专利名称:客户身份认证系统及认证方法
技术领域:
本发明涉及信息认证技术领域,尤其涉及一种利用USB Key数字证书和动态密码令牌对证券交易客户进行身份认证的系统和方法。
背景技术:
基于互联网的证券业网上交易,因其方便、快捷的特点,近年来得到十分迅速的发展与推广。目前国内证券行业网上交易占比已经达到80%,成为非现场交易的重要手段。然而,随着互联网发展的日新月异,围绕着互联网应用的安全性问题得到日益广泛的关注。各种木马、病毒的泛滥,黑客事件层出不穷,给基于互联网的各种商业应用带来巨大挑战。为了保护客户证券交易的安全性,证券行业普遍使用的识别用户身份的方式为采用静态密码验证,但是静态密码验证具有局限性,容易被恶意偷窥、木马窃取等方式盗用,从而仍然会使客户的帐户和交易安全受到威胁。在大力推动和深化证券业网上交易应用的同时,如何通过提高技术防控手段,为客户提供更为安全的身份认证方式,防止帐户被非法盗用成为当前亟需考虑的问题。近年来,为了进一步提高客户交易安全,一些券商开始尝试建立一个旁路认证系统,以在静态交易密码验证之外,增加个人数字证书、动态密码等双因素认证能力。其主要特点是,为了避开对集中交易系统的改动,该旁路认证系统通常是部署在集中交易系统之前。客户的认证请求需要先送到旁路认证系统,验签通过或动态密码校验通过后再转发到集中交易系统进行交易密码的验证。上述这种方式虽然提供了双因素身份认证能力,但也存在一定的缺陷。其主要缺陷是网上交易、手机证券、电话委托等所有需要支持双因素客户身份认证功能的外围系统,都要以新的接口方式另外建立与旁路认证系统的连接,加大了实施和管理的困难。因此,有必要对目前证券行业的双因素认证方式进行改进。
发明内容
本发明旨在提供一种客户身份认证系统及认证方法,以方便地进行双因素认证。本发明的一个方面为一种客户身份认证系统,包括
客户端,客户使用安全装置通过所述客户端发送身份认证信息;
网上交易服务器,接收所述客户端发送的身份认证信息,并将所述身份认证信息进行统一转发;
集中交易系统,具有双因素认证功能及静态密码认证功能,所述集中交易系统接收所述网上交易服务器转发的身份认证信息并对该身份认证信息进行判断,将符合双因素认证功能要求的身份认证信息写入身份认证请求队列;双因素认证系统,包括异步通讯中间件及身份认证平台,所述异步通讯中间件定时扫描所述集中交易系统中的身份认证请求队列,将所述身份认证请求队列中的身份认证请求读出并发送给所述身份认证平台,所述身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理;同时将处理结果发送给所述异步通讯中间件,所述异步通讯中间件将收到的所述处理结果回写入所述集中交易系统的身份认证应答队列,所述集中交易系统收到所述身份认证应答队列中的认证结果后将其返回所述客户端,完成客户身份认证。一些实施例中,所述安全装置包括USBKey数字证书、硬件动态密码令牌、手机短信动态密码、手机软件动态密码令牌中的任一种。一些实施例中,所述客户身份认证系统采用热备份的方式设计,当系统出现异常 时,自动切换到备份系统,保证客户交易的正常运行。一些实施例中,所述客户身份认证系统还包括熔断结构,当所述身份认证平台发生严重故障不能正常提供服务时,所述集中交易系统根据预定的流程,临时切换到原有的工作流程,只校验客户的交易密码。一些实施例中,所述身份认证平台内建有实时监控模块,所述实时监控模块采用认证日志旁路侦听方式进行数据采集,记录详细的交易信息,并对符合预警规则的交易进行预警提醒。一些实施例中,所述异步通讯中间件每隔IOms扫描所述集中交易系统中的身份认证请求队列。本发明的另一方面为一种客户身份认证方法,利用上述的客户身份认证系统进行客户身份认证,该方法包括如下步骤
(1)客户使用安全装置通过客户端将身份认证信息发送到网上交易服务器;
(2)各个分散的网上交易服务器接收到所述客户端发送的身份认证信息后,统一转发到集中交易系统;
(3)集中交易系统收到所述网上交易服务器转发的身份认证信息后对该身份认证信息进行判断,将符合双因素认证功能要求的身份认证信息写入身份认证请求队列;
(4)异步通讯中间件定时扫描所述集中交易系统中的身份认证请求队列,将所述身份认证请求队列中的身份认证请求读出并发送给身份认证平台;
(5)身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理;同时将处理结果发送给所述异步通讯中间件;
(6)异步通讯中间件收到所述处理结果后,将其回写入所述集中交易系统的身份认证应答队列;
(7)所述集中交易系统收到所述身份认证应答队列中的认证结果后将其返回所述客户端,完成客户身份认证。一些实施例中,步骤(3)中的所述集中交易系统对该身份认证信息进行判断具体包括如下步骤
a)判断客户身份认证请求的验证方式和客户预设的身份认证方式是否一致,如果不同,则返回客户身份认证失败;如果正确,则进入下一步;b)判断客户静态密码是否正确,如果不正确,则客户身份认证失败,如果正确,则进入下一步;
c)判断客户认证方式是否是双因素身份认证,如果不是,则返回客户身份认证成功,如果是,则进入下一步;
d)将客户身份认证请求数据写入身份认证请求队列。一些实施例中,所述安全装置包括USBKey数字证书、硬件动态密码令牌、手机短信动态密码、手机软件动态密码令牌中的任一种。一些实施例中,步骤(5)中的所述身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行 处理具体包括如下方式
a)如果是USBKey数字证书,则将身份认证请求发送到USBKey数字证书模块进行处
理;
b)如果是硬件动态密码令牌,则将身份认证请求发送到硬件动态密码令牌模块进行处
理;
c)如果是手机短信动态密码,则将身份认证请求发送到手机短信动态密码模块进行处
理;
d)如果是手机软件动态密码令牌,则将身份认证请求发送到手机软件动态密码令牌模块进行处理。本发明由于采用以上技术方案,使之与现有技术相比,具有以下的优点和积极效果
1)本发明通过将身份认证平台后置于集中交易系统,从而解决了旁路认证系统可被绕过的问题,更好地保证了客户身份认证的安全性;
2)设计了异步通讯中间件,降低了集中交易系统和身份认证平台之间的错误传导,保证了集中交易系统的安全性和稳定性;
3)异步通讯中间件支持动态密码、数字证书等多种认证方式,并可平滑扩展,从而为今后兼容新的认证方式预留接口;
4)由于集中交易系统具有双因素认证功能及静态密码认证功能,并且双因素认证功能模块独立于静态密码认证模块,从而可与现有的证券业认证系统相兼容,最低限度地降低了对现有系统的影响。结合附图,根据下文的通过示例说明本发明主旨的描述可清楚本发明的其他方面和优点。
结合附图,通过下文的述详细说明,可更清楚地理解本发明的上述及其他特征和优点,其中
图I示出了本发明第一实施例提供的客户身份认证系统的结构框 图2示出了本发明第二实施例提供的客户身份认证系统的结构框 图3示出了本发明第三实施例提供的客户身份认证系统的结构框图;图4为本发明提供的客户身份认证方法的流程图。
具体实施例方式参见示出本发明实施例的附图,下文将更详细地描述本发明。然而,本发明可以以许多不同形式实现,并且不应解释为受在此提出之实施例的限制。相反,提出这些实施例是为了达成充分及完整公开,并且使本技术领域的技术人员完全了解本发明的范围。这些附图中,为清楚起见,可能放大了层及区域的尺寸及相对尺寸。实施例I 请参考图1,图I示出了本发明第一实施例提供的客户身份认证系统的结构框图;如图I所示,该实施例提供了一种客户身份认证系统,包括
客户端101,客户使用安全装置通过所述客户端101发送身份认证信息;其中,所述客户端101为网上交易客户端,并且所述安全装置包括=USBKey数字证书、硬件动态密码令牌、手机短信动态密码、手机软件动态密码令牌中的任一种;
网上交易服务器,接收所述客户端101发送的身份认证信息,并将所述身份认证信息进行统一转发;
集中交易系统103,具有双因素认证功能及静态密码认证功能,所述集中交易系统103接收所述网上交易服务器转发的身份认证信息并对该身份认证信息进行判断,将符合双因素认证功能要求的身份认证信息写入身份认证请求队列;
双因素认证系统104,包括异步通讯中间件105及身份认证平台,所述异步通讯中间件105定时扫描所述集中交易系统103中的身份认证请求队列,将所述身份认证请求队列中的身份认证请求读出并发送给所述身份认证平台,所述身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理;同时将处理结果发送给所述异步通讯中间件105,所述异步通讯中间件105将收到的所述处理结果回写入所述集中交易系统103的身份认证应答队列,所述集中交易系统103收到所述身份认证应答队列中的认证结果后将其返回所述客户端101,完成客户身份认证。其中,所述异步通讯中间件105还设有预留接口,用于对应扩展的其它认证系统。本实施例中,所述客户身份认证系统采用热备份的方式设计,当系统出现异常时,自动切换到备份系统,保证客户交易的正常运行。本实施例中,所述异步通讯中间件105每隔IOms扫描所述集中交易系统103中的身份认证请求队列。实施例2
请继续参考图2,图2示出了本发明第二实施例提供的客户身份认证系统的结构框图,其中,第二实施例提供的客户身份认证系统在第一实施例的基础上进一步包括熔断结构106,当所述身份认证平台发生严重故障不能正常提供服务时,为了不影响客户登录或委托操作的正常进行,所述集中交易系统103根据预定的流程,临时切换到原有的工作流程,只校验客户的交易密码,从而保证了当身份认证平台发生故障或者效率降低时不对交易业务造成影响。
并且,本实施例中的客户端101可包括网上交易客户端、移动证券和其它方式。除此之外,本实施例的其它方面与第一实施例相同,在此不再赘述。实施例3 请继续参考图3,图3示出了本发明第三实施例提供的客户身份认证系统的结构框图,其中,第三实施例提供的客户身份认证系统在第一实施例或第二实施例的基础上进一步包括实时监控模块,所述实时监控模块设置在所述身份认证平台内,所述实时监控模块采用认证日志旁路侦听方式进行数据采集,记录详细的交易信息,并对符合预警规则的交易进行预警提醒。实时监控模块能对身份认证平台的服务器资源的分配进行监控,记录交易运行中的服务器资源状况、数据库运行状况、异步通讯中间件运行状况等信息,并提供参数化配置,对报警临界点进行设定。实时监控模块的报警可通过喇叭声、屏幕报警、电子邮件和手机短信等多种模式进行个性化设置。现详细描述本发明提供的客户身份认证方法。请参考图4,图4为本发明提供的客户身份认证方法的流程图,如图4所示,本发明提供的客户身份认证方法包括如下步骤
S101、客户使用安全装置通过客户端将身份认证信息发送到网上交易服务器;其中,所述安全装置包括=USBKey数字证书、硬件动态密码令牌、手机短信动态密码、手机软件动态密码令牌中的任一种。S102、各个分散的网上交易服务器接收到所述客户端发送的身份认证信息后,统一转发到集中交易系统;
5103、集中交易系统收到所述网上交易服务器转发的身份认证信息后对该身份认证信息进行判断,将符合双因素认证功能要求的身份认证信息写入身份认证请求队列;其中,所述集中交易系统对该身份认证信息进行判断具体包括如下步骤a)判断客户身份认证请求的验证方式和客户预设的身份认证方式是否一致,如果不同,则返回客户身份认证失败;如果正确,则进入下一步山)判断客户静态密码是否正确,如果不正确,则客户身份认证失败,如果正确,则进入下一步;c)判断客户认证方式是否是双因素身份认证,如果不是,则返回客户身份认证成功,如果是,则进入下一步;d)将客户身份认证请求数据写入身份认证请求队列;
5104、异步通讯中间件定时扫描所述集中交易系统中的身份认证请求队列,将所述身份认证请求队列中的身份认证请求读出并发送给身份认证平台;
5105、身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理;同时将处理结果发送给所述异步通讯中间件;其中,所述身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理具体包括如下方式a)如果是USBKey数字证书,则将身份认证请求发送到USBKey数字证书模块进行处理;b)如果是硬件动态密码令牌,则将身份认证请求发送到硬件动态密码令牌模块进行处理;c)如果是手机短信动态密码,则将身份认证请求发送到手机短信动态密码模块进行处理;d)如果是手机软件动态密码令牌,则将身份认证请求发送到手机软件动态密码令牌模块进行处理;
5106、异步通讯中间件收到所述处理结果后,将其回写入所述集中交易系统的身份认证应答队列;
5107、所述集中交易系统收到所述身份认证应答队列中的认证结果后将其返回所述客户端,完成客户身份认证。本发明具有如下优点
1)本发明通过将身份认证平台后置于集中交易系统,从而解决了旁路认证系统可被绕过的问题,更好地保证了客户身份认证的安全性;
2)设计了异步通讯中间件,降低了集中交易系统和身份认证平台之间的错误传导,保 证了集中交易系统的安全性和稳定性;
3)异步通讯中间件支持动态密码、数字证书等多种认证方式,并可平滑扩展,从而为今后兼容新的认证方式预留接口;
4)由于集中交易系统具有双因素认证功能及静态密码认证功能,并且双因素认证功能模块独立于静态密码认证模块,从而可与现有的证券业认证系统相兼容,最低限度地降低了对现有系统的影响。因本技术领域的技术人员应理解,本发明可以以许多其他具体形式实现而不脱离本发明的精神或范围。尽管业已描述了本发明的实施例,应理解本发明不应限制为这些实施例,本技术领域的技术人员可如所附权利要求书界定的本发明精神和范围之内作出变化和修改。
权利要求
1.一种客户身份认证系统,其特征在于,包括 客户端,客户使用安全装置通过所述客户端发送身份认证信息; 网上交易服务器,接收所述客户端发送的身份认证信息,并将所述身份认证信息进行统一转发; 集中交易系统,具有双因素认证功能及静态密码认证功能,所述集中交易系统接收所述网上交易服务器转发的身份认证信息并对该身份认证信息进行判断,将符合双因素认证功能要求的身份认证信息写入身份认证请求队列; 双因素认证系统,包括异步通讯中间件及身份认证平台,所述异步通讯中间件定时扫描所述集中交易系统中的身份认证请求队列,将所述身份认证请求队列中的身份认证请求读出并发送给所述身份认证平台,所述身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理;同时将处理结果发送给所述异步通讯中间件,所述异步通讯中间件将收到的所述处理结果回写入所述集中交易系统的身份认证应答队列,所述集中交易系统收到所述身份认证应答队列中的认证结果后将其返回所述客户端,完成客户身份认证。
2.根据权利要求I所述的客户身份认证系统,其特征在于,所述安全装置包括=USBKey数字证书、硬件动态密码令牌、手机短信动态密码、手机软件动态密码令牌中的任一种。
3.根据权利要求I或2所述的客户身份认证系统,其特征在于,所述客户身份认证系统采用热备份的方式设计,当系统出现异常时,自动切换到备份系统,保证客户交易的正常运行。
4.根据权利要求I或2所述的客户身份认证系统,其特征在于,所述客户身份认证系统还包括熔断结构,当所述身份认证平台发生严重故障不能正常提供服务时,所述集中交易系统根据预定的流程,临时切换到原有的工作流程,只校验客户的交易密码。
5.根据权利要求I或2所述的客户身份认证系统,其特征在于,所述身份认证平台内建有实时监控模块,所述实时监控模块采用认证日志旁路侦听方式进行数据采集,记录详细的交易信息,并对符合预警规则的交易进行预警提醒。
6.根据权利要求I或2所述的客户身份认证系统,其特征在于,所述异步通讯中间件每隔IOms扫描所述集中交易系统中的身份认证请求队列。
7.一种客户身份认证方法,利用如权利要求I所述的客户身份认证系统进行客户身份认证,其特征在于,包括如下步骤 (O客户使用安全装置通过客户端将身份认证信息发送到网上交易服务器; (2)各个分散的网上交易服务器接收到所述客户端发送的身份认证信息后,统一转发到集中交易系统; (3)集中交易系统收到所述网上交易服务器转发的身份认证信息后对该身份认证信息进行判断,将符合双因素认证功能要求的身份认证信息写入身份认证请求队列; (4)异步通讯中间件定时扫描所述集中交易系统中的身份认证请求队列,将所述身份认证请求队列中的身份认证请求读出并发送给身份认证平台; (5)身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理;同时将处理结果发送给所述异步通讯中间件;(6)异步通讯中间件收到所述处理结果后,将其回写入所述集中交易系统的身份认证应答队列; (7)所述集中交易系统收到所述身份认证应答队列中的认证结果后将其返回所述客户端,完成客户身份认证。
8.根据权利要求7所述的客户身份认证方法,其特征在于,步骤(3)中的所述集中交易系统对该身份认证信息进行判断具体包括如下步骤 a)判断客户身份认证请求的验证方式和客户预设的身份认证方式是否一致,如果不同,则返回客户身份认证失败;如果正确,则进入下一步; b )判断客户静态密码是否正确,如果不正确,则客户身份认证失败,如果正确,则进入下一步; c)判断客户认证方式是否是双因素身份认证,如果不是,则返回客户身份认证成功,如果是,则进入下一步; d)将客户身份认证请求数据写入身份认证请求队列。
9.根据权利要求7所述的客户身份认证方法,其特征在于,所述安全装置包括=USBKey数字证书、硬件动态密码令牌、手机短信动态密码、手机软件动态密码令牌中的任一种。
10.根据权利要求9所述的客户身份认证方法,其特征在于,步骤(5)中的所述身份认证平台根据所述身份认证请求判断客户的身份认证方式,并根据客户的身份认证方式将身份认证请求发送到相应的处理模块进行处理具体包括如下方式 a)如果是USBKey数字证书,则将身份认证请求发送到USBKey数字证书模块进行处理; b)如果是硬件动态密码令牌,则将身份认证请求发送到硬件动态密码令牌模块进行处理; c)如果是手机短信动态密码,则将身份认证请求发送到手机短信动态密码模块进行处理; d)如果是手机软件动态密码令牌,则将身份认证请求发送到手机软件动态密码令牌模块进行处理。
全文摘要
本发明公开了一种客户身份认证系统,包括客户端、网上交易服务器、集中交易系统及双因素认证系统,双因素认证系统包括异步通讯中间件,双因素认证系统通过异步通讯中间件集成于集中交易系统的后方,因而在保证集中交易系统稳定运行的同时,确保了身份认证的安全。本发明还公开了一种客户身份认证方法,通过异步通讯中间件读出集中交易系统的身份认证请求队列中的身份认证请求并发送给身份认证平台,将身份认证平台处理后的处理结果回写入集中交易系统的身份认证应答队列,集中交易系统将身份认证应答队列中的认证结果返回给客户端,完成身份认证;由于双因素认证系统在集中交易系统的后方进行处理,因而确保了身份认证的安全可靠,不被旁路绕过。
文档编号H04L9/32GK102970141SQ20121050202
公开日2013年3月13日 申请日期2012年11月30日 优先权日2012年11月30日
发明者黄韦, 毛梦非, 方优, 茅自豪, 詹婷婷, 谢军 申请人:国泰君安证券股份有限公司