CN105308623B - 网络在线服务提供装置及方法 - Google Patents

网络在线服务提供装置及方法 Download PDF

Info

Publication number
CN105308623B
CN105308623B CN201480032949.8A CN201480032949A CN105308623B CN 105308623 B CN105308623 B CN 105308623B CN 201480032949 A CN201480032949 A CN 201480032949A CN 105308623 B CN105308623 B CN 105308623B
Authority
CN
China
Prior art keywords
online service
network
network online
interface
host machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201480032949.8A
Other languages
English (en)
Other versions
CN105308623A (zh
Inventor
曾凯
王怡
周大文
刘华军
安思宇
陈梦霄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Publication of CN105308623A publication Critical patent/CN105308623A/zh
Application granted granted Critical
Publication of CN105308623B publication Critical patent/CN105308623B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • H04L69/085Protocols for interworking; Protocol conversion specially adapted for interworking of IP-based networks with other networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种网络在线服务提供装置及方法,其中,该装置独立于宿主机器,通过接口与宿主机器相连,包括:网络在线服务访问模块,内置有浏览器,用于访问网络在线服务器,获得超文本标记语言HTML代码格式的网络在线服务界面;远程桌面服务控制器,与所述网络在线服务访问模块相连,用于将所述网络在线服务访问模块所获取的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,并将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示。本发明解决了现有技术中在固定PC上使用网络在线服务所存在的安全风险较大的技术问题,达到了降低安全风险,提高数据的安全性的技术效果。

