CN106874730A - 银行服务器登录证书的校验方法及客户端 - Google Patents

银行服务器登录证书的校验方法及客户端 Download PDF

Info

Publication number
CN106874730A
CN106874730A CN201510924916.0A CN201510924916A CN106874730A CN 106874730 A CN106874730 A CN 106874730A CN 201510924916 A CN201510924916 A CN 201510924916A CN 106874730 A CN106874730 A CN 106874730A
Authority
CN
China
Prior art keywords
information
certificate
default
verification
default kind
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510924916.0A
Other languages
English (en)
Inventor
洪隆樟
张庆明
曹慧玲
肖勤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201510924916.0A priority Critical patent/CN106874730A/zh
Publication of CN106874730A publication Critical patent/CN106874730A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种银行服务器登录证书的校验方法及客户端,通过响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;校验解析出的所述预设种类信息;若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面;具有使得手机银行客户端具备本地数字证书且对本地数字证书进行安全性校验的有益效果,提高了手机银行客户端的信息安全,降低了手机银行客户端可能遭遇的安全风险。

Description

银行服务器登录证书的校验方法及客户端
技术领域
本发明涉及信息安全技术领域,尤其涉及一种银行服务器登录证书的校验方法及客户端。
背景技术
随着智能移动终端的普及和移动互联网的不断深入发展,越来越多的用户采用银行客户端(例如,手机、平板电脑)来便捷地实现网上银行的特定功能,例如,转账、汇款、账户查询等。因此,如何确保新形势下移动终端上的银行客户端(例如,手机银行客户端)的业务安全成为目前一个非常重要的课题。
采用目前现有的手机银行客户端的安全性防护措施时,手机银行客户端的业务安全通常面临如下挑战:登录界面可能被劫持,对手机银行客户端用户进行钓鱼攻击;或者,手机银行客户端的分享功能可能被劫持,从而用于钓鱼攻击;或者,手机银行客户端的通知中心消息可能被劫持,并遭到恶意篡改等。导致上述安全隐患的主要因素是:目前的手机银行客户端没有本地数字证书。因此,如何解决导致上述安全隐患的主要因素,成为目前亟待解决的一个技术问题之一。
发明内容
鉴于以上内容,有必要提供一种银行服务器登录证书的校验方法及客户端,用以:使得手机银行客户端具备本地数字证书,且对本地数字 证书进行安全性校验。
本发明公开了一种银行服务器登录证书的校验方法,包括以下步骤:
客户端响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;
解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;
校验解析出的所述预设种类信息;
若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面。
优选地,所述校验解析出的所述预设种类信息,包括:
按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序;
按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息。
优选地,所述按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序,包括:
按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序由先至后为:
证书授权中心机构名称、证书有效日期、证书指纹和证书域名。
优选地,所述按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息,包括:
按照确定出的所述验证顺序,查找预先确定的合法机构名称列表;
验证所述预设种类信息中的证书授权中心机构名称是否在所述合法 机构名称列表中;
若所述证书授权中心机构名称在所述合法机构名称列表中,则验证当前日期是否在所述预设种类信息中的证书有效日期内;
若当前日期在所述证书有效日期内,则验证所述预设种类信息中的证书指纹是否通过;
若对所述预设种类信息中的证书指纹验证通过,则比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;
若所述证书域名与所述账户登录请求对应的网页域名一致,则所述预设种类信息均通过校验。
优选地,所述验证所述预设种类信息中的证书指纹是否通过,包括:
根据所述数字证书中三个公钥的解密顺序,利用所述解密顺序中排在第一顺位的公钥解析出第二份证书数字签名;
利用所述解密顺序中排在第二顺位的公钥解析出第三份证书数字签名;
若能正确解密不报错,则所述证书指纹通过校验;否则,所述证书指纹不能通过校验。
对应于以上所公开的一种银行服务器登录证书的校验方法,本发明还公开了一种银行服务器登录证书的校验客户端,包括:
接收模块,用于响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;
解析模块,用于解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;
校验模块,用于校验解析出的所述预设种类信息;
反馈模块,用于若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面。
优选地,所述校验模块包括:
顺序确定单元,用于按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序;
信息验证单元,用于按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息。
优选地,所述顺序确定单元用于:
按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序由先至后为:
证书授权中心机构名称、证书有效日期、证书指纹和证书域名。
优选地,所述信息验证单元包括:
查找子单元,用于按照确定出的所述验证顺序,查找预先确定的合法机构名称列表;
验证子单元,用于:
验证所述预设种类信息中的证书授权中心机构名称是否在所述合法机构名称列表中;
若所述证书授权中心机构名称在所述合法机构名称列表中,则验证当前日期是否在所述预设种类信息中的证书有效日期内;
若当前日期在所述证书有效日期内,则验证所述预设种类信息中的 证书指纹是否通过;
若对所述预设种类信息中的证书指纹验证通过,则比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;
若所述证书域名与所述账户登录请求对应的网页域名一致,则所述预设种类信息均通过校验。
优选地,所述验证子单元用于:
根据所述数字证书中三个公钥的解密顺序,利用所述解密顺序中排在第一顺位的公钥解析出第二份证书数字签名;
利用所述解密顺序中排在第二顺位的公钥解析出第三份证书数字签名;
若能正确解密不报错,则所述证书指纹通过校验;否则,所述证书指纹不能通过校验。
本发明一种银行服务器登录证书的校验方法及客户端可以达到如下有益效果:
通过响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;校验解析出的所述预设种类信息;若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面;具有使得手机银行客户端具备本地数字证书且对本地数字证书进行安全性校验的有益效果,提高了手机银行客户端的信息安全,降低了手机银行客户端 可能遭遇的安全风险。
附图说明
图1是本发明银行服务器登录证书的校验方法的一种实施方式的流程示意图;
图2是本发明银行服务器登录证书的校验方法中,图1所述实施例中步骤S30的一种实施方式的流程示意图;
图3是本发明银行服务器登录证书的校验方法中,图2所述实施例中步骤S320的一种实施方式的流程示意图;
图4是本发明银行服务器登录证书的校验客户端的一种实施方式的流程示意图;
图5是本发明银行服务器登录证书的校验客户端中,图4所述实施例中校验模块80的一种实施方式的框图;
