一種安全系統及方法

2023-06-14 14:56:26

專利名稱：一種安全系統及方法
技術領域：
本發明屬於信息安全領域。本發明涉及的是一種安全支付的系統及方法。具體地 說，涉及一種可以在可能不安全的聯網計算機客戶端上安全支付的系統及方法。
背景技術：
網絡銀行由於其巨大的方便性，受到大家的普遍重視。但是，由於其安全性沒有得 到很好地解決，所以並沒有得到很好地普及。為此，業界提出了大量的專利及非常多的解 決方案。但是所有這些方案都沒能達到安全與易用性的完美統一。在《計算機世界報》一 篇文章「SSL難保電子商務安全」(計算機世界報2006年05月四日)中，描述了現在計 算機木馬攻擊銀行系統的進展及各種對抗方法，具體內容可以參見本發明人的專利申請文 件(ZL200610041361. 6 一種不依賴作業系統安全的安全使用網絡伺服器服務的裝置和方 法)。事實上這些木馬攻擊，加以改造甚至可以攻破現在銀行認為最安全的USBKEY數字證 書系統。申請人認為，造成這種情況的根本原因是，用戶無法準確判斷計算機終端是否處於 安全狀態。而計算機終端不安全時，任何需要計算機終端提供最基本安全保證的方案，實際 上都可能不安全。例如，一般計算機終端用戶所相信的自己敲擊的鍵盤及計算機終端屏幕的顯示都 可能有安全問題。例如，當用戶希望給張三支付300元，計算機終端顯示支付張三300元， 並要求用戶確認籤名；用戶可以使用包括數字籤名或支付密碼等各種確認手段；但是，實 際上是計算機木馬要求用戶確認給李四支付十萬元。造成這種不安全的根本原因是，當計 算機終端不安全時，所有你在計算機終端上看到的信息可能都不真實。目前黑客攻擊的主要手段是中間人攻擊，將來還有模擬操作攻擊及視覺詐騙攻 擊。模擬操作攻擊就是，當計算機用戶把USBKEY數字證書插入計算機準備進行交易時，木 馬採取模擬用戶鍵盤及滑鼠的操作實施攻擊如，修改交易對象、修改交易價格、修改交易 數量。視覺詐騙攻擊是模擬操作攻擊的高級方式，可以修改IE的URL，甚至當用戶輸入正確 的URL時，木馬程序讓IE顯示正確的URL，但是內部的URL是詐騙者的地址，模擬銀行網站 實施詐騙。現在有很多安全人員，把以上提到的攻擊網絡銀行計算機客戶端的方法用其他 兩個詞來定義「機器劫持」和「數據篡改」。或者，用「所見非所籤」表示該種不安全狀態； 用「所見即所籤」表示希望達到的安全目的。關於計算機終端安全的最原始的專利申請是「計算機系統中用於安全交易的方法 和系統」(中國專利申請CN99806523. 4)。該方案就是採用另一臺可信計算機來解決聯網計 算機終端的不可信問題，即使用不可信聯網計算機終端和一個可信計算機組成系統來解決 安全問題。隨著技術的進步，可信計算機的主機(CPU)越來越便宜。由於便攜的要求及儘量 不改變人們使用計算機終端習慣的要求，使人們提出了很多改進的技術方案。例如，目前普 遍使用的USBKEY證書，實質就是「計算機系統中用於安全交易的方法和系統」方案中，取消 可信鍵盤及可信顯示器的可信計算機方案。也可以說USBKEY就是沒有鍵盤及顯示器的可信計算機。這個方案雖然滿足了便攜及儘量不改變人們使用計算機終端習慣的要求，但是 降低了安全性。也就是說該方案不能保證計算機鍵盤輸入的不被篡改，也不能保證顯示屏 幕上顯示數據的準確性。當然USBKEY還是應該具有CPU、顯示器及鍵盤，這樣才能構成一個完整的可信計 算機，符合「計算機系統中用於安全交易的方法和系統」(中國專利申請CN99806523.4)中 可信計算機的要求。但是，這樣的USBKEY不易攜帶，所以必須對顯示器及鍵盤進行簡化。工 行的第二代U盾，把顯示器簡化成只顯示一行，依靠移動行來顯示完整的信息；鍵盤簡化成 五個鍵，並通過複雜的方式輸入敏感數據(PIN)。該產品在帶來安全性的同時，極大地損失 了方便性及易用性。目前，國際信用卡組織的新信用卡標準的EMV卡也是只有CPU的卡，本質上與 USBKEY完全一致。USBKEY數字證書目前是網上銀行應用十分廣泛且比較安全方式，比如網 銀盾、U盾、U寶及EMV卡等都可以是USBKEY數字證書的載體。在本專利申請中，我們把具有CPU的便攜設備(或與計算機終端連接使用的帶CPU 的設備)均稱為CPU卡。顯然，USBKEY是CPU卡；帶顯示及鍵盤的第二代USBKEY也是CPU 卡；符合國際EMV遷移的新的帶CPU的信用卡也是CPU卡；植入計算機終端的帶CPU的安全 模塊(如TPM)也是CPU卡；如果手機與計算機終端相互通訊進行安全認證、數字籤名或銀 行支付也是CPU卡，但是如果手機直接通過無線網(如移動或聯通)進行安全認證、數字籤 名或銀行支付則不是CPU卡，而是計算機終端；但是如果手機中有相當於TPM的安全模塊， 則該模塊是CPU卡，而手機是計算機終端。CPU卡中可以有數字證書，也可以沒有數字證書。總之，CPU卡是通過與計算機終端進行信息交互，並通過計算機終端與伺服器交互 信息，從而獲得伺服器服務的便攜設備。在本專利申請中，我們把能夠接收到CPU卡的信息，並能把該信息傳達到人的便 攜設備，稱為用戶終端(手持設備)。傳達信息到人，可以有多種方式。例如，可以採取顯示 屏顯示數據的方式、也可以採取設備發聲閱讀的方式使人聽到數據的方式，等等。顯然滿足 該條件的最普通的設備是移動通訊終端，即手機；也可以是為本發明專門設計的手持設備， 當然也可以就是聯網的計算機終端。一般CPU卡使用網銀的方法是當用戶登陸網銀系統的時候，在計算機終端上插 入CPU卡；然後在計算機上輸入PIN碼，如果驗證通過，則可以進行進一步的相關操作；然 後在計算機終端上輸入或產生交易關鍵數據(名稱、帳號、金額)，並傳送到CPU卡；然後 CPU卡對關鍵交易數據進行籤名，並傳送回計算機終端，再通過計算機網絡傳送到網銀服務 器確認籤名，完成交易。這種CPU卡認證方式可以是基於PKI公鑰體系，私鑰安全地保存在 CPU卡中，符合國家對網上金融交易的安全要求。當然CPU卡可以不使用PKI公鑰體系及數 字籤名方式，而採用其他安全協議來實現服務。然而，當前使用CPU卡的方法並不是絕對安全。廣泛應用的普通CPU卡(不帶液 晶和按鍵)實際存在「所見非所籤」的安全漏洞。計算機終端與CPU卡交互操作存在被中 間人攻擊的漏洞，無法防止待籤名數據被篡改後傳送到CPU卡。另外，黑客還可以遠程控制 計算機終端，在後臺篡改需要CPU卡籤名的交易數據，而客戶卻無法知曉。有效防範「所見 非所籤」的關鍵就是在於要讓用戶知道CPU卡內的真實待籤名數據，並可以對篡改過的CPU 卡內的交易數據拒絕籤名。
4
目前網銀交易中，防範「所見非所籤」的方式主要是通過在普通CPU卡上增加顯示 模塊和按鍵模塊，實現「屏幕確認」或者「輸入確認」的功能。即通常所說的「所見即所籤」。用戶在交易時，需要用戶對網銀交易數據進行確認，使得攻擊者無法暗中篡改網 銀交易數據，從而保證合法用戶帳戶的安全。屏幕確認即指用戶在交易時，會對顯示在CPU 卡顯示模塊上的交易數據進行核實，以達到確認的目的。輸入確認是指用戶在交易的時候， 需要將部分交易關鍵數據，比如對方姓名、帳號、交易金額等在CPU卡的輸入模塊上以物理 輸入的方式進行確認，杜絕攻擊者篡改籤名內容的機會。總之，就是想辦法讓用戶確認處於 CPU卡中的待籤名或待使用的數據的準確性。中國專利申請ZL9912388 「網際網路上加手機聲響保障錢款支付安全方法及相應系 統」及中國專利申請ZL02116722 「手機來電顯示信息的多種金融卡支付確認電訊方法及系 統」中，提出的一種方式是銀行伺服器將關鍵交易數據及一個由銀行伺服器產生動態的確 認口令，通過手機簡訊方式告訴客戶，如果客戶認為關鍵交易數據無誤，在計算機終端上輸 入確認口令，傳送到銀行確認並完成交易。該方案的本質就是把關鍵數據傳送到銀行，然後 想辦法讓用戶確認已經處於銀行伺服器中的待使用的數據。這種方式也可以解決「所見非 所籤」問題，但是該方案不能由CPU卡對交易數據進行數字籤名，只能對傳送到銀行伺服器 的交易數據進行確認，所以不是完美的方案；或者說，錯誤的經過籤名的數據，從銀行服務 器傳送到用戶手機，並且沒有得到用戶確認，但銀行仍然錯誤地接受後，從法律上看損失還 是將由用戶承擔。所以該方案是一個有一定缺陷的方案。所以，用戶希望所有送到銀行伺服器的數據都是用戶希望送出的數據、所有在顯 示屏幕上看到的數據都是銀行送回的真實數據或用戶自己輸入的真實數據。這就是目前銀 行支付安全領域所希望的所謂的「所見即所籤」。