CN104573547A - 一种信息交互的安全防范体系及其操作实现方法 - Google Patents

一种信息交互的安全防范体系及其操作实现方法 Download PDF

Info

Publication number
CN104573547A
CN104573547A CN201410561100.1A CN201410561100A CN104573547A CN 104573547 A CN104573547 A CN 104573547A CN 201410561100 A CN201410561100 A CN 201410561100A CN 104573547 A CN104573547 A CN 104573547A
Authority
CN
China
Prior art keywords
space
time code
code
time
end component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410561100.1A
Other languages
English (en)
Other versions
CN104573547B (zh
Inventor
汪德嘉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JIANGSU PAYEGIS INFORMATION TECHNOLOGY Co Ltd
Original Assignee
JIANGSU PAYEGIS INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by JIANGSU PAYEGIS INFORMATION TECHNOLOGY Co Ltd filed Critical JIANGSU PAYEGIS INFORMATION TECHNOLOGY Co Ltd
Priority to CN201410561100.1A priority Critical patent/CN104573547B/zh
Publication of CN104573547A publication Critical patent/CN104573547A/zh
Application granted granted Critical
Publication of CN104573547B publication Critical patent/CN104573547B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明揭示了信息交互的安全防范体系及其操作实现方法,该方案涉及包含显示组件、扫描组件和后台组件三部分的时空码系统且该系统产生并交互对应每台上网设备跨浏览器、跨应用的时空码,其中后台组件为整合包括设备指纹、逻辑加密、动态解析、P2P校验、行为因子、空间因子、时间因子的多因子运算并提供安全策略、规则定义的后台安全服务器并与对应的业务系统相整合;而显示组件与后台组件之间通过基于IBE加密体制和账号证书、设备证书的双证书加密体制的管保护通道通信相连;后台组件与安全云平台通信相连并交互动态算法。应用本发明安全防范体系及方案,有效保护了近程及远程的凭证信息的安全,从全流程保护为开放平台打造隐形的账号体系。

Description

一种信息交互的安全防范体系及其操作实现方法
技术领域
本发明涉及一种信息交互的安全防范技术,尤其涉及一种基于多安全因子的信息交互动态安全防范体系及其操作实现方法,是一种开放平台下的隐形账号体系的技术解决方案。
背景技术
二维码,又称二维条码,它是用特定的几何图形按一定规律在平面(二维方向)上分布的黑白相间的图形,是所有信息数据的一把钥匙。二维码是一种比一维码更高级的条码格式,在水平方向和垂直方向都可以存储信息,一维码只能由数字和字母组成,二维码在此基础上得到升级,可以存储汉字、数字和图片等信息,因此在现代商业活动中,二维码应用范围十分广泛,如:产品防伪/溯源、广告推送、网站链接、数据下载、商品交易、定位/导航、电子凭证、车辆管理、信息传递、名片交流等。
安管云开放平台检测数据,2013年第三方电子市场仍然为恶意软件最主要的传播途径,占比高达40.0%。二维码的兴起同样引起黑客关注,2013年恶意软件传播渠道中二维码占比7%,存在巨大安全风险。二维码应用方式存在主读模式和被读模式,前者通过扫描工具读取二维码内容,具体应用于流量入口场景;后者是生成二维码供其他终端扫描,具体应用于二维码名片、订单等场景。由于二维码主要面向机器识别,因此篡改、伪造内容很难被发现,主读和被读两种模式均存在安全隐患。
首先,主读模式下二维码易于生成,通过人工无法识别,黑客将含有木马的链接转换成二维码形式,并带有描述(抽奖、返现等)诱惑用户扫描二维码,一旦扫描访问链接自动下载并安装木马。
再者,被读模式下生成二维码往往带有特定信息,例如身份、订单等。以二维码身份凭证为例,黑客可以通过偷拍、截屏等方式复制,盗用身份信息窃取账户资金,同时带来隐私泄露的。时空码技皮
现有二维码安全机制主要采用两种模式:(1)封闭系统,采用专用扫描器和专用编码方式;(2)主读模式下扫描云端实时检查,恶意链接预警避免用户无意点击。这两种方案仍然存在安全隐患:首先,封闭并不意味着安全,黑客破解专用编码方式后可随意伪造、篡改二维码内容;此外,每个封闭系统使用专用扫描器,无法互相兼容。扫描一个二维码可能需要更换多个扫描器,直接影响用户体验。云端校验能够预警已有危险链接,但对于新出现的恶意链接需要一段时间识别(例如用户举报恶意链接),在此期间仍然可能产生危害。
发明内容
本发明针对上述现有二维码应用安全上的诸多弊端,提出了一种信息交互的安全防范体系及其操作实现方法,解决交互信息隐形化、安全性提升的问题。
本发明的上述第一个目的,其技术解决方案为:信息交互的安全防范体系,涉及包含显示组件、扫描组件和后台组件三部分的时空码系统。技术特征体现为:时空码系统产生并交互对应每台上网设备跨浏览器、跨应用的时空码,其中显示组件包括支持现有智能手机系统并显现二维码、条形码、数字码的移动端SDK,基于Javascript、Flash与Web应用无缝整合的浏览器SDK,以及支持当前主流操作系统的应用场景终端SDK;扫描组件为兼容时空码和普通二维码且后台支持恶意二维码校验与识别的移动端SDK;后台组件为整合包括设备指纹、逻辑加密、动态解析、P2P校验、行为因子、空间因子、时间因子的多因子运算并提供安全策略、规则定义的后台安全服务器并与对应的业务系统相整合。
所述显示组件与后台组件之间通过基于IBE加密体制和账号证书、设备证书的双证书加密体制的管保护通道通信相连,生成对应指定设备、指定账号、指定时间范围内的时空码并显现于显示组件。
所述扫描组件面向显示组件的时空码图像采集并与后台组件通信相连。
所述后台组件与安全云平台通信相连并交互动态算法,安全云平台基于海量交易数据架构设有反欺诈的分析建模和判定规则。
进一步地,所述应用场景终端SDK包括至少对应移动支付、门禁、自动售货机和交通刷卡通道的功能型SKD。
进一步地,后台组件中设有实时监控各应用场景中应用分发渠道、真伪应用鉴别、伪应用预警及限制逆向工程破坏安全架构的应用盾。
本发明的上述第二个目的,其技术解决方案为:信息交互安全防范的操作实现方法,包括时空码产生机制、认证关联机制和时空码验证机制三部分,简述如下。
时空码产生机制,基于显示组件与用户账号的对应关系和显示组件所具备唯一识别的设备证书,由后台组件将基于设备证书、时段有效性、地域有效性的动态算法同步传输至显示组件,显示组件将待交互信息提交后台组件保存并加密转换成特定令牌,而后将特定令牌返回至显示组件并根据动态算法生成时空码。
认证关联机制,扫描组件通过扫描获取时空码,并且直接在扫描组件的后台对时空码执行有效性验证,包括时空码伪造、篡改的判断和时空码显示与扫描是否属于同一应用场景。
时空码验证机制,扫描组件在时空码有效性验证成功后提交后台组件,后台组件执行解密操作,并基于已保存的待交互信息进行匹配验证,通过验证后将待交互信息返回业务系统。
