一种手机银行客户端信息认证方法

1.一种手机银行客户端信息认证方法，其特征是，所述的方法包括：在由客户手机（100）、移动运营商WAP网关（200）、移动运营商手机号获取服务器（300）、手机银行服务器（400）和银行客户信息系统（500）所组成的系统中进行如下步骤；
步骤1：用户启动客户手机（100），使用登录功能；
步骤2：客户手机（100）向移动运营商发起手机号获取请求；
步骤3：手机号获取请求经过移动运营商WAP网关（200）时，移动运营商WAP网关（200）识别用户身份，将对应的用户手机号，添加至请求头域；并将手机号获取请求转发至移动运营商手机号获取服务器（300）；
步骤4：移动运营商手机号获取服务器（300）收到手机号获取请求后，从请求头域中解析手机号；
步骤5：运营商手机号获取服务器（300）将手机号经过数字签名、数据加密，发送给手机银行服务器（400）；
步骤6：手机银行服务器（400）接收到签名和加密的手机号后，进行验签和解密，获得手机号，与银行客户信息系统（500）中的手机银行注册信息比对，验证通过后，通过运营商WAP网关（200），返回登录页面的链接；
步骤7：客户手机（100）显示链接；
步骤8：点击所述链接，客户手机（100）显示由手机银行服务器返回的登录页面；
步骤9：客户手机（100）读取用户手机的IMEI信息；
步骤10：客户手机（100）对用户手机的IMEI信息做移位变形处理；
步骤11：客户手机（100）使用对称密钥算法对所述变形后的信息，以及用户输入的登录密码、验证码，一并加密后，通过运营商WAP网关（200），提交手机银行服务器（400）；
步骤12：手机银行服务器（400），对接受到的加密信息采用对称密钥算法进行解密；
步骤13：手机银行服务器（400），负责验证用户手机号和登录密码是否匹配、验证码是否输入正确、手机IMEI信息是否与注册信息匹配；
步骤14：手机银行服务器（400）如验证无误，则检查通过；
步骤15：手机银行服务器（400）进一步地要求用户在启动手机银行客户端软件、登录认证或交易输密需要进行身份验证的场景中，输入手势动作；手机银行服务器（400）识别用户手势，并与预留的用户手势进行比对；手机银行服务器（400）判断用户手势是否与预留手势吻合；如果判断不相吻合，则要求用户重新输入，超过规定重试次数登录失败；
步骤16：客户手机（100）如果判断校验通过，登录成功。

一种手机银行客户端信息认证方法\n技术领域\n[0001] 本发明关于手机银行信息安全技术，特别是关于在手机银行中实现安全的用户身份认证以及数据加密传输的技术，具体地讲是一种手机银行客户端信息认证方法、系统及移动终端。 \n背景技术\n[0002] 手机银行系统经历了短信手机银行、WAP手机银行（WAP：Wireless Application Protocol，无线应用协议）、客户端手机银行等几个发展阶段。由于客户端手机银行可以提供最好的客户体验，因此客户端手机银行必将成为技术主流。 \n[0003] 在B/S架构下的现有技术中，手机银行的客户端工作界面是通过手机浏览器来实现的，主要事务逻辑在服务器端(Server)实现。用户不用安装任何专门的软件，使用操作系统自带的浏览器软件就可以访问互联网应用，这便使得手机银行可选的安全手段有限，银行只能采用安全传输层协议（TLS）、用户名密码校验等传统的B/S技术标准实现系统安全。在C/S架构下的现有技术中，手机银行客户端、手机银行服务器端共同构成完整的客户端手机银行系统。客户端手机银行突破了B/S架构的技术限制，安全控制手段更加灵活多样，银行可以根据自身安全要求做个性化设计开发。也正是由于手机银行客户端开发的灵活性，使得手机银行的安全控制强度主要由银行自身决定。如果银行仍然单纯采用TLS、用户名密码校验作为唯一的安全控制手段，则在安全方面存在弊端：简单的用户名/密码认证体系比较容易被破解或钓鱼；通过TLS协议只能保证数据在公网传输通道中的安全性，不能保证客户端内部，以及银行内部网络中的数据安全（例如用户的关键数据可能在银行内部网络 被银行内部员工截获）。