CN101448001A - 一种实现wap手机银行交易安全控制的***及方法 - Google Patents
一种实现wap手机银行交易安全控制的***及方法 Download PDFInfo
- Publication number
- CN101448001A CN101448001A CNA2008102266822A CN200810226682A CN101448001A CN 101448001 A CN101448001 A CN 101448001A CN A2008102266822 A CNA2008102266822 A CN A2008102266822A CN 200810226682 A CN200810226682 A CN 200810226682A CN 101448001 A CN101448001 A CN 101448001A
- Authority
- CN
- China
- Prior art keywords
- wap
- phone number
- client terminal
- operator
- mobile banking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现WAP手机银行交易安全控制的***及方法。***包括:客户终端;WEB服务器,用于提供域名地址服务,将接收自客户终端的交易请求转发至WAP门户服务器;WAP门户服务器,用于获取客户终端的手机号码,根据运营商手机号绑定关系生成手机令牌,将该手机令牌与交易请求发送给WAP交易服务器;WAP交易服务器,用于验证手机令牌的合法性,检查客户运营商的绑定信息与令牌信息是否一致;移动通讯运营商***设备,用于提供接口给WAP门户服务器,WAP门户服务器通过与移动通讯运营商***设备通讯,获取手机号码。利用本发明,能够防止客户通过互联网访问WAP手机银行,有效地提高访问手机银行的安全性。
Description
技术领域
本发明涉及手机银行技术领域,尤其涉及一种实现WAP手机银行交易安全控制的***及方法。
背景技术
目前的WAP手机银行,其实现过程一般如下:银行提供WAP站点接入地址,客户根据该接入地址利用手机通过GPRS或者WAP接入WAP手机银行网站,浏览网站信息或进行相关交易。
一般的WAP手机银行网站,对于接入方是否是真正的手机,并没有严格的控制,而且目前有很多浏览器,支持用户通过互联网访问WAP手机银行网站,例如:Opera。
WAP手机银行的目标客户是手机用户,限于手机厂商、型号的多样性,手机操作的复杂性和现有手机网络的局限性,现有WAP手机银行网站的安全措施要求比较低。比如:页面上的密码输入框是没有控件加密的,页面提交上来的数据包中,密码是以明文的方式存在的。
如果对于通过互联网的访问不作限制,电脑操作的方便性和互联网的普及性,势必造成WAP手机银行网站的重要安全信息存在很大的被非法盗取(截取页面上送包信息等手段)的可能性。
所以,迫切需要提供一种安全控制方法,屏蔽通过互联网的访问WAP手机银行网站,限制客户只能通过手机访问WAP手机银行,从而保证客户个人资产信息的安全。
发明内容
(一)要解决的技术问题
有鉴于此,本发明的主要目的在于提供一种实现WAP手机银行交易安全控制的***及方法,以防止客户通过互联网访问WAP手机银行,有效提高访问手机银行的安全性。
(二)技术方案
为达到上述目的,本发明采用的技术方案如下:
一种实现WAP手机银行交易安全控制的***,该***包括:
客户终端;
WEB服务器,用于提供域名地址服务,将接收自客户终端的交易请求转发至WAP门户服务器;
WAP门户服务器,用于在接收到WEB服务器转发的交易请求后获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器;
WAP交易服务器,用于在接收到手机令牌与交易请求后,验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,一致则继续交易;不一致拒绝交易;
移动通讯运营商***设备,用于提供接口给WAP门户服务器,WAP门户服务器通过与移动通讯运营商***设备通讯,获取客户终端的的手机号码。
上述方案中,所述客户终端是客户访问WAP手机银行的载体。所述客户访问WAP手机银行的载体是手机。
上述方案中,对于直接输入域名访问WAP手机银行的客户终端,所述WAP门户服务器提供给客户终端选择运营商页面,根据运营商手机号绑定关系参数,通过与运营商协定的通讯接口,从移动通讯运营商***设备获取客户终端的手机号码,根据绑定关系和是否获得手机号信息,根据相应的算法,生成手机令牌。对于通过运营商页面链接访问WAP手机银行的客户终端,所述WAP门户服务器从交易请求中获取手机号码和运营商信息,并根据运营商手机号绑定关系参数生成手机令牌。
上述方案中,所述WAP交易服务器在验证手机令牌的合法性后,如果合法,则根据是否绑定手机号码向客户终端提供不同的登录页面,客户终端登录后,根据客户终端注册时预留的手机号码信息,检查客户运营商的绑定信息与令牌信息是否一致;如果WAP交易服务器验证手机令牌的不合法,则拒绝交易。
上述方案中,在WAP交易服务器检查客户运营商的绑定信息与令牌信息不一致或者验证手机令牌的不合法而拒绝交易时,客户终端能够浏览简单的信息页面,无法进行交易。
一种实现WAP手机银行交易安全控制的方法,该方法包括:
客户终端向WEB服务器提出交易请求,WEB服务器将该交易请求转发至WAP门户服务器;
WAP门户服务器在接收到WEB服务器转发的交易请求后,获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器;
WAP交易服务器在接收到手机令牌与交易请求后,验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,如果一致,则继续交易;如果不一致,则拒绝交易。
