CN106027501B - 一种在移动设备中进行交易安全认证的***和方法 - Google Patents

一种在移动设备中进行交易安全认证的***和方法 Download PDF

Info

Publication number
CN106027501B
CN106027501B CN201610295716.8A CN201610295716A CN106027501B CN 106027501 B CN106027501 B CN 106027501B CN 201610295716 A CN201610295716 A CN 201610295716A CN 106027501 B CN106027501 B CN 106027501B
Authority
CN
China
Prior art keywords
mobile client
information
safety certification
module
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610295716.8A
Other languages
English (en)
Other versions
CN106027501A (zh
Inventor
孙悦
郭晓鹏
蔡准
王在方
赵军
杜旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Core Time Technology Co Ltd
Original Assignee
Beijing Core Time Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Core Time Technology Co Ltd filed Critical Beijing Core Time Technology Co Ltd
Priority to CN201610295716.8A priority Critical patent/CN106027501B/zh
Publication of CN106027501A publication Critical patent/CN106027501A/zh
Application granted granted Critical
Publication of CN106027501B publication Critical patent/CN106027501B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0207Discounts or incentives, e.g. coupons or rebates
    • G06Q30/0222During e-commerce, i.e. online transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1096Supplementary features, e.g. call forwarding or call holding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Finance (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Strategic Management (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Physics & Mathematics (AREA)
  • Game Theory and Decision Science (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种在移动设备中进行交易安全认证的***和方法。本发明提供的***,其特征在于包括:移动客户端,具有通信单元、信息输入单元和安全组件SDK;安全认证平台,具有通信单元、与信息通道进行安全语音通信的语音外呼模块、对移动客户端完成认证逻辑的认证逻辑模块1、实现加密算法的安全算法模块1和对多个移动客户端的一个或多个密钥进行安全存储和管理的密钥管理模块;安全组件SDK包括认证逻辑模块2、安全算法模块2、防止SDK被反编译或动态调试的安全运行模块和保证密钥在移动客户端被安全存储的安全存储模块。其优点在于能够利用语音呼叫生成密匙,还能够将该密钥安全存储并运用于相关加密和安全认证操作,使虚拟支付的安全性得到提高。

