[发明专利]在网上银行系统中进行安全身份认证的系统及方法

说明书

技术领域

本发明涉及信息系统中身份认证技术领域，尤其涉及一种在网上银行系统中进行安全身份认证的系统及方法。

背景技术

随着网上银行的迅速发展，客户对网上银行交易安全性的要求也越来越高。目前提高网上银行交易安全性的方法有多种多样，动态口令卡就是其中较为常用的一种方式。

如图1所示，图1为目前动态口令卡的示意图。动态口令卡相当于一种动态的网上银行密码，动态口令卡上以矩阵的形式印有若干字符串，客户在使用网上银行进行对外转账、B2C购物、缴费等支付交易时，网上银行系统一般会随机给出两个口令卡坐标，例如口令卡坐标A1和B2，其中A1对应“223”，B2对应“334”，客户根据口令卡坐标A1和B2从动态口令卡中找到口令组合“223”和“334”，并输入到网上银行系统中。只有当口令组合“223”和“334”全部输入正确时，客户才能完成相关交易。

这种口令组合是动态变化的，使用者每次使用时输入的密码都不一样，交易结束后即失效，从而能够杜绝不法分子通过窃取客户静态密码盗窃资金，保障网上银行安全。

随着动态口令卡的不断普及和网络技术的不断发展，目前部分不法分子利用客户安全意识薄弱，不熟悉银行支付流程等弱点，通过假网站等手段骗取客户动态口令卡信息，使客户资金存在安全隐患。目前的动态口令卡式实现方式面临如下风险：

(一)通过持续刷新口令卡坐标来进行攻击。不法分子首先通过在假网站上套取客户网银登录卡号、登录密码及若干组动态口令坐标值，然后在真网站上不断刷新动态口令坐标，直至在真网站上出现与其骗取的动态口令坐标值对应的动态口令坐标，然后将其骗取的动态口令坐标值输入客户网银账户，实现对客户网银账户的非法攻击。例如，当客户登录到假网站后，可以让客户输入A1、B2两个坐标值，然后不法分子再登录到真网站(前提是不法分子已经获取了客户的登录卡号和登录密码)，不断刷新坐标，直到页面出现要求输入的坐标为A1、B2，然后将骗取的A1、B2两个坐标值输入网银系统。

(二)中间人网站攻击。不法分子制造虚假电子商务网站，并引诱客户访问欺诈网站，窃取客户的网上银行登录密码后，登录客户网银获取当前的一组动态口令坐标(例如A1、B2)，并将该坐标放置在欺诈网站中，要求客户输入对应的口令卡坐标密码(即动态口令坐标值)，在获取客户输入的口令卡坐标密码后，不法分子立即操作客户网银在短时间内进行转账，造成客户损失。

因此，目前通过动态口令卡方式来进行安全身份认证的方式急需改造。

发明内容

(一)要解决的技术问题

有鉴于此，本发明的一个目的在于提供一种在网上银行系统中进行安全身份认证的系统，以克服目前动态口令卡方式进行身份认证存在的安全性低的不足，提高网上银行系统的安全性。

本发明的另一个目的在于提供一种在网上银行系统中进行安全身份认证的方法，以克服目前动态口令卡方式进行身份认证存在的安全性低的不足，提高网上银行系统的安全性。

(二)技术方案

为达到上述一个目的，本发明提供了一种在网上银行系统中进行安全身份认证的系统，该系统至少包括：

数据管理装置，用于运行数据库管理系统，存放网上银行动态密码卡安全数据及认证信息，并负责认证通过后的客户访问管理；

服务提供装置，用于根据接收自客户终端装置的交易请求从数据管理装置获取第一次动态口令坐标，并将获取的第一次动态口令坐标返回给客户终端装置；并在接收到安全服务装置输入的第一次动态口令验证通过信息后从数据管理装置获取第二次动态口令坐标，并将获取的第二次动态口令坐标返回给客户终端装置；

安全服务装置，用于接收客户终端装置输入的第一次动态口令和第二次动态口令，判断客户终端装置输入第一次动态口令和第二次动态口令的时间是否超时，并根据从数据管理装置获取的动态口令判断第一次动态口令和第二次动态口令是否正确，在确认第一次动态口令正确时向服务提供装置发送第一次动态口令验证通过信息，在确认第二次动态口令正确时向客户终端装置发送安全身份认证通过信息；

网络安全装置，用于保护企业内部网络的安全，防止公共网络中的非法用户对内部网络的访问和攻击；

客户终端装置，用于通过网络安全装置联接到服务提供装置或安全服务装置，实现服务提供装置或安全服务装置与客户端的交互。

上述方案中，所述数据管理装置、服务提供装置和安全服务装置通过内部网络连接于网络安全装置；