CN101163011A - 一种网上银行***的安全认证方法 - Google Patents
一种网上银行***的安全认证方法 Download PDFInfo
- Publication number
- CN101163011A CN101163011A CNA2007101878615A CN200710187861A CN101163011A CN 101163011 A CN101163011 A CN 101163011A CN A2007101878615 A CNA2007101878615 A CN A2007101878615A CN 200710187861 A CN200710187861 A CN 200710187861A CN 101163011 A CN101163011 A CN 101163011A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- digital certificate
- mobile phone
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供了一种网上银行***安全认证的方法,其采用手机动态认证和数字证书的双认证安全模式,其中手机动态认证是通过用户开户时绑定的手机号码,***将随机生成的动态认证码通过短信的形式发送给客户实现客户身份的识别,数字证书是由权威公正的第三方机构签发的,以数字证书为核心的加密技术,其可以对网络上传输的信息进行加密和解密、数字签名和签名验证。本发明的网上银行***安全认证方法提高了网上银行安全级别,有效降低风险,为用户提供了一个安全高效的网上银行***。
Description
技术领域
本发明涉及一种网上银行***的安全认证方法,更具体涉及一种网上银行***中使用的手机动态认证与数字证书双认证的方法和具有不同级别设置的网上银行***。
背景技术
随着电子邮件及电子商务的蓬勃发展,人们正面临如何进行安全信息交换的巨大挑战,网上银行***应用范围的不断扩张,网络安全变得尤为重要,特别是相关的数字签名或不同加密机制等技术。
用户需要实现安全信息数据交换,满足商务对保密性,完整性,真实性及不可否认性的4项安全需求,其构成主要包括硬件,软件,人员,指导原则及方法。
网上银行***通常采取手机动态认证加交易密码,或数字证书加交易密码的认证方式。两种认证方式各有自己的优点和缺点。目前国内大多数网上银行***采用的安全认证模式主要是以下几种:
1)用户名加密码认证:由于该方法的安全性无法保障,目前基本被淘汰。
2)手机动态认证加密码:通过用户开户时绑定的手机号码,***将随机生成的动态认证码通过短信的形式发送给客户实现客户身份的识别,实现起来方便,只需具备一个手机即可。
3)数字证书加交易密码:数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名。同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
数字证书的格式一般采用X.509国际标准。目前,数字证书认证中心主要签发安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。
上述现有技术目前都存在着一些安全隐患和不方便之处,例如:手机动态认证技术当手机丢失或网络不通畅时,都会影响用户的使用。数字证书在理论上是最安全的一种方式,但是依然存在介质丢失,密码泄露的危险,因此如何进一步加强用户身份识别是安全的重要保证。
本发明的网上银行***安全认证方法提高了网上银行安全级别,有效降低风险,为用户提供了一个安全高效的网上银行***。
发明内容
本发明提供了一种网上银行***安全认证的方法,其特征在于采用手机动态认证和数字证书的双认证安全模式,其中手机动态认证是通过用户开户时绑定的手机号码,***将随机生成的动态认证码通过短信的形式发送给客户实现客户身份的识别,数字证书是由权威公正的第三方机构签发的,以数字证书为核心的加密技术,其可以对网络上传输的信息进行加密和解密、数字签名和签名验证。
本发明的方法进一步地根据网上银行***提供交易的风险程度,设定不同的安全级别,并对应相关的网上银行用户,所述安全级别包括使用一般密码的非签约用户、手机动态认证用户、数字证书认证用户以及手机动态认证和数字证书认证的双认证用户。
本发明的方法还具有登录控制和密码保护措施。
本发明的方法还具有身份认证措施,该措施包括对于有客户端数字证书的用户,登录的时候,需验证用户所使用的数字证书是否合法有效。
本发明的方法还具有数字签名认证措施,其对客户端数字证书中的私钥进行签名,保障交易数据的完整性、一致性和不可否认性。
本发明的方法还具有转帐限额控制和重复提交控制措施。
附图说明
图1示出了本发明的数字证书签名及验证过程流程图;
图2示出了本发明的数字证书签名的认证处理模块结构图;
