[发明专利]网络交易安全装置、网络交易安全系统及使用其进行交易方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种网络交易安全装置、系统及方法。

背景技术

随着银行、第三方支付、证券等行业的电子渠道迅猛发展，传统的柜台业务已经搬到了网上和手机上。电子渠道的发展给客户带来了极大的便捷性，也大大降低了拓展营业厅的运营成本。目前，为了提高网络交易的安全性，银行在其客户中广泛发放U盾、电子密码器等用于网络信息识别的装置来保障交易安全。

如图1所示，以常用的电子密码器为例，电子密码器通常包括，一个控制及存储芯片，一个电池，一个显示屏，以及一系列按键。控制及存储芯片中存储有加密的密钥和算法，按键一般包括开关键、0-9数字键、小数点键，以及“确认”键、“删除”键等物理按键，在网络交易时，用户在电子密码器上将网络交易页面指定位置的显示信息通过按键输入，其中电子密码器的输入控制及存储芯片算出动态口令并显示给用户，用户将这个动态口令输入到网络交易客户端，网络交易客户端将动态口令发送至网络交易服务器，与网络交易服务器根据算法得出的动态口令进行对比，如果相同，则完成认证。电子密码器通过生成的随机密码得到动态口令，验证交易信息并进行网络转账、交易、管理、校准等一系列动作。

然而，近年来钓鱼网站的频繁出现给电子交易的安全带来了威胁，钓鱼网站是攻击者建立的用于骗取动态口令等敏感信息的网站，而电子密码器本身不能识别钓鱼网站，从而使得用户在使用网银、手机银行时依然受到钓鱼网站的威胁，造成用户资金重大损失。

为了防止钓鱼网站的攻击，银行往往依靠反复提醒用户查验登陆的网站、域名、以及网页加密状态等方式来判断网页是否为合法网页。然而，由于钓鱼网站利用细微差别，如用www.lcbc.com的假网址来仿冒www.icbc.com的真网址，导致一部分用户还是会受骗，依靠人为鉴别钓鱼网站，有很大的不可靠性，且不适合大范围人群的应用。其次，由于钓鱼网站与真实网站差别细微而且变化多样，通过屏蔽钓鱼网站黑名单也无法完全达到防钓鱼的作用。

因此，如何有效防止钓鱼网站的攻击，实现网络交易安全成为当前网络安全领域的一个难题。

发明内容

钓鱼网站通常伪装成为银行等进行网络交易的网站，首先骗取受害者提交的账号和密码等用户信息，然后在后台使用受害者的用户信息登陆网络交易网站，进入转账交易，获取用于验证的一组数值，并将此数值在钓鱼网站上显示出来，通过提示用户需要校准时间或需要升级来诱骗受害者此数值输入认证设备，由于受害者不知道该数值的意义，也无法看到本次交易的信息，因此容易受骗将产生的动态口令输入钓鱼网站，而钓鱼网站后台获得此动态口令后即可完成转账交易，获取用户账户资金。由于在使用电子密码器进行信息确认时，用户不清楚输入信息的真实意义，而常规的电子密码器本身不能识别钓鱼网站，从而使得用户在使用网银、手机银行时，受到钓鱼网站的威胁。

为解决上述电子密码器无法识别钓鱼网站的缺陷，本发明所要解决的技术问题是提供一种网络交易安全装置，实现有效防止钓鱼网站的攻击。

本发明解决上述技术问题的网络交易安全装置，为电子密码器，包括一控制及存储芯片、电池、显示屏、数字键盘按键以及开关键，还包括功能按键，所述功能按键与操作类型一一对应；所述电子密码器通过包括操作码的信息生成动态口令，所述操作码与所述功能按键一一对应。

进一步优选地，所述功能按键包括转账、交易、校时和管理。

本发明在常规电子密码器的基础上进行改进，利用物理的功能按键对原有的确认、左右、删除按键进行取代，以使用户对操作内容明确。同时，对常规电子密码器的口令算法的计算基础进行改进，加入由功能按键得出的操作码作为计算的基础之一，使得本发明提供的防钓鱼攻击的安全装置具有鉴别钓鱼网站的能力，从而进一步提高网络交易的安全性。

与此相应，本发明还提供了一种网络交易安全系统，包括网络交易客户端、网络交易服务器，以及电子密码器，所述电子密码器包括一控制及存储芯片、电池、显示屏、数字键盘按键以及开关键；还包括功能按键，所述功能按键与操作类型一一对应；

所述网络交易客户端与所述网络交易服务器通过数据通信实现网络交易；

所述网络交易服务器与所述电子密码器分别生成动态口令并进行口令比对，用于交易过程中的认证。