专利名称::一种网络交易方法、装置及系统的制作方法
技术领域:
:本发明涉及计算机和通信安全
技术领域:
,尤其涉及一种网络交易方法、装置及系统。技术背景目前,网络交易系统采用SSL(SecureSocketsLayer,安全套接层协议层)和TLS(TransportLayerSecurity,传输层安全)协议对银行服务器和客户浏览器进行相互的身份认证,并在传输过程中对数据进行加密,防止客户信息被窃取和篡改。其中所述的SSL会话密钥的协商,以及加密、MAC运算是在PC端采用程序算法完成。而对于采用智能卡或USBKEY进行的网络交易,也只是将客户端认证需要的非对称密钥对生成、非对称密码运算在所述的智能卡或USBKEY内部完成,而数据进行加密解密运算还是在PC端完成,并且各种SSL会话密钥仍在PC内存中。由于目前主流的PC端的操作系统安全机制的不足,恶意程序可以通过各种方式侵入并控制用户的计算机,敏感数据甚至在未加密之前就被木马截获,从而使得加密过程形同虚设,从而使得网络交易存在严重的安全隐患。
发明内容本发明实施例提供的一种网络交易方法、装置及系统,以实现安全的网络交易。本发明的实施例釆用如下技术方案一方面,本发明实施例提供了一种网络交易装置,包括数据安全通道建立模块,用于借助上网代理与服务器建立数据安全通道,其中,所述上网代理与所述网络交易装置形成网络节点;传输驱动^f莫块,用于与所述服务器通过所述数据安全通道传输数据。另一方面,本发明实施例提供了一种网络交易系统,包括网络交易装置、上网代理和服务器;其中,所述网络交易装置用于借助上网代理与服务器直接建立数据安全通道;并与所述服务器通过安全通道传输数据;其中,所述上网代理与所述网络交易装置形成网络节点;所述上网代理内置有所述通讯接口单元驱动和虚拟网络适配器,从而使得所述网络交易借助所述上网代理的透传功能,完成与服务器的数据传输;所述服务器用于通过所述数据安全通道与所述的网络交易装置进行网络交易。再一方面,本发明实施例提供了一种网络交易方法,包括网络交易装置借助上网代理与服务器直接建立数据安全通道;其中,所述上网代理与所述网络交易装置形成网络节点;所述网络交易装置与所述服务器通过安全通道传输数据。本发明实施例提供的一种网络交易方法、装置及系统,所述网络交易装置可以下载、保存、并执行应用程序和管理程序,网络交易装置借助上网代理与服务器直接建立数据安全通道,通过安全通道传输交易数据;整个网络交易的操作通过执行安装的应用程序完成;其中所述应用程序和管理程序都是签名程序,从而保证了网络交易操作的安全性,在本发明实施例中还借助了上网代理与服务器之间直接建立的安全通道来对所述网络交易数据进行传输,从而进一步保证了网络交易的安全性,由于本发明实施例中釆用了所述安全通道传输网络交易数据,使得所述的网络交易装置无需考虑与外网直接连接的上网功能,从而大大降低了所述网络交易装置的设计复杂度以及开发成本。图1为本发明实施例提供的一种网络交易装置结构示意图;图2为本发明实施例提供的另一种网络交易装置结构示意图;图3为本发明实施例提供的一种网络交易装置流程图;图4为本发明实施例提供的一种上网代理结构示意图;图5为本发明实施例提供的一种网络交易系统结构示意图;图6为本发明实施例提供的另一种网络交易方法流程图;图7为本发明实施例提供的一种网络交易装置的两种模式的转化图;图8为本发明实施例提供的一种网络交易装置的操作流程图;图9为本发明实施例提供的一种网络交易装置的结构示意图;图IO为本发明实施例提供的一种网络交易装置的结构示意图。具体实施例方式下面结合附图对本发明实施例提供的一种网络交易方法、装置及系统进行详细的i兌明。如图l所示,为本发明实施例提供的一种网络交易装置,该装置包括数据安全通道建立模块101,用于借助上网代理与服务器建立数据安全通道,其中,所述上网代理与所述网络交易装置形成网络节点;该模块在实现所述网络交易装置与所述远程服务器建立数据安全通道时,需要进行的各种密钥协商及密码运算。