本發(fā)明屬于電子信息防偽的技術(shù)領(lǐng)域,涉及一種銀行支付許可認(rèn)證信息的反饋驗證方法,是一種針對利用泄露或被竊取的銀行用戶信息復(fù)制銀行卡、復(fù)制手機(jī)卡,繼而在銀行設(shè)備實施資金轉(zhuǎn)移、提取現(xiàn)金的犯罪行為而設(shè)計的有效抵御方法。
背景技術(shù):
銀行卡是借助于電子技術(shù)、網(wǎng)絡(luò)技術(shù)使銀行業(yè)務(wù)突破了時間和空間的限制而發(fā)生了根本性變化,不但簡化了銀行的人工轉(zhuǎn)賬、提現(xiàn)等多種業(yè)務(wù)的繁忙和復(fù)雜,減少了現(xiàn)金和支票的流通,同時為銀行卡用戶帶來自助辦理銀行業(yè)務(wù)快捷和便利?,F(xiàn)在銀行卡用戶還可以借助網(wǎng)絡(luò)通信技術(shù)實時監(jiān)控自己賬戶的資金動態(tài)。
以目前的銀行設(shè)備ATM機(jī)提取現(xiàn)金的工作過程為例:將銀行卡插入讀卡孔,在ATM機(jī)的人機(jī)對話界面輸入一個6位數(shù)的密碼,在界面上選擇“取款”→選擇“金額”數(shù)據(jù)→“確認(rèn)”→ATM機(jī)支付對應(yīng)數(shù)額的錢幣→向用戶發(fā)送賬戶支付款項的短信。分析ATM機(jī)提取現(xiàn)金的工作過程,只要具備銀行卡和用戶密碼就可以輕松進(jìn)行提取現(xiàn)金的操作過程。
近來銀行卡應(yīng)用中出現(xiàn)一些問題:比較嚴(yán)重的問題是辦理銀行卡時留給銀行的用戶信息,包含用戶名稱、身份證號、銀行卡號、卡內(nèi)余額、銀行卡密碼、開戶日期、電話號碼以及住址等信息遭到泄露。
銀行卡用戶信息泄露主要有幾個途徑:一是銀行內(nèi)部人員非法復(fù)制并出售;二是不法分子通過網(wǎng)絡(luò)進(jìn)入銀行信息庫,竊取了用戶信息;三是不法分子通過欺詐手段從用戶那里獲得,另外還有通過在銀行設(shè)備上加裝竊取信息的設(shè)備獲取到用戶銀行卡信息等手段。
不法分子可以利用這些信息結(jié)合偽造、復(fù)制銀行卡、手機(jī)卡的技術(shù)手段,成功復(fù)制銀行卡,現(xiàn)實中用復(fù)制銀行卡在異地甚至在國境以外的銀行設(shè)備竊取資金的案件時有發(fā)生,且破案困難。
銀行和相關(guān)管理部門告知用戶防止損失的方法是:在接到自己賬戶中的資金被轉(zhuǎn)走之后的提示短信后,立即到距自己最近的銀行設(shè)備中進(jìn)行操作,以留下時間和地點證據(jù),表示銀行卡在自己的手中,同時證明在此時間里自己并沒有進(jìn)行資金轉(zhuǎn)賬或提現(xiàn)的操作,并將這些證據(jù)提供給法院和公安機(jī)關(guān)追查,還可據(jù)此要求銀行賠付損失。
銀行防止用偽卡轉(zhuǎn)賬或提現(xiàn)成功的方法只有被動應(yīng)對用戶的法律訴訟,賠付用戶損失的資金是無可奈何之舉,另外就是向公安機(jī)關(guān)報案。
現(xiàn)有技術(shù):
現(xiàn)有技術(shù)1申請?zhí)枺?00710187861.5“一種網(wǎng)上銀行系統(tǒng)的安全認(rèn)證方法”的專利文獻(xiàn)公開了:“其特征在于采用了手機(jī)動態(tài)認(rèn)證和數(shù)字證書的雙認(rèn)證安全模式…….”特征點是:應(yīng)用了手機(jī)動態(tài)認(rèn)證和數(shù)字證書技術(shù),其中,數(shù)字證書的頒發(fā)、身份驗證服務(wù)、證書更新需要引入證書的認(rèn)證中心(CA)。
現(xiàn)有技術(shù)2申請?zhí)枺?00910164350.0“銀行支付確認(rèn)系統(tǒng)及其確認(rèn)方法”的專利文獻(xiàn)公開了“……..銀行信息傳輸系統(tǒng)與銀行短信確認(rèn)系統(tǒng)進(jìn)行短信確認(rèn)密碼的交互,銀行業(yè)務(wù)系統(tǒng)根據(jù)客戶手機(jī)與銀行短信確認(rèn)系統(tǒng)的信息交互結(jié)果控制銀行處理終端進(jìn)行相應(yīng)操作”涉及了銀行與用戶以短信方式交互的認(rèn)證過程,存在銀行用戶注冊信息泄露其交互的密碼和短信都會被截取利用的問題。
現(xiàn)有技術(shù)3申請?zhí)枺?01110092438.3的專利文獻(xiàn)公開了一種手機(jī)銀行客戶端信息認(rèn)證方法、系統(tǒng)及移動終端,該方法包括:“……..建立手機(jī)硬件信息與手機(jī)銀行注冊客戶信息的綁定關(guān)系”;“………以解決客戶端手機(jī)銀行系統(tǒng)信息安全性的問題。”特征點是用戶設(shè)備和銀行注冊的用戶信息綁定關(guān)系,存在銀行注冊的用戶信息泄露,綁定手機(jī)的信息同時泄露,綁定信息被復(fù)制,用戶和銀行資金被竊取的危險。
