在线身份认证、在线交易验证、在线验证保护的方法与系统的制作方法

在线身份认证、在线交易验证、在线验证保护的方法与系统的制作方法
【专利摘要】本发明公开了在线身份认证、在线交易验证、在线验证保护的方法与系统，所述在线身份认证的方法包括：令牌设备利用银行IC卡的交易计数器ATC计数值和卡片密钥、业务数据，得到第一一次性动态口令；网络应用终端获取所述第一一次性动态口令，并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心；身份认证中心收到所述身份认证请求后，利用其中的用户身份标识，获取预存的ATC计数值和卡片密钥，并利用所述预存的ATC计数值和卡片密钥，对所述第一一次性动态口令进行处理；身份认证中心根据处理结果，向网络应用终端发送身份认证成功/失败的消息。本发明实现了在线的身份认证和交易验证，保证了在线交易的安全性。
【专利说明】在线身份认证、在线交易验证、在线验证保护的方法与系统

【技术领域】
[0001] 本发明涉及互联网技术，特别涉及一种互联网的在线验证保护的方法及相关的系 统。

【背景技术】
[0002] 随着计算机技术和网络技术的发展，网上购物、证券委托、办公自动化系统、企业 管理信息化得到迅速而普遍的应用，当今世界正快速迈向信息化时代，每一个人的、每一个 企业的财富信誉都和信息安全紧密相关，因此信息安全也就显得无比重要。
[0003] 为了保护信息安全，目前有身份认证、授权控制、日志审计、防火墙等安全技术。其 中身份认证是授权控制、日志审计等技术的基础，如果用户的身份被非法假冒，那么用户权 限也就被非法使用，审计日志也就失去意义。因此身份认证是重要的安全环节。
[0004] 随着互联网越来越普及以及人们对网上交易接受程度的不断提高，现在越来越多 的人开始习惯于网上购物，随之也带来了对如何在线上进行身份认证以及如何确保在线交 易安全等问题的关注。如何确保在线交易的合法性以及安全性被摆在了重要的位置。
[0005] 现有技术中，采用最广泛的是USBKey技术以及动态口令时间同步技术。USBKey技 术借助于非对称密钥算法以及证书体系，在台式机和笔记本电脑上保证了线上身份认证和 在线交易的安全性，但仍受限于设备，无法做到随时随地使用，缺乏使用的便捷性。动态口 令时间同步技术，能够最有效地解决用户的身份认证问题，其动态口令的变动来源于产生 口令的运算因子是变化的，一般都采用双运算因子：其一，用户身份的识别码，是固定不变 的；其二，把时间作为变动因子。正是时间这个变动因子的不断变化，才产生了不断变动的 动态口令。
[0006] USBKey的技术可以在电脑上实现身份认证和在线交易的保护，但是现在大家上网 的方式不再局限于电脑，而有了更多的选择，其中就包括手机、平板电脑等多种设备。
[0007] 另外，USBKey技术和动态口令时间同步技术对在线交易的保护只是做到了身份信 息的确认，即认证当前的在线交易是由合法的用户提交的，而没有对交易本身的重要数据 进行防篡改的保护，同时极易受到恶意的重放攻击。


【发明内容】

[0008] 本发明的目的在于提供一种在线身份认证、在线交易验证、在线验证保护的方法 与系统，能更好地解决线上身份认证和在线交易受限于设备的问题和交易数据的安全性问 题。
[0009] 根据本发明的一个方面，提供了一种在线身份认证的方法，包括以下步骤：
[0010] 令牌设备利用银行1C卡的交易计数器ATC计数值和卡片密钥、业务数据，得到第 一一次性动态口令；
[0011] 网络应用终端获取所述第一一次性动态口令，并将包含所述第一一次性动态口令 和用户身份标识的身份认证请求发送至身份认证中心；