进一步地,在后台组件中设有提供端保护的应用盾,所述应用盾实时监控各应用场景中应用分发渠道,对至少包括二次打包应用、假冒应用、钓鱼应用的非法应用及时鉴别,并发出预警通知业务系统及时下架非法应用,并且所述应用盾对各应用执行基于设备证书的动态校验。
进一步地,在显示组件和后台组件之间设置基于IBE加密体制和账号证书、设备证书的双证书加密体制的管保护通道,其中IBE加密体制采用动态加密算法,并且在安全云平台和后台组件之间通过算法分发、算法集中两步骤实现动态加密算法的同步;双证书加密体制为基于设备证书的加密通信方式,利用设备指纹DID作为IBE算法的标识,并结合时间、系统公共参数生成对应显示组件的设备证书DCA,与待交互信息对应的账号证书CA一并参与加、解密运算。
更进一步地,所述管保护通道通过动态签名的方法进行不定时的DID校验,确保设备证书的安全性。
进一步地,时空码验证机制中提交至后台组件的时空码上传至安全云平台进行恶意二维码识别和反欺诈识别、警示;而安全云平台具有规则模块和模型模块两部分,规则模块负责定义各具体应用场景下业务的过滤规则,经过规则的请求记录、综合各个维度的分数,形成最终的欺诈评分,并实时标记所上传的时空码的请求拒绝或通过;模型模块应用数据挖掘分类算法,用已有的数据记录训练得出分类器,并利用该分类器对实时的请求进行评判,而将通过评价体系验证的分类器存入分类器历史数据库中,供随时调用。
应用本发明安全防范体系的技术方案,其较之于现有技术具有显著的进步性:通过时空码系统融合多安全因子、动态算法、P2P校验等技术所形成的时空码,有效保护了近程信息的安全,防偷拍、防截屏,同时保护远程凭证安全,防病毒、防木马。时空码为每台上网设备生成跨浏览器、跨应用的唯一智能设备号,提供二维码安全的整体解决方案,从端、管、云的全流程保护,为开放平台打造隐形的账号体系。
附图说明
图1为本发明安全防范体系的组件架构及信息流转示意图。
图2为本发明基于设备证书的IBE加解密通讯示意图。
图3为本发明与后台组件相关联的安全云平台进行反欺诈分析建模和判定规则的图形化示意图。
图4为本发明应用于收银移动支付场景的较佳实施例的流程示意图。
图5为图4所述实施例的网络架构示意图。
具体实施方式
本发明针对现有二维码安全机制多方面的不足,为保障日益推广、多元应用的二维码技术的安全性能,创新提出了一种信息交互的安全防范体系及其操作实现方法。该方案融合多安全因子、动态算法、P2P校验等技术生成一种安全动态多维码,支持二维码、条形码和数字码等多种显示方式,这里可以概述定义为“时空码”,而本发明技术方案便是围绕该时空码的产生、关联、验证实现所依赖的组件系统和实现过程所展开的。
概括来看,该信息交互的安全防范体系,如图1所示涉及包含显示组件、扫描组件和后台组件三部分的时空码系统。技术特征体现为:时空码系统产生并交互对应每台上网设备跨浏览器、跨应用的时空码,其中显示组件包括支持现有智能手机系统并显现二维码、条形码、数字码的移动端SDK,基于Javascript、Flash与Web应用无缝整合的浏览器SDK(例如各类型PC电脑、平板电脑的Web浏览器),以及支持当前主流操作系统的应用场景终端SDK,例如移动支付收银机、门禁、自动售货机、交通刷卡通道、智能家居设备等的软件开发工具包,系统软件);扫描组件为兼容时空码和普通二维码且后台支持恶意二维码校验与识别的移动端SDK(常见于智能手机的扫描单元);后台组件为整合包括设备指纹、逻辑加密、动态解析、P2P校验、行为因子、空间因子、时间因子的多因子运算并提供安全策略、规则定义的后台安全服务器并与对应的业务系统相整合。后台组件作为该时空码系统的重要组成部分,对时空码的交互过程进行端、管、云的全流程保护,以此实现真正意义上多维码的安全防范。
从端保护来看,后台组件中设有应用盾。多个角度入手解决移动金融面临的账号、操作以及数据的安全威胁。针对安全威胁源头,应用盾提供金融类移动应用全方位安全评估,消除代码安全隐患,提升应用安全水平;基于安全评估结果,应用盾支持金融级定制化安全加固方案,防止逆向工程,保护应用逻辑和版权;应用盾实时监控全网应用分发渠道,及时发现二次打包应用、假冒应用、钓鱼应用等非法应用,预警通知金融机构,确保及时下架非法应用;在被动防护的基础上,应用盾提供基于设备证书的动态校验,保障应用的文件完整性,防篡改防木马。在移动应用端,尤其是安卓平台,应用端有效提升时空码组件的安全等级,防止黑客通过逆向工程刺探安全架构、代码逻辑以及实现细节,防止黑客动态调试、注入、二次打包时空码组件。
从管保护的角度来看,上述显示组件与后台组件之间通过基于IBE加密体制和账号证书、设备证书的双证书加密体制的管保护通道通信相连,生成对应指定设备、指定账号、指定时间范围内的时空码并显现于显示组件,其中基于设备证书的IBE加、解密实现方法详述于后。而上述扫描组件面向显示组件的时空码图像采集(拍摄、扫描)并与后台组件通信相连传输加密数据。
基于设备证书的通信过程是加密的,使用IBE加密体制,具体原理在此不做详述,可参见BF-IBE的相关资料。值得指出的是IBE方案的安全性是基于双曲线Diffie-Hellman问题,其密钥强度相当于1024位的RSA算法,安全性很高。
分布式主密钥生成算法:IBE中的PKG可以像CA一样为多个用户服务,对不同的用户,PKG分配的密钥是与身份对应的,也就是说,PKG知道所有用户的私钥,所有PKG必须像CA保护自己的密钥一样保护自己的主密钥。为了更好的保护这个主密钥,借助门限密码学中的秘密共享方法将主密钥分享与N个对等的PKG中,任何低于t(1<t<=n)个的PKG合作得不到主密钥。N个对等的PKG各自保存自己的子密钥,任何t个以上的PKG合作可以得到主密钥。
在加密明文时,客户端在从IBE服务端获取标识DID(DeviceID)对应的公钥后随机生成256位的原始密钥,并用IBE算法加密。之后将明文进行3DES加密,并使用HMAC算法运算加密数据的哈希运算认证码置于加密数据后。将加密了的会话密钥、加密数据和哈希运算消息认证码进行base64编码输出密文。
为了提升时空码的安全性,我们需要实现动态可变的加密算法。以下为例:有银行要求时空码服务器部署在内网,无法实现与通付盾安全云的同步,如何将算法及时同步到所有时空码服务器成为前提。时空码动态算法的同步需要依赖时空码SDK,SDK既能够与通付盾安全云通讯,又能访问银行内网的时空码服务器,是唯一的自动同步渠道。算法更新同步的主要流程包括:
算法分发:安全云将加密算法二进制文件分割成若干小块(例如16块),按照一定规则选择时空码SDK,将分块(block)交给SDK。
算法集中:SDK在访问时空码服务器时,上传分块,由时空码服务器拼装成完整的二进制文件,并负责校验算法有效性。
再来看设备证书,利用设备指纹DID作为IBE算法的标识,在发布通付盾设备证书时将DID、时间、系统公共参数一起生成公钥Public Key,作为每个设备特有的通付盾移动设备证书DCA(DeviceCA)的公钥,可以保障账号在指定设备登录,保护账号安全,实施设备管理。这里设备证书的颁发过程只是IBE系统初始化过程和DID的固化过程,充分结合IBE的思想,使得加密强度大幅提升,如图2所示。账号绑定设备证书或账号证书绑定设备证书后,移动设备变身安全UKey,为时空码、时空令等功能提供使用场景,可以实现跨设备支付、登录等功能。管保护通道通过动态签名的方法进行不定时的DID校验,确保设备证书的安全性。
随着Internet带宽增加和多种DDoS黑客工具的不断发布,黑客攻击、钓鱼网站、PC外挂和木马、手机木马、移动伪基站等攻击手法层出不穷,造成客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。云安全趋势逐渐明显,时空码的云端保护也成为不可或缺的一部分,主要包含两部分:恶意二维码识别和反欺诈。
上述后台组件与安全云平台通信相连并交互动态算法,如图3所示,安全云平台基于海量交易数据架构设有反欺诈的分析建模和判定规则,为时空码的信息交互提供云层面的保护。时空码兼容普通二维码,扫描结果自动送往云平台校验,一旦发现恶意二维码链接直接提示用户。恶意二维码判定由后台根据判定规则和模型动态确定,具有识别新型恶意链接、识别率高、无需人工干预等特点。
(1)规则定义:规则模块负责定义过滤规则,这些规则针对具体的业务,每个业务可以有多条规则。规则可以定义黑名单,白名单列表,自定义维度规则,维度指的是具体业务字段中的某个或某几个字段的组合,或者某个字段的延伸,比如IP、MAC地址、或账户的访问频率等。经过规则的请求记录,综合各个维度的分数,形成最终的欺诈评分,并标记该条请求拒绝或者通过。
(2)模型定义:模型模块主要应用数据挖掘分类算法,用已有的数据记录训练出分类器,利用该分类器对实时的请求进行评判,然后将评判结果实时返回调用方。经过预处理的数据构建一个训练数据集,作为参数传递给分类算法,进行模型分类器的构建与训练,最终训练出一个分类器。然后对训练出的分类器进行评价,只有通过评价体系验证的分类器才被存入分类器历史数据库中,供业务随时调用。
时空码通常用于关键场景,黑客将直接尝试破解时空码安全机制,存在潜在的欺诈行为。时空码在云端对数据信息加以保护,动态加密,欺诈风险及时拦截,实时预警响应。通过对后台海量交易数据的分析建模,实时检测欺诈交易,分析欺诈趋势、欺诈分布等。
再来看本发明信息交互安全防范是如图实现的,其时空码操作流程主要包括:时空码产生机制、认证关联机制和时空码验证机制三部分,具体描述如下。
时空码产生机制,设备与账号具有相对固定的对应关系,由后台组件将时空码生成算法同步至显示组件(应用终端),其中算法基于设备证书、时段有效性、地域有效性的动态变化,并且无法反向映射到账号等隐私信息。时空码包含多种安全因子,例如映射到当前设备证书、账号等身份标识信息和有效时间范围信息;时空码显示端将关键信息(例如用户账号)提交后台转换成Token,并返回显示端并根据多个安全因子由动态的生成算法产生时空码数字串,或进一步转换成图形化形式,即二维码或条形码。
认证关联机制,扫描组件通过扫描获取时空码,并且直接在扫描组件的后台对时空码执行有效性验证,包括时空码伪造、篡改的判断和时空码显示与扫描是否属于同一应用场景;一旦有效性验证失败,直接。
时空码验证机制,扫描组件在时空码有效性验证成功后提交后台组件,后台组件首先执行解密操作,并基于已保存的待交互信息进行匹配验证,通过验证后将待交互信息返回业务系统,而已使用的时空码自动失效。
综合上述机制,验证在指定设备、指定账号、指定时间范围内生成特定时空码,有效改善图像支付凭证的防伪造、防篡改、不可抵赖等安全特性。
作为替换传统静态二维码的安全组件,时空码可以应用于多种场景,例如移动支付、门禁、自动售货机等。以移动支付为例,商户发起付款,用户在手机端生成时空码,商户使用收银台扫码时空码完成付款,交易流程如图4所示。
(1)收银台输入金额,发起收款;
(2)手机客户端调用动码付SDK,提交关键信息(账号信息);
(3)时空码后台保存关键信息,返回Token;
(4)手机客户端调用加密算法,生成并显示时空码;
(5)收银台扫码时空码;
(6)收银台生成支付信息,其中付款方为时空码信息;
(7)收银台向手机银行后台提交支付信息;
(8)手机银行后台提交支付数据中的时空码信息;
(9)时空码后台返回账号信息;
(10)手机银行后台还原支付信息,并执行支付交易;
(11)手机银行后台通知收银终端支付结果,收银终端执行后续流程(例如打印小票等)。
根据上述流程,时空码SDK以及收银台通过3G或WIFI访问手机银行后台接口,时空码后台和手机银行后台位于系统内网(受保护),部署关系如图5所示,其中手机银行前置、O2O业务前置和动码付前置均处于DMZ区,应用层业务位于核心业务内网,安全性更高。
时空码收银台是国内首个通过银行卡检测中心认证的二维码POS,作为时空码SDK的收单工具,支持商户发起(被读)、用户发起(主读)两种支付模式。在商户发起的模式下,时空码收银台扫码手机上的时空码账号凭证,实现安全、便捷的移动支付体验;在用户发起的模式下,时空码收银台生成时空码订单,用户扫码后完成付款。
除移动支付的应用场景外,本发明安全防范体系还可以应用于以下多个实施场景。
时空码登录,时空码SDK组件支持网页端、可穿戴设备端、Android端等多种场景。整合步骤包括在显示端整合时空码SDK,提供时空码后台与业务系统后台接口,由显示端生成时空码后,采用时空码应用完成账号和设备的关联,只需要轻轻一扫即可完成登录。
针对通用型应用系统,例如CMS、论坛和网店系统等,时空码均提供“一键整合”安装包实现无缝集成。
时空码ATM机,传统“无卡取现”操作使用短信或二维码渠道交互,前者要求用户在ATM输入短信码,用户体验差,后者存在安全问题。手机银行嵌入时空码SDK,ATM界面显示无卡取现的时空码,用户扫码后提交手机账号绑定的银行卡号,输入取款密码即可完成无卡取现。时空码加入ATM机无卡取现流程兼顾安全和效率两方面,同时提高手机银行激活率,打通手机和ATM双屏互动。
时空码自动售货机,传统自动售货机支持现金或银行卡付款方式,二维码自动售货机存在安全隐患。时空码自动售货机支持主读和被堵两种模式,支持扫码商品码购买单个商品,也支持扫码订单码批量购物,同时加入兑换码、优惠码等多种营销渠道,有效提升自动售货机的应用场景,实现线上、线下联动,提升服务效率。
以上是本发明技术方案和部分实例的详细展示,但其应用场景远不限于此,还可用于流量入口、二维码名片等各种生活场景下,逐渐融入民众的身份证、钥匙、门禁、交通刷卡、智能汽车、智能家居、随身钱包的社会生活中。
综上本发明的安全防范技术,通过时空码系统融合多安全因子、动态算法、P2P校验等技术所形成的时空码,有效保护了近程信息的安全,防偷拍、防截屏,同时保护远程凭证安全,防病毒、防木马。时空码为每台上网设备生成跨浏览器、跨应用的唯一智能设备号,提供二维码安全的整体解决方案,从端、管、云的全流程保护,为开放平台打造隐形的账号体系。

Claims (8)

1. 一种信息交互的安全防范体系,涉及包含显示组件、扫描组件和后台组件三部分的时空码系统,其特征在于:所述时空码系统产生并交互对应每台上网设备跨浏览器、跨应用的时空码,其中显示组件包括支持现有智能手机系统并显现二维码、条形码、数字码的移动端SDK,基于Javascript、Flash与Web应用无缝整合的浏览器SDK,以及支持当前主流操作系统的应用场景终端SDK;扫描组件为兼容时空码和普通二维码且后台支持恶意二维码校验与识别的移动端SDK;后台组件为整合包括设备指纹、逻辑加密、动态解析、P2P校验、行为因子、空间因子、时间因子的多因子运算并提供安全策略、规则定义的后台安全服务器并与对应的业务系统相整合;
所述显示组件与后台组件之间通过基于IBE加密体制和账号证书、设备证书的双证书加密体制的管保护通道通信相连,生成对应指定设备、指定账号、指定时间范围内的时空码并显现于显示组件;
所述扫描组件面向显示组件的时空码图像采集并与后台组件通信相连;
所述后台组件与安全云平台通信相连并交互动态算法,安全云平台基于海量交易数据架构设有反欺诈的分析建模和判定规则。
2. 根据权利要求1所述信息交互的安全防范体系,其特征在于:所述应用场景终端SDK包括至少对应移动支付、门禁、自动售货机和交通刷卡通道的功能型SKD。
3. 根据权利要求1所述信息交互的安全防范体系,其特征在于:后台组件中设有实时监控各应用场景中应用分发渠道、真伪应用鉴别、伪应用预警及限制逆向工程破坏安全架构的应用盾。
4. 一种信息交互安全防范的操作实现方法,其特征在于包括时空码产生机制、认证关联机制和时空码验证机制三部分:
时空码产生机制,基于显示组件与用户账号的对应关系和显示组件所具备唯一识别的设备证书,由后台组件将基于设备证书、时段有效性、地域有效性的动态算法同步传输至显示组件,显示组件将待交互信息提交后台组件保存并加密转换成特定令牌,而后将特定令牌返回至显示组件并根据动态算法生成时空码;
认证关联机制,扫描组件通过扫描获取时空码,并且直接在扫描组件的后台对时空码执行有效性验证,包括时空码伪造、篡改的判断和时空码显示与扫描是否属于同一应用场景;
时空码验证机制,扫描组件在时空码有效性验证成功后提交后台组件,后台组件执行解密操作,并基于已保存的待交互信息进行匹配验证,通过验证后将待交互信息返回业务系统。
5. 根据权利要求4所述信息交互安全防范的操作实现方法,其特征在于:在后台组件中设有提供端保护的应用盾,所述应用盾实时监控各应用场景中应用分发渠道,对至少包括二次打包应用、假冒应用、钓鱼应用的非法应用及时鉴别,并发出预警通知业务系统及时下架非法应用,并且所述应用盾对各应用执行基于设备证书的动态校验。
6. 根据权利要求4所述信息交互安全防范的操作实现方法,其特征在于:在显示组件和后台组件之间设置基于IBE加密体制和账号证书、设备证书的双证书加密体制的管保护通道,其中IBE加密体制采用动态加密算法,并且在安全云平台和后台组件之间通过算法分发、算法集中两步骤实现动态加密算法的同步;双证书加密体制为基于设备证书的加密通信方式,利用设备指纹DID作为IBE算法的标识,并结合时间、系统公共参数生成对应显示组件的设备证书DCA,与待交互信息对应的账号证书CA一并参与加、解密运算。
7. 根据权利要求6所述信息交互安全防范的操作实现方法,其特征在于:所述管保护通道通过动态签名的方法进行不定时的DID校验,确保设备证书的安全性。
8. 根据权利要求4所述信息交互安全防范的操作实现方法,其特征在于:时空码验证机制中提交至后台组件的时空码上传至安全云平台进行恶意二维码识别和反欺诈识别、警示;而安全云平台具有规则模块和模型模块两部分,规则模块负责定义各具体应用场景下业务的过滤规则,经过规则的请求记录、综合各个维度的分数,形成最终的欺诈评分,并实时标记所上传的时空码的请求拒绝或通过;模型模块应用数据挖掘分类算法,用已有的数据记录训练得出分类器,并利用该分类器对实时的请求进行评判,而将通过评价体系验证的分类器存入分类器历史数据库中,供随时调用。
CN201410561100.1A 2014-10-21 2014-10-21 一种信息交互的安全防范系统及其操作实现方法 Active CN104573547B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410561100.1A CN104573547B (zh) 2014-10-21 2014-10-21 一种信息交互的安全防范系统及其操作实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410561100.1A CN104573547B (zh) 2014-10-21 2014-10-21 一种信息交互的安全防范系统及其操作实现方法

Publications (2)

Publication Number Publication Date
CN104573547A true CN104573547A (zh) 2015-04-29
CN104573547B CN104573547B (zh) 2018-06-19

Family

ID=53089580

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410561100.1A Active CN104573547B (zh) 2014-10-21 2014-10-21 一种信息交互的安全防范系统及其操作实现方法

Country Status (1)

Country Link
CN (1) CN104573547B (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107124269A (zh) * 2017-04-05 2017-09-01 飞天诚信科技股份有限公司 一种保护主密钥的工具及其工作方法
CN107302527A (zh) * 2017-06-09 2017-10-27 北京奇安信科技有限公司 一种设备异常检测方法及装置
CN107451813A (zh) * 2016-06-01 2017-12-08 华为终端(东莞)有限公司 支付方法、支付设备和支付服务器
CN107705124A (zh) * 2017-09-14 2018-02-16 华中科技大学 基于威胁图的移动支付环境安全检测评估系统及其方法
CN107819639A (zh) * 2016-09-14 2018-03-20 西门子公司 一种测试方法和装置
CN108363663A (zh) * 2018-02-02 2018-08-03 浙江德景电子科技有限公司 一种智能pos终端送检银行卡检测中心认证的应用
CN110198478A (zh) * 2019-05-10 2019-09-03 广州视源电子科技股份有限公司 交互录播方法、系统、客户端、装置、设备及存储介质
WO2020006902A1 (zh) * 2018-07-02 2020-01-09 平安科技(深圳)有限公司 批量支付方法、装置、计算机设备和存储介质
CN111061502A (zh) * 2019-12-19 2020-04-24 贵阳货车帮科技有限公司 一种安装包获取方法、装置、设备和存储介质
CN111541816A (zh) * 2020-04-21 2020-08-14 江西理工大学 一种非接触式交互装置及方法
CN112488456A (zh) * 2020-11-12 2021-03-12 南方电网科学研究院有限责任公司 一种电力设备数字数据建模方法
CN113556734A (zh) * 2020-04-02 2021-10-26 华为技术有限公司 一种认证方法及装置
CN114244628A (zh) * 2022-01-04 2022-03-25 上海华申智能卡应用系统有限公司 一种授权方法及系统
CN115391780A (zh) * 2022-09-02 2022-11-25 中国电信股份有限公司 应用代码的安全加固方法、系统、设备及存储介质
CN117195297A (zh) * 2023-09-18 2023-12-08 陕西众维信息科技有限公司 基于erp的数据安全与隐私保护系统及方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109493087B (zh) * 2018-10-30 2021-11-05 珠海市时杰信息科技有限公司 一种基于二维码查验不动产登记信息的方法、计算机装置及计算机可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085658A (ja) * 2001-09-07 2003-03-20 Pro-Tect Co Ltd 携帯電話利用のpos取引管理方法とpos取引管理システム
CN102842081A (zh) * 2011-06-23 2012-12-26 上海易悠通信息科技有限公司 一种移动电话生成二维码并实现移动支付的方法
CN103218715A (zh) * 2013-03-26 2013-07-24 苏州通付盾信息技术有限公司 一种云支付系统中动态支付码的实现方法
CN103295341A (zh) * 2013-05-16 2013-09-11 中国工商银行股份有限公司 Pos安全认证装置、系统及pos装置安全认证方法
CN103825734A (zh) * 2012-11-16 2014-05-28 深圳市腾讯计算机系统有限公司 敏感操作验证方法、终端设备、服务器和验证系统
CN103886460A (zh) * 2014-04-22 2014-06-25 徐永君 一种基于身份认证令牌实现的现场支付的系统和方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085658A (ja) * 2001-09-07 2003-03-20 Pro-Tect Co Ltd 携帯電話利用のpos取引管理方法とpos取引管理システム
CN102842081A (zh) * 2011-06-23 2012-12-26 上海易悠通信息科技有限公司 一种移动电话生成二维码并实现移动支付的方法
CN103825734A (zh) * 2012-11-16 2014-05-28 深圳市腾讯计算机系统有限公司 敏感操作验证方法、终端设备、服务器和验证系统
CN103218715A (zh) * 2013-03-26 2013-07-24 苏州通付盾信息技术有限公司 一种云支付系统中动态支付码的实现方法
CN103295341A (zh) * 2013-05-16 2013-09-11 中国工商银行股份有限公司 Pos安全认证装置、系统及pos装置安全认证方法
CN103886460A (zh) * 2014-04-22 2014-06-25 徐永君 一种基于身份认证令牌实现的现场支付的系统和方法

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107451813A (zh) * 2016-06-01 2017-12-08 华为终端(东莞)有限公司 支付方法、支付设备和支付服务器
CN107451813B (zh) * 2016-06-01 2021-05-18 华为终端有限公司 支付方法、支付设备和支付服务器
CN107819639A (zh) * 2016-09-14 2018-03-20 西门子公司 一种测试方法和装置
CN107819639B (zh) * 2016-09-14 2021-12-24 西门子公司 一种测试方法和装置
CN107124269A (zh) * 2017-04-05 2017-09-01 飞天诚信科技股份有限公司 一种保护主密钥的工具及其工作方法
CN107302527A (zh) * 2017-06-09 2017-10-27 北京奇安信科技有限公司 一种设备异常检测方法及装置
CN107705124A (zh) * 2017-09-14 2018-02-16 华中科技大学 基于威胁图的移动支付环境安全检测评估系统及其方法
CN108363663A (zh) * 2018-02-02 2018-08-03 浙江德景电子科技有限公司 一种智能pos终端送检银行卡检测中心认证的应用
WO2020006902A1 (zh) * 2018-07-02 2020-01-09 平安科技(深圳)有限公司 批量支付方法、装置、计算机设备和存储介质
CN110198478A (zh) * 2019-05-10 2019-09-03 广州视源电子科技股份有限公司 交互录播方法、系统、客户端、装置、设备及存储介质
CN111061502A (zh) * 2019-12-19 2020-04-24 贵阳货车帮科技有限公司 一种安装包获取方法、装置、设备和存储介质
CN113556734A (zh) * 2020-04-02 2021-10-26 华为技术有限公司 一种认证方法及装置
CN113556734B (zh) * 2020-04-02 2024-04-09 华为技术有限公司 一种认证方法及装置
CN111541816A (zh) * 2020-04-21 2020-08-14 江西理工大学 一种非接触式交互装置及方法
CN112488456A (zh) * 2020-11-12 2021-03-12 南方电网科学研究院有限责任公司 一种电力设备数字数据建模方法
CN114244628B (zh) * 2022-01-04 2023-12-26 上海华申智能卡应用系统有限公司 一种授权方法及系统
CN114244628A (zh) * 2022-01-04 2022-03-25 上海华申智能卡应用系统有限公司 一种授权方法及系统
CN115391780A (zh) * 2022-09-02 2022-11-25 中国电信股份有限公司 应用代码的安全加固方法、系统、设备及存储介质
CN115391780B (zh) * 2022-09-02 2024-02-02 中国电信股份有限公司 应用代码的安全加固方法、系统、设备及存储介质
CN117195297A (zh) * 2023-09-18 2023-12-08 陕西众维信息科技有限公司 基于erp的数据安全与隐私保护系统及方法
CN117195297B (zh) * 2023-09-18 2024-04-30 陕西众维信息科技有限公司 基于erp的数据安全与隐私保护系统及方法

Also Published As

Publication number Publication date
CN104573547B (zh) 2018-06-19

Similar Documents

Publication Publication Date Title
CN104573547B (zh) 一种信息交互的安全防范系统及其操作实现方法
US10715515B2 (en) Generating code for a multimedia item
CN103985036B (zh) 一种带生物特征的二维码支付方法
CA2701055C (en) Method of providing assured transactions using secure transaction appliance and watermark verification
US8060447B2 (en) Method of providing transactions employing advertising based verification
CN109039652B (zh) 一种数字通证的生成及应用方法
CN105612543A (zh) 用于为移动设备供应支付凭证的方法和系统
CN106682903B (zh) 一种银行支付许可认证信息的反馈验证方法
CN102147662A (zh) 带键盘和加密模块的输入终端
CN102611702B (zh) 一种保证网络交易安全的系统及方法
CN105554018A (zh) 网络实名验证方法
Sportiello “Internet of Smart Cards”: A pocket attacks scenario
Ahmed et al. A self-sovereign identity architecture based on blockchain and the utilization of customer’s banking cards: The case of bank scam calls prevention
Aithal Biometric authenticated security solution to online financial transactions
OBAID et al. Mobile payment using blockchain security
AU2006315079B2 (en) A method and apparatus for facilitating a secure transaction
CN102184354A (zh) 一种网上支付防止数据被伪造和劫持的方法
KR101360843B1 (ko) 차세대 금융 거래 시스템
CN104268780A (zh) 一种交易订单确认方法、装置及服务器
Chen et al. Analysis of internet black market in new types of cyber-related crime–taking personal information transaction as an example
Stojanov Protection Against Fraud In Electronic Trade Payments
Tiwari et al. Biometric authentication for mobile banking security
Samani et al. Digital Laundry
Nosrati et al. A review of Security Assessment in E-Banking
Kitbuncha Legal measures on authentication of electronic fund transfer

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Xinping street Suzhou City Industrial Park 215123 Jiangsu province No. 388 innovation park off 6 Building 5 floor

Applicant after: Jiangsu pay shield information Safe Technology Ltd

Address before: Xinping street Suzhou City Industrial Park 215123 Jiangsu province No. 388 innovation park off 6 Building 5 floor

Applicant before: JIANGSU PAYEGIS INFORMATION TECHNOLOGY CO., LTD.

COR Change of bibliographic data
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 215021 4 building, 2.5 Industrial Park, building 2.5, Dongchang Road, Suzhou Industrial Park, Jiangsu, China, C2

Applicant after: Jiangsu pay shield information Safe Technology Ltd

Address before: 215123 5, building 6, Tengfei Innovation Park, 388 Xinping street, Suzhou Industrial Park, Jiangsu.

Applicant before: Jiangsu pay shield information Safe Technology Ltd

GR01 Patent grant
GR01 Patent grant