CN105681340A - 一种数字证书的使用方法及装置 - Google Patents
一种数字证书的使用方法及装置 Download PDFInfo
- Publication number
- CN105681340A CN105681340A CN201610128684.2A CN201610128684A CN105681340A CN 105681340 A CN105681340 A CN 105681340A CN 201610128684 A CN201610128684 A CN 201610128684A CN 105681340 A CN105681340 A CN 105681340A
- Authority
- CN
- China
- Prior art keywords
- client
- transaction
- information
- digital certificate
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种数字证书的使用方法及装置,包括:在交易过程中,获取验证码及生成公私钥对;在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名,及生成包含公钥的数字证书请求;向网络侧发送包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名;其中,数字证书请求中包含交易信息,和/或,公私钥对是根据交易信息生成的。在根据验证码及数字证书请求对客户端用户验证通过后,在网络侧使用公钥根据交易信息对数字签名进行合法性校验;在网络侧保存交易信息及客户私钥对交易的数字签名。采用本发明在数字证书的使用过程中并不依赖于客户端,并且还因包含有交易信息,可以作为有效的电子证据。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种数字证书的使用方法及装置。
背景技术
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构--CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。
它以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交易的不可抵赖性。基于此,目前在许多交易中要求必须提供数字证书,否则不能进行交易。
然而,当前的数字证书应用场景,始终需要在客户端安装用于存储、使用以及保护证书私钥等信息的软硬件,因此,现有技术的不足正在于:对客户端的要求严重阻碍了数字证书使用的广泛性,以及使用这些软硬件所必须的知识带来的巨大的客户学习成本。
发明内容
本发明提供了一种数字证书的使用方法及装置,用以在数字证书使用过程中脱离对客户端的依赖性。
本发明实施例中提供了一种数字证书的使用方法,包括:
在交易过程中,获取验证码,以及在客户端生成公私钥对,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的;
在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名,及生成包含公钥的数字证书请求;
向网络侧发送包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名;
其中,所述数字证书请求中包含交易信息,和/或,所述公私钥对是根据交易信息生成的。
较佳地,所述验证码是通过客户端与网络侧之间的其他通信方式返回客户端的。
较佳地,所述交易信息是与交易过程相关的信息。
较佳地,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
本发明实施例中提供了一种数字证书的使用方法,包括:
在网络侧接收包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的,所述公钥的所属的公私钥对是根据交易信息生成的和/或所述数字证书请求中包含交易信息;
在根据验证码及数字证书请求对客户端用户验证通过后,在网络侧使用公钥根据交易信息对所述客户私钥对交易的数字签名进行合法性校验;
在网络侧保存交易信息及所述客户私钥对交易的数字签名。
较佳地,所述验证码是通过客户端与网络侧之间的其他通信方式返回客户端的。
较佳地,进一步包括:
校验数字证书签名使用的私钥所归属的公私钥对是否是根据交易信息生成的;
和/或,校验所述数字证书请求中是否包含交易信息。
较佳地,所述交易信息是与交易过程相关的信息。
较佳地,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
本发明实施例中提供了一种数字证书的使用装置,包括:
生成模块,用于在交易过程中,获取验证码,以及在客户端生成公私钥对,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的;
签名模块,用于在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名,及生成包含公钥的数字证书请求;
发送模块,用于向网络侧发送包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名;
其中,所述数字证书请求中包含交易信息,和/或,所述公私钥对是根据交易信息生成的。
