一种网银安全保护方法、系统、介质、设备及终端技术方案

本发明专利技术属于网络安全技术领域，公开了一种网银安全保护方法、系统、介质、设备及终端，由浏览器向网上银行系统和网银安全服务发送HTTPS请求，网上银行系统和网银安全服务接收浏览器发送的HTTPS请求并对浏览器进行HTTPS响应；采用IRP对敏感数据进行对称加密后返回给网银安全服务辅助驱动，采用RPC对敏感数据进行对称加密后返回给网银安全服务辅助进程；网银安全服务将敏感数据采用RSA或SM2嵌套加密后，通过HTTPS响应给浏览器；浏览器通过HTTPS将加密处理后的数据返回给网上银行系统。本发明专利技术的网银安全保护系统有效阻止了木马程序获取用户输入信息，保护用户密码或敏感信息内容，提升网银安全服务安全性。提升网银安全服务安全性。提升网银安全服务安全性。

【技术实现步骤摘要】
一种网银安全保护方法、系统、介质、设备及终端


[0001]本专利技术属于网络安全
，尤其涉及一种网银安全保护方法、系统、介质、设备及终端。

技术介绍

[0002]目前，随着互联网的普及，各类网上银行用户与日趋增，保护用户输入信息的安全问题日益凸显，当用户输入密码或敏感信息时，如何输入内容不被木马程序劫持。并且在整个网银业务流程中不会已明文的形式出现。已经成为安全厂商的首要目标，因此安全输入类的软件应运而生。目前的安全输入主要包括以下两种：
[0003](1)插件类网银安全输入控件：通过安全输入控件(ActiveX Control)和安全输入插件(NPAPI Plugin)嵌入到浏览器。以此使用对用户输入信息的加密操作。随着Windows操作系统的升级，新的Windows默认浏览器Edge已不再支持ActiveX Control控件。各大浏览器厂商由于安全和性能方面的考虑，也已经禁用了NPAPI Plugin插件，目前只保留在部分需要兼容的网上银行网站。
[0004](2)Chrome扩展式安全输入插件：通过集成Chrome浏览器的相关接口实现用户输入信息的加密操作，但只能安装到使用Chromium内核的浏览器。
[0005]随着互联网技术的发展，ActiveX Control类型的安全输入控件已经随着Windows不在对IE浏览器的进行更新而停止服务。NPAPI Plugin类型的插件则是由于该插件与浏览器是平级运行在用户的电脑中，权限太大几乎可以访问系统的所有API。出于安全性和性能方面的考虑被浏览器厂上所淘汰。Chrome扩展式安全输入插件，基于Web技术(如HTML、CSS和JavaScript)构建的软件程序，此类安全输入插件受限于Chrome浏览器自身的功能，并且不支持非Chromium内核的浏览器。所以此类安全输入的软件使用起来有一定限制条件，无法做到普遍适配，且用户体验不好。
[0006]通过上述分析，现有技术存在的问题及缺陷为：现有的网银安全保护技术用户体验不好、应用场景受到限制，无法做到普遍适配，且安全性不高。

技术实现思路

[0007]针对现有技术存在的问题，本专利技术提供了一种网银安全保护方法、系统、介质、设备及终端。
[0008]本专利技术是这样实现的，一种网银安全保护方法，网银安全保护方法包括：由浏览器向网上银行系统和网银安全服务发送HTTPS请求，网上银行系统和网银安全服务接收浏览器发送的HTTPS请求并对浏览器进行HTTPS响应；采用IRP对敏感数据进行对称加密后返回给网银安全服务辅助驱动，采用RPC对敏感数据进行对称加密后返回给网银安全服务辅助进程；网银安全服务将敏感数据采用RSA或SM2嵌套加密后，通过HTTPS响应给浏览器；最后浏览器通过HTTPS将加密处理后的数据返回给网上银行系统。
[0009]进一步，网银安全保护方法包括以下步骤：
[0010]步骤一，利用键盘输入保护方法、鼠标输入保护方法、进程保护方法以及设备处理方法进行输入保护，对反挂钩线程实时扫描并及时取消发现的挂钩；
[0011]步骤二，利用时间戳技术，对交易数据加盖时间戳，控制交易报文生存期，同时利用放重新因子技术控制每一笔交易均具备唯一的ID；
[0012]步骤三，使用非对称算法对关键数据进行加解密，采用加壳方法及自定义反调试方法对控件进行保护，并采用多重密钥体系进行客户端与服务端的通讯；
[0013]步骤四，通过在本地环境部署HTTPS服务模块并集合Ajax请求进行页面与功能模块的通讯。
[0014]进一步，步骤一中的键盘输入保护方法包括：设置PS2键盘获取按键的位置在i8042Port位置，设置USB键盘获取按键的位置在USB PORT层进行键盘输入保护；当安全输入控件不能比木马程序更底层时，采用扰乱方式获取用户的真实按键和干扰按键。
[0015]进一步，步骤一中的利用鼠标输入保护方法、进程保护方法以及设备处理方法进行输入保护包括：
[0016](1)通过随机变换软键盘按键位置进行鼠标输入保护，同时利用API Hook、虚拟桌面或其他反截屏技术对软键盘窗口进行多重保护；
[0017](2)在安全输入控件开始工作后，利用挂钩系统关键函数直接返回拒绝未知进程访问安全输入控件所在进程；
[0018](3)基于I/O Request Packet的处理方式对安全输入控件驱动设备栈下层无关设备采取IRP绕过方式进行处理。
[0019]进一步，步骤三中的使用非对称算法对关键数据进行加解密包括：
[0020](1)在浏览器上安全输入控件使用加密平台下发的公钥PK1对PIN块按照加密平台指定填充方式进行加密，形成密文CT1；
[0021](2)在浏览器上安全输入控件将密文CT1、服务器时间戳Timestamp、密码强度Degree组成新的待加密串CT1C；
[0022]CT1C＝Timestamp+Degree+CT1；
[0023](3)在浏览器上安全输入控件使用应用服务器下发的RSA公钥PK2加密CT1C，形成密文CT2；
[0024](4)在应用服务器上应用程序使用PK2对应的私钥解密CT2，获得CT1C；应用服务器校验服务器时间戳Timestamp没有超时；
[0025](5)在应用服务器上调用加密平台接口在将CT1密文转换为用网银系统加密的PIN密文后发送至总行前置系统。
[0026]本专利技术的另一目的在于提供一种应用所述的网银安全保护方法的网银安全保护系统，网银安全保护系统包括：
[0027]输入保护模块，包括键盘输入保护单元、鼠标输入保护单元、进程保护单元和设备处理单元，用于利用键盘输入保护方法、鼠标输入保护方法、进程保护方法以及设备处理方法进行输入保护；
[0028]反挂钩模块，用于对反挂钩线程实时扫描并及时取消发现的挂钩；
[0029]防重放模块，用于利用时间戳技术，对交易数据加盖时间戳，控制交易报文生存期，同时用于利用放重新因子技术控制每一笔交易均具备唯一的ID；
[0030]参数化配置模块，用于进行加密格式参数化配置；
[0031]输入内容校验模块，用于进行输入内容的安全校验；
[0032]输入内容过滤模块，用于基于字典进行输入内容的过滤；
[0033]输入格式设定模块，用于设定输入格式；
[0034]密码强度设定模块，用于设定密码强度；
[0035]机器指纹获取模块，用于获取机器指纹；
[0036]加密模块，用于使用非对称算法对关键数据进行加解密；
[0037]脱壳和反汇编模块，用于采用加壳法和自定义反调试法对控件进行保护；
[0038]通讯模块，用于采用多重密钥体系进行客户端与服务端的通讯；
[0039]HTTPS服务模块，包括对象管理单元、伙伴校验单元、内容校验单元、加密服务单元、输入保护单元和数字签名单元，用于结合Ajax请求进行页面与功本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网银安全保护方法，其特征在于，网银安全保护方法包括：由浏览器向网上银行系统和网银安全服务发送HTTPS请求，网上银行系统和网银安全服务接收浏览器发送的HTTPS请求并对浏览器进行HTTPS响应；采用IRP对敏感数据进行对称加密后返回给网银安全服务辅助驱动，采用RPC对敏感数据进行对称加密后返回给网银安全服务辅助进程；网银安全服务将敏感数据采用RSA或SM2嵌套加密后，通过HTTPS响应给浏览器；最后浏览器通过HTTPS将加密处理后的数据返回给网上银行系统。2.如权利要求1所述的网银安全保护方法，其特征在于，网银安全保护方法包括以下步骤：步骤一，利用键盘输入保护方法、鼠标输入保护方法、进程保护方法以及设备处理方法进行输入保护，对反挂钩线程实时扫描并及时取消发现的挂钩；步骤二，利用时间戳技术，对交易数据加盖时间戳，控制交易报文生存期，同时利用放重新因子技术控制每一笔交易均具备唯一的ID；步骤三，使用非对称算法对关键数据进行加解密，采用加壳方法及自定义反调试方法对控件进行保护，并采用多重密钥体系进行客户端与服务端的通讯；步骤四，通过在本地环境部署HTTPS服务模块并集合Ajax请求进行页面与功能模块的通讯。3.如权利要求2所述的网银安全保护方法，其特征在于，步骤一中的键盘输入保护方法包括：设置PS2键盘获取按键的位置在i8042Port位置，设置USB键盘获取按键的位置在USB PORT层进行键盘输入保护；当安全输入控件不能比木马程序更底层时，采用扰乱方式获取用户的真实按键和干扰按键。4.如权利要求2所述的网银安全保护方法，其特征在于，步骤一中的利用鼠标输入保护方法、进程保护方法以及设备处理方法进行输入保护包括：(1)通过随机变换软键盘按键位置进行鼠标输入保护，同时利用API Hook、虚拟桌面或其他反截屏技术对软键盘窗口进行多重保护；(2)在安全输入控件开始工作后，利用挂钩系统关键函数直接返回拒绝未知进程访问安全输入控件所在进程；(3)基于I/O Request Packet的处理方式对安全输入控件驱动设备栈下层无关设备采取IRP绕过方式进行处理。5.如权利要求2所述的网银安全保护方法，其特征在于，步骤三中的使用非对称算法对关键数据进行加解密包括：(1)在浏览器上安全输入控件使用加密平台下发的公钥PK1对PIN块按照加密平台指定填充方式进行加密，形成密文CT1；(2)在浏览器上安全输入控件将密文CT1、服务器时间戳Timestamp、密码强度Degree组成新的待加密串CT1C；CT1C＝Timestamp+Degree+CT1；(3)在浏览器上安全输入控件使用应用服务器下发的RSA公钥PK2加密CT1C，形成密文CT2；(4)在应用服务器上应用程序使...

【专利技术属性】
技术研发人员：罗勇，杨长专，常保丰，王雪松，宋子豪，
申请(专利权)人：北京云核网络技术有限公司，
类型：发明
国别省市：