專利名稱:一種帶有無線通信功能的加密認證設備及方法
技術領域:
本發(fā)明涉及身份認證技術領域����,特別涉及一種帶有無線通信功能的加密認證設備及方法��。
背景技術:
專利號為CN200920223170.0,名稱為“一種雙安全芯片加密認證設備”的中國實用新型專利���,公開了一種加密認證設備�,其主要包括殼體����、殼體外的USB插頭以及殼體內部密封的第一安全芯片���、第二安全芯片和射頻天線����。這種設備通過兩個安全芯片�,并在兩個安全芯片內部分別嵌入智能卡嵌入式軟件系統(tǒng)�����,這樣能有效地保證通信的安全性���。但是,此設備的缺點是�,仍需要有一個操作設備,通過USB接口相連接才能實現(xiàn)其作用��,不具備獨立完成通信交易的功能,并在其內部還需要不同的軟件系統(tǒng),兼容性不高�����。
隨著網(wǎng)銀業(yè)務的發(fā)展��,基于PKI體系����,具有USB接口的智能卡加讀寫器USB KEY��,用于網(wǎng)銀交易的身份認證以及加密技術�����,在網(wǎng)銀中應用越來越廣泛�����。目前�,一種在網(wǎng)銀交易中,需本人在USB KEY物理按鍵上加以確認�,確保交易由用戶本人發(fā)起的技術��,S卩:帶有物理交易確認按鈕與單獨顯示屏的二代USB KEY�����,也越來越成為了市場的主流。
隨著3G的發(fā)展�����,PC機、手機�����,平板電腦等終端設備,越來越普遍地成為了網(wǎng)銀交易終端�����。但是美中不足的是�,現(xiàn)有技術中具有硬件數(shù)字證書功能的USBKEY�����,如果要適配各種不同種類的3G移動終端卻是比較麻煩?��,F(xiàn)有技術中的專用(單一的)平臺上的認證設備�����,都具有相應的解決方案。但是,卻沒有一種專用的安全加密認證設備,可以適用于所有的上述終端用戶����。發(fā)明內容
本發(fā)明的目的之一是提供一種帶有無線通信功能的加密認證方法,本方法分為直接工作模式和間接工作模式�����。所述直接工作模式為:本發(fā)明的設備是一獨立的手持設備����,無需與終端設備連接����,即:本發(fā)明的設備與終端設備分別與銀行服務器連接���,是兩條不同的SSL通訊鏈路。適用于企業(yè)管理者經(jīng)常出差在外,又能直接審核財務支出的情況��。所述間接工作模式為:本發(fā)明的設備設有一 USB接口�,通過USB數(shù)據(jù)線與終端設備連接,即:本發(fā)明的設備與終端設備與銀行服務器連接,采用一條SSL通訊鏈路�。便于財務審核人員與出納共同操作。
本發(fā)明的目的之二是提供一種采用上述方法的設備��,該設備既可以保證電子銀行交易的安全性��,又能同時適配各種終端�,所述終端包括PC機��、手機�、平板電腦等�����,使電子銀行交易的安全認證與終端類型無關����。
本發(fā)明目的之一是這樣實現(xiàn)的,一種帶有無線通信功能的加密認證的方法,包括如下步驟: a.建立通信連接:打開終端設備,錄入交易數(shù)據(jù)�,提交銀行服務器��;按照工作模式,打開本發(fā)明的設備����,與銀行服務器連接��,且所述發(fā)明的設備與銀行服務器之間進行相互認證,在認證通過后��,所述發(fā)明的設備與銀行服務器成功建立SSL通訊鏈路�;所述工作模式分為直接工作模式和間接工作模式��;所述直接工作模式是本發(fā)明的設備采用無線方式直接與銀行服務器進行數(shù)據(jù)交換����;所述間接工作模式是將本發(fā)明的設備通過USB接口連接在終端設備上,并通過終端設備連接銀行服務器���; b.用戶身份認證: 銀行服務器將用戶終端發(fā)來的數(shù)據(jù)發(fā)送給本發(fā)明的設備���,該設備接收銀行發(fā)回的審核信息�,供審核者確認����;本發(fā)明的設備收到數(shù)據(jù)后在該設備上顯示屏A (或揚聲器)上提示查看交易信息;如沒收到則提示用戶接收數(shù)據(jù)異常�����;如收到�����,則提示用戶審核交易信息;如沒審核,則10分鐘后���,斷開連接;如已審核則繼續(xù)���; c.PIN石馬驗證: 提示終端用戶輸入PIN碼�;PIN碼是否通過�����?