技術領域

本申請涉及安全認證領域，特別是涉及一種網上交易安全認證方法及網上交易安全認證系統。

背景技術

在互聯網日益發達和普及的今天，網上交易因其方便、快捷、高效、經濟的優勢已逐漸成為人們日常交易活動中重要的交易方式之一。但是，網上交易需要借助于互聯網平臺才能實現，在交易支付過程中用戶需要通過計算機輸入賬戶密碼，如果這時遭到黑客的攻擊，用戶的賬戶密碼就很容易泄露，使用戶可能蒙受經濟上的損失。

當前比較流行的幾種黑客攻擊方式包括釣魚、木馬和木馬釣魚等，其中“釣魚”是指黑客利用用戶的弱點來騙取用戶的密碼；“木馬”是指黑客通過向用戶機器種植惡意程序，達到篡改用戶交易的目的，讓用戶為黑客買單；“木馬釣魚”是指同時使用木馬和釣魚劫持用戶交易，并在第三方網站創建交易，篡改用戶交易顯示，給用戶展示用戶想看到的交易，騙取用戶輸入密碼，讓用戶為黑客在第三方網站上的交易買單。

為了增加交易的安全性，人們開發了密碼控件技術和動態口令OTP(one?time?password，簡稱OTP，即一次一密)技術，用來對用戶的網上交易進行保護。但是，最初的密碼控件技術僅僅是一個靜態的密碼保護插件，而第一代的OTP技術只是基于密碼安全的角度設計的，對釣魚和木馬的防范能力較差；第二代的OPT技術雖然將交易信息作為一個外部輸入來產生密碼，此時的密碼已經不再是基于密碼安全的安全了，因此安全性能有所提升，但目前應用二代OTP技術的主要是一些硬件產品如USB?Key，而硬件產品在使用范圍和使用壽命上都受到限制，特別是當技術升級時，硬件產品一般需要更換新的硬件才能實現。

因此，需要本領域技術人員迫切解決的一個技術問題就是：如何通過軟件的方式實現二代OTP技術，既能克服硬件存在的使用范圍、使用壽命及技術升級的問題，又能解決當前網上交易面臨的防范釣魚、木馬、木馬釣魚能力較差的問題。

發明內容

本申請所要解決的技術問題是提供一種網上交易安全認證方法及網上交易安全認證系統，既能克服硬件存在的使用范圍、使用壽命及技術升級的問題，又能解決當前網上交易面臨的防范釣魚、木馬、木馬釣魚能力較差的問題。

為了解決上述問題，本申請公開了一種網上交易安全認證方法，包括：

生成用戶端與服務端進行加密通信的隨機會話密鑰；

所述服務器端依據所述隨機會話密鑰，驗證所述用戶端的用戶身份；

用戶身份驗證通過后，所述服務器端生成交易圖片信息，并依據所述隨機會話密鑰加密傳輸所述交易圖片信息至用戶端；

所述用戶端確認所述交易圖片信息后，所述服務器端依據所述隨機會話密鑰驗證交易簽名。

優選的，所述生成用戶端與服務端進行加密通信的隨機會話密鑰，包括：

在用戶端生成隨機數；

用預置的RSA公鑰加密所述隨機數；

發送所述加密的隨機數至服務端；

在服務端依據所述加密的隨機數生成隨機會話密鑰；

發送所述隨機會話密鑰至用戶端。

優選的，所述依據隨機會話密鑰驗證用戶端的用戶身份，包括：

在用戶端提取用戶機器信息；

用所述隨機會話密鑰加密用戶機器信息；

傳送所述加密的用戶機器信息至服務端；

在服務端驗證用戶機器信息匹配程度；

當用戶機器信息匹配程度符合預置條件時，用戶身份驗證通過；

當用戶機器信息匹配程度不符合預置條件時，用戶身份驗證失敗。

優選的，所述方法還包括：

在服務端生成抓取因子，并發送至用戶端；

則在用戶端根據所述抓取因子提取用戶機器信息，用所述隨機會話密鑰加密用戶機器信息和抓取因子，并傳送至服務端；

服務端依據所述抓取因子驗證用戶機器信息匹配程度。

優選的，當用戶身份驗證失敗時，所述方法還包括：

用戶端發送手機短信發送請求；

服務端收到所述請求后，獲取用戶信息，生成手機短信驗證碼，并發送所述手機短信驗證碼至用戶綁定的手機；

用戶收到手機短信驗證碼后，在用戶端輸入所述手機短信驗證碼，并發送至服務端；

服務端進行短信驗證碼驗證，驗證通過后，發送用戶身份驗證通過的結果至用戶端。

優選的，所述生成交易圖片信息，包括：

根據交易信息、隨機會話密鑰、時間和用戶種子，生成交易驗證碼；

根據交易信息和隨機會話密鑰，生成摘要信息；

生成底圖，并將摘要信息加入所述底圖；