[发明专利]网络银行安全认证方法和系统

说明书

技术领域

本发明涉及以智能卡为数据载体的一种网络银行安全认证方法和系统。

背景技术

随着电子商务的发展，网上交易以及越来越普及。此外，随着智能手机的价格下降，其销量也与日俱增。这就使得通过手机进行网上支付的需求日益明显，各大银行也推出了各自的手机银行。目前，常见的基于手机的移动支付方式有：

方式1：通过本地文件证书，对远程支付提供安全认证。

方式2：通过短信码，对远程支付提供安全认证。

方式3：对于部分提供USB-OTG接口的手机，已经有特定的U-key可用。通过这种U-key来保证远程支付的安全。

上述方式的缺点：

方式1和方式2的缺点：由于智能手机可能受病毒和黑客入侵，方式1和方式2中的文件证书或短信码可能被恶意软件获取，从而危及网络交易安全。

方式3缺点：银行需要专门发行U-key，这种U-key常常只用于一个银行的网上交易。这提高了银行的运营成本，也使得用户除了银行卡外，还需要携带多种U-key，在使用上很不方便。

而且目前，银行卡已经开始从磁条卡向智能卡（包括接触式和非接触式）过渡，而人民银行要求在2015年起，商业银行发行的银行卡均应为金融IC卡，由于银行卡使用智能卡已经是大势所趋，银行在发智能卡的同时再发行U-Key，增加了运营和维护成本。

发明内容

为解决上述问题，本发明目的是提供一种网络银行安全认证方法和系统，持卡人可以利用银行IC卡替代现有的U-key,同时利用移动终端读取I C卡内存储的数字证书和私人密钥，在IC卡和银行服务器之间对用户身份进行确认，为用户提供安全方便的网络银行交易。本发明是采用以下方法实现的：一种网络银行安全认证方法，其特征在于，该方法包括以下步骤：

提供具有读取智能卡功能的移动终端，所述移动终端中存储有U-key组件程序；

提供存储有用于识别用户身份的数字证书和私人密钥的智能卡，所述智能卡同时为存储有用户账户信息的银行卡；

检测到网银客户端软件运行，则运行移动终端中的U-key组件程序，上述移动终端读取智能卡中存储的数字证书和私人密钥的智能卡，在智能卡和网络银行服务器之间对用户进行身份验证，其中网络银行服务器端存储有服务器证书和服务器私钥，通过身份验证后，在上述网络银行服务器和智能卡之间形成一个安全的数据链路，进行网上交易。

其中，所述具有读卡功能的移动终端设有智能卡卡座，与所述智能卡卡座电性连接的读卡模块，该读卡模块包括接触式智能卡座，接触式智能卡控制芯片，及与所述接触式智能卡控制芯片电性连接的专用处理器，智能卡通过ISO7816接口与所述读卡模块进行通讯。

其中，所述移动终端内设有无线读卡模块，所述无线读卡模块包括射频天线、与射频天线连接的射频卡控制芯片及与所述射频卡控制芯片连接的专用处理器，所述无线读卡模块通过射频天线读写智能卡。

其中，所述移动终端包括手机、平板电脑、POS机。

其中，所述身份验证包括以下步骤：该网络银行服务器通过互联网向上述具有读卡功能的移动终端发起一个密钥协商过程，该移动终端密钥协商成功后，返回成功信息给上述系统服务器，双方通过该密钥协商过程进行双向认证并产生一个过程密钥，该过程密钥在后续通信过程中作为该系统服务器和该具有读卡功能的移动终端交换数据的加密密钥，从而在该系统服务器和该智能卡之间形成一个安全的数据传输链路。

为解决上述问题，本发明还公开一种网络银行安全认证系统，其特征在于，包括：

移动终端，具有读取智能卡功能，且所述终端中存储有U-key组件程序；

智能卡，存储有用于识别用户身份的数字证书和私人密钥，且该智能卡同时为存储有用户账户信息的银行卡；

网络银行服务器，存储有服务器证书和服务器私钥；

当检测到用户登录网络银行，则运行移动终端的U-key组件程序，移动终端读取上述智能卡中的数字证书和私人密钥，在智能卡和网络银行服务器之间对用户进行身份验证，通过身份验证后，在上述网络银行服务器和智能卡之间形成一个安全的数据链路，进行网上交易。

其中，所述具有读卡功能的移动终端设有智能卡卡座，及与所述智能卡卡座电性连接的读卡模块，该读卡模块包括接触式智能卡座，接触式智能卡控制芯片，及与所述接触式智能卡控制芯片电性连接的专用处理器，智能卡通过ISO7816接口与所述读卡模块进行通讯。