目前手机客户端软件开发平台提供的功能已经非常丰富，第三方应用程序开发者可以通过平台提供的API操作手机硬件功能，或获取手机硬件信息，充分利用这些手机特有技术，应用于手机银行安全领域，可以提高手机银行安全控制强度，达到开展银行业务的安全要求。 \n发明内容\n[0004] 本发明实施例提供了一种手机银行客户端信息认证方法、系统及移动终端，以解决客户端手机银行系统信息安全性的问题。 \n[0005] 本发明的目的之一是，提供一种手机银行客户端信息认证方法，该方法包括：手机银行客户信息绑定步骤和手机银行登录信息验证步骤；其中，手机银行客户信息绑定步骤包括：建立手机SIM卡信息与手机银行注册客户信息的绑定关系；建立手机硬件信息与手机银行注册客户信息的绑定关系；手机银行登录信息验证步骤包括：获取登录手机的SIM卡信息和硬件信息；判断所述登录手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手机SIM卡信息和硬件信息相匹配，如果是：则登录信息验证通过，如果否：则登录信息验证失败。 \n[0006] 手机银行客户信息绑定步骤还包括：建立手机特定运动轨迹信息与手机银行注册客户信息的绑定关系；手机银行登录信息验证步骤还包括：获取登录手机的运动轨迹信息；判断登录手机的运动轨迹信息是否与对应的绑定关系中的手机特定运动轨迹信息相匹配，如果是：则登录信息验证通过，如果否：则登录信息验证失败。 \n[0007] 手机银行客户信息绑定步骤还包括：建立手机触摸屏特定触摸轨迹信息与手机银行注册客户信息的绑定关系；手机银行登录信息验证步骤还包括：获取登录手机触摸屏的触摸轨迹信息；判断登录手机触摸屏的触摸轨迹信息是否与对应的绑定关系中的手机触摸屏特定触摸轨迹信息相匹配，如果是：则登录信息验证通过，如果否：则登录信息验证失败。 \n[0008] 本发明的目的之一是，提供一种手机银行客户端信息认证方法，该方法包括：将客户端装置设置在手机中，使手机通过WAP网关分别与手机银行服务器和手机号获取服务器进行通信，并使手机号获取服务器与手机银行服务器进行通信；其中，手机银行服务器存储手机号码与手机银行注册客户信息的绑定关系、和手机IMEI与手机银行注册客户信息的绑定关系；客户端装置获取手机的SIM卡信息，生成包含SIM卡信息的手机号获取指令，并将手机号获取指令发送给WAP网关；客户端装置获取手机的IMEI，并将手机的IMEI进行加密后发送给WAP网关；WAP网关接收手机号获取指令，并根据SIM卡信息获取到对应的手机号码，将包含手机号码的手机号获取指令转发给手机号获取服务器；WAP网关接收IMEI，并将IMEI转发给手机银行服务器；手机号获取服务器接收包含所述手机号码的手机号获取指令，提取出手机号码并发送给手机银行服务器；手机银行服务器接收手机的手机号码和IMEI，判断手机号码和IMEI是否与对应的绑定关系中的手机号码和IMEI相匹配，如果是：\n则输出登录信息验证通过消息，如果否：则输出登录信息验证失败消息。 [0009] 本发明的目的之一是，提供一种手机银行客户端信息认证系统，该系统包括：手机和客户端装置，客户端装置设置在所述的手机中；该系统还包括：手机银行服务器；其中，手机银行服务器包括：绑定关系存储单元，用于存储手机SIM卡信息与手机银行注册客户信息的绑定关系、和手机硬件信息与手机银行注册客户信息的绑定关系；登录信息接收单元，用于接收所述手机的SIM卡信息和硬件信息；登录信息验证单元，用于判断所述手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手机SIM卡信息和硬件信息相匹配，如果是：则输出登录信息验证通过消息，如果否：则输出登录信息验证失败消息；客户端装置包括：SIM卡信息获取单元，用于获取所述手机的SIM卡信息；硬件信息获取单元，用于获取所述手机的硬件信息；安全通信单元，用于输出手机的SIM卡信息和手机的硬件信息。 [0010] 本发明的目的之一是，提供一种手机银行客户端信息认证系统，该系统包括：手机和客户端装置，客户端装置设置在手机中；该系统还包括：WAP网关、手机号获取服务器和手机银行服务器；其中，手机银行服务器包括：绑定关系存储单元，用于存储手机号码与手机银行注册客户信息的绑定关系、和手机IMEI与手机银行注册客户信息的绑定关系；登录信息接收单元，用于接收手机号码和IMEI；登录信息验证单元，用于判断手机号码和IMEI是否与对应的绑定关系中的手机号码和IMEI相匹配，如果是：则输出登录信息验证通过消息，如果否：则输出登录信息验证失败消息；客户端装置包括：获取指令生成单元，用于获取手机的SIM卡信息，生成包含SIM卡信息的手机号获取指令；硬件信息获取单元，用于获取手机的IMEI；安全通信单元，用于输出手机号获取指令和手机的IMEI；WAP网关包括：指令转发单元，用于接收手机号获取指令，并根据SIM卡信息获取到对应的手机号码，生成并转发包含手机号码的手机号获取指令；硬件信息转发单元，用于接收IMEI，并转发IMEI；手机号获取服务器用于接收包含手机号码的手机号获取指令，提取出手机号码并输出。 [0011] 本发明的目的之一是，提供一种手机银行客户端移动终端，该移动终端包括：手机本体和SIM卡；该移动终端还包括：客户端装置，客户端装置设置在手机本体中；其中，客户端装置包括：获取指令生成单元，用于获取手机的SIM卡信息，生成包含SIM卡信息的手机号获取指令；硬件信息获取单元，用于获取手机的IMEI；数据加密单元，用于对手机号获取指令和手机的IMEI进行加密；安全通信单元，用于输出加密的手机号获取指令和手机的IMEI。 \n[0012] 本发明可以广泛用于手机银行应用的多个场景，本发明结合了手机硬件特征，可以增加手机银行安全控制，体现在如下方面： \n[0013] 1）绑定手机硬件信息：将用户手机硬件信息与手机银行注册信息绑定，可以确保用户只有使用自己的手机才能操作银行账户。即使用户名密码被窃 取，盗取人也无法操作被盗取人的银行账户，造成经济损失。 \n[0014] 2）绑定用户SIM卡：通过将用户手机号与手机银行注册信息绑定，可以确保用户只有使用自己的SIM卡才能操作银行账户。即使用户名密码被窃取，盗取人也无法操作被盗取人的银行账户，造成经济损失。 \n[0015] 3）将用户的持手机时的特定手势作为安全认证手段，进一步加强了手机银行登录的安全性。 \n[0016] 4）将用户在手机触摸屏上触摸出的特定轨迹作为安全认证手段，进一步加强了手机银行登录的安全性。 \n附图说明\n[0017] 为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 \n[0018] 图1为本发明实施例手机银行客户端信息认证方法流程图； \n[0019] 图2为本发明实施例手机与SIM卡及客户端装置的设置关系示意图； [0020] 图3为本发明实施例手机银行客户端信息认证系统连接示意图； \n[0021] 图4为本发明实施例系统的客户端装置的结构框图； \n[0022] 图5为本发明实施例系统的WAP网关的结构框图； \n[0023] 图6为本发明实施例系统的手机银行服务器的结构框图； \n[0024] 图7为本发明实施例手机的电路原理图； \n[0025] 图8为本发明实施例手机的客户端装置的结构框图； \n[0026] 图9为本发明实施例与手机通信的手机银行服务器的结构框图； \n[0027] 图10为本发明实施例手机银行客户端信息认证系统工作流程图。 具体实施方式\n[0028] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。 \n[0029] 实施例1 \n[0030] 如图1所示，本发明实施例的手机银行客户端信息认证方法包括：手机银行客户信息绑定步骤（步骤S100）和手机银行登录信息验证步骤（步骤S200）；其中，手机银行客户信息绑定步骤（步骤S100）包括：建立手机SIM卡信息与手机银行注册客户信息的绑定关系（步骤S101）；建立手机硬件信息与手机银行注册客户信息的绑定关系（步骤S102）；手机银行登录信息验证步骤（步骤S200）包括：获取登录手机的SIM卡信息和硬件信息（步骤S201）；判断所述登录手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手机SIM卡信息和硬件信息相匹配，如果是：则登录信息验证通过，如果否：则登录信息验证失败（步骤S202）。 \n[0031] 手机银行客户信息绑定步骤（步骤S100）还包括：建立手机特定运动轨迹信息与手机银行注册客户信息的绑定关系（步骤S103）；步骤S201还包括：获取登录手机的运动轨迹信息；步骤S202还包括：判断所述登录手机的运动轨迹信息是否与对应的绑定关系中的手机特定运动轨迹信息相匹配，如果是：则登录信息验证通过，如果否：则登录信息验证失败。 \n[0032] 手机银行客户信息绑定步骤（步骤S100）还包括：建立手机触摸屏特定触摸轨迹信息与手机银行注册客户信息的绑定关系（步骤S104）；步骤S201还包括：获取登录手机触摸屏的触摸轨迹信息；步骤S202还包括：判断登录手机触摸屏的触摸轨迹信息是否与对应的绑定关系中的手机触摸屏特定触摸轨迹信息相匹配，如果是：则登录信息验证通过，如果否：则登录信息验证失败。 \n[0033] SIM卡信息包括：国际移动用户识别码IMSI；所述的硬件信息包括：国 际移动设备身份码IMEI。 \n[0034] 本实施例方法是将手机终端设备自身具有的特点与对称密钥加密、非对称密钥加密、安全传输层（TLS）协议等已有安全技术相结合，形成一套手机银行安全保障体系。 [0035] 如图2所示，客户手机100上安装了手机银行客户端装置101和SIM卡102。客户端装置101可以是软件，也可以是芯片或存储卡。用户可以在开通手机银行时自助或在服务网点下载安装客户端装置101，也可以将客户端芯片接入手机100的对应的接口或客户端存储卡直接插入手机100的存储卡插槽。SIM卡102为硬件装置，插于手机100的SIM卡插槽中。 \n[0036] 通过厂商提供的应用编程接口，应用开发商可以读取手机设备的硬件信息，包括但不限于国际移动设备身份码（International Mobile Equipment Identity，IMEI）。IMEI是全球手机设备制造商遵循统一的命名规则对每一部手机设备编号，可以保证全球范围内唯一。将手机硬件信息与手机银行用户绑定，限制用户只能使用绑定的手机设备登录手机银行进行操作，可以做到“只有利用这台手机才能够操作对应的银行账户”，从而增强安全控制。 \n[0037] 用户使用手机银行，请求从手机客户端软件发出，首先进入移动运营商的无线网络，运营商通过基站完成无线网到有线网的转换，最终请求通过运营商的WAP网关经Internet网络接入银行系统。移动运营商通过SIM卡对用户鉴权、计算网络流量及费用。\n运营商可以识别用户身份，通过存储在SIM卡中的国际移动用户识别码（International Mobile Subscriber Identification Number，IMSI）找到对应的手机号。当用户的手机号获取请求到达运营商WAP网关时，WAP网关可以将用户手机号加入到请求头域，并传输给运营商手机号获取服务器。运营商手机号获取服务器通过解析可以得到请求中的手机号，并通过Web Service等标准接口向银行提供手机号信息。这样，通过与移动运营商合作，银行端可以自动获取用户当前SIM卡对应的手机号。手机号自动获取，一方面可以减少手机用户的操作步骤，不需要手工输入用户名 信息；另一方面，手机号自动获取可以做到“只有拥有该手机号SIM卡的人才有可能操作对应的银行账户”，即完成SIM卡与手机银行注册客户的绑定，增加安全控制。 \n[0038] 目前高端智能手机均支持触摸屏操作，用户使用手指在屏幕上操作，系统可以识别用户轻触、重击、滑动、长按、双击、三击等不同动作。部分手机支持多点触控（采用电容式触摸屏），更可以识别放大、缩小、同时多点触碰等更为丰富的动作。以上动作在手机应用技术中称为“手势”（Gesture）。特别是部分高端手机内置加速计硬件装置，可以感知手机本身所处的角度、手机移动的速度、加速度、甚至移动轨迹。这类手机可以支持的手势更加多样化，用户可以上下左右晃动手机，形成不同的手势。 \n[0039] 第三方应用开发商可以通过硬件编程识别用户的手势，因此可以在手机银行客户端中增加手势录入功能，供用户预留个性化、自定义手势。自定义手势数字化后保存，与手机银行注册信息绑定，可用于安全领域的以下（但不限于）场景： \n[0040] 手机银行客户端软件的解锁：手机银行客户端在一定时间内没有接到用户操作后，自我锁定。用户解锁时，可以输入手势动作，系统识别用户手势，与预留手势比对，如果吻合，则解锁成功。 \n[0041] 用于手机银行登录：登录过程中要求用户输入手势，验证通过后才能登录成功。 [0042] 作为密钥的组成因子：手势可以作为密钥的生成因子之一，增强密钥本身的安全性。 \n[0043] 实施例2 \n[0044] 如图3所示，本发明实施例的手机银行客户端信息认证系统包括：客户手机100、移动运营商WAP网关200、移动运营商手机号获取服务器300、手机银行服务器400、银行客户信息系统500。客户手机100通过运营商无线蜂窝网络连接运营商基站；运营商基站通过运营商内部有线网络连接移动运营 商WAP网关200；移动运营商WAP网关200通过互联网连接移动运营商手机号获取服务器300；移动运营商WAP网关200、移动运营商手机号获取服务器300通过Internet连接手机银行服务器400，银行在手机银行服务器400和Internet之间部署有防火墙；手机银行服务器400通过银行内部网络和银行客户信息系统\n500连接。 \n[0045] 如图4所示，手机100中设置有客户端装置101，客户端装置101包括：SIM卡信息获取单元1011用于获取所述手机的SIM卡信息；硬件信息获取单元1012用于获取所述手机的硬件信息；数据加密单元1013用于对获取的SIM卡信息和硬件信息进行加密；安全通信单元1014用于输出加密后的手机的SIM卡信息和手机的硬件信息。 \n[0046] 如图5所示，WAP网关200包括：指令转发单元201用于接收手机号获取指令，并根据SIM卡信息获取到对应的手机号码，生成并转发包含所述手机号码的手机号获取指令；\n硬件信息转发单元202用于接收硬件IMEI，并转发硬件信息IMEI；手机号获取服务器300用于接收包含所述手机号码的手机号获取指令，提取出手机号码并输出。 [0047] 如图6所示，手机银行服务器400包括：绑定关系存储单元401用于存储手机SIM卡信息与手机银行注册客户信息的绑定关系、和手机硬件信息与手机银行注册客户信息的绑定关系；登录信息接收单元402用于接收所述手机的SIM卡信息和硬件信息；登录信息验证单元403用于判断所述手机的SIM卡信息和硬件信息是否与对应的绑定关系中的手机SIM卡信息和硬件信息相匹配，如果是：则输出登录信息验证通过消息，如果否：则输出登录信息验证失败消息； \n[0048] 绑定关系存储单元401还用于存储手机特定运动轨迹信息与手机银行注册客户信息的绑定关系；登录信息接收单元402还用于接收所述手机的运动轨迹信息；登录信息验证单元403还用于判断所述手机的运动轨迹信息是否与对应的绑定关系中的手机特定运动轨迹信息相匹配，如果是：则输出登录 信息验证通过消息，如果否：则输出登录信息验证失败消息。客户端装置101还包括：运动轨迹获取单元，用于获取所述手机的运动轨迹信息；安全通信单元1014还用于输出所述手机的运动轨迹信息。 \n[0049] 绑定关系存储单元401还用于存储手机触摸屏特定触摸轨迹信息与手机银行注册客户信息的绑定关系；登录信息接收单元402还用于接收所述手机的触摸屏触摸轨迹信息；登录信息验证单元403还用于判断所述的触摸屏触摸轨迹信息是否与对应的绑定关系中的手机触摸屏特定触摸轨迹信息相匹配，如果是：则输出登录信息验证通过消息，如果否：则输出登录信息验证失败消息；客户端装置101还包括：触摸轨迹获取单元，用于获取所述手机的触摸屏触摸轨迹信息；安全通信单元1014还用于输出所述的触摸屏触摸轨迹信息。 \n[0050] 如图7所示，客户手机是指手机银行用户所使用的手机，进一步的手机中安装了用户SIM卡102以及手机银行客户端模块101。手机银行客户端模块101是指银行开发的手机银行客户端应用程序，安装在用户手机上，用户通过运行该软件使用手机银行功能。客户手机包括：射频单元、基带电路、中央处理器、键盘、触摸屏、FLASH、RAM、加速度传感器以及SIM卡102和客户端模块101。利用加速度传感器采集手机的运动轨迹（或称手势信息），利用触摸屏采集客户在手机触摸屏上触摸的轨迹信息。 \n[0051] 在图3中，移动运营商WAP网关200是指移动运营商拥有的WAP网关设备。WAP网关连接移动运营商内部网络和Internet互联网，负责将用户请求发送至互联网。在用户使用手机银行服务的一般场景下，运营商WAP网关200将用户服务请求发送至手机银行服务器400；在银行获取用户手机号码的场景下，即客户手机100发起手机号获取请求时，运营商WAP网关200首先识别用户身份，将用户手机号码加入到客户请求报文头域，再将请求发送至移动运营商手机号获取服务器300。 \n[0052] 移动运营商手机号获取服务器300是指移动运营商为向银行等第三方开 发商提供手机号获取服务，提供的部署于互联网的服务器设备。在客户手机100发起手机号获取请求时，从移动运营商WAP网关200发送的请求报文中解析出手机号，将手机号经过数字签名、数据加密，发送给手机银行服务器400。 \n[0053] 手机银行服务器400是指银行端提供手机银行业务服务的系统或服务器。其上部署了银行开发的手机银行服务器端装置，接受来自手机银行客户端软件的请求，并完成业务处理。 \n[0054] 银行客户信息系统500是指银行保存手机银行注册客户信息的系统。包含但不限于手机银行的用户注册信息，及与其绑定的手机IMEI信息、手机号等信息。 [0055] 用户通过本系统，使用客户手机100作为终端设备，接入网络，访问银行端系统，使用手机银行功能。用户使用安装在客户手机100中的手机银行客户端软件，手机银行客户端软件向手机银行服务器400发起服务请求，请求首先进入移动运营商的无线蜂窝网络，被移动运营商建设的基站设备接收，然后请求经过基站接入移动运营商内部有线网络，最终通过运营商WAP网关200接入Internet，到达银行系统部署于Internet的手机银行服务器400，手机银行服务器400接收用户服务请求，完成业务处理，返回处理结果。所述服务请求包含但不限于客户使用手机银行的登录、查询、转账等请求，但不含手机号获取请求。\n进一步的，当用户启动安装在客户手机100中的手机银行客户端软件，使用登录功能时，手机银行客户端软件首先向运营商手机号获取服务器300发起手机号获取请求，请求到达运营商WAP网关200时，WAP网关将用户手机号添加在请求头域中，再将请求报文转发运营商手机号获取服务器300，运营商手机号获取服务器300解析出手机号，将手机号码发送至手机银行服务器400；银行获得用户的手机号码后，与银行客户信息系统500中的用户注册手机号码进行比较对，用以验证用户身份。验证成功后，手机银行服务器400返回登录页面的链接，链接经运营商WAP网关200发至客户 手机100。 \n[0056] 如图8所示，手机银行客户端软件101进一步包括：手机号获取请求模块111、硬件信息获取模块112、数据变形模块113、数据加解密模块114、手势处理模块115、安全通讯模块116。硬件信息获取模块112和数据变形模块113连接；数据变形模块113、手势处理模块115分别与数据加解密模块114连接；数据加解密模块114、手机号获取请求模块111分别与安全通讯模块116连接。 \n[0057] 手机号获取请求模块111，负责向移动运营商发起手机号获取请求。在用户启动手机银行客户端软件101，使用登录功能时，通过该模块首先与移动运营商交互，向移动运营商手机号获取服务器300发起手机号获取请求，运营商根据手机号获取请求向银行提供用户手机号。 \n[0058] 硬件信息获取模块112，负责从用户手机中获取用户设备的硬件信息，包括但不限于手机的IMEI信息。 \n[0059] 数据变形模块113，负责对用户手机的IMEI信息进行一定的变形、混淆处理，目的是增加客户端软件反编译的难度、增加互联网传输数据的安全性。 \n[0060] 数据加解密模块114，负责对客户端登录时提交的关键信息进行加密，目的是增加互联网传输数据的安全性。需要加密的数据包括但不限于：对用户手机的IMEI信息变形后的信息，用户的手势信息、用户登录密码和交易密码。所述加密可以是对称加密，作为一种实施方式，其加密过程可以是：在客户端软件中内置一个初始密钥A，同时密钥在服务器端保存一份。加密前，服务器生成一次性随机数B。将A与B组合在一起构成一次性密钥C。\n客户端使用密钥C对变形后数据，使用对称密钥算法（如3DES）进行对称密钥加密。解密过程：与加密过程类似，使用同样方法计算出密钥C，使用密钥C和同样的算法解密。 [0061] 手势处理模块115，负责处理用户的手势动作。提供手势预留功能和手势识别功能。手势预留功能指用户录入自定义手势，转换为数字化数据保存。 手势识别功能可以有两种可选方式：（1）本地识别，预留手势信息保存在手势处理模块115中，识别用户在各个功能输入的手势动作，判断与预留数据是否吻合；（2）服务器端识别，预留手势动作保存在银行客户信息系统5中，手势处理模块115识别用户在各个功能输入的手势动作，将手势动作数字化后，通过加密，经安全通讯模块116将信息发送至手机银行服务器400进行验证。\n手势识别功能可以要求用户在启动手机银行客户端软件、登录认证或交易输密等需要进行身份验证的场景中进行手势输入和识别验证。 \n[0062] 安全通讯模块116，负责手机银行客户端软件与手机银行服务器之间的网络通讯。\n由于客户端与服务器之间通过互联网传输数据，通讯协议采用安全传输层协议（TLS），确保在互联网中不存在明文传输。所述安全通讯模块负责从客户端发起安全请求。 [0063] 如图9所示，手机银行服务器端400，进一步包括：手机银行绑定模块411、数据加解密模块412、密钥管理模块413、用户身份认证模块414、手机银行客户端软件管理模块\n415、安全通讯模块416。密钥管理模块413、用户身份认证模块414、安全通讯模块416分别于数据加解密模块412连接；手机银行客户端软件管理模块415与安全通讯模块416连接。 \n[0064] 手机银行绑定模块411，负责接收用户的手机IMEI以及手机号等信息，并保存在银行客户信息系统中，与手机银行用户注册信息绑定。用户在银行网点开通手机银行时，通过使用该模块，预留信息，与用户手机银行注册信息绑定。预留信息包含但不限于：手机IMEI、手机号。用户信息保存在银行客户信息系统500中。 \n[0065] 数据加解密模块412，与客户端的数据加解密模块114配套、功能一致。 [0066] 密钥管理模块413，负责密钥的生分、分发、管理等内容。本方法所涉及的密钥包括但不限于：对称加密密钥的初始密钥、一次性密钥因子、与运营商交互时使用的非对称密钥（公钥/私钥对）或数字证书、用于客户端程序二进制签名的数字证书。 \n[0067] 用户身份认证模块414，负责验证客户端上送的用户登录信息是否正确。验证内容包括但不限于：用户手机号/登录密码是否匹配、验证码是否输入正确、手机IMEI是否与注册信息匹配、用户手势是否正确。 \n[0068] 手机银行客户端软件管理模块415，负责维护所有客户端版本的信息，提供客户端版本兼容性控制以及版本升级管理功能。 \n[0069] 安全通讯模块416，与客户端的安全通讯模块配合。通过部署第三方机构颁发的服务器证书，与客户端握手，建立TLS安全传输通道，保证互联网中没有明文传输。 [0070] 如图10所示，本实施例的手机银行客户端信息认证系统的具体步骤包括： [0071] 步骤801：用户启动手机银行客户端装置，使用登录功能； \n[0072] 步骤802：手机号获取请求模块111向移动运营商发起手机号获取请求； [0073] 步骤803：手机号获取请求经过移动运营商WAP网关200时，WAP网关200识别用户身份，将对应的用户手机号，添加至请求头域；并将手机号获取请求转发至移动运营商手机号获取服务器300； \n[0074] 步骤804：移动运营商手机号获取服务器300收到请求后，从请求头域中解析手机号； \n[0075] 步骤805：运营商手机号获取服务器300将手机号经过数字签名、数据加密，发送给手机银行服务器400； \n[0076] 步骤806：手机银行服务器400接收到上述信息后，进行验签和解密，获得手机号，与银行客户信息系统500中的手机银行注册信息比对，验证通过后，通过运营商WAP网关\n200，返回登录页面的链接； \n[0077] 步骤807：手机银行客户端装置显示链接； \n[0078] 步骤808：客户通过点击所述链接，显示由手机银行服务器返回的登录页面； [0079] 步骤809：硬件信息获取模块112读取用户手机的IMEI信息； \n[0080] 步骤810：数据变形模块113，对用户手机的IMEI信息做移位变形处理； [0081] 步骤811：数据加解密模块114，使用对称密钥算法（如3DES）对所述变形后的信息，以及用户输入的登录密码、验证码，一并加密后，通过运营商WAP网关200，提交手机银行服务器400； \n[0082] 步骤812：手机银行服务器400的数据加解密模块412，对接受到的加密信息采用对称密钥算法进行解密； \n[0083] 步骤813：用户身份认证模块414，负责验证用户手机号/登录密码是否匹配、验证码是否输入正确、手机IMEI信息是否与注册信息匹配。 \n[0084] 步骤814：如验证无误，则检查通过。 \n[0085] 步骤815：进一步地可以要求用户在启动手机银行客户端软件、登录认证或交易输密等需要进行身份验证的场景中，输入手势动作。本实施例中，以在手机银行客户端进行登录验证的场景中运用为例。用户根据提示输入手势工作（如晃动手机），手势处理模块115识别用户手势，并与预留的用户手势进行比对； \n[0086] 步骤816：判断用户手势是否与预留手势吻合； \n[0087] 步骤817：如果判断不相吻合，可以要求用户重新输入，超过规定重试次数登录失败； \n[0088] 步骤818：手机银行客户端装置如果判断校验通过，登录成功。 \n[0089] 本实施例可以广泛用于手机银行应用的多个场景，本发明结合了手机硬件特征，可以增加手机银行安全控制，体现在如下方面：1）绑定手机硬件信息：将用户手机硬件信息与手机银行注册信息绑定，可以确保用户只有使用自己的手机才能操作银行账户。即使用户名密码被窃取，盗取人也无法操作被盗取人的银行账户，造成经济损失。2）绑定用户SIM卡：通过将用户手机号与手机银行注册信息绑定，可以确保用户只有使用自己的SIM卡才能操作银行账户。即使用户名密码被窃取，盗取人也无法操作被盗取人的银行账户，造成经济损失。3）将用户的持手机时的特定手势作为安全认证手段，进一步加强了手机银行登录的安全性。4）将用户在手机触摸屏上触摸出的特定轨迹 作为安全认证手段，进一步加强了手机银行登录的安全性。 \n[0090] 本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。