專利名稱:數(shù)字證書的生成方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域�,特別涉及一種數(shù)字證書的生成方法和一種數(shù)字證書的生成系統(tǒng)。
背景技術(shù):
近年來���,伴隨互聯(lián)網(wǎng)以及金融信息化的快速發(fā)展����,網(wǎng)上銀行因其便利����、高效等優(yōu)點迅速得到用戶和銀行業(yè)界的普遍推崇��,其中數(shù)字證書是通過網(wǎng)上銀行進行交易時用戶和銀行服務(wù)器的身份標識����,可以保證網(wǎng)上交易的安全���。目前���,用戶數(shù)字證書的生成均由銀行服務(wù)器完成,經(jīng)過第三方電子商務(wù)認證服務(wù)器認證之后再下發(fā)給用戶所使用的終端��。存在的問題是�,銀行服務(wù)器在下發(fā)的數(shù)字證書給終端的過程中��,銀行服務(wù)器可能不知道所發(fā)送的具體終端����,從而有可能遭到攔截,數(shù)字證書在下發(fā)的過程中存在被盜取的安全隱患���。
發(fā)明內(nèi)容
本發(fā)明的目的旨在至少解決上述技術(shù)缺陷之一����。為達到上述目的,本發(fā)明第一個目的在于提出一種數(shù)字證書的生成方法����,該方法包括以下步驟:a、移動終端接收注冊指令�����,并根據(jù)所述注冊指令與移動銀行服務(wù)器建立連接�����,以及生成一對用戶公鑰和私鑰��;b��、移動終端利用預(yù)存的所述移動銀行服務(wù)器的公鑰對賬號信息�����、第一驗證信息以及第一隨機加密參數(shù)進行加密����,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器;c��、所述移動銀行服務(wù)器利用所述移動銀行服務(wù)器的私鑰對來自所述移動終端的信息進行解密,以獲得所述賬號信息�、所述第一驗證信息以及第一隨機加密參數(shù),并對所述第一驗證信息進行驗證���,驗證通過后將所述賬號信息發(fā)送至銀行綜合前置服務(wù)器�;d����、所述銀行綜合前置服務(wù)器對來自所述移動銀行服務(wù)器的所述賬號信息進行驗證,發(fā)送驗證結(jié)果至所述移動銀行服務(wù)器����;e、在所述驗證結(jié)果為正確時��,所述移動銀行服務(wù)器生成第二隨機加密參數(shù)和第二驗證信息�,并將所述第二隨機加密參數(shù)和所述第二驗證信息發(fā)送至所述移動終端��;f���、所述移動終端利用所述第一隨機加密參數(shù)和第二隨機加密參數(shù)加密第二驗證信息和所述用戶公鑰生成第三驗證信息��,并將第三驗證信息發(fā)送至所述移動銀行服務(wù)器�;以及g、所述移動銀行服務(wù)器對來自所述移動終端的所述第三驗證信息進行驗證��,并在驗證通過后將所述用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器進行認證簽名��,以生成用戶公鑰證書����。根據(jù)本發(fā)明實施例的數(shù)字證書的生成方法,在移動終端生成用戶公鑰和私鑰�,將用戶信息和用戶公鑰發(fā)送至移動銀行服務(wù)器之前,移動終端與移動銀行服務(wù)器和銀行綜合前置服務(wù)器多方進行驗證���,并在驗證之后以數(shù)字證書的方式存儲在移動銀行服務(wù)器����,保證用戶公鑰傳輸通路的安全性�����,增加攻擊的難度��。同時移動銀行服務(wù)器經(jīng)過對移動終端進行驗證�,可以明確知道與自己通信的是哪個移動終端,防止假冒移動終端與移動銀行服務(wù)器進行交互����,保證了安全���。
為達到上述目的,本發(fā)明第二個目的在于提出一種數(shù)字證書的生成系統(tǒng)��,該系統(tǒng)包括:移動終端�、移動銀行服務(wù)器和銀行綜合前置服務(wù)器,其中��,所述移動終端�����,用于接收注冊指令�,并根據(jù)所述注冊指令與所述移動銀行服務(wù)器建立連接,以及生成一對用戶公鑰和私鑰��,并利用預(yù)存的所述移動銀行服務(wù)器的公鑰對賬號信息�、第一驗證信息以及第一隨機加密參數(shù)進行加密,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器����;所述移動銀行服務(wù)器��,用于利用所述移動銀行服務(wù)器的私鑰對來自所述移動終端的信息進行解密,以獲得所述賬號信息�、所述第一驗證信息以及第一隨機加密參數(shù),并對所述第一驗證信息進行驗證�����,驗證通過后將所述賬號信息發(fā)送至銀行綜合前置服務(wù)器�����;所述銀行綜合前置服務(wù)器����,用于對來自所述移動銀行服務(wù)器的所述賬號信息進行驗證,發(fā)送驗證結(jié)果至所述移動銀行服務(wù)器�;所述移動銀行服務(wù)器還用于在所述驗證結(jié)果為正確時生成第二隨機加密參數(shù)和第二驗證信息,并將所述第二隨機加密參數(shù)和所述第二驗證信息發(fā)送至所述移動終端�����,所述移動終端利用所述第一隨機加密參數(shù)和第二隨機加密參數(shù)加密第二驗證信息和所述用戶公鑰生成第三驗證信息����,并將第三驗證信息發(fā)送至所述移動銀行服務(wù)器,所述移動銀行服務(wù)器對來自所述移動終端的所述第三驗證信息進行驗證,并在驗證通過后將所述用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器進行認證簽名�����,以生成用戶公鑰證書�����。根據(jù)本發(fā)明實施例的數(shù)字證書的生成系統(tǒng)�����,在移動終端生成用戶公鑰和私鑰�,將用戶信息和用戶公鑰發(fā)送至移動銀行服務(wù)器之前,移動終端與移動銀行服務(wù)器和銀行綜合前置服務(wù)器多方進行驗證�,并在驗證之后以數(shù)字證書的方式存儲在移動銀行服務(wù)器,保證用戶公鑰傳輸通路的安全性���,增加攻擊的難度���。同時移動銀行服務(wù)器經(jīng)過對移動終端進行驗證,可以明確知道與自己通信的是哪個移動終端����,防止假冒移動終端與移動銀行服務(wù)器進行交互���,保證了安全��。本發(fā)明附加的方面和優(yōu)點將在下面的描述中部分給出���,部分將從下面的描述中變得明顯���,或通過本發(fā)明的實踐了解到。
本發(fā)明上述的和/或附加的方面和優(yōu)點從下面結(jié)合附圖對實施例的描述中將變得明顯和容易理解��,其中:圖1為本發(fā)明實施例1的數(shù)字證書的生成方法的流程圖����;圖2為本發(fā)明實施例2的數(shù)字證書的生成方法的流程圖;圖3為本發(fā)明實施例3的數(shù)字證書的生成系統(tǒng)的結(jié)構(gòu)示意圖���。
具體實施例方式下面詳細描述本發(fā)明的實施例���,所述實施例的示例在附圖中示出,其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件��。下面通過參考附圖描述的實施例是示例性的����,僅用于解釋本發(fā)明�����,而不能理解為對本發(fā)明的限制����。相反����,本發(fā)明的實施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物��。在本發(fā)明的描述中�����,需要理解的是���,術(shù)語“第一”�����、“第二”等僅用于描述目的�,而不能理解為指示或暗示相對重要性。在本發(fā)明的描述中���,需要說明的是��,除非另有明確的規(guī)定和限定,術(shù)語“相連”���、“連接”應(yīng)做廣義理解�����,例如���,可以是固定連接,也可以是可拆卸連接���,或一體地連接�;可以是機械連接����,也可以是電連接;可以是直接相連��,也可以通過中間媒介間接相連。對于本領(lǐng)域的普通技術(shù)人員而言�,可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。此外����,在本發(fā)明的描述中,除非另有說明����,“多個”的含義是兩個或兩個以上。流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為����,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分����,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn),其中可以不按所示出或討論的順序�,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序,來執(zhí)行功能�,這應(yīng)被本發(fā)明的實施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。下面參考附圖描述根據(jù)本發(fā)明實施例的數(shù)字證書的生成方法和系統(tǒng)��。實施例1圖1為本發(fā)明實施例1的數(shù)字證書的生成方法的流程圖�����。如圖1所示,根據(jù)本發(fā)明實施例的數(shù)字證書的生成方法包括下述步驟:步驟S101����,移動終端接收注冊指令,并根據(jù)注冊指令與移動銀行服務(wù)器建立連接�,以及生成一對用戶公鑰和私鑰。具體的���,移動終端下載銀行客戶端軟件,在安裝客戶端軟件時���,從所加載的軟件中獲取移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰���,并根據(jù)注冊指令對移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰進行驗證,以及在驗證通過之后根據(jù)注冊指令與移動銀行服務(wù)器建立連接�����。具體地�����,銀行客戶端軟件在進行安裝時,移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰的根證書提前預(yù)置在移動終端中�����,在發(fā)送注冊請求時���,可以根據(jù)預(yù)置的根證書驗證移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰是否正確�����,其中在移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰正確時才可以繼續(xù)執(zhí)行下述步驟�,在移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰錯誤時提示錯誤信息��。其中�,移動銀行服務(wù)端的私鑰存儲在移動銀行服務(wù)器中,移動銀行服務(wù)器的公鑰和私鑰用于對移動終端與移動銀行服務(wù)端之間的通訊數(shù)據(jù)進行加密���;銀行服務(wù)端的私鑰存儲在銀行綜合前置服務(wù)器中����,銀行綜合前置服務(wù)器的公鑰和私鑰用于對交易過程中的銀行卡等敏感信息進行加密���。