TW201319976A - 網路交易安全認證方法及網路交易安全認證系統 - Google Patents

網路交易安全認證方法及網路交易安全認證系統 Download PDF

Info

Publication number
TW201319976A
TW201319976A TW101107355A TW101107355A TW201319976A TW 201319976 A TW201319976 A TW 201319976A TW 101107355 A TW101107355 A TW 101107355A TW 101107355 A TW101107355 A TW 101107355A TW 201319976 A TW201319976 A TW 201319976A
Authority
TW
Taiwan
Prior art keywords
user
transaction
otp
server
information
Prior art date
Application number
TW101107355A
Other languages
English (en)
Inventor
yu-liang Deng
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of TW201319976A publication Critical patent/TW201319976A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • G06Q20/027Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP] involving a payment switch or gateway
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本申請提供了一種網路交易安全認證方法及網路交易安全認證系統,既能克服硬體存在的使用範圍、使用壽命及技術升級的問題,又能解決當前網路交易面臨的防範釣魚、木馬、木馬釣魚能力較差的問題。該方法包括:產生用戶端與伺服器端進行加密通信的隨機會話密鑰;該伺服器端依據該隨機會話密鑰,驗證該用戶端的用戶身份;用戶身份驗證通過後,該伺服器端產生交易圖片資訊,並依據該隨機會話密鑰加密傳輸該交易圖片資訊至用戶端;該用戶端確認該交易圖片資訊後,該伺服器端依據該隨機會話密鑰驗證交易簽名。

Description

網路交易安全認證方法及網路交易安全認證系統
本申請係關於安全認證領域,特別係關於一種網路交易安全認證方法及網路交易安全認證系統。
在互聯網日益發達和普及的今天,網路交易因其方便、快捷、高效、經濟的優勢已逐漸成為人們日常交易活動中重要的交易方式之一。但是,網路交易需要借助於互聯網平臺才能實現,在交易支付過程中用戶需要透過電腦輸入帳戶密碼,如果這時遭到駭客的攻擊,用戶的帳戶密碼就很容易洩露,使用戶可能蒙受經濟上的損失。
當前比較流行的幾種駭客攻擊方式包括釣魚、木馬和木馬釣魚等,其中“釣魚”是指駭客利用用戶的弱點來騙取用戶的密碼;“木馬”是指駭客透過向用戶機器種植惡意程式,達到篡改用戶交易的目的,讓用戶為駭客買單;“木馬釣魚”是指同時使用木馬和釣魚劫持用戶交易,並在第三方網站建立交易,篡改用戶交易顯示,給用戶展示用戶想看到的交易,騙取用戶輸入密碼,讓用戶為駭客在第三方網站上的交易買單。
為了增加交易的安全性,人們開發了密碼控制項技術和動態密碼OTP(one time password,簡稱OTP,即一次性密碼)技術,用來對用戶的網路交易進行保護。但是,最初的 密碼控制項技術僅僅是一個靜態的密碼保護外掛程式,而第一代的OTP技術只是基於密碼安全的角度設計的,對釣魚和木馬的防範能力較差;第二代的OPT技術雖然將交易資訊作為一個外部輸入來產生密碼,此時的密碼已經不再是基於密碼安全的安全了,因此安全性能有所提升,但目前應用二代OTP技術的主要是一些硬體產品如USB Key,而硬體產品在使用範圍和使用壽命上都受到限制,特別是當技術升級時,硬體產品一般需要更換新的硬體才能實現。
因此,需要本領域技術人員迫切解決的一個技術問題就是:如何透過軟體的方式實現二代OTP技術,既能克服硬體存在的使用範圍、使用壽命及技術升級的問題,又能解決當前網路交易面臨的防範釣魚、木馬、木馬釣魚能力較差的問題。
本申請所要解決的技術問題是提供一種網路交易安全認證方法及網路交易安全認證系統,既能克服硬體存在的使用範圍、使用壽命及技術升級的問題,又能解決當前網路交易面臨的防範釣魚、木馬、木馬釣魚能力較差的問題。
為了解決上述問題,本申請公開了一種網路交易安全認證方法,包括:產生用戶端與伺服器端進行加密通信的隨機會話密鑰 (session key);該伺服器端依據該隨機會話密鑰,驗證該用戶端的用戶身份;用戶身份驗證通過後,該伺服器端產生交易圖片資訊,並依據該隨機會話密鑰加密傳輸該交易圖片資訊至用戶端;該用戶端確認該交易圖片資訊後,該伺服器端依據該隨機會話密鑰驗證交易簽名。
較佳的,該產生用戶端與伺服器端進行加密通信的隨機會話密鑰,包括:在用戶端產生亂數;用預設的RSA公鑰加密該亂數;發送該加密的亂數至伺服器端;在伺服器端依據該加密的亂數產生隨機會話密鑰;發送該隨機會話密鑰至用戶端。
較佳的,該依據隨機會話密鑰驗證用戶端的用戶身份,包括:在用戶端提取用戶機器資訊;用該隨機會話密鑰加密用戶機器資訊;傳送該加密的用戶機器資訊至伺服器端;在伺服器端驗證用戶機器資訊匹配程度;當用戶機器資訊匹配程度符合預設條件時,用戶身份驗證通過; 當用戶機器資訊匹配程度不符合預設條件時,用戶身份驗證失敗。
較佳的,該方法還包括:在伺服器端產生抓取因子,並發送至用戶端;則在用戶端根據該抓取因子提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊和抓取因子,並傳送至伺服器端;伺服器端依據該抓取因子驗證用戶機器資訊匹配程度。
較佳的,當用戶身份驗證失敗時,該方法還包括:用戶端發送手機簡訊發送請求;伺服器端收到該請求後,獲取用戶資訊,產生手機簡訊驗證碼,並發送該手機簡訊驗證碼至用戶綁定的手機;用戶收到手機簡訊驗證碼後,在用戶端輸入該手機簡訊驗證碼,並發送至伺服器端;伺服器端進行簡訊驗證碼驗證,驗證通過後,發送用戶身份驗證通過的結果至用戶端。
較佳的,該產生交易圖片資訊,包括:根據交易資訊、隨機會話密鑰、時間和用戶種子,產生交易驗證碼;根據交易資訊和隨機會話密鑰,產生摘要資訊;產生底圖,並將摘要資訊加入該底圖;將該交易資訊和交易驗證碼加入該包含摘要資訊的底圖 ,產生交易圖片資訊。
較佳的,該依據隨機會話密鑰驗證交易簽名,包括:在用戶端輸入交易驗證碼;對交易圖片資訊和交易驗證碼用該隨機會話密鑰進行數位簽名;發送該數位簽名至伺服器端;伺服器端驗證該數位簽名是否正確,並發送驗證結果至用戶端。
本申請還提供了一種網路交易安全認證系統,包括:OTP控制項、OTP控制項伺服器和OTP認證平臺,其中,該OTP控制項和OTP控制項伺服器,用於產生OTP控制項與OTP控制項伺服器進行加密通信的隨機會話密鑰,並依據該隨機會話密鑰,驗證OTP控制項的用戶身份;該OTP認證平臺,與OTP控制項伺服器相連,用於在收到OTP控制項伺服器發送的用戶身份驗證通過的資訊後,產生交易圖片資訊,並依據該隨機會話密鑰加密傳輸該交易圖片資訊至OTP控制項;在OTP控制項確認該交易圖片資訊後,依據該隨機會話密鑰驗證交易簽名。
較佳的,在產生隨機會話密鑰時,該OTP控制項用於產生亂數,用預設的RSA公鑰加密該亂數,並發送至OTP控制項伺服器;該OTP控制項伺服器用於依據該加密的亂數產生隨機會話密鑰,並發送該隨機會話密鑰至OTP控制 項。
較佳的,在驗證OTP控制項的用戶身份時,該OTP控制項用於提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊,並發送至OTP控制項伺服器;該OTP控制項伺服器用於驗證用戶機器資訊匹配程度,當用戶機器資訊匹配程度符合預設條件時,用戶身份驗證通過;當用戶機器資訊匹配程度不符合預設條件時,用戶身份驗證失敗。
較佳的,該OTP控制項伺服器還用於產生抓取因子,並發送至OTP控制項;則該OTP控制項根據該抓取因子提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊和抓取因子,並發送至OTP控制項伺服器;該OTP控制項伺服器依據該抓取因子驗證用戶機器資訊匹配程度。
較佳的,當用戶身份驗證失敗時,該系統還包括:用戶端腳本模組,用於發送手機簡訊發送請求;該OTP認證平臺還用於收到該請求後,獲取用戶資訊,產生手機簡訊驗證碼,並發送該手機簡訊驗證碼至用戶綁定的手機;還用於進行簡訊驗證碼驗證,驗證通過後,發送用戶身份驗證通過的結果至用戶端腳本模組。
較佳的,該OTP認證平臺包括:OTP演算法驅動模組,用於根據交易資訊、隨機會話密鑰、時間和用戶種子,產生交易驗證碼;OTP業務系統,用於根據交易資訊和隨機會話密鑰,產 生摘要資訊;圖片伺服器,用於產生底圖,並將摘要資訊加入該底圖;還用於將該交易資訊和交易驗證碼加入該包含摘要資訊的底圖,產生交易圖片資訊。
較佳的,在驗證交易簽名時,該OTP控制項用於輸入交易驗證碼,對交易圖片資訊和交易驗證碼用該隨機會話密鑰進行數位簽名,並發送該數位簽名至OTP認證平臺;該OTP認證平臺用於驗證該數字簽名是否正確,並發送驗證結果。
與現有技術相比,本申請包含以下優點:第一,本申請基於OTP技術、密碼控制項技術、交易圖片簽名技術等軟體技術實現了網路交易的安全認證,克服了硬體產品存在的使用範圍、使用壽命和技術升級的難點;第二,本申請透過利用隨機會話密鑰安全地傳輸交易圖片的方式,實現了用戶交易的二次確認,即利用軟體的方式實現了二代OTP技術,解決了現有的軟體產品防範釣魚、木馬、木馬釣魚困難的問題;第三,本申請透過建立了OTP控制項伺服器和OTP認證平臺,實現了OTP技術的批量化交易;第四,本申請提供的安全認證系統是基於軟體技術構建的,易於推廣,如能在第三方系統(如第三方商家、第三方支付平臺)中得到應用,可以增強整個行業的安全性。
為使本申請的上述目的、特徵和優點能夠更加明顯易懂,下面結合附圖和具體實施方式對本申請作進一步詳細的說明。
本申請利用軟體的方式實現了一種網路交易安全認證方法和網路交易安全認證系統,既能克服硬體存在的使用範圍、使用壽命及技術升級的問題,又能解決當前網路交易面臨的防範釣魚、木馬、木馬釣魚能力較差的問題。
下面透過圖1至圖9對本申請的內容進行詳細說明。
需要說明的是,圖1至圖9的流程中涉及到位於用戶端的OTP控制項、JS(一種電腦腳本語言Javascript的縮寫)腳本和瀏覽器,以及位於伺服器端的網路支付閘道、OTP控制項伺服器(圖中簡稱為控制項伺服器)、OTP認證平臺、業務系統和資料庫。其中,OTP控制項安裝在用戶端的機器上,配合OTP控制項伺服器和OTP認證平臺完成網路交易的安全認證。OTP控制項伺服器主要用於驗證OTP控制項的用戶身份,OTP認證平臺主要完成交易驗證。網路支付SSL伺服器是網路交易中用於完成網路支付的伺服器,業務系統主要用於網路交易業務的資料處理。
參照圖1,是本申請實施例所述一種網路交易安全認證方法流程圖,具體步驟如下:步驟101,產生用戶端與伺服器端進行加密通信的隨機 會話密鑰;該產生用戶端與伺服器端進行加密通信的隨機會話密鑰是指用戶端與伺服器端進行會話密鑰交互,由用戶端產生亂數發送至伺服器端,由伺服器端根據亂數產生隨機會話密鑰和抓取因子,並返回至用戶端。
參照圖2所示,詳細的過程如下:S1,頁面跳轉至收銀台;S2,JS腳本初始化OTP控制項;S3,JS腳本產生會話密鑰請求,並發送給OTP控制項;S4,OTP控制項產生24位元組亂數;S5,OTP控制項用預設的RSA公鑰(一種公鑰加密演算法,名稱來自三個發明者Ron Rivest,Adi Shamirh,Leonard Adleman的姓名)加密該亂數;S6,OTP控制項將加密的資料返回給JS腳本;S7,JS腳本呼叫瀏覽器發送會話密鑰交互請求;S8,瀏覽器發送會話密鑰交互請求至網路支付閘道;S9,網路支付閘道轉發封包至OTP控制項伺服器;該封包包含該會話密鑰交互請求;S10,OTP控制項伺服器解密封包,獲取用戶端亂數;具體的,OTP控制項伺服器用RSA私鑰解密得到OTP控制項的24位元組亂數; S11,OTP控制項伺服器產生12位元組的亂數;S12,OTP控制項伺服器取OTP控制項的24位元組的前12位元組和自己的12位元組,變成一個24位元組的隨機會話密鑰;S13,OTP控制項伺服器保存該隨機會話密鑰到資料庫;S14,OTP控制項伺服器產生抓取因子;該抓取因子是隨機抽取的n個亂數的集合,用於步驟102中抓取用戶機器資訊,並用於驗證所抓取的用戶機器資訊,是本實施例的一種較佳實現方式。
S15,OTP控制項伺服器用OTP控制項的24位元組亂數作為密鑰加密自己的12位元組亂數和抓取因子;S16,OTP控制項伺服器發送會話密鑰交互回應;S17,網路支付閘道轉發回應封包至瀏覽器;S18,瀏覽器接收回應封包,返回JS腳本呼叫;S19,JS腳本獲取密文資訊;S20,JS腳本向OTP控制項發送機器資訊驗證請求;S21,OTP控制項用自己的24位元組亂數解密該密文資訊,獲得OTP控制項伺服器的12位元組亂數;S22,OTP控制項用自己的24位元組的前12位元組和解密得到的12位元組得到隨機會話密鑰,隨後的封包用該隨機會話密鑰加密傳輸; S23,OTP控制項獲取抓取因子。由上可知,控制項和伺服器端之間產生了一個隨機會話密鑰,而且兩邊各自產生一半,因此非常安全。
步驟102,依據該隨機會話密鑰,驗證用戶端的用戶身份;該驗證用戶端的用戶身份包括兩種方式,一種透過用戶機器資訊進行驗證,如圖3所示;另一種是當用戶機器資訊驗證失敗後,透過手機簡訊對用戶身份進行驗證,如圖4所示。
參照圖3所示,該透過用戶機器資訊進行驗證的方式又可細分為下述步驟: S1,JS腳本將會話密鑰回應封包傳入OTP控制項;S2,OTP控制項獲取隨機會話密鑰和抓取因子;OTP控制項用自己的24位元組解密伺服器端回應,並用解密得到的12位元組替換24位元組的後12位元組,最終得到該隨機會話密鑰。
S3,OTP控制項提取用戶機器資訊;OTP控制項根據抓取因子提取用戶機器資訊。用戶機器資訊採取編號的形式,每個編號對應抓取因子中的一個亂數,假設某次的抓取因子包含10個亂數,則對應這10個亂數提取對應編號的機器資訊。OTP控制項每次提取部分機器資訊。
由於抓取因子是隨機的,因此每次根據抓取因子提取的用戶機器資訊也是不同的。例如,控制項伺服器在某一次下放的抓取因子為16個亂數,而隨後在下一次下放的抓取因子又為20個亂數,那麼對於同一個OTP控制項和同一個用戶機器,每次抓取的用戶機器資訊都是不同的,從而提高了用戶身份驗證的安全性,這也是本實施例的一種較佳實現方式。其中,用戶機器資訊包含機器的硬體資訊,也可以包含軟體資訊,如作業系統版本等。
S4,OTP控制項用隨機會話密鑰加密用戶機器資訊,並返回至JS腳本;如果採用抓取因子的方法,則OTP控制項還會把抓取因子同用戶機器資訊一起加密發送。
S5,JS腳本呼叫瀏覽器發送請求封包;S6,瀏覽器發送請求封包至網路支付閘道;S7,網路支付閘道轉發封包至OTP控制項伺服器;S8,OTP控制項伺服器讀取資料庫資訊;S9,OTP控制項伺服器根據抓取因子比對資料,逐個判斷用戶的機器資訊是否變更;透過比對抓取因子對應的值,即將根據抓取因子抓取的用戶機器資訊和資料庫中該抓取因子對應的值進行比對,判斷用戶的機器資訊是否變更。
S10,當用戶機器匹配成功率符合預設條件時,認為此 用戶機器匹配成功;該符合預設條件可以是,用戶機器匹配成功率>=80%,此時認為用戶身份驗證通過;當用戶機器匹配成功率<80%時,認為用戶身份驗證失敗。
S11,OTP控制項伺服器返回成功封包至網路支付閘道;S12,網路支付閘道轉發成功封包至瀏覽器;S13,瀏覽器接收成功封包,並返回JS腳本呼叫。
參照圖4所示,該透過手機簡訊進行用戶身份驗證的方式又可細分為下述步驟:其中,S1至S9與圖3中的S1至S9相同,在此略,下面從S10開始說明;S10,當用戶機器匹配成功率不符合預設條件時,認為此用戶機器匹配失敗;如前該,該符合預設條件可以是,用戶機器匹配成功率<80%,此時認為用戶身份驗證失敗。
S11,OTP控制項伺服器返回失敗封包至網路支付閘道;S12,網路支付閘道轉發失敗封包至瀏覽器;S13,瀏覽器接收封包,返回JS腳本呼叫;S14,JS腳本從業務系統獲取簡訊驗證碼驗證頁面;S15,JS腳本展現該頁面; 通常,該頁面提示用戶輸入手機號碼或其他用戶相關資訊;S16,JS腳本發送簡訊發送請求至控制項伺服器;當用戶在上述頁面輸入手機號碼其他用戶相關資訊後,JS腳本發送簡訊發送請求;S17,控制項伺服器發送簡訊發送請求至OTP認證平臺;S18,OTP認證平臺從業務系統獲取用戶資訊;該用戶資訊可以是用戶手機號碼,也可以是用戶名、電子信箱、聯繫位址等其他相關資訊;S19,OTP認證平臺產生驗證碼;OTP認證平臺是根據用戶資訊產生驗證碼;S20,OTP認證平臺發送簡訊請求至業務系統;S21,由業務系統發送簡訊給用戶綁定的手機;其中,該簡訊中包含了OTP認證平臺產生的驗證碼,參照圖5所示,是手機簡訊顯示的資訊內容示意圖;S22,用戶收到該簡訊後,在網頁上輸入簡訊驗證碼;S23,JS腳本發送簡訊驗證請求至OTP控制項伺服器;S24,OTP控制項伺服器轉發簡訊驗證請求至OTP認證平臺;S25,OTP認證平臺對手機驗證碼進行驗證;S26,驗證成功後,OTP認證平臺發送驗證成功請求至 OTP控制項伺服器;S27,OTP控制項服務發送驗證成功回應至JS腳本;S28,JS腳本向OTP控制項發送抓取機器資訊請求;S29,OTP控制項抓取所有的機器資訊;S30,OTP控制項向JS腳本返回抓取的機器資訊;其中,OTP控制項用隨機會話密鑰加密機器資訊;S31,JS腳本呼叫瀏覽器提交抓取的機器資訊;S32,瀏覽器向網路支付閘道發送請求封包;S33,網路支付閘道向OTP控制項伺服器轉發封包;S34,OTP控制項伺服器更新用戶機器資訊;S35,OTP控制項伺服器向網路支付閘道發送回應封包;S36,網路支付閘道向瀏覽器轉發回應封包;S37,瀏覽器向JS呼叫返回回應封包;S38,JS腳本收到回應封包,完成用戶身份驗證。