Description

网络在线服务提供装置及方法
技术领域
本发明涉及数据处理的技术领域,特别涉及一种网络在线服务提供装置及方法。
背景技术
随着通讯技术的发展,电子商务、电子政务等技术相继出现,将传统的需要面对面进行的交易,通过公共电话网、互联网、3G网络等实现了网络的24小时在线服务,为服务的提供方和使用方创造了极大的便利。
然而,网络在线服务在提供便利的同时也面临着很大的安全威胁,尤其容易受到应用层的攻击,从而限制了用户在任意PC上使用网络在线服务的可能。
目前,应用层的攻击方式主要有以下几种:
1)网络钓鱼攻击,即,攻击者通过事先设计的假冒网站,利用客户安全意识薄弱的特点,诱骗客户登录,造成客户上当而泄露信息或造成损失。单一的密码类(包括静态密码和动态密码)的认证方式对于此类攻击的防护能力较差;
2)挂马攻击,即,攻击者在已经获得控制权的网站的网页中嵌入恶意代码(通常可以通过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(例如:Flash、PDF插件等)的漏洞,在用户不知情的情况下下载并执行恶意木马;
3)越权攻击,由于服务端对访问的控制并不是很严格,攻击者可以通过恶意程序篡改超文本转移协议(HTTP-Hypertext Transfer Protocol,HTTP)报文内容,访问未被授权的敏感信息或者非法执行写操作,这类攻击可以造成大范围的信息泄露或者信息损失。
因为,一般从服务器上访问过来的是超文本标记语言(Hyper Text Mark-upLanguage,HTML)格式的网页内容,由于PC自身存在的漏洞,这些内容很容易受到应用层的攻击,仅通过网络层的防护手段,例如:仅通过防火墙、安全套接层(Secure SocketsLayer,SSL)、入侵检测***(Intrusion Detection Systems,IDS)等进行安全防护是远远不够的。因此,用户在使用传统网络提供在线服务时,会先进行一系列的环境准备工作,例如:安装***补丁、设置信任站点、设置IE选项、安装控件、添加根证书等等,用户就是通过这种复杂的前序准备工作和后续的升级操作来避免受到攻击。然而,正是因为需要进行上面复杂的防护工作,导致用户只能在固定的PC上使用网络在线服务。如果客户自身的安全意识不足,或者因为复杂的应用程序不可避免的弱点,在固定PC上使用网络在线服务仍然会存在一定的安全风险,尤其是在任意的PC场景中,不确定性因素增加,安全性更加难以保证。目前通过PC进行网络在线服务的方式存在着极大的安全风险。
发明内容
本发明实施例提供了一种网络在线服务提供装置,以达到降低安全风险,提高数据的安全性的目的,该装置独立于宿主机器,通过接口与宿主机器相连,包括:
网络在线服务访问模块,内置有浏览器,用于访问网络在线服务器,获得超文本标记语言HTML代码格式的网络在线服务界面;
远程桌面服务控制器,与所述网络在线服务访问模块相连,用于将所述网络在线服务访问模块所获取的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,并将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示。
在一个实施例中,上述网络在线服务提供装置还包括:
网络在线服务处理模块,用于接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包;
签名认证模块,与所述网络在线服务处理模块相连,用于根据所述签名数据包对所述交易数据进行签名,并将签名后的交易数据提交给所述网络在线服务器进行签名验证。
在一个实施例中,上述网络在线服务提供装置还包括:显示屏,用于显示所述签名认证模块根据所述签名数据包对所述交易数据进行签名的过程中,需要用户确认的交易信息。
在一个实施例中,上述网络在线服务提供装置还包括:确认键,用于用户对所述显示屏上显示的交易信息进行确认。
在一个实施例中,所述宿主机器包括:电视或者电脑。
在一个实施例中,在所述宿主机器为电视的情况下,所述接口为高清晰度多媒体接口HDMI接口;
或者,在所述宿主机器为电脑的情况下,所述接口为通用串行总线USB接口。
本发明实施例还提供了一种网络在线服务提供方法,以达到降低安全风险,提高数据的安全性的目的,其中,该方法包括:
访问网络在线服务器,获得超文本标记语言HTML代码格式的网络在线服务界面;
将所获取的HTML代码格式的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,并将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示。
在一个实施例中,在将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示之后,所述方法还包括:
接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包;
根据所述签名数据包对所述交易数据进行签名,并将签名后的交易数据提交给网络在线服务器进行签名验证。
在一个实施例中,在接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包之前,所述方法还包括;
接收用户在宿主机器上显示的图片格式的网络在线服务界面中输入的验证信息;
通过所述宿主机器中的网络将所述验证信息发送给所述网络在线服务器进行身份验证。
在一个实施例中,所述验证信息包括:用户名和密码。
在一个实施例中,将所获取的HTML代码格式的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,包括;
按照预定的编码方式将HTML代码格式的网络在线服务界面,转换为图片格式的网络在线服务界面。
在一个实施例中,在访问网络在线服务器之前,所述方法还包括:
接收宿主机器中的客户端控件发起的连接请求;
确定所述连接请求是否满足连接条件,如果满足,则访问所述网络在线服务器。
在本发明实施例中,提出了一种进行网络在线服务提供的装置及方法,该装置独立于宿主机器,其中设置有网络在线服务访问模块、远程桌面服务控制器,网络在线服务访问模块获取HTML格式的网页界面,然后通过远程桌面服务控制器将HTML格式的网页界面转换为图片格式的网页界面并将其投放到宿主机器上进行显示,因为图片格式的网页界面很难被破解,因此可以有效解决现有技术中在固定PC上使用网络在线服务所存在的安全风险较大的技术问题,达到了降低安全风险,提高数据的安全性的技术效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例的网络在线服务提供装置的结构框图;
图2是本发明实施例的网络在线服务提供方法流程图;
图3是本发明实施例的网络在线服务提供装置的外观示意图;
图4是本发明实施例的网络在线服务提供装置的硬件结构示意图;
图5是本发明实施例的网络在线服务提供装置的功能模块示意图;
图6是本发明实施例的使用网络在线服务提供装置启动网络在线服务的方法流程图;
图7是本发明实施例的通过网络在线服务提供装置进行交易处理的方法流程图。
具体实施方式
发明人考虑到出现安全问题的主要原因是网页访问的不安全性,以及PC自身的漏洞等,对此,发明人想到如果对于信息的验证或者信息的加密等不在PC上执行,应该可以降低安全风险,例如,可以将对信息进行签名等的安全操作移植到一个独立的装置中,让这个装置独立于宿主机器而存在,同时,这个装置在访问到HTML的网页内容后,将其转换为不易进行破译和攻击的图形格式的网页内容,然后将其投放到宿主机器上进行显示,从而就可以有效提高信息的安全性。
在本发明实施例中提供了一种网络在线服务提供装置,该装置独立于宿主机器,通过接口与宿主机器相连,如图1所示,该装置包括:
网络在线服务访问模块101,内置有浏览器,用于访问网络在线服务器,获得超文本标记语言HTML代码格式的网络在线服务界面;
远程桌面服务控制器102,与网络在线服务访问模块101相连,用于将网络在线服务访问模块101所获取的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,并将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示。
在上述实施例中,提出了一种进行网络在线服务提供的装置,该装置独立于宿主机器,其中设置有网络在线服务访问模块、远程桌面服务控制器,网络在线服务访问模块获取HTML格式的网页界面,然后通过远程桌面服务控制器将HTML格式的网页界面转换为图片格式的网页界面并将其投放到宿主机器上进行显示,因为图片格式的网页界面很难被破解,因此可以有效解决现有技术中在固定PC上使用网络在线服务所存在的安全风险较大的技术问题,达到了降低安全风险,提高数据的安全性的技术效果。
具体实施时,因为需要用户验证信息或者交易数据等,因此,还需要通过监听用户在宿主机器上的输入以保证交易的有效进行,在一个具体实施例中,上述装置还包括:网络在线服务处理模块,用于接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包;签名认证模块,与所述网络在线服务处理模块相连,用于根据所述签名数据包对所述交易数据进行签名,并将签名后的交易数据提交给所述网络在线服务器进行签名验证。
考虑到在签名的过程中,有些信息是需要用户确认的,如果将这些信息投射到宿主机器上显示不仅麻烦而且不安全,因此可以在网络在线服务提供装置上设置一个显示屏,通过该显示屏显示所述签名认证模块对所述交易数据进行签名的过程中,需要用户确认的交易信息,进一步的,在该网络在线服务提供装置上还可以设置有确认键,用于用户对显示屏上显示的交易信息进行确认。
在具体实施时,宿主机器可以包括:电视或者电脑等带有显示屏和输入功能的机器,考虑到不同的机器适用于不同的接口,在宿主机器为电视的情况下,接口可以选择高清晰度多媒体接口(High Definition Multimedia Interface,HDMI)接口,在宿主机器是电脑的情况下,接口可以选择通用串行总线(Universal Serial Bus,USB)接口。
基于上述图1所示的网络在线服务提供装置,本发明实施例还提供了一种使用上述网络在线服务提供装置进行交易处理的方法,如图2所示,包括以下步骤:
步骤201:访问网络在线服务器,获得超文本标记语言HTML代码格式的网络在线服务界面;
步骤202:将所获取的HTML代码格式的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,并将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示。
在上述步骤102之后,上述方法还包括:接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包;根据所述签名数据包对所述交易数据进行签名,并将签名后的交易数据提交给网络在线服务器进行签名验证。
在具体实施时,因为上述网络在线服务提供装置仅是一个类似于U盘的小装置,在里面内置了浏览器和一些处理器,需要用的时候还是需要宿主机器进行触发,例如,在该装置通过内置的浏览器,访问网络在线服务器之前,上述方法还包括:接收宿主机器中的客户端控件发起的连接请求;确定所述连接请求是否满足连接条件,如果满足,则启动所述内置的浏览器;通过所述内置的浏览器访问所述网络在线服务器,即,在宿主机器中有客户端控件,通过这个控件可以将用户的连接请求发送给上述网络在线服务提供装置,以触发装置访问网络在线服务器。
上述步骤202可以包括:接收网络在线服务器发送给远程桌面服务控制器的HTML格式的网络在线服务界面;按照预定的编码方式将所述HTML格式的网络在线服务界面,编码为在宿主机器上显示的图片格式的网络在线服务器界面。因为投射的每一帧图形都是通过特殊方式编码输出的,页面中的元素(录入HTML文本框)的位置和内容不易分析,从而增加了黑客解析或者篡改页面元素的难度,降低了越权攻击的风险。
在用户登录到网络在线服务器的过程中,还需要对用户的基本登录信息进行验证,例如:用户名和密码,因此在接收宿主机器发送的用户在所述图片格式的网络在线服务器界面中输入的交易数据,并对所述交易数据进行组织,构造签名数据包之前,还包括:接收用户在宿主机器上显示的图片格式的网络在线服务器界面中输入的验证信息;通过所述宿主机器中的网络将所述验证信息发送给网络在线服务器进行身份验证。即,接收用户在网络在线服务登录页面输入的用户名和密码等认证信息,宿主机器中的客户端控件进行监听并将操作信息传送给上述网络在线服务提供装置,该装置将用户输入的验证信息通过宿主机器的网络上送至网络在线服务器。网络在线服务器验证通过后,登录网络在线服务成功。
本发明实施例还提供了一个具体的实施例来对本发明进行说明,然而值得注意的是,该具体的实施例仅是为了更好地说明本发明,并不构成对本发明的不当限定。
在本例中,提出了一种网络在线服务装置及数据处理方法,该网络在线服务装置可以通过USB接口接入计算机(下文中将该计算机称为宿主PC),外形可以类似于U盘,在该装置上设置有显示屏和按键,装置内设置有操作***和浏览器,同时提供高性能CPU、同时具备大内存和大存储能力,所有的数据运算和处理都是由装置内部的CPU完成。通过将运算环境与宿主PC进行隔离,降低了遭受PC客户端常见攻击的风险,保证了交易安全;
宿主PC为该随身的网络在线服务装置提供人机交互界面,宿主PC主要包括:键盘、显示器以及网络通信功能,在数据处理的过程中,网络在线服务装置绕过了宿主PC应用程序层面的处理,规避了常见的PC客户端攻击,网络在线服务装置内预安装了网络在线服务所必需的驱动和控件程序,客户无需自行安装,实现了即插即用,方便了客户在移动PC场景中进行网络在线服务,对于该网络在线服务装置后续的补丁安装或者是升级维护,都采用服务器下推的方式。
也就是说,该装置可以构建一个独立于宿主PC的相对封闭的软件和硬件环境,在该环境中,客户可以方便快捷地进行网络在线服务,不需要在宿主PC进行设置和准备工作,并且交易过程不易受到客户端常见攻击的影响。
如图3所示是该装置的外观示意图,包括:装置本体、显示屏、控制键和USB接口,在装置本体内封装有单片机,显示屏用于显示签名信息,控制键包含上下翻行键、取消键、确认键,上下翻行键用于查看显示屏中的签名信息,取消键和确认键用于控制签名,该装置通过USB口与宿主PC相连,其中上述的签名信息主要是用于对用户的省份验证,例如,用户名、交易信息等会在这个显示屏上进行显示,用于用户进行确认。
如图4所示是网络在线服务装置的硬件结构示意图,该装置中包括:
1)中央处理器、以及与中央处理器连接的中央处理器和随机存取存储器(RandomAccess Memory,RAM)用于运行内置的Linux操作***及其上层应用程序(浏览器等);
2)FLASH存储器,其中预装有操作***、浏览器、控件和客户端驱动等软件;
3)安全芯片,实现对交易的证书的签名运算;
4)USB接口,实现与宿主PC的连接,并向装置供电,将装置作为IP设备接入宿主PC,与宿主PC通过USB扩展协议进行通信;
5)远程连接接口,与USB接口连接,建立本装置与安装于宿主PC的客户端的远程服务连接;
6)图形输出接口,与USB接口连接,将根据本装置内置的浏览器访问的网银界面生成的图片格式的网络在线服务界面输出至PC客户端;
7)客户端输入接收接口,与USB接口连接,接收客户在客户端输入的信息;
8)网络在线服务请求发送接口,与USB接口连接,发送装置内置的浏览器访问网银的登录和交易等请求报文;
9)网络在线服务应答接受接口,与USB接口连接,接收网络在线服务返回的服务应答;
10)升级更新接口,与USB接口连接,接收网络在线服务器下推的装置内置操作***、浏览器、控件和客户端驱动等软件的升级信息,并接收更新版本;
11)显示器,用于显示交易签名信息;
12)控制键,控制显示交易签名信息的上下翻页,取消或确认交易签名过程。
上述的中央处理器可以采用高性能的Arm Cortex A8处理器,主频1G,1G RAM,512M闪存,上述的安全芯片可采用Z8D168系列等。
如图5所示是本装置的功能模块示意图,包括:远程桌面服务控制模块501,网络在线服务模块502,签名认证模块503,交互模块504,存储模块505,客户端驱动模块506,通讯模块507,在线升级模块508,其中,网络在线服务模块502分别与远程桌面服务控制模块501、签名认证模块503、存储模块505、通讯模块507连接,签名认证模块503和交互模块504连接;客户端驱动模块506、在线升级模块508分别与存储模块505连接;通讯模块507分别与远程桌面服务控制模块501和在线升级模块508连接,下面对这几个模块进行具体描述:
远程桌面服务控制模块501,通过远程桌面服务,实现本装置与PC客户端的通信,根据装置内置的浏览器访问网络在线服务的界面,并将其绘制成图形格式的网络在线服务器界面,投射到宿主PC上进行显示,同时接收客户在宿主PC上的输入操作。其中,投射的每一帧图形都是通过特殊方式编码输出的,页面中的元素(例如:HTML文本框)的位置和内容不易分析,这种方式增加了黑客解析或篡改页面元素的难度,有效降低了越权攻击的风险。
网络在线服务模块502,基于装置的CPU、RAM运行内置Linux操作***和浏览器,根据客户操作访问网络在线服务器,并进行数据计算和处理。因为内置的浏览器运行于装置内定制的Linux操作***中,一般的Windows操作***的木马无法对其构成威胁,并且装置对外无写接口,黑客难以篡改浏览器。因此,该浏览器运行于一个与宿主PC机隔离的封闭环境,为网络在线服务安全性提供了保障。
签名认证模块503,在网络在线服务的过程中,调用安全芯片,利用客户证书对交易信息进行签名认证。
交互模块504,在装置对网络在线服务进行签名过程中,通过装置中的显示屏显示签名的交易信息,同时接收客户利用本装置的控制键所进行的操作。
存储模块505,存储定制的Linux操作***、浏览器、控件和客户端驱动等软件。
客户端驱动模块506,在装置接入PC后,虚拟出一个光驱设备,光驱设备中预置PC客户端程序和驱动用以实现装置与PC之间的数据通信,供客户在PC上首次使用该装置时安装。
通讯模块507,通过USB扩展协议,将装置作为IP设备接入宿主PC中,实现装置与宿主PC之间的通信,使用网络层协议,使得宿主PC为装置中的应用访问互联网提供网络连接,并在本装置与宿主PC进行通信时,建立双向安全套接层(Secure Sockets Layer,SSL)安全通道,该装置作为IP设备接入,就绕过了宿主PC应用程序层的处理,规避了宿主PC机上的恶意程序(例如木马等)带来的攻击风险,降低了客户遭受挂马攻击的风险。
在线升级模块508,根据网络在线服务器下推的内置操作***、浏览器、控件和客户端驱动等软件的升级信息,更新各应用的版本。
网络在线服务装置向客户提供网络在线服务时,数据处理涉及宿主PC、PC客户端和装置三方之间的数据流动,PC客户端需在宿主PC上安装运行,PC客户端是装置与宿主PC进行交互的代理,该装置作为IP设备接入宿主PC,与宿主PC通过USB扩展协议进行通信,宿主PC为装置中的应用访问互联网提供网络连接,并为装置提供基本的人机交互界面,其中主要包括:图形界面显示、键盘输入等,具体功能可以由宿主PC中安装的PC客户端实现。
作为枢纽,PC客户端主要具备以下三方面的功能:
1)充当装置的代理,与PC进行实现数据传输,PC客户端通过远程桌面服务协议与该网络在线服务装置进行通信,并在PC上对装置中运行的浏览器界面进行渲染和展现。
