數字證書的生成方法和系統技術方案

本發明專利技術提出一種數字證書的生成方法和系統，該方法包括：移動終端與移動銀行服務器建立連接，生成一對用戶公鑰和私鑰，對賬號信息、第一驗證信息及第一隨機加密參數加密并發送至移動銀行服務器；移動銀行服務器進行解密，并在驗證通過后將賬號信息發送至銀行綜合前置服務器；銀行綜合前置服務器驗證賬號信息；在驗證結果為正確時，移動銀行服務器將第二隨機加密參數和第二驗證信息發送至移動終端；移動終端生成第三驗證信息，并將第三驗證信息發送至移動銀行服務器；以及移動銀行服務器驗證第三驗證信息，并在驗證通過后對用戶公鑰進行認證簽名，以生成用戶公鑰證書。根據本發明專利技術可增加攻擊的難度，提高安全性。

【技術實現步驟摘要】

本專利技術涉及信息安全
，特別涉及一種數字證書的生成方法和一種數字證書的生成系統。
技術介紹
近年來，伴隨互聯網以及金融信息化的快速發展，網上銀行因其便利、高效等優點迅速得到用戶和銀行業界的普遍推崇，其中數字證書是通過網上銀行進行交易時用戶和銀行服務器的身份標識，可以保證網上交易的安全。目前，用戶數字證書的生成均由銀行服務器完成，經過第三方電子商務認證服務器認證之后再下發給用戶所使用的終端。存在的問題是，銀行服務器在下發的數字證書給終端的過程中，銀行服務器可能不知道所發送的具體終端，從而有可能遭到攔截，數字證書在下發的過程中存在被盜取的安全隱患。
技術實現思路
本專利技術的目的旨在至少解決上述技術缺陷之一。為達到上述目的，本專利技術第一個目的在于提出一種數字證書的生成方法，該方法包括以下步驟:a、移動終端接收注冊指令，并根據所述注冊指令與移動銀行服務器建立連接，以及生成一對用戶公鑰和私鑰；b、移動終端利用預存的所述移動銀行服務器的公鑰對賬號信息、第一驗證信息以及第一隨機加密參數進行加密，并將加密之后的信息發送至所述移動銀行服務器；c、所述移動銀行服務器利用所述移動銀行服務器的私鑰對來自所述移動終端的信息進行解密，以獲得所述賬號信息、所述第一驗證信息以及第一隨機加密參數，并對所述第一驗證信息進行驗證，驗證通過后將所述賬號信息發送至銀行綜合前置服務器；d、所述銀行綜合前置服務器對來自所述移動銀行服務器的所述賬號信息進行驗證，發送驗證結果至所述移動銀行服務器；e、在所述驗證結果為正確時，所述移動銀行服務器生成第二隨機加密參數和第二驗證信息，并將所述第二隨機加密參數和所述第二驗證信息發送至所述移動終端；f、所述移動終端利用所述第一隨機加密參數和第二隨機加密參數加密第二驗證信息和所述用戶公鑰生成第三驗證信息，并將第三驗證信息發送至所述移動銀行服務器；以及g、所述移動銀行服務器對來自所述移動終端的所述第三驗證信息進行驗證，并在驗證通過后將所述用戶公鑰發送至第三方電子商務認證服務器進行認證簽名，以生成用戶公鑰證書。根據本專利技術實施例的數字證書的生成方法，在移動終端生成用戶公鑰和私鑰，將用戶信息和用戶公鑰發送至移動銀行服務器之前，移動終端與移動銀行服務器和銀行綜合前置服務器多方進行驗證，并在驗證之后以數字證書的方式存儲在移動銀行服務器，保證用戶公鑰傳輸通路的安全性，增加攻擊的難度。同時移動銀行服務器經過對移動終端進行驗證，可以明確知道與自己通信的是哪個移動終端，防止假冒移動終端與移動銀行服務器進行交互，保證了安全。為達到上述目的，本專利技術第二個目的在于提出一種數字證書的生成系統，該系統包括:移動終端、移動銀行服務器和銀行綜合前置服務器，其中，所述移動終端，用于接收注冊指令，并根據所述注冊指令與所述移動銀行服務器建立連接，以及生成一對用戶公鑰和私鑰，并利用預存的所述移動銀行服務器的公鑰對賬號信息、第一驗證信息以及第一隨機加密參數進行加密，并將加密之后的信息發送至所述移動銀行服務器；所述移動銀行服務器，用于利用所述移動銀行服務器的私鑰對來自所述移動終端的信息進行解密，以獲得所述賬號信息、所述第一驗證信息以及第一隨機加密參數，并對所述第一驗證信息進行驗證，驗證通過后將所述賬號信息發送至銀行綜合前置服務器；所述銀行綜合前置服務器，用于對來自所述移動銀行服務器的所述賬號信息進行驗證，發送驗證結果至所述移動銀行服務器；所述移動銀行服務器還用于在所述驗證結果為正確時生成第二隨機加密參數和第二驗證信息，并將所述第二隨機加密參數和所述第二驗證信息發送至所述移動終端，所述移動終端利用所述第一隨機加密參數和第二隨機加密參數加密第二驗證信息和所述用戶公鑰生成第三驗證信息，并將第三驗證信息發送至所述移動銀行服務器，所述移動銀行服務器對來自所述移動終端的所述第三驗證信息進行驗證，并在驗證通過后將所述用戶公鑰發送至第三方電子商務認證服務器進行認證簽名，以生成用戶公鑰證書。根據本專利技術實施例的數字證書的生成系統，在移動終端生成用戶公鑰和私鑰，將用戶信息和用戶公鑰發送至移動銀行服務器之前，移動終端與移動銀行服務器和銀行綜合前置服務器多方進行驗證，并在驗證之后以數字證書的方式存儲在移動銀行服務器，保證用戶公鑰傳輸通路的安全性，增加攻擊的難度。同時移動銀行服務器經過對移動終端進行驗證，可以明確知道與自己通信的是哪個移動終端，防止假冒移動終端與移動銀行服務器進行交互，保證了安全。本專利技術附加的方面和優點將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本專利技術的實踐了解到。附圖說明本專利技術上述的和/或附加的方面和優點從下面結合附圖對實施例的描述中將變得明顯和容易理解，其中:圖1為本專利技術實施例1的數字證書的生成方法的流程圖；圖2為本專利技術實施例2的數字證書的生成方法的流程圖；圖3為本專利技術實施例3的數字證書的生成系統的結構示意圖。具體實施例方式下面詳細描述本專利技術的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本專利技術，而不能理解為對本專利技術的限制。相反，本專利技術的實施例包括落入所附加權利要求書的精神和內涵范圍內的所有變化、修改和等同物。在本專利技術的描述中，需要理解的是，術語“第一”、“第二”等僅用于描述目的，而不能理解為指示或暗示相對重要性。在本專利技術的描述中，需要說明的是，除非另有明確的規定和限定，術語“相連”、“連接”應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連。對于本領域的普通技術人員而言，可以具體情況理解上述術語在本專利技術中的具體含義。此外，在本專利技術的描述中，除非另有說明，“多個”的含義是兩個或兩個以上。流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個或更多個用于實現特定邏輯功能或過程的步驟的可執行指令的代碼的模塊、片段或部分，并且本專利技術的優選實施方式的范圍包括另外的實現，其中可以不按所示出或討論的順序，包括根據所涉及的功能按基本同時的方式或按相反的順序，來執行功能，這應被本專利技術的實施例所屬
的技術人員所理解。下面參考附圖描述根據本專利技術實施例的數字證書的生成方法和系統。實施例1圖1為本專利技術實施例1的數字證書的生成方法的流程圖。如圖1所示，根據本專利技術實施例的數字證書的生成方法包括下述步驟:步驟S101，移動終端接收注冊指令，并根據注冊指令與移動銀行服務器建立連接，以及生成一對用戶公鑰和私鑰。具體的，移動終端下載銀行客戶端軟件，在安裝客戶端軟件時，從所加載的軟件中獲取移動銀行服務器的公鑰和銀行綜合前置服務器的公鑰，并根據注冊指令對移動銀行服務器的公鑰和銀行綜合前置服務器的公鑰進行驗證，以及在驗證通過之后根據注冊指令與移動銀行服務器建立連接。具體地，銀行客戶端軟件在進行安裝時，移動銀行服務器的公鑰和銀行綜合前置服務器的公鑰的根證書提前預置在移動終端中，在發送注冊請求時，可以根據預置的根證書驗證移動銀行服務器的公鑰和銀行綜合前置服務器的公鑰是否正確，其中在移動銀行服務器的公鑰和銀行綜合前置服務器的公鑰正確時才可以繼續執行下本文檔來自技高網...

【技術保護點】
一種數字證書的生成方法，其特征在于，該方法包括：a、移動終端接收注冊指令，并根據所述注冊指令與移動銀行服務器建立連接，以及生成一對用戶公鑰和私鑰；b、移動終端利用預存的所述移動銀行服務器的公鑰對賬號信息、第一驗證信息以及第一隨機加密參數進行加密，并將加密之后的信息發送至所述移動銀行服務器；c、所述移動銀行服務器利用所述移動銀行服務器的私鑰對來自所述移動終端的信息進行解密，以獲得所述賬號信息、所述第一驗證信息以及第一隨機加密參數，并對所述第一驗證信息進行驗證，驗證通過后將所述賬號信息發送至銀行綜合前置服務器；d、所述銀行綜合前置服務器對來自所述移動銀行服務器的所述賬號信息進行驗證，發送驗證結果至所述移動銀行服務器；e、在所述驗證結果為正確時，所述移動銀行服務器生成第二隨機加密參數和第二驗證信息，并將所述第二隨機加密參數和所述第二驗證信息發送至所述移動終端；f、所述移動終端利用所述第一隨機加密參數和第二隨機加密參數加密所述第二驗證信息和所述用戶公鑰生成第三驗證信息，并將第三驗證信息發送至所述移動銀行服務器；以及g、所述移動銀行服務器對來自所述移動終端的所述第三驗證信息進行驗證，并在驗證通過后將所述用戶公鑰發送至第三方電子商務認證服務器進行認證簽名，以生成用戶公鑰證書。...

【技術特征摘要】
1.一種數字證書的生成方法，其特征在于，該方法包括: a、移動終端接收注冊指令，并根據所述注冊指令與移動銀行服務器建立連接，以及生成一對用戶公鑰和私鑰； b、移動終端利用預存的所述移動銀行服務器的公鑰對賬號信息、第一驗證信息以及第一隨機加密參數進行加密，并將加密之后的信息發送至所述移動銀行服務器； C、所述移動銀行服務器利用所述移動銀行服務器的私鑰對來自所述移動終端的信息進行解密，以獲得所述賬號信息、所述第一驗證信息以及第一隨機加密參數，并對所述第一驗證信息進行驗證，驗證通過后將所述賬號信息發送至銀行綜合前置服務器； d、所述銀行綜合前置服務器對來自所述移動銀行服務器的所述賬號信息進行驗證，發送驗證結果至所述移動銀行服務器； e、在所述驗證結果為正確時，所述移動銀行服務器生成第二隨機加密參數和第二驗證信息，并將所述第二隨機加密參數和所述第二驗證信息發送至所述移動終端； f、所述移動終端利用所述第一隨機加密參數和第二隨機加密參數加密所述第二驗證信息和所述用戶公鑰生成第三驗證信息，并將第三驗證信息發送至所述移動銀行服務器；以及 g、所述移動銀行服務器對來自所述移動終端的所述第三驗證信息進行驗證，并在驗證通過后將所述用戶公鑰發送至第三方電子商務認證服務器進行認證簽名，以生成用戶公鑰證書。2.根據權利要求1所述的方法，其特征在于，所述步驟a中的移動終端接收注冊指令，并根據所述注冊指令與移動銀行服務器建立連接的步驟包括: 所述移動終端從所加載的軟件中獲取移動銀行服務器的公鑰和銀行綜合前置服務器的公鑰，對所述移動銀行服務器的公鑰和所述銀行綜合前置服務器的公鑰進行驗證，以及在驗證通過之后根據所述注冊指令與所述移動銀行服務器建立連接。3.根據權利要求1所述的方法，其特征在于，所述步驟b還包括: 所述移動終端利用預存的所述移動銀行服務器的公鑰對所述移動終端的硬件特征信息進行加密，其中，所述硬件特征信息包括設備序列號和/或網卡的MAC地址； 或 所述移動終端利用預存的所述移動銀行服務器的公鑰對所述移動終端的硬件特征信息的哈希值進行加密，其中，所述硬件特征信息包括設備序列號和/或網卡的MAC地址。4.根據權利要求3所述的方法，其特征在于，所述賬號信息包括手機號碼、銀行卡號和登錄密碼，所述步驟b包括: 所述移動終端接收所述移動銀行服務器生成的所述第一驗證信息，其中所述第一驗證信息為圖形驗證碼；以及 所述移動終端根據所述移動銀行服務器的公鑰對所述手機號碼、銀行卡號、登錄密碼、硬件特征信息、第一隨機加密參數和第一驗證信息進行加密，并將加密之后的信息發送至所述移動銀行服務器，其中所述第一隨機加密參數由所述移動終端生成； 或者 所述移動終端根據所述移動銀行服務器的公鑰對接收的所述手機號碼、接收的所述銀行卡號、計算得到的所述登錄密碼的哈希值、計算得到的所述硬件特征信息的哈希值、生成的所述第一隨機加密參數和接收的所述第一驗證信息進行加密，并將加密之后的信息發送至所述移動銀行服務器。5.根據權利要求1所述的方法，其特征在于，所述步驟e中將所述第二隨機加密參數和所述第二驗證信息發送至所述移動終端的步驟包括: 所述移動銀行服務器根據所述第一隨機加密參數對所述第二隨機加密參數進行加密，并將加密后的所述第二隨機加密參數發送至所述移動終端； 所述移動銀行服務器將所述第二驗證信息以短信的形式發送至所述移動終端。6.根據權利要求5所述的方法，其特征在于，將所述第二隨機加密參數和所述第二驗證信息發送至所述移動終端的步驟之后，步驟f之前，所述方法還包括: 所述移動終端根據所述第一隨機加密參數對加密后的所述第二隨機加密參數進行解密，獲得所述第二隨機加密參數；并接收用戶輸入的第二驗證信息。7.根據權利要求3所述的方法，其特征在于，所述步驟f包括: 所述移動終端根據所述第一隨機加密參數和第二隨機加密參數對所述第二驗證信息和所述用戶公鑰進行加密以生成所述第三驗證信息，并根據所述用戶私鑰對所述硬件特征信息進行簽名以生成第一簽名信息，并將所述第三驗證信息、用戶公鑰和第一簽名信息發送至所述移動銀行服務器；或 所述移動終端根據所述第一隨機加密參數和第二隨機加密參數對所述第二驗證信息和所述用戶公鑰進行加密以生成所述第三驗證信息，并根據所述用戶私鑰對所述硬件特征信息的哈希值進行簽名以生成第一簽名信息，并將所述第三驗證信息、用戶公鑰和第一簽名信息發送至所述移動銀行服務器。8.根據權利要求7 所述的方法，其特征在于，所述步驟g中所述移動銀行服務器對來自所述移動終端的所述第三驗證信息進行驗證的步驟包括: 所述移動銀行服務器根據存儲的所述第一隨機加密參數和第二隨機加密參數對所述第二驗證信息和所述用戶公鑰進行加密以生成第四驗證信息，并根據所述用戶公鑰對所述第一簽名信...

【專利技術屬性】
技術研發人員：李東聲，
申請(專利權)人：天地融科技股份有限公司，
類型：發明
國別省市：