如出錯超過N次��,則本發(fā)明的設備首先鎖定終端設備,再給終端設備發(fā)出提示��,最后斷開鏈接����、結束交易; d.交易信息確認: 本發(fā)明的設備在顯示屏B上顯示詳細交易信息�; e.加密信息發(fā)送: 本設備對用戶審核后數(shù)據(jù)進行加密簽名�,并發(fā)送給銀行服務器,如發(fā)送不成功�,提示發(fā)送失?����?��;如成功則繼續(xù); f.加密信息驗證���; 銀行服務器接收到本發(fā)明的設備發(fā)送的數(shù)據(jù)后,解密并驗證簽名數(shù)據(jù)�;數(shù)據(jù)解密不成功,則斷開鏈接、結束交易���;數(shù)據(jù)解密成功�,銀行向終端和本發(fā)明的設備發(fā)出交易成功信息���,銀行斷開連接,結束交易���; g.用戶關閉本發(fā)明的設備。
本發(fā)明的目的之二是這樣實現(xiàn)的����,一種帶有無線通信功能的加密認證設備,包括殼體1�����、液晶顯示A屏2、天線模塊3��、存儲A單元4����、客用戶身份識別模塊5�����、揚聲器6、電池7、USB接口 8、儲存C單元9���、液晶顯示B屏10、數(shù)字鍵盤11、主控模塊12、USBKEY模塊13 ;所述主控模塊12包括無線模塊121����、DSP數(shù)字信號處理模塊122����、中央處理器CPU123��、UART通訊口 124����、電源管理模塊125、USB通訊口 125 ;所述USBKEY模塊13包括UART通訊口 131�����、USB通訊口 132、密鑰生成器133、存儲A單元134���、中央處理器CUP135;其特征在于: 所述液晶顯示A屏:用于顯示非加密數(shù)據(jù)信息; 所述天線模塊:主要包含發(fā)射單元放大器,用于設備發(fā)射信號的放大,便于本設備進行通過無線鏈路的數(shù)據(jù)傳輸; 所述儲存單元A:用于存儲主控模塊的相關交易信息; 所述客戶身份識別模塊:用于無線鏈路上的用戶身份識別,即SIM卡單元��; 所述電池模塊:用于給液晶顯示A屏、液晶顯示B屏、揚聲器��、天線模塊����、主控模塊���、USBKEY模塊�����、儲存單元模塊�����、用戶身份識別模塊這七個模塊進行供電; 所述USB接口:用于與終端上的USB接口相連,實現(xiàn)終端與本發(fā)明之間的數(shù)據(jù)傳輸�,同時兼有充電接口功能�����; 所述存儲單元C:用于USBKEY模塊外設的數(shù)據(jù)存儲���; 所述液晶顯示B屏:用于顯示加密數(shù)據(jù)信息��; 所述主控模塊:包括無線模塊121��、DSP數(shù)字信號處理模塊122、主控CPU模塊123�����、UART通訊口 124�����、電源管理模塊125及USB通訊口 125 ;用于其他模塊之間的數(shù)據(jù)處理信息的傳送與控制��; 所述USBKEY模塊:包括UART通訊口 131����、USB通訊口 132、密鑰生成器133��、存儲單元B134和CPU控制模塊135 ;用于存儲電子銀行交易時的數(shù)字證書以及加解密功能和數(shù)字簽名功能的實現(xiàn)。
所述無線模塊���;與天線模塊相連接,用于發(fā)送或接收數(shù)字信號�。
所述DSP數(shù)字信號處理模塊:用于數(shù)字信號的調制和解調。
所述主控CPU模塊:用于控制主控模塊內外部的通訊與系統(tǒng)運行��。
所述UART通訊口:用于主控模塊與USBKEY模塊的通訊�。
所述USB通訊口:用于主控模塊與USBKEY模塊的通訊�。
所述UART通訊口:用于主控模塊與USBKEY模塊的通訊接口�。
