2. 技术
  3. 一种网上银行系统的退出方法及装置与流程

一种网上银行系统的退出方法及装置与流程

allin2022-09-26  217


1.本发明涉及信息安全技术领域,具体涉及一种网上银行系统的退出方法及装置。


背景技术:

2.为了保证网上银行系统数据的传输安全性和客户的身份合性,金融机构提供了一种网银安全登录方案,用户在网上银行开通了u盾数字证书认证工具,网上银行系统给用户u盾签发数字证书。用户通过网上银行客户端(浏览器、app等)访问网上银行系统,通过u盾数字证书方式登录网上银行,客户端和网上银行系统之间通过tls协议和u盾数字签名功能完成tls协议会话密钥协商和安全传输通道建立,网上银行系统借助tls协议中会话密钥标识(session id)对应的tls协议会话密钥以保持网上银行客户端与服务端之间会话的有效和用户网上银行登录状态的持久性。用户需要退出网上银行时,清除tls协议会话密钥,客户端无法适用tls会话密钥维持客户端和服务端之间继续保持有效会话,用户因而也就无法继续使用网银,以达到用户安全退出网上银行登录的目的。
3.现有技术主要是通过客户端操作系统提供的安全组件接口清除tls协议会话密钥从而关闭客户端和服务端之间的会话以达到安全退出登录的目的,但是上述方法存在在客户退出登录后,储存在服务端的tls协议会话密钥并未被清除的问题,此时如果客户端未被删除的tls协议会话密钥用于暴露在互联网,可能被不法分子植入病毒后窃取,用于与服务端建立会话从而重复登录网上银行。


技术实现要素:

4.针对现有技术中的问题,本发明实施例提供一种网上银行系统的退出方法及装置,能够至少部分地解决现有技术中存在的问题。
5.第一方面,本发明提出一种网上银行系统的退出方法,包括:
6.接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;
7.根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;
8.使用所述第二会话密钥对所述退出请求信息进行解密;
9.若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。
10.进一步的,所述第一会话密钥和所述第二会话密钥通过以下步骤获得:
11.接收客户端发送的tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;
12.向客户端发送u盾数字证书请求和第二随机数,以使客户端生成预主密钥和第一
会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;
13.接收客户端发送的加密后的所述预主密钥所述第一会话密钥标识;
14.使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥;
15.将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。
16.进一步的,所述tls会话请求信息包括tls协议版本号信息和加密算法信息。
17.进一步的,在删除本地的所述第二会话密钥和第二会话密钥标识后,还包括:向客户端发送安全退出提示。
18.进一步的,所述退出登录请求报文包括退出登录请求标识、退出时间、客户ip地址和终端mac地址。
19.第二方面,本发明提出一种网上银行系统的退出方法,包括:客户端向所述服务端发送退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应,以使服务端使用所述会第二会话密钥对所述退出请求信息进行解密,其中,所述第一会话密钥与所述第二会话密钥是相同的;服务端若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。
20.进一步的,所述第一会话密钥和所述第二会话密钥通过以下步骤获得:
21.向服务端发送tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;
22.接收服务端发送的u盾数字证书请求和第二随机数,生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;以使服务端使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥并将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。
23.第三方面,本发明提供一种网上银行系统的退出装置,包括:
24.第一接收模块,用于接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;
25.第一查找模块,用于根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;
26.第一解密模块,用于使用所述会第二会话密钥对所述退出请求信息进行解密;
27.判断退出模块,用于判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其
中所述第二会话密钥与所述第二会话密钥标识一一对应。
28.第四方面,本发明提供一种网上银行系统的退出装置,包括:
29.请求发送模块,用于向服务端发送退出请求信息和第一会话密钥标识,以使服务端根据所述第一会话密钥标识查找对应的第二会话密钥,使用所述第二会话密钥对所述退出请求信息进行解密和在判断获知解密后的所述退出请求信息中包含退出登录请求报文之后,删除所述第二会话密钥和第二会话密钥标识以结束对应的的会话;
30.其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;所述第一会话密钥与所述第二会话密钥是相同的;所述第二会话密钥与所述第二会话密钥标识一一对应。
31.再一方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一实施例所述网上银行系统的退出方法的步骤。
32.又一方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一实施例所述网上银行系统的退出方法的步骤。
33.本发明实施例提供的网上银行系统的退出及装置,在服务端接收到客户端的退出登录请求后对应查找服务端储存的用户会话密钥标识及对应的会话密钥,并进行删除,在退出登录网上银行的同时删除了服务端储存的用于维持会话的会话密钥,即使他人恶意获取客户端的会话密钥,也无法与服务端重新建立会话,从而重复登录网上银行,提高了网上银行系统数据的安全性。
附图说明
34.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
35.图1是本发明一实施例提供的网上银行系统的退出方法的流程示意图。
36.图2是本发明一实施例提供的网上银行系统的退出方法的流程示意图。
37.图3是本发明一实施例提供的网上银行系统的退出方法的流程示意图。
38.图4是本发明一实施例提供的网上银行系统的退出方法的流程示意图。
39.图5是本发明一实施例提供的网上银行系统的退出装置的结构示意图。
40.图6是本发明一实施例提供的网上银行系统的退出装置的结构示意图。
41.图7是本发明一实施例提供的网上银行系统的退出装置的结构示意图。
42.图8是本发明一实施例提供的网上银行系统的退出装置的结构示意图。
43.图9为本发明一实施例提供的电子设备的实体结构示意图。
具体实施方式
44.为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并
不作为对本发明的限定。需要说明的是,在不冲突的情况下,本技术中的实施例及实施例中的特征可以相互任意组合。
45.下面以服务端服务器作为执行主体为例,来说明本发明实施例提供的网上银行系统的退出方法的实现过程。其中,本发明实施例提供的网上银行系统的退出方法的执行主体包括但不限于服务器。
46.图1是本发明一实施例提供的网上银行系统的退出方法的流程示意图,如图1所示,本发明实施例提供的网上银行系统的退出方法,包括:
47.s101:接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;
48.该步骤中,服务端接收客户端发送的退出登录请求和第一会话密钥标识,从而触发服务端对所述第二会话密钥进行查找并删除,从而结束所述服务端与所述客户端之间的会话。
49.具体的,所述退出请求信息包括退出登录请求报文,所述退出登录请求报文用于触发服务端启动根据所述第一会话密钥标识对本地储存的第二会话密钥进行查找。
50.所述退出请求报文是由退出登录请求标识、退出时间、客户ip地址和终端mac地址组装而成的。
51.所述第一会话密钥标识(session id),是一个文本字符串,是网上银行连接会话中用于保持会话通道稳定的第一会话密钥对应的(session key)的唯一标识符。
52.s102:根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;
53.该步骤中,服务端根据所述第一会话密钥标识与所述第一会话密钥的关系,使用第一会话密钥标识在本地查找对应的第二会话密钥。
54.具体的,所述第一会话密钥是客户端使用发出tls会话请求时生成的第一随机数,接收客户端发送u盾数字证书请求和第二随机数后生成的预主密钥和所述第二随机数生成的,并与所述第一会话密钥标识对应储存在客户端本地。
55.所述服务端在接收到客户端发送的加密的预主密钥后,使用服务端证书公钥解密所述预主密钥后,使用所述预主密钥、所述第一随机数和所述第二随机数生成第二会话密钥,并与所述第二会话密钥标识对应储存在服务端本地。因此所述第一会话密钥和所述第二会话密钥是相同的,服务端根据第一会话密钥标识与第一会话密钥的对应关系,使用所述第一会话密钥标识在本地对相应的第二会话密钥进行查找。
56.s103:使用所述会第二会话密钥对所述退出请求信息进行解密;
57.该步骤中,服务端使用第二会话密钥解密所述退出请求信息,用于判断是否清除本地储存的第二会话密钥及其对应的第二会话密钥标识。
58.具体的,服务端使用s102中在本地查找到的所述第二会话密钥对所述退出请求信息进行解密。
59.由于所述退出请求信息是客户端在发出前使用所述第一会话密钥进行加密的,所述服务端接收到加密的所述退出请求后,使用与所述第一会话密钥相同的第二会话密钥对所述退出请求信息进行解密。
60.s104:若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。
61.该步骤中,对解密后的退出请求信息进行识别,以确认是否删除服务端本地储存的所述第二回话密钥和第二会话密钥标识,从而结束服务端与所述客户端之间的对话。