[0012] 身份认证中心收到所述身份认证请求后，利用其中的用户身份标识，获取预存的 ATC计数值和卡片密钥，并利用所述预存的ATC计数值和卡片密钥，对所述第一一次性动态 口令进行处理；
[0013] 身份认证中心根据处理结果，向网络应用终端发送身份认证成功/失败的消息。
[0014] 优选地，所述令牌设备利用银行1C卡的交易计数器ATC计数值和卡片密钥、业务 数据，得到第一一次性动态口令的步骤包括：
[0015] 令牌设备通过近距离通信，将包含业务数据的身份认证口令请求发送至银行1C 卡；
[0016] 银行1C卡收到所述身份认证口令请求后，利用其卡片密钥，对其ATC计数值和所 述业务数据进行加密处理，得到身份认证加密数据AC1 ;
[0017] 银行1C卡将所述AC1与所述ATC计数值发送至令牌设备，并更新其ATC计数值；
[0018] 令牌设备对收到的所述AC1和所述ATC计数值进行编码处理，得到所述第一一次 性动态口令。
[0019] 优选地，所述网络应用终端获取所述第一一次性动态口令，并将包含所述第一一 次性动态口令和用户身份标识的身份认证请求发送至身份认证中心的步骤包括：
[0020] 网络应用终端获取所述第 次性动态口令，并生成包含第 次性动态口令和 用户身份标识的身份认证请求，发送至验证服务网关；
[0021] 验证服务网关对所述身份认证请求进行协议转换处理，并转发至身份认证中心。
[0022] 优选地，所述利用所述预存的ATC计数值和卡片密钥，对所述第一一次性动态口 令进行处理的步骤包括：
[0023] 身份认证中心收到经由协议转换处理的身份认证请求后，对其中的第一一次性动 态口令进行解码处理，得到AC1和ATC计数值；
[0024] 比较所述ATC计数值与预存的ATC计数值；
[0025] 若所述ATC计数值大于预存的ATC计数值，则利用预存的卡片密钥，对所述ATC计 数值和预存的业务数据进行加密处理，得到身份认证加密数据AC1' ；
[0026] 比较所述AC1'与所述AC1 ;
[0027] 若所述AC1'与所述AC1匹配，则所述身份认证成功，否则，所述身份认证失败；
[0028] 在数据库中更新身份认证成功/失败的结果和ATC计数值。
[0029] 根据本发明的另一方面，提供了一种在线交易验证的方法，包括以下步骤：
[0030] 令牌设备利用银行1C卡的ATC计数值和卡片密钥、交易数据，得到第二一次性动 态口令；
[0031] 网络应用终端获取所述第二一次性动态口令，并将包含第二一次性动态口令、交 易数据和用户身份标识的交易验证请求发送至交易验证中心；
[0032] 交易验证中心收到所述交易验证请求后，利用其中的用户身份标识，获取预存的 ATC计数值和卡片密钥，并利用所述交易数据、所述预存的ATC计数值和卡片密钥，对所述 第二一次性动态口令进行处理；
[0033] 交易验证中心根据处理结果，向网络应用终端发送交易验证成功/失败的消息。
[0034] 优选地，所述令牌设备利用银行1C卡的ATC计数值和卡片密钥、交易数据，得到第 二一次性动态口令的步骤包括：
[0035] 令牌设备通过近距离通信，将包含交易数据的交易验证口令请求发送至银行IC 卡；
[0036] 银行1C卡收到所述交易验证口令请求后，利用其卡片密钥，对其ATC计数值和所 述交易数据进行加密处理，得到交易验证加密数据AC2 ;
[0037] 银行1C卡将所述AC2与所述ATC计数值发送至令牌设备，并更新其ATC计数值；
[0038] 令牌设备对收到的所述AC2和所述ATC计数值进行编码处理，得到所述第二一次 性动态口令。
[0039] 优选地，所述网络应用终端获取所述第二一次性动态口令，并将包含第二一次性 动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心的步骤包括：
[0040] 网络应用终端获取所述第二一次性动态口令，并生成包含第二一次性动态口令、 交易数据和用户身份标识的交易验证请求，发送至验证服务网关；
[0041] 验证服务网关对所述交易验证请求进行协议转换处理，并转发至交易验证中心。
[0042] 优选地，所述利用所述交易数据、所述预存的ATC计数值和卡片密钥，对所述第 二一次性动态口令进行处理的步骤包括：
[0043] 交易验证中心收到经由协议转换处理的交易验证请求后，对其中的第二一次性动 态口令进行解码处理，得到AC2和ATC计数值；
[0044] 比较所述ATC计数值与预存的ATC计数值；
[0045] 若所述ATC计数值大于预存的ATC计数值，则利用预存的卡片密钥，对所述ATC计 数值、所述交易数据进行加密处理，得到交易验证加密数据AC2' ；
[0046] 比较所述AC2'与所述AC2 ;
[0047] 若所述AC2'与所述AC2 -致，则所述交易验证成功，否则，所述交易验证失败；
[0048] 在数据库中更新交易验证成功/失败的结果和ATC计数值。
[0049] 根据本发明的另一方面，提供了一种在线验证保护的方法，包括上述的在线身份 认证和上述的在线交易验证。
[0050] 根据本发明的另一方面，提供了一种在线身份认证的系统，包括：
[0051] 令牌设备，用于利用银行1C卡的交易计数器ATC计数值和卡片密钥、业务数据，得 到第 次性动态口令；
[0052] 网络应用终端，用于获取所述第一一次性动态口令，并将包含所述第一一次性动 态口令和用户身份标识的身份认证请求发送至身份认证中心；
[0053] 身份认证中心，用于收到所述身份认证请求后，利用其中的用户身份标识，获取预 存的ATC计数值和卡片密钥，并利用所述预存的ATC计数值和卡片密钥，对所述第一一次性 动态口令进行处理，根据处理结果，向网络应用终端发送身份认证成功/失败的消息。
[0054] 优选地，还包括：
[0055] 验证服务网关，用于对来自网络应用终端的身份认证请求进行协议转换处理，并 发送至转发服务模块；
[0056] 转发服务模块，用于将协议转换处理后的身份认证请求转发至身份认证中心。
[0057] 根据本发明的另一方面，提供了一种在线交易验证的系统，包括：
[0058] 令牌设备，用于利用银行1C卡的ATC计数值和卡片密钥、交易数据，得到第二一次 性动态口令；
[0059] 网络应用终端，用于获取所述第二一次性动态口令，并将包含第二一次性动态口 令、交易数据和用户身份标识的交易验证请求发送至交易验证中心；
[0060] 交易验证中心，用于收到所述交易验证请求后，利用其中的用户身份标识，获取预 存的ATC计数值和卡片密钥，并利用所述交易数据、所述预存的ATC计数值和卡片密钥，对 所述第二一次性动态口令进行处理，根据处理结果，向网络应用终端发送交易验证成功/ 失败的消息。
[0061] 优选地，还包括：
[0062] 验证服务网关，用于对来自令牌设备的交易验证请求进行协议转换处理，并发送 至转发服务模块；
[0063] 转发服务模块，用于将协议转换处理后的交易验证请求转发至交易验证中心。
[0064] 根据本发明的另一方面，提供了一种在线验证保护的系统，包括上述的在线身份 认证的系统和上述的在线父易验证的系统。
[0065] 与现有技术相比较，本发明的有益效果在于：
[0066] 1、本发明使在线交易不受设备的限制，实现随时随地使用设备进行在线交易，为 用户带来了便捷；
[0067] 2、本发明采用基于银行1C卡的安全机制，实现线上的身份认证和在线交易验证， 对重要的交易数据进行防篡改的保护，能够有效在线交易中恶意的重放攻击。

【专利附图】

【附图说明】