所述USB通訊口:用于主控模塊與USBKEY模塊的通訊接口����。
所述的密鑰生成器模塊用于USBKEY模塊密鑰對的生成����。
所述的儲存單元B用于USBKEY模塊相關的運行數(shù)據(jù)的存儲�����。
所述CPU控制模塊帶有智能卡操作系統(tǒng)�,用于控制USBKEY芯片的內外部的通訊���。
所述數(shù)字鍵盤:包含數(shù)字(T9按鍵、*按鍵、#按鍵����;其中(T9����、*��、#��、取消按鍵僅能操作于主控模塊;所述確認支付按鍵、上翻頁按鍵����、下翻頁按鍵為雙聯(lián)按鍵,可同時操作于主控模塊和USBKEY模塊上��;主控模塊與USB KEY模塊對其的響應由軟件進行控制�����。
本發(fā)明的優(yōu)點是即可以采用直接工作方式�,進行遠程審核��;又能采用間接工作方式�,進行近程審核。解決了現(xiàn)有安全加密認證設備使用不便的問題���,其有益效果是:實現(xiàn)了在安全交易的前提下���,網(wǎng)銀交易與終端類型無關的問題�����,適用性強�����。從而使得安全加密認證設備可以適用于PC機��、平板電腦、手機等終端��。
圖1是本發(fā)明的外觀的正面及背面結構圖��。
圖2是本發(fā)明的內部結構圖��。
圖3是本發(fā)明簽約注冊流程圖����。
圖4是本發(fā)明應用模式I示意圖����。
圖5是本發(fā)明應用模式2示意圖��。
圖6是本發(fā)明應用模式I流程圖。
圖7是本發(fā)明應用模式2流程圖����。
具體實施方式
下面結合具體實施例對本發(fā)明做進一步詳細說明���。
以下用具體實施例結合附圖,來說明本發(fā)明的具體實施方式
,相關技術人員可由本說明書所揭露的內容���,輕易地了解本發(fā)明的其他優(yōu)點及功效��。
如圖1所示��,為本發(fā)明的帶有無線通信功能的加密認證設備的殼體,所述殼體外部的USB接口�����、液晶顯示A�����、B屏、OK按鍵���、確認支付按鍵�����、Cancel按鍵�����、數(shù)字鍵盤����、開關����、上翻頁按鍵、下翻頁按鍵、殼體上的揚聲器���。
如圖2所示,本發(fā)明的加密認證設備的具體電路結構示意圖,包括:液晶顯示A屏2����、天線模塊3、存儲A單元4���、客用戶身份識別模塊5����、揚聲器6�����、電池7��、USB接口 8�、儲存C單元9���、液晶顯示B屏10��、數(shù)字鍵盤11�����、主控模塊12���、USBKEY模塊13 ;所述主控模塊12包括無線模塊121、DSP數(shù)字信號處理模塊122、中央處理器CPU123、UART通訊口 124�����、電源管理模塊125、USB通訊口 125 ;所述USBKEY模塊13包括UART通訊口 131����、USB通訊口 132��、密鑰生成器133、存儲A單元134、中央處理器CUP135; 所述USB接口是用于本設備與終端設備的USB接口進行相連,同時兼有充電接口的功能��。液晶顯示A���、B屏用于顯示相關交易信息�;其中,液晶顯示A模塊用于顯示非加密信息;液晶顯示B模塊用于顯示保密信息。兩者分開的目的是��,使網(wǎng)上的外來黑客無法接觸到該加密信號���。OK按鍵用于用戶進行人機交互時的確認輸入����;確認支付按鍵用于實現(xiàn)電子銀行交易時的確認支付輸入�����。Cancel按鍵用于用戶進行人機交互時的取消輸入�����,同時兼?zhèn)潆娮鱼y行交易的取消功能��。數(shù)字鍵盤用于電子銀行交易時的PIN碼輸入以及相關人機交互時的輸入����;開關用于設備的開機或關機�。上翻頁按鍵、下翻頁按鍵用于當USBKEY模塊控制的液晶顯示B屏內容多于一頁時的翻頁操作,以及主控模塊控制的液晶顯示A屏上的菜單上下選擇操作。揚聲器用于語音提示相關交易信息�����。USBKEY模塊用于存儲電子銀行交易時的數(shù)字證書�����,以及加解密功能和數(shù)字簽名功能的實現(xiàn)����。3G通信模塊用于本發(fā)明的設備通過無線網(wǎng)絡與銀行服務器終端進行通信���;殼體內部的電池用于本發(fā)明的設備的供電�;存儲單元模塊用于儲存數(shù)據(jù)信息����;用戶身份識別用于無線鏈路上的用戶身份識別��,即所謂的SIM卡單元;主控模塊用于所有模塊之間的數(shù)據(jù)處理信息的控制��。
如圖2所示,USBKEY模塊當中帶有UART通訊口和USB通訊口�����、密鑰生成器、存儲單元���、CPU控制五大模塊�,其中,CPU控制模塊帶有智能卡操作系統(tǒng)����,智能卡控制系統(tǒng)控制USBKEY芯片的內外部的通訊��,USBKEY芯片本身內部存儲數(shù)字證書和密鑰����,用于實現(xiàn)PKI體系的身份認證�,USBKEY的UART通訊口和USB通訊口為USBKEY模塊和主控模塊的通訊接口,USBKEY與相關模塊的訪問權限由智能卡操作系統(tǒng)進行控制�����,安全獨立,不受其他模塊的影響�����。主控模塊用于其他各個模塊之間的通信控制。
本發(fā)明的方法還包括:用戶在銀行服務器上錄入數(shù)據(jù),當發(fā)明的設備與銀行服務器建立連接后�,所述發(fā)明的設備與銀行服務器之間進行相互認證�。當認證通過后���,本發(fā)明的設備與銀行服務器成功建立連接�,進行網(wǎng)銀業(yè)務數(shù)據(jù)交換���、數(shù)字證書的認證以及數(shù)字簽名的驗證,實現(xiàn)網(wǎng)銀業(yè)務�。
本發(fā)明的設備與銀行服務器之間可以分為直接和間接兩種方式建立連接����,在間接工作模式下��,本發(fā)明的設備與銀行服務器之間的數(shù)據(jù)需要通過用戶終端���,如PC機�����、平板電腦和手機等與銀行服務器連接���。在直接工作模式下,本發(fā)明的設備與銀行服務器之間不直接連接��,數(shù)據(jù)不需要通過用戶終端送到銀行服務器。
本發(fā)明的設備對銀行服務器的認證��,包括本設備將銀行服務器的標識進行加密后發(fā)送至銀行服務器,銀行服務器對收到的加密標識解密后����,查看與自身的標識是否匹配,如果匹配,則認證通過�����。
銀行服務器對本發(fā)明的設備認證�����,包括銀行服務器將用戶標識加密后發(fā)送至本設備,本設備對收到的加密標識解密后,查看與自身標識是否匹配�,如果匹配����,則驗證通過。
上述雙向認證通過后�����,本發(fā)明的設備與銀行服務器之間建立連接�����,并進行用戶的身份認證�。
所述的用戶身份認證�����,包括本發(fā)明的設備使用內置數(shù)字證書登陸銀行服務器進行用戶身份認證���,銀行服務器對收到的數(shù)字證書進行認真����,如果認證通過���,則實現(xiàn)網(wǎng)銀業(yè)務數(shù)據(jù)交換��。
本發(fā)明可以同時具備直接工作模式和間接工作模式���,根據(jù)客戶需要選擇���。在采用直接或間接工作模式之前���,本發(fā)明的設備均需經(jīng)過和開戶行簽約注冊的流程���,該流程為: 參見如圖3所示,本發(fā)明在用戶使用之前�,需在銀行服務器端填寫相關申請��,并簽約電子銀行業(yè)務����,用戶通過本發(fā)明的設備的USB插口,將本發(fā)明的設備與PC終端相連接�,識別完成后��,用戶通過銀行給予的授權碼進行數(shù)字證書的生成與下載�����。本發(fā)明的設備自帶密鑰生成器生成公�、私鑰對����,同時下載生成用戶數(shù)字證書至本發(fā)明的設備����,完成本發(fā)明的設備與用戶信息的綁定,完成簽約注冊流程。