图3示出了本发明的手机认证流程图;
图4示出了本发明的数字证书网络拓扑结构图;
图5示出了本发明的RA运用体系构架图。
具体实施方式
根据WebSphere(IBM公司的WEB服务器)的安全特点及网上银行***的特点,在网上银行***中提供加强的、有针对性的安全保证机制:
1、登录控制包括以下方面:
(1)多因数安全控制:用户登录网上银行***时须输入网上银行用户名、网上银行登录密码以及动态密码,如为证书用户还需结合客户端证书,各种因素统一认证完成客户身份认证;
(2)登录策略:若客户在短时间内连续若干次登录不成功,则强制该用户隔一段时间后(间隔时间由银行设置)才可重新登录;
(3)初次登录控制:对于初次登录网上银行***的用户,***强制用户修改其网上银行登录密码;
2、密码保护包括以下内容:
(1)网上银行登录、交易密码:网上银行***中所使用独立的登录密码及交易密码,区别于用户账户本身的查询或取款密码;
(2)密码存储:网上银行***所使用的登录及交易密码,经过单向散列算法加工后存储入网上银行数据库***;
(3)密码规则:***对客户选择的密码进行检查,避免用户采用过于简单的密码。
3、客户端证书应用包括以下几方面:
在本发明中,SSL(Secure Sockets Layer″,中文名为″安全套接层协议层″)的握手是客户端(浏览器)和服务端的NASE(信安世纪的SSL Gateway Server)完成,握手完成之后,客户端与网上银行***之间的通信数据将采用标准128位的SSL进行加密传输。
(1)身份认证
对于有客户端证书的用户,登录的时候,需验证用户所使用的证书是否合法,验证的过程主要包括:1、证书中所存CIF号及编号是否和网上银行***中存放的相关记录一致。2、该证书是否是有效状态而非已废纸、已冻结等状态。
(2)数字签名及认证
参见图1所示,关键交易,如转账、授权等交易采用客户端证书中的私钥进行签名,有效保障交易数据的完整性和一致性和不可否认性。
参见图2是签名的认证处理模块结构图。其中,会话(Session)管理是在一定时间内,如果用户没有任何操作,将该用户的会话状态置为失效,提示用户需重新登录才能使用网上银行。
资源(功能)访问控制策略包括网上银行***的资源分为两层进行管理,第一层为CIF级(用户级),由银行根据用户的签约信息予以分配;第二层为操作员级,即对每个操作员可使用的资源(功能)在CIF级的资源内再进行分配和控制,操作员级的资源分配也归入到网上银行端;操作员对于账户的操作权限由网上银行后台管理***设定,这里的控制包括可操作账户的控制,以及对账户的操作权限(查询/转账)的控制。
转账限额控制包括对于无证书的签约用户(个人用户,CIF级),受银行统一的转账限额控制(单笔转账限额、日转账限额);对于挂入网上银行***的账户(企业/个人),可设定单笔、每日转账限额。
重复提交控制包括采用交易Token控制交易的重复提交,避免网速较慢时用户使用刷新键或重新点击提交键发起转账类交易,从而导致重复扣账。
授权机制包括交易审核为多级,***统一般定为三级审核;在同一审核级别内的多个审核人员是没有顺序的,不需要设置;
交易审核设置规则包括以下内容:
账户权限设置包括账户能否转账,单笔限额,当日累计限额;
操作员权限设置包括对账户、对功能组、审核级别;
审核流程设置包括按功能组、金额段、每级审核人数进行设置;
审核设置的策略由客户自己确定,客户可根据自身的特点,根据功能组及金额段,自由选择配置。每个审核员只能属于一个审核级别,审核设置金额段为下限包含原则,只需要填写起始金额,默认为“0至无穷大”。在审核设置时,要判断客户同级别审核人数是否满足,给客户提示,在审核设置时,对于无金额类的交易审核设置时,金额段默认为“0”。
根据用户的申请开办不同安全级别的网上银行用户可分为以下几类:使用一般密码的非签约用户、手机认证用户、数字证书认证用户、手机认证和数字证书认证的双认证用户。
根据网上银行***提供交易的风险程度,设定不同的安全级别,并对应相关的网上银行用户。
| 查询 | 理财 | 代缴费 | 转账 | 用户设置 | |
| 使用一般密码的非签约用户 | √ | × | × | × | × |
| 手机动态认证用户 | √ | √ | × | √ | × |
| 证书认证用户 | √ | √ | √ | √ | √ |
| 手机动态认证和证书认证的双认证用户 | √ | √ | √ | √ | √ |
参见图3是本发明的手机认证流程图:短信通信为通信方式接口中的一种,根据不同的环境修改通讯的配置信息。在具体交易中引用短信服务时,初始化所有配置信息,启动服务。按照接口报文格式对信息组包,短信服务发送信息,返回结果。