[0068] 图1是本发明实施例提供的基于银行1C卡的在线验证保护的方法流程图；
[0069] 图2是本发明实施例提供的基于银行1C卡的在线验证保护的系统框图；
[0070] 图3是本发明实施例提供的在线身份认证流程图；
[0071] 图4是本发明实施例提供的在线交易验证流程图。

【具体实施方式】
[0072] 以下结合附图对本发明的优选实施例进行详细说明，应当理解，以下所说明的优 选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0073] 本发明通过采用令牌设备与银行1C卡相结合的方式，涉及互联网线上的身份认 证和对在线交易进行保护的一整套技术方案以及相关的系统。
[0074] 图1是本发明实施例提供的基于银行1C卡的在线验证保护的方法流程图，如图1 所示，步骤包括：
[0075] 步骤101、令牌设备利用银行1C卡的ATC计数值和卡片密钥，得到第一一次性动态 口令，网络应用终端获取所述第一一次性动态口令，并将包含所述第一一次性动态口令和 用户身份标识的身份认证请求发送至身份认证中心。
[0076] 具体地说，令牌设备通过近距离通信,将包含业务数据的身份认证口令请求发送 至银行1C卡。银行1C卡收到所述身份认证口令请求后，利用其卡片密钥，对银行1C卡中 ATC计数值和所述业务数据进行加密处理，得到身份认证加密数据AC1，并将所述AC1与所 述ATC计数值发送至令牌设备，然后，更新ATC计数值。令牌设备对收到的所述AC1和所述 ATC计数值进行编码处理，得到所述第一一次性动态口令。接着，用户将所述第一一次性动 态口令输入至网络应用终端上的在线登陆页面，使网络应用终端获取所述第一一次性动态 口令，网络应用终端生成包含第一一次性动态口令和用户身份标识的身份认证请求，并发 送至验证服务网关，验证服务网关对所述身份认证请求进行协议转换处理后，转发至身份 认证中心。
[0077] 步骤102、身份认证中心收到所述身份认证请求后，利用其中的用户身份标识，获 取预存的ATC计数值和卡片密钥，并利用所述预存的ATC计数值和卡片密钥，对所述第一一 次性动态口令进行处理，根据处理结果，向网络应用终端发送身份认证成功/失败的消息。
[0078] 具体地说，身份认证中心对收到的经由协议转换处理的所述身份认证请求进行解 析，得到第一一次性动态口令和用户身份标识，并获取所述用户身份标识对应的预存的ATC 计数值和卡片密钥。然后，身份认证中心对所述第一一次性动态口令进行解码处理，得到 AC1和ATC计数值。比较所述ATC计数值与预存的ATC计数值，若所述ATC计数值大于预存 的ATC计数值，说明所述ATC计数值合法，此时，利用所述预存的卡片密钥，对所述ATC计数 值和预存的业务数据进行加密处理，得到身份认证加密数据AC1'。比较所述AC1'与所述 AC1，若所述AC1'与所述AC1匹配，说明身份认证成功，否则，说明身份认证失败。身份认证 中心向网络应用终端发送身份认证成功/失败的消息，然后，在数据库中更新身份认证成 功/失败的结果和ATC计数值。
[0079] 步骤103、令牌设备利用银行1C卡的ATC计数值和卡片密钥、交易数据，得到第 二一次性动态口令，网络应用终端获取所述第二一次性动态口令，并将包含第二一次性动 态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心。