上述方案中,所述客户终端向WEB服务器提出交易请求,通过以下两种方式实现:
方式一、客户终端通过移动通讯运营商的服务页面,链接到WAP手机银行服务界面,向WEB服务器提出交易请求;
方式二、客户终端直接输入域名访问WAP手机银行,向WEB服务器提出交易请求。
上述方案中,对于客户终端通过第一种方式访问WAP手机银行的情况,如果运营商要求绑定手机号码,则运营商在链接到WAP手机银行时,将手机号码以参数的形式一并传递给WAP手机银行门户服务器;如果对于手机号绑定无要求或者要求不绑定,则不要求运营商在链接过来时提供手机号码;其中,所述绑定是指一个手机号码只能访问一个客户终端的WAP手机银行;
对于客户终端通过第二种方式访问WAP手机银行的情况,如果运营商要求绑定,则在客户终端访问WAP手机银行时,提供给客户终端移动通讯运营商选择页面,客户终端选择后,需要银行和移动通讯运营商按照约定的接口进行后台通讯,以获取客户终端的手机号码信息,如不能获得手机号码,则限制客户终端的访问权限,只能浏览网页,不能登录WAP手机银行;如果不要求绑定,则不需获取客户的手机号码,客户终端的访问权限也不做控制;如果对于是否绑定不做要求,则尝试去获取客户终端的手机号码,能获得则按照正常获取手机号码的流程去处理,不能获取则按照不绑定的要求去处理。
上述方案中,所述WAP门户服务器在接收到WEB服务器转发的交易请求后,获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器,具体包括:
步骤1:WAP门户服务器在接收到WEB服务器转发的交易请求,提供给客户终端运营商选择页面;
步骤2:客户终端选择运营商;
步骤3:WAP门户服务器检查运营商手机号绑定信息,如果绑定或无要求继续执行步骤4,如果不绑定,跳转至步骤6;
步骤4:WAP门户服务器取得移动通讯运营商***设备地址,发送请求获取客户终端的手机号码,如果正常获取客户终端的手机号码,则继续步骤5,否则,如果运营商对手机号码绑定无要求跳转至步骤6,要求绑定而不能获取手机号码,生成获取手机号码异常令牌,跳转至步骤7;
步骤5:WAP门户服务器检查手机号码与运营商信息的一致性,一致生成正常获取手机号码令牌,不一致生成获取手机号码异常令牌,跳转至步骤7;
步骤6:对于运营商不绑定手机号,及不要求绑定手机号而且无法获得手机号的情况,WAP门户服务器生成无手机号令牌;
步骤7:WAP门户服务器将交易请求和手机令牌信息转发至WAP交易服务器。
上述方案中,所述WAP交易服务器在接收到手机令牌与交易请求后,进一步包括:WAP交易服务器获取客户信息。所述WAP交易服务器获取客户信息,具体包括:WAP交易服务器在接收到手机令牌与交易请求后,如果是正常获取手机令牌,提供给客户终端输入登录密码页面,以手机号码和登录密码为条件登录,获取客户信息;如果是获取手机号码异常令牌,显示给客户终端WAP银行信息浏览页面,限制客户终端不能登录WAP手机银行,结束;如果是无手机号令牌,提供给客户终端输入***、登录密码的登录页面,以***和登录密码作为条件登录获取客户信息。
上述方案中,所述验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,具体包括:WAP交易服务器在获取客户信息后,检查客户注册手机银行时预留的手机号码信息,检查此手机号码对应的运营商信息以及绑定信息,与令牌中信息是否一致,如果一致,则客户终端登录成功,继续交易;如果不一致,提示客户登录失败,拒绝交易,限制客户只能访问WAP手机银行信息浏览页面。
(三)有益效果
从上述技术方案可以看出,本发明具有以下有益效果:
1、本发明提供的实现WAP手机银行交易安全控制的***及方法,能够防止客户通过互联网访问WAP手机银行,有效地提高访问手机银行的安全性。
2、本发明提供的实现WAP手机银行交易安全控制的***及方法,可以有效的控制通过互联网访问WAP手机银行的问题,降低了通过更容易操作的电脑和互联网,暴力破解WAP手机银行,特别是手机银行密码的可能性。
3、本发明提供的实现WAP手机银行交易安全控制的***及方法,通过限制WAP手机银行接入的唯一性,和手机号码绑定方案,保证客户只能通过自己的手机访问WAP手机银行,使WAP手机银行安全性得到很大的提高。
4、本发明提供的实现WAP手机银行交易安全控制的***及方法,同样也适用于WAP手机银行B2C购物。
附图说明
图1是本发明提供的实现WAP手机银行交易安全控制***的结构示意图;
图2是本发明提供的实现WAP手机银行交易安全控制的方法流程图;
图3是依照本发明实施例提供的实现WAP手机银行交易安全控制的示意图;
图4是本发明客户终端访问WAP手机银行生成手机令牌的方法流程图;
图5是本发明对手机令牌进行验证处理的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
为了控制限制客户通过互联网访问WAP手机银行,首先必须控制WAP手机银行接入地址的唯一性,对于手机银行来说,通过对WAP手机银行接入的检查控制,保证所有的请求必须通过WAP门户服务器提交到WAP交易服务器,从而拒绝通过互联网访问的客户。
要控制客户只能通过手机访问WAP手机银行,获取客户的手机号码是关键,因为通过互联网访问WAP手机银行是无法获得客户的手机号码的。要获取客户真实的手机号码,只能通过和移动通信运营商的合作,在客户使用手机访问WAP手机银行的时候,运营商将客户的手机号等信息,传递给WAP手机银行站点。
客户访问WAP手机银行主要分为两种方式:
第一种是通过移动通讯运营商的服务页面,链接到银行的WAP手机银行服务界面。
第二种是客户直接输入域名访问WAP手机银行。
为了获取客户的手机号码,首先,银行方与移动通讯运营商达成协议,明确WAP手机银行是否需要手机号码绑定的限制(即一个手机号码只能访问一个客户的WAP手机银行),并预设置运营商是否要求绑定手机号码的安全参数,参数取值包括:绑定、不绑定、无要求。
对于客户通过第一种方式访问WAP手机银行的情况,如果运营商要求绑定手机号码,则要求运营商在链接到WAP银行站点时,将手机号码以参数的形式一并传递给WAP手机银行门户服务器。如果对于手机号绑定无要求或者要求不绑定,则不要求运营商在链接过来时提供手机号码。
对于客户通过第二种方式访问WAP手机银行的情况,如果运营商要求绑定,则在客户访问WAP手机银行的时候,提供给客户移动通讯运营商选择页面,客户选择后,需要银行和移动通讯运营商按照约定的接口进行后台通讯,以获取客户的手机号信息,如不能获得手机号,将限制客户的访问权限(只能浏览网页,不能登录WAP手机银行);如果不绑定,则不需获取客户的手机号码,客户的访问权限也不做控制;如果对于是否绑定不作要求,则尝试去获取客户的手机号码,能获得则按照正常获取手机号码的流程去处理,不能获取则按照不绑定的要求去处理。
同时在银行***中建立WAP网关IP地址列表、手机号段和运营商的对应关系列表;
通过“WAP网关IP地址列表”,可以判断从运营商处获取客户手机号码的目标地址信息,是否是和运营商约定好的地址信息,限制手机号码的信息来源地址。
通过“手机号段和运营商的对应关系列表”,可以通过手机号码知晓客户的运营商信息。
在运营商返回了客户的手机号码等信息之后,通过“手机号段和运营商的对应关系列表”,判断客户的移动通讯运营商与其在页面上选择的运营商信息是否一致,不一致则报错。根据信息的返回地址,检查该地址与“WAP网关IP地址列表”中的地址是否一致,不一致则报错拒绝交易。
上面本发明提到的交易入口的唯一性控制,获取客户手机号码的控制,都是在WAP手机银行的门户服务器完成的,WAP门户服务器主要是提供给客户一些静态页面类的浏览信息,而WAP手机银行的所有交易,都是在WAP手机银行交易服务器完成的。要做到保证所有的交易都是在安全限制的控制之下的,就必须保证所有的交易都是通过WAP门户服务器,转发到WAP交易服务器的。
为了实现这个目的,本发明增加了手机令牌的设计,客户终端访问WAP手机银行的时候,在WAP门户服务器,根据客户的运营商的是否绑定手机号的要求,和是否获得了客户的手机号码,根据一定的算法,生成不同类型的令牌,连同客户的交易请求一起转发到WAP交易服务器。WAP交易服务器在接收到交易请求之后,首先检查令牌信息,检查通过继续进行交易,不通过则直接拒绝继续交易。
令牌设计如下:
手机令牌格式可以为:令牌类型|手机号码|时间戳|验证串
令牌类型:2位数字字符,00表示令牌中不包含手机号码,01表示令牌中包含有手机号码;70~99用来表示异常。
手机号码:当令牌中有手机号码时,填入经过加密的手机号码。加密的方式可以是将手机号码+服务器当前时间为源串,使用加密算法(例如3Des算法),使用在WAP门户和WAP交易平台配置密钥进行加密,获得加密串。
时间戳:yyyyMMddHHmmss,产生令牌的当前服务器时间,此令牌在特定时间段范围内有效。
验证串:将前面参数拼串做加密运算,生成验证字符串,如MD5运算,生成MD5摘要作为验证串
(说明:对于可以从运营商获得手机号的情况,令牌中包含手机号码信息,其它只能生成没有手机号码的令牌。)
在令牌校验成功后,对于要求手机号码绑定的运营商,以手机号码作为客户的登录ID,要求客户输入登录密码和验证码完成登录。对于不要求绑定的客户的运营商,要求客户输入登录***、密码、验证码完成登录。登录WAP手机银行后,交易服务器获取到客户开通手机银行时所预留的手机号码,根据该手机号码再判断其运营商信息及是否要求绑定,是否与该客户在门户选择的交易信息以及令牌信息一致,验证成功,再进入手机交易功能。(说明:一般情况下,绑定手机号是银行方出于安全方面的要求,但通讯运营商可以不要求绑定手机号,这种情况下,不能限制此运营商的用户通过互联网访问银行的WAP手机银行。)
下面结合附图对本发明的具体实施方式作进一步的详细说明。
如图1所示,图1是本发明提供的实现WAP手机银行交易安全控制***的结构示意图,该***包括客户终端、WEB服务器、WAP门户服务器、WAP交易服务器和移动通讯运营商***设备。其中,客户终端是客户访问WAP手机银行的载体,一般是指手机。WEB服务器用于提供域名地址服务,将接收自客户终端的交易请求转发至WAP门户服务器。WAP门户服务器,用于在接收到WEB服务器转发的交易请求后获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器。WAP交易服务器,用于在接收到手机令牌与交易请求后,验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,一致则继续交易;不一致拒绝交易。移动通讯运营商***设备,用于提供接口给WAP门户服务器,WAP门户服务器通过与移动通讯运营商***设备通讯,获取客户终端的的手机号码。
对于直接输入域名访问WAP手机银行的客户终端,所述WAP门户服务器提供给客户终端选择运营商页面,根据运营商手机号绑定关系参数,通过与运营商协定的通讯接口,从移动通讯运营商***设备获取客户终端的手机号码,根据绑定关系和是否获得手机号信息,根据相应的算法,生成手机令牌。
对于通过运营商页面链接访问WAP手机银行的客户终端,所述WAP门户服务器从交易请求中获取手机号码和运营商信息,并根据运营商手机号绑定关系参数生成手机令牌。
所述WAP交易服务器在验证手机令牌的合法性后,如果合法,则根据是否绑定手机号码向客户终端提供不同的登录页面,客户终端登录后,根据客户终端注册时预留的手机号码信息,检查客户运营商的绑定信息与令牌信息是否一致;如果WAP交易服务器验证手机令牌的不合法,则拒绝交易。在WAP交易服务器检查客户运营商的绑定信息与令牌信息不一致或者验证手机令牌的不合法而拒绝交易时,客户终端能够浏览简单的信息页面,无法进行交易。
基于图1示出的实现WAP手机银行交易安全控制的***,图2示出了本发明提供的实现WAP手机银行交易安全控制的方法流程图,该方法包括以下步骤:
步骤201:客户终端向WEB服务器提出交易请求,WEB服务器将该交易请求转发至WAP门户服务器;
步骤202:WAP门户服务器在接收到WEB服务器转发的交易请求后,获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器;
步骤203:WAP交易服务器在接收到手机令牌与交易请求后,验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,如果一致,则继续交易;如果不一致,则拒绝交易。
步骤201中所述客户终端向WEB服务器提出交易请求,通过以下两种方式实现:
方式一、客户终端通过移动通讯运营商的服务页面,链接到WAP手机银行服务界面,向WEB服务器提出交易请求;
方式二、客户终端直接输入域名访问WAP手机银行,向WEB服务器提出交易请求。
对于客户终端通过第一种方式访问WAP手机银行的情况,如果运营商要求绑定手机号码,则运营商在链接到WAP手机银行时,将手机号码以参数的形式一并传递给WAP手机银行门户服务器;如果对于手机号绑定无要求或者要求不绑定,则不要求运营商在链接过来时提供手机号码;其中,所述绑定是指一个手机号码只能访问一个客户终端的WAP手机银行。
对于客户终端通过第二种方式访问WAP手机银行的情况,如果运营商要求绑定,则在客户终端访问WAP手机银行时,提供给客户终端移动通讯运营商选择页面,客户终端选择后,需要银行和移动通讯运营商按照约定的接口进行后台通讯,以获取客户终端的手机号码信息,如不能获得手机号码,则限制客户终端的访问权限,只能浏览网页,不能登录WAP手机银行;如果不要求绑定,则不需获取客户的手机号码,客户终端的访问权限也不做控制;如果对于是否绑定不做要求,则尝试去获取客户终端的手机号码,能获得则按照正常获取手机号码的流程去处理,不能获取则按照不绑定的要求去处理。
步骤202中所述WAP门户服务器在接收到WEB服务器转发的交易请求后,获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器,具体包括:
步骤1:WAP门户服务器在接收到WEB服务器转发的交易请求,提供给客户终端运营商选择页面;
步骤2:客户终端选择运营商;
步骤3:WAP门户服务器检查运营商手机号绑定信息,如果绑定或无要求继续执行步骤4,如果不绑定,跳转至步骤6;
步骤4:WAP门户服务器取得移动通讯运营商***设备地址,发送请求获取客户终端的手机号码,如果正常获取客户终端的手机号码,则继续步骤5,否则,如果运营商对手机号码绑定无要求跳转至步骤6,要求绑定而不能获取手机号码,生成获取手机号码异常令牌,跳转至步骤7;
步骤5:WAP门户服务器检查手机号码与运营商信息的一致性,一致生成正常获取手机号码令牌,不一致生成获取手机号码异常令牌,跳转至步骤7;
步骤6:对于运营商不绑定手机号,及不要求绑定手机号而且无法获得手机号的情况,WAP门户服务器生成无手机号令牌;
步骤7:WAP门户服务器将交易请求和手机令牌信息转发至WAP交易服务器。
步骤203中所述WAP交易服务器在接收到手机令牌与交易请求后,进一步包括:WAP交易服务器获取客户信息,该获取客户信息的步骤具体包括:WAP交易服务器在接收到手机令牌与交易请求后,如果是正常获取手机令牌,提供给客户终端输入登录密码页面,以手机号码和登录密码为条件登录,获取客户信息;如果是获取手机号码异常令牌,显示给客户终端WAP银行信息浏览页面,限制客户终端不能登录WAP手机银行,结束;如果是无手机号令牌,提供给客户终端输入***、登录密码的登录页面,以***和登录密码作为条件登录获取客户信息。
步骤203中所述验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,具体包括:WAP交易服务器在获取客户信息后,检查客户注册手机银行时预留的手机号码信息,检查此手机号码对应的运营商信息以及绑定信息,与令牌中信息是否一致,如果一致,则客户终端登录成功,继续交易;如果不一致,提示客户登录失败,拒绝交易,限制客户只能访问WAP手机银行信息浏览页面。
基于图1和图2,以下参照图3详细描述了依照本发明实施例提供的实现WAP手机银行交易安全控制的示意图,该方法具体包括以下步骤:
步骤1:客户通过手机客户终端,输入域名,访问wap手机银行;
步骤2:wap手机银行Web服务器将交易请求转发至wap门户服务器;
步骤3:WAP门户服务器在接收到WEB服务器转发的交易请求,提供给客户终端运营商选择页面;
步骤4:客户终端选择运营商;
步骤5:WAP门户服务器检查运营商手机号绑定信息,如果绑定或无要求继续执行步骤6,如果不绑定,跳转至步骤8;
步骤6:WAP门户服务器取得移动通讯运营商***设备地址,发送请求获取客户终端的手机号码,如果正常获取客户终端的手机号码,则继续步骤7,否则,如果运营商对手机号码绑定无要求跳转至步骤8,要求绑定而不能获取手机号码,生成获取手机号码异常令牌,跳转至步骤9;
步骤7:WAP门户服务器检查手机号码与运营商信息的一致性,一致生成正常获取手机号码令牌,不一致生成获取手机号码异常令牌,跳转至步骤9;
步骤8:对于运营商不绑定手机号,及不要求绑定手机号而且无法获得手机号的情况,WAP门户服务器生成无手机号令牌;
步骤9:WAP门户服务器将交易请求和手机令牌信息转发至WAP交易服务器;
步骤10:WAP交易服务器在接收到手机令牌与交易请求后,如果是正常获取手机令牌,提供给客户终端输入登录密码页面,以手机号码和登录密码为条件登录,获取客户信息;如果是获取手机号码异常令牌,显示给客户终端WAP银行信息浏览页面,限制客户终端不能登录WAP手机银行,结束;如果是无手机号令牌,提供给客户终端输入***、登录密码的登录页面,以***和登录密码作为条件登录获取客户信息;
步骤11:WAP交易服务器在获取客户信息后,检查客户注册手机银行时预留的手机号码信息,检查此手机号码对应的运营商信息以及绑定信息,与令牌中信息是否一致,如果一致,则客户终端登录成功,继续交易;如果不一致,提示客户登录失败,拒绝交易,限制客户只能访问WAP手机银行信息浏览页面,结束。
下面结合图4和图5,介绍手机令牌的生成和使用方法。
参照图4,本发明客户终端访问WAP手机银行,手机令牌的生成的方法,以客户直接输入域名访问为例,包括以下步骤:
步骤401:客户通过手机直接输入域名访问WAP手机银行;
步骤402:WAP手机银行的WAP门户服务器提示客户选择手机运营商;
步骤403:客户选择手机运营商,WAP门户服务器据客户的选择输入,检查运营商手机银行安全参数,如果运营商要求不绑定手机号码,生成不绑定手机号码令牌,请求转发至交易服务器,WAP门户服务器流程结束;如果运营商要求绑定或者对于是否绑定没有要求,向运营商发送请求,获取客户的手机号码;
步骤404:WAP门户服务器判检查安全参数,如果安全参数要求绑定手机号,进行步骤405;否则(运营商对于手机号码绑定没有要求),进行步骤406;
步骤405:WAP门户服务器根据运营商反馈的数据进行判断,如果没有从运行商成功获取手机号码,则生成获取手机号码异常令牌,客户只能浏览WAP门户信息页面;如果正常获取手机号码,检查手机号码与运营商的一致性(例如匹配“WAP网关IP地址列表”和“手机号段和运营商的对应关系列表”),如果不一致,生成获取手机号码异常令牌,客户只能浏览WAP门户信息页面;如果手机号码与运营商一致,生成绑定手机号码令牌,WAP门户服务器流程结束;
步骤406:WAP门户服务器根据运营商反馈的数据进行判断,如果没有从运营商获取手机号码,生成无手机号码令牌;如果正常获取手机号码,检查手机号码与运营商的一致性(匹配“WAP网关IP地址列表”和“手机号段和运营商的对应关系列表”),如果不一致,生成无手机号码令牌;如果手机号码与运营商一致,生成获得手机号码令牌。
参照图5,本发明手机令牌的验证处理方法,包括以下步骤:
步骤501:WAP门户服务器向交易服务器提交令牌参数,交易服务器根据约定的令牌格式,取手机号码、交易时间等信息,检查时间是否有效,根据是否能取到手机号码匹配令牌类型,根据约定的算法验证验证串是否正确,如果非法,拒绝交易;
步骤502:交易服务器根据令牌类型显示不同的登录页面,无手机号码、不绑定的令牌,显示输入***、登录密码的登录页面;有手机号码、绑定的令牌,显示输入登录密码的登录页面;
步骤503:交易服务器根据客户的输入项,查询客户注册时预先登记的客户信息,获取客户注册手机银行的手机号码;
步骤504:根据注册手机号码检查客户运营商信息,如果不一致,提示错误,拒绝客户交易请求,一致,则允许客户继续交易。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1、一种实现WAP手机银行交易安全控制的***,其特征在于,该***包括:
客户终端;
WEB服务器,用于提供域名地址服务,将接收自客户终端的交易请求转发至WAP门户服务器;
WAP门户服务器,用于在接收到WEB服务器转发的交易请求后获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器;
WAP交易服务器,用于在接收到手机令牌与交易请求后,验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,一致则继续交易;不一致拒绝交易;
移动通讯运营商***设备,用于提供接口给WAP门户服务器,WAP门户服务器通过与移动通讯运营商***设备通讯,获取客户终端的的手机号码。
2、根据权利要求1所述的实现WAP手机银行交易安全控制的***,其特征在于,所述客户终端是客户访问WAP手机银行的载体。
3、根据权利要求2所述的实现WAP手机银行交易安全控制的***,其特征在于,所述客户访问WAP手机银行的载体是手机。
4、根据权利要求1所述的实现WAP手机银行交易安全控制的***,其特征在于,对于直接输入域名访问WAP手机银行的客户终端,所述WAP门户服务器提供给客户终端选择运营商页面,根据运营商手机号绑定关系参数,通过与运营商协定的通讯接口,从移动通讯运营商***设备获取客户终端的手机号码,根据绑定关系和是否获得手机号信息,根据相应的算法,生成手机令牌。
5、根据权利要求1所述的实现WAP手机银行交易安全控制的***,其特征在于,对于通过运营商页面链接访问WAP手机银行的客户终端,所述WAP门户服务器从交易请求中获取手机号码和运营商信息,并根据运营商手机号绑定关系参数生成手机令牌。
6、根据权利要求1所述的实现WAP手机银行交易安全控制的***,其特征在于,所述WAP交易服务器在验证手机令牌的合法性后,如果合法,则根据是否绑定手机号码向客户终端提供不同的登录页面,客户终端登录后,根据客户终端注册时预留的手机号码信息,检查客户运营商的绑定信息与令牌信息是否一致;如果WAP交易服务器验证手机令牌的不合法,则拒绝交易。
7、根据权利要求6所述的实现WAP手机银行交易安全控制的***,其特征在于,在WAP交易服务器检查客户运营商的绑定信息与令牌信息不一致或者验证手机令牌的不合法而拒绝交易时,客户终端能够浏览简单的信息页面,无法进行交易。
8、一种实现WAP手机银行交易安全控制的方法,应用于权利要求1所述的***,其特征在于,该方法包括:
客户终端向WEB服务器提出交易请求,WEB服务器将该交易请求转发至WAP门户服务器;
WAP门户服务器在接收到WEB服务器转发的交易请求后,获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器;
WAP交易服务器在接收到手机令牌与交易请求后,验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,如果一致,则继续交易;如果不一致,则拒绝交易。
9、根据权利要求8所述的实现WAP手机银行交易安全控制的方法,其特征在于,所述客户终端向WEB服务器提出交易请求,通过以下两种方式实现:
方式一、客户终端通过移动通讯运营商的服务页面,链接到WAP手机银行服务界面,向WEB服务器提出交易请求;
方式二、客户终端直接输入域名访问WAP手机银行,向WEB服务器提出交易请求。
10、根据权利要求9所述的实现WAP手机银行交易安全控制的方法,其特征在于,对于客户终端通过第一种方式访问WAP手机银行的情况,如果运营商要求绑定手机号码,则运营商在链接到WAP手机银行时,将手机号码以参数的形式一并传递给WAP手机银行门户服务器;如果对于手机号绑定无要求或者要求不绑定,则不要求运营商在链接过来时提供手机号码;其中,所述绑定是指一个手机号码只能访问一个客户终端的WAP手机银行;
对于客户终端通过第二种方式访问WAP手机银行的情况,如果运营商要求绑定,则在客户终端访问WAP手机银行时,提供给客户终端移动通讯运营商选择页面,客户终端选择后,需要银行和移动通讯运营商按照约定的接口进行后台通讯,以获取客户终端的手机号码信息,如不能获得手机号码,则限制客户终端的访问权限,只能浏览网页,不能登录WAP手机银行;如果不要求绑定,则不需获取客户的手机号码,客户终端的访问权限也不做控制;如果对于是否绑定不做要求,则尝试去获取客户终端的手机号码,能获得则按照正常获取手机号码的流程去处理,不能获取则按照不绑定的要求去处理。
11、根据权利要求8所述的实现WAP手机银行交易安全控制的方法,其特征在于,所述WAP门户服务器在接收到WEB服务器转发的交易请求后,获取客户终端的手机号码,并根据运营商手机号绑定关系生成手机令牌,然后将该手机令牌与交易请求发送给WAP交易服务器,具体包括:
步骤1:WAP门户服务器在接收到WEB服务器转发的交易请求,提供给客户终端运营商选择页面;
步骤2:客户终端选择运营商;
步骤3:WAP门户服务器检查运营商手机号绑定信息,如果绑定或无要求继续执行步骤4,如果不绑定,跳转至步骤6;
步骤4:WAP门户服务器取得移动通讯运营商***设备地址,发送请求获取客户终端的手机号码,如果正常获取客户终端的手机号码,则继续步骤5,否则,如果运营商对手机号码绑定无要求跳转至步骤6,要求绑定而不能获取手机号码,生成获取手机号码异常令牌,跳转至步骤7;
步骤5:WAP门户服务器检查手机号码与运营商信息的一致性,一致生成正常获取手机号码令牌,不一致生成获取手机号码异常令牌,跳转至步骤7;
步骤6:对于运营商不绑定手机号,及不要求绑定手机号而且无法获得手机号的情况,WAP门户服务器生成无手机号令牌;
步骤7:WAP门户服务器将交易请求和手机令牌信息转发至WAP交易服务器。
12、根据权利要求8所述的实现WAP手机银行交易安全控制的方法,其特征在于,所述WAP交易服务器在接收到手机令牌与交易请求后,进一步包括:WAP交易服务器获取客户信息。
13、根据权利要求12所述的实现WAP手机银行交易安全控制的方法,其特征在于,所述WAP交易服务器获取客户信息,具体包括:
WAP交易服务器在接收到手机令牌与交易请求后,如果是正常获取手机令牌,提供给客户终端输入登录密码页面,以手机号码和登录密码为条件登录,获取客户信息;如果是获取手机号码异常令牌,显示给客户终端WAP银行信息浏览页面,限制客户终端不能登录WAP手机银行,结束;如果是无手机号令牌,提供给客户终端输入***、登录密码的登录页面,以***和登录密码作为条件登录获取客户信息。
14、根据权利要求8所述的实现WAP手机银行交易安全控制的方法,其特征在于,所述验证手机令牌的合法性,并检查客户运营商的绑定信息与令牌信息是否一致,具体包括:
WAP交易服务器在获取客户信息后,检查客户注册手机银行时预留的手机号码信息,检查此手机号码对应的运营商信息以及绑定信息,与令牌中信息是否一致,如果一致,则客户终端登录成功,继续交易;如果不一致,提示客户登录失败,拒绝交易,限制客户只能访问WAP手机银行信息浏览页面。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102266822A CN101448001B (zh) | 2008-11-19 | 2008-11-19 | 一种实现wap手机银行交易安全控制的***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102266822A CN101448001B (zh) | 2008-11-19 | 2008-11-19 | 一种实现wap手机银行交易安全控制的***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101448001A true CN101448001A (zh) | 2009-06-03 |
| CN101448001B CN101448001B (zh) | 2012-03-21 |
Family
ID=40743398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102266822A Active CN101448001B (zh) | 2008-11-19 | 2008-11-19 | 一种实现wap手机银行交易安全控制的***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101448001B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860824A (zh) * | 2010-05-06 | 2010-10-13 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证***及数字签名的方法 |
| CN102118743A (zh) * | 2011-03-02 | 2011-07-06 | 中兴通讯股份有限公司 | 一种登录手机网上银行的方法和***、银行服务器 |
| CN102215227A (zh) * | 2011-05-30 | 2011-10-12 | 中国联合网络通信集团有限公司 | 移动通信网络的电子商务身份认证方法及*** |
| CN102404115A (zh) * | 2010-09-16 | 2012-04-04 | 林新格 | 用sd卡实现wap手机银行***中手机与服务器的双向安全认证的方法及其*** |
| CN102457842A (zh) * | 2010-10-22 | 2012-05-16 | ***通信集团宁夏有限公司 | 一种手机交易方法、装置及*** |
| CN103095659A (zh) * | 2011-11-03 | 2013-05-08 | 北京神州泰岳软件股份有限公司 | 一种互联网中账户登录方法和*** |
| CN103237096A (zh) * | 2013-04-23 | 2013-08-07 | 长春吉联科技集团有限公司 | 一种使用手机号注册网站用户的方法 |
| CN103457733A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际***应用有限公司 | 一种云计算环境数据共享方法和*** |
| CN107070909A (zh) * | 2017-04-01 | 2017-08-18 | 广东欧珀移动通信有限公司 | 信息发送方法、信息接收方法、装置及*** |
| CN107210918A (zh) * | 2015-02-17 | 2017-09-26 | 维萨国际服务协会 | 使用交易特定信息的令牌和密码 |
| CN107864475A (zh) * | 2017-12-20 | 2018-03-30 | 中电福富信息科技有限公司 | 基于Portal+动态密码的WiFi快捷认证方法 |
| CN108737442A (zh) * | 2018-06-12 | 2018-11-02 | 北京多采多宜网络科技有限公司 | 一种加密校验处理方法 |
| CN112511510A (zh) * | 2020-11-18 | 2021-03-16 | 建信金融科技有限责任公司 | 一种授权认证方法、***、电子设备及可读存储介质 |
| CN114390524A (zh) * | 2021-12-22 | 2022-04-22 | 支付宝(杭州)信息技术有限公司 | 一键登录业务的实现方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1661605A (zh) * | 2004-02-26 | 2005-08-31 | 刘�英 | 移动银行 |
| CN1588954A (zh) * | 2004-07-27 | 2005-03-02 | 中国工商银行 | 智能终端,包括该智能终端的***以及数据交换方法 |
| CN100382486C (zh) * | 2004-10-26 | 2008-04-16 | 恒生电子股份有限公司 | 手机银行***的安全认证方法 |
-
2008
- 2008-11-19 CN CN2008102266822A patent/CN101448001B/zh active Active
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101860824A (zh) * | 2010-05-06 | 2010-10-13 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证***及数字签名的方法 |
| CN101860824B (zh) * | 2010-05-06 | 2013-06-12 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证***及数字签名的方法 |
| CN102404115A (zh) * | 2010-09-16 | 2012-04-04 | 林新格 | 用sd卡实现wap手机银行***中手机与服务器的双向安全认证的方法及其*** |
| CN102457842A (zh) * | 2010-10-22 | 2012-05-16 | ***通信集团宁夏有限公司 | 一种手机交易方法、装置及*** |
| CN102457842B (zh) * | 2010-10-22 | 2015-08-19 | ***通信集团宁夏有限公司 | 一种手机交易方法、装置及*** |
| CN102118743A (zh) * | 2011-03-02 | 2011-07-06 | 中兴通讯股份有限公司 | 一种登录手机网上银行的方法和***、银行服务器 |
| CN102215227A (zh) * | 2011-05-30 | 2011-10-12 | 中国联合网络通信集团有限公司 | 移动通信网络的电子商务身份认证方法及*** |
| CN103095659A (zh) * | 2011-11-03 | 2013-05-08 | 北京神州泰岳软件股份有限公司 | 一种互联网中账户登录方法和*** |
| CN103095659B (zh) * | 2011-11-03 | 2016-01-20 | 北京神州泰岳软件股份有限公司 | 一种互联网中账户登录方法和*** |
| CN103237096A (zh) * | 2013-04-23 | 2013-08-07 | 长春吉联科技集团有限公司 | 一种使用手机号注册网站用户的方法 |
| CN103457733A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际***应用有限公司 | 一种云计算环境数据共享方法和*** |
| CN103457733B (zh) * | 2013-08-15 | 2016-12-07 | 中电长城网际***应用有限公司 | 一种云计算环境数据共享方法和*** |
| US11068895B2 (en) | 2015-02-17 | 2021-07-20 | Visa International Service Association | Token and cryptogram using transaction specific information |
| CN107210918A (zh) * | 2015-02-17 | 2017-09-26 | 维萨国际服务协会 | 使用交易特定信息的令牌和密码 |
| CN107210918B (zh) * | 2015-02-17 | 2021-07-27 | 维萨国际服务协会 | 用于使用基于交易特定信息的令牌和密码的交易处理的装置和方法 |
| US11943231B2 (en) | 2015-02-17 | 2024-03-26 | Visa International Service Association | Token and cryptogram using transaction specific information |
| CN107070909A (zh) * | 2017-04-01 | 2017-08-18 | 广东欧珀移动通信有限公司 | 信息发送方法、信息接收方法、装置及*** |
| CN107864475A (zh) * | 2017-12-20 | 2018-03-30 | 中电福富信息科技有限公司 | 基于Portal+动态密码的WiFi快捷认证方法 |
| CN108737442A (zh) * | 2018-06-12 | 2018-11-02 | 北京多采多宜网络科技有限公司 | 一种加密校验处理方法 |
| CN108737442B (zh) * | 2018-06-12 | 2019-05-10 | 北京多采多宜网络科技有限公司 | 一种加密校验处理方法 |
| CN112511510A (zh) * | 2020-11-18 | 2021-03-16 | 建信金融科技有限责任公司 | 一种授权认证方法、***、电子设备及可读存储介质 |
| CN112511510B (zh) * | 2020-11-18 | 2022-09-30 | 中国建设银行股份有限公司 | 一种授权认证方法、***、电子设备及可读存储介质 |
| CN114390524A (zh) * | 2021-12-22 | 2022-04-22 | 支付宝(杭州)信息技术有限公司 | 一键登录业务的实现方法和装置 |
| CN114390524B (zh) * | 2021-12-22 | 2024-04-23 | 支付宝(杭州)信息技术有限公司 | 一键登录业务的实现方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101448001B (zh) | 2012-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101448001B (zh) | 一种实现wap手机银行交易安全控制的***及方法 | |
| CN101222333B (zh) | 一种数据交易处理方法及设备 | |
| CN101075875B (zh) | 在门户/***之间实现单点登录的方法及其*** | |
| JP5719871B2 (ja) | フィッシング攻撃を防ぐ方法および装置 | |
| US7496751B2 (en) | Privacy and identification in a data communications network | |
| JP4996085B2 (ja) | サービス提供装置及びプログラム | |
| KR20010085380A (ko) | 인터넷을 통해 행해진 상업형 트랜잭션을 방호하기 위해장치들을 연관시키는 방법 및 시스템 | |
| WO2003038575A2 (en) | Portability and privacy with data communications network browsing | |
| US11403633B2 (en) | Method for sending digital information | |
| CN102209046A (zh) | 网络资源整合***及方法 | |
| KR102116587B1 (ko) | 사이버 id를 이용하여 보안 트랜잭션을 제공하는 방법 및 시스템 | |
| CA3029871C (en) | Authentication server, authentication system and method | |
| CN109587683B (zh) | 短信防监听的方法及***、应用程序和终端信息数据库 | |
| CN1510899A (zh) | 基于移动通信平台的即取即用式动态随机密码手机身份认证*** | |
| CN116915493A (zh) | 安全登录方法、装置、***、计算机设备和存储介质 | |
| CN101969426B (zh) | 分布式用户认证***及其方法 | |
| KR20070076575A (ko) | 고객 인증처리 방법 | |
| KR20070076576A (ko) | 결제승인처리방법 | |
| KR101061716B1 (ko) | 탄소배출권 예치 계정 운영 방법 및 시스템 | |
| KR20090006815A (ko) | 고객 인증처리 방법 | |
| CN112712402A (zh) | 一种电子***开具时的身份认证*** | |
| KR20070077481A (ko) | 고객 인증 중계처리 서버 | |
| KR20060112167A (ko) | 고객 인증중계 방법 및 시스템과 이를 위한 서버와기록매체 | |
| JP2007279775A (ja) | ウェブ・アクセスポイント認証(wapa)が可能なウェブサーバー認証システム | |
| CN107979575A (zh) | 线上认证服务器以及线上认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |