客户可控制状态的银行客户账户管理系统

2010-06-12 08:54史志强
网络安全技术与应用 2010年11期
关键词:柜员机口令账号

史志强

空军94755部队 福建 363300

0 引言

银行客户账户管理系统是给客户提供一个账户和密码,客户使用账户凭证(包括存款单、储蓄卡、工资卡、信用卡等)和密码就可以通过银行柜台、自动柜员机获得存款、取款、转账和查询服务,后来又发展到可以通过互联网、手机、电话等对账户内资金进行查询和转账。为防止信用卡被盗用,还提供了短信提醒功能。如果客户发现自己的凭证或密码丢失,要拿自己的有效证件到银行挂失,银行客户账户管理系统管理员接到申请后将该账户冻结,待补办凭证手续更换密码后再解冻客户账户。由于账户和密码是取款、转账的主要依据,因此谁掌握了银行账号和密码,而不管这个账号是不是自己的账号,谁就取得了该账号内资金处理权。这就给心怀不轨的人提供了可乘之机,很大部分信用卡诈骗、金融卡盗窃案件事后查明:犯罪分子通过某种手段获取银行卡(强抢、盗窃或复制)账号和密码并且在账户没有冻结之前达到盗窃目的。为尽量减少上述情况给客户带来的损失,本文提出一种“客户设置账户状态的银行客户账户管理系统”(国家知识产权局已受理发明专利申请,申请号:2009101684182)。

1 设计指导思想

如图 1所示将客户的账户存在时间划分为若干组时间段,每个时间段分为冻结期、解冻期、流动期三个状态期冻结状态和解冻状态两个状态。其中冻结状态包括冻结期和解冻期,解冻状态即流动期。客户可以通过网络终端(包括电话、手机、柜员机、互联网)使用账户和密码随时将账户冻结和解冻。

图1 账户状态时间分布图

2 实现方法

在目前银行数据库客户账户表中增加一个客户账户状态字段C、客户操作日期时间段Ti和冻结口令字段P,客户账户状态字段C只有“Y/N/NULL”内容,Y表示流动状态、N冻结状态、NULL客户没有选择该类服务;客户账户状态字段用于存放客户冻结和解冻账户的密码;在程序中设置一个时间变量作为解冻期T,客户操作日期时间段数值类型为日期型,分别记录客户下达的冻结解冻指令和日期时间。

客户通过银行客户账户管理系统客户端(柜员机、互联网、手机、银行柜台)进行资金调拨(取现或转账)时,系统首先检查客户控制段C内容判断账户为冻结状态N还是解冻状态Y,如果是冻结状态N,系统拒绝进一步的转账或取现操作;如果解冻状态Y,系统将与时间常量T与客户控制日期时间段Ti的和与当前日期时间Tm进行比较,当 T+Ti<Tm时,系统拒绝进一步的转账或取现操作,当T+Ti>=Tm时,系统允许客户进行转账或取现操作。当客户认为在一定时间内不需要调动账户内资金或发现自己账户内资金有被非法转移的可能时,客户可以通过银行客户账户管理系统客户端(柜员机、互联网、手机、银行柜台)将客户控制段C的内容设置为冻结N,当客户预料到需要调拨账户内资金时,首先通过银行客户账户管理系统客户端(柜员机、互联网、手机、银行柜台)将客户控制段C的内容设置为解冻Y,等过了解冻期T后进行转账、取现操作或再次将账户转为冻结状态N。

图2是系统流程图。

客户通过银行客户账户管理系统客户端(柜员机、互联网、手机、银行柜台)操作账户时,服务器端程序首先进行客户验证,验证完成后检查银行管理状态,如果该账户已被银行冻结,则向客户端发出该账户客户不能进行操作管理提示并退出;如该账户没有被银行冻结,则返回客户管理界面。如果客户之前已经将账户冻结或在流动期之外,客户只能选择解冻账户、查询账户余额、修改口令、退出;如果客户之前已经解冻账户并在流动期之内,客户可选择冻结账户、取现、查询、修改口令、退出全功能操作。

账户状态(解冻账户)和账户的关键数据(修改口令、转账、提现、支付现金)发生变化时,触发系统向客户发送变动情况短信通知,客户根据情况决定是否通过银行冻结自己的账户。

3 结束语

该系统提供了客户冻结账户、客户解冻口令验证、解冻时刻和解冻期4项安全措施,结合银行现在使用的银行冻结账户、口令验证、数据网络加密、短信通知等措施,即使客户在账户和密码丢失被盗的情况下,也有解冻期作为一个时间缓冲,在解冻期里通过银行将该账号冻结,从而降低了客户保存在银行中资产被盗窃、转移的风险。

图2 系统流程图

猜你喜欢
柜员机口令账号
彤彤的聊天账号
对公众存在的智慧柜员机(VTM)认知偏差的研究
施诈计骗走游戏账号
高矮胖瘦
用ATM机汇款可不再执行24小时到账规定
口 令
我国社交媒体账号的对外传播之道——以“人民日报”Facebook账号“特朗普访华”议题报道为例
好玩的“反口令”游戏
高中生将可乐倒进ATM机被判缓刑
SNMP服务弱口令安全漏洞防范