专利名称:基于第三方的数字签名认证系统及认证方法
技术领域:
本发明属于通信技术领域,涉及数字信息的传输,具体来说是 一种基于第三方的数字签名认证系统及认证方法。
背景技术:
随着网络经济时代的到来,基于第三方的交易已经成为商品交 易的最新模式。当前第三方支付系统如图1,交易过程是 一、网
上消费者浏览检索商户网页并在商户网站下订单;二、网上消费者
选择第三方支付平台,直接链接到其安全支付服务器上,在支付页 面上选择自己适用的支付方式,点击后进入银行支付页面进行支付
操作;三、第三方支付平台将网上消费者的支付信息,按照各银行 支付网关的技术要求,传递到各相关银行,由相关银行检査网上消 费者的支付能力,实行冻结、扣帐或划帐,并将结果信息传至第三 方支付平台和网上消费者本身;四、第三方支付平台将支付结果通 知商户,支付成功的,由商户向网上消费者发货或提供服务;五、 各个银行通过第三方支付平台向商户实施清算。然而,当前第三方
平台有如下缺点
1. 由于这是一种虚拟支付层的支付模式,它需要其他的"实际
支付方式"完成实际支付层的操作;
2. 付款人的银行卡信息将暴露给第三方支付平台,如果这个第 三方支付平台的信用度或者保密手段欠佳,将带给付款人相关风险;
3. 消费者所购买的"电子货币"可能成为破产债权,无法追回;
4. 由于有大量资金寄存在支付平台账户内,而第三方支付机构 并非金融机构,所以存在资金寄存的风险。
发明内容
本发明的目的在于避免上述现有第三方平台存在的缺点,提出了一种基于第三方的数字签名认证系统及认证方法,以避免当前第 三方的虚拟支付模式和客户在网上付款的风险。
为实现上述目的,本发明的签名认证系统包括
用户管理中心用于向用户终端颁发存放证书的USBKey,以增 加用户和注销用户终端USBKey中的证书以注销用户;
用户终端通过USBKey完成对业务信息的数字签名,并发送到 用户口令和数字签名验证中心;
用户口令和数字签名验证中心用于与用户终端、业务部门及 银行系统通过TCP/IP网络连接,完成对用户口令和数字签名的验证 以及在用户终端、银行和业务部门起到中介作用。
所述的用户管理中心,它设有证书生成模块、证书注销模块和用 户信息模块,证书生成模块用于生成证书并存放至USBKey以增加用 户;证书注销模块用于注销证书以注销用户;用户信息模块用于对 用户信息录入、査询和统计。
所述的用户终端,它设有数字签名模块,该数字签名模块利用 USBKey中的数字签名函数对业务信息进行数字签名。
所述的用户口令和数字签名验证中心,它设有用户口令验证模 块和数字签名验证模块,用户口令验证模块用于完成验证用户口令 的正确性;数字签名验证模块用于在数据库中査找用户公钥,对用 户终端的数字签名进行验证。
为实现上述目的,本发明的数字签名认证方法,包括如下过程:
(1) 用户终端操作员在用户终端上插入USBKey并输入用户口 令,向用户口令和数字签名验证中心发出登陆请求,由用户口令和 数字签名验证中心对该用户终端的用户口令进行验证;
(2) 客户在用户终端进行业务请求,用户终端操作员利用 USBKey中的数字签名函数对客户请求的业务信息进行数字签名,并 将用户终端操作员标识、业务信息、数字签名发送至用户口令和数字签名验证中心;
(3) 用户口令和数字签名验证中心根据用户终端操作员标识 在数据库中找到其用户公钥、银行账号,以用户公钥来验证数字签 名的正确性,并将用户银行账号、业务部门账号、交易银行生成指 令通过专有通信链路网络发送到相关银行,银行检查用户账号信息 并进行相关处理后,将处理结果返回到用户口令和数字签名验证中 心;
(4) 用户口令和数字签名验证中心存储银行返回的信息,同时 将业务请求发送到业务部门,将业务处理结果返回到用户终端,用 户终端将完成本次业务。
本发明由于相对于传统的第三方系统增加了用户终端,使客户 在用户终端进行面对面的业务请求,避免了当前的第三方支付的风 险;同时由于在用户终端采用USBKey进行数字签名,增加了通信的 不可抵赖性,目前针对PC机的攻击层出不穷,USBKey安全性较PC 机高,能够确保证书不被盗取;此外由于本发明的系统成本低、功 能多,很容易推广,特别适用于社区。
图1是现有第三方支付系统图2是本发明的系统框图3是本发明的签名认证过程图4是本发明的实施例图。
具体实施例方式
参照图2,本发明的基于第三方的数字签名认证系统,主要由 用户管理中心、用户终端、用户口令和数字签名验证中心组成。用
户终端与用户口令和数字签名验证中心通过通信链路网络连接,通 信加密由VPN软件提供。
该用户管理中心,负责向用户终端颁发USBKey,它由至少一台 计算机或专用设备组成,计算机或专用设备中设有证书生成模块、证书注销模块和用户信息模块。证书生成模块用于生成证书并存放
至USBKey以增加用户;证书注销模块用于注销证书以注销用户;用 户信息模块用于对用户信息录入、査询和统计。
该用户终端,作为可识别USBKey的各种通信网络终端,如PC 机,它设有数字签名模块,该数字签名模块利用USBKey中的数字签 名函数对业务信息进行数字签名。
该用户口令和数字签名验证中心,由至少一台计算机或专用设 备组成,计算机或专用设备中设有用户口令验证模块和数字签名验 证模块,其中用户口令验证模块用于完成验证用户口令的正确性; 数字签名验证模块用于在数据库中査找用户公钥,以对用户终端的 数字签名进行验证。
参照图3,本发明的签名认证过程如下
过程1,用户终端向用户管理中心申请证书,用户管理中心批 准后,生成证书并存放至USBKey,将USBKey颁发给该用户终端; 过程2,登陆认证过程。
用户终端操作员在用户终端上插入USBKey并输入用户口令, 将用户终端操作员标识和用户口令生成登陆请求信息发送至用户口 令和数字签名验证中心,用户口令和数字签名验证中心根据该用户 终端操作员标识在数据库中査找其用户口令并进行验证,经验证无 误后用户终端将与用户口令与数字签名验证中心连接;
过程3,数字签名认证过程。
客户在用户终端进行业务请求,用户终端操作员利用USBKey 中的数字签名函数对客户请求的业务信息进行数字签名,并将用户 终端操作员标识、业务信息、数字签名发送至用户口令和数字签名 验证中心,用户口令和数字签名验证中心根据用户终端操作员标识 在数据库中查找用户公钥,以用户公钥来验证数字签名的正确性;
过程4,用户口令和数字签名验证中心根据用户终端操作员标识在数据库中査找用户银行账号并将用户银行账号、业务部门银行 账号、交易银行生成指令;将指令通过与银行的专有通信链路网络 发送到相关银行,银行检査用户账号余额是否充足,如果充足,将 业务所需金额从用户银行账号转移到业务部门银行账号,如果余额 不足,则生成错误信息;最后将处理结果发回到用户口令和数字签 名验证中心;
过程5,用户口令和数字签名验证中心存储银行返回的信息至 数据库,同时将业务请求发送到业务部门,将业务处理结果返回用 户终端,用户终端将完成本次业务请求。
参照图4,本发明的实施例是釆用PC机作为用户终端设备的基 于第三方的数字签名认证系统。该系统由用户管理中心、用户终端、 用户口令和数字签名验证中心组成。其中用户管理中心由一台计算 机组成;用户终端为PC机;用户口令和数字签名验证中心由一台计 算机组成。用户终端与用户口令和数字签名验证中心通过TCP/IP 网络连接,通信加密由VPN软件提供。
该系统的工作过程如下
用户管理中心生成证书并存放至USBKey,向用户终端颁发 USBKey;用户终端操作员针对客户的业务请求,利用USBKey中的数 字签名函数对业务信息进行数字签名,然后将用户终端操作员标识、 业务信息、数字签名发送至用户口令和数字签名验证中心;用户口 令和数字签名验证中心根据用户终端操作员标识在数据库中查找用 户公钥、银行账号,以用户公钥来验证数字签名的正确性;然后将 用户银行账号、业务部门银行账号、交易银行生成指令;将指令通 过与银行的专有通信链路网络发送到相关银行,银行检査用户账号 余额是否充足,如果充足,将业务所需金额从用户银行账号转移到 业务部门银行账号,如果余额不足,则生成错误信息;最后将处理 结果发回到用户口令和数字签名验证中心;用户口令和数字签名验证中心存储银行返回的信息至数据库,同时将业务请求发送到业务 部门,将业务处理结果返回用户终端,用户终端将完成本次业务请 求。