Description

一种在移动设备中进行交易安全认证的***和方法
技术领域
本发明一般地涉及安全设备交易领域,并且更特别地,涉及一种在移动设备中进行交易安全认证的***和方法。
背景技术
随着移动互联网的快速发展,使用移动设备进行虚拟支付成为人们日常生活常见的交易手段。因此,对于如何保护这种虚拟支付的安全成为本领域越来越重要的一个议题。在银行等金融机构的小额支付交易中,短信验证码是最普遍的虚拟交易认证方式。然而,近几年爆发了大量的短信验证码安全漏洞,用户的数据在不知情下被泄露,其存款被盗转或盗刷。在一些重大案件中,用户数据泄露量达到数亿,用户存款被盗转或盗刷金额达到百万以上。这些因为短信验证码安全漏洞而造成的数据泄露和金融财产的转移给社会秩序带来了巨大的影响,给人们的生活带来了严重的损失和不便。
严重的安全漏洞带来的消极影响是巨大的,然而其背后的原理却很简单。下面简单阐述黑客攻击移动设备的原理:1、黑客窃取被害者银行账号、手机号等信息;2、黑客再利用这些信息进行撞库以登录被害者的网银,从而获取网银登录密码;3、黑客在被害者手机中散布病毒,安装木马;4、黑客登录被害者的网银并发起盗转;5、被害者移动端中的木马拦截银行发送的短信验证码后将其发送给黑客,并删除被害者移动端的短信,黑客填写拦截得到的验证码,完成转账交易。受众广泛的短信验证码,在如此简单的攻击面前瞬间土崩瓦解。究其根本原因,是智能手机的短信易被窃取,且验证码明文传递保存,使得这种方式虽然具有方便的特点,但其安全性却很差。
对于窃取用户账户信息、在用户移动端上安装木马程序等攻击准备工作,黑客目前一般通过钓鱼攻击、非官方渠道安装APP及各类网站的拖库撞库完成。一般虚拟支付用户对于这些手段很难防范。因此,对于使用“用户名口令+短信验证码”这种伪双因素认证方式的手机银行等用户移动端软件来说,能否保证验证短信的安全性,即能否保证验证短信不被劫持、窃听,就成了手机银行等用户移动端认证机制安全性的决定因素。如果用户的移动端中被植入了短信劫持木马,那么银行网关发给用户的短信验证码、消费通知等各种关键信息就有可能被木马转发给窃听者,带来盗转盗刷隐患。事实上,在多数情况下,短信劫持木马为了避免被发现,往往还会在用户移动端上采取短信拦截措施,即在转发银行短信给窃听者的同时,不让移动端用户看到银行发来的短信,这样一来,黑客就可以在背后偷偷盗转用户银行账户,而用户本人对此则毫无觉察。
综上所述,在云计算、移动互联网时代,传统的安全防护手段已经不再有效,黑客可以利用大数据的方式知晓潜在受害者的方方面面,传统意义上的银行卡+密码+短信验证码的方式正在接受挑战,本领域技术人员亟需一种方式替代或改善单纯的短信验证码方式,使其在移动端虚拟支付时能够兼顾易用性并提高安全性。
发明内容
为了解决现有技术中短信验证码容易被第三方拦截而造成虚拟支付不安全的问题,本发明的目的是提供一种在移动设备中进行交易安全认证的***,能够利用语音呼叫生成密匙,还能够将该密钥安全存储并运用于相关加密和安全认证操作,使虚拟支付的安全性得到提高。
为了实现上述目的,本发明提供了一种在移动设备中进行交易安全认证的***,其特征在于包括:
移动客户端,具有包括与安全认证平台、信息通道和业务服务器进行通信的便携终端通信单元、信息输入单元和安全组件SDK(Software Development Kit,软件开发工具包);
安全认证平台,具有包括与上述移动客户端、信息通道和业务服务器进行进行通信的通信单元、与信息通道进行安全语音通信的语音外呼模块、对移动客户端完成认证逻辑的认证逻辑模块1、实现加密算法的安全算法模块1和对多个移动客户端的一个或多个密钥进行安全存储和管理的密钥管理模块;
其中,所述安全组件SDK包括完成认证流程逻辑的认证逻辑模块2、实现加密算法的安全算法模块2、防止SDK被反编译或动态调试的安全运行模块和保证密钥在移动客户端被安全存储的安全存储模块。
上述业务服务器是指可以与移动客户端发生虚拟交易业务的服务器。具体来说,业务服务器可以属于商户、银行、第三方中介等金融交易机构。
