專利名稱:網(wǎng)絡(luò)安全終端以及基于該終端的交互系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型設(shè)計(jì)一種網(wǎng)絡(luò)交易安全設(shè)備,具體涉及到一種網(wǎng)絡(luò)安全終端以及基于該安全終端的交互系統(tǒng)和采用此網(wǎng)絡(luò)安全終端進(jìn)行交互操作的方法。
背景技術(shù):
隨著網(wǎng)上銀行、網(wǎng)絡(luò)交易等金融行為的普及,使用網(wǎng)絡(luò)進(jìn)行購(gòu)物、轉(zhuǎn)賬等交易的操作已經(jīng)越來(lái)越得到用戶的歡迎,因其支付方便、快捷得到用戶的廣泛歡迎。但是,因?yàn)榫W(wǎng)絡(luò)交易往往設(shè)計(jì)到重大的經(jīng)濟(jì)利益,因此現(xiàn)在開放網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)面臨著眾多的黑客攻擊,尤其用戶在個(gè)人電腦向應(yīng)用系統(tǒng)輸入數(shù)據(jù)時(shí)最容易遭受數(shù)據(jù)盜取、篡改等攻擊,這些數(shù)據(jù)包括但不限于在網(wǎng)絡(luò)游戲中輸入的賬戶和口令,或者在支付系統(tǒng)中輸入的支付口令、支付額度等?,F(xiàn)有的保護(hù)用戶交易安全的終端主要有以下幾種第一種是電子銀行口令卡根據(jù)網(wǎng)頁(yè)提示的隨機(jī)坐標(biāo)選取口令,使用前所有坐標(biāo)位置上的數(shù)字都被涂層覆蓋,用戶根據(jù)坐標(biāo)提示刮開從而獲得數(shù)字,輸入網(wǎng)頁(yè)。其缺點(diǎn)是數(shù)字密碼是有限的,全部數(shù)字被全部刮開后該卡即為作廢,不能重復(fù)使用,因此這種方式使用范圍較小。第二種是動(dòng)態(tài)口令卡,其原理是動(dòng)態(tài)口令一般以時(shí)間、交易金額等為輸入,每分鐘產(chǎn)生一次。但這一分鐘給網(wǎng)絡(luò)黑客帶來(lái)了可乘之機(jī),可以被不法分子作為安全漏洞,進(jìn)行非法交易,而縮短口令產(chǎn)生時(shí)間的解決辦法又會(huì)面臨時(shí)間同步的問(wèn)題。第三種是U盾,或稱USBKey,如圖1所示,此種安全終端是目前公認(rèn)最為安全的網(wǎng)銀安全設(shè)備,其中一種外形如同U盤,內(nèi)含一顆智能卡芯片,支持非對(duì)稱密碼算法,一方面用于安全保存各種密鑰(比如數(shù)字證書和對(duì)應(yīng)的私鑰),不允許明文導(dǎo)出,外部用戶也無(wú)法直接讀取,U盾通過(guò)內(nèi)部程序?qū)γ荑€、證書進(jìn)行操作完成身份認(rèn)證建立安全通道和數(shù)字簽名,實(shí)現(xiàn)數(shù)據(jù)的安全傳輸和交易抗抵賴。另一種U盾在前一種U盾的基礎(chǔ)上增加了顯示屏和四個(gè)按鍵。顯示屏用于顯示交易賬號(hào)和交易金額,用戶通過(guò)上下鍵滾屏閱讀,使用C鍵取消交易,OK鍵確認(rèn)交易。這樣可以有效防止數(shù)據(jù)從電腦傳入U(xiǎn)盾時(shí)被病毒或者木馬篡改, 較第一代U盾有更高的安全性。但是,無(wú)論那一種U盾,其作用僅僅是建立一個(gè)U盾本身和銀行賬戶卡之間的對(duì)應(yīng)關(guān)系,也就說(shuō)其他人如果得到這個(gè)U盾,同樣可以進(jìn)行操作。而交易賬戶的密碼都是通過(guò)電腦在應(yīng)用系統(tǒng)(如網(wǎng)銀)的頁(yè)面上輸入的,很容易受到木馬、病毒和鍵盤截取等攻擊,這是現(xiàn)有U盾的薄弱環(huán)節(jié)。綜上所述,現(xiàn)有技術(shù)的網(wǎng)絡(luò)安全終端主要存在的問(wèn)題就是存在安全隱患,或容易被攻擊竊取密碼,或容易被盜用的問(wèn)題。