参见图4是本发明的网络拓扑结构图。其中RA(认证机构)***所连接的CA***为CFCA的863CA***,银行的RA***通过Internet连接CFCA。RA(证书发放审核部门)Web服务器在北京农商行网上银行***中,RA的Web端整合在网上银行后台管理界面中,因此,RA的Web服务器将共享网上银行Web服务器上。RA应用服务器部署在网上银行应用服务器上,物理上和网上银行***共享一台应用服务器。RA数据库服务器共享网上银行数据库服务器,在网上银行数据库中建立RA相关的数据表,进行管理和操作。RA管理终端为Windows操作***的PC机。RA的访问渠道包含Web方式和柜面方式,其中,Web方式整合在网上银行后台管理功能界面中。
参见图5是本发明的应用体系架构图。
上面通过通过特别的实施例内容描述了本发明,但是本领域技术人员还可意识到变型和可选的实施例的多种可能性,例如,通过组合和/或改变单个实施例的特征。因此,可以理解的是这些变型和可选的实施例将被认为是包括在本发明中,本发明的范围仅仅被附上的专利权利要求书及其同等物限制。
Claims (6)
1.一种网上银行***安全认证的方法,其特征在于采用手机动态认证和数字证书的双认证安全模式,其中手机动态认证是通过用户开户时绑定的手机号码,***将随机生成的动态认证码通过短信的形式发送给客户实现客户身份的识别,数字证书是由权威公正的第三方机构签发的,以数字证书为核心的加密技术,其可以对网络上传输的信息进行加密和解密、数字签名和签名验证。
2.如权利要求1所述的方法,其特征在于根据网上银行***提供交易的风险程度,设定不同的安全级别,并对应相关的网上银行用户,所述安全级别包括使用一般密码的非签约用户、手机动态认证用户、数字证书认证用户以及手机动态认证和数字证书认证的双认证用户。
3.如权利要求2所述的方法,其特征在于还具有登录控制和密码保护措施。
4.如权利要求1-3任一项所述的方法,其特征在于还具有身份认证措施,该措施包括对于有客户端数字证书的用户,登录的时候,需验证用户所使用的数字证书是否合法有效。
5.如权利要求4所述的方法,其特征在于还具有数字签名认证措施,其对客户端数字证书中的私钥进行签名,保障交易数据的完整性、一致性和不可否认性。
6.如权利要求5所述的方法,其特征在于还具有转帐限额控制和重复提交控制措施。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101878615A CN101163011A (zh) | 2007-11-15 | 2007-11-15 | 一种网上银行***的安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101878615A CN101163011A (zh) | 2007-11-15 | 2007-11-15 | 一种网上银行***的安全认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101163011A true CN101163011A (zh) | 2008-04-16 |
Family
ID=39297850
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101878615A Pending CN101163011A (zh) | 2007-11-15 | 2007-11-15 | 一种网上银行***的安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101163011A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795196A (zh) * | 2010-03-10 | 2010-08-04 | 宇龙计算机通信科技(深圳)有限公司 | 一种登录网上银行的认证方法及认证*** |
| WO2011082604A1 (zh) * | 2010-01-07 | 2011-07-14 | 华为终端有限公司 | 一种指纹识别方法、装置及移动终端 |
| CN101631305B (zh) * | 2009-07-28 | 2011-12-07 | 交通银行股份有限公司 | 一种加密方法及*** |
| CN102510337A (zh) * | 2011-12-15 | 2012-06-20 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
| CN103581907A (zh) * | 2012-08-03 | 2014-02-12 | 北京中创智信科技有限公司 | 移动电子签名方法、服务平台、设备和*** |
| CN104363217A (zh) * | 2014-11-03 | 2015-02-18 | 深圳市远行科技有限公司 | 一种Web***的CA数字签名认证***及认证方法 |
| CN106209923A (zh) * | 2015-04-29 | 2016-12-07 | 中国电信股份有限公司 | 一种利用蜂窝网实现车辆身份鉴权的方法、装置及*** |