實施例1 所述直接工作模式是指本發(fā)明的設備與終端設備分開使用�,由用戶操作人提交給銀行服務器,再由銀行服務器遞交給用戶審核人審核�����。本發(fā)明的設備應用流程如圖6所示���,具體流程為: I)建立新的業(yè)務交易: 用戶操作人需要進行業(yè)務交易時,通過終端(如:PC機�、平板電腦����、手機等���,下同)登陸網(wǎng)銀系統(tǒng)�����,填寫相關業(yè)務交易信息(例:轉賬姓名、賬號�����、交易金額��、開戶行等)��,并在終端上點擊確認支付�����,由終端將支付信息傳至銀行服務器,并提示用戶審核人開啟位于異地的本發(fā)明的設備。
2)開啟本發(fā)明的設備: 用戶審核人收到終端提示后,由用戶審核人開啟本發(fā)明的設備上的開關(參見圖1電源開關I)�。如果用戶未開啟本發(fā)明的設備,則繼續(xù)在終端上提示用戶審核人開啟本發(fā)明的設備�����。
3)本發(fā)明的設備與銀行服務器的相互認證: 用戶審核人在開啟本發(fā)明的設備后��,則其與銀行服務器進行相互認證���。如果認證通過�����,則銀行服務器與本發(fā)明的設備之間建立SSL連接��;如果認證未通過���,則銀行服務器提示用戶檢查本發(fā)明的設備以及設置���,同時斷開鏈接�����,終止交易�����。
4)用戶身份認證: 在與銀行服務器建立SSL連接后���,本發(fā)明的設備使用內置數(shù)字證書,登陸銀行服務器進行用戶身份認證��。如果認證通過�����,則銀行服務器將用戶終端提交的數(shù)據(jù)�,再發(fā)送給本發(fā)明的設備,讓用戶審核人審核�����。如果認證不通過���,則提示用戶查看證書是否注銷或過期,同時斷開鏈接����,終止交易���。
5)交易信息的接收: 銀行服務器將用戶終端提交的數(shù)據(jù)發(fā)送給本發(fā)明的設備后��,本發(fā)明的設備通過無線方式接收交易信息����。如果接收成功�����,則在本發(fā)明的設備的液晶顯示A屏上提示用戶審核人,讓審核人確認交易����,并通過本發(fā)明的設備上的揚聲器�����,語音提示用戶審核人查看交易信息�����;如果接收失敗���,則提示用戶數(shù)據(jù)接收異常�,同時斷開鏈接���,終止交易。
6)交易信息的查看: 本發(fā)明的設備成功接收交易信息后��,會通過文字和語音兩方面提示用戶查看交易信息�����。如果用戶審核人已查看�,則提示用戶審核人輸入PIN碼�����;如果用戶審查人未查看���,則本發(fā)明的設備和銀行服務器將保留交易信息十分鐘����。在交易信息保留的十分鐘內�,如果用戶審核人查看信息,則提示用戶輸入PIN碼�;如果用戶審核人仍未查看交易信息����,則直接斷開鏈接��,終止交易。
7) PIN 碼驗證: 用戶輸入PIN碼后�,由本發(fā)明的設備對輸入的PIN碼進行驗證����。如果正確����,則在本發(fā)明的設備的液晶顯示B屏上顯示詳細的交易信息(例:轉賬姓名、賬號�����、交易金額�、開戶行等)��;如果錯誤����,本發(fā)明的設備將對輸入錯誤的次數(shù)進行判定。如果未超過十次����,則繼續(xù)提示用戶輸入PIN碼��;如果超過十次�,本發(fā)明的設備將提示用戶設備鎖定,同時斷開鏈接���,終止交易����。
8)交易信息確認: PIN碼驗證通過后��,用戶審核人使用本發(fā)明的設備的上���、下翻頁�����,查看液晶顯示B屏上的詳細交易信息(例:轉賬姓名、帳戶�、交易金額、開戶行等)�����,并確認其是否與用戶操作人在終端(如PC���、平板電腦�、手機等)上填寫的相關業(yè)務交易信息一致��。如果一致,本發(fā)明的設備將對交易信息進行加密和簽名操作�;如果不一致�,則提示用戶按下物理Cancel鍵��,同時斷開鏈接,終止交易�����。
9)加密信息發(fā)送: 對交易信息加密簽名后���,本發(fā)明的設備將加密簽名后的數(shù)據(jù)發(fā)送至銀行服務器�����。如果發(fā)送成功,銀行服務器將收到本發(fā)明的設備發(fā)送加密簽名數(shù)據(jù)�;如果發(fā)送失敗����,則提示用戶檢查無線通信鏈路環(huán)境���,同時斷開鏈接����,終止交易�。