步驟103,用戶身份驗證通過後,產生交易圖片資訊,並依據該隨機會話密鑰加密傳輸該交易圖片資訊至用戶端;由伺服器端產生交易圖片資訊,該交易圖片資訊可參見圖7所示,並由伺服器端將交易圖片資訊發給用戶端。
參照圖6所示,用戶端獲取交易圖片資訊的過程具體包括:S1,JS腳本發送用戶機器驗證結果至OTP控制項; 當然,如果機器驗證失敗並採用手機簡訊驗證方式,則可以將手機簡訊驗證結果發送給OTP控制項;S2,OTP控制項發送交易圖片資訊獲取請求至JS腳本;S3,JS腳本發送交易圖片資訊請求至瀏覽器;S4,瀏覽器發送交易圖片資訊請求至網路支付閘道;S5,網路支付閘道轉發封包至OTP控制項伺服器;S6,控制項伺服器發送獲取交易圖片請求至OTP認證平臺;S7,OTP認證平臺根據訂單號碼獲取交易資訊;OTP認證平臺從業務系統獲取此次請求對應的訂單號碼,並依據該訂單號碼獲取對應的交易資訊,該交易資訊包括交易內容、交易金額、交易時間等如圖7所示的資訊。
S8,OTP認證平臺根據交易資訊產生圖片要素;該圖片要素是指產生交易圖片資訊的要素,如交易驗證碼、摘要資訊、底圖等要素。
S9,OTP認證平臺產生交易圖片資訊;在OTP認證平臺中,由圖片伺服器利用圖片要素產生交易圖片資訊;其中S8和S9產生交易圖片資訊的詳細過程可參見圖8所示流程;S10,OTP認證平臺用隨機會話密鑰加密交易圖片資訊 ,發送交易圖片資訊回應至OTP控制項伺服器;S11,OTP控制項伺服器發送交易圖片資訊回應至網路支付閘道;S12,網路支付閘道轉發回應封包至瀏覽器;S13,瀏覽器接收封包,返回JS腳本呼叫;S14,JS腳本向OTP控制項展示圖片。
參照圖8所示,在OTP認證平臺中產生交易圖片資訊的過程具體包括:
1)OTP演算法驅動根據交易資訊、隨機會話密鑰、時間和用戶種子產生交易驗證碼;其中,該時間是指交易時間,該用戶種子是一個20個位元組的亂數,每個用戶都有一個種子,而且都不一樣。
2)OTP業務系統根據交易資訊和隨機會話密鑰產生摘要資訊,每一項交易對應唯一的摘要資訊;
3)圖片伺服器產生底圖;
4)將摘要資訊加入底圖,摘要資訊與底圖顏色一樣;
5)將該交易資訊和交易驗證碼加入該包含摘要資訊的底圖,產生交易圖片資訊。
步驟104,在用戶端確認該交易圖片資訊後,依據該隨機會話密鑰驗證交易簽名。
該驗證交易簽名是指用戶獲取交易圖片資訊後,從交易圖片中獲取交易驗證碼,並輸入交易驗證碼確認交易,OTP 控制項對交易圖片和交易驗證碼進行數位簽名並發送至OTP認證平臺,OTP認證平臺驗證數字簽名是否正確並返回交易簽名認證結果至用戶端。
參照圖9所示,具體包括:S1,JS腳本發送圖片展現請求至OTP控制項;S2,OTP控制項展現交易內容資訊,顯示的交易圖片資訊參照圖7所示;S3,用戶在OTP控制項輸入交易驗證碼;S4,OTP控制項對交易圖片和交易驗證碼利用隨機會話密鑰進行數位簽名;S5,OTP控制項發送簽名驗證請求至JS腳本;S6,JS腳本發送簽名驗證請求至瀏覽器;S7,瀏覽器發送交易資訊圖片請求至網路支付閘道;S8,網路支付閘道轉發封包至OTP控制項伺服器;S9,OTP控制項伺服器發送交易簽名驗證請求至OTP認證平臺;S10,OTP認證平臺驗證簽名是否正確;S11,OTP認證平臺發送交易簽名驗證結果至OTP控制項伺服器;S12,OTP控制項伺服器發送交易圖片驗證回應至網路支付閘道;S13,網路支付閘道轉發回應封包至瀏覽器; S14,瀏覽器接收封包,返回JS呼叫;S15,進行後續處理。
綜上所述,上述安全認證方法在傳輸過程中加入隨機會話密鑰,保證了整個傳輸過程的交易圖片資訊不會被篡改,同時圖片資訊變成在控制項裏面顯示,並隨著用戶輸入密碼,控制項對圖片和密碼簽名,加密傳輸到伺服器端驗證,這樣就保證了整個交易過程中的安全性。
以上所述的用戶是指OTP控制項用戶,所謂OTP控制項用戶是指安裝了OTP控制項並進行實名認證和手機綁定的用戶。對於原密碼控制項用戶,參照圖10所示,升級為OTP控制項用戶的流程具體包括:用戶打開瀏覽器,輸入支付網站網址,獲取頁面資訊,網路支付閘道發出帶升級資訊的腳本,透過瀏覽器顯示,用戶看到升級的提示,用戶點擊升級,向下載伺服器提出下載請求,下載伺服器將資料傳輸至瀏覽器,用戶進行安裝;更新後第一次支付,頁面展現請求封包,網路支付閘道查找用戶類型,對於非實名認證用戶,返回要求實名認證的頁面,瀏覽器返回實名認證的頁面,並展現給用戶;用戶登錄身份資訊和銀行卡號資訊,瀏覽器發送實名認證請求,網路支付閘道驗證身份並付款,業務系統發送付款回應,網路支付閘道轉發封包至瀏覽器;用戶輸入付款和手機資訊,瀏覽器發送驗證請求,網路支付閘道轉發至業務系統,業務系統發送 驗證結果,瀏覽器展現驗證結果給用戶。
對於新用戶申請,用戶在註冊後,按照上述圖10所示流程操作即可升級為OTP控制項用戶。
此外,在步驟102驗證用戶身份的過程中,伺服器端首先透過用戶機器資訊驗證用戶身份,如果驗證失敗會再透過手機簡訊驗證的方式驗證用戶身份,因此,用戶綁定的手機號碼對安全支付來說是非常重要的資訊。所以用戶綁定的手機號碼變更需要透過以下兩種方式之一才能完成:一種是採用發送郵件至用戶註冊信箱的方式,用戶透過郵件鏈結驗證身份,然後更新新手機號碼;另一種是透過客服電話,由客服驗證用戶身份後,更新用戶手機號碼。
基於上述方法實施例的說明,本申請還提供了相應的系統實施例。
參照圖11,是本申請實施例所述的一種網路交易安全認證系統結構圖。
該安全認證系統可以包括OTP控制項10、OTP控制項伺服器20和OTP認證平臺30,其中,該OTP控制項10和OTP控制項伺服器20,用於產生OTP控制項10與OTP控制項伺服器20進行加密通信的隨機會話密鑰,並依據該隨機會話密鑰,驗證OTP控制項10的用戶身份; 該OTP認證平臺30,與OTP控制項伺服器20相連,用於在收到OTP控制項伺服器發送的用戶身份驗證通過的資訊後,產生交易圖片資訊,並依據該隨機會話密鑰加密傳輸該交易圖片資訊至OTP控制項10;在OTP控制項10確認該交易圖片資訊後,依據該隨機會話密鑰驗證交易簽名。
其中,在產生隨機會話密鑰時,該OTP控制項10用於產生亂數,用預設的RSA公鑰加密該亂數,並發送至OTP控制項伺服器20;該OTP控制項伺服器20用於依據該加密的亂數產生隨機會話密鑰,並發送該隨機會話密鑰至OTP控制項10。
其中,在驗證OTP控制項的用戶身份時,該OTP控制項10用於提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊,並發送至OTP控制項伺服器20;該OTP控制項伺服器20用於驗證用戶機器資訊匹配程度,當用戶機器資訊匹配程度符合預設條件時,用戶身份驗證通過;當用戶機器資訊匹配程度不符合預設條件時,用戶身份驗證失敗。
進一步較佳的,該OTP控制項伺服器20還用於產生抓取因子,並發送至OTP控制項10;則該OTP控制項10可以根據該抓取因子提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊和抓取因子,並發送至OTP控制項伺服器20;該OTP控制項伺服器20可以依據該抓取因子驗證用戶機器資訊匹配程度。
