用户终端、登录网络服务系统的方法和绑定/解绑定方法

专利名称：用户终端、登录网络服务系统的方法和绑定/解绑定方法
技术领域：
本发明涉及一种网络服务安全技术，特别是涉及一种用户终端及其登录网
络服务系统的方法，以及在用户终端上绑定USB Key和解除USB Key绑定的方法。
背景技术：
随着IT技术和互联网的普及，金融机构的电子化程度也越来越高。自全 球第一家网络银行诞生至今，此类银行业务得到用户高度认可，发展非常迅速。 目前，几乎所有的商业银行都提供了网上银行业务。在一些欧美国家，银行的 几乎全部业务都可以通过网上银行客户端完成，用户在家就可以完成个人大部
分金融业务。可见，网上银行业务可以替换大量的银行业务网点，并能通过网 络向客户推送大量的产品消息达到更好的产品营销目的。
随着网上银行的部署，安全性问题也成为网上银行的关键问题。网上银行 系统要求客户使用浏览器作为客户端，并且需要客户在计算机上进行操作，因 此可以认为客户的计算机和浏览器是个人网上银行系统的边界部分。但是由于 无法控制客户的计算机并对其进行安全检查，因此如果客户的计算机存在安全 问题，客户敏感信息在提交给网上银行系统之前被非法访问，可能会威胁到网 上银行系统的安全性。
为了提升网上银行的安全性问题，各商业银行也提出了非常多的解决方 案。典型的，比如基于USBKey的安全登录方案，基于IC卡的安全方案，基 于磁条卡刷卡机具的安全方案，以及基于一次密码设备的安全方案等等。
在现有的解决方案中，由于USB Key的安全登录方案相对于其他解决方 案具有较高安全性、用户使用方便的特点，因而发展最为迅速。然而，由于基 于USBKey的安全登录方案中需要采用USBKey,因而增加了成本，从而真 正使用此设备的用户数量远低于预期。
另夕卜，由于USB Key为用户随身携带的设备，在USB Key遗失的情况下，如果没有进一步的安全措施，则他人可以利用USB Key登录网上银行系统，
进行网上银行服务，给用户造成损失。

发明内容
本发明的目的在于，提供一种用户终端。
本发明的另一目的在于，提供一种用户终端登录网络服务系统的方法。 本发明的再一 目的在于，提供一种在用户终端上绑定USB Key的方法。 本发明的又一目的在于，提供一种验证用户终端上信息安全设备和USB Key之间的绑定关系的方法。
本发明的又一目的在于，提供一种在用户终端上解除USB Key绑定的方法。
根据本发明第一方面，提供一种用户终端，用于与网络服务系统通信，进 行网络服务，该用户终端具有客户端和信息安全设备，客户端包括信息获取单 元、设备访问单元和网络通信单元，信息安全设备包括信息生成模块、信息存 储模块、以及安全访问模块。其中，信息获取单元，用于确定用户终端中是否 存在信息安全设备，并获取用户文件证书的认证信息以及信息安全设备的设备 标识；网络通信单元，用于通过网络，将用户文件证书的认证信息和信息安全 设备的设备标识发送给与网络服务系统，并从网络服务系统接收认证结果；设 备访问单元，用于初始化信息安全设备，并进行与信息安全设备之间的双端认 证；信息生成模块，用于生成数据加密密钥和访问用户文件证书的访问标识， 将用户文件证书存储在预定的存储空间，以及将用户文件证书的访问标识发送 给客户端；信息存储模块，用于存储数据加密密钥和信息安全设备的设备标识； 以及，安全访问模块，用于与设备访问单元通信，进行信息安全设备与客户端 之间的双端iU正。
根据本发明第二方面，提供一种用户终端登录网络服务系统的方法，其中， 所述用户终端包括信息安全设备和网络服务系统的客户端，信息安全设备中存 储有设备标识，并将用户文件证书存储在预定的存储空间，客户端将用于访问 用户文件证书的访问标识存储在用户终端中。该方法包括以下步骤
a.客户端利用访问标识访问预定的存储空间，获取用户文件证书，并将 用户文件证书的认证信息发送到网络安全系统；b. 网络服务系统对认证信息进行认证，返回认证结果；
c. 客户端在b)中返回的认证结果为通过认证时，从信息安全设备获取信 息安全设备的设备标识，并将设备标识发送到网络安全系统，在b)中返回的 认证结果为认证失败时，结束登录操作；
d. 网络安全系统对设备标识进4亍认证，返回认证结果，如果认证结果为 通过认证，则进行网络服务，否则结束登录操作。
根据本发明第三方面，提供一种在用户终端上绑定USB Key的方法，该 用户终端具有客户端和信息安全设备，该客户端为网络服务客户端，信息安全 设备中存储有信息安全设备的设备标识，USB Key中存储有用户文件证书和 USBKey的设备标识。该方法包括步骤
A. 客户端从USB Key获得USB Key的设备标识，并从信息安全设备获 得信息安全设备的设备标识，将USB Key的设备标识和信息安全设备的设备 标识通过网络发送到网络服务系统；
B. 网络服务系统对USBKey和信息安全设备进行认证，向客户端返回认 证结果；
C. 在USB Key和信息安全设备认证通过后，客户端分别向USB Key和 信息安全设备发送命令，要求USB Key和信息安全设备生成各自的消息加密 密钥和签名密钥；
D. 客户端获取USBKey和信息安全设备各自生成的消息加密密钥和签名 密钥，制作USB Key的设备绑定消息和信息安全设备的设备绑定消息，将USB Key的设备绑定消息保存在信息安全设备中，并将信息安全设备的设备绑定消 息保存在USB Key中。