62.具体的,对s103中使用所述第二会话密钥解密的退出请求信息进行识别判断,若判断获知解密后的所述退出请求信息中包含退出请求报文,由于所述退出请求报文中包含退出登录请求标识,则触发服务端启动安全退出,从而结束与客户端的会话。
63.由于网上银行客户端与服务端之间的会话是基于tls协议(transport layer security protocol)进行的,网上银行系统借助tls协议中会话密钥标识对应的会话密钥以保持网上银行客户端与服务端之间会话的有效和用户网上银行登录状态的持久性,网上银行服务端和客户端通过保存记录各自的第一会话密钥和第二会话密钥,从而保持会话。
64.可以理解的是,如果网上银行服务端和客户端通过保存记录各自的第一会话密钥和第二会话密钥无法对应,例如所述第一会话密钥和第二会话密钥不相同或服务端不存在与所述的第一会话密钥对应的第二会话密钥,则客户端与服务端之间无法建立会话或者已经建立的会话无法继续维持。
65.因此,若判断获知解密后的所述退出请求信息中包含退出请求报文后,服务端通过删除本地储存的第二会话密钥,使得服务端不存在与客户端的第一会话密钥相同的第二会话密钥,从而结束所述客户端与所述服务端之间的会话,并且,由于服务端删除了所述第二会话密钥,即便储存于客户端本地的第一会话密钥被他人恶意获取,从其他客户端尝试建立与服务端的会话,所述会话也会因为服务端不存在对应的第二会话密钥而无法建立,从而确保了用户登录网上银行的安全性。
66.本发明实施例提供的网上银行系统的退出方法,在服务端接收到客户端的退出登录请求后对应查找服务端储存的用户会话密钥标识及对应的会话密钥,并进行删除,在退出登录网上银行的同时删除了服务端储存的用于维持会话的会话密钥,即使他人恶意获取客户端的会话密钥,也无法与服务端重新建立会话,从而重复登录网上银行,提高了网上银行系统数据的安全性。
67.图2是本发明一实施例提供的网上银行系统的退出方法的流程示意图,如图2所示,在上述各个实施例的基础上,进一步的,所述第一会话密钥和所述第二会话密钥通过以下步骤获得:
68.s201:接收客户端发送的tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;
69.该步骤中,服务端接收客户端发送的tls会话请求。
70.具体的,当用户从网上银行客户端进行登录时,所述网上银行客户端向所述网上银行服务端发送tls会话请求和随机生成的第一随机数,从而开始建立用户在客户端与服务端之间的会话。
71.同时,客户端将所述第一随机数发送至服务端时,也将所述第一随机数储存于本地。
72.所述tls会话请求信息包括tls协议版本号信息和加密算法信息,其中,所述tls协
议版本号信息为客户端支持的tls协议的版本号,所述加密算法信息为客户端支持的加密算法套件的集合,当所述服务端接收到所述tls协议版本号信息和加密算法信息后,选定双方支持的tls协议的版本号和加密算法套件的集合。
73.s202:向客户端发送u盾数字证书请求和第二随机数,以使客户端生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;
74.该步骤中,服务端向客户端发送u盾数字证书请求和第二随机数,以使客户端生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端。
75.具体的,服务端在选定客户端和服务端都支持的tls协议的版本号和加密算法套件的集合后,随机生成第二随机数,并与u盾数字证书请求一并发送至所述客户端,同时,将所述第二随机数也储存于服务端本地。
76.客户端在接收到服务端发送的u盾数字证书请求后,生成预主密钥和第一会话密钥标识,并使用本地储存的所述第一随机数、服务端发送的所述第二随机数与所述预主密钥生成第一会话密钥。
77.客户端在生成所述预主密钥后,使用服务端证书公钥加密对所述预主密钥进行加密,将加密后的所述预主密钥与所述第一会话密钥标识发送至服务端。
78.s203:接收客户端发送的加密后的所述预主密钥与所述第一会话密钥标识;
79.该步骤中,接收客户端发送的由服务端证书公钥加密后的所述预主密钥和所述第一会话密钥标识。
80.具体的,客户端在接收到服务端发送的u盾数字证书请求后,生成预主密钥和第一会话密钥标识,并使用本地储存的所述第一随机数、服务端发送的所述第二随机数与所述预主密钥生成第一会话密钥。
81.客户端在生成所述预主密钥后,使用服务端证书公钥加密对所述预主密钥进行加密,将加密后的所述预主密钥与所述第一会话密钥标识发送至服务端。
82.s204:使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥;
83.该步骤中,对预主密钥进行解密后与所述第一随机数和所述第二随机数生成第二会话密钥。
84.具体的,服务端接收的客户端加密的预主密钥后,使用服务端证书公钥对所述预主密钥进行解密,使用客户端发送的所述第一随机数和服务端本地储存的所述第二随机数,生成第二会话密钥。
85.s205:将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。
86.该步骤中,服务端生成第二会话密钥标识并与所述第二会话密钥对应保存。
87.具体的,所述服务端在接收到客户端发送的加密的预主密钥后,使用服务端证书公钥解密所述预主密钥,使用所述第一随机数和所述第二随机数生成的,并与所述第二会
话密钥标识对应储存在服务端本地。因此所述第一会话密钥和所述第二会话密钥是相同的,将与所述第二会话密钥相同的所述第一会话密钥对应的所述第一会话密钥标识作为与所述第二会话密钥对应的所述第二会话密钥标识,将所述第二会话密钥与所述第二会话密钥标识对应储存于服务端本地。
88.图3是本发明一实施例提供的网上银行系统的退出方法的流程示意图,如图3所示,在上述各个实施例的基础上,进一步的,本发明实施例提供的网上银行系统的退出方法,在删除本地的所述第二会话密钥和第二会话密钥标识后,还包括:
89.s105:向客户端发送安全退出提示。
90.该步骤中,向退出成功的客户端发送安全退出提示。
91.具体的,在s104中,当判断获知解密后的所述退出请求信息中包含退出请求报文后,服务端通过删除本地储存的第二会话密钥和对应的第二会话密钥标识,使得服务端不存在与客户端的第一会话密钥相同的第二会话密钥,从而结束所述客户端与所述服务端之间的会话,当所述客户端与所述服务端之间的会话结束时,服务端向客户端发送安全退出提示,以提示用户网上银行已经安全退出。
92.下面以客户端服务器作为执行主体为例,来说明本发明实施例提供的网上银行系统的退出方法的实现过程。其中,本发明实施例提供的网上银行系统的退出方法的执行主体包括但不限于服务器。
93.本发明实施例提供的网上银行系统的退出方法,包括:
94.客户端向服务端发送退出请求信息和第一会话密钥标识,以使服务端根据所述第一会话密钥标识查找对应的第二会话密钥,使用所述第二会话密钥对所述退出请求信息进行解密和在判断获知解密后的所述退出请求信息中包含退出登录请求报文之后,删除所述第二会话密钥和第二会话密钥标识以结束对应的的会话;
95.其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;所述第一会话密钥与所述第二会话密钥是相同的;所述第二会话密钥与所述第二会话密钥标识一一对应。
96.该步骤中,客户端向所述服务端发送退出请求信息和第一会话密钥标识,以使服务端删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话。
97.具体的,所述退出请求信息包括退出登录请求报文,所述退出登录请求报文用于触发服务端启动根据所述第一会话密钥标识对本地储存的第二会话密钥进行查找。
98.所述退出请求报文是由退出登录请求标识、退出时间、客户ip地址和终端mac地址组装而成的。
99.所述第一会话密钥标识(session id),是一个文本字符串,是网上银行连接会话中用于保持会话通道稳定的第一会话密钥对应的(session key)的唯一标识符。
100.服务端删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话方法步骤详见上文所述,本实施例不再赘述。
101.图4是本发明一实施例提供的网上银行系统的退出方法的流程示意图,如图4所示,在上述各个实施例的基础上,进一步的,所述第一会话密钥和所述第二会话密钥通过以下步骤获得:
102.s401:向服务端发送tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;
103.该步骤中,向服务端发送tls会话请求。
104.具体的,当用户从网上银行客户端进行登录时,所述网上银行客户端向所述网上银行服务端发送tls会话请求和随机生成的第一随机数,从而开始建立用户在客户端与服务端之间的会话。
105.同时,客户端将所述第一随机数发送至服务端时,也将所述第一随机数储存于本地。
106.所述tls会话请求信息包括tls协议版本号信息和加密算法信息,其中,所述tls协议版本号信息为客户端支持的tls协议的版本号,所述加密算法信息为客户端支持的加密算法套件的集合,当所述服务端接收到所述tls协议版本号信息和加密算法信息后,选定双方支持的tls协议的版本号和加密算法套件的集合。
107.s402:接收服务端发送的u盾数字证书请求和第二随机数,生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;以使服务端使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥并将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。
108.该步骤中,客户端接收服务端发送的u盾数字证书请求和第二随机数,生成预主密钥和第一会话密钥标识后生成第一会话密钥,并将加密后的所述预主密钥后与所述第一会话密钥标识一起发送至服务端。
109.具体的,服务端在选定客户端和服务端都支持的tls协议的版本号和加密算法套件的集合后,随机生成第二随机数,并与u盾数字证书请求一并发送至所述客户端,同时,将所述第二随机数也储存于服务端本地。
110.客户端在接收到服务端发送的u盾数字证书请求后,生成预主密钥和第一会话密钥标识,并使用本地储存的所述第一随机数、服务端发送的所述第二随机数与所述预主密钥生成第一会话密钥。
111.客户端在生成所述预主密钥后,使用服务端证书公钥加密对所述预主密钥进行加密,将加密后的所述预主密钥与所述第一会话密钥标识发送至服务端。
112.具体的,所述服务端使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥并将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存的内容详见上文所述,本实施例不再赘述。
113.本发明实施例提供的网上银行系统的退出方法,在服务端接收到客户端的退出登录请求后对应查找服务端储存的用户会话密钥标识及对应的会话密钥,并进行删除,在退出登录网上银行的同时删除了服务端储存的应用维持会话的会话密钥,即使他人恶意获取客户端的会话密钥,也无法与服务端重新建立会话,从而重复登录网上银行,提高了网上银行系统数据的安全性。
114.图5是本发明一实施例提供的网上银行系统的退出装置的结构示意图,如图5所
示,本发明实施例提供的网上银行系统的退出装置包括第一接收模块501,用于接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;第一查找模块502,用于根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;第一解密模块503,用于使用所述会第二会话密钥对所述退出请求信息进行解密;判断退出模块504,用于判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应;其中:
115.第一接收模块501,用于接收客户端发送的退出登录请求和第一会话密钥标识,从而触发服务端对所述第二会话密钥进行查找并删除,从而结束所述服务端与所述客户端之间的会话。
116.第一查找模块502,用于根据所述第一会话密钥标识与所述第一会话密钥的关系,使用第一会话密钥标识在本地查找对应的第二会话密钥。
117.第一解密模块503,用于使用第二会话密钥解密所述退出请求信息,用于判断是否清除本地储存的第二会话密钥及其对应的第二会话密钥标识。
118.判断退出模块504,用于对解密后的退出请求信息进行识别,以确认是否删除服务端本地储存的所述第二回话密钥和第二会话密钥标识,从而结束服务端与所述客户端之间的对话。
119.图6是本发明一实施例提供的网上银行系统的退出装置的结构示意图,如图6所示,本发明实施例提供的网上银行系统的退出装置包括:第一接收模块601,用于接收客户端发送的tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;第一发送模块602,用于向客户端发送u盾数字证书请求和第二随机数,以使客户端生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;第二接收模块603,用于接收客户端发送的加密后的所述预主密钥与所述第一会话密钥标识;密钥生成模块604,用于使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥;储存模块605,用于将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。其中:
120.第一接收模块601,用于接收客户端发送的tls会话请求。
121.第一发送模块602,用于服务端向客户端发送u盾数字证书请求和第二随机数,以使客户端生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端。
122.第二接收模块603,用于接收客户端发送的由服务端证书公钥加密后的所述预主密钥和所述第一会话密钥标识。
123.密钥生成模块604,用于对预主密钥进行解密后与所述第一随机数和所述第二随机数生成第二会话密钥。
124.储存模块605,用于服务端生成第二会话密钥标识并与所述第二会话密钥对应保
存。
125.图7是本发明一实施例提供的网上银行系统的退出装置的结构示意图,如图7所示,本发明实施例提供的网上银行系统的退出装置还包括:提示模块505,用于向客户端发送安全退出提示。其中:
126.提示模块505,用于向退出成功的客户端发送安全退出提示。
127.在上述各个实施例的基础上,进一步的,本发明实施例提供的网上银行系统的退出装置为请求发送模块,用于
128.向服务端发送退出请求信息和第一会话密钥标识,以使服务端根据所述第一会话密钥标识查找对应的第二会话密钥,使用所述第二会话密钥对所述退出请求信息进行解密和在判断获知解密后的所述退出请求信息中包含退出登录请求报文之后,删除所述第二会话密钥和第二会话密钥标识以结束对应的的会话;其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;所述第一会话密钥与所述第二会话密钥是相同的;所述第二会话密钥与所述第二会话密钥标识一一对应。
129.其中:
130.请求发送模块,用于向所述服务端发送退出请求信息和第一会话密钥标识,以使服务端删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话。
131.图8是本发明一实施例提供的网上银行系统的退出装置的结构示意图,如图8所示,本发明实施例提供的网上银行系统的退出装置包括:
132.第二发送模块801,用于向服务端发送tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;
133.第三接收模块802,用于接收服务端发送的u盾数字证书请求和第二随机数,生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;以使服务端使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥并将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。其中:
134.第二发送模块801,用于向服务端发送tls会话请求。
135.第三接收模块802,用于接收服务端发送的u盾数字证书请求和第二随机数,生成预主密钥和第一会话密钥标识后生成第一会话密钥,并将加密后的所述预主密钥后与所述第一会话密钥标识一起发送至服务端。
136.本发明实施例提供的服务器的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
137.需要说明的是,本发明实施例提供的网上银行系统的退出方法及装置可用于金融领域,也可用于除金融领域之外的任意技术领域,本发明实施例对网上银行系统的退出方法及装置的应用领域不做限定
138.图9为本发明一实施例提供的电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(processor)901、通信接口(communications interface)902、存储器(memory)903和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904
完成相互间的通信。处理器901可以调用存储器903中的逻辑指令,以执行如下方法:接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;使用所述会第二会话密钥对所述退出请求信息进行解密;若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。以及客户端向所述服务端发送退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应,以使服务端使用所述会第二会话密钥对所述退出请求信息进行解密,其中,所述第一会话密钥与所述第二会话密钥是相同的;服务端若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。
139.此外,上述的存储器903中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-only memory)、随机存取存储器(ram,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
140.本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;使用所述会第二会话密钥对所述退出请求信息进行解密;若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。以及客户端向所述服务端发送退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应,以使服务端使用所述会第二会话密钥对所述退出请求信息进行解密,其中,所述第一会话密钥与所述第二会话密钥是相同的;服务端若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对
应。
141.本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述各方法实施例所提供的方法,例如包括:接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;使用所述会第二会话密钥对所述退出请求信息进行解密;若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。以及客户端向所述服务端发送退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应,以使服务端使用所述会第二会话密钥对所述退出请求信息进行解密,其中,所述第一会话密钥与所述第二会话密钥是相同的;服务端若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。
142.本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
143.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
144.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
145.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
146.在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,
对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
147.以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

技术特征:
1.一种网上银行系统的退出方法,其特征在于,包括:接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;使用所述第二会话密钥对所述退出请求信息进行解密;若判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。2.根据权利要求1所述的网上银行系统的退出方法,其特征在于,所述第一会话密钥和所述第二会话密钥通过以下步骤获得:接收客户端发送的tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;向客户端发送u盾数字证书请求和第二随机数,以使客户端生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;接收客户端发送的加密后的所述预主密钥与所述第一会话密钥标识;使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥;将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。3.根据权利要求2所述的网上银行系统的退出方法,其特征在于,所述tls会话请求信息包括tls协议版本号信息和加密算法信息。4.根据权利要求1所述的网上银行系统的退出方法,其特征在于,在删除本地的所述第二会话密钥和第二会话密钥标识后,还包括:向客户端发送安全退出提示。5.根据权利要求1所述的网上银行系统的退出方法,其特征在于,所述退出登录请求报文包括退出登录请求标识、退出时间、客户ip地址和终端mac地址。6.一种网上银行系统的退出方法,其特征在于,包括:向服务端发送退出请求信息和第一会话密钥标识,以使服务端根据所述第一会话密钥标识查找对应的第二会话密钥,使用所述第二会话密钥对所述退出请求信息进行解密和在判断获知解密后的所述退出请求信息中包含退出登录请求报文之后,删除所述第二会话密钥和第二会话密钥标识以结束对应的的会话;其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;所述第一会话密钥与所述第二会话密钥是相同的;所述第二会话密钥与所述第二会话密钥标识一一对应。7.根据权利要求6所述的网上银行系统的退出方法,其特征在于,所述第一会话密钥和所述第二会话密钥通过以下步骤获得:向服务端发送tls会话请求,所述tls会话请求包括tls会话请求信息和第一随机数;
接收服务端发送的u盾数字证书请求和第二随机数,生成预主密钥和第一会话密钥标识后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第一会话密钥,并使用服务端证书公钥加密所述预主密钥后与所述第一会话密钥标识一起发送至服务端;以使服务端使用服务端证书公钥解密所述预主密钥后,使用所述第一随机数、所述第二随机数和所述预主密钥生成第二会话密钥并将所述第一会话密钥标识作为所述第二会话密钥标识与所述第二会话密钥对应保存。8.一种网上银行系统的退出装置,其特征在于,包括:第一接收模块,用于接收客户端发送的退出请求信息和第一会话密钥标识,其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由客户端的第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;第一查找模块,用于根据客户端发送的所述第一会话密钥标识在本地查找对应的第二会话密钥,其中,所述第一会话密钥与所述第二会话密钥是相同的;第一解密模块,用于使用所述会第二会话密钥对所述退出请求信息进行解密;判断退出模块,用于判断获知解密后的所述退出请求信息中包含退出登录请求报文,则删除本地的所述第二会话密钥和第二会话密钥标识以结束与所述客户端的会话,其中所述第二会话密钥与所述第二会话密钥标识一一对应。9.一种网上银行系统的退出装置,其特征在于,包括:请求发送模块,用于向服务端发送退出请求信息和第一会话密钥标识,以使服务端根据所述第一会话密钥标识查找对应的第二会话密钥,使用所述第二会话密钥对所述退出请求信息进行解密和在判断获知解密后的所述退出请求信息中包含退出登录请求报文之后,删除所述第二会话密钥和第二会话密钥标识以结束对应的的会话;其中,所述退出登录请求信息包括退出登录请求报文,所述退出请求信息由第一会话密钥进行加密,所述会第一话密钥与所述第一会话密钥标识一一对应;所述第一会话密钥与所述第二会话密钥是相同的;所述第二会话密钥与所述第二会话密钥标识一一对应。10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。

技术总结
本发明提供一种网上银行系统的退出方法及装置,涉及信息安全技术领域,所述方法包括:接收客户端发送的退出请求信息和第一会话密钥标识;根据客户端发送的第一会话密钥标识在本地查找对应的第二会话密钥;使用第二会话密钥对退出请求信息进行解密;若判断获知包含退出登录请求报文,则删除本地的第二会话密钥和第二会话密钥标识。本发明实施例提供的网上银行系统的退出方法及装置,服务端接收到退出登录请求后对应查找储存的用户会话密钥标识及对应的会话密钥,并进行删除,在退出登录网上银行的同时删除了服务端储存的维持会话的会话密钥,即使他人获取客户端的会话密钥,也无法与服务端重新建立会话,提高了网上银行系统数据的安全性。数据的安全性。数据的安全性。


技术研发人员:杨伟伟 曾凯 陈梦霄
受保护的技术使用者:中国工商银行股份有限公司
技术研发日:2022.04.24
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-3647.html

专利

最新回复(0)