[发明专利]一种基于手机的无卡银行账号实现方法

摘要

一种基于手机的无卡银行账号实现方法，是采用“垂直认证”技术模式，基于单钥密码算法建立加密系统，采用组合密钥生成算法，实时产生认证/签名密钥，一次一变，仅用单钥密码算法，完成身份认证、数字签名、密钥交换和数据加密4项功能，在手机端的加密芯片里，建立加密系统以及身份认证和签名协议，在银行数据服务器端和提款机端的认证设备加密芯片里，分别建立加密系统以及身份认证和签名验证协议，并通过二维码进行手机与提款机之间的数据通信，同时，在提款机端部署密码认证协议，或人脸识别协议，实现在网上注册无卡银行账号、移动支付和无卡取款，从而，建立一种基于手机的无卡银行账号管理系统。

主权项

本发明是采用“垂直认证”技术模式，基于单钥密码算法建立加密系统，且用组合密钥生成算法，解决单钥密码算法的密钥管理难题，在客户端建立加密系统，在加密芯片里建立身份认证协议和数字签名协议，在银行数据服务器端和提款机端分别建立加密系统，在两端认证设备的加密芯片里，分别建立身份认证协议和签名验证协议，同时，在提款机端建立密码认证协议、或人脸识别协议；当使用有银行卡的账号情况下，在银行卡上安装带CPU芯片的智能卡，在智能卡CPU芯片里，建立银行卡端的加密系统，并建立身份认证协议和数字签名协议；当用户使用银行卡在提款机上提款时，用户插入带CPU芯片的银行卡，银行卡端的加密系统，调用身份认证协议，并从银行数据服务器端认证设备里，下载对应用户银行账号的“密钥种子”，若未通过提款机端身份认证，则用户提款失败，若通过身份认证，则用户可登录提款机中用户的银行卡个人账号，确认取款额，银行卡端加密系统调用数字签名协议，对取款单进行签名，提款机端签名验证协议，对取款单进行签验即：完整性验证，若未通过签验，则用户提款失败，若通过签验，则提款机屏幕上提示：输入密码，或提示：进行人脸识别，若未通过密码认证，或未通过人脸识别认证，则用户提款失败，否则，用户即可取款，并通过退出银行卡来退出提款系统，从而，完成用户使用银行卡的提款过程；本发明是采用“垂直认证”技术模式，基于单钥密码算法建立加密系统，且用组合密钥生成算法，实现密钥实时生成，一次一变，采用加密芯片，在手机、提款机和银行数据服务器认证中心端，分别建立加密系统，同时，在提款机端建立密码认证协议或人脸识别协议，并通过二维码技术进行手机与提款机之间的数据通信，实现在网上注册无卡银行账号、移动支付和无卡提款，其方法的技术特征在于：首先，在用户的手机端嵌入加密芯片，在手机端加密芯片里，建立手机端的加密系统，并写入单钥密码算法、摘要算法、组合密钥生成算法、一组“密钥种子”表的元素、身份认证协议和签名协议，在手机端建立银行账号数据库，银行账号数据库的字段包括：手机卡号、开户银行和银行账号，部署二维码生成算法；在银行数据服务器端建立认证中心，认证中心由认证设备组成，在认证中心的认证设备加密芯片里，建立认证中心端加密系统，写入单钥密码算法、摘要算法、组合密钥生成算法、身份认证协议、签名验证协议，将全体用户的手机卡号、银行账号、“密钥种子”表的元素密文，以及一组时间戳和随机数，一并存储在认证中心端的“密钥种子”数据库中，同时，将全体用户的密码存储在密码数据库中，或将全体用户的人脸识别特征参数，存储在人脸识别特征数据库中；在提款机端也部署认证设备，在认证设备加密芯片里，建立提款机端加密系统，写入单钥密码算法、摘要算法、组合密钥生成算法、身份认证协议、签名验证协议，在提款机端建立“密钥种子”数据库，在提款机端建立密码数据库，建立密码认证协议，或者建立人脸识别特征数据库，建立人脸识别算法及其人脸识别协议，同时，部署二位码读取算法和二维码数据还原算法即：将二维码转成生成二维码前的数据；基于“垂直认证”技术模式的密钥管理，是密钥集中生成，集中灌装，集中分发，集中销毁；由密码管理单位，采用加密设备中的随机数发生器，集中生成密钥，且集中灌装到手机端、提款机端和认证中心端的加密芯片里，集中将全体用户的“密钥种子”分别加密成密文，与认证设备一起分发给认证中心，同时，通过手机端、提款机端和认证中心端的加密芯片，集中分发密钥，认证中心的系统管理员，在“密钥种子”数据库中，对已经时效的密钥进行集中销毁；组合密钥生成算法，是由一组时间戳和随机数组成的选取参数，来对一组“密钥种子”表的元素进行选取，将选出的Y个元素，并合成一组存储密钥K，或认证/签名密钥CK，其中：Y＝16或32；当用户A进行网上注册无卡银行账号时，用户A使用手机端加密的身份认证协议，登录XX银行数据服务器的账号管理系统，当通过认证中心的身份认证后，银行数据服务器的账号管理系统，为用户A自动分配一个银行账号，认证中心用刚刚完成的身份认证协议中的认证密钥CK1，将该账号加密成密文后发送给用户A手机端，在用户A的手机端加密芯片里，采用相同的认证密钥CK1，将账号的密文解密成明文，并将解密后的银行账号存储在用户A手机的银行账号数据库中，从而，完成无卡银行账号的网上注册；当用户A进行移动网银支付时，用户A使用手机端加密芯片的身份认证协议，登录自己的银行账号后，在银行账号里填写转款单，在手机端加密芯片里，根据组合密钥生成算法，生成一组签名密钥CK2，对转款单内容进行签名和加密，再发送给银行数据服务器的认证中心，在认证中心的加密芯片里，调用签名验证协议，对转款单密文进行解密，对转款单的数字签名进行签名验证即：完整性验证，若转款单的内容通过完整性验证，则银行数据服务器端的结算系统，立刻根据转款单的内容进行转款，否则，转款失败，从而，完成网上移动支付；当用户A在提款机上提款时，方法一：是由身份认证协议和密码认证协议来完成，即：实现双因子认证，用户A使用手机端加密芯片中的身份认证协议，产生手机端的认证参数即：手机卡号、银行账号、时间戳与随机数、时间戳与随机数的摘要信息、以及二者的数字签名，通过二维码生成算法，将该认证参数转成二维码，同时，将二维码发送给提款机，提款机系统根据银行账号，在“密钥种子”数据库中检索对应的“密钥种子”记录，若检索到对应的“密钥种子”记录，则执行提款机端加密芯片里的身份认证协议，若未检索到对应的“密钥种子”记录，则将该认证参数中的银行账号发送给认证中心，认证中心端根据银行账号，分别将对应的密码和“密钥种子”密文的两条记录，从认证中心端下载到提款机端的密码数据库和“密钥种子”数据库中，再执行提款机端加密芯片中的身份认证协议，若未通身份认证过，则用户A提款失败，若通过身份认证，则提款机屏幕上提示输入密码，用户A输入密码后，若未通过密码认证，则用户A提款失败，若通过密码认证，则用户A可登录提款机中用户A的个人账号，即可取款，并通过点击提款机上的退卡键退出提款系统，从而，完成用户A的提款过程；方法二：是由身份认证协议和人脸识别协议来完成，即：实现双因子认证，用户A使用手机端加密芯片中的身份认证协议，产生手机端的认证参数即：手机卡号、银行账号、时间戳与随机数、时间戳与随机数的摘要信息、以及二者的数字签名，通过二维码生成算法，将该认证参数转成二维码，同时，将二维码发送给提款机，提款机系统根据银行账号，在“密钥种子”数据库中检索对应的“密钥种子”记录，若检索到对应的“密钥种子”记录，则执行提款机端加密芯片里的身份认证协议，若未检索到对应的“密钥种子”记录，则将该认证参数中的银行账号发送给认证中心，认证中心端根据银行账号，分别将对应的人脸识别特征和“密钥种子”密文的两条记录，从认证中心端下载到提款机端的人脸识别特征数据库和“密钥种子”数据库中，再执行提款机端加密芯片中的身份认证协议，若未通身份认证过，则用户A提款失败，若通过身份认证，则提款机屏幕提示进行人脸识别，若未通过人脸识别，则用户A提款失败，若通过人脸识别，则用户A可登录提款机中用户A的银行账号，即可取款，并通过点击提款机上的退卡键退出提款系统，从而，完成用户A的提款过程；总之，采用“垂直认证”技术模式，基于单钥密码算法建立加密系统，能完成身份认证、数字签名、密钥交换和数据加密4项功能，从而，建立一种基于手机的无卡银行账号管理系统。