基于帶外認(rèn)證的移動金融安全方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及基于帶外認(rèn)證的移動金融安全方法����,屬于網(wǎng)絡(luò)身份認(rèn)證領(lǐng)域。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)管理可分為帶外管理(out-of-band)和帶內(nèi)管理(in-band)兩種管理模式����。所謂帶內(nèi)管理,是指網(wǎng)絡(luò)的管理控制信息與用戶網(wǎng)絡(luò)的承載業(yè)務(wù)信息通過同一個邏輯信道傳送�;而在帶外管理模式中,網(wǎng)絡(luò)的管理控制信息與用戶網(wǎng)絡(luò)的承載業(yè)務(wù)信息在不同的邏輯信道傳送��。
[0003]目前的手機網(wǎng)銀登錄模式都是賬號和密碼的驗證模式��,只要輸入賬號和密碼就可以登錄��,沒有其他的安全保護措施����。而且數(shù)據(jù)通道(帶內(nèi)網(wǎng)段)和認(rèn)證通道(帶外網(wǎng)段)在同一個網(wǎng)絡(luò)中�����,如果賬號和密碼被不法分子所截獲或者篡改�,那么任何人都能夠登錄手機網(wǎng)銀做任何的交易活動。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供基于帶外認(rèn)證的移動金融安全方法����,主要解決現(xiàn)有手機網(wǎng)銀登錄模式安全性低���、容易被不法分子篡改的問題。
[0005]為了實現(xiàn)上述目的��,本發(fā)明采用的技術(shù)方案如下:
基于帶外認(rèn)證的移動金融安全方法��,包括如下步驟:
帶外網(wǎng)段操作:
(1)用戶使用信任設(shè)備完成本地登錄認(rèn)證�,并訪問手機網(wǎng)銀���,信任設(shè)備生成身份認(rèn)證的一次性憑證��,該一次性憑證包含信任設(shè)備的設(shè)備信息�、用戶信息以及權(quán)限信息�;
(2)信任設(shè)備將一次性憑證發(fā)送至身份認(rèn)證系統(tǒng);
(3)身份認(rèn)證系統(tǒng)進行判定認(rèn)證���,若通過則將判定結(jié)果通知手機網(wǎng)銀中心�,進行步驟
(4);若不通過�,則認(rèn)證失敗��;
步驟(I) - (3)完成后�����,切換至帶內(nèi)網(wǎng)段操作;
帶內(nèi)網(wǎng)段操作:
(4)手機網(wǎng)銀中心接收身份認(rèn)證系統(tǒng)的判定結(jié)果��;
(5)手機網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機網(wǎng)銀的信道��;
(6)信任設(shè)備成功訪問手機網(wǎng)銀�;
所述帶內(nèi)網(wǎng)段操作在服務(wù)請求網(wǎng)段上進行,帶外網(wǎng)段操作在身份認(rèn)證網(wǎng)段上進行��,并且服務(wù)請求網(wǎng)段與身份認(rèn)證網(wǎng)段不同時開放����。
[0006]其中�����,信任設(shè)備是指通過注冊認(rèn)證的智能設(shè)備����,該智能設(shè)備在管理者處具有唯一識別的信息和硬件的信息,而唯一識別的信息和硬件的信息成為了每次都需要認(rèn)證的授權(quán)信息的一個部分�����。用戶在使用智能設(shè)備欲訪問手機網(wǎng)銀時,身份認(rèn)證系統(tǒng)首先會對該智能設(shè)備進行判斷����,確實其是否為信任設(shè)備。身份認(rèn)證系統(tǒng)可以由一個服務(wù)器提供身份認(rèn)證�����。
[0007]信任設(shè)備的注冊流程為: (a)用戶通過信任設(shè)備掃描注冊二維碼�����;
(b)用戶設(shè)置登陸密碼�����;
