[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN111476574A - 一种新型安全性ic卡和认证系统及方法 - Google Patents

一种新型安全性ic卡和认证系统及方法 Download PDF

Info

Publication number
CN111476574A
CN111476574A CN202010289998.7A CN202010289998A CN111476574A CN 111476574 A CN111476574 A CN 111476574A CN 202010289998 A CN202010289998 A CN 202010289998A CN 111476574 A CN111476574 A CN 111476574A
Authority
CN
China
Prior art keywords
card
authentication
financial
application
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010289998.7A
Other languages
English (en)
Inventor
陆权
靳浩春
王永建
冷广玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qingdao Xin'an Zhirong Technology Co ltd
Original Assignee
Qingdao Xin'an Zhirong Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qingdao Xin'an Zhirong Technology Co ltd filed Critical Qingdao Xin'an Zhirong Technology Co ltd
Priority to CN202010289998.7A priority Critical patent/CN111476574A/zh
Publication of CN111476574A publication Critical patent/CN111476574A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本发明涉及金融安全领域,具体涉及一种新型安全性IC卡和认证系统及方法。通过在金融IC卡内集成用户安全信息应用,内置客户PKI数字证书和密钥,可与手机端电脑端进行安全通讯,并进行证书认证和数据安全通讯,从而完成用户身份认证和交易认证;在现有的金融IC卡中,加载U‑key应用(APP),用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互,完成客户身份认证、交易认证等功能。

Description

一种新型安全性IC卡和认证系统及方法
技术领域
本发明涉及金融安全领域,具体涉及一种新型安全性IC卡和认证系统及方法。
背景技术
随着互联网的迅速发展,电子交易越来越普及。电子交易的应用包括:电子银行(网上银行、ATM应用、POS应用、电话银行、手机银行、卡支付)、网上证券、第三方支付、电子商城等。各种电子渠道应用对安全性需求都具有共性,都有对用户认证、交易认证的需求;有日志的需求、有访问授权的需求、有风险监控和防范的需求。为了更好地支持各种电子渠道的业务发展和融合,金融机构通常建立了一套适合于所有电子渠道的统一认证平台,来统一处理用户的认证、交易的认证、风险监控和防范、统一的日志等。统一身份认证平台在用户身份认证方式上主要支持:静态口令、动态令牌、证书、生物识别、地理信息、短信认证等认证方式,并支持其他认证方式的扩展。
1、统一身份认证平台功能特性
①作为认证基础设施,为多种电子渠道提供认证服务,如网上银行、手机银行、ATM、POS、电话银行、卡支付等;
②用户的认证工具可以是不同厂商的令牌、USBKEY、刮刮卡、手机短信、静态密码、软件令牌、手机令牌等,可以随着认证技术的发展,不断扩展;
③一种认证工具可以支持多种渠道应用,如动态令牌可以支持手机银行、网上银行、卡支付、ATM、POS以及OA应用等;
④认证服务可以是身份认证、交易认证;
⑤平台的伸缩性结构和扩展模式,可以很好地解决性能升级和灾备的需要;
⑥统一的基于认证的日志管理、归档和分析并保证其安全性;
⑦应用和认证的分离,并利用已有的认证基础设施保证安全性;
⑧为电子渠道应用提供安全认证、授权、交易鉴别和日志的统一管理;
2、移动支付安全解决方案与产品
方案一:移动端数字证书安全解决方案
移动端数字证书安全解决方案(俗称手机银行“软证书”),让客户的手机“变”UKey。进行大额转账操作时,安全验证方式选择手机软证书,录入短信验证码+证书PIN码(如有),传送银行后台认证平台验证通过后,输入账户密码后即完成该笔交易。
方案二:手机音频盾安全解决方案
音频U盾用于在网络环境和手机环境里识别身份的数字证书的硬件载体,也是目前网上银行及手机银行客户端安全级别最高的一种设备。除了适用于电脑,还可连接手机使用,日累计交易额高达500万元,全面保障电脑和手机支付双重安全。交易前,系统将校验U盾内数字证书,证书校验通过后才能继续汇款操作,然后弹出密码输入框,输入密码后并点击“确定”按钮,密码输入正确,校验成功后弹出U盾签名页面,此时音频U盾显示屏上显示交易信息,用户核对交易信息正确无误后按下音频U盾的OK键,签名成功交易完成。
方案三:安全芯片+手机盾安全解决方案
只要搭载了麒麟960、970等芯片的手机,都自带手机盾,例如:华为P9、P10,Mate9、Mate10等。彻底实现在手机端一站式、无实物盾介质的移动支付。通过在手机安全芯片中开辟出了防篡改、防攻击的独立安全区域,并将客户的移动数字证书存放至这个独立安全区域中。虽然看不见摸不到,却在用“芯”保障交易安全。在安全级别上相当于有物理介质的U-key,相比之下,在证书领取、交易安全校验等方面有着更为突出的便捷性优势。因此,“手机盾”能够在大大提升客户交易体验的同时,加强账户安全认证等级,满足客户移动端大额资金交易需求。
3、存在的问题与不足
在安全级别上,移动数字证书非常安全,因为只要不丢失是万无一失的;而手机动态口令、移动口令牌等也很安全,但容易被偷窥;生物识别安全等级最高,但目前尚未全面推广开来。
基于主流的安全支付产品与方案特点,可以看出:现有的电子银行支付安全产品与解决方案存在的主要问题与不足,具体体现在:
安全性差异不大:无论是手机音频盾,还是安全芯片手机盾,都属于物理介质U-key解决方案,整体安全性依赖于外部的硬件设备。
成本优势不明显:U盾、手机音频盾,都需要客户在银行花钱单独购买,代价不菲,而专用的安全芯片手机盾提高了手机用户的使用门槛。
便捷性差、体验不好:客户个人安全信息载体在硬件U-key内,交易时用户必须随身单独携带设备,使用中仍有不便。
通用性差:U盾主要用在网上银行身份认证与交易场景;音频盾主要用于手机支付身份验证环节,产品在支撑场景应用上缺乏通用性。
发明内容
发明的目的:为了提供一种效果更好的新型安全性IC卡和系统及方法,具体目的见具体实施部分的多个实质技术效果。
为了达到如上目的,本发明采取如下技术方案:
一种新型安全性IC卡,其特征在于,通过在金融IC卡内集成用户安全信息应用,内置客户PKI数字证书和密钥,可与手机端电脑端进行安全通讯,并进行证书认证和数据安全通讯,从而完成用户身份认证和交易认证;
在现有的金融IC卡中,加载U-key应用(APP),用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互,完成客户身份认证、交易认证等功能。
本发明进一步技术方案在于,在卡片式本体结构上集成了用于数据交互的NFC模块、安全芯片和用于身份认证的UKey应用模块等;所属安全芯片包括用于存储用户身份认证信息的UKey信息存储区、用于身份信息加解密处理的UKey应用算法区和用于身份信息处理的UKey应用执行区。
