專利名稱:采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種采用手機(jī)作為網(wǎng)銀移動數(shù)字證書載體的系統(tǒng),屬于信息技術(shù)安全領(lǐng)域����。
背景技術(shù):
網(wǎng)上銀行又稱網(wǎng)絡(luò)銀行、在線銀行���,是指銀行利用Internet技術(shù)��,通過Internet向客戶提供開戶�����、銷戶��、查詢�����、對帳��、行內(nèi)轉(zhuǎn)帳�、跨行轉(zhuǎn)賬�����、信貸��、網(wǎng)上證券��、投資理財?shù)葌鹘y(tǒng)服務(wù)項目��,使客戶可以足不出戶就能夠安全便捷地管理活期和定期存款�����、支票、信用卡及個人投資等�����?���?梢哉f,網(wǎng)上銀行是在Internet上的虛擬銀行柜臺��。隨著互聯(lián)網(wǎng)����、移動通訊以及計算機(jī)技術(shù)的發(fā)展和人們安全意識的不斷提高,通信安全的重要性日益凸顯����,尤其對于涉及用戶個人隱私和財產(chǎn)安全的網(wǎng)上銀行業(yè)務(wù),更需要確保用戶的賬戶和財產(chǎn)安全�。目前,基于網(wǎng)上銀行的安全通信措施存在多樣化發(fā)展的態(tài)勢���,但對于目前常用的幾種網(wǎng)銀安全機(jī)制����,都存在著一定的局限性,尚未出現(xiàn)一種集安全����、經(jīng)濟(jì)和便捷于一體的網(wǎng)銀安全機(jī)制。目前的常用的網(wǎng)銀安全機(jī)制主要包括:密碼�����、文件數(shù)字證書�、動態(tài)口令卡���、動態(tài)手機(jī)口令�、移動口令牌�、移動數(shù)字證書。密碼是每一個網(wǎng)上銀行必備有認(rèn)證介質(zhì)��,但是密碼非常容易被木馬盜取或被他人偷窺�����,其特點是使用便捷但安全系數(shù)低�����。文件數(shù)字證書是存放在電腦中的數(shù)字證書,每次交易時都需用到�。文件數(shù)字證書具有不可移動性,對經(jīng)常換電腦使用的用戶來說不方便��;且文件數(shù)字證書有可能被盜取���,所以不是絕對安全的����。動態(tài)口令是根據(jù)特定算法生成不可預(yù)測的隨機(jī)數(shù)字組合�,每個口令只能使用一次。動態(tài)口令卡是目前銀行常用的網(wǎng)銀安全機(jī)制之一��,在某些網(wǎng)絡(luò)游戲的密保中也被廣泛應(yīng)用�,在使用中根據(jù)坐標(biāo)位置查找出對應(yīng)口令。動態(tài)口令卡具有可隨身攜帶��、輕便�、不需驅(qū)動、使用方便等優(yōu)點����。但同時受使用次數(shù)的限制,并且由于動態(tài)口令沒有對交易進(jìn)行簽名�,無法防止釣魚網(wǎng)站攻擊�。動態(tài)手機(jī)口令與動態(tài)口令卡一樣�����,是基于動態(tài)口令的安全機(jī)制����。當(dāng)用戶嘗試進(jìn)行網(wǎng)上交易時,銀行會向用戶的手機(jī)發(fā)送短信�,用戶接收到短信后,若能在規(guī)定時間內(nèi)正確輸入短信中的動態(tài)口令�����,則能夠順利完成交易��,反之不能�����。動態(tài)手機(jī)口令的優(yōu)勢在于不需安裝驅(qū)動�����,只需隨身帶手機(jī)即可�����,相對安全��。但從安全角度上說�,動態(tài)手機(jī)口令也沒有對交易進(jìn)行簽名,無法防止釣魚網(wǎng)站攻擊��。移動口令牌也是一種基于動態(tài)口令的安全機(jī)制��,是目前最主流的是基于時間同步的硬件令牌�,在網(wǎng)銀業(yè)務(wù)中被廣泛應(yīng)用。當(dāng)用戶進(jìn)行網(wǎng)上交易時��,輸入移動口令牌上顯示的當(dāng)前的數(shù)據(jù)�����,正確輸入后方可完成本次交易�����,移動口令牌不需要驅(qū)動�,不需要安裝,只要隨身帶就行?����?诹钆频木幋a一旦使用過就立即失效�����。移動口令牌的最大問題也是沒有對交易進(jìn)行簽名����,無法防止釣魚網(wǎng)站攻擊。[0010]移動數(shù)字證書���,使用USB Key存放用戶個人的數(shù)字證書��,并不可讀取。交易時���,通過USB Key對交易信息進(jìn)行簽名�,是目前網(wǎng)銀最常用的安全機(jī)制之一�����。移動數(shù)字證書能夠有效地防止釣魚網(wǎng)站攻擊,但使用時需要安裝驅(qū)動�����,同時USB Key需要隨身攜帶�。綜上,現(xiàn)有的各種網(wǎng)銀安全機(jī)制各有不足之處���,多數(shù)機(jī)制的安全性有待加強(qiáng)����,而安全性可以滿足需要的機(jī)制其便捷性稍差���。
實用新型內(nèi)容為克服以上技術(shù)的缺陷���,本實用新型的目的是提供一種采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng),以實現(xiàn)一個集安全�、經(jīng)濟(jì)、便捷于一體的網(wǎng)銀安全機(jī)制�����,提高用戶在網(wǎng)銀使用中的安全性和便捷性�。本實用新型的技術(shù)方案為:一種采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng)���,包括可相互通信的計算機(jī)和手機(jī),所述手機(jī)內(nèi)安裝有加密SD卡��,所述加密SD卡通過所述手機(jī)的多媒體卡接口與所述手機(jī)的主處理器通信連接����。所述計算機(jī)和手機(jī)可以各自設(shè)有用以實現(xiàn)相互通信的藍(lán)牙通信模塊、數(shù)據(jù)線通信模塊及WLAN通信模塊中的一種或多種���。所述手機(jī)優(yōu)選為智能手機(jī)���,所述WLAN通信模塊優(yōu)選采用WIFI通信模塊。所述計算機(jī)內(nèi)可設(shè)有CSP中間件和/或PKCS#11中間件��。所述多媒體卡接口優(yōu)選采用標(biāo)準(zhǔn)SD卡接口���,所述手機(jī)的主處理器設(shè)有用于控制其與所述加密SD卡交換數(shù)據(jù)的SDIO控制器�����,且所述SDIO控制器優(yōu)選采用可兼容SD101.1和SD物理層規(guī)范1.1/2.0的SDIO控制器。所述加密SD卡優(yōu)選采用具有國家商密資質(zhì)的加密芯片制成�����。所述加密SD卡的結(jié)構(gòu)模型可分為上層的SD卡核心COS和下層的SD卡通信模塊。所述加密SD卡可以由安全智能卡和通用SD FLASH封裝而成����,其外形為標(biāo)準(zhǔn)的MicroSD卡、MiniSD卡或SD卡的外型����。所述安全智能卡的結(jié)構(gòu)模型可以劃分為:流程控制模塊層、協(xié)議模塊層�����、基礎(chǔ)模塊層和適配層�,所述流程控制模塊層可以包括指令總控模塊、CSP消息處理模塊��、PKCS#11消息處理模塊和銀行擴(kuò)展消息處理模塊���,所述協(xié)議模塊層可以包括CSP消息協(xié)議模塊�����、PKCS#11消息協(xié)議模塊和銀行擴(kuò)展消息協(xié)議模塊�,所述基礎(chǔ)模塊層可以包括文件讀寫模塊、文件事務(wù)寫模塊�、序列號事務(wù)寫模塊和加解密算法模塊,所述適配層可以包括FLASH讀寫模塊�����、加密基礎(chǔ)算法模塊��、隨機(jī)數(shù)生成模塊和數(shù)據(jù)傳輸模塊�。所述系統(tǒng)還可以包括網(wǎng)絡(luò)銀行交易子系統(tǒng)和/或網(wǎng)絡(luò)證券交易子系統(tǒng),所述網(wǎng)絡(luò)銀行交易子系統(tǒng)包括銀行web服務(wù)器和銀行CA證書服務(wù)器���,所述網(wǎng)絡(luò)證券交易子系統(tǒng)包括證券web服務(wù)器和證券CA證書服務(wù)器���,所述銀行web服務(wù)器和/或證券web服務(wù)器與所述計算機(jī)經(jīng)由互聯(lián)網(wǎng)通信連接。本實用新型的有益效果為:通過在手機(jī)中加入加密SD卡和安裝加密組件�����,使手機(jī)成為移動數(shù)字證書的載體�����,大大提高了移動數(shù)字證書的便攜性����;安裝在手機(jī)中的加密SD卡的適配層具有加密基礎(chǔ)算法模塊和數(shù)據(jù)傳輸模塊,兩種模塊使手機(jī)作為移動數(shù)字證書的用戶PIN碼的輸入設(shè)備���,可有效抵御用戶電腦上木馬程序的攻擊���;此外用戶通過手機(jī)作為移動數(shù)字證書的敏感信息的輸出設(shè)備,能夠為用戶提供更好的人機(jī)界面����,優(yōu)化用戶體驗;該系統(tǒng)中的加密SD卡還能夠為手機(jī)的網(wǎng)上交易提供安全服務(wù)���,為將來電腦網(wǎng)銀和智能手機(jī)銀行在安全機(jī)制上的統(tǒng)一奠定了基礎(chǔ)��。
圖1是本實用新型的一種實施例的內(nèi)部結(jié)構(gòu)示意圖��;圖2是本實用新型的一種實施例的拓?fù)浣Y(jié)構(gòu)示意圖�;圖3是本實用新型的加密SD卡硬件結(jié)構(gòu)示意圖����;圖4是本實用新型的安全智能卡的內(nèi)部模塊圖;圖5是本實用新型的工作流程示意圖�。
具體實施方式
如圖1所示��,本實用新型提供了一種采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng)���,其核心包括可相互通信的計算機(jī)(或稱計算機(jī)端、PC端���,下同)和手機(jī)(或稱手機(jī)端��,下同)�,所述手機(jī)內(nèi)安裝有加密SD卡�,所述加密SD卡通過所述手機(jī)的多媒體卡接口與所述手機(jī)的主處理器通信連接。PC端可將生成的數(shù)字證書通過PC端的加密組件和手機(jī)端的加密組件加載到加密SD卡中����。所有的用戶私密信息(數(shù)字證書、公司鑰對�����、私密數(shù)據(jù)等)都存儲在加密SD卡中�����。所述計算機(jī)和手機(jī)各自設(shè)有用以實現(xiàn)相互通信的藍(lán)牙通信模塊、數(shù)據(jù)線通信模塊及WLAN通信模塊中的一種或多種�,用以實現(xiàn)二者間的信息交互。在圖1所示的實施例中���,所述PC端的上層提供CSP、PKCS#11等中間件接口和銀行定制接口���,它們均支持X.509標(biāo)準(zhǔn)證書格式�,并且實現(xiàn)加密SD卡中的證書自動注冊到Windows系統(tǒng)“MY區(qū)”�����;下層提供與手機(jī)(優(yōu)選為智能手機(jī))之間的藍(lán)牙���、數(shù)據(jù)線����、WIFI通信模塊����,手機(jī)端則相應(yīng)提供與PC端通信的藍(lán)牙通信模塊、數(shù)據(jù)線通信模塊�����、WIFI通信模塊,同時還手機(jī)端還提供用以同加密SD卡通信的通信模塊����。而加密SD卡底層提供用以同手機(jī)通信的通信模塊,上層是提供各類加密服務(wù)的核心COS��。用戶在使用的時候����,只需將智能手機(jī)通過藍(lán)牙、數(shù)據(jù)線��、WIFI等方式連接到PC端��,便可以享受該系統(tǒng)提供的數(shù)字證書服務(wù)�,包括用戶認(rèn)證、公私鑰生成��、證書導(dǎo)入/導(dǎo)出�����、數(shù)據(jù)加密/解密���、數(shù)據(jù)簽名/驗簽���、文件操作等����。所述多媒體卡接口優(yōu)選采用標(biāo)準(zhǔn)SD卡接口��,所述手機(jī)的主處理器(也即圖1所示的手機(jī)端主控模塊)設(shè)有用于控制其與所述加密SD卡交換數(shù)據(jù)的可兼容SD101.1和SD物理層規(guī)范1.1/2.0的SDIO控制器�,通過所述SDIO控制器�,所述加密SD卡實現(xiàn)與手機(jī)進(jìn)行數(shù)據(jù)交互。所述加密SD卡采用國家商密資質(zhì)的加密芯片制成����,其安全強(qiáng)度與傳統(tǒng)的USB KEY方式的移動數(shù)字證書一致,能夠有效防止釣魚網(wǎng)站的攻擊�����,使其安全性得到保證����。如圖3所示,所述加密SD卡優(yōu)選由專用安全智能卡和通用SD FLASH封裝而成��,其外形為標(biāo)準(zhǔn)的MicroSD卡、MiniSD卡或SD卡的外型���。