專利名稱:采用手機作為移動數(shù)字證書載體的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種采用手機作為網(wǎng)銀移動數(shù)字證書載體的系統(tǒng),屬于信息技術(shù)安全領(lǐng)域。
背景技術(shù):
網(wǎng)上銀行又稱網(wǎng)絡(luò)銀行、在線銀行,是指銀行利用Internet技術(shù),通過Internet向客戶提供開戶、銷戶、查詢、對帳、行內(nèi)轉(zhuǎn)帳、跨行轉(zhuǎn)賬、信貸、網(wǎng)上證券、投資理財?shù)葌鹘y(tǒng)服務(wù)項目,使客戶可以足不出戶就能夠安全便捷地管理活期和定期存款、支票、信用卡及個人投資等??梢哉f,網(wǎng)上銀行是在Internet上的虛擬銀行柜臺。隨著互聯(lián)網(wǎng)、移動通訊以及計算機技術(shù)的發(fā)展和人們安全意識的不斷提高,通信安全的重要性日益凸顯,尤其對于涉及用戶個人隱私和財產(chǎn)安全的網(wǎng)上銀行業(yè)務(wù),更需要確保用戶的賬戶和財產(chǎn)安全。目前,基于網(wǎng)上銀行的安全通信措施存在多樣化發(fā)展的態(tài)勢,但對于目前常用的幾種網(wǎng)銀安全機制,都存在著一定的局限性,尚未出現(xiàn)一種集安全、經(jīng)濟和便捷于一體的網(wǎng)銀安全機制。目前的常用的網(wǎng)銀安全機制主要包括:密碼、文件數(shù)字證書、動態(tài)口令卡、動態(tài)手機口令、移動口令牌、移動數(shù)字證書。密碼是每一個網(wǎng)上銀行必備有認(rèn)證介質(zhì),但是密碼非常容易被木馬盜取或被他人偷窺,其特點是使用便捷但安全系數(shù)低。文件數(shù)字證書是存放在電腦中的數(shù)字證書,每次交易時都需用到。文件數(shù)字證書具有不可移動性,對經(jīng)常換電腦使用的用戶來說不方便;且文件數(shù)字證書有可能被盜取,所以不是絕對安全的。動態(tài)口令是根據(jù)特定算法生成不可預(yù)測的隨機數(shù)字組合,每個口令只能使用一次。動態(tài)口令卡是目前銀行常用的網(wǎng)銀安全機制之一,在某些網(wǎng)絡(luò)游戲的密保中也被廣泛應(yīng)用,在使用中根據(jù)坐標(biāo)位置查找出對應(yīng)口令。動態(tài)口令卡具有可隨身攜帶、輕便、不需驅(qū)動、使用方便等優(yōu)點。但同時受使用次數(shù)的限制,并且由于動態(tài)口令沒有對交易進行簽名,無法防止釣魚網(wǎng)站攻擊。動態(tài)手機口令與動態(tài)口令卡一樣,是基于動態(tài)口令的安全機制。當(dāng)用戶嘗試進行網(wǎng)上交易時,銀行會向用戶的手機發(fā)送短信,用戶接收到短信后,若能在規(guī)定時間內(nèi)正確輸入短信中的動態(tài)口令,則能夠順利完成交易,反之不能。動態(tài)手機口令的優(yōu)勢在于不需安裝驅(qū)動,只需隨身帶手機即可,相對安全。但從安全角度上說,動態(tài)手機口令也沒有對交易進行簽名,無法防止釣魚網(wǎng)站攻擊。移動口令牌也是一種基于動態(tài)口令的安全機制,是目前最主流的是基于時間同步的硬件令牌,在網(wǎng)銀業(yè)務(wù)中被廣泛應(yīng)用。當(dāng)用戶進行網(wǎng)上交易時,輸入移動口令牌上顯示的當(dāng)前的數(shù)據(jù),正確輸入后方可完成本次交易,移動口令牌不需要驅(qū)動,不需要安裝,只要隨身帶就行??诹钆频木幋a一旦使用過就立即失效。移動口令牌的最大問題也是沒有對交易進行簽名,無法防止釣魚網(wǎng)站攻擊。[0010]移動數(shù)字證書,使用USB Key存放用戶個人的數(shù)字證書,并不可讀取。交易時,通過USB Key對交易信息進行簽名,是目前網(wǎng)銀最常用的安全機制之一。移動數(shù)字證書能夠有效地防止釣魚網(wǎng)站攻擊,但使用時需要安裝驅(qū)動,同時USB Key需要隨身攜帶。綜上,現(xiàn)有的各種網(wǎng)銀安全機制各有不足之處,多數(shù)機制的安全性有待加強,而安全性可以滿足需要的機制其便捷性稍差。
實用新型內(nèi)容為克服以上技術(shù)的缺陷,本實用新型的目的是提供一種采用手機作為移動數(shù)字證書載體的系統(tǒng),以實現(xiàn)一個集安全、經(jīng)濟、便捷于一體的網(wǎng)銀安全機制,提高用戶在網(wǎng)銀使用中的安全性和便捷性。本實用新型的技術(shù)方案為:一種采用手機作為移動數(shù)字證書載體的系統(tǒng),包括可相互通信的計算機和手機,所述手機內(nèi)安裝有加密SD卡,所述加密SD卡通過所述手機的多媒體卡接口與所述手機的主處理器通信連接。所述計算機和手機可以各自設(shè)有用以實現(xiàn)相互通信的藍牙通信模塊、數(shù)據(jù)線通信模塊及WLAN通信模塊中的一種或多種。所述手機優(yōu)選為智能手機,所述WLAN通信模塊優(yōu)選采用WIFI通信模塊。所述計算機內(nèi)可設(shè)有CSP中間件和/或PKCS#11中間件。所述多媒體卡接口優(yōu)選采用標(biāo)準(zhǔn)SD卡接口,所述手機的主處理器設(shè)有用于控制其與所述加密SD卡交換數(shù)據(jù)的SDIO控制器,且所述SDIO控制器優(yōu)選采用可兼容SD101.1和SD物理層規(guī)范1.1/2.0的SDIO控制器。所述加密SD卡優(yōu)選采用具有國家商密資質(zhì)的加密芯片制成。所述加密SD卡的結(jié)構(gòu)模型可分為上層的SD卡核心COS和下層的SD卡通信模塊。所述加密SD卡可以由安全智能卡和通用SD FLASH封裝而成,其外形為標(biāo)準(zhǔn)的MicroSD卡、MiniSD卡或SD卡的外型。所述安全智能卡的結(jié)構(gòu)模型可以劃分為:流程控制模塊層、協(xié)議模塊層、基礎(chǔ)模塊層和適配層,所述流程控制模塊層可以包括指令總控模塊、CSP消息處理模塊、PKCS#11消息處理模塊和銀行擴展消息處理模塊,所述協(xié)議模塊層可以包括CSP消息協(xié)議模塊、PKCS#11消息協(xié)議模塊和銀行擴展消息協(xié)議模塊,所述基礎(chǔ)模塊層可以包括文件讀寫模塊、文件事務(wù)寫模塊、序列號事務(wù)寫模塊和加解密算法模塊,所述適配層可以包括FLASH讀寫模塊、加密基礎(chǔ)算法模塊、隨機數(shù)生成模塊和數(shù)據(jù)傳輸模塊。所述系統(tǒng)還可以包括網(wǎng)絡(luò)銀行交易子系統(tǒng)和/或網(wǎng)絡(luò)證券交易子系統(tǒng),所述網(wǎng)絡(luò)銀行交易子系統(tǒng)包括銀行web服務(wù)器和銀行CA證書服務(wù)器,所述網(wǎng)絡(luò)證券交易子系統(tǒng)包括證券web服務(wù)器和證券CA證書服務(wù)器,所述銀行web服務(wù)器和/或證券web服務(wù)器與所述計算機經(jīng)由互聯(lián)網(wǎng)通信連接。本實用新型的有益效果為:通過在手機中加入加密SD卡和安裝加密組件,使手機成為移動數(shù)字證書的載體,大大提高了移動數(shù)字證書的便攜性;安裝在手機中的加密SD卡的適配層具有加密基礎(chǔ)算法模塊和數(shù)據(jù)傳輸模塊,兩種模塊使手機作為移動數(shù)字證書的用戶PIN碼的輸入設(shè)備,可有效抵御用戶電腦上木馬程序的攻擊;此外用戶通過手機作為移動數(shù)字證書的敏感信息的輸出設(shè)備,能夠為用戶提供更好的人機界面,優(yōu)化用戶體驗;該系統(tǒng)中的加密SD卡還能夠為手機的網(wǎng)上交易提供安全服務(wù),為將來電腦網(wǎng)銀和智能手機銀行在安全機制上的統(tǒng)一奠定了基礎(chǔ)。
圖1是本實用新型的一種實施例的內(nèi)部結(jié)構(gòu)示意圖;圖2是本實用新型的一種實施例的拓?fù)浣Y(jié)構(gòu)示意圖;圖3是本實用新型的加密SD卡硬件結(jié)構(gòu)示意圖;圖4是本實用新型的安全智能卡的內(nèi)部模塊圖;圖5是本實用新型的工作流程示意圖。
具體實施方式
如圖1所示,本實用新型提供了一種采用手機作為移動數(shù)字證書載體的系統(tǒng),其核心包括可相互通信的計算機(或稱計算機端、PC端,下同)和手機(或稱手機端,下同),所述手機內(nèi)安裝有加密SD卡,所述加密SD卡通過所述手機的多媒體卡接口與所述手機的主處理器通信連接。PC端可將生成的數(shù)字證書通過PC端的加密組件和手機端的加密組件加載到加密SD卡中。所有的用戶私密信息(數(shù)字證書、公司鑰對、私密數(shù)據(jù)等)都存儲在加密SD卡中。所述計算機和手機各自設(shè)有用以實現(xiàn)相互通信的藍牙通信模塊、數(shù)據(jù)線通信模塊及WLAN通信模塊中的一種或多種,用以實現(xiàn)二者間的信息交互。在圖1所示的實施例中,所述PC端的上層提供CSP、PKCS#11等中間件接口和銀行定制接口,它們均支持X.509標(biāo)準(zhǔn)證書格式,并且實現(xiàn)加密SD卡中的證書自動注冊到Windows系統(tǒng)“MY區(qū)”;下層提供與手機(優(yōu)選為智能手機)之間的藍牙、數(shù)據(jù)線、WIFI通信模塊,手機端則相應(yīng)提供與PC端通信的藍牙通信模塊、數(shù)據(jù)線通信模塊、WIFI通信模塊,同時還手機端還提供用以同加密SD卡通信的通信模塊。而加密SD卡底層提供用以同手機通信的通信模塊,上層是提供各類加密服務(wù)的核心COS。用戶在使用的時候,只需將智能手機通過藍牙、數(shù)據(jù)線、WIFI等方式連接到PC端,便可以享受該系統(tǒng)提供的數(shù)字證書服務(wù),包括用戶認(rèn)證、公私鑰生成、證書導(dǎo)入/導(dǎo)出、數(shù)據(jù)加密/解密、數(shù)據(jù)簽名/驗簽、文件操作等。所述多媒體卡接口優(yōu)選采用標(biāo)準(zhǔn)SD卡接口,所述手機的主處理器(也即圖1所示的手機端主控模塊)設(shè)有用于控制其與所述加密SD卡交換數(shù)據(jù)的可兼容SD101.1和SD物理層規(guī)范1.1/2.0的SDIO控制器,通過所述SDIO控制器,所述加密SD卡實現(xiàn)與手機進行數(shù)據(jù)交互。所述加密SD卡采用國家商密資質(zhì)的加密芯片制成,其安全強度與傳統(tǒng)的USB KEY方式的移動數(shù)字證書一致,能夠有效防止釣魚網(wǎng)站的攻擊,使其安全性得到保證。如圖3所示,所述加密SD卡優(yōu)選由專用安全智能卡和通用SD FLASH封裝而成,其外形為標(biāo)準(zhǔn)的MicroSD卡、MiniSD卡或SD卡的外型。所述安全智能卡優(yōu)選為支持IS07816接口和SPI從屬模式的加密智能卡,SDIO控制器通過Flash接口與Flash進行數(shù)據(jù)交互和傳輸,通過IS07816/SPI接口與HS32U2芯片(安全智能卡的核心部分)進行數(shù)據(jù)交互。由于通用SD FLASH的存在,使加密SD卡提供了普通SD卡的存儲功能,因此不影響用戶對普通手機SD卡的大容量存儲需求。[0035]如圖4所示,所述安全智能卡的內(nèi)部結(jié)構(gòu)模型可劃分為四層,分別是流程控制模塊層、協(xié)議模塊層、基礎(chǔ)模塊層和適配層。流程控制模塊層定義了系統(tǒng)處理各類信息的流程控制,包括指令總控模塊、CSP消息處理模塊、PKCS#11消息處理模塊和銀行擴展消息處理模塊等四個模塊;協(xié)議模塊層負(fù)責(zé)處理本系統(tǒng)中各類信息的構(gòu)造和解析,包括CSP消息協(xié)議模塊、PKCS#11消息協(xié)議模塊和銀行擴展消息協(xié)議模塊等三個模塊;基礎(chǔ)模塊層負(fù)責(zé)處理本系統(tǒng)支持上層應(yīng)用所必需的基礎(chǔ)功能,包括文件讀寫模塊、文件事務(wù)寫模塊、序列號事務(wù)寫模塊和加解密算法模塊等四個模塊;適配層負(fù)責(zé)封裝為智能卡基礎(chǔ)API提供統(tǒng)一的接口,包括FLASH讀寫模塊、加密基礎(chǔ)算法模塊、隨機數(shù)生成模塊和數(shù)據(jù)傳輸模塊等四個模塊。如圖2所示,當(dāng)用于網(wǎng)銀交易或證券交易時,該系統(tǒng)還可以包括網(wǎng)絡(luò)銀行交易子系統(tǒng)或網(wǎng)絡(luò)證券交易子系統(tǒng),所述網(wǎng)絡(luò)銀行交易子系統(tǒng)包括銀行web服務(wù)器和銀行CA證書服務(wù)器,所述網(wǎng)絡(luò)證券交易子系統(tǒng)包括證券web服務(wù)器和證券CA證書服務(wù)器,所述銀行web服務(wù)器或證券web服務(wù)器與所述計算機經(jīng)由互聯(lián)網(wǎng)通信連接,以實現(xiàn)互訪和信息交互。當(dāng)然,該系統(tǒng)也可能同時包含網(wǎng)絡(luò)銀行交易子系統(tǒng)和網(wǎng)絡(luò)證券交易子系統(tǒng)。以網(wǎng)銀交易為例,如圖5所示,本實用新型的典型的工作流程為:I)用戶通過PC端上網(wǎng),打開瀏覽器,進入網(wǎng)上銀行;2)用戶點擊與該系統(tǒng)相對應(yīng)的安全機制的初始化頁面,下載證書;3)通過瀏覽器將銀行服務(wù)器端生成的證書通過PC端加密組件、智能手機端加密組件最終加載到加密SD卡中;4)用戶點擊交易頁面進行交易;5)瀏覽器調(diào)用PC端加密組件相應(yīng)接口對交易簽名;6)智能手機端加密組件彈出PIN碼輸入框,用戶通過智能手機輸入PIN碼;7)加密SD卡在成功驗證PIN碼后,對交易信息進行簽名,并且返回簽名結(jié)果;8)瀏覽器將簽名結(jié)果發(fā)送到服務(wù)器端,服務(wù)器端協(xié)同后臺CA對簽名進行驗證,在驗證成功之后完成交易。該系統(tǒng)可向用戶提供認(rèn)證、公私鑰生成、證書導(dǎo)入/導(dǎo)出、數(shù)據(jù)加密/解密、數(shù)據(jù)簽名/驗簽、文件操作等服務(wù),相對于傳統(tǒng)網(wǎng)銀的安全媒介而言,其優(yōu)勢主要體現(xiàn)在:I)使用智能手機作為移動數(shù)字證書的載體,大大提高了移動數(shù)字證書攜帶的便利性;2)通過智能手機作為移動數(shù)字證書的用戶PIN碼的輸入設(shè)備,有效地抵御了用戶電腦上木馬程序的攻擊;3)通過智能手機作為移動數(shù)字證書的敏感信息的輸出設(shè)備,能夠向用戶提供更加友好的人機界面,優(yōu)化用戶體驗;4)系統(tǒng)中的加密SD卡還能夠為智能手機的網(wǎng)上交易提供安全服務(wù),為將來電腦網(wǎng)銀和手機銀行在安全機制上的統(tǒng)一奠定基礎(chǔ)。
權(quán)利要求1.一種采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于包括可相互通信的計算機和手機,所述手機內(nèi)安裝有加密SD卡,所述加密SD卡通過所述手機的多媒體卡接口與所述手機的主處理器通信連接。
2.如權(quán)利要求1所述的采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述計算機和手機各自設(shè)有用以實現(xiàn)相互通信的藍牙通信模塊、數(shù)據(jù)線通信模塊及WLAN通信模塊中的一種或多種。
3.如權(quán)利要求2所述的采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述手機為智能手機,所述WLAN通信模塊采用WIFI通信模塊。
4.如權(quán)利要求3所述的采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述計算機內(nèi)設(shè)有CSP中間件和/或PKCS#11中間件。
5.如權(quán)利要求4所述的采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述多媒體卡接口采用標(biāo)準(zhǔn)SD卡接口,所述手機的主處理器設(shè)有用于控制其與所述加密SD卡交換數(shù)據(jù)的可兼容SD101.1和SD物理層規(guī)范1.1/2.0的SDIO控制器。
6.如權(quán)利要求5所述的采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述加密SD卡采用具有國家商密資質(zhì)的加密芯片制成。
7.如權(quán)利要求6所述的采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述加密SD卡的結(jié)構(gòu)模型分為上層的SD卡核心COS和下層的SD卡通信模塊。
8.如權(quán)利要求1-7中任一權(quán)利要求所述的采用手機作為移動數(shù)字證書載體的系統(tǒng),其特征在于所述加密SD卡由安全智能卡和通用SD FLASH封裝而成。
專利摘要本實用新型涉及一種采用手機作為移動數(shù)字證書載體的系統(tǒng),包括可相互通信的計算機和手機,所述手機內(nèi)安裝有加密SD卡,所述加密SD卡通過所述手機的多媒體卡接口與所述手機的主處理器通信連接,所述加密SD卡采用具有國家商密資質(zhì)的加密芯片制成,由安全智能卡和通用SDFLASH封裝而成。本實用新型應(yīng)用于通信安全技術(shù)領(lǐng)域,針對現(xiàn)代人對手機的高度依賴性,將手機作為移動數(shù)字證書的硬件載體應(yīng)用于網(wǎng)銀交易等涉及數(shù)字證書的安全操作中,可防止釣魚網(wǎng)站的攻擊,還攜帶方便,集安全、經(jīng)濟和便捷于一體的優(yōu)點,可用于認(rèn)證、公私鑰生成、證書導(dǎo)入/導(dǎo)出、數(shù)據(jù)加密/解密、數(shù)據(jù)簽名/驗簽、文件操作等服務(wù)。
文檔編號G06F21/33GK202998240SQ20122057340
公開日2013年6月12日 申請日期2012年11月2日 優(yōu)先權(quán)日2012年11月2日
發(fā)明者張文, 張文斌 申請人:北京太極星空科技有限公司