图6是本发明银行服务器登录证书的校验客户端中,图5所述实施例中信息验证单元820的一种实施方式的框图。
本发明实施例目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供了一种银行服务器登录证书的校验方法,用以:使得手 机银行客户端具备本地数字证书,且对本地数字证书进行安全性校验。如图1所示,本发明银行服务器登录证书的校验方法可以实施为如下描述的步骤S10-S40:
步骤S10、客户端响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;
本发明实施例中,当客户端接收到用户因向银行服务器发送账户登录请求所触发的操作指令时,响应该操作指令,接收银行服务器返回的数字证书。
本发明一优选的实施例中,客户端从银行服务器接收的数字证书为安全套接字层(Secure Socket Layer,SSL)证书,且该数字证书中携带了预设种类的信息,例如:证书有效日期、证书指纹、证书域名和证书授权中心(Certificate Authority,CA)机构名称等。本发明实施例中,银行服务器可以根据具体需要,在向客户端返回的数字证书中携带对应种类的信息。本发明实施例对银行服务器返回的数字证书中所携带的预设种类信息的具体内容不做限定。
步骤S20、解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;
在接收到银行服务器返回的携带预设种类信息的数字证书后,客户端对接收到的上述数字证书进行解析,从而获取该数字证书中携带的所述预设种类信息所对应的具体信息内容。例如,在一个实施例中,若上述预设种类信息包含了:证书有效日期、证书指纹、证书域名和证书授权中心机构名称,则客户端通过对上述数字证书的解析,即可获取上述证书有效日期、证书指纹、证书域名和证书授权中心机构名称的具体内容。
步骤S30、校验解析出的所述预设种类信息;
客户端通过解析接收到的数字证书,获取到该数字证书所携带的预设种类信息后,对上述预设种类信息进行校验。
本发明实施例中,若上述预设种类信息包含了多项信息,则逐一对各项信息进行校验。在本发明一优选的实施例中,客户端按照预设种类信息中所包含的各项信息的验证顺序,对上述预设种类信息进行逐一校验。
步骤S40、若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面。
客户端在校验的过程中,若预设种类信息中有任意一项信息不能通过校验,则客户端对所述预设种类信息校验失败,此种情况下,客户端拦截用户触发的向银行服务器所发送的账户登录请求,同时显示预设类型的页面,例如空白页面、登录失败提醒页面、账号存在安全风险提示页面等。当然,客户端也可以仅选择执行上述两项操作中的任一项操作,例如,仅执行拦截用户触发的向银行服务器发送的账户登录请求的操作;或者,仅执行显示预设类型页面的操作。
客户端在校验的过程中,若对预设种类信息中每一项信息均通过校验,则客户端从银行服务器接收上述账户登录请求所对应的操作界面。进一步地,客户端接收到上述账户登录请求的操作界面后,显示该操作界面,供用户基于该操作界面执行对应操作。
本发明银行服务器登录证书的校验方法通过客户端响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;解析所述数字证书,获取所述数字证书 中携带的所述预设种类信息;校验解析出的所述预设种类信息;若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面;具有使得手机银行客户端具备本地数字证书且对本地数字证书进行安全性校验的有益效果,提高了手机银行客户端的信息安全,降低了手机银行客户端可能遭遇的安全风险。
基于图1所述实施例的描述,本发明银行服务器登录证书的校验方法中,客户端可以采用图2实施例所描述的校验方法,来校验解析出的预设种类信息。
如图2所示,本发明银行服务器登录证书的校验方法中,图1所述实施例中的“步骤S30、校验解析出的所述预设种类信息”可以实施为如下描述的步骤S310-S320:
步骤S310、按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序;
步骤S320、按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息。
本发明实施例中,在对解析出的预设种类信息进行校验时,客户端首先查找预先设定好的映射关系,该映射关系包含了:预设种类信息与该预设种类信息所分别对应的验证顺序;按照上述预设种类信息与验证顺序的映射关系,客户端确定出各项预设种类信息所分别对应的各自的验证顺序。
当确定出各项预设种类信息所分别对应的验证顺序后,客户端按照上述验证顺序,逐个验证每一个预设种类信息。
在本发明一优选的实施例中,上述预设种类信息包括:证书有效日期、证书指纹、证书域名和证书授权中心机构名称。客户端按照预设种类信息与验证顺序的映射关系,确定出的各项预设种类信息所分别对应的验证顺序由先至后为:证书授权中心机构名称、证书有效日期、证书指纹和证书域名。按照确认好的上述验证顺序,客户端对证书授权中心机构名称、证书有效日期、证书指纹和证书域名,进行逐一验证。
在本发明一优选的实施例中,客户端按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息,可以采用图3所述实施例的方式执行。如图3所示,本发明银行服务器登录证书的校验方法中,图2所述实施例中“步骤S320、按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息”,可以实施为如下描述的步骤S321-S327:
步骤S321、按照确定出的所述验证顺序,查找预先确定的合法机构名称列表;
步骤S322、验证所述预设种类信息中的证书授权中心机构名称是否在所述合法机构名称列表中;若否,则执行步骤S323;若是,则执行步骤S324;
步骤S323、对所述预设种类信息校验失败;
步骤S324、验证当前日期是否在所述预设种类信息中的证书有效日期内;若否,则执行“步骤S323、对所述预设种类信息校验失败”;若是,则执行步骤S325;
步骤S325、验证所述预设种类信息中的证书指纹是否通过;若否,则执行“步骤S323、对所述预设种类信息校验失败”;若是,则执行步骤S326;
步骤S326、比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;若否,则执行“步骤S323、对所述预设种类信息校验失败”;若是,则执行步骤S327;
步骤S327、对所述预设种类信息校验通过。
本发明实施例中,客户端对预设种类信息进行校验时,严格按照确定出的上述验证顺序,在校验的任何一个环节,一旦对某一项预设种类信息校验失败,则上述预设种类信息便不能通过客户端的校验。
本发明实施例中,客户端按照上述验证顺序,首先对预设种类信息中的证书授权中心机构名称进行校验。在对上述证书授权中心机构名称进行校验时,客户端查找预先确定的合法机构名称列表,验证上述证书授权中心机构名称是否在该合法机构名称列表中。若上述证书授权中心机构名称没有在该合法机构名称列表中,则客户端不能通过对预设种类信息的校验。
若上述证书授权中心机构名称在该合法机构名称列表中,则客户端验证当前日期是否在所述预设种类信息中的证书有效日期内;若当前日期不在所述证书有效日期内,则客户端不能通过对预设种类信息的校验。
若当前日期在所述证书有效日期内,则客户端验证所述预设种类信息中的证书指纹;若对所述预设种类信息中的证书指纹不能通过验证,则客户端不能通过对预设种类信息的校验。
若客户端对所述预设种类信息中的证书指纹验证通过,则比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;若所述证书域名与所述账户登录请求对应的网页域名不一致,则客户端不能通过对预设种类信息的校验;若所述证书域名与所述账户登录请求对应的网页域名一致,则所述预设种类信息均通过校验。
在本发明一优选的实施例中,为了提高证书指纹验证的安全性,客户端接收到的银行服务器发送的数字证书为三重证书,即该数字证书包含了三对密钥。因此,在对上述预设种类信息中的证书指纹进行验证时,客户端根据该数字证书中三个公钥的解密顺序,利用该解密顺序中排在第一顺位的公钥解析出第二份证书数字签名;再利用上述解密顺序中排在第二顺位的公钥解析出第三份证书数字签名。若整个解密过程均能够顺利进行,且正确解密不报任何错误,则客户端通过对所述证书指纹的验证;否则,该证书指纹不能通过客户端的校验。
本发明银行服务器登录证书的校验方法,通过客户端按照对应的验证顺序对数字证书的预设种类信息进行校验的方法,提高了数字证书校验的严谨性和智能性,进一步提高了对手机银行客户端的数字证书校验的安全性。
对应于图1、图2和图3所述实施例所提供的一种银行服务器登录证书的校验方法,本发明还提供了一种银行服务器登录证书的校验客户端;如图4所示,本发明银行服务器登录证书的校验客户端包括:接收模块60、解析模块70、校验模块80和反馈模块90;其中:
所述接收模块60,用于响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;
本发明实施例中,当客户端的所述接收模块60接收到用户因向银行服务器发送账户登录请求所触发的操作指令时,响应该操作指令,接收银行服务器返回的数字证书。
本发明一优选的实施例中,所述接收模块60从银行服务器接收的数 字证书为安全套接字层证书即SSL证书,且该数字证书中携带了预设种类的信息,例如:证书有效日期、证书指纹、证书域名和证书授权中心机构名称即证书CA机构名称等。本发明实施例中,银行服务器可以根据具体需要,在向客户端返回的数字证书中携带对应种类的信息。本发明实施例对银行服务器返回的数字证书中所携带的预设种类信息的具体内容不做限定。
所述解析模块70,用于解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;
在所述接收模块60接收到银行服务器返回的携带预设种类信息的数字证书后,所述解析模块70对接收到的上述数字证书进行解析,从而获取该数字证书中携带的所述预设种类信息所对应的具体信息内容。例如,在一个实施例中,若上述预设种类信息包含了:证书有效日期、证书指纹、证书域名和证书授权中心机构名称,则所述解析模块70通过对上述数字证书的解析,即可获取上述证书有效日期、证书指纹、证书域名和证书授权中心机构名称的具体内容。
所述校验模块80,用于校验解析出的所述预设种类信息;
所述解析模块70通过解析接收到的数字证书,获取到该数字证书所携带的预设种类信息后,所述校验模块80对上述预设种类信息进行校验。
本发明实施例中,若上述预设种类信息包含了多项信息,所述校验模块80则逐一对各项信息进行校验。在本发明一优选的实施例中,所述校验模块80按照预设种类信息中所包含的各项信息的验证顺序,对上述预设种类信息进行逐一校验。
所述反馈模块90,用于若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信 息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面。
校验模块80在校验的过程中,若预设种类信息中有任意一项信息不能通过校验,则校验模块80对所述预设种类信息校验失败,此种情况下,反馈模块90拦截用户触发的向银行服务器所发送的账户登录请求,同时显示预设类型的页面,例如空白页面、登录失败提醒页面、账号存在安全风险提示页面等。当然,反馈模块90也可以仅选择执行上述两项操作中的任一项操作,例如,仅执行拦截用户触发的向银行服务器发送的账户登录请求的操作;或者,仅执行显示预设类型页面的操作。
校验模块80在校验的过程中,若对预设种类信息中每一项信息均通过校验,则反馈模块90从银行服务器接收上述账户登录请求所对应的操作界面。进一步地,反馈模块90接收到上述账户登录请求的操作界面后,显示该操作界面,供用户基于该操作界面执行对应操作。
本发明银行服务器登录证书的校验客户端通过响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;校验解析出的所述预设种类信息;若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面;具有使得手机银行客户端具备本地数字证书且对本地数字证书进行安全性校验的有益效果,提高了手机银行客户端的信息安全,降低了手机银行客户端可能遭遇的安全风险。
基于图4所述实施例的描述,如图5所示,本发明银行服务器登录证书的校验客户端中,图4所述实施例中的校验模块80包括:
顺序确定单元810,用于按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序;
信息验证单元820,用于按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息。
本发明实施例中,校验模块80在对解析出的预设种类信息进行校验时,顺序确定单元810首先查找预先设定好的映射关系,该映射关系包含了:预设种类信息与该预设种类信息所分别对应的验证顺序;按照上述预设种类信息与验证顺序的映射关系,顺序确定单元810确定出各项预设种类信息所分别对应的各自的验证顺序。
当顺序确定单元810确定出各项预设种类信息所分别对应的验证顺序后,信息验证单元820按照上述验证顺序,逐个验证每一个预设种类信息。
在本发明一优选的实施例中,上述预设种类信息包括:证书有效日期、证书指纹、证书域名和证书授权中心机构名称。顺序确定单元810按照预设种类信息与验证顺序的映射关系,确定出的各项预设种类信息所分别对应的验证顺序由先至后为:证书授权中心机构名称、证书有效日期、证书指纹和证书域名。按照顺序确定单元810确认好的上述验证顺序,信息验证单元820对证书授权中心机构名称、证书有效日期、证书指纹和证书域名,进行逐一验证。
在本发明一优选的实施例中,如图6所示,图5实施例中所描述的所述信息验证单元820包括:查找子单元821和验证子单元822;其中:
所述查找子单元821用于:按照确定出的所述验证顺序,查找预先确定的合法机构名称列表;
所述验证子单元822用于:
验证所述预设种类信息中的证书授权中心机构名称是否在所述合法机构名称列表中;若所述证书授权中心机构名称在所述合法机构名称列表中,则验证当前日期是否在所述预设种类信息中的证书有效日期内;若当前日期在所述证书有效日期内,则验证所述预设种类信息中的证书指纹是否通过;若对所述预设种类信息中的证书指纹验证通过,则比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;若所述证书域名与所述账户登录请求对应的网页域名一致,则所述预设种类信息均通过校验。
本发明实施例中,信息验证单元820对预设种类信息进行校验时,严格按照顺序确定单元810确定出的上述验证顺序,在校验的任何一个环节,一旦对某一项预设种类信息校验失败,则上述预设种类信息便不能通过客户端的校验。
本发明实施例中,信息验证单元820按照上述验证顺序,首先对预设种类信息中的证书授权中心机构名称进行校验。在对上述证书授权中心机构名称进行校验时,查找子单元821查找预先确定的合法机构名称列表,验证子单元822验证上述证书授权中心机构名称是否在该合法机构名称列表中。若上述证书授权中心机构名称没有在该合法机构名称列表中,则信息验证单元820不能通过对预设种类信息的校验。
若上述证书授权中心机构名称在该合法机构名称列表中,则验证子单元822验证当前日期是否在所述预设种类信息中的证书有效日期内;若当前日期不在所述证书有效日期内,则信息验证单元820不能通过对预设种类信息的校验。
若当前日期在所述证书有效日期内,则验证子单元822验证所述预设 种类信息中的证书指纹;若对所述预设种类信息中的证书指纹不能通过验证,则信息验证单元820不能通过对预设种类信息的校验。
若验证子单元822对所述预设种类信息中的证书指纹验证通过,则比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;若所述证书域名与所述账户登录请求对应的网页域名不一致,则信息验证单元820不能通过对预设种类信息的校验;若所述证书域名与所述账户登录请求对应的网页域名一致,则所述预设种类信息均通过校验。
在本发明一优选的实施例中,为了提高证书指纹验证的安全性,客户端的接收模块60接收到的银行服务器发送的数字证书为三重证书,即该数字证书包含了三对密钥。因此,校验模块80在对上述预设种类信息中的证书指纹进行验证时,信息验证单元820中的验证子单元822根据该数字证书中三个公钥的解密顺序,利用该解密顺序中排在第一顺位的公钥解析出第二份证书数字签名;再利用上述解密顺序中排在第二顺位的公钥解析出第三份证书数字签名。若整个解密过程均能够顺利进行,且正确解密不报任何错误,则信息验证单元820通过对所述证书指纹的验证;否则,该证书指纹不能通过信息验证单元820的校验。
本发明银行服务器登录证书的校验客户端,通过按照对应的验证顺序对数字证书的预设种类信息进行校验的方法,提高了数字证书校验的严谨性和智能性,进一步提高了对手机银行客户端的数字证书校验的安全性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、 物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种银行服务器登录证书的校验方法,其特征在于,包括以下步骤:
客户端响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;
解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;
校验解析出的所述预设种类信息;
若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面。
2.如权利要求1所述的方法,其特征在于,所述校验解析出的所述预设种类信息,包括:
按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序;
按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息。
3.如权利要求2所述的方法,其特征在于,所述按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序,包括:
按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序由先至后为:
证书授权中心机构名称、证书有效日期、证书指纹和证书域名。
4.如权利要求2或3所述的方法,其特征在于,所述按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息,包括:
按照确定出的所述验证顺序,查找预先确定的合法机构名称列表;
验证所述预设种类信息中的证书授权中心机构名称是否在所述合法机构名称列表中;
若所述证书授权中心机构名称在所述合法机构名称列表中,则验证当前日期是否在所述预设种类信息中的证书有效日期内;
若当前日期在所述证书有效日期内,则验证所述预设种类信息中的证书指纹是否通过;
若对所述预设种类信息中的证书指纹验证通过,则比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;
若所述证书域名与所述账户登录请求对应的网页域名一致,则所述预设种类信息均通过校验。
5.如权利要求4所述的方法,其特征在于,所述验证所述预设种类信息中的证书指纹是否通过,包括:
根据所述数字证书中三个公钥的解密顺序,利用所述解密顺序中排在第一顺位的公钥解析出第二份证书数字签名;
利用所述解密顺序中排在第二顺位的公钥解析出第三份证书数字签名;
若能正确解密不报错,则所述证书指纹通过校验;否则,所述证书指纹不能通过校验。
6.一种银行服务器登录证书的校验客户端,其特征在于,包括:
接收模块,用于响应用户触发的向银行服务器发送账户登录请求的操作指令,从所述银行服务器中接收携带预设种类信息的数字证书;
解析模块,用于解析所述数字证书,获取所述数字证书中携带的所述预设种类信息;
校验模块,用于校验解析出的所述预设种类信息;
反馈模块,用于若所述预设种类信息通过校验,则从所述银行服务器接收所述账户登陆请求所对应的操作界面;若所述预设种类信息没有通过校验,则拦截所述账户登录请求,和/或显示预设类型页面。
7.如权利要求6所述的客户端,其特征在于,所述校验模块包括:
顺序确定单元,用于按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序;
信息验证单元,用于按照确定出的所述验证顺序,逐一验证每一项所述预设种类信息。
8.如权利要求7所述的客户端,其特征在于,所述顺序确定单元用于:
按照预设种类信息与验证顺序的映射关系,确定解析出的各项预设种类信息所分别对应的验证顺序由先至后为:
证书授权中心机构名称、证书有效日期、证书指纹和证书域名。
9.如权利要求7或8所述的客户端,其特征在于,所述信息验证单元包括:
查找子单元,用于按照确定出的所述验证顺序,查找预先确定的合法机构名称列表;
验证子单元,用于:
验证所述预设种类信息中的证书授权中心机构名称是否在所述合法机构名称列表中;
若所述证书授权中心机构名称在所述合法机构名称列表中,则验证当前日期是否在所述预设种类信息中的证书有效日期内;
若当前日期在所述证书有效日期内,则验证所述预设种类信息中的证书指纹是否通过;
若对所述预设种类信息中的证书指纹验证通过,则比较所述预设种类信息中的证书域名与所述账户登录请求对应的网页域名是否一致;
若所述证书域名与所述账户登录请求对应的网页域名一致,则所述预设种类信息均通过校验。
10.如权利要求9所述的客户端,其特征在于,所述验证子单元用于:
根据所述数字证书中三个公钥的解密顺序,利用所述解密顺序中排在第一顺位的公钥解析出第二份证书数字签名;
利用所述解密顺序中排在第二顺位的公钥解析出第三份证书数字签名;
若能正确解密不报错,则所述证书指纹通过校验;否则,所述证书指纹不能通过校验。
CN201510924916.0A 2015-12-11 2015-12-11 银行服务器登录证书的校验方法及客户端 Pending CN106874730A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510924916.0A CN106874730A (zh) 2015-12-11 2015-12-11 银行服务器登录证书的校验方法及客户端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510924916.0A CN106874730A (zh) 2015-12-11 2015-12-11 银行服务器登录证书的校验方法及客户端