進一步較佳的,如圖12所示,當上述用戶身份驗證失敗時,該系統還可以包括:用戶端腳本模組40,用於發送手機簡訊發送請求;該OTP認證平臺30還用於收到該請求後,獲取用戶資訊,產生手機簡訊驗證碼,並發送該手機簡訊驗證碼至用戶綁定的手機;用戶收到手機簡訊驗證碼後,在用戶端腳本模組40中輸入該手機簡訊驗證碼,並發送至OTP認證平臺30;該OTP認證平臺30還用於進行簡訊驗證碼驗證,驗證通過後,發送用戶身份驗證通過的結果至用戶端腳本模組40。
進一步較佳的,該OTP認證平臺30具體可以包括:OTP演算法驅動模組,用於根據交易資訊、隨機會話密鑰、時間和用戶種子,產生交易驗證碼;OTP業務系統,用於根據交易資訊和隨機會話密鑰,產生摘要資訊;圖片伺服器,用於產生底圖,並將摘要資訊加入該底圖;還用於將該交易資訊和交易驗證碼加入該包含摘要資訊的底圖,產生交易圖片資訊。
其中,在驗證交易簽名時,該OTP控制項10用於輸入交易驗證碼,對交易圖片資訊和交易驗證碼用該隨機會話密鑰進行數位簽名,並發送該數位簽名至OTP認證平臺30; 該OTP認證平臺30用於驗證該數字簽名是否正確,並發送驗證結果。
對於上述安全認證系統實施例而言,由於其與方法實施例基本相似,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
為了更好地理解本申請的內容,下面再結合幾個駭客攻擊的具體案例分析利用本申請提供的方法和系統如何能防範釣魚、木馬、木馬釣魚。
1、支付網站站內釣魚
站內交易替換是近期出現的一種木馬病毒變種,木馬在支付網站站內建立一筆即時到帳交易,如:我要付款,然後跳轉回收銀台讓用戶支付。
站內交易替換的過程,參照圖13所示:①用戶在購物網站購買商品後,用戶點擊確認購買,瀏覽器跳轉到支付網站收銀台後,木馬攔截正常的支付流程;②木馬將瀏覽器導向支付網站即時到帳頁面;③木馬產生一筆“我要付款”訂單,收款方為詐欺者的網路支付帳號;④瀏覽器跳回支付網站收銀台;用戶看到自己需要支付一筆訂單,這筆訂單實際上會支付到詐欺者的網路支付帳號; ⑤用戶選擇付款;⑥用戶支付木馬產生的即時到帳訂單,釣魚過程結束。
在本申請的方案中,因為用戶的交易資訊是以圖片形式傳入控制項顯示,而且整個過程是由應用層的隨機會話密鑰加密,即使駭客建立一筆新的交易,他也無法讓這筆交易的圖片傳入控制項,因為每個控制項的隨機會話密鑰不一樣,駭客的圖片無法用用戶控制項的隨機會話密鑰解密。
2、釣魚到第三方外部商家
此類型木馬的釣魚步驟參照圖14所示:①用戶機器感染木馬後,木馬會監聽瀏覽器的URL地址欄;用戶在購物網站購買商品後,用戶點擊確認購買;②瀏覽器跳轉到支付網站收銀台後,木馬會攔截正常的支付流程,跳轉至另一個第三方外部商戶;③木馬在使用者用戶端登錄詐欺者的外部商戶帳號,然後產生一筆同樣金額的訂單,該訂單使用支付網站進行付款;④瀏覽器會跳回支付網站收銀台;這時候,用戶看到自己需要支付一筆訂單,這筆訂單實際上會支付到詐欺者的外部商戶帳號;⑤用戶選擇付款;⑥用戶實際支付了一筆外部商戶訂單,支付網站會付款 給該第三方外部商戶,釣魚過程結束。
從以上流程可以看出,這種木馬釣魚不僅與支付網站的安全相關,而且與被釣魚的第三方外部商家的安全性緊密相關。如果能將本申請的方案應用到第三方外部商家,因為絕大多數外部商家沒有能力建設完善的安全體系,那麼由支付網站提供用戶端控制項和伺服器端服務的方式,就可以防止這種木馬。
3、釣魚到第三方支付平臺
此種木馬釣魚方式是用戶透過在支付網站收銀台的時候,木馬去其他第三方支付平臺產生一筆網銀儲值訂單,誘騙用戶進行網銀儲值付款。參照圖15,詳細過程如下:①用戶在收銀台頁面進行儲值操作;這個操作可能由很多原因發起,如:用戶在購物網站購買商品,進入收銀台準備付款;用戶發起一筆“我要付款”即時到帳交易;用戶在個人版點擊交易詳情進行付款等;木馬會監聽瀏覽器的URL,當用戶準備付款時,木馬就攔截正常的操作流程;②木馬將瀏覽器導向其他第三方支付平臺,並登錄詐欺者的帳號;木馬可以使用下列方式將瀏覽器導向第三方支付平臺:(1)修改瀏覽器的跳轉地址,跳轉至第三方支付平臺;(2)修改網銀訂單提交表單的跳轉地址;這種方式和圖 15中的流程稍有不同,需要木馬在遠端伺服器端動態產生一筆網銀訂單,然後遠端發送給木馬用戶端,木馬篡改頁面中的表單資訊;這種方式在木馬出現初期較為常見;(3)其他形式;木馬在短時間內做大量的URL跳轉,比如木馬會在用戶點擊去網銀儲值時,不直接進行攔截,而在瀏覽器跳轉到網銀頁面後,再跳轉去盛大;③無論木馬在第二步會使瀏覽器跳轉多少次,都會到第三方支付平臺產生一筆網銀儲值訂單;④用戶在瀏覽器看到自己需要支付一筆網銀訂單,支付的銀行和金額和正常交易流程相同,但是網銀儲值收款方不是支付網站;⑤用戶沒有注意儲值收款方,進行了儲值;⑥銀行將錢儲值進詐欺者的帳號,釣魚過程完成。
從以上流程可以看出,這種木馬釣魚不僅與支付網站的安全相關,而且跟被釣魚的第三方支付平臺的安全緊密相關。如果能將本申請的方案應用到第三方支付平臺,由支付網站提供方案,第三方支付平臺自建系統,方案被推廣後,可以防止這種木馬。
綜上所述,本申請包含以下優點:第一,本申請基於OTP技術、密碼控制項技術、交易圖片簽名技術等軟體技術實現了網路交易的安全認證,克服了硬體產品存在的使用範圍、使用壽命和技術升級的難點; 第二,本申請透過利用隨機會話密鑰安全地傳輸交易圖片的方式,實現了用戶交易的二次確認,即利用軟體的方式實現了二代OTP技術,解決了現有的軟體產品防範釣魚、木馬、木馬釣魚困難的問題;第三,本申請透過建立了OTP控制項伺服器和OTP認證平臺,實現了OTP技術的批量化交易;第四,本申請提供的安全認證系統是基於軟體技術構建的,易於推廣,如能在第三方系統(如第三方商家、第三方支付企業)中得到應用,可以增強整個行業的安全性。
本說明書中的各個實施例均採用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似的部分互相參見即可。
以上對本申請所提供的一種網路交易安全認證方法和網路交易安全認證系統,進行了詳細介紹,本文中應用了具體個例對本申請的原理及實施方式進行了闡述,以上實施例的說明只是用於幫助理解本申請的方法及其核心思想;同時,對於本領域的一般技術人員,依據本申請的思想,在具體實施方式及應用範圍上均會有改變之處,綜上所述,本說明書內容不應理解為對本申請的限制。
10‧‧‧OTP控制項
20‧‧‧OTP控制項伺服器
30‧‧‧OTP認證平臺
40‧‧‧用戶端腳本模組
圖1是本申請實施例所述的一種網路交易安全認證方法 流程圖;圖2是本申請實施例所述的產生用戶端與伺服器端加密通信的隨機會話密鑰的流程圖;圖3是本申請實施例所述的透過用戶機器資訊驗證用戶身份的流程圖;圖4是本申請實施例所述該的通過手機簡訊驗證用戶身份的流程圖;圖5是本申請實施例所述的手機簡訊資訊內容示意圖;圖6是本申請實施例所述的獲取交易圖片資訊的流程圖;圖7是本申請實施例所述的交易圖片資訊示意圖;圖8是本申請實施例所述的產生交易圖片資訊的流程圖;圖9是本申請實施例所述的驗證交易簽名的流程圖;圖10是本申請實施例所述的升級原密碼控制項用戶為OTP控制項用戶的流程圖;圖11是本申請實施例所述的一種網路交易安全認證系統結構圖;圖12是本申請另一實施例所述的一種網路交易安全認證系統結構圖;圖13是本申請實施例所述的支付網站站內被釣魚的示意圖; 圖14是本申請實施例所述的用戶被釣魚到第三方外部商家的示意圖;圖15是本申請實施例所述的用戶被釣魚到第三方支付平臺的示意圖。

