[发明专利]网络交易身份认证方法和装置

说明书

技术领域

本发明涉及数据安全技术领域，特别涉及一种网络交易身份认证方法和装 置。

背景技术

目前，在网络银行应用中，USB Key作为身份认证和电子证书工具被广泛采 用。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，有一定 的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法 实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式 都无法读取，因此保证了用户认证的安全性。

OCL(Operation Control List，操作控制列表)设备是一种高端的USB Key， 与传统的USB Key产品相比，它增加了显示屏和按键等人机交互的接口。当需要 使用USB Key内私钥进行签名时，就会启动按键等待操作，在有效时限内按下物 理按键后签名才能成功，否则签名操作失败。即使OCL设备的密码被人截取，木 马程序发起一个非法的交易申请，由于无法进行物理上的按键操作致使整个交 易不能进行下去。另外，面对交易数据在用户客户端提交到OCL设备过程中被篡 改的危险，OCL设备的显示屏可以把送到OCL设备的交易数据信息显示出来，用 户在确认显示的内容正确无误后按下物理按键即可完成整个交易。

通过OCL设备进行网络交易，最重要的就是保护OCL设备中的私钥，在未经 允许的情况下，私钥不能被任何对象获得。OCL设备在用户权限的控制上只是采 用了PIN(Personal Identification Number，个人标识号)码保护的方式，也就 是说，当知道OCL设备的PIN码以后就能随意的使用私钥。

在实现本发明的过程中，发明人发现现有技术中至少存在如下问题：

在使用OCL设备进行网络交易时，只要获得OCL设备的私钥，就可以随意使 用OCL设备进行交易了，网络交易的安全存在一定风险。

发明内容

本发明的实施例提供一种网络交易身份认证方法和装置，能够有效地保证 网络交易的安全性。

本发明实施例采用的技术方案为：

一种网络交易身份认证方法，其通过使用OCL设备进行网络交易，在OCL设 备进行PIN码验证通过之后，包括：

获取动态密码；

显示所述动态密码；

对所述动态密码进行验证；

在对所述动态密码验证通过之后，利用私钥进行签名；

对网络交易进行按键的物理确认。

一种网络交易身份认证装置，包括PIN码验证单元，用于对OCL设备进行PIN 码验证，所述网络交易身份认证装置，还包括：

获取单元，用于接收所述PIN码验证单元验证通过的通知，获取动态密码；

显示单元，用于显示所述获取单元获取的动态密码；

动态密码验证单元，用于对所述获取单元获取的动态密码进行验证，向签 名单元发送验证通过的通知；

签名单元，用于在接收到所述动态密码验证单元验证通过的通知后，利用 所述OCL设备的私钥进行签名，并提示确认单元进行确认；

确认单元，用于根据所述签名单元的提示，对网络交易进行按键的物理确 认。

本发明实施例网络交易身份认证方法和装置，OCL设备进行PIN码验证通过 之后，将会获取一个动态密码并显示出来，然后对所述动态密码进行验证，在 对所述动态密码验证通过之后，利用所述OCL设备的私钥进行签名，最后对网络 交易进行按键的物理确认。与现有技术相比，本发明在保证用户安全登陆OCL设 备的基础上，又增加了对私钥操作的保护，从而更加有效地保证了数据和交易 的安全性；本发明在利用私钥进行签名之前，增加了动态密码的验证过程，即 使用户OCL设备的私钥被非法获取，也不会因为用户的误操作而对网络交易带来 风险，提升了网络交易的可靠性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述 中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付 出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例一提供的网络交易身份认证方法流程图；

图2为本发明实施例二提供的网络交易身份认证方法流程图；

图3为本发明实施例三提供的网络交易身份认证方法流程图；