10)加密信息驗證: 銀行服務器收到本發(fā)明的設備發(fā)送的加密簽名數(shù)據(jù)后����,對其解密并對其簽名進行驗證�。如果驗證通過,則在終端以及本發(fā)明的設備上提示用戶交易成功;如果驗證不通過,則直接斷開鏈接�����,終止交易��。
10)用戶關閉本發(fā)明的設備: 關閉本發(fā)明的設備開關,參見圖1所示���,結束操作��。
本發(fā)明的設備也可以通過數(shù)據(jù)線與用戶終端之間連接���,本發(fā)明的設備內部的USBKEY模塊通過數(shù)據(jù)線將銀行證書傳輸?shù)接脩艚K端,然后通過用戶終端將數(shù)據(jù)傳輸?shù)姐y行服務器,在所有數(shù)據(jù)交互過程中,本發(fā)明的設備�、用戶終端和銀行服務器三者之間協(xié)同工作,且本發(fā)明的設備數(shù)據(jù)需要通過用戶終端進行傳輸�����。
所述間接工作模式是指本發(fā)明的設備通過USB插口與終端設備連接�����,由用戶操作人遞交給用戶審核人審核�����,再遞交給銀行服務器。本發(fā)明的設備應用模式2流程如圖7所示��,具體流程為: I)本發(fā)明的設備連接���、識別和建立新的業(yè)務交易: 用戶需要進行業(yè)務交易時����,需先開啟本發(fā)明的設備上開關���,并將本發(fā)明的設備通過USB連接線與終端進行連接��;如果用戶未對本發(fā)明的設備開機��,則直接斷開鏈接����,終止交易����。如連接成功后�����,用戶終端對本發(fā)明的設備進行驅動安裝����,并識別出本發(fā)明的設備��。
本發(fā)明的設備正確連接開啟后�,用戶通過終端登陸網(wǎng)銀系統(tǒng)�,填寫相關業(yè)務交易信息��,例如:轉賬姓名���、賬號、交易金額、開戶行等��,并在終端上點擊確認支付��,用戶終端將交易信息同時發(fā)送給銀行服務器和本發(fā)明的設備。
2)用戶身份認證: 本發(fā)明的設備收到交易信息后���,在用戶終端上提示用戶選擇本發(fā)明的設備內的數(shù)字證書�����,并將用戶選擇的數(shù)字證書發(fā)送給銀行服務器進行驗證�。如果驗證通過��,則在用戶終端上提示用戶輸入本發(fā)明的設備PIN碼�;如果驗證不通過,則在用戶終端上提示用戶查看證書是否注銷或者過期,同時斷開鏈接,終止交易。
3) PIN 碼認證: 用戶在用戶終端上看到PIN碼輸入提示后���,輸入PIN碼�,并由本發(fā)明的設備驗證PIN碼輸入是否正確�����。如果正確�,則在本發(fā)明的設備的液晶顯示B屏上��,顯示詳細的交易信息�����,例如:轉賬姓名、賬號�、交易金額����、開戶行等�����。如果錯誤�����,本發(fā)明的設備將對輸入錯誤的次數(shù)進行判定�����。如果未超過十次,則繼續(xù)提示用戶輸入PIN碼;如果超過十次,本發(fā)明的設備將提示用戶���,將鎖定設備,同時斷開鏈接,終止交易。
4)交易信息確認: PIN碼驗證通過后����,用戶使用本發(fā)明的設備的上下翻頁鍵查看液晶顯示B屏上的交易信息(例:轉賬姓名���、帳戶���、交易金額、開戶行等)����,并確認其是否與用戶在終端上填寫的相關業(yè)務交易信息一致。如果一致����,本發(fā)明的設備將對交易信息進行加密和簽名操作�����;如果不一致����,則提示用戶按下物理Cancel鍵,同時斷開鏈接����,終止交易����。
5)加密信息發(fā)送: 對交易信息進行加密和簽名操作后�,本發(fā)明的設備將加密簽名后的數(shù)據(jù)通過終端發(fā)送至銀行服務器�。如果發(fā)送成功�����,銀行服務器將收到本發(fā)明的設備發(fā)送加密簽名數(shù)據(jù)�;如果發(fā)送失敗�,則提示用戶檢查用戶終端鏈路環(huán)境���,同時斷開鏈接�����,終止交易���。
