技術領域

本發明涉及計算機網絡數據技術領域，特別是一種網上交易系統及方法。

背景技術

隨著技術的不斷發展，網上銀行業務也利用迅猛發展的計算機和計算機網絡與通訊技術滲透到全球每個角落的互聯網，到目前為止，國內的大多數銀行都推出了自己的網上銀行業務。在網上銀行的發展過程中，網上交易的安全問題也成為人們關注的焦點。

目前，在用戶進行網上交易時，需要先將USBKey插入USB接口，用戶輸入密碼，用以對USBKey的使用權，然后對服務端和數字端進行驗證，用以確認用戶的合法身份和服務端的合法性，確認正確后就可以開始使用USBKey內置的密碼進行網上交易。

但是，只要數字證書和私鑰存放在電腦介質中，或者可能被讀入內存，那么其安全性是不高的。如果用戶計算機被攻擊者操縱，用戶的數字證書和密碼就很有可能被攻擊者姐卻，攻擊者可以利用這些驗證信息冒充用戶進行非法操作，造成用戶經濟損失。

發明內容

針對現有技術存在的上述問題，本發明的目的在于提供一種網上交易系統及方法。

本發明提供了一種網上交易系統，包括服務器、客戶端和安全設備；

所述服務器包括安全控制模塊，所述安全控制模塊設有識別碼驗證單元、密碼生成單元、存儲單元和運算單元；

所述客戶端設有中轉模塊和識別碼輔助模塊；

所述安全設備設有識別碼生成模塊、服務器認證模塊、智能密碼模塊和加密通信模塊。

優選地，在所述服務器中，所安全控制模塊，用于完成服務器與安全設備之間的通訊進行加密；

所述識別碼驗證單元，用于驗證識別碼生成模塊生成的識別碼進行認證；

所述密碼生成單元，用于生成通訊密碼和校驗密碼；

所述存儲單元，用于存儲密碼生成單元生成的通訊密碼和校驗密碼；

所述運算單元，用于完成加密、解密以及校驗操作。

優選地，在所述客戶端中，所述中轉模塊，用于完成服務器與安全設備之間的信息傳遞工作；

所述識別碼輔助模塊，用于輔助完成識別碼驗證單元的驗證工作。

優選地，在所述安全設備中，所述識別碼生成模塊，用于生成識別碼；

所述服務器認證模塊，用于驗證服務器是否合法；

所述智能密碼模塊，用于驗證密碼生成單元生成的通訊密碼；

所述加密通信模塊，用于對通訊信號進行加密和解密。

優選地，所述智能密碼模塊為安全設計芯片，所述安全設計芯片包括智能卡芯片。

優選地，所述加密通信模塊為USB接口模塊。

本發明還提供了一種網上交易方法，包括：

所述客戶端向服務器發送協商會話密碼指令；

所述服務器生成第一會話密碼和第二會話密碼，并打包生成會話密碼包；

所述服務器將會話密碼包發送給客戶端，所述客戶端向安全設備轉發會話密碼包，并從會話密碼包中獲取第一會話秘鑰；

所述安全設備從會話密碼包中獲取第一會話密碼和第二會話密碼；

所述服務器、客戶端和安全設備之間利用第一會話密碼和第二會話密碼進行加/解密通信，執行網上交易。

優選地，所述服務器和安全設備中的識別碼均有效，則所述客戶端和服務器交換彼此的公共密碼。

優選地，所述第一會話密碼用于安全設備與客戶端之間進行加/解密通信，所述第二會話密碼用于安全設備和與服務器之間進行加/解密通信。

優選地，生成所述密保包的過程為：

所述服務器使用客戶端對第一會話密碼和第二會話密碼進行加密，使用服務器私密對第一會話密碼進行加密，并將所述服務器使用客戶端公共密碼的第一會話密碼和第二會話密碼及服務器使用服務器內部預先設置的對稱密碼加密的第一會話密碼打包生成會話密碼包。

綜上所述，本發明具有以下優點：

本發明的交易系統和交易方法，可以使得在每次交易時均采用不同的密碼，可以防止攻擊者對用戶信息截取而重復使用。且每次交易前密碼不會保存在安全設備中，可以防止惡意讀取。在服務器向安全設備發送密碼的過程中，采取了對會話密碼加密傳送的方法，使得交易更安全。

附圖說明

圖1為本實施例的網上交易系統的結構框圖；

圖2為本實施例的網上交易方法的流程圖。

具體實施方式

下面結合實施方式及附圖對本發明作進一步詳細、完整地說明。

如圖1-2所示，本發明提供了一種網上交易系統，包括服務器、客戶端和安全設備；