[发明专利]一种具有多因素认证方法的网络业务处理方法及系统

权利要求书

1.一种具有多因素认证方法的网络业务处理方法，包括如下步骤：

步骤1、业务操作终端（1）将业务操作请求发送到业务服务器（2），业务操作请求中至少携带有用户ID和核心操作信息；

步骤2、业务服务器（2）收到所述业务操作请求后，进行本地验证；如验证通过，则提取业务操作核心数据连同用户ID、用户ID已经绑定的硬件安全单元ID或已注册移动终端（5）的号码向安全平台服务器（3）递交安全验证请求，同时向业务操作终端（1）反馈输入验证信息的界面，进入步骤3；否则，不做处理或向业务操作终端（1）反馈不合法的提示信息；

步骤3、安全平台服务器（3）收到验证请求后，将验证请求中的数据进行处理后打包发送到与用户对应的已注册移动终端（5）；

步骤4、移动终端（5）接收到安全平台服务器（3）发送的打包数据后，由硬件安全单元按照预定的格式拆包，并向手机显示屏显示关键信息，请求用户确认；

步骤5、用户确认后，硬件安全单元计算应答数，并将计算出的应答数通过手机明文显示给用户； 

步骤6、用户在业务操作终端（1）上要求输入验证信息的页面中的输入框中输入应答数并确认，业务操作终端（1）将应答数发送到业务服务器（2）；

步骤7、业务服务器（2）把应答数发送到安全平台服务器进行验证；

步骤8、安全平台服务器（3）收到应答数后，进行验证，并将验证结果反馈给业务服务器（2）；

步骤9、业务服务器（2）接收到安全平台服务器反馈的验证结果，并根据结果进行业务处理。

2. 根据权利要求1所述的一种具有多因素认证方法的网络业务处理方法，其特征在于，所述步骤1中业务服务器（2）不向业务操作终端（1）反馈输入验证信息的界面；且在步骤5中，用户确认后，硬件安全单元计算应答数，然后将应答数反馈到安全平台服务器（3），进入步骤8。

3. 根据权利要求1或2所述的一种具有多因素认证方法的网络业务处理方法，其特征在于，所述步骤3中打包数据包括安全平台服务器通过预定的算法计算的挑战数，挑战数计算因子包括核心操作信息、用户ID、手机号码、服务器私密数据中的一个或几个的组合。

4. 根据权利要求1或2所述的一种具有多因素认证方法的网络业务处理方法，其特征在于，所有数据发送过程均采用加密传输。

5. 根据权利要求1或2所述的一种具有多因素认证方法的网络业务处理方法，其特征在于，所述步骤5中硬件安全单元计算应答数所用的种子包括当前OTP值、证书的签名信息、密钥信息及硬件信息中的一种或几种。

6. 一种具有多因素认证方法的网络业务处理系统，包括：

业务操作终端，将业务操作请求发送到业务服务器（2），业务操作请求中至少携带有用户ID和核心操作信息；用户在业务操作终端（1）上要求输入验证信息的页面中的输入框中输入应答数并确认，业务操作终端（1）将应答数发送到业务服务器（2）；

业务服务器，收到所述业务操作请求后，进行本地验证；如验证通过，则提取业务操作核心数据连同用户ID、硬件安全单元ID或已注册移动终端（5）的号码向安全平台服务器3递交安全验证请求，同时向业务操作终端1反馈输入验证信息的界面，否则，不做处理或向业务操作终端（1）反馈不合法的提示信息；把从业务操作终端接收的应答数发送到安全平台服务器进行验证；根据安全平台服务器反馈的验证结果进行业务处理；

安全平台服务器，收到验证请求后，将验证请求中的数据进行处理后打包发送到与用户对应的已注册移动终端；收到应答数后，进行验证，并将验证结果反馈给业务服务器（2）；

移动终端，接收到安全平台服务器3发送的打包数据后，由硬件安全单元按照预定的格式拆包，并向手机显示屏显示关键信息，请求用户确认；用户确认后，硬件安全单元计算应答数，并将计算出的应答数通过手机明文显示给用户。

7. 根据权利要求6所述的一种具有多因素认证方法的网络业务处理系统，其特征在于，

所述业务服务器不向业务操作终端（1）反馈输入验证信息的界面；业务操作终端不向业务服务器发送应答数，业务服务器不向安全平台服务器发送应答数；所述移动终端在用户确认后，硬件安全单元计算应答数，然后将应答数反馈到安全平台服务器。