CN102238193A - 数据认证方法及使用该方法的系统 - Google Patents
数据认证方法及使用该方法的系统 Download PDFInfo
- Publication number
- CN102238193A CN102238193A CN2011102274197A CN201110227419A CN102238193A CN 102238193 A CN102238193 A CN 102238193A CN 2011102274197 A CN2011102274197 A CN 2011102274197A CN 201110227419 A CN201110227419 A CN 201110227419A CN 102238193 A CN102238193 A CN 102238193A
- Authority
- CN
- China
- Prior art keywords
- net
- authenticate device
- connected computer
- user
- ciphertext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供一种数据认证方法及使用该方法的系统,该系统包括:智能卡、认证装置、联网计算机、及服务器,该认证装置包括接口电路、键盘、显示屏、及智能卡接口,显示屏用于显示登录或者交易所必需的信息,键盘用于输入用户口令及签名的操作,该接口电路为USB接口,该智能卡存储有用户信息及私钥,认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,联网计算机通过网络与服务器通信连接,该服务器为认证服务器或交易服务器。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种数据认证方法及使用该方法的系统。
背景技术
网络的快速发展及其提供的极大便利,使人们越来越多的依赖网络进行各种活动,譬如网上银行、网上购物、网上缴费等;网络在为人们提供便捷性的同时,因为其的开放性,也为人们带来了极大的安全风险,相应地,网络信息安全也越来越引起人们重视。网络安全的前提是准确识别合法用户,实现访问控制。
用户的身份认证和交易认证是网络应用中安全体系的一个重要组成部分,合法用户的访问授权是通过身份认证来实现的。目前,网络采用的身份认证和交易认证模式主要有以下几种:
1)用户名加口令:安全级别极低,该方法的安全性无法保障,目前基本被淘汰;
2)手机动态认证码:通过用户开户时绑定的手机号码,系统将随机生成的动态认证码通过短信的形式发送给用户实现用户身份的识别,实现起来方便,只需具备一个手机即可;
3)数字证书:数字证书是有权威公正CA证书授权(CertificateAuthority)中心签发的,以数字证书为核心的加密机制可以对网络上传输的信息进行加密和解密、数字签名和验证,确保网络上传递消息的机密性、完整性以及交易实体的真实性,签名的不可否认性,从而保障网络应用的安全性。
4)动态令牌:动态令牌是一种内置电源、密码生成芯片和显示屏、根据专门的算法每隔一定时间自动更新动态口令的专用硬件。一般分为两种,一种为挑战模式,这类产品典型代表为刮刮卡和可输入挑战的令牌。另一种为时间同步模式令牌。
上述现有技术都存在一些安全隐患和不方便之处,手机动态认证技术当手机丢失或网络不通畅时,都会影响用户的使用;使用动态令牌实现认证的系统中,动态令牌有一个致命的缺陷,无法抵抗木马篡改攻击,而且服务器需要存储动态令牌的种子,存在着巨大的安全隐患。数字证书在理论上是最安全的一种方式,但是依然存在证书丢失或盗用的情况,为解决这个问题,专利200410028723.9描述了一种USBKEY的装置,USBKEY是一种智能存储设备,可用于存放数字证书,内有安全芯片,可进行数字签名和签名验证的运算,外形小巧,可插在电脑的USB接口中使用,随着网银的日渐普及,选择USBKEY来保护网银安全的用户已经达到很客观的数量,目前网上银行多用其对客户进行身份认证。但是,该方法虽然解决了数字证书的保存问题,在使用中仍存在远程控制和交易劫持、交易篡改问题。
银行卡自诞生以来,始终是以磁条卡的形式存在和发展。磁条卡在给人们带来便利的同时,由于其非常容易被仿制,给银行卡组织带来高额资金风险,为防范磁条卡的欺诈风险,银行卡组织推出了银行卡由磁条卡向智能芯片卡迁移的战略(EMV迁移)。我国的EMV迁移准备工作也已基本就绪,首先,金融IC卡的相关规则已制定、修改完毕。1999年,央行颁布《中国金融集成电路(IC卡规范1.0版)》,并于2005年3月完成修订,形成《中国金融集成电路(IC卡规范2.0版)》,简称PB02.0。该版本的发布实施标志着我国EMV迁移有了自己的标准。2010年5月,央行再次修订标准并颁布《中国金融集成电路(IC)卡规范》,并制定了中国EMV迁移的时间表。如使用智能芯片卡的银行卡,则可以直接使用智能芯片卡来代替USBKEY,从而可以节约一笔相当大的用于配发USBKEY的成本,具有良好的社会效益。因此,有必要结合智能卡来对网络认证方式做进一步的改进。
发明内容
本发明的目的在于,提供一种数据认证方法及使用该方法的系统,解决当前网络中的身份认证和数据传输安全问题。
为了实现上述目的,本发明提供一种数据认证方法,其包括如下步骤:
步骤1、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机电性连接所要实现业务请求的服务器端,然后在联网计算机输入相关信息而向服务器端发出业务请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;
步骤2、服务器端根据收到的业务请求而处理生成数据信息,数据信息包括验证信息,服务器端在用户数据库中查找该用户对应的公钥,利用该公钥对数据信息进行加密而形成密文,将密文返回给联网计算机;
步骤3、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;
步骤4、智能卡利用存储的用户私钥对密文进行解密,将解密获得的数据信息显示在该认证装置的显示屏上;
步骤5、将该认证装置上显示的数据信息中需输入的验证信息输入到该联网计算机上的业务请求页面并请求服务器端验证;
步骤6、服务器端对收到的验证信息和存储的验证信息进行比较验证,如一致,则验证通过,执行用户业务请求,否则拒绝;
步骤7、服务器端将业务请求处理结果返回给联网计算机。
所述业务请求为登录请求,在步骤1中、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机电性连接所要登陆的认证服务器,然后在联网计算机输入用户名而发出登录请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;在步骤2中、认证服务器收到用户的登陆请求后,将随机产生验证码,并在用户数据库中查找该用户对应的公钥,利用该公钥对验证码进行加密而形成密文,将密文返回给联网计算机;在步骤3中、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;在步骤4中、智能卡利用存储的用户私钥对密文进行解密,将解密获得的验证码显示在该认证装置的显示屏上;在步骤5中、将该认证装置上显示的验证码输入到该联网计算机上的登陆页面,请求登陆验证;在步骤6中、认证服务器对收到的验证码和存储的验证码进行比较验证,如一致,则验证通过,用户登陆成功,否则拒绝登陆;在步骤7中、认证服务器将登陆处理结果返回给联网计算机。
所述步骤2或步骤6中还包括用户口令验证;所述步骤4中的解密步骤是在智能卡内部完成的。
所述业务请求为交易请求,在步骤1中、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,然后登陆相应的页面,输入相应的交易信息,然后向交易服务器发出交易请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;在步骤2中、交易服务器在收到用户的交易请求后,随机产生验证码,在用户数据库中查找该用户的公钥,利用该公钥将交易信息和随机验证码打包加密而形成密文,将密文返回给联网计算机;在步骤3中、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;在步骤4中、智能卡利用存储的用户私钥对密文进行解密,将解密后的交易信息和随机验证码显示在该认证装置的显示屏上;在步骤5中、用户验证该认证装置上显示的交易信息,如确认,则将所述认证装置上显示的验证码输入到该联网计算机上的交易请求验证页面,并通过按压相应键盘按键对交易信息进行签名,将签名结果传给联网计算机,联网计算机将验证码和签名发送给交易服务器;在步骤6中、交易服务器对收到的验证码和存储的本次交易的验证码进行比较验证,如一致,则验证用户签名,否则拒绝本次交易,交易失败;交易服务器验证用户签名,如通过验证,则实施本次交易,否则,拒绝本次交易,交易失败;在步骤7中、交易服务器将交易处理结果返回给所述联网计算机。
在步骤1中,在输入相应的交易信息之前,执行登录请求认证,其包括如下步骤:a、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机连接所要登陆的认证服务器,然后在联网计算机输入用户名而发出登录请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;b、认证服务器收到用户的登陆请求后,将随机产生验证码,并在用户数据库中查找该用户对应的公钥,利用该公钥对验证码进行加密而形成密文,将密文返回给联网计算机;c、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;d、智能卡利用存储的用户私钥对密文进行解密,将解密获得的验证码显示在该认证装置的显示屏上;e、将该认证装置上显示的验证码输入到该联网计算机上的登陆页面,请求登陆验证;f、认证服务器对收到的验证码和存储的验证码进行比较验证,如一致,则验证通过,用户登陆成功,否则拒绝登陆;g、认证服务器将登陆处理结果返回给联网计算机。
所述步骤6中,验证失败次数不能连续超过3次,否则对用户进行锁定,所述加密解密方法采用1024位及其以上的RSA加密解密方法或者192位以上的椭圆曲线加密解密方法。
所述网上交易包括网上转账或者网上缴费业务,该交易信息包括账户名、账号和交易金额。
所述步骤5中的解密步骤及步骤6中签名步骤是在智能卡内部完成的,数字签名方法采用1024位及其以上的RSA数字签名方法或者192位以上的椭圆曲线数字签名方法。
本发明还提供一种使用上述数据认证方法的系统,其包括:智能卡、认证装置、联网计算机、及服务器,该认证装置包括接口电路、键盘、显示屏、及智能卡接口,显示屏用于显示登录或者交易所必需的信息,键盘用于输入用户口令及签名的操作,该接口电路为USB接口,该智能卡存储有用户信息及私钥,认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,联网计算机通过网络与服务器通信连接,该服务器为认证服务器或交易服务器。
所述认证装置还包括指示灯,用于指示认证装置的工作状态。
本发明的有益效果:
1)本发明涉及的认证装置在使用时无需额外安装驱动程序,在计算机上利用USB接口与计算机通信即可实现即插即用;
2)目前的网上银行均使用USBKEY进行认证,用户在办理网上银行时必须申请USBKEY,不同银行、不同客户需要使用不同的USBKEY,使用本发明的认证装置,任何有智能银行卡的用户均可以实现网上安全交易,且本发明的认证装置和银行、用户无关,任何银行的银行卡和不同的用户可以使用同一个本发明的认证装置,具有较好的通用性,另外使用智能卡具有成本低、方便等优点;
3)在使用现有技术USBKEY装置进行网上银行的交易签名过程中,由于交易信息从用USBKEY装置数字签名到用户端提交给银行交易系统的整个流程中,已经保证了交易信息的保密性和不可篡改,因此只要保证传给签名装置区签名的交易信息是客户真正要提交的交易信息即可提高其安全性,在本发明中认证装置增加了显示屏,可以显示签名数据,同时银行回传给用户确认时,采用了1024位及其以上的RSA加密方法或者192位以上的椭圆曲线加密方法,保证了交易信息在回传时的保密性和不可篡改,如果不发分子控制了联网计算机,在用户提交交易信息时进行篡改,那么显示屏上显示的就是篡改后的交易信息,因此用户通过本发明的认证装置确认交易信息,就可以有效的解决网上银行交易劫持,交易篡改以盗用用户资金的问题;
4)在使用现有技术USBKEY装置进行网上银行的交易签名过程,用户只在联网计算机上进行操作,没有其他附加操作,因此不发分子可以通过远程控制用户联网计算机在用户不知道的情况下,调用用户的USBKEY进行网上交易,给用户造成资金损失,本发明中,银行系统对用户的每次交易都会产生相应的随机验证码,该随机码通过加密的方式传给认证装置,加密采用了1024位及其以上的RSA加密方法或者192位以上的椭圆曲线加密方法,在智能卡内部解密,显示在认证装置的显示屏上,该验证码除了使用本发明认证装置的合法用户外任何人均不能正确获得,同时在对交易信息签名时,需要用户按认证装置上的确认键,这就有效的解决了黑客的远程控制以盗用用户资金的问题。
为了能更进一步了解本发明的特征以及技术内容,请参阅以下有关本发明的详细说明与附图,然而附图仅提供参考与说明用,并非用来对本发明加以限制。
附图说明
下面结合附图,通过对本发明的具体实施方式详细描述,将使本发明的技术方案及其它有益效果显而易见。
附图中,
图1为本发明的数据认证方法的流程图;
图2为本发明的数据认证方法的第一实施例流程图;
图3为本发明的数据认证方法的第二实施例流程图;
图4为图2的使用数据认证方法的系统的结构示意图;
图5为图3的使用数据认证方法的系统的结构示意图;
图6为本发明的认证装置的结构示意图。
具体实施方式
为更进一步阐述本发明所采取的技术手段及其效果,以下结合本发明的优选实施例及其附图进行详细描述。
如图1所示,本发明提供一种数据认证方法,其包括如下步骤:
步骤1、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机电性连接所要实现业务请求的服务器端,然后在联网计算机输入相关信息而向服务器端发出业务请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏。
步骤2、服务器端根据收到的业务请求而处理生成数据信息,数据信息包括验证信息,服务器端在用户数据库中查找该用户对应的公钥,利用该公钥对数据信息进行加密而形成密文,将密文返回给联网计算机。
步骤3、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡。
步骤4、智能卡利用存储的用户私钥对密文进行解密,将解密获得的数据信息显示在该认证装置的显示屏上。
步骤5、将该认证装置上显示的数据信息中需输入的验证信息输入到该联网计算机上的业务请求页面并请求服务器端验证。
步骤6、服务器端对收到的验证信息和存储的验证信息进行比较验证,如一致,则验证通过,执行用户业务请求,否则拒绝。
步骤7、服务器端将业务请求处理结果返回给联网计算机。
作为本发明的一优选的实施例,该业务请求为登录请求,用于身份认证,具体的,如图2所示,在步骤1’中、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机电性连接所要登陆的认证服务器,然后在联网计算机输入用户名而发出登录请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;在步骤2’中、认证服务器收到用户的登陆请求后,将随机产生验证码,并在用户数据库中查找该用户对应的公钥,利用该公钥对验证码进行加密而形成密文,将密文返回给联网计算机;在步骤3’中、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;在步骤4’中、智能卡利用存储的用户私钥对密文进行解密,将解密获得的验证码显示在该认证装置的显示屏上;在步骤5’中、将该认证装置上显示的验证码输入到该联网计算机上的登陆页面,请求登陆验证;在步骤6’中、认证服务器对收到的验证码和存储的验证码进行比较验证,如一致,则验证通过,用户登陆成功,否则拒绝登陆;在步骤7’中、认证服务器将登陆处理结果返回给联网计算机。
优选的,所述步骤2’或步骤6’中还包括用户口令验证;所述步骤4’中的解密步骤是在智能卡内部完成的;所述步骤6’中,验证失败次数不能连续超过3次,否则对用户进行锁定,所述加密解密方法采用1024位及其以上的RSA加密解密方法或者192位以上的椭圆曲线加密解密方法,椭圆曲线加密解密方法可以采用ECIES(ISO Standard for Public Key Encryption)或者其它公知的方法。
作为本发明的另一优选的实施例,所述业务请求为交易请求,与登陆请求的区别在于确认交易信息和增加签名验证,具体的,如图3所示,在步骤1”中、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,然后登陆相应的页面,输入相应的交易信息,然后向交易服务器发出交易请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;在步骤2”中、交易服务器在收到用户的交易请求后,随机产生验证码,在用户数据库中查找该用户的公钥,利用该公钥将交易信息和随机验证码打包加密而形成密文,将密文返回给联网计算机;在步骤3”中、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;在步骤4”中、智能卡利用存储的用户私钥对密文进行解密,将解密后的交易信息和随机验证码显示在该认证装置的显示屏上;在步骤5”中、用户验证该认证装置上显示的交易信息,如确认,则将所述认证装置上显示的验证码输入到该联网计算机上的交易请求验证页面,并通过按压相应键盘按键对交易信息进行签名,将签名结果传给联网计算机,联网计算机将验证码和签名发送给交易服务器;在本实施例中,可通过按压设置在该认证装置上的确认键对交易信息进行签名,将签名结果传给联网计算机,联网计算机将验证码和签名发送给交易服务器;在步骤6”中、交易服务器对收到的验证码和存储的本次交易的验证码进行比较验证,如一致,则验证用户签名,否则拒绝本次交易,交易失败;交易服务器验证用户签名,如通过验证,则实施本次交易,否则,拒绝本次交易,交易失败;在步骤7”中、交易服务器将交易处理结果返回给所述联网计算机。
进一步的,在步骤1中,在输入相应的交易信息之前,执行上述的登录请求认证,其包括如下步骤:a、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机连接所要登陆的认证服务器,然后在联网计算机输入用户名而发出登录请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;b、认证服务器收到用户的登陆请求后,将随机产生验证码,并在用户数据库中查找该用户对应的公钥,利用该公钥对验证码进行加密而形成密文,将密文返回给联网计算机;c、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;d、智能卡利用存储的用户私钥对密文进行解密,将解密获得的验证码显示在该认证装置的显示屏上;e、将该认证装置上显示的验证码输入到该联网计算机上的登陆页面,请求登陆验证;f、认证服务器对收到的验证码和存储的验证码进行比较验证,如一致,则验证通过,用户登陆成功,否则拒绝登陆;g、认证服务器将登陆处理结果返回给联网计算机。
更优选的,所述步骤6中,验证失败次数不能连续超过3次,否则对用户进行锁定,该网上交易包括网上转账或者网上缴费业务,该交易信息包括账户名、账号和交易金额;所述步骤5中的解密步骤及步骤6中签名步骤是在智能卡内部完成的,所述加密解密方法采用1024位及其以上的RSA加密解密方法或者192位以上的椭圆曲线加密解密方法,椭圆曲线加密解密方法可以采用ECIES(ISO Standard for Public Key Encryption)或者其它公知的方法,数字签名方法采用1024位及其以上的RSA数字签名方法或者192位以上的椭圆曲线数字签名方法,椭圆曲线签名方法可以采用ECDSA(American National StandardX9.62-2005)或者其它公知的方法。
如图4-6所示,本发明还提供一种使用数据认证方法的系统,其包括:智能卡301、认证装置302、联网计算机303、及服务器,该认证装置302包括接口电路401、键盘402、显示屏403、及智能卡接口404,该接口电路401为USB接口,该智能卡301存储有用户信息及私钥,认证装置302分别通过USB接口及智能卡接口对应与联网计算机303及智能卡301电性连接,联网计算机303通过网络与服务器通信连接,该服务器为认证服务器304或交易服务器305。每个认证装置302及智能卡301都有一个唯一的序列号;服务器存有身份证号码及其对应的认证装置序列号,认证装置302通过USB接口,插入联网计算机303上USB插槽或者USB连接线与联网计算机303连接,显示屏403用于显示登录或者交易所必需的信息(如验证码或者交易信息加验证码等);智能卡接口404用于认证装置302和智能卡301通讯,接口或者为接触式智能卡接口,支持的卡型是符合ISO7816的智能卡,或者为非接触式智能卡,支持ISO14443 TypeA及B及NFC标准;键盘402的按键包括数字按键0-9,确认键和取消键等,用于输入用户口令和确定/取消签名。
优选的,该认证装置302还包括指示灯405,指示灯405指示认证装置的工作状态。
以上所述,对于本领域的普通技术人员来说,可以根据本发明的技术方案和技术构思作出其他各种相应的改变和变形,而所有这些改变和变形都应属于本发明权利要求的保护范围。
Claims (10)
1.一种数据认证方法,其特征在于,包括如下步骤:
步骤1、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机电性连接所要实现业务请求的服务器端,然后在联网计算机输入相关信息而向服务器端发出业务请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;
步骤2、服务器端根据收到的业务请求而处理生成数据信息,数据信息包括验证信息,服务器端在用户数据库中查找该用户对应的公钥,利用该公钥对数据信息进行加密而形成密文,将密文返回给联网计算机;
步骤3、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;
步骤4、智能卡利用存储的用户私钥对密文进行解密,将解密获得的数据信息显示在该认证装置的显示屏上;
步骤5、将该认证装置上显示的数据信息中需输入的验证信息输入到该联网计算机上的业务请求页面并请求服务器端验证;
步骤6、服务器端对收到的验证信息和存储的验证信息进行比较验证,如一致,则验证通过,执行用户业务请求,否则拒绝;
步骤7、服务器端将业务请求处理结果返回给联网计算机。
2.如权利要求1所述的数据认证方法,其特征在于,所述业务请求为登录请求,在步骤1中、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机电性连接所要登陆的认证服务器,然后在联网计算机输入用户名而发出登录请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;在步骤2中、认证服务器收到用户的登陆请求后,将随机产生验证码,并在用户数据库中查找该用户对应的公钥,利用该公钥对验证码进行加密而形成密文,将密文返回给联网计算机;在步骤3中、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;在步骤4中、智能卡利用存储的用户私钥对密文进行解密,将解密获得的验证码显示在该认证装置的显示屏上;在步骤5中、将该认证装置上显示的验证码输入到该联网计算机上的登陆页面,请求登陆验证;在步骤6中、认证服务器对收到的验证码和存储的验证码进行比较验证,如一致,则验证通过,用户登陆成功,否则拒绝登陆;在步骤7中、认证服务器将登陆处理结果返回给联网计算机。
3.如权利要求2所述的数据认证方法,其特征在于,所述步骤2或步骤6中还包括用户口令验证;所述步骤4中的解密步骤是在智能卡内部完成的。
4.如权利要求1所述的数据认证方法,其特征在于,所述业务请求为交易请求,在步骤1中、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,用户在进行网上交易时,登陆相应的页面,输入相应的交易信息,然后向交易服务器发出交易请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;在步骤2中、交易服务器在收到用户的交易请求后,随机产生验证码,在用户数据库中查找该用户的公钥,利用该公钥将交易信息和随机验证码打包加密而形成密文,将密文返回给联网计算机;在步骤3中、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;在步骤4中、智能卡利用存储的用户私钥对密文进行解密,将解密后的交易信息和随机验证码显示在该认证装置的显示屏上;在步骤5中、用户验证该认证装置上显示的交易信息,如确认,则将所述认证装置上显示的验证码输入到该联网计算机上的交易请求验证页面,并通过按压相应键盘按键对交易信息进行签名,将签名结果传给联网计算机,联网计算机将验证码和签名发送给交易服务器;在步骤6中、交易服务器对收到的验证码和存储的本次交易的验证码进行比较验证,如一致,则验证用户签名,否则拒绝本次交易,交易失败;交易服务器验证用户签名,如通过验证,则实施本次交易,否则,拒绝本次交易,交易失败;在步骤7中、交易服务器将交易处理结果返回给所述联网计算机。
5.如权利要求4所述的数据认证方法,其特征在于,在步骤1中,在输入相应的交易信息之前,执行登录请求认证,其包括如下步骤:a、将认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,将联网计算机连接所要登陆的认证服务器,然后在联网计算机输入用户名而发出登录请求,该智能卡存储有用户信息及私钥,该认证装置设有键盘和显示屏;b、认证服务器收到用户的登陆请求后,将随机产生验证码,并在用户数据库中查找该用户对应的公钥,利用该公钥对验证码进行加密而形成密文,将密文返回给联网计算机;c、联网计算机将收到的密文传给该认证装置,通过认证装置将密文发送给智能卡;d、智能卡利用存储的用户私钥对密文进行解密,将解密获得的验证码显示在该认证装置的显示屏上;e、将该认证装置上显示的验证码输入到该联网计算机上的登陆页面,请求登陆验证;f、认证服务器对收到的验证码和存储的验证码进行比较验证,如一致,则验证通过,用户登陆成功,否则拒绝登陆;g、认证服务器将登陆处理结果返回给联网计算机。
6.如权利要求2或4所述的数据认证方法,其特征在于,所述步骤6中,验证失败次数不能连续超过3次,否则对用户进行锁定,所述加密解密方法采用1024位及其以上的RSA加密解密方法或者192位以上的椭圆曲线加密解密方法。
7.如权利要求4所述的数据认证方法,其特征在于,所述网上交易包括网上转账或者网上缴费业务,该交易信息包括账户名、账号和交易金额。
8.如权利要求4所述的数据认证方法,其特征在于,所述步骤5中的解密步骤及步骤6中签名步骤是在智能卡内部完成的,数字签名方法采用1024位及其以上的RSA数字签名方法或者192位以上的椭圆曲线数字签名方法。
9.一种使用权利要求1所述的数据认证方法的系统,其特征在于,包括:智能卡、认证装置、联网计算机、及服务器,该认证装置包括接口电路、键盘、显示屏、及智能卡接口,显示屏用于显示登录或者交易所必需的信息,键盘用于输入用户口令及签名的操作,该接口电路为USB接口,该智能卡存储有用户信息及私钥,认证装置分别通过USB接口及智能卡接口对应与联网计算机及智能卡电性连接,联网计算机通过网络与服务器通信连接,该服务器为认证服务器或交易服务器。
10.如权利要求9所述的使用数据认证方法的系统,其特征在于,所述认证装置还包括指示灯,用于指示认证装置的工作状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102274197A CN102238193A (zh) | 2011-08-09 | 2011-08-09 | 数据认证方法及使用该方法的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102274197A CN102238193A (zh) | 2011-08-09 | 2011-08-09 | 数据认证方法及使用该方法的系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102238193A true CN102238193A (zh) | 2011-11-09 |
Family
ID=44888398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102274197A Pending CN102238193A (zh) | 2011-08-09 | 2011-08-09 | 数据认证方法及使用该方法的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102238193A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103413104A (zh) * | 2013-08-09 | 2013-11-27 | 北京旋极信息技术股份有限公司 | 一种交易敏感信息的处理方法及处理装置 |
| CN104580264A (zh) * | 2015-02-13 | 2015-04-29 | 人民网股份有限公司 | 登录方法、注册方法、登录装置以及登录和注册系统 |
| CN104796266A (zh) * | 2015-05-12 | 2015-07-22 | 天地融科技股份有限公司 | 一种认证方法、装置及系统 |
| WO2015144066A1 (en) * | 2014-03-26 | 2015-10-01 | Tencent Technology (Shenzhen) Company Limited | Sensitive operation verification method, apparatus, and system |
| CN105023154A (zh) * | 2014-04-21 | 2015-11-04 | 航天信息股份有限公司 | 基于多功能金融ic卡的电子支付方法和装置 |
| CN106953726A (zh) * | 2017-02-14 | 2017-07-14 | 上海林果实业股份有限公司 | 一种消息认证方法、消息认证装置和上位机 |
| CN107729209A (zh) * | 2017-09-29 | 2018-02-23 | 广州信维电子科技股份有限公司 | 用于服务器的信息监测方法、装置、设备和存储介质 |
| CN107979467A (zh) * | 2016-10-21 | 2018-05-01 | 中国移动通信有限公司研究院 | 验证方法及装置 |
| CN108306892A (zh) * | 2018-03-01 | 2018-07-20 | 武汉大学 | 一种基于TrustZone的请求响应方法及系统 |
| CN108365961A (zh) * | 2018-01-02 | 2018-08-03 | 深圳壹账通智能科技有限公司 | 接口调用方法及终端设备、接口调用的响应方法及服务器 |
| CN112632514A (zh) * | 2020-12-15 | 2021-04-09 | 北京握奇数据股份有限公司 | 一种基于USBKey的驱动组件防篡改的方法和装置 |
| US11022455B2 (en) | 2019-06-06 | 2021-06-01 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for providing a reliability of passing time for a path in route planning |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1150506A2 (en) * | 2000-04-28 | 2001-10-31 | Nokia Corporation | A method and system for providing secure subscriber content data |
| US20030046560A1 (en) * | 2001-09-03 | 2003-03-06 | Fuji Xerox Co., Ltd. | Encryption/decryption system and method for the same |
| US20030115468A1 (en) * | 2001-12-19 | 2003-06-19 | Aull Kenneth W. | Assignment of user certificates/private keys in token enabled public key infrastructure system |
| CN101183456A (zh) * | 2007-12-18 | 2008-05-21 | 中国工商银行股份有限公司 | 加密装置、利用该加密装置加密、认证的系统与方法 |
| CN101394615A (zh) * | 2007-09-20 | 2009-03-25 | 中国银联股份有限公司 | 一种基于pki技术的移动支付终端及支付方法 |
| CN101442656A (zh) * | 2008-12-26 | 2009-05-27 | 成都卫士通信息产业股份有限公司 | 一种机卡间安全通信的方法及系统 |
| CN101517598A (zh) * | 2006-09-20 | 2009-08-26 | 日本电气株式会社 | 有效性检查系统、有效性检查方法、信息处理卡、检查设备以及认证装置 |
| CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
| CN101848090A (zh) * | 2010-05-11 | 2010-09-29 | 武汉珞珈新世纪信息有限公司 | 认证装置及利用其进行网上身份认证与交易的系统与方法 |
| CN201629010U (zh) * | 2010-04-08 | 2010-11-10 | 中国工商银行股份有限公司 | 一种基于双介质医保卡的支付装置 |
| CN101924741A (zh) * | 2009-06-16 | 2010-12-22 | 王莉 | 一种可信信息输入方法及电子装置 |
| CN102013981A (zh) * | 2010-07-23 | 2011-04-13 | 杭州每日科技有限公司 | 一种应用于移动通讯终端的网上银行数据认证装置及方法 |
| CN102118251A (zh) * | 2011-01-24 | 2011-07-06 | 郑州信大捷安信息技术有限公司 | 基于多界面安全智能卡的网上银行远程支付的安全认证方法 |
-
2011
- 2011-08-09 CN CN2011102274197A patent/CN102238193A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1150506A2 (en) * | 2000-04-28 | 2001-10-31 | Nokia Corporation | A method and system for providing secure subscriber content data |
| US20030046560A1 (en) * | 2001-09-03 | 2003-03-06 | Fuji Xerox Co., Ltd. | Encryption/decryption system and method for the same |
| US20030115468A1 (en) * | 2001-12-19 | 2003-06-19 | Aull Kenneth W. | Assignment of user certificates/private keys in token enabled public key infrastructure system |
| CN101517598A (zh) * | 2006-09-20 | 2009-08-26 | 日本电气株式会社 | 有效性检查系统、有效性检查方法、信息处理卡、检查设备以及认证装置 |
| CN101394615A (zh) * | 2007-09-20 | 2009-03-25 | 中国银联股份有限公司 | 一种基于pki技术的移动支付终端及支付方法 |
| CN101183456A (zh) * | 2007-12-18 | 2008-05-21 | 中国工商银行股份有限公司 | 加密装置、利用该加密装置加密、认证的系统与方法 |
| CN101442656A (zh) * | 2008-12-26 | 2009-05-27 | 成都卫士通信息产业股份有限公司 | 一种机卡间安全通信的方法及系统 |
| CN101583124A (zh) * | 2009-06-10 | 2009-11-18 | 大唐微电子技术有限公司 | 一种用户识别模块与终端进行认证的方法和系统 |
| CN101924741A (zh) * | 2009-06-16 | 2010-12-22 | 王莉 | 一种可信信息输入方法及电子装置 |
| CN201629010U (zh) * | 2010-04-08 | 2010-11-10 | 中国工商银行股份有限公司 | 一种基于双介质医保卡的支付装置 |
| CN101848090A (zh) * | 2010-05-11 | 2010-09-29 | 武汉珞珈新世纪信息有限公司 | 认证装置及利用其进行网上身份认证与交易的系统与方法 |
| CN102013981A (zh) * | 2010-07-23 | 2011-04-13 | 杭州每日科技有限公司 | 一种应用于移动通讯终端的网上银行数据认证装置及方法 |
| CN102118251A (zh) * | 2011-01-24 | 2011-07-06 | 郑州信大捷安信息技术有限公司 | 基于多界面安全智能卡的网上银行远程支付的安全认证方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103413104B (zh) * | 2013-08-09 | 2016-02-03 | 北京旋极信息技术股份有限公司 | 一种交易敏感信息的处理方法及处理装置 |
| CN103413104A (zh) * | 2013-08-09 | 2013-11-27 | 北京旋极信息技术股份有限公司 | 一种交易敏感信息的处理方法及处理装置 |
| WO2015144066A1 (en) * | 2014-03-26 | 2015-10-01 | Tencent Technology (Shenzhen) Company Limited | Sensitive operation verification method, apparatus, and system |
| CN105023154A (zh) * | 2014-04-21 | 2015-11-04 | 航天信息股份有限公司 | 基于多功能金融ic卡的电子支付方法和装置 |
| CN104580264A (zh) * | 2015-02-13 | 2015-04-29 | 人民网股份有限公司 | 登录方法、注册方法、登录装置以及登录和注册系统 |
| CN104580264B (zh) * | 2015-02-13 | 2019-04-26 | 人民网股份有限公司 | 登录方法、登录装置以及登录和注册系统 |
| CN104796266A (zh) * | 2015-05-12 | 2015-07-22 | 天地融科技股份有限公司 | 一种认证方法、装置及系统 |
| CN107979467A (zh) * | 2016-10-21 | 2018-05-01 | 中国移动通信有限公司研究院 | 验证方法及装置 |
| CN106953726A (zh) * | 2017-02-14 | 2017-07-14 | 上海林果实业股份有限公司 | 一种消息认证方法、消息认证装置和上位机 |
| CN107729209A (zh) * | 2017-09-29 | 2018-02-23 | 广州信维电子科技股份有限公司 | 用于服务器的信息监测方法、装置、设备和存储介质 |
| CN108365961A (zh) * | 2018-01-02 | 2018-08-03 | 深圳壹账通智能科技有限公司 | 接口调用方法及终端设备、接口调用的响应方法及服务器 |
| CN108306892A (zh) * | 2018-03-01 | 2018-07-20 | 武汉大学 | 一种基于TrustZone的请求响应方法及系统 |
| CN108306892B (zh) * | 2018-03-01 | 2020-12-18 | 武汉大学 | 一种基于TrustZone的请求响应方法及系统 |
| US11022455B2 (en) | 2019-06-06 | 2021-06-01 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for providing a reliability of passing time for a path in route planning |
| CN112632514A (zh) * | 2020-12-15 | 2021-04-09 | 北京握奇数据股份有限公司 | 一种基于USBKey的驱动组件防篡改的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101848090B (zh) | 认证装置及利用其进行网上身份认证与交易的系统与方法 | |
| RU2648944C2 (ru) | Способы, устройства и системы для безопасного получения, передачи и аутентификации платежных данных | |
| CN102238193A (zh) | 数据认证方法及使用该方法的系统 | |
| CN1831865B (zh) | 一种基于cpk的电子银行安全认证系统和方法 | |
| CN106688004A (zh) | 一种交易认证方法、装置、移动终端、pos终端及服务器 | |
| CN101221641B (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| CN106096947B (zh) | 基于nfc的半离线匿名支付方法 | |
| CN101770619A (zh) | 一种用于网上支付的多因子认证方法和认证系统 | |
| TWI591553B (zh) | Systems and methods for mobile devices to trade financial documents | |
| CN1954345B (zh) | 智能卡数据事务系统以及用于提供存储和传输安全的方法 | |
| CN109716373A (zh) | 密码认证和令牌化的交易 | |
| CN105450400B (zh) | 一种身份验证方法、客户端、服务器端及系统 | |
| CN102710611A (zh) | 网络安全身份认证方法和系统 | |
| CN103903140A (zh) | 一种o2o安全支付方法、系统和一种安全支付后台 | |
| CN104301288B (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与系统 | |
| US20240135764A1 (en) | Token based secure access to a locker system | |
| CN108460597A (zh) | 一种密钥管理系统及方法 | |
| CN106980977A (zh) | 基于物联网的支付系统及其支付卡 | |
| CN101425901A (zh) | 一种在处理终端中用于对用户身份验证的控制方法及装置 | |
| CN106779672A (zh) | 移动终端安全支付的方法及装置 | |
| CN102609842B (zh) | 一种基于硬件签名设备的支付密码装置及其应用方法 | |
| CN102724180A (zh) | 防止usbkey签名信息被篡改的方法及系统 | |
| El Madhoun et al. | A secure cloud-based NFC payment architecture for small traders | |
| CN109285004A (zh) | 基于移动网络终端的交易认证方法及系统 | |
| CN109284999A (zh) | 基于移动网络终端的交易认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20111109 |