Claims (14)

  1. 一種網路交易安全認證方法,其特徵在於,包括:產生用戶端與伺服器端進行加密通信的隨機會話密鑰(session key);該伺服器端依據該隨機會話密鑰,驗證該用戶端的用戶身份;用戶身份驗證通過後,該伺服器端產生交易圖片資訊,並依據該隨機會話密鑰加密傳輸該交易圖片資訊至用戶端;該用戶端確認該交易圖片資訊後,該伺服器端依據該隨機會話密鑰驗證交易簽名。
  2. 根據申請專利範圍第1項所述的方法,其中,該產生用戶端與伺服器端進行加密通信的隨機會話密鑰,包括:在用戶端產生亂數;用預設的RSA公鑰加密該亂數;發送該加密的亂數至伺服器端;在伺服器端依據該加密的亂數產生隨機會話密鑰;發送該隨機會話密鑰至用戶端。
  3. 根據申請專利範圍第1或2項所述的方法,其中,該依據隨機會話密鑰驗證用戶端的用戶身份,包括:在用戶端提取用戶機器資訊;用該隨機會話密鑰加密用戶機器資訊;傳送該加密的用戶機器資訊至伺服器端; 在伺服器端驗證用戶機器資訊匹配程度;當用戶機器資訊匹配程度符合預設條件時,用戶身份驗證通過;當用戶機器資訊匹配程度不符合預設條件時,用戶身份驗證失敗。
  4. 根據申請專利範圍第3項所述的方法,其中,還包括:在伺服器端產生抓取因子,並發送至用戶端;則在用戶端根據該抓取因子提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊和抓取因子,並傳送至伺服器端;伺服器端依據該抓取因子驗證用戶機器資訊匹配程度。
  5. 根據申請專利範圍第3項所述的方法,其中,當用戶身份驗證失敗時,還包括:用戶端發送手機簡訊發送請求;伺服器端收到該請求後,獲取用戶資訊,產生手機簡訊驗證碼,並發送該手機簡訊驗證碼至用戶綁定的手機;用戶收到手機簡訊驗證碼後,在用戶端輸入該手機簡訊驗證碼,並發送至伺服器端;伺服器端進行簡訊驗證碼驗證,驗證通過後,發送用戶身份驗證通過的結果至用戶端。
  6. 根據申請專利範圍第1項所述的方法,其中,該產生 交易圖片資訊,包括:根據交易資訊、隨機會話密鑰、時間和用戶種子,產生交易驗證碼;根據交易資訊和隨機會話密鑰,產生摘要資訊;產生底圖,並將摘要資訊加入該底圖;將該交易資訊和交易驗證碼加入該包含摘要資訊的底圖,產生交易圖片資訊。
  7. 根據申請專利範圍第1或6項所述的方法,其中,該依據隨機會話密鑰驗證交易簽名,包括:在用戶端輸入交易驗證碼;對交易圖片資訊和交易驗證碼用該隨機會話密鑰進行數位簽名;發送該數位簽名至伺服器端;伺服器端驗證該數位簽名是否正確,並發送驗證結果至用戶端。
  8. 一種網路交易安全認證系統,其特徵在於,包括:OTP控制項、OTP控制項伺服器和OTP認證平臺,其中,該OTP控制項和OTP控制項伺服器,用於產生OTP控制項與OTP控制項伺服器進行加密通信的隨機會話密鑰,並依據該隨機會話密鑰,驗證OTP控制項的用戶身份;該OTP認證平臺,與OTP控制項伺服器相連,用於在收到OTP控制項伺服器發送的用戶身份驗證通過的資訊後 ,產生交易圖片資訊,並依據該隨機會話密鑰加密傳輸該交易圖片資訊至OTP控制項;在OTP控制項確認該交易圖片資訊後,依據該隨機會話密鑰驗證交易簽名。
  9. 根據申請專利範圍第8項所述的系統,其中:在產生隨機會話密鑰時,該OTP控制項用於產生亂數,用預設的RSA公鑰加密該亂數,並發送至OTP控制項伺服器;該OTP控制項伺服器用於依據該加密的亂數產生隨機會話密鑰,並發送該隨機會話密鑰至OTP控制項。
  10. 根據申請專利範圍第8或9項所述的系統,其中:在驗證OTP控制項的用戶身份時,該OTP控制項用於提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊,並發送至OTP控制項伺服器;該OTP控制項伺服器用於驗證用戶機器資訊匹配程度,當用戶機器資訊匹配程度符合預設條件時,用戶身份驗證通過;當用戶機器資訊匹配程度不符合預設條件時,用戶身份驗證失敗。
  11. 根據申請專利範圍第10項所述的系統,其中:該OTP控制項伺服器還用於產生抓取因子,並發送至OTP控制項;則該OTP控制項根據該抓取因子提取用戶機器資訊,用該隨機會話密鑰加密用戶機器資訊和抓取因子,並發送至 OTP控制項伺服器;該OTP控制項伺服器依據該抓取因子驗證用戶機器資訊匹配程度。
  12. 根據申請專利範圍第10項所述的系統,其中,當用戶身份驗證失敗時,還包括:用戶端腳本模組,用於發送手機簡訊發送請求;該OTP認證平臺還用於收到該請求後,獲取用戶資訊,產生手機簡訊驗證碼,並發送該手機簡訊驗證碼至用戶綁定的手機;還用於進行簡訊驗證碼驗證,驗證通過後,發送用戶身份驗證通過的結果至用戶端腳本模組。
  13. 根據申請專利範圍第8項所述的系統,其中,該OTP認證平臺包括:OTP演算法驅動模組,用於根據交易資訊、隨機會話密鑰、時間和用戶種子,產生交易驗證碼;OTP業務系統,用於根據交易資訊和隨機會話密鑰,產生摘要資訊;圖片伺服器,用於產生底圖,並將摘要資訊加入該底圖;還用於將該交易資訊和交易驗證碼加入該包含摘要資訊的底圖,產生交易圖片資訊。
  14. 根據申請專利範圍第8或13項所述的系統,其中:在驗證交易簽名時,該OTP控制項用於輸入交易驗證碼,對交易圖片資訊和交易驗證碼用該隨機會話密鑰進行數 位簽名,並發送該數位簽名至OTP認證平臺;該OTP認證平臺用於驗證該數字簽名是否正確,並發送驗證結果。
TW101107355A 2011-11-04 2012-03-05 網路交易安全認證方法及網路交易安全認證系統 TW201319976A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110346508.3A CN103095662B (zh) 2011-11-04 2011-11-04 一种网上交易安全认证方法及网上交易安全认证系统