[0080] 具体地说，令牌设备通过近距离通信，将包含交易数据的交易验证口令遺求发送 至银行1C卡。银行1C卡解析收到的所述交易验证口令请求，得到交易数据，然后，利用其 卡片密钥，对其ATC计数值和所述交易数据进行加密处理，得到交易验证加密数据AC2,并 将所述AC2与所述ATC计数值发送至令牌设备，然后，更新其ATC计数值。令牌设备对收到 的所述AC2和所述ATC计数值进行编码处理，得到所述第二一次性动态口令。接着，用户将 所述第二一次性动态口令输入至网络应用终端上的在线交易页面，使网络应用终端获取所 述第二一次性动态口令，网络应用终端生成包含第二一次性动态口令、交易数据和用户身 份标识的交易验证请求，发送至验证服务网关。验证服务网关对所述交易验证请求进行协 议转换处理后，转发至交易验证中心。
[0081] 步骤104、交易验证中心收到所述交易验证请求后，利用其中的用户身份标识，获 取预存的ATC计数值和卡片密钥，并利用所述交易数据、所述预存的ATC计数值和卡片密 钥，对所述第二一次性动态口令进行处理，根据处理结果，向网络应用终端发送交易验证成 功/失败的消息。
[0082] 具体地说，交易验证中心对收到的经由协议转换处理的所述交易验证请求进行解 析，得到第二一次性动态口令、交易数据和用户身份标识，并获取所述用户身份标识对应的 预存的ATC计数值和卡片密钥。交易验证中心对所述第二一次性动态口令进行解码处理， 得到AC2和ATC计数值。比较所述ATC计数值与预存的ATC计数值，若所述ATC计数值大 于预存的ATC计数值，则说明所述ATC计数值合法，此时，利用预存的卡片密钥，对所述ATC 计数值、所述交易数据进行加密处理，得到交易验证加密数据AC2'。比较所述AC2'与所述 AC2,若所述AC2'与所述AC2-致，则说明交易验证成功，否则，说明交易验证失败。交易验 证中心向网络应用终端发送交易验证成功/失败的消息，然后，在数据库中更新交易验证 成功/失败的结果和ATC计数值。
[0083] 所述网络应用终端可以是能够连接网络的PC、平板电脑、手机等；所述令牌设备 是安装有应用程序的移动终端，例如手机，其中，所述应用程序用于生成一次性动态口令。 [0084] 进一步地，所述网络应用终端与所述令牌设备可以是同一设备，例如手机。
[0085] 图2是本发明实施例提供的基于银行1C卡的在线验证保护的系统框图，如图2所 示，包括：
[0086] 令牌设备，用于利用银行1C卡的交易计数器ATC计数值和卡片密钥，得到第一一 次性动态口令、第二一次性动态口令。
[0087] 具体地说，可以在移动终端上安装用于生成一次性动态口令的应用程序，以手机 为例，安装在手机上的所述应用程序（以下简称手机令牌)，使用时不需要连接网络，银行1C 卡和具有NFC功能的手机之间采用近场通讯技术，即近距离无限通讯技术，该短距离的高 频无线通信技术允许手机和银行1C卡之间进行非接触点对点数据传输，也就是说，通过手 机上的NFC功能和银行1C卡进行通讯，手机令牌最终生成用于线上身份认证所需的一次性 动态密码和在线交易验证所需的一次性动态密码。
[0088] 网络应用终端，用于获取所述第一一次性动态口令、第二一次性动态口令，并将包 含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份认证中心，将包含 第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送至交易验证中心。 [0089] 验证服务网关，用于对来自令牌设备的身份认证请求或交易验证请求进行协议转 换处理，并发送至转发服务模块。具体地说，所述验证服务网关是身份认证请求和交易验证 请求的入口，其将请求信息编码成验证服务所要求的格式。例如，身份认证请求和交易验证 请求的协议类型在转换前均为https协议，经所述验证服务网关转换后为http协议。
[0090] 转发服务模块，用于将协议转换处理后的身份认证请求转发至身份认证中心或将 协议转换处理后的交易验证请求转发至交易验证中心。转发服务模块根据本次请求的不同 类型(身份认证请求或交易验证请求）进行转发，交给相应的处理中心进行处理。
[0091] 身份认证中心，用于收到所述身份认证请求后，利用其中的用户身份标识，获取预 存的ATC计数值和卡片密钥，并利用所述预存的ATC计数值和卡片密钥，对所述第一一次性 动态口令进行处理，根据处理结果，向网络应用终端发送身份认证成功/失败的消息。具体 地说，所述身份认证中心对所述身份认证请求进行验证，所需的验证信息从第一一次性动 态口令中解码获得，主要包括ATC计数值和AC1。其中，ATC计数值为卡片内部的交易计数 器的值，该计数值只能增加不能减少，而AC1则是银行1C卡使用卡片密钥对ATC计数值等 数据进行加密获得，所以AC1的验证需要连接加密机实现。
[0092] 交易验证中心，用于收到所述交易验证请求后，利用其中的用户身份标识，获取预 存的ATC计数值和卡片密钥，并利用所述交易数据、所述预存的ATC计数值和卡片密钥，对 所述第二一次性动态口令进行处理，根据处理结果，向网络应用终端发送交易验证成功/ 失败的消息。具体地说，所述交易验证模块对在线交易进行验证。验证所需信息包括：交易 数据和由第二一次性动态口令解码出来的ATC与AC2。对于在线交易来说，AC2是银行1C 卡使用卡片密钥对ATC以及交易数据进行加密获得。AC2的验证同样也需要连接加密机实 现。
[0093] 后台业务数据库模块，用于存储身份认证成功/失败的结果、交易验证成功/失败 的结果、更新的ATC计数值。此外，所述后台业务数据库模块还用于储存银行卡相关信息， 包括卡号、当前状态、验证时间、验证模式。
[0094] 以手机为例，基于银行1C卡的在线验证保护的系统工作流程如下：
[0095] 步骤1、用户点击手机令牌上的身份认证动态口令生成按钮，此时，所述手机令牌 利用手机的NFC功能，将包含业务数据的身份认证口令请求发送至银行1C卡。其中，所述业 务数据包括授权金额(全〇)、其他金额(全〇)、终端国家代码（0156)、终端验证结果(全0)、 交易货币代码（0156)、交易日期(全0)、不可预知数(全0)。
[0096] 步骤2、银行1C卡利用其卡片密钥对其维护的ATC计数值和所述业务数据进行加 密处理，得到身份认证加密数据AC1，并将所述ATC计数值和所述AC1发送至手机，更新ATC 计数值。
[0097] 步骤3、手机令牌对收到的所述ATC计数值和所述AC1进行编码处理，得到第一一 次性动态口令。其中，所述编码处理步骤的步骤具体为，将所述ATC计数值和所述AC1组成 的39比特的二进制数据位中的奇数位与其右侧的偶数位进行互换(第一个比特位不操作)， 然后转换为12个十进制数字，即第--次性动态口令。
[0098] 步骤4、用户将所述第一一次性动态口令输入至网络应用终端上的在线登陆页面， 使网络应用终端获取所述第一一次性动态口令，网络应用终端生成包含所述第一一次性动 态口令和用户身份标识的身份认证请求，并发送至验证服务网关。
[0099] 步骤5、验证服务网关对所述https协议类型的身份认证请求进行协议转换处理， 得到http协议类型的身份认证请求，并经由转发服务模块转发至身份认证中心。
[0100] 在http协议中，转发服务模块通过请求名判断是身份认证请求还是交易验证请 求，并根据判断结果，进行请求的转发。这两种请求的请求名分别为：IDAuthentication和 OnlineTransaction。
[0101] 步骤6、身份认证中心通过解析所述身份认证请求，得到第一一次性动态口令和用 户身份标识，并利用所述用户身份标识找到与其对应的预存的银行1C卡的卡片密钥和ATC 计数值。
[0102] 步骤7、身份认证中心对所述第一一次性动态口令进行解码，得到ATC计数值和 AC1。
[0103] 具体地，将12个十进制数字转换成二进制，得到39个比特的二进制数据，将39个 比特位中的奇数位与它右侧的偶数位进行互换(第一个比特位不操作)，移位后的二进制数 的组成格式具体如下图所示：
[0104]

【权利要求】
1. 一种在线身份认证的方法，其特征在于，包括以下步骤： 令牌设备利用银行1C卡的交易计数器ATC计数值和卡片密钥、业务数据，得到第一一 次性动态口令； 网络应用终端获取所述第一一次性动态口令，并将包含所述第一一次性动态口令和用 户身份标识的身份认证请求发送至身份认证中心； 身份认证中心收到所述身份认证请求后，利用其中的用户身份标识，获取预存的ATC 计数值和卡片密钥，并利用所述预存的ATC计数值和卡片密钥，对所述第一一次性动态口 令进行处理； 身份认证中心根据处理结果，向网络应用终端发送身份认证成功/失败的消息。
2. 根据权利要求1所述的方法，其特征在于，所述令牌设备利用银行1C卡的交易计数 器ATC计数值和卡片密钥、业务数据，得到第一一次性动态口令的步骤包括： 令牌设备通过近距离通信，将包含业务数据的身份认证口令请求发送至银行1C卡； 银行1C卡收到所述身份认证口令请求后，利用其卡片密钥，对其ATC计数值和所述业 务数据进行加密处理，得到身份认证加密数据AC1 ; 银行1C卡将所述AC1与所述ATC计数值发送至令牌设备，并更新其ATC计数值； 令牌设备对收到的所述AC1和所述ATC计数值进行编码处理，得到所述第一一次性动 态口令。
3. 根据权利要求2所述的方法，其特征在于，所述网络应用终端获取所述第一一次性 动态口令，并将包含所述第一一次性动态口令和用户身份标识的身份认证请求发送至身份 认证中心的步骤包括： 网络应用终端获取所述第一一次性动态口令，并生成包含第一一次性动态口令和用户 身份标识的身份认证请求，发送至验证服务网关； 验证服务网关对所述身份认证请求进行协议转换处理，并转发至身份认证中心。
4. 根据权利要求1所述的方法，其特征在于，所述利用所述预存的ATC计数值和卡片密 钥，对所述第一一次性动态口令进行处理的步骤包括 ： 身份认证中心收到经由协议转换处理的身份认证请求后，对其中的第一一次性动态口 令进行解码处理，得到AC1和ATC计数值； 比较所述ATC计数值与预存的ATC计数值； 若所述ATC计数值大于预存的ATC计数值，则利用预存的卡片密钥，对所述ATC计数值 和预存的业务数据进行加密处理，得到身份认证加密数据AC1' ； 比较所述AC1'与所述AC1 ; 若所述AC1'与所述AC1匹配，则所述身份认证成功，否则，所述身份认证失败； 在数据库中更新身份认证成功/失败的结果和ATC计数值。
5. -种在线交易验证的方法，其特征在于，包括以下步骤： 令牌设备利用银行1C卡的ATC计数值和卡片密钥、交易数据，得到第二一次性动态口 令； 网络应用终端获取所述第二一次性动态口令，并将包含第二一次性动态口令、交易数 据和用户身份标识的交易验证请求发送至交易验证中心； 交易验证中心收到所述交易验证请求后，利用其中的用户身份标识，获取预存的ATC 计数值和卡片密钥，并利用所述交易数据、所述预存的ATC计数值和卡片密钥，对所述第 二一次性动态口令进行处理； 交易验证中心根据处理结果，向网络应用终端发送交易验证成功/失败的消息。
6. 根据权利要求5所述的方法，其特征在于，所述令牌设备利用银行1C卡的ATC计数 值和卡片密钥、交易数据，得到第二一次性动态口令的步骤包括： 令牌设备通过近距离通信，将包含交易数据的交易验证口令请求发送至银行1C卡； 银行1C卡收到所述交易验证口令请求后，利用其卡片密钥，对其ATC计数值和所述交 易数据进行加密处理，得到交易验证加密数据AC2 ; 银行1C卡将所述AC2与所述ATC计数值发送至令牌设备，并更新其ATC计数值； 令牌设备对收到的所述AC2和所述ATC计数值进行编码处理，得到所述第二一次性动 态口令。
7. 根据权利要求6所述的方法，其特征在于，所述网络应用终端获取所述第二一次性 动态口令，并将包含第二一次性动态口令、交易数据和用户身份标识的交易验证请求发送 至交易验证中心的步骤包括： 网络应用终端获取所述第二一次性动态口令，并生成包含第二一次性动态口令、交易 数据和用户身份标识的交易验证请求，发送至验证服务网关； 验证服务网关对所述交易验证请求进行协议转换处理，并转发至交易验证中心。
8. 根据权利要求7所述的方法，其特征在于，所述利用所述交易数据、所述预存的ATC 计数值和卡片密钥，对所述第二一次性动态口令进行处理的步骤包括： 交易验证中心收到经由协议转换处理的交易验证请求后，对其中的第二一次性动态口 令进行解码处理，得到AC2和ATC计数值； 比较所述ATC计数值与预存的ATC计数值； 若所述ATC计数值大于预存的ATC计数值，则利用预存的卡片密钥，对所述ATC计数 值、所述交易数据进行加密处理，得到交易验证加密数据AC2' ； 比较所述AC2'与所述AC2 ; 若所述AC2'与所述AC2-致，则所述交易验证成功，否则，所述交易验证失败； 在数据库中更新交易验证成功/失败的结果和ATC计数值。
9. 一种在线验证保护的方法，其特征在于，包括如权利要求1-4任意一项所述的在线 身份认证和如权利要求5-8任意一项所述的在线交易验证。
10. -种在线身份认证的系统，其特征在于，包括： 令牌设备，用于利用银行1C卡的交易计数器ATC计数值和卡片密钥、业务数据，得到第 一一次性动态口令； 网络应用终端，用于获取所述第一一次性动态口令，并将包含所述第一一次性动态口 令和用户身份标识的身份认证请求发送至身份认证中心； 身份认证中心，用于收到所述身份认证请求后，利用其中的用户身份标识，获取预存的 ATC计数值和卡片密钥，并利用所述预存的ATC计数值和卡片密钥，对所述第一一次性动态 口令进行处理，根据处理结果，向网络应用终端发送身份认证成功/失败的消息。
11. 根据权利要求10所述的系统，其特征在于，还包括： 验证服务网关，用于对来自网络应用终端的身份认证请求进行协议转换处理，并发送 至转发服务模块； 转发服务模块，用于将协议转换处理后的身份认证请求转发至身份认证中心。
12. -种在线交易验证的系统，其特征在于，包括： 令牌设备，用于利用银行1C卡的ATC计数值和卡片密钥、交易数据，得到第二一次性动 态口令； 网络应用终端，用于获取所述第二一次性动态口令，并将包含第二一次性动态口令、交 易数据和用户身份标识的交易验证请求发送至交易验证中心； 交易验证中心，用于收到所述交易验证请求后，利用其中的用户身份标识，获取预存的 ATC计数值和卡片密钥，并利用所述交易数据、所述预存的ATC计数值和卡片密钥，对所述 第二一次性动态口令进行处理，根据处理结果，向网络应用终端发送交易验证成功/失败 的消息。
13. 根据权利要求12所述的系统，其特征在于，还包括 验证服务网关，用于对来自令牌设备的交易验证请求进行协议转换处理，并发送至转 发服务模块； 转发服务模块，用于将协议转换处理后的交易验证请求转发至交易验证中心。
14. 一种在线验证保护的系统，其特征在于，包括如权利要求10或11所述的在线身份 认证的系统和如权利要求12或13所述的在线交易验证的系统。
【文档编号】H04L29/06GK104301288SQ201310298130
【公开日】2015年1月21日 申请日期:2013年7月16日 优先权日:2013年7月16日
【发明者】梁青, 张一锋, 蔡伟鑫, 王旭东, 沈卓成, 叶继英, 丁吉 申请人:中钞信用卡产业发展有限公司