本发明专利技术涉及一种确保网络电子交易的数据真实性的确认方法。该方法包括以下步骤:A1通过第二通道确定一个参与电子交易数据真实性确认运算的确认运算信息集;A2在用户端显示电子交易数据和指示如何利用所述确认运算信息集的运算指示信息;A3用户根据所述运算指示信息和所述确认运算信息集计算得到用户端真实性验证码,并输入到用户端,发送给所述网络后台交易程序;A4所述网络后台交易程序根据所述运算指示信息和所述确认运算信息集计算得到后台端真实性验证码;A5所述网络后台交易程序比较所述用户端真实性验证码和所述后台端真实性验证码,二者一致,则执行后续的电子交易处理。本发明专利技术可以有效的验证数据真实性,避免数据被伪造或者修改。适用于在线交互系统,例如网上购物、网上银行业务、网上报税等。
【技术实现步骤摘要】
本专利技术涉及,属于 信息安全
技术介绍
网络电子交易,通常指由用户和后台服务程序之间传递一组交易数 据(如购买某些物品,或者从自己帐户向某个帐户划转一定的金额) 的交互过程,在这个过程中必须确保网络电子交易数据的安全性。网络 电子交易的安全性包括交易数据是用户真实输入,而不是被伪造或修 改,以及交易过程的不可抵赖和交易数据的不可修改。目前基于PKI技术的电子签名技术广泛应用于电子交易过程,电子 签名装置通常是一个带有USB接口或其他计算机通信接口的独立硬件, 如USBkey,在该硬件中完成电子交易数据的加密、摘要、签名等全部或 部分运算的过程。应用电子签名技术,可以保证经过电子签名的内容不 可更改、不可抵赖等。目前上述电子签名装置得到了广泛的应用,如银行发给网上银行用户的用类装置,目前全国的发行量数以千万计算。 成为了保证涉及大量资金转移的安全技术。但是,由于电子签名装置进行电子签名的交易数据,是用户通过,通常是Windows操作系统的计算机交互产生的,对用户而言,其内容是 显示在计算机屏幕上的,然后由程序将上述数据通过上述通信端口送往 电子签名装置中。而在上述电子交易数据的传递过程中,用户进行交互 的环境(通常是Windows系统)是不安全的,可以存在独立的非交易方 的观察者,如黑客程序。黑客程序可以在数据通过通信端口送往电子签 名装置前,修改上述电子交易的信息,导致电子交易数据被修改或者伪 造,从而无法保证实际由签名装置签名的电子交易内容,是否为用户真 实输入或在计算机屏幕上见到内容。即无法真正防止恶意程序在将数据 送往电子签名装置的过程中,对将要进行电子签名的内容进行篡改,改 变用户期望中的电子交易的对象、金额、受益人等,给用户带来损失。 上述方法通常称为"交易劫持"、"交易伪造"等,即无法保证交易数据的真实性。在用户通过网络购买物品时,同样也存在交易劫持、交易伪造,如 恶意程序对提交给后台服务程序的用户购买的物品清单进行增加或者删 减,或者修改用户购买物品为用户没有购买的物品,这也需要用户对电 子交易数据进行真实性确认。目前的解决的方案,是在电子签名装置中另外增加一个显示装置和 必要的按键等控制装置,对送入电子签名装置中的数据进行显示,并由 用户确认数据的真实性,如果确认真实,则用户触动必要的按键表示确 认,电子签名装置从而对确认真实的电子交易数据执行签名运算。但是 上述带有显示、按键的电子签名装置增加了成本。此外,给业已存在的 广大用户更换上述装置,本身也是一个周期很长、工作量很大的过程。目前,还有利用CAPTCHA技术来验证数据的真实性。CAPTCHA其英文 全禾尔为"Completely Automated Program to Tell Computer and Human Apart ,,, 或者"Completely Automated Public Turing test to tell Computer and Human Apart",即" 一个完全自动的程序来区分人和机器", 这里的"机器"包括硬件设备和其上运行的软件。目前广泛应用在互联 网交互过程中的验证码技术就是一种常见的实例,利用人对变形图像的 感知能力强,而计算机实现上述图形分析计算量大,在有限的计算能力 环境中,来区分人和"机器"。对需要确认的数据由CAPTCHA技术生成, 用户通过识别CAPTCHA技术生成的信息,来判断数据真实性,判断为真 时,则进行后续的电子交易操作。但是上述CAPTCHA技术同样存在缺陷,不能防止交易劫持、交易伪 造。随着计算机计算能力的提高、通讯的普及和模式识别技术的进步, 该方法的可靠性处于不断变化中,起码该方法无法防止恶意程序先于用 户截获上述图形,然后将上述图形通过网络传递给恶意的观察者,由具 有与用户同样感知能力的恶意观察者识别图形,然后代替用户操作或重新生成一个替代程序从而破坏电子交易的真实性。因此,CAPTCHA技术也 不能防止交易劫持、交易伪造,保证电子交易数据的真实性。为促进电子交易的发展,需要设计一种新的电子交易数据真实性的 确认技术,来防止交易劫持、交易伪造,同时保证实施成本较低,便于 推广。