Publications (1)

Publication Number Publication Date
TW201319976A true TW201319976A (zh) 2013-05-16

Family

ID=48207802

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101107355A TW201319976A (zh) 2011-11-04 2012-03-05 網路交易安全認證方法及網路交易安全認證系統

Country Status (7)

Country Link
US (1) US20130124421A1 (zh)
EP (1) EP2774100A1 (zh)
JP (1) JP6021923B2 (zh)
CN (1) CN103095662B (zh)
HK (1) HK1180489A1 (zh)
TW (1) TW201319976A (zh)
WO (1) WO2013067276A1 (zh)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7566002B2 (en) * 2005-01-06 2009-07-28 Early Warning Services, Llc Identity verification systems and methods
CN105431843A (zh) * 2013-07-05 2016-03-23 林仲宇 以通信装置识别码作为网络身份验证
KR102119895B1 (ko) * 2013-07-15 2020-06-17 비자 인터네셔널 서비스 어소시에이션 보안 원격 지불 거래 처리
KR102222230B1 (ko) 2013-08-15 2021-03-05 비자 인터네셔널 서비스 어소시에이션 보안 요소를 이용한 보안 원격 지불 거래 처리
SG11201602093TA (en) 2013-09-20 2016-04-28 Visa Int Service Ass Secure remote payment transaction processing including consumer authentication
US9276910B2 (en) * 2013-11-19 2016-03-01 Wayne Fueling Systems Llc Systems and methods for convenient and secure mobile transactions
CN104616137A (zh) * 2013-12-26 2015-05-13 腾讯科技(深圳)有限公司 安全支付方法、服务器及系统
CN104767613B (zh) * 2014-01-02 2018-02-13 腾讯科技(深圳)有限公司 签名验证方法、装置及系统
CN105308623B (zh) * 2014-03-17 2019-05-31 中国工商银行股份有限公司 网络在线服务提供装置及方法
CN103905205B (zh) * 2014-04-03 2017-10-27 江苏先安科技有限公司 一种基于数据图像编码的跨设备跨应用的数字签名和验证方法
CN105025470A (zh) * 2014-04-18 2015-11-04 中国移动通信集团公司 一种业务请求处理方法、系统及相关装置
CN104318437B (zh) * 2014-10-11 2017-12-01 上海众人网络安全技术有限公司 一种虚拟预付卡线上支付系统及其支付方法
CN105577612B (zh) * 2014-10-11 2020-04-17 中兴通讯股份有限公司 身份认证方法、第三方服务器、商家服务器及用户终端
CN104320473A (zh) * 2014-10-31 2015-01-28 山东超越数控电子有限公司 一种远端浏览器管理系统登陆方法
KR101561499B1 (ko) * 2014-11-27 2015-10-20 주식회사 미래테크놀로지 엔에프씨 인증카드를 이용한 인증방법
EP3065366B1 (en) * 2015-03-02 2020-09-09 Bjoern Pirrwitz Identification and/or authentication system and method
CN104796404A (zh) * 2015-03-17 2015-07-22 浪潮集团有限公司 一种基于USB设备绑定的国产服务器web登陆方法
JP6385887B2 (ja) * 2015-05-13 2018-09-05 日本電信電話株式会社 認証サーバ、認証システム、認証方法及びプログラム
KR20160136000A (ko) * 2015-05-19 2016-11-29 에스케이플래닛 주식회사 대면확인 otp 애플리케이션 발급을 위한 시스템 및 방법
CN106533685B (zh) * 2015-09-09 2020-12-08 腾讯科技(深圳)有限公司 身份认证方法、装置及系统
CN105553983B (zh) * 2015-12-17 2017-06-13 北京海泰方圆科技股份有限公司 一种网页数据保护方法
US20170214671A1 (en) 2016-01-26 2017-07-27 befine Solutions AG Method for encrypting and decrypting data with a one-time-key
CN106020948B (zh) * 2016-05-10 2019-09-17 中国银联股份有限公司 一种流程调度方法及装置
CN108205616A (zh) * 2016-12-16 2018-06-26 北京小米移动软件有限公司 身份信息校验方法及装置
CN106991566A (zh) * 2017-03-23 2017-07-28 上海族蚂信息科技有限公司 一种在线交互数据处理系统
CN106851602A (zh) * 2017-03-31 2017-06-13 武汉票据交易中心有限公司 一种交易系统短信验证方法及系统
CN107454079B (zh) * 2017-08-04 2020-07-07 西安电子科技大学 基于物联网平台的轻量级设备认证及共享密钥协商方法
US20210241270A1 (en) * 2017-12-28 2021-08-05 Acronis International Gmbh System and method of blockchain transaction verification
CN108521429A (zh) * 2018-04-20 2018-09-11 黄绍进 一种匿名的互联网应用访问方法及装置
CN109801059B (zh) * 2018-12-28 2023-04-18 易票联支付有限公司 一种移动支付系统和移动支付方法
CN110443613A (zh) * 2019-08-02 2019-11-12 中国工商银行股份有限公司 交易安全认证方法及装置
CN110956539A (zh) * 2019-11-28 2020-04-03 中国银行股份有限公司 一种信息处理方法、装置及系统
CN111340494B (zh) * 2020-05-15 2020-08-28 支付宝(杭州)信息技术有限公司 资产类型一致性证据生成、交易、交易验证方法及系统
CN112738561A (zh) * 2020-12-03 2021-04-30 西安慧博文定信息技术有限公司 一种基于otp图像加密、验证的方法及设备
CN116112234A (zh) * 2023-01-04 2023-05-12 北京国联政信科技有限公司 一种电子签收安全校验方法、系统、介质及设备