根据本发明第四方面，提供一种验证用户终端上信息安全设备和USB Key 之间的绑定关系的方法，该客户端为网络服务客户端，信息安全设备中存储有 USB Key的设备绑定消息，USB Key中存储有信息安全设备的设备绑定消息， 该方法包括步骤
步骤A，， 客户端分别访问信息安全设备和USBKey,分别与安全访问模 块和USB Key进行双端认证，确定信息安全设备和USB Key的有效性；
步骤B，，在信息安全设备和USBKey均有效时，客户端向信息安全设备和USB Key分别发送随机消息，要求信息安全设备或USB Key制作绑定认证 消息；
步骤C，，信息安全设备/USB Key根据USB Key/信息安全设备的设备绑定 消息中的消息加密密钥和签名密钥制作绑定认证消息，并将绑定认证消息返回 客户端；
步骤D，，客户端将绑定认证消息发送给USBKey/信息安全设备，由USB key/信息安全设备根据其保存的消息加密密钥和签名密钥认证绑定认证消息 的有效性，并向客户端300返回认证结果。
根据本发明第五方面，提供一种在用户终端上解除USB Key绑定的方法， 该用户终端具有客户端和信息安全设备，该客户端为网络服务客户端，信息安 全设备中存储有USB Key的设备绑定消息，USB Key中存储有信息安全设备 的设备绑定消息，该方法包括步骤
步骤A"，客户端分别访问信息安全设备和USBKey，分别与安全访问模 块和进行双端认-i正，确定信息安全设和USB Key的有效性；
步骤B"，客户端向信息安全设备/USBKey发送消息，要求信息安全设备 /USB Key制作绑定解除消息；
步骤C",信息安全设备/USB Key根据USB Key/信息安全设备的设备绑 定消息中的消息加密密钥和签名密钥制作绑定解除消息，并将绑定解除消息返 回客户端；
步骤D"，客户端将绑定解除消息发送给USBKey/信息安全设备，由USB key/信息安全设备根据其保存的消息加密密钥和签名密钥验证绑定解除消息 的有效性，向客户端验证结果，在验证通过时，则客户端解除信息安全设备与 USB Key之间的绑定关系。
根据本发明第六方面，提供一种用户终端，其利用USB Key登录网络服 务系统，该用户终端具有客户端和信息安全设备，客户端包括信息获取单元、 设备访问单元和网络通信单元，信息安全设备包括信息生成模块、信息存储模 块、以及安全访问模块。其中，信息获取单元，用于从USB Key获取用户文 件证书的认证信息和USB Key的设备标识，以及从信息安全设备获取信息安 全设备的设备标识，并且，获取USB Key和信息安全设备各自生成的消息加密密钥和签名密钥，制作USB Key的设备绑定消息和信息安全设备的设备绑 定消息，将USB Key的设备绑定消息存储在信息存储模块中，并将信息安全 设备的设备绑定消息存储在USB Key中；网络通信单元，用于通过网络，将 用户文件证书的认i正信息、以及USB Key和信息安全设备的设备标识发送给 与网络服务系统，并从网络服务系统接收认证结果；设备访问单元，用于初始 化信息安全设备，并进行与信息安全设备之间的双端认证，以及向信息安全设 备以及USB Key发出命令，要求USB Key和信息安全设备生成各自的消息加 密密钥和签名密钥；信息生成才莫块，用于生成消息加密密钥和签名密钥；信息 存储模块，用于存储信息安全设备的设备标识以及USB Key的设备绑定消息； 以及，安全访问模块，用于与设备访问单元通信，进行与客户端之间的双端认 证。
根据本发明第七方面，提供一种用户终端登录网络服务系统的方法，其利 用USB Key登录网络服务系统，该用户终端包括网路服务客户端和信息安全 设备，信息安全设备中存储有USBKey的设备绑定消息，USB Key中存储有 信息安全设备的设备绑定消息。其中，在利用USB Key登录网络服务系统之 前，客户端向信息安全设备或USBKey发送随机消息，信息安全设备或USB Key根据其中存储的设备绑定消息制作绑定认证消息；客户端从信息安全设备 或USB Key获取绑定认证消息和用户终端进行绑定，将绑定认证消息发送到 USB Key或信息安全设备USB Key或信息安全设备根据其中存储的绑定消 息认证绑定认证消息的有效性。
在本发明中，通过在用户终端上设置客户端以及信息安全设备，可以代替 USBKey安全登录网络服务系统，降低成本。另外，通过将USBKey与用户 终端上的信息安全设备进行绑定，在利用USB Key登录网络服务系统之前进 行USBKey的验证，可以保证在用户客户端或USB Key设备遗失时，不会造 成关键数据丢失，进一步确保USB Key登录网络服务系统的安全性。


图1为依据本发明第一实施例的用户终端的示意图； 图2为依据本发明第一实施例的用户终端安全登录网上银行系统的方法 的流程图；图3为依据本发明第二实施例的用户终端的示意图； 图4为在用户终端上绑定USB Key的方法的流程图； 图5为验证用户终端上信息安全设备和USB Key之间的绑定关系的方法 的流程；
图6为在用户终端上解除USB Key绑定的方法的流程图。
具体实施例方式
以下结合附图和具体实施例详细描述本发明。 第一实施例
在本发明第一实施例中，在例如台式电脑、笔记本电脑、移动电话等具有 信息处理能力的用户终端上增加进行网络服务(例如，网上银行服务等)的客 户端、以及用于管理用户关键数据且与客户端通信的信息安全设备，通过客户 端与信息安全设备之间的通信以及客户端与网络服务系统之间的通信，以增强 用户终端登录网络服务系统的安全性。为了便于说明和理解本发明，以下仅以 网上银行服务为例进行说明，但是，对于本领域普通技术人员而言，可以理解 的是，本发明并不仅限于网上银行服务。
图1为本发明第一实施例的用户终端的示意图。如图l所示，本发明的用 户终端上安装有客户端100和信息安全设备200。其中，该客户端100例如为 网上银行客户端，其预先设置在用户终端上，用于与网上银行系统、以及信息 安全设备200进行通信，引导用户完成网上银行的相关服务。该客户端100 包括信息获取单元101、设备访问单元102和网络通信单元103。
信息获if又单元101，用于通过搜索用户终端的设备信息列表，确定用户终 端中是否存在信息安全设备200。进一步，在利用信息安全设备200将用户文 件证书存储在预定的存储空间(例如信息安全设备200、或移动存储设备等存 储介质)中并且客户端100将信息安全设备200返回的访问标识存储在用户终 端的本地存储空间时，信息获取单元101检索用户终端的本地存储空间，获取 用于访问用户文件证书的访问标识。
网络通信单元103用于通过网络与网上银行系统的服务器通信，将认证数 据发送给服务器，并从服务器接收认证结果。其中，认证数据包括用户文件证 书的认证信息、信息安全设备200的设备标识等。设备访问单元102用于初始化信息安全设备200,并在初始化信息安全设 备后，进行与信息安全设备200之间的双端认证。
信息安全设备200用于生成和管理用户关键数据，并与客户端100进行通 信， 一方面接收来自客户端100的命令和数据，另一方面，将用户关键数据发 送给客户端100。用户关键数据包括但不限于数据加密密钥、设备标识、访问 密钥、用户文件证书及其加密密钥等。信息安全设备200可以是TPM/TCM安 全芯片、授信的BIOS访问区或授信的硬盘访问区。该信息安全设备200包括 信息生成模块201、信息存储模块202、以及安全访问模块203。
其中，信息生成模块201用于生成数据加密密钥，包括用于加密数据的对 称密钥、以及用于签名和加密的非对称密钥，并生成用于访问用户文件证书的 访问标识。例如，信息生成模块201生成用于加密和解密用户文件证书的公私 钥对以及访问用户文件证书的访问标识，利用公私钥对对用户文件证书加密后 存储在预定的存储空间(例如信息存储模块202,或者其他存储空间)，并将 公私钥对存储在信息存储模块202中，以及将用户文件证书的访问标识发送给 客户端IOO。进一步，信息生成模块201还可以生成信息安全设备200的唯一 性标识，即信息安全设备200的设备标识，该设备标识可以是UUID形式，也 可以是一个随机数的形式。当然，如果在信息安全设备200出厂时预先设定了 设备标识，则可以不需要信息生成模块201生成设备标识。该设备标识也可以 存储在信息存储模块202中。
信息存储模块202用于存储信息生成模块201生成的数据加密密钥。以及， 如果必要，信息存储模块202可以作为存储用户文件证书和设备标识的预定的 存储空间。
安全访问模块203用于在客户端100访问信息安全设备200时，进行与客 户端100之间的双端iU正。
图2为本发明用户终端安全登录网上银行系统的方法的流程图。如图2 所示，该方法包括以下步骤
步骤S201,客户端IOO登录网上银行系统，网上银行系统根据业务需要， 提示用户输入用户证件号码或预设的密码提示问题，在用户正确确认之后，完 成用户身份验证工作。在客户端IOO登录验证后，信息获取单元101检索用户终端中是否包含信息安全设备200,如果检索到信息安全设备200，则流程进 行到步骤S202，如果没有检索到信息安全设备200，则认为信息安全设备200 异常，从而结束认证流程。
步骤S202,设备访问单元102通过标准接口 ，例如ISO 7816-4或微软的 CryptoAPI相关函数初始化信息安全设备200，并在初始化信息安全设备200 后，访问信息安全设备200，与信息安全设备200的安全访问模块203进行双 端认证。如果认证通过，则流程进行到步骤S203,如果认证不通过，则结束 认证流程。
步骤S203,信息获取单元101检索用户终端获取访问标识，利用访问标 识访问预定的存储空间，从预定的存储空间获取用户文件证书中的认证信息。
在步骤S203中，如果用户文件证书是加密后存储在预定的存储空间中， 则，信息获取单元101在获取访问标识同时，获得用于加解密用户文件证书的 公私钥对，利用访问标识和公私钥对访问预定的存储空间，在对加密的用户文 件证书解密后获得用户文件证书的认证信息。
步骤S204，网络通信单元103通过网络将用户文件证书中的认证信息发 送到网上银行系统的服务器。
步骤S205，服务器对认证信息进行认证，以确定用户是否有效，如果用 户有效，服务器向用户终端返回表示认证通过的消息，否则，服务器向用户终 端返回表示认证失败的消息。
步骤S206，在接收到认证通过的消息后，信息获取单元101访问信息安 全设备200的信息存储模块202,从信息存储模块202中获得设备标识。
步骤S207,客户端100的网络通信单元103通过网络将设备标识发送到 网上银行系统的服务器，由服务器对设备标识进行认证，以确定信息安全设备 200是否有效，如果有效，服务器向用户终端返回表示认证通过的消息，否则， 服务器向用户终端返回表示认证失败的消息。其中，在认证时，如果网上银行 系统的数据库中预先存储了设备标识，则服务器将接收的设备标识与数据库中 的标识进行比较，如果二者一致，则认证通过，否则认证失败；在认证时，月良 务器也可以依照双方协定的算法来解密设备标识，根据解密后的设备标识确定 认证通过或认证失败。步骤S208，用户终端安全登录网上银行系统的流程结束，如果认证通过， 则可以安全登录，从而进行后续的操作，如果认证失败，则不能进行后续的操 作。
在本实施例中，使用用户终端上的信息安全设备取代USB Key，增加用 户的易用性，降低银行采购USB Key的服务成本；以及，在用户终端包含信 息安全设备时，网上银行系统的文件证书用户可以利用信息安全设备将数据加 密后方便的迁移到预定的存储空间(例如信息安全设备的信息存储模块)上， 增强用户终端的安全性。
第二实施例
在第二实施例中，在现有客户端和USB Key交互的基础上，通过在用户 终端上增加信息安全设备且将信息安全设备与USB Key相互绑定，在用户通 过USB Key登录网上银行服务前，利用信息安全设备对USB Key进行验证， 可以进一步保证用户登录的安全性，并且，在USB Key遗失的情况下，得到 USB Key的他人也由于不能得到信息安全设备的验证而不能登录网上银行系 统，利用USB Key进行网上银行业务。
图3为依据本发明第二实施例的用户终端的示意图。该用户终端中包括客 户端300和信息安全设备400，其中，客户端300可以通过USB端口与USB Key 通信。USB Key中存储有USB Key的设备标识以及用户文件证书。
其中，该客户端300例如为网上银行客户端，其预先设置在用户终端上， 用于与网上银行系统、USB Key以及信息安全设备400进行通信，引导用户 完成网上银行的相关服务。该客户端300包括信息获取单元301、设备访问单 元302和网络通信单元303。
信息获取单元301，用于通过搜索用户终端的设备信息列表，确定用户终 端中是否存在信息安全设备400和USB Key,在用户终端中存在信息安全设 备400和USB Key的情况下，获取信息安全设备400和USB Key的设备标识。
另外，信息获取单元301获取USB Key和信息安全设备400各自生成的 消息加密密钥和签名密钥，制作USBKey的设备绑定消息和信息安全设备400 的设备绑定消息，将USB Key的设备绑定信息存储在信息安全设备400中， 并将信息安全设备的设备绑定信息存储在USB Key中。并且，在对USB Key进行验证时，从USB Key或信息安全设备400中获取绑定认证消息，将绑定 认证消息发送到信息安全设备400或USB Key中进行绑定认证消息有效性的
认证o
进一步，在用户文件证书存储在USB Key中并且客户端300将用于访问
301检索用户终端的本地存储空间，获取用于访问用户文件证书的访问标识。
网络通信单元303用于通过网络与网上银行系统的服务器通信，将认证数 据发送给服务器，并从服务器接收认证结果。其中，认证数据包括用户文件证 书的认证信息、以及USB Key和信息安全设备400的设备标识等。关于用户 文件证书的认证信息的认证以及USBKey的认证方法，由于与现有采用USB Key登录网上银行系统的认证方法相同，因此，在此不再赘述。 设备访问单元302与信息安全设备400通信，进行双端认证。 信息安全设备400用于管理用户关键数据，并与客户端300进行通信，一 方面接收来自客户端300的命令和数据，另 一方面，将用户关键数据发送给客 户端300。信息安全设备400可以是TPM或TCM安全芯片、授信的BIOS访 问区或授信的硬盘访问区。该信息安全设备400包括信息生成模块401、信息 存储模块402 、以及安全访问模块403 。
其中，信息生成模块401用于生成数据加密密钥，包括消息加密密钥和签 名密钥。进一步，信息生成模块401还可以生成信息安全设备400的唯一性标 识，即信息安全设备400的设备标识，该设备标识可以是UIJID形式，也可以 是一个随机数的形式。当然，如果在信息安全设备400出厂时预先设定了设备 标识，则可以不需要信息生成模块401生成设备标识。另外，在对信息安全设 备400与USB Key的绑定关系进行验证时，信息生成模块401还根据信息存 储模块402中存储的USB设备绑定消息中的消息加密密钥和签名密钥制作绑 定认i正消息。
信息存储模块402用于存储信息生成模块401生成的数据加密密钥和设备 标识，以及USBKey的设备绑定信息。
安全访问模块403与客户端300通信，进行信息安全设备400和客户端之 间的双端iU正。图4为在用户终端上绑定USB Key的方法的流程图。
步骤S401,客户端300登录网上银行系统，网上银行系统根据业务需要， 提示用户输入用户证件号码或预设的密码提示问题，在用户正确确认之后，完 成用户身份验证工作。在客户端300登录验证后，信息获取单元301从USB Key 获得USB Key的设备标识，并从信息安全设备400获得信息安全设备400的 设备标识。
在步骤S401中，由于客户端300从USB Key中获取USB Key的设备标 识的方法与现有技术相同，在此不赘述。在客户端300从信息安全设备400 中获取信息安全设备400的设备标识的过程中，包括以下步骤
步骤A，在客户端300登录验证后，信息获取单元301检索用户终端中是 否包含信息安全设备400,如果检索到信息安全设备400,则进行步骤B的操 作，如果没有检索到信息安全设备400,则认为信息安全设备200异常，从而 结束i人^正流程；
