專利名稱:數(shù)據(jù)認證方法及使用該方法的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種數(shù)據(jù)認證方法及使用該方法的系統(tǒng)��。
背景技術(shù):
網(wǎng)絡(luò)的快速發(fā)展及其提供的極大便利�����,使人們越來越多的依賴網(wǎng)絡(luò)進行各種活動��,譬如網(wǎng)上銀行�����、網(wǎng)上購物�、網(wǎng)上繳費等;網(wǎng)絡(luò)在為人們提供便捷性的同時��,因為其的開放性,也為人們帶來了極大的安全風(fēng)險�����,相應(yīng)地����,網(wǎng)絡(luò)信息安全也越來越引起人們重視。網(wǎng)絡(luò)安全的前提是準(zhǔn)確識別合法用戶���,實現(xiàn)訪問控制。用戶的身份認證和交易認證是網(wǎng)絡(luò)應(yīng)用中安全體系的一個重要組成部分�,合法用戶的訪問授權(quán)是通過身份認證來實現(xiàn)的。目前���,網(wǎng)絡(luò)采用的身份認證和交易認證模式主要有以下幾種1)用戶名加口令安全級別極低��,該方法的安全性無法保障��,目前基本被淘汰���;2)手機動態(tài)認證碼通過用戶開戶時綁定的手機號碼,系統(tǒng)將隨機生成的動態(tài)認證碼通過短信的形式發(fā)送給用戶實現(xiàn)用戶身份的識別���,實現(xiàn)起來方便����,只需具備一個手機即可;3)數(shù)字證書數(shù)字證書是有權(quán)威公正CA證書授權(quán)(Certificate Authority)中心簽發(fā)的����,以數(shù)字證書為核心的加密機制可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和驗證���,確保網(wǎng)絡(luò)上傳遞消息的機密性��、完整性以及交易實體的真實性�,簽名的不可否認性�,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。4)動態(tài)令牌動態(tài)令牌是一種內(nèi)置電源����、密碼生成芯片和顯示屏、根據(jù)專門的算法每隔一定時間自動更新動態(tài)口令的專用硬件���。一般分為兩種���,一種為挑戰(zhàn)模式,這類產(chǎn)品典型代表為刮刮卡和可輸入挑戰(zhàn)的令牌。另一種為時間同步模式令牌��。上述現(xiàn)有技術(shù)都存在一些安全隱患和不方便之處���,手機動態(tài)認證技術(shù)當(dāng)手機丟失或網(wǎng)絡(luò)不通暢時���,都會影響用戶的使用;使用動態(tài)令牌實現(xiàn)認證的系統(tǒng)中����,動態(tài)令牌有一個致命的缺陷,無法抵抗木馬篡改攻擊���,而且服務(wù)器需要存儲動態(tài)令牌的種子,存在著巨大的安全隱患��。數(shù)字證書在理論上是最安全的一種方式�����,但是依然存在證書丟失或盜用的情況��, 為解決這個問題�����,專利200410028723. 9描述了一種USBKEY的裝置,USBKEY是一種智能存儲設(shè)備���,可用于存放數(shù)字證書�����,內(nèi)有安全芯片��,可進行數(shù)字簽名和簽名驗證的運算����,外形小巧���, 可插在電腦的USB接口中使用�,隨著網(wǎng)銀的日漸普及�,選擇USBKEY來保護網(wǎng)銀安全的用戶已經(jīng)達到很客觀的數(shù)量,目前網(wǎng)上銀行多用其對客戶進行身份認證���。但是�����,該方法雖然解決了數(shù)字證書的保存問題���,在使用中仍存在遠程控制和交易劫持�、交易篡改問題�。銀行卡自誕生以來,始終是以磁條卡的形式存在和發(fā)展��。磁條卡在給人們帶來便利的同時���,由于其非常容易被仿制����,給銀行卡組織帶來高額資金風(fēng)險��,為防范磁條卡的欺詐風(fēng)險�����,銀行卡組織推出了銀行卡由磁條卡向智能芯片卡遷移的戰(zhàn)略(EMV遷移)���。我國的EMV 遷移準(zhǔn)備工作也已基本就緒,首先����,金融IC卡的相關(guān)規(guī)則已制定�����、修改完畢����。1999年���,央行頒布《中國金融集成電路(IC卡規(guī)范1. 0版)》��,并于2005年3月完成修訂�����,形成《中國金融集成電路(IC卡規(guī)范2.0版)》��,簡稱PB02.0�����。該版本的發(fā)布實施標(biāo)志著我國EMV遷移有了自己的標(biāo)準(zhǔn)�。2010年5月�����,央行再次修訂標(biāo)準(zhǔn)并頒布《中國金融集成電路(IC)卡規(guī)范》, 并制定了中國EMV遷移的時間表���。如使用智能芯片卡的銀行卡�,則可以直接使用智能芯片卡來代替USBKEY��,從而可以節(jié)約一筆相當(dāng)大的用于配發(fā)USBKEY的成本����,具有良好的社會效益。因此�����,有必要結(jié)合智能卡來對網(wǎng)絡(luò)認證方式做進一步的改進�。