技术实现思路
本专利技术的目的在于提供一种确保网络电子交易数据真实性的方法, 可以解决"交易伪造"和"交易劫持",乃至未知的包括独立恶意观察者 完全控制用户终端条件下保证电子交易安全的安全问题,独立应用或协 同电子签名装置(如银行USB Key)等,提高电子交易的安全性。,应用在不可靠 的客户端与可靠的网络后台交易程序之间传送电子交易数据,其特征在于,所述确认方法包括以下步骤Al:网络后台交易程序和用户,通过第二通道确定一个参与电子交易数据真实性确认运算的确认运算信息集;A2:在用户端显示电子交易数据时,同时显示指示如何利用所述确认运算信息集对电子交易数据真实性确认运算的运算指示信息;A3:用户根据所述运算指示信息和所述确认运算信息集计算得到用 户端真实性验证码,用户将所述用户端真实性验证码通过用户端输入,用户端将所述用户端真实性验证码发送给所述网络后台交易程序;A4:所述网络后台交易程序根据所述运算指示信息和所述确认运 算信息集执行与所述A3相同的计算得到后台端真实性验证码;A5:所述网络后台交易程序比较所述用户端真实性验证码和所述 后台端真实性验证码,二者一致,则执行后续的电子交易处理;不一致,则拒绝执行后续的电子交易处理。本专利技术适用于在线交互系统,例如网上购物、网上银行业务、网上 报税等。本专利技术的特点和优点如下确认运算信息集和运算指示信息是通过两个不同的通道传递,确 认运算信息集是通过非网络通道传递,用户可以很秘密的保护,非法利用者难以知道此信息;同时二者是关联的,在完成交易时二者必须 同时被利用生成验证码,才能够完成交易,运算指示信息可以被公开, 但是仅知道此信息是没有意义的,并不能生成合法的验证码。没有合 法的验证码,所以无法通过网络后台交易程序的比较,也就无法完成 后续的电子交易处理。 附图说明下面结合附图和具体实施方式对本专利技术作进一步的说明。 图l是表示本专利技术实施方式中确保网络电子交易的数据真实性的方 法示例图。图2是表示本专利技术实施方式中显示电子交易数据和运算指示信息方 式一的示例图。图3是表示本专利技术实施方式中显示电子交易数据和运算指示信息方 式二的示例图。图4是表示本专利技术实施方式中利用CAPTCHA技术显示电子交易数据 和运算指示信息的示例图。 具体实施例方式网络电子交易中可能涉及四个实体网络后台交易程序、用户端交 易软件、签名设备和用户,此外包含潜在的攻击者,攻击者可以是本地 的一个木马或间谍程序,更可以包含网络中的计算能力和人。(1) 网络后台交易程序提供电子交易的服务方,位于电子交易服务提供商一端,通常包含大型数据库和交易服务软件,存储和处理服务 内容、客户信息、以及交易信息等,由服务提供商确保高度安全性。(2) 用户端交易软件位于用户计算机上,是用户进行电子交易的 操作平台,为用户提供基本的交易服务功能。它接收后台交易程序发来 的数据,与用户进行交互形成交易数据,并将交易数据发送给签名设备, 得到数字签名结果后发送给服务方。在本专利技术设计本文档来自技高网...
【技术保护点】
一种确保网络电子交易的数据真实性的确认方法,应用在不可靠的客户端与可靠的网络后台交易程序之间传送电子交易数据,其特征在于,所述确认方法包括以下步骤: A1:网络后台交易程序和用户,通过第二通道确定一个参与电子交易数据真实性确认运算的确 认运算信息集; A2:在用户端显示电子交易数据时,同时显示指示如何利用所述确认运算信息集对电子交易数据真实性确认运算的运算指示信息; A3:用户根据所述运算指示信息和所述确认运算信息集计算得到用户端真实性验证码,用户将所述用户端 真实性验证码通过用户端输入,用户端将所述用户端真实性验证码发送给所述网络后台交易程序; A4:所述网络后台交易程序根据所述运算指示信息和所述确认运算信息集执行与所述A3相同的计算得到后台端真实性验证码; A5:所述网络后台交易程 序比较所述用户端真实性验证码和所述后台端真实性验证码,二者一致,则执行后续的电子交易处理;不一致,则拒绝执行后续的电子交易处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:李勇,
申请(专利权)人:李勇,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。