤307,与服务器端建立VPN进行通信,以保证数据的私有和安全性,报文格式符合Ipsec协议操作模式,并对传输层进行加密;
步骤308,客户输入登录认证信息,客户端对客户输入信息加密和签名,可以包含加密密钥或PIN码、数字证书、签名私钥,独立处理芯片以及算法等处理,然后发送给服务器;
步骤309,服务器对接收到的加密数据进行解密并对客户登录信息进行认证,并将认证结果加密后返回给客户端;
步骤310,如果认证成功,则提示客户成功,客户登录网上银行,服务器端将交易菜单通过VPN发送给客户端端,客户可以进行银行交易操作,且通信过程全部加密;
步骤311,如果失败,则提示客户认证失败,并退出登录过程。
实施例二
本发明实施例还提供一种网上银行数据的认证系统,优选地用于实现上述图3所示的方法,图4是该系统的结构框图,如图4所示,该系统包括:认证装置401和服务器402,优选地,该认证装置可用于实现上述图1所示的方法,服务器可以实现上述图2所示的方法,以下分别描述认证装置和服务器。
如图5所示,上述认证装置401包括:
网银登录请求消息接收单元4011,用于接收外部输入的网银登录请求消息;
黑名单请求消息发送单元4012,用于根据网银登录请求消息,发送黑名单请求消息给服务器;
黑名单信息接收单元4013,用于接收来自服务器的黑名单信息;
黑名单信息检测单元4014,用于根据黑名单信息检测本地是否存在与黑名单信息相应的组件;
用户登录认证信息接收单元4015,用于当检测成功之后,接收外部输入的用户登录认证信息,检测成功包括:未检测到与黑名单信息相应的组件,或者检测到与黑名单信息相应的组件,屏蔽或删除组件;
用户登录认证信息发送单元4016,用于将用户登录认证信息加密处理后发送给服务器认证;
网银交易菜单接收单元4017,用于接收来自服务器的认证成功信息和网银交易菜单,并显示网银交易菜单,以便客户进行金融交易。
由以上描述可以看出,通过黑名单信息检测单元4014根据从服务端获取的黑名单信息检测本地是否存在恶意组件,从而可以屏蔽或删除恶意组件,保证本地客户端的安全性,然后用户登录认证信息发送单元4016再将客户认证信息发送到服务器进行认证,以进一步保证客户信息的安全,相比于现有技术,本发明实施例可以提高银行电子金融业务的安全性。
其中,上述的黑名单信息检测单元4014具体用于:对本地注册表、本地前后台进程以及本地缓存空间进行遍历检测是否存在与所述黑名单信息相应的组件。这样,根据对恶意控件及插件的特征进行分类后再检测,可以有效地对恶意控件及插件进行检查并过滤。
优选地,如图6所示,该装置还可以包括:
安全检测信息接收单元4018,用于接收来自服务器的用于检测本地是否安装安全组件的安全检测信息,安全组件用于根据黑名单信息检测本地是否存在与黑名单信息相应的组件;
安全组件下载请求消息发送单元4019,用于如果检测到未安装安全组件,则发送安全组件下载请求消息给服务器;
安全组件接收单元40110,用于接收来自服务器发送的安全组件,并安装在本地。
通过对安全组件是否已安装进行检测,可以保证客户端存在安全组件,进而可以利用安全组件有效准确的进行恶意组件的检测。
在实际操作中,上述装置还可以包括:网银登录请求拒绝单元,用于在根据黑名单信息检测组件失败时,拒绝网银登录请求。
具体地,上述的用户登录认证信息发送单元可以具体包括:VPN建立模块,用于建立与服务器之间的VPN;用户登录认证信息发送模块,用于将用户登录认证信息加密处理后通过VPN发送给服务器认证。通过建立VPN,可以保证数据的私有和安全性。
以下描述服务器,如图7所示,服务器402包括:
黑名单请求消息接收单元4021,用于接收来自客户端的黑名单请求消息;
黑名单信息发送单元4022,用于根据黑名单请求消息,将存储的黑名单信息发送给客户端;
用户登录认证信息接收单元4023,用于接收来自客户端的用户登录认证信息;
用户登录认证信息认证单元4024,用于根据预定规则对用户登录认证信息进行解密操作,并对解密后的用户登录认证信息进行认证;
网银交易菜单发送单元4025,用于在认证成功时,将认证成功信息和网银交易菜单发送给客户端,以供客户根据网银交易菜单进行金融交易。
由以上描述可以看出,通过黑名单信息发送单元4022将黑名单信息发送给客户端,使得客户端可以根据黑名单信息检测本地是否存在恶意组件,并通过用户登录认证信息认证单元4024对用户登录认证信息的认证,可以进一步保证用户信息的安全,从而克服了现有技术中的缺陷,提高了银行电子金融业务的安全性。
优选地,如图8所示,上述服务器还包括:
安全检测信息发送单元4026,用于将用于检测客户端是否安装安全组件的安全检测信息发送给所述的客户端,所述的安全组件用于根据所述的黑名单信息检测客户端是否存在与所述黑名单信息相应的组件;
安全组件发送单元4027,用于在接收到来自所述客户端的安全组件下载请求消息时,将所述安全组件发送给所述的客户端。
这样,通过安全检测信息发送单元4026和安全组件发送单元4027可以保证客户端在获取黑名单信息后,调用安全组件进行检测本地是否存在与黑名单信息对应的恶意组件。
在具体实施过程中,上述的用户登录认证信息接收单元具体用于:通过客户端建立的VPN接收来自客户端的用户登录认证信息。这样,可以保证数据的私有和安全性。
为了进一步理解本发明实施例,以下给出一实例。
图9是可定制浏览器的网上银行安全服务系统的架构,包括客户端1和服务器端2,其中,该客户端对应于上述的认证装置,服务器端应用于上述的服务器。客户登录网银前,服务器端2可以先对客户端1进行检测,是否安装网上银行安全系统的客户端(即,上述的安全组件),如果已经安装则引导客户登录,如果没有安装则引导客户到服务器端2下载。
图10是可定制浏览器的网上银行安全系统的客户端组件的结构图,如图10所示,该客户端组件包括:浏览器主控组件3、输入组件4、显示组件5、签名加密认证组件8、通信组件7、更新组件8、检查组件9、屏蔽过滤控制组件10和存储组件11。其中,浏览器主控组件3分别与输入组件4、显示组件5、签名加密认证组件6、通信组件7、更新组件8、检查组件9、屏蔽过滤控制组件10相连接;更新组件8、检查组件9、屏蔽过滤控制组件10分别与存储组件11连接。
浏览器主控组件3负责调用其他功能组件控制作业流程;输入组件4接收客户从外部输入的数据;显示组件5将浏览器的信息显示给客户;签名加密认证组件8负责对客户交易数据进行加密,对服务器返回数据进行解密;通信组件7负责建立VPN;更新组件8负责更新下载黑名单;检查组件9,即病毒木马扫描引擎,负责检查黑名单中恶意插件的特征;屏蔽过滤控制组件10负责屏蔽已检测出的恶意插件;存储组件11负责存储黑名单及检测出的恶意软件特征。
图10所示的客户端的工作原理是:浏览器主控组件3识别客户浏览器端登录网上银行,驱动更新组件8访问服务器端下载黑名单,并储存到存储组件11中;然后浏览器主控组件3驱动检查组件9访问存储组件11获取黑名单,进行检查本地是否存在恶意组件并将检测结果存储到存储组件11中;浏览器主控组件3驱动屏蔽过滤控制组件10访问存储组件11获取黑名单中标记信息后进行屏蔽或删除,该标记信息即检测到的本地存在的恶意组件,然后反馈结果给浏览器主控组件3;浏览器主控组件3将结果反馈给显示组件5,以供客户参考;最后浏览器主控组件3驱动输入组件4接收客户输入的登录数据,并将登录数据转给签名加密认证组件6进行加密处理,并将加密后的数据发送给通信组件7,使通信组件7与服务器端进行加密通许。
其中,如图11所示,检查组件9包括三种检查子组件:检查注册表类组件14、检查进程类组件15、以及检查文件类组件16。检查注册表类组件14可以通过特征遍历检查本地注册表12;检查进程类组件15可以通过特征遍历检查本地前后台进程13;检查文件类组件可以通过特征遍历检查本地缓存控件17。
图12是可定制浏览器的网上银行安全系统的服务器端组件的结构图,如图11所示,服务器端组件包括:解密认证组件18、服务器端通信组件19、网上银行登录组件20、以及浏览器黑名单更新组件21。其中,网上银行登录组件20分别与解密认证组件18、服务器端通信组件19、浏览器黑名单更新组件21相连接。
图12所示的服务器的工作原理是:客户登录前,网上银行登录组件20驱动浏览器黑名单更新组件21反馈给客户端黑名单列表;在客户登录过程中,网上银行登录组件20驱动通信组件19接收客户端的请求数据,并通过解密认证组件18对请求数据进行解密及认证;客户登录完成后,网上银行登录组件20驱动服务器端通信组件19将数据反馈给客户端。
图13是可定制浏览器的网上银行安全系统的工作流程图,如图13所示,该流程包括:
步骤1301,客户打开浏览器进行登录;
步骤1302,浏览器识别客户登录网上银行浏览器,更新黑名单,具体地:浏览器主控组件3识别浏览器端登录网上银行,调用更新组件8通过网络访问浏览器黑名单更新组件21下载黑名单,并储存到存储组件11;
步骤1303,对恶意控件及插件的检测,具体地:浏览器主控组件3调用检查组件9,访问存储组件11中的黑名单进行检测,检测过程中如果识别到黑名单中存在相应的恶意组件记录,则进行标识,如果检测成功并存在记录则反馈给浏览器主控组件3,浏览器主控件调用显示组件5提示客户,如果检测成功不存在记录则进入步骤1306;
具体检测方式是:首先,根据黑名单的恶意插件及控件特征分类,检查组件9对本地注册表12、本地前后台进程13、本地缓存控件17进行遍历检查,如利用ActiveX技术通过检测本地控件和特征码对间谍软件进行屏蔽或删除,防止被恶意程序盗用银行帐户和密码等重要资料。图14示出了检测前后台进程的具体程序。
步骤1304,如果检测失败则反馈给浏览器主控组件3,浏览器主控组件3调用显示组件5提示客户安全风险并退出登录过程。如果屏蔽恶意控件失败则反馈浏览器主控组件3,调用显示组件5提示客户风险并退出登录过程;
步骤1305,对恶意控件及插件的屏蔽,浏览器主控件组件3驱动屏蔽过滤控制组件10访问存储组件11中黑名单中已标记的控件及插件记录,并对其进行屏蔽或删除。如果成功则反馈浏览器主控组件3,调用显示组件5提示客户屏蔽成功,并进入步骤1307;
步骤1306,提示客户安全并进入步骤1307;
步骤1307,建立VPN,浏览器主控件组件5调用通信组件7建立与银行服务器端一个隧道进行通信,以保证数据的私有和安全性,报文格式符合Ipsec协议操作模式,并对传输层进行加密(最低对传输层加密,还可以更高层);
步骤1308,客户输入登录认证信息,浏览器主控组件3调用显示组件5提示客户输入登录认证信息,签名加密认证组件6对客户输入信息进行加密和签名操作,主要包含加密密钥或PIN码、数字证书、签名私钥,独立处理芯片以及其他算法等。例如,客户输入组件4获取客户输入登录信息并传递给浏览器主控组件3,浏览器主控组件3可以驱动签名加密认证组件使用数字证书对信息进行签名及加密。
一般,明文加密密钥是银行提供给客户的,同时银行会保存加密密钥,用于解密接受到指令密文(密钥为银行和客户约定,定期更新,以提高安全性,防止被暴力破解,密钥有效期要和密钥的长度配套)。数字证书是银行颁发给客户,唯一标示一个客户。使用指令加密密钥,采用对称加密算法将指令中的交易数据部分加密为密文,使用数字证书对密文进行签名。图15A示出了客户登录信息明文及签名,图15B示出了密文。
上述操作保证了指令的机密性,防止指令被篡改,同时指令具有不可抵赖性。
步骤1309,认证过程;浏览器主控组件3调用通信组件7将已被加密后的客户登录数据通过已经建立的VPN通道发送给后台服务器服务器端通信组件19,网上银行登录组件20驱动解密认证组件18对接收到的加密数据进行解密并对客户登录信息进行认证,并将认证结果加密后通过服务器端通信组件19反馈给通信组件7,通信组件7将反馈数据返回给浏览器主控组件3,该浏览器主控组件3调用加密认证组件8进行解密并返回,将得到的解密数据反馈给显示组件5显示,以给客户提示认证结果;
步骤1310,在认证成功后,客户成功登录网上银行,网银服务器端将交易菜单通过VPN返传给浏览器端,客户可以进行银行交易操作,且通信过程全部加密;
步骤1311,客户通过浏览器的显示组件浏览交易菜单,并进行金融交易。
由以上描述可以看出,客户在登录网上银行过程中,首先需要通过浏览器端的更新组件下载黑名单及病毒木马扫描引擎,通过过滤组件根据黑名单中对客户端浏览器中运行的控件及黑客工具进行屏蔽,然后给客户显示登录界面并进行身份验证,验证方式可以是UsbKey及PIN码,签名信息和PIN码存储在加密认证组件中,然后通过通信组件建立与银行的VPN通道传输给后端服务器进行认证。认证成功后,客户成功登录网上银行,网银服务器端将相关菜单组件及金融交易组件通过VPN通道返传给浏览器端,客户可以进行银行交易操作,且通信过程全部加密。这样,就可以保证用户信息的安全,提高银行电子金融业务的安全性。
综上所述,本发明实施例具有较高的安全性、高效行和可扩展性,遵循PKI安全体系结构、和物理介质的安全性,并利用浏览器黑名单对影响网上银行交易安全性的控件及程序进行屏蔽,在浏览器端建立与银行的VPN来传输交易数据,从而保证交易数据不被篡改,不可抵赖,进而能最大限度地保证交易的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读取存储介质中,比如ROM/RAM、磁碟、光盘等。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种网上银行数据的认证方法,其特征在于,所述的方法包括:
接收外部输入的网银登录请求消息;
根据所述的网银登录请求消息,发送黑名单请求消息给服务器;
接收来自所述服务器的黑名单信息;
根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;
当检测成功之后,接收外部输入的用户登录认证信息,所述的检测成功包括:未检测到与所述黑名单信息相应的组件,或者检测到与所述黑名单信息相应的组件,屏蔽或删除所述的组件;
将所述的用户登录认证信息加密处理后发送给所述的服务器认证;
接收到来自所述服务器的认证成功信息和网银交易菜单,并显示所述的网银交易菜单,以便客户进行金融交易。
2.根据权利要求1所述的方法,其特征在于,接收来自所述服务器的黑名单信息之前,所述的方法还包括:
接收来自所述服务器的用于检测本地是否安装安全组件的安全检测信息,所述的安全组件用于根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;
如果检测到未安装所述的安全组件,则发送安全组件下载请求消息给所述的服务器,以便所述的服务器发送所述安全组件进行安装;
接收来自所述服务器发送的安全组件,并将所述的安全组件安装在本地。
3.根据权利要求1所述的方法,其特征在于,所述检测本地是否存在与所述黑名单信息相应的组件包括:
对本地注册表、本地前后台进程以及本地缓存空间进行遍历检测是否存在与所述黑名单信息相应的组件。
4.根据权利要求1所述的方法,其特征在于,根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件之后,所述的方法还包括:
如果检测失败,则拒绝网银登录请求。
5.根据权利要求1至4中任一项所述的方法,其特征在于,将所述的用户登录认证信息加密处理后发送给所述的服务器认证包括:
建立与所述服务器之间的虚拟专用网络VPN;
将所述的用户登录认证信息加密处理后通过所述的VPN发送给所述的服务器认证。
6.一种网上银行数据的认证方法,其特征在于,所述的方法包括:
接收来自客户端的黑名单请求消息;
根据所述的黑名单请求消息,将存储的黑名单信息发送给所述的客户端;
接收来自所述客户端的用户登录认证信息;
根据预定规则对所述的用户登录认证信息进行解密操作,并对解密后的用户登录认证信息进行认证;
在认证成功时,将认证成功信息和网银交易菜单发送给所述的客户端,以供客户根据所述的网银交易菜单进行金融交易。
7.根据权利要求6所述的方法,其特征在于,在接收来自客户端的黑名单请求消息之后,所述的方法还包括:
将用于检测客户端是否安装安全组件的安全检测信息发送给所述的客户端,所述的安全组件用于根据所述的黑名单信息检测客户端是否存在与所述黑名单信息相应的组件;
如果接收到来自所述客户端的安全组件下载请求消息,则将所述安全组件发送给所述的客户端。
8.根据权利要求6或7所述的方法,其特征在于,接收来自所述客户端的用户登录认证信息包括:
通过所述客户端建立的VPN接收来自所述客户端的用户登录认证信息。
9.一种网上银行数据的认证装置,其特征在于,所述的装置包括:
网银登录请求消息接收单元,用于接收外部输入的网银登录请求消息;
黑名单请求消息发送单元,用于根据所述的网银登录请求消息,发送黑名单请求消息给服务器;
黑名单信息接收单元,用于接收来自所述服务器的黑名单信息;
黑名单信息检测单元,用于根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;
用户登录认证信息接收单元,用于当检测成功之后,接收外部输入的用户登录认证信息,所述的检测成功包括:未检测到与所述黑名单信息相应的组件,或者检测到与所述黑名单信息相应的组件,屏蔽或删除所述的组件;
用户登录认证信息发送单元,用于将所述的用户登录认证信息加密处理后发送给所述的服务器认证;
网银交易菜单接收单元,用于接收来自所述服务器的认证成功信息和网银交易菜单,并显示所述的网银交易菜单,以便客户进行金融交易。
10.根据权利要求9所述的装置,其特征在于,所述的装置还包括:
安全检测信息接收单元,用于接收来自所述服务器的用于检测本地是否安装安全组件的安全检测信息,所述的安全组件用于根据所述的黑名单信息检测本地是否存在与所述黑名单信息相应的组件;
安全组件下载请求消息发送单元,用于如果检测到未安装所述的安全组件,则发送安全组件下载请求消息给所述的服务器;
安全组件接收单元,用于接收来自所述服务器发送的安全组件,并将所述的安全组件安装在本地。
11.根据权利要求9所述的装置,其特征在于,所述的黑名单信息检测单元具体用于:对本地注册表、本地前后台进程以及本地缓存空间进行遍历检测是否存在与所述黑名单信息相应的组件。
12.根据权利要求9所述的装置,其特征在于,所述的装置还包括:
网银登录请求拒绝单元,用于在根据所述的黑名单信息检测所述的组件失败时,拒绝网银登录请求。
13.根据权利要求9至12中任一项所述的装置,其特征在于,所述的用户登录认证信息发送单元包括:
VPN建立模块,用于建立与所述服务器之间的VPN;
用户登录认证信息发送模块,用于将所述的用户登录认证信息加密处理后通过所述的VPN发送给所述的服务器认证。
14.一种基于网上银行的服务器,其特征在于,所述的服务器包括:
黑名单请求消息接收单元,用于接收来自客户端的黑名单请求消息;
黑名单信息发送单元,用于根据所述的黑名单请求消息,将存储的黑名单信息发送给所述的客户端;
用户登录认证信息接收单元,用于接收来自所述客户端的用户登录认证信息;
用户登录认证信息认证单元,用于根据预定规则对所述的用户登录认证信息进行解密操作,并对解密后的用户登录认证信息进行认证;
网银交易菜单发送单元,用于在认证成功时,将认证成功信息和网银交易菜单发送给所述的客户端,以供客户根据所述的网银交易菜单进行金融交易。
15.根据权利要求14所述的服务器,其特征在于,所述的服务器还包括:
安全检测信息发送单元,用于将用于检测客户端是否安装安全组件的安全检测信息发送给所述的客户端,所述的安全组件用于根据所述的黑名单信息检测客户端是否存在与所述黑名单信息相应的组件;
安全组件发送单元,用于在接收到来自所述客户端的安全组件下载请求消息时,将所述安全组件发送给所述的客户端。
16.根据权利要求14或15所述的服务器,其特征在于,所述的用户登录认证信息接收单元具体用于:
通过所述客户端建立的VPN接收来自所述客户端的用户登录认证信息。
17.一种网上银行数据的认证系统,其特征在于,所述的系统包括:如权利要求9到13中任一项所述的网上银行数据认证装置、和如权利要求14到16中任一项所述的基于网上银行的服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011100497595A CN102111417A (zh) | 2011-03-01 | 2011-03-01 | 网上银行数据的认证方法、装置、服务器及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011100497595A CN102111417A (zh) | 2011-03-01 | 2011-03-01 | 网上银行数据的认证方法、装置、服务器及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102111417A true CN102111417A (zh) | 2011-06-29 |
Family
ID=44175447
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011100497595A Pending CN102111417A (zh) | 2011-03-01 | 2011-03-01 | 网上银行数据的认证方法、装置、服务器及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102111417A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102722814A (zh) * | 2012-06-01 | 2012-10-10 | 汪德嘉 | 一种网上交易欺诈风险的自适应可控管理系统 |
CN103116721A (zh) * | 2013-02-05 | 2013-05-22 | 中标软件有限公司 | 一种实现Koji认证的方法及其模块 |
CN103218425A (zh) * | 2013-04-03 | 2013-07-24 | 北京奇虎科技有限公司 | 浏览器扩展项的处理方法及装置 |
CN103440453A (zh) * | 2013-09-10 | 2013-12-11 | 北京奇虎科技有限公司 | 浏览器运行环境检测方法、客户端、服务器及系统 |
CN104348807A (zh) * | 2013-08-02 | 2015-02-11 | 中国银联股份有限公司 | 基于可定制的浏览器的安全性信息交互方法 |
CN104767712A (zh) * | 2014-01-03 | 2015-07-08 | 中国银联股份有限公司 | 用于安全性信息交互的设备以及安全浏览器 |
CN105580037A (zh) * | 2013-09-19 | 2016-05-11 | 日本电气株式会社 | 黑名单更新系统、终端设备、方法和程序记录介质 |
CN106709347A (zh) * | 2016-11-25 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 应用运行的方法及装置 |
CN107948179A (zh) * | 2017-12-05 | 2018-04-20 | 北京知道创宇信息技术有限公司 | 网络支付监测方法及系统 |
CN108600162A (zh) * | 2018-03-13 | 2018-09-28 | 江苏通付盾科技有限公司 | 用户认证方法及装置、计算设备及计算机存储介质 |
CN108829689A (zh) * | 2018-03-21 | 2018-11-16 | 深圳前海有电物联科技有限公司 | 数据缓存方法、电子装置及计算机存储介质 |
CN110535809A (zh) * | 2018-05-25 | 2019-12-03 | 腾讯科技(深圳)有限公司 | 一种标识码的拉取方法、存储介质及终端设备和服务器 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
CN1697376A (zh) * | 2005-05-16 | 2005-11-16 | 中国工商银行 | 用集成电路卡对数据进行认证或加密的方法和系统 |
US20100046915A1 (en) * | 2008-08-22 | 2010-02-25 | Sony Corporation | Information processing apparatus, disk, information processing method, and program |
CN101960446A (zh) * | 2008-03-02 | 2011-01-26 | 雅虎公司 | 基于安全浏览器的应用 |
-
2011
- 2011-03-01 CN CN2011100497595A patent/CN102111417A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1556449A (zh) * | 2004-01-08 | 2004-12-22 | 中国工商银行 | 对网上银行数据进行加密、认证的装置和方法 |
CN1697376A (zh) * | 2005-05-16 | 2005-11-16 | 中国工商银行 | 用集成电路卡对数据进行认证或加密的方法和系统 |
CN101960446A (zh) * | 2008-03-02 | 2011-01-26 | 雅虎公司 | 基于安全浏览器的应用 |
US20100046915A1 (en) * | 2008-08-22 | 2010-02-25 | Sony Corporation | Information processing apparatus, disk, information processing method, and program |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102722814B (zh) * | 2012-06-01 | 2015-08-19 | 苏州通付盾信息技术有限公司 | 一种网上交易欺诈风险的自适应可控管理系统 |
CN102722814A (zh) * | 2012-06-01 | 2012-10-10 | 汪德嘉 | 一种网上交易欺诈风险的自适应可控管理系统 |
CN103116721A (zh) * | 2013-02-05 | 2013-05-22 | 中标软件有限公司 | 一种实现Koji认证的方法及其模块 |
CN103116721B (zh) * | 2013-02-05 | 2015-09-02 | 中标软件有限公司 | 一种实现Koji认证的方法及其模块 |
CN103218425A (zh) * | 2013-04-03 | 2013-07-24 | 北京奇虎科技有限公司 | 浏览器扩展项的处理方法及装置 |
CN103218425B (zh) * | 2013-04-03 | 2016-04-13 | 北京奇虎科技有限公司 | 浏览器扩展项的处理方法及装置 |
CN104348807B (zh) * | 2013-08-02 | 2017-11-28 | 中国银联股份有限公司 | 基于可定制的浏览器的安全性信息交互方法 |
CN104348807A (zh) * | 2013-08-02 | 2015-02-11 | 中国银联股份有限公司 | 基于可定制的浏览器的安全性信息交互方法 |
CN103440453A (zh) * | 2013-09-10 | 2013-12-11 | 北京奇虎科技有限公司 | 浏览器运行环境检测方法、客户端、服务器及系统 |
CN105447383B (zh) * | 2013-09-10 | 2018-05-29 | 北京奇虎科技有限公司 | 浏览器运行环境检测方法、客户端、服务器及系统 |
CN105447383A (zh) * | 2013-09-10 | 2016-03-30 | 北京奇虎科技有限公司 | 浏览器运行环境检测方法、客户端、服务器及系统 |
CN103440453B (zh) * | 2013-09-10 | 2017-01-18 | 北京奇虎科技有限公司 | 浏览器运行环境检测方法、客户端、服务器及系统 |
CN105580037A (zh) * | 2013-09-19 | 2016-05-11 | 日本电气株式会社 | 黑名单更新系统、终端设备、方法和程序记录介质 |
CN104767712A (zh) * | 2014-01-03 | 2015-07-08 | 中国银联股份有限公司 | 用于安全性信息交互的设备以及安全浏览器 |
CN106709347A (zh) * | 2016-11-25 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 应用运行的方法及装置 |
CN107948179A (zh) * | 2017-12-05 | 2018-04-20 | 北京知道创宇信息技术有限公司 | 网络支付监测方法及系统 |
CN108600162A (zh) * | 2018-03-13 | 2018-09-28 | 江苏通付盾科技有限公司 | 用户认证方法及装置、计算设备及计算机存储介质 |
CN108600162B (zh) * | 2018-03-13 | 2021-04-30 | 江苏通付盾科技有限公司 | 用户认证方法及装置、计算设备及计算机存储介质 |