除了上述現(xiàn)有技術(shù)外,現(xiàn)有公開的文獻(xiàn)還有針對提高銀行卡安全性的多種技術(shù)措施,其中有加裝硬件設(shè)備的:加裝攝像頭、加裝數(shù)據(jù)接口、加裝射頻模塊、加裝指紋識別器等,還有改進(jìn)設(shè)備的:例如銀行卡改進(jìn)、通信設(shè)備手機(jī)卡改進(jìn)等。另外,還有設(shè)置專用的安全服務(wù)器、引入第三方認(rèn)(驗)證網(wǎng)絡(luò)的算法和服務(wù)方式等。
上述現(xiàn)有技術(shù)存在的問題是加裝硬件的技術(shù)措施存在實施起來費(fèi)時、費(fèi)力、工作量大的問題。改進(jìn)銀行卡的技術(shù)措施涉及已發(fā)行的數(shù)十億張銀行卡巨大改進(jìn)工作量外,還存在改進(jìn)措施的安全可靠性的技術(shù)驗證問題。通信設(shè)備(手機(jī)卡)改進(jìn)需要銀行和通信部門以及設(shè)備制造的多部門協(xié)作,涉及了后續(xù)的管理、法律責(zé)任分擔(dān)諸多問題。設(shè)置專用的安全服務(wù)器、引入第三方認(rèn)(驗)證網(wǎng)絡(luò)的算法和服務(wù)方式雖然可以解決問題,可是其工作量如同設(shè)計一套新的銀行安全系統(tǒng),涉及算法、軟硬件和系統(tǒng)的安全可靠性、系統(tǒng)易用性、監(jiān)管制度、使用方法的改變以及法律責(zé)任分擔(dān)問題,還有增加了用戶使用成本等問題。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的缺點,提供一種銀行支付許可認(rèn)證信息的反饋驗證方法,將銀行支付許可認(rèn)證信息的反饋驗證方法編制的程序嵌入銀行設(shè)備的業(yè)務(wù)流程中的轉(zhuǎn)賬、支付執(zhí)行程序的前端;能夠有效防止不法分子利用泄露的銀行用戶信息復(fù)制銀行卡、手機(jī)卡,再利用泄露信息中的密碼、在銀行設(shè)備上實施操作,以達(dá)到竊取資金的目的;采取有效的技術(shù)措施防止銀行和用戶的身份認(rèn)證信息和支付許可認(rèn)證信息被截獲、篡改、利用,確認(rèn)環(huán)節(jié)及其技術(shù)措施具備安全、易用、不增加硬件、可快捷實現(xiàn)的特點。
為達(dá)到上述目的,本發(fā)明采用以下技術(shù)方案予以實現(xiàn):
一種銀行支付許可認(rèn)證信息的反饋驗證方法,包括以下步驟:
1)銀行設(shè)備向用戶發(fā)出支付許可認(rèn)證信息時,將實時的時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在銀行設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取的數(shù)據(jù)作為密鑰,利用該密鑰采用對稱加密算法將支付許可認(rèn)證信息加密為第一密包;接著對第一密包和時間參數(shù)進(jìn)行非對稱加密算法加密為第二密包,將第二密包存儲后,以短信方式發(fā)送給用戶和監(jiān)管方;
2)用戶設(shè)備接收到發(fā)自銀行的短信后,對第二密包進(jìn)行非對稱加密算法解密,獲得第一密包和時間參數(shù);用戶設(shè)備將時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在用戶設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取的數(shù)據(jù)作為密鑰,利用該密鑰采用對稱加密算法將密包解密,獲得支付許可認(rèn)證信息;
3)用戶設(shè)備將確認(rèn)的支付許可認(rèn)證信息進(jìn)行存儲,再通過信息通道和設(shè)備通道反饋給銀行設(shè)備;銀行設(shè)備根據(jù)用戶和監(jiān)管方反饋的信息確定后續(xù)執(zhí)行程序。
銀行設(shè)有密鑰生成器,生成非對稱的密鑰對,每個用戶和銀行共用一對非對稱密鑰,不分公鑰和私鑰,且不向外界公開;用戶注冊時,將非對稱秘鑰對及其加解密算法程序以“盲配法”分別配發(fā)給銀行設(shè)備和用戶設(shè)備。
銀行設(shè)有隨機(jī)函數(shù)生成器,生成隨機(jī)函數(shù)及其組成的隨機(jī)函數(shù)數(shù)據(jù)源,隨機(jī)函數(shù)數(shù)據(jù)源是一個數(shù)據(jù)串、數(shù)據(jù)環(huán)或者數(shù)據(jù)庫;用戶注冊時,為每個用戶和銀行設(shè)置了內(nèi)容相同的兩個隨機(jī)函數(shù)數(shù)據(jù)源,分別存放在銀行設(shè)備和用戶設(shè)備;
其特征還在于:銀行隨機(jī)函數(shù)數(shù)據(jù)源和用戶隨機(jī)函數(shù)數(shù)據(jù)源具有自動同步更新使隨機(jī)數(shù)據(jù)源數(shù)據(jù)動態(tài)變化的功能,按照預(yù)設(shè)的時間、運(yùn)算方法進(jìn)行操作使隨機(jī)函數(shù)數(shù)據(jù)源數(shù)據(jù)發(fā)生變化;
其特征還在于:使隨機(jī)函數(shù)數(shù)據(jù)源數(shù)據(jù)發(fā)生變化的操作至少包含:地址變換、數(shù)據(jù)變換、使數(shù)據(jù)的數(shù)據(jù)位發(fā)生變化的邏輯運(yùn)算、算術(shù)運(yùn)算、函數(shù)運(yùn)算。
用戶和銀行利用對稱密鑰和非對稱密鑰的加、解密算法實現(xiàn)相互的身份認(rèn)證:
將時間參數(shù)轉(zhuǎn)換成地址,由銀行設(shè)備設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源獲取的密鑰來加密支付許可認(rèn)證信息為密包發(fā)送給用戶;用戶接收到銀行信息,將時間參數(shù)轉(zhuǎn)換成地址,由用戶設(shè)備設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源獲取的密鑰進(jìn)行解密密包獲得支付許可認(rèn)證信息,利用了對稱密鑰一致性進(jìn)行了注冊信息的確認(rèn)以及身份認(rèn)證;
將實時的時間參數(shù)轉(zhuǎn)換成地址經(jīng)銀行設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源獲取的密鑰加密支付許可認(rèn)證信息為密包,再將密包和時間參數(shù)經(jīng)非對稱加密發(fā)送給用戶;用戶接收到銀行信息,經(jīng)非對稱解密獲得密包和時間參數(shù),利用時間參數(shù)轉(zhuǎn)換成地址經(jīng)用戶設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源獲取的密鑰解密密包,獲得支付許可認(rèn)證信息;利用了非對稱密鑰加解密文件的唯一性進(jìn)行注冊信息的確認(rèn)以及身份認(rèn)證。
在銀行和用戶設(shè)備中各設(shè)置了一個存儲發(fā)送給和接收到對方信息的電子證據(jù)數(shù)據(jù)庫,支付許可認(rèn)證信息做為電子證據(jù)被存儲,存儲的數(shù)據(jù)至少包含時間參數(shù)數(shù)據(jù)、支付許可認(rèn)證信息的數(shù)據(jù)、身份認(rèn)證信息的數(shù)據(jù)。
為支付許可和身份認(rèn)證信息設(shè)置了對應(yīng)的交互信息通道,至少包含有:銀行和用戶之間的通信通道、銀行和用戶之間的設(shè)備通道、銀行和監(jiān)管方的通信通道。
銀行設(shè)備和用戶設(shè)備中的時間參數(shù)接收網(wǎng)絡(luò)校時信號同步。
將銀行支付許可認(rèn)證信息的反饋驗證方法編制的程序嵌入銀行設(shè)備的業(yè)務(wù)流程中的轉(zhuǎn)賬、支付執(zhí)行程序的前端;
其特征還在于:銀行設(shè)備是具備支付轉(zhuǎn)賬支付功能的設(shè)備,其中包含有ATM機(jī)、POS機(jī)、網(wǎng)上銀行操作界面所對應(yīng)的銀行后臺設(shè)備。
注冊時,將用戶設(shè)備唯一性識別信息MEID、銀行帳號、手機(jī)卡SIM號以及配發(fā)的非對稱密鑰及其用戶應(yīng)用程序做綁定;
其特征還在于:用戶應(yīng)用程序(APP)除了需要手動操作輸入的簡單數(shù)據(jù)外,程序中包含的身份信息識別算法、加解密算法都是預(yù)先設(shè)計的自動執(zhí)行操作程序,用戶無須具備相關(guān)專業(yè)知識;
其特征還在于:用戶設(shè)備包含:固定和移動的、有線和無線通訊功能的電子設(shè)備,至少包含手機(jī)、電腦、移動終端設(shè)備、固定/移動轉(zhuǎn)接的裝置。
支付許可認(rèn)證信息是:短信信息、QQ信息、微信信息、電話電報信息、傳真信息的單項或多項的組合;
支付許可數(shù)據(jù)包含轉(zhuǎn)賬支付的賬號、資金額度、提取現(xiàn)金額度和次數(shù);支付許可的驗證碼是固定或隨機(jī)變化數(shù)據(jù):包含了:數(shù)字、字符、字母、文字、算式、答題,還包含有圖形圖像、音視頻的多媒體信息——它們的單個數(shù)據(jù)或多項數(shù)據(jù)的組合。