當然��,本實施例中��,可以在用戶點擊注冊后���,觸發(fā)移動終端根據(jù)預(yù)設(shè)的非對稱加密算法的密鑰生成規(guī)則生成用戶的公私鑰對�����,移動終端生成用戶的公私鑰對以便后續(xù)執(zhí)行交易時通過該公私鑰對與移動銀行服務(wù)器進行交互����。步驟S102�,移動終端利用預(yù)存的移動銀行服務(wù)器的公鑰對賬號信息�、第一驗證信息以及第一隨機加密參數(shù)進行加密,并將加密之后的信息發(fā)送至移動銀行服務(wù)器�����。具體的�����,第一驗證信息由移動銀行服務(wù)器生成����,并下發(fā)至移動終端并顯示出來�����,以供用戶查看并輸入����,該第一驗證信息可以為圖形驗證碼����,從而可以防止攻擊。移動終端接收用戶輸入的第一驗證信息(例如圖形驗證碼中的字符)�。另外,本實施例中����,第一隨機加密參數(shù)由移動終端隨機生成。賬號信息包括:手機號碼���、銀行卡號�����、注冊完畢后的登錄密碼����;或者賬號信息包括:手機號碼、銀行卡號�、注冊完畢后的登錄密碼的哈希值。步驟S103��,移動銀行服務(wù)器利用移動銀行服務(wù)器的私鑰對來自移動終端的信息進行解密���,以獲得賬號信息�、第一驗證信息以及第一隨機加密參數(shù)��,并對第一驗證信息進行驗證��,驗證通過后將賬號信息發(fā)送至銀行綜合前置服務(wù)器����。具體的����,移動銀行服務(wù)器驗證移動終端發(fā)送的第一驗證信息與自身生成的第一驗證信息是否一致,一致則通過驗證�。另外,移動銀行服務(wù)器獲取解密信息后,保存賬號信息中的手機號碼以及第一隨機加密參數(shù)�。步驟S104,銀行綜合前置服務(wù)器對來自移動銀行服務(wù)器的賬號信息進行驗證���,發(fā)送驗證結(jié)果至移動銀行服務(wù)器����。具體的���,銀行綜合前置服務(wù)器驗證賬號信息中的手機號碼和銀行卡號是否正確�,發(fā)送驗證結(jié)果至移動銀行服務(wù)器�����。步驟S105��,在驗證結(jié)果為正確時�����,移動銀行服務(wù)器生成第二隨機加密參數(shù)和第二驗證信息�����,并將第二隨機加密參數(shù)和第二驗證信息發(fā)送至移動終端。具體的�����,在驗證結(jié)果為正確時���,移動銀行服務(wù)器根據(jù)第一隨機加密參數(shù)對第二隨機加密參數(shù)進行加密�,并將加密后的第二隨機加密參數(shù)發(fā)送至移動終端�;并且利用存儲的手機號碼將第二驗證信息以短信的形式發(fā)送至移動終端。步驟S106���,移動終端利用第一隨機加密參數(shù)和第二隨機加密參數(shù)加密第二驗證信息和用戶公鑰生成第三驗證信息����,并將第三驗證信息發(fā)送至移動銀行服務(wù)器�����。具體的��,移動終端根據(jù)第一隨機加密參數(shù)對加密后的第二隨機加密參數(shù)進行解密��,獲得第二隨機加密參數(shù)����;并接收用戶輸入的第二驗證信息;移動終端再根據(jù)第一隨機加密參數(shù)和第二隨機加密參數(shù)對用戶輸入的第二驗證信息和用戶公鑰進行加密以生成第三驗證信息�����,將第三驗證信息和用戶公鑰發(fā)送至移動銀行服務(wù)器����。 在本實施例中,可以利用第一隨機加密參數(shù)和第二隨機加密參數(shù)對第二驗證信息和用戶公鑰進行分段做MAC以生成第三驗證信息�。步驟S107,移動銀行服務(wù)器對來自移動終端的第三驗證信息進行驗證�,并在驗證通過后將用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器進行認證簽名,以生成用戶公鑰證書�����。移動銀行服務(wù)器根據(jù)存儲的第一隨機加密參數(shù)和第二隨機加密參數(shù)對第二驗證信息和用戶公鑰進行加密以生成第四驗證信息���,并判斷接收到的第三驗證信息與生成的第四驗證信息是否一致���,如果一致,則驗證通過�。具體地����,第三方電子商務(wù)認證服務(wù)器對用戶的公鑰進行認證簽名�����,可以防止用戶公鑰被冒充�,并將簽名之后的用戶公鑰儲存在移動銀行服務(wù)器中,移動銀行服務(wù)器存儲簽名的用戶公鑰之后提示用戶公鑰證書生成成功����。根據(jù)本發(fā)明實施例的數(shù)字證書的生成方法,在移動終端生成用戶公鑰和私鑰��,將用戶信息和用戶公鑰發(fā)送至移動銀行服務(wù)器之前�����,移動終端與移動銀行服務(wù)器和銀行綜合前置服務(wù)器多方進行驗證��,并在驗證之后以數(shù)字證書的方式存儲在移動銀行服務(wù)器�����,保證用戶公鑰傳輸通路的安全性����,增加攻擊的難度。實施例2圖2為本發(fā)明實施例2的數(shù)字證書的生成方法的流程圖�。
