专利名称:网络安全身份认证方法和系统的制作方法
技术领域:
本发明涉及一种网络安全身份认证方法和系统。
背景技术:
随着电子商务的发展,网上交易以及越来越普及,因此,对网络交易的安全性要求也越来越高。各大银行纷纷推出了各种U-key来保证网上银行交易的安全性。U-key是用于网上银行电子签名和数字认证的工具,内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保了网上交易的保密性、真实性和完整性。 上述做法具有以下缺点首先,携带不方便每个银行都有自己的U-key,外出时需要携带多个U-key,不方便;其次,一定要有PC,才能使用U-key进行安全的网上交易 ’最后,U-Key成本高于普通智能卡,而且目前,银行卡已经开始从磁条卡向智能卡(包括接触式和非接触式)过渡,而人民银行要求在2015年起,商业银行发行的银行卡均应为金融IC卡, 由于银行卡使用智能卡已经是大势所趋,银行在发智能卡的同时再发行U-Key,增加了运营和维护成本。
发明内容
本发明的目的在于提供一种网络安全身份认证方法,银行不需要额外发行专门的 U-key进行用户身份验证,而是采用用户本身携带的各银行的金融IC卡,就可以对用户合法性进行验证,降低了银行运营成本,并方便用户使用。为实现上述发明目的,本发明采用了以下技术方案一种网络安全身份认证方法, 其特征在于,该方法包括以下步骤运行网络银行客户端软件和U-key组件程序,在检测到用户登录网上银行后,读取智能卡中存储的客户端证书和客户端私钥,并与认证服务器端的服务器证书和服务器私钥交互,验证双方身份,其中所述智能卡为银行卡,存储有用户账户信息。特别的,当双方身份通过验证之后,在智能卡和认证服务器之间建立安全的数据链路,进行网上交易。特别的,上述步骤具体包括在用户登录网上银行后,验证双方身份步骤之前,用户输入PIN码,并校验输入的PIN码与智能卡的PIN码是否一致,如果不一致,结束;如果一致,则进行对双方身份进行验证步骤。特别的,通过使用终端读取智能卡中数据,所述使用终端通过通讯管道与所述认证服务器联机。特别的,所述使用终端安装有网络银行客户端软件,所述认证服务器为银行服务器。特别的,所述使用终端为具有读卡功能的手机或平板电脑。特别的,所述智能卡为接触式或非接触式智能卡。为解决上述问题,本发明还公开一种网络安全身份认证系统,其特征在于,该系统包括智能卡,所述智能卡为银行卡,其中存储有客户端数字证书和客户端私钥;认证服务器,存储有服务器证书和服务器私钥;其中,运行网络银行客户端软件和U-key组件程序,在检测到用户登录网上银行后,获取智能卡中存储的客户端数字证书和客户端私钥,并与认证服务器端的证书和服务器私钥,验证双方身份。特别的,该系统还包括校验装置,用于校验用户输入的PIN码与智能卡的PIN码
是否一致。特别的,该系统还包括使用终端,用于读取智能卡中客户端数字证书和客户端私钥,且所述使用终端通过通讯管道与所述认证服务器联机。特别的,所述使用终端安装有网络银行客户端软件,所述认证服务器为银行服务 器。特别的,所述使用终端为具有读卡功能的手机或平板电脑。特别的,所述智能卡为接触式或非接触式智能卡。有益效果实施本发明,银行就不需要再额外发行专门的U-key,而采用用户本身就携带的各银行的金融IC卡,即可进行用户身份合法性验证,降低了银行的运营和维护成本,同时不再局限于在具有USB接口的设备上进行操作,提高了使用的便利性。
图IA为本发明实施例的网络安全认证方法流程图;图IB为本发明实施例的对用户身份合法性认证的方法流程图;图2为本发明实施例的智能卡和银行服务器交互认证流程图;图3为本发明实施例的网络安全认证系统方框图。