本发明进一步技术方案在于,在金融IC卡原有的金融应用和行业应用基础上,创建一个新的安全应用(UKey应用),存放由银行签发的客户个人PKI数字证书、密钥和用户设置的PIN口令等。安全应用与借贷记金融应用共存于一张IC卡中,所有应用采用Applet方式实现,各应用之间相互独立,互不干扰,在应用内部各自遵循自定义的应用流程和安全机制,真正意义上实现了金融IC卡的“一卡多用”。
本发明进一步技术方案在于,所述的IC卡包含射频接口部分、数字电路部分和存储器部分。
本发明进一步技术方案在于,所述的IC卡的安全芯片,所述的安全芯片包含双向无法访问的金融IC卡模块和UKey应用模块,所述的金融IC卡模块包含金融IC数据存储区、金融IC卡执行区、金融应用算法区;其中的金融IC卡执行区能够调用金融应用算法区;UKey应用模块包含UKey应用算法区、UKey应用执行区、UKey信息存储区;UKey应用执行区能够调用UKey应用算法区,UKey应用执行区用来验证数字身份信息,UKey信息存储区能够用来发卡写入数字身份信息。
IC卡集成UKey应用的方法,其特征在于,开始后,卡片认证是发起APDU指令认证请求和金融IC卡双向认证,金融IC卡能返回认证结果;
卡片认证后进入UKey应用Applet注册,发起APDU指令应用注册请求,金融IC卡的安全芯片注册Applet并授权,随后返回注册结果;
UKey应用Applet注册后进入UKey应用写入卡片,发起APDU指令应用创建请求,金融IC卡的安全芯片创建Applet,返回创建结果;
安全芯片创建Applet后建立UKey信息存储区、算法区和执行区,灌入UKey算法;结束。
本发明进一步技术方案在于,还包含如下设计:
应用扩展功能:
Figure BDA0002450039150000041
Figure BDA0002450039150000051
认证后台功能设计:
接入层模块功能设计:
①通讯接入;接收受理渠道发起的交易请求,报文格式如下:
Figure BDA0002450039150000052
②报文解析解密;对报文进行解密,对报文协议和数据进行转换;
③策略检查;调用策略管理模块接口,获取要执行的策略信息;策略信息包括IP策略、时间策略等;如果策略检查未通过,则返回具体错误信息响应报文;
④访问控制检查;检查报文发起对象是否已在身份认证系统注册并开通业务,如果没开通,则流程结束,返回具体错误信息响应报文给受理渠道;
⑤交易转发;交易转发给签约绑定处理模块处理;
安全服务模块功能设计:
①检查IC卡介质签约是否绑定;获取介质签约绑定信息,如果记录不存在,则流程结束,
返回具体错误信息响应报文给受理渠道;
②检查证书状态;获取证书状态和有效性,如果证书状态非正常,则流程结束,返回具体错误信息响应报文给受理渠道;
③身份认证;调用基础服务调度模块签名验证接口,进行验签,如果验签不成功,则流程结束,返回具体错误信息响应报文给受理渠道;
④日志处理;调用审计监控模块存储身份信息比对相关日志信息;
⑤返回信息加密签名:签名验证结束,返回;
后台管理模块功能设计:
审计监控模块是一个为了便于统计分析,实时监控的辅助模块;该模块应能够实时展现IC卡认证请求次数、认证所使用介质设备和认证结果等内容;
交易策略模块主要体现了身份认证的业务规则,我们将业务规则作为策略进行管理;抽象的策略类型包括:渠道接入策略、介质策略、认证策略、口令策略和其他策略等;
卡管理模块是建立客户与电子渠道开通“银行卡”认证方式的绑定关系维护;通过此基础数据,在客户身份认证时,用以判断客户是否已签约;
日志审计模块主要用于客户身份认证交易信息的采集与事后分析。
基于金融IC卡的身份认证系统,其特征在于,整个系统分为安全介质、受理渠道和认证后台三层;
安全介质层作为用户身份安全信息的载体,在金融IC卡原有的金融应用和行业应用基础上,创建一个新的安全应用,存放由银行签发的个人PKI数字证书、密钥和用户设置的PIN口令等,提供用于交易环节进行证书验证、口令认证和交易签名等功能;
受理渠道层为安全介质层提供管理和业务两个方面的服务接口调用,同时将身份认证信息、签名信息和加密信息转接认证后台层进行安全认证,并返回认证结果交易完成;
认证后台层为受理渠道层如手机银行、网上银行等提供统一的身份认证服务,主要实现统一认证管理、安全介质管理、签名验签、PIN口令验证和统一监控审计等功能。
一种基于金融IC卡的身份认证方法,其特征在于,包含如下模式之一:第一:柜面签约流程:
客户去银行网点办理IC卡业务,并提交个人基本资料;
柜员根据办理业务类型,进行不同的受理操作;
如果是客户首次开户领卡,需要即时制卡,进行卡片的初始化与应用数据写入;IC卡内写入个人化的金融应用和行业应用数据;
柜员通过IC卡读写程序,发起指令,通过金融IC卡内置安全应用程序,生成公私钥对,并存于IC卡内;
柜员通过IC卡读写程序,发起指令,读取IC卡内公钥,并通过身份认证系统签发个人PKI数字证书,并写入IC卡内,IC卡内原有的公钥信息无需做保留;用户输入卡片口令,通过设置客户个人PIN(口令),写入IC卡内;
柜员为客户签约开通客户在电子渠道支持“银行卡”认证方式;
客户领取金融IC卡,业务办理结束;
第二:手机银行认证流程:
客户在手机应用端发起银行卡认证请求;
选定手机应用;
选择银行卡认证;
输入口令,通过手机自带的NFC功能扫码银行卡,进行PIN码验证;
PIN码验证通过后,手机应用发起指令调用金融IC卡对客户交易信息进行签名;并将公钥证书和签名信息发送金融IC卡身份认证系统进行认证;
身份认证系统检查IC卡签约绑定关系,如果已签约,进行证书状态检查、证书认证和签名信息验签;
身份认证系统验证证书和签名信息后,返回认证结果,并对返回信息进行加密签名;
客户通过手机应用查看认证结果,身份认证结束;
第三:网上银行认证流程说明:
客户在网上银行客户端发起银行卡认证请求;
选定网上银行客户端应用;
选择银行卡认证;
输入口令,通过第三方读卡器读写银行卡,进行PIN码验证;
PIN码验证通过后,网上银行客户端发起指令调用金融IC卡对客户交易信息进行签名;
并将公钥证书和签名信息发送金融IC卡身份认证系统进行认证;
身份认证系统检查IC卡签约绑定关系,如果已签约,进行证书状态检查、证书认证和签名信息验签;
身份认证系统验证证书和签名信息后,返回认证结果,并对返回信息进行加密签名;
客户通过网上银行客户端应用查看认证结果,身份认证结束。
一种新的身份认证的方法,其特征在于,“银行卡”方式;客户在银行柜台领卡时开通“银行卡“认证方式,即可实现大额转账;满足了客户多样化的认证需求与灵活选择;
提供通用的解决方案,支持手机银行、网上银行和POS结算等支付结算场景;操作更便捷,无需借助其他外设,一卡在手,支付畅通,提升了客户使用的安全性、便捷性与实用性,带给客户全新的使用体验。
采用如上技术方案的本发明,相对于现有技术有如下有益效果:本发明在充分借鉴主流安全支付产品与技术优势的基础上,充分发掘银行发行的金融IC卡的体积小、容量大、安全性高、可靠性强、寿命长、可脱机使用、支持非接触使用等诸多特征,将金融应用、行业应用与安全应用集成于一卡,既能满足金融IC卡一卡多应用的业务场景需求,如支付、转账、公交地铁扣款等,又能发挥金融IC卡安全保密性好适用于强身份认证与交易认证安全需求。通过在金融IC卡内集成用户安全信息应用,内置客户个人PKI数字证书和密钥,可与手机端电脑端进行安全通讯,并进行证书认证和数据安全通讯,从而完成用户身份认证和交易认证。
本发明设计独到匠心之处在于:一改传统的依赖于专有的安全设备,充分发挥金融IC卡的体积小、容量大、安全性高、可靠性强、寿命长、可脱机使用、支持非接触使用等诸多特征,通过金融IC卡内置的客户身份信息,满足客户在移动端或电脑端开展金融业务时,无需借助其他设备手段,即可完成客户身份鉴别、银行卡识别、账户查询、支付与转账等业务。以低成本、便捷性、高安全性和极佳用户体验来保障客户资产的安全性,进而提升了银行客户的粘度与忠诚度。本发明明显优势体现在以下几个方面:
安全可靠性能有保障。客户个人安全信息载体由硬件U-key换成了金融IC卡,安全效果与硬件U盾一样,保障了客户在电子银行交易时,交易安全性和账户资金的安全性;同时基于国产密码算法,在安全芯片算法上进行了大幅度的优化,性能不差于甚至优于硬件U-key串行通讯模式;
认证方式扩展与多样化。在现有的电子银行客户认证手段,如人脸、手机盾、令牌等认证方式中增加一种新的身份认证方式:银行卡方式;客户在银行柜台领卡时开通“银行卡“认证方式,即可实现大额转账;满足了客户多样化的认证需求与灵活选择;
便捷易用。提供通用的解决方案,支持手机银行、网上银行和POS结算等支付结算场景;操作更便捷,无需借助其他外设,一卡在手,支付畅通,提升了客户使用的安全性、便捷性与实用性,带给客户全新的使用体验;
经济实惠。开通业务时不需要客户支付任何费用;使用免费,办理电子银行业务手续相比柜台均有不同程度折扣和优惠(如转账汇款,申购基金等)。
附图说明
为了进一步说明本发明,下面结合附图进一步进行说明:
图1为本发明的整体系统示意图;
图2为柜面签约流程图;
图3为手机银行认证流程;
图4为网上银行认证流程;
图5为本发明的金融IC卡结构示意图;
图6为本发明的安全芯片的内部结构图;
图7为UKey应用(Applet)设计图;
图8为IC卡集成UKey应用基本原理;
图9为数字身份信息灌入IC卡的流程示意图。
具体实施方式
下面结合附图和具体实施方式,进一步阐明本发明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本专利提供多种并列方案,不同表述之处,属于基于基本方案的改进型方案或者是并列型方案。每种方案都有自己的独特特点。
本发明的基本原理是利用银行发行的金融IC卡体积较小、安全保密好、可靠性高、客户一般随身携带的特点,通过在现有的金融IC卡中,加载U-key应用(APP),用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互,完成客户身份认证、交易认证等功能。作为电子银行安全认证手段的补充与实践,一方面摒弃了传统的依赖专有设备USBKey,另一方面充分发挥了金融IC卡一卡多应用安全优势,实现客户交易环节的强身份认证与使用的便捷性安全性目标。
基于总体设计模型图,构建了一个基于金融IC卡的身份认证系统。整个系统分为安全介质、受理渠道和认证后台三层。
安全介质层作为用户身份安全信息的载体,在金融IC卡原有的金融应用和行业应用基础上,创建一个新的安全应用,存放由银行签发的个人PKI数字证书、密钥和用户设置的PIN口令等,提供用于交易环节进行证书验证、口令认证和交易签名等功能。
受理渠道层为安全介质层提供管理和业务两个方面的服务接口调用,同时将身份认证信息、签名信息和加密信息转接认证后台层进行安全认证,并返回认证结果交易完成。
认证后台层为受理渠道层如手机银行、网上银行等提供统一的身份认证服务,主要实现统一认证管理、安全介质管理、签名验签、PIN口令验证和统一监控审计等功能。
3、系统实现
3.1流程设计
3.1.1柜面签约流程图
签约流程设计说明:
①客户去银行网点办理IC卡业务,并提交个人基本资料;
②柜员根据办理业务类型,进行不同的受理操作;
③如果是客户首次开户领卡,需要即时制卡,进行卡片的初始化与应用数据写入。IC卡内写入个人化的金融应用和行业应用数据;
④柜员通过IC卡读写程序,发起指令,通过金融IC卡内置安全应用程序,生成公私钥对,并存于IC卡内;
⑤柜员通过IC卡读写程序,发起指令,读取IC卡内公钥,并通过身份认证系统签发个人PKI数字证书,并写入IC卡内,IC卡内原有的公钥信息无需做保留;
⑥用户输入卡片口令,通过设置客户个人PIN(口令),写入IC卡内;
⑦柜员为客户签约开通客户在电子渠道支持“银行卡”认证方式;
⑧客户领取金融IC卡,业务办理结束。
3.1.2认证流程图
手机银行认证流程:
①客户在手机应用端发起银行卡认证请求。
选定手机应用;
选择银行卡认证;
输入口令,通过手机自带的NFC功能扫码银行卡,进行PIN码验证。
②PIN码验证通过后,手机应用发起指令调用金融IC卡对客户交易信息进行签名。并将公钥证书和签名信息发送金融IC卡身份认证系统进行认证。
③身份认证系统检查IC卡签约绑定关系,如果已签约,进行证书状态检查、证书认证和签名信息验签;
④身份认证系统验证证书和签名信息后,返回认证结果,并对返回信息进行加密签名;
⑤客户通过手机应用查看认证结果,身份认证结束。
网上银行认证流程
⑥客户在网上银行客户端发起银行卡认证请求。
选定网上银行客户端应用;
选择银行卡认证;
输入口令,通过第三方读卡器读写银行卡,进行PIN码验证。
⑦PIN码验证通过后,网上银行客户端发起指令调用金融IC卡对客户交易信息进行签名。
并将公钥证书和签名信息发送金融IC卡身份认证系统进行认证。
⑧身份认证系统检查IC卡签约绑定关系,如果已签约,进行证书状态检查、证书认证和签名信息验签;
⑨身份认证系统验证证书和签名信息后,返回认证结果,并对返回信息进行加密签名;
⑩客户通过网上银行客户端应用查看认证结果,身份认证结束。
3.2功能模块设计
3.2.1IC卡结构设计
遵循标准与规范
√ISO/IEC 7816-1/2/3/4
√中国金融集成电路(IC)卡规范3.0版本
√金融行业开发规范
√金融行业安全规范
√金融IC卡相关规范
本发明的IC卡内应用
在金融IC卡原有的金融应用和行业应用基础上,创建一个新的安全应用(UKey应用),存放由银行签发的客户个人PKI数字证书、密钥和用户设置的PIN口令等。安全应用与借贷记金融应用共存于一张IC卡中,所有应用采用Applet方式实现,各应用之间相互独立,互不干扰,在应用内部各自遵循自定义的应用流程和安全机制,真正意义上实现了金融IC卡的“一卡多用”。
3.2.2IC卡集成UKey应用设计
UKey应用(Applet)设计
UKey应用Applet负责接收处理外部发起的APDU指令,当终端发送一个命令给卡片时,卡片系统运行环境JCRE调用UKey应用Applet的process()方法,该方法执行时,将根据传入对象中存储的命令头相关字节来判断该命令为何种命令,并当该命令有输入数据时,调用APDU类中定义的接收方法来接收该命令数据,从而得到完整的命令数据;如果是Applet返回数据给终端,Applet将再次填充APDU通信缓冲区数组,并再次调用APDU类定义的发送方法,卡片系统运行环境JCRE就会将输出数据发送到终端。
UKey应用Applet的数据结构设计如下:
TAG TAG名称 TAG域 TAG值
UK11 个人公钥证书 安全应用区
UK12 个人私钥 安全应用区
UK13 PIN口令 安全应用区
3.2.3受理渠道客户端应用扩展功能设计
Figure BDA0002450039150000131
Figure BDA0002450039150000141
3.2.4认证后台功能设计
接入层模块功能设计
通讯接入。接收受理渠道发起的交易请求,报文格式如下:
Figure BDA0002450039150000142
报文解析解密。对报文进行解密,对报文协议和数据进行转换。
策略检查。调用策略管理模块接口,获取要执行的策略信息。策略信息包括IP策略、时间策略等。如果策略检查未通过,则返回具体错误信息响应报文。
访问控制检查。检查报文发起对象是否已在身份认证系统注册并开通业务,如果没开通,则流程结束,返回具体错误信息响应报文给受理渠道。
交易转发。交易转发给签约绑定处理模块处理。
安全服务模块功能设计
检查IC卡介质签约是否绑定。获取介质签约绑定信息,如果记录不存在,则流程结束,返回具体错误信息响应报文给受理渠道。
检查证书状态。获取证书状态和有效性,如果证书状态非正常,则流程结束,返回具体错误信息响应报文给受理渠道。
身份认证。调用基础服务调度模块签名验证接口,进行验签,如果验签不成功,则流程结束,返回具体错误信息响应报文给受理渠道。
日志处理。调用审计监控模块存储身份信息比对相关日志信息。
返回信息加密签名,签名验证结束,返回。
后台管理模块功能设计
审计监控模块是一个为了便于统计分析,实时监控的辅助模块。该模块应能够实时展现IC卡认证请求次数、认证所使用介质设备和认证结果等内容。
交易策略模块主要体现了身份认证的业务规则,我们将业务规则作为策略进行管理。抽象的策略类型包括:渠道接入策略、介质策略、认证策略、口令策略和其他策略等。
卡管理模块是建立客户与电子渠道开通“银行卡”认证方式的绑定关系维护。通过此基础数据,在客户身份认证时,用以判断客户是否已签约。
日志审计模块主要用于客户身份认证交易信息的采集与事后分析。
本发明是在充分借鉴主流安全支付产品与技术优势的基础上,充分发掘银行发行的金融IC卡的体积小、容量大、安全性高、可靠性强、寿命长、可脱机使用、支持非接触使用等诸多特征,将金融应用、行业应用与安全应用集成于一卡,既能满足金融IC卡一卡多应用的业务场景需求,如支付、转账、公交地铁扣款等,又能发挥金融IC卡安全保密性好适用于强身份认证与交易认证安全需求。通过在金融IC卡内集成用户安全信息应用,内置客户PKI数字证书和密钥,可与手机端电脑端进行安全通讯,并进行证书认证和数据安全通讯,从而完成用户身份认证和交易认证。
客户个人安全信息载体由硬件U-key换成了金融IC卡,在卡片式本体结构上集成了用于数据交互的NFC模块、安全芯片和用于身份认证的UKey应用模块等;其特征在于:所属安全芯片包括用于存储用户身份认证信息的UKey信息存储区、用于身份信息加解密处理的UKey应用算法区和用于身份信息处理的UKey应用执行区。
在现有的电子银行客户认证手段中,增加一种新的身份认证方式:“银行卡”方式;客户在银行柜台领卡时开通“银行卡“认证方式,即可实现大额转账;满足了客户多样化的认证需求与灵活选择;
提供通用的解决方案,支持手机银行、网上银行和POS结算等支付结算场景;操作更便捷,无需借助其他外设,一卡在手,支付畅通,提升了客户使用的安全性、便捷性与实用性,带给客户全新的使用体验。
总的来说,本专利:
公开了一种基于金融IC卡的客户身份认证系统及方法,目的是从保障电子银行交易安全性,同时提升用户体验度两个角度出发,创新性提出了一种新型的互联网金融支付安全解决方案,即通过在银行发行的金融IC卡内置U-key功能实现安全支付,进而构建一种基于金融IC卡的新型身份认证机制。
本专利充分利用银行发行的金融IC卡具备一卡多用的革命性优势,安全保密性好、“闪付”快捷消费等特点,通过在金融IC卡内集成用户安全信息应用,内置客户PKI数字证书和密钥,可与手机端电脑端进行安全通讯,并进行证书认证和数据安全通讯,从而完成用户身份认证和交易认证。
本专利设计独到匠心之处在于:一改传统的依赖于专有的安全设备,如USBKey、手机盾等,充分发挥金融IC卡的体积小、容量大、安全性高、可靠性强、寿命长、可脱机使用、支持非接触使用等诸多特征,通过金融IC卡内置的客户身份信息,满足客户在移动端或电脑端开展金融业务时,无需借助其他设备手段,即可完成客户身份鉴别、银行卡识别、账户查询、支付与转账等业务。以低成本、便捷性、高安全性和极佳用户体验来保障客户资产的安全性,进而提升了银行客户的粘度与忠诚度。
本专利还可结合区块链技术,解决区块链技术缺乏数字证书机制以及无很好移动终端支撑方案等问题。人手一张银行卡,利用本发明,可满足未来区块链国家战略中身份鉴别、交易签名等关键性技术。
金融支付业务的蓬勃发展,同时面临着各种安全缺陷与漏洞,各类风险案件呈现高发态势,对于客户资金安全、电子支付市场稳定乃至金融安全造成了一定影响。本发明从客户身份认证、交易安全、资金安全和用户体验角度,提出了一种全新的身份认证方式,通过强化金融科技对安全支付产品进行创新,以低成本、便捷性、高安全性和极佳用户体验来保障客户资产的安全性,进而提升了银行客户的粘度与忠诚度。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本领域的技术人员应该了解本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的范围内。

Claims (10)

1.一种新型安全性IC卡,其特征在于,通过在金融IC卡内集成用户安全信息应用,内置客户PKI数字证书和密钥,可与手机端电脑端进行安全通讯,并进行证书认证和数据安全通讯,从而完成用户身份认证和交易认证;
在现有的金融IC卡中,加载U-key应用(APP),用户交易时通过手机银行APP(利用手机的NFC功能)或电脑端身份认证控件(利用读卡器)与金融IC卡与进行交互,完成客户身份认证、交易认证等功能。
2.如权利要求1所述的一种新型安全性IC卡,其特征在于,在卡片式本体结构上集成了用于数据交互的NFC模块、安全芯片和用于身份认证的UKey应用模块等;所属安全芯片包括用于存储用户身份认证信息的UKey信息存储区、用于身份信息加解密处理的UKey应用算法区和用于身份信息处理的UKey应用执行区。
3.如权利要求1所述的一种新型安全性IC卡,其特征在于,在金融IC卡原有的金融应用和行业应用基础上,创建一个新的安全应用(UKey应用),存放由银行签发的客户个人PKI数字证书、密钥和用户设置的PIN口令等;安全应用与借贷记金融应用共存于一张IC卡中,所有应用采用Applet方式实现,各应用之间相互独立,互不干扰,在应用内部各自遵循自定义的应用流程和安全机制,真正意义上实现了金融IC卡的“一卡多用”。
4.如权利要求1所述的一种新型安全性IC卡,其特征在于,所述的IC卡包含射频接口部分、数字电路部分和存储器部分。
5.如权利要求1所述的一种新型安全性IC卡,其特征在于,所述的IC卡的安全芯片,所述的安全芯片包含双向无法访问的金融IC卡模块和UKey应用模块,所述的金融IC卡模块包含金融IC数据存储区、金融IC卡执行区、金融应用算法区;其中的金融IC卡执行区能够调用金融应用算法区;UKey应用模块包含UKey应用算法区、UKey应用执行区、UKey信息存储区;UKey应用执行区能够调用UKey应用算法区,UKey应用执行区用来验证数字身份信息,UKey信息存储区能够用来发卡写入数字身份信息。
6.IC卡集成UKey应用的方法,其特征在于,开始后,卡片认证是发起APDU指令认证请求和金融IC卡双向认证,金融IC卡能返回认证结果;
卡片认证后进入UKey应用Applet注册,发起APDU指令应用注册请求,金融IC卡的安全芯片注册Applet并授权,随后返回注册结果;
UKey应用Applet注册后进入UKey应用写入卡片,发起APDU指令应用创建请求,金融IC卡的安全芯片创建Applet,返回创建结果;
安全芯片创建Applet后建立UKey信息存储区、算法区和执行区,灌入UKey算法;结束。
7.如权利要求6所述的IC卡集成UKey应用的方法,其特征在于,还包含如下设计:
7.1应用扩展功能:
Figure FDA0002450039140000021
7.2认证后台功能设计:
◆接入层模块功能设计
通讯接入:接收受理渠道发起的交易请求,报文格式如下:
Figure FDA0002450039140000022
Figure FDA0002450039140000031
报文解析解密;对报文进行解密,对报文协议和数据进行转换;
策略检查:调用策略管理模块接口,获取要执行的策略信息;策略信息包括IP策略、时间策略等;如果策略检查未通过,则返回具体错误信息响应报文;
访问控制检查:检查报文发起对象是否已在身份认证系统注册并开通业务,如果没开通,则流程结束,返回具体错误信息响应报文给受理渠道;
交易转发:交易转发给签约绑定处理模块处理;
◆安全服务模块功能设计:
检查IC卡介质签约是否绑定:获取介质签约绑定信息,如果记录不存在,则流程结束,返回具体错误信息响应报文给受理渠道;
检查证书状态:获取证书状态和有效性,如果证书状态非正常,则流程结束,返回具体错误信息响应报文给受理渠道;
身份认证:调用基础服务调度模块签名验证接口,进行验签,如果验签不成功,则流程结束,返回具体错误信息响应报文给受理渠道;
日志处理:调用审计监控模块存储身份信息比对相关日志信息;返回信息加密签名,签名验证结束,返回;
◆后台管理模块功能设计:
审计监控模块:是一个为了便于统计分析,实时监控的辅助模块;该模块应能够实时展现IC卡认证请求次数、认证所使用介质设备和认证结果等内容;
交易策略模块:主要体现了身份认证的业务规则,我们将业务规则作为策略进行管理;抽象的策略类型包括:渠道接入策略、介质策略、认证策略、口令策略和其他策略等;
卡管理模块:是建立客户与电子渠道开通“银行卡”认证方式的绑定关系维护;通过此基础数据,在客户身份认证时,用以判断客户是否已签约;
日志审计模块:主要用于客户身份认证交易信息的采集与事后分析。
8.基于金融IC卡的身份认证系统,其特征在于,整个系统分为安全介质、受理渠道和认证后台三层;
安全介质层作为用户身份安全信息的载体,在金融IC卡原有的金融应用和行业应用基础上,创建一个新的安全应用,存放由银行签发的个人PKI数字证书、密钥和用户设置的PIN口令等,提供用于交易环节进行证书验证、口令认证和交易签名等功能;
受理渠道层为安全介质层提供管理和业务两个方面的服务接口调用,同时将身份认证信息、签名信息和加密信息转接认证后台层进行安全认证,并返回认证结果交易完成;
认证后台层为受理渠道层如手机银行、网上银行等提供统一的身份认证服务,主要实现统一认证管理、安全介质管理、签名验签、PIN口令验证和统一监控审计等功能。
9.一种基于金融IC卡的身份认证方法,其特征在于,包含如下模式之一:
第一:柜面签约流程:
客户去银行网点办理IC卡业务,并提交个人基本资料;
柜员根据办理业务类型,进行不同的受理操作;
如果是客户首次开户领卡,需要即时制卡,进行卡片的初始化与应用数据写入;IC卡内写入个人化的金融应用和行业应用数据;
柜员通过IC卡读写程序,发起指令,通过金融IC卡内置安全应用程序,生成公私钥对,并存于IC卡内;
柜员通过IC卡读写程序,发起指令,读取IC卡内公钥,并通过身份认证系统签发个人PKI数字证书,并写入IC卡内,IC卡内原有的公钥信息无需做保留;用户输入卡片口令,通过设置客户个人PIN(口令),写入IC卡内;
柜员为客户签约开通客户在电子渠道支持“银行卡”认证方式;
客户领取金融IC卡,业务办理结束;
第二:手机银行认证流程:
客户在手机应用端发起银行卡认证请求;
选定手机应用;
选择银行卡认证;
输入口令,通过手机自带的NFC功能扫码银行卡,进行PIN码验证;
PIN码验证通过后,手机应用发起指令调用金融IC卡对客户交易信息进行签名;并将公钥证书和签名信息发送金融IC卡身份认证系统进行认证;
身份认证系统检查IC卡签约绑定关系,如果已签约,进行证书状态检查、证书认证和签名信息验签;
身份认证系统验证证书和签名信息后,返回认证结果,并对返回信息进行加密签名;
客户通过手机应用查看认证结果,身份认证结束;
第三:网上银行认证流程说明:
客户在网上银行客户端发起银行卡认证请求;
选定网上银行客户端应用;
选择银行卡认证;
输入口令,通过第三方读卡器读写银行卡,进行PIN码验证;
PIN码验证通过后,网上银行客户端发起指令调用金融IC卡对客户交易信息进行签名;
并将公钥证书和签名信息发送金融IC卡身份认证系统进行认证;
身份认证系统检查IC卡签约绑定关系,如果已签约,进行证书状态检查、证书认证和签名信息验签;
身份认证系统验证证书和签名信息后,返回认证结果,并对返回信息进行加密签名;
客户通过网上银行客户端应用查看认证结果,身份认证结束。
10.一种新的身份认证的方法,其特征在于,“银行卡”方式;客户在银行柜台领卡时开通“银行卡“认证方式,即可实现大额转账;满足了客户多样化的认证需求与灵活选择;
提供通用的解决方案,支持手机银行、网上银行和POS结算等支付结算场景;操作更便捷,无需借助其他外设,一卡在手,支付畅通,提升了客户使用的安全性、便捷性与实用性,带给客户全新的使用体验。
CN202010289998.7A 2020-04-14 2020-04-14 一种新型安全性ic卡和认证系统及方法 Pending CN111476574A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010289998.7A CN111476574A (zh) 2020-04-14 2020-04-14 一种新型安全性ic卡和认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010289998.7A CN111476574A (zh) 2020-04-14 2020-04-14 一种新型安全性ic卡和认证系统及方法

Publications (1)

Publication Number Publication Date
CN111476574A true CN111476574A (zh) 2020-07-31

Family

ID=71751944

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010289998.7A Pending CN111476574A (zh) 2020-04-14 2020-04-14 一种新型安全性ic卡和认证系统及方法

Country Status (1)

Country Link
CN (1) CN111476574A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112785302A (zh) * 2020-12-30 2021-05-11 成都质数斯达克科技有限公司 报文统计方法、装置、电子设备及可读存储介质
CN113360885A (zh) * 2021-06-25 2021-09-07 深圳市雪球科技有限公司 安全芯片的访问方法和装置
CN113850588A (zh) * 2021-09-09 2021-12-28 中金金融认证中心有限公司 基于芯片银行卡进行身份认证的方法和其相关产品
WO2023033808A1 (en) * 2021-08-31 2023-03-09 Visa International Service Association Efficient interaction processing using secret
CN115941833A (zh) * 2022-11-21 2023-04-07 深圳市雪球科技有限公司 一种开通交通卡优化的方法、系统、设备及存储介质
CN117010897A (zh) * 2023-08-02 2023-11-07 深圳市微云信众技术有限公司 移动支付安全检测方法及其系统
CN117252232A (zh) * 2023-11-17 2023-12-19 金邦达有限公司 智能卡及卡体鉴别保护方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090198618A1 (en) * 2008-01-15 2009-08-06 Yuen Wah Eva Chan Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce
CN102710611A (zh) * 2012-05-11 2012-10-03 福建联迪商用设备有限公司 网络安全身份认证方法和系统
CN103413244A (zh) * 2013-07-29 2013-11-27 北京握奇数据系统有限公司 一种移动安全金融终端和金融交易方法
WO2014121603A1 (zh) * 2013-02-06 2014-08-14 厦门盛华电子科技有限公司 一种基于移动支付多通道数字认证的手机用户识别卡
CN104123645A (zh) * 2014-07-15 2014-10-29 北京金科联信数据科技有限公司 基于金融安全认证的移动互联网智能支付终端及支付系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090198618A1 (en) * 2008-01-15 2009-08-06 Yuen Wah Eva Chan Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce
CN102710611A (zh) * 2012-05-11 2012-10-03 福建联迪商用设备有限公司 网络安全身份认证方法和系统
WO2014121603A1 (zh) * 2013-02-06 2014-08-14 厦门盛华电子科技有限公司 一种基于移动支付多通道数字认证的手机用户识别卡
US20160110706A1 (en) * 2013-02-06 2016-04-21 Xiamen Elite Electric Co., Ltd. Mobile phone subscriber identity card based on multichannel digital authentication of mobile payment
CN103413244A (zh) * 2013-07-29 2013-11-27 北京握奇数据系统有限公司 一种移动安全金融终端和金融交易方法
CN104123645A (zh) * 2014-07-15 2014-10-29 北京金科联信数据科技有限公司 基于金融安全认证的移动互联网智能支付终端及支付系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112785302A (zh) * 2020-12-30 2021-05-11 成都质数斯达克科技有限公司 报文统计方法、装置、电子设备及可读存储介质
CN113360885A (zh) * 2021-06-25 2021-09-07 深圳市雪球科技有限公司 安全芯片的访问方法和装置
CN113360885B (zh) * 2021-06-25 2024-04-19 深圳市雪球科技有限公司 安全芯片的访问方法和装置
WO2023033808A1 (en) * 2021-08-31 2023-03-09 Visa International Service Association Efficient interaction processing using secret
CN113850588A (zh) * 2021-09-09 2021-12-28 中金金融认证中心有限公司 基于芯片银行卡进行身份认证的方法和其相关产品
CN115941833A (zh) * 2022-11-21 2023-04-07 深圳市雪球科技有限公司 一种开通交通卡优化的方法、系统、设备及存储介质
CN117010897A (zh) * 2023-08-02 2023-11-07 深圳市微云信众技术有限公司 移动支付安全检测方法及其系统
CN117252232A (zh) * 2023-11-17 2023-12-19 金邦达有限公司 智能卡及卡体鉴别保护方法
CN117252232B (zh) * 2023-11-17 2024-06-11 金邦达有限公司 智能卡及卡体鉴别保护方法

Similar Documents

Publication Publication Date Title
CN111476574A (zh) 一种新型安全性ic卡和认证系统及方法
AU2007261082B2 (en) Portable consumer device verification system
JP5608081B2 (ja) 安全な金融取引を行うための装置および方法
KR101015341B1 (ko) 온라인 지불인 인증 서비스
AU2001257280B2 (en) Online payer authentication service
CN202210326U (zh) 一种带键盘的个人支付终端
US20120030121A1 (en) Secure activation before contactless banking smart card transaction
US20020194128A1 (en) System and method for secure reverse payment
US20020184500A1 (en) System and method for secure entry and authentication of consumer-centric information
CN107230068B (zh) 使用可视数字货币芯片卡支付数字货币的方法和系统
JPH11328295A (ja) スマ―トカ―ドを用いて金融取引を実施するためのシステム
KR20010025234A (ko) 지문정보를 이용한 카드거래 인증방법 및 그 시스템
AU2001257280A1 (en) Online payer authentication service
CN110555683A (zh) 虚拟货币与法定货币服务整合平台
US20020095580A1 (en) Secure transactions using cryptographic processes
US20030187784A1 (en) System and method for mid-stream purchase of products and services
CN106330888B (zh) 一种保证互联网线上支付安全性的方法及装置
US20020073315A1 (en) Placing a cryptogram on the magnetic stripe of a personal transaction card
WO2023241381A1 (zh) 跨境支付方法、装置及设备
TW200917140A (en) A wireless communication transaction system and method using a wireless card reader
TWI464699B (zh) And a payment system and a method for trading with an ID card containing an IC card
KR20020061084A (ko) 무선기기를 이용한 결제 시스템 및 방법
KR101158441B1 (ko) 무선발급시스템 및 이를 이용한 보안처리방법
KR20090073063A (ko) 제휴 아이씨 카드를 이용한 비대면 금융거래 시스템
KR20090002006A (ko) 제휴 아이씨 카드를 이용한 비대면 금융거래 방법 및시스템과 이를 위한 기록매체

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200731

WD01 Invention patent application deemed withdrawn after publication