一种安全网上银行系统及其实现方法,涉及信息安全技术。本发明专利技术系统包括通过网络连接的服务器端和客户端。其结构特点是,所述客户端内置有包括可信密码模块TCM和TCM服务模块TSM的可信计算密码支撑平台。客户从银行获得的数字证书和私钥存储在可信密码模块TCM内。同现有技术相比,本发明专利技术利用TCM安全芯片构造可信计算环境,具有低成本,高安全、可靠性好,使用方便的特点。
Secure online banking system and implementation method thereof
The invention relates to a secure online banking system and a realization method thereof, relating to the information security technology. The system of the invention comprises a server and a client connected through the network. The utility model is characterized in that the client is provided with a trusted computing cipher supporting platform comprising a trusted cipher module TCM and a TCM service module TSM. The digital certificates and private keys received by the customer from the bank are stored in the trusted cryptographic module TCM. Compared with the prior art, the invention uses the TCM security chip to construct a trusted computing environment, which has the advantages of low cost, high safety, good reliability and convenient use.
【技术实现步骤摘要】
本专利技术涉及信息安全技术,特别是利用可信计算技术的终端计算机安全访问网上银行的系统及其实现方法。
技术介绍
随着网络技术和金融业的不断发展,以网络为交易平台开展各种金融业务成为目前国内各大银行普遍采纳的方式。随着网上银行业务量的不断增长和这种业务模式被越来越多的企业和个人客户所接受,各类安全事件随之不断出现,网上银行的安全风险也正受到越来越多的关注。为确保网上银行业务的安全,国内各大银行采取各种手段以规避安全风险,主要的安全手段有以下两种。一是账号加口令模式。这种方式下,用户以账号和口令采用WEB方式登录网上银行进行金融交易。这种方式操作简单,为广大用户所接受,也是目前多家银行为广大普通个人用户所提供的网上银行交易方式。但是这种方式的安全性比较低,用户口令一旦丢失或被盗取,用户账户将没有任何安全保障。网络钓鱼、假冒网站、诈骗短信等方式很容易使用户的账户和口令被骗取。二是数字证书方式。数字证书也叫数字标识,是一种应用广泛的信息安全技术, 一般由权威公正的第三方机构即CA(CertificateAuthority)中心签发,主要用于网上安全交易的身份认证。采用数字证书,银行可实现对用户进行强身份认证,以保证金融交易的安全。该方式下,即使客户的账户和密码被窃取,只要证书没有被窃取,非法用户就无法进入受害客户的网上银行账户。个人或企业用户向银行申请数字证书时,会得到一把私钥和一个数字证书(含公钥)。其中,用户使用私钥进行数字签名。数字证书用于银行对客户的身份认证。私钥和数字证书的保管非常重要,若被泄露或窃取,用户的银行账户将面临极大的风险。数字证书的存储通常有两种方式。 一种是存储在客户计算机的硬盘中。以这种方式进行存储,数字证书同样有被黑客窃取的风险。另一种是存储在USBKey中。由于USBKey内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥及数字证书,利用USBKey内置的签名算法实现银行对用户身份的认证。由于用户私钥保存在单独的硬件设备中,能有效地防止软件复制或破解,因此保证了用户身份认证的安全性。但是采用这种方式,USBKey的保管成为至关重要的问题,在一定程度上增加了银行和客户的成本。
技术实现思路
为了解决上述现有技术中存在的问题,本专利技术的目的是提供。它利用TCM安全芯片构造可信计算环境,具有低成本,高安全、可靠性好,使用方便的特点。为了达到上述专利技术目的,本专利技术的技术方案以如下方式实现一种安全网上银行系统,它包括通过网络连接的服务器端和客户端。其结构特点是,所述客户端内置有包括可信密码模块TCM和TCM服务模块TSM的可信计算密码支撑平台。客户从银行获得的数 字证书和私钥存储在可信密码模块TCM内。在上述安全网上银行系统中,所述可信密码模块TCM由通过总 线进行相互通信的输入/输出、SMS4引擎、SM3引擎、HMAC引擎、 非易失存储器、SM2引擎、随机数发生器、执行引擎和易失存储器 模块组成。SM2引擎产生SM2密钥对和执行SM2加/解密、签名运 算,SM3引擎执行杂凑运算,SMS4引擎执行SMS4对称密钥运算, 非易失存储器和易失存储器分别用于存储永久数据和临时数据。