2)充当人机交互界面,主要进行图形界面显示、监听键盘、鼠标输入等操作;
3)利用宿主PC的网络服务,为装置提供访问网络在线服务器(例如,银行***)的网络连接。
在装置接入PC之后,虚拟出一个光驱设备,光驱设备中预置PC客户端程序和驱动(实现装置与PC的数据通信),在一台PC上首次使用该装置,仅需安装客户端程序和驱动即可,由于访问网络在线服务器所使用的控件和驱动程序都是预置在装置内的,因此不需要用户进行安装,提升了用户体验,在该网络在线服务装置与PC之间建立了双向SSL安全通道进行数据通信,保证了数据传输的安全性。
如图6所示是使用网络在线服务装置启动网络在线服务时的处理流程,包括以下步骤:
步骤601:用户启动PC客户端,PC客户端向本装置发起连接请求;
步骤602:在本装置启动后,检查连接请求是否来自于PC客户端,请求是否合法,装置是否具备连接条件,即检测装置内置的操作***、浏览器、远程服务等是否正常运行。
步骤603:网络在线服务装置在判断符合连接条件后,远程桌面服务控制模块501启动远程桌面服务,为PC客户端提供窗口渲染的远程服务,网络在线服务模块502启动内置浏览器,等待客户发起使用网上银行服务的请求,然后通知PC客户端连接完毕。
步骤604:PC客户端在接收到通知后,启动窗口渲染程序,通过远程桌面服务访问该装置。
步骤605:远程桌面服务控制模块501将装置内置的浏览器界面以图形方式绘制,并投射到PC显示设备上,并启动监听客户输入操作,其中包括:鼠标、按键等操作。
步骤606:客户在PC客户端的图形操作界面的浏览器地址栏中输入网络在线服务的统一资源定位符(Uniform Resource Locator,URL)地址,在客户输入的过程中,客户端监听客户输入。
步骤607:在客户完成输入后,该装置的网络在线服务模块502调用装置内置的浏览器控件,通过白名单机制检查客户输入网址的合法性,及时发现钓鱼网站并向用户发出告警信号,从而降低网络钓鱼攻击的风险。
步骤608:该装置内置的浏览器通过PC客户端调用宿主PC操作***提供的网络服务,向银行网站发起登录请求,通讯模块507对在该装置与银行端之间传输的数据,进行加密处理,以保证数据的安全性。
步骤609:银行服务器通过网络层向PC客户端程序返回登录页面数据,客户端将登陆页面数据转发给该装置。
步骤610:该装置内置的浏览器解析数据,展现登录页面,并通知PC客户端程序,将浏览器窗口以图形方式投射到PC显示设备进行显示,给用户呈现网络在线服务的登录页面。
步骤611:用户在网络在线服务登录页面输入用户名、密码等认证信息,PC客户端监听并将操作传给装置。
步骤612:装置内置的浏览器将用户输入的数据通过PC网络上送至网络在线服务器。
步骤613:网络在线服务器在验证通过后,登录网络在线服务成功。
如图7所示是基于此装置的交易处理过程的一个具体实施例,主要包括以下步骤:
步骤701:装置将网上银行页面(相当于HTML格式的网络在线服务器界面)以图形格式投射到PC客户端显示设备,客户进行交易(例如转账),网上银行要求用户使用证书对交易数据进行数字签名,以保证完整性和不可抵赖性。
步骤702:用户通过PC客户端人机交互界面输入交易数据,客户端监听客户操作,将其传输至装置的网络在线服务模块502,向装置请求对数据进行签名。
步骤703:网络在线服务模块502调用装置内置的浏览器的网银控件对交易数据进行组织,构造签名数据包。
步骤704:通过驱动访问签名认证模块503,对数据进行签名。
步骤705:交互模块504将签名过程中需要用户确认的关键交易信息显示在装置的显示屏上,请用户进行核实并按键确认。
步骤706:网络在线服务模块502通过PC客户端将签名数据提交给银行服务器进行验签,如果验签成功,则执行交易。
在具体实施时,上述网络在线服务装置与宿主PC的通讯可采用USB传输、蓝牙传输或WIFI传输等传输方式,在通过蓝牙或WIFI等方式进行传输时,USB仅提供供电功能。
值得注意的是,上述接口采用USB接口仅是为了更好的说明本发明,还可以采用其它的接口,例如还可以增加HDMI接口,通过HDMI与具有联网功能的高清电视连接,利用电视的显示功能,构建临时的电脑***,从而达到进一步扩展访问网络在线服务的方式。
通过本例所提供的可随身携带、方便易用的网络在线服务装置,通过USB接口接入计算机,外形类似USB key,带有显示屏和按键装置,内置操作***和浏览器,以及高性能的CPU、大内存、大容量存储能力,同时具有独立运算处理能力,从而有效提升了用户在任意PC场景下进行网络在线服务的安全性和易用性。此装置的数据运算和处理都是由装置内部的CPU完成的,运算环境与宿主PC隔离,降低了遭受PC客户端常见攻击的风险,尤其是对于在移动PC场景下使用网络在线服务保护的意义更为明显,装置内集成安全芯片,提供交互式的数字签名功能,提供了“所见即所签”的效果,保证了用户网络在线服务的安全性,装置内预安装好网络在线服务所必需的驱动和控件程序,客户无需自行安装,实现了即插即用的目的,方便客户在移动PC场景中进行网络在线服务。
