网络交易安全装置、网络交易安全系统及使用其进行交易方法

网络交易安全装置、网络交易安全系统及使用其进行交易方法
【专利摘要】本发明提供一种网络交易安全装置，为电子密码器，包括：一控制及存储芯片、电池、显示屏、数字键盘按键以及开关键；还包括功能按键，所述功能按键与操作类型一一对应；所述电子密码器通过包括操作码的信息生成动态口令，所述操作码与所述功能按键一一对应。本发明在一般电子密码器的基础上进行改进，利用功能按键对取代原有的物理按键，并对一般电子密码器的口令算法进行改进，使得本发明具有防钓鱼网站攻击的能力，进一步提高网络交易的安全性。
【专利说明】网络交易安全装置、网络交易安全系统及使用其进行交易 方法

【技术领域】
[0001] 本发明涉及网络安全领域，尤其涉及一种网络交易安全装置、系统及方法。

【背景技术】
[0002] 随着银行、第三方支付、证券等行业的电子渠道迅猛发展，传统的柜台业务已经搬 到了网上和手机上。电子渠道的发展给客户带来了极大的便捷性，也大大降低了拓展营业 厅的运营成本。目前，为了提高网络交易的安全性，银行在其客户中广泛发放U盾、电子密 码器等用于网络信息识别的装置来保障交易安全。
[0003] 如图1所示，以常用的电子密码器为例，电子密码器通常包括，一个控制及存储芯 片，一个电池，一个显示屏，以及一系列按键。控制及存储芯片中存储有加密的密钥和算法， 按键一般包括开关键、0-9数字键、小数点键，以及"确认"键、"删除"键等物理按键，在网络 交易时，用户在电子密码器上将网络交易页面指定位置的显示信息通过按键输入，其中电 子密码器的输入控制及存储芯片算出动态口令并显示给用户，用户将这个动态口令输入到 网络交易客户端，网络交易客户端将动态口令发送至网络交易服务器，与网络交易服务器 根据算法得出的动态口令进行对比，如果相同，则完成认证。电子密码器通过生成的随机密 码得到动态口令，验证交易信息并进行网络转账、交易、管理、校准等一系列动作。
[0004] 然而，近年来钓鱼网站的频繁出现给电子交易的安全带来了威胁，钓鱼网站是攻 击者建立的用于骗取动态口令等敏感信息的网站，而电子密码器本身不能识别钓鱼网站， 从而使得用户在使用网银、手机银行时依然受到钓鱼网站的威胁，造成用户资金重大损失。
[0005] 为了防止钓鱼网站的攻击，银行往往依靠反复提醒用户查验登陆的网站、域名、以 及网页加密状态等方式来判断网页是否为合法网页。然而，由于钓鱼网站利用细微差别，如 用WWW. lcbc. com的假网址来仿冒WWW. icbc. com的真网址，导致一部分用户还是会受骗，依 靠人为鉴别钓鱼网站，有很大的不可靠性，且不适合大范围人群的应用。其次，由于钓鱼网 站与真实网站差别细微而且变化多样，通过屏蔽钓鱼网站黑名单也无法完全达到防钓鱼的 作用。
[0006] 因此，如何有效防止钓鱼网站的攻击，实现网络交易安全成为当前网络安全领域 的一个难题。


【发明内容】

[0007] 钓鱼网站通常伪装成为银行等进行网络交易的网站，首先骗取受害者提交的账号 和密码等用户信息，然后在后台使用受害者的用户信息登陆网络交易网站，进入转账交易， 获取用于验证的一组数值，并将此数值在钓鱼网站上显示出来，通过提示用户需要校准时 间或需要升级来诱骗受害者此数值输入认证设备，由于受害者不知道该数值的意义，也无 法看到本次交易的信息，因此容易受骗将产生的动态口令输入钓鱼网站，而钓鱼网站后台 获得此动态口令后即可完成转账交易，获取用户账户资金。由于在使用电子密码器进行信 息确认时，用户不清楚输入信息的真实意义，而常规的电子密码器本身不能识别钓鱼网站， 从而使得用户在使用网银、手机银行时，受到钓鱼网站的威胁。
[0008] 为解决上述电子密码器无法识别钓鱼网站的缺陷，本发明所要解决的技术问题是 提供一种网络交易安全装置，实现有效防止钓鱼网站的攻击。
[0009] 本发明解决上述技术问题的网络交易安全装置，为电子密码器，包括一控制及存 储芯片、电池、显示屏、数字键盘按键以及开关键，还包括功能按键，所述功能按键与操作类 型一一对应；所述电子密码器通过包括操作码的信息生成动态口令，所述操作码与所述功 能按键一一对应。
[0010] 进一步优选地，所述功能按键包括转账、交易、校时和管理。
[0011] 本发明在常规电子密码器的基础上进行改进，利用物理的功能按键对原有的确 认、左右、删除按键进行取代，以使用户对操作内容明确。同时，对常规电子密码器的口令算 法的计算基础进行改进，加入由功能按键得出的操作码作为计算的基础之一，使得本发明 提供的防钓鱼攻击的安全装置具有鉴别钓鱼网站的能力，从而进一步提高网络交易的安全 性。
[0012] 与此相应，本发明还提供了一种网络交易安全系统，包括网络交易客户端、网络交 易服务器，以及电子密码器，所述电子密码器包括一控制及存储芯片、电池、显示屏、数字键 盘按键以及开关键；还包括功能按键，所述功能按键与操作类型一一对应；
[0013] 所述网络交易客户端与所述网络交易服务器通过数据通信实现网络交易；
[0014] 所述网络交易服务器与所述电子密码器分别生成动态口令并进行口令比对，用于 交易过程中的认证。
[0015] 本发明提供的一种网络交易安全系统，包括网络交易客户端、电子密码器以及网 络交易服务器，其中，本发明对电子密码器进行改进，在按键上增加了功能按键，当进行不 同类型的交易时，通过选择不同的功能按键能够生成不同的操作码，并将操作码作为要素 生成动态口令，增加了网络交易的安全性，具有更好的应用前景。
[0016] 同时，本发明还提供了一种使用所述网络交易安全系统进行交易方法，包括：
[0017] S1 :用户在网络交易客户端输入用户信息登陆网络交易服务器，用户根据本次操 作类型向网络交易服务器发送第一信息；
[0018] S2:网络交易服务器接收用户发送的第一信息生成第二信息，并将第二信息发送 给网络交易客户端，网络交易客户端接收第二信息并显示给用户；
[0019] 用户在电子密码器上输入第二信息，所述电子密码器包括功能按键；用户根据本 次操作的类型按下相应的功能按键；
[0020] S4 :电子密码器根据含有操作码的信息生成第三信息，并显示给用户；所述操作 码根据功能按键得出；
[0021] S5 :用户在网络交易客户端中输入生成的第三信息并确认；
[0022] S6 :网络交易服务器根据第二信息，由口令算法生成第四信息，并将第四信息与第 三信息进行比对，若相同，则完成交易认证。
[0023] 进一步优选地，所述功能按键与操作类型一一对应；所述操作码与所述功能按键 一一对应，选择不同的功能按键，生成与所述功能按键相对应的操作码，使得电子密码器生 成的动态口令。
[0024] 进一步优选地，所述电子密码器将至少包括交易信息、时间、密钥以及操作码的信 息通过口令算法生成第二?目息。
[0025] 操作码信息的加入使得计算出的第三信息（即动态口令）强度增大，网络交易更 加安全。
[0026] 进一步优选地，所述网络交易服务器和所述电子密码器使用相同的密钥和口令算 法。
[0027] 进一步优选地，所述S6步骤中，网络交易服务器根据第二信息，由内置的密钥和 口令算法生成第四信息，并将第四信息与第三信息进行比对，若不相同，则认证失败，交易 无法完成，由于增加了操作码信息，根据不同的操作类型得到的动态口令完全不一样，无法 认证成功，从而阻止交易进行，避免了钓鱼网站的攻击。
[0028] 本发明提供的一种网络交易安全装置、系统及方法，能够带来以下至少一种技术 效果：
[0029] 1、本发明对常规的电子密码器进行改进，用转账、交易、校时、管理等功能按键取 代确认、左右、删除等按键，操作目的明确，不论用户需要转账、升级还是校准时间，都需要 按相应的按键进行最终确认，用户在实际使用网络交易时，即使遇到钓鱼网站，诈骗分子想 要骗取用户进行转账等交易，也需要用户在最终交易完成前按"转账"或其他按键进行确 认。通过功能按键能够很好提醒用户在最终完成交易前意识到自己交易的类型，对该操作 类型有所觉察，起到防钓鱼攻击的目的。
[0030] 2、本发明对常规电子密码器的动态口令算法进行改进，通过增加操作码信息作为 动态口令生成的要素，从而生成动态口令，由操作类型不同，所得操作码不同，所生成的动 态口令也完全不同，从而提升验证交易的密码强度。
[0031] 3、用户进行不同类型的交易时需要在最终交易完成前按相应操作类型的按键进 行确认，因此，在实际使用网络交易遇到钓鱼网站时，诈骗分子通过利用升级、校准时间等 手段骗取用户进行转账等交易，这与用户确认的操作类型不同，因此得到的操作码不同，从 而造成交易无法完成，实现钓鱼网站的识别。

【专利附图】

【附图说明】
[0032] 下面结合附图和【具体实施方式】对本发明作进一步详细说明：
[0033] 图1是一般电子密码器结构示意图
[0034] 图2是本发明提供的一种网络交易安全装置的示意图；
[0035] 图3是本发明提供的一种网络交易安全系统的示意图；
[0036] 图4是本发明提供的应用于一种网络交易安全系统的方法步骤示意图。

【具体实施方式】
[0037] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面结合附图和实施 例对本发明进行具体的描述。下面描述中的附图仅仅是本发明的一些实施例。对于本领域 普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0038] 作为本发明的一个具体实施例一，如图2所示，本发明提供了一种网络交易安全 装置，为电子密码器，包括一控制及存储芯片、电池、显示屏、数字键盘按键以及开关键，还 包括功能按键，所述功能按键与操作类型一一对应；所述电子密码器通过包括操作码的信 息生成动态口令，所述操作码与所述功能按键一一对应。
[0039] 本发明在原有电子密码器的基础上，用功能按键替换自带的确认键、左右键、删除 键等按键，利用物理按键时刻提醒用户，警惕交易安全。本实施例中，所述电子密码器包括 功能按键，所述功能按键与操作类型一一对应，电子密码器通过集合信息、时间、密钥以及 操作码四要素通过特定的口令算法生成第三信息，根据不同操作类型选择相对应的功能按 键生成不同的操作码。当用户受到钓鱼网站攻击时，由于操作类型不同生成了不同的操作 码，使得生成的第三信息与网络交易服务器生成的第四信息不同，认证失败，从而阻止钓鱼 网站完成交易。相比于常规动态口令，本发明在电子密码器生成动态口令的基础上增加了 操作码信息，使得生成的第三信息的安全强度更高，加强了网络交易的安全性。
[0040] 对实施例一进行改进，得到优选的实施例二，在本发明的实施例中，所述电子密码 器上的功能按键包括但不限于转账（向某账户转账）、支付（向某商户支付货款）、修改手 机号、升级、校准时间等按键，本发明对所述功能按键的具体形式也不加限定，任何带有功 能性的按键，都适用于本发明的方法中。所述操作类型包括但不限于转账（向某账户转 账）、支付（向某商户支付货款）、修改手机号、升级、校准时间等类型。
[0041] 作为本发明的另一个具体实施例三，如图3所示，本发明提供了一种网络交易系 统，其中，具体包括网络交易客户端、网络交易服务器以及电子密码器，所述电子密码器包 括一控制及存储芯片、电池、显示屏、数字键盘按键以及开关键，还包括功能按键，所述功能 按键与操作类型一一对应；
[0042] 所述网络交易客户端与网络交易服务器通过数据通信实现网络交易；
[0043] 所述网络交易服务器与电子密码器分别生成动态口令并进行口令比对，用于交易 过程中的认证。