实现上述安全网上银行系统的方法,其主要步骤为① 客户向银行申请数字证书和私钥,得到一份与银行账户 以及个人身份信息绑定的数字证书和一份与该数字证书对应 的私钥;② 客户把从银行获得的数字证书和私钥存入客户端可信 计算密码支撑平台的可信密码模块TCM中;③ 客户登录网上银行时,先验证网上银行服务器端的数字 证书,该验证通过后,网上银行服务器端验证客户的数字证书, 验证通过后建立客户端与服务器端的安全连接; 客户以账号和密码登录网上银行,执行金融交易; 交易结束后,撤销客户端和服务器端的安全连接,客户 退出网上银行系统。 在上述实现安全网上银行系统的方法中,所述网上银行服务器端验证客户的数字证书是由客户从可信密码模块TCM中提取出数字证 书并交给服务器端。在上述实现安全网上银行系统的方法中,所述客户与网上银行执 行金融交易时,客户要从可信密码模块TCM中提取出私钥,并使用 该私钥对交易数据执行相应的签名算法。服务器端接收到客户的交易 请求后,验证客户数字签名,处理交易数据,并把处理结果反馈给客 户。本专利技术采用以上结构和方法,具有如下几项优点。(1) 以可信计算密码支撑平台为基础的客户端计算机系统能确 保平台的完整性。以TCM的可信度量根为基础,可逐级实现BIOS、 IPL (Initial Program Loader,初始化程序加载器)/MBR (Master Boot Record,主引导分区)、OS内核、操作系统、应用程序的完整性度 量,以建立信任链。该信任链中任意部件的完整性受到破坏,都会触 发系统以某种方式报警。通过这个信任链,能确保该计算环境未受到 非法破坏(如非法修改BIOS、非法破坏或修改OS内核、植入恶意 程序等),这为客户登录网上银行提供了一个非常可信的客户端计算 环境。具有设备成本低,安全性能高的特点。(2) 银行颁发给用户的数字证书同用户的身份信息、银行账户 信息绑定。通过验证客户的数字证书和数字签名,网上银行服务器端 能确保特定的金融交易是特定的、被合法授权的客户完成的。而通过 可信计算密码支撑平台对客户的数字证书和私钥进行保护,可防止数 字证书和私钥被非法访问、窃取、冒用,从而保护了客户特定账户的安全,杜绝了金融诈骗的发生。具有可靠性好,使用方便的特点。下面结合附图和具体实施方式对本专利技术做进一步说明。 附图说明图1是本专利技术安全网上银行系统的结构示意图; 图2是本专利技术中客户端计算机的结构示意图; 图3是本专利技术中可信密码模块TCM的结构示意图; 图4是本专利技术实现方法流程图。 具体实施例方式参看图1至图3,本专利技术包括通过网络连接的服务器端和客户端。 客户端内置有包括可信密码模块TCM和TCM服务模块TSM的可 信计算密码支撑平台,客户从银行获得的数字证书和私钥存储在可信 密码模块TCM内。可信密码模块TCM由通过总线进行相互通信的 输入/输出、SMS4引擎、SM3引擎、HMAC引擎、非易失存储器、 SM2引擎、随机数发生器、执行引擎和易失存储模块组成。SM2引 擎产生SM2密钥对和执行SM2加/解密、签名运算,SM3引擎执行 杂凑运算,SMS4引擎执行SMS4对称密钥运算,非易失存储器和易 失存储器分别用于存储永久数据和临时数据。可信计算密码支撑平台以TCM为可信根,通过如下三类机制及平 台自身安全管理功能,实现平台安全功能。(1) 以可信度量根为起点,计算系统平台完整性度量值,建立 计算机系统平台信任链,确保系统平台可信。(2) 可信报告根标识平台身份的可信性,具有唯一性,以可信报告根为基础,实现平台身份证明和完整性报告。(3)基于可信存储根,实现密钥管理、平台数据安全保护功能, 提供相应的密码服务。参看图4,本专利技术安全网上银行系统的实现方法步骤为 客户向银行申请数字证书和私钥,成功后得到一份与银行 账户以及个人身份信息绑定的数字证书和一份与该数字证书对 应的私钥。② 客户把从银行获得的数字证书和私钥存入客户端可信计算密码支撑平台的可信密码模块TCM中。③ 客户登录网上银行时,先验证本文档来自技高网...
【技术保护点】
一种安全网上银行系统,它包括通过网络连接的服务器端和客户端,其特征在于,所述客户端内置有包括可信密码模块TCM和TCM服务模块TSM的可信计算密码支撑平台,客户从银行获得的数字证书和私钥存储在可信密码模块TCM内。
【技术特征摘要】
1、一种安全网上银行系统,它包括通过网络连接的服务器端和客户端,其特征在于,所述客户端内置有包括可信密码模块TCM和TCM服务模块TSM的可信计算密码支撑平台,客户从银行获得的数字证书和私钥存储在可信密码模块TCM内。2、 根据权利要求1所述的安全网上银行系统,其特征在于,所述可信密码模块TCM由通过总线进行相互通信的输入/输出、SMS4引擎、SM3引擎、HMAC引擎、非易失存储器、SM2引擎、随机数发生器、执行引擎和易失存储器模块组成,SM2引擎)产生SM2密钥对和执行SM2加/解密、签名运算,SM3引擎执行杂凑运算,SMS4引擎执行SMS4对称密钥运算,非易失存储器和易失存储器分别用于存储永久数据和临时数据。3、 实现如权利要求1所述安全网上银行系统的方法,其主要步骤为① 客户向银行申请数字证书和私钥,得到一份与银行账户以及个人身份信息绑定的数字证书和一份与该数字证书对应的私...
【专利技术属性】
技术研发人员:刘锋,周培军,
申请(专利权)人:同方股份有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。