在另外一个实施例中,还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
从以上的描述中,可以看出,本发明实施例实现了如下技术效果:提出了一种进行网络在线服务提供的装置,该装置独立于宿主机器,其中设置有网络在线服务访问模块、远程桌面服务控制器,网络在线服务访问模块获取HTML格式的网页界面,然后通过远程桌面服务控制器将HTML格式的网页界面转换为图片格式的网页界面并将其投放到宿主机器上进行显示,因为图片格式的网页界面很难被破解,因此可以有效解决现有技术中在固定PC上使用网络在线服务所存在的安全风险较大的技术问题,达到了降低安全风险,提高数据的安全性的技术效果。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种网络在线服务提供装置,其特征在于,独立于宿主机器,通过接口与宿主机器相连,包括:
网络在线服务访问模块,内置有浏览器,用于访问网络在线服务器,获得超文本标记语言HTML代码格式的网络在线服务界面;
远程桌面服务控制器,与所述网络在线服务访问模块相连,用于将所述网络在线服务访问模块所获取的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,并将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示;
其中,所述网络在线服务提供装置,还包括:
网络在线服务处理模块,用于接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包;
签名认证模块,与所述网络在线服务处理模块相连,用于根据所述签名数据包对所述交易数据进行签名,并将签名后的交易数据提交给所述网络在线服务器进行签名验证;
显示屏,用于显示所述签名认证模块根据所述签名数据包对所述交易数据进行签名的过程中,需要用户确认的交易信息。
2.如权利要求1所述的网络在线服务提供装置,其特征在于,还包括:确认键,用于用户对所述显示屏上显示的交易信息进行确认。
3.如权利要求1所述的网络在线服务提供装置,其特征在于,所述宿主机器包括:电视或者电脑。
4.如权利要求3所述的网络在线服务提供装置,其特征在于:
在所述宿主机器为电视的情况下,所述接口为高清晰度多媒体接口HDMI接口;
或者,在所述宿主机器为电脑的情况下,所述接口为通用串行总线USB接口。
5.一种网络在线服务提供方法,其特征在于,包括:
访问网络在线服务器,获得超文本标记语言HTML代码格式的网络在线服务界面;
将所获取的HTML代码格式的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,并将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示;
其中,在将所述图片格式的网络在线服务界面提供给所述宿主机器进行显示之后,所述方法还包括:
接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包;
根据所述签名数据包对所述交易数据进行签名,并将签名后的交易数据提交给网络在线服务器进行签名验证。
6.如权利要求5所述的方法,其特征在于,在接收宿主机器发送的用户在所述图片格式的网络在线服务界面中输入的交易数据,并根据所述交易数据构造签名数据包之前,所述方法还包括;
接收用户在宿主机器上显示的图片格式的网络在线服务界面中输入的验证信息;
通过所述宿主机器中的网络将所述验证信息发送给所述网络在线服务器进行身份验证。
7.如权利要求6所述的方法,其特征在于,所述验证信息包括:用户名和密码。
8.如权利要求5所述的方法,其特征在于,将所获取的HTML代码格式的网络在线服务界面,绘制成在宿主机器上显示的图片格式的网络在线服务界面,包括;
按照预定的编码方式将HTML代码格式的网络在线服务界面,转换为图片格式的网络在线服务界面。
9.如权利要求5至8中任一项所述的方法,其特征在于,在访问网络在线服务器之前,所述方法还包括:
接收宿主机器中的客户端控件发起的连接请求;
确定所述连接请求是否满足连接条件,如果满足,则访问所述网络在线服务器。
CN201480032949.8A 2014-03-17 2014-03-17 网络在线服务提供装置及方法 Active CN105308623B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/073521 WO2015139172A1 (zh) 2014-03-17 2014-03-17 网络在线服务提供装置及方法