6)加密信息驗證: 銀行服務器收到本發(fā)明的設備通過用戶終端發(fā)送的加密簽名數(shù)據(jù)后��,對其進行解密�,并將解密后的交易信息與用戶填寫業(yè)務交易信息時發(fā)送至銀行服務器的交易信息進行對t匕�。如果結果一致,則在用戶終端(如PC����、平板電腦、手機等)以及本發(fā)明的設備上提示用戶交易成功�����;如果結果不一致���,則直接斷開鏈接,終止交易���。
7)用戶關閉本發(fā)明的設備�。
權利要求
1.一種帶有無線通信功能的加密認證的方法,包括如下步驟: 1)建立通信連接: 打開終端設備����,錄入交易數(shù)據(jù)����,提交銀行服務器;按照工作模式����,打開本發(fā)明的設備���,與銀行服務器連接�,且所述發(fā)明的設備與銀行服務器之間進行相互認證���,在認證通過后���,所述發(fā)明的設備與銀行服務器成功建立SSL通訊鏈路����;所述工作模式分為直接工作模式和間接工作模式����;所述直接工作模式是本發(fā)明的設備采用無線方式直接與銀行服務器進行數(shù)據(jù)交換���;所述間接工作模式是將本發(fā)明的設備通過USB接口連接在終端設備上�,并通過終端設備連接銀行服務器����; 2)用戶身份認證: 銀行服務器將用戶終端發(fā)來的數(shù)據(jù)發(fā)送給本發(fā)明的設備����,該設備接收銀行發(fā)回的審核信息,供審核者確認���;本發(fā)明的設備收到數(shù)據(jù)后在該設備上顯示屏A (或揚聲器)上提示查看交易信息�;如沒收到則提示用戶接收數(shù)據(jù)異常�;如收到,則提示用戶審核交易信息;如沒審核���,則10分鐘后�����,斷開連接��;如已審核則繼續(xù)�����; 3) PIN碼驗證: 提示終端用戶輸入PIN碼����;PIN碼是否通過�����?如出錯超過N次,則本發(fā)明的設備首先鎖定終端設備�,再給終端設備發(fā)出提示�����,最后斷開鏈接����、結束交易�; 4)交易信息確認: 本發(fā)明的設備在顯示屏B上顯示詳細交易信息����; 5)加密信息發(fā)送: 本設備對用戶審核后數(shù)據(jù)進行加密簽名�,并發(fā)送給銀行服務器����,如發(fā)送不成功,提示發(fā)送失敗;如成功則繼續(xù)��; 6)加密信息驗證�����; 銀行服務器接收到本發(fā)明的設備發(fā)送的數(shù)據(jù)后�����,解密并驗證簽名數(shù)據(jù);數(shù)據(jù)解密不成功,則斷開鏈接、結束交易����;數(shù)據(jù)解密成功�,銀行向終端和本發(fā)明的設備發(fā)出交易成功信息��,銀行斷開連接�����,結束交易。
2.一種帶有無線通信功能的加密認證設備��,包括殼體1��、液晶顯示A屏2��、天線模塊3�����、存儲A單元4����、客用戶身份識別模塊5��、揚聲器6���、電池7、USB接口 8�����、儲存C單元9����、液晶顯示B屏10�����、數(shù)字鍵盤11��、主控模塊12、USBKEY模塊13 ;所述主控模塊12包括無線模塊121���、DSP數(shù)字信號處理模塊122�、中央處理器CPU123�����、UART通訊口 124���、電源管理模塊125����、USB通訊口 125 ;所述USBKEY模塊13包括UART通訊口 131�����、USB通訊口 132、密鑰生成器133���、存儲A單元134��、中央處理器CUP135;其特征在于: 所述液晶顯示A屏:用于顯示非加密數(shù)據(jù)信息���;所述天線模塊:主要包含發(fā)射單元放大器,用于設備發(fā)射信號的放大,便于本設備進行通過無線鏈路的數(shù)據(jù)傳輸��;所述儲存單元A:用于存儲主控模塊的相關交易信息��;所述客戶身份識別模塊:用于無線鏈路上的用戶身份識別�����,即SM卡單元;所述電池模塊:用于給液晶顯示A屏�����、液晶顯示B屏�、揚聲器���、天線模塊、主控模塊�、USB KEY模塊�、儲存單元模塊、用戶身份識別模塊這七個模塊進行供電����;所述USB接口:用于與終端上的USB接口相連��,實現(xiàn)PC等終端與本發(fā)明之間的數(shù)據(jù)傳輸���,同時兼有充電接口功能����;所述存儲單元C:用于USBKEY模塊外設的數(shù)據(jù)存儲�����;所述液晶顯示B屏:用于顯示加密數(shù)據(jù)信息;所述主控模塊:包括無線模塊121��、DSP數(shù)字信號處理模塊.122���、主控CPU模塊123�、UART通訊口 124�����、電源管理模塊125及USB通訊口 125 ;用于其他模塊之間的數(shù)據(jù)處理信息的傳送與控制;所述USBKEY模塊:包括UART通訊口 131、USB通訊口 132、密鑰生成器133����、存儲單元B134和CPU控制模塊135 ;用于存儲電子銀行交易時的數(shù)字證書以及加解密功能和數(shù)字簽名功能的實現(xiàn)�。
3.根據(jù)權利要求2所述的一種帶有無線通信功能的加密認證設備�,其特征在于: 所述無線模塊:與天線模塊相連接�,用于發(fā)送或接收數(shù)字信號; 所述DSP數(shù)字信號處理模塊:用于數(shù)字信號的調制和解調; 所述主控CPU模塊:用于控制主控模塊內外部的通訊與系統(tǒng)運行�����; 所述UART通訊口:用于主控模塊與USBKEY模塊的通訊; 所述USB通訊口:用于主控模塊與USBKEY模塊的通訊; 所述UART通訊口:用于主控模塊與USBKEY模塊的通訊接口 ��; 所述USB通訊口:用于主控模塊與USBKEY模塊的通訊接口�。
4.根據(jù)權利要求2所述的一種帶有無線通信功能的加密認證設備���,其特征在于: 所述的密鑰生成器模塊用于USBKEY模塊密鑰對的生成; 所述的儲存單元B用于USBKEY模塊相關的運行數(shù)據(jù)的存儲�; 所述CPU控制模塊帶有智能卡操作系統(tǒng)����,用于控制USBKEY芯片的內外部的通訊;所述數(shù)字鍵盤:包含數(shù)字(T9按鍵���、*按鍵��、#按鍵��;其中(T9����、*�、#���、取消按鍵僅能操作于主控模塊��;所述確認支付按鍵����、上翻頁按鍵、下翻頁按鍵為雙聯(lián)按鍵���,可同時操作于主控模塊和USBKEY模塊 上;主控模塊與USB KEY模塊對其的響應由軟件進行控制�。
全文摘要
本發(fā)明涉及身份認證技術領域,特別涉及一種帶有無線通信功能的加密認證設備及方法��。本發(fā)明是通過采用專用的安全加密認證設備���,實現(xiàn)各種終端用戶與銀行服務器連接。本發(fā)明有直接工作模式和間接工作模式��。所述直接工作模式為本發(fā)明的設備與終端設備分別與銀行服務器連接,是兩條不同的SSL通訊鏈路���。所述間接工作模式為本發(fā)明的設備設有一USB接口���,通過USB數(shù)據(jù)線與終端設備連接��,是一條SSL通訊鏈路�。本發(fā)明的設備既可以保證電子銀行交易的安全性,又能同時適配各種終端,使電子銀行交易的安全認證與終端類型無關���。本發(fā)明的優(yōu)點是即可以采用直接工作方式,進行遠程審核���;又能采用間接工作方式,進行近程審核。解決了現(xiàn)有安全加密認證設備使用不便的問題,其有益效果是實現(xiàn)了在安全交易的前提下��,網(wǎng)銀交易與終端類型無關的問題,適用性強。
文檔編號H04L9/32GK103152180SQ20131007029
公開日2013年6月12日 申請日期2013年3月6日 優(yōu)先權日2013年3月6日
發(fā)明者周偉, 魏煒, 徐耀東, 張榮華, 蔣耀良 申請人:上海陽揚電子科技有限公司