所述安全智能卡優(yōu)選為支持IS07816接口和SPI從屬模式的加密智能卡����,SDIO控制器通過Flash接口與Flash進(jìn)行數(shù)據(jù)交互和傳輸��,通過IS07816/SPI接口與HS32U2芯片(安全智能卡的核心部分)進(jìn)行數(shù)據(jù)交互����。由于通用SD FLASH的存在,使加密SD卡提供了普通SD卡的存儲功能����,因此不影響用戶對普通手機(jī)SD卡的大容量存儲需求。[0035]如圖4所示�����,所述安全智能卡的內(nèi)部結(jié)構(gòu)模型可劃分為四層�,分別是流程控制模塊層、協(xié)議模塊層�����、基礎(chǔ)模塊層和適配層。流程控制模塊層定義了系統(tǒng)處理各類信息的流程控制��,包括指令總控模塊����、CSP消息處理模塊、PKCS#11消息處理模塊和銀行擴(kuò)展消息處理模塊等四個模塊���;協(xié)議模塊層負(fù)責(zé)處理本系統(tǒng)中各類信息的構(gòu)造和解析�,包括CSP消息協(xié)議模塊���、PKCS#11消息協(xié)議模塊和銀行擴(kuò)展消息協(xié)議模塊等三個模塊;基礎(chǔ)模塊層負(fù)責(zé)處理本系統(tǒng)支持上層應(yīng)用所必需的基礎(chǔ)功能��,包括文件讀寫模塊���、文件事務(wù)寫模塊��、序列號事務(wù)寫模塊和加解密算法模塊等四個模塊����;適配層負(fù)責(zé)封裝為智能卡基礎(chǔ)API提供統(tǒng)一的接口�����,包括FLASH讀寫模塊、加密基礎(chǔ)算法模塊�、隨機(jī)數(shù)生成模塊和數(shù)據(jù)傳輸模塊等四個模塊。如圖2所示�,當(dāng)用于網(wǎng)銀交易或證券交易時,該系統(tǒng)還可以包括網(wǎng)絡(luò)銀行交易子系統(tǒng)或網(wǎng)絡(luò)證券交易子系統(tǒng)�����,所述網(wǎng)絡(luò)銀行交易子系統(tǒng)包括銀行web服務(wù)器和銀行CA證書服務(wù)器����,所述網(wǎng)絡(luò)證券交易子系統(tǒng)包括證券web服務(wù)器和證券CA證書服務(wù)器,所述銀行web服務(wù)器或證券web服務(wù)器與所述計算機(jī)經(jīng)由互聯(lián)網(wǎng)通信連接��,以實現(xiàn)互訪和信息交互��。當(dāng)然�,該系統(tǒng)也可能同時包含網(wǎng)絡(luò)銀行交易子系統(tǒng)和網(wǎng)絡(luò)證券交易子系統(tǒng)。以網(wǎng)銀交易為例���,如圖5所示�,本實用新型的典型的工作流程為:I)用戶通過PC端上網(wǎng)�,打開瀏覽器����,進(jìn)入網(wǎng)上銀行��;2)用戶點擊與該系統(tǒng)相對應(yīng)的安全機(jī)制的初始化頁面��,下載證書��;3)通過瀏覽器將銀行服務(wù)器端生成的證書通過PC端加密組件�、智能手機(jī)端加密組件最終加載到加密SD卡中;4)用戶點擊交易頁面進(jìn)行交易�����;5)瀏覽器調(diào)用PC端加密組件相應(yīng)接口對交易簽名��;6)智能手機(jī)端加密組件彈出PIN碼輸入框���,用戶通過智能手機(jī)輸入PIN碼;7)加密SD卡在成功驗證PIN碼后����,對交易信息進(jìn)行簽名,并且返回簽名結(jié)果����;8)瀏覽器將簽名結(jié)果發(fā)送到服務(wù)器端����,服務(wù)器端協(xié)同后臺CA對簽名進(jìn)行驗證�����,在驗證成功之后完成交易��。該系統(tǒng)可向用戶提供認(rèn)證���、公私鑰生成�����、證書導(dǎo)入/導(dǎo)出�、數(shù)據(jù)加密/解密���、數(shù)據(jù)簽名/驗簽�����、文件操作等服務(wù)��,相對于傳統(tǒng)網(wǎng)銀的安全媒介而言����,其優(yōu)勢主要體現(xiàn)在:I)使用智能手機(jī)作為移動數(shù)字證書的載體,大大提高了移動數(shù)字證書攜帶的便利性���;2)通過智能手機(jī)作為移動數(shù)字證書的用戶PIN碼的輸入設(shè)備��,有效地抵御了用戶電腦上木馬程序的攻擊����;3)通過智能手機(jī)作為移動數(shù)字證書的敏感信息的輸出設(shè)備����,能夠向用戶提供更加友好的人機(jī)界面,優(yōu)化用戶體驗�;4)系統(tǒng)中的加密SD卡還能夠為智能手機(jī)的網(wǎng)上交易提供安全服務(wù),為將來電腦網(wǎng)銀和手機(jī)銀行在安全機(jī)制上的統(tǒng)一奠定基礎(chǔ)��。
權(quán)利要求1.一種采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng)��,其特征在于包括可相互通信的計算機(jī)和手機(jī)����,所述手機(jī)內(nèi)安裝有加密SD卡,所述加密SD卡通過所述手機(jī)的多媒體卡接口與所述手機(jī)的主處理器通信連接���。
2.如權(quán)利要求1所述的采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng)��,其特征在于所述計算機(jī)和手機(jī)各自設(shè)有用以實現(xiàn)相互通信的藍(lán)牙通信模塊���、數(shù)據(jù)線通信模塊及WLAN通信模塊中的一種或多種。
3.如權(quán)利要求2所述的采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng)�����,其特征在于所述手機(jī)為智能手機(jī)��,所述WLAN通信模塊采用WIFI通信模塊�。
4.如權(quán)利要求3所述的采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述計算機(jī)內(nèi)設(shè)有CSP中間件和/或PKCS#11中間件����。
5.如權(quán)利要求4所述的采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述多媒體卡接口采用標(biāo)準(zhǔn)SD卡接口���,所述手機(jī)的主處理器設(shè)有用于控制其與所述加密SD卡交換數(shù)據(jù)的可兼容SD101.1和SD物理層規(guī)范1.1/2.0的SDIO控制器����。
6.如權(quán)利要求5所述的采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述加密SD卡采用具有國家商密資質(zhì)的加密芯片制成�。
7.如權(quán)利要求6所述的采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述加密SD卡的結(jié)構(gòu)模型分為上層的SD卡核心COS和下層的SD卡通信模塊����。
8.如權(quán)利要求1-7中任一權(quán)利要求所述的采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述加密SD卡由安全智能卡和通用SD FLASH封裝而成����。
專利摘要本實用新型涉及一種采用手機(jī)作為移動數(shù)字證書載體的系統(tǒng),包括可相互通信的計算機(jī)和手機(jī)�,所述手機(jī)內(nèi)安裝有加密SD卡,所述加密SD卡通過所述手機(jī)的多媒體卡接口與所述手機(jī)的主處理器通信連接��,所述加密SD卡采用具有國家商密資質(zhì)的加密芯片制成�����,由安全智能卡和通用SDFLASH封裝而成�。本實用新型應(yīng)用于通信安全技術(shù)領(lǐng)域,針對現(xiàn)代人對手機(jī)的高度依賴性���,將手機(jī)作為移動數(shù)字證書的硬件載體應(yīng)用于網(wǎng)銀交易等涉及數(shù)字證書的安全操作中���,可防止釣魚網(wǎng)站的攻擊,還攜帶方便��,集安全�、經(jīng)濟(jì)和便捷于一體的優(yōu)點,可用于認(rèn)證����、公私鑰生成、證書導(dǎo)入/導(dǎo)出����、數(shù)據(jù)加密/解密、數(shù)據(jù)簽名/驗簽���、文件操作等服務(wù)����。
文檔編號G06F21/33GK202998240SQ20122057340
公開日2013年6月12日 申請日期2012年11月2日 優(yōu)先權(quán)日2012年11月2日
發(fā)明者張文, 張文斌 申請人:北京太極星空科技有限公司