CN108829689A (zh) * | 2018-03-21 | 2018-11-16 | 深圳前海有电物联科技有限公司 | 数据缓存方法、电子装置及计算机存储介质 |
CN110535809A (zh) * | 2018-05-25 | 2019-12-03 | 腾讯科技(深圳)有限公司 | 一种标识码的拉取方法、存储介质及终端设备和服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102111417A (zh) | 网上银行数据的认证方法、装置、服务器及系统 | |
US11716321B2 (en) | Communication network employing a method and system for establishing trusted communication using a security device | |
JP6105721B2 (ja) | 企業トリガ式2chk関連付けの起動 | |
Sun et al. | The devil is in the (implementation) details: an empirical analysis of OAuth SSO systems | |
JP6012125B2 (ja) | 問い合わせ型トランザクションによる強化された2chk認証セキュリティ | |
US9485254B2 (en) | Method and system for authenticating a security device | |
US8640203B2 (en) | Methods and systems for the authentication of a user | |
US8984604B2 (en) | Locally stored phishing countermeasure | |
US8468582B2 (en) | Method and system for securing electronic transactions | |
US11841959B1 (en) | Systems and methods for requiring cryptographic data protection as a precondition of system access | |
US20160080157A1 (en) | Network authentication method for secure electronic transactions | |
CN105072125B (zh) | 一种http通信系统及方法 | |
CN101841525A (zh) | 安全接入方法、系统及客户端 | |
CN102780674A (zh) | 一种具有多因素认证方法的网络业务处理方法及系统 | |
US9332011B2 (en) | Secure authentication system with automatic cancellation of fraudulent operations | |
US20150067799A1 (en) | Electronic password generating method, electronic password generating apparatus and electronic password authentication system | |
CN102611702A (zh) | 一种保证网络交易安全的系统及方法 | |
CN105516066A (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
US20090177892A1 (en) | Proximity authentication | |
CN110795765B (zh) | 一种基于u盾的个人移动区块链操作系统 | |
CN101374042B (zh) | 辅助显示系统、装置、及方法 | |
US20090271629A1 (en) | Wireless pairing ceremony | |
Sanyal et al. | A multifactor secure authentication system for wireless payment | |
AlZomai et al. | Strengthening sms-based authentication through usability | |
KR102211033B1 (ko) | 전자인증절차의 대행 서비스 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110629 |