专利名称:采用手机作为移动数字证书载体的系统的制作方法
技术领域:
本实用新型涉及一种采用手机作为网银移动数字证书载体的系统,属于信息技术安全领域。
背景技术:
网上银行又称网络银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说,网上银行是在Internet上的虚拟银行柜台。随着互联网、移动通讯以及计算机技术的发展和人们安全意识的不断提高,通信安全的重要性日益凸显,尤其对于涉及用户个人隐私和财产安全的网上银行业务,更需要确保用户的账户和财产安全。目前,基于网上银行的安全通信措施存在多样化发展的态势,但对于目前常用的几种网银安全机制,都存在着一定的局限性,尚未出现一种集安全、经济和便捷于一体的网银安全机制。目前的常用的网银安全机制主要包括:密码、文件数字证书、动态口令卡、动态手机口令、移动口令牌、移动数字证书。密码是每一个网上银行必备有认证介质,但是密码非常容易被木马盗取或被他人偷窥,其特点是使用便捷但安全系数低。文件数字证书是存放在电脑中的数字证书,每次交易时都需用到。文件数字证书具有不可移动性,对经常换电脑使用的用户来说不方便;且文件数字证书有可能被盗取,所以不是绝对安全的。动态口令是根据特定算法生成不可预测的随机数字组合,每个口令只能使用一次。动态口令卡是目前银行常用的网银安全机制之一,在某些网络游戏的密保中也被广泛应用,在使用中根据坐标位置查找出对应口令。动态口令卡具有可随身携带、轻便、不需驱动、使用方便等优点。但同时受使用次数的限制,并且由于动态口令没有对交易进行签名,无法防止钓鱼网站攻击。动态手机口令与动态口令卡一样,是基于动态口令的安全机制。当用户尝试进行网上交易时,银行会向用户的手机发送短信,用户接收到短信后,若能在规定时间内正确输入短信中的动态口令,则能够顺利完成交易,反之不能。动态手机口令的优势在于不需安装驱动,只需随身带手机即可,相对安全。但从安全角度上说,动态手机口令也没有对交易进行签名,无法防止钓鱼网站攻击。移动口令牌也是一种基于动态口令的安全机制,是目前最主流的是基于时间同步的硬件令牌,在网银业务中被广泛应用。当用户进行网上交易时,输入移动口令牌上显示的当前的数据,正确输入后方可完成本次交易,移动口令牌不需要驱动,不需要安装,只要随身带就行。口令牌的编码一旦使用过就立即失效。移动口令牌的最大问题也是没有对交易进行签名,无法防止钓鱼网站攻击。[0010]移动数字证书,使用USB Key存放用户个人的数字证书,并不可读取。交易时,通过USB Key对交易信息进行签名,是目前网银最常用的安全机制之一。移动数字证书能够有效地防止钓鱼网站攻击,但使用时需要安装驱动,同时USB Key需要随身携带。综上,现有的各种网银安全机制各有不足之处,多数机制的安全性有待加强,而安全性可以满足需要的机制其便捷性稍差。
实用新型内容为克服以上技术的缺陷,本实用新型的目的是提供一种采用手机作为移动数字证书载体的系统,以实现一个集安全、经济、便捷于一体的网银安全机制,提高用户在网银使用中的安全性和便捷性。本实用新型的技术方案为:一种采用手机作为移动数字证书载体的系统,包括可相互通信的计算机和手机,所述手机内安装有加密SD卡,所述加密SD卡通过所述手机的多媒体卡接口与所述手机的主处理器通信连接。所述计算机和手机可以各自设有用以实现相互通信的蓝牙通信模块、数据线通信模块及WLAN通信模块中的一种或多种。所述手机优选为智能手机,所述WLAN通信模块优选采用WIFI通信模块。所述计算机内可设有CSP中间件和/或PKCS#11中间件。所述多媒体卡接口优选采用标准SD卡接口,所述手机的主处理器设有用于控制其与所述加密SD卡交换数据的SDIO控制器,且所述SDIO控制器优选采用可兼容SD101.1和SD物理层规范1.1/2.0的SDIO控制器。所述加密SD卡优选采用具有国家商密资质的加密芯片制成。所述加密SD卡的结构模型可分为上层的SD卡核心COS和下层的SD卡通信模块。所述加密SD卡可以由安全智能卡和通用SD FLASH封装而成,其外形为标准的MicroSD卡、MiniSD卡或SD卡的外型。所述安全智能卡的结构模型可以划分为:流程控制模块层、协议模块层、基础模块层和适配层,所述流程控制模块层可以包括指令总控模块、CSP消息处理模块、PKCS#11消息处理模块和银行扩展消息处理模块,所述协议模块层可以包括CSP消息协议模块、PKCS#11消息协议模块和银行扩展消息协议模块,所述基础模块层可以包括文件读写模块、文件事务写模块、序列号事务写模块和加解密算法模块,所述适配层可以包括FLASH读写模块、加密基础算法模块、随机数生成模块和数据传输模块。所述系统还可以包括网络银行交易子系统和/或网络证券交易子系统,所述网络银行交易子系统包括银行web服务器和银行CA证书服务器,所述网络证券交易子系统包括证券web服务器和证券CA证书服务器,所述银行web服务器和/或证券web服务器与所述计算机经由互联网通信连接。本实用新型的有益效果为:通过在手机中加入加密SD卡和安装加密组件,使手机成为移动数字证书的载体,大大提高了移动数字证书的便携性;安装在手机中的加密SD卡的适配层具有加密基础算法模块和数据传输模块,两种模块使手机作为移动数字证书的用户PIN码的输入设备,可有效抵御用户电脑上木马程序的攻击;此外用户通过手机作为移动数字证书的敏感信息的输出设备,能够为用户提供更好的人机界面,优化用户体验;该系统中的加密SD卡还能够为手机的网上交易提供安全服务,为将来电脑网银和智能手机银行在安全机制上的统一奠定了基础。
图1是本实用新型的一种实施例的内部结构示意图;图2是本实用新型的一种实施例的拓扑结构示意图;图3是本实用新型的加密SD卡硬件结构示意图;图4是本实用新型的安全智能卡的内部模块图;图5是本实用新型的工作流程示意图。
具体实施方式
如图1所示,本实用新型提供了一种采用手机作为移动数字证书载体的系统,其核心包括可相互通信的计算机(或称计算机端、PC端,下同)和手机(或称手机端,下同),所述手机内安装有加密SD卡,所述加密SD卡通过所述手机的多媒体卡接口与所述手机的主处理器通信连接。PC端可将生成的数字证书通过PC端的加密组件和手机端的加密组件加载到加密SD卡中。所有的用户私密信息(数字证书、公司钥对、私密数据等)都存储在加密SD卡中。所述计算机和手机各自设有用以实现相互通信的蓝牙通信模块、数据线通信模块及WLAN通信模块中的一种或多种,用以实现二者间的信息交互。在图1所示的实施例中,所述PC端的上层提供CSP、PKCS#11等中间件接口和银行定制接口,它们均支持X.509标准证书格式,并且实现加密SD卡中的证书自动注册到Windows系统“MY区”;下层提供与手机(优选为智能手机)之间的蓝牙、数据线、WIFI通信模块,手机端则相应提供与PC端通信的蓝牙通信模块、数据线通信模块、WIFI通信模块,同时还手机端还提供用以同加密SD卡通信的通信模块。而加密SD卡底层提供用以同手机通信的通信模块,上层是提供各类加密服务的核心COS。用户在使用的时候,只需将智能手机通过蓝牙、数据线、WIFI等方式连接到PC端,便可以享受该系统提供的数字证书服务,包括用户认证、公私钥生成、证书导入/导出、数据加密/解密、数据签名/验签、文件操作等。所述多媒体卡接口优选采用标准SD卡接口,所述手机的主处理器(也即图1所示的手机端主控模块)设有用于控制其与所述加密SD卡交换数据的可兼容SD101.1和SD物理层规范1.1/2.0的SDIO控制器,通过所述SDIO控制器,所述加密SD卡实现与手机进行数据交互。所述加密SD卡采用国家商密资质的加密芯片制成,其安全强度与传统的USB KEY方式的移动数字证书一致,能够有效防止钓鱼网站的攻击,使其安全性得到保证。如图3所示,所述加密SD卡优选由专用安全智能卡和通用SD FLASH封装而成,其外形为标准的MicroSD卡、MiniSD卡或SD卡的外型。所述安全智能卡优选为支持IS07816接口和SPI从属模式的加密智能卡,SDIO控制器通过Flash接口与Flash进行数据交互和传输,通过IS07816/SPI接口与HS32U2芯片(安全智能卡的核心部分)进行数据交互。由于通用SD FLASH的存在,使加密SD卡提供了普通SD卡的存储功能,因此不影响用户对普通手机SD卡的大容量存储需求。[0035]如图4所示,所述安全智能卡的内部结构模型可划分为四层,分别是流程控制模块层、协议模块层、基础模块层和适配层。流程控制模块层定义了系统处理各类信息的流程控制,包括指令总控模块、CSP消息处理模块、PKCS#11消息处理模块和银行扩展消息处理模块等四个模块;协议模块层负责处理本系统中各类信息的构造和解析,包括CSP消息协议模块、PKCS#11消息协议模块和银行扩展消息协议模块等三个模块;基础模块层负责处理本系统支持上层应用所必需的基础功能,包括文件读写模块、文件事务写模块、序列号事务写模块和加解密算法模块等四个模块;适配层负责封装为智能卡基础API提供统一的接口,包括FLASH读写模块、加密基础算法模块、随机数生成模块和数据传输模块等四个模块。如图2所示,当用于网银交易或证券交易时,该系统还可以包括网络银行交易子系统或网络证券交易子系统,所述网络银行交易子系统包括银行web服务器和银行CA证书服务器,所述网络证券交易子系统包括证券web服务器和证券CA证书服务器,所述银行web服务器或证券web服务器与所述计算机经由互联网通信连接,以实现互访和信息交互。当然,该系统也可能同时包含网络银行交易子系统和网络证券交易子系统。以网银交易为例,如图5所示,本实用新型的典型的工作流程为:I)用户通过PC端上网,打开浏览器,进入网上银行;2)用户点击与该系统相对应的安全机制的初始化页面,下载证书;3)通过浏览器将银行服务器端生成的证书通过PC端加密组件、智能手机端加密组件最终加载到加密SD卡中;4)用户点击交易页面进行交易;5)浏览器调用PC端加密组件相应接口对交易签名;6)智能手机端加密组件弹出PIN码输入框,用户通过智能手机输入PIN码;7)加密SD卡在成功验证PIN码后,对交易信息进行签名,并且返回签名结果;8)浏览器将签名结果发送到服务器端,服务器端协同后台CA对签名进行验证,在验证成功之后完成交易。该系统可向用户提供认证、公私钥生成、证书导入/导出、数据加密/解密、数据签名/验签、文件操作等服务,相对于传统网银的安全媒介而言,其优势主要体现在:I)使用智能手机作为移动数字证书的载体,大大提高了移动数字证书携带的便利性;2)通过智能手机作为移动数字证书的用户PIN码的输入设备,有效地抵御了用户电脑上木马程序的攻击;3)通过智能手机作为移动数字证书的敏感信息的输出设备,能够向用户提供更加友好的人机界面,优化用户体验;4)系统中的加密SD卡还能够为智能手机的网上交易提供安全服务,为将来电脑网银和手机银行在安全机制上的统一奠定基础。
权利要求1.一种采用手机作为移动数字证书载体的系统,其特征在于包括可相互通信的计算机和手机,所述手机内安装有加密SD卡,所述加密SD卡通过所述手机的多媒体卡接口与所述手机的主处理器通信连接。
2.如权利要求1所述的采用手机作为移动数字证书载体的系统,其特征在于所述计算机和手机各自设有用以实现相互通信的蓝牙通信模块、数据线通信模块及WLAN通信模块中的一种或多种。
3.如权利要求2所述的采用手机作为移动数字证书载体的系统,其特征在于所述手机为智能手机,所述WLAN通信模块采用WIFI通信模块。
4.如权利要求3所述的采用手机作为移动数字证书载体的系统,其特征在于所述计算机内设有CSP中间件和/或PKCS#11中间件。
5.如权利要求4所述的采用手机作为移动数字证书载体的系统,其特征在于所述多媒体卡接口采用标准SD卡接口,所述手机的主处理器设有用于控制其与所述加密SD卡交换数据的可兼容SD101.1和SD物理层规范1.1/2.0的SDIO控制器。
6.如权利要求5所述的采用手机作为移动数字证书载体的系统,其特征在于所述加密SD卡采用具有国家商密资质的加密芯片制成。
7.如权利要求6所述的采用手机作为移动数字证书载体的系统,其特征在于所述加密SD卡的结构模型分为上层的SD卡核心COS和下层的SD卡通信模块。
8.如权利要求1-7中任一权利要求所述的采用手机作为移动数字证书载体的系统,其特征在于所述加密SD卡由安全智能卡和通用SD FLASH封装而成。
专利摘要本实用新型涉及一种采用手机作为移动数字证书载体的系统,包括可相互通信的计算机和手机,所述手机内安装有加密SD卡,所述加密SD卡通过所述手机的多媒体卡接口与所述手机的主处理器通信连接,所述加密SD卡采用具有国家商密资质的加密芯片制成,由安全智能卡和通用SDFLASH封装而成。本实用新型应用于通信安全技术领域,针对现代人对手机的高度依赖性,将手机作为移动数字证书的硬件载体应用于网银交易等涉及数字证书的安全操作中,可防止钓鱼网站的攻击,还携带方便,集安全、经济和便捷于一体的优点,可用于认证、公私钥生成、证书导入/导出、数据加密/解密、数据签名/验签、文件操作等服务。
文档编号G06F21/33GK202998240SQ20122057340
公开日2013年6月12日 申请日期2012年11月2日 优先权日2012年11月2日
发明者张文, 张文斌 申请人:北京太极星空科技有限公司