如圖2所示,根據(jù)本發(fā)明實施例的數(shù)字證書的生成方法包括下述步驟:步驟S201��,移動終端接收注冊指令�����,并根據(jù)注冊指令與移動銀行服務(wù)器建立連接�����,以及生成一對用戶公鑰和私鑰��。具體的�����,移動終端下載銀行客戶端軟件�����,在安裝客戶端軟件時�,從所加載的軟件中獲取移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰�,并根據(jù)注冊指令對移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰進行驗證���,以及在驗證通過之后根據(jù)注冊指令與移動銀行服務(wù)器建立連接����。銀行客戶端軟件在進行安裝時�,移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰的根證書提前預(yù)置在移動終端中,在發(fā)送注冊請求時�,可以根據(jù)預(yù)置的根證書驗證移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰是否正確,其中在移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰正確時才可以繼續(xù)執(zhí)行下述步驟�,在移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰錯誤時提示錯誤信息。其中����,移動銀行服務(wù)端的私鑰存儲在移動銀行服務(wù)器中,移動銀行服務(wù)器的公鑰和私鑰用于對移動終端與移動銀行服務(wù)端之間的通訊數(shù)據(jù)進行加密�;銀行服務(wù)端的私鑰存儲在銀行綜合前置服務(wù)器中,銀行綜合前置服務(wù)器的公鑰和私鑰用于對交易過程中的銀行卡等敏感信息進行加密�����。當然��,本實施例中,可以在用戶點擊注冊后��,觸發(fā)移動終端根據(jù)預(yù)設(shè)的非對稱加密算法的密鑰生成規(guī)則生成用戶的公私鑰對�,移動終端生成用戶的公私鑰對以便后續(xù)執(zhí)行交易時通過該公私鑰對與移動銀行服務(wù)器進行交互。步驟S202����,移動終端利用預(yù)存的移動銀行服務(wù)器的公鑰對賬號信息����、硬件信息、第一驗證信息以及第一隨機加密參數(shù)進行加密�����,并將加密之后的信息發(fā)送至移動銀行服務(wù)器�����。具體的���,第一驗證信息由移動銀行服務(wù)器生成��,并下發(fā)至移動終端并顯示出來�����,以供用戶查看并輸入�,該第一驗證信息可以為圖形驗證碼,從而可以防止攻擊����。移動終端接收用戶輸入的第一驗證信息(例如圖形驗證碼中的字符)。另外�,本實施例中,第一隨機加密參數(shù)由移動終端隨機生成����。賬號信息包括:手機號碼、銀行卡號�����、注冊完畢后的登錄密碼�;或者賬號信息包括:手機號碼、銀行卡號�����、注冊完畢后的登錄密碼的哈希值�。硬件信息為:硬件特征信息或者硬件特征信息的哈希值,其中,硬件特征信息包括設(shè)備序列號和/或網(wǎng)卡的MAC地址�。具體的,移動終端根據(jù)移動銀行服務(wù)器的公鑰對手機號碼����、銀行卡號、登錄密碼����、硬件信息、第一隨機加密參數(shù)和第一驗證信息進行加密���,并將加密之后的信息發(fā)送至移動銀行服務(wù)器,其中第一隨機加密參數(shù)由移動終端生成�����。具體地���,移動終端提取移動終端自身的硬件特征信息(或者計算提取的硬件特征信息的哈希值)���,同時生成第一隨機加密參數(shù),接收用戶錄入的手機號碼�、銀行卡號、登錄密碼(可以提示用戶輸入兩次)、圖形驗證碼顯示的字符���,通過點擊提交之后移動終端通過移動銀行服務(wù)器的公鑰對獲取的信息(包括手機號碼����、銀行卡號�、登錄密碼、硬件特征信息/硬件特征信息的哈希值��、第一隨機加密參數(shù)和圖形驗證碼)進行加密并發(fā)送給移動銀行服務(wù)器���。當然�����,此時�����,移動終端還可以計算登錄密碼的哈希值����,通過點擊提交之后移動終端通過移動銀行服務(wù)器的公鑰對獲取的信息(包括手機號碼����、銀行卡號��、登錄密碼的哈希值���、硬件特征信息/硬件特征信息的哈希值、第一隨機加密參數(shù)和圖形驗證碼)進行加密并發(fā)送給移動銀行服務(wù)器����。步驟S203,移動銀行服務(wù)器利用移動銀行服務(wù)器的私鑰對來自移動終端的信息進行解密��,以獲得賬號信息����、硬件信息����、第一驗證信息以及第一隨機加密參數(shù),并對第一驗證信息進行驗證��,驗證通過后將賬號信息發(fā)送至銀行綜合前置服務(wù)器�。具體的,移動銀行服務(wù)器驗證移動終端發(fā)送的第一驗證信息與自身生成的第一驗證信息是否一致���,一致則通過驗證����。另外,移動銀行服務(wù)器獲取解密信息后����,保存賬號信息中的手機號碼、硬件信息以及第一隨機加密參數(shù)�。步驟S204,銀行綜合前置服務(wù)器對來自移動銀行服務(wù)器的賬號信息進行驗證����,發(fā)送驗證結(jié)果至移動銀行服務(wù)器。具體的�,銀行綜合前置服務(wù)器驗證賬號信息中的手機號碼和銀行卡號是否正確,發(fā)送驗證結(jié)果至移動銀行服務(wù)器��。步驟S205�����,在驗證結(jié)果為正確時�����,移動銀行服務(wù)器生成第二隨機加密參數(shù)和第二驗證信息,并將第二隨機加密參數(shù)和第二驗證信息發(fā)送至移動終端�����。具體的�,在驗證結(jié)果為正確時,移動銀行服務(wù)器根據(jù)第一隨機加密參數(shù)對第二隨機加密參數(shù)進行加密����,并將加密后的第二隨機加密參數(shù)發(fā)送至移動終端;并且利用存儲的手機號碼將第二驗證信息以短信的形式發(fā)送至移動終端����。步驟S206,移動終端根據(jù)第一隨機加密參數(shù)和第二隨機加密參數(shù)對第二驗證信息和用戶公鑰進行加密以生成三驗證信息�,并根據(jù)用戶私鑰對硬件信息進行簽名以生成第一簽名信息,并將第三驗證信息�、用戶公鑰和第一簽名信息發(fā)送至移動銀行服務(wù)器。具體的�����,移動終端根據(jù)第一隨機加密參數(shù)對加密后的第二隨機加密參數(shù)進行解密�,獲得第二隨機加密參數(shù)���;并接收用戶輸入的第二驗證信息��;移動終端再根據(jù)第一隨機加密參數(shù)和第二隨機加密參數(shù)對用戶輸入的第二驗證信息和用戶公鑰進行加密以生成第三驗證信息�,并根據(jù)用戶私鑰對硬件特征信息或者硬件特征信息的哈希值進行簽名以生成第一簽名信息,將第三驗證信息�、用戶公鑰以及第一簽名信息發(fā)送至移動銀行服務(wù)器。在本實施例中���,可以利用第一隨機加密參數(shù)和第二隨機加密參數(shù)對第二驗證信息和用戶公鑰進行分段做MAC以生成第三驗證信息�。步驟S207��,移動銀行服務(wù)器對來自移動終端的第三驗證信息和第一簽名信息進行驗證�����,并在驗證通過后將用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器進行認證簽名��,以生成用戶公鑰證書��。具體的�,移動銀行服務(wù)器根據(jù)存儲的第一隨機加密參數(shù)和第二隨機加密參數(shù)對第二驗證信息和用戶公鑰進行加密以生成第四驗證信息,并根據(jù)用戶公鑰對第一簽名信息進行驗簽���,并判斷第三驗證信息與第四驗證信息是否一致���,第一簽名信息是否通過驗簽�;如果一致并通過驗簽���,則驗證通過����。具體地����,第三方電子商務(wù)認證服務(wù)器對用戶的公鑰進行認證簽名,可以防止用戶公鑰被冒充���,并將簽名之后的用戶公鑰儲存在移動銀行服務(wù)器中����,移動銀行服務(wù)器存儲簽名的用戶公鑰之后提示用戶公鑰證書生成成功�����。根據(jù)本發(fā)明實施例的數(shù)字證書的生成方法���,在移動終端生成用戶公鑰和私鑰����,將用戶信息和用戶公鑰發(fā)送至移動銀行服務(wù)器之前����,移動終端與移動銀行服務(wù)器和銀行綜合前置服務(wù)器多方進行驗證,并在驗證之后以數(shù)字證書的方式存儲在移動銀行服務(wù)器��,保證用戶公鑰傳輸通路的安全性�,增加攻擊的難度。同時移動銀行服務(wù)器經(jīng)過對移動終端的硬件信息進行驗證�,可以明確知道與自己通信的是哪個移動終端,防止假冒移動終端與移動銀行服務(wù)器進行交互����,保證了安全。實施例3圖3為本發(fā)明實施例3的數(shù)字證書的生成系統(tǒng)的結(jié)構(gòu)框圖��。如圖3所示��,根據(jù)本發(fā)明實施例的數(shù)字證書的生成系統(tǒng)包括:移動終端10��、移動銀行服務(wù)器20�����、銀行綜合前置服務(wù)器30和第三方電子商務(wù)認證服務(wù)器40。具體地�����,移動終端10用于接收注冊指令��,并根據(jù)注冊指令與移動銀行服務(wù)器20建立連接����,以及生成一對用戶公鑰和私鑰,并利用預(yù)存的移動銀行服務(wù)器20的公鑰對賬號信息���、第一驗證信息以及第一隨機加密參數(shù)進行加密���,并將加密之后的信息發(fā)送至移動銀行服務(wù)器20 ;或者移動終端10接收注冊指令,并根據(jù)注冊指令與移動銀行服務(wù)器20建立連接�,以及生成一對用戶公鑰和私鑰,并利用預(yù)存的移動銀行服務(wù)器20的公鑰對賬號信息�、硬件信息(硬件特征信息或者硬件特征信息的哈希值)、第一驗證信息以及第一隨機加密參數(shù)進行加密�����,并將加密之后的信息發(fā)送至移動銀行服務(wù)器20。其中��,硬件特征信息包括設(shè)備序列號和/或網(wǎng)卡的MAC地址����。移動銀行服務(wù)器20利用移動銀行服務(wù)器20的私鑰對來自移動終端10的信息進行解密��,以獲得賬號信息��、第一驗證信息以及第一隨機加密參數(shù)���,并對第一驗證信息進行驗證�����,驗證通過后將賬號信息發(fā)送至銀行綜合前置服務(wù)器30 ;或者移動銀行服務(wù)器20利用移動銀行服務(wù)器20的私鑰對來自移動終端10的信息進行解密����,以獲得賬號信息����、硬件信息、第一驗證信息以及第一隨機加密參數(shù)�����,并對第一驗證信息進行驗證,驗證通過后將賬號信息發(fā)送至銀行綜合前置服務(wù)器30����。銀行綜合前置服務(wù)器30用于對來自移動銀行服務(wù)器20的賬號信息進行驗證,發(fā)送驗證結(jié)果至移動銀行服務(wù)器20����,移動銀行服務(wù)器20還用于在驗證結(jié)果為正確時生成第二隨機加密參數(shù)和第二驗證信息,并將第二隨機加密參數(shù)和第二驗證信息發(fā)送至移動終端10���。移動終端10利用第一隨機加密參數(shù)和第二隨機加密參數(shù)加密第二驗證信息和用戶公鑰生成第三驗證信息����,并將第三驗證信息發(fā)送至移動銀行服務(wù)器20����,移動銀行服務(wù)器20對來自移動終端10的第三驗證信息進行驗證,并在驗證通過后將用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器40進行認證簽名���,以生成用戶公鑰證書�;或者移動終端10根據(jù)第一隨機加密參數(shù)和第二隨機加密參數(shù)對用戶輸入的第二驗證信息和用戶公鑰進行加密以生成第三驗證信息����,并根據(jù)用戶私鑰對硬件特征信息或者硬件特征信息的哈希值進行簽名以生成第一簽名信息�,將第三驗證信息�、用戶公鑰以及第一簽名信息發(fā)送至移動銀行服務(wù)器20,移動銀行服務(wù)器20對來自移動終端10的第三驗證信息和第一簽名信息進行驗證����,并在驗證通過后將用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器40進行認證簽名�,以生成用戶公鑰證書。在本實施例中�����,可以利用第一隨機加密參數(shù)和第二隨機加密參數(shù)對第二驗證信息和用戶公鑰進行分段做MAC以生成第三驗證信息��。根據(jù)本發(fā)明實施例的數(shù)字證書的生成系統(tǒng)��,在移動終端生成用戶公鑰和私鑰�,將用戶信息和用戶公鑰發(fā)送至移動銀行服務(wù)器之前,移動終端與移動銀行服務(wù)器和銀行綜合前置服務(wù)器多方進行驗證��,并在驗證之后以數(shù)字證書的方式存儲在移動銀行服務(wù)器�����,保證用戶公鑰傳輸通路的安全性,增加攻擊的難度��。同時移動銀行服務(wù)器經(jīng)過對移動終端的硬件信息進行驗證���,可以明確知道與自己通信的是哪個移動終端��,防止假冒移動終端與移動銀行服務(wù)器進行交互��,保證了安全�����。在本發(fā)明的一個實施例中�,移動終端10還用于:從所加載的軟件中獲取移動銀行服務(wù)器20的公鑰和銀行綜合前置服務(wù)器30的公鑰�,并根據(jù)注冊指令對移動銀行服務(wù)器20的公鑰和銀行綜合前置服務(wù)器30的公鑰進行驗證,以及在驗證通過之后根據(jù)注冊指令與移動銀行服務(wù)器20建立連接�。移動銀行服務(wù)器20還用于:根據(jù)驗證通過信息生成第二隨機加密參數(shù)和第二驗證信息,并根據(jù)第一隨機加密參數(shù)對第二隨機加密參數(shù)進行加密�����,并將第二驗證信息和加密后的第二隨機加密參數(shù)發(fā)送至移動終端10�����。其中,第二驗證信息以短信的形式發(fā)送至移動終端10����,移動終端10根據(jù)第一隨機加密參數(shù)對第二隨機加密參數(shù)進行解密。移動銀行服務(wù)器20還用于:根據(jù)存儲的第一隨機加密參數(shù)和第二隨機加密參數(shù)對第二驗證信息和用戶公鑰進行加密以生成第四驗證信息�,并根據(jù)用戶公鑰對第一簽名信息進行驗簽,并判斷第三驗證信息與第四驗證信息是否一致��,第一簽名信息是否通過驗簽一致���,如果一致并通過驗簽�,則驗證通過�。盡管已經(jīng)示出和描述了本發(fā)明的實施例��,對于本領(lǐng)域的普通技術(shù)人員而言�,可以理解在不脫離本發(fā)明的原理和精神的情況下可以對這些實施例進行多種變化、修改��、替換和變型����,本發(fā)明的范圍由所附權(quán)利要求及其等同限定。
權(quán)利要求
1.一種數(shù)字證書的生成方法����,其特征在于��,該方法包括: a�����、移動終端接收注冊指令��,并根據(jù)所述注冊指令與移動銀行服務(wù)器建立連接�,以及生成一對用戶公鑰和私鑰�; b、移動終端利用預(yù)存的所述移動銀行服務(wù)器的公鑰對賬號信息�����、第一驗證信息以及第一隨機加密參數(shù)進行加密�����,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器�; C、所述移動銀行服務(wù)器利用所述移動銀行服務(wù)器的私鑰對來自所述移動終端的信息進行解密��,以獲得所述賬號信息��、所述第一驗證信息以及第一隨機加密參數(shù),并對所述第一驗證信息進行驗證�����,驗證通過后將所述賬號信息發(fā)送至銀行綜合前置服務(wù)器����; d、所述銀行綜合前置服務(wù)器對來自所述移動銀行服務(wù)器的所述賬號信息進行驗證���,發(fā)送驗證結(jié)果至所述移動銀行服務(wù)器��; e��、在所述驗證結(jié)果為正確時���,所述移動銀行服務(wù)器生成第二隨機加密參數(shù)和第二驗證信息����,并將所述第二隨機加密參數(shù)和所述第二驗證信息發(fā)送至所述移動終端; f��、所述移動終端利用所述第一隨機加密參數(shù)和第二隨機加密參數(shù)加密所述第二驗證信息和所述用戶公鑰生成第三驗證信息����,并將第三驗證信息發(fā)送至所述移動銀行服務(wù)器���;以及 g、所述移動銀行服務(wù)器對來自所述移動終端的所述第三驗證信息進行驗證����,并在驗證通過后將所述用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器進行認證簽名,以生成用戶公鑰證書��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述步驟a中的移動終端接收注冊指令,并根據(jù)所述注冊指令與移動銀行服務(wù)器建立連接的步驟包括: 所述移動終端從所加載的軟件中獲取移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰�,對所述移動銀行服務(wù)器的公鑰和所述銀行綜合前置服務(wù)器的公鑰進行驗證,以及在驗證通過之后根據(jù)所述注冊指令與所述移動銀行服務(wù)器建立連接��。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述步驟b還包括: 所述移動終端利用預(yù)存的所述移動銀行服務(wù)器的公鑰對所述移動終端的硬件特征信息進行加密��,其中����,所述硬件特征信息包括設(shè)備序列號和/或網(wǎng)卡的MAC地址; 或 所述移動終端利用預(yù)存的所述移動銀行服務(wù)器的公鑰對所述移動終端的硬件特征信息的哈希值進行加密���,其中��,所述硬件特征信息包括設(shè)備序列號和/或網(wǎng)卡的MAC地址�。