[发明专利]一种优盾业务实现方法及系统

说明书

技术领域

本发明涉及银行优盾(USBKEY)技术领域，尤其涉及一种USBKEY业务实现方法及系统。

背景技术

一代USBKEY是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。但一代USBKEY还只是充当一个“算法计算器”的角色，它虽然能够保护密钥不被黑客直接读取，却无法区分请求计算的数据是否合法。因此，USBKEY体系的最终安全效果仍需依靠WINDOWS操作系统提供安全保障。

然而，WINDOWS系统安全性能较差，黑客通过键盘接口层或USB通讯层等多种手段，可轻易地盗取用户的口令，然后远程控制USBKEY，篡改交易数据或直接捏造交易，实现对客户资金的盗取。

换句话说，传统的一代USBKEY只是保证了用户私匙的存储安全，却无法从根本上解决可能产生的远程对其调用问题，PIN码是私钥调用的唯一保证。一代USBKEY在使用过程中，PIN码是用户电脑键盘输入的，因此黑客依然可以通过例如键盘监听的黑客程序截获用户PIN码，如果用户不及时取走USBKEY，那么黑客可以通过截获的PIN码来取得虚假认证，安全隐患仍然令人堪忧。

发明内容

本发明所要解决的技术问题是，提供一种USBKEY业务实现方法及系统，以提高USBKEY的安全性和可靠性。

为了解决上述技术问题，本发明公开了一种优盾(USBKEY)业务的实现方法，包括：

用户在USBKEY业务受理系统上发起交易申请时，USBKEY业务受理系统使用USBKEY的公钥对交易申请数据进行加密得到A，同时使用银行与电信运营商共同制定的数据短信加解密协议的共享密钥K1对交易申请数据进行加密得到EA，将A和EA拼接在一起发送给与USBKEY绑定的用户身份识别模块（SIM）卡；

所述SIM卡接收数据，用K1对EA部分进行解密并显示给手机用户，当用户确认交易信息属实，则SIM卡使用USBkey业务受理系统与电信运营商协商加解密协议的共享密钥K2对A部分数据进行加密，并返回给USBKEY业务受理系统使用K2对所述SIM卡返回的数据进行解密得到A，再使用USBKEY的公钥对A进行解密，得到明文数据，并与发送的请求进行比对，实现业务办理。

可选地，上述方法还包括：

用户办理USBKEY业务时，将USBKEY与带数据加密功能的SIM卡进行一对一的绑定，其中，绑定的信息包括USBKEY标识、银行与电信运营商共同制定的数据短信加解密协议的共享密钥K1、USBKEY与电信运营商协商加解密协议的共享密钥K2。

可选地，上述方法中，将USBKEY与带数据加密功能的SIM卡进行一对一的绑定包括：

利用电信运营商的远程写卡业务功能将用户已办理的USBKEY的身份标识号码（ID）、电信数据及该USBKEY的ID对应的K1和K2数据写入SIM卡中。

可选地，上述方法中，所述交易申请数据至少包括时间字串，地址字串，交易信息字串，防重放攻击字串。

本发明还公开了一种优盾（USBKEY）业务的实现系统，包括USBKEY业务受理系统平台，以及与用户的USBKEY一一绑定的带数据加密功能的用户身份识别模块（SIM）卡：

所述USBKEY业务受理系统平台，接收用户发起的交易申请，使用USBKEY的公钥对交易申请数据进行加密得到A，同时使用银行与电信运营商共同制定的数据短信加解密协议的共享密钥K1对交易申请数据进行加密得到EA，将A和EA拼接在一起发送给与USBKEY绑定的SIM卡，以及使用USBKEY业务受理系统平台与电信运营商协商加解密协议的共享密钥K2，对所述SIM卡返回的数据进行解密得到A，再使用USBKEY的公钥对A进行解密，得到明文数据，并与发送的请求进行比对，实现业务办理；

所述SIM卡，接收USBKEY业务受理系统平台发送的数据，用K1对所述数据中的EA部分进行解密并显示给手机用户，当用户确认交易信息属实，则使用USBKEY业务受理系统平台与电信运营商协商加解密协议的共享密钥K2对A部分数据进行加密，并返回给USBKEY业务受理系统平台。