目前在所有其他計算機客戶端的安全方案中，或多或少或不自覺地認為計算機客 戶端有一定的安全性，實際上造成所有的方案都有這樣那樣的安全漏洞。而我們的出發點 就是，認為客戶端就是木馬，而不僅僅是可能有木馬。我們假設作業系統就是黑客編的木 馬，黑客完全掌握了該客戶端，而用戶完全不應該相信該計算機客戶端的安全性。從用戶的 角度來看，他只是希望計算機客戶端能正確地幫他處理問題，而並不在乎計算機客戶端是 不是安全。當計算機客戶端不安全時，顯然上述希望不可能都成立。但是本發明人認為可以 接受的安全是，當用戶按照計算機客戶端屏幕顯示正常操作後，即使數據被篡改也不能使 用戶產生實際損失；也不能因為計算機客戶端屏幕的虛假顯示，使用戶根據這些顯示正常 操作後產生實際損失。不產生實際損失的意思是，產生的結果就是該終端壞了不能用而已。最重要的一點就是，在網絡伺服器端得到的數據必須肯定是操作者認可的，至少 必須保證銀行伺服器得到的有法律意義的交易數據必須肯定是操作者認可的。中國專利申請ZL200410103401. 6「一種增強計算機上使用電子籤名工具安全性的 方法」，聯網獲得授權才能使用籤名工具。利用對方計算機對待籤名數據的籤名，反解後與 待籤名數據比較，正確後才進行籤名。安全性只有對方計算機及本地計算機均被攻破後才 行，當然也可以篡改兩個原始數據達到攻擊的目的。並沒有解決計算機客戶端不安全後，如 何安全使用銀行支付的問題。中國專利申請ZL200910008843「對智能密碼鑰匙進行可信數字籤名的裝置及其工作方法」中，公開了一種針對智能密碼鑰匙進行可信數字籤名的裝置及其工作方法。通過所 述工作方法可將智能密碼鑰匙內的關鍵籤名數據，在裝置上由客戶以物理確認方式加以確 認。所述裝置將經過確認的關鍵籤名數據處理後，和關鍵籤名數據組合在一起交給普通智 能密碼鑰匙進行數字籤名，並傳回至伺服器，由伺服器判斷籤名的有效性和正確性，以實現 用戶對普通智能密碼鑰匙籤名數據的可信確認。中國專利文獻ZL200910008843「對智能密碼鑰匙進行可信數字籤名的裝置及其工 作方法」、中國專利文獻ZL02116722「手機來電顯示信息的多種金融卡支付確認電訊方法及 系統」、中國專利文獻9912388 「網際網路上加手機聲響保障錢款支付安全方法及相應系統」、 《計算機世界報》文章「SSL難保電子商務安全」(計算機世界報2006年05月四日)、中國 專利文獻ZL200610041361. 6「一種不依賴作業系統安全的安全使用網絡伺服器服務的裝置 和方法」、中國專利文獻CN99806523. 4「計算機系統中用於安全交易的方法和系統」、中國專 利文獻ZL200410103401.6 「一種增強計算機上使用電子籤名工具安全性的方法」等以上所 提到的所有專利文獻都是本專利實現的背景文件，為了節省本專利說明書的篇幅，申請人 把上述所有專利文獻的說明書都作為本專利申請的一部分，表示已經把這些申請文件寫入 了本說明書。

發明內容
有顯示模塊或鍵盤模塊的CPU卡，完全符合一個完整的可信計算機的要求，顯然 能夠滿足「所見即所籤」的要求。為了便於攜帶，只能把顯示模塊及輸入模塊做的很小。但 是，很小的屏幕不便於閱讀，小的鍵盤不便於操作；特別是CPU卡在使用時，大多需要物理 接入其他計算機終端，這樣使得CPU卡遠離使用者，這就更使得小顯示模塊及小鍵盤模塊 顯得不易用。如果CPU卡採用無線與計算機終端連接，當然可以避免距離問題；但是，CPU卡 必然有電池系統及充電問題。從歷史上看，曾經就有具有CPU、顯示屏及薄膜鍵盤的SMART 卡，並沒有得到廣大用戶的認可。另外，具有顯示屏及鍵盤的CPU卡可靠性差、成本更高體 積更大；由於大的體積，所以用戶不能像現在使用信用卡那樣，在一個錢包中放置多個帶顯 示模塊及鍵盤模塊的CPU卡。從現在人們的出行習慣來說，銀行卡及手機都是必帶物品；手機有顯示器及鍵盤， 充分利用手機是一個易用的方案。但是，手機可能也不是安全終端。所以可以利用手機及 CPU卡兩個物品來提高安全性。只要保證在其中一個物品是安全的，就可以保證支付安全； 比較差的情況就是兩個物品都不安全時，只要兩個物品中的「木馬」不是同一黑客所為還是 可以保證安全；更進一步就是兩個物品中的「木馬」就是同一黑客所為，但是只要黑客很難 對應該兩個物品，也還是安全。所以安全進行數字籤名的方法，可以是當通過計算機終端輸入待籤名數據，並傳 送到CPU卡；在CPU卡中，對待籤名數據籤名前，先由CPU卡產生一個一次性的確認口令(動 態密碼)，並將該確認口令與待籤名數據同時以相對安全的方法通過計算機終端傳送給銀 行客戶；銀行客戶確認該待籤名數據的準確性後，在計算機終端上輸入對應的確認口令； CPU卡比較從計算機終端接收到的確認口令與產生的確認口令，一致則進行相應的數字籤 名，否則不進行相應的數字籤名。也可以使用普遍採用的輸入三次確認口令不正確就取消 該待籤數據的方法來提高安全性。當然CPU卡接受待籤名數據前，也可以先要求輸入身份認證密碼(PIN)或身份認證動態密碼，防止多次輸入待籤名數據及確認口令的攻擊。安全支付的目的就是「所見即所籤」。由於籤名的工作是在CPU卡中進行，所以不 管計算機終端如何不安全，要進行欺騙銀行伺服器的工作，其欺騙的數據還是要使用CPU 卡內的籤名功能。能不能實現「所見即所籤」，也可以換一種角度來說，即實現「所籤即所見」。即在 CPU卡使用關鍵數據之前，把該數據安全地提供給用戶，只有獲得用戶確認後，CPU卡才能 使用該數據(例如數字籤名，修改CPU卡中的數據)，並可以進一步可以提供給銀行伺服器 獲得相應的服務。從安全的角度來看，一個可信終端應該有鍵盤、顯示器及CPU;現在可以確認的 是CPU安全，但是顯示及鍵盤可能不安全。利用手機只不過希望使用手機的顯示屏來顯 示信息。如果保證鍵盤是安全的，保證安全支付的方案就是本發明人的中國專利文獻 ZL200610041361. 6 「一種不依賴作業系統安全的安全使用網絡伺服器服務的裝置和方法」。 但是，由於便攜要求希望使顯示器與CPU分離，所以必須在CPU與顯示器之間建立安全通 道，又由於安全工作應該是用戶儘量幹預較少的工作，特別是登陸、籤名、安全支付及遊戲 等安全應用；所以只需要告訴CPU顯示的數據正確與否即可。本發明的目的是提出一種安全系統及方法。在使用可能不安全的計算機終端時， 可以安全地確認CPU卡中的關鍵數據，並根據確認的數據進行工作。該方法可以用於網絡 支付；結合好的密碼協議，可簡單且安全地解決在可能不安全計算機終端上安全使用網絡 銀行、遊戲等服務的方法。實現「所籤即所見」的安全目的。根據本發明的一種安全系統，它包括CPU卡、計算機終端、伺服器及用戶終端；其 中，CPU卡與計算機終端連接、計算機終端通過網絡與伺服器連接、用戶終端與CPU卡安全 連接；用戶在計算機終端上輸入或產生關鍵數據，並傳送到CPU卡；通過CPU卡與用戶終端 的安全連接，傳送關鍵數據到用戶終端；用戶根據用戶終端上的關鍵數據，確認後輸入確認 到CPU卡；CPU卡確認後，變換關鍵數據並通過計算機終端傳送到伺服器。這裡輸入確認到 CPU卡可以是按鍵確認或(和)口令確認。進一步，如果是口令認證，那麼應該還有下面的數據流程。CPU卡生成確認口令； 通過CPU卡與用戶終端的安全連接，傳送確認口令及關鍵數據到用戶終端；用戶根據用戶 終端上的關鍵數據，確認後在計算機終端上輸入確認口令並傳送到CPU卡；CPU卡比較確認 口令與生成的確認口令一致後，變換關鍵數據並通過計算機終端傳送到伺服器。進一步，如果是按鍵確認，那麼CPU卡上還有一個確認按鍵；當用戶通過用戶終端 確認數據後，輸入確認到CPU卡就是按確認按鍵並傳送到CPU卡。更進一步，還有簡訊網關，CPU卡與用戶終端的安全連接，是採用CPU卡內的密碼 裝置加密、簡訊網關解密及無線移動網實現的。更方便地，CPU卡與用戶終端的安全連接，是採用CPU卡內置的密碼裝置、CPU卡內 置的無線模塊、用戶終端內置的無線模塊及用戶終端內置的密碼裝置實現的。簡單地，CPU卡與用戶終端的安全連接，是採用CPU卡內置密碼裝置與計算機終端 的連接、計算機終端與用戶終端的有線或無線連接、用戶終端的內置密碼裝置實現的。根據本發明的一種安全方法，它包括用戶在計算機終端上輸入或產生關鍵數據， 並傳送到CPU卡；通過CPU卡與用戶終端的安全連接傳送關鍵數據到用戶終端；用戶根據用戶終端上的關鍵數據，確認後輸入確認到CPU卡；CPU卡確認後，變換關鍵數據並通過計 算機終端傳送到伺服器。這裡輸入確認到CPU卡可以是按鍵確認或(和)口令確認。進一步，如果是口令認證，那麼應該還有下面的數據流程。CPU卡生成確認口令、通 過CPU卡與用戶終端的安全連接傳送確認口令及關鍵數據到用戶終端，就是計算機終端上 輸入確認口令並傳送到CPU卡。更進一步，其特徵在於CPU卡與用戶終端的安全連接為加密確認口令和(或)關 鍵數據、傳送到簡訊網關、簡訊網關加密後傳送到用戶終端；更方便地，CPU卡與用戶終端的安全連接為加密確認口令和(或)關鍵數據、通 過CPU卡內置的無線模塊及用戶終端內置無線模塊傳送到用戶終端、用戶終端解密得到確 認口令及關鍵數據。簡單地，CPU卡與用戶終端的安全連接為加密確認口令和(或)關鍵數據、傳送 到計算機終端、通過計算機終端與用戶終端的有線或無線連接傳送到用戶終端、用戶終端 解密得到確認口令及關鍵數據。完整地12、綜合上述所有手段，加入按CPU卡上確認按鍵的確認方法。


下面參照附圖描繪本發明，其中圖1表示優選實施例1、3及4相關聯的系統的示意圖；圖2表示優選實施例2相關聯的系統的示意具體實施例方式[實施例1]簡訊確認本發明的核心就是採用用戶終端顯示器作為可信顯示器及CPU卡作為可信CPU的 安全系統及方法。處於CPU卡中的待籤名或待使用數據，用可信的方法輸出到用戶可信設 備顯示，由用戶確認待籤名或待使用數據；用戶確認後進行相應的籤名或使用相應的數據。 根據本發明第一種實施方式，一種安全系統及方法所關聯的系統如圖1所示。在該圖中，密 碼裝置42加密的數據與簡訊網關5的密碼裝置51對應；即密碼裝置42完成加密，密碼裝 置51解密。例如，密碼裝置51公開公鑰(E，M)，保密私鑰(D，M)；則密碼裝置42用公鑰(E， M)加密，而密碼裝置51用保密私鑰(D，M)解密。當然，可以採用其他密碼協議完成加密及 解密。CPU卡4內存儲有手持設備地址，如手機號碼。當把CPU卡4與計算機終端3連接後，用戶根據計算機終端3的提示輸入或產生 交易的關鍵數據，如接受資金的帳戶名、帳號、金額等關鍵數據；計算機終端3將這些關鍵 數據傳送到CPU卡4中；CPU卡4用隨機數生成器41生成確認口令(PIN)，並把通過密碼裝 置42加密關鍵數據、確認口令及手持設備地址(手機號碼)；該被加密的數據傳送到計算 機終端3，並通過計算機網絡2傳送到簡訊網關5 ；簡訊網關5的密碼裝置51解密該加密數 據得到關鍵數據、確認口令及手持設備地址(手機號碼)；簡訊網關5通過移動無線網6把 該關鍵數據及確認口令根據手持設備地址(手機號碼)發送到手持設備7 (用戶手機)上； 用戶確認手持設備7上的關鍵數據正確後，在計算機終端3上輸入確認口令；計算機終端3 把接收到的確認口令傳送到CPU卡4中；CPU卡4比較收到的確認口令與生成的確認口令一致後，通過籤名裝置43籤名該關鍵數據，CPU卡4將該已籤名關鍵數據傳送到計算機終 端3，並通過計算機網絡2傳送已籤名關鍵數據到銀行伺服器1 ；銀行伺服器1根據該已籤 名關鍵數據進行相應的支付操作。該關鍵數據的籤名就是銀行進行資金操作的法律依據， 並且顯然該籤名的關鍵數據是經過銀行客戶通過手持設備7安全確認過的。該方案顯然有一個安全缺陷，當CPU卡4與計算機終端3連接後，計算機終端3不 斷地向CPU卡4輸送關鍵數據，並不斷猜測相應的確認口令。雖然成功的概率很小，但是也 是安全缺陷，解決的方法可以是一次CPU卡加電只能進行一次關鍵數據籤名的工作、或者 在輸入關鍵數據之前通過簡訊方式發送輸入關鍵數據前置口令，保證輸入關鍵數據前必須 通過用戶的手持設備7 (手機)確認、或者用CPU卡4與手持設備7 (手機)聯合構成動態 口令認證，保證關鍵數據輸入CPU卡4的前置認證。最好採用用戶輸入指紋，在CPU卡中比 較指紋作為安全認證，並進一步採用一次指紋認證一次關鍵數據確認來提高安全性。還有一個解決方案就是簡單地在CPU卡上增加一個按鍵，當用戶在手持設備上確 認關鍵數據準確性後，簡單地按鍵表示數據的確認。這樣就可以取消CPU卡中的隨機數生 成器41，但是該方案有CPU卡的製造相對困難成本稍高的缺點。但是這也是本發明人推薦 使用的一種方案或實施例。也可以結合CPU卡上的按鍵與確認口令兩個方案，必須輸入確 認口令後還要按鍵才能確認數據，這樣可以防止重複猜測確認口令的攻擊，這是一個更安 全的實施方案。在實施例1中，一種安全系統的是CPU卡4、計算機終端3、伺服器(銀行網絡服務 器1)及用戶終端(手持設備7) ；CPU卡4與計算機終端連接3、計算機終端3通過網絡與 伺服器(銀行網絡伺服器1)連接、用戶終端(手持設備7)與CPU卡安全連接是通過CPU4 中的密碼裝置42、CPU卡到計算機終端3到計算機網絡2到簡訊網關的通路、簡訊網關5及 密碼裝置51、移動無線網6組成；在實施例1中，一種安全方法的是用戶在計算機終端3上輸入關鍵數據，並傳送 到CPU卡4 ；CPU卡4生成確認口令；通過CPU卡4與用戶終端(手持設備7)的安全連接， 傳送確認口令及關鍵數據到用戶終端(手持設備7)；用戶根據用戶終端(手持設備7)上 的關鍵數據，確認後在計算機終端上輸入確認口令；CPU卡比較輸入的確認口令與生成的 確認口令一致後，變換(籤名)關鍵數據並通過計算機終端傳送到伺服器，進一步可以完成 支付。另外輸入確認口令可以不在計算機終端3輸入，而是在與計算機通信的任何聯網計 算機上輸入傳送到計算機終端3，然後到CPU卡中進行相應的確認。中國專利申請ZL9912388 「網際網路上加手機聲響保障錢款支付安全方法及相應系 統」及中國專利申請ZL02116722 「手機來電顯示信息的多種金融卡支付確認電訊方法及系 統」所提出的方案，是通過手機確認伺服器中的數據。與本實施例的主要區別是，一個是確 認CPU卡中的數據，一個是確認伺服器中的數據；一個由於必須保證安全確認CPU卡中的數 據，必須變換(加密)關鍵數據及確認口令或者說是建立安全連接，而伺服器數據確認不需 要這關鍵的步驟；一個是被確認的數據還需要(籤名或加密)提交到銀行服務才有效，而銀 行伺服器中的數據直接用於支付。通過簡訊實現關鍵數據及確認口令的傳送，必須依賴無線網絡的可靠性，所以有 實施例2。[實施例2]無線確認(專用、手機加SD卡、手機加SIM卡)
根據本發明第二種實施方式，一種安全系統及方法所關聯的系統如圖2所示。在 該實施方式中。該圖中的手持設備6可以與計算機終端3用有線連接(如USB線)或無線 連接(如藍牙)，該種連接用「無線或有線連接5」表示，當然無線或有線連接5還可以直接 連接CPU卡4與手持設備6。另外手持設備6如果是手機，最好通過加SD卡或更改SIM卡 加入密碼裝置61，當然也可以用手機軟體實現密碼裝置61的功能。總之用戶終端(手持設 備6)與CPU卡4建立安全連接。當把CPU卡4與計算機終端3連接後，用戶根據計算機終端3的提示輸入交易的 關鍵數據，如接受資金的帳戶名、帳號、金額等關鍵數據；計算機終端3將這些關鍵數據傳 送到CPU卡4中；CPU卡4用隨機數生成器41生成確認口令(PIN)，並把通過密碼裝置42 加密關鍵數據及確認口令；該被加密的關鍵數據及確認口令傳送到計算機終端3，並通過 無線或有線連接5傳送到手持設備6 (手機)；手持設備6中的密碼裝置61解密該加密數 據得到關鍵數據及確認口令；用戶確認手持設備6上的關鍵數據正確後，在計算機終端3上 輸入確認口令；計算機終端3把接收到的確認口令傳送到CPU卡4中；CPU卡4比較收到的 確認口令與生成的確認口令一致後，通過籤名裝置43籤名該關鍵數據，CPU卡4將該已籤 名關鍵數據傳送到計算機終端3，並通過計算機終端2傳送籤名後的關鍵數據到銀行服務 器1 ；銀行伺服器1根據該籤名的關鍵數據進行相應的支付操作。該關鍵數據的籤名就是 銀行進行資金操作的法律依據，並且顯然該籤名的關鍵數據是經過銀行客戶通過手持設備 安全確認過的。在實施例2中，一種安全系統的是CPU卡4、計算機終端3、伺服器(銀行網絡服務 器1)及用戶終端(手持設備6) ；CPU卡4與計算機終端連接3、計算機終端3通過網絡與 伺服器(銀行網絡伺服器1)連接、用戶終端(手持設備6)與CPU卡安全連接是通過CPU4 中的密碼裝置42、CPU卡到計算機終端3到用戶終端(手持設備6)的通路、密碼裝置61、 有線或無線連接5組成。顯然還可以採用其他信息通路，如在CPU卡中增加無線裝置通過 有線或無線連接5，直接與用戶終端(手持設備6)連接。在實施例2中，一種安全方法的是用戶在計算機終端3上輸入關鍵數據，並傳送 到CPU卡4 ；CPU卡4生成確認口令；通過CPU卡4與用戶終端(手持設備6)的安全連接， 傳送確認口令及關鍵數據到用戶終端(手持設備6)；用戶根據用戶終端(手持設備6)上 的關鍵數據，確認後在計算機終端上輸入確認口令；CPU卡比較輸入的確認口令與生成的 確認口令一致後，變換(籤名)關鍵數據並通過計算機終端傳送到伺服器，進一步可以完成 支付。另外輸入確認口令可以不在計算機終端3輸入，而是在與計算機通信的任何聯網計 算機上輸入傳送到計算機終端3，然後到CPU卡中進行相應的確認。該方案所用的手持設備6可能是「智慧型手機」，在智慧型手機上安裝密碼的解碼程序 實現密碼裝置61 ；或者該方案的手持設備(手機)上插入一個SDIO卡，上面有無線通訊模 塊及解密模塊，能夠接收計算機終端3傳送來的加密數據。並解密後顯示在手機屏幕上。 也可以為了安全，用戶手持一個有無線通訊模塊、顯示屏及鍵盤的專用安全設備。但是，智 能手機也有一個安全隱患，就是智慧型手機不安全時，可能把確認口令傳回到不安全的計算 機終端3，然後輸入CPU卡產生不安全數據確認。解決的方法是在CPU卡上增加一個確認 鍵與確認口令配合使用。最好的方法，就是使CPU卡到用戶終端的連接是CPU卡到用戶終 端的「單向通道」，即CPU卡可以把數據發送到用戶終端，而用戶設備不能把信息傳送到CPU
10卡。例如CPU卡採用廣播的方式傳播信息，而用戶終端只能接收信息不能發送信息，就是典 型的單向通道。實施例3圖形確認根據本發明第三種實施方式，一種安全系統及方法所關聯的系統如圖1所示。當 把CPU卡4與計算機終端3連接後，用戶根據計算機終端3的提示輸入交易的關鍵數據，如 接受資金的帳戶名、帳號、金額等關鍵數據；計算機終端3將這些關鍵數據傳送到CPU卡4 中；CPU卡4用隨機數生成器41生成確認口令(PIN)，並把該確認口令與關鍵數據生成圖形 (如JPEG格式)，並加以擾亂使之計算機很難識別，而人可以識別。該圖片與手持設備地址 (手機號碼)被加密(也可以不加密)的傳送到簡訊網關5，併到手持設備7 (手機)上；用 戶確認關鍵數據正確後，在計算機終端3上輸入確認口令；計算機終端3把接收到的確認口 令傳送到CPU卡4中；CPU卡4比較收到的確認口令與生成的確認口令一致後，通過籤名裝 置43籤名該關鍵數據，CPU卡4將該已籤名數據傳送到計算機終端3，並通過計算機終端2 傳送籤名後的數據到銀行伺服器1 ；銀行伺服器1根據該籤名的支付數據進行相應的支付 操作。該關鍵數據的籤名就是銀行進行資金操作的法律依據，並且顯然該籤名的關鍵數據 是經過銀行客戶通過手持設備安全確認過的。在實施例1中，一種安全系統的是CPU卡4、計算機終端3、伺服器(銀行網絡服務 器1)及用戶終端(手持設備7) ；CPU卡4與計算機終端連接3、計算機終端3通過網絡與 伺服器(銀行網絡伺服器1)連接、用戶終端(手持設備7)與CPU卡安全連接是通過CPU4 中的密碼裝置42、CPU卡到計算機終端3到計算機網絡2到簡訊網關的通路、簡訊網關5及 密碼裝置51、移動無線網6組成；在實施例1中，一種安全方法的是用戶在計算機終端3上輸入關鍵數據，並傳送 到CPU卡4 ；CPU卡4生成確認口令；通過CPU卡4與用戶終端(手持設備7)的安全連接， 傳送圖形化的確認口令及關鍵數據到用戶終端(手持設備7)；用戶根據用戶終端(手持設 備7)上的關鍵數據，確認後在計算機終端上輸入確認口令；CPU卡比較輸入的確認口令與 生成的確認口令一致後，變換(籤名)關鍵數據並通過計算機終端傳送到伺服器，進一步可 以完成支付。另外輸入確認口令可以不在計算機終端3輸入，而是在與計算機通信的任何 聯網計算機上輸入傳送到計算機終端3，然後到CPU卡中進行相應的確認。顯然關鍵數據與確認口令，沒有必要必須傳送到用戶終端(手持設備)，實際上也 可以傳送到用戶的電子郵箱，方便沒有手機的用戶。安全性肯定有所下降，但是更易用了。 所以有的用戶可信終端是手機，有的用戶的可信終端是其他計算機(讀電子郵件)，有的用 戶的可信終端是其他任何可以收到並顯示關鍵數據與確認口令的設備。本質上就是需要 CPU卡告訴計算機終端把關鍵數據及確認口令送到哪個電子地址。對應該電子地址就是用 戶終端。總之，發明的核心通過CPU卡與用戶終端的安全連接，在用戶終端上顯示CPU卡內 信息的準確性。並採用確認口令、按鍵等方式確認CPU卡內數據，然後安全使用該數據的安 全系統及方法。以上用銀行伺服器與CPU卡的籤名支付來說明本發明的方法。但是本發明並不完 全限定用於銀行應用，顯然也可以應用於網路遊戲，還有其他需要確認CPU卡的數據，然後 讓CPU卡能夠準確地提供該數據到伺服器的應用。儘管在以上的實施例中對本發明進行了描述，但可以理解，以上實施例的描述是說明性的而非限制性的，本領域的熟練技術人員可 以理解，在不脫離由權利要求書定義的本發明的精神和範圍的前提下，可做出各種變形、改 進、修改和替換。
權利要求
1.一種安全系統，它包括CPU卡、計算機終端、伺服器及用戶終端；其中，CPU卡與計算機終端連接、計算機終端通過網絡與伺服器連接、用戶終端與CPU 卡安全連接；用戶在計算機終端上輸入或產生關鍵數據，並傳送到CPU卡；通過CPU卡與用 戶終端的安全連接，傳送關鍵數據到用戶終端；用戶根據用戶終端上的關鍵數據，確認後輸 入確認到CPU卡；CPU卡確認後，變換關鍵數據並通過計算機終端傳送到伺服器。
2.根據權利要求1的系統，其特徵在於還有CPU卡生成確認口令；通過CPU卡與用戶 終端的安全連接，傳送確認口令及關鍵數據到用戶終端；用戶根據用戶終端上的關鍵數據， 確認後在計算機終端上輸入確認口令並傳送到CPU卡；CPU卡比較確認口令與生成的確認 口令一致後，變換關鍵數據並通過計算機終端傳送到伺服器。
3.根據權利要求1的系統，其特徵在於CPU卡上還有一個確認按鍵；當用戶通過用戶 終端確認數據後，輸入確認到CPU卡就是按確認按鍵並傳送到CPU卡。
4.根據權利要求2的系統，其特徵在於還有簡訊網關，CPU卡與用戶終端的安全連接， 是採用CPU卡內的密碼裝置加密、簡訊網關解密及無線移動網實現的。
5.根據權利要求1的系統，其特徵在於CPU卡與用戶終端的安全連接，是採用CPU卡內 置的密碼裝置、CPU卡內置的無線模塊、用戶終端內置的無線模塊及用戶終端內置的密碼裝 置實現的。
6.根據權利要求1的系統，其特徵在於CPU卡與用戶終端的安全連接，是採用CPU卡內 置密碼裝置與計算機終端的連接、計算機終端與用戶終端的有線或無線連接、用戶終端的 內置密碼裝置實現的。
7.一種安全方法，它包括A、用戶在計算機終端上輸入或產生關鍵數據，並傳送到CPU卡；B、通過CPU卡與用戶終端的安全連接傳送關鍵數據到用戶終端；C、用戶根據用戶終端上的關鍵數據，確認後輸入確認到CPU卡；D、CPU卡確認後，變換關鍵數據並通過計算機終端傳送到伺服器。
8.根據權利要求7的方法，其特徵在於步驟B還有CPU卡生成確認口令、通過CPU卡 與用戶終端的安全連接傳送確認口令及關鍵數據到用戶終端；步驟C的輸入確認，就是計 算機終端上輸入確認口令並傳送到CPU卡。
9.根據權利要求8的方法，其特徵在於CPU卡與用戶終端的安全連接為加密確認口 令和(或)關鍵數據、傳送到簡訊網關、簡訊網關加密後傳送到用戶終端；
10.根據權利要求8的方法，其特徵在於CPU卡與用戶終端的安全連接為加密確認口 令和(或)關鍵數據、通過CPU卡內置的無線模塊及用戶終端內置無線模塊傳送到用戶終 端、用戶終端解密得到確認口令及關鍵數據。
11.根據權利要求8的方法，其特徵在於CPU卡與用戶終端的安全連接為加密確認口 令和(或)關鍵數據、傳送到計算機終端、通過計算機終端與用戶終端的有線或無線連接傳 送到用戶終端、用戶終端解密得到確認口令及關鍵數據。
12.根據權利要求7到11的所有方法，其特徵在於步驟C中的輸入確認是按CPU卡上 確認按鍵。
全文摘要
本發明的目的是提出一種安全系統及方法。在使用可能不安全的計算機終端時，可以安全地確認CPU卡中的關鍵數據，並把經過確認的數據提供給伺服器，安全準確地獲得伺服器的服務。該系統及方法，結合好的密碼協議，可簡單且安全地解決在可能不安全計算機終端上安全使用網絡支付、網絡銀行、遊戲等服務的系統及方法。
文檔編號G06F21/34GK102073802SQ20091023455
公開日2011年5月25日 申請日期2009年11月23日 優先權日2009年11月23日
發明者邵通 申請人:邵通