[发明专利]基于双界面安全智能卡的网上银行远程支付的安全认证方法

权利要求书

1.一种基于双界面安全智能卡的网上银行远程支付的安全认证方法，其特征在于：该安全认证方法包括安全认证信息的非接触式传输通道的建立和安全认证协议两个部分,

所述的安全认证信息的非接触式传输通道的建立是指电脑与双界面安全智能卡间非接触式传输通道的建立，或者是指具有短距离无线通信模块的手机终端与双界面安全智能卡间非接触式传输通道的建立；

所述的安全认证协议是指在用户使用网银过程中，电脑或手机终端与银行网银服务器之间进行双方身份安全认证时所遵循的协议和规范，该安全认证协议是建立在使用公钥证书的基础上的，用户的公钥证书及私钥以及相应的加解密算法、摘要算法都在双界面安全智能卡内，在安全认证过程中，电脑或手机终端与银行网银服务器之间需要收发的相关数据都是在上述非接触式传输通道建立的基础上传递到双界面安全智能卡内进行的数字签名、加解密处理，并返回结果；

安全认证协议包括以下步骤：

1）公钥证书的分发：首先，证书服务器为银行网银服务器和终端用户生成各自的公钥证书；其次证书服务器离线向双界面安全智能卡写入银行网银服务器公钥证书；然后证书服务器通知银行网银服务器用户公钥证书；

2）安全认证：电脑或手机终端和银行网银服务器之间通过公钥证书，实现终端用户与银行双方身份认证，安全认证协议所发送的消息如下： 

C->S:PEs(Nc)，

S->C:PEc(Ns,TIMEcs,TYPEcs,AMOUNTcs,EXTcs,SIGs(Nc))，

C->S:PEs(Ns,SIGc(TIMEcs,TYPEcs,AMOUNTcs,EXTcs))，

其中，C表示电脑或手机终端发送方，S表示银行网银服务器接收方；PEc表示用C的公钥加密，SIGc表示用C的私钥签名；PEs表示用S的公钥加密，SIGs表示用S的私钥签名；Nc表示发送方产生的验证因子，Ns表示接收方产生的验证因子；TIMEcs表示交易的操作时间，TYPEcs表示交易的操作种类，AMOUNTcs表示操作金额，EXTcs表示预留扩展部分；

安全认证协议执行的步骤如下： 

第一步，交易开始后，终端发送方向服务器接收方发出用服务器接收方证书公钥加密认证请求，请求内容包括终端产生验证因子Nc；

第二步，银行网银服务器根据当前使用网银的用户信息查找该用户相应的证书，并在向证书服务器验证该证书合法性后，产生一个验证因子Ns，利用自己的私钥对Nc进行签名后与当前交易的交易操作时间TIMEcs，交易操作种类TYPEcs，操作金额AMOUNTcs，预留扩展部分EXTcs等信息用接收方的加密公钥加密，然后传给终端； 

第三步，终端对银行网银服务器发送来的密文信息进行脱密（先用自身的私钥脱密，再用预存的银行网银服务器的公钥签证服务器签名），检查Nc一致后；

第四步，验证通过后，终端对TIMEcs,TYPEcs,AMOUNTcs,EXTcs等信息用自己的私钥签名后，连同Ns一起，用银行网银服务器的公钥加密后传送给网银服务器；

第五步，网银服务器将收到的Ns与原来的Ns进行比较，若相同，表示双方身份安全认证通过，交易成功，同时将终端对TIMEcs,TYPEcs,AMOUNTcs, EXTcs等交易信息的私钥签名结果保存备案；若不相同，则交易失败。

2.根据权利要求1所述的基于双界面安全智能卡的网上银行远程支付的安全认证方法，其特征在于：所述的双界面安全智能卡是指符合《中国金融集成电路(IC)卡规范(V2.0)》、《非接触支付IC卡支付规范》和国际标准ISO10536系列标准、支持ISO/IEC 14443-A和ISO/IEC 7816协议、支持国家密码管理局认可的密码算法，包括SM1、SSF33和RSA和摘要算法，可用作双界面智能银行卡的智能卡类产品。