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5768382A (en) * 1995-11-22 1998-06-16 Walker Asset Management Limited Partnership Remote-auditing of computer generated outcomes and authenticated biling and access control system using cryptographic and other protocols
US5784463A (en) * 1996-12-04 1998-07-21 V-One Corporation Token distribution, registration, and dynamic configuration of user entitlement for an application level security system and method
JP3001501B2 (ja) * 1998-05-20 2000-01-24 日本電気フィールドサービス株式会社 機密情報漏洩防止機能付きコンピュータネットワーク
US6675153B1 (en) * 1999-07-06 2004-01-06 Zix Corporation Transaction authorization system
US6938013B1 (en) * 2000-01-05 2005-08-30 Uniteller Financial Services, Inc. Money-transfer techniques
US6856975B1 (en) * 2000-03-30 2005-02-15 Verify & Protect Inc. System, method, and article of manufacture for secure transactions utilizing a computer network
US20020038420A1 (en) * 2000-04-13 2002-03-28 Collins Timothy S. Method for efficient public key based certification for mobile and desktop environments
JP2002251375A (ja) * 2001-02-21 2002-09-06 Ntt Data Corp 通信ネットワークにおけるユーザ認証サーバ、本人認証方法及びプログラム
DE10137152A1 (de) * 2001-07-30 2003-02-27 Scm Microsystems Gmbh Verfahren zur Übertragung vertraulicher Daten
JP2003058508A (ja) * 2001-08-13 2003-02-28 Sony Corp 個人認証装置、および個人認証方法、並びにコンピュータ・プログラム
KR100464755B1 (ko) * 2002-05-25 2005-01-06 주식회사 파수닷컴 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법
US7644275B2 (en) * 2003-04-15 2010-01-05 Microsoft Corporation Pass-thru for client authentication
DE10343566A1 (de) * 2003-09-19 2005-05-04 Brunet Holding Ag Verfahren zur Abwicklung einer elektronischen Transaktion
US20050154889A1 (en) * 2004-01-08 2005-07-14 International Business Machines Corporation Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol
JP4383195B2 (ja) * 2004-02-10 2009-12-16 日本放送協会 鍵管理装置及びそのプログラム、ライセンス配信装置及びそのプログラム、並びに、コンテンツ利用端末及びそのプログラム
JP4636632B2 (ja) * 2004-12-27 2011-02-23 富士通株式会社 認証システム
US8112787B2 (en) * 2005-12-31 2012-02-07 Broadcom Corporation System and method for securing a credential via user and server verification
US7548890B2 (en) * 2006-11-21 2009-06-16 Verient, Inc. Systems and methods for identification and authentication of a user
CN101232631B (zh) * 2007-01-23 2011-08-31 阿里巴巴集团控股有限公司 通信终端通过短信息进行安全认证的方法及系统
DE102007045981A1 (de) * 2007-09-25 2009-04-02 Fiducia It Ag Onlinebankingsystem und Onlinebankingverfahren zur datentechnisch gesicherten elektronischen Kommunikation
JP2010198333A (ja) * 2009-02-25 2010-09-09 Nec Corp サービス提供システム、情報読取装置、サービス提供方法、ユーザ情報送信方法、及びプログラム
US20120185398A1 (en) * 2009-09-17 2012-07-19 Meir Weis Mobile payment system with two-point authentication
US20110075840A1 (en) * 2009-09-30 2011-03-31 Zayas Fernando A Method and system for generating random numbers in a storage device
US8635260B2 (en) * 2009-12-02 2014-01-21 Seagate Technology Llc Random number generator incorporating channel filter coefficients
JP5474644B2 (ja) * 2010-04-14 2014-04-16 株式会社ソニー・コンピュータエンタテインメント サーバ接続方法、サーバ、および遠隔操作システム
CN102201918B (zh) * 2011-05-31 2013-09-18 飞天诚信科技股份有限公司 无线智能密钥装置

Also Published As

Publication number Publication date
JP2014529273A (ja) 2014-10-30
EP2774100A1 (en) 2014-09-10
CN103095662B (zh) 2016-08-03
HK1180489A1 (zh) 2013-10-18
CN103095662A (zh) 2013-05-08
JP6021923B2 (ja) 2016-11-09
WO2013067276A1 (en) 2013-05-10
US20130124421A1 (en) 2013-05-16

Similar Documents

Publication Publication Date Title
TW201319976A (zh) 網路交易安全認證方法及網路交易安全認證系統
US9838205B2 (en) Network authentication method for secure electronic transactions
EP2859489B1 (en) Enhanced 2chk authentication security with query transactions
EP2859488B1 (en) Enterprise triggered 2chk association
US9231925B1 (en) Network authentication method for secure electronic transactions
CN102789607B (zh) 一种网络交易方法和系统
US10045210B2 (en) Method, server and system for authentication of a person
US8433914B1 (en) Multi-channel transaction signing
CA3118235A1 (en) Apparatuses, methods and systems for computer-based secure transactions
JP2010518515A (ja) 後援された帯域外パスワードの配信方法およびシステム
CN106716916A (zh) 认证系统和方法
US20210209582A1 (en) Virtual smart card for banking and payments
CN102780674A (zh) 一种具有多因素认证方法的网络业务处理方法及系统
JP2018519562A (ja) 取引セキュリティのための方法及びシステム
CN102184353A (zh) 一种防止网上支付数据被劫持的方法
CN110149354A (zh) 一种基于https协议的加密认证方法和装置
US20100180121A1 (en) Method and apparatus for enhancing security in network-based data communication
EP3026620A1 (en) Network authentication method using a card device
CN110365646B (zh) 将实体关联到第一服务器的方法及装置
TWM580720U (zh) 用於幫助網路服務使用者首次設定密碼之系統
WO2024082866A1 (zh) 一种二维码防伪系统、方法及相关设备
TWI459786B (zh) 多通道主動式網路身分驗證系統及相關的電腦程式產品
Corella et al. Fundamental Security Flaws in the 3-D Secure 2 Cardholder Authentication Specification
CN117997560A (zh) 企业身份验证方法及设备