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于��,所述賬號信息包括手機號碼��、銀行卡號和登錄密碼����,所述步驟b包括: 所述移動終端接收所述移動銀行服務(wù)器生成的所述第一驗證信息�����,其中所述第一驗證信息為圖形驗證碼;以及 所述移動終端根據(jù)所述移動銀行服務(wù)器的公鑰對所述手機號碼�、銀行卡號、登錄密碼�、硬件特征信息、第一隨機加密參數(shù)和第一驗證信息進行加密�,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器,其中所述第一隨機加密參數(shù)由所述移動終端生成�; 或者 所述移動終端根據(jù)所述移動銀行服務(wù)器的公鑰對接收的所述手機號碼、接收的所述銀行卡號�、計算得到的所述登錄密碼的哈希值、計算得到的所述硬件特征信息的哈希值�、生成的所述第一隨機加密參數(shù)和接收的所述第一驗證信息進行加密,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器���。
5.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述步驟e中將所述第二隨機加密參數(shù)和所述第二驗證信息發(fā)送至所述移動終端的步驟包括: 所述移動銀行服務(wù)器根據(jù)所述第一隨機加密參數(shù)對所述第二隨機加密參數(shù)進行加密���,并將加密后的所述第二隨機加密參數(shù)發(fā)送至所述移動終端����; 所述移動銀行服務(wù)器將所述第二驗證信息以短信的形式發(fā)送至所述移動終端。
6.根據(jù)權(quán)利要求5所述的方法�,其特征在于,將所述第二隨機加密參數(shù)和所述第二驗證信息發(fā)送至所述移動終端的步驟之后���,步驟f之前�,所述方法還包括: 所述移動終端根據(jù)所述第一隨機加密參數(shù)對加密后的所述第二隨機加密參數(shù)進行解密�,獲得所述第二隨機加密參數(shù);并接收用戶輸入的第二驗證信息���。
7.根據(jù)權(quán)利要求3所述的方法��,其特征在于�����,所述步驟f包括: 所述移動終端根據(jù)所述第一隨機加密參數(shù)和第二隨機加密參數(shù)對所述第二驗證信息和所述用戶公鑰進行加密以生成所述第三驗證信息����,并根據(jù)所述用戶私鑰對所述硬件特征信息進行簽名以生成第一簽名信息�����,并將所述第三驗證信息��、用戶公鑰和第一簽名信息發(fā)送至所述移動銀行服務(wù)器����;或 所述移動終端根據(jù)所述第一隨機加密參數(shù)和第二隨機加密參數(shù)對所述第二驗證信息和所述用戶公鑰進行加密以生成所述第三驗證信息,并根據(jù)所述用戶私鑰對所述硬件特征信息的哈希值進行簽名以生成第一簽名信息����,并將所述第三驗證信息、用戶公鑰和第一簽名信息發(fā)送至所述移動銀行服務(wù)器��。
8.根據(jù)權(quán)利要求7 所述的方法��,其特征在于����,所述步驟g中所述移動銀行服務(wù)器對來自所述移動終端的所述第三驗證信息進行驗證的步驟包括: 所述移動銀行服務(wù)器根據(jù)存儲的所述第一隨機加密參數(shù)和第二隨機加密參數(shù)對所述第二驗證信息和所述用戶公鑰進行加密以生成第四驗證信息,并根據(jù)所述用戶公鑰對所述第一簽名信息進行驗簽�����,并判斷所述第三驗證信息與所述第四驗證信息是否一致���,所述第一簽名信息是否通過驗簽����;如果一致并通過驗簽,則驗證通過�����。
9.根據(jù)權(quán)利要求1或7所述的方法�,其特征在于,步驟f中所述生成第三驗證信息的步驟包括: 利用所述第一隨機加密參數(shù)和所述第二隨機加密參數(shù)對所述第二驗證信息和所述用戶公鑰進行分段做MAC�����。
10.一種數(shù)字證書的生成系統(tǒng)��,其特征在于����,該系統(tǒng)包括:移動終端、移動銀行服務(wù)器和銀行綜合前置服務(wù)器���,其中����, 所述移動終端�����,用于接收注冊指令,并根據(jù)所述注冊指令與所述移動銀行服務(wù)器建立連接�,以及生成一對用戶公鑰和私鑰,并利用預(yù)存的所述移動銀行服務(wù)器的公鑰對賬號信息���、第一驗證信息以及第一隨機加密參數(shù)進行加密,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器��; 所述移動銀行服務(wù)器�,用于利用所述移動銀行服務(wù)器的私鑰對來自所述移動終端的信息進行解密,以獲得所述賬號信息��、所述第一驗證信息以及第一隨機加密參數(shù)�����,并對所述第一驗證信息進行驗證��,驗證通過后將所述賬號信息發(fā)送至銀行綜合前置服務(wù)器�����;所述銀行綜合前置服務(wù)器����,用于對來自所述移動銀行服務(wù)器的所述賬號信息進行驗證�,發(fā)送驗證結(jié)果至所述移動銀行服務(wù)器���; 所述移動銀行服務(wù)器還用于在所述驗證結(jié)果為正確時生成第二隨機加密參數(shù)和第二驗證信息��,并將所述第二隨機加密參數(shù)和所述第二驗證信息發(fā)送至所述移動終端�,所述移動終端利用所述第一隨機加密參數(shù)和第二隨機加密參數(shù)加密第二驗證信息和所述用戶公鑰生成第三驗證信息�����,并將第三驗證信息發(fā)送至所述移動銀行服務(wù)器����,所述移動銀行服務(wù)器對來自所述移動終端的所述第三驗證信息進行驗證,并在驗證通過后將所述用戶公鑰發(fā)送至第三方電子商務(wù)認證服務(wù)器進行認證簽名�����,以生成用戶公鑰證書����。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于����,所述移動終端還從所加載的軟件中獲取移動銀行服務(wù)器的公鑰和銀行綜合前置服務(wù)器的公鑰��,對所述移動銀行服務(wù)器的公鑰和所述銀行綜合前置服務(wù)器的公鑰進行驗證��,以及在驗證通過之后根據(jù)所述注冊指令與所述移動銀行服務(wù)器建立連接����。
12.根據(jù)權(quán)利要求10所述的系統(tǒng)��,其特征在于�����,所述移動終端還利用預(yù)存的所述移動銀行服務(wù)器的公鑰對所述移動終端的硬件特征信息或者所述移動終端的硬件特征信息的哈希值進行加密���,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器,其中�����,所述硬件特征信息包括設(shè)備序列號和/或網(wǎng)卡的MAC地址���。
13.根據(jù)權(quán)利要求12所述的系統(tǒng)�����,其特征在于�����,所述賬號信息包括手機號碼��、銀行卡號和登錄密碼����,所述移動終端還用于: 接收所述移動銀行服務(wù)器生成的所述第一驗證信息,其中所述第一驗證信息為圖形驗證碼�����,以及根據(jù)所述移動銀行服務(wù)器的公鑰對所述手機號碼����、銀行卡號、登錄密碼����、硬件特征信息、第一隨機加密參數(shù)和第一驗證信息進行加密�����,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器,其中所述第一隨機加密參數(shù)由所述移動終端生成����; 或者 所述移動終端根據(jù)所述移動銀行服務(wù)器的公鑰對接收的所述手機號碼、接收的所述銀行卡號�、計算得到的所述登錄密碼的哈希值、計算得到的所述硬件特征信息的哈希值��、生成的所述第一隨機加密參數(shù)和接收的所述第一驗證信息進行加密�,并將加密之后的信息發(fā)送至所述移動銀行服務(wù)器。
14.根據(jù)權(quán)利要求10所述的系統(tǒng)��,其特征在于��,所述移動銀行服務(wù)器還用于: 根據(jù)所述第一隨機加密參數(shù)對所述第二隨機加密參數(shù)進行加密�����,并將加密后的所述第二隨機加密參數(shù)發(fā)送至所述移動終端��,并將所述第二驗證信息以短信的形式發(fā)送至所述移動終端����。
15.根據(jù)權(quán)利要求14所述的系統(tǒng),其特征在于�����,所述移動終端還用于: 根據(jù)所述第一隨機加密參數(shù)對加密后的所述第二隨機加密參數(shù)進行解密�����,獲得所述第二隨機加密參數(shù)�����;并接收用戶輸入的第二驗證信息���。
16.根據(jù)權(quán)利要求12所述的系統(tǒng)��,其特征在于�����,所述移動終端還用于: 根據(jù)所述第一隨機加密參數(shù)和第二隨機加密參數(shù)對所述第二驗證信息和所述用戶公鑰進行加密以生成所述第三驗證信息��,并根據(jù)所述用戶私鑰對所述硬件特征信息進行簽名以生成第一簽名信息��,并將所述第三驗證信息 ���、用戶公鑰和第一簽名信息發(fā)送至所述移動銀行服務(wù)器����;或所述移動終端根據(jù)所述第一隨機加密參數(shù)和第二隨機加密參數(shù)對所述第二驗證信息和所述用戶公鑰進行加密以生成所述第三驗證信息�����,并根據(jù)所述用戶私鑰對所述硬件特征信息的哈希值進行簽名以生成第一簽名信息���,并將所述第三驗證信息����、用戶公鑰和第一簽名信息發(fā)送至所述移動銀行服務(wù)器����。
17.根據(jù)權(quán)利要求16所述的系統(tǒng),其特征在于�,所述移動銀行服務(wù)器還用于: 根據(jù)存儲的所述第一隨機加密參數(shù)和第二隨機加密參數(shù)對所述第二驗證信息和所述用戶公鑰進行加密以生成第四驗證信息�����,并根據(jù)所述用戶公鑰對所述第一簽名信息進行驗簽�,并判斷所述第三驗證信息與所述第四驗證信息是否一致�����,所述第一簽名信息是否通過驗簽�����;如果一致并通過驗簽�,則驗證通過���。
全文摘要
本發(fā)明提出一種數(shù)字證書的生成方法和系統(tǒng)�����,該方法包括移動終端與移動銀行服務(wù)器建立連接�����,生成一對用戶公鑰和私鑰��,對賬號信息�、第一驗證信息及第一隨機加密參數(shù)加密并發(fā)送至移動銀行服務(wù)器����;移動銀行服務(wù)器進行解密�����,并在驗證通過后將賬號信息發(fā)送至銀行綜合前置服務(wù)器����;銀行綜合前置服務(wù)器驗證賬號信息���;在驗證結(jié)果為正確時���,移動銀行服務(wù)器將第二隨機加密參數(shù)和第二驗證信息發(fā)送至移動終端;移動終端生成第三驗證信息�����,并將第三驗證信息發(fā)送至移動銀行服務(wù)器��;以及移動銀行服務(wù)器驗證第三驗證信息�,并在驗證通過后對用戶公鑰進行認證簽名,以生成用戶公鑰證書����。根據(jù)本發(fā)明可增加攻擊的難度�,提高安全性����。
文檔編號H04L29/06GK103078742SQ201310009380
公開日2013年5月1日 申請日期2013年1月10日 優(yōu)先權(quán)日2013年1月10日
發(fā)明者李東聲 申請人:天地融科技股份有限公司