[0044] 具体地，所述网络交易客户端用来接收用户输入的第一信息，并将此第一信息发 送给网络交易服务器；将第二信息显示给用户；以及，接收用户输入的第三信息并将第三 信息发送给网络交易服务器。
[0045] 所述网络交易服务器，根据网络交易客户端发送的第一信息生成第二信息，并将 此第二信息发送至网络交易客户端；以及，根据口令算法生成第四信息，与所述第三信息进 行比对。
[0046] 所述电子密码器，包括功能按键，所述功能按键与操作类型为一一对应。其中，电 子密码器接收用户输入的第二信息以及用户选择的功能按键，根据口令算法生成第三信 肩、。
[0047] 其中所述第一信息为交易请求信息，包括但不限于操作类型、交易信息、时间等信 肩、。
[0048] 所述第二信息为网络交易服务器根据用户发送的第一信息即交易请求信息生成 的，用于认证的一组随机值，一般只有银行和电子密码器的生产商了解其具体含义。
[0049] 所述第三信息为电子密码器根据接收到的第二信息，通过内置密钥和口令算法得 到的用于认证的动态口令，。
[0050] 所述第四信息为网络交易服务器根据第二信息通过内置密钥和口令算法生成的， 用于和所述第三信息进行比对的动态口令。
[0051] 本发明提供的一种网络交易安全系统，包括网络交易客户端、电子密码器以及网 络交易服务器，其中，本发明对一般电子密码器进行改进，包括功能按键，功能按键与操作 类型一一对应。当进行不同类型的交易时，通过选择不同的功能按键能够生成不同的操作 码，并将操作码作为要素生成动态口令，当钓鱼网站诱骗用户进行不同类型的交易时，因拦 截到的第三信息与网络交易服务器生成的第四信息不相同，会导致认证失败，无法完成交 易。本发明提供的网络交易安全系统，无论何种操作类型，最终都需要按相应的功能按键进 行确认，操作目的明确，能够有效阻止钓鱼网站的攻击。
[0052] 作为本发明的另一个具体实施例四，如图4所示，本发明还提供了一种使用所述 网络交易安全系统方法，其中，具体包括以下步骤：
[0053] S1 :用户在网络交易客户端输入用户信息登陆网络交易服务器，用户根据本次操 作类型向网络交易服务器发送第一信息；
[0054] S2:网络交易服务器接收用户发送的第一信息生成第二信息，并将第二信息发送 给网络交易客户端，网络交易客户端接收第二信息并显示给用户；
[0055] S3 :用户在电子密码器上输入第二信息，电子密码器包括功能按键；用户根据本 次操作的类型按下相应的功能按键；
[0056] S4 :电子密码器根据含有操作码的信息生成第三信息，并显示给用户；操作码根 据功能按键得出；
[0057] S5 :用户在网络交易客户端中输入生成的第三信息并确认；
[0058] S6 :网络交易服务器根据第二信息，由口令算法生成第四信息，并将第四信息与第 三信息进行比对，若相同，则完成交易认证。
[0059] 具体的，由图4所示步骤流程图可知，用户在网络交易客户端的用户登陆网页上 输入账号密码等信息登陆网络交易服务器，向网络交易服务器发送交易请求信息，即第一 信息。网络交易服务器根据用户输入的第一信息生成第二信息，并将该第二信息发送给网 络交易客户端，网络交易客户端显示第二信息给用户。用户将此第二信息输入到电子密码 器之后，根据实际操作类型选择相对应的功能按键，通过功能按键生成相对应的操作码，此 时电子密码器根据内置的密钥和口令算法增加操作码信息作为口令生成要素生成用于认 证的第三信息，并通过显示屏显示给用户，用户在网络交易客户端中等待输入验证口令的 网页输入第三信息，并通过发送第三信息给网络交易服务器请求动态口令比对，网络交易 服务器根据第二信息由内置的密钥和口令算法生成第四信息，并与第三信息进行比对，如 果相同，则认证成功，完成本次交易。
[0060] 步骤S1中，用户在网络交易客户端输入用户信息登陆网络交易服务器，用户根据 本次操作类型向网络交易服务器发送第一信息，其中第一信息包括但不限于转账（向某账 户转账）、支付（向某商户支付货款）、修改手机号、升级、校准时间等操作请求信息。本发 明中的网络交易客户端可以是计算机或者手机等不同客户端，其中用户信息包括但不限于 用户的账户名、密码等登陆信息。
[0061] 步骤S2中，网络交易服务器接收用户发送的第一信息生成第二信息，并将第二 信息发送给网络交易客户端，网络交易客户端接收第二信息并显示给用户，第二信息的形 式一般表现为一串数字，其代表的含义通常只有网络交易服务器和电子密码器生产厂商了 解，用户并不清楚。
[0062] 步骤S3中，用户在电子密码器上输入网络交易客户端显示的第二信息，并根据本 次的操作类型选择相应的功能按键，比如进行转账交易时，则只需在输入第二信息之后再 选择与转账操作类型对应的"转账"功能按键。本发明中电子密码器上的功能按键包括但 不限于转账（向某账户转账）、支付（向某商户支付货款）、修改手机号、升级、校准时间等。
[0063] 步骤S4中，电子密码器根据内置的种子密钥和口令算法生成第三信息，并在显示 屏上显示给用户，其中所述第三信息是通过口令算法并增加操作码信息得出的用于认证的 动态口令，操作码与电子密码器上的功能按键一一对应，不同的功能按键对应不同的操作 码。当用户在电子密码器上选择功能按键时，此时电子密码器立即生成与功能按键相对应 的操作码，通过结合操作码生成的口令具有更高的性，使得网络交易过程更加可靠。
[0064] 步骤S5中，用户将电子密码器显示屏上显示出的第三信息输入网络交易客户端 中等待输入验证动态口令的网页，此时网络交易客户端向网络交易服务器发送第三信息， 并请求比对动态口令。
[0065] 步骤S6中，网络交易服务器根据第二信息，由内置的密钥和口令算法等生成第四 信息，并将第四信息与接收到的第三信息进行比对，若相同，则认证成功，完成交易，如果不 相同，则认证不成功，无法完成交易。其中，网络交易服务器内置的密钥和口令算法与电子 密码器内置的密钥和口令算法相同。
[0066] 对实施例四进行改进，得到优选的实施例五，其中所述功能按键与操作类型一一 对应，所述操作码与功能按键一一对应。所述功能按键包括但不限于转账、支付、升级、校 准时间等按键，所述操作类型包括但不限于转账（向某账户转账）、支付（向某商户支付货 款）、升级、校准时间等类型。
[0067] 对实施例四进行改进，得到优选的实施例六，其中所述电子密码器通过口令算法 集合信息、时间、密钥以及操作码信息生成第三信息。
[0068] 对实施例四进行改进，得到优选的实施例七，其中所述网络交易服务器和所述电 子密码器使用相同的密钥和口令算法，正常情况下，所述网络交易服务器和电子密码器生 成的动态口令是相同的，当遇到钓鱼网站时，钓鱼网站与用户选择的操作类型不相同，因此 网络交易服务器与电子密码器生成的动态口令不相同，无法完成交易。
[0069] 对实施例四进行改进，得到优选的实施例八，其中所述S6步骤中，网络交易服务 器根据第二信息，由口令算法生成第四信息，并将第四信息与第三信息进行比对，若不相 同，则认证失败，交易无法完成，由于增加了操作码信息，根据不同的操作类型得到的动态 口令完全不一样，无法认证成功，从而阻止交易进行，避免了钓鱼网站的攻击。
[0070] 具体的，作为一种网络交易安全系统的方法的一个具体实施例九，本发明防止钓 鱼网站攻击的具体过程如下：
[0071] 在用户通过账号密码登陆钓鱼网站伪造的网络交易客户端时，钓鱼网站成功窃取 用户的账户和密码，此时，钓鱼网站向网络交易服务器发送一条转账交易请求，即第一信 息，网络交易服务器根据接收到的交易请求生成一个随机值即第二信息发送给钓鱼网站， 钓鱼网站将此第二信息发送给向用户，并提示"升级"等虚假信息诱骗用户将此第二信息输 入电子密码器，其中，第二信息一般显示为一串数字，银行和电子密码器的厂商了解其代表 的具体含义，而用户却并不清楚。用户在不知情的情况下在电子密码器上输入第二信息，通 过选择"校时"功能按键确认生成动态口令，此时，网络交易服务器根据内置的密钥和口令 算法生成了第四信息，并将第四信息与电子密码器生成的第三信息进行比对。用户在电子 密码器上选择的"校时"功能按键生成的操作码与钓鱼网站企图获得的"转账"操作码不同， 因此，电子密码器生成的第三信息与网络交易服务器生成的第四信息不同，认证失败，交易 无法完成。由以上可知，本发明不仅增加与操作类型一一对应的功能按键使得用户进行网 络交易过程中时刻提醒用户注意交易的类型，有效警示用户，还通过改进口令密码生成算 法，增加与功能按键一一对应的操作码信息来生成动态口令，从而提高动态口令密码的安 全度，实现有效防止钓鱼网站的攻击。
[0072] 以上对发明的具体实施例进行了详细描述，但本发明并不限制于以上描述的具体 实施例，其只是作为范例。对于本领域技术人员而言，任何对该系统进行的等同修改和替代 也都在本发明的范畴之中。因此，在不脱离发明的精神和范围下所作出的均等变换和修改， 都应涵盖在本发明的范围内。
【权利要求】
1. 一种网络交易安全装置，为电子密码器，包括：一控制及存储芯片、电池、显示屏数 字键盘按键以及开关键，其特征在于： 还包括功能按键，所述功能按键与操作类型一一对应； 所述电子密码器通过包括操作码的信息生成动态口令，所述操作码与所述功能按键 --对应。
2. 根据权利要求1所述的一种网络交易安全装置，其特征在于： 所述功能按键包括转账、交易、校时和管理。
3. -种网络交易安全系统，包括网络交易客户端、网络交易服务器，以及电子密码器， 其特征在于： 所述电子密码器包括一控制及存储芯片、电池、显示屏、数字键盘按键以及开关键；还 包括功能按键，所述功能按键与操作类型一一对应； 所述网络交易客户端与所述网络交易服务器通过数据通信实现网络交易； 所述网络交易服务器与所述电子密码器分别生成动态口令并进行口令比对，用于交易 过程中的认证。
4. 一种使用如权利要求3所述的网络交易安全系统进行交易方法，其特征在于，包括： S1 :用户在网络交易客户端输入用户信息登陆网络交易服务器，用户根据本次操作类 型向网络交易服务器发送第一信息； S2:网络交易服务器接收用户发送的第一信息生成第二信息，并将第二信息发送给网 络交易客户端，网络交易客户端接收第二信息并显示给用户； 53 :用户在电子密码器上输入第二信息，所述电子密码器包括功能按键；用户根据本 次操作的类型按下相应的功能按键； 54 :电子密码器根据含有操作码的信息生成第三信息，并显示给用户；所述操作码根 据功能按键得出； 55 :用户在网络交易客户端中输入生成的第三信息并确认； 56 :网络交易服务器根据第二信息，由口令算法生成第四信息，并将第四信息与第三信 息进行比对，若相同，则完成交易认证。
5. 根据权利要求4所述的一种用于网络交易安全系统的方法，其特征在于： 所述功能按键与操作类型一一对应； 所述操作码与所述功能按键一一对应。
6. 根据权利要求4所述的一种用于网络交易安全系统的方法，其特征在于： 所述电子密码器将至少包括交易信息、时间、密钥以及操作码的信息通过口令算法生 成第二信息。
7. 根据权利要求4所述的一种用于网络交易安全系统的方法，其特征在于： 所述网络交易服务器和所述电子密码器使用相同的密钥和口令算法。
8. 根据权利要求4所述的一种用于网络交易安全系统的方法，其特征在于： 所述S6步骤中，网络交易服务器根据第二信息，由口令算法生成第四信息，并将第四 信息与第三信息进行比对，若不相同，则认证失败，交易无法完成。
【文档编号】H04L29/06GK104158815SQ201410418402
【公开日】2014年11月19日 申请日期:2014年8月22日 优先权日:2014年8月22日
【发明者】谈剑锋, 尤磊, 王君 申请人:上海众人科技有限公司