| CN106651318A (zh) * | 2016-12-28 | 2017-05-10 | 中国建设银行股份有限公司 | 一种企业级流程的设置方法及*** |
| CN106790051A (zh) * | 2016-12-19 | 2017-05-31 | 杭州信雅达数码科技有限公司 | 一种基于mb连接的手机银行安全协议 |
| US20170262853A1 (en) * | 2016-03-14 | 2017-09-14 | Mastercard International Incorporated | Method and system for biometric confirmation of suspect transactions |
| CN108075893A (zh) * | 2016-11-12 | 2018-05-25 | 张仁平 | 一种安全型验证码*** |
| CN108446898A (zh) * | 2018-02-26 | 2018-08-24 | 深圳前海微众银行股份有限公司 | 转账方法、终端和计算机可读存储介质 |
| CN110363533A (zh) * | 2019-06-26 | 2019-10-22 | 山东普惠共享经济技术开发有限公司 | 一种实名认证***及其方法 |
| CN111861355A (zh) * | 2019-04-30 | 2020-10-30 | 富金通金融信息服务(上海)有限公司 | 一种全线上化的企业互联网实名认证方法 |
| CN112532640A (zh) * | 2020-12-02 | 2021-03-19 | 北京天融信网络安全技术有限公司 | 认证方法、装置、电子设备及计算机可读存储介质 |
-
2007
- 2007-11-15 CN CNA2007101878615A patent/CN101163011A/zh active Pending
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631305B (zh) * | 2009-07-28 | 2011-12-07 | 交通银行股份有限公司 | 一种加密方法及*** |
| WO2011082604A1 (zh) * | 2010-01-07 | 2011-07-14 | 华为终端有限公司 | 一种指纹识别方法、装置及移动终端 |
| CN101795196A (zh) * | 2010-03-10 | 2010-08-04 | 宇龙计算机通信科技(深圳)有限公司 | 一种登录网上银行的认证方法及认证*** |
| CN102510337A (zh) * | 2011-12-15 | 2012-06-20 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
| CN102510337B (zh) * | 2011-12-15 | 2014-07-09 | 复旦大学 | 一种量化风险和收益自适应的动态多因子认证方法 |
| CN103581907A (zh) * | 2012-08-03 | 2014-02-12 | 北京中创智信科技有限公司 | 移动电子签名方法、服务平台、设备和*** |
| CN103581907B (zh) * | 2012-08-03 | 2016-08-03 | 北京中创智信科技有限公司 | 移动电子签名方法、服务平台、设备和*** |
| CN104363217A (zh) * | 2014-11-03 | 2015-02-18 | 深圳市远行科技有限公司 | 一种Web***的CA数字签名认证***及认证方法 |
| CN106209923A (zh) * | 2015-04-29 | 2016-12-07 | 中国电信股份有限公司 | 一种利用蜂窝网实现车辆身份鉴权的方法、装置及*** |
| CN106209923B (zh) * | 2015-04-29 | 2019-05-21 | 中国电信股份有限公司 | 一种利用蜂窝网实现车辆身份鉴权的方法、装置及*** |
| US20170262853A1 (en) * | 2016-03-14 | 2017-09-14 | Mastercard International Incorporated | Method and system for biometric confirmation of suspect transactions |
| CN108075893A (zh) * | 2016-11-12 | 2018-05-25 | 张仁平 | 一种安全型验证码*** |
| CN106790051A (zh) * | 2016-12-19 | 2017-05-31 | 杭州信雅达数码科技有限公司 | 一种基于mb连接的手机银行安全协议 |
