CN104618307A - 基于可信计算平台的网银交易认证系统 - Google Patents

Abstract

本发明实施例提供了一种基于可信计算平台的网银交易认证系统。该系统主要包括：可信计算平台、认证中心CA、网银认证服务器、网银WEB端、金融IC卡和金融IC卡读卡器；可信计算平台基于可信启动利用CA对网银认证服务器进行验证；网银认证服务器产生依赖于传输层数据的冲击，利用冲击对登录网银WEB端的用户、用户的金融IC卡读卡器进行身份认证；金融IC卡读卡器和网银WEB端连接，对金融IC卡进行信息读取，作为所述金融IC卡和网银WEB端之间的信息传输中介。本发明实施例使用PKI系统和金融IC卡对银行、持卡人、金融IC卡读卡器进行了全部的身份认证，实现了安全可信的认证过程，能够满足网上银行随时随地提供服务的需求，又能防御非信道攻击和信道攻击。

Description

基于可信计算平台的网银交易认证系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于可信计算平台的网银交易认证系统。

背景技术

现如今，网上银行已成为一种便捷的金融服务工具吸引着越来越多的客户。但网络的开放性使得网上银行所涉及的敏感信息极易受到恶意攻击，且攻击方式多样。根据攻击者是否与用户和银行之间的会话分离，可以把常见的几种攻击分为两类：非信道攻击和信道攻击。非信道攻击就是攻击者与客户、银行之间的对话信道相分离，主要通过安装恶意程序等入侵手段攻击用户电脑，获取用户的账号、密码、私钥等安全信息或是通过恶意程序控制用户电脑进行资金交易等。信道攻击通常是基于SSL（Secure SocketsLayer，安全套接层）/TLS（TransportLayerSecurity，概况安全传输层协议）信道的攻击，攻击者通过地址伪装介入到用户和网银认证服务器之间的SSL/TLS信道中，伪装成网银认证服务器与用户会话，同时又伪装成合法用户与网银认证服务器会话，截获并篡改信息，从而控制整个交易，使得用户和银行都无法察觉。

目前，网上环境变得更加复杂，存在着各种潜在的危险，因此对网上银行也在安全性方面也提出了挑战。因此，开发一种能够防止遭受信道以及非信道方面的攻击，有效地保证网上银行的安全的方法是一个亟待解决的问题。

发明内容

本发明的实施例提供了一种基于可信计算平台的网银交易认证系统，以实现保证用户网上银行使用中的安全性。

本发明提供了如下方案：

一种基于可信计算平台的网银交易认证系统，包括：可信计算平台、认证中心CA、网银认证服务器、网银WEB端、金融IC卡和金融IC卡读卡器；

所述的可信计算平台，用于基于可信启动利用所述CA对所述网银认证服务器进行验证；

所述的CA，用于采用公钥基础设施PKI技术对所述金融IC卡、网银认证服务器进行认证；

所述的网银认证服务器，用于建立和网银WEB端之间的安全传输通道，产生依赖于传输层数据的冲击，利用所述冲击对登录网银WEB端的用户、所述用户的金融IC卡读卡器进行身份认证；

所述的网银WEB端，用于用户登录网银web网页，处理金融交易；

所述的金融IC卡，用于作为金融交易的用户卡片，内部存储用户的密钥对和卡片主密钥，对所述网银认证服务器进行认证；

所述的金融IC卡读卡器，用于通过USB接口和所述网银WEB端连接，对所述金融IC卡进行信息读取，作为所述金融IC卡和网银WEB端之间的信息传输中介。

所述的可信平台，用于通过基于可信启动的启动链实现，所述启动链包括主引导记录、引导加载程序、OS内核、OS驱动程序，用可信平台模块TPM中的特定的平台配置寄存器PCR值封装所述网银认证服务器的密钥对、所述金融IC卡读卡器的密钥对，当所述可信启动保证了所述网银认证服务器的整个启动链的完整性和所有启动期间用到的或者执行的文件是完整的后，则确定所述网银认证服务器的验证通过，将所述TPM中的特定的PCR值传输给所述网银认证服务器。

优选地，在传输层认证过程中，

所述的网银WEB端，用于接收用户通过WEB浏览器输入的用户的金融IC卡的PAN号码，使用金融IC卡内部预存的持卡人证书将所述金融IC卡的PAN号码传输给网银认证服务器，建立和网银认证服务器之间的安全传输通道，通过所述安全传输通道将金融IC读卡器传输过来的签名后的r₁传输给网银认证服务器；

所述的网银认证服务器，具体用于用TPM中的特定的PCR值对网银认证服务器的密钥对进行解封，建立和网银WEB端之间的安全传输通道，在可信启动的条件下，产生依赖于传输层数据的冲击r₁，将签名后的冲击r₁和网银认证服务器的数字证书通过网银WEB端、金融IC卡读卡器传输给金融IC卡，根据金融IC卡读卡器返回的用用户的私钥签名后的冲击r₁通过Kailar逻辑形式化分析协议对所述用户进行身份认证；

所述的金融IC卡，用于通过TMP读卡器认证所述网银认证服务器的身份，并验证冲击r₁为所述网银认证服务器所发且没有修改过后，要求用户通过金融IC读卡器输入金融IC卡的PIN码，对该PIN码进行校验；

所述的金融IC读卡器，用于在所述的金融IC卡对所述PIN码进行校验通过后，读取存储在金融IC卡中的用户的签名公钥、私钥，使用用户私钥对冲击r₁进行签名，通过所述网银WEB端将签名后的冲击r₁传输给所述的网银认证服务器。

优选地，在传输层认证过程中，

所述的网银认证服务器，具体用于设

R为参与协议的金融IC卡读卡器；

C为参与协议的金融IC卡的用户即金融IC卡；

S为参与协议的网银认证服务器；

EOO为发送方不可否认的证据；

EOR为接收方不可否认的证据；

为主体P开始会话的初始集合；

为协议进行到第i步骤的集合；

O_P为P最终的集合；

为P的私钥签名；

为P用私钥对消息X进行加密；

(X,Y)为公式X和Y的级联；

Cert(P)为P的电子证书；

Sign(P,X)为P对X的签名；

AccountNumber为明文方式传送的用户金融IC卡卡号；

设双方的初始拥有集与假设条件分别为：

双方的初始拥有集与假设条件分别为：

$O_R^0=K_R,K_R^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(R\right);O_C^0=K_C,K_C^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(C\right)$

$O_S^0=K_S,K_S^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(S\right);R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA};S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}$

金融IC卡读卡器使用密钥K_CA验证CA身份；网银认证服务器使用密钥K_CA验证CA身份；

列举发送方不可否认证据和接收方不可否认证据为：

EOO＝Sign(S,r₁)Cert(S)；EOR＝Sign(C,r₁)Cert(C)

现假设EOO∈O_R，EOR∈O_S成立，则有Cert(S)∈R，Sign(S,r₁)∈R，即

$\left\{(K_S,S)\right\}{K}_{\mathrm{CA}}^{-1}\∈R,\left\{H\left(r_1\right)\right\}{K}_S^{-1}\∈R;$

根据数字签名规则有： $\frac{\left\{(K_S,S)\right\}{K}_{\mathrm{CA}}^{-1}\∈R;R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}}{R>\mathrm{CA}\→(K_S,S)};$

因为使用CA私钥对金融IC卡读卡器签名，并且金融IC卡读卡器使用密钥K_CA能够验证CA是合法的CA，所以证明CA对网银认证服务器及密钥的真伪负责，完成数字签名；

根据电子证书规则有：由金融IC卡读卡器验证了CA的合法性，同时CA对网银认证服务器及密钥负责，所以证明金融IC卡读卡器使用密钥K_S完成对网银认证服务器的认证，此时完成金融IC卡读卡器对网银认证服务器的认证。

优选地，在应用层认证过程中，

所述的网银认证服务器，具体用于在应用层上发起一个随机的冲击r₂，将该冲击r₂通过所述安全传输通道传输给网银WEB端；

所述的网银WEB端，用于将所述冲击r₂通过金融IC读卡器传输给所述金融IC卡，

所述的金融IC卡，用于使用金融IC卡中存储的用户私钥对所述冲击r₂进行签名，将签名后的冲击r₂传输给所述金融IC卡读卡器，

所述的金融IC卡读卡器，用于用TMP中的特定PCR值解封金融IC卡读卡器的密钥对，用金融IC卡读卡器的私钥对所述金融IC卡传输过来的签名后的冲击r₂进行双重签名，将双重签名后的冲击r₂传输给网银认证服务器；

所述的网银认证服务器，用于利用所述双重签名后的冲击r₂通过Kailar逻辑形式化分析协议对所述金融IC卡读卡器进行身份认证。

优选地，所述的网银认证服务器，

双方的初始拥有集和假设条件为：

$O_R^0=K_R,K_R^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(R\right);O_C^0=K_C,K_C^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(C\right)$

$O_S^0=K_S,K_S^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(S\right);R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA};S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}$

金融IC卡读卡器使用密钥K_CA验证CA身份；网银认证服务器使用密钥K_CA验证CA身份，由于在传输层认证阶段已经完成了对网银认证服务器、用户身份的认证，所以在应用层认证阶段只需要完成网银认证服务器对金融IC卡身份的认证，只需要列举第二次认证时接收方的不可否认证据；

EOR＝Sign(C,r₂),Sign(R,Sign(C,r₂)),Cert(R)

假设EOR∈O_S成立，则Sign(R,Sign(C,r₂))∈S，Cert(R)∈S，即

$\left\{H\left(\mathrm{Sign}(C,r_2)\right)\right\}{K}_R^{-1}\∈S,\{K_R,R\}{K}_{\mathrm{CA}}^{-1}\∈S.$

根据数字签名规则有： $\frac{\left\{(K_R,R)\right\}{K}_{\mathrm{CA}}^{-1}\∈S;S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}}{S>\mathrm{CA}\→(K_R,R)},$

因为CA私钥对金融IC卡读卡器及其密钥加密，并且网银认证服务器能够使用密钥K_CA证明CA是合法的CA，那么就能证明CA对金融IC卡读卡器及密钥的真伪负责，完成数字签名；

根据电子证书规则有：因为网银认证服务器证明了CA的合法性，且CA对金融IC卡读卡器及密钥负责，所以证明了网银认证服务器使用密钥K_C完成对金融IC卡读卡器的认证，即完成网银认证服务器对金融IC卡读卡器的认证。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过使用基于可信启动的可信计算平台对网银认证服务器进行验证，通过数学上的Kailar逻辑对协议进行形式化分析，使用PKI系统和金融IC卡通过内部认证和外部认证的方式对银行、持卡人、金融IC卡读卡器进行了全部的身份认证，保证了各个部分的真实性，从而实现了安全可信的认证过程，能够满足网上银行随时随地提供服务的需求，同时又能防御非信道攻击和信道攻击，有效地保障了用户网上银行使用中的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于可信计算平台的网银交易认证系统的结构图；

图2为本发明实施例提供的一种基于可信计算平台的网银交易认证系统的传输层认证过程的处理流程图；

图3为本发明实施例提供的一种基于可信计算平台的网银交易认证系统的应用层认证过程的处理流程图。

具体实施方式

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

本发明所述的一种基于可信计算平台的网银交易认证系统的结构示意图如图1所示，包括如下的模块：可信计算平台、CA（certificateAuthority，认证中心）、网银认证服务器、网银WEB端、金融IC卡及金融IC卡读卡器几个部分，其中，

所述可信计算平台，为保证参与认证的双方系统是处于安全的平台，在银行的网银认证服务器和用户端的读卡器上均嵌入TPM（Trusted PlatformModule，可信赖平台模块）芯片，此芯片主要起到保证认证环境的安全、完整性。基于可信启动利用所述CA对所述网银认证服务器进行验证，通过基于可信启动的启动链实现，所述启动链包括主引导记录、引导加载程序、OS内核、OS驱动程序，用TPM中的特定的PCR（Platform Configuration Register，平台配置寄存器）值封装所述网银认证服务器的密钥对、所述金融IC卡的密钥对，当所述可信启动保证了所述网银认证服务器的整个启动链的完整性和所有启动期间用到的或者执行的文件是完整的后，则确定所述网银认证服务器的验证通过，将所述TPM中的特定的PCR值传输给所述网银认证服务器。

在建立可信启动时，所有的信任都从一段固定的可信代码开始，在把控制权交给下一段代码之前，这段代码会去度量下一段将要执行的代码，并将度量结果扩展到PCR中。为了使PCR能够影响认证过程，需要建立系统启动过程与密钥之间的依赖关系。用特定的PCR值去封装认证过程中所使用的密钥对，仅在启动过程是可信时，才能得到正确的PCR值，继而解封密钥对。保证了参与认证的实体的平台是安全可信的。对于网银认证服务器，PCR封装的是网银认证服务器的密钥对，对于金融IC卡读卡器，PCR封装的是金融IC卡读卡器的密钥对。

所述CA，即权威认证机构，其核心技术是PKI（Public KeyInfrastructure，公钥基础设施）技术。它在认证系统中作为一个可信任的第三方权威实体，承担了认证服务、签发数字证书，并能确认用户身份的服务机构。主要负责对用户的密钥或证书的发放、更新、废止、认证等管理工作。其中，“证书”是指一个包含身份信息和一个相应公钥的数据结构，可进行数字签名技术处理，标志用户特征的公钥和身份，该数据结构被称为公钥证书，简称证书。采用PKI技术对所述金融IC卡、网银认证服务器进行认证。

所述网银认证服务器，置于银行的内部网络中，受到防火墙的保护。使用可信计算平台，保存一对RSA/SM2公私密钥对和CA机构颁发的数字证书，用户可以通过使用网银认证服务器的公钥加密的信息来验证网银认证服务器的身份是否合法，从而达到双向验证的目的。建立和网银WEB端之间的安全传输通道，产生依赖于传输层数据的冲击，利用所述冲击对登录网银WEB端的用户、所述用户的金融IC卡、金融IC卡读卡器进行身份认证。

所述的网银WEB端，是指作为用户与网上银行系统的接口的WEB浏览器，用于用户登录网银web网页，处理金融交易。在此系统中，WEB浏览器需和金融IC卡读卡器相连，且为了能与读卡器进行信息传输，须在WEB浏览器内嵌入金融IC卡读卡器的本地接口，实现金融IC卡与网银WEB端数据的交互处理，而网银认证服务器也可以通过WEB浏览器读取金融IC卡的证书。

所述金融IC卡，用于作为金融交易的用户卡片，内部存储用户的密钥对和卡片主密钥，对所述网银认证服务器进行认证。内部包含有金融IC卡操作系统及密钥算法和卡片主控密钥，是一种安全介质，在此类金融IC卡上加载了符合公钥密码体系标准的应用程序，它储存了密钥对以及相应的证书，并对私钥加密功能进行了保护，即只有在用户PIN（Personal IdentificationNumber，个人识别密码）码验证正确的情况下，应用程序才能使用私钥加密。

所述金融IC卡读卡器，通过USB接口接在用户端电脑上，其作用是当用户日常使用金融IC卡进行网银操作时候的读取金融IC卡信息，是金融IC卡和网银WEB端之间的信息传输中介。

上述基于可信计算平台的网银交易认证系统的工作过程是：首先通过可信计算平台保证参与方的计算平台没有被恶意软件篡改过，之后使用PKI系统和金融IC卡通过内部认证和外部认证的方式对银行、持卡人、金融IC卡读卡器进行了全部的身份认证，保证了各个部分的真实性，完成认证过程。最后，使用Kailar逻辑对协议进行了形式化分析，至此完成整个网银认证方案。

本发明实施例用到的符号说明如下：

R：参与协议的金融IC卡读卡器；

C：参与协议的金融IC卡用户即金融IC卡；

S：参与协议的网银认证服务器；

CA：认证中心；

EOO：发送方不可否认的证据；

EOR：接收方不可否认的证据；

主体P开始会话的初始集合；

协议进行到第i步骤的集合；

O_P：P最终的集合；

K_P：P的签名公钥；

P的私钥签名；

主体P用私钥对消息X进行加密；

(X,Y):公式X和Y的级联；

Cert(P):P的电子证书；

Sign(P,X):P对X的签名；

AccountNumber:明文方式传送的用户金融IC卡卡号。

上述基于可信计算平台的网银交易认证系统的认证过程包括传输层认证和应用层认证两个方面；

其协议描述为：

即P的证书等于CA用私钥对P的签名公钥和P进行加密；

即P对X的签名等于X和P用私钥对X的摘要的级联。

步骤1-1：C→S:AccountNumber,Cert(C)，即金融IC卡对网银服务器端负责，包括以明文方式发送的银行账号，金融IC卡的证书；

步骤1-2：S→R:Sign(S,r₁),Cert(C)，即网银服务器端对金融IC卡读取卡器负责，包括网银服务器端对r₁的签名，金融IC卡的证书；

步骤1-3：即金融IC卡对金融IC卡读卡器负责，包括金融IC卡公钥和私钥；

步骤1-4：R→S:Sign(C,r₁)，即金融IC卡读卡器对网银服务器端负责，包括金融IC卡对r₁的签名。

步骤2-1：S→C:r₂，即网银服务器端对金融IC卡负责；

步骤2-2：R→S:Sign(C,r₂),Sign(R,Sign(C,r₂)),Cert(R)，即金融IC卡读卡器对网银服务器端负责，包括金融IC卡对r₂的签名，金融IC卡读卡器对金融IC卡对r₂的签名的签名，金融IC卡读卡器的证书。

传输层认证阶段的作用主要是完成对网银认证服务器和用户身份的认证，上述传输层认证的处理流程如图2所示，包含的步骤有：

在传输层认证过程中，银行使用PCR解封密钥，在可信启动的条件下发出一个依赖于信道参数的冲击，任何破坏信道引发的攻击都会改变冲击，从而无法得出正确的响应，因此可以保证银行系统处于安全状态并排除了信道攻击。

步骤1-1、金融IC卡发卡过程中，将持卡人证书预先存在了金融IC卡中，当用户使用网银WEB端进行交易时候，用户登录网银WEB端，金融IC卡插入金融IC卡读卡器，金融IC卡读卡器读取到其持卡人证书，并将该持卡人证书传输给网银WEB端。用户通过WEB浏览器输入金融IC卡的PAN号，网银WEB端使用金融IC卡内部预存的持卡人证书将上述金融IC卡的PAN号传给网银认证服务器，网银WEB端建立与网银认证服务器之间的安全传输层（SSL/TLS）通道。

步骤1-2、网银认证服务器产生依赖于传输层数据的冲击r₁。网银认证服务器用TPM中的特定PCR值对网银认证服务器的密钥对进行解封，网银认证服务器在可信启动的条件下，对冲击r₁进行签名，将签名后的冲击r₁和网银认证服务器的数字证书通过网银WEB端、金融IC卡读卡器传输给金融IC卡。

步骤1-3、金融IC卡通过TMP读卡器认证网银认证服务器的身份，并验证r₁为网银认证服务器所发且发后未修改后。要求用户输入金融IC卡的PIN码，对该PIN码进行校验，若PIN码校验通过，金融IC卡读卡器便可读取到存储在金融IC卡中的用户的签名公钥、私钥。