實(shí)用新型內(nèi)容針對(duì)上述缺陷,本實(shí)用新型的目的是提供一種網(wǎng)絡(luò)安全終端,以解決現(xiàn)有的網(wǎng)絡(luò)安全終端存在安全漏洞,在網(wǎng)上交易的過(guò)程中容易被竊取密碼,從而對(duì)用戶的財(cái)產(chǎn)造成危險(xiǎn)的技術(shù)問(wèn)題。為實(shí)現(xiàn)上述目的,本實(shí)用新型采用了如下的技術(shù)方案本實(shí)用新型提供的一種網(wǎng)絡(luò)安全終端,包括一殼體、設(shè)置在殼體內(nèi)的中央處理模塊、設(shè)置在殼體上的通信接口、設(shè)置在所述殼體表面且與所述中央處理模塊連接的鍵盤輸入模塊、存儲(chǔ)器以及設(shè)置在所述殼體內(nèi)于所述中央處理模塊連接的安全加密模塊,其中,所述存儲(chǔ)器用以存儲(chǔ)不同網(wǎng)絡(luò)應(yīng)用服務(wù)器的網(wǎng)絡(luò)安全規(guī)則,所述中央處理模塊捕獲所述鍵盤輸入模塊輸入的數(shù)字信息,并將該數(shù)字信息發(fā)送給所述安全加密模塊,該安全加密模塊通過(guò)所述中央處理器調(diào)用所述存儲(chǔ)器中的對(duì)應(yīng)的網(wǎng)絡(luò)安全規(guī)則,對(duì)其加密后通過(guò)所述通信接口傳輸?shù)交ヂ?lián)網(wǎng)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器。依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全終端,所述殼體上還設(shè)置有一液晶顯示屏,其與所述中央處理器連接,用以顯示交易金額、交易賬戶、交易狀態(tài)數(shù)字信息。依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全終端,所述鍵盤輸入模塊包括0-9十個(gè)數(shù)字按鍵,以及至少一確認(rèn)鍵和一取消按鍵。依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全終端,所述通信接口為一 Mini-USB 接口,該網(wǎng)絡(luò)安全終端通過(guò)Mini-USB接口與計(jì)算機(jī)連接。依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全終端,所述通信接口包括一伸縮連接線,該伸縮連接線連接有一 USB接口。依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全終端,該網(wǎng)絡(luò)安全終端還包括一語(yǔ)音提示報(bào)警模塊。本實(shí)用新型的另一目的是提供基于上述網(wǎng)絡(luò)安全終端的一種網(wǎng)絡(luò)安全交互系統(tǒng), 該系統(tǒng)包括至少一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)器、至少一個(gè)帶有計(jì)算機(jī)的客戶端,至少一個(gè)與所述客戶端對(duì)應(yīng)的用戶,所述網(wǎng)絡(luò)應(yīng)用服務(wù)器與所述些客戶端通過(guò)互聯(lián)網(wǎng)連接成可通信的網(wǎng)絡(luò)節(jié)點(diǎn),其特征在于,還包括至少一網(wǎng)絡(luò)安全終端,該網(wǎng)絡(luò)安全終端可通過(guò)通信接口與任一客戶端的計(jì)算機(jī)連接,該網(wǎng)絡(luò)安全終端進(jìn)一步包括一殼體、一設(shè)置在殼體內(nèi)的中央處理模塊、一設(shè)置在殼體上的通信接口、設(shè)置在所述殼體表面且與所述中央處理模塊連接的鍵盤輸入模塊、存儲(chǔ)器以及設(shè)置在所述殼體內(nèi)于所述中央處理模塊連接的安全加密模塊,其中,所述存儲(chǔ)器用以存儲(chǔ)不同網(wǎng)絡(luò)應(yīng)用服務(wù)器的網(wǎng)絡(luò)安全規(guī)則,所述中央處理模塊捕獲所述鍵盤輸入模塊輸入的數(shù)字信息,并將該數(shù)字信息發(fā)送給所述安全加密模塊,該安全加密模塊通過(guò)所述中央處理器調(diào)用所述存儲(chǔ)器中的對(duì)應(yīng)的網(wǎng)絡(luò)安全規(guī)則,對(duì)其加密后通過(guò)所述通信接口傳輸?shù)交ヂ?lián)網(wǎng)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器,該網(wǎng)絡(luò)應(yīng)用服務(wù)器對(duì)接收到的信息解密或安全處理后, 將于網(wǎng)絡(luò)應(yīng)用服務(wù)器中預(yù)存的設(shè)定密碼比對(duì),若正確,則發(fā)出確認(rèn)信息給所述網(wǎng)絡(luò)安全終端;若錯(cuò)誤,則提示輸入錯(cuò)誤。依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全交互系統(tǒng),所述網(wǎng)絡(luò)安全終端在每次交互中,所述安全加密模塊給所述數(shù)字信息添加不同的密鑰。依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全交互系統(tǒng),所述網(wǎng)絡(luò)安全終端還設(shè)置有一液晶顯示屏,所述網(wǎng)絡(luò)應(yīng)用服務(wù)器發(fā)送的確認(rèn)和提示錯(cuò)誤信息,通過(guò)該液晶顯示屏顯示。[0020]依照本實(shí)用新型較佳實(shí)施例所述的網(wǎng)絡(luò)安全交互系統(tǒng),所述網(wǎng)絡(luò)應(yīng)用服務(wù)器是銀行服務(wù)器或第三方支付系統(tǒng)服務(wù)器,所述鍵盤輸入模塊能夠輸入交易金額,并通過(guò)所述液晶顯示屏顯示,通過(guò)所述鍵盤確認(rèn)或取消交易。由于采用了以上的技術(shù)特征,使得本實(shí)用新型相比于現(xiàn)有技術(shù),具有如下的優(yōu)點(diǎn)和積極效果第一,本實(shí)用新型提供的網(wǎng)絡(luò)安全終端,可以在用戶進(jìn)行網(wǎng)上交易時(shí),不僅提供傳統(tǒng)U盾的功能,還可以直接在此可以熱插拔的安全終端上直接輸入交易密碼,直接在安全終端內(nèi)部的芯片上按照對(duì)應(yīng)銀行或者其他應(yīng)用服務(wù)器的網(wǎng)絡(luò)密鑰協(xié)議標(biāo)準(zhǔn)對(duì)輸入的密碼進(jìn)行加密,之后被加密的信息直接通過(guò)互聯(lián)網(wǎng)傳輸?shù)姐y行或者其他對(duì)應(yīng)的應(yīng)用服務(wù)器,銀行服務(wù)器或其他類似服務(wù)器內(nèi)部對(duì)這些暗文數(shù)據(jù)解密或安全處理后,與用戶預(yù)先設(shè)定的交易密碼比對(duì),之后,返回相應(yīng)信息,例如正確或錯(cuò)誤,之后提示重新輸入,或者確認(rèn)金額等信息,避免了以往的U盾只提供一個(gè)數(shù)字認(rèn)證,而交易的密碼還是要在客戶端的電腦上輸入, 容易被安裝在客戶端電腦上的非法軟件盜用的安全風(fēng)險(xiǎn)。第二、本實(shí)用新型提供的網(wǎng)絡(luò)安全終端,每一次輸入交易密碼后,都會(huì)產(chǎn)生一次不同的密鑰信息,安全地傳輸給應(yīng)用服務(wù)器,由應(yīng)用服務(wù)器解密或安全處理后,再進(jìn)行匹配判斷,可以避免在傳輸過(guò)程中被抓包分析密碼的問(wèn)題,每次抓到的數(shù)據(jù)都不同,減小被破解的隱患,提高安全性能。第三、本實(shí)用新型提供的網(wǎng)絡(luò)安全終端,可以將用戶的交易信息,例如交易金額等直接在此終端顯示,可直接通過(guò)此終端確認(rèn)和取消交易,相比傳統(tǒng)的U盾或者USB-KEY,具有操作更方便的優(yōu)點(diǎn)。當(dāng)然,實(shí)施本實(shí)用新型內(nèi)容的任何一個(gè)具體實(shí)施例,并不一定同時(shí)達(dá)到以上全部的技術(shù)效果。
