;如果验证结果是正确的,则在步骤S628,业务服务器504完成业务终端502所请求的业务,否则终止当前操作。这里所说的“验证……是否正确”的方式,可以是安全认证服务器505利用与产生动态口令相同的运算方法,运算得出验证口令,然后将验证口令与接收到的动态口令进行比对,来确定接收到的动态口令是否正确(即,确定验证口令与接收到的动态口令是否相同,或者说,确定二者是否完全一样),也可以是本领域普通技术人员在阅读本说明书后能够想到的其他方式。
[0079]这里,还有一种简化的实现方式,S卩,依靠业务终端与安全令牌之间的通信功能传递数字文件,则预处理装置在进行预处理时无需将密文和认证信息调制成媒体文件。换句话说,调制成媒体文件和解调媒体文件的步骤、以及相应的调制和解调装置(或单元)在本发明中并不是必须的,而是也可以将密文和认证信息形成为数字文件,相应地对该文件中的认证信息进行验证并把其中的密文解密。例如,业务终端具备与安全令牌进行诸如近场通信(Near Field Communicat1n)、红外通信、蓝牙通信、和/或WiFi通信等的能力,预处理装置在进行预处理时只需对业务信息进行加密和用认证信息实现完整性保护,然后将加密形成的密文和认证信息形成为数字文件,经由业务终端将该数字文件发送给安全令牌,安全令牌对数字文件中的认证信息进行验证,并在验证正确的情况下对密文进行解密即可得到业务信息原文。
[0080]此外,在上述业务处理的流程中,媒体文件(例如,声音文件)在业务终端提供(例如,播放)并不是必须的。实际上,本领域普通技术人员在阅读本说明书后能够想到,媒体文件也可以通过任何其他通道提供给安全令牌。图7是示出了根据本发明的另一个示例性【具体实施方式】的另一种业务处理系统进行业务处理的示例性流程图,其中示出了通过另一种通道来传递媒体文件的方式。
[0081]如图7所示,该另一种业务处理系统与图5和6所示的业务处理系统不同的是,增加了第三方通信服务单元509。这种业务处理系统可以按照如下流程进行业务处理:
[0082]首先,在步骤S711,用户通过业务终端502向业务服务器504发起业务请求。然后,业务服务器504在步骤S712根据业务请求产生业务信息(例如,交易信息),并在步骤S713将该业务信息发送给预处理装置508。
[0083]接着,预处理装置508在步骤S714对该业务信息进行加密和运算认证信息的预处理以形成调制的媒体文件。这种预处理例如可以与前述步骤S614的相同,在此不再赘述。之后,预处理装置508在步骤S715将调制的媒体文件直接发送给第三方通信服务单元509,第三方通信服务单元509再在步骤S716将调制的媒体文件提供给(例如,将调制的声音文件播放给)安全令牌501。
[0084]随后,安全令牌501利用调制的媒体文件产生动态口令。例如,安全令牌501可以通过以下步骤产生动态口令:在步骤S717,把调制的媒体文件解调成报文,该报文包括解调密文和解调认证信息;在步骤S718,验证解调认证信息和把解调密文解密成解密的业务信息,并展示该业务信息;如果验证解调认证信息正确,则例如在步骤S719,用户根据安全令牌501展示出的业务信息按“确认”或者“取消”键,以使得安全令牌501获取用户输入的交互指令;在获取用户输入的交互指令是“确认”(即,确认正确)的情况下,在步骤S720,安全令牌501根据解密的业务信息运算出动态口令。当然,若用户输入的交互指令是“取消”(即,确认不正确或确认不进行业务操作),则不再计算动态口令。
[0085]然后,安全令牌501输出动态口令,例如,在步骤S721,将动态口令显示给用户并由用户将动态口令输入到业务终端502。
[0086]接着,就可以利用安全令牌501产生的动态口令进行业务操作。利用该动态口令进行业务操作可以包括:在步骤S722,业务终端502将动态口令提交给业务服务器504 ;在步骤S723,业务服务器504发送业务信息和动态口令给安全认证服务器505以用于验证;安全认证服务器505在步骤S724根据业务信息运算得出验证口令,并且例如在步骤S725通过比较的方式用验证口令验证来自业务服务器504的动态口令是否正确,并在步骤S726发送验证结果给业务服务器504 ;如果验证结果是正确的,则在步骤S727,业务服务器504完成业务终端502所请求的业务,否则终止当前操作。这里所说的“验证……是否正确”的方式,可以是安全认证服务器505利用与产生动态口令相同的运算方法,运算得出验证口令,然后将验证口令与接收到的动态口令进行比对,来确定接收到的动态口令是否正确(即,确定验证口令与接收到的动态口令是否相同,或者说,确定二者是否完全一样),也可以是本领域普通技术人员在阅读本说明书后能够想到的其他方式。
[0087]在该【具体实施方式】中,与图5和6所示的业务处理系统不同的是,增加了第三方通信服务单元509,该第三方通信服务单元509例如可以包括通信服务器和通信终端,通信服务器例如可以是即时通信(例如,微信平台、飞信平台等)设施、彩信网关设施、和/或呼叫中心等,通信终端例如可以是手机、座机电话、PC机、和/或平板电脑等。当然,上述设备也可以是本领域普通技术人员在阅读本说明书后能够想到的其他设备。由于图7相应给出了第三方通信服务单元509在系统中的位置和功能,本领域普通技术人员在阅读本说明书后能够想到第三方通信服务单元在整个系统架构中的构成方式,因此,在此省略了该【具体实施方式】的系统方框图。
[0088]类似地,在该实施方式中,也有一种简化的实现方式,S卩,依靠第三方通信服务单元与安全令牌之间的通信功能传递数字文件,则预处理装置在进行预处理时无需将密文和认证信息调制成媒体文件。例如,第三方通信服务单元具备与安全令牌进行诸如近场通信(Near Field Communicat1n)、红外通信、蓝牙通信、和/或WiFi通信等的能力,预处理装置在进行预处理时只需对业务信息进行加密和用认证信息实现完整性保护,然后将加密形成的密文和认证信息形成为数字文件,经由第三方通信服务单元将该数字文件发送给安全令牌,安全令牌对数字文件中的认证信息进行验证,并在验证正确的情况下对密文进行解密即可得到业务信息原文。
[0089]此外,在本发明中,认证信息可以是消息鉴别码或者数字签名。以消息鉴别码或者数字签名作为认证信息,能为本发明提供源认证和完整性保护功能,其中消息鉴别码是基于对称密钥机制实现的,数字签名是基于非对称密钥机制实现的。
[0090]另外,可选的是,预处理装置508可以作为独立的设备存在,也可以并入安全认证服务器或业务服务器成为一体以简化整个系统。
[0091]这里需要说明的是,在本发明中,将信息调制成音频或视频等传输信道上可以使用的音频或视频等的媒体文件的调制方法、相应的解调方法,可以采用通信领域的已知技术,例如,进行数据传输时所采用的标准FSK (频移键控)方法等,因此在此不再详述。
[0092]本发明避免了用户手工输入挑战值,减少了用户操作,使得操作更加简单。
[0093]通过对业务信息进行加密并形成认证信息,本发明的避免了现有技术中存在的安全隐患,提高了产生动态口令和业务处理的安全性。具体而言,现有技术中,由于没有认证机制,任何符合其编码规则的信息都可以发送到挑战-响应令牌,对业务信息(例如,交易信息)的确认依赖于用户的人工确认,容易被实施中间人攻击。以音频方式为例,假如用户甲访问网银想转给第三人丙一笔费用,中间人乙介于用户甲和网银之间,让用户甲感觉是在给第三人丙转账,而中间人乙同时正在访问真正的网银,将交易变为转账给另一人丁,中间人乙将转给另一人丁的交易信息打包成音频信息发给用户甲,用户甲的令牌接收到音频,解析出交易信息给用户甲,用户甲如果未注意到目标账户变化(因为用户通常只关注到转账金额的具体数额,而目标账户是一串很长的数字,且前面的数字通常是银行的统一代码,因此往往使得用户忽略对目标账户的检查),点击“确认”键,并将令牌生成的动态口令输入到业务终端,攻击者就获得了正确的动态口令,进而形成有效攻击,这笔钱成功转账至另一人丁的账户而非目标第三人丙的账户,造成用户损失。其他传递方式也存在同类攻击。本发明通过对业务信息进行加密并形成认证信息,从而使得中间人在没有获得加密和认证手段的情况下,无法将其期望的交易信息打包成例如调制的媒体文件发给用户,因而无法获得正确的动态口令,避免了将用户资金非正当转账之类导致用户损失的情况发生,提高了产生动态口令和业务处理的安全性。
[0094]另外,现有技术中的业务处理没有采用完整性保护机制,业务信息在传输过程中只要出现I比特的错位,都会导致挑战-响应令牌运算出的动态口令与安全认证服务器侧不一致,导致正常的业务操作无法完成。再有,令牌在从音频或图像文件中还原业务信息时,发生错误的可能性也很大。本发明通过将加密的业务信息和形成的认证信息调制成媒体文件,从而保证了调制的媒体文件在传输过程和还原过程中的完整性,确保了正常的业务操作的完成。此外,本发明把可包含任意字符的完整业务信息作为产生动态口令的挑战值,实现了挑战值与业务的强关联,适用于任何形式的业务处理(例如,交易)。
[0095]再有,现有技术中的业务信息没有采用加密机制,如果业务信息以无线或者声音等方式从业务终端发送到令牌,那么有可能被其他设备捕获并还原出业务信息,从而导致敏感信息的泄露。本发明通过将业务信息加密,使得捕获这些加密信息的其他设备不易于还原业务信息,避免了敏感信息的泄露。
[0096]如前所述,本发明的安全令牌上可取消时间因子或者事件因子,可更换电池,使得令牌寿命大大延长。
[0097]前面结合本发明的典型实施方式和实例详细描述了本发明,但本领域的技术人员可以理解,这些典型实施方式和实例并不应作为对本发明的保护范围的限制,本领域的技术人员可以对它们做任何适当的修改和组合,并且那些对本领域的技术人员来说很明显的修改、变换和替换都应落在本发明的保护范围内。
【主权项】
1.一种