传输驱动^t块102,用于与所述服务器通过所述数据安全通道传输数据;该模块在实现数据传输过程中,需要借助上网代理的物理层和数据链路层的网络功能来实现网络交易装置和服务器端的数据传输。需要注意的是,所述交易装置可以安装应用程序和管理程序;所述应用程序和管理程序都必须通过合法签名才能安装。其中,所述的应用程序用于完成网络交易客户端功能。所述网络交易装置在安装程序,需要通过所述网络交易装置的验证,即保证程序的完整性以及程序安装者的合法身份,从而阻止恶意程序安装到所述网络交易装置运行。下表是所述网络交易装置个人化时至少需要预置的密钥以及对应的用途;<table>tableseeoriginaldocumentpage8</column></row><table><table>tableseeoriginaldocumentpage9</column></row><table>基于以上实施例,本发明还提供了一种如图2所示的网络交易装置,该装置包括处理器201、输入/输出单元202和通讯接口单元203;所述数据安全通道建立模块和所述传输驱动模块内置于所述处理器201中;所述输入/输出单元202与所述处理器201相连,用于所述处理器201与用户进行信息交互;所述通讯接口单元203与所述处理器201相连,用于进行数据传输。所述通讯接口单元203,至少可以为(UniversalSerialBus,通用串行总线)接口、无线蓝牙接口或WIFI(wirelessfidelity,无线保真)等接口种的一个。所述输入/输出单元可以分别为键盘和显示器等等;其中,所述的网络交易装置还包括存储单元;所述存储单元,用于存储签名应用程序和管理程序。所述存储单元可以为RAM、ROM等存储器。还需要注意的是,以上所述的处理器内置有操作系统可以为上述提到的签名应用程序和管理程序提供基本的运行环境。还需要注意的是,所述的网络交易装置还包括所述卡读写模块,用于读写智能卡数据。所述卡读写模块可以根据实际情况的需要进行选择。基于以上实施例,本发明实施例还提供了一种如图3所示的网络交易装置,该装置包括数据安全通道建立模块101,用于借助上网代理与服务器建立数据安全通道,其中,所述上网代理与所述网络交易装置形成网络节点;传输驱动模块102,与所述服务器代理传输数据;其中,所述数据安全通道建立模块101,具体可以包括传输子模块301,安全子模块302和通讯子模块303;所述传输协议子模块301,用于所述网络交易装置与所述服务器进行传输协商;该模块可以基于HTTP(HypertextTransferProtocol,超文本传输协议)传输协议,或者其他传输协议;根据实际应用中服务器端所采用的协议而定。所述安全子模块302,用于所述网络交易装置与所述服务器进行密钥协商;该模块内部实现SSL/TLS安全协议,从而使得所述网络交易装置在发送网络交易数据时,将所述需要发送的网络交易数据通过所述安全协议进行加密,或者对所述服务器返回的数据进行安全认证,从而保证发送与接收的数据的安全性。需要注意的是,所述的安全协议模块还可以采用内置于所述网络交易装置的形式,还可以采用外置智能卡等形式。当所述安全协议^t块采用所述外置于智能卡等形式时,存在两种实现方式一种方式为所述安全^^块与所述网络交易装置共同完成所述和远程服务器建立安全通道,从而保证发送与接收数据的安全性;例如安全协议要求的非对称密钥对的生成以及相关的密码运算在安全模块内完成,其他运算由交易装置完成;另一种方式为所述外置的安全模块直接和远程服务器建立安全通道,即安全协议要求的密钥协商、密码运算全部在安全模块内部完成,从而保证发送与接收数据的更高的安全性。所述通讯子模块303,用于实现所述网络交易装置与所述服务器进行通讯的TCP/IP协议栈。如图5所示,为本发明实施例提供的一种网络交易系统,该系统包括网络交易装置501、上网代理502和服务器503;其中,所述网络交易装置501用于借助上网代理与服务器建立数据安全通道;并与所述服务器通过安全通道传输泰:据;其中,所述上网代理与所述网络交易装置形成网络节点;需要注意的是,所述网络交易装置可以为如上图l至图3所示的网络交易装置。所述上网代理502内置有所述通讯接口单元驱动和虚拟网络适配器,从而使得所述网络交易借助所述上网代理的数据传输功能,完成与服务器的交互;具体的为如图4所示本发明实施例提供的一种上网代理;该上网代理内置有所述通讯接口单元驱动401和虛拟网络适配器402;其中,所述通讯接口单元驱动401用于识别所述通讯接口单元;所述虚拟网络适配器402用于所述上网代理为所述网络交易装置分配虛拟网络地址,使得所述上网代理与所述网络交易装置形成网络节点。该上网代理具体可以为PC机、笔记本以及上网本等工作站。所述服务器503用于通过所述凝:据安全通道与所述的网络交易装置进^"网络交易。如图6所示,为本发明实施例提供的一种网络交易方法,该方法包括601、网络交易装置借助上网代理与服务器建立数据安全通道;其中,所述上网代理与所述网络交易装置形成网络节点;602、所述网络交易装置与所述服务器通过安全通道传输数据。所述网络交易装置可下载、安装并运行应用程序和管理程序;所述应用程序和管理程序都必须是签名程序。其具体过程为所述网络交易装置下载所述签名程序;所述网络交易装置对所述签名程序进行签名验证;如果所述签名程序通过验证,则所述网络交易装置安装所述签名程序;如果所述签名程序未通过验证,则所述网络交易装置删除所述签名程序。如图7所示,为本发明实施例提供的一种网络交易装置的两种模式的转化图;所述网络交易装置包括两种模式一种为基本模式;另一种为安全模式;所述两种模式的具体的转化过程为当所述网络交易装置上电后,进入基本模式;所述的网络交易装置根据其内置的管理程序将各个应用程序显示给用户;此时,等待用户操作;用户则可以根据所述显示的应用进行网l各交易或者应用程序的管理。例如用户可以根据需要进行应用程序的下载、更新以及删除;其中,所述下载的应用程序需要通过验证才可以下载到所述的网络交易装置。当所述用户激活上述应用程序后,所述的网络交易装置进入安全模式,此时网络交易装置对其接收到的各种网络交易数据进行安全认证;对其需要发送出去的网络交易数据进行加密处理,从而保证网络lt据的安全性;当用户终止所述应用时,所述网络交易装置则进入基本模式,继续等待用户操作。需要说明的是,以上所述的应用程序都是通过所述网络交易装置开发商与应用程序开发商共同协商后的签名程序,从而所述的网络交易装置可以保证其自身的独立安全性。如图8所示,为本发明实施例提供的一种网络交易装置的操作流程;该流程具体为51、网络交易装置上电或者复位;52、对所述的网络交易装置进行初始化;53、所述网络交易装置对其内部的应用程序、管理程序以及系统数据完整性进行检测;54、所述网络交易装置判断所述检测是否成功?如果检测成功,则执行步骤S5;如果检测失败,则执行步骤S14;55、进入所述网络交易装置的基本模式,启动应用管理程序,并列出已安装的应用;56、等待用户选"t奪应用;57、用户选择启动所述网络交易装置中的应用即激活应用,则所述网络交易装置进入安全模式;58、检测智能卡是否插入并可用?如果所述的智能卡可用,则进入步骤S9;如果所述的智能卡不可用,则进入步骤S13;59、与远程服务器建立安全连"^,即建立以上所述的数据安全通道;510、判断建立是否成功?如果建立成功,则执行步骤S11;如果建立失败,则执行步骤S13;511、执行用户交互交易应用;512、判断所述执行的交易应用是否成功?如果成功,则执行步骤S6;如果执行的交易应用不成功,则执行步骤S13;513、提示错误;514、提示系统错误,停止运行任何应用程序。如图9所示,为本发明实施例提供的一种网络交易装置的结构示意图;该装置具体包括处理器、输入/输出单元和通讯接口单元;其中,所述处理器内置操作系统;基于所述操作系统所述处理器还设置有其自身的基本语言运行环境以及供程序开发商使用的应用编程接口(API);程序开发商可以通过所述应用编程接口进行应用程序的开发,例如应用程序l、应用程序2......应用程序N。