CN104657860A - 一种手机银行安全认证方法 - Google Patents
一种手机银行安全认证方法 Download PDFInfo
- Publication number
- CN104657860A CN104657860A CN201510042986.3A CN201510042986A CN104657860A CN 104657860 A CN104657860 A CN 104657860A CN 201510042986 A CN201510042986 A CN 201510042986A CN 104657860 A CN104657860 A CN 104657860A
- Authority
- CN
- China
- Prior art keywords
- client
- password
- dynamic
- dimension code
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/327—Short range or proximity payments by means of M-devices
- G06Q20/3276—Short range or proximity payments by means of M-devices using a pictured code, e.g. barcode or QR-code, being read by the M-device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种手机银行安全认证方法:A、客户使用客户终端请求接入应用服务器;B、应用服务器请求认证服务器对客户身份进行认证;C、认证服务器向客户终端索取认证信息;D、动态二维码口令令牌生成包含有自身账号和口令信息的动态二维码;E、扫描令牌屏幕上的动态二维码并通过网络传输给认证服务器;F、认证服务器调用相应的客户信息,产生与客户信息和事件相关的随机序列,并解析二维码口令进行比对以判别客户身份的合法性和真实性,将认证结果报告给应用服务器;G、应用服务器将认证结果反馈给客户终端,并决定可以提供服务或拒绝服务。本发明利用动态口令令牌和二维码相结合,提供双因素强身份认证,为手机银行的安全提供了保障。
Description
技术领域
本发明涉及手机银行交易安全保障技术领域,尤其是一种基于动态二维码的手机银行安全认证方法。
背景技术
随着智能手机及其应用软件的迅猛发展,手机银行作为一种全新的银行业务,受到广大客户的欢迎。由于其给客户带来极大的方便性和成本效益,越来越多的客户开始使用手机银行服务。因此,手机银行在提供方便性的同时,其安全性也引起了银行及客户的极大关注。由于手机银行建立在移动互联网络平台上,其安全性主要依赖于移动互联网络的安全。一般的手机银行都采用了多重安全保障机制,主要包括一些基本措施:1、手机号验证或短信认证;2、手机银行密码和银行卡密码的双重密码认证;3、图片附加码保护;4、预留信息验证;5、业务控制:如资讯、查询和理财类服务无需申请,转账、缴费类服务须申请开通方能使用;6、交易限额等。
但是,虽然使用手机银行十分方便,但是相比传统的网上银行,手机银行支付的环节增加,而且支付环境更加开放和复杂,用户对手机银行安全的担忧较为突出,现有的几种基本保障机制并不能够完全的保障资金的安全。而随着网银安全性的逐步提高,一些诸如U盾、动态口令令牌等跟成熟有效的网银安全机制是否可以成功移植到手机银行的应用中,是值得人们思考的。
发明内容
本发明要解决的技术问题是提供一种基于动态二维码的手机银行安全认证方法,利用动态口令令牌和二维码相结合,结合手机银行原有口令认证技术,提供双因素强身份认证,为手机银行的安全提供了保障。
为解决上述技术问题,本发明所采取的技术方案如下:
一种手机银行安全认证方法,包括以下步骤:
A、客户使用客户终端请求接入应用服务器;
B、应用服务器请求认证服务器对请求接入的客户的身份的合法性和真实性进行认证;
C、认证服务器向客户终端索取客户的身份认证信息;
D、客户激活动态二维码口令令牌,生成包含有自身账号和口令信息的动态二维码,呈现在令牌屏幕上等待扫描;
E、客户使用客户终端扫描动态二维码口令令牌屏幕上的动态二维码,并将该动态二维码通过网络传输给认证服务器;
F、认证服务器根据接收到的帐号信息调用相应的客户信息,产生与客户信息和事件相关的随机序列,并解析二维码口令进行比对,以判别客户身份的合法性和真实性,最后将认证结果报告给应用服务器;
G、应用服务器根据认证服务器提供的客户身份的合法性和真实性反馈给客户终端,并决定向客户提供服务或拒绝服务。
上述步骤D中,口令信息为动态密码,其位数为6位或多于6位的不定位数,包括数字、字母和符号的任两种或三种的组合。
上述步骤D中,口令信息为加入了全部或部分客户账号的随机口令。
上述客户终端为具有二维码扫描功能的智能手机。
采用上述技术方案所产生的有益效果在于:
1、借助二维码技术特点,进一步完善动态口令的生成和验证方法
二维码具有高密度编码、信息容量大的特点,,这使得基于相关的加密算法生成的动态密码不再仅限定于6位数字,可以是多位甚至是位数不定的,也可以加入除数字外的其它字符,如字母(区分大小写)和标点符号等,目的是提高密码保密性。
二维码可引入加密措施,因此其保密性、防伪性较好。本发明的动态二维码含有账号、动态密码等多种信息,对动态密码等部分的二维码编码方式进行特殊加密,避免普通的二维码识别软件轻易解读动态口令,而只能由手机银行客户端或者终端服务器完成解码工作。
2、丰富动态口令的身份认证模式
网银动态密码的认证主要有三种模式:时间同步认证技术、事件同步认证技术和挑战/应答认证技术。而二维码中含有多种信息,大大拓展了动态密码的认证模式,如加入客户账号等其它因素来计算随机口令,这些信息是可以通过二维码一并发给认证服务器来计算的。
附图说明
图1是本发明的实现原理图。
具体实施方式
动态密码基本的思路是将共同密钥信息(作为计算动态密码的常量)和加密算法同时保存在认证服务器和动态密码令牌硬件内,再选择一个认证服务器和动态令牌都可以使用的变量(比如动态密码生成次数或者当前时间或者挑战码)用于计算动态密码。需要认证的时候,由动态密码令牌首先计算出动态密码,然后传输给认证服务器,认证服务器采用对应的信息计算出该动态密码,通过比较这两个密码是否相同来判断输入的动态密码是否正确。
如图1所示,本发明的手机银行动态二维码口令令牌,实现了动态口令和二维码的有效结合,保障了客户使用手机银行时的账户安全,其使用方式与网银动态口令令牌类似,进一步借助二维码技术特点,使得动态口令的传递更加安全有效。在使用手机银行进行账户操作时,动态二维码口令令牌首先生成一个动态二维码口令,客户持手机扫描该动态二维码口令,并通过移动互联网络将动态二维码传递给银行认证服务器,由认证服务器产生与客户信息和事件相关的随机序列,并解析二维码口令进行比对,进而判别客户身份的合法性和真实性。
本发明的具体实现步骤为:
1、客户使用智能手机等客户终端请求接入应用服务器;客户终端为具有二维码扫描功能的智能手机。
2、应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证;
3、客户终端需要扫描动态二维码口令,以进行身份认证;
4、客户激活动态二维码口令令牌,生成动态二维码,呈现在令牌屏幕上等待扫描;
5、客户持手机直接扫描动态二维码,动态二维码中包含有账号、口令等多种信息,可提供给认证服务器;其中口令信息为动态密码,其位数为6位或多于6位的不定位数,包括数字、字母和符号的任两种或三种的组合。进一步,口令信息为加入了全部或部分客户账号的随机口令。
6、客户持手机将账号和口令通过网络传输给认证服务器;
7、认证服务器调用客户信息,产生与客户信息和事件相关的随机序列,并与客户输入的口令进行比对,判别客户身份的合法性和真实性;
8、认证服务器将认证结果报告给应用服务器;
9、应用服务器根据客户身份的合法性和真实性反馈给客户终端,并决定可以提供服务或拒绝服务。
Claims (4)
1.一种手机银行安全认证方法,其特征在于:所述方法包括以下步骤:
A、客户使用客户终端请求接入应用服务器;
B、应用服务器请求认证服务器对请求接入的客户的身份的合法性和真实性进行认证;
C、认证服务器向客户终端索取客户的身份认证信息;
D、客户激活动态二维码口令令牌,生成包含有自身账号和口令信息的动态二维码,呈现在令牌屏幕上等待扫描;
E、客户使用客户终端扫描动态二维码口令令牌屏幕上的动态二维码,并将该动态二维码通过网络传输给认证服务器;
F、认证服务器根据接收到的帐号信息调用相应的客户信息,产生与客户信息和事件相关的随机序列,并解析二维码口令进行比对,以判别客户身份的合法性和真实性,最后将认证结果报告给应用服务器;
G、应用服务器根据认证服务器提供的客户身份的合法性和真实性反馈给客户终端,并决定向客户提供服务或拒绝服务。
2.根据权利要求1所述的手机银行安全认证方法,其特征在于:所述的步骤D中,口令信息为动态密码,其位数为6位或多于6位的不定位数,包括数字、字母和符号的任两种或三种的组合。
3.根据权利要求1所述的手机银行安全认证方法,其特征在于:所述的步骤D中,口令信息为加入了全部或部分客户账号的随机口令。
4.根据权利要求1所述的手机银行安全认证方法,其特征在于:所述的客户终端为具有二维码扫描功能的智能手机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510042986.3A CN104657860A (zh) | 2015-01-28 | 2015-01-28 | 一种手机银行安全认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510042986.3A CN104657860A (zh) | 2015-01-28 | 2015-01-28 | 一种手机银行安全认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104657860A true CN104657860A (zh) | 2015-05-27 |
Family
ID=53248946
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510042986.3A Pending CN104657860A (zh) | 2015-01-28 | 2015-01-28 | 一种手机银行安全认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104657860A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917766A (zh) * | 2015-06-10 | 2015-09-16 | 飞天诚信科技股份有限公司 | 一种二维码安全认证方法 |
CN106897583A (zh) * | 2015-12-21 | 2017-06-27 | 龙源创新数字传媒(北京)股份有限公司 | 二维码设置有效期进行数字版权保护实现云借阅的装置 |
CN107332819A (zh) * | 2017-05-25 | 2017-11-07 | 苏州科达科技股份有限公司 | 一种用于会议系统的鉴权方法及装置 |
CN113129006A (zh) * | 2021-05-19 | 2021-07-16 | 中国银行股份有限公司 | 医疗支付系统及方法 |
CN113347207A (zh) * | 2021-06-30 | 2021-09-03 | 广州江南科友科技股份有限公司 | 用于服务器的访问认证方法、系统和存储介质 |
US11641363B2 (en) | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130082559A (ko) * | 2011-12-08 | 2013-07-22 | 주식회사 국민은행 | 일회용 비밀번호 및 전화 승인을 이용한 금융 서비스 시스템 및 방법 |
CN103501228A (zh) * | 2013-08-01 | 2014-01-08 | 沈阳华矿新能源装备科技有限公司 | 一种动态二维码令牌及动态二维码口令认证方法 |
CN103888436A (zh) * | 2012-12-20 | 2014-06-25 | 伊姆西公司 | 用户认证的方法和装置 |
CN104156859A (zh) * | 2014-08-28 | 2014-11-19 | 上海众人科技有限公司 | 一种基于动态口令的网络交易系统及方法 |
-
2015
- 2015-01-28 CN CN201510042986.3A patent/CN104657860A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130082559A (ko) * | 2011-12-08 | 2013-07-22 | 주식회사 국민은행 | 일회용 비밀번호 및 전화 승인을 이용한 금융 서비스 시스템 및 방법 |
CN103888436A (zh) * | 2012-12-20 | 2014-06-25 | 伊姆西公司 | 用户认证的方法和装置 |
CN103501228A (zh) * | 2013-08-01 | 2014-01-08 | 沈阳华矿新能源装备科技有限公司 | 一种动态二维码令牌及动态二维码口令认证方法 |
CN104156859A (zh) * | 2014-08-28 | 2014-11-19 | 上海众人科技有限公司 | 一种基于动态口令的网络交易系统及方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917766A (zh) * | 2015-06-10 | 2015-09-16 | 飞天诚信科技股份有限公司 | 一种二维码安全认证方法 |
CN104917766B (zh) * | 2015-06-10 | 2018-01-05 | 飞天诚信科技股份有限公司 | 一种二维码安全认证方法 |
CN106897583A (zh) * | 2015-12-21 | 2017-06-27 | 龙源创新数字传媒(北京)股份有限公司 | 二维码设置有效期进行数字版权保护实现云借阅的装置 |
CN107332819A (zh) * | 2017-05-25 | 2017-11-07 | 苏州科达科技股份有限公司 | 一种用于会议系统的鉴权方法及装置 |
US11641363B2 (en) | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
CN113129006A (zh) * | 2021-05-19 | 2021-07-16 | 中国银行股份有限公司 | 医疗支付系统及方法 |
CN113347207A (zh) * | 2021-06-30 | 2021-09-03 | 广州江南科友科技股份有限公司 | 用于服务器的访问认证方法、系统和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102052036B1 (ko) | 블록체인에 분산저장된 데이터의 탐색 및 조합을 통한 데이터 획득방법 | |
US10360561B2 (en) | System and method for secured communications between a mobile device and a server | |
CN106575416B (zh) | 用于向装置验证客户端的系统和方法 | |
AU2011342282B2 (en) | Authenticating transactions using a mobile device identifier | |
CN104464117B (zh) | 基于动态二维码银行自动柜员机取款方法及系统 | |
US20070162961A1 (en) | Identification authentication methods and systems | |
US20090172402A1 (en) | Multi-factor authentication and certification system for electronic transactions | |
CN112953970B (zh) | 一种身份认证方法及身份认证系统 | |
CN108684041A (zh) | 登录认证的系统和方法 | |
CN104657860A (zh) | 一种手机银行安全认证方法 | |
CA2613733A1 (en) | System and method for security in global computer transactions that enable reverse-authentication of a server by a client | |
CN103985036A (zh) | 一种带生物特征的二维码支付方法 | |
CN108989346A (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问模式 | |
CN102202300A (zh) | 一种基于双通道的动态密码认证系统及方法 | |
US20150256542A1 (en) | User authentication | |
CN102906776A (zh) | 一种用于用户和服务提供商之间双向认证的方法 | |
CN110620763B (zh) | 一种基于移动端app的移动身份认证方法及系统 | |
US20090220075A1 (en) | Multifactor authentication system and methodology | |
CN109150547A (zh) | 一种基于区块链的数字资产实名登记的系统和方法 | |
KR20210142180A (ko) | 효율적인 챌린지-응답 인증을 위한 시스템 및 방법 | |
GB2384069A (en) | Transferring user authentication for first to second web site | |
EP3579495A1 (en) | Authentication server, authentication system, and authentication method | |
Gandhi et al. | Advanced online banking authentication system using one time passwords embedded in QR code | |
CN110647737B (zh) | 仓单系统中企业用户安全认证的方法、装置及电子设备 | |
CN110533410B (zh) | 一种支付方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150527 |
|
RJ01 | Rejection of invention patent application after publication |