(c)信任設(shè)備按照策略讀取信任設(shè)備的硬件信息�,形成含有設(shè)備信息和硬件信息的加密的信息包��;
Cd)信任設(shè)備生成注冊信息并將注冊信息發(fā)送至身份認(rèn)證系統(tǒng)��;
(e)身份認(rèn)證系統(tǒng)解密注冊信息���,并判定注冊信息是否正確��,若是�,則根據(jù)注冊信息生成驗證碼;若否��,返回錯誤結(jié)果�;
Cf)身份認(rèn)證系統(tǒng)加密形成包含有驗證碼的私鑰;
(g)身份認(rèn)證系統(tǒng)預(yù)存私鑰��,同時���,發(fā)送私鑰給信任設(shè)備����;
(h)信任設(shè)備保存私鑰并使用私鑰生成確認(rèn)注冊的一次性憑證OTA����,一次性憑證OTA包含有:設(shè)備信息、用戶信息及對應(yīng)的權(quán)限信息�;
(i)信任設(shè)備將確認(rèn)注冊信息連同一次性憑證OTA發(fā)送到身份認(rèn)證系統(tǒng);
(j)身份認(rèn)證系統(tǒng)接收確認(rèn)注冊信息并判斷確認(rèn)注冊信息是否正確��,若是�����,則執(zhí)行下一步,若否��,則返回錯誤結(jié)果��;
(k)身份認(rèn)證系統(tǒng)轉(zhuǎn)存對應(yīng)的設(shè)備信息�����、用戶信息及對應(yīng)的權(quán)限信息到正式注冊表��,返回注冊成功�����。
[0008]進一步地���,所述步驟(I)的具體實現(xiàn)過程為:
(11)用戶打開信任設(shè)備,輸入密碼取回私鑰���,根據(jù)私鑰及輸入信息登錄信任設(shè)備����,完成本地登錄認(rèn)證��;
(12)訪問手機網(wǎng)銀,信任設(shè)備根據(jù)私鑰生成身份認(rèn)證的一次性憑證一0ΤΑ��。
[0009]進一步地���,所述步驟(3)的具體實現(xiàn)過程為:
(31)身份認(rèn)證系統(tǒng)解密OTA;
(32)身份認(rèn)證系統(tǒng)判定認(rèn)證OTA的設(shè)備信息�、用戶信息以及權(quán)限信息���,若認(rèn)證通過�����,則將判定結(jié)果通知手機網(wǎng)銀中心���;若認(rèn)證不通過,則認(rèn)證失?����?��;
(33)認(rèn)證結(jié)束后系統(tǒng)關(guān)閉身份認(rèn)證網(wǎng)段�����。
[0010]再進一步地����,所述手機網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機網(wǎng)銀的信道的同時,還授予該信任設(shè)備訪問手機網(wǎng)銀的權(quán)限�。
[0011]與現(xiàn)有技術(shù)相比,本發(fā)明具有以下有益效果:
(I)本發(fā)明完全規(guī)避了賬號和密碼的輸入過程�,也就是說沒有輸入賬號密碼的操作,不法分子無法截獲這類信息�����,同時認(rèn)證通道是通過手機的信道完成的�����,獨立于數(shù)據(jù)通道����,只有認(rèn)證通過后���,系統(tǒng)才會發(fā)送打開數(shù)據(jù)通道的請求��,從而打開數(shù)據(jù)通道��。
[0012](2)本發(fā)明不同實現(xiàn)過程在不同的網(wǎng)段內(nèi)進行��,其中使用信任設(shè)備訪問手機網(wǎng)銀和身份認(rèn)證在帶外網(wǎng)段進行�,授權(quán)信任設(shè)備訪問手機網(wǎng)銀在帶內(nèi)網(wǎng)段進行,并且兩個過程不同時進行��,即兩個過程進行時網(wǎng)段是唯一的�,避免了不法分子監(jiān)聽和竊取,提高了安全性�����。
【具體實施方式】
[0013]下面結(jié)合實施例對本發(fā)明作進一步說明��,本發(fā)明的實施方式包括但不限于下列實施例�。
[0014]我們稱服務(wù)請求網(wǎng)段為帶內(nèi)網(wǎng)段,相對于服務(wù)請求網(wǎng)段���,身份認(rèn)證網(wǎng)段就被稱之為帶外網(wǎng)段�����。這種通過兩個網(wǎng)段����,或者說通過兩個獨立的網(wǎng)絡(luò)的身份認(rèn)證模式就是雙通道帶外認(rèn)證。
實施例
[0015]基于帶外認(rèn)證的移動金融安全方法����,包括步驟:
1、帶內(nèi)網(wǎng)段操作(服務(wù)請求網(wǎng)段):
1.1用戶打開信任設(shè)備中的APP ����;
1.2輸入設(shè)定的密碼;
1.3 APP根據(jù)輸入密碼取回私鑰��;
1.4 APP根據(jù)私鑰及輸入信息完成基于設(shè)備的本地登錄驗證�;
1.5驗證成功,APP本地登錄完成�����;
1.6用戶點擊“網(wǎng)銀一鍵登陸”�;
1.7信任設(shè)備根據(jù)私鑰生成身份認(rèn)證的一次性憑證一OTA,該一次性憑證包含信任設(shè)備的設(shè)備信息�、用戶信息以及權(quán)限信息;
1.8信任設(shè)備通過移動網(wǎng)絡(luò)�,將OTA發(fā)送到身份認(rèn)證系統(tǒng);
1.9身份認(rèn)證系統(tǒng)按照約定解密OTA ��;
1.10身份認(rèn)證系統(tǒng)判定設(shè)備信息�、用戶信息及權(quán)限信息;
1.11身份認(rèn)證系統(tǒng)判定認(rèn)證通過����,則將判定結(jié)果通知手機網(wǎng)銀中心;如判定不通過�����,返回身份認(rèn)證失敗信息�,結(jié)束認(rèn)證。
[0016]在完成步驟1.1-1.11后���,身份認(rèn)證網(wǎng)段將關(guān)閉�����。
[0017]2��、帶外網(wǎng)段操作(身份認(rèn)證網(wǎng)段):
2.1手機網(wǎng)銀中心收到身份認(rèn)證系統(tǒng)的判定結(jié)果信息����;
2.2手機網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機網(wǎng)銀的信道���;
2.3手機網(wǎng)銀中心授予該信任設(shè)備訪問手機網(wǎng)銀的權(quán)限���;
2.4信任設(shè)備成功訪問手機網(wǎng)銀��。
[0018]在步驟2.1-2.4完成后�,登陸手機網(wǎng)銀的流程完成���。
[0019]按照上述實施例�,便可很好地實現(xiàn)本發(fā)明�����。值得說明的是�,基于上述結(jié)構(gòu)設(shè)計的前提下,為解決同樣的技術(shù)問題���,即使在本發(fā)明上做出一些無實質(zhì)性的改動或潤色���,所采用的技術(shù)方案的實質(zhì)仍然與本發(fā)明一樣,故其也應(yīng)當(dāng)在本發(fā)明的保護范圍內(nèi)���。
【主權(quán)項】
1.基于帶外認(rèn)證的移動金融安全方法����,其特征在于,包括如下步驟: 帶外網(wǎng)段操作: (1)用戶使用信任設(shè)備完成本地登錄認(rèn)證�����,并訪問手機網(wǎng)銀�,信任設(shè)備生成身份認(rèn)證的一次性憑證���,該一次性憑證包含信任設(shè)備的設(shè)備信息��、用戶信息以及權(quán)限信息����; (2)信任設(shè)備將一次性憑證發(fā)送至身份認(rèn)證系統(tǒng)�; (3)身份認(rèn)證系統(tǒng)進行判定認(rèn)證,若通過則將判定結(jié)果通知手機網(wǎng)銀中心�����,進行步驟(4);若不通過��,則認(rèn)證失?��?���; 步驟(I) - (3)完成后,切換至帶內(nèi)網(wǎng)段操作��; 帶內(nèi)網(wǎng)段操作: (4)手機網(wǎng)銀中心接收身份認(rèn)證系統(tǒng)的判定結(jié)果��; (5)手機網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機網(wǎng)銀的信道�; (6)信任設(shè)備成功訪問手機網(wǎng)銀; 所述帶內(nèi)網(wǎng)段操作在服務(wù)請求網(wǎng)段上進行���,帶外網(wǎng)段操作在身份認(rèn)證網(wǎng)段上進行����,并且服務(wù)請求網(wǎng)段與身份認(rèn)證網(wǎng)段不同時開放�。
2.根據(jù)權(quán)利要求1所述的基于帶外認(rèn)證的移動金融安全方法,其特征在于����,所述信任設(shè)備為在身份認(rèn)證系統(tǒng)中存儲有與之對應(yīng)的唯一的識別碼信息和設(shè)備信息的智能設(shè)備。
3.根據(jù)權(quán)利要求2所述的基于帶外認(rèn)證的移動金融安全方法�,其特征在于,所述步驟(I)的具體實現(xiàn)過程為: (11)用戶打開信任設(shè)備,輸入密碼�����,根據(jù)輸入信息登錄信任設(shè)備進行本地登錄認(rèn)證��,認(rèn)證成功�����,則本地登錄完成�����; (12)訪問手機網(wǎng)銀��,信任設(shè)備生成身份認(rèn)證的一次性憑證一OTA���。
4.根據(jù)權(quán)利要求3所述的基于帶外認(rèn)證的移動金融安全方法,其特征在于���,所述步驟(3)的具體實現(xiàn)過程為: (31)身份認(rèn)證系統(tǒng)解密OTA; (32)身份認(rèn)證系統(tǒng)判定認(rèn)證OTA的設(shè)備信息�����、用戶信息以及權(quán)限信息����,若認(rèn)證通過,則將判定結(jié)果通知手機網(wǎng)銀中心���;若認(rèn)證不通過����,則認(rèn)證失?����?���; (33)認(rèn)證結(jié)束后系統(tǒng)關(guān)閉身份認(rèn)證網(wǎng)段。
5.根據(jù)權(quán)利要求1-4任意一項所述的基于帶外認(rèn)證的移動金融安全方法���,其特征在于�,所述手機網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機網(wǎng)銀的信道的同時���,還授予該信任設(shè)備訪問手機網(wǎng)銀的權(quán)限����。
【專利摘要】本發(fā)明公開了基于帶外認(rèn)證的移動金融安全方法。包括步驟:帶外網(wǎng)段操作:(1)用戶使用信任設(shè)備訪問手機網(wǎng)銀���,信任設(shè)備生成身份認(rèn)證的一次性憑證�;(2)將一次性憑證發(fā)送至身份認(rèn)證系統(tǒng)���;(3)身份認(rèn)證系統(tǒng)進行判定認(rèn)證��,若通過則將判定結(jié)果通知手機網(wǎng)銀中心��;若不通過����,則認(rèn)證失?���?;切換至帶內(nèi)網(wǎng)段操作;帶內(nèi)網(wǎng)段操作:(4)手機網(wǎng)銀中心接收判定結(jié)果��;(5)手機網(wǎng)銀中心授權(quán)開放該信任設(shè)備訪問手機網(wǎng)銀的信道�����;(6)信任設(shè)備成功訪問手機網(wǎng)銀。本發(fā)明規(guī)避了賬號和密碼的輸入過程��,不法分子無法截獲這類信息����,同時認(rèn)證通道獨立于數(shù)據(jù)通道,只有認(rèn)證通過后���,系統(tǒng)才會發(fā)送打開數(shù)據(jù)通道的請求����,從而打開數(shù)據(jù)通道���,安全性高��。
【IPC分類】G06Q20-38, G06Q20-40
【公開號】CN104680373
【申請?zhí)枴緾N201510103785
【發(fā)明人】胥寅, 張采榮
【申請人】四川省寧潮科技有限公司
【公開日】2015年6月3日
【申請日】2015年3月10日