上述信息通道是指可以提供移动客户端、业务服务器和安全认证平台之间语音、短信通信的服务体。具体来说,信息通道可以是通信运营商、网络信号运营商等。
进一步地,所述安全组件SDK可以作为移动客户端操作***的一部分或者作为APP(Application,应用程序)的一部分被设置于移动客户端中。
进一步地,为防止通过语音外呼生成密钥的过程中由于客户端被设置呼叫转移而产生的密钥初始化攻击,所述语音外呼模块可以识别与其语音通信的移动客户端的ACM(Address Complete Message,地址完全消息)是否携带有呼叫转移标识,若移动客户端的ACM携带有呼叫转移标识,语音外呼模块将取消该次语音通信。
进一步地,所述加密算法包括AES(Advanced Encryption Standard,高级加密标准)加密算法、安全散列算法256、SM3密码杂凑算法、SM4分组密码算法的一种或多种。
为了解决现有技术中短信验证码容易被第三方拦截而造成虚拟支付不安全的问题,本发明的另一个目的是提供一种在移动设备中进行交易安全认证的方法,能够利用上述的***生成与移动客户端信息绑定的密匙,并将该密钥应用于短信验证码和交易信息的加密与解密,实现虚拟支付安全性的提高。
为了实现上述目的,本发明提供了一种在移动设备中进行交易安全认证的方法,其特征在于,包括以下步骤:
(1)、生成密钥:
(1.1)请求:包括安全组件SDK的移动客户端在用户发起请求后由其安全元件采集移动客户端信息,并向能够进行信息存储和认证的安全认证平台发起密钥初始化请求;
(1.2)认证:安全认证平台收到移动客户端的请求及相应的信息后,安全认证平台生成校验信息1并通过信息通道向移动客户端进行安全语音通信传递该校验信息1,用户根据收听到的语音通信在移动客户端输入校验信息2,该校验信息2会传回至安全认证平台与校验信息1加以校验;
(1.3)生成对称密钥:当步骤1.2中校验信息1与校验信息2一致时,通过HOTP协议分别在移动客户端和安全认证平台生成一对密钥,这对密钥分别在所述移动客户端和安全认证平台中安全存储;
(2)、用密钥对短信验证码加密并交易:
(2.1)生成验证码:用户通过移动客户端对业务服务器发起交易并申请验证码,业务服务器收到交易请求后生成验证码并将该验证码通过信息通道发送至移动客户端;
(2.2)验证码加密:用户输入收到的验证码,移动客户端的安全组件SDK用步骤(1)生成的密钥对输入的验证码进行加密和签名,形成密文;
(2.3)用密文进行交易:移动客户端将密文发送至业务服务器,业务服务器将密文、明文信息发送至安全认证平台,安全认证平台对密文进行解密和验签并向业务服务器返回密文的验证结果,业务服务器再根据该验证结果向移动客户端发送交易结果。
进一步地,上述述步骤(2)可以被下述步骤(3)取代:
(3)用密钥对交易信息加密:
(3.1)发起交易:用户通过移动客户端向业务服务器发起交易,业务服务器确认交易请求;
(3.2)加密交易信息:移动客户端在收到业务服务器对该交易的确认后,其安全组件SDK利用步骤(1)所生产的密钥对交易信息进行加密和签名;
(3.3)处理加密交易信息:移动客户端将加密后的交易信息发送至业务服务器,业务服务器将加密后的交易信息发送至安全认证平台,安全认证平台对加密交易信息进行解密和验签并向业务服务器返回加密交易信息的验证结果,业务服务器再根据该验证结果向移动客户端发送交易结果。
进一步地,所述步骤(1.1)中的客户端信息包括SIM(Subscriber IdentityModule,客户识别模块)***信息、APP的用户信息和移动客户端设备信息(例如基于设备ID的设备指纹信息等)。
进一步地,所述步骤(1.2)中的安全语音通信是通过以下方法实现的:
安全认证平台首先通过信息通道向移动用户端发送语音信息,若移动用户端被设置了呼叫转移则其回答安全认证平台的ACM会携带呼叫转移标识,安全认证平台一旦识别其呼叫的移动用户端返还有呼叫转移标识的ACM会终止向该移动用户端的语音呼叫。