较佳地,生成模块进一步用于获取通过客户端与网络侧之间的其他通信方式返回客户端的所述验证码。
较佳地,所述交易信息是与交易过程相关的信息。
较佳地,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
本发明实施例中提供了一种数字证书的使用装置,包括:
接收模块,用于在网络侧接收包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的,所述公钥的所属的公私钥对是根据交易信息生成的和/或所述数字证书请求中包含交易信息;
交易信息模块,用于在根据验证码及数字证书请求对客户端用户验证通过后,在网络侧使用公钥根据交易信息对所述客户私钥对交易的数字签名进行合法性校验;
存储模块,用于在网络侧保存交易信息及所述客户私钥对交易的数字签名。
较佳地,所述验证码是通过客户端与网络侧的其他通信方式返回客户端的。
较佳地,进一步包括:
校验模块,用于校验数字证书签名使用的私钥所归属的公私钥对是否是根据交易信息生成的;和/或,校验所述数字证书请求中是否包含交易信息。
较佳地,所述交易信息是与交易过程相关的信息。
较佳地,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
本发明有益效果如下:
在本发明实施例提供的技术方案中,在交易过程中,生成公私钥、数字证书请求等,并使公私钥对根据交易信息生成,和/或数字证书请求中包含交易信息;然后使用私钥对交易过程中需要签名的信息进行数字证书签名后,将数字签名发送给网络侧。
这样,在网络侧将会获取到包含了交易信息的数字证书,从而满足了一些交易的要求,并且还因包含有交易信息,从而客观记录了交易当时的各种信息,并确保其在以后不可被篡改,可以作为有效的电子证据。
同时,在数字证书的使用过程中,在客户端上只需具备生成公私钥对及数字证书请求、使用私钥进行数字证书签名等功能即可,而且数字证书也是在这一次交易中使用,并不需要长期使用,因此不需要在客户端安装用于存储、使用以及保护证书私钥等信息的软硬件,从而使得在数字证书的使用过程中并不依赖于客户端。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中客户端侧数字证书的使用方法实施流程示意图;
图2为本发明实施例中网络侧数字证书的使用方法实施流程示意图;
图3为本发明实施例中在客户端上的数字证书的使用装置结构示意图;
图4为本发明实施例中在网络侧的数字证书的使用装置结构示意图。
具体实施方式
发明人在发明过程中注意到:
当前的数字证书应用场景,始终需要在客户端安装用于存储、使用以及保护证书私钥等信息的软硬件,也即,现有的数字证书在使用过程对客户端的依赖性,重的阻碍了数字证书使用的广泛性,以及使用这些软硬件所必须的知识带来的巨大的客户学习成本。而这些软硬件对私钥等私密信息的保护也未必能尽如人意,仍然存在私钥泄漏或者被盗用的风险。基于此,本发明实施例中构建了一种数字证书申请及数字签名体系,能够为数字证书本身带来新的、更便捷的使用模式,可以在没有各种加密保护的软硬件的情况下,完成对交易数字签名的方法。下面结合附图对本发明的具体实施方式进行说明。
在说明过程中,将分别从客户端与网络侧的实施进行说明,其中客户端侧将说明交易信息的发送过程,网络侧将说明交易信息的接收过程,然后还将给出二者配合实施的实例以更好地理解本发明实施例中给出的方案的实施。这样的说明方式并不意味着二者必须配合实施、或者必须单独实施,实际上,当客户端与网络侧分开实施时,其也各自解决客户端侧、网络侧的问题,而二者结合使用时,会获得更好的技术效果。
图1为客户端侧数字证书的使用方法实施流程示意图,如图所示,可以包括:
步骤101、在交易过程中,获取验证码,以及在客户端生成公私钥对,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的;
步骤102、在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名,及生成包含公钥的数字证书请求;
步骤103、向网络侧发送包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名。
其中,所述数字证书请求中包含交易信息,和/或,所述公私钥对是根据交易信息生成的。
图2为网络侧数字证书的使用方法实施流程示意图,如图所示,可以包括:
步骤201、在网络侧接收包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的,所述公钥的所属的公私钥对是根据交易信息生成的和/或所述数字证书请求中包含交易信息;
步骤202、在根据验证码及数字证书请求对客户端用户验证通过后,在网络侧使用公钥根据交易信息对所述客户私钥对交易的数字签名进行合法性校验;
步骤203、在网络侧保存交易信息及所述客户私钥对交易的数字签名。
由上述图1及图2的实施可见,该方案可以在一个任意操作系统的手机上,无需安装任何软件,在网页上使用任意的脚本语言,即可完成数字证书的申请、数字签名等操作。出于安全考虑,这种证书的生存周期相对于普通数字证书来说极短,可能是交易结束证书有效期立刻终止,也可以是一个完整交易周期内都使用同一个证书,因此实施中也称这种证书是超短时效数字证书。超短时效数字证书的生命周期极短,下面对其具体实施进行说明。
在步骤101的实施中,对于交易信息,可以是与交易过程相关的信息。具体的,交易信息可以包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
具体实施中,在交易开始时在客户端生成公私钥对,向服务器传递包含公钥的数字证书请求。
私钥的产生可能与密钥对产生时输入的客户信息或者交易流水号等,或者客户端设备的设备码,硬件编号,操作系统版本,浏览器版本以及屏幕大小,设备名称,IP地址,MAC地址,手机号等等信息相关。
证书请求中可能包含密钥对产生时输入的信息或者交易流水号等,或者客户端设备的设备码,硬件编号,操作系统版本,浏览器版本以及屏幕大小,设备名称,IP地址,MAC地址,手机号等等信息。
实施中,可以采用交易流水号,而其他信息用以增强安全性。
对于验证码,可以是通过客户端与网络侧的其他通信方式返回客户端的。
具体的可以如下:网络侧的服务端通过某种渠道,例如短信、电话等,与用户进行确认待签名信息或者这个信息的摘要/编码等,实际实施中可能需要客户在某个渠道上输入验证码之类的信息。
具体实施中,验证码的获取可以提前或者延后,比如可以在申请证书之前就要求用户确认(这时确认的信息仅仅是交易信息);
也可以在证书申请发出之后,客户单独确认证书申请。比如,在确认交易信息后产生密钥对,组成证书申请,暂不发送给网络侧的服务器,使用私钥签名,然后将交易信息的验证码(比如是通过短信获取到的验证码),包含公钥的证书申请,签名的信息,一起发给网络侧的服务器,服务器生成证书,验证签名,结束。这样交互次数最少。也可以按如下方式实施:
产生密钥对,生成证书申请,发给网络侧的服务器,服务器通过第二渠道(比如短信)与客户确认该证书申请,客户获得证书,使用证书对应的私钥对交易做出签名,送达服务器,服务器完成验签名。
在步骤102的实施中,在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名;也即,在客户端使用私钥对需要签名的信息进行签名。
在步骤103的实施中,包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名,可以是部分或者全部同时送达服务器,也可能是部分或者全部依次送达服务器。具体可以参见步骤101中的在验证码实施中的举例。
然后,网络侧的服务器在步骤201-203中完成数字签名校验,并保存相关的数字证书,签名数据等。
实施中,在步骤202根据数字证书请求及验证码对客户端用户进行验证的过程中,还可以进一步包括:
校验数字证书签名使用的私钥所归属的公私钥对是否是根据交易信息生成的;
和/或,校验所述数字证书请求中是否包含交易信息。
具体实施中,交易信息可以采用网络侧服务器上的交易信息。
实施中,交易信息可以是经过客户核对的正确交易信息或者正确交易信息,这样可防止使用其他客户未授权交易信息替换当前交易信息的可能性,比如本来客户想买100块的枕头,如果交易被替换,则是100块的游戏币,然后游戏币丢失导致客户100元被非法盗用。
具体的,在PKI(PublicKeyInfrastructure,公钥基础设施)标准的数字签名之外,还可以增加的额外验证过程,通过这些验证过程,可以有效的防范客户端劫持,客户端篡改等黑客行为,使得客户在使用过程中,哪怕是没有安全保护的私钥,也是无法使用在客户未确认的交易里,并且在此过程中,记录下客户端各种信息,便于风险控制系统可以有效识别是否是在客户常用的设备上使用等。
具体实施可以是以下两种方式之一或者其组合:
1)数字签名校验过程,验证私钥是否与交易信息中密钥对产生时输入的客户信息或者交易流水号等,或者客户端设备的设备码,硬件编号,操作系统版本,浏览器版本以及屏幕大小,设备名称,IP地址,MAC地址,手机号等等任意信息相关,如果验证结果相关,签名有效,如果验证结果无关,签名失效。
具体的,按照标准的PKI技术,私钥和公钥是一对,首先对待签名数据做出摘要,私钥对摘要运算,即是数字签名,使用公钥运算数字签名,可以得到与之前摘要相同的数据,任何人持有公钥和待签名数据,都可以验证该签名合法性。
2)数字签名校验过程,验证证书是否包含密钥对产生时输入的信息或者交易流水号等信息,或者客户端设备的设备码,硬件编号,操作系统版本,浏览器版本以及屏幕大小,设备名称,IP地址,MAC地址,手机号等等信息,如果包含,签名有效,如果不包含,签名无效。
在这个过程中,实现了对待签名的数据的数字签名,并且有效记录了客户端的软硬件数据,IP地址等实际交易中发生的信息,从而客观记录了交易当时的各种风险控制数据,这些信息在交易发生当时被记录,并且以后不可以被篡改,可以作为有效的电子证据。另外,因为数字证书和私钥的生存周期极短,黑客攻击的难度也极大,获利可能极小,从而有效的保护每一笔交易的安全。
为方便理解,下面以实例再次进行说明。
1、客户在电商网站选购产品并下单,或者填写转账申请单。其中,在这一环节产生不可修改的交易信息,如果修改交易信息,则意味本次交易中产生的公私钥对和数字证书都失效。
2、服务器通过第二渠道与客户确认交易信息,并发送验证码给客户。
3、根据交易信息,客户端产生PKI公私密钥对,生成证书请求;其中,在证书请求或者密钥对产生的过程使用了交易信息。
4、使用私钥对待签名数据进行了数字签名。
5、将第2、3、4中获得的数据(验证码、证书申请、数字签名)一起送达服务器。
6、服务器核实验证码,为证书申请发放数字证书,验证数字签名合法性,并校验私钥或者证书申请中的数据是否符合风险控制的安全性要求。
在实施过程中,数字证书只能用一次的,但数字证书可以在一个交易内多次使用。其有效性可以通过是指时限的方式来达到,例如证书申请中的起止有效时限可能为1秒/5秒或者30秒等,有效时限达到,该证书即被标记为已使用或者已作废;或者,通过设置数字证书的数字签名第一次到达后,该证书即被标记为已使用或者已作废;或者,确保一次登录退出后或者一笔完整交易完毕后,在网络侧,自动作废之前为这次登录或者交易申请的数字证书。
实施中,数字证书申请时,时效不超过60分钟。与通常的以年记有效期的证书使用方法和安全管理都完全不同。
基于同一发明构思,本发明实施例中还提供了一种数字证书的使用装置,由于这些装置解决问题的原理与一种数字证书的使用方法相似,因此这些装置的实施可以参见方法的实施,重复之处不再赘述。
图3为在客户端上的数字证书的使用装置结构示意图,如图所示,可以包括:
生成模块301,用于在交易过程中,获取验证码,以及在客户端生成公私钥对,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的;
签名模块302,用于在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名,及生成包含公钥的数字证书请求;
发送模块303,用于向网络侧发送包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名;
其中,所述数字证书请求中包含交易信息,和/或,所述公私钥对是根据交易信息生成的。
实施中,生成模块进一步用于获取通过客户端与网络侧之间的其他通信方式返回客户端的所述验证码。
实施中,所述交易信息是与交易过程相关的信息。
实施中,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
图4为在网络侧的数字证书的使用装置结构示意图,如图所示,可以包括:
接收模块401,用于在网络侧接收包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的,所述公钥的所属的公私钥对是根据交易信息生成的和/或所述数字证书请求中包含交易信息;
交易信息模块402,用于在根据验证码及数字证书请求对客户端用户验证通过后,在网络侧使用公钥根据交易信息对所述客户私钥对交易的数字签名进行合法性校验;
存储模块403,用于在网络侧保存交易信息及所述客户私钥对交易的数字签名。
实施中,所述验证码是通过客户端与网络侧的其他通信方式返回客户端的。
实施中,进一步包括:
校验模块404,用于校验数字证书签名使用的私钥所归属的公私钥对是否是根据交易信息生成的;和/或,校验所述数字证书请求中是否包含交易信息。
实施中,所述交易信息是与交易过程相关的信息。
实施中,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
由上述实施例可以看出,在本发明实施例提供的技术方案中,在交易过程中,生成公私钥、数字证书请求等,并使公私钥对根据交易信息生成,和/或数字证书请求中包含交易信息;然后使用私钥对交易过程中需要签名的信息进行数字证书签名后,将数字签名发送给网络侧。这样,在网络侧将会获取到包含了交易信息的数字证书,从而满足了一些交易的要求,并且还因包含有交易信息,从而客观记录了交易当时的各种信息,并确保其在以后不可被篡改,可以作为有效的电子证据。
同时,在数字证书的使用过程中,在客户端上只需具备生成公私钥对及数字证书请求、使用私钥进行数字证书签名等功能即可,而且数字证书也是在这一次交易中使用,并不需要长期使用,因此不需要在客户端安装用于存储、使用以及保护证书私钥等信息的软硬件,从而使得在数字证书的使用过程中并不依赖于客户端。也即,采用本发明实施例提供的技术方案,并不依赖于客户端软件的安装,任何的操作系统、浏览器上都可以使用任意脚本语言实现本发明。在完全没有硬盘等存储介质的网络电脑上也可以使用。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (18)
1.一种数字证书的使用方法,其特征在于,包括:
在交易过程中,获取验证码,以及在客户端生成公私钥对,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的;
在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名,及生成包含公钥的数字证书请求;
向网络侧发送包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名;
其中,所述数字证书请求中包含交易信息,和/或,所述公私钥对是根据交易信息生成的。
2.如权利要求1所述的方法,其特征在于,所述验证码是通过客户端与网络侧之间的其他通信方式返回客户端的。
3.如权利要求1至2任一所述的方法,其特征在于,所述交易信息是与交易过程相关的信息。
4.如权利要求3所述的方法,其特征在于,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
5.一种数字证书的使用方法,其特征在于,包括:
在网络侧接收包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的,所述公钥的所属的公私钥对是根据交易信息生成的和/或所述数字证书请求中包含交易信息;
在根据验证码及数字证书请求对客户端用户验证通过后,在网络侧使用公钥根据交易信息对所述客户私钥对交易的数字签名进行合法性校验;
在网络侧保存交易信息及所述客户私钥对交易的数字签名。
6.如权利要求5所述的方法,其特征在于,所述验证码是通过客户端与网络侧之间的其他通信方式返回客户端的。
7.如权利要求5所述的方法,其特征在于,进一步包括:
校验数字证书签名使用的私钥所归属的公私钥对是否是根据交易信息生成的;
和/或,校验所述数字证书请求中是否包含交易信息。
8.如权利要求5至7任一所述的方法,其特征在于,所述交易信息是与交易过程相关的信息。
9.如权利要求8所述的方法,其特征在于,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
10.一种数字证书的使用装置,其特征在于,包括:
生成模块,用于在交易过程中,获取验证码,以及在客户端生成公私钥对,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的;
签名模块,用于在客户端使用私钥对交易过程中需要签名的信息进行数字证书签名获得客户私钥对交易的数字签名,及生成包含公钥的数字证书请求;
发送模块,用于向网络侧发送包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名;
其中,所述数字证书请求中包含交易信息,和/或,所述公私钥对是根据交易信息生成的。
11.如权利要求9所述的装置,其特征在于,生成模块进一步用于获取通过客户端与网络侧之间的其他通信方式返回客户端的所述验证码。
12.如权利要求9至10任一所述的装置,其特征在于,所述交易信息是与交易过程相关的信息。
13.如权利要求12所述的装置,其特征在于,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
14.一种数字证书的使用装置,其特征在于,包括:
接收模块,用于在网络侧接收包含公钥的数字证书请求、验证码、客户私钥对交易的数字签名,其中,所述验证码是在客户端用户对交易的有效性验证通过后返回客户端的,所述公钥的所属的公私钥对是根据交易信息生成的和/或所述数字证书请求中包含交易信息;
交易信息模块,用于在根据验证码及数字证书请求对客户端用户验证通过后,在网络侧使用公钥根据交易信息对所述客户私钥对交易的数字签名进行合法性校验;
存储模块,用于在网络侧保存交易信息及所述客户私钥对交易的数字签名。
15.如权利要求14所述的装置,其特征在于,所述验证码是通过客户端与网络侧的其他通信方式返回客户端的。
16.如权利要求14所述的装置,其特征在于,进一步包括:
校验模块,用于校验数字证书签名使用的私钥所归属的公私钥对是否是根据交易信息生成的;和/或,校验所述数字证书请求中是否包含交易信息。
17.如权利要求14至16任一所述的装置,其特征在于,所述交易信息是与交易过程相关的信息。
18.如权利要求17所述的装置,其特征在于,所述交易信息包括以下信息之一或者其组合:客户信息、交易流水号、客户端设备的设备码、客户端设备硬件编号、客户端设备的操作系统版本、客户端设备的浏览器及版本、客户端设备的屏幕尺寸、客户端设备的名称、客户端设备的IP地址、客户端设备的MAC地址、客户端设备的手机号、客户端软硬件信息生成的可以区别设备的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610128684.2A CN105681340B (zh) | 2016-03-07 | 2016-03-07 | 一种数字证书的使用方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610128684.2A CN105681340B (zh) | 2016-03-07 | 2016-03-07 | 一种数字证书的使用方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105681340A true CN105681340A (zh) | 2016-06-15 |
| CN105681340B CN105681340B (zh) | 2019-05-14 |
Family
ID=56307773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610128684.2A Expired - Fee Related CN105681340B (zh) | 2016-03-07 | 2016-03-07 | 一种数字证书的使用方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681340B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685648A (zh) * | 2016-12-15 | 2017-05-17 | 北京三未信安科技发展有限公司 | 一种基于椭圆曲线的分布式签名方法及系统 |
| CN107784580A (zh) * | 2017-09-15 | 2018-03-09 | 数据通信科学技术研究所 | 一种基于公私钥对派生的无中心数字货币交易方法 |
| CN109039990A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 基于验证码进行行为验证的方法及装置 |
| CN109872149A (zh) * | 2017-12-04 | 2019-06-11 | 万事达卡国际公司 | 使用数字证书的可信度的方法和系统 |
| CN109903043A (zh) * | 2019-01-17 | 2019-06-18 | 平安科技(深圳)有限公司 | 基于区块链的安全交易方法、装置、设备及存储介质 |
| CN111092724A (zh) * | 2019-12-25 | 2020-05-01 | 杭州溪塔科技有限公司 | 一种区块链系统数字证书签发方法、设备、系统及介质 |
| CN112734407A (zh) * | 2020-12-30 | 2021-04-30 | 银盛支付服务股份有限公司 | 一种金融支付渠道数字证书管理的方法 |
| CN115022819A (zh) * | 2022-05-31 | 2022-09-06 | 微位(深圳)网络科技有限公司 | 5g消息的传输方法、终端及系统 |
| CN112734407B (zh) * | 2020-12-30 | 2024-06-04 | 银盛支付服务股份有限公司 | 一种金融支付渠道数字证书管理的方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170407A (zh) * | 2007-12-03 | 2008-04-30 | 北京深思洛克数据保护中心 | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 |
| CN101645889A (zh) * | 2009-06-26 | 2010-02-10 | 北京飞天诚信科技有限公司 | 一种下发数字证书的方法 |
| CN103051453A (zh) * | 2012-12-17 | 2013-04-17 | 连连银通电子支付有限公司 | 一种基于数字证书的移动终端网络安全交易系统与方法 |
| CN104301105A (zh) * | 2014-06-24 | 2015-01-21 | 齐亚斌 | 基于带通信功能的移动设备的数字证书签名方法及实现该方法的设备 |
| CN104618116A (zh) * | 2015-01-30 | 2015-05-13 | 北京数字认证股份有限公司 | 一种协同数字签名系统及其方法 |
| CN105162607A (zh) * | 2015-10-12 | 2015-12-16 | 武汉瑞纳捷电子技术有限公司 | 一种支付账单凭证的认证方法及系统 |
| CN105245328A (zh) * | 2015-09-09 | 2016-01-13 | 西安电子科技大学 | 一种基于第三方的用户及文件的密钥产生管理方法 |
| CN105323062A (zh) * | 2014-06-03 | 2016-02-10 | 北京收付宝科技有限公司 | 移动终端数字证书电子签名方法 |
-
2016
- 2016-03-07 CN CN201610128684.2A patent/CN105681340B/zh not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101170407A (zh) * | 2007-12-03 | 2008-04-30 | 北京深思洛克数据保护中心 | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 |
| CN101645889A (zh) * | 2009-06-26 | 2010-02-10 | 北京飞天诚信科技有限公司 | 一种下发数字证书的方法 |
| CN103051453A (zh) * | 2012-12-17 | 2013-04-17 | 连连银通电子支付有限公司 | 一种基于数字证书的移动终端网络安全交易系统与方法 |
| CN105323062A (zh) * | 2014-06-03 | 2016-02-10 | 北京收付宝科技有限公司 | 移动终端数字证书电子签名方法 |
| CN104301105A (zh) * | 2014-06-24 | 2015-01-21 | 齐亚斌 | 基于带通信功能的移动设备的数字证书签名方法及实现该方法的设备 |
| CN104618116A (zh) * | 2015-01-30 | 2015-05-13 | 北京数字认证股份有限公司 | 一种协同数字签名系统及其方法 |
| CN105245328A (zh) * | 2015-09-09 | 2016-01-13 | 西安电子科技大学 | 一种基于第三方的用户及文件的密钥产生管理方法 |
| CN105162607A (zh) * | 2015-10-12 | 2015-12-16 | 武汉瑞纳捷电子技术有限公司 | 一种支付账单凭证的认证方法及系统 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685648A (zh) * | 2016-12-15 | 2017-05-17 | 北京三未信安科技发展有限公司 | 一种基于椭圆曲线的分布式签名方法及系统 |
| CN109039990B (zh) * | 2017-06-08 | 2020-07-07 | 腾讯科技(深圳)有限公司 | 基于验证码进行行为验证的方法及装置 |
| CN109039990A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 基于验证码进行行为验证的方法及装置 |
| CN107784580A (zh) * | 2017-09-15 | 2018-03-09 | 数据通信科学技术研究所 | 一种基于公私钥对派生的无中心数字货币交易方法 |
| CN107784580B (zh) * | 2017-09-15 | 2020-10-27 | 数据通信科学技术研究所 | 一种基于公私钥对派生的无中心数字货币交易方法 |
| CN109872149A (zh) * | 2017-12-04 | 2019-06-11 | 万事达卡国际公司 | 使用数字证书的可信度的方法和系统 |
| US11949670B2 (en) | 2017-12-04 | 2024-04-02 | Mastercard International Incorporated | Method and system for trustworthiness using digital certificates |
| CN109903043A (zh) * | 2019-01-17 | 2019-06-18 | 平安科技(深圳)有限公司 | 基于区块链的安全交易方法、装置、设备及存储介质 |
| CN109903043B (zh) * | 2019-01-17 | 2023-01-10 | 平安科技(深圳)有限公司 | 基于区块链的安全交易方法、装置、设备及存储介质 |
| CN111092724A (zh) * | 2019-12-25 | 2020-05-01 | 杭州溪塔科技有限公司 | 一种区块链系统数字证书签发方法、设备、系统及介质 |
| CN112734407A (zh) * | 2020-12-30 | 2021-04-30 | 银盛支付服务股份有限公司 | 一种金融支付渠道数字证书管理的方法 |
| CN112734407B (zh) * | 2020-12-30 | 2024-06-04 | 银盛支付服务股份有限公司 | 一种金融支付渠道数字证书管理的方法 |
| CN115022819A (zh) * | 2022-05-31 | 2022-09-06 | 微位(深圳)网络科技有限公司 | 5g消息的传输方法、终端及系统 |
| CN115022819B (zh) * | 2022-05-31 | 2023-12-05 | 微位(深圳)网络科技有限公司 | 5g消息的传输方法、终端及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105681340B (zh) | 2019-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850699B (zh) | 一种移动终端登录认证方法及系统 | |
| CN105681340A (zh) | 一种数字证书的使用方法及装置 | |
| CN101340437B (zh) | 时间源校正方法及其系统 | |
| CN108834144B (zh) | 运营商码号与账号的关联管理方法与系统 | |
| US9780950B1 (en) | Authentication of PKI credential by use of a one time password and pin | |
| CN101414909B (zh) | 网络应用用户身份验证系统、方法和移动通信终端 | |
| CN109347635A (zh) | 一种基于国密算法的物联网安全认证系统及认证方法 | |
| CN108537046A (zh) | 一种基于区块链技术的在线合同签署系统及方法 | |
| CN106302502A (zh) | 一种安全访问认证处理方法、用户终端和服务端 | |
| Bernabe et al. | ARIES: Evaluation of a reliable and privacy-preserving European identity management framework | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN107294916A (zh) | 单点登录方法、单点登录终端及单点登录系统 | |
| CN107094154B (zh) | 一种智能密码网络实名制身份管理方法及平台 | |
| CN107277059A (zh) | 一种基于二维码的一次性口令身份认证方法及系统 | |
| CN108022194A (zh) | 执法记录仪及其数据安全处理方法、服务器及系统 | |
| CN113515756B (zh) | 基于区块链的高可信数字身份管理方法及系统 | |
| CN105554018A (zh) | 网络实名验证方法 | |
| CN105187405A (zh) | 基于信誉的云计算身份管理方法 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN109815659A (zh) | 基于web项目的安全认证方法、装置、电子设备及存储介质 | |
| CN111355591A (zh) | 一种基于实名认证技术的区块链账号安全的管理方法 | |
| CN113364597A (zh) | 一种基于区块链的隐私信息证明方法及系统 | |
| CN103401686B (zh) | 一种用户互联网身份认证系统及其应用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190514 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |