CN103839160B - 一种网络交易数字签名方法和装置 - Google Patents

一种网络交易数字签名方法和装置 Download PDF

Info

Publication number
CN103839160B
CN103839160B CN201410104867.1A CN201410104867A CN103839160B CN 103839160 B CN103839160 B CN 103839160B CN 201410104867 A CN201410104867 A CN 201410104867A CN 103839160 B CN103839160 B CN 103839160B
Authority
CN
China
Prior art keywords
user
digital signature
signed
data
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410104867.1A
Other languages
English (en)
Other versions
CN103839160A (zh
Inventor
王翊心
胡进
阳凌怡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WUHAN ARGUSEC TECHNOLOGY CO LTD
Beijing Infosec Technologies Co Ltd
Original Assignee
WUHAN ARGUSEC TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WUHAN ARGUSEC TECHNOLOGY CO LTD filed Critical WUHAN ARGUSEC TECHNOLOGY CO LTD
Priority to CN201410104867.1A priority Critical patent/CN103839160B/zh
Publication of CN103839160A publication Critical patent/CN103839160A/zh
Application granted granted Critical
Publication of CN103839160B publication Critical patent/CN103839160B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/10544Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation by scanning of the records by radiation in the optical part of the electromagnetic spectrum
    • G06K7/10712Fixed beam scanning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification

Abstract

本发明公开了一种网络交易签名的方法,包括以下步骤:接收用户输入的待签名数据,将待签名数据显示给用户,并判断是否接收到用户的确认信息,如果接收到用户的确认信息,则使用数字签名算法对待签名数据进行数字签名,以生成签名值,采用二维码编码算法对生成的签名值或签名值与待签名数据的组合进行编码,以生成二维码图片,并对用户显示该二维码图片,等待用户使用移动终端扫描生成的二维码图片,并且移动终端将用户扫描的结果发送到远端的认证服务器。本发明能够实现交易签名流程与主机平台硬件接口无关性,从而可以在银行的全业务渠道中与任意主机或者平台搭配使用。

Description

一种网络交易数字签名方法和装置
技术领域
本发明属于网络交易安全技术领域,更具体地,涉及一种网络交易数字签名方法和装置。
背景技术
目前,网上银行多采用基于数字证书的公钥密码(Public KeyInfrastructure,简称PKI)系统来保障网上银行数据安全。在该PKI系统中,网上银行多采用USB密码钥匙(USB key)或者可视按键型USB密码钥匙作为客户端装置来对网络交易中的关键信息进行数字签名,从而确保交易的安全性。
USB密码钥匙是一种USB接口的硬件设备,它内置智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,并使用内置的数字签名算法实现对交易信息的数字签名。
可视按键型USB密码钥匙是USB密码钥匙的升级版本,与USB密码钥匙相比,它增加了显示屏和按键等人机交互的接口。当需要使用可视按键型USB密码钥匙内置的私钥对交易信息进行复核签名时,就会启动按键等待操作,在有效时限内按下确认按键后签名才能成功,否则拒绝签名。即使可视按键型USB密码钥匙的PIN码被人截取,木马程序发起一个非法的交易请求,由于无法进行物理上的按键操作,致使整个交易不能进行下去,从而可实现交易信息保护。另外,面对交易数据在用户客户端提交到USB密码钥匙设备过程中被篡改的危险,可视按键型USB密码钥匙设备的显示屏可以把送到可视按键型USB密码钥匙设备的交易数据信息显示出来,用户在确认显示的内容正确无误后按下物理按键才可完成整个交易,实现“所见即所签”功能。
然而,在实际应用中,无论是USB密码钥匙还是可视按键型USB密码钥匙都需要主机拥有USB接口,这阻碍了签名设备在移动终端设备上的广泛应用。虽然目前出现了带有蓝牙接口或者音频接口的可视按键型USB密码钥匙,但上述设备仍存在如下缺点:首先,通过USB接口连接PC等主机设备,要实现两个设备之间通过USB通信,需要主机也要具备USB接口,同时需要主机安装和加载USB密码钥匙的驱动程序,为了实现驱动程序兼容不同的操作系统,需要投入大量经费于研发和测试工作中;其次,带蓝牙接口的USB密码钥匙等无线设备无法解决不同移动终端之间蓝牙配对的兼容性问题,同时,由于蓝牙协议的开放性,无法保证蓝牙USB密码钥匙设备与主机通讯的安全性;再次,带音频接口的USB密码钥匙设备,无法解决不同移动终端之间音频接口的兼容性问题。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种网络交易数字签名方法和装置。其目的在于,解决现有USB接口中存在的为了实现驱动程序兼容不同的操作系统,需要投入大量经费于研发和测试工作中的技术问题,带蓝牙接口的USB密码钥匙存在的不同移动终端之间蓝牙配对的兼容性问题,以及带音频接口的USB密码钥匙存在的兼容性问题,并实现交易签名流程与主机平台硬件接口无关性,从而可以在银行的全业务渠道中与任意主机或者平台搭配使用。
为实现上述目的,按照本发明的一个方面,提供了一种网络交易签名的方法,包括以下步骤:
(1)接收用户输入的待签名数据;
(2)将待签名数据显示给用户,并判断是否接收到用户的确认信息,如果接收到用户的确认信息,则进入步骤(3),如果没有接收到,则过程结束;
(3)使用数字签名算法对待签名数据进行数字签名,以生成签名值;
(4)采用二维码编码算法对生成的签名值或签名值与待签名数据的组合进行编码,以生成二维码图片,并对用户显示该二维码图片;
(5)等待用户使用移动终端扫描步骤(4)中生成的二维码图片,并且移动终端将用户扫描的结果发送到远端的认证服务器,然后过程结束。
优选地,数字签名是采用SM2数字签名算法、ECDSA数字签名算法或RSA数字签名算法。
优选地,生成的二维码图片可以以分割的方式显示在显示屏上。
优选地,可采用PDF417、QR码、Code49、Code16K、Code One算法实现二进制编码。
优选地,本方法还包括在上述步骤(1)之前、步骤(1)与步骤(2)之间、或者步骤(2)与步骤(3)之间,对用户的身份进行验证的步骤,用户的身份验证信息为用户的PIN码或其生物信息。
按照本发明的另一方面,提供了一种网络交易数字签名装置,包括信息输入模块、显示屏幕、电源模块、数字签名模块、二维码生成模块和安全认证模块,电源模块用于为信息输入模块、显示屏幕、以及数字签名模块供电,信息输入模块用于接收用户输入的待签名数据,并将该待签名数据转发给显示屏幕和安全认证模块,显示屏幕用于将待签名数据显示给用户,安全认证模块用于判断是否接收到用户的确认信息,如果接收到用户的确认信息,则将待签名数据传送到数字签名模块,如果没有接收到,则过程结束,数字签名模块用于使用数字签名算法对待签名数据进行数字签名,以生成签名值,并将签名值发送到二维码生成模块,二维码生成模块用于采用二维码编码算法对生成的签名值或签名值与待签名数据的组合进行编码,以生成二维码图片,并将该二维码图片发送到显示屏幕上,显示屏幕还用于显示二维码生成模块生成的二维码图形,等待用户使用移动终端扫描生成的二维码图片。
优选地,信息输入模块还用于接收用户发送的身份验证信息,并将该身份验证信息发送到安全认证模块,安全认证模块还用于根据来自信息输入模块的身份验证信息验证用户的身份,在用户身份验证通过时告知数字签名模块进行后续工作,并在用户身份验证未通过时通知信息输入模块继续接收用户发送的身份验证信息,并在连续多次用户身份验证未通过时拒绝用户的任何后续操作。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
1、由于本发明生成的二维码图片可供任何现有移动终端进行扫描识别(例如通过微信、专用二维码扫描软件等),从而解决了现有用于数字签名的USB密码钥匙中存在的需要不同的驱动程序以兼容不同的操作系统所带来研发投入大的问题。
2、由于本发明使用户仅需要通过二维码扫描方式进行安全认证,省却了USB接口、蓝牙配对等复杂操作,从而解决了现有USB密码钥匙在移动终端的可用性差,及其带来的不同移动终端之间接口的兼容性问题。
3、本发明的装置和方法解决了现有数字签名装置无法在手机、平板电脑、ATM等多场景应用的问题,真正便利地实现了在移动终端上使用数字证书来完成数字签名操作。
附图说明
图1是本发明网络交易数字签名装置的示意框图。
图2是本发明网络交易数字签名方法的基本流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
如图2所示,本发明的网络交易数字签名方法包括以下步骤:
(1)接收用户输入的待签名数据;具体而言,待签名数据为用户的交易信息,包括交易金额、交易账号、交易流水号等。此外,用户输入待签名数据的方式可以为按键输入、音频输入、声波输入、二维码扫描输入等。
(2)将待签名数据显示给用户,并判断是否接收到用户的确认信息,如果接收到用户的确认信息,表示用户认为待签名数据是正确的,然后进入步骤(3),如果没有接收到,则表示用户可能取消后续的数字签名操作,或者可能在一定时间内(在本实施方式中是30秒至3分钟)未进行任何操作,然后过程结束;
(3)使用数字签名算法对待签名数据进行数字签名,以生成签名值;在本实施方式中,是采用SM2数字签名算法、ECDSA数字签名算法或RSA数字签名算法对待签名数据进行数字签名,但应理解本发明绝不局限于上述的数字签名算法,现有的任何数字签名算法都可被使用;
(4)采用二维码编码算法对生成的签名值或签名值与待签名数据的组合进行编码,以生成二维码图片,并对用户显示该二维码图片;在本实施方式中,可采用便携式数据文件(Portable Data File,简称PDF)417、快速响应码(Quick response code,简称QR码)、Code49、Code16K、CodeOne算法实现二进制编码。此外,针对显示屏的尺寸限制,通过对生成的签名值或签名值与待签名数据的组合进行分割然后进行二进制编码,生成的二维码图片可以以分割的方式显示在显示屏上。
(5)等待用户使用移动终端扫描步骤(4)中生成的二维码图片,并且移动终端将用户扫描的结果发送到远端的认证服务器,然后过程结束。
作为本发明的进一步改进,本方法还可包括:在上述步骤(1)之前、步骤(1)与步骤(2)之间、或者步骤(2)与步骤(3)之间,对用户的身份进行验证的步骤,用户的身份验证信息可以为用户的PIN码、用户的指纹、虹膜、声音等生物信息,应该理解的是本发明绝不局限于上述的身份验证信息,其它任何现有的身份验证信息均可被使用。
如图1所示,本发明的网络交易数字签名装置包括信息输入模块101、显示屏幕102、电源模块103、数字签名模块104、二维码生成模块105和安全认证模块106。
电源模块103用于为信息输入模块101、显示屏幕102、以及数字签名模块104供电,并进行低电压检测、电池充电等工作。
信息输入模块101用于接收用户输入的待签名数据,并将该待签名数据转发给显示屏幕102和安全认证模块106;具体而言,待签名数据为用户的交易信息,包括交易金额、交易账号、交易流水号等。此外,用户输入待签名数据的方式可以为按键输入、音频输入、声波输入、二维码扫描输入等;
显示屏幕102用于将待签名数据显示给用户。
安全认证模块106用于判断是否接收到用户的确认信息,如果接收到用户的确认信息,表示用户认为待签名数据是正确的,然后将待签名数据传送到数字签名模块104,如果没有接收到,则表示用户可能取消后续的数字签名操作,或者可能在一定时间内(在本实施方式中是30秒至3分钟)未进行任何操作,然后过程结束。
数字签名模块104用于使用数字签名算法对待签名数据进行数字签名,以生成签名值,并将签名值发送到二维码生成模块105;在本实施方式中,是采用SM2数字签名算法、ECDSA数字签名算法或RSA数字签名算法对待签名数据进行数字签名,但应理解本发明绝不局限于上述的数字签名算法,现有的任何数字签名算法都可被使用;
二维码生成模块105用于采用二维码编码算法对生成的签名值或签名值与待签名数据的组合进行编码,以生成二维码图片,并将该二维码图片发送到显示屏幕102上;在本实施方式中,可采用PDF417、QR码、Code49、Code16K、Code One算法实现二进制编码。此外,针对显示屏的尺寸限制,二维码生成模块105还用于对生成的签名值或签名值与待签名数据的组合进行分割然后进行二进制编码。
显示屏幕102还用于显示二维码生成模块105生成的二维码图形,等待用户使用移动终端扫描生成的二维码图片。
作为本发明的进一步改进,信息输入模块101还用于接收用户发送的身份验证信息,并将该身份验证信息发送到安全认证模块106。
安全认证模块106用于根据来自信息输入模块101的身份验证信息验证用户的身份,在用户身份验证通过时告知数字签名模块104进行后续工作,并在用户身份验证未通过时通知信息输入模块101继续接收用户发送的身份验证信息,并在连续多次用户身份验证未通过时拒绝用户的任何后续操作;在本实施方式中,如果用户连续6次身份验证未通过,则该用户的任何后续操作都被拒绝。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种网络交易数字签名方法,其特征在于,包括以下步骤:
(1)接收用户输入的待签名数据,待签名数据为用户的交易信息,包括交易金额、交易账号、交易流水号;
(2)将待签名数据显示给用户,并判断是否接收到用户的确认信息,如果接收到用户的确认信息,则进入步骤(3),如果没有接收到,则过程结束;
(3)使用数字签名算法对待签名数据进行数字签名,以生成签名值;
(4)采用二维码编码算法对签名值与待签名数据的组合进行编码,以生成二维码图片,并对用户显示该二维码图片;其中通过对生成的签名值或签名值与待签名数据的组合进行分割然后进行二进制编码,生成的二维码图片可以以分割的方式显示在显示屏上;
(5)等待用户使用移动终端扫描步骤(4)中生成的二维码图片,并且移动终端将用户扫描的结果发送到远端的认证服务器,然后过程结束。
2.根据权利要求1所述的网络交易数字签名方法,其特征在于,数字签名是采用SM2数字签名算法、ECDSA数字签名算法或RSA数字签名算法。
3.根据权利要求1所述的网络交易数字签名方法,其特征在于,可采用PDF417、QR码、Code 49、Code 16K、Code One算法实现二进制编码。
4.根据权利要求1所述的网络交易数字签名方法,其特征在于,还包括在上述步骤(1)之前、步骤(1)与步骤(2)之间、或者步骤(2)与步骤(3)之间,对用户的身份进行验证的步骤,用户的身份验证信息为用户的PIN码或其生物信息。
CN201410104867.1A 2014-03-20 2014-03-20 一种网络交易数字签名方法和装置 Active CN103839160B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410104867.1A CN103839160B (zh) 2014-03-20 2014-03-20 一种网络交易数字签名方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410104867.1A CN103839160B (zh) 2014-03-20 2014-03-20 一种网络交易数字签名方法和装置

Publications (2)

Publication Number Publication Date
CN103839160A CN103839160A (zh) 2014-06-04
CN103839160B true CN103839160B (zh) 2015-09-02

Family

ID=50802635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410104867.1A Active CN103839160B (zh) 2014-03-20 2014-03-20 一种网络交易数字签名方法和装置

Country Status (1)

Country Link
CN (1) CN103839160B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104159224A (zh) * 2014-07-22 2014-11-19 上海众人科技有限公司 一种移动终端数字认证系统及方法
CN104320250A (zh) * 2014-08-12 2015-01-28 北京傲飞商智软件有限公司 一种基于nfc芯片的防伪认证方法
CN105471580B (zh) * 2014-09-11 2021-12-24 苏州海博智能系统有限公司 一种复核签名方法和设备
CN113159948A (zh) * 2016-01-24 2021-07-23 杭州复杂美科技有限公司 区块链撮合交易所
JP6970588B2 (ja) * 2017-11-09 2021-11-24 キヤノン株式会社 管理システム、端末、制御方法、およびプログラム
CN113748642A (zh) * 2019-02-26 2021-12-03 上海亚融信息技术有限公司 数字签名终端和安全通信方法
CN113656109B (zh) * 2021-09-01 2023-07-04 中国农业银行股份有限公司 安全控件调用方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101304569A (zh) * 2008-04-24 2008-11-12 中山大学 一种基于智能手机的移动认证系统
CN102842081A (zh) * 2011-06-23 2012-12-26 上海易悠通信息科技有限公司 一种移动电话生成二维码并实现移动支付的方法
CN103218740A (zh) * 2013-03-13 2013-07-24 北京宏基恒信科技有限责任公司 使用二维码的交易系统、方法和装置
CN103747012A (zh) * 2013-08-01 2014-04-23 戴林巧 网络交易的安全验证方法、装置及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101304569A (zh) * 2008-04-24 2008-11-12 中山大学 一种基于智能手机的移动认证系统
CN102842081A (zh) * 2011-06-23 2012-12-26 上海易悠通信息科技有限公司 一种移动电话生成二维码并实现移动支付的方法
CN103218740A (zh) * 2013-03-13 2013-07-24 北京宏基恒信科技有限责任公司 使用二维码的交易系统、方法和装置
CN103747012A (zh) * 2013-08-01 2014-04-23 戴林巧 网络交易的安全验证方法、装置及系统

Also Published As

Publication number Publication date
CN103839160A (zh) 2014-06-04

Similar Documents

Publication Publication Date Title
CN103839160B (zh) 一种网络交易数字签名方法和装置
CN111614637B (zh) 一种基于软件密码模块的安全通信方法及系统
CN103839097A (zh) 一种基于数字签名的二维码生成方法和装置
CN102103778B (zh) 移动支付系统、移动终端及移动支付业务的实现方法
CN104618116B (zh) 一种协同数字签名系统及其方法
CN103747012B (zh) 网络交易的安全验证方法、装置及系统
JP2018510592A (ja) 動的な暗号化方法、端末、およびサーバ
CN103793815A (zh) 适用于银行卡和行业卡的移动智能终端收单系统及方法
CN107784499B (zh) 近场通信移动终端的安全支付系统及方法
CN103839157A (zh) 一种电子支付方法、装置及系统
CN104243162B (zh) 一种信息交互方法、系统和智能密钥设备
CN103220148A (zh) 电子签名令牌响应操作请求的方法、系统和电子签名令牌
CN104253689A (zh) 基于二维码的用户卡动态口令验证方法与系统
CN105741116A (zh) 一种快捷支付方法、装置及系统
CN101635076B (zh) 一种交易装置及实现方法
CN101296078A (zh) 网络通信中的信息交互确认装置
CN110659470B (zh) 离线物理隔离的认证方法及其认证系统
CN104159224A (zh) 一种移动终端数字认证系统及方法
CN104702410A (zh) 一种动态口令认证装置、系统和方法
CN114581091A (zh) 一种身份验证方法、装置、计算机设备及存储介质
CN105471580B (zh) 一种复核签名方法和设备
KR101366357B1 (ko) 금융수단 분리발급 방법 및 시스템
CN203387524U (zh) 一种多接口多功能的智能密码钥匙装置
CN104301105A (zh) 基于带通信功能的移动设备的数字证书签名方法及实现该方法的设备
KR102172855B1 (ko) 사용자의 휴대형 매체를 이용한 매체 분리 기반 서버형 일회용코드 제공 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160808

Address after: 100089 Beijing city Haidian District Bei wa Lu Xi Li No. 21 block A No. 8246

Patentee after: Beijing Infosec Technologies Co.,Ltd.

Patentee after: Wuhan Argusec Technology Co.,Ltd.

Address before: 430071 No. 78 Hongshan Road, Wuchang District, Hubei, Wuhan

Patentee before: Wuhan Argusec Technology Co.,Ltd.

CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 1206-1, floor 11, building 6, No. 50 yard, Xisanhuan North Road, Haidian District, Beijing 100048

Co-patentee after: WUHAN ARGUSEC TECHNOLOGY Co.,Ltd.

Patentee after: BEIJING INFOSEC TECHNOLOGY Co.,Ltd.

Address before: 100089 Beijing city Haidian District Bei wa Lu Xi Li No. 21 block A No. 8246

Co-patentee before: WUHAN ARGUSEC TECHNOLOGY Co.,Ltd.

Patentee before: BEIJING INFOSEC TECHNOLOGIES Co.,Ltd.