CN104301288B - 在线身份认证、在线交易验证、在线验证保护的方法与系统 - Google Patents
在线身份认证、在线交易验证、在线验证保护的方法与系统 Download PDFInfo
- Publication number
- CN104301288B CN104301288B CN201310298130.3A CN201310298130A CN104301288B CN 104301288 B CN104301288 B CN 104301288B CN 201310298130 A CN201310298130 A CN 201310298130A CN 104301288 B CN104301288 B CN 104301288B
- Authority
- CN
- China
- Prior art keywords
- transaction
- count values
- card
- atc
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/341—Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
Abstract
本发明公开了在线身份认证、在线交易验证、在线验证保护的方法与系统,所述在线身份认证的方法包括:令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令;网络应用终端获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心;身份认证中心收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理;身份认证中心根据处理结果,向网络应用终端发送身份认证成功/失败的消息。本发明实现了在线的身份认证和交易验证,保证了在线交易的安全性。
Description
技术领域
本发明涉及互联网技术,特别涉及一种互联网的在线验证保护的方法及相关的系统。
背景技术
随着计算机技术和网络技术的发展,网上购物、证券委托、办公自动化系统、企业管理信息化得到迅速而普遍的应用,当今世界正快速迈向信息化时代,每一个人的、每一个企业的财富信誉都和信息安全紧密相关,因此信息安全也就显得无比重要。
为了保护信息安全,目前有身份认证、授权控制、日志审计、防火墙等安全技术。其中身份认证是授权控制、日志审计等技术的基础,如果用户的身份被非法假冒,那么用户权限也就被非法使用,审计日志也就失去意义。因此身份认证是重要的安全环节。
随着互联网越来越普及以及人们对网上交易接受程度的不断提高,现在越来越多的人开始习惯于网上购物,随之也带来了对如何在线上进行身份认证以及如何确保在线交易安全等问题的关注。如何确保在线交易的合法性以及安全性被摆在了重要的位置。
现有技术中,采用最广泛的是USBKey技术以及动态口令时间同步技术。USBKey技术借助于非对称密钥算法以及证书体系,在台式机和笔记本电脑上保证了线上身份认证和在线交易的安全性,但仍受限于设备,无法做到随时随地使用,缺乏使用的便捷性。动态口令时间同步技术,能够最有效地解决用户的身份认证问题,其动态口令的变动来源于产生口令的运算因子是变化的,一般都采用双运算因子:其一,用户身份的识别码,是固定不变的;其二,把时间作为变动因子。正是时间这个变动因子的不断变化,才产生了不断变动的动态口令。
USBKey的技术可以在电脑上实现身份认证和在线交易的保护,但是现在大家上网的方式不再局限于电脑,而有了更多的选择,其中就包括手机、平板电脑等多种设备。
另外,USBKey技术和动态口令时间同步技术对在线交易的保护只是做到了身份信息的确认,即认证当前的在线交易是由合法的用户提交的,而没有对交易本身的重要数据进行防篡改的保护,同时极易受到恶意的重放攻击。
发明内容
本发明的目的在于提供一种在线身份认证、在线交易验证、在线验证保护的方法与系统,能更好地解决线上身份认证和在线交易受限于设备的问题和交易数据的安全性问题。
根据本发明的一个方面,提供了一种在线身份认证的方法,包括以下步骤:
令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令;
网络应用终端获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心;
身份认证中心收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理;
身份认证中心根据处理结果,向网络应用终端发送身份认证成功/失败的消息。
优选地,所述令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令的步骤包括:
令牌设备通过近距离通信,将包含业务数据的身份认证口令请求发送至银行IC卡;
银行IC卡收到所述身份认证口令请求后,利用其卡片密钥,对其ATC计数值和所述业务数据进行加密处理,得到身份认证加密数据AC1;
银行IC卡将所述AC1与所述ATC计数值发送至令牌设备,并更新其ATC计数值;
令牌设备对收到的所述AC1和所述ATC计数值进行编码处理,得到所述第一一次性动态口令。
优选地,所述网络应用终端获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心的步骤包括:
网络应用终端获取所述第一一次性动态口令,并生成包含第一一次性动态口令和用户身份标识的身份认证请求,发送至验证服务网关;
验证服务网关对所述身份认证请求进行协议转换处理,并转发至身份认证中心。
优选地,所述利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理的步骤包括:
身份认证中心收到经由协议转换处理的身份认证请求后,对其中的第一一次性动态口令进行解码处理,得到AC1和ATC计数值;
比较所述ATC计数值与预存的ATC计数值;
若所述ATC计数值大于预存的ATC计数值,则利用预存的卡片密钥,对所述ATC计数值和预存的业务数据进行加密处理,得到身份认证加密数据AC1’;
比较所述AC1’与所述AC1;
若所述AC1’与所述AC1匹配,则所述身份认证成功,否则,所述身份认证失败;
在数据库中更新身份认证成功/失败的结果和ATC计数值。
根据本发明的另一方面,提供了一种在线交易验证的方法,包括以下步骤:
令牌设备利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令;
网络应用终端获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心;
交易验证中心收到所述交易验证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理;
交易验证中心根据处理结果,向网络应用终端发送交易验证成功/失败的消息。
优选地,所述令牌设备利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令的步骤包括:
令牌设备通过近距离通信,将包含交易数据的交易验证口令请求发送至银行IC卡;
银行IC卡收到所述交易验证口令请求后,利用其卡片密钥,对其ATC计数值和所述交易数据进行加密处理,得到交易验证加密数据AC2;
银行IC卡将所述AC2与所述ATC计数值发送至令牌设备,并更新其ATC计数值;
令牌设备对收到的所述AC2和所述ATC计数值进行编码处理,得到所述第二一次性动态口令。
优选地,所述网络应用终端获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心的步骤包括:
网络应用终端获取所述第二一次性动态口令,并生成包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求,发送至验证服务网关;
验证服务网关对所述交易验证请求进行协议转换处理,并转发至交易验证中心。
优选地,所述利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理的步骤包括:
交易验证中心收到经由协议转换处理的交易验证请求后,对其中的第二一次性动态口令进行解码处理,得到AC2和ATC计数值;
比较所述ATC计数值与预存的ATC计数值;
若所述ATC计数值大于预存的ATC计数值,则利用预存的卡片密钥,对所述ATC计数值、所述交易数据进行加密处理,得到交易验证加密数据AC2’;
比较所述AC2’与所述AC2;
若所述AC2’与所述AC2一致,则所述交易验证成功,否则,所述交易验证失败;
在数据库中更新交易验证成功/失败的结果和ATC计数值。
根据本发明的另一方面,提供了一种在线验证保护的方法,包括上述的在线身份认证和上述的在线交易验证。
根据本发明的另一方面,提供了一种在线身份认证的系统,包括:
令牌设备,用于利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令;
网络应用终端,用于获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心;
身份认证中心,用于收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理,根据处理结果,向网络应用终端发送身份认证成功/失败的消息。
优选地,还包括:
验证服务网关,用于对来自网络应用终端的身份认证请求进行协议转换处理,并发送至转发服务模块;
转发服务模块,用于将协议转换处理后的身份认证请求转发至身份认证中心。
根据本发明的另一方面,提供了一种在线交易验证的系统,包括:
令牌设备,用于利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令;
网络应用终端,用于获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心;
交易验证中心,用于收到所述交易验证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理,根据处理结果,向网络应用终端发送交易验证成功/失败的消息。
优选地,还包括:
验证服务网关,用于对来自令牌设备的交易验证请求进行协议转换处理,并发送至转发服务模块;
转发服务模块,用于将协议转换处理后的交易验证请求转发至交易验证中心。
根据本发明的另一方面,提供了一种在线验证保护的系统,包括上述的在线身份认证的系统和上述的在线交易验证的系统。
与现有技术相比较,本发明的有益效果在于:
1、本发明使在线交易不受设备的限制,实现随时随地使用设备进行在线交易,为用户带来了便捷;
2、本发明采用基于银行IC卡的安全机制,实现线上的身份认证和在线交易验证,对重要的交易数据进行防篡改的保护,能够有效在线交易中恶意的重放攻击。
附图说明
图1是本发明实施例提供的基于银行IC卡的在线验证保护的方法流程图;
图2是本发明实施例提供的基于银行IC卡的在线验证保护的系统框图;
图3是本发明实施例提供的在线身份认证流程图;
图4是本发明实施例提供的在线交易验证流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明通过采用令牌设备与银行IC卡相结合的方式,涉及互联网线上的身份认证和对在线交易进行保护的一整套技术方案以及相关的系统。
图1是本发明实施例提供的基于银行IC卡的在线验证保护的方法流程图,如图1所示,步骤包括:
步骤101、令牌设备利用银行IC卡的ATC计数值和卡片密钥,得到第一一次性动态口令,网络应用终端获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心。
具体地说,令牌设备通过近距离通信,将包含业务数据的身份认证口令请求发送至银行IC卡。银行IC卡收到所述身份认证口令请求后,利用其卡片密钥,对银行IC卡中ATC计数值和所述业务数据进行加密处理,得到身份认证加密数据AC1,并将所述AC1与所述ATC计数值发送至令牌设备,然后,更新ATC计数值。令牌设备对收到的所述AC1和所述ATC计数值进行编码处理,得到所述第一一次性动态口令。接着,用户将所述第一一次性动态口令输入至网络应用终端上的在线登陆页面,使网络应用终端获取所述第一一次性动态口令,网络应用终端生成包含第一一次性动态口令和用户身份标识的身份认证请求,并发送至验证服务网关,验证服务网关对所述身份认证请求进行协议转换处理后,转发至身份认证中心。
步骤102、身份认证中心收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理,根据处理结果,向网络应用终端发送身份认证成功/失败的消息。
具体地说,身份认证中心对收到的经由协议转换处理的所述身份认证请求进行解析,得到第一一次性动态口令和用户身份标识,并获取所述用户身份标识对应的预存的ATC计数值和卡片密钥。然后,身份认证中心对所述第一一次性动态口令进行解码处理,得到AC1和ATC计数值。比较所述ATC计数值与预存的ATC计数值,若所述ATC计数值大于预存的ATC计数值,说明所述ATC计数值合法,此时,利用所述预存的卡片密钥,对所述ATC计数值和预存的业务数据进行加密处理,得到身份认证加密数据AC1’。比较所述AC1’与所述AC1,若所述AC1’与所述AC1匹配,说明身份认证成功,否则,说明身份认证失败。身份认证中心向网络应用终端发送身份认证成功/失败的消息,然后,在数据库中更新身份认证成功/失败的结果和ATC计数值。
步骤103、令牌设备利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令,网络应用终端获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心。
具体地说,令牌设备通过近距离通信,将包含交易数据的交易验证口令请求发送至银行IC卡。银行IC卡解析收到的所述交易验证口令请求,得到交易数据,然后,利用其卡片密钥,对其ATC计数值和所述交易数据进行加密处理,得到交易验证加密数据AC2,并将所述AC2与所述ATC计数值发送至令牌设备,然后,更新其ATC计数值。令牌设备对收到的所述AC2和所述ATC计数值进行编码处理,得到所述第二一次性动态口令。接着,用户将所述第二一次性动态口令输入至网络应用终端上的在线交易页面,使网络应用终端获取所述第二一次性动态口令,网络应用终端生成包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求,发送至验证服务网关。验证服务网关对所述交易验证请求进行协议转换处理后,转发至交易验证中心。
步骤104、交易验证中心收到所述交易验证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理,根据处理结果,向网络应用终端发送交易验证成功/失败的消息。
具体地说,交易验证中心对收到的经由协议转换处理的所述交易验证请求进行解析,得到第二一次性动态口令、交易数据和用户身份标识,并获取所述用户身份标识对应的预存的ATC计数值和卡片密钥。交易验证中心对所述第二一次性动态口令进行解码处理,得到AC2和ATC计数值。比较所述ATC计数值与预存的ATC计数值,若所述ATC计数值大于预存的ATC计数值,则说明所述ATC计数值合法,此时,利用预存的卡片密钥,对所述ATC计数值、所述交易数据进行加密处理,得到交易验证加密数据AC2’。比较所述AC2’与所述AC2,若所述AC2’与所述AC2一致,则说明交易验证成功,否则,说明交易验证失败。交易验证中心向网络应用终端发送交易验证成功/失败的消息,然后,在数据库中更新交易验证成功/失败的结果和ATC计数值。
所述网络应用终端可以是能够连接网络的PC、平板电脑、手机等;所述令牌设备是安装有应用程序的移动终端,例如手机,其中,所述应用程序用于生成一次性动态口令。
进一步地,所述网络应用终端与所述令牌设备可以是同一设备,例如手机。
图2是本发明实施例提供的基于银行IC卡的在线验证保护的系统框图,如图2所示,包括:
令牌设备,用于利用银行IC卡的交易计数器ATC计数值和卡片密钥,得到第一一次性动态口令、第二一次性动态口令。
具体地说,可以在移动终端上安装用于生成一次性动态口令的应用程序,以手机为例,安装在手机上的所述应用程序(以下简称手机令牌),使用时不需要连接网络,银行IC卡和具有NFC功能的手机之间采用近场通讯技术,即近距离无限通讯技术,该短距离的高频无线通信技术允许手机和银行IC卡之间进行非接触点对点数据传输,也就是说,通过手机上的NFC功能和银行IC卡进行通讯,手机令牌最终生成用于线上身份认证所需的一次性动态密码和在线交易验证所需的一次性动态密码。
网络应用终端,用于获取所述第一一次性动态口令、第二一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心,将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心。
验证服务网关,用于对来自令牌设备的身份认证请求或交易验证请求进行协议转换处理,并发送至转发服务模块。具体地说,所述验证服务网关是身份认证请求和交易验证请求的入口,其将请求信息编码成验证服务所要求的格式。例如,身份认证请求和交易验证请求的协议类型在转换前均为https协议,经所述验证服务网关转换后为http协议。
转发服务模块,用于将协议转换处理后的身份认证请求转发至身份认证中心或将协议转换处理后的交易验证请求转发至交易验证中心。转发服务模块根据本次请求的不同类型(身份认证请求或交易验证请求)进行转发,交给相应的处理中心进行处理。
身份认证中心,用于收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理,根据处理结果,向网络应用终端发送身份认证成功/失败的消息。具体地说,所述身份认证中心对所述身份认证请求进行验证,所需的验证信息从第一一次性动态口令中解码获得,主要包括ATC计数值和AC1。其中,ATC计数值为卡片内部的交易计数器的值,该计数值只能增加不能减少,而AC1则是银行IC卡使用卡片密钥对ATC计数值等数据进行加密获得,所以AC1的验证需要连接加密机实现。
交易验证中心,用于收到所述交易验证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理,根据处理结果,向网络应用终端发送交易验证成功/失败的消息。具体地说,所述交易验证模块对在线交易进行验证。验证所需信息包括:交易数据和由第二一次性动态口令解码出来的ATC与AC2。对于在线交易来说,AC2是银行IC卡使用卡片密钥对ATC以及交易数据进行加密获得。AC2的验证同样也需要连接加密机实现。
后台业务数据库模块,用于存储身份认证成功/失败的结果、交易验证成功/失败的结果、更新的ATC计数值。此外,所述后台业务数据库模块还用于储存银行卡相关信息,包括卡号、当前状态、验证时间、验证模式。
以手机为例,基于银行IC卡的在线验证保护的系统工作流程如下:
步骤1、用户点击手机令牌上的身份认证动态口令生成按钮,此时,所述手机令牌利用手机的NFC功能,将包含业务数据的身份认证口令请求发送至银行IC卡。其中,所述业务数据包括授权金额(全0)、其他金额(全0)、终端国家代码(0156)、终端验证结果(全0)、交易货币代码(0156)、交易日期(全0)、不可预知数(全0)。
步骤2、银行IC卡利用其卡片密钥对其维护的ATC计数值和所述业务数据进行加密处理,得到身份认证加密数据AC1,并将所述ATC计数值和所述AC1发送至手机,更新ATC计数值。
步骤3、手机令牌对收到的所述ATC计数值和所述AC1进行编码处理,得到第一一次性动态口令。其中,所述编码处理步骤的步骤具体为,将所述ATC计数值和所述AC1组成的39比特的二进制数据位中的奇数位与其右侧的偶数位进行互换(第一个比特位不操作),然后转换为12个十进制数字,即第一一次性动态口令。
步骤4、用户将所述第一一次性动态口令输入至网络应用终端上的在线登陆页面,使网络应用终端获取所述第一一次性动态口令,网络应用终端生成包含所述第一一次性动态口令和用户身份标识的身份认证请求,并发送至验证服务网关。
步骤5、验证服务网关对所述https协议类型的身份认证请求进行协议转换处理,得到http协议类型的身份认证请求,并经由转发服务模块转发至身份认证中心。
在http协议中,转发服务模块通过请求名判断是身份认证请求还是交易验证请求,并根据判断结果,进行请求的转发。这两种请求的请求名分别为:IDAuthentication和OnlineTransaction。
步骤6、身份认证中心通过解析所述身份认证请求,得到第一一次性动态口令和用户身份标识,并利用所述用户身份标识找到与其对应的预存的银行IC卡的卡片密钥和ATC计数值。
步骤7、身份认证中心对所述第一一次性动态口令进行解码,得到ATC计数值和AC1。
具体地,将12个十进制数字转换成二进制,得到39个比特的二进制数据,将39个比特位中的奇数位与它右侧的偶数位进行互换(第一个比特位不操作),移位后的二进制数的组成格式具体如下图所示:
CID | ATC计数值 | AC1 | IAD |
其中,CID为00,IAD为0000000000AC78。
所述ATC是卡片的交易计数器,该ATC存储于卡片中,由卡片来维护。每次通过手机令牌生成动态口令时,ATC计数值加1。通过卡片确保ATC只能增加不能减少,即卡片只能支持ATC增加,不支持减少。
步骤8、身份认证中心验证所述ATC计数值。
具体地,身份认证中心将所述ATC计数值与预存的ATC计数值进行比较,如果所述ATC计数值大于预存的ATC计数值,则所述ATC计数值合法,否则,所述ATC计数值不合法。
步骤9、身份认证中心验证所述AC1。
具体地,身份认证中心在确认所述ATC计数值合法后,调用加密机,利用预存的卡片密钥,对所述ATC计数值和业务数据进行加密处理,得到身份认证加密数据AC1’,将AC1和AC1’进行比较,如果两者匹配,则说明身份认证成功,否则,说明身份认证失败。
其中,所述加密处理步骤具体为:先将所述业务数据用SHA-1算法计算出摘要,然后利用预存的卡片密钥将摘要和解码得到的ATC计数值通过调用加密机完成加密操作得到AC1’。
由于在身份认证阶段,所述业务数据的数值固定,身份认证中心使用其预存的所述业务数据即可,无需手机另行发送。
步骤10、身份认证中心生成身份认证成功/失败的消息,并发送至网络应用终端。
步骤11、用户在手机令牌的界面上输入交易金额和转账卡号,并点击手机令牌上的交易验证动态口令生成按钮,此时,所述手机令牌利用手机的NFC功能,将包含交易数据的交易验证口令请求发送至银行IC卡。其中,所述交易数据包括授权金额、其他金额、终端国家代码、终端验证结果、交易货币代码、交易日期、不可预知数。以用户进行网上转账为例,用户点击手机令牌,输入转账金额和转账卡号后8个数字,并点击手机令牌上的交易验证动态口令生成按钮,此时,手机令牌向银行IC卡发送包含交易数据的交易验证口令请求。其中所述交易数据包括:授权金额(转账金额)、其他金额(全0)、终端国家代码(0156)、终端验证结果(全0)、交易货币代码(0156)、交易日期(全0)、不可预知数(转账的卡号后8个数字)。
步骤12、银行IC卡利用其卡片密钥对其维护的ATC计数值和所述交易数据进行加密处理,得到交易验证加密数据AC2,并将所述ATC计数值和所述AC2发送至手机,更新ATC计数值。
其中,AC2由授权金额、其他金额、终端国家代码、终端验证结果、交易货币代码、交易日期、不可预知数、ATC计数值,通过银行IC卡生成。由于授权金额根据交易的不同而不同,所以这里未列出具体值。
步骤13、手机令牌对收到的所述ATC计数值和所述AC2进行编码处理,得到第二一次性动态口令。其中,所述编码处理步骤的步骤具体为,将所述ATC计数值和所述AC1组成的39比特的二进制数据位中的奇数位与其右侧的偶数位进行互换(第一个比特位不操作),然后转换为12个十进制数字,即第二一次性动态口令。
步骤14、用户将所述第二一次性动态口令输入至网络应用终端上的在线交易页面,使网络应用终端获取所述第二一次性动态口令,网络应用终端生成包含交易数据、所述第二一次性动态口令和用户身份标识的交易验证请求,并发送至验证服务网关。
步骤15、验证服务网关对所述https协议类型的交易验证请求进行协议转换处理,得到http协议类型的交易验证请求,并经由转发服务模块,转发至交易验证中心。
在http协议中,转发服务模块通过请求名判断是身份认证请求还是交易验证请求。这两种请求的请求名分别为:IDAuthentication和OnlineTransaction。
步骤16、交易验证中心通过解析所述交易验证请求,得到交易数据、第二一次性动态口令和用户身份标识,并利用所述用户身份标识找到与其对应的预存的银行IC卡的卡片密钥和ATC计数值。
步骤17、交易验证中心对所述第二一次性动态口令进行解码,得到ATC计数值和AC2。
具体地,将12个十进制数字转换成二进制,得到39个比特的二进制数据,将39个比特位中的奇数位与它右侧的偶数位进行互换(第一个比特位不操作),移位后的二进制数的组成格式具体如下图所示:
CID | ATC计数值 | AC2 | IAD |
其中,CID为00,IAD为0000000000AC78。
所述ATC是卡片的交易计数器,该ATC存储于卡片中,由卡片来维护。每次通过手机令牌生成动态口令时,ATC计数值加1。通过卡片确保ATC只能增加不能减少,即卡片只能支持ATC增加,不支持减少。
步骤18、交易验证中心验证所述ATC计数值。
具体地,交易验证中心将所述ATC计数值与预存的ATC计数值进行比较,如果所述ATC计数值大于预存的ATC计数值,则所述ATC计数值合法,否则,所述ATC计数值不合法。
步骤19、交易验证中心验证所述AC2。
具体地,交易验证中心在确认所述ATC计数值合法后,调用加密机,利用预存的卡片密钥,对所述ATC计数值和交易数据进行加密处理,得到交易验证加密数据AC2’,将AC2和AC2’进行比较,如果两者匹配,则说明交易验证成功,否则,说明交易验证失败。
其中,所述加密处理步骤具体为:先将所述交易数据用SHA-1算法计算出摘要,然后利用预存的卡片密钥将摘要和解码得到的ATC计数值通过调用加密机完成加密操作得到AC2’。
步骤20、交易验证中心生成交易验证成功/失败的消息,并发送至网络应用终端。
后台业务数据库用于储存银行IC卡相关信息,包括卡号、ATC计数值、当前状态,另外,还储存了验证时间、验证模式、验证结果。
图3是本发明实施例提供的在线身份认证流程图,如图3所示,包括:
步骤1、通过手机令牌和银行IC卡,生成第一一次性动态口令。
步骤2、将第一一次性动态口令输入到网络应用终端的在线登录页面中,通过登录服务器将包含第一一次性动态口令的身份认证请求发送到验证服务网关。
步骤3、验证服务网关对身份认证请求进行协议转换,转换成验证服务内部所使用的协议。
步骤4、服务转发模块根据请求的类型将该所述身份认证请求转发到身份验证中心。
步骤5、身份认证中心对所述第一一次性动态口令进行解码,获得ATC计数值和AC1。
首先验证ATC计数值的合法性,要求所述ATC计数值比上一次验证要大;验证通过之后,再调用加密机对AC1的合法性进行验证。
步骤6、验证完成后,及时记录当前的身份认证结果,更新ATC计数值,返回身份认证成功/失败的消息至网络应用终端。
可见,在线身份认证的系统包括令牌设备(例如手机)、网络应用终端(例如能够连接网络的PC、平板电脑、手机)、验证服务网关、转发服务模块和身份认证中心。令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令后,网络应用终端获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至验证服务网关,验证服务网关对来自网络应用终端的身份认证请求进行协议转换处理,并发送至转发服务模块,由转发服务模块将协议转换处理后的身份认证请求转发至身份认证中心。身份认证中心收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理,根据处理结果,向网络应用终端发送身份认证成功/失败的消息。
图4是本发明实施例提供的在线交易验证流程图,如图4所示,包括:
步骤1、在手机令牌上输入交易数据,然后和银行IC卡进行通讯,生成第二一次性动态口令。
步骤2、将交易数据、第二一次性动态口令输入到网络应用终端的在线交易页面中,通过在线交易服务器将包含交易数据和第二一次性动态口令的交易验证请求发送到验证服务网关。
步骤3、验证服务网关对在线交易请求进行协议转换,转换成验证服务内部所使用的协议。
步骤4、服务转发模块根据请求的类型,将所述交易验证请求转发到交易验证中心。
步骤5、交易验证中心对第二一次性动态口令进行解码,获得ATC计数值和AC2。
首先验证ATC计数值的合法性,要求所述ATC计数值比上一次验证要大;验证通过之后,再调用加密机对AC2的合法性进行验证。
步骤6、验证完成后,及时记录当前的交易验证结果,更新ATC计数值,返回交易验证成功/失败的消息至网络应用终端。
可见,在线交易验证的系统包括令牌设备(例如手机)、网络应用终端(例如能够连接网络的PC、平板电脑、手机)、验证服务网关、转发服务模块和交易验证中心。令牌设备利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令后,网络应用终端获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至验证服务网关,验证服务网关对来自令牌设备的交易验证请求进行协议转换处理,并发送至转发服务模块,由转发服务模块将协议转换处理后的交易验证请求转发至交易验证中心。交易验证中心收到所述交易验证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理,根据处理结果,向网络应用终端发送交易验证成功/失败的消息。
综上所述,本发明具有以下技术效果:
1、本发明采用安装在令牌设备上的应用程序,例如实施例中所述的手机令牌,通过令牌设备的近距离通信功能与银行IC卡通讯,从而生成一次性动态口令,能够有效摆脱对设备的依赖。例如,令牌设备和银行卡都是便于随身携带的,而且生成一次性动态口令的过程完全脱机联网需要,因此在各种移动设备上(如电脑、手机、平板电脑)要进行网银登录或者在线交易时,可以很方便的使用手机令牌生成一次性动态口令,然后再输入到各种移动设备的页面上即可,达到随时随地使用的效果。
2、本发明基于银行IC卡生成线上身份认证和在线交易验证所需的第一一次性动态口令和第二一次性动态口令,所述银行IC卡遵循中国银联的中国金融集成电路(IC)卡规范,并且做到一卡一密。因此,一方面,每一张银行IC卡对应生成的一次性动态口令都是通过该卡的卡片密钥加密得到,这就为在线的身份认证提供了验证的基础和安全性的保证。另一方面,在生成一次性动态口令时,需要银行IC卡内的交易计数器ATC参与运算,从而保证每次生成的一次性动态口令都不同,保证在线交易的安全性。
3、在进行在线交易时,考虑到在线交易过程中向后台服务器发送交易数据时有被篡改的风险,因此本发明在生成第二一次性动态口令时,需要关键的交易数据参与第二一次性动态口令的生成运算,从而保证在线交易过程中交易数据不会被篡改。
4、本发明增强了对重放攻击的防范,通过银行IC卡内部ATC只能递增的特点,在进行线上身份认证或者在线交易验证时,都要求本次的ATC计数值大于上次验证时的ATC计数值。这样,可以有效的防止身份认证请求或者交易验证请求被截获而进行重放攻击的危险。
尽管上文对本发明进行了详细说明,但是本发明不限于此,本技术领域技术人员可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为落入本发明的保护范围。
Claims (12)
1.一种在线身份认证的方法,其特征在于,包括以下步骤:
令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令;
网络应用终端获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心;
身份认证中心收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理;
身份认证中心根据处理结果,向网络应用终端发送身份认证成功/失败的消息;
其中,所述令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令的步骤包括:
令牌设备通过近距离通信,将包含业务数据的身份认证口令请求发送至银行IC卡;
银行IC卡收到所述身份认证口令请求后,利用其卡片密钥,对其ATC计数值和所述业务数据进行加密处理,得到身份认证加密数据AC1;
银行IC卡将所述AC1与所述ATC计数值发送至令牌设备,并更新其ATC计数值;
令牌设备对收到的所述AC1和所述ATC计数值进行编码处理,得到所述第一一次性动态口令。
2.根据权利要求1所述的方法,其特征在于,所述网络应用终端获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心的步骤包括:
网络应用终端获取所述第一一次性动态口令,并生成包含第一一次性动态口令和用户身份标识的身份认证请求,发送至验证服务网关;
验证服务网关对所述身份认证请求进行协议转换处理,并转发至身份认证中心。
3.根据权利要求1所述的方法,其特征在于,所述利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理的步骤包括:
身份认证中心收到经由协议转换处理的身份认证请求后,对其中的第一一次性动态口令进行解码处理,得到AC1和ATC计数值;
比较所述ATC计数值与预存的ATC计数值;
若所述ATC计数值大于预存的ATC计数值,则利用预存的卡片密钥,对所述ATC计数值和预存的业务数据进行加密处理,得到身份认证加密数据AC1’;
比较所述AC1’与所述AC1;
若所述AC1’与所述AC1匹配,则所述身份认证成功,否则,所述身份认证失败;
在数据库中更新身份认证成功/失败的结果和ATC计数值。
4.一种在线交易验证的方法,其特征在于,包括以下步骤:
令牌设备利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令;
网络应用终端获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心;
交易验证中心收到所述交易验证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理;
交易验证中心根据处理结果,向网络应用终端发送交易验证成功/失败的消息;
所述令牌设备利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令的步骤包括:
令牌设备通过近距离通信,将包含交易数据的交易验证口令请求发送至银行IC卡;
银行IC卡收到所述交易验证口令请求后,利用其卡片密钥,对其ATC计数值和所述交易数据进行加密处理,得到交易验证加密数据AC2;
银行IC卡将所述AC2与所述ATC计数值发送至令牌设备,并更新其ATC计数值;
令牌设备对收到的所述AC2和所述ATC计数值进行编码处理,得到所述第二一次性动态口令。
5.根据权利要求4所述的方法,其特征在于,所述网络应用终端获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心的步骤包括:
网络应用终端获取所述第二一次性动态口令,并生成包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求,发送至验证服务网关;
验证服务网关对所述交易验证请求进行协议转换处理,并转发至交易验证中心。
6.根据权利要求5所述的方法,其特征在于,所述利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理的步骤包括:
交易验证中心收到经由协议转换处理的交易验证请求后,对其中的第二一次性动态口令进行解码处理,得到AC2和ATC计数值;
比较所述ATC计数值与预存的ATC计数值;
若所述ATC计数值大于预存的ATC计数值,则利用预存的卡片密钥,对所述ATC计数值、所述交易数据进行加密处理,得到交易验证加密数据AC2’;
比较所述AC2’与所述AC2;
若所述AC2’与所述AC2一致,则所述交易验证成功,否则,所述交易验证失败;
在数据库中更新交易验证成功/失败的结果和ATC计数值。
7.一种在线验证保护的方法,其特征在于,包括如权利要求1-3任意一项所述的在线身份认证和如权利要求4-6任意一项所述的在线交易验证。
8.一种在线身份认证的系统,其特征在于,包括:
令牌设备,用于利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令;
网络应用终端,用于获取所述第一一次性动态口令,并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心;
身份认证中心,用于收到所述身份认证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述预存的ATC计数值和卡片密钥,对所述第一一次性动态口令进行处理,根据处理结果,向网络应用终端发送身份认证成功/失败的消息;
其中,所述令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据,得到第一一次性动态口令包括:
令牌设备通过近距离通信,将包含业务数据的身份认证口令请求发送至银行IC卡;
银行IC卡收到所述身份认证口令请求后,利用其卡片密钥,对其ATC计数值和所述业务数据进行加密处理,得到身份认证加密数据AC1;
银行IC卡将所述AC1与所述ATC计数值发送至令牌设备,并更新其ATC计数值;
令牌设备对收到的所述AC1和所述ATC计数值进行编码处理,得到所述第一一次性动态口令。
9.根据权利要求8所述的系统,其特征在于,还包括:
验证服务网关,用于对来自网络应用终端的身份认证请求进行协议转换处理,并发送至转发服务模块;
转发服务模块,用于将协议转换处理后的身份认证请求转发至身份认证中心。
10.一种在线交易验证的系统,其特征在于,包括:
令牌设备,用于利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令;
网络应用终端,用于获取所述第二一次性动态口令,并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心;
交易验证中心,用于收到所述交易验证请求后,利用其中的用户身份标识,获取预存的ATC计数值和卡片密钥,并利用所述交易数据、所述预存的ATC计数值和卡片密钥,对所述第二一次性动态口令进行处理,根据处理结果,向网络应用终端发送交易验证成功/失败的消息;
其中,所述令牌设备利用银行IC卡的ATC计数值和卡片密钥、交易数据,得到第二一次性动态口令包括:
令牌设备通过近距离通信,将包含交易数据的交易验证口令请求发送至银行IC卡;
银行IC卡收到所述交易验证口令请求后,利用其卡片密钥,对其ATC计数值和所述交易数据进行加密处理,得到交易验证加密数据AC2;
银行IC卡将所述AC2与所述ATC计数值发送至令牌设备,并更新其ATC计数值;
令牌设备对收到的所述AC2和所述ATC计数值进行编码处理,得到所述第二一次性动态口令。
11.根据权利要求10所述的系统,其特征在于,还包括
验证服务网关,用于对来自令牌设备的交易验证请求进行协议转换处理,并发送至转发服务模块;
转发服务模块,用于将协议转换处理后的交易验证请求转发至交易验证中心。
12.一种在线验证保护的系统,其特征在于,包括如权利要求8或9所述的在线身份认证的系统和如权利要求10或11所述的在线交易验证的系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310298130.3A CN104301288B (zh) | 2013-07-16 | 2013-07-16 | 在线身份认证、在线交易验证、在线验证保护的方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310298130.3A CN104301288B (zh) | 2013-07-16 | 2013-07-16 | 在线身份认证、在线交易验证、在线验证保护的方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104301288A CN104301288A (zh) | 2015-01-21 |
CN104301288B true CN104301288B (zh) | 2017-11-10 |
Family
ID=52320859
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310298130.3A Active CN104301288B (zh) | 2013-07-16 | 2013-07-16 | 在线身份认证、在线交易验证、在线验证保护的方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104301288B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104933565B (zh) * | 2015-06-05 | 2019-04-05 | 中国银行股份有限公司 | 一种ic卡交易方法及系统 |
CN105184558B (zh) * | 2015-08-18 | 2019-02-01 | 北京明华联盟科技有限公司 | 交易信息发送方法、装置以及移动终端 |
CN106803173A (zh) * | 2015-11-26 | 2017-06-06 | 深圳商联商用科技有限公司 | 一种基于一维码及二维码的付款方法及付款系统 |
CN107368737A (zh) * | 2016-05-13 | 2017-11-21 | 阿里巴巴集团控股有限公司 | 一种防止拷贝攻击的处理方法、服务器及客户端 |
CN110830425B (zh) * | 2018-08-13 | 2022-03-01 | 视联动力信息技术股份有限公司 | 一种业务对象的处理方法和系统 |
CN112950355B (zh) * | 2021-03-10 | 2024-03-01 | 北京国腾联信科技有限公司 | 交易数据处理方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101048794A (zh) * | 2004-08-18 | 2007-10-03 | 万事达卡国际股份有限公司 | 使用动态授权码授权交易的方法和系统 |
CN101770619A (zh) * | 2008-12-31 | 2010-07-07 | 中国银联股份有限公司 | 一种用于网上支付的多因子认证方法和认证系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10210512B2 (en) * | 2007-02-13 | 2019-02-19 | Mastercard International Incorporated | Transaction count synchronization in payment system |
JP4978662B2 (ja) * | 2009-06-24 | 2012-07-18 | トヨタ自動車株式会社 | 充電状態推定装置および充電状態推定方法 |
-
2013
- 2013-07-16 CN CN201310298130.3A patent/CN104301288B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101048794A (zh) * | 2004-08-18 | 2007-10-03 | 万事达卡国际股份有限公司 | 使用动态授权码授权交易的方法和系统 |
CN101770619A (zh) * | 2008-12-31 | 2010-07-07 | 中国银联股份有限公司 | 一种用于网上支付的多因子认证方法和认证系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104301288A (zh) | 2015-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2710897C2 (ru) | Способы безопасного генерирования криптограмм | |
CN107077670B (zh) | 传输和处理交易消息的方法和装置、计算机可读存储介质 | |
CN101527633B (zh) | 智能密钥设备获取数字证书的方法 | |
CN104301288B (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与系统 | |
CN110337797A (zh) | 用于执行双因素认证的方法 | |
CN105933119B (zh) | 一种认证方法及设备 | |
CN101221641B (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
CN101842795B (zh) | 用于进行具有动态安全性的交互的系统、方法和设备 | |
CN1831865B (zh) | 一种基于cpk的电子银行安全认证系统和方法 | |
CN107210914A (zh) | 用于安全凭证供应的方法 | |
CN102694781B (zh) | 基于互联网的安全性信息交互系统及方法 | |
JP2014059855A (ja) | 決済方法、これを実行する決済サーバ、これを実行するためのプログラム及びこれを実行するシステム | |
CN101897165A (zh) | 数据处理系统中验证用户的方法 | |
CN101770619A (zh) | 一种用于网上支付的多因子认证方法和认证系统 | |
CN101848090A (zh) | 认证装置及利用其进行网上身份认证与交易的系统与方法 | |
CN101216923A (zh) | 提高网上银行交易数据安全性的系统及方法 | |
TWI591553B (zh) | Systems and methods for mobile devices to trade financial documents | |
CN102238193A (zh) | 数据认证方法及使用该方法的系统 | |
CN103971241A (zh) | 一种双通道支付的方法和系统 | |
CN102945526A (zh) | 一种提高移动设备在线支付安全的装置及方法 | |
TWI696133B (zh) | 身份驗證方法、用戶端、伺服器端及系統 | |
CN102073803A (zh) | 一种增强usbkey安全的装置、方法及系统 | |
CN104077690A (zh) | 一次性密码生成的方法、装置及认证方法、认证系统 | |
KR101202245B1 (ko) | 이체정보로 생성되는 otp를 활용한 계좌이체시스템 및 방법 | |
CN103366278A (zh) | 处理操作请求的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |