CN104680373A - 基于带外认证的移动金融安全方法 - Google Patents
基于带外认证的移动金融安全方法 Download PDFInfo
- Publication number
- CN104680373A CN104680373A CN201510103785.XA CN201510103785A CN104680373A CN 104680373 A CN104680373 A CN 104680373A CN 201510103785 A CN201510103785 A CN 201510103785A CN 104680373 A CN104680373 A CN 104680373A
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- authentication
- network segment
- trusted devices
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了基于带外认证的移动金融安全方法。包括步骤:带外网段操作:(1)用户使用信任设备访问手机网银,信任设备生成身份认证的一次性凭证;(2)将一次性凭证发送至身份认证系统;(3)身份认证系统进行判定认证,若通过则将判定结果通知手机网银中心;若不通过,则认证失败;切换至带内网段操作;带内网段操作:(4)手机网银中心接收判定结果;(5)手机网银中心授权开放该信任设备访问手机网银的信道;(6)信任设备成功访问手机网银。本发明规避了账号和密码的输入过程,不法分子无法截获这类信息,同时认证通道独立于数据通道,只有认证通过后,系统才会发送打开数据通道的请求,从而打开数据通道,安全性高。
Description
技术领域
本发明涉及基于带外认证的移动金融安全方法,属于网络身份认证领域。
背景技术
网络管理可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。所谓带内管理,是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送;而在带外管理模式中,网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。
目前的手机网银登录模式都是账号和密码的验证模式,只要输入账号和密码就可以登录,没有其他的安全保护措施。而且数据通道(带内网段)和认证通道(带外网段)在同一个网络中,如果账号和密码被不法分子所截获或者篡改,那么任何人都能够登录手机网银做任何的交易活动。
发明内容
本发明的目的在于提供基于带外认证的移动金融安全方法,主要解决现有手机网银登录模式安全性低、容易被不法分子篡改的问题。
为了实现上述目的,本发明采用的技术方案如下:
基于带外认证的移动金融安全方法,包括如下步骤:
带外网段操作:
(1)用户使用信任设备完成本地登录认证,并访问手机网银,信任设备生成身份认证的一次性凭证,该一次性凭证包含信任设备的设备信息、用户信息以及权限信息;
(2)信任设备将一次性凭证发送至身份认证系统;
(3)身份认证系统进行判定认证,若通过则将判定结果通知手机网银中心,进行步骤(4);若不通过,则认证失败;
步骤(1)-(3)完成后,切换至带内网段操作;
带内网段操作:
(4)手机网银中心接收身份认证系统的判定结果;
(5)手机网银中心授权开放该信任设备访问手机网银的信道;
(6)信任设备成功访问手机网银;
所述带内网段操作在服务请求网段上进行,带外网段操作在身份认证网段上进行,并且服务请求网段与身份认证网段不同时开放。
其中,信任设备是指通过注册认证的智能设备,该智能设备在管理者处具有唯一识别的信息和硬件的信息,而唯一识别的信息和硬件的信息成为了每次都需要认证的授权信息的一个部分。用户在使用智能设备欲访问手机网银时,身份认证系统首先会对该智能设备进行判断,确实其是否为信任设备。身份认证系统可以由一个服务器提供身份认证。
信任设备的注册流程为:
(a)用户通过信任设备扫描注册二维码;
(b)用户设置登陆密码;
(c)信任设备按照策略读取信任设备的硬件信息,形成含有设备信息和硬件信息的加密的信息包;
(d)信任设备生成注册信息并将注册信息发送至身份认证系统;
(e)身份认证系统解密注册信息,并判定注册信息是否正确,若是,则根据注册信息生成验证码;若否,返回错误结果;
(f)身份认证系统加密形成包含有验证码的私钥;
(g)身份认证系统预存私钥,同时,发送私钥给信任设备;
(h)信任设备保存私钥并使用私钥生成确认注册的一次性凭证OTA,一次性凭证OTA包含有:设备信息、用户信息及对应的权限信息;
(i)信任设备将确认注册信息连同一次性凭证OTA发送到身份认证系统;
(j)身份认证系统接收确认注册信息并判断确认注册信息是否正确,若是,则执行下一步,若否,则返回错误结果;
(k)身份认证系统转存对应的设备信息、用户信息及对应的权限信息到正式注册表,返回注册成功。
进一步地,所述步骤(1)的具体实现过程为:
(11)用户打开信任设备,输入密码取回私钥,根据私钥及输入信息登录信任设备,完成本地登录认证;
(12)访问手机网银,信任设备根据私钥生成身份认证的一次性凭证—OTA。
进一步地,所述步骤(3)的具体实现过程为:
(31)身份认证系统解密OTA;
(32)身份认证系统判定认证OTA的设备信息、用户信息以及权限信息,若认证通过,则将判定结果通知手机网银中心;若认证不通过,则认证失败;
(33)认证结束后系统关闭身份认证网段。
再进一步地,所述手机网银中心授权开放该信任设备访问手机网银的信道的同时,还授予该信任设备访问手机网银的权限。
与现有技术相比,本发明具有以下有益效果:
(1)本发明完全规避了账号和密码的输入过程,也就是说没有输入账号密码的操作,不法分子无法截获这类信息,同时认证通道是通过手机的信道完成的,独立于数据通道,只有认证通过后,系统才会发送打开数据通道的请求,从而打开数据通道。
(2)本发明不同实现过程在不同的网段内进行,其中使用信任设备访问手机网银和身份认证在带外网段进行,授权信任设备访问手机网银在带内网段进行,并且两个过程不同时进行,即两个过程进行时网段是唯一的,避免了不法分子监听和窃取,提高了安全性。
具体实施方式
下面结合实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
我们称服务请求网段为带内网段,相对于服务请求网段,身份认证网段就被称之为带外网段。这种通过两个网段,或者说通过两个独立的网络的身份认证模式就是双通道带外认证。
实施例
基于带外认证的移动金融安全方法,包括步骤:
1、带内网段操作(服务请求网段):
1.1用户打开信任设备中的APP;
1.2输入设定的密码;
1.3 APP根据输入密码取回私钥;
1.4 APP根据私钥及输入信息完成基于设备的本地登录验证;
1.5验证成功,APP本地登录完成;
1.6用户点击“网银一键登陆”;
1.7信任设备根据私钥生成身份认证的一次性凭证—OTA,该一次性凭证包含信任设备的设备信息、用户信息以及权限信息;
1.8信任设备通过移动网络,将OTA发送到身份认证系统;
1.9身份认证系统按照约定解密OTA;
1.10身份认证系统判定设备信息、用户信息及权限信息;
1.11身份认证系统判定认证通过,则将判定结果通知手机网银中心;如判定不通过,返回身份认证失败信息,结束认证。
在完成步骤1.1-1.11后,身份认证网段将关闭。
2、带外网段操作(身份认证网段):
2.1手机网银中心收到身份认证系统的判定结果信息;
2.2手机网银中心授权开放该信任设备访问手机网银的信道;
2.3手机网银中心授予该信任设备访问手机网银的权限;
2.4信任设备成功访问手机网银。
在步骤2.1-2.4完成后,登陆手机网银的流程完成。
按照上述实施例,便可很好地实现本发明。值得说明的是,基于上述结构设计的前提下,为解决同样的技术问题,即使在本发明上做出一些无实质性的改动或润色,所采用的技术方案的实质仍然与本发明一样,故其也应当在本发明的保护范围内。
Claims (5)
1.基于带外认证的移动金融安全方法,其特征在于,包括如下步骤:
带外网段操作:
(1)用户使用信任设备完成本地登录认证,并访问手机网银,信任设备生成身份认证的一次性凭证,该一次性凭证包含信任设备的设备信息、用户信息以及权限信息;
(2)信任设备将一次性凭证发送至身份认证系统;
(3)身份认证系统进行判定认证,若通过则将判定结果通知手机网银中心,进行步骤(4);若不通过,则认证失败;
步骤(1)-(3)完成后,切换至带内网段操作;
带内网段操作:
(4)手机网银中心接收身份认证系统的判定结果;
(5)手机网银中心授权开放该信任设备访问手机网银的信道;
(6)信任设备成功访问手机网银;
所述带内网段操作在服务请求网段上进行,带外网段操作在身份认证网段上进行,并且服务请求网段与身份认证网段不同时开放。
2.根据权利要求1所述的基于带外认证的移动金融安全方法,其特征在于,所述信任设备为在身份认证系统中存储有与之对应的唯一的识别码信息和设备信息的智能设备。
3.根据权利要求2所述的基于带外认证的移动金融安全方法,其特征在于,所述步骤(1)的具体实现过程为:
(11)用户打开信任设备,输入密码,根据输入信息登录信任设备进行本地登录认证,认证成功,则本地登录完成;
(12)访问手机网银,信任设备生成身份认证的一次性凭证—OTA。
4.根据权利要求3所述的基于带外认证的移动金融安全方法,其特征在于,所述步骤(3)的具体实现过程为:
(31)身份认证系统解密OTA;
(32)身份认证系统判定认证OTA的设备信息、用户信息以及权限信息,若认证通过,则将判定结果通知手机网银中心;若认证不通过,则认证失败;
(33)认证结束后系统关闭身份认证网段。
5.根据权利要求1-4任意一项所述的基于带外认证的移动金融安全方法,其特征在于,所述手机网银中心授权开放该信任设备访问手机网银的信道的同时,还授予该信任设备访问手机网银的权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510103785.XA CN104680373A (zh) | 2015-03-10 | 2015-03-10 | 基于带外认证的移动金融安全方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510103785.XA CN104680373A (zh) | 2015-03-10 | 2015-03-10 | 基于带外认证的移动金融安全方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104680373A true CN104680373A (zh) | 2015-06-03 |
Family
ID=53315377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510103785.XA Pending CN104680373A (zh) | 2015-03-10 | 2015-03-10 | 基于带外认证的移动金融安全方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104680373A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114666147A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070094503A1 (en) * | 2005-10-21 | 2007-04-26 | Novell, Inc. | Techniques for key distribution for use in encrypted communications |
| US20070186103A1 (en) * | 2006-01-23 | 2007-08-09 | Randle William M | Common authentication service for network connected applications, devices, users, and web services |
| CN101051906A (zh) * | 2007-05-14 | 2007-10-10 | 北京大学 | 发送、接收流式媒体的方法及流式媒体认证系统 |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
| CN103685283A (zh) * | 2013-12-18 | 2014-03-26 | 烽火通信科技股份有限公司 | 一种通信网络管理的认证授权系统及方法 |
-
2015
- 2015-03-10 CN CN201510103785.XA patent/CN104680373A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070094503A1 (en) * | 2005-10-21 | 2007-04-26 | Novell, Inc. | Techniques for key distribution for use in encrypted communications |
| US20070186103A1 (en) * | 2006-01-23 | 2007-08-09 | Randle William M | Common authentication service for network connected applications, devices, users, and web services |
| CN101051906A (zh) * | 2007-05-14 | 2007-10-10 | 北京大学 | 发送、接收流式媒体的方法及流式媒体认证系统 |
| CN102647394A (zh) * | 2011-02-16 | 2012-08-22 | 中兴通讯股份有限公司 | 路由设备身份认证方法及装置 |
| CN103685283A (zh) * | 2013-12-18 | 2014-03-26 | 烽火通信科技股份有限公司 | 一种通信网络管理的认证授权系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114666147A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9578025B2 (en) | Mobile network-based multi-factor authentication | |
| US8990912B2 (en) | Authentication of data communications | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| CN110324287A (zh) | 接入认证方法、装置及服务器 | |
| CN105827573B (zh) | 物联网设备强认证的系统、方法及相关装置 | |
| CA2884002C (en) | Method and system for verifying an access request | |
| EP2579220A1 (en) | Entrance guard control method and system thereof | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN105337977A (zh) | 一种动态双向认证的安全移动通讯架构及其实现方法 | |
| CN106713327A (zh) | 一种验证码安全加固的认证方法及系统 | |
| CN105868975B (zh) | 电子金融账户的管理方法、管理系统和移动终端 | |
| EP2515567A1 (en) | Apparatus and method for authenticating a transaction between a user and an entity | |
| CN104700479B (zh) | 基于带外认证的门禁方法 | |
| WO2021113034A1 (en) | Full-duplex password-less authentication | |
| CN104618402A (zh) | 基于带外认证的虚拟桌面云连接方法 | |
| CN100579012C (zh) | 一种终端用户安全接入软交换网络的方法 | |
| US20120284787A1 (en) | Personal Secured Access Devices | |
| CN104618401A (zh) | 基于实名制的wifi一键登录方法 | |
| CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN109451504B (zh) | 物联网模组鉴权方法及系统 | |
| US20210256102A1 (en) | Remote biometric identification | |
| CN107888376B (zh) | 基于量子通信网络的nfc认证系统 | |
| US10051468B2 (en) | Process for authenticating an identity of a user |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160608 Address after: 200000, Room 305, 1501-6 Ying Ying Road, Shanghai, Zhabei District Applicant after: Shanghai Financial Cloud Service Group Security Technology Co., Ltd. Address before: 610000, No. 1, North 78, purple North Street, Chengdu hi tech Zone, Sichuan, 2 Applicant before: Sichuan Ningchao Technology Co., Ltd. |
|
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20180814 |
|
| AD01 | Patent right deemed abandoned |