通过上述流程,具有业务请求的客户与用户终端采用面对面支 付,支付与提供的服务同时完成,可有效避免网络支付所面对的信
用赌博,即付款和交货的先后问题;同时用户终端采用USBKey进行 数字签名能够确保证书不被盗取,提高了双方通信的不可抵赖性。
权利要求
1.一种基于第三方的数字签名认证系统,包括用户管理中心用于向用户终端颁发存放证书的USBKey,以增加用户和注销用户终端USBKey中的证书以注销用户;用户终端通过USBKey完成对业务信息的数字签名,并发送到用户口令和数字签名验证中心;用户口令和数字签名验证中心用于与用户终端、业务部门及银行系统通过TCP/IP网络连接,完成对用户口令和数字签名的验证以及在用户终端、银行和业务部门起到中介作用。
2.根据权利要求1所述的基于第三方的数字签名认证系统,其中 用户管理中心设有证书生成模块、证书注销模块和用户信息模块,证 书生成模块用于生成证书并存放至USBKey以增加用户;证书注销模 块用于注销证书以注销用户;用户信息模块用于对用户信息录入、查 询和统计。
3. 根据权利要求1所述的基于第三方的数字签名认证系统,其中 用户终端设有数字签名模块,该数字签名模块利用USBKey中的数字 签名函数对业务信息进行数字签名。
4. 根据权利要求1所述的基于第三方的数字签名认证系统,其中 用户口令和数字签名验证中心设有用户口令验证模块和数字签名验 证模块,用户口令验证模块用于完成验证用户口令的正确性;数字签 名验证模块用于在数据库中査找用户公钥,对用户终端的数字签名进 行验证。
5. —种基于第三方的数字签名认证方法,包括如下过程(1)用户终端操作员在用户终端上插USBKey并输入用户口令, 向用户口令和数字签名验证中心发出登陆请求,由用户口令和数字签 名验证中心对该用户终端的用户口令进行验证;(2 )客户在用户终端进行业务请求,用户终端操作员利用USBKey 中的数字签名函数对客户请求的业务信息进行数字签名,并将用户终 端操作员标识、业务信息、数字签名发送至用户口令和数字签名验证 中心;(3 )用户口令和数字签名验证中心根据用户终端操作员标识在 数据库中找到其用户公钥、银行账号,以用户公钥来验证数字签名的 正确性,并将用户银行账号、业务部门账号、交易银行生成指令通过 专有通信链路网络发送到相关银行,银行检査用户账号信息并进行相 关处理后,将处理结果返回到用户口令和数字签名验证中心;(4)用户口令和数字签名验证中心存储银行返回的信息,同时 将业务请求发送到业务部门,将业务处理结果返回到用户终端。
全文摘要
本发明公开了一种基于第三方的数字签名认证系统及认证方法,它属于通信技术领域。包括用户管理中心、用户终端、用户口令和数字签名认证中心。用户终端接受客户业务请求后,利用USBKey对相关信息数字签名,并将数字签名信息等发送至用户口令和数字签名验证中心;用户口令和数字签名验证中心验证数字签名,然后将用户银行账号等信息生成的指令通过专有网络发送至相关银行,银行检查用户账号信息并进行处理后将处理结果返回到用户口令和数字签名验证中心;用户口令和数字签名验证中心将业务请求发送到业务部门,并将业务处理结果返回用户终端,用户终端将完成本次业务。本发明具有安全可靠、高效易扩展的优点,特别适合于社区。
文档编号H04L29/06GK101616146SQ200910023438
公开日2009年12月30日 申请日期2009年7月28日 优先权日2009年7月28日
发明者昊 吴, 张卫东, 晖 李, 杨 李, 晨 梁, 凯 樊, 康 王, 灿 莫, 赵黎斌 申请人:西安电子科技大学