[发明专利]一种具有多因素认证方法的网络业务处理方法及系统

说明书

技术领域

 本发明涉及网络业务处理领域，尤其涉及一种具有多因素认证方法的业务处理方法及系统。

背景技术

目前通信网络覆盖全球，利用网络处理业务也在飞速发展之中，尤其是利用网络交易和网络支付活动，在日趋频繁的网络交易支付中，必须具备身份认证过程，以保证交易的安全性，常见的身份认证方法有下面几种：一、静态口令验证；该认证方法为单因素认证，通常输入一组密码，尽量采用字母和数字符号相混合的方式提高口令强度，抵御词典式的攻击，还可以采用限制出错次数的方式提高口令强度。但是这种口令的安全程度还是不够，容易被猜出来，常用的攻击手段就是词典式攻击和偷窥。二、口令卡验证，其原理是在卡片上预置口令，根据给出的行号及列号找出对应的口令，属于双因素认证，这种口令认证的缺点是安全度不高，口令集合少，容易被穷举和复制，无法防御中间人的攻击，对词典式攻击抵抗有限，常用的攻击手段有复印、偷窥和词典式攻击。三、动态口令验证；该验证方法是基于时间序列或事件序列的双因素验证，Token（令牌）结果参与业务交易，Token内置密钥，采用HASH或其他迭代算法计算，外部无法预测结果，但其安全程度还是较低，属于单向认证，及Token持有人无法验证服务器端，无法防止中间人/钓鱼网站攻击，常用的攻击手段就是钓鱼网站。具体可以参考公开号为CN101495956A的中国专利文献。四、普通USBKey验证；该验证方法是基于PKI（Public Key Infrastructure ， 即公钥基础设施）体系的签名加密机制，对传输的数据进行加密和签名，可以防抵赖，安全芯片支撑底层安全，外部无法破解和预测结果，安全程度较高，可以支持双向认证，攻击人必须控制U盾之外的计算机设备，如PC，常用攻击手段有木马攻击：寻找有漏洞的电脑，植入木马程序，记录密码，趁用户插入U盾交易后还未拔下之机，迅速登录网银并转走钱；与基于浏览器的文件型证书攻击方式相同。具体可以参考公开号为CN101770619A的中国专利文献；上述认证方法皆存在认证因素过少，认证手段容易被攻击的缺点。

发明内容

本发明的目的就是提供一种交易更加安全的、具有多因素认证方法的业务处理方法及系统。 

本发明提供一种具有多因素认证方法的网络业务处理方法，包括如下步骤：

步骤1、业务操作终端1将业务操作请求发送到业务服务器2，业务操作请求中至少携带有用户ID和核心操作信息；

步骤2、业务服务器2收到所述业务操作请求后，进行本地验证；如验证通过，则提取业务操作核心数据连同用户ID、用户ID已经绑定的硬件安全单元ID或已注册移动终端5的号码向安全平台服务器3递交安全验证请求，同时向业务操作终端1反馈输入验证信息的界面，进入步骤3；否则，不做处理或向业务操作终端1反馈不合法的提示信息；

步骤3、安全平台服务器3收到验证请求后，将验证请求中的数据进行处理后打包发送到与用户对应的已注册移动终端5；

步骤4、移动终端5接收到安全平台服务器3发送的打包数据后，由硬件安全单元按照预定的格式拆包，并向手机显示屏显示关键信息，请求用户确认；

步骤5、用户确认后，硬件安全单元计算应答数，并将计算出的应答数通过手机明文显示给用户； 

步骤6、用户在业务操作终端1上要求输入验证信息的页面中的输入框中输入应答数并确认，业务操作终端1将应答数发送到业务服务器2；

步骤7、业务服务器2把应答数发送到安全平台服务器进行验证；

步骤8、安全平台服务器3收到应答数后，进行验证，并将验证结果反馈给业务服务器2；

步骤9、业务服务器2接收到安全平台服务器反馈的验证结果，并根据结果进行业务处理。

作为另一优选方案，所述步骤1中业务服务器2不向业务操作终端1反馈输入验证信息的界面；且在步骤5中，用户确认后，硬件安全单元计算应答数，然后将应答数反馈到安全平台服务器3，进入步骤8。

作为另一优选方案，所述步骤3中打包数据包括安全平台服务器通过预定的算法计算的挑战数，挑战数计算因子包括核心操作信息、用户ID、手机号码、服务器私密数据中的一个或几个的组合。

作为另一优选方案，所有数据发送过程均采用加密传输。

作为另一优选方案，所述步骤5中硬件安全单元计算应答数所用的种子包括当前OTP值、证书的签名信息、密钥信息及硬件信息中的一种或几种。

本发明还提供一种具有多因素认证方法的网络业务处理系统，包括：