本发明专利技术公开的一种利用USB KEY对网上银行数据进行加密、认证的方法。其特征在于,包括如下步骤:a)根据用户信息生成针对该用户的数字证书;b)将所述数字证书存入将要分配给该用户的USB KEY中;c)用户登陆网上银行用户进行数据处理时,通过所述USB KEY确认用户身份或数字签名。本发明专利技术还公开了一种利用USB KEY实现上述对网上银行数据进行加密、认证的装置。由于每一个USB KEY有一个唯一的序列号,并且私钥不能出内存,在确认用户身份后才进行网上交易,因此本发明专利技术具有高度的保密性和安全性。
【技术实现步骤摘要】
本专利技术涉及一种信息加密的装置和方法,尤其涉及一种利用USBKey。
技术介绍
随着网上银行业务的蓬勃发展,数据安全和用户的身份认证已经成为越来越重要的课题。对于数据安全传输而言,现有技术主要采用SSL(Secure Socket Layer)协议进行,加密强度已经基本达到了“满意”的程度,而对于如何确认“网络人”的身份就有着各种各样的方法。对于网上银行而言,身份认证尤为重要。只有确认了银行用户的合法身份,才能为用户提供安全、优质、高效的服务以及更多、更全面的服务功能。否则无法保证用户和银行自身的资金安全,为用户服务更是无从谈起。如今常见的身份认证方式有口令验证方式、动态密码方式、基于PKI体系的数字证书验证方式。关于数字证书数字证书是网络通讯中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构(即CA中心)发行的,人们可以在交往中用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字证书包含以下一些内容¢ 证书的版本信息; ¢ 证书的序列号,每个证书都有一个唯一的证书序列号;¢ 证书所使用的签名算法;¢ 证书的发行机构名称,命名规则一般采用X.500格式;¢ 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;¢ 证书所有人的名称,命名规则一般采用X.500格式;¢ 证书所有人的公开密钥;¢ 证书发行者对证书的签名。而由于银行的用户不仅要用证书登录网上银行,还要做一些交易,比如转账和支付等,为保证安全性和不可抵赖性,还需要用用户证书做签名。因此,工行的企业用户证书中还包括CA中心提供的该用户的私钥。使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。关于加密技术非对称加密技术是1976年美国学者Dime和Henman为解决信息公开传送和密钥管理问题,提出的一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是″公开密钥系统″,也叫做″非对称加密算法″。与对称加密算法不同,非对称加密算法需要两个密钥公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。利用非对称加密算法实现机密信息交换的基本过程是甲生成一对密钥并将其中的一把作为公用密钥向外公开;得到该公用密钥的乙使用该密钥对机密信息进行加密后再发送给甲;甲再用自己保存的另一把专用密钥对加密后的信息进行解密。甲只能用其专用密钥解密由其公用密钥加密后的任何信息。非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要,但加密和解密花费时间长、速度慢,它不适合于对文件加密而只适用于对少量数据进行加密。在微软的Window NT的安全性体系结构中,公开密钥系统主要用于对私有密钥的加密过程。每个用户如果想要对数据进行加密,都需要生成一对自己的密钥对(keypair)。密钥对中的公开密钥和非对称加密解密算法是公开的,但私有密钥则应该由密钥的主人妥善保管。非对称加密技术的具体应用在后面介绍登录过程时会介绍。关于数字签名对文件进行加密只解决了传送信息的保密问题,而防止他人对传输的文件进行破坏,以及如何确定发信人的身份还需要采取其它的手段,这一手段就是数字签名。在安全保密系统中,数字签名技术有着特别重要的地位,在安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。它的主要方式是,报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。应用广泛的数字签名方法主要有三种,即RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的。RSA算法中数字签名技术实际上是通过一个哈希函数来实现的。数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一个最简单的哈希函数是把文件的二进制码相累加,取最后的若干位。哈希函数对发送数据的双方都是公开的。Hash签名是最主要的数字签名方法,也称之为数字摘要法(Digital Digest)或数字指纹法(Digital Finger Print)。它与RSA数字签名是单独的签名不同,该数字签名方法是将数字签名与要发送的信息紧密联系在一起,它更适合于电子商务活动。数字摘要(Digital Digest)加密方法亦称安全Hash编码法(SHASecure Hash Algorithm)。该编码法采用单向Hash函数将需加密的明文″摘要″成一串128bit的密文,这一串密文亦称为数字指纹(Fi nger Pri nt),它有固定的长度,且不同的明文摘要必定一致。这样这串摘要使可成为验证明文是否是″真身″的″指纹″了。只有加入数字签名及验证才能真正实现在公开网络上的安全传输。加入数字签名和验证的文件传输过程如下¢ 发送方首先用哈希函数从原文得到数字签名,然后采用公开密钥体系用发送方的私有密钥对数字签名进行加密,并把加密后的数字签名附加在要发送的原文后面;¢ 发送一方选择一个秘密密钥对文件进行加密,并把加密后的文件通过网络传输到接收方;¢ 发送方用接收方的公开密钥对密秘密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方;¢ 接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文;¢ 接收方用秘密密钥对文件进行解密,得到经过加密的数字签名; ¢ 接收方用发送方的公开密钥对数字签名进行解密,得到数字签名的明文;¢ 接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名进行对比。如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。如果第三方冒充发送方发出了一个文件,因为接收方在对数字签名进行解密时使用的是发送方的公开密钥,只要第三方不知道发送方的私有密钥,解密出来的数字签名和经过计算的数字签名必然是不相同的。这就提供了一个安本文档来自技高网...
【技术保护点】
一种利用USBKey对网上银行数据进行认证、加密的方法,包括如下步骤: a)根据用户信息生成数字证书; b)将所述生成的数字证书用户存储在分配给所述用户的USBKey中; c)网上银行用户进行网上银行数据处理时,通过USBKey确认用户身份或数字签名。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:苏文力,李秀媛,陈昭旭,嵇津湘,李秀生,李兵,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。