與現(xiàn)有技術(shù)相比,本發(fā)明具有以下有益效果:
本發(fā)明在下列情形下能夠有效防止銀行和用戶的資金被非法轉(zhuǎn)賬、提取:
(1)、現(xiàn)有銀行設(shè)備和用戶設(shè)備不做任何硬件改動,不增加新的服務(wù)器、硬件設(shè)備以及安全監(jiān)管的第三方機(jī)構(gòu),只需按照本發(fā)明所述的技術(shù)方案對銀行設(shè)備和用戶設(shè)備做程序升級;(2)、利用泄露的銀行用戶信息非法復(fù)制的用戶銀行卡和設(shè)備(手機(jī)卡)不能通過做了本發(fā)明升級后的銀行設(shè)備進(jìn)行的支付許可認(rèn)證信息和身份信息的驗證;(3)、利用泄露的銀行用戶信息所建的偽基站不能和做了本發(fā)明升級后的用戶設(shè)備進(jìn)行相互的支付許可和身份認(rèn)證;(4)、用用戶銀行卡和密碼在銀行設(shè)備上操作,銀行沒有收到用戶通信通道和設(shè)備通道反饋的支付許可和身份認(rèn)證;(5)、設(shè)置了監(jiān)管方的用戶在銀行設(shè)備上操作,銀行沒有獲得監(jiān)管方反饋給銀行的支付許可認(rèn)證信息,銀行設(shè)備不執(zhí)行支付、轉(zhuǎn)賬的操作程序。
【附圖說明】
圖1為現(xiàn)行銀行設(shè)備的銀行卡轉(zhuǎn)賬支付流程示意圖;
圖2為本發(fā)明方法的流程圖;
圖3為本發(fā)明實施例1的支付許可認(rèn)證信息密包示意圖;
圖4為本發(fā)明實施例2的支付許可認(rèn)證信息密包示意圖;
圖5為本發(fā)明時間參數(shù)轉(zhuǎn)換的示意圖。
其中,1-第一密包;2-第二密包;3-短信。
【具體實施方式】
下面結(jié)合附圖對本發(fā)明做進(jìn)一步詳細(xì)描述:
如圖1所示,以目前的銀行設(shè)備ATM機(jī)提取現(xiàn)金的工作過程為例:將銀行卡插入讀卡孔,在ATM機(jī)的人機(jī)對話操作界面根據(jù)提示“請輸入密碼”,用戶利用數(shù)字鍵輸入一個6位數(shù)的密碼,在操作界面界面上選擇“取款”→選擇“金額”→手動或選擇對應(yīng)鍵輸入數(shù)據(jù)→“確認(rèn)”→ATM機(jī)支付對應(yīng)數(shù)額的錢幣取款→向用戶發(fā)送賬戶支付款項的短信→退卡。
根據(jù)所述的工作過程可見,在ATM機(jī)提取現(xiàn)金只要具備銀行卡和用戶密碼就可以輕松操作實現(xiàn)提取現(xiàn)金的目的。
存在的問題1是:(1)銀行卡丟失、密碼泄露,被不法分子在ATM機(jī)提取卡內(nèi)資金;(2)不法分子在在ATM機(jī)安裝了讀卡器和攝像頭非法獲取、并復(fù)制了銀行卡信息和密碼,在ATM機(jī)提取卡內(nèi)資金;(3)銀行的客戶信息泄露,不法分子利用其中的銀行卡信息復(fù)制、偽造銀行卡;再利用其中的用戶密碼在ATM機(jī)輕松竊取用戶卡內(nèi)的資金。上述的存在的問題1已是常見的案件且時有發(fā)生。
實施例1:
參見圖2-3,本發(fā)明銀行支付許可認(rèn)證信息的反饋驗證方法,包括以下步驟:
1)銀行設(shè)備向用戶發(fā)出支付許可認(rèn)證信息時,將實時的時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在銀行設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取的數(shù)據(jù)作為密鑰(見圖5),利用該密鑰采用對稱加密算法(國密SM4或DES算法)將支付許可認(rèn)證信息加密為第一密包1;接著對第一密包1和時間參數(shù)進(jìn)行非對稱加密算法(國密SM2或RSA算法)加密為第二密包2,將第二密包2存儲后,以短信3方式發(fā)送給用戶和監(jiān)管方;
2)用戶設(shè)備接收到發(fā)自銀行的短信3后,對第二密包2進(jìn)行非對稱加密算法(國密SM2或RSA算法)解密,獲得第一密包1和時間參數(shù);用戶設(shè)備將時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在用戶設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取的數(shù)據(jù)作為密鑰(見圖5),利用該密鑰采用對稱加密算法(國密SM4或DES算法)將密包解密,獲得支付許可認(rèn)證信息;
3)用戶設(shè)備將確認(rèn)的支付許可認(rèn)證信息進(jìn)行存儲,再通過信息通道和設(shè)備通道反饋給銀行設(shè)備;銀行設(shè)備根據(jù)用戶和監(jiān)管方反饋的信息確定后續(xù)執(zhí)行程序。
實施例2:
如圖4所示,本發(fā)明銀行支付許可認(rèn)證信息的反饋驗證方法,包括以下步驟:
1)銀行設(shè)備向用戶發(fā)出支付許可認(rèn)證信息時,采用非對稱加密算法(國密SM2或RSA算法)將支付許可認(rèn)證信息加密為第一密包1;再將實時的時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在銀行設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取的數(shù)據(jù)作為密鑰(見圖5),利用該密鑰對密包進(jìn)行對稱加密算法(國密SM4或DES算法)加密為第二密包2,將第二密包2和時間參數(shù)存儲后組成短信3發(fā)送給用戶和監(jiān)管方;
2)用戶設(shè)備接收到發(fā)自銀行的第二密包2和時間參數(shù)的短信3,用戶設(shè)備將時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在用戶設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取數(shù)據(jù)作為密鑰(見圖5),利用該密鑰采用對稱加密算法(國密SM4或DES算法)將第二密包2解密獲得第一密包1,再對第一密包1進(jìn)行非對稱加密算法(國密SM2或RSA算法)解密獲得支付許可認(rèn)證信息;
3)用戶設(shè)備將確認(rèn)的支付許可認(rèn)證信息進(jìn)行存儲,再通過信息通道和設(shè)備通道反饋給銀行設(shè)備;銀行設(shè)備根據(jù)用戶和監(jiān)管方反饋的信息確定后續(xù)執(zhí)行程序。
本發(fā)明的原理及實施過程:
銀行設(shè)備升級:
將銀行支付許可認(rèn)證信息的反饋驗證方法編制的程序嵌入銀行設(shè)備的業(yè)務(wù)流程中的轉(zhuǎn)賬、支付執(zhí)行程序的前端;和用戶設(shè)備配合重新升級用戶信息,增添的主要內(nèi)容有:非對稱算法的銀行端密鑰、對稱算法的隨機(jī)函數(shù)數(shù)據(jù)源及它們的算法程序,以及電子證據(jù)數(shù)據(jù)庫;為銀行的注冊程序中設(shè)置非對稱密鑰生成器、隨機(jī)函數(shù)發(fā)生器。
為銀行支付許可認(rèn)證信息和身份認(rèn)證設(shè)置了雙因素多通道認(rèn)證信息反饋,以提高認(rèn)證信息的可靠性。
用戶設(shè)備升級:
將用戶設(shè)備唯一性識別信息MEID、銀行帳號、手機(jī)卡SIM號以及配發(fā)的非對稱密鑰及其用戶應(yīng)用程序、對稱算法的隨機(jī)函數(shù)數(shù)據(jù)源及其算法程序以及用戶端的電子證據(jù)數(shù)據(jù)庫做綁定;用戶應(yīng)用程序除了需要手動操作輸入的簡單數(shù)據(jù)外,程序中包含的身份信息識別算法、加解密算法都是預(yù)先設(shè)計的自動執(zhí)行操作程序,用戶無須具備相關(guān)專業(yè)知識。
進(jìn)一步敘述本發(fā)明具有的特征及原理:
非對稱算法應(yīng)用:利用非對稱算法兩個密鑰的特點:既:利用非對稱算法的兩個密鑰中的一個加密文件,另一個密鑰可以解密,而兩個密鑰是不同的,且無法從其中的一個密鑰推導(dǎo)、計算出另外一個密鑰。利用非對稱算法密鑰的特點,不但可以構(gòu)成了安全通信信道,還可以進(jìn)行身份的認(rèn)證。
非對稱算法銀行應(yīng)用:銀行利用非對稱密鑰加密發(fā)送給用戶的信息只有用戶的非對稱密鑰可以解開。反之,用戶利用非對稱密鑰加密的信息發(fā)送給銀行只有銀行的非對稱密鑰可以解開。由此可見,即使信息被他人截獲了也無法解密,沒有利用價值。本發(fā)明就是依此來應(yīng)對不法分子竊取資金的企圖,由于泄露的銀行用戶信息中沒有用戶設(shè)備中的非對稱密鑰,也不可能推算出來。因此,不法分子雖然能夠利用泄露的銀行用戶信息復(fù)制銀行卡、用戶設(shè)備(手機(jī))卡、用戶密碼,但是,無法通過本發(fā)明設(shè)計的利用非對稱算法進(jìn)行的銀行和用戶之間的身份認(rèn)證。所以,本發(fā)明所述的非對稱算法在銀行的應(yīng)用,堵塞了不法分子利用泄露的銀行用戶信息,進(jìn)行非法復(fù)制、從銀行設(shè)備竊取資金的漏洞。
防注冊信息泄露:銀行設(shè)有密鑰生成器,生成非對稱的密鑰對;用戶注冊時,將非對稱秘鑰對及其加解密算法程序分別以操作人員不可見的常用“盲配法”給銀行和用戶,是為了防止注冊時密鑰信息在密鑰生成的源頭上被操作人員收集、泄露。
非對稱算法密鑰與數(shù)字證書的區(qū)別:本發(fā)明所述的“每個用戶和銀行共用一對非對稱密鑰且不分公鑰和私鑰,不向外界公開”的特征,區(qū)別于數(shù)字證書的非對稱密鑰對的應(yīng)用方法,(應(yīng)用數(shù)字證書的技術(shù)方案,見本申請背景技術(shù)中所述的現(xiàn)有技術(shù)1)。因為典型的數(shù)字證書的應(yīng)用是基于PKI架構(gòu)(Public Key Infrastructure)既“公鑰基礎(chǔ)設(shè)施”,用戶和銀行各有一個證書,每個證書都有一對(兩個)非對稱密鑰,必須將密鑰中的一個作為公鑰公開,還需要引入了認(rèn)證中心(CA)作為第三方,認(rèn)證中心網(wǎng)絡(luò)用公鑰來做驗證身份的信息,顯得繁復(fù)冗雜。另外,數(shù)字證書的使用要給認(rèn)證機(jī)構(gòu)(CA)支付昂貴的密鑰驗證費(fèi)用,且需每兩年做一次更新,增加了用戶的經(jīng)濟(jì)負(fù)擔(dān)。
本發(fā)明應(yīng)用非對稱算法,是鑒于銀行和用戶“一對一”的通信關(guān)系,雙方注冊認(rèn)定,不向外界公開密鑰使其安全性成倍提高。
銀行用戶相互的身份認(rèn)證:
對稱密鑰身份驗證法:所述的隨機(jī)對稱密鑰身份認(rèn)證是由銀行采集的實時時間參數(shù)、依據(jù)該時間參數(shù)獲取的加密和解密密鑰、以及用加解密文件來驗證加密密鑰和解密密鑰的一致性進(jìn)行的身份驗證的算法。具體實施方法:將時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在銀行設(shè)備設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取的數(shù)據(jù)作為密鑰來加密支付許可認(rèn)證信息為密包發(fā)送給用戶;用戶接收到銀行信息,將時間參數(shù)轉(zhuǎn)換成地址指針,根據(jù)地址指針在用戶設(shè)備設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源中的指向點獲取的數(shù)據(jù)作為密鑰進(jìn)行解密密包獲得支付許可認(rèn)證信息,利用了對稱密鑰一致性進(jìn)行了注冊信息的確認(rèn)以及身份認(rèn)證;
非對稱密鑰身份驗證法:將實時的時間參數(shù)轉(zhuǎn)換成地址指針經(jīng)銀行設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源獲取的密鑰加密支付許可認(rèn)證信息為密包,再將密包和時間參數(shù)經(jīng)非對稱加密發(fā)送給用戶;用戶接收到銀行信息,經(jīng)非對稱解密獲得密包和時間參數(shù),利用時間參數(shù)轉(zhuǎn)換成地址經(jīng)用戶設(shè)備中設(shè)置的隨機(jī)函數(shù)數(shù)據(jù)源獲取的密鑰解密密包,獲得支付許可認(rèn)證信息;利用了非對稱密鑰加解密文件的可行性進(jìn)行注冊信息的確認(rèn)以及身份認(rèn)證。
對稱密鑰隨機(jī)化:用戶注冊時,為銀行和每個用戶設(shè)置了內(nèi)容唯一的、且相同的兩個隨機(jī)數(shù)據(jù)源,分別存放在銀行設(shè)備的銀行隨機(jī)數(shù)據(jù)源和存放在用戶設(shè)備的用戶隨機(jī)數(shù)據(jù)源。為了防止銀行發(fā)出的認(rèn)證信息被非法截獲后解密并利用,就要使每次密鑰不相同。本發(fā)明的技術(shù)方案是:將時間參數(shù)轉(zhuǎn)換成地址,在隨機(jī)函數(shù)數(shù)據(jù)源獲取的密鑰獲取密鑰,由于時間參數(shù)是一個不重復(fù)變量,因此,每個時間點獲取的密鑰就不同,從而實現(xiàn)了對稱密鑰每次不同目的。
電子證據(jù)數(shù)據(jù)庫:在銀行和用戶設(shè)備中各設(shè)置了一個存儲發(fā)送給和接收到對方信息的電子證據(jù)數(shù)據(jù)庫,存儲作為電子證據(jù)的數(shù)據(jù),電子證據(jù)的數(shù)據(jù)至少包含時間參數(shù)、支付許可認(rèn)證信息、身份認(rèn)證信息的數(shù)據(jù)。電子證據(jù)數(shù)據(jù)庫存儲了銀行和用戶歷次的支付許可和身份認(rèn)證信息,可供查詢、追溯當(dāng)前和既往的信息。當(dāng)發(fā)生抵賴行為或電子證據(jù)發(fā)生丟失、錯誤時,利用電子證據(jù)數(shù)據(jù)庫中的地址、時序排列數(shù)據(jù)所對應(yīng)信息內(nèi)容可作為證據(jù)提供研判。
時間參數(shù)的同步:銀行設(shè)備和用戶設(shè)備中的時間參數(shù)接收網(wǎng)絡(luò)校時信號同步,校時信號源自國家授時中心設(shè)置在北斗衛(wèi)星上時間源發(fā)出的標(biāo)準(zhǔn)時間參數(shù),或者源自國家授時中心設(shè)置在大地原點的長波無線電時間源發(fā)出的標(biāo)準(zhǔn)時間參數(shù)。
對抗偽基站:銀行隨機(jī)數(shù)據(jù)源和用戶隨機(jī)數(shù)據(jù)源具有自動同步更新使隨機(jī)數(shù)據(jù)源數(shù)據(jù)動態(tài)變化的功能,按照預(yù)設(shè)的時間、運(yùn)算方法進(jìn)行操作使隨機(jī)數(shù)據(jù)源數(shù)據(jù)發(fā)生變化;使隨機(jī)數(shù)據(jù)源數(shù)據(jù)發(fā)生變化的操作至少包含:地址變換、數(shù)據(jù)變換、使數(shù)據(jù)的數(shù)據(jù)位發(fā)生變化的邏輯運(yùn)算、算術(shù)運(yùn)算、函數(shù)運(yùn)算。
由于銀行隨機(jī)數(shù)據(jù)源和用戶隨機(jī)數(shù)據(jù)源具有自動同步更新使隨機(jī)數(shù)據(jù)源數(shù)據(jù)動態(tài)變化的功能,偽基站制作者在泄露的銀行用戶注冊信息中只能拷貝到靜態(tài)的銀行隨機(jī)函數(shù)數(shù)據(jù)源,如果預(yù)設(shè)的動態(tài)更新時間很短(例如秒或毫秒級別),在拷貝和向偽基站重置數(shù)據(jù)的過程耗費(fèi)的時間中,用戶設(shè)備(手機(jī)中)的用戶隨機(jī)函數(shù)數(shù)據(jù)源早已更新過很多次了。所以,偽基站置入的銀行隨機(jī)函數(shù)數(shù)據(jù)庫不能同步于用戶的隨機(jī)函數(shù)數(shù)據(jù)庫,獲取的對稱密鑰不一致,驗證信息不能通過,建立不了偽基站和用戶的通信聯(lián)系,有效地對抗了利用偽基站進(jìn)行欺詐活動。
設(shè)置安全監(jiān)管通道:銀行和監(jiān)管者之間設(shè)置了一個監(jiān)管通道,銀行通過監(jiān)管通道向監(jiān)管方發(fā)送用戶的支付許可認(rèn)證信息,接收到監(jiān)管方的反饋信息后,確定支付許可的程序執(zhí)行。監(jiān)管方可以是用戶授權(quán)的信任人、企業(yè)內(nèi)部的資金管理老總、還可以是部門或國家設(shè)置的信息安全單位(例如公安部門的防欺詐數(shù)據(jù)中心)。
(1)防電信欺詐:當(dāng)前,利用電信手段虛構(gòu)事實,隱瞞真相、冒充公檢法工作人員、冒充社保電力工作人員、偽造汽車、房產(chǎn)以及獲獎退稅,冒充熟人等電信詐騙手段層出不窮。為了防止或減少上當(dāng)受騙的被害人損失,相關(guān)部門對銀行設(shè)備(主要是ATM機(jī)和POS機(jī))轉(zhuǎn)賬支付制定了一個“延時支付(24小時)”的政策,以留給被害人“覺醒悔悟”時間,從目前其政策的執(zhí)行效果來看,防電信詐騙取得一定的效果。但是也帶來了“延時支付”使大量資金流轉(zhuǎn)速度、貨物流轉(zhuǎn)速度降低的弊端,給經(jīng)濟(jì)社會帶來非常不利影響。
本發(fā)明的技術(shù)方案中設(shè)計了一個銀行和監(jiān)管者之間的安全監(jiān)管通道,可由用戶選定。監(jiān)管方有對用戶轉(zhuǎn)賬、支付信息進(jìn)行辨識、認(rèn)可和制止的職責(zé),基于“旁觀者清,當(dāng)局者迷”思維邏輯,監(jiān)管方發(fā)現(xiàn)、識別、揭露出電信詐騙者所設(shè)的騙局的概率大大高于被害人經(jīng)過一定時間“覺醒悔悟”概率,能夠有效防止上當(dāng)受騙,及時制止被害人的經(jīng)濟(jì)損失。監(jiān)管方和監(jiān)管通道的設(shè)置還可以減少不需要“延時支付”用戶群體,在防騙局、提高資金安全的前提下提高資金和貨物的周轉(zhuǎn)速度。
(2)防資金挪用:企事業(yè)單位可以設(shè)置資金安全監(jiān)管通道,當(dāng)有相關(guān)人進(jìn)行轉(zhuǎn)賬支付時,銀行和資金監(jiān)管負(fù)責(zé)人互動就可確認(rèn)轉(zhuǎn)賬支付的實施與否,這種不受時間和地點的限制資金監(jiān)管方式不但提高了資金監(jiān)管工作的信息化,便捷化,還能夠有效地防止相關(guān)人員私自挪用資金的非法行為。
(3)帶來便捷:用戶委托他人在銀行設(shè)備上進(jìn)行轉(zhuǎn)賬支付、提取現(xiàn)金的操作,可以將自己的銀行卡及密碼提供給受托人,銀行設(shè)備把轉(zhuǎn)賬支付信息發(fā)送到用戶設(shè)備(手機(jī)),用戶確認(rèn)了轉(zhuǎn)賬支付的數(shù)據(jù)(賬號、轉(zhuǎn)賬或提現(xiàn)的額度等),通過通信通道將確認(rèn)數(shù)據(jù)反饋給銀行,再將設(shè)備通道的確認(rèn)數(shù)據(jù)轉(zhuǎn)告受托人,受托人在銀行設(shè)備上輸入確認(rèn)數(shù)據(jù),銀行設(shè)備執(zhí)行轉(zhuǎn)賬支付的操作程序。
用戶反饋信息的防偽甄別:
為銀行支付許可認(rèn)證信息和身份認(rèn)證設(shè)置了雙因素多通道用戶反饋信息通道,用戶反饋信息通道至少包含有:銀行和用戶之間的通信通道、銀行和用戶之間的設(shè)備通道、銀行和用戶監(jiān)管方的通信通道。
認(rèn)證通過的條件是:
規(guī)定時限內(nèi)銀行收到并確認(rèn)是由客戶經(jīng)信息通道反饋認(rèn)定數(shù)據(jù)Crd,通過銀行的前置設(shè)備或網(wǎng)絡(luò)操作界面進(jìn)行操作反饋到銀行的認(rèn)定數(shù)據(jù)Drd。
認(rèn)證信息中的否認(rèn)數(shù)據(jù)至少包含了經(jīng)信息通道反饋的否認(rèn)數(shù)據(jù)Dno,以及經(jīng)報警信息通道的報警數(shù)據(jù)Ad,客戶通過通信信道將Dno數(shù)據(jù)反饋到銀行;客戶可通過通信信道將Ad數(shù)據(jù)立即反饋到銀行,通知銀行停止執(zhí)行支付轉(zhuǎn)賬程序,又可通過報警通道報送至相關(guān)安全監(jiān)管部門或監(jiān)管人。
認(rèn)證不通過的條件是:
銀行收到并認(rèn)定是由客戶經(jīng)通信信道反饋的否認(rèn)數(shù)據(jù)Dno:
——有可能是有人利用復(fù)制卡在執(zhí)行支付轉(zhuǎn)賬操作,以及經(jīng)報警信息通道報送至相關(guān)安全監(jiān)管部門或監(jiān)管人的報警數(shù)據(jù)Ad。
在規(guī)定時限內(nèi)銀行沒有收到客戶任何反饋信息:
——有可能是復(fù)制者利用復(fù)制的銀行卡在操作,也有可能是利用丟失、竊取的銀行卡獲取或者猜測到密碼后進(jìn)行的操作。兩種可能的情況下都說明其持卡人沒有真正的銀行卡客戶的通信手段,接收不到銀行發(fā)出的認(rèn)證信息,所以也就無法在規(guī)定的時間內(nèi)向銀行反饋認(rèn)證信息,認(rèn)證不能通過,銀行終止支付轉(zhuǎn)賬程序的執(zhí)行。
銀行收到客戶反饋的認(rèn)定數(shù)據(jù)Crd或Drd不正確:
——有可能是熟悉認(rèn)證過程的入利用復(fù)制卡、竊取卡、丟失卡在銀行設(shè)備上進(jìn)行支付轉(zhuǎn)賬操作做的試探性數(shù)據(jù)輸入,當(dāng)認(rèn)定數(shù)據(jù)是固定的內(nèi)容時這種試探往往能夠湊效。本技術(shù)方案的認(rèn)定數(shù)據(jù)Crd或Drd是隨機(jī)數(shù),每次認(rèn)證信息中的認(rèn)證數(shù)據(jù)都不一樣,用這種試探性數(shù)據(jù)輸入手法在規(guī)定的時限內(nèi)獲得成功的幾率非常小。
認(rèn)證信息反饋過程還有:客戶做反饋操作時超過了預(yù)設(shè)的時限、以及客戶做反饋操作時改正數(shù)據(jù)輸入錯誤的次數(shù)超過了預(yù)設(shè)次數(shù)限制的兩項條件限制,增強(qiáng)了認(rèn)證過程的防偽強(qiáng)度。
本發(fā)明的技術(shù)方案所述的銀行設(shè)備是具備支付轉(zhuǎn)賬支付功能的設(shè)備,其中包含有ATM機(jī)、POS機(jī)、網(wǎng)上銀行操作界面所對應(yīng)的銀行后臺設(shè)備。用戶設(shè)備包含:固定和移動的、有線和無線通訊功能的電子設(shè)備,至少包含手機(jī)、電腦、移動終端設(shè)備、固定/移動轉(zhuǎn)接的裝置。
本發(fā)明的技術(shù)方案所述的支付許可認(rèn)證信息是:短信信息、QQ信息、微信信息、電話電報信息、傳真信息的單項或多項的組合;支付許可數(shù)據(jù)包含轉(zhuǎn)賬支付的賬號、資金額度、提取現(xiàn)金額度和次數(shù);支付許可的驗證碼是固定或隨機(jī)變化數(shù)據(jù):包含了:數(shù)字、字符、字母、文字、算式、答題,還包含有圖形圖像、音視頻的多媒體信息——它們的單個數(shù)據(jù)或多項數(shù)據(jù)的組合。
以上內(nèi)容僅為說明本發(fā)明的技術(shù)思想,不能以此限定本發(fā)明的保護(hù)范圍,凡是按照本發(fā)明提出的技術(shù)思想,在技術(shù)方案基礎(chǔ)上所做的任何改動,均落入本發(fā)明權(quán)利要求書的保護(hù)范圍之內(nèi)。