具体实施例方式为详细说明本发明的技术内容、构造特征、所实现目的及效果,以下结合实施方式并配合附图详予说明。目前,银行卡已经开始从磁条卡向智能卡(包括接触式和非接触式)过渡,而人民银行要求在2015年起,商业银行发行的银行卡均应为金融IC卡,故银行卡使用智能卡已经是大势所趋。但是发明人意识到,智能卡本身具有较大的存储空间,作为银行卡使用时,在存储与原磁条卡相当的信息时,仍然富余较大的存储空间,因此本发明基于现有的智能卡结构,增加了安全身份认证和数字签名功能,将U盾功能移植到智能卡,用户只要携带该智能卡,就可以实现安全的远程支付功能。请参阅图1A,一种网络安全认证方法,包括以下步骤检测到用户登录网上银行, 则运行U-key组件程序,读取智能卡中存储的客户端证书和客户端私钥,并与认证服务器端的服务器证书和服务器私钥交互,验证双方身份,其中所述智能卡为银行卡,存储有用户账户信息。当双方身份通过验证之后,在智能卡和认证服务器之间建立安全的数据链路,进行网上交易。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份。数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。在本实施例中,智能卡端存储有客户端数字证书和匹配的私钥,认证服务器存储有服务器证书和匹配的服务器私钥,智能卡内的处理器自带RSA算法运算功能,能够完成 RSA加密和数字签名功能。图IB为本发明实施例的对用户身份合法性认证的方法流程图,在对智能卡和认证服务器双方身份认证之前,还会对持卡人身份合法性进行验证,即,用户输入PIN码,校验输入的PIN码与智能卡的PIN码是否一致,如果不一致,结束;如果一致,则进行进一步认证对双方身份合法性进行验证。在上述实施例中,可以通过使用终端读取智能卡中数据,所述使用终端通过通讯管道与所述认证服务器联机,这里使用终端大多为便于用户携带的移动终端,如手机、平板电脑等,但不限于此,当然,这里的使用终端要具备读取智能卡功能,可以设有智能卡读取接口,通过接触方式读取智能卡;也可以内置无线读卡模块,通过非接触方式读取智能卡。作为一实施例,这里的使用终端安装有U-key组件程序,所述认证服务器为银行服务器。图2为上述实施例中智能卡和认证服务器交互认证流程图。这里以使用终端为平板电脑为例,该平板电脑安装有网银客户端软件,用户登录网银客户端后,为保证后续网上交易的安全性,需要对智能卡和银行服务器双方身份进行认证。智能卡和银行服务器交互过程如下I.客户端让智能卡产生32字节随机数,加上一些信息打包生成客户端握手信息, 这里客户端是相对于服务器的一种叫法,是将客户端软件、终端、智能卡、证书等等一些列组件当做一个整体来看待的。从服务器的角度来看,与服务器交互的对象就是客户端;2.客户端将客户端握手信息传输到服务器;3.服务器端产生32字节随机数,加上一些信息打包,生成服务器握手信息;4.服务器将服务器握手信息和服务器证书发送到客户端;5.客户端将服务器证书发送到智能卡,由智能卡对收到的服务器证书进行验证, 如果验证通过,则登录成功;否则登录失败;6.客户端使用智能卡进行如下过程 (I)产生一个48字节的随机数作为共享主密钥的明文( 2 )该主密钥的明文用服务器证书中的公钥进行加密,生成共享主密钥的密文(3)将客户端握手信息和服务端握手信息算出握手信息哈希值,然后用客户端私钥进行加密,生成握手信息的数字签名;7.客户端从智能卡中获得共享主密钥的密文、握手信息的数字签名;
8.客户端将客户端证书、共享主密钥的密文、握手信息的数字签名发送到服务器;9.服务器检查客户端证书有效性,如果有效,则握手成功;否则握手失败;10.服务器使用客户端证书中的公钥验证握手信息的数字签名是否与客户端和服务端握手信息匹配,如果匹配,则握手成功;否则握手失败,返回错误;11.服务器使用服务器私钥对共享主密钥的密文进行解密,得到共享主密钥的明文;12.双方都使用共享主密钥算出会话密钥。后续通信过程,都使用会话密钥对数据包进行加密,即建立了安全通道,登录成功。请参阅图3,一种网络安全认证系统,用以实施上述的网络安全认证方法,该系统包括智能卡,所述智能卡为银行卡,其中存储有客户端数字证书和客户端私钥;认证服务器,存储有服务器证书和服务器私钥;其中,运行网络银行客户端软件和U-key组件程序, 在检测到用户登录网上银行后,获取智能卡中存储的客户端数字证书和客户端私钥,并与认证服务器端的证书和服务器私钥,验证双方身份。 作为一优选的实施例,该系统还可以包括校验装置,用于校验用户输入的PIN码与智能卡的PIN码是否一致,用户可以通过上述使用终端进行输入。该系统还包括使用终端,用于读取智能卡中数据,且所述使用终端通过通讯管道与所述认证服务器联机。本发明在现有智能卡的硬件架构上,增加安全身份认证和数字签名功能,实现了与U-key同样的功能。实施本发明,银行就不需要再额外发行专门的U-key,而采用用户本身就携带的各银行的金融IC卡,即可进行安全的网上支付,降低了银行的运营和维护成本,同时不再局限于在具有USB接口的设备上进行操作,提高了使用的便利性,同时由于银行卡与U-key捆绑,因此在多张银行卡与多个U-key (尤其是同一银行发行的)共存时,无需逐一匹配,方便用户使用。以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的 等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种网络安全身份认证方法,其特征在于,该方法包括以下步骤 运行网络银行客户端软件和U-key组件程序,在检测到用户登录网上银行后,读取智能卡中存储的客户端证书和客户端私钥,并与认证服务器端的服务器证书和服务器私钥交互,验证双方身份,其中所述智能卡为银行卡,存储有用户账户信息。
2.根据权利要求I所述的网络安全身份认证方法,其特征在于,当双方身份通过验证之后,在智能卡和认证服务器之间建立安全的数据链路,进行网上交易。
3.根据权利要求I所述的网络安全身份认证方法,其特征在于,上述步骤具体包括在用户登录网上银行后,验证双方身份步骤之前,用户输入PIN码, 并校验输入的PIN码与智能卡的PIN码是否一致,如果不一致,结束;如果一致,则进行对双方身份进行验证步骤。
4.根据权利要求I所述的网络安全身份认证方法,其特征在于,通过使用终端读取智能卡中数据,所述使用终端通过通讯管道与所述认证服务器联机。
5.根据权利要求4所述的网络安全身份认证方法,其特征在于,所述使用终端安装有网络银行客户端软件,所述认证服务器为银行服务器。
6.根据权利要求4所述的网络安全身份认证方法,其特征在于,所述使用终端为具有 读卡功能的手机或平板电脑。
7.根据权利要求I所述的网络安全身份认证方法,其特征在于,所述智能卡为接触式或非接触式智能卡。
8.—种网络安全身份认证系统,其特征在于,该系统包括 智能卡,所述智能卡为银行卡,其中存储有客户端数字证书和客户端私钥; 认证服务器,存储有服务器证书和服务器私钥; 其中,运行网络银行客户端软件和U-key组件程序,在检测到用户登录网上银行后,获取智能卡中存储的客户端数字证书和客户端私钥,并与认证服务器端的证书和服务器私钥,验证双方身份。
9.根据权利要求8所述的网络安全身份认证系统,其特征在于,该系统还包括校验装置,用于校验用户输入的PIN码与智能卡的PIN码是否一致。
10.根据权利要求8所述的网络安全身份认证系统,其特征在于,该系统还包括使用终端,用于读取智能卡中客户端数字证书和客户端私钥,且所述使用终端通过通讯管道与所述认证服务器联机。
11.根据权利要求10所述的网络安全身份认证系统,其特征在于,所述使用终端安装有网络银行客户端软件,所述认证服务器为银行服务器。
12.根据权利要求10所述的网络安全身份认证系统,其特征在于,所述使用终端为具有读卡功能的手机或平板电脑。
13.根据权利要求8所述的网络安全身份认证系统,其特征在于,所述智能卡为接触式或非接触式智能卡。
全文摘要
本发明公开一种网络安全身份认证方法,包括以下步骤运行网络银行客户端软件和U-key组件程序,在检测到用户登录网上银行后,读取智能卡中存储的客户端证书和客户端私钥,并与认证服务器端的服务器证书和服务器私钥交互,验证双方身份,其中所述智能卡为银行卡,存储有用户账户信息。实施本发明,银行就不需要再额外发行专门的U-key,而采用用户本身就携带的各银行的金融IC卡,即可进行安全的网上支付,降低了银行的运营和维护成本,同时不再局限于在具有USB接口的设备上进行操作,提高了使用的便利性。本发明同时公开一种网络安全身份认证系统。
文档编号H04L29/06GK102710611SQ20121014744
公开日2012年10月3日 申请日期2012年5月11日 优先权日2012年5月11日
发明者吴旋, 林思坚 申请人:福建联迪商用设备有限公司