应当注意的是,对于同一客户端信息,上述***和方法所产生的密钥是唯一的。也就是说,针对于同样的客户端信息,上述***和方法只能产生一对密钥,这对密钥的其中一个被安全存储在所述移动客户端中,另一个被安全存储在所述安全认证平台中,并且这对密钥不能具有副本。这里所述的同样的客户端信息是指完全吻合的信息。
另一个应当注意的地方是,上述步骤(1)不是每次虚拟交易所必须的:当后续的虚拟交易要求的移动客户端信息与在前虚拟交易所要求的移动客户端信息一致时,移动客户端只需要从其安全组件SDK中调用在前生成的对应密钥即可。
以下将结合附图进一步详细说明本发明的方案以及其效果。
附图说明
图1是本发明一个实施方式的***主要构成的构成图。
图2是本发明一个实施方式的方法中生成密钥的流程图。
图3是本发明一个实施方式的方法中用密钥对短信验证码加密并交易的流程图。
图4是本发明一个实施方式的方法中用密钥对交易信息加密的流程图。
图5是本发明一个实施方式的方法中保证安全语音通信的流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出。所述参考附图描述的实施例是示例性的,仅用于解释本发明,而不能视为对本发明的限制。为了避免不必要地模糊所述实施例,本部分对一些本领域的公知技术,即对于本领域技术人员而言是显而易见的技术,未进行详细描述。
图1是本发明一个实施方式的***主要构成的构成图。
本实施方式的***包括:
具有包括与安全认证平台、信息通道和业务服务器进行通信的便携终端通信单元220、信息输入单元230和安全组件SDK210的移动客户端200;
具有包括与上述移动客户端200、信息通道和业务服务器进行进行通信的通信单元120、对移动客户端完成认证逻辑的认证逻辑模块101、实现加密算法的安全算法模块102、对多个移动客户端的一个或多个密钥进行安全存储和管理的密钥管理模块103和与信息通道进行安全语音通信的语音外呼模块104的安全认证平台100;
上述安全组件SDK210包括完成认证流程逻辑的认证逻辑模块211、实现加密算法的安全算法模块212、防止SDK被反编译或动态调试的安全运行模块213和保证密钥在移动客户端被安全存储的安全存储模块214。
上述业务服务器是指可以与移动客户端发生虚拟交易业务的服务器。具体来说,业务服务器属于银行。
上述信息通道是指可以提供移动客户端、业务服务器和安全认证平台之间语音、短信通信的服务体。具体来说,信息通道是通信运营商。
安全组件SDK210作为APP的一部分被设置于移动客户端中。
安全认证平台100中的语音外呼模块104可以识别与其语音通信的移动客户端200的ACM是否携带有呼叫转移标识,若移动客户端的ACM携带有呼叫转移标识,语音外呼模块100将取消该次语音通信。
安全算法模块212和安全算法模块102中的安全算法包括AES加密算法、安全散列算法256、SM3密码杂凑算法、SM4分组密码算法。
接下来,参照附图对各种在移动客户端200和安全认证平台100之间进行交易安全认证的方法进行详细说明。
(1)生成密钥(参照图2):
(1.1)请求:移动客户端200中的安全组件SDK210的在用户发起请求后收集移动客户终端200信息,例如SIM***信息、移动客户端设备信息和APP的用户信息,并向安全认证平台100发起密钥初始化请求;
(1.2)认证:安全认证平台100收到移动客户端200的请求及相应的信息后,安全认证平台100中生成校验信息1,语音外呼模块104通过信息通道向移动客户端200进行安全语音通信传递该校验信息1,用户根据收听到的语音通信通过信息输入单元230输入校验信息2,该校验信息2会传回至安全认证平台100,安全认证平台100调用认证逻辑模块101和安全算法模块102对校验信息2与校验信息1加以校验;这里,校验信息1是以语音校验码的形式生成的,因此校验信息2应当是与校验信息1相应的数字校验码;
