CN201163420Y - 一种安全网上银行设备 - Google Patents
一种安全网上银行设备 Download PDFInfo
- Publication number
- CN201163420Y CN201163420Y CNU2008200792176U CN200820079217U CN201163420Y CN 201163420 Y CN201163420 Y CN 201163420Y CN U2008200792176 U CNU2008200792176 U CN U2008200792176U CN 200820079217 U CN200820079217 U CN 200820079217U CN 201163420 Y CN201163420 Y CN 201163420Y
- Authority
- CN
- China
- Prior art keywords
- client
- bank
- digital certificate
- tpm
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种安全网上银行设备,涉及信息安全技术。本实用新型系统包括通过网络连接的服务器端和客户端。其结构特点是,所述客户端内置有包括可信平台模块TPM和TCG服务提供模块的可信计算平台。客户从银行获得的数字证书和私钥存储在可信平台模块TPM内,客户端中的程序通过TCG服务提供模块对数字证书和私钥进行访问。同现有技术相比,本实用新型利用TPM安全芯片构造可信计算环境,具有低成本,高安全、可靠性好,使用方便的特点。
Description
技术领域
本实用新型涉及信息安全技术,特别是利用可信计算技术的终端计算机安全访问网上银行的设备。
背景技术
随着网络技术和金融业的不断发展,以网络为交易平台开展各种金融业务成为目前国内各大银行普遍采纳的方式。随着网上银行业务量的不断增长和这种业务模式被越来越多的企业和个人客户所接受,各类安全事件随之不断出现,网上银行的安全风险也正受到越来越多的关注。
为确保网上银行业务的安全,国内各大银行采取各种手段以规避安全风险,主要的安全手段有以下两种。
一是账号加口令模式。这种方式下,用户以账号和口令采用WEB方式登录网上银行进行金融交易。这种方式操作简单,为广大用户所接受,也是目前多家银行为广大普通个人用户所提供的网上银行交易方式。但是这种方式的安全性比较低,用户口令一旦丢失或被盗取,用户账户将没有任何安全保障。网络钓鱼、假冒网站、诈骗短信等方式很容易使用户的账户和口令被骗取。
二是数字证书方式。数字证书也叫数字标识,是一种应用广泛的信息安全技术,一般由权威公正的第三方机构即CA(CertificateAuthority)中心签发,主要用于网上安全交易的身份认证。采用数字证书,银行可实现对用户进行强身份认证,以保证金融交易的安全。该方式下,即使客户的账户和密码被窃取,只要证书没有被窃取,非法用户就无法进入受害客户的网上银行账户。
个人或企业用户向银行申请数字证书时,会得到一把私钥和一个数字证书(含公钥)。其中,用户使用私钥进行数字签名。数字证书用于银行对客户的身份认证。私钥和数字证书的保管非常重要,若被泄露或窃取,用户的银行账户将面临极大的风险。
数字证书的存储通常有两种方式。一种是存储在客户计算机的硬盘中。以这种方式进行存储,数字证书同样有被黑客窃取的风险。另一种是存储在USBKey中。由于USBKey内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥及数字证书,利用USB Key内置的签名算法实现银行对用户身份的认证。由于用户私钥保存在单独的硬件设备中,能有效地防止软件复制或破解,因此保证了用户身份认证的安全性。但是采用这种方式,USBKey的保管就成为至关重要的问题,在一定程度上增加了银行和客户的成本。
发明内容
为了解决上述现有技术中存在的问题,本实用新型的目的是提供一种安全网上银行设备。它利用TPM安全芯片构造可信计算环境,具有低成本,高安全、可靠性好,使用方便的特点。
为了达到上述发明目的,本实用新型的技术方案以如下方式实现:
一种安全网上银行设备,它包括通过网络连接的服务器端和客户端。其结构特点是,所述客户端内置有包括可信平台模块TPM和TCG服务提供模块的可信计算平台。客户从银行获得的数字证书和私钥存储在可信平台模块TPM内,客户端中的程序通过TCG服务提供模块对数字证书和私钥进行访问。
在上述安全网上银行设备中,所述可信平台模块TPM由通过总线进行相互通信的输入/输出、密码运算协处理器、HMAC引擎、SHA-1引擎、Opt-In、非易失存储器、密钥生成器、随机数发生器、电源监测器、执行引擎、易失存储器模块组成。密码运算协处理器执行密码运算,密钥生成器生成非对称密钥对和对称密钥,SHA-1引擎执行杂凑运算,非易失存储器和易失存储器分别用于存储永久数据和临时数据。
本实用新型采用以上结构,具有如下几项优点。
(1)以TCG子系统为基础的客户端计算机系统能确保平台的完整性。以TPM的可信度量根为基础,可逐级实现BIOS、IPL(InitialProgram Loader,初始化程序加载器)/MBR(Master Boot Record,主引导分区)、OS内核、操作系统、应用程序的完整性度量,以建立信任链。该信任链中任意部件的完整性受到破坏,都会触发系统以某种方式报警。通过这个信任链,能确保该计算环境未受到非法破坏(如非法修改BIOS、非法破坏或修改OS内核、植入恶意程序等),这为客户登录网上银行提供了一个非常可信的客户端计算环境。具有设备成本低,安全性能高的特点。
(2)银行颁发给用户的数字证书同用户的身份信息、银行账户信息绑定。通过验证客户的数字证书和数字签名,网上银行服务器端能确保特定的金融交易是由特定的、被合法授权的客户完成的。通过TCG子系统对客户的数字证书和私钥进行保护,可防止数字证书和私钥被非法访问、窃取、冒用,从而保护了客户特定账户的安全,杜绝了金融诈骗的发生。具有可靠性好,使用方便的特点。
下面结合附图和具体实施方式对本实用新型做进一步说明。
附图说明
图1是本实用新型安全网上银行设备的结构示意图;
图2是本实用新型中客户端的结构示意图;
图3是本实用新型中可信平台模块TPM的结构示意图;
图4是本实用新型实现方法流程图。
具体实施方式
参看图1至图3,本实用新型包括通过网络连接的服务器端和客户端。客户端内置有包括可信平台模块TPM和TCG服务提供模块的可信计算平台。客户从银行获得的数字证书和私钥存储在可信平台模块TPM内,客户端中的程序通过TCG服务提供模块对数字证书和私钥进行访问。可信平台模块TPM由通过总线进行相互通信的输入/输出、密码运算协处理器、HMAC引擎、SHA-1引擎、Opt-In、非易失存储器、密钥生成器、随机数发生器、电源监测器、执行引擎、易失存储器模块组成,密码运算协处理器执行密码运算,密钥生成器生成非对称密钥对和对称密钥,SHA-1引擎执行杂凑运算,非易失存储器和易失存储器分别用于存储永久数据和临时数据。
可信计算平台以TPM芯片为可信根(可信度量根、可信报告根、可信存储根),通过如下三类机制及平台自身安全管理功能,实现平台安全功能。
(1)以可信度量根为起点,计算系统平台完整性度量值,建立计算机系统平台信任链,确保系统平台可信。
(2)可信报告根标识平台身份的可信性,具有唯一性,以可信报告根为基础,实现平台身份证明和完整性报告。
(3)基于可信存储根,实现密钥管理、平台数据安全保护功能,提供相应的密码服务。
参看图4,本实用新型安全网上银行设备的实现方法步骤为:
①客户向银行申请数字证书和私钥,成功后得到一份与银行账户以及个人身份信息绑定的数字证书和一份与该数字证书对应的私钥。
②客户把从银行获得的数字证书和私钥存入客户端可信计算密码支撑平台的可信平台模块TPM中。
③客户登录网上银行时,先验证网上银行服务器端的数字证书,确保所登录的网上银行是自己所需要的、合法的、没有被仿冒的有效网络系统。该验证通过后,网上银行服务器端验证客户的数字证书,由客户从可信平台模块TPM中提取出数字证书并交给服务器端。服务器端通过验证后,建立客户端与服务器端的安全连接。
④客户以账号和密码登录网上银行,执行金融交易。客户对交易数据进行数字签名时,从可信平台模块TPM中提取出私钥,并使用该私钥对交易数据执行相应的签名算法。服务器端接收到客户的交易请求后,验证客户数字签名,处理交易数据,并把处理结果反馈给客户。
⑤交易结束后,撤销客户端和服务器端的安全连接,客户退出网上银行系统。
Claims (2)
1、一种安全网上银行设备,它包括通过网络连接的服务器端和客户端,其特征在于,所述客户端内置有包括可信平台模块TPM和TCG服务提供模块的可信计算平台,客户从银行获得的数字证书和私钥存储在可信平台模块TPM内,客户端中的程序通过TCG服务提供模块对数字证书和私钥进行访问。
2、根据权利要求1所述的安全网上银行装置,其特征在于,所述可信平台模块TPM由通过总线进行相互通信的输入/输出、密码运算协处理器、HMAC引擎、SHA-1引擎、Opt-In、非易失存储器、密钥生成器、随机数发生器、电源监测器、执行引擎、易失存储器模块组成,密码运算协处理器执行密码运算,密钥生成器生成非对称密钥对和对称密钥,SHA-1引擎执行杂凑运算,非易性存储器和易失存储器分别用于存储永久数据和临时数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008200792176U CN201163420Y (zh) | 2008-03-06 | 2008-03-06 | 一种安全网上银行设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008200792176U CN201163420Y (zh) | 2008-03-06 | 2008-03-06 | 一种安全网上银行设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201163420Y true CN201163420Y (zh) | 2008-12-10 |
Family
ID=40184350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU2008200792176U Expired - Fee Related CN201163420Y (zh) | 2008-03-06 | 2008-03-06 | 一种安全网上银行设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201163420Y (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101881997B (zh) * | 2009-05-04 | 2011-12-14 | 同方股份有限公司 | 一种可信安全移动存储装置 |
-
2008
- 2008-03-06 CN CNU2008200792176U patent/CN201163420Y/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101881997B (zh) * | 2009-05-04 | 2011-12-14 | 同方股份有限公司 | 一种可信安全移动存储装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101527024A (zh) | 一种安全网上银行系统及其实现方法 | |
| US6557104B2 (en) | Method and apparatus for secure processing of cryptographic keys | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| CN101039186B (zh) | 系统日志的安全审计方法 | |
| CN102646077B (zh) | 一种基于可信密码模块的全盘加密的方法 | |
| WO2020073513A1 (zh) | 基于区块链的用户认证方法及终端设备 | |
| WO2018170341A1 (en) | Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| CN110768791B (zh) | 一种零知识证明的数据交互方法、节点、设备 | |
| CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
| JP2015504222A (ja) | データ保護方法及びシステム | |
| CN110061842A (zh) | 带外远程认证 | |
| CN101739622A (zh) | 一种可信支付计算机系统 | |
| CN102024115B (zh) | 一种具有用户安全子系统的计算机 | |
| US20030172265A1 (en) | Method and apparatus for secure processing of cryptographic keys | |
| CN110837634B (zh) | 基于硬件加密机的电子签章方法 | |
| Farooq | A Review on cloud computing security using authentication techniques. | |
| CN112398649A (zh) | 一种利用USBKey和CA进行服务器加密的方法及系统 | |
| CN101527025A (zh) | 一种安全网上银行系统及实现方法 | |
| CN113271207A (zh) | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 | |
| CN104751042A (zh) | 基于密码哈希与生物特征识别的可信性检测方法 | |
| CN201163420Y (zh) | 一种安全网上银行设备 | |
| CN201163419Y (zh) | 一种安全网上银行装置 | |
| Kelkar et al. | Complete knowledge: Preventing encumbrance of cryptographic secrets | |
| CN201845340U (zh) | 一种具有用户安全子系统的安全计算机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081210 Termination date: 20170306 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |