專利名稱:一種手機銀行客戶端信息認證方法、系統及移動終端的制作方法
技術領域:
本發明關于手機銀行信息安全技術,特別是關于在手機銀行中實現安全的用戶身 份認證以及數據加密傳輸的技術,具體地講是一種手機銀行客戶端信息認證方法、系統及 移動終端。
背景技術:
手機銀行系統經歷了短信手機銀行、WAP手機銀行(WAP =Wireless Application I^otocol,無線應用協議)、客戶端手機銀行等幾個發展階段。由于客戶端手機銀行可以提 供最好的客戶體驗,因此客戶端手機銀行必將成為技術主流。在B/S架構下的現有技術中,手機銀行的客戶端工作界面是通過手機瀏覽器來實 現的,主要事務邏輯在服務器端(Server)實現。用戶不用安裝任何專門的軟件,使用操作 系統自帶的瀏覽器軟件就可以訪問互聯網應用,這便使得手機銀行可選的安全手段有限, 銀行只能采用安全傳輸層協議(TLS)、用戶名密碼校驗等傳統的B/S技術標準實現系統安 全。在C/S架構下的現有技術中,手機銀行客戶端、手機銀行服務器端共同構成完整的客戶 端手機銀行系統。客戶端手機銀行突破了 B/S架構的技術限制,安全控制手段更加靈活多 樣,銀行可以根據自身安全要求做個性化設計開發。也正是由于手機銀行客戶端開發的靈 活性,使得手機銀行的安全控制強度主要由銀行自身決定。如果銀行仍然單純采用TLS、用 戶名密碼校驗作為唯一的安全控制手段,則在安全方面存在弊端簡單的用戶名/密碼認 證體系比較容易被破解或釣魚;通過TLS協議只能保證數據在公網傳輸通道中的安全性, 不能保證客戶端內部,以及銀行內部網絡中的數據安全(例如用戶的關鍵數據可能在銀行 內部網絡被銀行內部員工截獲)。目前手機客戶端軟件開發平臺提供的功能已經非常豐 富,第三方應用程序開發者可以通過平臺提供的API操作手機硬件功能,或獲取手機硬件 信息,充分利用這些手機特有技術,應用于手機銀行安全領域,可以提高手機銀行安全控制 強度,達到開展銀行業務的安全要求。
發明內容
本發明實施例提供了一種手機銀行客戶端信息認證方法、系統及移動終端,以解 決客戶端手機銀行系統信息安全性的問題。本發明的目的之一是,提供一種手機銀行客戶端信息認證方法,該方法包括手機 銀行客戶信息綁定步驟和手機銀行登錄信息驗證步驟;其中,手機銀行客戶信息綁定步驟 包括建立手機SIM卡信息與手機銀行注冊客戶信息的綁定關系;建立手機硬件信息與手 機銀行注冊客戶信息的綁定關系;手機銀行登錄信息驗證步驟包括獲取登錄手機的SIM 卡信息和硬件信息;判斷所述登錄手機的SIM卡信息和硬件信息是否與對應的綁定關系中 的手機SIM卡信息和硬件信息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息 驗證失敗。手機銀行客戶信息綁定步驟還包括建立手機特定運動軌跡信息與手機銀行注冊客戶信息的綁定關系;手機銀行登錄信息驗證步驟還包括獲取登錄手機的運動軌跡信 息;判斷登錄手機的運動軌跡信息是否與對應的綁定關系中的手機特定運動軌跡信息相匹 配,如果是則登錄信息驗證通過,如果否則登錄信息驗證失敗。手機銀行客戶信息綁定步驟還包括建立手機觸摸屏特定觸摸軌跡信息與手機銀 行注冊客戶信息的綁定關系;手機銀行登錄信息驗證步驟還包括獲取登錄手機觸摸屏的 觸摸軌跡信息;判斷登錄手機觸摸屏的觸摸軌跡信息是否與對應的綁定關系中的手機觸 摸屏特定觸摸軌跡信息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息驗證失 敗。本發明的目的之一是,提供一種手機銀行客戶端信息認證方法,該方法包括將客 戶端裝置設置在手機中,使手機通過WAP網關分別與手機銀行服務器和手機號獲取服務器 進行通信,并使手機號獲取服務器與手機銀行服務器進行通信;其中,手機銀行服務器存儲 手機號碼與手機銀行注冊客戶信息的綁定關系、和手機IMEI與手機銀行注冊客戶信息的 綁定關系;客戶端裝置獲取手機的SIM卡信息,生成包含SIM卡信息的手機號獲取指令,并 將手機號獲取指令發送給WAP網關;客戶端裝置獲取手機的IMEI,并將手機的IMEI進行加 密后發送給WAP網關;WAP網關接收手機號獲取指令,并根據SIM卡信息獲取到對應的手機 號碼,將包含手機號碼的手機號獲取指令轉發給手機號獲取服務器;WAP網關接收IMEI,并 將IMEI轉發給手機銀行服務器;手機號獲取服務器接收包含所述手機號碼的手機號獲取 指令,提取出手機號碼并發送給手機銀行服務器;手機銀行服務器接收手機的手機號碼和 IMEI,判斷手機號碼和IMEI是否與對應的綁定關系中的手機號碼和IMEI相匹配,如果是 則輸出登錄信息驗證通過消息,如果否則輸出登錄信息驗證失敗消息。本發明的目的之一是,提供一種手機銀行客戶端信息認證系統,該系統包括手機 和客戶端裝置,客戶端裝置設置在所述的手機中;該系統還包括手機銀行服務器;其中, 手機銀行服務器包括綁定關系存儲單元,用于存儲手機SIM卡信息與手機銀行注冊客戶 信息的綁定關系、和手機硬件信息與手機銀行注冊客戶信息的綁定關系;登錄信息接收單 元,用于接收所述手機的SIM卡信息和硬件信息;登錄信息驗證單元,用于判斷所述手機的 SIM卡信息和硬件信息是否與對應的綁定關系中的手機SIM卡信息和硬件信息相匹配,如 果是則輸出登錄信息驗證通過消息,如果否則輸出登錄信息驗證失敗消息;客戶端裝置 包括SIM卡信息獲取單元,用于獲取所述手機的SIM卡信息;硬件信息獲取單元,用于獲取 所述手機的硬件信息;安全通信單元,用于輸出手機的SIM卡信息和手機的硬件信息。本發明的目的之一是,提供一種手機銀行客戶端信息認證系統,該系統包括手機 和客戶端裝置,客戶端裝置設置在手機中;該系統還包括:WAP網關、手機號獲取服務器和 手機銀行服務器;其中,手機銀行服務器包括綁定關系存儲單元,用于存儲手機號碼與手 機銀行注冊客戶信息的綁定關系、和手機IMEI與手機銀行注冊客戶信息的綁定關系;登錄 信息接收單元,用于接收手機號碼和IMEI ;登錄信息驗證單元,用于判斷手機號碼和IMEI 是否與對應的綁定關系中的手機號碼和IMEI相匹配,如果是則輸出登錄信息驗證通過消 息,如果否則輸出登錄信息驗證失敗消息;客戶端裝置包括獲取指令生成單元,用于獲 取手機的SIM卡信息,生成包含SIM卡信息的手機號獲取指令;硬件信息獲取單元,用于獲 取手機的IMEI ;安全通信單元,用于輸出手機號獲取指令和手機的IMEI ;WAP網關包括指 令轉發單元,用于接收手機號獲取指令,并根據SIM卡信息獲取到對應的手機號碼,生成并轉發包含手機號碼的手機號獲取指令;硬件信息轉發單元,用于接收IMEI,并轉發IMEI ;手 機號獲取服務器用于接收包含手機號碼的手機號獲取指令,提取出手機號碼并輸出。本發明的目的之一是,提供一種手機銀行客戶端移動終端,該移動終端包括手機 本體和SIM卡;該移動終端還包括客戶端裝置,客戶端裝置設置在手機本體中;其中,客 戶端裝置包括獲取指令生成單元,用于獲取手機的SIM卡信息,生成包含SIM卡信息的手 機號獲取指令;硬件信息獲取單元,用于獲取手機的IMEI ;數據加密單元,用于對手機號獲 取指令和手機的IMEI進行加密;安全通信單元,用于輸出加密的手機號獲取指令和手機的 IMEI。本發明可以廣泛用于手機銀行應用的多個場景,本發明結合了手機硬件特征,可 以增加手機銀行安全控制,體現在如下方面1)綁定手機硬件信息將用戶手機硬件信息與手機銀行注冊信息綁定,可以確保 用戶只有使用自己的手機才能操作銀行賬戶。即使用戶名密碼被竊取,盜取人也無法操作 被盜取人的銀行賬戶,造成經濟損失。2)綁定用戶SIM卡通過將用戶手機號與手機銀行注冊信息綁定,可以確保用戶 只有使用自己的SIM卡才能操作銀行賬戶。即使用戶名密碼被竊取,盜取人也無法操作被 盜取人的銀行賬戶,造成經濟損失。3)將用戶的持手機時的特定手勢作為安全認證手段,進一步加強了手機銀行登錄 的安全性。4)將用戶在手機觸摸屏上觸摸出的特定軌跡作為安全認證手段,進一步加強了手 機銀行登錄的安全性。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本 發明的一些實施例,對于本領域技術人員來講,在不付出創造性勞動性的前提下,還可以根 據這些附圖獲得其他的附圖。圖1為本發明實施例手機銀行客戶端信息認證方法流程圖;圖2為本發明實施例手機與SIM卡及客戶端裝置的設置關系示意圖;圖3為本發明實施例手機銀行客戶端信息認證系統連接示意圖;圖4為本發明實施例系統的客戶端裝置的結構框圖;圖5為本發明實施例系統的WAP網關的結構框圖;圖6為本發明實施例系統的手機銀行服務器的結構框圖;圖7為本發明實施例手機的電路原理圖;圖8為本發明實施例手機的客戶端裝置的結構框圖;圖9為本發明實施例與手機通信的手機銀行服務器的結構框圖;圖10為本發明實施例手機銀行客戶端信息認證系統工作流程圖。
具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完
7整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于 本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他 實施例,都屬于本發明保護的范圍。實施例1如圖1所示,本發明實施例的手機銀行客戶端信息認證方法包括手機銀行客戶 信息綁定步驟(步驟S100)和手機銀行登錄信息驗證步驟(步驟S200);其中,手機銀行客 戶信息綁定步驟(步驟S100)包括建立手機SIM卡信息與手機銀行注冊客戶信息的綁定 關系(步驟S101);建立手機硬件信息與手機銀行注冊客戶信息的綁定關系(步驟S102); 手機銀行登錄信息驗證步驟(步驟S200)包括獲取登錄手機的SIM卡信息和硬件信息 (步驟S201);判斷所述登錄手機的SIM卡信息和硬件信息是否與對應的綁定關系中的手 機SIM卡信息和硬件信息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息驗證 失敗(步驟S202)。手機銀行客戶信息綁定步驟(步驟S100)還包括建立手機特定運動軌跡信息與 手機銀行注冊客戶信息的綁定關系(步驟Sl(XB);步驟S201還包括獲取登錄手機的運動 軌跡信息;步驟S202還包括判斷所述登錄手機的運動軌跡信息是否與對應的綁定關系中 的手機特定運動軌跡信息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息驗證 失敗。手機銀行客戶信息綁定步驟(步驟S100)還包括建立手機觸摸屏特定觸摸軌跡 信息與手機銀行注冊客戶信息的綁定關系(步驟S104);步驟S201還包括獲取登錄手機 觸摸屏的觸摸軌跡信息;步驟S202還包括判斷登錄手機觸摸屏的觸摸軌跡信息是否與對 應的綁定關系中的手機觸摸屏特定觸摸軌跡信息相匹配,如果是則登錄信息驗證通過,如 果否則登錄信息驗證失敗。SIM卡信息包括國際移動用戶識別碼IMSI ;所述的硬件信息包括國際移動設備 身份碼IMEI。本實施例方法是將手機終端設備自身具有的特點與對稱密鑰加密、非對稱密鑰加 密、安全傳輸層(TLS)協議等已有安全技術相結合,形成一套手機銀行安全保障體系。如圖2所示,客戶手機100上安裝了手機銀行客戶端裝置101和SIM卡102。客 戶端裝置101可以是軟件,也可以是芯片或存儲卡。用戶可以在開通手機銀行時自助或在 服務網點下載安裝客戶端裝置101,也可以將客戶端芯片接入手機100的對應的接口或客 戶端存儲卡直接插入手機100的存儲卡插槽。SIM卡102為硬件裝置,插于手機100的SIM 卡插槽中。通過廠商提供的應用編程接口,應用開發商可以讀取手機設備的硬件信息,包括 但不限于國際移動設備身份碼 international Mobile Equipment Identity,IMEI)。IMEI 是全球手機設備制造商遵循統一的命名規則對每一部手機設備編號,可以保證全球范圍內 唯一。將手機硬件信息與手機銀行用戶綁定,限制用戶只能使用綁定的手機設備登錄手機 銀行進行操作,可以做到“只有利用這臺手機才能夠操作對應的銀行賬戶”,從而增強安全 控制。用戶使用手機銀行,請求從手機客戶端軟件發出,首先進入移動運營商的無線 網絡,運營商通過基站完成無線網到有線網的轉換,最終請求通過運營商的WAP網關經Internet網絡接入銀行系統。移動運營商通過SIM卡對用戶鑒權、計算網絡流量及費用。 運營商可以識別用戶身份,通過存儲在SIM卡中的國際移動用戶識別碼(International Mobile Subscriber Identification Number, IMSI)找到對應的手機號。當用戶的手機號 獲取請求到達運營商WAP網關時,WAP網關可以將用戶手機號加入到請求頭域,并傳輸給運 營商手機號獲取服務器。運營商手機號獲取服務器通過解析可以得到請求中的手機號,并 通過ffeb Service等標準接口向銀行提供手機號信息。這樣,通過與移動運營商合作,銀行 端可以自動獲取用戶當前SIM卡對應的手機號。手機號自動獲取,一方面可以減少手機用 戶的操作步驟,不需要手工輸入用戶名信息;另一方面,手機號自動獲取可以做到“只有擁 有該手機號SIM卡的人才有可能操作對應的銀行賬戶”,即完成SIM卡與手機銀行注冊客戶 的綁定,增加安全控制。目前高端智能手機均支持觸摸屏操作,用戶使用手指在屏幕上操作,系統可以識 別用戶輕觸、重擊、滑動、長按、雙擊、三擊等不同動作。部分手機支持多點觸控(采用電容 式觸摸屏),更可以識別放大、縮小、同時多點觸碰等更為豐富的動作。以上動作在手機應用 技術中稱為“手勢”(Gesture)。特別是部分高端手機內置加速計硬件裝置,可以感知手機 本身所處的角度、手機移動的速度、加速度、甚至移動軌跡。這類手機可以支持的手勢更加 多樣化,用戶可以上下左右晃動手機,形成不同的手勢。第三方應用開發商可以通過硬件編程識別用戶的手勢,因此可以在手機銀行客戶 端中增加手勢錄入功能,供用戶預留個性化、自定義手勢。自定義手勢數字化后保存,與手 機銀行注冊信息綁定,可用于安全領域的以下(但不限于)場景手機銀行客戶端軟件的解鎖手機銀行客戶端在一定時間內沒有接到用戶操作 后,自我鎖定。用戶解鎖時,可以輸入手勢動作,系統識別用戶手勢,與預留手勢比對,如果 吻合,則解鎖成功。用于手機銀行登錄登錄過程中要求用戶輸入手勢,驗證通過后才能登錄成功。作為密鑰的組成因子手勢可以作為密鑰的生成因子之一,增強密鑰本身的安全 性。實施例2如圖3所示,本發明實施例的手機銀行客戶端信息認證系統包括客戶手機100、 移動運營商WAP網關200、移動運營商手機號獲取服務器300、手機銀行服務器400、銀行客 戶信息系統500。客戶手機100通過運營商無線蜂窩網絡連接運營商基站;運營商基站通過 運營商內部有線網絡連接移動運營商WAP網關200 ;移動運營商WAP網關200通過互聯網連 接移動運營商手機號獲取服務器300 ;移動運營商WAP網關200、移動運營商手機號獲取服 務器300通過hternet連接手機銀行服務器400,銀行在手機銀行服務器400和hternet 之間部署有防火墻;手機銀行服務器400通過銀行內部網絡和銀行客戶信息系統500連接。如圖4所示,手機100中設置有客戶端裝置101,客戶端裝置101包括SIM卡信息 獲取單元1011用于獲取所述手機的SIM卡信息;硬件信息獲取單元1012用于獲取所述手 機的硬件信息;數據加密單元1013用于對獲取的SIM卡信息和硬件信息進行加密;安全通 信單元1014用于輸出加密后的手機的SIM卡信息和手機的硬件信息。如圖5所示,WAP網關200包括指令轉發單元201用于接收手機號獲取指令,并根 據SIM卡信息獲取到對應的手機號碼,生成并轉發包含所述手機號碼的手機號獲取指令;硬件信息轉發單元202用于接收硬件IMEI,并轉發硬件信息IMEI ;手機號獲取服務器300 用于接收包含所述手機號碼的手機號獲取指令,提取出手機號碼并輸出。如圖6所示,手機銀行服務器400包括綁定關系存儲單元401用于存儲手機SIM 卡信息與手機銀行注冊客戶信息的綁定關系、和手機硬件信息與手機銀行注冊客戶信息的 綁定關系;登錄信息接收單元402用于接收所述手機的SIM卡信息和硬件信息;登錄信息 驗證單元403用于判斷所述手機的SIM卡信息和硬件信息是否與對應的綁定關系中的手機 SIM卡信息和硬件信息相匹配,如果是則輸出登錄信息驗證通過消息,如果否則輸出登 錄信息驗證失敗消息;綁定關系存儲單元401還用于存儲手機特定運動軌跡信息與手機銀行注冊客戶 信息的綁定關系;登錄信息接收單元402還用于接收所述手機的運動軌跡信息;登錄信息 驗證單元403還用于判斷所述手機的運動軌跡信息是否與對應的綁定關系中的手機特定 運動軌跡信息相匹配,如果是則輸出登錄信息驗證通過消息,如果否則輸出登錄信息驗 證失敗消息。客戶端裝置101還包括運動軌跡獲取單元,用于獲取所述手機的運動軌跡信 息;安全通信單元1014還用于輸出所述手機的運動軌跡信息。綁定關系存儲單元401還用于存儲手機觸摸屏特定觸摸軌跡信息與手機銀行注 冊客戶信息的綁定關系;登錄信息接收單元402還用于接收所述手機的觸摸屏觸摸軌跡信 息;登錄信息驗證單元403還用于判斷所述的觸摸屏觸摸軌跡信息是否與對應的綁定關 系中的手機觸摸屏特定觸摸軌跡信息相匹配,如果是則輸出登錄信息驗證通過消息,如果 否則輸出登錄信息驗證失敗消息;客戶端裝置101還包括觸摸軌跡獲取單元,用于獲取 所述手機的觸摸屏觸摸軌跡信息;安全通信單元1014還用于輸出所述的觸摸屏觸摸軌跡 fn息ο如圖7所示,客戶手機是指手機銀行用戶所使用的手機,進一步的手機中安裝了 用戶SIM卡102以及手機銀行客戶端模塊101。手機銀行客戶端模塊101是指銀行開發的手 機銀行客戶端應用程序,安裝在用戶手機上,用戶通過運行該軟件使用手機銀行功能。客戶 手機包括射頻單元、基帶電路、中央處理器、鍵盤、觸摸屏、FLASH、RAM、加速度傳感器以及 SIM卡102和客戶端模塊101。利用加速度傳感器采集手機的運動軌跡(或稱手勢信息), 利用觸摸屏采集客戶在手機觸摸屏上觸摸的軌跡信息。在圖3中,移動運營商WAP網關200是指移動運營商擁有的WAP網關設備。WAP網 關連接移動運營商內部網絡和hternet互聯網,負責將用戶請求發送至互聯網。在用戶使 用手機銀行服務的一般場景下,運營商WAP網關200將用戶服務請求發送至手機銀行服務 器400 ;在銀行獲取用戶手機號碼的場景下,即客戶手機100發起手機號獲取請求時,運營 商WAP網關200首先識別用戶身份,將用戶手機號碼加入到客戶請求報文頭域,再將請求發 送至移動運營商手機號獲取服務器300。移動運營商手機號獲取服務器300是指移動運營商為向銀行等第三方開發商提 供手機號獲取服務,提供的部署于互聯網的服務器設備。在客戶手機100發起手機號獲取 請求時,從移動運營商WAP網關200發送的請求報文中解析出手機號,將手機號經過數字簽 名、數據加密,發送給手機銀行服務器400。手機銀行服務器400是指銀行端提供手機銀行業務服務的系統或服務器。其上部 署了銀行開發的手機銀行服務器端裝置,接受來自手機銀行客戶端軟件的請求,并完成業務處理。銀行客戶信息系統500是指銀行保存手機銀行注冊客戶信息的系統。包含但不限 于手機銀行的用戶注冊信息,及與其綁定的手機IMEI信息、手機號等信息。用戶通過本系統,使用客戶手機100作為終端設備,接入網絡,訪問銀行端系統, 使用手機銀行功能。用戶使用安裝在客戶手機100中的手機銀行客戶端軟件,手機銀行 客戶端軟件向手機銀行服務器400發起服務請求,請求首先進入移動運營商的無線蜂窩網 絡,被移動運營商建設的基站設備接收,然后請求經過基站接入移動運營商內部有線網絡, 最終通過運營商WAP網關200接入Internet,到達銀行系統部署于hternet的手機銀行服 務器400,手機銀行服務器400接收用戶服務請求,完成業務處理,返回處理結果。所述服務 請求包含但不限于客戶使用手機銀行的登錄、查詢、轉賬等請求,但不含手機號獲取請求。 進一步的,當用戶啟動安裝在客戶手機100中的手機銀行客戶端軟件,使用登錄功能時,手 機銀行客戶端軟件首先向運營商手機號獲取服務器300發起手機號獲取請求,請求到達運 營商WAP網關200時,WAP網關將用戶手機號添加在請求頭域中,再將請求報文轉發運營商 手機號獲取服務器300,運營商手機號獲取服務器300解析出手機號,將手機號碼發送至手 機銀行服務器400 ;銀行獲得用戶的手機號碼后,與銀行客戶信息系統500中的用戶注冊手 機號碼進行比較對,用以驗證用戶身份。驗證成功后,手機銀行服務器400返回登錄頁面的 鏈接,鏈接經運營商WAP網關200發至客戶手機100。如圖8所示,手機銀行客戶端軟件101進一步包括手機號獲取請求模塊111、硬 件信息獲取模塊112、數據變形模塊113、數據加解密模塊114、手勢處理模塊115、安全通訊 模塊116。硬件信息獲取模塊112和數據變形模塊113連接;數據變形模塊113、手勢處理 模塊115分別與數據加解密模塊114連接;數據加解密模塊114、手機號獲取請求模塊111 分別與安全通訊模塊116連接。手機號獲取請求模塊111,負責向移動運營商發起手機號獲取請求。在用戶啟動手 機銀行客戶端軟件101,使用登錄功能時,通過該模塊首先與移動運營商交互,向移動運營 商手機號獲取服務器300發起手機號獲取請求,運營商根據手機號獲取請求向銀行提供用 戶手機號。硬件信息獲取模塊112,負責從用戶手機中獲取用戶設備的硬件信息,包括但不限 于手機的IMEI信息。數據變形模塊113,負責對用戶手機的IMEI信息進行一定的變形、混淆處理,目的 是增加客戶端軟件反編譯的難度、增加互聯網傳輸數據的安全性。數據加解密模塊114,負責對客戶端登錄時提交的關鍵信息進行加密,目的是增加 互聯網傳輸數據的安全性。需要加密的數據包括但不限于對用戶手機的IMEI信息變形后 的信息,用戶的手勢信息、用戶登錄密碼和交易密碼。所述加密可以是對稱加密,作為一種 實施方式,其加密過程可以是在客戶端軟件中內置一個初始密鑰A,同時密鑰在服務器端 保存一份。加密前,服務器生成一次性隨機數B。將A與B組合在一起構成一次性密鑰C。 客戶端使用密鑰C對變形后數據,使用對稱密鑰算法(如3DES)進行對稱密鑰加密。解密 過程與加密過程類似,使用同樣方法計算出密鑰C,使用密鑰C和同樣的算法解密。手勢處理模塊115,負責處理用戶的手勢動作。提供手勢預留功能和手勢識別功 能。手勢預留功能指用戶錄入自定義手勢,轉換為數字化數據保存。手勢識別功能可以有兩種可選方式(1)本地識別,預留手勢信息保存在手勢處理模塊115中,識別用戶在各個 功能輸入的手勢動作,判斷與預留數據是否吻合;(2)服務器端識別,預留手勢動作保存在 銀行客戶信息系統5中,手勢處理模塊115識別用戶在各個功能輸入的手勢動作,將手勢動 作數字化后,通過加密,經安全通訊模塊116將信息發送至手機銀行服務器400進行驗證。 手勢識別功能可以要求用戶在啟動手機銀行客戶端軟件、登錄認證或交易輸密等需要進行 身份驗證的場景中進行手勢輸入和識別驗證。安全通訊模塊116,負責手機銀行客戶端軟件與手機銀行服務器之間的網絡通訊。 由于客戶端與服務器之間通過互聯網傳輸數據,通訊協議采用安全傳輸層協議(TLS),確保 在互聯網中不存在明文傳輸。所述安全通訊模塊負責從客戶端發起安全請求。如圖9所示,手機銀行服務器端400,進一步包括手機銀行綁定模塊411、數據加 解密模塊412、密鑰管理模塊413、用戶身份認證模塊414、手機銀行客戶端軟件管理模塊 415、安全通訊模塊416。密鑰管理模塊413、用戶身份認證模塊414、安全通訊模塊416分別 于數據加解密模塊412連接;手機銀行客戶端軟件管理模塊415與安全通訊模塊416連接。手機銀行綁定模塊411,負責接收用戶的手機IMEI以及手機號等信息,并保存在 銀行客戶信息系統中,與手機銀行用戶注冊信息綁定。用戶在銀行網點開通手機銀行時, 通過使用該模塊,預留信息,與用戶手機銀行注冊信息綁定。預留信息包含但不限于手機 IMEI、手機號。用戶信息保存在銀行客戶信息系統500中。數據加解密模塊412,與客戶端的數據加解密模塊114配套、功能一致。密鑰管理模塊413,負責密鑰的生分、分發、管理等內容。本方法所涉及的密鑰包括 但不限于對稱加密密鑰的初始密鑰、一次性密鑰因子、與運營商交互時使用的非對稱密鑰 (公鑰/私鑰對)或數字證書、用于客戶端程序二進制簽名的數字證書。用戶身份認證模塊414,負責驗證客戶端上送的用戶登錄信息是否正確。驗證內容 包括但不限于用戶手機號/登錄密碼是否匹配、驗證碼是否輸入正確、手機IMEI是否與注 冊信息匹配、用戶手勢是否正確。手機銀行客戶端軟件管理模塊415,負責維護所有客戶端版本的信息,提供客戶端 版本兼容性控制以及版本升級管理功能。安全通訊模塊416,與客戶端的安全通訊模塊配合。通過部署第三方機構頒發的服 務器證書,與客戶端握手,建立TLS安全傳輸通道,保證互聯網中沒有明文傳輸。如圖10所示,本實施例的手機銀行客戶端信息認證系統的具體步驟包括步驟801 用戶啟動手機銀行客戶端裝置,使用登錄功能;步驟802 手機號獲取請求模塊111向移動運營商發起手機號獲取請求;步驟803 手機號獲取請求經過移動運營商WAP網關200時,WAP網關200識別用 戶身份,將對應的用戶手機號,添加至請求頭域;并將手機號獲取請求轉發至移動運營商手 機號獲取服務器300 ;步驟804 移動運營商手機號獲取服務器300收到請求后,從請求頭中解析手機 號;步驟805 運營商手機號獲取服務器300將手機號經過數字簽名、數據加密,發送 給手機銀行服務器400 ;步驟806 手機銀行服務器400接收到上述信息后,進行驗簽和解密,獲得手機號,與銀行客戶信息系統500中的手機銀行注冊信息比對,驗證通過后,通過運營商WAP網關 200,返回登錄頁面的鏈接;步驟807 手機銀行客戶端裝置顯示鏈接;步驟808 客戶通過點擊所述鏈接,顯示由手機銀行服務器返回的登錄頁面;步驟809 硬件信息獲取模塊112讀取用戶手機的IMEI信息;步驟810 數據變形模塊113,對用戶手機的IMEI信息做移位變形處理;步驟811 數據加解密模塊114,使用對稱密鑰算法(如3DEQ對所述變形后的信 息,以及用戶輸入的登錄密碼、驗證碼,一并加密后,通過運營商WAP網關200,提交手機銀 行服務器400 ;步驟812 手機銀行服務器400的數據加解密模塊412,對接受到的加密信息采用 對稱密鑰算法進行解密;步驟813 用戶身份認證模塊414,負責驗證用戶手機號/登錄密碼是否匹配、驗證 碼是否輸入正確、手機IMEI信息是否與注冊信息匹配。步驟814 如驗證無誤,則檢查通過。步驟815 進一步地可以要求用戶在啟動手機銀行客戶端軟件、登錄認證或交易 輸密等需要進行身份驗證的場景中,輸入手勢動作。本實施例中,以在手機銀行客戶端進行 登錄驗證的場景中運用為例。用戶根據提示輸入手勢工作(如晃動手機),手勢處理模塊 115識別用戶手勢,并與預留的用戶手勢進行比對;步驟816 判斷用戶手勢是否與預留手勢吻合;步驟817 如果判斷不相吻合,可以要求用戶重新輸入,超過規定重試次數登錄失 敗;步驟818 手機銀行客戶端裝置如果判斷校驗通過,登錄成功。本實施例可以廣泛用于手機銀行應用的多個場景,本發明結合了手機硬件特征, 可以增加手機銀行安全控制,體現在如下方面1)綁定手機硬件信息將用戶手機硬件信 息與手機銀行注冊信息綁定,可以確保用戶只有使用自己的手機才能操作銀行賬戶。即使 用戶名密碼被竊取,盜取人也無法操作被盜取人的銀行賬戶,造成經濟損失。2)綁定用戶 SIM卡通過將用戶手機號與手機銀行注冊信息綁定,可以確保用戶只有使用自己的SIM卡 才能操作銀行賬戶。即使用戶名密碼被竊取,盜取人也無法操作被盜取人的銀行賬戶,造成 經濟損失。幻將用戶的持手機時的特定手勢作為安全認證手段,進一步加強了手機銀行登 錄的安全性。4)將用戶在手機觸摸屏上觸摸出的特定軌跡作為安全認證手段,進一步加強 了手機銀行登錄的安全性。本發明中應用了具體實施例對本發明的原理及實施方式進行了闡述,以上實施例 的說明只是用于幫助理解本發明的方法及其核心思想;同時,對于本領域的一般技術人員, 依據本發明的思想,在具體實施方式
及應用范圍上均會有改變之處,綜上所述,本說明書內 容不應理解為對本發明的限制。
1權利要求
1.一種手機銀行客戶端信息認證方法,其特征是,所述的方法包括手機銀行客戶信 息綁定步驟和手機銀行登錄信息驗證步驟;其中,所述的手機銀行客戶信息綁定步驟包括 建立手機SIM卡信息與手機銀行注冊客戶信息的綁定關系; 建立手機硬件信息與手機銀行注冊客戶信息的綁定關系; 所述的手機銀行登錄信息驗證步驟包括 獲取登錄手機的SIM卡信息和硬件信息;判斷所述登錄手機的SIM卡信息和硬件信息是否與對應的綁定關系中的手機SIM卡信 息和硬件信息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息驗證失敗。
2.根據權利要求1所述的方法,其特征是,所述的手機銀行客戶信息綁定步驟還包括 建立手機特定運動軌跡信息與手機銀行注冊客戶信息的綁定關系;所述的手機銀行登錄信息驗證步驟還包括 獲取登錄手機的運動軌跡信息;判斷所述登錄手機的運動軌跡信息是否與對應的綁定關系中的手機特定運動軌跡信 息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息驗證失敗。
3.根據權利要求1所述的方法,其特征是,所述的手機銀行客戶信息綁定步驟還包括 建立手機觸摸屏特定觸摸軌跡信息與手機銀行注冊客戶信息的綁定關系;所述的手機銀行登錄信息驗證步驟還包括 獲取登錄手機觸摸屏的觸摸軌跡信息;判斷所述登錄手機觸摸屏的觸摸軌跡信息是否與對應的綁定關系中的手機觸摸屏特 定觸摸軌跡信息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息驗證失敗。
4.根據權利要求1所述的方法,其特征是,所述的SIM卡信息包括國際移動用戶識別 碼IMSI ;所述的硬件信息包括國際移動設備身份碼IMEI。
5.一種手機銀行客戶端信息認證方法,其特征是,所述的方法包括將客戶端裝置設 置在手機中,使所述的手機通過WAP網關分別與手機銀行服務器和手機號獲取服務器進行 通信,并使所述的手機號獲取服務器與所述的手機銀行服務器進行通信;其中,所述的手機銀行服務器存儲手機號碼與手機銀行注冊客戶信息的綁定關系、和手機 IMEI與手機銀行注冊客戶信息的綁定關系;所述的客戶端裝置獲取所述手機的SIM卡信息,生成包含SIM卡信息的手機號獲取指 令,并將所述的手機號獲取指令發送給所述的WAP網關;所述的客戶端裝置獲取所述手機的IMEI,并將所述的手機的IMEI進行加密后發送給 所述的WAP網關;所述的WAP網關接收所述的手機號獲取指令,并根據SIM卡信息獲取到對應的手機號 碼,將包含所述手機號碼的手機號獲取指令轉發給所述的手機號獲取服務器;所述的WAP網關接收所述的IMEI,并將所述的IMEI轉發給所述的手機銀行服務器; 所述的手機號獲取服務器接收所述的包含所述手機號碼的手機號獲取指令,提取出所 述的手機號碼并發送給所述的手機銀行服務器;所述的手機銀行服務器接收所述手機的手機號碼和IMEI,判斷所述的手機號碼和 IMEI是否與對應的綁定關系中的手機號碼和IMEI相匹配,如果是則輸出登錄信息驗證通過消息,如果否則輸出登錄信息驗證失敗消息。
6.一種手機銀行客戶端信息認證系統,其特征是,所述的系統包括手機和客戶端裝 置,所述的客戶端裝置設置在所述的手機中;所述的系統還包括手機銀行服務器;其中,所述的手機銀行服務器包括綁定關系存儲單元,用于存儲手機SIM卡信息與手機銀行注冊客戶信息的綁定關系、 和手機硬件信息與手機銀行注冊客戶信息的綁定關系;登錄信息接收單元,用于接收所述手機的SIM卡信息和硬件信息; 登錄信息驗證單元,用于判斷所述手機的SIM卡信息和硬件信息是否與對應的綁定關 系中的手機SIM卡信息和硬件信息相匹配,如果是則輸出登錄信息驗證通過消息,如果 否則輸出登錄信息驗證失敗消息; 所述的客戶端裝置包括SIM卡信息獲取單元,用于獲取所述手機的SIM卡信息; 硬件信息獲取單元,用于獲取所述手機的硬件信息; 數據加密單元,用于對獲取的SIM卡信息和硬件信息進行加密; 安全通信單元,用于輸出加密后的手機的SIM卡信息和手機的硬件信息。
7.根據權利要求6所述的系統,其特征是,所述的綁定關系存儲單元還用于存儲手機特定運動軌跡信息與手機銀行注冊客戶信 息的綁定關系;所述的登錄信息接收單元還用于接收所述手機的運動軌跡信息; 所述的登錄信息驗證單元還用于判斷所述手機的運動軌跡信息是否與對應的綁定關 系中的手機特定運動軌跡信息相匹配,如果是則輸出登錄信息驗證通過消息,如果否則 輸出登錄信息驗證失敗消息; 所述的客戶端裝置還包括運動軌跡獲取單元,用于獲取所述手機的運動軌跡信息; 所述的安全通信單元還用于輸出所述手機的運動軌跡信息。
8.根據權利要求6所述的系統,其特征是,所述的綁定關系存儲單元還用于存儲手機觸摸屏特定觸摸軌跡信息與手機銀行注冊 客戶信息的綁定關系;所述的登錄信息接收單元還用于接收所述手機的觸摸屏觸摸軌跡信息; 所述的登錄信息驗證單元還用于判斷所述的觸摸屏觸摸軌跡信息是否與對應的綁定 關系中的手機觸摸屏特定觸摸軌跡信息相匹配,如果是則輸出登錄信息驗證通過消息,如 果否則輸出登錄信息驗證失敗消息; 所述的客戶端裝置還包括觸摸軌跡獲取單元,用于獲取所述手機的觸摸屏觸摸軌跡信息; 所述的安全通信單元還用于輸出所述的觸摸屏觸摸軌跡信息。
9.根據權利要求6所述的系統,其特征是,所述的SIM卡信息包括國際移動用戶識別 碼IMSI ;所述的硬件信息包括國際移動設備身份碼IMEI。
10.一種手機銀行客戶端信息認證系統,其特征是,所述的系統包括手機和客戶端裝 置,所述的客戶端裝置設置在所述的手機中;所述的系統還包括WAP網關、手機號獲取服務器和手機銀行服務器;其中, 所述的手機銀行服務器包括綁定關系存儲單元,用于存儲手機號碼與手機銀行注冊客戶信息的綁定關系、和手機 IMEI與手機銀行注冊客戶信息的綁定關系;登錄信息接收單元,用于接收所述手機的手機號碼和IMEI ;登錄信息驗證單元,用于判斷所述的手機號碼和IMEI是否與對應的綁定關系中的手 機號碼和IMEI相匹配,如果是則輸出登錄信息驗證通過消息,如果否則輸出登錄信息驗 證失敗消息;所述的客戶端裝置包括獲取指令生成單元,用于獲取所述手機的SIM卡信息,生成包含SIM卡信息的手機號獲 取指令;硬件信息獲取單元,用于獲取所述手機的IMEI ; 數據加密單元,用于對所述的手機號獲取指令和手機的IMEI進行加密; 安全通信單元,用于輸出加密的手機號獲取指令和手機的IMEI ; 所述的WAP網關包括指令轉發單元,用于接收所述的手機號獲取指令,并根據SIM卡信息獲取到對應的手 機號碼,生成并轉發包含所述手機號碼的手機號獲取指令;硬件信息轉發單元,用于接收所述的IMEI,并轉發所述的IMEI ; 所述的手機號獲取服務器用于接收所述的包含所述手機號碼的手機號獲取指令,提取 出所述的手機號碼并輸出。
11.一種手機銀行客戶端移動終端,所述的移動終端包括手機本體和SIM卡;其特征 是,所述的移動終端還包括客戶端裝置,所述的客戶端裝置設置在所述的手機本體中;其 中,所述的客戶端裝置包括獲取指令生成單元,用于獲取所述手機的SIM卡信息,生成包含SIM卡信息的手機號獲 取指令;硬件信息獲取單元,用于獲取所述手機的IMEI ;數據加密單元,用于對所述的手機號獲取指令和手機的IMEI進行加密;安全通信單元,用于輸出加密的手機號獲取指令和手機的IMEI。
12.根據權利要求11所述的移動終端,其特征是,所述的手機本體包括加速度傳感 器;所述的客戶端裝置還包括運動軌跡獲取單元,用于獲取所述手機本體的運動軌跡信息;所述的數據加密單元還用于對所述的運動軌跡信息進行加密;所述的安全通信單元還 用于輸出加密的運動軌跡信息。
13.根據權利要求11所述的移動終端,其特征是,所述的手機本體包括觸摸屏;所述 的客戶端裝置還包括觸摸軌跡獲取單元,用于獲取所述手機的觸摸屏觸摸軌跡信息; 所述的數據加密單元還用于對所述的觸摸屏觸摸軌跡信息進行加密;所述的安全通信 單元還用于輸出加密的觸摸屏觸摸軌跡信息。
全文摘要
本發明實施例提供了一種手機銀行客戶端信息認證方法、系統及移動終端,該方法包括手機銀行客戶信息綁定步驟和手機銀行登錄信息驗證步驟;其中,手機銀行客戶信息綁定步驟包括建立手機SIM卡信息與手機銀行注冊客戶信息的綁定關系;建立手機硬件信息與手機銀行注冊客戶信息的綁定關系;手機銀行登錄信息驗證步驟包括獲取登錄手機的SIM卡信息和硬件信息;判斷所述登錄手機的SIM卡信息和硬件信息是否與對應的綁定關系中的手機SIM卡信息和硬件信息相匹配,如果是則登錄信息驗證通過,如果否則登錄信息驗證失敗。以解決客戶端手機銀行系統信息安全性的問題。
文檔編號H04L29/08GK102143482SQ201110092438
公開日2011年8月3日 申請日期2011年4月13日 優先權日2011年4月13日
發明者周大文, 姜鵬, 張建平, 張艷, 曾凱, 朱道彬, 王怡 申請人:中國工商銀行股份有限公司