具体的讲,如果应用程序1为某开发商需要开发所述网络交易装置的某种交易程序,则需要所述开发商与所述网络交易装置所处语言开发环境以及供开发商使用的应用编程接口(API)对程序进行开发,在开发中所使用的函数库需要通过所述应用编程接口进行调用,从而完成整个应用程序的开发。相应的,与所述处理器相连的输入/输出单元,处理器中需要内置识别所述输入/输出单元的驱动程序;具体的讲,就是所述处理器可以外接输入设备,即输入单元,例如键盘;处理器还可以外接输出设备,即输出单元,例如显示器等。与所述处理器相连的所述智能卡,处理器中需要内置识别所述智能卡的驱动程序即卡读写模块;该智能卡的驱动程序用于识别所述智能卡,从而读取智能卡数据或者输入数据到所述智能卡中。与所述处理器相连的通讯接口单元,处理器中需要内置识别所述通讯接口单元的驱动程序;所述处理器中还需内置与远程服务器进行交互的通讯协议栈。为了更进一步"i兑明本发明实施例中网络交易装置的具体工作过程,以下以用户输入网络交易凄t据后,网络交易装置的处理过程为用户在网络交易装置的用户界面中选择网络4艮行应用程序,用户根据用户界面的提示,通过键盘将用户个人信息以及需要进行的操作信息输入到网络交易装置;所述网络交易装置接收到所述的用户个人信息以及需要进行的操作信息之后,将所述信息按照网络交易装置中安全模块中内置的加密算法,进行加密;接着经过TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)协议进行数据传输,当所述网络交易装置采用USB(UniversalSerialBus,通用串行总线)接口通讯接口单元时,所述加密后的用户个人信息需要再封装为以太报文格式,然后按照所述格式的数据报文,通过所述USB接口发送给上网代理,由上网代理的数据链路层和物理层将所述密文发送给服务器;服务器根据所述接收到的密文进行认证,如果所述认证通过,在进一步对所述接收到的密文进行解密处理。如图10所示,为本发明实施例提供的一种网络交易装置,该装置在完成网络交易需要智能卡1000协助完成。该装置,包括智能卡槽1001、通讯接口单元1002、处理器1003、输入/输出单元1004和存储器1005;其中,所述数据安全通道建立模块可以内置于所述智能卡中,所述数据安全通道建立模块具体可以为传输协议子模块,通讯子模块;安全子模块。这样,所述建立的数据安全通道则需要建立在所述智能卡与服务器之间。所有需要输出的数据都需要经过所述智能卡进行安全处理。本发明实施例提供的一种网络交易方法、装置及系统,通过网络交易装置借助上网代理与服务器建立数据安全通道;并所述通过安全通道传输数据;进而完成网络交易;其中,所述网络交易装置存储有应用程序和管理程序;所述应用程序和管理程序都是签名程序。这样,整个网络交易的数据信息完全由一个安全的网络交易装置来完成交易操作,并且所述的网络交易装置中安装有应用程序和管理程序;其中,所述应用程序和管理程序都是签名程序,从而进一步地保证了网络交易数据信息的安全性,在本发明实施例中还借助了上网代理与服务器之间建立的安全通道来对所述网络交易数据进行传输,从而进一步保证了网络传输的安全性,由于本发明实施例中采用了所述安全通道传输网络交易数据,使得所述的网络交易装置无需考虑与外网直接连接的上网功能,从而大大降低了所述网络交易装置的设计复杂度以及开发成本。通过以上的实施方式的描述,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如上述方法实施例的步骤,所述的存储介质,如ROM/RAM、磁碟、光盘等。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本
技术领域:
的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。权利要求1、一种网络交易装置,其特征在于,包括数据安全通道建立模块,用于借助上网代理与服务器建立数据安全通道,其中,所述上网代理与所述网络交易装置形成网络节点;传输驱动模块,用于与所述服务器通过所述数据安全通道传输数据。2、根据权利要求1所述的网络交易装置,其特征在于,所述网络节点为所述上网代理与所述网络交易装置形成的虚拟局域网。3、根据权利要求2所述的网络交易装置,其特征在于,所述传输驱动模块通过所述上网代理的物理层和数据链路层进行数据传输。4、根据权利要求3所述的网络交易装置,其特征在于,所述的网络交易装置还包括处理器、输入/输出单元和通讯接口单元;所述数据安全通道建立模块和所述传输驱动模块内置于所述处理器中;所述输入/输出单元与所述处理器相连,用于所述处理器与用户进行信息交互;所述通讯接口单元与所述处理器相连,用于进行数据传输。5、根据权利要求4所述的网络交易装置,其特征在于,所述的网络交易装置还包括存储单元;所述存储单元,用于存储签名应用程序和管理程序。6、根据权利要求5所述的网络交易装置,其特征在于,所述的网络交易装置还包括卡读写模块;所述卡读写模块,用于读写智能卡的数据。7、根据权利要求6所述的网络交易装置,其特征在于,所述通讯接口单元至少为通用串行总线接口或者无线蓝牙接口或者无线保真接口中的一个。8、根据权利要求1至7中任意一项所述的网络交易装置,其特征在于,所述数据安全通道建立模块,具体包括传输子模块,安全子模块,通讯子模块;所述传输子模块,用于所述网络交易装置与所述服务器进行数据传输;所述安全子模块,用于所迷网络交易装置完成各种密码相关操作;所述通讯子模块,用于实现所述网络交易装置与所述服务器进行通讯的协议栈。9、根据权利要求8所述的网络交易装置,其特征在于,所述传输子模块基于超文本传输协议;所述安全子模块基于安全套接层协议层/传输层安全协议;所述的通讯子模块基于传输控制协议/网际协议协议。10、根据权利要求9所述的网络交易装置,其特征在于,所述传输驱动模块,具体用于将所述通讯接口单元透传的数据进行帧结构解析和帧结构封装。11、一种网络交易系统,其特征在于,所述系统包括网络交易装置、上网代理和服务器;其中,所述网络交易装置用于借助上网代理与服务器建立数据安全通道;并与所述服务器通过安全通道传输数据;其中,所述上网代理与所述网络交易装置形成网络节点;所述上网代理内置有所述通讯接口单元的驱动程序和虚拟网络适配器,从而使得所述网络交易借助所述上网代理的透传功能,完成与服务器的数据传输;所述服务器用于通过所述数据安全通道与所述的网络交易装置进行网络交易。12、根据权利要求11所述的网络交易系统,其特征在于,所述网络交易装置如权利要求1至10中任意一项所述网络交易装置。13、根据权利要求12所述的网络交易系统,其特征在于,所述的上网代理内置有所述通讯接口单元驱动和虚拟网络适配器;其中,所述驱动用于识别所述通讯接口单元;所述虛拟网络适配器用于所述上网代理为所述网络交易装置分配网络地址,使得所述上网代理与所述网络交易装置形成网络节点。14、一种网络交易方法,其特征在于,包括借助上网代理与服务器建立数据安全通道;其中,所述上网代理与所述网络交易装置形成网络节点;与所述服务器通过安全通道传输数据。15、根据权利要求14所述的网络交易方法,其特征在于,还包括下载签名程序;对所述签名程序进行认证;如果所述签名程序通过认证,则所述网络交易装置存储并安装所述签名程序;如果所述签名程序未通过认证,则所述网络交易装置删除所述签名程序。全文摘要本发明实施例公开了一种网络交易方法、装置及系统,涉及计算机和通信安全
技术领域:
。为了解决现有技术中所存在的用户通过PC机与服务器进行网络交易不安全的问题而发明。本发明实施例提供的一种网络交易装置,包括数据安全通道建立模块,用于借助上网代理与服务器建立数据安全通道,其中,所述上网代理与所述网络交易装置形成网络节点;传输驱动模块,用于与所述服务器通过所述数据安全通道传输数据。采用本发明可以保证网络交易的安全进行。文档编号H04L29/06GK101645893SQ20091009180公开日2010年2月10日申请日期2009年8月25日优先权日2009年8月25日发明者石玉平申请人:北京握奇数据系统有限公司