發(fā)明內(nèi)容
本發(fā)明的目的在于,提供一種數(shù)據(jù)認證方法及使用該方法的系統(tǒng)�,解決當(dāng)前網(wǎng)絡(luò)中的身份認證和數(shù)據(jù)傳輸安全問題。為了實現(xiàn)上述目的���,本發(fā)明提供一種數(shù)據(jù)認證方法�����,其包括如下步驟步驟1����、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接�,將聯(lián)網(wǎng)計算機電性連接所要實現(xiàn)業(yè)務(wù)請求的服務(wù)器端,然后在聯(lián)網(wǎng)計算機輸入相關(guān)信息而向服務(wù)器端發(fā)出業(yè)務(wù)請求��,該智能卡存儲有用戶信息及私鑰�,該認證裝置設(shè)有鍵盤和顯示屏;步驟2���、服務(wù)器端根據(jù)收到的業(yè)務(wù)請求而處理生成數(shù)據(jù)信息��,數(shù)據(jù)信息包括驗證信息��,服務(wù)器端在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰����,利用該公鑰對數(shù)據(jù)信息進行加密而形成密文�����,將密文返回給聯(lián)網(wǎng)計算機�����;步驟3、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置��,通過認證裝置將密文發(fā)送給智能卡�����;步驟4���、智能卡利用存儲的用戶私鑰對密文進行解密�,將解密獲得的數(shù)據(jù)信息顯示在該認證裝置的顯示屏上�;步驟5、將該認證裝置上顯示的數(shù)據(jù)信息中需輸入的驗證信息輸入到該聯(lián)網(wǎng)計算機上的業(yè)務(wù)請求頁面并請求服務(wù)器端驗證���;步驟6����、服務(wù)器端對收到的驗證信息和存儲的驗證信息進行比較驗證�,如一致,則驗證通過�,執(zhí)行用戶業(yè)務(wù)請求,否則拒絕;步驟7�、服務(wù)器端將業(yè)務(wù)請求處理結(jié)果返回給聯(lián)網(wǎng)計算機。所述業(yè)務(wù)請求為登錄請求�,在步驟1中����、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,將聯(lián)網(wǎng)計算機電性連接所要登陸的認證服務(wù)器���, 然后在聯(lián)網(wǎng)計算機輸入用戶名而發(fā)出登錄請求�,該智能卡存儲有用戶信息及私鑰����,該認證裝置設(shè)有鍵盤和顯示屏;在步驟2中����、認證服務(wù)器收到用戶的登陸請求后,將隨機產(chǎn)生驗證碼���,并在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰����,利用該公鑰對驗證碼進行加密而形成密文, 將密文返回給聯(lián)網(wǎng)計算機����;在步驟3中、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置�,通過認證裝置將密文發(fā)送給智能卡;在步驟4中�����、智能卡利用存儲的用戶私鑰對密文進行解密���,將解密獲得的驗證碼顯示在該認證裝置的顯示屏上���;在步驟5中、將該認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的登陸頁面���,請求登陸驗證�����;在步驟6中�、認證服務(wù)器對收到的驗證碼和存儲的驗證碼進行比較驗證����,如一致��,則驗證通過�,用戶登陸成功�����,否則拒絕登陸���; 在步驟7中、認證服務(wù)器將登陸處理結(jié)果返回給聯(lián)網(wǎng)計算機����。所述步驟2或步驟6中還包括用戶口令驗證;所述步驟4中的解密步驟是在智能卡內(nèi)部完成的���。 所述業(yè)務(wù)請求為交易請求��,在步驟1中���、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,然后登陸相應(yīng)的頁面��,輸入相應(yīng)的交易信息,然后向交易服務(wù)器發(fā)出交易請求����,該智能卡存儲有用戶信息及私鑰,該認證裝置設(shè)有鍵盤和顯示屏�;在步驟2中、交易服務(wù)器在收到用戶的交易請求后��,隨機產(chǎn)生驗證碼����,在用戶數(shù)據(jù)庫中查找該用戶的公鑰,利用該公鑰將交易信息和隨機驗證碼打包加密而形成密文�����,將密文返回給聯(lián)網(wǎng)計算機��;在步驟3中��、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置�,通過認證裝置將密文發(fā)送給智能卡;在步驟4中����、智能卡利用存儲的用戶私鑰對密文進行解密�����,將解密后的交易信息和隨機驗證碼顯示在該認證裝置的顯示屏上�;在步驟5中�����、用戶驗證該認證裝置上顯示的交易信息����,如確認��,則將所述認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的交易請求驗證頁面����,并通過按壓相應(yīng)鍵盤按鍵對交易信息進行簽名,將簽名結(jié)果傳給聯(lián)網(wǎng)計算機�����,聯(lián)網(wǎng)計算機將驗證碼和簽名發(fā)送給交易服務(wù)器��;在步驟6中���、交易服務(wù)器對收到的驗證碼和存儲的本次交易的驗證碼進行比較驗證����,如一致,則驗證用戶簽名�,否則拒絕本次交易,交易失?�?��;交易服務(wù)器驗證用戶簽名���,如通過驗證,則實施本次交易����,否則,拒絕本次交易�����,交易失?��?����;在步驟7中���、交易服務(wù)器將交易處理結(jié)果返回給所述聯(lián)網(wǎng)計算機����。在步驟1中���,在輸入相應(yīng)的交易信息之前����,執(zhí)行登錄請求認證��,其包括如下步驟 a��、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接�����,將聯(lián)網(wǎng)計算機連接所要登陸的認證服務(wù)器��,然后在聯(lián)網(wǎng)計算機輸入用戶名而發(fā)出登錄請求�,該智能卡存儲有用戶信息及私鑰,該認證裝置設(shè)有鍵盤和顯示屏����;b、認證服務(wù)器收到用戶的登陸請求后�,將隨機產(chǎn)生驗證碼,并在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰���,利用該公鑰對驗證碼進行加密而形成密文�����,將密文返回給聯(lián)網(wǎng)計算機�����;C���、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置,通過認證裝置將密文發(fā)送給智能卡��;d�����、智能卡利用存儲的用戶私鑰對密文進行解密,將解密獲得的驗證碼顯示在該認證裝置的顯示屏上����;e、將該認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的登陸頁面����,請求登陸驗證;f���、認證服務(wù)器對收到的驗證碼和存儲的驗證碼進行比較驗證���,如一致,則驗證通過����,用戶登陸成功,否則拒絕登陸��;g�、認證服務(wù)器將登陸處理結(jié)果返回給聯(lián)網(wǎng)計算機����。所述步驟6中���,驗證失敗次數(shù)不能連續(xù)超過3次,否則對用戶進行鎖定�,所述加密解密方法采用IOM位及其以上的RSA加密解密方法或者192位以上的橢圓曲線加密解密方法。所述網(wǎng)上交易包括網(wǎng)上轉(zhuǎn)賬或者網(wǎng)上繳費業(yè)務(wù)��,該交易信息包括賬戶名�����、賬號和交易金額�����。所述步驟5中的解密步驟及步驟6中簽名步驟是在智能卡內(nèi)部完成的����,數(shù)字簽名方法采用IOM位及其以上的RSA數(shù)字簽名方法或者192位以上的橢圓曲線數(shù)字簽名方法。本發(fā)明還提供一種使用上述數(shù)據(jù)認證方法的系統(tǒng)�,其包括智能卡、認證裝置�、聯(lián)網(wǎng)計算機、及服務(wù)器�����,該認證裝置包括接口電路、鍵盤����、顯示屏、及智能卡接口��,顯示屏用于顯示登錄或者交易所必需的信息�,鍵盤用于輸入用戶口令及簽名的操作,該接口電路為USB 接口���,該智能卡存儲有用戶信息及私鑰���,認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,聯(lián)網(wǎng)計算機通過網(wǎng)絡(luò)與服務(wù)器通信連接���,該服務(wù)器為認證服務(wù)器或交易服務(wù)器����。
所述認證裝置還包括指示燈�,用于指示認證裝置的工作狀態(tài)。本發(fā)明的有益效果1)本發(fā)明涉及的認證裝置在使用時無需額外安裝驅(qū)動程序�,在計算機上利用USB 接口與計算機通信即可實現(xiàn)即插即用���;2)目前的網(wǎng)上銀行均使用USBKEY進行認證����,用戶在辦理網(wǎng)上銀行時必須申請 USBKEY,不同銀行����、不同客戶需要使用不同的USBKEY,使用本發(fā)明的認證裝置��,任何有智能銀行卡的用戶均可以實現(xiàn)網(wǎng)上安全交易����,且本發(fā)明的認證裝置和銀行、用戶無關(guān)���,任何銀行的銀行卡和不同的用戶可以使用同一個本發(fā)明的認證裝置����,具有較好的通用性����,另外使用智能卡具有成本低、方便等優(yōu)點;3)在使用現(xiàn)有技術(shù)USBKEY裝置進行網(wǎng)上銀行的交易簽名過程中��,由于交易信息從用USBKEY裝置數(shù)字簽名到用戶端提交給銀行交易系統(tǒng)的整個流程中���,已經(jīng)保證了交易信息的保密性和不可篡改����,因此只要保證傳給簽名裝置區(qū)簽名的交易信息是客戶真正要提交的交易信息即可提高其安全性�,在本發(fā)明中認證裝置增加了顯示屏,可以顯示簽名數(shù)據(jù)���, 同時銀行回傳給用戶確認時���,采用了 IOM位及其以上的RSA加密方法或者192位以上的橢圓曲線加密方法,保證了交易信息在回傳時的保密性和不可篡改��,如果不發(fā)分子控制了聯(lián)網(wǎng)計算機��,在用戶提交交易信息時進行篡改���,那么顯示屏上顯示的就是篡改后的交易信息����, 因此用戶通過本發(fā)明的認證裝置確認交易信息,就可以有效的解決網(wǎng)上銀行交易劫持�,交易篡改以盜用用戶資金的問題;4)在使用現(xiàn)有技術(shù)USBKEY裝置進行網(wǎng)上銀行的交易簽名過程����,用戶只在聯(lián)網(wǎng)計算機上進行操作�,沒有其他附加操作,因此不發(fā)分子可以通過遠程控制用戶聯(lián)網(wǎng)計算機在用戶不知道的情況下�����,調(diào)用用戶的USBKEY進行網(wǎng)上交易�����,給用戶造成資金損失��,本發(fā)明中���, 銀行系統(tǒng)對用戶的每次交易都會產(chǎn)生相應(yīng)的隨機驗證碼���,該隨機碼通過加密的方式傳給認證裝置,加密采用了 IOM位及其以上的RSA加密方法或者192位以上的橢圓曲線加密方法�,在智能卡內(nèi)部解密�,顯示在認證裝置的顯示屏上����,該驗證碼除了使用本發(fā)明認證裝置的合法用戶外任何人均不能正確獲得,同時在對交易信息簽名時�����,需要用戶按認證裝置上的確認鍵���,這就有效的解決了黑客的遠程控制以盜用用戶資金的問題���。為了能更進一步了解本發(fā)明的特征以及技術(shù)內(nèi)容,請參閱以下有關(guān)本發(fā)明的詳細說明與附圖����,然而附圖僅提供參考與說明用,并非用來對本發(fā)明加以限制�����。
下面結(jié)合附圖���,通過對本發(fā)明的具體實施方式
詳細描述��,將使本發(fā)明的技術(shù)方案及其它有益效果顯而易見���。附圖中���,圖1為本發(fā)明的數(shù)據(jù)認證方法的流程圖;圖2為本發(fā)明的數(shù)據(jù)認證方法的第一實施例流程圖��;圖3為本發(fā)明的數(shù)據(jù)認證方法的第二實施例流程圖�����;圖4為圖2的使用數(shù)據(jù)認證方法的系統(tǒng)的結(jié)構(gòu)示意圖��;圖5為圖3的使用數(shù)據(jù)認證方法的系統(tǒng)的結(jié)構(gòu)示意圖����;圖6為本發(fā)明的認證裝置的結(jié)構(gòu)示意圖���。
具體實施例方式為更進一步闡述本發(fā)明所采取的技術(shù)手段及其效果�,以下結(jié)合本發(fā)明的優(yōu)選實施例及其附圖進行詳細描述��。如圖1所示�,本發(fā)明提供一種數(shù)據(jù)認證方法����,其包括如下步驟步驟1�、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,將聯(lián)網(wǎng)計算機電性連接所要實現(xiàn)業(yè)務(wù)請求的服務(wù)器端�����,然后在聯(lián)網(wǎng)計算機輸入相關(guān)信息而向服務(wù)器端發(fā)出業(yè)務(wù)請求�,該智能卡存儲有用戶信息及私鑰,該認證裝置設(shè)有鍵盤和顯示屏��。步驟2�、服務(wù)器端根據(jù)收到的業(yè)務(wù)請求而處理生成數(shù)據(jù)信息,數(shù)據(jù)信息包括驗證信息�����,服務(wù)器端在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰��,利用該公鑰對數(shù)據(jù)信息進行加密而形成密文����,將密文返回給聯(lián)網(wǎng)計算機。步驟3、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置���,通過認證裝置將密文發(fā)送給智能卡�。步驟4����、智能卡利用存儲的用戶私鑰對密文進行解密,將解密獲得的數(shù)據(jù)信息顯示在該認證裝置的顯示屏上����。步驟5、將該認證裝置上顯示的數(shù)據(jù)信息中需輸入的驗證信息輸入到該聯(lián)網(wǎng)計算機上的業(yè)務(wù)請求頁面并請求服務(wù)器端驗證����。步驟6�、服務(wù)器端對收到的驗證信息和存儲的驗證信息進行比較驗證,如一致�,則驗證通過,執(zhí)行用戶業(yè)務(wù)請求�����,否則拒絕����。步驟7����、服務(wù)器端將業(yè)務(wù)請求處理結(jié)果返回給聯(lián)網(wǎng)計算機���。作為本發(fā)明的一優(yōu)選的實施例��,該業(yè)務(wù)請求為登錄請求���,用于身份認證,具體的����, 如圖2所示,在步驟1’中����、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,將聯(lián)網(wǎng)計算機電性連接所要登陸的認證服務(wù)器�,然后在聯(lián)網(wǎng)計算機輸入用戶名而發(fā)出登錄請求,該智能卡存儲有用戶信息及私鑰���,該認證裝置設(shè)有鍵盤和顯示屏�����; 在步驟2’中�����、認證服務(wù)器收到用戶的登陸請求后���,將隨機產(chǎn)生驗證碼��,并在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰���,利用該公鑰對驗證碼進行加密而形成密文,將密文返回給聯(lián)網(wǎng)計算機���;在步驟3’中����、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置���,通過認證裝置將密文發(fā)送給智能卡;在步驟4’中�、智能卡利用存儲的用戶私鑰對密文進行解密,將解密獲得的驗證碼顯示在該認證裝置的顯示屏上;在步驟5’中�����、將該認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的登陸頁面�����,請求登陸驗證�;在步驟6’中、認證服務(wù)器對收到的驗證碼和存儲的驗證碼進行比較驗證��,如一致��,則驗證通過���,用戶登陸成功����,否則拒絕登陸�����;在步驟7’中����、認證服務(wù)器將登陸處理結(jié)果返回給聯(lián)網(wǎng)計算機���。優(yōu)選的,所述步驟2’或步驟6’中還包括用戶口令驗證�����;所述步驟4’中的解密步驟是在智能卡內(nèi)部完成的����;所述步驟6’中,驗證失敗次數(shù)不能連續(xù)超過3次��,否則對用戶進行鎖定��,所述加密解密方法采用IOM位及其以上的RSA加密解密方法或者192位以上的橢圓曲線加密解密方法��,橢圓曲線加密解密方法可以采用ECIES (ISO Standard for Public Key Encryption)或者其它公知的方法�����。作為本發(fā)明的另一優(yōu)選的實施例��,所述業(yè)務(wù)請求為交易請求�����,與登陸請求的區(qū)別在于確認交易信息和增加簽名驗證�����,具體的���,如圖3所示���,在步驟1”中、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接�,然后登陸相應(yīng)的頁面,輸入相應(yīng)的交易信息�����,然后向交易服務(wù)器發(fā)出交易請求��,該智能卡存儲有用戶信息及私鑰���,該認證裝置設(shè)有鍵盤和顯示屏����;在步驟2”中、交易服務(wù)器在收到用戶的交易請求后��,隨機產(chǎn)生驗證碼�,在用戶數(shù)據(jù)庫中查找該用戶的公鑰,利用該公鑰將交易信息和隨機驗證碼打包加密而形成密文��,將密文返回給聯(lián)網(wǎng)計算機����;在步驟3”中、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置�,通過認證裝置將密文發(fā)送給智能卡;在步驟4”中��、智能卡利用存儲的用戶私鑰對密文進行解密��,將解密后的交易信息和隨機驗證碼顯示在該認證裝置的顯示屏上�;在步驟5”中、用戶驗證該認證裝置上顯示的交易信息�����,如確認���,則將所述認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的交易請求驗證頁面���,并通過按壓相應(yīng)鍵盤按鍵對交易信息進行簽名,將簽名結(jié)果傳給聯(lián)網(wǎng)計算機�����,聯(lián)網(wǎng)計算機將驗證碼和簽名發(fā)送給交易服務(wù)器����;在本實施例中,可通過按壓設(shè)置在該認證裝置上的確認鍵對交易信息進行簽名����,將簽名結(jié)果傳給聯(lián)網(wǎng)計算機,聯(lián)網(wǎng)計算機將驗證碼和簽名發(fā)送給交易服務(wù)器�����;在步驟6”中�、交易服務(wù)器對收到的驗證碼和存儲的本次交易的驗證碼進行比較驗證,如一致�����,則驗證用戶簽名��,否則拒絕本次交易,交易失?���。唤灰追?wù)器驗證用戶簽名��,如通過驗證�,則實施本次交易,否則��, 拒絕本次交易����,交易失敗�����;在步驟7”中����、交易服務(wù)器將交易處理結(jié)果返回給所述聯(lián)網(wǎng)計算機。進一步的��,在步驟1中,在輸入相應(yīng)的交易信息之前���,執(zhí)行上述的登錄請求認證��, 其包括如下步驟a�����、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,將聯(lián)網(wǎng)計算機連接所要登陸的認證服務(wù)器��,然后在聯(lián)網(wǎng)計算機輸入用戶名而發(fā)出登錄請求���,該智能卡存儲有用戶信息及私鑰�����,該認證裝置設(shè)有鍵盤和顯示屏����;b�����、認證服務(wù)器收到用戶的登陸請求后,將隨機產(chǎn)生驗證碼�,并在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰,利用該公鑰對驗證碼進行加密而形成密文�����,將密文返回給聯(lián)網(wǎng)計算機����;C、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置�����,通過認證裝置將密文發(fā)送給智能卡�;d、智能卡利用存儲的用戶私鑰對密文進行解密�����,將解密獲得的驗證碼顯示在該認證裝置的顯示屏上�;e、將該認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的登陸頁面�,請求登陸驗證;f��、認證服務(wù)器對收到的驗證碼和存儲的驗證碼進行比較驗證,如一致�,則驗證通過,用戶登陸成功��,否則拒絕登陸�����;g�����、認證服務(wù)器將登陸處理結(jié)果返回給聯(lián)網(wǎng)計算機����。更優(yōu)選的��,所述步驟6中�����,驗證失敗次數(shù)不能連續(xù)超過3次����,否則對用戶進行鎖定,該網(wǎng)上交易包括網(wǎng)上轉(zhuǎn)賬或者網(wǎng)上繳費業(yè)務(wù),該交易信息包括賬戶名���、賬號和交易金額���;所述步驟5中的解密步驟及步驟6中簽名步驟是在智能卡內(nèi)部完成的,所述加密解密方法采用IOM位及其以上的RSA加密解密方法或者192位以上的橢圓曲線加密解密方法�,橢圓曲線加密解密方法可以采用ECIES (ISO Standard for Public Key Encryption) 或者其它公知的方法,數(shù)字簽名方法采用IOM位及其以上的RSA數(shù)字簽名方法或者192 位以上的橢圓曲線數(shù)字簽名方法����,橢圓曲線簽名方法可以采用E⑶SA(American National StandardX9. 62-2005)或者其它公知的方法。如圖4-6所示�,本發(fā)明還提供一種使用數(shù)據(jù)認證方法的系統(tǒng),其包括智能卡301����、 認證裝置302、聯(lián)網(wǎng)計算機303�、及服務(wù)器,該認證裝置302包括接口電路401��、鍵盤402�����、顯示屏403、及智能卡接口 404�����,該接口電路401為USB接口�,該智能卡301存儲有用戶信息及私鑰,認證裝置302分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機303及智能卡301 電性連接��,聯(lián)網(wǎng)計算機303通過網(wǎng)絡(luò)與服務(wù)器通信連接���,該服務(wù)器為認證服務(wù)器304或交易服務(wù)器305�。每個認證裝置302及智能卡301都有一個唯一的序列號��;服務(wù)器存有身份證號碼及其對應(yīng)的認證裝置序列號�����,認證裝置302通過USB接口����,插入聯(lián)網(wǎng)計算機303上USB插槽或者USB連接線與聯(lián)網(wǎng)計算機303連接�����,顯示屏403用于顯示登錄或者交易所必需的信息(如驗證碼或者交易信息加驗證碼等);智能卡接口 404用于認證裝置302和智能卡301 通訊����,接口或者為接觸式智能卡接口,支持的卡型是符合IS07816的智能卡�����,或者為非接觸式智能卡����,支持IS014443 TypeA及B及NFC標(biāo)準(zhǔn);鍵盤402的按鍵包括數(shù)字按鍵0_9�,確認鍵和取消鍵等,用于輸入用戶口令和確定/取消簽名�。優(yōu)選的,該認證裝置302還包括指示燈405���,指示燈405指示認證裝置的工作狀態(tài)�。以上所述����,對于本領(lǐng)域的普通技術(shù)人員來說,可以根據(jù)本發(fā)明的技術(shù)方案和技術(shù)構(gòu)思作出其他各種相應(yīng)的改變和變形���,而所有這些改變和變形都應(yīng)屬于本發(fā)明權(quán)利要求的保護范圍����。
權(quán)利要求
1.一種數(shù)據(jù)認證方法,其特征在于�,包括如下步驟步驟1、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接�����,將聯(lián)網(wǎng)計算機電性連接所要實現(xiàn)業(yè)務(wù)請求的服務(wù)器端�����,然后在聯(lián)網(wǎng)計算機輸入相關(guān)信息而向服務(wù)器端發(fā)出業(yè)務(wù)請求�����,該智能卡存儲有用戶信息及私鑰��,該認證裝置設(shè)有鍵盤和顯示屏��;步驟2���、服務(wù)器端根據(jù)收到的業(yè)務(wù)請求而處理生成數(shù)據(jù)信息���,數(shù)據(jù)信息包括驗證信息, 服務(wù)器端在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰���,利用該公鑰對數(shù)據(jù)信息進行加密而形成密文����,將密文返回給聯(lián)網(wǎng)計算機����;步驟3、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置����,通過認證裝置將密文發(fā)送給智能卡;步驟4�、智能卡利用存儲的用戶私鑰對密文進行解密,將解密獲得的數(shù)據(jù)信息顯示在該認證裝置的顯示屏上��;步驟5��、將該認證裝置上顯示的數(shù)據(jù)信息中需輸入的驗證信息輸入到該聯(lián)網(wǎng)計算機上的業(yè)務(wù)請求頁面并請求服務(wù)器端驗證�;步驟6、服務(wù)器端對收到的驗證信息和存儲的驗證信息進行比較驗證���,如一致����,則驗證通過,執(zhí)行用戶業(yè)務(wù)請求��,否則拒絕���;步驟7��、服務(wù)器端將業(yè)務(wù)請求處理結(jié)果返回給聯(lián)網(wǎng)計算機��。
2.如權(quán)利要求1所述的數(shù)據(jù)認證方法�,其特征在于�,所述業(yè)務(wù)請求為登錄請求,在步驟 1中��、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接�����,將聯(lián)網(wǎng)計算機電性連接所要登陸的認證服務(wù)器�,然后在聯(lián)網(wǎng)計算機輸入用戶名而發(fā)出登錄請求��,該智能卡存儲有用戶信息及私鑰,該認證裝置設(shè)有鍵盤和顯示屏���;在步驟2中�、認證服務(wù)器收到用戶的登陸請求后�,將隨機產(chǎn)生驗證碼,并在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰����,利用該公鑰對驗證碼進行加密而形成密文,將密文返回給聯(lián)網(wǎng)計算機�;在步驟3中、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置���,通過認證裝置將密文發(fā)送給智能卡�;在步驟4中�、 智能卡利用存儲的用戶私鑰對密文進行解密,將解密獲得的驗證碼顯示在該認證裝置的顯示屏上����;在步驟5中、將該認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的登陸頁面��,請求登陸驗證;在步驟6中�����、認證服務(wù)器對收到的驗證碼和存儲的驗證碼進行比較驗證�,如一致,則驗證通過��,用戶登陸成功�����,否則拒絕登陸�����;在步驟7中���、認證服務(wù)器將登陸處理結(jié)果返回給聯(lián)網(wǎng)計算機�����。
3.如權(quán)利要求2所述的數(shù)據(jù)認證方法��,其特征在于���,所述步驟2或步驟6中還包括用戶口令驗證��;所述步驟4中的解密步驟是在智能卡內(nèi)部完成的。
4.如權(quán)利要求1所述的數(shù)據(jù)認證方法���,其特征在于����,所述業(yè)務(wù)請求為交易請求�����,在步驟 1中����、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,用戶在進行網(wǎng)上交易時�����,登陸相應(yīng)的頁面����,輸入相應(yīng)的交易信息,然后向交易服務(wù)器發(fā)出交易請求,該智能卡存儲有用戶信息及私鑰�,該認證裝置設(shè)有鍵盤和顯示屏;在步驟2中�、交易服務(wù)器在收到用戶的交易請求后,隨機產(chǎn)生驗證碼����,在用戶數(shù)據(jù)庫中查找該用戶的公鑰,利用該公鑰將交易信息和隨機驗證碼打包加密而形成密文�,將密文返回給聯(lián)網(wǎng)計算機;在步驟3中�����、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置���,通過認證裝置將密文發(fā)送給智能卡���;在步驟4中、智能卡利用存儲的用戶私鑰對密文進行解密���,將解密后的交易信息和隨機驗證碼顯示在該認證裝置的顯示屏上���;在步驟5中��、用戶驗證該認證裝置上顯示的交易信息����,如確認���,則將所述認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的交易請求驗證頁面,并通過按壓相應(yīng)鍵盤按鍵對交易信息進行簽名���,將簽名結(jié)果傳給聯(lián)網(wǎng)計算機�,聯(lián)網(wǎng)計算機將驗證碼和簽名發(fā)送給交易服務(wù)器�����;在步驟6中�、交易服務(wù)器對收到的驗證碼和存儲的本次交易的驗證碼進行比較驗證,如一致����,則驗證用戶簽名,否則拒絕本次交易����,交易失?���?��;交易服務(wù)器驗證用戶簽名���,如通過驗證,則實施本次交易���,否則�����,拒絕本次交易�,交易失?。辉诓襟E7中�����、交易服務(wù)器將交易處理結(jié)果返回給所述聯(lián)網(wǎng)計算機�。
5.如權(quán)利要求4所述的數(shù)據(jù)認證方法,其特征在于�,在步驟1中��,在輸入相應(yīng)的交易信息之前�,執(zhí)行登錄請求認證�����,其包括如下步驟a����、將認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,將聯(lián)網(wǎng)計算機連接所要登陸的認證服務(wù)器�����,然后在聯(lián)網(wǎng)計算機輸入用戶名而發(fā)出登錄請求���,該智能卡存儲有用戶信息及私鑰,該認證裝置設(shè)有鍵盤和顯示屏��;b�����、認證服務(wù)器收到用戶的登陸請求后���,將隨機產(chǎn)生驗證碼���,并在用戶數(shù)據(jù)庫中查找該用戶對應(yīng)的公鑰���,利用該公鑰對驗證碼進行加密而形成密文,將密文返回給聯(lián)網(wǎng)計算機�;C、聯(lián)網(wǎng)計算機將收到的密文傳給該認證裝置����,通過認證裝置將密文發(fā)送給智能卡;d��、智能卡利用存儲的用戶私鑰對密文進行解密��,將解密獲得的驗證碼顯示在該認證裝置的顯示屏上����;e、將該認證裝置上顯示的驗證碼輸入到該聯(lián)網(wǎng)計算機上的登陸頁面����,請求登陸驗證;f���、認證服務(wù)器對收到的驗證碼和存儲的驗證碼進行比較驗證����,如一致,則驗證通過�����,用戶登陸成功�����,否則拒絕登陸����;g���、認證服務(wù)器將登陸處理結(jié)果返回給聯(lián)網(wǎng)計算機����。
6.如權(quán)利要求2或4所述的數(shù)據(jù)認證方法���,其特征在于�����,所述步驟6中����,驗證失敗次數(shù)不能連續(xù)超過3次,否則對用戶進行鎖定��,所述加密解密方法采用IOM位及其以上的RSA 加密解密方法或者192位以上的橢圓曲線加密解密方法��。
7.如權(quán)利要求4所述的數(shù)據(jù)認證方法�����,其特征在于����,所述網(wǎng)上交易包括網(wǎng)上轉(zhuǎn)賬或者網(wǎng)上繳費業(yè)務(wù),該交易信息包括賬戶名�����、賬號和交易金額�����。
8.如權(quán)利要求4所述的數(shù)據(jù)認證方法,其特征在于���,所述步驟5中的解密步驟及步驟6 中簽名步驟是在智能卡內(nèi)部完成的�����,數(shù)字簽名方法采用IOM位及其以上的RSA數(shù)字簽名方法或者192位以上的橢圓曲線數(shù)字簽名方法��。
9.一種使用權(quán)利要求1所述的數(shù)據(jù)認證方法的系統(tǒng)���,其特征在于,包括智能卡�、認證裝置、聯(lián)網(wǎng)計算機�����、及服務(wù)器����,該認證裝置包括接口電路���、鍵盤��、顯示屏��、及智能卡接口��,顯示屏用于顯示登錄或者交易所必需的信息�,鍵盤用于輸入用戶口令及簽名的操作,該接口電路為USB接口�����,該智能卡存儲有用戶信息及私鑰��,認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接��,聯(lián)網(wǎng)計算機通過網(wǎng)絡(luò)與服務(wù)器通信連接�,該服務(wù)器為認證服務(wù)器或交易服務(wù)器。
10.如權(quán)利要求9所述的使用數(shù)據(jù)認證方法的系統(tǒng)�,其特征在于,所述認證裝置還包括指示燈���,用于指示認證裝置的工作狀態(tài)��。
全文摘要
本發(fā)明提供一種數(shù)據(jù)認證方法及使用該方法的系統(tǒng)�,該系統(tǒng)包括智能卡、認證裝置����、聯(lián)網(wǎng)計算機、及服務(wù)器�,該認證裝置包括接口電路、鍵盤��、顯示屏���、及智能卡接口���,顯示屏用于顯示登錄或者交易所必需的信息,鍵盤用于輸入用戶口令及簽名的操作�,該接口電路為USB接口,該智能卡存儲有用戶信息及私鑰����,認證裝置分別通過USB接口及智能卡接口對應(yīng)與聯(lián)網(wǎng)計算機及智能卡電性連接,聯(lián)網(wǎng)計算機通過網(wǎng)絡(luò)與服務(wù)器通信連接��,該服務(wù)器為認證服務(wù)器或交易服務(wù)器���。
文檔編號H04L29/06GK102238193SQ201110227419
公開日2011年11月9日 申請日期2011年8月9日 優(yōu)先權(quán)日2011年8月9日
發(fā)明者孫永戰(zhàn) 申請人:深圳市德卡科技有限公司