一种优盾业务实现方法及系统的制作方法
【专利摘要】本发明公开了一种USBKEY业务实现方法及系统,涉及银行优盾【技术领域】。本发明公开的实现方法包括:USBKEY业务受理系统使用公钥对用户发起的交易申请数据加密得到A,同时使用银行与电信运营商共同制定的共享密钥K1对交易申请数据加密得到EA,将A和EA拼接在一起发送给与USBKEY绑定的SIM卡。SIM卡用K1对EA部分解密并显示给手机用户,当用户确认交易信息属实,则SIM卡使用享密钥K2对A部分数据加密,并返回给USBKEY业务受理系统使用K2解密得到的A,再使用USBKEY的公钥对A进行解密,得到明文数据,与发送的请求进行比对,实现业务办理。本发明还公开了一种USBKEY业务的实现系统。本申请技术方案通过用户手机显示交易信息,使用户达到所见及所签,提高了数据传递的安全性。
【专利说明】一种优盾业务实现方法及系统
【技术领域】
[0001]本发明涉及银行优盾(USBKEY)【技术领域】,尤其涉及一种USBKEY业务实现方法及系统。
【背景技术】
[0002]一代USBKEY是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。但一代USBKEY还只是充当一个“算法计算器”的角色,它虽然能够保护密钥不被黑客直接读取,却无法区分请求计算的数据是否合法。因此,USBKEY体系的最终安全效果仍需依靠WINDOWS操作系统提供安全保障。
[0003]然而,WINDOWS系统安全性能较差,黑客通过键盘接口层或USB通讯层等多种手段,可轻易地盗取用户的口令,然后远程控制USBKEY,篡改交易数据或直接捏造交易,实现对客户资金的盗取。
[0004]换句话说,传统的一代USBKEY只是保证了用户私匙的存储安全,却无法从根本上解决可能产生的远程对其调用问题,PIN码是私钥调用的唯一保证。一代USBKEY在使用过程中,PIN码是用户电脑键盘输入的,因此黑客依然可以通过例如键盘监听的黑客程序截获用户PIN码,如果用户不及时取走USBKEY,那么黑客可以通过截获的PIN码来取得虚假认证,安全隐患仍然令人堪忧。
【发明内容】
[0005]本发明所要解决的技术问题是,提供一种USBKEY业务实现方法及系统,以提高USBKEY的安全性和可靠性。
[0006]为了解决上述技术问题,本发明公开了一种优盾(USBKEY)业务的实现方法,包括:
[0007]用户在USBKEY业务受理系统上发起交易申请时,USBKEY业务受理系统使用USBKEY的公钥对交易申请数据进行加密得到A,同时使用银行与电信运营商共同制定的数据短信加解密协议的共享密钥Kl对交易申请数据进行加密得到EA,将A和EA拼接在一起发送给与USBKEY绑定的用户身份识别模块(SM)卡;
[0008]所述SIM卡接收数据,用Kl对EA部分进行解密并显示给手机用户,当用户确认交易信息属实,则SIM卡使用USBkey业务受理系统与电信运营商协商加解密协议的共享密钥K2对A部分数据进行加密,并返回给USBKEY业务受理系统使用K2对所述SM卡返回的数据进行解密得到A,再使用USBKEY的公钥对A进行解密,得到明文数据,并与发送的请求进行比对,实现业务办理。
[0009]可选地,上述方法还包括:
[0010]用户办理USBKEY业务时,将USBKEY与带数据加密功能的SM卡进行一对一的绑定,其中,绑定的信息包括USBKEY标识、银行与电信运营商共同制定的数据短信加解密协议的共享密钥Kl、USBKEY与电信运营商协商加解密协议的共享密钥K2。
[0011]可选地,上述方法中,将USBKEY与带数据加密功能的SM卡进行一对一的绑定包括:
[0012]利用电信运营商的远程写卡业务功能将用户已办理的USBKEY的身份标识号码(ID)、电信数据及该USBKEY的ID对应的Kl和K2数据写入SM卡中。
[0013]可选地,上述方法中,所述交易申请数据至少包括时间字串,地址字串,交易信息字串,防重放攻击字串。
[0014]本发明还公开了一种优盾(USBKEY)业务的实现系统,包括USBKEY业务受理系统平台,以及与用户的USBKEY —一绑定的带数据加密功能的用户身份识别模块(SIM)卡:
[0015]所述USBKEY业务受理系统平台,接收用户发起的交易申请,使用USBKEY的公钥对交易申请数据进行加密得到A,同时使用银行与电信运营商共同制定的数据短信加解密协议的共享密钥Kl对交易申请数据进行加密得到EA,将A和EA拼接在一起发送给与USBKEY绑定的SIM卡,以及使用USBKEY业务受理系统平台与电信运营商协商加解密协议的共享密钥K2,对所述SIM卡返回的数据进行解密得到A,再使用USBKEY的公钥对A进行解密,得到明文数据,并与发送的请求进行比对,实现业务办理;
[0016]所述SM卡,接收USBKEY业务受理系统平台发送的数据,用Kl对所述数据中的EA部分进行解密并显示给手机用户,当用户确认交易信息属实,则使用USBKEY业务受理系统平台与电信运营商协商加解密协议的共享密钥K2对A部分数据进行加密,并返回给USBKEY业务受理系统平台。
[0017]可选地,上述系统中,所述USBKEY业务受理系统平台,在用户办理USBKEY业务时,将USBKEY与带数据加密功能的SIM卡进行一对一的绑定,其中,绑定的信息包括USBKEY标识、银行与电信运营商共同制定的数据短信加解密协议的共享密钥K1、USBKEY与电信运营商协商加解密协议的共享密钥K2。
[0018]可选地,上述系统中,将USBKEY与带数据加密功能的SM卡进行一对一的绑定包括:
[0019]利用电信运营商的远程写卡业务功能将用户已办理的USBKEY的身份标识号码(ID)、电信数据及该USBKEY的ID对应的Kl和K2数据写入SM卡中。
[0020]可选地,上述系统中,所述交易申请数据至少包括时间字串,地址字串,交易信息字串,防重放攻击字串。
[0021]本申请技术方案在用户进行业务办理的时候,将SM技术与一代USBKEY结合,进行认证,解决了以下几个问题:
[0022]通过用户手机显示交易信息,使用户达到所见及所签;
[0023]与USBKEY进行一一对应的加解密处理,保证数据传递的安全性。
【具体实施方式】
[0024]图1是本发明提出的USBKEY的示意图;
[0025]图2是本发明提出的USBKEY认证系统架构图;
[0026]图3是本发明提出的USBKEY认证流程图。
[0027]【具体实施方式】[0028]为使本发明的目的、技术方案和优点更加清楚明白,下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
[0029]实施例1
[0030]本案 申请人:提出,可以在一代USBKEY的基础上增加液晶显示和按键,构成二代USBKEY,其外观如图1所示。并且,将现有SM技术与此USBKEY相结合,这样,USBKEY的使用过程会增加用户按键确认动作,安全可靠且简单易用。
[0031]基于上述思想,本实施例提供一种USBKEY业务实现方法,该方法依赖于图2所示的网络架构,具体包括如下操作:
[0032]步骤1、配置操作;
[0033]具体地,该配置操作包括银行与电信运营商共同制定数据短信加解密协议,共享密钥Ki ;
[0034]USBKEY与电信运营商协商加解密协议(如加密带MAC等),共享密钥K2 ;
[0035]步骤2、将USBKEY与用户手机绑定;
[0036]具体地,用户办理USBKEY业务时,需绑定带数据加密功能的手机号;
[0037]增加数据处理模块,该模块的主要功能是:存储密钥K1,根据协议组合数据,通过指定接入号下发到绑定的手机号;
[0038]带数据解密功能的一代USBKEY:改造点为COS部分,需要增加K2的存储。
[0039]带数据加解密功能的用户手机SM卡:这是需要运营商定制的一款SM卡,该SM卡存储了密钥Kl和K2,并可进行数据短信的解密处理。
[0040]其中,由于本实施例中的USBKEY和SM卡之间实现的是一用户一密钥,但USBKEY是在银行办理申领,而SM卡是在运营商营业厅办理,因此,本实施例提出,利用各电信运营商的远程写卡业务功能使得用户的USBKEY的密钥与SM卡一一对应,前置条件是电信运营商共享USBKEY的ID、及对应的Kl和K2,具体流程如下:
[0041]用户在银行办理网上银行,申领USBKEY,每个USBKEY上都打印了该USBKEY的唯一识别ID号,同时需绑定用户手机号;
[0042]如用户已有手机号,则该用户需到电信运营商处办理补换卡业务,即保留原来手机号,通过典型运营商的远程写卡平台将原SIM卡更换为带数据加解密功能的SIM卡,远程写卡业务获得用户已办理的USBKEY的ID,将电信数据及该ID对应的Kl和K2数据写入卡中;
[0043]如用户没有手机号,基本操作和第二步相似,不同的是,此时办理的业务是新开户,而不是补换卡,办完卡之后需要通过银行的渠道(电话、网上银行等)将USBKEY与用户手机号绑定。
[0044]步骤3,由用户在USBKEY业务受理系统(以下简称系统)上发起交易申请,系统将申请数据(包括时间字串,地址字串,交易信息字串,防重放攻击字串组合在一起)先使用USBKEY的公钥Up加密得到A,同时将这组数据用Kl加密得到EA,将A和EA拼接在一起发给手机;
[0045]步骤4,手机解析数据,先用Kl对EA部分进行解密,并显示在手机屏幕上,由用户确认交易信息是否属实,如确认属实,使用K2对A部分数据进行加密得到EK2A,并发送;[0046]步骤5,系统将数据转发给一代USBKEY,一代USBKEY用K2解密数据EK2A,得到数据A,可增加验证MAC、随机数等方式确认数据完整性,将数据A用Us解密,再用Bp加密得到数据B,一代USBKEY将数据B回复给系统;
[0047]步骤6,系统用Bs解密,得到明文数据,与发送的请求进行比对,完成整个业务的办理。
[0048]由于本方案需要涉及到电信运营商和金融界领域各家银行,从图3可以看出,本方案中需要两组对称密钥和两组非对称密钥,根据使用目的分别有不同的渠道保存。再结合图3的业务受理流程,就本方案在现有一代USBKEY的运作模式上需要进行的改造。
[0049]实施例2
[0050]本实施例提供一种USBKEY业务的实现系统,该系统包括USBKEY业务受理系统平台,以及与用户的USBKEY —一绑定的带数据加密功能的SM卡:
[0051]所述USBKEY业务受理系统,接收用户发起的交易申请,使用USBKEY的公钥对交易申请数据进行加密得到A,同时使用银行与电信运营商共同制定的数据短信加解密协议的共享密钥Kl对交易申请数据进行加密得到EA,将A和EA拼接在一起发送给与USBKEY绑定的SIM卡,以及使用USBKEY业务受理系统与电信运营商协商加解密协议的共享密钥K2,对所述SIM卡返回的数据进行解密得到A,再使用USBKEY的公钥对A进行解密,得到明文数据,并与发送的请求进行比对,实现业务办理;
[0052]具体地,上述USBKEY业务受理系统,在用户办理USBKEY业务时,将USBKEY与带数据加密功能的SIM卡进行一对一的绑定,其中,绑定的信息包括USBKEY标识、银行与电信运营商共同制定的数据短信加解密协议的共享密钥K1、USBKEY与电信运营商协商加解密协议的共享密钥K2。
[0053]所述SM卡,接收USBKEY业务受理系统发送的数据,用Kl对所述数据中的EA部分进行解密并显示给手机用户,当用户确认交易信息属实,则使用USBKEY业务受理系统与电信运营商协商加解密协议的共享密钥K2对A部分数据进行加密,并返回给USBKEY业务受理系统。
[0054]本实施例中,将USBKEY与带数据加密功能的SM卡进行一对一的绑定包括:
[0055]利用电信运营商的远程写卡业务功能将用户已办理的USBKEY的身份标识号码(ID)、电信数据及该USBKEY的ID对应的Kl和K2数据写入SM卡中。
[0056]所述交易申请数据至少包括时间字串,地址字串,交易信息字串,防重放攻击字
串O
[0057]从上述实施例可以看出,本申请技术方案具有以下优势:
[0058]充分利用手机的普遍性,结合USBkey的安全存储和计算优势,加强目前使用USBkey的大部分银行的安全级别,有效防护木马病毒;
[0059]手机和一代USBkey双重保险,缺一不可,将用户的使用风险降到最低。
[0060]本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。[0061]以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种优盾(USBKEY)业务的实现方法,其特征在于,该方法包括: 用户在USBKEY业务受理系统上发起交易申请时,USBKEY业务受理系统使用USBKEY的公钥对交易申请数据进行加密得到A,同时使用银行与电信运营商共同制定的数据短信加解密协议的共享密钥Kl对交易申请数据进行加密得到EA,将A和EA拼接在一起发送给与USBKEY绑定的用户身份识别模块(SM)卡; 所述SIM卡接收数据,用Kl对EA部分进行解密并显示给手机用户,当用户确认交易信息属实,则SIM卡使用USBkey业务受理系统与电信运营商协商加解密协议的共享密钥K2对A部分数据进行加密,并返回给USBKEY业务受理系统使用K2对所述SM卡返回的数据进行解密得到A,再使用USBKEY的公钥对A进行解密,得到明文数据,并与发送的请求进行比对,实现业务办理。
2.如权利要求1所述的方法,其特征在于,该方法还包括: 用户办理USBKEY业务时,将USBKEY与带数据加密功能的SM卡进行一对一的绑定,其中,绑定的信息包括USBKEY标识、银行与电信运营商共同制定的数据短信加解密协议的共享密钥K1、USBKEY与电信运营商协商加解密协议的共享密钥K2。
3.如权利要求2所述的方法,其特征在于,将USBKEY与带数据加密功能的SIM卡进行一对一的绑定包括: 利用电信运营商的远程写卡业务功能将用户已办理的USBKEY的身份标识号码(ID)、电信数据及该USBKEY的ID对应的Kl和K2数据写入SIM卡中。
4.如权利要求1至3任一项所述的方法,其特征在于, 所述交易申请数据至少包括时间字串,地址字串,交易信息字串,防重放攻击字串。
5.一种优盾(USBKEY)业务的实现系统,其特征在于,该系统包括USBKEY业务受理系统平台,以及与用户的USBKEY —一绑定的带数据加密功能的用户身份识别模块(SIM)卡: 所述USBKEY业务受理系统平台,接收用户发起的交易申请,使用USBKEY的公钥对交易申请数据进行加密得到A,同时使用银行与电信运营商共同制定的数据短信加解密协议的共享密钥Kl对交易申请数据进行加密得到EA,将A和EA拼接在一起发送给与USBKEY绑定的SIM卡,以及使用USBKEY业务受理系统平台与电信运营商协商加解密协议的共享密钥K2,对所述SM卡返回的数据进行解密得到A,再使用USBKEY的公钥对A进行解密,得到明文数据,并与发送的请求进行比对,实现业务办理; 所述SM卡,接收USBKEY业务受理系统平台发送的数据,用Kl对所述数据中的EA部分进行解密并显示给手机用户,当用户确认交易信息属实,则使用USBKEY业务受理系统平台与电信运营商协商加解密协议的共享密钥K2对A部分数据进行加密,并返回给USBKEY业务受理系统平台。
6.如权利要求5所述的系统,其特征在于, 所述USBKEY业务受理系统平台,在用户办理USBKEY业务时,将USBKEY与带数据加密功能的SIM卡进行一对一的绑定,其中,绑定的信息包括USBKEY标识、银行与电信运营商共同制定的数据短信加解密协议的共享密钥K1、USBKEY与电信运营商协商加解密协议的共享密钥K2。
7.如权利要求6所述的系统,其特征在于,将USBKEY与带数据加密功能的SIM卡进行一对一的绑定包括:利用电信运营商的远程写卡业务功能将用户已办理的USBKEY的身份标识号码(ID)、电信数据及该USBKEY的ID对应的Kl和K2数据写入SIM卡中。
8.如权利要求5至7任一项所述的系统,其特征在于, 所述交易申请数据至少包`括时间字串,地址字串,交易信息字串,防重放攻击字串。
【文档编号】G06Q20/40GK103514540SQ201310481494
【公开日】2014年1月15日 申请日期:2013年10月15日 优先权日:2013年10月15日
【发明者】徐桂, 焦华清, 韩勇 申请人:大唐微电子技术有限公司