Publications (2)

Publication Number Publication Date
CN105308623A CN105308623A (zh) 2016-02-03
CN105308623B true CN105308623B (zh) 2019-05-31

Family

ID=54143608

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201480032949.8A Active CN105308623B (zh) 2014-03-17 2014-03-17 网络在线服务提供装置及方法

Country Status (2)

Country Link
CN (1) CN105308623B (zh)
WO (1) WO2015139172A1 (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003034772A1 (en) * 2001-10-19 2003-04-24 Smarttrust Systems Oy Method and arrangement in a communications network
CN1671102A (zh) * 2005-03-23 2005-09-21 蔡冠群 个人电子身份认证器及其安全认证方法
CN101444039A (zh) * 2006-05-11 2009-05-27 伊内尔肯有限公司 用于具有无线通信能力的pc的外部签名设备
CN101546546A (zh) * 2009-05-14 2009-09-30 北京千家悦网络科技有限公司 一种网络数据转换装置及其数据转换控制方法
CN101739622A (zh) * 2008-11-06 2010-06-16 同方股份有限公司 一种可信支付计算机***
CN102739398A (zh) * 2011-04-12 2012-10-17 深圳市证通电子股份有限公司 网银身份认证的方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7506253B2 (en) * 2004-05-21 2009-03-17 Electronics For Imaging, Inc. Methods and apparatus for recording web information
US8041127B2 (en) * 2006-11-30 2011-10-18 Intuit Inc. Method and system for obscuring and securing financial data in an online banking application
US9508072B2 (en) * 2011-08-26 2016-11-29 Paypal, Inc. Secure payment instruction system
CN103095662B (zh) * 2011-11-04 2016-08-03 阿里巴巴集团控股有限公司 一种网上交易安全认证方法及网上交易安全认证***
CN102394888A (zh) * 2011-11-11 2012-03-28 汉口银行股份有限公司 一种网上银行预留信息的安全登录方法
CN102739679A (zh) * 2012-06-29 2012-10-17 东南大学 一种基于url分类的钓鱼网站检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003034772A1 (en) * 2001-10-19 2003-04-24 Smarttrust Systems Oy Method and arrangement in a communications network
CN1671102A (zh) * 2005-03-23 2005-09-21 蔡冠群 个人电子身份认证器及其安全认证方法
CN101444039A (zh) * 2006-05-11 2009-05-27 伊内尔肯有限公司 用于具有无线通信能力的pc的外部签名设备
CN101739622A (zh) * 2008-11-06 2010-06-16 同方股份有限公司 一种可信支付计算机***
CN101546546A (zh) * 2009-05-14 2009-09-30 北京千家悦网络科技有限公司 一种网络数据转换装置及其数据转换控制方法
CN102739398A (zh) * 2011-04-12 2012-10-17 深圳市证通电子股份有限公司 网银身份认证的方法及装置

Also Published As

Publication number Publication date
WO2015139172A1 (zh) 2015-09-24
CN105308623A (zh) 2016-02-03

Similar Documents

Publication Publication Date Title
US9276926B2 (en) Secure and automated credential information transfer mechanism
US9641513B2 (en) Methods and systems for controlling mobile terminal access to a third-party server
US9525684B1 (en) Device-specific tokens for authentication
EP3162103B1 (en) Enterprise authentication via third party authentication support
CN106471783B (zh) 经由网关的企业***认证和授权
CN103944890B (zh) 基于客户端/服务器模式的虚拟交互***及方法
CN109768965B (zh) 一种服务器的登录方法、设备及存储介质
US20100199086A1 (en) Network transaction verification and authentication
EP3021551A1 (en) Method of identifying and counteracting internet attacks
CN106850503B (zh) 一种免登录身份认证方法及装置
JP2007513406A (ja) 安全な計算装置を使って身元情報の窃盗を防ぐシステムおよび方法
US9003540B1 (en) Mitigating forgery for active content
WO2007116277A1 (en) A method and system of providing sceurity services using a secure device
US20130104220A1 (en) System and method for implementing a secure USB application device
CN113630377A (zh) 托管移动设备的单点登录
CN106161475B (zh) 用户鉴权的实现方法和装置
CN101635714A (zh) 提高网络应用安全性的方法和***
CN102447720A (zh) 手机遥控pc方法
CN113746811A (zh) 登录方法、装置、设备及可读存储介质
CN110781465A (zh) 基于可信计算的bmc远程身份验证方法及***
EP4295227A1 (en) Computing device and associated methods providing browser launching of virtual sessions in an application
JP5799399B1 (ja) 仮想通信システム
CN105959278B (zh) 一种调用vpn的方法、设备和***
CN112202813B (zh) 网络访问方法及装置
Zhang et al. Trusted e-commerce user agent based on USB Key

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant