技术领域本发明涉及网银技术领域,具体涉及一种网银交易系统。
背景技术:
网银即网上银行,指银行通过信息网络提供的金融服务,包括传统银行业务和因信息技术应用带来的新兴业务。随着网络的快速发展以及人们生活的需要,网银已经成为人们日常生活和工作中不可缺少的一部分,通过网银应用用户可以足不出户就能够便捷地完成所需要的各种交易,如网上支付、转账等。为了更好的保证网银交易的安全性,USBKey即U盾应运而生,它的作用是在办理网上银行业务时保护着网上银行资金安全,规避黑客、假网站、木马病毒等各种风险。传统的基于USBKey的网银交易,其流程大多是通过PC的浏览器与U盾连接,交互实现签名验签过程。但是这种交易方式需要各个U盾厂商提供驱动控件与银行网页进行集成,由于PC端平台众多,即不同PC端上所采用的操作系统是多样的,如windowsxp,windows7,windows8,linux,MAC等,而且操作系统还有32位和64位之分,所以厂商要提供各个系统版本的驱动,银行也会针对各个操作系统投入大量开发人员进行开发维护,再加上不同的浏览器对控件支持也有不同,浏览器的种类很烦多,这给银行和网银盾厂商带来了巨大的开发,维护以及测试成本,每次升级上线都需要投入大量的人力进行测试。
技术实现要素:
针对现有技术中存在的缺陷,本发明的目的在于提供一种新的网银交易系统,通过该系统能够有效提高网银交易的安全性。为实现上述目的,本发明采用的技术方案如下:一种网银交易系统,包括PC、移动智能终端和网银后台服务器;所述PC包括:数据收发模块,用于接收用户的网银交易请求,将所述网银交易请求发送到网银后台服务器;还用于接收网银后台服务器发送的二维码;二维码显示模块,用于显示所述二维码;所述网银后台服务器包括:二维码生成模块,用于根据所述网银交易请求的交易数据生成二维码,并将二维码发送到PC上显示;签名验证模块,用于接收并验证移动智能终端发送的签名信息,验证通过后,根据所述交易数据进行网银交易;所述移动智能终端包括:二维码获取解析模块,用于通过摄像头扫描PC上显示的二维码,将扫描得到的二维码发送到移动智能终端的可信执行环境TEE进行解析,得到解析后的交易数据;所述移动智能终端包括移动操作系统和可信执行环境TEE;第一验证模块,用于提示用户输入可信执行环境TEE的第一安全登录码,并对第一安全登录码进行验证;数据显示确认模块,用于在第一安全登录码验证通过后,将所述解析后的交易数据显示在移动智能终端上以供用户进行确认;数据签名模块,用于在用户确认移动智能终端显示的交易数据后,可信执行环境TEE对所述交易数据进行数字签名;数据发送模块,用于将签名后的信息发送到网银后台服务器。可选的,如上所述的一种网银交易系统,数据签名模块中可信执行环境TEE对所述交易数据进行数字签名之前,所述移动智能终端还包括:第二验证模块,用于在用户确认移动智能终端显示的交易数据后,提示用户输入可信执行环境TEE的第二安全登录码,并对第二安全登录码进行验证,在验证通过后,数据签名模块中可信执行环境TEE对所述交易数据进行数字签名。可选的,如上所述的一种网银交易系统,所述第一安全登录码和第二安全登录码相同或不同。可选的,如上所述的一种网银交易系统,当第一安全登录码和第二安全登录码相同时,所述第二验证模块包括:登录码比对单元,用于将所述第二安全验证码与第一安全验证码比对,比对第二安全验证码与第一安全验证码是否相同,若是,则验证通过;若否,则验证失败。可选的,如上所述的一种网银交易系统,当第一安全登录码和第二安全登录码不同时,所述第二验证模块包括:第二验证单元,用于将用户输入的第二安全登录码和可信执行环境TEE平台中预存的第二安全登陆码比对,如果两者一致,则验证通过;反之,则验证失败。可选的,如上所述的一种网银交易系统,所述第一安全登录码包括字符、人脸识别、指纹识别或图案。可选的,如上所述的一种网银交易系统,所述第二安全登录码包括字符、人脸识别、指纹识别或图案。可选的,如上所述的一种网银交易系统,所述数据发送模块用于将签名后的信息通过移动智能终端的移动操作系统发送到网银后台服务器;或者所述数据发送模块用于将签名后的信息发送到PC,所述数据收发模块还用于接收数据发送模块发送的所述的签名后的信息并将签名后的信息发送到网银后台服务器。本发明的有益效果在于:本发明所述的系统,在网银过程中,通过移动智能终端的可信执行环境TEE完成交易信息的解析及数字签名,能够有效提供网银交易的安全性,且在交易过程中,通过进行两次设备安全验证,进一步保证了交易是由终端用户完成的,更进一步提高了交易安全性。附图说明图1为本发明实施例中提供的一种网银交易系统的示意图;图2为本发明实施例中提供的一种网银交易方法的流程图。具体实施方式下面结合说明书附图与具体实施方式对本发明做进一步的详细说明。图1示出了本发明实施例中提供的一种网银交易系统的示意图,如图中所示,该系统包括了PC100、网银后台服务器200和移动智能终端300。所述PC100包括交易请求收发模块101和二维码显示模块102。数据收发模块101,用于接收用户的网银交易请求,将所述网银交易请求发送到网银后台服务器;还用于接收网银后台服务器发送的二维码;还可以用于接收数据发送模块发送的所述的签名后的信息并将签名后的信息发送到网银后台服务器;二维码显示模块102,用于显示所述的二维码。所述网银后台服务器200包括二维码生成模块201和签名验证模块202;二维码生成模块201,用于根据所述网银交易请求的交易数据生成二维码,并将二维码发送到PC上显示;签名验证模块202,用于接收并验证移动智能终端发送的签名信息,验证通过后,根据所述交易数据进行网银交易;所述移动智能终端300包括二维码获取解析模块301、第一验证模块302、数据显示确认模块303、第二验证模块304和数据签名模块305.二维码获取解析模块301,用于通过摄像头扫描PC上显示的二维码,将扫描得到的二维码发送到移动智能终端的可信执行环境TEE进行解析,得到解析后的交易数据;所述移动智能终端包括移动操作系统和可信执行环境TEE;第一验证模块302,用于提示用户输入可信执行环境TEE的第一安全登录码,并对第一安全登录码进行验证;数据显示确认模块303,用于在第一安全登录码验证通过后,将所述解析后的交易数据显示在移动智能终端上以供用户进行确认;数据签名模块305,用于用户确认移动智能终端显示的交易数据后,可信执行环境TEE对所述交易数据进行数字签名;数据发送模块306,用于将签名后的信息发送到网银后台服务器;其中该模块可以是将签名后的信息直接通过移动智能终端的移动操作系统发送到网银后台服务器,如图2中①所示,也可以是先将签名后的信息发送到PC,再由PC的数据收发模块101将签名后的信息发送到网银后台服务器,如图2中②所示。其中,本实施例中,在数据签名模块305中可信执行环境TEE对所述交易数据进行数字签名之前,所述移动智能终端还可以包括:第二验证模块304,用于在用户确认移动智能终端显示的交易数据后,提示用户输入可信执行环境TEE的第二安全登录码,并对第二安全登录码进行验证,在验证通过后,数据签名模块305中可信执行环境TEE再对所述交易数据进行数字签名。本实施例中,所述第一安全登录码和第二安全登录码可以相同,也可以不同,所述第一安全登录码包括字符、人脸识别、指纹识别或图案;所述第二安全登录码包括字符、人脸识别、指纹识别或图案。当第二安全登陆码与第一安全登录码相同时,所述第二验证模块304还可以包括:登录码比对单元,用于将所述第二安全验证码与第一安全验证码比对,比对第二安全验证码与第一安全验证码是否相同,若是,则验证通过,若否,则验证失败。当第一安全登录码和第二安全登录码不同时,所述第二验证模块包括:第二验证单元,用于将用户输入的第二安全登录码和可信执行环境TEE平台中预存的第二安全登陆码比对,如果两者一致,则验证通过;反之,则验证失败。本发明实施例中还提供了一种基于图1中所示系统的一种网银交易方法的流程图,如图2所示,该方法可以包括以下步骤:步骤S100:网银后台服务器根据交易数据生成二维码并将二维码发送到PC上显示;本实施例中,用户首先在个人计算机PC上通过网银页面登录网银,登录后根据自己的需要通过PC向网银后台服务器发送网银交易请求,其中,网银交易请求包括交易数据,交易数据主要包括交易名称(如网上转账或网上支付等)、交易金额和交易账号等。其中,网银后台服务器指的是网银对应的后台服务器,一般都是指银行的后台服务器。所述网银页面包括网页版网络银行(包括个人银行大众版、个人专业版、电子商务专业版等)以及网银客户端即APP,网银客户端同样包括大众版和专业版等。网银后台服务器接收到PC发送的网银交易请求之后,根据所述网银交易请求的交易数据生成二维码,并将二维码发送到PC上显示。其中,网银后台服务器根据交易数据生成二维码,可以是根据用户填写的交易数据生成,也可以是根据网银交易网页直接生成,如用户需要完成网上支付,可以直接根据网银支付网页生成二维码。步骤S200:移动智能终端在其可信执行环境TEE中解析所述二维码;本实施例中,所述移动智能终端中同时包括移动操作系统(如Android操作系统、IOS操作系统等)和可信执行环境TEE(TrustedExecutionEnvironment)。PC的显示屏显示出二维码后,移动智能终端通过其摄像头扫描所述二维码,并将扫描得到的二维码发送到移动智能终端的可信执行环境TEE中进行解析,得到解析后的交易数据。步骤S300:移动智能终端对用户进行第一次身份验证;移动智能终端通过步骤S200得到所述交易数据后,移动智能终端的可信执行环境TEE平台会通过移动智能终端设备的显示屏提示用户输入可信执行环境TEE的第一安全登录码,用户输入后,可信执行环境TEE平台对所述第一安全登录码进行验证,验证通过后,再将所述解析后的交易数据显示到移动智能终端的显示屏上,以供用户对所述交易数据进行审核确认。本实施例中,所述第一安全验证码指的是用户登录到移动智能终端的可信执行环境TEE平台时需要的登录密码。在移动智能终端的可信执行环境TEE平台中预先存储用户设置的登录该平台的登录密码,用户在需要登录该平台时,需要输入其设置的登录密码,可信执行环境TEE平台通过将用户输入的登录密码和其预存的登录密码比对,如果两者一致,则说明密码输入正确,用户能够登录可信执行环境TEE平台,否则登录失败。其中,第一安全登录码可以是字符(数字和/或文字密码)、人脸识别、指纹识别或图案等。步骤S400:移动智能终端对用户进行第二次身份验证,并在验证通过后对交易数据进行签名;步骤S500:将签名后的信息发送到网银后台服务器,网银后台服务器对所述签名后的数据进行验证,验证通过后,根据所述交易数据进行网银交易。用户对移动智能终端上显示的交易数据进行核对,如果核对无误,则在移动智能终端上进行确认操作,移动智能终端的可信执行环境TEE平台接收到用户的确认指令后,再次提示用户输入可信执行环境TEE的第二安全登录码,可信执行环境TEE对第二安全登陆码进行验证,如果验证通过,可信执行环境TEE对所述交易数据进行数字签名。完成数字签名后,可信执行环境TEE将签名后的信息发送到网银后台服务器,网银后台服务器接收到所述签名后的信息后,对该信息进行验证,验证通过后根据所述交易数据进行后续网银交易。本实施例中,提供了两种将经过可信执行环境TEE签名后信息发送到网银后台服务器的方式:第一种是:可信执行环境TEE将签名后的信息发送到移动智能终端的移动操作系统,通过移动操作系统将签名后的信息发送到网银后台服务器;此时,所述移动智能终端需要登录网银页面,以建立起其与网银后台服务器之间的连接,例如进行网银交易的银行为农业银行,用户可以通过在移动智能终端上安装农行手机银行应用app,然后通过无线网络连接银行后台服务器,将签名信息发送给银行后台服务器。第二种是,可信执行环境TEE将签名后的信息发送到PC,由PC将签名后的信息发送到网银后台服务器。本实施例中,所述第二安全登录码包括字符、人脸识别、指纹识别或图案等。第一安全登录码和第二安全验证码都是用于登录移动智能终端的可信执行环境TEE平台,两者可以相同,也可以不同,第一安全验证码和第二安全验证码是否采用相同的设置方式,用户可以根据需要选择。如果两者不同,可信执行环境TEE平台对第二安全登录码进行验证的方式与上述对第一安全登陆码进行验证的方式相同。如果两者相同,可信执行环境TEE平台对第二安全登录码进行验证的方式除了采用与上述对第一安全登陆码进行验证的方式外,还可以采用以下方式:将所述第二安全验证码与第一安全验证码比对,比对第二安全验证码与第一安全验证码是否相同,若是,则验证通过;若否,则验证失败。需要说明的是,在实际应用中,用户还可以根据需要只选择进行一次上述的身份验证,但是该方式会降低交易的安全性。本实施例中,所述移动智能终端包括但不限于智能手机和平板电脑,还可以是其他可以进行具有二维码扫描功能且同时含有移动操作系统和可信执行环境TEE的终端设备。本发明实施例中所提供的上述方法中,步骤S200-S400都是由移动智能终端的可信执行环境TEE来完成的,不使用移动操作系统控制,有效增加了交易的安全性。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。