(1.3)生成对称密钥:当步骤1.2中校验信息1与校验信息2一致时,通过HOTP协议分别在移动客户端和安全认证平台生成一对密钥,这对密钥分别在所述移动客户端100中的安全存储模块214和安全认证平台中的密钥管理模块103安全存储。
在这个流程中,由于密钥的生成过程中采用了安全的语音校验,使密钥生成过程更加安全,有效避免密钥生成过程第三方的参与;并且,所生成的密钥被安全保存从而有效避免第三方对密钥的窃取。
(2)用密钥对短信验证码加密并交易(参照图3):
在生成密钥后,
(2.1)生成验证码:用户通过移动客户端200对业务服务器发起交易并申请验证码,业务服务器收到交易请求后生成验证码1并将验证码1通过信息通道发送至移动客户端200;
(2.2)验证码加密:用户根据收到的验证码1通过信息输入单元230输入验证码2,安全组件SDK210从安全存储模块214中调用密钥并采用安全算法模块212对验证码2进行加密和签名,形成密文;
(2.3)用密文进行交易:移动客户端200的通信单元220将密文发送至业务服务器,业务服务器将密文和其附加的明文信息如验证码1发送至安全认证平台100,安全认证平台100中的安全算法模块102、密钥管理模块103和认证逻辑模块101对密文进行解密和验签并判断验证码1和验证码2是否一致,随后通信单元120向业务服务器返回密文的验证结果,业务服务器再根据该验证结果向移动客户端200发送交易结果,即交易成功或失败。
在这个流程中,虚拟交易采用的短信验证码由于使用了独特生成的密钥进行加密签名和解密验签,有效防止了被第三方窃取验证码或破解验证码密文的可能;另一方面,即使用户被诈欺后将验证码直接告知第三方,第三方也会因为缺少密钥而无法对验证码密文解密进而不能完成对用户交易的干预。因此,结合流程1,流程2使短信验证码有效避免虚拟支付中的安全风险。
(3)用密钥对交易信息加密(参照图4):
在生成密钥后,
(3.1)发起交易:用户通过移动客户端200的通信单元220向业务服务器发起交易,业务服务器确认该交易请求;
(3.2)加密交易信息:移动客户端200在收到业务服务器对该交易的确认后,安全组件SDK210从安全存储模块214中调用密钥并采用安全算法模块212对交易信息进行加密和签名;
(3.3)处理加密交易信息:移动客户端200中通信单元220将加密后的交易信息发送至业务服务器,业务服务器将加密后的交易信息发送至安全认证平台100,安全认证平台100中的安全算法模块102、密钥管理模块103和认证逻辑模块101对加密交易信息进行解密和验签,通信单元120随后向业务服务器返回加密交易信息的验证结果,业务服务器再根据该验证结果向移动客户端200发送交易结果,即交易成功或失败。
在这个流程中,虚拟交易采用的短信验证码由于使用了独特生成的密钥进行加密签名和解密验签,有效防止了交易信息被第三方窃取并破解的可能;另一方面,即使用户被诈欺后将验证码直接告知第三方,第三方也无法完成对用户交易的干预。并且,这个流程无需发送短信验证码,节省交易过程中的时间和其他损耗。因此,结合流程1,流程3不但使虚拟支付的安全性得到提高,还使得用户进行虚拟支付操作的简易程度也得到了改善。
(4)安全语音(参照图5):
其中,主要用户A即为安全认证平台100,被叫用户B是移动客户端200,被叫用户C是侵入移动客户端200的第三方;
安全认证平台100的语音外呼模块104首先通过信息通道向移动用户端100发送语音信息,若移动用户端100被第三方侵入并设置了呼叫转移则其回答安全认证平台的ACM会携带呼叫转移标识,安全认证平台100中的语音外呼模块104一旦识别其呼叫的移动用户端200返还有呼叫转移标识的ACM即会终止向移动用户端200的语音呼叫。
这个流程可以有效防止第三方对密钥生成时的干扰,例如防止第三方冒充用户在信息通道侧设置呼叫转移至第三方移动端,或防止在客户移动端中通过木马病毒等将用户的电话呼叫转移至第三方移动端,使语音初始化过程的安全性提高。

Claims (4)

1.一种在移动设备中进行交易安全认证的***,其特征在于包括移动客户端、安全认证平台和业务服务器,其中:
移动客户端,具有包括与安全认证平台、信息通道和业务服务器进行通信的便携终端通信单元、信息输入单元和安全组件软件开发工具包;
安全认证平台,具有包括与上述移动客户端、信息通道和业务服务器进行通信的通信单元、与信息通道进行安全语音通信的语音外呼模块、对移动客户端完成认证逻辑的第一认证逻辑模块、实现加密算法的第一安全算法模块和对多个移动客户端的一个或多个密钥进行安全存储和管理的密钥管理模块;
上述安全组件软件开发工具包包括完成认证流程逻辑的第二认证逻辑模块、实现加密算法的第二安全算法模块、防止软件开发工具包被反编译或动态调试的安全运行模块和保证密钥在移动客户端被安全存储的安全存储模块;所述语音外呼模块用于识别与其语音通信的移动客户端的地址完全消息是否携带有呼叫转移标识,若移动客户端的地址完全消息携带有呼叫转移标识,语音外呼模块将取消该次语音通信;
所述业务服务器是指与移动客户端发生虚拟交易业务的服务器。
2.根据权利要求1所述的在移动设备中进行交易安全认证的***,其特征在于:所述加密算法包括AES加密算法、安全散列算法256、SM3密码杂凑算法、SM4分组密码算法的一种或多种。
3.一种在移动设备中进行交易安全认证的方法,其特征在于,包括以下步骤:
(1)、生成密钥:
(1.1)请求:包括安全组件软件开发工具包的移动客户端在用户发起请求后由其安全元件采集移动客户端信息,并向能够进行信息存储和认证的安全认证平台发起密钥初始化请求;
(1.2)认证:安全认证平台收到移动客户端的请求及相应的信息后,安全认证平台生成第一校验信息并通过信息通道向移动客户端进行安全语音通信传递该第一校验信息,用户根据收听到的语音通信在移动客户端输入第二校验信息,该第二校验信息会传回至安全认证平台与第一校验信息加以校验;
(1.3)生成对称密钥:当步骤1.2中第一校验信息与第二校验信息一致时,通过HOTP协议分别在移动客户端和安全认证平台生成密钥,这些密钥分别在所述移动客户端和安全认证平台中安全存储;
(2)、用密钥对短信验证码加密并交易:
(2.1)生成验证码:用户通过移动客户端对业务服务器发起交易并申请验证码,业务服务器收到交易请求后生成验证码并将该验证码通过信息通道发送至移动客户端;所述业务服务器是指与移动客户端发生虚拟交易业务的服务器;
(2.2)验证码加密:用户输入收到的验证码,移动客户端的安全组件软件开发工具包用步骤(1)生成的密钥对输入的验证码进行加密和签名,形成密文;
(2.3)用密文进行交易:移动客户端将密文发送至业务服务器,业务服务器将密文和其附加的明文信息发送至安全认证平台,安全认证平台对密文进行解密和验签并向业务服务器返回密文的验证结果,业务服务器再根据该验证结果向移动客户端发送交易结果;
所述步骤(1.2)中的安全语音通信是通过以下方法实现的:
安全认证平台首先通过信息通道向移动用户端发送语音信息,若移动用户端被设置了呼叫转移则其回答安全认证平台的地址完全消息会携带呼叫转移标识,安全认证平台一旦识别其呼叫的移动用户端返还有呼叫转移标识的地址完全消息会终止向该移动用户端的语音呼叫。
4.根据权利要求3所述的在移动设备中进行交易安全认证的方法,其特征在于,所述步骤(2)可以被下述步骤(3)取代:
(3)用密钥对交易信息加密:
(3.1)发起交易:用户通过移动客户端向业务服务器发起交易,业务服务器确认交易请求;
(3.2)加密交易信息:移动客户端在收到业务服务器对该交易的确认后,其安全组件软件开发工具包利用步骤(1)所生产的密钥对交易信息进行加密和签名;
(3.3)处理加密交易信息:移动客户端将加密后的交易信息发送至业务服务器,业务服务器将加密后的交易信息发送至安全认证平台,安全认证平台对加密交易信息进行解密和验签并向业务服务器返回加密交易信息的验证结果,业务服务器再根据该验证结果向移动客户端发送交易结果。
CN201610295716.8A 2016-05-06 2016-05-06 一种在移动设备中进行交易安全认证的***和方法 Active CN106027501B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610295716.8A CN106027501B (zh) 2016-05-06 2016-05-06 一种在移动设备中进行交易安全认证的***和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610295716.8A CN106027501B (zh) 2016-05-06 2016-05-06 一种在移动设备中进行交易安全认证的***和方法

Publications (2)

Publication Number Publication Date
CN106027501A CN106027501A (zh) 2016-10-12
CN106027501B true CN106027501B (zh) 2017-08-01

Family

ID=57081811

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610295716.8A Active CN106027501B (zh) 2016-05-06 2016-05-06 一种在移动设备中进行交易安全认证的***和方法

Country Status (1)

Country Link
CN (1) CN106027501B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107645381B (zh) * 2016-07-21 2021-07-13 阿里巴巴集团控股有限公司 安全验证实现方法及装置
CN106453353B (zh) * 2016-10-25 2019-05-10 四川长虹电器股份有限公司 一种用户终端认证云端的方法
CN106529963B (zh) * 2016-11-26 2018-02-16 浙江邦盛科技有限公司 一种用于移动设备安全认证的***及方法
CN106899571B (zh) * 2016-12-21 2020-06-26 阿里巴巴集团控股有限公司 信息交互方法及装置
WO2018145286A1 (zh) * 2017-02-09 2018-08-16 深圳市汇顶科技股份有限公司 基于生物特征的认证方法、认证装置及电子设备
CN107437173A (zh) * 2017-05-10 2017-12-05 ***股份有限公司 受理终端位置计算***及其计算方法和位置计算模块
CN109245893A (zh) * 2017-07-10 2019-01-18 浙江华信区块链科技服务有限公司 一种用于替代u盾的身份构建及签名方法
CN108764912B (zh) * 2018-06-21 2021-09-17 广东工业大学 一种基于短信验证码的支付方法及装置
CN112508579A (zh) * 2020-11-26 2021-03-16 金邦达有限公司 一种交易验证***及其验证方法
CN113093678B (zh) * 2021-04-07 2022-12-20 国能(泉州)热电有限公司 一种电厂dcs***数据处理方法
CN113094688A (zh) * 2021-04-12 2021-07-09 中国工商银行股份有限公司 外派营销终端业务处理***及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006079145A1 (en) * 2004-10-20 2006-08-03 Salt Group Pty Ltd Authentication method
CN104767614A (zh) * 2014-01-03 2015-07-08 ***通信集团浙江有限公司 一种信息认证方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080238709A1 (en) * 2007-03-28 2008-10-02 Faramarz Vaziri One-way communication apparatus with dynamic key generation
CN101345788B (zh) * 2007-07-11 2012-01-11 游艺春秋网络科技(北京)有限公司 一种通过电话回拨的身份确认方法及***
CN105516969B (zh) * 2015-12-15 2019-03-05 中卓信(北京)科技有限公司 一种手机短信安全验证方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006079145A1 (en) * 2004-10-20 2006-08-03 Salt Group Pty Ltd Authentication method
CN104767614A (zh) * 2014-01-03 2015-07-08 ***通信集团浙江有限公司 一种信息认证方法及装置

Also Published As

Publication number Publication date
CN106027501A (zh) 2016-10-12

Similar Documents

Publication Publication Date Title
CN106027501B (zh) 一种在移动设备中进行交易安全认证的***和方法
CN108989346B (zh) 基于账号隐匿的第三方有效身份托管敏捷认证访问方法
CN102271035B (zh) 传输密码的方法和装置
US8156335B2 (en) IP address secure multi-channel authentication for online transactions
US8245030B2 (en) Method for authenticating online transactions using a browser
CN109325342A (zh) 身份信息管理方法、装置、计算机设备和存储介质
CN102254264A (zh) 手机支付安全控制方法及***
JP2013514556A (ja) 安全に取引を処理するための方法及びシステム
US20090192944A1 (en) Symmetric verification of web sites and client devices
WO2017190633A1 (zh) 验证金融卡用户身份可靠性的方法及装置
CN109272314B (zh) 一种基于两方协同签名计算的安全通信方法及***
CN108418812A (zh) 一种基于可信执行环境的智能终端安全消息服务方法
CN101141252A (zh) 一种网络密码认证方法
CN103037366A (zh) 基于非对称密码技术的移动终端用户认证方法及移动终端
CN110505055A (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和***
US20140330689A1 (en) System and Method for Verifying Online Banking Account Identity Using Real-Time Communication and Digital Certificate
CN108401494B (zh) 一种传输数据的方法及***
CN103401686B (zh) 一种用户互联网身份认证***及其应用方法
US20120284787A1 (en) Personal Secured Access Devices
CN105119716A (zh) 一种基于sd卡的密钥协商方法
CN109587683B (zh) 短信防监听的方法及***、应用程序和终端信息数据库
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN110866754A (zh) 一种基于动态口令的纯软件dpva身份认证方法
CN104657860A (zh) 一种手机银行安全认证方法
CN103188212A (zh) 电子钱包的安全管理方法及服务终端、电子钱包***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant