专利名称:一种手机银行客户端信息认证方法、系统及移动终端的制作方法
技术领域:
本发明关于手机银行信息安全技术,特别是关于在手机银行中实现安全的用户身 份认证以及数据加密传输的技术,具体地讲是一种手机银行客户端信息认证方法、系统及 移动终端。
背景技术:
手机银行系统经历了短信手机银行、WAP手机银行(WAP =Wireless Application I^otocol,无线应用协议)、客户端手机银行等几个发展阶段。由于客户端手机银行可以提 供最好的客户体验,因此客户端手机银行必将成为技术主流。在B/S架构下的现有技术中,手机银行的客户端工作界面是通过手机浏览器来实 现的,主要事务逻辑在服务器端(Server)实现。用户不用安装任何专门的软件,使用操作 系统自带的浏览器软件就可以访问互联网应用,这便使得手机银行可选的安全手段有限, 银行只能采用安全传输层协议(TLS)、用户名密码校验等传统的B/S技术标准实现系统安 全。在C/S架构下的现有技术中,手机银行客户端、手机银行服务器端共同构成完整的客户 端手机银行系统。客户端手机银行突破了 B/S架构的技术限制,安全控制手段更加灵活多 样,银行可以根据自身安全要求做个性化设计开发。也正是由于手机银行客户端开发的灵 活性,使得手机银行的安全控制强度主要由银行自身决定。如果银行仍然单纯采用TLS、用 户名密码校验作为唯一的安全控制手段,则在安全方面存在弊端简单的用户名/密码认 证体系比较容易被破解或钓鱼;通过TLS协议只能保证数据在公网传输通道中的安全性, 不能保证客户端内部,以及银行内部网络中的数据安全(例如用户的关键数据可能在银行 内部网络被银行内部员工截获)。目前手机客户端软件开发平台提供的功能已经非常丰 富,第三方应用程序开发者可以通过平台提供的API操作手机硬件功能,或获取手机硬件 信息,充分利用这些手机特有技术,应用于手机银行安全领域,可以提高手机银行安全控制 强度,达到开展银行业务的安全要求。
发明内容
本发明实施例提供了一种手机银行客户端信息认证方法、系统及移动终端,以解 决客户端手机银行系统信息安全性的问题。本发明的目的之一是,提供一种手机银行客户端信息认证方法,该方法包括手机 银行客户信息绑定步骤和手机银行登录信息验证步骤;其中,手机银行客户信息绑定步骤 包括建立手机SIM卡信息与手机银行注册客户信息的绑定关系;建立手机硬件信息与手 机银行注册客户信息的绑定关系;手机银行登录信息验证步骤包括获取登录手机的SIM 卡信息和硬件信息;判断所述登录手机的SIM卡信息和硬件信息是否与对应的绑定关系中 的手机SIM卡信息和硬件信息相匹配,如果是则登录信息验证通过,如果否则登录信息 验证失败。手机银行客户信息绑定步骤还包括建立手机特定运动轨迹信息与手机银行注册客户信息的绑定关系;手机银行登录信息验证步骤还包括获取登录手机的运动轨迹信 息;判断登录手机的运动轨迹信息是否与对应的绑定关系中的手机特定运动轨迹信息相匹 配,如果是则登录信息验证通过,如果否则登录信息验证失败。手机银行客户信息绑定步骤还包括建立手机触摸屏特定触摸轨迹信息与手机银 行注册客户信息的绑定关系;手机银行登录信息验证步骤还包括获取登录手机触摸屏的 触摸轨迹信息;判断登录手机触摸屏的触摸轨迹信息是否与对应的绑定关系中的手机触 摸屏特定触摸轨迹信息相匹配,如果是则登录信息验证通过,如果否则登录信息验证失 败。本发明的目的之一是,提供一种手机银行客户端信息认证方法,该方法包括将客 户端装置设置在手机中,使手机通过WAP网关分别与手机银行服务器和手机号获取服务器 进行通信,并使手机号获取服务器与手机银行服务器进行通信;其中,手机银行服务器存储 手机号码与手机银行注册客户信息的绑定关系、和手机IMEI与手机银行注册客户信息的 绑定关系;客户端装置获取手机的SIM卡信息,生成包含SIM卡信息的手机号获取指令,并 将手机号获取指令发送给WAP网关;客户端装置获取手机的IMEI,并将手机的IMEI进行加 密后发送给WAP网关;WAP网关接收手机号获取指令,并根据SIM卡信息获取到对应的手机 号码,将包含手机号码的手机号获取指令转发给手机号获取服务器;WAP网关接收IMEI,并 将IMEI转发给手机银行服务器;手机号获取服务器接收包含所述手机号码的手机号获取 指令,提取出手机号码并发送给手机银行服务器;手机银行服务器接收手机的手机号码和 IMEI,判断手机号码和IMEI是否与对应的绑定关系中的手机号码和IMEI相匹配,如果是 则输出登录信息验证通过消息,如果否则输出登录信息验证失败消息。本发明的目的之一是,提供一种手机银行客户端信息认证系统,该系统包括手机 和客户端装置,客户端装置设置在所述的手机中;该系统还包括手机银行服务器;其中, 手机银行服务器包括绑定关系存储单元,用于存储手机SIM卡信息与手机银行注册客户 信息的绑定关系、和手机硬件信息与手机银行注册客户信息的绑定关系;登录信息接收单 元,用于接收所述手机的SIM卡信息和硬件信息;登录信息验证单元,用于判断所述手机的 SIM卡信息和硬件信息是否与对应的绑定关系中的手机SIM卡信息和硬件信息相匹配,如 果是则输出登录信息验证通过消息,如果否则输出登录信息验证失败消息;客户端装置 包括SIM卡信息获取单元,用于获取所述手机的SIM卡信息;硬件信息获取单元,用于获取 所述手机的硬件信息;安全通信单元,用于输出手机的SIM卡信息和手机的硬件信息。本发明的目的之一是,提供一种手机银行客户端信息认证系统,该系统包括手机 和客户端装置,客户端装置设置在手机中;该系统还包括:WAP网关、手机号获取服务器和 手机银行服务器;其中,手机银行服务器包括绑定关系存储单元,用于存储手机号码与手 机银行注册客户信息的绑定关系、和手机IMEI与手机银行注册客户信息的绑定关系;登录 信息接收单元,用于接收手机号码和IMEI ;登录信息验证单元,用于判断手机号码和IMEI 是否与对应的绑定关系中的手机号码和IMEI相匹配,如果是则输出登录信息验证通过消 息,如果否则输出登录信息验证失败消息;客户端装置包括获取指令生成单元,用于获 取手机的SIM卡信息,生成包含SIM卡信息的手机号获取指令;硬件信息获取单元,用于获 取手机的IMEI ;安全通信单元,用于输出手机号获取指令和手机的IMEI ;WAP网关包括指 令转发单元,用于接收手机号获取指令,并根据SIM卡信息获取到对应的手机号码,生成并转发包含手机号码的手机号获取指令;硬件信息转发单元,用于接收IMEI,并转发IMEI ;手 机号获取服务器用于接收包含手机号码的手机号获取指令,提取出手机号码并输出。本发明的目的之一是,提供一种手机银行客户端移动终端,该移动终端包括手机 本体和SIM卡;该移动终端还包括客户端装置,客户端装置设置在手机本体中;其中,客 户端装置包括获取指令生成单元,用于获取手机的SIM卡信息,生成包含SIM卡信息的手 机号获取指令;硬件信息获取单元,用于获取手机的IMEI ;数据加密单元,用于对手机号获 取指令和手机的IMEI进行加密;安全通信单元,用于输出加密的手机号获取指令和手机的 IMEI。本发明可以广泛用于手机银行应用的多个场景,本发明结合了手机硬件特征,可 以增加手机银行安全控制,体现在如下方面1)绑定手机硬件信息将用户手机硬件信息与手机银行注册信息绑定,可以确保 用户只有使用自己的手机才能操作银行账户。即使用户名密码被窃取,盗取人也无法操作 被盗取人的银行账户,造成经济损失。2)绑定用户SIM卡通过将用户手机号与手机银行注册信息绑定,可以确保用户 只有使用自己的SIM卡才能操作银行账户。即使用户名密码被窃取,盗取人也无法操作被 盗取人的银行账户,造成经济损失。3)将用户的持手机时的特定手势作为安全认证手段,进一步加强了手机银行登录 的安全性。4)将用户在手机触摸屏上触摸出的特定轨迹作为安全认证手段,进一步加强了手 机银行登录的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动性的前提下,还可以根 据这些附图获得其他的附图。图1为本发明实施例手机银行客户端信息认证方法流程图;图2为本发明实施例手机与SIM卡及客户端装置的设置关系示意图;图3为本发明实施例手机银行客户端信息认证系统连接示意图;图4为本发明实施例系统的客户端装置的结构框图;图5为本发明实施例系统的WAP网关的结构框图;图6为本发明实施例系统的手机银行服务器的结构框图;图7为本发明实施例手机的电路原理图;图8为本发明实施例手机的客户端装置的结构框图;图9为本发明实施例与手机通信的手机银行服务器的结构框图;图10为本发明实施例手机银行客户端信息认证系统工作流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完
7整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。实施例1如图1所示,本发明实施例的手机银行客户端信息认证方法包括手机银行客户 信息绑定步骤(步骤S100)和手机银行登录信息验证步骤(步骤S200);其中,手机银行客 户信息绑定步骤(步骤S100)包括建立手机SIM卡信息与手机银行注册客户信息的绑定 关系(步骤S101);建立手机硬件信息与手机银行注册客户信息的绑定关系(步骤S102); 手机银行登录信息验证步骤(步骤S200)包括获取登录手机的SIM卡信息和硬件信息 (步骤S201);判断所述登录手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手 机SIM卡信息和硬件信息相匹配,如果是则登录信息验证通过,如果否则登录信息验证 失败(步骤S202)。手机银行客户信息绑定步骤(步骤S100)还包括建立手机特定运动轨迹信息与 手机银行注册客户信息的绑定关系(步骤Sl(XB);步骤S201还包括获取登录手机的运动 轨迹信息;步骤S202还包括判断所述登录手机的运动轨迹信息是否与对应的绑定关系中 的手机特定运动轨迹信息相匹配,如果是则登录信息验证通过,如果否则登录信息验证 失败。手机银行客户信息绑定步骤(步骤S100)还包括建立手机触摸屏特定触摸轨迹 信息与手机银行注册客户信息的绑定关系(步骤S104);步骤S201还包括获取登录手机 触摸屏的触摸轨迹信息;步骤S202还包括判断登录手机触摸屏的触摸轨迹信息是否与对 应的绑定关系中的手机触摸屏特定触摸轨迹信息相匹配,如果是则登录信息验证通过,如 果否则登录信息验证失败。SIM卡信息包括国际移动用户识别码IMSI ;所述的硬件信息包括国际移动设备 身份码IMEI。本实施例方法是将手机终端设备自身具有的特点与对称密钥加密、非对称密钥加 密、安全传输层(TLS)协议等已有安全技术相结合,形成一套手机银行安全保障体系。如图2所示,客户手机100上安装了手机银行客户端装置101和SIM卡102。客 户端装置101可以是软件,也可以是芯片或存储卡。用户可以在开通手机银行时自助或在 服务网点下载安装客户端装置101,也可以将客户端芯片接入手机100的对应的接口或客 户端存储卡直接插入手机100的存储卡插槽。SIM卡102为硬件装置,插于手机100的SIM 卡插槽中。通过厂商提供的应用编程接口,应用开发商可以读取手机设备的硬件信息,包括 但不限于国际移动设备身份码 international Mobile Equipment Identity,IMEI)。IMEI 是全球手机设备制造商遵循统一的命名规则对每一部手机设备编号,可以保证全球范围内 唯一。将手机硬件信息与手机银行用户绑定,限制用户只能使用绑定的手机设备登录手机 银行进行操作,可以做到“只有利用这台手机才能够操作对应的银行账户”,从而增强安全 控制。用户使用手机银行,请求从手机客户端软件发出,首先进入移动运营商的无线 网络,运营商通过基站完成无线网到有线网的转换,最终请求通过运营商的WAP网关经Internet网络接入银行系统。移动运营商通过SIM卡对用户鉴权、计算网络流量及费用。 运营商可以识别用户身份,通过存储在SIM卡中的国际移动用户识别码(International Mobile Subscriber Identification Number, IMSI)找到对应的手机号。当用户的手机号 获取请求到达运营商WAP网关时,WAP网关可以将用户手机号加入到请求头域,并传输给运 营商手机号获取服务器。运营商手机号获取服务器通过解析可以得到请求中的手机号,并 通过ffeb Service等标准接口向银行提供手机号信息。这样,通过与移动运营商合作,银行 端可以自动获取用户当前SIM卡对应的手机号。手机号自动获取,一方面可以减少手机用 户的操作步骤,不需要手工输入用户名信息;另一方面,手机号自动获取可以做到“只有拥 有该手机号SIM卡的人才有可能操作对应的银行账户”,即完成SIM卡与手机银行注册客户 的绑定,增加安全控制。目前高端智能手机均支持触摸屏操作,用户使用手指在屏幕上操作,系统可以识 别用户轻触、重击、滑动、长按、双击、三击等不同动作。部分手机支持多点触控(采用电容 式触摸屏),更可以识别放大、缩小、同时多点触碰等更为丰富的动作。以上动作在手机应用 技术中称为“手势”(Gesture)。特别是部分高端手机内置加速计硬件装置,可以感知手机 本身所处的角度、手机移动的速度、加速度、甚至移动轨迹。这类手机可以支持的手势更加 多样化,用户可以上下左右晃动手机,形成不同的手势。第三方应用开发商可以通过硬件编程识别用户的手势,因此可以在手机银行客户 端中增加手势录入功能,供用户预留个性化、自定义手势。自定义手势数字化后保存,与手 机银行注册信息绑定,可用于安全领域的以下(但不限于)场景手机银行客户端软件的解锁手机银行客户端在一定时间内没有接到用户操作 后,自我锁定。用户解锁时,可以输入手势动作,系统识别用户手势,与预留手势比对,如果 吻合,则解锁成功。用于手机银行登录登录过程中要求用户输入手势,验证通过后才能登录成功。作为密钥的组成因子手势可以作为密钥的生成因子之一,增强密钥本身的安全 性。实施例2如图3所示,本发明实施例的手机银行客户端信息认证系统包括客户手机100、 移动运营商WAP网关200、移动运营商手机号获取服务器300、手机银行服务器400、银行客 户信息系统500。客户手机100通过运营商无线蜂窝网络连接运营商基站;运营商基站通过 运营商内部有线网络连接移动运营商WAP网关200 ;移动运营商WAP网关200通过互联网连 接移动运营商手机号获取服务器300 ;移动运营商WAP网关200、移动运营商手机号获取服 务器300通过hternet连接手机银行服务器400,银行在手机银行服务器400和hternet 之间部署有防火墙;手机银行服务器400通过银行内部网络和银行客户信息系统500连接。如图4所示,手机100中设置有客户端装置101,客户端装置101包括SIM卡信息 获取单元1011用于获取所述手机的SIM卡信息;硬件信息获取单元1012用于获取所述手 机的硬件信息;数据加密单元1013用于对获取的SIM卡信息和硬件信息进行加密;安全通 信单元1014用于输出加密后的手机的SIM卡信息和手机的硬件信息。如图5所示,WAP网关200包括指令转发单元201用于接收手机号获取指令,并根 据SIM卡信息获取到对应的手机号码,生成并转发包含所述手机号码的手机号获取指令;硬件信息转发单元202用于接收硬件IMEI,并转发硬件信息IMEI ;手机号获取服务器300 用于接收包含所述手机号码的手机号获取指令,提取出手机号码并输出。如图6所示,手机银行服务器400包括绑定关系存储单元401用于存储手机SIM 卡信息与手机银行注册客户信息的绑定关系、和手机硬件信息与手机银行注册客户信息的 绑定关系;登录信息接收单元402用于接收所述手机的SIM卡信息和硬件信息;登录信息 验证单元403用于判断所述手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手机 SIM卡信息和硬件信息相匹配,如果是则输出登录信息验证通过消息,如果否则输出登 录信息验证失败消息;绑定关系存储单元401还用于存储手机特定运动轨迹信息与手机银行注册客户 信息的绑定关系;登录信息接收单元402还用于接收所述手机的运动轨迹信息;登录信息 验证单元403还用于判断所述手机的运动轨迹信息是否与对应的绑定关系中的手机特定 运动轨迹信息相匹配,如果是则输出登录信息验证通过消息,如果否则输出登录信息验 证失败消息。客户端装置101还包括运动轨迹获取单元,用于获取所述手机的运动轨迹信 息;安全通信单元1014还用于输出所述手机的运动轨迹信息。绑定关系存储单元401还用于存储手机触摸屏特定触摸轨迹信息与手机银行注 册客户信息的绑定关系;登录信息接收单元402还用于接收所述手机的触摸屏触摸轨迹信 息;登录信息验证单元403还用于判断所述的触摸屏触摸轨迹信息是否与对应的绑定关 系中的手机触摸屏特定触摸轨迹信息相匹配,如果是则输出登录信息验证通过消息,如果 否则输出登录信息验证失败消息;客户端装置101还包括触摸轨迹获取单元,用于获取 所述手机的触摸屏触摸轨迹信息;安全通信单元1014还用于输出所述的触摸屏触摸轨迹 fn息ο如图7所示,客户手机是指手机银行用户所使用的手机,进一步的手机中安装了 用户SIM卡102以及手机银行客户端模块101。手机银行客户端模块101是指银行开发的手 机银行客户端应用程序,安装在用户手机上,用户通过运行该软件使用手机银行功能。客户 手机包括射频单元、基带电路、中央处理器、键盘、触摸屏、FLASH、RAM、加速度传感器以及 SIM卡102和客户端模块101。利用加速度传感器采集手机的运动轨迹(或称手势信息), 利用触摸屏采集客户在手机触摸屏上触摸的轨迹信息。在图3中,移动运营商WAP网关200是指移动运营商拥有的WAP网关设备。WAP网 关连接移动运营商内部网络和hternet互联网,负责将用户请求发送至互联网。在用户使 用手机银行服务的一般场景下,运营商WAP网关200将用户服务请求发送至手机银行服务 器400 ;在银行获取用户手机号码的场景下,即客户手机100发起手机号获取请求时,运营 商WAP网关200首先识别用户身份,将用户手机号码加入到客户请求报文头域,再将请求发 送至移动运营商手机号获取服务器300。移动运营商手机号获取服务器300是指移动运营商为向银行等第三方开发商提 供手机号获取服务,提供的部署于互联网的服务器设备。在客户手机100发起手机号获取 请求时,从移动运营商WAP网关200发送的请求报文中解析出手机号,将手机号经过数字签 名、数据加密,发送给手机银行服务器400。手机银行服务器400是指银行端提供手机银行业务服务的系统或服务器。其上部 署了银行开发的手机银行服务器端装置,接受来自手机银行客户端软件的请求,并完成业务处理。银行客户信息系统500是指银行保存手机银行注册客户信息的系统。包含但不限 于手机银行的用户注册信息,及与其绑定的手机IMEI信息、手机号等信息。用户通过本系统,使用客户手机100作为终端设备,接入网络,访问银行端系统, 使用手机银行功能。用户使用安装在客户手机100中的手机银行客户端软件,手机银行 客户端软件向手机银行服务器400发起服务请求,请求首先进入移动运营商的无线蜂窝网 络,被移动运营商建设的基站设备接收,然后请求经过基站接入移动运营商内部有线网络, 最终通过运营商WAP网关200接入Internet,到达银行系统部署于hternet的手机银行服 务器400,手机银行服务器400接收用户服务请求,完成业务处理,返回处理结果。所述服务 请求包含但不限于客户使用手机银行的登录、查询、转账等请求,但不含手机号获取请求。 进一步的,当用户启动安装在客户手机100中的手机银行客户端软件,使用登录功能时,手 机银行客户端软件首先向运营商手机号获取服务器300发起手机号获取请求,请求到达运 营商WAP网关200时,WAP网关将用户手机号添加在请求头域中,再将请求报文转发运营商 手机号获取服务器300,运营商手机号获取服务器300解析出手机号,将手机号码发送至手 机银行服务器400 ;银行获得用户的手机号码后,与银行客户信息系统500中的用户注册手 机号码进行比较对,用以验证用户身份。验证成功后,手机银行服务器400返回登录页面的 链接,链接经运营商WAP网关200发至客户手机100。如图8所示,手机银行客户端软件101进一步包括手机号获取请求模块111、硬 件信息获取模块112、数据变形模块113、数据加解密模块114、手势处理模块115、安全通讯 模块116。硬件信息获取模块112和数据变形模块113连接;数据变形模块113、手势处理 模块115分别与数据加解密模块114连接;数据加解密模块114、手机号获取请求模块111 分别与安全通讯模块116连接。手机号获取请求模块111,负责向移动运营商发起手机号获取请求。在用户启动手 机银行客户端软件101,使用登录功能时,通过该模块首先与移动运营商交互,向移动运营 商手机号获取服务器300发起手机号获取请求,运营商根据手机号获取请求向银行提供用 户手机号。硬件信息获取模块112,负责从用户手机中获取用户设备的硬件信息,包括但不限 于手机的IMEI信息。数据变形模块113,负责对用户手机的IMEI信息进行一定的变形、混淆处理,目的 是增加客户端软件反编译的难度、增加互联网传输数据的安全性。数据加解密模块114,负责对客户端登录时提交的关键信息进行加密,目的是增加 互联网传输数据的安全性。需要加密的数据包括但不限于对用户手机的IMEI信息变形后 的信息,用户的手势信息、用户登录密码和交易密码。所述加密可以是对称加密,作为一种 实施方式,其加密过程可以是在客户端软件中内置一个初始密钥A,同时密钥在服务器端 保存一份。加密前,服务器生成一次性随机数B。将A与B组合在一起构成一次性密钥C。 客户端使用密钥C对变形后数据,使用对称密钥算法(如3DES)进行对称密钥加密。解密 过程与加密过程类似,使用同样方法计算出密钥C,使用密钥C和同样的算法解密。手势处理模块115,负责处理用户的手势动作。提供手势预留功能和手势识别功 能。手势预留功能指用户录入自定义手势,转换为数字化数据保存。手势识别功能可以有两种可选方式(1)本地识别,预留手势信息保存在手势处理模块115中,识别用户在各个 功能输入的手势动作,判断与预留数据是否吻合;(2)服务器端识别,预留手势动作保存在 银行客户信息系统5中,手势处理模块115识别用户在各个功能输入的手势动作,将手势动 作数字化后,通过加密,经安全通讯模块116将信息发送至手机银行服务器400进行验证。 手势识别功能可以要求用户在启动手机银行客户端软件、登录认证或交易输密等需要进行 身份验证的场景中进行手势输入和识别验证。安全通讯模块116,负责手机银行客户端软件与手机银行服务器之间的网络通讯。 由于客户端与服务器之间通过互联网传输数据,通讯协议采用安全传输层协议(TLS),确保 在互联网中不存在明文传输。所述安全通讯模块负责从客户端发起安全请求。如图9所示,手机银行服务器端400,进一步包括手机银行绑定模块411、数据加 解密模块412、密钥管理模块413、用户身份认证模块414、手机银行客户端软件管理模块 415、安全通讯模块416。密钥管理模块413、用户身份认证模块414、安全通讯模块416分别 于数据加解密模块412连接;手机银行客户端软件管理模块415与安全通讯模块416连接。手机银行绑定模块411,负责接收用户的手机IMEI以及手机号等信息,并保存在 银行客户信息系统中,与手机银行用户注册信息绑定。用户在银行网点开通手机银行时, 通过使用该模块,预留信息,与用户手机银行注册信息绑定。预留信息包含但不限于手机 IMEI、手机号。用户信息保存在银行客户信息系统500中。数据加解密模块412,与客户端的数据加解密模块114配套、功能一致。密钥管理模块413,负责密钥的生分、分发、管理等内容。本方法所涉及的密钥包括 但不限于对称加密密钥的初始密钥、一次性密钥因子、与运营商交互时使用的非对称密钥 (公钥/私钥对)或数字证书、用于客户端程序二进制签名的数字证书。用户身份认证模块414,负责验证客户端上送的用户登录信息是否正确。验证内容 包括但不限于用户手机号/登录密码是否匹配、验证码是否输入正确、手机IMEI是否与注 册信息匹配、用户手势是否正确。手机银行客户端软件管理模块415,负责维护所有客户端版本的信息,提供客户端 版本兼容性控制以及版本升级管理功能。安全通讯模块416,与客户端的安全通讯模块配合。通过部署第三方机构颁发的服 务器证书,与客户端握手,建立TLS安全传输通道,保证互联网中没有明文传输。如图10所示,本实施例的手机银行客户端信息认证系统的具体步骤包括步骤801 用户启动手机银行客户端装置,使用登录功能;步骤802 手机号获取请求模块111向移动运营商发起手机号获取请求;步骤803 手机号获取请求经过移动运营商WAP网关200时,WAP网关200识别用 户身份,将对应的用户手机号,添加至请求头域;并将手机号获取请求转发至移动运营商手 机号获取服务器300 ;步骤804 移动运营商手机号获取服务器300收到请求后,从请求头中解析手机 号;步骤805 运营商手机号获取服务器300将手机号经过数字签名、数据加密,发送 给手机银行服务器400 ;步骤806 手机银行服务器400接收到上述信息后,进行验签和解密,获得手机号,与银行客户信息系统500中的手机银行注册信息比对,验证通过后,通过运营商WAP网关 200,返回登录页面的链接;步骤807 手机银行客户端装置显示链接;步骤808 客户通过点击所述链接,显示由手机银行服务器返回的登录页面;步骤809 硬件信息获取模块112读取用户手机的IMEI信息;步骤810 数据变形模块113,对用户手机的IMEI信息做移位变形处理;步骤811 数据加解密模块114,使用对称密钥算法(如3DEQ对所述变形后的信 息,以及用户输入的登录密码、验证码,一并加密后,通过运营商WAP网关200,提交手机银 行服务器400 ;步骤812 手机银行服务器400的数据加解密模块412,对接受到的加密信息采用 对称密钥算法进行解密;步骤813 用户身份认证模块414,负责验证用户手机号/登录密码是否匹配、验证 码是否输入正确、手机IMEI信息是否与注册信息匹配。步骤814 如验证无误,则检查通过。步骤815 进一步地可以要求用户在启动手机银行客户端软件、登录认证或交易 输密等需要进行身份验证的场景中,输入手势动作。本实施例中,以在手机银行客户端进行 登录验证的场景中运用为例。用户根据提示输入手势工作(如晃动手机),手势处理模块 115识别用户手势,并与预留的用户手势进行比对;步骤816 判断用户手势是否与预留手势吻合;步骤817 如果判断不相吻合,可以要求用户重新输入,超过规定重试次数登录失 败;步骤818 手机银行客户端装置如果判断校验通过,登录成功。本实施例可以广泛用于手机银行应用的多个场景,本发明结合了手机硬件特征, 可以增加手机银行安全控制,体现在如下方面1)绑定手机硬件信息将用户手机硬件信 息与手机银行注册信息绑定,可以确保用户只有使用自己的手机才能操作银行账户。即使 用户名密码被窃取,盗取人也无法操作被盗取人的银行账户,造成经济损失。2)绑定用户 SIM卡通过将用户手机号与手机银行注册信息绑定,可以确保用户只有使用自己的SIM卡 才能操作银行账户。即使用户名密码被窃取,盗取人也无法操作被盗取人的银行账户,造成 经济损失。幻将用户的持手机时的特定手势作为安全认证手段,进一步加强了手机银行登 录的安全性。4)将用户在手机触摸屏上触摸出的特定轨迹作为安全认证手段,进一步加强 了手机银行登录的安全性。本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例 的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员, 依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内 容不应理解为对本发明的限制。
1权利要求
1.一种手机银行客户端信息认证方法,其特征是,所述的方法包括手机银行客户信 息绑定步骤和手机银行登录信息验证步骤;其中,所述的手机银行客户信息绑定步骤包括 建立手机SIM卡信息与手机银行注册客户信息的绑定关系; 建立手机硬件信息与手机银行注册客户信息的绑定关系; 所述的手机银行登录信息验证步骤包括 获取登录手机的SIM卡信息和硬件信息;判断所述登录手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手机SIM卡信 息和硬件信息相匹配,如果是则登录信息验证通过,如果否则登录信息验证失败。
2.根据权利要求1所述的方法,其特征是,所述的手机银行客户信息绑定步骤还包括 建立手机特定运动轨迹信息与手机银行注册客户信息的绑定关系;所述的手机银行登录信息验证步骤还包括 获取登录手机的运动轨迹信息;判断所述登录手机的运动轨迹信息是否与对应的绑定关系中的手机特定运动轨迹信 息相匹配,如果是则登录信息验证通过,如果否则登录信息验证失败。
3.根据权利要求1所述的方法,其特征是,所述的手机银行客户信息绑定步骤还包括 建立手机触摸屏特定触摸轨迹信息与手机银行注册客户信息的绑定关系;所述的手机银行登录信息验证步骤还包括 获取登录手机触摸屏的触摸轨迹信息;判断所述登录手机触摸屏的触摸轨迹信息是否与对应的绑定关系中的手机触摸屏特 定触摸轨迹信息相匹配,如果是则登录信息验证通过,如果否则登录信息验证失败。
4.根据权利要求1所述的方法,其特征是,所述的SIM卡信息包括国际移动用户识别 码IMSI ;所述的硬件信息包括国际移动设备身份码IMEI。
5.一种手机银行客户端信息认证方法,其特征是,所述的方法包括将客户端装置设 置在手机中,使所述的手机通过WAP网关分别与手机银行服务器和手机号获取服务器进行 通信,并使所述的手机号获取服务器与所述的手机银行服务器进行通信;其中,所述的手机银行服务器存储手机号码与手机银行注册客户信息的绑定关系、和手机 IMEI与手机银行注册客户信息的绑定关系;所述的客户端装置获取所述手机的SIM卡信息,生成包含SIM卡信息的手机号获取指 令,并将所述的手机号获取指令发送给所述的WAP网关;所述的客户端装置获取所述手机的IMEI,并将所述的手机的IMEI进行加密后发送给 所述的WAP网关;所述的WAP网关接收所述的手机号获取指令,并根据SIM卡信息获取到对应的手机号 码,将包含所述手机号码的手机号获取指令转发给所述的手机号获取服务器;所述的WAP网关接收所述的IMEI,并将所述的IMEI转发给所述的手机银行服务器; 所述的手机号获取服务器接收所述的包含所述手机号码的手机号获取指令,提取出所 述的手机号码并发送给所述的手机银行服务器;所述的手机银行服务器接收所述手机的手机号码和IMEI,判断所述的手机号码和 IMEI是否与对应的绑定关系中的手机号码和IMEI相匹配,如果是则输出登录信息验证通过消息,如果否则输出登录信息验证失败消息。
6.一种手机银行客户端信息认证系统,其特征是,所述的系统包括手机和客户端装 置,所述的客户端装置设置在所述的手机中;所述的系统还包括手机银行服务器;其中,所述的手机银行服务器包括绑定关系存储单元,用于存储手机SIM卡信息与手机银行注册客户信息的绑定关系、 和手机硬件信息与手机银行注册客户信息的绑定关系;登录信息接收单元,用于接收所述手机的SIM卡信息和硬件信息; 登录信息验证单元,用于判断所述手机的SIM卡信息和硬件信息是否与对应的绑定关 系中的手机SIM卡信息和硬件信息相匹配,如果是则输出登录信息验证通过消息,如果 否则输出登录信息验证失败消息; 所述的客户端装置包括SIM卡信息获取单元,用于获取所述手机的SIM卡信息; 硬件信息获取单元,用于获取所述手机的硬件信息; 数据加密单元,用于对获取的SIM卡信息和硬件信息进行加密; 安全通信单元,用于输出加密后的手机的SIM卡信息和手机的硬件信息。
7.根据权利要求6所述的系统,其特征是,所述的绑定关系存储单元还用于存储手机特定运动轨迹信息与手机银行注册客户信 息的绑定关系;所述的登录信息接收单元还用于接收所述手机的运动轨迹信息; 所述的登录信息验证单元还用于判断所述手机的运动轨迹信息是否与对应的绑定关 系中的手机特定运动轨迹信息相匹配,如果是则输出登录信息验证通过消息,如果否则 输出登录信息验证失败消息; 所述的客户端装置还包括运动轨迹获取单元,用于获取所述手机的运动轨迹信息; 所述的安全通信单元还用于输出所述手机的运动轨迹信息。
8.根据权利要求6所述的系统,其特征是,所述的绑定关系存储单元还用于存储手机触摸屏特定触摸轨迹信息与手机银行注册 客户信息的绑定关系;所述的登录信息接收单元还用于接收所述手机的触摸屏触摸轨迹信息; 所述的登录信息验证单元还用于判断所述的触摸屏触摸轨迹信息是否与对应的绑定 关系中的手机触摸屏特定触摸轨迹信息相匹配,如果是则输出登录信息验证通过消息,如 果否则输出登录信息验证失败消息; 所述的客户端装置还包括触摸轨迹获取单元,用于获取所述手机的触摸屏触摸轨迹信息; 所述的安全通信单元还用于输出所述的触摸屏触摸轨迹信息。
9.根据权利要求6所述的系统,其特征是,所述的SIM卡信息包括国际移动用户识别 码IMSI ;所述的硬件信息包括国际移动设备身份码IMEI。
10.一种手机银行客户端信息认证系统,其特征是,所述的系统包括手机和客户端装 置,所述的客户端装置设置在所述的手机中;所述的系统还包括WAP网关、手机号获取服务器和手机银行服务器;其中, 所述的手机银行服务器包括绑定关系存储单元,用于存储手机号码与手机银行注册客户信息的绑定关系、和手机 IMEI与手机银行注册客户信息的绑定关系;登录信息接收单元,用于接收所述手机的手机号码和IMEI ;登录信息验证单元,用于判断所述的手机号码和IMEI是否与对应的绑定关系中的手 机号码和IMEI相匹配,如果是则输出登录信息验证通过消息,如果否则输出登录信息验 证失败消息;所述的客户端装置包括获取指令生成单元,用于获取所述手机的SIM卡信息,生成包含SIM卡信息的手机号获 取指令;硬件信息获取单元,用于获取所述手机的IMEI ; 数据加密单元,用于对所述的手机号获取指令和手机的IMEI进行加密; 安全通信单元,用于输出加密的手机号获取指令和手机的IMEI ; 所述的WAP网关包括指令转发单元,用于接收所述的手机号获取指令,并根据SIM卡信息获取到对应的手 机号码,生成并转发包含所述手机号码的手机号获取指令;硬件信息转发单元,用于接收所述的IMEI,并转发所述的IMEI ; 所述的手机号获取服务器用于接收所述的包含所述手机号码的手机号获取指令,提取 出所述的手机号码并输出。
11.一种手机银行客户端移动终端,所述的移动终端包括手机本体和SIM卡;其特征 是,所述的移动终端还包括客户端装置,所述的客户端装置设置在所述的手机本体中;其 中,所述的客户端装置包括获取指令生成单元,用于获取所述手机的SIM卡信息,生成包含SIM卡信息的手机号获 取指令;硬件信息获取单元,用于获取所述手机的IMEI ;数据加密单元,用于对所述的手机号获取指令和手机的IMEI进行加密;安全通信单元,用于输出加密的手机号获取指令和手机的IMEI。
12.根据权利要求11所述的移动终端,其特征是,所述的手机本体包括加速度传感 器;所述的客户端装置还包括运动轨迹获取单元,用于获取所述手机本体的运动轨迹信息;所述的数据加密单元还用于对所述的运动轨迹信息进行加密;所述的安全通信单元还 用于输出加密的运动轨迹信息。
13.根据权利要求11所述的移动终端,其特征是,所述的手机本体包括触摸屏;所述 的客户端装置还包括触摸轨迹获取单元,用于获取所述手机的触摸屏触摸轨迹信息; 所述的数据加密单元还用于对所述的触摸屏触摸轨迹信息进行加密;所述的安全通信 单元还用于输出加密的触摸屏触摸轨迹信息。
全文摘要
本发明实施例提供了一种手机银行客户端信息认证方法、系统及移动终端,该方法包括手机银行客户信息绑定步骤和手机银行登录信息验证步骤;其中,手机银行客户信息绑定步骤包括建立手机SIM卡信息与手机银行注册客户信息的绑定关系;建立手机硬件信息与手机银行注册客户信息的绑定关系;手机银行登录信息验证步骤包括获取登录手机的SIM卡信息和硬件信息;判断所述登录手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手机SIM卡信息和硬件信息相匹配,如果是则登录信息验证通过,如果否则登录信息验证失败。以解决客户端手机银行系统信息安全性的问题。
文档编号H04L29/08GK102143482SQ201110092438
公开日2011年8月3日 申请日期2011年4月13日 优先权日2011年4月13日
发明者周大文, 姜鹏, 张建平, 张艳, 曾凯, 朱道彬, 王怡 申请人:中国工商银行股份有限公司