圖1是現(xiàn)有技術(shù)的U盾的使用示意圖;圖2A是本實(shí)用新型提供的網(wǎng)絡(luò)安全終端一個(gè)實(shí)施例的結(jié)構(gòu)模塊圖;圖2B是本實(shí)用新型提供的網(wǎng)絡(luò)安全終端另一個(gè)實(shí)施例的結(jié)構(gòu)模塊圖;圖3A是本實(shí)用新型提供的網(wǎng)絡(luò)安全終端一個(gè)實(shí)施例的結(jié)構(gòu)示意圖;圖;3B是本實(shí)用新型提供的網(wǎng)絡(luò)安全終端第二實(shí)施例的結(jié)構(gòu)示意圖;圖4是本實(shí)用新型提供的網(wǎng)絡(luò)交互系統(tǒng)的架構(gòu)圖;圖5是本實(shí)用新型提供的網(wǎng)絡(luò)交互方法的流程圖。
具體實(shí)施方式
以下結(jié)合附圖對(duì)本實(shí)用新型的幾個(gè)優(yōu)選實(shí)施例進(jìn)行詳細(xì)描述,但本實(shí)用新型并不僅僅限于這些實(shí)施例。如圖2A和圖2B所示,本實(shí)用新型首先提供一種網(wǎng)絡(luò)安全終端,具體可以表現(xiàn)為類似USB-KEY或U盾類似的外形設(shè)計(jì),包括殼體1、中央處理器101、鍵盤102、顯示器103、安全加密模塊104、通信接口 105以及存儲(chǔ)器106。如圖3A所示,其中,通信接口可采用Mini-USB接口 3,支持系統(tǒng)自動(dòng)識(shí)別,熱插拔, 用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全終端和計(jì)算機(jī)的連接。顯示器103作為顯示交易信息的顯示模塊,采用液晶顯示屏6。鍵盤102作為鍵盤輸入模塊,設(shè)置有12個(gè)按鍵,具體包括0-9十個(gè)數(shù)字按鍵 2以及一個(gè)確認(rèn)按鍵5和一個(gè)取消按鍵4。如圖:3B所示,通信接口也可以設(shè)置一個(gè)可以隱藏在殼體1內(nèi)的連接有USB 口的伸縮連接線,其優(yōu)點(diǎn)就是可以通過(guò)伸縮線連接計(jì)算機(jī),使用更方便。實(shí)際上,中央處理器、存儲(chǔ)器以及安全加密模塊可集成在同一個(gè)芯片上,對(duì)芯片燒入程序,劃分不同的功能模塊。其中,存儲(chǔ)器存儲(chǔ)有各個(gè)應(yīng)用服務(wù)器的安全標(biāo)準(zhǔn)以及數(shù)字證書信息(此部分類似傳統(tǒng)的U盾),例如應(yīng)用在銀行中,可根據(jù)某一銀行的定制,存儲(chǔ)該銀行的安全協(xié)議標(biāo)準(zhǔn),銀行可通過(guò)數(shù)字證書信息識(shí)別此安全終端是否與銀行的對(duì)應(yīng)賬戶匹配,此功能是現(xiàn)有技術(shù), 在此不加贅述。在交易過(guò)程中,用戶必須通過(guò)安全終端的鍵盤輸入6-8位數(shù)字密碼后,芯片上的中央處理器即捕獲相應(yīng)的數(shù)字信息,由執(zhí)行加密功能的安全加密模塊根據(jù)存儲(chǔ)的安全協(xié)議標(biāo)準(zhǔn),對(duì)密碼進(jìn)行加密,加密后通過(guò)通信接口傳輸?shù)骄W(wǎng)絡(luò)中,之后又應(yīng)用服務(wù)器進(jìn)行解析后判斷是否正確,合法,才能進(jìn)行接下來(lái)的交易,非法的情況下,可以通過(guò)可選的語(yǔ)音告警提示模塊107告警提示。當(dāng)此安全終端應(yīng)用在網(wǎng)絡(luò)交易過(guò)程,網(wǎng)絡(luò)應(yīng)用服務(wù)器是銀行服務(wù)器,所述鍵盤輸入模塊能夠輸入交易金額,并通過(guò)所述液晶顯示屏顯示,通過(guò)所述鍵盤確認(rèn)或取消交易。如圖4所示,依托于上述的安全終端,可建立一種網(wǎng)絡(luò)交互系統(tǒng),可應(yīng)用在網(wǎng)游、 網(wǎng)上銀行交易等需要保密安全的領(lǐng)域,具體說(shuō)包括網(wǎng)絡(luò)應(yīng)用服務(wù)器200、帶有計(jì)算機(jī)300的客戶端,與所述客戶端對(duì)應(yīng)的用戶400,網(wǎng)絡(luò)應(yīng)用服務(wù)器200與些客戶端通過(guò)互聯(lián)網(wǎng)連接成可通信的網(wǎng)絡(luò)節(jié)點(diǎn),以及可以接入客戶端計(jì)算機(jī)300的網(wǎng)絡(luò)安全終端100。網(wǎng)絡(luò)安全終端 100的結(jié)構(gòu)已經(jīng)如上描述,不重復(fù)介紹。網(wǎng)絡(luò)安全終端100通過(guò)通信接口(例如USB 口 )與任一客戶端的計(jì)算機(jī)300連接,在交易過(guò)程中,網(wǎng)絡(luò)安全終端100的中央處理模塊捕獲用戶從鍵盤輸入模塊輸入的交易PIN碼,并將該P(yáng)IN碼發(fā)送給安全加密模塊,安全加密模塊調(diào)用網(wǎng)絡(luò)安全規(guī)則,根據(jù)安全規(guī)則生成密鑰和含PIN碼的密文,通信接口傳輸?shù)交ヂ?lián)網(wǎng)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器200,網(wǎng)絡(luò)應(yīng)用服務(wù)器200對(duì)接收到的密文進(jìn)行解密和處理后,與網(wǎng)絡(luò)應(yīng)用服務(wù)器200中預(yù)存的設(shè)定密碼信息比對(duì),若正確,則發(fā)出確認(rèn)信息給所述網(wǎng)絡(luò)安全終端;若錯(cuò)誤,則提示輸入錯(cuò)誤。網(wǎng)絡(luò)安全終端100在每次交易中,安全加密模塊給交易PIN碼隨機(jī)生成不同的密鑰,這樣每個(gè)密鑰都是唯一的,即使在傳輸過(guò)程中被捕獲,也不能用于下一次交易,保證了安全交易地進(jìn)行。整個(gè)的交互方法流程,可如圖5所示,S501 用戶通過(guò)客戶端服務(wù)器與網(wǎng)絡(luò)應(yīng)用服務(wù)器建立連接;此步驟中,銀行服務(wù)器首先通過(guò)網(wǎng)絡(luò)安全終端內(nèi)的數(shù)字證書建立銀行賬戶與此網(wǎng)絡(luò)安全終端的對(duì)應(yīng)關(guān)系,首先,兩者是對(duì)應(yīng)的才能建立連接,但是,這個(gè)是只要持有此網(wǎng)絡(luò)安全終端(例如類似U盾的設(shè)備)并且知道銀行賬戶信息(例如賬號(hào))即可建立連接,安全性仍然處于較低水平。S502 ;建立連接后,用戶選擇交易類型;用戶下載網(wǎng)銀的安全控件,選擇要執(zhí)行的交易類別,例如匯款、轉(zhuǎn)賬或者付款等。用戶將網(wǎng)絡(luò)安全終端與客戶端服務(wù)器連接,網(wǎng)絡(luò)應(yīng)用服務(wù)器發(fā)出交易確認(rèn)信息;這個(gè)過(guò)程中,銀行的應(yīng)用服務(wù)器會(huì)發(fā)送需要驗(yàn)證的信息到網(wǎng)絡(luò)安全終端,或者客戶端的顯示器,例如提示輸入密碼,顯示交易金額等等。S503 用戶通過(guò)網(wǎng)絡(luò)安全終端輸入約定的交易密碼,并通過(guò)互聯(lián)網(wǎng)發(fā)送給網(wǎng)絡(luò)應(yīng)用服務(wù)器;在這個(gè)過(guò)程中,交易PIN碼輸入和處理是不通過(guò)客戶端的計(jì)算機(jī)的,直接在網(wǎng)絡(luò)安全終端內(nèi)完成,傳送給銀行的網(wǎng)絡(luò)應(yīng)用服務(wù)器。S504 網(wǎng)絡(luò)應(yīng)用服務(wù)器驗(yàn)證交易密碼;由于網(wǎng)絡(luò)應(yīng)用服務(wù)器和網(wǎng)絡(luò)安全終端遵守共同的協(xié)議,網(wǎng)絡(luò)應(yīng)用服務(wù)器會(huì)對(duì)密鑰信息解密等安全處理后與用戶在開戶時(shí)或者在銀行柜臺(tái)設(shè)置的交易密碼比對(duì),判斷是否匹配。S505 如果匹配,則驗(yàn)證通過(guò),執(zhí)行下一步交易;S506 如果不匹配,則發(fā)送信息到顯示屏,給出錯(cuò)誤信息,要求重新輸入,超過(guò)一定次數(shù),則終止交易,甚至鎖定賬戶。