| CN106651318A (zh) * | 2016-12-28 | 2017-05-10 | 中国建设银行股份有限公司 | 一种企业级流程的设置方法及*** |
| CN108446898A (zh) * | 2018-02-26 | 2018-08-24 | 深圳前海微众银行股份有限公司 | 转账方法、终端和计算机可读存储介质 |
| CN111861355A (zh) * | 2019-04-30 | 2020-10-30 | 富金通金融信息服务(上海)有限公司 | 一种全线上化的企业互联网实名认证方法 |
| CN110363533A (zh) * | 2019-06-26 | 2019-10-22 | 山东普惠共享经济技术开发有限公司 | 一种实名认证***及其方法 |
| CN112532640A (zh) * | 2020-12-02 | 2021-03-19 | 北京天融信网络安全技术有限公司 | 认证方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101163011A (zh) | 一种网上银行***的安全认证方法 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证***及其方法 | |
| US7725723B2 (en) | Data certification method and apparatus | |
| US5956404A (en) | Digital signature with auditing bits | |
| CN1689297B (zh) | 使用密钥基防止未经授权分发和使用电子密钥的方法 | |
| CN100566250C (zh) | 一种点对点网络身份认证方法 | |
| CN109660485A (zh) | 一种基于区块链交易的权限控制方法及*** | |
| US20010020228A1 (en) | Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources | |
| CN1439136A (zh) | 管理客户机和服务器间信任度的***及方法 | |
| AU2002355593A1 (en) | Data certification method and apparatus | |
| CN104767731A (zh) | 一种Restful移动交易***身份认证防护方法 | |
| CN101216923A (zh) | 提高网上银行交易数据安全性的***及方法 | |
| CN113393225A (zh) | 数字货币加密支付方法及*** | |
| Hsu et al. | Intranet security framework based on short-lived certificates | |
| KR100926153B1 (ko) | 모바일 단말 이용한 전자서명 무선공인인증서비스 시스템및 제공방법 | |
| JP2001134534A (ja) | 認証代行方法、認証代行サービスシステム、認証代行サーバ装置及びクライアント装置 | |
| Boontaetae et al. | RDI: Real digital identity based on decentralized PKI | |
| Kuntze et al. | Trusted ticket systems and applications | |
| CN107403310A (zh) | 量子城域网下支付***及其支付方法 | |
| CN111539032B (zh) | 一种抗量子计算破解的电子签名应用***及其实现方法 | |
| Lee et al. | Traceability of double spending in secure electronic cash system | |
| JP4794939B2 (ja) | チケット型メンバ認証装置及び方法 | |
| Yau et al. | Anonymous service usage and payment in service-based systems | |
| KR100842838B1 (ko) | 엠피지 시스템을 이용한 모바일 단말을 통한무선공인인증서비스 시스템 및 방법 | |
| Sood et al. | Cloudbank: A secure anonymous banking cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20080416 |
|
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |