CN102497358A - 网上银行交易的方法 - Google Patents
网上银行交易的方法 Download PDFInfo
- Publication number
- CN102497358A CN102497358A CN2011103893211A CN201110389321A CN102497358A CN 102497358 A CN102497358 A CN 102497358A CN 2011103893211 A CN2011103893211 A CN 2011103893211A CN 201110389321 A CN201110389321 A CN 201110389321A CN 102497358 A CN102497358 A CN 102497358A
- Authority
- CN
- China
- Prior art keywords
- client
- transaction
- bank
- online banking
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供一种网上银行交易的方法,包括当有客户通过外部互联网络登录网上银行客户端时,接收客户的登录请求并验证客户信息;当客户发起网上银行交易请求时,根据密钥因子编号取出预存在网上银行系统中的密钥种子,并根据密钥种子及客户交易要素结合交易时间生成签名信息;将签名信息连同客户交易要素以短信的形式发送到客户手机终端;当客户收到信息并核对交易要素无误后,将客户通过网上银行客户端输入的验证信息与再次根据交易要素与密钥种子结合交易时间生成的签名信息进行匹配;以及如果二者相匹配,执行网上银行交易。本发明的网上银行交易的方法采用包含交易要素的签名信息对网上银行交易进行签名确认,使得网上银行交易的安全性大大提高。
Description
【技术领域】
本发明涉及网上银行领域,尤其涉及一种网上银行交易的方法。
【背景技术】
随着我国银行业的发展以及计算机和互联网的全面普及,金融电子化的程度越来越高。网上银行作为一种新型的客户服务方式,迅速成为全球金融业关注的焦点。与传统银行相比,网上银行在降低经营成本、完善服务质量、拓宽业务领域等多方面具有显著优势。
然而,随着网上银行应用的日益广泛,其安全性方面的弊端也逐渐显现出来,各种针对网上银行的犯罪手法层出不穷。为保障用户资金安全,向用户提供一个安全放心的使用环境,各种网银安全手段应运而生,其中采用短信动态密码验证的方案应用较广。短信动态密码也称短信密码,是一种手机动态口令形式,身份认证系统以手机短信形式发送的6-8位随机数的动态密码,客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。
上述采用短信动态密码的方案虽然能够在一定程度上保证交易过程的安全性,但由于其过于简单,且本身与交易并不相关,支付时系统仅发送动态密码,黑客采用“中间人攻击”方法,可直接篡改转账交易金额、转账交易收款人,从而盗取客户银行资金。今年某银行发生的数千万盗窃资金案件也采用了类似的作案手段,这种方案把巨额资金暴露给黑客,对社会财富构成极大的风险。
【发明内容】
有鉴于此,本发明提供一种安全性高的网上银行交易的方法。
一种网上银行交易的方法,其特征在于所述方法包括以下步骤:当有客户通过外部互联网络登录网上银行客户端时,接收客户的登录请求并验证客户信息;当客户发起网上银行交易请求时,根据客户签约时分配的专属密钥因子编号取出预存在网上银行系统中的密钥种子,并根据密钥种子及客户交易要素结合交易时间生成签名信息;将签名信息连同客户交易要素以短信的形式发送到客户手机终端;当客户收到信息并核对交易要素无误后,将客户通过网上银行客户端输入的验证信息与再次根据交易要素与密钥种子结合交易时间生成的签名信息进行匹配;如果二者相匹配,执行网上银行交易。
优选地,所述密钥因子是私有随机算法产生100亿个记录在数据库的随机数,所述密钥种子是采用128位的SM3杂凑算法对抽取的所述随机数进行循环加密而生成。
优选地,所述签名信息是根据客户交易时的交易要素、交易时间以及从专属密钥因子编号中取出的密钥种子生成的以手机短信形式发送6-8位随机数的动态密码。
优选地,所述交易要素包括用户名、转账转入账户及转账金额。
本发明的网上银行交易的方法采用包含交易要素的签名信息对网上银行交易进行签名确认,使得网上银行交易的安全性大大提高。
【附图说明】
图1为网上银行系统的示意图。
图2为本发明的优选实施例网上银行交易的方法的示意图。
图3为采用图2中所示的方法进行网上银行交易的转账界面图。
图4为采用图2中所示的方法进行网上银行交易的交易界面图。
【具体实施方式】
为了更好地理解本发明,以下将结合附图对发明的实施例进行详细的说明。
我行通过验证其它商业银行网银运作方式,研究得出一种安全性更高、推广普及门槛低的网上银行安全手段。当客户与银行网银签约成功后分配给客户专属密钥因子,并将专属密钥因子编号与客户网银客户号及手机号绑定。为提高网银交易的安全性,本发明的网上银行交易的签名确认方法是在现有网上银行系统的基础上,在交易时点根据客户签约时分配的专属密钥因子编号取出预存在网上银行系统中的密钥种子,并根据密钥种子及客户交易要素结合交易时间生成签名信息,并以短信的形式将包含签名信息及交易要素的信息发送给客户。客户核对交易要素无误后,将签名信息提交给网上银行交易系统,系统将用户提交的签名信息与系统生成的签名信息进行比对以判断用户身份真实性。
为更清楚地说明本发明的网上银行交易的方法,先对网上银行交易系统进行简单的介绍。请参阅图1,图中所示为实现网上银行交易的系统结构示意图,其包括网上银行客户端1、外部互联网络2、网上银行服务器3、银行内部网络4、密钥验证服务器5以及客户手机终端6。网上银行客户端1是通过外部互联网络2登录网上银行服务器3的技术载体,外部互联网络2实现网上银行客户端1与网上银行服务器3连接并进行数据交换。网上银行服务器3是办理网上银行业务的信息处理系统,并将签名信息发送给客户手机终端6。银行内部网络4实现网上银行服务器3与密钥验证服务器5连接并进行数据交换,密钥验证服务器5对密钥因子进行验证并生成签名信息。网上银行服务器3、银行内部网络4、密钥验证服务器5构成网上银行系统。
当客户携带有效证件(身份证、银行卡等)在柜面办理网上银行签约手续。签约成功后,网银系统将分配给客户专属密钥因子并将密钥因子编号与客户的网银客户号和手机号进行绑定,密钥因子的编号记录在网上银行系统中。当签约成功后,客户即可进行网上银行交易。
请参阅图2,本发明的优选实施例网上银行交易的方法的工作流程具体如下:
步骤101:当有客户通过外部互联网络登录网上银行客户端1时,网上银行系统接收客户的登录请求并验证客户信息。
步骤102:当客户发起网上银行交易请求时,网上银行系统根据客户签约时分配的专属密钥因子编号取出密钥种子,并根据密钥种子及客户交易要素(包括但不限于如用户名、转账转入账号、转账金额等)结合交易时间生成签名信息。
步骤103:网上银行系统将签名信息连同客户交易要素以短信的形式发送到客户手机终端6。
步骤104:当客户收到信息并核对包含例如次转入账户、转账金额、收款人等在内的交易要素无误后,网上银行系统将客户通过网上银行客户端1输入的验证信息与再次根据交易要素与密钥种子结合交易时间生成的签名信息进行匹配。
步骤105:如果二者相匹配,进入步骤107;否则返回步骤102,重新进行验证。
步骤106:网上银行系统执行网上银行交易。
为保证网上银行交易的安全,在上述网上银行交易的方法中,专属密钥因子为私有随机算法产生100亿个记录在数据库的随机数。该随机数应用私有随机算法保证其随机性和不可预测性;随机数生成时包含唯一连续的密钥种子序列号,以此来保证其唯一性。并采用国密局128位的SM3杂凑算法对抽取的随机数进行循环加密,生成密钥种子,该加密算法具有不可逆性,保证密钥种子的安全性。
签名信息也是一种手机动态口令,由系统根据客户交易时的交易要素(如用户名、转账转入账户、转账金额等)以及从专属密钥因子编号中取出的密钥种子结合交易时间以手机短信形式发送6-8位随机数的动态密码,具有一定的有效期及唯一性,超过有效期自动失效,根据客户交易要素及从专属密钥因子编号中取出的密钥种子结合交易时间生成签名信息相对单纯动态密码验证大幅提高了安全性,同时,网银系统和用户手机之间短信通道的私密性也为网银增加了一道安全屏障。系统可设定上述操作的重复次数上限,并与时间挂勾,如24小时内最多重复操作3-5次等超过重复操作次数上限的账户,系统锁定,第二天自动解锁。
以下将结合实例对上述网上银行交易的方法进行说明。
客户魏X需要在网上转出一笔钱到另一银行的账户,通过互联网登录银行的动态密码版网上银行客户端。进入转账界面(如图3所示)后,选择付款账号,填写收款人名称、收款账号、收款人银行名称、转账金额等交易信息,点击确认后进入交易界面。如客户魏X需要从银行账户转出100元到其名下的其它银行账户,交易界面(如图4所示)显示客户魏X付款账号、付款人名称、转账金额、收款人账号、收款人名称、收款人开户行等基本交易要素,并要求客户提交验证码、交易密码以及签名信息(动态口令)。客户点击“发送动态密码”按钮(如图4所示)后,客户魏X收到银行一条内容如下的短信:“2011年10月X日X时X分,您在本次网银交易的动态密码为956636,收款户名:魏X,收款账号6***************,金额100元,XX银行。”客户核对短信内容(时间、收款户名、收款账号、金额等)与交易页面内容是否一致,如一致,输入动态口令(签名信息),如不一致取消交易。客户核对无误后选择输入电子口令,系统对发出的动态口令(签名信息)与生成的动态口令进行匹配,匹配成功,客户认证通过完成交易。
如黑客利用“中间人攻击”方式在客户魏X获取签名信息前篡改客户转账账号和收款人姓名,客户可通过系统验证后所发送的短信信息对比交易要素(如收款人姓名、转账转入账号、转账金额等)和交易时间来判定交易是否安全,如不一致客户立刻取消交易。
如黑客利用“中间人攻击”方式在客户魏X获取签名信息提交网银系统后篡改客户转账账号和收款人姓名,密钥验证系统服务器将按原步骤根据专属密钥因子和交易要素以及交易时间再次生成一个签名信息,二者进行匹配。交易要素与交易时间不同,生成的签名信息也不同,系统验证无法通过,黑客攻击将无法起到作用。
相较于其它网上银行交易的方式,本发明的网上银行交易的方法具有以下几方面的优点:
1、安全性高:相比于其它行单纯靠动态密码验证而不与交易本身相关联的弊端,上述方法的签名信息(动态口令)与交易本身相关,根据当前交易要素与从专属密钥因子编号中取出的密钥种子以及交易时间生成签名信息(动态口令)且具有唯一性,签名信息(动态口令)与交易要素同时通过短信发送给客户,限定了当前交易条件,能有效防止黑客“中间人攻击”,更具有安全性。
2、实用性强:现有的网上银行系统一般都建有短信网关,上述方法可直接利用现成系统,无需重复建设。
3、成本低:结构简单、开发难度低,运行及维护成本低,不需另外开通动
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (4)
1.一种网上银行交易的方法,其特征在于所述方法包括以下步骤:
当有客户通过外部互联网络登录网上银行客户端时,接收客户的登录请求并验证客户信息;
当客户发起网上银行交易请求时,根据客户签约时分配的专属密钥因子编号取出预存在网上银行系统中的密钥种子,并根据密钥种子及客户交易要素结合交易时间生成签名信息;
将签名信息连同客户交易要素以短信的形式发送到客户手机终端;
当客户收到信息并核对交易要素无误后,将客户通过网上银行客户端输入的验证信息与再次根据交易要素与密钥种子结合交易时间生成的签名信息进行匹配;以及
如果二者相匹配,执行网上银行交易。
2.根据权利要求1所述的网上银行交易的方法,其特征在于:所述密钥因子是私有随机算法产生100亿个记录在数据库的随机数,所述密钥种子是采用128位的SM3杂凑算法对抽取的所述随机数进行循环加密而生成。
3.根据权利要求2所述的网上银行交易的方法,其特征在于:所述签名信息是根据客户交易时的交易要素、交易时间以及从专属密钥因子编号中取出的密钥种子生成的以手机短信形式发送6-8位随机数的动态密码。
4.根据权利要求3所述的网上银行交易的方法,其特征在于:所述交易要素包括用户名、转账转入账户及转账金额。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103893211A CN102497358A (zh) | 2011-11-30 | 2011-11-30 | 网上银行交易的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103893211A CN102497358A (zh) | 2011-11-30 | 2011-11-30 | 网上银行交易的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102497358A true CN102497358A (zh) | 2012-06-13 |
Family
ID=46189144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011103893211A Pending CN102497358A (zh) | 2011-11-30 | 2011-11-30 | 网上银行交易的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102497358A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014082345A1 (zh) * | 2012-11-30 | 2014-06-05 | Wu Weifeng | 一种安全网银的实施方法 |
| CN104125230A (zh) * | 2014-07-31 | 2014-10-29 | 上海动联信息技术股份有限公司 | 一种短信认证服务系统以及认证方法 |
| CN105139204A (zh) * | 2015-07-27 | 2015-12-09 | 飞天诚信科技股份有限公司 | 一种进行安全认证的方法和系统 |
| CN106656993A (zh) * | 2016-11-04 | 2017-05-10 | 中国银联股份有限公司 | 一种动态验证码验证方法及装置 |
| CN107872438A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 一种验证方法、装置及终端 |
| CN108122118A (zh) * | 2017-12-29 | 2018-06-05 | 中国印钞造币总公司 | 动态密码提供方法和装置,物品防伪方法、装置和系统 |
| CN108510258A (zh) * | 2018-06-01 | 2018-09-07 | 黄君 | 一种基于usb otg设备的区块链数字货币转账系统 |
| CN109377350A (zh) * | 2018-10-19 | 2019-02-22 | 中国银行股份有限公司 | 一种支持多家银行身份认证的方法和装置 |
| CN112396418A (zh) * | 2020-12-07 | 2021-02-23 | 北京华大智宝电子系统有限公司 | 一种信息处理方法、装置及系统 |
| CN114005227A (zh) * | 2012-08-08 | 2022-02-01 | 思奇里兹平台股份有限公司 | 对等投注平台 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128353A1 (en) * | 2002-07-26 | 2004-07-01 | Goodman Brian D. | Creating dynamic interactive alert messages based on extensible document definitions |
| US20070220597A1 (en) * | 2006-03-17 | 2007-09-20 | Ishida Natsuki | Verification system |
| CN101620705A (zh) * | 2009-08-07 | 2010-01-06 | 中国建设银行股份有限公司 | 一种用于网上银行的安全认证方法及系统 |
| CN101901306A (zh) * | 2009-06-01 | 2010-12-01 | 北京焜安信息技术有限公司 | 网络交易加密方法及其所采用的动态密码设备 |
-
2011
- 2011-11-30 CN CN2011103893211A patent/CN102497358A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128353A1 (en) * | 2002-07-26 | 2004-07-01 | Goodman Brian D. | Creating dynamic interactive alert messages based on extensible document definitions |
| US20070220597A1 (en) * | 2006-03-17 | 2007-09-20 | Ishida Natsuki | Verification system |
| CN101901306A (zh) * | 2009-06-01 | 2010-12-01 | 北京焜安信息技术有限公司 | 网络交易加密方法及其所采用的动态密码设备 |
| CN101620705A (zh) * | 2009-08-07 | 2010-01-06 | 中国建设银行股份有限公司 | 一种用于网上银行的安全认证方法及系统 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11551515B2 (en) | 2012-08-08 | 2023-01-10 | Skillz Platform, Inc. | Peer-to-peer wagering platform |
| CN114005227A (zh) * | 2012-08-08 | 2022-02-01 | 思奇里兹平台股份有限公司 | 对等投注平台 |
| US11915548B2 (en) | 2012-08-08 | 2024-02-27 | Skillz Inc. | Peer-to-peer wagering platform |
| WO2014082345A1 (zh) * | 2012-11-30 | 2014-06-05 | Wu Weifeng | 一种安全网银的实施方法 |
| CN104125230A (zh) * | 2014-07-31 | 2014-10-29 | 上海动联信息技术股份有限公司 | 一种短信认证服务系统以及认证方法 |
| CN104125230B (zh) * | 2014-07-31 | 2017-12-15 | 上海动联信息技术股份有限公司 | 一种短信认证服务系统以及认证方法 |
| CN105139204A (zh) * | 2015-07-27 | 2015-12-09 | 飞天诚信科技股份有限公司 | 一种进行安全认证的方法和系统 |
| CN105139204B (zh) * | 2015-07-27 | 2019-07-12 | 飞天诚信科技股份有限公司 | 一种进行安全认证的方法和系统 |
| CN107872438B (zh) * | 2016-09-28 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 一种验证方法、装置及终端 |
| CN107872438A (zh) * | 2016-09-28 | 2018-04-03 | 腾讯科技(深圳)有限公司 | 一种验证方法、装置及终端 |
| CN106656993A (zh) * | 2016-11-04 | 2017-05-10 | 中国银联股份有限公司 | 一种动态验证码验证方法及装置 |
| CN106656993B (zh) * | 2016-11-04 | 2019-12-06 | 中国银联股份有限公司 | 一种动态验证码验证方法及装置 |
| CN108122118A (zh) * | 2017-12-29 | 2018-06-05 | 中国印钞造币总公司 | 动态密码提供方法和装置,物品防伪方法、装置和系统 |
| CN108510258A (zh) * | 2018-06-01 | 2018-09-07 | 黄君 | 一种基于usb otg设备的区块链数字货币转账系统 |
| CN109377350A (zh) * | 2018-10-19 | 2019-02-22 | 中国银行股份有限公司 | 一种支持多家银行身份认证的方法和装置 |
| CN112396418A (zh) * | 2020-12-07 | 2021-02-23 | 北京华大智宝电子系统有限公司 | 一种信息处理方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111859348B (zh) | 一种基于用户识别模块及区块链技术的身份认证方法及装置 | |
| CN102497358A (zh) | 网上银行交易的方法 | |
| US20200336315A1 (en) | Validation cryptogram for transaction | |
| CN104838629B (zh) | 使用移动设备并借助于证书对用户进行认证的方法及系统 | |
| RU2747947C2 (ru) | Системы и способы персональной идентификации и верификации | |
| US20200026834A1 (en) | Blockchain identity safe and authentication system | |
| RU2448365C2 (ru) | Устройство и способ защищенной передачи данных | |
| CN101222333B (zh) | 一种数据交易处理方法及设备 | |
| CN102202300B (zh) | 一种基于双通道的动态密码认证系统及方法 | |
| US20090172402A1 (en) | Multi-factor authentication and certification system for electronic transactions | |
| US20020073045A1 (en) | Off-line generation of limited-use credit card numbers | |
| US20120101951A1 (en) | Method and System for Secure Financial Transactions Using Mobile Communications Devices | |
| CN103985036A (zh) | 一种带生物特征的二维码支付方法 | |
| EP1904920A2 (en) | System and method for security in global computer transactions that enable reverse-authentication of a server by a client | |
| WO2006039365A2 (en) | Method and system of authentication on an open network | |
| GB2434724A (en) | Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters | |
| Cresitello-Dittmar | Application of the blockchain for authentication and verification of identity | |
| CN101576983A (zh) | 一种基于移动终端的电子支付方法和系统 | |
| US20240202722A1 (en) | Secure authentication and transaction system and method | |
| CN111210287A (zh) | 一种基于税务UKey的开具发票的方法及系统 | |
| CN101141252A (zh) | 一种网络密码认证方法 | |
| CN112905979B (zh) | 电子签名授权方法以及装置、存储介质、电子装置 | |
| CN104657860A (zh) | 一种手机银行安全认证方法 | |
| CN1697376A (zh) | 用集成电路卡对数据进行认证或加密的方法和系统 | |
| CN107615797B (zh) | 一种隐藏用户标识数据的装置、方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120613 |