當(dāng)然,在實(shí)際應(yīng)用中,還可以針對(duì)不同的需求進(jìn)行相應(yīng)的功能改進(jìn)和添加,例如添加傳統(tǒng)的動(dòng)態(tài)口令卡的動(dòng)態(tài)口令生產(chǎn)單元,同時(shí)具有相應(yīng)的功能。至于安全加密的具體實(shí)現(xiàn)方式,以下有幾個(gè)應(yīng)用例,作為參考。應(yīng)用例一一種數(shù)字信封加密PIN+數(shù)字簽名的應(yīng)用方式,該方式的實(shí)現(xiàn)過(guò)程如下一、網(wǎng)絡(luò)安全終端內(nèi)部預(yù)置加密機(jī)產(chǎn)生的H(S(網(wǎng)絡(luò)應(yīng)用服務(wù)器端公鑰)、客戶端證書;二、客戶端IE瀏覽手動(dòng)下載信息交互控件,并安裝;三、客戶端登錄網(wǎng)銀進(jìn)行SSL協(xié)商,驗(yàn)證SSL加速器內(nèi)部的Web服務(wù)器證書的合法性;四、客戶端對(duì)Web服務(wù)器證書驗(yàn)證通過(guò)后,SSL加速器驗(yàn)證網(wǎng)絡(luò)安全終端內(nèi)部客戶端證書的合法性;五、客戶端證書驗(yàn)證通過(guò)后,完成SSL隧道建立,進(jìn)入網(wǎng)銀系統(tǒng)內(nèi)部;六、客戶進(jìn)行網(wǎng)銀交易操作,需要輸入PIN ;七、從網(wǎng)絡(luò)安全終端上輸入PIN,內(nèi)部用I3Ks自動(dòng)加密PIN ;八、信息交互控件讀取網(wǎng)絡(luò)安全終端內(nèi)部的PIN密文、客戶端證書;九、IE及交互控件調(diào)用網(wǎng)絡(luò)安全終端,使用客戶端證書SKe (客戶端證書私鑰)對(duì)整個(gè)交易報(bào)文進(jìn)行簽名;十、所有信息通過(guò)SSL隧道加密傳輸;i^一、信息到達(dá)SSL加速器后,進(jìn)行SSL卸載,獲得PKs加密的PIN密文、客戶端證書、簽名值等;十二、網(wǎng)銀前置機(jī)使用客戶端證書中的公鑰對(duì)整個(gè)報(bào)文進(jìn)行驗(yàn)簽。加密機(jī)內(nèi)的私鑰解密PKs獲得PIN,再與后臺(tái)系統(tǒng)約定的ZPK2(另外一個(gè)PIN加密密鑰)在加密機(jī)內(nèi)部進(jìn)行轉(zhuǎn)加密PIN和計(jì)算MAC,并發(fā)往后臺(tái);十三、內(nèi)部驗(yàn)證通過(guò),確認(rèn)并信息返回;[0073]十四、確認(rèn)信息返回,轉(zhuǎn)入下一步業(yè)務(wù)操作。該方式利用服務(wù)端公鑰直接加密輸入的PIN,即是從前端非對(duì)稱處理算法轉(zhuǎn)換到后臺(tái)對(duì)稱處理算法的過(guò)程,簡(jiǎn)單方便。應(yīng)用例二數(shù)字信封加密密鑰+MAC+PIN加密,該方式的實(shí)現(xiàn)過(guò)程如下1.網(wǎng)絡(luò)安全終端內(nèi)部預(yù)置加密機(jī)產(chǎn)生的H(S、客戶端證書;2.客戶端IE瀏覽手動(dòng)下載信息交互控件,并安裝;3.客戶端登錄網(wǎng)銀進(jìn)行SSL協(xié)商,驗(yàn)證SSL加速器內(nèi)部的Web服務(wù)器證書的合法性;4.客戶端對(duì)Web服務(wù)器證書驗(yàn)證通過(guò)后,SSL加速器驗(yàn)證網(wǎng)絡(luò)安全終端內(nèi)部客戶端證書的合法性;5.客戶端證書驗(yàn)證通過(guò)后,完成SSL隧道建立,進(jìn)入網(wǎng)銀系統(tǒng)內(nèi)部;6.客戶進(jìn)行網(wǎng)銀交易操作,需要輸入PIN ;7.從網(wǎng)絡(luò)安全終端上輸入PIN,內(nèi)部隨機(jī)產(chǎn)生工作密鑰ZH(1、ZAK1,且用內(nèi)部PKs 加密兩把密鑰,同時(shí)ZPKl加密PIN ;8.信息交互控件讀取網(wǎng)絡(luò)安全終端內(nèi)部的PIN密文、密鑰密文、客戶端證書;9. IE及交互控件調(diào)用網(wǎng)絡(luò)安全終端,使用內(nèi)部ZAKl對(duì)整個(gè)交易報(bào)文進(jìn)行MAC計(jì)算;10.所有信息通過(guò)SSL隧道加密傳輸;11.信息到達(dá)SSL加速器后,進(jìn)行SSL卸載,出現(xiàn)PIN密文、PKs加密密鑰的密文、 MAC值等;12.網(wǎng)銀前置機(jī)使用加密機(jī)內(nèi)部私鑰解密先獲得ZH(1、ZAK1,使用ZAKl驗(yàn)證MAC。 再與后臺(tái)系統(tǒng)約定的ZH(2、ZAK2在加密機(jī)內(nèi)部進(jìn)行轉(zhuǎn)加密PIN和計(jì)算報(bào)文MAC ;13.內(nèi)部驗(yàn)證通過(guò),確認(rèn)并信息返回;14.確認(rèn)信息返回,轉(zhuǎn)入下一步業(yè)務(wù)操作。該方式是利用服務(wù)端公鑰保護(hù)隨機(jī)產(chǎn)生的工作密鑰,而工作密鑰用于加密輸入的 PIN和計(jì)算報(bào)文MAC,實(shí)現(xiàn)工作密鑰“一次一密”的設(shè)計(jì)。當(dāng)然,具體應(yīng)用方式,還可以根據(jù)同樣的原理,加以改進(jìn),在此不加贅述。本實(shí)用新型優(yōu)選實(shí)施例只是用于幫助闡述本實(shí)用新型。優(yōu)選實(shí)施例并沒有詳盡敘述所有的細(xì)節(jié),也不限制該實(shí)用新型僅為所述的具體實(shí)施方式
。顯然,根據(jù)本說(shuō)明書的內(nèi)容,可作很多的修改和變化。本說(shuō)明書選取并具體描述這些實(shí)施例,是為了更好地解釋本實(shí)用新型的原理和實(shí)際應(yīng)用,從而使所屬技術(shù)領(lǐng)域技術(shù)人員能很好地利用本實(shí)用新型。本實(shí)用新型僅受權(quán)利要求書及其全部范圍和等效物的限制。
權(quán)利要求1.一種網(wǎng)絡(luò)安全終端,其特征在于,包括一殼體、設(shè)置在殼體內(nèi)的中央處理模塊、設(shè)置在殼體上的通信接口、設(shè)置在所述殼體表面且與所述中央處理模塊連接的鍵盤輸入模塊、 存儲(chǔ)器以及設(shè)置在所述殼體內(nèi)與所述中央處理模塊連接的安全加密模塊,其中,所述存儲(chǔ)器用以存儲(chǔ)不同網(wǎng)絡(luò)應(yīng)用服務(wù)器的網(wǎng)絡(luò)安全規(guī)則,所述中央處理模塊捕獲所述鍵盤輸入模塊輸入的數(shù)字信息,并將該數(shù)字信息發(fā)送給所述安全加密模塊,該安全加密模塊通過(guò)調(diào)用所述存儲(chǔ)器中的對(duì)應(yīng)的網(wǎng)絡(luò)安全規(guī)則,對(duì)其加密后通過(guò)所述通信接口傳輸?shù)交ヂ?lián)網(wǎng)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)安全終端,其特征在于,所述殼體上還設(shè)置有一液晶顯示屏,其與所述中央處理器連接,用以顯示交易金額、交易賬戶或交易狀態(tài)數(shù)字信息。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)安全終端,其特征在于,所述鍵盤輸入模塊包括0-9十個(gè)數(shù)字按鍵,以及至少一確認(rèn)鍵和一取消按鍵。
4.如權(quán)利要求1所述的網(wǎng)絡(luò)安全終端,其特征在于,所述通信接口為一Mini-USB接口, 該網(wǎng)絡(luò)安全終端通過(guò)Mini-USB接口與計(jì)算機(jī)連接。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)安全終端,其特征在于,所述通信接口包括一伸縮連接線, 該伸縮連接線連接有一 USB接口。
6.如權(quán)利要求1所述的網(wǎng)絡(luò)安全終端,其特征在于,該網(wǎng)絡(luò)安全終端還包括一語(yǔ)音提示報(bào)警模塊。
7.—種網(wǎng)絡(luò)安全交互系統(tǒng),包括至少一個(gè)網(wǎng)絡(luò)應(yīng)用服務(wù)器、至少一個(gè)帶有計(jì)算機(jī)的客戶端,所述網(wǎng)絡(luò)應(yīng)用服務(wù)器與所述些客戶端通過(guò)互聯(lián)網(wǎng)連接成可通信的網(wǎng)絡(luò)節(jié)點(diǎn),其特征在于,還包括至少一網(wǎng)絡(luò)安全終端,該網(wǎng)絡(luò)安全終端可通過(guò)通信接口與任一客戶端的計(jì)算機(jī)連接,該網(wǎng)絡(luò)安全終端進(jìn)一步包括一殼體、一設(shè)置在殼體內(nèi)的中央處理模塊、一設(shè)置在殼體上的通信接口、設(shè)置在所述殼體表面且與所述中央處理模塊連接的鍵盤輸入模塊、存儲(chǔ)器以及設(shè)置在所述殼體內(nèi)于所述中央處理模塊連接的安全加密模塊,其中,所述存儲(chǔ)器用以存儲(chǔ)不同網(wǎng)絡(luò)應(yīng)用服務(wù)器網(wǎng)絡(luò)安全規(guī)則,所述中央處理模塊捕獲所述鍵盤輸入模塊輸入的數(shù)字信息,并將該數(shù)字信息發(fā)送給所述安全加密模塊,該安全加密模塊通過(guò)所述中央處理器調(diào)用所述存儲(chǔ)器中的對(duì)應(yīng)的網(wǎng)絡(luò)安全規(guī)則,對(duì)其加密后通過(guò)所述通信接口傳輸?shù)交ヂ?lián)網(wǎng)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器,該網(wǎng)絡(luò)應(yīng)用服務(wù)器對(duì)接收到的信息解密或安全處理后,將于網(wǎng)絡(luò)應(yīng)用服務(wù)器中預(yù)存的設(shè)定密碼比對(duì),若正確,則發(fā)出確認(rèn)信息給所述網(wǎng)絡(luò)安全終端;若錯(cuò)誤,則提示輸入錯(cuò)誤。
8.如權(quán)利要求7所述的網(wǎng)絡(luò)安全交互系統(tǒng),其特征在于,所述網(wǎng)絡(luò)安全終端還設(shè)置有一液晶顯示屏,所述網(wǎng)絡(luò)應(yīng)用服務(wù)器發(fā)送的確認(rèn)和提示錯(cuò)誤信息,通過(guò)該液晶顯示屏顯示。
9.如權(quán)利要求8所述的網(wǎng)絡(luò)安全交互系統(tǒng),其特征在于,所述網(wǎng)絡(luò)應(yīng)用服務(wù)器是銀行服務(wù)器或第三方支付系統(tǒng)服務(wù)器,所述鍵盤輸入模塊能夠輸入交易金額,并通過(guò)所述液晶顯示屏顯示,通過(guò)所述鍵盤確認(rèn)或取消交易。
專利摘要本實(shí)用新型提供一種網(wǎng)絡(luò)安全終端以及采用此種安全終端進(jìn)行網(wǎng)絡(luò)交易的交互系統(tǒng),該終端包括殼體、中央處理模塊、通信接口、鍵盤輸入模塊、存儲(chǔ)器以及中央處理模塊連接的安全加密模塊,中央處理模塊捕獲鍵盤輸入模塊輸入的數(shù)字信息,并將數(shù)字信息發(fā)送給安全加密模塊,安全加密模塊調(diào)用存儲(chǔ)器中的對(duì)應(yīng)的網(wǎng)絡(luò)安全規(guī)則,對(duì)其加密后通過(guò)通信接口傳輸?shù)交ヂ?lián)網(wǎng)中的網(wǎng)絡(luò)應(yīng)用服務(wù)器。采用本實(shí)用新型提供的網(wǎng)絡(luò)安全終端,在用戶進(jìn)行網(wǎng)上交易時(shí),不僅提供傳統(tǒng)U盾的功能,還可以直接在此安全終端上直接輸入交易密碼,避免了以往的U盾只提供一個(gè)數(shù)字認(rèn)證功能,而交易密碼還要在客戶端電腦上輸入,容易被安裝在客戶端電腦上的非法軟件盜用的安全風(fēng)險(xiǎn)。
文檔編號(hào)H04L29/06GK202206419SQ20112013836
公開日2012年4月25日 申請(qǐng)日期2011年5月4日 優(yōu)先權(quán)日2011年5月4日
發(fā)明者唐愛霞, 張曉輝, 徐敏, 趙金俊 申請(qǐng)人:唐愛霞, 張曉輝, 徐敏, 趙金俊