步骤B,设备访问单元302通过标准接口，例如ISO 7816-4或微软的 CryptoAPI相关函数初始化信息安全设备400。
步骤C，设备访问单元302访问信息安全设备400，信息安全设备400的 安全访问模块403与设备访问单元302之间进行双端认证。如果认证通过，贝'J 进行步骤D的操作，如果认证不通过，则结束认证流程。
步骤D，信息获取单元301访问信息安全设备400的信息存储模块402， 从信息存储模块402中获得设备标识。
步骤S402,网络通信单元303将USB Key的设备标识和信息安全设备400 的设备标识通过网络发送到网上银行系统的服务器。
步骤S403,网上银行系统的服务器根据设备标识对USB Key和信息安全 设备400进行认证，在认证通过的情况下，向客户端300返回表示认证通过的 认证结果，否则，返回表示认证失败的认证结果。
在步骤S403中，网上银行系统的服务器对USBKey的认证可以采用现有 的方式进行，网上银行系统对信息安全设备400的认证同本发明第一实施例中 网上银行系统对信息安全i殳备200的认证方式相同。
步骤S404，在USB Key和信息安全设备400的认证通过后，客户端300的设备访问单元302分别向USB Key和信息安全设备400发送命令，要求USB Key和信息安全设备400生成各自的消息加密密钥和签名密钥。
步骤S405,信息安全设备400的信息生成模块401根据设备访问单元302 发出的命令，生成消息加密密钥和签名密钥，同时，USB Key根据设备访问 单元302发出的命令，生成消息加密密钥和签名密钥。消息加密密钥可以是非 对称密钥的公钥，也可以使一个对称密钥，签名密钥可以是非对称密钥的公钥， 也可以是对称密钥。在使用非对称密钥时，消息解密密钥和签名认证密钥，作 为非对称密钥的私钥而保存在USB Key和信息安全设备400内部(对于信息 安全设备400而言，保存在信息存储模块402中)。
步骤S406,信息获取单元301获取USB Key和信息安全设备400各自生 成的消息加密密钥和签名密钥，制作USB Key的设备绑定消息和信息安全设 备400的设备绑定消息。
USB Key的设备绑定消息至少包含USB Key的设备标识，USB Key生成 的消息加密密钥和签名密钥。信息安全设备400的i殳备绑定消息至少包含信息 安全设备400的设备标识、信息安全单元生成的消息加密密钥和签名密钥。另 外，设备绑定消息还可以包含消息加密算法、消息签名算法、消息签名加密算 法、绑定有效期、时间戳、银行服务标识、服务版本标识等。消息加密算法可 以为摘要加密算法、对称加密算法和非对称加密算法等，其中，摘要加密算法 包括安全散列算法SHA-1、哈希信息验证码HMAC、信息摘要算法MD4和 MD5等，对称加密算法包括数据加密算法DES、 3DES、 RC4算法、RC5算法 和高级加密标准AES等，非对称加密算法包括椭圆曲线密码算法(ECC)和 RSA加密算法等。
步骤S407，信息获取单元301将USB Key的设备绑定消息保存在信息安 全设备400的信息存储模块402中，并将信息安全设备400的设备绑定消息保 存在USB Key中，从而实现USB Key和信息安全设备400的绑定。
在需要的情况下，客户端300、 USBKey以及信息安全设备400可以重复 上述步骤S404至407的操作，在USB Key和信息安全设备400中保存多组对 应的设备绑定消息。
在绑定USBKey和信息安全设备的基础上，在用户使用USBKey登录网上银行系统之前，需要客户端验证信息安全设备和USB Key的有效性，并在 二者有效的情况下进一步验证信息安全设备和USB Key之间的绑定关系的有 效性，如图5所示，该过程具体包括以下步骤
步骤S501，客户端300的设备访问单元302分别访问信息安全设备400 的安全访问才莫块403以及USB Key,分别与安全访问;溪块403和USB Key进 行双端认证，确定信息安全设备400和USB Key的有效性，只要信息安全设 备400和USB Key中有一个设备不能通过双端认证，则结束信息安全设备和 USB Key之间的绑定关系的有效性的验证流程，如果二者均通过双端认证， 则继续步骤S502。
步骤S502,客户端300的信息获取单元301向信息安全设备400和USB Key分别发送一个随机消息，要求信息安全设备400制作绑定认证消息，该随 机消息可以包含一个随机数和预先设定的内容。
步骤S503,信息安全设备400中的信息生成模块401根据信息存储模块 402中存储的USB设备绑定消息中的消息加密密钥和签名密钥制作绑定认证 消息，并将绑定认证消息返回客户端300的信息获耳又单元301 。绑定认证消息 包含信息安全设备或USB Key的设备标识，消息标识，时间戳，收到的随机 消息和消息签名构成，使用保存的设备绑定消息中的消息加密密钥和签名密钥 进行加密。
步骤S504，信息获取单元301将绑定认证消息发送给USBKey，由USB key根据内部保存的消息加密密钥和签名密钥认证绑定认证消息的有效性，并 向客户端300返回认证结果。如果认证通过，USB Key向客户端300返回认 证通过的信息，从而实现USB Key和信息安全设备之间的认证。如果认证不 通过，USB Key则返回认证失败的消息。
步骤S505，结束信息安全设备400与USB Key的绑定关系的有效性的验 证。在认证通过的情况下，用户可以利用USBKey进行后续的操作。
当然，对于USBKey和信息安全设备400之间绑定关系的有效性的验证， 也可以是，在确认USB Key和信息安全设备400均有效后，客户端300的信 息获取单元301向信息安全设备400和USB Key分别发送一个随机消息，此 随机消息可以包含一个随机数和预先设定的内容，USB Key根据信息安全设
20备的设备绑定消息中的消息加密密钥和签名密钥制作绑定认证消息，并将绑定
认证消息返回客户端300的信息获取单元301。信息获耳又单元301将绑定认证 消息发送给信息安全设备400,由安全访问模块403 4艮据信息存储模块中保存 的消息加密密钥和签名密钥认证绑定认证消息的有效性。在认证通过后，才允 许用户利用USB Key进行后续的网上银行操作。
另外，用户也可以才艮据需要在绑定了 USB Key的用户终端上解除信息安 全设备与USBKey之间的绑定关系，如图6所示，该过程包括以下步骤
步骤S601，客户端300的设备访问单元302分别访问信息安全设备400 的安全访问模块403以及USB Key,分别与安全访问模块403和USB Key进 行双端认证，确定信息安全设备400和USB Key的有效性，只要信息安全设 备400和USB Key中有一个设备不能通过双端认证，则结束信息安全设备和 USB Key之间的绑定关系的有效性的验证流程，如果二者均通过双端认证， 则继续步骤S602。
步骤S602,客户端300的信息获取单元301向信息安全设备400发送消 息，要求信息安全设备400制作绑定解除消息。
步骤S603，信息安全设备400中的信息生成模块401根据信息存储模块 402中存储的USB设备绑定消息中的消息加密密钥和签名密钥制作绑定解除 消息，并将绑定解除消息返回客户端300的信息获取单元301。绑定解除消息 包含消息标识，时间戳，信息安全设备或USBKey的设备标识和消息签名等。
步骤S604，信息获取单元301将绑定解除消息发送给USB Key,由USB key才艮据内部保存的消息加密密钥和签名密钥-险证绑定解除消息的有效性，并 向客户端300返回认证结果。如果认证通过，USB Key向客户端300返回认 证通过的信息，从而实现USB Key和信息安全设备之间的认证。如果认证不 通过，USBKey则返回认证失败的消息。
步骤S605，结束信息安全设备400与USB Key的绑定关系的解除流程。
当然，对于USB Key和信息安全设备400之间绑定关系的解除，也可以 是，在确认USB Key和信息安全设备400均有效后，客户端300的信息获取 单元301向USBKey发送消息，要求USB Key制作绑定解除消息，USBKey 根据信息安全设备的设备绑定消息中的消息加密密钥和签名密钥制作绑定解除消息，并将绑定解除消息返回客户端300的信息获取单元301。信息获取单 元301将绑定解除消息发送给信息安全设备400，由安全访问模块403根据信 息存储模块中保存的消息加密密钥和签名密钥认证绑定取消消息的有效性，并 向客户端300返回认证结杲。如果认证通过，信息安全设备400向客户端300 返回认证通过的信息，由客户端300解除USB Key和信息安全设备之间的绑 定关系的解除。如果认证不通过，信息安全设备400则返回认证失败的消息。 这样，在用户遗失USBKey后，如果拾遗者利用USB Key在拾遗者的用户终 端上进行网上银行服务时，由于USB Key和该用户终端上的信息安全设备400 (如果拾遗者的用户终端上具有信息安全设备400)的绑定关系不一致，将促 使网上客户端300启动用户重新开通流程。因此，通过USB Key和信息安全 设备400的绑定，可以进一步保证USB Key在使用上的安全性，减少用户因 遗失USB Key造成的安全性问题。
以上给出了两种利用信息安全设备增强网上银行服务的安全性的实施例， 也通过其他方式利用信息安全设备实现上述安全性的增强。例如，在信息安全 设备出厂时将信息安全设备的设备标识记入银行后台数据库，用户首次开通网 上银行服务时，由客户端将用户信息提交银行后台数据库，认证用户身份。在 用户认证通过后，信息安全设备生成动态公私密钥，由客户端将公钥通过SSL 链路传输到银行后台数据库保存。在网上银行登录时将绑定此用户终端的信息 安全设备。
以上实施例仅用以说明本发明的技术方案而非限制，本领域的普通技术人 员应当理解，那些对本发明的技术方案进行修改或者等同替换所获得的技术方 案，在不脱离本发明技术方案的精神范围的情况下，均应涵盖在本发明的权利 要求范围当中。
权利要求
1. 一种用户终端，用于与网络服务系统通信，进行网络服务，该用户终 端具有客户端和信息安全设备，客户端包括信息获取单元、设备访问单元和网 络通信单元，信息安全设备包括信息生成模块、信息存储冲莫块、以及安全访问模块，其中，信息获取单元，用于确定用户终端中是否存在信息安全设备，并获取用户文件证书的认证信息以及信息安全设备的设备标识；网络通信单元，用于通过网络，将用户文件证书的认证信息和信息安全设 备的设备标识发送给与网络服务系统，并从网络服务系统接收认证结果；设备访问单元，用于初始化信息安全设备，并进行与信息安全设备之间的 双端认证j信息生成模块，用于生成数据加密密钥和访问用户文件证书的访问标识， 将用户文件证书存储在预定的存储空间，以及将用户文件证书的访问标识发送给客户端；信息存储模块，用于存储数据加密密钥和信息安全设备的设备标识；安全访问模块，用于与设备访问单元通信，进行信息安全设备与客户端之间的双端i人i正。
2. 如权利要求1所述的用户终端，其特征在于，信息安全设备的设备标 识由信息生成模块生成或预先设定。
3. 如权利要求1或2所述的用户终端，其特征在于，信息存储模块进一 步存储客户端的访问密钥，客户端在访问安全设备之前从信息存储模块中获取 访问密钥，使用访问密钥访问信息安全设备。
4. 如权利要求1所述的用户终端，其特征在于，预定的存储空间为信息 存储模块。
5. 如权利要求1所述的用户终端，其特征在于，信息安全设备为 TPM/TCM安全芯片、授信的BIOS访问区或授信的硬盘访问区。
6. —种用户终端登录网络服务系统的方法，其特征在于，所述用户终端 包括信息安全设备和网络服务系统的客户端，信息安全设备中存储有设备标识，并将用户文件证书存储在预定的存储空间，客户端将用于访问用户文件证书的访问标识存储在用户终端中，该方法包括以下步骤a. 客户端利用访问标识访问预定的存储空间，获iF又用户文件证书，并将 用户文件证书的认证信息发送到网络安全系统；b. 网络服务系统对认证信息进行认证，返回认证结果；c. 客户端在b)中返回的认证结果为通过认证时，从信息安全设备获取信 息安全设备的设备标识，并将设备标识发送到网.络安全系统，在b)中返回的 认证结果为认证失败时，结束登录操作；d. 网络安全系统对设备标识进行认证，返回认证结果，如果认证结果为 通过认证，则进行网络服务，否则结束登录操作。
7. 如权利要求6所述的方法，其特征在于，信息安全设备为TPM/TCM 安全芯片、授信的BIOS访问区或授信的硬盘访问区。
8. —种在用户终端上绑定USBKey的方法，该用户终端具有客户端和信 息安全设备，该客户端为网络服务客户端，信息安全设备中存储有信息安全设 备的设备标识，USB Key中存4渚有用户文件i正书和USB Key的设备标识，该 方法包括步骤A. 客户端从USB Key获得USB Key的设备标识，并从信息安全设备获 得信息安全设备的设备标识，将USB Key的设备标识和信息安全设备的设备 标识通过网络发送到网络服务系统；B. 网络服务系统对USBKey和信息安全设备进行认证，向客户端返回认 证结果；C. 在USB Key和信息安全设备认证通过后，客户端分别向USB Key和 信息安全设备发送命令，要求USB Key和信息安全设备生成各自的消息加密 密钥和签名密钥；D. 客户端获取USB Key和信息安全设备各自生成的消息加密密钥和签名 密钥，制作USB Key的设备绑定消息和信息安全设备的设备绑定消息，将USB Key的设备绑定消息保存在信息安全设备中，并将信息安全设备的设备绑定消 息保存在USB Key中。
9. 如权利要求8所述的方法，其特征在于，在步骤A中，客户端从信息安全设备获取信息安全设备的设备标识的步骤包括客户端通过检索确定用户终端中包含信息安全设备，通过标准接口初始化 信息安全设备；客户端与信息安全设备之间进4亍双端认证；在认证通过的情况下，客户端访问信息安全设备，获得信息安全设备的设 备标识。
10. 如权利要求8所述的方法，其特征在于，信息安全设备为TPM/TCM 安全芯片、授信的BIOS访问区或授信的硬盘访问区。
11. 如权利要求8所述的方法，其特征在于，信息安全设备的设备绑定消 息至少包含信息安全设备的设备标识、信息安全单元生成的消息加密密钥和签 名密钥，USB Key的设备绑定信息至少包括USB Key的设备标识、USB Key 生成的消息加密密钥和签名密钥。
12. —种验证用户终端上信息安全设备和USB Key之间的绑定关系的方 法，该客户端为网络服务客户端，信息安全设备中存储有USB Key的设备绑 定消息，USBKey中存储有信息安全设备的设备绑定消息，该方法包括步骤步骤A，，客户端分别访问信息安全设备和USBKey，分别与安全访问模 块和USB Key进行双端认证，确定信息安全设备和USB Key的有效性；步骤B，，在信息安全设备和USBKey均有效时，客户端向信息安全设备 和USB Key分别发送随机消息，要求信息安全设备或USB Key制作绑定认证 消息；步骤C，，信息安全设备/USB Key根据USB Key/信息安全设备的设备绑定 消息中的消息加密密钥和签名密钥制作绑定认证消息，并将绑定认证消息返回 客户端；步骤D，，客户端将绑定认证消息发送给USBKey/信息安全设备，由USB key/信息安全设备根据其保存的消息加密密钥和签名密钥认证绑定认证消息 的有效性，并向客户端返回认证结果。
13. 如权利要求12所述的方法，其特征在于，信息安全设备为TPM/TCM 安全芯片、授信的BIOS访问区或授信的硬盘访问区。
14. 如权利要求12所述的方法，其特征在于，绑定认证消息包含信息安全设备或USB Key的设备标识，时间戳，收到的随机消息和消息签名构成， 使用保存的设备绑定消息中的消息加密密钥和签名密钥进行加密。
15. —种在用户终端上解除USB Key绑定的方法，该用户终端具有客户 端和信息安全设备，该客户端为网络服务客户端，信息安全设备中存储有USB Key的设备绑定消息，USBKey中存储有信息安全设备的设备绑定消息，该方 法包括步骤步骤A"，客户端分别访问信息安全设备和USBKey,分别与安全访问模 块和进行双端认-〖正，确定信息安全设备和USB Key的有效性；步骤B",客户端向信息安全设备/USBKey发送消息，要求信息安全设备 /USB Key制作绑定解除消息；步骤C"，信息安全设备/USB Key根据USB Key/信息安全设备的设备绑 定消息中的消息加密密钥和签名密钥制作绑定解除消息，并将绑定解除消息返 回客户端；步骤D"，客户端将绑定解除消息发送给USBKey/信息安全设备，由USB key/信息安全设备根据其保存的消息加密密钥和签名密钥验证绑定解除消息 的有效性，向客户端验证结果，在验证通过时，则客户端解除信息安全设备与 USB Key之间的绑定关系。
16. 如权利要求15所述的方法，其特征在于，绑定认证消息包含信息安 全设备或USB Key的设备标识，时间戳，收到的随机消息和消息签名构成， 使用保存的设备绑定消息中的消息加密密钥和签名密钥进行加密。
17. 如权利要求15所述的方法，其特征在于，绑定解除消息包含消息标 识，时间戳，信息安全设备或USB Key的设备标识和消息签名。
18. —种用户终端，其利用USB Key登录网络服务系统，该用户终端具 有客户端和信息安全设备，客户端包括信息获取单元、设备访问单元和网络通 信单元，信息安全设备包括信息生成模块、信息存储模块、以及安全访问模块， 其中，信息获取单元，用于从USB Key获取用户文件证书的认证信息和USB Key 的设备标识，以及从信息安全设备获取信息安全设备的设备标识，并且，获取 USB Key和信息安全设备各自生成的消息加密密钥和签名密钥，制作USB Key的设备绑定消息和信息安全设备的设备绑定消息，将USB Key的设备绑定消 息存储在信息存储模块中，并将信息安全设备的设备绑定消息存储在USB Key 中；网络通信单元，用于通过网络，将用户文件证书的认证信息、以及USB Key 和信息安全设备的设备标识发送给与网络服务系统，并从网络服务系统接收认 证结果；设备访问单元，用于初始化信息安全设备，并进行与信息安全设备之间的 双端认证，以及向信息安全设备以及USB Key发出命令，要求USB Key和信 息安全设备生成各自的消息加密密钥和签名密钥；信息生成模块，用于生成消息加密密钥和签名密钥；信息存储模块，用于存储信息安全设备的设备标识以及USB Key的设备 绑定消息；安全访问模块，用于与设备访问单元通信，进行与客户端之间的双端认证。
19. 如权利要求18所述的用户终端，其特征在于，信息生成模块进一步 根据信息存储模块中存储的USB Key的设备绑定消息生成绑定认证消息，信 息获取单元从信息安全设备中获取绑定认证消息，将绑定认证消息发送到USB Key中进行绑定认证消息有效性的认证。
20. 如权利要求19所述的用户终端，其特征在于，绑定认证消息包含信 息安全设备或USB Key的设备标识，时间戳，收到的随机消息和消息签名构成，使用保存的设备绑定消息中的消息加密密钥和签名密钥进行加密。
21. 如权利要求18、 19或20所述的用户终端，其特征在于，信息生成模 块进一步根据信息存储模块中存储的USB Key的设备绑定消息生成绑定解除 消息，信息获取单元从信息安全设备中获取绑定解除消息，将绑定解除消息发 送到USB Key中进行绑定解除消息有效性的认证。
22. 如权利要求21所述的用户终端，其特征在于，绑定解除消息包含消 息标识，时间戳，信息安全设备或USB Key的设备标识和消息签名。
23. —种用户终端登录网络服务系统的方法，其利用USB Key登录网络 服务系统，该用户终端包括网路服务客户端和信息安全设备，信息安全设备中 存储有USB Key的设备绑定消息，USB Key中存储有信息安全设备的设备绑定消息，其特征在于，在利用USBKey登录网络服务系统之前，客户端向信息安全设备或USB Key发送随机消息，信息安全设备或USB Key根据其中存储的设备绑定消息 制作绑定认证消息；客户端从信息安全设备或USB Key获取绑定认证消息和用户终端进行绑 定，将绑定认证消息发送到USB Key或信息安全设备USB Key或信息安全设备根据其中存储的设备绑定消息认证绑定认证消 息的有效性。
24. 如权利要求23所述的方法，其特征在于，信息安全设备为TPM/TCM 安全芯片、授信的BIOS访问区或授信的硬盘访问区。
25. 如权利要求23或24所述的方法，其特征在于，绑定认证消息包含信 息安全设备或USB Key的设备标识，消息标识，时间戳，收到的随机消息和 消息签名构成，使用保存的设备绑定消息中的消息加密密钥和签名密钥进行加 密。
全文摘要
本发明提供一种用户终端及其登录网络服务系统的方法，以及在用户终端上绑定USB Key的方法。其中，用户终端具有客户端和信息安全设备，客户端包括信息获取单元、设备访问单元和网络通信单元，信息安全设备包括信息生成模块、信息存储模块、以及安全访问模块。在本发明中，通过在用户终端上设置客户端以及信息安全设备，可以代替USB Key安全登录网络服务系统，降低成本。另外，通过将USB Key与用户终端上的信息安全设备进行绑定，在利用USB Key登录网络服务系统之前进行USB Key的验证，可以进一步确保USB Key登录网络服务系统的安全性。
文档编号H04L29/06GK101312453SQ20071009946
公开日2008年11月26日 申请日期2007年5月21日 优先权日2007年5月21日
发明者于辰涛 申请人:联想(北京)有限公司