步骤1-4、金融IC卡读卡器使用上述用户的私钥对冲击r₁进行签名，将签名后的冲击r₁通过WEB浏览器传输给所述网银认证服务器。

所述的网银认证服务器根据金融IC卡读卡器返回的用用户的私钥签名后的冲击r₁通过Kailar逻辑形式化分析协议对所述用户进行身份认证；

应用层认证阶段的作用是完成网银认证服务器对金融IC卡读卡器的身份认证，应用层认证的处理流程如图3所示，包括如下的处理步骤：

在应用层认证过程中，读卡器需使用PCR解封密钥，对网银认证服务器的冲击进行签名，保证了读卡器在认证过程中处于安全可信的状态。又由于在身份认证时用户私钥是储存在金融IC卡上，储存在卡上的信息只可读不可写，具备防篡改功能，并且只有在用户输入了正确PIN码的情况下才能够使用私钥进行加密，而PIN码是在线下输入，既不在电脑上输入密码也不通过网络传输，免却恶意软件或网络钓鱼的方式窃取密码的攻击。

步骤2-1、网银认证服务器在应用层上发起一个随机的冲击r₂，将该冲击r₂通过所述安全传输通道传输给网银WEB端，所述网银WEB端将所述冲击r₂通过金融IC读卡器传输给所述金融IC卡。

步骤2-2、金融IC卡使用内部存储的用户私钥对所述冲击r₂进行签名，将签名后的冲击r₂传输给所述金融IC卡读卡器。

金融IC卡读卡器用TMP中的特定PCR值解封金融IC卡读卡器的密钥对，用金融IC卡读卡器的私钥对所述金融IC卡传输过来的签名后的冲击r₂进行双重签名，将双重签名后的冲击r₂和金融IC卡的证书一起传输给网银认证服务器；

所述的网银认证服务器利用所述双重签名后的冲击r₂通过Kailar逻辑形式化分析协议对所述金融IC卡读卡器进行身份认证。

方案系统安全性分析:

根据具体的实施方式，在本发明中，需要达到在进行合法身份验证中可以验证国外密码算法和国产密码算法两种算法，因此保存一对RSA/SM2公私密钥对和CA机构颁发的证书，用户可以通过使用认证网银认证服务器公钥加密的信息来验证网银认证服务器的身份是否合法，从而达到双向验证的目的。上述的国外密码算法是目前一直在使用的主流算法，而国产密码算法其安全性通过了国家主管部门组织的安全性检测，是安全可靠的，因此在算法方面，本方案是具备应用级安全的。协议分析方面采用形式化Kailar逻辑分析，由其特点保证了消息的机密性、完整性、可认证性、非否认性，同时能够达到防止恶意软件攻击、防止网络钓鱼、防止中间人攻击。在可信计算安全平台基础上，采用PKI技术和金融IC卡实现了安全可信的认证协议，可信计算平台保证了认证平台的安全可靠性。

Kailar逻辑形式化分析协议分为传输层认证和应用层认证，其具体描述为：

1、传输层认证

双方的初始拥有集与假设条件分别为：

$O_R^0=K_R,K_R^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(R\right);O_C^0=K_C,K_C^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(C\right)$

$O_S^0=K_S,K_S^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(S\right);R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA};S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}$

金融IC卡读卡器使用密钥K_CA验证CA身份；网银认证服务器使用密钥K_CA验证CA身份。

列举发送方不可否认证据和接收方不可否认证据为：

EOO＝Sign(S,r₁)Cert(S)；EOR＝Sign(C,r₁)Cert(C)

现假设EOO∈O_R，EOR∈O_S成立，则有Cert(S)∈R，Sign(S,r₁)∈R，即

$\left\{(K_S,S)\right\}{K}_{\mathrm{CA}}^{-1}\∈R,\left\{H\left(r_1\right)\right\}{K}_S^{-1}\∈R.$

根据数字签名规则有： $\frac{\left\{(K_S,S)\right\}{K}_{\mathrm{CA}}^{-1}\∈R;R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}}{R>\mathrm{CA}\→(K_S,S)}.$

因为使用CA私钥对金融IC卡读卡器签名，并且金融IC卡读卡器使用密钥K_CA能够验证CA是合法的CA，所以可以证明CA可以对网银认证服务器及密钥的真伪负责，完成数字签名。

根据电子证书规则有：由金融IC卡读卡器验证了CA的合法性，同时CA对网银认证服务器及密钥负责，所以可以证明金融IC卡读卡器使用密钥K_S完成对网银认证服务器的认证，此时完成金融IC卡读卡器对网银认证服务器的认证。

由 $\left\{H\left(r_1\right)\right\}{K}_S^{-1}\∈R,$ 应用签名规则有： $\frac{\left\{H\left(r_1\right)\right\}{K}_S^{-1}\∈R;R>\stackrel{K_S}{\→}S}{R>S\→H\left(r_1\right)},$ 即金融IC卡读卡器证明了网银认证服务器的正确性，并且网银认证服务器对摘要消息负责。

由于H(r₁)为消息r₁通过Hash函数得到的摘要，具有不可逆性，R＞S→H(r₁)即等价于R＞S→r₁，也就是说金融IC卡读卡器能够证明网银认证服务器，而网银认证服务器对r₁负责。金融IC卡可对收到的r₁再做摘要，得到H'(r₁)，通过对比H(r₁)和H'(r₁)是否相等来验证消息的完整性。

又由EOR∈O_S成立可知Cert(C)∈S，Sign(C,r₁)∈S，即 $\left\{(K_C,C)\right\}{K}_{\mathrm{CA}}^{-1}\∈S,$ $\left\{\left(H\left(r_1\right)\right)\right\}{K}_C^{-1}\∈S.$

根据数字签名规则有： $\frac{\left\{(K_C,C)\right\}{K}_{\mathrm{CA}}^{-1}\∈S;S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}}{S>\mathrm{CA}\→(K_C,C)}.$

因为CA私钥对金融IC卡及其密钥加密，并且网银认证服务器使用密钥K_CA能够证明CA是合法的CA，那么就能证明CA对金融IC卡及密钥的真伪负责，完成数字签名。

根据电子证书规则有：因为网银认证服务器证明了CA的合法性，且CA对金融IC卡及密钥负责，所以证明了网银认证服务器使用密钥K_C完成对金融IC卡的认证，即完成了网银认证服务器对金融IC卡用户身份认证。

由 $\left\{H\left(r_1\right)\right\}{K}_C^{-1}\∈S,$ 应用签名规则有： $\frac{\left\{H\left(r_1\right)\right\}{K}_C^{-1}\∈S;S>\stackrel{K_C}{\→}C}{S>C\→H\left(r_1\right)},$ 同理S＞C→H(r₁)等价于S＞C→r₁，也就是说网银认证服务器能够证明金融IC卡，而金融IC卡对r₁负责。由此可证明协议设计满足可追究性。

协议验证运行结束后，是否可以保证EOO∈O_R,EOR∈O_S成立：协议1-2结束后， $O_R^2=O_R^0\∪\{\mathrm{Sign}(S,r_1),\mathrm{Cert}\left(S\right)\},$ 又 $O_R^2\⋐O_R,$ 所以EOO∈O_R。协议1-1结束后， $O_S^1=O_S^0\∪\left\{\mathrm{Cert}\left(C\right)\right\};$ 协议1-4结束后， $O_S^4=O_S^1\∪\left\{\mathrm{Sign}(C,r_1)\right\},$ 又所以EOR∈O_S。

2、应用层认证

双方的初始拥有集和假设条件为：

$O_R^0=K_R,K_R^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(R\right);O_C^0=K_C,K_C^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(C\right)$

$O_S^0=K_S,K_S^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(S\right);R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA};S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}$

金融IC卡读卡器使用密钥K_CA验证CA身份；网银认证服务器使用密钥K_CA验证CA身份。由于在传输层认证阶段已经完成了对网银认证服务器、用户身份的认证，所以在应用层认证阶段只需要完成网银认证服务器对金融IC卡身份的认证，因此只需要列举第二次认证时接收方的不可否认证据。

EOR＝Sign(C,r₂),Sign(R,Sign(C,r₂)),Cert(R)

假设EOR∈O_S成立，则Sign(R,Sign(C,r₂))∈S，Cert(R)∈S，即

$\left\{H\left(\mathrm{Sign}(C,r_2)\right)\right\}{K}_R^{-1}\∈S,\{K_R,R\}{K}_{\mathrm{CA}}^{-1}\∈S.$

根据数字签名规则有： $\frac{\left\{(K_R,R)\right\}{K}_{\mathrm{CA}}^{-1}\∈S;S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}}{S>\mathrm{CA}\→(K_R,R)},$

因为CA私钥对金融IC卡读卡器及其密钥加密，并且网银认证服务器能够使用密钥K_CA证明CA是合法的CA，那么就能证明CA对金融IC卡读卡器及密钥的真伪负责，完成数字签名。

根据电子证书规则有：因为网银认证服务器证明了CA的合法性，且CA对金融IC卡读卡器及密钥负责，所以证明了网银认证服务器使用密钥K_C完成对金融IC卡读卡器的认证，即完成网银认证服务器对金融IC卡读卡器的认证。

由 $\left\{H\left(\mathrm{Sign}(C,r_2)\right)\right\}{K}_R^{-1}\∈S,$ 应用签名规则有：

$\frac{\left\{H\left(\mathrm{Sign}(C,r_2)\right)\right\}{K}_R^{-1}\∈S;S>\stackrel{K_R}{\→}R}{S>R\→H\left(\mathrm{Sign}(C,r_2)\right)},$ 同理，S＞R→H(Sign(C,r₂))等价于S＞R→Sign(C,r₂)，也就是说，网银认证服务器证明了金融IC卡读卡器的合法性，而金融IC卡读卡器负责于金融IC卡对r₂的签名。

协议验证运行结束时，是否可以保证EOR∈S成立。在协议2-2结束后， $O_S^2=\mathrm{Sign}(C,r_2),\mathrm{Sign}(R,\mathrm{Sign}(C,r_2)),\mathrm{Cert}\left(R\right)\∪O_S^0,$ 又 $O_S^2\⋐O_S,$ 所以EOR∈O_S。

综上所述，本发明实施例通过使用基于可信启动的可信计算平台对网银认证服务器进行验证，通过数学上的Kailar逻辑对协议进行形式化分析，使用PKI系统和金融IC卡通过内部认证和外部认证的方式对银行、持卡人、金融IC卡读卡器进行了全部的身份认证，确保了交易流程中个节点的真实性，没有出现钓鱼网站或者伪卡交易，通过CA认证中心的参与，即完成了金融IC卡对网银服务器器端的认证，保证了服务器端的合法性，同时完成了网银服务器端对金融IC卡的认证，保证了做网上交易的卡片不是伪卡，达到了双向认证的目的，从而实现了安全可信的认证过程，确定了认证协议的可追溯性和公平性，能够满足网上银行随时随地提供服务的需求，同时又能防御非信道攻击和信道攻击，如网络钓鱼、恶意软件攻击等，有效地保障了用户网上银行使用中的安全性。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，网银认证服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (6)

1.一种基于可信计算平台的网银交易认证系统，其特征在于，包括：可信计算平台、认证中心CA、网银认证服务器、网银WEB端、金融IC卡和金融IC卡读卡器；

所述的可信计算平台，用于基于可信启动利用所述CA对所述网银认证服务器进行验证；

所述的CA，用于采用公钥基础设施PKI技术对所述金融IC卡、网银认证服务器进行认证；

所述的网银认证服务器，用于建立和网银WEB端之间的安全传输通道，产生依赖于传输层数据的冲击，利用所述冲击对登录网银WEB端的用户、所述用户的金融IC卡读卡器进行身份认证；

所述的网银WEB端，用于用户登录网银web网页，处理金融交易；

所述的金融IC卡，用于作为金融交易的用户卡片，内部存储用户的密钥对和卡片主密钥，对所述网银认证服务器进行认证；

所述的金融IC卡读卡器，用于通过USB接口和所述网银WEB端连接，对所述金融IC卡进行信息读取，作为所述金融IC卡和网银WEB端之间的信息传输中介。

2.根据权利要求1所述的基于可信计算平台的网银交易认证系统，其特征在于：

所述的可信平台，用于通过基于可信启动的启动链实现，所述启动链包括主引导记录、引导加载程序、OS内核、OS驱动程序，用可信平台模块TPM中的特定的平台配置寄存器PCR值封装所述网银认证服务器的密钥对、所述金融IC卡读卡器的密钥对，当所述可信启动保证了所述网银认证服务器的整个启动链的完整性和所有启动期间用到的或者执行的文件是完整的后，则确定所述网银认证服务器的验证通过，将所述TPM中的特定的PCR值传输给所述网银认证服务器。

3.根据权利要求2所述的基于可信计算平台的网银交易认证系统，其特征在于，在传输层认证过程中，

所述的网银WEB端，用于接收用户通过WEB浏览器输入的用户的金融IC卡的PAN号码，使用金融IC卡内部预存的持卡人证书将所述金融IC卡的PAN号码传输给网银认证服务器，建立和网银认证服务器之间的安全传输通道，通过所述安全传输通道将金融IC读卡器传输过来的签名后的r₁传输给网银认证服务器；

所述的网银认证服务器，具体用于用TPM中的特定的PCR值对网银认证服务器的密钥对进行解封，建立和网银WEB端之间的安全传输通道，在可信启动的条件下，产生依赖于传输层数据的冲击r₁，将签名后的冲击r₁和网银认证服务器的数字证书通过网银WEB端、金融IC卡读卡器传输给金融IC卡，根据金融IC卡读卡器返回的用用户的私钥签名后的冲击r₁通过Kailar逻辑形式化分析协议对所述用户进行身份认证；

所述的金融IC卡，用于通过TMP读卡器认证所述网银认证服务器的身份，并验证冲击r₁为所述网银认证服务器所发且没有修改过后，要求用户通过金融IC读卡器输入金融IC卡的PIN码，对该PIN码进行校验；

所述的金融IC读卡器，用于在所述的金融IC卡对所述PIN码进行校验通过后，读取存储在金融IC卡中的用户的签名公钥、私钥，使用用户私钥对冲击r₁进行签名，通过所述网银WEB端将签名后的冲击r₁传输给所述的网银认证服务器。

4.根据权利要求3所述的基于可信计算平台的网银交易认证系统，其特征在于，在传输层认证过程中，

所述的网银认证服务器，具体用于设

R为参与协议的金融IC卡读卡器；

C为参与协议的金融IC卡的用户即金融IC卡；

S为参与协议的网银认证服务器；

EOO为发送方不可否认的证据；

EOR为接收方不可否认的证据；

为主体P开始会话的初始集合；

为协议进行到第i步骤的集合；

O_P为P最终的集合；

为P的私钥签名；

为P用私钥对消息X进行加密；

(X,Y)为公式X和Y的级联；

Cert(P)为P的电子证书；

Sign(P,X)为P对X的签名；

AccountNumber为明文方式传送的用户金融IC卡卡号；

设双方的初始拥有集与假设条件分别为：

双方的初始拥有集与假设条件分别为：

$O_R^0=K_R,K_R^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(R\right);O_C^0=K_C,K_C^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(C\right)$

$O_S^0=K_S,K_S^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(S\right);R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA};S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}$

金融IC卡读卡器使用密钥K_CA验证CA身份；网银认证服务器使用密钥K_CA验证CA身份；

列举发送方不可否认证据和接收方不可否认证据为：

EOO＝Sign(S,r₁)Cert(S)；EOR＝Sign(C,r₁)Cert(C)

现假设EOO∈O_R，EOR∈O_S成立，则有Cert(S)∈R，Sign(S,r₁)∈R，即

$\left\{(K_S,S)\right\}{K}_{\mathrm{CA}}^{-1}\∈R,\left\{H\left(r_1\right)\right\}{K}_S^{-1}\∈R;$

根据数字签名规则有： $\frac{\left\{(K_S,S)\right\}{K}_{\mathrm{CA}}^{-1}\∈R;R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}}{R>\mathrm{CA}\→(K_S,S)};$

因为使用CA私钥对金融IC卡读卡器签名，并且金融IC卡读卡器使用密钥K_CA能够验证CA是合法的CA，所以证明CA对网银认证服务器及密钥的真伪负责，完成数字签名；

根据电子证书规则有：由金融IC卡读卡器验证了CA的合法性，同时CA对网银认证服务器及密钥负责，所以证明金融IC卡读卡器使用密钥K_S完成对网银认证服务器的认证，此时完成金融IC卡读卡器对网银认证服务器的认证。

5.根据权利要求3所述的基于可信计算平台的网银交易认证系统，其特征在于，在应用层认证过程中，

所述的网银认证服务器，具体用于在应用层上发起一个随机的冲击r₂，将该冲击r₂通过所述安全传输通道传输给网银WEB端；

所述的网银WEB端，用于将所述冲击r₂通过金融IC读卡器传输给所述金融IC卡，

所述的金融IC卡，用于使用金融IC卡中存储的用户私钥对所述冲击r₂进行签名，将签名后的冲击r₂传输给所述金融IC卡读卡器，

所述的金融IC卡读卡器，用于用TMP中的特定PCR值解封金融IC卡读卡器的密钥对，用金融IC卡读卡器的私钥对所述金融IC卡传输过来的签名后的冲击r₂进行双重签名，将双重签名后的冲击r₂传输给网银认证服务器；

所述的网银认证服务器，用于利用所述双重签名后的冲击r₂通过Kailar逻辑形式化分析协议对所述金融IC卡读卡器进行身份认证。

6.根据权利要求5所述的基于可信计算平台的网银交易认证系统，其特征在于：

所述的网银认证服务器，具体用于设双方的初始拥有集和假设条件为：

$O_R^0=K_R,K_R^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(R\right);O_C^0=K_C,K_C^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(C\right)$

$O_S^0=K_S,K_S^{-1},K_{\mathrm{CA}},\mathrm{Cert}\left(S\right);R>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA};S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}$

金融IC卡读卡器使用密钥K_CA验证CA身份；网银认证服务器使用密钥K_CA验证CA身份，由于在传输层认证阶段已经完成了对网银认证服务器、用户身份的认证，所以在应用层认证阶段只需要完成网银认证服务器对金融IC卡身份的认证，只需要列举第二次认证时接收方的不可否认证据；

EOR＝Sign(C,r₂),Sign(R,Sign(C,r₂)),Cert(R)

假设EOR∈O_S成立，则Sign(R,Sign(C,r₂))∈S，Cert(R)∈S，即

$\left\{H\left(\mathrm{Sign}(C,r_2)\right)\right\}{K}_R^{-1}\∈S,\{K_R,R\}{K}_{\mathrm{CA}}^{-1}\∈S.$

根据数字签名规则有： $\frac{\left\{(K_R,R)\right\}{K}_{\mathrm{CA}}^{-1}\∈S;S>\stackrel{K_{\mathrm{CA}}}{\→}\mathrm{CA}}{S>\mathrm{CA}\→(K_R,R)},$

因为CA私钥对金融IC卡读卡器及其密钥加密，并且网银认证服务器能够使用密钥K_CA证明CA是合法的CA，那么就能证明CA对金融IC卡读卡器及密钥的真伪负责，完成数字签名；

根据电子证书规则有：因为网银认证服务器证明了CA的合法性，且CA对金融IC卡读卡器及密钥负责，所以证明了网银认证服务器使用密钥K_C完成对金融IC卡读卡器的认证，即完成网银认证服务器对金融IC卡读卡器的认证。