[发明专利]基于多界面安全智能卡的网上银行远程支付的安全认证方法

摘要

本发明涉及一种基于多界面安全智能卡的网上银行远程支付的安全认证方法，包括安全认证信息的非接触式传输通道的建立和安全认证协议，安全认证信息的非接触式传输通道的建立分为电脑或具有短距离无线通信模块的手机终端与多界面安全智能卡间非接触式传输通道的建立，在安全认证部分首先要进行公钥证书的颁发，然后证书服务器离线向多界面安全智能卡写入银行网银服务器公钥证书和通知银行网银服务器用户公钥证书,然后电脑或手机终端和银行网银服务器之间通过安全认证协议进行双方身份的认证,可节约配发USBKey的成本，方便用户对网银的使用,保证了交易的安全可靠。

主权项

一种基于多界面安全智能卡的网上银行远程支付的安全认证方法，其特征在于：该安全认证方法包括安全认证信息的非接触式传输通道的建立和安全认证协议两个基本部分；所述的安全认证信息的非接触式传输通道的建立，分为电脑与多界面安全智能卡间非接触式传输通道的建立，或者具有短距离无线通信模块的手机终端与多界面安全智能卡间非接触式传输通道的建立；所述的安全认证协议是指在用户使用网银过程中，电脑或手机终端与银行网银服务器之间进行双方身份安全认证时所遵循的协议和规范，该安全认证协议建立在使用公钥证书的基础上，用户的公钥证书及私钥以及相应的加解密算法、摘要算法都在多界面安全智能卡内，在安全认证过程中，电脑或手机终端与银行网银服务器之间需要收发的相关数据是在上述非接触式传输通道建立的基础上传递到多界面安全智能卡内进行数字签名、加解密处理，并返回结果，在多界面安全智能卡对交易关键信息进行数字签名处理以前，要先在其人机交互界面中的显示界面上显示出来，只有等用户按下人机交互界面上的确认按键后才会执行数字签名操作；安全认证协议部分包括以下步骤：1）公钥证书的分发：首先证书服务器为银行网银服务器和终端用户生成各自的公钥证书，其次证书服务器离线向多界面安全智能卡写入银行网银服务器公钥证书，然后证书服务器通知银行网银服务器用户公钥证书；2）安全认证：电脑或手机终端和银行网银服务器之间通过公钥证书，实现终端用户与银行双方身份认证，安全认证协议所发送的消息如下： C‑>S:PEs(Nc)S‑>C:PEc(Ns,TIMEcs,TYPEcs,AMOUNTcs,EXTcs,SIGs(Nc))C‑>S:PEs(Ns,SIGc(TIMEcs,TYPEcs,AMOUNTcs,EXTcs))其中，C表示电脑或手机终端发送方，S表示银行网银服务器接收方；PEc表示用C的公钥加密，SIGc表示用C的私钥签名；PEs表示用S的公钥加密，SIGs表示用S的私钥签名；Nc表示发送方产生的验证因子，Ns表示接收方产生的验证因子；TIMEcs表示交易的操作时间，TYPEcs表示交易的操作种类，AMOUNTcs表示操作金额，EXTcs表示预留扩展部分；安全认证协议执行的步骤如下：第一步，交易开始后，终端发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求，请求内容包括终端产生验证因子Nc；第二步，银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书，并在向证书服务器验证该证书合法性后，产生一个验证因子Ns，利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs，交易操作种类TYPEcs，操作金额AMOUNTcs，预留扩展部分EXTcs等信息用接收方的加密公钥加密，然后传给终端； 第三步，终端对银行网银服务器发送来的密文信息进行脱密，先用自身的私钥脱密，再用预存的银行网银服务器的公钥签证服务器签名，检查Nc一致后；第四步，验证通过后，终端对TIMEcs,TYPEcs,AMOUNTcs,EXTcs信息用自己的私钥签名后，在终端将这些信息送入多界面安全智能卡中进行数字签名处理以前，多界面安全智能卡要先在其人机交互界面中的显示界面上将关键交易信息显示出来，只有等用户按下人机交互界面上的确认按键后才会执行数字签名操作，连同Ns一起，用银行网银服务器的公钥加密后传送给网银服务器；第五步，网银服务器将收到的Ns与原来的Ns进行比较，若相同，表示双方身份安全认证通过，交易成功，同时将终端对TIMEcs,TYPEcs,AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案；若不相同，则交易失败。