Publications (1)

Publication Number Publication Date
CN106874730A true CN106874730A (zh) 2017-06-20

Family

ID=59178313

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510924916.0A Pending CN106874730A (zh) 2015-12-11 2015-12-11 银行服务器登录证书的校验方法及客户端

Country Status (1)

Country Link
CN (1) CN106874730A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107911406A (zh) * 2017-09-30 2018-04-13 平安科技(深圳)有限公司 基于网络的任务流转方法、设备及存储介质
CN109145586A (zh) * 2018-08-14 2019-01-04 郑州云海信息技术有限公司 一种ssr集中管理平台特性动态授权方法
CN110971609A (zh) * 2019-12-10 2020-04-07 北京数码视讯软件技术发展有限公司 Drm客户端证书的防克隆方法、存储介质及电子设备
CN114363073A (zh) * 2022-01-07 2022-04-15 中国联合网络通信集团有限公司 Tls加密流量分析方法、装置、终端设备及存储介质
CN114844651A (zh) * 2022-05-31 2022-08-02 唯思电子商务(深圳)有限公司 一种app客户端https证书强校验的方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130117850A1 (en) * 2011-11-09 2013-05-09 Douglas Britton System and Method for Bidirectional Trust Between Downloaded Applications and Mobile Devices Including a Secure Charger and Malware Scanner
CN103220303A (zh) * 2013-05-06 2013-07-24 华为软件技术有限公司 服务器的登录方法及服务器、认证设备
WO2014000281A1 (zh) * 2012-06-29 2014-01-03 华为技术有限公司 身份认证方法及装置
CN103795731A (zh) * 2014-02-26 2014-05-14 北京京东尚科信息技术有限公司 一种用户账户登录方法
CN104486325A (zh) * 2014-12-10 2015-04-01 上海爱数软件有限公司 一种基于RESTful的安全登陆认证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130117850A1 (en) * 2011-11-09 2013-05-09 Douglas Britton System and Method for Bidirectional Trust Between Downloaded Applications and Mobile Devices Including a Secure Charger and Malware Scanner
WO2014000281A1 (zh) * 2012-06-29 2014-01-03 华为技术有限公司 身份认证方法及装置
CN103220303A (zh) * 2013-05-06 2013-07-24 华为软件技术有限公司 服务器的登录方法及服务器、认证设备
CN103795731A (zh) * 2014-02-26 2014-05-14 北京京东尚科信息技术有限公司 一种用户账户登录方法
CN104486325A (zh) * 2014-12-10 2015-04-01 上海爱数软件有限公司 一种基于RESTful的安全登陆认证方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107911406A (zh) * 2017-09-30 2018-04-13 平安科技(深圳)有限公司 基于网络的任务流转方法、设备及存储介质
CN109145586A (zh) * 2018-08-14 2019-01-04 郑州云海信息技术有限公司 一种ssr集中管理平台特性动态授权方法
CN110971609A (zh) * 2019-12-10 2020-04-07 北京数码视讯软件技术发展有限公司 Drm客户端证书的防克隆方法、存储介质及电子设备
CN114363073A (zh) * 2022-01-07 2022-04-15 中国联合网络通信集团有限公司 Tls加密流量分析方法、装置、终端设备及存储介质
CN114844651A (zh) * 2022-05-31 2022-08-02 唯思电子商务(深圳)有限公司 一种app客户端https证书强校验的方法及系统
CN114844651B (zh) * 2022-05-31 2024-05-28 唯思电子商务(深圳)有限公司 一种app客户端https证书强校验的方法及系统

Similar Documents

Publication Publication Date Title
EP2860906B1 (en) Identity authentication method and device
US9485261B2 (en) Web security protection method, device and system
CN106874730A (zh) 银行服务器登录证书的校验方法及客户端
CN104954330B (zh) 一种对数据资源进行访问的方法、装置和系统
US9686344B2 (en) Method for implementing cross-domain jump, browser, and domain name server
US9979725B1 (en) Two-way authentication using two-dimensional codes
US10063538B2 (en) System for secure login, and method and apparatus for same
CN106657068A (zh) 登录授权方法和装置、登录方法和装置
CN109039987A (zh) 一种用户账户登录方法、装置、电子设备和存储介质
CN103986584A (zh) 基于智能设备的双因子身份验证方法
CN103888255A (zh) 一种身份认证方法、装置及系统
KR102026544B1 (ko) 피싱 웹 페이지 검출 방법 및 시스템
CN103227799A (zh) 基于多应用系统统一用户管理及单点登陆平台的实现方法
CN111770057A (zh) 身份验证系统及身份验证方法
CN102724186A (zh) 一种钓鱼网站检测系统和检测方法
CN103200176A (zh) 一种基于银行独立通信渠道的认证方法、装置及系统
CN103765843A (zh) 混合终端机的用户验证方法及实现该方法的装置
US11140213B2 (en) Systems and methods for distributing electronic documents
US20140101772A1 (en) Input method, input apparatus, and input program
KR102055897B1 (ko) 전화번호를 이용한 인터넷 사이트 서비스 접속 인증 방법 및 시스템
CN114329387A (zh) 单点登录控制方法、系统、电子设备及计算机可读介质
CN109889474A (zh) 一种用户身份验证的方法及装置
CN103139162B (zh) 一种网络账号的登陆方法及设备
CN108390878B (zh) 用于验证网络请求安全性的方法、装置
CN109495458A (zh) 一种数据传输的方法、系统及相关组件

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170620

RJ01 Rejection of invention patent application after publication